오늘의 키워드 : 행정서명, 업계의 회의, 은행 해킹, 구글, 테러
오바마, 업계 회의 불구 첩보 공유 정책 계속해서 밀어붙여
구글은 사실상 취약점 공개 기한 14일 연장

[보안뉴스 문가용] 오바마가 첩보를 공유하자고 목소리를 높이다 못해 행정명령을 내리기에 이르렀습니다. 정보 산업 최고 전문가들을 초대한 행사에서였는데요, 이 행사는 그러나 알짜배기 인사들의 불참으로 빛이 바랜 상태였습니다. 업계가 ‘정보를 강제로 공유하도록 정부가 통제한다’는 개념을 크게 불신하고 있다는 소리 없는 시위라는 분석이 대부분입니다.
 


이런 회의를 갖게 된 데에는 스노우든의 역할이 컸죠. 그 스노우든 관련 다큐멘터리 영화를 찍고 있는 감독의 인터뷰가 공개되었는데, 상당히 간첩과 같은 삶을 살고 있다고 합니다. 정부의 정보 수집 정도가 도를 넘어섰다고 증언하고 있습니다. 또, 비슷한 영화를 제작 중에 있던 한 작가의 일가족이 몰살되는 사건도 있었네요. 무슨 일이 일어날까요?

한편 IS에 대한 제재는 보다 광범위하게 이루어지고 있으며 은행을 노리는 해커들도 규모를 불리고 있습니다. 혼란 속에서 구글은 돌연 90일이라는 취약점 공개 기한을 14일 정도 더 늘이기로 발표했고, 애플은 2중 인증을 확대했습니다. 공격하는 자들은 그들 나름대로, 방어하는 자들은 또 그들 나름대로 방법과 규모를 늘려가고 있습니다. 냉전시대 평화를 빙자한 핵 늘리기 경쟁을 보는 듯 한 것은, 팽창할 대로 팽창했는데 계속해서 바람이 들어가고 있는 풍선을 보는 것 같은 불안감 때문입니다.

1. 오바마, 행정명령에 서명
오바마, 민간부문 정보공유 행정명령에 서명(Infosecurity Magazine)
오바마의 새 사이버보안 명령(The Register)
오바마 대통령, 사이버 문제점들과 격론(CU Infosecurity)
오바마의 행정명령으로 위협첩보 공유 사실상 확정(SC Magazine)
오바마 대통령이 ‘첩보 공유’를 밀어붙이고 있습니다. ‘첩보가 있으면 가감 없이 지체말고 공유하자’는 연설이 법안이 되고, 의회에 제출되더니 기어이 금요일에는 대통령의 서명이 들어간 행정명령이 되었습니다. 비슷한 행정명령이 2013년 2월에 있긴 했었습니다만 이번에는 더 많은 세부사항들이 추가되었다고 합니다.

스탠포드 대학에서 애플의 팀 쿡 회장 등 여러 유명 전문가들과 함께한 사이버 보안과 소비자 보호를 위한 백악관 정상회담(White House Summit on Cyber Security and Consumer Protection)에서 서명은 이루어졌으며, 여기서 오바마는 돌연 ‘첩보(intelligence)’가 아니라 ‘정보(information)’라는 단어를 사용하며 정부기관은 물론 민간 부문의 정보공유가 활성화되기를 바란다고 발표했습니다. 이게 굉장히 솔깃하고 좋은 취지로 들립니다만, 이를 있는 그대로 받아들이기가 힘든 점이 몇 가지 있습니다. 밑에 이어집니다.

2. 사이버 보안과 소비자 보호를 위한 백악관 정상회담
오바마, 팀 쿡 등의 전문가와 사이버 보안 정보 공유 놓고 토론(Information Week)
스노우든 영화제작자, “미국 정부 감시 통제불능 수준”(Security Week)
소문 무성한 FEMA 캠프 관련 영화 대본작가 일가족 몰살(WTFRLY)
팀 쿡, “안전 위해 프라이버시 포기하면 삶의 방식 자체가 바뀔 것” 경고(CSOOnline)
오바마 대통령은 스탠포드 대학에서 사이버 보안에 대한 정상회담을 개최하고 여러 전문가들을 초대했습니다. 그런데 정작 행사에는 초대명단에 등록된 핵심인물 네 명이 빠졌습니다. 페이스북의 주커버그(Zuckerberg) CEO, 구글의 레리 페이지(Larry Page) CEO, 구글의 경영의장인 에릭 슈미트(Eric Schmidt), 야후의 마리사 메이어(Marissa Mayer) CEO이 바로 그들입니다. 가뜩이나 강제적인 정보공유에 대해서 불신의 목소리가 전문가들 사이에서 높았는데, 이들의 불참이 이런 분위기를 대변하고 있다는 게 업계의 분석입니다.

또한 미국국가안전보장국(NSA)의 前 직원 스노우든(Snowden)이 정부의 불법적인 정보수집 행태를 고발한 사건에 대한 다큐멘터리 영화를 제작 중인 로라 포이트라(Laura Poitras)는 현재 굉장히 ‘은밀한’ 삶을 살고 있다고 밝혔습니다. 인터넷에 연결하지 않는 노트북 한 대를 별도로 사용하고 있을뿐 아니라 휴대폰도 사용하지 못한다고 합니다. 또한 영화 제작을 위해 스노우든 본인을 접선한 것도 스파이 영화를 방불케 했다고 하네요. 그러면서 알아낸 정부의 실상은 과도한 걸 넘어섰다고 합니다.

게다가 미국연방비상관리국의 행태를 고발하는 영화가 제작되고 있었는데요, 대본을 맡았던 작가의 일가족이 갑자기 살해된 채 발견되는 사건도 있었습니다. FBI의 발표에 따르면 자살로 위장된 살인사건이었는데요, 여기에 대해 여러 가지가 추정되고 있습니다. 진실이 무엇이든 세 사건 모두를 통해 알 수 있는 건 정부에 대해 캐거나 고발하는 게 굉장히 힘이 든다는 겁니다. 그리고 미국 정부는 ‘정보의 공유’를 강하게 밀어붙이고 있고요. 이미 산업별, 주별로 정보공유가 이루어지고 있기에 미국에서 이 법안의 진짜 의미는 ‘정보의 중앙통제’를 의미하고 있다는 걸 여기에 더해보면 걱정이 많이 됩니다. 팀 쿡의 경고가 의미심장합니다.

3. 이제 해커 갱단도 세계적 규모
카르바낙, 은행들로부터 10억불 훔치는 데 성공(Threat Post)
해커들 뭉쳐 3억불 훔쳐, 수사결과에 따라 10억불 넘을지도(The Register)
해커들 100개 은행으로부터 10억불 훔쳐내(Security Week)
동유럽 등지에서 활동 중인 것으로 보이는 해커들이 수십 개(보도에 따라 약 100개)소의 금융기관을 턴 것으로 드러났습니다. 이 해킹단체의 이름은 카르바낙(Carbanak)인 것으로 보이며 카스퍼스키 랩에서 보다 자세한 내용을 월요일, 우리 시간으로 늦은 밤이나 이른 새벽에 발표할 예정입니다. 자세한 보고사항을 기다려봐야겠지만 미국, 독일에 이어 아시아에 있는 은행들까지도 표적이 되었다는 게 이례적이라고 하네요.

4. 구글, 취약점 공개기한 늘리기로
구글, 제로데이 취약점 공개기한 최대 14일 추가(The Register)
구글, 취약점 공개 정책에 자비 베풀기로(Threat Post)
구글이 요 몇 주, 마이크로소프트와 애플의 취약점을 90일이 지난 시점에서 패치 여부와 상관없이 마구 공개한 것으로 엄청난 논란이 있었죠. 구글은 “90일이면 만든 사람들이 책임지고 해결책 마련하기에 충분한 시간”이라고 주장했고 반대편에서는 “충분하지도 않을뿐더러 해결되지 않은 취약점 공개는 해커들에게 기회를 제공하는 꼴”이라고 반박했습니다. 구글이 고집스럽게 행보를 이어가나 싶었는데 최근 정책의 변경을 발표했습니다. 90일이 된 시점부터 14일 이내에 패치가 발표될 예정이라면 공개하지 않겠다는 게 바로 그 내용입니다.

5. 애플, 2중 인증 도입
애플, 페이스타임과 아이메시지에 2중 인증 도입(Security Week)
애플, 2중 인증을 아이메시지와 페이스타임으로 확장(Threat Post)
제목이 곧 내용입니다. 보안 기능을 강화한 건데요, 이미 애플은 아이클라우드에 2중 인증을 도입했었죠. 이제 애플 사용자들은 사용자 이름과 암호뿐 아니라 추가로 PIN번호를 입력해야 합니다. 물론 이는 옵션에서 활성화시키거나 비활성화 시키는 게 가능합니다.

6. 계속되는 테러와의 전쟁
코펜하겐에서의 테러로 한 명 사망, 세 명 부상(The Guardian)
UN, 경제권 쥐고 IS 목조이기에 돌입(Wall Street Journal)
어제 코펜하겐에서 IS가 배후세력으로 있는 것으로 보이는 테러가 또 있었습니다. 현재까지는 샤를리 에브도 사건과 무관해 보이지 않습니다. 모하메드를 개로 묘사한 작가가 강연자로 나오는 한 세미나장 바깥에서 행사장 안으로 약 50발의 총격이 가해졌다고 합니다. 지금 사건 후 자동차로 도주한 용의자의 사진이 돌아다니고 있습니다.

한편 IS가 석유, 골동품의 밀수 및 납치 등으로 확보하는 자금을 끊어내기 위해 UN이 나섰습니다. 그래서 IS 및 알카에다 세력과 교역을 하는 민간인 혹은 단체의 이름을 제출해달라고 각 정부에 요청을 한 상태입니다. 앞으로는 군사행위로 압박하고 뒤로는 경제 조치로 자금을 말리겠다는 건데요, 이에는 모든 UN국이 만장일치로 합의했다고 합니다. IS가 석유 밀수로 버는 돈이 하루에 적게는 80만 달러에서 많게는 1백 6십만 달러라고 하니, 생각보다 대대적으로 움직일 필요가 있어보이는 규모입니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>