● 악성코드

록빗 랜섬웨어, 스페이스X 설계 도면 등 데이터 해킹 주장

· 록빗 랜섬웨어 그룹(이하 록빗)이 스페이스X의 부품 제조사인 맥시멈 인더스트리의 시스템을 해킹해 설계 도면 등 중요 정보를 빼냈다고 주장했다. 

· 록빗은 Tor Leak 사이트를 통해 스페이스X가 제작한 3000여개의 엔지니어 인증 도면을 가지고 있다고 발표했다. 록빗은 해킹한 도면을 일주일 안에 경매에 부칠 계획이다.

· 하지만 스페이스X는 아직까지 록빗의 해킹 주장에 대해 아무런 언급도 하지 않고 있는 상황이다.

· 한편, 록빗은 2019년부터 활동을 시작한 랜섬웨어 그룹으로 2023년에만 600번 이상의 해킹 공격을 감행한 것으로 알려진다.

AI로 생성한 영상, 유튜브서 ‘멀웨어’ 유포 사례 200% ↑

· 디지털 트렌즈, 해커뉴스 등 복수 외신이 유튜브에서 인공지능(AI)으로 생성한 콘텐츠가 멀웨어 유포에 동원된 사례를 보도했다.

· 사이버 보안 전문 기업 CloudSEK은 지난해 11월 이후 바이더(Vidar), 레드라인(RedLine), 라쿤(Raccoon) 등 악명 높은 멀웨어 출처를 영상 설명을 통해 직접 공유한 유튜브 영상이 200% 이상 급격히 증가했다는 조사 결과를 발표했다.

· AI 영상 생성 프로그램을 동원한 멀웨어 유포 방식은 지난해 11월, 챗GPT를 멀웨어 생성에 악용한 사례가 보고되면서 급격히 증가한 것으로 관측됐다.

· 멀웨어 유포 영상은 주로 포토샵(Photoshop), 프리미어 프로(Premiere Pro), 오토데스크 3ds 맥스(Autodesk 3ds Max), 오토캐드(AutoCAD) 등 일반적으로 유료 라이선스를 요구하는 소프트웨어 크랙 버전 다운로드를 위한 튜토리얼로 구성되었다.

● 어플리케이션

패스워드 파일로 위장한 CHM 및 LNK 악성코드 국내 유포중

· 최근 CHM과 LNK 형식의 악성코드가 발견됐다. 특히, CHM 형식의 악성코드는 이달 초에 발견된 국내 금융기업 보안 메일을 사칭한 CHM 악성코드와 동일한 유형으로 같은 RedEyes(ScarCruft) 해커조직에서 제작한 것으로 추정된다. 

· 안랩 ASEC 분석팀은 패스워드 파일로 위장해 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인했다고 밝혔다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포해 사용자가 악성 파일임을 알아채기 어렵다.

· CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축돼 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정돼 있어 사용자가 암호가 적힌 것으로 보이는 CHM 및 LNK 파일을 실행하도록 유도한다.

"현지화 약속해라" 러시아 해커, '스토커2' 개발사 협박

· 이번에도 러시아다. 러시아의 우크라이나 침공으로 인해 개발 및 발매를 무기한 연기했던 '스토커2: 초르노빌의 심장부(이하 스토커2)'가 올해 중 출시를 예고한 가운데 또다시 복병을 만났다. 러시아 해커로부터 개발 중인 자료를 해킹당한 것이다.

· 게임사가 해킹을 당하는 건 어제오늘 일이 아니다. 캡콤의 경우 2020년 11월 Ragnar_Locker Team라는 해커 조직에 해킹당해 1테라 가량의 데이터가 유출된 바 있으며, 작년 9월에는 락스타 게임즈가 개발 중인 'GTA6'가 해커의 유출로 인해 공개는 초유의 사건이 발생한 바 있다.

· 다만, 이번 '스토커2'의 해킹은 이전 사례들과는 결이 좀 다르다. 무엇보다 해커들이 '스토커2'의 팬을 자처하고 있어 눈길을 끌고 있다. 일반적인 경우 자료 유출을 빌미로 돈을 내놓으라고 협박하는 게 대부분이지만, '스토커2'를 해킹한 해커들은 그렇지 않았다. 대신 그들이 요구한 건 '러시아 현지화 서비스' 약속이다.

● 네트워크

내 전기차, 알고보니 해커의 다음 공격 대상?...사이버 보안 전문가 경고 ...

· 최근 들어 다수 사이버 보안 전문가가 전기차 해킹에 주의해야 한다고 경고했다. 무수히 많은 컴퓨터 전력과 온라인 서비스 연결이라는 특성 때문에 전기차가 해커 세력의 새로운 공격 대상으로 급부상했기 때문이다. 전기차 해킹은 어떤 경로로 발생할까? 그리고, 전기차 해킹은 어떤 방법으로 대비해야 할까?

· 월스트리트저널의 자체 팟캐스트 채널인 테크 뉴스 브리핑 진행자 조이 토마스(Zoe Thomas) 기자와 바트 지글러(Bart Ziegler) 기자가 전기차 해킹을 주제로 이야기했다.

· 먼저, 지글러 기자는 컴퓨터 칩을 장착한 여러 기기 중 유독 전기차 해킹을 경고하는 이유 중 하나로 전기 제어 유닛이 많다는 점을 언급했다. 일례로, 고가의 표준 내연기관 차량의 전기 제어 유닛(Electronic control unit) 수는 평균 150개이지만, 전기차의 전기 제어 유닛 수는 기본 3,000개 이상이다. 전기차의 모든 기능이 전기를 기반으로 작동하기 때문에 내연기관 차량보다 전기 제어 유닛이 훨씬 더 많다.

보안 업체 아크로니스 침투한 해커, 21GB 데이터 유출시켜

· 보안 외신 핵리드에 의하면 최근 에이서(Acer)라는 컴퓨터 제조사와 HDFC라는 인도 은행을 해킹한 인물이 보안 업체 아크로니스(Acronis)까지 침해하는 데 성공했다고 한다. 

· 공격자는 커널웨어(Kernelware)라는 이름으로 활동하고 있으며, 이번 아크로니스 사태에서는 21GB의 데이터를 훔쳐내는 데 성공했다고 밝혔다. 이 정보는 3월 9일 다크웹의 브리치포럼즈(Breach Forums)에 업로드 됐지만 로그인 크리덴셜은 포함되어 있지 않은 것으로 분석됐다. 

· 아크로니스 측도 사실 파악을 위해 나섰으며 곧 “우리 쪽에서 나간 정보가 맞다”고 CISO가 직접 발표했다. 

● 시스템

“비밀번호 바꿔도 유출” IP카메라 보안 허점 수두룩

· 서울 강남 성형외과 IP카메라 영상이 온라인 사이트에 유출되면서, IP카메라 보안 위험에 대한 관심이 높아지고 있다. 정부가 IP카메라 보안 취약점을 점검한 결과 사용자 인증 없이 촬영·저장된 영상에 접근이 가능하거나, 영상 송출 과정이 암호화되지 않는 등 곳곳에 구멍이 뚫려있는 것으로 확인됐다.

· 13일 하영제 국민의힘 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 ‘취약한 IP카메라에 대한 운영 실태 조사’에 따르면 IP카메라는 ▷비밀번호 ▷영상정보 보호조치 ▷감사기록 생성 및 저장 ▷펌웨어 업데이트 기능 등에서 보안 취약점이 발견됐다. 해당 조사는 2017년 과학기술정보통신부, 방송통신위원회, 경찰청 등 관계 부처가 마련한 IP카메라 종합대책 일환으로 진행돼 2019년 10월 보고서로 발간됐다. 55개 업체의 일반 소비자용(B2C) 제품 611개, 기업용 제품(B2B) 98개 총 711개 IP카메라가 조사 대상이다.

업그레이드 된 프로메테이, 모네로 꾸준히 채굴해

· 보안 외신 SC미디어에 의하면 프로메테이(Prometei)라는 봇넷이 최근 업그레이드 됐으며, 이전보다 보안 장치들을 더 효과적으로 우회할 수 있게 되었다고 한다. 하지만 모네로 채굴 코드를 피해자의 시스템에 심어 암호화폐를 캐간다는 최종 목적 자체는 변하지 않았다. 

· 최신 버전 프로메테이는 리눅스 기반 시스템을 노리며, 현재까지 약 1천 대 이상의 시스템을 감염시키는 데 성공한 것으로 집계되고 있다.

· 대체 C&C 도메인 생성 알고리즘, 자가 업데이트 기능, 아파치 웹서버(Apache Webserver)와 웹셸의 결합 등이 이번에 새롭게 추가됐다. 프로메테이는 모듈 구성을 하고 있으며, 2016년 처음 발견된 이후 지금까지 꾸준히 업그레이드 되고 있다. 모네로 채굴이 주 목적이다.