백신의 아버지이자 프라이버시 운동가 맥아피, 대통령 선거 나온다
요즘 뜨거운 이슈인 3D 프린트 활용한 범죄 가능성 또 하나 드러나

[보안뉴스 문가용] 존 맥아피가 창당까지 해서 대통령 후보로 출마하겠다고 선언했습니다. 애슐리 메디슨은 이제 사용자들의 암호까지도 만천하에 공개되어, 이제 같은 암호로 로그인을 했던 사용자들과 그런 사용자들이 이용했던 온라인 서비스들도 긴장 상태에 놓였습니다. 사실 사용자들이 긴장하고 있다면 암호를 바꾸면 됩니다만, 긴장하고 있지 않은 부류들이 문제겠죠. 한편 3D 프린터를 활용한 마스터키 제작법이 인터넷에 돌아다니고 있다는 소식도 있습니다. 이러니 MS 같은 곳에서 큰 돈 들여 보안 회사들을 사들이는 것이겠죠.

1. 보안인의 정치입문 선언
존 맥아피, 미국 대통령 선거 출마 선언(Security Week)
백신의 아버지 존 맥아피(John McAfee)가 차기 대통령 선거에 출마한다고 선언했습니다. 이번에 당도 새로 만들 거라고 하는데요, 선거용 홈페이지와 페이스북 페이지는 이미 만들어서 공개했습니다. 뭔가 미국판 안철수 의원 같은 느낌이 나네요. 실제로 출마에 성공한다면 안철수 의원이 한국판 존 맥아피가 되겠습니다만.

2. 애슐리 메디슨 암호도 드러나
암호 크래킹 전문 단체, 애슐리 메디슨 자료서 암호 크래킹 성공(Threat Post)
애슐리 메디슨 계정 암호 1천 1백만 건 크래킹 돼(CU Infosecurity)
애슐리 메디슨에서 유출된 암호 1천 1백만 건 크래킹 성공(CSOOnline)
애슐리 메디슨 유출사고로 세상에 공개된 자료에 묻혀 있던 암호도 발굴되었습니다. 1천 1백만 건의 암호가 이번에 연구원들에 의해 완벽히 밝혀졌다고 하는데요, 이는 보통 네티즌들이 여러 사이트에 등록을 할 때 같은 아이디와 암호를 사용한다는 사실을 봤을 때 파장이 작지 않을 거라는 분석입니다. 즉 애슐리 메디슨에 가입한 사람들의 아이디와 암호 조합이 공개됨으로써 또 다른 온라인 서비스들도 긴장을 해야 하게 되었다는 것이다.

3. 정부와 대학
보안 전문가들 대부분 오바마 첩보 공유 법안에 회의적(CSOOnline)
MIT 대학, 사이버 보안 부문에서 최악(CSOOnline)
올해 초부터 ‘첩보를 무조건 공유하라’는 취지의 법안을 오바마가 밀고 있으며, 실제로 상원까지도 통과된 상태인데 보안 전문가들은 이에 대해 대부분 회의적인 것으로 나타났습니다. 하지만 회의적인 전문가들의 정서가 법안의 통과를 막기는 역부족으로 보입니다.

요즘 중국에서 미국 대학들을 많이 공격하는데요, 그래서 실시한 대학별 보안 상태 검사 결과에서 MIT가 최악의 점수를 받았다고 합니다. 나름 기술 쪽에 특화된 유명한 대학인데 제대로 망신살 뻗쳤습니다.

4. 패치와 노 패치
드루팔 모듈 두 개서 접근 우회 오류 패치(Threat Post)
시놀로지, NAS 소프트웨어에서의 치명적인 취약점 패치(Security Week)
시스코 보안 제품서 오류 발견, 아직 패치 없어(Security Week)
CMS인 드루팔의 여러 가지 모듈 중 두 가지에서 패치가 있었습니다. 하나는 트위터 모듈이고 나머지 하나는 RESTful API 모듈이라고 합니다. 둘 다 인증 과정에 취약함이 있었다고 합니다. 시놀로지(Synology)의 NAS 소프트웨어에서도 패치가 있었고요. 평소 패치를 빠르게 내놓는 시스코의 제품에서도 보안 오류(DoS 오류 등)가 발견되었는데, 아직 패치가 없다고 합니다.

5. 사이버 범죄 혹은 사이버 상 범죄
TSA 가방 여는 마스터키의 3D 프린트 버전, 온라인에 유출(The Register)
안드로이드 랜섬웨어가 미국서 늘어나는 이유 - 수익보장(The Register)
3D 프린트가 요즘 큰 이슈인데요, TSA라는 브랜드의 가방을 전부 열 수 있게 해주는 마스터키의 3D 프린트 방법이 요즘 인터넷에 돌아다니고 있다고 합니다. TSA 입장에서는 이걸 일괄 패치를 할 수도 없고, 전량 리콜할 수도 없고, 난감한 입장에 처하게 됐습니다. 또한 미국에서는 랜섬웨어가 계속해서 늘어나고 있다고 하는데요, 이는 랜섬웨어의 수익률이 괜찮기 때문이라고 합니다. 그래서 랜섬웨어에 걸리면 돈을 주지 말고 아예 기기를 공장초기화하라고 권하는 건데요, 이런 때 사람은 정말 잘 못 뭉치죠.

6. 고소하는 기업, 인수하는 기업
前 애슐리 메디슨 운영진, 명예훼손으로 기자 고소(SC Magazine)
MS, 2억 5천만 달러에 아달롬 인수(SC Magazine)
전 애슐리 메디슨 운영진이었던 라자 바티아(Raja Bhatia)가 보안 전문 기자인 브라이언 크렙스(Brian Krebs)에게 “개제한 글 중 라자 바티아 본인에 대한 잘못된 언급이 있어 수정을 요청한다”는 편지를 보냈다고 합니다. 그렇지 않을 경우 명예훼손으로 고소를 하겠다고 협박까지 덧붙였다고 합니다. 크렙스는 자신의 블로그에 편지 전문을 그대로 올려버렸습니다. 한편 마이크로소프트는 보안 전문업체인 아달롬(Adallom)을 2억 5천만 달러에 인수합병했다는 소식입니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>