Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 9월 26일] 주요 보안 이슈
작성일 2017-09-26 조회 2259

1.[기사] 올해 3분기 북한 추정 사이버공격 30건, 유형·특징 집중분석
[http://www.boannews.com/media/view.asp?idx=57180&mkind=1&kind=1]

9월 들어서만 북한 추정 사이버공격이 10건이 넘게 발생한 것으로 집계됐다. 이보다 앞선 지난 8월에 탐지된 북한 추정 사이버공격은 이보다 2배 가량 많은 18건으로 드러났다. 지난 7월의 2건까지 포함하면 3분기 동안 무려 30건의 북한 추정 사이버공격이 감행된 것으로 분석됐다. 3분기 동안 발생한 사건을 분석한 결과, 국내 사용자가 다수 이용하는 문서파일에 대한 악성코드 삽입이 가장 많이 발견됐다. 특히, 한글 문서의 경우 더 많은 사용자들의 악성코드 감염을 위해 최신 취약점을 악용한 것으로 분석됐다. 최근에는 한컴업데이트 모듈로 위장한 악성파일과 HWP 취약점 개발도구까지 개발한 정황이 포착됐다. HWP 취약점 개발도구는 원격 공격 기능 등을 개발한 북한 사이버전사가 만든 것으로 추정된다. 이와 관련 북한의 사이버공격 전문 연구그룹은 “2014년 한수원 공격에 사용한 HWP 취약점도 그랬지만, 북한의 사이버전사는 다수의 정상 HWP 문서에 악성기능을 삽입하는 자동화 도구를 개발해 사용한 바 있다”고 지난 24일 밝혔다. 대형 포털의 이메일 취약점을 이용한 공격도 최근 발견되며 주목을 받고 있다. 지난 19일에는 대형 포털사이트인 다음 이메일의 img 태그 XSS 취약점을 이용한 공격이 포착됐으며, 같은 날 2100년으로 조작된 북한 추정의 악성프로그램도 발견됐다. 뿐만 아니라 비트코인 거래기업인 모 사이트의 입사 지원서로 위장한 한글 악성파일이 제작된 정황도 드러났다.


2. [기사] 신용 조합, 위법과 관련한 사기 비용에 대해 Equifax 고소
[https://www.databreachtoday.com/credit-union-sues-equifax-over-breach-related-fraud-costs-a-10329]

Summit Credit Union은 Equifax의 본사가 있는 Atlanta의 연방 법원에 소송을 제기했다. 이 소송은 Equifax의 부당한 사업 관행에 반발하여 발생한 것으로 보인다. 신용 조합은 신용 카드 정보의 누설과 민감한 개인 정보의 누출로 인해 위험한 지불 카드를 교체하고 신원 도용과 관련된 사기 비용을 충당할 것이라고 밝혔다. 소송은 신용 조합 회원에게 카드 사용을 취소하고 재발행하거나, 위험에 처한 고객 계좌를 변경하고 폐쇄 할 수 있음을 나타낸다. 소송 결과, 법원 측은 "Equifax가 해커의 공격으로부터 웹 사이트와 컴퓨터 시스템을 보호하고 소비자의 민감한 개인 정보와 금융 정보에 대한 무단 접근을 막기 위해 적절한 보안 조치를 취해야한다"고 판결했다. 한편 Equifax는 9월 7일에 공격자가 웹 응용 프로그램 중 하나의 취약점을 악용하여 1 억 4,300 만 명의 미국 소비자에 대한 개인 정보를 도용했다고 발표했다. 개인 정보에는 이름, 생년월일, 주소, 사회 보장 번호 및 경우에 따라 운전 면허증 번호가 포함되어 있다.


3. [기사] Adobe, 실수로 개인 PGP키 게시
[http://www.securityweek.com/adobe-accidentally-posts-private-pgp-key?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://threatpost.com/adobe-private-pgp-key-leak-a-blunder-but-it-could-have-been-worse/128113/]
[http://securitydaily.org/adobe-product-security-team-inadvertently-publishes-pgp-private-key-network/]

Adobe는 프라이빗 PGP 키 중 하나가 실수로 PSIRT (Product Incident Security Response Team) 블로그에 게시되었다. 이 회사의 공개 키와 개인 키 쌍이 함께 게시되었으며 두 가지 모두 Adobe PSIRT로 전송된 메시지의 암호를 해독하거나 Adobe PSIRT로 간주되는 메시지에 서명하는 데 사용될 수 있다. 개인 메시지를 도용하거나 피싱 공격을하는 등의 누출로 인한 위험은 핀란드 보안 회 인 2NS (Second Nature Security)의 연구원에 의해 예방되었다. Nurminen은 Adobe 제품의 취약점을 회사의 보안 팀에 보고하던 중 개인 키 게시를 최초로 발견했다. 이를 발견한 Adobe는 몇 시간 후 게시물을 삭제하고 새로운 개인 키를 생성했다. "어도비는 이 문제를 알고 있으며 문제의 PGP 키를 취소하고 새로운 공개 및 비공개 키를 발표했다"고 어도비는 성명서를 통해 밝혔다. 문제의 PGP 키는 외부 보안 연구원과 Adobe 보안 팀 간의 전자 메일 통신에만 사용되었으며 Adobe 고객에게는 아무런 영향을 미치지 않았다. 


4. [기사] 악명 높은 스파이웨어 ‘FinFisher’ 변종 감염 확산…주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=24273]

최신 스파이웨어인 ‘FinFisher’ 변종 감염 사례가 다수 발견되고 있어 사용자의 각별한 주의가 요구된다. ‘FinSpy’로도 알려진 악명 높은 스파이웨어 ‘FinFisher’의 새로운 변종을 포함하는 소프트웨어가 전 세계 공공기관과 산하기관을 대상으로 판매되고 있어 주의가 필요하다. 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 관계자에 따르면 “새로 발견된 변종은 몇몇 기술적인 개선을 포함하고 있으며, 변종 중 일부는 주요 ISP 의 개입을 의심할 수 있는 감염 벡터를 사용하고 있다”며 “FinFisher는 웹캠과 마이크를 통한 실시간 촬영과 도청, 키로깅 및 파일 유출 등 광범위한 스파이 기능을 포함하고 있다”고 설명했다. 공격은 사용자가 잘 알려진 검색 포털에서 애플리케이션을 검색하는 것으로 시작된다. 사용자가 다운로드 링크를 클릭하면 수정된 링크를 통해 공격자의 서버에서 호스팅되는 트로이목마 설치 패키지로 리디렉션된다. 이를 다운로드 후 실행하면 정상적인 애플리케이션 뿐만 아니라 함께 제공되는 FinFisher 스파이웨어도 설치된다. 이러한 리디렉션 프로세스는 사용자의 인지없이 진행되어 육안으로는 확인이 불가능하다.


5. [기사] 오라클 공개된 Apache Structs 취약점 패치
[http://www.securityweek.com/oracle-releases-patches-exploited-apache-struts-flaw?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

오라클은 Apache Struts 2 프레임 워크의 몇 가지 취약점을 해결하기 위해 많은 제품에 대한 패치를 발표했다.  CVE-2017-9805는 Apache Struts 개발자가 패치를 발표한 후 수 시간 내에 PoC (proof-of-concept) 코드가 게시 된 취약점이다. 여러 보안 업체가 곧 공격을 발견했었다. Struts가 신뢰할 수없는 데이터를 deserialize하는 방식으로 인해 발생하는 이 취약점은 원격 코드 실행을 허용하며 XML 페이로드에 XStream 처리기와 함께 REST 플러그인을 사용하는 응용 프로그램에 영향을 주었다. 이에 대해 최근 오라클은 최신 업데이트를 발표했다. CVE-2017-7672, CVE-2017-9787, CVE-2017-9791, CVE-2017-9793, CVE-2017-9804를 비롯하여 최근에 Apache Software Foundation에서 발견한 여러 Struts 취약점을 패치했다. 따라서 사용자들은 벤더사에서 제공하는 최신버전으로 업데이트 해야 한다.


6. [기사] Deloitte 해킹 - 사이버 공격으로 고객 이메일 노출
[http://thehackernews.com/2017/09/deloitte-hack.html]
[http://www.securityweek.com/deloitte-says-very-few-clients-hit-hack?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/security/hackers-breached-deloitte-one-of-the-big-four-accounting-firms/]

글로벌 세금 및 감사 회사 딜로이트(Deloitte)는 사이버 공격으로 개인 정보 및 개인 고객의 문서를 비롯한 기밀 정보가 도난당한 사실을 확인했다. Deloitte는 미국 최대의 민간 회계 법인으로 세금, 감사, 운영 컨설팅, 사이버 보안 자문, 합병 및 인수 지원 서비스를 대형 은행, 정부 기관 및 대규모 Fortune 500 다국적 기업에 제공한다. 이 회사는 3월에 사이버 공격을 발견했지만, 알려지지 않은 공격자가 2016년 10월 또는 11월 이후로 전자 메일 시스템에 접근했을 것이라고 주장했다. 해커는 Two-Factor 인증 (2FA)을 사용하여 보안되지 않은 관리자 계정을 통해 Deloitte의 전자 메일 서버에 액세스 할 수 있었으며 이로 인해 Deloitte의 Microsoft 호스팅 전자 메일 사서함에 액세스 할 수 있었다. 해커는 전자 메일 외에도 "사용자 이름, 암호, IP 주소, 기업 및 건강 정보의 아키텍처 다이어그램"에 액세스 할 수 있는 것으로 발견되었다. Deloitte의 대변인은 "사이버 사건에 대응하여 Deloitte는 포괄적인 보안 프로토콜을 구현했으며 Deloitte 내부 및 외부의 사이버 보안 팀과 기밀 전문가들을 동원하는 등 철저한 검토를 시작했다. Deloitte의 사이버 사건에 대한 내부 조사는 아직 진행 중이며, 영향 받은 고객에게 정보 유출에 대한 안내를 진행했다." 고 발표했다.

첨부파일 첨부파일이 없습니다.
태그