● 악성코드

엔드포인트-IoT 공격하는 리눅스 악성코드 발견

· 다단계 감염 체인을 통해 엔드포인트와 IoT 장치를 공격하는 시키테카(Shikitega)라는 새로운 리눅스 악성코드가 발견됐다.

· AT&T Alien Labs의 연구팀에 따르면, 이 악성코드는 시스템을 완전히 제어하고 가상자산 채굴 등을 할 수 있게 만든다. 또한 C2 서버에서 다음 단계 페이로드를 다운로드하고 메모리에서 직접 실행할 수 있게 한다.

· 전문가들은 이 악성코드가 Metasploit의 Mettle 미터프리터를 통해 시스템을 공격한다고 보고했다. 악성코드는 접근 권한을 높이기 위해 보안 취약점을 악용하며, 안티바이러스 엔진의 탐지를 피하기 위해 다형성 인코더를 사용한다.

아시아 정부 기관과 조직들 노리는 대형 사이버 정찰 캠페인

· 보안 외신 해커뉴스에 의하면 최근 아시아 국가의 정부 기관들이 해킹 공격의 대상이 되고 있다고 한다. 시만텍(Symantec)에 의하면 배후의 공격자는 다양한 정상 소프트웨어를 통해 DLL 사이드로딩 기법을 구사하고 있으며, 이를 통해 자신들의 정보 탈취형 페이로드를 피해자 시스템에 심는 중이라고 한다. DLL 사이드로딩에 대한 안전 장치가 비교적 허술한 옛 소프트웨어들이 주로 사용되고 있다. 공격자의 정체는 아직 불분명하지만, 일부 캠페인에서 중국 APT 단체들이 자주 사용하던 멀웨어가 발견된 바 있다.

· DLL 사이드로딩(DLL Sideloading)은 인기 높은 사이버 공격 기법 중 하나로, MS 윈도 애플리케이션들의 DLL 파일 처리 방식을 악용하는 수법이다. 이번 캠페인에서 공격자들은 악성 DLL 파일을 WinSxS 디렉토리에 숨겨두는 방식을 활용했다.

● 어플리케이션

갈수록 과감해지는 피싱…이번엔 경찰청 사이버안전국 사칭

· 북한 해커가 현직 경찰의 신분증을 도용한 사이버공격을 시도한 데 이어 이번엔 경찰청 사이버안전국을 사칭한 피싱 공격을 감행한 것으로 파악됐다. 전화금융사기와 유사하게 온라인상에서도 수사기관이나 공공기관으로 속이는 경우가 늘고 있어 주의가 필요하다.

· 국내 한 북한인권단체 대표는 지난 13일 ‘제목: [중요] 사이버안전국에서 알려드립니다’라는 이메일을 수신했다고 데일리NK에 전해왔다. 이메일에는 자신의 소속을 ‘경찰청 사이버안전국 사이버수사기획계 김00’이라는 내용도 담겨 있었다.

· 그런데 해당 이메일의 주소는 ‘sori000000@naver.com’으로 경찰청의 기관 계정이 아니었다. 해당 이메일 주소를 검색해보니 전주의 한 공연단체 대표의 계정으로 나타났다. 해커가 계정을 탈취하거나 도용해 피싱에 이용하고 있는 것으로 보인다.

공공앱 사이버보안 취약점 '무더기' 확인

· 정부, 지자체, 공공기관 등이 개발해 배포하는 공공앱에서 보안 취약점이 무더기로 발견됐다. 감사원이 36개 주요 공공앱의 보안실태를 점검한 결과, 30개 앱에서 소프트웨어(SW) 결함 등 개발 단계의 보안약점이 검출됐고, 16개 앱에서는 시스템상 허점 등 운영 단계의 보안취약점이 확인됐다. 일부 앱에선 800명이 넘는 개인정보가 유출되는 사고까지 일어난 것으로 드러났다.

· 감사원은 최근 이 같은 내용의 '공공앱 구축·운영실태' 감사보고서를 공개했다.

· 우리나라 스마트폰 보급률이 1인당 0.94대(2021년)에 달하고, 전체 스마트폰 가입회선 수가 약 5400만개(2022년 3월)에 이르고 있어 대국민 서비스에서도 스마트폰을 활용한 공공앱의 비중은 커지고 있다.

● 네트워크

몬테네그로 공화국, 대규모 사이버 공격 받아

· 몬테네그로 공화국이 대규모 사이버 공격을 받았다. 몬테네그로 정부에 따르면, 이번 공격은 친러시아 해커의 소행으로 알려졌다.

· 이번 사이버 공격으로 몬테네그로 정부의 인터넷이 모두 끊어졌다. 공격은 8월 20일에 시작됐으며 온라인 정부 플랫폼에 큰 영향을 미쳤다.

· 외신에 따르면, 몬테네그로의 은행, 수도, 전력 시스템을 포함한 국가의 주요 기반 시설이 모두 중단될 위기에 처했다.

· 2017년부터 러시아의 동맹국이었던 몬테네그로는 러시아의 반대에도 불구하고 나토에 가입했다. 또한 최근에는 러시아-우크라이나 간 전쟁에서 우크라이나에 지지를 표명을 보냈다.

IoT 의료기기 네트워크 취약점 발견…"초기화가 필수"

· 미국 보안업체 래피드 7의 조사에 따르면 백스터의 IoT 기반 인퓨전 펌프용 배터리에서 여러 취약점이 발견됐다. 네트워크 접근, 디도스 공격, 중간자 공격 등에 노출됐다. 업체는 IoT 기기를 폐기하거나 재판매하기 전 초기화의 중요성을 강조했다.

· 보안 감사 및 기술 평가 서비스를 제공하는 미국의 보안업체 래피드 7에 따르면 글로벌 의료 기업 백스터 인터내셔널이 제공하는 사물인터넷(IoT) 기반 인퓨전 펌프와 배터리 액세서리에서 보안 취약점이 발견됐다. 

· 인퓨전 펌프는 진통제나 항암제, 수액 등을 일정한 시간 간격을 두고 소량씩 자동으로 환자의 혈관을 통해 투여하는 의료기기다. 여기에 사물인터넷(IoT) 센서가 부착되면 간호사가 한눈에 사용 현황을 파악할 수 있어 업무 효율성이 높아지고, 급한 환자에게 필요한 약을 더 빨리 투여할 수 있게 돼 의료의 질이 더욱 향상된다.

● 시스템

HP 펌웨어, 1년간 다수 기기에 취약점 유포

· 사이버 보안 전문 매체 블리핑컴퓨터가 AI 펌웨어 보안 기업 바이너리(Binarly)의 조사 결과를 인용, HP의 기기에 여러 가지 펌웨어 6가지가 수정되지 않은 채로 방치되었다는 사실을 보도했다. 

· 연구팀은 펌웨어 6개 중 3개는 지난해 7월부터, 나머지 3개는 지난 4월부터 확산되었다고 발표했다. 펌웨어 모두 시스템 관리 모듈의 메모리 문제를 일으켜, 임의 코드 실행 공격으로 이어질 위험성이 있다.

· 시스템 관리 모듈은 UEFI 펌웨어의 일부분으로, 하위 수준 하드웨어 제어와 전원 관리 등 시스템 전반의 기능을 제공한다. 시스템 관리 모듈 하위 시스템의 권한은 운영체제 커널의 권한을 초과한다. 따라서 시스템 관리 모듈에 영향을 미치는 결함은 보안 부팅과 같은 기능을 무효화한다. 그리고 눈에 보이지 않는 백도어를 생성하고 공격자가 계속 멀웨어를 설치할 수 있다.

6년간 정부 주요 시스템 해킹 시도 '56만 건'…중국발이 가장 많아

· 정부 주요 시스템을 겨냥한 해킹 시도가 최근 6년간 약 56만 건에 이르는 것으로 나타났습니다.

· 오늘(13일) 국회 행정안전위원회 소속 더불어민주당 이해식 의원이 행정안전부로부터 제출받은 '중앙행정기관 대상 해킹 시도 차단 현황'에 따르면 2017년부터 올해 7월까지 5년 7개월간 총 55만 8,674건의 해킹 시도가 있었던 것으로 드러났습니다. 

· 또 인터넷 프로토콜(IP) 주소 추적 결과 중국발이 12만 7,908건(22.9％)으로 가장 많았습니다. 미국발은 11만 3,086건(20.2％)으로 그 뒤를 이었습니다. 국내에서 해킹이 시도된 경우는 4만 7,725건(8.5％)이었고 이어 러시아 2만 6,261건(4.7％), 독일 1만 5,539건(2.8％), 브라질 1만 3,591건(2.4％) 등의 순이었습니다.