| [글로벌 뉴스 클리핑] “아듀, MS 정기 패치” 外 | 2015.05.07 |
오늘의 키워드 : MS 화요 패치, 레노보, 다크 웹, 텐센트, 자유법 오바마와 걸프 동맹국들의 협력, 이란과 핵 협상에 어떤 변수?
다크 웹에 있는 정보가 위협에 대한 첩보로서 정보 업계에 유입될 것이라는 소식도 있습니다만, 이는 효과적일 수도 있겠다는 생각과 동시에 이러다가 다크 웹에 있는 사람들까지 유입되는 건 아닐까 하는 우려도 듭니다. 미국은 우리나라에서 논란이 되고 있는 국가보안법과 비슷한 ‘자유법’ 때문에 또 시민과 정부가 부딪히고 있고요. 중동에서는 시리아와 레바논이, 유럽에서는 우크라이나 부근이 대체적으로 가장 위험해 보이는 곳입니다. 하지만 오늘은 시민들이 구출되었다는 소식도 있습니다. 네팔도 다시 시작하려는 희망의 소식들이 있고요. * 보안 업계 소식 1. MS의 공식 패치, 이젠 끝 화요일 패치, 이제 더 이상 없다(Threat Post) 윈도우 10의 폭탄 : MS의 화요일 패치 중단(The Register) 윈도우 10 : 화요일 패치 중단(CU Infosecurity) MS에서 윈도우 10 발표를 목전에 두고 매달 하던 정기 패치를 중단하겠다는 발표를 했습니다. 대신 윈도우 업데이트 포 비즈니스(Windows Update for Business)라는 걸 윈도우 10과 함께 실시하겠다고 했습니다. 기존의 자동 패치에서 탈피해 사용자들이 직접 패치를 제어할 수 있도록 했다고 합니다. 한 달에 단 한 번 패치로 세계 모든 고객들의 문제를 해결하겠다는 자세를 버리는 거라고 MS측은 발표했습니다. 2. 레노보 패치 레노보, 시스템 업데이트 서비스 내 취약점 해결(Threat Post) 레노보 시스템 업데이트 오류 해결했지만 보안 업계는 불만족(The Register) 레노보, 치명적인 시스템 업데이트 취약점 패치(Security Week) 레노보는 시스템 업데이트라는 서비스를 운영 중에 있는데요, 그 시스템에서 다량의 취약점이 발견되었습니다. 권한이 제일 낮은 사용자조차 제일 높은 권한 사용자가 할 수 있는 일들을 할 수 있게 해주는 치명적인 취약점도 있었고, 이에 대해 레노보 측은 즉각적인 조치를 취했습니다. 하지만 보안 전문가들에 따르면 애초에 이런 취약점들 자체가 너무나 기초적인 거라며, 레노보가 이름값을 못했다는 혹평 중입니다. 3. 다크 웹과 보안의 만남 다크 웹의 정보, 위협 첩보의 구성요소로써 작용(Infosecurity Magazine) 딥 웹(Deep Web) 혹은 다크 웹(Dark Web). 일반인들이 각종 인터넷 브라우저를 가지고 서핑하는 건 웹이란 공간의 아주 얕은 표면에서만 이뤄진다고 하죠. 그 뒤로 혹은 그 깊이에서는 또 다른 일들이 벌어지고 있다고들 합니다. 거기에는 주로 해커들이 서식하고 있고요. 그래서 그곳 정보를 캐치할 수 있다면 미리 보안 조치를 취할 수 있을 것이라는 의견들이 많았는데요, 최근 보안 전문가 그룹인 IID에서 이를 공개해서 위협 첩보로서 배포하겠다고 했습니다. 4. 때 아닌 조작권과 저작권 텐센트, 성능시험 조작 밝혀져 안티바이러스 랭킹 취소(The Register) 사이버록, IO액티브, 일렉트릭 록 오류 공개 놓고 설전(Security Week) 사이버록 취약점 놓고 신경전 벌어져(SC Magazine) 전자 자물쇠 제작사, 소프트웨어 오류 놓고 보안 회사와 신경전(CSOOnline) 세계적으로 백신 프로그램들의 성능을 시험해 순위를 매기는 서비스들이 몇 개 있습니다. 대표적인 게 AV-Comparatives, AV-Test, 바이러스 불레틴(Virus Bulletin) 등이죠. 이들 모두 최근 텐센트(Tencent)라는 이름을 순위표에서 지워버렸습니다. 백신 성능 시험을 조작했다는 이유 때문입니다. 침투 방어 실험에서 빠른 시간을 기록하기 위해 일부로 자사 시스템을 감염시켜서 실험을 했다고 합니다. 사이버록(Cyber Lock)이라는 물리 보안장치 제작 회사가 있습니다. 최근 이 회사 제품에서 발견된 일렉트릭 록(Electric Lock) 오류를 보안 회사인 IO액티브(IOActive)에서 공개했는데요, 사이버록 측이 무척 화가 난 모양입니다. 이로 인해 회사 변호사까지 나선 모양입니다. 심지어 ‘저작권’이라는 단어까지 사용됐는데요, 일부 언론은 이를 ‘개그’라고 조롱했습니다. 5. 의료기기에서 또 오류 ICS-CERT, 호스피라 주입펌프에서 오류 발견(SC Magazine) 호스피라 라이프케어 드러그 주입기에서 심각한 오류 발견(Security Week) 취약점 가득한 의약품 주입 펌프, 조치 필요(Threat Post) 의약기기 제조사인 호스피라(Hospira)의 라이프케어 드러그 펌프(Lifecare Drug Pump)에서 오류가 발견되었습니다. 몇몇 보안 전문가들은 여태까지 발명된 사물인터넷 기기 중 최악이라고 평할 정도입니다. 원격에서 악용할 수 있는 취약점이 다량에, 심지어 기기 자체를 그냥 벽돌로 만들어버릴 정도로 위험한 취약점도 다수라고 합니다. 6. NSA와 시민 단체 NSA 반대그룹, 시민 단체, 미국 자유법 반대할 것 요구(Threat Post) 시만 단체, NSA의 통화 기록 프로그램 허가 법안에 반대(CSOOnline) 기사 헤드라인만 봐서는 무슨 소리인지 헷갈립니다. 배경은 이렇습니다. 한국의 국가보안법과 비슷한 법이 미국에도 있는데, 이게 애국법입니다. 이중 215 섹션이 가장 큰 논란이 되고 있는데 그게 왜냐면 이 부분이 NSA 등의 정보기관이 시민들의 통화 내용 등을 마음대로 가지고 갈 수 있는 근거가 되었기 때문입니다. 이게 이 법이 유효한 건 6월 1일까지라고 합니다. 그러니 정부 측에선 새로운 법안을 마련 중에 있는데요, 그게 자유법입니다. 그래서 시민 자유 단체 등에서 ‘자유법’을 반대한다는 건 이상해 보이긴 하지만 사실은 정부의 검열을 반대한다는 것이죠. * 보안 관련 시사 1. 중동과 미국 오바마, 이란과의 핵 협상 앞두고 걸프에 미사일 재배치(An-Nahar) 나스랄라, 레바논-시리아 국경에 주둔하는 군대 공격할 것 예고(Middle East Eye) 오바마가 영리한 한 수를 뒀습니다. 핵 협상을 앞두고 이란 코앞에 미사일 방어 시스템을 구축하기 시작한 것입니다. 무기를 더 배치하고, 걸프 동맹군들과 합동 군사훈련을 벌이고 약 1주일 뒤에는 걸프 동맹국과의 회담이 있습니다. 핵 협상을 통해 앞에서는 이란을 풀어주는 듯 하지만 뒤로는 더 강력하게 조이겠다는 의지로 해석됩니다. 한편 시끄러운 시리아에서는 혁명군들이 산업도시인 홈스를 공격하고 나섰습니다. 앞으로 여기서는 총격이 더 울릴 것으로 보입니다. 한편 레바논의 무장단체인 헤즈볼라의 수장 나스랄라는 시리아와의 국경선에 있는 군부대를 공격할 것이라고 예고했습니다. 헤즈볼라는 이 지역의 알카에다나 IS와는 또 다른 단체인데요, 최근엔 정부와 다른 경쟁 테러 단체에 밀려 산악 지역을 중심으로 활동하고 있습니다. 레바논과 시리아 접경 지역에 전운이 감돌고 있습니다. 2. 유럽 혼란의 정국, 영국 예측 불허의 선거에 돌입(Al Jazeera) 몰도바, 그루지야, 우크라이나의 의원들 모여 더 끈끈한 협력 약속(Civil.ge) 독일의 메르켈, 스파잉 혐의에 “법정에 서겠다”(BBC) 영국에서는 곧 총선이 시작되는데요, 역사상 가장 예측하기가 힘든 선거가 될 거라고 합니다. 영국에서도 ‘암호화’나 ‘프라이버시’, ‘정부의 검열 및 감시’가 문제가 되고 있어서 이 선거에 관심이 갑니다. 한편 러시아의 위협에서 자유로울 수 없는 세 나라 몰도바, 그루지야, 우크라이나가 협력을 약속했습니다. 미국과의 스파잉 공조로 의심을 받고 있는 독일의 메르켈은 급기야 법정에서 내 떳떳함을 증명하겠다고 나섰네요. 유럽은 총성은 좀 드문데도 불안불안합니다. 3. 아프리카 부룬디 사태, 갈수록 심각해져(The Guardian) 독재 정권이 합헌으로 판결나자 국민들이 대거 떠나고 남은 자들은 거친 시위를 해서 온 나라가 혼란에 휩싸였습니다. 지금 그래서 이웃 아프리카 국가들과 UN, 미국이 중재에 나서려고 하고 있습니다. 외세에 의한 평화가 어떻게 이루어질까요. 모두를 만족시키긴 어려울 텐데 말입니다. 4. 구조와 출발 네팔, 지진 사망자 수 7700명까지 집계 후 본격 새 출발(The Economic Times) 지중해 떠돌던 이민자들 일부 구조 성공(Telegraph) 멕시코에서 납치된 이민자들 100여명 구출되다(El Universal) 미국, 쿠바에서 미국 간 여객선 허가(Merco Press) 좋은 소식도 있습니다. 네팔에서는 지진으로 사망자를 7700명까지 집계했으며 본격적인 새 출발을 시작했다고 합니다. 이곳에서 얼른 새 희망이 시작되기를 바랍니다. 지중해에서도 구조 작업이 성공했다는 소식이 있고요, 마약 밀매 단체와의 전쟁 중인 멕시코에서도 일반인들이 구조되었다고 합니다. 미국과 쿠바는 본격적으로 관계를 트고 있네요. 그래요, 이런 소식도 좀 있어야죠. [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스 문가용] 매달 한 번씩 컴퓨터를 꺼고 다시 켜기가 망설여지던 화요일(우리나라 시간으로 수요일)이 없어질 예정입니다. MS가 패치 방식을 바꾼다는 발표를 하면서 Patch Tuesday를 없애기로 했거든요. 말도 많고 탈도 많았던 패치 방식이라 크게 아쉽지는 않지만 새롭게 등장할 패치 방식은 과연 괜찮을까 하는 생각이 듭니다.