이번 일주일 적용할 패치 많아... 굵직한 사건사고도 제법 있어
뭉치는 스포츠계와 세계 중앙은행들...폭스바겐은 새 보안회사 설립

[보안뉴스 문가용] 한가위가 지나고, 길게는 아흐레까지 쉰 사람들도 다시 월요일을 맞게 되었다. ‘매일 한가위만 같아여라’는 말을 누리다 온 사람도 있을 것이고 일상 복귀가 더 반가웠을 사람도 있을 것이다. 하지만 한가위 동안에도 매일 같이 올라오는 뉴스 꼬박꼬박 챙겨 읽으며 해외 보안 업계에서 일어난 일들을 업데이트한 사람은 평소보다 없었을 것으로 보인다. 그래서 국제부는 연휴가 끝난 월요일, 이번 추석에 해외에서 일어난 일들을 한 번에 간추린 기사를 준비했다.


1. 패치는 계속된다
일부 소식은 이미 본지를 통해 전파되기도 했지만 어도비, MS, 애플, SAP, 시스코 등이 자사 제품에 대한 패치를 배포했다. 해당 기업 제품의 사용자들 중 휴가 기간 동안 한 번도 컴퓨터를 켜지 않은 사람이 있다면(아마도 대부분) 이번 주 내 해야 할 패치가 많을 것으로 보인다. 어도비는 플래시 플레이어에서 29개 취약점을 패치했고, MS는 50개의 취약점을 수정했다. MS가 패치한 취약점 중에는 2014년부터 멀버타이징 공격에 악용된 제로데이도 포함되어 있다. SAP는 데이터베이스 관리 제품에서 치명적인 오류를 수정했고 시스코는 WebEx Meetings 서버의 오류를 패치했다.

2. 조용할 날이 없다
러시아 해커로 추정되는 팬시 베어(Fancy Bear)가 세계반도핑기구(WADA) 웹사이트를 해킹했다. 이를 통해 세계 스포츠 선수들의 민감한 정보가 유출된 것으로 보인다. WADA는 “러시아가 해킹했다”고 공식 발표했으며, 피싱 공격을 통해 일부 직원의 크리덴셜 정보가 새나간 것으로 보인다고 했다.

해커들은 올해 개최된 리우올림픽에서의 약물 검사 관련 정보를 노린 것으로 보이며, 해킹이 보도되고 이틀 후인 16일 미국, 영국, 덴마크, 러시아, 폴란드, 체코, 루마니아, 독일 출신 25명 선수들의 민감한 정보를 온라인에 공개하기도 했다. 전문가들은 정치적인 목적보다 핵티비즘에 가까운 행위로 보고 있다. 러시아도 해킹 사실을 부인했으며, 이전에도 핵티비스트들이 러시아 해커인 것으로 가장해 활동한 적이 있기 때문에 아직 러시아를 범인으로 판단하기에는 이르다. 마침 미국에서는 스포츠 업계의 위협을 공유하는 단체가 발족하기도 했다.

온라인 광고 리서치 전문업체인 클릭스센스(Clixsense)가 해킹당한 사실이 호주 보안 전문가인 트로이 헌트(Troy Hunt)에 의해 발견되기도 했다. 공격 자체는 이번 달 초에 있었던 것으로 보이며 해커들은 6백 6십만 명의 개인정보를 수집해간 것으로 보인다. 이중 2백 4십만 건은 이미 페이스트빈에 공개되었다고 한다. 클릭스센스에 의하면 해커들은 클릭스센스의 옛날 서버에 침투하는 데 성공하여 정보를 훔쳐나갔다고 한다. 그래서 이미 이전한 서버가 아직도 현재 시스템과 연결되어 있었다는 것에 질타가 이어지고 있고, 클릭스센스 측은 해당 서버를 폐쇄했다.

또한, USB를 통해 안드로이드와 iOS 기기도 감염시킬 수 있는 윈도우 트로이목마가 발견되었다. 해당 트로이목마에는 듀얼트로이(DualTroy)라는 이름이 붙었고, 2015년 1월부터 존재했던 것으로 밝혀졌다. 중국 사용자들을 주로 노리는 것으로 보이지만 1년 반이 넘는 기간 동안 미국, 영국, 대만, 스페인, 아일랜드의 사용자들에게도 영향을 미친 것으로 나타났다. 현재까지 발견한 샘플 수만 8000여개. 윈도우 PC에서는 브라우저 환경설정을 바꿔 광고를 노출시키도록 하며, 감염된 PC에 안드로이드나 iOS 기기가 연결될 경우 옮겨가서 다른 활동들을 시작한다.

3. 새로운 사업, 새로운 시작
이미 버그바운티와 해커 고용 등 보안에 철저한 신경을 쓰는 것으로 유명한 구글이 또 다른 보안 프로그램을 신설했다. 바로 안드로이드 해킹 대회. 2017년 3월 14일까지 안드로이드 운영 체제에서 심각한 취약점을 발견하는 전문가들에게 수백에서 수천 달러를 포상하겠다는 것으로, 이 대회의 이름은 프로젝트 제로 프라이즈(The Project Zero Prize)다. 우승자는 프로젝트 제로팀의 블로그에 자신의 글을 기재할 수 있는 기회도 제공된다고 한다.

지난 여름 진행된 블랙햇에서 ‘보안 등급 매기기 사업’이 뜰 것이라는 예측이 있었던 것으로 전해졌다. 애플리케이션과 소프트웨어, 사물인터넷 기기 등에서 하도 취약점이 많이 발견되니 앞으로 보안에 초점을 맞춘 점수제가 민간 부문에서 도입되어도 이상할 것이 없다는 전망이었는데, 보안 전문업체인 비트사이트(BitSight)에서 이를 본격 시작하기로 했다. 해당 사업에 4천만 달러라는 거금을 투자하기로 결정한 것. 비트사이트의 등급은 250~900 사이의 숫자로 매겨지며, 높을수록 위험도가 낮다.

현재 한국시장에서 신뢰를 크게 잃은 폭스바겐이 이스라엘의 보안 전문가들과 함께 자동차 보안 회사를 설립했다. 이 회사의 이름은 CYMOTIVE Technologies로 이스라엘 헤르츨리야 지역과 독일의 볼프스부르크에 사무실을 두게 된다. 의장은 이스라엘 보안 에이전시인 쉰 벳(Shin Bet)의 회장이었던 유발 디스킨(Yuval Diskin)이 맡는다. 그밖에 차프리르 캣츠(Tsafrir Kats)와 타미르 베코(Tamir Bechor) 박사가 힘을 보탠다. 폭스바겐은 지분의 40%를 가지고 있고 이스라엘의 세 전문가가 나머지 60%를 소유하는 형식이다. 이 소식이 있기 얼마 전 폭스바겐에서 지난 20년 동안 만든 차들의 잠금장치를 쉽게 해제하는 방법이 공개되기도 했다.

4. 뭉쳐야 산다
미국 내 스포츠 스타는 물론 NFL과 같은 공식 협회의 트위터 계정이 연달아 해킹 당하고, 야구 구단 사이에서는 스카우트 정보를 노린 해킹 사건도 작년 벌어졌으며, 위에서 말한 것처럼 리우올림픽과 관련된 해킹 사건도 버젓이 벌어지기 때문에 스포츠 단체들이 뭉쳤다. 스포츠 산업에서의 첩보를 공유하는 Sports ISAO가 2017년 초에 발족될 계획이 발표된 것이다. ISAO는 ISAC과 비슷한 것으로, 실제적인 활동은 물밑에서 이미 벌이는 중이지만 2017년부터 공식 간판을 걸 수 있을 것으로 보인다.

미국에서 구글, 페이스북, 야후, 클라우드플레어(CloudFlare), 트위터 등 거인들이 또 뭉쳤다. 그리고 국제 인터넷 주소 관리기구(ICANN)를 국제사회의 것으로 전환할 때의 기술적인 통제권을 자신들에게 달라고 미국 정부에 요청했다. 인터넷이란 기술이 애초에 미국에서 발명되었기 때문에 인터넷 주소도 여태까지 미국이 관리해왔고, 미국은 여러 요청에 따라 올해 10월 1일부터 이를 국제사회로 이양하기로 되어 있다. 다만 국회에서 이를 반대할 경우, 이 작업은 번복될 수 있다. 위 IT 기업들은 이런 시스템 상의 허점을 제기하며 자신들이 이 작업을 대신 해야 한다고 요청한 것이다. 미국이 ICANN을 포기할 것인지에 대한 관심이 IT 업계에서는 꽤나 뜨거운 편이다.

다른 한쪽에서는 우버, 드롭박스, 트위터, 도커(Docker) 등 9개의 만만치 않은 덩치들이 뭉쳐 벤더들의 보안을 강화하기 위한 벤더 시큐리티 얼라이언스(Vendor Security Alliance)를 조직했다. 초대 회장은 우버의 컴플라이언스 책임자인 켄 베일러(Ken Baylor)가 맡는다. 사이버 보안이라는 게 혼자 할 수 없는 것이고, 그렇기에 알게 모르게 업체들끼리는 다양한 도움을 주고 받았는데, 이렇게 서로 돕는 방식을 좀 더 표준화하겠다는 것이다. 이에 대해서는 세부 기사를 내보낼 예정이다.

비슷하게 중앙은행들도 ‘뭉치는’ 움직임을 보이고 있다. 국제결제은행(BIS)의 위원회 멤버들이 태스크포스를 구성해 회원 은행들의 보안을 점검하고 강화하는 작업을 해왔는데, 서로 다른 나라에 있는 은행들 사이에서 SWIFT를 통해 송금 할 때의 세부 내용을 검토하고 있는 것으로 알려져 있다. 이번 태스크포스는 전 세계 25개 중앙은행들의 행장급 임원으로 구성되어 있으며, 벨기에 중앙은행이 지휘하고 있는 것으로 알려져 있다.

5. 재미있는 보고서들
스노우든이 러시아에서의 망명을 마치고 종적을 감춘 가운데, 홍콩의 난민들에 섞여 밑바닥 생활을 하고 있는 것으로 보도된 바 있다. 이에 미국 하원위원회는 보고서를 통해 스노우든이 “위대한 내부고발자가 아니라 불만이 많은 직원이었을 뿐”이라고 일축했다. 또한 이력서를 거짓으로 작성해 NSA에서 새로운 자리를 차지했고, 고용시험 문제와 답안지를 훔치기까지 하는 등 부도덕한 행동을 했다고 밝혔다. 하원의 목소리는 결국 이거였다. “스노우든은 영웅이 아니라 배신자다.”

FBI가 돈을 많이 아낄 수 있었다는 보고서도 등장했다. 바로 애플 vs. FBI의 법적 공방에 관한 이야기인데, 올해 초 FBI는 애플에 테러리스트의 아이폰 기기를 해킹해달라고 요청했고, 애플이 이를 거부하며 둘은 법정에서 만나기에 이르렀다. 하지만 FBI가 외부인의 도움을 받아 해킹에 성공하는 바람에 그 싸움은 판결 없이 흐지부지 끝났다. 이 과정에서 FBI가 거액을 외부인에게 지불한 사실도 밝혀졌다. 그런데 지난 추석 기간 동안 캠브리지 대학의 세르게이 스코로보가토프(Sergei Skorobogatov)라는 전문가가 NAND 미러링이란 기술로 일부 아이폰 기기의 암호 확인 기능을 우회할 수 있다고 발표한 것이다. 해당 보고서는 여기서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>