오늘의 키워드 : 정보공유 법안 제출, 구글, 유럽, 포브스, 킬 스위치
첩보공유 법안 드디어 제출되고, 구글은 인터넷 경찰 자처하고
우크라이나 사태 정전으로 푸틴 대통령만 방그레

[보안뉴스 문가용] IS를 겨냥한 전쟁이 점점 가시화되고 있는 가운데 “첩보를 공유하자”는 오바마 대통령의 발언이 정식 법안으로 제출되었습니다. 인터넷 세상에서는 구글이 눈에 불을 켜고 시키지도 않은 경찰관 노릇을 하고 있고요. 미국 정보보안 계통은 일단 프라이버시보다 안전이 더 중시되는 분위기로 슬슬 넘어가고 있습니다. IS가 미국에게 이런 영향을 주듯 유럽에서는 러시아가 유럽연합을 조금씩 변화시킬 것으로 보입니다. 그 시작이 어제 뉴스에 나왔던 G20의 ‘정보를 공유하겠다’는 선언이었고요.
 


한편 중국은 IE와 플래시의 제로데이를 모두 뚫어내면서 포브스를 점령한 것으로 보입니다. 또, 안전을 위해 프라이버시의 위험을 감수할 수도 있다는 상징성을 가진 킬 스위치의 도입이 실제 핸드폰 도난 방지에 어느 정도 효과를 거두고 있는 듯 보이는 조사 결과가 발표되었습니다. 이러면 보안, 안전으로의 흐름이 더 힘을 받겠죠. 사건 하나만 더 터지면 정말로 보안이 절대가치가 될 지도 모르겠습니다.

1. 첩보공유 플랫폼 본격 시동
톰 카퍼 의원, 백악관 사이버 법안 제출(The Hill)
백악관 사이버 보안 행사에 기술 및 재정분야 최고권위자들 모여(Wall Street Journal)
샤를리 에브도 사건 이후 오바마가 강력하게 주장하고 있는 “사이버 위협 첩보 공유 방식에 대한 법을 마련하자”가 실체를 갖추고 있습니다. 톰 카퍼(Tom Carper)라는 의원이 법안을 꾸려 제출한 것입니다. 현재 이 사이버 위협 첩보 공유법(Cyber Threat Intelligence Sharing Act)는 정보보안 전문가들 사이에서 가장 뜨거운 이슈라고 할 수 있는데요, 어제는 페이스북이 그런 활동을 위한 플랫폼을 마련하겠다고 나서기도 했죠. 문화(페이스북 등)와 법안 마련이 이렇게 동시에 이루어지니 생각보다 빠른 시간 안에 구체화될 듯 합니다.

또한 백악관에서는 사이버 보안에 대해 오바마가 외부 행사에 참여하는 등 활발하게 움직이고 있는데요, 이번 금요일에는 스탠포드 대학에서 열리는 행사에 참석합니다. 우리나라 시간으로는 오늘 밤이겠네요. 여기에 애플의 팀 쿡, 뱅크 오브 아메리카의 브라이언 모이니헌, 아메리칸 엑스프레스의 케네스 체놀트 등이 초대되었다고 합니다. 정보와 금융의 흐름이 보안이라는 무대 위에서 어떻게 변화되고, 어떤 영향을 미칠지 두고 보게 됩니다.

2. 구글의 움직임
구글, 사용자가 보안 점검만 하면 2GB 무료로 제공(CNN Money)
구글, MS와 애플의 취약한 코드 공개하겠다고 협박(Bloomberg Business)
구글에서 사용자들에게 보안 점검을 권장하고 나섰습니다. 2월 17일 전까지 사용자가 점검을 마치면 2GB를 무료로 제공해준다고 합니다. 계정으로 로그인 해서 계정 설정에서 점검을 직접 실행할 수 있습니다. 또 한편에선 이른 바 90일 정책으로 MS와 애플에게 취약점을 고치라는 압박을 가하고 있는데요, 이에 대해 MS와 애플은 자신들의 취약점 패치 전략 및 방침에 대해 공개하지 않고 있습니다. 갑자기 구글이 인터넷 시장의 보안 경찰이라도 구는 게 전문가들 사이에서 그다지 환영받고 있지 못하는 분위기이긴 합니다. 구글, 왜 갑자기 보안에 이렇게 신경질적으로 변했나요.

3. 유럽에서는
유럽 지도자들 동우크라이나에서의 정전협정 발표(Washington Post)
유럽연합, 보안 이유로 아웃룩 앱 금지 조치(The Register)
네덜란드 정부 웹 사이트, 10시간에 걸친 디도스 공격으로 KO(The Register)
우크라이나 사태가 갈수록 심화되자 유럽의 지도자들이 모여서 정전협정을 발표했습니다. 여기에는 우크라이나 독립을 지지하는 세력의 지도자와 친러시아 세력의 지도자가 함께했는데요, 친러시아 세력들이 주로 있는 지역의 자주성을 좀 더 존중해주는 조건 하에 정전에 동의할 수 있었다고 합니다. 하지만 결국 승자는 러시아의 푸틴 대통령이라는 평이 많습니다. 러시아로부터 이번 사태에 불을 질렀다는 이유로 경제 및 군사적인 보상을 받아내려고 했던 서방 국가들을 이번 협정을 통해 깔끔하게 함구시켰기 때문입니다.

또한 유럽연합은 정치인들의 아웃룩 앱 사용을 금지시켰습니다. 보안이 이유였습니다. 아웃룩 앱이 사용자의 암호 관련 정보를 허가 없이 서버에 저장시킨다는 보고가 있은 후였으니, 당연한 조치라고 봅니다. 또한 네덜란드 정부의 공식 웹 사이트가 10시간 동안이나 오프라인 상태였다고 합니다. 디도스 공격 때문이라고 하는데요, 정확한 공격 동기에 대해서는 아직 파악 중에 있습니다.

4. 포브스 해킹한 중국, IE와 플래시 취약점 악용
중국 해커들, IE와 플래시 제로데이 악용해 포브스 공격(Threat Post)
포브스 공격한 중국 해커들 플래시와 IE 제로데이 악용(SC Magazine)
얼마 전 중국 해커가 포브스를 타고 다시 미국 사이버 공간에 등장했었죠. 그에 대한 수사가 진행 중인데요, 일단 공격 방식에 대해 조사가 어느 정도 끝난 듯 합니다. 플래시의 제로데이 취약점인 CVE-2014-9163과 IE의 제로데이 취약점인 CVE-2015-0071이었다고 하네요. 둘 다 지금은 패치가 된 상태입니다. 하나의 취약점이 아니라 두 개의 취약점을 전부 악용하는 해킹 수법이 늘어날 수도 있어 보입니다.

5. 킬 스위치, 효과 있나?
킬 스위치 도입 이후 스마트폰 도난 줄어(SC Magazine)
스마트폰 분실시 사용자가 원격에서 스마트폰을 ‘죽일 수’ 있게 해주는 제도인 킬 스위치가 미국에 마련되면서 커다란 논쟁을 불러일으켰었죠. 프라이버시 침해 등 악용될 소지가 많았기 때문입니다. 그러나 효과가 나타나는 것 같긴 합니다. 2013년 1월부터 2014년 12월까지 스마트폰 도난 비율이 뉴욕에서는 16%, 샌프란시스코에서는 27%, 런던에서는 50%나 줄었다고 합니다. 프라이버시를 침해할 수도 있는 기술력이 안전성에 있어 효과가 있다는 게 이렇게 드러나고, 첩보를 법적으로 공유해야 하는 상황과 맞물리면 지금의 ‘프라이버시 vs. 보안’ 구도의 대립이 생각보다 쉽게 한쪽으로 쏠린 채 결론 날 수도 있겠습니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>