펄스 시큐어의 VPN 서비스를 익스플로잇 하는 중국 해커들...미 CISA가 경고
정말로 차세대 플래시 될까...구글, 크롬에서 발견된 제로데이 또 다시 긴급 패치
영국 정부, 사물인터넷 강화 위한 새 법안에 스마트폰까지 포함시키는 움직임 보여

[보안뉴스 문가용 기자] 펄스 시큐어의 VPN 서비스가 중국 해커들에 의해 익스플로잇 되고 있어 미국 정부가 긴급 경고문을 발표하며 사태 해결에 나섰다. 구글에서는 또 다시 크롬 제로데이가 발견돼 부랴부랴 패치가 배포되기 시작했다. 영국 정부는 사물인터넷 장비 강화를 위한 법안을 준비 중에 있는데, 여기에 스마트폰도 포함시키려는 움직임을 보이고 있다.


[TechCrunch] 영국의 ‘설계에 의한 보안법’, 스마트폰까지도 아우른다 :
영국이 ‘설계에 의한 보안 법(Security by Design Law)’을 준비 중에 있다. 기본적인 보안 기능을 갖추지 못한 장비들은 시장에 나오지도 못하게 하겠다는 것이다. 여기에 스마트폰들도 포함될 예정이라, 영국 시장에 진출해 있는 스마트폰 기업들에도 비상이 걸렸다. 물론 이 법안은 2019년에 이미 초안이 등장한 상황이긴 하다. 하지만 당시에는 스마트폰에 대한 언급이 없었다. 얼마 전 소비자 단체인 위치?(Which?)가 스마트폰의 보안 실태가 심각하다고 발표한 것 때문에 법안에 관련 내용이 추가된 것으로 보인다.

[The Register] 중국, 펄스 시큐어 VPN 통해 수많은 조직에 침투 :
펄스 시큐어(Pulse Secure)의 VPN 서비스가 중국 해커들에 의해 공략당하고 있다. 제로데이를 포함해 여러 가지 취약점이 익스플로잇 되는 중이라고 하는데, 펄스 시큐어 VPN의 모기업인 이반티(Ivanti)가 이 사건에 해당되는 고객사에게 일일이 통보하고 있는 중이라고 한다. 물론 이반티 측은 ‘매우 적은 수의 고객들에서 공격 시도가 발견됐다’는 식으로 사건을 축소하려고 하지만, 이미 미국 정부 차원에서의 경고가 나온 상태다.

[US-CERT] CISA, 펄스 커넥트 시큐어에 대한 긴급 경고문 발표 :
미국 국토안보부 산하 사이버 보안 전담 조직인 CISA가 각종 사회 기반 시설과 정부 조직, 민간 기업들을 겨냥한 펄스 시큐어 서비스 익스플로잇에 대한 공식 경고문을 발표했다. 중국의 공격자들이 활용하고 있는 취약점은 CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, CVE-2021-22893 등이라고 한다. 이반티가 개발한 점검 도구와 패치도 소개되고 있다.

[SecurityWeek] 구글 크롬, 또 제로데이 공격 받았나?
무수한 제로데이 취약점들 때문에 사라진 플래시 플레이어의 뒤를 잇는 구글 크롬에서 또 다른 제로데이 취약점이 발견됐다. CVE-2021-21224로 일종의 ‘타입 혼동’ 취약점 중 하나라고 한다. 한 보안 전문가가 구글에 알렸기 때문에 구글이 긴급 패치를 배포했지만, 이미 해커들 사이에서는 실제 공격에 활용되어 왔다고 한다.

[MacPowerUser] 멀웨어 개발자들, 가짜 MS 스토어 페이지 만들어 :
멀웨어를 전문적으로 제작하는 해킹 단체 하나가 일반적인 웹 광고를 통해 게임이나 소프트웨어를 홍보하기 시작했다. 이 광고에 클릭하여 들어가면 공식 MS 웹스토어처럼 보이는 웹사이트로 접속된다. 공식 스토어인줄 알고 다운로드를 시작할 경우 피해자의 시스템에 피커(Ficker) 혹은 피커스틸러(FickerStealer)라고 불리는 멀웨어가 설치된다고 한다. 이 멀웨어는 시스템에서 각종 정보를 훔치는 기능을 가지고 있다.

[ThreatPost] 모질라, 파이어폭스 88 발표하며 취약점 13개 해결 :
모질라 재단(Mozilla Foundation)이 파이어폭스 88을 발표했다. 고위험군을 비롯해 다양한 등급으로 분류된 취약점 13개가 패치됐다. 특히 HTTPS 프로토콜이 사용될 경우 브라우저에 나타나는 ‘안전’ 표시 아이콘을 공격자가 마음대로 조작할 수 있게 해 주는 취약점이 이번에 패치됐다. 13개 취약점들 중 6개가 고위험군으로 분류됐다.

[BankInfoSecurity] 전력망 보안 강화 위한 100일 계획 발표돼 :
국가 기반 시설 중 전력망에 대한 사이버 보안 강화를 위한 바이든 행정부의 계획이 발표됐다. 100일 동안 전력망에 집중한 후, 다음 사회 기반 시설의 강화로 넘어가는 식으로 일을 진행해 미국 전역의 사회 기반 시설을 안전하게 만들겠다는 것이 바이든의 큰 계획이다. 이 프로젝트에서 특히 강조되고 있는 건 민과 관의 협력 체계다. 공공과 민간이 책임을 공유하여 기반 시설을 탄탄하게 만드는 체계를 구축하는 것 또한 이 프로젝트의 목적이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>