• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “1년 넘게 방치된 취약점” 外 2015.01.07

오늘의 키워드 : 문픽, 고고, PCI DSS 3.0, 멀버타이징, 비트코인

누군 너무 빨리 공개해 문제, 누군 그냥 방치해 둬서 문제

트래픽 원활, 정보 보호 위한 해킹 행위는 불법이며 효율도 낮아


[보안뉴스 문가용] 바로 며칠 전에는 구글이 MS의 취약점을 너무 빨리 공개한 게 아니냐는 논란이 일더니, 오늘은 17개월 전에 알려준 것도 고치지 않고 그대로 방치한 회사가 논란거리가 되고 있습니다. 자신에게 보고된 취약점에 대처하는 자세에 대해서는 규정이 약하거나 제멋대로라는 겁니다. 버그바운티며 화이트 해커 운영이며 심지어 암암리에 고용하는 ‘헌터’까지, 취약점을 발견하는 노력이 여러 모로 이루어지고 있다면 이제는 그 다음의 후속조치에 대한 규정이 수립될 때입니다.

 


또한 한 기내 와이파이 제공 업체는 좋아 보일 수도 있는 의도를 위해 중간자 공격을 했는데요, 보복성 혹은 방어용 해킹이 불법일뿐만 아니라 비효율적이라는 전문가들의 보고서와 묘하게 맞물립니다. 좋은 목적을 위해 나쁜 방법을 사용하는 건, 사실 나쁜 거지요. 정말 그 목적이 좋은 거라면 관련된 사람들에게 최소한의 동의를 얻고 난 후 법을 바꾼다거나 하는 절차를 거쳐야 합니다. 보복은 또 다른 보복을 낳듯, 해커들에 해킹으로 맞대응하는 건 그저 자기만족만 줄 뿐 해결의 본질에 다가가지도 못합니다. 이건 대부분 세상만사에 그대로 적용됩니다.


또 비트코인 관련 사고는 단골손님입니다. 이번에도 세계에서 세 번째로 크다고 하는 비트코인 환전소가 뚫려서 제법 액수가 되는 돈이 없어졌다고 합니다. 이제 와서 생각해보지만, 전통의 은행 및 돈 거래 방식이 그렇게나 불편했었을까요? 편리하자고 만든 것들이 오히려 더 불편하게 만드니, 과연 ‘편리’를 쫓아 개발과 혁신을 해온 발전의 역사가 올바른 방향으로 가고 있는지 한번쯤 고민을 해보게 합니다.


1. 문픽 오류, 1년 넘게 그대로 방치(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/moonpig-flaw-leaves-user-info/


문픽 API에 있는 취약점, 고객 정보 노출(Security Week)

http://www.securityweek.com/vulnerability-moonpig-api-exposed-customer-data-researcher

문픽(Moonpig)은 포토박스 그룹(Photobox Group) 계열의 회사로 개인 맞춤형 안부 카드를 제작하는 영국 회사입니다. 이런 사업의 장르에 있어서는 가장 큰 사업자 중 하나라고 알려져 있는데요, 충성고객 혹은 단골고객만 3백 6십만명을 보유하고 있다고 합니다. 이 문픽의 API에 취약점이 발견되었는데, 이 취약점을 악용하면 고객의 이름, 생년월일, 이메일, 주소, 카드번호 일부 등을 간단하게 가져갈 수 있습니다. 이 취약점이 보고된 게 이미 2013년 8월의 일이었습니다. 그런데 2015년 새해가 밝은 이 시점까지도 전혀 고쳐지고 있지 않다고 합니다. 요즘 구글에서 MS 윈도우의 취약점을 90일이라는 너무 이른 기간 안에 대중에게 발표한 것이 논란이 되고 있는데, 문픽은 늦장 조치로 사용자들의 집중포화를 받고 있으니, 참 아이러니 합니다.


2. 前 미국 보건복지부 사이버보안 총책임자, 아동 포르노로 25년형(SC Magazine)

http://www.scmagazine.com/hhs-cybersecurity-official-was-nabbed-in-fbi-child-porn-investigation/article/391203/

제목 그대로의 내용입니다. 중요한 국가기관에서 보안을 책임져왔던 티모시 디포기(Timothy DeFoggi)가 아동 포르노에 연루된 것으로 체포된 게 2014년 8월의 일입니다. 그리고 이번 주 월요일 최종 재판에 들어갔는데요, 결국 징역 25년형을 받았다는 소식입니다. 어제는 금융가에서 부자 고객들의 정보를 팔아서 해고당한 청년이 있었다면 오늘은 퇴직 공직자의 추악한 범죄 소식이 나와 안타깝습니다.


3. 기내 와이파이 서비스 업체 고고, 중간자 공격 감행(The Register)

http://www.theregister.co.uk/2015/01/06/gogo_ssl/


기내 와이파이 서비스 업체 고고, 광대역 아끼려 중간자 공격(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/inflight-wifi-firm-gogo-mitm-users/


고고, 가짜 구글 SSL 인증서 사용하다가 덜미 잡혀(SC Magazine)

http://www.scmagazine.com/inflight-wifi-companys-mitm-attack-outed-by-google-engineer/article/391237/


고고, 가짜 인증서 사용해 고객에 스파이 행위 한 것 전면 부정(Security Week)

http://www.securityweek.com/gogo-denies-using-fake-google-certificate-spy-passengers

나는 비행기 안에서 와이파이망을 제공하는 업체인 고고(Gogo)가 가짜 구글 SSL 인증서를 사용해 영상 스트리밍 서비스를 차단한 것으로 드러났습니다. 이는 기내 와이파이망의 트래픽을 원활하게 하기 위해서였다고 고고는 밝혔습니다. 한정된 와이파이망에서 승객 중 누군가가 영상을 보게 되면 트래픽이 원활하게 운영되지 않기 때문에 중간자 공격을 통해 영상 스트리밍을 죄다 막았다는 겁니다. 하지만 그 외에 다른 목적으로 고객에 대한 스파잉 행위를 하지는 않았다고 고고 측은 강력하게 주장하고 있습니다. 요즘처럼 정보 유출, 프라이버시 문제가 민감하게 논의되고 있을 때는 오이 밭에서 신발 끈 고치지 않는 지혜도 필요한데, 이 회사는 심지어 오이를 깔고 앉아서 끈을 고치고 있었나봅니다.


4. 보복 해킹에 관한 연구(CU Infosecurity)

http://www.cuinfosecurity.com/case-against-hack-back-a-7759

한 금융기관이 FBI에, 자신들에게 디도스 공격을 감행한 이들에게 보복성 해킹을 해서 추가 범죄를 무력화시켜도 되느냐고 문의했던 적이 있습니다. FBI는 불법이기 때문에 안 된다고 답을 했죠. 불법 행위는 당연히 하면 안 되는 것이지만, 좋은 의도를 가진 것이라고 다수가 판단하는 경우에는 법이 고쳐지기도 합니다. 그래서 FBI의 ‘불법이기 때문에 안 된다’는 답에는 ‘그래도 어쩌면’ 혹은 ‘언젠가는’이라는 실낱같은 허용 가능성에 대한 희망이 있습니다. 그런데 최근 전문가들이 사이버 방어로서의 보복 해킹에 대한 연구 결과를 발표했고, 오히려 더 많은 문제를 낳는다는 결론을 내렸다고 합니다. 너만 해킹하냐, 나도 한다는 우월감 내지 자기만족 외에 실효가 전혀 없다는 것입니다. 게다가 도난당한 정보를 다시 찾아온다고 해서(지운다고 해서) 그 정보가 이미 다른 경로로 퍼지고 있는 걸 막을 수 있는 것도 아니거니와, 섣부른 판단 및 행위는 외교 마찰로까지 이어질 수 있어서 좋은 방법이 절대 아니라고 합니다. 악으로 악을 이기는 것에 대한 찬반 성찰은 굉장히 오래된 논란거리죠. 일단 지금까지 정보 보안 계통에서는 악을 악으로 이기는 건 ‘비추’입니다.


5. PCI DSS 3.0 시대 시작, 약간은 다른 조건(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/pci-dss-version-30-lands-with-new/

PCI 표준인 PCI DSS의 3.0 버전이 드디어 나왔다는 소식입니다. 신용카드 및 고객 정보를 더 단단히 보호하겠다는 취지에서 나온 것이죠. 3.0 버전에 대한 최초 제안은 이미 2013년 11월에 이루어졌었는데요, 신용카드로 하는 경제 활동의 중요한 기본바탕이 되므로 1년도 넘게 검토 및 연구 과정이 필요했던 것이지요. 하지만 시스템이 달라진 만큼 소비자 측에서도 약간의 변화를 인지하고 받아들여야 합니다. 암호 시스템이 조금 바뀌었기 때문입니다. 그래서 앞으로 POS를 사용하는 업체들은 한동안 소비자 교육을 실시해야 한다고 합니다. 이거 우리나라에도 오는 거 시간문제라고 봅니다.


6. AOL 광고 네트워크 서버에서 멀버타이징 발견돼(Security Week)

http://www.securityweek.com/malvertising-attack-served-using-aol-ad-network-cyphort


AOL 광고 네트워크로 멀웨어 배포돼(SC Magazine)

http://www.scmagazine.com/ransomware-is-being-distributed-on-huffpo-site/article/391235/


멀버타이징 캠페인, AOL 광고 네트워크 활용(Threat Post)

http://threatpost.com/malvertising-campaign-uses-aol-ad-network-leads-to-exploit-kit/110230


사용자들, 스카이프 광고에서 악성 광고 발견(Threat Post)

http://threatpost.com/users-report-malicious-ads-in-skype/110219

이 캠페인도 발견된 지 얼마 지나지 않았습니다. 12월 31에 최초로 감지되었죠. 제일 먼저 발견된 곳은 허핑턴포스트의 AOL 광고 네트워크였습니다. 여기에 나온 광고를 무심코 클릭했다가는 그 즉시로 멀웨어에 감염된다고 하고, 그것 외에는 사이트 서핑 외에 그 어떤 추가 행동이 없더라도 멀웨어는 번진다고 합니다. 사용자 편의성은 멀웨어 개발자들이 더 추구하고 있나 봅니다. AOL과 스카이프 자체가 해킹당한 가능성도 있어 이도 염두에 두고 수사를 진행 중에 있습니다. 또한 광고 페이지에 수많은 신청자가 몰리기 때문에 일일이 검사하는 것도 불가능하다고 하니, 어떻게 보면 사람이 우루루 몰리고 있다는 것 자체도 취약점일 수 있겠습니다.


7. 비트코인 교환소, 정보 유출 당해(CU Infosecurity)

http://www.cuinfosecurity.com/bitcoin-exchange-reports-data-breach-a-7760


비트코인 교환소인 비트스탬프, 해킹 뒤 오프라인 상태(Threat Post)

http://threatpost.com/bitcoin-exchange-bitstamp-offline-following-apparent-compromise/110187

비트코인의 교환소 중 하나인 비트스탬프가 한동안 오프라인 상태였습니다. 1월 4일 발생한 해킹 사고 때문이었습니다. 이번 사고로 19000개의 비트코인, 현금으로 5백만 달러에 상당하는 금액이 사라졌습니다. 비트코인을 노리는 사고가 끊임없이 발생하고 있어 전문가들은 이렇게까지 해서라도 비트코인을 유지해야 하는가 하는 회의론을 펼치고 있습니다. 편리하고 안전하려고 개발한 비트코인인데, 전통의 은행보다 더 취약하고 사고가 많으니 이런 소리가 나올만 합니다.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>