세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[9월 2주 뉴스쌈] 에퀴팩스 CIO·CSO 해임, 무슨 의미 있나
  |  입력 : 2017-09-16 19:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에퀴팩스 사태, 아파치 스트러츠 취약점, 미국 사이버 보안 위원회
매년 40%씩 증가하는 모바일 공격, 앱 다운로드로 터키인 75,000명 체포


[보안뉴스 오다인 기자] 블루투스 취약점 ‘블루본(BlueBorne)’을 둘러싸고 세계가 들썩였던 9월 2주였습니다. 에퀴팩스는 상황 개선에 대한 의지조차 의심되는 상황입니다. 정보 및 보안 책임자 두 사람을 해고하는 것으로 사태를 전환시키기는 역부족일 것 같습니다.

이번 주 뉴스쌈은 에퀴팩스가 저지른 가장 큰 실수 다섯 가지와 함께 아파치 스트러츠 취약점 패치로 바빠진 기업, 러시아 게이트와 관련한 미국 국회의 사이버 보안 위원회 설립, ‘지갑이 된 스마트폰’에 몰려드는 사이버 범죄자들, 암호화 메신저를 다운로드 했다는 이유로 체포된 터키 시민들의 이야기를 모았습니다.

[이미지=iclickart]


에퀴팩스 CIO·CSO 해임과 다섯 가지 실수
에퀴팩스가 15일 최고정보책임자(CIO)와 최고보안책임자(CSO)를 해임(retire)했다고 밝혔습니다. 에퀴팩스는 이들의 이름을 발표문에 명시하진 않았으나 에퀴팩스 웹사이트에 CIO로 데이비드 웹(David Webb)이, CSO로 수잔 몰딘(Susan Mauldin)이 등록돼 있습니다.

웹은 2010년부터, 몰딘은 2013년부터 에퀴팩스에서 일했습니다. 웹의 후임으로 마크 로흐바서(Mark Rohrwasser)가 임시 CIO로, 몰딘의 후임으로 러스 아이어스(Russ Ayres)가 CSO로 임명됐습니다. 로흐바서는 에퀴팩스의 해외 영업 부문을 맡아왔으며 아이어스는 IT 부문 부사장이었습니다.

그러나 CIO와 CSO를 바꾼다 한들 이미 유출된 1억4,300만 명의 개인정보를 주워 담을 수 없는 법. 지금 와서 “아! 그때 아파치 스트러츠 취약점을 패치했어야 했는데!”라고 후회하더라도 아무런 소용없겠죠. 미국 연방거래위원회(FTC)가 에퀴팩스를 공식 수사하고 있다고 밝혔으며, 미국 각 주(state)의 검찰도 수사에 돌입했습니다. 초대형 소송이 밀려드는 등 에퀴팩스 입장에선 기나긴 싸움이 이제 막 시작된 셈입니다.

에퀴팩스가 이길 가능성은 거의 없는 것 같습니다. 왜냐고요? 지금까지 드러난 잘못만 해도 황당하리만큼 어처구니가 없는 것들이기 때문입니다. 고객을 멍청이로 알지 않은 이상 도저히 저지를 수 없는 일들을 에퀴팩스가 몸소 시연했습니다. 간략히 말씀드리자면 아래와 같습니다.

1) 아파치 스트러츠 취약점 방치: CVSS 10점 만점에 10점을 받은 취약점(CVE-2017-5638)을 패치하지 않았다. 해당 패치는 이미 3월에 나와 있었으며 기업 시스템에 별다른 영향을 미치지 않고 적용할 수 있는 것이었다. 에퀴팩스가 해커의 공격을 받은 건 7월 29일. 에퀴팩스는 이 취약점이 최초 공격 매개였다는 걸 파악한 뒤 패치했다고 설명했다.

2) 침해 사실 인지 후 경영진 3명 주식 매도: 해커가 내부 시스템에 접근했다는 사실을 파악한 뒤 고위 경영자 3명이 23억 원(200만 달러)에 달하는 에퀴팩스 주식을 팔아치웠다. 고객한테는 침해 사실을 인지하고도 5주 뒤에나 공지했다는 점과 매우 대조적이다. 현재 수사당국이 가장 주목하는 부분이다.

3) 침해 대응 웹사이트 및 핫라인 운영은 엉망진창: 고객들이 각종 질문과 불만을 쏟아 부으리라는 걸 인지하긴 했으나 너무 허접하게 대응했다. 전화를 걸어도 받지도 않고, 가까스로 연결돼도 웹사이트를 방문하라고 말했다. 웹사이트엔 상충하는 답변을 달기도 했다. 그냥 하기 싫은 듯.

4) 아르헨티나 직원 포털 로그인 시 디폴트 사용: 에퀴팩스 사태가 일파만파 커지면서 드러난 새로운 사실. 아르헨티나에 있는 에퀴팩스 직원 포털이 관리자 사용자명과 비밀번호 조합을 디폴트값으로 사용했다. 에퀴팩스 아르헨티나 직원 100명 이상의 개인정보와 에퀴팩스에 불만을 제기했던 고객에 대한 정보 14,000여건을 누구나 볼 수 있었다. 이 포털은 현재 폐쇄된 상태다.

5) 무료 신용조회 서비스 미끼로 중재 조항 포함: 침해 사실 공지 후 에퀴팩스가 선뜻 제안한 무료 신용조회 서비스(물론 에퀴팩스 상품)가 사실은 고객의 소송 제기를 차단하기 위한 꼼수였다. 서비스 등록 시 중재 조항이 포함됐던 것. 게다가 침해 사고를 이용해 자사 서비스를 홍보할 기회로 삼았다는 전문가 분석도 나왔다. 에퀴팩스는 거센 항의에 못 이겨 해당 조항을 이용 약관에서 삭제했다.

시스코, 아파치 스트러츠 취약점 조사 돌입
아파치 스트러츠 취약점을 방치한 기업이 과연 에퀴팩스 뿐일까요? 해외 보안 매체 해커뉴스에 따르면, 포춘지 선정 100대 기업 중 65개 기업이 아파치 스트러츠를 사용하고 있다고 합니다. 록히드마틴, 보다폰, 버진 애틀랜틱 항공, 미국 국세청 등이 여기에 포함됩니다.

에퀴팩스가 아파치 스트러츠 취약점 때문에 해킹 당했다는 사실이 알려지자 시스코(Cisco)도 바빠졌다는 소식입니다. 시스코는 아파치 스트러츠2 웹 애플리케이션 프레임워크를 포함한 자사 제품들을 대상으로 조사에 착수한 것으로 알려졌습니다. 아파치 스트러츠는 자바 프로그래밍 언어로 웹 애플리케이션을 개발할 때 사용하는 오픈소스 MVC 프레임워크입니다.

시스코의 디지털 미디어 매니저, MXE 3500 시리즈(Media Experience Engines), 네트워크 성능 분석, 호스티드 콜라보레이션 솔루션, 고객 컨택 센터 등에서 아파치 스트러츠 취약점이 발견됐다고 해커뉴스는 지적했습니다. 시스코는 해당 제품들을 포함해 다른 제품들에 대해서도 아파치 스트러츠 취약점 보유 여부를 조사하고 있다고 이 매체는 덧붙였습니다.

미국 국회가 사이버 보안 위원회를 만든다
미국 상원의원 두 명이 15일 사이버 보안 위원회 설립을 골자로 한 법안을 제출했습니다. 법안이 통과될 경우, 이 위원회는 2016년 미국 대선 과정을 수사하는 동시에 향후 선거를 외부 간섭에서 보호하는 역할을 맡을 예정입니다. 법안은 민주당 커스틴 질러브랜드(Kirsten Gillibrand) 의원과 공화당 린제이 그레이엄(Lindsey Graham) 의원이 공동으로 제출했습니다.

법안의 공식 명칭은 ‘미국 선거 시스템의 사이버 보안을 위한 국가 위원회(National Commission on the Cybersecurity of the United States Election Systems)’입니다. 미국의 더힐(The Hill)지는 이 위원회가 2001년 9.11 사태를 조사하기 위해 설립된 9.11 위원회를 본 따서 만들어졌다고 밝혔습니다. 미국 국회가 러시아 게이트를 테러 사태만큼이나 심각하게 받아들이고 있다는 점을 알 수 있는 대목입니다.

2017년 2분기 안드로이드 공격 40% 많아져
안드로이드 기기를 겨냥한 사이버 공격이 매년 40%씩 뛰고 있다는 연구가 나왔습니다. 보안 업체 어베스트(Avast)가 발표한 것으로, 점점 더 많은 사이버 범죄자들이 모바일 뱅킹의 인기를 이용하고 있는 것으로 나타났습니다. 올해 2분기 안드로이드 기기에 대한 공격은 매월 120만 건에서 170만 건씩 늘어났다고 어베스트는 밝혔습니다.

어베스트의 위협 첩보 이사 필립 키트리(Filip Chytry)는 “사람들이 PC에서 모바일로 이동하고 있으며 스마트폰을 지갑처럼 사용하고 있다”고 말했습니다. 돈이 있는 곳에 사이버 범죄자가 모입니다. 키트리는 2010년부터 모바일 공격이 기하급수적으로 늘어난 데다 향후에도 계속 늘어날 것으로 전망했습니다.

터키인 75,000명, 암호화 메시지 앱 다운로드로 체포
암호화 메시지 애플리케이션을 다운로드 했다는 이유로 터키인 75,000명이 체포됐습니다. 이 애플리케이션의 이름은 ‘바이락(ByLock)’으로 대화 및 전화 내용을 암호화한다고 합니다. 바이락의 소개에 따르면 “프라이버시가 최우선”인 애플리케이션이라고 하네요.

그런데 작년 7월 터키에서 쿠데타를 일으킨 세력이 바이락으로 소통했다는 사실이 드러나자 터키 정부는 이 앱을 불법으로 규정한 뒤, 다운로드 받은 시민들을 마구 체포하기 시작했습니다. 현재까지 75,000명의 시민이 체포됐으며 이로 인해 직업을 잃은 사람도 있다고 합니다.

영국 가디언(Guardian)지는 수만 명의 ‘용의자(suspect)’가 체포된 건 작년 쿠데타 진압 당시의 적법성과 관련해 터키 정부가 우려하고 있기 때문이라고 설명했습니다. 터키 정부는 당시 쿠데타를 강력하게 진압했으며 이에 인권침해 논란이 불거진 바 있습니다.

2016년 7월 15일, 레제프 타이이프 에르도안(Recep Tayyip Erdoğan) 터키 대통령을 축출하려는 세력이 쿠데타를 일으켰습니다. 이 쿠데타의 배후로 에르도안 대통령의 정적인 페툴라 귈렌(Fethullah Gülen)이 지목됐습니다. 귈렌은 미국에 거주하면서 터키 쿠데타를 조직했다는 혐의를 받았는데 그는 일체 부인했습니다. 쿠데타 이후 소위 ‘귈렌주의자’들의 통신 수단이 바이락이었다는 사실이 드러나면서 터키 정부는 이를 금지했습니다.

가디언지는 이번 체포가 유럽인권협약(European convention on human rights)을 위반한 것일 수 있다며 유럽의 일부 변호사들이 법적 의견을 제출한 상태라고 덧붙였습니다. 터키는 유럽인권협약에 서명했습니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)