● 악성코드

러 해커 랜섬공격에 美 기업 수천만달러 뜯겼다

· 20세의 러시아인 해커가 랜섬웨어 공격으로 미국 등 서방 기업으로부터 수천만달러의 돈을 뜯어내다 붙잡혔다. 최근 친러 해커 그룹이 미국 연방정부 기관들에 대한 대대적인 사이버 공격이 감행하는 등 지정학적 갈등이 사이버 공간으로 확대되는 양상이다.

· 뉴저지주 연방 검찰은 랜섬웨어를 이용한 온라인 사기 혐의로 러시아 연방 체첸공화국 출신의 루슬란 아스타미로프를 체포했다고 15일(현지시간) 밝혔다.

· 아스타미로프는 락비트로 불리는 랜섬웨어를 배포해 기업들의 서버에서 민감한 데이터를 탈취한 뒤 이를 암호화하고 수 십만달러의 대가를 요구했다. 피해 기업이 돈을 지불하지 않으면 데이터를 공개하겠다고 협박했다. 검찰은 아스타미로프의 공격 대상 기업에 미국과 프랑스, 일본, 케냐에 기반을 둔 다국적 기업 5곳이 포함됐다고 밝혔다.

입사지원서 위장 악성 파일...이메일 보안 적신호

· 구인구직 사이트와 유사한 악성 URL을 이용해 악성파일을 유포하는 공격은 21년 상반기 최초로 발견되었으나, 최근 그 공격 빈도와 피해 규모가 증가하고 있다. 또한 다운로드 되는 악성코드가 카카오톡 PC 버전의 ID정보 탈취 등 악성 페이로드의 명령 제어 기능도 지속적으로 추가되고 있어 사용자들의 각별한 주의가 필요하다. 

· 이번 공격은 기존에 공개된 다수의 공격들과 유사하게 입사지원서 이메일을 위장한 피싱 메일을 통해 진행되었다. 특히 이메일 내 첨부된 악성 링크의 도메인 주소 ‘job1-info[.]com’ 이 활용되었으며, 구인구직 사이트 '잡인포'의 도메인 주소를 모방했다.

· 시큐리티대응센터(ESRC) 관계자는 “입사지원서를 위장한 피싱 메일을 통한 공격은 공격자들이 즐겨 사용하는 공격 방식 중 하나이다.”며 “공격자들은 입사지원서라는 동일한 주제를 가지고, 다양한 형태의 공격 방식을 연구하고 있는 만큼, 이메일 내 첨부파일이나 링크 클릭 시 반드시 주의해야 한다.”라고 밝혔다. 

● 어플리케이션

‘인스타보고 협찬한다’더니 카톡 해킹…신종 사기 주의보

· 최근 협찬을 해주겠다는 말에 선뜻 개인 정보를 제공했다가 카카오 계정을 해킹당하는 ‘협찬 사기’ 피해자가 속출하고 있다. 온라인 커뮤니티에 잇따라 올라오는 피해 사례를 보면, 사기범들이 협찬하겠다며 접근한 물품은 육아용품부터 화장품 냉장고, 무드등, 가정용 빔프로젝터에 이르기까지 다양하다.

· 가장 큰 문제는 사기범을 가려낼 방법이 많지 않다는 점이다. 이들은 실제 운영 중인 공식 인터넷 쇼핑몰 정보를 도용해 가짜 홍보 계정을 운영하는 식으로 피해자들이 계정을 믿게 만든다. 실제 존재하는 회사 이름을 아이디에 버젓이 쓰고, 아이디 맨 뒤에 ‘공식적인’이라는 의미의 영어 단어 ‘official’을 붙여 공식 계정처럼 둔갑시키는 게 대표적이다.

· 전문가들도 이 같은 인스타그램 협찬 사기가 피해자를 양산하기 쉬운 구조라고 우려했다. 이수정 경기대 범죄심리학과 교수는 “피해자들을 현혹할 수 있는 새로운 사기 수법”이라고 진단했다. 배상훈 우석대 경찰학과 교수도 “(개인 정보를 알려줬을 때) 별도의 비용은 내지 않으면서 부수적인 이득을 얻을 수 있을 거라는 생각에 경각심을 낮춰 이런 범죄에 걸려들기 쉽다”고 지적했다.

불법 스트리밍 사이트 또 활개…OTT 피해에 해킹까지

· 불법 스트리밍 서비스 누누티비와 유사한 사이트들이 요즘 또다시 등장하고 있다. 

· '누누티비 시즌2'라는 사이트는 '누누티비'와 관계가 없다고 주장하지만 기존 '누누티비'와 비슷한 방식으로 최신 유료 OTT 콘텐츠들을 보여주고 있다.

· 불법도박 사이트 광고를 달고 활동에 들어갔는데, 잘못 봤다가는 해킹 피해를 당할 수도 있어서 주의해야 한다. 이러한 사이트나 어플리케이션들은 이용도 불법이지만 자칫 해킹 등으로 개인정보가 유출될 수 있다. 

· 실제 앱을 통해 모바일 랜섬웨어 다운로드를 유도한 사례도 발생한 바 있음. 정부는 조만간 관련 부처합동으로 콘텐츠 불법 유통 근절 종합 대책을 발표할 예정임.

● 네트워크

사이버 공격에서 노출된 AI 취약성과 공급망 위험

· 영국항공(British Airways), 부츠( Boots), BBC 등 쟁쟁한 조직에 대한 파괴적인 사이버 공격이 잇따르면서 인공지능(AI) 시스템의 취약성과 공급망 보안의 취약성에 대한 우려가 커지고 있다. 

· 급여 데이터 유출 사건은 경종을 울렸고, 전문가들은 잠재적인 AI 취약성에 초점을 맞추기 시작했다. 데이터 및 분석 회사인 글로벌 데이터(GlobalData)는 해커들이 점점 더 AI 시스템을 공격대상으로 노리고 있기 때문에 사이버 공격과의 전쟁에서 이미 패배했을 수 있다고 경고한다.

· 사이버 공격이 계속 진화하고 AI 시스템과 공급망 모두를 표적으로 삼고 있기 때문에 조직, 연구자, 보안 공급업체, 정부가 협력하여 방어를 강화하고 AI 취약성과 관련된 위험을 완화하는 것이 필수다. 점점 더 상호 연결되는 디지털 환경에서 민감한 데이터를 보호하고 사이버 보안 표준을 유지하려면 포괄적이고 사전 예방적인 접근 방식이 요구된다.

“작년 1월부터 올해 3월까지 한국 소매업계 대상 웹 공격 5,200만 건 발생”

· 아카마이가 커머스 업계를 겨냥한 사이버 공격에 관한 새로운 인터넷 현황 보고서 ‘기프트샵을 통해 들어오다: 커머스를 향한 공격’을 발표했다.

· 이 보고서에 따르면, 지난해 1월부터 올해 3월까지 아시아태평양지역의 소매업, 호텔 및 여행 업종을 포함한 커머스 부문에서 11억 5천만 건 이상의 웹 공격이 발생했다.

· 아카마이는 지난 15개월 동안 아태지역 커머스 업계를 겨냥한 악성 봇을 7,650억 개 이상 감지했다. 아태지역 전역에서의 연휴 쇼핑 이벤트 횟수 및 빈도 증가, 그리고 온라인 여행 예약의 성장이 그 영향을 미친 것으로 풀이된다. 이러한 악성 봇 활동은 2022년 매분기 지속적인 증가세를 보이다가 2023년 1분기에 급격히 감소하는 양상을 보였다.

● 시스템

애플의 맥OS 시스템 노리는 툴킷 새롭게 발견돼

· 보안 외신 해커뉴스에 의하면 맥OS 장비를 노리는 새로운 공격 도구가 발견됐다고 한다. 기본적으로는 파이선 기반의 백도어로 보이며, 윈도와 리눅스를 노릴 수 있는 기능까지 갖춘 샘플들도 있다.

· 현재 이 툴킷에는 조커스파이(JokerSpy)라는 이름이 붙었으며, 한 번 피해자의 시스템에 설치된 이후에는 원격 서버로부터 추가 페이로드를 다운로드 받아 설치할 수도 있다고 한다. 시스템의 메타데이터 수집, 파일 목록화 및 삭제, 명령 실행, 데이터 암호화 후 유출과 같은 고급 기능까지 갖추고 있다.

· 보안 업체 비트디펜더(Bitdefender)에 의하면 아직 샘플도 충분치 않고 정보도 거의 없어 분석이 원활치 않다고 한다. 비트디펜더 측은 4개의 샘플을 겨우 구해 분석했다고 밝혔다. 가장 처음 바이러스토탈에 등장한 샘플은 4월 18일에 업로드 되어 있었다. 비트디펜더는 거대한 공격 캠페인의 일부가 발견된 것일 가능성이 높다고 보고 있다.

허술한 보안패치 안내…제도개선 시급

· 19일 과학기술정보통신부 등에 따르면, SW개발사의 취약점 고지 방법 구체화와 버그바운티(보안 취약점 신고 포상제) 제도 활성화 등을 포함한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법) 개정이 논의되고 있다. 보안 취약점 발견 등 침해사고 발생 시 과기정통부가 한국인터넷진흥원(KISA)과 더욱 적극적으로 대응할 수 있는 기반을 마련하는 게 핵심이다.

· 지난 3월 취약성 문제가 알려진 금융 보안 인증프로그램 ‘이니세이프 크로스웹 EX’의 경우 국내·외 1000만대 이상의 개인·기관·업체 개인용컴퓨터(PC) 1000만대에 설치된 것으로 추정된다. 이처럼 광범위하게 배포된 SW를 대상으로 하는 경우 자동 업데이트 등 실효성 있는 방안이 필요하다는 목소리에 힘이 실린다. 다만 자동 업데이트 서버는 비용과 보안 관리 문제가 대두된다.