| [글로벌 뉴스 클리핑] “자유법 통과 못하다” 外 | 2015.05.26 |
모두의 예상을 깨고 자유법 통과 못해 사실상 애국법 폐지 안드로이드의 공장 초기화 기능 완전하지 못해 데이터 유출 POS, 게임, 성인 사이트에서 계속해서 멀웨어 발견
게임과 성인 사이트 방문에 주의가 필요한 때입니다. 또한 POS에서 결제하는 것도 계속해서 불안불안합니다. 심지어 진료를 받거나 의료보험을 드는 것도 호시탐탐 노리는 해커들의 맛있는 먹잇감이 될 공산이 크고, 이 와중에 보안은 지키는 과정도 모두 합법적이어야 한다는 논란에 휩싸여 있습니다. 확실히 지금 이 새로운 범죄에 법 체계와 기존 시스템이 적응을 못하고 있어 보입니다. 1. 자유법 불허! 미국 자유법, 통과 못하다(Infosecurity Magazine) 미국 국회, NSA 정보 수집 관련 법안 통과 놓고 지지부진(CU Infosecurity) 미국 국회, 애국법의 부활 막다(SC Magazine) 모두의 예상을 뒤엎고 자유법의 통과가 부결되었습니다. 57대 42로 반대에 부딪혔다고 하는데요 하원에서의 투표 결과인 338대 88과는 상반된 결과입니다. 그러므로 6월 1일에 애국법은 사실상 대체 없이 폐지될 것으로 보입니다. 물론 확언할 수는 없습니다. 2. 안드로이드 공장 초기화 안드로이드 공장 초기화의 불완정성으로 개인정보, 암호화 키 유출(Threat Post) 안드로이드 기기의 공장 초기화, 민감한 사용자 정보 유출(CSOOnline) 안드로이드 공장 초기화 오류로 민감한 정보 새나간다(Security Week) 최근 영국 캠브리지대학교에서 발간한 보고서에 의하면 안드로이드 OS에 기본으로 탑재되어 있는 공장 초기화 기능의 보안성이 그리 뛰어나지 않다고 합니다. 이번 조사를 위해 5개의 제조사로부터 각기 다른 OS 버전이 설치된 안드로이드 기기 21대를 구해 분석을 했다고 하는데요, 플래시 메모리 내 데이터 파티션이 제대로 안 지워지거나 새 기기와의 호환성 문제가 발생하거나 SD 카드와 충돌이 발생하는 등의 갖가지 문제로 인해 불완전성이 야기됩니다. 3. 마인크래프트 가짜 안드로이드용 마인크래프트 앱, 3백만번 가까이 다운로드(Infosecurity Magazine) 구글 플레이에 있는 가짜 마인크래프트 치트에 멀웨어 숨겨져(Security Week) 2백 8십만 명의 마인크래프트 사용자들, 악성 앱 공격 받아(The Register) 마인크래프트라는, 세계적으로 꾸준한 인기를 끌고 있는 게임이 있죠. 그 게임에 치트를 적용할 수 있게 해주는 안드로이드용 앱이 있는데요, 이미 수백만 사람들이 다운로드 받은 이 앱에 멀웨어가 숨겨져 있다는 사실이 드러났습니다. 앱을 받은 사용자의 기기가 바이러스에 감염된 것처럼 꾸며 특정 백신 서비스를 1주일에 5달러 정도의 가격에 내라고 유도한다고 합니다. 작년 8월부터 존재했던 앱이라고 하네요. 치트 가지고 게임하면 재미없죠, 여러모로. 4. 스타벅스 아직도 시끌 스타벅스, 기프트 카드 익스플로잇 연구하던 보안전문가 협박?(Security Week) 해커들, 스타벅스 기프트 카드 해킹해 무한히 샌드위치 섭취(The Register) 지난 주 기내 해킹 사건 때문에 ‘그렇게 보안 실험을 하는 게 맞느냐 아니냐’로 큰 논란이 있었는데요, 이번 주는 스타벅스의 기프트 카드를 해킹해 사실상 무한히 사용할 수 있는 취약점을 발견한 한 해커가 스타벅스로부터 감사하다는 말 대신 ‘악성 행위’, ‘사기’ 등의 말을 들은 것이 논란이 되고 있습니다. 카드 두 개를 구매해 스타벅스 사이트에서 충전된 금액을 한 카드에서 다른 카드로 옮길 때 다른 세션 쿠키를 가지고 다른 브라우저를 사용하면 두 번 충전이 되는 취약점인데요, 이것을 발견한 보안전문가인 에고르 호마코프(Egor Homakov)는 이렇게 충전된 금액이 실제로 사용이 가능한 것인지 알아내기 위해 스타벅스에서 뭔가를 구입해보았다고 합니다. 그리고 이 지점이 논란이 되고 있는 부분입니다. 꼭 진짜 해커처럼 실제 구매를 했어야 했느냐와 꼭 필요한 실험 단계였다는 주장이 대립하고 있습니다. 일단 스타벅스도 별로 좋아하고 있진 않습니다. 5. 요즘 성인 사이트 불안 어덜트 프렌드파인더 수백만 고객 정보 유출(SC Magazine) 어덜트 프렌드파인더에서 대규모 유출 사고(CSOOnline) 어덜트 프렌드파인더에서 3백 5십만 사용자 정보 유출(CSOOnline) 어덜트 프렌드파인더서 수백만 사용자 정보 유출(Infosecurity Magazine) 요즘 눈에 띄게 공격받는 게 ‘취미(?)’ 웹 사이트입니다. 하나는 게임이고 하나는 세계에서 가장 많은 사용자를 보유하고 있다는 성인 사이트입니다. 최근 만남을 원하는 성인남녀의 데이트 사이트인 어덜트 프렌드파인더(Adult Friend Finder)라는 곳에서 3백만이 넘는 사용자 정보가 유출된 사건이 있었습니다. 취미 생활 잘 가려가며 해야 할 때인 듯 합니다. 6. POS와 이베이 POS 멀웨어, 차세대 방화벽 시장 가속화한다(Infosecurity Magazine) 스팸 캠페인 통한 새로운 POS 멀웨어 번지고 있어(Security Week) 이베이, 파일 다운로드 오류 수정(Threat Post) 이베이 버그, 피싱 이메일을 멀웨어 가득한 상품으로 뒤바꿔(The Register) 작년부터 POS 단의 멀웨어가 잠들 줄을 모르고 기승을 부립니다. 멀웨어 자체가 새로워지는가 하면 퍼지는 방법도 다양합니다. 이베이 같은 경우는 이번에 RFD(reflected file download) 취약점이 발견되었는데요, 다행히 재빠르게 수정이 되었다고 합니다. 이베이는 가장 많이 공격받는 사이트 중 하나로, 취약점 발견과 수정이 굉장히 빠르게 일어납니다. 7. 보안과 기업 센디오, 원격 보안 우회 취약점 패치(Threat Post) 마스터카드와 타깃 법정 분쟁 1천 9백만 달러 선에서 합의(SC Magazine) 미국 내 3개주 병원서 직원정보 유출(SC Magazine) 센디오(Sendio)라는 이메일 플랫폼 제공업체에서 원격에서 보안 도구를 우회할 수 있는 취약점이 있었는데 수정되었으며 마스터카드와 타깃(Target)사 사이에 있었던 법정 분쟁은 1천 9백만 달러를 타깃이 마스터카드에 배상해주는 것으로 결말이 날 것 같습니다. 마스터카드는 타깃에서 있었던 유출사고로 인해 자신들이 고객들에게 카드를 재발행주어야 했는데 이 과정에 어마어마한 금전 손실이 발생했다고 타깃을 고소한 바 있습니다. 그리고 미국 의료업계는 아직도 불안감이 가시지 않고 있습니다. 8. 보안과 나라 은행 노리던 멀웨어, 러시아가 배후에 있는 것으로(The Register) 요즘 APT 해킹 그룹의 주요 타깃은 북유럽 국가들(Security Week) 은행 관련 멀웨어 중 가장 고급화되어 있고 복잡한 트로이목마인 카르바낙(Carbanak)이 현재 러시아의 정부기관을 노리고 있다는 소식이 있습니다. 카르바낙은 전 세계 100개의 금융기관으로부터 3억 달러를 훔쳐낸 그룹 이름이면서 동시에 그들이 사용한 멀웨어의 이름입니다. 그런데 애초에 카르바낙이 러시아의 해커 단체라는 게 유력했었거든요. 그래서 지금 보안업계는 이게 어찌 된 일인가 분석 중에 있습니다. 한편 요즘 APT 단체들은 주로 북유럽 정부 및 정부기관들을 노리고 있다는 보고서가 발표되었습니다. 대부분 중국과 러시아 단체라고 하는데요, 북유럽 국가가 대부분 부유하다는 점, 노르웨이 같은 경우는 에너지 공급원으로서 유명한 나라라는 점 등을 이유로 꼽고 있습니다. 게다가 지금 러시아와 상당히 불편한 관계에 있기도 한 지역이죠. 9. 말말말 영국 감시단체, “벌금 아무리 올려도 데이터가 안전해지지는 않을 것”(The Register) 리차드 스톨먼, “윈도우와 OS X 자체가 멀웨어다”(The Register) 범죄 형량이 늘어나도 범죄율이 줄어들지 않는다는 통계자료가 있지요. 그와 비슷한 통계자료가 정보보안 분야에서 나왔습니다. 영국의 감시단체에서 발표한 건데요 정보 유출 사건에 대한 벌금을 아무리 세게 먹여도, 유출 사고의 빈도수가 반비례하지 않을 거라는 겁니다. 또한 GNU 선동가인 리차드 스톨먼(Richard Stallman)이란 인물은 윈도우와 OS X가 가장 큰 멀웨어라는 아주 강도 높은 발언을 했습니다. 게다가 당시 청중이 IT 기술과는 전혀 상관없는 일반인들이었다고 합니다. 여러 이유를 댔는데, 들을 만한 것도 있고 아닌 것도 있는 모양입니다. 예를 들면 “멀웨어는 어떤 기능들로 구성되어 있나? 무엇보다 OS다”, “애플시스템도 족쇄 같긴 마찬가지다. 늘 사용자 정보를 스누핑하고 족쇄를 채운다”, “윈도우는 취약점을 패치 전에 공개해 사용자들에게 피해를 고스란히 떠넘긴다” 등의 언급이 있었는데요 가치 판단은 각자 하시기 바랍니다. [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스 문가용] 랜드 폴 의원의 10시간 넘는 연설이 통했던 걸까요. 하원에서 300표 넘게 찬성표를 받았던 애국법이 국회에서 통과하는 데에 실패했습니다. 물론 아직 무슨 일이 일어날지 모르지만 6월 1일로 애국법은 폐지가 거의 분명해 보입니다. 물론 국회가 무슨 일이든 마음먹으면 못할 것이 없겠습니다만.