트럼프 대통령, “세상이 보지 못한 화염과 분노” 두 차례 연이어 언급
UN은 애플에 “VPN 앱 삭제시킨 것에 대한 더 명확한 해명” 요구

[보안뉴스 문가용 기자] 매일 아침 세계의 전쟁, 테러, IT, 보안 소식을 전하는 보안 WITS입니다. 미국은 UN의 북한 제재를 굳히기 위해 앞에서는 ‘화염과 분노’를 강경하게 언급하고 뒤로는 북한과 친한 국가들을 직접 방문하며 제재에 협조해달라고 부탁하고 있습니다. 덩달아 대한민국도 강력한 미사일을 개발하고 보유할 수 있을 것으로 보입니다. 일본도 북한을 핑계로 움직임을 보이고 있고요. 북한이라는 위협 때문에 주변 국가의 ‘방위’에 패치가 가해지고 있습니다. 그러고 보니 오늘 마이크로소프트, 애플, 구글, SAP 등에서 패치를 발표했군요.


세계 소식
북핵 관련 소식입니다. 북한은 UN 제재에 강력하게 반발하며 ‘물리적인 행동’을 취하겠다고 했습니다. 이에 트럼프 대통령도 지지 않고 “미국을 더 위협하면 세계가 한 번도 목격한 적이 없는 화염과 분노에 직면할 것이다”라고 두 번이나 연거푸 말했습니다. 한편 ASEAN 회담에 참석했던 틸러슨 미국 외교부 장관이 방콕에 잠깐 들렀습니다. 북한에 대한 제재에 협조해달라고 요청하기 위해서입니다. 태국은 북한 대사관이 있고, 북한과 거래를 유지하는 동남아 국가 중 하나입니다.

일본 국방부는 563 페이지에 달하는 “방어 백서”를 발표했는데, 이는 북한의 핵 개발 능력에 관한 것입니다. 이 백서에 따르면 일본은 북한이 이미 핵 미사일 개발에 있어 한 차원 높은 단계에 진입했을 가능성이 크다고 보고 있습니다. 그러면서 국가 안보가 새로운 국면에 접어들었다고 했습니다. 북한을 핑계로 자위대를 늘리거나 해외에서도 ‘방어를 위한’ 전쟁을 일으킬 권한이 있다고 선포할 것만 같은 느낌입니다. 미국 역시 북한이 이미 핵미사일을 발사할 수 있는 수준에 도달했다고 결론을 내렸습니다. 미국은 대한민국이 더 큰 미사일을 보유할 수 있도록 하는 방침을 고민 중에 있다고 합니다.

미국의 새로운 제재를 받게 된 이란의 로하니 대통령이 내각을 새로 정비했습니다. 일부 장관들은 유지하고 일부 장관들은 새로 뽑은 건데요, 이는 미국이 다시 이란에 대해 강경하게 돌아선 것과 ISIS 등 무슬림 극단주의자들의 위협에 대비하기 위한 움직임으로 보입니다. 사실 로하니 대통령이 선택한 장관들이라기보다는 대통령보다 위에 있는 최고 권위자인 아야톨라 알라 하메네이(Ayatollah Ali Khamenei)가 통상 장관들을 임명하는 것이기 때문에 우리나라처럼 새로운 장관들에 대한 공방이 뜨겁게 벌어지지는 않을 전망입니다.

베트남은 남중국해에서 스페인 석유 회사인 렙솔(Repsol)과 함께 벌이던 시추탐광 작업을 중단했습니다. 남중국해를 호시탐탐 노리는 중국의 눈치가 보여서입니다. 중국을 견제할 세력은 미국뿐인데, 현재 트럼프 대통령은 큰 아들 문제나 스스로의 러시아 커넥션 의혹 때문에 남중국해까지 신경을 쓰고 있지 못하죠. 베트남이 이런 분위기를 잘 감지하고 알아서 시추 작업을 중단시킨 것으로 보입니다. 이게 동남아 국가들이 중국에 대해 느끼는 압박감입니다.

아프가니스탄은 3개월 전 인공위성 발사에 성공한 인도에 아프가니스탄을 위한 인공위성도 개발해달라고 요청했습니다. 아직 그 쓰임새에 대해 공식적으로 발표된 바는 없으나, 아마도 아프가니스탄 내 테러리스트들의 은신처를 찾기 위한 것으로 보입니다. 인도는 일단 3개월 전에 발사한 인공위성의 터미널 한 개를 아프가니스탄 정부에 제공하고, 새로운 인공위성을 개발하기로 했습니다. 시리아에서는 러시아, 터키, 이란의 고위층들이 만나 시리아의 평화 문제를 정식으로 논의하기 시작했다고 합니다.

역사가 바뀌기 직전에 있는 베네수엘라에서의 시위가 보다 격렬해지고 있고, 이를 진압하려는 정부의 움직임도 더 거칠어지고 있습니다. 현재까지 최소 46명이 사망했습니다. 이에 UN이 베네수엘라 정부에 지나친 폭력을 사용하지 말라고 경고장을 보냈습니다. 베네수엘라 정부의 웹 사이트가 해킹을 당하기도 했습니다. 한편 이스라엘의 네타냐후 총리의 11년 통치가 막을 내릴 것만 같은 분위기입니다. 네타냐후 본인은 물론 가족과 배우자의 뇌물 수수 죄에 대한 수사가 이어지고 있기 때문입니다. 이미 이스라엘 내부에서는 네타냐후 이후 시대에 대한 논의가 이뤄지고 있다고 합니다.

폴란드와 독일 관계가 심상치 않게 벌어지고 있습니다. 폴란드는 2차 세계대전 당시 독일로부터 큰 피해를 입었다며, 그에 대한 배상을 독일 정부에 요청할 전망입니다. 폴란드는 어쩌면 영국 이후 두 번째 UN 탈퇴 시도 국가가 될지도 모르겠습니다. 반대로 이라크와 사우디의 관계는 회복 중에 있습니다. 이미 육상 경로는 서로에게 연 상태고, 이젠 영공도 서로에게 여는 방침을 이야기 하고 있다고 합니다. 중동 전문가들은 이라크와 사우디가 관계를 회복하면 이란과 사우디의 관계도 개선될 것이라고 전망하고 있습니다. 무슬림 극단주의자들이 판치는 한 편으로, 점점 세속화되어가는 중동의 분위기가 살짝 느껴집니다.

이란의 드론이 미국 전투기에 접근했다는 비공식적인 발표가 있었습니다. 이란과 미국의 소소한 충돌이야 늘 있는 일이지만, 지금은 새로운 제재에 대한 미국 대통령의 서명이 이뤄진 직후라 ‘늘상 있는 일’로만 보이지는 않습니다. 게다가 31미터까지 접근했다고 하니, 꽤나 가까운 데까지 다가갔다고 볼 수 있습니다. 다만 비무장 드론이었다고 합니다. 한편 10년전 대선 때 유혈 사태를 벌인 케냐에서 한창 대선이 이뤄지고 있는데요, 아직까지는 평화롭다고 합니다. 하지만 결과 이후의 평화까지 장담할 수는 없는 상황입니다. 남아프리카의 주마 대통령도 ‘탄핵’과 비슷한 불신임 투표에서 간신히 살아났다고 합니다만, 그 결과에 불복하는 시위대가 의회 앞에 모여 있다고 합니다.

보안 소식
오늘 아침 컴퓨터를 켜보시면 업데이트가 진행될 예정입니다. 마이크로소프트와 어도비 등 메이저급 소프트웨어 회사들의 패치가 이뤄졌거든요. MS는 약 50개의 취약점을 패치했고, 어도비는 플래시의 원격 코드 실행 취약점 등 총 69개 취약점을 패치했다고 합니다. 구글 역시 안드로이드 업데이트를 통해 10개의 원격 코드 실행 취약점을 해결했습니다. SAP 역시 8월 업데이트를 통해 19개의 취약점을 손봤습니다.

UN은 중국의 VPN 차단 정책에 동조한 애플의 팀 쿡에 서신을 보냈습니다. 중국 앱 스토어에서 약 60개의 VPN 앱들을 없애버린 것에 대해 보다 상세한 해명을 요청한 것입니다. UN은 현재 애플이 인간의 가장 기본적인 권리를 침해하는 데에 협력했다고 보고 있습니다. 아직 애플 측의 답변은 없는 상황입니다. 아마존도 이와 비슷한 행태를 보인 바 있는데, UN이 아마존에도 비슷한 서신을 보낼지도 궁금해집니다.

현재 러시아의 은행과 광산 업체 등을 겨냥한 스피어 피싱 공격이 이어지고 있다고 합니다. JS_GETFO.ZHEG-A라는 이름을 가진 백도어가 전파되고 있는데, 이 백도어는 PE 파일을 다운로드 및 실행, 파일 삭제, 스크립트 다운로드 및 실행, 쉘 명령 실행 등의 기능을 가지고 있다고 합니다. 6월 23일과 7월 27일 사이에 대규모 공격이 세 차례나 발생했으며, 전부 CVE-2017-0199 취약점을 익스플로잇 합니다. MS 오피스 관련 취약점으로 4월에 패치가 발표된 바 있습니다.

텍사스의 파워 퀄리티 엔지니어링(Power Quality Engineering)이란 기업이 민감한 정보를 인터넷에 노출시키는 실수를 저질렀습니다. 그것도 전기 공급망에 대한 데이터로, 델 테크놀로지스(Dell Technologies), SBC, 프리스케일(FreeScale), 오라클(Oracle), 텍사스 인스트루먼츠(Texas Instruments), 오스틴 시청 등도 이 때문에 피해를 봤다고 합니다. 사회 기본 인프라의 구성도와 취약점이 함께 노출된 심각한 사안인데요, 이런 거 잘 찾는 회사 업가드(UpGuard)가 역시 이번에도 활약했다고 합니다.

1억 7천 8백만 명의 사용자를 거느린 비디오 게임인 로블록스(ROBLOX)가 사이버 범죄자들의 표적이 되고 있다고 합니다. 특히 채팅 기능을 통해 공격을 가한다고 하는데요, 이미 수백만 달러의 피해가 발생했다고 합니다. 공격자들은 디스코드(Discord)라는 채팅 플랫폼에 API를 사용해 ROBLOX 로그인 크리덴셜이 저장된 브라우저 쿠키를 훔치고, 이를 통해 다른 계정으로 로그인한 뒤 인게임 머니를 훔쳐 환전시키는 수법을 활용했습니다.

커넥티드 카와 관련된 가이드라인을 발표한 영국 정부는 이번에 정보보호법안을 새롭게 발표했습니다. ‘법’이 아니라 ‘법안’입니다, 아직은. 이는 브렉시트 이후 GDPR을 대체할 것으로 보입니다. 브렉시트를 위한 준비가 착착 이뤄지고 있는 느낌입니다. 하지만 ‘왕좌의 게임’이 유출된 HBO에 대해서는 ‘보안의 기본 수칙도 잘 안 지킨 것이 아닐까’하는 보안 전문가들의 예측이 이어지고 있습니다. 반면 해커인 “스미스 씨”는 굉장한 노력을 한 것 같다고 합니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>