1. 교육기관 특화한 가명정보 처리 가이드라인 공개

교육부와 개인정보보호위원회(개보위)가 개인정보보호법 개정안 시행에 따른 '교육분야 가명·익명정보 처리 가이드라인'을 공개했다고 합니다.😀

이는 교육 분야의 특성을 반영해 안전한 가명정보 처리와 활용을 위해 제작했다고 하네요!

가이드라인 세부 내용에 대해 개인정보보호 현장지원단, 대학, 법조계 등 전문가와 협조하고, 대국민 의견 수렴을 진행했다고 합니다.😁

개인정보처리자가 가명정보 처리과정 전반에서 갖춰야 할 단계별 산출물과 관리대장의 기록, 관리 등을 제시하고 가명·익명정보의 안전한 관리 및 사후관리 체계를 마련하여 정보 주체의 권익을 보호하도록 했다고 합니다. 또한, 가명처리뿐만 아니라 익명처리를 위한 기준과 익명정보 사후관리 방안도 제시했다고 합니다.😀

개인정보처리자는 개보위가 기존에 안내했던 '가명정보 처리 가이드라인'을 기본적으로 준수하되, 교육행정 기관, 학교 및 교육부장관의 지도 감독을 받는 공공기관 및 단체 등은 교육 분야 가이드라인을 우선 적용한다고 합니다.

가명처리 후 처리결과 및 재식별 가능성에 대해 별도의 위원회를 통해 적정성 검토를 거치도록 권장하고 다른 분야의 데이터를 제공할 경우 위원 중 반드시 외부전문가를 포함하도록 했다고 합니다.

사후관리를 위해 가명·익명 정보 제공에 대한 대장을 기록·관리하고 활용에 따른 재식별 가능 여부 등에 대한 정기 점검을 해야 한다고 합니다.

가명정보를 제3자에게 제공하는 경우, 가명정보에 대한 보호대책을 계약서에 포함해야 한다고 합니다. 또한, 소규모 단위 또는 전문인력 부재 등으로 가명정보 처리가 어려운기관을 지원한다고 합니다. 이를 위해 상급기관이나 한국교육학술정보원의 교육분야 개인정보보호 전문기관을 통해 지원받을 수 있도록 했다고 하네요.😁

2. 공공 '서비스형 데스크톱(DaaS) 보안인증 체계' 확정

과학기술정통부(과기부)와 한국인터넷진흥원(KISA)은 클라우드 보안인증제 대상 분야에 '서비스형 데스크톱(DaaS, Decktop as a Service)'을 추가하고 보안인증체계를 확정, 심사인증에 적용한다고 합니다.😀

클라우드 보안인증제란, 공공기관에 클라우드 서비스를 제공하고자 하는 민간 사업자가 자사 클라우드 서비스에 대한 보안인증을 요청하면 KISA가 평가 및 인증하는 제도라고 합니다!!

DaaS는 클라우드 방식으로 빌려 쓰는 시스템이라고 합니다. 정부에서 보안인증 받은 DaaS가 도입되면 인터넷전용 PC를 따로 둘 필요가 없으며, 안전한 인터넷용 가상PC를 사용할 수 있다고 합니다.😀

이에 과기부는 DaaS가 공공기관에 원활히 도입될 수 있도록 DaaS 분야 클라우드서비스 보안인증 체계를 국가정보원과 사전협의했으며, 기업 의견수렴을 거쳐서 마련했다고 합니다.

DaaS 인증항목은 110개로, 기본적으로 laaS인증 기준과 유사하다고 합니다. 하지만 DaaS 특화 항목이 추가된다고 하네요.😀

기존 laaS 보안인증을 획득한 사업자는 추가 사항만 별도로 인증을 획득하면 되기에 빠른 시간내에 DaaS 인증을 획득할 수 있다고 합니다.😁

3. 다크웹에서 기업 고위경영자 계정 판매

블랙마켓에 수백명의 기업 CEO와 CFO 이메일 계정과 액세스 권한을 판매하고 있는 것으로 조사되었다고 합니다.😮

사이버 범죄자들은 기업 고위경영진들의 계정을 100$ ~ 1,500$까지 받고 판매하고 있다고 합니다.

지난 미국 범무부는 Fxmsp라는 해커가 전 세계 300개 이상 조직을 해킹하고 네트워크에 대한 액세스 권한을 판매하여 기소한 적이 있다고 합니다.

네트워크에 대한 액세스 권한을 얻게 되면 맬웨어나 트로이목마를 배포해 계정을 수집하고 시스템에 지속적으로 접근할 수 있는 토대를 구축하게 된다고 합니다!

Fxmsp는 지난해 특정 보안 회사의 네트워크에 침투하여 장기 액세스 권한을 획득한 것으로 확인되었다고 하네요🤨

4. 산업제어시스템에 사용되는 실시간 자동화 장치 보안취약점 발견

보안 기업 Claroty 보안 연구원은 원격 공격자가 산업제어시스템(ICS-SCADA)을 해킹하기 위해 악용할 수 있는 실시간 자동화(RTA) 499ES EtherNet / IP (ENIP) 스택의 중대한 결함을 발견했다고 합니다.😀

이 결함은 CVE-2020-25159로 CVSS에 의해 심각도 9.8점으로 평가되었다고 합니다!

2.28 이전에 출시된 모든 버전의 EtherNet / IP 어댑터 소스 코드 스택에 영향을 미친다고 하네요.😀

이 취약점으로 DoS가 발생할 수 있으며 다른 조건에 따라 이전 버전의 프로토콜을 실행하는 장치가 원격 코드 실행에 노출될 수 있어 위험하다고 합니다.

RTA의 ENIP 스택은 산업 자동화 시스템에서 널리 사용되고 있다고 하네요!

오라인에 노출된 시스템만 8,000개 이상이며, 한국에서도 해당 취약점을 해결하기 위해 ENIP 스택의 최신 버전으로 업데이트해야 한다고 합니다😀

출처

1. www.boannews.com/media/view.asp?idx=92932&page=2&mkind=1&kind=2

2. www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29714&key=&dir_group_dist=&dir_code=&searchDate=

3. www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29724&key=&dir_group_dist=&dir_code=&searchDate=

4. www.dailysecu.com/news/articleView.html?idxno=117664

1. 지포스 RTX 3080 판매 피싱 사이트 주의

최근 품귀현상을 일으키는 '엔비디아 지포스 RTX 3080 그래픽카드'의 판매 페이지로 위장한 피싱 사이트를 발견했다고 합니다.😀

공격자는 먼저 해당 그래픽 카드 판매로 위장한 피싱 사이트를 제작하여 URL을 유표했다고 합니다.

유명 컴퓨터 용품 온라인몰을 사칭하여 정상 페이지와 비교해볼 때 매우 유사하게 제작되었으며 URL도 정상 URL의 일부만 변조했기 때문에 가짜임을 알아채기 힘들다고 합니다.

현재 정상 판매 페이지 상에는 해당 상품이 '품절'처리 되어 구매 불가능하다고 합니다.😀

피싱 사이트에서 구매하기를 누르면 가짜 로그인 페이지로 이동하게 됩니다. 하지만 계정 정보를 입력해도 '회원정보를 찾을 수 없습니다'라는 메시지가 나타나며 비회원 주문을 유도한다고 합니다.

그리고 비회원 주문을 누르게 되면 주문서 작성 및 결제 페이지로 이동하게 됩니다. 무통장 입금 결제만 가능하도록 제작되었으며 공격자는 특정 계좌번호를 안내해 거래대금 입금을 유도한다고 하네요.😀

그리고 회원 로그인 시도 시 입력한 계정 정보와 배송을 위한 사용자 이름, 연락처 등의 개인정보도 공격자에게 전송된다고 합니다.🤨

2. 게임분야 글로벌 광고 해킹 행위 급증

최근 1년간 광고 해킹이 전 세계적으로 모든 산업군에 걸쳐 증가하고 있으며, 사람의 활동을 모방하는 사례도 증가했다고 합니다.😮

조사 결과, 해커들은 광고에 따른 유료 앱 설치 숫자를 임의로 증가시킬 뿐만 아니라 불법 조작을 감추기 위해 다른 마케팅 활동과 연관 없이 자연 증가한(오가닉) 앱 유입 수와 앱 설치 수도 변조하고 있었다고 합니다. 약 2억건의 앱 설치 거부 건 중 3분의 2가 자발적인 설치(오가닉 설치)였으며, 나머지 3분의 1만 광고로 유발된 설치였다고 합니다.

겉으로 보이게 직접적인 금전 손해는 없지만, 허위 축소된 오가닉 앱 설치 건수는 데이터 무결성을 훼손하고 마케팅 활동에 대한 경험 축적을 방해한다고 합니다.

결과적으로 광고 해킹이 만연하고 데이터 정확성이 떨어지는 추세가 지속되면 기업은 가시적인 판단을 하기 어렵다고 합니다.😔

게임 분야를  예를 들어 2019년 8월부터 1년 동안 전 세계적으로 해킹 비율이 172.95%가 증가했다고 합니다.

광고 해킹은 전 세계적인 문제로 해커들은 모든 시장에서 활발히 활동하고 있다고 합니다.

모바일 광고 생태계에서 가장 많이 사용되는 해킹 방법(가짜 사용자나 봇 사용)을 조사하여 다음과 같은 결과가 나왔다고 합니다.😀

- 글로벌 평균 : 54.6%

- 한국 : 84.9%

- 미국 : 68.7%

- 중국 : 65.6%

- 일본 : 60.7%

업종별 분석 결과(가짜 사용자나 봇 사용)는 다음과 같습니다.

- 게임 : 64.6%

- 전자상거래 : 36.6%

- 엔터테인먼트 : 32.4%

- 기업 : 24.1%

- 식음료 : 16.9%

3. 안전한 가명정보 활용을 위한 기술지원허브 운영

개인정보보호위원회(개보위)와 한국인터넷진흥원(KISA)이 올해 시행된 개인정보보호법 개정안이 안착하고, 안전한 가명정보 처리를 지원하기 위해 '가명정보 기술지원 허브' 서비스를 공동으로 제공한다고 합니다.

기술지원허브는 가명정보 제도에 대한 국민의식을 높이고, 가명·익명 처리에 실질적 어려움을 느끼는 중소기업 및 스타트업 등을 지원할 계획이라고 합니다.😀

먼저 가명정보 제도 및 가명처리, 결합 관련 문의 증가에 따라 118 상담센터 및 개보위·KISA 담당부서를 통한 단계별 안내·상담과 Q&A 게시판을 통한 온라인 지원을 제공한다고 합니다.😀

교육은 가명정보 활용에 대한 이해가 필요한 국민, 기업, 기관을 대상으로 난이도별 기초교육을 제공한다고 합니다. 그리고 안전한 가명정보 처리를 위한 계획 수립, 기술지원 등 컨설팅 서비스도 함께 제공한다고 합니다!😁

테스트베드에서는 가명처리 실습을 위한 샘플 데이터셋을 바탕으로, 국제적으로 통용되는 비식별 처리기술과 가명정보 결합키 생성 기술을 습득할 수 있다고 하네요!

가명정보 결합 종합지원시스템은 서로 다른 개인정보처리자의 가명정보처리자의 가명정보에 대한 결합을 지원하는 시스템으로, 결합싱청시스템, 결합키연계정보 생성시스템으로 이루어져 있다고 합니다.

가명정보를 결합하려는 경우 사전협의, 필요서류 구비 등 준비를 마친 후 가명정보 결합 종합지원시스템을 통해 결합을 신청하면 된다고 합니다.😀

이 서비스는 2020년 11월 20일부터 개인정보보호 종합포털 홈페이지를 통해 신청할 수 있다고 하네요😁

4. 시스코 화상회의 WebEx 사용시 주의

시스코 WebEx 화상 회의 프로그램 취약점으로 다른 참가자들에게 보이지 않게 '고스트' 참가자로 잠입할 수 있다고 합니다.😮

이 취약점은 IBM의 보안 연구원들이 발견하였으며 공격자가 3개 취약점을 활용할 경우 다양한 공격이 가능하다고 언급했답니다.

- 참가자 리스트에는 보이지 않지만 음성, 영상, 책, 화면 공유 모두 접근 가능

- WebEx 회의에서 추방당한 경우에도 음성 들을 수 있음

- 성명, 이메일 주소, IP 주소를 포함한 회의 참가자에 대한 정보 수집 가능

IBM 연구원들은 이 취약점이 새로운 WebEx 회의가 설정될 때 발생하는 핸드셰이크 프로세스에 존재한다고 밝혔다고 합니다.😀

해당 취약점에 대한 내용은 기사 원문에 첨부된 영상을 보면 자세히 나와있다고 하니 궁금하신분들은 들어가서 시청하시면 되겠습니다!!😁

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29696&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=92739&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=92744&page=1&mkind=1&kind=

www.dailysecu.com/news/articleView.html?idxno=116810

1. 기업들 IT 환경 복잡성 증가로 랜섬웨워 공격 위협 증가

전 세계 엔터프라이즈 데이터 보호 및 가용성 분야의 글로벌 기업 베리타스코리아는 복잡한 하이브리드 멀티 클라우드 환경에서 기업들이 직면하고 있는 랜섬웨어 리스크 조사 결과를 발표했다고 합니다..😀

베리타스는 올해 9월 랜섬웨어 공격에 대한 기업의 대비 및 레질리언스 수준 파악을 위해 전 세계 2,690명의 IT 의사결정자들을 대상으로 "2020 Ransomware Resiliency Report"를 실시했다고 합니다.

조사 결과로 글로벌 응답 기업의 64%가 자사의 데이터 보호 인프라에 대한 IT 복잡성을 따라가지 못하고 있다고 합니다. 이는 점점 복잡해져가는 환경에 랜섬웨어 공격 대응 체계는 미흡한 상황을 보여준다고 하네요.😓

(1) 멀티 클라우드 사용으로 더 복잡해지는 IT 인프라

전 세계적으로 기업들은 평균 11.73개의 클라우드 서비스 제공 업체를 사용하고 있는 것으로 나타났다고 합니다.

- 5개 ~ 20개 사이의 클라우드 서비스 사용(45%)

- 20개 이상의 클라우드 서비스 사용(16%)

국내의 경우, 응답 기업 37%가 5개의 이상의 클라우드 서비스를 사용하고 있는 것으로 나타났으며, 응답 기업의 40%는 온프레미스, 프라이빗, 퍼블릭을 균등하게 복합적으로 사용하는 것으로 나타났다고 합니다.😮

(2) 멀티 클라우드 사용 및 IT 환경 복잡성으로 랜섬웨어 리스크 증대

일반적으로 기업들은 랜섬웨어에 감염되면, 해커에게 금액을 지불하고 정보 반환을 요청한다고 합니다. 앞서 조사에 따르면 멀티 클라우드 인프라가 더 복잡한 기업일수록 이러한 비용을 지불할 가능성이 더 높은 것으로 나타났다고 합니다.😀

랜섬웨어에 당했던 국내 기업들의 경우 클라우드 서비스 이용 수는 다음과 같다고 합니다.

- 전액 지불한 기업들의 평균 클라우드 수 : 12.36 개

- 일부 비용만 지불한 기업들의 평균 클라우드 수 : 7.12 개

- 비용을 지불하지 않은 기업들의 평균 클라우드 수 : 4.83 개

랜섬웨어 공격으로 전액지불한 그룹을 클라우드 서비스 사용 개수를 기준으로 보면 다음과 같다고 합니다.

- 5개 미만 클라우드 서비스를 사용하는 국내 기업 : 33%

- 20개 이상 클라우드를 사용하는 기업 : 86%

또한 비용 지불 유무로 확인해보면 다음과 같이 나왔다고 합니다.

- 5개 미만 클라우드 서비스를 사용하는 국내 기업들 중 랜섬웨어 공격을 당한 뒤 비용 지불하지 않음(44%)

- 20개 이상의 클라우드를 사용하고 있는 국내 기업들은 전액 또는 일부 비용을 지불

(3) 복잡한 IT 환경일수록, 랜섬웨어 레질리언스 저하

클라우드 아키텍처의 복잡성은 랜섬웨어 공격 후 기업의 회복 능력에도 상당한 영향을 미쳤다고 합니다.😀

다음은 24시간 안에 랜섬웨어 복구한 경우입니다.

- 5개 미만 클라우드 서비스를 사용하는 기업 : 43%

- 20개 이상 클라우드 서비스를 사용하는 기업 : 18%

이에 반면 국내에서는 응답 기업의 25%가 랜섬웨어 공격으로 인해 1달 이상 비지니스 운영에 어려움을 겪었다고 합니다..😣

(4) 기업들 IT 환경의 복잡성 증가로 랜섬웨어 공격 위협 우려

많은 기업들이 자사의 데이터 보호 인프라의 문제의 심각성을 인지하고 있는 것으로 나타났으며, 전체 응답자의 36%만이 자사 데이터 보호 인프라가 IT 복잡성에 맞춰 잘 구축되고 있다고 합니다.😀

또한, 응답자들은 IT 환경의 복잡성으로 인해 가장 우려되는 것은 랜섬웨어 공격과 같은 외부 위협을 꼽았다고 합니다.(37%)

실제 기업 IT 인프라의 혁신 속도와 IT 복잡성을 따라 가지 못하고 격차가 계속 커질 경우, 랜섬웨어 공격, 다운타임 등의 영향을 받을 수 있다고 합니다. 국내 응답 기업의 경우, 응답자의 61%가 IT 복잡성에 따른 보안 위협에서 조직의 보안이 떨어진다고 답했다고 합니다.😮

2. 최근 랜섬웨어 사례 및 대응방안

최근 KISA 침해사고분석단 사고분석팀이 '최근 기업 대상 랜섬웨어 사고사례 및 대응방안' 보고서를 발표했다고 합니다.😀

(1) 윈도우 서버 대상 비트라커(BitLocker) 랜섬웨어 사고 사례

최근 윈도우 서버를 대상으로 한 랜섬웨어의 양상이 진화했다고 합니다. 기존에는 서버에 침투하여 관리자 권한을 획득한 후 랜섬웨어 파일을 실행시켜 암호화 후 복구를 대가로 금전을 요구했다고 합니다.

하지만 최근 공격자들은 백신 및 랜섬웨어 대응솔루션을 우회하기 위해 랜섬웨어 파일을 직접 실행하는 것보다 운영체제에 기본적으로 내장된 디스크 암호화 기능인 비트라커를 이용하여 디스크를 암호화한 후 복구를 대가로 금전을 요구하는 사례가 증가하고 있다고 합니다.

이에 보고서에는 취약점 보완, 모니터링 등을 통해 피해를 입지 않도록 미리 예방할 것을 강조했다고 합니다.😀

(2) 리눅스 대상 고너크라이(GonnaCry) 랜섬웨어 사고 사례

최근 호스팅사를 대상으로 하는 랜섬웨어 해킹사고가 발생했다고 합니다. 웹호스팅사에서 랜섬웨어 침해사고가 발생하는 이유는 크게 두가지라고 합니다.

- 첫째, 단일 웹 서버에 비해 공격 포인트가 많다.

- 둘째, 서버 서비스의 최신 보안업데이트를 적용하기 어렵다.

위 두 사례 모두 인터넷에 공개된 웹서버의 취약점이 출발점이라고 합니다. 이후 각 단계마다 공격자의 추가 침투를 막을 수 있으나, 적절히 대응이 되지 않아 큰 피해가 발생했다고 합니다.😶

랜섬웨어는 공격이 통하지 않도록 예방하는 것이 최선이지만, 만약 공격을 당하더라도 빠르게 복구 및 정상화할 수 있도록 주기적으로 오프라인 백업을 해두는 것이 차선책이라고 합니다.

또한, 공격의 대상이 되는 것을 피하기 위해 외부에서 기업 네트워크로 들어올 수 있는 경우의 수를 최소화하고 잠그는 것이 중요하다고 합니다. 이를 위해 원격 접근 권한을 최소한으로 하고 비정상 접근에 대해 상시 모니터링 해야한다고 합니다.😀

하지만 웹서버와 같이 반드시 외부에 열려 있어야 하는 시스템의 경우 외부 접근을 막을 수 없기 때문에 내부 서버간의 접근 제한이 필요하다고 합니다.

랜섬웨어에 대비하기 위해 보고서를 한번 읽어보는 것도 좋을 것 같네요!😁

KISA, 최근 기업 대상 랜섬웨어 사고사례 및 대응방안 보고서↓

www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=35798

3. 금융보안원이 발간한 금융회사 재택근무 보안 안내서

2021년 1월 1일부터 '전자금융감독규정 시행세칙' 개정안이 시행됨에 따라 금융회사 임직원이 외부에서도 회사 내부망에 원격에서 접근할 수 있게 되었으며, 정보보호 통제사항을 강화한다고 합니다.😀

금융보안원은 이러한 개정안 시행에 대비해 금융권이 재택근무 시 준수해야 할 사항을 쉽게 설명한 '금융회사 재택근무 보안 안내서'를 발간했다고 합니다.😁

해당 안내서는 재택근무 시 보안 고려사항을 여러가지로 구분하고 이를 '의무 사항'과 '권고 사항'으로 나누어 제시한다고 합니다.😀

재택근무자가 사용하는 외부 단말기는 백신프로그램을 설치, 윈도우7 등 기술지원이 종료된 운영체제 사용 금지하며, PC가 아닌 모바일 기기 사용 시 추가적인 보안대책 역시 필요하다고 합니다.

외부 단말기를 VDI(가상 데스크톱)나 원격 제어 방식이 아닌, 내부망에 직접 연결하는 경우 외부 저장장치 사용을 금지하며, 단말기 분실에 대비한 보호조치를 적용해 업무 자료 유출위협에 대비해야 한다고 합니다.😀

통신회선의 경우 외부 단말기의 내부망 접속 시 가상사설망(VPN)을 사용하고, 누구나 접속할 수 있는 개방형 통신회선 사용을 제한한다고 합니다.

또한, 접속 가능한 IP 주소 등은 최소한으로 제한하고, 비인가자 접속을 방지하기 위해 2차인증(멀티팩터 인증)을 적용해야 한다고 하네요😁

출처

www.dailysecu.com/news/articleView.html?idxno=116713

www.dailysecu.com/news/articleView.html?idxno=116752

www.boannews.com/media/view.asp?idx=92705&page=1&kind=2

1. 보안사고 대응전략, 피해감소에 집중

최근 대형 침해사고로 이어지는 공격들은 특정 타깃을 오랜 기간 관찰해 정보를 획득하고, 스피어 피싱과 같은 타깃형 공격을 이용해 내부 네트워크로 침투하는 전략이 주로 사용된다고 합니다.😀

타깃형 공격에 대응하기 위해 공격 타깃의 업무특성 및 보유자산으로 인한 피해 분석과 추가 발생 가능한 공격에 대한 예측이 필요하다고 합니다.

따라서 자사의 위협 노출에 대해 구체적으로 문제점을 파악하고 관리적기술적 대응방안을 마련해야 하며, 이를 위해 공격 타깃과 공격 기법에 따른 기존 사고 사례 분석이 수반되어야 한다고 합니다.😁

최근 TTPs(Tactics, Techniques, Procedures) 단위로 공격자 혹은 공격그룹을 프로파일링하는 트렌드가 유행하고 있는데, 이는 IoCs(Indicators of Compromise) 단위의 단발성 대응이 아닌 TTPs 분석을 통해 지속적으로 공격을 대응할 수 있기 때문이라고 합니다.

하지만 공격자 관점의 분석과는 다른 관점인 방어자 관점에서 피해 발생 가능한 유형을 구분하고, 방어 전략을 마련할 수 있는 연구는 미진한 실정이라고 하네요.🤨

이러한 문제를 해결하기 위해 KISA 침해대응센터는 방어자가 구체적인 방어 전략을 수립할 수 있도록 공격 타깃별 발생 가능한 침해사고 시나리오 분석과 공격도구가 어떠한 기능을  사용하는지 소개하는 "스피어피싱 공격 타깃별 피해 시나리오 분석(악성행위에 사용되는 도구를 중심으로" 기술보고서를 업데이트했다고 합니다.😁

보고서는 타깃이 보유하고 있는 자산으로 인해 기업에게 미치는 피해를 분석하고, 최종적으로 감염된 악성코드가 어떻게 동작하는지 설명하고 있다고  합니다.

이를 위해 침해사고에서 보편적으로 이용되는 악성코드가 어떤 기능을 갖고 있으며, 쉽게 이용가능한지 소개하고 있다고 합니다.

또한, 시나리오를 구현 및 검증함으로써, 제안하는 시나리오가 실제로 발생할 수 있는 현실이고 자사에 발생할 수 있는 실질적 위협임을 인식토록하는 것이 목적이라고 합니다.😀

보고서를 한번 읽어보고 공부해보는 것이 좋을 것 같다는 생각이 드네요!😁

2. 온라인 데이팅 서비스 범블, 1억 명 사용자 정보 노출

온라인 데이팅 서비스 범블(Bumble)에서 사용자의 민감 정보가 대량으로 유출되었다고 합니다.😮

이번 사건은 API 취약점들에 기인했다고 합니다. 이를 발견한 보안전문가인 산자나 사르다는 이 API 취약점들을 익스플로잇하여 범블의 유료 서비스를 공짜로 이용하고 다른 사용자의 개인정보에도 접근했다고 합니다.

사르다는 "이 취약점은 무척 찾기 쉽다. 서비스 개설자 입장에서 좀 더 꼼꼼하게 기본 확인 사항만 검사했어도 없을 문제이다. 취약점을 처음 발견하는데 걸린 시간은 딱 이틀이었습니다. 그리고 다시 이틀만에 개념증명용 익스플로잇을 개발했습니다. API 취약점은 널리 알려지지 않았지만 현재 IT 인프라에서 API는 꽤나 위험할 수 있는 요소입니다." 라고 언급했다고 합니다.

사르다는 범블 API에 대한 리버스 엔지니어링을 했다고 합니다. 이를 통해 서버가 확인하지 않은 행동들을 처리하는 엔드포인트가 존재하고 있음을 알아냈다고 합니다. 유료 서비스 이용자들에게 제한된 서비스를 이용할 방법이 존재한다는 의미이며, 확인해 보니 일부 유료 사용자들처럼 '상대에게 관심이 있다'는 표현을 무료 사용자도 무한정 사용할 수 있었다고 합니다.

이뿐만 아니라 server_get_user 엔드포인트에 접근해 범블 사용자 전체의 목록을 확인하는데도 성공했다고 합니다. 이를 통해 사용자들의 페이스북 데이터와 '소원' 데이터를 확보할 수 있었다고 합니다. 이를 통해 프로파일 정보, 성적 취향 등 민감 정보를 취득할 수 있다고 합니다.

사르다는 이 모든 내용을 범블 측에만 알렸다고 합니다. 하지만 225일이 지나도록 범블 측에서는 아무런 답장이 없었다고 합니다. 그래서 범블이 해커원을 통해 버그바운티를 진행하고 있다는 것을 알게되었고 사르다는 '공개'를 언급하고 나서야 답장을 받았다고 합니다. 그것도 해커원이 "범블 측은 취약점 공개를 원치 않는다"고 대신 보낸 서신 뿐이었다고 합니다.🤨

그 후 해커원이 앞장서서 범블의 취약점을 해결하고 위협 요소들을 완화시키려고 했다고 합니다. 하지만 아직 문제가 다 해결되지는 않았다고 합니다.

3. 2021년 사이버 보안 전망, '뉴 노멀' 노린 사이버공격 성행

2021년에도 코로나19로 인한 비대면 일상이 이어지면서 이를 위협하는 보안 공격이 증가할 것으로 예상되며, 기업은 선제적인 대응을 위해 보안 자동화 및 효율성 향상을 위한 보안 기술에 높은 관심을 가질 전망이라고 합니다.😀

디지서트(DigiCert)가 발표한 '2021년 사이버 보안 전망'을 알아보겠습니다.😁

(1) '뉴 노멀'이 공격 받을 것

2021년에는 개인과 기업 모두 코로나19 이후 나타난 새로운 일상(뉴 노멀)에 적응할 것으로 예상된다고 합니다. 뉴 노멀은 여행 증가, 사무실 근무 복귀를 가져올 것으로 보인다고 합니다. 뉴 노멀을 악용하려는 공격자는 알뜰여행 상품을 찾는 사람들을 표적으로 삼을 것이며, 주로 피싱 공격을 활용할 것으로 예상된다고 합니다.

또한, 근로자가 재택근무에서 사무실로 복귀하게되면 사무실 적응을 돕는다고 속인 악성 앱이 증가할 것으로 전망된다고 합니다. 가령 업무 집중에 도움이 되는 백색 소음 앱을 위장해 악성코드를 유표할 수 있다고 합니다. 또한, 사회공학적 공격 뿐만 아니라 재택 및 사무실 근무를 병행하는 근로자의 개인용 기기를 통해 기업으로까지 침투할 수 있다고 합니다.😀

(2) 보안 자동화 및 효율성 향상 솔루션이 확대될 것

2020년에는 기업이 적은 자원으로 더 많은 일을 할 수 있는 기술에 대한 관심이 높아지면서 자동화가 큰 역할을 담당할 것으로 예상된다고 합니다.

기업들이 이용하는 보안 벤더의 수를 줄이려고 하면서 보안 벤더 간의 통합이 일어날 것으로도 보인다고 합니다. 글로벌 시장선도 기술을 갖추고 현지 직원이 가능한 벤더가 높은 평가를 받게 될 것이며, 보안 업무 자동화에 집중하게 될 것으로 전망된다고 합니다.😀

더불어 보아 투자가 즉각적인 가치 제공에 초점이 맞춰지면서 양자 컴퓨팅은 발전을 계속할 것으로 보인다고 합니다.

(3) 5G는 PKI 배포를 가속화할 것

5G 지원 기기가 보편화되면서 2021년 5G로의 전환이 가속화되고, 클라우드 네이티브 보안 솔루션 도입도 가속화될 전망이라고 합니다. 이에 공개키 기반 구조(PKI)를 통한 본인인증이 늘어나고 최신 자동화 솔루션에 대한 수요도 증가할 것으로 보인다고 합니다.

(4) 비대면 활동 증가로 온라인 상에서의 보안이 더욱 중요해질 것

온라인을 통한 비대면 활동이 확대됨에 따라 개인 데이터에 대한 권한 및 제어에 대한 신원 확인과 사용자 책임이 중요해지면서 온라인 상에서의 보안과 연결 장치 내 보안 유지가 더욱 중요해질 것으로 보인다고 합니다.

(5) 원격의료 위한 데이터 보안 강화 더욱 중요해질 것

코로나19 발생 전 원격의료는 전체 진료의 작은 부분에 불과했다고 합니다. 하지만 지금은 원격의료를 시행중인 국가들은 원격의료의 범위나 수준을 확대하고 있다고 합니다. 원격의료를 활발히 도입중인 미국은 2020년 3월부터 연방 정부가 원격의료에 대한 미국 건강보험 정보 이전 및 책임에 관한 법(HIPAA)을 한시적으로 완화함에 따라 진료의 상당부분이 빠르게 원격의료 모델로 전환되었다고 합니다. 이렇게 의료 기록의 가치가 높아짐에 따라 점차 이를 이용하려는 공격의 표적이 될 것으로 전망된다고 합니다.😀

(6) 사회공학적 공격이 더욱 복잡해질 것

공격자들은 현재의 비대면 상황을 전례 없는 수준으로 이용하여 사회공학적 공격을 할것이라고 예상하고 있다고 합니다.

새해에 공격자들은 코로나19 무료 진단검사를 적극적으로 사이버 범죄에 이용할 것이라고 합니다. 이는 공격자들은 사회공학적 기법을 이용하여 무료 코로나 검사를 해주겠다며 먼저 자격 확인을 위한 소정의 비용을 청구하는 용도로 우편주소, 전화번호, 카드번호 등 사용자 정보를 요구해 탈취할 것으로 우려된다고 합니다.😀

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29693&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=92653&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=92654&page=1&mkind=1&kind=3

1. 크롬 최신 버전으로 위장한 악성 앱 주의!

최근 '크롬 웹브라우저 최신 버전'을 업데이트하라며 악성 앱 설치를 유도한 뒤 스마트폰내 정보 탈취를 시도하는 스미싱 사례가 발견되었다고 합니다.😀

공격자는 먼저 상품 배송과 관련된 내용 등 스미싱 문구의 단골 소재로 악성 앱 다운로드 URL이 담긴 스미싱 문자를 발송한다고 합니다.

사용자가 해당 문자메시지 내 URL을 실행하면 피싱 사이트에 연결되며, 위의 사진 처럼 팝업 메시지가 나타난다고 하네요.😀

해당 팝업 메시지의 '확인' 버튼을 클릭하면 'Chrome'이라는 파일명의 악성 설치파일(.apk)이 다운로드 된다고 합니다.

쉽게 속을 수 밖에 없는 이유는 정상 크롬 앱과 로고가 동일하여 가짜 파일인지 판별하기 어렵다고 하네요!

설치 이후 악성 앱은 사용자 스마트폰에서 문자, 주소록, SD카드, 계정정보, 휴대폰 고유식별정보 등 개인정보를 포함한 휴대폰 내 주요 정보를 공격자에게 모두 전송한다고 합니다.🤨

2. 러시아와 북한의 해킹 단체들 코로나 연구 기관을 공격

국가 지원을 받는 해킹 단체 세 곳이 현재 활발하게 코로나 바이러스 백신 및 치료법 개발 기업들을 공격하고 있다고 합니다.🤨

이 그룹은 러시아의 팬시비어(Fancy Bear)와 북한의 라자루스 그룹(Lazarus Group), 세륨(Cerium)이라고 합니다.

MS의 부회장인 톰버트는 최소 7개 코로나 관련 조직들이 사이버 공격에 노출되어 있다고 발표했으며, 공격이 발견된 나라는 캐나다, 프랑스, 인도, 한국, 미국으로 코로나 백신 연구와 개발을 위해 국가의 지원을 받는 곳이라고 밝혔습니다.

일부 공격은 "성공적"이라고 했지만 자세히 설명되지는 않았다고 합니다. 다만 공격 기법에 대해 다음과 같이 분류했다고 합니다.

- 팬시비어 : 비밀번호 스프레이 / 브르투포스를 통한 직원 계정 침해

- 라자루스 : 스피어피싱을 통한 크리덴셜 탈취

- 세륨 " 스피어피싱을 통한 크리덴셜 탈취

MS는 현재까지 피해 조직과 피해 규모, 공격과 관련된 상세한 내용은 밝히지 않았지만, 코로나 연구 성과를 노리는 사이버 공격도 공동으로 대응해야 한다고 강조했다고 합니다.😀

3. 유튜브 영상 다운받다가 랜섬웨어 감염될 수 있다

최근 유튜브 영상 고화질 다운로드로 위장한 피싱 사이트에서 '블루크랩 랜섬웨어'를 유포하는 사례가 발견되었다고 합니다.😮

이는 공격자가 취약한 웹서버를 탈취한 후, '유튜브 영상 고화질 다운로드'라는 키워드를 이용한 악성 게시글을 업로드했다고 합니다.

사용자가 이 피싱 사이트에 접속해 다운로드 링크를 클릭하면, 압축파일 형태 파일이 다운로드 된다고 합니다.

파일 압축 해제 후, 자바스크립트 형태(.js) 파일을 실행하면 관리자 권한을 요구하는 팝업창이 뜨며 '예'를 누를 경우 랜섬웨어에 감염된다고 합니다.

만일 '아니요'를 누르거나 PC를 재부팅한다고 해도 해당 팝업창이 지속적으로 나타나 사용자가 '예'를 클릭하도록 유도하낟고 합니다.🤨

이러한 랜섬웨어에 예방하기 위해선 보안수칙을 준수해야한다고 합니다.😀

4. 해커들이 좋아하는 API 공격 방법 4가지

(1) 코드 주입

공격자들은 멀쩡한 API를 자신들의 목적에 맞게 오염시키는 방법을 즐겨 사용한다고 합니다. 이를 위해 '코드 주입'이라는 기법을 활발히 사용한다고 합니다. 이것도 모르고 오염된 API를 사용하면, 해커들이 원하는 방향으로 기능하게 된다고 합니다.

API에 코드가 주입되었는지 확인하려면 여러 가지 '수동 점검'을 진행하는 것이 가장 좋다고 합니다. 특히 요청 확인을 강도높게 실시하여, 다각도로 기능을 점검함으로써 예상치 못한 반응이 나오는지 살펴야 한다고 합니다.😀

(2) 리플레이 요청 공격

악성 행위자들이 반복적으로 요청을 전송하는 것을 허락하는 API의 경우 이 공격에 취약하다고 합니다. 첫번째 악성 요청이 거부되더라도 공격자는 얼마든지 다음 요청을 전송할 수 있게 된다고 합니다. 그런데 이렇게 여러 요청이 반복해서 오는 것을 막는 API가 비교적 적기 때문에 해커들이 이 방법을 선호한다고 합니다.🤨

이 공격은 일종의 브루트 포스 공격으로 볼 수도 있으며, 막으려면 HMAC 인증을 활용해 요청 시도 제한 규정을 적용하거나 다중 인증과 생애 주기가 짧은 OAuth 접근 토큰을 활용하는 것이 좋다고 합니다.

(3) 요청 조작 공격

이 공격은 CSRF로 인증된 웹 애플리케이션(API)을 해커가 활용해 이메일 주소를 변경하거나 은행 계좌로부터 돈을 보내는 등의 결과를 이끌어 내는 공격이라고 합니다. 인기가 많은 공격으로 유명 웹사이트들을 공격한 사례가 있다고 합니다.

공격자들은 주로 서버에서 생성되는 토큰들, 그 중에서도 HTML 코드에 감춰져 있는 토큰들을 활용해 CSRF 공격을 성립시킨다고 합니다. 이 토큰들은 요청이 만들어질 때마다 요청과 함께 서버로 전송되는 것으로, 이 토큰들을 통해 서버는 해당 요청을 신뢰할 수 있는지 확인할 수 있다고 합니다.😀

(4) 사용자 인증 파괴

API 개발자들이 항상 인증 시스템을 신경 쓰는 것은 아니며, 인증 절차가 제대로 갖춰지지 않는다면 매우 취약해 진다고 합니다. 만일 이러한 API가 해커에게 들어가게 된다면, 해커는 인증된 사용자인 것처럼 스스로를 위장시키고 각종 행위를 할 수 있게 된다고 합니다.🤨

이러한 공격을 방어하려면 타임스탬프 요청을 활용하는 것이 도움이 된다고 합니다. 이렇게 해두면 현재의 타임스탬프와 요청에 붙어 있는 타임스탬프를 비교할 수 있게 된다고 합니다. 이 비교값이 타당할 경우에 인증이 통과된다고 합니다.😀

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29688&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=92611&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=92616&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=92617&page=1&mkind=1&kind=1

1. 금융 관련 앱 분석 결과 루팅 탐지 우회 가능

금융 모의해킹 전문 기업인 블랙팔콘 시큐리티는 자체 개발한 안드로이드 앱 자동 분석 솔루션으로 국내 금융 관련 앱 다수를 분석한 결과, 루팅 탐지에 사용되는 패턴이 정형화되어 있어 어렵지 않게 루팅 탐지를 우회할 수 있다고 합니다.😀

관련앱에서 사용되고 있는 루팅 탐지 패턴은 다음과 같다고 합니다.😀

- 패키지 매니저로 설치된 패키지 확인

- 설치된 파일에 대한 접근 또는 상태 확인

- ro.debuggable 등 시스템 속성 확인

- 쉘 커맨드로 루팅 흔적 확인(which su 등)

- /sbin 등 디렉터리 권한 확인

또한 위 패턴들을 참고하여 제작한 범용적인 우회 도구를 통해 다음과 같은 여러 앱들도 우회할 수 있었다고 합니다.

- 국내 은행 21개 앱

- 카드사 3개 앱

- 증권사 7개 앱

- 핀테크 3개 앱

- 코인거래소 2개 앱

이는 별도의 커스터마이징 없이 앱 설치와 동시에 루팅 탐지를 우회할 수 있었다고 합니다.😀

이에 "최근 루팅 탐지 트렌드는 암호화, 난독화, 동적 모듈 등을 이용하여 분석을 어렵게 하는데 초점을 맞추고 있다. 이러한 방향성이 잘못된 것은 아니지만, 루팅 탐지 패턴의 다각화도 병행해야 한다."고 언급했답니다😁

2. 정보보호 전제가 되어야 디지털 뉴딜 확장

개인정보보호에 대한 국민의 신뢰가 전제된다면 각종 디지털 뉴딜 정책의 폭과 깊이도 더욱 확장될 것으로 생각합니다.

지난 13일 개인정보보호위원회(개보위)는 과학기술정보통신부(과기부)와의 업무협약(MOU)식을 가졌다고 합니다.

이는 디지털 경제 시대 데이터를 안전하게 활용하기 위한 환경 마련을 하기 위함이라고 합니다.😀

두 기관은 정부의 디지털 뉴딜 정책을 성공적으로 실현하기 위해 데이터 보호가 밑바탕이 되야 한다는 점에 공감했다고 합니다.

개보위의 윤종인 위원장은 "데이터 경제 성공의 핵심 전제는 개인정보보호에 대한 국민의 신뢰이다. 데이터 보호가 전제되지 않는 활용은 지속될 수 없고, 데이터를 잘 활용하려면 제대로 보호되어야 한다."라며 강조했다고 합니다.😁

이번 MOU로 양 측은 인공지능 학습용 데이터 구축 관련 개인정보보호 강화 표준안을 마련한다고 합니다. 또한 데이터 가명정보 처리·결합과 활성화를 지원하는 민관 합동 협의체 구성도 한다고 합니다.😀

특히 사이버 침해사고로 인한 개인정보 유출에 효과적으로 대응하기 위해 침해사고 핫라인도 구축하기로 했다고 합니다. 이를 통해 사고조사분석, 피해지원 등 전 과정에 걸쳐 협업 기능을 강화한다는 방침이라고 합니다.

대규모 개인정보 유출사고가 발생한 경우 과기부 주관의 민관 합동조사단과, 개보위 주관의 정부합동조사단을 통합한 공동 대응체계를 운영해 신속히 대응하겠다고 합니다.😀

3. 브라질 공격 그룹 7개국 11개 금융앱 해킹 트로이목마 유포중

카스퍼스키 GReAT팀은 브라질, 라틴 아메리카, 유럽의 금융 기관을 노리는 브라질 뱅킹 트로이목마 'Tetrade'를 발견한 지 4개월이 지난 후, 모바일 기기를 스파이웨어로 감염시키기 위한 전략을 추가했다고 합니다.🤨

카스퍼스키 분석에 따르면, 브라질의 공격 그룹인 Guildma는 여러 나라의 은행, 핀테크회사, 거래소, 가상화폐 앱을 노리는 안드로이드 뱅킹 트로이목마인 'Ghimob'을 배포했다고 합니다.

Ghimob는 완전한 기능을 갖춘 모바일 스파이라고 합니다. 일단 감염되면 해커는 기기에 원격으로 접근하여 피해자의 스마트폰에서 사기 거래가 가능하다고 합니다. 또한, 기기 식별, 금융 기관이 구현한 보안 장치, 시스템의 사기 방지 장치를 우회하는 것도 가능하다고 합니다.😮

Guildma와 동일한 인프라를 공유하는 것 외에도 Ghimob는 피싱 이메일을 통해 악성코드를 배포해 사용자가 Ghimob APK 인스톨러를 다운로드하는 악성 URL을 클릭하도록 유도한다고 합니다.

이 트로이목마가 설치되면 다른 모바일 RAT와 상당히 유사한 행동을 한다고 합니다.

유사한 행동은 다음과 같습니다.😀

- 앱 아이콘 숨김

- 지속성을 위한 안드로이드의 접근성 기능 악용

- 수동 언인스톨 비활성화

- 뱅킹 트로이목마가 키 입력 캡쳐

- 스크린 내용 조작

- 공격자가 원격으로 기기를 완전히 제어

사용자의 폰에 화면 잠금 패턴이 있더라도, Ghimob는 이를 기록하고 추후 재생해 기기의 잠금을 해제할 수 있다고 합니다.

Ghimob는 모바일 앱 총 153개를 공격한다고 합니다. 이 중 112개는 브라일 금융 관련기관이며 나머지는 각 여러나라의 가상화폐 및 뱅킹 앱이라고 합니다.😀

출처

www.boannews.com/media/view.asp?idx=92597&page=1&mkind=1&kind=

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29683&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=116314

1. 마인크래프트 인기를 악용한 악성 앱, 플레이 스토어 공격

세계적으로 많은 인기가 있는 게임인 마인크래프트가 사이버 범죄자들의 도구가 되고 있다고 합니다.😀

이는 가짜 마인크래프트 앱을 구글 플에이 스토어에 올려 사용자들의 돈을 갈취하는 것이라고 합니다.

이를 발견한 보안 업체인 어베스트(Avast)에 따르면 가짜 안드로이드용 마인크래프트는 사용자의 돈을 빼앗을 것을 첫번째 목표로 삼고 있다고 합니다. 이를 달성하기 위해 마인크래프트 게임 내에 사용되는 스킨, 벽지, 게임모드 등을 저렴하게 제공하여 속이는 방법을 사용하고 있으며, 처음에는 1달 무료권을 제공하고 등록하는 순간 1주일에 30달러가 빠져나간다고 합니다.😂

그리고 다음과 같이 언급했다고 합니다.

이들은 사용자들이 애플리케이션을 설치하고 잊어버리거나 정기 구독 결제를 해놓고 망각하는 것을 이용합니다. 애플리케이션 홍수 속에서 사용자들은 자기가 설치한 앱을 곧잘 잊어버리기 때문입니다. 또한 앱을 설치할 때마다 작은 글씨로 된 앱 설명서나 약관도 사람들은 잘 읽지 않습니다. 이러한 부분도 공격으로 이어지며, 마인크래프트를 즐기는 어린 게이머들은 주의 사항을 거의 읽지 않습니다.

어베스트는 이런 '가짜 마인크래프트'앱을 7개 찾아 구글에 알렸다고 합니다. 하지만 구글 플레이에 계속 존재하는 것으로 보도되며, 이중 5개는 다운로드 수가 각각 100만번을 넘어섰다고 합니다.😮

7개 앱들은 전부 같은 인물이나 단체의 작품으로 보이며, 이름은 다음과 같다고 합니다.😀

- Mods, Maps for Minercraft PE

- Skins for Roblox

- Live Wallpapers HD & 3D Background

- MasterCraft for Minecraft

- Master for Minercraft

- Boys and Girls Skins

- Maps Skins and Mods for Minecraft

구글은 플레이 스토어의 안전을 위해 여러가지 방법을 취하고 있다고 합니다. 하지만 여전히 악성 앱들이 보안의 경계를 우회하는데 성공한다고 합니다. 구글 플레이에서 유통된 앱들이 다운로드된 횟수는 총 6번 정도 된다고도 합니다.😮

이에 어베스트는 자사 블로그를 통해 앱을 다운로드 받을 때 반드시 개발사를 확인하고 사용자들의 리뷰도 꼼꼼하게 읽어볼 필요가 있다고 권고했다고 합니다.😁

2. 새로운 랜섬웨어 '페이투키' 주의

2주 동안 빠르게 퍼져나가고 있는 신종 랜섬웨어인 '페이투키(Pay2Key)'는 세계적인 위협이 될 전망이라며 주의하라고 합니다.😀

보안 업체인 체크포인트(CheckPoint)가 페이투키에 대한 보고서를 발표했다고 합니다.

보고서에 따르면 페이투키는 기존의 랜섬웨어와 똑같이 원격 데스크톱 프로토콜(RDP) 서비스를 익스플로잇 함으로써 피해자 네트워크에 침투해 횡적으로 움직여 감염의 피해를 최대화 시킨다고 합니다. 또한 다른 침투 방법도 보유하고 있을 가능성이 높다고 합니다.

페이투키는 피해자의 네트워크에 최초 침투하는데 성공한 이후 거점이 될만한 장비나 프록시를 제일 먼저 설정하고 이 장비를 통해 페이투키 C&C 서버와 통신한다고 합니다. 단 하나의 장비만으로 외부 서버와 통신을 하는 전략 덕분에 암호화 이전에 탐지되는걸 많은 경우 회피할 수 있다고 합니다.

페이투키 운영자들은 psexec라는 유틸리티를 사용하여 횡적으로 움직이며 여러 시스템에 페이투키를 심는다고 합니다.

페이투키 랜섬웨어는 파일을 암호화 하기 전에 외부로 빼돌린다고 합니다. 이는 피해자가 협상하지 않을 경우 공개하기 위함이라고 합니다.

공격자들은 현재 토르 기반 웹사이트를 마련하여 정보를 노출시키고 있다고 합니다. 그냥 정보를 내놓는 것이 아닌 피해 조직에 대한 상세한 정보와 함께 폴더식으로 잘 정돈하여 공개하고 있다고 합니다.

또한 돈을 낸 기업들의 경우 데이터를 무사히 복구했는지 아직 확실히 알 수 없다고 합니다. 이에 체크포인트는 페이투키 공격자들의 해킹 기술이 상당히 발전되어 있으며, 일반 랜섬웨어 공격자들의 수준을 훨씬 상회한다고 언급했습니다. 또한 새로운 단체일 가능성이 높다고도 언급했다고 합니다.

페이투키가 현재까지 이스라엘 기업들을 집중적으로 공격하고 있으며, 유럽 조직들에서도 피해가 속출하고 있다고 합니다. 실력이 좋은 조직이며, 공격이 유럽에서도 발견되고 있는 것을 보면 전 세계적으로 확장시켜가는 중일 가능성이 높다고 언급했다고 합니다.😀

3. 인텔 칩셋의 전력 소모량 알아내면 데이터 탈취 가능하다

프로세서의 전력 소비량을 측정함으로써 민감한 정보를 탈취하게 해주는 새로운 부채널 공격이 발견되었다고 합니다.

이 공격기법은 ‘전력 누출 공격 : 보호된 사용자의 비밀을 표적 삼기(Power Leakage Attacks : Targeting Your Protected User Secrets)’라고 하며, 플래티퍼스(PLATYPUS)라고 부르기도 한다고 합니다.😁

이 플래티퍼스 공격은 인텔의 RAPL(Running Average Power Limit)이라는 기능에 접근할 수 있어야 성립된다고 합니다. RAPL은 CPU와 DRAM의 전력 소비량을 모니터링하고 제어하기 위해 설계된 기능이라고 합니다.😀

이 공격은 과거의 과거의 연구 결과들과 달리 물리적 접근을 필요로하지 않는다는 특징을 가지고 있다고 합니다.

기;존의 유사 부채털 공격들에서는 오실로스코프를 사용했지만, 이를 RAPL 이넡페이스로 대체했기 때문이라고 합니다. 리눅스 드라이버만 있으면 권한이 없는 사람도 RAPL에 접근해 측정 값을 취하는 것이 가능하고, 이로써 물리적 접근을 통한 오실로스코프 활용이라는 과정을 완전히 없앨 수 있다는게 이번에 밝혀진 내용이라고 합니다.

실험실 환경에서 연구원들은 플래티퍼스 기법을 직접 구현하여 인텔 SGX 엔클레이브에서부터 암호화 키를 탈취하는데 성공했다고 합니다. 인텔 SGX 인클레이브는 일종의 보안 환경으로 OS가 침해된 상황에서도 데이터를 보호하도록 만들어진 것이라고 합니다. 또한 플래티퍼스를 활용해 KASLR을 뚫거나 비밀 채널을 만드는데도 성공했다고 합니다.😀

하지만 공격 성공률이 안정적이지 않으며, 길게는 수백 시간이 걸린 사례도 있다고 합니다. 사용자 영역에서 KASLR을 뚫어내는 공격은 20초 걸렸지만 SGX 엔클라이브에서 암호화 키를 추출하는 작업은 최소 26시간에서 최대 277시간이 걸렸다고 설명했다고 합니다. RSA 비밀 키를 탈취하는데 걸린 시간은 100분 정도였으며, 이 모든 공격의 전제 조건은 공격의 표적이 되는 애플리케이션이 항상 가동 중에 있어야 한다는 것이라고 합니다.😀

이연구에 대한 내용은 밑의 사이트에서 보실 수 있습니다.😁

https://platypusattack.com/platypus.pdf

https://youtu.be/za915VQzuBM

https://youtu.be/HZGrNKNAZaE

참고하고 영상에서 보이는 실험환경은 우분투 기반의 랩톱이라고 합니다.

인텔은 이에 CVE-2020-8694와 CVE-2020-8695라는 번호를 해당 취약점들에 배정했다고 합니다. 밑의 사이트는 권고문이라고 합니다😀

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00389.html

현재는 이 공격과 관련된 리눅스 드라이버에 대한 업데이트를 진행했다고 합니다.

출처

www.boannews.com/media/view.asp?idx=92540&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=92571&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=92565&page=1&mkind=1&kind=1

1. APT 단체들, 옛 기법과 신기술 혼합해 방어선 흐트리다 !

APT 그룹들이 계속해서 자신들의 목적을 달성하고 있다고 합니다. 그런 와중에 다양한 전략과 기법을 선보이며 수사와 추적에 혼란을 주고 있다고 합니다.😑

이런 단체들이 3사분기 동안 보여준 행동 패턴들을 보안 업체인 카스퍼스키(Kaspersky)가 정리하여 발표했다고 합니다.

3사분기에는 플랫폼을 노린 공격이 증가했고 감염 방식이 새로워졌다고 합니다. 그리고 정상적인 도구와 서비스를 공격에 활용하는 경우가 특히 늘었다고 합니다. 

활발한 활동을 하는 APT 단체 중 하나인 데스스토커는 2018년부터 똑같은 방식으로, 거의 비슷한 표적들만을 계속해서 공략하는 중이라고 합니다. 이에 카스퍼스키는 다음과 같이 발표했다고 합니다.😀

주로 법과 금융 산업의 조직들을 같은 전략으로 노리는 조직입니다. 너무 광범위한 지역에서 공격을 진행하고 있기 때문에 기업들의 민감 정보를 전문적으로 노리는 용병 단체로 보고 있습니다. 주로 파워셸을 기반으로 한 임플란트인 파워싱(Powersing)을 공격에 활용합니다. 

이들은 최근 유행하는 소식들을 활용한 피싱 이메일을 통해 피해자들을 공략하는 편인데, 최근들어 기술적인 진화를 보인다고 언급했다고 합니다.

전에는 인터넷 포럼이나 코드 공유 사이트를 활용하여 C&C 활동을 했다면 최근 들어서는 임베드 된 IP 주소나 도메인 이름을 통해 멀웨어를 C&C 서버와 직접 연결시킵니다. 또한 정교한 스피어피싱 메일 한 통이 아니라 여러 번의 이메일 교환을 통해 피해자를 속이려는 시도도 눈에 띄기 시작했습니다.

게다가 새로운 파워셸 임플란트인 파워페퍼(PowerPepper)가 얼마 전부터 발견되기도 했다고 합니다. 파워페퍼는 MS Word 문서를 통해 퍼지며, C&C 서버와의 통신을 위해 DoH(DNS over HTTPS) 프로토콜을 활용한다고 합니다.😀

지난 10월 카스퍼스키는 가짜 UEFI 펌웨어 이미지를 통한 멀웨어 감염 기법을 사용하는 공격 캠페인을 공개했는데, 펌웨어 이미지를 조작하여 멀웨어를 퍼트리는 고급 기법을 구사한 공격 단체에는 모자익리그레서라는 이름이 붙었다고 합니다.

UEFI는 저층위 플랫폼 펌웨어의 구성요소로, OS를 로딩하거나 펌웨어 업데이트를 진행하는 기능을 가지고 있다고 합니다. 모자익리그레서는 이 UEFI 펌웨어를 조작함으로써 OS가 정상적으로 로딩된 이후 자신들이 원하는 멀웨어가 실행되도록 만들 수 있다고 합니다. 그래서 OS를 새롭게 설치한다고 해도 멀웨어가 사라지지 않는다고 합니다. 심지어 하드드라이브를 바꿔도 공격을 막을 수 없게 된다고 합니다.😮

이러한 것들을 통해 카스퍼스키는 보고서에 다음과 같이 썼다고 합니다.😀

사이버 보안 전문가들에게 이런 현상이 갖는 의미는, 과거에 정상적으로 사용되어 온 환경이나 요소들에서 발생하는 새로운 위협을 탐지하고 와해시키는 데에 자원을 투자해야 한다는 것입니다. 여태까지 괜찮았다고 여겨진 요소들이라고 해서 모니터링과 검사를 소홀히 해서는 안된다는 의미입니다. 덜 유명한 언어로 작성된 멀웨어, 정상 클라우드 서비스에 호스팅된 문건 등에 특히 주의를 기울여야 합니다.

2. 현재 해커들이 공격에 활발히 사용하는 윈도 제로데이 취약점 주의

구글 보안 연구원이 현재 활발히 악용되고 있는 윈도우 운영체제 제로데이 취약점(CVE-2020-17087)을 공개했다고 합니다.😀

구글 프로젝트 제로 팀장인 벤 호크스(Ben Hawkes)는 트위터를 통해 해당 취약점이 구글이 최근 공개한 또 다른 크롬 브라우저 제로데이(CVE-2020-15999)와 연결되어 있다고 밝혔다고 합니다. 구글 연구원들은 해당 결함에 대한 패치가 11월 10일에 할 것이라고 예상하고 있다고 합니다.😀

크롬 제로데이는 샌드박스 탈출 문제로, 이를 통해 공격자는 크롬 보안 컨테이너를 탈출하고 기본 운영체제에서 코드를 실행할 수 있다고 합니다.

구글 보안 권고문에서 다음과 같이 설명했다고 합니다.😀

다음 버그가 in the wild에서 사용되고 있다는 증거를 발견했습니다. 따라서 이 버그는 7일 간의 공개 기한이 적용됩니다. 윈도 커널 암호화 드라이버는 \Device\CNG 장치를 사용자 모드 프로그램에 노출시키고, 사소하지 않은 입력 구조를 가진 다양한 IOCTL을 지원합니다. 샌드박스 탈출과 같은 권한 상승을 위해 악용 가능한 로컬 액세스 공격 표면을 구성합니다.

구글 프로젝트 제로팀은 지난주 마이크로소프트에 해당 취약점 해결을 위한 7일을 주었지만 아직 해결되지 않은 상태라고 합니다.

이 취약점은 Windows 7과 Windows 10 사이 모든 버전에 영향을 미친다고 합니다. 또한 구글 연구원들은 해당 취약점 악용을 위한 개념 증명 코드를 게시했다고 하네요.😁

3. 대기업을 노리던 랜섬웨어 '메이즈' 운영 중단

LG 전자, 캐논 등 대기업들을 공격하던 유명 랜섬웨어인 '메이즈(Maze)' 운영이 중단되었다고 합니다.😀

이는 미국 IT 매체인 블리핑컴퓨터에서 메이즈 운영자는 자체 웹사이트에서 기업 데이터 유출을 중단한다고 밝혔다고 합니다.

메이즈는 국내외에서 활발히 유포된 랜섬웨어로 복호화 비용 지불을 거부하는 피해자에 대해, 탈취한 데이터를 공개하는 사이트인 '메이즈뉴스'를 만들어 협박 수위를 높인 것이 특징이라고 합니다.

메이즈가 이같은 사이트를 운영하자, 타 랜섬웨어 운영자들도 잇따라 탈취 데이터 공개 사이트를 개설하기도 했다네요.🤨

메이즈 운영자는 최근 등장한 새 랜섬웨어인 '에그레고르'로 주 공격 수단을 변경한 것으로 분석된다고 합니다. 에그레고르는 최근 크라이텍, 유비소프트 등 여러 기업을 공격한 것으로 알려져 있다고 합니다. 또한, 최근 나타난 랜섬웨어 '세크메트(Sekhmet)'도 메이즈 운영자가 개발한 것으로 추정되고 있다고 합니다!

출처

www.boannews.com/media/view.asp?idx=92338&page=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29656&key=&dir_group_dist=&dir_code=&searchDate=

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29655&key=&dir_group_dist=&dir_code=&searchDate=