[3.18 보안 WITS] 지구촌 재난, 뉴질랜드 테러, 온라인 쇼핑몰

기후 변화로 요동치는 지구...곳곳에서 재난 발생해 피해자 속출
뉴질랜드 테러 이후, 당국은 피해자 식별에 박차 가해...페북은 영상 삭제
온라인 쇼핑몰에 대한 테러 이어져...기어베스트는 DB 관리 실패

[보안뉴스 문가용 기자] 세계의 전쟁, 재난, IT, 테러, 보안 소식을 전하는 보안 WITS입니다. 한국에서 토네이도가 생기더니 인도네시아와 짐바브웨 등에서도 여러 가지 재난이 덮쳤습니다. 이에 사망자가 속속 늘어나고 있는 상황입니다. 뉴질랜드 테러 사건이 발생한 이후 현재 당국은 피해자를 가족들에게 돌려주는 일에 속도를 가하고 있다고 합니다. 사망자를 빨리 묻어야 하는 무슬림 전통 때문입니다. 한편 범인은 단독범으로 결론이 나는 듯합니다. 온라인 쇼핑몰에서 최근 사건이 잦습니다. 피해를 직접 보는 건 고객들입니다.

[이미지 = iclickart]

전쟁, 외교 : 사이버전 / 피싱 / 가짜뉴스 예상 첩보
미국, 시리아에서 병력 1천명 남긴다 : 미군이 시리아에 약 1천 명의 군인들을 남길 계획이라는 소식이 보도됐습니다. 애초에 트럼프 대통령은 ‘전부 뺀다’는 방침을 발표했었는데, 뭔가 계획이 변경된 모양입니다. 월스트리트저널에 의하면 트럼프 행정부는 시리아에서 아직 ISIS와 싸우고 있는 쿠르드족 무장 세력을 계속해서 지원할 것이며, 이를 위해 약 1천 명의 병력을 남길 것이라고 발표했다고 합니다. 다만 ‘1천’이라는 숫자 자체는 아직 명확히 결정된 건 아니라고 합니다. 시리아에서 미군을 뺀다고 했을 때 그 이유에 대해 ISIS를 다 격파했기 때문이라고 했는데, 아직 그렇게 말할 단계가 아니라는 걸 인지한 것일지도 모르겠습니다.
예상 피싱 메일 및 가짜뉴스 제목 : “미군, 이번 달 내 시리아에서 완전 철수한다”

미국과 이란 사이의 골, 깊어지고 있어 : 이란이 미국 해군 출신인 마이클 화이트(Michael White)에 10년 징역형을 내렸습니다. 마이클 화이트는 2018년 7월 이란에 거주 중인 자신의 여자친구를 만나기 위해 이란으로 갔는데, 거기서 이란의 최고 지도자인 아야톨라 알리 하메네이(Ayatollah Ali Khamenei)를 모욕한 죄로 억류됐습니다. 또한 소셜 미디어에 비밀 사진을 올린 것도 문제가 됐습니다. 화이트는 암 투병 전력이 있는데, 감옥에서의 생활로 인해 암이 재발할까봐 가족들은 전전긍긍하고 있습니다. 아직 미국 당국은 이 건에 대해 말을 아끼고 있습니다. 전문가들은 미국과 이란 사이의 최악의 긴장 상태 때문에 이런 일이 벌어졌을 가능성이 높다고 보고 있습니다.
예상 피싱 메일 및 가짜뉴스 제목 : “이란, 미국 시민에 사형 선고해”

영국 메이 총리, 앞으로 3일이 관건 : 브렉시트 협상안을 두 차례나 내놨지만 의회 의원들을 설득하지 못한 메이 총리가 21일과 22일 열리는 유럽연합 정상회의에 뭘 들고 참석할지에 관심이 쏠리고 있습니다. 이 정상회의에서의 가장 큰 주제는 당연히 브렉시트일 가능성이 높은데요, 사실 지도자들이 ‘협상 없는 브렉시트’ 즉 ‘노 딜 브렉시트’를 지지할리는 없기 때문에 메이 총리나 다른 유럽 국가 정상들이나 ‘연기’에 초점을 맞출 것으로 보입니다. 다만 이 ‘연기’에도 이유가 필요합니다. ‘우리나라 의회가 허락을 안 해줘서’라고 연기 이유를 댈 수가 없기 때문이죠. 메이 총리는 이제 3일 동안 ‘브렉시트 연기를 위한 협상’을 준비해야 합니다.
예상 피싱 메일 및 가짜뉴스 제목 : “메이 총리, 결국 노 딜 브렉시트로 가닥 잡아”

기후, 환경, 재난 : 피싱 / 핵티비즘 / 가짜뉴스 예상 첩보
인도네시아, 돌발홍수와 산사태 일어나 : 인도네시아에서 재앙이 겹치고 있습니다. 파푸아 지방에서 돌발홍수가 일어나 최소 58명이 사망했고, 4천 명이 대피한 상황입니다. 주말 동안 갑작스럽게 몰아친 비바람 때문에 생긴 일이라고 합니다. 이 때문에 언덕에 심겨진 나무들이 뽑히고, 산사태까지 발생했습니다. 이 때문에 농작을 위해 갈아두었던 땅이 덮여버려 올해 농사가 시작부터 크게 꼬이기 시작했다고 합니다. 파푸아는 인도네시아에서 가장 가난한 지역으로 꼽히는 곳이기도 합니다.

이다이 사이클론, 짐바브웨 덮쳐 : 아프리카의 나라 짐바브웨의 동부 지역이 사이클론 이다이(Idai)의 강펀치를 맞았습니다. 이 때문에 수많은 사망자가 발생했습니다. 안타깝게도 기숙사에서 잠을 자고 있던 학생들도 여기에 말려들어가는 바람에 일부가 생을 다하게 되었습니다. 이다이로 인해 발생한 산사태가 학교를 덮친 것이라고 합니다. 또한 이다이로 인한 홍수 때문에 스쿨버스가 휩쓸렸는데, 아직 학생 세 명을 찾지 못한 상태라고 합니다. 이웃나라 모잠비크에도 사이클론의 영향이 있었습니다. 강풍과 홍수로 여기서도 많은 사망자가 발생했다고 합니다.

기후 변화, 정치적 사안으로 떠올라 : 세계 여기저기서 기후 변화와 관련된 시위가 일어나고 있습니다. 인류에게 남은 시간이 얼마 남지 않았다는 소식이 계속해서 나오고 있는데, 정부 기관들은 도무지 움직일 기미를 보이고 있지 않으니 시민들이 들고 일어선 겁니다. 즉, 중요한 정치 이슈가 된 것입니다. 스웨덴, 영국, 인도, 미국에서 어린 학생들이 학교도 결석해가며 이 시위를 주도하고 있다고 합니다. 이 학생들이 본격적으로 살아갈 지구가 바로 우리가 지금 그리는 각종 재앙을 담아낼 가능성이 높기 때문입니다.

테러, 내전, 내란 : 핵티비즘 / 선전 / 불법 콘텐츠 예상 첩보
뉴질랜드 당국, 테러 희생자 파악에 속도 붙여 : 주말 동안 뉴질랜드에서 일어난 테러 공격의 피해자들을 파악하는 데 뉴질랜드 당국이 서두르고 있습니다. 희생자 대부분 무슬림들이고, 무슬림들의 교리 상 사망한 자를 최대한 빨리, 되도록 24시간 이내에 묻어야 하기 때문입니다. 호주에서 재난 희생자 식별 전문가가 급히 초빙되기도 했습니다. 또한 범인 파악에도 힘쓰고 있는데요, 아직까지는 28세의 브렌튼 해리스 태런트(Brent Harris Tarrant)의 단독 범행으로 보인다고 합니다.
예상 피싱 메일 및 가짜뉴스 첩보 : “트럼프 대통령, 안티무슬림에 대해 침묵하다”

팔레스타인인, 이스라엘 군인 공격 : 서안지구(West Bank)에서 테러 사건이 발생했습니다. 팔레스타인인이 이스라엘 군인을 칼로 찌른 것입니다. 그 후 테러범은 군인의 총을 뺏어갔고, 그 총으로 사람이 타고 있던 차량 세 대를 쏘았습니다. 그리고 차량을 빼앗아 달리면서 또 다른 이스라엘 군인을 총으로 쐈습니다. 이 과정에서 이스라엘인 한 명이 사망하고 두 명이 큰 부상을 입었습니다. 이스라엘 당국은 현재 범인을 추적 중에 있습니다. 얼마 후에는 이스라엘에서 총선이 열리는데요, 이 사건 때문에 표심이 흔들릴 것으로 보입니다.

IT : 업계 소식 / 미래형 공격 첩보
페북, 뉴질랜드 테러 관련 영상 삭제 : 각종 SNS에 주말 동안 뉴질랜드에서 일어난 비극적인 사건에 대한 영상들이 올라왔습니다. 특히 테러범이 총격을 가하고 사람들이 죽는 장면이 담긴 영상들이 공유되고 퍼지고 있어서 문제가 되는데요, 페이스북은 주말 동안만 이러한 영상 150만 개를 삭제했다고 발표했습니다. 이 중 120만 개는 업로드가 채 되기도 전에 삭제됐다고 합니다. 당시 상황을 고스란히 담아낸 영상만이 아니라, 편집으로 인해 간접적으로 사건을 보여주는 영상들도 전부 포함됐다고 페이스북 대변인은 발표했습니다.

보안과 안전 : 업계 소식 / 현재형 범죄 첩보
에티오피아항공과 라이온항공 사고의 유사점 찾았다 : 전 세계적으로 보잉 737의 비행을 사실상 금지시키시다시피 한 두 추락 사고 사이의 유사점이 드러났다고 에티오피아의 교통부 장관이 발표했습니다. 에티오피아 항공 추락 사고 현장에서 블랙박스를 찾아냈고 여기서 마지막 1주일의 기록을 복구하는 데 성공했다고 합니다. 하지만 교통부 장관은 어떤 유사점이 나타났는지 정확히 밝히지는 않았습니다. 다만 현재까지 나온 데이터들에 대한 추가적인 조사가 필요하다고만 말했습니다.

구글, 작년에 악성 광고 230억 개 내리다 : 구글이 온라인 광고 생태계와 관련된 보고서를 발표했습니다. 그러면서 작년 한 해 동안 230억 개의 나쁜 광고들을 내리고 악성 광고와 관련된 광고주 계정 100만 개 정도를 삭제했다고 밝혔습니다. 이는 하루에 약 600만개의 광고를 찾아내고 삭제했다는 뜻으로, 구글은 2017년부터 본격적인 ‘악성 광고잡이’로 변모하고 있습니다.

중국의 쇼핑몰 기어베스트, 고객 정보 유출 : 대형 온라인 쇼핑몰인 기어베스트에서 고객 정보 유출 사고가 발생했습니다. 데이터베이스 하나가 아무런 보안 장치 없이 인터넷에 노출된 것인데요, 그 안에 저장된 민감한 데이터들이 암호화도 되어 있지 않았다고 합니다. 보안 업체가 이를 발견해 알렸지만 기어베스트는 아무런 대답도 하지 않았고, 이런 사실이 발표된 후에야 “보안 팀 직원의 실수였을뿐”이라고 사건을 축소시키려는 발표를 했습니다.

온라인 쇼핑몰들, 위험 : 작년 메이지카트와 비슷한 사건이 발생했습니다. 단 한 줄짜리 악성 코드를 사용하는 지불 정보 탈취 공격이 7개 온라인 상거래 사이트에서 발견된 것입니다. 이 악성 코드는 자바스크립트 스니퍼를 다운로드 받아 고객들의 카드 정보를 훔쳐내는 기능을 가지고 있다고 합니다. 당한 업체들 중에는 필라(Fila)라는 국제적인 기업도 있습니다. 온라인 상거래 사이트들이 고객을 보호하기 위해서는 이런 공격을 제대로 막아야 합니다.

윈라 취약점, 활발히 사용되고 있어 : 얼마 전 세계적인 압축 도구인 윈라(WinRAR)에서 19년된 취약점이 발견됐습니다. 그래서 업데이트까지 나왔는데요, 사실 사용자들이 아직 이 업데이트를 진행하고 있지 않습니다. 그래서 이미 많은 공격자들이 이 취약점을 악용하기 시작했다고 합니다. 이중에는 한국 사용자들을 노리는 표적 공격도 발견됐습니다. 미국과 북한의 2차 회담을 미끼로 한 공격이 이뤄지고 있다고 하니, 윈라를 업데이트하고, 2차 회담 관련 메일을 클릭하지 마시길 바랍니다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)