20.12.14 ( 오래된 윈도 커널 요소 취약점 익스플로잇 등장, 파이어아이 해킹 사건, 코로나 추적 앱 40%가 민감 정보 노출?, 총 30만건 카드정보 공개한 CLOP 랜섬웨어 )

1. 오래된 윈도 커널 요소 취약점 익스플로잇 등장

 

중국의 보안 업체인 싱귤라 시큐리티 랩의 보안 전문가들이 발견한 취약점 2개를 통해 '오래된 취약점은 저절로 고쳐지지 않는다', '익스플로잇이 아무리 어려워도 누군가는 성공한다'는 것이 입증되었다고 합니다.😀

 

이 취약점드른 Windows 7 ~ Windows 10의 최신 버전까지 영향을 미치며 권한상승을 일으킨다고 합니다. 싱귤라의 전문가 란초한(Rancho Han)은 오래전부터 있어온 취약점이지만 널리 알려지지 않은 Windows 커널 요소인 UMPD에서 발견되었다라고 설명했다고 합니다.

 

UMPD는 크게 2가지 요소로 구성되어있다고 설명했다고 합니다.

- 프린터 그래픽 DLL : 그래픽 장비 인터페이스가 프린터 스풀러에 보낼 인쇄 작업을 생성하고 전송

- 프린터 인터페이스 DLL : 인쇄 관련 이벤트 발생 및 진행 중이라는 사실을 알리는데 사용

 

문제는 UMPD와 특정 Windows 커널 기능들이 상호작용을 하기 시작할 때 발생한다고 합니다. 그리고 이에 대해 다음과 같이 언급했다고 하네요.😀

사용자가 인쇄와 관련된 기능을 이용할 때, UMPD가 그래픽 엔진을 가동시키고 '콜백(callbacks)'이라는 것을 커널로부터 받기 시작합니다. 그런데 이러한 상호작용이 일어나는 방식이 취약해 공격자들이 특정 코드를 주입할 수 있게 됩니다. 이 코드는 윈도 커널 층위에서 실행이 됩니다.

MS는 이미 수개월 전에 이 취약점을 패치했었다고 합니다. 당시 MS는 이미 로그인 된 공격자만 익스플로잇할 수 있는 취약점이라고 묘사했다고 합니다.

 

하지만 MS는 이 취약점의 익스플로잇이라는게 성공 가능성이 현저이 낮아 비현실적이라는 입장이었다고 합니다. 게다가 취약점 자체의 기술적 내용만이 아니라, UMPD가 구축된 환경에 대해 깊은 이해도를 필요로 하기 때문에 공격자로서는 투자해야할 것이 너무나 많다고 주장했다고 합니다.😮

 

하지만 취약점이 익스플로잇되었을 때 심각성을 인지하고는 있었다고 합니다.

 

이번 블랙햇 행사에서 싱귤라 측이 발표한 내용은 MS의 이러한 주장을 정확히 반박했다고 합니다. 사용자 모드의 콜백 메커니즘을 사용하여 커널 층위의 공격을 성공시켰기 때문이라고 합니다.😀

 

특히 MS가 Windows라는 플랫폼을 안전하게 만들고자 노력하던 와중에 이러한 취약점들이 탄생했다는 것을 기억해야 한다고 합니다.

 

원래 Windows에서 프린터 드라이버 모드들은 Windows 커널에서 로딩됬었다고 합니다. 그러나 Windows Vista부터 MS는 프린트 드라이버가 사용자 모드에서 사용될 수 있도록 만들었다고 합니다. 이는 같은 취약점이 발견된다고 해도 사용자 모드에서 발견되는 편이 커널에서 발견되는 것보다 안전하기 때문이라고 합니다.

 

이러한 과정은 안전 조치를 취하다 또 다른 공격 통로를 창조한 아이러니한 상황이라고 하네요.😁

 

 

 

2. 파이어아이 해킹 사건

 

보안 업체 파이어아이(FireEye)는 "국가 지원 해커들로 보이는 자들이 침투해 레드팀 도구들을 침해했다"라고 발표했다고 합니다.😮

 

이는 상당히 창피할 수 있는 일이지만 문제의 도구를 탐지할 수 있는 도구를 깃허브에 빠르고 투명하게 공개하여 오히려 칭찬 받고 있는 상황이라고 합니다.

 

파이어아이는 공격자의 정체에 대해 언급하지 않았지만 몇몇 매체는 러시아의 코지 베어(Cozy Bear)를 유력한 공격자로 지목하고 있다고 합니다.

 

파이어아이의 CEO인 케빈 맨디아(Kevin Mandia)는 공격자들의 목표는 파이어아이의 고객인 정부 기관들 중 일부라고 발표했다고 합니다.

 

하지만 특정 기관들에만 영향을 주는 건 아니라고 합니다. 위에서 언급한 대로 파이어아이의 해킹 도구들이 탈취당했으며, 이 도구들은 모의 해킹 때 사용되고 각종 보안 솔루션들을 우회하게 해주는 기능을 가지고 있어 해킹 공격에 유용하기 때문이라고 합니다.🤨

 

또한 APT단체들이 즐겨 사용하는 도구들은 시간이 지나면 일반 해커들에게 전파되는 것이 보통이기 때문에 파이어아이의 도구가 얼마 지나서부터는 해킹 공격의 난이도를 크게 낮추는 역할을 할 수 있다고 합니다.

 

게다가 해커들이 이 도구를 사용하게 되면 파이어아이의 활동이라고 착각할 수도 있다고 합니다.

 

또한 공격자들이 처음부터 이 해킹 도구를 노리고 침투했을 가능성은 높지않을 것이며 공격자들이 생각지도 못한 성과를 운 좋게 올린 것이라고 보고 있다는 의견도 나오고 있다고 합니다.

 

또한 이번 공격을 성공시키기위해 공격자들은 기존 공격 인프라나 기법을 재활용한게 아닌 파이어만을 위한 인프라를 구성하고 새로운 기법을 선보였을 것입니다. 러시아 해커들이 이런 치밀함과 꼼꼼함을 발휘하는건 어제오늘이 아니라고도 했다고 합니다.😮

 

아직까지 파이어아이가 공격 기술과 기법의 세부 사항은 공개하고 있지 않아 지켴봐야할 일이 남아 있다고 합니다. 이에 해당 도구의 개발사로서, 그 도구를 활용한 공격을 어떻게 방어하고 위험을 완화할 수 있을지도 상세히 공개했으면 좋겠다는 말도 나오고 있습니다.

 

사건이 터지고 아직 파이어아이는 "더 공개할 정보가 없다"고 합니다. 현재 파이어아이는 FBI와 MS와 함께 이 수사를 공동으로 진행하고 있다고 합니다.😀

 

파이어아이의 대변인은 "수사에 그 어떤 방해가 되면 안되므로 지금 당장 정보를 공개하지 못함을 양해해 달라"라고 언급했다고 합니다.

 

보안 업체들 중 해킹 공격을 당한건 파이어아이만이 아니라고 합니다. 지난 10년 동안 VMware, 카스퍼스키, 맥아피, RSA, 시만텍이 침해된 경험을 가지고 있다고 합니다. 이에 보안 전문가인 알페로비치는 "보안 업체들로서는 이런 사건이 더 치명적일 수 밖에 없다. 자사 보호를 1순위로 생각하고, 그 다음 고객의 보호를 생각하는 것이 맞다"라고 강조했다고 합니다.😁

 

 

 

3. 코로나 추적 앱 40%가 민감 정보 노출?

 

현재 출시된 확지자 혹은 접촉자 추적 앱들 중 애플과 구글의 노출 알림 프로토콜을 사용하지 않는 것들을 사용할 경우 사용자의 민감한 정보가 외부로 유출될 가능성이 있는 것으로 조사되었다고 합니다.😮

 

앱 보안 전문 업체인 가드스퀘어(GuardSquare)는 이번 조사릉 위해 95개(Android 52개, IOS 43개)의 코로나 접촉자 추적 앱을 분석했다고 합니다.

 

그 결과 40%가 애플과 구글의 프로토콜을 사용하지 않는다는 것이 나타났다고 합니다. 이를 사용하지 않는 40%의 앱들은 GPS 데이터나 블루투스와 같은 기술을 사용해 사용자를 추적하는 것으로 분석되었다고 합니다.

 

주로 국가에서 주도해 만든 앱들이기 때문에 이름을 대는 순간 국가적 불명예가 씌여지므로 앱들을 명확히 밝히지는 않았다고 합니다.

 

물론 확진자 및 접촉자 추적을 앱으로 한다는 것이 코로나 초기만큼 많은 관심을 끌거나 자주 사용되지는 않고 있다고 합니다.

 

하지만 기후변화 등으로 인해 재난 사태가 계속해서 벌어진다면, 이런 추적 앱은 다시 사용될 것이고 지금부터 점검을 통해 안전한 기술을 완성시키는 것이 현명하다고 가드스퀘어가 주장했다고 합니다.😀

 

이번 조사에서 애플과 구글이 발표한 노출 알림 프로토콜의 공식 API를 활용하는 것으로 분석된 앱은 57개(Android 32개, IOS 25개)로 밝혀졌다고 합니다.

 

이 API를 사용할 경우 접촉자를 추적해도 사용자의 데이터는 노출되지 않으며, 따라서 이를 통해 누군가를 추적하는 건 프라이버시나 보안 문제를 일으키지 않는다고 합니다.😀

 

물론 이 두가지 프로토콜을 사용하지 않고도 안전하게 접촉자를 추적하는 방법이 없는건 아니라고 합니다. 하지만 언급된 40%의 앱들 중 강력한 보안 장치를 복합적으로 사용하고 있는건 단 5%에 불과했다고 합니다.😮

 

이에 이런 앱을 계획하는 국가 부서에서 국민의 프라이버시 보호라는 부분을 잊지 말고 일을 진행해야 한다. 그냥 외부 업체에 주문을 던져 넣고 기능만 확인해서는 안된다라는 주장이 나왔다고 합니다.

 

또한, 프라이버시를 보호한다는 것이 단순히 국민의 사생활을 보호한다거나, 정부에 대한 신뢰를 두텁게 만드는 것 이상의 것이며, 보건과 직결된 개념이 되었다라고 지적했다고 합니다.😀

 

 

 

4. 총 30만건 카드정보 공개한 CLOP 랜섬웨어

 

이랜드그룹을 대상으로 이중 협박 전략을 취하고 있는 CLOP 랜섬웨어 해커조직이 3차례 걸쳐 총 30만건의 카드정보를 다크웹에 공개했으며, 금융당국 및 카드사의 대응도 조금씩 속도를 내고 있다고 합니다.😀

 

CLOP 랜섬웨어는 이랜드그룹으로부터 탈취한 고객 카드정보를 3번(3일, 10일 ,11일)에 걸쳐 총 30만건의 카드정보를 모두 다크웹을 통해 다운로드 받을 수 있도록 했다고 합니다.

 

카드정보를 다운받기 위해 링크를 클릭하면 '502 Bad Gateway'가 뜨는데, 이는 주로 접속자 폭주로 인한 서버 과부하 상태를 설명하는 에러 메시지로 다운로드 받고자 하는 사람이 너무 많다는 의미일 수도 있다는 보안전문가들의 견해가 나왔다고 합니다.🤨

 

이에 금융당국과 카드사의 대응 움직임도 가시화되고 있으며, 1차로 유출된 10만개의 카드정보를 검증한 결과, 카드번호와 유효기간 등이 포함되어 있으나 온라인 결제를 위한 CVV(CVC) 정보, 비밀번호 등은 공개되지 않았다고 합니다.

 

이는 오프라인 가맹점 카드결제 시 IC카드 단말기 이용이 의무화되어 해당 정보만으로 부정사용은 곤란할 것으로 보인다고 설명했다고 합니다.

 

또한, 10만 여건의 카드정보 중 사용불가 카드를 제외한 유효카드 정보는 약 3.6만건(36%)이며, 과거 불법유통 등이 확인된 23,000여 건의 카드정보를 제외하면 출처를 알 수 없는 카드정보는 약 13,000여 건에 이른다고 발표했다고 합니다.

 

이에 23,000여 건의 카드정보에 대해서는 모든 유효카드에 대해 부정사용감시시스템(FDS)를 통한 밀착 감시와 함께 교체 안내를 완료했으며, 13,000여 건에 대해서는 FDS를 통한 감시 및 차단 과정을 거쳐 고객들에 대한 조치를 취할 방침이라고 합니다.😀

 

그리고 FDS 등을 통한 분석 결과 12월 9일까지 유효카드에서 발생한 부정사용 거래는 없는 것으로 확인되었다고 합니다.

 

그럼에도 해당 카드정보가 NC 백화점, 킴스클럽, 뉴코아아울렛을 비롯한 수많은 매장을 보유한 이랜드그룹 이용고객들로부터 빼낸 카드정보가 얼마나 포함되어 있는지 아직 정확하게 밝혀지지 않아 이랜드그룹 고객들의 불안감을 완전히 잠재우기는 미흡한 상황이라고 합니다.😓

 

또한 다크웹에 공개된 30만 건 중 10만건에 대해 검증이 완료된 만큼 나머지 20만 건에 대한 검증도 신속하게 진행되어야 한다는 지적이 나오고 있다고 합니다.😀

 

 

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=93322&page=2&mkind=1&kind=1

오래된 윈도 커널 요소 취약점의 익스플로잇 등장

www.boannews.com/media/view.asp?idx=93347&page=1&mkind=1&kind=1

파이어아이 해킹 사건, 전말 드러나지 않아도 이미 심각하다

www.boannews.com/media/view.asp?idx=93351&page=1&mkind=1&kind=1

코로나 추적 앱 100여 개 분석했더니 40%가 민감 정보 노출

www.boannews.com/media/view.asp?idx=93365&page=1&mkind=1&kind=1

총 30만건 카드정보 공개한 클롭 랜섬웨어 조직... 금융당국 대응도 빨라지나