6월 최신 정보보호 이슈, 기술 동향

무브잇 사태

 

이슈:

클롭 랜섬웨어 그룹이 일으킨 세계적인 공급망 공격 사건으로, 기업들 사이에서 널리 사용되는 파일 전송 프로그램인 무브잇(MOVEit)이 익스플로잇 됐으며, 이를 통해 사용자 기업들 사이에서 이미 정보 침해 사고가 벌어지고 있다. 6월 1일 무브잇(MOVEit)이라는 파일 전송 소프트웨어에서 발견된 제로데이 취약점 때문에 정보 침해 사건의 피해자가 된 조직은 6월 30일까지 확인된 바 BBC, 영국항공, 노바스코티아 주정부 사무실 등 최소 160개인 것으로 집계되고 있다.

 

해결방안:

첫 번째는 SQL 주입 공격을 가능하게 하는 초고위험도 제로데이 취약점이었고, 이에 대한 패치를 발표하자마자 두 번째 제로데이 CVE-2023-34362가 발굴됐다. 무브잇 개발사 프로그레스에 의하면 다행히 두번째 패치까지 적용하면 안전하다는 것 같다.

 

시사점:

고애니웨어 MFT(GoAnywhere MFT)와 무브잇 트랜스퍼(MOVEit Transfer)라는 기업용 파일 전송 프로그램에서 발견된 제로데이 취약점을 익스플로잇 함으로써 손쉽게 수많은 조직들의 네트워크로 파고들어 파일들을 빼돌렸다. 기업들을 협박해 수입을 얻었으므로 랜섬웨어임은 맞지만 랜섬웨어 페이로드를 사용해 파일을 암호화하고 못 쓰게 만들지는 않았다는 점에서 특이하다. 

전문가들의 의견은 갈리고 있는데 멀웨어에 대한 개량과 투자가 없이 단지 기업이 사용하는 프로그램의 취약점 하나를 통해 랜섬웨어 공격이 가능했기 때문에 모방 범죄들이 이어질 것이라고 보는 쪽과, 무브잇에서 제로데이 취약점을 찾아내고 익스플로잇 방법을 개발하는 것이 더 어려울 수도 있기 때문에 공격 효율이 획기적으로 높아진 것은 아니라는 쪽이다.

클롭은 원래 정교한 공격을 하는 그룹이 아니었기 때문에 배후자나 조력자가 있거나 서드파티로부터 제로데이 익스플로잇을 구매했을 가능성에 무게가 실린다.

 

개인견해:

제로데이 취약점이 유통되는 이유는 소프트웨어 벤더사들이 취약점 제보자에게 정보들을 거래하는 조직보다 후하게 보상하지 않기 때문인데 이에 버그바운티 금액을 높여야한다는 주장 역시 제기되고 있다.

보안인으로서 버그바운티 금액이 높아지면 좋지만, 개인적으로 위와 같은 주장은 비약이 아닐까 하는 생각이 든다. 취약점을 블랙 해커에게 팔아넘기는 것은 개인의 양심에 달린 일로, 생계형 도둑처럼 부득이한 행동이라기보다는 큰 금액을 제시한다고 국내 회사의 정보를 중국 경쟁 업체에게 유출하는 산업스파이와 같은 행동에 가까워보이기 때문이다.

 

해외에서 난리난 무브잇 사태, 랜섬웨어 산업에 새 바람 일으킬까 (boannews.com)

 

SaaS 랜섬웨어 공격

 

이슈:

오메가(0mega)라는 이름의 랜섬웨어 그룹이 한 기업의 셰어포인트 온라인(SharePoint Online) 환경을 침해하는 데 성공했다. 특이하게도 기업의 엔드포인트를 통해 공격을 성공시킨 게 아니라 관리자 계정을 공략한 후 권한을 상승시켜 셰어포인트 라이브러리들로부터 민감한 정보를 탈취한 것으로 보인다.

 

오메가 그룹의 공격자들은 먼저 MS 글로벌(MS Global) 환경의 관리자 계정들을 찾아 크리덴셜을 확보한다. 공공 인터넷에 연결되어 있고, 다중인증 옵션이 설정되어 있지 않으며, 보안이 제대로 되어 있지 않은 계정들이 주로 공격 대상이 된다. 확보한 관리자 계정을 이용해 액티브 디렉토리(Active Directory) 사용자를 하나 만들어 셰어포인트 온라인 환경 내 모든 권한을 부여한다. 그리고 200개가 넘는 관리자 계정들을 2시간 안에 삭제하고 온라인 라이브러리에 저장된 각종파일에 접근해 sppull이라는 Node.js 모듈을 활용해 러시아의 웹 호스팅 기업과 관련이 있는 VPS 서버로 전송했다.

 

시사점:

SaaS 애플리케이션을 겨냥한 랜섬웨어 공격들은 거의 항상 허술한 엔드포인트를 찾아내 침해한 뒤 파일을 암호화 하거나 빼돌리는 데 그쳤기에 엔드포인트 보안을 중심적으로 대비해왔다. SaaS 환경을 직접 침해해 자동화 기술로 데이터를 빼돌리는 랜섬웨어 공격은 이제까지 한 번도 없었기 때문에 귀추가 주목된다.

점점 더 많은 기업들이 SaaS 환경에 중요한 데이터를 보관하고 있는 상황에 엔드포인트만이 아니라 SaaS 환경 전체를 보호해야만 하는 상황이 되었다.

 

사상 첫 자동화 SaaS 랜섬웨어 공격을 성공시킨 오메가 일당들 (boannews.com)

 

한국장학재단 등 개인정보 유출

 

이슈:

한국장학재단 측에 따르면, 이번 공격은 신원이 확인되지 않은 해외 IP를 사용한 자의 공격으로 추정되며, 사전에 수집한 재단 회원의 아이디와 패스워드 등 계정정보를 활용해 재단 홈페이지에 로그인을 시도했다. 
유출된 개인정보 항목은 마이페이지에 있는 성명, 이메일, 주소, 휴대폰번호, 학자금 대출과 장학금 관련 정보 등 총 14개 항목이다.

 

해결방안:
한국장학재단 측은 로그인 시도 정황 포착 즉시 1, 2차에 걸쳐 해외 IP 접근 차단을 실시했고, 로그인 시 기존 아이디·패스워드를 사용하는 방법에서 공동인증서를 활용하는 방법으로 변경했다. 재단 명의로 발송된 의심되는 URL은 클릭하지 말고 보이스피싱에 유의해 달라며 앞으로 개인정보보호 조치 강화 등 내부 개인정보보호 관리체계를 개선하도록 노력하겠다고 밝혔다.

시사점:

한국장학재단 외에도 해병대, 인터넷 커뮤니티 더쿠, 의약품 제조 기업 한독, 7월에는 워크넷 등 개인정보 유출 사례가 빈번하게 발생하고 있다.

 

한국장학재단, 해킹으로 개인정보 유출 정황... 이름, 주소, 학자금 대출 자료 등 14개 항목 (boannews.com)

 

북한 해킹 공격

1. 김수키

북한 정부의 지원을 받는 것으로 알려진 김수키(Kimsuky) 해킹그룹이 정상적인 보안 설치 프로그램으로 위장한 악성파일을 유포했는데 한국인터넷진흥원(KISA) 보안업데이트를 위장한 악성코드의 변종으로 확인됐다.

 

setup 이름의 iso 파일로 위장하고 내부에는 setup.exe 파일이 포함되어 있는 파일로, 사용자가 파일을 실행하면, Mail Online Security를 설치 화면을 보여주며 정상 보안프로그램 설치파일인 것처럼 위장한다.

하지만 백그라운드에서는 ‘unrar.exe’를 통해 ‘plugins.rar’를 ‘123qwe!’로 패스워드로 압축을 해제하고 생성된 nos_mon.dll, nos.dll 등 dll 파일들을 실행한다.

 

dll 파일들의 기능

• ‘nos_mon.dll’ 파일은 현재 열려진 Chrome.exe에 페이로드 Dll을 인젝션한다.
• ‘nos.dll’ 파일은 Dll 하이재킹을 통해 악성 페이로드를 실행한다.

절차

①‘C:\Program Files\Chrome’ 경로를 ‘C:\ProgramData\Chrome’로 복사

②리소스에 있는 최종 페이로드를 chrome.exe가 위치한 곳에 ‘version.dll’로 복사

③윈도 폴더에서 ‘version.dll’을 위 크롬 실행 파일 경로의 ‘versions.dll’ 이름으로 복사(정상적으로 version.dll의 Export Function을 포워딩해 오류 방지 목적)

④chrome.exe를 ‘Chrome Updater’ 이름으로 자동 실행 등록 및 실행

⑤최종으로 ‘chrome.exe’는 변조된 ‘version.dll’을 실행

최종적으로 변조된 ‘version.dll’은 명령제어 기능을 수행하며, 명령제어 기능에는 자가삭제, 파일 업로드·다운로드, 프로세스 PID·이름 리턴 등을 포함하고 있다.

 

2. 네이버 피싱사이트

북한이 포털사이트 네이버를 실시간으로 복제한 피싱사이트를 개설해 국민들을 대상으로 해킹시도를 벌인 정황이 국가정보원에 포착됐다.

국정원은 www.naverportal.com’ 등 정상적인 네이버 접속 도메인 주소가 아닌 경우 당장 접속을 중지해 달라고 강조했다. 북한은 그동안 단순히 네이버 로그인 페이지만 복제해 국내 사용자들의 로그인을 유도, ID·비밀번호 등 개인정보를 탈취해 왔다. 하지만 이번에 국정원이 포착한 북한의 가짜 네이버 포털사이트는 실제 네이버 메인화면의 실시간 뉴스·광고 배너 등을 완전히 복제한 모습이었다. 증권·부동산·뉴스 등 국민들이 자주 이용하는 세부 메뉴까지 동일했다.

국정원은 해당 피싱사이트 접속 차단 조치를 진행 중이며 북한 피싱사이트 서버가 해외에 있어 해외기관과의 정보공유를 통해 국가배후 해킹조직들의 활동을 추적 중이라고 밝혔다.

 

3. 라자루스

북한의 라자루스(Lazarus) 해킹그룹은 INISAFE CrossWeb EX와 MagicLine4NX의 취약점을 공격에 지속적으로 활용해오고 있었는데 최근 Non-ActiveX 방식의 웹 보안 소프트웨어 VestCert와 기업 자산관리 프로그램 TCO!Stream의 제로데이 취약점을 이용하는 정황이 새롭게 확인됐다.

 

VestCert의 취약점을 이용한 공격자는 기업 내부로 최초 침투하기 위해 워터링홀 공격 방식을 사용한다. 사용자가 취약한 버전의 VestCert가 설치된 마이크로소프트 윈도우 시스템에서 웹 브라우저를 이용해 악성 스크립트가 삽입된 특정 웹사이트에 방문하면 VestCert 소프트웨어의 서드파티 라이브러리 실행 취약점으로 인해 파워쉘(PowerShell)이 실행되고 이 PowerShell이 명령제어(C2) 서버에 접속해 악성코드를 다운받고 실행한다.

 

TCO!Stream의 취약점은 최초 피해 시스템에서 내부 시스템들로 악성코드를 전파하기 위해 사용되고 있다. TCO!Stream은 서버에서 클라이언트로 소프트웨어 배포 및 원격제어 등의 기능을 제공하고 클라이언트는 서버와 통신하기 위해 항상 TCP 3511 포트를 수신대기(Listening)하고 있게 되는데, 공격자는 악성코드를 이용해 서버에서 특정 악성파일을 내려받고 실행하도록 하는 명령어 패킷을 생성하고 이를 클라이언트에 전달한다. 

 

다행히 취약점 패치가 완료되었으나 자동 업데이트되지 않는 소프트웨어기 때문에 취약 버전이 설치된 시스템에서는 수동 제거 후 재설치를 권고한다고 한다.

북한 김수키 해킹그룹, ‘Mail Online Security’로 위장한 악성파일 유포 공격 (boannews.com)

북한 ‘네이버 복제 피싱사이트’로 우리 국민 노린다 (boannews.com)

북한 해킹조직 라자루스, 국내 금융보안 솔루션 취약점 악용한 공격 지속 (boannews.com)

북한 해킹그룹 APT37의 치밀한 스피어피싱 공격기법 분석해보니 (boannews.com)

 

ChatGPT

 

이슈:

챗GPT의 개발사인 오픈AI(OpenAI)가 해커들이 정당하지 않은 방법으로 수집한 데이터를 비밀리에 사용했다는 것과, 저작권이 있는 책에서 콘텐츠를 훔쳐 전문 지식을 무단 흡수하고 직업을 빼앗는다는 고발이 법정으로 들어갔다.

 

해결방안:

첫번째 소송 원고는 오픈 AI 개발을 중지하고 당국이 나서 필요한 장치를 마련해야 한다고 말했지만 시장 수요가 높은 상황에서 개발 중단은 쉽지 않아 보인다. 오픈 AI가 아닌 다른 회사들도 방대한 데이터를 수집하며 최소한의 투명성만 유지하는 문화적 배경이 문제라는 주장도 잇따른다.

개인견해:

응당 저작권을 존중하는 정당한 방법으로 데이터를 수집해야한다고 생각한다.

 

챗GPT를 만든 오픈AI에도 구린 구석이 있었다 (boannews.com)

사이버 보안 전문가가 바라보는 챗GPT 열풍 현황 (boannews.com)