● 악성코드

국제 공조 작전을 거치고도 살아남은 칵봇, 다시 활동 중

· 칵봇(QakBot)은 국제 공조 작전에 의해 인프라가 사실상 와해되었음에도 아직 살아있다. 그냥 살아있는 것만이 아니라 2023년 8월초부터 피싱 캠페인을 활발하게 진행하고 있었다고 한다. 

· 다만 이번에는 칵봇이라는 멀웨어를 퍼트리는 게 아니라 랜섬나이트(Ransom Knight)라는 랜섬웨어와 렘코스랫(Remcos RAT)이라는 트로이목마를 유포하고 있다. 

· 결국 지난 공조 때 와해된 건 C&C 서버 일부에 불과했던 것으로 추정된다. 피싱 및 스팸 인프라는 당시 건드리지 못했던 것으로 보인다.

신종 맬웨어 ‘ZenRAT’ 발견…“비트워든 유사 웹사이트로 사용자 혼선 노려”

· 프루프포인트 사이버 위협 연구팀이 암호 관리 앱 ‘비트워든(Bitwarden)’의 가짜 설치 패키지로 확산되고 있는 신종 맬웨어 ‘ZenRAT’를 발견했다고 10월 12일 밝혔다. 

· 회사에 따르면 해당 샘플은 당시 윈도우 소프트웨어 설치 패키지 안에 포함돼 배포되고 있었는데, 비트워든 웹사이트와 유사한 ‘bitwariden[.]com’로 확인됐다. 표준 비트워든 설치 패키지에 악성 .NET 실행파일이 있었다.

· 프루프포인트 사이버 위협 연구팀 관계자는 “공식 웹사이트 도메인과 소프트웨어 다운로드를 호스팅하는 도메인을 비교·확인하는 것이 중요하다”라며, “검색엔진 결과에 노출되는 광고도 주의할 필요가 있다”라고 밝혔다.

● 어플리케이션

어도비 아크로뱃 리더의 취약점, 활발히 공격 받고 있어

· 미국의 사이버 보안 전담 기관인 CISA가 어도비 아크로뱃 리더(Adobe Acrobat Reader)에서 발견된 취약점인 CVE-2023-21608에 대한 새로운 경고를 발표했다.

· 해당 취약점을 통한 익스플로잇 공격이 활발히 진행되고 있다는 것으로, CISA는 이 취약점을 ‘긴급 패치 목록(KEV)’에 포함시키기도 했다. 

· CISA의 KEV 목록은 실질적인 해킹 공격에 활용되고 있는 취약점들을 포함하고 있어 패치 관리 시 참고하면 유용하다고 알려져 있다.

‘블루투스로 무료 급유’ 美 주유소 습격사건

· 미국 와이오밍주 주유소에서 한 남성이 급유기를 해킹, 대량 가솔린을 무료로 급유할 수 있는 사태로 만든 사건이 발생했다. 피해액은 3,000달러로 점원은 할 수 있는 게 거의 아무 것도 없었다고 한탄했다.

· 주유소 점원에 따르면 도둑은 스마트폰과 블루투스를 이용해 급유기를 해킹했다고 한다. 어떤 방식으로 해킹에 성공했는지는 밝혀지지 않았다. 이에 의해 돈을 지불하지 않고도 휘발유가 나와 주유소를 방문한 운전자가 잇달아 급유해갔다.

· 업주는 급유기 정지 버튼을 눌러도 멈추지 않았고 전부 펌프를 멈추는 긴급 정치 장치를 누를 수밖에 없었다고 밝히고 있다.

● 네트워크

모아저축은행, 해킹으로 인한 개인정보 유출 발생... 2차 피해 우려

· 모아저축은행에서 해킹으로 인한 고객 개인정보 유출 사고가 발생한 것으로 확인됐다. 하지만 사고 발생 한 달이 지나서야 해킹 사실이 통지됐으며, 개인정보 유출 항목이 확인되지 않고 있다는 점에서 2차 피해 우려가 제기되고 있다.

· 최근 모아저축은행은 홈페이지 공지사항을 통해 해킹으로 인한 개인정보 유출 사고가 발생했음을 공지했다. 공지에 따르면 모아저축은행은 지난 9월11일경 대출 신청 서버에 대한 불법적인 접근 시도를 파악해 조치했으나, 일부 고객의 개인정보가 유출된 것을 확인했다.

· 다만 유출된 개인정보 항목과 더불어 개인정보 유출 대상 및 규모는 공지되지 않았으며, 해커의 접근 경로도 확인되지 않았다. 특히 유출 가능성이 있는 개인정보 항목이 공지되지 않은 점에 대한 우려도 제기되고 있다.

문체부 해킹시도 5년새 4만7천회...개인정보 8천여건 유출

· 문화체육관광부 및 산하기관에 대한 해킹 공격이 5년 사이 급증한 것으로 나타나 대책 마련이 시급하다는 지적이 나온다.

· 문화체육관광부 및 산하기관에 대한 해킹시도는 매년 증가해 2019년 3천954건이었던 해킹건수가 지난해는 1만3천863건으로 250% 증가한 것으로 나타났다. 특히 지난해에는 문화체육관광부가 관리하는 '대한민국 정부' 유튜브를 포함해, 한국관광공사, 국립현대미술관 유튜브에 가상화폐 라이브 영상이 송출되는 해킹 피해가 다변화되고 있는 실정이다.

· 공격시도가 가장 많은 기관은 한국문화정보원 4천797회, 한국관광공사 4천744회, 국립중앙도서관 3천891회 순이었다. 국립중앙도서관의 경우 등록 회원수가 약 27만명에 달하는 만큼 특별한 주의가 요구된다는 지적이다.

● 시스템

리눅스에서 발견된 ‘원클릭’ 취약점, 보안에 사소한 것이 없음을 상기시켜

· 리눅스 배포판 중 하나인 그놈(GNOME)이라는 데스크톱 환경에서 새로운 취약점이 하나 발견됐다. 이 취약점을 익스플로잇 하는 데 성공할 경우 공격자들은 순식간에 피해자의 장비를 장악할 수 있게 된다고 한다.

· 문제의 취약점은 CVE-2023-43641이다. 취약점이 위치하는 정확한 위치는 libcue라는 요소이다. 일종의 라이브러리로, 사실 그리 유명하지도 않고 널리 사용되지도 않는다. libcue는 큐 시트(cue sheet)를 확인하는 기능을 가지고 있다. 

· 디폴트로 설치되어 있지만 아는 사람도 거의 없고 사용하는 사람은 더 없는 애플리케이션 속에 있는 인기도 없고 유명하지도 않은 디펜던시 하나가 작은 오류 하나를 가지고 있는데, 그 사소한 문제가 꽤나 심각한 사태를 야기할 수 있다는 것은 모든 리눅스 사용자와 관리자에게 경종을 울리는 소식이다.

원산지관리시스템, 5년간 해킹시도 20만여건… “해커들 놀이터 됐다”

· 원산지관리시스템에 대한 해킹시도가 2019년 이후 5년간 20만1018건에 달하는 것으로 나타났다. 2019년 1만8612건에서 2023년 상반기 6만9102건으로 공격빈도가 크게 늘어났지만 이에 대응할 정보보호 장비는 노후화돼 있다는 지적이다.

· 각 장비별 내용연수는 5년인데 외부 방화벽은 8년, 가상사설망(VPN)과 메일보안 솔루션은 11년, 침입탐지/방지(IDS/IPS) 솔루션 12년, 웹방화벽 13년 등 내용연수를 훌쩍 넘은 제품이 운영되고 있다.

· 대부분의 공격 유형은 웹접근시도로 19만6449건을 차지했다. 웜/바이러스는 4567건이다. 공격 국가별로는 국내 6만5983건, 미국 6만4340건, 중국 3만2888건 등인데 IP의 경우 변조가 가능하므로 큰 의미를 부여하기 어렵다.