● 악성코드

병원에서 5TB 데이터 훔쳐갔다고 주장하는 블랙캣 랜섬웨어

· 보안 블로그 시큐리티어페어즈에 의하면 블랙캣(BlackCat)이라는 랜섬웨어가 모리슨커뮤니티병원(Morrison Community Hospital)이라는 곳을 공격해 5TB의 데이터를 훔쳐내는 데 성공한 것으로 보인다고 한다. 블랙캣 스스로의 주장에 따르면 병원 직원과 환자들의 개인정보, 백업 데이터, 개인 식별 관련 문건 등이 여기에 포함되어 있다고 한다. 이들은 자신들이 운영하는 다크웹 정보 공개용 사이트를 통해 샘플 데이터를 업로드하기도 했다.

· 병원은 사이버 공격자들이 깊은 관심을 가지고 있는 표적이다. 민감한 정보를 풍부하게 저장하고 있으면서도 보안이 취약하기 때문이다. 게다가 잠시라도 운영이 중단될 경우 인명 피해로 이어질 수 있어 협박 공격에도 대단히 취약하다. 록빗(LockBit)이라는 유명 랜섬웨어 그룹은 병원은 빼고 공격한다고 선언했지만 잘 지켜지지 않고 있다.

중국발 악성코드 '구멍', 기상청 말고 또 발견

· 지난 6월 기상청에 납품된 중국산 계측 장비에서 악성코드가 발견돼 국정원에 통보됐습니다.

· 국정원 조사결과 구 버전 윈도우 OS를 기반으로 작동하는 계측 장비에 악성코드가 침투해 있던 것으로 드러났습니다.

· 제조사의 보안 프로그램 업데이트가 종료된 구버전 OS에 악성코드가 심어져 있었던 건데, SBS 취재결과 과학기술부 산하기관들도 여전히 이런 구버전 OS 컴퓨터를 쓰고 있는 것으로 나타났습니다.

· 카이스트, 광주과학기술원, 동남권 원자력의학원 등에서 구버전인 윈도우 7이나 8을 쓰는 PC가 많게는 500대 있고, 출시 20년이 지난 윈도우 XP를 쓰는 PC도 6대나 있는 걸로 드러났습니다.

● 어플리케이션

인기 높은 WS_FTP 취약점 공략하기 시작한 랜섬웨어 단체

· 미국의 사이버 보안 전담 기관인 CISA가 어도비 아크로뱃 리더(Adobe Acrobat Reader)에서 발견된 취약점인 CVE-2023-21608에 대한 새로운 경고를 발표했다.

· 해당 취약점을 통한 익스플로잇 공격이 활발히 진행되고 있다는 것으로, CISA는 이 취약점을 ‘긴급 패치 목록(KEV)’에 포함시키기도 했다. 

· CISA의 KEV 목록은 실질적인 해킹 공격에 활용되고 있는 취약점들을 포함하고 있어 패치 관리 시 참고하면 유용하다고 알려져 있다.

엑스의 새로운 계정 인증 체계, 사이버 사기꾼들이 활발히 악용 중

· 사이버 범죄자들이 소셜미디어 엑스에서 새롭게 도입한 인증 시스템을 악용하고 있다는 소식이다. 브랜드를 사칭하고 개인정보를 훔치는 데 이러한 방법이 사용되고 있다고 한다. 엑스는 트위터라는 이름으로 오랜 시간 사랑받아 왔던 소셜미디어의 새 이름으로, 억만장자 일론 머스크(Elon Musk)가 매입한 뒤 많은 부분이 바뀌었고, 이번 소식 역시 그러한 변화들과 관련이 있다.

· 엑스가 트위터였던 시절, 파란색 체크 표시라는 게 있었다. 트위터가 인증한 공식 계정들에만 부착되던 것이었다. 주로 기업이나 인플루언서들의 공식 계정들이 전부 이 파란색 표시를 가지고 있었다. 하지만 머스크가 새로운 주인이 된 이후 이 파란색 표시와 관련된 규칙이 바뀌었다. 엑스가 직접 확인하여 인증한 계정이 아니더라도 돈만 매달 내면 누구나 이 표식을 얻을 수 있게 된 것이다.

· ‘공식 계정’이라는 타이틀을 돈으로 살 수 있게 됐으니 공격자들이 바쁘게 움직이기 시작했다. 손쉬운 사칭의 길이 열린 것이나 다름 없게 된 것이기 때문이다. 그런데다가 엑스는 파란색 표시만이 아니라 금색과 회색 배지도 만들어 적용함으로써 혼란을 가중시켰다. 

● 네트워크

"가짜 검찰청 홈페이지부터 큐싱까지"...신종 사기 수법 성행

· 최근 큐알(QR)코드, 검찰 사칭 홈페이지 링크 등을 이용한 신종 사기 범죄가 기승을 부리고 있어 각별한 주의가 요구되고 있다.

· 기관을 사칭한 사기 수법은 꾸준히 발생하는 추세다. 국회 정무위원회 소속 강민국 의원실이 금융감독원에서 제출받은 자료에 따르면 지난 2018년부터 올해 7월까지 발생한 기관 사칭형 보이스피싱은 2만 550건으로, 피해액은 4143억원에 이르렀다.

· 특히 올해 7월까지 접수된 기관 사칭형 보이스피싱 접수 건은 2506건으로 피해액은 343억원에 달했지만 환급액은 72억에 그쳤다.

· 문제는 이런 보이스피싱 일당들이 전화를 통해 직접 피싱을 진행하는 수법이 알려지자 기관 홈페이지를 가장한 사칭 홈페이지를 이용한 수법들 역시 속속들이 관측된다는 점이다.

“소포가 배달됐으니 수령하세요”... 우체국 사칭 피싱 메일 주의

· “귀하의 소포가 배달됐습니다. 즉시 수령하세요, 보관료가 시작됐습니다”, “귀하의 소포를 깜빡하셨습니다. 그것은 오늘 반환될 예정입니다”, “당신의 소포는 오늘 반환될 예정입니다. 귀하에게 벌금이 부과될 것입니다.”

· 과학기술정보통신부 우정사업본부(본부장 조해근)는 최근 이와 같은 내용이 담긴 우체국을 사칭한 피싱 메일이 급증하고 있다며 국민의 주의를 당부했다.

· 우정사업본부가 피싱 메일을 분석한 자료에 따르면 우체국 소포 배송을 사칭하는 유형이 대부분이다. 해당 피싱 메일은 메일 본문에 포함된 링크를 통해 배송료, 보관료, 벌금 등의 명목으로 이용자에게 결제를 유도하고 있는 것으로 나타났다.

● 시스템

아직 패치가 되지 않은 시스코 제로데이 취약점, 10점 만점에 10점

· 리눅스 배포판 중 하나인 그놈(GNOME)이라는 데스크톱 환경에서 새로운 취약점이 하나 발견됐다. 이 취약점을 익스플로잇 하는 데 성공할 경우 공격자들은 순식간에 피해자의 장비를 장악할 수 있게 된다고 한다.

· 문제의 취약점은 CVE-2023-43641이다. 취약점이 위치하는 정확한 위치는 libcue라는 요소이다. 일종의 라이브러리로, 사실 그리 유명하지도 않고 널리 사용되지도 않는다. libcue는 큐 시트(cue sheet)를 확인하는 기능을 가지고 있다. 

· 디폴트로 설치되어 있지만 아는 사람도 거의 없고 사용하는 사람은 더 없는 애플리케이션 속에 있는 인기도 없고 유명하지도 않은 디펜던시 하나가 작은 오류 하나를 가지고 있는데, 그 사소한 문제가 꽤나 심각한 사태를 야기할 수 있다는 것은 모든 리눅스 사용자와 관리자에게 경종을 울리는 소식이다.

MS 오피스 매크로 대신 공격자들이 사용하던 VB스크립트, 조만간 사라진다

· MS가 이번 주 비주얼베이직스크립트(VBscript)라는 오래된 스크립트 언어를 서비스 중단하기 위한 절차에 돌입했다고 발표했다. 비주얼베이직스크립트(이하 VB스크립트)는 사이버 공격자들이 가장 많이 사용하는 공격 도구 중 하나이기 때문에 이것이 사라진다면 사이버 범죄 생태계에 적잖은 요동이 있을 것으로 예상된다. 물론 치명적이지 않을 가능성이 높지만.

· 아직 VB스크립트를 완전히 제거하겠다는 건 아니다. 그런 단계로 가기 위한 초기 절차를 시작할 거라는 뜻이다. 그렇기 때문에 미래에 출시되는 윈도 버전에서도 VB스크립트가 존재하긴 할 것이다. 다만 누구나 사용할 수 있는 기능으로서 존재하는 게 아니라 필요에 따라 요청할 경우에만 제공될 것이라고 한다. 그런 식으로 시간이 흘러 사용자가 차츰 줄어들기를 기다렸다가 결국 윈도 생태계에서 완전히 제거하는 게 목표다.