[글로벌 뉴스 클리핑] “머릿속까지 침투 가능한 시대” 外

어도비, 대대적인 패치 발표하자마자 새로운 제로데이 등장
보다 높은 위협서비스 제공 위해 손잡은 비자와 파이어아이

[보안뉴스 주소형] 어도비가 심각한 다수의 보안취약점들을 패치 했다는 발표와 거의 동시에 러시아의 사이버범죄 그룹인 폰 스톰(Pawn Storm)이 새로운 어도비 제로데이를 통해 공격을 감행했다는 소식이 전해졌습니다. 공격과 방어 간의 정말 숨 가쁜 접전입니다. 마이크로소프트도 대대적인 패치 발표가 있었습니다. 주기적인 발표인데 이번 10월에는 많은 이들이 사용하는 마이크로소프트 오피스에서 발견된 치명적인 취약점들도 포함하여 총 33개의 취약점을 패치했다고 밝혔습니다.

예전부터 가끔씩 거론되어 왔던 이슈인데 국제 보안컨퍼런스인 브루콘(BruCON)에서 병원이나 실험실에서 사용하고 있는 헤드셋 등을 통해 해커들이 사람의 뇌파 정보까지 해킹할 수 있다는 사실이 증명되었습니다. 해커들이 이제 말 그대로 우리 머릿속까지 들어올 수 있다는 겁니다. 불면증을 치료하는 기계도 예외가 아니라고 경고했습니다. 물론 이를 통해 어디까지 악용할 수 있는지에 대해서는 논란이 많습니다. 그 외에 비자(VISA)카드와 파이어아이(FireEye)가 고객들에게 보다 높은 안전성을 보장해주기 위해 손을 잡았다는 소식도 있습니다.

1. 밑 빠진 독에 물 붓는 모양새인 패치 작업
어도비의 새로운 제로데이 악용하여 공격한 러시아 폼 스톰(Security Week)
어도비, 리더·아크로뱃·플래시에서 총 69개의 치명적인 취약점 패치 완료(Threat Post)
이번 어도비 패치에 대한 어도비의 공식 발표 내용(Adobe)
폰 스톰이 사용하는 새로운 어도비 제로데이에 대한 내용(Trend Micro)
어도비는 거의 밑 빠진 독에 물 붓기 작업 중입니다. 어도비 리더·아크로뱃·플래시에서 발견된 총 69개의 치명적인 취약점에 대해 대대적인 패치를 단행했습니다. 하지만 그와 동시에 악명 높은 러시아 사이버범죄 조직인 폰 스톰(Pawn Storm, APT 28로도 불리고 있음)이 어도비의 새로운 제로데이 익스플로잇 코드를 발견하고 이를 통해 바로 몇 개국의 외교부를 공격했습니다. 구멍을 막고 막고 또 막아도 새로운 구멍이 생깁니다. 폰 스톰이 악용한 새로운 제로데이의 경우 어도비 플래시 플레이어 19.0.0.185 및 19.0.0.207 버전이 영향권이고, 이들의 움직임은 트렌드마이크로에 의해 포착됐습니다.

2. 마이크로소프트의 10월 패치 발표
마이크로소프트사의 10월 달 정기 패치 발표, 지금 하세요!(The Register)
패치 발표도 가득 찬 마이크로소프트의 게시판(Threat Post)
마이크로소프트사가 10월 패치를 발표했습니다. 패치 한 취약점 양도 많고 위험도가 높은 것들이 대부분입니다. 특히 많은 이들이 거의 매일 사용하고 있는 마이크로소프트 오피스에서 발견된 치명적인 취약점들도 패치가 되었다고 합니다. 윈도우 최신 버전으로 업데이트 하시면 자동으로 패치가 적용된다고 합니다. 윈도우 비스타 2008 버전, 윈도우 셀(Shell)·커널(kernel)·엣지(Edge)의 취약점들도 포함되어 있다고 합니다.

3. 뇌파까지 해킹 가능한 시대
당신의 뇌파 정보까지 탈취할 수 있는 해커들(The Register)
취약한 의료기기를 통해 발생되는 끔찍한 일들(SC Magazine)
국제 보안컨퍼런스인 브루콘(BruCon)에서 아이오엑티브(IOActive)사의 수석 연구원이 해커들이 사람의 뇌파 정보까지 탈취할 수 있다는 내용에 대해 자세히 발표했습니다. 일렉트로인세팔로그래피(electroencephalography), 줄여서 EEG라고 불리는 뇌파검사를 통해 사람의 뇌를 읽고 원격조종할 수 있다고 합니다. 결국 지속해서 경고해왔던 의료기기의 보안성이 또 문제라는 것입니다. 의료기기의 허술한 보안으로 초래되는 일이 한 두개가 아니네요. 또한 이러한 뇌파정보 해킹 이슈를 두고 어디까지 신뢰해야 되는지에 대한 논란도 많습니다. 하지만 사람의 정신과 행동을 좌지우지할 수 있는 뇌에 대한 이야기다 보니 일반인 입장에서는 무섭습니다.

4. 비자카드와 파이어아이의 결합
결제산업의 위협 인텔 서비스 제공을 위해 나선 비자와 파이어아이(Security Week)
비자·파이어아이, 빠른 위협 정보 공유를 위해 협력(International Business Times)
보안 파트너십 강화한 비자와 파이어아이(ZDNet)
비자카드와 파이어아이가 발 빠른 위협 정보를 얻기 위해 서로 협력키로 했다고 밝혔습니다. 양사는 서로 파악한 위협정보를 실시간으로 공유하여 고객들에게 보다 높은 서비스를 제공할 계획이라는 입장입니다. 결국 첩보 공유 협약입니다.

5. FBI와 NASA를 해킹한 영국해커, 미국으로 송환
미국의 범죄인소환 명령에 항소한 영국해커(SC Magazine)
영국 공대생, 미국의 범죄인소환 명령에 상대로 불응 입장 밝혀(The Guardian)
오늘 자로 구글에 ‘hacking’을 검색하면 가장 많이 뜨는 내용입니다. 바로 영국에서 FBI와 NASA를 해킹한 것으로 알려진 해커를 미국이 범죄인소환 명령을 냈는데 이를 변호사까지 고용하여 정면으로 맞서고 있습니다. 주인공은 라우리 러브(Lauri Love)라는 30세의 엔지니어링 전공자입니다. 미국은 12년 징역을 예고했습니다.
[국제부 주소형 기자(sochu@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)