Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 7월 25일] 주요 보안 이슈
작성일 2018-07-25 조회 881

1. [기사] 모바일 앱 보안 상태 심각해, 자체 검사 가이드 발간한 NIST
[https://www.boannews.com/media/view.asp?idx=71655&mkind=1&kind=1]
미국 표준기술연구소(NIST)가 모바일 애플리케이션의 보안 검사와 관련된 특별 초안을 발표했고, 대중들의 견해를 기다리고 있다. 초안이라고 하지만 50 페이지에 달하는 문건이며, 기업들이 자체적으로 앱의 보안성을 검사하고 조직 내에서 사용해야하는 앱을 개발할 때 필요한 내용을 담고 있고, 인력과 도구 준비에 도움이 될 수 있는 안내문의 성격을 띠고 있다. 기업마다 자체적으로 앱을 개발해 직원들에게 배포하고, 이를 업무에 활용하도록 하는 사례가 늘어나고 있다. 하지만 이런 앱들에서는 보안 취약점이 자주 발견되기도 한다. 그렇다고 비싼 돈을 주고 앱의 보안 검사를 일일이 받는다는 것도 비현실적인 일이다. 그래서 그런 기업들을 돕고자 NIST가 준비한 것이 이번 초안인 것이다. 이 책자를 가지고(완성본이 나오면) 기업들은 자체 개발한 앱들을 자체적으로 검사하고 안전하게 배포할 수 있을 것이라고 NIST는 기대하고 있다.
이번 초안을 공동으로 작성한 컴퓨터 과학자 마이클 오가타(Michael Ogata)는 “모바일 기술의 변화 속도는 숨이 가쁠 정도”라며 “이번 초안과 같은 문건이 더 자주, 빨리 나와야 한다”고 강조했다. “이번 초안의 경우, 민간 기업과 정부 기관의 보안 전문가들이 힘을 합해 앱을 어떤 기업이든 자체적으로 검사해 보안 사고를 막을 수 있도록 했습니다.” NIST는 여기에 더해 물리적인 확인 사항도 포함시켰다. “예를 들면 미국 국가 취약점 데이터베이스(NVD)에 등록된 취약점이 앱에 있는지 비교 검색해보는 것이 있습니다. 공개된 취약점이 있다면 앱의 배포를 즉각 멈춰야 하지요. 이렇게 간단하고 명료한 확인사항들도 이번 문건에 포함시켰습니다. 이 정도는 모든 기업들이 기본적으로 해야 할 일이라고 봅니다.”
모바일 앱이 지금보다 훨씬 더 단단해져야 한다는 것은 명백한 사실이다. 구글 플레이 스토어나 애플 앱 스토어에서 유통되고 있는 많은 앱들에서 이미 수많은 취약점들 발견됐고 또 악용되어 왔다. 최근에만 해도 군인들의 위치와 작전 일부를 노출시키는 피트니스 앱부터, 사용자의 허락 없이 사진과 메시지를 발송하는 삼성 전화기의 오류들이 발견된 바 있다.

 

 

2. [기사] 싱가포르 최악의 '싱헬스 해킹 사건', 범인은 국가 지원 해커?
[https://www.boannews.com/media/view.asp?idx=71612&page=1&mkind=1&kind=1]
싱가포르 역사상 최악의 사이버 공격은, 국가가 지원하는 해커들의 소행일 가능성이 높다고 AFP 통신이 전문가들의 말을 인용해 보도했다. 이는 주말동안 발표된 싱가포르 헬스 서비스에서의 1백 5십만 환자들의 개인정보 유출 사건을 말한다. 피해자 중 리센룽 총리가 있어 더 이목이 집중되었다. 싱가포르 보건성 장관의 발표에 의하면 이번 공격은 의도적이었고, 표적형이었으며, 꼼꼼한 계획 하에 수행되었다고 한다. 또한 리센룽 총리의 기록을 반복적으로 노린 흔적이 발견되었다고도 했다. 그러므로 일반적인 사이버 범죄자들이 벌인 짓일 가능성이 낮다고 말했다. 그러나 싱가포르 정부는 아직 공격자의 구체적인 ‘이름’을 밝히고 있지는 않다. 에릭 호는 인터뷰를 통해 “이번 싱헬스를 공격한 공격자들은 굉장히 고급화된 해킹 툴을 사용했다”며 “APT 그룹은 자원이 풍부하며, 돈이 부족하지도 않고, 기술력이 굉장히 높은 것이 특징”이라고 설명했다.
현재까지 밝혀진 바, 싱헬스를 공격한 해커들은 6월 27일부터 7월 4일 사이에, 멀웨어에 감염된 컴퓨터를 사용해 1백 5십만 명의 기록이 담긴 데이터베이스에 접근하는 데 성공했다. 그러다가 관리자들이 수상한 활동을 탐지하기 시작하면서 활동은 멎게 되었다. 싱가포르 정부는 “하루에도 수천 번씩 사이버 공격을 받고, 이를 막아낸다”며 “공격자는 고등학생부터 국가 지원 해커들까지 대단히 다양하다”고 발표했다. 전문가들은 “부유한 국가인 싱가포르가 최근 디지털 변혁을 전 국가적으로 실시하며 초연결 사회를 만들기 위해 애쓰고 있기 때문에” 앞으로 사이버 공격이 더 빈번해질 것이라고 예측한다. 디지털 변혁의 또 다른 이면에는 사이버 공격의 증가가 있기 때문이다. 앞으로 싱가포르에서 활동하는 기업들은 데이터 보호라는 측면에서 더 크게 신경 써야 할 것이라고 보안 전문가들은 주장하고 있다.

 

 

3. [기사] 사이버 공격자들, 구글 서버에 악성코드가 포함된 이미지 업로드...주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=36873&sc_code=1435901200&page=&total=]
사이버 범죄자들은 EXIF(Exchangeable Image File Format) 데이터에 멀웨어 코드를 숨기는 기존 트릭에 새로운 방법을 추가하고 있다. 최근 공격자가 텍스트 파일이 아닌 이미지 파일에서 이 기술을 사용해 googleusercontent.com 서버에 업로드하는 것이 확인되었다.
7월 18일 Sucuri의 회사 블로그에서 선임 멀웨어 연구원 데니스 시네굽코(Denis Sinegubko)는 Packman.jpg 이미지의 EXIF 코드를 사용해 페이팔(Paypal) 보안 토큰을 도용하거나 웹쉘 및 임의 파일을 업로드하고 변조페이지를 삽입해 악의적인 웹사이트 주소와 통신하는 사례를 설명했다. 이 이미지는 블로거 또는 Google+ 계정을 통해 구글 서버에 업로드되었으며 손상된 웹사이트에서 쉽게 다운로드할 수 있다. 시네굽코에 따르면 이 방법은 패스트빈(Pastebin) 및 깃허브(github)에 저장된 텍스트파일과 함께 EXIF를 사용하는 이전 기술보다 효과적이다.
그는 “이미지의 메타 데이터를 확인하고 각각의 특정 경우에 해독하는 방법을 알고 있는 경우를 제외하고는 당신은 악성 페이로드에 대해 전혀 알 수가 없다. 게다가 대부분의 도구가 저작권 침해 콘텐츠가 포함된 포함된 원래 게시물, 페이지 또는 댓글에 대한 링크를 제공해야하기 때문에 googleusercontent.com의 악성코드를 구글에 신고하는 것은 매우 어렵다”고 설명한다.

 

 

4. [기사] SOHO 장비 소유자들 비상! 미라이와 가프짓 활동 재개
[https://www.boannews.com/media/view.asp?idx=71652&mkind=1&kind=1]
보안 전문가들이 사물인터넷 장비들과 관련된 두 가지 공격이 새롭게 시작됐다고 경고했다. 하나는 그 유명한 미라이(Mirai)이고 다른 하나는 가프짓(Gafgyt)이다.
미라이는 사물인터넷 장비들을 감염시켜 디도스 공격을 하는 멀웨어이며, 처음 등장 당시 기준으로 역사상 가장 큰 규모의 디도스 공격을 실행시켰다. 또한 2016년 10월 소스코드가 유출되면서 더욱 큰 위협으로 남아있다. 실제로 코드 유출 이후 미라이 변종이 여러 개 등장했는데, 가장 최신 버전은 위키드(Wicked)와 옴니(Omni)다.
가프짓은 2014년 처음 발견된 멀웨어로 배시라이트(Bashlite), 리즈케밥(Lizkebab), 톨러스(Torlus) 등의 이름으로도 알려져 있다. 가프짓 역시 2015년 소스코드가 유출되었으며, 2016년 여름까지 1백만 대가 넘는 장비를 감염시킨 바 있다. 
보안 전문가들에 따르면 이 두 가지 멀웨어의 활동이 최근 들어 활발해졌다. 사물인터넷 장비들의 취약점을 익스플로잇 해가며 봇넷을 형성하기 위한 공격자들의 노력이 쏟아 부어지고 있다는 뜻이다. 또한 미라이와 가프짓 사이에 어떤 연관성이 있을 수 있다는 뜻도 된다. 이에 대해서는 2년 전 미라이 관련 보고서에서 살짝 언급된 바 있다.
최근 급증한 공격은 옴니와 관련이 있다. 옴니는 미라이 변종 중 최근에 등장한 것으로 독특한 익스플로잇 메커니즘 덕분에 미라이 변종들 가운데서도 돋보이는 존재라고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 밝힌다. 또한 최근의 옴니 공격에서는 두 개의 암호화 기술이 함께 사용되기도 했는데, 이는 미라이 특유의 크리덴셜 브루트포싱 공격 메커니즘을 버렸다는 뜻이 된다고 팔로알토는 설명한다. 멀웨어가 사용하는 IP 주소를 통해서 페이로드가 전달되고 있으며, C&C 서버에서는 가프짓 샘플이 일부 발견되기도 했었다. 두 멀웨어 사이의 연관성이 더 의심되는 부분이다.
팔로알토 네트웍스는 “이제 사이버 공격자들은 다양한 기기들로 구성된 봇넷을 마련하고 통제하는 데에 굉장히 능숙해졌다”고 짚는다. “이것에 동반되는 현상은, 새롭게 공개된 취약점들이 빠르게 익스플로잇 된다는 것으로, 취약점 정보를 대하는 공격자와 방어자들 사이에 간극이 존재한다는 점이 부각되고 있습니다. 사물인터넷 장비에서 발견되는 각종 취약점들을 해결하기 위한 보안 커뮤니티의 노력이 부족하다는 건 아니지만, 결과물이 좀 더 빨리 나와야 할 필요가 있습니다.”

 

 

5. [기사] 공급망/서드파티 통하여 정보 노출시킨 테슬라와 폭스바겐
[https://www.boannews.com/media/view.asp?idx=71653&mkind=1&kind=1]
테슬라와 폭스바겐 등 열 곳이 넘는 제조 및 생산 기업들이 서드파티 및 공급망을 통하여 자신들의 민감한 정보를 노출시키고 있는 것이 발견됐다. 노출이 시작된 지점은 산업 자동화 기술 제공업체인 레벨원 로보틱스(Level One Robotics)였고, 아르싱크(rsync) 파일 전송 프로토콜 서버의 불완전한 설정 때문에 사고가 발생했다고 보안 업체 업가드(UpGuard)가 밝혔다. 업가드가 발견한 바에 의하면 서버에는 아무런 제한이 없었는데, “해당 서버에 연결된 클라이언트를 통해 데이터에 접근하는 것이 매우 쉬운 일이라는 뜻”이라고 한다. “공격자 입장에서는 기밀이 저장된 위치만 정확히 알기만 하면, 서버 안에 있는 모든 데이터를 가져올 수 있게 되어 있더군요.” 여기에 더해 업가드가 발견했을 당시 아르싱크 서버는 누구나 디스크에 쓸 수 있는 권한까지도 허용하고 있었다. 아무나 이 서버에 접근한 후 임의의 파일을 골라 내용을 바꾸거나 삭제하는 게 가능했다는 소리다. 업가드는 “매우 심각한 오류”라고 지적했다.
하지만 업가드 보기에 더 염려되는 건 따로 있었다. “다행히 비밀번호가 평문으로 저장되어 있지는 않았습니다만, 공식 신원 확인 문건과 VPN 크리덴셜 요청 양식, 레벨원 고객들을 위한 연락처 정보와 개인정보 등을 조합하면 정교한 소셜 엔지니어링이 가능하게 됩니다. 그러면 아무리 보안을 철저히 해도 쉽게 뚫리게 되는 겁니다.”
보안 업체 사이버GRX(Cyber GRX)의 프레드 네이프(Fred Kneip) CEO는 “어떤 파트너사가 어떤 경로를 통해 어떤 데이터에 주로 접근하는지를 이해하고 있고, 항상 모니터링 해야 한다”고 설명한다. “큰 사건은 큰 구멍에서 발생하지 않습니다. 무시해도 이상하지 않은, 공급망 내 작고 사소한 오류가 하나만 있어도 공격은 충분히 발생합니다. 게다가 그 결과는 무시무시하죠. 서드파티를 관리하는 게 요즘 기업들의 첫 번째 보안 수칙이 되어야 할 겁니다.”
기업들은 서로를 신뢰한다고 했을 때 ‘사장이 말이 잘 통해서’라거나 ‘저 회사는 돈을 잘 버니까’ 등의 이유를 대서는 안 된다고 그는 거듭 강조했다. “이제 기업 간 신뢰는 투명성은 물론 주기적인 확인(1년에 한 번은 안 하는 것과 마찬가지)을 바탕으로 형성되어야 합니다.” 다만 업가드는 “레벨원 로보틱스의 사고 대응이 굉장히 빨랐다”고 칭찬했다.

첨부파일 첨부파일이 없습니다.
태그 모바일 보안  해킹  악성코드