[월드시큐 황.당.사] 프리랜서 개발자 노리는 북한 해커들 外

*지난 밤, 세계 각지에서 보도된 ‘보안 외신’을 간략 정리한다. 당신이 잠든 사이에 일어난 일들을 짚는다.<편집자 주>

1. 프리랜서 개발자 노리는 북한 해커들
북한의 ‘컨태져스인터뷰’(Contagious Interview) 캠페인의 표적이 프리랜서 개발자로 옮겨갔다. 일거리를 제공하겠다고 꼬드긴 뒤 비버테일(BeaverTail)이나 인비저블퍼렛(InvisibleFerret) 등의 정보 탈취형 멀웨어를 심는다. 이를 발견한 보안 업체 이셋(ESET)은 “북한 해커들이 원래 개발자들을 노리기 위해 깃허브나 깃랩 등의 플랫폼에서 주로 활동했는데, 요즘은 구인 구직 활동이 이뤄지는 업워크(Upwork)와 프리랜서닷컴(Freelancer.com), 위워크리모틀리(WeWorkRemotely) 등으로까지 무대를 넓혔다”고 경고한다.

[자료: gettyimagesbank]

2. 새로 발견된 설트타이푼 공격 도구, 점블드패스
중국 해킹 그룹 설트타이푼(Salt Typhoon)이 직접 제작하거나 커스타마이징 한 것으로 추정되는 해킹 도구가 발견됐다. 이름은 점블드패스(JumbledPath)로, 피해자 네트워크 트래픽을 몰래 염탐하고, 일부 정보를 외부로 빼돌리는 기능을 가지고 있다. 미국 대형 통신사들을 침해한 설트타이푼이, 통신망에서 특정 개인이나 그룹을 모니터링할 때 이 도구를 사용한 것으로 추정된다. 미국을 대상으로 한 설트타이푼의 대대적인 공격은 아직까지도 그 전모가 다 밝혀지고 있지 않았으며, 새로운 사실들이 조금씩 나오고 있다. 지난 주에는 시스코 네트워크 장비 1000대 이상이 설트타이푼에 의해 침해됐다는 사실이 밝혀지기도 했다.

3. 처음 등장하자마자 EU 의료계 노리는 랜섬웨어
새로운 랜섬웨어가 발견됐다. 나일라오락커(NailaoLocker)로, 2024년 하반기부터 EU 의료 업계를 겨냥한 사이버 캠페인을 통해 등장했다. 캠페인 진행자들은 셰도우패드(ShadowPad)와 플러그엑스(PlugX)라는 멀웨어도 같이 사용했다. 이 캠페인을 추적하고 있는 보안 업체 오렌지사이버디펜스(Orange Cyberdefense)는 “공격자들이 체크포인트 시큐리티 게이트웨이(Checkpoint Security Gateway)의 제로데이 취약점인 CVE-2024-24919를 익스플로잇 한 것으로 보인다”고 분석한다. 피해 규모는 아직 집계되지 않았다. 캠페인 배후에는 중국 APT 조직이 있는 것으로 의심된다.

4. 중국 APT 전용 도구, 일반 사이버 공격에도 등장
중국 APT 조직들이 사용하는 랜섬웨어 캠페인에 등장하기 시작했다. 라워드(RA Word) 랜섬웨어 공격에 플러그엑스(PlugX)라는 중국 APT 전용 도구가 같이 발견되는 식이다. 돈을 노리는 일반 공격과 정보를 훔치거나 사회적 혼란을 야기하는 게 목적인 APT 공격 간 경계가 허물어지고 있다. APT 조직들이 사용하던 고급 도구가 일반 사이버 공격자들에게까지 전수된 것일 수도 있고, APT 공격자들이 일부러 수사나 추적에 혼란을 주려고 공격 전략을 섞은 것일 수도 있다. 보안 업체 시만텍과 트렌드마이크로가 별도 조사를 통해 얻어낸 같은 결론이다.

[자료: gettyimagesbank]

5. 중국식 검열만 뺀 R1..심지어 무료
보안 업체 퍼플렉시티(Perplexity)가 R1 1776이라는 인공지능 모델을 무료로 공개했다. 이름에서도 볼 수 있듯 딥시크 R1과 관련이 있다. 한복 출처를 중국으로 답하거나 중국 정부 시스템 및 시진핑에 대해 찬양하는 등 오리지널 R1에서 문제가 됐던 ‘중국식 검열’만 뺀 것. 더 편향성 없는 정확한 정보를 제공한다는 게 퍼플렉시티 측의 설명이다. 기본 논리 및 추론 기능에 영향을 주지 않기 위해 후속 훈련을 진행했다. R1이 오픈소스라 가능한 일이었다. 이전 버전보다 훨씬 쓸만해졌다고 퍼플렉시티는 평가한다.

6. 크롬과 멀웨어 같이 리패키징..구글 애드 통해 확산
구글 애드(Google Ads)를 악용한 사이버 캠페인이 발견됐다. 가짜 광고로 사용자들을 속여 멀웨어를 다운로드 받게 하는, 흔한 멀버타이징 전략이다. 이 캠페인의 경우 크롬 설치파일과 함께 섹톱랫(SecTopRAT)이라는 멀웨어를 같이 묶어둔 게 특징이다. 섹톱랫은 일종의 원격 트로이목마로, 정보 탈취 기능도 탑재하고 있다. 이 캠페인의 배후 세력은 이전에 노션(Notion)이나 그래멀리(Grammarly) 설치파일과 멀웨어를 리패키징 해 유포하기도 했었다. 이는 이번 공격에 활용된 스크립트를 분석해 얻은 것으로, 공격자의 정체는 아직 파악되지 않았다.

7. 사라졌던 북웜, 옛날 모습 그대로 재등장
북웜(Bookworm)이라는 악명 높았던 멀웨어가 한 동안 사라졌다가 최근 다시 나타났다. 현재 DLL 사이드로딩 기법을 통해 퍼지고 있으며, 윈도 시스템들이 집중적으로 감염되고 있다. 배후에는 스테이틀리토러스(Stately Taurus)라는 그룹이 있는 것으로 의심된다. 피해는 주로 아세안 국가들에서 발견됐다. 북웜은 일종의 백도어로, 2015년에 처음 모습을 드러냈다. 모듈 구성이기 때문에 필요에 따라 여러 형태로 변형되면서도 코어 기능은 유지된다. 때문에 2015년부터 현재까지 큰 변화나 업그레이드 없이 유지돼 왔다.
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)