자유시간

오픈소스로 개발되는 멀티미디어 플레이어 'VLC'를 개발하는 비영리단체 'VideoLAN'가 2021년 2월 1일에 오픈소스 프로젝트의 20주년을 맞이했습니다. VideoLAN은 2021년 하반기에 20주년 기념행사를 개최할 예정이라고 합니다.

Press Release - VideoLAN is 20 years old! - VideoLAN
https://www.videolan.org/press/videolan-20.html

완전 무료로 광고도 표시되지 않는 멀티미디어 플레이어 VLC는 Windows · macOS · Linux · Android · iOS 등 여러 플랫폼에서 작동이 가능하고, 다양한 미디어 코덱과 포맷을 지원하는 응용프로그램입니다. 2012년에는 10억 회 다운로드를 기록했고 현재 35억 회 이상의 다운로드를 기록하며 압도적인 지지를 받고 있습니다.

VLC를 개발하는 VideoLAN은 프랑스의 공학기술계 교육기관의 최고봉인 에콜 상트랄 파리(École Centrale Paris)의 학생들에 의해 1996년에 설립된 프로젝트입니다. VLC는 'VideoLAN Client'의 약어입니다.

당시 PC 사용자의 대다수에게 미디어플레이어란 Windows에 기본으로 탑재되어 있는 Microsoft의 Windows Media Player를 의미했습니다. 그러나 Windows Media Player가 지원하는 파일형식이 적었기 때문에 일부 파일은 열지도 못했습니다.

그런 가운데 등장한 VLC는 완전 무료이면서 많은 코덱을 내장하고 있었으며, 코덱을 별도로 설치하지 않아도 다양한 파일형식을 지원하고 있었기 때문에 순식간에 전세계로 퍼져 인기있는 미디어플레이어가 되었습니다. VLC 버전 1.0은 2009년 7월에 출시되었습니다.

당초 VideoLAN은 대학의 교육과정으로써 진행되고 있던 프로젝트였지만, VLC가 큰 성공을 거두어 비영리단체에 의해 운영되는 독립적인 소프트웨어 개발프로젝트로 변신했습니다. 2001년 2월 1일에 에콜 상트랄 파리의 동의를 얻어 VideoLAN은 오픈소스 프로젝트의 운영모체가 되었고, VLC를 포함한 VideoLAN 프로젝트와 libdca, liba52, libmpeg2 등의 디코딩 라이브러리도 GPL 라이센스하에 놓이게 되었습니다.

현시점까지 VideoLAN에는 약 1000명의 자원봉사자가 참여했습니다. VLC와 인코더, 라이브러리도 증가하고 있으며, 최근에는 AV1의 디코더인 dav1d도 개발되었습니다.

VideoLAN에 따르면 20주년을 기념한 이벤트가 온라인과 오프라인 모두에서 계획되고 있으나 신종 코로나바이러스의 대유행의 영향으로 이벤트 실시는 2021년 말까지 연기한다고 합니다.

스마트폰이나 타블렛에서 작업 중 실수로 중요한 데이터를 지워버렸을 때 떠오르는 것이 컴퓨터의 휴지통 기능입니다. PC에는 파일을 삭제하고 복원하기 위한 편리한 휴지통 기능이 있습니다만, 스마트폰이나 태블릿의 홈화면이나 설정페이지를 찾아보아도 휴지통은 보이지 않습니다.

Android에는 휴지통 기능이 없다

불행히도 Android에는 휴지통 기능이 탑재되어 있지 않습니다. 즉, 스마트폰이나 태블릿에서 삭제된 앱 및 데이터는 어디에 저장되는 것도 아니고 완전히 사라집니다. 따라서 앱 등을 제거하는 작업은 신중해야 합니다.

PC에서 데이터를 삭제하면 휴지통에 임시보관이 되지만, 완전히 제거하려면 일일이 휴지통에 있는 데이터를 삭제해야 하는 번거로움이 있습니다. 한편 Android의 경우에는 데이터를 삭제하면 즉각 삭제되므로 PC의 번거로움이 없는 것이 장점이라고 말할 수 있습니다.

삭제된 데이터를 복구하려면?

Android에는 컴퓨터와 같은 휴지통 기능이 탑재되어 있지 않기 때문에, 실수로 삭제한 데이터를 복구하기 위해 앱과 복원 소프트웨어를 사용해야 합니다.

◆ 앱으로 데이터를 복원

Restore Image (Super Easy)
https://play.google.com/store/apps/details?id=alpacasoft.restoreimage

1) 앱을 Google Play에서 다운로드
2) '복원 가능한 이미지 검색'을 누릅니다. 자동으로 복원이 가능한 이미지를 스캔해줍니다.
3) 스캔이 완료되면 복원시키고 싶은 이미지가 들어있는 폴더를 탭합니다.
4) 폴더 내의 복원시키고 싶은 이미지를 누르고 오른쪽 하단의 '복원'을 선택하면 삭제된 이미지가 자신의 스마트폰이나 태블릿에 복원됩니다!

◆ 클라우드로 데이터를 복원
Google 계정에 백업을 되어 있다면 클라우드에서 데이터를 복원시킬 수 있습니다.

1) 설정페이지에서 '계정 및 백업'을 엽니다.
2) '백업 및 복원'을 탭합니다.
3) '데이터 복원'을 탭하면 복원이 완료됩니다.

만일의 경우를 대비하기

◆ 파일관리자의 설정을 검토
파일관리자는 스마트폰이나 태블릿에서 파일을 정리하고 관리해주는 앱입니다. 파일관리자를 사용하여 스마트폰의 데이터를 SD카드에 저장하면 실수로 지워버린 데이터를 복원하기 쉬워집니다. 다양한 파일관리자 앱이 존재하지만, 'File by Google'을 사용하여 설명합니다.

1) 'File by Google' 앱을 탭합니다.
2) 왼쪽의 메뉴마크의 '설정'을 탭합니다.
3) 'SD카드에 저장'을 ON으로 하면 스마트폰 본체뿐만 아니라 SD카드에도 데이터가 저장되게 됩니다.

◆ '휴지통 폴더'를 만들기

'휴지통' 폴더를 만들고 거기에 파일을 이동시키도록 습관화합니다. 삭제하기에 아쉽거나 불안한 것들을 잠시 시간을 두고 보관하면 안심이 됩니다.

마무리

Android에는 휴지통 기능이 탑재되어 있지 않습니다. 삭제는 할 수 있지만 복원하는 기능은 갖고 있지 않습니다. 하지만 유용한 앱 및 복원 소프트웨어를 통해 데이터의 복구가 가능하고 평소 SD카드와 클라우드를 적극적으로 사용하여 백업해 둔다면 만일의 경우에 큰 도움이 됩니다.

중국의 가전업체인 Xiaomi가 충전케이블과 충전스탠드 없이 스마트폰을 무선으로 충전할 수 있는 기술 'Mi Air Charge'를 발표했습니다. 이 기술을 사용하면 스마트폰을 방안에 들여놓는 것만으로 자동적으로 충전이 된다고 합니다.

Forget About Cables and Charging Stands With Revolutionary Mi Air Charge Technology – Mi Blog
https://blog.mi.com/en/2021/01/29/forget-about-cables-and-charging-stands-with-revolutionary-mi-air-charge-technology/

Xiaomi device will charge devices from across a room
https://techxplore.com/news/2021-01-xiaomi-device-devices-room.html

Mi Air Charge가 어떤 기술인지를 설명한 동영상을 Xiaomi가 공개하고 있습니다.

#MiAirCharge Technology | Charge Your Device Remotely - YouTube
https://www.youtube.com/watch?v=xsFHKCcV2rg

Mi Air Charge의 핵심기술은 공간위치 파악과 에너지 전달입니다. Xiaomi가 개발한 충전기는 스마트폰의 위치를 ​​정확하게 검출할 수 있는 위상간섭 안테나가 5개 내장되어 있습니다.

충전스테이션은 밀리미터 폭의 전자파를 빔의 형태로 조사할 수 있는 안테나가 144개 내장되어 있다고 합니다. 이 전자파 빔을 스마트폰에 조사하면 무선충전이 이루어집니다.

Mi Air Charge의 이용하기 위해서는 스마트폰에 비콘안테나와 수신안테나 어레이를 내장하는 소형안테나 어레이를 탑재해야 합니다. 비콘안테나는 약간의 소비전력으로 위치정보를 발신하기 위한 것이고, 14개의 안테나로 구성된 수신안테나 어레이는 충전스테이션에서 조사되는 밀리미터파 전자파를 전기에너지로 변환합니다.

Mi Air Charge의 범위는 반경 몇 미터 정도로 장치 하나에 5W의 충전이 가능합니다. 동시에 여러 장치도 충전 가능하며 물리적 장애물에 의해 충전효율이 저하되지도 않습니다.

일반적으로 SNS나 동영상을 보거나 게임을 하면서 충전케이블로 충전을 하려면 번거로움을 느끼는데, 이 Mi Air Charge는 방에서 편안하게 게임을 플레이하면서 스마트폰을 충전할 수 있습니다.

'Mi Air Charge는 픽션이 아닌 기술'이라고 Xiaomi는 강조합니다. Xiaomi에 따르면 앞으로 Mi Air Charge는 스마트폰뿐만 아니라 스마트워치와 스마트팔찌 등 착용할 수 있는 장치에도 탑재할 예정이라는 것. 또한 스피커와 스탠드, 스마트홈 제품 등 IoT에 응용하여 거실을 완전히 무선으로 만들 수 있다고 Xiaomi는 말합니다.

유럽 8개국 경찰이 협력하는 유럽경찰형사기구(Europol)가 전 세계적으로 맹위를 떨치고 있던 악성코드 'Emotet'을 감염된 PC에서 삭제하여 Emotet 봇넷을 괴멸시키는 작전에 성공했다고 발표했습니다.

World’s most dangerous malware EMOTET disrupted through global action | Europol
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action

Internationale politieoperatie LadyBird: wereldwijd botnet Emotet ontmanteld | politie.nl
https://www.politie.nl/nieuws/2021/januari/27/11-internationale-politieoperatie-ladybird-botnet-emotet-wereldwijd-ontmanteld.html

Emotet: The world's most dangerous malware botnet was just disrupted by a major police operation | ZDNet
https://www.zdnet.com/article/emotet-worlds-most-dangerous-malware-botnet-disrupted-by-international-police-operation/

Emotet은 2014년에 은행의 인프라 체계를 표적으로 한 트로이목마로 등장한 이후 사이버범죄자에 이용되는 악성코드 중 가장 강력한 것으로 알려지게 되었습니다.

Emotet는 감염된 Word 문서를 자동피싱메일로 배포하고 Windows에 백도어를 구축합니다. Emotet가 보낸 메일의 제목이나 문서의 파일 이름은 정기적으로 변경되기 때문에 피해자가 모르고 메일에 첨부된 문서를 열 가능성이 높아집니다.

Emotet에 의해 백도어가 심어진 PC는 Emotet을 사용하는 사이버범죄자가 원격액세스 도구와 랜섬웨어로 공격하기 위한 게이트웨이 역할을 하게 됩니다. 현재 60만 건 이상의 PC가 피해를 당하고 있어서 Europol은 Emotet를 '세계에서 가장 위험한 악성코드', '지난 10년간 가장 경계해야 할 봇넷 중 하나'라고 표현하며 수사를 진행하고 있었습니다. Europol은 '사이버범죄자의 활동을 효과적으로 방해하는 독특하고 새로운 접근'이라는 'Ladybird(무당벌레)작전'을 전개했습니다.

Emotet의 주요 서버 3대 중 2대가 네덜란드 국내에 설치되어 있었던 것으로 수사에서 밝혀졌습니다. Europol은 2대를 압수하여 법집행기관이 관리하는 서버로 리디렉션되도록 Emotet를 업데이트하였고, Emotet에 감염된 호스트에 배포하는 데 성공했습니다. Europol은 이대로 Emotet의 업데이트를 감염된 모든 호스트에 전달하여 Emotet을 제거할 것이라고 말합니다.

추가로, Emotet뿐만 아니라 전 세계적으로 피해가 확대 중인 랜섬웨어 'NetWalker'에 대해서도 FBI가 추적조사를 실시했습니다. 조사결과 FBI는 약 45만 4000달러의 가상통화를 불법으로 획득한 혐의로 캐나다인을 체포했다고 발표했습니다.

Cybercops derail malware botnet, FBI makes ransomware arrest
https://apnews.com/article/europe-malware-netherlands-coronavirus-pandemic-7de5f74120a968bd0a5bee3c57899fed

신종 코로나바이러스 감염(COVID-19) 유행에 따라 재택근무의 수요가 증가하였고 가정에서는 여러 사람이 동시에 Wi-Fi를 사용하는 상황이 늘었습니다. 이러한 상황 속에서 발생하는 Wi-Fi의 통신속도가 저하하는 문제에 대해 드렉셀대학의 전기공학 • 컴퓨터공학과의 카필 단데카 교수가 가장 먼저 조치해야 할 개선방법을 설명합니다.

How to boost your WiFi performance when everyone 's at home
https://www.inquirer.com/health/coronavirus/router-wifi-bad-signal-work-from-home-verizon-comcast-20210125.html

How to improve your wireless internet signal at home
https://www.inquirer.com/news/how-to-improve-wifi-speed-wireless-internet-signal-20200520.html

'Fast.com' 등의 인터넷서비스에서 측정한 속도는 때로는 실측값이 공급자가 선전하는 회선속도를 크게 밑도는 경우가 있습니다. 어느 정도의 통신속도가 필요한지는 실행중인 프로그램에 따라 다릅니다만, 미국의 연방통신위원회는 1가족 4대의 장치를 사용하는 경우 최소 25Mbps의 다운로드 속도를 미달하면 문제가 발생할 수 있다고 보고 있습니다.

통신속도가 보장속도보다 훨씬 낮은 경우에는 공급자 케이블, 라우터 장치 자체 중 하나에 문제가 있을 것이라며, 단데카 교수는 이 중에서도 개선이 가능한 케이블과 라우터에 대해 설명합니다.

우선 단데카 교수는 라우터를 다시 시작 및 펌웨어 업데이트를 실시하라고 조언합니다. 다시 시작 등으로도 문제가 개선되지 않았다면 라우터를 둔 장소를 체크한 후 적절한 장소로 변경하라고 권합니다. 라우터는 스프링클러가 물을 뿜어내듯 주위에 전파를 발산하기 때문에 좋지 않은 위치에 배치되어 버리면 전파가 적절한 범위에 닿지 않고, 한정된 장소에서만 Wi-Fi에 연결할 수 있습니다.

전파는 거리가 멀거나 사이에 장애물이 있을수록 약해지기 때문에 단데카 교수는 장치를 사용범위의 중심에 라우터를 두도록 조언합니다. 2층과 같이 층을 걸쳐 Wi-Fi 망을 까는 경우에는, 1층에 설치한 라우터를 높이 있게 배치하여 2층과의 거리도 접근시키는 것이 중요하다는 것. 또한 전자레인지와 금속재질의 캐비닛은 Wi-Fi 전파를 약하게 하므로 가급적 라우터에서 멀리 배치하는 것을 권장합니다.

한편, 'Wi-Fi 전파아이콘이 정상인데 회선속도가 너무 느린 경우'에는 케이블에 문제가 있을 수 있습니다. 단데카 교수는 '룸메이트인 남자친구가 잘 때마다 Wi-Fi 전파아이콘이 정상인 상태에서 연결이 끊긴다'는 괴기현상에 시달리고 있던 미국의 필라델피아에 거주하던 Twitter 사용자의 문제원인은 '남자친구의 침대가 케이블을 눌러 압박하고 있었다'는 것이었다는 사례를 들며 "당연하다고 생각되지만, 케이블이 양호한 상태이고 라우터에 단단히 연결되어 있는지 확인해야 합니다"라고 조언합니다.

또한 단데카 교수는 위와 같은 무료로 할 수 있는 개선방법을 실천하고도 성과가 없을 경우에는 라우터 교체 및 Wi-Fi 전파를 중계하는 무선 확장기(Wi-Fi wireless expender)의 구입을 권장합니다.

YouTube에서 다른 웹사이트에 YouTube 동영상을 재생하는 플레이어를 설치할 수 있는 HTML 태그를 출력하는 기능이 있습니다. 임베디드 플레이어는 동영상 재생이나 정지 등의 조작 외에, 재생목록 등에 액세스할 수 있는 편리한 존재. 그러나 그런 YouTube 임베디드 플레이어에셔 재생기록과 비공개 동영상이 유출되는 취약점이 있었다고 발견자인 David Schütz 씨가 주장합니다.

bugs.xdavidhu.me - xdavidhu's bug bounty writeups.
https://bugs.xdavidhu.me/google/2021/01/18/the-embedded-youtube-player-told-me-what-you-were-watching-and-more/

YouTube 계정에는 '재생기록' 목록, '나중에 보기' 목록, '즐겨찾기' 목록, '업로드' 목록 등이 존재하는데, Schütz 씨는 이 목록의 URL이 '추측 가능한' 상태였음을 발견했습니다. 예를 들어, 업로드한 동영상이 포함된 업로드 목록은 채널을 표시하는 URL 'https://www.youtube.com/channel/채널ID의 '채널ID 부분 처음 세 글자를 'UUB' 또는 'UUD'로 변경하면 액세스할 수 있었다고 합니다.

계정에 미로그인 상태의 경우에는 업로드 목록의 공개된 동영상에만 액세스할 수 있기 때문에 목록의 URL을 추측 가능한 것만으로는 비공개 동영상의 유출 가능성이 없습니다. 그러나 Schütz 씨는 YouTube의 '임베디드 플레이어'에서 플레이어를 재생한 사람의 계정에 로그인한 상태를 만들어 낼 수 있다는 취약점을 발견했습니다.

YouTube의 동영상을 웹사이트에 포함된 플레이어로 설치할 수 있고 설치한 플레이어는 YouTube Player API를 이용한 JavaScript에 의한 제어가 가능합니다. YouTube Player API는 'YouTube'와 '설치한 웹사이트' 사이의 크로스도메인 통신을 postMessage 메소드로 실시하고 있으며, API의 playVideo 메소드와 pauseVideo 메소드, getPlaylist 메소드 등 동영상 재생, 정지, 목록에서 동영상 검색 같은 조작이 가능하게 되어 있습니다.

Schütz 씨가 YouTube 해킹에 착수했던 당시에는 YouTube Player API에는 재생목록의 동영상 정보를 얻을 수 있는 getVideoData 메소드가 존재했다고 합니다. getVideoData 메소드로 취득 할 수 있는 VideoData 오브젝트에는 동영상ID와 작성자, 제목 등의 정보가 포함되어 있었습니다. 또한 플레이어를 재생한 사람이 YouTube에 로그인한 상태라면 임베디드 플레이어도 로그인 상태가 되기 때문에, 임베디드 플레이어는 계정에 대한 모든 권한을 부여받았습니다.

따라서 웹사이트에 YouTube 임베디드 플레이어를 설치하여 YouTube Player API의 메소드로 추측한 URL을 함께 사용하면 비공개 동영상에 액세스 가능한 상태였습니다.

이 취약점이 발견된 시점은 2019년 10월로 현재는 수정되었습니다. Schütz 씨는 취약점의 포상금으로 Google에서 1337달러(약 134만 원)를 받았지만, "지금 생각하면 취약점이 미치는 영향에 비해 보상이 적었다고 생각한다"고 당시의 보상금액을 되돌아보며 "시스템을 이해하면 할수록 파괴방법에 대한 아이디어가 떠오른다"고 말합니다.

최근의 전자기기에서 자주 발생하는 현상으로,
특히 건강상의 피해나 기기의 고장으로 이어지는 것은 아니라는 결론이 났습니다.

누전의 가능성과 원인

제조사의 견해는 "무해한 누설전류로 사용자나 기기에 해를 끼치지 않는다"는 것입니다. 전자기기의 기반이나 회로가 더욱 세밀하게 되면서 의도하지 않게 누출되어버리는 전류(누설전류)도 많아졌다고 합니다. 이 미약한 누설전류가 전기가 통하는 알루미늄 뒷판을 통해 전해져 사용자의 손가락에 희미하게 감지되는 정도의 전류가 흘러버리는 것 같습니다.

누설전류는 회로가 미세할수록 전류가 증가하는 관계에 있습니다. 최근의 회로는 매우 미세하여 전기가 통하는 부분과 통하지 않는 부분이 미세하게 얽혀있기 때문에 누설전류가 많아지고 있습니다.

새로운 전자기기에서 소비되는 전력 중 절반 이상이 누설전류라는 연구결과도 있어, 소비전력의 측면에서도 이 누설전류에 대한 대책이 최대의 초점이 되고 있습니다.

취해야 할 대책

누설되는 전류가 미약하므로 특별히 신경을 쓸 필요는 없습니다만, 걱정된다면 스마트폰에 절연 소재의 커버를 사용하는 것을 권장합니다.

손가락이 찌릿찌릿하는 수준을 넘어 손이 저릴 정도의 전류와 이상발열이 있다면 즉시 전원을 끄고 제조사에 문의합시다.

'스미싱(Smishing)'은 SMS를 악용한 피싱의 호칭으로 'SMS'와 'Phishing'을 조합한 신조어이다. 통신사업자와 택배업체를 가장한 스미싱이 다발하고 있으며, 2019년 6월에는 JC3(일본 사이버범죄 예방센터)가 '통신사업자를 사칭한 스미싱 사기수법에 관한 주의를 촉구했다.
JC3는 'SMS 발신을 위장한 메시지가 정규 발신자의 스레드에 전송된다'고 설명하고 있다.
평소 아무런 의심없이 SMS를 이용하고 있던 나는 경악했다. 정규 스레드로 피싱메시지가 들어오다니. JC3의 주의를 읽은 것만으로는 믿을 수 없었기 때문에 클라우드 전화서비스 'Twilio'를 이용하여 실제로 시험해 보았다. Twilio의 이용약관은 원본을 위장하고 타인을 속이는 행위를 금지하고 있기 때문에 검증은 내가 소유한 환경에서 실시했다.

송신자 표기가 송신자ID인 케이스

SMS 메시지를 수신했을 때 표시되는 발신자는 전화번호 대신 영숫자로도 표기할 수 있다. 이 숫자의 송신자 표기를 '송신자ID(Sender ID)'라고 한다.

송신자ID의 사용 여부는 수신하는 통신사업자의 대응상황에 따라 다르다. Twilio의 판매파트너 KWC의 설명에 따르면, 일본에서는 NTT DOCOMO와 SoftBank가 송신자ID에 대응하고 KDDI는 지원하지 않는다고 한다. 나는 KDDI의 회선을 소유하고 있지 않기 때문에 수신자가 KDDI의 전화번호를 사용하는 경우의 동작은 확인하지 못하고 있다.

우선 iOS의 공식메시지 앱에 도착해 있었던 Amazon의 메시지 스레드에서 위장을 시도했다. 송신자ID가 Amazon이기 때문에 Twilio로 SMS를 보낼 때의 From 값을 Amazon으로 지정한다.

curl -X POST https://api.twilio.com/2010-04-01/Accounts/{$ACCOUNT_SID}/Messages.json \
--data-urlencode 'From = Amazon'\
--data-urlencode 'Body = hello'\
--data-urlencode 'To = $ IPHONE_NUMBER'\
-u $ ACCOUNT_SID : $ AUTH_TOKEN

Twilio에서 보낸 메시지 'hello'가 정규의 스레드에 포함됐다. JC3의 설명은 사실이었다. 일본어나 URL 링크를 포함한 현실적인 피싱메시지의 전송도 시도한다. Curl은 장문의 메시지가 보내기 힘들었기 때문에, Twilio의 Python 모듈을 사용하여 메시지를 보낸다.

import os
from twilio . rest import Client
​
account_sid = os . environ . get ( 'ACCOUNT_SID' )
auth_token = os . environ . get ( 'AUTH_TOKEN' )
client = Client ( account_sid , auth_token )
​
message = client . messages . create (
body = ( 'Amazon Pay 캐쉬백 캠페인에 당선되었습니다. \ n \ n'
'아래 링크에서 로그인하고 1만 엔 분의 포인트를 이용해 주십시오. \ n'
'https://amazon.akaki.io/' ) ,
from_ = 'Amazon' ,
to = os . environ . get ( 'IPHONE_NUMBER' )
)

URL 링크를 포함한 일본어의 메시지도 보낼 수 있었다. Android의 공식메시지 앱에서도 마찬가지로 보내는 위장을 시도했다. Google의 메시지 송신자ID인 Google을 From 값으로 지정하면 보낸 메시지가 정규의 스레드에 포함됐다.

당초 Amazon 대신 Apple의 스레드로 실증을 예정하고 있었지만, From 값을 지정하면 Error 21212가 발생했다. From 값을 변경하면 메시지를 보낼 수 있으므로 Twilio 측에서 특정 송신자ID 지정을 금지하고 있다고 짐작한다.

$ curl -X POST https://api.twilio.com/2010-04-01/Accounts/{$ACCOUNT_SID}/Messages.json \
> --data-urlencode 'From = Apple'\
> --data-urlencode 'Body = hello'\
> --data-urlencode 'To = $ IPHONE_NUMBER'\
> -u $ ACCOUNT_SID : $ AUTH_TOKEN
{ 'code': 21212 'message': 'The 'From'number Apple is not a valid phone number, shortcode, or alphanumeric sender ID', 'more_info': 'https://www.twilio.com/docs / errors / 21212 ','status ': 400}

송신자 표기가 전화번호인 경우

발신자가 전화번호로 표기되는 스레드에도 위장한 메시지를 포함할 수 있을까? 슈퍼 콜프리 번호가 발신자로 되어 있는 PayPay의 메시지 스레드로 위장을 시도했다.

보낸 사람의 전화번호를 From 값으로 지정하면 Error 21212가 발생한다. From 값에 공백이 포함된 것을 원인으로 보고 국가번호를 추가하자 오류코드가 변화했다. 새롭게 발생한 Error 21606의 설명에 따르면, Twilio는 스팸방지를 위해 계정에 연동되지 않은 전화번호를 From 값으로 지정할 수 없는 사양이었다.

$ curl -X POST https://api.twilio.com/2010-04-01/Accounts/{$ACCOUNT_SID}/Messages.json \
> --data-urlencode 'From = + 81120990637'\
> --data-urlencode 'Body = hello'\
> --data-urlencode 'To = $ IPHONE_NUMBER'\
> -u $ ACCOUNT_SID : $ AUTH_TOKEN
{ 'code': 21606 'message': 'The From phone number +81120990637 is not a valid, SMS-capable inbound phone number or short code for your account.' 'more_info': 'https : //www.twilio .com / docs / errors / 21606 ','status ': 400}

Twilio를 이용한 검증 결과, 보낸 사람의 전화번호를 위장해 정규의 스레드에 메시지를 포함할 수 없었다. 그러나 정규 스레드에 포함할 목적으로 하지 않으면 독자적으로 송신자ID를 지정하는 것만으로 위장한 메시지를 보낼 수 있다. 송신자ID를 지정하면 PayPay의 공식메시지를 위장할 수 있다.

iOS 및 Android의 공식메시지 앱은 메시지의 URL 링크를 이미지와 제목을 포함한 링크로 대체하는 링크 미리보기 기능이 탑재되어 있다. iOS에서는 연락처에 등록하지 않은 소스에서 보내온 메시지라면 미리보기가 작동하지 않았다. 그러나 Android에서는 앱 설정에서 자동 미리보기가 활성화되어 있으면 연락처에 등록하지 않은 소스도 미리보기가 작동했다. 미리보기를 로드할 때 정규사이트와 공통점이 늘어나기 때문에 구분이 어려워진다.

지금까지 LINE와 같은 감각으로 SMS를 이용하고 있었기 때문에 정규 스레드로 위장된 메시지가 전송될 것이라고는 생각도 하지 않았다. 만약 교묘하게 위장된 피싱메시지를 보냈다면 이변을 눈치챌 수 없었을 것이다. 기존 메일에는 없는 채팅 특유의 스레드 표시를 무의식적으로 믿어버리고 있었다. 피해를 입기 전에 이런 사양에 주의한 것은 다행이었지만, SMS 이용자로서 더 빨리 알아야 했다. 피싱 동향을 매일 살필 필요성을 실감했다.

Twilio를 이용한 검증에서는 송신자 표기로 전화번호가 있는 스레드는 메시지를 포함할 수 없었다. 하지만 송신자ID를 위장하는 것만으로도 충분히 위협이 될 수 있다. 실제로 2018년 7월경부터 발생하는 택배업체를 가장한 스미싱은 SMS에서 부재 중 알림을 하지 않는 택배업체로 위장한 메시지로 많은 피해가 나왔다.

출처 참조 번역
· Wikipedia
· SMSで送信元を偽装したメッセージを送る
https://akaki.io/2019/sms_spoofing

국내 홈네트워크 환경은 10Gbps의 회선 플랜의 등장과 Wi-Fi 6에 대응한 무선 LAN 라우터의 증가 등 최근 몇 년 동안 고속화 · 고품질화가 진행되었습니다. 그럼에도 불구하고 2005년에 출시되어 현재까지 판매되고 있는 '무선 LAN 라우터'가 있다고 해외 뉴스사이트 Tadium의 편집자 어니 스미스 씨가 언급했습니다.

WRT54G History : The Router That Accidentally Went Open Source
https://tedium.co/2021/01/13/linksys-wrt54g-router-history/

지금은 가전 양판점 등에서 부담없이 사용할 수 있는 라우터이지만, 1990년대 당시에는 매우 고가의 장비여서 일반인의 손이 닿지 않는 존재였습니다. 또한 1990년대 후반에 일반 가정에 보급되기 시작한 광대역 회선은 고속통신이 가능한 반면, 기존의 전화 회선보다 이용요금이 고액이었습니다.

이러한 네트워크를 둘러싼 당시 상황에서 소규모 사업자나 가정에서 '하나의 회선으로 여러 대의 컴퓨터를 연결하고 싶다'는 수요를 재빨리 감지한 업체는 1988년에 설립된 Linksys였습니다. Linksys는 네트워크 전문가가 아니더라도 쉽게 설정이 가능한 라우터를 199달러(당시 환율로 약 20만 원)라는 저렴한 가격에 출시하여 가정용과 네트워크 기기 시장을 석권. 그 후 Linksys는 2003년에 네트워크 장비업체인 Cisco에 5억 달러(약 6000억 원)에 인수되었습니다.

Linksys 제품의 무선 LAN 라우터 'WRT54G'시리즈는 당시의 무선 LAN 라우터의 대명사격인 존재로, 시리즈의 모델 중 하나인 'WRT54GL'는 현재 판매되고 있습니다. WRT54G 시리즈가 이 정도까지 호흡이 긴 제품이 된 이유는 Linksys 인수의 혼란 속에서 간과된 '문서화되지 않은 기능'이 요인이었다는 것. 그것은 '펌웨어가 Linux 기반이다'라는 점이었습니다.

Linux 라이센스는 'GNU GPL'이기 때문에 Linux를 이용하는 WRT54G의 펌웨어도 소스코드의 공개가 필요합니다. Linux 커널 개발자 앤드류 미크라스 씨는 WRT54G의 펌웨어가 Linux 기반이라는 사실을 Linksys 직원으로부터 확인하고 소스코드의 공개를 요청했지만 응답은 없었다고 합니다. 미크라스 씨는 스스로 WRT54G의 펌웨어를 분석하여 소스코드를 Linux 메일링리스트에 공개. 펌웨어 소스코드가 공개된 것은 Cisco가 Linksys를 인수한 해였습니다.

Cisco가 Linksys 인수시에 이 문제를 발견하지 못했던 이유는, 펌웨어 공급망에 'Linux 기반'이라는 정보가 누락되어 있었기 때문이었습니다. 펌웨어는 원래 Linksys에 칩을 공급했던 Broadcom이 해외업체에 아웃소싱하여 개발한 것이었지만, 개발을 위탁한 Broadcom도 칩을 제공받은 Linksys도 펌웨어에 Linux가 이용되고 있었는지 몰랐다는 것. M&A 전문가도 "Cisco가 이 문제를 사전에 감지하는 것은 매우 어려웠다"고 지적합니다.

이 문제가 해외 언론에 의해 보도되자 Cisco는 공식적으로 소스코드를 공개하였고 그 결과 WRT54G는 사람들에 의해 SSH 서버나 VPN과 같은 기능들이 속속 추가되어 갔다는 것. 소스코드를 공개한 후 WRT54G의 펌웨어를 모두 자사 코드로 고쳐 쓴 Cisco이었지만, 커뮤니티의 반발을 받아 펌웨어가 Linux 기반인 라우터 'WRT54GL을 발매. 이 WRT54GL는 오랫동안 개발자들에게 사랑받았고 OpenWrt 및 Tomato 등의 네트워크 기기용 오픈소스 OS 개발로 이어져갔습니다.

WRT54GL이 발매된 것은 2005년의 일입니다만, 2016년 시점에서도 Linksys에 연간 수십억 원의 이익을 안기고 있었다고 합니다. 2013년에 Belkin의 산하가 된 Linksys가 현재까지 WRT54GL의 판매를 계속하는 이유에 대해 Linksys의 프로덕트 매니저인 Vince La Duca 씨는 "사람들이 WRT54GL을 계속해서 구입하기 때문"이라고 언급한 바 있습니다.

현재 WRT54GL은 Amazon에서 세금을 포함해 33만 원가량에 판매되고 있습니다.

웹사이트와 책, 영화 등을 나중에 보려고 했을 때, 북마크와 메모장에 적당히 저장하면 나중에 "이것은 무엇이던가?"라고 혼란스러울 때가 있습니다. 'Journal'은 웹사이트와 수중의 사진을 보드에 붙여넣어 저장할 수 있고, 스마트폰에서의 액세스 및 타인과의 공유도 손쉽게 가능한 웹서비스입니다.

Journal - Bring your projects to life.
https://usejournal.com/

Journal는 다운로드가 필요한 각종 OS나 스마트폰용 애플리케이션뿐만 아니라 브라우저 버전도 준비되어 있으므로 브라우저로 공식사이트에 액세스하면 쉽게 이용을 시작할 수 있습니다.

◆ 카메라 롤(camera roll)의 앨범 기능

1) 여행 일정과 여행을 결합한 이름의 앨범을 만듭니다.
예 : 20200729-0731_ 제주도
2) 촬영 직후 촬영화면의 왼쪽 하단의 사진보기를 누릅니다.
3) 넣고 싶은 앨범을 눌러 선택합니다.

◆ ALPACA(알파카)

'ALPACA(알파카)'는 카메라 롤에서 사진을 자동으로 식별하고 카메라에 대한 액세스를 허용하는 것만으로 비슷한 사진을 확인하고 정리해주는 편리한 앱입니다.

1) 앱 화면 상단의 '정리 대상'을 탭하면 비슷한 사진이 폴더 분할로 표시됩니다.
2) 정리하려는 폴더를 탭하여 남기고 싶은 이미지를 별마크를 합니다.
3) '선택한 사진을 남기고 삭제'→ '삭제'를 탭하면 불필요한 사진이 카메라 롤에서 삭제됩니다.

앱에서 삭제된 사진은 삭제 후 30일 이내에 복원도 가능합니다. 카메라 롤 앱에서 복원하려는 사진을 누른 뒤 '복원'을 탭하면 삭제 전으로 되돌릴 수 있습니다.

◆ Google 포토

Android라면 'Google 포토' 앱을 추천합니다.
온라인 사진과 동영상을 관리할 수 있는 스토리지 서비스입니다. 온라인이라 기종을 변경하더라도 이전 단말기의 이미지를 계승할 수 있고, PC에서도 확인할 수 있는 등 여러 디바이스에서 액세스할 수 있습니다.

1) 앱을 실행시켜 앨범을 탭하면 인물, 촬영 장소, 피사체 등의 앨범이 표시됩니다.
2) 하나의 앨범을 눌러 백업을 실행합니다.
3) 백업이 완료되면 검색창에서 사진을 검색할 수 있습니다.
※ '날짜', '인물', '장소', 고양이 등 분류명으로 검색해야 합니다. 등록을 하면 고유명사로 검색할 수 있습니다.

보안연구자인 Jonas L(@jonasLyk) 씨가 단 한 줄로 NTFS 형식의 스토리지를 파괴시킬 수 있는 커맨드의 존재를 공개했습니다. Jonas 씨와 IT계 뉴스사이트 Bleeping Computer의 조사결과, 이 커맨드를 이용한 '보는 것만으로도 스토리지가 손상되는 바로가기'의 존재도 확인되었습니다.

Windows 10 bug corrupts your hard drive on seeing this file 's icon
https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/

문제의 커맨드는 아래와 같습니다. 실제로 커맨드를 프롬프트에서 실행하면 스토리지가 손상되어 액세스를 할 수 없게 될 가능성이 있으므로 상태의 보존 · 복원을 할 수 있는 스냅샷 기능을 갖는 가상환경에서만 실행하도록 하십시오.

'$i30'는 파일과 하위폴더의 목록을 포함하는 디렉토리에 대한 NTFS속성으로, 액세스하면 드라이브가 손상될 수 있습니다. Jonas 씨에 따르면, 파손시 참조되어야 하는 레지스트리 키가 작동하지 않기 때문에 원인은 모른다고 합니다. 실제로 이 커맨드를 실행한 사람은 "10번을 시도해도 복구할 수 있었다"는 보고도 나오고 있습니다만, Bleeping Computer에 따르면, 마스터 파일테이블이 파손되는 경우도 있다고 합니다.

문제의 커맨드를 입력한 직후에는 커맨드 프롬프트에 'The file or directory is corrupted and unreadable(파일 또는 디렉터리가 손상되었고 읽을 수 있습니다)'라고 표시되고 그 후 'Restart to repair drive errors(드라이브 오류를 복구하기 위해 다시 시작하십시오)'라는 팝업이 출현.

재부팅 후에는 디스크검사 유틸리티(CHKDSK 유틸리티)에 의한 하드드라이브 복구가 시작됩니다.

이벤트 로그에는 '드라이브에 손상된 레코드가 존재한다'는 오류가 생성됩니다.

Jonas 씨와 Bleeping Computer의 조사결과, '보기만 해도 스토리지가 손상되는 바로가기'의 존재도 밝혀졌습니다. 이 바로가기는 문제의 커맨드를 '아이콘 위치'로 설정한 것으로, Windows 탐색기의 '바로가기를 표시할 때 아이콘 경로에 엑세스한다'는 거동을 이용하여, 바로가기를 탐색기에서 표시한 순간에 문제의 커맨드를 실행시킵니다.

Bleeping Computer는 '문제의 커맨드를 참조하는 HTML 문서'나 '본 것만으로 HDD가 손상되는 바로가기를 포함하는 ZIP 아카이브' 등 문제의 커맨드를 활용하면 사이버공격에서도 결정적인 영향을 미칠 수 있다고 지적합니다. 이 현상은 연구자들 사이에서 수년간 알려져 있었지만 Microsoft는 아무 조치도 하지 않았다고 주장합니다.

Bleeping Computer는 재차 문제의 커맨드에 대해 Microsoft에 보고하자, 대변인은 "영향을 받는 장치의 업데이트를 가능한 한 빨리 제공할 예정입니다"라는 답변을 얻었다고 합니다.

'모바일 기기의 어떤 보안대책이 사용자 데이터에 대한 무단 액세스를 유효하게 막고 있는 것인가', 현대의 모바일 기기는 어떤 무단 액세스를 당하고 있는가', '무단 액세스를 방지하기 위해 모바일 기기에는 어떤 개선점이 필요한가'라는 모바일 기기의 보안에 대한 기본적인 의문에 대해, 존스홉킨스대학의 연구팀이 iOS 및 Android를 철저하게 조사한 후 해답을 제시했습니다.

Data Security on Mobile Devices
https://securephones.io/

Data Security on Mobile Devices : Current State of the Art, Open Problems, and Proposed Solutions
https://securephones.io/main.html

◆ iOS의 사례

연구팀에 따르면, iOS는 강력한 암호화가 이루어지고 있으며, 보안 및 개인정보의 제어가 엄격하게 이루어지고 있지만, 툴이 충분히 활용되고 있지 않았기 때문에 커버하는 범위가 미흡했다고 합니다.

구체적으로는 '전원이 켜져있는 단말기는 암호화의 장점이 한정되어 있다'고 지적합니다. 이것은 처음부터 내장된 앱이 보유하고 있는 놀라운 양의 기밀 데이터가 '첫 번째 잠금 해제 후 사용 가능'이라는 보호 클래스에서 보호되고 있기 때문입니다. 이 보호 클래스는 단말기가 잠긴 상태라면 메모리에서 암호해독 키를 삭제하지 않기 때문에 '잠겨있지만 전원이 켜져있는 상태'의 단말기에서 Apple의 임베디드 앱의 기밀 데이터를 빼낼 수 있습니다.

클라우드를 이용한 백업과 서비스도 약점 중 하나입니다. iCloud 이용시 Apple의 서버로 전송되는 대량의 사용자 데이터는 iCloud 계정에 무단 액세스 가능한 상태의 공격자나 소환장을 갖는 법집행기관에 의해 원격으로 액세스할 수 있습니다. 연구팀은 "놀랍게도 시스템의 취약성을 증가시키는 iCloud의 기능도 발견했다"고 밝혔습니다.

클라우드에 대해 연구팀은 '종단간 암호화'의 한계도 지적하고 있습니다. 종단간 암호화가 된 일부 서비스는 iCloud 백업서비스와 함께 사용하면 기밀성이 손상되는 것으로 나타났다는 것. 또한 Apple의 문서 및 사용자 설정에서의 '암호화'와 '종단간 암호화'가 모호하여, Apple이 사용 가능한 데이터가 어떤 것인지를 이해하는 것이 어려워지고 있다고 지적합니다.

또한 하드웨어 기반 키 관리기능을 포함하여 안전한 보조프로세서이어야 할 Secure Enclave에 취약점이 존재하는 것도 문제점의 하나. 이 취약점은 패치의 수리가 불가능하다는 점이 지적되고 있습니다.

◆ Android 사례

Android 단말의 경우 플래그쉽 모델에는 꽤 강력한 보호기능이 탑재되어 있습니다만, Google 및 단말기 제조업체 사이의 관계가 얇고 OS업데이트의 반영이 늦거나 소프트웨어 아키텍처에서 고려해야 할 점이 많고, 보안 및 개인정보 보호 컨트롤이 지리멸렬되어 있다는 것.

iOS에서 지적된 '전원이 켜져있는 단말기는 암호화의 장점은 한정되어 있다'는 점은 Android 단말기도 마찬가지. Android의 암호화는 iOS보다 보호단계가 적고, 복호화 키가 '첫 번째 잠금해제' 후 항상 유지되므로 사용자 데이터는 법집행기관에 의한 접근을 받기 쉬운 상태에 있습니다.

Android에는 Google 데이터센터의 물리적 하드웨어를 기반으로 한 종단간 암호화된 백업기능이 존재합니다. 그러나 종단간 암호화된 백업을 수행하려면 앱개발자가 승낙해야 합니다.

다양한 기업과 조직이 개발한 시스템으로 구성되어 있다는 점도 Android의 약점으로, 구성요소의 개발이 일원화되어있지 않기 때문에, Android 전체의 보안을 통합하려면 조정이 필요하지만, 그러한 노력은 부족하거나 존재하지 않는다고 지적합니다.

그리고 종단간 암호화가 제한적인 점을 들 수 있습니다. 기본적으로 종단간 암호화가 이루어지고 있는 것은 타사 메시징앱에 한정되어 있고, 많은 네이티브 Android 앱은 종단간 암호화를 제공하지 않습니다.

또한, Android는 Google 드라이브 또는 Gmail과 같은 Google 서비스와 긴밀하게 통합되어 있으며, 서비스를 이용함에 있어 사용자는 더 많은 데이터를 Google로 보내고 있습니다만, 전술한 바와 같이, 종단간 암호화가 철저히 되어있지 않기 때문에, 지식이 있는 공격자와 소환권한이 있는 법집행기관은 정보에 접근할 수 있는 상태에 있습니다.

연구팀에 따르면, iOS, Android 모두 클라우드와 데이터 동기화가 늘어나는 것이 보안의 악화요인이 되고 있다고 경고합니다.

iPhone을 무선으로 조작 가능한 취약점의 발견과 공급업체에 취약점 보고 등의 활동으로 잘 알려진 Google의 취약점 연구팀 'Project Zero'가 '매우 정교한 사이버공격'을 발견하였고 그 공격수법을 보고했습니다.

Project Zero : Introducing the In-the-Wild Series
https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html

Project Zero는 '제로데이 공격을 어렵게 하는 것'을 목적으로 매일 보안에 관한 연구를 실시하고 있습니다. 제로데이 공격을 어렵게 하는 방법 중 하나는 이미 알려진 제로데이 공격을 분석하는 것입니다만, 그것만으로는 알 수 없는 제로데이 공격은 막을 수 없습니다. 그래서 Project Zero는 Google의 위협분석 그룹 'Threat Analytis Group (TAG)'와 협력하여 알려지지 않은 제로데이 공격을 탐색한 결과, 2020년 1분기에 '매우 정교한 사이버공격'을 발견했습니다.

Project Zero에 따르면, '매우 정교한 사이버공격'의 공격수법은 대상자가 방문하는 사이트 등을 변조함으로써 공격대상 장치에 악성코드를 감염시키는 워터링 홀 공격(watering hole attack을 이용하여 공격대상 장치에 침입하는 다양한 코드를 실행합니다. 또한 공격대상 장치가 탑재한 OS에 따라 다른 공격수단을 실행합니다.

아래의 이미지는 이번에 발견된 사이버공격의 개략을 보여줍니다. 이 공격은 먼저 여러 웹사이트를 변조하여 악성코드를 심어두고 그 악성코드에 감염된 장치가 Windows · Android의 어느 쪽을 탑재하고 있는지 인식. 다음 각 OS 전용으로 만들어진 익스플로잇을 실행합니다.

이러한 공격은 공격의 초기단계에서 Google Chrome의 제로데이 취약점을 포함한 여러 취약점을 이용하여 공격대상으로부터 정보를 취득합니다. 공격자는 취득한 수십 종류의 정보를 바탕으로 공격대상 후보에 대한 공격의 계속 또는 중단을 결정하고, 공격의 계속이 결정되면 Windows의 제로데이 취약점을 포함한 3가지의 제로데이 취약점과 Android의 여러 취약점을 이용하여 권한 상승 공격을 시도합니다.

이러한 공격은 모듈마다 분할하여 설계되어 있었으며, 효율과 유연성이 우수했다는 것. 또한 공격이 크고 복잡한 코드로 구성되어 있었고 거기에 더해 대량의 안티분석 시스템이 내장되어 있었기 때문에 Project Zero는 공격의 분석에 수개월이 걸렸습니다.

Project Zero는 분석한 '매우 정교한 공격'에 대한 자세한 방법을 공개하며 "이 정보를 공개하여 충분한 자원을 가진 사이버공격 그룹의 존재를 많은 사람이 인식할 수 있기를 바랍니다."라고 말합니다.

또한 이번 분석에서 발견된 취약점은 모든 수정되었다고 합니다.

가상통화 Bitcoin(비트코인)은 지난 몇 년 동안 크게 가치가 높아졌습니다. 이에 2011년에 입수한 2300억 원 상당의 비트코인을 환전하고 싶은데도 비트코인을 저장한 USB의 암호를 잊어버려 액세스할 수 없게 되어버린 프로그래머의 존재가 보도되고 있습니다.

Lost Passwords Lock Millionaires Out of Their Bitcoin Fortunes - The New York Times
https://www.nytimes.com/2021/01/12/technology/bitcoin-passwords-wallets-fortunes.html

Programmer has two guesses left to access £175m bitcoin wallet | Technology | The Guardian
https://www.theguardian.com/technology/2021/jan/12/in-bits-the-programmer-locked-out-of-his-130m-bitcoin-account

비트코인은 2021년 1월 7일에 가격이 4만 달러로 급등해 1개월 이내에 2배가 되었습니다. 2009년에 만들어진 비트코인은 당초 1만 비트코인으로 피자 2판을 구입할 수 있는 정도의 가치밖에 되지 않았으나, 이후 전세계로 확대하는 가운데 가치가 급등하였습니다.

미국 샌프란시스코에 사는 프로그래머 스테판 토마스 씨는 2억 2000만 달러 (약 2300억 원) 상당의 비트코인을 소유하고 있으면서도 비트코인을 저장한 데이터 보안 기능이 있는 USB의 암호를 잊어버려 손도 댈 수 없는 상태라는 것. 토마스 씨는 7002비트코인이 저장되어 있는 USB IronKey의 암호를 적어둔 종이를 몇 년 전에 잃어버렸습니다. IronKey는 암호입력에 10번 실패하면 저장내용을 암호화하는데, 지금까지 토마스 씨는 8회 정도 암호입력에 실패했습니다.

"침대에 누워 암호에 대해 생각하고 문뜩 떠오른 새로운 전략을 시도하기 위해 컴퓨터로 향합니다만, 실패하여 자포자기가 되길 반복하고 있습니다"라고 토마스 씨는 말합니다.

토마스 씨처럼 가상통화에 액세스하기 위한 암호 등을 잊어버려 거액의 재산에 엑세스할 수 없게 된 사람은 적지 않습니다. 블록체인 분석기업 Chainalysis는 기존 1850만 비트코인 중 약 20%는 분실 또는 액세스할 수 없게 된 지갑에 해당된다고 추정합니다. 이 때문에 지갑복원 서비스의 인기가 높아지고 있으며, 1일 70건 정도의 문의가 있다고 Chainalysis는 말합니다.

기존의 은행과 PayPal와 같은 금융기업 서비스는 사용자가 암호를 분실했을 때 비밀번호를 제공하거나 암호 재설정을 수행할 수 있습니다. 하지만 비트코인은 중앙은행을 가지지 않고 '가상통화의 규칙을 준수할 것에 동의하고 소프트웨어를 사용하는 모든 컴퓨터가 네트워크에 의해 관리된다'는 방식을 취합니다. 그리고 소프트웨어의 알고리즘은 지갑 작성자만이 아는 비밀키를 생성합니다.

이 때 소프트웨어는 '비트코인 네트워크가 암호를 확인하지 않아도 그것이 정확하다는 것을 확인한다'는 것을 가능하게 합니다. 네트워크가 암호를 파악하고 있지 않기 때문에 암호는 사용자 본인이 관리할 수밖에 없지만, 사람들은 종종 암호를 잊어버리기 때문에 이러한 문제가 발생하는 것입니다.

토마스 씨는 "우리가 은행을 사용하는 것은 은행이 수행하고 있는 작업을 우리 스스로가 하고 싶지 않기 때문입니다"라며 "자신이 은행이 될 것"이라고 경고하며 가상통화의 취급에 경종을 울립니다.

해외 게시판 Reddit에 "NAND 스토리지가 고장난 iPhone 7을 사용하여 Ubuntu의 기동에 성공했다"는 글이 올라왔습니다. debootstrap으로 다른 PC에 구축한 루트파일 시스템을 NFS를 통해 공유하여 iPhone 7로 마운트하는 방법을 취하고 있습니다.

SUCCESS : iPhone 7 with dead NAND netbooting unmodified Ubuntu 20.04 arm64 over usb gadget ethernet : linux
https://www.reddit.com/r/linux/comments/kux9xx/success_iphone_7_with_dead_nand_netbooting/

실제로 iPhone 7에서 Ubuntu를 부팅시키고 있는 모습을 아래의 동영상에서 확인할 수 있습니다.

iPhone 7 booting Ubuntu 20.04 - YouTube
https://www.youtube.com/watch?v=DrntxWqDuvI

이번 해킹은 iOS용 탈옥툴 'checkra1n'과 iPhone에서 Android를 실행할 수 있는 'Sandcastle'에 더해 글을 올린 newhacker1746 씨 본인이 개발한 네트워크 관련툴로 구성되어 있습니다. checkra1n과 Sandcastle은 모두 iPhone에서 발견된 수정이 불가능한 부팅 ROM 취약점 'Checkm8'을 이용합니다.

우선 Raspberry Pi 4 등 arm64 아키텍처를 이용할 수 있는 환경에서 debootstrap을 통해 루트파일 시스템을 구축하여 NFS으로 LAN 내에 공개해야 합니다. debootstrap은 호스트에 새로운 루트파일 시스템을 구축할 수 있게 하는 소프트웨어로 루트디렉토리를 변경할 수 있는 chroot 명령과 함께 사용하여 호스트와 격리된 환경을 구축할 수 있습니다.

iPhone에 전개하는 Linux 커널은 Sandcastle의 개발원인 Corellium이 A9X/A10에서 작동하도록 개조한 'linux-sandcastle'을 사용. 커널 빌드시에 NFS의 루트파일 시스템을 마운트하도록 NFS의 공유 호스트의 IP주소 등을 설정한다고 합니다.

iPhone과 호스트 PC와의 네트워크 연결을 newhacker1746 씨의 툴로 확립되면, checkra1n를 사용하여 iPhone에서 pongoOS를 기동합니다. 빌드의 커널과 디바이스 트리를 Sandcastle 툴로 iPhone에 로드하여 Ubuntu를 기동할 수 있다는 것이 일련의 해킹 흐름. 커널은 RAM에 전개되고 루트파일 시스템은 NFS로 마운트하고 있기 때문에, iPhone 7 NAND에 결함이 있어도 Ubuntu를 부팅할 수 있도록 되어 있습니다.

덧붙여 이번 해킹은 X11 및 Wayland가 동작하고, 실제로 Ubunbu GUI를 기공하는 동영상도 공개되어 있습니다.

iPhone 7 booting Ubuntu 20.04 (to GUI) - YouTube
https://www.youtube.com/watch?v=DO8vt34kTh0

게시물 내용의 관리와 체크를 운영진 측이 하지 않을 것을 천명하고 있는 SNS 'Parler'에 게시된 영상 총 109만 8522개를 해커가 스크래핑을 통해 취득한 것으로 드러났습니다. 취득된 영상은 SNS 공개용으로 처리된 것이 아닌 게시 시점에 처리되지 않은 파일로 메타데이터도 남아있는 상태라고 합니다.

70TB of Parler users 'data leaked by security researchers | CyberNews
https://cybernews.com/news/70tb-of-parler-users-messages-videos-and-posts-leaked-by-security-researchers/

Parler Is Gone, But Hackers Say They Downloaded Everything First
https://www.vice.com/en/article/jgqbex/parler-is-gone-but-hackers-say-they-downloaded-everything-first

Parler는 AWS에서 제거된 영향으로 미국 동부 시간 2021년 1월 11일 오전 3시부터 다운된 상태에 있었는데, crash override(@donk_enby)라는 Twitter 사용자가 서비스 다운 전에 스크래핑을 통해 데이터를 입수했다고 주장합니다.

crash override 씨에 따르면 입수한 것은 사용자가 Parler에서 공개하기 위해 업로드한 동영상 파일의 원시 데이터로 총 109만 8552개 용량은 최대 80TB에 달한다는 것. 원시 데이터이므로 SNS에 게시될 때 삭제되는 메타데이터도 남아있어 어떤 계정으로 업로드했는지에 대한 정보와 촬영시의 지리 정보도 포함되어 있다고 합니다. 또한 계정에 따라서는 신원확인을 위해 운전면허증 등과 같이 정부가 발행한 ID를 이용한 경우에는 계정과 개인이 연결지어질 가능성도 지적되고 있습니다.

국회의사당으로의 침입사건이 발생한 이후 Parler에 게시된 그림이나 사진은 많이 제거되었지만 Parler는 SNS에서 보이지 않도록 플래그를 세우는 조치만 하고 소스파일의 삭제는 실시하지 않았기 때문에 영상이나 사진도 얻을 수 있었다는 것입니다.

웹사이트의 인증에 사용되는 암호인증은 암호 유출에 취약하기 때문에 물리키 등을 이용한 2단계인증을 도입하는 웹사이트가 증가하고 있습니다. Google의 'Titan 보안키'는 Google의 2단계인증에 사용할 수 있는 물리키 중 하나로, FIDO에 의한 생체인증에 대응하고 있는 것이 특징. 그런 Titan 보안키를 대상으로 보안조사 전문기관 NinjaLab이 사이드 채널 공격에 성공했다고 보고했습니다.

A Side Journey to Titan - NinjaLab
https://ninjalab.io/a-side-journey-to-titan/

A Side Journey to Titan
https://ninjalab.io/wp-content/uploads/2021/01/a_side_journey_to_titan.pdf

Titan 보안키의 내부에는 고유의 비밀키가 안전하게 저장되어 있으며, 2단계인증시에는 이 비밀키가 사용됩니다. 비밀키는 Titan 보안키의 외부로 유출되지 않기 때문에 물리키를 안전하게 보관해두면 계정에 대한 무단 액세스를 방지할 수 있습니다.

NFC 기능이 있는 Titan 보안키를 분해하면 비밀키의 생성 · 저장을 수행하는 'NXP A7005'칩이 보입니다.

NinjaLab은 입수한 Titan 보안키를 분해하여 물리적 분석을 실시했습니다. 분석에는 NXP가 제조한 'J3D081_M59_DF' 등 NXP A7005와 비슷한 특성을 가진 제품군이 매우 도움이 되었다며, NinjaLab은 NXP A7005와 비슷한 특성을 가진 제품군을 'Rhea'로 명명, Rhea의 암호화 과정의 연구를 진행했다고 합니다. 분석은 아래의 그림과 같이 칩의 다이를 화학약품에 노출시켜 전자방사선을 측정하는 식으로 이루어졌습니다.

Rhea의 전자방사선의 파형에는 비밀키의 정보가 포함되어 있어서 샘플을 4000종류 가량 수집하여 기계학습에 의한 분석을 함으로써 Rhea의 비밀키를 복원하는 데 성공했다는 것. 이 분석 방법은 Titan 보안키에도 유효하다고 NinjaLab은 보고 있습니다.

이번 취약점은 Titan 보안키뿐만 아니라 Yubikey Neo와 FEITIAN의 물리키에도 영향을 미친다고 합니다. 취약점을 이용하기 위해서는 보안키에 대한 물리적 액세스, 전용 소프트웨어, 기술 능력이 필요하므로 NinjaLab은 "물리키를 이용하는 편이 보안을 향상시킬 수 있습니다"라며 아직 취약점이 발견되지 않은 물리키로의 전환을 권장합니다.

기업이나 공공기관을 타겟으로 한 랜섬웨어 공격은 세계적으로 문제가 되고 있으며, 2020년에는 병원이 랜섬웨어 공격을 받은 영향으로 환자가 사망하는 사건도 발생했습니다. 그런 가운데, 대표적인 랜섬웨어인 'Ryuk'는 1억 5000만 달러의 몸값을 벌어들인 것으로 밝혀졌습니다.

Crime Laundering Primer: Inside Ryuk Crime (Crypto) Ledger & Risky Asian Crypto Traders
https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders

보안기업 Advanced Intelligence와 HYAS의 조사에 따르면, Ryuk가 지금까지 벌어들인 몸값의 합계는 1억 5000만 달러(약 1550억 원)를 웃도는 것으로 밝혀졌습니다.

아래의 이미지는 Ryuk가 공격대상으로부터 몸값으로 받은 비트코인을 현금으로 환전하는 과정을 보여줍니다. Advanced Intelligence의 조사에 의해 Ryuk가 아시아에 본사를 둔 암호자산 거래소인 'Huobi'나 'Binance'에서 환금을 하고 있다는 것이 드러났습니다. 일반적으로 거래소에서의 환금은 엄격한 본인확인이 필요하지만, Ryuk가 이용한 거래소에서는 본인확인 절차가 엄격하게 운용되고 있지 않았기 때문에 돈세탁에 이용되는 경우가 많다고 Advanced Intelligence는 지적합니다.

공격자는 Ryuk를 이용한 랜섬웨어 공격을 하기 전에 공격대상을 'Emotet', 'Zloader', 'Qakbot' 등의 악성코드로 감염시켜 다양한 정보를 수집합니다. 그 후 수집한 정보를 바탕으로 고액의 몸값을 지불할 능력이 있다고 판단되는 대상을 타겟으로 랜섬웨어 공격을 가한다는 것. 이 방법으로 공격자는 한 번의 공격으로 수십만 달러에서 수백만 달러의 몸값을 빼앗는 데 성공합니다.

일반적으로 랜섬웨어를 이용한 공격자는 웹채팅 서비스를 이용해 공격대상과 연락하는데 비해 Ryuk 공격자는 고도로 암호화된 통신을 이용하여 연락을 시도하기 때문에 통신 출처를 확인하는 것이 매우 난해하다고 합니다. 또한 일부 랜섬웨어를 이용한 공격자는 공격대상의 교섭에 응하기도 하지만, Ryuk 공격자로부터의 연락은 매우 사무적이어서 협상의 여지가 없다고 합니다.

Advanced Intelligence는 랜섬웨어 공격을 방지하기 위해 'Microsoft Office 매크로의 실행을 제한', '원격 액세스 포인트는 최신으로 업데이트하고 2단계인증을 사용', '원격 액세스 툴을 사용할 수 있는 IP를 제한' 등의 조치를 취할 것을 권장합니다.

워싱턴DC에 있는 소프트웨어 개발회사인 BTI360의 전 기술자인 조엘 골드버그 씨는 퇴직함에 따라 동료들에게 '45년의 경력을 쌓으며 배운 교훈'을 전수했습니다.

그에게서 훈도를 받은 BTI360의 마이클 클라크 씨는 그가 반세기 가까이 IT업계에 종사하며 얻은 지식과 경험을 6가지로 정리해 공개했습니다.

BTI360 | What I 've Learned in 45 Years in the Software Industry
https://www.bti360.com/what-ive-learned-in-45-years-in-the-software-industry/

◆ 1 : '지식의 속박'에 주의할 것

골드버그 씨가 말하는 '지식의 속박'이라는 것은 고급지식을 습득한 사람이 종종 빠진다는 '경험이 적은 사람과 커뮤니케이션을 취할 수 없게 되는 현상'을 가리킵니다. 특히 전문적이고 복잡한 지식에 익숙한 사람일수록 이러한 경향이 강한 것 같습니다.

'지식의 속박'에 걸리면 코드가 난독화할뿐만 아니라 회화에까지 차질이 빚어지기 때문에 골드버그 씨는 "청중을 이해하는 노력을 게을리하지 않고 항상 처음 커뮤니케이션을 취하는 것과 같은 자세를 염두에 두고, 지식의 속박과 싸워주십시오"라고 조언했습니다.

◆ 2 : 기초를 소중히 할 것

IT업계에서는 기술이 하루가 다르게 변화해 나가기 때문에, 언제까지나 기본적인 것들에 매달릴 수는 없는 것처럼 들릴 수 있습니다. 그러나 골드버그 씨는 "소프트웨어 개발의 기본개념 중 일부는 유행과는 무관한 것입니다"라고 말하며, 아무리 시간이 지나도 변하지 않는 중요한 '기초'를 6가지 제시했습니다.

1. 팀워크 : 뛰어난 소프트웨어 개발에 뛰어난 팀이 필수적이기 때문에 팀워크의 고마움을 잊지 말아야 할 것.
2. 신뢰 : 팀워크는 팀원의 신뢰에 달려있으므로 '함께 일을 하고 싶다'고 평가받는 믿음직한 사람이 되어야 한다고 합니다.
3. 커뮤니케이션 : '지식의 속박'을 회피하고, 정직하고 적극적인 커뮤니케이션을 취하면 신뢰조성에 도움이 됩니다.
4. 합의를 할 것 : 시간을 아끼지 않고 팀 전체를 아우르는 논의를 하다 보면 의견 차이에서 최선의 해결책이 도출된다고 골드버그 씨는 말합니다.
5. 테스트 자동화 : 테스트를 자동화하면 충분히 테스트가 된 코드를 사용하여 자신감과 속도감을 가지고 개발작업에 임할 수 있다고 합니다.
6. 간결하고 이해하기 쉬운 코드 및 디자인 : 코드를 인계받을 후임 엔지니어를 고객이라고 생각하고 읽기 쉽게 유지보수할 수 있는 코드의 구축을 유의하면 좋을 것.

◆ 3 : 심플 이즈 베스트

해결책은 최대한 심플한 것이 좋다는 것. 또한 더 낮은 기술 수준으로도 달성할 수 있다면 반드시 그렇게 해야 한다고 골드버그 씨는 말합니다.

이것을 정확하게 말해주는 말로 골드버그 씨는 '어린 왕자'로 유명한 프랑스 작가 앙투안 드 생텍쥐페리가 남긴 "디자이너가 자신이 완벽하게 일을 했다고 깨닫는 순간은 더 이상 더할 것이 없을 때가 아니라, 뺄 것이 없을 때"라는 말을 인용했습니다.

◆ 4 : 먼저 이해할 것

골드버그 씨는 미국의 경영컨설턴트인 스티븐 코비의 "먼저 이해하려는 노력을 한 후 이해받으려 노력하라"는 말을 거론하며 "만약 자신이 다른 사람을 움직이게 하고 싶어한다면 먼저 상대를 이해하고 있어야 합니다."라고 조언합니다.

◆ 5 : 새로운 것에 매료되어 함정에 빠지지 말 것

골드버그 씨에 따르면, '새로운 시대의 소프트웨어 개발'과 '혁명적인 생산성'을 선전하는 제품이나 서비스는 종종 상당한 선행투자와 제약 등의 함정이 있다는 것. 이러한 문제 때문에 곤경에 처하는 것을 방지하기 위해 골드버그 씨는 "새로운 것이 항상 좋은 것이라고는 할 수 없습니다"라고 조언합니다.

◆ 6 : 업무와 궁합이 나쁘면 솔직하게 인정

오랜 경력을 쌓다보면 자신의 역량에 맞지 않는 일에 맞닥뜨리기도 했었다는 골드버그 씨. 이러한 사태는 반드시 자신의 잘못이 아니지만, 그렇다고 무시할 수 있는 문제도 아닙니다. 이러한 문제에 대해 골드버그 씨는 "중요한 것은 무슨 일이 일어나고 있는지를 인식하고 자각을 가지는 것입니다"라고 조언합니다.

이것은 골드버그 씨가 BTI360에 합류하기 이전의 직장에서의 경험을 기반으로 하고 있습니다. 골드버그 씨가 이전에 근무했던 제너럴 모터스는 '규모가 더 크고 어려운 일을 맡지 못하면 낙오자다'라는 분위기가 만연하고 있었으며, 이것이 종종 불행한 사태를 초래했다고 합니다. 그러나 GM의 자회사로 이후 휴렛팩커드에 인수되는 Electronic Data Systems(EDS)는 직역이 광범위했던 직책에서 직역이 좁은 직책으로 돌아가는 것이 오명으로 간주되지 않았습니다.

EDS의 기업 문화에 감동한 골드버그 씨는 자신도 최상위 기술직에서 개발현장으로 돌아가기로 결심했고, 그것을 후회한 적은 단 한 번도 없었다고 말합니다.

Apple은 디바이스에 얼굴인식 기술을 채용하고 있는데, 이런 얼굴인증을 ATM 및 POS 등에서도 가능하게 하는 장치 'RealSense ID'를 Intel이 2021년 1월 6일 발표했습니다.

Introducing Intel RealSense ID Facial Authentication | Intel Newsroom
https://newsroom.intel.com/news/introducing-intel-realsense-id-facial-authentication/

Intel launches RealSense ID for on-device facial recognition | VentureBeat
https://venturebeat.com/2021/01/06/intel-launches-realsense-id-for-on-device-facial-recognition/

Intel은 주위의 환경을 인식 · 이해하고 학습하는 능력 'RealSense 기술'을 탑재한 디바이스 시리즈를 전개하고 있으며, 지금까지 심도 측정 카메라 'LiDAR Camera L515'와 추적카메라 'Tracking Camera T265'가 등장했습니다.

그리고 새롭게 2021년 1월 6일자로 Intel은 활성심도 센서와 기계학습 모델을 결합하여 얼굴인증을 실행하는 RealSense ID를 발표했습니다. RealSense ID는 사람의 머리 모양이나 안경 등 물리적 특성이 시간에 따라 변화하여도 그에 대응하도록 만들어져 있다고 합니다. 또한 '다양한 신장과 피부의 사람'을 대상으로 '다양한 라이팅' 속에서도 제대로 작동한다고 Intel은 설명합니다.

얼굴인식 기술은 일부 사람의 인증 정밀도가 낮아지는 문제점이 지적되었으며, 앞서 법집행기관과 경찰에 의해 이용되고 있었지만, 잘못된 인증이나 오인체포가 다발하여 사용이 금지되는 방향으로 전환하고 있습니다. 얼굴인증 기술을 개발했던 Amazon도 2020년 6월에 경찰에 의한 얼굴인식 기술의 사용을 1년간 중단한다고 발표했으며, IBM은 차별과 불평등을 조장한다며 얼굴인증 시장에서의 철수를 표명했습니다.

이러한 상황 속에서도 금융 및 의료산업은 신뢰할 수 있는 얼굴인식 기술을 요구하는 있다며, Intel은 RealSense ID에 Anti-spoofing(스푸핑 방지) 기술을 탑재했다며 사진이나 영상, 마스크 같은 '잘못된 입력'으로 인증될 확률을 100만분의 1로 낮추었다고 합니다.

그리고 개인정보 보호를 중시하여 RealSense ID는 얼굴이미지 처리를 모든 지역에서 실시해, 모든 데이터는 암호화되도록 되어 있습니다. 또한 사용자가 활성화하지 않으면 인증이 이루어지지 않고 미리 등록된 사용자에 대해서만 사용할 수 있게 하는 것 외에도, Intel은 "모든 Intel 기술과 마찬가지로 RealSense의 윤리적인 응용과 인권보호에 노력하고 있습니다"라고 말합니다.

RealSense ID는 초기단계로 스마트 잠금 및 액세스 제어, POS, ATM 키오스크 등의 이용이 예상되고 있으며, 궁극적으로 금융이나 의료분야에서의 이용도 시야에 들어가 있다고 합니다.

Intel의 마케팅 책임자인 조엘 하그버그 씨는 브리핑에서 기자들에게 "모든 민족을 커버할 수 있도록 우리는 아시아, 유럽, 중동, 아프리카 등 다양한 데이터를 매우 신중하게 모았습니다"라고 말했습니다.

RealSense ID는 2021년 1분기에 99달러(약 10만 원)에 판매될 예정입니다.

인공지능(AI)을 연구하는 비영리 단체인 OpenAI 가 자연언어 처리 및 이미지 생성을 결합한 AI 'DALL·E'를 발표했습니다. DALL·E는 인간과 구별이 되지 않을 만큼 정확한 문장을 생성하는 AI 'GPT-3'의 매개변수를 사용하여 문장으로 그림과 사진을 만들어 낼 수 있습니다.

DALL·E: Creating Images from Text
https://openai.com/blog/dall-e/

OpenAI debuts DALL-E for generating images from text | VentureBeat
https://venturebeat.com/2021/01/05/openai-debuts-dall-e-for-generating-images-from-text/

OpenAI의 공식블로그는 실제로 'DALL·E에 입력한 텍스트와 DALL·E가 출력한 이미지를 공개하고 있습니다. 예를 들어 '스커트를 입고 애견과 산책하는 무의 일러스트는 이런 느낌. DALL·E는 서로 무관한 여러 텍스트 요소에서 이 세상에 존재하지 않는 이미지를 자동으로 생성할 수 있는 것이 특징입니다.

'잠옷 차림으로 오토바이를 타는 피카츄'를 입력하면 다음과 같은 그림이 생성됩니다.

출력 이미지는 일러스트뿐만 아니라 사진도 가능. 예를 들어 '아보카도와 같은 모양의 의자'라는 텍스트를 입력하면 다음과 같은 이미지가 출력됩니다. 출력된 이미지는 마치 사진같지만, DALL·E가 생성한 것으로 이러한 의자는 존재하지 않습니다.

'OpenAI라는 간판을 내건 매장 사진'을 입력하면 이런 느낌. 물론 'OpenAI'라는 간판은 현실에는 존재하지 않으며 모두 AI가 문장을 렌더링하여 네온사인과 간판을 만들어 낸 것입니다. 사진을 보면 일부는 'OpenII', 'OPEAAI'등 생성에 실패한 것도 눈에 띕니다. OpenAI에 따르면 요구되는 문자열이 길수록 이미지 생성 성공률은 낮아진다고 합니다.

이외에도 DALL·E는 지리적 지식이나 시간적인 지식에도 대응하고 있다고 합니다. 예를 들어 '샌프란시스코의 골든게이트 브리지의 사진'이라는 텍스트와 배경 이미지를 함께 입력하면 다음과 같이 골든게이트 브리지의 이미지를 자동으로 생성합니다.

또한 고양이의 사진과 함께 '입력한 이미지에 찍혀 있는 '고양이'의 스케치 이미지를 원본 이미지 아래에 표시'라는 문장을 입력하면 다음과 같이 스케치를 자동생성합니다. 스케치를 보면 상당히 흡사하게 그려진 것부터 완전히 다른 고양이를 그린 것까지 다양한 스케치가 출력됩니다.

OpenAI는 "우리는 생성모델을 포함하여 DALL·E의 처리결과가 사회에 중대하고 광범위한 영향을 미칠 수 있다고 인식하고 있습니다. 향후 DALL·E와 같은 모델이 특정 업무의 프로세스와 전문직에 미치는 경제적 영향, 바이어스의 가능성, 이 기술이 초래하는 장기적인 윤리적 문제 등의 사회적 과제와 어떻게 관련되어 있는지를 분석할 예정입니다"라고 말합니다.

'DALL·E'라는 이름은 화가 살바도르 달리와 로봇이 주인공인 장편 애니메이션 영화 'WALL·E'에서 땄다고 합니다.

LastPass의 무료 플랜을 사용했지만 '휴대폰에서 생성된 암호'라는 잘 모르는 것이 의도하지 않게 동기화되어 있거나 브라우저에서 열면 암호의 복사가 불편했고, 조금 동작이 느린 감이 있었기 때문에 대체할 대상을 찾고 있었다. 조금 고민했지만 Bitwarden라는 앱으로 전환했다.

Bitwarden Open Source Password Manager
https://bitwarden.com/

원했던 점을 정리하면...

· UI가 세련되다
· 오프라인에서도 볼 수 있다
· 디바이스로 동기화가 가능하다
· Linux(Ubuntu)에서도 사용할 수 있다
· PW 이외의 지문 등으로 해제가 가능하다

왜 Bitwarden인가?

클라이언트가 Mac , Win, Linux에서 사용할 수 있는 것 같고, 원했던 기능들이 무료플랜에 제대로 구현되어 있었다.

공식 지원하는 브라우저에 인기있는 것 이외의 Brave 등도 지원한다는 점이 끌렸다.

기술적인 이야기를 하자면, OSS로 만들어져 있어 CLI에서 작업할 수 있으며, 서버의 호스트를 Docker를 이용하여 스스로 세울 수 있다는 점이 재미있다고 느꼈다.

여러가지 사정상 C#로 만들어져 있지만, 클라이언트는 node.js라서 허용되었다.

Bitwarden 이외에도 buttercup라는 것도 살펴봤다

Buttercup
https://buttercup.pw/

javascript로 되어 있고, 여러 디바이스에서 사용할 수 있다. Dropbox 등을 사용하여 장치 간에 동기화를 할 수도 있다. 반대로 말하면 클라우드 제공하지 않기 때문에 자기 부담으로 준비하여야 한다. 보안을 생각한다면 전부 스스로 하는 편이 좋다고 생각하므로 의외로 괜찮다고 생각한다.

UI도 꽤 예뻐서 잠시 Bitwarden 사용해 보려고 하는데...만약 마음에 들지 않는 부분이 눈에 띄기 시작하면 1password의 유료플랜을 사용할 생각이다.

작성 후 업데이트 할 예정이 없다. 혹은 극단적으로 업데이트가 적다. 그런 경우에는 정적 콘텐츠(HTML)와 Wix ,Jimdo 등의 홈페이지 제작서비스 등으로도 충분합니다.

반대로, WordPress 등의 서버설치형 CMS를 사용하는 경우 게시물 업데이트를 하지 않더라도 관리해야 합니다. 업데이트를 게을리했던 WordPress의 기사가 취약점 공격에 의해 변조되는 일도 있었습니다.

작성 후 정기적으로 업데이트하는 경우에는 WordPress 등의 CMS를 추천하지만, 홈페이지 제작서비스나 블로그 서비스로도 가능합니다.

일반적으로 WordPress 등의 CMS는 사용자에 의한 자유도가 높고, 궁리하기 나름으로 다양한 콘텐츠를 만들 수 있습니다. 그러나 적지 않은 비용이 발생하며 유지 보수 등의 관리를 해야 합니다.

반대로 홈페이지 제작서비스나 블로그 서비스는 비용이 거의 발생하지 않으며, 관리도 단순합니다.
그러나 자유도가(서비스에 따라 차이는 있지만) 상대적으로 낮고 운영업체의 광고가 표시되어 버리거나 서비스 종료 등에 주의를 기울일 필요가 있습니다.

WordPress는 사용자에 의해 어떤 장르의 사이트에도 대응할 수 있습니다. 다만 기본은 블로그 형식의 CMS입니다.

홈페이지나 기업사이트 등을 만들고 싶은 경우에는 Drupal 및 Joomla! 등의 CMS가 더 적합합니다.

WordPress는 WordPress.com와 WordPress.org라는 2종류가 있습니다.
※ WordPress.com은 간단히 말해 블로그 · 홈페이지 작성 서비스입니다.

WordPress의 기능을 쓰고 싶지만 서버를 빌리거나 하는 것이 귀찮다면 WordPress.com도 좋을 것으로 생각합니다.

2017년 1월 16일(월) LastPass에 연결실패가 발생했습니다. 브라우저 확장 LastPass의 경우 연결에 문제가 있으면 자동으로 Offline Mode가 되야 하지만 잘 작동(전환)하지 않았습니다.

결국 동기화하고 있던 모바일 LastPass를 Offline Mode에서 시작하여 암호를 확인하여 수동으로 입력했습니다.

모바일 버전 LastPass는 로그아웃만 된다면 다시 로그인할 때 Offline Mode를 선택할 수 있어 기본적으로 문제가 없습니다.

그러면 로그인시 Offline Mode를 선택할 수 없는 브라우저 확장 버전 LastPass의 경우에는 어떻게 해야 할까요?

대답은 공식툴 'LastPass Pocket'을 이용합니다.

위의 툴 다운로드 사이트조차 사용할 수 없는 경우에는 복구를 기다릴 수밖에 없으므로 향후를 대비하여 사전에 다운로드해야 합니다.

개인적으로 이용할 클라우드 스토리지를 선택할 때는 다음과 같은 부분이 포인트가 됩니다.

무료 플랜의 용량

가능하면 5GB 이상 좋습니다. 이용방법에 따라 무제한인 경우도 있습니다. 유료 플랜으로 용량을 늘릴 수도 있지만, 여러 무료 서비스를 함께 사용하는 방법도 추천합니다.

멀티 디바이스 멀티 플랫폼 지원

개인도 PC는 Windows, 스마트폰은 iPhone 등 다른 OS의 단말기를 가지고 있는 것은 드문 일이 아닙니다. OS나 단말기가 제한되지 않는 서비스를 선택해야 자신뿐만 아니라 가족 또는 친구와 데이터를 교환할 때 편리합니다.

PC나 스마트폰 전용 어플리케이션의 유무

클라우드 스토리지 서비스에 액세스 할 때 암호 등의 인증이 필요합니다. 그러나 매번 인증을 하는 것은 귀찮은 법. 스마트폰이나 태블릿의 전용 앱이 있으면 인증 횟수가 크게 줄어들어 매우 편리해집니다.

동기화 및 공유 방법, 타이밍

파일 교환을 자주 한다면 스마트폰으로 촬영한 사진이나 동영상이 언제 클라우드 스토리지에 동기화되는지도 중요합니다.

보안

2단계인증과 복잡한 비밀번호 등 쉽게 접근하기 어려운 대책도 중요합니다.

추천하는 무료 클라우드 스토리지 6선

◆ MEGA
https://mega.nz/

세계적으로는 매우 사용자가 많은 서비스입니다. 기능도 충실하며 무료 플랜에서도 50GB의 대용량을 확보할 수 있습니다. 인터페이스는 다국어에도 대응하고 주요 OS의 전용 앱이 준비되어 있어서 사용하기 편리합니다. 그러나 3개월간 이용하지 않으면 계정이 지워지고 데이터도 삭제되므로 주의가 필요합니다.

◆ Google Drive
https://www.google.com/intl/ko_ALL/drive/

Google 계정이 있으면 바로 사용할 수 있습니다. Gmail 및 Google 문서도구 등 Google 서비스와 원활하게 통합되어 있으며 Android 스마트폰이나 Chrome 브라우저와 궁합이 좋은 것도 포인트입니다. 물론 iOS에서도 사용할 수 있습니다. 무료로 15GB까지 이용할 수 있고 유료 플랜도 있습니다.

◆ box
https://www.box.com/home

기업용 클라우드 스토리지 서비스로 보안에 정평이 나있어, 국내에서도 대기업이 도입하고 있습니다. 외부 서비스와 다양한 연계가 가능하고 다양한 파일형식을 지원합니다. 무료 플랜에서는 10GB까지입니다만, 유료 플랜이 되면 100GB까지 사용할 수 있습니다.

◆ OneDrive
https://onedrive.live.com/about/business/

Windows 10 및 Microsoft Office 365 사용자라면 Microsoft 계정에서 바로 사용할 수 있습니다. 무료 플랜은 5GB까지이지만 Microsoft Office 365 사용자라면 1TB까지 사용할 수 있습니다. 마이크로소프트가 제공하는 서비스이므로 Windows 10 및 Microsoft Office와의 연계가 유용합니다. Android나 iOS에서도 사용할 수 있습니다.

◆ firestorage
http://firestorage.jp/

 계정등록없이 파일을 공유하는 서비스로, 가입할 경우 2GB의 클라우드 스토리지를 사용할 수 있습니다. 파일 그룹이나 메일 그룹 등 파일 공유에 편리한 기능과 firetools과 photostorage 등 세부적인 기능 확장 응용프로그램도 갖추어져 있습니다.

◆ Yahoo! 박스
http://info.box.yahoo.co.jp/index.html

 Yahoo!에서 제공하고 있으며, Yahoo! 계정이 있으면 누구나 즉시 5GB의 공간을 제공받습니다. Yahoo! BB 회원이라면 용량이 10배인 50GB입니다. 그러나 3년간 액세스가 없으면 데이터가 삭제되므로 주의가 필요합니다.

디지털 콘텐츠의 저작권 침해 및 시장 분석 등을 실시하는 기업 'MUSO'의 조사결과, 검색엔진을 통한 불법사이트에 대한 액세스는 2020년에 지금까지의 약 3분의 1로 감소했다고 합니다.

Pirate Site Search Traffic Tanked Following Google Updates * TorrentFreak
https://torrentfreak.com/pirate-site-search-traffic-tanked-following-google-updates-210101/

20년 전 파일공유 붐이 시작되었을 당시에는 대부분의 공유는 Napster와 Limewire 등의 전용 소프트웨어를 통해서 이루어지고 있었습니다. 그러나 몇 년 후, 첫 번째 토렌트 사이트가 등장했고 저작권 침해의 피해는 나날로 커졌습니다. 이러한 사이트의 대두에는 '검색엔진'이 한몫을 했다고 지적됩니다.

전용 소프트웨어와 달리 토렌트 사이트는 검색엔진을 사용하여 쉽게 찾을 수 있습니다. 불법콘텐츠를 시청할 수 있는 사이트는 물론 콘텐츠의 불법다운로드 페이지에 액세스할 수 있는 링크까지 표시되었고, 이에 저작자는 몇 년에 걸쳐 이러한 불법사이트에 대한 링크를 표시하지 않도록 검색엔진 측에 요구했습니다.

예를 들어 검색엔진 업체인 Google은 2012년부터 2014년에 걸쳐 검색 알고리즘을 변경하여 DMCA에 따른 저작권 침해의 신청이 쇄도하는 대형 불법사이트가 검색결과의 상위에 표시되지 않도록 하였습니다.

아래의 그래프는 MUSO의 조사에 의한 2019년 12월부터 2020년 11월까지의 검색엔진을 거치지 않은 불법사이트에 대한 트래픽 추이를 보여줍니다. 2020년 3월에서 6월 사이에 코로나 대유행의 영향으로 보이는 증가 경향이 나타나지만, 전체적으로 보면 10% 정도 감소합니다.

아래의 이미지는 2019년 12월부터 2020년 11월까지의 검색엔진을 통한 트래픽 추이입니다. 2020년 3월부터 상승 추세에 들어가지만, 2020년 5월 20%의 대폭적인 감소가 발생했습니다.

그 이유는 Google이 2020년 1월, 5월, 12월 3회에 걸친 검색 알고리즘 업데이트의 '핵심 업데이트'에 있다고 볼 수 있습니다. 업데이트의 구체적인 내용은 밝혀지지 않았지만, 사이트를 방문하는 사용자 수에 큰 영향을 미치는 검색결과 사이트 순위가 변동했기 때문에 불법사이트에 대한 액세스에 영향이 있었던 것으로 보여지고 있습니다. 또한 2020년 12월 업데이트의 영향은 데이터에 반영되지 않았기 때문에 다음의 조사를 기다려야 합니다.

스마트폰과 유선전화로 낯선 전화번호가 뜨면 '어디로부터 걸려온 거지?'라고 골몰한 후 인터넷에서 검색한 경험이 있는 사람은 많을 것입니다. 그런 낯선 전화번호의 소유주를 알고 싶은 사람을 위해 디지털 관련 웹미디어 ByteXD 가 'Facebook의 암호 재설정 기능을 이용하여 낯선 전화번호의 소유자를 확인하는 방법'을 공개합니다.

Look Up Unknown Phone Numbers using Facebook Reset Password or WhatsApp - ByteXD
https://bytexd.com/look-up-unknown-phone-numbers/

ByteXD가 공개하는 Facebook의 암호 재설정 기능을 이용하여 전화번호의 소유자를 확인하는 방법'은 아래의 동영상으로 잘 알 수 있습니다.

Look Up Unknown Phone Numbers using Facebook Password Reset - YouTube
https://www.youtube.com/watch?v=j_cZjQp8-js

우선 브라우저의 시크릿 모드로 Facebook에 액세스합니다. 로그아웃한 상태에서 Facebook에 액세스하면 로그인 화면이 표시되는데...

'Email or Phone Number(이메일 주소 또는 전화번호)'란에 소유자를 특정할 전화번호를 입력합니다. 이 때 '국가 코드'를 포함한 전화번호 전체를 입력해야 하므로 주의가 필요합니다. 'Password(비밀번호)'란에 임의의 숫자를 입력하고 'Log In(로그인)'을 클릭합니다. 임의의 문자열을 입력한 것뿐이므로 당연히 로그인에 실패했습니다.

여기서 'Forget Password?(암호를 잊어버린 경우)'를 클릭하면 암호 재설정 화면으로 이동합니다. 이 때 암호 재설정을 시도하는 계정이 정말로 자신의 것인지를 확인하기 위해 '로그인 시도시 입력한 전화번호가 등록되어 있는 Facebook 계정'이 표시됩니다. 계정의 이름뿐만 아니라 일부가 숨겨진 이메일 주소와 계정의 프로필 사진 등도 볼 수 있습니다.

이 방법은 '소유주를 알고 싶은 전화번호'를 알고 있는 경우에만 유효하며, 비통지로 걸려온 전화에 대한 소유자를 찾을 수 없습니다.

이 방법의 단점은 Facebook이 다음과 같은 형태로 '누군가가 자신의 Facebook 계정에 로그인을 시도했다'고 알리기 때문에 전화번호의 소유주가 의아하게 생각할 수 있다는 점입니다. ByteXD는 상대에게 조금이라도 정보가 넘아가는 것을 우려하는 사용자에게 VPN을 사용하는 것을 권장하고 있습니다.

또한 ByteXD는 'WhatsApp의 프로필 사진을 확인'하는 방법에 대해서도 소개하고 있습니다. 이 방법은 매우 간단한데, 소유주가 알고 싶은 전화번호를 연락처에 추가한 후 WhatsApp에서 이 연락처를 검색해보면 됩니다. 운이 좋다면 WhatsApp의 프로필 사진에 셀카나 개인의 특정에 연결되는 이미지가 사용되어 있는 경우가 있습니다.

이 방법으로 프로필 사진을 확인한 경우 Google 이미지검색 등을 이용하여 WhatsApp 이외의 SNS에서 동일한 이미지를 사용하는 계정을 찾는 것도 가능. 아래의 동영상을 보면 이미지검색으로 SNS 계정을 찾는 과정을 알 수 있습니다.

Reverse Image Search Specific to a Single Website - YouTube
https://www.youtube.com/watch?v=6xSwWEeTX44

우선 Google 이미지 검색을 열어 찾고자 하는 이미지를 드래그 앤 드롭으로 가져와 검색. 그러면 웹사이트나 SNS 계정이 혼합된 검색결과가 표시됩니다.

이대로는 소유자의 특정에 연결되는 유용한 정보를 찾고 어렵기 때문에 검색창에 'site : twitter.com'를 입력합니다. 이 검색결과에 표시되는 것이 Twitter만으로 한정되었고 WhatsApp과 같은 프로필 사진을 사용하고 있는 계정의 특정이 편해집니다.

ByteXD는 이러한 기법을 도입한 이유에 대해 "당신을 귀찮게 하거나 괴롭히는 사람을 추적하는 것을 의도하고 있다"고 말합니다. 또한 Facebook이나 WhatsApp의 기능을 이용하여 수상한 전화번호의 소유자를 특정하는 것이 불법일 가능성은 작지만, 어디까지나 자기 책임으로 실행하라는 ByteXD는 경고합니다.

대만의 네트워크 장비 업체인 Zyxel의 방화벽 장비와 VPN 게이트웨이에 제삼자가 관리자 권한으로 로그인할 수도 있는 '백도어 계정'이 발견되었습니다. 이로 인해 영향을 받는 장치는 전 세계적으로 10만대 이상에 이르는 것으로 추산되고 있으며, 보안연구원은 소유자에게 신속한 펌웨어 업데이트를 권장하고 있습니다.

Zyxel security advisory for hardcoded credential vulnerability | Zyxel
https://www.zyxel.com/support/CVE-2020-29583.shtml

Undocumented user account in Zyxel products (CVE-2020-29583) - EYE
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html

Backdoor account discovered in more than 100,000 Zyxel firewalls, VPN gateways | ZDNet
https://www.zdnet.com/article/backdoor-account-discovered-in-more-than-100000-zyxel-firewalls-vpn-gateways/

Backdoor account found in 100,000+ Zyxel Firewalls, VPN Gateways
https://www.hackread.com/zyxel-firewalls-vpn-gateways-backdoor-account/

2020년 12월 23일에 네덜란드 보안회사인 EyeControl이 "제삼자가 Zyxel의 네트워크 장비에 관리자 권한으로 로그인할 수 있는 백도어 계정의 ID와 암호를 발견했다"고 보고했습니다. EyeControl의 보안연구자인 Niels Teusink 씨에 따르면, 문제의 백도어 계정의 사용자 이름은 'zyfwp'이라는 것. Teusink 씨는 악용되기 쉽다며 패스워드를 비공개로 했지만, IT계 뉴스사이트 ZDNet과 HackRead은 'PrOw! aN_fXp'라고 패스워드를 보도하고 있습니다.

이 취약성의 영향에 대해 Teusink 씨는 "예를 들면, 공격자는 방화벽의 설정을 변경하여 특정 트래픽을 허용하거나 차단할 수 있으며, 트래픽을 차단하거나 VPN 계정을 새로 만들어 장치가 포함된 네트워크에 대한 무단 액세스를 할 수 있습니다. 2020년 8월 Microsoft가 공급한 서버에서 발견된 심각한 취약점인 Zerologon와 마찬가지로 이 문제는 Zyxel의 주요 고객인 중소기업에 치명적인 타격을 줄 수 있습니다"라고 설명합니다.

미국의 국가인프라 자문위원회는 이 취약점의 심각도를, 0.0 ~ 10.0로 표현하는 공통취약점 평가시스템(CVSS) 점수에서 '7.8'로 인정하고 있습니다.

Teusink 씨가 인터넷을 정기적으로 검사하는 연구프로젝트 'Project Sonar'의 데이터를 사용하여 이번에 발견된 취약점의 영향을 받을 우려가 있는 장치의 수를 조사한 결과, 전 세계적으로 10만 대 이상의 Zyxel 장치가 해당한다는 것을 알 수 있었습니다.

Zyxel은 이미 EyeControl의 신고를 받아 문제가 있는 제품의 목록을 공개함과 동시에 수정패치를 배포하고 있습니다. 그러나 일부 LAN 컨트롤러용 패치의 배포는 2021년 4월 즈음에야 이루어질 것으로 보입니다.

Teusink 씨는 "오래된 펌웨어 버전을 검토한 결과, 사용자 이름은 있었지만 암호가 없었습니다. 따라서 이 취약점은 발견 시점에는 최신 펌웨어 버전에 혼입되어 있었던 것입니다. 이전 버전에는 이 문제는 아니지만, 버퍼 오버플로우 등의 문제도 발견되었기 때문에 어차피 업데이트 실시해야 합니다"라고 지적하며, Zyxel 장치의 소유자에 대해 펌웨어 업데이트를 권장합니다.

Gmail 및 Dropbox, Google Drive 등의 Web 툴을 사용하는 사람 중에는 '구분하는 것이 귀찮아서 1개로 정리하고 싶다', '한번의 검색으로 여러 스토리지 서비스의 파일을 정리하여 검색하고 싶다'고 생각한 적이 있는 사람도 많을 것입니다. 'Slapdash'를 사용하면 다양한 서비스를 하나로 정리한 화면에서 Gmail로 새로운 메일을 작성하거나 클라우드의 파일을 열람할 수 있는 것 외에도 자신이 원하는 서비스나 명령을 등록하여 사용자정의를 할 수 있습니다.

Slapdash
https://slapdash.com/

데스크톱 응용프로그램을 다운로드하거나 브라우저 버전으로 사용이 가능합니다. 사용하기 위해서는 자신이 사용하는 Web 서비스와 Slapdash를 연계시킬 필요가 있습니다. 'Connect App'를 클릭하면 Slapdash와 연계할 수 있는 Web 서비스가 나열됩니다.

사용하는 서비스가 늘어나 관리가 귀찮은 경우, 이를 일원화할 수 있어서 매우 편리합니다.