오늘의 키워드 : 중국 정책, 이정훈, 요스트, 해이

캐나다에서 열리는 국제 해킹 대회서 기록 수립한 이정훈 연구원

아직도 보안은 해이의 영역에서 헤어 나오질 못해

[보안뉴스 문가용] 튀니지 사건에서도 역시 IS의 개입 정황이 드러났습니다. 그런 IS는 홍콩에 있는 인도네시아인들에게도 손을 뻗치고 있어 점점 진출 영역을 확대하고 있습니다. 홍콩이라면 정말로 한국 코앞이긴 한데요, 더 이상의 동진이 이루어질지 두고 보게 됩니다. 우리나라도 무슬림 인구가 점점 늘어나고 있어 전혀 비현실적인 이야기는 아닌데, 그 가운데 중국이 버티고 있긴 해서 예상이 힘이 듭니다.

캐나다에서 열리고 있는 폰투온(Pwn2Own)이라는 국제 해킹 대회에서 우리나라의 한 연구원이 신기록을 수립했습니다. 크롬 관련 해킹을 통해 2분 만에 11만 달러를 획득하는 쾌거를 올렸다고 합니다. 게다가 11만 달러가 이 연구원이 딴 총상금이 아니라고 하네요. 이 대회에서 각종 메이저 애플리케이션과 브라우저들이 뚫렸는데요, 그런데도 아직도 사용자 및 기업들의 해이는 여전하다는 소식도 있습니다.

1. 테러 관련 소식

IS 조직, 홍콩의 가정부 노려(The Strait Times)

유럽연합, 리비아 사태에 개입하기로 합의(Times of Malta)

IS, “튀니지 박물관 테러 사건, 우리가 한 일”(The Peninsula)

아프가니스탄, 탈레반도 정부의 의석 가질 수 있다(Daily Outlook)

인도네시아인들이 홍콩에서 가정부로 일하는 경우가 제법 있다고 하는데, IS가 그들을 겨냥해 ‘지원 요청’ 메시지를 보냈다고 합니다. 이라크나 나이지리아에서 격퇴 소식이 있는데도 IS의 세력은 점점 넓어지고 있습니다. 그 방향이 동남아에서 홍콩으로 향하고 있는데 점점 무슬림들이 늘어나고 있는 우리나라도 곧 사정권에 들어오지 않을까요.

한편 튀니지 박물관 테러 사건을 벌인 용의자들이 리비아에서 훈련을 한 것으로 드러남에 따라 유럽연합이 드디어 리비아에 적극적으로 개입하기로 결정했습니다. 리비아 사태라면 IS의 유전 파괴가 대표적인데요, 아마 그리스 사태와 맞물린 유로존의 위기와 유가 정책에 대한 계산이 맞물린 움직임듯 합니다. 물론 더 이상 IS를 두고볼 수 없다는 생각도 있었겠지요.

탈레반 세력을 오랫동안 해결해오지 못한 아프가니스탄은 한 정부 관계자가 “평화만 성실히 유지한다면 정치계 진출도 인정하겠다”는 발언까지 하기에 이르렀습니다. 극단주의냐 아니냐만 다르지 종교의 뿌리는 비슷하다고 본 것일까요. 정부의 공식 입장이 아니라 한 정치인의 발언이기는 하지만 IS를 빨리 해결하지 못했을 때 사람들이 가질 수 있는 생각을 미리 엿 본 것 같아서 조금 무섭기도 합니다.

2. 중국의 안티테러리즘

미국, 유럽연합, 일본 힘 합해 중국의 소스코드 공개 정책에 저항(Infosecurity Magazine)

중국이 테러를 방지한다며 해외 기술업체들의 소스코드까지 전부 공개하라는 정책을 마련하고 있다는 건 유명한 일입니다. “중국에서 장사하고 싶어? 너네들 수상한 사람일지 모르니까 떳떳하다면 뭐든지 공개해. 소스코드까지도”라는 논리였죠. 그러면서 “사실 앞으로 대놓고 말하지 못하지 미국이나 유럽에서도 다 하는 짓이잖아?”라고 저항에 반박해오기도 했습니다. 하지만 이랬거나 저랬거나 엄청난 반대에 부딪히고 있긴 합니다. 미국, 유럽연합, 일본이라면 초강대 세력이긴 하지만, 중국의 시장성 또한 만만치 않은 세력이라 이들의 힘 싸움이 어떻게 벌어질지 궁금해집니다.

3. 폰투온 대회에서 격파되는 메이저들

플래시, 리더, 파이어폭스, IE, 하루만에 무너지다(Threat Post)

메이저 브라우저들, 전부 이틀만에 무너지다(Threat Post)

파이어폭스, 크롬, IE, 사파리, 예외 없이 폰투온 2015 대회에서 뚫려(The Register)

폰투온 2015, 전문가들에게 배당된 총상금이 552,550달러(Security Week)

캐나다 뱅쿠버에서 열리는 해킹대회인 폰투온(Pwn2Own)에서 이틀 사이에 세계 PC 사용자 대부분이 사용하고 있는 소프트웨어들이 전부 뚫려버렸습니다. 특히 괄목할만한 건 한국인 이정훈이라는 라온시큐어의 연구원인데요, 폰투온 대회 역사상 최단 시간 최고 상금액을 기록했다고 각종 외신에 나오고 있습니다(2분 만에 11만 달러).

4. 요스트 구글 애널리틱스

요스트(Yoast)의 구글 애널리틱스 워드프레스 플러그인에서 취약점 발견(Security Week)

요스트 구글 애널리틱스 플러그인의 새로운 패치로 XSS 취약점 수정(Threat Post)

헤드라인이 좀 혼란스러운데요, 워드프레스 플랫폼에서 구글 애널리틱스를 실행하기 위한 플러그인을 제작한 요스트(Yoast)에서 새로운 취약점을 해결하기 위한 패치를 발표했습니다. 이 플러그인은 6백만 건 이상의 다운로드 횟수를 자랑하고 있는, 인기가 상당히 높은 플러그인입니다. 최초로 이 취약점을 발견한 사람은 핀란드의 한 연구원이었고, 하루만에 패치가 발표되었다고 합니다.

5. 그 외 패치 및 취약점 소식

러시아에서 온 랜섬웨어, 볼트크립트(Infosecurity Magazine)

시스코가 발견한 포세이돈 POS 멀웨어(Security Week)

인도의 ATM에서 USB 활용한 새로운 공격 유형 포착(CU Infosecurity)

드루팔 SQL 인젝션 취약점, 패치 이후에도 여전(SC Magazine)

록웰 오토메이션 공장 시스템에서 DLL 하이재킹 오류 발견(Security Week)

페이스북, 사용자 사진 공개하는 싱킹 버그 수정(Security Week)

대부분 제목 그대로의 내용이지만 러시아의 볼트크립트는 좀 재미있어서 자세히 소개합니다. 러시아에서 지난 2월달부터 돌기 시작한 볼트크립트(VaultCrypt)라는 멀웨어가 슬슬 영어권으로 번지기 시작했습니다. 이 랜섬웨어가 좀 특별한 것이 있다면 보통의 랜섬웨어처럼 경고 메시지를 발송하지 않는다는 점입니다. “지금 당신 파일들 나한테 딱 걸렸으니까 돈을 내.”라고 알려주지 않는다는 겁니다.

대신 사용자가 이런 저런 시도를 해보는 과정에서 ‘고객센터’와 같은 사이트를 알려주고, 거기에 사용자가 등록한 후 로그인까지 해서 ‘상담’을 받도록 유도하고 있습니다. 심지어 멀웨어 제작자와 1:1 채팅도 가능하다고 합니다. 그리고 맛보기로 파일 네 개를 복호화시켜주기도 한답니다. 경고 대신 상담해주는 형태를 취한 건데 이렇게까지 하는 목적이나 장점은 아직 분석 중에 있습니다.

6. 아직도 보안에 해이한 모습들

보고서 결과, 신용카드 데이터 보안 아직도 깜짝 놀랄 정도로 부실(CIO Today)

모바일 앱 개발자들, 아직도 보안에 투자하지 않는다(Net Security)

버라이즌에서 조사한 결과 신용카드 결제를 허용하는 업체들 중 20%만이 보안 표준 정책을 준수하는 것으로 드러났습니다. 또한 포춘 500에 등재될 정도로 큰 기업들 중 40%가 고객들용으로 제작하는 앱을 개발할 때 보안을 크게 염두에 두고 있지 않은 것으로 나타났습니다. 보안 사고는 아직도 우리가 자초하는 것 같습니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>