21개 유명 모바일 증권거래 앱, 비밀번호는 평문 저장...암호화 처리도 부족
ATM 노리는 사이버 공격 급증... 미국 SEC 해킹서 부실한 데이터 관리 실태 드러나

[보안뉴스 문가용 기자] 매일 세계의 전쟁, 테러, IT, 보안 소식을 전하는 보안 WITS입니다. 북한이 트럼프를 ‘해독’하기 위해 은밀히 워싱턴과 접촉했다는 사실이 밝혀졌습니다. 지금 긴장사태 전부터 이러한 노력을 해왔다고 합니다. 중동은 쿠르드족 독립으로, 유럽은 카탈로니아의 독립으로 흔들거리고 있습니다. 그 와중에 금융권에 대한 사이버 위험도는 높아지고 있고, 마크롱 대통령은 새로운 화합 체계를 주장하고 있습니다.


세계 소식
북한, 트럼프를 이해하려 노력한다? : 북한이 트럼프 때문에 매우 혼란스러워 한다는 소식입니다. 현재 트럼프와 김정은은 서로에게 위협과 협박을 가하는 상황인데요, 사실 그 전부터 북한 고위 관리들이 공화당 측 시사 분석가들과 은밀히 교섭해 트럼프의 말들을 이해하기 위해 도움을 요청했다는 사실이 밝혀졌습니다. 지금 두 사람이 워낙 날카로운 상태라 사소한 오해라도 큰 재앙으로 변할 수 있는 때인데, 이러한 사실을 본인들이 제일 잘 알고 있었던 듯 합니다. 관계자에 따르면 현재 북한의 가장 큰 혼란 요인이자 고민거리가 트럼프라고 합니다. 그가 쏟아내는 말들이 북한으로선 난제 중 난제라고 합니다.

독립에 대한 열망 1 : 쿠르드족의 독립 선거가 중동의 뜨거운 감자입니다. 물론 대다수 정부들은 이에 반대하고 있으며 쿠르드족에게 각종 위협을 가하고 있는 상태입니다. ISIS가 아직도 커다란 종양처럼 굳건히 남아있는데 새로운 불화의 씨앗이 벌써 커지고 있기에 중동의 분위기는 매우 살벌하다고 합니다. 이라크 정부는 쿠르드족이 역사적인 실수를 저지르고 있다고 표현했으며, 북부의 국경검문소와 공항에 대한 통제권을 금요일까지 반납하지 않을 경우 해당 공항을 경유하는 국제선 운영을 전면 중단시킬 것이라고 발표했습니다. 우리도 못 쓰면 너네도 못 쓰게 만들겠다는 겁니다. 지금으로선 평화적으로 쿠르드족이 독립할 방법이 없어 보입니다.

독립에 대한 열망 2 : 스페인의 카탈루냐 역시 독립을 외치고 있습니다. 이번 주말 투표를 하기로 자체 결정한 상태입니다. 하지만 이미 스페인 정부와 법원은 이 투표에 대해 ‘위헌 행위’라고 규정했습니다. 스페인 정치인들은 대부분 ‘이것이 스페인이란 국가의 통일성을 위협하는 이적행위’라는 데에 동의하고 있습니다. 스페인 정부는 이번 선거와 관련된 물품 등을 압수하고 있으며, 이에 카탈로니아인들은 “스페인을 다시 예전 독재 시절로 되돌리려고 하느냐”라고 강하게 반발하고 있습니다.

젊은 마크롱은 개혁주의자 : 독일 메르켈 총리의 재선이 확정되고 나서 이틀 후 프랑스의 마크롱 대통령이 ‘새로운 유럽’을 주장하며 두 시간 가까이 연설을 했습니다. 유럽은 현재 방어와 난민 문제를 함께 해결하기 위해 손잡아야 하며, 벌써 10년 가까이 이어져 온 경제 위기를 극복하기 위해 스스로를 재정립해야 한다는 주장이 그 골자였습니다. 국경 보호 문제, 대기업들의 탈세 문제, 첩보 공유, 불안하기만한 국방과 재정의 안정화 문제에 있어 유럽은 지금 크나큰 위기를 겪고 있다며 이전과 다른 차원의 공동체 결성을 주장했습니다. 개인주의가 최고로 치닫고 있는 시대에 공동체주의가 이 젊은 지도자의 입에서 자꾸만 설파되고 있습니다.

사우디아라비아, 개혁의 물결? : 사우디아라비아에서도 개혁 비슷한 현상들이 나타나고 있습니다. 얼마 전 국경일에 여성들을 남성들과 함께 경기장 안에 들어오도록 했는데(역사상 처음 있는 일), 이번에는 국왕이 직접 나서서 여성들이 운전을 해도 된다고 윤허를 내리셨다 합니다. 이로써 여성이 운전을 하면 안 되는 유일한 나라가 지구상에서 사라졌습니다.

팔레스타인 vs. 이스라엘 : 일부 팔레스타인인들은 매일 이스라엘이 하르 아다르(Har Adar)에 설치한 철문을 통과합니다. 일을 하기 위해서입니다. 두 지역이 오랜 시간 분쟁해오긴 했지만 민간 차원에서는 이런 식의 교류가 일상처럼 일어납니다. 하지만 현지 시각으로 화요일 이러한 팔레스타인인 중 한 명이 갑자기 총격을 가해 검문소에 있던 이스라엘 경비대 세 명이 사망했습니다. 베이트 수릭(Beit Surik)이라는 인물로, 주기적으로 이스라엘로 넘어가 일을 하던 사람이라고 합니다. 그도 현장에서 총격을 받고 사망했습니다. 보통 테러리스트들은 취업하지 못한 젊은 미혼자들이 많은데 베이트는 37세로 네 명의 자식을 둔 아버지였습니다. 수사를 해보니 두 지역의 분쟁에 대한 테러리즘을 가한 게 아니라 개인적인 가족사 때문에 우발적인 행동을 한 것이라고 합니다.

보안 소식
모바일 주식 거래 앱에 취약점이 가득 : 안드로이드와 iOS용 주식 거래 앱 21개를 보안 업체 IO액티브(IOActive)에서 분석했습니다. 그 결과 대다수에서 취약점들이 발견됐습니다. 안전상의 이유로 IO액티브 측에서 앱의 이름은 공개하지 않았습니다. 다만 실험 결과 가장 안전한 앱에 대해서는 “수년 전 데이터 유출 사고를 겪은 중개업체에서 개발한 것이었다”고 힌트를 줬습니다. 또한 가장 충격적인 취약점들 중 하나는 비밀번호를 평문으로 저장한다는 것과 민감한 정보를 암호화 없이 로깅하는 것이었다고 설명했습니다.

미국, 이민자 소셜 미디어 정보 수집한다 : 10월 18일부터 미국의 국토안보부는 이민자들에 대한 정보를 공보에 등록시킬 때 소셜 미디어와 관련된 것들도 수집한다고 합니다. 새롭게 미국으로 이민가는 사람들뿐만 아니라 귀화한 외국인이나 영주권을 가진 외국인도 포함됩니다. 미국 정부로서는 테러리스트들을 솎아내기 위한 것이지만, SNS에서 만끽했던 ‘표현의 자유’가 침해되는 건 어쩔 수 없을 것이라고 전문가들은 전망하고 있습니다. SNS에서 하는 말이 ‘나의 정체성’을 규정하는 시대가 됐습니다.

ATM 겨냥한 사이버 공격 급증 : 유로폴이 ATM 기기를 노리는 사이버 공격이 급증하고 있다고 경고했습니다. 예전에는 USB나 CD를 들고 ATM 기기 근처로 와 멀웨어를 심었다면, 2015년 즈음부터는 인터넷을 통한 원격 공격이 시작됐다고 합니다. 다만 돈을 운반할 사람은 공격당하는 ATM 근처에서 대기하고 있어야 합니다. 유로폴은 40장짜리 보고서를 통해 “은행의 네트워크에 침투한 후, 그 네트워크로부터 ATM 기기를 찾아내 공격하는 고차원적인 수법이 크게 증가하고 있다”며 “이제 ATM 기기들이 ‘진정한’ 사이버 공격을 받기 시작했다”고 밝혔습니다.

미국 증권거래위원회 : 작년에 발생하고 지난 주 보도된 미국 증권거래위원회 해킹 사고를 저지른 공격자들이 에드가(EDGAR) 시스템을 실험해보던 기업들로부터 정상적인 금융정보를 탈취하는 데 성공한 것은, 이 기업들이 에드가 실험 시 ‘가짜 정보’를 사용해야 하는 규칙을 지키지 않았기 때문이라고 로이터가 보도했습니다. 에드가를 사용해 여러 정보를 교환하기 전에, 올바로 구축됐는지 실험하기 위해 기업들이 다양한 데이터를 적용시켜 보는데, 이때 많은 기업들이 실제 민감한 정보를 사용했다는 겁니다. 또, 증권거래위원회 해킹이 동유럽에 있는 서버를 거쳐 실시된 것으로 보인다는 보도도 있었습니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>