● 악성코드

“이 앱 본 적 있죠?” 사진 꾸미려고 받았다가 무서운 일이…

· 최근 구글 플레이스토어에 등장한 인기 사진편집 앱이 실제로는 ‘페이스북 개인정보 탈취용’인 것으로 드러나 논란이 되고 있다. 앱 출시 한 달도 안 돼 10만건 이상 다운로드될 만큼 관심이 쏠렸지만 뒤통수를 맞은 사용자들이 분노를 쏟아내고 있다.

· 이를 뒤늦게 파악한 구글도 부랴부랴 해당 앱을 퇴출시켰으나 사진편집을 가장한 ‘페이크(fake) 앱’을 둘러싸고 불안감은 식지 않고 있다.

· 실제로 앱을 내려받아 실행하면 ‘페이스북 계정으로 로그인하라’는 화면이 뜬다. 사용자가 본인의 페이스북 아이디와 비밀번호를 입력하는 순간, 개인정보부터 검색기록 등 모든 데이터가 러시아에 있는 서버로 전송되게 설계된 것으로 전해졌다.

쿠바 랜섬웨어 조직, 현대파워텍 해킹해 내부 파일 유출 주장

· 쿠바 랜섬웨어 해커조직이 현대파워텍의 내부 파일을 해킹으로 유출했다고 공지했다. 이들은 피해기업을 공개하는 릭(leak) 페이지에 현대파워텍의 회사 소개와 함께 웹사이트, 유출 파일을 다운로드 할 수 있는 기한, 그리고 유출 파일 종류에 대해 나열하고 다운로드 링크를 만들어 놓았다.

· 쿠바 랜섬웨어 조직이 주장한 유출 파일에는 각종 금융서류와 은행직원과의 통신기록, 계좌이동 기록, 대차대조표, 세금서류, 보상금과 함께 소스코드도 포함돼 있다. 그러나 이들이 유출했다고 주장하는 자료는 최신 자료가 아니거나 크게 중요하지 않은 자료일 가능성이 높다.

· 공개한 현대파워텍 홈페이지는 현재 정상적으로 연결되지 않는 상황이다. 이에 따라 과거 현대파워텍 시절의 내부 자료가 일부 유출됐고, 이 때문에 피해 기업과 쿠바 랜섬웨어 조직 간의 협상도 결렬됐을 가능성이 제기된다.

● 어플리케이션

랜섬웨어 '하이브' 무력화됐다...과기부-KISA, 복구도구 배포

· 과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 지난해 6월 발견된 최신 랜섬웨어 '하이브'에 대한 복구 도구를 개발해 배포한다고 21일 밝혔다.

· 하이브 랜섬웨어는 해커가 윈도 취약점을 이용해 시스템에 침투한 후 파일을 암호화해, 이용자가 파일을 이용하지 못하도록 하고, 해당 파일의 확장자를 '.hive'로 변경하는 랜섬웨어다. 

· 이번에 과기정통부와 KISA가 개발해 배포한 복구 도구는 하이브 랜섬웨어 버전1에 적용할 수 있다. 올해 3분기 중 하이브 랜섬웨어 버전2·3에 대한 복구 도구도 개발·배포할 계획이다.

· 과기정통부는 랜섬웨어 피해예방을 위해 ▲중요한 자료 정기적 백업 ▲출처가 불명확한 전자우편과 URL 링크 클릭 주의 ▲파일 공유 사이트 등에서 파일 다운로드 주의 ▲최신버전 SW 사용 및 보안 업데이트 적용 등 예방 수칙 준수를 당부했다.

새로운 BitB 공격, 피싱을 보이지 않게 만들어

· 보안 외신 해커뉴스에 의하면 ‘브라우저 인더 브라우저(Browser in the Browser)’라는 공격 기법이 나타났다고 한다. 브라우저 창 안에서 또 다른 브라우저 창이 열린 것처럼 꾸밈으로써 사용자들을 속이는 것이다. 이는 ‘싱글사인온(SSO)’ 옵션이 임베드 된 웹사이트에서 실행 가능한 공격이라고 한다. 예를 들어 ‘구글 계정으로 로그인’ 옵션을 사용자가 누르면 팝업창이 뜨면서 로그인 과정을 사용자가 마무리 할 수 있게 되는데, 공격자가 HTML과 CSS 코드를 활용함으로써 이 모든 절차를 그대로 흉내 내는 것이 BitB 공격이라고 한다.

· BitB 공격은 일반적인 SSO 로그인 과정과 똑같아 보이기 때문에 사용자는 아무런 의심 없이 크리덴셜 정보를 입력할 수밖에 없게 된다. 일반적인 SSO 로그인 과정과, BitB 공격의 과정은 서로 구분이 가지 않을 정도로 흡사하다고 전문가들은 말한다.

● 네트워크

발란, 해킹 당했다…고객 개인정보 유출

· 명품 플랫폼 발란에서 해킹으로 고객의 일부 개인정보가 유출됐다.

· 발란은 17일 홈페이지 공지사항을 통해 "16일 오후 3시 10분쯤 허가받지 않은 외부 접속자가 회원정보에 비정상적 방식(해킹)으로 접근한 정황을 발견하고 즉각 모든 서비스에 대한 유출 의심 경로를 차단했다"고 밝혔다.

· 현재 발란은 한국인터넷진흥원(KISA)에 자진신고해 조사를 받고 있다.

· 유출된 개인정보는 닉네임과 이메일, 전화번호, 배송정보 등입니다. 발란 측은 "구매내역, 결제정보는 일체 유출되지 않았다"며 "비밀번호는 암호화돼 있고 주민등록번호는 애초 수집하지 않기 때문에 유출될 수 없다"고 설명했다.

· 발란은 자체적으로 침입 방지 시스템을 도입하고, 정보 유출 시 2차 피해가 생기지 않도록 24시간 모니터링도 진행할 방침이다. 

러시아 정부 등 홈페이지에 대규모 해킹 공격 이어져

· 러시아 정부 홈페이지와 국영 언론사에 대한 "전례없는" 해킹 공격이 이어지고 있다고 러시아 디지털개발 및 통신부가 17일(현지시간) 밝힌 것으로 미 워싱턴포스트(WP)가 보도했다.

· 디지털개발 및 통신부는 해킹 공격이 과거 있었던 어떤 공격보다 최소 2배 이상의 규모라면서 "예전에는 피크타임 트래픽이 500GB였는데 지금은 1TB에 달한다"고 밝혔다.

· 러시아 비상상황부 홈페이지는 16일 저녁 해커들이 장악해 내용을 수정했다. 해커들은 "우크라이나에서 살아서 돌아오라"라고 쓴 글귀와 함께 이 부처 각 부서 전화번호를 탈영을 원하는 러시아군인들을 위한 전화번호로 바꿨다.

● 시스템

새로운 유닉스 룻키트, ATM 기계들을 공격해

· IT 외신인 블리핑컴퓨터에 의하면 라이트베이진(LightBasin)이라는 사이버 공격 단체들이 새로운 공격 무기를 개발해 사용하고 있다고 한다. 이 무기는 유닉스의 룻키트로, ATM에서 뱅킹 데이터를 훔치고 사기 거래를 진행하는 기능을 가지고 있다. 보안 업체 맨디언트(Mandiant)에 의하면 이 유닉스 룻키트는 일종의 유닉스 커널 모듈로, 이름은 케이크탭(Caketap)이라고 한다. 오라클 솔라리스 OS 기반 서버들을 주로 침해하는 것으로 분석됐다.

· 라이트베이진은 최근 통신사들을 집중적으로 공격하던 그룹이다. 하지만 2020년 이전에는 MSP 기업들을 공략함으로써 그 고객사들을 침해하는 전략을 주로 구사했었다. 케이크탭은 네트워크 연결, 프로세스, 파일을 숨긴 상태에서 악성 요소들을 설치함으로써 공격자들로부터 명령을 받는다.

동남아 5개국 기업 지도자, 최우선 과제로 '사이버 보안'에 집중

· 미국 온라인 테크 매체 지디넷에 따르면, 동남아시아 기업 최고위급 지도자층이 차세대 기술 역량 채택과 기존 기술 격차를 완화할 핵심 요소로 사이버 보안 분야에 주목하는 추세이다.

· 조사를 통해 현재 기업 내부에서 사이버 보안 전략을 마련하고 있는 기업은 74%로 확인됐다. 또, 46%는 기업 임원진이 분기별로 사이버 보안 문제를 논의한다고, 38%는 한 달 단위로 사이버 보안 문제를 논의한다고 밝혔다.

· 68%는 사이버 보안 문제 중 예산 관련 문제를 집중적으로 다룬다고 응답했다. 48%는 사이버 보안 문제 중 차세대 보안 기술 채택을, 46%는 기존 사이버 보안 격차를 가장 중요한 요소로 본다고 답변했다. 운영 최적화가 가장 중요하다고 답변한 응답자는 44%이다.