ICTK ‘큐트러스트넷’, 유심 해킹 방지책 '부각'
VPN 취약점에 대한 안정성 확인 "인증키 외부 유출에 안전"
차세대 보안 팹리스 기업 아이씨티케이(ICTK, 456010, 대표이사 이정원)는 자사의 보안 솔루션 qTrustNet이 스택 기반 버퍼 오버플로우(Stack Buffer Overflow) 취약점에 대한 안정성이 입증되었다고 밝혔다.
△ 큐트러스트넷(qTrustNet), 아이씨티케이 제공
스택 기반 버퍼 오버플로우 취약점은 프로그램 실행 시 사용되는 ‘스택(Stack)’이라는 메모리에 인증되지 않은 공격자가 조작된 대량의 데이터를 원격으로 주입해 버퍼를 넘치게 한 뒤, 악성 명령 코드를 실행하는 보안 위협을 말한다. 여러 언론 매체와 보안 전문가들은 최근 SKT 해킹 사태에 사용된 것으로 알려진 BPFdoor 백도어*가 이 같은 취약점을 통해 침투했을 가능성이 높다고 분석하고 있다.
대구대학교 김창훈 교수 연구실에서 24년에 이어 올해에도 진행한 qTrustNet 성능 테스트 연구 결과에 따르면, 이 제품은 임베디드 리눅스 기반 장비를 클라이언트로 사용하며, 부팅과 동시에 인증서버와 장치간의 상호 인증을 자동으로 수행하기 때문에 스택 기반 버퍼 오버플로우가 발생할 수 없다. 또한, PUF(물리적복제불가기능)기술 기반 PQC-TLS 1.3**을 통해 상호 인증이 이뤄지며, 이 과정에서 사용되는 모든 개인키는 PUF 보안칩의 Secure Storage에 저장되므로 시스템이 침해되더라도 인증 키가 외부로 유출되는 구조적인 취약점도 존재하지 않음이 확인되었다.
ICTK 관계자는 “qTrustNet은 ‘선 인증 후 접속’방식으로 ‘침투 → 은닉 → 탈취’의 해킹 전술을 원천 차단하는 제로 트러스트(Zero Trust) 보안을 구현했다.”며, “앞으로도 글로벌 보안 위협 시나리오를 선제적으로 분석하여 PQC·PUF 기술을 접목한 보안 아키텍처를 고도화해 양자시대에도 안전한 보안 생태계를 구축해 나가도록 노력하겠다.”고 말했다.
현재 qTrustNet은 LG유플러스의 스마트 CCTV 등 주요 IoT 인프라에 적용되어 운영 중이며, 양자 컴퓨팅 시대의 잠재적 보안 위협을 대비할 수 있는 실질적인 대응책으로 주목받고 있다.
* BPFdoor 백도어: Linux 기반 시스템에서 동작하는 고급 백도어로 raw socket과 BPF(Berkeley Packet Filter)를 사용하여 특정 조건을 만족하는 패킷을 감청하고 분석하며, 서비스 포트를 오픈하지 않고도 외부 명령을 수신하기에 은폐성이 높습니다.
** PQC-TLS 1.3: 인터넷 통신 보안을 강화하는 암호화 프로토콜(TLS, Transport Layer Security)인 TLS 1.3에 PQC(양자내성) 알고리즘을 적용한 것입니다.
기사보기
- 더벨
ICTK ‘큐트러스트넷’, 유심 해킹 방지책 '부각'
VPN 취약점에 대한 안정성 확인 "인증키 외부 유출에 안전"
차세대 보안 팹리스 기업 아이씨티케이(ICTK, 456010, 대표이사 이정원)는 자사의 보안 솔루션 qTrustNet이 스택 기반 버퍼 오버플로우(Stack Buffer Overflow) 취약점에 대한 안정성이 입증되었다고 밝혔다.
△ 큐트러스트넷(qTrustNet), 아이씨티케이 제공
스택 기반 버퍼 오버플로우 취약점은 프로그램 실행 시 사용되는 ‘스택(Stack)’이라는 메모리에 인증되지 않은 공격자가 조작된 대량의 데이터를 원격으로 주입해 버퍼를 넘치게 한 뒤, 악성 명령 코드를 실행하는 보안 위협을 말한다. 여러 언론 매체와 보안 전문가들은 최근 SKT 해킹 사태에 사용된 것으로 알려진 BPFdoor 백도어*가 이 같은 취약점을 통해 침투했을 가능성이 높다고 분석하고 있다.
대구대학교 김창훈 교수 연구실에서 24년에 이어 올해에도 진행한 qTrustNet 성능 테스트 연구 결과에 따르면, 이 제품은 임베디드 리눅스 기반 장비를 클라이언트로 사용하며, 부팅과 동시에 인증서버와 장치간의 상호 인증을 자동으로 수행하기 때문에 스택 기반 버퍼 오버플로우가 발생할 수 없다. 또한, PUF(물리적복제불가기능)기술 기반 PQC-TLS 1.3**을 통해 상호 인증이 이뤄지며, 이 과정에서 사용되는 모든 개인키는 PUF 보안칩의 Secure Storage에 저장되므로 시스템이 침해되더라도 인증 키가 외부로 유출되는 구조적인 취약점도 존재하지 않음이 확인되었다.
ICTK 관계자는 “qTrustNet은 ‘선 인증 후 접속’방식으로 ‘침투 → 은닉 → 탈취’의 해킹 전술을 원천 차단하는 제로 트러스트(Zero Trust) 보안을 구현했다.”며, “앞으로도 글로벌 보안 위협 시나리오를 선제적으로 분석하여 PQC·PUF 기술을 접목한 보안 아키텍처를 고도화해 양자시대에도 안전한 보안 생태계를 구축해 나가도록 노력하겠다.”고 말했다.
현재 qTrustNet은 LG유플러스의 스마트 CCTV 등 주요 IoT 인프라에 적용되어 운영 중이며, 양자 컴퓨팅 시대의 잠재적 보안 위협을 대비할 수 있는 실질적인 대응책으로 주목받고 있다.
* BPFdoor 백도어: Linux 기반 시스템에서 동작하는 고급 백도어로 raw socket과 BPF(Berkeley Packet Filter)를 사용하여 특정 조건을 만족하는 패킷을 감청하고 분석하며, 서비스 포트를 오픈하지 않고도 외부 명령을 수신하기에 은폐성이 높습니다.
** PQC-TLS 1.3: 인터넷 통신 보안을 강화하는 암호화 프로토콜(TLS, Transport Layer Security)인 TLS 1.3에 PQC(양자내성) 알고리즘을 적용한 것입니다.
기사보기
- 더벨