세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[11월 3주 뉴스쌈] 美 의류 기업 포레버 21 신용카드 정보 유출
  |  입력 : 2017-11-18 16:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
포레버 21 신용정보 유출, 2017년 취약점 개수
백악관 VEP 개정, MS의 ‘신경-퍼징’ 기술 개발
오니닙트 랜섬웨어, 에퀴팩스, 파이어폭스 보안


[보안뉴스 오다인 기자] 시작은 언제 들어도 설레는 말입니다. 연말이 설레는 이유는 한 해가 끝나기 때문이 아니라 새로운 시작이 다가오기 때문이지 않을까요? 전설이 된 뉴욕 양키스의 포수 요기 베라(Yogi Berra)는 “끝날 때까지 끝난 게 아니다(It ain't over till it's over)”라는 명언을 남기기도 했는데요. 2017년 12월 31일 자정까지는 아직 시간이 남아 있으니, 이 시간을 기회로 삼아 올해 목표하셨던 바 이뤄나가시길 바랍니다.

11월 3주 뉴스쌈은 미국 유명 의류 기업의 신용카드 정보 유출 소식부터 파이어폭스의 샌드박스 보안 강화 소식까지 모두 7가지 보안 관련 소식을 묶어봤습니다.

[이미지=iclickart]


포레버 21 정보 유출
미국의 유명 의류 기업 포레버 21(Forever 21)의 일부 매장에서 신용카드 정보가 유출됐습니다. 올해 3월부터 10월 사이 포레버 21에서 카드로 결제한 적 있다면 잠재적인 피해가 있을 것으로 보입니다.

포레버 21은 서드파티로부터 일부 매장의 카드 정보에 승인되지 않은 접근이 발생했을지 모른다고 리포트를 받았다며 고객에게 공지했습니다. 포레버 21은 포렌식 업체의 지원을 받아 결제 카드 시스템을 조사하고 있다고 덧붙였습니다.

포레버 21은 2015년에 실행한 암호화 및 토큰화 기술 덕분에 전체 매장이 아닌 일부 매장의 포스(POS) 기기만 피해를 입은 것 같다고 밝혔습니다. 피해가 발생한 포스 기기들은 공격 당시 암호화 기능이 가동되지 않았던 것으로 드러났습니다.

2017년, 취약점 신기록 세웠다
2017년 3분기까지만 두고 봤을 때도 2017년은 역사상 가장 많은 취약점이 나타난 해가 됐습니다.

보안 업체 리스크 베이스드 시큐리티(Risk Based Security)가 14일 발표한 데이터에 따르면, 2017년 1월 1일부터 9월 30일까지 나타난 취약점은 총 16,006개였습니다. 2016년에는 전체 기간 동안 총 15,832개의 취약점이 나타났습니다. 2016년 3분기와 2017년 3분기를 비교하면, 작년보다 올해 나타난 취약점이 38%나 더 많은 셈입니다.

리스크 베이스드 시큐리티는 심각한 취약점 수치도 높게 나타났다며, CVSSv2 점수로 봤을 때 대략 40%의 취약점들이 7.0점 이상이었다고 짚었습니다.

미국 백악관의 취약점 형평성 프로세스(VEP) 개정
15일 미국 도널드 트럼프 행정부가 일명 ‘취약점 형평성 프로세스(VEP: Vulnerability Equities Process)’를 개정해서 발표했습니다. 그동안 기술 전문가들은 미국 정부가 보안 취약점을 다루는 데 있어서 투명성을 높여야 한다고 요구해 왔습니다. 특히, 지난해 셰도우 브로커스(Shadow Brokers)가 NSA의 일급기밀이었던 해킹 툴을 유출시킨 뒤 그 요구는 더 거세졌는데요. 백악관이 이에 응답한 것입니다.

VEP는 미 국가안보국(NSA) 등의 정부기관이 소프트웨어 취약점을 발견할 경우 이를 어떻게 사용하고 공개할 것인지에 대해 규정한 일종의 헌장(charter)이라고 합니다. 즉, 발견한 취약점을 민간 업체에 알려야 할지 말지, 첩보 수집이나 여타 목적을 위해 이를 이용할지 말지 등을 결정할 때 정부기관들이 어떤 프로세스에 따라야 하는지 세부사항을 제공한 문서가 VEP라고 할 수 있습니다.

백악관은 VEP를 개정하면서 VEP가 어떻게 작동하고 어떻게 감독하는 것인지, 어떤 기관들이 어떤 프로세스로 어떤 측면에서 개입하는 것인지 최근 수개월 간 쏟아졌던 질문들에 대해 답변했습니다. 또한, 정부기관이 향후 이용할 수 있도록 1년 동안 얼마나 많은 취약점을 확보했는지 관련 수치와 통계를 제공하겠다고 선언했으며, 해당 취약점들로 영향 받은 업체들의 숫자도 공개하겠다고 밝혔습니다.

MS, 심층신경망 이용해 똑똑하게 퍼징한다
마이크로소프트(MS)가 소프트웨어의 보안 취약점을 테스트하기 위해 심층신경망(DNN : Deep Neural Network)과 머신 러닝을 사용한 새로운 기술을 개발했습니다. MS는 ‘신경-퍼징(neural fuzzing)’이라는 방법을 통해 고객사가 소프트웨어 버그를 기존의 퍼징 테스트를 이용할 때보다 더 잘 발견할 수 있도록 돕는다고 설명했습니다.

퍼징은 보안 테스트를 수행하는 사람들이 애플리케이션 내의 취약점을 찾아내기 위해 의도적으로 잘못된 데이터를 갖고 소프트웨어를 공격하는 것을 말합니다. 퍼징의 효과성은 이 잘못된 데이터, 즉 악성 인풋이 얼마나 잘 제작됐는가에 달려 있다고 볼 수 있는데요. MS는 심층신경망과 머신 러닝을 이용해 이전 퍼징에서 피드백 받은 데이터를 재료로 새로운 악성 인풋 변종을 만들어내는 방식으로 진화했습니다.

보안 업체 노조미 네트웍스(Nozomi Networks)의 공동 설립자이자 최고기술책임자(CTO)인 모레노 카룰로(Moreno Carullo)는 MS가 이번 기술로 새로운 지평을 열었다고 평가했습니다. 카룰로는 “완전히 새로우면서도 혁신적인 접근법”이라고 극찬하면서 “신경-퍼징은 퍼징의 속도를 높이는 데다 시스템 오류(crash)를 일으키는 문제들을 더 많이 찾아낼 수 있다”고 말했습니다.

독일의 오디닙트 랜섬웨어
지난 9일 전후로 오디닙트(Ordinypt)라는 이름의 새로운 랜섬웨어가 독일에서 돌고 있다는 소식입니다. 오디닙트 랜섬웨어는 사용자 문서를 암호화하는 대신 무작위 데이터로 파일들을 덮어써 버린다고 합니다. 즉, 랜섬웨어라기보다 데이터를 삭제해버리는 ‘와이퍼(wiper)’ 멀웨어라고 할 수 있겠죠.

오디닙트 랜섬웨어는 마이클 길레스피(Michael Gillespie)라는 사람이 최초로 발견했으며, 이후 독일 보안 업체 지-데이터 소프트웨어(G Data Software)의 연구자 카르스텐 한(Karsten Hahn)이 오직 독일 사용자들만 겨냥하고 있다는 사실을 발견했습니다. 해외 보안 매체 블리핑컴퓨터는 원래 길레스피가 ‘HSDFSDCrypt’라고 명명한 것을 한이 오디닙트 랜섬웨어라고 바꿔 부르게 됐다고 밝혔습니다.

에퀴팩스, 정보 유출 이후 27% 수익 하락
미국인 인구의 절반, 미국 경제인구로는 사실상 전체의 개인정보를 유출한 신용정보사 에퀴팩스(Equifax)가 개인정보 유출 사태 이후 전년 대비 수익이 27% 하락했습니다. 해외 정보보안 전문매체 인포시큐리티 매거진(Infosecurity)에 따르면, 에퀴팩스의 올해 3분기 수익은 약 1,059억 원(9,630만 달러)으로 2016년 3분기 수익에 비해 4분의 1 이상 줄었습니다.

한편, 개인정보 유출 사태와 관련해 에퀴팩스가 지출해야 할 비용은 앞으로도 계속 증가할 것으로 예측됩니다. 사건 이후, 에퀴팩스는 피해 고객들에게 신용 정보 모니터링과 신원 도용 보호를 무료로 제공하겠다고 약속한 바 있는데요. 이 비용이 현재까지는 약 52억 원(470만 달러) 정도이지만 조만간 616억 원에서 1,209억 원(5,600만 달러~1억 1,000만 달러)까지 치솟을 것으로 보인다고 에퀴팩스가 자체적으로 밝혔습니다.

파이어폭스 샌드박스 기능 향상
14일 파이어폭스(Firefox)가 버전 57로 새롭게 배포됐습니다. 파이어폭스는 버전 57부터 리눅스 사용자를 위해 브라우저의 샌드박스 보안 기능을 개선했다고 설명했습니다. 이 버전에서 파이어폭스는 브라우저 엔진 내 취약점을 사용해서 웹 공격을 가하지 못하도록 브라우저를 운영체제로부터 분리시켰습니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)