트렌드마이크로, “유출 상관없는 이들만 스마트워치 써라!”

[보안뉴스 주소형] 금일 우리나라는 광복 70주년을 맞아 대부분의 국민 노동시간이 잠시 멈췄습니다. 전 세계가 우리나라의 역사적인 임시공휴일을 함께 축하해주면 좋겠지만 안타깝게도 그렇지 않아 글로벌 뉴스 클리핑은 오늘도 쉬지 못합니다. 게다가 애플, 구글, SAP, 시스코(Cisco) 등과 같은 대단위 사용자들을 보유하고 있는 기업들의 소프트웨어에 대한 보안 취약점 패치 소식이 많습니다. 반가운 휴식을 즐기시면서 업데이트는 부지런히 하셔야 할 것 같습니다. 그게 보안을 위한 현대인들의 숙명이죠.

그런데 취약점 패치도 최신 업데이트도 너무 믿지는 마십시오. IT선도기업인 구글도 최근 드러난 (전 세계 안드로이드 기기 95%에 영향을 미친다는) 스테이지프라이트(Stagefright) 취약점에 대한 패치를 내놓긴 했는데 사실상 실패라고 합니다. 패치가 되어야 패치인데 제대로 안 되었다는 것입니다. 물론 이 같은 문제는 구글 뿐이 아닙니다.

휴일 동안, 평소 바쁜 일상으로 미루어 두셨던 쇼핑을 계획하고 있는 분들도 많이 계실 것 같은데요. 이 가운데 요즘 핫한 스마트워치에 대해서는 조금 더 고민해보실 필요가 있어 보입니다. 얼마 전에 HP가 요즘 잘 나가는 스마트워치의 허술한 보안성을 고발한 보고서를 발표 했었죠? 스마트워치 10개를 전수 조사한 결과 100% 심각한 취약점들에 노출되어 있었다는 내용이었는데요. 이번에는 글로벌 보안솔루션 기업인 트렌드 마이크로(Trend Micro)가 각 제조사별 스마트워치 7개에 대해 1) 기기 하드웨어, 2) 접속 네트워크, 3) 로컬 데이터 저장 이렇게 세 가지로 나누어 보안성을 테스트했다고 합니다. 이들도 HP와 마찬가지로 ‘스마트워치, 아직은 너무나 위험하다’라고 경고했습니다.

1. 구글 경고

구글, 스테이지프라이트 보안취약점 패치 실패(The Register)

구글 관리 애플리케이션에서 샌드박스 우회하여 공격(Threat Post)

기존의 랜섬웨어보다 진화된 안드로이드용 랜섬웨어 등장(SC Magazine)

구글이 사실상 스테이지프라이트(Stagefright) 취약점 패치에 사실상 실패했다고 합니다. 지난 7월 말부터 안드로이드 사용자들을 충격에 빠뜨렸던, 전 세계 안드로이드 기기 사용자 95%에 해당된다는 그 취약점 말입니다. 사실 취약점은 시간이 지나면서 계속 나올 수밖에 없다는 특징이 있긴 합니다. 이들은 구글 관리자 애플리케이션에서 안드로이드 샌드박스를 우회할 수 있다고 합니다.

이런 와중에 안드로이드 랜섬웨어가 돌아다니고 있다고 합니다. 포티넷(Fortinet) 연구원들에 따르면 이번에 등장한 안드로이드 랜섬웨어는 모바일 기기를 로크업(lock up)시키고, 모바일 기기에 내장되어 있는 SD카드에 암호를 걸어 사용자가 사용하지 못하게 만든 후 사용자에게 500달러를 주면 잠금을 풀어주겠다고 협박한다고 합니다. 그런데 이는 기술적으로 기존의 랜섬웨어에서 진화된 버전이라고 경고하고 있습니다.

2. 애플 경고

애플, 보안성 향상을 위한 운영체제 업데이트 배포(SC Magazine)

애플, OS X Yosemite 10.10.5 버전에 대한 보안 업데이트(Apple)

애플도 지난 새벽 자사 운영체제 가운데 OS X Mavericks 10.9.5 버전 및 OS X Yosemite 10.10-10.10.4 버전에 대한 업데이트를 배포했습니다. 이는 버그를 해결하고 보안성과 호환성 기능을 개선하기 위함이었다고 밝혔습니다. 특히 Apache 2.4.16에 존재하던 다수의 취약점은 공격자가 원격에서 서비스 거부를 할 수 있게 하는 상당히 심각한 레벨이었다고 합니다.

3. 스마트워치 경고

스마트워치들, 정보 보안 테스트 불합격(Info Security)

트렌드마이크로의 7개 스마트워치에 대한 보안성 테스트 결과(Trend Micro)

웨어러블(wearable) 기기가 등장과 동시에 초반강세를 보이고 있는데요. 특히 대표적으로 스마트워치에 대한 인기가 매우 높습니다. 하지만 보안전문가들은 아직 너무 위험한 상태라고 거듭 강조하고 있습니다. 이번에 트렌드 마이크로가 모토롤라 360(Motorola 360), LG 지워치(G Watch), 소니 스마트워치(Sony Smartwatch), 삼성 기어 라이브(Samsung Gear Live), 아수스 젠워치(Asus ZenWatch), 페블(Pebble), 애플(Apple)의 아이워치 이렇게 총 7개의 스마트워치에 대한 전수조사를 벌인 결과, 쓴소리를 쏟아내고 있습니다. 개인정보가 노출되어도 상관없다고 생각하는 이들만 사용하라는 당부(?)하고 있는 모습입니다. 제조사별로 각각 특화되어 취약점들을 갖추고 있다고 합니다. 보다 자세한 관련 내용은 상위에 링크되어 있는 기사와 보고서를 참고해주세요. 

4. SAP 경고

SAP, 22개의 보안 취약점 패치 발표(Security Week)

SAP의 2015년 8월 달 보안 패치 내용은?(SAP Community Network)

SAP가 22개의 보안취약점에 대한 패치를 발표했습니다. 그리고 지난번에 배포한 패치 가운데 4개는 완벽하게 패치 되지 않아 그에 대한 업데이트도 별도로 권장하고 있습니다. 패치가 나온 취약점에 대해서도 방심하면 안 될 것 같습니다. 그러니깐 결국 총 26개에 대한 취약점에 대한 패치입니다. 이 가운데 15개는 매우 긴급하고 위험도가 높은 XSS 취약점 및 정보공개 취약점입니다. 그런데 SAP가 패치하는 태도에 대한 논란도 있습니다. 고객사들에게 해당 취약점들에 대한 자세한 내용은 설명하지 않고 무조건 업데이트만 하라고 하고 있기 때문이라고 하네요.

5. 시스코 경고

시스코의 네트워크를 해킹하여 기밀문서 탈취하는 해커들(Security Week)

시스코 IOS 소프트웨어 플랫폼에 대한 진화된 공격(CISCO)

글로벌 네트워크 장비 전문기업인 시스코(Cisco)가 IOS 운영체제를 사용하는 고객사들에게  정보 유출의 위험이 있다고 경고했습니다. 대부분의 시스코 라우터와 스위치들은 IOS 운영체제를 사용하고 있다고 합니다. 여기서 IOS 소프트웨어는 롬 모니터(ROM Monitor) 일명 ROMMON이라고 불리는 부트스트랩(bootstrap) 프로그램에 의해 부트 시켜 하드웨어를 초기화시킬 수 있습니다. 그런데 이 과정에서 해커들이 관리자 권한을 훔쳐 기밀문서들을 빼내기 쉽다고 합니다. 이에 시스코는 고객사 및 사용자들에게 그런 위험을 피할 수 있는 해결책 마련에 나섰다고 합니다.

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>