• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “MS 긴급 패치 발표” 外 2014.11.19

오늘의 키워드 : 에지캐스트, 렛츠엔크립트, MS, 구글, iOS, 홈데포

2015년에는 어떨까? 중국의 자기부정, SSL 인증서 무료화

소비자나 관리자나 정부 관계자나, 보안 사고에 무덤덤


[보안뉴스 문가용] 중국에서 인터넷을 한다는 건 어떤 경험일까요? 우리나라에도 차단된 사이트가 적지 않다고 하는데, 중국은 차원이 다른 것 같습니다. 이번엔 반사상의 물결 혹은 자유주의의 물결이 몰아칠 만한 통로를 하나 차단했는데요, 그 때문에 그 통로를 이용해 중국 웹 세계에 발을 들여놓을 수 있었던 수많은 사이트들이 난감해하고 있다고 합니다. 그런 와중에 세계인터넷컨퍼런스가 중국에서 개최를 앞두고 있다니, 짠맛 단맛 섞인 허니버터칩이 여기에도 있네요.

 

 ▲ 우린 어쩌면 생각보다 호각세일지도 모른다

MS, 구글, 애플에서 패치와 오픈 소스 툴을 각각 공개했습니다. 해커의 창의력과 발빠른 움직임을 못 쫓아간다고는 하지만, 보안 업계도 부지런하고 너그럽게 움직이고 있죠. 사실 뚫렸다는 소식만 뉴스화되어서 그렇지 제대로 통계를 내보면 방어에 성공한 횟수가 더 높을 거 같다는 생각도 듭니다. 내년엔 타깃형 공격, 즉 특정 대상을 겨냥해 실행하는 공격이 늘어날 거라는 전망이 이를 반증하는 것 아닐까요? 그렇다면 점점 낮아지고 있는 대중들의 보안의식이 관건이 될 수 있겠네요. 공격자와 방어자의 기술이 발전하면서 사람이 취약점이라는 게 더 분명히 드러나고 있습니다.

 

1. 중국 정부 에지캐스트 차단 후폭풍 거세(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/sites-damage-china-blocks-edgecast/

세계에서 가장 큰 콘텐츠 네트워크 중 하나인 에지캐스트를 중국 정부에서 차단했습니다. 자유주의 진영에서부터 생성되는 직간접적인 반사상 내용물들을 열람 불가능하게 만들기 위해서라고 하는데요, 이 때문에 소니, 파이어폭스 등이 소유한 사이트들도 덩달아 차단되는 효과를 가져와 파장이 큽니다. 이를 보도한 검열반대 조직인 그레이트파이어(Greatfire)는 이번 주 세계인터넷컨퍼런스를 개최하는 등 중국이 세계 인터넷 강국으로 거듭나기 위해 노력하는 것과는 정 반대의 상충되는 모습이라며 이를 자기부정 외에 어떻게 설명할 수 있느냐며 꼬집었습니다.

 

2. EFF 등, 2015년에 웹 암호화를 보다 간편하게 만들 계획(Threat Post)

http://threatpost.com/eff-others-plan-to-make-encrypting-the-web-easier-in-2015/109451


모질라, EFF, 시스코 등 무료 SSL 인증서 도입 계획 발표(The Register)

http://www.theregister.co.uk/2014/11/18/lets_encrypt_free_digi_certs/

HTTP를 HTTPS/SSL로 대체하자는 의견이 일부 프라이버시 옹호자들 사이에서 불거지고 있지만 인증서 값이 비싸고 설치 및 유지가 고약할 정도로 힘들다는 이유로 별다른 힘을 얻고 있지는 못하고 있습니다. 그래서 EFF 등 여러 조직 및 단체들이 렛츠엔크립트(Let┖s Encrypt)라는 인증기관을 설립, 내년까지 무료 인증서를 도입하는 등 HTTPS의 보급을 간편하게 하겠다는 계획을 발표했습니다. 정말로 될까 싶다가도 시스코, 모질라, 아카마이 등 참여한 이들의 면목을 보고 있으니 될 수도 있겠다 싶습니다. HTTPS가 정말 간편하게 보급된다면 또 다시 대변혁이 있을 것 같습니다.

 

3. 마이크로소프트 커베로스 버그 관련 패치 발표(Threat Post)

http://threatpost.com/microsoft-to-release-critical-out-of-band-windows-patch/109433


당장 패치 요망! 마이크로소프트 긴급 버그 픽스 발표(The Register)

http://www.theregister.co.uk/2014/11/18/youll_most_definitely_believe_what_microsoft_did_today/


마이크로소프트 치명적인 커베로스 오류 긴급히 패치(Security Week)

http://www.securityweek.com/microsoft-fixes-critical-kerberos-flaw-under-attack-out-band-patch

MS에서 어제 일정에 없는 긴급 패치를 배포했습니다. 윈도우 8과 8.1 등 몇몇 버전의 윈도우 및 윈도우 서버에 적용이 가능한 것으로 특히 공격자가 관리자 수준의 권한을 갖도록 해주는 커베로스 취약점을 다루고 있습니다. 마이크로소프트는 이 취약점을 ‘치명적’이라고 했으며 이미 타깃형 공격에 사용되고 있다고 밝혔습니다. 이 패치는 원래 11월 11일에 발표할 예정이었으나 알 수 없는 이유로 인해 미뤄졌다고 하는데요, 아마도 11일까지 완벽하게 패치를 마련할 수 없던 것으로 보입니다.

 

4. 애플 iOS 8.1.1에서의 코드 실행 오류 일부 수정(Threat Post)

http://threatpost.com/apple-ios-8-1-1-fixes-several-code-execution-flaws/109423

취약점 관련 업데이트를 당분간 하지 않겠다던 애플에서 iOS 8.1.1 버전의 소규모 업데이트를 진행했습니다. 코드 실행 취약점, 메모리 취약점 등 열 가지 취약점을 수정했다고 하는데요 이번 패치에는 와이어러커 멀웨어에 대한 방비책은 마련하지 않았다고 합니다.

 

5. 구글, 웹 앱 보안 스캐너의 성능 검사 기능 가진 오픈 소스 툴 공개(Threat Post)

http://threatpost.com/google-releases-open-source-xss-web-app-scanner/109445

구글에서 파이어링 레인지(Firing Range)라는 걸 발표했습니다. 웹 애플리케이션의 보안성을 검사하는 스캐너들의 성능을 실험하는 툴인데, 이를 오픈 소스로 풀어버렸네요. 구글의 보안 기술자인 클라우디오 크리시온(Claudio Criscione)에 따르면 구글에서 진행하고 있는 버그 바운티에 신고되는 취약점들 중 70%가 XSS 오류라고 합니다. 그래서 그런지 파이어링 레이지의 주력 기능이 XSS와 관련되어 있다고 합니다. 물론 그 외에도 여러 기능이 있지요. 어제 시스코부터 해서 요즘 대기업들이 자꾸 오픈소스로 자사 개발 제품을 풀어놓네요.

 

6. 구글 크롬 SSL V3 폴백 지원 중단(Threat Post)

http://threatpost.com/google-removes-sslv3-fallback-support-from-chrome/109455

구글이 크롬 39를 발표하면서 42개의 취약점을 수정했습니다. 특히 SSL V3에 대한 폴백(fallback) 지원을 중단해 푸들 공격을 차단한 것이 눈에 띕니다. 다만 이는 전면 차단은 아니라 서버에 따라 여전히 SSL V3을 사용하는 게 가능한 상태입니다. 링크된 기사 하단부에는 이번에 픽스된 취약점 목록이 나오니 참고하시기 바랍니다.

 

7. 홈데포, 고객정보 유출사고 이후에도 수익 올라(CU Infosecurity)

http://www.cuinfosecurity.com/despite-breach-home-depots-profits-grow-a-7575

5천 6백만 건에 달하는 정보 유출사고가 있었던 홈데포인데요, 삼사분기 수입이 지난 해 삼사분기에 비해 13.8%나 올랐다고 합니다. 그중 매출은 205억 달러로 바로 전 분기에 비해 5.4%나 오른 수치라고 합니다. 비슷한 사고를 겪고 크게 휘청거렸던 타깃의 경우와 사뭇 다른 결과인데요, 이런 류의 유출사고에 무덤덤해진 소비자들의 심리, 타깃만큼 심하지 않은 경쟁구도 등이 그 이유로 꼽히고 있습니다.

 

8. 북아일랜드의 웹사이트 정문 개방해 고객정보 방출(The Register)

http://www.theregister.co.uk/2014/11/18/northern_ireland_website_leaves_back_door_open_to_users_data/

북아일랜드 정부의 문화예술레져 프로젝트를 담당한 부서의 웹 사이트에서 가입자들의 이름, 주소, 이메일 주소, 전화번호를 그대로 공개해 자체 유출사고를 일으켰다는 소식입니다. 유럽이라고 보안 의식, 프라이버시 보호 의식이 생활에 막 밴 건 아닌 듯 합니다. 외주 제작사부터 이걸 검토해 결재 올린 담당자 및 결재자 모두 이걸 놓쳤다는 걸 국민들에게 어떻게 설명해야 할까요?

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>