미국에서는 CISA가, 유럽에서는 새로운 정보보호법이 제정 목전에 둬
[보안뉴스 문가용] 지각변동의 조짐이 보입니다. 이제 미국에서는 정보를 반드시 공유해야 한다는 법이 생길 예정이고, 유럽에서는 정보를 공유하는 방식과 조건에 대해 유럽연합이 결정한다는 정책이 생길 예정입니다. 즉 정보를 통제하는 것에 있어서 정부와 연합체가 권한을 가져간 것입니다. 미국의 연방거래위원회가 사상 최대의 합의금을 라이프록이라는 민간 기업에게 요구하고, 그것이 받아들여진 사건과 대조했을 때 썩 유쾌하지 않은 그림이 그려집니다. 내년부터 스펙타클할 것 같습니다.
.jpg)
1. 큰 그림들 - 미국과 유럽
미국 국회, 사이버 첩보 정보공유 법 제정 임박(CU Infosecurity)
EU, 새 정보보호 정책 결정(CU Infosecurity)
EU의 새로운 데이터 보호 법, 스파이웨어 암시장 억제할까(The Register)
미국 의회, 안전 위해 프라이버시 희생시키려나(The Register)
드디어 오바마가 그렇게 강력히 밀어붙였던 정보공유법(CISA)이 제정되기에 이르렀습니다. 별 다른 이변이 없으면 미국 현지 시각으로 금요일에 국회에서 통과가 될 것으로 보입니다. 안전을 위해 프라이버시가 말살된다는 식의 극단적인 내용의 보도도 있습니다.
유럽연합도 새로운 정보보호법에 대한 합의를 보았습니다. 이제 사업자들이 개인정보를 활용하려면 유럽연합의 이 새로운 법을 반드시 파악해야 할 것으로 보입니다. 큰 그림이 조금씩 바뀌어가고 있습니다. 밑바탕이 이렇게 싹 깔렸으니 이제는 그런 변화가 생활 속으로 들어올 차례입니다.
2. 인스타그램이 뭐 길래
인스타그램 취약점 놓고 페이스북과 보안 전문가의 공방전 벌여(Security Week)
인스타그램 취약점에 페이스북과 보안 전문가 신경전(Threat Post)
사이낵(Synack)의 보안 전문가인 웨슬리 와인버그(Wesley Wineberg)는 얼마 전 인스타그램 서버에서 원격 코드 실행 취약점 등을 발견했습니다. 그래서 페이스북의 버그바운티 프로그램을 통해 해당 사실을 알렸습니다. 와인버그는 그가 발견한 취약점과 오류를 통해 인스타그램 서버로 들어가 여러 정보를 열람하거나 복사해올 수 있었는데요, 페이스북은 이런 사실에 매우 불쾌하다는 입장입니다. 그러면서 이는 보안 점검 및 버그바운티의 범위를 넘어선 행위라고 발표했습니다. 어디서부터 어디까지 조사를 해야 하고 검사를 부탁해야 하는지, 참 아리송합니다.
3. VNP 트래픽의 복호화
주니퍼, VPN 트래픽 복호화하는 백도어 발견(Threat Post)
주니퍼의 ScreenOS에서 VPN 복호화하는 비승인 코드 발견(The Register)
주니퍼의 넷스크린(NetScreen) 방화벽에 사용되는 OS인 ScreenOS에서 비승인 코드가 발견되었습니다. 이 코드는 관리자의 권한을 훔쳐 넷스크린 기기들에 해커가 접근하도록 하고 VPN 네트워크의 암호를 해제하는 기능을 가졌다고 합니다. 게다가 이 코드가 이미 2008년부터 존재해왔을 가능성도 있다고 합니다. 아직 이 코드의 출처는 밝혀지지 않았지만 해당 문제에 대한 패치는 발표가 된 상황입니다.
4. 공격에 관한 소식들
스패머들, 드롭박스와 구글플러스 악용한다(Infosecurity Magazine)
프로포스 멀웨어, 생각보다 단순한 듯(Threat Post)
멀버타이징과 익스플로잇 킷 대항하기 위한 MS의 스마트스크린(CSOOnline)
스팸 메일을 발송하고, 특히 수많은 스팸 메일 속에 악성 코드나 공격 수단을 섞어 보내는 공격자들이 드롭박스와 구글플러스를 적극 활용한다는 소식입니다. 드롭박스나 구글플러스에서 보낸 알림 메일인 것처럼 감쪽같이 꾸미는데, 얼마나 잘 꾸몄는지 스팸 필터링 기능을 대부분 우회한다고 합니다. 백신도 구글 및 드롭박스에서 온 메일로 파악하는 거죠.
5. 약속, 합의, 벌금
NATO와 시만텍, 정보 공유 협약 맺어(Infosecurity Magazine)
라이프록, 연방거래위원회와의 합의 위해 1억 달러 지불(SC Magazine)
유럽의 NATO와 시만텍이 정보를 공유하기로 협약을 맺었습니다. 유럽과 미국이 각각 정보를 공유하거나 보호하는 법을 곧 통과시킬 예정인데요, 타이밍이 좋습니다. 라이프록(LifeLock)이라는 보안 솔루션 제작 업체에서 지난 2010년 고객 정보가 유출되는 일이 있었는데요, 미국 연방거래위원회가 고객정보를 부실하게 관리했다는 이유로 라이프록을 고소했었습니다. 그리고 몇 년이 지난 올해, 드디어 양측이 합의를 봤는데요, 합의금이 무려 1억 달러라고 합니다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 지각변동의 조짐이 보입니다. 이제 미국에서는 정보를 반드시 공유해야 한다는 법이 생길 예정이고, 유럽에서는 정보를 공유하는 방식과 조건에 대해 유럽연합이 결정한다는 정책이 생길 예정입니다. 즉 정보를 통제하는 것에 있어서 정부와 연합체가 권한을 가져간 것입니다. 미국의 연방거래위원회가 사상 최대의 합의금을 라이프록이라는 민간 기업에게 요구하고, 그것이 받아들여진 사건과 대조했을 때 썩 유쾌하지 않은 그림이 그려집니다. 내년부터 스펙타클할 것 같습니다.
1. 큰 그림들 - 미국과 유럽
미국 국회, 사이버 첩보 정보공유 법 제정 임박(CU Infosecurity)
EU, 새 정보보호 정책 결정(CU Infosecurity)
EU의 새로운 데이터 보호 법, 스파이웨어 암시장 억제할까(The Register)
미국 의회, 안전 위해 프라이버시 희생시키려나(The Register)
드디어 오바마가 그렇게 강력히 밀어붙였던 정보공유법(CISA)이 제정되기에 이르렀습니다. 별 다른 이변이 없으면 미국 현지 시각으로 금요일에 국회에서 통과가 될 것으로 보입니다. 안전을 위해 프라이버시가 말살된다는 식의 극단적인 내용의 보도도 있습니다.
유럽연합도 새로운 정보보호법에 대한 합의를 보았습니다. 이제 사업자들이 개인정보를 활용하려면 유럽연합의 이 새로운 법을 반드시 파악해야 할 것으로 보입니다. 큰 그림이 조금씩 바뀌어가고 있습니다. 밑바탕이 이렇게 싹 깔렸으니 이제는 그런 변화가 생활 속으로 들어올 차례입니다.
2. 인스타그램이 뭐 길래
인스타그램 취약점 놓고 페이스북과 보안 전문가의 공방전 벌여(Security Week)
인스타그램 취약점에 페이스북과 보안 전문가 신경전(Threat Post)
사이낵(Synack)의 보안 전문가인 웨슬리 와인버그(Wesley Wineberg)는 얼마 전 인스타그램 서버에서 원격 코드 실행 취약점 등을 발견했습니다. 그래서 페이스북의 버그바운티 프로그램을 통해 해당 사실을 알렸습니다. 와인버그는 그가 발견한 취약점과 오류를 통해 인스타그램 서버로 들어가 여러 정보를 열람하거나 복사해올 수 있었는데요, 페이스북은 이런 사실에 매우 불쾌하다는 입장입니다. 그러면서 이는 보안 점검 및 버그바운티의 범위를 넘어선 행위라고 발표했습니다. 어디서부터 어디까지 조사를 해야 하고 검사를 부탁해야 하는지, 참 아리송합니다.
3. VNP 트래픽의 복호화
주니퍼, VPN 트래픽 복호화하는 백도어 발견(Threat Post)
주니퍼의 ScreenOS에서 VPN 복호화하는 비승인 코드 발견(The Register)
주니퍼의 넷스크린(NetScreen) 방화벽에 사용되는 OS인 ScreenOS에서 비승인 코드가 발견되었습니다. 이 코드는 관리자의 권한을 훔쳐 넷스크린 기기들에 해커가 접근하도록 하고 VPN 네트워크의 암호를 해제하는 기능을 가졌다고 합니다. 게다가 이 코드가 이미 2008년부터 존재해왔을 가능성도 있다고 합니다. 아직 이 코드의 출처는 밝혀지지 않았지만 해당 문제에 대한 패치는 발표가 된 상황입니다.
4. 공격에 관한 소식들
스패머들, 드롭박스와 구글플러스 악용한다(Infosecurity Magazine)
프로포스 멀웨어, 생각보다 단순한 듯(Threat Post)
멀버타이징과 익스플로잇 킷 대항하기 위한 MS의 스마트스크린(CSOOnline)
스팸 메일을 발송하고, 특히 수많은 스팸 메일 속에 악성 코드나 공격 수단을 섞어 보내는 공격자들이 드롭박스와 구글플러스를 적극 활용한다는 소식입니다. 드롭박스나 구글플러스에서 보낸 알림 메일인 것처럼 감쪽같이 꾸미는데, 얼마나 잘 꾸몄는지 스팸 필터링 기능을 대부분 우회한다고 합니다. 백신도 구글 및 드롭박스에서 온 메일로 파악하는 거죠.
5. 약속, 합의, 벌금
NATO와 시만텍, 정보 공유 협약 맺어(Infosecurity Magazine)
라이프록, 연방거래위원회와의 합의 위해 1억 달러 지불(SC Magazine)
유럽의 NATO와 시만텍이 정보를 공유하기로 협약을 맺었습니다. 유럽과 미국이 각각 정보를 공유하거나 보호하는 법을 곧 통과시킬 예정인데요, 타이밍이 좋습니다. 라이프록(LifeLock)이라는 보안 솔루션 제작 업체에서 지난 2010년 고객 정보가 유출되는 일이 있었는데요, 미국 연방거래위원회가 고객정보를 부실하게 관리했다는 이유로 라이프록을 고소했었습니다. 그리고 몇 년이 지난 올해, 드디어 양측이 합의를 봤는데요, 합의금이 무려 1억 달러라고 합니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
