또 한번의 초대형 해킹 사건이 터졌네요.

범인은 미국 NSA와 영국 GCHQ의 합작 프로젝트인  Mobile Handset Exploitation Team (MHET).

2010년 부터 활동을 시작했다고 합니다.

 휴대폰과 스마트폰의 SIM, 신용카드, 현금카드 등에 들어가는 컴퓨터 칩을 생산하는 세계 최대 업체가

네덜란드에 본사를 둔 Gemalto라는 회사인데,

이 회사의 내부망에 미국과 영국 정부 보안기관들의 특수 합작팀인 MHET가 침투를 해서

반도체 칩에 들어가는 Key번호를 탈취했다고 합니다.

지말토는 전세계 43개국에 공장과 연구소등을 보유하고 있는데

이 공장과 연구소 직원들이 서로 통신을 할 때에, 내부망에 침투를 해서 Key들을 탈취를 했다고 합니다.

( 그러나 본인 추측엔, MHET 직원중의 일부가 이 회사에 직원으로 취직을 했을 것으로 추정함)

따라서 특정 사용자의 모든 통화와 대이터 송수신을 엿들을 수 있다고 합니다.

그리고 이동통신회사의 인증서버에 까지 침투를 했기 때문에,

특정 사용자 몰래, 해당 사용자의 기기내에 있는 정보를 다른 곳으로 전송을 해도,

과금이 되지도 않고 증거가 남지 않기 때문에, 이동통신회사에서는 알 수가 없다고 합니다.

지말토의 반도체 칩은, 전세계 대부분의 이동통신 업체 SIM 카드에 들어가는 것 같습니다.

(국내 이동통신 회사들도 이 회사 제품을 이용하는 지는 정확히 모르겠음.

그러나 인터넷을 대충 검색해 보니, 국내 이동통신사들과 신용카드, 현금카드, 체크카드 기타 등등에도

이 회사 제품이 사용되는 것 같군요)

==========================================================================

레노버에서 판매되는 컴퓨터에 기본으로 설치되어 있던 수퍼피쉬라는 해킹 프로그램.

레노버측의 주장은

고객들의 성향(고객들이 인터넷에서 어떤 상품을 주로 구매하는지)을 파악하기 위한 목적이었다고 발표를 했지만

이 수퍼피쉬에 쓰인 기법은 엄청나게 충격적인 기법입니다.

지금까지 해킹이 불가능한 것으로 알려진, https 접속을 해킹한 사건이기 때문입니다.

인터넷 사용자들 뿐만 아니라   은행들, 쇼핑싸이트들, 기타 수 많은 안전한 웹싸이트들이 모두

공인 인증서라는 것을, [공인 인증서 발급 기관]으로부터  발급 받습니다.

그런데 수퍼피쉬라는 해킹 프로그램이, 이 [공인 인증서 발급 기관]의 역할을 합니다.

따라서 이 기법을 사용하면, 인터넷을 오가는 정보를 조작해서 아주 많은 나쁜 짓을 할 수가 있습니다.

예를 들어서, 사용자가 A라는 은행 웹싸이트에 접속을 해서, 100만원을 B계좌로 송금을 했을 때

실제로는 1억원을 C계좌로 송금을 하게 만들 수 있습니다.

그러나 사용자는 이 사실을 전혀 알 수 없게 만들 수 있습니다. 왜냐하면 사용자의 웹브라우저 화면에는

실제 은행으로 부터 전송되어 온 웹 화면에서, 일부 숫자만 바꾸는 방식을 통해서

100만원을 B계좌로 송금했을 때의 과정과 완벽하게 동일한 화면을 보여주면 되기 때문입니다.

다음의 내용은 본인의 추정입니다.

그러나 이 수퍼피쉬 프로그램에 딱 하나 허점이 있는 것 같은데... 그것이 무엇인가 하면

[ 모든 https:// 접속 시, 웹브라우저 주소창의 색깔이 녹색으로 바뀌어야 정상입니다.]

그런데 수퍼피쉬 기법으로 가짜 공인 인증서를  생성했을 때,

웹브라우저의 주소창 색깔이 녹색으로 바뀌지 않는 것 같습니다.