[보안뉴스 문가용 기자] 황혼에서 새벽까지 보도된 보안 외신을 간략히 정리하며 당신이 잠든 사이에 일어난 일들을 짚는다.
8베이스 랜섬웨어 일망타진한 국제 공조
미국, 유럽, 아시아의 사법기관들이 8베이스(8Base)라는 랜섬웨어 조직들이 쓰던 다크웹 사이트들을 폐쇄시키고 4명의 유럽인 용의자들을 태국에서 체포했다. 이들은 2022년부터 활동해 전 세계 1000명 피해자들로부터 1600만 달러를 훔친 혐의를 받고 있다. 경찰은 체포 과정에서 전화기, 암호화폐 지갑, 랩톱 등 40여개가 넘는 증거들을 확보했다. 미국과 스위스는 용의자들의 인도를 요구하고 있으나 아직 태국 측에서 확답을 주지 않고 있다. 이번 공조에는 ‘포보스아에토’(Phobos Aetor)라는 이름이 붙었다.
[자료: gettyimagesbank.com]
애플, iOS서 발견된 제로데이 취약점 패치
아이폰에 영향을 주는 제로데이 취약점이 발견돼 애플이 긴급하게 패치했다. 고도화 된 표적 공격에서만 활용되는 취약점이며, iOS 18.3.1을 통해 제거됐다고 애플은 발표했다. 아직 세부 내용이 공개되지는 않았지만 전화가 잠겨 있을 때 USB를 통해 데이터를 전송할 수 없게 해둔 옵션을 해제시키는 것과 관련이 있다고 현재까지는 알려져 있다. 즉 물리적 접근이 있어야 익스플로잇이 가능하다는 뜻. 이 지점에서 아이폰용 해킹 도구를 개발해 수사 기관에 제공하는 이스라엘 업체 셀레브라이트(Celebrite)의 연관성이 의심되기도 한다.
재작년 12월 사건 당사자들에게 이제 통보하는 HPE
HPE가 2023년 12월에 발생한 사건의 피해자들에게 이제야 연락을 취하기 시작했다. 러시아의 미드나이트블리자드(Midnight Blizzard) APT 조직이 MS 오피스 365 클라우드 기반 이메일에 접근해 각종 개인정보를 훔친 일을 말한다. 이들은 APT29 등으로도 불리며, 2016년 미국 대선 당시 여론 조작을, 2020년 솔라윈즈(SolarWinds) 공급망 공격을 실시한 것으로 알려져 있다. HPE는 사건을 2023년 12월에 인지했으나 피해 규모를 확인하는 작업이 오래 걸린 것으로 파악된다. 공격자들은 각종 개인정보를 2023년 5월부터 훔쳐갔던 것으로 조사됐다.
‘혹시 트럼프도 사용했을까?’
지난 달 말 메타가 자사 플랫폼 왓츠앱에서 이스라엘 스파이웨어 남용 사건이 있었다고 공개했다. 당시 문제가 된 스파이웨어는 그래파이트(Graphite)이고, 이를 개발한 건 파라곤솔루션즈(Paragon Solutions)라는 기업이었다. 약 90~100명의 사용자가 감시를 받은 것으로 확인됐고, 시간이 지나면서 이탈리아 기자 한 명과 NGO 창립자, 스웨덴에서 활동하는 리비아의 운동가가 피해를 입었다는 게 밝혀졌다. 곧 더 많은 피해자들이 공개될 예정인데, ‘트럼프도 그래파이트를 사용하고 있었을까?’에 관심이 몰리고 있다. 첫 임기 때인 2019년, FBI에서 이스라엘의 스파이웨어인 페가수스(Pegasus) 라이선스를 획득한 사실이 밝혀지기도 했었다. FBI는 이를 전혀 사용하지 않았다고 주장했다.
[자료: gettyimagesbank.com]
구글의 일방적인 인공지능 정책 변경
구글이 인공지능으로 무기나 감시 도구를 만드는 데 일조하지 않겠다고 한 과거의 다짐을 취소했다. 2023년 49페이제에 달하는 문서를 통해 “인공지능 악용에 반대한다”고 거창한 성명까지 냈지만 불과 1년 조금 넘은 시점에 자신의 말을 폐기한 것. 이 때문에 기업이 발표하는 윤리성이나 성명을 믿어서는 안 된다는 말이 나오고 있다. 특히 요즘 각광을 받고 있고 급변화의 한 가운데 있는 LLM 산업에서 나오는 거창한 선언문들이 더욱 그렇다. 약속을 하고도 지키지 않아서 그렇기도 하지만, 약속 자체를 한 번에 바꿀 수 있어서 그렇기도 하다.
은밀한 C&C로 악용되는 애플리케이션 계층
100만개가 넘는 멀웨어 샘플을 분석했더니 새로운 공격 트렌드가 발견됐다. 공격자들이 OSI 7계층 모델 중 ‘애플리케이션 계층’을 공격에 악용하고 있다는 것이다. 네트워크 상에서 소프트웨어 간 통신을 담당하는 계층이다. 보안 업체 피커스시큐리티(Picus Security)에 의하면 이런 애플리케이션 계층을 활용할 경우 악성 트래픽을 정상 네트워크 트래픽에 임베드 하게 돼 기존 보안 장치들로는 탐지가 어려워진다고 한다.
호주, 초당 사이버 공격 한 번 받아
2024년 한 해 동안 호주에서는 1초에 한 번꼴로 데이터 침해 사고가 발생했다. 2023년에 비해 무려 12배나 증가한 수치다. 세계적으로는 1초에 176번의 사건이 발생했는데(2023년 대비 8배 상승), 그 중 호주가 하나를 담당하고 있다고 볼 수 있다. 해당 기간 동안 호주에서는 총 4700만 건의 데이터가 유출됐다고 하며, 데이터 침해가 일종의 전염병처럼 확산되고 있는 게 현지 분위기라고 한다. 2004년부터 호주에서는 총 5억 5450만 건의 기록들이 침해되거나 유출됐다.
[자료: gettyimagesbank.com]
리눅스 커널서 7년된 취약점 발굴
리눅스 커널에서 초고위험도 취약점이 발견됐다. 7년 전부터 존재했던 것이었다. 익스플로잇에 성공하면 원격 코드 실행 공격이 가능하다. CVE-2024-36904라는 관리 번호가 부여됐다. TCP 서브시스템 내 inet_twsk_hashdance라는 함수에서 ‘경합 조건’이 발동되는 게 문제인 것으로 분석됐다. 레드햇(Red Hat)과 페도라(Fedora) 등 일부 리눅스 배포판에도 영향을 주는 것으로 확인됐다. 다만 실제 익스플로잇 공격은 커널에 대한 높은 이해도와 정확한 시간 맞추기를 요구해 난이도가 높은 편이다.
IIS 서버 익스플로잇 하는 드래곤랭크
아시아의 IIS 서버를 공략하는 공격자들이 발견됐다. 보안 업체 트렌드마이크로(Trend Micro)는 이들을 드래곤랭크(DragonRank)라고 명명해 추적하고 있다. 드래곤랭크는 중국어를 사용하며, IIS 서버 해킹을 통해 배디스(BadIIS)라는 이름의 멀웨어를 유포하고 있는 것으로 분석됐다. HTTP 헤더 정보를 변경시켜 온라인 불법 도박 사이트로 우회 접속시키는 기능을 가진 멀웨어다. 피해는 인도, 태국, 베트남, 필리핀, 싱가포르, 대만, 한국, 일본, 브라질에서 접수되는 중이다.
이란 해커, 35만 이스라엘 경찰 정보 공개
한달라(Handala)라고 하는 이란 해커들이 이스라엘 경찰을 겨냥해 사이버 공격을 실시했다. 그리고 2.1테라바이트의 데이터를 훔쳤다고 주장하는 중이다. 경찰 요원들의 각종 개인 및 민감 정보는 물론 경찰의 무기고 및 재판 기록들까지도 여기에 포함되어 있다고 한다. 훔친 정보들 중 35만건은 이미 공개했다고도 밝혔다. 개인 사진과 연락처가 공개된 것으로 보이며, 이에 따라 일부 경찰 요원들의 생명과 안전이 위험할 수 있는 상황이다. 하지만 이스라엘 경찰은 침해 사실이 없었다고 반박했지만 아직 수사가 종결된 건 아니라고 밝혔다.
[국제부 문가용 기자(globoan@boannews.com)]
8베이스 랜섬웨어 일망타진한 국제 공조
미국, 유럽, 아시아의 사법기관들이 8베이스(8Base)라는 랜섬웨어 조직들이 쓰던 다크웹 사이트들을 폐쇄시키고 4명의 유럽인 용의자들을 태국에서 체포했다. 이들은 2022년부터 활동해 전 세계 1000명 피해자들로부터 1600만 달러를 훔친 혐의를 받고 있다. 경찰은 체포 과정에서 전화기, 암호화폐 지갑, 랩톱 등 40여개가 넘는 증거들을 확보했다. 미국과 스위스는 용의자들의 인도를 요구하고 있으나 아직 태국 측에서 확답을 주지 않고 있다. 이번 공조에는 ‘포보스아에토’(Phobos Aetor)라는 이름이 붙었다.
[자료: gettyimagesbank.com]
애플, iOS서 발견된 제로데이 취약점 패치
아이폰에 영향을 주는 제로데이 취약점이 발견돼 애플이 긴급하게 패치했다. 고도화 된 표적 공격에서만 활용되는 취약점이며, iOS 18.3.1을 통해 제거됐다고 애플은 발표했다. 아직 세부 내용이 공개되지는 않았지만 전화가 잠겨 있을 때 USB를 통해 데이터를 전송할 수 없게 해둔 옵션을 해제시키는 것과 관련이 있다고 현재까지는 알려져 있다. 즉 물리적 접근이 있어야 익스플로잇이 가능하다는 뜻. 이 지점에서 아이폰용 해킹 도구를 개발해 수사 기관에 제공하는 이스라엘 업체 셀레브라이트(Celebrite)의 연관성이 의심되기도 한다.
재작년 12월 사건 당사자들에게 이제 통보하는 HPE
HPE가 2023년 12월에 발생한 사건의 피해자들에게 이제야 연락을 취하기 시작했다. 러시아의 미드나이트블리자드(Midnight Blizzard) APT 조직이 MS 오피스 365 클라우드 기반 이메일에 접근해 각종 개인정보를 훔친 일을 말한다. 이들은 APT29 등으로도 불리며, 2016년 미국 대선 당시 여론 조작을, 2020년 솔라윈즈(SolarWinds) 공급망 공격을 실시한 것으로 알려져 있다. HPE는 사건을 2023년 12월에 인지했으나 피해 규모를 확인하는 작업이 오래 걸린 것으로 파악된다. 공격자들은 각종 개인정보를 2023년 5월부터 훔쳐갔던 것으로 조사됐다.
‘혹시 트럼프도 사용했을까?’
지난 달 말 메타가 자사 플랫폼 왓츠앱에서 이스라엘 스파이웨어 남용 사건이 있었다고 공개했다. 당시 문제가 된 스파이웨어는 그래파이트(Graphite)이고, 이를 개발한 건 파라곤솔루션즈(Paragon Solutions)라는 기업이었다. 약 90~100명의 사용자가 감시를 받은 것으로 확인됐고, 시간이 지나면서 이탈리아 기자 한 명과 NGO 창립자, 스웨덴에서 활동하는 리비아의 운동가가 피해를 입었다는 게 밝혀졌다. 곧 더 많은 피해자들이 공개될 예정인데, ‘트럼프도 그래파이트를 사용하고 있었을까?’에 관심이 몰리고 있다. 첫 임기 때인 2019년, FBI에서 이스라엘의 스파이웨어인 페가수스(Pegasus) 라이선스를 획득한 사실이 밝혀지기도 했었다. FBI는 이를 전혀 사용하지 않았다고 주장했다.
[자료: gettyimagesbank.com]
구글의 일방적인 인공지능 정책 변경
구글이 인공지능으로 무기나 감시 도구를 만드는 데 일조하지 않겠다고 한 과거의 다짐을 취소했다. 2023년 49페이제에 달하는 문서를 통해 “인공지능 악용에 반대한다”고 거창한 성명까지 냈지만 불과 1년 조금 넘은 시점에 자신의 말을 폐기한 것. 이 때문에 기업이 발표하는 윤리성이나 성명을 믿어서는 안 된다는 말이 나오고 있다. 특히 요즘 각광을 받고 있고 급변화의 한 가운데 있는 LLM 산업에서 나오는 거창한 선언문들이 더욱 그렇다. 약속을 하고도 지키지 않아서 그렇기도 하지만, 약속 자체를 한 번에 바꿀 수 있어서 그렇기도 하다.
은밀한 C&C로 악용되는 애플리케이션 계층
100만개가 넘는 멀웨어 샘플을 분석했더니 새로운 공격 트렌드가 발견됐다. 공격자들이 OSI 7계층 모델 중 ‘애플리케이션 계층’을 공격에 악용하고 있다는 것이다. 네트워크 상에서 소프트웨어 간 통신을 담당하는 계층이다. 보안 업체 피커스시큐리티(Picus Security)에 의하면 이런 애플리케이션 계층을 활용할 경우 악성 트래픽을 정상 네트워크 트래픽에 임베드 하게 돼 기존 보안 장치들로는 탐지가 어려워진다고 한다.
호주, 초당 사이버 공격 한 번 받아
2024년 한 해 동안 호주에서는 1초에 한 번꼴로 데이터 침해 사고가 발생했다. 2023년에 비해 무려 12배나 증가한 수치다. 세계적으로는 1초에 176번의 사건이 발생했는데(2023년 대비 8배 상승), 그 중 호주가 하나를 담당하고 있다고 볼 수 있다. 해당 기간 동안 호주에서는 총 4700만 건의 데이터가 유출됐다고 하며, 데이터 침해가 일종의 전염병처럼 확산되고 있는 게 현지 분위기라고 한다. 2004년부터 호주에서는 총 5억 5450만 건의 기록들이 침해되거나 유출됐다.
[자료: gettyimagesbank.com]
리눅스 커널서 7년된 취약점 발굴
리눅스 커널에서 초고위험도 취약점이 발견됐다. 7년 전부터 존재했던 것이었다. 익스플로잇에 성공하면 원격 코드 실행 공격이 가능하다. CVE-2024-36904라는 관리 번호가 부여됐다. TCP 서브시스템 내 inet_twsk_hashdance라는 함수에서 ‘경합 조건’이 발동되는 게 문제인 것으로 분석됐다. 레드햇(Red Hat)과 페도라(Fedora) 등 일부 리눅스 배포판에도 영향을 주는 것으로 확인됐다. 다만 실제 익스플로잇 공격은 커널에 대한 높은 이해도와 정확한 시간 맞추기를 요구해 난이도가 높은 편이다.
IIS 서버 익스플로잇 하는 드래곤랭크
아시아의 IIS 서버를 공략하는 공격자들이 발견됐다. 보안 업체 트렌드마이크로(Trend Micro)는 이들을 드래곤랭크(DragonRank)라고 명명해 추적하고 있다. 드래곤랭크는 중국어를 사용하며, IIS 서버 해킹을 통해 배디스(BadIIS)라는 이름의 멀웨어를 유포하고 있는 것으로 분석됐다. HTTP 헤더 정보를 변경시켜 온라인 불법 도박 사이트로 우회 접속시키는 기능을 가진 멀웨어다. 피해는 인도, 태국, 베트남, 필리핀, 싱가포르, 대만, 한국, 일본, 브라질에서 접수되는 중이다.
이란 해커, 35만 이스라엘 경찰 정보 공개
한달라(Handala)라고 하는 이란 해커들이 이스라엘 경찰을 겨냥해 사이버 공격을 실시했다. 그리고 2.1테라바이트의 데이터를 훔쳤다고 주장하는 중이다. 경찰 요원들의 각종 개인 및 민감 정보는 물론 경찰의 무기고 및 재판 기록들까지도 여기에 포함되어 있다고 한다. 훔친 정보들 중 35만건은 이미 공개했다고도 밝혔다. 개인 사진과 연락처가 공개된 것으로 보이며, 이에 따라 일부 경찰 요원들의 생명과 안전이 위험할 수 있는 상황이다. 하지만 이스라엘 경찰은 침해 사실이 없었다고 반박했지만 아직 수사가 종결된 건 아니라고 밝혔다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
