2017.02.01

보안폰 안쓰는 미국 대통령?··· "이미 해킹됐을 수도"

Matt Hamblen | Computerworld
도널드 트럼프 미국 대통령이 기존에 사용하던 낮은 보안 수준의 안드로이드 스마트폰을 여전히 쓰고 있다는 보도가 나왔다. 사실이라면 백악관의 통신 보안에 많은 문제가 발생할 것으로 우려된다.



CIO, 최고 정보 보안 책임자(CISO, Chief Information Security Officer)는 이미 잘 알겠지만, 기업 차원에서 네트워크나 스마트폰에 아무리 강력한 보안 기술을 적용해도 최종 사용자가 이를 외면하고 안전한 사이버 행동 양식을 따르지 않으면 아무 의미가 없다. 정부 및 기업용 모바일 기기 암호화 VPN 업체인 시큐어드 커뮤니케이션즈(Secured Communications)의 최고 운영 책임자(COO) 크리스 페리는 “통신 보안의 최대 취약점은 그것을 사용하는 사람이다. 어떤 조치도 사용자가 따르지 않으면 효과가 없다”라고 말했다.

이어 “백악관에는 대통령과 대통령 보좌 인력만을 위한 통신 기술 솔루션 전담 조직이 있다. 이들이 관리하기 가장 어려운 대상도 바로 최종 사용자다. 모든 유형의 단-대-단 암호화 솔루션을 설치해도, 설비, 관련 도구를 이용하는 사용자가 그것을 쓰지 않으면 취약점은 절대 개선할 수 없다. 이는 정부든, 민간 부문이든 동일하게 적용되는 원칙이다”라고 덧붙였다.

백악관에 입성한 며칠 후 개인 안드로이드 폰을 이용한 트윗이 업로드되며 불거진 트럼프 대통령의 개인 휴대폰 사용 의혹에 대해 백악관 측은 공식적인 입장을 발표하지 않고 있다. 비밀 경호국 측 역시 백악관에 관련 사실 확인을 요청한 것으로 알려졌다. 뉴욕 타임스는 트럼프가 당선 수락 연설 직전 대통령용 보안 폰을 수령한 이후에도 자신의 기존 안드로이드 폰을 반납하지 않았다고 보도했다. 이에 따르면, 트럼프가 그동안 사용하던 기기는 갤럭시 S3 또는 S4 모델이다.

컴퓨터 사이언스 인스티튜트(Computer Science Institute)의 컴퓨터 보안 연구원 니콜라스 웨버는 블로그를 통해 “이는 재앙이나 다름 없다. 트럼프 대통령이 이 위험한 보안 수준의 안드로이드 기기를 계속 이용하면 많은 위험한 상황이 예상된다. 갤럭시 S3는 여느 10대가 이용하기에도 부족한 보안 수준의 기기다. 이것을 이 자유국가의 대표자가 사용한다는 것은 말도 안되는 일이다”라고 말했다.

이어 "만일 사이버 공격자가 발송한 링크를 클릭하는 한 번의 실수만으로도 대통령의 휴대전화에 버그가 침투해 모든 음성, 영상 통화 정보가 외부로 유출될 수 있다. 모든 업데이트가 적용된 최신의 안드로이드, 아이폰도 완벽한 보안을 구현하지 못한다. 미국의 대통령이라면 제로 데이 공격에 대응할 어떤 값비싼 기술이라고 완벽히 갖추는 것이 당연하다”라고 말했다.


해커가 GPS를 통해 휴대전화 위치를 추적해 대통령의 위치를 파악하는 것도 가능하다는 지적이다. J.골드 어소시에이츠(J.Gold Associates)의 모바일 보안 애널리스트 잭 골드는 "만일 타국의 국가 기관이 실제로 트럼프의 휴대전화 혹은 다른 기기를 공격하기로 마음 먹는다면 슈퍼컴퓨터를 이용한 무작위 대입 공격으로 패스워드 암호화를 무효화해 파일이나 애플리케이션 등에 침투하는 것은 그리 어려운 일이 아니다"라고 말했다.

웨버 역시 “이미 트럼프의 휴대전화에 하나 이상의 타국의 적대적 지능형 서비스가 침투해 동작하고 있을 가능성이 높다”라고 말했다.

일부 애널리스트는 트럼프가 개인 트윗에만 자신의 안드로이드 기기를 이용하는 경우라면 내부 보안 문제를 심각하게 우려할 수준이 아니라고 말한다. 그러나 이런 경우에도 적절한 보안책이 없다면 그의 트위터 계정(@realDonaldTrump, @POTUS)에 침입해 포스팅을 개시하는 등 위협은 여전히 존재한다.

골드는 “트럼프의 계정으로 개시되는 트윗이 정말 그가 작성한 것이라는 보장도 없다. 지나친 우려가 아니다. 만일 대통령의 계정으로 ‘나는 러시아를 공격할 계획이다’라는 허위 트윗이 개시된다면, 사회 전반에 전쟁, 금융 불안 공포가 발생할 것이다. 간단한 취약점도 허투루 넘길 수 없는 이유가 여기 있다. 대통령의 영향력은 막대하다”라고 말했다.

대통령의 공식 계정인 @POTUS의 경우에는 이미 해커에 의해 악용될 수 있는 몇몇 민감 정보가 노출된 상태이다. 'WauchulaGhost'라는 해커는 @POTUS 계정의 보안 설정이 트럼프의 소셜 미디어 보좌관 명의로 추정되는 지메일 계정과 연동돼 있다며 그들이 이메일 및 보안 설정을 변경하지 않으면 해커가 언제라도 패스워드를 재설정하고 이메일 계정에 침입할 수 있다고 경고했다. 실제로 지난해 힐러리 클린턴의 선거본부장 존 포데스타는 러시아 스파이로 추정되는 인물의 스피어피싱(spearphishing) 공격을 받아 이메일이 해킹, 유출됐다.

보안 전문가는 트위터 사용자가 트위터를 경유한 이메일 계정 노출 피해를 막을 방법으로 ‘패스워드 재설정 전 개인 정보 입력하기’ 설정을 적용할 것을 권장한다. 이 설정을 적용하면 정확한 이메일 계정이나 휴대전화 번호를 입력해야만 패스워드를 재설정할 수 있다. ‘로그인 요청 검증’ 보안 설정 역시 2차 인증을 통해 계정을 보호하는 방법이다. 이 설정을 적용하면 휴대전화나 인증 앱에 전달되는 일회용 코드를 패스워드와 함께 입력해야만 로그인할 수 있다.

트럼프의 트위터 계정에 이런 보호책이 적용됐는지는 분명하지 않다. 골드는 “트럼프가 자신의 프로필, 온라인 계정을 보호하는 데 관심이 있는지 우려된다. 트럼프는 신념이 확실한 사람이고, 사이버 환경에 대해 잘 안다고 자부한다. 그가 얼마나 전문가인지는 모르겠으나, 그의 주변에는 분명 조언할 사람이 있을 것이다. 그들이 올바른 조언을 할 것으로 믿는다. 다만 트럼프가 그 목소리에 귀를 기울일지는 의문이다”라고 말했다. ciokr@idg.co.kr
 



2017.02.01

보안폰 안쓰는 미국 대통령?··· "이미 해킹됐을 수도"

Matt Hamblen | Computerworld
도널드 트럼프 미국 대통령이 기존에 사용하던 낮은 보안 수준의 안드로이드 스마트폰을 여전히 쓰고 있다는 보도가 나왔다. 사실이라면 백악관의 통신 보안에 많은 문제가 발생할 것으로 우려된다.



CIO, 최고 정보 보안 책임자(CISO, Chief Information Security Officer)는 이미 잘 알겠지만, 기업 차원에서 네트워크나 스마트폰에 아무리 강력한 보안 기술을 적용해도 최종 사용자가 이를 외면하고 안전한 사이버 행동 양식을 따르지 않으면 아무 의미가 없다. 정부 및 기업용 모바일 기기 암호화 VPN 업체인 시큐어드 커뮤니케이션즈(Secured Communications)의 최고 운영 책임자(COO) 크리스 페리는 “통신 보안의 최대 취약점은 그것을 사용하는 사람이다. 어떤 조치도 사용자가 따르지 않으면 효과가 없다”라고 말했다.

이어 “백악관에는 대통령과 대통령 보좌 인력만을 위한 통신 기술 솔루션 전담 조직이 있다. 이들이 관리하기 가장 어려운 대상도 바로 최종 사용자다. 모든 유형의 단-대-단 암호화 솔루션을 설치해도, 설비, 관련 도구를 이용하는 사용자가 그것을 쓰지 않으면 취약점은 절대 개선할 수 없다. 이는 정부든, 민간 부문이든 동일하게 적용되는 원칙이다”라고 덧붙였다.

백악관에 입성한 며칠 후 개인 안드로이드 폰을 이용한 트윗이 업로드되며 불거진 트럼프 대통령의 개인 휴대폰 사용 의혹에 대해 백악관 측은 공식적인 입장을 발표하지 않고 있다. 비밀 경호국 측 역시 백악관에 관련 사실 확인을 요청한 것으로 알려졌다. 뉴욕 타임스는 트럼프가 당선 수락 연설 직전 대통령용 보안 폰을 수령한 이후에도 자신의 기존 안드로이드 폰을 반납하지 않았다고 보도했다. 이에 따르면, 트럼프가 그동안 사용하던 기기는 갤럭시 S3 또는 S4 모델이다.

컴퓨터 사이언스 인스티튜트(Computer Science Institute)의 컴퓨터 보안 연구원 니콜라스 웨버는 블로그를 통해 “이는 재앙이나 다름 없다. 트럼프 대통령이 이 위험한 보안 수준의 안드로이드 기기를 계속 이용하면 많은 위험한 상황이 예상된다. 갤럭시 S3는 여느 10대가 이용하기에도 부족한 보안 수준의 기기다. 이것을 이 자유국가의 대표자가 사용한다는 것은 말도 안되는 일이다”라고 말했다.

이어 "만일 사이버 공격자가 발송한 링크를 클릭하는 한 번의 실수만으로도 대통령의 휴대전화에 버그가 침투해 모든 음성, 영상 통화 정보가 외부로 유출될 수 있다. 모든 업데이트가 적용된 최신의 안드로이드, 아이폰도 완벽한 보안을 구현하지 못한다. 미국의 대통령이라면 제로 데이 공격에 대응할 어떤 값비싼 기술이라고 완벽히 갖추는 것이 당연하다”라고 말했다.


해커가 GPS를 통해 휴대전화 위치를 추적해 대통령의 위치를 파악하는 것도 가능하다는 지적이다. J.골드 어소시에이츠(J.Gold Associates)의 모바일 보안 애널리스트 잭 골드는 "만일 타국의 국가 기관이 실제로 트럼프의 휴대전화 혹은 다른 기기를 공격하기로 마음 먹는다면 슈퍼컴퓨터를 이용한 무작위 대입 공격으로 패스워드 암호화를 무효화해 파일이나 애플리케이션 등에 침투하는 것은 그리 어려운 일이 아니다"라고 말했다.

웨버 역시 “이미 트럼프의 휴대전화에 하나 이상의 타국의 적대적 지능형 서비스가 침투해 동작하고 있을 가능성이 높다”라고 말했다.

일부 애널리스트는 트럼프가 개인 트윗에만 자신의 안드로이드 기기를 이용하는 경우라면 내부 보안 문제를 심각하게 우려할 수준이 아니라고 말한다. 그러나 이런 경우에도 적절한 보안책이 없다면 그의 트위터 계정(@realDonaldTrump, @POTUS)에 침입해 포스팅을 개시하는 등 위협은 여전히 존재한다.

골드는 “트럼프의 계정으로 개시되는 트윗이 정말 그가 작성한 것이라는 보장도 없다. 지나친 우려가 아니다. 만일 대통령의 계정으로 ‘나는 러시아를 공격할 계획이다’라는 허위 트윗이 개시된다면, 사회 전반에 전쟁, 금융 불안 공포가 발생할 것이다. 간단한 취약점도 허투루 넘길 수 없는 이유가 여기 있다. 대통령의 영향력은 막대하다”라고 말했다.

대통령의 공식 계정인 @POTUS의 경우에는 이미 해커에 의해 악용될 수 있는 몇몇 민감 정보가 노출된 상태이다. 'WauchulaGhost'라는 해커는 @POTUS 계정의 보안 설정이 트럼프의 소셜 미디어 보좌관 명의로 추정되는 지메일 계정과 연동돼 있다며 그들이 이메일 및 보안 설정을 변경하지 않으면 해커가 언제라도 패스워드를 재설정하고 이메일 계정에 침입할 수 있다고 경고했다. 실제로 지난해 힐러리 클린턴의 선거본부장 존 포데스타는 러시아 스파이로 추정되는 인물의 스피어피싱(spearphishing) 공격을 받아 이메일이 해킹, 유출됐다.

보안 전문가는 트위터 사용자가 트위터를 경유한 이메일 계정 노출 피해를 막을 방법으로 ‘패스워드 재설정 전 개인 정보 입력하기’ 설정을 적용할 것을 권장한다. 이 설정을 적용하면 정확한 이메일 계정이나 휴대전화 번호를 입력해야만 패스워드를 재설정할 수 있다. ‘로그인 요청 검증’ 보안 설정 역시 2차 인증을 통해 계정을 보호하는 방법이다. 이 설정을 적용하면 휴대전화나 인증 앱에 전달되는 일회용 코드를 패스워드와 함께 입력해야만 로그인할 수 있다.

트럼프의 트위터 계정에 이런 보호책이 적용됐는지는 분명하지 않다. 골드는 “트럼프가 자신의 프로필, 온라인 계정을 보호하는 데 관심이 있는지 우려된다. 트럼프는 신념이 확실한 사람이고, 사이버 환경에 대해 잘 안다고 자부한다. 그가 얼마나 전문가인지는 모르겠으나, 그의 주변에는 분명 조언할 사람이 있을 것이다. 그들이 올바른 조언을 할 것으로 믿는다. 다만 트럼프가 그 목소리에 귀를 기울일지는 의문이다”라고 말했다. ciokr@idg.co.kr
 

X