● 악성코드

윈도 인스톨러 통해 퍼지는 새로운 웜, 라즈베리 로빈 발견돼

· 보안 외신 블리핑컴퓨터에 의하면 새로운 윈도 멀웨어가 최근 발표되었다고 한다. 이 멀웨어의 이름은 라즈베리 로빈(Raspberry Robin)으로, 웜 기능을 가지고 있어 자가 증식이 가능하며 특히 USB 드라이브를 통해 퍼지는 능력이 탁월하다고 한다. 최소 2021년 9월부터 활동해 온 것으로 보이며, 윈도의 프로그램 설치 툴인 인스톨러를 악용한다는 특징을 가지고 있기도 하다. 하지만 라즈베리 로빈의 배후 세력이 이 멀웨어를 계속 퍼트리는 궁극적 목적에 대해서는 아직 밝혀진 바가 없다.

· 라즈베리 로빈은 msiexec.exe라는 프로세스를 사용해 외부 네트워크와의 교신을 시도하고, 이를 통해 정상적인 인스톨러 패키지를 다운로드 받아 실행한다. 그리고 악성 DLL 파일을 시스템에 심는데, 이 DLL 파일을 제거하려는 시도를 차단하기도 한다. 이 DLL 파일들은 fodhelper와 odbcconf라는 윈도 유틸리티를 통해 실행된다.

러시아 해킹 포럼에서 할인되기 시작한 DCRat 백도어

· 러시아 해킹 포럼에서 DCRat이라는 백도어가 할인되기 시작했다고 보안 외신 해커뉴스가 경고했다. 아주 저렴한 가격에 보급되고 있기 때문에 많은 이들이 구매하고 있다고 한다. DCRat은 단독 개발자 혼자서 만든 멀웨어로 보이지만, 매우 효율적이며 백도어로서 기능이 뛰어나다고 한다. 닷넷(.NET)을 기반으로 하고 있으며 현재 2달 구독료 5달러에 거래되고 있다. 평생 사용권은 40달러다.

· 배경 : DCRat은 다크크리스탈랫(DarkCrystalRat)이라고도 불리며 2018년 처음 다크웹에 나타났다. 개발자는 이후 꾸준히 업데이트 버전을 발표했으며, 2020년 5월에는 3.0 버전이 등장했고, 2021년 3월에는 4.0 버전이 거래되기 시작했다.

● 어플리케이션

"수백만원 털렸는데"…'나 몰라라' 구글에 부글부글

· 구글의 결제 시스템 구글페이먼트 부정 결제 사건이 최근 속출하고 있다. 구글페이먼트는 구글 플레이스토어를 통해 다운받은 앱에서 이용자가 결제할 때 사용하는 ‘인앱결제’ 수단이다. 구글은 이 같은 해킹 사고가 잇따르는데도 피해 방지 시스템을 마련하지 않고 콜센터 운영조차 하지 않는 등 소비자 대책을 방치하고 있다. ‘안전한 결제 생태계를 만든다’는 명분으로 인앱결제에 30% 수수료를 꼬박꼬박 떼가고 있는 구글에 대한 비판이 거세지고 있다.

· 피해자 정씨에 따르면 당시 구글페이먼트로 다중접속역할수행게임(MMORPG) ‘리니지M’의 게임 화폐인 ‘다이아’ 구매 결제가 이뤄졌다. 다이아는 현금화하기 쉬운 게임머니여서 범인이 이를 노린 것으로 추정된다. 정씨는 리니지M을 다운받은 적도 없고, 게임에 접속하거나 계정을 만든 기록도 전혀 없다. 그는 “생전 해보지도 않은 게임 명목으로 돈이 빠져나가니 너무 당황스러웠다”고 토로했다.

끊이지 않는 클라우드 계정 탈취, 방심하면 수억원 날벼락

· 클라우드 서비스 계정을 탈취당한 뒤 자신이 사용하지 않은 서비스 비용을 청구받는 피해 사례가 급증하고 있다. 짧은 시간, 세계 각지에서 탈취 계정을 집중 이용하는 수법으로 곧바로 피해를 파악하기 어려워 사용자의 각별한 주의가 요구된다.

· 공격자는 클라우드 서비스 계정을 탈취, 비트코인 채굴 등을 위한 컴퓨팅을 단기간 집중 사용한다. 서울, 일본, 미국, 프랑스 등 세계 각국에서 동시 다발적으로 접속이 이뤄진다. 이에 짧은 시간이지만 서비스 이용 비용이 눈덩이처럼 불어난다. 피해 금액은 적게는 수십만 원대부터 많게는 수억원대에 이른다.

· 클라우드 서비스 아이디와 연동된 이메일 계정 해킹 등을 통해 계정을 탈취 사례가 많다.

● 네트워크

"지능형 홈네트워크 해킹 방지 조치 확인 전수조사 필요"

· 국회 산업통상자원중소벤처기업위원회 소속 김정호 의원은 지난 4일 지능형 홈네트워크 해킹 방지 및 필수장비 설치 확인을 위한 전수조사 촉구 결의안을 대표발의했다고 밝혔다.

· 지난해 말 월패드 해킹으로 인해 아파트 입주민들의 모든 개인 정보와 데이터가 해외로 유출돼 전 국민의 공분을 일으키는 사건이 발생한 바 있다.

· 무엇보다 지능형 홈네트워크 설비를 구축한 아파트는 해킹 위험을 차단하는 홈게이트웨이 장치가 반드시 설치돼야 하지만, 언론 보도를 통해 실제로 설치돼 있지 않은 아파트가 다수 있다는 사실이 드러나고 있다. 이에 해킹에 따른 개인의 사생활 침해 우려가 점차 커지고 있는 실정이다.

'RaaS'로 누구나 랜섬웨어 공격자가 된다

· 국내외에서 '서비스형 랜섬웨어(Raas)'가 피해 규모와 확산 속도를 끌어올리고 있다. 개발자와 공격자의 분업이 이뤄지고 비전문가도 랜섬웨어를 구매해 사이버 공격을 시도할 수 있게 되면서다. RaaS 형태로도 유포되는 '블랙캣' 랜섬웨어가 최근 국내에서도 발견되면서 기업들의 주의가 요구된다.

· 랜섬웨어는 '몸값(Ransom)'과 '소프트웨어(Software)'의 합성어다. 글로벌 보안기업 팔로알토 네트웍스에 따르면 지난해 평균 몸값 요구 금액은 전년 대비 144% 급증한 220만달러(약 27억원), 평균 지급액은 78% 증가한 54만1천달러(약 6억7천만원)로 집계됐다.

· 랜섬웨어 피해 기업은 전년 대비 85% 늘어난 2천566곳으로 나타났다. 지역별로 보면 ▲미주 60% ▲유럽·중동·아프리카 31% ▲아시아·태평양지역 9% 순으로 많았다. 

● 시스템

애플·MS·구글 '비밀번호 없는 로그인' 협력..."해킹공격 방어"

· 애플이 마이크로소프트·구글과 협력해 고객들이 비밀번호 없이 전자기기에 로그인 할 수 있도록 나설 계획이다. 숫자나 문자로 구성된 암호로 단말기에 접속할 경우 해킹 공격을 받을 가능성이 높아서다.

· 애플은 글로벌 빅테크 기업 두 곳과 함께 '패스트 아이덴티티 온라인'(FIDO) 얼라이언스와 '월드와이드웹 컨소시엄'(W3C)이 정한 암호 없는 기술이 널리 쓰일 수 있도록 돕겠다고 6일 밝혔다.

· 여기서 'FIDO'는 '신속한 온라인 인증'을 뜻한다. 암호인증 의존도를 줄이고 빠르고 안전한 인증을 위해 관련 기술 표준을 마련하고자 하는 기업 연합체를 말한다. △개인식별번호(PIN) 입력 △지문 인식 △얼굴인식을 통한 신원인증을 지원한다.

시스코의 NFVIS에서 나온 초고위험도 취약점 패치돼

· 시스코의 엔터프라이즈 NFV 인프라스트럭처 소프트웨어(NFVIS)에서 초고위험도 취약점이 발견됐다. 익스플로잇에 성공한 공격자는 피해를 입은 호스트를 완전히 장악할 수 있게 된다고 한다.

· 시스코의 NVFIS는 네트워크 기능의 가상화(NFV)와 소프트웨어 정의 네트워크(SDN)을 합친 것으로, 사용자 기업들은 이를 통해 가상 네트워크 서비스, 애플리케이션, 가상 기계, 하드웨어 장비를 보다 수월하게 공급하고 관리할 수 있게 된다. 그래서 기업의 내부 네트워크 중간 정도에 위치해 있으며, 공격자들이 횡적으로 움직이기 위한 완벽한 발판이 될 수 있다.

· 문제의 취약점은 CVE-2022-20777이며, 10점 만점 중 9.9점을 받았을 정도로 위험성이 높다. 보다 정확히는 NVFIS의 NGIO(Next Generation Input/Output, 차세대 입출력)라는 기능에서 발생하는 문제다.