● 악성코드

새로운 리눅스용 멀웨어 멜로페, 중국 APT 단체가 배후에?

· 보안 외신 핵리드에 의하면 프랑스의 사이버 보안 회사 엑사트랙(ExaTrack)이 새로운 리눅스용 멀웨어를 발견했다고 한다.

· 이름은 멜로페(Mélofée)라고 하며 배후에는 윈티(Winnti)라는 악명 높은 중국 APT 단체가 있는 것으로 보인다고 한다. 하지만 베르베로카(Berberoka) 혹은 갬블링퍼펫(GamblingPuppet)이라는 해킹 단체가 있는 것으로 추정하는 보안 전문가들도 있다. 

· 멜로페는 렙타일(Reptile)이라고 하는 오픈소스를 기반으로 하고 있는 다운로더로, 최대한 들키지 않고 피해자의 시스템에 있다가 추가 멀웨어를 다운로드 받아 설치한다.

더 악랄해진 北해커 '킴수키'…피싱메일로 표적 공격

· 국가정보원과 독일 연방헌법보호청(BfV, 이하 헌보청)이 북한 해커조직 킴수키의 스피어 피싱(피싱메일) 공격에 주의를 당부한 가운데 이들 해커조직이 정부기관 등을 사칭한 대상 맞춤형 메일로 정보·자산 탈취를 시도하고 있는 것으로 나타났다.

· 킴수키는 국내는 물론 해외 전 지역을 대상으로 활동하는 북한 해커 그룹으로 '탈륨' '벨벳' '천리마' 등으로도 불린다. 2014년 한국수력원자력을 해킹한 것으로 알려졌으며, 국방과 안보·통일·외교관련 전문가들과 가상자산 등을 노린 사이버 공격을 다수 시도했다.

· 25일 관련 업계에 따르면 북한 해킹조직인 킴수키는 스피어 피싱 메일로 정보와 자산을 탈취하고 있다. '스피어 피싱'이란 특정인이나 특정 조직을 표적으로 정교하게 제작된 메일 등을 보내 악성코드 감염이나 피싱사이트 접속을 유도하는 공격방식이다.

● 어플리케이션

트위터의 소스코드, 수개월 동안 노출되어 있었다

· 일간 외신 뉴욕타임즈에 의하면 트위터의 소스코드 일부가 유출됐다고 한다. 유출된 소스코드는 깃허브(GitHub) 리포지터리에 공개됐고, 트위터는 일단 깃허브 측에 공문을 보내 해당 게시글을 내려달라고 요청했다.

· 깃허브도 문제를 확인한 후에 해당 글을 삭제했다. 트위터의 소스코드가 깃허브에 얼마나 공개 상태로 유지되어 있었는지는 정확히 알려지지 않고 있지만 최소 수개월인 것으로 보인다.

· 트위터 측은 법원을 통해 게시자와 다운로드 받은 사람들을 찾아달라는 요청을 깃허브에 보내기도 했다. 트위터의 자체 조사도 진행되고 있지만 일을 저지른 사람이 누구인지 아직 알 수 없다고 하며, 현재 트위터에 없을 가능성이 높아 보인다고 한다.

北 해킹 이용된 ‘이니세이프’ 인증…“최신 업데이트해야”

· 최근 국가·공공기관, 방산·바이오업체 등 국내외 주요기관 60여곳 PC 수백여대가 인터넷뱅킹에 사용하는 금융보안인증 소프트웨어 ‘이니세이프’ 취약점을 악용한 북한 해킹공격을 당한 것으로 확인됐다. 당국은 해당 프로그램의 최신 보안 업데이트를 할 것을 권장했다.

· 국정원은 경찰청, 한국인터넷진흥원(KISA), 국가보안기술연구소와 함께 지난해 말 북한이 이니텍의 소프트웨어 이니세이프 취약점을 악용해 국가·공공기관 및 방산·바이오업체 등 국내외 주요기관 60여곳의 PC 210여대를 해킹한 사실을 확인했다고 30일 밝혔다.

· 해킹 공격의 고리가 된 이니세이프는 홈페이지에서 사용자 인증서 처리를 위해 사용되는 소프트웨어로, 사용자가 홈페이지에 접속하면 자동 설치된다.

● 네트워크

한국의 대형 뷰티 플랫폼 파우더룸, 개인정보 DB 방치해 노출됐었다

· 사이버뉴스 연구조사팀에 의하면 한국의 뷰티 콘텐츠 카페인 파우더룸(PowderRoom)에서 약 100만 명의 개인정보가 유출됐다고 한다. 

· 파우더룸의 회원은 350만 명이라고 하는데, 이런 사용자들의 정보가 저장되어 있던 데이터베이스가 1년 넘게 인터넷에 노출되어 있었다고 한다.

· 이름, 전화번호, 이메일 주소, 인스타그램 사용자 ID, 거주지 주소 등이 아무런 보호장치 없이 공개된 상태로 유지된 것으로 조사됐다.

· 다행히 이러한 사실이 파우더룸과 KISA 인터넷침해대응센터에 제보돼 현재는 해당 데이터베이스가 비공개로 전환된 상황이다.

3CX의 인스톨러 감염시킨 공격자들, 공급망 공격 실시

· IT 외신 블리핑컴퓨터에 의하면 3CX라는 VOIP 데스크톱 클라이언트가 공급망 공격에 당했다고 한다.

· 3CX는 수많은 기업들이 사용하는 VOIP 소프트웨어의 개발사로, 윈도용과 맥OS용 모두를 개발해 제공하고 있다. 이번 공급망 공격은 윈도용과 맥OS용 클라이언트 모두에 영향을 주는 것으로 조사됐다.

· 공격자들은 3CX 인스톨러 파일을 감염시켰다고 하며, 이 감염된 파일로 3CX 클라이언트를 설치한 사용자의 시스템에는 추가 악성 페이로드가 설치된다고 한다. 이 페이로드는 이전까지 한 번도 공개된 적 없는 정보 탈취 멀웨어라고 한다.

● 시스템

깃허브, RSA SSH 호스트 키를 실수로 공개해

· IT 외신 레지스터에 의하면 코드 리포지터리인 깃허브(GitHub)가 실수로 자사 RSA SSH 키를 공개했다고 한다.

· 이 때문에 깃허브는 공개된 SSH 키를 새 것으로 대체했으며, 이 때문에 평소처럼 깃허브를 드나들던 개발자들은 경고 메시지를 받게 될 것이다.

· 하지만 로컬 SSH 키를 새 것으로 바꾸기만 하면 평소처럼 깃허브를 이용할 수 있다. 깃허브 내부 인력이 비밀 키를 공개 키로 착각해 벌어진 사건인 것으로 조사됐다.

영국 연기금도 해킹에 털렸다… 연금 데이터 유출

· 영국 연금보호기금(PPF)이 해킹 피해를 입었다는 소식이다. 

· 23일(현지시간) 블룸버그에 따르면, 연금보호기금 대변인은 23일(현지시간) 발표를 통해 특정 해커가 제3자 데이터 전송 서비스를 이용해 일부 연금 관련 데이터가 유출된 정황을 파악했다고 전했다.

· 연금보호기금은 29만5000개 회원사(기업)을 위해 390억파운드(약 61조8400억원)의 자산을 관리하며, 기업이 파산할 때 직원들이 연금 혜택을 받도록 보호하는 역할을 맡고 있다.

· 연금보호기금 대변인은 해커가 안전한 데이터 전송을 위해 사용하는 고애니웨어(GoAnywhere) 파일 관리자를 통해 일부 데이터에 접근할 수 있었다고 말했다. 아울러 유출된 정보에 회원사 정보나 연금 수령자와 관련된 정보는 없다고 밝혔다.