공공장소 무선랜 위험, 컴퓨터 보안업뎃하세요, 공유기 비번바꾸세요, 아무데나 개인정보뿌리지 마세요, 로그인하기 불편해도 보안을 우선하세요하는 해킹 이야기

100%라는 것은 있을 수 없는 것이 보안. 

그것이 코딩 실수나 악의적인 코딩이 원인이든, 아니면 컴파일러나 운영체제의 결함이든, 아니면 망설계상 편익과 불편을 저울질한 결과이든, 아니면 값싼 공유기와 IP카메라를 찾다가 제발로 걸어들어간 도둑놈 소굴이든 간에, 사람들은 교통사고확률보다 높은 해킹피해 확률을 감수하거나 의도하지 않았지만 당하고 있다......

 

저도 옛날에는 개인정보나 로그인정보같은 게 들어간 이미지나 텍스트는

스크린샷을 찍거나 사진찍어 보관하거나 누구에게 MSS로 보내거나 클라우드에 보관하기를 매우 꺼렸습니다.

하지만 언제부터인가 저도 하고 있더라고요. 쩝..

 

언제나 그렇듯 요약하고 인용하면서 생각나는 잡담도 덧붙여놓습니다.

 

 

얼마나 쉽길래.. 와이파이 그냥 접속만 해도 30초면 해킹 '가능'│우리는 해킹에 얼마나 노출되어 있을까?│과학 다큐 비욘드│#골라듄다큐

EBS Documentary 2022.12.

https://www.youtube.com/watch?v=u41uyMsoiH0

.

.

.

.

.

 

광장에서 와이파이로 접속하는 사람들의 패킷을 훔쳐, 포털서비스에 해커가 로그인하는 실험. 이메일과 클라우드 계정에 로그인하고 보관된 이메일, 가족사진, 신분증과 보안카드 사진찍은 것 등을 다 보여준다.

 

 

 

모두 백신프로그램을을 설치한 지원자들, 하지만 전문가가 그 사람들의 노트북을 검사하니, 백신프로그램에 걸리지 않고 설치돼있는 악성코드가 있었다!

 

백신을 깔았는데도 어떻게 깔려있는 악성코드를 해커가 외부에서 발견하고는, 그걸 외부에서 건드려 그 컴퓨터에 깔려 있는 파일, 예를 들어 공인인증서를 탈취하는 실험.

 

 

 

그리고 피해자의 노트북을 실시간 해킹해 원격조작하는 보안전문가 시연.

노트북의 웹캠, CCTV, IP캠은 보안이 취약하고 피해도 크다.

 

해킹의 대부분은

ㅡ 제품 초기비밀번호를 바꾸지 않고 사용하는 경우. 인터넷 공유기 대부분.

ㅡ 제조사가 관리를 허술하게 해 취약점이 노출된 제품이나, 아니면 아예 제조사가 악성코드를 심어 영리목적으로 악용하는 IP캠을 구입한 경우. 특히 중국산.

이런 것이 해커가 침투해 컴퓨터를 좀비로 만들고 데이터를 빼가는 시작이 된다.

 

그 다음, 약 10분쯤부터 랜섬웨어 사태 이야기.

 

랜섬웨어 감염 시연 / 기업화된 국제 해킹조직

단 몇 초만에 감염, 암호화.

 

 

피해는 개인에 멈추지 않는다.

경전철 시스템이 랜섬웨어에 해킹돼 도시가 마비된 샌프란스시스코 사례.

 

 

제로데이 취약점

"보안패치 좀 하세요"

가짜로 회원가입에서 사기대출까지.

 

 

 

편리해서 쓰는 무선 인터넷 공유기…모의 해킹 해보니 "5분 만에 뚫려" / KBS 2024.06.07.

 

https://www.youtube.com/watch?v=_rE9mf4x368

.

.

.

.

.

 

로그인 아이디와 비밀번호가 유출돼 해커가 로그인할 수 있게 되면,

컴맹 일반 이용자가 생각하는 것은 기껏해야 공유기 설정을 멋대로 고쳐 골탕먹이는 것이지만,

해커는 훨씬 많은 일을 할 수 있다. 

공유기를 오가는 데이터를 훔쳐 이용자인 척 가장해 금융사고를 일으킬 수도 있고, 개인정보를 훔쳐 팔 수도 있고, 당신인 척 가장해 SNS에 로그인해 욕설을 남기거나 사고칠 수도 있다.

 

 

해커, 창과 방패 - 블랙해커와 화이트해커, 그 창과 방패의 대결 [다큐S프라임] / YTN 사이언스.. 2021.1

교양프로그램

https://www.youtube.com/watch?v=B933_02gqXU

.

 

.

.

.

.

 

우리나라에 고속인터넷망이 막 깔리고 전자정부화가 시작되던 1999년.

불법파일공유서비스를 통해 퍼진 전국의 Win32-CIH바이러스 사태. 

2003년 슬래머 웜 대란은 SQL취약점을 이용해 전세계의 서버를 공격한 망접속 공격.

2009년 주요 정부기관 및 언론사 서버를 대상으로 한 전세계적인 디도스 공격.

 

랜섬웨어

스피어피싱...

특정 기관, 조직에 근무하는 내부자가 받아 깔도록 타게팅한

이메일을 통한 유포가 많아.

그 다음에는 SW업데이트를 빙자한 것 등.

 

2008년 옥션 해킹사건. 무료 서버프로그램인 아파치 관리잘못. SW설치 후 초기 비번을 안 바꾸고 쓰다 당함. 해커들은 시판/ 공개된 기계와 소프트웨의 초기 비번목록을 가지고 있어서 그걸로 찔러본다.

당시 법령미비로 옥션은 개인정보를 도둑맞은 피해자들에게 배상하지 않았다. 지금은 법령이 있기는 있다. 하지만 개인입장에서는 데이터 유출이 피해로 구체화되면 너무 크다.

 

 

직접적으로 칼들고 찌른 건 해커지만,

전세계 어디에 있는지 모르는 해커보다는 회사가 소송의 대상이 된다.

 

다크웹에서 유통되는 개인정보와 로그인 정보.

크리덴셜 스터핑

 

 

 

 

15분쯤부터 어느 화이트해커 크리에이터의 이야기.

그 다음부터 정보보안서비스기업들의 이야기.

암호화 연구 등.

 

 

 

 

인터넷 잠깐 사용했을 뿐인데 카메라, 사생활까지 털어가는 해킹 기술 수준?│공용 와이파이 절대 사용하면 안되는 이유│과학 다큐 비욘드│#골라듄다큐

EBS 2024

https://www.youtube.com/watch?v=Z2DBmxsYOEA

.

.

.

.

.

 

46분짜리 동영상인데,

시작부분은 가상 시나리오입니다. 이런 식으로 개인을 파멸시키는 영화 이야기.

하지만 실제로 일어난 적 있는 사건들이 한 사람을 피해자로 모이면 저럴 수 있다는 섬뜩한 이야기에서 시작.

 

첫 피해사례는 저학력자도 아닌 어느 대학원생 이야기,

"동시에 두 군데 은행앱을 사칭하며 보안업데이트 경고 알림이 뜨고, 연달아 뜨는 알림대로 깔라는 앱을 깔고 또 깔고 개인정보를 입력하고 계좌번호와 보안카드비번을 입력하라는 대로 입력했더니 은행계좌가 텅텅"

 

 

 

입사지원서를 가장한 악성코드.

첨부파일을 여는 순간 아웃

피해자 본인은 자기가 중요한 사람이 아니라고 생각할 수 있지만, 해커에게 당신은 중요한 도구일 수 있다.

 

개인정보가 유출돼도 사람들은 거의 모른다. 그리고 알아도 심각하게 생각하지 않는다.

 

8분 30초쯤부터의 내용이 이 글에 메모한 첫 번째 EBS영상.

 

 

SW취약점 공격: 교통사고를 유발하는 자동차 해킹 

30분부터, 2010년에 자동차 해킹 논문을 쓴 교수와의 인터뷰와 시연. 2015년 공중망을 건너 남의 자동차 인포테인먼트 시스템을 해킹하는 와이어드 시연 영상.

 

 

 

 

사회 인프라 공격

 

예전에는 스턱스넷

최근에는 러시아의 우크라이나 전력망 공격

 

컴퓨터, 마이컴이 어디에나 있는 현대 공장.

보안을 위해 내부망과 외부망을 분리하지만,

USB메모리에 넣은 해킹 프로그램이 내부망의 컴퓨터 포트에 꽂히는 순간, 펑.

 

 

병원이라면 더 끔찍한 일이 생길 수 있다.

비행기를 해킹해 항공사고를 유발할 가능성도 시연된 지 오래다.

 

해킹은 막을 수 없는가?

아직 모른다.

 

전문가 "십만 양병설"이 그 다음 이야기.

 

 

이런 걸 보다 해보는 잡담.

망치는 내 손을 때리지 않는데
스마트망치가 해킹때문에 내 손을 때릴 가능성은 왜 0으로 못 만드는 걸까?

 

 

버퍼 오버플로우 취약점은 결국 컴파일러개선으로 해결할 수 있었지 않냐고 생각하면, 성능을 위해 보안을 포기한 철학이 "거시기가 아니냐"는 식으로 궁금해지기도 하는데..

 

 

제로데이 취약점과 버그바운티 제도

 

 

제로데이취약점을 찾기가 쉽지 않고, 아무도 모를 때 찾은 사람은 대가를 주어야 신고를 잘 할 테니까, 큰 회사와 정부기관들은 버그바운티 제도를 운영하기도 한다. 공개하지 않고 신고하면 보상금을 주고, 해킹대상으로 똑같은 서버를 마련해 놔두고 해킹대회를 열어 보상금을 주고 취약점을 찾는다.

 

 

시스템의 결함이나 해킹시도를 찾아내고 자동으로 대응하도록 하는 SW도 개발 중.

(요즘은 생성형AI가 이런 데도 쓰이지 않을까)

 

 

‘스마트홈 CCTV’ 해킹에 취약…막을 방법 없나? 2017년 KBS

IP카메라 수천 대 해킹

누구나 따라할 수 있을 만큼 간단한 수법

https://www.youtube.com/watch?v=AYM2ofxy9wg

.

.

.

.

.

 

특히 해외직구하느 저가형 IP캠은 대충 코딩하거나 저성능 하드웨어에서 동작하도록 가볍게 만들다가 보안문제가 아주 취약하거나 제작사를 신뢰할 수 없다. 원격감시, 조작 프로그램 자체가 나만이 아니라 외국의 제3자도 보고 녹화할 수 있게 만들어져있는 것이 꽤 된다. 그런 걸 모아 외국 SNS에 올리고 돈받는 사람도 있다.

IP카메라는 필요한 경우에만 사용.

구입하면 계정이름과 비밀번호 등 바꿀 수 있는 것은 다 바꾸고 복잡하게 만드는 것은 기본 교양.

스마트폰은 물론 로봇청소기도 카메라달린 것이 있고, 노트북에 깔린 악성코드도 웹캠을 조작할 수 있다.

 

사물인터넷 기기(IoT)는 꼭 필요한 기능만 필요할 때 사용할 것.

켜져만 있는데 배터리가 뜨끈해진다? 몰래 동작중일 수 있다.

제품에 따라서는 꺼져있는 것 같아도 정보를 수집하는 게 있다.

 

부산경찰청, 공익광고로 만든 가짜몰카 영상.

 

 

 

 

[#샷추가] 공공 와이파이는 거의 해킹된다? 국가보안 천재 해커가 말하는 해킹 수법&예방법까지 | #유퀴즈온더블럭 TvN 2022

https://www.youtube.com/watch?v=IY6FHhRry_I

.

.

.

.

.

공공장소 와이파이는 해커들이 자동툴돌린다고 생각하고 조심해서 써라.

해킹은 몇 초 몇 분 안에 전화기나 컴퓨터로 금방 해내는 게 영화속 이야기지만, 만약 정말로 나쁜 놈이 당신이나 당신 회사를 노린다면 다크웹에서 당신 정보를 구입하고 몇 주 몇 달까지 달라붙어 당신을 감시하고 여기저기 찔러보고 문자, 전화, 이메일로 낚시질하기도 하면서 빈틈을 찾아낸다.

 

 

 

국내외를 막론하고 IP캠 해킹으로 남의 집을 들여다보고, SNS에 멋대로 올리고, 마이크와 스피커달린 IP캠을 해킹해 해커가 주인에게 경고하거나 협박하기도 한다.

 

요즘은 사회공학적 해킹을 조심해야 한다.

해킹이 엄청 고급기술을 퍼부을 것 같지만, 물어봐서 대답해주고 사람대 사람으로 접근해서 반응을 알 수 있는 정보라면 왜 힘들게 코딩하겠냐... 예나 지금이나 얼굴뻔뻔하게 접근하는.. 그래서 생판 모르는 사람에게 악성앱/코드를 심은 이메일, 문자, 어수룩하면 직접 등쳐먹는 데 쓰(고 아니면 성문이라도 도둑질하)는 보이스피싱..

 

 

 

 

 

많이 길어졌네요. 혹시 나중에 주제별로 살을 덧붙인다면 글을 분리해야겠습니다.

검색가능하도록 해당 유튜브 영상의 제목을 그대로 붙여놓습니다.