• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[12월 4주 뉴스쌈] 삼성 안드로이드 ‘동일출처정책’ 취약점 발견 2017.12.30

‘콜 오브 듀티’와 스와팅, 삼성 안드로이드와 CVE-2017-17692
채용 거부에 사이버 공격 협박, 납치됐다 비트코인 내고 풀려난 블록체인 전문가

[보안뉴스 오다인 기자] 2017년 마지막 뉴스쌈 인사드립니다. 새해에는 더 알찬 소식으로 찾아뵙겠습니다. 새해 복 많이 받으십시오.

[이미지=iclickart]


‘콜 오브 듀티’서 붙은 언쟁... 결국 사람 죽였다
2차 세계대전을 배경으로 한 온라인 게임 ‘콜 오브 듀티(Call of Duty)’에서 두 사람 간 언쟁이 붙었습니다. 상대편과의 1달러 50센트짜리 내기 게임에서 진 직후였는데요. 언쟁이 가열되다 ‘스와팅(Swatting)’으로 이어졌고, 한 쪽이 허위로 제시한 집 주소로 경찰이 습격해 무고한 남성을 사살했습니다. 스와팅은 큰 사건이 발생한 것처럼 경찰에 허위로 신고해 경찰특공대(SWAT)를 출동시키는 범죄를 말합니다.

28일(현지시간) 미국 중부 캔자스 주의 위치토 경찰서는 “어머니와 싸우던 중 아버지 머리에 총을 쐈고, 지금 어머니와 형제 둘을 인질로 잡고 있다”는 전화를 받았습니다. 이 전화는 콜 오브 듀티를 하는 ‘Baperizer’가 자신과 언쟁하던 ‘M1ruhcle’을 상대로 고용한 전문 스와팅 꾼이 건 전화였습니다. ‘M1ruhcle’은 스와팅 꾼에게 가짜 주소를 알려주며 ‘해볼 테면 해봐라’라고 도발했다고 합니다. 전화를 받은 직후, 경찰은 해당 주소로 SWAT 팀을 출동시켰는데 “한 남성이 문 쪽으로 걸어오던 찰나 경찰관 한 명이 총을 발사했다”고 밝혔습니다.

콜 오브 듀티를 하는 ‘M1ruhcle’과 ‘Baperizer’는 게임하다 붙은 언쟁 때문에 결국 상관도 없는 사람을 죽이게 된 셈인데요. 사망자는 7살과 2살이 채 안 된 아이들의 아버지였다고 합니다. 온라인 게임은 하지도 않았고 총기 소유자도 아니었다고 사망자의 가족은 전했습니다. 현재 경찰은 이번 사건과 관계된 모든 사람을 밝혀내는 데 집중하고 있으며, SWAT 팀의 대응도 적절했는지 확인 중에 있다고 밝혔습니다. 해외 IT 전문 매체 블리핑컴퓨터(Bleeping Computer)가 보도했습니다.

삼성 안드로이드 브라우저에서 ‘동일출처정책’ 우회 취약점 발견
삼성 안드로이드 기기에 사전 설치된 브라우저 애플리케이션에서 치명적인 취약점이 발견됐습니다. 해외 보안 매체 해커뉴스(Hacker News)에 따르면, ‘CVE-2017-17692’는 삼성 인터넷 브라우저 5.4.02.3 버전 및 이보다 앞선 버전에서 발견되는 ‘동일출처정책(Same Origin Policy)’ 우회 취약점입니다. 공격자가 제어하는 사이트에 삼성 안드로이드 기기 이용자가 방문할 시, 공격자는 브라우저 탭에서 정보를 빼돌릴 수 있다고 이 매체는 지적했습니다.

동일출처정책은 하나의 출처(origin)에서 로드된 문서나 스크립트가 다른 출처의 자원과 상호작용하지 못하도록 제약하는 보안 기능(모질라 개발자 네트워크(MDN) 정의 참조)입니다. 삼성 인터넷 브라우저에서의 동일출처정책 우회 취약점은 디라즈 미쉬라(Dhiraj Mishra)가 발견했습니다. 미쉬라는 삼성 측에 취약점을 제보했으며, 삼성은 “갤럭시 노트 8 모델부터 이미 패치가 적용됐고 해당 애플리케이션은 10월 앱 스토어 업데이트를 통해 패치될 것”이라고 회신했다고 전했습니다.

“나를 채용하지 않으면 사이버 공격으로 회사 날려버릴 것”
미국 워싱턴 주 웨내치에 거주하는 28세 남성이 노스캐롤라이나의 의료 소프트웨어 업체 TSI 헬스케어를 협박한 죄로 37개월 형을 선고받았습니다. 토드 마이클 고리(Todd Michael Gori)는 TSI 헬스케어 측에 이메일을 보내 “두 가지 선택지를 준다”면서 “직원 하나를 자르고 그 자리에 나를 채용하든지 아니면 사이버 공격으로 회사를 날려버릴 것”이라고 협박했습니다. 고리가 해고하라고 요구한 직원은 과거에 그의 입사지원서를 몇 차례나 거절했던 것으로 알려졌습니다.

블록체인 전문가, 납치됐다가 비트코인 내고 풀려나
파벨 러너(Pavel Lerner, 40세/남)라는 러시아 사람이 우크라이나 수도 키예프에서 26일 퇴근길에 납치됐습니다. 러너는 암호화폐 거래소 EXMO의 전무이사이자 블록체인 전문가로 꽤 유명한 인물이라고 하는데요. 검정색 옷에다 얼굴을 모두 감싸는 두건까지 쓴 신원 미상의 범죄자들이 러너를 검정색 메르세데스 벤츠 차량으로 끌고 간 뒤 사라졌다고 합니다. 이후, 러너는 납치범들에게 약 14억 원(130만 달러)어치의 비트코인을 내고 풀려난 것으로 알려졌습니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>