• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “사건 후속처리로 바쁜 정부들” 外 2015.06.15

미국 공무원 인사 관리에 두 번째 해킹 벌어져

저먼윙즈 사건과 하원 해킹으로 바쁜 프랑스와 독일

포도주 취급 산업과 거래하는 네트워크 회사에 해킹


[보안뉴스 문가용] 주말 내 미국 공무원 개인정보가 두 번째로 해킹당했습니다. 미국 국세청에 이어 굵직하게 드러난 것만 세 건의 해킹 사건이 상반기에만 있었는데요, 미국은 그래서 지금 비상입니다. 그런데 백악관에서 서둘러서 한다는 조치가 그저 백신 설치, 패치 적용에 그치고 있네요. 아마 발표할 수 있는 게 이 정도지 뒤로는 중국과의 접촉이라던가 여러 정보기관들의 숨겨진 능력들을 가동하고 있을 것 같습니다.

 


하원 해킹 사건의 독일과 저먼윙스 사건 마무리 중인 프랑스도 바쁘고, HTTPS로 전환하기로 한 위키피디아도 바쁩니다. 보안의 가장 큰 핵심은 ‘자발적인 바쁘기’라고 보는데, 이렇게 바쁘게 움직이고 있는 쪽이 있는가 하면 그렇지 않은 부류도 있습니다. 인증서와 암호키를 무조건 믿는다는 사람이 대부분이라고 하니 말입니다.


1. 미국 연방기관 “바쁘다 바뻐”

IRS와 세금비준 기업들, 힘 합해 사기에 맞서기로(Wall Street Journal)

해킹당한 IRS, 사기방지 정책 마련(Infosecurity Magazine)

미국 정부 두 번째 해킹, 개인 비밀정보 사용허가 정보에 접근했다(SC Magazine)

Union, “모든 미국 공무원 직원들의 민감한 정보 새나갔다”(Security Week)

백악관의 뒤늦은 조치(The Register)

미국, “이란 핵 협상 관련 정보유출 절대 없다”(Security Week)

미국 정부가 국세청(IRS) 해킹사고, 4백만 개인정보 유출사고에 이어 주말 동안 두 번째 해킹사고를 겪었습니다. 이로 인해 더 많은 인원의 민감한 정보, 특히 국가 기밀이나 기밀시설에 접근할 수 있는 권한도 이번에 탈취당한 것으로 보입니다. 그러면서 밝혀진 게 이번에 도난당한 정보 대부분에 암호화도 걸려 있지 않았다는 것입니다.


이에 대해 IRS는 여러 관련 민간기업들과 힘을 합해 알맞은 보안 방비를 취하기로 했습니다. 제일 먼저는 대중들을 직접 대하는 하위 조직에서 민원 신청자의 신원을 좀 더 확실하고 분명하게 파악하기로 했다고 하는데, 이러면 사실 일반 대중들이 세금과 관련해서 뭔가를 하려고 하면 절차가 더 복잡하고 까다로워진다는 뜻입니다.


백악관은 1) 소프트웨어 패치, 2) 백신 솔루션 활용해 멀웨어와 비슷한 것 모두 찾아내기, 3) 이중 인증 사용하기, 4) 관리자 권한 가진 공무원의 수 줄이기 등 이제야 급급하게 당연히 해야 할 것들을 해나가고 있는 모습입니다. 그러면서도 이번에 진행되고 있는 이란 핵 협상은 문제 없다고 장담하고 있고요.


2. 프랑스와 독일도

저먼윙즈 사건, 아직 끝나지 않았다(New York Times)

독일 하원 해킹 사건, 훨씬 많은 정보 새나갔다(SC Magazine)

올해 초 부기장의 자살로 수많은 사람들이 생명을 잃어야 했던 저먼윙즈 사건, 아직도 공판이 진행 중이라고 합니다. 이제 논의는 부기장의 심적 허약함을 미리 알지 못한 것은 누구에게 책임을 물어야 하는가로 옮겨갔다고 합니다. 이 논의가 얼마나 생산적이고 미래에 유의미할 지는 미지수입니다.


독일 하원도 해킹당한 사건이 있었죠. 빠르게 복구하기가 어려워 시스템 전체를 물갈이 하네 마네 하는 보도가 있었습니다. 그런데 애초에 보도되었던 것 보다 훨씬 많은 정보가 새나갔다는 보도가 있습니다.


3. 사기업 및 조직들도 보안

위키피디아도 전부 HTTPS로 전환한다(The Register)

여태 가만히 있던 아마존, 갑자기 투명성 보고서 발간(The Register)

지난 주 미국 정부를 비롯해 여러 기업들에서 HTTPS로의 전환을 실제로 이행하고 있다는 소식이 있었는데요, 위키피디아도 여기에 동참했습니다. 페북이나 구글에서는 정부가 정보요청을 얼만큼 했는지에 관한 투명성 보고서를 정기적으로 발행하죠? 여기에 아마존은 동참하지 않았는데요, 갑자기 투명성 보고서를 냈다고 합니다. 무슨 내용일까요? 후속 기사로 보충합니다.


4. 취약점 및 패치

인증서와 암호키 무작정 믿는 보안부서 많다(Infosecurity Magazine)

MS, 검색 툴바는 불필요한 소프트웨어라 칭해(Threat Post)

시스코 IPv6 패치(Threat Post)

콘크리트5 CMS 몇 가지 중요 취약점 패치돼(Security Week)

미싱링크에서 정보유출 사고(CSOOnline)

보안부서의 담당자들 중 인증서와 암호키를 무작정 믿는다는 사람이 많은 것으로 드러났습니다. 그런 눈 가린 믿음도 취약점이라면 취약점인데 패치하기가 여간 어려운 게 아닙니다. MS는 검색 툴바인 애스크(Ask) 툴바가 ‘불필요한 소프트웨어’라고 정의했습니다. 이는 즉 MS의 각종 소프트웨어나 보안 장치가 애스크 툴바를 ‘악성’으로 감지할 것이라는 말입니다.


시스코의 제품과 CMS 플랫폼 중 하나인 콘크리트5에서 중요한 취약점이 패치되었고 미싱링크(Missing Link)라는 네트워크 업체에서는 정보유출 사고가 발생했습니다. 특이하게 미싱링크란 회사는 포도주와 관련된 사업체들을 거래 대상으로 삼는데, 이 사건으로 인해 유명한 포도주 생산업체 및 유통업체가 영향을 받았다고 합니다. 해킹과 와인이라니, 새롭네요.


5. 범죄와 선고

인터넷서 아동 착취한 남성에게 135년형 선고(SC Magazine)

미국 유명 중고 및 구인구직 사이트인 크레이그리스트(Craiglist)에서 아동을 상대로 성범죄를 일으킨 45세의 남성이 135년형을 받았습니다. 또한 그의 컴퓨터에서는 43개의 아동 포르노그래피 영상물도 있었다고 합니다.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>