| [글로벌 뉴스 클리핑] “3D 프린터로 취약점 제작” 外 | 2015.05.15 | |
취약점은 찾는 게 아니라 만드는 것 - 3D 프린터로 가능 돈은 못 주지만 항공 마일리지를 지급해주는 버그바운티 하이브리드 전쟁에 맞서겠다는 NATO와 EU [보안뉴스 문가용] 자물쇠를 따는 장치를 요즘 한창 뜨거운 이슈인 3D 프린터기로 만들고 그 제작법을 유튜브에 올린 해커가 등장했습니다. 또 웹이란 공간에서 활동하는 전체 인구 중 봇이 사람보다 더 비율이 높다는 놀라운 내용의 보고서도 나왔습니다. 무엇보다 ‘하이브리드 전쟁’이라는 표현이 새롭게 등장해 흥미롭습니다.
유럽연합이 계속해서 흔들흔들 거리는데요, 그리스가 일부 상환에 성공하며 탈퇴하지 않겠다는 의지를 보여서 안도의 가슴을 쓸어내리려는데, 이젠 영국이 미심쩍은 움직임들을 보이고 있습니다. 그래서 그런지 지중해 사건을 두고 계속 반대의견을 내고 있고요. 내부에서는 사실상 애국법이라고 하는 게 통과를 눈앞에 두고 있기도 합니다. 보수당 집권 후 빠르게 우경화가 되고 있습니다. * 업계 소식 1. 3D 프린터 새미 캄카르(Samy Kamkar)라는 자물쇠 따기 전문가가 원형 콤비네이션 자물쇠를 30초만에 해체시키는 기기를 3D 프린팅을 활용해 제작한 것이 화제가 되고 있습니다. 심지어 이 기기에 대한 10여분 짜리 영상을 유튜브에 올려놓기까지 했습니다. 3D 프린팅의 발전으로 오류를 ‘찾는 것’이 아니라 ‘만드는’ 데에까지 이르러서 보안 업계가 긴장하고 있습니다. (영상 주소 : https://www.youtube.com/watch?v=YcpSvHpbHQ4) 2. 놀라운 사실 정보유출 사고로 발생하는 피해, 2조1천억 달러(Infosecurity Magazine) 웹에서 이제 사람보다 봇이 더 많다(CSOOnline) 중국의 웹 사이트에서 83개의 드라이브바이 공격 발견(Infosecurity Magazine) 정보유출 사고로 발생하는 비용이 낮지 않은 건 알고 있었지만 조 단위라뇨. 이는 단순하게 말하자면 정보보안이 제대로 기능을 발휘하지 못하는 거라고 볼 수 있습니다. 게다가 웹에서 활동하는 봇이 사람보다 더 많다는 발표도 있었습니다. 트래픽의 59%가 봇이라고 합니다. 작년의 45%보다 훨씬 높은 수치입니다. 또한 중국의 한 동영상 공유 웹 사이트에서 어마어마한 드라이브바이 공격이 실행되고 있는 게 발견되었습니다. 이런 유해 사이트가 한두 개가 아니겠습니다만 한 사이트에서 83개는 놀라울 정도로 높은 수치입니다. 3. 재탕의 샐리 뷰티, 호스피라 샐리 뷰티, 지불카드 시스템에서의 유출 사고 인정(Security Week) 샐리 뷰티, 지불카드 시스템 통한 침입 ‘확실’(SC Magazine) 샐리 뷰티, 두 번째 유출 사고 분명히 있었다(CU Infosecurity) DHS, 호스피라 약 펌프에서 더 많은 버그 발견(SC Magazine) 유출 사고 정황으로 수사를 받고 있었던 미국의 뷰티 브랜드, 샐리 뷰티(Sally Beauty)의 수사결과가 발표되었습니다. 유출 사고 맞는다고 합니다. 지난 해 3월에 똑같은 사고를 겪은 지 1년 조금 넘은 시점에 또 당한 겁니다. 또한 얼마 전 한창 보안업계의 입에 오르내렸던 호스피라의 약 펌프에서 또 다른 버그들이 발견되었다고 합니다. 당하고 또 당하고, 또 당하고... 4. 중국도 MS를 사랑해, 표현을 못할 뿐 중국의 해커들, MS의 테크넷 사용해 C&C IP 호스팅해(Security Week) 중국의 해커들, MS 테크넷 사용해(The Register) 해킹 그룹, MS 테크넷 활용해 멀웨어와 통신(SC Magazine) 중국의 해킹 그룹이라고 알려진 APT17과 데퓨티독(Deputy Dog)이 MS의 테크넷(TechNet) 웹 포탈 포럼을 활용해 C&C용 IP를 호스팅했다는 사실이 드러났습니다. 암요, 그 누가 MS를 안 쓰고 배기겠습니까. 5. 시스코 패치 시스코 텔레프레젠스에서 발견된 여러 가지 오류들(Security Week) 시스코의 텔레프레젠스(TelePresence) 제품에서 치명적인 오류가 발견되었습니다. 원격에서 임의의 명령을 실행할 수 있는 것이었는데요, 다행히 시스코 자체 검사에서 발견되었고, 패치도 이루어졌다고 합니다. 사용자들의 패치가 요구됩니다. 6. 돈 대신 마일리지 유나이티드 항공사, 마일리지 활용한 버그바운티(SC Magazine) 유나이티드 항공사, 새로운 버그바운티 포상법(The Register) 버그바운티도 점점 활성화되어가고 있고, 요즘은 항공사 쪽의 보안이 떠오르는 분야가 되고 있죠. 이게 맞물려서 이런 신기한 버그바운티 프로그램이 탄생한 것 같습니다. 돈은 못주지만 마일리지를 주겠다는 건데요, 그래도 한두 달 전 어도비가 발표한 ‘명예’를 주겠다는 버그바운티보다는 좋아보입니다. 7. 국제 정세 관련 대만과 필리핀 노린 사이버 작전, 트로픽 트루퍼 발견(Security Week) NATO와 EU, 하이브리드 전쟁에 공동 대응한다(Security Week) 미국 자유법, 이제 상원으로 간다(SC Magazine) 영국도 극단주의 관련 법안 마련될 듯 - 사실상 ‘애국법’(The Register) 소셜 엔지니어링, MS 윈도우 취약점, 기초 암호학 등을 종합적으로 활용해 대만과 필리핀의 정부 기관, 군 관련 시설, 산업 주요 인물을 겨냥한 3년짜리 사이버 스파이 작전이 발각되었습니다. 작전명은 트로픽 트루퍼 작전(Operation Tropic Trooper)이고요, C&C 서버는 대만, 홍콩, 미국, UAE 등에 있었다고 합니다. 아직 배후 세력은 드러나지 않았습니다. NATO와 EU는 다시 한번 유대관계를 확인했습니다. 특히 이들의 표현을 빌리자면 ‘하이브리드 전쟁’에 맞서서 공동전선을 펼치겠다고 했는데요, 이 하이브리드 전쟁이란 쉽게 말해 전통의 전쟁수단과 현대의 사이버전 수단을 함께 활용하는 것을 말합니다. 특별히 우크라이나 사태에서 러시아를 지목해서 한 말입니다. 미국은 자유법이 무사히 통과하는 과정 중에 있는 듯 하고요, 영국에서는 사실상 애국법이라고 보이는 ‘대 극단주의’ 법안이 이번 선거에서 승리를 거둔 보수당에서 준비하고 있다는 소식입니다. 즉, 테러리즘 및 극단주의자들과 맞서기 위해 필요하다면 범행 전 사전검열도 가능하게 한다는 것인데요, 어째 자유의 상징이던 유럽이 자꾸만 이렇게 검열과 국가의 힘을 키워주는 결과가 나오니 찝찝합니다. 8. 기타 Fox-IT, 금융 플랫폼 가지고 미국에 진출(Infosecurity Magazine) 최근 피싱 공격은 야후와 드롭박스 사용자들에 집중돼(Infosecurity Magazine) 폭스IT라는 네덜란드 금융 보안 플랫폼 제공 업체가 미국 금융계로 진출했다는 소식입니다. 이번에 이들이 미국에 내놓은 솔루션 이름은 뎃액트(DetACT)이고요, 각종 사기로 인해 실제로 돈이 은행을 벗어나기 전에 잡아내는 데에 특화되어 있다고 합니다. 또한 야후와 드롭박스 사용자들에게 경고가 될 만한 소식도 있네요. * 일반 시사 1. 일본 일본의 국방 정책에 큰 변화 줄만한 법안 2개 통과(The Japan News) 일본이 ‘국가를 보호하기 위해서 군대를 운용할 수 있다’는 주장을 계속해서 펼치고 있고, 그것이 미국의 지지를 받게 됨에 따라 국내에서도 이제 그것을 정식으로 법제화하고자 하고 있습니다. 그래서 어제, 급히 내각회의를 소집해 일단 법안을 ‘처리’했다고 합니다. 그리고 오늘 이 처리된 법안은 국회의사당으로 향했고요. 한편 일본은 2차대전 당시부터 있었고 탄광, 선착장 등의 근대 산업 시설을 세계 유산으로 인정해달라는 신청서를 냈습니다. 당연히 중국 등 아시아 국가들이 들고 일어섰지요. 정말 일본이라는 나라 자체가 세계 유산급으로 독특(?)합니다. 2. 테러 카불의 호텔 테러로 14명 사망, 탈레반 “우리 짓” 주장(CNN) 아프가니스탄에서 호텔 테러가 또 발생했습니다. 탈레반들은 자기들 소행이라고 주장하고 있습니다만 아직 정확히 확인된 바는 없습니다. 어제 NATO와 협력관계를 강하게 구축한 아프가니스탄 정부인지라, 이 다음 대응에 NATO가 어떻게 개입할 지 궁금해집니다. 한편 이란의 배 5척이 싱가포르 국기를 단 화물선을 향해 5번 포격을 가했습니다. 다행히 별다른 피해나 교전이 발생하지는 않았고 화물선도 잘 탈출했다고 합니다만 아직 의중이나 정확한 범행동기는 파악이 안 되고 있습니다. 3. 평화인듯 아닌듯 모디의 중국 방문, 시진핑의 고향인 시안으로부터(South China Morning Post) 쿠테타가 맞는 듯 아닌듯, 부룬디 군조직도 갈려(Africa Review) 인도와 중국이 급격히 친해지고 있습니다. 일본의 모디 총리는 중국의 시진핑 주석의 고향을 방문함으로써 유대관계를 드러냈습니다. 예멘에서도 후티와 정부군의 임시평화 기간이 시작되었습니다. 일단 5일짜리 평화이긴 한데, 그게 얼마나 길어질지 혹은 짧아질지 두고봐야겠죠. 한편 어제 ‘이건 쿠테타도 아니고 아닌 것도 아닌’ 부룬디의 소식이 있었는데요, 어정쩡하게 시간이 흘러가자 군 부대가 또 분열을 일으켰다고 합니다. 산 넘어 산입니다. 4. 보수의 영국 지중해 난민 문제 두고 유럽연합과 영국 마찰(Channel News) 지중해 난민 문제에 군대 운용된다(EU Observer) 보수당 집권 성공한 영국이 점점 우경화되어가고 있습니다. EU에서도 발을 빼려는 움직임을 보이고 있는 가운데 지중해 난민 문제를 두고 유럽연합과 대립각을 세우고 있습니다. 일단 영국은 ‘유럽연합의 태도 때문에 더 많은 사람이 고향을 등지고 바다를 건너는 것’이라며 경제 난민은 되돌려 보낼 것을 촉구했습니다. 유럽연합은 군대까지도 운용해 지중해 난민을 거둬들일 생각이고요. 한편 영국 상공에 자꾸만 러시아 비행기가 출현한다고 합니다. 어제도 갑자기 등장한 비행기에 전투기가 급히 출동했고, 러시아까지 기수를 돌려놨다고 합니다. 러시아는 아무 잘못도 안 했다고 주장하고 있고요. [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
