[글로벌 뉴스 클리핑] “페이스북 영상 조심해요” 外

정보유출로 발생하는 비용 해마다 증가, 무시 못할 수준

보안업계의 인수합병은 계속해서 이루어져 - 시장 분위기 반영

정보보안에 대한 이야기가 오히려 너무 많아서 문제다?

[보안뉴스 문가용] 정보유출 되었다, 는 문장 혹은 헤드라인을 접하실 때 앞으로는 유출된 정보 1건당 대략 17만원의 손해가 있었구나, 라고 각주를 달아서 읽으시면 되겠습니다. 가장 최근 시세는 그렇다고 합니다. 100만건이 유출되었다? 그러면 17x100만, 즉 1천 7백만원의 손해가 발생한 겁니다. 그런데 사실 요즘 헤드라인 장식할 정도면 천만 단위 우습게 찍죠. 네, 손해가 이만저만이 아닙니다.

그래서인지 혹은 그럼에도 불구하고인지 어떤 것이 적절한 접속어인지 모르겠는데 아무튼 보안업계는 잘 자라고 있습니다. 오늘 나온 것만 수억 달러 인수합병 거래 소식이 세 건이나 있습니다. 미국 정부는 6월 1일의 도래가 정말 ‘일요일이 다 가는 소리’ 그 이상의 악몽처럼 느껴질 것 같습니다. 외부인으로서는 6월 1일 이후, 애국법의 공백기가 어떤 모양이 될지가 더 궁금한 게 사실이긴 합니다만. 그 외에 MS의 ‘개인 자유’를 위한 움직임이 눈에 띕니다. 검색 보호 기능이 이제 MS에서는 공식적으로 악성이 된다고 하는데, 이 역시 그 파장을 ‘구경’하고 싶어지는 소식입니다.

1. 정보유출 사고는 얼마일까?

영국 유출사고로 발생한 비용 2년 만에 7% 상승(Infosecurity Magazine)

포네몬 : 정보유출 사고는 건당 평균 154달러(CSOOnline)

정보유출 사고로 드는 비용 올라가고, 의료업계 가장 공격이 빈번하고(Security Week)

정보유출 사고로 드는 평균 비용은 6백5십만 달러(SC Magazine)

영국 조직들이 정보 유출사고를 겪을 때마다 들어가는 비용이 지난 2년 간 무려 7%나 증가했다는 조사결과가 나왔습니다. 이는 총 2백 37만 파운드에 해당하는 비용이며 건당 104 파운드라는 뜻이라고 합니다. 같은 조사를 두고 미국 매체는 건당 154 달러, 총 평균 6백 5십만 달러라고 보도했습니다.

친절하게 단위 환산을 해드린다면, 영국은 총 40억 3435만 6200원, 건당 17만 7천원, 미국은 평균 72억 590만원에 건당 17만 7천원입니다. 정보의 건당 피해액은 비슷한데, 규모에서 상당히 차이가 납니다. 아무튼 이게 갈수록 늘어간다는 건 공통입니다.

2. 각종 인수합병

팔로알토 네트웍스, 시로시큐어 인수(Security Week)

포티넷, 4천 4백만 달러에 메루네트웍스 인수(Security Week)

EMC, 12억불에 버추스트림 인수(SC Magazine)

팔로알토, 포티넷, EMC 등 보안 업계에서 꽤나 영향력을 발휘하는 기업들이 각각 시로시큐어(CirroSecure)라는 SaaS 전문 업체, 메루네트웍스(Merru Networks)라는 무선 네트워크 업체, 버추스트림(Virtustream)이라는 클라우드 제공업체를 인수했습니다. 확실히 보안업계를 큰 시각에서 보면 활기가 넘치긴 합니다.

3. 각종 패치

심포니, 인증 없이 접근 허용하는 취약점 패치(Security Week)

록웰, HMI 소프트웨어 내 약한 암호 보호 취약점 패치(Threat Post)

PHP 웹 애플리케이션 프레임워크인 심포니(Symfony)에서 보안 버그가 발생했습니다. CVE-2015-4050이고, 인증받지 않아도 접근이 가능해지는 취약점이었다고 하는데요, 다행히 패치가 되었다고 합니다. 인간-기계 인터페이스(HMI) 업체인 록웰(Rockwell)에서도 약한 암호 보호 시스템이 갖는 취약점을 패치했다고 합니다.

4. 정부들의 움직임

호주 정부, 사이버 보안 공유 전략 수립할 듯(The Register)

도대체 지금 뭐가 어떻게 돌아가는 거야? 자유법 폐지 그 이후(The Register)

자유법 혹은 약화된 애국법이 미국 내에서 큰 이슈입니다. 사실상 정부가 시민에 대한 감시 및 검열을 할 수 있느냐에 대한 문제인데 이를 미국 정부는 ‘국민을 보호할 수단이 없어진다’라고 보고 있고 반대편에서는 ‘시민의 자유가 침해받는다’라고 해석하고 있어서 첨예한 대립이 이루어지는 것이지요. 아무튼 국회에서는 이게 주말에 통과를 못했고 오바마 대통령은 6월 1일 만기가 되기 전에 대책을 강구하라고 강력하게 의원들을 밀어붙이고 있죠.

6월 1일까지 대체법이 마련되지 않으면 애국법은 자연 소멸되고 정책에 구멍 혹은 취약점이 생기는 거라 어마어마한 파장이 예상되고 있습니다. 조만간 이에 대한 의회의 투표가 다시 있을 것 같습니다. 한편 호주 정부는 민과 관이 함께 사이버 보안을 도모할 수 있는 백서를 계속해서 발간 중에 있습니다. 올해 중반까지도 전략 가이드 및 리뷰가 나올 거라고 합니다. 호주의 접근 방식과 미국의 접근 방식에서 보이는 차이가 흥미롭네요.

5. 여러 취약점 및 악성 징후

도커 허브 사용자, 러시안 룰렛 게임 중인 것과 다를 바 없어(The Register)

페이스북에서 가짜 영상 플레이어 통해 멀웨어 번져(SC Magazine)

새로운 랜섬웨어 패밀리인 락커에서 슬리퍼 기능 발견(SC Magazine)

깃허브(GitHub)와 비슷한 서비스로 도커 허브(Docker Hub)라는 게 있습니다. 그런데 이 서비스에는 하트블리드, 푸들, 쉘쇼크 등의 취약점이 산재해있어 이 서비스를 이용하는 건 총알 많이 든 총으로 러시안 룰렛 하는 것과 다를 바 없다는 기사가 보도되었습니다. 페이스북에서는 크롬 플레이어인 것처럼 위장한 멀웨어가 돌아다니고 있다는 사실이 감지되었으며 락커(Locker)라는 새로운 유형의 랜섬웨어가 보도되기도 했습니다.

이 락커 랜섬웨어가 특이한 건 돈이 지급될 때까지 파일을 암호화시켜버리는 게 아니라 해당 시스템을 아예 ‘슬립 모드’로 강제시킨다는 겁니다. 파일에서 전체 시스템으로 옮겨가는 거 보면 조만간 네트워크 전체를 감염시키는 게 나올지도 모르겠다는 생각이 듭니다.

6. 기타

영국, 아이덴티티 사기 5% 증가(Infosecurity Magazine)

MS 멀웨어 프로텍션 센터, 이제부터 검색보호 기능을 악성으로 판단한다(Threat Post)

정보보안이 자꾸 실패하는 이유 : 경보가 너무 많아서(CU Infosecurity)

영국에서의 온라인 사기, 특히 아이덴티티 사기가 1년 새 5%나 증가했다고 합니다. 여러 개인정보를 훔쳐 마치 자기가 피해자인냥 계정을 새롭게 만들어서 추가적인 범죄를 저지르는 수법이 특히 많다고 합니다.

또 일부 소프트웨어에는 검색 보호(search protection) 기능이란 게 있는데요, MS의 멀웨어 프로텍션 센터(Malware Protection Center)에서는 앞으로 이 기능을 ‘악성’으로 판단하겠다고 발표했습니다. 검색 보호는 사용자가 브라우저와 검색 기능을 자유롭게 바꾸지 못하도록 막아주는 기능을 하는데요, 제조사에 따라 이 기능을 활용해 언인스톨도 못하게 해놓는 경우가 왕왕 발생했다고 합니다.

또한 요즘 계속 문제가 되고 있는 플러그인에 대한 통제도 이 기능을 통해 강제할 수 있다고도 합니다. 즉 MS의 움직임은 사용자에게 완벽한 자유를 허가한다는 방향으로 보입니다. 윈도우 10의 슬로건인 ‘모두를 위한 게 아니라 각자를 위한 윈도우’가 생각납니다.

그리고 보안에 대한 강조, 경보, 경고가 너무 범람해서 사람들이 오히려 전혀 정보보안 사건들에 개의치 않게 되었다는 칼럼이 있어 제목을 따왔습니다. 이런 지적 사실 작년부터 계속 있었는데요, ‘너무 많아도 문제, 없어도 문제’라는 말이 떠오릅니다.

[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)