● 악성코드

바라쿠다 ESG 장비에서 나온 취약점, 아직도 익스플로잇 되고 있어

· FBI가 바라쿠드 ESG(Barracuda ESG) 장비들에 대한 해킹 공격이 아직도 이어지는 중이라는 경고를 발령했다고 한다. 익스플로잇 되고 있는 취약점은 CVE-2023-2868이며, 공격자들은 이 취약점을 통해 새로운 멀웨어를 유포하고 있다고 한다.

· 이 멀웨어의 이름은 시스파이(SeaSpy)와 설트워터(Saltwater), 시사이드(SeaSide), 서브마리너(Submariner), 월풀(Whirlpool)이다. 공격자들은 이 멀웨어들을 통해 원격에서 자유롭게 피해자의 시스템에 접근할 수 있게 된다.

· 문제의 취약점은 이미 2022년 10월부터 익스플로잇 되기 시작했으며, 바라쿠다 측에서 패치를 내놓았지만 문제가 해결되지 않았다. FBI도 이 점을 강조하며 장비를 네트워크에서 분리시켜 사용하거나 교체할 것을 촉구하고 있다. 

사용자 장비 위치 60초에 한 번씩 내보내는 위피레콘 멀웨어

· 위피레콘(Whiffy Recon)이라는 이름의 새로운 멀웨어가 발견됐다. 스모크로더(SmokeLoader)라는 봇넷을 통해 유포되고 있으며, 와이파이 스캐닝 기능을 가지고 있어 피해자의 물리적 위치를 추적할 수 있다는 특장점을 가지고 있다고 한다.

· 위피레콘이라는 이름은 ‘와이파이’에서부터 나왔다. 영어에서는 와이파이를 ‘와이파이’라고 읽지만 많은 유럽 국가들과 특히 러시아에서는 ‘위피’라고 읽는다. 

· 위피레콘은 시스템을 침해한 후 제일 먼저 와이파이 카드와 동글을 탐색한다. 그런 후 스캔을 통해 근처의 와이파이 AP를 찾는다. 이러한 스캔 행위를 60초마다 한 번씩 한다고 보안 업체 시큐어웍스(Secureworks)는 밝히고 있다.

● 어플리케이션

해커 표적 1위는 '텔레그램'…구글 드라이브·디스코드 등 주의

· 전 세계 400개 이상 악성 프로그램을 분석한 결과, 25%가 합법 인터넷 서비스를 악용할 수 있으며, 그 중 68.5%가 현재 하나 이상의 합법 인터넷 서비스를 이용하는 것으로 나타났다. 

· 합법 인터넷 서비스를 가장 많이 이용하는 악성 프로그램은 정보 탈취 프로그램이 37%로 가장 많았다. 이어 행동 악성 프로그램(17%), 트로이목마(15%), 로더/드로퍼(14%) 순이다. 

· 악용되는 메신저 프로그램으로는 텔레그램이 66.7%로 압도적 선두를 지켰다. 이어 디스코드가 27.8%로 뒤를 이었다. 구글 FCM(Firebase Cloud Messaging)과 슬랙(Slack)은 각각 2.8%를 차지했다.

URL 포함된 메시지 열면 IP 노출” 스카이프 모바일 버전서 결함 발견

· 모바일 스카이프 앱에서 메시지를 읽을 때 각별히 주의하는 것이 좋다. 자신도 모르게 다른 사람에게 IP 주소가 노출될 수 있기 때문이다. 링크가 포함된 메시지를 열기만 하면 IP 주소가 노출되는 결함 때문인데, 마이크로소프트는 해당 문제를 보안 취약점으로 취급하지 않는 것으로 보인다. 

· 404 미디어(404 Media)의 보도에 따르면, 해당 결함은 사용자가 메시지 내 링크를 클릭하지 않아도 IP 주소를 노출한다. IP 주소를 숨기는 VPN을 사용해도 완전히 안전하지 않으며, 설상가상으로 모든 합법적인 URL을 악용할 수 있다. 

· 해당 문제를 발견한 독립 연구원 요시(Yossi)에 따르면 링크 매개변수만 변경하면 된다. 일반적으로 채팅 앱은 각 사용자의 위치를 알고 있지만 공유는 하지 않는 개인 간 완충 지대 역할을 한다. 

● 네트워크

대형 영화사 파라마운트에서 데이터 침해 사고 발생해

· 미국 엔터테인먼트 산업의 큰 손인 파라마운트(Paramount)사가 최근 해킹 공격을 받아 일부 데이터가 침해됐다고 한다. 개인 식별 정보도 공격자들이 빼돌린 것으로 추정된다. 

· 파라마운트 측에서 피해자로 의심되는 사람들에게 직접 보낸 알림 메일에 의하면 실제 해킹 행위는 올해 5월과 6월 사이에 있었다고 하며, 이름, 생년월일, 사회 보장 번호, 운전자 면허 번호 등을 공격자들이 가져간 것으로 보인다고 한다.

· 파라마운트는 정보를 애매하게 공개하고 있다. 피해자 100명이 직원인지 사용자인지도 밝히지 않고 있으며, 그 외 어떤 정보를 해커들이 가져갔는지도 공개하지 않고 있다. 공격자들에 대하여 알아낸 내용도, 공격의 유형에 대해서도 함구하고 있다. 사건을 인지한 시기도 알리지 않는다. 다만 랜섬웨어 공격은 아닌 것으로 보인다.

영국 주요 경찰 병력의 신원 정보, 서드파티 침해 사고로 유출돼

· 영국 런던의 메트로폴리탄폴리스포스(Metropolitan Police Force)에서 데이터 침해 사고가 발생한 것으로 보인다고 한다. 수많은 사법 요원들의 신상이 담긴 개인정보가 노출된 것으로 보이며, 이 때문에 경찰관들과 그 가족들의 신변에 위험이 있을 수 있다는 경고가 나오고 있다. 

· 경찰관들의 출입증과 신분증을 인쇄하는 서드파티 업체가 해킹에 뚫렸다고 하며, 전 경찰 병력에 주의하라는 경고가 나간 상황이다. 

· 영국 경찰 측에서는 이런 대형 보안 사고들이 이따금씩 터지는 편이다. 2021년에는 15만 건의 체포 관련 기록들을 실수로 삭제하는 일도 있었다. 범인들 및 주요 용의자들의 지문과 DNA 정보까지도 함께 삭제됐다. 한편 서드파티 업체의 보안 문제는 항상 제기되어 오는 현대 사회의 가장 부실한 약점 중 하나다. 

● 시스템

'의료정보 유출사고' 늘어나는데 종합병원 6%만 보안관제

· 지난 2021년 북한 정찰총국 산하 해커집단 '김수키'가 서울대학교병원을 해킹해 83만건의 개인정보를 유출한 사건이 있었다. 병원 서버의 취약점을 악용해 내부망에 침입한 후 환자 81만여명과 전현직 직원 1만7천여명 등 약 83만명의 개인정보를 탈취했다.

· 정부가 올해 진료 AI 도입, 공공의료 디지털 전면화 추진 등 디지털 의료 확산에 나서면서 의료 데이터 보안의 중요성이 커지고 있다. 의료 데이터 역시 금융 데이터와 마찬가지로 경제적 가치가 높지만 이에 대한 보안 준비가 상대적으로 부실하다는 지적이 나온다.

· 28일 업계에 따르면 국내 은행 95%가 가입한 공동 보안관제 서비스에 종합병원의 단 6%만 가입했다. 의료 데이터는 극도로 민감한 개인정보일 뿐 아니라 인간의 생명과 직결되는 막중한 가치를 가진 정보인 만큼 각별한 보안이 필수다.

중국 추정 해커, 일본 사이버보안센터에 침투 정황 포착

· 영국 파이낸셜타임스는 정부와 민간 소식통을 인용해 중국과 연계된 해커들이 2022년 가을부터 올해 6월까지 일본의 NISC에 침입해 민감한 데이터에 접근했을 가능성이 있다고 보도했다.

· NISC는 이메일을 포함한 개인정보와 관련한 잠재적인 보안 침해를 공개했으며, 해커들이 기관 구성원 중 한 명의 이메일 계정을 손상시켰을 가능성이 높다고 밝혔다. 이와 함께 국내외 민간 및 정부 파트너 모두에게 이메일 알림을 보내 데이터 손상 가능성을 경고했다.

· NISC 관계자는 이번 사건에 대한 조사를 마무리하고, 특정되지 않은 구성원의 이메일 시스템에 대한 정보만 유출됐다고 발표했다.