● 악성코드

협업 도구 슬랙, 데이터 유출 사고로 소스코드 새나가

· 보안 블로그 시큐리티어페어즈에 의하면 슬랙(Slack)이라는 유명 협업 플랫폼에서 데이터 유출 사고가 발생했다고 한다. 해커들은 슬랙의 비공개 코드 리포지터리에 침투했으며, 소스코드에까지 접근했다고 슬랙은 발표했다. 

· 수상한 행위는 12월 29일 깃허브(GitHub)에서 먼저 발견해 슬랙 측에 제보했다고 하며, 슬랙은 조사를 통해 직원들용 비밀 토큰이 도난 당한 것을 알게 되었다고 한다. 공격자들은 이 토큰을 이용해 비밀 리포지터리에 접근했다.

· 소스코드는 일종의 ‘블루프린트’에 해당한다. 소스코드를 훔친다고 해서 훔친 자가 소프트웨어의 모든 것을 낱낱이 알 수는 없지만, 중요한 구조에 대해서는 어느 정도 파악할 수 있다. 

해킹 그룹 블라인드이글, 향상된 도구 들고 돌아와

· 보안 외신 해커뉴스에 의하면 해킹 그룹인 블라인드이글(Blind Eagle)이 휴식기를 깨고 다시 나타났다고 한다. 이전보다 더 향상된 도구와 감염 전략을 대동한 상태라고 하며, 콜롬비아와 에콰도르 지역의 조직들을 집중적으로 노리는 중이라고 보안 업체 체크포인트(Check Point)가 발표했다. 

· 공격자들은 먼저 악성 링크가 포함된 피싱 메일을 피해자들에게 보내며, 이를 통해 콰사르랫(QuasarRAT)이라는 멀웨어를 먼저 심는다. 콰사르랫은 은행 계정 정보를 탈취하는 데 사용된다.

· 블라인드이글은 APT-C-36이라는 이름으로 연구되기도 한다. 스페인어를 구사하는 자들로 구성된 조직이며 남아메리카 국가들을 주로 공략한다.

● 어플리케이션

2023년 보안업계 화두는 'API 보안'…취약점 대비가 관건

· 최근 보안 산업에서 중요하게 뜨고 있는 것이 API 보안이다. API(Application Programming Interface)는 운영체제와 응용프로그램 사이의 통신에 사용되는 언어나 메시지 형식을 뜻한다. API는 애플리케이션 소프트웨어를 구축하고 통합하기 위한 일종의 프로토콜 집합이다. 

· API를 이용하면 각각의 기능을 불러올 때 짧은 프로그램을 작성해도 될 뿐더러, 작업자가 직접 프로그래밍을 하지 않더라도 그 기능을 구현할 수 있다. 최근 API 사용빈도 역시 높아지는 추세인데, 잘못하면 해커의 표적이 될 수 있다. API가 지닌 보안 관련 취약점에 유의해야 한다는 말이다. 

· 7일 보안업계 관계자들은 API 보안 전략 수립의 난점으로 웹 애플리케이션 방화벽이나 ID, 액세스 관리 솔루션으로 완전히 해결할 수 없는 보안 위협을 꼽는다. 취약점에서 자유로우려면 일반적인 취약점에 대한 이해가 필요하다는 말이다.

남아공 해킹 조직, 클라우드 무료 체험 서비스 몰래 이용해 암호화폐 채굴

· 오토메이티드 리브라(Automated Libra)라고 불리는 남아공의 한 해킹 조직이 13만 개가 넘는 가짜 계정을 생성해 몇몇 클라우드 플랫폼이 제공하는 무료 체험 서비스를 암호화폐를 채굴하는 데 사용했다.  

· 깃허브, 히로쿠(Heroku), 토글박스(Togglebox) 등의 제공업체는 무료 혹은 체험판 클라우드 컴퓨팅 리소스와 플랫폼을 제공한다. 오토메이티드 리브라 해킹 조직이 CI/CD 기법으로 수만 개의 가짜 계정을 자동으로 생성해 이런 서비스를 속여 무제한으로 이용했다. 

· 서비스를 속이기 위해 분실됐거나 도난당한 신용카드 정보을 이용한 것으로 드러났다. 

● 네트워크

인터파크, 크리덴셜 스터핑 추정 공격 받아... 

· 온라인 쇼핑몰 인터파크가 1월 10일 긴급공지를 통해 크리덴셜 스터핑으로 추정되는 공격을 받았으며, 일부 회원의 개인정보가 유출됐을 가능성이 있다고 밝혔다. 유출됐을 가능성이 있는 정보는 이메일, 성별, 생년월일, 전화/휴대전화번호, 주소, 멤버 등급이다. 

· 인터파크는 신원 불상의 공격자가 사전에 수집된 것으로 추정되는 계정정보(ID/PW)를 이용한 로그인 시도를 진행한 것을 확인했다고 밝혔다. 이로 인해 일부 회원의 정보가 유출됐을 가능성이 있다고 설명했다. 

· 인터파크는 확인 즉시 개인정보보호위원회와 한국인터넷진흥원 등 관계기관에 신고하는 한편, 전체 서비스 점검을 통해 추가 이슈를 차단하는 등 고객들의 계정을 안전하게 보호하기 위한 모든 조치를 진행했다고 설명했다.

1300개가 넘는 애니데스크 사이트들, 비다 멀웨어 유포

· IT 외신 블리핑컴퓨터에 의하면 공식 애니데스크(AnyDesk) 웹사이트를 흉내 낸 가짜 사이트들이 대량으로 발견됐다고 한다. 이 사이트에 접속하려고 하면 전부 한 드롭박스 폴더로 연결되며, 이 드롭박스 폴더를 통해 비다(Vidar)라는 정보 탈취형 멀웨어가 유포된다고 한다. 

· 비다는 2018년부터 발견된 정보 탈취 멀웨어로, 피해자의 브라우저 히스토리, 계정 크리덴셜, 비밀번호, 암호화폐 지갑 주소 등을 공격자의 서버로 전송한다. 

· 애니데스크는 원격 데스크톱 애플리케이션으로 윈도, 리눅스, 맥OS 등 여러 플랫폼에서 사용되며 전 세계적으로 인기가 높다. 사용자가 수천만 명에 이르는 것으로 알려져 있다. 그렇기 때문에 공격자들이 종종 애니데스크를 악용하기도 한다.

● 시스템

공격자들도 데브옵스와 CI/CD 개발론을 활용한다

· 데브옵스(DevOps)라는 소프트웨어 개발 방법론과 지속적 통합 및 지속적 배포(CI/CD)라는 소프트웨어 공급 방법론이 양지에만 통용되는 것이라고 생각한다면 큰 오산이다. 이제 공격자들도 이러한 신개념을 자신들의 사업에 활용하고 있다. 

· 최근 발견된 악성 캠페인인 퍼플어친(PurpleUrchin)의 전모가 서서히 드러남에 따라 공격자들의 이러한 실상이 함께 공개되고 있다. 

· 퍼플어친이 시작된 건 2019년 8월이다. 당시 공격자들이 노리던 건 깃허브(GitHub), 헤로쿠(Heroku), 토글박스(ToggleBox)와 같은 플랫폼들이었다. 그리고 이 캠페인이 처음 세상에 알려진 건 지난 10월, 보안 업체 시스딕(Sysdig)이 퍼플어친을 공개하면서였다.

러시아의 해킹 그룹 털라, 오래된 공격 인프라 탈취해 새로운 백도어 유포

· 보안 외신 해커뉴스에 의하면 악명 높은 러시아 해킹 그룹인 털라(Turla)가 10년 넘은 멀웨어 유포 인프라를 가로채 자신들의 새 백도어를 퍼트리고 있다고 한다. 문제의 공격 인프라는 2013년 안드로메다(ANDROMEDA) 혹은 가마루(Gamarue)라는 이름의 멀웨어를 퍼트리는 데 활용됐었다. 

· 하지만 털라가 안드로메다와 관련이 있는 C&C 도메인 최소 3개를 사용해 코피루왁(KOPILUWAK)과 콰이어트카나리(QUIETCANARY)라는 멀웨어를 지난 9월부터 퍼트리기 시작했다. 공격 표적은 우크라이나의 여러 단체들이었다. 

· 털라는 아이언헌터(Iron Hunter), 크립톤(Krypton), 유로부로스(Uroburos), 베노머스베어(Venomous Bear), 워터버그(Waterbug) 등의 이름으로 알려진 엘리트 해킹 집단이다. 정부 기관의 비호를 받고 있는 것으로 알려져 있으며, 타국 정부 기관을 주로 노린다.