갤러리 이슈박스, 최근방문 갤러리
연관 갤러리
유령 갤러리 타 갤러리(0)
이 갤러리가 연관 갤러리로 추가한 갤러리
0/0
타 갤러리 유령 갤러리(0)
이 갤러리를 연관 갤러리로 추가한 갤러리
0/0
개념글 리스트
1/3
- 싱글벙글 인구 1000만 명을 넘는 세계 도시 ㅇㅇ
- 마녀랑 결혼하는.Manhwa(6) 자몽다
- 싱글벙글 에반게리온 패션쇼 시노사와히로
- [속보] 중앙일보 출신 김진기자 인천대교 추락사망 ㄷㄷ ㅇㅇ
- 세계 최초 한국형 버튜버 ㄷㄷㄷ ㅇㅇ
- mbc) 미국 보수 세력도 트두창 버린다ㅋㅋㅋㅋ ㅇㅇ
- 유럽 파크일주 2.브뤼셀 Walibi Belgium 뀨뀨
- 미친 듯 가격 치솟자.."안 쓰는 PC 무료로 풉니다"...webp 빌애크먼
- 백종원 막이오름 막걸리 사장님 고소 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ 백갤러
- [속보] 법원 "세월호 참사 직후 '박근혜 정부 7시간' 문건 목록 공개 ㅇㅇ
- 싱글벙글 미투촌....JPG 엘레베스
- 조국 "제가 나가야만 국힘 이길 수 있는 지역에 출마할 것" 그르르릉
- Wii U의 한줄기 희망이었던 저주받은 명작, "X"를 알아보자 블루레이빌런
- 성시경이 말하는 요즘 치킨이 평범해진 이유.jpg ㅇㅇ
- jtbc) 트럼프 담판에, 네타냐후 판깨기 들어갔다ㅋㅋ ㅇㅇ
카이스트에서 한국 보안프로그램의 패악을 조사함
카이스트, 고려대, 성균관대 공동으로 연구한 논문이 개제됨 그것도 USENIX Security 2025에 게재되었는데 세계에서 가장 권위 있는 보안 컨퍼런스중 하나임 여기서 KSA = 한국형 보안 어플리케이션을 뜻함 보안을 강화하겠다며 도입됐지만, 실제로는 브라우저가 어렵게 쌓아 올린 현대 웹 보안 모델을 우회하면서 새로운 공격 표면을 대규모로 열어 왔다는게 골자 논문을 요약하면 KSA가 문제되는 이유는 한두개가 아닌데, 아래와 같음 1. 브라우저 보안(샌드박스) 무효화크롬이나 사파리 같은 현대 브라우저들은 악성 웹사이트가 내 PC 파일이나 시스템에 맘대로 접근 못하게 샌드박스라는 철통 방어 구역을 씀.근데 KSA들은 은행 업무 등 특수 기능을 핑계로 이 샌드박스 밖에서 돌아가면서 브라우저 보안을 의도적으로 우회시킴 .결과적으로 브라우저가 아무리 방어를 잘해도, 해커가 KSA의 버그나 취약점만 찌르면 내 PC에 원격으로 악성코드를 강제로 깔고 실행(RCE)할 수 있게 됨.브라우저 해킹할 필요도 없이 KSA가 우회로가 되는 꼴2. 키보드 보안 프로그램이 내 키보드를 털어감제일 황당한 부분인데, 키보드 보안 프로그램은 해킹을 막아야 하잖아? 문제는 KSA는 사용자 키보드 입력을 암호화해서 웹페이지에 던져주면 거기서 푸는 식그리고 웹페이지한테 키보드 입력을 풀 수 있는 대칭키를 줘버림 (비대칭키랑 다르게 키 하나로 복호화까지 가능한 방식) 해커가 맘먹고 KSA 기능을 건드리면, 아예 암호화를 풀게 하거나 기능을 꺼버려서 사용자 모든 키보드 입력을 훔쳐가는 완벽한 키로거로 써먹을 수 있음3. 사설 인증서 남발 (구글/네이버 위조 가능)KSA가 백그라운드에서 돌면서 웹이랑 통신(HTTPS)을 하려면 인증서가 필요함. 그래서 얘네는 사용자 PC에 '루트 인증서(Root CA)'라는 강력한 권한의 사설 인증서를 강제로 설치함만약 이 업체의 인증서 개인키가 유출되면, 해커가 구글이나 은행 같은 정상 사이트를 똑같이 위조해서 중간자 공격으로 정보를 가로챌 수 있음. 실제로 연구진이 프로그램을 분석해서 개인키를 빼낸 뒤 구글 사이트 위조에 성공더 큰 문제는 KSA 프로그램을 지워도 이 루트 인증서는 PC에 그대로 남는 경우가 많아서 계속 보안 위협이 됨4. 과도한 개인정보 수집 (사실상 스파이웨어)은행에서 이상 거래를 탐지한다고 까는 KSA 프로그램들이 있음. 얘네는 내 PC의 MAC 주소, VPN IP, 방화벽 설정, 하드웨어 일련번호 등 사생활 정보를 싹 다 수집함해외 연구자가 '국가 지원 스파이웨어'라고 불렀을 정도. 사실상 짱깨 정부가 낼 만한 아이디어수집한 데이터는 암호화해서 서버로 보내긴 하는데, 누구나 인증 없이 접근할 수 있는 KSA 개발자용 테스트 페이지를 이용하면 이걸 그대로 복호화해서 빼볼 수 있음또한 공동인증서 관리 프로그램의 경우, 인증서에 포함된 실명이나 일련번호를 웹상에서 평문으로 노출시킴5. 구조적으로 불가능에 가까운 패치와 방치이런 치명적인 취약점들이 발견되어도 고치기가 매우 힘든 구조KSA 개발사만 프로그램을 업데이트한다고 끝나는 게 아니라, KSA를 연동해 둔 은행 쪽 웹사이트 코드(자바스크립트)도 같이 수정해야 됨근데 은행들은 멀쩡히 돌아가는 서비스에 문제 생길까 봐 수정을 꺼리는 경우가 많아서 취약점이 사실상 방치되고 있음이미 매우 뛰어난 개발자들이 최신 웹 표준 보안(WebAuthn)을 엄밀하게 검증해서브라우저에 자체에 표준화 시켜놨는데도 국내 은행과 보안 업체는 그런 것들을 쓰지 않고 사용자 컴퓨터에 로컬 서버까지 돌려가는짓까지 하며 보안 구멍을 송송 뚫어놓았고,덕분에 국내 보안프로그램이 설치된 컴퓨터는 해커가 이곳저곳 공략할 수 있는 보안헛점 허벌로 전락함연봉 수억씩 받으면서 한국에선 영입 엄두조차 못내는 비싼 실리콘밸리 천재 개발자들 고용해서구글 같은 회사들이 연간 2조원 넘게 투자하면서 꾸준히 관리하고 업데이트되는 최신 브라우저 보안 표준 뚫을 필요 없이 그냥 개조센 코더들이 2700 받으면서 만들어놓고 방치한거 뚫으면 됨그것도 한국인 컴퓨터엔 평균 9개나 설치되어 있고 관리조차 안 되는 상태 - 카이스트 교수가 직접 위험하다고 말한 LG 유플러스 사태.jpg
작성자 : rtOS고정닉
차단 설정
설정을 통해 게시물을 걸러서 볼 수 있습니다.
[전체 갤러리]
차단 기능을 사용합니다. 차단 등록은 20자 이내, 최대 10개까지 가능합니다.
설정된 갤러리
갤러리 선택
설정할 갤러리를 선택하세요.
[갤러리]
차단 기능을 사용합니다. 전체 설정과는 별개 적용됩니다.
