[글로벌 뉴스 클리핑] “바코드도 위험하다” 外

2015-11-16 12:00
  • 카카오톡
  • 네이버 블로그
  • url
텐센트의 연구원들, 바코드 통한 시스템 침입 방법 개발
지메일, 앞으로 암호화 되지 않은 경로 거치면 사용자에게 통보

[보안뉴스 문가용] 사물인터넷 시대가 사람들의 상상 속에 등장하기도 전에 널리 사용된 바코드 시스템이 새로운 위협거리로 떠오를 전망입니다. 다행히 보안 전문가들이 먼저 이 방법을 알아낸 듯 한데요, 조금 있으면 바코드 시스템도 바꿔야 한다는 소리가 나올지도 모르겠습니다. 구글이 지메일 메시지가 사용자들 간에 전달될 때, 암호화되지 않은 경로를 거치면 그 사실을 사용자에게 알린다는 방침을 세웠습니다. 수개월 내에 시작될 것 같은데요, 정부들이 암호화를 그다지 선호하지 않는 때에 이 같은 조치는 정말 구글이라서 할 수 있는 일 같습니다. 그리고 트위터 사용, 조심합시다.



1. 바코드를 통한 공격?
이젠 바코드 공격도 가능?(Threat Post)
바코드도 공격에 노출된다! 배드바코드 공격!(SC Magazine)
중국 인터넷 업체인 텐센트(Tencent)의 연구원들이 바코드를 통해 호스트 시스템에 침투, 멀웨어를 심는 방법에 대해 발표했습니다. 이 공격의 이름은 배드바코드(Badbarcode)이며 데모 영상은 다음 트위터 계정에 올라와 있습니다. 바코드 스캐너들이 세계 매장 곳곳에 설치되어 있다는 걸 생각하면 이는 굉장히 무서운 해킹법입니다.

2. 구글 지메일과 암호화
지메일, 암호화 되지 않은 경로 거칠 때 사용자에게 알린다(Security Week)
지메일, 암호화 향한 특단의 조치(SC Magazine)
구글이 이제 메시지가 암호화되지 않은 경로를 거치는 경우, 사용자에게 해당 사실을 통보하기로 했습니다. 이메일 메시지가 다양한 공격에 노출되어 있을 가능성이 높다는 사실을 알려주는 것이죠. 지메일 자체가 공격받지는 않겠지만, 사용자들을 보호하기 위한 조치라고 합니다.

3. 디도스 공격자의 최후
영국인 남성, 디도스 공격 감행해 감옥행(SC Magazine)
디도스 공격 했던 영국인 남성, 8개월 감옥살이 앞둬(The Register)
이안 설리반(Ian Sullivan)이라는 51세의 한 영국 남성이 2013년 300여개의 웹 사이트에 디도스 공격을 감행한 것으로 8개월 동안 감옥에 갇혀있게 되었습니다. 재미있는 건 이 남성이 경찰의 추적이나 수사에 의해 잡힌 게 아니라 자기의 범행을 트위터에 남겨서 공격을 당한 사이트들이 공격 사실을 알아채 복구할 수 있도록 하다가 잡힌 거라는 겁니다. 과시욕이 과도했네요.

4. 소셜 스프링의 오류
CSRF 오류, 스프링 소셜의 핵심 라이브러리에서 발견, 패치(Threat Post)
스프링 소셜의 취약점, 사용자 계정 노출 위험에 빠트려(Security Week)
스프링 프레임워크(Spring Framework)의 엑스텐션인 스프링 소셜(Spring Social)은 자기가 개발한 애플리케이션을 페이스북, 트위터, 링크드인과 같은 SNS API 제공업체와 연동시켜주는 플랫폼으로 굉장히 많은 프로젝트가 여기서 벌어집니다. 그런데 이 스프링 소셜에서 CSRF 취약점이 발견되었고, 그로 인한 패치가 이루어졌다고 합니다.

5. 멀웨어의 중흥
새로운 플래시 취약점 등장과 함께 매그니튜드 EK의 사용도 급증(SC Magazine)
컨피커 멀웨어, 경찰 카메라 노리며 다시 등장(The Register)
새로운 플래시 취약점이 얼마 전 등장했었죠. 그 때문에 매그니튜드(Magnitude)라는 익스플로잇 킷의 활용이 급증하고 있다는 소식입니다. 또한 컨피커(Conficker)라는 멀웨어가 다시 부활해 경찰들이 몸에 착용하는 카메라 장비 및 솔루션을 주로 노린다는 소식도 있습니다. 컨피커는 아직 한국에는 해당사항이 없을 듯 하긴 합니다.

6. 정부의 협동, 그리고 보복 해킹
공격적인 보안, 보복 해킹에 대한 업계의 반응(Security Week)
영국과 미국, 금융기관의 사이버 공격 본격적으로 실험(SC Magazine)
미국과 영국이 이번 달 금융기관들을 중심으로 합동 보안훈련에 돌입해있죠. 그 훈련이 뉴욕과 런던의 금융센터들을 중심으로 계속해서 이어지고 있다는 보도가 있고, 그 동안 금기시 되어왔던 보복 해킹에 대한 업계의 반응을 한 매체에서 조사했습니다. 일단 아직까지는 ‘법적인 허용이 있지 않으면 불법’이라는 시각이 다수이긴 합니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기