Home > 전체기사
[4월 1주 뉴스쌈] DARPA, ‘멜트다운’ 피할 방법 찾는다
  |  입력 : 2018-04-08 17:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
페타바이트급 기업 민감정보 노출, 페이스북 사태와 기능 제거,
RSA의 포트스케일 인수, 미 백악관 이메일 도메인과 DMARC,
하드웨어 보안 강화하기 위한 DARPA의 새로운 계약 체결


[보안뉴스 오다인 기자] 공격자는 빠르지만 공격을 막으려는 자들의 움직임도 분주합니다. 4월 첫째 주 뉴스쌈은 인텔 ‘CPU게이트’와 관련한 미국 국방부 산하 연구기관의 새 프로젝트를 비롯해 이용자 정보보호를 위한 페이스북의 일부 기능 제거 등의 소식을 묶어봤습니다. 다가오는 한 주도 즐겁게 보내십시오.

[이미지=iclickart]


기업 민감정보, 페타바이트급으로 인터넷에 노출
보안업체 디지털 섀도우즈(Digital Shadows)의 최신 연구에 따르면, 15억 건이 넘는 민감한 파일이 인터넷에 그대로 노출돼 있는 것으로 나타났습니다. 대부분의 기업들이 S3 버킷, NAS 기기, FTP 서버 등의 스토리지 또는 게이트웨이 시스템을 잘못 구성한 탓이었습니다.

인터넷에 노출된 데이터로는 특허 받은 애플리케이션, 직원 정보, 연봉 정보, 소득 신고서 등이 포함돼 있었습니다. 디지털 섀도우즈는 이 같은 정보 노출의 중대한 원인으로 서드파티 하청업체들이 시스템을 잘못 구성했다는 점을 지목했습니다.

자주 논란이 된 S3 버킷에서의 정보 노출은 이번 연구결과에서 단 7% 밖에 차지하지 않았다고 디지털 섀도우즈는 밝혔습니다. 그 대신 △SMB(33%) △rsync(28%) △FTP(26%)가 정보 노출에 상당량 기여(?)했다고 하네요.

또한, 디지털 섀도우즈는 GDPR 시행일이 빠르게 다가오고 있다는 점을 지적하면서 GDPR이 기업들에 자사 시스템 상태를 다시 한 번 점검할 자극제가 돼야 한다고 덧붙였습니다. 그 과정에서 구성에서의 변화(configuration changes)가 필요한 곳도 분명히 있을 것이라고 강조했습니다.

페이스북 사태, 프로필 대부분이 서드파티에 의해 수집된 것으로 보여
페이스북이 총 20억 명에 달하는 페이스북 이용자 정보 대부분이 이용자 동의 없이 접근됐을 수 있다고 발표했습니다. 이에 페이스북은 외부 업체에서 접근할 수 있는 정보량을 제한하기 위한 조치들을 취하고 있으며, 특정 기능들도 제거하고 있는 중입니다.

이 같은 결정으로 페이스북의 △이벤트 API △그룹 API △페이지 API △페이스북 로그인 △인스타그램 플랫폼 API △전화 및 문자 내역 △정보 제공자 및 파트너 카테고리 △앱 제어 등이 영향을 받게 됐습니다. 일례로, 지난 4일부터 페이스북에서 사진, 포스트, 체크인, 이벤트, 그룹 같은 데이터에 대한 접근을 요구하는 모든 앱은 페이스북의 승인을 받아야 합니다.

가장 중대한 변화 중 하나는 검색 및 계정 복구(Search and Account Recovery) 기능에서 이뤄졌습니다. 2018년 4월 4일 전까지만 해도 이용자들은 전화번호 또는 이메일 주소로 다른 사람을 검색할 수 있었습니다. 그러나 이 기능은 악성 행위자들이 계정 복구를 통해 사전에 확보한 전화번호 및 이메일 주소를 입력함으로써 공개된 프로필 데이터를 수집할 수 있었다는 사실이 인지된 이후, 현재 제거된 상태입니다.

페이스북은 “우리가 목격한 (악성) 활동의 규모와 정교함을 고려할 때, 페이스북 이용자 대부분의 공개된 프로필이 이 같은 방식으로 수집된 것으로 추정된다”고 설명했습니다. 페이스북은 약 8,700만 명의 이용자 정보가 이용자 동의 없이 케임브리지 애널리티카(CA)에 의해 수집됐다고도 밝혔습니다. 피해자 대부분은 미국인으로 나타났습니다.

이처럼 대대적인 변화는 페이스북이 서드파티 애플리케이션과 그동안 맺고 있었던 관계가 크게 변화했다는 사실을 암시합니다. 벌써부터 페이스북 계정과 연동된 다른 앱들에서 문제가 발생했다는 소식도 들려오고 있는데요. 향후 애플리케이션 생태계가 어떻게 진화할지 궁금해집니다.

RSA가 포트스케일을 인수한다
RSA가 행동분석 보안업체인 포트스케일(Fortscale)을 인수한다고 5일(현지시간) 발표했습니다. RSA 넷위트니스 플랫폼(RSA NetWitness Platform)의 보안 모니터링을 강화하기 위한 차원입니다.

RSA는 넷위트니스의 새로운 버전을 공개하기도 했는데요. 포트스케일의 UEBA(User and Entity Behavioral Analytics) 기능을 포함하고 오케스트레이션 및 엔드포인트 지원 기능까지 포함한 버전이라고 합니다.

RSA 넷위트니스 플랫폼의 마이클 아들러(Michael Adler) 부사장은 “점차 확대되는 디지털 위험 환경에 대응하기 위해 보안 모니터링 및 차단 툴을 추가하는 건 흔한 일이지만, 방대한 데이터 유입으로 인해 각종 경고와 분석이 감당할 수 없을 만큼 발생하는 것도 사실”이라고 지적했습니다. 그는 “RSA 넷위트니스 플랫폼의 새 UEBA 및 오케스트레이션 기능으로 가시성과 분석이 향상될 것이며 SIEM 데이터 추적, 문제 조사, 위협 대응 자동화 등을 단 하나의 통합된 플랫폼에서 해결할 수 있다”고 강조했습니다.

美 백악관 이메일 도메인, 보안성 취약
DMARC라고 들어보셨나요? 이메일 기반 피싱 공격을 차단하기 위한 툴로, ‘Domain Message Authentication Reporting & Conformance’를 줄인 말입니다. DMARC.org에 따르면, 이메일 보안을 위해 약 20만 개의 조직들이 DMARC를 이용하고 있다고 합니다.

그런데 정작 미국 백악관 도메인 중에 이 툴을 제대로 적용한 도메인은 단 하나뿐이었다고 합니다. 사이버 위협 억제를 위한 국제적 연합체인 글로벌 사이버 얼라이언스(Global Cyber Alliance)가 최근 발표했습니다.

글로벌 사이버 얼라이언스는 미국 대통령실(EOP) 통제 하에 있는 도메인들을 조사했습니다. 그리고 오직 단 하나의 도메인 ‘Max.gov’만이 최고 수준의 프로토콜을 실행하고 있다는 사실을 밝혀냈습니다. 최고 수준의 프로토콜이라 함은 사기성 이메일 수신을 거의 완벽하게 차단할 수 있는 수준이라고 하네요.

‘whitehouse.gov’ 또는 ‘eop.gov’ 등 7개의 도메인은 모니터링만 가능한 수준인 최저 수준의 프로토콜을 실행하고 있었다고 글로벌 사이버 얼라이언스는 지적했습니다. 나머지 18개의 도메인에 대해서는 DMARC 자체가 아예 실행되지도 않았다고 합니다.

글로벌 사이버 얼라이언스는 정부 도메인이 피싱 공격자의 단골 재료로 쓰인다는 점을 고려할 때 정부와 일반 대중에 매우 중요한 문제라고 강조했습니다.

한편, 지난해 미국 국토안보부(DHS)는 모든 연방기관이 DMARC를 실행해야 한다고 발표한 바 있습니다. 글로벌 사이버 얼라이언스는 아직까지 모든 기관이 이 같은 지시를 따르지 않은 상태라고 밝혔습니다.

DARPA, ‘멜트다운’ 피할 방법 찾는다
미국 국방부 산하 방위고등연구계획국(DARPA)이 토르투가 로직(Tortuga Logic)과 새로운 계약을 체결했습니다. 토르투가 로직의 하드웨어 보안 모델을 상용 에뮬레이션 플랫폼과 통합한 하드웨어를 개발하기 위해서입니다.

DARPA는 소프트웨어 풀 스택을 가동하면서 칩 설계 전체를 완전하게 테스트하기 위해 토르투가 로직과 계약을 맺었습니다. 이번 계약의 일환으로, DARPA의 SSITH(System Security Integrated Through Hardware and Firmware) 프로그램 참가자들은 연구결과로 나올 에뮬레이션 플랫폼에 선접근 권한을 확보했다고 합니다. SSITH 프로그램의 목표는 더 안전한 하드웨어를 개발하는 것입니다.

토르투가 로직은 ‘프로스펙트(Prospect)’와 ‘유니슨(Unison)’이라는 두 개의 소프트웨어 스위트에 에뮬레이션 시스템을 구축할 예정입니다. 이 프로젝트는 에뮬레이션 컴포넌트로 캐던스 디자인 시스템즈(Cadence Design Systems)의 팔라디움(Palladium) 플랫폼을 이용하고, 초기 포로토타이핑과 테스팅을 위해 RISC-V 프로세서 아키텍처와 샘플 디자인을 이용할 것으로 알려졌습니다.

개발 생애주기의 보안을 강화함으로써 스펙터(Spectre) 및 멜트다운(Meltdown) 취약점을 반복하지 않는 것, 이번 DARPA 프로젝트의 핵심 목표라고 합니다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향