[월드시큐 황.당.사] 랜섬허브가 새로운 왕 外

[보안뉴스 문가용 기자] 황혼에서 새벽까지 보도된 보안 외신을 간략히 정리하며 당신이 잠든 사이에 일어난 일들을 짚는다.

[자료: gettyimagesbank]

1. 소셜미디어 시대의 프라이버시
소셜미디어는 공짜가 아니다. 사용자들은 소셜미디어 플랫폼에 보이지 않는 비용을 적잖게 지불한다. 프로파일 란을 통해서는 사진과 취미 등 민감할 수 있는 개인정보를 자발적으로 제공한다. 플랫폼 내에서는 각종 활동을 통해 관심사 등도 노출시킨다. 대부분 소셜미디어 앱들은 위치도 추적하며, 장비 정보도 가져간다. 소셜미디어를 통해 타 사이트나 서비스에 로그인하는 것도 가능한데, 이 역시 추가 데이터 수집의 빌미가 된다. 그런 정보들을 소셜미디어는 자유롭게 활용한다. 주로 광고로 수익을 내는 편이다. 정보가 안전하게 사용된다고만은 하기 어려워 문제다.

2. 과반 이상 기업들 괴롭히는 마비와 정전
대부분 조직들이 정전 및 마비 사태를 흔하게 겪는다는 내용의 보고서가 발표됐다. 기업 55%는 일주일에 한 번 이상, 14%는 매일 한 번 이상 경험한다고 한다. 주기를 막론하고 정전 및 마비 때문에 금전적인 손해를 본 기업은 100%다. 그 중 8%는 1년 새 100만 달러 이상의 손실을 입었다. 네트워크 상 발생하는 기술 문제가 마바의 가장 큰 이유로 꼽혔다. 그 다음 소프트웨어 오류, 사이버 공격, 클라우드 서비스 관련, 서드파티 서비스 오류 등이 순서대로 뒤를 이었다.

3. 아마존 프라임 데이 노린 사기 극성
아마존 프라임 데이(Amazon Prime Day)가 소비자들을 위한 대형 쇼핑 이벤트로 자리를 잡아가고 있다. 2023년에는 전 세계 아마존 고객들이 3억7500만여개의 물건을 구매하면서 신기록을 수립하기도 했다. 이 기록은 곧 깨질 것으로 전망된다. 쇼퍼들이 몰리면 해커들도 몰린다. 아마존 프라임 데이를 기다리는 소비자들을 노린 사기꾼들이 극성을 부리고 있다. 수법도 갈수록 날카로워진다고 한다. 특히 인공지능이 널리 활용되기 시작하면서 사기가 더 정교해지고 있다. 결제 전 더 꼼꼼한 검사가 필요하다.

4. 러시아 스톰2372, 로그인 정보 훔쳐 계정 장악
2024년 8월부터 러시아의 해킹 그룹 스톰2372(Storm-2372)가 다수 지역의 정부 기관과 NGO들을 공격하고 있다. 특히 ‘장비 코드 피싱’(device code phishing)이라는 기술을 사용하고 있어서 눈에 띈다. 생산성 앱에 사용자들이 로그인 하도록 유도하는 것으로, 로그인 과정 중에 토큰을 가로채 계정을 장악하는 기법이다. 왓츠앱과 시그널, MS 팀즈 등 유명 메시지 앱들을 흉내 냄으로써 피해자들이 수상함을 느끼지 못하도록 한다. 계정 탈취 후에는 횡적 이동을 통해 최대한 많은 민감 정보를 확보한다.

[자료: gettyimagesbank]

5. 랜섬허브, 왕좌 노려
지난 한 해 동안 랜섬허브(RansomHub)라는 공격 단체가 주요 위협으로 떠올랐다. 피해 조직이 600개 이상이라고 보안 업체 그룹IB(Group-IB)가 밝혔다. 2024년 초기에 등장한 랜섬허브는 비슷한 시기 사법 활동으로 사라진 알프파이브(AlphV)와 록빗(LockBit)의 후발주자가 됐다. 당시 빈 왕좌를 노리려는 해커나 공격 조직들이 다수 있었는데 랜섬허브의 경우 해체된 랜섬웨어 그룹의 멤버들을 적극 영입하는 모습을 보였다. 이것이 빠른 성장의 원동력이 된 것으로 분석된다.

6. 北 해커들, 한국 노리고 딥드라이브 진행
2024년 9월부터 북한 해커들이 한국 기업들을 노리고 진행한 캠페인이 발견됐다. 딥드라이브(DEEP#DRIVE)라고 하며, 민감한 정보를 수집하는 것이 궁극적 목적으로 파악된다. 한국어로 만들어진 피싱 미끼들을 사용하는데, 주로 보험사 문서나 작업 기록 일지 등 정상적으로 보이는 자료들이 대부분이다. 정찰, 파워셸, 추가 페이로드 설치, 최종 페이로드 설치 순서로 공격이 이어진다. 최종 페이로드는 아직 명확히 분석된 건 아닌데, 백도어의 일종으로 보인다.

7. 새로 공개된 안드로이드 기능, 앱 사이드로딩 차단
구글이 곧 안드로이드를 위한 새 기능을 발표한다. 통화가 진행되고 있을 때 장비의 민감한 설정을 바꾸지 못하도록 하는 것이다. 통화를 해가면서 피해자를 속여 악성 앱을 설치하게 하는 공격을 차단하기 위함이다. 통화를 할 때 앱이 접근성 옵션들에 접근해 변경하는 것도 불가능하다. 현재 안드로이드 16 베타 2 버전에서만 활성화 되어 있다. 사이드로딩 된 앱이 민감한 정보에 접근하는 것 역시 조만간 차단될 전망이다.

[자료: gettyimagesbank]

8. 새 멀웨어 파이널드래프트, 아웃룩을 C&C로 활용
파이널드래프트(FinalDraft)라는 멀웨어가 새롭게 등장했다. 아웃룩의 ‘임시 보관 메일’을 C&C 서버로 활용하는 기법이 특이하다고 보안 업체 엘라스틱시큐리티(Elastic Security)는 설명한다. 현재 남미의 한 정부 기관이 피해를 입은 것 외에 다른 사건 사고는 없다. 고도의 표적 공격과 관련이 있는 멀웨어 및 캠페인일 수 있다. 아웃룩을 남용함으로써 공격자는 데이터 탈취와 프록시 구성, 프로세스 주입, 횡적 움직임을 실행할 수 있게 된다. 총 37개 명령을 C&C 서버로부터 받아 실행할 수 있다.

9. 美 재무부 사이버 공격, PostgreSQL 버그 때문?
PosgreSQL에서 고위험군 SQL 주입 취약점이 발견됐다. 보안 업체 라피드7(Rapid7)이 발견한 것으로 CVE-2025-1094이다. 익스플로잇에 성공하면 임의 코드 실행 공격을 할 수 있게 되는데, 익스플로잇 자체의 난이도가 상당히 높은 편이라 당분간 실제 공격이 일어나기는 어려울 거라고 라피드7은 보고 있다. 하지만 지난 12월 재무부 침해 사건 당시 발견된 또 다른 제로데이인 CVE-2024-12356과도 관련이 있는 취약점이라, 해당 취약점 익스플로잇에 성공한 공격자라면 이번 제로데이 익스플로잇도 할 수 있을 것이라고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)