3 단계만으로 거래 시작

마지막 업데이트: 2022년 6월 5일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
제어기로 신호를 보내는 무선 통신장치와 도시 통제실로부터 명령을 받아 신호등 불빛을 조절하는 제어기 등, 교차로는 각종 센서, 제어기, 그리고 네트워크 디바이스 장치의 융합이다. -출처 : Green Lights Forever: Analyzing the Security of Traffic Infrastructure

취업성공패키지 3단계 매달 30만 원 최대 3개월 지급

고용노동부는 올해 추가경정예산이 지난 22일 국회를 통과함에 따라 취업성공패키지에 참여 중인 청년들에 대한 구직활동수당 지원을 시작한다고 밝혔다. 취업성공패키지에 참여하는 청년층을 대상으로 한다.

이번 청년 구직활동수당의 신청은 22일 기준, 취업성공패키지에 참여 중인 만 34세 이하의 청년부터 가능하다. 매월 30만원, 최대 3개월 간 지급하고 구직활동계획 이행 이후에 지급한다. 다만, 고등학교 3학년의 경우 매월 20만원(최대 3개월)을 지원한다.

고용노동부에 따르면 참여자가 구직활동수당을 지원받기 위해서는 월별 구직활동 계획서와 이행결과 3 단계만으로 거래 시작 보고서를 제출해야 한다.

청년 구직활동수당이 취업성과로 연결될 수 있도록 청년층이 자기 주도적인 구직활동 계획서를 기본적으로 작성하되, 수당지급에 대한 구직활동의무를 부과할 계획이다. 2018년부터는 이러한 구직활동 의무를 보다 강하게 부과해 3 단계만으로 거래 시작 내실있는 구직활동을 유도할 예정이다.

정부 재정의 형평성 있는 활용을 위해 자치단체 유사사업 지원을 받는 기간 동안에는 중앙정부 지원을 중복해 받을 수 없다. 구직활동수당의 지원을 받고자 하는 청년은 취업성공패키지의 수당 또는 자치단체 사업 중 1개를 선택해야 한다.

수당의 중복수급 사실을 신고하지 않고 추후 중복수급 사실이 확인될 경우, 이미 지급한 취업성공패키지 3단계 구직활동수당은 부정수급으로 환수할 예정이다.

고용노동부 문기섭 고용정책실장은 “이번에 신설되는 3단계 구직활동수당을 통해 청년들이 경제적 걱정을 조금이나마 덜면서, 구직활동에 몰입할 수 있기 바란다”며 “취업성공패키지 구직활동수당이 청년층에 보다 실질적으로 경제적 지원이 되는 가운데, 자기주도적 구직활동이 취업성과 제고로 연결될 수 있도록 제도를 발전시켜 나가겠다”고 밝혔다.

이튼의 ‘ePDU G3 플랫폼’ 모습.

글로벌 전력관리기업 이튼 일렉트리컬 코리아(사장 박평원)는 전력관리의 정확성과 효율성이 향상된 ‘ePDU G3(3세대) 플랫폼’을 출시한다고 11월 27일 밝혔다.

‘ePDU G3 플랫폼’은 데이터 센터, 각종 IT 장비용으로 ‘ePDU G3 관리형 모델’을 통해 정밀한 전력 모니터링이 가능하고, 콘센트 연결만으로 전력 통제가 가능한 것이 특징이다.

특히 ‘스위치형 랙 PDU’와 ‘콘센트 미터링’의 장점이 결합돼 고급 전력 관리가 가능한 것도 장점이다.

이 제품은 또 데이터 센터·IT시설의 효율적인 전력 사용을 위해 모든 콘센트에서 정확하게 전력을 모니터링할 수 있도록 설계됐다.

하루 중 서로 다른 시간대에 특정 서버들을 정지시켜 전력 소비를 감소시킬 수 있으며, 콘센트 연결만으로 3단계의 전력 사용 효율성(PUE)을 정확히 계산할 수 있는 기능도 적용됐다.

이와 함께 ‘ePDU G3 관리형 모델’과 ‘ePDU G3 미터 입력 모델’은 ‘핫 스왑 네트워크 미터 모듈’을 제공, 고장 시 사용자가 서버를 정지할 필요 없이 모듈을 교체할 수 있어 비즈니스 연속성을 유지할 수 있는 것도 특징이다.

아울러 모든 모델의 네트워크 연결이 가능하며, 사용자가 ‘VM웨어’, ‘시트릭스’ 등의 가상화 시스템을 통해 3 단계만으로 거래 시작 복수호기를 동시에 모니터링 할수 있는 통합 전력 관리 플랫폼을 제공한다.

이 밖에도 ‘콘센트 그립 기능’을 장착, 충돌이나 진동에 의한 플러그 빠짐 현상도 해결됐다.

박평원 이튼 일렉트리컬 코리아 사장은 “’ePDU G3 플랫폼’은 데이터 센터의 정밀한 전력 소비 모니터링을 통해 에너지 비용을 낮춰 비즈니스 가치를 높이도록 설계됐다”며 “다른 IT·네트워킹 인프라와 완벽하게 통합할 수 있어 에너지 3 단계만으로 거래 시작 효율성·안정성을 향상시키는 고급 전력 관리에 필요한 자원을 제공할 것”이라고 전했다.

3 단계만으로 거래 시작

▲ '제16회 블록체인 TechBiz 컨퍼런스'에 참석해 발표를 진행 중인 김종협 아이콘루프 대표

[팍스넷뉴스 김가영 기자] 앞으로는 기존에 은행에 직접 들러 처리해야했던 각종 업무를 비대면으로도 할 수 있게 된다.

국내 블록체인 기술기업 아이콘루프의 김종협 대표는 9일 강남 코엑스에서 열린 '제16회 블록체인 TechBiz 컨퍼런스'에 참석해 빠르면 이달 내로 '마이아이디(My ID)' 서비스를 시작한다고 밝혔다.

마이아이디는 개인정보를 사용자 단말기에 저장하고 인증 시 필요한 정보만 골라 제출할 수 있는 블록체인 기반 신원증명(DID, Decentralized Identify) 플랫폼이다. 지난해 6월 금융위원회 혁신금융서비스로 지정돼 금융규제 샌드박스 규제 특례를 적용받았다. 아이콘루프가 자체 개발한 블록체인인 '루프체인' 기반으로 만들어졌으며, 규제 샌드박스를 통해 비대면 신원확인이 가능하도록 규제특례를 받았다.

마이아이디가 출시되면 기존에 휴대폰본인인증, 계좌소유확인, 신분증 확인 등 3단계로 진행되던 실명확인을 마이아이디 한 개만으로 가능하도록 간소화된다. 마이아이디 본인인증을 위해서는 지문만 인식하면 된다. 공인인증서가 필요없을 뿐 아니라 금융거래에 필요했던 각종 증명서를 종이서류 없이 모바일로 전송할 수도 있다. 금융기관이나 기업은 기존에 신원확인을 위해 통신사나 신용회사에 지불하던 비용을 아끼고, 신분증 발급에 따른 수수료 수익을 추구할 수 있다.

마이아이디 서비스는 신한은행을 시작으로 IBK기업은행, NH농협은행 순서로 이용할 수 있게 될 전망이다. 은행 모바일 뱅킹 어플리케이션에서 에서 DID 인증서 발급이 가능해진다.

올해 금융기관에서 먼저 이용을 시작한 이후에는 마이아이디 얼라이언스에 가입된 여러 기업들에서도 순차적으로 활용할 수 있게 된다. 마이아이디 얼라이언스는 마이아이디 서비스를를 중심으로 블록체인 기반 디지털 ID 생태계 구축을 위해 만들어졌다. 마이아이디 얼라이언스에는 3 단계만으로 거래 시작 삼성전자와 포스코, 빗썸, KB생명, 야놀자 등 68개 기업이 참여하고 있다.

김 대표는 "올해 디지털 신원증명 플랫폼 및 인프라를 구축하는데 집중했다면 내년부터는 디지털데이터 수집과 활용에 초점을 맞출 것"이라며 "내년 상반기에는 개인 크레덴셜(정보 시스템에서 개인정보를 암호화하는 암호학적 정보를 통칭하는 말) 데이터 수집과 관리·활용 기반을 구축하고 제3자 크레덴셜 데이터를 수집해 디지털 빅데이터 거래 플랫폼을 구축할 3 단계만으로 거래 시작 계획"이라고 밝혔다.

Hacking in Die Hard 4.0 (2)

dh2_01.jpg

테러 집단에게 이용당한 해커들은 “Delete”키, 또는 킬러에 의해 제거되었습니다.
매튜 패럴은 맥클레인의 도움으로 살아남아 FBI로 연행되어 갑니다.

dh2_02

“1단계 시작”
(톡)

dh2_03.png


(쾅)

테러 집단의 우두머리는 패럴이 살아있다는 말에 잠시 멘붕에 빠지지만 곧 “ 1단계 ”를 지시합니다.
테러 집단 쪽의 해커가 키보드를 몇 번 두드리니, 신호등이 모두 파란색으로 바뀌고 교통 마비가 일어납니다.

정말 영화에서 일어날 법한 일인 것 같지만, 2014년 8월, Michigan 대학 연구진에 의해 발표된 라는 논문을 보면 실제 상황에서도 비슷한 해킹이 가능하다고 합니다.

당국의 허가를 통해 Michigan 주에서 진행된 이 연구에 의하면, 당시 네트워크 교통 시스템에는 세 가지 주요 취약점 이 존재했습니다.

1. 암호화되지 않은 무선 신호 로 인한 네트워크 접근 허용
2. 디폴트 username과 password 사용 으로 인한 네트워크 디바이스의 보안 인증 부재
3. 공격하기 쉬운 디버깅 포트

연구팀은 신호등에 쓰이는 무선 통신 장치와 같은 장비를 구매하여 도시에서 사용하는 것과 같은 통신 프로토콜을 사용할 수 있었습니다.

확인 결과, 네트워크에 접속하는 데에 비밀번호도 걸려있지 않았으며 통신기와 제어기 사이의 통신 또한 전혀 암호화 되어 있지 않았습니다. 또한 이 시스템들에 사용되는 소프트웨어는 교통신호등에 명령을 전달할 수 있는 사용자 권한을 따로 제한해 두고 있지도 않았습니다.

dh2_04.png

제어기로 신호를 보내는 무선 통신장치와 도시 통제실로부터 명령을 받아 신호등 불빛을 조절하는 제어기 등, 교차로는 각종 센서, 제어기, 그리고 네트워크 3 단계만으로 거래 시작 디바이스 장치의 융합이다.

-출처 : Green Lights Forever: Analyzing the Security of Traffic Infrastructure

네트워크에 접근한다면 누구나 신호등을 조작할 수 있는 구조입니다.

새롭거나 특별한 취약점이 아닌 너무나 간단하고 어찌보면 허탈한 취약점인데요, 보안 의식의 부재 로 인한 취약점입니다.

공공시설이고 큰 사고로 이어질 수 있는 만큼 보안적인 관점에서 시스템을 다시 바라보고 연구하는 노력이 필요할 것 같습니다.

이 밖에도 신호등이나 교통제어 시스템을 해킹한 사례 들은 몇몇 찾아볼 수 있습니다.

외국의 사례들이긴 하지만 사람들이 항상 믿고 사용하는 사회기반 시설이 이렇게 취약했다니 충격적이기도 합니다.
취약점을 보완하고 안전 기능을 갖추려면 적지 않은 시간과 노력이 필요하지만 모든 거리의 신호등에 초록색 불이 들어올 상황을 생각하면 투자가 필요한 일인 것 같습니다.

dh2_05.jpgdh2_06.jpgdh2_07.jpg

잠시후, “ 2단계 ”가 지시되자 모든 주가가 폭락하기 시작하고 사람들은 혼란에 빠집니다.

개인 투자자의 주식 거래는 대부분 PC를 활용한 홈 트레이딩 시스템(HTS) 과 스마트폰 등을 이용한 모바일 트레이딩 시스템(MTS) 을 통해 이루어집니다. HTS는 투자자가 증권회사에 가거나 전화를 이용하지 않고 가정이나 직장에서 컴퓨터를 이용해 주식 매매 주문을 할 수 있는 시스템이고 MTS는 모바일을 이용한 주식 매매 시스템을 의미합니다.

dh2_08.png

데이터 출처 : 한국거래소

2010년 이전까지만 해도 HTS가 거의 전부였지만 스마트폰이 일반화되면서 MTS 거래 비중이 늘어나고 있는데요 (위 표를 참고하면 5년 사이에 점유율이 3배 뛰었습니다), 하루 평균 수 조원에 달하는 거래 규모 가 형성되고 있지만.. 보안대책 은 어떨까요?

주식 매매는 빠른 거래가 생명 이기 때문에 전자서명 및 데이터 암호화 등의 보 안장치를 사용하기 어려운 주식 매매 시스템 은 취약성이 존재할 수밖에 없습니다.

또한, 4000만명에 이르는 광범위한 사용자, 취약한 보안, 개인 정보의 집합소. 대다수의 사람은 결제 정보를 포함한 모든 개인 정보를 스마트폰에 담아두지만 보안시스템이 이것을 감당할 수 있을 만큼 강하지 않은 경우도 있습니다.

HTS와 MTS 프로그램, 또는 모바일의 취약성을 이용하여 다른 사람의 주식 거래 내역을 열람하거나 매수 및 매도하고, 주가 그래프를 조작하는 등의 행위 3 단계만으로 거래 시작 가 가능합니다.

온라인 주식투자 계정 해킹…억대수익 올린 펀드매니저 검거

2010년, 공인인증서 없이 계정 접속만으로 거래 내역을 확인할 수 있는 점과 한 계정에 대해 서로 다른 컴퓨터에서 동시접속이 가능한 점을 이용하여 전문가의 계정을 해킹하고 투자 패턴을 모방하여 부당한 이득을 취한 사건입니다.

[데일리시큐 TV] 주식거래시스템 취약점 해킹시연 영상

2014년, HTS 메모리 해킹을 통해 계좌번호만으로 다른 사람의 주식을 사고 팔 수 있다는 것을 보여주는 해킹시연 영상입니다.

스마트폰 주식계좌 ‘해킹 비상’

2013년, 모바일 주식투자자의 주식을 매도하고 매도한 대금을 담보로 대출을 받아 대포통장으로 이체를 시도한 사건입니다. MTS에 대해 처음으로 포착된 해킹 범죄입니다.

dh2_09.jpg


“저건 허가 받지 않은 방송인데”

갑자기 모든 TV에 이상한 메시지를 담고 있는 동영상이 재생 되었습니다.

해적방송.png

위키백과 검색결과 : 해적 방송

이렇게 허가 받지 않은 방송해적방송 이라고 하는데요, 요즘 많이 쓰는 스마트 TV가 생각나네요!

스마트 TV 해킹 을 통해 해적방송이 가능하며, 그밖에도 여러가지 위협이 존재합니다. 여기서는 스마트 TV를 어떻게 해킹하고 해적방송 이외에 어떤 위협이 존재하고 있는지 좀 더 알아보도록 하겠습니다.

dh2_10.png

dh2_11.png

데이터 출처 : OFCOM, 2014.12

스마트 TV는 방송 수신 뿐만 아니라 각종 앱을 설치해 웹 서핑 및 VOD 시청, 소셜 네트워크 서비스, 게임 등이 가능한 다기능 TV 입니다.

국가별로 차이가 있지만 많은 가구가 스마트 TV를 사용하고 있고, 아날로그에서 디지털 TV로의 전환이 계속해서 일어나고 있으며, 스마트 TV의 보급률 또한 자연스럽게 증가하게 됩니다.
스마트 TV는 아직까지는 스마트폰에 비해 보급율이나 성능이 낮지만 확산이 이루어지고 있기 때문에, 보안 위협으로부터 안심하기 어렵습니다.=

2013년에 Black Hat에서 발표된 라는 자료를 참고해보겠습니다.

앱의 취약점으로는 앱 인스톨러가 XML을 파싱할 때 ‘`’를 필터링하지 않는 문제, strcat()함수에서 widget_id 값을 다룰 때 발생하는 stack overflow 문제, 문자열 및 데이터를 잘못다루어 생기는 메모리 커럽션 문제 등이 있는데 여기에는 API의 문제뿐만 아니라 ‘root’권한으로 동작된다는 문제 가 있습니다. 스마트 TV의 모든 앱이 root 권한으로 동작하기 때문에 어떤 API 하나의 버그만으로 루트쉘 획득이 가능하다고 합니다.

공격 벡터 로는 다음의 것들이 있습니다.

1. SNS Client (ex. facebook)
2. 웹 브라우저 (옛날 버전 사용)
3. 네트워크 데몬
4. MITM
5. 물리적 접촉

TV를 공격해서 무엇을 할 수 있을까요?

1. 해적방송
2. 키로깅
3. TV 스크린샷 캡쳐
4. 네트워크 트래픽 스니핑
5. 금융 정보 훔치기
6. 도청 및 몰카 (내장된 카메라와 마이크 센서)

영화에서는 해적방송을 통해 대중에게 불안감 을 심어줬는데요, 6번 도청 및 몰카 에 주목 해 봅시다.

스마트폰 몰카의 경우는 주머니나 책상에 놓여있고 빠른 모션 탓에 쓸만한 사진을 찍을 확률이 극히 낮습니다. 또한 전력 문제로 감시 프로그램이 오래 동작하지 못합니다. 그에 비해 스마트 TV는 24시간 전력이 공급되고, 움직이지도 않으면서 사생활을 정면에서 볼 수 있습니다. 그리고 피해 대상은 스마트 TV를 사용하는 구성원 모두가 될 수 있습니다.

편리해진 세상이지만 그만큼 해킹 되었을 때의 파급력은 더 커져가네요. 스마트 홈이 발전하고 있는 만큼, 그에 대한 보안에도 신경을 써야 할 때인 것 같습니다.

dh2_12.jpg


“이런 세상에, 파이어 세일이예요.”

해적 방송을 본 매튜 패럴은 “ 파이어 세일 ”을 언급합니다.

파이어 세일(Fire Sale)은 국가 전체 구조에 대한 체계화된 3단계 공격으로, 국가기반시설에 대한 사이버 테러를 의미합니다.

파이어 세일 3단계
1 단계) 모든 교통 시설 마비
2 단계) 재정과 통신 마비
3 단계) 가스, 3 단계만으로 거래 시작 수도, 전기, 원자력 등 모든 공공시설 제거

이 영화는 파이어 세일의 3단계를 따라 해킹이 전개 되고 있습니다.

파이어 세일이 실제 가능하다/가능하지 않다에 대한 전문가들의 의견은 분분하지만 크고 작은 사이버 테러에 대한 대비와 사이버 안전에 관심을 가져야 하는 것은 분명 합니다!

육군본부와 한국인터넷진흥원에서는 대학생을 대상으로 사이버전쟁에 대한 주의를 환기시키고 참신한 아이디어를 발굴하고자 시나리오 공모전을 개최하기도 했습니다.

어쨌건 FBI는 매튜 패럴이 이 사건과 관련된 중요 인물임을 알고, 맥 클레인에게 국토안전부까지 그를 호위할 것을 명령합니다. 테러 집단은 패럴이 살아있음을 눈치채고 이를 추격하는데요, 패럴과 맥클레인은 테러 집단과 총격전을 벌이며 도망치고 골목길에서 한 숨을 돌립니다.

dh2_13.jpgdh2_14.jpg

“만약 이것이 시작에 불과하다면. ”
“만약 당신이 다치고 혼자 남았을 때 911로 전화해도 아무도 받지 않는다면. ”
“만약 도와줄 사람이 오지 못한다면?”
(와장창)

모든 채널에서, 백악관의 모습과 함께 무시무시한 자막들이 나오더니 곧이어 백악관이 처참히 폭발합니다. 실제 백악관은 멀쩡하지만 사람들에게 혼란을 주기 위한 해적방송 이었습니다.

패럴은 테러 집단의 다음 공격 대상이 공공시설이 될 것을 예측하고, 폐쇄회로로 운영되기 때문에 물리적 접근이 필요한 공공시설물의 특징을 떠올려 동부 전력 기지로 향합니다.

dh2_15.jpg


“누군가 왔다”
(어리둥절)

국가 기반 시설을 해킹 한다.. 완전히 낯선 얘기는 아닌 것 같습니다.

2014년 12월, 한국수력원자력의 정보유출 사고 가 있었는데요. 이 사건을 계기로 산업제어시스템(ICS, Industrial Control System)과 스카다(SCADA, Supervisory Control And Data Acquisition) 시스템 등 폐쇄망 보안 에 대한 기관들의 관심이 높아졌습니다.

스카다 시스템은 산업 제어 시스템을 감시하고 제어하는 컴퓨터 시스템을 말합니다.
국내 원자력발전소를 비롯한 전력 생산 발전소 및 전력관리 시스템, 교통통제 시스템, 반도체 제조공정, 자동차 생산라인 등 사회 기반시설과 대형 제조라인에 주로 사용되는 산업용 제어 시스템이 바로 스카다 시스템입니다.

dh2_16.jpg

출처 : 한수원 블로그

몇 년 전까지만 해도 사람들은 스카다 시스템이 폐쇄망 환경에서 운영되기 때문에 보안에 있어서 안전하다고 생각 했습니다.

폐쇄망은 외부와 차단되어 있지만 내부 시스템 업데이트, 내부망의 자료를 외부로 보내는 등의 일을 하기 위해선 인터넷망에 3 단계만으로 거래 시작 연결하거나 USB등을 사용해야 합니다.
이 과정에서 내부망으로 접근할 수 있는 통로가 마련 되기 때문에 완전한 폐쇄망은 거의 없다 고 합니다.
내부망과 연결할 수 있는 외부망의 PC나 저장매체를 악성코드로 감염시킨다면 내부망을 해킹할 수 있겠죠?

실제로 해킹 사례로 확인할 수 있습니다.

– 내부에 의한 감염 사례
2010년, 이란 부셰르 원전 중단
“stuxnet”이라는 악성코드가 내부 직원의 USB를 통해 내부로 침투했다.
이 악성코드에 의해 부셰르 원자력발전소는 수 개월간 가동을 중지할 수밖에 없었고, 나탄즈 우라늄 농축시설의 핵개발용 원심분리기 1000여대가 오작동으로 파괴되었다.
※ stuxnet : 스카다 시스템을 공격한 뒤 임의로 제어하게 하는 악성코드

2014년, 일본 몬주 원전 자료 유출
직원이 동영상 재생 프로그램을 업데이트 하던 도중 PC가 악성코드에 감염되었다.
악성코드에 감염된 PC에서는 5일 동안 30회 이상의 외부 접속을 수행하며 훈련 기록, 내부 보고서와 메일, 직원 개인정보 등 42,000개 이상의 자료가 유출된 것으로 알려졌다.

– 스피어 피싱 사례
2014년, 한국수력원자력 해킹 사건
해커는 퇴사한 직원의 메일 계정을 이용하여 업무와 관련있는 내용으로 위장한 스피어피싱을 보냈다.
메일에 첨부된 한글 파일에는 악성코드 300여종이 담겨있었고, 한수원 내부 직원의 PC를 감염시켰다.
이 악성코드로 인해 업무용 컴퓨터 4대의 하드디스크가 파괴되었다.

2015년, 우크라이나 정전 사태
세계 최초 멀웨어를 이용한 정전.
전력기관의 직원들이 악성 매크로가 포함된 MS Office 문서 파일을 열어서 “BlackEnergy3″라는 악성코드에 감염되었다.
이 악성코드는 우크라이나의 이바노프란키우시크 지역에 정전을 일으켰다.
※ [참고]BlackEnergy3 에 관한 기사

사례들을 살펴보면 대부분 내부자의 부주의 로 인해 악성코드에 감염되었습니다.
산업제어시스템이 해킹되었을 때의 피해는 일반 PC 해킹에 비해 광범위한데요, 수 많은 사람들의 인명피해로 이어질 수 있고, 국가 경제에도 큰 타격을 입힐 수 있습니다.
따라서 보안 기능을 갖춘 USB를 사용하고, 검증되지 않은 프로그램은 실행하지 못하도록 보안 설정을 하는 등 보안에 대한 주의와 노력이 필요할 것 같습니다.

많은 해커들이 스카다 시스템에 관심을 갖고 연구하고 있는데, 마지막으로 몇 가지 연구들을 소개하겠습니다.

  • Only True Love Can Thaw Frozen SCADA Systems (2014 POC)

KISA의 협조를 받아 실제 구축되어 있는 스카다 시스템과 동일한 환경을 구축하여 진행한 프로젝트입니다. 관련 홈페이지 및 소프트웨어의 취약점을 이용하여 내부망으로 접근하는 방법과 스카다 시스템 제어에 사용되는 HMI(Human Machcine Interface, 제어 및 측정 시스템을 시각화하고 통신하기 위한 프로그램) 프로그램의 문제점 등을 다뤘습니다.
Shodan 검색을 통해 제어망이 인터넷에 연결된 사례가 많다는 것도 알 수 있어 충격적이었습니다.

  • SAP Cybersecurity for Oil and Gas (2015 blackhat)

석유 및 가스 시설에 대한 SAP 사이버 보안에 대한 내용입니다.
이 연구는 석유 및 가스 시설에 대한 과거의 사고, 석유 및 가스 시설의 동작 과정과 중요 프로세스, 석유 및 가스 시설의 SAP 분석 및 공격 벡터에 대해 다루고 있습니다.

※ ERP?
Enterprise Resource Planning. 전사적 자원관리.
기업 전반의 업무 프로세스들을 통합적으로 관리해주는 시스템.
※ SAP?
Systems, Applications, and Products in Data Processing.
세계적으로 클라이언트/서버 비지니스 애플리케이션 솔루션을 주도하는 독일 기업.

해커연합 HARU 소속의 분들이 SCADA 취약점 사례와 분석방법에 대해 발표해주셨습니다.
취약점을 분석하는 방법과 관련 CVE, 직접 발견한 취약점 목록, 그리고 시연에 관한 내용입니다.
알지 못하는 프로토콜에 대해 직접 분석해가는 과정이 인상적이었습니다.

  • Construction of simple but robust covert channels to bridge air-gapped systems (2015 SecuInside)

고려대 정보보호학과 석사과정 학생들이 시연한 음성 신호를 이용한 폐쇄망 해킹입니다.
컴퓨터 내의 파일 전송에서 디지털 신호를 음성신호로 바꾸어 전송하고 다시 변조시키는 원리입니다.
내부망에서 외부망으로 신호를 보내면 내부망에서 작성된 3 단계만으로 거래 시작 문서가 외부망으로 전달되고, 외부망에서 명령을 전송하면 내부망에서 스피커를 통해 시그널을 받아 명령이 수행됩니다.
다른 연구들과 달리 네트워크 연결이 전혀 필요 없다는 점이 인상적입니다.

dh2_17.jpg


“토마스 가브리엘이로군”

우여곡절 끝에 테러집단의 정체가 밝혀지는데요, 테러집단의 우두머리인 토마스 가브리엘은 국방부의 수석 보안 프로그래머 출신입니다. 시스템의 취약성을 주장했지만 아무도 들어주지 않았고, 이를 공개하려 하자 응징을 당합니다. 명성이 바닥에 떨어진 가브리엘은 모습을 감추게 되었습니다.

복수심을 품은 가브리엘은 그가 우드런에 만들었던 보안시설물(네트워크가 공격 받는 순간 모든 금융 정보를 자동으로 서버에 백업됨)을 이용하여 금융 정보를 한 번에 수집하여 큰 돈을 얻기 위해 파이어 세일을 일으킨 것이었습니다.

“보안의 취약성을 알려줬지만 듣지 않았다”

흔하지 않은 일은 아닌 것 같습니다. (물론 토마스 가브리엘의 대응(?)은 범죄입니다!)

취약점을 제보했더니 불쾌해하며 화를 내는 경우, 취약점이 아니라며 무시하는 경우 등의 사례 는 많이 접해볼 수 있고 주변의 해커들에게 물어봐도 경험담을 쉽게 들을 수 있을 것입니다.

담당자의 무지나 관리자의 편의를 위해 보안을 방치하고 있는건 아닌가 하는 생각이 듭니다.
작은 실수와 순간의 방심만으로도 발생할 수 있으며 어떠한 위험으로 번질지 모르는 해킹 사고에 대비하기 위해 개발자와 관리자의 보안 의식은 필수입니다.
아무리 훌륭한 보안 시스템도 그것을 다루는 사람의 보안 의식이 충분하지 않다면 악성코드는 사람의 실수를 통해 전파될 것입니다.

이번 편에서 3 단계만으로 거래 시작 알아본 해킹 사례나, 요즘 떠들썩한 해킹 사고들을 다시 살펴보면 특별한 취약점도 있지만, 보안 의식의 부재로 인한 취약점도 많이 있는 것 같습니다.

자신의 직업에 사명감을 갖지 않는 보안 전문가, 어떠한 취약점이 있는지조차 알려고 하지 않는 기업.
보안 전문가로서 우리는 어떤 태도를 가져야 하는지 한 번씩 생각해봅시다:D

dh2_18.jpg


어쨌든 여차저차 영화는 해피엔딩!


0 개 댓글

답장을 남겨주세요