자동차 원격 통제가 가능한 오운스타 공격의 넓어지는 공격 범위

[보안뉴스 주소형] 우리가 달콤한 연휴를 보내는 사이에도 세계 보안시장의 시계는 멈추지 않았습니다. 특히 미국은 또 한 번 발칵 뒤집혔습니다. 이제 폭로할 게 다 고갈되어 보였던 에드워드 스노우든이 새로운 자료를 공개했기 때문입니다. 그 동안 스노우든은 주로 영국의 가디언(Guardian)지를 비롯한 유럽 미디어 등을 통해 기밀자료 등을 공개해왔는데요. 이번에는 뉴욕타임즈(New York Times)를 통해 폭로했습니다.

내용은 미국 최대 통신회사인 AT&T가 NSA의 감청 및 도청에 적극적으로 도왔다는 것입니다. 미국 통신사라고 하면 크게 버라이즌(Verizon), AT&T, 스프린트(Sprint), 티모바일(T-Mobile) 이렇게 4개를 생각하시면 되는데요. 미국 정부가 결코 AT&T에만 접근하지 않았을 텐데요. 좀 더 지켜봐야할 문제인 것 같습니다. 한편 AT&T는 의무적으로 정보를 제공해야 하는 법의 테두리 안에서만 정보를 제공했다는 입장을 내놓았습니다. 그런데 그 법을 만드는 것이 바로 정부죠?

자동차 해킹에 대한 소식도 끝이 없습니다. 최근 들어 GM사의 자동차가 오운스타 공격을 통해 자동차가 해킹되어 운전자를 위험해 빠뜨릴 수 있다는 사실이 만천하에 드러나고 시연까지 되었었는데요. 그 뒤를 이어 크라이슬러가, 그리고 이제는 벤츠와 BMW도 해당 공격에 모두 노출되어 있다고 합니다. 사실상 거의 모든 자동차들이 해킹에 노출되어 있다는 것인데요. 우리나라의 현대기아 자동차나 쌍용 자동차는 아직 언급되지 않았지만 만반의 준비를 갖추고 대응준비를 해야 할 것 같습니다. 어차피 해킹에 있어서 무적은 없으니깐요.

1. 계속 무서운 자동차

오운스타 공격, 크라이슬러·벤츠·BMW 자동차까지 모두 영향 미쳐 (Threat Post)

크라이슬러·벤츠·BMW도 모두 오운스타 공격에 노출(Twitter : Samy Kamkar)

오운스타 공격으로 자동차를 원격으로 통제하는 동영상(Youtube)

자동차 해킹 위협에 속도가 붙었습니다. 최근 드러났던 GM외에 크라이슬러(Crysler)에도 같은 취약점이 있어 해킹이 가능하다는 것이 밝혀졌는데요. 이제는 일명 자동차계의 명품으로 불리는 메르세데스 벤츠(Mercedes Benz), BMW도 해킹위협에 노출되어 있다는 소식이 나왔습니다. 방법은 ‘오운스타(Ownstar)’라고 불리는 공격을 통해 가능합니다. 이는 스마트폰으로 트래픽을 가로채어 원격으로 특정 애플리케이션을 설치하고 원격으로 자동차를 통제할 수 있는 공격입니다.

2. 계속 밝혀지는 비밀·계속 폭로하는 스노우든

NSA, AT&T의 도움을 받아 스파이 행위 쉽게 할 수 있었다(Security Week)

AT&T가 NSA의 감청 및 도청 성공에 지대한 영향력 행세(New York Times)

AT&T, “NSA에 정보 제공 협조는 의무 법적 조항 안에서만 했다”(CNN)

전 CIA 요원이자 NSA 직원이었던 에드워드 스노우든(Edward Snowden)이 들고 있는 자료가 모두 고갈된지 알았습니다. 아무리 수를 써 보아도 미국이 자신을 받아주지 않을 것이라고 판단을 했는지 새로운 폭로를 했습니다. 이번에는 AT&T라는 미국 최대 통신사까지 등지게 되었습니다. NSA가 무차별로 대중들의 휴대폰을 감청 및 도청하는 데 AT&T의 공(?)이 상당히 컸다는 문서를 공개한 것입니다. 돌이켜보니 미국의 구글·페이스북·아마존 등과 같은 IT 기업들이 미국정부가 고객들의 개인정보가 포함되어 있는 정보요청에 협조하지 않았다는‘투명성(Transparency) 보고서’를 쏟아낼 때 통신사는 투명성 보고서를 낸 적이 없었습니다. 이에 AT&T는 법적으로 의무로 제공해야 하는 정보들만 정부에 건넸다는 입장을 밝혔습니다.

3. 계속 치열한 보안업계

카스퍼스키 랩, 경쟁사들 공격했다는 보도를 강하게 부인(The Register)

로이터, “카스퍼스키 랩이 라이벌사들을 악의적으로 공격”(Dark Reading)

[단독] 안티바이러스 시장에서 카스퍼스키가 꼼수를 부렸다는 제보(Reuter)

안티바이러스 업계의 맏형인 카스퍼스키 랩(Kaspersky Lab)이 비겁한 행동을 했다는 내용의 기사가 주말 내내 보안 관련 외신들의 헤드라인을 장식했습니다. 안티바이러스 시장에서 박차를 가하고 있던 마이크로소프트(Microsoft), AVG 테크놀로지(AVG Technologies), 어베스트 소프트웨어(Avast Software) 등을 견제한 카스퍼스키 랩이 2009년에서 2013년 사이에 악의적으로 가짜 멀웨어 등을 사용하여 성장과 명성에 방해했다는 내용입니다. 하지만 정확히 짚고 넘어가야할 것은 카스퍼스키 랩이 정확히 그랬다는 것이 증명된 상황은 아닙니다. 로이터가 카스퍼스키 랩의 전 직원 2명에게 해당 내용을 제보 받고 단독 보도를 한 것인데요. 이에 카스퍼스키 랩의 대표 유진 카스퍼스키는 사실이 아니라는 불쾌감을 강하게 표명했습니다. 과연 로이터의 보도가 사실인지 아니면 반대로 카스퍼스키 랩의 명예추락을 겨냥한 이들의 공격을 당한 것인지 여부는 지켜보아야 할 것 같습니다.

4. 계속 나오는 Internet Defense Prize 소식

페이스북, Internet Defense Prize에 10만 달러 포상(Info Security)

페이스북, 악성 캐스팅 취약점 감지기술 보고서에 10만 달러 지급(Security Week)

올해의 Internet Defense Prize 수상자는?(Internet Defense Prize)

페이스북이 10만 달러를 지급한 감지기술 보고서는 무엇?(The Register)

본지에서 이미 지난주에 보도한 소식이긴 한데요. 우리나라 이병영 연구원과 김태수 교수 등이 포함된 조지아공대 팀의 논문이 페이스북과 유즈닉스에 의해 인정을 받고 10만 달러의 상금을 받게 되었다는 내용입니다. 당시에는 관련 기사가 없었는데 주말동안 많이 나왔습니다. 공식 사이트에도 해당팀의 사진과 내용이 정식으로 업데이트 되었고요. 본지에서 현재 이병영 연구원의 인터뷰를 진행하고 있어 금주 안에 자세한 이야기를 보도할 예정입니다.

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>