오늘의 키워드 : MS, OpenSSL, 미디어 해킹, 맥, 스위스은행

MS “패치 자동화로 사전 예고 필요 없어”, 업계 “후진적인 사고”

새해를 맞아 취약점 및 멀웨어 다량으로 쏟아지고 있어

[보안뉴스 문가용] MS에서 매달 진행하는 정기 패치가 자동화되면서 패치 일주일 전에 미리 패치 내용을 공지하던 서비스가 없어졌습니다. 없어졌다기보다 이제 돈을 내야만 열람이 가능합니다. ‘자동화 때문에 이제 사전 공지를 눈여겨 보는 사용자가 극히 드물다’는 게 MS의 입장이지만 업계는 ‘취약점과 패치 관리를 알아서 하니 찍 소리도 말고 따르라는 것이냐’며 반발하고 있습니다.

어제 오늘, 취약점도 많이 발견되고 멀웨어도 많이 발견되고 있습니다. 분야가 무엇이든 2015년에는 열심히 살겠다는 새해 결심이 보안 업계나 해커들 사이에서 아직까지 살아있나 봅니다. 그 와중에 멀버타이징으로 세계의 각종 언론사가 해킹 유포 사이트로 변했고, 중국은 경찰들이 멀웨어를 사용해 시민들을 감시한 것으로 드러났습니다. 2015년 초반부터 파란만장합니다.

1. MS, 정기 패치 예고 서비스 일반 대중에겐 중단(Security Week)

http://www.securityweek.com/microsoft-no-longer-making-patch-tuesday-advanced-notification-available-general-public

MS ‘화요일 패치’ 내용, 이제 프리미어 고객에게만 공개(Threat Post)

http://threatpost.com/microsoft-limits-advanced-patch-notifications-to-premier-customers/110294

매달 중순에 가까운 화요일 MS가 정기 업데이트를 합니다. 이 전통이 하도 유명해져서 이름까지 붙었죠. 패치 튜스데이(Patch Tuesday)라고요. 그리고 이 패치 튜스데이 일주일 전에는 패치 내용을 구성하는 내용이 무엇인지 사전에 알려주는 서비스(Advanced Patch Notification : ANS)도 했었습니다. 패치를 적용하기 1주일 전에 미리 계획을 세우고 대비를 하라는 배려였죠. 실제 많은 사용자들이 패치를 시스템에 적용하기 위해 1주일 전에 예고되는 이 내용을 주의 깊게 살폈습니다. 그런데 MS에서 이 서비스를 중단하기로 했습니다. 패치는 그대로 이어지지만, 예고를 하지 않겠다는 겁니다. MS는 자동 업데이트가 활성화되었기 때문에 아무도 패치 내용을 애써 들여다보려 하지 않기 때문이라고 합니다. 하지만 유료 고객에겐 계속 서비스를 할 예정이라고 합니다. 즉, 무료 서비스가 유료화된 것입니다. 당연히 업계 반발이 심합니다. 대부분 이번 결정을 두고 “패치 고민 할 것 없이 우리가 하라는 대로만 하면 돼”라는 메시지로 해석하고 있기 때문입니다.

2. 새롭게 발표된 OpenSSL, 8가지 취약점 수정(SC Magazine)

http://www.scmagazine.com/two-moderate-six-low-severity-openssl-vulnerabilities-fixed/article/391700/

OpenSSL 프로젝트로 8가지 보안 버그 해결(Security Week)

http://www.securityweek.com/openssl-project-swats-8-security-bugs

OpenSSL 프로젝트에서 1.0.1k와 1.0.0p, 0.9.8zd 버전을 공개했습니다. 총 8가지 취약점을 해결했는데요, 이중 2개는 DoS 공격으로까지 이어질 수 있는 취약점으로 ‘보통’ 수준의 위험성을 가지고 있는 것이었습니다. 나머지 6개의 위험성은 ‘낮음’ 수준이었습니다. 취약점의 정식 명칭은 CVE-2014-3571, CVE-2015-0206, CVE-2014-3569, CVE-2014-3572, CVE-2015-0204, CVE-2015-0205, CVE-2014-8275, CVE-2014-3570입니다.

3. 게임존, 허핑튼포스트에 멀버타이징 공격(CSOOnline)

http://www.csoonline.com/article/2866713/application-security/gamezone-huffington-post-hit-by-malvertising-attack.html

얼마 전 AOL에서 발견된 멀버타이징의 파급력이 엄청나게 커지고 있는 모양새입니다. AOL 자체에서는 이미 발견 후 이틀 만에 멀버타이징을 전부 없애는 데 성공했지만 이미 인터넷 상에서 퍼지고 난 뒤였습니다. 그래서 허핑튼포스트, LA 위클리, 게임존 등의 각종 미디어 사이트에서도 멀웨어가 급속도로 퍼지고 있다고 합니다. 우연인지 아닌지 요즘 세계 곳곳의 미디어 사이트가 자꾸만 이런 사이버 공격에 당하고 있는 추세입니다. 엊그제는 프랑스 한 매체에 실제 테러 단체가 난입해 기자들을 살해하기도 했었고요.

4. 맥 OS X에서 또 취약점 발견(Threat Post)

http://threatpost.com/first-public-mac-os-x-firmware-bootkit-unleashed/110287

OS X 펌웨어 부트킷의 위험성 드러낸 멀웨어(Security Week)

http://www.securityweek.com/experimental-malware-shows-threat-posed-os-x-firmware-bootkits

최근부터 애플의 ‘단단한 보안성’에 조금씩 금이 가기 시작하더니 이번에도 또 OS X용 펌웨어 부트킷이 발견되었습니다. 이 맥용 부트킷이 펌웨어에 설치가 되면 해커가 시스템을 마음대로 주무를 수 있게 됩니다. 다행히 부트킷은 해커가 만든 게 아니라 리버스 엔지니어링을 취미로 하고 있는 보안 전문가인 트라멜 허드슨(Trammel Hudson)이 제작한 것으로 맥 OS X에 있는 취약점을 드러내기 위해서 제작했다고 합니다. 이 부트킷의 이름은 썬더스트라이크(Thunderstrike)로 설치되는 데에 수 분 정도만 소요된다고 합니다. 문제는 현재 시스템으로서는 이 썬더스트라이크를 감지조차 할 수 없다는 것입니다. 애플이 얼마나 빠르게 이에 대해 조치를 취하느냐를 두고 봐야 할 것 같습니다.

5. 해커들, 스위스은행에서 정보 훔쳐 협박 시도(Security Week)

http://www.securityweek.com/hackers-try-blackmail-swiss-bank-after-stealing-data-report

아마 세계에서 가장 유명한 금융기관이 있다면 스위스은행이 아닐까 합니다. 그런데 그런 스위스의 한 은행이 뚫려 수천 수만 명에 달하는 고객의 정보가 새나갔습니다. 하지만 아직 금전적인 손해는 없었다고 합니다. 이번 해킹을 감행한 건 렉스 문디(Rex Mundi)라는 그룹으로 일만 유로를 건네지 않으면 3만 여개의 이메일 주소를 인터넷에 공개하겠다고 협박을 하고 있습니다. 현재 수사기관은 이미 수사에 나섰으며 은행은 인터넷과의 연결을 전부 끊고 연결을 차단한 상태입ㄴ디ㅏ.

6. 코스믹듀크의 변종, 시스템에 미니듀크 심어(Security Week)

http://www.securityweek.com/cosmicduke-variant-installs-miniduke-infected-systems-f-secure

정보 탈취 기능을 가진 멀웨어 중에 코스믹듀크라(CosmicDuke)는 게 있었습니다. 2014년 4월에 처음 발견되었었죠. 악성 코드를 포함한 문서 파일을 통해 배포되는데요, 이 문서에는 우크라이나, 터키, 폴란드, 러시아 등의 지역을 가리키는 힌트들이 있었다고 합니다. 그런 코스믹듀크의 변종이 이번에 발견되었고요, 여전히 예전처럼 미니듀크(MiniDuke)라는 멀웨어를 설치하는 기능을 가지고 있습니다. 전문가들은 이 듀크 시리즈 멀웨어들을 러시아산이라고 보고 있으며 그중 일부는 심지어 러시아 정부가 멀웨어 제작 및 배포에 참여하고 있다고 보고도 있습니다.

7. 중국 경찰, 모바일 트로이목마 구입해 시민 감시(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/chinese-police-buy-mobile-trojan/

제목 그대로입니다. 중국 저장성의 관리자들이 2만 4천불을 들여 모바일 트로이목마를 구입해 시민들을 감시했다는 내용입니다. 이 모바일 트로이목마는 탈옥한 기기들에게 특히 효과적이라고 알려져 있으며 경찰들은 자신들이 목표로 하고 있는 대상을 정확하게 겨냥해 멀웨어를 배포한 것으로 알려져 있습니다. 사이버 강대국을 표방하고 있는 나라에서 이런 일이 자행되고 있다는 건 국가적인 큰 수치가 아닐 수 없다는 게 전문가들의 평입니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>