● 악성코드

"해킹 도와드려요"…악성코드·피싱메일 작성하는 '다크GPT' 등장

· 피싱 메일·디도스 공격 도구 만들기 등을 도와주는 일명 '다크GPT'가 등장했다. 

· 챗GPT 등장 이후 '해커들의 공격 도구로 활용될 수 있다'던 글로벌 보안 업체들의 경고가 무색하게도, 돈을 내면 초보자도 사이버공격을 할 수 있도록 돕는 '다크GPT'서비스가 다크웹을 통해 유통되고 있다.

· 글로벌 보안 업체 넷엔리치 위협연구팀은 최근 발간한 보고서를 통해 '사기(Fraud)GPT'란 인공지능(AI) 도구가 텔레그램을 통해 유포되고 있다고 소개했다.

· 이 도구는 스피어 피싱 이메일·해킹 도구 작성 등 사이버공격을 돕는 AI모델이며, 현재 다양한 다크웹 시장과 텔레그램 플랫폼에서 유료로 판매되고 있다.

노골적으로 변하는 중국발 해킹… 기상청 장비에 악성코드 심어 납품?

· 국정원이 파악 중인 해외 해커에 의한 공격 시도의 절대다수는 북한이다. 북한이 70%, 중국이 4%, 러시아가 2%를 차지했다. 다만 올해 들어 중국발 해킹 위협이 기승을 부리고 있다는 점을 강조하며 구체적인 몇몇 사례를 공유했다.

· 그 중 일부로 6월 중국 업체가 제조해 국내 기관에 판매된 계측장비에 악성코드가 발견된 건을 발표했다. 외산 제품 중 초기부터 악성코드가 설치돼 납품된 것은 첫 사례다. 국정원은 해당 장비에 대한 운영을 중단시키고 국내 도입 유사 장비에 대한 전수조사를 시행하고 있다.

· 업계에 따르면 해당 장비가 납품된 곳은 기상청이다. ‘스파이칩’ 논란까지 불거진 상태로, 산업계에서는 경각심을 키워야 한다는 목소리가 나오는 중이다.

● 어플리케이션

전 세계 수많은 중소기업 노리는 짐브라 피싱 공격, 크리덴셜 탈취해

· 중소기업들 사이에서 인기가 높은 협업 도구인 짐브라 콜라보레이션(Zimbra Collaboration)의 사용자들을 노리는 캠페인이다. 이미 수십 개 국가 수백 개 기업에서 공격 시도가 발견되고 있다고 한다.

· 짐브라는 협업을 위한 각종 소프트웨어들로 구성된 일종의 소프트웨어 스위트다. 이메일 서버와 웹 클라이언트도 포함되어 있다. 전통의 오피스 및 협업 스위트들에 대한 저렴한 대체재로서 널리 사용된다. 일종의 틈새 시장을 공략한 제품인 건데, 작은 규모의 조직들 사이에서 인기가 높다.

· 인기가 높다는 것은 해커들의 공략 대상이 된다는 뜻이고, 실제로 짐브라의 제품들은 끊임없이 보안 사고에 연루되거나, 공격 시도에 시달린다. 올해만 하더라도 원격 코드 실행 취약점이 발견되는가 하면 XSS 제로데이 취약점이 발굴되기도 했었다. 북한의 해킹 조직은 짐브라를 통해 정보를 탈취하려는 캠페인을 벌이기도 했었다.

인기 압축파일 'WinRAR' 보안 뚫렸다

· 데스크탑 압축 유틸리티 중 전세계에서 가장 많은 인기를 얻고 있는 WinRAR 압축 파일에서 해커가 PC를 원격 조정할 수 있는 심각한 보안 취약점(CVE-2023-40477)이 발견됐다고 외신이 22일(현지시간) 보도했다. 

· 보도에 따르면 ZDI(Zero Day Initiative) 보안 연구원 goodbyeselene는 보고서에서 "이 취약점을 통해 원격 공격자는 영향을 받는 WinRAR 압축 파일에서 임의 코드를 실행할 수 있다"고 밝혔다.

· 이 취약점을 악용하려면 대상이 악성 페이지를 방문하거나 악성 파일을 열어야 한다는 점에서 사용자 상호 작용이 필요하지만, WinRAR은 20년 넘게 사용되고 있는 가장 대중적인 압축 프로그램인 만큼 취약점이 수정되지 않고 계속 사용될 경우 위험에 쉽게 노출될 수 있다고 외신은 전했다.

● 네트워크

삼성·LG 해킹 성공 '랩서스'…BBC “영국 10대 2명이 핵심멤버”

· 자폐증을 앓고 있는 쿠르타지와 A는 랩서스의 핵심멤버로 활동하며 2021년 10월 브라질 보건부 해킹을 시작으로 2022년까지 영국 통신사와 미 반도체 업체인 엔비디아, 차량공유업체인 우버, GTA 시리즈를 만든 락스타게임즈 해킹에 관여한 것으로 확인됐습니다. 

· 이들은 특히 2022년 3월 삼성 스마트폰 보안 플랫폼인 '녹스'의 프로그램 설계파일인 소스코드를 빼돌려 무료로 내려받을 수 있는 토렌트에 게시했으며 이어 LG전자 홈페이지를 통해 9만 명에 달하는 임직원의 이메일 정보를 탈취하기도 했습니다. 

· 이들은 기술지원 부서 직원을 사칭해 확보한 원격접속 권한을 활용해 내부 네트워크로 접근한 뒤 다중인증 장치를 우회하는 공격도구를 활용해 추가적인 권한을 얻는 방식으로 해킹에 성공한 것으로 알려졌습니다. 

대구 성서운동장 홈페이지 해킹... 개인정보 2만건 유출

· 대구시체육회시설관리사업소는 22일 오전 8시쯤 해킹 사실을 인지하고 홈페이지를 즉시 폐쇄한 뒤 해킹 경위와 피해 정도 등을 확인 중이라고 24일 밝혔다. 홈페이지 해킹으로 지금까지 확인된 유출 건수는 예약자 등의 이름, 주소, 연락처, 아이디, 이메일 등 5개 항목 총 2만359건으로 나타났다. 해킹 시점은 20일 오후 6시 이후로 추정된다.

· 사업소는 국가정보원과 경찰 등 유관기관과 합동으로 유출 경위 등을 조사 중이다. 또 홈페이지 가입자들에게 이메일을 보내 "추가 피해를 막기 위해 다른 웹사이트에서도 동일한 비밀번호를 사용하는 경우 변경해 달라"고 당부했다. 당분간 성서운동장 예약 접수는 전화와 오프라인으로 대체하기로 했다.

● 시스템

IBM “의료분야 데이터 유출 평균 비용 147억”

· IBM의 ‘2023년 데이터 유출비용 보고서’에 따르면 데이터 유출로 인해 발생한 평균 비용은 사상 최대 규모인 445만달러를 기록했으며, 이는 지난해보다 2.3%, 2020년보다 무려 15.3% 증가한 것이다.

· 이 조사는 IBM 시큐리티가 포네몬인스티튜트에 의뢰해 2022년 3월부터 2023년 3월 사이 데이터 유출 피해를 입은 전 세계 16개국 17개 업계 553개 조직을 대상으로 실시한 것이다.

· 최근 의료 분야 사이버 보안 사고에 대한 경고가 잇따르고 있는데, 공격자들이 그동안 의료·교육 분야 공격은 자제해왔지만, 코로나19 이후 ‘돈’이 되는 의료분야를 집중 공격하고 있는 양상이다. IBM 조사에서도 의료 데이터 유출이 매우 심각한 것으로 드러났으며, 13년 연속 가장 큰 데이터 유출 사고 비용을 기록했다.

홍콩의 여러 조직들 겨냥한 소프트웨어 공급망 공격 적발돼

· 홍콩의 여러 조직들을 노리고 소프트웨어 공급망 공격이 진행되고 있다고 한다.

· 현재 시만텍(Symantec)이 사건을 조사하고 있는데, 이세이프넷 코브라 독가드 클라이언트(EsafeNet Cobra DocGuard Client)라는 정상적인 소프트웨어의 업데이트 파일을 통해 플러그엑스(PlugX)라는 멀웨어가 퍼지고 있는 것으로 밝혀졌다.

· 이 악성 업데이트 파일은 MS의 공식 인증서로 서명까지 되어 있었다.

· 현재까지는 이 공격의 배후에 중국 공격 단체 럭키마우스(LuckyMouse)가 있는 것으로 보인다. 플러그엑스는 중국 해킹 단체들이 거의 독점적으로 쓰다시피 하는 멀웨어이다. 중국은 홍콩을 끊임없이 공격하고 있으며, 특히 여러 민주주의 옹호론자들과 단체들에 대한 표적 공격을 일삼고 있다. 문자의 독가드 클라이언트는 약 2000개가 넘는 엔드포인트에 설치되어 있는 것으로 알려져 있다.