| [글로벌 뉴스 클리핑] “정보보안 기업들의 위기?” 外 | 2015.06.23 | |
NIST의 새로운 정보보안 가이드, 업계의 웃음만 사 정부는 백신업체 해킹하고, 업계에선 비윤리적 돈벌이 자성의 목소리 [보안뉴스 문가용] 제로데이 취약점을 막을 수 있긴 할까 라는 생각이 자주 들었습니다. 실수 없는 사람 없는데, 사람이 만드는 소프트웨어가 제로데이로부터 자유로운 게 가능한가? APT는 어떤가? 일개 민간업자 상대로 벌이는 한 정부의 집요한 공격을 막을 수 있나? 그런데 이걸 해결해준다고 돈을 받는다는 건 소비자 기만행위 아닌가? 그런데 이런 비슷한 생각을 리버만이란 곳에서도 했나 봅니다. 이번에 맨디언트 등 굵직한 기업들을 겨냥해 강력한 발언을 했습니다.
또 NIST에서 가이드라인이 하나 새롭게 나왔는데, 그게 하필 이번 OPM 사건과 맞물려서 조롱만 받고 있습니다. NIST 가이드라인이 이런 반응을 받는 것도 참 드문데 말이죠. 한편 루비젬, IE, 크롬 등에서 취약점이 발견되어 일부는 해결됐고, 일부는 방치, 일부는 치명적이 아니라 방치되고 있습니다. 1. NIST의 새로운 정보보안 가이드라인 NIST, 정보보안 관련 가이드라인 발표(SC Magazine) NIST, 정보상대업자 대상으로 한 정보보안 가이드라인 발표(CSOOnline) NIST의 새로운 가이드라인 요약 : 바보처럼 굴지마(The Register) 정부와 함께 계약을 맺고 일을 하는 업체들이 정부기관 네트워크에 접속할 때와 대중 인터넷에 접속할 때 어떤 주의를 해야 하고 어떤 사항을 지켜야 안전한지를 설명해주는 가이드라인이 나왔습니다. 그러나 업계나 언론이나 하나 같이 ‘조롱’하는 분위기입니다. 왜냐하면 가이드라인에 나온 항목들 대부분 정부기관 요원들도 안 지키는 것들이거든요. 정부기관에서 기본을 잘 안 지켜서 이번에 연방공무원 개인정보가 대규모로 방출된 것이고요. 2. 루비젬 소프트웨어 오류 루비젬 소프트웨어의 오류, 수백만 시스템에 영향(Infosecurity Magazine) 루비젬에서 치명적인 소프트웨어 발견(Security Week) 프로그래밍 언어인 루비의 라이브러리와 애플리케이션의 패키징 포맷인 루비젬에서 오류가 발견되었습니다. 루비젬은 개발자들이 소프트웨어를 한 장소에 모아두고, 그곳에 최종사용자가 접속해 다운로드하게 하는 방식으로 배포하도록 하는데, 그렇기 때문에 여기서 생기는 취약점은 배포범위만큼 넓어질 수 있다는 게 현재 걱정거리입니다. 최소 수백 만이 노출되어 있을 것이라고 합니다. 현재 이 취약점을 악용하면 해커가 사용자 시스템에 강제로 악성 프로그램을 설치할 수 있습니다. 3. 사이버 범죄 수사 관련 유럽의 사이버 경찰, IS의 선전물과의 전쟁 시작(Security Week) 유로폴, 극단주의자 사냥 나선다(CU Infosecurity) 실크로드 수사 중 82만 달러 횡령한 수사관 유죄(SC Magazine) 유로폴의 사이버 담당 부서에서 IS 및 극단주의자들의 온라인 선전을 막는 데에 나섰습니다. IS는 특히 여러 기관 및 조직의 SNS 계정을 해킹해 선전물을 도배하는 수법으로 유명한데, 이 때문에 상당히 많은 사람들이 IS에 가입을 하는 것으로 나타난 바 유럽에서 더 이상 두고볼 수 없다고 결론을 내린 듯 합니다. 한편 실크로드 마약밀매 사이트를 수사하던 중에 82만 달러어치의 비트코인을 횡령한 수사관이 유죄 판결을 받았습니다. 4. 이젠 피아가 헷갈린다 NSA와 GCHQ, 백신 기업들 파헤친 정황 발견(Security Week) 앤섬과 OPM에서의 정보유출 사고, 범인 같다?(SC Magazine) 아침부터 시끄러운 뉴스 중 하나가 바로 이 NSA와 GCHQ 등의 국가 정보기관에서 민간 백신 업체의 뒤를 캐고 있다는 소식입니다. 자세한 내용은 후속기사로 내보내겠습니다. 한편 미국 공무원 개인정보 유출사고와 올해 초 일어났던 앤섬(Anthem) 개인정보 유출사고가 사실 같은 단체에 의해 자행되었을 가능성이 제기되었습니다. 두 사건 모두에서 사쿠라(Sakula)라는 흔치 않은 툴이 사용되었고, 이는 여태까지 밝혀진 바대로라면 중국 해커들만 사용하는 도구라고 합니다. 또한 한국 소프트웨어 기업인 DTOPTOOLZ의 인증서를 훔친 것도 공통점이라고 합니다. 5. 업계 내 고발과 소식 리버만, “맨디언트와 버라이즌의 수익, 비윤리적이다”(CSOOnline) 와츠앱, 알려진 것만큼 프라이버시 지켜주지 않는다(Infosecurity Magazine) HP, 패치 안 된 IE의 취약점과 익스플로잇 코드 공개(Threat Post) 오라클의 CMO, 포티넷으로 옮기다(Security Week) 리버만 소프트웨어(Lieberman Software)의 리버만 회장이 강력한 발언을 했습니다. 맨디언트나 버라이즌 등 포렌식을 하고 돈을 받는 기업이 돈을 비윤리적인 방법으로 번다는 것입니다. 이들이 주로 하는 건 제로데이나 APT 공격처럼 애초에 막을 수 없는 사건을 고발하고, 사건이 이미 다 일어난 뒤에 투입돼 청소해주는 것인데, 이때 이런 공격을 방지하기 위해 해야 할 최소한의 가이드라인을 제시하지 않는다는 게 그 이유입니다. 물론 막기가 까다로운 공격 유형이긴 하지만, 그럼에도 기업에서 할 수 있는 일은 분명히 있는데 이를 알려주지 않는다는 건 이들이 해커와 공모하는 것과 다름없다는 것이죠. 강력한 발언입니다. 한편 메신저 중에서 그래도 보안성이 뛰어난 것으로 알려진 왓츠앱이 이번 EFF에서 발간한 프라이버시 관련 보고서에서 그다지 높은 점수를 받지 못했습니다. HP는 자신들이 발견한 IE이 취약점이 너무 오래 방치되자 그 사실을 대중에게 공개해버렸고요, 오라클의 CMO였던 주디스 심(Judith Sim)이 포티넷으로 거처지를 옮겼다는 소식도 있습니다. 6. 패치와 실패 미싱링크네트웍스의 유출사고, 2차 피해로 확산 중(CSOOnline) 구글에서 크롬의 취약점 몇 가지를 패치했습니다. 그래서 크롬은 43.0.2357.130 버전이 되었습니다. 또한 이중 몇 가지는 버그바운티를 발동시켜 한 연구원은 5000불을 타가기도 했습니다. 나머지는 아직 금액이 결정되지 않은 모양입니다. 지난 주 글로벌 뉴스 클리핑에 간략하게 미싱링크네트웍스(Missing Link Networks)라는 와인 도소매상 전문 네트워크에서 유출사고가 있었다고 했는데요, 이게 2차, 3차 피해로 확산되는 분위기입니다. 계속해서 와인업자들이 피해를 신고하고 있습니다. 주로 자신들의 네트워크를 타고 들어와 서드파티(외주업체)의 정보를 추가로 훔쳐낸 듯한 정황이 많이 발견되고 있습니다. 또한 우버의 스마트폰 앱이 사용자의 위치정보를 추적해 회사로 보고한다는 내용이 고발되었습니다. 물론 택시 앱이니 사용자 위치정보가 있어야 되겠지만, 문제는 우버 앱을 사용하고 있지 않아도 이런 정보를 끊임없이 전송한다는 것이죠. 이는 앱 개발의 ‘대실패’라고 언론에서 보도하고 있습니다. [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
