[글로벌 뉴스 클리핑] “애플의 XARA 취약점” 外

애플 운영체제와 산업용 스위치 제품, 풍력발전 HMI서 취약점 발견

전화사기 늘어나고 있고 독일 하원은 또 다시 해킹 당해

[보안뉴스 문가용] 취약점과 사고는 끝도 없이 일어납니다. 정보를 사이에 둔 정부와 일반 시민들의 싸움도 끝이 없습니다. 얼마 전 구글에서 마그나카르타 800주년 애니메이션을 올려 재미있게 봤는데, 영국 도서관에서는 정부의 감시에 대항하고자 하는 디지털 마그나카르타를 발표했고, 시민 단체인 렛츠크립트에서는 암호화 통신을 권장하고자 무료 SSL/TLS 인증서를 다음 달 내로 발표할 것이라고 합니다.

▲ 설마 ‘XARA’라서 ‘자라’ 그림을 붙인 건 아니겠지.

독일 하원에서는 또 다시 해킹 사고가 발생했고 이제는 한물 간 사기 수법인 줄 알았던 통화사기 혹은 전화사기는 오히려 30%나 증가했습니다. 드론 때문에 항공보안 업계도 긴장하고 있는 가운데, 출판사는 피싱 공격으로 어마어마한 돈을 손해 봤습니다.

1. 주요 취약점들 발견

iOS와 OS X에서 암호 훔치는 Xara 취약점 발견(Threat Post)

가렛콤 매그넘에서 몇몇 취약점 발견(Security Week)

RLE 풍력발전 터빈의 HMI에서도 위협요소 발견(Threat Post)

인디아나 대학의 연구원들이 애플의 주요 OS에서 취약점을 발견했습니다. 앱과 앱 사이의 권한인증이 약한 데서부터 발생한 취약점이라고 하는데요, 이름은 자라(XARA) 혹은 사라라고 붙였습니다. 이 취약점을 악용하면 앱에 저장되어 있는 민감한 정보를 훔칠 수 있게 된다고 합니다.

가렛콤(GarrettCom)이라는 회사에서 만드는 제품인 매그넘(Magnum) 6K와 10K에서 취약점이 발견되었습니다. 인력 투입이 곤란한 산업 현장에 들어가는 스위치 계열 제품으로 국방, 수력, 에너지, 교통 산업에 많이 사용되고 있습니다. CVE-2015-3959, CVE-2015-3960 등의 취약점을 가렛콤은 펌웨어 업데이트를 통해 해결하기에 나섰습니다.

지난 주 제레스(XZERES)라는 회사의 풍력발전기 소프트웨어에서 취약점이 발견되었는데요, 이번에는 RLE 인터네셔널이라는 독일 회사가 만드는 터빈 HMI에서 취약점이 발견되었습니다. 이를 처음 발견한 연구원이 RLE 측에 사실을 통보했으나 아직 회사 측은 어떤 답변도 하지 않고 있다고 합니다.

2. 주요 국가 정부 관련

OPM 유출사고, 2014년 12월부터 시작됐다(Threat Post)

영국 도서관, 디지털 마그나카르타 발간(The Register)

독일 하원, 두 번째 침임 허용(The Register)

텍사스 주민 6천여명의 의료정보 유출(Security Infowatch)

미국 인사관리처(OPM)에서 발생한 유출사고 수사가 계속 진행되고 있습니다. 최근엔 이 사고가 작년 12월부터 일어난 것이라는 것이 드러났다고 하는데요, 뉴욕 타임즈는 ‘오래전부터 해결하지 못한 채 쌓아오기만한 문제들이 터진 것’이라며 ‘이는 총체적 난국’이라고 표현했습니다.

며칠 전이 영국 대헌장인 마그나카르타 탄생 800주년이었죠. 영국 도서관에서는 이를 기념하여 이의 디지털 버전인 디지털 마그나카르타를 발표했습니다. 마그나카르타가 왕이라는 개인이 가진 권력을 성문화된 법으로 옮겨오는 데 큰 기여를 한 것처럼 디지털 마그나카르타도 비슷한 목적을 가지고 만들어졌다고 합니다.

독일 하원에서는 두 번째 해킹 사태가 발발했습니다. 이번에는 온라인 뱅킹 트로이목마인 스왓뱅커(Swatbanker)라는 멀웨어가 주인공이라고 합니다. 현재는 이번 공격이 지난 번 공격과 관련이 있는지를 파악 중에 있습니다.

3. 요즘 시대에 전화로 사기라니

기업들 대상으로 한 전화사기 30% 늘어(Security Week)

전화 사기 30% 증가(CSOOnline)

신기한 일이죠. 요즘 같은 시대에 아직도 전화 사기가 늘어나고 있다니요. 특히 금융 분야의 소비자들을 노리는 사기가 급증했다고 합니다. 신용카드 회사인 척 전화를 거는 경우가 많고 기술지원 서비스 직원인냥 가장하는 경우도 많다고 합니다. 이는 VoIP 때문에 나타나는 현상이라고 분석하고 있습니다.

4. 기업들 소식

유럽 기업들의 가장 큰 적은 권한을 가진 사용자들(Infosecurity Magazine)

보니어 퍼블리케이션, 피싱 공격으로 1백5십만 달러 손실(SC Magazine)

링크드인 버그바운티 공개(Threat Post)

유럽 일반 기업에서는 권한이 높은 사용자가 가장 큰 리스크 요인이기도 하다는 연구 결과가 나왔습니다. 아직도 보안의식이 낮다는, 우리가 다 아는 것과 같은 맥락의 결과라고 볼 수 있습니다. 한편 잡지 출판을 주력으로 하는 보니어 퍼블리케이션이 피싱 공격으로 1백 5십만 달러의 손해를 봤다고 합니다. 표절로 타격입은 것보다는 나아보이네요. 한편 유명 SNS인 링크드인(LinkedIn)에서는 새로운 버그바운티를 공개했습니다.

5. 시장과 업계 소식

비행기 해킹, 계속되는 진화(Security Week)

무료 SSL/TLS 인증서 프로젝트, 완료 시점 다가온다(CSOOnline)

항공보안이 계속해서 위태롭습니다. 이쪽을 노리는 해커들이 계속해서 등장하고 있고, 그래서 정보보안 전문가들 역시 항공보안을 계속해서 연구하고 있다고 합니다. 특히 드론 산업이 부상함에 따라 공중에 떠다니는 드론과 드론으로의 통신이 비행코스를 방해할 우려가 높아져서 항공보안은 더더욱 경계해야 할 것이 늘어난 상황입니다.

렛츠인크립트(Let's Encrypt)라는 프로젝트에 대해 알고 계시나요? 트래픽의 암호화를 늘린다는 목적을 가진 프로젝트인데요, 그 일환으로 무료로 SSL/TLS 인증서를 발급하기 위한 작업을 진행 중이었습니다. 그 첫 성과물인 무료 인증서가 다음 달 내로 나온다고 합니다. 각국의 정부들은 암호화를 약화시키거나 없애자고 하고 있고, 시민단체들은 암호화를 더없이 원하고 있습니다. 이 싸움의 끝은 어디일까요.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)