Home > 전체기사

2021년 하반기 국내외 사이버 위협 동향은? 랜섬웨어부터 로그4j까지

  |  입력 : 2022-01-04 17:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아파트 월패드 해킹, 생활에 닿는 사이버 보안 위협 사례로 등장
사상 최악의 Log4j 취약점 공개...보안위협은 현재 진행형


[보안뉴스 위아람 기자] 아파트 월패드 해킹, Log4j 취약점 등 2021년 하반기 사이버 위협 동향을 정리한 보고서가 나왔다. 한국인터넷진흥원(KISA)이 발간한 ‘2021년 하반기 사이버 위협 동향 보고서’에는 2021년 7월부터 12월까지 국내외 주요 매체에서 상세하게 다룬 사이버 위협을 요약, 분석하고 시사점을 도출한 내용이 담겨 있다.

[이미지=utoimage]


랜섬웨어 유포 경로 악용...VPN 취약점 공격 피해 등
첫 번째 이슈는 미국 IT 관리용 솔루션 제공업체 Kaesya의 IT 관리용 플랫폼 제품인 VSA가 랜섬웨어 유포 경로로 악용된 사례다. 기존에는 블루크랩이 불특 정다수의 일반 사용자를 대상으로 구글, MS 빙 검색 사이트를 통해 자바 스크립트 형태로 유포됐다. 이번 피해 사례에서는 타깃 공격 형태로 유포되었다는 점과 동작 방식에서 차이점이 존재한다.

해당 공격의 배후로 추정되는 레빌(REvil) 랜섬웨어 그룹은 효과적인 배포를 위해 공급망을 통해 공격했다. 윈도우 디펜더 무력화 및 AV 벤더의 탐지 회피를 위해 정상 MS 파일을 이용해 파일을 암호화했다.

두 번째 이슈는 한국원자력연구원이 VPN 취약점으로 인해 공격 피해를 당한 사례다. 지난 7월 국가정보원에서는 한국원자력연구원이 북한에 의해 12일 동안 해킹을 당했다고 밝혔다. 국정원으로부터 VPN 서버 관리자의 패스워드를 변경하라는 통보를 받았으나 원자력연구원에서 이행하지 않아 사고가 발생한 것으로 파악된다.

13개의 외부 IP에서 허가받지 않은 접속이 이뤄졌고, VPN 이외에도 메일 시스템과 KMS 인증서버가 피해를 당했다. 사고 발생을 인지한 후, 방화벽과 IPS에서 공격자 IP를 차단하고 VPN의 보안 취약점을 패치하는 긴급 대응을 시행했다.

세 번째 이슈로는 iOS, 안드로이드 운영체제를 대상으로 하는 페가수스 해킹 사례가 있다. 페가수스 스파이웨어는 이스라엘 NSO그룹이 개발하고 전세계 정부에 제공한 스파이웨어다. iOS, 안드로이드 운영체제를 사용하는 수십억 대의 휴대폰을 감염시킬 수 있다. 2016년 페가수스의 최초 버전은 문자메시지나 이메일을 통해 휴대폰으로 악성 링크를 전송하는 스피어피싱 형태로 사용자가 클릭함으로써 휴대폰을 감염시키는 방식이었다.

이후 버전에서는 사용자가 링크를 클릭하는 등의 작업을 수행하지 않아도 감염시킬 수 있는 제로데이 취약점을 이용했고 최근에는 애플의 아이메시지 취약점을 악용해 수억 대의 아이폰에 백도어를 설치했다. 페가수스가 설치되면 휴대폰에 저장된 정보들을 수집하거나 메시지, 통화내역, 이메일 등 일부 데이터가 삭제될 수 있다.

티모바일 대규모 개인정보 유출...사상 최악의 Log4j 취약점
네 번째 이슈로는 티모바일 대규모 개인정보 유출사고 발생 사례가 있다. 지난 8월 15일 사이버범죄 포럼과 마더보드를 통해 티모바일의 서버에서 1억명 이상의 개인정보를 훔쳤다고 주장하는 글이 게시됐다. 공격자들은 사회보장번호와 운전면허증 정보를 포함한 3000만건의 개인정보에 6비트코인을 요구하고, 나머지 개인정보는 개별적으로 판매하겠다고 언급했다.

터키에 사는 21세 미국인 남성 존 빈스가 월스트리트저널과의 인터뷰에서 자신이 저지른 범행이라고 주장했다. 존 빈스는 티모바일의 워싱턴주 데이터센터에서 1주일만에 수백만명의 개인정보가 저장된 서버에 접근했고 8월 4일까지 수백만개의 파일을 훔쳤다고 밝혔다.

다섯 번째 이슈는 기가바이트가 올해 두 번째 랜섬웨어 공격을 당한 사례다. 지난 10월 대만의 대형 하드웨어 업체인 기가바이트 테크놀로지가 아보스토커 랜섬웨어에 의해 공격당한 것으로 알려졌다. 10월 20일 아보스로커 랜섬웨어 그룹은 기가바이트를 해킹했다고 주장했지만 구체적인 해킹 시기와 방법은 밝히지 않았다.

10월 기가바이트 해킹에 따른 데이터 유출 사건은 8월 랜섬웨어 공격 때보다는 피해가 크지 않은 것으로 보이지만 유출 데이터와 구체적인 사고 내용이 밝혀지지는 않았다. 해킹 사고를 경험한 회사가 반복해서 침해당하는 경우가 많아져 사고 발생시 신속한 대응, 재발 방지책 수립과 시행이 매우 중요함을 시사한다.

여섯 번째 이슈는 생활의 위협으로 다가온 사물인터넷 기기, 월패드 해킹 사례다. 지난 11월 다크웹에 국내 아파트의 내부를 촬영한 영상이 거래되는 것으로 확인됐다. 국내 아파트 월패드를 해킹해 아파트 내외부를 촬영한 영상을 판매하는 게시글이 다크웹에 업로드됐다. 피해를 당한 것으로 추정되는 아파트는 총 704세대로 보안관리 업체 A사가 538세대, B사가 73세대, C사가 56세대를 관리중이며, 보안관리 업체가 파악되지 않은 곳은 37세대로 확인됐다.

경찰청 사이버테러수사대와 KISA가 피해 아파트 3곳을 조사한 결과 2곳에서 웹 셸 설치 흔적을 발견했다. 강남구의 한 아파트는 2021년 8월 17일부터, 종로구의 한 도시형 생활주택은 11월 10일부터 해킹이 시작됐다. 과기정통부에서는 월패드 등 홈네트워크 기기 보안을 위한 장단기 대책을 발표했다.

일곱 번째 이슈는 아파치 Log4j RCE 보안 취약점 공개로 전세계가 긴급 대응한 사례다. 아파치 웹 서버의 Log4j 서비스에서 보안 취약점이 발견돼 전세계적으로 긴급 대응에 들어갔다. Log4j는 웹 서비스가 동작하는 과정에서 로그를 남길 때 사용되는 자바 기반의 오픈소스 유틸리티로 아파치 뿐만 아니라 자바를 기반으로 하는 모든 서비스에서 사용 가능하다. 아파치 소프트웨어 재단에서 자사의 Log4j RCE 취약점을 해결한 보안 업데이트를 권고했다.

전세계적으로 Log4j RCE 취약점을 악용하는 공격이 진행되고 있다. 중국 보안회사 넷랩360에서는 Log4j 취약점을 악용하는 공격이 지속적으로 이뤄지고 있음을 확인했다. Log4j 취약점을 이용해 공격 및 스캔하는 IP가 다수 확인됐으며 그 중 독일 IP가 가장 많이 조회됐다. Log4j 취약점이 지속적으로 발견됨에 따라 해당 취약점을 통한 랜섬웨어 감염 등 기업의 피해가 우려되는 상황이다. 확산되는 위협을 방지하기 위한 즉각적인 업데이트 조치 및 서버 내 취약점 점검이 요구된다.
[위아람 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)