[글로벌 뉴스 클리핑] “PoS 시스템, ATM 잇따른 해킹” 外

매일 아침 뽑아보는 해외 뉴스 토픽

오늘의 키워드 : 스테이플즈, ATM, 애플 패치, 페북 하드웨어 인증

[보안뉴스 문가용] 분위기가 심상치 않습니다. 기존의 지불 방식이 바뀌어가는 시점에 그걸 가속화시키려는 듯 PoS 시스템에서 자꾸만 사고가 터집니다. 이와 맞물려 ATM 기기도 폐기처리 되어야 할 판인가 하면 안드로이드의 NFC도 해킹당했습니다. 경제라는 커다란 구조의 작은 끝단부터 흔들리기 시작하고 있는데요, 영원할 것 같았던 팍스 로마나도 먼 국경에서부터 야금야금 깨져갔듯이 어쩌면 경제 체제 자체가 우리가 전혀 상상하지 못한 모양으로, 우리가 예상하는 것보다 훨씬 빠른 시일 내에 바뀔지도 모르겠습니다. 더 가깝게는, 경제계와 보안계는 어쩔 수 없이 지금보다 훨씬 더 돈독해져야 할 흐름이군요.

1. 시스코 제품들 중 일부, 푸들 공격에 취약한 것으로 드러나(Security Week)

http://www.securityweek.com/cisco-products-vulnerable-poodle-attacks

지금 여러 기술 회사들이 가장 시급하게 패치하고 있는 게 쉘쇼크 취약점과 푸들 공격이죠. 시스코도 자사 제품들을 점검하고 있는데 푸들 공격에 취약하다고 밝힌 제품은 Webex Social, AnyConnect, ACE, CIMC, Cloud Web Security 등입니다.

2. 구글, 계정보호 위해 하드웨어 보안 키 도입(Threat Post)

http://threatpost.com/google-adds-hardware-security-key-for-account-protection/108943

구글이 2중 인증을 시작한 지 근 4년째인데요, 최근엔 하드웨어 인증을 도입했습니다. 작은 USB 토큰이며 아마존 등에서 구입이 가능하다고 합니다. 가짜 지메일 로그인 사이트가 너무 많아서 이를 도입했다고 하는데, 관계자 말 들어보니 크롬을 사용할 때만 제대로 작동이 되는 것 같기도 합니다.

3. 스테이플즈, 카드 정보 유출된 듯(Threat Post)

http://threatpost.com/staples-looking-into-potential-payment-card-breach/108946

대형 사무용품 체인인 스테이플즈에서 카드 정보 유출 가능성을 두고 수사를 벌이고 있다고 합니다. 오바마 대통령의 명령과 애플 페이의 등장으로 미국 지불 시스템에 대대적인 변화가 있을 예정인데, 보수적인 미국 시장이라지만 이런 사고가 자꾸 잇따르니 그 변화 속도가 더 빨라질 것 같습니다.

4. 애플, OS X, 서버, 아이튠용 대규모 보안 패치 발표(The Register)

http://www.theregister.co.uk/2014/10/17/apple_releases_mega_security_patch_round_for_osx_server_and_itunes/

애플이 150가지 CVE 취약점들을 보완하는 패치를 조용하게 발표했다는 소식입니다. 그중 45개는 새로 발표한 요세미티 운영체제에 해당합니다. 83개는 아이튠 패치라고 하는군요. 푸들 및 쉘쇼크에 대한 패치도 역시 포함되어 있습니다.

5. ATM 기기 해킹, 갈수록 심각(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/aging-atms-draw-intense-criminal/

ATM라는 걸 처음 사용했을 때, 입이 떡 벌어졌던 기억이 나는데 그게 벌써 20년도 더된 이야기 같습니다. 당연히 이제는 낡은 기술이 되어버렸고, 그 낡음 속 취약점을 파고드는 해커들이 늘어나고 있는 모양입니다. 최근 말레이시아에서는 18개의 ATM 기기를 통해 백만 불이 도난당하는 사건도 있었다고 합니다.

6. 페이스북, 인터넷 뒤져 도난당한 암호 찾기 나서(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/facebook-scours-web-for-stolen/

사용자들이 대부분 여러 인터넷 사이트에서 같은 ID와 암호를 사용하기 때문에 그런 식별 정보가 해커들에게 돈이 된다는 건 익히 알려진 사실입니다. 요즘은 해커들이 공개적으로 식별 정보를 포스팅 하는 경우가 늘어나고 있는데 페이스북이 이런 정보를 찾아내서 사용자들에게 알려주는 시스템을 도입했다고 합니다.

7. 미국 스테이플즈에서 유출사고 발생(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/staples-calls-cops-after-card/

3번과 동일한 기사입니다.

8. 미국 스테이플즈, 유출사고 수사 시작(CU Infosecurity)

http://www.cuinfosecurity.com/staples-launches-breach-investigation-a-7459

3번과 동일한 기사입니다.

9. ATM 터는 데에 멀웨어조차 필요치 않아(CU Infosecurity)

http://www.cuinfosecurity.com/hacking-atms-no-malware-required-a-7460

블랙햇 유럽에서도 ATM 해킹에 관한 강연이 있었네요. 오래된 ATM에는 멀웨어조차 필요치 않다고 하니, 이에 대해 조금 아는 사람에게는 그냥 열려있는 금고나 다름없는 상황입니다. 작은 컴퓨터 하나만 있으면 인출 준비 끝이라고 하는데, 요즘 작은 컴퓨터는 굉장히 흔하죠. 아직 우리나라의 ATM은 비교적 신형이라 - 오래된 외국 ATM 기기는 터치스크린은커녕 8비트 도스 화면 같은 것도 흔합니다 - 아직은 먼 나라 이야기 같습니다만.

10. 안드로이드 NFC 해킹하면 대중교통 공짜로 이용 가능(Secure List)

http://securelist.com/blog/virus-watch/67283/android-nfc-hack-allow-users-to-have-free-rides-in-public-transportation/

칠레에서 안드로이드폰의 NFC 시스템을 공짜로 충전하는 법이 급속도로 퍼지고 있어 파장이 예상되고 있습니다. 안드로이드 NFC 시스템은 우리나라에서도 널리 사용되고 있지요. 모바일 결제가 점점 확산되고 있는 때, 즉 과도기라고 볼 수 있는 때라서 그런지 어김없이 사고가 터지는군요.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)