● 악성코드

클롭 랜섬웨어, 데이터 유출 및 추적 피하기 위해 ‘토렌트’ 활용했다

· 무브잇(MOVEit) 사태를 일으킨 클롭(Clop) 랜섬웨어 그룹이 공격 수법을 바꿔 탈취한 데이터 유출 통로로 토렌트를 사용했다고 전했다. 

· 이들은 피해입은 조직들을 대상으로 ‘몸값’을 요구하며 협박하기 시작했고, 실제 탈취한 데이터 파일을 토렌트에 공개하기 시작했다. Tor보다 다운로드 속도가 빠른 토렌트를 사용한 것도 특징이다. 게다가 토렌트는 탈중앙화되어 있어 단속을 회피하기 유리하다는 점도 골칫거리로 작용했다.

· 이들은 5월 27일부터 무브잇 트랜스퍼(MOVEit Transfer) 제로데이 취약점을 악용해 데이터 침해 공격을 일삼았다. 이 공격으로 전 세계 600여 개에 달하는 조직이 해킹 및 데이터 도난 피해를 입었다.

새롭게 등장한 야슈마 랜섬웨어의 변종, 한 번 당하면 지독하게 당할 수 있다

· 베트남 출신들로 구성된 것으로 보이는 한 해킹 공격 단체가 등장했다. 이들은 야슈마(Yashma)라는 랜섬웨어의 커스텀 버전을 주요 무기로 활용하고 있다. 

· 공격의 표적은 영어를 사용하는 여러 국가들과 불가리아, 중국, 베트남으로 현재까지는 집계되고 있다. 시스코의 탈로스(Talos) 팀에 의하면 “아직까지 한 번도 알려지지 않은 해킹 팀”이라며 “야슈마를 활용한 본격적인 공격은 6월초부터 시작된 것으로 보인다”고 말한다.

· 야슈마는 닷넷(.NET)을 기반으로 만든 32비트 실행파일로, 악명 높은 카오스(Chaos) 랜섬웨어의 5번째 버전의 또 다른 이름이다. 카오스 5번 버전의 기능 대부분을 유지하고 있긴 하지만 다른 점들도 존재한다. 피해자에게 협박 편지를 전달하는 방법이 특히 다르다. 탈로스 팀에 따르면 야슈마의 협박 편지 배송 방법은 카오스보다 오히려 워너크라이(WannaCry)에 가깝다고 한다.

● 어플리케이션

애플 아이폰 보안 위협하는 ‘사이드로딩’, 대체 뭐길래?

· 유럽연합(EU)이 iOS상에서 사이드로딩(Sideloading)을 허용하도록 애플을 압박하면서 아이폰 이용자의 앱 설치 선택권이 생길 가능성이 생겼다. 사이드로딩이란 자체 앱 마켓을 통하지 않고도 외부 소스를 통해 앱을 다운로드할 수 있도록 지원하는 것이다.

· 현재 애플은 iOS 운영체제에서 앱을 설치할 때 공식 앱스토어를 통해서만 가능하도록 제한하고 있다. 만약 EU의 요구를 애플이 수용할 경우 앞으로는 안드로이드와 마찬가지로 선드파티 앱 마켓 등을 통해서도 앱을 다운로드 받을 수 있게 된다.

· 그러나 공식 앱 마켓 외의 외부 앱 설치를 지원할 경우 사용자가 유해 앱에 노출될 가능성이 높아지고 이로 인해 앱 신뢰도 하락, 개인정보 침해 위협 증가 등 보안에 심각한 위협이 생길 수 있어 논란이 예상된다.

플레이 스토어의 버저닝 기술, 구글과 애플의 골칫거리

· 해커들 사이에서 버저닝 기술이 대세로 자리를 잡아가고 있다고 한다. 이 기법으로 구글 플레이의 공식 보안 확인 절차를 우회할 수 있게 되며, 피해자들의 장비에 멀웨어를 심을 수 있게 된다. 

· 공격자들의 궁극적 목적은 안드로이드 사용자들의 주요 크리덴셜 및 민감/금융 정보를 훔쳐내는 것이다. 그 외에 암호화폐 채굴과 같은 목적을 띈 움직임도 존재한다. 버저닝은 공격자에게는 매우 간단하지만, 탐지하는 자에게는 매우 까다로운 기술이다.

· 버저닝은 말 그대로 앱의 버전을 교묘하게 바꿔서 악성 기능을 구축하는 것이다. 구글 플레이에 최초로 침투할 때는 정상적인 버전으로 검사를 받고, 사용자가 설치한 이후에 버전 업데이트를 통해 악성 기능을 주입시키는 것이다. 미래 업데이트까지 다 검사할 수 없으므로 구글 입장에서는 이런 기법에 속수무책으로 당할 수밖에 없다.

● 네트워크

미 5개주 병의원들 사이버 공격으로 운영 마비

· 미국 여러 주의 병원과 의원들이 4일(현지 시간) 사이버 공격을 받아 컴퓨터 시스템을 복구하는데 오랜 시간이 걸리면서 일부 응급실이 폐쇄되고 응급환자를 받지 못하고 있다. 프로스펙트 메디컬 홀딩스 산하 많은 기초 병·의원들이 문을 닫은 상태이며 전문가들이 피해 범위를 확인하고 해결책을 마련하는 중이다.

· 미 병원협회 전국 사이버보안 및 위험 담당자인 존 리기는 복구 작업이 여러 주 걸리는 경우가 많다면서 그동안 병원들은 수기로 기록을 작성하고 장비 점검과 여러 부서 간 기록 전송을 사람들이 해야 한다고 밝혔다. 

中의 최고 보안 군사망 해킹 몰랐던 日… 美, 먼저 알고 귀띔했다

· 중국정부 소속 해커들이 2020년 일본의 안보 시스템에 침입해 군사 계획, 역량 등 자료를 열람했던 것으로 드러났다. 최근 미국 정부기관 이메일 계정이 중국 기반 해커들에게 뚫린 사실로 논란이 된 가운데 미국의 전략 동맹국인 일본도 중국의 해킹 대상이었던 셈이다.

· 당시 미 국가안보국(NSA)에서 이런 사실을 발견한 직후 폴 나카소네 국가안보국장 및 사이버사령관은 매튜 포틴저 백악관 국가안보회의(NSC) 부보좌관과 함께 일본 당국자들을 찾아 “일본 현대사에서 가장 큰 피해를 입힌 해킹 사건 중 하나”라고 전했다. 일본 방위상은 스가 요시히데 총리에게 별도 브리핑도 했다.

· 이 사건을 계기로 일본은 네트워크 보안 강화, 향후 5년간 관련 예산 10배 증액, 군 사이버 보안인력 4배 확대를 발표했다. 그러나 미국은 일본의 안보 시스템이 여전히 중국의 해킹 시도를 막기 어려울 것으로 우려한다고 WP는 전했다. 동맹인 미일 간 군사정보 공유 과정에서 일본 안보망이 뚫리면 미국의 기밀도 새나갈 수 있다.

● 시스템

테슬라 시스템 ‘해킹’, 유료 기능 잠금 해제 및 기밀까지 알아낼 수 있다

· 최근 테슬라 차량 모델에 사용되는 AMD 기반 인포테인먼트시스템을 해킹해 사용자가 원하는 모든 소프트웨어를 무료로 실행할 수 있는 방법이 베를린 공과대학교 연구진들에 의해 발견됐다고 한다. 

· 연구진은 취약한 AMD Zen 1 CPU를 기반으로 해당 플랫폼에서 기밀을 추출할 수 있는 결함을 이용해 전압 결함 주입 공격을 사용했다고 밝혔다. 연구진은 ASP 초기 부팅 코드 무력화하고 복구 및 제작용 리눅스 배포판에서 루트 쉘을 확보함으로써 루트권한을 얻어 차량 시스템의 소유자 개인정보·민감정보 등에 접근 가능했다고 밝혔다. 이와 관련해 ‘블랙햇 2023’에서 상세히 발표할 예정이다.

인텔 CPU서 정보 유출 보안 취약점 '다운폴' 발견

· 인텔 PC·서버용 프로세서에서 비밀번호나 암호화 키 등 민감한 정보를 빼돌릴 수 있는 보안 취약점이 드러났다.

· 구글 프로젝트 제로 팀 소속 전문가가 최근 발견한 이 문제는 대용량 데이터 처리 전 미리 메모리에서 데이터를 불러오는 명령어 '개더'(Gather) 때문에 발생한다.

· 프로세서 내 데이터 저장공간인 '레지스터'에 데이터를 전달하기 전 임시로 저장된 데이터를 PC나 서버 내 다른 프로그램이 엿볼 수 있는 것이다.

· 이 문제를 처음 발견한 구글 프로젝트 제로 팀 소속 전문가인 다니엘 모기미(Daniel Moghimi)는 8일(미국 현지시간) 공개한 웹사이트를 통해 "해당 문제는 메모리나 프로세서 내 레지스터 등 여러 곳에 흩어진 데이터 접근 속도를 높이는 최적화 기법 때문에 발생한다"고 밝혔다.