● 악성코드

최근 해킹 범죄 트렌드 : 사이버전, 표적 공격, 수동 공격 증가

· 공격자들의 해킹 실력이 나날이 발전하고 있다. 보안 업체 크라우드스트라이크(CrowdStrike)가 조사한 바에 의하면 기술적 향상 덕분에 횡적인 움직임도 빨라졌고 표적 공격의 비율도 높아졌다고 한다. 지난 1년 동안 표적 공격의 비율은 18%로, 전년도 14%에 비해 적잖이 상승했음을 알 수 있다.

· 크라우드스트라이크가 조사한 바에 의하면 공격자들은 ‘수동적인 기법’을 점점 더 많이 활용하는 중이라고 한다. 1년 동안 거의 50%나 이러한 유형의 공격이 증가했다고 한다. 그렇기 때문에 멀웨어에 대한 의존도는 낮아졌다. 

· 이러한 공격자들의 움직임에 맞추기 위해서 방어자들은 어떻게 해야 할까? 자동 탐지 기술과 인간 기반 위협 탐지 서비스를 모두 활용해야 한다고 크라우드스트라이크는 강조한다. 

이모텟 봇넷, 퀀텀 랜섬웨어와 블랙캣 랜섬웨어 퍼트려

· 보안 외신 해커뉴스에 의하면 이모텟(Emotet) 봇넷을 통해 퀀텀(Quantum)과 블랙캣(BlackCat) 랜섬웨어가 빠르게 유포되는 중이라고 한다.

· 원래 이모텟은 콘티(Conti)라는 랜섬웨어와 밀접한 관련이 있었지만, 콘티가 공식적으로 해체하고서는 파트너를 잃은 모양새였다. 그 빈 자리를 여러 랜섬웨어가 노리고 있는 듯 한데, 그 중에서 퀀텀과 블랙캣이 유력한 후보가 된 것으로 보인다. 이모텟과 손을 잡으면 멀웨어가 유포되는 속도가 훨씬 빨라진다.

· 이모텟은 2014년 일종의 뱅킹 멀웨어로 출현했다. 하지만 여러 해 동안 발전과 개량을 거치며 다운로더로 변모했다. 2021년 1월 국제 공조로 이모텟은 잠시 사라졌으나 콘티에 힘입어 부활했다. 하지만 이번에는 콘티가 사라진 상황이다.

● 어플리케이션

또 해킹당한 우버…18세 해커가 직원 메신저 통해 '재미로' 침입

· 16일(현지시간) 뉴욕타임스(NYT)와 CNBC방송 등에 따르면 우버는 전날 밤 트위터를 통해 성명을 내고 "현재 사이버보안 사건에 대응하고 있다"며 "법집행 당국과 접촉하고 있으며 추가로 업데이트되는 상황이 있으면 게시할 것"이라고 말했다.

· 우버는 해커가 전날 오후 한 직원의 기업용 메신저 '슬랙' 계정에 침투해 회사 내부 시스템들을 장악했다고 밝혔다.

· 해커는 이 직원의 슬랙 계정을 이용해 다른 직원들과 대화를 주고받은 뒤 우버의 이메일, 클라우드 스토리지, 소스코드 저장소, 내부 금융 정보 등에 접근할 수 있었던 것으로 보인다.

“비공개니 참고만 하세요”…현직 방송작가로 속여 피싱 시도

· 공공기관을 사칭하거나 현직 경찰의 신분증을 도용한 북한의 사이버공격이 잇달아 발생한 가운데, 최근에는 현직 방송국 작가로 속인 피싱 메일이 유포 중인 것으로 나타나 주의가 요구되고 있다.

· 19일 데일리NK 취재에 따르면 한 탈북민은 지난 15일 평소 알고 지내던 한 방송 작가로부터 ‘참고자료_CSIS Alliance Commission Report’라는 제목의 이메일을 받았다. 해당 이메일에는 ‘좋은자료 하나 생겨 보내드립니다. 아직 비공개이므로 참고만 하세요’라는 내용도 담겨 있었다.

· 전문가에게 해당 이메일에 대한 분석을 의뢰한 결과 사용한 공격 전술과 전략, 절차 등이 전형적인 북한 해커들의 수법으로 나타났다.

● 네트워크

전쟁기념관, 정체불명 해킹공격으로 일주일간 인터넷망 마비

· 국방부 소속 박물관 겸 추모시설인 전쟁기념관이 이달 초 정체불명 해커의 사이버공격을 받아 인터넷과 연결된 전산망이 일주일간 마비된 것으로 전해졌다.

· 사이버작전사령부가 공격을 감지해 대응에 나섰으나 14일에야 시스템이 복구됐다.

· 이번 사이버공격으로 서버에 보관된 자료와 개인정보 일부가 탈취된 것으로 파악됐으며, 공격 주체나 배후는 현재까지 확인되지 않았다.

· 군 관계자는 "군 내부망, 즉 국방망은 영향을 받지 않았고 전쟁기념관의 상용망 부분이 공격에 뚫린 것"이라며 "따라서 군사정보 유출은 없다"고 설명했다.

NAT 기능 빠진 홈게이트웨이 설치… 해킹 발생·확산 우려

· 경기도가 표본주택을 대상으로 홈네트워크 장비 및 구성에 대한 점검을 실시한 결과, WEB서버와 DB서버를 통합서버로 운영해 해킹에 취약한 구조를 갖고 있는 아파트 단지가 다수였다. 월패드 일체형 홈게이트웨이 기능 확인 결과 주요 기능인 '네트워크 주소 변환(NAT, Network Address Translation)'이 동작하지 않고 있었다.

· 외부 인터넷과 연결되는 WEB서버 등은 단지서버와 DB서버를 분리하는 DMZ망을 구축해 사용해야 하지만, 통합서버로 하나로 WEB서버-DB서버 기능을 사용하고 있는 등 보안 취약점이 존재했다.

· 홈네트워크 단지망 문제점으로는, 방재실과 MDF실의 단지서버 및 서버팜들은 망을 분리해 외부 인터넷 허용이 안 되도록 DMZ망으로 운용해야 하지만, 표본단지 중 DMZ망을 운용하고 있는 곳은 2개 단지 밖에 없었다.

● 시스템

물 공급 시설에서 사용되는 중요 관리 시스템에 보안 구멍 존재해

· 보안 외신 시큐리티위크에 의하면 전 세계 곳곳에서 사용되고 있는 물 탱크 관리 시스템인 TMS300 CS에서 패치가 되지 않은 보안 취약점이 발견됐다고 한다.

· 초고위험도 취약점에 해당하는 오류로, 원격에서 익스플로잇 공격이 가능하다. 원격 익스플로잇 후에 공격자는 물 탱크 상태를 열람하고 심지어 조작까지 할 수 있다고 한다.

· 미국의 사이버 보안 전담 기관인 CISA에 의하면 TMS300 CS는 세계 곳곳에서 사용되는 장비로, 물 공급 장치 관리에 필수적인 요소 중 하나라고 한다. 하지만 킹스팬은 CISA의 협력 요청에 응하지 않고 있다고 하며, 따라서 고객들 개개인이 킹스팬에 연락을 해 상세한 정보를 파악해야 할 것이라고 CISA는 조언했다.

국세청 해킹 시도 10배 이상 급증…정보보안담당자는 ‘겨우 2명’

· 국세청 해킹 시도 건수가 ’18년 243건에서 ’21년에는 2698건으로 무려 10배 이상 급증한 것으로 나타났다.

· 21일 국회 기재위 소속 더불어민주당 홍영표 의원은 “국세청으로부터 제출받은 자료에 따르면 ’18년 전체 해킹 시도 건 중 15%에 불과하던 국내 해킹 시도 비율은 올해 8월 기준 57%까지 늘어났다”며 “그러나 국세청의 해킹 관련 정보보안 담당자는 5년 동안 단 ‘2명’에 불과해 적극적인 대응이 어려워 보인다”고 지적했다.

· 또 ’20년에는 130개국에 육박하는 국가에서 해킹을 시도하는 등 공격이 다변화하는 추세를 보이고 있다. 다만 국세청 관계자에 의하면 해커들이 IP 주소 우회를 통해 해킹을 시도하는 경우가 많아 정확한 출처를 확신하기는 어려운 실정이다.