● 악성코드

깃허브서 가짜 PoC 발견돼… “개념증명으로 위장한 데이터 탈취용 백도어” 

· 깃허브에서 가짜 리포지토리가 발견됐다. 취약점을 검증하는 개념증명 리포지토리로 위장했으나 사실은 숨겨진 데이터 탈취용 백도어였다.

· 특히 해당 백도어는 잠재적 취약점을 파악하기 위한 PoC로 위장했기 때문에 사이버 보안 연구 커뮤니티에 영향을 미쳤다고 업틱스는 밝혔다.

· “이번 사례의 PoC는 양의 탈을 쓴 늑대였으며, 무해한 학습 도구로 가장한 이면에 악의적인 의도를 숨기고 있었다”라고 업틱스는 전했다. 

· 업틱스에 의하면 백도어는 다운로더로 작동했다. 아울러 커널 수준의 프로세스로 위장해 리눅스 배시 스크립트를 조용하게 덤프하고 실행했다.

· 백도어는 호스트 이름부터 사용자 이름, 홈 디렉토리 콘텐츠의 전체 목록까지 다양한 데이터를 유출할 수 있었다.

· “공격자는 authorized_keys 파일에 ssh 키를 추가해 타깃 시스템의 전체 접근 권한을 얻을 수 있었다”라고 업틱스는 덧붙였다. 

한 달 새 3차례 발생한 '크리덴셜 스터핑' 공격... 기업 및 기관의 역할 막중

· 최근 복수의 기업과 기관에서 ‘크리덴셜 스터핑(Credential Stuffing)’이라 불리는 해킹 공격이 연달아 발생하고 있다.

· 해당 공격의 피해를 본 플랫폼 및 사이트에서는 이용자의 민감 개인정보가 유출됐으며, 일부 기업에서는 고객의 금전적 피해가 발생하기도 했다.

· 크리덴셜 스터핑이란 해커가 미리 확보한 이용자 정보를 다른 계정에 무작위로 대입해 사용자의 계정을 탈취하는 공격 방식이다.

· 만약 앞서 다크웹 등을 통해 로그인 정보가 유출된 사람이 다른 계정에 동일한 비밀번호를 사용하고 있다면, 해당 공격 방법에 의해 또 다른 계정이 탈취될 가능성이 있는 것이다.

· 해당 공격으로 인한 피해는 몇 년 전부터 꾸준히 증가하고 있다. 특히 최근 몇 년 동안 게임 아이템이나 포인트와 같은 디지털 재화를 다루는 기업을 대상으로 지속적인 해킹 시도가 발생하기도 했다.

· 또한 최근에는 디지털 재화를 취급하지 않는 기업을 대상으로도 이용자의 개인정보를 노리는 것으로 추정되는 공격 시도가 계속해서 보고되고 있다.

● 어플리케이션

애플, 사파리 버그·웹킷 보안 취약점 수정 'iOS 16.5.1(c)' 배포

· 12일(현지시간) 애플이 iOS 16.5.1 업데이트를 실행하는 아이폰 및 아이패드 사용자를 위한 iOS 16.5.1(c) '신속 보안 대응(Rapid Security Response)' 업데이트를 공개했다.

· '신속 보안 대응' 기능은 iOS 16에 새롭게 추가된 기능으로 매우 위험한 보안 취약점이 발견됐을 경우 시스템 업데이트 없이 보안 업데이트를 빠르게 설치해준다. 

· '신속 보안 대응' 업데이트를 설치하면 iOS 16.5.1 사용자에게 업데이트된 버전의 소프트웨어가 표시된다.

· '신속 보안 대응' 업데이트는 설정에서 비활성화도 가능하다.

· 이번 업데이트에서는 적극적으로 악용될 수 있는 웹킷(WebKit) 보안 취약점 및 사파리 웹 브라우저의 버그가 수정됐다.

· 사용자들은 앞서 공개된 iOS 16.5.1(a) 업데이트 설치 후 페이스북, 인스타그램, 왓츠앱, 줌(ZOOM) 등의 사이트에 접속할 수 없다며 불만을 나타낸 바 있다.

4개 취약점 패치한 마스토돈, 하지만 진짜 문제는 태생적인 구조에 있는데

· 마이크로 블로깅 플랫폼인 마스토돈(Mastodon)에서 발견된 취약점 4개가 지난 주에 패치됐다. 하지만 문제는 거기서 끝난 게 아니었다.

· 마스토돈과 같은 ‘탈중앙화’를 추구하는 플랫폼의 보안과 안전성에 대한 근본적인 의문들이 생겨나기 시작한 것이다. 이는 사실 오픈소스 생태계 자체에 관한 논제이기도 하다.

· 마스토돈의 창립자인 유겐 로치코(Eugen Rochko)는 깃허브에 보안 권고문을 발표하며 교차 사이트 스크립팅(XSS), 임의 파일 생성, 서비스 거부, URL 일부 임의 숨김 등의 공격을 가능하게 하는 취약점들이 해결됐다고 알렸다.

· CVSS를 기준으로 했을 때 4개의 취약점은 최저 5.4점, 최고 9.9점 사이에 분포해 있다는 설명도 있었다. 4개 취약점에 대한 패치는 이미 나온 상황이지만 위험이 사라진 건 아니다. 

· 한 보안 전문가는 9.9점짜리 취약점에 대한 글을 게시하면서 “마스토돈 서버를 호스팅 하고 있는 수많은 사용자와 조직들이 패치를 적용하지 않고 있다”고 경고했다.

● 네트워크

한전 개인정보 유출…고객 개인정보 5만건 유출됐다

· 한국전력이 고객 개인정보 약 5만건을 유출해 논란이다. 한전은 지난 4월 고객에게 이메일을 발생하는 과정에서 이름과 전기를 사용한 장소 등 개인정보를 유출한 사실이 뒤늦게 드러났다.

· 이는 지난 14일 한전이 국민의힘 김성원 의원실에 제출한 자료에서 밝혀졌다.

· 한전은 지난 4월 18일 고객에게 이메일 발송 시 이름과 전기 사용 장소 등 2개 항목에서 4만9884건의 개인정보를 유출했다.

· 한전은 유출 경위에 대해 "고객 번호와 이메일 주소를 잘못 연결해 해당 고객이 아닌 다른 고객의 이메일 주소로 발송됐다"고 설명했다.

· 한전은 '이메일 도용 가능성'을 우려하는 고객들의 문의에 "명의도용이 아닌 담당자의 과실로, 타인의 고객정보가 잘못 발송됐다"고 안내했다. 

· 한전은 이 같은 개인정보 유출에 대해 사과하는 글을 한전 메인 홈페이지 및 사이버지점에 4월 24일부터 5월 30일까지 열흘간 게재한 후 삭제했다.

“내가 보낸 게 아닌데”…해외 메신저 해킹 주의보

· 해외 A사가 운영하는 SNS(소셜네트워크서비스) 메신저에서 개인정보 탈취 뒤 명의 도용을 통한 메시지 전송 의혹 사례가 일부 이용자들 사이에서 확인돼 사용자들의 주의가 요구된다. 16일 아사이투데이 취재를 종합하면 지난 15일부터 일부 언론인, 직장인 사이에서 메시지 명의 도용 사례가 10여 건 확인됐다.

· B씨는 15일 오전 자신의 직장 선배가 보낸 "바쁘세요?"라는 내용의 메시지를 받았다. 후배인 자신에게 경어체를 쓴 선배의 메시지를 수상히 여긴 B씨가 직접 전화를 한 결과 선배가 보낸 메시지가 아니라는 사실을 확인했다. C씨는 주변 동료들로부터 자신의 이름으로 수상한 메시지가 여러 개 왔다며 직접 보낸 것이 맞느냐는 연락을 받았다.

· 해당 메시지를 보낸 적이 없는 C씨는 자신의 계정이 도용됐다고 생각해 메신저를 탈퇴했다. D씨도 자신의 이름으로 보내지 않은 메시지가 지인들에게 전달된 것을 확인하고 회원 탈퇴 여부를 고민하고 있다.

● 시스템

팀TNT, AWS 크리덴셜 노리다가 GCP와 애저로도 눈길 돌려

· 보안 외신 SC미디어에 의하면 해킹 그룹 팀TNT(TeamTNT)가 애저와 GCP, AWS 등 유명 공공 클라우드 서비스의 크리덴셜을 훔치는 캠페인을 진행 중에 있다고 한다. 

· 원래는 AWS를 집중적으로 공략했던 그룹이었는데, 이제 GCP와 애저로까지 공격 대상을 확대한 것이다.

· 주로 각 클라우드 서비스에서 사용되는 도커 이미지들 중 노출된 것들을 노려 웜과 비슷한 모듈을 사용해 정보 탈취를 실시하고 있는데, 이러한 수법이 팀TNT가 과거에 보여주었던 그것과 동일하다고 한다.

· 다만 이 수법은 다른 공격자들도 쉽게 따라할 수 있어 100% 팀TNT의 소행이라고 하기는 힘들다. 

· 원래 사이버 공격자들은 AWS를 집중적으로 노려왔었다. AWS가 가장 인기 높은 클라우드 서비스였기 때문이다. 

· 덕분에 애저와 GCP는 상대적으로 보호를 받아온 감이 없지 않다. 그러나 최근 두 서비스의 인기가 높아지고, AWS를 노리는 공격자들 간 경쟁이 심화되면서 GCP와 애저도 많은 공격에 노출되고 있다.

수백만 사용자의 개인 식별 정보 노출시킨 데이터 앱

· 보안 외신 핵리드에 의하면 모바일 데이팅 앱의 데이터베이스가 노출되면서 사용자 230만 명의 개인 식별 정보가 같이 드러났다고 한다.

· 100만 명 가까운 사용자들의 경우 각종 사진들까지 앱에 저장하고 있었고, 일부 사진은 매우 외설적이기도 했다고 한다. 따라서 이를 통한 협박 공격도 가능할 것으로 예상된다.

· 문제의 데이팅 앱은 419 Dating – Chat & Flirt, Meet You – Local Dating App, Speed Dating App For American이다.

· 문제의 데이터베이스는 아무런 보호 장치 없이 데이터를 저장하고 있었으며, 그 양은 230만 건에 달했다고 한다.

· 세 가지 앱은 각각 다른 회사들이 개발한 것으로 나타나 있는데, 어떤 이유에서인지 같은 데이터베이스를 공유하고 있었다.

· 세 회사의 소유주가 같을 수도 있고, 개발을 공동으로 진행했을 수도 있다.