< 5월 멘토링 소그룹 과제 - 2. 5월 최신 정보보호 이슈, 기술 동향 >

 

 

2. 5월 최신 정보보호 이슈, 기술 동향

 

 

 

A) 줌(Zoom)앱에서 네 가지 취약점과 그를 이용한 공격 가능성 발견

 

 

 코로나 바이러스가 전 세계적으로 영향을 미치게 되며 쓰임이 늘어난 화상 회의 앱 줌(Zoom)에 존재하던 4가지 취약점을 연쇄적으로 익스플로잇하는 과정을 거쳐 공격자가 피해자의 개인 시스템에서 코드를 제한 없이 실행시키는 것이 가능하다는 사실이 밝혀지며 큰 이슈가 되었다.

 

 취약점을 엮어서 익스플로잇하는 과정을 거쳐 가하는 공격을 제로클릭 원격 코드 실행 공격이라고 하는데, 피해자를 악성 웹사이트에 접속시키거나 멀웨어 다운로드를 유도하는 데 활용될 수 있어 매우 위험한 공격 기법이다. 보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마이크 파킨(Mike Parkin)은 줌(Zoom)앱의 인기를 고려하였을 때 아무리 작고 사소한 취약점과 공격 가능성이라도 큰 영향력이 있을 수 밖에 없음을 지적한 바 있다.

 

 

참고 자료 :

[보안뉴스] "줌에서 발견된 네 가지 취약점, 연쇄적으로 익스플로잇 하면 무서워져"_국제부 문가용 기자_2022-05-26

https://www.boannews.com/media/view.asp?idx=107081&page=1&mkind=1&kind=1 

 

 

 

 

B) 봇넷을 활용한 디도스 공격만으로 피해자를 위협하는 단체의 등장과 정체

 

 

 한 사이버 공격 단체가 미크로틱의 장비를 이용하여 봇넷을 만들고, 이 봇넷을 이용하여 아카마이 고객사를 향해 디도스 공격을 실행하였다. 그런데 이 공격 단체가 스스로를 레빌(REvil)이라고 지칭하고 있어 보안 업계에서 큰 이슈가 되고 있다. 레빌(REvil)은 러시아에 위치하는 악명 높은 랜섬웨어 운영 단체이다. 러시아 사법 기관에 의해 잠시 활동이 잠잠해졌다가, 요 근래 다시 활동 흔적들이 발견되며 보안 업체들을 긴장시키고 있는 단체이다.

 

 이 단체의 정체를 분석하기 위해 각국의 보안 전문가 집단이 보고서와 논의를 거친 바 있는데, 이를 통해 위 단체와 레빌 사이의 공통점과 차이점을 찾아낼 수 있었다. 스스로를 레빌이라 지칭한 이 단체는 레빌(REvil)과 밀접한 연관이 있었던 공격 도구인 '메리스'를 활용하는 등 레빌의 특성과 유사한 점을 보이기도 하였다. 하지만 디도스 공격 뿐 아니라 다른 공격을 한꺼번에 진행하는 공격 기법을 사용해왔던 레빌(REvil)과는 달리, 문제의 단체는 오직 디도스만을 협박용으로 사용했다는 점에서 차이를 보이기도 하였다.

 

 

참고 자료 :

[보안뉴스] "레빌의 부활? 순수 디도스 공격만으로 협박하는 단체 나타나"_국제부 문가용 기자_2022-05-26

https://www.boannews.com/media/view.asp?idx=107077&page=1&mkind=1&kind=1 

 

 

 

 

C) 새로운 리눅스 생태계 랜섬웨어 치어스의 등장

 

 

 IT 관련 외신 블리핑컴퓨터는 리눅스 생태계인 VM웨어 ESXi 서버를 공격 대상으로 하는 새로운 랜섬웨어인 '치어스'가 나타났다고 밝혀 보안 업계에서 큰 이슈가 되었다. '치어스'는 주로 .log, .vmdk, .vmem, .vswp, .vmsn 확장자를 가진 파일들을 암호화하여 .cheers로 변환하는 랜섬웨어로, 기존 랜섬웨어처럼 암호화 작업 후 파일명을 변경하지 않고 파일명을 먼저 변경한 후 암호화를 실시한다는 특징이 있다.

 

 이러한 상황에 대해 트렌드마이크로(Trend Micro)는 현재까지 '치어스' 랜섬웨어에 의해 금융 업체, 의료 기관, 해양 관련 조직 등이 피해를 입은 것으로 보인다고 밝힌 바 있다. ESXi 서버는 전 세계적으로 대기업들이 많이 사용하는 서버로, 이 서버 내에 저장된 데이터에 공격이 가해질 경우 기업 운영 및 사업 행위에 심각한 차질이 발생할 수 있어 IT 보안 업계에 큰 문제가 되고 있다.

 

 

참고 자료 :

[보안 뉴스] "새로운 리눅스 랜섬웨어인 치어스, VM웨어 ESXi 서버 노려"_국제부 문가용 기자_2022-05-26

https://www.boannews.com/media/view.asp?idx=107071&page=2&mkind=1&kind=1 

 

 

 

 

D) 공식 프로그램 출연 문의로 위장한 악성 문서 전파 위협

 

 

 이스트시큐리티는 문화체육관광부 산하의 한국정책방송원(KTV)의 유튜브 방송 출연 섭외 문의로 위장한 악성 문서 전파 사실이 확인되어 각별한 주의를 요해야 한다고 밝혔다. 위 공격은 KTV의 프로그램 출연 문의를 요청하기 위한 HWP 문서인것 처럼 위장하여 이루어졌으며, 대륙 분야 전문가들을 대상으로 진행되었다.

 

 위 공격은 HWP 한글 문서 내부에 악성 OLE(개체 연결 삽입) 명령을 추가해 문서가 실행될 때 가짜 메시지창 [상위 버전에서 작성한 문서입니다.] 화면을 띄우는데, 이 가짜 메세지창은 평소 문서를 다룰 때 익숙하게 볼 수 있는 창과 유사하여 피해자가 별다른 의심 없이 실행하도록 유도하는 기능을 하였다.

 

 이스트시큐리티 시큐리티대응센터(ESRC)은 분석을 통해 위 공격은 북한 해킹 집단의 공격 방식과 사용 서버가 매우 유사하여 북한의 소행이라고 판단된다고 밝혔고, ESRC 센터장 문종현 이사는 북한 연계 사이버 위협에 대한 대비가 중요함을 강조하였다.

 

 

참고 자료 :

[데일리시큐] "문체부 산하 KTV 유튜브 채널 방송 섭외로 둔갑한 북한 소행 해킹 공격 주의"_길민권 기자_2022-05-23

https://www.dailysecu.com/news/articleView.html?idxno=136972 

 

 

 

 

E) 미국 CISA가 발견한 VM웨어 제품에서의 취약점과 긴급 지침 발표

 

 

 미국 사이버보안 및 인프라 보안국 CISA가 VMware Workspace ONE Acess, VMware vRealize Autonation 등의 제품에서 취약점 CVE-2022-22972와 CVE-2022-22973을 발견하였다. 이어 CISA는 위의 두 취약점이 2021년 4월에 발견된 취약점 CVE 2022-22954와 매우 유사하며, 공격자가 이를 악용하여 서버 측으로의 템플릿 주입을 통해 원격 코드 실행이 가능하고, 루트 권한 상승 및 허가받지 않은 관리자 권한을 얻을 수 있다고 경고하였다.  CISA는 해당 제품을 사용하고 있는 기관의 피해를 막기 위한 긴급 완화를 촉구하였고, 이와 관련된 긴급 지침을 발표하였다.

 

 CISA가 발표한 취약점 완화 절차로는 취약점의 영향력 안에 있는 제품의 인스턴스 열거 및 관련 인스턴스에 대한 업데이트 배포 등이 있다. 지침 발표 후에도 CISA는 공격으로 인한 피해를 미연에 방지하기 위해 반드시 취약점 관련 업데이트를 적용한 후 제품을 네트워크에 연결해야 한다고 강조하였다.

 

 

참고 자료 :

[IT WORLD] "새로운 VM웨어 취약점 발견…미 CISA, 모든 연방 기관에 긴급 완화 촉구"_Michael Hill_2020-05-20

https://www.itworld.co.kr/t/36/%EB%B3%B4%EC%95%88/237199