• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “애플 페이, 새 전쟁터” 外 2015.03.05

오늘의 키워드 : FREAK, 애플 페이, 중국, 크롬

SSL 클라이언트에서 발견된 취약점, FREAK

애플 페이 연관된 각종 사기 늘어나고 있어


[보안뉴스 문가용] 오늘은 크게 새로운 소식이 없습니다. 아무래도 정보보안계에서는 FREAK과 애플 페이가 가장 큰 이슈인 듯 한데요, 이런 대형 이슈들 사이로 구글과 모질라가 새로운 브라우저를 발표했고, 중국은 자신들의 새로운 법안에 대한 미국의 거친 반응을 도통 이해 못하겠다는 눈치입니다. 한편 익스플로잇 키트가 새로운 감지 회피 방법을 장착한 채 등장해 업계를 긴장시키고 있습니다.

 


1. FREAK 취약점

새로운 FREAK 공격으로 SSL 클라이언트 불안(Threat Post)

FREAK 취약점으로 SSL/TLS에 보안 구멍 생겨(Security Week)

새로운 SSL/TLS 취약점인 FREAK 때문에 커뮤니케이션 위험(SC Magazine)

당신도 위험하다. FREAK 취약점에 노출되어 있는지 알아보는 법(CSOOnline)

기술적인 사항에 대해서는 본지 기사를 참조하시길 바랍니다. 중요한 건 이미 이 취약점에 노출이 되어 있느냐를 알아봐야 하는 건데 브라우저의 경우 freakattack.com을 방문하면 됩니다. 도메인의 경우는 퀄리스(Qualys)에서 이를 시험해볼 수 있는 사이트를 열어 운영 중에 있습니다. 여기서 도메인 주소를 입력하면 웹 사이트의 취약성 여부를 파악할 수 있습니다.


2. 애플 페이, 새로운 전쟁터

애플 페이, 사기꾼들의 새로운 놀이터, 보안의 새로운 전쟁터(The Guardian)

애플, 상근 보안담당자 고용할 예정(USA Today)

애플, 다음 주 안으로 FREAK 버그 수정할 계획(Reuters)

애플의 사용자 정보가 여러 경로를 통해 유출됨에 따라 해커들이 애플 페이로 고가의 제품들을 구입하고 있습니다. 지금 미국에서는 애플 페이 관련 사기 건수가 충격적으로 많다고 합니다. 아마 지불 시스템이 변하는 과도기에 일어나는 현상입니다. 다행히 애플 페이 자체의 보안문제가 발생한 건 아니고, 사용자 로그인정보 유출로 인한 사기죄라는 게 그나마 긍정적인 건데요, 애플은 마침 상근직 보안담당자를 뽑을 계획이라서 이 부분에 대한 조치가 곧 취해질 듯합니다. 한편 애플이 상근직 보안담당자를 뽑는 건 외주나 프리랜서로서만 보안 문제를 해결하는 게 보편적이었던 실리콘밸리의 분위기에 반하는, 고용시장에서는 반기는 움직임이라고 합니다.


3. 중국발 소식

중국, 군 예산 10% 높일 듯(BBC)

중국, “새로운 사이버 검열 법안은 미국 따라한 것”(PC World)

중국, “우리가 하려는 검열은 미국 따라한 것 뿐”(CSOOnline)

군사력으로 굳건한 세계 2위인 중국이 군 예산을 10% 높일 거라는 발표를 했습니다. 2위라고는 하지만 1위인 미국과의 격차가 상당히 크다는 것을 늘 의식해온 중국이 군비를 두 자릿수 %로 늘인 건 사실 어제 오늘 일이 아닙니다.


한편 중국이 테러를 방지하기 위해 기술회사들에게 소스코드를 정부에 제출하고 시스템 감시를 위한 백도어도 만들어 제공하라는 법안을 마련 중에 있는데요, 이게 미국 기업들의 큰 반발을 사고 있죠. 이에 대해 중국은 “미국, 너네도 똑같이 정보를 달라고 요구하는데 왜 우리만 가지고 그러느냐?”라고 반박했습니다. 테러 방지를 위한 사이버 검열에 대한 두 나라의 의도 및 이해도에 차이가 있어 보입니다.


4. 구글의 크롬 41

구글과 파이어폭스, 51가지 버그 고쳐(The Register)

구글, 크롬 41 발표하며 51가지 취약점 해결(Security Week)

구글 51가지 취약점 고친 크롬 41가지 발표(Threat Post)

많은 매체에서 구글만을 주로 언급했는데, 구글과 모질라가 각각 대표 브라우저인 크롬과 파이어폭스의 취약점 51가지를 고치면서 새로운 버전을 발표했습니다. 내용이 헤드라인 그대로라 더 설명할 게 없네요.


5. 앵글러 익스플로잇 키트

앵글러 익스플로잇 키트, 도메인 쉐도잉 기법으로 숨어(Security Week)

앵글러 익스플로잇 키트, 도메인 등록 인증서 훔쳐 악성 페이지 제작(SC Magazine)

앵글러 익스플로잇 키트가 현존하는 익스플로잇 키트 중 가장 고도로 발전한 것으로 밝혀졌습니다. 특히 이번에는 도메인 쉐도잉(Domain Shadowing)이라는 기법을 사용하는 것으로 알려졌는데요, 바로 도메인의 인증서를 중간에서 가로채 그걸 가지고 악성 웹 사이트 및 페이지를 만드는 것입니다. 인증서를 가지고 있기 때문에 감지가 어려워지는 걸 노린 것이죠.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>