[글로벌 뉴스 클리핑] “갤럭시 엣지에서 11개 버그” 外

구글 프로젝트 제로, 갤럭시 엣지에서 버그 11개 발견
영국에서 암호화된 통신 제한하는 법안 나와 - 통과될까?

[보안뉴스 문가용] 안드로이드와 iOS의 양 진영 모두에서 시끄러운 소리가 나왔습니다. 일단 삼성 갤럭시 S6 엣지에서 11개의 취약점이 발견되었고, 그 중 8개가 픽스되었다는 소식이 있고, 애플 iOS9에까지 침투가 가능한 엑스코드고스트 신종이 발견되었다는 소식도 있습니다. 아무 직원이나 국방부에 파견했다가 큰 벌금을 물게 생긴 기업도 있고, 셀프 주유소는 보안을 위해서라도 사람을 고용해야 하게 생겼습니다.

▲ 저 광활한 갤럭시에 취약점이 없을 리 없어...

1. 삼성 갤럭시 S6 엣지의 취약점
구글 프로젝트 제로팀, 갤럭시 S6 엣지에서 11개 버그 발견(Threat Post)
구글, 갤럭시 S6 엣지서 심각한 오류 발견(Security Week)
구글의 보안 전문가들, 갤럭시 S6 에지 해부(CSOOnline)
구글의 보안 전문팀인 프로젝트 제로(Project Zero)가 삼성의 기기인 갤럭시 S6 엣지에서 11개의 버그를 발견했다고 합니다. 11개가 전부 심각한 위험성을 내포하고 있으며 CVE-2015-7888~CVE-2015-7898까지 등록이 되었습니다. 그중 가장 심각한 건 7888번 버그로 WifiHs20UtilityService에 있는 것이며 임의 파일 생성을 가능하게 한다고 합니다. 이중 8개는 해결이 된 상태며 3개는 이번 달 안에 삼성이 패치할 예정입니다.

2. 애플과 애플페이
새로운 엑스코드고스트 등장, iOS 9도 뚫어(Threat Post)
애플페이 사용자들, 가족 지문까지 저장하는 것은 금물(SC Magazine)
새로운 엑스코드고스트가 나왔습니다. 이번 버전은 더 강력해져서 iOS9에도 숨어들 수가 있다고 합니다. 게다가 중국에서만 거의 유행하고 있던 것이 미국에서도 발견되었다고 하니, 정말 ‘발견’하는 것과 ‘막는 것’에는 큰 차이가 있나 봅니다. 한편 금융권에서는 애플페이 사용자들에게 ‘가족의 지문을 한 기기에 모두 등록하지 말라’고 권고했습니다. 당연한 내용이긴 하지만, 사용자들이 얼마나 이 말을 들을지는 모르겠습니다.

3. 정부들의 움직임
미국 정부, 새로운 사이버 보안 전략 시작(Infosecurity Magazine)
미국 정부, 정부 기관을 위한 프라이버시 프레임워크 발표(SC Magazine)
영국의 새로운 법안, 암호화 사용 제한할 듯(Dark Reading)
미국 정부가 몇 차례 심각한 해킹 사고 및 유출 사고를 겪으며, 새로운 보안 대책을 마련했습니다. 이름하야 CSIP(Cybersecurity Strategy Implementation Plan)인데, 이는 공공기관의 사이버 보안을 강화하기 위한 ‘첫 단추’일 뿐이라고 합니다. 즉 앞으로 이런 비슷한 정책들이 더 나올 예정이라는 예고편인 것이죠. 또한 동시에 a130이라고 하는 프라이버시 프레임워크도 등장했습니다. 공무원들은 단 한 명도 빠짐없이 프라이버시 관련 교육을 받아야 한다는 내용이 골자라고 합니다.

한편 어제는 영국에서도 새로운 법안 마련을 예고했다는 기사가 나왔는데요, 어제까지는 ‘프라이버시’에 초점을 맞춘다는 내용이어서 의외다 싶었는데, 역시나, 암호화 사용을 제한하는 내용이 주를 이룬다고 합니다. 정부가 나서서 통신 암호화를 제한한다니, 이 법안의 행방도 지켜봐야 할 거 같습니다.

4. 체포, 벌금
직원 보안 관리 못한 죄로 엄청난 벌금 문 두 회사(Infosecurity Magazine)
영국 토크토크 사건의 네 번째 용의자 체포, 이번에도 10대(Security Week)
미국 정부와 계약을 맺고 일을 진행하던 IT 업체인 넷크래커(NetCracker)와 CSC가 각각 1천 1백 4십만 달러와 135만 달러의 벌금을 물게 되었습니다. 사유는, 작업을 위해 국방부로 파견을 보낸 직원이 비밀 취급 인가를 안 받은 인물들이었다는 겁니다. 근데 사실 이들을 통과시켜준 국방부도 잘못이 있는 거 아닌가요. 보안 인식의 허술함이 드러나는 부분입니다. 영국 토크토크 해킹 사건도 아직 미해결인데, 네 번째 용의자가 체포되었습니다. 이번에도 10대라고 합니다.

5. 공격, 공격, 공격
새로운 공격 등장, 이름은 페이앳펌프(CU Infosecurity)
동유럽발 봇넷, 러시아 은행 노려(CSOOnline)
페이앳펌프(Pay at Pump)라는 공격이 발견되었습니다. 셀프서비스 주유소를 노린 공격으로 POS 공격의 또 다른 유형이라고 분류가 가능합니다. 현재 미국은 이 사기수법으로 인해 수백만 달러의 손해가 발생했으며 대대적인 수배령까지 내려진 상태라고 합니다. 셀프주유소에는 사람이 없기 때문에 공격자들의 범죄가 매우 쉽다는 장점이 있는데요, 이거 한국에도 수입될 가능성이 높을 듯 합니다. 또 러시아 은행권을 노리는 새로운 봇넷이 발견되었는데요, 비슷한 지역인 동유럽 지역의 해커들이 한 짓으로 생각되고 있습니다. 이건 사실 한국으로 넘어올 가능성이 적어 보입니다.

6. 시장의 추이
떠오르는 시장, 아이덴티티와 접근권한 관리(Infosecurity Magazine)
블랙베리, 굿테크놀로지 인수(Security Week)
국제 기술기업/통신업체들의 사용자 권리 준수 랭킹 등장(SC Magazine)
아이덴티티 관리 및 접근권한 관리 시장이 떠오르고 있습니다. 2022년까지는 시장 규모가 245억5천만 달러에 달할 것이라는 전망이 나올 정도입니다. 블랙베리는 모바일 보안 솔루션 전문 기업인 굿 테크놀로지(Good Technology)를 4억 2천5백만 달러에 인수 완료했다는 소식도 있습니다.

한편 정부들이 강한 통제권을 거머쥐려고 하는 움직임을 자꾸 보이는 것에 대한 반발인지, 세계적인 IT 기업들이 얼마나 사용자의 권리를 보장해주는지를 중점으로 순위를 발표하는 새로운 국제 단체가 등장했습니다. 그 첫 보고서에 따르면 1위는 구글, 2위가 야후라고 합니다. 총 16개의 기업 중 9개가 ‘의미있는 노력을 하고 있다’는 평을 받았으며, 특히 통신회사들이 좀 더 사용자의 권리를 위해 노력할 필요가 있다고 하네요.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)