애플, MS, 미국 정부 모두 HTTPS 사용할 것 강조
MS와 어도비는 정기 패치하고 VM웨어도 취약점 패치하고

[보안뉴스 문가용] 가까운 시일 안에 HTTPS가 대세가 될 듯 합니다. 일단 애플과 MS가 HTTPS를 강조하기 시작했고, 미국 정부도 마찬가지입니다. 물론 HTTPS란 것이 이전부터 있어왔고, HTTPS 사용을 강조한 게 처음 있는 일도 아닙니다만, 애플과 MS가 이미 형성한 생태계의 영향력과 미국 정부가 겪은 4백만 공무원 개인정보 유출사고가 주는 임팩트가 HTTPS로의 전환에 박차를 가할 것 같아서입니다.
 


한편 MS와 어도비는 정기 패치를 발표했습니다. 어도비 플래시 관련 제품군에서는 특히나 많은 취약점이 꾸준히 드러나고 있는데요, 이런 정기 패치가 물론 없는 것보다 낫겠지만 MS처럼 그때그때 비정기적으로 패치를 하는 방식으로 옮겨가야 하지 않을까 하는 생각이 듭니다. 이번에 심각한 취약점이 발견된 VM웨어처럼 말이죠.

여러 보고서가 발표되었는데요, 별로 썩 좋은 내용은 아닙니다. 공격의 가장 주된 드라이브인 수익성은 높고, 방어의 가장 주된 드라이브인 ‘보안 인식 및 습관’은 아직도 낮다는 내용이니까요. 씁슬합니다.

1. HTTPS가 난리
애플, 앱 개발자들에게 HTTPS 사용할 것 장려(Threat Post)
MS도 HTTPS 호환 뒤늦게 쫓아(The Register)
연방기관의 웹 사이트들, 앞으로 HTTPS만 사용할 것(SC Magazine)
미국 연방기관들, HTTPS로 바꾼다(Threat Post)
하룻밤 사이에 HTTPS가 거대한 키워드로 올라왔습니다. 애플도 앱 개발자들에게 HTTPS를 사용할 것을 권장하고 있고, 이를 언론에서는 ‘정부의 검열과 감시 행위에 대한 민간기업의 반발심리를 상징하고 있다’고 해석하고 있습니다. MS도 이번 정기 패치를 통해 IE나 에지(Edge)에서 HTTPS 암호화를 보다 편리하게 할 수 있도록 했습니다. 또한 이번에 4백만명 공무원이 해킹을 당한 사건을 겪은 미국에서는 오바마 대통령이 연방기관 내 망을 전부 HTTPS로 바꾸라는 지시를 내렸다고 합니다. 앞으로 HTTPS가 빠르게 자리 잡게 될 듯이 보입니다.

2. 정기 패치
MS, IE와 윈도우용 보안 업데이트 발표(Security Week)
윈도우 2003 서버 보안 지원 한달 내 중단(Threat Post)
어도비, 플래시 플레이어의 취약점 13개 패치(Threat Post)
2015년 1사분기에 플래시 관련 멀웨어 급증(Infosecurity Magazine)
MS와 어도비에서 정기 패치를 발표했습니다. MS는 8가지, 어도비는 13가지 취약점을 패치했다고 합니다. 한편 이런 기사들에서 자꾸만 반복적으로 나오는 내용이 있죠. 바로 윈도우 2003 서버에 대한 지원이 7월 14일까지만 이어질 것이라는 겁니다. XP에 이어 또 다른 취약점 덩어리 OS가 생겨날 예정입니다.

3. 사이버 공격
지난 4월에 있었던 프랑스 TV 방송국, 러시아 해커에 초점 맞춰 수사(Security Week)
이메일 및 호스팅 업체 프리파킹, 디도스 공격당해(The Register)
틴바 멀웨어의 새로운 변종, 유럽 은행 고객들 주로 노려(Security Week)
4월, 프랑스의 TV 방송국에 해킹 사고가 있었죠. 그 수사가 아직 진행 중인데요, 러시아가 최근 수사의 초점이 되고 있습니다. 미국의 사고에 거의 항상 중국이 연루되어 있듯, 유럽의 사고에는 러시아가 많이 개입되어 있습니다. 사실이든 아니든. 한편 프리파킹(Freeparking)이라는 온라인 이메일 및 호스팅 업체에 디도스 공격이 있었습니다. 유럽 금융권에는 틴바(Tinba)라는 멀웨어의 새로운 변종이 돌아다니고 있고요.

4. VM웨어 취약점
VM웨어의 퓨전과 워크스테이션에서 DoS 공격 가능케 하는 취약점 발견(The Register)
VM웨어의 서비스인 워크스테이션(Workstation)과 퓨전(Fusion)에서 DOS 공격 가능하게 하는 취약점이 발견되었습니다. 이 취약점으로 입력 유효성 공격이 가능해지며, 이로써 32비트 시스템에서는 게스트 OS, 64비트 시스템에서는 호스트 OS에 DOS 공격이 가능하다고 합니다. 다행히 VM웨어에서도 발 빠른 패치를 내놓았다고 합니다.

5. 각종 보고서
기업들, 정보유출 사고 처리에 평균 100일 소요(Infosecurity Magazine)
스턱스넷 남아있는 곳 여전히 많다(Security Week)
대부분의 임원들, 평소 보안에 대해서는 보고받지 않는다(Infosecurity Magazine)
사이버 범죄인들의 ROI, 100% 넘는다(SC Magazine)
정보유출 사고가 일어난 후 네트워크와 시스템에서 멀웨어 및 공격의 여러 자취들을 완전히 씻어내는 데 걸리는 시간이 100일이라는 보고서가 발표되었습니다. 이를 입증이라도 하려는 듯 5, 6년 전에 이란을 강타했던 스턱스넷을 아직도 가지고 있는 시스템이 많다는 기사도 나왔습니다.

사이버보안이 중요하다는 인식은 누구나 가지고 있는 듯 하지만, 대부분의 임원들은 평소 보안에 별로 관심이 없다는 보고서가 나왔습니다. 그런데 이게 고쳐지긴 할까요? 소 잃고 외양간 고친다는 소리가 괜히 옛날부터 전해져오는 말이 아니죠. 아마 정보보안이 중요하다고는 다들 인정해도 그걸 몸소 실천하면서 사는 사람은 어지간해서는 계속 드물 겁니다.

하지만 공격은 계속 되겠죠. 왜냐하면 수익성이 좋으니까요. 사이버범죄자들의 ROI가 100%를 넘는다는 보고서도 흥미를 끕니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>