• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “애플, 첫 자동 업데이트” 外 2014.12.24

오늘의 키워드 : EU 가이드라인, 애플, 아프간, JP모건 체이스

EU는 온라인 결제 가이드라인 발표하고 1백만 유로 투자 계획

국제 정세에도 이제 사이버 군사력? 중국, 아프간에 입김


[보안뉴스 문가용] 오늘 뉴스들은 가짓수가 많지는 않은데 하나하나 묵직합니다. EU에서는 온라인 금융에 관련된 새로운 가이드라인을 발표했을 뿐 아니라 그에 따른 재정 계획도 세웠다고 합니다. 지구의 공전에 여러 가지 힘이 작용하긴 하지만 결국은 태양의 힘이 제일 센 것처럼 세계를 움직이는 여러 힘 중 아주 강력한 것이 모두 한 뉴스에 들어 있습니다. 사실상 세계사를 선두해온 ‘유럽’과, 세상의 가장 강력한 원리가 되어버린 ‘경제’가 바로 그것이죠. 유럽 경제가 망하면서 세계에 불황이 찾아온 거 보면 알 수 있는데요, 그런 가운데 EU의 이런 움직임이 보안 시장에 어떤 바람을 일으킬까요.

 

 ▲ 기사 내용보다 날짜만 반영한 삽화. 축성탄!

중국은 자신의 영향력을 국제 정세에 발휘하기 위해 아프간 정부 사이트들을 공격한 것으로 보입니다. 아직 100% 확실한 건 아닌데, 이제 슬슬 사이버 공격력이 국제 관계의 중요한 변수로 언급될 만큼 영향력이 커졌다는 것 만큼은 확실합니다. 사실 양복 입고 하는 화려한 외교 행위도 그 밑을 들여다보면 적지 않게 ‘군사력’ 싸움이었거든요. 형태만 달라졌지 인간의 ‘힘 싸움 본능’은 어디 가지 않는다는 생각도 듭니다.


한편 애플은 사상 첫 ‘자동 업데이트’를 발표했습니다. 사물인터넷과 웨어러블이 대두되면서 소프트웨어 산업에서 ‘패치’라는 게 이제 필수가 되어가는 시점에, IT 분야의 선두주자인 애플에서 패치 전략을 바꿨다는 건 의미심장한 일입니다. 그것이 애플이란 이름에 꼭 함께 따라나오는 ‘혁신’이 아니더라도 말이죠. 또한 얼마 전 있었던 JP모건 체이스 유출 사고가 역시나 ‘인간의 실수’로부터 비롯된 것이라는 결과가 나왔습니다. 사람이 곧 보안이다, 조만간 누군가 이런 칼럼 써서 기고할 것에 제 크리스마스 연휴를 겁니다.


1. EU에 필요한 새로운 온라인 결제 보안 가이드라인 발표(Security Week)

http://www.securityweek.com/new-security-guidelines-online-payments-eu


EU, 오픈 소스 보안 감사 툴 개발에 백만 유로 투자(The Register)

http://www.theregister.co.uk/2014/12/23/eu_institutions_to_seek_out_and_repair_vulnerabilities/

온라인 결제 관련 사기가 늘어가면서 유럽 은행 감독 기구(EBA)는 앞으로 EU 내에서 온라인 결제 서비스를 도입하거나 제공할 때 필요한 최소한의 보안 수칙을 마련해 발표했습니다. 인터넷을 통한 카드결제, 크레딧 송금, 전자 위임, 온라인 송금 등 온라인 뱅킹과 관련된 행위를 모두 아우르고 있으며 이 수칙은 거버넌스, 위기 관리, 사건 감시 및 보고, 위기 제어 및 완화, 추적 등의 세부 항목으로 온라인 결제 보안에 접근하고 있습니다.


한편 EU 의회 역시 무료 감사 및 감독 소프트웨어 프로그램에 1백만 유로의 예산을 배정했다는 소식입니다. EU 기구들 간의 통신 암호화를 위해서 추가로 50만 유로가 책정되었고요. 오픈 소스 혹은 무료 소프트웨어의 보안성에 의문을 제기하는 경향이 있었던 게 사실인데, 이게 결국은 자금력의 문제라고 판단한 듯 하고 이를 보완해 더 널리 사용될 수 있는 보안 해결책을 찾고 있는 듯 합니다. 유럽이 움직이면 세계가 움직이기 마련이고, 또 경제가 움직이면 나머지 분야가 다 쫓아오는 게 세상의 흐름이라, 이런 움직임이 내년에 판도를 어떻게 바꿀지가 기대됩니다.


2. 애플, 사상 첫 자동 업데이트 배포(SC Magazine)

http://www.scmagazine.com/apple-premiers-automatic-update-for-security-flaw/article/389804/


애플 처음으로 자동화 보안 업데이트 발표(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/apple-pushes-out-automatic/


애플, NTP 취약점 위해 첫 자동화 패치 선보여(Threat Post)

http://threatpost.com/apple-patches-ntp-vulnerabilities-in-first-automated-patch/110090

애플 제품, 특히 OS X를 업데이트 하려면 사용자가 굉장히 많은 걸 해야 했습니다. 앱스토어에 들어가 로그인을 하고 설치할 걸 찾아서 업데이트를 해야 했거든요. 그런데 이번에는 NTP(네트워크 타임 프로토콜) 취약점을 보완하기 위해 최초로 자동화된 업데이트를 발표했습니다. 게다가 시스템을 꼭 한 번은 껐다가 켜야 했는데 그런 과정도 생략되었다고 합니다. 애플은 대변인을 통해 ‘자동 패치는 이미 오래 전부터 할 수 있었지만 하고 있지 않았을 뿐이다’라고 말했다는데, 왜 이런 말이 나왔는지 의중을 파악하기가 쉽지 않습니다. 다만 애플조차 패치의 전략을 바꾼 것 아닌가 하는 분석이 나오고 있고, 이는 앞으로 필수가 될 소프트웨어 업데이트 방식에 어떤 영향을 미칠지 관심을 가지고 두고 봐야 할 일 같아 보입니다. 마침 패치 전략에 대한 해외 필진의 기고문이 있으니 조만간 번역해서 올리도록 하겠습니다. 한편 패치된 NTP 오류는 4.2.8 이전 버전에서 발견된 버퍼 오버플로우 취약점으로 해커가 원격에서 컴퓨터를 조정할 수 있게 해주는 치명적인 버그였다고 합니다.


3. 아프간 웹 사이트들에 대한 공격, 중국이 주범인듯(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/china-blamed-for-operation/


아프간 정부에 대한 사이버 공격에 중국 의심 받아(The Register)

http://www.theregister.co.uk/2014/12/23/china_fingered_for_afghan_govt_attacks/


중국 해커들 아프간 정부 웹 사이트 공격 혐의 받아(Security Week)

http://www.securityweek.com/chinese-hackers-suspected-attacking-government-sites-afghanistan

아프가니스탄의 금융, 사법, 교육, 외교 등을 관할하는 정부 기관의 웹 사이트들을 겨냥한 워터링 홀 공격이 감지되었습니다. 이 공격을 해외에서는 ‘포이즌드 헬만드 작전(Operation Poisoned Helmand)’라고 명명했고, 보안 전문 회사인 TCIRT는 여러 분석을 통해 중국을 지목했습니다. 중국 총리인 리커창과 아프간의 CEO인 압둘라 압둘라(Abdullah Abdullah)가 회동하는 때에 공격이 일어났고, 이와 비슷한 현상은 지난 7월 역시 리커창 총리가 그리스의 수상인 안토니스 사마라스(Antonis Samaras)를 만났을 때도 발생했다는 이유입니다. 공격 방식도 둘 다 비슷해 악성 자바 파일이 두 경우에서 모두 발견되었다고 하고요. 뿐만 아니라 자바 파일이 그동안 중국 해커들이 자주 사용했던 것과 유사하다고 합니다.


전문가들은 아프간에서 미국과 유럽의 군부대가 조금씩 규모를 축소해나가면서 영향력이 줄어드는 시점에 중국이 아시아 전체에 자신의 영향력을 넓히기 위한 전략 중 하나로서 이번 공격을 감행했을 가능성이 높다고 보고 있습니다. 국제 관계란 게 굉장히 복잡한 것처럼 보여도 ‘군사력’에 많은 영향을 받는 게 사실이었는데, 이제 여기에 사이버 군사력 혹은 테러력도 포함되는 것 같군요.


4. JP모건 체이스 유출 사건, 2중 인증 오류로 발생해(The Register)

http://www.theregister.co.uk/2014/12/23/jpmorgan_breach_probe_latest/


JP모건 체이스 해커들, 2중 인증 없는 서버 노린 것으로 드러나(Security Week)

http://www.securityweek.com/jpmorgan-hackers-compromised-server-unprotected-two-factor-authentication

대규모 정보유출 사건으로 기록에 남을 JP모건 체이스에 대한 수사 결과가 일정 부분 발표되었습니다. 특히 해커들이 어떻게 뚫어냈을까에 대한 수사 결과가 발표되었는데요, JP모건 체이스가 운영하는 여러 서버 중에 2중 인증이 없는 곳을 통해 드나들었다는 것이 밝혀졌다고 합니다. 금융계에서 2중 인증은 이미 흔한 방식이 되었고, JP모건 체이스 정도의 규모를 자랑하는 곳이면 2중 인증은 필수를 넘어 당연한 것이 되었죠. 그런데 딱 한 군데 서버에만 이게 적용이 되지 않았던 모양입니다. 즉 사람의 실수였다는 것이죠. 작은 실수 하나를 발견한 해커도 대단하고, 99개 잘해놓고 1개 못한 결과가 이런 대참사라는 건 좀 가혹해보이기도 합니다. 한편 공격자에 대한 정체는 아직 오리무중입니다.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>