● 악성코드

중국 해커들, VLC 미디어 플레이어 통해 멀웨어 퍼트려

· 중국 해커들의 오래된 공격 캠페인이 발견됐다고 IT 외신 블리핑컴퓨터가 보도했다. 이 캠페인에서 중국 해커들이 악용한 건 유명 미디어 플레이어 앱인 VLC 미디어 플레이어다.

· 최대 3개 대륙에서 정부 기관, 법률 기관, 종교 단체, NGO들을 겨냥해 광범위한 정보 수집이 이뤄진 것으로 보이며, 배후에는 중국 정부의 지원을 받고 있는 APT10이 있는 것으로 분석되고 있다. 이들은 자신들이 직접 만든 멀웨어를 VLC 미디어 플레이어의 엑스포트 기능을 통해 심은 것으로 보인다.

· VLC 미디어 플레이어가 최초 침투에 사용된 것은 아니다. 공격자들은 첫 번째 공격을 통해 1차 침투를 감행한 뒤 피해자의 시스템에 설치된 VLC를 자신들의 목적을 달성하기 위해 악용했다고 한다. 공격자들이 심은 멀웨어는 대부분 소다마스터라는 백도어다. 중국의 APT 단체들만 사용하는 백도어로 알려져 있다.

스프링4셸 취약점, 전제 조건 많이 붙어 익스플로잇 까다로워

· 스프링4셸은 매우 중대한 문제라고 보안 업계는 받아들이고 있다. 다만 지금 당장 인터넷 전체가 커다란 위협에 뒤흔들리고 사이버 생태계가 파괴될 정도로 심각한 문제는 아니다. 소나타입의 CTO인 일카 투루넨(Ilkka Turunen)은 4월 4일자 블로그 게시글을 통해 “사건 초기인데도 로그4j 사태 때와는 확연히 다른 업데이트 속도가 나타나고 있다”고 밝혔다.

· 투루넨은 “익스플로잇에 필요한 조건이 너무나 많다”며 “확실히 실제 공격에 노출된 장비나 인스턴스들이 줄어들 수밖에 없다”고 설명한다. “실제 스프링4셸 공격에 대해 걱정해야 하는 경우는 그리 많지 않을 수 있습니다. 하지만 대형 프로젝트들의 경우 레거시 장비나 소프트웨어를 포함하고 있을 때가 많습니다. 프로젝트 관리자나 참여 개발자들도 하나하나 파악하지 못할 정도로요. 그런 경우 취약점이 숨겨져 있을 수 있습니다.”

● 어플리케이션

왓츠앱 음성 메시지 기능 활용한 악성 피싱 캠페인 발견돼

· 공격자들이 노리는 건 마이크로소프트 365와 구글 워크스페이스 계정들이다. 공격자들은 모스크바에 있는 것으로 알려진 교통안전센터(Center for Road Safety)의 정상 도메인으로부터 피싱 메일(음성 사서함에 메시지가 와 있다는 내용)을 보낸다고 하는데, 현재까지 피싱 메시지를 받은 사람은 2만 7천여 명이라고 한다. 의료, 교육, 도소매 분야에 피해자들이 집중되어 있는 것으로 분석됐다.

· 교통안전센터는 실제로 모스크바에 있으며 러시아 내무부 소속 기관으로 보인다. 또한 공격자들이 피싱에 사용하는 도메인도 교통안전센터의 정상 URL과 같아 악성 여부를 판단하기가 힘들다고 한다. 이 공격에 속은 사용자의 PC에는 크립틱(Kryptik)이라는 트로이목마가 설치된다.

전기자동차 충전 독 CCS, 해킹 공격에 취약할 수 있어

· 옥스포드대학의 연구원들이 CCS라는 전기자동차 충전 독에 대한 해킹 공격 기법을 발견했다고 한다.

· 이 공격에 성공할 경우 CCS를 이용하는 수많은 차량의 충전이 중단된다고 한다. 이 공격 기법에는 브로큰와이어(Brokenwire)라는 이름이 붙었으며, 공격자는 최대 47m 떨어진 곳에서 공격을 성공시킬 수 있는 것으로 조사됐다.

· 일반 차량이라면 이것이 큰 문제가 되지 않겠지만 앰뷸런스 등 주요 임무를 수행 중에 있는 차량에 이러한 공격이 들어가면 큰 문제가 생길 수 있다.

· 브로큰와이어 공격이 성공할 경우 차량 한 대만이 아니라 여러 대가 동시에 충전이 되지 않는 상태로 변할 수 있다. 현재 전 세계에 1200만 개가 넘는 CCS 유닛이 사용되고 있는 것으로 추정되고 있다.

● 네트워크

새로운 파이선 기반 랜섬웨어, 주피터랩 웹 노트북 공격 중

· 주피터 노트북은 데이터 분석가들을 위한 특수 장비로, 이를 겨냥한 랜섬웨어가 나타난 건 이번이 처음이다.

· 이 랜섬웨어를 발견한 보안 업체 아쿠아 시큐리티(Aqua Security)는 랜섬웨어가 하니팟 하나에 걸려드는 바람에 존재를 확인할 수 있었다고 한다. 아직 랜섬웨어의 이름은 특별히 언급되지 않고 있다.

· 아직까지는 해당 랜섬웨어가 대단히 고급스럽지는 않은 것으로 보인다. 주피터 노트북 중 설정이 잘못된 상태로 인터넷에 노출되어 있는 시스템들만 감염시킬 수 있다고 한다. 공격 방식 자체도 단순하다. 최근 랜섬웨어들처럼 오랜 기간 정찰하고 데이터를 미리 빼돌리는 등의 행위는 없다.

암호화폐 탈취 노리는 북한··· 국정원, 4대 거래소에 사이버위협 정보 공유

· 북한이 경제 제재 국면에서 암호화폐 탈취를 통해 돈벌이에 집중하는 중이다. 유엔(UN) 안전보장이사회(이하 안보리) 산하 대북제재위원회 전문가패널은 2021년 북한 해커가 훔친 암호화폐 규모가 4억달러(한화로 약 4880억원)에 달한다고 지적했다. 국내에서도 암호화폐 거래가 활발히 이뤄지는 만큼, 이에 대한 대비가 필요한 상황이다.

· 런 가운데 국가정보원(이하 국정원)은 국내 대형 암호화폐거래소 업비트, 빗썸, 코빗, 코인원 등 4곳에 국내·외 주요 사이버위협정보를 제공하는 등 정보 공유 서비스를 확대하고 있다고 7일 밝혔다.

· 국정원 관계자는 “최근 해킹 공격은 민간과 공공을 구분하지 않고 이뤄지고 있다. 사이버안보가 국가 안보와 직결되는 상황”이라며 “암호화폐거래소는 물론 민간 기업과 사이버위협정보 공유를 적극 확대해 나가겠다”고 말했다.

● 시스템

국정원 “5년 간 핵심기술 유출 유출 시도 99건”

· 2일 국가정보원(국정원)에 따르면 2017년 1월부터 올 2월까지 적발된 산업기술 유출 시도는 총 99건이다. 유출될 뻔한 기술 99건을 살펴보면 △디스플레이 19건 △반도체·전기전자 17건 △자동차 9건 △조선·정보통신·기계 각 8건 등이다. 대부분 모두 우리나라 주력 산업이다. 기업에서 자체 추산한 금액 등으로 평가하면 22조 원대 규모 피해 가능성이 있었던 것으로 추정된다.

· 국정원은 산업 안보에 대한 위협이 커지면서 지난 1월 산업기술안보국을 신설했다. 과학기술정보통신부, 산업자원부, 국토교통부, 경찰청 등과 공조해 자율주행, 지능형 반도체 등 첨단산업에 참여하는 기업을 대상으로 보안 진단과 자문도 제공하고 있다.

· 국정원은 “최근 기업과 기관이 정부의 보안 권고를 무시하거나 피해 조사를 거부하다가 해킹을 당하는 사례도 있다”면서 “'보안조치 권고 준수' '해킹 피해 조사 적극 협조' 등을 규정하는 관련법 제정 필요성도 제기된다”고 전했다.

과기부 "이중인증 강화, 접근권 차등부여 등으로 해킹 예방해야"

· 최근 외국 해킹 그룹 랩서스(LAPSUS＄)의 삼성전자, LG전자 등 대기업 해킹을 진행하고, 다크웹 등을 활용한 해킹 등이 늘어나는 가운데 정부가 이들 사례의 유형을 분석하고 단계별 대응방안을 제안했다.

· 과학기술정보통신부(과기정통부)는 최근 발생한 국내외 침해 사고를 분석한 결과 외부로부터의 사이버 공격은 최초 침투 단계, 내부망 침투 단계, 데이터 유출 단계 등 3단계 중 하나에서 일어났다고 7일 분석했다.

· 과기정통부는 이 같은 침해사고가 업무 효율을 우선시하면서 기본 보안 수칙을 간과해 발생한 것이라고 지적했다. 최초 침투 단계의 보안을 강화하기 위해서는 이중 인증을 반드시 사용해야 하고, 이메일 인증보다 생체인증 또는 모바일 앱 등을 활용한 소유 기반 인증을 사용하는 게 좋다고 권유했다.