http://board.snu.ac.kr/enboard/127 ko Fri, 29 Mar 2024 04:08:13 +0900 snu@snu.ac.kr <![CDATA[무선 충전기 해킹, 과연 가능할까... 원격으로 과충전시켜 화재 일으킬 수 있다고?]]> http://board.snu.ac.kr/apiboard/127/11711601888386 [출처 : 보안뉴스]

 

스마트폰과 무선 충전기 사이 인증절차 생략, 암호화 없어 시그널 공격 가능

완충 시그널 지우면 과충전으로 인한 화재까지 가능...스마트폰 해킹까지는 어려워

[인터뷰] TTA 이강해 정보통신시험인증연구소·ICT융합신산업단 단장

 

선이 없는 세상이 확대되고 있다. 블루투스(근거리 무선 기술 표준)와 와이파이(근거리 무선망)로 대표되는 무선 통신 기능은 이제 무선 충전으로 확대되고 있다. 그런데 무선 충전기도 해킹이 가능할까? 최근 해외에서 볼트쉬머(VoltSchemer)라고 명명된, 무선 충전기를 장악해 스마트폰의 음성 기반 어시스턴트를 제어하는 공격법이 발견돼 관심을 모으고 있다.

 

무선 충전기의 해킹 가능 여부를 살펴보기 전에 먼저 스마트폰의 양대산맥인 삼성전자와 애플에서 무선 충전을 지원하는 기기가 언제부터 나왔는지 살펴봤다. 먼저 삼성전자는 20156월에 발매한 갤럭시 S6부터, 애플은 20179월에 출시한 아이폰 8부터 무선충전이 가능한 것으로 파악된다. 이제 스마트폰 시장에서 무선 충전은 디폴트가 되고 있다. 선이 없는 세상, 무선 충전기 해킹은 스마트폰 시장에 또 다른 위협이 될까?

 

무선 충전, 방식별 효율과 세부 특징은

무선 충전 기술방식별 비교를 보면 무선 충전 기술방식은 근거리 무선 충전과 원거리 무선 충전으로 구분하고 있다. 한국전자통신연구원(ETRI)은 과거 리포트를 통해 삼성이 MWC(모바일 월드 콩그레스) 2015에서 갤럭시 S6에 무선 충전기를 탑재할 것이라는 소식을 전하며 무선전력 전송 및 무선 충전기술에 대해 심도 있게 다뤘다. 한국과학기술정보연구원(KISTI)도 비슷한 시기에 마켓 리포트를 통해 무선 충전기에 대해 분석했다.

 

두 개의 리포트에서는 근거리 무선 충전으로 자기유도 방식과 자기공명 방식을, 원거리 무선 충전으로 전자기파 방식을 소개하고 있다. 자기유도 방식은 전송거리가 수 mm에 불과하지만, 전송효율은 이론상 90%에 이른다. 또 다른 근거리 무선 충전방식인 자기공명 방식은 전송거리가 수 m 내외이면서 전송효율은 60%로 이내로 제한되고 있다. 반면 전자기파 방식은 수 km 내외의 원거리 전송이 가능하며 전송전력은 고출력이지만, 전송효율은 15% 이내로 급격히 낮아진다. 자기유도 방식은 무선전력컨소시엄(Wireless Power Consortium, WPC)과 무선충전표준연합(Power Matters Alliances, PMA), 자기공명 방식은 자기공진식무선충전연합(Alliance for Wireless Power, A4WP), 전자기파 방식은 ITU-R SG1(국제전기통신연합 전파통신 부문 스펙트럼 관리연구반)이 주관하고 있다.

 

WPC에서 정한 무선 전원 공급 국제표준규격으로 치(Qi) 인증이 있다. (Qi) 인증을 받은 자기유도 방식 제품은 브랜드에 관계없이 무선충전이 지원된다. 삼성은 갤럭시 S6부터 WPC가 인증하는 치(Qi) 프로토콜과 PMA 규격의 무선 충전기술을 지원하고 있다. 애플은 아이폰 8부터 프로토콜 무선 충전을 지원하고 있다. 따라서 해당 제품들은 브랜드에 상관없이 무선충전을 호환할 수 있는 것이다.

 

무선 충전기 대상 해킹, ‘가능은 하지만...

그렇다면 무선 충전기를 대상으로 사이버 공격이 가능할까? 정답은 그렇다이다. 무선 충전기를 대상으로 사이버 공격이 감행되면, ‘과충전을 할 수 있으며 과충전으로 인해 무선 충전기가 과열되고, 불이 나서 탈 수도 있다. 이론상으로는 그렇다. 다만, 무선 충전기의 도크 위에 올려진 스마트폰까지 손아귀에 넣는 건 불가능하다.

 

이와 관련 한국정보통신기술협회(TTA) 정보통신시험인증연구소·ICT융합신산업단 이강해 단장의 이야기를 들었다. 이강해 단장은 무선 충전은 선의 속박에서 벗어나는 것을 목적으로 개발된 것이고 이 과정에서 스마트폰과 충전기 사이의 인증절차를 생략한다충전기에서 스마트폰에 프로토콜 시그널을 보낼 때 인코딩을 하지 않기 때문에 누구나 이 중간과정을 캐치하면 2진법으로 신호를 보내는 것을 알 수 있다고 말했다. 다만, 무선 충전기의 사이버 공격을 통해 도크 위에 올려진 스마트폰까지 해킹하는 것은 불가능하다.

 

이강해 단장은 무선 충전기에 전원을 연결했을 때 공격자가 공격 대상으로 삼는 것은 전원과 연결단인 파워서플라이 부분인데, 이곳에 전기를 빨아들여 무선 충전으로 나가는 시그널에 특정한 노이즈 시그널을 함께 실어 보낼 수 있다. 이 파워서플라이 쪽에서 공격하는 데이터를 보내는 것이 가능하다고 말했다. 이어 싱크만 정확하게 맞출 수만 있다면 폰에서 나오는 시그널에 노이즈를 첨가해 완충 시그널을 지우는 것이 가능하다완충 시그널이 사라지면 스마트폰이 100% 충전이 끝나도 완충됐다는 것을 충전기는 인식하지 못하고, 결국 과충전이 되면서 사고로 이어지게 된다고 말했다.

 

이러한 사이버 공격은 특히 공공장소에서 서비스로 제공하는 무선 충전기 등 소유주가 불분명한 무선 충전기를 사용할 때 더 위험하다. 이는 무선 충전이 상호인증 절차를 거치지 않는, 곧 충전에 있어 암호화되지 않는 약점을 노린 것이다.

 

하지만 이 같은 공격이 현실에서 일어날 가능성은 그리 높지 않다. 무선 전송 싱크를 정교하게 맞추는 게 매우 어려운 일이기 때문이다. 이 단장은 노이즈를 만들고 이 노이즈를 통해 어댑터에서 나가는 시그널을 지워 반대쪽에서 완충 신호를 보내는 것을 인식하지 못하게 하는 건 가능한 일이라면서도 전원단에서 싱크를 맞춰 시그널을 보내는 게 매우 어렵지만, 아예 불가능한 것은 아니라고 말했다.

 

TTA는 시험인증 서비스를 제공하는 기관으로 다양한 제품을 분석하고 인증하는 역할을 한다. 하지만 국내에서는 이처럼 무선 충전기를 타깃으로 한 사이버 공격 사례는 들어보지 못했다고 이 단장은 덧붙였다.

 

마지막으로 이강해 단장은 무선전력컨소시엄(WPC)에서는 아직은 해킹 가능성까지는 염두에 두지 않고 기본적인 사항들만 체크해서 인증을 진행하고 있는 것으로 보인다면서도 무선 충전을 하는 데 있어 불편함을 없애기 위해 페어링과 암호화 없이 불특정 대상으로 충전이 가능하도록 했지만, 여기에는 위협 요인이 따른다는 것도 인지하면 좋겠다고 말했다.

 

[김영명 기자(boan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711601888386 http://board.snu.ac.kr/apiboard/127/11711601888386 Thu, 28 Mar 2024 13:58:08 +0900
<![CDATA[KT, AI 기술로 스팸 피해 막는다]]> http://board.snu.ac.kr/apiboard/127/11711570135785 [출처 : 보안뉴스]

‘AI 스팸 수신 차단 서비스’ 시행... KT 고객은 누구나 사용 가능한 무료 부가서비스

KT가 AI 기술을 이용해 자동으로 스팸 문자를 차단하는 ‘AI 스팸 수신 차단 서비스’를 시작한다고 밝혔다. KT 고객이라면 누구나 사용 가능한 무료 부가서비스다.

AI 스팸 수신차단 서비스는 받고 싶지 않은 광고성 스팸문자를 AI가 자동으로 차단해 주는 서비스로, KT가 차단하는 문자 외에도 이용자가 받고 싶지 않은 번호와 문구를 추가로 등록하면 해당 번호나 문자는 자동으로 차단된다. KT는 3년간의 준비 기간 동안 일평균 150만건 이상의 스팸 데이터를 딥러닝으로 학습함으로써 AI 스팸 차단 서비스를 개시할 수 있었다.

특히 사람이 문자를 분석해 데이터베이스를 업데이트하던 기존 서비스와는 달리, AI 시스템이 자동으로 스팸 문자를 정확하게 식별하고 제거함으로써 연간 약 1,000만건의 스팸 메시지를 추가로 차단할 수 있는 것이 특징이다. AI 스팸 차단의 정확도는 99% 수준이며, 스팸 업무 처리에 소요되는 시간도 기존의 절반으로 줄었다.

KT는 이번 AI 스팸 차단 서비스를 시작으로 올해 다양한 안심 서비스를 추가로 출시한다는 계획을 밝혔다. 상반기엔 ‘IP 기반 실시간 스팸 차단’ 시스템을 구축한다. 기존 URL 기반 차단 방식은 URL을 바꿔가며 스팸메시지를 보낼 경우 차단이 어렵기 때문에 처음부터 URL을 보낸 IP를 추적해 차단하는 기술이다. 또한 ‘서킷브레이커(가칭)’라는 보이스피싱 번호 긴급 차단 시스템도 도입한다. 보이스피싱에 이용된 번호를 일정 기간 동안 즉시 차단하는 것이다. 이어 하반기엔 AI와 빅데이터 분석 기술을 결합해 문자의 스팸 위험도를 알려주는 ‘스팸 위험도 문자 내 표시’ 서비스를 출시해, 피싱 위험을 최소화하고 안전한 문자 서비스 이용 환경을 완성한다는 계획이다.

또한 KT는 서울경찰청과 함께 보이스피싱이나 스미싱(Smishing: SMS와 피싱의 합성어로, 문자메시지를 통한 개인정보 사기) 의심회선에 대한 이용 정지를 시행하고 있다. 오는 28일부터는 이용 정지된 의심회선이 발송한 문자 내용에서 ‘미끼번호’를 자동으로 추출해 추가로 정지시킨다는 계획이다. 미끼번호란 번호 차단을 우회하기 위해 피싱을 시도한 발신번호와 다르게 문자 본문에 적어 놓은 별도의 전화번호를 의미한다.

이 시스템이 도입되면 월 300~500건 정도의 미끼번호를 정지시킬 수 있을 것으로 추정돼, 미끼번호를 이용해 추가로 발송하는 악성 스미싱을 사전에 차단하는 효과가 있을 것으로 기대된다. 금융감독원에 따르면 2023년 1인당 보이스피싱 피해액은 1,700만원에 달한다.

이외에도 KT는 2월부터 AI를 활용해 불법 스팸 발신자를 보다 빠르고 정확하게 차단할 수 있는 ‘AI 클린메시징 시스템’을 개발해 적용한 바 있다. 스팸과 관련한 다양한 데이터를 학습한 인공지능 모델로 불법 스팸을 필터링하는 것이다. 딥러닝 기반 악성 인터넷주소(URL) 필터링 엔진과 거대언어모델(LLM) 기반 불법 스팸 필터링 엔진 등을 활용한다. 이 때문에 URL 형태와 HTML 구조를 수시로 변경해도 악성 여부를 정확히 판단할 수 있다.

한편 KT는 고객이 더 안전한 통신 서비스를 사용할 수 있도록 ‘전사 안전 안심 1등 달성 TF’를 구성해 이용자 보호를 강화하고 있으며, 지난 14일에는 한국소비자원이 뽑은 ‘소비자 불만 자율 해결 우수 사업자’에서 통신사업자 1위로 선정된 바 있다.

이병무 KT 고객경험혁신본부장은 “지난해 조직된 통신부정사용 대응 협의체를 전사 안전 안심 1등 달성 TF로 확대 개편했다”며, “KT 통신 서비스를 이용하는 고객들이 안심하고 서비스를 이용할 수 있도록 실시간 차단 기술을 개발해 스팸 문제에 더욱 효과적으로 대응할 것”이라고 말했다.

[박미영 기자(mypark@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11711570135785 http://board.snu.ac.kr/apiboard/127/11711570135785 Thu, 28 Mar 2024 13:56:20 +0900
<![CDATA[깃허브 공략하는 공격자들, 빠르게 고도화 되고 있다]]> http://board.snu.ac.kr/apiboard/127/11711570050713 [출처 : 보안뉴스]

공격자들이 나날이 진화한다. 깃허브에서도 이런 점이 눈에 띈다. 이제 개발자들의 방어력이 진화할 차례이다. 좀 더 알리고, 좀 더 교육하고 좀 더 협업하도록 만드는 게 중요하다.

아직 신원을 정확히 알 수 없는 한 해킹 조직이 복잡한 공급망 공격을 깃허브에서 진행했다는 사실이 밝혀졌다. 공격 대상은 깃허브를 적극 사용하는 개발자와 개발사들인 것으로 분석됐다. 공격자들은 훔친 쿠키들을 활용해 깃허브 계정을 탈취했고, 인증된 커밋들을 통해 악성 코드를 퍼트렸으며, 가짜 파이선 미러를 생성했다. 또한 감염된 패키지들을 PyPI 레지스트리에 공개하기도 했다.

보안 업체 체크막스(Checkmarx)의 소프트웨어 공급망 보안 책임자 조세프 하루시 카두리(Jossef Harush Kadouri)는 “공격자들은 다양한 전략과 전술을 구사했고, 이를 통해 탐지를 회피하고 공격 성공률을 크게 높일 수 있었다”며 “동시에 방어도 까다롭게 만들었다”고 설명한다.

체크막스는 자사 블로그를 통해 “공격자들이 가짜 파이선 미러 도메인과, 아주 그럴듯한 타이포스쿼팅 전략을 혼합해 구사함으로써 정식 도메인과 거의 똑같아 보이는 도메인을 만들어 사용자들을 속이고 있다”고 설명했다. 그리고 1억 5천만 회 이상 다운로드 된 인기 파이선 패키지인 컬러라마(Colorama)와 같은 유명 패키지들을 악용하여 악성 코드를 숨기고 있기도 하다. 즉 공격이 깃허브 내부로 한정되어 있지 않다는 것이다.

“또한 공격자들은 널리 알려진 깃허브 Top.gg 계정들도 활용하여 악성 커밋들을 주입하고, 자신들의 행위들을 숨기거나 의심스럽지 않게 꾸밉니다.” 참고로 Top.gg에는 17만 명의 사용자들이 있는 것으로 현재까지 알려져 있다.

데이터 탈취
이런 다양한 방법들을 총동원해 피해자들을 속이는 데 성공한 공격자들이 결국 이루고자 하는 건 민감한 정보의 탈취였다. 이들이 위의 여러 가지 방법으로 전파한 악성 코드들은 피해자들로부터 각종 정보를 훔쳐냈다. 오페라, 크롬, 에지와 같은 유명 브라우저들로부터 쿠키, 자동 채우기 정보, 크리덴셜 등을 가져갔다. 디스코드 계정들과 복호화 된 토큰들을 훔치기도 했다.

뿐만 아니라 암호화폐 지갑 주소와 크리덴셜, 텔레그램 세션 정보, 인스타그램 프로파일 정보도 훔쳐갔다. 훔쳐간 세션 토큰을 통해 계정 세부 내용을 추가로 가져간 뒤, 키로거 멀웨어를 활용해 키스트로크를 따가기도 했는데, 이는 비밀번호나 지인들과의 채팅 내용을 훔쳐가기 위한 것으로 분석됐다.

다양한 정보들을 훔쳤는데, 이 정보들을 공격자들은 어떻게 가져갔을까? 이 때에도 다양한 방법이 동원됐는데 주로 익명으로 파일을 공유할 수 있게 해 주는 플랫폼이 활용됐다. 익명 HTTP 요청이 가능한 곳에서는 그런 방법도 활용했다. 이 때 공격자들은 각 피해자들에게 고유 식별 번호를 부여함으로써 개별적인 추적도 가능하게 했다.

탐지를 회피하기 위해 공격자들은 세심한 난독화 기술도 도입해 활용했다. 변수 이름을 의도적으로 엉뚱하게 붙인다든가, 여백을 조작한다든가, 시스템 레지스트리를 조작한다든가 하는 식이었다. 또한 공격 지속성을 확보해 시스템에 꾸준히 드나들면서 여러 소프트웨어 애플리케이션들에서 데이터를 훔쳐내는 모습도 보였다.

하지만 이 공격은 오래 가지 않았다. 이렇게까지 다양하면서도 조심스럽게 움직이며 눈을 속이려 했지만 Top.gg 커뮤니티에 소속된 사람들이 수상한 것을 눈치챘기 때문이다. 그러면서 클라우드플레어(Cloudflare) 측에서도 이상한 것을 발견하고 남용되고 있는 도메인을 폐쇄시켰다. 그렇다고 이번 캠페인 자체가 완전히 사망한 것은 아니라고 체크막스는 보고 있다.

개발자들을 어떻게 보호해야 할까?
IT 보안 전문가들은 리포지터리에 새롭게 올라오는 코드 프로젝트들 혹은 추가된 코드들을 항상 점검해야 한다. 모든 것을 다 볼 수 없으니 관련이 있는 것, 꼭 사용해야 하는 것들은 반드시 점검하도록 해야 한다. 이를 규정으로 정해놓는 것도 좋지만, 동시에 왜 이런 꼼꼼함이 필요한지 지속적으로 교육하여 알리는 것도 필요하다. 특히 공급망 공격에 대해서는 요즘 크게 유행하고 있으므로 여러 번 교육하는 것도 좋다.

카두리는 “근본적으로 개발이라는 업무가 경쟁적으로 이뤄지지 않도록 분위기를 조성하는 게 중요하다”고 말한다. “개발자들끼리 혹은 부서들 간 경쟁을 붙이는 회사들이 있습니다. 그러면 안전 수칙이 무시될 수밖에 없습니다. 모두가 공동으로 일하고, 협업한다는 분위기에서는 안전이 좀 더 존중됩니다. 앞으로 공급망 공격은 중단되지 않을 것이므로 이런 근본적인 부분에서의 개선이 필요합니다.”

글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트

[국제부 문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11711570050713 http://board.snu.ac.kr/apiboard/127/11711570050713 Thu, 28 Mar 2024 13:55:57 +0900
<![CDATA[4만 개 라우터로 구성된 대규모 사물인터넷 봇넷 발견돼]]> http://board.snu.ac.kr/apiboard/127/11711569860253 [출처 : 보안뉴스]

요약 : 보안 외신 시큐리티위크에 의하면 대규모 사물인터넷 봇넷이 발견됐다고 한다. 무려 4만 개 이상의 라우터로 구성된 봇넷이다. 보안 업체 루멘테크놀로지스(Lumen Technologies)가 발견한 것으로, 이 4만 개 라우터들은 거의 전부가 지원이 종료된 상태였다고 한다. 배후에 있는 자들은 2014년부터 지금까지 봇넷을 키워왔고, 현재 이 봇넷은 총 88개 국가에 걸쳐 존재하고 있다. 페이스리스(Faceless)라는 이름의 범죄 프록시 서비스에 활용되고 있으며, 현재 1주일에 약 7천 명의 신규 사용자들이 생겨나고 있는 것으로 조사됐다. 범죄 봇넷을 사용하려는 사람들이 얼마나 많은지 알 수 있다.

배경 : 생애 주기가 끝난 라우터들은 취약점이 있다 하더라도 패치가 되지 않는다. 지원이 종료되었기 때문에 제조사들이 패치할 이유가 없기 때문이다. 하지만 기능성에 문제가 생기지 않는 이상 사용자들은 지원 종료 여부에 크게 신경 쓰지 않고 계속해서 장비를 사용한다. 이 때문에 공격자들은 지원이 종료된 장비만 노려도 적잖은 성과를 올릴 수 있게 된다.

말말말 : “지원 종료가 끝난 장비들은 실제 사용 환경 내에서 사용자들이 방치하고 있고 심지어 잊고 있는 경우도 많습니다. 따라서 훌륭한 공격자들의 출입 통로가 되도 알 수가 없습니다.” -루멘테크놀로지스-

[국제부 문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11711569860253 http://board.snu.ac.kr/apiboard/127/11711569860253 Thu, 28 Mar 2024 13:55:37 +0900
<![CDATA[인기 높은 인공지능 프레임워크 레이AI에서 7개월째 패치되지 않은 취약점 나와]]> http://board.snu.ac.kr/apiboard/127/11711569750725 [출처 : 보안뉴스]

요약 : 보안 외신 핵리드에 의하면 레이AI(Ray AI)라는 프레임워크의 취약점을 노리는 캠페인이 발견됐다고 한다. 문제의 취약점은 CVE-2023-48022라고 하며, 이를 익스플로잇 하는 데 성공한 공격자들은 자원 탈취, 암호화폐 채굴, 데이터 탈취 등의 악성 행위를 실시할 수 있게 된다. 교육, 금융, 의료 등 여러 분야 내 수천 개 조직들에서 피해가 발견되고 있다고 한다. 이 캠페인을 발견한 건 올리고(Oligo)라는 연구 단체인데, 해당 캠페인에 셰도우레이(ShadowRay)라는 이름을 붙이고 추적하고 있다.

배경 : 레이AI는 오픈소스 인공지능 프레임워크로, 인공지능 기술을 도입하려는 많은 기업들이 활용하고 있다. 아마존, 우버, 넷플릭스 등 대형 기업들이 대표적인 사용자다. 문제는 CVE-2023-48022가 아직까지 패치되지 않고 있다는 것이다. 이미 지난 7개월 동안 이 취약점은 활발한 익스플로잇 공격에 노출되어 있었다는 것도 조사됐다.

말말말 : “레이AI를 사용하고 있는 기업이라면 네트워크와 IT망 전반에 걸친 검사를 실시해야 합니다. 이미 공격자들이 침투해 들어와 있을 가능성이 낮지 않습니다. 이들은 자원을 몰래 갈취하기 때문에 은밀히 움직이며, 따라서 여태까지 눈에 띄지 않았을 겁니다.” -올리고-

[국제부 문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11711569750725 http://board.snu.ac.kr/apiboard/127/11711569750725 Thu, 28 Mar 2024 13:55:26 +0900
<![CDATA[가상 보이그룹 ‘플레이브’ 소속사 블래스트, 직원에 의한 내부 정보 유출 사건 발생]]> http://board.snu.ac.kr/apiboard/127/11711483290604 [출처 : 보안뉴스]

지난해 3월 데뷔한 5인조 버추얼 아이돌...내부 직원이 회사 정보 및 미공개 멜로디 유출
홈페이지에 ‘블래스트 내부 정보 유출 직원 관련 안내사항’ 게재...비밀유지 서약 등 위배
올해 초에도 SNS에 내부 정보 및 루머 유포한 퇴사자에 대해 법적조치 취하기도

가상 아이돌 그룹의 소속사인 블래스트(VLAST)에서 자사 직원이 내부 정보를 유출했다며 공지사항을 올려 시선을 집중시키고 있다. 이번 사건은 외부인의 악의적 공격이 아닌 내부자에 의한 회사 기밀 유출에 초점이 맞춰져 있다.

게임 엔진을 기반으로 한 신생 연예기획사이자 VFX 기술회사인 블래스트는 3월 25일 홈페이지 공지를 통해 ‘블래스트 내부 정보 유출 직원 관련 안내사항’을 공지했다. 블래스트는 2021년 MBC 사내벤처기업으로 출발한 업력 4년차의 연예기획사로 2023년 3월 중순에 ‘플레이브’라는 이름의 5인조 가상 보이그룹을 데뷔시켰다. 플레이브는 하민, 노아, 예준, 밤비, 은호 등 다섯 명의 멤버로 구성됐으며, 이달 중순에는 MBC 음악방송에서 신곡 ‘WAY 4 LUV’를 통해 르세라핌, 비비 등 실물 가수를 뛰어넘어 1위에 오르기도 했다.

블래스트 측은 “어제 발생한 내부 정보 유출 사건에 대해 플레이브를 사랑해 주시는 팬 여러분께 심려를 끼쳐 드린 점 진심으로 책임을 통감하고 있다”며 몇 가지 사항을 안내한다고 밝혔다.

블래스트 측은 팬들의 제보와 내부 조사를 통해 특정 직원이 △아티스트 자작곡에 대한 비방 △회사 내부의 촬영 및 정보 유출 △미공개 곡의 멜로디 유출 △공식 굿즈의 프리미엄 재판매 △업무 시간 중의 SNS 활동 등을 했다고 설명했다.

회사 측은 “이러한 행위들은 비밀유지 서약 및 사규에 위배되는 것으로, 현재 해당 직원에 대한 징계 절차를 진행 중”이라며 “블래스트는 2024년 초에도 SNS에 회사 내부 정보 및 루머를 유포한 퇴사자에 대해 법적 조치를 취한 만큼 이번 사건도 엄중하게 대응할 예정”이라고 공지했다.

회사는 이번 사건에 대해 다시 한번 깊은 사과의 뜻과 함께 재발 방지를 위해 임직원의 윤리 및 보안 교육을 강화하고 사내 보안 및 내부통제 시스템을 확충하는 등의 보완 조치를 취하겠다고 밝혔다.

[김영명 기자(boan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711483290604 http://board.snu.ac.kr/apiboard/127/11711483290604 Wed, 27 Mar 2024 09:13:38 +0900
<![CDATA[중국의 해킹 조직 함께 제재하기로 한 미국과 영국 정부]]> http://board.snu.ac.kr/apiboard/127/11711483340956 [출처 : 보안뉴스]

미국과 영국이 중국인 7명을 제재 대상으로 삼는다고 발표했다. 또한 우한 지역의 페이퍼컴퍼니 하나도 제재 대상이 됐다. 중국의 사이버전 행위를 더는 두고보지 못하겠다는 선언이다.

[보안뉴스 = 베키 브래큰 IT 칼럼니스트] 미국 사법부가 이번 주 7명의 중국인들을 기소했다. 미국 기업들과 정치인들을 겨냥한 광범위한 사이버 공격 캠페인을 이들이 진행하고 있었다는 게 미국 연방 정부 기관의 설명이다. 여기에 영국 정부까지 가세했다. 중국 해킹 그룹과 관련이 있는 개인들을 지정해 기소하고 제재 대상으로 삼은 것이다.

두 나라의 집중 견제를 받은 중국 해킹 단체는 APT31이다. 미국과 영국 정부가 이번에 공개한 바에 의하면 APT31은 중앙 공산당 국가안전부 우한 지부와도 관계가 있다고 한다. 우한의 국가안전부 사무소에서 한 기업을 후원하고 있었는데, 이 기업이 바로 APT31의 페이퍼컴퍼니였다는 게 두 정부의 설명이다. 이 기업 역시 이번 제재의 대상으로 선정됐다.

미국 법무차관인 리사 모나코(Lisa Monaco)는 발표문을 통해 “APT31은 전 세계를 대상으로 해킹 캠페인을 공격적으로 펼쳐왔고, 그 과정 중에 악성 이메일을 1만 건 이상 발송했다”고 주장했다. 또한 “이로 인해 수천 명의 피해자들이 14년 동안 양산됐다”고도 밝혔다. FBI 시카고 지부의 현장 특수요원인 로버트 윌러 주니어(Robert Wheeler Jr.)는 “APT31이 벌이는 공작의 규모가 다시 한 번 드러났다”고 이번 추가 제재의 의의에 대해 설명했다.

사이버 보안 전문가들은 이번 제재 조치에 환영 의사를 표현하는 중이다. 보안 업체 콘트랙트시큐리티(Contract Security)의 부회장 톰 켈러만(Tom Kellerman)은 “중국 공산당이 운영하는 해커들은 미국의 IT 인프라를 식민지화에 버금갈 정도로 공략하는 중이라 정부에서 먼저 공격적인 자세를 취할 때가 됐다”고 말한다. “공격에 대하여 방어적인 입장만 취한다는 건 큰 도움이 되지 않는다는 걸 우린 수없이 경험해 왔습니다.”

중국의 해커들, 보다 은밀해져
중국 정부의 지원을 받는 해커들은 보다 정교하고 전략적으로 변하고 있다. 보안 업체 맨디언트(Mandiant)의 수석 분석가인 존 헐트퀴스트(John Hultquist)는 “특히 정보 탈취 유형의 공격에서 뛰어난 모습을 보이고 있다”고 말한다. “이제 더 이상 대담하게 움직이며 노이즈를 잔뜩 만들며 침투하는 자들의 시대가 아닙니다. 또한 넓은 영역에 그물을 펼치지도 않습니다. 지금은 공격하려는 표적을 정확하게 지정해 조용히 공격하고, 피해자가 공격 당하는 사실을 인지도 못하게 합니다. 그게 중국 해커들의 ‘표준’ 수준이라고 봐도 됩니다.”

그렇다면 정부의 제재 조치는 실질적인 효과가 있을까? 보안 업체 크리티컬스타트(Critical Start)의 수석 관리자인 캘리 궨터(Callie Guenther)는 “중국의 해커들에게 ‘미국이 지켜보고 있다’ 정도의 광범위한 경고 정도는 들어갔을 것”이라고 말한다. “하지만 지금 당장 해커들 사이에서 구체적인 변화가 나타나지는 않을 겁니다. 오히려 국가가 나서서 제재를 할 정도로 해킹 공격이 극성이라는 걸 방어하는 입장에서 받아들이고 대처해야 합니다.”

궨터는 “공격자가 변할 것이라고 기대하는 건 아무런 소득도 없고 의미도 없는 소망”이라며 “방어하는 쪽에서 스스로를 변화시키는 게 가장 생산성 높은 변화”라고 말한다. “중국의 해커들이 얼마나 정교하게 움직이는지 이번 기소를 통해 드러났습니다. 그렇다면 우리도 철저한 방어를 기획해야 할 겁니다. 또한 중국이라는 거대한 공동체의 움직임에 대항하여 국제 공조의 능력도 강화해야 하겠지요. 우리 편에서 개선해야 할 것들을 이해하게 되고, 실제 개선에 이르게 된다면 이번 제재가 참 의미를 갖는 것일 겁니다.”

글 : 베키 브래큰(Becky Bracken), IT 칼럼니스트

[국제부 문정후 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711483340956 http://board.snu.ac.kr/apiboard/127/11711483340956 Wed, 27 Mar 2024 09:13:27 +0900
<![CDATA[개인정보위, 학계와 함께 개인정보 정책 및 제도 개선 나선다]]> http://board.snu.ac.kr/apiboard/127/11711483593327 [출처 : 보안뉴스]

의료정보학회 등 9개 유관학회 참여...2024년 주요 개인정보 정책 공유 및 정책방향 논의

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 3월 26일 서울 중구에 있는 한국지능정보사회진흥원 서울사무소에서, 학계와 2024년 개인정보 정책방향을 공유하고 의견을 수렴하기 위한 ‘유관학회 간담회’를 개최했다.


이번 간담회는 2월 20일에 산업계, 3월 19일에 시민단체와의 간담회에 이어 세 번째로 개최된 것으로 고학수 위원장 주재로 진행됐다. 이번 간담회에는 △대한의료정보학회 한호성 회장 △한국데이터법정책학회 이성엽 회장 △한국인공지능법학회 최경진 회장 △한국정보법학회 황창근 회장 △한국정책학회 윤지웅 회장 △한국IT서비스학회 이정훈 회장 △개인정보보호법학회 김도승 부회장 △한국인공지능학회 김정연 총무이사 △한국행정학회 박종수 연구위원장 등 유관학회 대표 9명이 참석했다.

이번 간담회에서는 ‘국민 삶이 풍요롭고 개인정보가 안전한 인공지능시대’를 구현하기 위한 올해의 개인정보 정책 추진방향 외에도, 데이터 처리 단계별로 적용 원칙과 기준을 구체화한 ‘인공지능 6대 가이드라인’, 인공지능 연구자가 안전한 환경에서 데이터를 활용할 수 있는 ‘개인정보 안심구역’ 운영 등 인공지능 성장 여건 조성 방안에 대해서도 토론하는 시간을 마련했다.

개인정보위 고학수 위원장은 “인공지능이 의료, 금융, 교육 등 국민의 삶의 모든 영역으로 스며들어 대변화와 혁신을 견인하는 변곡점에서 그 어느 때보다 전문가의 지혜와 통찰이 필요한 시점”이라며, 유관학계와 지속해서 소통하고 협력해 국민이 체감할 수 있는 개인정보 정책을 개선하겠다”고 말했다.

[김영명 기자(boan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711483593327 http://board.snu.ac.kr/apiboard/127/11711483593327 Wed, 27 Mar 2024 09:12:49 +0900
<![CDATA[이란의 TA450, 악성 PDF 활용해 원격 모니터링 도구 퍼트려]]> http://board.snu.ac.kr/apiboard/127/11711483766609 [출처 : 보안뉴스]

요약 : 보안 블로그 시큐리티어페어즈에 의하면 이란의 APT 단체인 TA450이 악성 PDF가 첨부된 피싱 메일을 흩뿌리고 있다고 한다. 이들의 목적은 원격 모니터링 관리(Remote Monitoring and Management, RMM) 소프트웨어인 아테라(Atera)를 피해자의 시스템에 심는 것이다. RMM은 정상적인 관리 도구로 분류되지만 공격자들도 널리 사용하는, 그래서 위치가 애매해진 소프트웨어의 일종이다. 이번 캠페인에 특히 주된 표적이 되고 있는 건 이스라엘의 조직들과, 이스라엘에 우호적인 국가의 단체들이라고 한다.

배경 : TA450은 머디워터(MuddyWater), 시드웜(SeedWorm), 스태틱키튼(Static Kitten) 등의 이름으로도 불리는 공격 단체다. 이번 캠페인은 3월 7일부터 시작된 것으로 분석되고 있으며, 3월 11일까지도 이어졌다. 악성 PDF 파일을 피해자가 열면 집 압축파일이 열리며 원격 관리 프로그램이 설치된다.

말말말 : “TA450이 피싱 공격을 자주 시도하는 건 사실이지만, PDF 파일을 활용한 건 처음입니다. 이들은 악성 파일이 호스팅 되어 있는 곳에 링크를 직접 거는 것을 선호해 왔습니다.” -프루프포인트(Proofpoint)-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711483766609 http://board.snu.ac.kr/apiboard/127/11711483766609 Wed, 27 Mar 2024 09:11:33 +0900
<![CDATA[깃허브 노리는 공격 단체, 각종 전략 다 활용해 공급망 공격 시도]]> http://board.snu.ac.kr/apiboard/127/11711483821117 [출처 : 보안뉴스]

요약 : 보안 외신 해커뉴스에 의하면 개발자들을 노리는 사이버 공격이 깃허브에서 다시 한 번 진행됐다고 한다. 이번 캠페인은 꽤나 고도화 되어 있다는 게 전문가들의 분석 결과다. 아직 배후 세력은 알 수 없다. 공격자들은 브라우저 쿠키를 훔쳐 계정 탈취를 시도하거나, 여러 패키지나 커밋들에 악성 코드를 심거나, 가짜 파이선 패키지를 만들거나, 다른 리포지터리에서 가짜 프로젝트를 실시한 뒤 연결시키는 등의 다양한 방법을 동원했다. 이런 공격을 통해 일부 개발자들이 민감 피해 도난 피해를 당한 것으로 보이는데, 그 규모는 아직 정확히 집계되지 않고 있다. 개발자들을 노린 공급망 공격이 갈수록 빈번해지고 또 고도화 되고 있다.

배경 : 개발자들이 개발할 때 사용하는 플랫폼들 중 코드 리포지터리가 있다. 깃허브나 PyPI 등이 유명하다. 이곳에서 개발자들은 유용한 코드를 서로 공유한다. 그래서 공격자들은 개발자들이 악성 코드를 공유하고 퍼가라고 이곳을 계속해서 오염시킨다. 이 때문에 개발자들 사이에서의 보안 경각심이 고조될 필요가 있다고 보안 업계는 계속해서 강조하고 있다.

<>말말말 : “주로 정보 탈취형 멀웨어를 심는 공격자들은 익명 파일 전송 프로그램인 고파일(GoFile)이나 아논파일즈(AnonFiles) 등을 통해 정보를 빼돌립니다.” -체크막스(Checkmarx)-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711483821117 http://board.snu.ac.kr/apiboard/127/11711483821117 Wed, 27 Mar 2024 09:11:07 +0900
<![CDATA[악성봇 감염, 전월 대비 78.01% 증가... “불법 소프트웨어 설치 주의”]]> http://board.snu.ac.kr/apiboard/127/11711396889353 [출처 : 보안뉴스]

봇넷 감염으로 크리덴셜 유출 증가 ‘불법 소프트웨어 설치 주의’
로그프레소, 트롤에이전트 대응 위한 ‘YARA 룰 배포’...악성코드 탐지 및 차단 지원

글로벌 기준 지난 2월 악성 봇 감염이 글로벌 기준 전월 대비 78.01% 증가했다. 악성 봇 감염으로 국내외 이커머스 서비스의 크리덴셜이 지속해서 유출되고 있어 2차 피해 방지를 위한 노력이 필요한 실정이다.

로그프레소는 3월 CTI 리포트를 통해 “이커머스 서비스 사업자는 크리덴셜 유출 여부를 사용자에게 안내해 빠르게 대응할 수 있도록 도와야 한다”며 “사용자는 서비스별로 암호를 다르게 설정하거나 2FA(2-Factor Authentication)를 이용해 계정 보안을 강화해야 한다”고 밝혔다.

로그프레소 장상근 연구소장은 “악성 봇 감염으로 인한 크리덴셜 정보의 노출이 꾸준히 증가하는 추세”라며 “악성 봇 감염의 주된 원인은 불법 소프트웨어 설치로, 이를 주의할 필요가 있다”고 전했다.

또한 로그프레소는 CTI 리포트에서 국산 보안 프로그램으로 위장한 악성코드 ‘TrollAgent(트롤에이전트)’를 분석하고, 이를 탐지할 방법을 소개했다.

북한 김수키(Kimsuky) 그룹에서 배포하는 트롤에이전트는 국내 특정 홈페이지 로그인에 필요한 전자문서 및 증명서 위변조 방지 프로그램으로 위장해 설치를 유도한다. 특히 국내 방산업체 인증서로 서명해 악성코드 탐지를 회피하고, 사용자의 의심을 최소화했다. 해당 악성코드가 실행되면 다양한 정보를 수집해 C&C 서버로 전송한다. GPKI 디렉토리를 탈취하는 기능을 포함하고 있어 국내 공공기관을 주 공격대상으로 삼고 있는 것을 확인할 수 있다.

표면적으로는 정상 보안 프로그램처럼 설치되기 때문에, 사용자는 악성코드의 실행 여부를 인지하기 어렵다는 것이 로그프레소의 설명이다. 이에 로그프레소는 트롤에이전트와 변종을 탐지할 수 있는 YARA 룰을 배포해 악성코드 탐지와 차단을 지원하고 있다. YARA를 지원하는 장비 또는 XDR 계열의 장비를 도입해 사용하는 경우, 로그프레소가 배포한 규칙을 적용해 보안을 강화할 수 있다.

한편 로그프레소가 매월 발간하는 CTI(Cyber Threat Intelligence) 월간 리포트는 사이버 공격 관련 정보를 수집하고 분석해 사이버 위협에 신속하고 정확하게 대응하고자 가공한 형태의 정보다.

로그프레소는 현재 누적 침해 지표(IoC) 2억 건 이상, PI(Privacy Intelligence) 780억 건 이상의 CTI 정보를 보유하고 있다. 더불어 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적 중이다. 수집한 정보를 토대로 자사 SIEM(Security Information and Event Management, 통합보안관제) 및 SOAR(Security Orchestration, Automation and Response, 보안운영자동화) 플랫폼에서 즉시 활용할 수 있도록 지원하고 있다.

[박은주 기자(boan5@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711396889353 http://board.snu.ac.kr/apiboard/127/11711396889353 Tue, 26 Mar 2024 11:21:15 +0900
<![CDATA[수만 개 워드프레스 웹사이트, 사인원이라는 새 멀웨어에 감염돼]]> http://board.snu.ac.kr/apiboard/127/11711397012106 [출처 : 보안뉴스]

요약 : 보안 외신 핵리드에 의하면 수만 개의 워드프레스 사이트가 사인원(Sign1)이라는 멀웨어에 감염되어 있다고 한다. 감염된 워드프레스 사이트에 방문하게 될 경우 악성 코드가 주입되는 바람에 피해자는 다른 사이트로 연결되고, 그곳에서부터 온갖 광고에 노출된다고 보안 업체 수쿠리(Sucuri)가 경고했다. 사인원은 시간 기반 난수 생성 기법을 통해 다이내믹한 URL들을 만들어내기 때문에 현존하는 방어 기술을 가지고 다 차단하기 힘들다고 한다. 여태까지 감염된 사이트는 약 4만 개에 달하는 것으로 집계되고 있다. 웹사이트의 취약점을 통해 감염이 시작되는 것으로 알려져 있다.

배경 : 사인원의 감염으로부터 스스로를 보호하려면 워드프레스 코어와 테마, 각종 플러그인들을 업데이트 하여 최신화하는 게 중요하다. 또한 비밀번호를 강력하게 설정하거나 다중인증 옵션을 활용하는 것도 사이트 보호를 위해서는 필수적이다. 하지만 그 무엇보다 새 플러그인 설치 시 확인에 확인을 거듭하는 게 가장 중요하다. 워드프레스의 위협은 99% 플러그인을 통해 들어온다.

말말말 : “이미 감염이 의심된다면 웹사이트 호스팅 업체는 물론 외부 보안 전문 업체와 상의하여 위협을 제거하는 게 안전합니다. 또한 사이트 내 모든 비밀번호를 변경하는 것도 중요합니다.” -핵리드-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711397012106 http://board.snu.ac.kr/apiboard/127/11711397012106 Tue, 26 Mar 2024 11:20:59 +0900
<![CDATA[이메일 훔치는 스트렐라스틸러, 미국과 유럽에서 기승]]> http://board.snu.ac.kr/apiboard/127/11711397099999 [출처 : 보안뉴스]

요약 : 보안 외신 블리핑컴퓨터에 의하면 100개가 넘는 미국과 유럽의 단체들이 정보 탈취 멀웨어의 공격에 시달리고 있다고 한다. 최근 극성을 부리고 있는 문제의 멀웨어는 스트렐라스틸러(StrelaStealer)라고 하며, 이미 100개가 넘는 조직들에서 발견되는 중이다. 주로 이메일 계정의 크리덴셜이 목표가 되고 있다. 피싱 공격을 통해 퍼지는 것이 일반적이며, 지난 해 11월에 폭증했다가 잠잠해지더니 요즘 다시 활발히 나타나고 있다. 하루에 500개 넘는 조직에서 공격 시도가 나타나기도 한다. 하이테크 관련 단체들이 주로 공격을 받고 있는 것으로 집계됐다.

배경 : 스트렐라스틸러는 2022년 11월에 처음 세상에 알려졌다. 당시에는 주로 스페인의 조직들이 공격 대상이었다. 그 때는 보안 업체 팔로알토네트웍스(Palo Alto Networks)가 발견해 공개했고, 이 공격이 최근 들어 유럽과 미국으로까지 퍼졌다는 사실도 최근 팔로알토가 알아냈다고 한다. 예전에는 악성 ISO 파일이 공격에 주로 활용됐다면 최근에는 ZIP 파일이 조금 더 선호되는 듯 하다고 한다. 이메일로 들어오는 악성 ISO 및 ZIP 파일에 유의해야 한다.

말말말 : “이메일 로그인 정보를 훔쳐낸다는 점에서 스트렐라스틸러는 바뀐 게 업습니다. 이메일 로그인 정보를 세심하게 보호해야 할 것입니다.” -블리핑컴퓨터-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711397099999 http://board.snu.ac.kr/apiboard/127/11711397099999 Tue, 26 Mar 2024 11:20:49 +0900
<![CDATA[독일 경찰, 국제 공조로 다크웹의 네메시스마켓 폐쇄시켜]]> http://board.snu.ac.kr/apiboard/127/11711397153031 [출처 : 보안뉴스]

요약 : 보안 외신 시큐리티위크에 의하면 최근 독일 당국이 온라인 마약 거래상과 불법 데이터 유통망, 사이버 범죄 대행 서비스를 폐쇄시키는 데 성공했다고 한다. 이런 불법 및 악성 물품과 서비스가 거래되던 곳은 네메시스마켓(Nemesis Market)이라는 다크웹 시장이며, 독일과 리투아니아 경찰이 공조하여 인프라를 압수하는 데 성공했다. 수사에는 미국의 FBI와 마약단속국이 협조했다. 이 과정에서 10만 달러가 넘는 암호화폐를 압수하기도 했다.

배경 : 네메시스마켓은 2021년 처음 개설됐으며 현재까지 15만 명이 넘게 가입 및 활동해 오고 있다. 서비스를 이용하는 사람보다 판매하는 사람이 보통은 더 문제인데, 판매자 계정은 1100개 정도 존재해 있던 것으로 알려져 있다. 이 중 20%가 독일에 위치하고 있었다고 한다. 독일 당국은 이 계정 정보를 가지고 판매자와 구매자를 추가로 추적할 계획이라고 발표했다.

말말말 : “마약과 같은 불법 아이템이 공공연하게 거래되고, 각종 불법 서비스 대행 계약이 맺어지던 곳입니다. 이런 시장들이 있어 사이버 범죄가 활성화 된다고 봐도 무방합니다.” -독일 경찰-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711397153031 http://board.snu.ac.kr/apiboard/127/11711397153031 Tue, 26 Mar 2024 11:20:43 +0900
<![CDATA[북한 킴수키, CHM 파일을 공격에 활용하기 시작해]]> http://board.snu.ac.kr/apiboard/127/11711397206657 [출처 : 보안뉴스]

요약 : 보안 외신 해커뉴스에 의하면 북한의 해킹 그룹인 킴수키(Kimsuky)가 최근 공격 전략을 바꾼 것으로 보인다고 한다. 컴파일된 HTML 헬프 파일(CHM)을 활용하는 것으로, 보안 업체 라피드7(Rapid7)이 이러한 내용을 추적하여 발표했다. 이 캠페인의 목적은 민감한 정보를 수집하는 것으로 분석됐다. 공격은 처음 MS 문서나 ISO 파일, 혹은 LNK 파일을 통해 시작되는데, 최근 들어 CHM 파일이 섞여드는 사례가 부쩍 늘어났다고 한다. 아직 캠페인은 진행 중이며 추적 역시 진행 중이라 정확한 피해 규모에 대한 집계는 나오지 않았다. 다만 대다수 한국의 조직들이 피해를 입고 있다고 한다.

배경 : CHM 파일은 원래 ‘도움말’과 관련된 문건들을 지원하는 형태의 파일이다. 하지만 자바스크립트 실행 기능을 갖추고 있기 때문에 악의적으로 활용되는 사례들이 종종 나타난다. 킴수키는 원래 한국의 조직들을 공격하는 것으로 악명이 높았던 북한의 조직이다. 가끔 미국의 기업이나 기관들이 공격을 받기도 한다.

말말말 : “현재 킴수키는 CHM을 활용하는 전략을 계속해서 가다듬고 있는 것으로 보입니다. 즉 이번 캠페인은 아직 진화 중이라는 이야기입니다.” -라피드7-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711397206657 http://board.snu.ac.kr/apiboard/127/11711397206657 Tue, 26 Mar 2024 11:20:37 +0900
<![CDATA[경기대, 국가장학금 선발 학생 개인정보 유출... 이름, 주민번호 등 7개 항목]]> http://board.snu.ac.kr/apiboard/127/11711310597317 [출처 : 보안뉴스]

올해 2월 2일 개인정보 유·노출 사실 인지...사과문은 3월 22일에서야 올려
2020~2021년 4개 학기 내 국가장학금 수여 대상자...피해 인원 수는 언급 없어

경기대(총장 이윤규)는 3월 22일 홈페이지에 ‘개인정보 유·노출에 대한 안내 및 사과문’을 올렸다. 경기대는 어제 오후부터 몇몇 온라인 커뮤니티를 통해 개인정보 유출 의심 피해 사례들이 올라오기도 했다.

경기대는 “경기대는 개인정보 보호를 위해 최우선으로 노력해 왔으나, 소중한 국가장학금 선발 학생 개인정보가 불의의 사고고 유·노출된 것으로 확인돼 진심으로 사과의 말씀드린다”고 말했다.

이어 “경기대는 개인정보 유·노출 사실을 2024년 2월 2일 인지, 즉시 포털사이트에 파일 다운로드 중지와 해당 파일의 삭제 조치를 취했고, 현재 학생들의 정보 유·노출에 대한 경위 조사를 고강도로 실시하고 있다”고 설명했다.

현재까지 유출된 개인정보가 외부로 2차 유출된 정황은 확인되지 않고 있다. 현재까지 확인된 개인정보 유·노출 항목은 2020년 1학기~2학기, 2021년 1학기~2학기 국가장학금 수여 대상자의 △한국장학재단 고객번호 △주민등록번호 △성명 △학번 △학과 △학번 △소득분위 관련정보 등 7개 항목이다.


경기대는 “유·노출 사실을 인지한 후 즉시 사고원인을 파악해 해당 시스템에 대한 접근을 전면 차단했다”며 “재발방지로 ‘개인정보 업로드 차단 및 개인정보 필터링 시스템’ 구축을 마쳤다”고 말했다. 이어 “대학은 ‘개인정보 검출 진단 용역(기존정보 검출) 계약’으로 향후 60일간 경기대 구성원의 개인정보가 온라인상에 있는지를 확인하고, 추가 피해를 막기 위한 보안 강화 조치와 기술적 보호조치를 진행하고 있다”고 설명했다.

경기대 측은 문의사항은 총괄대응본부 또는 대학홈페이지 피해접수창구로 연락하면 성실히 안내하고 대응조치 등 도움을 주겠다며 직통 전화번호도 함께 안내했다.

마지막으로 “경기대는 이번 사안의 심각성을 엄중하게 인식하고 있다”며 “개인정보보호 조치 강화 등 내부 관리체계를 개선해 다시는 유사한 사례가 발생하지 않도록 노력하겠다”며 재차 사과의 뜻을 전했다.

한편 이번 경기대 사고와 관련된 한국장학재단은 지난해 6월 25일에 해외 IP 로그인을 통한 해킹으로 이름, 주소, 학자금 대출 자료 등 개인정보 14개 항목이 유출됐을 수 있다고 안내문을 올린 적이 있다. 하지만 경기대 측의 이번 사과문에서는 해당 재단 사고와 이번 사고가 연관된 것인지는 언급하지 않았다.

[김영명 기자(boan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711310597317 http://board.snu.ac.kr/apiboard/127/11711310597317 Mon, 25 Mar 2024 09:11:12 +0900
<![CDATA[국가 사이버안보 핵심 자산 예비 화이트 해커 504명 탄생]]> http://board.snu.ac.kr/apiboard/127/11711310632725 [출처 : 보안뉴스]

차세대보안리더 12기(195명) 및 화이트햇스쿨 1기(309명) 합동인증식 개최

과학기술정보통신부(장관 이종호, 이하 과기정통부) 강도현 제2차관은 22일 세빛섬 플로팅아일랜드 2층 컨벤션홀에서 차세대 보안리더(Best of the Best, 이하 BoB) 12기 및 화이트햇스쿨 1기 합동 인증식에 참석해 우수한 성적을 거둔 수료생에게 인증서를 수여하고 예비 청년 착한 해커(White Hacker)들을 격려했다.

BoB는 지난 2012년 1기 60명을 시작으로 올해 12기까지 총 1,843명의 차세대 보안 리더를 양성했으며, 2023년에는 수료생들이 세계 최고 해킹방어대회인 미국 DEFCON CTF(Capture The Flag)에서 2년 연속 우승하는 등 그 실력을 입증했다.

화이트햇스쿨은 화이트해커 진입 장벽을 낮추고 성장 사다리를 마련하기 위해 지난해부터 새롭게 도입한 교육과정으로, 만 24세 이하 초급 수준의 청년들을 선발해 6개월간 정보보안 입문 교육 프로그램과 기술 멘토링을 제공해 중급 착한 해커로 성장시키는 프로그램이다.

이번 인증식은 BoB와 화이트햇스쿨 수료생에 대한 첫 합동 인증식으로 제12기 BoB 195명과 제1기 화이트햇스쿨 309명에 대한 수료증 수여와 함께 최우수 인재 및 프로젝트팀(그랑프리)을 선정했다. 강도현 차관은 BoB 과정에서 최고 교육성적을 거둔 최우수 인재 10명에게는 ‘Best10 인증서’, 최우수 프로젝트팀으로 선정된 ‘SecuXR’팀에게는 ‘그랑프리 인증서’, 화이트햇스쿨 과정에서 우수한 교육성적을 거둔 상위 20명에게는 ‘Top20 인증서’를 수여했다. 특히 그랑프리로 선정된 팀에게는 정보보안 스타트업 창업을 위한 재정적 지원도 할 예정이다.

강도현 2차관은 “사이버 위협이 지능화, 고도화됨에 따라 사이버보안의 중요성이 그 어느 때보다 커진 상황에서 우수한 화이트해커 양성은 무엇보다 중요한 과제”라면서, “국가 사이버안보의 핵심 전략자산이며 산업의 수호자로 활약할 청년 화이트해커들이 계속해서 성장할 수 있도록 정부가 아낌없이 지원하도록 하겠다”고 밝혔다.

[이소미 기자(boan4@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711310632725 http://board.snu.ac.kr/apiboard/127/11711310632725 Mon, 25 Mar 2024 09:11:04 +0900
<![CDATA[현재 진행되고 있는 폰투온 해킹 대회, 첫 날부터 19개 제로데이 발견돼]]> http://board.snu.ac.kr/apiboard/127/11711310687952 [출처 : 보안뉴스]

요약 : 보안 외신 시큐리티어페어즈에 의하면 현재 캐나다 뱅쿠버에서 중요한 해킹 대회 중 하나인 폰투온(Pwn2Own)이 진행되고 있다고 한다. 대회 첫 날 참가자들은 19개의 제로데이 취약점을 테슬라, 리눅스, 윈도 등에서 발견했으며, 이를 통해 총 73만 달러가 넘는 상금을 획득했다. 현재까지는 사이낵티브(Synactiv)라는 팀이 20만 달러 상금으로 1위를 달리고 있다. 한국의 티오리 팀도 참가했으며, 첫 날 3위로 마무리했다. VM웨어의 워크스테이션을 해킹했다.

배경 : 폰투온은 ‘실천적 해킹 대회’로 알려져 있다. 즉 일반 사용자들이 일상 생활에서 자주 사용하는 물건이나 서비스들이 대회에 주로 출품된다는 뜻이다. 따라서 개념적인 해킹 가능성이나, 전문가 장비에서만 우려되는 것들이 연구되는 게 아니라 일반 사용자들도 위험하게 하는 요소들이 파헤쳐진다. 여기서 나오는 취약점들은 전부 제조사 및 개발사들에 전달되며, 패치가 나온 후에 공개된다.

말말말 : “사이낵티브 팀의 경우 테슬라를 성공적으로 해킹했기 때문에 20만 달러의 상금 외에 테슬라 모델 3도 추가로 받아가게 되었습니다.” -시큐리티어페어즈-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711310687952 http://board.snu.ac.kr/apiboard/127/11711310687952 Mon, 25 Mar 2024 09:10:59 +0900
<![CDATA[호텔 객실 300만 개 이상을 취약하게 만드는 언사플록 취약점]]> http://board.snu.ac.kr/apiboard/127/11711310743022 [출처 : 보안뉴스]

요약 : 보안 외신 블리핑컴퓨터에 의하면 사플록(Saflok)이라는 RFID 기반 문 잠금 장치에서 취약점이 발견됐다고 한다. 호텔에서 주는 카드 키를 가져다 대면 잠금이 풀리는 잠금 장치다. 사플록은 전 세계 1만 3천여 개 호텔에 300만 대 이상 설치되어 있는데, 그렇기 때문에 적잖은 객실들이 위험에 노출되어 있다고 볼 수 있다. 취약점을 익스플로잇 할 경우 잠겨 있는 문도 열고 들어갈 수 있게 된다. 이 취약점에는 언사플록(Unsaflok)이라는 이름이 붙었다. 이를 발견한 보안 전문가들에 의하면 언사플록은 이미 36년 넘게 존재해왔던 오래된 취약점이라고 한다.

배경 : 언사플록 취약점이 발견된 것은 2022년 11월의 일이다. 연구원들은 언사플록의 제조사인 도마카바(Dormakaba)에 이를 알리고, 여러 호텔 측에도 알려 일단 문제가 먼저 해결될 수 있도록 했다. 아직 어느 정도나 잠금 장치 문제가 해결되었는지는 아직 알려지지 않고 있다. 36년 전부터 지금까지 이 취약점이 어떤 식으로 악용되고 어떤 피해를 남겼는지는 알 수가 없다.

말말말 : “언사플록은 여러 취약점의 통칭입니다. 연쇄적으로 익스플로잇 했을 때 효과를 발휘합니다. 그렇다고 익스플로잇이 매우 어려운 건 아닙니다.” -블리핑컴퓨터-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711310743022 http://board.snu.ac.kr/apiboard/127/11711310743022 Mon, 25 Mar 2024 09:10:53 +0900
<![CDATA[미국 하원, 인공지능이 생성한 콘텐츠에 표식 부착하자는 법안 제출]]> http://board.snu.ac.kr/apiboard/127/11711310797720 [출처 : 보안뉴스]

요약 : 보안 외신 시큐리티위크에 의하면 미국 의원들이 새로운 법안을 제출했다고 한다. 인공지능 기술을 활용해 만든 이미지와 오디오, 비디오 콘텐츠들에 ‘인공지능이 생성했다’는 걸 표시하는 마크를 부착하자는 내용을 담고 있다고 한다. 즉 딥페이크라고 불리는 가짜들을 진짜로 오인하지 않도록 안전 장치를 마련하자는 것이다. 현재 하원에 법안이 제출된 상황이며, 민주당과 공화당 의원들 모두가 이 법안 마련에 참여했다. 인공지능을 도입하는 플랫폼들부터 이를 실천해야 한다고 법안은 주장하고 있으며, 어길 시 민사소송 대상자가 된다고 한다. 하원에서 통과되면 상원으로 올라갈 예정이다.

배경 : 딥페이크는 너무나 진짜처럼 보이는 콘텐츠를 순식간에 만들어내는 기술이며, 이미 범죄에 악용된 사례들이 존재한다. 특히 정계에서는 특정 인물의 발언이나 영상이라고 주장되는 가짜 녹음 파일이나 가짜 영상물이 자주 만들어져 전파되기도 한다. 이 때문에 가짜와 진짜를 식별하는 방법들이 여기 저기서 고안되고 있으나, 아직까지 이렇다 할 기술이 나오지는 않았다. 가짜뉴스가 심각한 사회 문제로 여겨지고 있는 상황에서 딥페이크 기술이 빠르게 발전하고 있어 우려가 되고 있다.

말말말 : “딥페이크의 악용 사례는 이미 수없이 많습니다. 그 위험성은 더 이상 입증하지 않아도 될 정도입니다. 이제 누구라도 딥페이크 콘텐츠를 접할 때, 특별한 노력을 하지 않아도 그것이 딥페이크인지 아닌지를 고지받아야 합니다.” -안나 에슈(Anna Eshoo), 미국 하원 의원-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711310797720 http://board.snu.ac.kr/apiboard/127/11711310797720 Mon, 25 Mar 2024 09:10:47 +0900
<![CDATA[법률 업체를 사칭하는 공격자들, 다국어로 피싱 메일 흩뿌리는 중]]> http://board.snu.ac.kr/apiboard/127/11711051397238 [출처 : 보안뉴스]

법조인들에 대한 막연한 신뢰감을 악용하려는 공격 캠페인이 발견됐다. 이들은 순식간에 치고 빠져, 최대한의 효과를 누리고 있다. 게다가 인공지능 기술까지도 적극 활용하는 모양새다. 주의가 필요하다.

로펌을 사칭한 사이버 범죄자들이 여러 기업들을 속이는 데 성공했다. 속은 기업들은 최초 접근용 멀웨어를 다운로드 받았고, 공격자들은 이 멀웨어를 통해 추가 공격을 이어갔다. 이를 추적한 보안 업체 블루보얀트(BlueVoyant)는 공격자들을 나르왈스파이더(Narwhal Spider)라고 부르고 있다. 하지만 다른 업체들은 TA544나 스톰0302(Storm-0302) 등으로도 부른다. 보안 업계에서는 잘 알려진 조직이다.

약 2주 전인 3월 7일 나르왈스파이더는 대규모 피싱 공격을 실시했다. 법률 회사의 인보이스처럼 꾸며진 PDF 파일 안에 멀웨어를 숨기고 대량으로 퍼트린 것이다. 블루보얀트의 수석 보안 연구원인 조슈아 그린(Joshua Green)은 “이들은 빠른 시간 안에 치고 빠지는 전략을 잘 구사한다”고 평가한다. “인프라를 구성하고 피싱 메일을 최대한 빠르고 광범위하게 퍼트린 후 인프라까지 다 접어버립니다. 그리고 다음 공격을 처음부터 실시하죠.”

가짜 인보이스
현재 나르왈스파이더의 모든 피싱 공격은 악성 PDF 파일로부터 시작된다. 법률 서비스에 대한d 인보이스처럼 보이게 꾸며진 문건이다. 파일 이름은 보통 ‘Invoice_번호_from_법률 회사 이름.pdf’와 같은 구조로 되어 있다. 얼른 보면 속기 쉬운 형태로 구성되어 있는 것이다. 또한 여러 가지 언어로 이 인보이스가 발견되고 있기도 하다.

“식상할 수 있는 공격 수법입니다만, 안정적인 성공률을 보이는 수법이라 아직도 공격자들 사이에서 사랑받는 것입니다. 게다가 일반인들은 법률 서비스의 인보이스를 받아볼 상황이 흔치 않습니다. 그래서 법률 회사의 인보이스 내용이 궁금할 수 있습니다. 그 궁금증을 못 이겨 열어보는 사례도 꽤 될 것으로 보입니다.”

공격자들은 다양한 워드프레스 사이트들을 C&C 목적으로 활용하고 있기도 하다. 이 중에는 지난 해 보안 업체 프루프포인트(Proofpoint)가 발견한 다운로더인 위키로더(WikiLoader)와 관련이 있는 사이트도 포함되어 있었다. 하지만 이번에 나르왈스파이더는 위키로더가 아니라 렘코스랫(Remcos RAT)과 시스템비씨랫(SystemBC RAT), 고지(Gozi) 등을 주로 활용하고 있다. 최근에는 아이스드아이디(IcedID)를 활용하려는 흔적도 나타나고 있으나 아직 확실하지는 않다.

방어를 위해 조직들이 해야 하는 일
과거 나르왈스파이더는 주로 이탈리아의 조직들을 공격해 왔다. 하지만 작년 말부터 이탈리아 외의 지역에서도 공격을 진행하고 있는 모습이 발견되기 시작했다. 그렇기 때문에 이제는 어떤 나라라도 나르왈스파이더의 공격에 대비해야 한다고 그린은 강조한다. “실제로 3월 7일에 발생한 공격의 경우 캐나다와 유럽의 조직들이 주요 표적이었던 것으로 분석되고 있습니다.”

이들의 활동 범위가 확대된 데에는 인공지능의 역할이 컸던 것으로 분석되고 있다. 이탈리어만이 아니라 다양한 언어들로 공격을 구사하고 있는데, 인공지능의 번역 기능을 적극 활용한 것으로 밝혀지기도 했다. 그래서 그린은 “수상한 법률 회사의 메일과 파일을 받았을 경우, 번역체를 잘 살피라”고 귀띔한다. “예전에 비해서 인공지능의 번역 기능이 발전하긴 했지만, 아무리 그래도 사람이 직접 메일을 작성하는 것과는 다릅니다. 이런 문서가 돌아다니고 있으니 주의하라고 직원들을 교육하는 것도 중요합니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트

[국제부 문정후 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711051397238 http://board.snu.ac.kr/apiboard/127/11711051397238 Fri, 22 Mar 2024 09:41:47 +0900
<![CDATA[한국환경공단, 탄소중립포인트제 참여자... 해킹으로 개인정보 유출 의심]]> http://board.snu.ac.kr/apiboard/127/11711051433036 [출처 : 보안뉴스]

2월 26일부터 참여자 모집 중...이름, 차량 등록지 주소, 차량번호 등 5개 항목 유출 가능성

한국환경공단에서 진행하는 ‘자동차 탄소중립포인트제’ 참여자 모집과정에서 최근 해킹으로 인한 개인정보 유출이 의심된다고 ‘탄소중립포인트자동차’ 홈페이지 공지사항을 통해 밝혔다.

한국환경공단은 앞서 2월 26일부터 2024년 자동차 탄소중립포인트제 참여자를 모집해 왔다. 공단은 “참여자 모집 과정에서 외부 해킹에 의한 개인정보 유출이 의심되고 있다”며 “공단은 유출 의심을 인지한 즉시 불법 접속경로를 차단 및 취약점 보완 조치를 취했다”고 밝혔다. 이어 “관련 기관과의 협조를 통해 정확한 경위와 규모 등을 조사 중”이라며, “유출이 의심되는 항목은 차량 소유주 이름, 차량 등록지 주소, 차량번호, 차대번호, 차량관리정보 등 총 5개 항목”이라고 설명했다.

공단 측은 그동안 탄소중립포인트자동차 홈페이지를 운영하며 △정보보호 시스템 운영 △보안 취약점 점검 △모의해킹 훈련 등 개인정보 보호 및 보안에 만전을 기해왔음에도 불구하고 이번 침해사고가 발생한 점에 대해 깊이 사과한다고 밝혔다. 이어 유출 가능성이 있는 개인정보를 이용한 광고물 수신 등 2차 피해 가능성에 주의할 것을 당부하면서, 개인정보 악용으로 의심되는 피해가 발생하거나 관련 문의사항이 있을 경우 담당부서로 연락해 줄 것을 안내했다.

공단은 “이번 침해사고에 대해 다시 한번 사과의 말씀을 드리며, 개인정보 보호조치, 내부통제 시스템 강화, 임직원 교육 등을 한층 더 강화해 이와 유사한 사례가 발생하지 않도록 최선의 노력을 다하겠다”며 재차 고개를 숙였다.

[김영명 기자(boan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711051433036 http://board.snu.ac.kr/apiboard/127/11711051433036 Fri, 22 Mar 2024 09:41:40 +0900
<![CDATA[OT 겨냥한 사이버 공격 때문에 운영 중단하는 기업이 25%]]> http://board.snu.ac.kr/apiboard/127/11711051487160 [출처 : 보안뉴스]

요약 : 보안 외신 시큐리티위크에 의하면 OT 운영 업체들 중 사이버 공격 때문에 운영을 중단하게 된 곳이 1/4에 달한다고 한다. 이는 보안 업체 팔로알토네트웍스(Palo Alto Networks)가 조사한 내용으로, 1/4이라는 것은 아메리카, 유럽, 아태지역 내 16개국에서 보편적으로 나타나고 있는 현상이라고 한다. 1/4이 운영을 중단했다는 건, OT 공격의 성공률이 낮지 않다는 것을 의미한다. 공격 빈도도 낮지 않아 이틀에 한 번꼴로 공격 시도를 발견한다는 기업이 8%, 매일 발견한다는 기업이 4%, 하루에 두 번 이상 발견한다는 기업이 2%였다.

배경 : IT와 OT의 융합으로 OT 관리와 운영은 매우 편리해졌고, 혁신에도 가속화가 발견되고 있다. 하지만 IT 환경에서만 발견됐던 위협들이 OT에서 발견되고 있다는 단점도 나타나고 있다. 그런데다가 지정학적 위기가 고조되면서 사회 기반 시설들에 대한 공격이 늘어나고 있어 OT 보안은 더욱 중요한 화두로 자리를 잡았다. 하지만 잘 되지 않고 있는 게 현 상황이다.

말말말 : “OT의 사이버 보안 문제는 매우 심각하지만 예산 배정은 아직 활성화 되지 않고 있습니다. 또한 OT 환경에 보안 실천 사항을 도입한다는 것에도 적잖은 거부감을 사용자들이 드러냅니다. 아직 갈 길이 남아 있습니다.” -시큐리티위크-

[문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711051487160 http://board.snu.ac.kr/apiboard/127/11711051487160 Fri, 22 Mar 2024 09:41:34 +0900
<![CDATA[우크라이나 당국, 1억 건 계정 훔쳐 판매한 해커들 체포]]> http://board.snu.ac.kr/apiboard/127/11711051541384 [출처 : 보안뉴스]

요약 : 보안 외신 핵리드에 의하면 우크라이나 당국이 1억 개 이상의 이메일 및 인스타그램 계정을 판매하던 해킹 조직을 와해시키고 주요 일당들을 체포하는 데 성공했다고 한다. 체포된 인원은 총 세 명이며, 주로 브루트포스 공격을 활용해 계정들을 탈취한 것으로 추정되고 있다. 이들은 이런 식으로 훔친 계정과 비밀번호를 다크웹에서 적극 판매하고 있었다고 한다. 체포 과정에서 70대의 컴퓨터, 14대의 모바일 장비, 은행 카드 등 3천 달러가 넘는 자산을 압수하기도 했다. 세 명의 연령대는 20대부터 40대로 다양했다.

배경 : 우크라이나는 현재 러시아와의 전쟁을 치르고 있긴 하지만 내부 상황도 평온하지 않다. 유럽연합과 NATO에 가입하기 위해 부정 부패와의 전쟁을 치르고 있으며, 전쟁 전부터 계속해서 기승을 부리는 해커들과의 싸움도 끝나지 않고 있기 때문이다. 전쟁 전에는 우크라이나 해커들과 러시아 해커들은 교류를 활발히 했었다. 우크라이나는 ‘작은 러시아’라고 불릴 정도로 해커들이 많았다.

말말말 : “아직 범인들의 기존 범죄 행각이 다 조사된 것은 아닙니다. 이제 체포했으니 더 심도 깊은 조사를 진행함으로써 피해 규모를 파악할 예정입니다.” -우크라이나 경찰-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711051541384 http://board.snu.ac.kr/apiboard/127/11711051541384 Fri, 22 Mar 2024 09:41:27 +0900
<![CDATA[아틀라시안 뱀부에서 10점 만점짜리 초고위험도 취약점 패치돼]]> http://board.snu.ac.kr/apiboard/127/11711051596130 [출처 : 보안뉴스]

요약 : 보안 블로그 시큐리티어페어즈에 의하면 아틀라시안의 뱀부(Bamboo) 데이터센터 및 서버 제품에서 초고위험도 취약점이 발견됐다고 한다. 이 취약점은 CVE-2024-1597로 CVSS 기준 10점 만점에 10점을 받았다. 일종의 SQL 주입 취약점으로, 공격에 성공할 경우 공격자는 뱀부 데이터센터의 디펜던시에 영향을 주고, 기밀을 노출시킬 수 있게 된다. 8.2.1 이후에 출시된 여러 버전들에 영향을 준다고 한다. 아틀라시안 측은 최대한 빠르게 패치를 적용해야 한다고 사용자들에게 알리고 있다. 그 외에 CVE-2024-21634라는 디도스 공격 취약점도 같이 패치됐다.

배경 : 뱀부 외에도 빗버켓(BitBucket), 컨플루언스(Confluence), 지라(Jira)와 같은 제품들에서도 여러 취약점들이 발견됐고, 아틀라시안은 이참에 이 취약점들 모두를 패치했다. 아틀라시안의 제품들은 기업 환경에서 널리 사용되고 있으며, 그렇기에 기업의 지적재산 등 각종 민감 정보를 처리하고 저장한다. 그래서 공격자들의 관심이 높은 편이다. 컨플루언스 제품의 취약점들은 최대한 빠르게 패치하는 것이 알맞다.

말말말 : “이번에 발견된 취약점은 중요 기밀을 노출시킨다는 치명적 약점을 가지고 있습니다. 정보를 보호해야하는 기업 입장에서는 최대한 빠르게 패치를 적용하는 게 좋습니다.”

[문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11711051596130 http://board.snu.ac.kr/apiboard/127/11711051596130 Fri, 22 Mar 2024 09:41:20 +0900
<![CDATA[파일 전송 프로그램 파일카탈리스트의 취약점 익스플로잇 코드 공개돼]]> http://board.snu.ac.kr/apiboard/127/11710965379636 [출처 : 보안뉴스]

요약 : 보안 블로그 시큐리티어페어즈에 의하면 포트라 파일카탈리스트(FileCatalyst)라는 파일 전송 도구에서 발견된 초고위험도 취약점의 익스플로잇 코드가 공개됐다고 한다. 문제의 취약점은 CVE-2024-25153으로 CVSS 기준 9.8점을 받았을 정도로 심각한 것이다. 원격에서 익스플로잇에 성공한 공격자는 임의의 코드를 피해자 서버에서 실행시킬 수 있게 된다. 개발사인 포트라(Fortra)는 이미 패치를 개발해 배포하고 있다. 취약점이 포트라 측에 제일 먼저 제보된 건 2028년 8월이라고 한다. 5.1.6 버전으로 올리면 문제가 해결된다.

배경 : 개념증명용 코드는 해당 취약점을 제일 먼저 발견해 포트라에 알린 네티튜드(Nettitude)라는 기업에서 공개했다. 패치가 나오고서 어느 정도 시일이 지나면(즉 패치 적용이 충분히 됐다고 판단되면) 취약점에 대한 상세 내용이 공개되는 것이 보통이다. 문제는 이 충분한 시일이 지나도록 패치를 적용하지 않고 있을 때 개념증명용 코드를 응용한 공격자들의 공격에 당할 수 있다는 것이다. 이 때문에 개념증명 코드 공개 시기는 상당히 민감한 주제가 된다.

말말말 : “이번 취약점은 일종의 경로 변경 취약점으로, 공격자들이 악용하려 했을 때 대단히 위험할 수 있습니다. 조속한 패치가 요구됩니다.” -포트라-

[국제부 문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710965379636 http://board.snu.ac.kr/apiboard/127/11710965379636 Thu, 21 Mar 2024 13:32:53 +0900
<![CDATA[북한의 킴수키, 공격을 단계별로 쪼개는 전법 활용해 한국 단체들 노려]]> http://board.snu.ac.kr/apiboard/127/11710965151621 [출처 : 보안뉴스]

킴수키가 배후에 있는 것으로 보이는 북한발 공격이 발견됐다. 탐지를 어떻게든 피하고자 했던 공격자들의 의도가 생생히 드러난다. 네트워크 탐지 도구로만은 이들을 막을 수 없다고 한다.

북한의 해킹 그룹인 킴수키(Kimsuky)가 무려 8단계로 구성된 다단계 공격을 구사하여 한국 단체들을 공략하고 있다는 소식이 해외에서 날아들었다. 킴수키가 진행하고 있는 공격 캠페인의 이름은 딥고수(DEEP#GOSU)라고 한다. 이들의 악성 행위에 대하여 보안 업체 시큐로닉스(Securonix)가 조사해 발표했다.

다단계로 구성된 공격을 실시하는 건 요즘 해커들 사이에서는 그리 대단한 일이 아니다. 하지만 일반적으로는 많아 봐야 5단계 이하로 공격 체인을 구성하는 게 보통이다. 시큐로닉스의 부회장인 올렉 콜레스니코프(Oleg Kolesnikov)는 “이렇게까지 공격 체인을 길게 늘어트리는 건 탐지되지 않기 위해서”라고 말한다.

“공격 체인이 긴만큼 다양한 요소들과 페이로드들이 연류됩니다. 각 단계의 페이로드들은 잘 탐지되는 것도 있고 그렇지 않은 것도 있는 등 다양합니다. 하지만 잘 발견되니 마니 하는 것은 이번 캠페인과 크게 상관이 없습니다. 공격자들이 보안 도구들을 무력화시키거나 프로세스에 페이로드를 은밀히 주입하는 등 탐지가 되지 않는 방법들을 동원하기 때문입니다. 탐지 회피에 얼마나 많은 노력을 기울였는지를 알 수 있습니다.”

킴수키는 APT43이나 에머랄드슬리트(Emerald Sleet), 벨벳천리마(Velvet Chollima) 등의 이름으로도 알려진 해킹 단체로, 2023년 매우 활발하게 활동했다. 스피어피싱을 능숙하게 구사하는 것으로 유명하지만 전체적으로 고도의 기술력을 가지고 있는 것으로 보이지는 않았다. 그러다가 이번에 8단계의 공격 체인이 발견된 것으로 시큐로닉스는 “킴수키가 그 동안 알려져 왔던 것보다 크게 발전한 것으로 보인다”고 평가한다.

“이번 캠페인에 활용되는 페이로드들은 윈도 환경에서 대부분 조용히, 발각되지 않은 채 공격자들이 원하는 것들을 실행합니다. 공격자들의 페이로드 활용 능력이 크게 업그레이드 됐음을 엿볼 수 있습니다. 특히 네트워크 모니터링 기술들은 이 딥고수 캠페인을 잘 막지 못하는 것으로 나타났습니다. 공격의 각 단계는 AES로 암호화 되어 있으며, 비밀번호까지 설정되어 있습니다. 이 때문에 단순 파일 및 네트워크 모니터링 기술로는 알아챌 수가 없습니다.”

드롭박스와 구글 클라우드까지 활용
공격의 첫 단계는 스피어피싱 메일이다. 여기에는 LNK 파일이 하나 첨부되어 있다. LNK 파일이지만 PDF처럼 보인다. 피해자가 문건인 줄 알고 열면 파워셸 코드가 하나 다운로드 되는데, 출처는 드롭박스다. 이 파워셸 코드가 실행되면서 두 번째 단계 공격이 시작된다. 여기서는 드롭박스에 저장되어 있던 또 다른 스크립트들이 추가로 다운로드 된다. 그 다음으로는 텃클라이언트(TutClient)라는 원격 접근 트로이목마가 설치되는데, 이것이 3단계다.

이렇게 인기 높은 클라우드 서비스를 여러 번 이용하는 건 탐지를 효과적으로 회피하기 위해서라고 시큐로닉스는 설명한다. “모든 C&C 통신이 드롭박스 같은 정상 서비스들을 거치니 적어도 네트워크 모니터링 도구로는 비정상임을 탐지하기가 어렵습니다. 아니, 오리혀 정상 트래픽과 똑같아 보이죠. 이런 식으로 페이로드들을 가져다 심으니 탐지도 되지 않을 뿐더러, 공격자가 페이로드를 업데이트 하는 등 관리하기도 쉬워집니다.”

그 다음 4단계에서는 무작위로 실행되는 스크립트 하나가 설치된다. 수시간에 한 번씩 주기 없이 실행되어 공격자가 피해자의 시스템을 모니터링 하고 제어할 수 있게 해 준다. 그런 다음에는 키스트로크를 로깅하고, 그 정보를 공격자에게 보내는 행위를 이어간다. 그런 행위들이 8단계까지 반복되고 이어진다.

다단계 공격은 다단계 방어로 대처
위에서 언급했지만 페이로드 자체만으로 보면 탐지가 잘 되는 것(45%)도 있지만 잘 되지 않는 것(5%)도 있다. 문제는 그 페이로드를 유포하고 심는 방법이 교묘하다는 것이다. 그리고 여러 단계에 걸쳐 교묘히 나눠져 있기 때문에 탐지가 대단히 어렵다. 시큐로닉스는 “네트워크 탐지 도구에 대한 의존도가 높은 조직이라면 이 공격을 미리 파악해 방어하는 게 쉽지 않을 것”이라고 경고한다.

콜레스니코프는 “캠페인을 쪼개면 쪼갤수록 발각될 확률이 낮아진다는 건 이제 모두가 아는 상식”이라며 “앞으로 이를 이용해 더 잘게 공격을 쪼개는 시도들이 늘어날 것”이라고 예측한다. “원래 APT들이 한 번 트렌드를 선도하면 나머지 사이버 범죄자들이 그것을 쫓아갑니다. 다단계 공격이라는 것도 원래 APT들의 전유물 같은 거였습니다만 이제는 모두가 하고 있죠. 4~5단계에 걸친 유행이 이런 8단계 캠페인을 거쳐 바뀔 가능성이 낮지 않습니다.”

그렇기 때문에 시큐로닉스는 다단계 방어 장치를 마련해야 한다고 주장한다. “네트워크 모니터링 장치들도 당연히 유지해야 합니다만 페이로드 스캔 도구, 취약점 탐지 도구, 이메일 첨부파일 검사 도구 등을 다양하게 갖추는 게 좋습니다. 이메일 보안 도구의 경우 이번 캠페인을 무력화시킬 가능성이 높습니다. 왜냐하면 킴수키가 첨부하는 파일이 2.2MB라는, 꽤나 큰 용량을 자랑하기 때문입니다.”

3줄 요약
1. 북한의 킴수키, 8단계에 걸친 공격으로 한국 단체들 노리기 시작.
2. 사용되는 페이로드와 공격 도구 다양한데, 탐지 되지 않게끔 활용하고 있음.
3. 네트워크 탐지 도구만으로는 이들을 막을 수 없음.

[국제부 문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710965151621 http://board.snu.ac.kr/apiboard/127/11710965151621 Thu, 21 Mar 2024 13:32:42 +0900
<![CDATA[메타에서 행해진 불법 마약 거래, 메타의 책임은 어느 정도인가?]]> http://board.snu.ac.kr/apiboard/127/11710964912203 [출처 : 보안뉴스]

요약 : 보안 외신 사이버뉴스에 의하면 불법 약품 거래에 메타라는 플랫폼이 어느 정도의 역할을 한 것인지 미국 사법부가 수사를 시작했다고 한다. 미국 식약청까지도 수사에 참여하고 있다. 마약류가 페이스북, 인스타그램, 왓츠앱과 같은 플랫폼을 통해 유통된 사실이 발견됐기 때문이다. 메타는 이러한 행위가 약관 위반이기 때문에 자신들도 적극 수사에 협조할 것이라고 밝혔다. 미국은 각종 중독성 약물이 너무나 빠르게 퍼지고 있어 사회적 문제가 되고 있으며, 이 때문에 마약 관련 사건에 빠르게 반응한다.

배경 : 메타가 마약 유통을 적극 권장했으리라고 보는 사람은 아무도 없다. 다만 그러한 행위가 플랫폼에서 이뤄지고 있는 것을 어느 정도나 알고 있었으며, 어떤 조치를 취했는지가 쟁점이다. 소셜미디어 플랫폼이 사용자 콘텐츠에 대해 어느 정도의 중재 권한을 가지고 있는지는 아직 결론이 나지 않은 문제인데, 그 콘텐츠가 명확히 불법적인 것이라면 소셜미디어 플랫폼이 적극 나서서 차단해야 한다는 게 일반적인 의견이다.

말말말 : “현재 미국 사회에서 벌어지고 있는 마약 확산 사태는 보건과 국가 안보에 커다란 위협이 되고 있으며, 미국 정부는 물론 사회 각 구성원의 적극적인 대처를 필요로 합니다.” -메타-

[문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710964912203 http://board.snu.ac.kr/apiboard/127/11710964912203 Thu, 21 Mar 2024 13:32:11 +0900
<![CDATA[애시드포어, 러시아가 새롭게 만든 와이퍼 멀웨어일까?]]> http://board.snu.ac.kr/apiboard/127/11710965072127 [출처 : 보안뉴스]

요약 : 보안 블로그 시큐리티어페어즈에 의하면 새로운 와이퍼 멀웨어가 등장해 리눅스 X86 기반 시스템들을 공격하고 있다고 한다. 이 와이퍼의 이름은 애시드포어(AcidPour)이며, 기존에 발견됐던 와이퍼 멀웨어인 애시드레인(AcidRain)의 변종이다. 보안 업체 센티넬원(SentinelOne)에서 발견한 것으로, 애시드포어는 이름 그대로 피해자의 시스템에 침투해 파일들을 삭제하는 공격을 수행하고 있다고 한다. 특히 모뎀과 라우터 장비에서 피해가 큰 것으로 집계됐다.

배경 : 애시드레인의 경우 러시아가 이전에 사용했던 와이퍼 멀웨어인 VPN필터(VPNFilter)와 여러 가지 측면에서 비슷한 모습을 선보인다. 이 때문에 애시드레인도 러시아의 멀웨어라는 의심을 받고 있고, 그 애시드레인의 변종인 애시드포어 역시 러시아의 것 아니냐는 추정이 나오고 있는 상황이다. 만약 그렇다면 이것은 러-우 전쟁 시작 이후 7번째로 발견된 러시아산 와이퍼 멀웨어다.

말말말 : “애시드포어의 최초 샘플은 우크라이나에서부터 업로드 됐습니다. 누군가 우크라이나를 겨냥해 이 최신 와이퍼 멀웨어를 활용한 것으로 추정되는 이유이고, 그렇기 때문에 다시 한 번 러시아를 의심해볼 수 있습니다.” -센티넬원-

[국제부 문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710965072127 http://board.snu.ac.kr/apiboard/127/11710965072127 Thu, 21 Mar 2024 13:31:29 +0900
<![CDATA[인터넷 트래픽의 대부분을 차지하는 API, 공격자들이 악용]]> http://board.snu.ac.kr/apiboard/127/11710964965860 [출처 : 보안뉴스]

요약 : 보안 외신 해커뉴스에 의하면 API가 총 인터넷 트래픽에서 차지하는 비중이 높고, 이를 공격자들이 적극 활용하는 중이라고 한다. 보안 업에 임퍼바(Imperva)가 조사한 결과를 인용한 것으로, 여기에 따르면 2023년 인터넷 트래픽의 73%가 API 호출과 관련이 있었다고 한다. 기업 사이트의 경우 2023년 한 해 동안 평균 15억 회의 API 호출을 기록했다고 나온다. API가 디지털 전환의 핵심 요소라는 사실이 여실히 드러나는 것으로, 공격자들 역시 이 점에 착안해 API 엔드포인트들을 공략하는 방법을 계속해서 개발하고 있다. 그 중 가장 많이 사용되는 전략은 ‘계정 장악’으로, API 인증 단계를 침해함으로써 API와 관련된 계정을 가져가는 것이다. 2023년 한 해 동안 발생한 모든 계정 장악 공격 중 45.8%가 API 엔드포인트를 노린 것이었다.

배경 : API는 디지털 전환에 있어 핵심 요소다. 특정 기능을 자유롭게 가져다 쓸 수 있게 해주는 것으로, 개발자들이 앱을 개발할 때 필요한 모든 기능을 하나하나 다 코딩해서 넣지 않아도 되도록 해주기 때문이다. 이 때문에 앱 개발이 활성화되고 속도도 빨라지며, 따라서 혁신도 가속화된다. 하지만 이런 API에 대한 보안은 그리 높은 수준으로 유지되지 않는 게 보통이다.

말말말 : “API도 데이터 보호하듯 보호해야 합니다. 민감한 것들이 무엇이며 어떻게 어떤 목적으로 활용되고 있는지 하나하나 추적해 관리해야 하지요. 앞으로 API는 더 널리 사용될 것인데, 지금부터 API 보안 개념을 확립시키고 전파해야 합니다.” -임퍼바-

[국제부 문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710964965860 http://board.snu.ac.kr/apiboard/127/11710964965860 Thu, 21 Mar 2024 13:31:18 +0900
<![CDATA[북한의 킴수키, 딥고수라는 캠페인 통해 백도어 퍼트리고 있어]]> http://board.snu.ac.kr/apiboard/127/11710878832868 [출처 : 보안뉴스]

요약 : 보안 외신 해커뉴스에 의하면 윈도 사용자들을 노리는 멀웨어 확산 캠페인이 새롭게 진행되는 중이라고 한다. 딥고수(DEEP#GOSU)라고 불리는 캠페인을 통해 백도어 멀웨어가 퍼지고 있다고 하는데, 배후에는 킴수키라는 북한의 유명 해킹 조직이 있는 것으로 분석됐다. 이 멀웨어는 파워셸과 VB스크립트를 기반으로 하고 있으며, 키로깅과 클립보드 모니터링, 페이로드 실행과 데이터 유출 등의 기능을 가지고 있다. 즉 피해자를 정찰하고 정보를 수집하는 데 사용되는 멀웨어라는 뜻이다. 드롭박스나 구글독스와 같은 정상적인 서비스들이 공격에 활용되고 있어 속기에 쉽다고 한다. 아직 피해 규모나 상황에 대해서는 정확하게 공개되지 않고 있지만 킴수키의 주요 표적 중에는 한국이 포함되어 있다.

배경 : 공격의 시작은 악성 파일이 첨부되어 있는 메일이다. 주로 .lnk 파일이 포함되어 있지만 PDF 문서인 것처럼 위장되어 있다. 이를 다운로드 받아 실행할 경우 파워셸 스크립트가 실행되며 드롭박스에서 .NET 파일이 다운로드 된다. 이 파일의 정체는 트루랫(TruRat)이라는 백도어이며, 킴수키가 과거에도 종종 사용했던 멀웨어다.

말말말 : “북한의 공격자들은 최신 공격 기술과 전략을 모두 활용하고 있습니다. 클라우드 활용에서부터 파워셸을 곁들인 다단계 공격 체인 등 이들의 발전 속도가 놀랍도록 빠릅니다.” -해커뉴스-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710878832868 http://board.snu.ac.kr/apiboard/127/11710878832868 Wed, 20 Mar 2024 09:18:27 +0900
<![CDATA[중국의 APT 조직, 23개국 70개 조직 침투해 이메일 수거]]> http://board.snu.ac.kr/apiboard/127/11710878887431 [출처 : 보안뉴스]

요약 : 보안 외신 블리핑컴퓨터에 의하면 중국의 해킹 단체인 어스크라항(Earth Krahang)이 23개국 70개 조직을 침해했다고 한다. 보안 업체 트렌드마이크로(Trend Micro)가 이들의 이번 캠페인을 추적하고 있는데, 어스크라항의 표적이 된 조직의 수는 원래 116개로 절반 이상의 공격 성공률을 보여주고 있다는 것에 주목해야 한다는 경고를 발표하기도 했다. 캠페인은 최소 2022년 초부터 시작된 것으로 보이며, 주로 외교와 관련된 단체들에서 피해가 발생한 것으로 집계됐다. 인터넷에 연결된 서버들의 취약점을 공략하거나 직원들에게 스피어피싱 메일을 보내는 식의 전술을 자주 구사한다.

배경 : 어스크라항이 이번 캠페인에서 주로 익스플로잇 한 취약점은 CVE-2023-32315(Openfire)와 CVE-2022-21587(Control Web Panel)이다. 익스플로잇 후에는 웹셸을 심어 계속해서 피해자의 시스템에 침투할 수 있게 만든다. 익스플로잇이 통하지 않을 때나 어려울 때는 외교 관련 내용의 피싱 이메일을 보내 직원들을 개별적으로 공략하기도 했다.

말말말 : “이들은 여러 정부 기관의 주요 메일함에 침투해 수많은 메일들을 다운로드 받은 것으로 파악되고 있습니다. 어떤 경우 한 피해 조직에서 796개의 이메일 주소를 가져가 공격에 활용하기도 했습니다.” -트렌드마이크로-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710878887431 http://board.snu.ac.kr/apiboard/127/11710878887431 Wed, 20 Mar 2024 09:18:20 +0900
<![CDATA[대한간호협회 KNA 에듀센터, 피싱 공격 주의보 발령]]> http://board.snu.ac.kr/apiboard/127/11710878922726 [출처 : 보안뉴스]

로그인 시 ‘네이버 로그인’ 창이 보이면 피싱 공격 의심

대한간호협회(KNA, 이하 협회)에서 운영하는 간호사 보수교육 사이트 ‘KNA 에듀센터’는 최근 홈페이지 팝업 공지를 통해 ‘피싱 공격 주의 바랍니다!’라고 안내를 하며 홈페이지에서 로그인할 때 ‘네이버 로그인’ 창이 보이면 피싱 페이지일 수 있다고 주의를 당부했다.

대한간호협회의 로그인은 크게 ‘회원 로그인’, ‘실시기관 로그인’, ‘심사위원 로그인’ 등 세 가지 방법으로 진행된다. 회원 로그인은 간호사 전용, 실시기관 로그인은 교육실시기관 전용이며, 심사위원 로그인은 강사·심사위원이 접속하는 통로로 사용된다. 홈페이지 상단에는 별도로 ‘로그인’ 버튼이 마련돼 있는데, 이 또한 간호사 전용 로그인이다. 어디에도 네이버 계정과 연동한 로그인은 찾을 수 없다.

협회 KNA 에듀센터 측은 “에듀센터 이용시 네이버 로그인 창이 보일 경우 즉시 브라우저를 새로고침하거나 재접속하시기 바란다”며 “계정정보를 입력했다면 즉시 네이버 비밀번호를 변경하시기 바란다”고 당부했다.

KISA는 피싱에 대응하는 방법에 대해 △출처가 불분명한 이메일, 문자 메시지, 블로그 등에 포함된 URL에 접근 금지 △홈페이지 로그인할 때나 금융정보 보안카드 등을 사용할 때 홈페이지 주소의 자물쇠 그림 또는 도메인 주소의 철자 확인 △경품 이벤트 등 무분별한 인터넷 이벤트 참여를 통해 개인정보 입력 금지 △안전한 비밀번호를 사용하고 주기적으로 변경 △공유기 보안설정 강화 등을 제시했다.

[김영명 기자(boan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710878922726 http://board.snu.ac.kr/apiboard/127/11710878922726 Wed, 20 Mar 2024 09:18:14 +0900
<![CDATA[영화 제작·투자사 쇼박스, 자사 사칭 피싱 주의 당부]]> http://board.snu.ac.kr/apiboard/127/11710878957760 [출처 : 보안뉴스]

올해 1월에도 암호화폐 투자 권유 및 피싱 사이트로 유도...개인정보 탈취 사례도 접수돼

영화 제작·투자사인 쇼박스(ShowBox)가 최근 자사를 사칭하는 피싱 사례가 발견됐다며 대중들에게 주의를 당부했다.

쇼박스는 3월 18일 홈페이지에 ‘쇼박스 사칭 유의 안내’라는 제목의 공지문을 올렸다. 공지에서 쇼박스는 “최근 이메일, 메신저, SNS 등을 통해 쇼박스를 사칭한 피싱 시도 사례가 발생하고 있다”고 말했다.

이어 “쇼박스는 홍보 목적을 위해 개인에게 SNS 팔로우 및 투자 권유를 하고 있지 않으므로 관련한 피해가 발생하지 않도록 각별한 유의 바란다”고 당부하며 “사칭 계정으로 의심되는 경우 쇼박스 공식 이메일을 통해 제보를 부탁하며 관련된 문의도 접수하고 있다”고 덧붙였다.

쇼박스는 올해 1월에도 이메일, SNS 등을 통해 쇼박스를 사칭해 NFT를 포함한 암호화폐 투자를 권유하거나 영화관 티켓 구매를 빙자한 피싱 사이트의 접속을 유도해 금전 및 개인정보를 탈취하는 사례가 접수됐다며 홈페이지 방문객들에게 주의할 것을 안내한 바 있다.

한편 쇼박스가 선보인 영화 ‘파묘’는 상영을 시작한지 아직 한 달도 지나지 않은 가운데 최근 누적 관객수 900만명을 돌파하며 흥행가도를 달리고 있다.

[김영명 기자(boan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710878957760 http://board.snu.ac.kr/apiboard/127/11710878957760 Wed, 20 Mar 2024 09:18:07 +0900
<![CDATA[깃허브에 등장한 크랙된 소프트웨어, 라이즈프로 유포해]]> http://board.snu.ac.kr/apiboard/127/11710879227491 [출처 : 보안뉴스]

요약 : 보안 외신 해커뉴스에 의하면 깃허브에서 또 다시 멀웨어를 유포하려는 시도가 발견되었다고 한다. 이번 캠페인에서 공격자들은 크래킹 된 소프트웨어를 리포지터리에 올려두어 사용자들을 유혹하는 중이다. 이 리포지터리를 다운로드 받아 설치할 경우 라이즈프로(RisePro)라는 정보 탈취형 멀웨어가 설치된다. 보안 업체 지데이터(G DATA)는 이런 식의 시도가 있는 악성 리포지터리를 조사해 목록을 공개하기도 했다. 이 리포지터리에 들어가면 RAR 파일을 받게 되는데, 압축을 해제하면 699MB의 파일이 등장한다. 용량이 커서 일부 탐지 솔루션들이 작동하지 않게 된다. 라이즈프로의 실제 용량은 3.43MB이다.

배경 : 라이즈프로는 2022년 처음 세상에 모습을 드러낸 멀웨어로, C++로 작성됐다. 민감한 정보를 탈취한 후 텔레그램 채널 두 곳으로 전송한다. 최근 정보 탈취형 멀웨어의 인기가 심상치 않게 올라가는 중이다. 정보를 탈취해 판매하는 식으로 돈을 버는 것이 항상 안정적인 수익을 가져다주기도 하지만, 훔친 정보로 추가 공격을 효과적으로 실시할 수도 있기 때문이다.

말말말 : “정보가 모든 공격의 시작이자 원인이며 결론이 되는 상황이기 때문에 정보 탈취형 멀웨어는 항상 인기가 높을 것입니다. 정보의 가치가 떨어지지 않는 이상 정보 탈취형 멀웨어가 시드는 일은 없을 거라고 봅니다.” -플래시포인트(Flashpoint)-

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710879227491 http://board.snu.ac.kr/apiboard/127/11710879227491 Wed, 20 Mar 2024 09:17:34 +0900
<![CDATA[새로운 추측 실행 공격, 고스트레이스, 현존하는 모든 CPU와 OS에 영향 줘]]> http://board.snu.ac.kr/apiboard/127/11710792127881 [출처 : 보안뉴스]

스펙터의 새로운 변종이라고 할 수 있을 만한 공격 기법이 발견됐다. 이번 기법에는 고스트레이스라는 이름이 붙었다. 여러 경합 조건을 유발시켜 악성 행위를 실시할 수 있게 해 주는 취약점이라고 한다.

IBM과 암스테르담자유대학교의 연구원들이 공동으로 새로운 부채널 공격 기법을 개발했다. 현존하는 거의 모든 컴퓨터 프로세서들에 적용이 되는 기법이라고 하며, 성공할 경우 OS의 ‘경합 조건’ 관련 확인 장치들을 피해갈 수 있다고 한다.

이 공격에 연루된 취약점은 CVE-2024-2193이다. 인텔, AMD, ARM, IBM의 프로세서 모두에서 발견되고 있다고 한다. 또한 어떤 종류의 OS나 하이퍼바이저에서도 익스플로잇이 가능한 것으로 분석됐다. 경합 조건을 제어하는 여러 가지 장치들을 무력화할 수 있다는 게 이 취약점의 핵심 내용이다. 연구원들은 자신들이 개발한 공격 기법에 고스트레이스(GhostRace)라는 이름을 붙였다.

“기본적으로 OS가 동기화를 위해 제공하는 소프트웨어 메커니즘들을 추측 실행 과정 가운데 공략할 수 있다는 것을 발견한 게 이번 연구의 가장 큰 성과입니다. 구조적으로 경합이 발동하지 않는 중요 영역 모두에서 추측 경합 조건을 발동시킬 수 있었습니다.” 연구원들의 설명이다.

잊을만 하면 문제가 되는 추측 실행 오류
경합 조건(race condition)이란 무엇일까? “두 개 이상의 프로세스나 스레드들이 공유된 컴퓨터 자원(메모리 영역이나 파일 등)에 동시에 접근하려 할 때 나타나는 현상입니다. 데이터 변형 등이 유발될 수 있는데, 꽤나 흔하게 일어나는 일입니다. 이를 노려 취약점 익스플로잇 공격을 실시하면 메모리 속 정보를 훔치거나 비정상적인 접근을 할 수 있게 됩니다. 디도스 공격도 가능합니다.”

이 문제를 해결하기 위해 OS 개발사들은 ‘추측 원시함수(speculative primitives)’라는 장치를 만들어 구축하고 있다. 공유된 자원으로의 접근을 제어하기 위한 간단한 장치라고 할 수 있다. 한 번에 하나의 스레드만 특정 자원에 접근할 수 있도록 한 것으로, 두 개가 동시에 경합을 벌이는 현상이 나타나지 않도록 한다. IBM과 암스테르담자유대학 연구원들은 바로 이 장치들을 무력화시키는 법을 발견한 것이라고 할 수 있다.

여기서 중요한 또 다른 개념은 ‘추측 실행’이다. 현대 프로세서들에 대부분 갖춰진 기능으로, 프로세서가 사용자의 명령을 입력된 순서대로 실행하는 게 아니라, 명령들을 미리 예측해 실행하는 것을 말한다. 이렇게 했을 때의 장점은 프로세서의 일 처리 속도가 빨라진다는 것이다. 프로세서들의 속도를 높이려 하는 제조사들 입장에서는 포기하기 힘든 기능이기도 하다.

이 ‘추측 실행’이 큰 문제가 된 것은 2017년이다. 시스템 메모리에서 민감한 정보를 빼돌리는 기법 두 개가 발견됐기 때문이다. 스펙터(Spectre)와 멜트다운(Meltdown)이라고 불리는 이 기법들은 현대 프로세서들에 존재하는 고질적인 취약점들의 이름이 되기도 했다. 아직도 스펙터와 멜트다운은 상위 경계 대상이고, 지금까지도 연구되고 있다. 그래서 각종 변종 공격들이 탄생하는 중이다.

그래서 마이터(MITRE)는 2024년 2월 마이크로프로세서들에서 발견되는 네 가지 취약점 관련 문서들을 발표했다. 이를 통해 프로세서 개발자들이 스펙터와 멜트다운으로부터 좀 더 안전할 수 있도록 하겠다는 것이 마이터의 설명이다.

이미 알려진 익스플로잇이지만
IBM과 암스테르담자유대학의 전문가들이 이번에 개발해 발표한 공격 기법은 일종의 스펙터 공격이라고 볼 수 있다. “모든 원시함수들은 분명한 직렬화 과정을 가지고 있지 않고, 조건부 갈림(conditional branch)이라는 것으로 중요한 영역을 보호한다는 특징을 가지고 있습니다. 무슨 말이냐면, 동기화 과정에서 공유된 자원에 접근하는 순간 조건부 if 구문이 사용될 경우 추측 실행 공격에 취약하게 된다는 의미가 됩니다.”

그렇기 때문에 스펙터를 잘 아는 공격자가 조건부 갈림을 자신의 뜻대로 잘못 활용할 경우 추측 실행을 하는 원시함수들이 사실상 존재하지 않는 것처럼 된다는 게 연구원들의 설명이다. “일종의 공명령이 되는 것이죠. 이랬을 때 보안에 미치는 영향은 매우 심각해질 수 있습니다. 피해자 소프트웨어의 동기화가 제대로 되지 않아 여기 저기서 경합 조건을 만들어낼 수 있게 되거든요.”

현재 이 연구 결과는 주요 하드웨어 제조사들에 모두 전달이 된 상황이다. 제조사들은 이를 접수하고 OS 업체들과 하이퍼바이저 개발사들에 알렸다. 모든 벤더들은 상황을 이해했고, 현재 문제를 해결하기 위해 연구를 진행하고 있다고 한다. AMD의 경우 소프트웨어 개발자들에게 여러 가지 권고 사항을 전달하고 있기도 하다.

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710792127881 http://board.snu.ac.kr/apiboard/127/11710792127881 Tue, 19 Mar 2024 09:32:10 +0900
<![CDATA[이반티 취약점 때문에 CISA마저 공격에 당했다]]> http://board.snu.ac.kr/apiboard/127/11710792380740 [출처 : 보안뉴스]

요약 : 보안 외신 시큐리티위크에 의하면 미국의 사이버 보안 전담 기관인 CISA가 해킹 공격에 당했다고 한다. 보안 업체 레코디드퓨처(Recorded Future)가 관련 내용을 상세히 밝혔는데, 이에 따르면 이반티(Ivanti) 제품의 취약점 익스플로잇 공격에 당한 것이라고 하며, 두 개의 시스템이 다운됐다고 한다. 사건이 발생한 건 2월이라고 하며, CISA 측은 문제의 시스템 두 개를 즉각 망에서 분리했기 때문에 피해가 없었다고 발표했다. 하지만 그 외 세부 내용은 아직 공개하지 않고 있다. 따라서 배후 세력이 누구인지, 어떤 데이터에 공격자들이 접근했는지, 어떤 종류의 공격이 있었는지는 알 수가 없다.

배경 : 사건의 발단이 된 이반티의 취약점은 CVE-2024-46805와 CVE-2024-21887, CVE-2024-21893 등이다. 이반티의 모바일 관리 및 원격 네트워크 관리 제품들은 여러 회사와 기관들 사이에서 인기가 높은 편이다. 올해 초부터 이반티의 플랫폼들에서 여러 가지 취약점들이 발견됐고, 다양한 업체와 기관들이 경고문을 발표하기도 했다.

말말말 : “이반티의 커넥트시큐어(Connect Secure) 제품은 지속적으로 공격에 노출될 것입니다. 그렇기 때문에 사용자들은 빠르게 패치를 적용하는 것이 안전합니다.”

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710792380740 http://board.snu.ac.kr/apiboard/127/11710792380740 Tue, 19 Mar 2024 09:31:33 +0900
<![CDATA[맥도날드, 세계 곳곳에서 전산 장애 발생... “사이버테러는 아냐”]]> http://board.snu.ac.kr/apiboard/127/11710792628156 [출처 : 보안뉴스]

맥도날드 세계 곳곳 주문·결제 및 애플리케이션 장애
“정확한 원인은 조사 중...사이버테러와 연관 없어”

세계적인 햄버거 브랜드 맥도날드가 15일 전산 장애로 전 세계 곳곳의 매장에서 운영 차질이 빚어졌다. 사이버 공격 가능성이 제기되는 상황에서 맥도날드는 사이버 테러와는 관련 없다고 선을 그었다.

우리나라를 비롯해 아시아·태평양 지역과 유럽과 미국, 영국, 호주 등 세계 곳곳의 맥도날드에서 키오스크 및 온라인 주문, 카드 결제 장애가 발생했다. 국내에서는 맥도날드의 스마트 오더 시스템인 ‘M 오더’와 배달 시스템 ‘맥 딜리버리’, 배달의 민족 등 배달 대행 앱에서도 일시적으로 주문이 중단됐다. 장애는 15일 오후 정상화됐다.

외신에 따르면 맥도날드 측은 “정확한 원인은 조사 중으로 사태가 해결되는 중”이라며 “다만 사이버 테러와는 연관이 없다”고 밝혔다. 또한 “불편을 겪으셨을 고객에게 진심으로 사과의 말씀을 올린다”고 전했다.

맥도날드는 전 세계 매장 수가 약 4만 개에 이르는 글로벌 외식 브랜드이다.

[박은주 기자(boan5@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710792628156 http://board.snu.ac.kr/apiboard/127/11710792628156 Tue, 19 Mar 2024 09:30:24 +0900
<![CDATA[경찰관이 보이스피싱 조직과 한 패? 상습 정보 유출로 직위해제]]> http://board.snu.ac.kr/apiboard/127/11710792663208 [출처 : 보안뉴스]

인천경찰청 소속 경찰관, 보이스피싱 조직에 지명수배 정보 유출
유출 횟수만 10번 이상으로 상습적 불법 행위 일삼아
경찰 내부 시스템 조회해 정보 수집...보이스피싱 조직 휴대폰 포렌식으로 덜미

보이스피싱(전화금융사기)과의 전쟁을 선포한 정부는 검찰 정부합동수사단을 꾸려 단속·수사를 강화하고 보이스피싱범들을 엄벌하는 등 총력을 기울이고 있다. 경찰청 역시 피싱범죄 총력 대응을 위해 ‘피싱범죄 수사계’를 신설하는 등 적극적인 움직임을 보이고 있다. 이처럼 시민들을 보이스피싱 범죄로부터 안전하게 보호해야 할 의무를 가진 경찰관이 오히려 보이스피싱 조직원과 내통한 사실이 밝혀져 공분을 사고 있다.

14일 경찰에 따르면 최근 직위해제된 부평경찰서와 서부경찰서 소속 경찰관 2명이 경찰 내부 시스템에 무단 접속해 보이스피싱 조직원들 중 지명수배령이 내려진 조직원들의 정보를 확인해 유출한 혐의를 받고 있다.

이들은 수사 대상인 보이스피싱 조직원과 연락하며 조직 측의 부탁을 받아 해당 조직원에게 지명수배 정보 등을 10차례에 걸쳐 유출한 것으로 밝혀졌다. 또한 해당 보이스피싱 사건을 수사하는 실무 담당자가 아님에도 불구하고 경찰 온라인 조회 시스템에 접속해 조직원들의 지명수배 여부 등을 검색했다. 이 과정에서 동료의 아이디(ID)로 접속해 수배 정보를 열람한 것으로 전해졌다.

하지만 경찰관이라도 수사 실무담당이 아닌 경우, 경찰 내부망에 접속해 정보를 열람하는 행위는 불법으로 규정돼 있다. 실제 해당 경찰관들의 계급은 경위 이하 일선 지구대 근무자로 보이스피싱 수사와는 전혀 관련 없는 부서에 근무 중이었던 것으로 알려졌다.

이들이 보이스피싱 조직에게 지명수배 정보를 유출한 배경에는 해외에 있는 조직 총책 등 윗선들의 국내 입국 가능 여부를 미리 확인할 수 있도록 하기 위한 사전 정지작업 차원이었던 것으로 드러났다. 이러한 정황은 경기 광명경찰서가 보이스피싱 사건 수사를 위해 피의자를 압수수색하는 과정에서 인천경찰청 소속 외부 경찰관이 내부망에 접속한 기록 등을 확인하고 비위 사실을 파악해 지난달 초 경기남부경찰청에 알린 것으로 밝혀졌다.

경기남부경찰청으로부터 해당 경찰관 2명에 대한 수사 의뢰를 받고 조사에 나선 인천경찰청은 압수수색을 통해 해당 경찰관들의 휴대전화 등을 확보했으며, 현재 구체적인 유출 경위와 금품수수 여부 등을 추가로 수사 중이다.

경찰 관계자는 “범죄 혐의를 계속 조사하는 과정으로 이들에게 어떤 죄명을 적용할지 검토 중”이라고 말했다.

[이소미 기자(boan4@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710792663208 http://board.snu.ac.kr/apiboard/127/11710792663208 Tue, 19 Mar 2024 09:30:17 +0900
<![CDATA[국제통화기금(IMF), 사내 이메일 해킹 공격 받아... 공격주체 현재 조사중]]> http://board.snu.ac.kr/apiboard/127/11710792697992 [출처 : 보안뉴스]

사이버 공격은 이미 지난달 16일에 받은 것으로 밝혀져
해킹 당한 사내 이메일 계정은 11개...임원급 이메일은 피해 없어
공격자들에게 가성비 높은 BEC 공격 주의 필요

세계무역 안정을 목적으로 설립된 국제금융기구인 국제통화기금(IMF : International Monetary Fund)은 일부 직원 이메일이 해킹 공격을 받아 조사 중이라고 15일(현지시간) 밝혔다.

IMF는 세계 금융위기를 관리하는 유엔 소속 전문기구로, 전 세계의 민감한 경제 데이터를 보유하고 있다. 이러한 민감 데이터를 다루고 있는 기관인 만큼 이번 해킹으로 인해 유출된 정보의 중요도에 따라 적지 않은 파장이 예상된다.

IMF 측은 성명을 통해 “최근 사이버 공격 사건이 있었으며 이는 지난달 16일에 감지됐다”고 설명했다. 또한 “조사 결과 11개의 이메일 계정이 해킹(compromise)된 것으로 확인했으며, 현재로서는 이들 이메일 외에 다른 이메일이 해킹됐다는 징후는 없다”고 전했다.

로이터통신에 따르면, IMF 대변인은 해킹된 이메일 중에 크리스탈리나 게오르기에바 총재 등 고위 인사들의 이메일은 없었다고 밝혔다. IMF 측은 해킹 사실을 인지한 뒤 피해를 본 이메일에 대한 보호 조치를 취했으며, 사이버 공격 주체가 누구인지 현재 조사중이라고 전했다.

한편 2011년에도 IMF는 사이버 공격을 받았던 이력이 있다. 당시 IMF 건물 건너편에 있던 세계은행은 해킹의 여파를 우려해 양 조직의 컴퓨터 네트워크를 끊기도 했다.

최근 사이버 공격자들은 비즈니스 및 업무 공간이 디지털 업무 공간으로 점점 확장돼 가는 점을 노려 ‘BEC(Business Email Compromise : 기업 이메일 침해) 공격’을 적극 활용하고 있다. 이러한 이메일 공격은 공격자들에게 ROI(Return On Investment, 투자수익률)가 높은 공격 수단으로 인기가 높아 기업 임직원들은 각별한 주의가 필요하다.

[이소미 기자(boan4@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710792697992 http://board.snu.ac.kr/apiboard/127/11710792697992 Tue, 19 Mar 2024 09:30:10 +0900
<![CDATA[세계에서 가장 많이 퍼져 있는 ‘무명’ 랜섬웨어, 업그레이드 돼]]> http://board.snu.ac.kr/apiboard/127/11710706226890 [출처 : 보안뉴스]

요약 : 보안 외신 블리핑컴퓨터에 의하면 스톱크립트(StopCrypt)라는 랜섬웨어의 변종이 활개를 치고 있다고 한다. 이번 버전은 셸코드를 활용해 다단계로 프로세스들을 실행하는 것을 특징으로 하고 있으며, 그렇기 때문에 대부분의 탐지 도구를 회피할 수 있다고 한다. 주로 멀버타이징이나 불법 소프트웨어 다운로드 서비스를 통해 퍼지는데, 그 이유는 스톱크립트가 기업이나 기관이 아니라 개개인 사용자를 노리는 데 특화되어 있기 때문이다. 따라서 스톱크립트 공격자가 피해자들로부터 요구하는 금액은 천문학적 단위가 아니라 400달러에서 1천 달러 정도다. 대신 현존하는 랜섬웨어 종류 중 스톱크립트가 가장 광범위하게 퍼져 있다. 조금씩 많이 걷는 전략이 적용되어 있다고 할 수 있다.

배경 : 스톱크립트는 가장 널리 퍼져 있는 랜섬웨어이지만 유명세는 록빗이나 블랙캣, 클롭 등에 비해 뒤쳐진다. 그 이유는 공격 대상이 개개인이기 때문이다. 유명 랜섬웨어는 기업들을 노리는 편이며, 그러다가 유명 기업이나 시설이 피해자가 되면 대서특필 되면서 이름값이 올라간다. 이들은 건건마다 피해자들에게 백만~천만 불 단위의 돈을 요구한다. 스톱크립트는 보다 조용히 개개인들을 노리며 소액을 요구하기에 주목을 덜 받는다.

말말말 : “랜섬웨어 공격자들 대부분 시끄럽게 소란을 피우며 이름값도 같이 올리려 합니다. 그래야 RaaS 사업을 진행할 때 유리해지기 때문입니다. 스톱크립트는 그와 반대로 조용히 내실을 다져가는 전략을 취하려는 것으로 보입니다.” -블리핑컴퓨터-

[국제부 문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710706226890 http://board.snu.ac.kr/apiboard/127/11710706226890 Mon, 18 Mar 2024 10:50:57 +0900
<![CDATA[‘미래증권’ 소비자 만족도 조사 참여 스미싱 유포... 준법감시인 심사필로 의심 피해]]> http://board.snu.ac.kr/apiboard/127/11710705932773 [출처 : 보안뉴스]

회사명은 ‘미래증권’, 로고는 ‘한국투자증권’...기프트콘 상품권 제공한다며 현혹
단체 채팅방 초대...구글 폼 사용자 이름과 연락처 요구하기도

국내 대형 증권사로 위장하고 교묘하게 이름을 조작한 후, 설문을 가장해 사기 카카오톡 리딩방 입장을 유도하는 스미싱 문자가 발견돼 사용자들의 주의가 필요하다.

최근 ‘소비자 만족도 조사’라는 제목으로 미래증권이라는 이름 없는 기업을 사칭해 스미싱 문자를 보낸 것이 확인돼 사용자들의 주의가 필요하다. 해당 문자 메시지는 ‘소비자 만족도 조사-미래증권 소비자 만족도 조사에 참여해주시는 모든 분들께 소정의 기프트콘 상품권을 발송해 드립니다’라는 내용으로 설문으로 이어지는 구글 폼 링크 주소를 추가했다.

해당 문자는 이어서 ‘본 문자는 설문조사입니다. 투자권유가 절대 아닙니다’라는 글과 함께 ‘준법감시인 심사필 제24-007182호 ※투자 전 설명 청취 및 상품설명서 필독’이라는 문구를 첨가해 사용자의 의심을 피하고 있다.

연결되는 링크를 따라 들어가면 ‘한국미래증권 소비자 만족도 조사’라는 제목으로 “2024년 한국미래증권 소비자 만족도 조사를 진행하게 되었습니다. 참여하시는 모든 분들께 기프트콘을 지급하고 있습니다. 많은 참여 부탁드립니다”라는 설명이 이어졌다.

하단에 보이는 이미지에서는 ‘한국투자증권’의 로고를 함께 달았지만 하단의 회사명은 ‘한국투자증권’이 아니라 ‘한국미래증권’으로 표기됐다. 이어지는 설문에서는 ‘한국미래증권에서 운영하는 카톡방 입장을 원하시나요?’라는 내용이 보이며, ‘마지막으로 기프트콘 받으실 성함+연락처 말씀해 주세요’라는 메시지와 함께 사용자의 이름과 연락처를 요구하고 있다.

KISA에서 안내하는 스미싱 피해 예방수칙으로는 △출처가 확인되지 않은 문자메시지의 인터넷주소 클릭 금지 △미확인 앱이 함부로 설치되지 않도록 스마트폰의 보안설정 강화 △이동통신사 고객센터에 전화 또는 홈페이지를 이용해 소액결제를 원천 차단하거나 결제금액 제한 △스마트폰용 백신프로그램을 설치하고 주기적 업데이트 △구글 플레이 및 ONE스토어 등 공인된 오픈마켓을 통해 앱 설치 △보안 강화, 업데이트 명목으로 금융정보를 요구하는 경우 절대 입력 금지 등이 있다.

KISA 관계자는 “스미싱에 이용된 악성코드는 소액결제 인증번호를 가로챌 뿐만 아니라 스마트폰에 저장된 주소록 연락처, 사진, 공인인증서, 개인정보 등을 탈취해 더 큰 금융범죄로 이어질 가능성이 높기 때문에 사용자 주의가 필요하다”고 밝혔다.

[김영명 기자(boan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710705932773 http://board.snu.ac.kr/apiboard/127/11710705932773 Mon, 18 Mar 2024 10:50:45 +0900
<![CDATA[한국무역협회, 협회 및 tradeKorea 사칭 피싱 메일 주의보 발령]]> http://board.snu.ac.kr/apiboard/127/11710705897682 [출처 : 보안뉴스]

@kita.net, @kita.or.kr 및 기타 다양한 메일 주소로 피싱 메일 유포중
바이어의 요청사항인 인콰이어리에 포함된 링크...엉뚱한 사이트로 연결되기도

한국무역협회(KITA)는 최근 홈페이지 공지를 통해 ‘한국무역협회 및 tradeKorea 사칭 피싱 메일 유의 안내’라는 제목으로 인콰이어리 피싱 메일에 유의할 것을 당부했다.

공지에 따르면 최근 협회는 @kita.net, @kita.or.kr 및 기타 다양한 메일 주소로 피싱 메일이 유포되고 있다고 밝혔다. 이어 피싱으로 의심되는 메일은 클릭하지 말고 삭제할 것을 부탁드리며, 피해 방지를 위해 몇 가지 유의사항을 확인해 달라고 안내했다.

KITA는 먼저 ‘보낸사람’이 본문의 서명란 메일 주소와의 일치 여부 및 ‘수신’ 메일 주소를 확인할 것을 요청했다. 메일 창의 상단에 있는 ‘보낸사람’의 이름 및 메일 주소와 본문 하단에 서명란 메일 주소가 일치하는지 여부를 확인하고, ‘수신’ 메일 주소도 함께 확인해줄 것을 당부했다.

해당 피싱 메일에서는 ‘보낸 사람’의 이름과 메일주소, 해당 메일 서명란의 이메일 주소가 일치하지 않는 것을 확인할 수 있다. 이메일 주소도 ‘보낸 사람’ 란에 있는 도메인을 포함한 이메일 주소와 해당 메일의 서명란에 기재된 이메일의 아이디와 도메인 주소가 일치하지 않는다.

본문 내용 중 상단에 있는 ‘인콰이어리 보기’ 버튼 위에 마우스 커서를 갖다 대면 연결된 링크를 확인할 수 있다. 인콰이어리(enquiry)는 무역 파트에서 물품 구매자가 공급자에게 전달하는 요청사항으로 구매하려는 물품의 스펙과 가격, 거래조건 등을 안내하는 것을 말한다. 하지만 이번 피싱 메일에서 인콰이어리에 보이는 링크는 KITA나 TradeKorea와는 전혀 관계 없는 이상한 문자와 숫자가 나열된 링크 주소로 확인되고 있다.

KITA 관계자는 “피싱 메일로 의심되면 먼저 서명란의 담당자에게 메일 또는 전화를 통해 메일을 보낸 게 맞는지 문의해야 한다”며 “안내된 전화로 연결을 시도했을 때 전화번호가 없는 경우에는 메일을 삭제하거나 협회로 문의하길 바란다”고 당부했다.

[김영명 기자(boan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710705897682 http://board.snu.ac.kr/apiboard/127/11710705897682 Mon, 18 Mar 2024 10:50:31 +0900
<![CDATA[北 해킹그룹 안다리엘, 국내 자산관리 솔루션 악용해 악성코드 배포]]> http://board.snu.ac.kr/apiboard/127/11710705862385 [출처 : 보안뉴스]

국내 자산관리 솔루션 악용해 백도어 악성코드 및 자바스크립트 악성코드 설치
사이버 공격자 사이에서 자주 사용하는 원격 관리 도구 ‘메시에이전트’ 사용
악성코드에 감염된 시스템에서 자격 증명정보 탈취 및 키로깅, 클립보드 로깅 시도

최근 북한 해킹그룹 ‘안다리엘(Andariel)’이 국내 자산관리 솔루션을 악용해 국내 기업을 공격한 정황이 드러났다. 측면 이동 과정에서 악성코드를 유포하는 방식으로 안다르로더(AndarLoader), 모드로더(ModeLoader) 등의 악성코드를 유포했다.

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 원격 관리 도구 ‘메시에이전트(MeshAgent)’를 설치했다는 점이 이번 공격의 특징이다. 메시에이전트는 원격 제어를 위한 다양한 기능을 제공하기 때문에 사이버 공격자가 자주 악용하는 도구로 알려져 있다.

원격 관리에 필요한 시스템의 기본 정보를 수집하고, 명령 실행, 전원 및 계정 제어 등 기능을 제공한다. 특히 RDP(Remote Desktop Protocol) 및 VNC(Virtual Network Computing)와 같은 원격 데스크톱을 웹 기반으로 지원한다. 원격에서 시스템을 관리하기 위한 기능이 악의적으로 오용되고 있는 것. 안다리엘은 외부에서 ‘fav.ico’라는 이름으로 메시에이전트를 설치했다.

공격에 사용되는 악성코드 : 안다르로더, 모드로더
안다리엘은 과거 이노릭스 에이전트(Innorix Agent) 프로그램을 악용하면서부터 측면 이동 과정에서 악성코드를 유포하기 위해 국내 업체의 자산관리 솔루션을 지속적으로 악용하는 것으로 밝혀졌다.

‘안다르로더’는 백도어 악성코드로, 이노릭스 에이전트를 악용한 공격에서 확인된 ‘안다르도어(Andardoor)’와 유사하다. 다만, 작동방식에 차이를 보인다. 안다르로더는 다운로더 악성코드로 닷넷 어셈블리와 같이 실행할 수 있는 데이터를 명령제어(C&C) 서버에서 내려받아 메모리상에서 실행한다. 안다르도어는 대부분 백도어 기능이 바이너리에 구현돼 있으며, C&C 서버로부터 공격자의 명령을 받아 악성 행위를 수행하게 된다. 또한 안다르로더는 코이VM(KoiVM) 이라는 가상화 기술로 난독화됐다.

‘모드로더’는 안다리엘이 과거부터 지속적으로 사용해온 자바스크립트 악성코드다. Mshta 실행파일을 통해 외부에서 다운로드돼 실행되는 것으로 밝혀졌다. ASEC에 따르면 공격자는 주로 자산관리 솔루션을 악용해 모드로더를 다운로드하는 Mshta 명령을 실행한다. 이후 C&C 서버(modeRead.php)에 주기적으로 접속해 Base64로 암호화된 명령을 전달받아 명령을 실행한다. 그 결과를 다시 C&C 서버(modeWrite.php)에 전달하는 방식으로 작동한다.

공격자는 모드로더를 이용해 추가 악성코드를 설치했을 것으로 예상된다. ASEC는 위와 같은 명령을 통해 ‘SVPNClientW.exe’라는 이름으로 설치된 안다르로더 실행 이력을 확인했다.

한편, 안다르로더와 모드로더 등 백도어 악성코드를 통해 감염시스템 정보를 탈취한 공격자는 미미카츠(Mimikatz) 프로그램을 설치해 시스템의 자격증명 정보 탈취를 노렸다. 이때 미미카츠란 윈도우 운영체제 환경에서 자격증명 정보를 추출하는 프로그램이다.

이번에 확인된 대부분 공격 사례에서 키보드 입력을 탐지해 각종 정보를 탈취하는 키로거(Key Logger) 악성코드가 발견됐다. 이와 더불어 클립보드 로깅 기능도 보유하고 있는 것으로 드러났다.

이처럼 안다리엘은 북한의 김수키(Kimsuky), 라자루스(Lazarus) 그룹과 함께 국내를 대상으로 활발히 위협 활동을 전개하고 있다. 초기 안보 관련 정보를 획득한 것과 달리, 금전적 이득을 목적으로 한 공격도 발견되고 있다. 공격 초기에 각종 피싱과 워터링 홀 공격 및 소프트웨어 취약점을 노리고 있다. 또한 공격 과정에서 설치된 소프트웨어를 악용해 취약점을 악용하거나 취약점 공격을 통해 악성코드를 배포하고 있다.

이에 사용자는 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 내려받은 실행 파일을 특히 주의해야 한다. ASEC는 “악성코드 감염을 사전에 차단하기 위해 기업 보안담당자는 자산관리 솔루션의 모니터링을 강화하고, OS 및 인터넷 브라우저 등의 프로그램을 최신 버전으로 업데이트해야 한다”고 당부했다.

[박은주 기자(boan5@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710705862385 http://board.snu.ac.kr/apiboard/127/11710705862385 Mon, 18 Mar 2024 10:50:16 +0900
<![CDATA[복호화 키를 포함한 크립토와이어 랜섬웨어 유포]]> http://board.snu.ac.kr/apiboard/127/11710705722214 [출처 : 보안뉴스]

복호화 키 랜섬웨어 제작 스크립트에 포함되거나 공격자 C&C 서버로 전송돼
출처 불분명한 파일, 함부로 실행하지 말고 백신 등을 활용해 검사 선행해야

최근 2018년 유행하던 오픈소스 기반의 ‘크립토와이어(CryptoWire)’ 랜섬웨어가 유포되고 있다. 기존 랜섬웨어와 달리 감염된 시스템을 복구할 수 있는 복호화 키를 포함하고 있다는 특징이 있다.

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 복호화 키는 랜섬웨어의 오토잇(Autoit) 스크립트에 포함돼 있거나 감염된 시스템 정보와 함께 공격자 명령제어(C&C) 서버로 전송되는 2가지 유형이 발견됐다.

크립토와이어 랜섬웨어의 주된 유포 방법은 피싱 메일이다. 해당 랜섬웨어는 오토잇 스크립트로 제작됐다는 특징을 보인다. 랜섬웨어는 ‘\Program Files\Common Files’ 경로에 자가 복제하고, 지속성을 유지하기 위해 작업 스케줄러를 등록한다.

파일 암호화의 확장을 위해 로컬과 연결된 네트워크 환경을 탐색하고, 바탕화면의 ‘domaincheck.txt’로 저장해 생성된 계정을 탐색하는 모습을 보인다. 이후 추가 복구를 방지하기 위해 휴지통 삭제 및 볼륨쉐도우 카피 삭제를 수행한다. 암호화된 파일은 ‘[기존파일명].encrypted.[기존확장자]’ 형태로, 파일 복호화를 위해서는 복호화 키를 구매해야 한다는 창이 뜬다.

복호화 키를 확인할 수 있는 랜섬웨어는 극히 드물며, 복호화가 어려운 경우가 일반적이다. 이러한 랜섬웨어 감염을 예방하기 위해서는 출처가 불분명한 파일은 함부로 실행하지 않는 것이 좋다. 또한 의심스러운 파일의 경우 백신 등을 활용해 검사를 선행하는 것이 바람직하다.

[박은주 기자(boan5@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710705722214 http://board.snu.ac.kr/apiboard/127/11710705722214 Mon, 18 Mar 2024 10:50:00 +0900
<![CDATA[소프트웨어로 정의되는 요즘 차량들, 보안으로 정의되면 위험 그 자체]]> http://board.snu.ac.kr/apiboard/127/11710463710625 [출처 : 보안뉴스]

 

소프트웨어의 힘이 차량들에서도 아낌없이 발휘되고 있다. 그러면서 우리는 미래의 차들을 현실에서 몰 수 있게 됐다. 그러나 과거의 사이버 공격이 자동차 안에서 자꾸만 되살아나고 있다는 문제가 드러나는 중이다.

 

새로운 기술에 힘입어 더 낮은 비용으로 생산하고 더 높은 수익을 낼 수 있다는 약속을 굳게 믿고 있는 자동차 제조업체들이 차량들에 온갖 신기술을 탑재시키고 있다. 그래서 각종 애플리케이션들로 자동차들이 채워지고 있다. 이제 소프트웨어로 에어컨을 가동시키고, 심지어 어떤 기능들은 구독 형태로 제공되기도 한다.

 

이런 상황이다 보니 공격이 들어오게 되는 경로도 자연스럽게 증가하는 중이다. 딜로이트(Deloitte)는 이런 자동차들을 소프트웨어 정의 차량(Software-defined vehicles, SDV)’이라고 부르기도 한다. 지속적으로 기능이 업그레이드 되고 추가되며 따라서 최적화가 계속해서 일어나는 차량들이 바로 이 SDV들이라고 할 수 있다.

 

차량의 소프트웨어 기능이 강화된다는 건 충돌 방지 시스템이나 운전자 지원 기능 등 역시 향상된다는 것이므로(심지어 지속적으로 향상되는 것이므로) 안전이라는 측면에서는 반가운 소식이다. 또한 인포테인먼트 시스템들도 보다 편리하고 다양해지는 뜻이 된다. 차량 좌석의 열선도 섬세하게 제어가 가능하고 종국에는 자율 주행도 가능하게 될 것이다.

 

하지만 세상에 좋은 것만 있을 수는 없다. SDV에는 SDV 만의 리스크가 있다. 필수 기능을 제조사가 원격에서 껐다 켰다 할 수 있게 되며, 따라서 이것이 새로운 지출의 창구가 될 수도 있다. 원격에서 제조사가 어느 정도 제어할 수 있게 된다는 건, 공격자도 할 수 있다는 뜻이 되고 차량 탑승자의 안전을 위협하는 사건이 발생할 수도 있다. 그 외에도 공격자들은 다양한 공격법을 개발할 것이 뻔하다.

 

SDV의 리스크, 한계가 없다

최근 보안 업체 아이오액티브(IOActive)는 보고서를 하나 발표했다. 2022년에 차량들에서 발견된 취약점들의 절반 가까이가 네트워크를 통해 익스플로잇이 가능한 것들이었고, 40%는 로컬 영역에 있는 것이었으며, 10%는 물리 하드웨어 취약점들이었다는 내용이다. 로컬 취약점들의 수가 크게 증가한 것으로, 이는 결국 차량 내에 자체적으로 탑재되어 있는 소프트웨어가 많아졌다는 뜻이라고 아이오액티브는 설명한다.

 

보안 업체 NCC그룹(NCC Group)의 수석 보안 컨설턴트인 리즈 제임스(Liz James)소프트웨어로 구성된 차량이라는 것은, 사람이 실수할 가능성이 높은 환경이라는 뜻이라고 해석한다. “소프트웨어가 많아지고, 그 많은 소프트웨어들이 복잡하게 얽히면 얽힐수록 실수가 발생할 가능성이 높아집니다. 개발자들도, 제조사들도, 사용자들도, 모두 더 잦은 실수에 노출될 수밖에 없죠. 심지어 그 소프트웨어들을 구축하는 단계에서도 더 많은 실수가 나옵니다.”

 

우리가 기존에 소프트웨에들에서 찾던 취약점들만 문제가 되는 게 아니다. SDV 차량들은 갈수록 클라우드를 닮아가고 있다. 즉 그냥 여러 소프트웨어들이 얽히고 설킨 수준의 복잡함이 아니라, 가상기계, 하이퍼바이저, API까지 겹친 차원 다른 복잡함이 차량 한 대 한 대에 존재하게 된다는 것이다. 아이오액티브의 부회장인 존 쉬히(John Sheehy)예를 들어 하이퍼바이저가 침해된다면 차량의 복잡한 망을 체계적으로 분리하고 정리해 놓는 모든 노력이 물거품이 된다고 말한다. “즉 구조가 너무 복잡해 구성 요소들이 상호보완이 아니라 상충하는 결과가 나오기도 한다는 것입니다. 이 모든 시나리오를 다 예측하기란 힘들죠.”

 

프라이버시와 관련된 리스크도 있다. 차세대 소프트웨어들이 차세대 기능을 발휘하려면 사용자로부터 수없이 많은 데이터를 수집해야만 한다. 그래서 차량 안에는 각종 센서, 마이크로폰, 카메라가 즐비하게 된다. 자동차가 운전자를 항시 감시하는 체제가 완성되며, 이미 많은 차량들이 그런 상태로 출시된다. 수집되는 정보는 매우 민감하며, 세상에 절대로 공개하고 싶지 않은 것들도 다량 존재한다.

 

소프트웨어 정의 차량엔 소프트웨어 정의 보안

이런 상황 때문에 SDV 아키텍처는 점점 더 꼼꼼하고 삼엄한 검사의 대상이 된다. 하지만 아무리 열심히 검사를 해도 SDV의 보안성이 의미 있게 좋아지지는 않고 있다. 보안 컨설턴시인 SBD오토모티브(SBD Automotive)의 경우 지난 3년 동안 여러 차량들의 모의 해킹 검사를 실시해 왔는데, 취약점들이 각종 요소들에서 고루 나오고 있는 상황이 변하지 않고 있다고 한다. “차량과 연결되어 있는 모바일 앱, API, 인포테인먼트 시스템, 차량 제어 시스템 등이 전부 안전한 차량은 없는 것으로 보입니다.”

 

보안 업체 시놉시스(Synopsys)의 수석 전략가인 데니스 켄고 오카(Dennis Kengo Oka)차량의 각종 요소를 개발하는 과정 자체에 보안이 결여되어 있는 경우가 아직 만연하다고 지적한다. “차를 설계하고 기획할 때 보안이라는 고려 사항은 어디에도 없습니다. 개발되고 조립되는 과정에서도 마찬가지입니다. 차가 완성되고 출시 직전에야 보안 기능을 덧댈 뿐이죠. 그게 일반적인 상황입니다.”

 

제임스의 경우 제로트러스트라는 개념이 아직 도입되지 않고 있는 게 크다는 의견이다. “PC로 구성된 환경과 비교하자면 차량의 보안 상태는 최소 5~6년은 뒤쳐져 있습니다. 차량 내 네트워크 환경을 구성하는 업체들은 먼저 제로트러스트부터 도입하는 게 시급해 보입니다. 특히 네트워크 내 요소들의 행동 패턴을 분석하는 기술을 도입해야 할 것입니다.”

 

최근 유행하고 있는 공급망 공격 역시 차량들을 위협한다고 쉬히는 경고한다. “차량용 소프트웨어들도 각종 오픈소스들로 구성되어 있습니다. 개발자들은 공공 리포지터리를 자주 활용하기도 하고요. 그러니 공급망 공격에 차량들도 노출되어 있다고 볼 수 있습니다. 단기간에 해결하기 어려운 문제이고, 차량 소프트웨어 개발자들만의 문제이기 때문에 보다 포괄적이고 장기적인 해결책을 도모해야 할 것입니다.”

 

: 로버트 레모스(Robert Lemos), IT 칼럼니스트

 

[국제부 문정후 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710463710625 http://board.snu.ac.kr/apiboard/127/11710463710625 Fri, 15 Mar 2024 09:48:30 +0900
<![CDATA[내부망 침투, 랜섬웨어 감염, 금전탈취 노리는 해커들의 악용 취약점 TOP 3]]> http://board.snu.ac.kr/apiboard/127/11710463643895 [출처 : 보안뉴스]

 

파일 업로드, 원격 명령 실행, PC 권한 획득까지 3대 공격통로 악용해 공격

파일 업로드 : 파일 확장자 검증 미흡, 관리자 페이지 통한 업로드, 업로드 파일 검증 우회

원격 명령 실행 : 파일공유 솔루션 명령 실행, 서버접근통제 솔루션 명령 실행 공격

PC 권한 획득 : NAC 솔루션 백업 파일 관리 미흡, 파일 전송 솔루션 RCE 취약점 공격

 

공급망 공격, 랜섬웨어 감염, 금전탈취 등을 위해 서드파티(3rd Party) 취약점을 노린 공격에 각별한 주의가 요구된다. 특히 3rd Party를 노린 파일 업로드 원격 명령 실행 취약점 PC 권한 획득 등 3대 공격 통로가 치명적인 침투 원인으로 지목되고 있다.

 

3rd Party는 형태별로 단일 소프트웨어 형태와 하드웨어와 소프트웨어가 포함된 어플라이언스 장비 형태로 구분된다. 소프트웨어 형태는 패키지 소프트웨어 개발에 활용할 수 있는 유료 또는 오픈소스 라이브러리 등으로 나뉜다.

 

기능별로는 일반 사무 업무를 위한 업무용 솔루션과 보안 솔루션으로 나뉜다. 특히 보안 솔루션의 경우 통합인증 망분리 및 망연계, 계정관리 서버접근통제 네트워크 접근통제 정보유출방지 개인정보 탐색 DB접근통제 문서 보안 안티바이러스 엔드포인트 대응 침입차단·탐지·방지시스템, 웹방화벽 보안운영체제 등이 있다. 이 외에도 웹쉘탐지 솔루션 백업 솔루션 등 목적에 따른 다양한 솔루션이 존재한다.

 

중요한 사실은 대부분의 솔루션이 PC와 서버에 연동되어 동작하고, 높은 권한을 통해 연동된 장비들을 컨트롤할 수 있다는 것이다. 이는 취약점이 발견돼 역으로 공격에 악용할 경우 치명적인 피해를 입을수 있다는 얘기다. 공격자는 바로 이러한 3rd Party를 노리고 랜섬웨어 감염, 금전탈취, 내부망 침투 등의 공격을 감행하고 있다.

 

금융보안원 RED IRIS팀은 3rd Party를 노린 공격의 주요 통로로 파일 업로드 원격 명령 실행 취약점 PC 권한 획득 취약점을 지목했다.

 

1. 파일 업로드 취약점 : 게시판 모듈 취약점, 가장 많이 발견

파일 업로드 취약점의 경우 솔루션 사용자 인터페이스의 파일 업로드 기능을 이용해 악의적인 웹쉘 파일을 업로드 할 수 있다. 서버 권한을 탈취할 수 있는 대표적인 취약점으로 웹쉘 업로드에 성공하면 구동 중인 웹 서비스 권한으로 쉘을 획득하게 된다. 서버 내 파일 열람 뿐 아니라 소스코드 다운로드, 연동 데이터베이스 추가 침투 등 위험도가 높은 후속 공격(Post Exploitation)으로 이어지게 된다.

 

파일 업로드가 성공하면 해당 서버 내에 존재하는 인증정보 및 호스트 정보 등 추가 침투를 할 수 있는 유용한 정보를 획득할 수 있다. 동일한 이유로 실제 공격자들 역시 파일 업로드 취약점을 통한 공격을 지속적으로 시도하고 있다.

 

그중 파일 업로드 취약점은 게시판, 관리자 기능, 사용자 프로필 등 업로드가 가능한 다양한 경로에서 발견된다. 가장 많이 발견된 사례는 게시판 모듈 취약점이다. 대다수의 게시판 솔루션에서는 사용자 및 관리자의 게시물 게시, 연동 정보 내보내기, 가져오기 기능 등을 제공하고 있다.

 

이러한 게시판 관련 기능은 빠르고 안정적인 구현을 위해 외부 모듈을 사용하는 경우가 많다. 문제는 이러한 게시판 및 에디터 관련 제품 개발사가 폐업했거나 새로운 제품 출시 이후 기존 제품 지원이 종료되는 등 여러 이유로 업데이트가 중단되는 경우가 많다. 또한 한번 도입한 이후에는 보안 패치를 하지 않고 방치되는 경우도 있어 파일 업로드 취약점에 노출될 수 있다.

 

업로드 파일 확장자 검증 미흡

대부분의 최신 버전 에디터에서는 기본적으로 JSP등 악의적인 파일이 업로드 되지 않도록 업로드 파일의 확장자를 제한하고 있다. 하지만 일부 구버전 게시판 에디터의 경우 별도의 검증이 없어 파일 첨부 기능 또는 이미지 첨부 기능을 통해 쉽게 웹쉘 업로드가 가능하다.

 

특히 일부 에디터 구버전의 경우 기본적으로 함께 설치되는 테스트용 페이지를 통해 웹쉘 업로드가 가능해 각별한 주의가 필요하다. 악용 가능성을 고려해 세부 URL을 기재하지 않았으나, 국내에서 주로 사용되는 다수의 웹에디터에서 지속적으로 업로드 관련 취약점이 발견되고 있고, 실제 이를 통한 해킹 공격 시도가 꾸준히 탐지되고 있다.

 

3rd Party 웹에디터를 사용하는 경우 확장자 필터링 등 보안 설정을 제공하는 최신 버전으로 업데이트하거나, 보안 검증 절차를 추가로 사용해야 한다.

 

옵션값 수정을 통해 업로드 기능을 강제 활성화해 공격이 가능한 경우도 존재한다. 일부 게시판의 경우 최초 브라우저에서 로드 시 설정 파일을 서버에서 받아오며, 이 파일 안에는 특정 기능 활성화 여부, 허용 파일타입, 허용 용량 등 다양한 옵션값이 존재한다.

 

클라이언트에서 옵션값을 변경해 브라우저에 로드되는 에디터의 이미지 업로드 기능을 임의로 활성화시키고, 허용 타입을 추가하는 경우 파일 업로드가 가능한 사례가 존재했다. 이와 같이 우회 공격이 가능해 옵션값을 서버에서 가져오도록 설정해야 한다.

 

관리자 페이지를 통한 파일 업로드

솔루션에는 관리자를 위한 별도의 관리용 메뉴가 존재하며, 관리용 기능에서는 별도의 보안 검증을 수행하지 않는 경우가 많다. 사용자 입장에서 관리자 페이지 및 URL이 노출되어 있지 않더라도 공격자는 추측 및 무작위 대입을 통해 관리 기능을 제공하는 URL의 존재를 식별할 수 있다. 인증 및 인가 등 권한 관리 미흡 취약점을 이용하거나 계정 및 비밀번호 유추를 통해 관리자 계정이 탈취되는 경우에는 이러한 기능을 악용해 웹쉘 업로드까지 이어지게 된다.

 

또한 Weblogic, Tomcat, JBoss, JEUS등 대부분의 WAS 서버에는 별도 포트에서 구동되는 WAS 관리자 애플리케이션이 존재한다. 이러한 관리자 애플리케이션은 기본적으로 로컬 호스트(localhost)로 동작하지만 원활한 관리를 위해 원격에서도 접근이 가능하도록 설정된 경우가 적지 않다. 하지만 이 경우 관리자 계정 비밀번호를 유추해 로그인에 성공하면 아무런 제한 없이 웹쉘을 업로드 할 수 있다.

 

관리자 페이지가 내부망이거나 관리자 애플리케이션을 별도 포트에서 분리 운영하는 경우에는 상대적으로 계정 관리가 엄격하게 이루어지지 않는 경향이 있다. 설치 시 기본적으로 설정되는 비밀번호로 설정되어 있거나 유추 가능한 쉬운 비밀번호로 설정되어 있다. 로그인 성공 시 관리자 애플리케이션을 이용할 수 있고, 자유롭게 파일을 업로드 할 수 있어 웹쉘 애플리케이션을 배포(Deploy) 할 수 있다.

 

WAS 서버의 경우 방화벽에 의해 포트가 차단되어 있다보니 안전한 것으로 간주해 계정 관리 및 포트 변경 등 보안 관리에 소홀할 수 있다. 하지만 DMZ 구간 내 웹애플리케이션을 통해 웹쉘이 업로드되어 초기 침투에 성공하면, 침투한 서버를 경유지로 방화벽을 우회할 수 있고, 이를 통해 관리자 포트에 접근이 가능하다. 이러한 사례가 높은 빈도로 발견되고 있어 반드시 점검 및 조치가 필요하다.

 

업로드 파일 검증 우회

최근에는 에디터 및 업로드 모듈에서 기본 설정으로 JSP파일 업로드가 불가능하도록 하고 있으나, 검증이 미흡해 쉽게 우회하는 경우가 발생한다. 간혹 에디터의 유연성을 위해 서버에 설정된 고정적인 옵션을 사용하지 않고 로그인 시 사용자에게 기능 사용 여부 등을 입력받는 경우가 있다. 이러한 경우 허용 확장자, 파일명 랜덤 생성 등의 옵션을 입력받는 파라미터를 조작해 웹셸 업로드가 가능하다.

 

2. 원격 명령 실행 취약점

파일공유 솔루션 명령 실행 취약점

파일 공유 솔루션의 다수의 URL에서 SQL 인젝션 취약점이 발견됐다. 파일 다운로드 메뉴에서도 SQL 인젝션 취약점이 가능해 파일명을 조작해 임의 파일을 다운로드할 수 있다.

 

SQL 인젝션을 통해 실행될 명령어의 인자값을 조작하거나, 추가로 명령어를 삽입해 원하는 명령어를 실행시킬 수 있다. 인젝션 공격을 통해 데이터베이스 쿼리 결과를 조작해 명령 실행 공격으로 확장된 특수한 케이스로 서버 침투까지 연계될 수 있는 위험도 높은 취약점이다.

 

이와 같이 사용자에게 입력값을 받아 사용할 때에는 항상 의도하지 않은 입력값이 들어올 수 있다. 이로 인해 보안에 심각한 영향을 끼칠 수 있음을 인지하고, 반드시 입력값의 적정성을 검증힌 후 사용해야 한다. 특히 코드 내에서 명령어를 실행하는 경우 가능한 사용자 입력값이 직접 명령어에 포함되지 않도록 하고, 반드시 포함돼야 하는 경우에는 쉘 명령어 인젝션에 사용될 수 있는 특수문자 포함 여부를 반드시 검증해야 한다.

 

서버접근통제 솔루션 명령 실행 취약점

서버접근통제 솔루션은 연동된 모든 서버의 접속 권한을 중앙집중 관리하기 때문에 취약점이 발견됐을 때 그만큼 파급력이 크다.

 

서버접근통제 솔루션은 자체적으로 사용되는 로컬 데이터베이스의 포트가 기본적으로 외부에서도 접근이 가능해 관리자 계정의 비밀번호가 쉽게 유추 가능하다. 이를 통해 데이터베이스 관리자로 로그인 후 다양한 추가 공격을 수행할 수 있다.

 

3. PC 권한 획득 취약점

대부분의 금융사는 솔루션 자체의 관리자 IP 접근 제한 기능 또는 방화벽을 통해 실제 관리자만 접속이 가능하도록 접근통제를 수행한다. 이러한 경우 공격자는 우회하기 위해 접근이 허용된 PC의 권한을 먼저 탈취, 취약점을 통해 접근 제한 통제를 무력화한다.

 

NAC 솔루션 백업 파일 관리 미흡 취약점

NAC(네트워크 접근통제) 솔루션은 주로 인가되지 않은 단말기가 네트워크에 연결되지 못하도록 차단하는 역할을 수행한다. PC와 연동하기 위해 솔루션 서버와 통신하는 별도의 에이전트를 설치하는 경우가 많으며, 에이전트는 PC를 관리하기 위해 시스템 내에서 관리자 수준의 높은 권한으로 동작하게 된다.

 

NAC 솔루션 서버에는 관리 및 안내를 위한 웹 인터페이스를 제공한다. 취약 버전에서 특정 URL 호출 시 디렉터리 리스팅이 가능한 취약점이 존재한다. 또한 백업 기능을 통해 이미지 백업 파일 생성 시 디렉터리 리스팅을 통해 해당 파일의 전체 경로를 확인할 수 있어 다운로드가 가능하다.

 

백업 파일 내에는 솔루션 데이터베이스 접속 정보, SSH 접속 계정 및 비밀번호 해시 등 중요한 정보가 존재하며, 비밀번호 해시 크랙을 성공하는 경우 관리자 권한 획득이 가능하다.

 

NAC 솔루션 관리자 권한 획득 이후에는 연동되어 있는 수많은 PC 및 서버에 원격으로 명령 실행이 가능하며, 수많은 추가적인 솔루션 관리자 접근통제를 우회할 수 있다.

 

파일 전송 솔루션 RCE 취약점

업무용 PC는 일반적으로 보안 통제를 위해 다양한 솔루션의 에이전트 프로그램이 설치된다. 대표적인 PC 설치 솔루션으로는 AV, DRM, SSO, DLP, NAC 파일 전송 모듈 등이 존재하며, 이러한 솔루션은 PC를 제어해야 하므로 대부분 관리자 권한으로 동작한다.

 

공격자는 이러한 프로그램들의 실행 과정 분석, 프로그램 역분석 등을 통해 취약점을 찾아 공격을 시도한다. 다수의 에이전트는 서버와 통신하기 위해 외부에서 접근 가능한 포트를 열어 두기 때문에 원격으로 공격이 수행될 수 있다.

 

파일 전송 솔루션은 1) 파일전송 솔루션의 원격 다운로드 기능을 통해 악성코드 다운로드 2) 파일전송 솔루션의 로컬 파일 실행 기능을 통해 악성코드 실행 3) C&C 서버를 통한 다수의 PC 권한 획득이 가능하다.

 

이외에도 운영체제 커널 또는 드라이버의 알려진 취약점(CVE)을 이용한 PC 권한 획득이 가능하고, 솔루션 에이전트와 같은 응용프로그램의 취약점을 이용하는 경우가 많이 발견됐다.

 

이와 관련 RED IRIS팀은 솔루션의 위험성 인식 제고 및 관리가 중요하다관리가 미흡한 솔루션은 양날의 검으로 계정 및 접근통제 등 철저한 관리가 필수하고 강조했다. 이어 모의해킹을 통한 실질적인 위협 식별이 필요하다솔루션 취약점의 공동 대응이 요구된다고 당부했다.

 

[김경애 기자(boan3@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710463643895 http://board.snu.ac.kr/apiboard/127/11710463643895 Fri, 15 Mar 2024 09:47:23 +0900
<![CDATA[러시아의 첩보부, “미국이 선거에 개입하려 한다”고 주장]]> http://board.snu.ac.kr/apiboard/127/11710463548624 [출처 : 보안뉴스]

 

요약 : 보안 블로그 시큐리티어페어즈에 의하면 러시아의 첩보부가 미국이 러시아 대선 과정에 개입하려 한다고 주장했다고 한다. 미국 정보의 지원을 받고 있는 해킹 단체가 러시아의 투표 시스템을 겨냥한 사이버 공격을 기획하고 있으며, 이를 통해 표의 집계를 부정확하게 만드는 것을 목표로 삼고 있다는 게 러시아 SVR의 주장이다. 이는 여태까지 미국이 해왔던 주장들을 그대로 답습해 되돌려주는 것으로, 미국에서 중요한 선거가 있을 때마다 러시아의 SVR이 여론을 조작하고 가짜뉴스를 확산시키는 등의 공격을 했다고 미국 정보 기관들은 항상 주장해 왔었다. 러시아는 미국 대선과 관련하여 자신들은 아무런 행위를 하지 않았다는 입장이다.

 

배경 : 러시아와 미국 모두 올해 대선을 치른다. 이 때문에 사이버 공간은 각 편을 드는 조직들의 공세로 물들 전망이다. 또한 외교 무대는 사이버 공격을 했다는 양측의 주장과, 그런 적 없다는 반박으로 가득할 것으로 예상된다. 다만 러시아에서는 미국이 사이버 공격을 한다고 해도 얻어갈 것이 크게 없어 보인다. 왜냐하면 푸틴의 당선이 이미 99.9% 확실하기 때문이다. 사이버 여론전으로 이를 뒤집기에는 한없이 모자랄 것이다.

 

말말말 : 우리는 그 어떤 나라에도 우리의 삶의 방식을 강요하지 않습니다. 그러니 다른 나라도 우리에게 뭔가를 강요할 수 없습니다.” -러시아 정부 대변인-

 

[국제부 문가용 기자(globoan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710463548624 http://board.snu.ac.kr/apiboard/127/11710463548624 Fri, 15 Mar 2024 09:45:48 +0900
<![CDATA[비트코인 시세 급등에 따른 해킹 피해 주의보! 가상자산거래소 이용자 노린다]]> http://board.snu.ac.kr/apiboard/127/11710463477953 [출처 : 보안뉴스]

 

실제 업무 내용처럼 위장 접근 후 해킹 시도...코니 APT 그룹 소행의 악성코드와 동일

의심 피하기 위해 악성파일과 정상파일 함께 보내...사용자 단말 주요정보 저장 및 유출

 

비트코인 가격이 사상 최고가 행진을 이어가는 가운데 국내 거래소 기준 한때 1억원을 돌파하는 등 관심도 집중되고 있다. 비트코인 시세가 급증하면서 이런 사회적 관심을 노린 해킹 공격도 발생하고 있어 이용자들의 주의가 요구된다.

 

지니언스 시큐리티 센터(이하 GSC)는 이달 7일 무렵부터 첨부.zip’ 파일명으로 악성파일이 국내에 배포된 정황을 포착해 분석을 진행했다. 해당 압축파일 내부에는 첨부1_성명_개인정보수집이용동의서.docx.lnk’첨부2_*** 메일 내용(참고).pdf’ 2개 파일이 포함됐다.

 

해당 두 개의 첨부파일 중 첨부1_성명_개인정보수집이용동의서.docx.lnk’라는 이름의 바로가기(LNK)가 실제 공격을 위해 포함된 악성파일이고, 다른 하나는 의심을 피하기 위해 미끼용으로 추가한 정상적인 PDF 문서다.

 

공격 시나리오를 살펴보면 초기 공격 수법은 계속 조사가 진행 중이지만, 현재로서는 해킹 메일 기반 스피어피싱 공격 가능성이 크다는 게 GSC 측의 분석이다. 공격에 쓰인 첨부.zip’ 압축파일을 열어보면 첨부1_성명_개인정보수집이용동의서라는 제목의 워드 링크 파일과 함께 첨부2_XXX 메일 내용(참고)’라는 PDF 파일이 확인되고 있다. 여기서 일부 명칭은 블러 처리를 했다.

 

압축을 해제한 후 내용을 확인하면 얼핏 보기에는 마이크로소프트 워드(.docs)PDF 문서처럼 보이는 두 개의 파일이 존재한다. 하지만 실제로는 첨부1_성명_개인정보수집이용동의서.docx.lnk’ 파일과 첨부2_*** 메일 내용(참고).pdf’ 등 두 개의 파일이 있다. 여기서 바로가기(LNK) 파일은 이중 확장자로 최종 확장자가 보이지 않기 때문에 아이콘과 확장자만 보고 MS Word DOCX 문서로 쉽게 착각할 수 있다.

 

이러한 전략이 전혀 새로운 방식은 아니지만, 올해 상반기 기준으로 가장 성행하는 공격요소 중 하나다. 따라서 아이콘과 확장자를 꼼꼼히 살펴보는 것과 함께 아이콘 좌측 하단에 [화살표] 포함 여부로 구별해야 한다. 보통 이러한 공격은 이메일 첨부파일이나 SNS 메신저 등으로 전달되며, 압축파일 내부에 LNK 파일을 포함한다. 그러므로 압축해제 후 아이콘에 [화살표]가 포함돼 있다면 열 중 아홉은 해킹을 시도하는 파일로 봐도 큰 무리가 없다.

 

헤당 악성파일을 분석해보면 위협 행위자는 의심을 최소화하기 위해 특정 가상자산 거래소의 안내 문서처럼 조작된 첨부2_*** 메일 내용(참고).pdf’ 파일을 공격에 함께 활용했다. 해당 본문 내에는 개인정보 수집 이용동의서.docx’ 문서에 대해 협조 요청을 하고 있다.

 

공격의 시작은 첨부1_성명_개인정보수집이용동의서.docx.lnk’ 파일을 통해 진행되기 때문에 위협 행위자는 본문 내용으로 간접 유인도 시도했다. 또한 바로가기 파일 내부에는 난독화된 파워쉘(PowerShell) 명령을 포함하고 있다.

 

바로가기 전체 길이 0x16EF7F1A 값을 확인하고, 다음과 같은 데이터 조건에 따라 파일을 생성하고 실행한다. .docx 파일은 원본과 같은 경로에 같은 이름으로 생성되고, .cab 파일은 공용(Public) 폴더 경로에 ‘UHCYbG.cab’ 이름으로 만든다.

 

먼저 파워쉘 내부 명령에 따라 첨부1_성명_개인정보수집이용동의서.docx.lnk’ 파일은 같은 위치에 첨부1_성명_개인정보수집이용동의서.docx’ 파일로 교체되고 실행된다. 그 다음 공용(Public) 폴더 경로에 ‘UHCYbG.cab’ 파일을 생성하고 공용문서(Documents) 위치에 압축을 해제한다. 해제된 파일이 실행되면, CAB 파일은 자동으로 삭제된다.

 

압축 내부에는 start.vbs, 49120862.bat, 78345839.bat, 47835693.bat, 30440211.bat, 60712945.bat, 30606240.bat, 99548182.bat, unzip.exe 등 파일이 포함돼 있으며, VBS 스크립트에 의해 작동이 시작된다. 그 다음 조건에 따라 여러 BAT 파일이 호출되면서 사용자 컴퓨터 정보 수집과 유출 시도, 레지스트리 등록을 통한 지속성 유지와 추가 악성파일 설치 등이 이어진다. 이와 같은 과정을 거쳐 사용자 단말의 주요정보가 저장되고, 위협 행위자가 지정한 명령제어(C&C) 서버로 유출 및 추가 악성파일 다운로드가 시도된다.

 

지금까지 살펴본 위협 사례는 2023731일과 926일에 지니언스가 위협분석 보고서로 발간한 코니(Konni) APT 캠페인의 연장선에 속한다. 이번 공격은 국세청 우편물 발송 알림 사칭 공격’, ‘통일 및 북한인권 분야 표적 사례와 공격에 쓰인 코드 유사도가 높다.

 

GSC 관계자는 코니 그룹은 비트코인 거래 관계자 및 대북북야 종사자 등 다양한 위협 활동을 전개 중으로 주로 LNK, VBS, BAT 유형의 악성코드를 개발해 공격에 사용하고 있다초기 유입을 예방하기 위해 바로가기(LNK) 파일에 대한 주의가 요구되고, 연쇄적으로 작동하는 배치파일(BAT)의 이상행위를 탐지하고 차단해야 한다고 말했다. 이어 특히 위협 행위자들이 시그니처 기반의 탐지를 회피하기 위해 C&C 서버와 명령 코드를 계속 바꾸고 있어 주의가 필요하다고 강조했다.

 

[김영명 기자(boan@boannews.com)]

]]>
http://board.snu.ac.kr/apiboard/127/11710463477953 http://board.snu.ac.kr/apiboard/127/11710463477953 Fri, 15 Mar 2024 09:44:37 +0900
<![CDATA[챗GPT, 원래는 숨겼어야 할 비밀들을 술술 풀어놓기도 한다]]> http://board.snu.ac.kr/apiboard/127/11710446649281 [출처 : 보안뉴스]

생성형 인공지능 도구들의 인기가 빠르게 높아지는 중이라 그런지 이런 도구들의 취약점이 다양한 각도로 연구되고 있다. 최근에는 챗GPT의 API를 통해 훈련 데이터를 빼돌리는 방법이 개발되기도 했다.

구글 딥마인드(Google DeepMind)와 오픈AI(OpenAI), ETH취리히(ETH Zurich), 맥길대학(McGill University), 워싱턴대학(University of Washington)의 전문가들이 챗GPT와 구글 팜2 등으로 대표되는 대형 언어 모델을 공략하는 새로운 방법을 개발하는 데 성공했다. 공격 성공 시 인공지능 아키텍처와 관련된 주요 정보를 확보할 수 있게 된다고 한다.

이 연구 결과는 상당히 상징적이다. 대형 언어 모델을 기반으로 한 챗봇들에 전송된 데이터는 숨겨져 있는 것으로 통상 알려져 있는데, 그것이 틀린 생각이라는 것을 증명하기 때문이다. 숨겨져 있는 데이터를 추출할 수 있다는 건, 사실상 특정 인공지능의 기능성을 고스란히 복제할 수 있다는 것과 동일한 말이다. 요 근래 인공지능의 약점과 결함을 다루는 연구 보고서들이 속속 등장하고 있는데, 아직 인공지능 기술이 적어도 안전성이라는 측면에서는 가야할 길이 멀다는 걸 드러낸다.

숨겨진 데이터 추출하기
현재 시장은 각종 대형 언어 모델 기반 인공지능 서비스의 난립으로 정신이 없다. 챗GTP만 해도 여러 가지 버전이 존재하고, 구글이 제미나이(Gemini)와 클로드 2를 등장시키면서 그야 말로 춘추전국시대가 되려하고 있다. 그렇기 때문에 각 모델의 개발사들은 자사 알고리즘을 훈련시키는 데 사용했던 데이터를 철저히 감추고 있으며, 훈련 방법과 결정 논리 등도 비공개로 둔다. 경쟁 원리에 입각해서 봤을 때 당연한 조치다.

하지만 연구원들은 “API를 통해 감춰진 것들에 일부 접근할 수 있었다”고 밝혔다. API는 개발자들이 특정 도구나 앱, 소프트웨어의 일부 기능만을 따다가 자신이 개발하는 소프트웨어나 앱, 도구에 삽입하는 데 사용하는 기술이다. 예를 들어 지도 관련 앱의 API를 활용하면 별개의 길찾기 앱에 지도를 띄울 수 있게 된다. 메신저 앱의 API를 활용하면 전혀 다른 앱에서 사용자들 간 대화를 주고받을 수 있게 할 수 있다. 챗GPT의 기능도 API라는 형태로 다른 앱에 추가 가능하다. 그러니 오픈AI가 어떤 API를 개발해 풀어놓느냐에 따라 다른 개발자들도 인공지능을 따로 개발할 필요 없이 챗GPT의 기능성을 활용할 수 있게 된다. 요즘처럼 프로그램 개발이 각종 기능을 짜깁기 하는 식으로 진행될 때, API는 매우 중요한 역할을 담당하게 된다.

이번 연구에 참여한 연구원들은 이런 API를 공격 통로로 활용하여 숨겨진 데이터에 접근할 수 있지 않을까 하는 데에 착안해 실험을 시작했다고 한다. 기존에는 인공지능 챗봇의 프롬프트 창을 통해 공격을 시도하는 방법들이 연구되곤 했는데, 이번에는 API가 연구 대상이 된 것이다. 연구원들은 자신들이 성공시킨 공격에 ‘탑다운(top-down)’이라는 이름을 붙였다. 인공지능 신경망 아키텍처의 최종 층위를 겨냥해 요청문을 보냈을 때 어떤 결과가 나오는지 파악하고자 하는 게 그들의 연구 목적이었다고 한다. 신경망 아키텍처의 최종 층위란 입력된 데이터를 기반으로 해 사용자에게 출력될 답이나 결과가 생성되는 곳이다.

탑다운 공격
연구원들이 답변이 생성되는 최종 층위를 노린 데에는 이유가 있다. 나오는 답변과 입력한 데이터를 비교하면 해당 알고리즘이 어떤 논리로 데이터를 처리하는지 유추할 수 있기 때문이다. 게다가 그 답변을 어떻게든 바꾸는 데 성공하기라도 한다면, 그것 나름대로 또 다른 공격을 성공시킨 것이기도 하다. 공격에 성공했을 때 가장 얻을 게 많은 곳이 바로 이 최종 층위라는 것이다. 연구원들은 “총 매개변수 수와 관련이 있는 트랜스포머 모델(transformer model)을 어느 정도 확인할 수 있게 되며, 따라서 블랙박스로 표현되는 인공지능의 내부를 전부 들여다볼 필요가 없게 해주기도 한다”고 설명한다.

실제로 최상 층위를 공격했을 때 연구원들은 기밀에 해당하는 정보들을 적잖이 가져갈 수 있었다고 밝히고 있다. “20달러 안팎의 비용만으로 오픈AI의 언어 모델로부터 전체 투영행렬(projection matrix)을 뺄 수 있었습니다. GPT 3.5 터보 모델로부터는 숨겨진 규모 관련 정보를 얻어낼 수 있었고요. 공격자가 마음 먹고 2천 달러를 투자한다고 했을 경우 모델 자체를 그대로 복제해갈 수 있을 수준의 데이터를 얻어낼 수 있을 거라고 분석하고 있습니다.”

이번 실험에서는 대형 언어 모델 기반 인공지능 중 유명한 일부만이 사용됐다. 하지만 연구원들은 “거의 모든 대형 언어 모델 기반 인공지능에 공격이 통할 것”이라고 보고 있다. 그렇기 때문에 인공지능을 개발하는 곳이라면 이번 연구를 참고하여 안전을 강화하는 게 좋을 것이라고 전문가들은 권고한다.

3줄 요약
1. 챗GPT 등 유명 인공지능으로부터 각종 데이터 추출 가능함.
2. 인공지능 자체를 뚫는 게 아니라 API를 활용해 최상위층 공략만 해도 됨.
3. 대부분 알고리즘에 통할 공격으로 예상됨.

[국제부 문가용 기자(globoan@boannews.com)]
]]>
http://board.snu.ac.kr/apiboard/127/11710446649281 http://board.snu.ac.kr/apiboard/127/11710446649281 Fri, 15 Mar 2024 09:36:46 +0900