● 악성코드

서울대병원 지난해 해킹으로 환자 개인정보 유출 정황

· 서울대학교병원이 지난해 해킹으로 인해 일부 환자의 개인정보가 유출된 정황이 확인됐다.

· 서울대병원은 7월 12일 병원을 이용한 환자들에게 '사이버공격에 의한 개인정보 유출(의심)에 대한 안내'를 통해 "2021년 6월 악성코드 감염을 통해 발생했던 사이버 공격에 대한 수사 과정에서 일부 환자정보의 유출 정황이 추가로 확인됐다"고 밝혔다.

· 그러면서 "병원등록번호, 환자명, 생년월일, 성별, 나이, 진료과, 진단명, 검사일, 검사명, 검사결과의 정보가 유출 가능성이 높은 것으로 추정하고 있으며, 주민등록번호, 핸드폰번호, 주소, 영상검사나 사진 등의 검사결과는 유출되지 않았다"고 덧붙였다.

러시아 랜섬웨어 조직 하이브, 멀웨어 코드 '러스트'로 재작성

· 인도 IT·빅데이터 전문 잡지 애널리틱스 인사이트는 마이크로소프트 보안팀이 악명 높은 러시아 랜섬웨어 조직인 하이브(Hive)가 멀웨어 코드 작성 언어를 고(Go)에서 러스트(Rust)로 재작성한 사실을 관측한 소식을 보도했다.

· 하이브는 사이버 범죄 세력의 수요에 맞추어 제공하는 서비스로서의 랜섬웨어(ransomware-as-a-service, RaaS)로 널리 알려진 조직이다. 지난해 6월 처음 등장하고, 사이버 공격 활동을 펼치고 단 두 달 만에 미국 연방수사국(FBI)이 공격 행위를 감지했다.

· 마이크로소프트 보안팀은 하이브가 여러 조직과 손을 잡고 전 세계 헬스케어 기업과 소프트웨어 기업을 주요 공격 표적으로 삼는다고 경고했다. 또한, 최근에는 멀웨어 코드 작성 언어를 러스트로 변경하면서 이전보다 훨씬 더 복잡한 암호화 방식을 적용하는 등 등의 변화와 함께 갈수록 더 심각한 피해를 일으키는 것으로 관측됐다.

● 어플리케이션

마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어

· 플래시 업데이트로 위장했던 각종 멀웨어들이, 플래시가 사라지고 나서 다른 탈 것을 찾기 시작했다. 그리고 현재에는 구글과 마이크로소프트의 소프트웨어 업데이트가 멀웨어 유포에 활용되는 추세다. 그 트렌드에 맞는 랜섬웨어도 하나 새롭게 등장했다.

· 이런 멀웨어들 가운데 최근 하바나크립트(HavanaCrypt)라는 랜섬웨어가 눈에 띈다. 보안 업체 트렌드마이크로(Trend Micro)에 의하면 하바나크립트는 구글 소프트웨어 업데이트(Google Software Update) 애플리케이션으로 위장되어 있다고 하며, C&C 서버는 마이크로소프트 웹(Microsoft Web) 호스팅 IP 주소 하나에 호스팅되어 있다고 한다. 랜섬웨어로서는 매우 특이한 경우라고 트렌드마이크로는 밝혔다.

블록체인업계, 올 상반기 해킹 피해 '20억달러'

· 올해 들어 블록체인 업체를 목표로 한 해킹이 성행, 상반기에만 20억달러의 피해가 발생했다는 조사 결과가 나왔다.

· VPN(가상 사설 네트워크) 업체 아틀라스 VPN에 따르면, 올 상반기 암호화폐 시장에서 총 175건의 해킹 사건이 발생했으며 이로 인해 19억7612만달러(약 2조5621억원)의 피해가 발생했다.

· 올 상반기 가장 큰 규모의 해킹 피해는 지난 3월 엑시 인피니티(AXS) 개발사 스카이 메이비스의 '로닌' 네트워크가 해킹당한 사건이었다. 해당 사건으로 6억달러 수준의 가상 자산이 도난 당했으며, 해당 사건의 배후는 북한 해커 그룹 라자루스로 알려졌다.

· 미국 블록체인 보안 업체 서틱(CertiK)은 "올 상반기 가상 자산 시장이 당한 해킹 피해는 20억달러 수준으로, 이는 지난해 전체 기록을 뛰어넘은 것"이라고 발표했다.

● 네트워크

무료 공공와이파이 전국에 10만개 설치...악성코드 침투 ‘주의보'

· 지방자치단체와 이동통신사 협조로 전통시장과 복지시설, 동 주민센터, 버스 등에 제공되는 공공 와이파이(Wi-Fi) 이용자가 점차 늘어나고 있다. 공공 와이파이는 국민들이 이용하는 서비스 가능 지역 내에서 누구나 쉽게 인터넷에 접속할 수 있는 무료 와이파이다. 과기정통부가 추진 중인 한국형 뉴딜 정책의 일환인 와이파이는 전국에 약 10만 개가 설치 중이다.

· 무료 와이파이는 지자체 등 정부 제공 외에 공공 네트워크도 서비스 중이다. 공기업 등에서 제공하는 와이파이는 일반인들도 접속할 수 있어 공공 와이파이에 포함된다. 정보 유출 등의 위험이 있는 관리자가 불확실한 공공 네트워크 접속은 금하는 것이 현명하다. 호텔이나 공항, 백화점 등에서 제공하는 무선 네트워크도 개인정보 등을 포함한 신용카드 번호 등 정보는 관리를 잘해야 한다.

또 클라우드 설정 오류 사건! 이번엔 4개 공항 3TB 데이터 유출돼

· 아마존 S3 버킷의 설정 오류 때문에 3TB의 공항 관련 데이터가 외부로 노출되는 일이 발생했다. 무려 150만 개 이상의 파일들이라고 한다. 문제의 데이터베이스는 보안 업체 스카이하이 시큐리티(Skyhigh Security)가 발견했으며, 콜롬비아와 페루의 공항 4군데의 민감 정보로 구성되어 있는 것으로 분석됐다. 직원들의 개인 식별 정보도 포함되어 있다고 한다.

· 개인 식별 정보에는 항공사 직원들의 사진과 주민 등록 번호 카드들도 포함되어 있어 공항 쪽을 노리는 테러리스트들에게는 매우 유용하게 활용될 수 있다는 경고도 나왔다. 현재 문제의 버킷은 비밀번호로 잠긴 상태다. 잠기기 전까지 조사한 바에 따르면 해당 버킷에는 2018년부터 데이터가 저장되어 온 것으로 보이며, 사건 보고와 데이터 처리에 사용됐던 안드로이드 모바일 앱들도 있었다고 한다.

● 시스템

새로운 리눅스 멀웨어 OrBit 발견

· 리눅스를 위협하는 OrBit이라는 새로운 멀웨어가 발견됐다. 다만 이 멀웨어는 아직 구체적으로 탐지되지는 않았다. 

· 보안 기업 Intezer의 보안 연구원에 따르면, OrBit은 공격자가 SSH(Secure Shell, 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜)를 통해 원격 접근에 필요한 자격을 얻어 TTY(유닉스 계열 운영체제 명령어)를 기록할 수 있게 만든다. 이를 통해 컴퓨터에서 실행 중인 모든 프로세스를 감염시킨다.

· 환경 변수 LD_PRELOAD를 수정해 공유 라이브러리를 가로채는 다른 공격과 달리, 이 멀웨어는 2가지 방법을 통해 악성 라이브러리를 로드한다. 첫 번째 방법은 로더가 사용하는 구성 파일에 공유 객체를 추가하는 것이며, 두 번째 방법은 로더 자체의 바이너리를 패치해 악의적인 공유 객체를 로드하는 것이다.

폴리나 취약점 익스플로잇 한 해커들, 로제나 백도어 심어

· 보안 외신 해커뉴스에 의하면 폴리나(Follina) 취약점을 악용한 또 다른 피싱 캠페인이 발견됐다고 한다. 공격자들은 폴리나를 통해 피해자의 시스템에 침투한 뒤 로제나(Rozena)라는 새로운 백도어를 심고 있다. 로제나는 현재까지 한 번도 분석된 적이 없는 백도어로, 원격 셸을 주입하여 공격자가 언제든지 피해자의 시스템에 접속할 수 있도록 해 준다고 한다. 보안 업체 포티넷(Fortinet)에 의하면 이번 캠페인의 배후에 있는 공격자들은 오피스 워드 문서를 미끼로 사용하고 있는 것으로 보인다고 한다. 

· 폴리나는 올해 5월 발견된 제로데이 취약점으로 공식 번호는 CVE-2022-30190이다. 현재는 패치가 된 상태지만, 공격자들은 아직도 패치되지 않은 시스템들을 찾아 익스플로잇을 실시하고 있다. 이번 캠페인의 미끼인 워드 문서를 피해자가 열면 디스코드 URL로 연결되어 HTML 파일이 다운로드 되며, 이 HTML은 파워셸을 발동시켜 추가 페이로드를 다운로드 받는다고 한다. 이 추가 페이로드에 로제나가 포함되어 있다.