● 악성코드

30개 넘는 포르투갈 금융 단체 공격한 브라질 해커들

· 보안 외신 핵리드에 의하면 브라질 해커들이 피핑타이틀(PeepingTitle)이라는 멀웨어를 활용해 최소 30개가 넘는 포르투갈 금융 기관들을 공격했다고 한다. 보안 업체 센티넬원(SentinelOne)에 따르면 캠페인이 시작된 것은 2021년부터인데 실제로 활성화 된 것은 2023년부터라고 한다. 특히 지난 달에 많은 실제 공격이 발생한 것으로 분석됐다. 센티넬원은 이 캠페인을 ‘마갈레냐작전(Operation Magalenha)’이라고 부르고 있다. 표적 공격이 주로 실시된다고 하며, 따라서 적잖은 시간을 표적에 대한 탐구에 할애하는 것으로 보인다.

· 피핑타이틀은 일종의 백도어다. 주로 피해자의 웹 브라우징 활동을 모니터링 하는 데 사용된다. 피해자의 화면을 캡쳐해 어떤 금융 서비스를 사용하고 있는지를 파악하고, 가능하면 어떤 방법으로 로그인을 하는지도 알아낸다. 원격 서버와 통신하며 추가 멀웨어를 다운로드 받기도 한다.

맨디언트 "멀웨어 '코스믹에너지', 러시아 정부 연계 추정"

· 구글 파트너인 사이버 보안 전문기업 맨디언트는 새로운 운영 기술(OT) 멀웨어 '코스믹에너지'(COSMICENERGY)가 러시아 정부와 연관된 것으로 보인다고 26일 밝혔다.

· 코스믹에너지가 유럽·중동·아시아의 송배전 작업에 흔하게 사용되는 원격 단말 장치(RTUs)와 상호작용해 전력 장애를 일으키도록 설계돼 전력망 자산에 무시하지 못할 위협을 준다는 설명이다.

· 맨디언트는 러시아 사이버 보안 회사인 '로스텔레콤-솔라'의 계약자가 전원 중단 훈련 시뮬레이션을 위한 도구의 일부로 해당 멀웨어를 생성했을 가능성이 있다고 추측했다.

· "코스믹에너지는 '아이언게이트', '트리톤' 및 '인컨트롤러'를 포함한 다른 OT 멀웨어 계열과 주목할 만한 기술적 유사성을 지녔다"며 "코스믹에너지 멀웨어의 발견은 공격적인 OT 위협 활동에 대한 진입 장벽이 낮아지고 있음을 시사한다"고 설명했다.

● 어플리케이션

정상적으로 유통되던 안드로이드 앱, 갑자기 멀웨어로 돌변

· IT 외신 레지스터에 의하면 한 안드로이드 앱이 정상적으로 유통되다가 갑자기 스파이웨어로 돌변했는데, 구글이 이런 상황을 놓쳤다고 한다. 문제의 앱은 아이리코더(iRecorder - Screen Recorder)이며, 2021년 처음 개발되어 생태계에 등장했다. 거의 1년 동안 아무런 이상 현상을 나타내지 않았다가 2022년 8월 업데이트를 통해 오디오와 화면 정보를 수집하는 앱으로 변했다. 즉 일종의 스파이웨어 혹은 백도어로 돌변한 것이다. 이를 제일 먼저 발견한 건 보안 업체 이셋(ESET)이며, 현재 구글은 해당 앱을 스토어에서 삭제한 상황이다.

· 정상 앱을 스토어에 등록한 후 업데이트를 통해 악성 기능을 추가하는 수법은 공격자들이 이전부터 꾸준히 사용해 왔던 전략이다. 하지만 아이리코더처럼 1년 가까이 적상 앱 흉내를 내는 앱은 드물다. 그렇기 때문에 구글로서도 사실상 이를 발견할 방법이 없었을 것으로 보인다. 아이리코더의 다운로드 수는 수십만 회인 것으로 알려져 있다.

신종 악성코드 ‘골도슨’ 사태로 불거진 앱의 보안 취약성 논란 살펴보니 

· 지난 3월 우리나라의 안드로이드 기반 앱에서 처음 발견된 악성코드 ‘골도슨(Goldoson)’ 사태로 인해 앱의 보안 취약성 이슈가 다시금 불거지고 있다. 정식 앱 스토어에서 다운로드 받는 앱에 만약 악성코드가 포함되면 그 피해가 기하급수적으로 증가할 수 있기 때문이다. 반면, 앱에 공통된 SDK 파일을 제공한 기업 측에서는 해당 파일은 보안에 위배되지 않는 파일로 악성코드가 아니라는 입장도 밝히고 있어 논란이 커지고 있다. 

· 골도슨 멀웨어의 최초 시작은 메가박스에서였다. 3월 10일 안드로이드 플랫폼에서 구글 플레이 프로텍트에 의해 ‘기기 보안에 문제가 발생했을 수 있음-안전하지 않은 앱 1개 발견’이라는 경고가 발생했으며, 그 대상이 된 앱 이름이 ‘메가박스’였다. 이에 3월 17일 메가박스 측은 홈페이지 공지를 통해 ‘메가박스 앱 내에 문제가 있는지’ 확인하고 있다고 안내했다. 메가박스 앱은 구글 플레이스토어에서 ‘광고 사기 시도’라는 위반 행위로 삭제됐다.

● 네트워크

MS "中 해킹그룹, 美 인프라 네트워크에 악성코드 심었다"

· 마이크로소프트(MS)는 24일(현지시간) 미국 인프라 네트워크를 타깃한 은밀하고 악의적인 활동을 탐지했다고 발표했습니다. 미국 국가안보국(NSA)도 같은 날 악의적인 사이버 행위자를 식별했고 이들은 중국 정부로부터 후원을 받고 있다고 알렸습니다.

· 마이크로소프트는 악의적인 활동의 주체로 '볼트 타이푼'을 꼽았습니다. 2021년부터 활동을 시작한 볼트 타이푼은 스파이와 정보 활동 수집을 주로 하는 중국의 해킹 그룹입니다. 정부와 통신 기관, 제조, 건설, 해양, 정보기술(IT), 교육 등 광범위한 산업을 대상으로 주요 사이버 인프라를 손상시켰습니다.

· 특히 볼트 타이푼은 미국 사이버 보안 기업 포티넷의 사이버 보안 제품군인 '포티가드' 취약점을 활용해 괌을 비롯한 미국 내 주요 네트워크 시스템에 감시용 악성코드 '웹 셀'을 심은 것으로 알려졌습니다. 웹 쉘은 원격으로 서버에 접속할 수 있는 악성코드로, 현재까지 공격에 활용되지는 않았습니다.

또 다시 사용자 정보 침해 사고 허용한 도요타

· 보안 외신 사이버뉴스에 따르면 일본의 자동차 기업 도요타에서 고객 정보 유출 사고가 발생했다고 한다. 고객들의 이름과 주소 등 개인 식별이 가능한 민감 정보가 새나갔으며, 3주 만에 두 번째 같은 사고가 발생한 것이다. 5월 초에 발생한 사건이나 이번에 도요타가 인정한 사건이나 모두 중요한 데이터가 저장된 클라우드 저장소를 아무런 보안 장치 없이 일반 인터넷에 노출시킨 것 때문에 일어났다. 즉 인간 실수로 인한 정보 유출 사고라는 것이다. 

· 5월 초에 벌어진 클라우드 노출 사고의 경우 약 200만 명의 도요타 고객들이 피해를 입은 것으로 집계됐다. 이번 사건의 경우에는 아직 정확한 규모가 파악되지는 않고 있으나 아시아와 오세아니아 고객들이 주로 영향을 받은 것으로 알려져 있다. 사용자의 차량 번호와 전화번호도 같이 노출됐다.

● 시스템

온라인 암거래 시장 ‘다크웹’에서 1만건 한국인 신용카드 정보 거래

· 글로벌 인터넷 보안 업체 노드VPN은 23일 온라인 암거래 시장인 ‘다크웹’을 통해 1만123개의 한국인이 소유주인 신용카드 정보가 거래됐다고 발표했다.

· 다크웹에서 거래된 6백만 개의 신용카드 정보 거래를 분석한 결과, 그 중 한국인이 소유주인 신용카드는1만 123개였으며, 이는 전세계 30위, 아시아 국가에서는 7위에 해당하는 결과다. 또, 거래된 신용카드 정보는 개당 약 2.66달러(한화 약 3,516원)에 팔렸다고 밝혔다.

· 더욱 우려되는 점은, 거래된 1만 건의 거래 내역 중 5천건은 단순한 카드번호뿐만 아니라 집 주소, 연락처 정보, 심지어 주민등록번호가 포함되었다는 점이다. 이는 더 큰 범죄로 이어질 수 있는 만큼 카드 거래가 일상화된 현재 사용자들의 각별한 주의가 필요한 대목이다.

러 보안국 "미국, 아이폰 이용 스파이 활동…수천대 감염" 

· 러시아 연방보안국(FSB)은 1일(현지시간) 미국 국가안보국(NSA)이 애플의 휴대전화 아이폰을 '스파이폰'으로 활용하고 있다고 주장했다.

· 로이터, 스푸트니크 통신에 따르면 FSB는 이날 성명에서 "애플의 모바일 기기를 활용한 미국 특수기관의 정보 활동을 적발했다"며 "국내 가입자의 휴대전화를 포함해 수천 대의 애플 휴대전화가 감염됐다"고 밝혔다.

· FSB는 그러면서 "북대서양조약기구(NATO·나토) 회원국, 이스라엘, 시리아, 중국을 포함해 러시아와 구소련 연방에 주재하는 외국 외교관의 휴대전화도 표적이 됐다"고 덧붙였다.

· 미국 NSA가 애플과 연계해 아이폰에 멀웨어(malware·악성 코드)를 침투시켜 스파이 활동을 벌였다는 것이다.