세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[5월 5주 뉴스쌈] XSS 해킹, 여전히 웹 공격의 1인자
  |  입력 : 2018-06-03 23:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
애플 기기에서는 텔레그램 업데이트가 안 된다?
교차 사이트 스크립팅이 여전히 왕좌를 지켰다
카스퍼스키랩 제품 금지에 대한 미 재판부 판단


[보안뉴스 오다인 기자] 6월이라니, 믿기시나요? 시간은 달려가는데, 혼자 제자리걸음만 하고 있는 것 같아 조급해집니다. “인내심을 가져라. 최고의 것을 얻기 위해 때로 최악을 견딜 필요도 있다.” 이름 모를 누군가의 조언입니다. 독자들께도 어려운 시간을 견딜 힘(!) 전해드리며, 5월 마지막 주 뉴스쌈 시작합니다.

[사진=iclickart]


애플 기기에서 텔레그램 업데이트, 4월부터 ‘불가능’
메시징 애플리케이션 텔레그램(Telegram)이 2018년 4월 이래 전 세계 어느 애플(Apple) 기기에서도 업데이트가 불가능했던 것으로 나타났습니다. 텔레그램 설립자 겸 최고경영자(CEO) 파벨 두로프(Pavel Durov)가 직접 밝혔습니다.

지난 4월 러시아 정부는 텔레그램을 금지시켰습니다. 로이터 통신(Reuters)이 보도한 바에 따르면, 이용자 통신 정보에 대한 복호화 키를 러시아 안보당국에게 제공하지 않았다는 이유였는데요. 당시 두로프 CEO는 “이 불안한(troubled) 나라에서 이용자들의 프라이버시권을 지켜주기 위해” 이처럼 결정했다고 말했습니다.

텔레그램 애플리케이션은 애플 앱 스토어에서 아직까지 이용할 수 있으나 이미 설치된 버전에 대해 기술적인 업데이트를 진행하는 것은 불가능하다고 두로프 CEO는 설명했습니다. 업데이트가 되지 않으면 iOS 최신 버전에서 구동이 되지 않고, 유럽 일반개인정보보호법(GDPR)도 위반하게 된다고 합니다. GDPR은 지난달 25일 발효됐습니다.

전체 텔레그램 이용자 중 러시아 이용자는 7%에 불과하지만 두로프 CEO는 이 같은 업데이트 문제가 전 세계 모든 이용자에게 발생하고 있다고 말했습니다.

교차 사이트 스크립팅(XSS), 여전히 웹 공격의 1인자
웹 애플리케이션은 수없이 많은 사이버 공격을 받습니다. 그리고 공격은 계속해서 진화합니다. 이번에 새로 나온 보고서의 결론이 의아한 이유가 여기에 있습니다. 바로, 유서 깊은 ‘교차 사이트 스크립팅(cross-site scripting)’ 공격이 지금도 가장 심각한 위협으로 꼽혔다는 사실!

보안업체 포지티브 테크놀로지스(Positive Technologies)가 작성한 ‘2017 리뷰: 웹 애플리케이션 공격 통계’ 보고서에 따르면, 교차 사이트 스크립팅은 전체 웹 공격 중 31%에 쓰였습니다. 2순위는 SQL 인젝션이 올랐는데요. 전체 웹 공격 중 20%가 조금 넘는 수준이었습니다.

산업별로 보면, IT 회사와 금융 회사가 지난해 매일 평균 1,000건의 공격을 받은 것으로 나타났습니다. 포지티브 테크놀로지스는 다가올 월드컵(World Cup) 토너먼트를 전후해서 해킹 시도가 가파르게 상승할 것이라고 예측했습니다. 월드컵은 러시아 대 사우디아라비아 경기가 열리는 6월 15일을 기점으로 시작됩니다.

미국 재판부, “카스퍼스키랩 제품 금지, 헌법에 위배되지 않아”
미국 연방기관에서 러시아 보안업체 카스퍼스키랩(Kaspersky Lab)의 소프트웨어를 금지시킨 미국 정부의 결정이 한동안 유지될 것으로 보입니다. 이 같은 금지 조치가 헌법에 위배되는 데다 과도한 피해를 초래한다며 카스퍼스키랩이 제기한 소송 2건을 미국 재판부가 기각시켰기 때문입니다.

앞서 2017년 9월 미국 국토안보부(DHS)는 연방기관 시스템에서 카스퍼스키랩 보안제품 이용을 금지시키는 운영지침(Binding Operational Directive 17-01)을 발표했습니다. 카스퍼스키랩이 러시아 정보당국과 내통하고 있다는 우려에서 나온 결정이었는데요. 이와 별개로, 미국 국회가 통과시키고 도널드 트럼프 미국 대통령이 승인한 ‘국방수권법(National Defense Authorization Act)’ 역시 카스퍼스키랩 제품을 연방기관에서 이용하는 것을 금지하고 있습니다.

카스퍼스키랩은 2017년 12월 두 가지 금지 조치에 대해 반발, 소송을 제기했습니다. 자사에 공평한 기회가 주어지지 않았으며, 국토안보부가 이러한 결정을 입증할 만한 어떤 기술적 증거도 제시하지 않았다면서 말이죠. 1월에는 미국 정부의 금지 결정이 자사 평판과 수익에 피해를 끼쳤다며 예비적 금지명령(Preliminary injunction) 신청(motion)을 제기하기도 했습니다.

미국 지방법원 콜린 콜라르 코텔리(Colleen Kollar-Kotelly) 판사는 ‘헌법에 위배된다’는 카스퍼스키의 주장을 기각했습니다. 코텔리 판사는 미국 정부의 보안을 위해 그 같은 결정은 필수적이었다고 말했습니다. 또한, 미국 정부의 방어적인 조치가 일부 서드파티에 대해 ‘불리한 결과(adverse consequences)’를 초래할지 모르지만 반드시 헌법에 위배된다고 볼 수는 없다고 밝혔습니다.

“국방수권법은 카스퍼스키랩을 ‘처벌(punishment)’하려는 것이 아니다. 이는 미국 사이버 보안에 감지된 위험을 제거하려는 것이다. 이 같은 과정에서 대형 다국적 기업의 작은 수익 창구 하나를 배제하는, 부차적인 효과가 발생했다.” 코텔리 판사의 말입니다.

카스퍼스키랩은 “자사의 잘못에 대한 증거가 부족하고, 정부 지원에 의한 악성 사이버 활동이라는 오명이 민간 기업에 씌워졌다는 점을 고려할 때, 미국 재판부의 결정은 테크 커뮤니티에 매우 지대한 영향을 끼칠 것”이라며 실망감을 표했습니다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)