차이나 케이블스 China Cables

내가 볼 때는 꽤 중요하게 다루어야 할 사건인데, 국내에서 거의 화제가 안 되는 듯 하여, 걍 포스팅해본다. ㅎㅎ

경위는 불명하지만, 중국에서 신장 위구르 사람들을 집단 강제 수용하고 세뇌하는 과정을 담은 기밀문서가 유출된 모양인데, 이른바 China Cables로 불리고 있는 듯 하다. 다국적 탐사언론 단체인 ICIJ에서 정리하고 있는 모양인데, 과거 파나마 페이퍼스[1]와 파라다이스 페이퍼스[2] 사건때 뉴스타파에서 다루었던 만큼, 국내쪽은 뉴스타파에서 시리즈 기사[3~7]로 다루고 있다. 그 밖에 BBC 한국어 기사[8]에서도 다루고 있어 참고할만 하다. 영국쪽 기사화는 BBC와 가디언이 맡은 모양인데, 그 기사가 한국어로 변역된 듯 하다. ICIJ 홈페이지에서도 특집 사이트[9]가 개설되어 있던데, 기사가 많아서 다 보지는 않았다. (게다가 영어 울렁증이-_- ㅋ)

BBC는 별도로 교화 시설에 들어가서 촬영까지 한 모양인데, 기사[8]에서 영상을 볼 수 있다. 와 범죄할 사람을 미리 알아내서 잠재적 범죄자를 가둔다는 이야기를 들으니, 21세기에 SF적 디스토피아를 진짜 실현할 줄은 몰랐다. 1984가 따로 없구만. 뭐 일전에 홍콩 서점 주인의 연쇄 실종 사건[10]도 있었고, 위구르와 티벳 탄압 이야기[10]는 간간히 들어서, 중국의 국가적 부도덕성을 짐작 못하는 건 아니었지만, 확실히 기사로 보니 진짜 심하다.

뉴스타파에서 중국이 zapya라는 앱[12]을 이용하여 사람들을 감시하고 있는 듯 하다는 정황증거에 대해 이야기 하는데[4], 이게 어떻게 가능한건지 궁금해진다. 보니까 국내에서도 쓰는 사람 많아 보이는데, 매우 찜찜한 앱이 아닐 수 없다. 여하간 쓰고 있는 분들은 일단 빨리 삭제하는 게 몸에 좋을 듯-_-

개인적으로 궁금한 부분은 유출경위인데, 중국 공산당도 매우 궁금해 할 듯 하다-_- 과거에는 위키리크스와 같이 비교적 공신력이 떨어지거나, 제보자 노출 가능성이 있는 위험한 방법으로 폭로를 했는데, 매닝이나 스노든을 거치면서 점점 제보자 보호가 잘 되는 듯 하다. 일전에 파나마 페이퍼스[1]와 ICIJ가 만들어지기 까지의 과정을 담은 오버마이어 형제의 책[13]을 보니, 진짜 목숨걸고 힘들게 문서를 전송하던데, 아마 이번 차이나 케이블스의 문서도 비슷하지 않을까 짐작한다. 그 용기에 경의를 표한다.

본 블로그에서 NSA와 CIA 욕을 많이 하긴 했지만, 그 부도덕성과 패악의 정도는 중국과 비교할 수 있을 정도는 아니다. 근데 이 탄압 문제를 마땅히 해결할 방법이 없다는 게 더 문제 아니겠나 싶다.

.


2019.12.3
extreme tech Leaked: How Chinese Use AI, Apps for Mass Incarceration, Internment December 2, 2019 at 9:05 am

.


2019.12.7
아시아투데이 中, 미 신장인권법에 강력 반발, 양국 갈등 심화 2019. 12. 04. 15:37

.


[1] 내 백과사전 Panama Papers 2016년 4월 6일
[2] 내 백과사전 Paradise Papers 2017년 11월 8일
[3] 뉴스타파 [차이나 케이블스]① 중국 기밀문서 폭로…알고리즘으로 위구르족 체포, 구금 2019년 11월 25일 07시 00분
[4] 뉴스타파 [차이나 케이블스]② ‘모바일 앱으로 각개 감시’…중국이 위구르족을 가두는 법 2019년 11월 25일 07시 00분
[5] 뉴스타파 [차이나 케이블스]③ 중국극비문서 Q&A: 위구르족의 시련 2019년 11월 25일 07시 00분
[6] 뉴스타파 [차이나 케이블스]④ 위구르족 탄압 중국 기밀문서 원문 공개 2019년 11월 25일 07시 00분
[7] 뉴스타파 [차이나 케이블스]⑤ “중국으로만 보내지 마세요”…한 위구르인의 편지 2019년 11월 25일 07시 00분
[8] BBC 신장 위구르: 중국이 위구르 무슬림을 어떻게 세뇌하는지가 문서 유출로 드러났다 2019년 11월 25일
[9] china cables (icij.org)
[10] 내 백과사전 홍콩 서점 관계자들의 의문의 연쇄실종 2016년 1월 6일
[11] 내 백과사전 티벳 독립을 위한 분신자살 2013년 1월 26일
[12] Zapya – 파일 전송 및 공유 (google playstore)
[13] 내 백과사전 [서평] 파나마 페이퍼스 – 전 세계를 뒤흔든 폭로 이야기 2017년 12월 10일

스노든 회고록 Permanent Record의 서문 전문 번역

근래 스노든이 회고록 Permanent Record를 썼다는 이야기는 이미 오래전에 알고 있었는데, 보안뉴스에서 그 서문 전문을 번역해서 공개하고 있다.[1] 개인적으로 흥미가 가는 책이고, 해외에서는 꽤 화제가 되고 있는데 국내에서는 별로 화제가 안 되고 있는 듯 하여 포스팅해 봄. 화제성과 시사성이 높으니, 아마 국내에 역서가 출간되지 않을까 싶은데, 만약 출간되면 즉시 구매해서 볼 예정이다. ㅎㅎㅎ

지금 보니, 때마침 슈나이어 선생의 블로그[2]에서도 마침 이 책 이야기를 하고 있구만. ㅎㅎ

.


[1] 보안뉴스 [주말판] 문제의 스노든 회고록, 서문 전문을 살펴보니 2019-09-21 15:06
[2] Edward Snowden’s Memoirs (schneier.com)

세계 도시별 인구 1000명당 감시카메라 수(2019)

해커 뉴스[1]를 보니 Comparitech라는 회사가 조사하여 공개한 데이터[2] 이야기가 있길래 함 봤다.

세계 도시별 인구 1000명당 감시카메라 수 랭킹을 올려 놨던데, 1위는 1000명당 168.03대인 충칭시라고 한다. 다들 예상하시겠지만 1부터 5위까지가 전부 중국 도시다-_- 당연하다면 당연한건가. 6위는 런던이고, 7,8,9위도 모두 중국 도시다. ㅋㅋㅋㅋㅋ 참고로 서울은 1000명당 3.8대로 34위에 랭크되어 있다.

영국은 IRA의 활동 때문에 대테러 활동에 대해 상당히 빡빡하다고 들은 적이 있다. 10년전에 영국에서 경찰관이나 군인을 사진으로 찍으면 반테러법에 의해 처벌되는 법이 통과돼서, 사진작가나 애호가들이 강하게 반발하고 있다고 BBC 기사[3]를 본 적이 있는데, 지금은 어떨라나 모르겠구만. ㅎㅎㅎ IRA도 검색해보니까 계보가 여러 갈래 있어서 복잡하더만.

일전에 중국에 만연한 감시카메라에 대한 현장 사진들[4]을 봤는데, 진짜 카메라 초 많네-_- 근래 발전하는 안면인식 기술과 더불어 중국은 완전 빅브라더 감시사회가 된 게 아닌가 싶다.

홍콩 시위자들이 다쳐서 병원에 후송될 때, 병원 진료 데이터 시스템의 백도어를 이용하여 중국 공안들이 환자를 검거하고 있다는 소문[5]을 들으면 소름이 쫙-_-

.


2019.8.29
테크크런치 China’s CCTV surveillance network took just 7 minutes to capture BBC reporter 3:50 pm KST • December 14, 2017
작년 기사임.

.


2019.11.9
이코노미스트 A lawsuit against face-scans in China could have big consequences Nov 9th 2019

.


[1] The world’s most-surveilled cities (hacker news)
[2] The world’s most-surveilled cities (comparitech.com)
[3] BBC Photographers angry at terror law 15:04 GMT, Monday, 16 February 2009
[4] 안면인식 감시사회 중국 (estimastory.com)
[5] Hong Kong Free Press Police can access full details of injured protesters in hospital, says medical sector lawmaker following patient arrests 17 June 2019 22:58

카자흐스탄의 개판 인터넷

오늘 해커 뉴스[1]를 보니 카자흐스탄의 모든 ISP에서 정부가 발급한 보안인증서를 제공하면서 https 트래픽 전체를 중간자 공격하고 있다는 이야기[2]가 돌고 있다. 헐-_- 현재 게시글[2]이 올라온지 만 하루가 되지 않은 시점이라 확실치 않은 부분도 있을 듯 하지만, 진짜라면 와~~ 유사국가 수준이구만.

카자흐스탄에 살고 있다는 어떤 사람이 쓴 댓글에, 주요 메이저 브라우저들이 이 인증서들을 배제하면 도움이 될 듯하다는 내용이 보인다. 카자흐스탄 정치는 잘 몰랐는데, 소련 독립 후 집권한 초대대통령 Nursultan Nazarbayev가 30년 집권한 후, 얼마전에 물러나고 그 최측근이 선거에 압승했다고 한다.[3]

인증서 하니까, 일전에 한국전자인증에서 시만텍 이름으로 엉터리 인증서를 발급하는 바람에 크롬 브라우저가 시만텍 인증서들을 배제하면서 난리난 사건[4,5]이 생각나는구만. 지금 검색해보니 결국 시만텍은 구글을 설득하는 데 실패하고 인증사업도 매각해 버린 듯 하다.[6] 한국전자인증 하면 공인인증서로 꿀장사 하던 회사인데, 그 사건 이전부터도 이미 별로 안 좋게 보고 있었다.

해커뉴스[1] 댓글을 대충 보는데, 카자흐스탄은 ISP가 막 마음대로 사용자가 방문하는 사이트에 광고를 끼워 넣는 짓도 하는 듯-_- 진짜 개판이다. 행여나 카자흐스탄에 방문하시는 분들은 여러모로 보안점검을 잘 하셔야 할 것 같다. ㅎㅎㅎ

.


[1] MITM on HTTPS traffic in Kazakhstan (hacker news)
[2] MITM on all HTTPS traffic in Kazakhstan (bugzilla.mozilla.org)
[3] 경향신문 카자흐, 30년 1인 독재 후 대선…결국 전 대통령 최측근 ‘압승’ 2019.06.10 21:29
[4] 지디넷 구글의 ‘시만텍 불신’ 빌미 된 한국 파트너 2017/03/31 15:52
[5] 보안뉴스 시만텍과 구글, 한국전자인증의 인증서 소동…팩트는 이것 2017-03-30 17:30
[6] 보안뉴스 시만텍은 왜 인증 사업 매각했나? 그 파급력은 무엇일까? 2017-08-04 11:02

페이스북의 이미지 메타데이터 추적

페이스북의 사용자 추적은 악명이 높은데, 심지어 어카운트가 없는 사람들까지도 추적하고 있다고 해서 화제가 된 적[1]이 있었다. 이건 아마 쿠키를 추적한 듯 하다.

다른 사례로 언제부터인지 페북에 url을 링크하면 그 url 뒷부분에 fbclid 값을 자동으로 추가하던데, 이를 통해 링크가 어떻게 퍼지고 사람들이 링크를 어떻게 소비하는지 과정을 쉽게 추적할 수 있게 된 것 같다. 물론 본 블로그에서 제공하는 모든 링크들에는 fbclid가 제거되어 있다. ㅎㅎㅎ

오늘 해커 뉴스[2]를 보니 페이스북에 업로드한 이미지에는 페이스북에서 특별히 추적할 수 있는 메타데이터를 자동으로 삽입한다고 하는 트윗[3]이 언급된 것을 봤다. 와 페이스북 이 쉐이들 쫌 똑똑한 것 같다. ㅎㅎㅎ 이미지의 메타데이터 부분에 FBMD로 시작하는 문자 데이터열이 삽입되는 듯 하다.

4년전의 stack overflow 글[4]이 있는 걸 보면 이걸 시작한지는 상당히 오래된 듯. 이 글[4]에서 이미지 메타데이터를 볼 수 있는 Jeffrey’s Image Metadata Viewer라는 사이트[5]를 소개해 놓았던데, 본인도 예전에 받은 페북 이미지를 업로드해서 확인해보니, 역시나 FBMD로 시작하는 메타데이터 문자열이 들어있었다.

일전에 중국의 빅브라더 이야기[6]도 했지만, 원래 기술 대기업들은 사용자의 모든 데이터를 원한다. 요새 뜨는 기술들 중에 안구 추적을 연구하는 종류가 있다고 하던데, 아마 페북 등의 대기업들은 웹서핑 도중에 눈동자가 어디로 돌아가는지 실시간 추적하는데도 관심이 있을 듯. 이를 통해 사람들의 행동양식과 생활패턴을 추적하고, 어느 상황에서 지름신을 영접하고-_- 어느 상황에서 지불에 대한 저항을 갖는지에 대한 추적이 가능할 것 같다.

뭐 어디까지나 내 상상이지만, 각 개인별로 무슨 상황에서 뭘 보면 지갑을 여는지에 대한 궁극의 맞춤 설정 같은게 실현되면, 저축같은 건 아마 점점 더 하기 힘들 듯. ㅎㅎㅎㅎ

여하간 나날이 발전하는 페북의 잔머리에는 언제나 혀를 내두른다. 얼마전에는 Libra라는 걸 만들어서 세계 은행시스템을 통째로 몽땅 건너뛰고 개인-개인 간의 금융거래가 가능한 범세계적 플랫폼을 구축하려는 야심도 선보이던데, 이것 때문에 파월 의장님께서 좀 불편하신듯-_-[7] 앞으로 페북이 세계를 어떻게 바꿀지 흥미진진하다. ㅎㅎㅎ

.


2019.8.2
코인데스크 페이스북 “리브라 출시 포기할 수도 있다” 2019년 7월 31일 11:00

.


2019.9.4
이코노미 인사이트 ‘한 달 천하’ 페이스북 암호화폐 발행 2019년 08월 01일 (목)

.


[1] 로이터 Facebook fuels broad privacy debate by tracking non-users APRIL 15, 2018 / 8:04 PM
[2] Facebook is embedding tracking data inside the photos you download (hacker news)
[3] https://twitter.com/oasace/status/1149181539000864769
[4] IPTC metadata automatically added to uploaded images on Facebook (stackoverflow.com)
[5] Jeffrey’s Image Metadata Viewer (exif.regex.info)
[6] 내 백과사전 중국의 신용등급 문화와 빅브라더 2016년 12월 3일
[7] 로이터 Fed chief calls for Facebook to halt Libra project until concerns addressed JULY 10, 2019 / 11:58 PM

SNI 필드 차단 논란

이야, 이런 기법이 있는 줄 처음 알았네. 방통위가 사람을 공부하게 만든다. ㅋㅋㅋㅋ 역시 사람의 인생은 유한하고, 공부해야할 지식은 무한하다.

과거 2011년에 Ars Technica에서 모든 http 트래픽을 https로 바꾸자는 주장[1]을 본 적이 있는데, 그때만 하더라도 https를 쓰는 사이트가 극히 일부였고, 좀 실현이 어려운 황당한 주장이라 생각했다. 근데 스노든 사태 이후로 점점 위키피디아, 구글 등등 메이져 사이트들이 https로 바뀌더니만, 이코노미스트지나 알 자지라 같은 각종 언론사이트도 바뀌고, 이후에 국내 포털사이트들까지 바뀌더구만. 헐… 기업별로 암호화 의식 수준이 확장되는 속도를 목도할 수 있었다. 하지만 중소기업들은 아무래도 https로 바꾸는 일이 드물다.

여기 워드프레스 닷컴도 2015년 쯤에 https로 바뀐 걸로 기억한다. 본 블로그는 우측 하단의 이미지 배너들 때문에 보안상 안전하지 않은데-_- 뭐 이 블로그는 불법 사이트도 아니고, 공신력있는 사이트도 아니고, FBI가 이걸로 추적[2]하지도 않을 듯하니 걍 넘어갑시다. ㅎㅎㅎㅎ 비암호화 혼합컨텐츠는 보안상 문제가 있는데, 요새는 알라딘 같은 도서사이트도 혼합컨텐츠 없이 https 페이지를 제공하고 있어 마음에 든다. ㅎㅎ

근데 TLS 1.2이하 버전에서, https의 보안상 허점 중에 SNI 필드를 평문으로 전송하는 부분이 있는 듯 하다. 이 보안상의 허점을 활용(?)하여, 방통위가 https 사이트를 검열한다는 논란이 일고 있는 듯 하다. 왠지 IT 동아 기사[3]가 뭔진 몰라도 볼만하다. TLS 1.3부터는 SNI도 암호화 전송이 되어서 방통위의 SNI 차단 방식이 불가능한데, 아직 거의 쓰이지 않는 상황인 듯 하다. TLS 1.3이 공식발표 된게 작년 8월인데[4], 아직은 확산중인 듯. 유튜브의 뻘짓연구소[5]에서도 나름 잘 설명하고 있다.

원래 정부는 국민을 감시하고 싶어하는게 기본 속성이다. 프라이버시와 자유주의 사상을 가진 세력과 힘의 균형을 이루어 어느 지점에서 사회적 합의를 찾는게 중요하다고 본다. 극도로 자유주의적이고 정부 권력이 없는 아나키즘적 사회부터, 국민이 똥싸는 것 까지 감시하는 북한식 오웰리언 사회 사이에, 사회가 어느 위치에 결정되는지는 합의가 필요한 게 아닐까 싶다. 지난 2012년 국제 전기통신 연합에서 주최하는 비공개 컨퍼런스[6]가 생각나는데, 이 때 한국정부는 중국/러시아/사우디아라비아 등의 국가들과 같이 인터넷 통제를 지지했었다.[7,8] 그 때는 쥐새끼 정권-_- 시절이라는 변명도 통했지, 지난 2016년 테러방지법 필리버스터까지 했던 민주당 정권에서 이런 걸 추진하니 아주 똥같다.

워닝.or.kr도 그렇고 사이트 필터링 자체가 마음에 안 들었는데, 뭔가 보안상의 허점을 활용하는게 더 마음에 안 든다. 기본적으로 중국의 황금방패 차단과 비슷한 방법이라는 것도 마음에 안 든다. 어차피 TLS 1.3이 확산되면 작동도 안 될 방법인데, 그 때는 차단을 빌미로 뭘 하려고? 일각에서는 메타정보만 수집하기 때문에, 개인정보가 침해될 일이 없다고 보는 사람도 있던데, 이건 스노든 사태때 NSA가 변명하던 소리[9,10]와 똑같다. ㅎㅎ 글렌 그린월드씨의 말[10]을 곱씹을 필요가 있다. 방통위를 믿어달라는 주장도 있던데, 지난 2MB18nomA 트위터 계정 차단 사건[11]을 보면 그닥 믿음도 안 된다-_-

이 논란과 관련하여 감시 반대 사이트가 벌써 두 개[12,13]나 생겼다. 청와대 국민 청원[14]까지 나왔구만. 근데 청와대 청원 사이트는 왜 혼합컨텐츠지-_-

.


2019.2.14
보안뉴스 불법 사이트 https 차단 정책 논란 일파만파… 쟁점은 무엇? 2019-02-13 16:40
보안뉴스 SNI 방식의 불법 사이트 https 차단 정책 ‘비판’ 이어져 2019-02-14 17:15

.


2019.2.17
한국일보 출발부터 잘못된 불법유해사이트 차단 2019.02.17 18:00

.


2019.2.20

그 때 그 시절. 2분 10초

.


2019.3.1
HTTPS 차단에 대한 정확한 답변을 부탁드립니다. (www1.president.go.kr)
bleeping computer South Korea is Censoring the Internet by Snooping on SNI Traffic February 13, 2019
포브스 Is South Korea Sliding Toward Digital Dictatorship? Feb 25, 2019, 10:39am
뉴스1 ‘https 차단’ 우회법 봇물…실효성 없이 논란만 ‘눈덩이’ 2019-02-20 15:20

.


2019.3.3
오마이뉴스 방통위 “https 차단 안 풀어… ‘위민온웹’ 잘못 막은 것” 19.02.27 12:14

.


2019.3.9
이데일리 https 차단의 3가지 논란..검열은 아니라는데 2019-02-14

.


2019.4.4
여성가족부 불법촬영물 오픈채팅방 단속 논란 (나무위키)

.


2019.4.5

.


2019.5.2
미디어 오늘 “https 접속차단, 범위·기준 마련해야” 2019-04-30 14:12

.


2019.6.14
Sniper iOS 출시 🎉

.


[1] arstechnica HTTPS is more secure, so why isn’t the Web using it? 3/21/2011, 8:00 AM
[2] 내 백과사전 FBI가 실크 로드 운영자를 검거한 방법 2014년 9월 9일
[3] it 동아 접속 막힌 불법사이트.. SNI 필드 차단이 뭔가요? 2019.02.13 18:19
[4] 보안뉴스 국제인터넷표준화기구, 10년만에 TLS 1.3 공식 발표 2018-08-14 11:04
[5] HTTPS 차단 규제가 위험한 진짜 이유 : SNI 필드 차단과 검열 (youtube 5분 13초)
[6] 내 백과사전 UN이 인터넷을 통제할 것인가? 2012년 12월 6일
[7] tech dirt Who Signed The ITU WCIT Treaty… And Who Didn’t Fri, Dec 14th 2012 5:27pm
[8] 논란 속에 막 내린 WCIT-12…인터넷 주도권을 둘러싼 국제사회의 치열한 교전 (kca.kr)
[9] 더 이상 숨을 곳이 없다 – 스노든, NSA, 그리고 감시국가 글렌 그린월드 (지은이), 박수민, 박산호 (옮긴이), 김승주 (감수) | 모던타임스 | 2014-05-07 | 원제 No Place to Hide (2014년)
[10] 내 백과사전 왜 정부 감시를 막아야 하고, 프라이버시가 중요한가? 2014년 10월 10일
[11] 미디어스 2MB18nomA에 대한 방통심의위의 ‘황당발언록’ 공개합니다 2011.07.22 12:21
[12] https://brokenwebs.com/
[13] https://savetheinternet.kr/
[14] https 차단 정책에 대한 반대 의견 (www1.president.go.kr)

위키리크스가 CIA가 만든 멀웨어와 해킹툴을 폭로하다

스노든 이래로 가장 대박사건이 터진 것 같다. CIA에서 멀웨어와 해킹툴을 만들어서 광범위한 해킹을 시도해 왔던 모양인데, 8000개 이상의 기밀문서가 위키리크스[1]에서 7일에 공개되었다고 한다. 헐…. 해커뉴스[2]에서는 댓글의 개수가 900개가 넘어간다. 너무 많아서 보지도 못하겠구만-_-

위키리크스 측에서 Vault 7이라는 코드네임도 붙인 모양인데, 위키피디아 문서도 만들어져 있다. 국내 기사[3,4,5]도 몇 개 있는데 꽤 볼만하다. CIA에서 스마트TV가 꺼진 척하고 지속적으로 소리를 도청하는 바이러스도 제작한 모양이구만.

일전에 Regin 사건[6]도 있었듯이, 정부기관에서 제작하는 악성코드의 존재 자체는 새삼 놀랄 것은 없는데, 첩보의 범위가 엄청나게 광범위하다. 스마트폰은 당연하고, 텔레그램 등의 각종 메세징 서비스들, 스마트 가전제품 등등을 해킹하거나 제로데이 취약을 공격하거나 멀웨어를 심어놓는 각종 방법을 다 동원한 것 같다. 오픈소스도 쓰고 외부업체에게 해킹 툴도 사오고, 외국 기관과 협력도 하는 듯. 와 이 쉐이들 안 쓰는 수단이 없구만.

특히 사우디 아람코의 35000개 웍스테이션을 공격하여 전산망 가동을 중지시킨 바이러스 Shamoon은 CIA에서 만든 것이라고[4] 한다. 헐-_-

2012 프랑스 대선에 대해서도 첩보활동을 했던 모양[7]인데, 정황상 올해 있을 프랑스 대선도 당연히 하고 있을 것 같다. ㅎㅎ 이거 뭐 개판이구만.

유명한 금융 관련 블로그인 zero hedge에서도 관련 포스팅[8]이 올라와 있다. CIA 공식 트위터[9]에서는 아무 말이 없다. ㅎㅎㅎ

안드로이드와 iOS중 어느게 더 보안성이 높냐 뭐 이런 논쟁도 과거에 있었지만, 정부 기관 정도의 빠방한 조직이 마음먹고 뚫으려고 하면 다 뚫리니 이제는 와각지쟁-_-처럼 보인다. 뭐 한국 정부의 기밀은 CIA와 NSA에 탈탈탈탈 털리고 있어서 감출게 없을 듯-_-

 


2017.3.9
CIA의 DLL hijacking을 막은 Notepad++의 패치가 나왔다[10]고 한다. ㅎㅎ 빠르군. 본인은 쓰지 않지만, Notepad++ 쓰는 사람은 패치하길 바란다.

 


2017.3.11
뉴욕타임즈 What the CIA WikiLeaks Dump Tells Us: Encryption Works MARCH 11, 2017, 12:03 A.M. E.S.T.

 


2017.3.14
이코노미스트 WikiLeaks embarrasses the CIA Mar 11th 2017
보안뉴스 CIA 사건 후 재점화된 정부 보유 제로데이 취약점 문제 2017-03-13 11:02

 


2017.3.17
주간기술동향[11]에 법률적 관점에서 정부기관의 정보수집에 관한 설명이 잘 돼 있다. 일독을 권함.

 


2017.3.24
the hacker news Breaking: Wikileaks reveals CIA’s Apple MacOS and iPhone Hacking Techniques Thursday, March 23, 2017

 


2017.4.1
위키리크스에서 공개한 CIA의 소스코드 중에는 멀웨어 제작자의 국적을 혼동하도록 여러 국가들의 언어의 흔적을 남기는 obfuscator 같은게 있는 모양인데[12], 한국어 문장을 보니 확실히 CIA에는 한국어를 할 줄 아는 사람은 없는 것 같다. ㅋ

 


2017.4.11
the hacker news Symantec Connects 40 Cyber Attacks to CIA Hacking Tools Exposed by Wikileaks Monday, April 10, 2017
ars technica Found in the wild: Vault7 hacking tools WikiLeaks says come from CIA 4/10/2017, 10:01 PM

 


2017.4.30
보안뉴스 볼트 7 유출 경위 수사 시작! 일단은 내부자부터 2017-04-25 10:59

 


2017.5.19
the hacker news WikiLeaks Reveals ‘Athena’ CIA Spying Program Targeting All Versions of Windows Friday, May 19, 2017

 


2017.6.16
보안뉴스 위키리크스, CIA가 사용한 체리블러섬 무선 감시 툴 공개 2017-06-16 10:59

 


2017.6.29
the hacker news WikiLeaks Reveals How CIA Malware Tracks Geo-Location of its Targeted Wednesday, June 28, 2017

 


2017.7.19
the hacker news WikiLeaks Reveals CIA Teams Up With Tech to Collect Ideas For Malware Development Wednesday, July 19, 2017

 


2017.11.10
the hacker news Vault 8: WikiLeaks Releases Source Code For Hive – CIA’s Malware Control System Thursday, November 09, 2017

 


2018.3.7
the hacker news Leaked NSA Dump Also Contains Tools Agency Used to Track Other Hackers Tuesday, March 06, 2018

.


2018.6.20
보안뉴스 전 CIA 소프트웨어 엔지니어, 볼트 7 문건의 유포자였다 2018-06-20 12:26

.


2019.11.23
보안뉴스 NSA와 CIA의 비밀 도구 공개되면서 사이버전 수준 올라갔다 2019-11-22 10:55

 


[1] Vault 7: CIA Hacking Tools Revealed (wikileaks.org)
[2] CIA malware and hacking tools (hacker news)
[3] 보안뉴스 위키리크스, 이번엔 CIA 기밀 문건 8천여 건 공개 2017-03-08 09:50
[4] 뉴시스 CIA, 스마트폰· TV 해킹 위해 오픈소스 악성코드까지 동원 2017-03-08 16:38:11
[5] 매일경제 가전제품·스마트폰이 CIA의 `도감청 도구` 충격 2017.03.08 16:12:07
[6] 내 백과사전 Regin과 Dark Hotel : 악성코드로 이루어지는 사이버 첩보활동 2014년 11월 29일
[7] CIA espionage orders for the 2012 French presidential election (wikileaks.org)
[8] Wikileaks Unveils ‘Vault 7’: “The Largest Ever Publication Of Confidential CIA Documents”; Another Snowden Emerges (zerohedge.com)
[9] 내 백과사전 CIA의 공식 트위터 2014년 6월 10일
[10] Notepad++ V 7.3.3 – Fix CIA Hacking Notepad++ Issue (hacker news)
[11] 주간기술동향 1787호(2017.03.15 발행) 수사기관의 정보수집에 관한 최신 해외 사례와 시사점 (pdf)
[12] the hacker news WikiLeaks Reveals ‘Marble’ Source Code that CIA Used to Frame Russia and China Friday, March 31, 2017

중국의 신용등급 문화와 빅브라더

지지난주 이코노미스트지 기사[1]를 읽다가 꽤 재미있어서 그냥 포스팅함. ㅋㅋㅋ 읽은지는 꽤 됐는데, 비슷한 부류의 글이 좀 더 보이길래 묶어서 한 개의 포스트를 만들어 봤다.

시장경제의 경험이 짧은 중국에서 이제 서서히 신용카드 사용과 대출이 증가하고 있긴 한데, 대출사의 가장 큰 문제는 이 사람들의 신용등급을 매길 방법이 없다는 데 있다. 2014년까지 중국 인민은행은 성인 3억5천만명의 신용기록을 보유하고 있는데, 전체 성인의 1/3이 안되는 숫자로서, 이 수치는 미국의 89%보다 현저히 낮다. 일전에 Santacroce씨의 포스트[2]에서도 짧게 이 문제가 소개되어 있다.

그래서 개인정보 보호의 개념에 취약한 중국문화 덕분에 알리바바나 텐센트와 같이 막대한 회원가입자를 유지하는 기술기업에서는 회원 활동의 매우 사소한 활동에서도 정보를 취합하여 신용등급을 매기는데 활용하고 있다고 한다. 근데 이게 거의 빅브라더급 수준이라고 한다. 연합뉴스에도 관련기사[3]가 있다.

이코노미스트지[1]에는 예를 들어, 어떤 사람이 하루에 10시간 이상 게임을 하면 신용등급을 깎을 수도 있다고 한다-_- 반대로 온라인 쇼핑을 자주하는 사람은 구매력이 있다고 판단하여 신용점수가 올라간다. 알리페이나 WeChat의 경우, 누구와 아는 사이인지에 따라 신용점수가 달라질 수도 있는 모양. 연합뉴스[3]에서 따르면 불효자식의 경우 부모가 고소해서 재산을 받아갈 위험이 있으므로, 불효자식도 신용점수가 감점될 수 있다-_-

중국의 노인세대는 저축을 미덕으로 여기고 빚을 수치로 여기는 것과는 달리, 젊은 세대는 새로운 신용문화를 형성하는 것 같다. 이코노미스트지[1]에 따르면 Sesame Credit은 중국의 맞선 서비스인 Baihe와 협력하여 데이팅 프로필에 자신의 신용점수를 과시하거나, 게임 등에서 자기 친구와 신용점수를 비교하는 서비스를 제공하는 모양이다. 헐.

중국뿐만 아니라, 원래 일반적으로 기술대기업들은 사용자의 사소한 모든 것들까지 원한다.

일전에 구글이 눈 추적기업인 Eyefluence를 인수[4]했고, 해커뉴스에서도 아마존 인턴십에서 눈 추적 및 여러 사용자 추적을 당한 경험이 화제[5]가 되기도 했다. 또, 우버는 사용자가 차에서 내린 이후에도 계속 위치를 추적[6,7]해서 화제가 되었는데, 이렇게 축적한 데이터들로 사람의 다음 행동을 예측하거나 어느 상황에서 더 쉽게 지갑을 열 것인지 추정하는 것이 가능할 지도 모른다. 프라이버시의 장벽이 낮은 중국에서의 기술기업이라면, 이보다 더 심한 것을 준비하고 있을 지도 모른다. 아마 직접 뇌 속을 관찰하는 것은 힘들테지만, 이런 사소한 정보의 대량 축적으로 무슨 생각하는지를 간접적으로 추적하는 것이 가능하다. 눈동자 한번 움직이고 심장 한 번 뛰는 것까지 추적되어 감시되는 세상이 온다면, 어떻게 대처해야 할 것인지 생각해 볼 일이다.

 


2017.10.14
조선일보 13억 얼굴 하나하나… 한눈에 들여다본다 2017.10.14 03:02

 


2018.4.14
bbc Chinese man caught by facial recognition at pop concert 13 April 2018

.


2018.9.21
abc news Leave no dark corner Tue at 4:07am

.


2018.11.15
로이터 How ZTE helps Venezuela create China-style social control Nov. 14, 2018, 1 p.m. GMT

.


2019.1.24
[유머] 중국대학 출석체크 근황.gif (bbs.ruliweb.com)

.


2019.2.7
주간기술동향 1882호(2019.02.06 발행) 중국 허베이성 “빚꾸러기 지도” 앱 공개, 전국민 신용평가시스템의 일환 (pdf)

.


2019.5.13
테크크런치 Security lapse exposed a Chinese smart city surveillance system 1 week ago

.


2019.5.15
Reverse Engineering a Chinese Surveillance App (schneier.com)

.


2019.12.2
한겨레 중국, 스마트폰 사용자 얼굴 정보 등록 의무화 2019-12-01 12:00

 


[1] 이코노미스트 Just spend Nov 17th 2016, 15:48
[2] 빅데이터(?) 경쟁: 테라노스에서 알리바바까지 (blog.naver.com/santa_croce)
[3] 연합뉴스 “中, 일상 관찰해 국민 개개인 신용평가…새 사회통제 수단” 2016/11/29 14:42
[4] 테크크런치 Google buys Eyefluence eye-tracking startup Oct 24, 2016
[5] Software Engineering Internship Amazon Interview Experience (hacker news)
[6] npr Uber Now Tracks Passengers’ Locations Even After They’re Dropped Off December 1, 2016 6:08 PM ET
[7] 테크크런치 Uber begins background collection of rider location data Nov 28, 2016

홍콩 서점 관계자들의 의문의 연쇄실종

처음에 BBC 웹사이트에서 기사[1]를 봤는데, 오늘 보니 이코노미스트지[2]에서도 다루고 있어서 포스팅해 본다. 다른 뉴스 기사[3,4]는 비교적 객관적인데, 한겨레[5]는 너무 억측을 끼워 넣어서 기사의 질을 까먹는 느낌이 든다.

홍콩에는 코즈웨이 베이에 소재한 퉁러완서점(銅鑼灣書店)이라는 서점이 있다고 한다. BBC 기사[1]에서 첫 사진의 파란 간판의 서점이다. 위키피디아에 따르면 Causeway Bay를 광둥어로 銅鑼灣이라고 표기하는 것 같다. 그래서 영문기사에는 코즈웨이 베이 서점(Causeway Bay Bookstore)이라고 부르고 있다. 어느 블로거[6]에 따르면 홍콩에는 대형 서점이 드문 듯 하다. 이 블로거가 가리키는 ‘코즈웨이 베이 서점’이 위 기사의 서점과 동일 서점인지는 확실치 않다.

여하간 이 서점에는 정부 비판적 서적이 많았던 모양인데, 이 서점 관계자 다섯 명이 실종되는 사건이 발생하였다고 한다. 이건 본인의 추정이지만, 그 중 한 명이 영국 여권 소지자라서 영국 덕분에 그나마 이렇게 대외적으로 알려진 듯 하다.

이 서점의 주주이자 영국 여권 소지자인 리보(李波; Lee Bo)라는 사람이 가장 최근에 사라졌다고 한다. 이코노미스트지에 따르면, 그는 자기 부인에게 조사 때문에 체포되었다고 다급하게 이야기 했다는데, 평소에 쓰는 광동어로 이야기 하지 않고 북경어로 이야기 했다고 하니 더욱 의문이 생긴다. 나머지 네 사람도 이해할 수 없는 방법이나 이유로 사라졌다고 하니 기괴하기는 마찬가지다.

모든 것은 정황증거 뿐이고, 당연하게도 중국 정부는 부정하고 있다. 본인이 보기에는 객관적 증거가 없다뿐이지 거의 확실히 중국 정부의 소행이라고 밖에 볼 수 없다.

지난 홍콩 우산시위때도 느꼈지만, 중국은 점진적으로 홍콩을 통제하는 방향으로 가고 있는 것 같다. 역시나 비민주적인 시스템의 관할하에서 민주화를 주장하는 것은 어불성설일 수 밖에 없다. 이런 초법적인 수단까지 동원하면서까지 홍콩을 통제하려고 하는데, 본인이 보기에는 1국2체제는 기본적으로 불가능하다고 본다. 홍콩인들이 진짜로 민주주의가 필요하다면, 중국으로부터 독립을 주장해야 하는 것이 아닐까.

 


2016.1.16
이코노미스트 Two-systems failure Jan 16th 2016

 


2016.4.23
알 자지라 Hong Kong’s Missing Booksellers 22 Apr 2016 17:38 GMT

 


2016.6.17
BBC Hong Kong bookseller: China TV confession was ‘forced’ 16 June 201

 


2016.6.20
BBC Missing HK bookseller considered suicide ‘many times’ in China 19 June 2016

.


2019.4.29
BBC Hong Kong: Thousands protest against China extradition law 28 April 2019

.


2019.5.12

재생시간 48초.

.


2019.6.11
응원합니다 홍콩 (blog.naver.com/taejunft)

.


2019.6.20
중앙일보 캐리 람 몰아내도 막막한 홍콩…”어떻게 뽑아도 친중파 당선” 2019.06.18 05:00

.


2019.11.25
ieee spectrum Fear of Internet Censorship Hangs Over Hong Kong Protests 22 Nov 2019 | 15:45 GMT
라포르시안 란싯에 실린 홍콩 시위대 돌본 의사의 서신…”인도주의 위기” 2019.11.25 11:26:39

.


2019.12.10
bbc Hong Kong protests: Six months of rage and desperation 9 December 2019

 


[1] BBC Hong Kong bookstore disappearances shock publishing industry 10 November 2015
[2] 이코노미스트 The great Chinese bookshop mystery Jan 5th 2016
[3] 연합뉴스 홍콩서점 관계자 실종, 영국-중국 외교 갈등 촉발하나 2016/01/06 09:37
[4] 뉴시스 영국, 중국에 실종 홍콩 서점 관계자 ‘행방수사’ 요청 2016-01-06 10:08:58
[5] 한겨레 홍콩 서점 관계자들 연쇄 실종 ‘시진핑의 애인’ 거론했기 때문? 2016-01-04 20:24
[6] 홍콩서점-코즈웨이베이 타임스퀘어 페이지원 (meoh.tistory.com)