Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 2일] 주요 보안 이슈
작성일 2019-12-02 조회 135

1. [기사] 빅데이터를 통한 범죄 예측, 첫발을 내딛다
[https://www.boannews.com/media/view.asp?idx=84870&page=2&kind=2]
범죄 발생 위험지역을 예측해 경찰관, 순찰차 등 치안 자원을 미리 적재적소에 배치하는 인공지능 기반의 스마트 치안이 현실화할 전망이다. 행정안전부 국가정보자원관리원(이하 관리원)과 경찰청은 치안 정책의 패러다임을 전환하고 스마트 치안을 구현하기 위한 빅데이터 분석을 수행했다. 분석은 송도·청라 등 신도심과 국제공항·국가산업단지 등 복합적인 도시 환경이 공존하는 인천지역을 대상으로 범죄·무질서 위험도 예측모델을 설계해 월(月)·일(日)·2시간 단위로 범죄·무질서 발생 위험지역을 예측하고, 범죄·무질서 발생에 영향을 미치는 주요 환경적 요인을 파악한 것이다. 먼저 관리원은 인천 지역을 가로 200m×세로 200m 크기의 2만3,000여 개 격자로 나누고 알고리즘을 통해 5개의 군집으로 분류했으며, 군집분석 결과 범죄·무질서 발생 최상위 군집 지역은 주말과 심야 시간대에 112 신고가 크게 증가하고, 유동인구는 매우 많지만, 거주 인구는 적은 특징을 보였다. 관리원은 신고·범죄 건수뿐만 아니라 환경적 요인을 결합해 범죄 위험도 예측모델을 개발했으며, 이를 통해 지역별, 월(月)·일(日)·2시간 단위의 범죄 발생 건수를 예측하고 범죄·무질서 위험도를 5점 척도로 나타낸 것이다. 인공지능 알고리즘은 약 2,600개의 요인 중에서 ‘유흥주점의 업소 수(數)’를 범죄 예측의 가장 중요한 환경적 요인으로 선정했고, 숙박시설의 경우 업소 수(數)뿐만 아니라 매출액도 같이 고려했고, 유동인구의 요일별 편차도 범죄 예측에 중요한 요인으로 판단했다. 또한, 특정 지역의 범죄 예측에는 그 지역의 과거 범죄 건수 외에 인접 지역의 범죄 건수 또한 큰 영향을 미친다는 사실을 밝혀냈다. 경찰청은 지난 10월 14일부터 6주간 범죄 예측 결과를 기반으로 인천시의 16개 지역에 경찰관과 순찰차를 집중적으로 배치했으며, 그 결과 신고 건수는 2018년 같은 기간 대비 23.7%, 범죄 발생 건수는 9.7% 감소하여, 예측 모델을 현장에 적용한 결과 실제 범죄 예방에 효과가 있는 것으로 나타났다. 


2. [기사] International law enforcement operation shuts down Imminent Monitor RAT operations
[https://securityaffairs.co/wordpress/94525/cyber-crime/imminent-monitor-rat-shutdown.html]
Europol은 Imminent Monitor RAT 뒤에서 조직화 된 사이버 범죄 조직을 해체했다고 발표했다. Imminent Monitor RAT는 위협 행위자가 원격으로 피해자의 컴퓨터를 제어할 수 있는 해킹 도구이다. 키 입력 기록, 브라우저에서 데이터 및 비밀번호 탈취, 웹캠을 통한 피해자 감시, 파일 다운로드/실행, 백신 소프트웨어 비활성화, 실행 중인 프로세스 종료 등 다양한 악의적 행동을 수행하는데 사용될 수 있다. 법 집행 기관이 수행하는 국제 운영은 IM-RAT(Imminent Monitor Remote Access Trojan)의 판매자와 사용자 모두를 대상으로 한다. 당국에 따르면, 해당 해킹 도구는 14,500명 이상의 해커들이 구입했던 124개국에서 사용되었으며, 이 도구는 작전 이후로는 더 이상 사용할 수 없게 되었다. 2019년 6월 호주와 벨기에에서 개발자와 IM-RAT 직원 1명을 상대로 수색영장이 집행되었으며, 11월에는 원격 접속 트로이 목마(RAT)의 13명의 사용자가 체포됐다. 또한, 경찰은 Imminent Monitor RAT 뒤에 있는 단체가 사용하는 인프라를 장악하고 단체와 고객이 사용하는 430개 이상의 장치를 압수하여 해당 기기에 대한 포렌식 분석이 계속되고 있다고 말했다. Imminent Monitor RAT는 사용이 편리하고 $25로 금액이 저렴하여 매우 인기 있었다. 


3. [기사] Data of 21 million Mixcloud users available for sale on the dark web
[https://securityaffairs.co/wordpress/94581/data-breach/mixcloud-data-breach.html]
온라인 음악 스트리밍 서비스 Mixcloud는 최근 해커에 의해 침해당했는데 해커는 도난당한 사용자 데이터를 다크 웹 마켓에 팔려고 시도하고 있다. 이 해킹은 11월 초에 이루어졌으며 2천만 이상의 사용자 계정에 대한 데이터가 유출되었다. 해커는 사용자 이름, 이메일 주소, SHA-2로 해시화된 비밀번호, 계정 가입 날짜 및 국가, 마지막 로그인 날짜, 인터넷 (IP) 주소 및 프로필 사진 링크를 포함한 사용자 데이터에 액세스했다. 도난당한 정확한 데이터양은 알려지지 않았지만, 다크 웹에는 2천 2백만 건의 기록이 있다고 밝혔으며 해커는 데이터 덤프를 0.27비트코인(약 2,000달러)에 팔겠다고 제안하고 있다. 토요일에 Mixcloud는 사건 위반을 공개했으며 회사가 발표한 보안 공지에는 해킹을 확인했지만, 액세스한 시스템은 전체 신용 카드 번호 또는 우편 주소와 같은 데이터를 저장하지 않는다는 점을 강조했다. 또한, Mixcloud는 사고를 적극적으로 조사하고 있음을 확인했으며 사용자가 예방 조치로 비밀번호를 재설정하도록 권장했다. 


4. [기사] The latest variant of the new Ginp Android Trojan borrows code from Anubis
[https://securityaffairs.co/wordpress/94533/cyber-crime/ginp-android-trojan-anubis.html]
ThreatFabric의 보안 전문가는 Ginp라는 Android 뱅킹 트로이 목마를 발견했으며, 이 트로이 목마는 로그인 자격 증명과 신용 카드 데이터를 모두 훔친다. Ginp는 지난 10월 스페인과 영국을 공략하던 중 카스퍼스키에 의해 처음 포착됐지만 6월부터 활동한 것으로 연구진은 보고 있다. Ginp가 눈에 띄는 것은 정기적인 업데이트를 통해 처음부터 확장된 것으로부터 만들어졌다는 것이며, 이미 5번의 주요 업데이트를 받았다. 그리고 세번째 버전으로 추정되는 샘플의 경우 악명 높은 아누비스 은행 트로이 목마에서 복사된 코드가 포함되어 있어, 이는 제작자가 악성코드와 가장 관련성이 높은 기능을 선택하고 있음을 나타낸다. 이번 달에 전문가들이 발견한 최신 버전은 미사용으로 보이는 사소한 변경 사항만 구현했으며, 메시지 전송 및 전화 걸기와 같은 작업을 수행할 수 있는 장치 관리자 권한을 앱에 부여하는 기능을 구현했다. 전문가들은 Ginp가 새로운 기능을 구현함으로써 앞으로 몇 달 동안 계속 진화할 것으로 보고 있으며,  전문가들은 악성코드의 제작자들이 다른 나라로 사업을 확장하려는 계획을 세우고 있다고 추측한다. 


5. [기사] New Chrome Password Stealer Sends Stolen Data to a MongoDB Database
[https://www.bleepingcomputer.com/news/security/new-chrome-password-stealer-sends-stolen-data-to-a-mongodb-database/]
Chrome 브라우저에 저장된 비밀번호를 도용하려는 새로운 Windows 트로이 목마가 발견되었다. 이것이 유일무이한 것은 아니지만, 악성코드는 원격 MongoDB 데이터베이스를 사용하여 도난당한 비밀번호를 저장한다는 점이 두드러진다. 이 트로이 목마은 CStealer라고 불리며, 다른 많은 정보 도용 트로이 목마들과 마찬가지로 구글 크롬의 비밀번호 관리자에 저장된 로그인 자격 증명을 타깃으로 하고 훔치기 위해 만들어졌다. 그러나 도난당한 암호를 파일로 컴파일하여 공격자가 제어하는 ​​C2로 보내는 일반적인 샘플과 달리 원격 MongoDB 데이터베이스에 직접 연결하여 이를 사용하여 도난된 자격 증명을 저장한다. 이를 위해 악성 코드에는 하드 코딩된 MongoDB 자격 증명이 포함되어 있으며, MongoDB C 드라이버를 클라이언트 라이브러리로 사용하여 데이터베이스에 연결한다. 이 방법은 궁극적으로 암호를 훔치는 목적으로 사용되지만 다른 공격자가 피해자의 자격 증명에 액세스할 수 있는 기회를 제공한다.

첨부파일 첨부파일이 없습니다.
태그 Imminent Monitor RAT  Mixcloud  Ginp  CStealer