각종 취약점 발견된 곳 : 슈나이더 일렉트릭, 비트토렌트, OS X 예전 취약점 패치 잘 안 된 곳 : GM, 구글

[보안뉴스 문가용] 여기 저기 취약점 소식이 풍부합니다. 고쳐진 것도 있고, 아닌 것도 있으며 미리 제조사에 알린 것도 있고 아닌 것도 있습니다. 산삼 캐듯이 먼저 찾는 사람이 임자인 게 취약점인데요, 그래서 그런지 보안 전문가들이 사이버 심마니들이 된 것도 같습니다. 또한 요즘 들어 ‘제대로 되지 않은 패치’가 나오는 것도 조금 더 빈번해지고 있는 듯 합니다. 사람이란 게 실수를 할 수밖에 없는 존재고, 그렇기 때문에 온전히 사람의 힘으로만 만들어진 사이버 공간의 모든 요소에서 취약점이 나올 수밖에 없습니다. 그렇기 때문에 정보보안업이 실제 삼산을 캐던 심마니들보다 더 ‘안정성’을 보장받을 수 있는 직업이긴 하지요. 해커도 똑같다는 게 문제긴 하지만요.

1. 슈나이더 일렉트릭
슈나이더 일렉트릭의 위험한 취약점, 패치 안 돼(Threat Post)
슈나이더 일렉트릭의 SCADA 시스템에서 취약점 발견, 경보(Security Week)
한국에도 지사가 있는 슈나이더 일렉트릭(Schneider Electric)의 SCADA 시스템에서 위험한 취약점이 발견되었습니다. 사실 발견되고 공표된 건 약 2주전의 일인데요 아직도 패치가 안 되고 있다고 합니다. Modicon M340 PLC Station P34 Module의 HMI 인터페이스에서 발견된 취약점으로 Factory Cast Modbus라는 기능을 호환해주는 모듈들에 영향을 준다고 합니다. 원격에서 임의 코드를 실행할 수 있게 해주는 취약점입니다.

2. 비트토렌트
비트토렌트 취약점 사용해 DRDOS 공격 감행(Threat Post)
비트토렌트 취약점으로 DRDOS 공격이 가능(Security Week)
P2P 파일 공유 사이트인 비트토렌트(BitTorrent)를 통해 DRDOS 공격을 하는 게 가능하다는 소식이 나왔습니다. DRDOS 공격은 Distributed Reflective Denial of Service 공격으로 이는 리플렉터처럼 보이는 대량의 트래픽을 사용한 디도스 공격이라고 볼 수 있습니다. 이 공격이 비트토렌트의 취약점과 맞물리면 트래픽 양이 50배가량 증가한다고 합니다.

3. OS X
OS X 제로데이 익스플로잇 발견(Security Week)
이탈리아의 10대, OS X의 제로데이 취약점 두 개 발견(CSOOnline)
OS X 요세미티 10.10.5 버전에서 권한 상승 취약점이 발견되었습니다. 이를 발견한 건 보안전문가라고 자처하는 이탈리아의 10대로, 이름은 루카 토데스코(Luca Todesco)입니다. 이 10대 전문가는 깃허브에 해당 취약점에 대한 자세한 내용을 공개했고, 공개 몇 시간 전에 애플에 사실을 통보했다고 합니다. 게다가 스스로 만든 패치를 같이 첨부하기도 했는데, 애플의 인증을 받은 개발자가 아니기 때문에 설치가 쉬운 파일로 이를 전환할 수는 없었다고 합니다.

4. GM
GM은 온스타 앱 오류 고쳤다고 하고 연구원들은 아니라고 하고(SC Magazine)
얼마 전 온스타라는 스마트카 앱으로 해킹이 가능하다는 발표가 있었고, GM사는 이에 대한 패치를 마쳤다고 했는데요, 보안 연구원들은 패치가 제대로 되지 않는다고 합니다. 엇갈린 주장이라기보다, 보안 연구원들이 추가적인 실험을 해봤을 때 또 다른 익스플로잇 방법이 발견된 것일 가능성이 높죠. GM은 다시 패치 작업에 들어가야 할 것 같습니다.

5. 구글
구글, 안드로이드용 구글 어드민 앱 취약점 패치(Security Week)
논란의 구글 스테이지프라이트 취약점, 9월까지 해결 안 될듯(The Register)
구글은 구글 어드민(Google Admin)이란 안드로이드용 앱에 있는 취약점을 패치했습니다. 구글 어드민은 구글 포 워크(Google for Work), 에듀케이션(Education), 구글 코디네이트(Google Cordinate), 거번먼트(Government) 사용자들 중 관리자 등급을 가진 사람들을 위해 제작된 앱입니다. 즉 많은 중요 데이터의 허브 역할을 하는 앱이라는 건데요, 다행히 구글 측에서 이에 대한 패치를 완료했다고 합니다. 하지만 논란의 스테이지프라이트(Stagefright) 취약점은 9월까지 패치되지 않을 거라고 합니다.

6. 미국 국세청
미국 국세청, 누출된 세금 납세자 정보 건수 늘려(Security Week)
미국 국세청 해킹, 피해 규모 점점 늘어나(CU Infosecurity)
미국 국세청 해킹, 처음 예상보다 2배로 늘어(The Register)
지난 5월에 해킹당한 미국 국세청. 처음엔 약 10만명의 납세자들 정보가 유출되었다고 발표했는데요, 최근 수사를 통해 이보다 더 큰 규모의 사람들이 정보 도난을 당한 것으로 밝혀졌습니다. 추가로 22만 명이 피해를 입었다는 사실이 드러난 것으로 이제 이런 식의 피해 규모 확대 발표가 미국 해킹 사고의 패턴이 되고 있는 듯 합니다. 솔직히 22만명보다 더 늘어날지도 모르는 일입니다.

7. 개인, 대학, 통신사
랩탑의 웹캠 통해 토론토의 커플 몰래 훔쳐본 해커(Infosecurity Magazine)
버지니아 대학 해킹 당해, 중국이 범인?(SC Magazine)
세계적으로 슈퍼쿠키 사용해 시민들 감시하는 통신사 최소 9곳 적발(The Register)
캐나다의 커플이 사용하는 침실을 랩탑 카메라로 지켜본 이집트의 해커를 수배 중에 있습니다. 카메라로 지켜봤을 뿐 아니라 영상 캡처한 이미지를 피해자에게 보내기까지 했다고 하는데요, 이 사람의 목적은 무엇이었을까요. 미국의 버지니아 대학에서도 해킹 소식이 있었는데요, 중국이 강력하게 의심을 받고 있습니다. 미국 대형 통신사인 AT&T가 NSA를 도와 감시활동을 원활하게 해줬다는 제보로 지금 보안업계가 들썩거리고 있는 가운데, 비슷한 일을 했던 통신사 9군데가 추가로 적발되는 일이 있었습니다. 슈퍼토큰이라는 걸 사용했다고 하는데, 캐나다, 중국, 인도, 멕시코, 모로코, 네덜란드, 페루, 스페인, 베네수엘라의 통신사라고 합니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>