오늘의 키워드 : 구글, 페이스북, 소니 픽처스, 루시포스

구글, 새로운 인증 시스템 개발 및 PCI DSS 취득

페이스북 또 다른 백신 회사와 파트너십, 올해만 세 번째

[보안뉴스 문가용] 편리성과 보안성을 동시에 잡으려는 구글의 고민이 깊었었나 봅니다. 이번에 새로 나온 캡차 시스템은 기존 캡차의 보안성은 가져오되 불편함은 쏙 제거한 것이라고 합니다. 클릭 한 번으로 글자를 해독하는 사용자의 노력을 대체시켰는데요, 이게 더 강력할지 아닐지는 두고 봐야 하겠습니다. 또한 구글 플랫폼이 신용카드 회사들에게 발급되던 인증서를 취득했습니다. 지불 시장에 또 다른 변수가 생긴 것으로 분석됩니다.

이렇게 ‘변수’가 계속해서 생기는 가운데, 또 다른 POS 멀웨어가 새로 나타나 업계를 긴장시키고 있습니다. 지난 번 타깃 사태를 일으킨 멀웨어와 매우 비슷하다고 해서 더 그렇습니다. 그 와중에 페이스북은 또 다른 보안 업체와 파트너십을 맺어 멀웨어 감지에 박차를 가했는데요, 그래도 이렇게 큰 손들이 움직여 주고 있어서 다행인 것도 같고, 큰 손들은 자금이나 기술에 여유가 있어 보안성 뿐 아니라 편리성까지 같이 추구할 수 있어 사용자의 경각심을 일으키는 데에는 오히려 방해가 될 것도 같고 그렇습니다. 정보보안, 사용자도 참여시키는 게 맞을까요, 아니면 의식적으로 참여하지 않아도 되게끔 편리하게 만드는 게 맞을까요?

1. 구글, 새로운 캡차 시스템 개발 공개(Threat Post)

http://threatpost.com/google-no-captcha-simple-for-humans-tough-on-bots/109707

구글, 캡차 대신 더 간단한 절차 개발(The Register)

http://www.theregister.co.uk/2014/12/03/google_moves_beyond_text_puzzles_with_no_captcha_recaptcha/

스팸 혹은 자동 회원가입 프로그램을 막으려는 프로그램, 캡차, 다들 아시죠? 사람의 눈이 아니면 읽기 힘들 정도로 모양을 이리 저리 바꾼 글자들을 사용해 사람인지 아닌지 구분하는 일종의 인증 시스템인데요, 이 역시 시간이 지나면서 사람 아닌 것들도 조금씩 읽을 수 있게 되었습니다. 그래서 캡차에 나온 글자들은 더 꼬여만 갔고, 지금은 사람도 눈을 부릅떠야 알아볼 수 있을 정도가 되었습니다. 그래서 구글에서 새로운 ‘노캡차 리캡차’라는 시스템을 개발했다고 합니다. 모양이 다 흩어져버린 글자는 없어지고 “I┖m not a robot”이라는 문구 하나만 나옵니다. 그 옆 박스에 클릭 한 번으로 체크만 해주면 인증 절차가 끝나는데요, 사용하기엔 무척 간단한데 봇이 뚫기에는 굉장히 복잡하다고 합니다. 더 지켜봐야 하겠지만, 보안도 잡고 사용성(편리성)도 함께 잡으려는 고민이 굉장히 고맙네요.

2. 구글 클라우드 플랫폼, PCI DSS 인증서 획득(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/google-cloud-platform-gets-pci-dss/

구글 클라우드 플랫폼 PCI DSS 준수 인증서 얻다(Security Week)

http://www.securityweek.com/google-cloud-platform-receives-pci-dss-compliance-certification

구글의 클라우드 플랫폼이 이제는 지불카드 산업 데이터 보안 표준 인증을 받았습니다. PCI DSS라는 것이 카드 정보를 다루는 회사들에게 주로 발급되는 것이었는데요, 구글 클라우드 플랫폼에 이 인증서가 있다는 건 사용자들이 카드 관련 정보를 저장하고 처리하고 교환할 수 있게 되었다는 뜻입니다. 이로써 가뜩이나 큰 지각변동을 겪고 있는 미국 지불 시장에 또 다른 거대 변수가 생기게 되었습니다. 구글 클라우드 플랫폼을 활용한 애플리케이션 개발자들의 활동 폭도 더 넓어진 것이고요. 특히 미국의 결제 서비스 제공 업체인 위페이(WePay)가 이 소식을 굉장히 반겼다고 합니다.

3. 페이스북, 멀웨어 감지 강화 위해 ESET와 협력(The Register)

http://www.theregister.co.uk/2014/12/04/facebook_cosies_up_to_eset_for_malware_detection/

페이스북, ESET과의 파트너십 맺어 멀웨어 감지 강과(Information Week)

http://www.informationweek.com/software/social/facebook-tackles-malware-with-eset-partnership/d/d-id/1317865

올해 초 에프시큐어(F-Secure) 및 트렌드 마이크로(Trend Micro) 등과 파트너십을 맺고 멀웨어 감지에 박차를 가했던 페이스북이 이번에는 ESET라는 슬로바키아 업체와 또 손을 잡았습니다. ESET는 백신 소프트웨어 제공업체로 페이스북과 손 잡은 세 번째 보안 관련 회사가 되었습니다. 구글과 페이스북, 큰 손들의 보안 관련 움직임이 점점 빨라지고 있습니다.

4. 소니 픽처스 유출 사고로 직원들의 연봉 정보 노출돼(SC Magazine)

http://www.scmagazine.com/sony-breach-extends-to-deloitte/article/386548/

소니 픽처스, 직원들 상세 정보 유출되어 곤혹(The Register)

http://www.theregister.co.uk/2014/12/03/sony_staff_details_knicked/

소니 유출 사고로 직원들 의료정보, 급여 정보도 유출(Threat Post)

http://threatpost.com/employee-healthcare-salary-info-leaked-in-sony-breach/109691

소니 픽처스의 수사가 계속 진행되는 가운데 새로 출시된 혹은 출시될 영화들만 유출된 것이 아니란 게 드러났습니다. 직원들의 급여 및 의료 정보가 전부 유출된 것으로 밝혀졌기 때문입니다. 단지 영화만 유출된 건 아닐 것이라는 추측은 많은 전문가 및 수사관계자들이 해왔는데, 정확한 증거가 드러난 건 어제가 처음이었다고 합니다. 현재 직원들의 이런 정보들은 토렌트 사이트를 돌아다니고 있으며 용량이 25기가바이트에 달한다고 합니다. 이에는 6800여명의 현재 및 과거 직원들의 정보가 전부 들어 있다고 합니다.

5. 새로운 루시포스 멀웨어, 토르를 C&C 서버로 활용(Security Week)

http://www.securityweek.com/new-lusypos-malware-uses-tor-cc-communications

루시포스 멀웨어 암시장에 등장(SC Magazine)

http://www.scmagazine.com/new-malware-sells-for-2000/article/386540/

연말 연시 특수를 노리는 해커들의 움직임에는 끝이 없는 것 같습니다. 취약하다고 널리 알려져 있는 POS 시스템이지만 그에 대한 대처로 진행되고 있는 지불 시스템의 변화는 아무래도 시간이 걸리기 마련이라 해커들이 계속해서 기승을 부리고 있는 상태이기도 합니다. 루시포스(LucyPOS)라는 새로운 멀웨어가 또 등장해 현재 암시장에서 2000 달러에 거래되고 있다고 합니다. 이 멀웨어는 타깃을 공격한 멀웨어와 비슷하다고 하네요. 소니 픽처스를 공격한 멀웨어가 6.25 사이버테러 때 사용된 멀웨어와 비슷하다고도 하는데, 루시포스가 제2의 타깃을 만들지 않았으면 합니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>