● 악성코드

콘티 랜섬웨어, 콜백 피싱 '바자콜'로 공격 수법 계속 진화해

· 콘티 랜섬웨어 조직이 바자콜(BazarCall) 피싱 공격을 초기 공격 벡터로 사용해 표적 네트워크에 접근하고 있다.

· 콜백 피싱이라고 하는 바자콜 공격은 표적 피싱 공격 방법 중 하나로 2020~2021년 발견된 Ryuk 랜섬웨어 조직이 처음 사용했다.

· 사이버 보안 기업 AdvIntel의 연구팀에 따르면, 콘티 랜섬웨어 조직은 현재 최소 3개의 이상의 내부 조직을 통해 콜백 피싱 방법론에서 파생된 자체 표적 피싱 전술을 개발하고 있다. 세 그룹은 Silent Ransom, Quantum, Roy/Zeon으로 추적되며 이들은 2022년 5월 콘티가 운영을 중단하기로 결정한 후 등장했다.

소바 안드로이드 뱅킹 멀웨어, 새로운 기능 탑재한 채 부활

· 보안 외신 해커뉴스에 의하면 소바(SOVA)라고 하는 악명 높은 안드로이드 뱅킹 멀웨어가 계속해서 업그레이드 되는 중이라고 한다. 현재 다시 나타나 뱅킹 앱과 암호화폐 지갑 등 여러 개의 모바일 애플리케이션으로 위장하여 퍼지고 있는데, 이전 캠페인에서는 약 90개의 앱이 표적이 됐는데 이번에는 200개 이상의 모바일 앱이 공격 대상이 되고 있다고 한다. 최신 버전 소바는 다중인증 코드 확보, 쿠키 탈취 등의 기능을 덧입었으며, 호주, 브라질, 중국, 인도, 필리핀, 영국에서 활발히 나타나고 있다고 한다.

· 소바는 러시아어로 올빼미 혹은 부엉이라는 뜻이다. 2021년 9월 처음 발견됐으며, 당시 미국과 스페인의 금융 및 쇼핑 앱들을 주로 노렸다. 오버레이 공격을 주력으로 삼았으며, 이를 위해 안드로이드의 접근성 관련 옵션들을 조작하거나 같은 맥락의 권한을 설치 시 요구했다.

● 어플리케이션

KISA, 'AI 활용 악성앱 특징정보' 공개

· 한국인터넷진흥원(KISA)은 인공지능(AI) 보안 기술에 활용할 수 있는 '악성앱 특징정보'를 공개한다고 16일 발표했다.

· 최근 모바일 악성앱 설치로 인한 개인정보 유출 사고가 연이어 발생하고 있다. 이 같은 사이버 위협으로부터 피해를 예방하기 위해 KISA는 지난해 '악성코드 특징정보'에 이어 올해는 악성앱 특징정보를 공개한다.

· 특히 보이스피싱에 악용되는 악성앱 선별을 통해 보이스피싱 범죄의 대응·예방에 기여할 것으로 KISA는 기대하고 있다. KISA는 기업이 요청할 경우 특징정보 관련 원천 데이터와 데이터셋도 제공할 계획이다.

· 이원태 KISA 원장은 "앞으로도 정보보호 전문기업들과 협력을 통해 사이버 위협에 대한 억지력을 높이는 등 안전한 모바일 이용환경 조성에 앞장서겠다"고 말했다.

"상하이 건강앱 등록 4천800만명 개인정보 해킹" 주장

· 한 해커가 중국인 4천800만명의 개인정보를 해킹했다고 주장하며 거래를 시도하고 있다고 남방도시보 등 중국 언론이 13일 보도했다.

· 보도에 따르면 한 해커가 최근 한 온라인 사이버범죄 포럼에 상하이 건강코드앱 '쑤이선마' 시스템을 해킹, 4천850만명의 정보를 빼냈다는 글을 올렸다.

· 그는 사용자 이름, 휴대전화 번호, 신분증 번호 등 쑤이선마에 등록된 사람들의 신상정보가 담겨 있다면서 4천달러(약 522만원)에 팔겠다는 제안을 내놨다.

· 이 해커는 자신이 상하이 빅데이터센터에서 근무한 적이 있다며 자신이 해킹했다는 일부 정보를 샘플로 공개했다.

● 네트워크

"HW 기반 암호화칩으로 홈네트워크 보안 강화 실현"

· 케이씨에스(KCS)가 공동주택 사이버보안 강화를 위해 '홈네트워크 망분리 및 보안 솔루션'을 개발, 공급에 나서고 있다. 정부로부터 인증을 받은 암호화칩이 적용돼 있어, 기축 공동주택에 적용될 경우 세대별 사이버보안 수준을 크게 향상시킬 수 있을 것으로 기대된다.

· KCS는 사물인터넷(IoT) 기술 발전에 따른 홈네트워크 해킹 사건으로 인해 사이버보안 강화의 필요성이 대두하고 있는 만큼, 전국의 공동주택에서 자사의 솔루션을 도입할 경우 사이버테러 위협 감시, 차단 등의 수행은 물론 논리적인 세대간 홈네트워크 분리가 가능해져 홈네트워크 보안성을 강화할 수 있다고 강조했다.

클라우드 보안인증에 등급제 도입...공공시장 진입장벽 낮춘다

· 정부가 공공 기관의 민간 클라우드 이용 확대를 위해, 클라우드 보안인증제(CSAP)를 개선한다. 시스템 중요도에 따라 등급을 나누고, 차등화된 보안인증기준을 적용하는 것이 골자다. 보안 위험이 상대적으로 낮은 경우 현행보다 완화된 보안기준을 적용해, 클라우드 사업자의 인증 부담을 낮춘다는 계획이다.

· 과학기술정보통신부는 18일 제5회 국정현안점검조정회의에서 이 같은 내용이 포함된 '정보보호 규제개선 추진상황 및 계획'을 발표했다고 밝혔다.

· 이번 규제 개선으로 CSAP 인증에 등급제가 도입된다. 현재 CSAP는 클라우드 인프라의 물리적 망분리 등 까다로운 요건을 모두 갖춰야 부여된다. 클라우드를 도입하는 시스템에 상관 없이 획일적으로 높은 수준의 보안 체계를 요구하고 있어, 클라우드 사업자들의 공공 시장에 진입을 어렵게 하는 요인으로 지적됐다. 특히 아마존웹서비스(AWS), 마이크로소프트 애저 등 외산 클라우드 업체들이 문제를 강하게 제기해 왔다.

● 시스템

팔로알토네트웍스, PAN-OS와 관련된 디도스 취약점 문제 발견

· 보안 블로그 시큐리티어페어즈에 의하면 보안 업체 팔로알토네트웍스(Palo Alto Networks)의 PAN-OS에서 디도스 공격을 가능하게 하는 고위험군 취약점이 발견됐다고 한다. 이 취약점은 CVE-2022-0028이며, CVSS 기준 8.6점을 받았다. 팔로알토의 고객사들에서 이상한 점이 자꾸만 나타나 조사하는 와중에 발견된 취약점이라고 한다. 문제는 PAN-OS URL 필터링 정책을 잘못 설정한 데에서부터 발생하는 것이라고 하며, 팔로알토는 URL 필터링 정책을 삭제하면 취약점을 완화시킬 수 있다고 권장했다.

· PAN-OS는 일종의 보안 운영 체제다. 8.1.23-h1, 9.0.16-h3, 9.1.14-h4, 10.0.11-h1, 10.1.6-h6, 10.2.2-h2 미만 버전들에서 이번 취약점이 발견됐다. 미국의 사이버 보안 전담 기관인 CISA도 이에 대한 경고를 발표했다.

25달러로 스타링크 시스템에 들어가는 방법

· 미국의 한 유튜버가 보안 전문가를 데려와서 8만 달러짜리 테슬라를 단 20달러짜리 장비로 해킹해 차를 탈취하는 영상을 공개했다. 본지는 지난 2일, 이 소식을 전한 바 있다. 그런데 일론 머스크가 창립한 또다른 기업 스페이스X(SpaceX)의 네트워크 서비스인 스타링크(Starlink)가 25달러짜리 장비에 해킹 당하는 일이 생겼다.

· 슬래시기어가 더 놀란 것은 그보다도 해커에 대한 스타링크의 환대였다. 스타링크를 해킹한 것은 벨기에의 보안 연구원인 레너트 바우터스(Lenert Wouters)였다. 그는 스타링크의 네트워크와 통신 링크를 해킹하여 전체 시스템을 자유롭게 탐색했다. 

· 스타링크는 자신들을 공개적으로 해킹하는 것을 환영하고 있다. 그런 경험을 공유하면서 어떤 경우의 해킹에도 방어할 수 있는 전략을 마련해 놓기 위해서이다.