• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “까도 까도 또 나와” 外 2015.07.10

인사관리처, 처음 4백만명 규모의 유출사고가 지금은 2천 1백만

해킹팀 윤리성 지적받자 얼른 선 끊고자 하는 파트너사들


[보안뉴스 문가용] 인사관리처 해킹 사건은 몇 명 선에서 수사가 끝날까요. 현재 수사가 진행될수록 피해자 수가 늘어만 가고 있습니다. 해킹팀은 분석 내용이 나오면 나올수록 친구가 줄고 있고요. 정부에 대한 불신이 늘어갈 수밖에 없는 두 가지 대형 사건에 이어 독일 미사일 시스템이 해킹 당한 사건도 있었습니다. 다행히 발사가 되지는 않았지만, 나중에 또 비슷한 일이 일어났을 때 미사일이 발사되지 말라는 법도 없죠. 미리 대비를 해야겠습니다.

 


해외에서는 정치인이 보안관련 행사에 직접 자기 전화를 해킹에 노출되도록 허락하기도 했고, 제대로 고객정보를 관리하지 않은 통신사에게는 3백만 달러의 벌금형을 내리기도 했습니다. 우리나라도 피해보상 및 벌금에 관한 정책이 하나 둘 발표되고 있는데요, 벌을 무섭게 하고, 적절하고 재미있는 교육도 함께했으면 좋겠습니다. ISEC 행사 같은 데서도 자기 전화 해킹해보라고 내주는 분들이 많으면 참 좋을 텐데요.


1. 양파 같은 인사관리처 해킹 사건

미국 인사관리처 해킹 : 2천 1백 5십만 건 유출(CU Infosecurity)

미국 인사관리처 해킹, 주민번호 2천 1백 5십만 건과 지문정보 유출(SC Magazine)

미국 정부 이제야 “사실 인사처 해킹으로 2천 1백 5십만명 정보 유출”(The Register)

이럴 줄 알았습니다. 최초 4백만 공무원의 개인정보가 유출되었다던 미국 인사관리처 해킹의 수사가 진행되면 될수록 그 수가 점점 늘고 있습니다. 그리고 최근엔 2천 1백 5십만 건의 정보와 지문정보가 유출되었다는 발표가 있었습니다. 이게 어디까지 늘어날까요. 지문정보가 유출된 건 출입통제 관리 시스템의 변화로 이어질 듯 합니다.


2. 오픈SSL 패치

오픈SSL, 패치 완료(Security Week)

오픈SSL, 인증 관련 취약점 패치 발표(Threat Post)

오픈SSL 패치 약속된 대로 완료(The Register)

주초부터 오픈SSL 패치한다고 개발자들이 약속을 했는데요, 오늘 실제 패치가 나왔습니다. 1.0.2d 혹은 1.0.1p 버전으로 모두 업데이트 하시면 치명적인 우회 취약점인 CVE-2015-1793이 해결됩니다.


3. 해킹팀 사건

해킹팀 사건에 대한 업계 반응, ‘가려진 축복’(CSOOnline)

해킹팀, “테러리스트들도 이제 감시 툴에 접근이 가능하다” 경고(CSOOnline)

해킹팀 사건으로 그동안 해킹팀의 판매 대행을 했던 업체들이 ‘차라리 잘 됐다’고 목소리를 내고 있습니다. 해킹팀이 인권침해로 악명이 높은 국가들과 거래를 하고 있었다는 걸 몰랐으며, 이제라도 알았으니 관계를 끊겠다고 하는데요, 이건 또 이것대로 얍삽해 보이긴 합니다. 해킹팀은 또 해킹팀 대로 목소리를 냈는데요, 자신들의 감시 툴이 소스코드까지 공개된 마당에 이제 테러리스트들의 손에 무기가 하나 더 들린 꼴이 되었다고 합니다. 니들이 만들었으니 그 감시 툴을 무용지물로 막는 방법을 알려줘야죠, 경고할 게 아니라.


4. 그밖에 해킹 사건

누군가 독일 미사일 시스템 해킹해 잠시 조정(SC Magazine)

DNSChanger 봇넷 사기에 가담한 에스토니아 남성, 유죄(Security Week)

보안 전문가, 공공 와이파이 통해 정치인 해킹(Infosecurity Magazine)

독일 미사일 시스템을 누군가 해킹했다는 소식이 있습니다. 이게 한 나라 한 나라 살펴보면 그냥 지나가는 사건일지 몰라도 전체적으로 보면 해커가 국방에 한 발 한 발 깊이 들어오는 듯한 모양새입니다. 미국 백악관에 들어와서 구조를 파악하고, 인사관리처로 들어가 출입권한을 가져오고, 이번엔 미사일 시스템에까지 접근을 했다니, 사건의 연관성이 딱히 증명된 건 아니지만 해커라는 집단의 전체 능력치가 단계별로 올라가는 듯 합니다.


한편 수사기관과 법 집행 기관은 해커들을 꾸준히 잡아 형을 집행하고 있긴 합니다. 분명 좋은 소식이긴 한데, 해커들의 발전 속도에 비해 느리다는 느낌을 지울 수가 없습니다. 에프시큐어의 보안 팀은 정치인들과 약속을 하고 공공 와이파이를 통해 개인 모바일에 침투하는 시연을 했습니다. 공공 와이파이의 위험성을 알려주기 위한 행사였는데요, 정치인들의 이런 참여가 보기 좋습니다.


5. 리서치 자료와 사건 종결

안드로이드의 ADB 백업 시스템 내 버그 통해 악성 앱 주입 가능(Threat Post)

미국 통신회사, 정보 유출로 3백 5십만 달러 벌금(CSOOnline)

안드로이드에서 또 악성 행위를 유발케 하는 버그가 발견되었습니다. ADB 백업 시스템이라고, 모든 안드로이드 버전에 있는 기능이 가지고 있는 취약점입니다. 이를 익스플로잇 하는 것도 상당히 간단해 파장이 있을 수 있습니다만 다행히 구글에 보고가 되었다고 합니다. 1년전에요. 한편 미국의 통신회사인 테라콤(TerraCom)과 유어텔 아메리카(YourTel America)는 3십만 명 고객의 개인정보를 제대로 관리하지 못했다는 이유로 각각 3백 5십만 달러의 벌금을 내야 하는 상황입니다. 2013년 초반에 일어났던 정보유출 사건의 결과가 지금 나온 겁니다.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>