• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “오픈SSL 주요 패치 내놔” 外 2015.06.12

로그잼 및 DOS 취약점 전부 해결한 오픈SSL

애플과 스냅챗은 보안 정책 강화, 인도지역 페북은 성인물 증강

왓츠앱 해킹으로 테러범 잡은 벨기에, IS 도운 10대 재판 중인 미국


[보안뉴스 문가용] 오픈SSL이 패치가 되었습니다. 해당 버전이 밑에 소개가 되니 관련 있으신 사용자들은 모두 패치를 하시기 바랍니다. 패치를 꼭 하셔야 하지만 사실 하시는 분들은 몇 안 되겠죠? 마치 하니웰 SCADA 관련 제품에 있었던 패치도 잘 안 한다는 조사결과가 있는데 저희 독자들이라고 얼마나 다를까 싶습니다.

 


벨기에에서는 왓츠앱 해킹을 통해 테러 용의자들을 잡아들이는 일이 있었습니다. 미국에서는 트위터를 통해 IS를 지원하고 도운 10대 소년이 잡혔고요. 그 와중에 크립토월 3.0은 이전보다 더 빠르게 번지고 있고 인도의 페이스북 타임라인들은 음란물로 도배가 되고 있다고 합니다.


1. 오픈SSL 패치 소식

오픈SSL, 다섯 가지 오류 패치(Threat Post)

오픈SSL, 로그잼 버그와 DoS 취약점 패치(Security Week)

오픈SSL 1.0.2b, 1.0.1n, 1.0.0s, 0.9.8zg가 세상에 나왔습니다. 이중 1.0.2b 버전과 1.0.1n 버전에서는 로그잼(Logjam)이라고 하는 버그가 수정되었는데요, FREAK 취약점과 굉장히 유사한 CVE-2015-4000이라고 합니다. 악용할 경우 중간자 공격을 가능하게 합니다. 또한 CVE-2015-1788 취약점을 악용할 때 DOS 공격이 가능하다는 점도 수정했습니다. 그밖에 X509_cmp_time 함수에 있던 CVE-2015-1789 오류, 구글의 마이클 잘레브스키(Michal Zalewski)가 발견한 CVE-2015-1790 오류, 시스코에서 발견한 또 다른 DOS 취약점인 CVE-2015-1791 역시 이번에 패치가 되었습니다.


2. 보안 강화 소식

스냅챗도 이중인증 옵션 채택(Threat Post)

애플, iOS9에서부터는 이중 인증과 6자리 패스코드 도입(Threat POst)

10대 스마트폰 사용자들 사이에서 스냅챗의 인기가 갈수록 높아지고 있다고 합니다. 사람들의 인기가 높아지면 높아질수록 해커들의 시선이 쏠리기 마련이고, 과연 스냅챗에서는 여러 취약점들이 간헐적으로 발견되곤 합니다. 그래서 스냅챗에서도 보안을 강화했는데요, 물론 옵션이긴 하지만, 이중인증이 가능하도록 했습니다. 애플이 곧 새롭게 출시하는 iOS9 역시도 이중인증을 도입하고 기존 4자리수 암호를 6자리로 늘린다는 소식이 있습니다.


3. 많은 문제 생기는 페북과 크립토

크립토월 3.0, 앵글러 EK와 맞물려 급증 중(Threat Post)

인도에서 돌아다니는 페이스북 멀웨어, 포르노로 도배(SC Magazine)

5월말부터 앵글러 익스플로잇 킷이 크립토월(Cryptowall) 3.0이라는 랜섬웨어를 퍼트리기 시작했죠. 관련하여 여러 보고서가 나갔음에도 이 현상이 오히려 더 증가하고 있다는 소식입니다. 또 지금 인도 지역의 페이스북 사용자들의 타임라인에 음란 성인물이 무차별적으로 올라오고 있다고 합니다. 멀웨어 감염 때문이라고 하는데요, 이에 대한 추가 보도를 이어서 올리도록 하겠습니다.


4. 공격은 많고 패치하는 사용자는 적고

멀버타이저 공격자들, 한 달에 5천만 사용자 노려(Infosecurity Magazine)

최근 발생한 하니웰 SCADA 오류 패치한 기업 몇 안 되(Security Week)

최근 온라인 광고 플랫폼인 오픈엑스(OpenX)를 겨냥한 대규모 멀버타이징 캠페인이 발견되었다고 합니다. 오픈엑스는 한 달에 10억 건 이상의 광고 신청을 받는 플랫폼으로 이 플랫폼에 멀버타이징이 조금이라도 노출된다면 전 세계 인터넷 사용자 중 적어도 5천만 명을 감염시킬 수 있다는 보고서가 나왔습니다. 적은 수가 아닙니다. 하지만 사용자들의 보안 의식은 아직도 낮습니다. 몇 달 전 하니웰의 팔콘 XLWeb(Falcon XLWeb)의 보안 패치를 발표했는데, 아직 이 패치를 적용한 기업이 무척 적은 수라는 보도가 있었습니다.


5. 사이버전과 사용자

대형 사이버전이 벌어지는 이유 중 하나는 빅 데이터(Infosecurity Magazine)

미국 10대, 인터넷에서 IS 도와 15년 형(Security Week)

왓츠앱 채팅 내용 복호화해서 테러 방지한 벨기에(The Register)

최근 미국 연방 공무원 4백만 명의 정보가 유출된 사건이 있었죠. 그렇게 점점 정부기관의 정보를 노리는 사이버전이 더 노골적으로 변해가고 있으며, 이런 정보들은 추가로 활용할 여지가 높기 때문에 이런 일은 더 많이 일어날 것이라는 예측이 많습니다. 그리고 이런 식의 대규모 정보를 훔쳐 그걸 보다 장기적인 관점에서 활용할 수 있는 건 빅데이터 기술의 발전 때문이라는 분석이 있습니다. 즉 빅데이터가 발전하면 할수록 사이버전의 스케일도 늘어날 것이라는 거죠. 기술 발전의 음과 양을 다 보는 듯 합니다.


최근 미국에서는 17세 고등학생인 슈크리 아민(Shukri Amin)이 트위터를 통해 IS에게 정보를 흘리는 식으로 도움을 줬다는 이유로 재판소에 섰습니다. 본인도 인정했고요. 미국에서는 이런 종류의 죄목에 최대 15년형까지 부여할 수 있는데요, 10대라 어떻게 될지는 지켜봐야 할 듯 합니다. 또한 벨기에에서는 테러 혐의자들을 이번에 체포하는 데 성공했는데, 왓츠앱의 암호화된 대화를 복호화한 것에 큰 도움을 받았다고 합니다. 채팅을 검사해서 범행 전에 누군가를 체포하는 거, 얼른 들어도 논란거리가 풍부하죠? 후속 기사로 이에 대해 좀 더 알아보도록 하겠습니다.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>