스콧트레이드센터, 2년간 해킹 공격 받고도 몰라
워드프레스의 플러그인에서 발견된 XSS 취약점 패치돼

[보안뉴스 문가용] 스콧트레이드센터라는 온라인 증권 거래 업체에서 해킹 사건이 2년간 일어났다는 사실이 뒤늦게 드러나며, 또한 4백 6십만 고객의 민감한 정보들이 노출된 것으로 보도되고 있습니다. 당분간 해외 매체의 헤드라인은 이것과 더불어 그 직전에 터진 티모바일 고객 정보 유출사건으로 장식될 듯 합니다. 또 눈여겨봐야 할 건 미국의 신용카드 시스템 변경으로 인한 여러 가지 사건들입니다. 신용카드를 바꿀 때 사회적으로 어떤 일이 일어날 수 있는지 미리 볼 수 있기 때문이죠.

1. 스콧트레이드센터 해킹
스콧트레이드센터 유출사고로 4백 6십만 고객들 피해(SC Magazine)
온라인 증권 거래 업체인 스콧트레이드센터, 해킹당해(Security Week)
스콧트레이드, 조금 늦은 해킹 발견(CU Infosecurity)
스콧트레이드에서 4백 6십만 건 정보 유출(CSOOnline)
온라인 증권 거래 업체인 스콧트레이드센터(Scottrade Center)에서 해킹 사고가 있었습니다. 4백 6십만 건의 정보가 유출된 것으로 보이는데요, 중요한 건 해킹이 2년 전부터 계속해서 발생했다는 겁니다. 알아채는 게 늦어도 너무 늦었다는 비판을 면키 힘들어 보입니다. 또한 고객들의 사회보장번호와 주변인 연락처까지도 유출된 것으로 보여 앞으로의 파장이 적지 않을 것으로 예상됩니다.

2. 워드프레스 패치
워드프레스의 제트팩 플러그인의 XSS 취약점 패치(Threat Post)
워드프레스의 제트팩 플러그인에서 XSS 취약점 발견, 패치(SC Magazine)
워드프레스의 수많은 플러그인 중 제트팩(JetPack)이라는 플러그인에서 스토어드(stored) XSS 취약점이 발견되었습니다. 3.7 및 이하 버전에 존재하는 취약점이고 최근 배포된 3.7.1과 3.7.2와는 상관이 없는 취약점입니다만 신 버전을 사람들이 금방금방 다운로드받지 않기 때문에 해당 취약점이 위험한 것이죠. 제트팩 사용자들은 얼른 다운로드 받으시기를 권장합니다.

3. 전자 금융의 과도기
디지털 화폐 3천 2백만 달러 사기로 압수수사 시작(SC Magazine)
미국 칩 카드 마감기한 놓친 업자들, 법정싸움 앞두고 있어(CSOOnline)
장기적인 글로벌 경제 침체기와 맞물려 핀테크니 간편 결재의 혁명 등이 겹쳐 금융 쪽에선 여러 모로 혼란기 혹은 과도기가 찾아오고 있습니다. 예전엔 가상의 돈이라는 인식이 팽배했던 가상 화폐 혹은 디지털 화폐가 점점 주류로 올라오고 있으며, 그러는 과정 중에 디지털 화폐를 운영하는 업체들에게서 사건사고가 자주 발생하고 있습니다. 규모도 커지고 있고요. 그래서 정부가 이런 업체들에 직접 압수수사를 시작하기도 합니다. 이번에 미국의 한 디지털 화폐 업체에서 3천 2백만 달러의 사기 거래로 정부가 대대적인 수사를 시작했습니다. 아직 업체의 이름은 밝혀지지 않았습니다만 곧 드러날 듯 합니다.

또 미국은 신용카드 체제 교체로 홍역을 앞두고 있습니다. POS 사기가 많이 일어나서 10월 1일까지 전자띠 방식을 버리고 새로운 칩 방식의 카드로 전면 교체를 해야 했는데 이를 어길 경우 벌금을 물어야 합니다. 그리고 문제의 10월 1일이 지났는데, 소비자 측에서는 별 말이 안 나오고 있습니다. 아직 전자띠 방식의 옛 카드를 사용하는 게 가능하기 때문이죠. 하지만 벌금이 걸린 업체들은 시끌시끌합니다. 은행 및 카드 업체에서 인증작업을 제 때 해주고 있지 못하기 때문입니다. 신용카드 터미널을 인증하는 데 적어도 6개월이나 걸리니 업주 입장에선 이 기기를 마련하라는 건지 말라는 건지 알 수가 없는 거죠. 사 놓고도 인증이 안 되면 사용을 못하고, 그러면 투자를 했음에도 벌금을 내야 하니까요. 그래서 이 때문에 한동안 법정싸움이 일어날 것으로 보입니다.

4. 구글과 안드로이드
구글, 안드로이드에서의 피싱 공격 막기 위해 조치 취한다(Security Week)
처음엔 안드로이드냐 애플이냐의 양자선택 싸움이 치열했지만 사용자들은 점점 안드로이드를 더 선택하는 듯 보입니다. 그게 아니더라도 처음 시장을 장악했던 애플이 안드로이드에게 자리를 많이 내어준 건 사실이죠. 그에 따라 구글은 웃기도 하고 울기도 하는데요, 웃는 거야 당연하지만 우는 건 안드로이드를 겨냥한 사이버 공격이 엄청나게 늘어났기 때문입니다.

구글은 최근 프라하에서 열린 보안 행사에서 안드로이드 생태계의 심각성에 대해 인정하면서 자신들이 지난 1년 동안 단계별로 취한 조치들을 설명했고, 그로 인한 결과들을 축적해 더 나은 내년을 약속했다고 합니다. 단계별 조치는 1) 기기들의 스캐닝 주기 증가 2) 문제가 되는 멀웨어의 설치 방지 3) 감염된 기기들로부터 멀웨어 제거였으며, Verify Apps라는 구글의 애플리케이션의 기능이 더욱 강력해졌다고 합니다. 앞으로 이 앱이 안드로이드 기기의 필수품이 될지도 모르겠습니다.

5. 물리보안
프랑스의 풍자 언론 샤를리 에브도, 보안 강력한 곳에서 새 둥지(Wall Street Journal)
1월에 있었던 테러 사건으로 전 세계를 경악케 했던 프랑스의 풍자 언롱인 샤를리 에브도가 임시 사무실을 벗어나 새로운 곳으로 이전했다는 소식입니다. 이번엔 보안이 강력한 곳이라고 합니다. 이젠 든든한 보호를 받아가며 풍자하겠다는 걸까요. 하지만 껍질은 든든해졌을지 몰라도 내부에서는 어려움이 여전히 존재한다고 합니다. 남은 인원들이 트라우마로 예전처럼 활동하기 힘들다며 하나 둘 떠나고 있기 때문이죠. 큰 사건 이후 안정을 되찾으려면 보다 긴 시간이 필요한 듯 합니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>