Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 7월 11일] 주요 보안 이슈
작성일 2018-07-11 조회 106

1. [기사] 북한 폰트 파일 위장 랜섬웨어, 구글 검색 통해 유포되나

[http://www.boannews.com/media/view.asp?idx=71181&mkind=1&kind=1]

북한 폰트 파일을 위장한 갠드크랩 랜섬웨어가 발견되었다. 해당 파일은 구글 검색 최상단에 노출되어 있어 이용자들의 피해 확산이 우려된다. 보안전문 파워 블로거 벌새는 "최초 접속한 웹 페이지에서는 한글로 작성된 컨텐츠와 북한 폰트 다운로드 링크가 포함되어 있다"며, "링크는 일본 특정 웹사이트에서 파일을 다운로드하도록 연결되어 있다"고 밝혔다.

이용자가 링크를 클릭하면 '북한_폰트.exe' 파일이 다운로드 된다. 파일 다운로드 후 사용자가 앞서 접속한 웹사이트에 재접속할 경우 처음 노출된 컨텐츠와 달리 게시글이 노출된다. 이는 재접속을 통해 파일에 다시 접근할 수 없도록 하는 것으로 추정된다. 이러한 방식으로 공격자는 자신의 존재를 숨기는 것으로 드러났다.

이와 관련되어 벌새는 "갠드크랩 랜섬웨어는 지속적으로 버전 업데이트를 통해 국내 인터넷 사용자들이 쉽게 감염될 수 있는 다양한 유포 방식으로 피해를 유발하고 있다"며, "수시로 파일을 변경해 백신 탐지를 우회 시도하고 있다"고 분석했다.

 

 

2. [기사] 블랙테크 사이버 스파이 그룹, 인증서 훔쳐 멀웨어 서명

[http://www.boannews.com/media/view.asp?idx=71191&kind=14]

블랙테크(BlackTech)라는 사이버 스파이 단체가 코드 서명 인증서를 대만의 기업들로부터 훔쳐 자신들의 백도어를 배포하는 데 사용하고 있다고 보안 업체 이셋(ESET)이 발표했다. 블랙테크가 주로 공격하는 지역은 동아시아이며, 특히 대만의 여러 단체들을 노리는 것으로 나타났다. 인증서는 디링크(D-Link)와 보안 업체 체인징 인포메이션 테크놀로지(Changing Information Technology)에서 훔쳐냈으며, 플레드(Plead)라는 백도어를 서명하는 데 사용되었다.

이번에 발견되기는 했지만, 플레드 캠페인 자체는 2012년부터 진행된 것으로 보인다. 주로 기밀이 담긴 문건을 훔치기 위한 공격을 진행하며, 대만 정부기관과 민간 사업체들을 노린다고 전해졌다.

이셋은 디링크 측에 인증서가 도난당해 엉뚱한 멀웨어가 서명되고 있다는 소식을 알렸고, 디링크는 해당 인증서를 곧바로 취소시켰으며 만전을 기하기 위해 또 다른 인증서 역시 삭제하였다. 체인징 인포메이션 테크놀로지 역시 이러한 소식을 접하자마자 해당 인증서를 취소시켰다. 하지만 그 이후에도 블랙테크가 인증서를 사용하고 있는 것을 이셋은 발견할 수 있었다고 한다.

플레드는 주요 웹 브라우저에서 비밀번호를 훔치는 기능을 가지고 있다. 플레드가 공략할 수 있는 웹 브라우저는 크롬, 파이어폭스, 인터넷 익스플로러 등이 있으며, 마이크로소프트 아웃룩에서도 비밀번호를 훔쳐낼 수 있다고 전해진다. 뿐 아니라 각종 드라이브와 프로세스, 열린 창과 파일을 목록화하는 기능을 가지고 있으며, 원격 셀을 열고 파일을 업로드하거나 삭제하는 등의 기능도 가지고 있다.

이렇게 디지털 인증서를 남용하는 행위는 많은 사이버 공격자들이 이용하는 방법이며, 인증서 하나만 있으면 어떤 멀웨어라도 보안 장치들을 무사히 통과할 수 있기 때문이라고 한다.

 

 

3. [기사] APT 공격의 타겟인 아시아 국가들

[https://www.infosecurity-magazine.com/news/asian-countries-frequent-targets/]

캐스퍼스키 랩의 전문 연구원이 2018년 2분기에 APT(advanced persistent threat) 공격에 대한 연구를 발표하였다. 근래의 캠페인들을 정리한 결과, 캐스퍼스키 랩의 글로벌 연구 및 분석 팀에서는 2018년 2분기의 APT 공격의 진원지가 아시아임을 밝혀냈다.

이들이 주로 살핀 것은 라자루스와 그 하위 그룹인 블루로로프(BlueNoroff)와 안다리엘(Andariel)이었다. 이 그룹들은 각각 금융 회사와 비금융 회사의 자산을 노린 공격을 가한 것으로 드러났다. 라자루스 그룹의 행보는 McAfee에 의해 추적되었으며, 이들이 터키의 금융 회사에 Bankshot 공격을 가했음을 밝혀냈다. 또한 ESET에서는 2분기에 라틴 아메리카의 카지노를 타겟으로 한 공격이 있었음을 밝혀냈다.

LuckyMouse APT는 아시아의 국가 데이터 센터에 침입, 유명 웹 사이트에 waterhole 공격을 가했다. 이 공격을 통해 공격자들은 지난 10개월동안 여러 중국인 배우들의 활동을 관찰하였다고 알려졌다. 한편 VPNFilter 캠페인은 전세계 50만개 이상의 네트워킹 하드웨어 및 스토리지 장치를 대상으로 하는 공격을 가했으며, 트래픽 주입을 통해 손상된 하드웨어를 감염시키는 기능을 통해 대규모 하드웨어 공급 업체에 영향을 미쳤다.

캐스퍼스키 랩 글로벌 연구 및 분석 팀의 연구원 비센테 디아즈는 "2018년 2분기는 지난 몇 년 동안 우리가 예측한 위협 중 실제적으로 발생한 것이 얼마나 되는지를 알려주는 것이었다"며, "특히 우리는 네트워킹 하드웨어가 표적을 지정하는 공격에서 가장 많이 발생할 것임을 경고하였고, 이러한 장치에 중점을 둔 APT 공격의 존재와 확산을 강조했다"고 밝혔다.

 

 

4. [기사] '화해무드' 무색 북한 사이버 위협 증가...정부는 뒷짐만

[http://news.heraldcorp.com/view.php?ud=20180710000081]

지난 10일 보안업계에 따르면 남북정상회담, 북미정상회담이 개최된 4월이후를 기점으로 최근 한국을 특정 타깃으로 한 북한 소행으로 추정되는 사이버 공격이 잇따라 발견되고 있다.

이는 북미 정상회담 정보를 위장해 악성메일이 배포된 사례가 대표적이며, 이 달 들어서는 '한국 방산업체 망 분리 관련 요청사항'이라는 이름으로 국내 특정 방위산업체로 위장한 악성코드도 발견되었다. 뿐 아니라 '남북이산가족찾기 전수조사'를 사칭한 악성코드가 배포된 사례도 확인되었다.

익명을 요구한 보안업계 관계자는 "4~7월에 북한 소행으로 추정되는 사이버 공격이 3배가량 증가한 것으로 파악되고 있다"며, "북한이 사이버전에 사용하는 특정 코드와 유사하고 지능형 지속 위협(APT) 공격 패턴으로 볼 때, 북한 사이버 부대의 소행이 유력한 것으로 보고 있다"고 말했다.

남북 화해 분위기 속에서도 북한의 사이버전이 끊이지 않는 것은 북한이 정보 수집을 목적으로 해킹 공격을 강화한 데 따른 것이라고 전문가들은 파악하고 있다. 또 다른 보안업계 관계자는 "올 초에는 공격의 목적이 개인정보 유출이었다면 최근에는 남북, 북미 회담 관련 정보를 확보하기 위한 목적이 뚜렷하다"며, "북미 회담 당시 싱가포르 특파원에 악성메일이 집중되는 등 특정 타깃이 분명한 점을 보면, 북한이 회담 관련 후속 정보를 얻기 위해 공격을 집중하는 것으로 보인다"고 분석했다.

이러한 사이버 위협으로 인한 민간 보안업체들의 잇딴 '주의령'에도 불구하고, 정작 정부는 제대로 된 현황 파악 없이 보완책 마련에 손을 놓고 있따는 지적이 나오고 있다. 정부는 평창 동계 올림픽이 끝난 이후 지난 3월 20일 국가 사이버 경보 단계를 '관심'에서 '정상'으로 낮춘 상태이다. 정상, 관심, 주의, 경계, 심각 등 총 5개로 이뤄진 경보 단계에서 정상은 가장 아래 단계이다.

 

 

5. [기사] 산업부 산하 공공기과 해킹시도, 6년간 1만 6000건 육박

[http://www.edaily.co.kr/news/news_detail.asp?newsId=03929446619273208&mediaCodeNo=257]

2012년 이후 지난 6월까지 6년간 산업통상자원부 산하 38개 주요 공공기관에 대한 해킹 시도 건수가 1만 5973건이나 되는 것으로 드러났다. 국회 산업통상자원중소벤처기업위원회 소속 권칠승 더불어민주당 의원은 지난 10일 산업부로부터 받은 자료를 바탕으로 2012년부터 작년까지 2000~3000건에 이르는 해킹 시도가 발생했으며, 올해 6월까지는 922건의 해킹 시도가 발생했다고 밝혔다.

권 의원이 밝힌 바에 따르면 해킹 시도가 가장 많이 집중된 곳은 대한투자무역진흥공사(KOTRA)였으며, 한국 수자원 공사, 강원랜드, 가스공사, 한전KPS가 뒤를 이었다. 해킹 유형별로는 '악성코드 감염' 건수가 총 3803건으로 1위를 차지했고, 1707건의 '홈페이지 공격'과 '서비스 거부 공격', '비인가 프로그램 공격'이 뒤를 이었다.

권칠승 의원은 "현 사회가 정보화 시대로 접어들며 인터넷상의 공격 빈도수와 유형의 종류가 빠르게 증가하고 있다"며 "산업부 산하에는 국가의 안보와 관련이 높은 공공기관이 많으므로 해킹 위협에 발 빠른 대처가 필요하다"고 말했다.

 

첨부파일 첨부파일이 없습니다.
태그   APT 공격  사이버 위협 증가