Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

파이어폭스의 프라이버시 강화, 오라클 OIM의 CVSS10 취약점 패치,
안드로이드에서도 발견된 코인하이브, 수사망 좁혀가는 러시아 게이트


[보안뉴스 오다인 기자= 대만 타이베이] 명색이 ‘국제부 기자’인지라 남의 나라를 와도 신문이나 잡지의 국제면(面)부터 눈이 갑니다. 목요일(2일) 타이베이 타임스(Taipei Times)의 1면은 대만의 대미(對美) 관계와 관련한 톱 기사 외에 다른 나라의 소식들로 가득 채워져 있었습니다. 영문지라도 국내 소식을 중점적으로 보도하기 마련인데, 전 세계의 뉴스를 내 나라 뉴스만큼 비중 있게 소개하는 모습을 보면서 조금 부럽기도 했습니다.

11월 첫째 주 뉴스쌈을 쓰고 있는 이곳은 대만입니다. 이번 주 뉴스쌈은 프라이버시 강화를 위한 파이어폭스의 결정, 오라클의 중요 취약점 패치, 암호화 화폐 열풍과 함께 증가하고 있는 코인하이브 채굴기 감염, 그리고 계속해서 수사망을 좁혀가는 러시아 게이트 소식을 모았습니다. 뉴스쌈과 함께 다음 주 예정된 대만의 사이버 보안 관련 기사도 기대해 주세요.

taiwan_main.jpg

[이미지=iclickart]


토르 브라우저처럼 파이어폭스도 캔버스 지문 채취 차단한다
모질라 재단(Mozilla Foundation)이 파이어폭스 브라우저의 프라이버시를 강화하기 위해 캔버스 지문 채취(canvas fingerprinting) 기능을 제거한다고 밝혔습니다. 캔버스 지문 채취는 쿠키 없이 웹사이트 사용자를 추적하기 위해 자주 사용되는 방법인데요. 폰트, SVG 위젯, 웹 그래픽 라이브러리(Web Graphic Library) 같은 개별 브라우저의 고유한 특성을 사용해 사용자를 식별하는 방법입니다.

이처럼 캔버스 지문 채취는 개별 사용자를 식별하고 추적할 수 있는 만큼 프라이버시 침해 우려도 컸던 것이 사실입니다. 이에 모질라 재단은 2018년 1월 예정된 파이어폭스 58버전 업데이트부터 캔버스 지문 채취 기능을 제거함으로써 사용자 프라이버시를 보호하겠다고 말했습니다.

해외 보안 매체 쓰레트포스트(Threat Post)는 모질라 재단이 캔버스 지문 채취 차단 기능을 토르 브라우저에서 그대로 가져왔다고 말했습니다. 이 매체는 토르 브라우저가 거의 파이어폭스 코드로 구축돼 있다며, 대개 파이어폭스의 기능이 토르 브라우저로 흘러들어 적용되지만 이번 경우는 반대로 토르 브라우저의 기능(토르 업리프트 프로젝트, Tor Uplift Project)이 파이어폭스로 흘러들었다고 설명했습니다.

오라클, CVSS 10점 받은 취약점 패치
오라클이 오라클 아이덴티티 매니저(OIM: Oracle Identity Manager) 취약점을 패치했습니다. 이 취약점은 CVSS 10점 만점에 10점을 받았습니다. 취약점 식별번호는 ‘CVE-2017-10151’입니다.

OIM은 오라클의 퓨전 미들웨어(Fusion Middleware) 중 하나로, 사용자 관리 솔루션을 말합니다. OIM은 퓨전 미들웨어 중에서도 가장 많이 사용되는 컴포넌트라고 하는데요. 기업은 OIM을 통해 네트워크의 어떤 부분에 직원이 접근할 수 있는지 제어할 수 있다고 합니다.

오라클은 이번에 패치한 취약점을 일컬어 ‘디폴트 계정’ 취약점이라고 설명했습니다. 해외 보안 매체 블리핑컴퓨터(BleepingComputer)는 백도어 계정처럼 비밀번호가 없거나 크리덴셜이 하드코드된 계정을 가리켜 디폴트 계정 취약점이라 말한다고 풀이했습니다.

블리핑컴퓨터에 따르면, 오라클은 공격 개시 시점을 최대한 늦추고 고객에게 패치할 시간을 주기 위해 해당 취약점과 관련해 어떤 세부사항도 공개하지 않았다고 합니다.

오라클은 OIM 버전 △11.1.1.7 △11.1.1.9 △11.1.2.1.0 △11.1.2.2.0 △11.1.2.3.0 △12.2.1.3.0이 해당 취약점에 위험할 수 있으며, 이전 버전들도 취약할지 모른다고 경고했습니다. 블리핑컴퓨터는 지난 10월 16일 오라클이 배포한 보안 업데이트(CPU: Critical Patch Update)에 이번 취약점이 포함돼 있지 않았다며 오라클의 최신 공지를 확인하고 패치 요구에 따르라고 조언했습니다.

코인하이브 채굴기, 안드로이드 앱에서도 발견
지난 주 목요일(26일) 보도된 ‘코인하이브(Coinhive)’ 기사, 기억하시나요? 코인하이브는 웹사이트 방문자의 개별 CPU 파워를 이용해 암호화 화폐를 채굴하는 서비스로, 새로운 웹사이트 수익 모델로 부상하고 있다고 말씀드렸는데요. 이 코인하이브 채굴기가 안드로이드 앱에서도 발견됐습니다.

30일 블로그에서 보안 업체 트렌드 마이크로(Trend Micro)는 “모바일 기기로 얼마나 많은 암호화 화폐를 채굴할 수 있을지 의문이 남는다”고 운을 떼면서도 “채굴기에 감염되면 기기가 닳고 배터리 수명이 줄어든다는 점은 분명하다”고 지적했습니다. 이어 트렌드 마이크로는 악성 암호화 화폐 채굴기에 감염된 애플리케이션이 구글 플레이에서 발견됐다고 지적했습니다.

트렌드 마이크로는 ‘Recitiamo Santo Rosario Free’와 ‘SafetyNet Wireless App’에서 코인하이브의 자바스크립트 암호화 화폐 채굴기가 탐지됐다며, 두 가지 애플리케이션 모두 코인하이브에서 자바스크립트 라이브러리 코드를 로드한 뒤 공격자의 사이트 키로 채굴을 시작한다고 설명했습니다.

이어 트렌드 마이크로는 해당 자바스크립트 코드가 애플리케이션의 웹뷰(webview) 내에서 작동하긴 하지만 기본 설정이 비가시화 모드(invisible mode)로 돼 있기 때문에 사용자에게는 보이지 않는다고도 밝혔습니다.

미국 검사가 러시아 정부 관료를 기소할지도 모른다
2016년 미국 대선 당시 러시아 정부의 부정 개입을 수사하고 있는 미국 검사 측이 러시아 공무원들을 기소할지도 모른다는 가능성이 제기됐습니다. 미국의 월스트리트저널(Wall Street Journal)은 미국 법무부를 인용해 2016년 미국 대선과 관련해 민주당 전국위원회(DNC) 컴퓨터를 해킹한 뒤 해당 정보를 대중에 유포한 혐의로, 최소한 6명의 러시아 정부 관료를 가려낼 수 있었다고 말했습니다.

월스트리트저널은 기소 여부에 대한 논의는 아직 진행 중이지만 해당 러시아 정부 관료들을 기소할 수 있는 증거는 이미 수집된 상태이며 미국 검사들이 이번 사건을 2018년까지 이어갈 수도 있다고 지적했습니다. 이 매체는 미국 첩보기관이 러시아 정부 관료의 미 대선 개입을 구체적으로 어떻게 확인할 수 있었는지 드러난 바 없다며, 이번 기소가 확정될 경우 민주당 해킹 사건에 연루된 자들에 대해 보다 명확하게 알 수 있을 것이라고 짚었습니다.
[국제부 오다인 기자=대만 타이베이(boan2@boannews.com)]


http://www.boannews.com/media/view.asp?idx=57859

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

논끼

2017.11.26 16:38
가입일: 2017:11.12
총 게시물수: 1065
총 댓글수: 475

늦었지만 재미 있게 읽었습니다.^^

profile

조달자

2017.12.03 21:47
가입일:
총 게시물수: 0
총 댓글수: 26

크롬이 최곤줄 알고 크롬만 쓰다가 무한로딩만 반복되서 파폭 써 봤는데 크롬비해 떨어질게 없더군요. 

VNP 우회하는건 조금 딸려요 ^^* 데이터세이버가 있다는게 크롬 장점이라면 장점 ㅠㅠ

profile

루인루

2017.12.07 00:29
가입일:
총 게시물수: 1
총 댓글수: 104

크롬 쓰고 있는데 파폭 한번 써봐야겠네요

profile

은희사랑

2017.12.09 13:16
가입일: 2017:11.18
총 게시물수: 81
총 댓글수: 360

좋은 정보 감사합니다.

profile

mantoman

2017.12.27 16:21
가입일:
총 게시물수: 0
총 댓글수: 185

좋은자료 고맙습니다..

profile

suhyou

2018.01.10 09:09
가입일:
총 게시물수: 1
총 댓글수: 784
좋은 정보 감사합니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
370 보안 소식 지인인척 현금 요구… 카톡 계정 해킹 `기승` + 3 파란하늘 03-25 367
369 MS가 투자한 오픈소스 보안테스팅툴 국내출시 file + 9 Op 02-18 627
368 보안 소식 제로데이 취약점 발견.. '어도비 플래시 플레이어 사용 자제를' file + 9 Op 02-02 588
367 일반 경찰, 빗썸 압수수색…해킹 파문 일파만파 file + 5 Op 02-02 662
366 “가상화폐 거래소 10개사, 보안기준 통과업체 0곳” + 11 Op 01-25 360
365 보안 소식 "액티브 X"가 한국에서만 사라지지 않는 진짜 이유... ㄷㄷㄷ file + 23 Op 01-18 666
364 보안 자료 인텔 컴퓨터, 또 해킹 취약점 나와…"노트북 해킹 30초면 돼" file + 9 Op 01-14 457
363 보안 소식 2017 결산-보안]지구촌 '울린' 랜섬웨어 + 3 덕애 12-30 210
362 보안 소식 리투아니아, 보안 우려로 카스퍼스키 소프트웨어 사용 금지 + 3 티오피 12-25 225
361 보안 소식 윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 + 11 티오피 12-23 725
360 보안 소식 Windows10에 포함되어 있는 비밀번호 관리 프로그램, 해킹 가능한 취약점 발견 + 5 티오피 12-19 689
359 보안 소식 새로운 악성코드 Satori 발견! + 9 티오피 12-09 721
358 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 + 9 티오피 12-07 398
357 보안 소식 hit [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 + 17 티오피 12-06 4120
356 보안 소식 카스퍼스키 미국에 이어 영국에서도 사용 금지? + 5 티오피 12-05 344
355 보안 소식 한컴오피스 보안 업데이트 권고 + 5 티오피 12-01 436
354 보안 소식 MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어 + 6 티오피 11-28 237
353 보안 소식 구글, 위치 서비스가 비활성화인 상태에서도 안드로이드 위치 데이터 수집해 + 8 티오피 11-23 248
» 보안 소식 파이어폭스, 내년부터 캔버스 지문 채취 차단 + 6 티오피 11-14 379
351 보안 소식 LockCrypt 랜섬웨어가 Satan RaaS를 통해 시작 돼, 변종 배포 시작 + 4 티오피 11-14 631
350 보안 소식 [주의] 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장 + 5 티오피 11-13 373
349 보안 소식 Vault 8: 위키리크스, CIA의 멀웨어 제어 시스템인 Hive 소스 공개해 + 3 티오피 11-13 217
348 백신 자료 카스퍼스키 무료(프리 버전) 한글 다운로드 설치하기 + 10 철인 11-11 649
347 보안 소식 150일 만에 리눅스 서버 랜섬웨어 감염...공격 방식·규모 촉각 + 3 티오피 11-09 297
346 보안 소식 치명적인 Tor 브라우저 취약점, 사용자의 실제 IP 노출 시켜 – 지금 업데이트 하세요 + 3 티오피 11-07 1229