● 악성코드

경북 기업·기관 '랜섬웨어' 피해 잇따르지만 '쉬쉬'…

· 경북에서 기업·기관 컴퓨터를 암호화해 볼모로 잡고서, 해제 대가로 금품을 뜯는 '랜섬웨어' 범죄 피해가 잇따르고 있다. 후속 피해를 우려한 기관들은 신고도 못한 채 속앓이만 하고 있다.

· 대외 신인도가 중요한 기관·기업일 수록 보안에 취약하다는 사실이 드러났을 때 신뢰도 하락이나 후속 피해를 우려하며 신고를 꺼린다. 대부분 외국 해커 집단이 범행해 추적이 어렵다는 점도 신고를 주저하는 이유다.

· 경북경찰청 관계자는 "랜섬웨어 범죄에 대한 수사가 전혀 불가능한 것은 아니다. 범인이 가까운 곳에 있는 경우도 많다"며 수사 의뢰를 권했다.

태양광 발전소 해킹 주의보

· 일본의 재생 에너지 발전소 특히 컨텍이 개발한 솔라뷰 제품을 사용하는 발전소들이 해킹 위험에 처해있다. 

· 6일(현지시간) IT매체 테크레이더에 따르면 지난 4월부터 악용되어온 심각한 취약점(CVE-2022-29303)으로 밝혀졌다. 솔라뷰 제품은 태양광 발전소의 적극적인 모니터링을 용이하게 하며 일본에서는 약 3만곳이 설치돼 있다.

· 이 취약점은 지난 4월 발견됐으며 CVE-2022-29303로 식별됐다. 10점 만점에 9.8점의 치명적인 등급을 받았다. 쇼단이라는 검색 엔진에서는 최소 600개의 솔라뷰 시스템이 확인됐다.

· 또한 팔로 알토 네트웍스는 미라이 봇넷의 변형을 전파하기 위한 캠페인의 일환으로 20개 이상의 다른 공격을 식별했다. 이 공격은 주로 사물인터넷(IoT) 장치를 대상으로 하며, TP-링크, 넷기어, 자이젤 등이 피해를 입었다. 미라이 봇넷이 지속적으로 큰 위협을 가지고 있으며, IoT 장치의 증가로 인해 광범위한 장애가 발생할 수 있다.

● 어플리케이션

중국의 스파이웨어, 구글 플레이스토어 통해 200만 회 다운로드 돼

· 보안 외신 핵리드에 의하면 구글의 플레이스토어를 통해 스파이웨어가 버젓이 유통되고 있었다고 한다. 이미 정상적인 것처럼 위장된 앱의 형태로 200만 회 이상 다운로드가 이뤄진 상황이다. 앱의 이름은 File Recovery and Data Recovery와 File Manager이다. 둘 다 같은 개발사의 작품인데, 모바일 장비에 설치해 사용할 경우 앱이 실행되면서 각종 정보가 중국에 있는 서버로 전송된다. OS와 장비 정보, 실시간 사용자 위치, 통신사 정보 등이 전달되고 있었다고 한다.

· 현재 이 두 가지 앱은 구글 측에서 삭제한 상황이다. 일반적인 탐지 기술로는 두 앱의 악성 기능이 잘 발견되지 않으며, 앱의 행동 패턴을 분석해야 의심스러운 부분이 나타난다고 한다. 원래는 정상적인 앱이었으나 설치 이후 이어지는 업데이트 과정을 통해 악성 기능이 추가되는 경우들도 있다. 따라서 앱의 리뷰와 평점, 개발사 정보를 살핀 후에 설치를 결정하는 것이 좋다.

스타벅스 앱카드 대규모 해킹피해…나도 모르게 사라진 충전금

· 스타벅스 앱에서 개인정보 도용에 따른 부정결제가 잇따르고 있는 것으로 확인됐습니다. 사용하지 않은 앱카드를 통해 수십만 원씩 결제되는 등 피해가 커지고 있습니다.

· 부정결제 피해는 스타벅스 앱을 통해 이뤄지고 있으며 해킹을 통해 탈취된 개인계정 충전금을 무단 사용하는 방식으로 금전피해가 확산되고 있습니다.

· 포항에 사는 배 모씨는 JTBC와 통화에서 11일 오후 업무 도중 스타벅스 앱카드에 신용카드 자동충전이 3차례 이뤄졌다는 카톡을 보고 깜짝 놀라 확인해보니 자신이 하지도 않은 결제와 자동충전이 반복해서 이뤄지고 있었다고 말했습니다.

· 다행히 빠르게 발견해 고객센터를 통해 자동충전 해지를 했지만 그 사이 쓰지도 않은 15만원이 결제되면서 피해를 입었다고 밝혔습니다.

● 네트워크

軍 방산업체 HJ중공업 해킹…다크웹서 8000달러에 데이터 판매

· 다크웹 해킹포럼에서 국내 방위산업체 HJ중공업 내부 데이터가 판매되고 있는 것으로 확인됐다. 공개된 샘플 데이터에는 공사 현황, 직원 인적사항 등 자료가 포함됐다. HJ중공업 측은 중요 문건은 아니지만, 건설 현장에서 쓰는 내부 자료가 맞다고 인정했다.

· 확보한 데이터 종류는 공사 계약서, 선적 자료 등이며, 모든 종류의 회사 내부 서류를 갖고 있다고 주장했다. 판매 가격은 8000달러(약 1043만3600원)을 비트코인으로 받겠다고 말했다.

· HJ중공업 관계자는 “샘플 데이터에 포함된 문서들은 건설 현장에서 쓰이는 자료들이지만, 내용 자체는 중요한 서류가 아니다”라며 “협력업체나 감리단에서 사용하는 공사 관계자들 개인 PC에서 유출됐을 가능성도 있지만 특정하기는 어렵다”고 말했다.

유튜브 영상 자동 건너띄니 개인정보 '술술'…구글 크롬 악성 플러그인 34개

· 러시아 보안 업체 카스퍼스키(Kaspersky)에서 신용카드 정보를 도용할 수 있는 구글 크롬 악성 확장 프로그램 34개를 공개했다.

· 카스퍼스키는 블로그에서 "총 8700만 건의 다운로드를 받은 악성 페이로드가 포함된 30개 이상의 구글 크롬 확장 프로그램을 발견했다"면서 "이 앱들 중 하나는 900만건 이상의 다운로드를 기록했다"고 밝혔다.

· 예를 들어 구글 크롬 웹 스토어에 등록된 PDF Toolbox라는 확장 프로그램의 경우 오피스 문서를 변환하고 PDF 파일로 간단한 작업을 수행할 수 있는 확장 프로그램으로 보이지만, 사용자가 본 모든 페이지에서 임의의 코드를 실행하는 악성 코드가 내부에 포함된 것으로 알려졌다.

● 시스템

리눅스 커널에서 스택롯이라는 새로운 취약점 발견돼

· 보안 블로그 시큐리티어페어즈에 의하면 새로운 리눅스 커널 취약점이 발견됐다고 한다. 이름은 스택롯(StackRot)이며, 익스플로잇에 성공할 경우 권한을 상승시킬 수 있게 된다. 리눅스 6.1~6.4 버전의 메모리 관리 하위시스템에서 발견되며, 현재 CVE-2023-3269라는 관리 번호가 부여됐고, CVSS 기준 7.8점을 받았다. 고위험군이다. 로컬에서 공격 실시가 가능하다. 취약점을 발동시키는 난이도는 낮은데 익스플로잇 난이도는 낮지 않다고 한다.

· 현재까지 실제 익스플로잇 공격에 이 취약점이 활용되었다는 정황은 없는 상황이다. 하지만 만일을 위해 스택롯의 세부 기술 정보는 공개되지 않고 있다. 북경대학의 연구원들이 발견한 것으로, 안전을 위해 개념 증명용 익스플로잇 코드도 이번 달 말에 발표할 것이라고 한다. 개념 증명용 코드는 실제 공격에 자주 활용된다.

"미국 정부 기관 이메일, 중국 해커에 뚫려‥MS 취약점 악용"

· 미국 정부 기관을 포함한 약 25개 기관의 이메일 계정이 중국 해커들에게 뚫렸다고, 미국 일간 워싱턴포스트와 월스트리트저널이 현지시간 12일 보도했습니다.

· 백악관에 따르면 관련 당국은 지난달 중순 마이크로소프트의 클라우드 보안에 문제가 생긴 걸 발견해 통보했으며, 마이크로소프트는 자체 조사를 통해 "중국 기반 해커가 25개 기관의 이메일 계정에 침입해 이용자 계정을 공격했다"고 밝혔습니다.

· 해커들은 5월 15일부터 피해 기관의 이메일 계정에 접근해 한 달 가량 은밀히 활동한 것으로 파악됐으며, 인터넷 이용자를 인증하는 데 사용되는 '디지털 토큰'을 위조한 것으로 조사됐습니다.

· 미국 언론들은 익명의 관계자를 인용해 "국방부나 정보기관, 군 이메일 계정 등은 해킹 공격을 받지 않았다"며 "미 연방수사국의 조사가 진행 중이지만 일단은 표적 공격으로 보인다"고 전했습니다.