Skip to content

기글하드웨어기글하드웨어

인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

Extra Form
참고/링크 https://www.zdnet.com/article/google-cou...years-ago/

이제 OTP와 같은 2단계 인증은 웬만한 웹 서비스에서는 기본이 되었습니다. 구글은 지난 2010년부터 OTP 앱을 제공하고 있었고, 이 앱은 가장 널리 쓰이는 스마트폰 OTP 앱이라고 해도 과언이 아닙니다. 그런데 이 앱에서 어이없는 취약점이 발견되었습니다.
 

네덜란드의 보안업체 ThreatFabric이 발견한 바에 따르면, 은행 잔고를 빼내는 Cerberus라는 트로이목마 악성코드의 변종에서 구글 OTP 앱의 코드를 훔치는 기능이 발견되었습니다. 이 기능은 어이없을 정도로 간단한 원리로 작동하는데, 바로 OTP 앱에 코드가 나타나면 그것을 캡쳐하여 원격 서버로 전송하는 방식입니다. 이는 구글 OTP 앱에 캡쳐 방지 기능이 설정되어 있지 않기 때문에 가능합니다.
 

안드로이드 앱의 설정 중에는 FLAG_SECURE라는 플래그가 있는데, 이 플래그를 켜면 안드로이드 OS가 다른 앱이 스크린샷을 찍는 것을 자동으로 막아줍니다. 그런데 정작 안드로이드 OS를 개발하는 구글의 OTP 앱에 이 기능이 설정되어 있지 않은 것이지요. 이 문제점은 이미 2014년 10월경 Github에서도 지적되었으나 5년 이상 지난 지금까지도 아직 해결되지 않았습니다. 보안업체 측에 따르면 악성코드에서 이런 식으로 실제 피해를 발생시킨 흔적은 지난 2월 말까지는 발견되지 않았다고 하지만, 이는 문제의 변종 악성코드 개발이 완전히 다 끝나지 않아서인 것으로 보입니다. 따라서 빠른 해결이 시급합니다.
 

p.s.
참고로 저는 예전부터 Google OTP 앱 대신 Authy라는 다른 앱을 쓰고 있습니다. 이 앱은 해당 문제점이 없습니다. QR코드를 찍는 방식의 OTP 앱은 회사가 달라도 호환되기 때문에, 구글이 아닌 MS나 다른 회사에서 만든 OTP 앱을 구글 웹사이트에서 써도 아무 지장이 없습니다. 참고로 MS에서 만든 OTP 앱에서도 해당 문제점이 있다고 하는데, 지금은 어떤지 모르겠네요.
 



  • ?
    달가락 2020.03.09 11:50
    Google OTP에서 Authy로 갈아타고 싶긴 했는데, 막상 다시 등록해야 할 걸 생각하니 엄두가 안나더라구요. iOS라 저 문제에는 해당사항이 없지만.. 다음에 여유 있을 때 꼭 해야겠어요.
  • profile
    쮸쀼쮸쀼 2020.03.09 12:03
    저는 Authy로 넘어갈 때 하루 날 잡고 한번에 다 바꿨습니다. 일단 하고 나니 편하더라고요.
  • profile
    슬렌네터      Human is just the biological boot loader for A.I. 2020.03.09 12:47
    authy로 갈아타야겟군요
  • profile
    늘푸른해리      히후미 귀여워요 히후미 2020.03.09 15:29
    MS OTP도 여전히 캡쳐 방지가 없는것 같네요. 멀티테스킹 화면에서도 OTP 화면이 계속 보이네요.
  • profile
    title: 폭8애옹      뿅! 2020.03.09 16:28
    전 시작할때부터 Authy로 시작했습니다
    역시 첫단추를 잘 끼워야 하죠
  • profile
    미야™      ガルル〜っぽい 2020.03.09 18:47
    저는 백업/멀티 디바이스 기능이 있어서 authy로 쓰고 있었어요. (보안에서 손해를 볼 수도 있는 기능이지만)
    확실히 스크린샷 찍으려고 하니까 "보안 정책에 따라 화면 캡처를 할 수 없어요" 라고 안내가 나오네요.
  • profile
    쿠민      나나니지 // MacBook Pro (14", M3 Pro) 2020.03.09 19:14
    이 글을 보고 Authy로 갈아탔습니다
  • profile
    라데니안 2020.03.09 20:40
    MS OTP 쓰고 있는데 혹시 모르니 옮겨 타봐야겠네요. 다행히 등록 계정이 몇 개 안 되어 금방 옮길 수 있겠습니다.
  • ?
    실핀 2020.03.09 20:50
    OTP 복구 비밀번호를 어디다 저장할지 질문글 올리려다가 이 글을 봤네요. 구글에서 갈아타야겠어요..
    Authy로 가려다 andOTP로 왔습니다. 캡쳐방지와 자동 야간모드 변경되는 인증앱은 못찾겠네요.
  • profile
    Touchless 2020.03.10 23:19
    OTP 앱도 이런 보안 문제가 있어서
    구글이나 마이크로소프트가 2FA 하드웨어 키를 도입하는 건가 싶습니다.

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.


  1. 텍스트 뷰어 이지뷰어가 거의 20년 가까운 세월을 지나서 업데이트가 되었습니다.

    (이번 업데이트된 2.48.1버전) (얼마전까지 최신이었던 2.47 p2버전)   XP시절쯤에 상당히 쓰이던 이지뷰어가 2.47에서 2.48.1로 거의 20년만에 업데이트가 되었습니다. 업데이트 내용은 ▧ 이지 뷰어 2.48.1 ▧ ☞ 개선된 내용   ▷ 간혹 ES...
    Date2017.09.02 소식 By에른스트 Reply10 Views12954 file
    Read More
  2. 윈도우 10 가을 업데이트가 10월 17일에

    윈도우 10 가을 크리에이터스 업데이트가 10월 17일에 시작된다고 합니다. 레노버 Miix 520 제품 페이지에 올라왔던 내용이나 지금은 삭제.
    Date2017.09.02 소식 By낄낄 Reply2 Views517 file
    Read More
  3. 유튜브, 로고와 인터페이스 변경

    유튜브가 로고를 바꿨습니다. 유튜브 글씨는 전부 검은색, 대신 왼쪽에 빨간 아이콘이 붙습니다. 그리고 사이트 디자인은 매터리얼 디자인, 모바일 앱 강화, 더블 탭으로 되감기, 슬로우 모션 기능이 구현됐습니다. 유튜브가 12년 전에 ...
    Date2017.08.30 소식 By낄낄 Reply7 Views1425 file
    Read More
  4. 최신 영화/드라마를 가장한 악성코드

    수상한 메일이 뜬금없이 최신 영화나 드라마가 있다고 한다면 그걸 그대로 믿으시는 분은 없을 것 같지만.. 워드 문서를 다운받으면 동영상이 있다고 해놓고. 워드에서 클릭하면 강제로 파워셀 스크립트가 실행돼 트로이 목마로 연동되는 ...
    Date2017.08.29 소식 By낄낄 Reply2 Views706 file
    Read More
  5. 스마트폰에서 쉽게 악성코드를 주문하는 앱

    중국의 해킹 포럼과 SNS 광고를 통해 악성 코드를 만들 수 있는 앱이 퍼지는 중이라고 시맨택이 밝혔습니다. 이 애플리케이션에서 감염 대상, 표시 매세지, 잠금 해제 키, 아이콘, 무작위 변수, 설정 값, 애니메이션 등을 지정하면 악성코...
    Date2017.08.28 소식 By낄낄 Reply2 Views566 file
    Read More
  6. 모바일 웹피이지 로딩을 2배로 빠르게 하는 방법

    미국 미시간 대학이 모바일 웹 페이지의 로딩 속도를 향상시키는 기술을 발표했습니다. 웹 페이지 표시에 필요한 컨텐츠 종속성을 저장한 프록시 서버를 사이에 넣어 최적화를 수행합니다. 100개 유명 웹사이트를 대상으로 테스트한 결과 ...
    Date2017.08.28 소식 By낄낄 Reply2 Views994 file
    Read More
  7. No Image

    윈도우 10 프리뷰 빌드 16275

    윈도우 10 인사이더 프리뷰 빌드 16275 버전을 마이크로소프트가 공개했습니다. 슬라이드 쇼 사용시 절전 모드에서 복귀해도 잠금 화면을 풀지 못하던 문제, DPI 배율이 제대로 반영되지 않는 문제, 디스플레이 표준 스케일을 쓰지 않을때...
    Date2017.08.28 소식 By낄낄 Reply0 Views433
    Read More
  8. No Image

    펜타곤, 여전히 윈도우 95를 사용 중

    펜타곤에서 사용중인 시스템의 다반수- 약 75%가 여전히 윈도우 95, 윈도우 98을 운영체제로 사용 중이라고 합니다. 마이크로소프트는 펜타곤의 시스템을 윈도우 10으로 업데이트하기 위해 협조할 예정. 펜타곤의 시스템 상당수는 외부 네...
    Date2017.08.25 소식 By낄낄 Reply27 Views2268
    Read More
  9. 윈도우 10의 최신 개발 버전에 대한 소식들

    마이크로소프트가 윈도우 10 인사이더 프리뷰 빌드 16273 PC 버전을 공개했습니다. 가을 크리에이터스 업데이트, 레드스톤 3에 거이 다 도달했으며, 버그 수정 위주로 진행되는 중. 이 버전에 View Mixed Reality가 탑재됩니다. 일반 카메...
    Date2017.08.24 소식 By낄낄 Reply6 Views1332 file
    Read More
  10. 자동으로 특정인의 얼굴을 흐리게 하는 영상 처리

    구글은 유튜브의 동영상 업로드 기능 중 하나인 '블러 페이스' 기능을 강화했습니다. 이 기능은 2012년에 나와, 2016년 2월에는 동영상의 물체를 추적해 블러 처리하는 기능이 추가됐습니다. 이번 업데이트에선 동영상에 등장하...
    Date2017.08.23 소식 By낄낄 Reply9 Views1643 file
    Read More
  11. AVTest의 상반기 윈도우 백신 순위

    AV-TEST가 2017년 1~6월의 윈도우 플랫폼 백신 프로그램 순위를 발표했습니다. 카스퍼스키가 모든 부문에서 만점. 다음은 노턴, 트렌드 마이크로, 비트 디펜더, 아비라, F-시큐어, AVG, 안랩 V3, 아바스트 등의 순입니다.
    Date2017.08.23 소식 By낄낄 Reply9 Views1288 file
    Read More
  12. 윈도우 10 프로, ReFS 볼륨 생성 기능 삭제

    윈도우 10 프로의 가을 크리에이터스 업데이트에서 ReFS 파일 시스템 볼륨을 만드는 기능이 삭제됩니다. ReFS는 복구 기능을 갖춘 파일 시스템으로, 데이터 손상을 감지하는 체크섬이 포함되며 다른 드라이브에서 손상된 데이터를 자동 ...
    Date2017.08.22 소식 By낄낄 Reply11 Views1258 file
    Read More
  13. CPU-Z의 여러 스킨

    CPU-Z가 다양한 커스텀 스킨을 제공합니다. 개인적으로 애즈락 포뮬러는 좀 별로네요. 나머지는 다 쓸만한데.. 쿨러마스터 ASUS ROG 기가바이트 기가바이트 어로스 MSI 게이밍 애즈락 포뮬러 애즈락 타이치
    Date2017.08.22 소식 By낄낄 Reply9 Views995 file
    Read More
  14. 파스칼 GPU 가상화 소프트웨어, 쿼드로 버추얼 데이터센터 워크스테이션

    2017년 8월 17일, NVIDIA는 파스칼 아키텍처에서 지원하는 새로운 GPU 가상화 소프트웨어인 Quadro Virtual Data Center Workstation과, 이를 이용한 가상 머신 서비스를 발표했습니다. 쿼드로라는 이름을 보면 알겠지만 일반 사용자가 ...
    Date2017.08.19 소식 By낄낄 Reply1 Views1118 file
    Read More
  15. No Image

    이스포츠 도박 회사가 자체 가상 화폐를 발행

    프로 게이머들의 이스포츠 경기 결과를 예상하는 온라인 도박 회사 Unikrn이 자체 가상 화폐 1억 달러를 9월에 발행합니다. 이 회사는 전세계를 대상하고 베팅을 받기에 은행을 거치지 않고 결재하기 위한 수단으로 가상 화폐를 발행하는 ...
    Date2017.08.18 소식 By낄낄 Reply5 Views691
    Read More
  16. 구글 지도, 장소의 Q&A 기능 추가

    구글 지도의 특정 장소에 Q&A를 남길 수 있는 기능이 추가됐습니다. 특정 시설/가게의 소유자나 다른 사용자에게 질문을 남기고, 답변을 해줄 수 있습니다. 소유자는 FAQ를 미리 추가해 두는 것도 가능.
    Date2017.08.18 소식 By낄낄 Reply4 Views388 file
    Read More
  17. MS, .NET Core 2.0 발표

    마이크로소프트가 .NET Core 2.0을 발표했습니다. 코어CLR 런타임과 CoreFX 프레임워크 라이브러리에서 완전한 최적화가 이루어져, 관리, JIT 컴파일러, 서버 시스템에서의 체험이 더 나아졌다고 합니다. 그리고 .NET Standard 2.0을 도입...
    Date2017.08.16 소식 By낄낄 Reply0 Views779 file
    Read More
  18. 압축 효율 60% 향상, 새로운 JPEG-XL 스펙 공모

    이미지 포맷 표준화 그룹인 JPEG (The Joint Photographic Experts Group)가, 기존의 JPEG 포맷에서 압축율을 60% 향상시키는 것이 목적인 차세대 포맷 JPEG-XL의 요구 사항을 올 10월에 초안을 잡고 2020년에 국제 표준으로 인정시킬 것...
    Date2017.08.15 소식 By낄낄 Reply6 Views969 file
    Read More
  19. No Image

    랜섬웨어감염으로 인해 LG전자 서비스센터 전산망 마비

    오늘 오전 LG CNS의 서버가 공격당하면서 LG전자 서비스센터의 전산망이 랜섬웨어에 감염되었습니다 이로인해 전국의 모든 LG전자 서비스센터의 업무가 마비되는 피해가 발생하였습니다
    Date2017.08.14 소식 ByElsanna Reply10 Views1101
    Read More
  20. 인텔의 엔터프라이즈 블록 체인 서비스

    인텔과 마이크로소프트가 기업의 개인 정보 보호와 보안 강화를 위해 블록 체인 기술을 제공하는 새로운 프레임워크를 발표했습니다. 인텔 소프트웨어 가드 익스텐션을 통합해 새로운 엔터프라이즈용 블록 체인 프레임워크를 구축할 예정....
    Date2017.08.12 소식 By낄낄 Reply1 Views715 file
    Read More
목록
Board Pagination Prev 1 ... 261 262 263 264 265 266 267 268 269 270 ... 290 Next
/ 290

최근 코멘트 30개
Loliconite
04:19
냥뇽녕냥
02:49
ExpBox
02:36
포인트 팡팡!
02:25
아이들링
02:25
아이들링
02:06
아이들링
01:53
아이들링
01:51
스와마망
01:41
스와마망
01:37
스와마망
01:35
PAIMON
01:32
PAIMON
01:31
아스트랄로피테쿠스
01:24
ExpBox
01:22
360Ghz
01:21
투명드래곤
01:20
ExpBox
01:20
까마귀
01:19
ExpBox
01:18
아이들링
01:13
포인트 팡팡!
01:07
MUGEN
01:07
빈도
01:04
아이들링
01:01
까마귀
00:59
아이들링
00:50
이수용
00:47
조마루감자탕
00:46
노코나
00:40

한미마이크로닉스
더함
AMD
MSI 코리아

공지사항        사이트 약관        개인정보취급방침       신고와 건의


기글하드웨어는 2006년 6월 28일에 개설된 컴퓨터, 하드웨어, 모바일, 스마트폰, 게임, 소프트웨어, 디지털 카메라 관련 뉴스와 정보, 사용기를 공유하는 커뮤니티 사이트입니다.
개인 정보 보호, 개인 및 단체의 권리 침해, 사이트 운영, 관리, 제휴와 광고 관련 문의는 이메일로 보내주세요. 관리자 이메일

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소