| [ garbages ] in KIDS 글 쓴 이(By): limelite (a drifter) 날 짜 (Date): 2013년 01월 04일 (금) 오후 08시 03분 03초 제 목(Title): Re: 쉬워도 너~무 쉬운 갤럭시s3 루팅 > 갤3,삼성의 문제가 아니라 아이퐁도 동일합니다. > 아니 모든 임베디드 장비가 그렇죠. > 의견은 알겠는데 기술적으로도 불가능한 일이고 > 의미도 없다는 말씀이니다. 기술적으로 불가능하다거나 모든 임베디드 장비가 그렇다고 하는 얘기들은 분명히 잘못된 얘기예요. 기술적으로 어려운 점이 없다 등등 여태 이야기 했는데도 도대체가 -_-; > 이해하는 방식이 다른 것 같네요. > 저는 왜 초기화가 보안과 관련이 있는지 모르겠습니다. 바로 자하랑님 자신이 드신 사례에 답이 있습니다. > PC의 바이어스 암호도 사실상 초기화할라고 치면 > 부팅 디스크로 부팅하던가, 아니면 본체열고 CMOS reset하는데 5분도 > 안걸리니까 어차피 의미없는 보안입니다. PC나 노트북의 BIOS 진입 암호를 마주칠 수 있다면 무슨 상황인가요? PC/노트북에 바로 물리적 접근이 가능한 상황이죠. 이 상황에서 BIOS 암호? 있더라도 마음 먹으면 케이스 열어서 하드디스크를 뜯던지 등등 하면 BIOS 암호를 우회하고 무력화시킬 수 있는 방법이 많습니다. 그럼 이렇게 다양한 방법으로 금방 쓸모 없어지는 BIOS 암호는 도대체 왜 만든 거죠? BIOS 제작자들이 성격 이상해서? 이건 뭐... 보안에 대해서 기초적인 문건 만 봐도, 아니 안 봐도 현장 경험 좀 있으면 금방 답을 알 수 있는 이유잖아요. *~* 자하랑님이 하신 얘기 중에서 제가 납득할 수 있는 유일한 사유는 "다른 폰들도 다 그렇다"입니다. 그나마 이것도 완전한 맞는 사실을 이야기해서 납득할 수 있다는 것이 아닙니다. 대다수가 잘못하고 있으니 대다수 따라서 한 것이 큰 잘못은 아니지 않느냐... 이런 의미로 납득하겠다는 것입니다. 일례로... 제가 전에 쓰던 노키아X6 스맡폰은 공장초기화에 사용자 암호를 걸 수 있습니다. 암호를 걸지 않을 수도 있고, 초기 암호가 아주 쉽고 잘 알려진 것이긴 하지만, 사용자가 원하면 바꿀 수 있어요. 업무용으로 많이 쓰는 블랙베리 폰도 암호 문제에 대해 까다롭다는데 무단 초기화나 펌웨어 다운에 대해서는 어떻게 대응하는지 잘 모르겠네요. 블랙베리 폰은 접해본 적이 거의 없어서요. 어째건... 세상 휴대폰 100 종류 중에 99 종류가 노키아X6처럼 하지 않는다고 해서 노키아X6이 이상하다? 혹은 노키아X6처럼 되길 바라는 게 이상하다? 이렇게 이야기할 사안이 아닌 것 같습니다. 특히나 자하랑님이 직접 예로 드신 PC의 BIOS 암호 사례를 고려할 때요. 그래서... 제 얘기에 동의하건 동의하지 않건... 저런 게 불가능하다? 보안과 관련 없다? 세상 모든 임베디드 장비가 그렇다? 이런 말들이 사실 아닌 것은 이제 이해하셨으면 좋겠네요. *~* 아울러... 갤럭시폰 같은 류의 폰들은 보안이 중요한 상황에서는 절대로(!) 사용하지 말아야 하는 폰인 거죠. 예를 들어 보면... 국가 간의 살벌한 정보전이 아니더라도, 수백억? 아니 수십억? 규모의 사업 수주 때문에 A사와 B사가 경쟁하는 상황이라고 해보자구요. 그런데 A사 임원이 갤럭시 스맡폰을 사용하는 것을 B사에서 알았어요. 이 경우 B사에 나쁜 마음을 먹는다면... 사내에 관련 인력이 있는 경우 간단하게, 없더라도 간단하게 인력 수급해서 갤럭시 스맡폰 활동을 감시하거나 사용정보를 누출할 수 있는 악성코드를 만들고, 적당히 기회를 만들어 A사 임원 갤럭시 스맡폰에 심을 수 있을 겁니다. 왜? 들인 비용에 비해서 효과가 훨씬 크니까... 이 경우 A사 임원이 SIM비번을 사용하고, 잠금화면을 사용하고, 심지어 데이터 암호화까지 적용해도 이것을 막을 수가 없어요. A사 임원의 잘못이라면 갤럭시 스맡폰에 이런 사용자 보안 조처를 간단하게 우회할 수 있는 보안구멍이 있다는 걸 몰랐던 것이죠. 물론 보통 사람들은 이렇게까지 하지 않죠. 하지만, 마음 먹었을 때 할 수 있다면, 극소수라도 누군가는 결국 하고 마는 것이 세상이잖아요. 이런 드문 경우에 발생할 피해에 대비하는 것이 보안의 중요한 목적 중 하나고요. 그런 의미에서 도대체가 나이브한 이런 얘기도 그만하셨으면 좋겠어요. > 물리적으로 장비에 접근한 이상 초기화에 대한 보안은 의미없는 행위죠. ............................................................................... a drifter off to see the world there's such a lot of world to see |