4500만 개의 의료 이미지들을 저장해 둔 스토리지 서버 수만 개가 공공 인터넷에 노출되었다고 합니다.😮
이 스토리지 서버들은 디폴트 상태 그대로 있었으며, 보안장치 없이 사용되어 있었다고 합니다.
이와 관련하여 보안 업체인 사이벨앤젤(CybelAngel)이 보고서를 발표했다고 합니다.
사이벨앤젤은 6개월이 넘는 시간 동안 이런 서버들을 조사했으며, 그 과정에서 3천개가 넘는 서버들이 104번 포트를 통한 연결을 허용해주고 있는 것을 발견했다고 합니다.🤨
104번 포트는 의료 이미징 기계들을 생산하는 업체들이 자주 사용하는 포트로, 이 중 50개를 무작위로 선택하여 조사했을 때 44개가 아무런 인증 없이 연결이 가능했다고 합니다.
결국 스토리지 서버 및 클라우드 스토리지 서비스들의 환경설정 오류가 아직도 고쳐지지 않는다는 것이 이번 연구결과라고 합니다.
이런 유형은 사용자가 스스로 데이터 침해사고를 유발하는 것이며, 해커들이 일으키는 유출 사고보다 사용자들이 실수로 일으키는 유출 사고가 더 심각하다는 연구 결과가 나오기도 했었다고 합니다.😮
또한, 의료기관 대부분이 자신들의 데이터가 새나가고 있는 것을 전혀 인지못하고 있었다고 합니다. 정보 유출에 대한 뉴스와 경고가 그렇게 많이 나가도 병원들은 대부분 남의 이야기로 태도가 만연했다고 합니다.🤨
사이벨앤젤은 IPv4 전체를 먼저 스캔하고, 최초 스캔만으로 2천만 장의 고유 DICOM 이미지를 찾아낼 수 있었다고 합니다.
이 이미지들은 11,000여 개의 보안 설정이 되어 있지 않은 서버들에 저장되어 있었고, 이 서버들은 57개국에 퍼져 있다고 합니다.
6새월이라는 조사 기간동안 67개국에 퍼져 있는 2100개 서버들에서 4500만 장의 고유 DICOM 이미지들을 찾아낼 수 있었다고 합니다.
주요 국가들은 다음과 같습니다.
- 미국 : 980만개
- 한국 : 960만개
- 러시아 : 880만개
하지만 사이벨앤젤은 서버들의 소유주 혹은 관리자들에게 따로 알리지는 않았다고 합니다. 해킹 사고가 일어나지 않은 것이기에 고지의 의무가 없고, 서버의 관리자나 소유주를 파악하는 것이 반드시 가능한 일은 아니기 때문이라고 합니다.
그래서 병원들이 알아서 데이터 스토리지를 찾아 설정을 바꿔야 한다고 합니다.😀
이에 사이벨앤젤의 수석 사이버 보안 분석가인 시굴라는 다음과 같이 언급했다고 합니다.😀
이런 보고서가 없어도 원래 기업들은 자신들의 클라우드 및 스토리지 서버를 늘 점검해야 합니다. 서버와 스토리지의 설명서를 충분히 읽고 안전하게 설정하는 방법을 숙지해야 합니다. 그런 후 주기적으로 점검하고 업데이트를 해야 하는 것이죠.
2. 저작권 침해 사칭 메일 주의
'저작권법 침해가 있어 연락드립니다'와 같은 피싱 메일이 돌아다니고 있다고 합니다.😮
메일 내용을 보면 현재 이용하고 있는 '그림' 중에 자신이 제작한 작품을 동의 없이 사용하고 있으며, 법적인 문제를 삼기보다는 원만하게 해결하고 싶으니 내용을 확인바란다 라고 쓰여 있다고 합니다.
그리고 압축 파일이 첨부되어 있는데 해당 파일은 국내에서 흔히 사용하는 압축 소프트웨어 '알집'으로 압축을 해제할 수 있는 유형인 ALZ으로 압축되어 있다고 합니다.
하지만 이 유형을 쓰는 사람은 드물며, 사용자가 특별히 설정을 만지지 않는 이상 알집에서는 기본적으로 ZIP 형태로 압축을 진행한다고 합니다.😀
공격자가 이러한 유형을 쓰는 이유는 특정 국가를 노리기 위한 것으로 추정되고 있다고 합니다. ALZ은 국내에서 주로 사용하는 여러 압축 프로그램(알집, 반디집, 빵집 등)으로만 압축을 풀 수 있으며, 한국어로 작성된 만큼 국내 사용자를 노린 것으로 분류할 수 있다고 합니다.
ALZ과 주로 함께 쓰이는 파일 유형은 HWP이며, 대부분의 공공기관 및 학교, 이들과 관련한 기업에서 사용하는 만큼 특정 조직을 노린 공격에 HWP 파일이 쓰이고 있다고 합니다.😀
알집 파일을 풀어보면 2개의 파일이 들어있고, 파일 이름은 '이미지 원본와 사용하고 있으신 이미지 정리한 내용 - Copy', '저작권법 관련하여 위반인 사항들 정리하여 보내드립니다'라고 합니다.
여기서 주의할 점은 모두 exe 파일이라는 것이라고 합니다.😀
해당 파일을 검사하면 'Trojan.Ransom.Makop'으로 분류된다고 합니다. 이는 'Makop 랜섬웨어'라고 하네요!
이 악성 파일은 대부분의 무료 안티 바이러스에서 탐지할 수 있다고 합니다.
정상적인 안티 바이러스 스포트웨어를 사용하고, 바이러스 정의 DB를 자동으로 업데이트 했다면 이 공격에 피해를 입을 가능성은 낮을 것이라고 합니다.
하지만 보안 소프트웨어를 사용하지 않거나 자동 업데이트를 하지 않는 사용자라면 피해를 입을 수 있다네요!
이러한 공격들에 예방하기 위해 사용자는 수시로 주요 소프트웨어 및 운영체제 업데이트를 실행해야 하며, 가능하다면 자동 업데이트를 설정해두는 것이 좋다고 합니다.😀
그리고 기본적인 보안수칙을 지키고, 폴더 설정에서 확장자를 표시하여 이중 확장자에 속지 않도록 하는것이 좋다고 합니다.😁
이 공급망 공격에 연루된 건 솔라윈즈(SolarWinds)라는 기업의 솔루션들로, 공격자들은 솔라윈즈 업데이트에 멀웨어를 삽입해 결과적으로 솔라윈즈의 고객사들에 침투하는데 성공했다고 합니다.
조사 결과 악성 소프트웨어 업데이트를 다운 받았을 가능성이 높은 솔라윈즈 고객은 전체 30만 개소 중 33,000여 곳에 달하는 것으로 나왔다고 합니다.
솔라윈즈가 미국 증권거래소에 제출한 서류에 의하면 공격자들은 솔라윈즈의 이메일을 침해하여 친투한 것으로 보인다고 합니다.
이메일 시스템을 먼저 침해한 후 MS office 365 환경에 침투하기 위한 각종 데이터를 수집해 활용한 것으로 솔라윈즈 측은 분석했다고 합니다. 이 공격에 당한건 미국 재무부, 상무부, 보안 업체인 파이어아이 등으로 파악됬다고 합니다.😐
이에 CISA는 지난 주말 솔라윈즈에서 만든 오리온 제품군을 즉각 중단시키고 네트워크에서 분리하라는 긴급 명령을 연방 민간 기관들에게 내렸다고 합니다.
솔라윈즈는 별도의 보안 권고문을 통해 오리온 플랫폼즈 소프트웨어 빌드 2019.4 HF 5 버전부터 2020.1.1 버전이 이번 사건에 영향을 받았다고 발표했다고 합니다.
2020년 12월 15일 핫픽스가 공개될 예정이었다고 하며, 즉각적인 조치를 취하기 어려운 사용자들을 위한 긴급 대처 방안도 마련할 것이라고 합니다.😀
파이어아이는 이미 지난 주부터 이 공격과 관련된 내용을 계속해서 공개 및 업데이트를 하고 있다고 합니다. 공격의 배후 세력으로는 UNC2452라는 단체로 보고 있으며, '선버스트(SUNBURST)'라는 멀웨어를 솔라윈즈 소프트웨어 업데이트를 통해 퍼트리고 있다고 주장했다고 합니다.😀
이에 파이어아이의 수석 멀웨어 분석가인 벤 리드(Ben Read)는 UNC2452와 멀웨어에 대해 다음과 같이 언급했다고 합니다.
현 시점에서는 다른 어떤 공격 단체와도 관련없는 독립적인 공격 단체입니다. 선버스트는 HTTP를 통해 공격자의 서버와 통시하는 기능을 가지고 있는 백도어로써 감염된 솔라윈즈 업데이트를 설치하고 나면 최대 2주 잠복기를 가집니다. 잠복기가 끝나면 갑자기 정보를 수집하고 명령을 공격자들의 서버로부터 받습니다. 또한 선버스트는 자신이 발생시키는 네트워크 트래픽을 오리온 향상 프로그램 프로토콜인 것처럼 위장할 수 있으며, 정찰 활동으로 수집한 내용을 정상 플러그인 환경설정 파일에 저장함으로써 정상적인 솔라윈즈 활동에 녹아들 수 있도록 합니다. 그리고 여러가지 기술을 사용해 백신가 멀웨어 탐지 솔루션들도 찾아낼 수 있습니다.
공격자들이 '싱글사이온(SSO)'에 사용되는 SAML(Security Assertion Mark-up Language) 인증 토큰을 조작해 권한을 높였을 가능성이 있어 보인다는 의견이 나오고 있다고 합니다.
이로써 높아진 권한을 가지고 솔라윈즈의 MS 365 인스턴스로 접근하는데 성공했으며, 높은 권한을 가진 새로운 계정을 만들어 이메일 전달 및 라우팅 규칙을 수정했을거라고 합니다.
보안 전문가들은 오래전부터 공급망 공격에 대해 경고해 왔었다고 합니다. 특히나 보안 패치나 업그레이드 파일이 제조사로부터 건너올 때 무조건 신뢰하는 경향이 예전부터 있었다고 지적되어 왔다고 합니다.😀
보안 업체 안주나 시큐리티(Anjuna Security)의 CEO 아얄 요게브(Ayal Yogev)는 솔라윈즈는 너무나도 많은 국가기관과 대기업들이 사용하므로 이번 사태가 더더욱 위험하며, 자신들이 감염되었다는 것조차 모르고 있을 가능성이 높다고 언급했다고 합니다.
2. 솔라윈즈의 FTP 비밀번호가 평문으로 노출?
앞의 기사의 내용과 이어지는 내용으로 공급망 공격에 대한 조사가 이뤄지면서 감춰졌던 일들이 추가로 공개되는 중이라고 합니다.😀
얼마전 파이어아이가 해킹 도구를 조난당한 적이 있는데 이 공급망 공격을 통해 공격 당한 것으로 밝혀졌다고 합니다.
현재 가장 많은 궁금증을 자아내는 것은 어떤 식으로 솔라윈즈의 업데이트 인프라를 감염시켰는가이라고 합니다. 조사가 아직 이어지고 있어 명확한 답은 나오지 않은 상태라고 합니다.
하지만 여러가지 추측들과 가설들이 나오고 있다고 합니다.
먼저 공격자들이 SAML 인증 토큰을 조작하여 오리온 소프트웨어의 빌드 시스템이나 CI/CD 개발 환경에 접근하는데 성공한 것이 계기가 되었다는 설이라고 합니다.
보안 전문가인 비노스 쿠마(Vinoth Kumar)는 지난 11월 솔라윈즈의 FTP 서버 비밀번호가 깃허브에 평문으로 공개되어 있는 것을 발견하고 솔라윈즈 측에 알린 바 있다고 주장했다고 합니다.
심지어 비밀번호는 "solarwinds123'이어서 대단히 취약한 것으로 보였다고 합니다. 쿠마는 트위터를 통해 "해당 깃허브 리포지터리는 2~3주정도 변경 없이 유지되었다"고도 밝혔다고 합니다.😀
3. 2021년 뉴 노멀 위한 보안전략 재정비
보안은 과거부터 꾸준히 샇아온 대응 기술과 인프라로 기존 위협을 막고, 향후 발생할 수 있는 새로운 이슈에 대비하는 과정이라고 합니다.😀
그렇기에 새로운 위협이 등장할 것이라고 해서 기존 보안을 등한시하는 것이 아니라, 기존 보안체계 위에 새로운 위협에 대한 대비를 추가해야 한다고 합니다.
팔로알토 네트웍스가 2021년 사이버 보안 전망을 발표하고, 2020년을 돌아보는 간담회를 온라인으로 진행했다고 합니다. 2020년 주요 이슈로 클라우드 도입과 디지털 트랜스포메이션이 들었으며, 특히 코로나19로 인한 비대면 사회가 가속화되면서 전자상거래 부문의 앱과 서비스가 눈에 띄게 늘었다고 설명했다고 합니다.
기업의 주요 데이터 자산이 클라우드로 옮겨지고 있는 반면, 이러한 클라우드 운용 과정에서 단순한 부주의로 정보가 유출될 가능성도 존재한다고 합니다.
이 때문에 클라우드 도입의 본격화와 더불어 보안에 대한 요구사항을 더 신경 써야 한다고 강조했다고 합니다.😀
발표를 진행한 팔로알토 네트웍스 션 두카 아태지역 CSO는 2021년 주요 전망을 크게 4가지로 언급했다고 합니다.
(1) 여행 재개로 인한 개인정보보호 이슈 증가
2021년에는 국내외 여행이 재개될 경우 개인정보보호 이슈가 커질 것으로 보인다고 합니다.
올 한해 많은 국가가 지역을 봉쇄하고 이동을 통재하며 전염병 확산을 차단하기 위해 노력했고, 이 과정에서 역학조사를 위해 이동 및 방문자의 개인정보를 수집하고 있다고 합니다.
향후 여행이 가능하더라도 이러한 현상은 한층 강화될 것이며, 기존에는 해외여행 시 입국에 대한 기록 정도만 있었으나 이제는 방문한 지역, 현재 건강상태 등도 기록할 가능성이 커진다고 합니다.😮
모든 사람에게 안전하고 효율적인 여행을 보장하기 위해 정부기관, 항공사, 공항 및 호텔 간에 더 많은 개인 데이터를 공유해야 하며, 정보주체에게는 해당 데이터가 어디에 보관되고 어떻게 사용되는지 투명하게 공개해야할 필요성이 있다고 합니다.😀
그럼 자연스럽게 이를 노리는 공격자가 늘어날 것이며, 제대로 보호하지 못한다면 새로운 사이버 공격 혹은 스캠 등으로 이어질 수 있기에 철저한 보안이 필요하다고 합니다.😀
(2) 프라이빗 5G 확대 및 이를 저격한 사이버 공격
팔로알토 네트웍스는 지난해 국가 차원의 5G 인프라 및 서비스 구축을 전망했으나 코로나로 인해 이러한 현상이 주춤했다고 설명했다고 합니다.
민간 차원에서 5G 네트워크를 활용한 서비스는 물론, 기업용 서비스는 꾸준히 등장하고 있으며, 향후 유선 네트워크를 대체할 것으로 보인다고 합니다.
2021년 5G 네트워크 활용에 주목하고 있는 기업은, 설치해야 하는 노드의 수가 늘어나는 만큼 사이버 공격 표면 또한 증가한다는 점에 주목해야 한다고 합니다.😀
(3) 재택근무 확대로 인한 안전한 근무환경 확보
코로나19 확산으로 인한 재택근무는 코로나19 현상이 종식되더라도 꾸준히 이어질 것으로 보인다고 합니다.😀
집 뿐만아니라 어디서든 효율적으로 업무할 수 있는 환경을 기업에 요구할 것이며, 이 과정에서 보안 제공 역시 필수적이라고 합니다.
클라우드 기반 업무 도구가 확산되고, 가상 데스크톱이 대중화되며 고가의 기기 및 장비 구매가 줄어드는 추세라고 합니다.
이에 기업은 직원이 온라인으로 필요한 소프트웨어와 자료에 접근할 수 있도록, 더 단순하고 연결성을 갖춘 장치를 제공하고 있다고 합니다.
기업에서 직원에게 업무 환경을 직접 제공함으로써 회사의 자산을 안전하게 보호하는 것이라고 하네요.
이에 유연성, 단순성, 가시성 등의 이점을 갖춘 SASE(Secure Access Service Edge) 솔루션이 사이버 보안의 뉴 노멀로 자리잡을 전망이라고 합니다.😀
(4) 계정 접근관리 필요성 증가
디지털 트랜스포메이션에서 보안의 기본인 계정 접근관리의 중요성을 강조하며, 적절한 권한 조치 및 악용하지 않아야 한다고 설명했다고 합니다.😀
디지털 트랜스포메이션 가속화는 기존 클라우드 환경의 보안을 다시 검토해야 하는 필요성이 증대되며, 추가적인 계정 접근관리(IAM) 계층도 요구된다고 합니다.
실제로 팔로알토 네트웍스 '유닛42 연구소'에서는 올해 단일 IAM 구성 오류로 인해 공격자가 전체 클라우드 환경을 손상시키고 거의 모든 보안 제어를 우회할 수 있는 것을 발견했다고 합니다.
이러한 잘못된 ID 구성은 수많은 클라우드 계정에서 발견되었으며, 잠재적으로 1주일 이내에 수천 개의 워크로드에 영향을 미칠 수 있는 심각한 보안 위험을 나타냈다고 합니다.😀
중국의 보안 업체인 싱귤라 시큐리티 랩의 보안 전문가들이 발견한 취약점 2개를 통해 '오래된 취약점은 저절로 고쳐지지 않는다', '익스플로잇이 아무리 어려워도 누군가는 성공한다'는 것이 입증되었다고 합니다.😀
이 취약점드른 Windows 7 ~ Windows 10의 최신 버전까지 영향을 미치며 권한상승을 일으킨다고 합니다. 싱귤라의 전문가 란초한(Rancho Han)은 오래전부터 있어온 취약점이지만 널리 알려지지 않은 Windows 커널 요소인 UMPD에서 발견되었다라고 설명했다고 합니다.
UMPD는 크게 2가지 요소로 구성되어있다고 설명했다고 합니다.
- 프린터 그래픽 DLL : 그래픽 장비 인터페이스가 프린터 스풀러에 보낼 인쇄 작업을 생성하고 전송
- 프린터 인터페이스 DLL : 인쇄 관련 이벤트 발생 및 진행 중이라는 사실을 알리는데 사용
문제는 UMPD와 특정 Windows 커널 기능들이 상호작용을 하기 시작할 때 발생한다고 합니다. 그리고 이에 대해 다음과 같이 언급했다고 하네요.😀
사용자가 인쇄와 관련된 기능을 이용할 때, UMPD가 그래픽 엔진을 가동시키고 '콜백(callbacks)'이라는 것을 커널로부터 받기 시작합니다. 그런데 이러한 상호작용이 일어나는 방식이 취약해 공격자들이 특정 코드를 주입할 수 있게 됩니다. 이 코드는 윈도 커널 층위에서 실행이 됩니다.
MS는 이미 수개월 전에 이 취약점을 패치했었다고 합니다. 당시 MS는 이미 로그인 된 공격자만 익스플로잇할 수 있는 취약점이라고 묘사했다고 합니다.
하지만 MS는 이 취약점의 익스플로잇이라는게 성공 가능성이 현저이 낮아 비현실적이라는 입장이었다고 합니다. 게다가 취약점 자체의 기술적 내용만이 아니라, UMPD가 구축된 환경에 대해 깊은 이해도를 필요로 하기 때문에 공격자로서는 투자해야할 것이 너무나 많다고 주장했다고 합니다.😮
하지만 취약점이 익스플로잇되었을 때 심각성을 인지하고는 있었다고 합니다.
이번 블랙햇 행사에서 싱귤라 측이 발표한 내용은 MS의 이러한 주장을 정확히 반박했다고 합니다. 사용자 모드의 콜백 메커니즘을 사용하여 커널 층위의 공격을 성공시켰기 때문이라고 합니다.😀
특히 MS가 Windows라는 플랫폼을 안전하게 만들고자 노력하던 와중에 이러한 취약점들이 탄생했다는 것을 기억해야 한다고 합니다.
원래 Windows에서 프린터 드라이버 모드들은 Windows 커널에서 로딩됬었다고 합니다. 그러나 Windows Vista부터 MS는 프린트 드라이버가 사용자 모드에서 사용될 수 있도록 만들었다고 합니다. 이는 같은 취약점이 발견된다고 해도 사용자 모드에서 발견되는 편이 커널에서 발견되는 것보다 안전하기 때문이라고 합니다.
이러한 과정은 안전 조치를 취하다 또 다른 공격 통로를 창조한 아이러니한 상황이라고 하네요.😁
2. 파이어아이 해킹 사건
보안 업체 파이어아이(FireEye)는 "국가 지원 해커들로 보이는 자들이 침투해 레드팀 도구들을 침해했다"라고 발표했다고 합니다.😮
이는 상당히 창피할 수 있는 일이지만 문제의 도구를 탐지할 수 있는 도구를 깃허브에 빠르고 투명하게 공개하여 오히려 칭찬 받고 있는 상황이라고 합니다.
파이어아이는 공격자의 정체에 대해 언급하지 않았지만 몇몇 매체는 러시아의 코지 베어(Cozy Bear)를 유력한 공격자로 지목하고 있다고 합니다.
파이어아이의 CEO인 케빈 맨디아(Kevin Mandia)는 공격자들의 목표는 파이어아이의 고객인 정부 기관들 중 일부라고 발표했다고 합니다.
하지만 특정 기관들에만 영향을 주는 건 아니라고 합니다. 위에서 언급한 대로 파이어아이의 해킹 도구들이 탈취당했으며, 이 도구들은 모의 해킹 때 사용되고 각종 보안 솔루션들을 우회하게 해주는 기능을 가지고 있어 해킹 공격에 유용하기 때문이라고 합니다.🤨
또한 APT단체들이 즐겨 사용하는 도구들은 시간이 지나면 일반 해커들에게 전파되는 것이 보통이기 때문에 파이어아이의 도구가 얼마 지나서부터는 해킹 공격의 난이도를 크게 낮추는 역할을 할 수 있다고 합니다.
게다가 해커들이 이 도구를 사용하게 되면 파이어아이의 활동이라고 착각할 수도 있다고 합니다.
또한 공격자들이 처음부터 이 해킹 도구를 노리고 침투했을 가능성은 높지않을 것이며 공격자들이 생각지도 못한 성과를 운 좋게 올린 것이라고 보고 있다는 의견도 나오고 있다고 합니다.
또한 이번 공격을 성공시키기위해 공격자들은 기존 공격 인프라나 기법을 재활용한게 아닌 파이어만을 위한 인프라를 구성하고 새로운 기법을 선보였을 것입니다. 러시아 해커들이 이런 치밀함과 꼼꼼함을 발휘하는건 어제오늘이 아니라고도 했다고 합니다.😮
아직까지 파이어아이가 공격 기술과 기법의 세부 사항은 공개하고 있지 않아 지켴봐야할 일이 남아 있다고 합니다. 이에 해당 도구의 개발사로서, 그 도구를 활용한 공격을 어떻게 방어하고 위험을 완화할 수 있을지도 상세히 공개했으면 좋겠다는 말도 나오고 있습니다.
사건이 터지고 아직 파이어아이는 "더 공개할 정보가 없다"고 합니다. 현재 파이어아이는 FBI와 MS와 함께 이 수사를 공동으로 진행하고 있다고 합니다.😀
파이어아이의 대변인은 "수사에 그 어떤 방해가 되면 안되므로 지금 당장 정보를 공개하지 못함을 양해해 달라"라고 언급했다고 합니다.
보안 업체들 중 해킹 공격을 당한건 파이어아이만이 아니라고 합니다. 지난 10년 동안 VMware, 카스퍼스키, 맥아피, RSA, 시만텍이 침해된 경험을 가지고 있다고 합니다. 이에 보안 전문가인 알페로비치는 "보안 업체들로서는 이런 사건이 더 치명적일 수 밖에 없다. 자사 보호를 1순위로 생각하고, 그 다음 고객의 보호를 생각하는 것이 맞다"라고 강조했다고 합니다.😁
3. 코로나 추적 앱 40%가 민감 정보 노출?
현재 출시된 확지자 혹은 접촉자 추적 앱들 중 애플과 구글의 노출 알림 프로토콜을 사용하지 않는 것들을 사용할 경우 사용자의 민감한 정보가 외부로 유출될 가능성이 있는 것으로 조사되었다고 합니다.😮
앱 보안 전문 업체인 가드스퀘어(GuardSquare)는 이번 조사릉 위해 95개(Android 52개, IOS 43개)의 코로나 접촉자 추적 앱을 분석했다고 합니다.
그 결과 40%가 애플과 구글의 프로토콜을 사용하지 않는다는 것이 나타났다고 합니다. 이를 사용하지 않는 40%의 앱들은 GPS 데이터나 블루투스와 같은 기술을 사용해 사용자를 추적하는 것으로 분석되었다고 합니다.
주로 국가에서 주도해 만든 앱들이기 때문에 이름을 대는 순간 국가적 불명예가 씌여지므로 앱들을 명확히 밝히지는 않았다고 합니다.
물론 확진자 및 접촉자 추적을 앱으로 한다는 것이 코로나 초기만큼 많은 관심을 끌거나 자주 사용되지는 않고 있다고 합니다.
하지만 기후변화 등으로 인해 재난 사태가 계속해서 벌어진다면, 이런 추적 앱은 다시 사용될 것이고 지금부터 점검을 통해 안전한 기술을 완성시키는 것이 현명하다고 가드스퀘어가 주장했다고 합니다.😀
이번 조사에서 애플과 구글이 발표한 노출 알림 프로토콜의 공식 API를 활용하는 것으로 분석된 앱은 57개(Android 32개, IOS 25개)로 밝혀졌다고 합니다.
이 API를 사용할 경우 접촉자를 추적해도 사용자의 데이터는 노출되지 않으며, 따라서 이를 통해 누군가를 추적하는 건 프라이버시나 보안 문제를 일으키지 않는다고 합니다.😀
물론 이 두가지 프로토콜을 사용하지 않고도 안전하게 접촉자를 추적하는 방법이 없는건 아니라고 합니다. 하지만 언급된 40%의 앱들 중 강력한 보안 장치를 복합적으로 사용하고 있는건 단 5%에 불과했다고 합니다.😮
이에 이런 앱을 계획하는 국가 부서에서 국민의 프라이버시 보호라는 부분을 잊지 말고 일을 진행해야 한다. 그냥 외부 업체에 주문을 던져 넣고 기능만 확인해서는 안된다라는 주장이 나왔다고 합니다.
또한, 프라이버시를 보호한다는 것이 단순히 국민의 사생활을 보호한다거나, 정부에 대한 신뢰를 두텁게 만드는 것 이상의 것이며, 보건과 직결된 개념이 되었다라고 지적했다고 합니다.😀
4. 총 30만건 카드정보 공개한 CLOP 랜섬웨어
이랜드그룹을 대상으로 이중 협박 전략을 취하고 있는 CLOP 랜섬웨어 해커조직이 3차례 걸쳐 총 30만건의 카드정보를 다크웹에 공개했으며, 금융당국 및 카드사의 대응도 조금씩 속도를 내고 있다고 합니다.😀
CLOP 랜섬웨어는 이랜드그룹으로부터 탈취한 고객 카드정보를 3번(3일, 10일 ,11일)에 걸쳐 총 30만건의 카드정보를 모두 다크웹을 통해 다운로드 받을 수 있도록 했다고 합니다.
카드정보를 다운받기 위해 링크를 클릭하면 '502 Bad Gateway'가 뜨는데, 이는 주로 접속자 폭주로 인한 서버 과부하 상태를 설명하는 에러 메시지로 다운로드 받고자 하는 사람이 너무 많다는 의미일 수도 있다는 보안전문가들의 견해가 나왔다고 합니다.🤨
이에 금융당국과 카드사의 대응 움직임도 가시화되고 있으며, 1차로 유출된 10만개의 카드정보를 검증한 결과, 카드번호와 유효기간 등이 포함되어 있으나 온라인 결제를 위한 CVV(CVC) 정보, 비밀번호 등은 공개되지 않았다고 합니다.
이는 오프라인 가맹점 카드결제 시 IC카드 단말기 이용이 의무화되어 해당 정보만으로 부정사용은 곤란할 것으로 보인다고 설명했다고 합니다.
또한, 10만 여건의 카드정보 중 사용불가 카드를 제외한 유효카드 정보는 약 3.6만건(36%)이며, 과거 불법유통 등이 확인된 23,000여 건의 카드정보를 제외하면 출처를 알 수 없는 카드정보는 약 13,000여 건에 이른다고 발표했다고 합니다.
이에 23,000여 건의 카드정보에 대해서는 모든 유효카드에 대해 부정사용감시시스템(FDS)를 통한 밀착 감시와 함께 교체 안내를 완료했으며, 13,000여 건에 대해서는 FDS를 통한 감시 및 차단 과정을 거쳐 고객들에 대한 조치를 취할 방침이라고 합니다.😀
그리고 FDS 등을 통한 분석 결과 12월 9일까지 유효카드에서 발생한 부정사용 거래는 없는 것으로 확인되었다고 합니다.
그럼에도 해당 카드정보가 NC 백화점, 킴스클럽, 뉴코아아울렛을 비롯한 수많은 매장을 보유한 이랜드그룹 이용고객들로부터 빼낸 카드정보가 얼마나 포함되어 있는지 아직 정확하게 밝혀지지 않아 이랜드그룹 고객들의 불안감을 완전히 잠재우기는 미흡한 상황이라고 합니다.😓
또한 다크웹에 공개된 30만 건 중 10만건에 대해 검증이 완료된 만큼 나머지 20만 건에 대한 검증도 신속하게 진행되어야 한다는 지적이 나오고 있다고 합니다.😀
