기기 내장된 멀웨어 ‘코실룬’, 개인정보 거래 설문조사,
GDPR 위반으로 페이스북·구글 등에 고발장 최초 접수,
멀웨어바이츠-비니소프트 인수, EMV 칩 도입 효과

[보안뉴스 오다인 기자] 기업이 얼마를 제시하든 내 개인정보는 안 판다는 사람이 2명 중 1명으로 나타났습니다. 서비스를 더 편리하게 이용할 수 있다고 유혹해도 5명 중 4명은 개인정보를 제공하지 않겠다고 응답했습니다. 기업의 생각과 이용자의 생각은 많이 다르다고 조사 업체는 지적했습니다.

지난 25일을 기점으로 GDPR 시대가 열렸습니다. 발효 당일 유럽 현지에서는 최초의 고발장이 접수됐습니다. 프라이버시를 옹호하는 비영리단체가 제기했는데요. 첫 사례로서 상징성이 큰 만큼 그 결과도 주목됩니다.


기기 펌웨어에 내장돼 제거 불가능한 멀웨어 발견
최신형 안드로이드 태블릿에서 멀웨어가 발견됐습니다. 그런데 기기에 단순히 사전 설치된 정도가 아니라 완전히 내장된 상태였다고 합니다. 보안업체 어베스트(Avast)는 전 세계 100개국 이상 18,000개가 넘는 기기에서 이 같은 멀웨어가 발견됐다고 밝혔습니다.

어베스트는 △ZTE △아코스(Archos) △마이폰(MyPhone) 등이 출시한 휴대전화 및 태블릿에서 멀웨어 ‘코실룬(Cosiloon)’을 포착했습니다. 코실룬은 광고 로더(ad loader)인데요. 피해 기기의 펌웨어에 내장된 상태이기 때문에 완전히 제거하는 게 불가능하다고 어베스트는 지적했습니다.

코실룬에는 ‘드로퍼(dropper)’ 역할을 하는 애플리케이션이 두 개 있습니다. 웹페이지 또는 게임 위에다 광고를 로드시키는 앱들인데요. 하나는 기기 펌웨어 안에 내장돼 있고, 다른 하나는 운영체제(OS) 내에 완벽하게 통합돼 있다고 합니다.

드로퍼들은 일단 활성화되고 나면 광고 노출 소프트웨어를 다운로드합니다. 이 소프트웨어는 매우 정교하고 철저하게 난독화(obfuscated)돼 있었는데요. 완전히 뿌리 뽑는 일은 사실상 불가능한 수준이고 피해 정도를 줄이는 것도 매우 어렵도록 설계돼 있었습니다.

돈을 얼마를 주더라도 개인정보 안 판다는 사람 55%
새로 나온 연구에 따르면, 기업들이 고객과 고객 프라이버시에 대해 추정하는 것들 중 상당량이 심각하게 오인돼 있는 것으로 나타났습니다. 유럽 일반개인정보보호법(GDPR) 시대 이렇게 잘못된 추정은 기업에 치명적인 결과로 돌아올 수 있어 문제가 결코 가볍지 않습니다.

디지털 커뮤니케이션 회사 시지지(Syzygy)는 미국·영국·독일 지역 성인 3,000명을 대상으로 설문조사를 진행했습니다. 개인정보를 기업에 팔 것인지 아닌지 질문했는데요. 선호하는 브랜드라 할지라도, 가격을 얼마나 제시하더라도 팔지 않겠다고 답한 사람이 55%(미국)였습니다.

더 편리한 온라인 경험을 위해 개인정보를 주겠냐는 질문에 대해서는 더 놀라운 결과가 나왔습니다. 온라인 서비스를 제공하는 많은 기업들이 믿고 있는 바와는 다르게, ‘그렇게 하겠다’고 답한 사람은 고작 21%(미국)에 불과했습니다.

기업에 자신의 정보를 기꺼이 팔겠다고 답한 사람들은 평균 150달러(약 16만 원) 선에서 거래하겠다고 밝혔습니다. 온라인 활동을 지속적으로 모니터링하는 것과 관련해선 33%의 사람들이 긍정적으로 답변했습니다. 월 평균 25달러(약 2만 7,000원) 선에서 그러한 활동을 허가하겠다고 밝혔다고 합니다.

프라이버시 운동가, GDPR 위반으로 페이스북 등 고발
프라이버시 운동가가 대형 테크 기업들을 상대로 고발을 진행하고 있습니다. 유럽 일반개인정보보호법(GDPR)을 준수하지 않는다는 것이 그 이유입니다.

‘논 오브 유어 비즈니스(None of Your Business, 이하 NYOB)’는 오스트리아의 페이스북 소송인 맥스 스크렘스(Max Schrems)가 설립한 비영리단체입니다. 스크렘스는 GDPR 위반 기업을 상대로 싸우기 위해 NYOB를 설립했습니다. NYOB는 △구글 △페이스북 △왓츠앱 △인스타그램 등이 정보보호 규정을 위반했다며 공식적으로 고발장을 접수했습니다.

GDPR은 기업들이 이용자 정보를 처리할 때는 반드시 합법적인 근거가 있어야 한다고 규정하고 있습니다. 기업이 이용자 정보를 처리할 때는 이용자로부터 동의를 받는 등 다중의 근거를 갖춰야 합니다. 무엇보다 GDPR은 기업이 이용자에게 서비스를 제공하면서 정보 제출을 강요할 수 없도록 명시하고 있습니다.

이 부분에서 NYOB는 페이스북과 구글이 GDPR을 위반했다고 주장합니다. 이용자가 이들 기업의 프라이버시 정책에 동의할 수밖에 없도록 강요한다는 것인데요. GDPR은 이용자가 자신의 정보를 공유할지 말지 선택하도록 권한을 주게 규정하는데, 페이스북과 구글은 개인정보 처리에 동의하지 않을 경우 서비스를 이용할 수 없다고 나타내면서 ‘동의란(consent boxes)’에 체크할 것을 압박하고 이용자로부터 선택의 자유를 빼앗아갔다는 것이 핵심 주장입니다.

스크렘스는 성명서를 통해 “페이스북은 동의하지 않은 이용자들의 계정을 심지어 차단하기까지 했다”면서 “결국 이용자들은 자신의 계정을 삭제하든지 ‘동의’ 버튼을 누르든지 하는 선택지 밖에 없는데 이는 자유로운 선택이라고 할 수 없다”고 강조했습니다.

페이스북에 대한 최초의 고발장은 오스트리아에서 접수됐습니다. 인스타그램과 왓츠앱에 대한 고발장은 각각 벨기에와 독일에서 접수됐습니다. 안드로이드 동의 요청이 GDPR을 위반했다고 서술한 구글 고발장은 프랑스에서 접수됐습니다.

멀웨어바이츠, 방화벽 관리 위해 비니소프트 인수
멀웨어바이츠(Malwarebytes)가 루마니아 회사 비니소프트(Binisoft)를 인수합니다. 엔드포인트 보안 플랫폼 강화가 그 목적인데요. 비니소프트는 윈도우 방화벽 제어(Windows Firewall Control)와 USB 플래시 드라이브 제어(USB Flash Drives Contorl)를 주로 하는 기업입니다.

윈도우 방화벽 제어는 윈도우 방화벽 기능에 관리 기능과 규칙을 추가·확장하는 것을 말합니다. 이용자들은 ‘방화벽 필터링 없음’부터 ‘모든 인바운드·아웃바운드 연결 거부’까지 자기 자신만의 보안 프로필을 선택할 수 있습니다. 또한 앱 접근을 활성화 또는 차단할 수 있으며, 현재 규칙들을 비활성화·변경·통합하거나 새로 개설할 수 있습니다.

이 툴은 △윈도우 7 △윈도우 8 △윈도우 8.1 △윈도우 10 △서버 2012 △서버 2016에 내장된 방화벽을 관리할 수 있습니다.

멀웨어바이츠의 마르친 클레친스키(Marcin Kleczynski) 최고경영자(CEO)는 비니소프트 기술을 통해 관리자들이 그룹 정책 개체 또는 기타 마이크로소프트 시스템으로 방화벽을 관리하지 않아도 되는 플랫폼이 구축됐다고 말했습니다.

EMV 도입 이후 사기 76%나 감소
비자(Visa)의 최신 보고서에 따르면, EMV 칩 카드가 사기 범죄를 줄이는 데 크게 기여한 것으로 나타났습니다. EMV는 칩 카드 개발사인 △유로페이(Europay) △마스터카드(MasterCard) △비자(Visa)를 줄여 일컫는 말입니다.

비자는 EMV 카드로 전환한 업체의 사기 피해 수준을 2015년 12월과 2017년 12월 두 시점에 놓고 비교해 봤을 때 무려 76%나 줄어든 것을 알 수 있었다고 밝혔습니다. 특히 비자는 EMV 카드가 위조 사기를 줄이는 데 매우 효과적이라고 짚었습니다. 위조 사기는 미국에서 가장 많이 발생하는 신용카드 사기 유형으로 알려져 있습니다.

2018년 3월까지 신용카드 거래 중 97%가 EMV 카드로 이뤄졌습니다. EMV 카드로 공식 전환이 시작된 이래, 2015년 9월 1억 5,900만 개의 EMV 칩 카드가 2018년 3월 4억 8,360만 개까지 증가했습니다. 비자는 290만 개 이상의 업체가 현재 EMV 카드를 도입하고 있는 중이라고 덧붙였습니다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>