[4월 1주 뉴스쌈] DARPA, ‘멜트다운’ 피할 방법 찾는다

페타바이트급 기업 민감정보 노출, 페이스북 사태와 기능 제거,
RSA의 포트스케일 인수, 미 백악관 이메일 도메인과 DMARC,
하드웨어 보안 강화하기 위한 DARPA의 새로운 계약 체결

[보안뉴스 오다인 기자] 공격자는 빠르지만 공격을 막으려는 자들의 움직임도 분주합니다. 4월 첫째 주 뉴스쌈은 인텔 ‘CPU게이트’와 관련한 미국 국방부 산하 연구기관의 새 프로젝트를 비롯해 이용자 정보보호를 위한 페이스북의 일부 기능 제거 등의 소식을 묶어봤습니다. 다가오는 한 주도 즐겁게 보내십시오.

[이미지=iclickart]

기업 민감정보, 페타바이트급으로 인터넷에 노출
보안업체 디지털 섀도우즈(Digital Shadows)의 최신 연구에 따르면, 15억 건이 넘는 민감한 파일이 인터넷에 그대로 노출돼 있는 것으로 나타났습니다. 대부분의 기업들이 S3 버킷, NAS 기기, FTP 서버 등의 스토리지 또는 게이트웨이 시스템을 잘못 구성한 탓이었습니다.

인터넷에 노출된 데이터로는 특허 받은 애플리케이션, 직원 정보, 연봉 정보, 소득 신고서 등이 포함돼 있었습니다. 디지털 섀도우즈는 이 같은 정보 노출의 중대한 원인으로 서드파티 하청업체들이 시스템을 잘못 구성했다는 점을 지목했습니다.

자주 논란이 된 S3 버킷에서의 정보 노출은 이번 연구결과에서 단 7% 밖에 차지하지 않았다고 디지털 섀도우즈는 밝혔습니다. 그 대신 △SMB(33%) △rsync(28%) △FTP(26%)가 정보 노출에 상당량 기여(?)했다고 하네요.

또한, 디지털 섀도우즈는 GDPR 시행일이 빠르게 다가오고 있다는 점을 지적하면서 GDPR이 기업들에 자사 시스템 상태를 다시 한 번 점검할 자극제가 돼야 한다고 덧붙였습니다. 그 과정에서 구성에서의 변화(configuration changes)가 필요한 곳도 분명히 있을 것이라고 강조했습니다.

페이스북 사태, 프로필 대부분이 서드파티에 의해 수집된 것으로 보여
페이스북이 총 20억 명에 달하는 페이스북 이용자 정보 대부분이 이용자 동의 없이 접근됐을 수 있다고 발표했습니다. 이에 페이스북은 외부 업체에서 접근할 수 있는 정보량을 제한하기 위한 조치들을 취하고 있으며, 특정 기능들도 제거하고 있는 중입니다.

이 같은 결정으로 페이스북의 △이벤트 API △그룹 API △페이지 API △페이스북 로그인 △인스타그램 플랫폼 API △전화 및 문자 내역 △정보 제공자 및 파트너 카테고리 △앱 제어 등이 영향을 받게 됐습니다. 일례로, 지난 4일부터 페이스북에서 사진, 포스트, 체크인, 이벤트, 그룹 같은 데이터에 대한 접근을 요구하는 모든 앱은 페이스북의 승인을 받아야 합니다.

가장 중대한 변화 중 하나는 검색 및 계정 복구(Search and Account Recovery) 기능에서 이뤄졌습니다. 2018년 4월 4일 전까지만 해도 이용자들은 전화번호 또는 이메일 주소로 다른 사람을 검색할 수 있었습니다. 그러나 이 기능은 악성 행위자들이 계정 복구를 통해 사전에 확보한 전화번호 및 이메일 주소를 입력함으로써 공개된 프로필 데이터를 수집할 수 있었다는 사실이 인지된 이후, 현재 제거된 상태입니다.

페이스북은 “우리가 목격한 (악성) 활동의 규모와 정교함을 고려할 때, 페이스북 이용자 대부분의 공개된 프로필이 이 같은 방식으로 수집된 것으로 추정된다”고 설명했습니다. 페이스북은 약 8,700만 명의 이용자 정보가 이용자 동의 없이 케임브리지 애널리티카(CA)에 의해 수집됐다고도 밝혔습니다. 피해자 대부분은 미국인으로 나타났습니다.

이처럼 대대적인 변화는 페이스북이 서드파티 애플리케이션과 그동안 맺고 있었던 관계가 크게 변화했다는 사실을 암시합니다. 벌써부터 페이스북 계정과 연동된 다른 앱들에서 문제가 발생했다는 소식도 들려오고 있는데요. 향후 애플리케이션 생태계가 어떻게 진화할지 궁금해집니다.

RSA가 포트스케일을 인수한다
RSA가 행동분석 보안업체인 포트스케일(Fortscale)을 인수한다고 5일(현지시간) 발표했습니다. RSA 넷위트니스 플랫폼(RSA NetWitness Platform)의 보안 모니터링을 강화하기 위한 차원입니다.

RSA는 넷위트니스의 새로운 버전을 공개하기도 했는데요. 포트스케일의 UEBA(User and Entity Behavioral Analytics) 기능을 포함하고 오케스트레이션 및 엔드포인트 지원 기능까지 포함한 버전이라고 합니다.

RSA 넷위트니스 플랫폼의 마이클 아들러(Michael Adler) 부사장은 “점차 확대되는 디지털 위험 환경에 대응하기 위해 보안 모니터링 및 차단 툴을 추가하는 건 흔한 일이지만, 방대한 데이터 유입으로 인해 각종 경고와 분석이 감당할 수 없을 만큼 발생하는 것도 사실”이라고 지적했습니다. 그는 “RSA 넷위트니스 플랫폼의 새 UEBA 및 오케스트레이션 기능으로 가시성과 분석이 향상될 것이며 SIEM 데이터 추적, 문제 조사, 위협 대응 자동화 등을 단 하나의 통합된 플랫폼에서 해결할 수 있다”고 강조했습니다.

美 백악관 이메일 도메인, 보안성 취약
DMARC라고 들어보셨나요? 이메일 기반 피싱 공격을 차단하기 위한 툴로, ‘Domain Message Authentication Reporting & Conformance’를 줄인 말입니다. DMARC.org에 따르면, 이메일 보안을 위해 약 20만 개의 조직들이 DMARC를 이용하고 있다고 합니다.

그런데 정작 미국 백악관 도메인 중에 이 툴을 제대로 적용한 도메인은 단 하나뿐이었다고 합니다. 사이버 위협 억제를 위한 국제적 연합체인 글로벌 사이버 얼라이언스(Global Cyber Alliance)가 최근 발표했습니다.

글로벌 사이버 얼라이언스는 미국 대통령실(EOP) 통제 하에 있는 도메인들을 조사했습니다. 그리고 오직 단 하나의 도메인 ‘Max.gov’만이 최고 수준의 프로토콜을 실행하고 있다는 사실을 밝혀냈습니다. 최고 수준의 프로토콜이라 함은 사기성 이메일 수신을 거의 완벽하게 차단할 수 있는 수준이라고 하네요.

‘whitehouse.gov’ 또는 ‘eop.gov’ 등 7개의 도메인은 모니터링만 가능한 수준인 최저 수준의 프로토콜을 실행하고 있었다고 글로벌 사이버 얼라이언스는 지적했습니다. 나머지 18개의 도메인에 대해서는 DMARC 자체가 아예 실행되지도 않았다고 합니다.

글로벌 사이버 얼라이언스는 정부 도메인이 피싱 공격자의 단골 재료로 쓰인다는 점을 고려할 때 정부와 일반 대중에 매우 중요한 문제라고 강조했습니다.

한편, 지난해 미국 국토안보부(DHS)는 모든 연방기관이 DMARC를 실행해야 한다고 발표한 바 있습니다. 글로벌 사이버 얼라이언스는 아직까지 모든 기관이 이 같은 지시를 따르지 않은 상태라고 밝혔습니다.

DARPA, ‘멜트다운’ 피할 방법 찾는다
미국 국방부 산하 방위고등연구계획국(DARPA)이 토르투가 로직(Tortuga Logic)과 새로운 계약을 체결했습니다. 토르투가 로직의 하드웨어 보안 모델을 상용 에뮬레이션 플랫폼과 통합한 하드웨어를 개발하기 위해서입니다.

DARPA는 소프트웨어 풀 스택을 가동하면서 칩 설계 전체를 완전하게 테스트하기 위해 토르투가 로직과 계약을 맺었습니다. 이번 계약의 일환으로, DARPA의 SSITH(System Security Integrated Through Hardware and Firmware) 프로그램 참가자들은 연구결과로 나올 에뮬레이션 플랫폼에 선접근 권한을 확보했다고 합니다. SSITH 프로그램의 목표는 더 안전한 하드웨어를 개발하는 것입니다.

토르투가 로직은 ‘프로스펙트(Prospect)’와 ‘유니슨(Unison)’이라는 두 개의 소프트웨어 스위트에 에뮬레이션 시스템을 구축할 예정입니다. 이 프로젝트는 에뮬레이션 컴포넌트로 캐던스 디자인 시스템즈(Cadence Design Systems)의 팔라디움(Palladium) 플랫폼을 이용하고, 초기 포로토타이핑과 테스팅을 위해 RISC-V 프로세서 아키텍처와 샘플 디자인을 이용할 것으로 알려졌습니다.

개발 생애주기의 보안을 강화함으로써 스펙터(Spectre) 및 멜트다운(Meltdown) 취약점을 반복하지 않는 것, 이번 DARPA 프로젝트의 핵심 목표라고 합니다.
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)