[월드시큐 황.당.사] 블랙락 랜섬웨어의 약진 外

*지난 밤, 세계 각지에서 보도된 ‘보안 외신’을 간략 정리한다. 당신이 잠든 사이에 일어난 일들을 짚는다. <편집자 주>

1. 윈티, 일본 기업들에 침투해 정보 수집
중국 사이버 공격 단체 윈티(Winnti)가 새로운 캠페인을 작년 3월부터 진행하고 있다는 사실이 뒤늦게 밝혀졌다. 일본의 제조와 재료, 에너지 분야 기업들을 대상으로 하고 있으며, 일본 보안 기업 LAC가 발견했다. LAC는 해당 캠페인에 리바이벌스톤(RevivalStone)이라는 이름을 붙여 추적 중이다. 이번 캠페인의 특징은 SQL 주입 취약점을 악용해 차이나드로퍼(China Dropper)나 비하인더(Behinder)와 같은 웹셸을 심는 것으로, 여기서부터 상황에 따라 추가 악성 행위를 이어간다. 주로 정보 수집에 초점을 맞추고 있다.

[자료: gettyimagesbank]

2. 브라우저 업데이트로 위장한 맥 멀웨어
맥OS 멀웨어가 새롭게 나타났다. 프리지드스틸러(FrigidStealer)라고 하며, 가짜 브라우저 업데이트 형식으로 퍼진다. 정보 탈취가 주 목적이다. 공격자들은 정상적인 사이트를 감염시켜 프리지드스틸러를 호스팅하기 때문에 사용자 시스템에 있는 보안 기능들이 탐지하지 못할 때가 많다고 보안 업체 프루프포인트(Proofpoint)가 설명한다. 피해 시스템에 설치된 후에는 쿠키와 비밀번호, 암호화폐 관련 데이터 등을 훔쳐낸다.

3. 오픈SSL, 2년 만에 첫 고위험군 취약점 패치
오픈SSL 프로젝트에서 CVE-2024-12797을 패치했다. 애플이 지난 12월 중순에 제보한 것으로, 특정 상황에서 인증이 제대로 이뤄지지 않아 중간자 공격을 허용하게 하는 취약점이다. 3.2와 3.3, 3.4 버전이 취약하고, 이번 패치를 통해 3.2.4, 3.3.2, 3.4.1 버전이 배포되고 있다. 오픈SSL에서 고위험군 취약점이 발견된 건 2년 만이다. 2023년에 고위험군 취약점 한 개가 패치된 후 여태까지 한 번도 나타나지 않았다. 2024년 한 해 내내 저위험군 취약점만 해결됐다.

4. 2025년 가장 눈여겨봐야 할 랜섬웨에 그룹, 블랙락
블랙락(BlackLock)이라고 알려진 랜섬웨어 그룹이 무섭게 성장하고 있다. 보안 업체 렐리아퀘스트(ReliaQuest)에 의하면 4사분기 동안 블랙락의 데이터 유출 관련 게시글이 3사분기에 비해 1425%나 증가했다고 한다. 이 추세가 이어진다면 2025년 가장 극성을 부릴 랜섬웨어 조직으로 등극하기에 충분하다고 렐리야퀘스트는 평가한다. 블랙락은 다른 랜섬웨어 사업자들과 달리 초기 침투와 공격 등을 자신들이 도맡아서 한다. 파트너들에게 멀웨어를 빌려주고 나중에 수익금만 나누는 게 아니라, 적극 사람을 영입해 초기 공격을 스스로 감행한다. 이게 최근 급성장의 비결일 수 있다고 전문가들은 보고 있다.

[자료: gettyimagesbank.com]

5. 돌아온 스네이크, 2억8000만 감염 시도 이미 기록
스네이크(Snake)라는 이름의 키로거가 다시 모습을 드러냈다. 새 버전으로, 윈도 사용자들을 노리고 있다. 피싱 이메일로 퍼지며, 오토잇(AutoIt)으로 스텔스 기능을 강화했다. 이미 활발히 활동하고 있어 전 세계적으로 2억8000만 감염 시도가 있었던 것으로 조사된다. 중국, 튀르키예, 인도네시아, 대만, 스페인에서 특히 많이 발견된다. 피해자의 위치 정보를 파악한 뒤 크리덴셜이나 신용카드 정보 같은 민감 정보를 외부로 빼돌리고 있다. 이전 버전보다 많은 기능을 가지고 있어 정보도 더 다양하고 풍성하게 확보한다.

6. 길게 늘어 쓴 피해 보고서..‘랜섬웨어’ 기피
‘랜섬웨어’라는 단어를 직접 언급하는 게 피해 기업들 사이에서는 기피되고 있다. 최근 미국 매체 발행사인 리엔터프라이즈(Lee Enterprises)는 사이버 공격으로 업무가 마비되는 일을 겪은 바 있다. 이를 유관 기관에 보고해야 하는데, 제출된 문서에는 ‘랜섬웨어’라는 단어가 빠져있다. “위협 행위자들이 불법적으로 회사 네트워크에 접속해 일부 애플리케이션들을 암호화 하고 특정 파일들을 외부로 빼돌렸다”고 설명하는데, ‘랜섬웨어 공격에 당했다’고 하면 간단히 끝날 말을 길게 풀어쓴 것을 볼 수 있다. 다만 아직 리엔터프라이즈를 공격했다고 주장하는 랜섬웨어 그룹은 등장하지 않았다.

7. 정보 탈취 멀웨어, 국방 산업 내 개인 노려
정보 탈취 멀웨어들이 미국 국방 업계서 활발히 발견되고 있다. 록히드마틴과 보잉, 하니웰과 같은 기업들에서 정보 탈취 시도들이 적발됐다. 특히 로그인 크리덴셜과 VPN 접근 키, 이메일, 계약서 등의 정보가 표적이다. 다만 이전처럼 조직의 네트워크를 뚫어내려 하지 않는다는 게 요즘 나타나는 현상이다. 공격자들은 이런 기업들에서 근무하는 직원 한 사람이 실수해 게임 모드를 설치하거나 악성 PDF 문서를 열람하기를 기다린다고 한다. 그런 후 감염시킨 한 사람을 통해 네트워크 전체로 퍼져간다. 기업 자체의 보안 구조가 튼튼하니 개개인을 노리는 쪽으로 선회한 것이다.

[자료: gettyimagesbank]

8. 무스탕판다, 윈도 유틸리티 활용한 새 공격 기법 선뵈
중국 APT 무스탕판다(Mustang Panda)가 탐지를 회피하고 감염된 시스템을 통제하기 위한 새 기법을 들고 나타났다. MS 윈도의 정상 유틸리티인 MAVInject.exe를 활용해 waitfor.exe라는 프로세스에 악성 페이로드를 주입하는 것이다. 현재까지는 태국의 사용자들을 노린 공격에 이 새 기법이 활용됐다. 최초 침투 방법은 아직 밝혀지지 않았는데, 스피어피싱이 가장 유력해 보인다. 감염 후 원격 C&C 서버와 피해 시스템을 연결시키고, 정보를 빼돌리는 등의 추가 명령을 실행한다.
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)