● 악성코드

파키스탄의 해킹 조직, 가짜 유튜브 앱 통해 멀웨어 퍼트리는 중

· APT36이라는 해킹 조직이 악성 안드로이드 멀웨어를 유포하는 중이라고 한다. 유포되는 멀웨어의 이름은 카프라랫(CapraRAT)이며, 일종의 원격 접근 트로이목마라고 한다. 가짜 유튜브 애플리케이션의 모습으로 퍼지고 있어 안드로이드 사용자들의 주의가 요구된다. 사용자의 장비에서 각종 데이터를 수집하고, 오디오와 비디오를 기록하며, 민감한 통신 정보에도 접근할 수 있다. 

· 다만 이 가짜 유튜브 앱은 공식 플레이 스토어를 통해 퍼지고 있지는 않다. 따라서 소셜엔지니어링 공격을 통해 피해자들에게 접근하는 전략이 사용되고 있을 것으로 보인다.

아이폰의 제로클릭 익스플로잇 통해 퍼지는 페가수스

· 러시아 유명 기자 갈리나 팀첸코(Galina Timchenko)의 아이폰에서 페가수스(Pegasus) 스파이웨어가 나왔다는 보도로 인해 정부 기관들의 특정 인사 감시 노력이 여전히 진행되고 있음이 다시 한 번 확인됐다. 잘 알려지지 않을 뿐, 여러 정부 기관들에는 감시의 방법과 의지가 충분히 확보되어 있는 것으로 보인다.

· 먼저 팀첸코는 러시아의 기자로, 러시아에서 망명을 떠나 라트비아에서 메두자(Meduza)라는 뉴스 사이트를 창립해 운영 중에 있다. 메두자는 러시아어와 영어로 운영된다. 

· 그런데 지난 6월 22일 애플은 팀첸코에게 위협 경고를 보냈다. 팀첸코의 핸드폰이 정부 지원 해킹 공격의 표적이 되고 있는 것으로 보인다는 내용이었다. 애플은 올해 초에도 몇몇 사용자들에게 비슷한 내용의 알림을 전달한 바 있다.

● 어플리케이션

커플이라면 위치, 문자 공유? ‘흥신소 앱’이 위험하다

· 어린 자녀의 안전을 위해, 또는 연인이나 배우자 간의 감시를 위해 휴대폰의 위치를 공유하는 앱이 사용되고 있습니다.

· 휴대폰의 GPS 정보를 공유해 현재 어디에 있는지, 어느 장소에서 얼마나 머물렀는지를 확인할 수 있게 해주는 것이죠. 서로 간의 동의가 되어있다면 무방하지만, 그렇지 않다면 법적으로도, 보안 측면에서도 문제의 소지가 다분합니다.

· 관계자는 “이러한 앱을 일명 ‘흥신소 앱’이라고 부르기도 하는데, 상호 간의 동의를 받고 설치가 되어있다는 것을 인지하면 문제가 없다”면서도 “다만 배우자가 상대방의 전화기에 몰래 설치해두고 앱을 숨기는 등 안 보이게 하면은 보안에도 위협이 될 수도 있다”고 지적했습니다.

공격자, MFA·클라우드 이용해 보안 우회

· 스미싱, 피싱으로 사용자를 속여 개인정보를 탈취하고, 이 정보를 이용해 헬프데스크를 속여 MFA를 재설정하며, 내부 시스템에서 특권계정을 훔쳐 주요 정보를 탈취, 공개한다고 협박하는 공격자의 행태가 공개됐다.

· 맨디언트가 UNC3944의 공격 방식을 자세히 분석한 블로그를 보면, 사이버 공격자들이 어떤 방식으로 침투하는지 자세히 알 수 있다. 특히 이들은 AWS, 애저 등 퍼블릭 클라우드의 정상 기능을 이용해 보안 모니터링을 우회하면서 공격하는데 탁월한 능력을 보이기도 했다.

· 이들은 서구권의 비즈니스 관행에 대해 깊이 이해하는 것으로 보이며, 옥타푸스, 스캐터 스와이, 스캐터드 스파이더 등 잘 알려진 해킹 조직과 유사한 공격 행위를 한다. 맨디언트는 이들이 언더그라운드 커뮤니티 지원을 받아 기술을 개선하고 작전의 효율성을 높이고 있다고 분석했다.

● 네트워크

레미타노서 해킹으로 270만 달러 인출… 테더, 공격자 추정 주소 동결

· 암호화폐 거래소 레미타노(Remitano)에서 의심스러운 거래로 인해 총 270만 달러 상당의 암호화폐가 인출되었다.

· 14일(현지 시각) 코인텔레그래프는 레미타노에서 일어난 의심스러운 대규모 인출에 대해 일부 블록체인 분석가들은 해킹을 당했을 가능성이 있다고 결론지었다고 보도했다. 이에 테더(Tether)는 공격자가 사용한 것으로 추정되는 주소 하나를 동결했으며, 이를 통해 140만 달러 상당의 고객 암호화폐를 보호할 수 있을 것으로 보인다.

· 9월 14일 오후 12시 45분경, 레미타노 핫월렛으로 알려진 지갑이 이전 기록이 없는 주소로 자금을 송금하기 시작했다. 약 140만 달러 상당의 테더, 20만 8,000 달러 상당의 USD 코인, 104,000개의 앵커 토큰(당시 2,000달러 상당)이 '0x74530e81E9f4715c720b6b237f682CD0e298B66C'라는 주소로 이동되었다.

"중국 정부 연계 해커, 사이버 공급망 노린 공격 급증“

· 협력 업체 등 제3자가 제공하는 데이터 관리 체계를 겨냥한 중국의 사이버 공격이 최근 급증하고 있는 것으로 나타났다. 서비스형 소프트웨어(SaaS) 등 클라우드를 기반으로 데이터를 관리하는 사례가 늘어나면서 개발자를 공격해 정보를 빼내고 있는 것이다. 중국 정부와 연계된 해킹조직들은 다중인증(MFA) 시스템을 우회하는 복잡한 해킹기법을 동원하고 있는 것으로 전해졌다.

· 김상규 경기연구원 연구위원은 20일 한국사이버안보학회가 주최한 '제4차 국가전략포럼'에서 "중국 정부와 연계된 해커그룹들이 최근 소프트웨어 공급망을 활용해 사이버 공격을 가하고 있다"며 "이들은 1단계 공격을 할 때 향후 추가로 이용할 가능성이 있는 피해자에게 2단계 스파이웨어를 남겨둬 현재 이익에만 치중한 공격이 아닌 장기적 관점에서 지속 공격을 하려는 치밀함을 보인다"고 밝혔다.

● 시스템

뉴질랜드 오클랜드의 교통국, 랜섬웨어로 일부 시스템 마비돼

· 뉴질랜드 오클랜드 교통국이 랜섬웨어 공격에 당했다고 한다. 이 때문에 교통국이 관할하는 시스템들이 마비되고, 광범위한 지역의 교통 시스템에도 영향이 생기고 있다. 특히 티케팅과 요금 처리와 관련된 시스템들이 제대로 작동하고 있지 않아 큰 손실이 예상된다. 현재 교통국은 복구를 최우선 목표로 잡고 작업을 진행하고 있으나 아직 조사가 진행 중에 있어 더 상세한 내용을 밝히기는 어렵다는 입장이라고 발표했다.

· 요즘 랜섬웨어 공격자들은 정보를 암호화 함으로써 시스템을 마비시킬 뿐만 아니라 정보를 가져가기도 한다. 이 때문에 이번 공격으로 오클랜드 교통국이 일부 정보를 잃었을 가능성도 제기되고 있다.

"사이버보안 정책적 접근해야…해킹 공격 후 '복원력' 집중“

· 유럽연합(EU)이 '네트워크 및 정보시스템의 사이버 보안 지침(NIS2 지침)' 등 사이버 보안 관련 입법에 속도를 내고 있다. 

· 국내에서도 EU 입법 동향을 참고해 사이버 보안에 있어서 기술 대응뿐 아니라 제도적 대응이 필요하다는 주장이 나왔다. 사이버 공격을 단순히 막고, 처벌하는 것뿐 아니라 대규모 공격이 발생하더라도 사회의 필수 기능을 정상적으로 이어가기 위한 복원력에 집중하도록 정책적으로 뒷받침해야 한다는 것이다.

· 지난 1월 발효한 '주요 조직 복원력 지침(CER 지침)'의 경우 자연재해, 테러 등 모든 종류의 위협에 대한 주요 조직의 보호 의무와 복구 전략을 담았는데, 여기에 사이버 위협도 포함했다. 또 '사이버복원력법(CRA)'은 장치나 네트워크에 직·간접적 데이터 연결을 하는 모든 제품에 대한 사이버 보안 기준을 적용하도록 하면서 기업의 책임을 강화했다.