● 악성코드

윈도우, 리눅스 공격하는 변종 랜섬웨어 ‘루나’ 발견

· 루나 랜섬웨어는 지난 6월에 있었던 다크넷 랜섬웨어 포럼을 모니터링한 Kaspersky Darknet Threat Intelligence 시스템에 의해 처음 발견됐다.

· adv에 따르면, 루나 랜섬웨어는 러시아어를 사용하는 계열사에서만 작동하는 것으로 알려진다. 랜섬웨어 바이너리에 하드코딩된 랜섬 노트에 철자 오류가 있다는 사실은 루나 랜섬웨어의 배후가 러시아인임을 암시한다. 

· 전문가에 따르면, 루나 랜섬웨어는 x25519와 AES를 결합한 형태의 암호화 체계를 사용한다. 연구원들은 루나 랜섬웨어가 리눅스 및 ESXi 샘플에서는 동일한 소스코드를 사용했지만 윈도우에서는 조금 다른 소스코드를 사용했음을 확인했다.

구글, 플레이 스토어 침투한 악성 애플리케이션 전부 청소해

· 보안 외신 쓰레트포스트에 의하면 구글이 플레이 스토어에서 최근 8개의 앱들을 제거했다고 한다. 이 앱들 전부 조커(Joker)라는 악명 높은 멀웨어에 감염되어 있거나, 조커를 퍼트리는 역할을 담당했다고 구글은 발표했다. 이 8개의 앱을 다운로드 받은 사람들은 총 3백만 명이 넘는다고 한다. 주로 피해자들을 고급 유료 서비스에 몰래 가입시키는 것이 이 악성 앱들의 주요 목표였다고 한다. 이런 류의 멀웨어를 보통 플리스웨어(fleeceware)라고 부른다.

· 조커는 현재 구글 플레이 스토어에 침투하는 멀웨어 중 가장 많이 이름이 언급되는 것 중 하나다. 조커는 2019년 스파이웨어로서 제일 처음 발견됐는데, 현재는 주로 플리스웨어로서 더 많이 작동하는 중이다. 조커는 플레이 스토어 침투에 특화되어 있는 것처럼 보이며, 구글이 계속해서 찾아내고 삭제해도 어느 새 다시 침투한다.

● 어플리케이션

나날이 교묘해지는 해킹 앱, 아이폰도 안심은 금물

· 사용자의 연락처나 SNS 데이터, 결제를 포함한 금융 정보를 훔치는 악성 코드와 해킹 앱이 나날이 교묘해진다. 한 악성 코드는 지금까지 수 년간 앱에 숨어서 300만 명이 넘는 사용자에게 소액 결제를 유도한 것으로 알려졌다. 애플 앱스토어에도 소액 결제를 강제하는 수십여 개의 사기성 앱이 있는 것으로 나타났다.

· 최근 보안 업계는 조커 악성 코드와 똑같이 움직이는 악성 코드 ‘오토라이코스(Autolycos)’를 적발했다. 이 악성 코드가 포함된 앱 8개가 최근까지도 다운로드돼 사용자에게 피해를 입힌 것으로 나타났다. 해킹 앱의 목록은 ▲Vlog Star Video Editor ▲Creative 3D Launcher ▲Funny Camera ▲Wow Beauty Camera ▲Gif Emoji Keyboard ▲Razer Keyboard & Theme ▲Freeglow Camera ▲Coco camera 등이다.

구글, 플레이 스토어에서 권한 목록 항목 삭제

· 구글이 플레이 스토어에서 유통되는 앱들에 ‘데이터 보안(Data safety)’이라는 항목을 추가하면서 ‘허용 권한(App Permissions)' 항목을 삭제했다. 사용자들은 플레이 스토어에서 선택한 앱을 설치하기 전에 앱 상세 보기를 통해 여러 가지를 확인할 수 있는데, ‘허용 권한’은 앱이 원활하게 작동하기 위해 필요한 권한이 무엇인지를 열람하는 항목이었다. 보안 외신 해커뉴스에 의하면 구글이 이러한 결정을 내린 이유를 명확히 밝히지 않고 있으나 신설된 데이터 보안 항목에서 비슷한 내용을 확인할 수 있어서 그렇게 한 것 같다고 보도했다.

· 악성 앱의 경우 과도한 권한을 사용자들에게 요청하는 것이 보통이다. 예를 들어 사진 편집 앱인데 통화와 문자 기록에 접근하는 권한을 요구하기도 한다. 그렇기 때문에 앱 설치 시 어떤 권한이 요구되는지 확인하는 건 기본적인 보안 실천 사항 중 하나이기도 하다. 구글이 그러한 내용을 간편하게 확인할 수 있는 항목을 삭제한 건 아쉬운 일이다.

● 네트워크

새로운 공급망 공격 기술로 깃허브의 커밋 메타데이터 스푸핑 가능

· 보안 외신 시큐리티위크에 의하면 깃허브 리포지터리에 대한 새로운 공급망 공격 기법이 발견됐다고 한다. 리포지터리의 커밋 데이터를 스푸핑함으로써 악성 깃허브 리포지터리를 정상적인 리포지터리로 보이게 만드는 것이 이 공급망 공격의 핵심 전략이라고 한다. 이 때문에 공격자들은 리포지터리의 내용을 검사하지 않고, 출처 등의 메타데이터만 확인하는 개발자들을 속일 수 있게 된다.

· 오픈소스나 리포지터리는 개발의 속도를 확연하게 높여주는 역할을 한다. 그렇기 때문에 속도의 압박에 쫓기는 많은 개발자들이 애용할 수밖에 없는데, 그러면서 자연스럽게 속도 중심의 개발 절차에 익숙해지며, 그렇기 때문에 자신들이 사용하는 오픈소스와 리포지터리를 잘 검사하지 않게 된다. 주로 리포지터리 다운로드 수나 개발자, 유지 관리 책임자의 명성 등만 확인하고 끝낸다.

“클라우드를 해킹하라” API가 가장 위험한 이유

· 클라우드 보안이 얼마나 효과적인지를 측정하는 주요 지표 중 하나가 클라우드 보안 연합(CSA)의 클라우드 컴퓨팅 최고 보안 위협(Top Threats to Cloud Computing) 목록일 것이다. 

· 2년마다 한 번씩 발간되는 이 목록의 새 버전이 최근 발표됐는데, 가장 눈에 띄게 성장한 것이 바로 안전하지 않은 인터페이스와 API이다. 2017년 API는 클라우드 보안 위협 목록에 3위로 첫 등장했지만, 2019년에는 7위로 낮아졌다. 올해 목록에서는 2위로 훌쩍 순위가 높아졌다. 급격한 순위 변동의 원인이 무엇인지, 이런 변화 속에서 클라우드를 보호하기 위해 취해야 할 조처는 무엇인지 알아보자.

● 시스템

MS, macOS 샌드박스 우회하는 보안 취약점 발견

· 마이크로소프트(MS)가 macOS의 샌드박스에서 보안 취약점을 발견했다. 발견된 취약점은 macOS 앱 샌드박스에 대한 접근 권한과 관련이 있는 것으로 파악됐다.

· MS 측은 “특수 제작된 악성코드는 앱 샌드박스를 뚫고 macOS를 공격할 수 있다. 접근 문제는 타사 응용 프로그램에 대한 추가 샌드박스 제한으로 해결됐다. 이 문제는 ▲tvOS 15.5 ▲iOS 15.5 ▲iPadOS 15.5 ▲watchOS 8.6 ▲macOS Big Sur 11.6.6 ▲macOS Monterey 12.4에서 수정됐다"라고 설명했다.

· MS 연구원은 조작 코드를 사용해 샌드박스를 우회할 수 있음을 발견했다. 해커는 샌드박스의 취약점을 악용해 관련 장치에서 접근 권한을 얻거나 악성 페이로드 설치와 같은 명령을 실행할 수 있었다.

새로운 망분리 공격 기법, SATA 케이블을 안테나로 활용해

· 보안 외신 해커뉴스에 의하면 망에서부터 분리된 시스템을 공격하는 새로운 해킹 기법이 개발됐다고 한다. 이스라엘의 벤구리온대학 연구원들이 개발한 것으로 시리얼 ATA(Serial ATA) 혹은 SATA 케이블을 안테나로 활용하는 것이 핵심이라고 한다. 연구원들에 따르면 공격 대상이 된 시스템에 무선 전파 장치가 설치되어 있지 않더라도 SATA 케이블을 통해 6GHz 주파수대의 무선 신호를 전송받는 게 가능하다고 한다. 이러한 공격 기술에는 사탄(SATAn)이라는 이름이 붙었다.

· SATA 케이블은 매우 광범위하게 도입되어 있는 컴퓨터 버스 인터페이스다. 따라서 이번 공격은 그간 등장했던 많은 망분리 시스템 공격 기법과 달리 매우 실질적인 위협이 될 수 있다. 다만 공격을 성공시키려면 리시버 장치를 가진 공격자가 1m 이내로 접근할 수 있어야 한다고 한다.