[서평] 알기 쉬운 정보보호개론 – 흥미로운 암호 기술의 세계, 3판

알기 쉬운 정보보호개론 – 흥미로운 암호 기술의 세계, 3판
유키 히로시 (지은이),이재광,전태일,조재신 (옮긴이) 인피니티북스 2017-05-31

.


2009년에 ‘코드소프트’라는 회사에서 자기만의 독자기술로 엄청나게 훌륭한 암호법을 만들었으니, 이를 해독하면 천만원 상금을 준다는 광고를 했는데, 단 두 시간(!)만에 깨져버려 개망신-_-을 당한 사건[1]이 있었다. 지금 찾아보니 대부분의 사이트가 사라졌는데, 나무위키[2]에 대략적인 개요가 남아있다. 코드소프트에서 사용한 암호기법은 매우 잘 알려져 있는 방법인 빈도분석법으로 뚫렸다고 들었다.

암호학이나 물리학, 수학처럼 누적적인 학문은 과거의 수많은 천재들의 농축된 아이디어들의 결집으로 이루어져 있으므로, 어느 한 개인이 과거의 지식을 충분히 습득하지 않고서, 과거의 학문적 업적을 뛰어 넘는 결과를 내는 것은 실질적으로 불가능하다. 거인의 어깨 위에 서야 비로소 멀리 볼 수 있는 것이다. 이 책에서도 독창적인 알고리즘을 쓰지 말라는 경고가 여러 번 나온다.

자기가 만든 암호는 어디까지가 한글 한 자인지도 확인이 안 될정도로 뛰어나다고 자랑하던 멍청이를 예전에 본 적이 있는데, 작도 삼등분가 수준의 주장이 아닐 수 없다. 암호학자인 슈나이어 선생에게는 일주일에 두 번 꼴로, 자신의 독창적인 암호법을 해독해보라는 식의 멍청이들이 보내는 편지를 받는다고 하니[3], 확실히 그런 얼치기들이 세상에 엄청 많은 건 확실하다. ㅋㅋㅋ

뭐 여하간 그런 얼치기들이 공부해야 할만한 책이 세상에는 엄청 많은데, CPUU 선생께서 블로그에 이 책을 언급하시길래[4] 사서 읽어봤다. 몰랐는데, 다 읽고 저자인 유키 히로시 선생의 이름을 검색해보니 수학 대중서를 많이 써서 나름 유명한 사람이었다. 국내에도 몇 권 번역출간 돼 있는 듯 하다. 나무위키 항목[5]에도 등록되어 있구만. 헐…

여하간 이 책은 기본적으로는 교과서이므로, 각 챕터마다 연습문제나 중간중간에 퀴즈 같은 것도 있다. 전래 동화에 비유하는 등, 나름 쉽게 설명하려고 꽤 노력을 한 흔적이 많다. 고대 암호 기법부터 에니그마, DES / AES, 해시함수, Diffie–Hellman, RSA, SSL/TLS의 원리를 설명하고, 맨 뒷부분에는 블록체인과 양자암호에 대해 간략히 설명한다. 부록에는 타원곡선에 대해 설명하는데, 본 블로그의 설명[6]과 비교적 비슷한 듯 하다.

가장 마음에 들었던 부분은, 각 암호법에 대해 여러가지 공격법을 다양하게 설명해 놓은 부분인데, 이런 건 일반적인 대중서에서 잘 나오지 않는 것 같다. 중간자 공격이나 생일 공격과 같은 공격은 알고 있었지만, Replay attack 같은 용어는 처음 들었다.

p105부터 DES에 대한 설명이 나오는데, S-box에 대한 언급이 전혀 없을 뿐더러, S-box라는 용어조차 안 나온다. 음… 이유는 모르겠다. S-box는 나중에 미국 상원에서 조사를 할 정도로 논란이 됐긴 한데[7], 여하간 요런 재미있는 이야기를 빼 놓다니 섭섭하구만. ㅎㅎ

p111에 CPA에 대한 언급이 있던데, 일전에 텐센트 QQ 브라우저가 허술하다는 이야기[8]를 할 때, 찾아본 기억이 난다. 나름 좀 더 정교한 공격법이 있는 듯?

p208에 RSA에서 소수가 모자라는 일이 있지 않나는 의문에 대한 해설이 있는데, 책의 설명은 이론적으로 소수가 충분히 많다는 것일 뿐, 책의 설명과는 달리 실제로는 RSA에서 같은 소수를 많이 재사용하고 있어서 문제가 되고 있다고 한다.[9]

p271에 생일 공격에서, Y일 중에 N명을 뽑을 때 일치할 가능성 1/2이 되기 위해 뽑아야 할 날 수가 근사적으로 sqrt(Y)라는 이야기가 나와 있던데, 위키피디아 항목에는 좀 더 정확하게 1.1774sqrt(Y)라고 나와 있다. 아마 Stirling’s approximation을 써서 유도하는 듯 한데, 대충 손으로 계산해 봤지만, 위키피디아에 나온 식과 숫자가 딱 맞도록 계산이 안 된다. 젠장 ㅠㅠ

p441에 메르센 트위스터에 대한 언급이 있는데, 본 블로그에 좀 더 자세한 설명[10]이 있다.

p506에 HeartBleed에 대한 언급이 있는데, 이건 당시에 꽤나 유명[11]해서 본인도 좀 찾아본게 생각난다. ㅋㅋ 2017년 기사[12]에 한국이 아직도 하트블리드에 취약하다는 이야기를 들었는데, 지금은 어떨랑가 모르겠다. ㅎㅎㅎ

정보/보안 개론서로서 나름 재미있게 볼 수 있다고 생각한다. 사실 본인은 책에서 각각의 알고리즘 부분을 구체적으로 설명하는 과정은 그리 상세히 보지는 않았다-_- 뭐 대충 재미만 있으면 되지 뭐. ㅋㅋㅋ

.


[1] 보안뉴스 1천만원 ‘암호문 해킹 이벤트’…2시간 만에 해킹 2009-03-18 10:40
[2] 코드소프트 망신 사건 (나무위키)
[3] 아마추어 암호 설계자에 대한 메모 (sonnet.egloos.com)
[4] [북리뷰] 처음 배우는 암호화 (cpuu.postype.com)
[5] 유키 히로시 (나무위키)
[6] 내 백과사전 내가 이해한 Dual_EC_DRBG 백도어 2014년 1월 3일
[7] 내 백과사전 DES의 탄생 2014년 4월 15일
[8] 내 백과사전 교과서적인 RSA와 심각하게 허술한 보안 상태인 QQ 브라우저 2018년 2월 13일
[9] 내 백과사전 Diffie-Hellman의 취약점 : 소수(prime number) 재사용 문제 2016년 12월 18일
[10] 내 백과사전 메르센 트위스터 Mersenne Twister 2016년 9월 11일
[11] 내 백과사전 Heartbleed 버그 2014년 4월 9일
[12] 지디넷 “한국, 세계 2위 하트블리드 취약점 보유국” 2017.01.26.09:33

애플 사파리 브라우저의 안전 브라우징(Safe Browsing) 기술의 신뢰성

존스 홉킨스 대학 소속의 암호학자 Matthew D. Green 선생의 블로그 글[1]을 보니, 사파리 브라우저의 Safe Browsing에서 수상한 문제가 있다는 이야기를 하고 있다.

글[1] 앞부분에는 Safe Browsing 기술이 생각만큼 안전하지는 않다는 이야기가 나온다. 참고로 글[1] 중간에 many bites at the apple 이라는 표현이 나오는데, 뭔 뜻인가 싶어서 검색해보니, 두 번째 기회라는 의미의 idiom인 second bite of the apple[2]을 변형한 표현같다. ㅎㅎㅎㅎ

기술적 세부사항은 잘 모르겠지만 Safe Browsing으로 개인을 식별하는 것이 가능하다고 하는데, 사파리 브라우저의 설명에 Safe Browsing 기술을 쓰면 방문자의 url 정보를 구글과 텐센트(!)에 자동으로 전송한다는 이야기가 나온다고 한다.[3] 구글을 믿을 수 있을 지 모르겠지만, 예전에 텐센트가 한 짓[4]을 보면, 텐센트 제품은 영 미덥지가 못하다.

Green 선생의 이야기[1]가 진짜인가 싶어서 본인이 가지고 있는 아이패드[5]의 설정을 열어서 프라이버시 정책 설명을 읽어봤다. (1.35MB jpeg)

헐 진짜다-_-

일전에 HKmap live 앱 삭제 건[6]도 그렇고, 애플 호구들이 돈을 얼마까지 내 놓을까 한계 시험[7]을 하질 않나, 예전부터 생각해왔지만 애플이 점점 이상해 지는 듯-_- 아니 원래 이상했나[8] ㅋㅋㅋ 여하간 사파리 브라우저는 봉인하는 게 정신건강에 좋을 듯 하다. ㅎㅎ

.


2019.10.15
the hacker news Apple Under Fire Over Sending Some Users Browsing Data to China’s Tencent October 14, 2019
Apple: We’re not handing over Safari URLs to Tencent, just IP addresses (hacker news)
애플, Apple TV+ 컨텐츠 제작자들에게 중국을 어둡게 묘사하지 말 것을 요구 (gigglehd.com)

.


[1] How safe is Apple’s Safe Browsing? (blog.cryptographyengineering.com)
[2] second bite of the apple (idioms.thefreedictionary.com)
[3] Apple Safari browser sends some user IP addresses to Chinese conglomerate Tencent by default (reclaimthenet.org)
[4] 내 백과사전 교과서적인 RSA와 심각하게 허술한 보안 상태인 QQ 브라우저 2018년 2월 13일
[5] 내 백과사전 아이패드 프로 12.9 (2세대)를 구입하다 2017년 10월 13일
[6] 지디넷 애플은 왜 홍콩 시위대가 쓰는 앱 삭제했나 2019/10/11 16:29
[7] 조선일보 조롱거리된 ‘120만원’ 모니터 스탠드…애플, 비판 차단에 급급 2019.06.07 11:57
[8] 내 백과사전 애플의 collatz 추측을 이용한 해시 함수의 특허 2015년 5월 15일

카자흐스탄의 개판 인터넷

오늘 해커 뉴스[1]를 보니 카자흐스탄의 모든 ISP에서 정부가 발급한 보안인증서를 제공하면서 https 트래픽 전체를 중간자 공격하고 있다는 이야기[2]가 돌고 있다. 헐-_- 현재 게시글[2]이 올라온지 만 하루가 되지 않은 시점이라 확실치 않은 부분도 있을 듯 하지만, 진짜라면 와~~ 유사국가 수준이구만.

카자흐스탄에 살고 있다는 어떤 사람이 쓴 댓글에, 주요 메이저 브라우저들이 이 인증서들을 배제하면 도움이 될 듯하다는 내용이 보인다. 카자흐스탄 정치는 잘 몰랐는데, 소련 독립 후 집권한 초대대통령 Nursultan Nazarbayev가 30년 집권한 후, 얼마전에 물러나고 그 최측근이 선거에 압승했다고 한다.[3]

인증서 하니까, 일전에 한국전자인증에서 시만텍 이름으로 엉터리 인증서를 발급하는 바람에 크롬 브라우저가 시만텍 인증서들을 배제하면서 난리난 사건[4,5]이 생각나는구만. 지금 검색해보니 결국 시만텍은 구글을 설득하는 데 실패하고 인증사업도 매각해 버린 듯 하다.[6] 한국전자인증 하면 공인인증서로 꿀장사 하던 회사인데, 그 사건 이전부터도 이미 별로 안 좋게 보고 있었다.

해커뉴스[1] 댓글을 대충 보는데, 카자흐스탄은 ISP가 막 마음대로 사용자가 방문하는 사이트에 광고를 끼워 넣는 짓도 하는 듯-_- 진짜 개판이다. 행여나 카자흐스탄에 방문하시는 분들은 여러모로 보안점검을 잘 하셔야 할 것 같다. ㅎㅎㅎ

.


[1] MITM on HTTPS traffic in Kazakhstan (hacker news)
[2] MITM on all HTTPS traffic in Kazakhstan (bugzilla.mozilla.org)
[3] 경향신문 카자흐, 30년 1인 독재 후 대선…결국 전 대통령 최측근 ‘압승’ 2019.06.10 21:29
[4] 지디넷 구글의 ‘시만텍 불신’ 빌미 된 한국 파트너 2017/03/31 15:52
[5] 보안뉴스 시만텍과 구글, 한국전자인증의 인증서 소동…팩트는 이것 2017-03-30 17:30
[6] 보안뉴스 시만텍은 왜 인증 사업 매각했나? 그 파급력은 무엇일까? 2017-08-04 11:02

국제 스파이 박물관에 전시된 the Great Seal bug

첩보 관련 블로그인 Intel Today에 재밌는 글[1]이 올라와 있어서 관련 검색을 좀 해 봤다.

지난 5월 12일에 국제 스파이 박물관이 워싱턴 D. C.에 개장한 모양인데, 위키피디아를 보니 이번 개장은 리뉴얼을 하여 재개장인 것 같다. 가디언지 기사[2]에 약간의 사진이 있다. 검색해보니 뉴욕에는 KGB 박물관이 있다[3]고 한다. 일전에 뉴욕에 소재한 MoMath 이야기[4]를 한 적이 있는데, 가보고 싶은 박물관들이 자꾸 추가되는구만. ㅋㅋㅋ

가디언 기사[2] 중간에 미국 국장(Great Seal)이 새겨진 나무 원판이 나오는 사진이 있는데, 이게 통칭 The Thing 또는 the Great Seal bug라 불리는 도청장치라고 한다.

소련이 미국에게 우호를 가장하면서 미국 대사관에 건네 준 물건이라고 하는데, 이게 무려 7년간이나 미국 대사관 벽에 걸려 있었다고 한다. ㅋㅋㅋ

위키피디아 항목의 설명을 봐도 도청의 원리가 정확히 이해되지는 않는데-_- 여하간 내부에 가느다란 안테나가 있다고 한다. 외부에서 330 MHz의 마이크로파를 쏴주면 이게 공명을 해서 대사관 내부 사람들의 대화가 마이크로파로 송출이 된다고 한다. 내부가 대단히 단순한 구조이고, 자체적인 전원이 없는 물건이므로 알아차리기 힘들었다고 한다.

이게 발각된 이유는 우연하게도 어떤 영국 라디오 방송국이 대사관 내부 대화를 수신하면서, 소련이 미국 대사관 쪽으로 라디오파를 쏘고 있다는 걸 발견해서 발각되었다고 한다. ㅎㅎ

이 기발한 물건을 발명한 사람은 레온 테레민이라고 하는데, 그 악기[5]를 만든 사람이다. ㅎㅎ 그러고보니 어떤 사람이 555 타이머를 이용하여 물과 인체의 가변저항을 이용하여 음악을 연주하는 기발한 영상[6]을 본 기억이 난다.

소련이 치사한 것 같지만-_- 냉전 당시에는 미국과 소련이 서로 구밀복검 하던 시절이라서, 미국도 별반 다르지 않았던 것 같다. CIA가 러시아 대사관에 설치된 제록스 복사기에 소형 카메라를 넣어두고, 복사기 기술자가 정기점검하러 올 때마다 문서를 복제해갔다는 이야기[7]가 생각나는구만.

여하간 워싱턴 D. C.에 방문할 기회가 있으신 분들은 함 가보시는 것도 좋을 듯.

.


2019.9.22

재생시간 4분 44초

.


2019.10.23
Microwave Spying — Leon Theremin & “The Thing” [UPDATE : CIA Microwave Cavities on display at the Crypto Museum] (gosint.wordpress.com)

.


[1] Microwave Spying — Leon Theremin & “The Thing” [UPDATE : Great Seal on display at the Spy Museum] (gosint.wordpress.com)
[2] 가디언 Now kids, help us to kill Bin Laden! The dark side of Washington’s spy museum Mon 27 May 2019 06.00 BST
[3] 조선일보 죽음을 부르는 립스틱·독극물 우산… 뉴욕 한복판에 KGB 스파이 박물관 2019.01.19 03:00
[4] 내 백과사전 뉴욕의 수학박물관 MoMath 2012년 12월 18일
[5] 내 백과사전 테레민 Theremin 2011년 1월 17일
[6] 555 타이머를 이용하여 물로 연주하기 (kor.pe.kr)
[7] Spies in the Xerox Machine (electricalstrategies.com)

화웨이를 둘러싼 국제 첩보관계의 역학

통신망의 다섯 번째 세대교체인 5G를 앞두고, 미국이 자꾸 화웨이를 공격하는 바람에 화웨이의 인지도가 올라가서 매출이 엄청나게 뛰었다고 한다.[1] 아무래도 트럼프의 반 화웨이 정책이 부메랑이 된 듯 하다.[2,3]

여하간 개인적으로는 좀 의외인 사건이라는 생각이 들었는데, 첩보 동맹이라 할 수 있는 Five Eyes에서 이번에 화웨이 배제에 행동을 같이 하지 않았다.[4] 미국은 배제하지만 영국은 화웨이를 검토한다는 묘한 스탠스가 인상적이다. 전통적인 국제 첩보 관계가 틀어지는 모습이랄까. Five Eyes 중 하나인 뉴질랜드는 화웨이를 배제했다가[5] 다시 고려했다가[6] 우왕좌왕인 듯 하다. 잘은 몰라도 아무래도 정치인들이 보안에 대한 전문성이 없으니 귀가 얇아서 그러는 듯. ㅎㅎㅎ

근데 이번에는 국제 첩보전에서 미국과 적대적인 독일이 오히려 주파수 경매를 갑자기 미루는 등 우왕좌왕하는 모습[7]을 보여서 재미있다. 화웨이 때문에 세계 주파수 판도가 어지럽게 돌아간다. ㅎㅎㅎ

일단 정치적 측면을 제외한 기술적 측면에서 화웨이는 불합격점[8]을 받았기 때문에, 다른 통신 회사들도 같거나 그 이하인 수준이라는 증거가 나오지 않는 이상, 화웨이는 일차적으로 배제하는게 맞다고 본다. 100% 확실히 똥인 선택지-_-와 똥일지 아닐지 모를 선택지는 다르다고 본다. ㅎㅎㅎ

기본적으로 신장 위구르와 티벳에 대한 오웰리안식 지배[9]와 홍콩탄압[10]이 지속되는 한, 중국정부가 다른 정부와 공평히 대해 달라는 주장[11] 자체가 말이 안된다고 본다. 아무리 못해도 최소한 디지털 영역에서 신장 위구르에서 서구권과 동등한 자유도가 보장될 때, 공평을 논할 자격이 있다. 중국인이랑 페북에서 가끔 논쟁하면, 중국 안에서는 중국의 기준이 있다(중국에 오면 중국의 규칙을 따르라)는 주장을 많이 하는데, (중국 비판에 대한 많은 반론이 이와 같다. 중국에 물건을 파는 한국의 입장에서는 사실 반박할 말이 없다-_-) 같은 논리로 해외에서는 해외의 기준을 따라야 할 것이다.

게다가 직접적인 증거는 없더라도 중국인 특유의 치사플레이는 누구나 능히 짐작가능할 듯 하다. 나무위키[12]에서도 본인이 몰랐던 중국인 특유의 치사플레이에 대한 여러 언급이 있다. 근데 치사플레이에 대한 반론은 마치 racism처럼 들려서 말을 꺼내기 어렵다-_- 매 껀마다 객관적이고 명확한 근거를 준비하지 못하기 때문이다. 트럼프 처럼 증거없이 공격하면 상대방이 선의자 코스프레[13]를 할 경우 부메랑만 된다. 나는 이래서 평소 생활에서도 매우 미세한 이익을 악착같이 챙기는 사람을 싫어한다. 여하간 개소리가 길었는데, 술먹고 쓴 포스팅이라 이해해 주시라. ㅎㅎㅎ

.


2019.4.4
Microsoft finds privilege escalation vulnerability in Huawei driver (hacker news)

.


2019.4.6
뉴욕타임즈 HOW CHINA TURNED A CITY INTO A PRISON APRIL 4, 2019

.


2019.4.7
extreme tech MIT Cuts Ties With Huawei, ZTE, Citing National Security Risk April 4, 2019 at 4:56 pm

.


2019.4.8
지디넷 ‘화웨이 사태’는 미·중 패권 전쟁인가 2019/04/07 18:17

.


2019.4.25
이코노미스트 Britain lets Huawei into part of its 5G networks Apr 24th 2019

.


2019.4.28
아시아경제 도대체 ‘화웨이’의 주인은 누구인가? 2019.04.28 07:30

.


2019.5.23
조선일보 [인터뷰]김덕용 회장 “화웨이에 절대 우리 제품을 안 주는 이유는요” 2019.05.21 06:57

.


2019.6.9
npr Huawei Accused Of Technology Theft June 8, 20198:31 AM ET

.


2019.6.20

.


2019.7.9
Balding, Christopher, Huawei Technologies’ Links to Chinese State Security Services (July 5, 2019). Available at SSRN: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3415726

.


2019.8.10
Balding, Christopher and Clarke, Donald C., Who Owns Huawei? (April 17, 2019). Available at SSRN: https://ssrn.com/abstract=3372669 or http://dx.doi.org/10.2139/ssrn.3372669
Who Owns Huawei? (hacker news)

.


2019.8.15
월스트리트 저널 Huawei Technicians Helped African Governments Spy on Political Opponents Aug. 14, 2019 10:30 am ET

.


2019.11.15
보안뉴스 화웨이의 5G 기술 두고 의견 갈린 캐나다의 두 정보 기관 2019-11-14 15:34

.


2019.11.27
bbc 신장 위구르: 중국이 위구르 무슬림을 어떻게 세뇌하는지가 문서 유출로 드러났다 2019년 11월 25일

.


[1] CNN Huawei’s profits jump by 25% despite US efforts to curtail its business 1026 GMT (1826 HKT) March 29, 2019
[2] 뉴스1 런정페이 “화웨이 브랜드 키워준 미국 너무 고맙다” 2019-02-26 13:05
[3] 뉴스1 미국 화웨이 공격, 결국 화웨이 브랜드만 키워줬다 2019-03-21 10:08
[4] 이코노미스트 America and its allies disagree on Huawei Feb 21st 2019
[5] 지디넷 뉴질랜드도 화웨이 장비 배제… 글로벌 장비전쟁 격화 2018/11/29 16:36
[6] kbs 영국·뉴질랜드, 美의 ‘反화웨이 동맹’ 이탈 움직임 2019.02.19 (05:32)
[7] 5G — Belgium Postpones Spectrum Auction to 2020. And Maybe Later… Why? [UPDATE] (gosint.wordpress.com)
[8] 보안뉴스 영국, 화웨이 장비 분석 후 “도저히 믿을 수 없다” 비판 2019-04-01 17:26
[9] 이코노미스트 China has turned Xinjiang into a police state like no other May 31st 2018
[10] 내 백과사전 홍콩 서점 관계자들의 의문의 연쇄실종 2016년 1월 6일
[11] 연합뉴스 習, ‘화웨이 배제’ 뉴질랜드 총리에 “中기업 공평히 대우해야” 2019-04-01 21:48
[12] 화웨이 대한민국 통신사업 진입 논란 (나무위키)
[13] Don’t believe everything you hear. Come and see us. (huawei.com)

북한 해커의 상대적 실력?

이번주 이코노미스트지[1]에 흥미로운 기사가 실려있어 걍 포스팅해봄.

CrowdStrike라는 사이버보안 전문회사에서 2019 세계 보안 보고서를 발간한 모양인데[2], 서방국가들과 적대적인 4개국(러시아, 이란, 중국, 북한)에 대해 분석하는 내용이 들어 있다. 보고서를 받으려면 CrowdStrike 홈페이지에서 전화번호를 입력해야 하는 모양인데, 별로 그러고 싶지는 않아서-_- 대충 검색해보니, 다른 사이트[3,4]에서 pdf를 다운로드 받을 수 있다.

이 회사에서 Breakout Time이라는 걸 정의했는데, 한 개의 머신에서 네트워크의 취약점을 타고 다른 머신으로 침투하기까지의 시간을 말하는 듯 하다. 이 시간은 아마 각종 해킹 사건들에서 로그분석으로 측정한 듯 하다. 여하간 CrowdStrike의 보고서에 나온 국가별 Breakout Time은 다음과 같다.[3;p14]

러시아 : 18분 49초
북한 : 2시간 20분 14초
중국 : 4시간 0분 26초
이란 : 5시간 9분 4초
국가 지원을 받지 않는 범죄자들 : 9시간 42분 23초

물론 침투시간이 해킹 실력과 동일한 것은 아니겠지만, 여러 비교 기준점들 중의 하나로 보면 될 듯 하다. 참고로 보고서[2,3]에서는 해커 집단을 동물이름으로 부르던데, 각 동물의 의미는 p11에 나온다. 왜 이렇게 하는지는 잘 모르겠음-_-

북한 해커 그룹 하면, 라자루스 그룹이 먼저 떠오르는데, 얘네들 실력이 나름 꽤 있는 모양이다. 근데 러시아 해커들은 뭘 먹고 이렇게 빠른지 모르겠다-_- 일전에 러시아에 뛰어난 프로그래머들이 많다고 들었는데[5], 그게 진짠가 보다. ㅎㅎㅎ

.


2019.8.29
보안뉴스 중국 내 암 환자 늘어나니 세계 암 센터 공격하는 중국 해커들 2019-08-22 16:41

.


[1] 이코노미스트 In the cyber break-in stakes, the champion is Russia Mar 7th 2019
[2] 2019 CROWDSTRIKE GLOBAL THREAT REPORT (crowdstrike.com)
[3] Global Threat Report 2019 (documentcloud.org)
[4] Global Threat Report 2019 (crowdstrike.lookbookhq.com) pdf 7911 kb
[5] 내 백과사전 월가에 러시아 프로그래머가 많은 이유 2014년 10월 6일

Coinbase의 Neutrino 인수 논란

세계 정부들에게 스파이웨어를 팔던 회사인 Hacking Team의 악명은 익히 알려져 있는데, 위키피디아에 공개된 거래처 목록을 보면 언론 자유 훼방과 정치 탄압으로 세운 혁혁한 공(?)을 확인할 수 있다. 과연 국경없는 기자회에서 ‘인터넷의 적(Enemies of the Internet)'[1]이라 명명할만 하다. 국정원도 한 때 이 회사 물건을 구매했다가, 해킹 팀이 해킹되어 자료가 공개되는 바람에 들통난 전력[2,3]이 있는데, 양우회가 굴리는 출처불명의 돈들[4]도 그렇고, 국정원 쉐이들 마음에 안 든다. 얼마전에 해킹팀이 활동을 재개한다는 소식[5]도 들었는데, 어찌되려나 모르겠구만. 국정원은 또 고객이 되려나? ㅋㅋ

여하간 이 ‘인터넷의 적’의 경영진 중 Marco Valleri와 Alberto Ornaghi가 설립한 Neutrino라는 회사를 암호화폐 거래소인 Coinbase가 인수하기로 결정[6]해서 논란이 되고 있는 듯 하다.[7,8,9] Coinbase가 이쪽 계열에서 꽤 메이저 회사라고 들었는데, 후폭풍이 큰 듯. 아직 Neutrino의 위키피디아 항목이 안 생긴 듯 한데, 조만간 생길 듯 하다. ㅎㅎ

Cryptocurrency를 지지하는 세력의 철학이 기본적으로 국가권위에 의존하는 화폐시스템, 즉 Chartalism에 대한 반발이고, 독재정부의 탄압에 대한 거부감은 자연스럽다고 보는데, 얼마나 반향이 있을지는 모르겠다. 뭐 나는 해킹 팀 이 쉐이들이 초 괘씸해서 그냥 까고 싶다. ㅋ

.


2019.3.5
반발이 심해서 어떤 식으로든 경영에서는 분리될 듯해 보인다.[10,11]

.


[1] Reporters without borders Special report on Internet surveillance, focusing on 5 governments and 5 companies “Enemies of the Internet” March 15, 2013
[2] 내 백과사전 5163 부대의 스파이웨어 구입 2015년 7월 9일
[3] 슬로우뉴스 한국 5163부대는 스파이웨어 회사와 무엇을 거래했나 2015-07-09
[4] 국정원 공제회 양우회 대해부 (hani.co.kr)
[5] 보안뉴스 해킹팀, 다시 활동 시작했나? 14개국에서 새 샘플 발견 2018-03-13 11:09
[6] bitcoin.com Coinbase Acquires Cryptocurrency Surveillance Company Neutrino Feb 19, 2019
[7] coindesk Angry Bitcoin Fans Delete Coinbase Accounts to Protest Neutrino Acquisition Mar 1, 2019 at 19:30 UTC
[8] the block Coinbase responds to its controversial acquisition of blockchain intelligence platform Neutrino 4 d ago
[9] Neutrino 플랫폼의 논란 많은 인수에 대한 Coinbase의 대답 (editoy.com)
[10] 테크크런치 Neutrino employees who once worked for a controversial surveillance tech company will leave Coinbase 5 hours ago
[11] cointelegraph Coinbase CEO: Ex-Hacking Team Neutrino Members Will Transition Out of Company Roles 1 HOUR AGO

SNI 필드 차단 논란

이야, 이런 기법이 있는 줄 처음 알았네. 방통위가 사람을 공부하게 만든다. ㅋㅋㅋㅋ 역시 사람의 인생은 유한하고, 공부해야할 지식은 무한하다.

과거 2011년에 Ars Technica에서 모든 http 트래픽을 https로 바꾸자는 주장[1]을 본 적이 있는데, 그때만 하더라도 https를 쓰는 사이트가 극히 일부였고, 좀 실현이 어려운 황당한 주장이라 생각했다. 근데 스노든 사태 이후로 점점 위키피디아, 구글 등등 메이져 사이트들이 https로 바뀌더니만, 이코노미스트지나 알 자지라 같은 각종 언론사이트도 바뀌고, 이후에 국내 포털사이트들까지 바뀌더구만. 헐… 기업별로 암호화 의식 수준이 확장되는 속도를 목도할 수 있었다. 하지만 중소기업들은 아무래도 https로 바꾸는 일이 드물다.

여기 워드프레스 닷컴도 2015년 쯤에 https로 바뀐 걸로 기억한다. 본 블로그는 우측 하단의 이미지 배너들 때문에 보안상 안전하지 않은데-_- 뭐 이 블로그는 불법 사이트도 아니고, 공신력있는 사이트도 아니고, FBI가 이걸로 추적[2]하지도 않을 듯하니 걍 넘어갑시다. ㅎㅎㅎㅎ 비암호화 혼합컨텐츠는 보안상 문제가 있는데, 요새는 알라딘 같은 도서사이트도 혼합컨텐츠 없이 https 페이지를 제공하고 있어 마음에 든다. ㅎㅎ

근데 TLS 1.2이하 버전에서, https의 보안상 허점 중에 SNI 필드를 평문으로 전송하는 부분이 있는 듯 하다. 이 보안상의 허점을 활용(?)하여, 방통위가 https 사이트를 검열한다는 논란이 일고 있는 듯 하다. 왠지 IT 동아 기사[3]가 뭔진 몰라도 볼만하다. TLS 1.3부터는 SNI도 암호화 전송이 되어서 방통위의 SNI 차단 방식이 불가능한데, 아직 거의 쓰이지 않는 상황인 듯 하다. TLS 1.3이 공식발표 된게 작년 8월인데[4], 아직은 확산중인 듯. 유튜브의 뻘짓연구소[5]에서도 나름 잘 설명하고 있다.

원래 정부는 국민을 감시하고 싶어하는게 기본 속성이다. 프라이버시와 자유주의 사상을 가진 세력과 힘의 균형을 이루어 어느 지점에서 사회적 합의를 찾는게 중요하다고 본다. 극도로 자유주의적이고 정부 권력이 없는 아나키즘적 사회부터, 국민이 똥싸는 것 까지 감시하는 북한식 오웰리언 사회 사이에, 사회가 어느 위치에 결정되는지는 합의가 필요한 게 아닐까 싶다. 지난 2012년 국제 전기통신 연합에서 주최하는 비공개 컨퍼런스[6]가 생각나는데, 이 때 한국정부는 중국/러시아/사우디아라비아 등의 국가들과 같이 인터넷 통제를 지지했었다.[7,8] 그 때는 쥐새끼 정권-_- 시절이라는 변명도 통했지, 지난 2016년 테러방지법 필리버스터까지 했던 민주당 정권에서 이런 걸 추진하니 아주 똥같다.

워닝.or.kr도 그렇고 사이트 필터링 자체가 마음에 안 들었는데, 뭔가 보안상의 허점을 활용하는게 더 마음에 안 든다. 기본적으로 중국의 황금방패 차단과 비슷한 방법이라는 것도 마음에 안 든다. 어차피 TLS 1.3이 확산되면 작동도 안 될 방법인데, 그 때는 차단을 빌미로 뭘 하려고? 일각에서는 메타정보만 수집하기 때문에, 개인정보가 침해될 일이 없다고 보는 사람도 있던데, 이건 스노든 사태때 NSA가 변명하던 소리[9,10]와 똑같다. ㅎㅎ 글렌 그린월드씨의 말[10]을 곱씹을 필요가 있다. 방통위를 믿어달라는 주장도 있던데, 지난 2MB18nomA 트위터 계정 차단 사건[11]을 보면 그닥 믿음도 안 된다-_-

이 논란과 관련하여 감시 반대 사이트가 벌써 두 개[12,13]나 생겼다. 청와대 국민 청원[14]까지 나왔구만. 근데 청와대 청원 사이트는 왜 혼합컨텐츠지-_-

.


2019.2.14
보안뉴스 불법 사이트 https 차단 정책 논란 일파만파… 쟁점은 무엇? 2019-02-13 16:40
보안뉴스 SNI 방식의 불법 사이트 https 차단 정책 ‘비판’ 이어져 2019-02-14 17:15

.


2019.2.17
한국일보 출발부터 잘못된 불법유해사이트 차단 2019.02.17 18:00

.


2019.2.20

그 때 그 시절. 2분 10초

.


2019.3.1
HTTPS 차단에 대한 정확한 답변을 부탁드립니다. (www1.president.go.kr)
bleeping computer South Korea is Censoring the Internet by Snooping on SNI Traffic February 13, 2019
포브스 Is South Korea Sliding Toward Digital Dictatorship? Feb 25, 2019, 10:39am
뉴스1 ‘https 차단’ 우회법 봇물…실효성 없이 논란만 ‘눈덩이’ 2019-02-20 15:20

.


2019.3.3
오마이뉴스 방통위 “https 차단 안 풀어… ‘위민온웹’ 잘못 막은 것” 19.02.27 12:14

.


2019.3.9
이데일리 https 차단의 3가지 논란..검열은 아니라는데 2019-02-14

.


2019.4.4
여성가족부 불법촬영물 오픈채팅방 단속 논란 (나무위키)

.


2019.4.5

.


2019.5.2
미디어 오늘 “https 접속차단, 범위·기준 마련해야” 2019-04-30 14:12

.


2019.6.14
Sniper iOS 출시 🎉

.


[1] arstechnica HTTPS is more secure, so why isn’t the Web using it? 3/21/2011, 8:00 AM
[2] 내 백과사전 FBI가 실크 로드 운영자를 검거한 방법 2014년 9월 9일
[3] it 동아 접속 막힌 불법사이트.. SNI 필드 차단이 뭔가요? 2019.02.13 18:19
[4] 보안뉴스 국제인터넷표준화기구, 10년만에 TLS 1.3 공식 발표 2018-08-14 11:04
[5] HTTPS 차단 규제가 위험한 진짜 이유 : SNI 필드 차단과 검열 (youtube 5분 13초)
[6] 내 백과사전 UN이 인터넷을 통제할 것인가? 2012년 12월 6일
[7] tech dirt Who Signed The ITU WCIT Treaty… And Who Didn’t Fri, Dec 14th 2012 5:27pm
[8] 논란 속에 막 내린 WCIT-12…인터넷 주도권을 둘러싼 국제사회의 치열한 교전 (kca.kr)
[9] 더 이상 숨을 곳이 없다 – 스노든, NSA, 그리고 감시국가 글렌 그린월드 (지은이), 박수민, 박산호 (옮긴이), 김승주 (감수) | 모던타임스 | 2014-05-07 | 원제 No Place to Hide (2014년)
[10] 내 백과사전 왜 정부 감시를 막아야 하고, 프라이버시가 중요한가? 2014년 10월 10일
[11] 미디어스 2MB18nomA에 대한 방통심의위의 ‘황당발언록’ 공개합니다 2011.07.22 12:21
[12] https://brokenwebs.com/
[13] https://savetheinternet.kr/
[14] https 차단 정책에 대한 반대 의견 (www1.president.go.kr)

“Weird Al” Yankovic – Party in the CIA

일전의 Ask Molly Hale 포스트[1]와 관련하여 intel today[2]에서 재미있는 음악을 들었다. 제목이 Party in the CIA라고 한다. “Weird Al” Yankovic이라는 가수는 처음 알았네. 음악 괜찮구만. ㅎㅎ 재생시간 2분 56초

“Weird Al” Yankovic은 패러디 음악으로 나름 인지도가 높은 듯 하다. 위 음악의 원곡은 Miley CyrusParty in the U.S.A의 리메이크라고 한다. 유튜브에서 쉽게 원곡을 찾아볼 수 있지만, 나는 “Weird Al” Yankovic의 곡이 훨 좋은 것 같다. ㅎㅎㅎㅎㅎ 음반 하나 사봐야겠다.

약간 개그컨셉인 듯 한데, 개그 컨셉이라니까 일전에 이야기한 Ninja Sex Party[3]가 생각나는데, 음반 사는 거 깜빡했네-_-

.


[1] 내 백과사전 CIA의 공공 대변인 Molly Hale 2019년 2월 8일
[2] Just Ask Molly Hale — The Differences Between the FBI and the CIA? [Joke] (gosint.wordpress.com)
[3] 내 백과사전 끈이론 박사학위 이후 가능한 경력 중의 하나 : Ninja Sex Party 2018년 9월 9일