• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “실사용 iOS 절반이 오래돼” 外 2015.09.14

아이폰 사용자 절반이 오래된 OS 사용해 취약한 상태

부정적인 기사 쓴 기사 추적해 온 통신사 직원 해고돼


[보안뉴스 문가용] 여러 취약점과 패치 소식이 이어지고 있는데요, 이는 결국 ‘사용자들이시여, 패치를 해주십시오’하는 결론입니다. 사용자 많기로 둘째가라면 애플에서도 자꾸만 안 좋은 소식이 터지는데요, 다행히 애플 측에서는 발맞춘 패치를 내놓고 있습니다. 이제 사용자가 패치하는 일만 남은 거지요. 요꼬가와 ICS 제품들, 페이팔 등의 유명 온라인 서비스 앱들도 마찬가지입니다. GM처럼 5년만에 패치를 내놓았다면 회사의 게으름을 탓할 순 있지만 패치가 꼬박꼬박 나오는 때에 사용자가 패치를 하지 않았다면 그건 사용자 탓이겠죠.


1. 애플과 아이폰 소식

아이폰의 50%, 오래된 버전의 OS로 운영되고 있다(Infosecurity Magazine)

애플, 앱 보안 위해 iOS 9 업데이트(Security Week)

iOS9 공개되기도 전에 탈옥 성공한 해커(SC Magazine)

세계 모바일 시장의 상당 부분을 차지하고 있는 아이폰의 실사용 OS 중 절반이 예전 버전이라고 합니다. 즉, 상대적으로 취약점이 많은 상태로 사용되고 있다는 건데요, 아이폰이 이미 여러 기업 및 조직에서 업무에 활용되고 있다는 사실과 접목했을 때 이는 굉장히 위험한 소식입니다. 사용자 개개인의 업데이트 노력이 요구됩니다.


얼마 전 발표가 된 iOS 9는 보안이 좀 더 강화되었다고 알려져 있습니다. 특히 이번에는 ‘사이드로딩(sideloading)’이라는 기능과 이중인증 기능이 추가되어 앱 보안에 만전을 기했다고 하는데요, 한 해커는 아직 공개도 되지 않은 iOS 9의 탈옥법을 벌써 공개해서 파장을 일으켰습니다. 그 방법은 유튜브에서 볼 수 있으며, 해커의 닉네임은 iH8snow라고 합니다.


2. 요꼬가와 제품에서의 오류

요꼬가와 ICS에서 버퍼 오버플로우 취약점 유행 중(Threat Post)

요꼬가와, ICS 제품서 심각한 오류 패치(Security Week)

일본의 산업 제품 시스템인 요꼬가와의 ICS 제품 다수에서 오버플로우 취약점이 발견되었습니다. 이 취약점 때문에 원격 조정이 가능해지고, 이는 산업 시설에 치명적인 타격이 가능하기 때문에 작은 문제가 아닙니다만 다행히 요꼬가와 측에서 이 문제에 대한 패치를 배포하기 시작했습니다.


3. 안드로이드의 랜섬웨어

새로운 안드로이드 랜섬웨어, 기기의 PIN 번호를 바꿔(Security Week)

랜섬웨어가 갈수록 늘어난다는 소식에 이어, 이제 기능도 점점 진화한다는 소식까지 겹쳤습니다. 이번에 ESET에서 발견한 바에 따르면 PIN 코드까지 바꾸는 랜섬웨어가 등장했습니다. 이러면 사용자가 기기에 대한 권한을 전혀 가져올 수 없게 되죠. 이건 데이터 일부에 대한 납치가 아니라 아예 기기 전체를 납치하는 것이나 다름없는 건데요, 랜섬웨어의 스케일이 커지고 있다는 증거입니다.


4. 유명 제품과 서비스의 취약점들

야후, 페이팔, 마젠토 앱에서 취약점 발견(Threat Post)

GM, 5년 만에 온스타의 취약점 패치해(SC Magazine)

야후, 페이팔, 마젠토 등 유명 온라인 서비스의 앱에서 취약점이 발견되었습니다. 취약점 종류도 다양해 계정 탈취, 세션 하이재킹, 피싱 등의 공격을 유발한다고 합니다. 비교적 상세히 공개가 되었으니 해당 회사들에서 조만간 패치를 발표할 것 같습니다.


얼마 전에 온스타(OnStar)라는 GM 자동차 앱에서 상당히 심각한 취약점이 발견되었다는 소식이 있었는데요, 드디어 GM에서 이를 해결했다는 소식입니다. 무려 5년만이라고 하네요.


5. 테러와 감시

9/11 추모 행사 공격하기로 모의했던 공모자들 체포(Security Week)

NSA, “핵 협상 이후 이란 해커의 공격 줄었다”(The Register)

보다폰, 기자들 전화 통화 해킹했었다 자백(The Register)

플로리다에서 20세된 청년이 압력솥으로 폭탄을 만들어 사람들을 살상하는 법을 가르치다가 체포되었다고 합니다. 호주 지하디스트와 커넥션이 있어 보이며, 9/11 추모 행사에서 폭탄을 터트릴 예정이었다고 합니다. 최소 20년형을 눈앞에 두고 있습니다. 미리 잡아서 다행입니다. 그런 한편, 미국과 이란의 핵 협상이 무사히 끝난 뒤, 이란의 핵 공격이 줄어들었다는 NSA의 보고가 재미있습니다.


유럽 최고의 통신사인 보다폰 호주지부의 한 직원이 기자 한 명을 계속해서 감시해왔다는 사실이 밝혀졌습니다. 그 기자가 부정적인 기사를 쓴 후, 정보 출처를 알아내기 위해서였다고 하는데요, 보다폰은 회사 차원에서 연루된 건 아니라고 하며 관련된 직원들을 해고처리 했다고 발표했습니다. 기자로서, 무섭네요. 그렇다고 좋은 기사만 쓸 수도 없고.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>