보안정보

글로벌 정보보안 리더 윈스

[2020년 2월 27일] 주요 보안 이슈

침해사고분석팀 2020.02.27

1. [기사] 어떤 방화벽이라도 통과할 수 있는 공격 기법, 클라우드 스누퍼
[https://www.boannews.com/media/view.asp?idx=86633&kind=1]
국가의 지원을 받는 것으로 보이는 해킹 그룹이 고급 기술을 사용해 멀웨어를 퍼트리고 있다는 보고서가 보안 업체 소포스(Sophos)로부터 나왔다. 보고서에 의하면 공격자들이 가진 고급 기술의 핵심은 바로 방화벽을 통과한다는 것이다.  소포스의 전문가들은 노출된 SSH 포트에 대한 사전 공격(dictionary attack)이 진행될 것으로 추측하고 있다. 즉 아직은 알 수 없는 경로로 설치된 루트킷이 멀웨어를 설치하고, 공격자들이 C&C 서버로부터 ‘정상 트래픽’으로 보이는 트래픽을 보내면 루트킷이 받아서 멀웨어에 전달하고, 이 성과물을 루트킷이 ‘정상 트래픽’으로 꾸며 C&C로 전송한다는 것이다. 소포스는
이걸 하나하나 떼놓고 보면 대단할 것이 없지만, 이렇게 연쇄적으로 공격에 적용하는 건 처음 보는 일이라며 이런 고급 기술은 국가가 지원하는 해커들만이 할 수 있는 공격이라 생각한다고 전했다.


2. [기사] 4G와 5G 네트워크를 혼란스럽게 만들 임프포지티 공격법 개발돼
[https://www.boannews.com/media/view.asp?idx=86626&kind=1]
보흠 루르대학교와 뉴욕대학교 아부다비 캠퍼스의 연구원들이 4G와 5G 모바일 네트워크를 겨냥한 새로운 공격 방법을 발견했다. 이 공격은 임프포지티(IMP4GT)로, 성공할 경우 공격자가 피해자인 것처럼 위장할 수 있다고 한다. 현재 LTE 망에서의 인증은 제어 영역(control plane)에서 이뤄지고, 사용자 영역(user plane)에서의 무결성 보호 기능을 가지고 있지 않기 때문에 이 특성을 익스플로잇 하는 것이 임프포지티 공격의 핵심이라 설명했다. 연구원들은 사용자 영역의 데이터에 대한 무결성 확인 장치를 삽입한다면 현재 한창 구축되고 있는 5G망에서 위 문제를 해결할 수 있다고 제안했다.


3. [기사] 금융보안원, 클라우드와 연계해 디도스 공격 대응 체계 강화
[https://www.boannews.com/media/view.asp?idx=86641&kind=0]
금융분야 침해사고대응기관인 금융보안원(원장 김영기)은 대용량으로 증가하는 디도스 공격에 대비하여, 클라우드와 연계한 디도스 공격 대응체계를 2020년 3월부터 본격적으로 가동할 예정이라고 밝혔다. 이 시스템은 최대 5테라급(Tbps) 대용량 디도스 공격에 대한 대응이 가능하다. 이로써, 대용량 디도스 공격에 대하여 국내‧외 클라우드 디도스 대피소에서 1차 방어, 금융보안원의 디도스 공격 비상 대응센터에서 2차 방어하는 2단계 방어체계를 갖추게 됐다. 특히 해외에서 발생한 디도스 공격은 해외에서 원천적으로 차단함으로써, 디도스로 인한 국내 금융권 피해를 사전에 최소화할 수 있게 됐다. 아울러 더 안정적으로 전자금융 서비스를 제공할 수 있게 되고, 이로 인해 금융소비자 또한 서비스를 중단 없이 편리하게 이용할 수 있을 것으로 기대된다.


4. [기사] 랜섬웨어 피해를 입은 매사추세츠 주의 전력회사 RMLD
[https://securityaffairs.co/wordpress/98508/cyber-crime/reading-municipal-light-department-ransomware.html]
이번 주, 매사추세츠의 전력회사 Reading Municipal Light Department는 랜섬웨어 공격을 당했다고 발표했다. RMLD는 6만 8천 명 이상의 시민들에게 전력을 공급해주고 있는 회사다. 한 고객이 전화로 RMLD 웹 사이트 서비스가 중단된 문제를 알렸다. 다행히 웹사이트 외에 전력 공급, 고객의 재무 데이터, 또한 온라인 결제 시스템은 공격에 영향을 받지 않았다. RMLD는 홈페이지에 "2020년 2월 21일 금요일, RMLD는 전국을 휩쓸고 있는 랜섬웨어 보안 침해의 대상이었습니다." 고 게시했다. 또한 RMLD는 이 사건을 매우 심각하게 받아들이고 있으며, 직원들은 이 문제를 해결하고 가능한 한 빨리 운영을 회복하기 위해 지칠 줄 모르는 노력을 하고 있다고 말했다.


5. [기사] Kr00k Wi-Fi 암호화 결함, 10억 개 이상의 장치에 영향 미쳐
[https://thehackernews.com/2020/02/kr00k-wifi-encryption-flaw.html]
ESET의 사이버보안 연구원들은 Broadcom 및 Cypress가 제조한 Wi-Fi 칩에 새로운 심각한 하드웨어 취약성을 발견했다. CVE-2019-15126으로 추적된 Kr00k 취약점은 공격자들이 취약한 장치가 전송 한 일부 무선 네트워크 패킷을 해독할 수 있게 한다. 공격자는 피해자의 무선 네트워크에 연결할 필요가 없으며 이 결함은 AES-CCMP 암호화를 통해 WPA2 개인 또는 WPA2-엔터프라이즈 프로토콜을 사용하여 취약한 장치에 대해 작동하여 네트워크 트래픽을 보호한다. 이 외에도 많은 무선 라우터에 내장된 칩에도 영향을 미치기 때문에, 공격자가 Kr00k에 취약하지 않은 연결된 장치에서 전송되는 네트워크 트래픽을 패치를 하거나 다른 Wi-Fi 칩을 사용하는 것도 가능하게 한다. 애플은 이미 사용자용 패치를 출시했으며, 다른 공급업체들은 아직 자사 기기와 비교 테스트하고 있다.