안전하다던 애플과 VPN서 보안 취약점 다수 발견

시스코는 덩치와 분야 불리려 돈과 노력 투자해

미국 인사관리처에서 또 버그 발견, 집단소송 걸려

[보안뉴스 문가용] 이제 애플 안전하다고 말 할 사람 별로 없을 듯 합니다. 최근에 나온 iOS 8.4와 OS X 10.10.4에서 100개가 넘는 취약점이 발견되었고, 이에 대한 대대적인 패치가 있었습니다. 보안 최후의 보루 중 하나였던 VPN도 사용자의 정보를 흘린다는 연구보고가 있었습니다. 어디 갈 데가 없군요.

그밖에 야후도 비록 1년 만이지만 패치를 진행했고, 미국 인사관리처도 새롭게 발견된 버그 때문에 부랴부랴 해당 시스템을 일시적으로 폐쇄시키는 소란을 겪었습니다. 한국에서는 불법인 사설탐정이 뉴욕에서 해커를 고용했다가 3개월 감옥에 갇힐 상황에 놓였고요, 지불카드 관련 표준인 PCI DSS는 3.0에서 3.1로 일제 변경되었습니다.

1. 애플 대규모 패치

애플, iOS 8.4와 OS X 10.10.4의 버그 다량 패치(Threat Post)

애플, OS X 요세미티에서만 77개 버그 수정(The Register)

애플에서 iOS 8.4와 OS X 10.10.4에서 엄청난 양의 버그를 수정했습니다. OS X 요세미티에서만 77개의 버그가 발견되어 고쳤다고 합니다. iOS 8.4에는 커널, 웹킷, 코어텍스트 등에서 30개가 넘는 버그가 발견되어서 수정되었다고 하고요. 이 정도면 애플 제품 사용자들은 패치가 필수를 서둘러야 할 듯 합니다.

2. VPN의 신화 깨지나

VPN, 생각보다 보안성이 높지 않다(The Register)

VPN에서 민감한 정보들 새나간다(Infosecurity Magazine)

퀸메리대학과 사피엔자로마대학교의 연구원 5명이 모여서 제일 판매량이 높은 VPN 14개 제품을 조사한 결과 IP 데이터와 같은 민감한 정보가 새나가고 있음이 드러났습니다. 제품에 따라 사용자의 환경에 관한 모든 데이터가 새나가기도 하고 일부 치명적인 정보가 쉽게 유출되는 현상을 발견했다고 하는데요, VPN도 이제는 안심할 수 없는 환경이 되었네요. 세상에 완벽히 안전한 곳은 없다는 게 다시 한 번 확인됩니다.

3. 기업 인수에 나선 시스코

시스코, 6억 3천 5백만 달러에 오픈DNS 인수(Security Week)

시스코, 오픈DNS 인수 위해 작업 중(SC Magazine)

오픈DNS 인수한 시스코, 보안 데이터 다량 확보(Threat Post)

시스코가 오픈DNS(OpenDNS)라는 보안업체를 인수하려고 돈과 노력을 쏟아 붓고 있습니다. 6억 3천만 달러라는 어머어마한 금액으로 일을 진행하고 있는데 몇몇 업체에서 이미 확정적인 뉘앙스를 쓰는 걸 보아 아직 정식 계약이 되지는 않았지만 막바지 단계에 이른 듯 합니다. 이로써 시스코 이름으로 보호받을 사람들이 크게 늘어났고 시스코 역시 오픈DNS의 도메인 보안을 통해 커버할 범위를 늘일 수 있게 되었습니다.

4. 야후 패치와 아마존의 크립토그래피

야후, 이미지 처리 시스템에 있는 SSRF 취약점 패치(Security Week)

아마존, S2N TLS 크립토를 오픈소스로(Threat Post)

아마존, 오픈소스 크립토그래피 모듈 발표(CSOOnline)

지난 해 7월 한 보안전문가가 야후의 이미지 처리 시스템 방식에서 SSRF 취약점을 발견한 적이 있습니다. 그리고 1년이나 지나서 야후가 패치를 내놓았습니다. 아마존은 자신들의 크립토그래피인 S2N을 오픈소스로 공개했습니다. 하지만 OpenSSL을 대체할 의도로 공개한 건 아니라고 합니다.

5. 해커와 해킹

ESET, 애니멀 팜이 사용한 복잡한 스파잉 플랫폼 분석(Security Week)

뉴욕의 사설탐정, 해커 고용해 3개월형(SC Magazine)

보안전문가들, “사이버 공격은 보고된 것보다 훨씬 빈번하다”(Infosecurity Magazine)

보안전문 업체인 ESET에서 애니멀 팜(Animal Farm)이라는 APT 공격자들이 사용하고 있는 플랫폼 분석에 착수했습니다. 이 플랫폼의 이름은 디노(Dino)라고 하는데요, 현재 ESET에서 보유하고 있는 샘플은 2013년 이란의 어떤 조직을 공격했을 때 사용된 것이라고 합니다.

또 뉴욕에서 활동 중이라는 사설탐정 에릭 살다리아가(Eric Saldarriaga)는 해커를 고용해 50명 이상의 인물들의 이메일을 해킹해 추적하다가 3개월 동안 감옥에 갇히는 신세가 되었습니다. 또 한 보고서에서 보안 전문가들은 해킹은 드러난 것보다 훨씬 더 빈번하고 자주 일어난다는 의견을 내비쳤습니다.

6. 미국 인사관리처

미국 인사관리처, 보안 패치위해 배경 확인 시스템 중지(Security Week)

인사관리처, 배경 수사 시스템 정지시키고 고소당해(SC Magazine)

인사관리처, 배경 확인 시스템 정지시켜(CU Infosecurity)

인사관리처, 시스템 일부 오프라인으로 전환(CSOOnline)

인사관리처, 정보관리 소홀로 재판장에 서게 돼(CSOOnline)

중국이 그랬다고 강력하게 의심되고 있는 미국 인사관리처 해킹 사건의 후폭풍은 여전히 계속되고 있습니다. 지난 월요일에는 보안 버그가 발견됨에 따라 수사처리를 위한 전자설문(e-QIP) 시스템을 셧다운시켰습니다. 이 e-QIP이란 건 직원들의 여러 가지 개인정보를 수집하는 데에 사용되는 건데, 여기에 또 버그가 발견되어 비상이 걸린 거나 다름이 없었다고 합니다. 그리고 이런 저런 사고로 정보관리에 소홀한 게 드러나 집단소송에 걸렸습니다.

7. PCI DSS 끝?

PCI DSS 3.0, 6월 30일부로 공식 종료(Infosecurity Magazine)

지불카드산업 데이터보안표준인 PCI DSS의 3.0 버전이 6월 30일부로 공식 종료되었습니다. 그리고 SSL과 초기 TLS 버전이 보완된 PCI DSS 3.1 버전이 공식으로 시작됩니다. 최근 POS 및 소매매장 해킹 사건이 빈번하게 발생됨에 따라 지난 4월에 일찌감치 등장했지만 이걸 교체하는 데에 소요되는 시간과 자원이 많아 6월 30일까지로 교체기한을 잡은 것이고, 이제부터 온라인샵 관리자들은 SSL을 웹 서버에서는 끄고 TLS 최신버전을 서포트해야 합니다.

8. 교육과 경찰기관과 금융계

유로폴과 바클레이스 은행, MOU 체결(The Register)

파키스탄, 장거리 교육 선생님 인증에 바이오 인증 도입(Infosecurity Magazine)

유로폴과 바클레이스 은행 사이에 MOU가 체결되었습니다. 금융 산업에 일어나고 있는 각종 해킹 사건을 둘이 해결해보겠다는 건데요 둘은 앞으로 계속해서 보안과 관련된 정보를 공유할 것으로 보입니다. 최근 유럽에서는 이런 식의 민관 간 협력체결이 이루어지고 있는 분위기입니다. 어제 성황리에 종료된 PIS Fair 2015가 꿈꾸는 민관의 적극적인 상호협력이 이미 그 나라에서도 현실이 되어가고 있습니다.

파키스탄에서는 장거리 교육을 위해 선생님들을 인증해야 하는데, 여기에 바이오 인증 시스템을 도입했다고 합니다. 파키스탄은 핵 실험을 진행하고 무기를 다량으로 구입하는 등 최근 돈이 엄청나게 많은 사업을 진행했는데요, 세계 빈국 순위를 꼽으면 다섯 손가락 안에 드는 나라가 이 많은 돈을 어디서 구했을까 궁금해집니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>