원플러스 신용카드 정보유출, 구글의 역대급 포상금 지급,
미운 사람 디도스 공격하기, 워치가드의 퍼시피언트 인수,
‘크래카스 위드 애티튜드’ 수장 케인 갬블의 유죄 인정
[보안뉴스 오다인 기자] 10대 소년의 능력(?)에 감탄해야 할지, 최고 정보기관들의 무능에 다른 의미로 놀라워해야 할지 혼란스럽습니다. 여하튼 15살짜리 소년이 미국 중앙정보국 국장을 해킹하고 미국의 일급군사기밀에도 접근할 수 있었다고 하니, 여러모로 경각심을 가져야 할 때인 것 같습니다. 1월 3주 뉴스쌈은 크래카스 위드 애티튜드 소식을 포함해 신용카드 정보유출, 버그바운티 포상금, 디도스 공격, 보안 업체 인수 소식 등을 모아봤습니다.
[이미지=iclickart]
중국 원플러스, 신용카드 정보유출
중국의 스마트폰 제조업체 원플러스(OnePlus)가 ‘원플러스닷넷(oneplus.net)’에서 신용카드 정보 유출이 발생했다고 밝혔습니다. 피해자는 최대 40,000명에 이를 것으로 추정됩니다. 2017년 11월 중순부터 2018년 1월 11일 사이에 원플러스닷넷에서 신용카드 정보를 입력한 적이 있는 이용자라면 피해 대상에 포함됩니다.
이번 정보 유출은 지난 13일 원플러스 이용자들이 알 수 없는 신용카드 거래가 발생했다고 신고하면서 드러나게 됐습니다. 고객들의 신고를 접수한 뒤 원플러스는 사태 파악에 들어갔고, 이내 시스템 한 곳이 공격당했다는 사실을 알게 됐습니다. 이용자가 입력하는 신용카드 정보를 빼돌리도록 설계된 악성 스크립트가 결제 페이지 코드에 삽입돼 있었다고 합니다.
원플러스는 악성 스크립트가 즉시 삭제됐으며 침해된 서버는 격리됐다고 설명했습니다. 인공지능을 활용한 보안전문 업체 벡트라 네트웍스(Vectra Networks)의 보안분석 팀장 크리스 모랄레스(Chris Morales)는 “이번 정보유출이 HTTPS가 안전한 거래를 보장해주진 않는다는 사실을 다시 한 번 상기시켰다”고 말했습니다. “암호화된 대화라 하더라도 공격자들은 어느 한 쪽 끝단의 시스템만 침해하면 되기 때문”입니다.
구글이 역대급 버그바운티 포상금을 지급했다
약 1억 2,021만 원(112,500달러)입니다. 안드로이드 취약점 1건에 대해 구글이 지불한 포상금 말입니다. 역대급 포상금의 주인공이자 이 안드로이드 취약점을 제보한 연구자는 중국의 인터넷 보안 업체 치후 360 테크놀로지(Qihoo 360 Technology)에 소속된 구앙 공(Guang Gong)입니다.
작년 8월 구앙 공은 구글에 두 가지 취약점(CVE-2017-5116과 CVE-2017-14904)이 포함된 익스플로잇 체인을 제보했습니다. CVE-2017-5116은 샌드박스 처리된 크롬 렌더 프로레스에서 원격 코드 실행을 수행하기 위한 V8 엔진 버그였고, CVE-2017-14904는 크롬 샌드박스에서 빠져나올 때 이용하는 안드로이드 리브그랄록 모듈(libgralloc module) 내 버그입니다.
이 두 가지 취약점을 결합한 익스플로잇 체인은 크롬 내 악성 URL에 접근함으로써 시스템 서버에 무작위로 코드를 삽입할 수 있다고 합니다. 공의 익스플로잇 체인은 구글이 2017년 6월 버그바운티 프로그램을 안드로이드 시큐리티 리워드(Android Security Rewards)로 확대 개편한 이후 지급한 포상금 중 가장 높은 포상금을 받게 됐습니다.
미운 사람 디도스 공격한 남성, 유죄 인정
미국 남서부 뉴멕시코 주에 거주하는 존 켈시 갬멜(John Kelsey Gammell)이라는 남성이 디도스 공격에 가담하고 지시한 혐의에 대해 유죄를 인정했습니다. 갬멜이 누구를 디도스 공격했는지가 꽤 흥미로운데요. 바로 전직 고용주와 사업 경쟁자, 심지어 공공 서비스와 관련된 웹사이트를 공격했다고 합니다.
미국 법무부에 따르면, 갬멜은 2015년 7월부터 2017년 3월까지 이 같은 디도스 공격을 펼쳤습니다. 그는 자신의 컴퓨터에 있는 프로그램들을 활용해서 디도스 공격을 감행했으며, 공격을 위해 여러 가지 부가 서비스도 구매했습니다. IP 주소 익명화 서비스를 이용해 정체와 위치를 숨겼으며, 가짜 이메일과 암호화폐, 암호화 등을 이용해 범행이 발각되는 것을 피해왔다고 하는데, 결국은 꼬리가 밟혔군요.
워치가드, 퍼시피언트 네트웍스 인수
17일(현지시간) 보안 업체 워치가드 테크놀로지스(WatchGuard Technologies)가 DNS 필터링 서비스로 잘 알려진 보안 업체 퍼시피언트 네트웍스(Percipient Networks)를 인수했다고 발표했습니다. 이번 인수를 통해 워치가드는 중소기업용 클라우드 기반 보안 옵션들을 확대할 수 있을 것이라고 강조했습니다.
‘크래카스 위드 애티튜드’의 수장이 고작 15살이었다니!
미국 중앙정보국(CIA) 국장을 비롯해 미 국가정보국(DNI), 국토안보부(DHS), 연방수사국(FBI) 등의 고위공직자를 해킹해 미국 정보기관에 수치심을 안겨준 범인이 범행 당시 고작 15살이었다는 사실이 드러났습니다. 이런 사실이 드러나면서 미국 정보기관들은 더욱 큰 수치심에 시달릴지도 모르겠네요.
케인 갬블(Kane Gamble)은 이제 18살이 된 영국 청소년입니다. 갬블은 2015년 미국 법무부 직원 및 국토안보부 직원 9,000여명, FBI 요원 20,000여명 등에 대한 개인정보를 해킹하고 유출한 해킹 그룹 ‘크래카스 위드 애티튜드(Crackas With Attitude)’의 수장입니다. 3년 전, 갬블은 CIA 국장 존 브레넌(John Brennan)을 가장해 사회공학적 공격을 펼쳤으며 아프가니스탄과 이란의 첩보 작전 계획 같은 일급기밀 정보에 접근하기도 했습니다. 이 모든 일이 바로 영국 레스터셔 주에 있는 갬블의 거주지에서부터 일어난 일입니다.
해외 보안 매체 해커뉴스(Hacker News)에 따르면, 갬블은 해킹한 사람의 개인정보를 유출시키거나 전화 및 문자 폭탄을 주기도 했으며, 피해자 컴퓨터에 포르노를 깔아놓기도 했다고 합니다. 심지어 아이패드와 TV 화면도 마음대로 제어할 수 있었다고 하네요.
갬블은 2016년 2월 체포된 뒤, 2017년 10월 8개의 혐의에 대해 유죄를 인정했습니다. 그는 “미국 정부의 부패와 비인간성에 대해 점점 더 화가 났기 때문에 뭔가 해야겠다고 결심한 뒤” 미국 정부를 대상으로 공격을 펼쳤다고 말했습니다. 갬블의 변호인은 갬블이 기술적으로 뛰어나긴 하지만 감정적으론 미성숙한 상태이며 자폐 증상도 있다면서 미 사법당국의 선처를 구한 것으로 알려졌습니다.
크래카스 위드 애티튜드의 다른 두 멤버들은 2016년 9월 FBI에 의해 체포된 뒤 이미 미국 연방 교도소에서의 징역형을 선고받은 바 있습니다.
[국제부 오다인 기자(boan2@boannews.com)]
미운 사람 디도스 공격하기, 워치가드의 퍼시피언트 인수,
‘크래카스 위드 애티튜드’ 수장 케인 갬블의 유죄 인정
[보안뉴스 오다인 기자] 10대 소년의 능력(?)에 감탄해야 할지, 최고 정보기관들의 무능에 다른 의미로 놀라워해야 할지 혼란스럽습니다. 여하튼 15살짜리 소년이 미국 중앙정보국 국장을 해킹하고 미국의 일급군사기밀에도 접근할 수 있었다고 하니, 여러모로 경각심을 가져야 할 때인 것 같습니다. 1월 3주 뉴스쌈은 크래카스 위드 애티튜드 소식을 포함해 신용카드 정보유출, 버그바운티 포상금, 디도스 공격, 보안 업체 인수 소식 등을 모아봤습니다.
[이미지=iclickart]
중국 원플러스, 신용카드 정보유출
중국의 스마트폰 제조업체 원플러스(OnePlus)가 ‘원플러스닷넷(oneplus.net)’에서 신용카드 정보 유출이 발생했다고 밝혔습니다. 피해자는 최대 40,000명에 이를 것으로 추정됩니다. 2017년 11월 중순부터 2018년 1월 11일 사이에 원플러스닷넷에서 신용카드 정보를 입력한 적이 있는 이용자라면 피해 대상에 포함됩니다.
이번 정보 유출은 지난 13일 원플러스 이용자들이 알 수 없는 신용카드 거래가 발생했다고 신고하면서 드러나게 됐습니다. 고객들의 신고를 접수한 뒤 원플러스는 사태 파악에 들어갔고, 이내 시스템 한 곳이 공격당했다는 사실을 알게 됐습니다. 이용자가 입력하는 신용카드 정보를 빼돌리도록 설계된 악성 스크립트가 결제 페이지 코드에 삽입돼 있었다고 합니다.
원플러스는 악성 스크립트가 즉시 삭제됐으며 침해된 서버는 격리됐다고 설명했습니다. 인공지능을 활용한 보안전문 업체 벡트라 네트웍스(Vectra Networks)의 보안분석 팀장 크리스 모랄레스(Chris Morales)는 “이번 정보유출이 HTTPS가 안전한 거래를 보장해주진 않는다는 사실을 다시 한 번 상기시켰다”고 말했습니다. “암호화된 대화라 하더라도 공격자들은 어느 한 쪽 끝단의 시스템만 침해하면 되기 때문”입니다.
구글이 역대급 버그바운티 포상금을 지급했다
약 1억 2,021만 원(112,500달러)입니다. 안드로이드 취약점 1건에 대해 구글이 지불한 포상금 말입니다. 역대급 포상금의 주인공이자 이 안드로이드 취약점을 제보한 연구자는 중국의 인터넷 보안 업체 치후 360 테크놀로지(Qihoo 360 Technology)에 소속된 구앙 공(Guang Gong)입니다.
작년 8월 구앙 공은 구글에 두 가지 취약점(CVE-2017-5116과 CVE-2017-14904)이 포함된 익스플로잇 체인을 제보했습니다. CVE-2017-5116은 샌드박스 처리된 크롬 렌더 프로레스에서 원격 코드 실행을 수행하기 위한 V8 엔진 버그였고, CVE-2017-14904는 크롬 샌드박스에서 빠져나올 때 이용하는 안드로이드 리브그랄록 모듈(libgralloc module) 내 버그입니다.
이 두 가지 취약점을 결합한 익스플로잇 체인은 크롬 내 악성 URL에 접근함으로써 시스템 서버에 무작위로 코드를 삽입할 수 있다고 합니다. 공의 익스플로잇 체인은 구글이 2017년 6월 버그바운티 프로그램을 안드로이드 시큐리티 리워드(Android Security Rewards)로 확대 개편한 이후 지급한 포상금 중 가장 높은 포상금을 받게 됐습니다.
미운 사람 디도스 공격한 남성, 유죄 인정
미국 남서부 뉴멕시코 주에 거주하는 존 켈시 갬멜(John Kelsey Gammell)이라는 남성이 디도스 공격에 가담하고 지시한 혐의에 대해 유죄를 인정했습니다. 갬멜이 누구를 디도스 공격했는지가 꽤 흥미로운데요. 바로 전직 고용주와 사업 경쟁자, 심지어 공공 서비스와 관련된 웹사이트를 공격했다고 합니다.
미국 법무부에 따르면, 갬멜은 2015년 7월부터 2017년 3월까지 이 같은 디도스 공격을 펼쳤습니다. 그는 자신의 컴퓨터에 있는 프로그램들을 활용해서 디도스 공격을 감행했으며, 공격을 위해 여러 가지 부가 서비스도 구매했습니다. IP 주소 익명화 서비스를 이용해 정체와 위치를 숨겼으며, 가짜 이메일과 암호화폐, 암호화 등을 이용해 범행이 발각되는 것을 피해왔다고 하는데, 결국은 꼬리가 밟혔군요.
워치가드, 퍼시피언트 네트웍스 인수
17일(현지시간) 보안 업체 워치가드 테크놀로지스(WatchGuard Technologies)가 DNS 필터링 서비스로 잘 알려진 보안 업체 퍼시피언트 네트웍스(Percipient Networks)를 인수했다고 발표했습니다. 이번 인수를 통해 워치가드는 중소기업용 클라우드 기반 보안 옵션들을 확대할 수 있을 것이라고 강조했습니다.
‘크래카스 위드 애티튜드’의 수장이 고작 15살이었다니!
미국 중앙정보국(CIA) 국장을 비롯해 미 국가정보국(DNI), 국토안보부(DHS), 연방수사국(FBI) 등의 고위공직자를 해킹해 미국 정보기관에 수치심을 안겨준 범인이 범행 당시 고작 15살이었다는 사실이 드러났습니다. 이런 사실이 드러나면서 미국 정보기관들은 더욱 큰 수치심에 시달릴지도 모르겠네요.
케인 갬블(Kane Gamble)은 이제 18살이 된 영국 청소년입니다. 갬블은 2015년 미국 법무부 직원 및 국토안보부 직원 9,000여명, FBI 요원 20,000여명 등에 대한 개인정보를 해킹하고 유출한 해킹 그룹 ‘크래카스 위드 애티튜드(Crackas With Attitude)’의 수장입니다. 3년 전, 갬블은 CIA 국장 존 브레넌(John Brennan)을 가장해 사회공학적 공격을 펼쳤으며 아프가니스탄과 이란의 첩보 작전 계획 같은 일급기밀 정보에 접근하기도 했습니다. 이 모든 일이 바로 영국 레스터셔 주에 있는 갬블의 거주지에서부터 일어난 일입니다.
해외 보안 매체 해커뉴스(Hacker News)에 따르면, 갬블은 해킹한 사람의 개인정보를 유출시키거나 전화 및 문자 폭탄을 주기도 했으며, 피해자 컴퓨터에 포르노를 깔아놓기도 했다고 합니다. 심지어 아이패드와 TV 화면도 마음대로 제어할 수 있었다고 하네요.
갬블은 2016년 2월 체포된 뒤, 2017년 10월 8개의 혐의에 대해 유죄를 인정했습니다. 그는 “미국 정부의 부패와 비인간성에 대해 점점 더 화가 났기 때문에 뭔가 해야겠다고 결심한 뒤” 미국 정부를 대상으로 공격을 펼쳤다고 말했습니다. 갬블의 변호인은 갬블이 기술적으로 뛰어나긴 하지만 감정적으론 미성숙한 상태이며 자폐 증상도 있다면서 미 사법당국의 선처를 구한 것으로 알려졌습니다.
크래카스 위드 애티튜드의 다른 두 멤버들은 2016년 9월 FBI에 의해 체포된 뒤 이미 미국 연방 교도소에서의 징역형을 선고받은 바 있습니다.
[국제부 오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
