1년 전엔 연구 주제였던 자동차 해킹, 실제 범죄로 나타나기 시작
해외 정부 해킹 주장하는 해킹팀, 업계는 “잘못된 습관이 자처”
[보안뉴스 문가용] 자동차 해킹이 실제로 벌어지고 있습니다. 원격으로 자동차를 조정하는 해킹 범죄가 빠르게 늘어나고 있는데요, 이는 운전자의 목숨이 걸린 문제라 큰 사고로 이어질 가능성이 다분해 보입니다. 그래서 미국 자동차 제조업계는 ISAC을 창설하고 지프나 피아트 같은 유명 메이커들은 소프트웨어 업데이트를 배포하기 시작했습니다.
미국 정부기관을 수차례 해킹하고 체포된 후 또 다시 해킹으로 체포된 영국인 남성 한 명이 미국으로 이송될 예정입니다. 바이오인증 기술이 차세대 보안 기술로 각광받고 있는 가운데, 사람들의 근본 불안감을 해결해줄 새로운 기술이 또 등장했습니다. 지문이나 목소리 등의 정보를 아무도 열람할 수 없도록 토큰화하는 건데요, 이러면 바이오인증이 좀 더 상용화 될까요? 아무튼 대중의 정서를 잘 파악했다는 생각이 들긴 합니다.
1. 자동차 해킹 본격화
자동차 해킹, 연구 단계 넘어 본격 범죄화 되기 시작(Threat Post)
자동차 업체들, 자동차 해킹 범죄에 대항하려 소프트웨어 업데이트(Security Week)
지프차 소유주들, 소프트웨어 업데이트 꼭 하세요(The Register)
피아트 크라이슬러에서 발견된 제로데이 취약점(SC Magazine)
자동차 해킹이 실제 범죄 현장에서 발견되고 있습니다. 겨우 작년 블랙햇 발표로 큰 관심을 끈 분야고 아직 실제 상황에 대한 대처법이 채 마련되기도 전이라 그런지 빠른 속도로 늘고 있다고 하는데요, 특히 원격 해킹이 심각하다고 합니다. 바깥에서 자동차를 제어하는 거나 다름이 없는 건데요, 이에 대해 지프(Jeep)라던가, 피아트(Fiat) 등에서 소프트웨어 패치를 발표하고 있습니다.
2. 작년의 사고, 아직도...
작년 정보유출 있었던 니만 마커스, 집단 소송 다시 벌어져(Threat Post)
JP모건 체이스 은행 유출사고 범인 잡혔다(Dark Reading)
작년에 있었던 대규모 정보유출 사고 중에 니만 마커스(Neiman Marcus)와 JP모건 체이스 은행가 있는데요, 니만 마커스 관련 피해자들이 다시 한 번 집단소송을 시작했다고 합니다. 작년에도 집단소송이 있었는데 그때는 ‘회사 측에서 할 만큼 했고 직접적인 피해가 없었다’는 판결이 1심으로 나왔었는데 시간이 지나며 실제 피해 사례가 발견돼 판결이 뒤집혀 회사 측에 잘못이 있다는 판결이 나와 잊혀진 사건에 다시 불이 붙은 거라고 합니다. 한편 JP모건 체이스 은행의 범인들이 잡혔다는 소식도 속보로 떴습니다.
3. 보안 관련 조직의 해이
그래서, 해킹팀은 누가 해킹한 건가?(CSOOnline)
미국 국토안보부 직원들, 정부 PC로 개인 메일 사용한 흔적 발견돼(SC Magazine)
해킹팀은 타국 정부의 공격을 받은 거라고 주장하는 모양입니다만, 보안업계는 코웃음을 치고 있습니다. 사내 암호를 password라고 하는 등 보안을 좀 안다 하는 일반인들도 안 할 이들의 평소 행동들이 이미 발견되었기 때문입니다. 요즘 사이버전 많이 일어난다고 ‘정부’라는 이름만 가져다 대면 피해자가 될 줄 알았느냐, 하는 게 보안 업계의 반응입니다.
미국 국토안보부의 직원들도 해이함으로 질타를 받고 있습니다. 정부 PC 및 네트워크에서 자신의 개인 이메일에 접속해 사용했기 때문입니다. 이는 얼마 전 힐러리 장관의 ‘개인 이메일 사용하여 공무 집행’ 구설수가 별로 큰 영향력을 미치지 못했다고도 볼 수 있습니다. 근데 이건 사실 누구나의 문제죠. 보안에 관해서는 사람들이 아직까지도 많이 너그럽고, 쉽게 잊는 듯 합니다.
4. 재범
30세 영국인 남성, 미국 정부기관 해킹해 미국으로 넘겨질 듯(Infosecurity Magazine)
로리 러브(Laurie Love)라고 하는 30세의 남성이 NASA, 미군, 연방은행, 환경보호에이전시 네트워크에 침입해 미국으로 이송될 예정이라고 합니다. 현재 버지니아주, 뉴욕시, 뉴저지로부터 고소를 당한 입장입니다. 공격은 2012년부터 2013년 사이에 일어났다고 하네요. 사실 이 사람은 2013년에 한 번 체포되었다가 보석으로 풀려난 적이 있습니다.
5. 바이오메트릭 소식
HYPR서 바이오메트릭 토큰화 플랫폼 발표(Security Week)
바이오인증 기술 개발업체인 HYPR에서 새로운 플랫폼을 개발, 발표했습니다. 지문이나 목소리 등을 이용한 인증 기술이 기존 암호 인증 기술보다 안전하다는 데에는 일반인들이 동의하긴 하지만 ‘그래도 내 지문과 목소리 정보를 다른 사람이 저장하는 건 좀 망설여진다’는 거부감이 있었죠. 그래서 HYPR서 이런 신체 정보를 토큰화시키는 바이오메트릭 토큰화 플랫폼을 개발한 것이라고 합니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>