| [글로벌 뉴스 클리핑] “베놈 취약점과 스타벅스” 外 | 2015.05.14 | |
베놈 취약점 때문에 VM 기술 거의 대부분 위험에 처해 스타벅스 모바일 결제 통해 간단하고 위험한 사기 가능해 사람이나 나라나, 한 번 뒤틀린 관계는 회복되기 영 어려워 [보안뉴스 문가용] 베놈이라는 취약점이 난리이고, 스타벅스가 난리입니다. 하나는 가상화와 관련된 보안 문제이면서, 사실상 거의 대부분의 가상기기나 클라우드와 관련이 있어서 보안 업계에 위기감을 불러일으키고 있습니다. 어마어마한 돈을 투자한 곳에서 보안 구멍이 뻥뻥 뚫려만 가는 스타벅스도 위기감 잔뜩 느끼고 있고요.
미국의 자유법은 통과가 유력해보입니다. 9/11 사건이 벌써 14, 5년 전 이야기니, 세상이 변하긴 했나 봅니다. 그렇지만 국가나 사람이나 서로들 아웅다웅 살 수밖에 없는 어쩔 수 없는 본성은 변하지 않는 듯 합니다. 테러그룹과 정부, 정부와 정부의 싸움은 끝이 없습니다. * 업계 소식 1. 베놈 취약점 가상화 소프트웨어에서의 베놈 오류, VM 탈출과 데이터 탈취에 악용(Threat Post) 베놈 버그, 가상 환경에 큰 위협이지만 하트블리드 수준은 아니야(Security Week) 베놈 취약점, 가상 기기 탈출 가능케 해(SC Magazine) 게스트 가상기기를 탈출해 호스트뿐만 아니라 같은 시스템 상에 있는 다른 가상기기에 임의의 코드를 실행할 수 있게 해주는 베놈(VENOM) 취약점이 발견되었습니다. 대부분 OS에서 실행되는 가상화 소프트웨어는 거의 전부 비슷한 취약점이 있다고 합니다. 공격자는 클라우드 제공 업체에서 정식으로 일정 공간을 구입하고, 그 계정에서부터 취약점을 활용해 가상기기 탈출에 성공할 수 있다고 하는데요, 한번 탈출에 성공하게 되면 로컬 네트워크에 접근해 민감한 정보에 접근하는 게 가능해진다고 합니다. 전문가들 사이에서 심각성에 대해 의견이 갈리고는 있는데 아직까지는 ‘하트블리드 정도는 아니다’가 중론입니다. 2. 스타벅스 뚫리다 해커들, 이번엔 스타벅스 모바일 결제 앱 노려(Infosecurity Magazine) 해커들, 스타벅스의 자동리로드 기능 노려 정보 탈취(SC Magazine) 스타벅스 계정 노린 사기꾼들(CU Infosecurity) 스타벅스, 아직도 문제 해결 위해 끙끙(CSOOnline) 스타벅스의 기프트 카드와 모바일 결제 시스템에서 사기가 일어나고 있다는 소식입니다. 암호 설정과 자동리로드 기능의 취약한 점을 타고 공격이 들어온다고 하는데요, 수분 만에 수백 달러까지 훔치는 게 가능하다고 합니다. 더 충격적인 건 계좌번호나 카드번호를 몰라도 된다고 합니다. 이게 스타벅스로서는 심각한 문제인데요, 왜냐면 작년에만 20억 달러를 모바일 결제에 투자했고, 현재 스타벅스에서 이루어지는 모든 거래의 약 1/6이 모바일에서 일어나기 때문입니다. 3. 자유법 미국 하원, NSA 다량 정보 수집 금지시키는 법안 통과(Security Week) 워싱턴 : 데이터 수집에 있어 영장 꼭 필요하다는 법안 통과(SC Magazine) 미국 하원에서 논란의 ‘자유법’ 통과(SC Magazine) 미국 하원, NSA 정보 수집 금지시키는 자유법 통과(CU Infosecurity) 9/11 테러 이후 생긴 ‘애국법’이 6월 1일에 기한 만료됨에 따라 새로운 ‘자유법’이 등장하게 되었는데요, 일단 미국 정부에서는 이 법이 통과되면 개인의 프라이버시도 지킬 수 있고 국가도 안전하게 운영할 수 있다고 합니다. 그간 테러 방지를 위해 NSA가 다량으로 통화 정보를 수집할 수 있었는데, 그런 활동이 있었음에도 테러가 제대로 방지되지 못했다는 게 드러났고, 스노우든 사태 이후로 잃어버린 국민의 신뢰를 되찾기 위해선 NSA 등의 정보기관이 정보를 수집하기 전에 영장이 꼭 발부되어야 한다는 법이 마련되어야 한다는 점에 공화당원이나 민주당원이 거의 전부 동의했다고 합니다. 애국법으로 자유법으로, 시대가 바뀌고 있습니다. 4. 러시아의 APT28 러시아의 사이버 스파이 그룹, 은행 노릴 계획 발각(Security Week) APT28의 세계 금융권 노리는 계획 드러나(SC Magazine) 여태까지 러시아의 해킹 그룹인 APT28은 금융 계통은 노리지 않는다는 게 정설이었습니다만 최근 root9B라는 업체에서 이를 반박하는 자료를 들고 나왔습니다. 이번에 APT28이 노리고 있는 조직 및 단체의 목록이 바로 그것인데요, 여기에는 뱅크오브아메리카(Bank of America), TD 캐나다 트러스트(TD Canada Trust), 리젼뱅크(Regions Bank), UNICEF 등이 있다고 합니다. root9B는 목록에 나와 있는 이름들 중 자사의 고객은 한 업체도 없지만 이런 위협은 전체 보안 업계를 위해 공유하는 것이 더 낫겠다는 판단을 했다고 합니다. 5. SAP, 패치 완료 원격에서 악용 가능한 SAP 압축 알고리즘 취약점 발견(Threat Post) SAP, 원격 악용 가능 취약점 수정(Security Week) 요즘 해외에서는 SAP 제품들이 보안 문제로 뜨겁습니다. 오늘 아침에도 본지를 통해 보도된 바 있습니다. SAP 제품이 업무 환경을 통합으로 관리하는 ‘종합적’인 솔루션이기 때문에 보안 문제가 없을 수가 없었습니다. 다만 의혹만 있었을뿐 실제 사례가 없어서 다들 조심하지 않고 있었던 것이라고 전문가들은 바라보고 있습니다. SAP도 잘 대처해서 패치를 해나가고 있는 모습입니다. 6. 경찰력과 군부대 영국 경찰, 사이버 스킬 익히기에 나서(Infosecurity Magazine) 중국 정부, 군부대에 “웨어러블은 국가 전체의 위협”(Infosecurity Magazine) 영국에서는 경찰들이 사이버 스킬을 배우고 있다고 합니다. 그 수가 어마어마해서 5년 전에 비해 무려 90배에 달한다고 합니다. 대학교나 국가 기관에 준하는 시설들에서의 강좌가 특히 인기가 많다고 하는데요, 이는 경찰들이 정말로 사이버 수사관이 되기 위해서 한다기 보다 사이버 전문가들과 더 원활한 소통과 수사 협조를 위해서라고 합니다. 한편 중국 정부는 한창 떠오르고 있는 웨어러블 기술을 놓고 ‘국가의 위협’이라고 평했습니다. 몰래 아무 때 어디서나 뭐든 녹화와 전송이 가능하다는 것은 중국 정부와 군부대의 모든 비밀을 위협하는 기술이라고 하는데요, 사실 일리가 있다고 봅니다. 다만 남들 정보는 그렇게 들여다보는 중국이 자신들 정보가 드러나는 건 되게 겁내하는 게 아이러니 합니다. 7. 기타 취약점 및 오류 WSO2 아이덴티티 서버에서 XSS, CSRF 취약점 발견(Threat Post) 치명적인 인프라 부문에 널리 퍼진 OSIsoft 제품에서 오류 발견(Security Week) 한 설문서 20%가 “유출 사고 숨긴 회사에서 근무한 적 있다”(SC Magazine) 에얼리언볼트, 인텔과 첩보 공유 파트너십 체결(Infosecurity Magazine) 제목들 그대로 WSO2 아이덴티티 서버(Identity Server)에서 XSS와 CSRF 취약점이 발견되었다고 합니다. 인프라 보안, 사물인터넷 보안에 신경 써야 하는 때에 인기 높은 OSIsoft 제품에서 치명적인 오류가 발견되기도 했고요. 무엇보다 에얼리언볼트(AlienVault)에 따르면 해킹을 당하고도 쉬쉬하고 넘어간 회사가 적지 않다고 합니다. 이게 가장 큰 취약점 같아 보입니다. 그 에얼리언볼트는 인텔과 파트너십을 체결했습니다. * 일반 시사 1. 중동 평화협정 시작되면서 UN 사절단 예멘에 파견(Asharq Al-Awsat) 사우디 국왕, 예멘 지원금 두 배로 늘리기로(Al Arabiya) 시리아 홈스에서 IS와의 전투로 48명 사망(The Economic Times) 시리아의 알 누스라 전선, IS에 전쟁 선포(Ya Libnan) 이스라엘, “헤즈볼라, 미래 전쟁에 인간을 방패막이 삼는다” 주장(Ya Libnan) ICC, 가자지구에 사건 관련해 이스라엘에 정보 요청(Ynet) 예멘 사태가 잠시 소강사태에 접어들었습니다. 그래서 지원이나 구호물품 등 민간인에 대한 대책 마련이 바삐 운영되는 모습입니다. IS는 시리아 홈스라는 전략적 지역 확보를 위해 시리아군과 전투를 벌였고 양측 합해서 48명의 사망자가 나왔습니다. 그런데 이전에 미국이 이라크 북부지역에 감행했던 공중폭격으로 IS의 2인자가 사망했다는 소식이 있습니다. IS로서는 여태까지 잘 지내던 알누스라 전선에서 갑자기 전쟁 선포를 하고 공격을 하는 등 악재가 겹치고 있습니다. 그러는 한편 이스라엘과 팔레스타인의 악연에 바티칸은 팔레스타인의 손을 들어주는 걸로 결론을 내린 듯 합니다. 동시에 국제형사재판소(ICC)에서도 팔레스타인 가자 캠페인에 대한 이스라엘 측의 정보를 제출하라는 경고를 이스라엘에 발송했습니다. 이스라엘 역시 악재의 연속입니다. 2. 아시아 42명 시아파 사망한 카라치 버스 테러 사건, IS 소행인듯(The Indian Express) 중국, 남중국해 논란에 끼어들고자 하는 미국에 뿔났다(Bangkok Post) 헬기 추락 사건을 겪은 지 얼마나 되었다고 파키스탄에서는 또 한번 버스 테러 사건이 발생해 42명이 사망했습니다. 출근길 사람들이 꽉꽉 타고 있는 버스를 향해 무차별 사격을 가했다고 하는데요, IS는 자신들의 소행이라고 주장하고 있습니다. 한편 아프가니스탄에서 군대를 훈련시키고 있는 NATO는 미래에 있을 민간, 군사 협동 작전에 대한 협약을 맺었습니다. 둘의 관계가 더욱 단단해졌다고 볼 수 있습니다. 영해 다툼을 벌이고 있는 중국은 미국의 개입에 상당히 불만이 많은 모양이고요. 3. 아프리카 부룬디 시민들, 피에르 은쿠룬지자 대통령 파면에 환호(Mail & Guardian) 콩고에서도 테러 발생, 시민들 거리로 나와(Al Jazeera) 소말리아의 알샤바브, 외국인 탑승한 보트 억류 중(Al Jazeera) 이집트, 프랑스에 친브라더후드 성향 가진 방송물 폐쇄 요청(Middle East Eye) 부룬디 기억하시나요? 3연 재임에 성공한 대통령과, 명백한 위헌임에도 이를 합헌이라고 판결한 나라. 그래서 국민들 5000명이 이틀 밤 사이에 국경을 넘게 만든 나라. 거기서 군 쿠데타가 일어났습니다. 시민들은 거리에서 환호를 지르고 있다고 합니다. 다만 재미있는 건, 쿠데타의 핵심 인물인 갓프레이드 니욤바르 장군은 이전 정권 때 요직에서 해임당한 인물이고, 아직 실제 쿠데타를 일으킨 게 아니라 그냥 발표를 했을 뿐이라는 겁니다. 그것도 피에르 대통령이 해외로 출타 중인 때에요. 부룬디 정부는 당연히 ‘상대할 가치도 없는 일’이라고 반박했습니다만, 이 니욤바르 장군 주위에 권력자들이 많아서 물리적인 쿠데타가 벌어질 가능성이 큽니다. 시민들 역시 대부분 니욤바르 장군 편인듯 하고요. 콩고의 한 마을에 칼을 든 괴한 몇이 난리를 부려 사망자가 속출했습니다. 콩고 역시 분쟁 지역으로, 주민들은 이런 상황에서 시민들의 안전을 전혀 고려하지 않는 정부에 항의하기 위해 거리로 나섰다고 합니다. 소말리아의 테러리스트 그룹인 알샤바브는 망명자들을 싣고 있는 보트를 확보하고 있다고 하고, 이집트는 브라더후드(Brotherhood) 성향의 방송을 프랑스에서 금지시켜달라고 요청했다고 합니다. 브라더후드는 이집트 제1의 야당 운동이라고 이해할 수 있습니다. 4. 유럽 푸틴 만난 케리, 긍정적이긴 하나 돌파구 찾지 못해(Tass) 유럽연합, 리비아 사태 해결 위해 육군 파견할 듯(The Guardian) 미국, NATO, “러시아, 우크라이나와 평화협정 이행해야 한다”(Reuters) 유로, 그리스에 환호 “하지만 더 분발해야”(Greek Reporter) 드디어 러시아와 미국이 만났습니다. 하지만 만남 자체로 서로 만족하는 느낌입니다. 우리가 얼굴(만) 맞대고 얘기하는 게 어디냐,는 식입니다. 두 나라 관계를 생각했을 때, 인정합니다. 그렇지만 그런 미국은 또 NATO와 함께 러시아가 우크라이나를 가만 놔둘 것을 촉구했습니다. 얼마 전 리비아에 잠시 들린 보트피플이 납치, 성폭행, 살인 등 심각한 인권침해에 시달린다는 보도가 있었습니다. 유럽연합이 이를 해결하기 위해 군대를 움직이기로 한 모양입니다. 보트피플 많이 들어오는 나라 중 하나인 그리스 역시 이번에 돈을 어느 정도 상환함으로써 유럽연합을 안심시켰습니다. 5. 북미와 남미 미국과 쿠바, 상대 나라에 대사관 파견하기로(Latin America News Dispatch) 미국과 쿠바. 30년이 넘게 아웅다웅한 사이가 맞나 싶을 정도로 친밀함의 급류가 흐르고 있습니다. 이젠 대사까지도 파견할 듯 합니다. 누가 더 대인배인 걸까요. [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
