1. 계정 정보 평문 노출 관련 1차 문의

- A 도서출판사에 도서 관련 문의를 위해 홈페이지 접속

> 게시판 사용을 위해서는 로그인이 필요

> 계정 정보가 기억나지 않아 "아이디/비밀번호 찾기" 진행

> 메일로 수신한 계정 정보 확인 결과 PW가 평문으로 노출되어 있었고, KISA에 1차 문의 진행

[사진 1] 평문으로 노출된 PW

답변 요약
- 개인정보 보호법 제29조(안전조치의무)
> 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

- 개인정보 보호법제29조를 근거하여 시행령 제16조제2항, 제30조 및 제30조의2에서 다음의 기준을 정함
> 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손 되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하고 있음

- 개인정보의 안전성 확보조치 기준에서의 비밀번호
> 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보
> 제7조 제1항:  개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 저장 또는 정보통신망을 통하여 송·수신하는 경우에 이를 안전한 암호 알고리즘으로 암호화
> 제7조 제4항: 개인정보처리자는 개인정보를 정보통신망을 통하여 인터넷망 구간으로 송·수신하는 경우에는 이를 안전한 암호 알고리즘으로 암호화

- 정보통신망을 통한 개인정보 암호화 전송을 위해  프로토콜이 탑재된 기술을 활용하거나, 개인정보를 암호화 저장한 후 이를 전송하는 방법 등을 사용할 수 있으며 만약 암호화 응용프로그램 대신하여 보안서버를 구축하고 있다면 이를 본 법률에 저촉된다고 보기는 어려울 것
> 단, 개인정보의 기술적 관리적 보호조치 기준 제6조제3항에 따른 보안서버를 구축하고 있지 않은 경우 문제의 소지가 있을 수 있음

- 문의 시 제출한 증적자료를 바탕으로 조사 착수 여부에 대해 검토
> 단, 신고서가 누락된 경우 상담으로 처리되므로, 검토를 원하는 경우 접수방법을 참고하여 접수 권고

 

2. 계정 정보 평문 노출 관련 1차 신고

- 위 내용과 관련하여 KISA에 개인정보 침해 신고 접수

> 추가로, 도서 문의 후 계정 탈퇴를 진행하였으나 즉각 삭제가 아닌 일정 시간 후 삭제되어 관련 내용에 관한 문의 진행

> 삭제 후 일정 시간 동안 계정 찾기를 통해 ID/PW를 찾을 수 있었으며, 마찬기지로 PW가 평문으로 노출되어 수신

> 개인정보 삭제 요구와 관련된 답변을 수신 하였으며, 비밀번호 평문 노출 관련 신고를 권고

※ 개인정보 침해 또는 노출 신고 시 해당 내용만을 양식에 맞추어 신고할 필요가 있음을 인지

답변 요약
- 개인정보 보호법 제36조(개인정보의 정정·삭제)
> 제1항: 자신의 개인정보의 열람을 요구한 정보주체는 그 개인정보의 정정 또는 삭제를 요구할 수 있음
> 제2항: 제1항에 따른 정보주체의 요구를 받은 개인정보처리자는 다른 법령에 특별한 규정이 있는 경우를 제외하고는 정보주체의 요구에 필요한 조치를 하여야 함
> 제6항: 제1항·제2항에 따른 정정 또는 삭제 요구 통지 방법 및 절차 등에 필요한 사항을 시행령 제43조(개인정보의 정정·삭제 등)로 정하고 있음

- 개인정보 보호법 제36조 제6항을 근거하여 시행령 제43조(개인정보의 정정·삭제 등) 제3항
> 개인정보의 정정·삭제 요구를 받은 개인정보처리자는 요구를 받는 날로부터 근무일 기준 10일이내에 조치 하도록 규정
> 따라서, 삭제 요구 후 기간 내 조치한 경우 위반의 소지가 있다고 보기는 어려움

- 개인정보의 삭제로 인하여 관련 자료의 첨부가 어려움
> 침해받은 자에 해당함을 입증할 수 없으나 개인정보 보호법 위반의 소지가 있고, 제3자가 개인정보의 권리 또는 이익을 현저히 침해받을 우려가 있음
> 따라서, 신고를 원하는 경우 공익신고자 보호법에 따른 공익신고에 해당하므로 개인정보보호위원회로 신고 권고

 

3. 계정 정보 평문 노출 관련 2차 신고

- 개인정보보호위원회로 신고 및 KISA로 민원 이송 답변

답변 요약
- 안전조치의무 위반 등 개인정보 침해신고 관련 내용
> 개인정보보호법 제62조(침해 사실의 신고 등) 및 시행령 제59조(침해 사실의 신고 등)에 따라 개인정보보호법 침해사실을 접수 및 조사할 수 있도록 한국인터넷진흥원으로 이송

 

4. 계정 정보 평문 노출 관련 3차 신고

- KISA로부터 해당 민원은 이전 개인정보 노출 신고건과 동일한 건으로 침해신고센터에서 검토 진행 안내 메일 수신

> KISA 개인정보침해신고센터로부터 안전조치 의무 시행(비밀번호 암호화) 관련 신고 접수 안내 메일 수신 후 대기 중

'자기소개 > 일상' 카테고리의 다른 글

2023.11.05 카카오계정 보호조치 안내  (0) 2023.11.05
2023.07.27 미션임파서블7 데드레코닝 후기  (0) 2023.07.27
2023.06.04 향수 쇼핑 && 시화나래휴게소 드라이브  (0) 2023.06.04
2023.05.05 아이폰 보안 대응 업데이트  (0) 2023.05.05
2023.05.03 개인정보 침해 관련 문의 결과  (0) 2023.05.03

1. 개요

- 중국과 싱가포르 대학 연구진이 WiFi5(802.11ac)에 도입된 기능인 BFI를 활용해 스마트폰의 텍스트 전송을 가로채 비밀번호를 탈취하는 WiKI-Eve 공격이 발견
- 스마트폰과 와이파이 라우터 간 트래픽을 중간에서 가로채 어떤 숫자 키가 눌렸는지 확인하는 실시간 공격으로, 90% 정확도를 지님
- 공격이 성공하기 위해서는 공격자와 피해자가 동일한 네트워크에 있어야 하며, 피해자의 MAC 주소 또한 알고있어야함

- 공격자들이 AP를 해킹할 필요도 없이 중요한 정보를 정확하게 유추할 수 있음

 

2. 주요내용

2.1 BFI (Beamforming Feedback Information)

- 빔포밍(Beamforming)이란 기지국(또는 AP)에서 무선 신호를 특정 방향으로 무선 신호를 집중시키는 기술

> 즉, 전파를 특정 위치로 집중해 빔을 만들어 효율을 높이는 기술

> 신호를 집중시킴으로써 송출 전력을 증폭하지 않으면서 수신기에 전달되는 신호를 잘 잡을 수 있음

> 2013년 WiFi5(802.11ac)와 함께 처음 소개된 기술로, WiFi5에 도입됨

 

- BFI는 사용자 단말 등이 자신들의 위치에 대한 정보를 라우터로 전송하게 함으로써 라우터가 신호를 보다 정확하게 전송할 수 있도록 만들어줌

> 그러나, 데이터가 평문으로 전송되기 때문에 취약점이 발생

 

2.2 방법론

[사진 1] 공격 단계

① 공격 대상 식별

- 공격자는 시각적인 모니터링과 트래픽 모니터링을 동시에 수행해 MAC 주소 식별

> 다양한 MAC 주소에서 발생하는 네트워크 트래픽을 사용자의 행동과 연관시켜 MAC 주소 식별

 

② 공격 타이밍 식별

- 공격 대상이 식별되면 비밀번호 입력 등의 행위를 기다림

> 관련 IP 주소(공격 대상과 통신하는 IP) 등을 DB화한 뒤 해당 IP와 통신이 발생할 때까지 대기

 

③ BFI  신호 탈취

- 사용자 단말에서 발생한 BFI 신호를 Wireshark와 같은 트래픽 모니터링 도구를 이용해 캡처

> 사용자가 스마트폰의 키를 누를 때마다 화면 뒤의 WiFi 안테나에 영향을 주어 뚜렷한 WiFi신호가 생성

 

④ 키스트로크 추론

- 수집된 BFI 신호를 분할하여 사용자의 키스트로크 추론

- 수집된 BFI 신호가 키 입력 간의 경계를 모호하게 만들 수 있어 사용 가능한 데이터를 분석하고 복원하는 알고리즘 적용

> 사용자마다 뚜렷한 타이핑 습관의 차이를 보이기 때문에 규칙 기반 분할이 아닌 데이터 기반 분할을 적용

> 분할은 CFAR(Constant False Alarm Rate) 알고리즘을 사용하여 수집된 BFI 신호의 피크를 식별하는 것부터 시작

* Constant False Alarm Rate (CFAR): 테스트하고자 하는 위치의 값과 주변 값의 관계를 보고 테스트 값이 대상인지 아닌지를 구분하는 알고리즘

 

> 결과를 방해하는 요소(타이핑 스타일, 속도, 인접한 키 입력 등)를 걸러내기 위해 "1-D Convolutional Neural Network" 기계 학습을 사용

* 합성곱 신경망(Convolutional Neural Network): n × m 크기의 겹쳐지는 부분의 각 이미지와 커널의 원소의 값을 곱해서 모두 더한 값을 출력

 

> 도메인 적응(특징 추출기, 키스트로크 분류기, 도메인 판별기로 구성) 개념을 통해 타이핑 스타일에 상관없이 키스트로크를 일관되게 인식하도록 훈련

* 도메인 적응(Domain Adaptation): 학습 데이터와 실제 데이터의 차이를 극복하고 모델의 성능 향상을 위해 데이터와 관련있는 추가적인 데이터를 학습

 

> 도메인별 특징을 억제하기 위해 GRL(Gradient Reversion Layer)를 적용해 일관된 키 입력 표현을 학습할 수 있도록 함

* Gradient Reversion Layer(GRL): 도메인 간의 분포 차이를 줄이고 도메인 적응을 수행하는 데 도움을 줌

 

⑤ 비밀번호 복구

- 20명의 참가자는 서로 다른 휴대폰으로 동일한 AP에 연결해 비밀번호를 입력

> 키 입력 분류 ​​정확도는 희소 복구 알고리즘과 도메인 적응을 사용할 때 88.9%로 안정적으로 유지

> 6자리 숫자 비밀번호의 경우 100회 미만의 시도에서 85%의 성공률을, 모든 테스트에서 75% 이상의 성공률을 보임

> 공격자와 AP 사이의 거리가 결과에 큰 영향을 끼치며, 거리를 1m에서 10m로 늘릴 경우 성공률은 23%로 감소

 

- 해당 연구는 숫자로만 구성된 비밀번호에만 작동

> NordPass의 연구에 따르면 상위 비밀번호 20개 중 16개(80%)는 숫자만 사용

 

2.3 완화 방안

- 데이터 암호화: BFI가 데이터를 평문으로 전송하여 발생하는 문제이기 때문에 암호화 적용

- 키보드 무작위화: 키보드 배열(레이아웃)을 무작위화 하여 어떤 키가 입력되었는지 알 수 없음

- 난독화: 트래픽 캡처 등을 방지하기 위해 난독화 적용

- 스크램블: 송신 측에서 기공유된 초기값과 데이터를 XOR하여 전송한 후 수신측에서 이를 복호화해 원래의 데이터를 복호화하는 방식으로 CSI 스크램블링, WiFi 채널 스크램블을 적용

 

3. 추가 대응 방안

- WiFi 암호 활성화 및 공용 WiFi 사용 지양

- 스마트폰, WiFi 등 업데이트를 적용해 최신상태 유지

 

4. 참고

[1] https://arxiv.org/pdf/2309.03492.pdf
[2] https://www.bleepingcomputer.com/news/security/new-wiki-eve-attack-can-steal-numerical-passwords-over-wifi/
[3] https://vosveteit.zoznam.sk/hacker-nepotrebuje-absolutne-nic-novy-utok-wiki-eve-moze-kradnut-ciselne-hesla-cez-wifi/
[4] https://techxplore.com/news/2023-09-exploit-passwords-keystrokes.html
[5] https://www.ludicweb.fr/wiki-eve-lattaque-wifi-qui-lit-vos-frappes-de-mot-de-passe-a-lecran
[6] https://cybersecuritynews.com/wiki-eve-wi-fi-passwords/
[7] https://digvel.com/blog/744/
[8] https://www.boannews.com/media/view.asp?idx=121878&page=5&kind=4
[9] https://isarc.tachyonlab.com/5563
[10] https://ko.wikipedia.org/wiki/%EB%B9%94%ED%8F%AC%EB%B0%8D
[11] https://www.kukinews.com/newsView/kuk202010200380
[12] https://wikidocs.net/64066
[13] https://cilabs.kaist.ac.kr/research/research-area/domain-adaptation
[14] https://zdnet.co.kr/view/?no=20201112124104
[15] https://nordpass.com/most-common-passwords-list/
[16] http://word.tta.or.kr/dictionary/dictionaryView.do?subject=%EC%8A%A4%ED%81%AC%EB%9E%A8%EB%B8%94%EB%A7%81%2F%EB%94%94%EC%8A%A4%ED%81%AC%EB%9E%A8%EB%B8%94%EB%A7%81

'취약점 > 기타' 카테고리의 다른 글

SSH Terrapin Attack (CVE-2023-48795)  (0) 2024.01.20
구글 MultiLogin 취약점  (0) 2024.01.08
국정원 사이버 안보 현안 관련 간담회 내용 정리  (0) 2023.07.20
크리덴셜 스터핑(Credential Stuffing)  (0) 2023.07.15
국내 MacOS 이용자를 노린 APT37  (0) 2023.06.23
요약 - 네이버가 국내 검색 포털 기업 최초로 모바일 기기를 대상으로 ‘패스워드리스’ 로그인 방식을 적용
※ ‘패스워드리스’ 방식: 비밀번호 없이 생체인식이나 일회용비밀번호(OTP) 등을 통해 더 안전하게 로그인할 수 있도록 하는 보안 방식
※ 안드로이드 폰 사용자의 네이버 앱 최초 설치 사용자에게만 시범 적용
내용 - 네이버는 새로운 패스워드리스(passwordless) 방식 적용을 통해 해킹 위험을 감소시키고, 사용 편의성을 향상시킬 수 있다고 밝힘
> 로그인 방식은 지금까지 패스워드 입력, 지문인식 등이 주된 방식으로 사용
> 로그인 시 경우에 따라 보안 강화를 위해 저마다 전화 또는 문자 인증 등을 통한 2차 인증을 필수로 채택
> 기존 ‘패스워드 입력’이라는 부분은 변치 않는 필수 단계였고, 비밀번호 탈취 사고도 끊임없이 이어짐
> 이에따라 패스워드리스(passwordless) 도입

- 개인정보 수집 및 이용
> “비밀번호 없이 로그인 인증 절차 안내-아이디를 찾으려면 ‘전화’ 권한이 필수입니다. 기기의 전화번호를 인증 시스템으로 전송하여 인증하고, 인증 내역을 1년간 보관합니다”

- 네이버의 ‘패스워드리스’ 로그인 방식은 사용자의 보안성 및 편의성 강화를 중점
> 기존 웹 서비스는 비밀번호 노출 사고가 많이 발생해 주기적으로 비밀번호를 변경하는 정책을 도입해 사용
※ 전세계 매초 579건, 매년180억건 발생하는 비밀번호 해킹사고 중 80%가 중복 사용암호 때문
> 잦은 비밀번호 변경은 사용자들에게 어렵고 복잡한 비밀번호의 설정보다는 기억하기 쉬운 비밀번호를 설정하도록 유도하고, 이는 비밀번호의 유출 가능성을 더욱 높일 수 있음
> 패스워드리스 로그인 방식은 비밀번호 유출로 인한 피해를 예방, 비밀번호를 기억하기 어려워하는 사용자들의 불편을 해소하기 위한 목적으로 도입

- 동작방식
① 사용자 동의 후 획득할 수 있는 기본 정보와 함께 사용자가 직접 입력한 회원정보를 활용해 본인 인증
본인 인증이 완료되면 아이디/비밀번호 입력 단계를 생략하고 보안인증으로 로그인을 완료

- 상당수의 국내 애플리케이션은 사용자 편의성을 위해 ‘네이버 로그인’ 방식을 적용
> 네이버 로그인을 적용한 앱에 로그인하기 위해서는 네이버 로그인 페이지에서 로그인
> 이 경우 로그인을 하려는 스마트폰 기기에 네이버 앱이 설치 및 로그인이 완료된 상태여야 함
> ‘네이버 앱 로그인’ 버튼을 이용해 별도의 아이디와 패스워드 입력 없이 로그인이 가능
기타 - 패스워드리스 로그인 방식의 핵심은 ‘안정성’과 ‘편의성’
> 아이디와 패스워드를 매번 직접 입력하는 방식과 비교해 보안 측면에서 더욱 안전
> 남녀노소 누구나 손쉽게 사용 가능

- 패스워드리스
> 22.05.05 글로벌 IT기업 3사 애플, 구글, MS는 패스워드리스 로그인 방식의 대중화 지원을 확대하는 공동성명을 발표
> 비밀번호를 사용하지 않고 생체인식 (FIDO)이나 일회용 비밀번호 (OTP)등을 통해 더 안전하게 로그인 할 수 있도록 하는 보안 방식
> 편의성뿐만 아니라 안전성을 높여줌
> 일반적인 비밀번호, 문자로 일회성 비밀번호를 전송해 로그인하는 다중 인증 기능에 비해 더 안전하다는 평가
> 피싱 사기를 예방하는데도 보다 효과적인 것으로 알려짐

 

보안뉴스

 

[패스워드리스 체험기] 네이버의 야심찬 선언 “비밀번호여, 이젠 안녕”

네이버가 국내 검색 포털 기업 최초로 모바일 기기를 대상으로 ‘패스워드리스’ 로그인 방식을 적용했다. 네이버는 올해 초 스마트폰 안드로이드 기기에 한정해 기존에 ‘네이버’ 관련 다양

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

한미 합동 사이버 보안 권고문 발표... 북한 랜섬웨어 공격 대응 외 2건  (0) 2023.02.12
VMware ESXi 취약점 패치 필수! 최근 랜섬웨어 유포에 악용 외 2건  (0) 2023.02.11
챗GPT 활용한 악성 공격 실험 사례, 이미 여럿 존재한다 외 5건  (0) 2023.02.08
챗GPT 등 떠오르는 신기술들은 많은데, 제어 장치는 마련돼 있나  (2) 2023.02.06
구글 키워드 검색으로 노출되는 피싱 페이지 주의... 구글 애즈 악용한 공격  (0) 2023.02.05
개요 - 비밀번호 : 네트워크, 장비, 계정 등 수많은 필수 요소들을 1차적으로 보호
- 많은 IT와 보안 전문가들은 이 비밀번호를 다른 것으로 대체해야 한다고 계속해서 주장
- 비밀번호 없는 세상이 더 안전하고 더 편리하며 더 나은 경험을 제공할 것이라고 예언
내용 - 애플, 구글, MS 등에서 브라우저, 플랫폼, OS들에 FIDO 패스키 기반 인증 시스템을 도입할 것이라 천명
- 비밀번호를 제거한다고 했을 때의 장점은 비밀번호와 관련된 사이버 공격이 줄어든다는 것
- 패스키라는 게 비밀번호를 완전히 대체하기 위해 고안된 것이지만, 생체 인증을 비롯해 다른 여러 가지 인증 기술들과 같이 사용되어야 하므로 협업과 노력이 필요

- 비밀번호가 예전처럼 주력 인증 수단이 아니라 예비 인증 수단 혹은 특수한 경우의 인증 수단으로서 한 발 물러나고 있지, 아예 죽어 없어지는 건 아니라는 뜻
- 즉, 비밀번호가 예전만큼 눈에 띄는 존재가 아니게 되는 것
ex) 장비나 데이터를 복구할 때, 혹은 예비 인증 수단, 모바일 폰을 켤 때 4자리 수 핀번호 등

- 비밀번호가 사라지는 게 아니라는 비밀번호 관리 프로그램의 사용량이 증가한다는 것
- 비밀번호의 대체제들이 본격적으로 자리를 잡는 건 2~5년 이후의 일일 것이라고 예측

- 준비사항
① 조직이 소비자들에게 제공하는 서비스들 중 비밀번호를 필요로 하는 게 무엇인지, 그리고 조직이 다른 곳에서 제공받는 서비스들 중 비밀번호로 필요로 하는 게 무엇인지를 파악이 선행
② 임직원들이 회사의 승인 없이 사용해 오던 여러 가지 서비스들이 무엇인지도 전부 알아내야 함
③ 기업 내 각 구성원들의 생각을 파악 및 교육, 훈련 - 비밀번호 없는 체제를 완성시킨다 하더라도 구성원들의 행동 패턴들이 다 제각각이 될 것
비고 - 비밀번호를 사용자가 어렵게 만들고 기억하지 않아도 된다는 점에서 비밀번호가 아닌 다른 인증 수단을 주력으로 사용한다는 것에 장점
- 비밀번호 관리는 일반 직원들에게 적잖은 스트레스의 근원
- 비밀번호를 없앤다고 인증과 관련된 모든 위협들이 사라진다고 생각하면 오산
- 비밀번호가 없는 시대가 오더라도, 그 시대에 맞는 위협들이 새로 발명될 것

 

보안뉴스

 

비밀번호가 사라진 시대를 준비하기

현대 사회에서의 삶을 영위하는 데 있어 비밀번호가 차지하는 비중은 결코 낮다고 할 수 없다. 네트워크, 장비, 계정 등 수많은 필수 요소들을 1차적으로 보호하는 게 바로 비밀번호이기 때문이

www.boannews.com

'보안뉴스' 카테고리의 다른 글

엔드포인트 솔루션 무력화시키는 새로운 공격 기법, 블라인드사이드  (0) 2022.12.22
북 해커조직 APT37, 만능 기능 ‘돌핀’ 백도어로 남한 정찰  (0) 2022.12.03
아마존의 백업 기능 잘못 사용한 사용자들, 개인 식별 정보 대규모로 노출  (1) 2022.11.19
美 국가안보국, C/C++ 대신 러스트·고·C# 사용 권고  (0) 2022.11.13
매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포  (1) 2022.11.08

+ Recent posts

티스토리툴바