[글로벌 뉴스 클리핑] “호주, 국가 보안 점검” 外

오늘의 키워드 : 호주, 홈데포, 캐나다, 시리아, SCADA

캐나다 미디어 사이트, 시리아 단체에 해킹 당해

G20 끝낸 호주, 이번엔 국가 전체 사이버 점검 실시

[보안뉴스 문가용] 호주 총리가 국가 전체의 사이버 보안 점검에 나섰습니다. 6개월 동안 전문가 그룹이 호주의 기관 및 업체들의 사이버 보안 실태를 점검에 나설 예정입니다. G20이 끝난 직후인 것과 상관이 없어 보이지는 않는데 자세한 분석 기사나 내용은 아직 안 나온 듯 합니다. 그러는 와중에 시리아의 해킹 단체가 캐나다의 미디어 사이트를 해킹해 시끌시끌합니다. 시리아와 캐나다는 무슨 상관이 있을까요?

유출사고로 홍역을 겪은 홈데포는 4천 3백만 달러를 후속조치에 사용했다고 발표했습니다. 이 정도 금액이면, 이제 사업 잘 하는 것에 보안 방비를 잘 하는 것이 필수적으로 포함되어야 할 것 같습니다. 또 최근에는 스카다 환경에서 굉장히 많은 취약점 및 해킹 소식이 들립니다. 블랙 프라이데이라 소매업계도 초긴장 상태에 돌입했는데, 그 사이에 미디어 사이트 해킹에 산업 시설 해킹까지, 혼잡한 때입니다.

1. 호주 총리, 10년만의 첫 국가 사이버 보안 점검 발표(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/aussie-pm-cyber-security-review/

호주, 국가 사이버 보안 점검 실행 앞둬(The Register)

http://www.theregister.co.uk/2014/11/27/australia_to_conduct_national_cybersecurity_review/

호주에서 국가 사이버 보안 점검을 실행할 예정입니다. 호주의 총리인 토니 애봇(Tony Abbott)이 어제 발표한 것으로, 이는 2008년 이후 처음 있을 대대적인 보안 ‘행사’입니다. 이제부터 6개월간 이미 이번 점검 위원으로 임명된 전문가들이 각 기관 및 업체의 온라인 방어 및 사이버 보안 실태를 점검할 예정이며 이에 대한 보고서를 작성해야 합니다. 전문가들은 호주전경련 회장인 제니퍼 웨스타콧(Jennifer Westacott), 시스코의 최고 보안 책임자인 존 스튜어트(John Stewart), 텔스트라(Testra)의 CISO인 마이크 버기스(Mike Burgess), 국제 사이버 경찰 센터의 토비아스 피킨(Tobias Feakin)이라고 합니다.

동시에 호주 캔버라에서는 호주 사이버 보안 센터(Australian Cyber Security Center)가 창립되기도 했습니다. 보안 관련 기관들 간의 효과적인 협조를 위한 곳으로 호주 범죄 위원회, 호주 연방 경찰, 호주 보안 첩보 협의회, CERT 등과의 유기적인 협력관계를 구축 및 유지해나갈 예정이라고 합니다. 이번에 호주에서 열린 G20, 오바마 대통령의 지불 시스템 및 사이버 보안 관련 언급 등을 통해 세계 보안 표준에 대해 호주에서 뭔가 느낀 게 있는 듯한 움직입니다. 수준을 맞추기 위해 조치를 취하는 것 같은데요, 6개월 후의 결과가 결국 관건이겠네요.

2. 홈데포 해킹 사건으로 4천 3백만 달러 손실(The Register)

http://www.theregister.co.uk/2014/11/27/home_depot_hacker_hosing_cost_43_meeellion_so_far/

홈데포 유출로 인한 사건 회사 손실, 3분기에만 4천3백만 달러(Threat Post)

http://threatpost.com/home-depot-breach-cost-company-43-million-in-third-quarter/109629

두어 달 전에 발생한 홈데포 해킹 사건을 기억하시나요? 5천 6백만 건의 신용카드 정보 등 대규모 고객 정보가 유출된 사건이었죠. 11월 말이라 이제 슬슬 3분기 실적 등이 회사마다 나오고 있는 시점인데요, 홈데포에서 그 유출사건으로 인한 피해가 집계 시점까지 4천 3백만 달러에 이른다고 발표했습니다. 이는 사건으로 인한 피해복구 및 수사 비용이며 보험을 통해 보상받을 수 있는 금액은 1천 5백만 달러 정도라고 밝혔습니다. 이게 달러라서 감이 잘 안 오시는 분들을 위해 오늘자 기준으로 환산을 해보겠습니다. 4천 3백만 달러는 454억 7630만원이고, 1천 5백만 달러는 165억 6150만원입니다. 이거, 웬만한 기업에서는 아무리 재무가 탄탄해도 상당히 부담되는 금액인 듯 보입니다.

3. 캐나다의 CBS 웹 사이트 시리아 단체에 의해 해킹 당해(Security Week)

http://www.securityweek.com/canadas-cbc-websites-hacked-pro-syrian-group

시리아 전자 군, 뉴스 웹 사이트 해킹해 혼란 조성(The Register)

http://www.theregister.co.uk/2014/11/27/syrian_electronic_army_hack_newspaper_sites/

캐나다의 국영 방송사인 CBC에서 어제 자신들의 웹 사이트에서 시리아 정부의 지원을 받는 것으로 보이는 단체에 의한 해킹 흔적을 발견했다고 발표했습니다. 그리고 그에 이어 인디펜던스지나 텔레그래프지 등의 다른 미디어 사이트들에서도 비슷한 내용의 발표가 있었습니다. 이 시리아 단체는 얼마 전에 스카이프 계정, 뉴욕 타임즈, 프랑스 언론 등을 해킹한 전적이 있다고 합니다.

4. 시멘스, 치명적인 ICS 오류 패치(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/siemens-patches-critical-ics-flaws/

시멘스, WinCC 취약점 패치해(Threat Post)

http://threatpost.com/siemens-patches-wincc-vulnerabilities-likely-being-exploited/109631

산업계에 여러 운영 및 제어 시스템을 제공하고 있는 시멘스가 최근에 WinCC 애플리케이션에서 발견된 치명적인 취약점을 패치했다고 합니다. 이 취약점을 이용하면 원격에서 코드 실행이 가능해지는데, 특히 이번 취약점이 심각한 것은 그렇게 통제권을 가져가는 데 뛰어난 기술력이 필요하지 않다는 것이었습니다. 그래서 시멘스는 최대한 빨리 업데이트를 하라고 권고하고 있습니다.

WinCC 애플리케이션은 SCADA 시스템에서 돌아가는 프로그램으로 여러 산업에서 생산 과정을 시각화 해주는 기능을 가지고 있고, 그 계통에서는 거의 표준이다시피 한 물건입니다. 이건 마치 일반 사용자 컴퓨터에 흔히 깔려 있는 플래시 플레이어나 워드프로세서 프로그램에서 치명적인 취약점이 발견된 것이나 다름없습니다. SCADA 해킹이 최근 계속 뜨거운 주제네요.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)