● 악성코드

새로운 리눅스 랜섬웨어 블랙수트, 로얄과 유사한 점 많아

· 블랙수트(BlackSuit)라는 새로운 랜섬웨어가 발견됐다고 한다. 리눅스 환경에서 실행되도록 만들어진 것으로, 로얄(Royal)이라는 또 다른 랜섬웨어와 유사한 점이 많이 발견되는 중이라고 한다. 둘을 비교 분석한 보안 업체 트렌드마이크로(Trend Micro)는 기능의 측면에서 98% 비슷하다고 한다. 둘 모두 오픈SSL(OpenSSL)의 AES 알고리즘을 활용해 파일들을 암호화 한다고 한다.

· 블랙수트는 2023년 5월에 처음 발견된 랜섬웨어다. 로얄 랜섬웨어의 경우 지난 3월 미국의 사이버 보안 전담 기관인 CISA가 별도의 보안 경고문을 발표했을 정도로 큰 주목을 받았던 위협이다. 로얄과 블랙수트는 둘 다 파일의 일부만 암호화 하는 전략을 사용하는데, 이렇게 할 경우 암호화의 속도를 크게 높일 수 있다고 한다. 

사타콤 다운로더 활용한 새 멀웨어 캠페인, 암호화폐 노려

· 새로운 멀웨어 유포 캠페인이 발견됐다고 한다. 이 캠페인의 특징은 사타콤(Satacom)이라는 다운로더가 활용된다는 것과, 암호화폐를 훔치는 게 최종 목적이라는 것이다. 주로 크래킹된 불법 소프트웨어를 검색하는 사람들이 피해자가 된다고 한다. 가짜 소프트웨어의 형태로 사타콤이 유포되고 있다는 것으로, 여기에 당하면 사타콤을 통해 암호화폐 탈취에 사용되는 멀웨어가 설치된다. 유명 암호화폐 웹사이트에서의 웹 인젝션 공격도 발견되고 있다.

· 현재 이 캠페인의 표적이 되고 있는 암호화폐 관련 웹사이트는 코인베이스(Coinbase), 바이비트(Bybit), 큐코인(KuCoin), 후오비(Huobi), 바이낸스(Binance)라고 하며, 피해가 주로 나타나는 국가는 브라질, 알제리, 튀르키예, 베트남, 인도네시아, 인도, 이집트, 멕시코라고 한다.

● 어플리케이션

마이크로소프트 365 제품 이용자 1만8000명 '프로그램 다운' 피해

· 워드와 엑셀, 아웃룩 등 사무용 소프트웨어를 망라한 마이크로소프트(MS) 365 제품 이용자 1만8000여명이 5일(현지시간) 프로그램이 다운되는 피해를 겪었다.

· 인터넷 서비스 오류 집계 사이트인 다운디텍터는 이날 오전 10시께 MS 365의 프로그램이 일부 먹통이 됐다는 이용자들의 보고가 갑자기 늘어나기 시작했다고 밝혔다.

· 그중 아웃룩에 로그인하지 못하거나 아웃룩 계정 정보를 로딩할 수 없다는 보고가 소셜미디어를 통해 급증했다.

· MS는 오전 11시께 트위터를 통해 "웹에서 아웃룩 접근에 관한 문제가 있어 조사하는 중"이라고 밝혔고, 이후 후속 공지를 통해 "이번 문제의 근본 원인을 찾아내기 위해 네트워킹 시스템과 최근 업데이트에 관해 점검하고 있다"고 덧붙였다.

PyPI의 ‘이중인증 필수’ 정책, 올바른 방향이긴 하지만

· 파이선 프로그래머들이 가장 많이 사용하는 공공 리포지터리는 PyPI다. 그런데 이 PyPI에서 “모든 사용자들이 2023년 말까지 이중인증 옵션을 사용하도록 하겠다”고 얼마 전 발표했다. 이렇게 했을 때 중요 프로젝트의 메인테이너 계정들을 공격자들이 침해하여 정상 프로젝트에 악성 코드를 임의로 주입하는 일이 줄어들 수 있다. 하지만 보안 전문가들은 이것만으로 PyPI를 안전하게 사용할 수 있는 건 아니라고 강조하고 있다.

· PyPI의 관리자이자 메인테이너인 도널드 스터프트(Donald Stufft)는 최근 블로그를 통해 “사용자들은 이중인증 옵션을 활성화 하고 있느냐 아니냐에 따라 PyPI 일부 기능 사용에 제한이 걸릴 수 있다”고 설명했다. 또한 “일부 사용자들을 선택해 이중인증을 미리 사용해 보도록 지정할 수도 있다”고 밝혔다. 사용자들은 보안 토큰이나 다른 하드웨어 장비, 혹은 인증 전문 앱을 사용해 이중인증을 이용할 수 있다.

● 네트워크

북 해킹조직 ‘김수키’, 장차관급 노렸다?…기밀은 못 빼내

· 북한 해킹조직이 정권 교체기인 지난해 4월부터 7월까지 전·현직 공무원 등 국내 안보 전문가 150명에게 ‘피싱 메일’을 보내 해킹을 시도한 정황이 드러났다. 현직 공무원 1명과 전직 장·차관급 공무원 3명 등은 실제 개인정보가 유출됐지만, 새나간 기밀 자료는 없는 것으로 확인됐다.

· 7일 경찰청 국가수사본부 사이버수사국은 지난해 4월부터 7월까지 외교·통일·안보 주요 관계자를 대상으로 발송된 악성 전자우편 사건을 수사한 결과, ‘김수키’(kimsuky)로 알려진 북한 정찰총국 산하 해킹조직이 악성 전자우편을 발송한 것으로 보인다고 밝혔다.

· 네이버나 구글을 정교하게 본 딴 피싱 사이트에 속아 자신의 아이디와 비밀번호를 입력한 피해자는 현직 공무원 1명을 포함해, 장·차관급 전직 공무원 3명, 외교·안보 분야 교수 포함한 학계 전문가 4명, 기자 1명 등 모두 9명이다.

교육청 SNS에 음란물이… 태국 정부기관 웹사이트 해킹 당해

· 5일(현지 시각) 방콕포스트 등 현지 매체에 따르면 경찰은 정부 기관 계정을 해킹하고 음란물을 게시한 해커를 추적 중이다.

· 암낫 트리폿 태국 사이버범죄수사국 부국장은 “해커들이 4일 각 주의 많은 정부 기관 웹사이트에 침입했으며 음란물 사진과 영상을 올렸다”면서 “해킹에 따른 피해는 금전적 형태보다는 조직의 이미지를 훼손하는 방식으로 나타났다”고 말했다.

· 당국은 아직 사이버공격을 당한 기관의 수와 피해 규모에 대해 정확히 파악하지는 못한 상태로 알려졌다. 다만 교육청과 경찰서 등 다수 정부 기관이 포함된 것으로 보고 있다.

● 시스템

암호화폐 지갑 또 해킹… 아토믹월렛 피해액 457억원 넘어

· 탈중앙형 암호화폐 지갑인 아토믹 월렛(Atomic Wallet)이 해킹 공격을 받아 수백억원대 피해가 발생했다.

· 지난 3일(현지시간) 코인텔레그래프에 따르면, 아토믹 월렛은 지난주 원인 미상의 해킹 공격으로 상당수의 사용자가 자신의 계좌에서 가상자산(암호화폐)가 강제 인출되는 사태를 겪은 것으로 알려졌다.

· 온체인 분석가 ZachXBT의 분석에 따르면, 지난 2일 이후 이번 해킹 공격으로 입은 피해액은 최소한 3500만달러(약 457억원)에 이를 것으로 추정된다. 가장 많은 피해액수는 1700만달러다. 암호화폐 도난뿐만 아니라 거래 내역 삭제, 전체 포트폴리오 도난 등 피해 범위도 확대되고 있다. 

62만 사용 ‘국방모바일보안’ 앱의 보안 취약점... 국방부 “문제 파악해 수정중”

· 리나라에서 국방의 의무를 지는 모든 군 복무자들에게 필수로 설치되고 있는 ‘국방모바일보안’ 앱에서의 정보 유출 가능성 등 보안 취약점이 <보안뉴스>에서 보도된 이후, 국방부에서 해당 앱의 문제점을 파악해 수정하고 있다고 밝혔다.

· 국방부 관계자는 “국방모바일보안 앱은 사용자 데이터를 수집하지 않고 있으며, 사용자의 GPS 기록정보는 개인 휴대전화 내부에 로그로만 저장될 뿐 외부 유출 우려는 없다”고 말했다. 이어 “다만, 해당 문제 제기와 관련해서는 개발업체와 협조해 보안 앱 로그에 GPS 정보가 포함되지 않도록 기능을 보완할 예정”이라고 설명했다.

· 해당 앱을 활용해 역으로 우리나라 전 부대의 위치를 확인할 수 있다는 문제도 제기된 바 있다. 이러한 문제는 직원용, 병사용, 외부인용 등 모든 버전의 앱에 공통으로 적용되고 있다는 것이다.