세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[4월 2주 뉴스쌈] 에어갭 무력화하는 송전선 취약점 발견
  |  입력 : 2018-04-15 14:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에어갭 무력화 연구 결과, 해고 화풀이로 회사 해킹,
우버-FTC 합의안, 사이트락 및 팔로알토 인수 소식


[보안뉴스 오다인 기자] “보안은 과정이지 결과가 아니다(Security is a process, not a product).” 브루스 슈나이어(Bruce Schneier)의 문장입니다. 보안업계에서 자주 회자되는 이 말은 “100%의 보안은 없다”라는 말과도 상통하는 것 같습니다. 100% 안심하고 싶은 욕망과 100% 투자는 하고 싶지 않은 심리 사이에서 보안은 조금씩 영토를 넓혀가고 있습니다. 4월 둘째 주 뉴스쌈은 완벽한 보안은 없다는 사실을 다시 상기시키는 벤구리온 대학교의 연구 결과와 함께 여러 해외 소식을 묶었습니다.

[이미지=iclickart]


송전선 취약점, 에어갭 무력화한다
‘에어갭(air gap)’을 컴퓨터 보안의 ‘끝판왕’처럼 생각하는 보안 전문가들이 있습니다. 네트워크 케이블이나 무선 네트워크에 연결되지 않는 한 안전하다고 생각하는 것이죠. 그러나 이제는 생각을 좀 바꿔야 될 것 같습니다.

이스라엘 국립대학인 네게브 벤구리온 대학교(Ben-Gurion University of the Negev)의 연구 때문인데요. 이곳 연구진은 컴퓨터의 전력 소모를 제어하는 멀웨어를 이용해 에어갭, 즉 망분리된 컴퓨터에서 데이터를 추출하는 방법을 알아냈습니다.

이들은 전력 제어 외에 특별한 일을 하지 않는 CPU 코어에 워크로드를 추가함으로써 해당 컴퓨터가 쓰고 있는 총 전력량을 바꿀 수 있었습니다. 그 결과, 송전선의 FM 전파를 확보할 수 있었습니다. 이런 공격이 전력 케이블 근처에서 진행됐을 때 해당 시스템 정보가 추출됐습니다.

연구진은 이 멀웨어를 ‘파워해머(PowerHammer)’라고 명명했습니다. 아직까지 실제 피해 사례는 목격된 바 없지만 만일 파워해머 또는 이와 유사한 멀웨어가 현실에 등장한다면 그 무엇도 안전하지 않다고 전문가들은 우려했습니다.

해고 화풀이로 회사 DB 해킹... 집행유예 5년
미국 항공사 펜에어(PenAir)에서 한때 데이터베이스(DB) 관리자로 일했던 사람이 이 회사의 티켓팅 및 예약 시스템을 해킹한 데 대해 집행유예 5년을 판결 받았습니다. 자신을 해고한 데 대한 화풀이(?)가 해킹의 원인으로 추정됩니다.

미국 캘리포니아 주 출신의 수제트 쿠글러(Suzette Kugler, 59세)는 2017년 2월 펜에어에서 해고됐습니다. 이후 4월부터 5월까지 쿠글러는 펜에어 시스템을 해킹했습니다. 그는 펜에어 DB 시스템에 대해 이미 알고 있던 정보를 활용해 특권 크리덴셜을 허위로 만들었습니다. 특권 크리덴셜로 무얼 했냐고요? 핵심 데이터를 삭제하고 항공사 직원들이 예약·티켓팅·수정·탑승하는 걸 차단했습니다. 승객들은 무슨 죄일까요.

미국 지방법원 섀론 글리슨(Sharon Gleason) 판사는 쿠글러를 집행유예 5년에 처하고 봉사활동 250시간을 판결했습니다. 또 펜에어가 입은 피해에 대해 벌금 5,616달러(약 600만 원)를 내야 한다고 판결했습니다.

우버, 정보유출 숨긴 대가 톡톡히 치르나
우버(Uber)가 미국 연방거래위원회(FTC)와의 합의 수준을 높이기로 결정했습니다. 지난해 FTC는 우버가 고객 프라이버시 및 정보보안 운영 내용을 속였다면서 이 업체를 기소했습니다. 새로운 합의안은 2016년 우버의 대규모 정보유출을 고려한 수준입니다.

앞서 2017년 8월에 첫 합의안이 제시됐습니다. 당시 FTC는 우버가 승객 및 운전자 정보를 직원들이 면밀하게 모니터링하지 않는다고 지적했습니다. 서드파티 클라우드 서버에 개인정보를 안전하게 보관하고 있다는 주장도 우버가 이행하지 않았다고 짚었고요.

이후 FTC는 우버가 2016년 발생한 대규모 이용자 정보유출을 숨겼다는 사실도 파악했습니다. 일전의 그 합의안을 검토하는 와중에 말이죠. 조사 결과, 우버는 2016년 사건을 인지한 뒤 공격자에게 입 다무는 대가로 10만 달러(약 1억 700만 원)를 제시했던 것으로 드러났습니다. 무려 ‘버그바운티’ 포상금이라면서 돈을 제시했다고 하네요. 이 사건은 1년 뒤인 2017년 11월에 세상에 알려지게 됩니다.

새 합의안에서 우버는 향후 발생할 사건들을 공개해야 할 의무를 지게 됐습니다. 더불어, 고객정보 관련 또는 프라이버시 프로그램의 서드파티 감사에 요구되는 모든 보고서를 제출해야 합니다. 우버는 FTC와 사건에 대한 정보를 공유하지 않으면 벌금형을 받게 될 것으로 보입니다.

사이트락, ABRY 파트너스 인수
웹사이트 보안업체 사이트락(SiteLock)이 사모투자펀드 회사 ABRY 파트너스(ABRY Partners)를 인수한다고 12일 밝혔습니다. 구체적인 계약금액에 대해서는 드러난 바 없습니다.

사이트락은 멀웨어와 소프트웨어 취약점, 디도스 공격 등에 대한 보안 제품 및 서비스 군을 제공합니다. 이번 인수로 사이트락은 전 세계 1,200만 개가 넘는 웹사이트를 보호하게 될 것이라고 전망했습니다. ABRY 파트너스는 현재 50억 달러(약 5조 3,500억 원) 규모의 자금을 관리하고 있습니다.

팔로알토, EDR 강화 위해 섹도 인수
팔로알토네트웍스(Palo Alto Networks)가 이스라엘의 EDR 업체 섹도(Secdo)를 인수할 계획이라고 11일 밝혔습니다. 이 계약은 팔로알토의 3분기 회계연도 동안 정식 체결될 것으로 전망됩니다.

정보수집 차원에서 섹도는 전통적인 EDR 수법을 뛰어넘는 것으로 알려졌는데요. 이번 인수의 일환으로 섹도의 엔지니어들이 팔로알토에 합류하게 됩니다. 팔로알토는 자사의 EDR 역량을 강화하는 데 섹도의 기술을 활용할 예정입니다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)