세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[8.11 보안 WITS] 데프콘에서 방어 툴 공개한 직원은? 해고!
  |  입력 : 2017-08-11 07:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
쿠바 주재 대사관 직원들, 원인 모를 두통과 청력 이상 호소
우루과이 고등학생, ‘우연히 발견한’ 취약점으로 1만 달러 벌어


[보안뉴스 문가용 기자] 트럼프와 김정은의 기 싸움이 계속 이어지고 있는 가운데 어느 뉴스 사이트를 가 봐도 북한이 계속해서 ‘탑 뉴스’에 머물러 있습니다. 그 다음은 케냐의 대선입니다. 야당과 여당 지지자들의 시위 속에서 인명 피해가 발생하고 있습니다. 한편 SNS에서 온갖 협박 범죄를 저지른 자를 FBI가 멀웨어를 사용해 체포했다고 하는데요, 영장까지 발부 받아서 진행한 수사라도 멀웨어를 사용하면 안 되는 걸까요? 복잡한 문제입니다. 한편 도구의 오픈소스화를 두고 사측과 엇갈린 주장을 해오던 직원 두 명이 해고당하기도 했습니다.

[이미지 = iclickart]


세계 소식
여전히 북한이 세계의 가장 큰 뉴스입니다. 북한은 괌에 대한 미사일 타격 계획을 곧 수립할 것이라고 발표했습니다. 이에 대한민국은 북한에 세계에 대한 도발을 멈추라고 촉구했고 일본의 국방부 장관은 괌을 방어할 준비를 갖췄다고 발표했습니다. 핵 미사일을 북한이 날린다고 하더라도 일본이 이지스 방어 시스템으로 중간에 요격할 수 있다고 합니다. 중국은 남중국해에서 ‘항행의 자유’를 실천하며 중국의 인공섬 근처까지 간 미국의 구축함이 중국의 안보를 위협한다고 강력하게 비판했습니다. 똥 묻은 개, 겨 묻은 개 등등이 생각납니다.

케냐가 얼마간은 대선 후유증에 시달릴 전망입니다. 야당 후보 오딩가(Odinga)가 선거 패배를 인정하지 않고, “누군가 해킹했다”고 주장하자 유혈 사태가 촉발되었는데요, 급기야 야당은 오딩가가 대통령이 되었음을 선포해야 한다고 목소리를 높이고 있습니다. 하지만 이번 선거를 참관한 국제 기관인 유럽연합, 아프리카연합, 커먼웰스 등은 선거 결과에 문제가 없다고 합니다. 해킹 수사는 계속해서 진행 중입니다.

한편 미국의 지원을 받고 있고 쿠르드족이 이끌고 있는 시리아 민주군(SDF)은 나즐랏 쉐하데(Nazlat Shehadeh) 지역 부근에서 ISIS 소속 테러리스트 29명을 사살하고 264명의 민간인을 해방시켰습니다. 이런 ‘군사력 지원 외교’에 일본도 최근 참여했다는 로이터 단독 보도가 있었습니다. 일본이 필리핀에 헬리콥터 부품을 지원해주고 있다는 겁니다. 필리핀은 현재 마약과의 전쟁, 일부 무장 테러세력과의 전쟁을 치루면서 남중국해를 둘러싸고 중국과의 마찰을 빚고 있는 중입니다.

독일과 프랑스가 구글, 애플 등 미국의 거대한 기술 기업들에 대한 세금 압박을 거세게 가할 것으로 보입니다. 유럽이 미국 기업에 악감정을 가지고 있기보다는, 구글, 애플, 페이스북, 아마존 등이 유럽에서 세금이 낮은 지역을 기반으로 활동하는 등 교묘하게 ‘불공정 행위’를 하는 바람에 여러 정부의 골칫거리인 것이 맞습니다. 우리나라에서도 이들 기업들에 세금을 걷는 문제가 심심찮게 신문에 나죠. 오죽하면 ‘구글세’, ‘애플세’라는 말이 나왔을까요.

쿠바에서는 무슨 일이 일어나고 있는 걸까요? 쿠바에 주재하고 있는 미국 대사관 직원들 일부가 두통과 청력 이상을 호소해 현재 원인을 밝히고 있는 가운데, 캐나다 대사관에서도 비슷한 일이 발생했습니다. 캐나다 대사관 직원의 경우 가족들까지도 비슷한 증상을 겪고 있다고 합니다. 미국과 캐나다는 특정 음파를 발사하는 기기가 연루되었을 것이라고 보고 수사를 벌이고 있지만 딱히 증거를 찾아내지는 못하고 있습니다. 그런데 미국은 이 일을 빌미로 미국에 주재하고 있는 쿠바 외교관들을 추방시켰습니다. 트럼프 행정부의 결단이 너무 빨라서, ‘화염과 분노’도 성급히 쏟아지지 않을까 걱정됩니다.

보안 소식
버그바운티 소식이 두 개나 있습니다. 구글은 자사의 앱 엔진(App Engine) 서버에서 취약점을 발견한 우루과이의 고등학생인 에제키엘 페레이라(Ezequiel Pereira)에게 1만 달러를 지급했습니다. 페레이라는 보안 전문가가 되고 싶은 꿈을 가진 학생이라고 합니다. 이게 다른 보안 전문가 꿈나무들에게 희망적인 건 페레이라가 엄청난 고도의 기술력과 천재성을 바탕으로 앱 엔진을 침해한 게 아니라, 서버로 보내는 요청의 호스트 헤더를 계속 바꿔가면서 찔러보다가 우연히 이 취약점을 발견한 것이라고 합니다.

미국의 공군에서 진행한 버그바운티도 성공적으로 마무리 되었다고 합니다. 미국, 영국, 캐나다, 호주, 뉴질랜드 등에서 총 272명의 보안 전문가들이 참여했고, 207개의 취약점을 발견했습니다. 취약점 1호는 버그바운티가 시작되자마자 1분도 안 돼 보고되기도 했습니다. 총 13만 달러의 상금이 지출됐습니다. 그리고 272명의 전문가들 중 두 명은 아예 해군 측에서 스카우트 했다고 합니다.

여러 소셜 미디어 계정을 만든 후에, 토르 네트워크를 통해 다수의 인물들에게 폭발물을 사용하겠다거나, 상해를 입히겠다고 협박을 하고, 아동 포르노 영상을 보낸 후 해당 영상을 소지한 것에 대해 신고를 하겠다고 협박을 주기적으로 가한 26세의 청년이 FBI에 체포되었습니다. 그런데 수사 과정에서 FBI가 멀웨어를 사용했다는 문제가 제기되었습니다. 범인과 피해자 한 명만이 알고 있는 드롭박스 계정에 멀웨어가 삽입된 동영상 파일을 올려놓고, 범인이 이를 다운로드 받자 추적을 했다는 겁니다. 물론 이 영상은 음란물은 아니었고, FBI도 법원의 허가를 받은 상태에서 한 일이라고 합니다.

세일즈포스(Salesforce)는 자사 보안 담당자 두 명을 해고했습니다. 이유는 데프콘(DEF CON)에 연사로 참여했기 때문입니다. 물론 강연을 했다는 것 자체가 해고 이유는 아니고, 강연 내용이 문제입니다. 이 두 전문가는 세일즈포스 내부에서 IT 방어를 위해 사용하는 툴을 상세하게 공개했다고 합니다. 공식 ‘해커들을 위한 행사’에서 방어 체계를 완전 공개했다니, 무슨 생각이었을까요. 이 두 전문가는 해당 툴이 너무 좋아서 오픈소스로 만들고 싶어했는데, 세일즈포스 측은 이 생각에 반대해왔다고 합니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#전쟁   #난리   #소문   #해고   #FBI   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)