• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[글로벌 뉴스 클리핑] “취약점에 쩔쩔매는 거인들” 外 2015.09.22

애플, 구글, 페이스북, 어도비 모두 취약점 고치느라 정신 없어

중국과 미국, 사이버 공간에서의 평화협정 맺을 수 있을까


[보안뉴스 문가용] IT 업계의 선두주자인 구글, 애플, 페이스북, 어도비가 매일 같이 취약점을 패치하느라 바쁩니다. 예전부터 시큐어 코딩이다 뭐다 해서 앱 개발 단계에서부터 보안을 꾀해야 한다고 하는데, 제일 크고 발전한 곳도 이걸 제대로 구현하고 있지 못하니 시큐어 코딩의 완전체는 공중누각인가 봅니다. 그래도 많은 사용자들을 위해 패치라도 재빨리 해주니 그것만도 다행이긴 하지요. 미국과 중국, 둘만의 은근한 이야기가 얼른 세상에 공개되었으면 합니다.

 


1. 애플, 취약점과의 전쟁

애플 워치 OS2, 코드 실행 취약점 다수 패치(Threat Post)

iOS의 엑스코드고스트 멀웨어 퍼지는 것 막아(Threat Post)

엑스코드고스트 멀웨어, 생각보다 그리 심각한 문제 아냐(SC Magazine)

2015년인데 텍스트 파일로 해킹이 가능한 애플 워치(The Register)

애플, iOS 앱 스토어 청소 완료(The Register)

애플 소식이 오늘 많습니다. 일단 애플 워치의 OS에 있던 취약점이 다수 패치되었다는 게 첫 번째 소식입니다. 또 다른 소식은 엑스코드고스트(xCodeGhost)라는 멀웨어가 앱스토어에 돌아다니고 있었는데 다행히 피해가 확산되기 전에 잡아냈다는 소식입니다. 애플 본사 소식은 이 정도고 애플과 관련된 다른 기업 소식은 다음에 이어집니다.


2. 사이비 애플인지 뭔지

중국 앱 스토어서 39개 악성 앱 추가로 발견(Infosecurity Magazine)

제로디엄, 백만 달러 iOS 9 버그바운티 공개(Threat Post)

사이버보안 기업, iOS 9 탈옥 및 취약점에 백만 달러 현상금 걸어(SC Magazine)

중국은 앱 스토어가 따로 있지요. 거기에 최근 악성 앱이 39개나 발견되었다고 합니다. 공식 앱 스토어에도 멀웨어가 출현하는데, 가짜 앱 스토어는 더 하겠죠. 솔직히 39라는 숫자를 보고 ‘겨우?’라는 생각이 먼저 들긴 했습니다. 제로디엄이라는 보안 기업이 자기들 제품도 아닌데 iOS 9의 취약점에 버그바운티를 백만 달러나 걸었습니다. 이 회사 원래 취약점 혹은 익스플로잇을 돈 받고 파는 회사라고 알려져 있습니다.


3. 어도비도 패치

어도비, 플래시의 23개 치명적인 취약점 패치(Threat Post)

플래시 플레이어의 치명적인 오류 23개 패치(CSOOnline)

어도비, 플래시 플레이어에서 치명적인 오류 수정(SC Magazine)

애플도 그렇지만 어도비의 플래시에서도 23개의 치명적인 취약점이 발견되었습니다. 다행히 패치를 완료한 상태고요. 플래시 플레이어 말도 많고 탈도 많고, 게다가 그 말들이 전부 실제 탈로 이어지는데도 존속이 되는 거 보면 사용자가 상당히 널리 퍼지긴 한 모양입니다.


4. 페이스북과 구글도 몸살

구글 플레이에서 활동 중인 브레인테스트 멀웨어(Infosecurity Magazine)

페이스북의 가짜 ‘싫어요’ 버튼, 사용자 유혹(SC Magazine)

구글의 앱 스토어에 해당하는 구글 플레이에서도 멀웨어가 발견되었습니다. IQ를 검사하는 브레인테스트(BrainTest)라는 앱을 통해 전파되고 있다고 합니다. 지난 8월 24일에 비슷한 일이 있어 구글이 해당 멀웨어를 삭제한 적이 있는데, 다시 같은 수법이 부활한 거라고 하고, 혹여 최근 IQ가 궁금하셨던 분들은 이제 핸드폰의 건강상태를 궁금해야 할 듯 합니다. 페이스북의 ‘싫어요’ 버튼이 가짜냐 진짜냐 논란이 있는데 일단 지금 돌아다니고 있는 싫어요 버튼은 가짜인 걸로 판명됐습니다. 클릭하는 순간 멀웨어에 감염된다고 합니다. 아직 싫어하지 마세요.


5. 중국과 미국

시진핑 방미 직전, 미국과 중국 사이버공간 협약 준비(SC Magazine)

미국의 라이스, 중국의 사이버 불법 행위 반드시 멈춰야(CSOOnline)

시진핑 방미로 미국과 중국이 시끌시끌합니다. 솔직히 좀 오버스럽기도 할 정도인데요, 두 나라는 실제 정상들이 만나기 전에 사이버 공간의 질서를 확립하려고 이야기를 나누는 중입니다. 이야기 한다, 협약을 맺는다, 결론에 다다른다, 이야기는 많지만 아직 그 내용은 하나도 보도가 되지 않아 알맹이 소식은 찾을 수가 없습니다. 그 와중에 국가안보보좌관인 수잔 라이스는 중국의 여러 행위들이 멈춰야 한다고 강력하게 주장했습니다. 이분 발언은 예전부터 좀 강경하죠. 틀린 말은 아니지만.


6. 프랑스, 덴마크, 인도의 사정

덴마크 우체국 스팸 사기 메일로 크립토락커 2 배포(Infosecurity Magazine)

프랑스, 잊혀질 권리 거부(CSOOnline)

인도 정부, 암호화 부정하는 정책 실현으로 IT 산업 망칠 듯(The Register)

다른 나라라고 순조롭진 않습니다. 덴마크 우체국을 사칭한 스팸 공격이 한 동안 벌어졌는데요, 그때 크립토락커 2가 퍼졌다고 합니다. 프랑스는 구글의 잊혀질 권리를 ‘검색 결과’에만 적용하겠다고 선언했습니다. 현실적으로 잊혀질 권리를 거부한 것으로 해석됩니다. IT 분야에서 강세를 보이고 있는 인도의 정부는 기술 기업들에게 검사를 위해 암호화 시스템을 제출하라고 명령했습니다. 이는 인도의 IT 산업 발전에 찬물을 끼얹을 것이며 덩달아 인도에 진출하고 있는 해외 기업들에도 좋은 영향을 미치지 않을 것이라고 대부분 전망하고 있습니다.


7. 나름 유명인

카다시안 웹 사이트 방문객 정보 유출돼(Infosecurity Magazine)

유명인 중 하나인 카다시안 킴의 웹 사이트에서 해킹이 있었습니다. 그로서 카다시안 팬들의 개인정보가 다수 유출되었다고 합니다. 노출이 너무 과하다고 비판 받곤 했던 유명인이 이젠 팬들을 노출시켰네요.

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>