PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/10 00:29:05
Name 졸업
File #1 fb8ea6c1_ea41_457b_8973_da75528d4006.png (297.7 KB), Download : 531
File #2 xss2.png (6.4 KB), Download : 488
Link #1 https://palant.info/2023/01/09/touchen-nxkey-the-keylogging-anti-keylogger-solution/#will-it-be-fixed
Subject [일반] TouchEn nxKey 취약점 공개




한 외국 보안 연구자가 본인이 찾은 한국 인터넷의 보안 취약점을 발견했다고합니다.
이후 고칠 수 있는 데드라인 90일을 주고 그 후 블로그에 내용을 공개할 예정이라 밝혔는데요.

1월 9일, TouchEn nxKey 취약점을 공개했습니다.
전체적으로 제품에서 7개의 보안 취약점을 발견했다고합니다.
저는 전공자가 아니지만 PGR에는 이쪽 전공자분들이 많으실거라 생각해 주소를 올립니다
https://palant.info/2023/01/09/touchen-nxkey-the-keylogging-anti-keylogger-solution/#will-it-be-fixed


이전 게시글은 다음과 같습니다.
https://palant.info/2023/01/02/south-koreas-online-security-dead-end/
https://www.woojinkim.org/wiki/spaces/me/pages/733085820
(번역글)


작성자는 이후 23일, 3월 6일에 후속 글을 올린다고 합니다.
최신 글에서 글쓴이는 한국 회사에 직접 연락을 시도했지만 어떠한 연락도 받지 못했음을 밝히며,
보안취약점을 알려줬음에도 이 취약점이고쳐지기 힘들거 같다며 우려하고있습니다.

특히 글쓴이는 가짜(bogus) 보안 애플리케이션 시장이 한국에 형성되어 있다는 의견을 냈는데요.
우리나라에도 이에 동조하는 사람들이 많은 만큼, 이후엔 이런 낡은(최신 업데이트가 2018년 1월 이라 하네요)  프로그램들이 좀 사라지고 편리하고 강력한 보안방식이 등장했으면 좋겠네요.
프로그램 막 7개깔고 공동인증서 발급받고이런거 말고요...

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
카사네
23/01/10 00:38
수정 아이콘
좀 맞아야합니다, 맨날 쓸데없이 깔고 바로 지우는 짓 안했으면 좋곘어요
23/01/10 00:51
수정 아이콘
예전에 (지금도) 아주 유명한 키보드 보안앱 실행한 상태에서 키로거 깔아서 직접 테스트 해봤는데 키로깅을 전혀 막지못하고 잘만되던 기억이 납니다. 완전한 방패라는건 없는 거 겠지만, 그 후로 키보드보안에 대한 신뢰가 팍 떨어지더군요. 가짜 보안 애플리케이션이 시장이 형성되어 있다는 게 그런 얘기겠죠. 아직도 여전한가 봅니다.
김소현
23/01/10 01:29
수정 아이콘
인터넷 초창기부터 이건 공공연한 비밀이었던거 아닌가요. 보안프로그램 깔지만 사실상 해당사이트에서 책임을 전가할려는 방법일뿐이며, 효용성은 떨어진다고. 키로깅 문제되서 키로깅 막는다고 마우스클릭 랜덤숫자 뭐 별쇼를 다 하지만, 크게 효용성 없는 방법이라고.
김연아
23/01/10 09:11
수정 아이콘
공공연한 비밀 (X) -> 당당한(?) 진실 (O)
서린언니
23/01/10 01:52
수정 아이콘
공인인증서 갱신하라는 메일 왔는데 이거 보니까 참 씁슬하네요
1절만해야지
23/01/10 01:58
수정 아이콘
꺼어어어억
23/01/10 01:59
수정 아이콘
오죽하면 얘네들 날리는 프로그램 이름이 구라 제거기
23/01/10 02:40
수정 아이콘
애초에 보안업체는 대기업에서 보안문제 터지면 그거 뒤집어쓰는 역할입니다. 보안업체는 그걸 곧이 곧대로 뒤집어쓰지 않고 어케든 제로데이 취약점이라 포장해서 잘 넘기는게 실력이구요 ex) 이런 취약점은 대응이 공학적으로 왜 불가능한지에 대한 박사급 지식이 필요한 보고서 제출.
23/01/10 03:04
수정 아이콘
코이츠 전신이 취약점인ww
23/01/10 05:26
수정 아이콘
팝콘 와작와작!
23/01/10 07:03
수정 아이콘
애초에 보안을 하려고 만든 프로그램이 아니라 면피를 하려고 만든 프로그램들이라서요. 아이폰으로 은행 업무 보게 되면서 저런거 안봐서 되서 너무 좋습니다
raindraw
23/01/10 07:41
수정 아이콘
그냥 뚫린 문제를 넘어 모든 권한을 가진 보안 프로그램이 뚫린거라 아예 없는것 보다 더 심하게 문제가 된다고 하는 분도 있더군요.
제발요
23/01/10 09:29
수정 아이콘
댓글 중에 이 분 말이 제일 사실에 근접한 것 같네요.
정확히는 모든 권한을 갖진 않지만, 렌더링을 위해 제공하는 권한보다 조금 더 높은 권한을 갖습니다.
그래도 충분히 시스템을 장악할 수 있을 만한 권한입니다.
보안 프로그램으로 인하여 오히려 더욱 쉽게 해킹될 가능성을 높여준 건 사실입니다.
호러아니
23/01/10 08:31
수정 아이콘
[편리하고 강력한 보안방식]
우린 이걸 표준이라고 부르기로 했어요... 전세계 전문가들이 협심해서 발전시키는 기술이 있는데 뭐 잘났다고 버티는지 모르겠네요. 정 기기해킹이 걱정되면 2 factor auth만 해도 훨씬 안전한걸
고객 책임 증명용으로 쓰이는 사례가 훨씬 많을듯
Regentag
23/01/10 10:43
수정 아이콘
아이러니하게도 “보안은 불편해야한다. 편하면 보안이 아냐”라는 사람들이 많습니다.
특히 군대에요…
초콜릿
23/01/10 08:41
수정 아이콘
They never did.
23/01/10 08:44
수정 아이콘
보안업체라기보다 책임 대신 져주는 업체 같은 느낌이네요
23/01/10 09:01
수정 아이콘
대충 그럴거다 생각은 했지만 크크
23/01/10 09:02
수정 아이콘
저도 정확하게 아는건 아닌데

1.은행은 보안대책을 강구해야함.
2.안하다가 털려? 그럼 은행 니네 책임이야.
3.근데 보안대책을 해놨는데 털려? 그럼 뭐 어쩔 수 없지. 괜찮아. 너 무죄.

이런식이라 저런 보안업체들이 하는 일이 진짜 보안을 위해 툴을 만들기보다
면책용, 보여주기식 보안 이라는걸 들었습니다.
결국 사고나도 은행도, 보안업체도 책임안짐. 피해는 소비자만.

여기도 카르텔 엄청 빡센거 같던데 누가 의원님들 계좌 좀 털어주시면 좀 바뀔지도? 크크크
23/01/10 09:39
수정 아이콘
은행은 싼값에 보험비용 수준으로 사고가 났을때 면피가 가능하고
개발업체는 꾸준하게 허들을 세워둔 이상 새 업체가 못들어온다면 영업이 수월하고 매출도 꾸준하고
관련 법령 규제와 실제 감사를 하는 기관들은 개발업체 카르텔로부터 적절하게 갑질이 가능해지고...

개발업체쪽에 금융위나 관련 기관 퇴직인력이 영업담당, 고문등으로 자리잡고 있는지도 찾아보면 충분히 나올법 한데 말입니다.
23/01/10 09:57
수정 아이콘
책임떠넘기기용 프로그램들인데 책임도 제대로 안진다는게 유머죠.
인간실격
23/01/10 10:28
수정 아이콘
제가 이래서 온라인뱅킹 절대 안합니다. 그리고 비단 은행만 이런게 아니라 민감정보 다루는 공공기관 수준이 다 이래요. 진짜 한숨나올지경.
아케이드
23/01/10 10:39
수정 아이콘
사고 났을때 은행 대신 뒤집어 써주는 대신 돈을 받는 용도죠
Regentag
23/01/10 10:50
수정 아이콘
안그래도 지난번 글( https://cdn.pgr21.com./freedom/97640 )을 올린 다음에 한페이지가 넘어가서 새로 글를 쓸까 하고 있었는데 먼저 정리해 주셨네요. 감사합니다.

취약점들이 공개되고 대대적으로 보안사고가 일어나더라도 우리나라의 보안시장 방향이 크게 바뀌지는 않을것 같아요. 딱 사고가 난 그 부분만 ad hoc으로 대응하고 끝나지 않을까요.
23/01/10 14:45
수정 아이콘
(수정됨) 에고 제가 이쪽분야는 잘 몰라서 제가 멋도 모르고 글을 쓴 게 아닌가 싶네요
다음번은 선생님이 올려주실거라 믿습니다(떠넘기는건 아니에요!)
Regentag
23/01/10 15:15
수정 아이콘
앗 아니에요. 저도 관심[만] 있지 잘은 모릅니다.
글 올려주셔서 감사해요.
초현실
23/01/10 10:50
수정 아이콘
보안 사고는 기업이 피해자라고 해도 온정적인 시선으로 보면 안될것 같네여. 뭐 발전을 안하네
CastorPollux
23/01/10 11:01
수정 아이콘
불편한데 보안도 약함...............
23/01/10 12:36
수정 아이콘
이거 말나온지가 벌써 몇년째고 정권도 바뀌고 해도 근본적인 변화가 없죠.
정치인들이 다들 뭐라도 받아먹고 있는건지
엑스밴드
23/01/10 12:49
수정 아이콘
이거는 뭐 예전 한 10년 전에도 나오던 얘기라 항상 결론은 보안 관련 법 개정이 필요하다는 거였죠.
크롬에서 실행되는 앱하고 .exe 파일 다운로드 받을때 웃음이었는데.
페스티
23/01/10 12:51
수정 아이콘
보거스!
23/01/10 12:52
수정 아이콘
술상무들 오늘부터 다시 뛰어야...
DownTeamisDown
23/01/10 17:16
수정 아이콘
이게 문제가 국회도 국회인데 공무원 조직도 안움직이는 건이라서...
제랄드
23/01/11 12:35
수정 아이콘
인터넷뱅킹은 굳이 설명이 필요 없을 것 같고, 공공기관, 정부기관, 공기업 상대로 거래하는 자영업자들은 정말 지옥이죠.
일부 정부기관은 결제 받으려면 자체 결제시스템을 통해서만 가능한 곳이 있는데 로그인 할 때 한 번, 뭔가 입력할 때 키보드 보안 관련 한 번, 수수료 낼 때 한 번씩 뭔가 깔아야 됩니다. 자체 결제 시스템이 아닌 경우 보통 나라빌이라는 걸 사용하는데 이것도 뭔가 깔아야 되죠. 그리고 종종 업데이트(...)를 합니다.
최악은 조달청 시스템인 나라장터인데 이건 정말이지 구식 시스템의 끝판왕입니다. 접속해 보시면 아시겠지만 아, 이거 쉽지 않겠구나 라는 느낌이 들 정도로 예전 인터페이스인데다가 일반 금융인증서(나 예전 공인인증서)는 사용 불가하고, 범용 인증서라는 걸 사용해야 되는데 1년에 10만원(!)이고 3년에 21만원 정도 합니다. 가입하면 커피 쿠폰 줍니다(...)
문제는 접속할 때마다 뭔가 깔아야 됩니다. 어제 깔았는데 오늘 다시 들어갈 때도 예전꺼 지우고 다시 깔아야 되요;
23/01/11 22:14
수정 아이콘
부모님께서 자영업하시는데 고향 내려갈 떄 마다 제가 컴퓨터 관리를 합니다
조달청 나라장터는 진짜 답이 없습니다...
이거 때문에 5600g 사무용컴 제가 맞춘거 2대 중 한 대가 말씀하신 재설치 증상 걸려서 윈도우 재설치했고
한 대 또한 접속 직후 원인 불명의 윈도우 망가지는 증상으로 재설치 했습니다.

근데 조달청이 독보적 개판이라 그렇지 다른 공공기관 역시 진짜 개판이더군요
차라리 개인, 기업뱅킹은 양호한 수준
손꾸랔
23/01/11 23:42
수정 아이콘
이거뭐 오프라인으로 대체할 수도 없고 참
Regentag
23/01/17 12:13
수정 아이콘
TouchEn nxKey의 공개된 취약점에 대한 상세내용이 한국어로 번역되어 추가합니다.
https://github.com/alanleedev/KoreaSecurityApps/blob/main/01_touchen_nxkey.md
딸기거품
23/04/01 15:37
수정 아이콘
오늘 바로 여기서 본 스크린샷을 뉴스에서 다시 보게 되었네요

https://youtu.be/b0g5_D7LHbI
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
97676 [일반] 넷플릭스/웨이브에 올라온 작년 개봉작 [45] 빵pro점쟁이16759 23/01/12 16759 8
97675 [일반] 라오스 호스텔 알바 해보기 [24] reefer madness14591 23/01/12 14591 29
97674 [일반] 헬스하는 즐거움 [40] LuckyPop11932 23/01/11 11932 15
97673 [정치] 尹 "전술핵 배치, 자체 핵개발 가능… 1000배 때리는 대량응징보복 중요" [293] 크레토스21212 23/01/11 21212 0
97671 [일반] (스포) 슬램덩크 더 퍼스트 후기 [55] 국수말은나라11325 23/01/11 11325 1
97670 [일반] 1회용 인공눈물 사용시 미세 플라스틱 주의하세요 [33] 부리뿌리16230 23/01/11 16230 5
97669 [일반] 스타트업에서 배운 것 (2) 잘못된 습관 고치기 [13] 시라노 번스타인11930 23/01/11 11930 19
97668 [일반] 더본코리아 백종원 대표가 진행중인 흥미로운 기획 [64] 껌정20152 23/01/10 20152 4
97667 [일반] 동네 바보형 바보누나들을 기억하시나요? [52] 호모스툴투스19216 23/01/10 19216 22
97666 [일반] [와글와글] 한 벌에 100만 원 넘는 교복 논란 [106] 로즈마리17767 23/01/10 17767 2
97665 [정치] '성남FC 의혹' 이재명 검찰 출석…"'답정기소' 당당히 맞설 것" [407] 덴드로븀26792 23/01/10 26792 0
97664 [일반] 더 퍼스트 슬램덩크 감상 (슬램덩크, 터치 스포일러 있음) [40] 수퍼카9834 23/01/10 9834 4
97663 [일반] TouchEn nxKey 취약점 공개 [38] 졸업17781 23/01/10 17781 24
97662 [일반] 애플 생태계의 풀떼기가 되어야 하나 [50] 어느새아재15933 23/01/09 15933 7
97661 [일반] PGR은 진영중립적 도편추방제를 사용하고 있다. [118] kien.19389 23/01/09 19389 12
97660 [일반] 강백호 vs 정대만, 산왕전의 활약상. [206] 아이n17184 23/01/09 17184 8
97659 [일반] 인천 강화군 서쪽 25km 해역 규모 3.7 지진 발생 [58] 손금불산입18350 23/01/09 18350 0
97658 [일반] 건알못의 수성의 마녀 시즌1 소감 (강스포) [45] 피죤투12145 23/01/09 12145 1
97657 [일반] 『더 퍼스트 슬램덩크』 소감(스포일러 주의) [33] 라울리스타12681 23/01/08 12681 11
97656 [일반] 더 퍼스트 슬램덩크 조금 아쉽게 본 감상 (슬램덩크, H2, 러프 스포유) [30] Daniel Plainview12267 23/01/08 12267 27
97655 [일반] 요즘 본 영화 감상(스포) 그때가언제라도7320 23/01/08 7320 2
97654 [일반] <더 퍼스트 슬램덩크> - 원작에 의지하거나, 의존하거나.(약스포) [84] aDayInTheLife13900 23/01/08 13900 6
97653 [일반] 뉴욕타임스 읽는 법 도와주세요(영자신문을 선택한 이유 추가) [49] 오후2시46998 23/01/07 46998 5
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로