Bluetooth를 사용하여 파일을 전송할 수 없습니다. Bluetooth를 사용하여 파일을 받을 수 없습니다.
해결책 :
- 이용 단말기와 다른 Bluetooth 장치 간의 거리가 Bluetooth 장치의 최대 동작범위(약 10m)를 초과. 이 경우 단말기를 Bluetooth 장치에 접근시켜 다시 시도하십시오. - 다른 Bluetooth 장치가 파일전송 요청에 대하여 응답하지 않고 있을 수 있습니다. 다시 요청을 전송하여 즉시 전송을 확정하도록 상대방에게 알립시다. - 단말기가 Bluetooth 장치와 페어링되어 있지 않을 가능성이 있습니다. 이 경우 먼저 두 장치가 Bluetooth가 활성화되어 있는지와 인식하고 있는지를 확인합니다. - 다른 Bluetooth 장치가 보내려고 하는 파일형식을 지원하는지 여부를 확인합니다. 다른 Bluetooth 장치가 해당 파일형식을 지원하는 경우 파일을 다시 전송해 봅니다.
Chrome을 열고 페이지 오른쪽 상단의 3점 아이콘을 클릭합니다. 북마크(B)를 클릭하고 편집할 페이지에 마우스 포인터를 놓고 오른쪽 클릭하면 편집이 있으므로 여기에서 북마크를 편집하십시오.
Google Chrome의 북마크를 정렬
북마크 바에 표시되는 Web페이지라면 드래그 앤 드롭으로 정렬할 수 있습니다. 또한 Ctrl + Shift + O를 입력하면 북마크 관리자가 열립니다. 드래그 앤 드롭으로 정렬합시다.
Google Chrome의 단축키
· 새 탭 열기 Ctrl + T · 보고 있는 탭 닫기 Ctrl + W · 닫은 탭 열기 Ctrl + Shift + T · 탭을 오른쪽으로 이동 Ctrl + tab · 탭을 왼쪽으로 이동 Ctrl + Shift + tab · 책갈피에 추가 Ctrl + D · 검색 기록 (캐시) 데이터 삭제 Ctrl + Shift + Del
Google Chrome의 북마크를 제거하는 방법
Ctrl + Shift + O 북마크 관리자를 열고 삭제할 항목에 아이콘을 눌러 왼쪽 클릭. "삭제"를 선택하면 북마크를 지울 수 있습니다.
Chrome 북마크 확장기능 '사이드바 보기'
Chrome에는 확장기능으로 북마크를 사이드바를 표시할 수 있습니다. 다음의 사이트에서 확장기능을 추가합니다.
GPS · 웨어러블 단말기 메이커로 알려진 Garmin(가민)가 2020년 7월에 발생한 대규모 시스템 장애를 해소하는데 있어, 장애를 일으킨 랜섬웨어의 공격자에게 수백만 달러의 몸값을 지불한 것으로 보도되고 있습니다.
Garmin 'paid multi-million dollar ransom to criminals using Arete IR'say sources | Science & Tech News | Sky News https://news.sky.com/story/garmin-paid-multi-million-dollar-ransom-to -criminals-using-arete-ir-say-sources-12041468
가민 제공하는 서비스 'Garmin Connect'에 대규모 시스템 장애가 발생한 것은 현지 시각으로 2020년 7월 23일의 일. 당초 원인이 무엇인지는 밝혀지지 않았지만, 뉴스사이트 BleepingComputer이 자세한 정보통으로부터 얻은 정보로 랜섬웨어 'WasterLocker'에 의한 공격임을 보도했다.
시스템 장애는 2020년 7월 28일까지 순차적으로 해소. 가민이 공식적으로 장애가 랜섬웨어에 의한 사이버 공격으로 발생한 것이었다고 발표했습니다.
장애를 해소했다는 것은 즉 가민이 데이터의 '몸값'을 지불한 것으로 간주했지만, 자세한 것은 불명확합니다.
뉴스사이트 Sky News는 이 사건에 정통한 관계자로부터 정보를 입수. 정보에 따르면, 가민은 당초 랜섬웨어 대책을 전문으로 하는 회사에 문제 해결을 요청했다고 합니다. 그러나 이 회사는 'WastedLocker'가 미국 재무부가 경제제재의 대상으로 지정하고 있는 러시아의 사이버범죄 그룹 'Evil Corp'와 연결되는 인물이 개발한 것이며, 자신들이 제재에 저촉될 위험이 있다며 안건을 착수할 수 없다고 답변했다고 합니다.
따라서 'WastedLocker'의 개발자와 제재 대상 그룹과의 관계는 입증되지 않았다고 주장하던 랜섬웨어 차단 전문회사 Arete Incident Response를 통해 몸값을 지불했다고 합니다.
가민은 Sky News의 취재에 대해 "추가 의견이 없습니다"라고 대답합니다. 또한, 가민, Arete Incident Response의 양사 모두 "몸값 지불의 기회를 얻어 지불했다"는 점에 대해서는 이의를 제기하지 않습니다.
Google 포토에 보안 결함이 발견되었습니다. 당신이 가지고 있는 동영상이 다른 사람의 손에 넘어갔을 우려가 있습니다.
Google이 제공하는 백업 도구 'Google Takeout'에서 문제가 발생
이번 문제는 Google에서 제공하는 Google Takeout라는 백업 도구에서 발생했습니다. Google 포토 사용자는 Google Takeout을 이용하여 Google 포토에 저장된 사진 및 동영상을 내려받을 수 있습니다. 그런데 심각한 버그로 인해 일부 사용자의 다운로드 데이터에 다른 사람의 동영상 데이터가 포함되었을 우려가 있습니다.
Google은 피해를 입은 해당 사용자에게 통지를 시작
Google은 2월 3일 피해를 입은 해당 사용자에게 이번 보안 문제를 통보했습니다. 회사에 따르면 11월 21일부터 11월 25일까지 이 문제가 발생하고 있었으며, 9to5Google (Google 제품의 정보사이트)를 위한 코멘트를 내고 있습니다. "(Google Takeout를 사용하여) Google 포토의 데이터를 내려받기한 사용자에게 영향을 끼쳤을 우려가 있어, 해상 사용자에게 이미 통지를 하고 있습니다. 재발 방지를 위한 세부적인 분석을 실시하여 근본적인 문제를 해결했습니다."
Google에 따르면, 이 버그의 영향을 받은 사용자는 전체의 0.01%보다 적다고 되어 있었습니다. 그러나 엄청난 사용자 수를 보유한 Google 제품군에서는 이 0.01%라는 숫자는 결코 작지 않은 것 같습니다.
개인정보 보호의 관점에서 근본적인 해결책은 없을지도 모릅니다. 만약 당신의 다운로드 데이터에 낯선 동영상이 포함되어 있다면, Google의 통지대로 적절하게 제거하는 것이 가장 좋겠습니다.
프리젠테이션 자료 등을 만들 때 적절한 이미지가 있다면 설득력이 늘어난다. 그러나 그런 이미지가 수중에 없는 경우는 적지 않다. 이럴 때 사용하면 편리한 것이 Google 이미지. 상업적 사용이 가능한 이미지를 신속하게 찾을 수 있다.
무료로 이용할 수 있는 이미지를 찾는 경우 저작권 무료 이미지를 모은 사이트를 찾는 사람이 많을 것이다. 그러나 그러한 사이트에서 내려받는데 번거로운 절차가 필요한 것이 많다. 그래서 활용하고 싶은 것이 Google 이미지이다. Google 이미지 검색에서는 사용가능한 라이센스 유형으로 필터링할 수 있습니다. 원하는 이미지를 검색하면 '수정 후 재사용이 허가된 이미지'를 선택한다. 상업적 이용이 유효한 이미지만 표시되므로 마음에 드는 사진을 다운로드하면 된다.
주의해야 할 것은 'Google은 라이센스 레이블이 정당한가 여부의 확인은 하고 있지 않습니다.'라고 되어 있음. 즉, Google은 어디까지나 자동 식별로 결과를 표시하고 있을 뿐. 실제로 사진을 배포하는 사이트를 확인해 보면, 로열티가 없는 경우도 있다. 이번에 소개하는 방법으로 검색한 이미지를 사용하는 경우에는 사진을 배포하는 사이트의 사용 조건을 반드시 확인하자.
1) 원하는 이미지의 키워드로 검색. 검색 결과가 나타나면 '이미지'를 클릭 2) 이미지 검색 결과가 표시되므로 '도구'→ '라이센스'→ '수정 후 재사용이 허가된 이미지'를 클릭 3) 상업적 사용이 가능한 이미지만 필터링되어 표시되었다. 이 중에서 사용하고 싶은 이미지를 다운로드하면 된다. 또한, 실제로 사용할 때는 배포사이트의 이용약관을 반드시 확인하자
실제로 이미지를 사용할 때는 이용약관의 확인이 필요한 것은 약간 귀찮지만, 원하는 이미지를 검색할 수 있는 것은 매우 편리하다. 사용하고 싶은 소재가 수중에 없을 때는 Google 이미지 검색에서 찾아보는 것은 어떨까.
4G 네트워크를 활용하는 신기술 VoLTE의 취약점을 미국과 중국의 연구자들이 시연했습니다. 음성통화 탈취 및 네트워크 연결 끊김 같은 공격이 가능하게 될 수 있습니다.
통신기술 제공자가 5G 네트워크의 미래상에 대한 합의를 모색하는 한편, 통신 사업자는 한시라도 빨리 현재의 4G 네트워크에서 사용할 수 있는 새로운 기술을 전개하고자 합니다. Voice over LTE 짧게 VoLTE는 이러한 기술의 하나로, 데이터층을 통한 음성통화를 가능하게 합니다.
현재의 셀룰러 네트워크는 데이터, 음성, 컨트롤의 3가지 '플레인'을 사용하고 있습니다. 일반적으로 데이터 플레인은 모바일 인터넷에, 음성 플레인은 음성통화에 사용됩니다. 컨트롤 플레인은 간단히 말해 다른 2개의 플레인에서 수행되는 작업을 전부 제어하는 역할이 있습니다.
기존의 셀룰러 네트워크는 전용 회선을 통해 음성통화를 처리하고 있습니다. 반면 4G 기술은 우선순위가 고려되고 음성 패킷을 데이터 플레인을 통해 우선적으로 보낼 수 있습니다. 이것이 VoLTE의 기본적인 특징입니다. 가장 높은 우선순위는 컨트롤 플레인 패킷에 설정되어 있습니다. 즉, VoLTE는 셀룰러 네트워크에서의 사용에 적합한 IP 텔레포니(VoIP) 1종입니다.
VoLTE는 몇 가지 장점이 있습니다. 첫 번째는 음성통화를 처리하기 위한 특별한 인프라가 필요 없으므로 VoLTE가 보급되면 기존의 2G/3G 인프라는 실용성이 없어 지원하지 않아도 됩니다. 두 번째는 VoLTE의 대역폭은 3G에 비해 높아 음성 품질이 크게 향상됩니다.
세 번째로, 화상 회의에 사용할 수 있는 점을 들 수 있습니다. 그리고 마지막이지만 이동통신사에 따르면, 'VoLTE 통화의 개인정보 보호에 우수하고, 연결이 빠르다'는 것입니다.
자주있는 이야기이지만, 아무리 획기적인 기술로도 성장기에는 그만한 고통을 수반합니다. 캘리포니아 대학의 연구팀은 상해교통 대학과 오하이오 주립대학의 연구자와 협력하여 미국의 Tier-1 통신 사업자의 2개의 네트워크에서 VoLTE에 대한 현실적인 공격을 실연해 보였습니다.
연구진은 표적의 전화를 끊는 방법, 표적의 휴대전화 청구액을 가산하는 방법, 그리고 무료로 모바일 데이터에 액세스하는 방법을 시연했습니다. 흥미롭게도, 범죄자는 목표 달성을 위해 네트워크를 해킹할 필요도 없었고 고가의 장비를 사용하여 공격할 필요도 없습니다. 필요한 것은 루팅되지 않거나 루팅된 스마트폰 뿐입니다.
가장 큰 연구 성과는 VoLTE를 속이고 일반 데이터 패킷을 '높은 우선 순위' 신호 패킷 또는 음성 패킷으로 가장하여 보낼 수 있다는 사실을 발견한 것입니다.
즉, 공격하려고 마음먹으면 얼마든지 공격할 수 있습니다. 신호 패킷은 요금이 부과되지 않습니다. 따라서 일반 데이터을 패킷 신호 패킷과 음성 패킷으로 가장하면 청구되지 않습니다. 연구진은 개념증명으로 Skype로 10분간 통화하였지만 사용한 데이터 트래픽은 전혀 기록되지 않았습니다.
신호(제어) 플레인이 우선순위가 항상 첫 번째임은 범죄자에게 큰 기회입니다. 신호 패킷을 가장 한 데이터 패킷이 레이어를 가득 채우면 신호 패킷의 대역폭이 충분하지 않게 됩니다. 이 기술을 사용하여 다른 사람의 네트워크 액세스를 절단할 수 있으며, 가짜 신호 패킷으로 네트워크를 혼란시킴으로써 표적의 네트워크를 다운시킬 수도 있을 것입니다.
또한 공격자는 동일한 방법을 사용하여 표적에게 데이터 패킷 공격을 할 수 있습니다. 표적이 되는 사람이 계약하고 있는 데이터 요금제가 패킷 무제한 요금제가 아닌 경우, 통신 사업자에 대한 추가 요금 지불이 상당한 금액에 될지도 모릅니다. 또한 방화벽은 이러한 공격을 탐지할 수 없습니다. 방화벽은 악성 트래픽을 차단하기 위해 존재하지만, 이 공격은 정규 모바일 트래픽이 사용하고 있기 때문에 공격을 깨닫지 못하는 것입니다.
가상 SIM카드는 데이터를 저장할 공간이 단말기 자체의 메모리에 있고 카드 자체는 가짜라는 것입니다. 이 기술이 사용되고 있는 예로는 Apple SIM 또는 Google Project Fi 등이 있습니다.
휴대전화 기술의 발전에 자신을 헌신해 온 엔지니어들이 최근 깨달은 것이 있습니다. "SIM카드가 보호된 데이터 저장공간과 간단한 연산 유닛밖에 없다면, SIM카드가 필요할까?"라고. 이러한 데이터 컨테이너라면, 단말기의 내장메모리에 저장할 수 있습니다. 그러면 SIM카드의 생산도 판매도 교체도 필요 없어 SIM카드는 구식의 유물이 될 것입니다.
그렇게 되었을 경우, 미래는 프로그램된 휴대전화 같은 것이 나오는 것입니다. 이전의 DAMPS와 CDMA-800 네트워크 시대에 있었던 것과 같은 것입니다. GSM 표준의 주요 이점 중 하나는 '분리'하는 성질에 있습니다. 그 덕분에 SIM카드를 꽂으면 휴대전화를 자신에 맞게 사용자정의를 할 수 있습니다. 어딘가에 가서 장치를 프로그램 받을 필요는 없습니다.
하지만 이 방식이 유용했던 것은 일반적인 가입자가 SIM카드를 1장밖에 가지고 있지 않은 때였습니다. 현대의 소비자는 듀얼 SIM과 트리플 SIM 터미널을 사용하고 있는 데다, 태블릿과 USB 모뎀 등 다양한 인터넷 접속장치를 가지고 있습니다. 캐리어 서비스 지역이 불안정해서 인터넷 연결만을 위해 여러 SIM카드를 사용하는 사람도 있습니다.
가상 SIM의 개념은 매우 간단하고, 보통의 SIM카드와 같은 보호 영역이 단말기의 내장메모리에 있습니다. 일반적으로 캐리어 측의 HLR 데이터베이스에 저장된 ID를 포함한 모든 데이터가 무선 채널에서 다운로드됩니다. 가상 SIM의 경우 단말기가 받는 데이터는 안전한 채널을 통과합니다.
요점은 일반적으로 점포에서 SIM카드를 구입하지만, SIM 데이터는 무선으로 전송되는 것입니다. 가게에서 CD를 사는 것이 아니라 iTunes에서 음악을 다운로드하는 것과 유사합니다.
기술적인 관점에서 보면 가상의 SIM 도입은 매우 간편합니다. 혼란을 방지하기 위해 SIM카드는 지금까지대로 유지됩니다. 단, 가상 SIM의 경우는 데이터가 들어 있지 않은 '가짜'일 뿐이며, 그 메모리의 일부는 다시 작성할 수 있습니다.
이 기능은 최신 iPad에서 지원됩니다. 더미 Apple SIM을 구입하면 어떤 통신사의 데이터도 저장할 수 있습니다. 영국과 미국에서는 현지의 데이터 서비스를 이용할 수 있고, 다른 지역에서는 '여행자'용 SIM카드 GigSky가 있습니다.
Apple SIM 기술은 Apple이 전 세계 휴대전화 사업자와 조건의 동의만하면 더 성숙한 것이 될 것입니다. Microsoft도 비슷한 사업에 임하고 있습니다.
Google은 Project Fi라는 독자적 프로젝트를 진행하고 있습니다. 그러나 이 개념은 위의 것들과 다르고 게다가 미국 내에서만 서비스를 사용할 수 있습니다. Project Fi를 통해 단말기는 가능한 최상의 네트워크에 연결할 수 있습니다. 단말기의 접속처는 미국 내 2개의 주요 통신사를 동시에 사용하는 가상 캐리어입니다. Project Fi 이용자는 다른 120개국에서도 같은 조건에서, 즉 트래픽 제한을 받고 인터넷을 사용할 수 있습니다. 이 사업은 아직 초기 단계로 최근까지 일부 가입자만 초대제로 판매되고 있었지만 적어도 현재는 미국인이라면 누구나 사용할 수 있도록 되어 있습니다.
NSA가 주요 SIM카드 제조업체의 네트워크에 침입하여 SIM카드를 보호하는 암호화 키를 대량으로 훔쳤다는 에드워드 스노든 씨의 고발은 많은 사람에게 충격을 주었다.
미국 국가안전보장국(NSA)의 내부고발자 에드워드 스노든(Edward Snowden) 씨는 수많은 기밀정보를 폭로해 왔지만, 이번만큼 충격적인 내용이지는 않을지도 모릅니다. NSA와 영국의 정보기관인 정부통신본부(GCHQ)가 Gemalto의 네트워크에 침입하여 SIM카드를 보호하는 암호화 키를 대량으로 훔쳤다는 것입니다. 그 수는 수백만 또는 수십억이라고도 합니다.
이 같은 규모로 SIM카드 정보가 유출되었다면 전 세계의 이동통신 시스템의 건전성이 의문시되는 것입니다. 당신의 통신 내용을 모니터링하고 있다고까지 말을 하지 않지만, 버튼을 클릭하는 것만으로 감시할 수 있는 상태였습니다.
Gemalto는 모바일 장치의 SIM카드를 제조하는 세계적 기업입니다. Economist에 따르면, Gemalto는 세계 최대의 SIM카드 제조업체입니다.
이 의혹을 처음 보도한 The Intercept의 기사에서는 Gemalto는 연간 20억 장가량의 SIM카드를 제조하고 있는 것으로 추정되고 있습니다. 세계 인구가 71억 2,500만 명, 모바일 디바이스의 수가 추정 71억 9,000만대라는 것을 보면 그 규모를 상상할 수 있을지도 모릅니다. Gemalto는 모바일 서비스 공급자 Sprint, AT & T, Verizon, T-Mobile 등 약 450개사와 거래가 있고 85개국에서 사업을 전개하며 40여 곳의 제조공장을 보유하고 있습니다.
SIM은 Subscriber Identification Module(가입자 식별 모듈)의 약자입니다. SIM카드는 모바일 장치에 삽입하는 소형의 집적회로로 고유의 국제 이동통신 가입자 식별번호(IMSI)와 암호화된 인증키가 기록되어 있습니다. IMSI 및 인증키 조합으로 휴대폰이 본인의 것임을 확인합니다. 로그인 ID & 암호와 비슷하지만, 하드웨어마다 완전히 달라서 변경할 수 없습니다.
공격자가 이 인증키의 마스터 목록을 얻으면 그 목록의 암호화 키를 사용하여 SIM카드를 넣은 장치의 음성 통화 및 데이터 통신을 모니터링할 수 있습니다. 이번 의혹이 사실로 밝혀진다면, NSA와 GCHQ는 수색영장 등의 사법기관의 승인을 받지 않고도 전 세계 휴대전화 통화 및 데이터 통신을 감시할 수 있다는 것입니다.
NSA이 Gemalto를 해킹하고 대량의 SIM카드의 암호화 키를 훔쳤다는 의혹
기술계 이외의 미디어에서 메타데이터에 대한 NSA의 활동이 크게 다루어지고 있습니다. 하지만 정말 위험한 것은 이번 같은 정보유출과 유사난수 생성기에 대한 무단 액세스입니다. 메타데이터에서 어떤 인물의 위치 정보, 교우 관계, 심지어 됨됨이까지 알 수 있습니다. SIM카드 및 암호화 프로토콜에 대한 대규모 공격은, 주고받는 통신의 내용을 일반 텍스트로 만들어 볼 수 있습니다. 위치 정보와 장치의 통신 정보에서 많은 것을 추측할 수 있지만 일반 텍스트는 통신 내용을 추측할 필요도 없습니다. 모든 것이 거기에 있는 것입니다. 실시간으로 분석할 필요도 없습니다.
The Intercept가 공개한 전 NSA 계약직 직원 스노든 씨가 훔쳤다는 기밀문서에서 NSA는 다음과 같이 말합니다. "(Gemalto의) 여러 기기에 잠입이 성공했다. 네트워크 전체를 장악할 것으로 보인다"
무엇보다, 개인 휴대통신 보안만이 문제가 아닙니다. 재정적으로 큰 문제가 숨어 있습니다. 미국시민자유연맹의 기술직원인 크리스 소구호안(Chris Soghoian) 씨와 존스홉킨스 대학의 암 전문가인 매튜 그린(Matthew Green) 씨가 The Intercept의 기사에서 말한 바에 따르면, SIM카드는 개인의 통신을 보호하기 위해서가 아니라 과금 처리의 간소화와 계약 초기의 사용자에 의한 사기 행위를 방지하기 위해 설계되었습니다. 개발도상국의 일부는 구식으로 취약한 2세대 셀룰러 네트워크에 크게 의존하고 있으며, 많은 이용자는 송금할 때나, 널리 이용되는 M-Pesa 같은 소액거래 서비스를 사용하는 경우, SIM카드에 의지하지 않을 수 없습니다.
Gemalto에의 공격으로 인해, 모바일 장치 또는 SIM카드에 대한 의존도를 강화하는 글로벌 통신 인프라의 건전성이 위협받을 가능성도...
이것은 개발도상국의 재정 문제만이 아닙니다. Gemalto는 칩 & 핀 카드와 EMV 결제카드(유럽의 주요 결제수단)의 마이크로칩을 제조하는 선도적인 제조업체입니다. 이 카드도 해킹당할 수 있다는 것입니다. The Intercept에 따르면 Gemalto의 칩은 출입용 토큰, 전자여권, ID카드 외에 BMW와 Audi 등 고급자동차의 열쇠 등으로도 사용되고 있습니다. Visa, MasterCard, American Express, JP Morgan Chase, Barclays 칩 & 핀 카드를 가지고 계신 경우, 카드의 칩이 Gemalto의 제품일 가능성이 크고, 암호화 키를 해킹될지도 모릅니다.
각종 의혹과 논란이 되고있는 기밀문서의 보도에도 불구하고 자사 네트워크는 안전하며 단 한번도 침입되지 않았다며 Gemalto는 단호히 의혹을 부정하고 있습니다.
회사의 성명서에는 다음과 같이 적혀 있습니다. "SIM의 동작을 수행하는 사내인프라에서도, 은행카드, ID카드, 전자여권 등의 당사 제품을 관리하는 다른 보안 네트워크에서도 네트워크 침해는 확인되지 않았습니다. 이러한 네트워크는 서로 독립적으로 있으며, 외부 네트워크와 연결되어 있지 않습니다"
그러나 회사는 과거에 NSA 또는 GCHQ로 보이는 단체에서 실행한 해킹을 저지한 것을 인정하고 있습니다.
출처 번역 SIMカード情報の大量漏洩という悪夢 https://blog.kaspersky.co.jp/gemalto-sim-hack/6973/
SIM(Subscriber Identity Module) 카드. 쉽게 삽입하거나 교체할 수 있지만, 휴대전화와 동시에 탄생한 것은 아닙니다. 초기 휴대폰에서는 '일체 식' 통신규격만 지원되었으며, 가입자 정보는 휴대 단말기의 메모리에 하드코딩되어 있었습니다.
NMT-450와 같은 오래된 아날로그 표준은 보안 대책이 전혀 되어있지 않았습니다. 가입자 정보를 다른 장치에 복사하고 복제할 수 있어서 정식 소유자가 아니어도 전화를 걸거나 받을 수 있었습니다.
이에 조금 늦게 첫 보안 수단이 될 SIS(Subscriber Identity Security) 코드가 개발되었습니다. 이것은 장치마다 다른 18자리 숫자이며, 애플리케이션 프로세서에 하드코딩되어 있었습니다. 또한 여러 장치에서 동일한 SIS 코드가 사용되지 않도록 사업자에 균등하게 할당되어있었습니다. 또한, 프로세서에는 가입자가 휴대전화 네트워크에 가입할 때 기지국으로 전송되는 7자리 RID코드도 포함되어 있었습니다.
SIS 프로세서는 기지국이 생성한 난수와 관련 SIS 응답의 쌍을 사용하여 인증키를 만들었습니다.
이러한 키와 값은 비교적 짧은 것이었지만 1994년의 시점에서 충분히 타당한 길이였습니다. 그러나 예상대로 이 시스템은 이후 크래킹 되었습니다. GSM(Global System for Mobile Communications) 규격의 등장 불과 3년 전의 일이었습니다. GSM 표준은 SIS에 비슷했지만, 암호화 강도가 높은 인증 시스템을 사용하여 보안이 강화된 사양이었습니다. 이렇게 통신규격은 '분리형'이 되었습니다.
즉 인증은 스마트카드에 내장된 외부 프로세서에서 모두 이루어진다는 것입니다. 그 결과 태어난 솔루션이 SIM입니다. SIM카드의 도입에 따라 가입 계약 및 장치 사이에 종속성이 없어져 이용자는 같은 모바일ID를 사용하면서 여러 차례 원하는 만큼 장치를 변경할 수 있게 되었습니다.
SIM카드는 기본적으로 ISO7816 규격의 스마트카드로 신용카드나 현금카드와 같은 비접촉식 IC카드와 거의 동일합니다. 최초의 SIM카드는 신용카드와 비슷한 크기였지만, 부품의 소형화의 흐름에 따라, 이 카드도 컴팩트하게 되었습니다.
기존의 풀사이즈 1FF(1st Form Factor) SIM카드는 휴대전화의 크기에 맞지 않게 되어, 호환성 있는 간단한 방법이 개발되었습니다. 미니 SIM, 2FF(2nd Form Factor) 등 근래의 이용자에게 친숙한 작아진 SIM카드를 1FF 크기의 플라스틱 어댑터에 삽입한다는 방식입니다. 새로운 폼팩터는 이전보다 작은 면적에 이전과 같은 칩과 단자가 장착되어 있으며, 분리할 수 있습니다.
이 소형화의 추세는 마이크로 SIM, (3FF) 나노 SIM (4FF) 등 계속되고 있지만, 모양, 단자 구성, 내장 칩의 기능은 약 25년간 변함없이 그대로입니다. 구식 휴대폰을 지금도 소중히 사용하고 있는 이용자의 요구에 대응하기 위해 최근에는 큰 플라스틱 어댑터가 만들어져 있습니다.
하지만 오래된 장치의 대부분은 비록 풀사이즈여도 현재의 SIM카드를 지원하지 않습니다. 왜냐하면 초기의 SIM카드의 동작 전압이 5V인 반면, 최근의 SIM카드는 3V이기 때문입니다. 호환성보다 비용을 중시하는 SIM 메이커가 최신의 SIM카드에 2가지 전압을 지원하는 일은 거의 없습니다. 따라서 과거의 5V에만 대응한 휴대전화는 프로세서의 전압보호라는 이유로 3V에만 대응한 SIM카드에는 작동하지 않을 것입니다.
출처 번역 SIMカードの進化 https://blog.kaspersky.co.jp/sim-card-history/9934/
미국 RSA Security의 아론 시미로비치 씨는 2018년 글로벌에서 발생한 피싱 공격은 1분기 1만 2,000건에서 4분기 약 2만 4,000건으로 두배가 되었다고 지적하며 피싱은 "고전이지만 여전히 효과적이며 새로운 기술도 등장하고 있다"고 경고하고 있다.
시미로비치 씨는 새로운 피싱 수법으로 '리버스피싱 공격'과 '2요소 피싱 공격'을 소개했다.
'피싱'은 보이스(음성)와 낚시를 조합한 조어이다. 공격에서 음성(전화)을 이용하는 것이 특징으로, 가짜 문의 연락처를 기재한 피싱 메일을 보내거나 로봇콜을 사용하여 은행 등을 사칭해 음성응답 시스템을 이용해 계좌번호나 비밀번호 등을 탈취한다.
이것은 2006년경부터 보인 오래된 공격 기법이지만, 최근에는 'Google지도'에 등록된 점포/기업의 전화번호를 몰래 변조하여 사기 그룹의 음성응답 시스템에 연결하는 형태로 새롭게 부흥하고 있다고 한다. "구글 맵의 정보라면 올바른 것이라는 신뢰를 악용한 수법으로 인도에서 급속히 퍼지고 있다"고 시미로비치 씨는 말한다. 참고로 Google지도에 게재되는 점포 정보의 대부분은 사용자의 자원으로 등록되고 있는 것으로, 정확성과 합법성의 보증은 없다.
'2요소 피싱 공격'은 2요소 인증을 도입하고 있는 사이트의 로그인 페이지로 위장한 가짜 사이트로 사용자를 유도하고 로그인을 수행시킴으로써 인증(로그인) 및 세션 Cookie를 입수하는 공격 수법이다. 가짜 로그인 페이지는 프록시로 기능하여, 로그인한 사용자는 합법적인 사이트로 리디렉션되기 때문에 공격에 눈치채지 못한다. 그러나 그 뒤편에서 공격자는 합법적인 세션 Cookie를 훔치고 있으며, 2요소 인증을 우회하여 무단 로그인을 수행할 수 있는 기법이다.
미국 RSA Security의 다니엘 코헨 씨는 이 2요소 피싱 공격에 사용되는 프록시 서버 설정 도구(Evilginx와 CredSniper)는 암시장에서 구입할 수 있으며, GitHub에도 공개되어 있고, 실행 환경은 누구나 비교적 손쉽게 구축할 수 있는 현실이라고 말했다. 또한 Evilginx과 CredSniper은 본래는 피싱 방지 교육지원 툴로서 공개/판매되고 있었다.
Facebook과 인스타그램 및 Twitter에서도 당당히 '사기 비즈니스'를 홍보?
또, 코헨 씨는 최근 피싱 사기꾼의 동향으로 다크웹뿐만 아니라 Facebook과 Instagram, Twitter 등 '공공 장소'에서도 당당히 비즈니스 활동을 전개하는 경향이 있다고 지적했다. 실제로 이러한 SNS에 '서비스 소개'부터 '파트너 모집' 'ID/비밀번호 매매의 프로모션', 심지어는 '서비스 활용을 위한 튜토리얼 동영상'을 공개하는 사기꾼까지 볼 수 있다고 한다.
"SNS는 사기꾼에게 중요한 마케팅을 위한 플랫폼이다. 이용자를 늘리고 명성을 높이는 수단으로 활용하고 있다. 예를 들어 홍보게시물에는 판매하고 있는 ID/패스워드의 일부를 무료로 제공한다. 그것을 맘에 들어하는 구매자에게 대량의 인증정보를 패키지 형태로 판매한다" (코헨)
단말기 자체에 SIM 잠금이 걸려있는 경우는 단말기와 같은 이동통신사의 SIM카드가 아니면 사용할 수 없습니다.
그리고 표준 SIM(mini SIM), Micro SIM, Nano SIM의 3종류가 있으므로, 단말기가 어떤 SIM에 대응하고 있는지를 확인해야 합니다.
SIM카드에 기록되는 데이터란?
SIM카드에는 접촉식 IC가 포함되어 있습니다. 여기에는는 IMSI(International Mobile Subscriber Identity)라는 고유번호가 가입자의 전화번호와 연결되어 기록되어 있습니다.
SIM과 Subscriber (회선), Identity (식별), Module (모듈)의 약어로, SIM카드는 말 그대로 회선의 가입자를 식별하기 위한 카드라는 것입니다.
SIM카드를 취급할 때의 주의점
SIM카드를 단말기에 넣을 때는 카드의 방향에 주의합시다. 또한 작으므로 떨어뜨리거나 날 리거나 하지 않도록 주의가 필요합니다. 넓은 테이블 등에서 작업하십시오.
SIM카드를 사용하는데 필요한 설정
SIM카드를 단말기에 장착되면 APN(액세스 포인트 이름) 설정을 해야 합니다.
설정 방법은 SIM카드에 포함된 설명서 등에 쓰여있어, 그리 어려운 것은 아닙니다. Android 기기의 경우, '설정'→ '모바일 네트워크'→ '액세스 포인트 이름'으로 이동하여 '새 APN '을 탭, 여기에서 SIM카드 설명서에 따라 액세스 포인트 이름, 인증 ID, 비밀번호 인증 방식 등을 입력합니다.
1) 다운로드 후 앱을 실행합니다 2) 전화번호를 입력하고 다음을 누릅니다 3) 6자 이상의 암호를 설정하고 다음을 누릅니다 4) 이메일 주소를 입력하고 다음을 누릅니다 5) 이름과 사진을 설정하고 다음을 누릅니다 6) 위치 정보, 이동 정보의 액세스 권한 설정을 합니다 7) 새로운 서클을 만들어 진행합니다. 새로운 서클을 만든 후 그룹에 넣고 싶은 멤버를 초대할 수 있습니다. 8) 초대 코드가 발급됩니다. 초대하고 싶은 멤버에게로 초대 코드를 보냅시다 ※ 초대 코드의 유효기간은 7일이므로 주의하시기 바랍니다
알림 설정 방법
홈을 추가합니다. 위치를 설정하는 경우는 그대로 저장을 눌러도 괜찮습니다. 주소가 다른 경우 입력하고 저장을 합니다.
도착과 출발에 각각 알림 설정을 할 수 있게 되어있기 때문에, 예를 들어 '업무 중에 자녀들이 학교에서 귀가하였는지 등을 확인할 수 있습니다
무료 버전에서는 알림 영역은 2개까지만 등록할 수 있습니다
그룹을 늘리는 방법
그룹은 추가할 수 있어서 친한 친구 그룹과 파트너 등 별도 그룹을 만들어 사용하는 것도 가능합니다. 그리고 그룹의 멤버와 메시지를 주고받을 수 있습니다. 이 앱으로 위치를 확인한 후 즉시 메시지를 보낼 수 있어서 밖에서 만날 때 활용할 수 있습니다.
Truecaller는 세계에서 가장 인기있는 발신자ID 앱의 하나이며, 일부 아시아 및 유럽 국가에서는 Truecaller를 거의 피할 수 없습니다. 앱은 실제로 서비스를 제공합니다. iPhone에서 스팸전화를 자동으로 차단하여 전화번호부에 없는 경우에도 누가 발신하고 있는지를 알려줍니다. 그러나 반대로 말하면, 이것은 Truecaller가 모든 개인 데이터를 가지고 있다는 것을 의미합니다. 또한 서비스에 가입하지 않은 경우에도 Truecaller 데이터베이스에 포함되었을 가능성 있습니다. (클라우드소싱의 마법)
전화번호와 이름이 Truecaller의 데이터베이스에 나열되어 있지 않은지 확인하려면 두 가지 방법이 있습니다. Truecaller에 가입한 적이 없는 경우는 단순히 Web사이트에서 전화번호를 목록에서 제거하는 것만으로 끝납니다. 그러나 Truecaller 계정을 가지고 계신 경우는 목록에 표시되지 않도록 비활성화해야 합니다. 그리고 가장 큰 단점 중 하나입니다만, Truecaller에서 전화번호 목록을 제거하려면 앱의 사용을 중지해야 합니다.
Truecaller 계정을 비활성화하는 방법
1단계 : iPhone에서 Truecaller 앱을 열고 기타 탭을 누릅니다. 2단계 : 여기에서 아래로 내려가 개요 섹션을 찾습니다. 3단계 : 이제 하단에서 계정 비활성화를 탭합니다 .
Truecaller에 따르면, 계정을 비활성화하면 24시간 후에는 목록에서 번호가 삭제됩니다. 하지만 신뢰할 수 있는 것은 아닙니다. 며칠 후 Truecaller에 표시되는지를 친구에게 확인하도록 요청합시다. 번호가 표시된다면 웹사이트의 목록에서 제외해 보십시오.
Truecaller에서 전화번호를 목록에서 제외하는 방법
Truecaller에 가입한 적이 없고, 데이터베이스에 있는 전화번호를 삭제하는 경우에는 Truecaller 온라인 도구를 사용하여 전화번호 목록을 삭제할 수 있습니다.
1단계 : Truecaller의 Unlist Web사이트를 엽니 다. 2단계 : 텍스트 영역에 국가번호를 포함한 전체 전화번호를 입력합니다. 3단계 : 목록에서 제거 이유를 선택하여 캡처를 입력하고 목록에서 외부를 클릭합니다.
로봇콜(자동음성 스팸전화) 차단 응용프로그램은 당신의 삶에서 위장 및 스팸전화를 없애준다. 그러나 그들은 신뢰할 수 있을까.
어떤 보안 연구원은 "이러한 응용프로그램의 대부분이 처음부터 당신의 기밀을 짓밟고 있다"고 말했다.
사이버보안 회사의 NCC에서 수석 보안컨설턴트를 맡고 있는 Dan Hastings 씨는 TrapCall, Truecaller, 그리고 Hiya을 포함한 가장 인기있는 로보콜 차단 응용프로그램을 분석하고 그들이 매우 심한 개인정보 보호 위반을 하는 것을 밝혀냈다.
헤스팅 씨는 이러한 응용프로그램이 많은 사용자 또는 장치의 데이터를 타사 데이터 분석 회사에 보내고 있다고 말했다. 개인정보 보호정책에 따라 사용자 정보를 숨기는 대신, 사용자의 동의없이 정보를 팔아 수익을 올리고 있다.
예를 들어, 응용프로그램의 TrapCall은 사용자의 전화번호를 사용자에게 알리지도 않고 타사 분석 회사인 AppsFlyer에 보냈다.
그는 또 Truecaller와 Hiya가 많이 정보 중에서도 장치의 유형과 모델, 소프트웨어 버전 등의 데이터를 사용자가 개인정보 보호정책에 동의하기 전에 업로드하고 있었다. 이 응용프로그램은 Apple의 데이터 사용과 공유에 대한 응용프로그램 가이드라인을 위반하고 있다고 그는 말했다. Apple 앱 지침은 응용프로그램 업체가 데이터를 사용하거나 타사로 보내거나 하기 전에 먼저 허가를 받기를 의무화하고 있다.
다른 많은 응용프로그램도 유사하다. 헤스팅 씨가 시험한 일부 응용프로그램은 응용프로그램이 설치되자마자 곧바로 일부 데이터를 Facebook에 보냈다.
"테크놀로지에 전문지식이 없으면 대부분의 최종사용자는 어떤 데이터가 실제로 수집되어 타사로 전송되고 있는지 알 수가 없다"고 그는 말했다. "개인정보 보호정책은 기술에 익숙하지 않은 사용자가 앱 사용 중에 자신에 대한 어떤 데이터가 수집되는지를 알 수 있는 유일한 수단이다."
개인정보 보호문제를 지적한 헤스팅 씨의 메일에 행동을 일으킨 회사는 없었다고 그는 말했다. 그가 Apple에 통보한 후 TrapCall이 개인정보 보호정책을 업데이트했을 뿐이다.
Truecaller과 Hiya을 시험할 때 밝혀진 것이지만, 앱 개인정보 보호정책이 "모니터링되고 있지 않은 것 같다"고 헤스팅 씨는 Apple도 비난하고 있다.
"개인정보 보호정책은 훌륭하다. 하지만 응용프로그램은 스스로 개선될 필요가 있다"고 헤스팅 씨는 지적했다.
"만약 사용하는 모든 응용프로그램의 개인정보 보호정책을 읽고 이해하려고 하면, 사람들은 이러한 앱이 어떻게 정보를 수집하고 있는지 놀라게 될지도 모른다. 그날까지 최종사용자는 앱이 개인정보를 실제로 어떻게 다루고 있는지 보안 연구원의 분석에 의지할 수밖에 없다. "
Truecaller 홍보담당 Manan Shah 씨는 앱이 출시되었을 시점에 사용자 데이터를 보내고 있었다는 것을 인정하고 이후 수정했다. 그것이 지금은 반영되어 "우리는 Apple의 지침을 준수하고 있다"고 홍보담당은 말했다.
Hiya은 응용프로그램을 다운로드하고 실행할 때 장치 데이터를 타사 서비스에 보내고 있는 것을 마지못해 인정했다. 그러나 개인정보는 수집하지 않는다고 주장하고 있다. "우리는 기초적인 장치 정보를 사용자가 명시적인 동의를 하기 전에 공유될 수 없도록 개인정보 보호를 강화 중"이라고 성명서에서 말했다.
세계 최대의 발신자 식별서비스 공급자의 하나인 Truecaller는 2월 4일 활성 사용자 수가 2억 명을 넘어 흑자 전환할 것임을 밝혔다. 활성 사용자 수가 1억 5000만 명이 넘는 인도는 회사의 가장 큰 시장이 되고 있다고도 말했다.
2억 명이라는 이정표 달성으로 스웨덴 기업의 Truecaller는 시애틀에 거점을 둔 경쟁사 Hiya를 웃돌았다. Hiya의 사용자 수는 지난해 10월 기준으로 약 1억 명이었다.
경쟁사와 달리 Truecaller는 발신자 식별 및 스팸 모니터링 이외의 서비스에도 진출하고 있다. 최근 일부 지역에서 메시징 서비스 및 결제서비스 를 제공하고 있다. 두 서비스 모두 받아들여지고 있다고 Truecaller의 공동창업자이자 CEO인 Alan Mamedi(앨런 마메디) 씨는 TechCrunch와의 인터뷰에서 말했다.
"현재 인도에서만 제공하는 결제서비스는 곧 일부 아프리카 시장에서도 이용할 수 있게 될 것"이라고 마메디 씨는 말했다. Truecaller는 또한 인도에서 몇 주 이내에 대출서비스도 제공할 계획이다.
인도에서는 수십 개의 스타트업이 사용자에게 결제서비스를 제공하고 있다. Truecaller, Alibaba(알리바바)가 지원하는 Paytm, Walmart(월마트)의 PhonePe 등 대기업을 포함한 수십 개의 기업이 은행과 정부의 지원으로 개발된 인프라 UPI를 활용한 결제서비스를 인도에서 전개해왔다.
Truecaller는 자금을 그다지 주입하지 않는다는 점에서 다른 서비스와 다르다. "Truecaller의 2019년 10 ~ 12월기는 흑자였다"고 마메디 씨는 말했다. "많은 기업이 사용자 확보에 많은 자금을 사용하고 있는 것을 생각하면 매우 자랑스럽다" Crunchbase에 따르면, 이 회사는 지금까지 9900만 달러를 조달했는데, 투자자로는 Sequoia Capital과 Perkins가 포함된다.
매출의 절반 이상이 사용자 타겟 광고에 따른 것이다. 그러나 광고가 들어가지 않도록 하는 등 다양한 추가 기능을 제공하는 회사의 구독서비스도 이용자를 늘리고 있다고 마메디 씨는 말했다. 구독서비스는 전체 매출의 30%를 차지하는 것으로 알려졌다.
프리미엄 서비스는 인도에서 월 70센트로 이용할 수 있다. 이 회사는 시장에 따라 다른 가격을 시도하고 있고, 같은 서비스가 미국에서 월 2.99 달러이다.
Truecalle는 현재의 기세를 지속시키려고 하고 있고, 실제로 1월은 호조였다. 그러나 마메디 씨는 스타트엄 인수 가능성 등 급박한 사업 판단에 따라 상황은 달라질 수 있다고 한다. 다음은 어떻게 될까. IPO가 시야에 들어와 있지만, IPO 준비에 2년은 걸릴 것이라고 마메디 씨는 말했다.
JPEG는 가장 사용되는 이미지 압축형식의 하나이지만, JPEG가 사진을 어떻게 압축하고 컴퓨터가 어떻게 JPEG 데이터를 처리하는지는 잘 알려지지 않았습니다. 그런 JPEG 데이터의 구조에 대해 Google의 보안감사에 종사하는 angealbertini 씨가 설명해 줍니다.
JPEG의 정식 명칭은 'Joint Photographic Experts Group'으로 이미지 압축형식의 하나입니다. JPEG파일을 16진수 바이너리로 표시하는 Linux 코멘드 'xxd'에서 JPEG를 보면 이런 느낌. 임의의 문자열이 줄지어있는 것처럼 보이지만, 바이너리의 나열에는 의미가 있습니다.
JPEG는 '데이터 유형' '데이터 길이' '데이터 자체'를 세그먼트라고 정리해서 보관하고 있으며, 그 세그먼트가 늘어선 심플한 구조라는 것. 데이터 유형은 Marker라는 부분에 표시되며, "ff"라는 바이트에 제로가 아닌 바이트를 계속 정의합니다. 예를 들어, 바이너리 상단에 표시되어 있던 'ffd8'는 이미지 데이터의 시작을 의미하고 'SOI'라는 Marker입니다.
반대로 바이너리의 마지막에는 이미지 데이터의 끝을 의미하는 'EOI', Marker인 'ffd9'가 표시되어 있습니다.
JPEG 이미지를 구성하는 바이너리의 전체상은 이런 느낌. 이미지 소프트웨어는 Marker 등을 의지하여 데이터를 로드하고 JPEG 이미지를 표시할 수 있게 되어 있습니다.
아프리카의 많은 국가에서는 은행 점포나 ATM가 여전히 도시에 집중되어 있으며, 교외에 사는 상대적으로 가난한 농민 등은 출금을 위해 몇십 킬로를 걸어 은행에 방문하는 경우는 드물지 않다. 이러한 불편함을 해소해주는 것이, 휴대전화 나 스마트폰을 사용하여 송금하는 '모바일결제' 시스템이다. 현재 아프리카는 아시아 다음으로 모바일결제 거래액이 많은 지역이라고 한다.
"내가 사는 모잠비크에서는 GDP의 약 40%에 해당하는 연간 약 50억 달러가 모바일결제를 통해 거래되고 있습니다. 평소의 쇼핑은 물론 직원에 대한 급여와 벌금의 지불도 모바일로 결제합니다. 아프리카 전역의 모바일 단말기 소지 비율은 약 50%라고 하지만, 앞으로 소지율이 늘어나면, 아프리카는 더 거대한 모바일결제 시장으로 발전해 나가는 것은 틀림없습니다"
2019년 4월 싱가포르에서 개최된 Kaspersky Labs 주최의 보안 이벤트 'Security Analyst Summit 2019'에서 CERT Mozambique(모잠비크 CERT)의 앙드레 텐레이로 씨는 아프리카의 모바일결제 상황을 이렇게 설명했다.
휴대전화 번호를 탈취하여 금전을 도둑질하는 'SIM스왑 사기'의 수법이란?
하지만 이러한 모바일결제의 대중화와 동시에 증가하고 있는 것이, 거래되는 금전을 노린 범죄이다. 특히 최근에는 'SIM스왑 사기'라는 공격방법이 큰 사회문제로까지 발전하고 있다고 한다. SIM스왑 사기는 휴대전화의 SIM 카드를 전환(swap)한다는 의미로 전화번호와 연계된 SIM(ID)를 강제로 전환하여 그 전화번호를 낚아채는 공격이다.
이 수법은 매우 간단하다. 우선 범인은 새로운 SIM카드를 준비하고, 이동통신 사업자에게 "전화기를 분실했기 때문에 현재의 전화번호 그대로 새로운 SIM으로 전환 싶다" 등의 거짓 연락을 한다. 사업자가 그 설명을 믿고 타겟의 전화번호를 범인의 SIM으로 지정되면 완료된다. 범인은 타켓의 전화번호를 탈취한 것이다.
다음으로 범인은 그 전화번호에 등록된 온라인 서비스를 확인한다. 온라인뱅킹 등의 돈이 될만한 서비스가 발견되면 '비밀번호 변경' 기능을 이용하여 인증을 돌파한다. 이러한 서비스 대부분은 SMS를 통해 일회용 암호를 전송하고 그것을 입력시킴으로써 본인확인(인증)을 하는 구조를 채용하고 있다. 그러나 전화번호는 이미 범인의 손에 넘어가 있어 범인은 일회용 암호를 SMS로 받을 수 있다. 다음은 암호를 변경하고 로그인하여 피해자의 은행계좌에서 범인 자신의 계좌에 송금하면 공격은 완료된다.
소셜 엔지니어링, 뇌물, 내부자 범행, 피싱 등 범죄자들은 다양한 수법으로 SIM스왑을 시도한다
물론, 이동통신 사업자도 그렇게 쉽게 속지 않는다. 일반적으로 SIM 전환을 요청하면 본인확인을 위한 질문을 받게 된다. 그러나 과거의 정보유출 사고로 유출된 개인정보, SNS 게시물에서 얻은 정보, TrueCaller 서비스(전화번호에서 소유자의 이름을 특정하는 서비스) 등을 잘 이용하면 이러한 질문을 쉽게 돌파할 수 있다고 한다. "마지막으로 통화한 연락처 5개'를 묻는 사업자도 있지만, 사전에 타겟의 전화번호로 착신을 남겨 콜백을 유도하는 방법으로 억지로 그것을 돌파하는 공격자도 있다. 그런 작업이 귀찮다고 생각한다면, 1건당 10~40달러 정도로 작업을 대행해주는 'SIM Swap as a Service'도 준비되어 있다.
게다가 '뿌리 깊은 문제'도 있다고 텐레이로 씨는 지적한다. 많은 경우 이동통신 사업자와 온라인뱅킹(은행)의 내부자가 범죄자에게 뇌물로 회유되어 있을 것이라고 한다. 만일 휴대전화 숍에서 SIM 재발급 절차가 필요하다고 해도, 이동통신 사업자에 있는 공범이 합법적인 서류를 발급해 주면, 상점 점원은 의심 없이 받아들일 것이다.
SNS 계정을 탈취! 가짜 메시지를 뿌린다
Kaspersky Labs의 파비오 앗소리니 씨도 "내가 사는 브라질에서도 마찬가지로 SIM스왑 사기가 심각한 문제가 되고 있다"고 말했다.
브라질에서 5,000명의 피해자를 낸 어떤 사건에서는 SIM스왑 사기를 통해 전화번호를 빼앗은 범인이 메신저 앱 'WhatsApp'의 피해자의 계정을 이용하여 연락처에 등록된 친구들에게 "비상사태가 발생했다! 빨리 돈이 필요하다"는 메시지를 뿌렸다. 당황해서 3,000달러 이상을 이체한 친구도 있었다고 한다. 그리고 이 사건에서도 이동통신 사업자의 내부에 SIM스왑을 지원한 공범이 있었다.
FinTech 붐을 타고 브라질에서는 신용카드 발급이나 은행계좌의 개설수수료 없이 이용할 수 있는 모바일 서비스도 등장하고 있는데, 이러한 서비스도 표적이 되고 있다고 앗소리니 씨는 말한다. 예를 들어 'Pag!'라는 온라인 결제 앱에서 일어난 사건은 SIM스왑을 실행한 범인이 암호를 다시 설정하고 탈취 피해자 명의로 발행한 신용카드로 약 3,300달러를 썼다고 한다.
"온라인뱅킹에는 암호를 다시 설정하려면 콜센터에 문의하지 않으면 할 수 없는 구조로 채용하는 서비스도 있다. 그러나 본인확인을 위한 질문으로 잔액 및 마지막 거래내용을 물어도 은행 내부에 공범이 있을 경우 미리 그 정보를 알게 되면 어떤 방지책도 소용없다" (앗소리니 씨)
그렇게 말하는 앗소리니 씨 자신도 실은 SIM스왑 사기를 당한 적이 있다. 지난해 9월 모스크바에 출장을 갔을 때의 일이다. 평소 사용하는 스마트폰으로 현지 통신사에 로밍 연결한 첫날은 문제없이 사용했지만, 다음날 아침에 갑자기 연결할 수 없게 되었다. 계약하고 있는 브라질 이동통신 사업자에게 문의한 결과 "휴대폰을 도난당했기 때문에 다른 SIM으로 전환해 달라"는 연락이 있었다고 한다. 전형적인 SIM스왑 사기다.
앗소리니 씨는 사정을 이야기하고 즉시 원래의 SIM으로 되돌려달라고 요구했다. 만약을 위해 사용하는 온라인 서비스에 피해가 없는지를 확인한 결과, 다행히 아무 피해도 없어 안도했었다고 말한다. 덧붙여서, SNS 등을 통해 해외출장 예정이 있는 인물을 노리는 사기도 일부 관측되고 있다고 한다.
"보안 애널리스트도 이 범죄에 무력하다고 통감했다"고 말했다고 전하는 Kaspersky Labs의 파비오 앗소리니 씨
SIM스왑 사기의 피해를 거의 '제로'로 만든 모잠비크 대책이란
최선의 대책은 온라인뱅킹 및 온라인 서비스에서 본인확인을 위해 SMS를 통해 일회용 암호를 전송하는 인증방법을 종료하는 것이다. 그러나, 모잠비크에서는 생체인증과 암호생성기(Google Authenticator 등)을 사용할 수 있는 스마트폰이 아닌 구형 휴대전화(피처폰)가 아직도 주류이며, 즉시 SMS인증의 사용을 그만둘 수 는 없다.
이 어려운 과제를 놓고, 모잠비크에서는 이동통신 사업자와 주요 은행을 포함 라운드 테이블을 개최하여 논의하였다.
온라인뱅킹과 모바일 통신사업자의 시스템을 API연계하여 납치가 의심되는 전화번호를 확인하는 구조
우선 은행은 온라인뱅킹에서 송금 등의 거래가 발생했을 때, VPN 회선과 REST API를 통해 이동통신 사업자에 전화번호(MSISDN)와 일정 시간(24~72시간)을 지정하여 쿼리를 건다. 이것은 지정된 시간에 그 전화번호로 SIM의 전환이 행해졌는지 여부를 확인하는 요구에, 이동통신 사업자는 True / False로 응답한다.
만약 True(지정 시간 내에 SIM스왑이 이루어졌다)라면, 온라인뱅킹은 거래를 중단하고 추가 본인확인 절차를 실시한다. 물론 SMS을 통한 원타임 패스워드는 의미가 없으므로, "은행에서 직접 창구에 오도록 지시할 수도 있다"고 텐레이로 씨는 설명한다. 또한 쿼리의 상호작용은 자동화되어있기 때문에, 통신 사업자와 은행의 내부에 공범이 있어도 거기에 개입할 틈은 없다.
모잠비크는 이 플랫폼을 구축한 결과 "SIM스왑 사기는 거의 제로가 됐다"고 텐레이로 씨는 말한다.
"현재 지원하는 곳은 댸형 모바일 통신 사업자와 주요 은행뿐이지만, 이번. 성공을 받아 다른 사업자도 관심을 보이고 있다. 모잠비크 정부도 효과를 높이 평가하여 모든 사업자나 은행이 플랫폼에 참여하도록 의무화하는 방향으로 이동하기 시작하고 있다" (텐레이로 씨)
SIM스왑 사기에 대한 대책으로 이동통신 사업자와 사용자가 해야 할 일
SIM스왑 사기를 방지하기 위해 두 사람은 각각의 입장에서 다음과 같은 조치를 취할 것을 제안하고 있다.
이동통신 사업자 : 거래시 본인확인 절차를 강화한다 온라인 서비스 : SMS 인증을 즉시 폐지하고, 음성인증 등 다른 인증방법을 도입한다 사용자 : 2단계인증의 수단으로 암호생성기 등 SMS인증 이외의 방법을 이용한다
두 사람이 입을 모아 호소한 것은 "어쨌든 SMS인증 진심으로 폐지하고 싶다"라는 것이다. SIM스왑이 성공해 버리면 아무 의미도 없을 뿐만 아니라, 심지어 공중전화 교환망에서 이용되는 신호 방식의 하나인 'SS7'는 도청할 수 있는 취약점이 있는 것도 알려져 있다 . 즉 SIM스왑을 사용하지 않아도, SMS를 통해 전송되는 일회용 암호는 도둑맞을 가능성이 있는 것이다.
"SIM 전환의 실행 전에 '이용자의 전화번호는 이 SIM카드에서 사용할 수 없게 됩니다"라는 SMS 알림을 보내 미리 등록한 자신의 목소리로 음성인증을 채용하는 등 별도 대책을 추가하고 강화해 달라"고 두 사람은 호소한다.
그러나 음성인증은 대책의 효과는 높지만 시스템 도입 비용도 높다. FinTech 벤처 등에게는 지출이 많고, 도입의 장벽은 높을지도 모른다. 그런 점에서 API를 통해 쿼리를 교환하는 모잠비크 사례는 벤처 비즈니스 활동을 저해하지 않고, 경제 활성화를 뒷받침하는 것이다. 텐레이로 씨는 "힘든 것은 관계자 모두를 라운드 테이블에 모이게 하는 것"이라고 웃음을 지으며, 이 플랫폼의 유효성에 자신감을 보였다.
한국에서는 아직 SIM스왑 사기로 인한 피해는 보고되고 있지 않지만, 저렴한 SIM의 MNP 전환 절차를 악용하거나 해외출장을 가는 사람을 대상으로 하는 등 공격방법은 얼마든지 생각된다. 실행될 가능성이 제로라고 단언할 수 없다. 모잠비크의 성공사례는 유용한 참고가 될 것이다.
Android의 숙면 알람의 일반 설정에 [자동 비행기 모드]가 있습니다. 그러나 대부분의 분들은 아래의 그림과 같이 "귀하의 단말기에서는 자동 비행기 모드는 사용할 수 없습니다"라고 표시되어 있을 것입니다.
자동 비행기 모드란?
이 기능은 수면기록 중에만 스마트폰을 자동으로 비행기 모드를 전환하는 기능입니다. 비행기 모드가 되면 스마트폰의 통신 환경은 모두 OFF가 됩니다. 수면기록 중에 통신 환경이 OFF 되어 수면 중 전화 수신, 메일 수신, SMS 수신이 차단되므로 이러한 벨소리, 알림음에 의해 수면이 방해되지 않습니다.
매우 편리한 기능이었지만….
자동 비행기 모드는 숙면 알람 출시 당시 (Android OS4.0)부터 존재했던 기능입니다. Android OS4.2의 등장으로 문제가 일어났는데. 4.2 이후는 서드파티 앱에서 비행기 모드를 제어할 수 없게 되었습니다.
비행기 모드는 스마트폰과 태블릿의 통신을 해제하는 기능. 이름 그대로 주로 비행기 등 통신기기의 이용이 제한되는 장소에서의 사용을 가정한 것입니다만, 실은 이 비행기 모드는 본래의 용도 이외에도 도움이 되는 측면이 많습니다. 예를 들어, 배터리 절약에 기여하고 읽음을 붙이지 않고 LINE을 읽을 수 있는 등의 효과가 있습니다.
비행기 모드란?
비행기의 안전한 이착륙을 보장하기 위해 스마트폰과 태블릿의 통신을 제한하는 기능입니다. 비행기 모드 덕분에 일부러 전원을 끄지 않아도 스마트폰이나 태블릿에 미리 내려받아 둔 음악과 영화를 즐기거나 사진을 촬영하는 등, 비행기 안에서도 오프라인 상태에서 단말기를 사용할 수 있습니다.
비행기 모드로 하는 6가지 장점
장점 1 : 배터리를 절약할 수 있다. 산이나 지하 등 전파 상태가 나쁜 곳에서는 단말기가 기지국 찾기를 계속 시도해 버리기 때문에 배터리 소모가 심해집니다. 비행기 모드를 활용하면 배터리 소모를 상당히 줄일 수 있습니다.
GPS를 활용하여 오프라인 지도를 사용
비행기 모드 상태에서도 GPS 기능을 사용할 수 있으므로 현재 위치를 지도 앱에서 확인할 수 있습니다. 그러나 지도 앱은 온라인에서의 이용을 전제로 한 것이 많아, 통신 해제 및 권외 상태에서는 맵을 표시하지 못할 수 있습니다. 따라서 사전에 오프라인 지원 앱을 설치하고, 행선지 영역의 맵을 내려받아 둡시다.
오프라인 지도에서도 위치가 실시간으로 지도에 표시됩니다. 오프라인 상태에서 GPS 신호를 수신하려면 스마트폰의 위치정보 서비스가 반드시 켜져 있어야 합니다. 오프라인 지도의 다운로드와 함께 스마트폰의 설정을 확인합시다.
장점 2 : 충전 시간을 단축할 수 있다 iPhone 7 (iOS 12)의 충전이 50%에서 100%가 될 때까지의 시간을 '비행기 모드'와 '일반 모드'의 2 패턴으로 측정해 보았습니다. 다양한 조건에서 비교한 결과, 가장 현저하게 충전시간의 차이가 나타난 것은 iMac에서 Lightning 케이블로 충전한 경우, 비행기 모드 충전이 일반 모드보다 약 14분 단축되었습니다. 그러나 충전 환경과 단말기 배터리의 상태 등에 따라 충전 속도가 달랐고, 그다지 충전시간이 변하지 않는 경우나 오히려 충전시간이 길어져 버린 경우도 있었습니다.
장점 3 : 착신과 알림을 완벽하게 차단 영화관에서의 영화 감상이나 회사에서의 회의 등 벨소리 및 알림음을 울려서는 안되는 상황은 적지 않습니다. 하지만 그때마다 스마트폰의 전원을 끄기는 번거롭습니다. 그럴 때 비행기 모드로 두면 수신 및 알림이 오지 않게 됩니다.
장점 4 : 읽음을 붙이지 않고 LINE의 메시지를 읽을 수 있다
장점 5 : 모바일 데이터 트래픽을 절약할 수 있다 비행기 모드로하면 Wi-Fi.나 Bluetooth 연결이 해제되지만, 이 둘은 비행기 모드를 활성화한 상태에서도 켤 수 있습니다. 비행기 모드를 활성화하여 Wi-Fi를 이용하면, 모바일 데이터를 켜두는 실수를 방지 가능합니다.
장점 6 : 통신을 할 수 없거나 통신 느린 경우에 유효 통신 환경에는 문제가 없지만 좀처럼 웹페이지가 열리지 않는 등 인터넷에 연결하기 어려운 때도 있습니다. 그때 의외로 유효한 것이 비행기 모드의 on/off 전환입니다. 비행기 모드를 켰다 끔으로써 인터넷에 쾌적하게 연결되는 경우도 있습니다.
2020년 7월 29일 반독점 소위원회가 열린 공청회에서 Google의 샌더 피챠이 CEO, Amazon의 제프 베조스 CEO, Facebook의 마크 저커버그 CEO, Apple의 팀쿡 CEO 등이 증언이나 답변을 하였습니다. 답변에서 CEO들은 그럴듯한 '말을 반복했지만, 거기에는 심각한 거짓말이 포함되어 있다고 기술 칼럼니스트 제프리 A 파울러 씨가 지적하고 있습니다.
Congress forced Silicon Valley to answer for its misdeeds. It was a glorious sight | Technology | The Guardian https://www.theguardian.com/commentisfree/2020/jul/30/congress-forced-silicon-valley-to-answer-for-its-misdeeds- it-was-a-glorious-sight
공청회에서는 "Facebook의 Instagram 인수가 '경쟁자의 무력화'가 목적이었다"라고 밝혀졌고, 베조스 CEO가 타사의 판매 데이터를 사용한다는 의혹에 대해 "정책을 위반한 적이 없다고 보장할 수 없다"고 발언했다 등 수많은 사실이 밝혀지고 있습니다.
대부분의 추궁에 "나는 그것에 대해 모른다" "다음에 연락하겠습니다"라는 말을 반복하고 있어 The Guardian은 "이러한 기술기업은 수년 동안 자신들의 비즈니스 행동에 대한 진실을 요구받지 않았기 때문에 답변을 준비하지 않았다"고 지적합니다. 또한 부시 행정부, 오바마 행정부 시절에도 이번 공청회에서 밝혀진 수많은 증거가 있었음에도, 반독점 소위원회는 합병을 인정해온 점이 큰 문제로 올라 있습니다.
또한 이 기업들은 그동안 "사용자의 개인정보는 중요합니다" "소비자에게 더 나은 경험을 제공하기 위해 개선을 실시하고 있습니다"라는 말을 거듭하면서 실제 행동은 그 말을 반영한 것이 아니었습니다. 워싱턴포스트의 기술 칼럼니스트 제프리 A 파울러 씨는 "공청회에서는 각 CEO가 반복한 '작지만 중대한 결과를 가져올 5가지 거짓말 '이 밝혀졌다"고 말합니다.
1 : 사용자는 자신의 데이터를 관리하에 두고 있다
피챠이 CEO와 저커버그 CEO가 주장하는 것처럼 소비자들이 플랫폼에서 개인정보 설정을 하는 방법이 제공되는 것은 사실입니다. 그러나 그것들을 사용하는 방법이 막연하거나 사용하기 난해한 경우는 '데이터를 관리할 수 없다'와 동의어입니다. 2019년 조사에서는 미국인의 81%가 "기업에 의한 데이터의 수집을 완전히 제어할 수 없다"고 생각하고 있으며, 59%는 기업이 데이터를 어떻게 사용하는지에 대해 이해하지 못하는 것이 판명되었습니다.
공청회에서 의원으로부터 "당신은 '더 많은 데이터의 수집이 Google에 모이는 돈을 늘어나게 한다는 것을 의미하지 않는다'라는 겁니까?"라고 추궁을 받은 피챠이 CEO는 "오늘 모아진 데이터의 대부분은 사용자를 돕고 개인화된 경험을 돌려주기 위한 것"이라고 반복할 뿐이었습니다.
그러나 Google은 세계 최대의 광고회사이며, 수집하는 데이터만이 그 원동력이라는 것은 의심할 여지가 없습니다. 의원은 피챠이 CEO에게 "Google의 지배를 위해, 사용자가 항복할 수밖에 없습니다"라고 말했습니다.
2 : 사용자에게 선택의 여지가 있다.
"결정은 소비자가 한다" "사용자에게 선택의 여지가 있다"는 발언도 CEO들로부터 많이 발언 되었습니다. 그러나 기술기업은 "사용자는 편의에 의해 움직인다"고 이해하고 있으면서, 제품을 불편하게 함으로써 사용자에게 특정 선택을 강요합니다.
피챠이 CEO는 "소비자들은 그 어느 때보다 정보의 잠재적인 소스를 가지고 있습니다."라고 말했습니다만, 선택이 존재하여도 인기있는 웹브라우저인 Google Chrome이 가장 인기있는 OS인 Android에 포함된 상황을 Google이 조성하는 한 Google 검색을 사용하지 않고 정보에 액세스 하는 것은 어려운 것입니다. 선택의 여지가 있었다고 해도 그것이 사용자의 Google에 대한 의존도를 줄이는 것은 아닙니다.
"이 4개 회사의 서비스를 어떤식으로든 사용하지 않고 인터넷을 사용하는 것은 거의 불가능하다"고 제로루도 · 나도라 의원은 말했습니다.
3 : 기술기업은 그만큼 큰 존재가 아니다
베조스 CEO는 "Amazon의 점유율은 25조 달러 규모의 세계 소매시장 중 1% 미만, 미국 소매시장의 4% 이하입니다"라며 회사가 시장 독점에 해당하는 만큼 큰 규모가 아님을 강조했다. 그러나 조 네구즈 의원은 베조스 CEO에게 왜 주유소를 포함한 모든 소매점을 경쟁자로 생각했는지를 물었습니다. 온라인 쇼핑에서 Amazon은 미국 시장의 38%를 차지하고 있으며, 도서 등 카테고리를 한정하면 점유율은 더욱 커집니다.
베조스 CEO는 소매의 '유통 경로'와 전체 '시장'의 정의를 애매하게 하려고 했고, 다른 CEO들도 마찬가지로 시장의 정의를 모호하게 하는 식으로 답변하였습니다.
4 : 가장 관련성이 높은 정보만 제공하고 있다
피챠이 CEO는 "우리는 항상 사용자와 가장 관련성이 높은 정보를 제공하는데 주력하고 있습니다."라고 말합니다. 그러나 Google은 해마다 웹사이트로 유도하는 것이 아니라, 검색결과 화면에 사용자를 머물게 하려는 경향이 있습니다.
마찬가지로 Amazon의 스마트 스피커는 Amazon 이외의 제품에 사용자가 검색했을 때에도 Amazon 제품으로 유도하고 있으며, 이것은 베조스 CEO도 인정하는 점입니다. '가장 관련성이 높은 정보'라고 말하면서도 실제로는 자사 제품에 유도를 하고 있습니다.
5 : 소셜미디어는 유해한 정보에서 이익을 얻지 않는다
저커버그 CEO는 소셜미디어가 사람들을 해칠 수 있는 콘텐츠의 확산을 제한할 책임이 있다는 점을 인정하고 있습니다.
그러나 실제로는 Facebook에는 잘못된 정보가 많이 포함되어 있습니다. 이것은 Facebook의 비즈니스가 사용자의 주의를 기반으로 구축되어 있고, '광고를 게재하여 수익을 내는' 모델이기 때문에 콘텐츠가 자극적이고 논란이 있는 내용일수록 확산되어 버리는 것이 원인. '광고를 표시한다'는 목적을 위해 '이용자를 플랫폼에 체류시키기'가 필요하며, 이를 위해 '참여가 우선시 된다'는 비즈니스야말로 Facebook의 잘못된 정보확산의 문제의 근원이라는 것입니다.
