전자신문 링크 : http://www.etnews.co.kr/news/detail.html?id=201008270112
보안뉴스 링크 : http://www.boannews.com/media/view.asp?idx=22590&kind=1
디지털데일리 : http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=138&aid=0001970129
[추가1] 내용중에 최저가 입찰 어쩌고 저쩌고 해서, 몇몇 사람들이 최저가백신이라는 말을 하시는데,
금결원 입찰해보셨는지요?
1차 선정이 기술적인것과 제품 자체에 대한 평가를 하고 1차에서 선정된 제품중 가격점수와 제품점수로해서
최종적으로 선정하는것입니다. 일부 내용을 모르고 최저가 선정이라는 보도내용이 있는데 이는 잘못된것입니다.
1차선정에서 V3 모바일, 브이가드, 안심백신 이 1차 선정되었었으며, 안랩제품과 가격차이는 많이 없었습니다.
이점은 알고 계셨으면 좋겠습니다. 참고로 저희는 빽도없고 영업망도 약한 회사입니다. 잘못된 내용을 뿌려버려서
그거에 대한 설명하기도 참 힘드내요. END
[추가2] 세마포어솔루션 이창원 대표님이 쓰신 공지글에 휴리스틱(행위기반의 탐지) 기능을 우리가 빼버렸다고 하셨는데, 엔진 기능이므로 빼지 않았습니다. 그부분은 참고해서 공지글로 작성해주셨으면 합니다. 그리고 서로 협조해서 증권통에 도움을 드리려고 하는중에 초저녁부터 공격성 보도자료로 먼저 공격한곳은 이토마토 측입니다. 괜히 우리가 블로그 포스팅하고 그러는건 아닌거 아실텐데요 참고부탁드립니다. 대표님. 저희 공격적이거나 나쁜사람들이 절대로 아닙니다. 부드러운것을 좋아합니다. END
----
혹시 이토마토 관계자분이 본다면 꼭 부회장님께 이 이야기 전달해주세요,
[이토마토 !! 제발 본래의 논쟁만 가지고 이야기 합시다. 브이가드 vs 증권통 앱]
다른 이유들이 우리 두회사간에 관계가 있을지요? 로그인방식 바꾸시고, 보안성을 좀더
강화한다면 사용자들이 이용하기에도 더 좋은 앱이 될것입니다.
이것이 우리가 이야기하는 이유입니다. 손바닦으로 하늘을 가리려고만 하시면 안된다고 배웠습니다.
사업하는 사람으로 나도 일을 해야하니, 월말이고 하니, 앞으로 해당 관련 포스팅은 없을것입니다. 일이나 해야겠지요 꼭 어르신과 장기나 바둑 두는 기분입니다. 굳이 상대하지 않아도 될일었다는 것을 인지하였내요. 휴가기간이라 좀 여유가 있었는데, 앞으론 일만 해야할것 같내요. 이상 젊은 경영자가 연장자이신 경영 선배님이신 이토마토의 부회장님께 감히 말씀 드렸습니다.
-----
상세한 내용을 적어서 포스팅을 당일날 했었지만, 똑같은 행동을 하면 똑같이 저급 취급을 받을것 같아서,
비공개로 돌려놨지만, 다시 포스팅해봅니다. 어디까지나 개인블로그이며, 제 생각을 담았습니다.
우리의 유일한 대화창구입니다.
이토마토측은 쉬프트웍스 관련 뉴스 기사들이 참 어처구니가 없는 사실들임이 분명함과 관련된 자료들을 대거 확보하고 있고 매체사를 가지고 있다는 이유로, 자신들의 앱이 잘못된 점을 수정할 생각은 안하고, 지속적으로 공격을 하고 있습니다.
"자신들의 앱에 대한 구체적 해명이나 주장이 아닌 여기저기 사람들을 다 끌어들이는 행동이 보기 좀 그렇네요"
저는 이토마토에 대한 아무런 감정이 없습니다. 일단 저기를 이번에 처음 알았구요, 굳이 회사 자체에 대한
비방이나 그럴 이유가 없지요. 그래도 거기 오너분도 엄청 고생하실 거라 생각이 들고 공감이 가기 때문입니다.
죄송하지만, 우리는 잘못하면 인정합니다, 그게 아니라서 끝까지 할말은 하겠습니다.
강자가 약자를 공격해서 찌글어진다면, 기술력으로 성공해보자하는 대한민국의 젊은 벤처기업이 설자리가
있겠습니까. 숨어서 애국자 노릇한다고 누구하나 격려해주지도 않는데 대한민국 정보보호를 위해서 잠안자고
항상 연구하고 열심히 살아가는 평범한 서민들입니다.
거기는 돈도 많고 뉴스보도도 할수있고 자본금도 우리보다 많고 한데 도대체 왜그러시는지들...
암튼 나중에 인사올리러 회사에 찾아 뵈면 만나주십시요.
중요한것은,
고객의 스마트폰에서 아주중요한 개인정보를 뽑아가고 있는것을 쉬프트웍스의 브이가드 제품이 탐지를 한것에
대한 수정 조치는 생각도 안하고 우리가 잘못되었다고 일방적인 공격과 비판이 있는 이토마토에 대해서 불쾌감이
아주 많습니다.
분명한것은 토마토뉴스의 회사인 이토마토(토마토TV도 같은회사인것같내요 CATV 채널있었는데 같은지요?)에서
안드로이드 증권 앱인 증권통 이라는 프로그램은 "인증이 없이" 증권 정보를 볼 수가 있는 편리한 프로그램이라고
강조합니다.
대충 짐작으로도 30만명정도는 사용하는 프로그램이라고 보여지고요, 안드로이드 마켓 순위 탑에 올라갈정도로
인기가 많은 앱입니다.
저또한 개인적인 입장으로 볼때 피해자가 될수가 있겠군요, 저도 사용중입니다.
이 앱은 로그인 절차 없이 편리한 사용이라는 강점을 강조하는데, 그것이 될 수 밖에 없는 이유는 바로 고객 스마트
폰 단말기에서 전세계적으로 유일한 값 바로 전자적으로 부여한 고유 번호로 IMEI 라는 값과 통신사에서 등록하여
서 사용하는 USIM의 고유넘버를 가지고 인증를 하고 있습니다.
IMEI에 대해서 해킹이 되냐 안되냐 하는 문제를 왈가왈부하시는데, 해킹 여부보다는 폰 복제나 다른 위험성에 대해
서 아주 민감하며, 해외사례도 있듯이, 이 IMEI는 해당 스마트폰의 인감증명서 혹은 주민등록번호? 국제적으로
고유한 값이니 아마 여권이라고 생각을 하면 쉬울 것 같습니다.
이 개인정보를 고객의 동의 없이 이용하는데, (참고: 안드로이드 마켓에서의 보여지는건 그앱이 어떤 행위를 하는
지 구체적으로 보여주지 않습니다. 일반 사용자들 특히 IT와 관련없는 대부분의 사람들은 인식을 하지 못하는정도
입니다.)
앱에서 정확한 약관으로 최초 실행시 앱에서 어떤어떤 용도에 의해서 USIM 넘버와 IMEI 값을 가지고 인
증을 한다 라고 말을 해줬어야합니다. 그리고 해당 데이터들은 어떤 데이터인지 인지를 시켰어야 합니다.
실제로 중국등 짝퉁 휴대폰 제조업체들은 이 IMEI 값을 밀거래로 대량으로 구입을 하여, 폰복제나 짝퉁폰 제작에
사용하고 있습니다. 이런 위험성이 있구요, 개인정보 도용이 분명한 부분입니다. 해당 정보 수집이 잘못되었던 안
되었던 분명히 문제가 있는 부분입니다.
자. 스마트폰 사용자들은 자신이 산 스마트폰의 메뉴얼을 잘 보십시요.
제일 앞에 보시면 대부분 IMEI 관련되서 복제나 도용등에 대한것을 엄격히 통신비밀보호법에 의하여 처벌 받는다
고 되어져있습니다. 현재 일본에 계신 현직판사님에게 확인한 결과, ESN이나 IMEI 라고 규정한것이 아니라 모두 해당이 될수 있다고 말씀하셨습니다.
자신이 소유한 폰 자체에 대한 IMEI 관련 된 부분도 문제가 되는데 이러한 아주 중요한 전자적으로 부여한 고유번
호를 서버에서 수집하고 그것을 인증 절차로 사용된다면 분명히 문제가 있고, 정보보호를 하는 입장으로써는 당연
히 해당 앱을 위험할수 있다라고 경고 할 수 있습니다.
"위험" 과 "바이러스" 혹은 "악성코드"로 진단하는 것은 분명히 다릅니다.
세계적인 백신 카스퍼스키나, 비트디펜더 백신들을 봐도 위험할 수 있는 파일을 경고는 해줍니다. 사용자의 알권리
와 개인정보보호를 위한 선택의 기준으로 정보보안을 하는 사람으로써는 알려줄 의무가 있다고 봅니다.
개인정보를 뽑아가는 것을 위험할 수 있다고 알려주는 것이 정보보안을 하는 사람으로써 잘못된 행동인지요?
이번일에 대한 제가 생각하는 문제점들을 정리해보면 다음과 같습니다.
1. 개인정보를 무단으로 추출하여 수집하고 해당 앱 회사의 웹서버로 암호화도 없이 전송하여 해당 정보를 이용
-> 현재는 업데이트 되었더군요 (업데이트된 내용 여전히 가져갑니다.)
| 앱공지사항에는 하드웨어 고유정보 말고 다른걸 이용한다 하였으나 역시 정보를 뽑아감. 공지사항에 사용자를 우롱하는 거짓을 올려 놓음.  스샷만 아이폰으로 했습니다. 공지는 동일함 새로운 ID 를 사용한다고 했는데, 기존에 개인 스마트폰 정보를 뽑아서 이용한 증권통 앱이 이제는 아닌지 검증이 필요한대 변경된 내용은 다음과 같습니다 기존 암호화 없이 그대로 고유 개인정보를 추출하는것 에서 이렇게 바뀌었습니다. 통신과정에 암호화를 해서 고유 개인정보를 추출로.. 암호화는 일반적인 BASE64의 형상을 띠며, 공개키를 이용하는 다른 암호화로 먼저 암호화를 먼저 하는것 같습니다. 물론 비밀키를 모르니 복호화는 못하겠지만, 굳이 암호화를 깨지 않고도 쉽게 알수는 있죠 키값 찾기전에 BASE64로 인코딩 되기 전의 데이터는 아래와 같습니다. 기존에 이런 방식에서 21 17.669922 192.168.1.123 211.117.62.44 HTTP GET /mobilestock/noticecheck.aspx?device=android&v=37&uid=354636*********---89820************** HTTP/1.1 (일부는 * 로 처리하였음) 이렇게 바뀌었습니다. 58 26.034698 192.168.1.123 211.117.62.44 HTTP GET /mobilestock/noticecheck.aspx?device=android&v=38&uid=GUIDlnyL9RZKnwmU4Jj6ccqKnN2ffX_k9s_iqDXgdnUsMBzyRkEJHgHGo-*********- HTTP/1.1 (일부는 *로 처리하였음) [에뮬레이터에서 확인 값, 아래 값은 에뮬레이터에 할당된값] 08-28 04:30:06.331: INFO/lcw(247): userID=000000000000000---8901410321111******* 정황으로 보아 위 데이터 전달 , 키 전달 -> 전달받은 키로 공개키 암호화 -> BASE64 암호화를 해서 서버로 전달 서버에서 비밀키로 역으로 복호화 사용자 인증 및 사용일 것 같습니다. 즉, 앱에서는 공개키를 전달하고 서버에서는 비밀키가 있겠지요. (뒷자리는 * 로 표시) 통신과정에 암호화 추가한거 빼곤 기존과 달라진것이 없죠? 암튼 기존처럼 빼긴 뺍니다. 나도 사용자고 나는 동의한적이 없다. 왜빼가는가. 동의로 볼만한 알림창을 본적이 전혀없다. 저도 해당 앱 유저로써 말씀드리자면, 구글어카운트 인증이나 다른 인증을 사용해주십시요, 아래에서도 다루겠지만, 해외에 유사한 앱은 구글 어카운트 인증을 하고 있습니다. 왜 하필 저걸로 인증을 하시는지요. |
안드로이드 보안팀의 Nick Kralevich 가 언급한 신뢰할 수 있는 안드로이드 어플리케이션 개발에 필요한 8가지 팁을 보면 좋은 참고자료가 될 수 있습니다.
1. 개인 정보 보호 정책을 유지한다.
2. 퍼미션 사용을 최소화 한다.
3. 데이터 수집 여부를 사용자가 선택한다.
4. 불필요한 정보는 수집하지 않는다.
5. 장치 외부로 데이터를 전송하지 않는다.
6. 필요한 데이터는 암호화처리 및 최소화한다.
7. 이해하지 못한 코드는 사용하지 않는다.
8. 디바이스 또는 사용자 고유 정보를 기록하지 않는다.
http://android-developers.blogspot.com/2010/08/best-practices-for-handling-android.html
1. 개인 정보 보호 정책을 유지한다.
2. 퍼미션 사용을 최소화 한다.
3. 데이터 수집 여부를 사용자가 선택한다.
4. 불필요한 정보는 수집하지 않는다.
5. 장치 외부로 데이터를 전송하지 않는다.
6. 필요한 데이터는 암호화처리 및 최소화한다.
7. 이해하지 못한 코드는 사용하지 않는다.
8. 디바이스 또는 사용자 고유 정보를 기록하지 않는다.
http://android-developers.blogspot.com/2010/08/best-practices-for-handling-android.html
2. [삭제] -> 핵심 키포인트는 나중에 상황에 따라 공개
3. 암호화 없이 전송을 하므로, 해당 데이터들이 최근도 논란이 되고 있는 무선랜 스니핑등으로 무작위로 노출이 될 위험 요소를 가지고 있음
-> 현재는 업데이트 되었더군요.[패스]
4. 해당 회사의 최고 책임자? 부회장님? 암튼 어떤분이 오히려 이러한 프로그램을 백신이 잡는다고 역으로 고함
을 지르고 신변의 위협을 느낄정도의 큰 목소리로 본적도 없는 분이 한 회사의 대표에게 반말등으로 모욕감
을 주었음 ㅜㅜ
5. 해당 회사에 전화를 다시 하여 좋게 해결을 해서 마무리를 지으려고 했지만, 그 회사에서는 앞으로도 계속
브이가드 관련된 기사를 계속 내보낼것이라는 말을 하며, 상황 해결을 거부하였음
-> 지금까지도 계속 기사 올라오는군요, 휴일에도 괜히 기자님들만 고생하는듯.
6. 사실과 다른 내용과 그리고 증권통 앱이 아닌 다른 이슈로 저와 회사에 대한 이미지 실추는 물론이고 기사가
나간 후로 전화만 받았음 ㅜㅜ
7. 전형적인 보안 불감증을 나타내주는 행위를 하였음 . <소 잃고 외양간을 고치겠다는 말>
8. 이용자의 동의라고 간주하는데 개인 이용자인 저만해도 어디 동의 했다라고 볼수가 없음. 약관이 동의창이 있어
야함. <해당업체측에 직접 이런저런 내용으로 동의창을 앱내에서 띄워야지, 사용자는 구글의 경고메세지를
이해하기 어려움이 많음>
9. 해킹이 당하냐 안당하냐, 복제가 되냐 안되냐를 가지고 운운할것이 아닌 개인정보를 평범한 사용자들이 인지
할 수 없는 상태에서 추출 및 서버로 전송하며 암호화 절차도 없는것이 개인정보유출에 대한 문제이다.
-> 지금 이슈에 대해서는 해킹여부는 관심조차 없답니다. 우리가 지금 모의해킹서비스나 관제서비스
해드리는거 아닙니다. 악성코드나 유해프로그램 진단 및 경고 조치입니다. 단지 왜 내 하드웨어 정보를 빼냐
이겁니다.
10. 올바르지 않은 논리로 회사 사업에 대해 왈가왈부.
-> 잘못된 주장을 하시는게 우리는 증권뉴스에서 증시알려주듯 보안경고 해주는겁니다.
우리보고 "왜 니들이 악성코드를 진단하고 연구하냐" 고 했지요?
그럼 왜 그쪽은 증시정보 제공합니까? 각자가 하는 사업분야입니다.
유명한 팍스넷이나 각각의 증권사들이 있는데 왜 하필 증권정보를 제공하냐? 라고 이런 논리죠..
궁금증)
증권통과 유사한 해외 stocks 라는 앱을 보면, 구글 계정을 이용하여 인증을 하는 방식을 사용하고 전혀 하드웨정보를 이용하지 않음, 왜 증권통은 꼭 그것을 이용해야만하는가? 정말로 이해가 안갑니다.
제가 그 증권통 만들었다면 그렇게 안했을겁니다.
불법적으로 최악의 나쁜상황으로 가능한 시나리오로 풀어본다면 혹시 중국 짝퉁폰 업체에 팔아먹으려고 하는가?
시나리오를 저만의 상상을 해본다면... (상상입니다)
건당 만원씩 x 30만명 = 30억원.. ㅜㅜ 이런 나쁜일도 가능할수는 있지요, 이것은 그냥 상상입니다. 어디까지나.
---
화제를 잘 바꾸고, 그러지 않았었으면 합니다. 아까 증권통 앱을 배포하는 이토마토에서 기고를 한 글을 봤습니다.
번외로, 기고하신 그 어떤 익명의 알수없는 분에 대한 아무런 감정이 없지만, 이토마토가 공격을 하니 한마디 올리자면. 리눅스 백신 가지고 말씀하셨는데, 아시다피 리눅스 백신이 있습니다, 그리고 OS는 서버용을 위주로 말씀을 하시고 개인 휴대 단말기용으로 최적화 되서 나온것과는 비교하는것은 말이 안되는것 같습니다. 그리고 루트권한 말고 개인정보 불법 추출 및 사용에 대한것이 팩트였습니다. 단말기 도용보다는 그것을 말한것입니다.
서버는 실제 서비스가 돌아가는 원격 해킹이라던가 웹해킹등에 대한 취약점 방어가 우선이지, 그 안에서 돌아가는
실제로 먼가 행위를 하여 개인정보나 악성코드등에 대한 방어가 개인휴대기기에 비해서는 그다지 많지 않습니다.
그 논리라면 안드로이드폰에 대한 보안컨설팅도 필요하겠군요,
그 기사를 보고 제 생각은 리눅스 콘솔에서 인터넷 뱅킹을 하십니까? 리눅스 서버를 가지고 평상시에 휴대하고
다니면서 사용하시는지요? 기반은 리눅스라 하지만, 엄연히 사용목적이 다른 부분을 가지고 비교를 하는 것
같습니다.
관점이 다른 부분을 리눅스 커널을 사용한다고, 같은 맥락으로 말씀하시는 것은 좀 잘못된 부분이라고 봅니다.
아예 임베이디드 리눅스까지 함께 비교를 안한것이 다행이군요. 리눅스 커널을 사용함에 있는데도 말이죠.
기고하신분은 당당히 우리 사무실로 와주셔서 이런저런 이야기 나눠봤으면 좋겠습니다. 비밀댓글로 연락처 남겨주시면 감사하겠습니다. 대외적으로는 노출절대로 안시키겠습니다.
참고로 읽어보실만한 자료들
영국 BBC 뉴스
IMEI 불법복제 및 테러 및 국가안보 위협하는 범죄 (중앙일보)
전파법 관련 이야기를 다룬 포스팅
IMEI 추출에 관한 한 업체의 메뉴얼 (5페이지 참고)
모토로라 모토로이 메뉴얼 (1페이지 참고) - 제가 사용하는 안드로이드폰 업체
IMEI 변경사용의 한예를 보여주는것
오늘 기사에 대한 내용에 대한 의견
우선 오늘 나간 이토마토 기사에 대한 의견 몇가지
<기사 위에 내용들 이미 많이 이야기했고, 말해봤자 입만아프고, 우리가 범죄단체로 규정한적없고, 모든앱을 가지고 말하는것도 아니니. 패스.>
IMEI란 휴대폰 본체에 적인 일련번호로 폰 분실 때 악용을 막기 위한 식별고유값이고, 폰 본체는 물론 포장케이스에 적혀 있기도 하다. -> 있는 경우도 있겠지만 나는 본적이 없다.
그리고 분실해서 유출되나 추출해서 사용하나 똑같은거 아닌가?
또 USIM 시리얼넘버는 칩 외부에 적힌 식별번호로 칩 내부에 암호화된 개인정보와는 무관하다. -> 암호화된 개인정보를 가지고 머라고 한적이 없다. 갑자기 또 새롭게 튀어나오는?
KT 관계자는 “USIM 복제는 시리얼넘버나 IMEI를 알더라도 불가능하고 유심이 복제된 사례도 없다”며 “그렇게 중요한 정보라면 왜 휴대폰과 유심에서 누구나 이 정보를 볼 수 있게 해놨겠냐”고 말했다. -> USIM 복제에 대한 부분을 가지고 머라하는 것이 아니다. 이 말은 또 갑자기 튀어나오는 말?
SK텔레콤 관계자는 “3세대 이동통신단말기에 유심을 도입할 때 이런 문제가 없는 지 확인한 결과 전혀 문제될 것이 없었다”며 “시리얼넘버나 IMEI로 도대체 어떻게 휴대폰을 복제할 수 있다는 것인지 모르겠다”고 말했다. -> 해본적이 없고 본적이 없고 모르겠다는 것같다. 그리고 유심 도입이 잘못되었다는 말이 아니다. 증권통앱에서 굳이 꼭 가져가지 않아도 되는 정보를 가져가는 것을 문제점을 지적한것이다. 왜 굳이 그 인증방식을 이용하는지를..
<해당 기자님은 저희 사무실에 오셨던 매력적이신 여기자님이 쓰셨군요, 라섹수술때매 고생하시던데.빠른쾌유 빌겠습니다. 다음에 좋은얼굴로 식사한번 하시지요, 이 이슈가 끝나고요~>
이상 더 이상의 포스팅은 생각이 없습니다.
사업에만 전념할 것이며, 부디 이일이 좋은 관계로 잘 풀렸으면 좋겠다는 생각을 합니다.
긴 장문의 글 두서 없이 읽어주셔서 감사드립니다. <마무리글이 좀 매끄럽지 않아서 수정함>
END
이를 기반으로 패턴파일을 분석한 결과, 20여 건의 휴대폰 정보수집 악성코드를 발견했다고 회사측은 설명했다. 
