● 악성코드

GoDaddy: 해커가 소스 코드를 훔치고 다년간 악성코드 설치

· 거대 웹 호스팅 GoDaddy는 다년간의 공격으로 cPanel 공유 호스팅 환경을 침해한 후 알 수 없는 공격자가 소스 코드를 훔치고 서버에 맬웨어를 설치하는 침해 사고를 겪었다고 밝혔습니다. GoDaddy는 2022년 12월 초 고객이 자신의 사이트가 임의의 도메인으로 리디렉션하는 데 사용되고 있다는 보고를 한 후 보안 침해를 발견했지만 공격자는 수년 동안 회사 네트워크에 액세스할 수 있었습니다. 

· "조사에 따르면 이러한 사건은 무엇보다도 우리 시스템에 맬웨어를 설치하고 GoDaddy 내의 일부 서비스와 관련된 코드 조각을 획득한 정교한 위협 행위자 그룹의 다년간 캠페인의 일부라고 생각합니다." 라고 SEC 제출에서 말했습니다. 또한 2021년 11월과 2020년 3월에 공개된 이전 위반 사항도 이 다년간의 캠페인과 연결되어 있다고 말합니다. 

새로운 미라이 변종 등장해 리눅스 장비들 공략하기 시작

· IT 외신 블리핑컴퓨터에 의하면 새로운 미라이(Mirai) 변종이 나타났다고 한다. 이 변종은 현재 V3G4라는 이름으로 관찰되는 중이다. 리눅스 기반 사물인터넷 장비들의 취약점 13개를 표적으로 삼아 침해하고 있다고 한다. 

· V3G4는 미라이가 그랬듯 디도스 공격을 주 목적으로 하는 봇넷인 것으로 파악됐다. 13개 대부분 원격 코드 및 명령 실행 취약점들이다. 감염이 된 후 경쟁이 될 만한 봇넷 프로세스를 찾아 종료시킨다.

· 미라이는 2016년 처음 등장한 ‘최초의 사물인터넷 봇넷’이다. 사물인터넷 장비들의 디폴트 크리덴셜을 무작위 대입 방식으로 공략해 거대한 네트워크를 형성했고, 이를 통해 디도스 공격을 감행했다. 곧 소스코드가 공개되면서 변종들이 지금까지도 계속해서 등장하는 중이다.

● 어플리케이션

구글 번역기와 각종 마케팅 도구, BEC 공격의 중흥기 불러온다

· 사업 이메일 침해(BEC) 공격자들의 수법은 단순하다. 누군가 중요한 관계자를 사칭하여 상대방으로 하여금 큰 돈을 자기에게 보내도록 하는 것이 전부이기 때문이다. 하지만 이걸 실행한다는 게 그리 쉬운 건 아니다. 관계자가 누구인지 찾아내는 것도, 그 관계자인 것처럼 연기하고, 상대를 속이는 것도 엄청난 노력과 자원이 들어가는 일이다. 특히 사칭하려는 사람의 언어를 구사하는 게 중요하다. 그렇지 않으면 BEC 공격은 간단히 들통난다. 

· 그렇기에 언어의 장벽은 BEC 공격자들을 가로막는 중요한 요소였다. 하지만 더는 아니다. 보안 업체 앱노멀시큐리티(Abnormal Security)가 발표한 바에 의하면 구글의 무료 번역 서비스인 구글 트랜슬레이트(Google Translate)를 활용해 다른 나라 사람들도 공략하기 시작한 공격 단체가 나왔다고 한다. 미드나잇헤지호그(Midnight Hedgehog)와 만다린카피바라(Mandarin Capybara)가 대표적인 BEC 단체들이고, 이제 거의 모든 언어로 공격을 실시하는 중이라고 한다.

QR코드 생성기인 마이큐알코드에서 사용자 로그인 데이터 유출돼

· 보안 외신 핵리드에 의하면 큐알코드 생성 웹사이트인 마이큐알코드(My QRcode)에서 사용자들의 개인정보가 유출되고 있었다고 한다. 총 128GB의 데이터라고 하는데, 약 6만 6천 명의 데이터에 해당되는 용량인 것으로 분석됐다. 

· 유출의 원인은 설정 오류였다. 아무런 보안 장치도 없는 상태로 데이터베이스가 공개되어 있는 것인데, 심지어 지금까지도 계속해서 정보가 추가되고 있다고 한다.

· 사용자의 이름, 직업, 이메일 주소, 비밀번호 해시, QR코드의 URL, 전화번호, 거주지 주소, 소셜미디어 프로파일 링크, 국가 번호, 우편번호 등이 유출된 것으로 보인다.

● 네트워크

美 국방부 서버 2주간 노출…기밀 담긴 e메일 유출 우려

· 미국 국방부의 일부 서버가 2주간 외부에 노출됐던 것으로 알려져 국방부가 발칵 뒤집혔다. 해당 서버에는 수년간의 내부 군사 정보는 물론 소속된 직원 개인의 민감 정보까지 담겨 있었던 것으로 알려졌다. 21일(현지 시간) 미 정보기술(IT) 매체 테크크런치는 “국방부의 클라우드 서버 중 마이크로소프트(MS) 애저 클라우드의 일부 서버가 구성 오류로 2주간 비밀번호 설정 없이 외부에 공개됐다”며 국방부가 조사를 벌이고 있다고 보도했다.

· 노출된 서버는 국방부 내부의 메일을 보관하는 곳으로 용량이 3TB(테라바이트)에 달한다. 지난 수년간의 군사기밀을 담은 메일이 있었으며 주로 미군 특수작전사령부(USSOCOM) 내에서 주고받은 메일들이 포함됐다. 이 중에는 연방정부 직원 대상의 SF-86 설문지도 있었는데 여기에는 개인의 민감한 정보나 건강 정보 등이 포함됐다. 이는 보안 허가가 있어야만 열람 가능한 정보다. 2015년에는 중국 해커들이 미국 인사관리국의 인물 정보 파일 수백만 개를 훔쳐 논란이 된 바도 있다.

"채굴사이트 가입 유인하는 신종 로맨스 스캠 극성“

· 연애 혹은 결혼을 빌미로 접근한 뒤 사기 가상자산 채굴 사이트에 가입시켜 코인을 갈취하는 신종 로맨스 스캠이 최근 기승을 부리고 있는 것으로 나타났다. 블록체인·가상자산 규제기술(Reg-tech) 전문업체 웁살라시큐리는 22일 이 같은 내용을 담은 ‘2022 CIRC 통계 보고서’를 발간했다.

· 보고서는 웁살라시큐리티 산하 ‘가상자산피해대응센터(CIRC)’가 국내 가상자산 범죄 피해자로부터 직접 신고 받은 내역을 토대로 작성됐다. 보고서에 따르면 2022년 총 신고 건수는 약 500여건으로 총 피해액은 약 524억 원에 달한다. 피해 사례가 가장 많은 코인은 이더리움, 이더리움 기반(ERC-20)토큰, 비트코인 순으로 나타났다. 사건 유형별로는 로맨스 스캠 관련 신고 건수가 30%로 가장 많았다.

● 시스템

해킹 초보에게도 뚫려...보안 허점에 700만 고객정보 줄줄 샜다

· 해킹 의뢰 채널을 운영하는 해킹 조직에게 보안망이 뚫린 웹사이트들을 통해 고객정보 700만건이 유출됐다. 해킹 조직은 업데이트가 되지 않은 보안프로그램의 허점을 파고들었다. 해킹 실무를 전담한 조직원은 정보기술업계 경험이 전무한 청년이었다.

· 20일 전남경찰청 사이버범죄수사대는 웹사이트 해킹 및 디도스 공격으로 개인정보를 빼내 정보통신망 이용 촉진·정보보호에 관한 법률을 위반한 혐의로 해킹 조직 총책 A씨(48)·기획자 B씨(40)·해커 C씨(25) 등 7명을 구속하고 5명을 불구속 입건했다.

· 이들은 지난 2020년 8월부터 최근까지 서울·경기·충남지역을 중심으로 3500억원 규모의 도박용 사이트 제작·관리업체를 운영하면서 해킹과 디도스 공격을 통해 경쟁업체의 영업 정보를 얻어 왔다. 그러다 해외에 서버를 둔 사회관계망서비스(SNS)를 중심으로 해킹 의뢰 채널을 오픈하고 범행 대상을 다양한 웹사이트로 확대하게 됐다. 

인도의 티케팅 플랫폼 레일야트리에서 3100만 개인정보 새나와

· 보안 외신 핵리드에 의하면 지난 12월 인도의 기차표 예약 사이트인 레일야트리(RailYatri)가 침해되는 사건이 발생했다고 한다. 

· 이 사건으로 수백만 명의 인도 기차 탑승객들의 개인정보가 새나갔다. 다크웹에 레일야트리의 데이터베이스가 공개되면서 사건이 알려지게 되었다. 약 3100만 명이 이 사건의 영향을 받은 것으로 분석된다. 아직 사건에 대한 상세한 내용은 공개되지 않고 있다. 

· 레일야트리는 보안에 그리 큰 관심이 없는 기업으로 보인다. 이번 사건이 있기 전인 2020년 2월, 엘라스틱서치(ElasticSearch) 서버를 고스란히 노출시켜 3700만 건의 기록들을 노출시키기도 했다. 당시 이를 발견한 보안 전문가가 아무리 연락을 해도 개선되지 않았으나 인도의 CERT가 나서자 겨우 시정됐다.