PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/13 16:56:09
Name Regentag
Subject [일반] TouchEn nxKey 취약점 공개에 대한 개발사의 입장 (수정됨)
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://cdn.pgr21.com/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://cdn.pgr21.com/freedom/97663


보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)
이후 가장 먼저 라온시큐어사의 키보드 보안 소프트웨어인 TouchEn nxKey의 취약점을 공개하였죠. (관련 글 2. 참조)

이에 대하여 라온시큐어의 입장이 기사로 나왔습니다.
[‘취약점’ 저격 당한 국내 보안업계 반박 “국내 환경 이해 부족”]
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

라온시큐어의 입장을 요약하자면 다음과 같은 내용입니다:
• 지난해 KISA로부터 전달받은 내용을 바탕으로 해당 취약점을 보완하는 패치를 개발 완료했다. 하지만 이용사 일정에 맞춰 적용해야 해서 아직 배포하지 못했다
• 이번 건은 (블라디미르 팔란트가) 국내 보안 시장 환경자체를 충분히 이해하지 못했다고 본다

패치 개발은 완료하였으나 아직 배포가 되지 않았다고 하네요. 이번에 지적된 취약점 중 일부는 원격코드실행이 가능한 취약점이고 아직 패치되지 않은 제로데이 취약점이니 패치가 배포되기 전까지는 사용에 주의하시는게 좋겠습니다.

Ps. 기사에는 안랩측의 언급도 있습니다.
안랩 관계자에 따르면 “지난해부터 올해 1월 11일까지 확인 결과 해당 블로거로부터 제보를 받은 적이 없다”며 “해당 블로거가 기관에 신고한 것으로 보이나 안랩은 유관기관으로부터 금융보안 솔루션 내용으로 취약점 패치 권고와 같은 안내메일을 받은 적이 없다.”라고 합니다.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
김재규열사
23/01/13 16:59
수정 아이콘
취약점이 있긴 있다는 말로 들리네요
Regentag
23/01/13 17:12
수정 아이콘
네. 취약점은 존재합니다. 이건 부인할 수 없는 사실이지요.
취약점을 kisa통해 인지하고도 아직까지도 패치를 배포하지 못했다는건 많이 아쉬운 지점이네요.
及時雨
23/01/13 17:01
수정 아이콘
패치가 아직 안됐으면 취약점을 지금 바로 사용하세요 이런 얘기 아닌가요
Regentag
23/01/13 17:13
수정 아이콘
[제로데이 취약점]이 바로 그 의미입니다. 취약점은 있는데 아직 패치가 되지 않아 곧바로 이용 가능한 취약점이죠.
전자수도승
23/01/13 17:05
수정 아이콘
"한국식"
BlazePsyki
23/01/13 17:06
수정 아이콘
건축 양식 운운하는데서 웃고 갑니다
덴드로븀
23/01/13 17:08
수정 아이콘
그는 “키보드 보안은 호환성이나 시스템 레벨 접근과 같은 권한이 필요한 특이상황으로 C언어를 사용할 이유가 있다”며
“개발사가 환경이나 특성에 맞게 언어를 선택해 개발하고 있고, C++이 C보다 더 좋다고 해서 무조건 변경해야 하는 것은 아니다”라고 말했다.
[건축 양식이 각 나라 환경에 맞게 발전하듯 보안 프로그램도 한국 상황에 맞게 만들어지고 있다는 설명]이다.

아아....그런줄도 모르고...(왈칵)
23/01/13 17:13
수정 아이콘
와 이건 진짜 미친놈들이세요라는 소리밖에...
Regentag
23/01/13 17:18
수정 아이콘
이 부분은… 팔란트가 지적한 내용을 전혀 다르게 이해했거나, 아니면 일부러 말을 돌리는 것 같기도 합니다.
팔란트의 지적은 “C를 쓰는게 잘못이다”가 아니라 “C는 주의깊게 사용해야 하는데 너네 개발자는 잘 못하는것 같아”였거든요.

====
C의 메모리 관리에 대한 수동 접근 방식은 버퍼 오버플로와 같은 악용할 수 있는 메모리 안전 문제의 일반적인 원인입니다. C에서 이를 피하려면 대단히 주의해야 합니다. 이로 인한 버그는 제 조사의 초점이 아니었지만 이런 애플리케이션들은 [이들의 개발자가 메모리 안전 문제를 피하는데 경험이 많음을 보이지 못했습니다.]
https://www.woojinkim.org/wiki/spaces/me/pages/733085820/South+Korea+s+online+security+dead+end
오후2시
23/01/13 17:08
수정 아이콘
와... 외국 사람들은 한국 인터넷에 접속 못하는 줄 알겠어요
CastorPollux
23/01/13 17:10
수정 아이콘
건축 양식........................
제로콜라
23/01/13 17:13
수정 아이콘
혓바닥이 왜 이렇게 길어?
23/01/13 17:14
수정 아이콘
해커가 무슨 '허허 이건 인류의 소중한 문화 양식이니 파괴하지 말고 보존하도록 하지. 이 나라만의 건축 양식이니까.' 이러나요? 환경 보호가인줄...
23/01/13 17:14
수정 아이콘
일부러 업데이트 하지 않고 구버전 쓰는 고객사도 많아서, 따로따로 전용 빌드 만들어줘야 될 수도 있어요. 개발자의 고통...
인간흑인대머리남캐
23/01/13 17:14
수정 아이콘
예상한 반응이긴한데 건축양식은 신선하군요 크크
레이븐
23/01/13 17:15
수정 아이콘
우리나라 솔루션 제품들이 세계화를 왜 못하는지 알거 같네요
23/01/13 17:16
수정 아이콘
변명을 기름지게 하는 요즘의 유행이 살짝 역하다는 생각이 드네요. 그럼 해외에서의 크래킹이나 부정액세스는 국내환경 맞춰서 들어온답니까?
Jurgen Klopp
23/01/13 17:17
수정 아이콘
저걸 변명이라고 한걸까요? 크크크
나혼자만레벨업
23/01/13 17:17
수정 아이콘
바로 아래글 여신금융협회에서 카드포인트 환급 하려고 하니... 이거 설치하라고 하는군요.
DavidVilla
23/01/13 17:20
수정 아이콘
아무리 다운로드를 눌러도 계속 받다가 멈춰서 포기했습니다.
23/01/13 17:22
수정 아이콘
사람이 몰려서 그런 거 같은데 기다리니 되긴 하더군요.
23/01/13 18:13
수정 아이콘
핸드폰으로도 됩니다!
23/01/13 17:21
수정 아이콘
이번 건은 (블라디미르 팔란트가) 국내 보안 시장 환경자체를 충분히 이해하지 못했다고 본다

-> south Korea는 이렇게 한단 말입니다!!!!!!

아 쪽팔려 진짜...
엔타이어
23/01/13 17:23
수정 아이콘
쪽팔리지도 않나....
manymaster
23/01/13 17:23
수정 아이콘
고객사가 뚫리면 이제는 관행적 쉴드라는 것도 보안사에 책임 떠넘기기도 없을테고 그냥 고객사가 처 얻어맞아야 한다는 소리네요.
고객사가 뭐라고 할지 궁금합니다.
monochrome
23/01/13 17:30
수정 아이콘
무슨... 국내 보안 시장 환경을 충분히 이해하면 취약점이 취약점이 아닌게 되나요?
해커들이 국내 보안 시장 환경을 감안해서 취약점을 익스큐즈해주는 겁니까?
HA클러스터
23/01/13 17:30
수정 아이콘
단순 취약점뿐만이 아니라 전에 지적당했던 한국 보안 소프트들의 개발에 있어서 근본적인 문제점에 대해선 하나도 제대로 대답을 못하면서
개소리만 늘어놓는군요.
23/01/13 17:36
수정 아이콘
[국내 환경 이해 부족]
= 아 한국에서는 그게 중요한게 아니라고오~ 크크크
소독용 에탄올
23/01/13 17:38
수정 아이콘
중요한건 책임소재를 피하는거지 공격당하지 않는게 아니기 때문에....
도라지
23/01/13 17:40
수정 아이콘
한국의 환경이해 부족은 맞죠.
한국은 보안을 위해 보안 프로그램 설치를 하라는게 아니라, 책임을 사용자에게 전가하기 위해 보안 프로그램을 설치하라고 한 것이니까요.
책임만 전가되면 해킹 당하던 말던 알 바 아닐테구요.
톰슨가젤연탄구이
23/01/13 17:54
수정 아이콘
'우리식 보안'
마감은 지키자
23/01/13 18:04
수정 아이콘
아니 뭐 갈라파고스가 무조건 나쁜 건 아닌데, 보안은 아니지...
해커가 한국 사정에 맞춰 주겠냐고...
조미운
23/01/13 18:24
수정 아이콘
크크. 진짜 말도 안되는 변명을 해도 그냥 넘어가는 게 국내 환경이긴 하죠. 이 정도면 차라리 거하게 사고 한번 났으면 좋겠네요.
포도사과
23/01/13 18:41
수정 아이콘
사고가 나면 사용자 탓이라서.....
대통령실
23/01/13 19:28
수정 아이콘
진짜 보안은 알바 아니고 내 돈줄을 건드리지마

뭐 이런 건가
Naked Star
23/01/13 20:21
수정 아이콘
이딴 보안프로그램쓰고 뚫리는 니들 잘못이야~ 라는 뜻
23/01/14 00:28
수정 아이콘
해커들이 한국 환경 사정 봐주면서 털어가기로 정해졌으면 인정
호머심슨
23/01/14 00:38
수정 아이콘
돈이 복사가 된다고?
아케이드
23/01/14 02:06
수정 아이콘
어차피 사고나도 사용자 책임이니까 보안패치 제대로 안해도 상관없다는 거죠 자칭 IT강국의 부끄러운 민낯이네요;;;
raindraw
23/01/14 10:13
수정 아이콘
한국식을 이해못 = [한국에서는 그래도 됌]
23/01/14 10:35
수정 아이콘
[국내환경이해부족 ] =응 우리는 털려도 댐
23/01/14 11:19
수정 아이콘
보안에 취약점은 있으나 취약한게 아니다 크크
비올라
23/01/14 11:54
수정 아이콘
우리나라 보안업체는 사실 눈가리고 아웅이라고 생각합니다.
어느 해외사이트에 이런 거지같은 클라이언트 덕지덕지들이 있나요?
당장 페이팔에도 아무런 소프트웨어 설치없이 신용카드 등록하고 결제하고 다 쓰고 있는데
누가봐도 보안업체와 정부기관단체와 커넥션이 있다고 여겨질 만큼 2020년이 넘어가는 이시대에 참으로 비합리적인 보안프로그램이 넘쳐나죠.
은행 사이트 보면 정말 더러워서 들어가기도 싫어요.
23/01/14 12:22
수정 아이콘
한국식 xxx = 해쳐먹겠습니다
마텐자이트
23/01/14 12:35
수정 아이콘
IT후진국 답네요. 이런 마인드가 세계에 통용될리가 있나요.
앙겔루스 노부스
23/01/15 21:12
수정 아이콘
국내환경이해부족이 아니라 국내환경부족을 이해해주세요 하는거겠지
딸기거품
23/04/01 15:41
수정 아이콘
업데이트가 되었네요
https://youtu.be/b0g5_D7LHbI
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
97703 [일반] 변호사가 알려주는 변호사 이야기(좋은 변호사를 고르는 방법) [51] 완전연소13260 23/01/14 13260 44
97702 [일반] 한국인 명품소비 세계 1위... 부의 과시+외모 중시 풍조 [274] 보리야밥먹자19821 23/01/14 19821 2
97701 [일반] [주식 책소개] 홍진채- 거인의 어깨(예시 추가) [12] 헤세드837713 23/01/14 7713 4
97700 [정치] 미일 정상 "한반도 완전한 비핵화 재확인…한미일 협력 강화" [183] 크레토스17364 23/01/14 17364 0
97699 [일반] 원작존중 vs 2차 창작자에 표현의 자유 [41] 깐부12504 23/01/13 12504 2
97698 [일반] 술알못 BAR에 가서 위스키 즐긴 후기.JPG [13] insane11501 23/01/13 11501 4
97697 [일반] 뉴진스 디토 커버 댄스를 촬영해 봤습니다. [28] 메존일각12384 23/01/13 12384 26
97696 [정치] 윤석열 대통령, 나경원 사표수리 거부하고 전 직위에서 전격 해임 [194] 홍철25835 23/01/13 25835 0
97695 [일반] TouchEn nxKey 취약점 공개에 대한 개발사의 입장 [47] Regentag15894 23/01/13 15894 2
97694 [일반] 잊은 카드포인트 돌려받았는데...광고는 아니겠죠? [31] Janzisuka9231 23/01/13 9231 4
97693 [일반] 차를 계약했습니다. 후기 [132] 소이밀크러버12339 23/01/13 12339 50
97692 [일반] 제가 수행한 방위사업을 돌아보며 - (1) 방위사업에서 미국의 영향력 [32] 오후2시11034 23/01/13 11034 36
97691 [정치] 용산구청 당직자, 이태원 참사 당일 ‘대통령 비판’ 전단지 제거 작업 [50] 오늘15682 23/01/13 15682 0
97689 [일반] [역사] 2001년 가장 핫했던 먹거리 - 삼각김밥 [54] Fig.192200 23/01/13 92200 67
97688 [일반] 원래 무효인 계약 - GS건설과 새마을금고 [27] 중상주의13310 23/01/13 13310 15
97687 [정치] MBC 기자의 대통령 전용기 탑승을 도로 허하노라 [172] 일신16985 23/01/13 16985 0
97686 [일반] 윤지선 교수 논문 취재하다 사표낸 기자의 책이 나왔네요 [20] WeakandPowerless14289 23/01/13 14289 60
97685 [정치] “서욱 지시로 첩보 5600건 삭제” 공소장에 나온 ‘서해피살’ 은폐 작전 [65] 덴드로븀15840 23/01/12 15840 0
97684 [일반] AMD: 라이젠 7000 X3D 시리즈 출시일 확정한 바 없다 [4] SAS Tony Parker 8947 23/01/12 8947 0
97683 [정치] 정영학 녹취록이 공개 되었습니다. [180] 환경미화22687 23/01/12 22687 0
97682 [정치] 정부 "일 기업 대신 국내 재단이 강제동원 피해 보상"…피해자 반발 [130] 동굴곰16363 23/01/12 16363 0
97681 [일반] 식민지배는 합법이었다? [31] 헤일로11884 23/01/12 11884 5
97680 [일반] 슬램덩크보다 장화신은 고양이(노스포) [23] 로각좁7984 23/01/12 7984 3
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로