백악관 전 CIO와 스토커웨어 대항 단체, “기술이 사람보다 앞설 수 없어”
미국 입법부, “미국 시민 개인정보는 미국의 영토 내에서만 저장해야 한다”

[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 11월 넷째 주 동안 일어났던 사건들의 본질을 꿰뚫는 전문가와 종사자들의 말을 간략하게 모아 정리했다.


“독일에서 발견된 타이포스쿼팅 공격용 도메인들의 85%는 정상 인증서를 렛츠인크립트에서 발급받았습니다.”
무료 인증서 서비스가 가진 취약점에 대해, 베나피(Venafi)

“아무래도 현대의 이메일 게이트웨이에서 오래된 확장자나 아카이브를 잘 탐지하지 못하기를 바란 것 아닐까 합니다. 실제 ARJ와 같이 예전 확장자를 탐지하지 않는 이메일 보안 프로그램도 있습니다.”
오랜만에 공격자들의 무기로 등장한 ARJ 파일에 대해, 탈로스의 보안 전문가인 홀거 운터브링크(Holger Unterbrink)

“영국항공의 천문학적인 손해가 하나의 자바스크립트 취약점 하나 때문에 발생한 겁니다. 이 취약점은 버그바운티 시장에서 통상 5천~1만 달러 정도에 거래될 수 있는 것입니다.”
미리 취약점을 제대로 해결하는 게 비용 절감면에서 얼마나 되는지 아느냐며, 사이낵의 제품 마케팅 책임자인 앤마리 춘 윗(Anne-Marie Chun Witt)

“디즈니플러스처럼 소비자들의 기대와 관심이 한꺼번에 쏠리는 서비스가 런칭됐을 때 해커들이 고객들 사이에 섞여드는 건 자연스러운 일입니다.”
해커원(HackerOne)의 기술 프로그램 관리자인 니엘즈 슈바이스헬름(Niels Schweisshelm)

“공식 설명서가 없기 때문에 ‘윈도우 헬로 포 비즈니스(WHfB)’가 일종의 블랙박스와 같은 존재로서 자리하고 있습니다. 관리자, 보안 감사자, 침투 테스터 등 아무도 그 안을 들여다볼 수 없는 겁니다.”
공식 제조사의 매뉴얼이 불충분한 문제에 대하여, IT 보안 전문가인 마이클 그라프네터(Michael Grafnetter)

“71%의 조직들이 스스로 보유하고 있는 인증서와 키의 수를 모르고 있다고 합니다. 암호화 알고리즘의 업그레이드에 빠르게 대응할 수 있는 PKI 관리 체제가 필요합니다.”
빠르게 다가오는 양자 컴퓨터 시대를 경고하며, 케빈 본 키설링(Kevin von Keyserling), Keyfactor

“기술적으로도 피해자를 돕는 게 가능하지만 그것만으로는 불충분합니다. 사람 대 사람으로 다가갈 필요도 있습니다. 남모를 공격을 받아온 피해자들을 도와주는 게 먼저고, 그 다음이 스토커웨어 자체와 싸우는 것이 될 것입니다.”
멀웨어바이츠의 부회장인 모린 커티스(Maureen Curtis)

“공격용 가짜 앱만 잘 만든다면 공격자가 항상 누군가를 염탐할 수 있다는 겁니다.”
구글과 삼성의 스마트폰에 있는 디폴트 카메라 앱의 위험성에 대해, 보안 업체 체크막스(Checkmarx)

“사이보그(Cyborg)가 서비스형 랜섬웨어로서 공격자들 사이에 배포되고 있다는 증거는 아직 나오지 않았습니다. 다만 깃허브에 호스팅 되어 있어 누구나 사용할 수 있도록 되어 있다는 것에서 서비스형 멀웨어의 느낌이 물씬 풍깁니다.”
새롭게 등장한 랜섬웨어를 분석하며, 보안 업체 트러스트웨이브(Trustwave)

“MaaS의 가장 큰 장점은 기술적으로 부족한 자들도 사이버 범죄에 뛰어들 수 있게 해준다는 것입니다. 따라서 수요가 높죠. 2020년이 되면 MaaS 시장이 더 커질 것입니다.”
‘서비스형 멀웨어’ 시장의 성장 가능성에 대해 우려하며, 보안 업체 사이버리즌(Cybereason)에 소속된 연구 팀인 녹터너스(Nocturnus)

“무래나(Muraena)와 네크로브라우저(NecroBrowser) 등이 특히 요즘 많이 사용되고 있습니다. 공격을 자동화시켜주는 툴들과 합해져서요. 그렇기에 앞으로 다중 인증을 뚫어내려는 공격이 보다 과감하게, 자주 일어날 것으로 예상됩니다.”
다중인증 방어 시스템이 자꾸만 뚫리는 것에 대하여, FBI

“18개월이 지나서야 문제에 대해 세부적으로 공개한 건, ‘사용자들에게 패치할 수 있을 만한 충분한 시간을 줘야 한다’는 오라클에 의견에 동의했기 때문입니다.”
사정에 따라 달라질 수 있는 패치 발표와 적용 시기에 대해, 오냅시스의 CTO인 후안페레즈 엣체고옌(Juan-Perez Etchegoyen)

“편리하고 빠르며, 최첨단 기술이 안전하게 탑재되어 있는 모바일 근무 환경은 백악관 스태프들이 아니더라도 누구나 원하는 것이죠. 그 책임은 IT와 보안 부서가 전부 떠안고 있기도 하고요. 하지만 그렇기 때문에 보안을 사람 중심으로 생각하는 걸 잊어버렸습니다. 그러니 기억하기도 힘들 정도로 어려운 비밀번호를 설정하라고 매번 설교하는 것이죠. 누가 이 말을 새겨 들을까요?”
전 백악관 CIO인 테레사 페이턴(Theresa Payton)

“구글과 페이스북은 자신들의 서비스를 이용하려면 반드시 개인정보를 포기하도록 유도하고 있으며, 사용자들은 파우스트식 거래를 할 수밖에 없는 상황입니다.”
구글과 페이스북을 인권 침해 조직이라고 부르며, 국제사면위원회

“사회 기반 시설을 마비시키거나 정부 및 군의 주요 요소들을 타격하기 위한 공격을 실시할 때 다크웹을 많이 활용하는 것처럼 보였습니다. 이런 공격의 경우 정체가 발각되면 심각한 외교 문제가 생길 수 있기 때문에, 다크웹에서 흔히 유통되는 도구를 활용함으로써 정체를 감추려는 것이죠. 게다가 요즘 다크웹 도구들은 NSA와 CIA에서 유출된 것들을 기본 바탕으로 하고 있어서 기능도 부족하지 않고요.”
다크웹의 위험성과 높아지는 이용성에 대하여, 다크아울의 부회장인 앤드류 류만(Andrew Lewman)

“미국에 거주하고 있는 시민들의 개인정보와 데이터 복호화에 필요한 정보는 미국이라는 나라의 바깥에 있는 지역에 마련된 서버나 저장소, 저장 장치에 절대로 저장될 수 없습니다. 다만 미국과 데이터 공유 협약을 맺은 나라라면 적법한 절차를 통해 저장할 수 있습니다.”
미국 입법부

“BEC 공격이 가장 많이 일어나는 건 주초 아침 9시 부근”
바라쿠다 네트웍스(Barracuda Networks)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>