● 1차 수정 : 2016년 2월 9일 - 내용 추가 및 전체 공개
● 조치 내용 : 2016년 2월 11일 - 한국인터넷진흥원 사이버침해대응본부 취약점 담당자를 통해 제조사에 취약점 조치 요청 완료
최근 정부 기관(go.kr) 도메인 사이트에서 ActiveX 배포 방식으로 설치되고 있는 키보드 보안 솔루션을 살펴보던 중 설치 과정에서 키보드 보안 솔루션의 인증서 개인키 비밀번호가 노출된 상태로 설치되는 부분을 확인하였습니다.
설치 과정을 살펴보면 사이트 접속시 키보드 보안 솔루션을 ActiveX 방식을 통해 easy******.cab 파일을 다운로드하여 설치가 진행됩니다.
CAB 파일을 내부를 확인해보면 2015년 7월 27일에 추가된 Easy******Cab.exe, *****tec_ExeCab.inf 2개의 파일이 압축되어 있으며, 설치시 EXE 파일 실행을 통해 다음과 같은 임시 파일 생성이 이루어집니다.
그런데 임시 파일 중에 인증비밀번호.txt 문서 파일이 생성되는 행위를 확인할 수 있으며, 이후 솔루션 설치가 완료되는 시점에서 관련 파일 일체가 자동으로 삭제되는 것을 알 수 있습니다.
의심되는 인증비밀번호.txt 문서을 확인해보면 평문으로 입력한 매우 유추하기 쉬운 "영문+숫자"로 구성된 비밀번호가 노출되고 있으며, 해당 비밀번호는 2014년 1월 21일에 생성되어 일정 기간 사용되었던 것이 아닌가 의심됩니다.
실제 키보드 보안 솔루션에서 사용되고 있는 인증서 비밀번호인지 확인을 해보면 2015년 12월 13일경 인증서가 만료되었음을 알 수 있습니다.
하지만 해당 인증서 개인키는 실제 키보드 보안 솔루션에서 사용하였던 유효한 개인키임을 확인할 수 있었다는 점에서 그동안 보안감사에서 적발되지 않고 2년 가까이 인증서 개인키를 부실하게 관리하고 있었다는 점에서 문제가 심각하였던 것으로 보입니다.
진짜 어처구니 없는 일이네요. IT강국은 무슨... 아직도 액티브 엑스 안 쓰면 큰일 나는 줄 아는데
ActiveX와는 별 관계는 없지만 키 비밀번호를 저렇게 관리할 바에는 서명의 의미가 전혀없는거죠.ㅠ
오히려 저렇게 관리하다가 역으로 자신의 인증서가 타인에게 악용되는데 사용될 수 있거든요.
이런 문제도 있었군요.마지막 휴일도 잘보내세요
IT강국은 개뿔 속도만 빨라,인터넷 요금이 싸고
해외는 보안문제시 기업이 책임을 지고...
국내는 보안문제시 개인치 책임을 지게 됩니다.....
책임전가..
비밀댓글입니다
말씀하신 부분에 대해서는 편집을 다시했습니다. 조언 감사합니다.