● 악성코드

“다음 먹잇감은 서버리스” AWS 람다 노리는 암호화폐 채굴 악성코드 등장

· 악성코드 제작자는 서버 지향적인 악성코드에 있어서는 시대의 변화를 놓치지 않는다. 특히 공격자는 자신이 노리는 기업이나 기관이 사용하는 기술을 적극적으로 도입한다. 최근 AWS 람다에서 동작하도록 만들어진 암호화폐 채굴 악성코드가 발견된 것도 이런 맥락에서 볼 수 있다. AWS 람다는 서버리스 컴퓨팅 플랫폼으로, 사용자가 제공하는 애플리케이션 코드를 온디맨드 방식으로 실행한다.

· 카도 시큐리티(Cado Security)의 연구팀은 보고서를 통해 “첫 샘플은 암호화폐 채굴 소프트웨어를 실행할 뿐이라 비교적 무해한 편이지만, 공격자가 첨단 클라우드 전문 지식을 사용해 복잡한 클라우드 인프라를 어떻게 악용하는지를 잘 보여준다. 미래에 일어날 수 있는 더 사악한 공격의 신호가 될 수 있다”고 설명했다.

리눅스의 보안 위협, 점점 더 증가하고 있다

· 대수롭지 않게 보이는 것들, 혹은 거기 있는 줄도 몰랐던 사소한 것들이 꽤나 큰 문제를 일으키는 사례가 보안 업계에서는 흔히 나타난다. 좋은 예가 있으니 ELF 바이너리 형태로 기획된 리눅스 멀웨어다. 리눅스라는 것이 광범위하게 우리 생활 곳곳에 퍼지고 있는데, 대부분의 우리는 그걸 잘 인지하지 못하고 있다. 거기 있는데 있는 줄 모르고 있다가 큰 코 다치게 되는 것이다.

· 포티가드랩스(FortiGuard Labs)의 전문가들이 조사한 결과 최근 들어 ELF 멀웨어를 비롯해 다양한 종류의 리눅스 멀웨어들이 무서운 속도로 증가하는 중이라는 사실이 드러났다. 2021년 한 해 동안 리눅스 멀웨어의 양은 두 배 넘게 증가했으며, 올해 1사분기 동안에는 무려 네 배나 늘어났다고 한다. 물론 2배나 4배를 가지고 ‘기하급수적’이라고 말하는 건 어색하지만, 무시하기도 힘든 수치인 것도 분명하다.

● 어플리케이션

삼성 모바일 앱, 보안 취약해 ‘안드로이드 해킹 주의’

· 안드로이드 9, 10, 11, 12 기기를 손상시킬 수 있는 CVE-2022-22292로 추적되는 보안 취약점이 발견됐다. 이 CVE-2022-22292 취약점은 심각한 문제로 평가돼 2021년 11월 27일 삼성에 보고됐고, 삼성은 지난 2월 SMR(보안 유지 관리 릴리스) 프로세스 내에서 이 취약점에 대한 보안 패치를 실행했다. 

· 이번 취약점을 발견한 사이버 보안 기업 Kryptowire 연구원에 따르면, 취약점은 삼성의 시스템 권한으로 실행이 가능한 모바일 앱 내부에 있었다. 연구원은 해당 앱 내에 사용자의 승인 없이 누군가 권한 있는 작업을 수행할 수 있게 하는 요소가 있다고 경고했다.

· Kryptowire 연구원은 “취약점은 공격자에게 ▲모든 사용자 데이터 삭제 ▲전화 걸기 ▲앱 설치·제거 ▲임의의 루트 인증서 설치 ▲HTTPS 보안 해제 등의 기능을 허용하게 할 수 있다”라고 설명했다. 

정보 탈취형 멀웨어 2개, 새롭게 등장해 사이버 공간 위협

· 보안 외신 해커뉴스에 의하면 정보 탈취형 멀웨어가 2개나 새롭게 발견됐다고 한다. 이름은 에프에프드로이더(FFDroider)와 라이트닝스틸러(Lightning Stealer)이다. 에프에프드로이더는 텔레그램 앱으로 위장된 채 피해자의 시스템에 설치되고, 각종 프리웨어의 형태로 최초 침투에 성공하는 것으로 분석되고 있다. 여러 웹 브라우저를 통해 민감한 정보를 훔친다고 하며 추가 멀웨어를 다운로드 하기도 한다. 라이트닝 스틸러도 비슷한 방식으로 악성 행위를 하며, 30개가 넘는 파이어폭스 및 크로미움 기반 브라우저들을 공략한다고 한다.

· 두 가지 멀웨어가 주로 훔치는 건 디스코드 토큰, 암호화폐 지갑, 각종 쿠키, 비밀번호, 신용카드 정보, 브라우징 히스토리 등이다.

● 네트워크

세계 최대 해킹 커뮤니티 '레이드포럼', 국제 공조 수사로 폐쇄했다

· 세계 최대 해킹 커뮤니티 '레이드포럼(RaidForums)' 운영자가 체포되고, 사이트가 폐쇄됐다.

· 보안 전문 매체 블리핑컴퓨터에 따르면 12일(현지시간) 레이드포럼 설립자가 지난 1월 31일 영국에서 체포됐다. 체포 당시 설립자 나이는 21세로, 2015년 설립 시에는 14세에 불과했다. 현재 레이드포럼 도메인(웹 사이트 주소)은 미국 법무부에 압수됐다.

· 레이드포럼은 해커가 정보를 공유하고, 해킹에 필요한 계정이나 도구 등을 사고파는 커뮤니티다. 이러한 활동 대부분이 다크웹에서 이뤄지는 것과 달리, 레이드포럼은 검색을 통해 찾을 수 있는 표면웹(일반 인터넷)에서 운영됐다.

“클라우드 계정 99% 과잉 권한… 해커에게 문 열어주는 격”

· 과잉 접근 권한이 기업의 클라우드 보안을 취약하게 하는 것으로 나타났다. 팔로알토 네트웍스 유닛 42가 12일 발표한 보고서에 따르면 잘못 설정된 신원 및 접근 관리(Identity and Access Management, IAM)가 해커에게 공격할 틈을 주고 있다.

· 기업이 IAM를 효과적으로 운영하는 데 어려움을 겪고 있다는 뜻이다. 이 보고서에는 5개의 클라우드 해커 그룹과 그들의 해킹 방식이 기술되어 있다.

· 보고서의 '신원 및 접근 관리(IAM): 1차 방어선' 영역에는, 1만 8,000개의 클라우드 계정과 200개 이상의 조직에서 관리하는 68만개 이상의 자격 증명 정보가 분석된 내용이 담겼다. 분석 결과 클라우드 사용자, 역할, 서비스 및 리소스의 99%에 60일 동안 사용하지 않은 '과잉 권한'이 부여된 것으로 나타났다. 보고서는 해커가 이러한 권한을 악용하여 공격 반경을 횡적, 종적으로 모두 확장할 수 있다고 경고했다.

● 시스템

MS, 우크라 겨냥한 러시아 해킹시스템 무력화

· 마이크로소프트(MS)가 우크라이나를 겨냥한 러시아의 해킹시스템을 무력화시켰다.

· 7일(현지시간) 미국 CNN에 따르면 MS는 "'러시아 정보기관과 연계된 해킹조직이 우크라이나 언론사 서버에 침투하기 위해 사용하던 인터넷 도메인 7개를 비활성화하라'는 미국 법원의 명령을 이행했다"고 밝혔다.

· MS는 "러시아의 해당 해킹조직은 2016년 당시 민주당 전국위원회 해킹으로 잘 알려져 있는 조직"이라며 "이들은 물리적 침공을 전술적으로 지원하고 민감한 정보를 빼내기 위해 사이버 침입을 이용하려 했을 가능성이 높다"고 전했다.

美 병원 물류 로봇에서 발견된 보안 취약점 "수술 및 진료 방해 우려 있어“

· 많은 기업이 반복적이고 시간이 소요되는 작업을 자동화하기 위해 IT 솔루션을 도입하고 있다. 병원도 마찬가지다. 로봇을 비롯한 자동화 기기는 중요한 인적 자원을 확보하고 작업 효율을 높이는 데 도움이 되지만, 자동화 도입 전에는 대응할 필요가 없었던 위험을 발생시킬 수 있다.

· 최근 자동화 로봇 개발 업체 에이손(Aethon)의 모바일 자율 로봇 제품군 TUG에서 5가지 심각한 취약점이 발견되면서 이런 문제점이 특히 두드러졌다. TUG는 음식, 의약품, 실험실 검체, 병원 시설의 기타 지급품을 운반하도록 고안된 물류 로봇이다. 전 세계 병원에 배치된 TUG는 센서와 카메라를 사용해 복도를 통과하고 와이파이를 통해 엘리베이터 및 자동문과 상호작용한다.