'취약점노출'에 해당되는 글 2건

  1. 2015.02.26 사물인터넷의 구글인 쇼단(Shodan) 검색엔진 (1)
  2. 2009.12.18 Adobe Reader/Acrobat 신규 취약점으로 인한 피해 주의
2015.02.26 09:58

사물인터넷의 구글인 쇼단(Shodan) 검색엔진

사물인터넷의 구글인 쇼단, 취약점 노출로 인해 해커와 테러리스트의 놀이터가 되다

http://www.itworld.co.kr/news/91437



쇼단(Shodan) 검색엔진을 이용하면 백도어가 노출된 라우터, 안전하지 못한 웹캠, 기본값 비밀번호를 사용하는 산업 제어 시스템 등을 찾을 수 있다.

쇼단은 사물인터넷을 위한 '구글'이자, 해커와 테러리스트의 놀이터이며, (어쩌면) 기업들이 자신의 환경을 잠글 때 유용하게 이용할 수 있는 툴이다.

쇼단의 창업자인 존 메테리는 5년 전, 기업들에게 제품이 사용되는 장소와 방법에 대한 정보를 제공하는 시장 정보 툴(Market intelligence tool)로 이 검색엔진을 발표했다.

메테리는 "물론 실증적 데이터를 이용, 경쟁 업체의 시장 포지셔닝을 더 잘 이해할 수 있는 정보를 질의해 얻을 수도 있다"고 설명했다.

그러나 발표 이후 이 검색엔진은 '스스로의 삶'을 살기 시작했다.

이에 대해 메테리는 "보안 전문가들이 인터넷을 더 잘 이해하는데 유용한 툴이 됐다"고 말했다.

공개 웹사이트는 쇼단이 검색할 수 있는 많은 것 가운데 일부에 불과하다. 기업 고객들은 수집하는 데이터 일체에 대한 실시간 액세스를 구입할 수 있다. 예를 들어, 쇼단을 이용해 기업 내부 네트워크를 검색할 수 있다.

메테리는 "대기업에는 도급업체나 협력업체가 제대로 설정하지 못한 상태에서 온라인에 연결된 자동화 시스템이나 텔넷이 실행되는 컴퓨터들이 있다. 게다가 클라우드 컴퓨팅이 증가하면서, 인증 체계가 없어 콘텐츠가 인터넷에 유출될 수 있는 클라우드 서버가 크게 증가하고 있다"고 말했다.

기업들은 또 쇼단을 이용해 함께 사업을 할 계획을 갖고 있거나, 인수를 하고자 하는 회사의 보안을 점검할 수도 있다.

그리고 범죄자들이 이용하는 악성코드 C&C 서버(Command and Control Server)를 발견할 수도 있다. 이 작업은 통상적으로 집중적인 시간 투자가 필요한 프로세스다. 메테리는 "그러나 쇼단을 이용하면 아주 쉽게 파악할 수 있다"고 설명했다.

미국 미네아폴리스에 본사를 둔 매니지드 보안 서비스 공급업체인 넷시큐리스(Netsecuris Inc.) 대표이자 CEO 레오나르드 제이콥스는 "쇼단이 위협이 된다고 생각하지는 않는다. 우리는 쇼단을 고객들에게 유용한 도구로 활용한다. 다른 기법을 통해 발견한 것을 확인하는데 쇼단을 이용하고 있다"고 말했다.

원칙적으로, 기업은 인터넷에 노출된 장치와 시스템을 전부 파악해야 한다. 그러나 편리함을 추구하느라 이런 원칙을 무시하는 경우가 있다. 제이콥스는 "실제 사례를 보면 놀랄 것이다"고 말했다.

쇼단, 악의 축?
공격자들 또한 쇼단을 통해 특정 장비나 특정 소프트웨어를 재빨리 발견할 수 있다.
캐나다의 보안 컨설팅 업체인 택티컬 인텔리전스(Tactical Intelligence Inc.)의 파트너 쉐인 맥두갈은 "예를 들어, 해커들은 전체 인터넷을 뒤지지 않아도, 쇼단에서 특정 시그내처를 찾아 웹에 연결된 모든 퍼비(Furby)를 재빨리 발견할 수 있다"고 말했다.

바르엘은 "쇼단은 단지 취약점을 알려줄 뿐이다. 물론 해킹 공격에서 취약한 노드를 감지하는 것이 중요하다는 점에는 이견이 있을 수 없다. 그러나 해커들은 쇼단이 개발되기 훨씬 이전부터 자동화된 크롤러(Crawlers)로 이를 수행할 수 있었다"고 말했다.

또한 대다수 보안 전문가들은 취약점을 발견하고 난 이후에는 이를 숨기기보다 공개하는 것이 낫다는 점에 동의했다.

바르엘은 "취약한 시스템을 이용하는 사람들은 이런 취약점을 알 권리를 갖고 있다"고 강조했다. 그래야만 취약한 시스템을 제공한 개발업체를 교체하는 등 조치를 취할 수 있기 때문이다.

바르엘은 "상용 제품에서 발견된 취약점을 공개하는 것은 개발업체들이 이를 고치도록 유도할 수 있는 효과적인 방법이 된다"고 덧붙였다. 또한 "개발업체들이 제품의 보안 문제를 몇 달 또는 몇 년 동안 무시했다가, 공개가 되고 난 이후에야 이를 바로잡았던 사례가 많았다. 사실 해결되지 않은 취약점은 시한폭탄이나 다름없다"고 덧붙였다.

쇼단의 메테리는 "범죄자들은 이미 가용한 툴들을 보유하고 있다"고 말했다. 쇼단 웹사이트는 사용자가 계정을 등록하도록 요구하고 있다. 또한 첫 검색만 무료다.




출처 : itworld.co.kr


Trackback 0 Comment 1
  1. Favicon of https://blogger.pe.kr Tae-Ho 2015.02.27 10:37 신고 address edit & del reply

    사물인터넷 기기의 보안도 이슈가 되니 공부할게 점점 많아지네요. 이젠 임베디드 OS까지 봐야하는건지.. ^^ 정보보안기사를 1회 때 붙으셨다니.. 대단하십니다~

2009.12.18 20:58

Adobe Reader/Acrobat 신규 취약점으로 인한 피해 주의

□ 제목: Adobe Reader/Acrobat 신규 취약점으로 인한 피해 주의

□ 개요

  o Adobe Reader/Acrobat에서 원격코드 실행이 가능한 신규 취약점이 발견되어 사용자의
    주의를 요함 [1-2]
  o 현재 해당 취약점을 공격하기 위해 악의적으로 작성된 PDF 파일이 발견되었으므로,
    Adobe Reader/Acrobat 사용자는 메일/메신저로 전송된 출처가 불분명한 PDF 파일을
    열람하지 않도록 주의하여야 함 [3]

□ 영향

  o 악의적으로 작성된 PDF 문서를 열어볼 경우 피해자 시스템에 악성코드가 설치되거나, 
    그 외 문서에 삽입된 악의적인 명령이 실행될 수 있음 [1-3]

□ 설명

  o Adobe Reader/Acrobat 취약점 1건이 아래와 같이 발표됨
    - Adobe Reader/Acrobat 원격코드 실행 취약점 (CVE-2009-4324) [4]

□ 해결 방안

  o 현재 해당 취약점에 대한 보안업데이트는 발표되지 않음
  o 보안업데이트가 발표되기 전까지 다음과 같은 절차에 따라 JavaScript 기능을 중지 [1]
   * 주의: JavaScript 기능을 중지할 시, JavaScript 기능을 사용하는 일부 PDF가 정상적으로
             보이지 않을 수 있음
    1. Acrobat이나 Adobe Reader를 실행
    2. 메뉴에서 편집(E)>기본 설정(N)을 선택
    3. 하단의 JavaScript 카테고리를 선택

    4. 상단의 Acrobat JavaScript 사용 가능(J)을 선택 해제
    5. 확인 버튼을 클릭
  o 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 인터넷 이용 습관을 
    준수해야 함
    - 신뢰되지 않은 웹사이트의 PDF 파일 다운로드 주의
    - 의심되는 이메일에 포함된 PDF 파일 링크 또는 첨부를 클릭하지 않음
    - 개인방화벽과 백신제품 사용 등

 □ 용어 정리

  o PDF (Portable Document Format): Adobe Systems社가 2D 문서를 표현하기 위해 모든
    운영체제에서 구동 가능하도록 개발한 파일 형식임
  o Adobe Reader: PDF 문서의 편집 기능은 없이 보기/인쇄만 할 수 있는 무료 프로그램
  o Adobe Acrobat: PDF 문서 편집/제작을 지원하는 상용 프로그램

□ 참고 사이트

[1] http://www.adobe.com/support/security/advisories/apsa09-07.html
[2] http://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html
[3] http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-121422-3337-99
[4] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324
[5] http://kb2.adobe.com/cps/532/cpsid_53237.html
[6] http://www.vupen.com/english/advisories/2009/3518
[7] http://www.securityfocus.com/bid/37331

[참 고]

1. F.A.Q
   o 보안업데이트는 언제 발표되나요?
     - 공식 보안업데이트 일정은 발표되지 않았지만 발표될 경우 KrCERT/CC 홈페이지를 통해
       신속히 공지할 예정입니다. 

2. 기타 문의사항
   o 한국인터넷진흥원 인터넷침해센터: 국번없이 118


Trackback 0 Comment 0