[긴급] 국가지원 해커조직, 한글 악성파일 변종 계속 유포중

18일 발견된 ‘제9대 학회장 선고공고 및 입후보신청서’ 악성파일 변종 유포

한글문서 실행시 시작 프로그램에 등록된 파일이 존재할 경우 의심해봐야

[보안뉴스 권 준 기자] 지난 18일 ‘제9대 학회장 선고공고 및 입후보신청서’라는 제목의 악성 한글문서가 국가지원 해커조직에 의해 국내에 유포된 이후, 최근 또 다시 해당 악성 파일의 변종이 지속적으로 유포되고 있는 것으로 확인됐다.

안랩 ASEC 분석팀에 따르면 지난 18일 발견된 문서는 한글 워드프로세서 문서에 제9대 한국국가정보학회 학회장 선거를 공고하는 내용으로 위장한 악성 파일로 문서 내부에 존재하는 EPS(EncapEncapsulated Postscript) 개체가 악성기능을 수행하는 것으로 드러났다.

​ 

정신 감정 및 심리 상담 사이트에서도 정보 거래 벌어지고 있다

영국의 인권 단체, 국제프라이버시, 온라인 트래킹 행위에 대해 조사했더니

정신 건강과 관련된 서비스 제공하는 사이트에서도 심각한 윤리적 해이 나타나

[보안뉴스 문가용 기자] 정신 건강과 관련된 웹사이트들을 다수 분석한 보안 전문가들이 “어마어마한 숫자의 트래커를 발견했다”고 발표했다. 대부분 마케팅을 위한 목적으로 활용되고 있었다. 또한 이런 웹사이트들의 25% 이상이 프로그램화 된 광고 및 실시간 입찰과 관련된 서드파티 요소들을 내포하고 있기도 했다.

이런 결과를 발표한 영국의 비영리 단체인 국제프라이버시(Privacy International)의 기술 전문가인 엘리엇 벤디넬리(Eliot Bendinelli)는 “인터넷의 트래킹 기술 혹은 트래킹 산업이 심각하게 잘못된 길로 가고 있다는 걸 조직 차원에서 인지하고 조사를 시작했다”고 설명한다. 그래서 처음에는 기술 산업, 신용 평가 기관, 광고 차단기 등과 같이 추적과 밀접하게 연관된 분야를 조사하기 시작했다고 한다.

​ 

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr


 [패치 및 업데이트]
 금일 최신 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

Trojan/Win32.Fsysna.C3584713

최초 발견일: 2019-11-25

종    류: 트로이목마

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​Trojan/Win32.Fsysna.C3584713은 악성 네트워크와 다수의 통신을 시도하며 프로세스 인젝션을 수행하는

트로이목마이다. 

  ​

[보안TIP]

사이버 공격 지형도 그려봤더니, 국제 관계 현황 그대로 반영해

[보안뉴스 문가용 기자] 사이버 공격 행위에 대한 새로운 보고서가 발표됐다. 2019년 현 시점까지 발생한 사이버 공격의 47%가 중국과 러시아와 연루되어 있으며, 공격 단체가 맞춤형으로 편집하거나 개발한 멀웨어와 ‘프로세스 할로윙(process hollowing)’의 사용률이 올라가고 있다고 한다. 또한 데이터를 파괴하거나 무결성을 훼손하는 종류의 공격이 증가 중에 있으며, 새로운 형태의 아일랜드 호핑(island hopping) 공격이 우려되는 수준으로 올라오고 있다고 한다.

이런 내용이 담겨져 있는 보고서의 이름은 ‘VM웨어 카본블랙 글로벌 사건 대응 위협 보고서(VMWare Carbon Black Global Incident Response Threat Report)’이다. VM웨어 카본블랙의 수석 보안 전략가인 톰 켈러만(Tom Kellermann)은 “VM웨어 카본블랙의 고객만이 아니라 시큐어웍스(SecureWorks), 부즈앨런(Booz Allen), 딜로이트(Deloitte) 등의 고객사들을 대상으로 수집한 데이터를 바탕으로 작성한 것”이라고 말한다. 그만큼 더 신뢰할 만한 결과가 나왔다는 것이다.

“현장에서 발견된 포렌식 풋프린트와 C&C 서버의 위치를 추적해봤을 때 중국과 러시아에서 오는 공격이 가장 많았습니다. 1차 C&C 서버만이 아니라 2차 C&C 서버의 위치도 중국과 러시아가 가장 많았습니다. 물론 다른 나라 해커들이 시선을 중국과 러시아로 돌리기 위해 우회 공격을 한 부분도 있습니다만, 악성 코드에 대한 인간 정보 분석과 공격 동기, 쿠이 보노(cui bono : 누가 이득을 보는가)를 종합적으로 고려했을 때, 그 비율은 그리 높지 않아 보입니다.”

사이버 공격의 범인이 100% 정확하게 지목되지 않는다고 하더라도, 위 결과가 납득이 가는 건 현재 전 세계 지정학적 긴장 관계와 맞아떨어지기 때문이다. “그렇기 때문에 미국의 경우는 특별히 이란의 공격도 많이 받고 있는 중입니다. 미국 내부로부터 발생하는 공격의 비율도 높은데, 이는 미국 내 만연한 불만과 혐오, 환멸의 정서와 맞물립니다. 전 세계의 커다란 흐름을 형성하는 감정이 사이버 공간에 그대로 반영되는 겁니다. 그렇다는 건, 오프라인 공간에서 이뤄지고 있는 실질적 외교 상황 등에서 개선이 있지 않다면 사이버 공간의 지금 상황 역시 개선되지 않을 가능성이 높다는 겁니다.”

미래를 암울하게 만드는 현상은 또 있다. 바로 사이버 보안 인재 문제다. 현재 사이버 보안과 관련된 내용이 점점 더 넓게 교육되고 있는데, 아무리 조기 교육을 받아도 결국에 대학에서까지 정보 보안을 전공하지 않는다면 보안 전문가로서 직장을 구할 수가 없다. “그렇다는 건 보안이나 IT가 아닌 업계에도 해킹 기술과 유사한 실력을 가진 사람들이 대거 포진된다는 뜻입니다. 브라질의 경우 이런 일이 벌써 일어났죠. 브라질 정부가 국민의 IT 능력을 높이려고 지난 20년 동안 교육에 힘을 써왔고, 그 결과 최근 몇 년부터 브라질 해킹 커뮤니티가 급성장을 해왔습니다.”

현재 사이버 공간에서 발생하고 있는 각종 상황이 실제 지정학적 관계를 그대로 반영한다는 건 2020년 미국 대선이 커다란 요소로 작용할 가능성이 높다는 뜻이기도 하다. “이미 다크웹에는 유권자 데이터베이스가 담긴 덤프가 판매되고 있습니다. 보고서 작성을 위해 입수한 덤프의 경우 27개 주의 유권자 정보가 담겨 있었으며, 2019년 10월에만 47번 거래됐습니다. 이미 선거나 정치 현황을 테마로 한 사이버 공격이 차근차근 준비되고 있다는 뜻입니다.”

이런 다량의 개인정보가 거래되는 방식은 여러 가지다. 간단히 돈을 주고 구매하는 경우도 있지만, “최근 들어 사이버 범죄자들은 큰 손들과의 거래를 위해 이런 개인정보를 비축하고 있다”고 한다. “큰 손들은 ‘이런 이런 데이터를 보유하고 있는 곳에 대한 접근 권한을 판매하라’고 요구합니다. 데이터를 다 사서 자기들이 직접 찾아내는 게 아니라, 특정 표적이 되는 곳에 대한 확실한 접근권을 보다 큰 돈을 주고 사는 겁니다. 이를 ‘접근권 채굴(access mining)’이라고 부르는데, 이런 거래 행위가 늘어나는 것도 걱정이 되는 부분입니다.”

유권자 정보가 거래된다고 했을 때 정치적 목적을 가진 악성 행위자들의 관심이 높아질 수밖에 없다는 것도 경계해야 한다. “유권자들이 투표의 자격을 사이버 공격자들에게 빼앗기는 경우가 있을 수도 있습니다. 유권자 데이터베이스에 접근해 무결성을 훼손하면 되므로, 간단히 진행할 수 있기도 합니다. 이름 스펠링을 살짝 바꿔도 수많은 사람들이 투표를 못하게 됩니다. 사회 시스템의 근간이 흔들리는 공격이 될 수 있습니다.”

그 외에도 두 가지 현상이 새롭게 발견되기도 했다. 하나는 파괴형 멀웨어를 사용하는 사례가 늘어나고 있다는 것이다. “사이버 공격자들은 예나 지금이나 은밀히 움직이면서 들키지 않고, 공격을 최대한 오래 지속시키는 데에 집중합니다. 그러다가 발각되면 예전 같으면 조용히 사라졌는데, 요즘은 시스템을 파괴시킵니다. 올해만 해도 41%의 사이버 공격이 파괴형 멀웨어로 결론이 났습니다. 지난 해보다 10% 오른 수치입니다. 주로 와이퍼 멀웨어나 복호화 키가 없는 랜섬웨어로 일이 벌어집니다.”

다른 하나는 ‘아일랜드 호핑’의 새로운 유형이 눈에 띄기 시작했다는 것이다. 아일랜드 호핑 공격이란 한 조직을 공격하고, 그 조직과 관련된 고객사나 파트너사 등을 연쇄적으로 공격하는 것을 말한다. 말 그대로 이 네트워크 섬과 저 네트워크 섬 사이를 뛰어다니는 것이라고 볼 수 있다. 켈러만에 의하면 공격자들은 다음과 같이 아일랜드 호핑 공격을 진행한다고 한다.

1) 한 조직의 메일 서버를 침해한다.

2) 표적에 따라 선택적으로 파일레스 멀웨어를 몇몇 소수의 표적들에 전송한다.

3) 이 때 고위직이나 주요 직책을 맡은 사람들이 주로 선택된다.

4) 그리고 이 사람들을 통해 관계사나 기관, 조직에 다시 공격을 시작한다.

켈러만은 “그렇기 때문에 이제 최악의 경우는 데이터 침해나 유출이 아니라, 우리 조직으로 인해 다른 조직들이 덩달아 피해를 입는 것”이라고 지적한다. “나만 당하면 되는 것에서부터, 남까지 같이 당하게 하는 것”으로 피해의 성질이 변한 것이다. “이것이 바로 요즘 유행하는 디지털 변혁(digital transformation)이라는 것의 어두운 면이라고 볼 수 있습니다.”

공격의 전략이나 기법이 이렇게 발전하는 것처럼 멀웨어 자체도 빠르게 향상되고 있다. “얼마 전까지만 해도 오래된 멀웨어를 시장(다크웹)에서 사서 사용하는 추세였습니다만, 어느 순간부터 커스터마이징이나 자체 개발을 실시하는 경우가 많아졌습니다. 2019년 1사분기부터 커스텀 멀웨어가 41%의 확률로 사용되더니, 지금은 5% 정도 증가한 상태입니다. 멀웨어를 직접 만들 줄 알 정도로 실력이 뛰어난 해커들이 늘어난 데에는 여러 가지 이유가 있을 수 있습니다. 먼저는 일부 정부가 자체적으로 사이버전 기술을 갖고 있지 않을 경우 용병을 활용하기 시작했다는 점이 꼽힙니다. 또 미국의 스파이 기관에서 사용해오던 도구들이 최근 몇 년 동안 수차례 유출되었다는 점도 있습니다. 아직 국제법이 사이버 공간에서의 행동 규범을 규정하고 있지 않다는 것도 이런 현상을 부추기고 있습니다.”

켈러만은 보안 업계가 통합적인 대책을 마련해야 한다고 주장한다. “하지만 현재 보안 시장은 업체별로 나뉘어져 있습니다. 무슨 뜻이냐면 우리끼리 경쟁을 하고 있다는 것이죠. 정작 우리의 적은 다크웹에서 점점 산업화를 이뤄가고 있는 이들인데 말입니다. 우리가 그들과 직접 대항하지 않고 있는 지금 시간대가 그들의 황금과 같은 성장기가 됩니다. 보안 업계가 각자의 API들을 공개하고 통합해 하나의 커다란 방어막으로서 역할을 할 필요가 있습니다.”

http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/