[글로벌 뉴스 클리핑] “경제 좀 아는 범죄인” 外

오늘의 키워드 : 월 스트리트, FBI, 화이트리스트, XSS, POS

해커들 똑똑해지고, 프라이버시와 국가기관의 논쟁 이어져

XSS 취약점 두 가지와 POS 멀웨어 두 가지

[보안뉴스 문가용] 사회를 구성하고 지탱하는 여러 요소 중 가장 큰 힘을 가지고 있는 건 무엇일까요? 여러 답들 가운데 ‘경제’가 당연히 있을 겁니다. 한창 활동하고 있는 해커들 대부분이 바로 나름의 ‘경제 활동’을 하고 있는 것인데요, 여태까지는 일반인들의 호주머니나 기업의 금고를 노렸다면 이제는 주식 시장에까지 진출하는 모양새입니다. FIN4라고 알려진 해킹 그룹에서 M&A 관련 정보 등 경제 구조와 월 스트리트 내부 정보를 잘 알지 않으면 이해하기 힘든 정보를 노린 정황이 발견되었거든요. 어제는 멀웨어의 모국어가 늘어난다는 소식이 있더니 이제는 경제에 대한 이해도 탑재한 나쁜 놈들이 나오고 있습니다.

한편 FBI는 아직 프라이버시 문제에 대해 할 말이 있나봅니다. 동화 주인공과 거의 동급일 정도로 옛날에 살았던 인물, 조지 워싱턴이 서명하고 통과시킨 법안까지 들고 와 애플과 구글의 암호화 정책을 강력하게 반대하고 나섰습니다. 양심적 병영 거부의 이유로 난민 신청을 해 외국으로 터전을 옮긴 한 젊은이의 인터뷰가 한때 화제가 되면서 ‘개인의 자유 vs. 국가가 부여하는 의무’에 대한 논의가 한창 일었던 것이 생각나는 건, 프라이버시라는 개인의 영역에 어느 정도 발을 들이고 싶어 하는 FBI의 주장이 ‘국가가 국민을 제대로 지키기 위해서’이기 때문일 겁니다. 그런 와중에 범죄인들은 또 다른 멀웨어를 시장에 들여왔고, 이는 한 연구가의 오랜 정성이 담겨있는 화이트리스트와 대조됩니다.

1. 사이버 범죄 단체 월 스트리트 내부 정보 노려(Threat Post)

http://threatpost.com/cybercrime-group-preys-on-wall-street-insider-information/109639

FIN4, 주식 시장 이윤 노리는 공격 감행(Security Week)

http://www.securityweek.com/fin4-attack-group-targets-firms-stock-market-profit

금융 업계를 노리는 해킹팀의 흔적이 발견되었습니다. 그런데 이번엔 고객의 개인정보나 카드정보가 아니라 기업들의 M&A 정보를 수집하고 있는 것으로 보입니다. 목표가 된 회사 고위층, 외부 고문, 법 자문위원, 연구원 등의 이메일 계정을 노리는 피싱 캠페인을 벌여 로그인 정보를 확보한다고 하는데요, 이렇게 접근하여 M&A 정보를 탈취하는 이유는 주식 시장의 변동을 빠르게 예측하기 위해서일 가능성이 높다고 합니다. 이는 이 해커들이 월 스트리트의 주식 시장을 잘 이해하고 있다는 것의 반증이라고 하네요. 우리나라도 ‘증권가 찌라시’라고 해서 각종 소문의 근원이 되는 게 있는데요, 돈이 몰리는 곳에서 나오는 소문이 다 맞지는 않아도 상당히 잘 들어맞는 건 세계 공통인가 봅니다. M&A 소식마저 이제 해커들의 타깃이 된다면 영화에서 나온 것처럼 좀도둑 같이 살던 해커를 고용해 고급 정보전 용병으로 활용하는 것도 불가능해 보이지는 않습니다. 해커들이 노리는 정보가 점점 고급 정보가 되어간다는 것에 주목할 필요가 있어 보입니다.

2. FBI, 1789년에 제정된 법안 근거 삼아 애플, 구글 암호화 비판(The Register)

http://www.theregister.co.uk/2014/12/01/feds_turn_to_1789_law_to_force_smartphone_makers_to_decrypt_handsets/

구글도 그렇지만 특히 애플이 암호화에 대한 강력한 의지를 선보였고, 이는 그들의 신제품에 그대로 반영되었습니다. FBI가 이에 반대하고 나선 것은 유명하죠. 최근 FBI는 1789년에 조지 워싱턴 미국 초대 대통령이 서명한 아주 오래된 법인 All Writs Act(모든 영장 법)까지 인용하며 암호화 해제를 요청했다고 합니다. 이 법은 20세기에 시대에 맞춰 다음과 같이 개정된 적이 있습니다. “법의 원칙 및 해석과 일치하고 영장마다 내포하고 있는 사법권을 보조하기 위해 필요하거나 적절한 모든 영장을 발부한다.”

카톡 사태가 터졌을 때 한 학회에서 우리나라의 영장 관련 정책이 문제라는 이야기가 나왔는데, 프라이버시냐 국가 안보냐의 대립에서 영장의 본질 혹은 그 활용이 주목을 받고 있는 듯 합니다. 아마도 영장이 국가가 가진 권력의 가장 가시적인 요소라서 그런 것일까요.

3. 한 보안전문가, ICS 및 SCADA 파일 화이트리스트 목록 공개(Threat Post)

http://threatpost.com/researcher-releases-database-of-known-good-ics-and-scada-files/109652

보안 전문가 ICS 및 SCADA 파일의 화이트리스트 작성해(Security Week)

http://www.securityweek.com/security-researcher-creates-database-whitelisted-icsscada-files

지난 주에 산업 제어 시스템(ICS)과 SCADA에 취약점이 발견되었다는 소식이 있었죠? 일반 사용자는 자주 접하기 힘든 산업 시스템에서도 해커들이 들락날락 하는데, 리오스(Rios)라는 한 보안전문가가 ICS 및 SCADA 소프트웨어 환경에서 사용되는 ‘안전한 파일’ 목록을 만들어 공개한 것이 화제가 되고 있습니다. 일명 화이트리스트 작업을 한 것이죠. 그런데 이 화이트리스트에 들어있는 파일 개수가 35만 개에 달한다고 합니다. 이것만 해도 한 사람이 작업하기 힘들 정도로 엄청난 분량이고, 이 작업에 5년이 걸렸다고 합니다. 하지만 이는 아직 더 나올 화이트리스트의 절반도 안 된다고 합니다. 2015년 1분기말까지 5백만 개의 파일 목록을 올린다고 하네요. 리오스는 소프트웨어 제작 업체에서 화이트리스트를 만들어 사용자들이 멀웨어에 대처할 수 있도록 해야 한다고 주장하고 있습니다.

4. 박사 학위 과정 학생, Weather.com에서 XSS 취약점 발견(SC Magazine)

http://www.scmagazine.com/the-weather-channels-website-found-vulnerable-to-xss-attacks/article/386010/

일기예보 사이트에서 XSS 취약점 발견(The Register)

http://www.theregister.co.uk/2014/12/01/weather_channel_forecast_bleak_with_a_chance_of_xss/

싱가포르에 거주 중인 한 박사과정 학생이 웨더채널의 웹 사이트에서 심각한 XSS 오류를 발견했습니다. 사이트의 URL 끝에 스크립트만 추가하면 사이트에 걸린 링크의 75%를 우회시킬 수 있게 되는 취약점인데요, 왜 이 날씨 사이트의 취약점이 심각한 문제냐면 드루팔(Drupal)을 바탕으로 제작된 웹 사이트 중 전 세계에서 가장 많은 트래픽을 보유한 사이트이기 때문입니다. 각종 날씨, 태풍, 쓰나미에 관한 정보를 얻으러 세계 전역의 사람들이 방문하는 곳이 바로 이 웨더닷컴입니다. 미리 발견되어서 다행입니다.

5. 알카텔루슨트 스위치에서 XSS 취약점 발견되었으나 패치 계획 없어(Security Week)

http://www.securityweek.com/xss-vulnerability-found-alcatel-lucent-carrier-grade-switches

2013년에 한국에도 들어온 1830 광전송 서비스 스위치에서 XSS 취약점이 발견되었습니다. 주로 통신망 장비 회사에서 네트워크를 관리하는 데 쓰는 제품인데요 6.0 이하 버전의 관리 인터페이스에서 CVE-2014-3809 취약점이 나타나는 걸로 보고가 되었습니다. 이 취약점을 활용하면 사용자 계정 탈취 없이 정상 사용자과 똑같이 로그인을 할 수 있거나 혹은 다른 사이트로 사용자를 우회시킬 수 있게 한다고 합니다. 그런데 알카텔루슨트 측에서는 이 취약점이 심각하지 않다고 판단했으며, 당분감 패치를 하지 않을 계획이라고 했습니다. 위에서도 XSS 취약점이 발견된 뉴스가 있어서 추가해 보았습니다.

6. 새로운 POS 멀웨어 두 가지 중 하나, 데어데빌(The Register)

http://www.theregister.co.uk/2014/12/01/dare_devil_malware_targets_kiosks_transport_systems/

아직 베타테스트 중인 듯 한 멀웨어(SC Magazine)

http://www.scmagazine.com/new-pos-malware-appears-to-be-in-beta-testing-phase/article/386001/

사이버범죄 조직, 새로운 POS 멀웨어 시험 중(Security Week)

http://www.securityweek.com/cybercriminals-testing-new-pos-malware-poslogr

금융 및 결제 시장을 노리는 멀웨어 두 가지가 발견되었다는 소식입니다. 하나의 이름은 데어데빌인데요 최근 이탈리아의 기차역 매점과 호주 사업체에서 발견되었습니다. 결제 플랫폼 중 퀵북스(QuickBooks), OSIPOS, 제미니(Gemini)가 오염된 것으로 드러났는데, 이 플랫폼들을 활용한 POS 시스템이 앞으로 계속 뚫릴 가능성이 높다고 전문가들은 경고하고 있습니다.

또한 트렌드 마이크로에서는 TSPY_POSLOGR.K.라는 멀웨어를 발견했습니다. 테스트 중인 것으로 보이는 듯하며 디버그 정보와 아직 식별이 불가능한 C&C 기능도 가지고 있다고 합니다. 이 테스트가 언제 끝나며 완제품이 언제 출시될 지 예측이 전혀 불가능하기 때문에 POS에 새로운 걱정거리가 하나 예고된 셈입니다.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)