● 악성코드

'인더스트로이어‧인컨트롤러'…산업시설 노리는 멀웨어 '기승'

· 최근 우크라이나 전력망을 겨냥한 사이버 공격 징후가 포착된 가운데 특정 제조 장비를 대상으로 한 멀웨어(악성 소프트웨어)가 발견되면서 산업제어시스템(ICS) 보안에 대한 경각심이 높아지고 있다. 미국 보안업체 맨디언트(Mandiant)는 이번에 발견된 ICS 멀웨어를 '인컨트롤러(Incontroller)'로 통칭하고 러시아 정부를 배후로 추정했다. 러시아의 우크라이나 침공이 약 두 달 가까이 이어지면서 ICS를 노린 지능형지속위협(APT) 공격도 지속될 것이라는 전망이다.

· 맨디언트는 최근 슈나이더 일렉트릭(Schneider Electric)과 오므론(Omron)의 특정 장비를 겨냥한 ICS　멀웨어인 인컨트롤러를 발견했다. 멘디언트에 따르면 인컨트롤러의 툴은 공격자가 주요 산업 기기에 내장된 ICS를 조작해 ▲가동 중지 ▲산업 프로세스 마비 ▲안전 제어 비활성화 등의 용도로 사용될 수 있다. 인더스트로이어 등과 비슷한 수준의 멀웨어라는 분석이다.

바이러스 토탈 플랫폼에서 심각한 원격코드실행 취약점 발견

· 잠재적으로 무기화될 수 있는 바이러스토탈(VirusTotal) 플랫폼의 원격 코드 실행(RCE) 보안 취약점이 공개되었다. 구글의 크로니클 보안 자회사인 바이러스토탈은 70개 이상의 타사 바이러스 백신 제품을 사용하여 의심스러운 파일과 URL을 분석하고 바이러스를 검사하는 악성 코드 검사 서비스이다.

· 취약점을 악용하는 방법은 플랫폼의 웹 사용자 인터페이스를 통해 DjVu 파일을 업로드하는 것이었다. 이를 사용하여 이미지와 PDF 파일의 EXIF 메타데이터 정보를 읽고 편집하는 데 사용되는 오픈 소스 유틸리티인 ExifTool의 심각도가 높은 원격 코드 실행 결함에 대한 익스플로잇을 트리거했다. 

· CVE-2021-22204(CVSS 점수: 7.8)로 추적되는 ExifTool의 취약점은 DjVu 파일을 잘못 처리하여 발생하는 임의 코드 실행이다.

● 어플리케이션

로그4셸 발견된 지 4개월 넘었지만 아직도 취약한 서버 넘쳐

· 최근 쇼단 검색 엔진으로 스캔을 실시한 결과 취약한 버전의 로그4j를 인터넷에 그대로 노출시키고 있는 서버가 9만 개 이상인 것으로 나타났다. 레질리온은 “이 숫자는 빙산의 일각일 뿐”이라고 보고 있다. 

· 보안 전문가 대다수가 역대 최악의 취약점으로 로그4셸을 꼽고 있으며, 따라서 최대한 빨리 패치를 적용하라고 촉구했다. 다행히 실제 이 취약점과 관련된 사건은 일어나지 않고 있다.

· “많은 기업과 기관들이 내부 네트워크를 운영하기 위해 서버들을 운영하고 있고, 이런 내부 서버들은 인터넷에 연결하지 않습니다. 다만 그런 서버들에도 로그4j가 설치되어 있는 경우가 거의 대다수이고, 그렇기에 인터넷 검색으로 찾을 수 없었을 뿐 많은 서버들이 취약한 채 사용되고 있을 겁니다. 마찬가지로 공개되지 않은 내부자 전용 애플리케이션이나 각종 IT 기술들에도 취약한 로그4j가 있을 겁니다.” 페르칼의 설명이다.

심각한 보안문제 야기하는 '소스코드 유출'

· 소스코드는 실제 제품의 청사진과 비슷하다. 기술에 정통한 사람은 대규모 시스템 또는 소프트웨어의 내부 작동에 완전히 액세스할 수 있으며, 이는 하드코딩된 자격 증명과 같은 취약점을 쉽게 찾아낼 수 있음을 의미한다. 

· IT 부문의 95%가 오픈소스 소프트웨어에 의존하는 세상에서 소스코드는 코드의 첫 번째 줄이 생성되는 순간부터 지적 재산으로 간주된다. 실제로 저작권 소유자 및 권한을 나타내는 헤더를 포함하여 소스코드 파일을 보는 것이 일반적이다.

· 소스코드에는 저작권, 특허 또는 상표가 보호할 수 없는 영업 비밀도 포함될 수 있다. 혁신과 속도가 중요한 산업에서 이 정보를 비밀로 유지하지 못하면 특히 젊은 신생 기업일수록 치명적일 수 있다. 또한 해커가 프로덕션에 배포된 워크로드의 내부를 볼 수 있게 하여  문제가 될 수 있다.

● 네트워크

새로운 랜섬웨어 오닉스, 파일들을 파괴한다

· 오닉스(Onyx)라는 이름의 새로운 랜섬웨어가 등장했다고 한다. 파괴적인 목적을 가지고 운영되는 것처럼 보인다. 피해자들이 돈을 지불하더라도 파일을 복구시키지 않기 때문이다.

· 오닉스는 최근 유행하는 것처럼 이중 협박 전략을 차용하고 있다. 데이터를 미리 빼낸 후에 암호화를 시작함으로써 피해자가 최초 협상에 응하지 않을 경우 정보를 공개하겠다고 협박하는 것이다.

· 200MB 이하의 파일은 암호화를 정상적으로 진행한다. 하지만 200MB보다 큰 파일은 무작위 데이터로 덮어쓰기를 실시한다. 무작위 데이터가 사용되었기 때문에 복구가 불가능하다. 공격자들이 복구시켜주고 싶어도 할 수 없는 상태가 되는 것이다. 공격자가 처음부터 이런 의도를 가지고 멀웨어를 만든 것으로 보인다.

'송금 잡범에서 경제 사범으로...' 금융기관 해킹은 진화 중

· 랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다.

· "요즘 금융 해커가 가장 많이 노리는 건 장기 포트폴리오 포지션, 인수합병 및 기업공개(IPO) 관련 기밀 정보 같은 고급 시장 정보다"라고 VM웨어의 사이버 보안 전략 담당자인 탐 켈러만은 말했다. 그는 "오늘날 시장을 조작하려는 시도는 산업 스파이 활동과 맞닿아 있다. 내부자 간 거래를 숨기려는 행위로 이어지기도 한다"라고 경고했다. 

· 또한 설문에 응한 금융 기관의 보안 책임자 중 63%는 중개 계정 탈취 사건이 증가했다고 밝혔다. 지난해 41%보다 훨씬 더 오른 수치다.

● 시스템

보안과 편의성, 갈림길에 선 금융사

· 2021년 12월 9일, ‘Log4j’의 보안 취약점이 공개되며 국내외 기관, 보안기업 등에서는 보안패치 설치를 유도하는 등 대응책 마련에 나섰다. 하지만 Log4j로 인한 금융권 피해는 없었던 것으로 밝혀졌다. 이는 금융 서비스에 망분리가 돼 있었기 때문이라는 게 관련 전문가들의 견해다. 

· 보안 관계자는 “망분리 이후 보안 입장에선 편해진 것이 사실”이라고 밝혔다. 침해 위협을 원천적으로 차단하는 효과가 있어 보안부서에선 관리나 집중할 영역을 다른 분야로 확대할 수 있는 계기를 마련했다는 평가다. 다만 보안부서의 일은 편해(?) 졌지만 금융 망분리는 현업에서의 업무 프로세스 개선에 있어 장애물로 작용한 것도 현실이다. 

· 금융당국도 최근 금융사의 개발업무가 폐쇄된 형태가 아닌 인터넷에 공개된 소스코드 등을 적극 활용하고 있고 AI, 빅데이터 등이 오픈소스 형태로 제공되고 있어 인터넷과 연계가 불가피하다는 점을 인지하고 있다. 때문에 이번 규제 완화를 통해 개발‧테스트 분야 망분리 예외를 추진 중이다.

금보원, 사이버위협 대응 강화…"고위험 해킹 공격 감소 추세"

· 금융보안원은 금융분야 사이버위협에 대한 대응 활동을 강화한 결과, 고위험 해킹 공격이 감소 추세를 보이고 있다고 지난 4월 27일 밝혔다. 금융권에 대한 공격시도를 보인 로그4쉘(Log4Shell)의 탐지 건수는 지난해 12월 535만여건에서 지난달 383만여건으로 감소 추세를 나타내고 있고, 지난 3월 말부터 유입되고 있는 스프링4쉘(Spring4Shell) 탐지 건수도 4월 중순부터 대폭 줄어드는 추세다.

· 아울러 피싱사이트와 보이스피싱 악성앱 역시 점차 줄어들고 있다. 전화 가로채기 등 신종 보이스피싱 사기에 이용되는 피싱사이트 및 보이스피싱 악성앱은 2019년부터 매년 지속적으로 감소하고 있다.