자유시간

러시아 정부의 관여가 의심되는 해킹그룹이 미국 정부기관을 포함한 많은 기업 · 단체에 대한 사이버공격을 실시한 것으로 보도되었습니다. 이 사이버공격에 대해 The New York Times가 당초 예상보다 피해 규모가 클 가능성이 있다고 보도했습니다.

As Understanding of Russian Hacking Grows, So Does Alarm - The New York Times
https://www.nytimes.com/2021/01/02/us/politics/russian-hacking-government.html

SolarWinds hack may be much worse than originally feared - The Verge
https://www.theverge.com/2021/1/2/22210667/solarwinds-hack-worse-government-microsoft-cybersecurity

러시아 정부의 지원을 받는 해커그룹 'CozyBear'은 신종 코로나바이러스 감염증(COVID-19)의 연구에 종사하는 기업과 연구기관에 사이버공격을 시도하고 있다는 점은 2020년 7월에 보고되었습니다. 또한 2020년 12월에는 CozyBear가 미국 정부기관에 대해서도 사이버공격을 시도했던 것이 발각되었는데, 이 사이버공격에 Microsoft는 해킹 공격에 사용되는 도메인의 압수 등을 실시하였고, 차츰 공격의 실체가 드러나고 있습니다.

CozyBear의 공격은 보안회사의 SolarWinds가 제공하는 네트워크 모니터링 소프트웨어 'Orion Platform'의 업데이트를 악성코드를 포함한 것으로 대체하여 실시되었습니다. Orion Platform은 미국의 재무부 · 국무부 · 국가핵안전국 등 부처 또는 Microsoft · Cisco 등 대기업을 포함한 1만 8000개에 배포된 것으로 보여지고 있어, CozyBear에 의한 사이버공격의 피해는 광범위할 것으로 보입니다. 또한 CozyBear에 의한 Orion Platform 업데이트를 통한 공격은 'SunBurst' 또는 'Solorigate'라고 불리고 있습니다.

이 'Solorigate'에 관한 속보를 The New York Times가 전하고 있는데, 당초의 예상보다 피해 규모가 클 가능성이 보도되고 있습니다. 보도에 따르면 약 250곳의 정부기관과 기업이 사이버공격의 피해를 입은 것으로 주목받고 있는 모양입니다.

The New York Times에 따르면, 사이버사령부와 국가안보국(NSA) 등 정보기관은 잠재적인 사이버공격을 탐지하기 위해 미국 이외의 네트워크에 조기경보를 센서를 설치하였으나, 'Solorigate'는 소프트웨어 공급망을 통해 미국 내에서 실시되었기 때문에, 사이버사령부와 NSA의 조기경보 센서에 의한 탐지를 회피하는 데 성공한듯합니다.

또한 Microsoft는 2020년 12월 31일에 보안블로그를 업데이트하여 "Microsoft의 환경을 조사한 결과, 생산 서비스 및 고객 데이터에 대한 액세스의 흔적은 찾을 수 없었습니다. 진행하는 조사에서도 우리의 시스템이 타인을 공격하는 데 사용된 흔적은 발견되지 않았습니다"라고 보고하고 있어, Solorigate가 Microsoft 서비스를 통해 고객에게 해킹 피해가 확산되었을 가능성은 적다고 합니다.

하지만 동시에 내부 계정의 일부 비정상적인 활동이 감지되고 있어 이를 검토한 결과, 하나의 계정이 여러 소스코드 저장소에서 소스코드를 표시하기 위해 사용된 것으로 판명났습니다. 이 내부 계정은 코드 및 엔지니어링 시스템을 변경할 수 있는 권한이 없으며 수정된 흔적이 없다고 확인되었다고 합니다.

Microsoft는 오픈소스 소프트웨어 개발이 제품의 기밀성에 의존하지 않는다고 주장하며, 거기에 더해 사이버공격을 상정한 다층보안을 구축하는 있는 점도 어필하며 권한있는 계정을 보호하기 위해 권한 액세스 워크스테이션을 구현하는 등 업계의 모범 사례를 수행하고 있다고 주장합니다.

또한, 미국상원정보특별위원회의 멤버인 마크 워너 상원의원은 "(Solorigate에 대해) 훨씬, 훨씬 더 그 피해 규모는 계속 확대해 나가고 있습니다. 이 사이버공격을 미국 정부가 놓친 것은 분명합니다"라고 우려합니다.

USB3.x계열의 문제점

USB3.0, 3.1계열에서는 이 문제가 항상 따라 다닌다. 이것은 Type-C에서도 마찬가지다. Type-C는 커넥터의 형상이기 때문에, USB3.0/3.1를 데이터 전송에 채용하고 있는 한, WiFi와 Bluetooth를 사용할 수 없게 된다는 문제점이 따라 다닌다.

'USB 3.0 Radio Frequency Interference Impact on 2.4 GHz Wireless Devices' PDF
(USB3.0 고주파에 의한 2.4Ghz 무선 장치의 간섭 영향)
http://www.usb.org/developers/whitepapers/327216.pdf

이것은 인텔의 자료에서 발췌. 요점은 USB3.0/3.1 기기는 2.4GHz 대역에 전파를 방출해, WiFi, Bluetooth의 작동 불량을 일으킨다는 것이다.

USB3.0/3.1의 전자파 장해(EMI) 문제의 간단한 해결 방법

투명 USB 케이블을 선택하고 케이블 길이를 90cm 이상으로 한다.

1. 투명을 권장하는 이유

USB 커넥터의 EMI 대책은 껍질을 벗겨 보면 일목요연하다.

USB 플러그와 케이블을 보면 투명하게 되어 있어 노이즈 대책을 했다는 것을 한눈에 알 수 있도록 되어 있다.

USB 케이블이 투명하다면, 니퍼로 분해할 필요없이 불량 여부를 알 수 있다.

2. 90cm 이상을 권장하는 이유

USB는 고속화될수록 케이블의 길이가 짧아진다. 최신 USB 3.1 Gen2는 최대 1m로 규정하고 있다. 덧붙여서 USB2.0은 5m, USB3.0은 3m이다. 따라서 여유있게 90cm ~ 1m를 권장한다.

WiFi/Bluetooth 안테나 <------------------> USB 장치의 거리가 충분히 있으면 간섭은 발생하지 않는다.

거리가 둘수록 USB3의 방해 전파는 작아진다. 주요 제조업체의 설명서를 살펴보면 50cm 이상 떨어져 있도록 권고하고 있다.

3. USB 장치도 EMI를 고려하자

대부분은 1m 거리를 두면 문제없을 것이다. 그러나 USB 장치에 EMI 대책이 되어 있다면, 그만큼 거리를 좁힐 수 있다. 역시 전자파 차단성이 있는 알루미늄과 금속을 도금한 USB 장치가 유리하게 된다. 하지만 아무리 EMI 대책이 우수해도 USB 커넥터가 노출되어 있다면 전혀 의미가 없다.

Firefox에서 Google 검색을 해보면 검색어와 관련된 웹사이트에 대한 링크가 검색결과 화면에 표시됩니다. 그런데 검색결과 화면에서 직접 웹사이트 링크를 복사하려고 시도하면 불필요한 문자열이 들어간 링크가 복사되어 버리기 때문에, 신경이 쓰이는 사람도 많을 것입니다. 'Google search link fix'는 이 문제를 해소하고, 검색결과 화면에서 정확한 링크를 얻을 수 있도록 도와주는 확장 기능이 입니다.

Google search link fix
https://addons.mozilla.org/en-US/firefox/addon/google-search-link-fix/

Firefox에서 Google 검색을 하면 검색결과 화면에 단어와 관련된 웹페이지에 대한 링크가 나열됩니다. 링크를 마우스 오른쪽 클릭하여 메뉴를 열고 '링크 URL 복사'를 클릭하면 링크 URL을 복사할 수 있지만, 이 방법으로 복사된 URL은 불필요한 매개변수를 많이 포함하고 있습니다. 이 URL을 주소창에 입력하면 원하는 웹사이트를 열 수는 있지만, 누군가에게 URL을 전달하고 싶을 때 불필요한 문자열이 방해가 될 수 있습니다.

Google search link fix는 검색결과 화면에 표시된 웹사이트의 올바른 URL을 오른쪽 클릭 메뉴에서 복사 가능하게 해줍니다.

chrome 브라우저라면 '설정'> '고급보기'> '콘텐츠 설정'> 'Javascript'> 차단하는 URL을 추가합니다.

대부분의 경우, JavaScript를 제어하고 있으므로 브라우저의 설정에서 이를 해제하면 복사할 수 있습니다.

◆ 구체적인 단계

1) Google 크롬을 실행시켜 '설정'을 클릭합니다.

2) 설정 화면에서 '고급보기'를 클릭한 후 '콘텐츠 설정'클릭합니다.

3) 'Javascript'를 클릭합니다.

4) 특정 사이트를 차단하려면 URL을 기재하고 '추가' 버튼을 클릭합니다.

이제 범위 선택 및 오른쪽 클릭이 금지된 사이트의 정보를 복사할 수 있습니다.

WEB 서핑을 하다 보면 복사나 오른쪽 클릭 금지가 설정되어 있는 사이트가 드문드문 있습니다.

<body oncontextmenu = "return false;">

웹페이지에 위의 소스코드가 기재되어 있는 경우에는 오른쪽 클릭이나 복사를 할 수 없습니다.

◆ 대응 방법
1) 복사할 문장을 일시적으로 '사용자 사전'에 등록한다
2) 임의의 단어로 저장한다
(등록된 단어를 키보드로 입력하면 문장이 그대로 표시됩니다.)
3) 임의의 단어를 입력하면 해당 문장이 등장하므로 탭하여 붙여넣는다.

이 과정으로 복사할 수 없는 문장을 붙여넣을 수 있습니다. 그러나 이 방식은 반복할수록 사용자 사전에 등록되는 단어가 늘어납니다. 그러므로 사용 후에는 사용자 사전에서 삭제해 두는 것이 좋습니다.

◆ 대처 방법 : 소스 보기

웹브라우저의 문장을 복사할 수 없는 경우에는 소스코드의 표시를 할 필요가 있다. 소스코드라는 것은 웹페이지를 표현하기 위한 원본 데이터와 같은 것이다. 그 HTML에서는 문장을 제한없이 복사할 수 있다.

OS가 Windows의 경우 단축키 Ctrl + U(Control키와 u키를 동시에 누름)로 소스코드를 볼 수 있다.

Mac의 경우는 ⌘ + ⌥ + U(command키와 option키, u키를 동시에 누름)로 소스코드를 볼 수 있다.

단축키가 작동하지 않을 경우, 메뉴 바의 표시 메뉴에 있는 '소스코드를 표시' 같은 메뉴 항목을 선택하면 좋다. 없다면 개발 메뉴에서 찾아보자.

소스코드가 표시된 후에는 원하는 문장을 찾아 문장의 선택과 복사를 한다.

◆ 대처 방법 : 미리보기

'Chrome'이라는 브라우저를 사용하는 경우, 소스코드를 표시하는 대신 인쇄화면 미리보기 기능을 이용할 수도 있다.

단축키(Windows : Ctrl + P, Mac : ⌘ + P) 또는 메뉴 바의 파일 메뉴에 있는 인쇄 메뉴 항목을 선택하면 미리보기가 표시된다.

미리보기 화면에서는 문장을 일반 웹페이지처럼 선택 및 복사할 수 있다.

◆ 대처 방법 : 스마트폰의 경우

화면의 텍스트를 길게 눌러도 범위 선택 기능과 복사 메뉴가 표시되지 않기 때문에 복사 작업 자체가 할 수 없는데, 이것은 게시자가 의도적으로 제한했을 가능성이 크다 .

앱의 메뉴에 '소스코드 보기'라는 메뉴 항목이 있다면 소스코드에서 원하는 문장을 복사할 수 있다. 그러나 대부분의 앱에서는 이러한 기능을 제공하지 않는 경우가 많다.

Android용 Chrome의 경우 주소표시줄에 표시된 URL(http로 시작하는 텍스트)의 시작 부분에 'view-source:'를 추가하여 새로고침하면 소스코드가 표시되므로 소스코드에서 문장의 선택 및 복사를 할 수 있다.

Android에는 삭제할 수 없는 앱이 존재합니다. 일반적으로 앱 메뉴에서 '제거' 버튼을 눌러 삭제할 수 있지만, '제거' 버튼이 없어 삭제할 수 없는 앱도 있습니다.

이것은 Android 측 또는 스마트폰 제조업체 측에서 지워지면 곤란한 앱들을 잠구어 두었기 때문입니다.

Android에서 이러한 앱을 확실히 지울 수는 없지만, 앱을 비활성화함으로써 제거에 가까운 상태로 둘 수 있습니다.

참고로 앱을 임의로 비활성화하면 스마트폰이 제대로 작동하지 않을 위험도 있습니다. 따라서 비활성화해도 문제가 없는 앱을 대상으로 하십시오. 잘 모르는 앱은 비활성화하지 않는 것이 좋습니다.

1) '설정'을 엽니다.
2) '앱 및 알림'을 엽니다.
3) '〇개의 앱 모두 보기'를 누릅니다.
4) 삭제하려는 앱을 선택합니다.
5) 지울 수 없는 앱은 '제거' 버튼이 없으므로 '사용 안 함' 버튼을 누릅니다.
6) '앱을 사용하지 않음'을 탭하여 비활성화합니다.

다시 이 앱을 사용하고자 할 때는 '활성화' 버튼을 누르면 원래 상태로 되돌릴 수 있습니다.

Android에서 지울 수 없는 앱을 지우는 방법으로는 '해제하는 방법'과 '강제 중지하는 방법' 2가지가 있습니다. 두 방법 모두 앱을 지울 수는 없지만 제거와 유사한 효과를 냅니다.

이상, Android에서 지울 수 없는 앱을 지우는 방법이었습니다.

사용자마다 다른 데이터를 제공하기 위해 로그인 기능을 탑재하고 있는 웹사이트는 다수 존재합니다. 그러나 사용자는 웹사이트에 탑재된 로그인 기능의 '인증 방식'까지는 신경쓰지 않습니다. 그런 웹사이트의 인증 방식에 대한 대표적인 6가지 방식을 엔지니어 Amal Shaji 씨가 설명합니다.

Web Authentication Methods Compared | TestDriven.io
https://testdriven.io/blog/web-authentication-methods/

◆ 기본 인증
HTTP에 내장된 기본 인증은 가장 기본적인 인증 방식입니다. 기본 인증에는 암호화 기능은 없고, Base64로 인코딩된 사용자 ID와 암호를 클라이언트에서 서버로 전송합니다.

인증 과정은, 우선 클라이언트는 서버에 인증되지 않은 요청을 보내고 서버는 401 에러를 응답합니다. 그 후 클라이언트가 사용자 ID 및 암호를 전송하면 서버에 액세스를 할 수 있습니다.

기본 인증의 장점은 구현이 용이한 점과 많은 브라우저가 대응하고 있는 점 등을 들 수 있습니다. 반대로, 암호화 비대응이라는 점과 요청마다 매번 인증할 필요가 있다는 점 등이 단점입니다.

◆ Digest 인증
Digest 인증은 기본 인증과 마찬가지로 HTTP에 포함되어 있지만, 암호를 MD5로 해시하는 기본 인증보다 보안을 강화할 수 있다고 Shaji 씨는 설명합니다. 인증 절차는 기본 인증과 거의 동일하지만, MD5 의한 암호의 해시화에 이용되는 논스를 서버와 클라이언트가 주고받는다는 점이 다릅니다.

Digest 인증은 기본 인증의 장점 이외에도 MD5로 해시되어 보안이 향상된다는 것이 장점. 그러나 요청에 따라 인증을 해야 하는 점은 기본 인증과 변함없고, 서버 측의 사용자 ID와 암호는 일반텍스트로 저장되어 있기 때문에 서버 측의 보안은 기본 인증에 뒤떨어진다는 것. 그리고 중간자 공격에 취약하다고 설명합니다.

◆ 세션 기반 인증
세션 기반 인증은 Cookie를 사용하여 수행하는 인증 방식으로 기본 인증, Digest 인증과 같이 요청마다 사용자 ID와 암호를 송수신할 필요가 없습니다. 인증 절차로는 먼저 클라이언트에서 서버에 인증정보를 전송하고 서버 측에서 성공적으로 인증되면 서버 측에서 세션을 생성. 서버는 클라이언트 세션 Cookie를 전송하고 클라이언트는 Cookie와 함께 요청하는 한 서버에 액세스 할 수 있습니다.

세션 기반 인증의 이점은 요청마다 인증정보를 전달할 필요가 없어서 로그인 후의 처리가 빠르다는 점. 또한 다양한 프레임워크가 존재하기 때문에 구현이 쉽다는 점도 장점으로 들 수 있습니다. 단점은 서버 측에서 인증정보를 유지한다는 점과 인증이 필요 없어도 Cookie를 요청마다 보낼 필요가 있다는 점, cross-site request forgeries에 약점이 있다고 합니다.

◆ 토큰 기반 인증
토큰 기반 인증은 세션 기반 인증이 사용하는 Cookie 대신 토큰을 사용합니다. 토큰은 서버의 비밀 키로 서명되어 있으며, 클라이언트는 서버로부터 받은 토큰과 함께 요청을 제출하는 인증 과정입니다. 서버는 서명이 올바른지 확인하기만 하면 되기에 인증정보를 서버 측에서 보존할 필요가 없습니다.

토큰 기반 인증은 서버 측에서 인증정보를 유지하지 않는 stateless 인증 방식이기 때문에 고속통신을 제공할 수 있다고 Shaji 씨는 설명합니다. 마이크로 서비스와도 궁합이 좋다고 합니다.

토큰 기반 인증의 단점은 클라이언트의 정보 유지 방법에 따라 크로스 사이트 스크립팅 및 cross-site request forgeries의 피해를 받을 가능성이 있다는 점, 토큰은 유효기간이 지날 때까지 제거할 수 없기 때문에 만약 토큰이 누설된 경우에는 공격자가 악용할 수 있다고 Shaji 씨는 경고합니다.

◆ 일회용 암호
로그인을 할 때 한 번만 사용할 수 있는 비밀번호를 발급하는 방식이 일회용 암호입니다. 일회용 암호는 이메일 주소나 전화번호 등 확실히 계정 소유자만 사용할 수 있다고 신뢰할 수 있는 시스템을 이용하여 보안 레이어를 하나 추가할 수 있는 점이 특징. 온라인뱅킹 등에도 이용될 정도로 높은 보안이 장점이지만, 신뢰할 수 있는 시스템이 고장이나 배터리 방전으로 사용할 수 없게 된 경우, 인증을 할 수 없게 된다는 등의 단점도 있습니다.

◆ OAuth · OpenID
OAuth 및 OpenID 같은 인증 프로토콜 표준은 '고객이 누구인가?'라는 인증 기능 외에도 '클라이언트에게 무엇을 허가할 것인가'라는 권한관리 기능도 가지고 있습니다. Google이나 Twitter, Facebook 등 SNS 계정을 이용한 로그인 기능을 구현하는 것도 가능하며, 비밀번호를 없이도 높은 보안을 제공할 수 있다고 합니다.

OAuth 및 OpenID 인증의 장점은 높은 보안 및 새로 계정을 만들 필요가 없다는 점, 암호를 보유하지 않기 때문에 제삼자로부터의 공격을 받아도 무해하다는 점을 들 수 있습니다. 단점으로는 다른 시스템에 의존하는 부분이 생겨 버리는 점, 권한 확인을 사용자 측에서 간과하기 쉬운 점, SNS 계정을 가지고 있지 않은 사람은 이용할 수 없는 점을 들 수 있습니다.

Shaji 씨는 채용하는 인증 방식을 결정할 때 다음의 기준에 따르면 좋다고 말합니다.

· 서버 사이드의 템플릿을 사용하는 응용프로그램 : 세션 기반 인증. OAuth 및 OpenID를 추가하는 것도 좋다
· REST API : 토큰 기반 인증
· 고급 기밀 정보를 취급하는 경우 : 일회용 암호를 추가

ISIP 전화 또는 소프트폰 등으로도 불리는 VOIP 전화는 VOIP(Voice over Internet Protocol) 기술을 사용하여 다른 소프트폰이나 휴대폰, 일반전화와의 통화를 가능하게 합니다. 음성은 기존의 PSTN 시스템이 아닌 인터넷을 통해 전달됩니다. VOIP 전화는 소프트웨어 기반의 소프트폰과 외형이 일반 유선전화와 거의 같은 하드웨어 타입 2종류가 있습니다. VOIP 전화의 일반적인 기능은 발신번호 표시 기능, 통화 대기, 전송, 보류 등이 있습니다.

VoIP 전화는 모든 소프트폰, 휴대폰이나 유선전화에 전화를 걸 수 있습니다. VoIP 전화는 간단한 소프트웨어 기반의 소프트폰 또는 일반전화처럼 보이는 하드웨어 장치와 비슷합니다.

VoIP 전화의 일반적인 기능 중 일부는 다음과 같습니다. 발신자 ID는 공원, 착신 전환, 통화 보류, 전화번호부를 방문하여 여러 계정의 설정을 호출합니다. 일부 VoIP 전화는 통화 중 오디오와 함께 비디오 전송이 가능합니다.

VOIP(Voice over Internet Protocol)

인터넷이나 인트라넷과 같은 IP 네트워크를 통해 음성 통화를 제공하는 기술을 말합니다. VoIP는 디지털 부호화된 음성신호를 일정한 시간마다 구분하여 패킷화하여, 회선 사용효율이 높은 IP 네트워크를 통해 전송하기 때문에 통화요금을 낮출 수 있습니다. VoIP의 대표적인 규격으로는 현재 가장 주목을 받는 'SIP(Session Initiation Protocol)'나 국제전기통신연합(ITU-T)의 권고에 따른 표준 'H.323'가 있습니다. 모두 음성, 비디오, 데이터 등의 멀티미디어 통신을 위한 표준입니다.

출처 참조 번역
VoIPとは
https://www.nic.ad.jp/ja/basics/terms/voip.html
IP電話とは
https://www.3cx.jp/voip-sip/voip-telephone/

스마트폰은 더 이상 사치품 따위가 아닌 생활의 필수품이다. 전화나 카카오톡은 물론, 연락처, 추억의 사진과 스케줄 등 그 작은 기기에는 절대로 잃고 싶지 않은 것들이 가득 차 있다.

'암호를 입력할 수 없는 잠금상태'란?

중국의 상하이에 사는 한 여성의 iPhone에 중국어로 'iPhone을 사용할 수 없습니다. 25114984분 후에 다시 시도하십시오'라는 메시지가 표시되어 있다.

그녀의 2살짜리 아이가 암호를 여러 번 엉터리로 입력한결과, 해제할 수 없는 상태가 되어 있었던 것이었다.

2歲孩亂按手機密碼 致iPhone鎖機47年│中視新聞 20180304
https://www.youtube.com/watch?v=xON7ZjTFmYg

iPhone은 연속해서 암호를 잘못 입력하면 '암호를 입력할 수 없는 잠금상태'가 된다. 일정 시간 긴급전화 외에는 사용할 수 없는 상태가 되는 것이다.

iOS10.1부터는 6회 이상 잘못 입력하면 발동한다. 연속으로 잠금해제에 실패하면 사용할 수 없는 시간이 점차 1분, 5분, 30분 연장된다고 한다. 이 여성의 경우 아이가 반복해서 잠금해제에 실패한 결과, 47년간의 사용불가 잠금이라는 상태가 되어버린 것이다.

iPhone을 부활시킬 방법은 없는 것인가?

이 뉴스에 대해 한 스마트폰 수리점의 직원은 "초기화를 할 수밖에 없습니다"라고 말했다. 물론 이 경우 모든 데이터가 소실된다.

한편, 'iTunes로 동기화하는 방법'을 제시하는 전문가도 있다. iTunes를 통해 '장치 삭제'로 복원하는 것이라고 생각되지만, 어쨌든 평소 자주 백업을 하지 않았다면 데이터의 완전 복원은 힘들다.

여성의 iPhone은 기적적으로 부활

47년간 잠금해제를 할 수 없게 된 여성이 포기하지 않고 다시 시작을 반복하자, 어찌된 일인지 암호입력 화면이 표시되었고 무사히 잠금이 해제되었다고 한다. 어떻게 해서 입력할 수 있게 되었는가는 전문가도 설명할 수 없다고 한다.

이번 사건은 아이의 장난이었지만, 누군가 악의를 가지고 의도적으로 잠금상태로 만들 가능성도 있다. 이에 대비하여 스마트폰의 관리를 철저히 하고, 만일의 경우를 위해 백업을 자주 해둡시다!

단말기를 손에 들고, 지문인식 잠금해제를 시도한다.

평상시라면 이 단계에서 해제된다.

그러나 생체인증 또는 암호를 묻는 화면이 표시되었다.

지문인증을 시도하면 순간 해제된 후 생체인증 또는 암호를 입력하라는 화면으로 돌아간다

암호 입력도 같은 상태가 된다.

잠깐 해제되는 것을 보면, 잠금해제의 판정에 문제가 생긴 것이다.

단말기를 다시 시작하면 평소대로 잠금해제를 할 수 있다.

Adobe에서 개발 · 판매하는 'Adobe Photoshop Lightroom'은 사진편집용 소프트웨어로, 2015년에 영구 라이센스 버전의 'Lightroom6'가 발매되었습니다. 그런데 2020년 12월 이후 'Lightroom 6에서 일부 기능을 사용하려고 하면 충돌해 버린다'는 에러보고가 포럼을 중심으로 퍼졌고, 'Lightroom 6은 영구가 아니다'라고 보도되고 있습니다.

Lightroom Classic : v6.10 crashes in the facial recognition Modul | Adobe Photoshop Family
https://feedback.photoshop.com/conversations/lightroom-classic/lightroom-classic-v610-crashes-in-the-facial-recognition-modul/ 5fd510567288d52d004c42d6

Adobe Lightroom v6 is Falling Apart
https://petapixel.com/2020/12/24/adobe-lightroom-v6-is-falling-apart/

2015년에 발매된 Lightroom 6은 제품구입 방식의 소프트웨어로, 한 번 구입하면 소프트웨어를 영구적으로 사용할 수 있게 되어 있었습니다. 2017년에는 Lightroom 6 판매가 종료되었고 Lightroom 제품구입 방식이 모두 폐지되어 현시점에서는 월정액 과금(구독) 방식의 'Lightroom CC'만 찾아볼 수 있습니다.

Adobe는 제품구입 방식의 Lightroom 6에 대해 2017년 말에 최종 버전의 업데이트를 마지막으로 지원을 중단한다고 발표했습니다. 그래도 구독 방식으로 전환하고 싶지 않은 사용자는 Lightroom 6을 계속 사용하고 있었는데, 2020년 12월 Lightroom 6의 공식포럼에서 '특정 기능을 사용하려고 하면 Lightroom 6가 충돌한다'는 보고가 올라왔습니다.

'Lightroom의 얼굴인식 모듈을 열면 응용프로그램이 몇 초 이내에 종료한다'는 것. Lightroom 6 및 Lightroom CC 얼굴인식 모듈은 사진에서 특정 얼굴을 식별하고 카탈로그를 정리할 수 있는 도구입니다.

2020년 12월 13일 MStutz라는 사용자는 '최근 1주일, 얼굴인식 모듈을 열면 Lightroom이 충돌합니다'라고 보고하며, 2020년 12월의 Windows Update에 의한 영향인지 또는 Photoshop Elements 2021 · Adobe Premiere Elements 2021의 설치가 관계하고 있는 것은 아니냐고 의심합니다.

또한 cldmitry라는 다른 사용자는 얼굴인식 모듈뿐만 아니라 사진의 메타데이터를 복제하는 가상복사 기능을 사용했을 때에도 응용프로그램이 충돌한다고 보고했습니다.

dale_5435052라는 사용자는 "PC의 날짜를 10월 1일로 변경했는데, 신기하게도 얼굴인식 모듈이 정상 작동했다"고 해결책을 공개하고 있어, 문제의 원인은 시스템의 날짜에 있었던 것으로 드러났습니다.

이번 사태를 보도했던 테크놀로지계 미디어 PetaPixel은 시스템 날짜를 변경하면 문제가 해결된다는 점을 들어 'Adobe가 응용프로그램의 기능에 사용한 서드파티 라이센스의 유효기간 만료'가 일련의 문제를 일으켰을 가능성이 있다고 지적합니다.

TML59라는 사용자는 포럼에서 Adobe의 얼굴인식 기능이 DLL의 형태로 타사로부터 라이센스되는 것이 문제라고 코멘트. Adobe의 Lightroom 6 지원 중단 자체는 문제가 없지만, 라이센스 만료로 Lightroom 6가 사용할 수 없게 되어 버리는 결함은 Adobe가 책임을 가지고 대응해야 한다고 주장합니다.

Lightroom 6의 기능을 사용할 수 없게 되어 버리는 사태는 이번이 처음이 아니고, 2018년에는 '사진을 촬영한 위치를 Google지도에서 확인할 수 있는 맵 모듈 기능이 Lightroom 6에서 사용할 수 없다'는 보고가 올라왔습니다. 이 기능에 사용되는 Google Maps API 키의 만료가 원인으로 Adobe의 API 키를 개인의 API 키로 대체하는 방법으로 해결할 수 있다고 합니다.

PetaPixel는, 타사 라이센스의 만료는 앞으로도 발생할 가능성이 있고, 시간이 지남에 따라 Lightroom 6에서 더 많은 기능을 사용할 수 없게 될 수도 있다고 지적합니다. avpman라는 사용자는 "내가 Lightroom 6를 구입한 이유는 영구 라이센스 버전이었기 때문입니다. 얼굴인식 DLL의 라이센스 만료에 대해 '영구적'이라는 말의 정의를 논의하는 것도 재미있을지도 모르겠네요"라고 적습니다.

일련의 문제에 대해 PetaPixel가 Adobe에 문의한 결과, Adobe 대변인은 "Lightroom Classic의 영구 라이선스 버전은 지원되지 않습니다"라고 답변. 이미 Lightroom 6의 지원을 종료하고 있으므로, 기술지원 및 보안 수정, 버그 수정 등의 대응은 할 수 없다고 응답합니다.

Adobe는 2020년에 대폭적인 매출 증가를 달성했고 지속적인 수익을 확보할 수 있는 구독방식으로의 전환을 추진하는 것은 비즈니스의 관점에서 현명한 판단일 것이라고 PetaPixel는 지적합니다.

As Adobe's Earnings Soar, It Plans to Invest Further in A.I. Editing
https://petapixel.com/2020/12/11/as-adobes-earnings-soar-it-plans-to-invest-further-in-a-i-editing/

무인 비행기 '드론'은 최근 시장의 확대와 높은 사회적 관심을 받고 있습니다. 그런 드론 붐을 일으키고 있는 중국의 드론 메이커 'DJI'는 2006년에 설립되었습니다. 창업자인 프랭크 원은 창업 당시 홍콩과학기술대학의 학생이었습니다. 공중촬영의 새로운 시대를 견인하는 젊은 리더 프랭크 원은 일본의 RC헬기를 조종하며 안정적인 비행에 대해 고민했다고 합니다. 그래서 고안된 것이 DJI의 플라이트 컨트롤러(자세제어 장치)였습니다. 이것이 DJI 역사의 시작입니다.

그 후 드론의 이름을 단숨에 확산시키게 되는 모델 'PHANTOM'가 2012년에 발매됩니다. 드론을 이용한 공중촬영의 박력은 다양한 업계에 충격을 줬을 뿐만 아니라 드론의 가능성을 넓히는데 성공했습니다. 폭발적인 히트를 기록했고 현재도 주력 상품의 지위를 지키고 있습니다.

2014년 하이엔드 기기 'INSPIRE'를 발표했습니다. 360도 선명한 공간의 촬영을 실현한 'INSPIRE'는 공중촬영 프로도 인정할 정도의 진화를 이루었습니다. 그 후에도 소형 접이식 'Mavic Pro', 더욱 소형화한 'SPARK', 농약살포용 'AGRAS MG-1' 등 여러 분야에서 활약하는 모델을 시장에 공급하고 있습니다. 그리고 지금은 전세계에서 사용되는 드론의 시장점유율 약 70%를 차지하고 있는 것으로 알려져 있습니다.

대표 모델

세계 최고의 점유율을 자랑하는 'DJI' 드론의 라인업은 초보자부터 전문가까지 아우릅니다.

◆ Phantom 4 Pro V2.0

Phantom 시리즈의 최신 모델 'Phantom 4 Pro V2.0'은 DJI를 대표하는 모델 중 하나입니다. 1인치 CMOS 센서를 채용한 카메라는 DJI 제품 중 최초이며, 전후방 좌우의 모든 각도에서의 장애물 회피 기능도 포함되어 있습니다. 좁은 공간에서의 영상이나 사진 등의 촬영에 추천하는 전문가용 모델입니다. 색상은 화이트와 매트 그레이의 2색 전개입니다.

제품의 특징
* 1인치 20MP CMOS 센서, 기계식 셔터
* 버스트 모드의 정지 영상 (14MP)
* 4K 동영상은 264 포맷에서 60fps, H.265 형식으로 30fps
* 6개의 비전센서, GPS / GLONASS 1 ~ 30m의 범위에서 장애물을 감지
* 최대 속도 72km/h (스포츠 모드)
* 비행시간 30분 DJI GO 4 앱에 대응
* Draw, ActiveTrack, TapFly, Return to Home, 제스처 모드

◆ Inspire 2

2016년 11월에 등장한 'Inspire 2'. 영상제작자로부터 절대적인 지지를 얻고 있는 모델입니다. 세계를 놀라게 했던 'Inspire 1'의 모든 기능을 계승하면서 최신 CineCore 2.1 이미지처리 시스템과 360° 회전 짐벌, 4K카메라를 탑재한 전문가용 드론입니다. 듀얼배터리 시스템이 최대 비행시간 27분을 가능하게 했으며, 정지 상태에서 80km/h까지의 가속 시간은 단 5초입니다. 또한 FlightAutonomy를 개량했고, 지능형 비행 모드를 추가하기도 했습니다.

Inspire 2 특징
* 6K 30fps CinemaDNG
* 5.2K 30fps Apple PreRes
* H.265 / H.264 100Mbps
* 20fps 연속 버스트 촬영
* PIV
* 오버 샘플링 동영상
* 3DNR
* 3DLUT
* DJI 시네마 컬러 시스템
* EI 모드
* NVMe SSD PCle 3.0
* FAT32 / exFAT
* 장애물 검지 · 방지 기능
* 스포트라이트 프로
* 지능형 비행 모드
* TapFly
* Active Track
* 스마트 RETURN-TO-HOME
* 마스터 송신기 및 슬레이브 송신기
* 최대 비행시간 27분
* 최대 시속 94㎞/h
* 최대 제어 범위 7km
* 1080p 라이브뷰

◆ MAVIC AIR

MAVIC 시리즈의 최신 모델 'MAVIC AIR'는 2018년 1월에 출시되었는데, 처음으로 공중촬영에 입문하는 초보자에게 추천하는 드론입니다. 손떨림 보정, 매끄러운 4K 동영상 촬영이 가능합니다.

한 손으로도 조작할 수 있는 조작성을 실현했습니다. 또한 암을 축소하여 여성의 손바닥 정도의 컴팩트 사이즈로 크기를 줄였으며 무게는 500ml의 페트병보다 가벼운 430g. 포켓이나 가방에 넣어 가볍게 휴대할 수 있습니다. 색상은 오닉스 블랙, 레드, 화이트의 3색 전개입니다.

MAVIC AIR 특징
* 32MP 스파이어 파노라마
* 접이식 디자인 및 뛰어난 휴대성
* 3축 짐벌 & 4K 카메라
* 3방향 장애물 감지
* 스마트 캡쳐
* 최대 비행시간 21분
* 슬로우모션 동영상
* HDR 사진
* 12MP 스틸
* 8GB 내부 스토리지
* 최고 속도 68.4㎞/h
* Wi-Fi 동영상 전송

인터넷상 이미지의 사용상 주의사항을 정리해 보았습니다

복잡한 이용약관

다양한 유료&무료 사이트에서 소재를 얻다 보면 아무래도 각각의 서비스 이용약관을 나도 모르게 혼동하게 됩니다.

'프리'의 개념은 다양하고 서비스마다 기준은 제각각.

· '개인적으로 이용하는 자유' (무상제공의 배경 등)
· '상업적 자유' (로열티프리 표기 등)
· '수정할 자유' (유료 소재의 확장 라이센스 등)
등

얻은 소재가 어느 정도까지 이용할 수 있는지, 각 사이트마다 일일이 확인해야 할 필요가 있고 일률적 기준은 이거!라고 단언할 수 없는 복잡성이 있습니다.

각각의 예산 사정을 고려하여 다양한 용도로 사용 가능한 균형 잡힌 1개의 서비스로 줄여, 이용약관을 읽은 후 사용하는 것이 현명합니다.

'인터넷에 대해 잘 모른다'는 해명은 통하지 않는다

'악의는 없었다'고 하여도 통하지 않는 것이 법률입니다.

회사의 업무와 자신의 이름을 건 창작물 등을 발표할 때 특히 신중하지 않으면, 자신의 손해뿐만 아니라 관계자에게 엄청난 폐를 끼치게 됩니다.

'표절 의혹' 등 비방만으로 끝나지 않고, 금전적 문제나 소송으로 발전하는 경우도 많이 있습니다.
최근에는 인터넷에서 흔히 보이는 사진을 컴퓨터에 저장하는 감각으로 비즈니스 등에 사용하여 소송이나 '표절 의혹' 등으로 사건화되는 케이스가 끊임없이 일어나고 있습니다.

문제나 소송이 되는 경우

'상업적 이용 가능', '저작권 프리'라고 써있더라도 신중하게 접근하는 것이 좋습니다. 국내에 소재하지 않는 알지도 못하는 해외의 기업이 갑자기 고소하는 일도 실제로 일어나고 있습니다.
이용약관을 확인하려고 해도, 보이지 않는 작은 글씨로 된 난해한 법률 용어로 설명되어 있는 경우도 있습니다.

저작권 무료였던 이미지가 어느새 유료가 되는 경우도?

사용한 무료 이미지가 자신도 모르는 사이에 저작권 이양으로 유료화되어, 알지도 못하는 해외 기업으로부터 청구서가 도착하기도 합니다.
옛날의 일인 경우 기억도 애매하고, 문제도 피하고 싶은 심리에 의해 상대가 요구하는 호가에 돈을 지불해버리는 사람도 있으며, 그런 사람의 심리에 파고드는 사기적 영역의 사업을 하고 있는 곳도 있습니다.

소중한 스마트폰을 상처로부터 보호하기 위해 빼놓을 수 없는 것이 화면보호 필름입니다.

필름을 대강 분류하면 일반적 유형과 유리 종류로 나눌 수 있습니다. 일반적 유형은 저렴하고 감도가 떨어지지 않는다는 등의 장점이 있는 반면, 충격이나 상처에 대한 방어능력이 낮은 것이 단점입니다. 또한 붙일 때 기포가 생기기 쉽다는 등의 단점도 있습니다.

유리 타입의 경우 상처나 충격에 강하고 본체를 지키는 힘을 갖추고 있으며 기포가 들어갈 틈 없이 예쁘게 붙일 수 있습니다. 반대로 범퍼 타입의 케이스와 일치하지 않거나 터치 감도가 둔해진다는 등의 단점이 있습니다.

유리 필름에서 현재 주류를 이루고 있는 것이 경도 9H로, H라는 단위는 JIS 규격이며, 어떤 연필심의 경도에 상처가 나는지를 보여줍니다. 6H필름이라면 6H 경도의 물체로 마찰이 일어나도 상처가 나지 않는다는 의미입니다.
측정 방법은 실제로 9H 경도 연필을 사용하여 실시되며 5회 문질러 상처가 하나 이하이면 OK라고 합니다.

좋은 유리 필름의 선택

· 유리가 얇다
터치 감도에 직결합니다. 얇은 것은 그립감에 위화감도 없어 꽤 중요합니다.
· 감도가 좋다
· 에지 가공
안쪽까지 침투하는 타입의 케이스 사양시에도 간섭되지 않습니다.
· 지문이 잘 묻지 않는다
· 리뷰가 많고 높은 평가를 받는다
저평가가 적은 것은 기본적으로 문제에 있을 가능성이 낮습니다.

드론 비행 전에 전파의 도달범위를 파악하여 두면 드론의 비행거리에 대한 감각도 잡을 수 있습니다.

드론의 기종에 따라 비행거리도 다릅니다. 기종별 비행거리를 비롯해 스마트폰의 Wi-Fi로 조종하는 경우의 주의사항에 대해서도 알아둡시다.

드론의 비행거리

기종 등에 따라 차이가 있지만 크게 정리하면 300~1,700m 정도입니다.

주위에 장애물이 있는지 없는지에 따라서 비행거리도 다릅니다. 장애물이 없는 높은 곳이라면 전파가 도달하기 쉬우므로 더 멀리 비행할 수 있습니다.

건물이 많은 곳이라면 500m 정도입니다. 대형 드론은 최대 300m 정도의 비행거리입니다.

통신방식에 의한 비행거리

Wi-Fi 전파 대역은 2.4GHz와 5GHz 대역을 사용하고 있습니다. Wi-Fi로 스마트폰이나 송신기에 드론을 연결하여 날릴 수 있게 되어 있습니다.

스마트폰에 Wi-Fi로 연결하여 드론을 비행하는 경우에는 80~100m 정도가 한계라고 합니다. 스마트폰 자체가 드론에 효율적으로 전파를 송수신하는 장치가 아니기 때문입니다.

반대로 제대로 된 송신기를 사용하면 2~4km 정도의 비행도 가능합니다. 다만 항공법상 육안 밖의 비행은 금지되어 있어서 실제로 2~4km를 날리는 것은 어렵습니다.

드론을 스마트폰의 Wifi로 조종하는 경우의 주의점
2.4GHz 대역은 전파 간섭을 받기 쉬우므로 전파 두절에 주의해야 합니다. 그 밖에도 몇 가지 주의사항이 체크해봅시다.

◆ 거리가 짧아진다
예를 들어, DJI의 Mavic Pro가 송신기라면 4,000m이지만, Wi-Fi 연결이라면 80m밖에 날릴 수 없습니다.

◆ 전파 간섭에 취약하다
2.4Ghz 대역의 전파는 전화나 무선 LAN 등 다양한 통신기기에 사용되는 주파수 대역입니다. 행사장이나 통행이 많은 장소, 전파탑 부근에서는 매우 방해를 받기 쉽습니다.

◆ 혼잡한 장소에서는 전파가 혼선되기 쉽다
스마트폰의 4G 회선이나 LTE 회선은 2.1GHz 대역을 사용하고 있습니다. 그러나 혼잡하면 2.4GHz 대역의 전파와 맞물려 버립니다.

그 밖에도 전자레인지나 무선 LAN 등의 간섭을 받기 쉽고, 비행 위치에 따라 전파가 혼잡할 수 있으므로 조심합시다.

환경에 따라 변화하는 비행거리

전송범위 2,000m 이상인 드론이 많이 존재합니다. 그러나 이것은 어디까지나 이론상의 이야기. 제조사가 제시하는 최대 전송범위는 '장애물이 없는 무풍 상태'에서의 데이터입니다. 사실, 장애물이 전혀 없이 무풍 상태에서 비행하는 것은 어렵습니다. 최대 전송범위에 도달하기 전에 전파가 끊어져 버리는 이유이기도 합니다.

배터리 소모에 의한 비행거리

예를 들어, DJI의 Phantom 시리즈는 약 20분의 비행으로 약 6,000m의 비행에 성공했습니다.
베터리를 완전히 사용하면 약 9,000m의 비행이 가능합니다.

정리

육안범위는 일반적으로 100~200m인 것으로 알려져 있습니다.

드론의 비행 범위는 직선거리로 300m, 고도 150m이라는 것을 기준으로 기억해두면 좋을 것입니다.

개인 · 기업을 불문하고 보급되고 있는 드론은 저렴한 비용으로 공중촬영을 하고 싶은 경우에 선택이 가능한 가장 효과적인 수단입니다. 현재 뮤직비디오나 영화, TV프로그램 제작, 조사연구 등 다양한 용도로 활용되고 있습니다만, 드론을 사용하여 공중촬영을 할 때는 영상의 기초는 물론 적절한 고도와 각도를 선택하는 조작 기술 외 관련 법령이나 비행 가능 지역 등도 파악해야 합니다.

현재 면허 없이 국내에서 드론의 조종에 사용이 인정되는 주요 전파는 2.4GHz 대역이라는 주파수의 전파. 전파법에서는 다른 무선기기에 영향을 미치지 않는 '미약무선국'이나 무선 LAN 등 혼신방지 조치가 취해진 것은 무면허로 사용할 수 있습니다. DJI의 'Mavic'나 'Phantom','Inspire'시리즈에 채용되고 있는 주파수 대역이기도 합니다. 2.4GHz 대역의 드론은 무선 LAN과 같은 기술표준을 채택하고 있으므로 무면허로 비행할 수 있습니다.

또한 드론은 조종 이외에도 스마트폰이나 태블릿에서 FPV용 영상을 전송하기 위해서도 전파를 사용합니다. 역시 2.4GHz 대역의 전파를 사용하는데, 해외에서는 5.8GHz 대역의 전파를 채용하고 있는 드론이 대다수를 차지합니다.

드론에 사용되는 전파의 주파수 대역

높은 주파수의 전파는 전송할 수 있는 데이터 용량이 크지만 장애물에 약합니다. 반대로 낮은 주파수는 데이터 용량은 작지만 장애물에 강한 성질을 가집니다. 각각의 주파수 대역에는 적재적소의 용도가 할당되어 있습니다. 전파법은 전파를 발하는 것을 '무선국'으로 규정하고 있으며, 사용에는 원칙적으로 무선국 면허가 필요하지만, 자동차의 디지털 키 등 수m 밖에 도달하지 않는 전파 등 상당히 미약한 경우에는 면허는 필요 없습니다. 우리가 평소 사용하는 휴대전화의 사용에도 무선국 면허가 필요하지만, 이동통신 사업자가 포괄적으로 면허를 취득하고 있어서 사용자는 면허의 존재를 의식하지 않고도 사용이 가능한 것입니다.

이전까지의 무선조종으로는 27MHz, 40MHz, 72MHz, 73MHz 대역이 사용되어 왔지만, 최근에는 2.4GHz 대역을 사용하는 것도 늘고 있습니다. 공중촬영용 드론에서도 2.4GHz 대역을 사용하는 것이 많습니다.

드론은 기체의 조종 및 FPV 용도 이미지 전송에 전파가 사용됩니다. DJI 등 소비자용 제품은 주로 2.4GHz 대역이 채용되고 있습니다.

최근 새로운 전파의 주파수 대역이 드론 등 무인로봇용으로 개방되었습니다. 그 중에서도 주목되는 것이 5.7GHz 대역. 드론 레이스에서 아마추어 무선을 이용하여 FPV를 즐기는 유저도 있지만, 이것은 어디까지나 '취미' 용도에 한정된 것으로 업무적 공중촬영에는 사용할 수 없습니다. 5.7GHz 대역은 교각 등의 인프라 정비나 화산 조사 등 보다 멀리 날릴 수 있고 더욱 선명한 영상을 전송하고 싶다는 요구에 대응하기 위한 것입니다.

◆ 5.7GHz 주변의 주파수 대역
최대 54Mbps의 데이터를 상공으로 약 5km까지 날릴 수 있다. 공중선 전력(안테나에서 나오는 전파의 강도)은 1W.

◆ 73MHz 주변의 주파수 대역
농약살포용 무선조종 헬기 등에 오래전부터 사용되어 온 주파수 대역.

◆ 2.4GHz 주변의 주파수 대역
현재는 공중선 전력이 10mW로 되어 있지만, 최대 1W까지 높아진다. 이전까지의 저전력 시스템에서는 면허가 불필요했지만, 고출력의 새로운 시스템은 무선국 면허 및 종사자 자격이 필요하다.

◆ 169MHz 주변의 주파수
저주파의 전파는 데이터 용량이 작지만 장애물을 우회하는 성질이 있어서, 예를 들어 재해 구조 로봇 등의 조작 및 비상 백업 역할의 용도를 상정한 주파수 대역.

출처 참조 번역
ドローンを扱ううえで知っておきたい電波の知識
https://genkosha.pictures/movie/19013019376

일본의 전자기기 메이커 SUNCORPORATION의 자회사인 이스라엘 기업 Cellebrite가 '안전성이 검증된 메신저 앱 Signal의 암호통신을 해독했다'고 일시적으로 발표했다고 보도되었습니다. 이에 Signal은 "보도는 잘못된 것입니다. Cellebrite는 Signal의 암호를 돌파할 수 없으며 돌파했다고도 주장하지 않았습니다"라고 보도를 완전히 부정하는 성명을 발표했습니다.

Signal >> Blog >> No, Cellebrite can not 'break Signal encryption'
https://signal.org/blog/cellebrite-and-clickbait/

Signal Dismisses Cellebrite Encryption Claim | Silicon UK Tech News
https://www.silicon.co.uk/e-regulation/signal-founder-dismisses-cellebrite-encryption-crack-claim-349692

Signal는 전자프런티어재단이 정한 '가장 안전한 메신저 목록'에서 최고 등급을 획득한 메신저 앱으로, 그 안전성을 인정받아 미국의 상원의원 간의 연락 도구로 공식 채용되었습니다.

Signal은 2020년 12월 23일 공식블로그를 업데이트하며 "어제 BBC가 이스라엘의 데이터분석 기업 · Cellebrite가 Signal의 암호를 돌파하는 데 성공했다고 보도했습니다만, 이것은 오보입니다"라고 발표했습니다.

IT업계 관련 뉴스사이트인 Silicon UK에 따르면, Cellebrite은 공식사이트에서 "Signal의 암호를 해독했다"고 발표했다고 합니다. 물론, 인터넷 아카이브가 제공하는 Wayback Machine로 동사의 12월 10일자 블로그 기사에 액세스해보면 "Signal이 익명성을 악용한 불법거래에 이용되고 있다"는 지적과 함께 데이터 분석도구 'Physical Analyzer'를 사용하여 Signal의 데이터를 분석하고 있는 과정 등을 확인할 수 있습니다.

그러나 이 페이지는 공개 후 크게 내용이 편집되었고, 현시점에는 Signal의 인기가 확대되고 있는 것과 Physical Analyzer로 Signal 데이터에 대한 합법적 접근이 가능하게 된 점 등이 적혀있을 뿐, 구체적인 분석방법 등은 일절 게재하고 있지 않습니다.

Helping Law Enforcement Lawfully Access The Signal App - Cellebrite
https://www.cellebrite.com/en/blog/cellebrites-new-solution-for-decrypting-the-signal-app/

Cellebrite의 기사에 대해 Signal의 Moxie Marlinspike 씨는 "Cellebrite는 지난주 그들의 '첨단 기술'을 사용하여 Signal 앱을 분석한 기술적인 기사를 블로그에 게시했습니다. 그러나 그것은 잠겨있지 않은 수중의 Android 장치의 앱에서 메시지를 본다는 간단한 것이었으므로, 그들의 능력은 존경심을 불러일으키는 것은 아니었습니다"라고 코멘트. 실제로는 암호화된 통신이 해독된 것은 아니므로 여전히 Signal은 안전하다는 견해를 나타냈습니다.

Signal은 이 사건을 다룬 언론에 대해서도 "이런 부끄러운 사건은 Cellebrite에게는 재난 이외의 아무것도 아닙니다만, BBC 등의 언론은 온라인에서 확실한 정보를 입수할 수 있었음에도 불구하고 Cellebrite의 '성공'을 일부러 거론했습니다"라고 말하며 이미 내려진 글을 대대적으로 보도한 점에 대해 비판합니다.

Signal은 "오해의 소지가 있는 부정확한 정보가 빨리 퍼져버리는 것은 유감스러운 일입니다. 많은 사람이 잘못된 기사를 읽지만, 정정 기사를 읽는 사람은 극히 소수입니다. 만약 이런 무책임한 기사에 혼동하는 사람이 보인다면 정확한 기사를 공유해 줍시다"라고 독려합니다.

존스홉킨스대학 정보보안 연구소의 암호학자인 매튜 그린 교수는 '수사기관이 iPhone에 침입하는 방법'에 대한 연구결과를 Twitter에 공개했습니다. 이에 따르면, 수사기관은 iPhone의 암호를 해제하지 않고도 손쉽게 iPhone의 내부에 접근할 수 있는 것으로 밝혀졌습니다.

Researchers detail how the iPhone gets hacked by law enforcement - Knapsack
https://knapsack.news/2020/12/23/researchers-detail-how-the-iphone-gets-hacked-by-law-enforcement/

This might be how law enforcement agencies break into iPhone | AppleInsider
https://appleinsider.com/articles/20/12/23/this-might-be-how-law-enforcement-agencies-are-breaking-into-iphone

미국시민자유연맹은 2020년 12월 22일에 "FBI는 iPhone을 비롯한 스마트폰의 암호화를 몰래 돌파하는 능력을 가지고 있다"며 FBI를 기소했다고 발표했습니다.

이 뉴스를 받아 그린 씨는 대학 제자인 Max Zinkus 씨와 Tushar Jois 씨가 수사당국의 법적문서와 공개자료, 수사기록을 철저하게 조사하고 연구한 결과를 요약하여 Twitter에 공개했습니다. 일련의 트윗에서 그린 씨는 "결론부터 말하면, 경찰은 iPhone의 암호를 추측하지 않습니다. 경찰이 사용하고 있는 것은 iPhone의 암호가 아닌 사용자가 그것을 입력한 그 자체라는 것"이라고 주장합니다.

그린 씨에 따르면, iPhone의 상태는 '전원을 켠 후 처음으로 잠금해제하기 전'과 '잠금해제한 후'의 두 가지로 구별할 수 있다는 것. 사용자가 iPhone을 잠금해제하면 iPhone은 암호를 사용하여 복수의 암호화 키의 세트를 작성합니다. 이 암호화 키는 iPhone 자체의 내부메모리에 저장되어 있는 파일시스템의 암호화에 사용됩니다.

그런 다음 사용자가 iPhone을 방치하거나 전원버튼을 눌러 단말기가 잠기면 암호화 키 세트의 일부는 메모리에서 제거되지만 일부는 제거되지 않고 남아 있습니다. 이 제거되지 않은 키와 OS의 보안대책을 피할 수 있는 익스플로잇을 사용하면 iPhone 안에 있는 파일 대부분에 자유롭게 접근할 수 있다는 것. 이것이 'FBI가 몰래 스마트폰의 암호화를 돌파하는 능력'의 정체라는 것이 그린 씨의 견해입니다.

그린 씨가 입수한 Apple의 문서에는 잠금해제한 후의 상태에서도 암호로 엄중하게 보호되는 데이터로는 첨부파일이 포함된 메일 데이터와 Safari 책갈피 등이 열거되어 있습니다. 즉, 이러한 데이터를 제외하고는 특별한 보호를 받을 수 없으며 위의 구조에 의해 경찰이 쉽게 액세스할 수 있는 상태로 되어 있다고 그린 씨는 지적합니다.

경찰이 액세스할 수 있는 데이터의 일례로, 그린 씨는 단말기에 저장된 사진이나 노트북 등에 저장된 텍스트 파일, 일부 위치정보 데이터 등을 듭니다. 게다가 메일 데이터 등이 보호되고 있다고 쓰여진 Apple 문서는 2012년의 것으로, 2020년 현재는 '앱 기동 데이터' 밖에 보호되지 않을 우려도 있다는 것. 그린 씨는 Apple이 데이터를 엄중하게 보호하지 않는 이유는 '위치 기반 알림 기능' 등 편리하고 화려한 기능을 실현시키기 위해서라고 추측하고 있습니다.

그린 씨는 "Android도 상황은 비슷할 것"이라고 말하면서, 특히 iPhone에 대해서는 "기본적으로 스마트폰을 암호화하고도 적극적인 침입자에 대해서는 무방비나 마찬가지"라고 말합니다.

이 연구결과를 바탕으로 IT계 뉴스사이트 Knapsack는 "스마트폰의 데이터를 보호하려면 10자리 암호를 사용하십시오. 만약 스마트폰이 수사기관에 압수될지도 모를 경우에는 전원을 꺼버려야 합니다. 또한 차선책으로 긴급SOS 모드 등을 사용하여 USB포트를 비활성화하는 것도 고려해야 합니다"라고 권고합니다.

열기구로 전세계에 인터넷을 제공하는 프로젝트와 고속통신 5G의 정비가 진행되는 등 정보통신 기술은 나날이 발전하고 있습니다. 그런 정보통신 기술의 기초가 되는 연구를 수행하여 정보이론의 아버지로 불렸던 클로드 섀넌(Claude Shannon)의 업적에 대해 스탠포드대학에서 정보학 교수를 맡고 있는 David Tse 씨가 설명합니다.

How Claude Shannon's Information Theory Invented the Future | Quanta Magazine
https://www.quantamagazine.org/how-claude-shannons-information-theory-invented-the-future-20201222/

1916년 미시간에서 태어난 섀넌은 미시간대학에서 수학과 전기공학 학위를 취득한 후, 매사추세츠 공과대학에서 부울대수를 회로설계에 적용한 석사 논문 '계전기 및 개폐회로의 기호학적 분석'을 발표했습니다. 복잡한 회로를 수학적 이론을 바탕으로 설계하는 것을 가능하게 한 이 연구는 현재도 계속해서 회로설계 기술에 관한 연구의 출발점이 되고 있습니다.

그 다음 섀넌은 정보통신에 관한 연구에 주력했습니다. 정보통신은 인류에게 중요한 기술로 봉화나 전서구, 전화, TV 등 다양한 정보통신 기술이 개발되어 왔지만, 이러한 통신시스템은 특정 정보원과 물리적 물건에 의존하고 있었습니다. 섀넌은 다양한 정보를 통신하는 데 사용할 수 있는 통합적인 이론을 찾아내기 위해 연구를 수행하였고, 1948년에 현재의 통신기술의 기초 이론인 '통신의 수학적 이론'을 발표했습니다. 이 논문에서 섀넌은 처음으로 '비트'라는 단어를 사용했습니다.

이 이론에서 섀넌은 정보를 '0', '1'의 2값만으로 표현하는 방법을 개발하였고, 시간당 정보량을 비트를 사용하여 표현하는 '엔트로피(정보량)'라는 아이디어를 생각해냈습니다. 예를 들어, 분당 100자 영문을 보낼 때 알파벳은 26자이기 때문에 분당 26의 100승의 조합이 될 수 있습니다. 이 정보량을 비트를 사용하여 표현하면 26의 100제곱≈2의 470승보다, 분당 100자 영문을 보낼 때의 정보량은 470비트로 나타낼 수 있습니다. 이처럼 다양한 형식의 정보를 비트로 변환하여 처리할 수 있게 되었습니다.

당시의 기술자는 문서, 음성, 영상 등의 정보마다 효율이 좋은 정보통신 방식은 다르다고 생각했습니다. 그러나 섀넌이 제창한 정보이론에 의해 어떤 형태의 정보도 비트로 변환하여 송수신함으로써 효율적으로 통신을 할 수 있는 것으로 밝혀졌습니다.

David Tse 씨는 "섀넌이 연구를 시작하기 전부터 수많은 정보기술에 대한 연구가 진행되어 왔지만, 섀넌은 그것을 하나의 이론으로 정리했습니다. 연구자의 역할은 하나하나의 가지를 추가해 나가는 것뿐만 아니라 가지를 잘라 아름다운 나무를 만드는 것이기도 합니다."라고 말합니다.

가상현실(VR) 체험 중 높은 곳에서 떨어지는 영상을 보면 나도 모르게 비명을 질러버릴 만큼 VR은 현실처럼 보입니다. VR이 어떻게 현실처럼 보이게 하는지에 대해, 미국의 뉴스미디어 Vox가 동영상을 통해 설명합니다.

How virtual reality tricks your brain - YouTube
https://www.youtube.com/watch?v=ybyib5pAq7Y

영상의 등장인물들이 플레이하고 있는 것은 'Richie's Plank Experience'라는 VR게임.

Richie's Plank Experience에서는 '80층 높이에 설치된 1개의 나무판을 걸어서 건넌다'라는 유사체험을 즐길 수 있습니다.

 
Richie's Plank Experience의 그래픽은 잘되어 있지만 역시 빛의 반사가 부자연스럽게 보이거나 빌딩의 외벽이 지나치게 매끄럽고 관엽식물의 잎의 그래픽 표현이 깨져있기도 합니다.

세부적으로 보면 그래픽의 한계가 눈에 띄지만, Richie's Plank Experience는 플레이어에게 '현실같은 체험'을 제공하는 데 성공하고 있습니다. 예를 들어 YouTube에서 'VR FAIL VIDEO'로 검색하면 VR게임에 열중한 나머지 넘어지거나 물건을 떨어뜨리고 심지어 타인을 때리는 플레이어의 모습을 볼 수 있습니다.

그럼 왜, VR은 현실처럼 보이지 않는데, 현실로 착각할까?

'다른 사람이 VR을 플레이하는 것을 보는 것'과 '실제로 자신이 VR을 체험하는 것'의 가장 큰 차이점은 VR헤드셋의 유무입니다.

VR 제품시험 등을 전문으로 하는 Roomera의 손 구엔 CEO는 "VR헤드셋이야말로 VR의 마케팅에 있어서 최대의 실패입니다."라고 말합니다. 구엔 CEO에 따르면, VR헤드셋 때문에 VR을 플레이하는 사람과 보는 사람이 같은 경험을 얻을 수 없는 점이 VR 보급의 걸림돌이 되고 있다는 것.

구엔 CEO는 "VR은 TV 등에서 영상을 시청하는 것과는 전혀 다른 경험을 뇌에 제공하는 것"이라고 설명합니다. 우리는 TV와 스마트폰 등을 볼 경우에 화면의 영상을 사진과 같은 '평면적인 것'이라고 인식하고 있으며, 스크린에 공이 날아오는 영상을 보아도 피하려고 생각하지는 않습니다. 그러나 VR로 공이 날아오는 영상을 본다면 사람은 피하려는 반응을 합니다.

이 반응을 일으키게 하는 원인은 VR헤드셋이 양쪽 눈앞에 1장씩 총 2개의 스크린을 두고 있다는 점입니다. 각각의 스크린은 두 눈 근처에 놓여 있을 뿐만 아니라 각각의 스크린에는 약간 다른 영상이 표시됩니다.

이것은 '두 눈이 각각 약간 다른 이미지를 본다'라는 사람이 사물을 보는 메커니즘을 모방하고 있습니다.

두 눈이 서로 다른 이미지를 보고 있다는 것은 '얼굴 앞에 손가락을 1개 세워 눈을 한쪽씩 감아 본다'라는 실험으로 확인할 수 있습니다. 왼쪽 눈을 감으면 오른쪽 눈을 감았을 때와 비교하여 손가락의 위치가 약간 어긋나 있다는 것을 알 수 있습니다.

인간은 각각의 눈에서 얻은 시각정보의 차이로 깊이를 결정합니다. 이것은 'Stereopsis(입체)'라는 현상으로 VR을 삼차원적인 영상으로 착각하게 만드는 정체입니다. 입체영상이 자신의 얼굴의 움직임에 따라 상하좌우로 움직일 경우, 인간의 두뇌는 '이 영상은 자신이 보고 있는 현실영상'이라고 오인합니다.

그 외에도 입체음향도 VR영상을 현실처럼 생각하게 해주는 요소 중 하나입니다. Richie's Plank Experience에서 보는 방향을 바꾸면 바람소리가 바뀌는 등의 연출이 되어 있습니다.

20년 가까이 VR기술을 연구해온 함부르크대학의 프랭크 스타닉 씨는 "1만 5000년에 걸쳐 우리의 뇌는 CG영상과 실제 영상을 분별하는 데 문제가 발생하지 않았습니다"라고 설명합니다. VR은 인류에게 익숙하지 않은 기술이지만, 선천적인 시각 메커니즘을 모사한 기술이기 때문에 뇌는 즉시 가상환경에 적응합니다.

스타닉 씨에 따르면, 인간은 정보의 80%를 시각으로부터 얻고 있다는 연구결과가 있을 정도로 시각이 뇌에 미치는 영향은 큽니다.

뇌는 시각의 정보에 의존한 나머지 시각에서의 정보와 시각 이외의 정보에 차이가 있어도 뇌는 시각정보를 우선하는 경향이 있습니다. 현실세계가 더운 기온이더라도, 설산의 영상을 VR로 체험한 피실험자가 추위를 느꼈다는 사례도 있습니다. 이 현상을 이용하여 화상을 입은 환자가 붕대를 교체할 때 설산의 VR영상을 체험하도록 하여 통증을 완화하는 실험도 이루어지고 있습니다.

2020년의 VR영상은 아직 거칠기가 눈에 띄지만, 스타닉 씨는 "5년이나 10년 정도 후에는 현실과 구별이 가지 않는 CG가 등장할 것입니다. 그러고 그것이 실현되면 윤리적 문제가 부상할 것"이라고 전망합니다.

스마트폰의 충전속도는 규격에 따라 크게 달라집니다. 각 업체가 판매하는 충전기와 케이블을 보면 '급속충전 대응'으로 표기되어 있는 제품이 있습니다.

하지만 급속충전 표시에는 'USB PD'나 'Quick Charge' 등 다양한 종류가 있어, 어떤 제품을 사야 할지 고민되기도 합니다.

급속충전이란?

우선 '급속충전'의 정의에 대해 알아봅시다.

'급속충전'에 명확한 정의는 없습니다. 예를 들어, 충전기 패키지를 보면 '18W(9V/2A)로 급속충전 가능'이라고 써있는 경우가 있습니다만, 모든 스마트폰이 18W로 충전할 수 있는 것은 아닙니다. 왜냐하면 스마트폰의 충전 성능은 스마트폰 모델에 따라 다르기 때문입니다.

즉, 18W 충전할 수 있는 모바일 배터리 등을 구입하더라도 스마트폰이 18W로 충전할 수 없는 경우가 있다는 것입니다. 반대로, 그 이상의 속도로 충전할 수 있는 스마트폰에게는 18W는 저속인 것입니다.

제조회사가 제공하는 급속충전 관련 기술

급속충전에는 다양한 규격이 있습니다.

◆ Quick Charge
'Quick Charge'는 Qualcomm이 개발한 충전기 규격입니다. 여러 버전이 있고 최신이 4+입니다. 최신 스마트폰에는 주로 3.0과 2.0이 탑재되어 있으며, 4+를 지원하는 제품은 아직 많지 않습니다. 4.0는 USB PD에도 대응하고 있습니다.

Quick Charge3.0과 2.0은 최대 18W의 전류를 흘려 충전속도를 빠르게 합니다. Quick Charge 3.0 호환 충전기는 지원하지 않는 제품에 비해 약 4배의 속도로 충전할 수 있다고 합니다. 각 버전의 충전속도는 다음과 같습니다.

· Quick Charge1.0
최대 출력 10W(전압 5V / 전류 2A)
· Quick Charge2.0
최대 출력 18W(전압 5V, 9V, 12V, 20V / 전류 3A, 2A, 1.67A)
· Quick Charge3.0
최대 출력 18W(전압 3.6V~20V <200mV단위로 최적의 전압을 적용> / 전류 2.6A, 4.6A)
· Quick Charge4+
최대 출력 18W(전압 3.6V~20V <200mV단위로 최적의 전압을 적용> / 전류 2.6A, 4.6A)
※ USB PD 지원시 최대 출력 27W(전압 5V, 9V / 전류 3A)

Quick Charge를 이용하려면 스마트폰과 충전기가 대응하고 있을 필요가 있고, Andoroid 스마트폰의 대부분은 Quick Charge가 탑재되어 있습니다. 대응 스마트폰은 Qualcomm 사의 홈페이지에서 확인할 수 있습니다.

일부 스마트폰이나 노트북에 탑재되기 시작하고 있는 규격이 'USB PD'입니다. USB Power Delivery의 약자로, USB Type-C를 사용하여 충전합니다. 충전하려면 스마트폰과 충전기, USB Type-C 케이블이 USB PD에 대응하고 있을 필요가 있습니다.

USB PD는 최대 100W(20V/5A)의 고속충전이 가능해지고 있습니다만, 사양의 상한인 100W로 충전하기 위해서는 USB Type-C 케이블의 선택에도 주의해야 합니다.

USB PD에 대응한 USB Type-C 케이블은 3A출력 및 5A출력 2종류가 있습니다. USB PD의 공급전압은 5V, 9V, 15V, 20V 4종류이므로, 3A출력 케이블을 구입하면 최대 60W로만 충전할 수 있습니다.

그러나 현재 판매되고 있는 USB PD 대응 스마트폰의 충전속도는 대부분 최대가 18W이므로, 스마트폰의 충전을 원한다면 어떤 케이블이어도 상관없습니다. 60W 이상으로 충전할 수 있는 USB PD 대응 노트북 등을 겸용하는 사람이라면 5A 케이블을 고려해도 좋습니다.

◆ Super Charge
'Super Charge'는 HUAWEI가 독자적으로 개발한 급속충전 기술로, 최대 40W(10V/4A)에서의 고속충전이 가능합니다. 그러나 Super Charge를 이용할 수 있는 것은 HUAWEI 정품 충전기뿐으로 타사 제품은 없습니다.

◆ BoostMaster(부스트 마스터)
ASUS의 급속충전 독자 규격으로 최대 18W(9V/2A)의 충전이 가능합니다. 또한 ASUS의 ZenFone 5는 USB PD에도 대응하고 있습니다.

◆ PowerIQ/Voltage Boost
'PowerIQ'는 Anker가 개발한 기술로, 최대 18W의 속도로 충전이 가능합니다. Anker의 충전장치에 연결된 스마트폰의 기종을 자동으로 감지하여 기기에 적합한 최대의 속도로 급속충전을 합니다.

PowerIQ와 유사한 기능으로는 모바일 배터리 등을 제조 · 판매하는 cheer 사의 'Auto-IC'나 버팔로사의 'AUTO POWER SELECT' 등이 있습니다.

'Voltage Boost'는 충전기에 연결되어 있는 케이블의 저항을 평형으로 유지하고, 공급 능력을 최적화함으로써 충전속도를 올리고 있습니다.

급속충전에 필요한 제품

충전기
충전기를 구입할 때는 포트당 몇 A로 충전할 수 있는지 확인합시다. 또한, 각 스마트폰이 최대 몇 A로 충전할 수 있는가에 대해서는 사양이 공개되어 있지 않지만, 2.4A 이상으로 충전할 수 있는 제품을 선택하면, 현재 판매되고 있는 거의 모든 기종에서 급속충전이 가능합니다.

USB PD 대응
USB PD로 충전을 할 경우 해당 어댑터와 케이블을 선택해야 합니다.

케이블
케이블의 선택도 중요합니다. 충전속도에 영향을 주는 것은 물론, 저가의 케이블은 전류와 전압을 컨트롤하지 못해 스마트폰이 고장나는 원인이 될 우려도 있습니다.

USB PD 대응 케이블
케이블은 3A출력 및 5A출력의 USB PD 대응 케이블인지를 확인하세요.

Lightning 케이블은 다양한 제조사에서 출시되고 있습니다. 'MFi 인증'이라고 기재된 것은 Apple이 승인한 케이블을 의미합니다.

2019년 상반기는 EC사이트에서 신용카드 정보가 유출되는 사건이 다발했습니다. 그 대표적인 사이버공격 수법이 'Web스키밍'이다. EC사이트의 신뢰를 위협하는 원리와 대책을 설명합니다.

Web스키밍이란?

Web스키밍은 EC사이트(인터넷 상거래 사이트)에 악성코드를 삽입하여 입력된 결제정보를 절취하는 공격입니다. 해외에서는 스포츠용품 메이커 FILA UK사와 잡지 Forbes 가입사이트, 미국과 캐나다의 대학이 운영하는 201의 EC사이트 등이 공격을 받았으며, 그 외 국가에서도 여러 EC사이트가 이 공격을 받은 모양입니다.

Web스키밍의 공격 기법

보안기업 RiskIQ사의 보고서에 설명되어 있는 Web스키밍 한 수법을 설명합니다.

1. 관리화면 등에 무차별대입 공격을 하여 ID/PW를 추측하고, 취약성 검사를 실시하여 조작 가능한 취약점을 파악한다.
2. 획득한 정보를 이용하여 무단 로그인하거나 Web컨텐츠를 조작하여 결제화면 등에 Web스키밍용 악성코드를 삽입한다.
3. 사용자가 EC사이트에서 결제정보를 입력하면 공격자의 서버에 결제정보가 전송된다.

새롭게 2019년 1월에 확인된 공격은 종래와 같이 직접 EC사이트를 변조하여 Web스키밍용 악성코드를 삽입하는 방법이 아니라, 소프트웨어 공급망을 이용하여 변조된 JavaScript 라이브러리를 배포하여 다수의 EC사이트에 간접적으로 Web스키밍용 악성코드를 삽입하는 방법이었습니다.

1. 공격자는 광고게재 서비스공급자의 환경에 침입한다.
2. 공격자는 광고게재에 사용하는 JavaScript 라이브러리를 조작하여 Web스키밍용 악성코드를 삽입한다. 변조된 JavaScript 라이브러리가 EC사이트에 전달된다. 이 라이브러리를 사용하는 EC사이트에 악성코드가 설치된다.
3. 사용자가 EC사이트에서 결제할 때, 악성코드에 의해 결제정보가 Web스키밍된다.
4. 절취된 결제정보가 공격자의 서버로 전송된다.

2019년 4월에 확인된 공격은 대학을 위한 EC사이트 구축플랫폼에서 사용되는 JavaScript 라이브러리를 조작하여 이 플랫폼을 이용하는 다수의 EC사이트에 간접적으로 Web스키밍용 악성코드를 삽입하는 방법이었습니다.

1. 공격자가 EC사이트 구축플랫폼 환경에 침입한다
2. 공격자는 플랫폼의 JavaScript 라이브러리를 조작하여 Web스키밍용 악성코드를 삽입한다. 플랫폼으로 구축된 EC사이트에 악성코드가 설치된다.
3. 사용자가 EC사이트에서 결제할 때 악성코드에 의해 결제정보가 Web스키밍된다.
4. 절취된 결제정보가 공격자의 서버로 전송된다.

2019년 9월에 확인된 공격은 Web사이트 구축제공사의 모듈을 수정하여 해당 업체가 구축한 여러 호텔체인의 예약사이트에 간접적으로 Web스키밍에 대한 악성코드를 삽입하는 방법이었습니다. 이 수법은 PC에서의 사용은 무해하지만 모바일기기에서의 액세스는 Web스키밍이 이루어지는 것이 특징이었습니다.

1. 공격자는 EC사이트 구축업체의 환경에 침입한다
2. 공격자는 EC사이트 구축에 사용되는 모듈을 수정하여 Web스키밍용 악성코드를 삽입한다. 모듈을 사용하여 구축된 EC사이트에 악성코드가 포함된다.
3. 사용자가 EC사이트에서 결제할 때 악성코드에 의해 결제정보가 Web스키밍된다.
4. 절취된 결제정보가 공격자의 서버로 전송된다.

이 외에도 부적절한 설정의 Amazon S3를 찾아 버킷상의 JavaScript 파일에 악성코드를 삽입하여 Web스키밍 실현하는 방법도 확인되었습니다.

이러한 사례처럼 공격자가 EC사이트 구축용 플랫폼과 라이브러리 컴포넌트를 공격하고 소프트웨어 공급망을 이용한 공격을 실시했을 경우, 한 번에 여러 EC사이트에 영향을 미쳐 큰 피해로 이어집니다 .

대책

표적이 되는 EC사이트 구축용 플랫폼도 증가하고 있으며, 2019년에는 Web스키밍 공격이 활발하게 이루어져 직접 EC사이트를 변조하여 Web스키밍용 악성코드를 삽입하는 방법과 소프트웨어 공급망을 이용한 간접적인 방법 모두에서 많은 EC사이트가 결제정보를 절취당했습니다.

Web스키밍 피해를 당하지 않기 위해서는 EC사이트 제공자가 미들웨어 및 플랫폼을 적절하게 업데이트하여 취약점을 해결하여야 하고 동시에 인증메커니즘과 보안설정을 검토하여 EC사이트를 견고하게 하는 것이 바람직합니다. 특히 관리화면이나 불필요한 디렉토리 파일에 대한 액세스 제어 및 관리자 계정의 암호 강화나 2요소인증의 도입, 로그 모니터링을 권장합니다.

또한 간접적인 방법에 의한 피해를 방지하기 위해 신뢰할 수 있는 라이브러리와 플러그인만을 이용할 것, 그리고 조금이라도 빨리 조작된 라이브러리에 대처하기 위해 정기적인 보안진단 및 Web변조 탐지솔루션의 도입도 고려하십시오.

출처 참조 번역
Paganini, “Payment data of thousands of customers of UK and US online stores could have been compromised,”
https://securityaffairs.co/wordpress/82403/cyber-crime/payment-data-security-breach.html

atlan, “Hackers Inject Magecart Card Skimmer in Forbes’ Subscription Site,”
https://www.bleepingcomputer.com/news/security/hackers-inject-magecart-card-skimmer-in-forbes-subscription-site/

RiskIQ, Inc, “Inside Magecart,” 13 11 2018.
https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf

미국의 증권거래위원회(SEC)가 13억 달러(약 1조 3500억 원)의 미등록 증권을 거래하는 투자자보호법 위반으로 암호화 자산(가상 화폐) 'XRP'를 운영하는 리플을 상대로 한 소송을 일으켰습니다.

SEC.gov | SEC Charges Ripple and Two Executives with Conducting $ 1.3 Billion Unregistered Securities Offering
https://www.sec.gov/news/press-release/2020-338

1933년의 증권법에 의해 미국 내에서 거래하는 증권은 SEC에 등록할 의무가 있습니다. 그러나 리플가 취급하는 가상통화 XRP는 SEC에 등록되어 있지 않습니다. 이로 인해 투자자가 XRP에 대한 충분한 정보를 얻을 수 없었다며 SEC는 리플과 CEO인 브래드 가링하우스 씨와 전 CEO 크리스찬 라센 씨에 대해 소송을 제기했습니다.

이 소송의 쟁점은 XRP가 SEC에 등록할 의무가 있는 '증권'인가 아니면 등록할 필요가 없는 '통화'인가라는 점입니다. 예를 들어 시장 최대 규모의 비트코인은 마이닝 과정을 통해 새로운 코인이 생성되는 반면 XRP는 1000억 단위라는 증감하지 않는 유닛이 거래되고 있습니다. 또한 약 64억의 XRP는 리플에 의해 보유되고, 가링하우스 씨와 라센 씨도 많은 XRP을 보유하고 있다고 합니다. 약 480억의 XRP가 리플 의해 정기적인 판매를 위해 예약되어 있습니다. 이러한 점에서 SEC는 XRP를 '통화'가 아닌 '증권'이라고 주장합니다.

이 소송에 대해서 리플은 XRP가 미국 법무부에 의해 2015년에 통화로 인정받은 점과 투자자에 의한 XRP 거래가 리플로부터의 수익을 추구하여 이루어지고 있지 않다며, XRP 거래의 정당성을 주장하고 있습니다.

Summary of Ripple 's Wells Submission(PDF 파일)
https://ripple.com/wp-content/uploads/2020/12/Ripple-Wells-Submission-Summary.pdf

유럽형사경찰기구(유로폴)이 2020년 12월 22일에 미국법무부(DOJ)와 협력하여 3개의 VPN을 차단하고 도메인을 압수했다고 발표했습니다. 이번에 정지된 3개의 VPN서비스 'insorg.org', 'safe-inet.com', 'safe-inet.net'는 모두 10년 이상 랜섬웨어의 조작 등 불법적인 용도로 이용되고 있었다고 합니다.

Cybercriminals’ favourite VPN taken down in global action | Europol
https://www.europol.europa.eu/newsroom/news/cybercriminals%E2%80%99-favourite-vpn-taken-down-in-global-action

U.S. LAW ENFORCEMENT JOINS INTERNATIONAL PARTNERS TO DISRUPT A VPN SERVICE USED TO FACILITATE CRIMINAL ACTIVITY | USAO-EDMI | Department of Justice
https://www.justice.gov/usao-edmi/pr/us-law-enforcement-joins-international-partners-disrupt-vpn-service-used-facilitate

Law enforcement take down three bulletproof VPN providers | ZDNet
https://www.zdnet.com/article/law-enforcement-take-down-three-bulletproof-vpn-providers/

유로폴은 12월 22일에 미국의 DOJ 및 독일 · 프랑스 · 스위스 · 네덜란드 수사기관과 공동으로 전개하고 있었던 'Operation Nova(노바 작전)'를 통해 사이버 범죄자들이 사용하던 3개의 VPN서비스의 도메인과 서버인프라를 압수하는 데 성공했다고 발표했습니다.

IT계 뉴스사이트 ZDNet에 따르면, 이번에 유로폴이 압류한 'insorg.org', 'safe-inet.com', 'safe-inet.net'은 21일까지 활성 상태였다고 합니다. 그러나 현재는 3개의 도메인의 홈페이지가 모두 '이 도메인은 압수되었습니다'라는 안내로 대체되었다고 합니다.

DOJ에 따르면 이번에 압수된 3개의 VPN서비스 도메인은 주로 범죄행위를 위해 제공되는 '방탄 호스팅 서비스' 역할을 했었다고 합니다. 구체적으로는 시스템을 무단으로 암호화하고 몸값을 요구하는 랜섬웨어 공격, 통신판매 사이트에서 신용카드 정보 등을 도용하는 e스키밍, 특정 개인이나 단체를 대상으로 한 피싱인 스피어피싱 등이 이번에 압수된 VPN에서 실행되고 있었던 것으로 판명되었습니다.

또한 유로폴의 조사에 따르면, VPN서비스는 최대 5층으로 이루어진 익명 VPN 연결을 제공함으로써 법 집행기관의 눈을 빠져나가기 위한 최고의 도구를 범죄조직을 위해 고액에 제공하고 있었다는 것. 서비스는 영어와 러시아어가 주력인 다양한 범죄 커뮤니티에서 대대적으로 선전되고 있었습니다.

ZDNet이 특정한 'safe-inet.com'의 홍보 중 하나가 아래와 같습니다. 온라인 게시판의 홍보게시물에는 VPN의 안정성과 고도의 보안성, 매월 15.83달러의 이용료 등이 기재되어 있습니다.

이번 조사로 VPN을 사용한 사이버 공격의 표적이 되어 있던 전세계의 기업 약 250개사도 특정되어, 수사당국은 이들 기업에게 경고를 했다고 합니다.

노바 작전을 주도한 독일의 Reutlingen 경찰본부의 우도 보글 서장은 "이 경찰서의 사이버 범죄전문가가 실시한 조사는 전세계 파트너와의 우수한 국제협력에 의해 성공적으로 끝났습니다. 이 결과는 각국의 법 집행기관의 연계가 범죄자에게 지지 않을 만큼 견고하다는 것을 보여줍니다"라고 말합니다.

또한 유로폴의 유럽사이버범죄센터의 책임자인 에드워드 쉴러 씨는 "범죄자는 도주해도 법의 집행에서 도망칠 수 없습니다. 우리는 범죄자들보다 앞서나가기 위해 앞으로도 파트너와 끊임없는 노력을 계속하겠습니다"라고 강한 수사 의지를 밝힙니다.

YouTube 및 Google 캘린더, Gmail 등의 Google 서비스가 약 45분 동안 사용할 수 없게 된 2020년 12월 14일에 발생한 큰 장애에 대해 Google이 원인과 영향범위를 정리한 상세보고서를 공개했습니다.

Google Cloud Status Dashboard
https://status.cloud.google.com/incident/zall/20013#20013004

태평양 표준시 2020년 12월 14일(월), YouTube 및 Google 캘린더 등의 서비스를 이용할 수 없게 되는 대규모 오류가 발생했습니다. 원인은 인증시스템 서비스의 문제로 장애는 약 45분 동안 계속되었습니다.

Google의 장애 보고서의 내용은 다음과 같습니다.

◆ 원인

Google의 사용자ID 서비스는 사용자별로 할당된 식별자 관리, OAuth 인증토큰 및 쿠키제어를 실시합니다. 계정의 데이터는 분산 데이터베이스에 저장되어 있었고, 보안상 오래된 데이터에 대한 요청을 거부하도록 되어 있었습니다.

Google은 서비스별로 할당되는 자원을 quota system을 통해 제한하고 있습니다. 2020년 10월에 quota system의 업데이트가 실시되었는데, 일부 업데이트가 누설되어 기존 quota system이 잔류하고 있었던 것. 기존 시스템은 사용자ID 서비스에 '사용 가능한 용량이 없다'는 잘못된 정보를 전달했습니다. 할당량 유예기간이 설정되어 있었기 때문에 시스템 업데이트 후에도 당분간은 장애도 없었고, 감시 시스템에서도 문제를 감지할 수 없었습니다.

그러나 할당량 유예기간이 끝나 분산 데이터베이스의 업데이트가 제한되었고 계정의 데이터가 오래된 결과, 사용자ID 서비스로부터의 데이터베이스에 대한 요청이 거부되어 버려, 인증기능에 장애가 발생했다고 Google은 설명하고 있습니다.

◆ 영향

현지 시간 2020년 12월 14일 오전 3시 46분부터 4시 33분에 걸쳐 모든 Google 계정인증 및 메타데이터 탐색이 불가능해졌습니다. 그 결과 서비스는 인증된 요청을 제어할 수 없었으며 모든 인증된 트래픽에서 오류가 발생했습니다. 기본적으로 인증을 사용하는 모든 Google 서비스에 영향을 미쳤지만 큰 영향을 받은 서비스는 다음과 같습니다.

· Google Cloud Console : 미로그인 사용자는 로그인이 불가능해졌고, 로그인된 사용자는 일부 기능을 제외하고 서비스의 이용이 가능했습니다.

· Google BigQuery : 오류가 발생하는 동안 BigQuery에 데이터를 로드하는 스트리밍은 전체의 최대 75%에서 오류가 발생했고 BigQuery의 작업은 최대 10%에서 오류가 발생했습니다.

· Google Cloud Storage (GCS) : 특히 OAuth와 HMAC의 이메일인증을 사용했던 경우, 약 15%의 요청이 장애의 영향을 받았습니다. 문제가 해결된 후에도 장애중 업로드를 시작한 사용자 중 최대 1%의 사용자가 업로드를 완료할 수 없는 문제가 발생했습니다.

· Google Cloud Networking : 컨트롤 플레인에서는 2020년 12월 14일 오전 5시 21분까지 오류률의 상승이 계속되었습니다. 데이터 플레인은 VPC 네트워킹 변경 작업에만 영향을 받았습니다.

· Google Kubernetes Engine (GKE) : 장애 중 GKE 컨트롤 플레인 API에 대한 요청 중 최대 4%에 오류가 있었습니다. 또한 거의 모든 서비스가 Cloud Monitoring에 매트릭스를 보낼 수 없게 되어 있었습니다. 장애발생으로부터 1시간 동안 최대 1.9%의 GKE 노드에서 실행하는 사용자의 처리에 문제가 발생했습니다.

· Google Workspace : 모든 Google Workspace 서비스가 장애중 사용할 수 없게 되었습니다. 오전 5시 거의 모든 Google Workspace 서비스가 복구되었고, Google 캘린더 및 관리 콘솔은 복구 직후 트래픽의 급증을 볼 수 있었습니다. Gmail은 장애 복구 후 최대 1시간 동안 오류 데이터의 캐시를 참조하여 문제가 계속되었습니다.

· Cloud Support : Google Cloud Platform 및 Google Workspace 상태 대시보드가 오류의 영향을 받아, 사용자에게의 장애공유가 지연되었습니다. 사용자는 Cloud Console에서 케이스를 만들거나 표시할 수 없었습니다. 오전 5시 34분 이후는 문제가 해결되었습니다.

◆ 대처 방법과 향후 대책

장애는 오전 3시 43분 미국 태평양 지역에서의 용량에 대한 자동 알림, 오전 3시 46분 사용자ID 서비스 오류, 오전 3시 48분 사용자로부터의 통지에 따라 엔지니어에게 통지되었습니다. 오전 4시 8분에 근본적인 원인과 잠재 해결방법이 특정되어, 오전 4시 22분에 어느 데이터센터에서 할당량의 실시를 비활성화했습니다. 그러자 상황은 곧 개선되었고 4시 27분에 모든 데이터센터에 같은 완화 조치가 적용되어 오전 4시 33분에는 오류율이 정상 수준으로 돌아왔습니다.

또한 Google은 다음의 대책을 실시, 장애의 재발 방지에 노력하겠다고 합니다.

· quota system의 재검토
· 장애를 즉시 감지할 수 있도록 감시 시스템을 검토
· 대시보드 등의 내부 도구에 영향을 미치는 장애시 외부에 장해를 통지하는 도구와 절차의 신뢰성을 향상시키는 조치
· 사용자ID 서비스 데이터베이스에 기록 장애의 복구 기능을 평가하고 구현
· GCP 서비스의 복원력을 향상시키고 사용자ID 서비스 장애시 데이터 플레인에 미치는 영향은 더 작도록 조치

Google은 "이번 사고로 사용자와 사업에 영향을 준 것을 사과드립니다"라고 적었습니다.

캐나다 토론토대학을 거점으로 하는 보안연구기관 Citizen Lab이 2020년 12월 20일 중동 기자들 36명이 복수의 정부가 관여하는 해킹의 표적이 되고 있었던 것으로 드러났다고 발표했습니다. 이 해킹은 사용자가 아무것도 하지 않아도 iPhone이 스파이웨어에 감염되는 취약점인 '제로클릭'이 사용된 것으로 보입니다.

The Great iPwn: Journalists Hacked with Suspected NSO Group iMessage 'Zero-Click' Exploit - The Citizen Lab
https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

Report: gov't spyware targets phones of Al-Jazeera reporters
https://apnews.com/article/technology-malware-saudi-arabia-united-arab-emirates-dubai-c6cb6fc304aff092a88dd87b5c19e4fe

Citizen Lab은 12월 20일 "2020년 7월 ~ 8월에 걸쳐 여러 정부의 공작원이 이스라엘의 IT기업 NSO그룹이 개발한 스파이웨어 Pegasus를 사용하여 중동의 방송국인 알자지라의 기자들이 보유한 36대의 휴대폰을 해킹하고 있었던 것으로 밝혀졌습니다"라고 보도했습니다.

NSO그룹은 지금까지도 Facebook 산하 메시지앱 WhatsApp을 통한 언론인과 공무원에 대한 해킹 등 여러 사이버공격에 관여하고 있었다는 것이 드러나, WhatsApp은 2019년에 NSO그룹을 제소했습니다.

Citizen Lab의 조사에 의하면, 해킹에는 'KISMET'라는 iMessage의 Exploit이 사용되어 표적이 된 iPhone 사용자의 기자들은 의심스러운 메시지의 수신이나 위험한 URL에 대한 액세스를 하지 않고도 스파이웨어에 감염되었다고 합니다.

Citizen Lab의 수석과학자인 빌 마르자크 씨는 KISMET 대해 "이것은 아주 무서운 Exploit일 뿐만 아니라 단말기를 해킹하기 위해 해커가 갈구하던 전설의 성배라고도 말할 수 있습니다. 왜냐하면 이것을 사용하면 손쉽게 다른 사람의 단말기를 조종하는 것이 가능하고, 게다가 상대에게 눈치채어질 걱정도 없기 때문입니다"라고 우려합니다.

KISMET는 적어도 iOS 13.5.1에게는 방어수단이 없는 제로데이 상태였으며, 2020년 7월 당시의 최신 iPhone 11으로도 공격은 막을 수 없었다고 합니다. 또한 이 공격은 'MONARCHY'라는 코드네임으로 불리고 있는 사우디의 공작원과 아랍에미리트의 'SNEAKYKESTREL'를 포함한 4명의 Pegasus 운영자가 참여했다는 합니다.

Citizen Lab은 "NSO그룹 고객층의 세계적인 확산과 iOS 14 이전의 거의 모든 iPhone에 Exploit가 내재되어 있었다는 것을 고려하면, 이 한 건은 KISMET를 사용한 공격의 극히 일부에 지나지 않는 것은 아닐까라고 생각합니다"라고 지적하며, 피해가 더욱 광범위하게 미치고 있다는 견해를 나타냈습니다.

KISMET는 iOS 14에서는 작동하지 않는 것으로 보고 있어, Citizen Lab은 모든 iOS 기기 사용자에게 신속하게 OS를 최신 상태로 업데이트를 할 것을 권고합니다.

하이브리드 클라우드의 장점은 말할 필요도 없지만, 다른 한편으로 데이터 환경의 복잡화를 초래한다. 클라우드 기반의 서비스와 포인트 제품은 포괄적인 데이터 보호가 어렵다. 여러 환경을 통합 · 보호하는 데이터 관리플랫폼이 필요하다.

인프라 및 데이터 클라우드 변화는 가속도적인 속도로 진행되고 있다. 그러나 모든 워크로드를 클라우드로 이동하는 것은 아니고, 민감한 데이터 등은 이전처럼 온프레미스에서 관리하고, 그 이외의 것을 클라우드로 전환하는 하이브리드 데이터 환경이 주류가 되고 있다.

이 결과로 발생하는 것이 인프라 자체의 복잡화이다. 이러한 환경에서는 온프레미스와 클라우드 각각에 다른 관리가 필요하고, 데이터의 저장 위치를 파악할 수 없는 상황을 초래할 수도 있다. 무엇보다 최근 엄격해지는 각종 데이터 및 규정에 일원적으로 대응하는 것도 어려워진다.

이러한 문제를 해결하려면 온프레미스와 클라우드에 분산된 데이터 환경을 통합할 수 있고 포괄적인 데이터 보호 기능을 제공하는 데이터 관리플랫폼이 필요하다. 개별 환경을 연결하는 백업과 복구를 가능하게 하는 다른 암호화 및 중복제거 기능도 갖추고 있어 하이브리드 환경의 데이터 운용을 지원해준다.

출처 참조 번역
ハイブリッドクラウドで複雑化するデータ環境を一元的に保護するシンプルな方法
https://wp.techtarget.itmedia.co.jp/contents/48623#utm_source=loglylift&utm_campaign=tt_spv_wp

SD카드를 외부 스토리지에서 내부 스토리지화하는 것으로 스마트폰의 용량을 증가시킬 수 있지만, 다른 한편으로 단점도 존재합니다.

SD카드의 '내부 스토리지화'란?

Android 6.0에서 새로 늘어난 항목으로, Android 7.0, Android 8.0 등을 사용하는 사용자라면 익숙할 것입니다.

SD카드를 내부 스토리지처럼 사용할 수 있도록 하는 기능을 말합니다. 스마트폰의 용량은 증가하지만, 외부 스토리지의 SD카드와 달리 PC 등 다른 기기에서 읽을 수 없습니다. 그 스마트폰의 전용 SD카드라고 생각하면 됩니다.

내부 스토리지화의 단점

첫 번째는 Android 스마트폰의 성능이 저하될 가능성이 있다는 것입니다. Android 스마트폰의 내장 스토리지와 비교하면 SD카드는 데이터의 처리가 느리다는 단점이 있습니다. SD카드의 속도가 느린 경우에는 Android 스마트폰의 동작도 느려질 수 있습니다.

두 번째는 SD카드가 손상되기 쉽다는 단점이 있습니다. SD카드는 읽고 쓰기 등의 처리에 횟수 제한이 있습니다. 그러나 내부 스토리지화로 인해 빈번한 읽기 및 쓰기 작업이 발생하기 때문에 SD카드가 손상되기 쉽습니다.

SD카드를 스마트폰 본체 스토리지의 연장선상으로 처리할 수 있습니다.

Android 6.0에서 SD카드의 취급에 새롭게 '내부 스토리지'라는 항목이 늘어났습니다. 모든 스마트폰에 탑재되어 있는 것은 아니지만, 저렴한 스마트폰이 지원하는 경우가 많습니다.

'내부 저장소'는 외장 SD카드를 전용 포맷으로 포맷 마운트하여 스마트폰의 내장 스토리지와 동일한 방식으로 작동시킨다는 것입니다.

장점은 내장 스토리지와 동일한 취급이기 때문에 SD카드에 앱도 설치 가능해진다는 점입니다. 내장 스토리지 용량이 적은 단말기라면 큰 도움이 됩니다.

이전 버전에도 앱을 SD로 이동시키는 기능이 있었지만, 앱의 일부만 이동하고 정작 이동시키고 싶은 대용량의 캐시데이터가 꿈쩍 않는 등 이용에 어려움이 있었습니다. 그러나 '내부 저장소'는 내장 스토리지와 같은 취급이기에 모든 앱 데이터가 이동하게 됩니다.

장점뿐만 아니라 단점도 있습니다. 우선 전용 형식으로 포맷되기 때문에 SD카드 단독으로 사용할 수 없습니다. 구체적으로는 PC에서 내용을 검색 등을 할 수 없습니다. 스마트폰으로도 안됩니다. '내부 저장소'로 포맷된 SD카드는 포맷한 단말기에서만 사용할 수 있습니다. 다른 기기에서 사용하기 위해서는 다시 포맷해야 합니다.

즉 본체가 파손된 경우에 SD카드가 온전해도 데이터의 읽기가 불가능하다는 것입니다. 만일의 경우에 꺼내 데이터를 분리 가능하다는 SD카드의 장점을 희생한 형태입니다.

그런 이유로 '내부 스토리지'로 이용하는 경우에는 데이터의 백업은 온라인 스토리지를 이용하는 것을 추천합니다.