[월드시큐 황.당.사] 텔레그램 악용하는 새 멀웨어 外

*지난 밤, 세계 각지에서 보도된 ‘보안 외신’을 간략 정리한다. 당신이 잠든 사이에 일어난 일들을 짚는다. <편집자 주>

1. 유튜브 채널의 이메일 주소 유출시키는 취약점 두 개 패치
유튜브 채널의 이메일 주소를 유출시킬 수 있는 취약점이 두 개 발견됐다. 브루트캣(Brutecat)이라는 이름으로 활동하는 보안 전문가가 지난 주말 찾아낸 것으로, 연달아 익스플로잇 했을 때 문제가 발생한다. 모든 구글 제품과 서비스들은 가이아 ID(Gaia ID)라는 것으로 연계되어 있는데, 이를 교묘히 공략하면 어떤 유튜브 채널이라도 이메일을 토해내게 만들 수 있다. 브루트캣은 이 사실을 구글 측에 알렸고, 구글은 버그바운티 프로그램을 통해 1만 달러가 넘는 상금을 제공했다. 취약점은 현재 패치됐으나 CVE 번호는 부여되지 않았다.

2. 메타, 버그바운티로 작년 230만불 상금 지불
지난 한 해 동안 메타는 230만불을 외부 보안 전문가들에게 지불한 것으로 집계됐다. 이로써 메타는 버그바운티를 시작한 2011년부터 총 2000만 불이 넘는 돈을 보안 강화에 쓴 회사로 기록됐다. 전 세계 보안 전문가들은 한 해 동안 1만 건 이상의 취약점 보고서를 메타에 제출했고, 그 중 약 600건 정도가 상금 지급 대상으로 선정됐다. 인도, 네팔, 미국의 전문가들이 가장 많은 상금을 타갔다. 특히 생성형 인공지능 분야에 대한 연구가 활발했다. 2025년에도 여러 분야에서 취약점 제보를 받는다.

[자료: gettyimagesbank]

3. 인도 우체국 포털 취약점 통해 민감 정보 다수 유출
인도 우체국 포털에서 취약점이 발견됐다. ‘불안전 직접 객체 참조’(Insecure Direct Object Reference, IDOR) 공격을 허용하는 것으로, 이미 수많은 고객확인(Know Your Customer, KYC) 정보들이 노출된 것으로 집계되고 있다. API 요청문에서 document_id 매개변수를 조작하면 비밀 문건에 접근할 수 있게 되는데, 이는 포털의 URL 구조가 취약하게 설계됐기 때문이다. 이를 ‘수평형 권한 상승 공격’이라고도 한다. 같은 층위의 한 계정에 접근하는 데 성공하기만 해도 다른 계정들에 접속할 수 있게 된다는 의미다. 인도 정부 기관들은 아드하르(Aadhaar)라는 생체 정보 데이터베이스와 연계되어 있어 취약점 하나가 큰 파장을 일으킬 수 있다.

4. 텔레그램서 둥지 튼 고 기반 멀웨어 새로 등장
새 백도어가 발견됐다. 고 언어 기반으로, 텔레그램 API를 통해 퍼지고 있다. 이름은 Trojan.Generic.37477095으로, 러시아에서 개발된 것으로 추정된다. 반드시 C:\Windows\Temp\svchost.exe라는 폴더와 파일 이름으로 실행되도록 설계돼 있다는 특징을 가지고 있다. 멀웨어가 최초 복제된 곳이 다른 폴더라면 윈도 파일 시스템을 탐색해 해당 폴더와 파일 이름으로 스스로를 복사한 뒤 원본을 삭제하기까지 한다. 각종 정보와 스크린샷을 피해 시스템으로부터 확보한 뒤 텔레그램에 마련된 C&C 서버로 송출한다. 피해 현황은 아직 정확히 집계되지 않고 있다.

[자료: gettyimagesbank]

5. 엑스씨셋 새 버전 등장...더 강력해진 난독화
엑스씨셋(XCSSET)이라는 맥OS용 멀웨어의 새 버전을 MS가 발견했다. 엑스씨셋은 2020년에 처음 등장한 모듈형 멀웨어로, 애플 엑스코드(Xcode) 프로젝트들을 감염시킨다. 그런 후 디지털 지갑과 노트, 각종 시스템 정보 등을 훔쳐낸다. 맥OS 새 버전이 나오고, 애플 칩셋이 시장에 출시되는 것에 맞춰 업그레이드 돼 왔다. 이번 버전의 경우 훨씬 강력한 난독화와 공격 지속성을 탑재했으며, 감염 전략도 새로워진 것으로 분석됐다. 5년 전에 나타난 멀웨어가 꾸준히 업그레이드 되고 있지만 아직 출처는 밝혀지지 않았다.

6. 친러 해킹 조직 노네임, 이탈리아 여러 사이트들에 디도스
친러 성향 해킹 조직인 노네임057(16)(NoName057(16))이 이탈리아 웹사이트들을 겨냥해 디도스 공격을 펼쳤다. 공항과 교통국, 주요 항만, 은행 등이 표적인 것으로 분석됐다. 하지만 공격 기법이나 규모가 위협적이지는 않았고, 이탈리아 보안국(ACN)이 쉽게 해결했다. 표적들에 큰 영향은 없었다. 최근 마타렐라 이탈리아 대통령이 한 대학 강연에서 현 러시아 정권과 과거 나치 정권이 비슷한 만행을 저지르고 있다고 비판한 적이 있는데, 노네임은 그에 대한 보복을 하려 한 것으로 보인다. 노네임은 성명서를 통해 “이탈리아야말로 무솔리니 정권 당시 나치 정권과 협약을 맺고 군까지 지원한 범죄국”이라고 주장했다.

7. 네덜란드 경찰, 범죄자 위한 호스팅 서비스 폐쇄
네덜란드 경찰이 지서버즈(Zservers)를 급습해 127개 서버를 압수했다. 지서버즈는 러시아에 근거지를 둔 호스팅 서비스 회사로, 사이버 범죄자들에게도 서비스를 제공해왔다. 콘티(Conti)와 록빗(LockBit) 등 주요 사이버 범죄자들이 주요 고객이었다. 러시아 조직이지만 네덜란드 암스테르담에도 서비실을 운영해 왔다. 작전이 있기 전인 지난 11일, 미국과 영국, 호수 경찰은 지서버즈와 운영자 2명에 대한 제재 조치를 발표하기도 했다. 서버 압수는 이뤄졌지만 주요 관련자가 체포된 것으로 보이지는 않는다.\

[자료: gettyimagesbank]

8. M&A 진행하던 기업서 초고위험도 취약점 발견돼
한 소프트웨어 기업 소프트웨어 공급망서 초고위험도 취약점을 발견한 보안 전문가 2인조가 5만500달러의 버그바운티 상금을 획득했다. 하지만 아직 해당 기업의 이름이나 취약점의 상세 내용은 공개되지 않고 있다. 최근 M&A를 진행했던 회사라는 것만 알려져 있다. 2인조는 루팡(Lupin)과 스놀핵스(Snorlhax)라는 이름으로 활동하는데, 최근 발견에 대해 “M&A에서 보안 점검이 거의 항상 뒷전으로 밀려 두 회사 사이에 격차가 벌어지는데, 그 지점에서 생겨난 전형적인 문제”라고 지적했다. 이 ‘격차’로 인해 도커 이미지를 다운로드 할 수 있게 됐는데, 그 안에 각종 민감 정보가 저장돼 있었다는 게 연구원들의 간략한 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)