구글과 모질라, 보안 강화하는 모습 선도적으로 보여
[보안뉴스 문가용] 오늘은 패치의 날입니다. 애플이 iOS와 OS X 등 자사의 여러 제품에 대한 패치를 발표했고요, 따라서 사용자들은 조속한 패치를 해야 혜택을 받을 수 있습니다. 또한 구글이 이메일을 강화하고 안드로이드 6.0에 암호화를 디폴트로 도입할 계획이라고 밝혔습니다. 모질라는 얼마 전 나온 SHA-1 방식의 문제점들을 참고해, 다른 기업들보다 빠르게 이를 폐지할 거라고 했고요. 보안에 대한 IT 거대 기업들의 자세가 점점 심각해지고 있습니다.
1. 애플 소식
애플, iOS 9.1 업그레이드 발표(Threat Post)
애플 매장 직원, 지불카드 조작으로 백만 달러 애플 상품권 구매해 체포(SC Magazine)
애플이 업데이트를 발표했습니다. iOS, OS X, 워치OS, 아이튠즈, 사파리, 맥 펌웨어 등 다양한 제품군에 대한 패치가 이루어졌습니다. 한국의 사용자들이 관심을 가장 많이 보일 것으로 예상되는 것은 당연히 iOS죠. 이번 패치에는 iOS 9.1이 포함되어 있으며 총 49개의 보안 취약점들이 해결되었습니다.
한편 애플 매장에서 근무하는 직원이 애플 상품권을 백만 달러어치나 사기로 사들였다가 체포되는 일도 있었습니다. 그런데 체포 당시에 가짜 비자 및 아메리칸 익스프레스 상품권도 51개나 소지하고 있었다고 합니다. 최대 15년형까지 받을 수 있다고 합니다.
2. 오라클 패치
오라클, 154개의 오류 해결한 패치 발표(Infosecurity Magazine)
오라클, 4사분기 업데이트로 154개 취약점 해결(Theat Post)
오라클이 예고한대로 154개의 오류를 패치했습니다. 이중에는 폰 스톰(Pawn Storm)이라는 해킹 단체가 미국 백악관을 공격할 때 악용했던 취약점도 포함되어 있습니다. 오라클 제품은 주요 기관이나 업체에서 널리 사용되는 만큼 오늘 대부분 회사에서 업데이트를 진행해야 할 듯 합니다.
3. HP의 매각
트렌드 마이크로, HP의 티핑포인트를 3억 달러에 인수(Infosecurity Magazine)
HP, 티핑포인트를 트렌드 마이크로에 매각(Security Week)
HP, 티핑포인트를 트렌드 마이크로에 매각(CSOOnline)
HP가 티핑포인트라는 자사 네트워크 보안 제품라인을 통째로 트렌드 마이크로에 매각했습니다. 보다 자세한 기사는 후속으로 보도할 예정입니다. 옆에서 주소형 기자가 열심히 타이핑을 하고 있네요.
4. 구글 소식
구글, 지메일이 강력한 DMARC 도입 예정(Threat Post)
구글, 안드로이드 6.0에 전체 디스크 암호화를 필수로 만든다(Security Week)
구글, 마시멜로우부터 기기 하드드라이브 암호화 디폴트로 만든다(SC Magazine)
구글이 DMARC라는 이메일 인증 시스템을 적용해 지메일의 보안을 보다 강력하게 만든다고 합니다. 완료 기한은 내년 여름입니다. 이는 사실 구글만이 아니라 여러 온라인 서비스 업체들이 보이는 움직임이기도 합니다. 야후와 AOL도 올해 연말까지 DMARC를 적용 완료할 것이라고 합니다. 한편 구글은 안드로이드 6.0에서는 전체 디스크의 암호화를 필수로 만들 것이라고 합니다. 아직 100% 확정은 아니지만 아무튼 구글이 보안에 굉장히 많은 투자를 하고 있는 건 분명합니다.
5. SHA-1 폐지 다가온다
모질라, SHA-1 버리는 시기 앞당길 듯(Security Week)
모질라, SHA-1 폐지 시기 앞당긴다(CSOOnline)
얼마 전 본지에서도 기사가 나갔지만 SHA-1이라는 디지털 인증서 관련 해시 알고리즘 암호화 방식에 큰 약점이 있다는 게 알려졌죠. 그래서 이를 폐지하고 SHA-2나 3으로 갈아타야 한다는 목소리가 나오고 있다고 했는데요, 모질라에서 SHA-1의 폐기 시기를 앞당긴다고 합니다. 원래는 2017년 1월까지였는데 2016년 1월이나 2015년 12월이 될 확률이 높다고 하네요. 파이어폭스의 제작자들이라 이 파급력이 어떻게든 번져나갈 듯이 보입니다.
6. 믿을 게 없다
IT 부서 직원들이 제일 위험하다(Infosecurity Magazine)
위키리크스, CIA 국장의 개인 이메일 공개(The Register)
일견 황당한 연구 결과가 나왔습니다. IT 부서 직원들이 제일 많이 사이버 공격에 노출되어 있고, 또 제일 많이 당한다는 겁니다. 물론 IT 부서가 보안부서는 아닙니다만 상당부분 겹쳐있기도 하고 많은 업체들에서 둘을 하나로 묶거나 IT 담당자가 보안을 담당하기도 하죠. 하지만 다시 생각해보면 IT 담당자는 회사 내 모든 정보를 관리하는 사람이므로 그 누구보다도 많은 양의 정보를 가지고 있죠. 많이 가진 사람이 많이 뺐기는 건 당연한 현상이기도 합니다. IT 부서에 대한 보안교육이 제일 시급해보입니다.
한편 CIA 국장의 이메일을 고등학생이 해킹한 것에 대한 진위논란이 이어지고 있는데요, 위키리크스가 문제의 메일 내용을 일부 공개해버렸습니다. 전화번호, 주소, 여권의 기록, 다른 주요 공직자들의 연락처 등이 포함되어 있습니다. 확실히 당한 게 맞긴 한가봅니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>