[글로벌 뉴스 클리핑] “야후, 이메일 암호 없애” 外

야후 이메일, 모바일 인증시 암호 입력 과정 없애
어도비, 엊그제 패치하더니 다음 주 또 긴급 패치 예정

[

보안뉴스 문가용] 야후가 대단한 한 걸음을 취했습니다. 말도 많고 탈도 많은 암호, 그러나 아무도 과감히 없애버리지 못했던 암호를 일부 없앤 것입니다. 이제 모바일에서 야후 이메일에 접속하려면 암호가 아니라 야후가 보낸 메시지를 터치하기만 하면 된다고 합니다. 해커들이라면 이 새로운 보안 시스템을 뚫어내보고 싶을 듯 합니다.

정부들은 여전히 대형 IT 업체에 정보를 요구하기도 하고 콘텐츠를 삭제해달라고 하기도 합니다. 동시에 합법적이라는 스파이웨어를 사용하고 있기도 하고요. 한편 외국에서는 리벤지 포르노가 심각한 범죄로 떠오르고 있습니다. 그래서 성인 사이트에서, 또 캘리포니아 주정부에서 주도적으로 나서서 이를 근절시키기 위해 나섰습니다.

1. 야후 이메일, 암호는 이제 그만
야후 이메일 업그레이드 완료. 모바일에선 암호 입력 필요 없어(Security Week)
야후의 새로운 메일 방침! 암호여 안녕!(CSOOnline)
야후가 이메일을 개편했습니다. PC 버전에는 별다른 변화가 없지만 모바일 버전에 큰 변화가 있었는데요, 바로 인증 과정에서 암호를 뺀 것입니다. 물론 옵션으로 사용자에 따라 암호를 그대로 사용할 수도 있습니다. 새 인증과정을 사용하면 사용자의 모바일로 인증 메시지가 가고, 그걸 확인만 해주면 된다고 합니다. 인증의 간편화로 암호가 점점 설 곳을 잃고 있습니다.

2. 어도비 또 패치
어도비 또 업그레이드! 다음 주 긴급 패치 발표 예정(Threat Post)
어도비, 러시아 해커들이 익스플로잇한 제로데이 취약점 패치 예정(Security Week)
어도비가 엊그제 업그레이드를 한 데 이어 또 한번 긴급 패치를 다음 주로 예정했습니다. 러시아의 해커들이 지난 10월 19일 제로데이를 발견해 익스플로잇한 사건 때문입니다. 해당 취약점은 CVE-2015-7645라고 하며 플래시 플레이어에 있는 것이라고 합니다. 어도비가 사이버 생태계에 갖고 있는 지분이 잦은 공격에 어떤 영향을 받을지 길게 지켜보게 됩니다.

3. 정부들의 움직임
MS 투명성 보고서 발표, 특정 콘텐츠 삭제 요청 드러나(Threat Post)
핀피셔 스파이웨어 사용하는 정부 계속 늘어난다(Security Week)
MS에서 투명성 보고서를 발표했습니다. 이번에 주목할 점은 정부기관 등에서 계속해서 정보를 요구했다는 것과 빙과 같은 검색엔진 및 기타 다른 MS 서비스에서 특정 콘텐츠를 지워달라는 요청을 받았다는 겁니다. 중국 정부가 콘텐츠 삭제 요청을 가장 많이 했다고 합니다. 또한 저작권이나 유럽사법재판소 등의 판결문이 근거가 된 경우 삭제 요청을 거절하는 게 불가능했다고도 합니다.

또, 이는 MS 투명성 보고서와는 다른 소식인데, 독일에서 개발한 합법적인 스파이웨어인 핀피셔(FinFisher)를 사용하는 정부가 계속 늘고 있다는 겁니다. 얼마 전 해킹팀 사건으로 불거진 ‘스파이웨어 사용하는 정부 고객 명단’이 상기되는 소식인데, 당시 ‘인권 후진국’이 고객 명단에 많았었죠. 이번 핀피셔 고객들 역시 그런 나라들과 비슷한 국가들이라고 합니다. 한국도 있을까요?

4. 리벤지 포르노
폰허브, 리벤지 포르노 피해자들이 콘텐츠 삭제토록 돕는다(SC Magazine)
캘리포니아 주, 리벤지 포르노 대처하기 위한 계획 발표(SC Magazine)
복수를 위해 남의 민감한 사생활을 허락 없이 노출시키는 ‘리벤지 포르노’가 갈수록 심각해지고 있습니다. 성인 사이트인 폰허브(Pornhub)에서 리벤지 포르노의 피해자들이 요청을 할 경우 해당 콘텐츠를 삭제시킨다고 합니다. 그래서 그런 신청을 할 수 있도록 새로운 코너를 마련했다고 합니다. 캘리포니아 주도 리벤지 포르노에 대항하려는 계획을 만들어 발표했습니다. 주 정부가 나설 정도니, 많이 심각한가 보네요.

5. 해킹사건
카지노 턴 해커들, 15만 카지노 고객 신용카드 정보 훔쳐(SC Magazine)
EA의 것으로 보이는 자료 대량 유출, 해킹당한 듯(CSOOnline)
일본 사용자 노리는 브롤럭스 멀웨어(Security Week)
이름을 아직 밝히지 않은 카지노 업소에서 해킹 사건이 일어났습니다. 15만 고객의 개인정보가 유출되었다고 합니다. 파이어아이가 현재 해커를 추적 중에 있습니다. 유명 PC 게임 제작사인 EA에서도 해킹이 일어난 듯 합니다.

EA의 고객정보가 어제 페이스트빈(Pastebin)에 대량으로 올라온 겁니다. 현재 EA는 이 건에 대해 수사 중에 있습니다. 일본의 사이버 범죄가 늘어난다고 하더니 이번에 또 일본의 금융권을 노리는 새로운 멀웨어가 발견됐습니다. 이름은 브롤럭스(Brolux)라고 하고 플래시 플레이어의 취약점(CVE-2015-5119)과 IE의 취약점(CVE-2014-6334)을 공략한다고 합니다.

6. 패치 소식
SAP 제품에서 심각한 취약점 발견, 패치(Security Week)
영국 로이드 은행 그룹, 계정 스누핑 공격 막기 위해 패치(The Register)
제목 그대로입니다. SAP 제품군에서 발견된 취약점이 패치되었고 거대 금융그룹인 로이드에서 계정 스누핑 공격이 일어나 패치 작업을 완료했다고 합니다. SAP 측에서는 익스플로잇이 되기 전에 발견한 거라 피해가 발생하지 않았지만 로이드의 경우 2만 3천명 정도가 피해를 봤다고 합니다.

7. 인수합병
피시미, 말커버리 시큐리티 인수(Infosecurity Magazine)
피싱 공격에 대항하는 두 기업이 하나로 합쳐졌습니다. 피시미(PhishMe)가 말커버리 시큐리티(Malcovery Security)를 인수했다는 건데요, 이번 달만 보안 업체의 인수합병이 세 건이나 일어났네요(라피드7의 로젠트리즈 인수, 웜뱃 시큐리티의 쓰레트심 인수).
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)