PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/13 16:56:09
Name Regentag
Subject [일반] TouchEn nxKey 취약점 공개에 대한 개발사의 입장 (수정됨)
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://pgrer.net/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://pgrer.net/freedom/97663


보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)
이후 가장 먼저 라온시큐어사의 키보드 보안 소프트웨어인 TouchEn nxKey의 취약점을 공개하였죠. (관련 글 2. 참조)

이에 대하여 라온시큐어의 입장이 기사로 나왔습니다.
[‘취약점’ 저격 당한 국내 보안업계 반박 “국내 환경 이해 부족”]
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

라온시큐어의 입장을 요약하자면 다음과 같은 내용입니다:
• 지난해 KISA로부터 전달받은 내용을 바탕으로 해당 취약점을 보완하는 패치를 개발 완료했다. 하지만 이용사 일정에 맞춰 적용해야 해서 아직 배포하지 못했다
• 이번 건은 (블라디미르 팔란트가) 국내 보안 시장 환경자체를 충분히 이해하지 못했다고 본다

패치 개발은 완료하였으나 아직 배포가 되지 않았다고 하네요. 이번에 지적된 취약점 중 일부는 원격코드실행이 가능한 취약점이고 아직 패치되지 않은 제로데이 취약점이니 패치가 배포되기 전까지는 사용에 주의하시는게 좋겠습니다.

Ps. 기사에는 안랩측의 언급도 있습니다.
안랩 관계자에 따르면 “지난해부터 올해 1월 11일까지 확인 결과 해당 블로거로부터 제보를 받은 적이 없다”며 “해당 블로거가 기관에 신고한 것으로 보이나 안랩은 유관기관으로부터 금융보안 솔루션 내용으로 취약점 패치 권고와 같은 안내메일을 받은 적이 없다.”라고 합니다.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
김재규열사
23/01/13 16:59
수정 아이콘
취약점이 있긴 있다는 말로 들리네요
Regentag
23/01/13 17:12
수정 아이콘
네. 취약점은 존재합니다. 이건 부인할 수 없는 사실이지요.
취약점을 kisa통해 인지하고도 아직까지도 패치를 배포하지 못했다는건 많이 아쉬운 지점이네요.
及時雨
23/01/13 17:01
수정 아이콘
패치가 아직 안됐으면 취약점을 지금 바로 사용하세요 이런 얘기 아닌가요
Regentag
23/01/13 17:13
수정 아이콘
[제로데이 취약점]이 바로 그 의미입니다. 취약점은 있는데 아직 패치가 되지 않아 곧바로 이용 가능한 취약점이죠.
전자수도승
23/01/13 17:05
수정 아이콘
"한국식"
BlazePsyki
23/01/13 17:06
수정 아이콘
건축 양식 운운하는데서 웃고 갑니다
덴드로븀
23/01/13 17:08
수정 아이콘
그는 “키보드 보안은 호환성이나 시스템 레벨 접근과 같은 권한이 필요한 특이상황으로 C언어를 사용할 이유가 있다”며
“개발사가 환경이나 특성에 맞게 언어를 선택해 개발하고 있고, C++이 C보다 더 좋다고 해서 무조건 변경해야 하는 것은 아니다”라고 말했다.
[건축 양식이 각 나라 환경에 맞게 발전하듯 보안 프로그램도 한국 상황에 맞게 만들어지고 있다는 설명]이다.

아아....그런줄도 모르고...(왈칵)
23/01/13 17:13
수정 아이콘
와 이건 진짜 미친놈들이세요라는 소리밖에...
Regentag
23/01/13 17:18
수정 아이콘
이 부분은… 팔란트가 지적한 내용을 전혀 다르게 이해했거나, 아니면 일부러 말을 돌리는 것 같기도 합니다.
팔란트의 지적은 “C를 쓰는게 잘못이다”가 아니라 “C는 주의깊게 사용해야 하는데 너네 개발자는 잘 못하는것 같아”였거든요.

====
C의 메모리 관리에 대한 수동 접근 방식은 버퍼 오버플로와 같은 악용할 수 있는 메모리 안전 문제의 일반적인 원인입니다. C에서 이를 피하려면 대단히 주의해야 합니다. 이로 인한 버그는 제 조사의 초점이 아니었지만 이런 애플리케이션들은 [이들의 개발자가 메모리 안전 문제를 피하는데 경험이 많음을 보이지 못했습니다.]
https://www.woojinkim.org/wiki/spaces/me/pages/733085820/South+Korea+s+online+security+dead+end
오후2시
23/01/13 17:08
수정 아이콘
와... 외국 사람들은 한국 인터넷에 접속 못하는 줄 알겠어요
CastorPollux
23/01/13 17:10
수정 아이콘
건축 양식........................
제로콜라
23/01/13 17:13
수정 아이콘
혓바닥이 왜 이렇게 길어?
23/01/13 17:14
수정 아이콘
해커가 무슨 '허허 이건 인류의 소중한 문화 양식이니 파괴하지 말고 보존하도록 하지. 이 나라만의 건축 양식이니까.' 이러나요? 환경 보호가인줄...
23/01/13 17:14
수정 아이콘
일부러 업데이트 하지 않고 구버전 쓰는 고객사도 많아서, 따로따로 전용 빌드 만들어줘야 될 수도 있어요. 개발자의 고통...
인간흑인대머리남캐
23/01/13 17:14
수정 아이콘
예상한 반응이긴한데 건축양식은 신선하군요 크크
레이븐
23/01/13 17:15
수정 아이콘
우리나라 솔루션 제품들이 세계화를 왜 못하는지 알거 같네요
23/01/13 17:16
수정 아이콘
변명을 기름지게 하는 요즘의 유행이 살짝 역하다는 생각이 드네요. 그럼 해외에서의 크래킹이나 부정액세스는 국내환경 맞춰서 들어온답니까?
Jurgen Klopp
23/01/13 17:17
수정 아이콘
저걸 변명이라고 한걸까요? 크크크
나혼자만레벨업
23/01/13 17:17
수정 아이콘
바로 아래글 여신금융협회에서 카드포인트 환급 하려고 하니... 이거 설치하라고 하는군요.
DavidVilla
23/01/13 17:20
수정 아이콘
아무리 다운로드를 눌러도 계속 받다가 멈춰서 포기했습니다.
23/01/13 17:22
수정 아이콘
사람이 몰려서 그런 거 같은데 기다리니 되긴 하더군요.
23/01/13 18:13
수정 아이콘
핸드폰으로도 됩니다!
23/01/13 17:21
수정 아이콘
이번 건은 (블라디미르 팔란트가) 국내 보안 시장 환경자체를 충분히 이해하지 못했다고 본다

-> south Korea는 이렇게 한단 말입니다!!!!!!

아 쪽팔려 진짜...
엔타이어
23/01/13 17:23
수정 아이콘
쪽팔리지도 않나....
manymaster
23/01/13 17:23
수정 아이콘
고객사가 뚫리면 이제는 관행적 쉴드라는 것도 보안사에 책임 떠넘기기도 없을테고 그냥 고객사가 처 얻어맞아야 한다는 소리네요.
고객사가 뭐라고 할지 궁금합니다.
monochrome
23/01/13 17:30
수정 아이콘
무슨... 국내 보안 시장 환경을 충분히 이해하면 취약점이 취약점이 아닌게 되나요?
해커들이 국내 보안 시장 환경을 감안해서 취약점을 익스큐즈해주는 겁니까?
HA클러스터
23/01/13 17:30
수정 아이콘
단순 취약점뿐만이 아니라 전에 지적당했던 한국 보안 소프트들의 개발에 있어서 근본적인 문제점에 대해선 하나도 제대로 대답을 못하면서
개소리만 늘어놓는군요.
23/01/13 17:36
수정 아이콘
[국내 환경 이해 부족]
= 아 한국에서는 그게 중요한게 아니라고오~ 크크크
소독용 에탄올
23/01/13 17:38
수정 아이콘
중요한건 책임소재를 피하는거지 공격당하지 않는게 아니기 때문에....
도라지
23/01/13 17:40
수정 아이콘
한국의 환경이해 부족은 맞죠.
한국은 보안을 위해 보안 프로그램 설치를 하라는게 아니라, 책임을 사용자에게 전가하기 위해 보안 프로그램을 설치하라고 한 것이니까요.
책임만 전가되면 해킹 당하던 말던 알 바 아닐테구요.
톰슨가젤연탄구이
23/01/13 17:54
수정 아이콘
'우리식 보안'
마감은 지키자
23/01/13 18:04
수정 아이콘
아니 뭐 갈라파고스가 무조건 나쁜 건 아닌데, 보안은 아니지...
해커가 한국 사정에 맞춰 주겠냐고...
조미운
23/01/13 18:24
수정 아이콘
크크. 진짜 말도 안되는 변명을 해도 그냥 넘어가는 게 국내 환경이긴 하죠. 이 정도면 차라리 거하게 사고 한번 났으면 좋겠네요.
포도사과
23/01/13 18:41
수정 아이콘
사고가 나면 사용자 탓이라서.....
대통령실
23/01/13 19:28
수정 아이콘
진짜 보안은 알바 아니고 내 돈줄을 건드리지마

뭐 이런 건가
Naked Star
23/01/13 20:21
수정 아이콘
이딴 보안프로그램쓰고 뚫리는 니들 잘못이야~ 라는 뜻
23/01/14 00:28
수정 아이콘
해커들이 한국 환경 사정 봐주면서 털어가기로 정해졌으면 인정
호머심슨
23/01/14 00:38
수정 아이콘
돈이 복사가 된다고?
아케이드
23/01/14 02:06
수정 아이콘
어차피 사고나도 사용자 책임이니까 보안패치 제대로 안해도 상관없다는 거죠 자칭 IT강국의 부끄러운 민낯이네요;;;
raindraw
23/01/14 10:13
수정 아이콘
한국식을 이해못 = [한국에서는 그래도 됌]
23/01/14 10:35
수정 아이콘
[국내환경이해부족 ] =응 우리는 털려도 댐
23/01/14 11:19
수정 아이콘
보안에 취약점은 있으나 취약한게 아니다 크크
비올라
23/01/14 11:54
수정 아이콘
우리나라 보안업체는 사실 눈가리고 아웅이라고 생각합니다.
어느 해외사이트에 이런 거지같은 클라이언트 덕지덕지들이 있나요?
당장 페이팔에도 아무런 소프트웨어 설치없이 신용카드 등록하고 결제하고 다 쓰고 있는데
누가봐도 보안업체와 정부기관단체와 커넥션이 있다고 여겨질 만큼 2020년이 넘어가는 이시대에 참으로 비합리적인 보안프로그램이 넘쳐나죠.
은행 사이트 보면 정말 더러워서 들어가기도 싫어요.
23/01/14 12:22
수정 아이콘
한국식 xxx = 해쳐먹겠습니다
마텐자이트
23/01/14 12:35
수정 아이콘
IT후진국 답네요. 이런 마인드가 세계에 통용될리가 있나요.
앙겔루스 노부스
23/01/15 21:12
수정 아이콘
국내환경이해부족이 아니라 국내환경부족을 이해해주세요 하는거겠지
딸기거품
23/04/01 15:41
수정 아이콘
업데이트가 되었네요
https://youtu.be/b0g5_D7LHbI
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [126] 오호 20/12/30 274863 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [16] empty 19/02/25 341107 10
공지 [일반] [필독] 성인 정보를 포함하는 글에 대한 공지입니다 [51] OrBef 16/05/03 463039 29
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 337249 3
102677 [일반] [방산] 이게 팔릴까 [12] 어강됴리2294 24/11/16 2294 3
102676 [일반] 학교폭력 사안의 처리 절차 [45] 비밀....2979 24/11/16 2979 3
102675 [일반] 100년전 사회과부도 속의 아시아와 아프리카, 그리고 맺음말 [2] 식별1138 24/11/16 1138 5
102674 [정치] 트럼프는 한국에게 방위비 13조를 내야 한다 [71] 번개맞은씨앗8344 24/11/15 8344 0
102673 [일반] 소리로 찾아가는 한자 50. 대 죽(竹)에서 파생된 한자들 [4] 계층방정1763 24/11/15 1763 2
102672 [정치] 상법개정안과 재벌해체 [16] 헤일로3740 24/11/15 3740 0
102671 [일반] 삼성전자, “10조원 자사주 매입”…3조원은 3개월 내 소각 [41] Leeka8024 24/11/15 8024 0
102670 [일반] 간만에 읽어본 책 [한국인의 기원] [10] a-ha2377 24/11/15 2377 9
102669 [일반] 한강 작가의 '작별하지 않는다' 독서 후기 [3] 천연딸기쨈2153 24/11/15 2153 4
102668 [일반] 연세대 논술 시험 무효 가처분이 승인되었습니다. [19] Leeka3459 24/11/15 3459 0
102667 [정치] 이재명 1심 징역 1년에 집행유예 2년 [772] wonang25059 24/11/15 25059 0
102666 [일반] 100년전 사회과부도 속의 미국과 호주 [5] 식별2653 24/11/15 2653 10
102665 [일반] 흑인남성들은 왜 해리스에서 트럼프로 옮겨갔는가 [48] 뭉땡쓰5407 24/11/15 5407 9
102664 [일반] 100년전 겪었던 일들을 그대로 반복하고 있는 미국 [44] 예루리5663 24/11/15 5663 7
102663 [정치] 민주당, 상법 개정안 당론 채택. + 왜 그렇게 반발하는가? [49] 깃털달린뱀5097 24/11/15 5097 0
102662 [정치] 수능 지문에 나온 링크에 정치적 메세지를 삽입한 건 [34] 설탕물9534 24/11/14 9534 0
102661 [일반] 4만전자가 실화가 됐네요 [184] This-Plus11516 24/11/14 11516 4
102660 [정치] 이준석 : "기억이 나지 않는다" [425] 하이퍼나이프20016 24/11/14 20016 0
102659 [일반] 100년 전 사회과부도 속의 유럽을 알아보자 [26] 식별5586 24/11/14 5586 17
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로