● 악성코드

가상화 기술 사용해 멀웨어 숨기는 공격자들

· IT 외신 블리핑컴퓨터에 의하면 최근 새로운 멀버타이징 캠페인이 적발됐다고 한다. 캠페인이 진행되고 있는 곳은 구글 애즈(Google Ads) 플랫폼이고, 공격자들이 KoiVM이라는 가상화 기술을 활용하고 있다는 것이 독특한 점이다. 가상화 기술로 폼북(Formbook)이라는 유명 데이터 탈취 멀웨어를 들키지 않고 설치하는 것이 이번 캠페인의 궁극적 목적이다. 가상화 기술을 사용할 경우 실행파일들에 난독화 처리가 들어가 읽는 것이 어려워진다.

· KoiVM은 컨퓨저엑스(ConfuserEx)의 플러그인 중 하나다. 연산 코드를 보이지 않게 처리함으로써 가상기계만 이해할 수 있도록 만드는 기능을 가지고 있다. 구글 애즈는 최근 각종 피싱 캠페인에 악용되고 있다. 광고를 진행하면 특정 검색어에 대한 결과 목록에서 상위에 위치할 수 있게 되는데, 공격자들은 이를 통해 피해자들을 자신들이 만든 사이트로 유입시킨다.

영국 자동차 업체 아놀드클락, 랜섬웨어 공격에 당해

· 보안 외신 시큐리티위크에 의하면 영국의 차량 전문 딜러 업체인 아놀드클락(Arnold Clark)이 랜섬웨어 공격에 당했으며, 고객들의 개인정보가 일부 유출됐다고 한다. 플레이(Play)라는 랜섬웨어 그룹은 이 사건이 자신들의 소행이라고 주장했으며, 약 15GB의 데이터를 보유하고 있다고 밝혔다. 아놀드클락 측에서 돈을 지불하지 않으면 이 정보를 전부 공개할 것이라고 협박하는 중이다. 현재 약 500MB의 정보가 맛보기로 올라온 상태다.

· 아놀드클락은 다양한 브랜드의 차량을 판매하는 회사로, 영국과 스코틀랜드에서 200개가 넘는 매장을 운영하고 있으며, 1만 명이 넘는 직원들을 보유하고 있는 회사다. 자동차를 제조하지 않으면서 판매만 하는 회사 중 유럽에서 최대 규모를 자랑한다.

● 어플리케이션

출근길 코레일톡 장애… 디도스 공격 대응하다 발생

· 해외발 디도스(DDoS) 공격으로 시민들이 6일 오전 1시간 정도 한국철도공사(코레일) 승차권 예매에 불편을 겪었다.

· 코레일에 따르면 이날 오전 6시10분쯤부터 코레일 홈페이지와 코레일톡과 레츠코레일 등 애플리케이션에 장애가 발생했다. 현장에서 예매하는 창구와 자동단말기 발매 서비스는 정상 작동했다. 긴급 후속 조치를 통해 7시7분 서비스가 정상화됐다.

· 해당 장애는 해외발로 추정되는 디도스 공격 때문인 것으로 드러났다. 지난 5일 오후 10시쯤부터 디도스(DDoS) 공격이 지속 탐지됐고, 이에 대응하는 과정에서 6일 오전 5시50분쯤 오류로 인한 장애가 발생한 것으로 추정된다.

· 장애를 인지한 코레일은 이미 표를 예매한 고객에게 문자메시지(SMS)를 통해 장애 상황과 열차 이용을 안내했다. 또 장애가 발생하지 않은 역 창구 등에 안내 직원을 배치해 대응했다.

美 국무부 사이버·디지털 대사 트위터 해킹 당해

· 너새니얼 픽 미국 국무부 사이버공간·디지털정책 담당 특임대사의 트위터 계정이 해킹 당했다. 사이버보안 전문 매체 사이버뉴스는 6일(현지시간) 너새니얼 픽 특임대사의 계정이 해킹당했다고 보도했다.

· 너새니얼 픽 특임대사는 지난 5일 트위터에 "내 계정이 해킹당했다. 일의 위험성...."이라고 글을 게시했다. 그는 트위터에 주로 날씨, 산악 자전거 등과 관련된 내용을 게시하며, 5천여명의 팔로워를 가지고 있다.

· 픽 대사의 계정을 해킹한 배후는 아직 불분명하다. 픽 대사는 한국 정부와의 사이버 안보 협력 관련 회담을 위해 이번 주 서울을 방문할 예정으로 알려졌었다.

● 네트워크

'개인정보 강제수집' 메타·카카오모빌리티 과태료 처분

· 개인정보보호위원회는 전체회의에서 개인정보 이용 동의를 하지 않으면 서비스 이용을 제한해 강제적으로 개인정보를 수집한 카카오모빌리티와 메타에게 과태료를 부과하고 시정조치와 개선권고를 의결했다고 9일 밝혔다.

· 카카오모빌리티는 택시 호출 서비스를 위한 3자 제공 추가 동의를 받는 과정에서 개인정보 이용목적을 명확히 알리지 않았고 선택 동의 사항을 필수 동의 사항으로 구성했다.

· 심지어 개인정보제공 미동의 시 택시 호출 서비스 제공을 거부했다. 이에 개인정보보호위원회는 카카오모빌리티에 과태료 600만원을 부과했다.

BEC 공격 전문 단체 파이어브릭 오스트리치, 이들의 허무한 성공 비결

· 사업 이메일 침해(BEC) 공격은 돈을 노리는 공격자들 사이에서 가장 인기가 높은 전략 중 하나다. 그런데 지난 1년 동안 특별히 놀라운 성과를 낸 단체가 하나 있다. 

· 보안 업체 앱노멀시큐리티(Abnormal Security)의 위협 첩보 책임자 크레인 해솔드(Crane Hassold)는 2월 1일자 블로그에 의하면 이 단체는 파이어브릭 오스트리치(Firebrick Ostrich)라고 한다.

· 이 파이어브릭 오스트리치는 2021년 4월부터 지금까지 151개 기업과 기관들을 사칭하고, 212개 악성 도메인들을 생성해가며 350번이 넘는 BEC 캠페인을 진행했다.

· 보안 업체 도메인툴즈(DomainTools)의 CTO 션 맥니(Sean McNee)는 “BEC 공격은 사이버 범죄자들에게 있어 매우 매력적인 공격 전술”이라고 설명한다.

● 시스템

호주, 안보 우려에 국방부 건물서 중국산 CCTV 제거

· 9일 로이터통신에 따르면 리처드 말스 호주 국방장관은 이날 국방부 내 감시 장치를 점검한 후 중국산 CCTV와 녹화 장치 등을 등을 제거할 것이라고 밝혔다.

· 야당 자유당 소속인 제임스 패터슨 의원이 최근 의회 감사에서 중국 정부가 지분을 일부 소유한 중국 통신업체 하이크비전과 다화기술이 공급한 1000여대의 장비가 호주 정부 기관 250곳에 설치돼 있다고 지적한 데 따른 것이다. 패터슨 의원은 정부가 중국산 장비를 최대한 빠르게 제거하는 계획을 마련할 것을 촉구했다.

· 말스 장관은 “중국산 CCTV와 관련해 위험을 과장하고 싶지 않지만 우리 시설이 완전히 안전한 지 확인하길 원한다”고 말했다.

러시아 침공 1년 앞두고 '시스템 파괴' 멀웨어 비상

· 우크라이나 침공 1년째가 되는 오는 24일을 전후해 러시아가 대공세를 벌일 것이라는 관측이 나오는 가운데 사이버 공간의 긴장감도 고조되고 있다. 지난해 초 물리적 침공을 앞두고 발견된 시스템 파괴형 악성코드가 최근 다시 포착되면서 주의가 요구된다는 분석이다.

· 3일 글로벌 보안업계에 따르면 슬로바키아 보안기업 ESET는 지난달 말 우크라이나 내 한 조직의 네트워크에서 새로운 와이퍼(Wiper) 멀웨어(악성 소프트웨어)를 탐지했다고 밝혔다. ESET는 공격 배후로 친러시아 해커집단 '샌드웜(Sandworm)'을 지목했으며 이 멀웨어를 '스위프트슬라이서(SwiftSlicer)'로 명명했다.

· ESET는 "이번 멀웨어는 프로그래밍 언어인 '고(Go)'로 작성됐고 'WinGo/KillFiles.C'로 탐지된다”며 "매우 공격적이어서 피해가 우려된다"고 말했다.