| [글로벌 뉴스 클리핑] 세계에 빛난 LG와 삼성의 우정 | 2015.07.03 |
사고가 빈번한 영국, 드디어 인재 육성에 팔 걷어부치고 나서 중국의 새 법, 마스터카드의 새 인증 시스템, 시스코의 오래된 실수
사건사고가 많은 영국에서는 대학에서부터 정보보안을 필수로 가르치면 어떨까 하는 고민이 있는 것으로 보입니다. 그리 나쁘지 않은 방법 같은데, 이 역시 무슨 또 학습에 대한 자유 침해라고 인권단체가 들고 일어날 수도 있습니다. LG는 삼성과 한주 차이로 불성실한 혹은 무능력한 패치로 질타를 받고 있어, 같은 나라 출신 대기업이라는 진한 동료애를 과시했습니다. 1. 대학가 소식 하버드 대학서 정보유출 사고 발생, 로그인 정보 유출된 듯(Security Week) 하버드 대학 네트워크에 침입있어, 데이터 유출된 듯(SC Magazine) 하버드 대학, “우리 방금 해킹 당했어요”(The Register) 정보보안 인재 부족한 영국, 대학교육 과정에 조치 취하나(Infosecurity Magazine) 하버드 대학의 네트워크에 누군가 침투했습니다. 시스템 로그인 정보 등 민감한 정보들이 유출됐을 가능성이 있는데, 일단 대학 측은 그런 정황이 발견되지는 않았다고 발표했습니다. 한편 영국에서는 앞으로 대학교에서 진행되는 IT 및 컴퓨터 공학 관련 수업에 정보보안 교육과정을 넣는 게 검토되고 있는 중이라고 합니다. 영국의 정보보안 수준이 낮다고 스스로 평가하고 내린 제안 중 하나입니다. 인재가 모자란다는 건 교육과정의 신설로 자연스럽게 귀결되긴 하죠. 2. 랜섬웨어 넘은 랜섬서비스+α 미디어 스트리밍 서비스 플렉스 해킹(Security Week) 플렉스 회원 개인정보 훔친 해커들, 정보값 요구(The Register) 가짜 영국 석유업체 홈페이지 이용해 토렌트락커 퍼져(SC Magazine) 미디어 스트리밍 사이트인 플렉스가 해킹을 당했습니다. 해커들은 플렉스 회원들의 정보를 훔치고 플렉스에 메일을 보내 개인정보를 무사히 돌려받고 싶으면 돈을 내라고 협박 메일을 보냈다고 합니다. 요구한 돈은 1500파운드어치의 비트코인으로 기한은 우리나라 시간으로 오늘까지입니다. 또 토렌트락커(TorrentLocker)라는 멀웨어가 영국의 한 석유업체 사이트와 매우 유사한 가짜 사이트를 통해 퍼지고 있다는 소식입니다. 영국이 왜 대학 교육과정에 정보보안을 끼워 넣으려고 하는지 알듯 합니다. 3. 시스코, 대범한 디폴트 암호 시스코의 UCDM 플랫폼, 변경 불가능한 디폴트 암호로 물의(Security Week) 시스코의 UCDM 플랫폼, 고정된 디폴트 암호 탑재된 채 출시(Threat Post) 시스코가 디폴트 암호를 변경할 수 없도록 해놓고 제품을 출시해 물의를 빚고 있습니다. 제품은 Unified Communications Domain Manager로, 루트 권한 사용자의 디폴트 암호만 알면 누구나 이 시스템에 대한 제어권한을 가져올 수 있습니다. 다행히 소프트웨어 업데이트를 시스코 측에서 발표하긴 했습니다. 4. 법과 제도, 정책 등등 중국 진출한 기술 업체들, 새 보안관련 법 우려(SC Magazine) 마스터카드, 안면인식 기술 인증 도입 시험 중(SC Magazine) FTC의 새로운 이니셔티브, “시작은 보안부터”(SC Magazine) FBI, 이제 사이버 범죄자들에게도 현상금 내걸어(The Register) 어제 중국이 새로 보안법을 발효시켰다는 소식이 있었죠. 그런데 그 표현이 너무 애매해서 해석하기에 따라 중국 정부가 합법적으로 기술기업들을 감시하는 게 가능해질 수도 있어 많은 해외업체들이 우려를 표명하고 있습니다. 마스터카드는 온라인 거래를 하는 고객들을 인증하기 위한 기술로 안면인식을 가장 유력한 후보로 놓고 실험 중에 있다고 하고요, 연방거래위원회(FTC)는 기업들의 보안인식 및 실천 제고를 위해 새로운 이니셔티브를 시작했는데요, 그 이름이 “시작은 보안부터(Start with Security)”라고 합니다. 또한 FBI는 이례적으로 사이버범죄자들을 지명수배하면서 현상금까지 내걸었습니다. 인상착의가 자세히 나온 것으로 보아 직접 잡아들이는 것을 권장하고 있는 듯도 합니다. 5. 끊이지 않는 사건사고 구글 드라이브 통한 크립토월 3.0 공격(Infosecurity Magazine) 카디널스 해킹 사건, 연루된 스카우터 해고돼(The Register) 크립토월이 3.0 버전까지 이르러 퍼지고 있습니다. 그것도 구글 드라이브를 통해서요. MLB 해킹 사건이라는 타이틀로 빠르게 퍼졌던 카디널스 해킹 사건 기억하시나요? 아직 공식적으로 해킹했다고 발표되지는 않았지만, 용의선상에 오른 스카우터가 사실상 아스트로 팀의 시스템에 불법 로그인을 시도했다는 걸 인정했다고 합니다. 그리고 구단은 그를 해고했고요. 또 지난 주 삼성이 패치 관련해서 여러 비판을 받았는데, LG도 똑같은 입장에 처했습니다. 거의 1년 전에 발견되었던 취약점이 LG의 발표와는 달리 고쳐지지 않았다는 게 발견되었거든요. LG는 거짓말을 한 걸까요, 아니면 고치는 데에 실패한 걸까요. 6. 적과의 동침 서프왓치 랩스, 다크웹에서 건진 첩보 서비스 제공(Security Week) 의회 의원들의 질문 공세 받은 FBI의 제임스 코미(Threat Post) 다크웹을 들여다보면 알찬 정보를 얻을 수 있다는 소식이 암암리에 퍼지면서 거기에 나온 정보들만을 다루는 전문 서비스가 등장하기 시작했습니다. 서프왓치 랩스(SurfWatch Labs)라는 새내기 기업이 대담하게도 다크웹 정보를 서비스한다는 아이템을 들고 나와 시장에 진출했습니다. 한편 FBI가 정보수집을 위해 피싱, 스미싱, 해킹, 제로데이 취약점 익스플로잇 등의 수단을 활용했다는 점이 드러나 제임스 코미 국장이 청문회 수준의 편지를 받았습니다. 찰스 그래슬리(Charles Grassley)라는 미국상원의원사법위원회의 의장이 보낸 편지라 그 무게감도 상당하고요. 어떤 답장을 보낼까요? [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스 문가용] 해킹을 하고 돈을 달라 협박을 하는 해커가 등장했습니다. 랜섬웨어가 개개인을 상대로 하는 범죄였다면 이는 기업 전체를 대상으로 하는 범죄로 규모가 넓어진 것이라고 볼 수 있습니다. 처음 있는 일은 아닙니다만, 이런 류의 범죄자들은 거의 항상 비트코인으로의 지불을 요구하기 때문에 관심이 다시 한 번 비트코인으로 쏠리는 건 어쩔 수 없어 보입니다.