• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[9.28 보안 WITS] 와이파이 통해 아이폰 7에 백도어 심기 2017.09.28

아프가니스탄에서는 미국과 NATO 수장 방문 환영하는 로켓 발사
샌프란시스코 시 검사, 에퀴팩스에 소송 제기...“보안이 엉망이었다”

[보안뉴스 문가용 기자] 매일 세계의 전쟁, 테러, IT, 보안 소식을 전하는 보안 WITS입니다. 오늘은 뉴욕타임즈 스타일로 짧게 주요 사안들을 정리해봤습니다. 뉴욕타임즈의 ‘모닝 브리핑’ 서비스를 신청하면 매일 키워드가 3개로 요약되어 전송되거든요. 그래서 보안 WITS도 세계 소식 세 개, 보안 소식 세 개를 실험적으로 빼봤습니다. 매주 목요일 WITS는 당분간 이렇게 진행될 예정입니다.

[이미지 = iclickart]


세계 소식
펜타곤과 NATO 환영한 로켓 : 미국의 국방부 장관인 짐 매티스(Jim Mattis)와 NATO의 사무총장인 옌스 스톨텐베르그(Jens Stoltenberg)가 아프가니스탄의 대통령 아슈라프 가니(Ashraf Ghani)를 방문했습니다. 트럼프 대통령이 새로운 아프가니스탄 전략을 발표한지 한 달 정도 지난 시점입니다. 하지만 이 두 손님을 맞이한 건 대량의 로켓이었습니다. 공항과 미국 대사관을 겨냥해서 열발이 넘는 로켓이 발사됐다고 합니다. 다행히 사람이 죽거나 다치는 일은 없었지만 공항은 잠시 폐쇄도 됐었습니다. 탈레반과 ISIS 모두 자신들의 소행이라고 주장했습니다. 나라의 가장 ‘보호받는’ 시설에까지도 로켓이 날아들 정도인 게 현재 아프가니스탄의 상황입니다.

쿠르드족의 압도적인 독립 투표 결과 : 월요일에 열린 쿠르드족 독립에 관한 국민 투표에 3백만 명이 참여했다고 하고, 92%가 독립에 찬성한다는 쪽을 택했습니다. 물론 그렇다고 해서 당장 독립이 이뤄지는 건 아닙니다만 전체의 뜻을 알았으니 독립 운동을 더 강력히 펼쳐나갈 것으로 예상됩니다. 쿠르드족 대표들 역시 이 선거 결과를 바탕으로 협상을 이어갈 것이라고 했습니다. 하지만 이라크 중앙 정부는 그런 협상의 자리는 없을 것이라고 못을 단단히 박은 상태입니다. 뿐만 아니라 이라크 주변 국가들 전부 쿠르드족의 독립에 반대하고 있습니다. 이들의 독립 운동이 계속될수록 중동의 긴장감은 더해질 것이라고 여러 국가들이 우려하고 있습니다.

아마존, 알렉사 탑재한 제품 라인업 추가 : 음성 인식 인공지능 어시스턴트인 알렉사를 모든 곳에 두겠다는 아마존의 전략이 한층 더 공격성을 띠게 되었습니다. 알렉사가 탑재된 새로운 제품들을 대거 출시한 것입니다. 에코 코넥트(Echo Connect)는 기존 에코의 조수격으로 전화를 걸어주는 기능을 담당합니다. 버튼즈(Buttons)는 말 그대로 단추 기능이 더해진 것으로 알렉사에게 게임 실행 능력을 부여합니다. 2018년부터는 BMW의 자동차들에도 알렉사가 탑재된다고 하고, 에코 스폿(Echo Spot)은 알렉사가 적용된 알람 시계입니다. 또한 스마트홈의 허브 역할을 해주는 에코 플러스(Echo Plus)도 선보였습니다. 이중 가장 비싼 게 150달러 정도라고 하니, 정말 곧 어느 공간에서나 알렉사를 보게 될지도 모르겠습니다.

보안 소식
에퀴팩스에 뿔난 샌프란시스코 : 보안 관련 행사가 많이 열리는 도시 샌프란시스코의 시 검사(city attorney)가 에퀴팩스를 상대로 소송을 제기했습니다. 신용 관련 정보를 다루는 조직인 주제에 사이버 보안 상태가 엉망이었다는 게 가장 큰 이유입니다. 단순히 ‘엉망’인 게 아니라 위법 수준일 정도로 보안이 허술했다고 샌프란시스코는 주장하고 있습니다. 그러면서 철저한 조사를 통해 규정 위반 사실이 적발될 때마다 2500달러의 벌금을 물어야 한다고 했습니다. 샌프란시스코가 속한 캘리포니아 주에서는 에퀴팩스 사건 때문에 1백 5십만 명의 개인정보가 유출됐다고 합니다.

와이파이 통해 아이폰 7 공격하기: 구글의 프로젝트 제로 팀이 브로드콤 칩셋의 와이파이 펌웨어에 존재하는 취약점을 공개했습니다. 이 취약점을 익스플로잇 할 경우 아이폰 7 기기에 코드 실행 공격을 실시할 수 있게 되며, 해당 기기에 오랫동안 머무르며 장기간 스파이 활동도 할 수 있다고 합니다. 즉 와이파이를 통해 아이폰 7에 백도어를 심을 수 있다는 것입니다. 구글 측은 개념증명용 익스플로잇까지 개발했으며, 실험을 통해 iOS 10.2, 10.3.3 버전이 취약하다고 밝혔습니다. 브로드콤 칩셋의 경우 여기에 해당되는 펌웨어 버전은 9.44.78.27.0.1.56입니다. 애플 측은 iOS 11을 통해 이 부분을 이미 해결한 상태이긴 합니다.

노르웨이 : 노르웨이가 NATO의 사이버 방어 협력 센터(NATO Cooperative Cyber Defence Centre of Excellence)에 가입하기로 결정했습니다. 현재 사이버 보안 업계 내에서는 첩보와 지식 공유가 가장 큰 화두이며 해결 과제인데, 이것이 단순 트렌드가 아니라 방어자들에게 정말로 필요한 일이니 국가 차원에서도 공유와 협력이 논의되는 것이겠죠. 이로써 사이버 방어 협력 센터 회원국이 21개로 늘어났습니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>