[7월 3주 뉴스쌈] 왓츠앱·페이스북 메신저, 기업내 최대 보안위협?

미국 중간선거 겨냥한 해킹 시도, 로봇 청소기와 감시 기계,
가정용 네트워크 취약점 무료 진단해주는 ‘아비라 홈 가드’,
기업 내 최대 위협 앱에 오른 왓츠앱과 페이스북 메신저

[보안뉴스 오다인 기자] ‘초연결 시대’라는 말, 이제 진부한가요? 집에서 쓰는 기기들은 취약점투성이인 채로 방치되는 경우가 흔한데요. 이와 무관하게 가정용 네트워크에 새롭게 연결되는 기기들은 계속해서 많아지고 있는 추세입니다. 연결의 속도와 폭은 폭발적으로 증가하는데, 보안에 대한 인식은 어느 정도로 높아지고 있을까요?

[이미지=iclickart]

미국 중간선거 겨냥한 해킹 시도 발생
마이크로소프트가 2018년 미국 중간선거를 겨냥한 첫 번째 해킹 시도가 발생했다고 보고했습니다. 마이크로소프트는 미국 의회 의원 후보 3명에 대한 피싱 공격을 탐지한 뒤 이를 차단했다고 설명했습니다.

올해 아스펜 안보 포럼(Aspen Security Forum)에서 톰 버트(Tom Burt) 마이크로소프트 보안·신뢰 부사장은 이 같은 공격에 대해 밝혔습니다. 올해 초, 가짜 마이크로소프트 도메인 하나가 전문가들에 의해 포착됐습니다. 이 도메인은 의원 후보들을 겨냥한 피싱 캠페인의 랜딩 페이지로 등록돼 있었습니다. 버트 부사장은 후보들의 실명을 거론하진 않았으나 그들 중 누구도 피해를 입지는 않았다고 설명했습니다.

“그들의 포지션 때문에 피싱 공격의 타깃이 된 것으로 보이며, 선거에 지장을 주려는 목적과 감시하려는 목적 등에 의해 겨냥된 것으로 추정된다.” 버트 부사장은 선거 보안을 주제로 한 패널 토론에서 이렇게 설명했다고 미국 NBC뉴스가 보도했습니다.

마이크로소프트와 업계 전반의 보안 연구자들은 올해 미국 중간선거를 둘러싼 사이버 활동의 수위가 2016년 대선 당시 탐지된 활동과 비교할 수 없는 수준이라고 전망하고 있습니다. 버트 부사장은 사이버 공격자들이 학계나 싱크탱크를 겨냥하고 있지는 않다고 덧붙였습니다.

중국산 로봇 청소기가 감시 기계로 돌변할지도 모른다?
로봇 청소기가 바닥 청소를 도와주는 고마운 기계라는 사실은 분명합니다. 그러나 사적인 대화를 엿듣고 싶어 하는 누군가에게도 로봇 청소기가 도움이 될지 모른다고 하네요. 보안업체 포지티브 테크놀로지스(Positive Technologies)가 발표한 연구결과입니다.

포지티브 테크놀로지스는 중국의 동관 디키 360(Dongguan Diqee 360) 로봇 청소기를 해킹하면 움직이는 감시 기계로 바꿔놓을 수 있다고 설명했습니다. 이 업체는 동관 디키 360에서 권한 없이 코드 실행이 가능한 취약점 한 쌍을 발견했습니다.

취약점 가운데 하나는 공격자가 원격으로 접근할 수 있는 것이고, 다른 하나는 기계에 물리적으로 접근해야 하는 것입니다. 전자는 외부인이 기기의 슈퍼유저 특권을 획득하도록 해주는데, 이로써 공격자는 승인 없는 소프트웨어를 가동시킬 수 있게 됩니다. 후자는 펌웨어 업데이트 메커니즘을 익스플로잇한 뒤 승인되지 않은 유저가 역시 승인되지 않은 코드가 담긴 마이크로SD 카드를 삽입할 수 있게 만들어 줍니다.

둘 중 어느 경우든, 승인되지 않은 코드가 로봇 청소기의 물리적인 역량을 활용해 네트워크 방화벽 내부를 횡적으로 움직이면서 카메라 및 마이크에 대한 접근을 얻을 수 있게 합니다. 이후 공격자는 로봇 청소기를 정보 수집의 허브로 사용하거나 봇넷 노드 중 하나로 이용할 수 있게 됩니다.

가정용 기기 취약점 진단해주는 무료 앱 출시
사물인터넷(IoT) 기기와 모바일 기기로 가득 차 있는 가정용 네트워크는 그 취약점들로 악명이 높습니다. 이에 독일의 백신업체 아비라(Avira)가 새로운 무료 애플리케이션을 출시했는데요. 사람들이 어떤 취약점이 어느 기기에 있는지, 그리고 이를 고치려면 어떻게 해야하는지 알려준다고 합니다.

이른바 ‘아비라 홈 가드(Avira Home Guard)’는 윈도우 데스크톱과 안드로이드 모바일 기기에서 이용할 수 있습니다. 이 앱은 가정용 네트워크를 스캔한 뒤, 여기에 붙어있는 모든 기기를 목록화 해줍니다. 우리집 네트워크에 이런 기기가 연결돼 있었는지 미처 몰랐던 부분들도 싹 다 찾아준다고 하네요. 그런 다음, 목록을 다시 스캔하면서 오픈포트와 알려진 취약점을 검색하고 네트워크 소유자에게 개선사항과 권고들을 제안합니다.

아비라에 따르면, 845,000개가 넘는 스마트 기기들이 아비라 홈 가드 오픈 베타 기간에 스캔됐습니다. 이 중 137,000개 이상은 라우터였는데, 4분의 1 이상이 오픈포트였다고 합니다.

아비라는 전 세계 평균적으로 가정용 네트워크 하나당 6개의 기기씩 증가하고 있다고 짚었습니다. 컴퓨터와 스마트폰 같은 전통적인 기기들은 아직까지 네트워크 상의 가장 흔한 엔드포인트 기기들이지만, 네트워크 상에서 가장 빠르게 많아지고 있는 기기는 IoT 기기인 것으로 나타났습니다.

왓츠앱과 페이스북 메신저, 기업 보안의 가장 큰 적?
기업 내부에는 위험한 애플리케이션들이 많이 가동되고 있지만, 최신 연구에 따르면 그 중에서도 가장 위험한 앱은 왓츠앱(WhatsApp) 메신저와 페이스북 메신저인 것으로 나타났습니다. 이 두 앱은 가장 인기 있는 앱들이기도 하지만, iOS에서든 안드로이드에서든 상관없이 가장 위험한 두 가지 앱이라고 합니다.

모바일 보안업체 앱쏘리티(Appthority)는 기업 고객들을 위해 2018년 2분기 ‘기업 모바일 보안 보고서(Enterprise Mobile Security Pulse Report)’를 발표했습니다. 앱쏘리티는 전체 위험 점수를 산출하기 위해 기업 내부의 앱 존재 자체와 앱의 위험요소를 복합적으로 검토했습니다.

그 결과, 왓츠앱 메신저와 페이스북 메신저가 기업 IT 그룹 내에서 가장 많이 블랙리스트에 올랐던 것으로 나타났습니다. 이들 앱은 정보유출의 위험이 가장 크기 때문에 많은 기업들이 내부에서 이용을 금지하고 있다고 앱쏘리티는 밝혔습니다.
[국제부 오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)