해외 보안 트렌드

<미 법무부, 중국과 타이완 회사를 미국 반도체 기술 훔친 혐의로 기소>

제프 세션(Jeff Sessions) 미국 법무 장관은 중국과 대만 기업이 미국 반도체 대기업 인 마이크론 (Micron)으로부터 

87 억 5000만 달러(약 9조 8145억원)상당의 영업 비밀을 도용했다며 기소함. 

<제프 세션 주장>

이는 중국 정부 주최로 미국 산업/경제 비밀을 훔치기 위해 베이징 시 주최로 이루어진 일

미국 국가 보안을 위협하는 행위로 반드시 막아야 함. 

<기소 내용>

중국시가 소유한 Fujian Jinhua Interested Circuit Co.와 개인 소유 United Microelectronics Corporation of Taiwan 회사, 

UMC(중국반도체회사)의 임원 3명이 UMC와 Fujian Jinhua 회사의 DRAM 개발에 도움을 주기 위해 미국 회사 Micron의 무역 정보를 훔침

<기소 배경>

Micron 전 직원이었던 대만인 3명(Stephen Chen Zhengkun, He Jianting and Kenny Wang Yungming)이 

UMC로 이직시 2년밖에 안 된 회사 Fujian Jinhua에 정보를 전달하는 목적을 가지고 훔침.

이 중 Stephen Chen Zhengkun은 Micron의 고위 임원 이었으며 UMC 이직하여 경영에 참여하였고, 후에 Fujian Jinhua의 사장이 됨.

-> 1000억 달러(약 112조 7900억원)규모의 회사인 Micron에게 큰 위협이 되었음 (Micron은 DRAM이나 다이나믹 랜덤 액세스 메모리 칩 시장의 20-25% 점유)

이 같은 기소는 Fujian Jinhua가 특허 분쟁에서 이기면서 중국법정이 미국 회사들이 

중국에서 12가지 이상의 SSD와 메모리 스틱, 칩 판매를 금지하도록 선고한 뒤 4개월 후에 이루어짐.

<미국의 대응>

이에 대한 보복으로 미국 상무부(the US Commerce Department)는 지난 월요일 Fujin Jinhua 회사가 미국 기계류와 DRAM 생산을 

가속화 하는데 필요한 부품들을 사지 못하도록 제약을 함.

-> 미국 회사가 수출 시 제품이 Fujin Jinhua 회사가 사용할 물건이면 사전에 특별한 허가를 받아야 함. 

형사소송과 더불어 미국 법무부(the Justice Department)는 도난 당한 Micron의 기술을 사용한 UMC와 Fujin Jinhua의 

모든 제품에 대한 수입을 금지하는 민사소송을 제기함

한편, 지난 2개월 동안 미 법무부는 주요 미국 및 프랑스의 업체들로부터 제트 엔진 기술을 5년에 걸쳐 훔친 

3명의 중국 정보원을 포함한 12명의 중국인을 기소한 바 있음 

출처 : https://www.securityweek.com/us-accuses-china-taiwan-firms-stealing-secrets-chip-giant-micron

Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software Denial of Service Vulnerability

CVE-2018-15454

<취약점> 

the Session Initiation Protocol (SIP) 점검 엔진에 취약점 존재. 

허가되지 않은 원격 원격자가 CPU 과부하를 일으키거나 리로드를 할 수 있어 DoS 공격이 가능. 

공격자는 이와 같은 공격을 위해 디자인한 많은 SIP 요청을 취약장비에 보내 공격이 가능

<취약원인>

부적절한 SIP 트래픽 처리

<취약대상>

SIP 점검이 가능으로 되어 있고 다음의 소프트웨어가 장비에서 사용 될 시 취약점 발생 (SIP 점검 기능은 ASA,FTD 소프트웨어 디폴트로 가능함)

S/W:Cisco Adaptive Security Appliance (ASA) Software 9.4 ~ 이후 버전, Cisco Firepower Threat Defense (FTD)6.0 ~ 이 후 버전 

H/W: 

3000 Series Industrial Security Appliance (ISA)

ASA 5500-X Series Next-Generation Firewalls

ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

Adaptive Security Virtual Appliance (ASAv)

Firepower 2100 Series Security Appliance

Firepower 4100 Series Security Appliance

Firepower 9300 ASA Security Module

FTD Virtual (FTDv)

<관련 CVE코드>

CVE-2018-15454

CVSS Score: Base 8.6

<대응방안>

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos

1) 공격 호스트 막기

2) SIP 점검을 불가능으로 변경

3) Sent-by Adress 0.0.0.0 를 필터링하기

패치: 취약점에 대한 소프트웨어 업데이트는 현재(2018.11.01) 없음

<피해여부 확인>

show processes cpu-usage non-zero sorted  명령어를 이용 CPU를 과다하게 사용하고 있는 불완전 SIP 커넥션을 확인

혹은 공격으로 인한 크래싱으로 장비를 재부팅할 시 show crashinfo 를 사용하여 모르는 DATAPATH 가 있는지 확인을 하여 피해여부를 확인

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos

*미국지질조사국

미국 내무부 산하 연구기관으로, 지형, 지질, 천연 자원, 자연재해 등의 관측임무를 수행 중이며 특히 위성·항공사진 등 지구 관측 자료를 연계한 생물학, 지질학, 지리학, 수문학 연구를 중점적으로 수행하는 기관이다.

* Earth Resources Observation and Science 

세계에서 가장 오래된 지구관측위성인 랜드샛의 영상데이터를 관리하며, 매년 300만 장 이상의 위성영상을 전 세계에 무료로 배포한다. 

또한 위성영상 및 각종 항공사진, 지형도 등을 저장·관리하면서 축적된 지구 관측 자료를 이용하여 지구온난화 및 기후변화, 재난·재해로 인한 환경

영향평가 등의 다양한 연구를 수행 중에 있다.

<사건경위>

미국 내무부(U.S. Department of the Interior’s inspector general)감사에 따르면 미국지질조사국(the U.S. Geological Survey) 사우스 다코타 

지구자원 관찰 과학센터(Earth Resources Observation and Science Center) 직원 중 한명이 사무실 컴퓨터로 9000번이 넘게 성인 웹사이트에 접속.

웹사이트 페이지들이 컴퓨터에 다운될때, 악성코드가 미지질조사국 네트워크를 퍼짐.

성인 웹사이트 접속 직원의 휴대전화, 정부 자산의 다른 직원들의 컴퓨터들 또한 악성코드에 감염 됨.

또한 성인물 이미지가 인증되지 않은 USB 장치와 개인 안드로이드 폰에 저장 됨.

이 USB장치는 정부 자산 컴퓨터에 연결되어 있었음.

<미 내무부 대응>

지질조사국에게 이와 같은 성인 사이트를 블랙리스트에 추가 할 것을 권고

또한 직원들의 개인 휴대전화를 정부 컴퓨터에 연결해서 사용않고, USB장치 사용을 중단하도록 권고.

나아가 부서차원에서의 USB장치 사용이 금지를 제고해볼 것을 제안함.

<영향성>

감염된 악성코드는 러시아산으로 특정 컴퓨터의 데이터를 취득하고, 랜섬웨어와 연관되 있는 것으로 밝혀짐. 

다행히 지구자원 관찰 과학센터는 기밀 네트워크(classified network)를 사용하지 않아 미국 국가 보안에는 영향을 미치지 않을 것.  

출처: https://www.hackread.com/us-govt-employee-infect-network-with-malware/

       https://techcrunch.com/2018/10/29/porn-sites-blamed-after-government-network-infected-malware/

Apache Tomcat JK (mod_jk) Connector path traversal

<취약점>

URI-worker 맵과 일치시키기 전에 요청된 경로를 정규화하는 Apache Web Server (httpd) 특정 코드 일부에 취약점 존재.

톰캣이 지원하는 URL의 하위 집합이 httpd를 통해 공개 된 경우, 클라이언트가 역방향 프록시를 통해 어플리케이션에 액세스하지 못하도록 

특수하게 구성한 요청이 역방향 프록시을 통해 어플리케이션 기능을 노출할 수 있음 

또한 일부 환경 설정으로 httpd에서 액세스 제어를 우회하는 것이 가능함. 이 취약점은 CVE-2018-1323과 중복된 부분이있지만, 동일한 것은 아님

<관련 CVE코드>

CVE-2018-11759 

심각도: Important

cf) CVE-2018-1323: 아파치 톰캣 JK 커넥터 경로조작(https://nvd.nist.gov/vuln/detail/CVE-2018-1323)

<영향받는 제품>

Apache Tomcat JK mod_jk Connector 1.2.0 ~ 1.2.44

<대응방안>

Apache Tomcat JK ISAPI Connector 1.2.46 혹은 이후 버전으로 업그레이드

혹은 신뢰하는 사용자에게만 접근을 제한하는 대처 수단 사용(예, 원격 주소 필터) 

출처: http://mail-archives.us.apache.org/mod_mbox/www-announce/201810.mbox/%3c16a616e5-5245-f26a-a5a4-752b2826703@apache.org%3e

  http://tomcat.apache.org/security-jk.html

* Universal Windows Platform(UWP)

환경설정 파일에 권한에 대해 설정을 하면 특정 API, 사진, 음악과 같은 파일, 카메라, 마이크와 같은 장치에 접근이 가능함

디폴트 설정은 UWP 앱이 유저의 시스템에 설치되어 있는 디렉토리와 앱이 데이터를 저장하는 폴더에만 접근이 가능

시스템의 다른 파일들에 접근하기 위해서는 환경설정에서 권한을 선언하는 등의 다양한 방법이 있는데 그 중 하나가 broadFileSystemAccess임.

broadFileSystemAccess는 앱이 실행되는 같은 레벨의 파일 시스템에 접근할 수 있게 허용함

<취약점>

'broadFileSystemAccess' API 존재.'broadFileSystemAccess' API 사용자 허가 메시지 창이 뜨지 않아 

Universal Windows Platform(UWP) 앱 개발자가 사용자의 OneDrive에 저장돼 있는 문서, 사진, 다운로드, 파일에 접근 가능. 

최초 UWP 앱 실행 시 사용자에게 사용 권한을 승인 혹은 거절할 것인지 묻는 메시지가 뜨며, 승인을 허락할 시 사용 목적을 기재해야 하는 등 제한적으로 사용됨.

접근 허용 설정은 환경설정>개인정보>파일시스템에서 설정 가능

<발견경위>

윈도우앱 개발자 Sébastien Lachance는  broadFileSystemAccess 허가 기능을 사용하는 어플리케이션이 Windows10 10월 패치를 실시한 후 

크래싱 되는 것을 보고 발견하였으며 10월 패치 이전의 Windows10(1809 이전 버전)은 버그로 인해 위와 같은 접근허용 수락/거절 메시지를 표시하지 않는다고 밝힘. 

<영향성>

사용자가 Windows Store에서 다운로드 한 민감한 정보가 노출됨(-> 앱이 사용자의 허가 없이 모든 파일 시스템에 접근이 가능함)

 10월 패치 후: broadFileSystemAccess 기능이 디폴트로 'OFF'되어 있기 때문에 broadFileSystemAccess API사용 개발자는 크래싱을 피하기 위해서 모든 UWP앱의 업데이트가 필요함

<대응방안>

10월정기 업데이트를 실시한 사용자는 안전함. 

현재 Windows 10월 정기패치는 무작위 파일 삭제 버그로 인해 사용이 불가한 상태로, 10월 정기업데이트를 실시하지 않은 사용자는 

수동으로 환경설정>개인정보>파일시스템에서 broadFileSystemAccess 기능을 끌 것을 권고

출처 : https://thehackernews.com/2018/10/windows10-uwp-apps.html

   https://www.zdnet.com/article/windows-10-uwp-bug-could-give-malicious-devs-access-to-all-your-files/

 IBM(International Business Machine) 은 오픈 소스 비지니스 사상 가장 큰 거래를 선언함. 

오픈 소스 리눅스 회사인 레드햇을 주당 190달러를 지불해 약 340억 달러(약 38조 8,280억원)에 인수할 것이라고 밝힘.

(올해 초 마이크로 소프트는 GitHub을 75억 달러(약 8조 5,659억원)에 인수한바 있음)

<Red Hat>

Red Hat Enterprise Linux (RHEL) 운영체제로 오픈소스 소프트웨어 제품 개발의 선두자. (오라클도 오라클 리눅스에 레드햇 소스코드를 사용함) 

무료 오픈 소스 소프트웨어회사로는 처음으로 성공적인 경영을 보여준 회사. 

작년 매출: 24억 달러(2조 7,408억원)/ 올해: 29억 달러(약 3조 3,118억원)

제공서비스: 평가,구현, 플랫폼 마이그레이션, 솔루션 통합 및 애플리케이션 개발을 포함한 컨설팅 서비스 제공.

<현재 업계에서의 IBM의 위치>

리눅스와 커널, 다른 오픈소스 프로젝트 등을 지지하는 주요 회사 중에 하나이나, 

클라우드 컴퓨팅 부분에서 Amazon, Alphabet(Google), Microsoft에 뒤쳐진 상태

<영향성>

레드햇 인수는 IBM이 엔터프라이즈 클라우드 컴퓨팅 제공업체로서의 입지를 높이는데 도움이 될 것.

이는 클라우드 시장에 큰 변화를 불러 올 것으로 전망

<인수후 레드햇의 변화>

레드햇은 독립적 부서로 유지

인수 후에도 레드햇의 경영은 기존의 CEO Jim Whitehurst와 경영팀이 맡으며, 본사, 시설 ,브랜드 등을 모두 기존 그대로 유지

레드햇 인수에 관해 두 회사 경영진간의 합의가 모두 이루어졌으며, 현재 레드햇 주주와 규제와 관련한 승인 절차만 남은 상태

예상대로 인수가 완료된다면 2019년 2분기에 모든 절차가 완료될 듯.

출처: https://thehackernews.com/2018/10/ibm-redhat-tech-acquisition.html

 https://www.hackread.com/ibm-acquiring-red-hat-for-a-whopping-34-billion/

Recorded Future 북한의 고위 지도층이 인터넷 사용에 관한 보고서 발표

보고서 원문 : https://www.recordedfuture.com/north-korea-internet-usage/"

<사용패턴의 변화>

작년과 비교해 주중 사용이 증가함(주말동안 게임과 스트리밍 하는 것이 주된 사용패턴임은 변하지 않음)

-> 이는 인터넷 사용이 일상생활에서 빠질수 없는 부분이라고 볼 수 있음. 

<인터넷 통신국 본부 설립>

패턴 변화와 동시에 평양에 새로운 인터넷 통신국 본부가 설립됨. 

-> 북한 고위 지도층의 인터넷 사용 전문화를 의미함

사용패턴의 변화와 통신국 본부 설립을 볼때 인터넷을 여가 활동이 아닌 업무의 일부분으로 적극 활용하는 것으로 보임

최근 급증했던 시큐어 브라우징(Tor, VPNs 등)의 사용은 감소했는데 이는 내부 요구 규정에 따른 듯으로 보임.

2017년 후반을 시작 서방국의 소셜 미디어 사용보다 중국의 소셜 미디어(Baidu, Alibaba, Tencent) 선호가 처음 포착됨. 

하지만 예외적으로 LinkedIn(커리어 비지니스 중심의 소셜 미디어)사용은 증가함

<가상화폐 스캠 연관성>

알트코인 HOLD, Mandarine Chain Platform 스캠에 연관된 것으로 보임

HOLD 코인은 2018년 상장, 상장폐지, HUZU로 이름 변경 등을 한바 있음.

Mandarine Chain Platform는 블록체인 프로그램으로 수십명의 사용자가 수십만 달러를 잃거나 사기를 당했다고 함. Mandarine Chain의 CEO Captin Foong은 이같은 스캠이 김정은 정권의 자금을 모으기 위한 수단이라고 밝힘.

<인터넷을 이용한 수익창출>

북한과 러시아간의 인터넷 트래픽은 북한/중국간의 트래픽의 약 0.5%에서 불과함

이는 러시아 거주 북한 주민은 인터넷이 필요치 않는 노동을 하는 반면, 중국 거주 주민은 정보 경제, 모바일 게임, 앱, 봇등의 글로벌 고객을 겨냥한 다양한 IT 제품을 개발하는 것에 따른 것.

비영리단체 C4ADS에 따르면 외국 북한거주자들은 12억~23억달러를 벌어 들이는 것으로 추측했는데 이는 2016년 기준 북한의 총 수출액의 93%에 해당함. 

<결론> 

북한 고위층들은 새로운 기술 도입에 적극적이며, 인터넷을 김정은 정권의 정치자금을 모으는데 적극 활용하고 있는것으로 보임.

출처 : https://www.securityweek.com/analysis-north-koreas-internet-traffic-shows-nation-run-criminal-syndicate

뉴욕 타임즈 중국/러시아 스파이 트럼프 대통령 개인 아이폰 도청 의혹 보도

- 뉴욕타임즈 기사 내용: https://www.nytimes.com/2018/10/24/us/politics/trump-phone-security.html

트럼프 대통령은 백안관의 기본 유선전화 사용 프로토콜을 무시한다고 함. 대신에 3대의 개인 아이폰을 사용한다고 알려짐.

이 중 2대는 NSA에 의해 사용이 금지되어 있으며, 자신의 연락처를 보관할 수 있는 유일한 나머지 1대의 아이폰을 트럼프 대통령이 사용할 것이라고 함. 

휴대전화는 LTE(4G), VoLTE, Diameter, and SS7을 사용하는데 모두 많은 취약점을 가지고 있다고 알려져 보안에 취약함. 

에드워드 스노든에 따르면 휴대전화를 통한 독일 총리 메르켈 등을 스파잉하는데 과거 미국 정보원들이 사용했던 방법이라고 함.

<중국측 주장>

보도 후 중국 외교부 대변인은 기사가 가짜라고 일축하며 트럼프 대통령이 아이폰 보안이 걱정되면 화웨이 휴대폰을 대신 사용할 것을 제안함. 

이 같은 제안은 화웨이가 베이징 정부와 긴밀한 관계를 맺고 있어 화웨이 제품을 사용할 시 중국이 외국 국가 정부를 스파잉 할 수 있다는 우려에 따른

호주, 인도, 미국 정부에서 화웨이 제품 공급 금지와 캐나다와 영국도 같은 제제 조치를 취할 것으로 보이는데 비롯함. 

<트럼프측 주장>

트위터에 뉴욕타임즈 기사 사실이 아니며 자신은 정부폰만을 사용한다고 자신의 입장을 밝힘.