세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[11월 1주 뉴스쌈] 파이어폭스, 내년부터 캔버스 지문 채취 차단
  |  입력 : 2017-11-04 13:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파이어폭스의 프라이버시 강화, 오라클 OIM의 CVSS10 취약점 패치,
안드로이드에서도 발견된 코인하이브, 수사망 좁혀가는 러시아 게이트


[보안뉴스 오다인 기자= 대만 타이베이] 명색이 ‘국제부 기자’인지라 남의 나라를 와도 신문이나 잡지의 국제면(面)부터 눈이 갑니다. 목요일(2일) 타이베이 타임스(Taipei Times)의 1면은 대만의 대미(對美) 관계와 관련한 톱 기사 외에 다른 나라의 소식들로 가득 채워져 있었습니다. 영문지라도 국내 소식을 중점적으로 보도하기 마련인데, 전 세계의 뉴스를 내 나라 뉴스만큼 비중 있게 소개하는 모습을 보면서 조금 부럽기도 했습니다.

11월 첫째 주 뉴스쌈을 쓰고 있는 이곳은 대만입니다. 이번 주 뉴스쌈은 프라이버시 강화를 위한 파이어폭스의 결정, 오라클의 중요 취약점 패치, 암호화 화폐 열풍과 함께 증가하고 있는 코인하이브 채굴기 감염, 그리고 계속해서 수사망을 좁혀가는 러시아 게이트 소식을 모았습니다. 뉴스쌈과 함께 다음 주 예정된 대만의 사이버 보안 관련 기사도 기대해 주세요.

[이미지=iclickart]


토르 브라우저처럼 파이어폭스도 캔버스 지문 채취 차단한다
모질라 재단(Mozilla Foundation)이 파이어폭스 브라우저의 프라이버시를 강화하기 위해 캔버스 지문 채취(canvas fingerprinting) 기능을 제거한다고 밝혔습니다. 캔버스 지문 채취는 쿠키 없이 웹사이트 사용자를 추적하기 위해 자주 사용되는 방법인데요. 폰트, SVG 위젯, 웹 그래픽 라이브러리(Web Graphic Library) 같은 개별 브라우저의 고유한 특성을 사용해 사용자를 식별하는 방법입니다.

이처럼 캔버스 지문 채취는 개별 사용자를 식별하고 추적할 수 있는 만큼 프라이버시 침해 우려도 컸던 것이 사실입니다. 이에 모질라 재단은 2018년 1월 예정된 파이어폭스 58버전 업데이트부터 캔버스 지문 채취 기능을 제거함으로써 사용자 프라이버시를 보호하겠다고 말했습니다.

해외 보안 매체 쓰레트포스트(Threat Post)는 모질라 재단이 캔버스 지문 채취 차단 기능을 토르 브라우저에서 그대로 가져왔다고 말했습니다. 이 매체는 토르 브라우저가 거의 파이어폭스 코드로 구축돼 있다며, 대개 파이어폭스의 기능이 토르 브라우저로 흘러들어 적용되지만 이번 경우는 반대로 토르 브라우저의 기능(토르 업리프트 프로젝트, Tor Uplift Project)이 파이어폭스로 흘러들었다고 설명했습니다.

오라클, CVSS 10점 받은 취약점 패치
오라클이 오라클 아이덴티티 매니저(OIM: Oracle Identity Manager) 취약점을 패치했습니다. 이 취약점은 CVSS 10점 만점에 10점을 받았습니다. 취약점 식별번호는 ‘CVE-2017-10151’입니다.

OIM은 오라클의 퓨전 미들웨어(Fusion Middleware) 중 하나로, 사용자 관리 솔루션을 말합니다. OIM은 퓨전 미들웨어 중에서도 가장 많이 사용되는 컴포넌트라고 하는데요. 기업은 OIM을 통해 네트워크의 어떤 부분에 직원이 접근할 수 있는지 제어할 수 있다고 합니다.

오라클은 이번에 패치한 취약점을 일컬어 ‘디폴트 계정’ 취약점이라고 설명했습니다. 해외 보안 매체 블리핑컴퓨터(BleepingComputer)는 백도어 계정처럼 비밀번호가 없거나 크리덴셜이 하드코드된 계정을 가리켜 디폴트 계정 취약점이라 말한다고 풀이했습니다.

블리핑컴퓨터에 따르면, 오라클은 공격 개시 시점을 최대한 늦추고 고객에게 패치할 시간을 주기 위해 해당 취약점과 관련해 어떤 세부사항도 공개하지 않았다고 합니다.

오라클은 OIM 버전 △11.1.1.7 △11.1.1.9 △11.1.2.1.0 △11.1.2.2.0 △11.1.2.3.0 △12.2.1.3.0이 해당 취약점에 위험할 수 있으며, 이전 버전들도 취약할지 모른다고 경고했습니다. 블리핑컴퓨터는 지난 10월 16일 오라클이 배포한 보안 업데이트(CPU: Critical Patch Update)에 이번 취약점이 포함돼 있지 않았다며 오라클의 최신 공지를 확인하고 패치 요구에 따르라고 조언했습니다.

코인하이브 채굴기, 안드로이드 앱에서도 발견
지난 주 목요일(26일) 보도된 ‘코인하이브(Coinhive)’ 기사, 기억하시나요? 코인하이브는 웹사이트 방문자의 개별 CPU 파워를 이용해 암호화 화폐를 채굴하는 서비스로, 새로운 웹사이트 수익 모델로 부상하고 있다고 말씀드렸는데요. 이 코인하이브 채굴기가 안드로이드 앱에서도 발견됐습니다.

30일 블로그에서 보안 업체 트렌드 마이크로(Trend Micro)는 “모바일 기기로 얼마나 많은 암호화 화폐를 채굴할 수 있을지 의문이 남는다”고 운을 떼면서도 “채굴기에 감염되면 기기가 닳고 배터리 수명이 줄어든다는 점은 분명하다”고 지적했습니다. 이어 트렌드 마이크로는 악성 암호화 화폐 채굴기에 감염된 애플리케이션이 구글 플레이에서 발견됐다고 지적했습니다.

트렌드 마이크로는 ‘Recitiamo Santo Rosario Free’와 ‘SafetyNet Wireless App’에서 코인하이브의 자바스크립트 암호화 화폐 채굴기가 탐지됐다며, 두 가지 애플리케이션 모두 코인하이브에서 자바스크립트 라이브러리 코드를 로드한 뒤 공격자의 사이트 키로 채굴을 시작한다고 설명했습니다.

이어 트렌드 마이크로는 해당 자바스크립트 코드가 애플리케이션의 웹뷰(webview) 내에서 작동하긴 하지만 기본 설정이 비가시화 모드(invisible mode)로 돼 있기 때문에 사용자에게는 보이지 않는다고도 밝혔습니다.

미국 검사가 러시아 정부 관료를 기소할지도 모른다
2016년 미국 대선 당시 러시아 정부의 부정 개입을 수사하고 있는 미국 검사 측이 러시아 공무원들을 기소할지도 모른다는 가능성이 제기됐습니다. 미국의 월스트리트저널(Wall Street Journal)은 미국 법무부를 인용해 2016년 미국 대선과 관련해 민주당 전국위원회(DNC) 컴퓨터를 해킹한 뒤 해당 정보를 대중에 유포한 혐의로, 최소한 6명의 러시아 정부 관료를 가려낼 수 있었다고 말했습니다.

월스트리트저널은 기소 여부에 대한 논의는 아직 진행 중이지만 해당 러시아 정부 관료들을 기소할 수 있는 증거는 이미 수집된 상태이며 미국 검사들이 이번 사건을 2018년까지 이어갈 수도 있다고 지적했습니다. 이 매체는 미국 첩보기관이 러시아 정부 관료의 미 대선 개입을 구체적으로 어떻게 확인할 수 있었는지 드러난 바 없다며, 이번 기소가 확정될 경우 민주당 해킹 사건에 연루된 자들에 대해 보다 명확하게 알 수 있을 것이라고 짚었습니다.
[국제부 오다인 기자=대만 타이베이(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)