[Security News] 2021년 하반기 국내외 사이버 위협 동향을 돌아보다···.
랜섬웨어부터 Log4j까지

아파트 월패드 해킹, Log4j 취약점 등 2021년 하반기 사이버 위협 동향을 정리한 보고서가 나왔습니다. 한국인터넷진흥원(KISA)이 발간한 ‘2021년 하반기 사이버 위협 동향 보고서’에는 2021년 7월부터 12월까지 국내외 주요 매체에서 상세하게 다룬 사이버 위협을 요약, 분석하고 시사점을 도출한 내용이 담겨 있습니다.

[이미지=freepik]

랜섬웨어 유포 경로 악용…VPN 취약점 공격 피해

첫 번째 이슈는 미국 IT 관리용 솔루션 제공업체 Kaesya의 IT 관리용 플랫폼 제품인 VSA가 랜섬웨어 유포 경로로 악용된 사례입니다. 기존에는 블루크랩이 불특 정다수의 일반 사용자를 대상으로 구글, MS 빙 검색 사이트를 통해 자바 스크립트 형태로 유포됐습니다. 이번 피해 사례에서는 타깃 공격 형태로 유포되었다는 점과 동작 방식에서 차이점이 존재합니다.

해당 공격의 배후로 추정되는 레빌(REvil) 랜섬웨어 그룹은 효과적인 배포를 위해 공급망을 통해 공격했습니다. 윈도우 디펜더 무력화 및 AV 벤더의 탐지 회피를 위해 정상 MS 파일을 이용해 파일을 암호화했습니다.

한국원자력연구원, VPN 취약점으로 인한 공격 피해…

두 번째 이슈는 한국원자력연구원이 VPN 취약점으로 인해 공격 피해를 당한 사례입니다. 지난 7월 국가정보원에서는 한국원자력연구원이 북한에 의해 12일 동안 해킹을 당했다고 밝혔습니다. 국정원으로부터 VPN 서버 관리자의 패스워드를 변경하라는 통보를 받았으나 원자력연구원에서 이행하지 않아 사고가 발생한 것으로 파악됩니다.

13개의 외부 IP에서 허가받지 않은 접속이 이뤄졌고, VPN 이외에도 메일 시스템과 KMS 인증서버가 피해를 당했습니다. 사고 발생을 인지한 후, 방화벽과 IPS에서 공격자 IP를 차단하고 VPN의 보안 취약점을 패치하는 긴급 대응을 시행했습니다.

iOS, 안드로이드 운영체제를 대상으로 하는 페가수스 해킹 사례

세 번째 이슈, 페가수스 스파이웨어는 이스라엘 NSO그룹이 개발하고 전세계 정부에 제공한 스파이웨어입니다. iOS, 안드로이드 운영체제를 사용하는 수십억 대의 휴대폰을 감염시킬 수 있습니다. 2016년 페가수스의 최초 버전은 문자메시지나 이메일을 통해 휴대폰으로 악성 링크를 전송하는 스피어피싱 형태로 사용자가 클릭함으로써 휴대폰을 감염시키는 방식이었습니다.

이후 버전에서는 사용자가 링크를 클릭하는 등의 작업을 수행하지 않아도 감염시킬 수 있는 제로데이 취약점을 이용했고 최근에는 애플의 아이메시지 취약점을 악용해 수억 대의 아이폰에 백도어를 설치했습니다. 페가수스가 설치되면 휴대폰에 저장된 정보들을 수집하거나 메시지, 통화내역, 이메일 등 일부 데이터가 삭제될 수 있습니다.

티모바일 대규모 개인정보 유출…사상 최악의 Log4j 취약점

네 번째 이슈로는 티모바일 대규모 개인정보 유출사고 발생 사례가 있습니다. 지난 8월 15일 사이버범죄 포럼과 마더보드를 통해 티모바일의 서버에서 1억명 이상의 개인정보를 훔쳤다고 주장하는 글이 게시됐습니다. 공격자들은 사회보장번호와 운전면허증 정보를 포함한 3000만건의 개인정보에 6비트코인을 요구하고, 나머지 개인정보는 개별적으로 판매하겠다고 언급했습니다.

터키에 사는 21세 미국인 남성 존 빈스가 월스트리트저널과의 인터뷰에서 자신이 저지른 범행이라고 주장했습니다. 존 빈스는 티모바일의 워싱턴주 데이터센터에서 1주일만에 수백만명의 개인정보가 저장된 서버에 접근했고 8월 4일까지 수백만개의 파일을 훔쳤다고 밝혔습니다.

기가바이트테크놀로지, 아보스토커 랜섬웨어에 의해 공격

다섯 번째 이슈는 기가바이트가 올해 두 번째 랜섬웨어 공격을 당한 사례입니다. 지난 10월 대만의 대형 하드웨어 업체인 기가바이트 테크놀로지가 아보스토커 랜섬웨어에 의해 공격당한 것으로 알려졌습니다. 10월 20일 아보스로커 랜섬웨어 그룹은 기가바이트를 해킹했다고 주장했지만 구체적인 해킹 시기와 방법은 밝히지 않았습니다.

10월 기가바이트 해킹에 따른 데이터 유출 사건은 8월 랜섬웨어 공격 때보다는 피해가 크지 않은 것으로 보이지만 유출 데이터와 구체적인 사고 내용이 밝혀지지는 않았습니다. 해킹 사고를 경험한 회사가 반복해서 침해당하는 경우가 많아져 사고 발생시 신속한 대응, 재발 방지책 수립과 시행이 매우 중요함을 시사합니다.

가정 집이 위험하다 … 늘어나는 월패드 해킹 사례

여섯 번째 이슈는 생활의 위협으로 다가온 사물인터넷 기기, 월패드 해킹 사례입니다. 지난 11월 다크웹에 국내 아파트의 내부를 촬영한 영상이 거래되는 것으로 확인됐습니다. 국내 아파트 월패드를 해킹해 아파트 내외부를 촬영한 영상을 판매하는 게시글이 다크웹에 업로드됐습니다. 피해를 당한 것으로 추정되는 아파트는 총 704세대로 보안관리 업체 A사가 538세대, B사가 73세대, C사가 56세대를 관리중이며, 보안관리 업체가 파악되지 않은 곳은 37세대로 확인됐습니다.

경찰청 사이버테러수사대와 KISA가 피해 아파트 3곳을 조사한 결과 2곳에서 웹 셸 설치 흔적을 발견했습니다. 강남구의 한 아파트는 2021년 8월 17일부터, 종로구의 한 도시형 생활주택은 11월 10일부터 해킹이 시작됐습니다. 과기정통부에서는 월패드 등 홈네트워크 기기 보안을 위한 장단기 대책을 발표했습니다.

Apache Log4j RCE 보안 취약점 공개

일곱 번째 이슈는 아파치 Log4j RCE 보안 취약점 공개로 전세계가 긴급 대응한 사례입니다. 아파치 웹 서버의 Log4j 서비스에서 보안 취약점이 발견돼 전세계적으로 긴급 대응에 들어갔습니다. Log4j는 웹 서비스가 동작하는 과정에서 로그를 남길 때 사용되는 자바 기반의 오픈소스 유틸리티로 아파치 뿐만 아니라 자바를 기반으로 하는 모든 서비스에서 사용 가능합니다. 아파치 소프트웨어 재단에서 자사의 Log4j RCE 취약점을 해결한 보안 업데이트를 권고했습니다.

전세계적으로 Log4j RCE 취약점을 악용하는 공격이 진행되고 있습니다. 중국 보안회사 넷랩360에서는 Log4j 취약점을 악용하는 공격이 지속적으로 이뤄지고 있음을 확인했습니다. Log4j 취약점을 이용해 공격 및 스캔하는 IP가 다수 확인됐으며 그 중 독일 IP가 가장 많이 조회됐습니다. Log4j 취약점이 지속적으로 발견됨에 따라 해당 취약점을 통한 랜섬웨어 감염 등 기업의 피해가 우려되는 상황입니다. 확산되는 위협을 방지하기 위한 즉각적인 업데이트 조치 및 서버 내 취약점 점검이 요구됩니다.

출처 : 보안뉴스,Technology vector created by freepik – www.freepik.com, 정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지, 취약점, 시큐어코딩, 취약점진단, 취약점점검, 스패로우, sparrow, vada, 시스템취약점진단