오늘의 키워드 : 연두교서, 프라이버시, 계약서, 레긴, 어도비, 크롬

보안 문제 놓고 미국의 영향력 어디까지 커지도록 해야 하는가?

보안 문제와 연결된 두 가지 판결 결과 나와 파장 있을 듯

[보안뉴스 문가용] 테러와의 전쟁이 사이버 공간에서도 이어지고 있는데, 이걸 방어하는 기조, 입장, 방법 등의 문제로 시끌시끌합니다. 안전하긴 해야겠는데, 그렇다고 프라이버시를 침해할 수는 없고, 이게 이번에 국제문제로까지 새롭게 대두되고 있기 때문에 국제관계에서 누가 얼만큼 영향력을 가지고 갈 것이가에 대한 정치적인 고려사항도 개입하고 있습니다. 한 마디로 문제가 점점 복잡해지고 있는 것입니다. 우린 몇 년 후 어떤 세상에 살고 있을까요?

한편 미국에서는 알 권리보다는 프라이버시가 더 중요하다는 뉘앙스의 판결이 내려졌습니다. 공익성 있는 기사 작성을 위해 자료를 불법적으로 취득한 기자가 5년간 징역살이를 해야 한다는 결정이 나왔기 때문입니다. 이 한 건으로 알 권리와 프라이버시의 우선순위가 단번에 정해지는 것은 물론 아닙니다만. 또, 정보 유출이 있었던 매장에서 사고에 대한 책임을 다 질 수 없다는 판결도 흥미를 끕니다. 책임 소재에 대한 논의가 아직도 이어지는 때에는 계약서가 최고의 힘을 발휘한다는 게 다시 한 번 입증되는 사건이었습니다.

1. 미국과 유럽

유럽연합, 웹 기업들에 이메일 복호화 요구할 수도(Reuters)

연두교서 이후, 여전히 엇갈린 반응들(CSOOnline)

오바마, 사이버 보안의 지도자로?(CU Infosecurity)

미국, 국제 사이버 표준 원해(Politico Pro)

다보스 연설 중 “프라이버시는 죽었다”(Security Week)

다음 주로 예정되어 있는 유럽 내무부 장관 모임에서 벨기에의 수석 유럽연합 사무관인 질 더 케르쇼브(Gilles de Kerchove)가 발표할 제안 내용 중에 “인터넷 기업들이 사용자들의 암호화된 이메일을 강제로 복호화시켜 열어볼 수 있도록 해야 한다”가 있다고 로이터 통신이 보도했습니다. 케르쇼브의 대변인은 이에 대한 인터뷰 요청을 거부하고 있다고 합니다.

한편 어제 있었던 오바마 대통령의 연두교서 이후 정보보안 업체들의 반응은 좋지도 싫지도 않은, 뒤섞인 채로 남아있습니다. 하지만 약간은 부정적인 의견이 더 많아 보이기는 합니다. 또한 미국은 내부적으로 정보보안에 대한 법 체계를 정비하면서 유럽연합 등과 손을 잡고 사이버 보안에 대한 표준을 수립하려고도 하고 있습니다. 이런 움직임에 대해 미국이 여러 부분에서 세계의 리더를 맡고 있거나 자처하고 있는데, 과연 정보보안 분야도 미국이 이끌어 갈 수 있을 것인가, 하는 의문이 제기되고 있습니다.

그러나 가장 심각한 문제는 프라이버시죠. ‘무슨 일이 벌어지고 있는지 알아야 보호할 수 있다’는 명목 아래 암호화 기술이 지금 권력들에 의해 부정되고 있고, 워낙 큰 사건이 프랑스에서 터진 터라 이에 대한 반발이 그다지 크지 않은 듯한 모습입니다. 하지만 스위스에서 열린 다보스 포럼에서 하버드의 교수들이 우리가 아는 프라이버시는 죽었다고 개탄하기도 했습니다.

2. 재판 소식

버렛 브라운, 63개월 징역 선고(SC Magazine)

버렛 브라운, 5년 감옥 생활 할 듯(Security Week)

유출사고가 났었던 매장에 유리하게 판결(CU Infosecurity)

2012년에 바렛 브라운이라는 기자가 어나니머스 등 해커들과 연계해 정보를 수집한 죄목으로 재판에 넘겨진 일이 있었습니다. 보안 회사가 정보를 얼마나 수집해가는지 알아보기 위해 해커들을 대동해(혹은 도움을 받아) 보안 회사들의 시스템에 침투했던 이 열혈 기자는 시민 단체의 지지를 받아왔고, 그를 지지하는 단체들은 여러 구명 활동을 벌이기도 했습니다. 하지만 법은 5년 징역형과 8십 9만 달러의 벌금형을 내렸습니다.

작년 한 해 POS 시스템이 해커들의 주요 공격 대상이 되면서 단말기를 통한 카드 정보 유출 사고가 미국에서 많이 있었죠. 그 책임을 누가 져야 하는가에 대해 정확히 합의가 이루어지지 않은 채로 대부분 POS 단말기를 운영하고 있던 매장 측에서 관리 부실을 이유로 보상을 하는 분위기로 흘러가고 있었습니다. 하지만 최근 슈눅 마켓(Schnuck Market)이라는 슈퍼마켓 체인에 대한 재판에서 동부미주리재판소는 슈눅 마켓 측만 책임을 지는 건 불공평하다는 판결을 내렸습니다.

슈눅 마켓과 계약을 맺고 지불 정보를 처리하는 퍼스트 데이터 머천트(First Data Merchant)와 시티코프 페이먼트 서비스(Citicorp Payment Services)와의 계약 내용에서도 PCI 컴플라이언스 문제로 슈눅이 내야 할 돈은 5십만 달러를 넘지 않는다고 명시되어 있다는 게 그 이유였습니다. 게다가 슈눅에서 발생한 해킹 사건은 PCI 컴플라이언스와 상관이 없기도 했었습니다. 하지만 슈눅이 최종 감당해야 할 피해액은 정확히 판결문에 등장하지는 않았다고 합니다. 지금처럼 유출 사고에 대한 책임을 누구에게 물어야 하는가의 문제가 합의되지 않은 때는 계약서 내용이 제일 중요합니다.

3. 레긴 정체 드러나나

레긴 멀웨어의 모듈 세부사항 드러나(Threat Post)

전문가들, 레긴 공격 플랫폼 모듈 분석(Security Week)

작년 말, 소니 사태가 발발하기 전 잠깐 정보보안 업계의 주목을 받은 것들 중에 레긴 멀웨어라는 것이 있었습니다. 통째로 하나의 기능을 발휘하는 개념이 아니라 여러 개로 쪼개지고 이어 붙일 수 있는, 그래서 무한히 새로운 형태로 다양한 기능을 발휘할 수 있어서 굉장히 무서운 녀석의 등장이라고 했었죠. 마치 레고 블록 같은 멀웨어라는 기사가 본지에서 나가기도 했었습니다.

어제 카스퍼스키에서 레긴의 여러 모듈 중 두 가지에 대한 상세 분석 보고서를 발간했습니다. 아 두 모듈의 이름은 홉스카치(hopscotch)와 레그스핀(legspin)으로 각각 독립적인 형태로도 기능을 발휘할 수 있으며 레긴 멀웨어 자체보다 수년 일찍 탄생한 것으로 보입니다. 그래서 작년에 발견된 레긴보다 기능이 좀 덜 발달되어 있다고 합니다. 레그스핀에는 C&C 메커니즘이 삽입되어 있지 않으며 대신 레긴 플랫폼을 사용해 통신을 한다고 합니다. 홉스카치는 인터랙티브 기능에 좀 더 초점이 맞춰져 있으며 자체 익스플로잇을 담고 있지는 않은 것으로 밝혀졌습니다. 카스퍼스키 측은 ‘레긴을 전부 이해하려면 아직 갈 길이 멀었다’고 합니다.

4. 크롬 40

크롬 40, 채널 안정화 등 62개의 보안 관련 픽스 발표(SC Magazine)

구글, 크롬 40 발표와 함께 62가지 버그 고쳐(Security Week)

크롬, 62가지 취약점 고친 패치 발표해(Threat Post)

MS를 그렇게 난처하게 만들던 구글이 자사 제품에 있었던 취약점들을 62가지나 발견해 수정했습니다. 또한 구글 40도 새롭게 출시했습니다. 약속했었던 버그 바운티(취약점 현상금) 역시 넉넉히 보상했는데요, 이번에는 총 20 이 넘는 버그 바운티 보상이 있었다고 하며 지급된 총액은 88500 달러라고 합니다. 62가지 취약점 중 17가지가 구글 기준 ‘심각한’ 수준이라고 하며, 구글은 다음 버그 바운티 보상금은 더 후할 것이라고 예고했습니다.

5. 어도비, 플래시 취약점 수정

플래시의 제로데이 취약점, 랜섬웨어의 재료돼(Infosecurity Magazine)

어도비, 문제가 되고 있는 플래시 제로데이 취약점 두 개 중 한 개 수정(CSOOnline)

어도비, 제로데이 취약점 고친 후 또 다른 취약점 수사 계속(SC Magazine)

어도비 플래시 플레이어 취약점 패치해(Security Week)

어도비 두 개 취약점 중 한 개 패치, 나머지는 다음 주에(Threat Post)

어제 클리핑 기사에서 어도비 플래시 플레이어에서 취약점이 발견되었을뿐 아니라 이를 악용하는 익스플로잇 킷이 이미 세간에 널리 퍼지고 있다는 내용을 언급했습니다. 오늘은 악용 사례 중 랜섬웨어로서 활용되는 경우가 제일 많은 것으로 드러났고, 어도비가 발 빠르게 이를 수정했다는 소식입니다. 하지만 아직 하나(CVE-2015-0310)만 패치를 한 상태고 나머지 하나는 다음 주로 연기가 되었다는, 반쪽만 안심할 수 있는 소식입니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>