PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/13 16:56:09
Name Regentag
Subject [일반] TouchEn nxKey 취약점 공개에 대한 개발사의 입장 (수정됨)
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://cdn.pgr21.com/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://cdn.pgr21.com/freedom/97663


보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)
이후 가장 먼저 라온시큐어사의 키보드 보안 소프트웨어인 TouchEn nxKey의 취약점을 공개하였죠. (관련 글 2. 참조)

이에 대하여 라온시큐어의 입장이 기사로 나왔습니다.
[‘취약점’ 저격 당한 국내 보안업계 반박 “국내 환경 이해 부족”]
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

라온시큐어의 입장을 요약하자면 다음과 같은 내용입니다:
• 지난해 KISA로부터 전달받은 내용을 바탕으로 해당 취약점을 보완하는 패치를 개발 완료했다. 하지만 이용사 일정에 맞춰 적용해야 해서 아직 배포하지 못했다
• 이번 건은 (블라디미르 팔란트가) 국내 보안 시장 환경자체를 충분히 이해하지 못했다고 본다

패치 개발은 완료하였으나 아직 배포가 되지 않았다고 하네요. 이번에 지적된 취약점 중 일부는 원격코드실행이 가능한 취약점이고 아직 패치되지 않은 제로데이 취약점이니 패치가 배포되기 전까지는 사용에 주의하시는게 좋겠습니다.

Ps. 기사에는 안랩측의 언급도 있습니다.
안랩 관계자에 따르면 “지난해부터 올해 1월 11일까지 확인 결과 해당 블로거로부터 제보를 받은 적이 없다”며 “해당 블로거가 기관에 신고한 것으로 보이나 안랩은 유관기관으로부터 금융보안 솔루션 내용으로 취약점 패치 권고와 같은 안내메일을 받은 적이 없다.”라고 합니다.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
김재규열사
23/01/13 16:59
수정 아이콘
취약점이 있긴 있다는 말로 들리네요
Regentag
23/01/13 17:12
수정 아이콘
네. 취약점은 존재합니다. 이건 부인할 수 없는 사실이지요.
취약점을 kisa통해 인지하고도 아직까지도 패치를 배포하지 못했다는건 많이 아쉬운 지점이네요.
及時雨
23/01/13 17:01
수정 아이콘
패치가 아직 안됐으면 취약점을 지금 바로 사용하세요 이런 얘기 아닌가요
Regentag
23/01/13 17:13
수정 아이콘
[제로데이 취약점]이 바로 그 의미입니다. 취약점은 있는데 아직 패치가 되지 않아 곧바로 이용 가능한 취약점이죠.
전자수도승
23/01/13 17:05
수정 아이콘
"한국식"
BlazePsyki
23/01/13 17:06
수정 아이콘
건축 양식 운운하는데서 웃고 갑니다
덴드로븀
23/01/13 17:08
수정 아이콘
그는 “키보드 보안은 호환성이나 시스템 레벨 접근과 같은 권한이 필요한 특이상황으로 C언어를 사용할 이유가 있다”며
“개발사가 환경이나 특성에 맞게 언어를 선택해 개발하고 있고, C++이 C보다 더 좋다고 해서 무조건 변경해야 하는 것은 아니다”라고 말했다.
[건축 양식이 각 나라 환경에 맞게 발전하듯 보안 프로그램도 한국 상황에 맞게 만들어지고 있다는 설명]이다.

아아....그런줄도 모르고...(왈칵)
23/01/13 17:13
수정 아이콘
와 이건 진짜 미친놈들이세요라는 소리밖에...
Regentag
23/01/13 17:18
수정 아이콘
이 부분은… 팔란트가 지적한 내용을 전혀 다르게 이해했거나, 아니면 일부러 말을 돌리는 것 같기도 합니다.
팔란트의 지적은 “C를 쓰는게 잘못이다”가 아니라 “C는 주의깊게 사용해야 하는데 너네 개발자는 잘 못하는것 같아”였거든요.

====
C의 메모리 관리에 대한 수동 접근 방식은 버퍼 오버플로와 같은 악용할 수 있는 메모리 안전 문제의 일반적인 원인입니다. C에서 이를 피하려면 대단히 주의해야 합니다. 이로 인한 버그는 제 조사의 초점이 아니었지만 이런 애플리케이션들은 [이들의 개발자가 메모리 안전 문제를 피하는데 경험이 많음을 보이지 못했습니다.]
https://www.woojinkim.org/wiki/spaces/me/pages/733085820/South+Korea+s+online+security+dead+end
오후2시
23/01/13 17:08
수정 아이콘
와... 외국 사람들은 한국 인터넷에 접속 못하는 줄 알겠어요
CastorPollux
23/01/13 17:10
수정 아이콘
건축 양식........................
제로콜라
23/01/13 17:13
수정 아이콘
혓바닥이 왜 이렇게 길어?
23/01/13 17:14
수정 아이콘
해커가 무슨 '허허 이건 인류의 소중한 문화 양식이니 파괴하지 말고 보존하도록 하지. 이 나라만의 건축 양식이니까.' 이러나요? 환경 보호가인줄...
23/01/13 17:14
수정 아이콘
일부러 업데이트 하지 않고 구버전 쓰는 고객사도 많아서, 따로따로 전용 빌드 만들어줘야 될 수도 있어요. 개발자의 고통...
인간흑인대머리남캐
23/01/13 17:14
수정 아이콘
예상한 반응이긴한데 건축양식은 신선하군요 크크
레이븐
23/01/13 17:15
수정 아이콘
우리나라 솔루션 제품들이 세계화를 왜 못하는지 알거 같네요
23/01/13 17:16
수정 아이콘
변명을 기름지게 하는 요즘의 유행이 살짝 역하다는 생각이 드네요. 그럼 해외에서의 크래킹이나 부정액세스는 국내환경 맞춰서 들어온답니까?
Jurgen Klopp
23/01/13 17:17
수정 아이콘
저걸 변명이라고 한걸까요? 크크크
나혼자만레벨업
23/01/13 17:17
수정 아이콘
바로 아래글 여신금융협회에서 카드포인트 환급 하려고 하니... 이거 설치하라고 하는군요.
DavidVilla
23/01/13 17:20
수정 아이콘
아무리 다운로드를 눌러도 계속 받다가 멈춰서 포기했습니다.
23/01/13 17:22
수정 아이콘
사람이 몰려서 그런 거 같은데 기다리니 되긴 하더군요.
23/01/13 18:13
수정 아이콘
핸드폰으로도 됩니다!
23/01/13 17:21
수정 아이콘
이번 건은 (블라디미르 팔란트가) 국내 보안 시장 환경자체를 충분히 이해하지 못했다고 본다

-> south Korea는 이렇게 한단 말입니다!!!!!!

아 쪽팔려 진짜...
엔타이어
23/01/13 17:23
수정 아이콘
쪽팔리지도 않나....
manymaster
23/01/13 17:23
수정 아이콘
고객사가 뚫리면 이제는 관행적 쉴드라는 것도 보안사에 책임 떠넘기기도 없을테고 그냥 고객사가 처 얻어맞아야 한다는 소리네요.
고객사가 뭐라고 할지 궁금합니다.
monochrome
23/01/13 17:30
수정 아이콘
무슨... 국내 보안 시장 환경을 충분히 이해하면 취약점이 취약점이 아닌게 되나요?
해커들이 국내 보안 시장 환경을 감안해서 취약점을 익스큐즈해주는 겁니까?
HA클러스터
23/01/13 17:30
수정 아이콘
단순 취약점뿐만이 아니라 전에 지적당했던 한국 보안 소프트들의 개발에 있어서 근본적인 문제점에 대해선 하나도 제대로 대답을 못하면서
개소리만 늘어놓는군요.
23/01/13 17:36
수정 아이콘
[국내 환경 이해 부족]
= 아 한국에서는 그게 중요한게 아니라고오~ 크크크
소독용 에탄올
23/01/13 17:38
수정 아이콘
중요한건 책임소재를 피하는거지 공격당하지 않는게 아니기 때문에....
도라지
23/01/13 17:40
수정 아이콘
한국의 환경이해 부족은 맞죠.
한국은 보안을 위해 보안 프로그램 설치를 하라는게 아니라, 책임을 사용자에게 전가하기 위해 보안 프로그램을 설치하라고 한 것이니까요.
책임만 전가되면 해킹 당하던 말던 알 바 아닐테구요.
톰슨가젤연탄구이
23/01/13 17:54
수정 아이콘
'우리식 보안'
마감은 지키자
23/01/13 18:04
수정 아이콘
아니 뭐 갈라파고스가 무조건 나쁜 건 아닌데, 보안은 아니지...
해커가 한국 사정에 맞춰 주겠냐고...
조미운
23/01/13 18:24
수정 아이콘
크크. 진짜 말도 안되는 변명을 해도 그냥 넘어가는 게 국내 환경이긴 하죠. 이 정도면 차라리 거하게 사고 한번 났으면 좋겠네요.
포도사과
23/01/13 18:41
수정 아이콘
사고가 나면 사용자 탓이라서.....
대통령실
23/01/13 19:28
수정 아이콘
진짜 보안은 알바 아니고 내 돈줄을 건드리지마

뭐 이런 건가
Naked Star
23/01/13 20:21
수정 아이콘
이딴 보안프로그램쓰고 뚫리는 니들 잘못이야~ 라는 뜻
23/01/14 00:28
수정 아이콘
해커들이 한국 환경 사정 봐주면서 털어가기로 정해졌으면 인정
호머심슨
23/01/14 00:38
수정 아이콘
돈이 복사가 된다고?
아케이드
23/01/14 02:06
수정 아이콘
어차피 사고나도 사용자 책임이니까 보안패치 제대로 안해도 상관없다는 거죠 자칭 IT강국의 부끄러운 민낯이네요;;;
raindraw
23/01/14 10:13
수정 아이콘
한국식을 이해못 = [한국에서는 그래도 됌]
23/01/14 10:35
수정 아이콘
[국내환경이해부족 ] =응 우리는 털려도 댐
23/01/14 11:19
수정 아이콘
보안에 취약점은 있으나 취약한게 아니다 크크
비올라
23/01/14 11:54
수정 아이콘
우리나라 보안업체는 사실 눈가리고 아웅이라고 생각합니다.
어느 해외사이트에 이런 거지같은 클라이언트 덕지덕지들이 있나요?
당장 페이팔에도 아무런 소프트웨어 설치없이 신용카드 등록하고 결제하고 다 쓰고 있는데
누가봐도 보안업체와 정부기관단체와 커넥션이 있다고 여겨질 만큼 2020년이 넘어가는 이시대에 참으로 비합리적인 보안프로그램이 넘쳐나죠.
은행 사이트 보면 정말 더러워서 들어가기도 싫어요.
23/01/14 12:22
수정 아이콘
한국식 xxx = 해쳐먹겠습니다
마텐자이트
23/01/14 12:35
수정 아이콘
IT후진국 답네요. 이런 마인드가 세계에 통용될리가 있나요.
앙겔루스 노부스
23/01/15 21:12
수정 아이콘
국내환경이해부족이 아니라 국내환경부족을 이해해주세요 하는거겠지
딸기거품
23/04/01 15:41
수정 아이콘
업데이트가 되었네요
https://youtu.be/b0g5_D7LHbI
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [126] 오호 20/12/30 275981 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [16] empty 19/02/25 341766 10
공지 [일반] [필독] 성인 정보를 포함하는 글에 대한 공지입니다 [51] OrBef 16/05/03 463710 29
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 338085 3
102745 [일반] SNS, 메신저는 아무리 엄청나게 성공해도 오래 못 가는 듯 합니다. [13] 뭉땡쓰1338 24/11/26 1338 0
102744 [정치] 오세훈 시장 측, 명태균에게 21년 보궐선거 당시 3,300만 여론조사비 대납 의혹 [15] 린버크2090 24/11/25 2090 0
102743 [정치] '오세훈 스폰서' 강혜경에게 "명태균에 20억 주고 사건 덮자" [16] 물러나라Y2283 24/11/25 2283 0
102742 [일반] <위키드> - '대형' '뮤지컬' 영화가 할 수 있는 것.(약스포?) [6] aDayInTheLife749 24/11/25 749 1
102741 [정치] [속보] 이재명 위증교사 1심 무죄 [224] 물러나라Y16033 24/11/25 16033 0
102740 [일반] 『눈물을 마시는 새』 - 변화를 맞이하는 고결한 방법 [31] meson5124 24/11/24 5124 61
102739 [일반] <아케인 시즌 2> - 기대보단 아래, 걱정보단 위. (약스포) [13] aDayInTheLife3958 24/11/24 3958 2
102737 [일반] 린치핀 — GPT 세계에서 대체 가능한 톱니바퀴를 벗어나려면 [21] Kaestro5929 24/11/24 5929 10
102736 [일반] [팝송] 트래비스 새 앨범 "L.A. Times" [1] 김치찌개4077 24/11/24 4077 0
102735 [일반] 하프 마라톤 거리 뛰기 성공 [18] a-ha5819 24/11/23 5819 20
102734 [일반] 아케인 시즌2 리뷰 - 스포 다량 [36] Kaestro4486 24/11/23 4486 0
102733 [일반] DDP 야경을 뒤로 하고 프로미스나인 'DM' 커버 댄스를 촬영하였습니다. [22] 메존일각3828 24/11/23 3828 13
102732 [일반] 잘 알려진 UAP(구 UFO) 목격담 중 하나 [15] a-ha5091 24/11/23 5091 2
102731 [일반] 지하아이돌 공연을 즐겨보자 [12] 뭉땡쓰3856 24/11/23 3856 1
102730 [일반] 노스볼트의 파산, 파국으로 가는 EU 배터리 내재화 [74] 어강됴리10344 24/11/23 10344 6
102729 [일반] 한나라가 멸망한 이유: 외환(外患) [8] 식별4014 24/11/22 4014 16
102728 [일반] 소리로 찾아가는 한자 52. 윗입술/웃는모습 갹(⿱仌口)에서 파생된 한자들 [6] 계층방정2357 24/11/22 2357 3
102726 [일반] 동덕여대 총학 "래커칠은 우리와 무관" [191] a-ha18279 24/11/22 18279 22
102725 [일반] 조금 다른 아이를 키우는 일상 4 [17] Poe4305 24/11/22 4305 32
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로