보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

[3.26 보안 이슈투데이] 앨런 튜링, 오픈SSL 취약점, 크롬의 HTTPS

  |  입력 : 2021-03-26 10:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
영국의 새 50파운드 지폐에 앨런 튜링 얼굴 새겨져...연합군 승리 이끈 주역
오픈SSL이라는 암호화 소프트웨어 라이브러리에서 고위험군 취약점 발견돼
크롬, 4월 중순부터 HTTPS 강제 적용...한 회사의 독단적 행위라는 비판 일기도 해


[보안뉴스 문가용 기자] 암호화의 아버지 앨런 튜링이 영국 새 화폐에 얼굴을 새기게 되었다. 암호학자로서 인공지능의 기틀을 닦았다고도 평가되는 인물이다. 오픈SSL이라는 중요 암호화 소프트웨어 라이브러리에서 취약점이 발견됐다. 발빠른 패치가 나왔으니 업데이트 적용이 중요하다. 크롬 90부터는 HTTPS 기반 사이트들 위주로 로딩이 이뤄질 전망이다. 이론적으로는 안전한 인터넷 환경을 위한 조치이나, 구글이라는 한 회사의 독단이라는 면모도 간과해서는 안 된다는 평가가 나오고 있다.

[이미지 = utoimage]


[NPR] 암호학의 아버지 앨런 튜링, 영국 50파운드 신권에 얼굴 새기게 돼 :
2차대전 당시 독일군의 암호를 해독함으로써 영국 및 연합군의 승리에 크게 일조한 수학자이자 과학자인 앨런 튜링(Alan Turing)이 영국 중앙은행이 발행할 새 50파운드 지폐의 새 얼굴이 되었다. 그는 암호학의 아버지로 보안 업계에 알려져 있으며, 역사가들에게는 끔찍한 전쟁을 최소 2년 줄이고 수천 만 명의 목숨을 구한 사람으로 평가받고 있다. 인공지능 분야의 기반을 닦았다는 평도 존재한다.

[Ars Technica] 오픈SSL, 서버 마비시키는 고위험군 취약점 고쳐 :
웹사이트 및 이메일 암호화에 가장 많이 사용되는 소프트웨어 라이브러리인 오픈SSL에서 고위험군 취약점이 발견됐다. 이 취약점을 익스플로잇 할 경우, 공격자는 대량의 서버들을 완전히 차단시킬 수 있게 된다고 한다. 이 취약점은 CVE-2021-3449로, 일종의 디도스 공격 취약점으로 분류됐다. 악성 요청을 서버들에 보냄으로써 비교적 쉽게 서버들을 디도스 상태로 만들 수 있다고 한다.

[DarkReading] CISA, 익스체인지 서버 가이드에 두 가지 웹셸 추가해 :
미국 국토안보부 산하 사이버 보안 전담 기구인 CISA가 익스체인지 사태와 관련된 가이드라인을 최신화 했다. 그러면서 두 개의 웹셸을 추가했다. 이전까지는 차이나 초퍼(China Chopper)라는 웹셸만이 보고 및 경고됐었다. 웹셸은 원격의 공격자가 침투한 시스템을 제어할 수 있도록 해 주는, 일종의 웹 기반 인터페이스다.

[ThreatPost] 플리스웨어 개발자들, 4억 달러 이상 수익 올려 :
애플과 구글의 공식 모바일 스토어에 등록된 앱들 중 ‘플리스웨어(fleeceware)’로 분류되는 프로그램들이 4억 달러 이상의 수익을 창출해 낸 것으로 분석됐다. 플리스웨어는 일반적으로 ‘무료 사용 기간’을 지나서 구독료를 받는 형태로 제공되는데, 이 때 사용자들이 앱을 삭제하더라도 높은 구독료를 청구한다. 일종의 ‘사기 앱’인 것인데, 두 공식 스토어에 총 204개가 존재한다고 한다. 대부분 아동용 앱으로 유통되는 중이다.

[Security Boulevard] 크롬 브라우저, HTTPS 웹 프로토콜 강제 적용 시작 :
이제 크롬 브라우저는 HTTPS라는 프로토콜을 강제로 적용하게 만들 것이다. 90버전부터 적용된다고 하니, 약 4월 중순부터가 될 예정이다. https로 시작하는 웹사이트를 디폴트로 로딩한다는 것이다. 즉 https를 도입하지 않은 웹사이트의 경우, 크롬이라는 세계 1위 브라우저로 로딩되는 게 원활하지 않게 될 수 있다는 뜻이다. 문제는 https를 적용한다고 해서 웹사이트가 정말로 안전해지는 게 아니라는 것이다. 업계에서는 ‘한 회사가 자신의 철학을 모든 인터넷 생태계에 강제시킨다는 게 더 위험하다’는 비판이 나오고 있다.

[HackRead] 5G 코어 네트워크에서 디도스 공격 유발하는 취약점 발견돼 :
보안 업체 어댑티브모바일(AdaptiveMobile)에서 새로운 취약점을 발견했다. 5G의 ‘네트워크 슬라이싱(network slicing)’이라는 부분에서 서비스 장애를 일으키게 하는 취약점이라고 한다. 네트워크 슬라이싱은 사업자가 코어와 원격 네트워크를 분리시켜 적절한 자원을 배치할 수 있도록 하는 기능이다. 즉 최적화 된 자원의 활용을 가능케 하는 것인데, 이 취약점 때문에 오히려 망이 마비될 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북