세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[11월 5주 뉴스쌈] “비트코인 이용자 정보 국세청으로”
  |  입력 : 2017-12-02 20:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2014년 야후 해킹 재판, 미국 국세청 vs. 코인베이스
구글의 잠금 화면 광고 금지, 페이스북 사진 삭제 버그
HP 컴퓨터의 속도 저하시키는 텔레메트리 논란까지


[보안뉴스 오다인 기자] 아무리 복잡한 문제라도 하나씩 실마리를 풀다보면 결국엔 완전한 그림을 볼 수 있게 되는 것 같습니다. 거대한 사건이 터져 한때 세상이 들썩였더라도 결국 범인은 꼬리가 밟히더라는 사실을, 무궁무진하고 어렵기만 한 사이버 보안의 사건·사고 속에서 느낄 수 있었습니다.

12월의 초입입니다. 이번 주 뉴스쌈은 2014년 야후 해킹 재판 등 미국의 유의미한 재판 소식들부터 구글의 잠금 화면 광고 금지, 페이스북의 사진 삭제 버그, HP 컴퓨터의 텔레메트리에 대한 고객 불만 소식까지 준비해 봤습니다. 따뜻한 주말 보내십시오.

[이미지=iclickart]


2014년 야후 해킹 용의자 바라토프 유죄 인정
2014년 야후 정보유출 사태와 관련해 22세 캐나다 국적의 카림 바라토프(Karim Baratov)가 유죄를 인정했습니다. 바라토프는 웹메일 이용자 크리덴셜을 훔친 혐의를 받았으며, 러시아 연방보안국(FSB)을 위해 이 같은 범행을 저질렀다고 인정했습니다.

바라토프는 러시아 연방보안국이 주시하는 사람들의 웹 메일 크리덴셜 11,000건 이상을 빼돌린 것으로 드러났습니다. 그는 ‘케이(Kay)’, ‘카림 탈로베로프(Karim Taloverov)’, ‘카림 아케흐멧 토크베르게노프(Karim Akehmet Tokbergenov)’ 등의 이름으로도 활동했습니다.

야후 사건에는 총 4명의 혐의자가 기소된 상태입니다. 바라토프만 캐나다 국적이고 나머지 3명은 러시아 국적입니다. 바라토프와 함께 기소된 3명의 러시아인은 이고르 수시친(Igor Sushchin), 드미트리 도쿠차에프(Dmitry Dokuchaev), 알렉세이 벨란(Alexsey Belan)입니다. 수시친은 전직 러시아 연방보안국 요원이었고, 도쿠차에프 역시 전직 러시아 연방보안국 직원이었으나 반역죄로 체포된 적 있다고 합니다. 벨란은 유명한 러시아 해커라고 하네요.

바라토프는 러시아 연방보안국이 지목한 사람들의 웹메일 계정들을 해킹했으며 빼돌린 크리덴셜을 도쿠차에프에게 발송했다고 시인했습니다. 그는 러시아 연방보안국을 위해 2010년부터 2017년 3월까지 웹메일 계정을 해킹했으며, 주로 스피어 피싱을 활용한 것으로 드러났습니다.

현재 바라토프는 미국 캘리포니아 주에 보석 불허로 구금돼 있으며, 2018년 2월 20일 미국 샌프란시스코 지방법원에서 형을 선고받을 예정입니다.

미 법원, “비트코인 이용자 정보 국세청에 넘겨라”
미국 캘리포니아 연방법원이 미국의 암호화 화폐 거래소 코인베이스(Coinbase)에 약 14,000명에 달하는 이용자 세부정보를 국세청(IRS)에 넘기라고 판결했습니다. 이번 판결로 인해 현재 뜨거운 논란에 휩싸여 있는 암호화 화폐 규제 및 세금 문제와 관련해 중요한 선례가 마련될지 주목됩니다.

2016년 11월 미국 국세청은 2013년 1월 1일부터 2016년 12월 31일까지 비트코인을 거래한 모든 미국 시민들에 대한 정보를 제공하라며 코인베이스를 상대로 소송을 제기했습니다. 미국 국세청은 이 기간 동안 비트코인 거래에 대해 세금을 지불한 미국 시민이 단 900명밖에 되지 않는다며 이 같이 소송을 제기했습니다. 코인베이스는 자사 고객이 수백만 명이며, 대부분이 미국 거주자라고 밝힌 바 있다고 해외 보안 매체 블리핑컴퓨터(Bleeping Computer)가 지적했습니다.

지난해 당시 미국 국세청은 소송 대상이 너무 광범위하다는 판결로 인해 패했으나, 이후 2013년 1월 1일부터 2015년 12월 31일 사이 1년에 20,000달러 이상의 비트코인을 구입·판매·전송·수신한 적이 있는 코인베이스 미국인 이용자라면 미국 국세청에 개인정보를 넘겨야 한다는 새로운 소송을 제기하면서 승소했습니다.

미국 국세청은 코인베이스가 이용자 실명, 생년월일, 주소, 비트코인 지갑 ID, 세금 ID 번호 등을 제공해야 한다고 요구했습니다.

구글이 잠금 화면의 광고 게재를 금지한다
구글 플레이 개발자 정책 센터가 잠금 화면에 광고를 게재하는 애플리케이션을 구글 플레이 스토어에서 금지한다고 발표했습니다. 현재 구글 플레이 개발자 정책 센터에 들어가 보면, 구글은 △사기성 광고 △잠금 화면을 통한 수익 창출 △불편을 야기하는 광고 △앱, 타사 광고 또는 기기 기능 방해 △부적절한 광고 △안드로이드 광고 ID 사용 등으로 구글 플레이 스토어에서의 광고 정책을 규정하고 있는데, 이 가운데 잠금 화면을 통한 수익 창출이라는 부분이 새롭게 도입된 것입니다.

이 부분에서 구글은 “앱의 유일한 목적이 잠금 화면을 통한 수익 창출이 아닌 이상, 기기의 잠금 화면을 통해 수익을 창출하는 광고나 기능을 앱에 도입할 수 없다”고 명시했습니다. 즉, 잠금 화면 기능 자체와 직접적으로 연관되거나 이를 개선하려는 목적이 아니면 다른 모든 유형의 광고나 기능이 금지된다는 뜻입니다. 구글은 정책 위반 앱들을 언제부터 플레이 스토어에서 퇴출시킬 것인지 등 자세한 사항에 대해서는 아직 밝히지 않았습니다.

페이스북에서 사진 삭제 버그 발견
지난 11월 초, 페이스북에서 사진 삭제 버그가 발견됐습니다. 이란의 웹 개발자인 포우야 다라비(Pouya Darabi)는 페이스북의 새로운 투표(poll) 기능에서 이 같은 취약점을 발견한 뒤, 페이스북에 제보했습니다. 다라비는 페이스북으로부터 10,000달러의 포상금을 받았습니다.

다라비는 페이스북이 새로 도입한 투표 기능을 분석한 결과, 투표를 새로 생성할 때 누구나 해당 이미지 ID와 GIF URL을 바꿀 수 있다는 사실을 발견했습니다. 구체적으로, 페이스북 상의 그 어떤 사진이라도 이미지 ID만 가지고 페이스북 서버에 요청을 보내면 투표 페이지 사진이 그 사진으로 대체됐던 것입니다.

이전에도 다라비는 사이트 간 요청 위조(CSRF: Cross Site Request Forgery) 보호 시스템을 우회해 2015년 페이스북으로부터 15,000달러의 버그바운티 포상금을 받은 바 있으며, 2016년에도 7,500달러의 포상금을 받은 바 있는 것으로 알려졌습니다.

HP 컴퓨터에 깔린 건 스파이웨어? 속도 떨어뜨리는 텔레메트리
HP 윈도우즈 PC 및 노트북 이용자들이 HP가 고객의 승인을 묻지도 않고 스파이웨어를 설치했다고 항의한 것으로 알려졌습니다. 이용자들이 스파이웨어라고 가리킨 애플리케이션은 ‘HP 터치포인트 애널리틱스 클라이언트(HP Touchpoint Analytics Client)’라고 불리는 서비스로서, HP가 도입한 윈도우즈 텔레메트리(Telemetry)였다고 해외 보안 매체 해커뉴스(Hacker News)가 보도했습니다.

해커뉴스는 HP 고객들이 이 같은 불만을 제기한 이유가 컴퓨터 속도 저하 때문이었다고 지적했습니다. HP 고객들은 컴퓨터가 갑자기 느려져서 원인을 파악해 보니, HP 터치포인트 애널리틱스 클라이언트라는 프로그램 때문이었다고 지목했다고 이 매체는 언급했습니다. HP 고객들을 더 화나게 한 건 이 프로그램이 이용자 몰래 설치됐기 때문이라고 이 매체는 덧붙였습니다. 이용자 동의가 필수라는 거 아직도 상식은 아닌가 봅니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)