미국 민주당 최고 의원, 방한 후 “트럼프 발언 때문에 혼란스러워하고 있다”
동유럽발 금융권 공격에 동유럽, 북미, 아시아 은행들 비상

[보안뉴스 문가용 기자] 매일 아침 세계의 전쟁, 테러, IT, 보안 소식을 전하는 보안 WITS입니다. 미국 연방 정부 기관들이 얼마 전 카스퍼스키 제품을 전부 다 빼내더니 이제는 DMARC와 HTTPS 등 이메일 보안 및 통신 암호화 표준을 도입할 채비를 하고 있습니다. 무선 통신 프로토콜 중 하나인 WPA2에서 취약점이 발견되었지만 패치가 되었고, 어도비 플래시에서 모처럼 제로데이가 발견돼 역시 패치가 되었습니다.


전쟁 : 사이버전 / 피싱 / 가짜뉴스 예상 첩보
EU, 북한에 새 경제 제재 : 유럽연합도 북한에 제재를 가하기로 했습니다. 유럽연합의 외무부 장관들은 북한에 대한 투자를 전면 금지하고 정제된 석유 제품과 원유의 판매 또한 전면 금지하는 데에 동의했습니다. 또한 개인이 북한에 송금할 수 있는 금액을 15000유로에서 5000유로로 낮췄습니다. 약 5900달러 정도로 환산됩니다. 심지어 난민이나 망명자를 제외한 북한 주민은 유럽 땅에서 노동을 할 수가 없도록 했습니다. 세 명의 개인과 여섯 개의 조직들에 대해서는 자산 동결과 여행 금지 조치도 내렸습니다.

오펠리아 : 주말 동안 오펠리아라는 이름의 허리케인이 아일랜드와 스코틀랜드에 상륙할 것이라는 예보가 있었는데요, 현지 시각으로 월요일 그 일이 실제로 일어났습니다. 이 재해 때문에 현재까지 세 명이 사망한 것으로 보도되고 있습니다. 강한 바람이 지붕을 뜯어내고, 그 자리에 비가 몰아쳐 물이 들어찼습니다. 수많은 가정과 시설이 전력 공급을 받지 못하고 있고, 아일랜드 전체가 ‘적색 경보’ 체제에 돌입했습니다.

한국 방문한 민주당 의원 : 미국 상원 군사위원회의 민주당 최고 의원인 잭 리드(Jack Reed)가 지난 주 한국을 다녀갔습니다. 당연히 북한 문제와 관련된 것인데요, 미국으로 돌아간 후 “한국은 트럼프 대통령의 발언 때문에 혼란스러워 하고 있다”고 발표했습니다. 한국 사람들은 미국과 북한이 맞붙게 될 경우 한국 역시 전쟁의 불길 속에 휘말릴 것을 잘 이해하고 있다고 말한 리드 의원은 트럼프 대통령의 한국 방문 때 그러한 우려를 고려했으면 좋겠다고 희망했습니다.

브렉시트 : 테레사 메이 영국 총리와 장 클로드 융커 유럽연합 위원장이 브렉시트 협상 문제로 만났습니다. 유럽연합의 브렉시트 협상 책임자인 마이클 바르니에(Michel Barnier)에 의하면 브렉시트 협상 자체는 현재 교착 상태에 머물러 있다고 합니다. 그런 상태에서 총리와 위원장이 만나 저녁식사를 같이 한 겁니다. 둘은 브렉시트 협상에 속도를 더 낼 것을 약속했다고 하는데요, 바르니에 측은 1) 영국이 유럽연합을 떠나면서 내야 하는 돈의 액수, 2) 영국에 사는 유럽인과 유럽에 사는 영국인의 권리, 3) 북아일랜드 문제를 해결하지 않으면 브렉시트 협상은 진전되지 않을 것이라는 입장입니다.

테러 : 핵티비즘 / 선전 / 불법 콘텐츠 예상 첩보
이라크 키르쿠크 : 이라크 정부가 이번에는 키르쿠크로 병력을 보냈습니다. 키르쿠크는 이라크 군이 ISIS에 의해 밀려난 이후부터 지난 3년 동안 쿠르드족의 통제 아래 있던 곳이었습니다. 이라크 정부가 ISIS가 아니라 쿠르드족으로 진군 방향을 정한 것은 얼마 전 있었던 쿠르드족 독립 투표 때문입니다. 도시를 수복하겠다는 건데요, 쿠르드족 무장 세력들이 싸움을 포기하고 후퇴하는 바람에 무혈입성에 성공했습니다. 시민들은 어느 정부가 통치하건 안전만 보장해주면 된다는 입장입니다. 한편 키르쿠크는 석유 매장량이 높은 곳이라 미국도 이 움직임을 예의 주시하고 있습니다.

카탈루냐 독립 : 스페인 정부가 최후통첩을 카탈루냐 측으로 보냈음에도 카탈루냐 지도자들은 여전히 직접적인 답변을 하지 않고 있습니다. 스페인 정부가 알고 싶은 건 카탈루냐 지도자들이 얼마 전 벌인 한 대회에서 독립을 선언한 것인가, 이지만 카탈루냐 측은 무슨 질문이 오건 “일단 대화의 자리를 갖자”로 일관하고 있습니다. 시간을 끄는 전략이 명백하지만, 시간을 끄는 것으로 뭘 얻어낼 수 있을지는 확실하지가 않습니다. 스페인 정부가 참을성 없이 강제적인 조치를 취하다가 역풍을 맞고, 여론이 반전되기를 기다리는 걸까요.

필리핀 마라위 : 필리핀 마라위에서도 테러와의 전쟁이 계속되고 있습니다. 필리핀 군은 마라위 지역에서 활동하는 ISIS 테러리스트들을 뿌리까지 뽑겠다고 다짐했으며, 실제로 이 지역의 테러리스트 리더라고 볼 수 있는 인물 두 명을 잡아 처형했습니다. 필리핀 군에 의하면 현재 마라위 지역에 남아있는 무장 세력은 약 30명 정도이며, 이곳을 수복하는 것은 시간 문제일 뿐이라고 말합니다.

IT : 업계 소식 / 미래형 공격 첩보
구글 포토 : 구글 포토(Google Photos)가 이제 애완동물을 자동 탐지할 수 있다고 발표했습니다. 마치 사람을 자동 태그해주듯, 개나 고양이들도 자동으로 탐지해서 태그하거나 그루핑할 수 있게 되었습니다. 이제 사용자가 태그된 것에 일일이 ‘강아지’나 ‘고양이’를 타이핑 할 필요가 없다는 겁니다. 기계가 개와 고양이를 구분해내도록 한다는 건 구현하기가 매우 어려운 기술이지만, 구글이 상용화에 성공하는 모습입니다.

페이스북, tbh 인수 : 페이스북이 인스타그램 사들이듯, 또 다른 소셜 미디어 채널을 인수했습니다. 이번엔 tbh로 익명으로 친구들을 칭찬해주는 앱입니다. 지난 9주 동안 약 5백만 건의 다운로드를 기록했고, 하루 사용자 수가 평균 2백 5십만 명이라고 합니다. tbh는 지난 8월 미국 일부 주에서만 런칭한 서비스로 10대 사이에서 크게 인기를 얻고 있다고 합니다. 증오와 욕설로 넘쳐나는 SNS가 좀 깨끗해지려나요.

미국 국토안보부 : 국토안보부가 드디어 사이버 국토 방위에 나섰습니다. 모든 연방기관이 DMARC, HTTPS, STARTTLS를 사용하도록 한 것입니다. 이제 앞으로 30일 동안 모든 연방기관들은 이메일 보안을 위한 DMARC 도입 계획을 세우고, 90일 안에 구축 완료해야 합니다. 또한 HTTPS와 STARTTLS를 120일 안에 도입해 모든 통신을 암호화하도록 했습니다.

보안 : 업계 소식 / 현재형 범죄 첩보
금융권의 위기 : 사이버 공격과 물리적인 공격을 합한 새로운 캠페인이 동유럽에서부터 시작되고 있어 금융권이 긴장하고 있습니다. 현재까지 동유럽의 은행 5군데와 아프리카의 은행 한 군데서 피해가 있었습니다. 피해액은 은행에 따라 다르지만 최소 3백만 달러이고 최대 1천만 달러라고 합니다. 선량한 시민들을 꼬드겨 운반책으로 활용할뿐 아니라 은행 직원에게도 접근함으로써 은행 네트워크에 침투하는 등 물리적인 수단과 해킹 수단을 다 사용하고 있어 유럽과 북미, 아시아권 은행들은 비상 체제에 돌입하여야 할 듯 합니다.

와이파이 : 주말 동안 와이파이 암호화 프로토콜인 WPA2에서 KRACK이라는 취약점이 발견됐습니다. 이 취약점을 악용하면 누구나 사용자의 세션을 가로채거나 도청할 수 있게 된다고 하는데요, 미국 CERT에서 경고를 발령하기도 했습니다. 해당 취약점은 이미 수주 전에 발견됐지만 안전을 위해 공개되지 않았으며, 보안 업데이트가 나온 후에야 공개된 것입니다.

자신감 넘치는 보안 : 샌프란시스코의 보안 업체인 애즈텍(AsTech)이 자사의 퀄리스 매니지드 서비스(Qualys Managed Services)에 대한 품질 보증으로 1백만 달러를 걸었습니다. 이 서비스를 사용함에도 보안 사고가 일어나면 1백만 달러를 물어주겠다는 겁니다. 요즘 미국에서는 이러한 보안 업체들이 늘어가고 있는데요, 애드텍은 그 중에서도 독보적입니다. 7월에는 자사의 잘못으로 고객 정보가 유출된다면 최대 5백만 달러를 보상하겠다고도 발표한 바 있습니다.

플래시 제로데이가 또 : 등장했습니다. 한동안 조용하다 싶더니. 이번에도 공격자들이 먼저 발견해서 사용하고 있었습니다. 중동의 해커 그룹이 특정 개인에 대한 스파이 활동을 하기 위해 해당 취약점을 활용했다고 합니다. CVE-2017-11292로 등록됐으며, 어도비 측은 이를 바삐 패치했습니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>