조지아공대 이병영·송청위 학생 및 김태수·웬케 리 교수

[보안뉴스 주소형] 글로벌 보안시장에서 우리나라 인적자원이 날로 승승장구입니다. 우리나라 사람이 세계보안시장을 무대로 최고의 자리에 올라섰다는 소식이 올해만 해도 여러 번 있었는데요. 지난 3월, 캐나다에서 열린 폰투온(Pwn2Own)이라는 국제 해킹 대회에서 라온시큐어의 이정훈 연구원이 역대 최고의 성적을 올렸고, 지난 달 (ISC)2가 개최하는 ISLA 2015에서 아태지역 정보보안 리더십 수상자 가운데 20%가 우리나라 사람이기도 했습니다.

뿐만 아니죠. 8월, 해킹 올림픽으로 불리는 데프콘에서 우리나라팀이 1위를 했다는 소식은 여전히 뜨겁습니다. 그 여세를 이어 미국 워싱턴 DC 현지시간 8월 12일자로 유즈닉스 보안 심포지엄(USENIX Security Symposium)에서 또 한국인이 인정받았습니다. 세계 최대 소셜네트워크인 페이스북에서 실질적으로 사용자들을 보호하고 보안강화에 기여한 연구를 뽑아 매년 ‘Internet Defense Prize’를 상금과 함께 수상하는데요. 여기서 올해 한국인 이병영(Byoungyoung Lee),  송청위(Chengyu Song), 김태수(Taesoo Kim), 웬케 리(Wenke Lee) 4명이 함께 만들어낸 논문이 선정되었습니다. 이렇게 외신에서 우리나라 소식을 그것도 최고라는 소식을 접할 때가 가장 자랑스럽습니다. 

그런데 보안업계만 바쁜 것은 아닙니다. 해커들도 부지런히 해킹하고 공격 하느라 바쁜 모양새입니다. IS 해커는 브라질 국방부를 해킹하여 공무원들의 휴대폰번호를 포함한 개인정보들을 인터넷에 버젓히 올려놓았고, 몇몇 미주지역 대학교의 스포츠팀 공식 페이스북은 해킹 후 클릭베이트(clickbait)로 도배가 되는가 하면, 미국 CRM 솔루션 업체인 세일즈포스(Salesforce)는 피싱공격이 발생하기 일보 직전에 있었다고 합니다.

1. 한국 보안인들의 저력

페이스북의 올해 Internet Defence Prize 수상자  발표(Threat Post)

올해 Internet Defense Prize 1위로 선정된 이들의 연구(USENIX)

미국 조지아 주에 위치한 명문공학전문대학교인 조지아 공대(Georgia Tech)에 재학중인 한국인 학생 두 명과 교수 두 명이 페이스북과 USENIX가 함께 선정하는 Internet Defence Prize 수상의 명예를 안았습니다. 박사과정 중에 있는 이병영 연구원과 송청위 연구원, 김태수 교수, 웬케 리 교수 4명이 함께 연구한 ‘Type Casting Verification: Stopping an Emerging Attack Vector’를 페이스북과 USENIX가 올해 최고로 보안강화에 기여했다고 판단하여 채택한 것입니다. 상금은 지난해 2배에 달하는 액수인 10만 달러입니다. 페이스북은 이들의 연구가 새로운 수준의 취약점을 발견하고 탐지하는 데 큰 공을 세웠다고 밝혔습니다.  

2. 유출

IS 해커들, 브라질 국방부 해킹하여 개인정보 온라인에 공개(Daily Telegraph)

IS, 해킹한 개개인의 휴대폰 번호, 주소 인터넷에 올려놔(Sydney Morning Herald)

이슬람 국가 해커들이 브라질 국방부(Australian Defence Force)를 해킹하여 공무원들과 관련 직원들의 개인정보를 별도의 URL을 만들어 온라인상에 올려놨습니다. 그리고 그 URL을 트위터에 기재했다고 합니다. 링크를 타고 가서보면 수백만 명의 공무원 및 가족들의 개인정보가 노출되어 있었다고 합니다. 지금은 해당 주소가 차단된 상태라고 하는데요. 여기서 갑자기 본인들의 개인정보가 인터넷에 공개되었던 피해자들에 대한 보상은 도대체 누가 어떻게 해주는 걸까요?

3. 위험

세일즈포스에서 피싱공격에 매우 취약한 보안결점 발견(Security Week)

레노버, 이미 알려진 보안취약점 그대로 탑재한 노트북 판매(the Register)

파이어폭스 40, 새로운 보안취약점에 대한 패치(SC Magazine)

미국의 CRM 솔루션 업체인 세일즈포스(Salesforce)가 피싱공격을 당할 뻔 했다고 합니다. 피싱공격에 매우 유리한 취약점에 활짝 노출되어 있었다는 건데요. 사용자들 계정에 대한 모든 통제가 가능한 수준의 취약점이라고 전문가들이 강력하게 경고했습니다.

레노버가 또 그랬습니다. 이미 알려진 보안 취약점을 제거하지 않은 노트북을 그대로 판매했습니다. 레노버 노트북에 있는 ‘OneKey Optimizer’ 기능 일명 최적화 기능에 있는 취약점이라고 합니다. 그런데 레노버가 이랬던 적이 한 두 번이 아니죠? 레노버 측은 적절한 대응을 준비하겠다는 입장을 내놓았다고 합니다. 모질라가 파이어폭스에 대한 패치를 매주 발표하고 있습니다. 이번에는 파이어폭스 40 버전에서 발견되었습니다.

4. 피해

미시건 대학 스포츠팀 페이스북, 해킹 후 클릭베이트 포스팅으로 도배(Sports Illustrated)

미국 미시건 대학교 스포츠팀의 공식 페이스북 계정이 해킹 당했습니다. 해커는 클릭베이트(clickbait) 포스팅을 지속적으로 기재하여 사용자들의 눈살을 찌푸리게 하고 있다고 합니다. 그런데 이렇게 해킹 당한 건 미시건 대학뿐이 아닙니다. 금주 각 대학들의 스포츠팀 페이스북 계정들이 해킹으로 같은 피해를 보고 있다고 합니다. 

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>