[글로벌 뉴스 클리핑] “꿈에서 본 듯한 인셉션” 外

오늘의 키워드 : 레드 옥터버, 인셉션, 야후, 중국, 서드파티, 해이

2년전 악명 떨쳤던 해킹 그룹 다시 등장한 것으로 나타나

야후의 새로운 ‘공개’ 정책과 연말연시에 쏟아지는 각종 보고서

[보안뉴스 문가용] 2년 전에 등장했다가 사라진 레드 옥토버 사건의 해커들이 이번엔 인셉션이라는 이름으로 등장했습니다. 동일범이라는 확증은 없는 상태인데, 해킹의 목표나 수단이 너무 비슷해서 의심을 하지 않을 수가 없는 상황입니다. 하지만 여러 가지 언어가 멀웨어 등에 나타나고 있어 전문가들은 그 정체를 아직 파악하지 못하고 있습니다.

연말연시라 각종 보고서가 쏟아져 나오고 있습니다. 전 세계 웹 해킹의 85%를 중국이 견인하고 있다는 보고에서부터 IBM이 보안에 있어서는 이름값을 못하고 있다는 보고, 누구 이름값을 논하기 전에 보안 전문가들 자신조차 보안에 대한 인식 부족부터 돌아봐야 한다는 부끄러운 보고들이 나오고 있습니다. 그렇게 해킹에 당하면서, 결국은 저희 자신부터가 문제였던 것일까요.

1. 레드 옥토버 해커들, 새로운 공격으로 재등장(Threat Post)

http://threatpost.com/red-october-attackers-return-with-cloudatlas-apt-campaign/109806

‘인셉션’ 같은 해커들, 흔적 남기지 않고 사라져(Security Week)

http://www.securityweek.com/stealthy-inception-attackers-hide-behind-layers-obfuscation

‘인셉션’ 공격에 대한 실체 드러나나 : 레드 옥토버 다시 돌아온 듯(SC Magazine)

http://www.scmagazine.com/unknown-hackers-take-measures-to-remain-hidden-in-inception-attack-framework/article/387699/

2013년 1월, 당시 동유럽 국가의 대사, 정부 기관, 연구 기관을 겨냥한 공격이 대규모로 일어났습니다. 데스크톱, 모바일, FTP 등에서 정보를 훔쳐내는 멀웨어가 사용되었고, 스피어 피싱 이메일을 주요 수단으로 활용했습니다. 이를 ‘레드 옥토버(Red October)’라고 불렀고요. 그런데 어제 카스퍼스키에서 클라우드아틀라스(CloudAtlas)라는 새로운 공격 캠페인에 대한 보고서를 발행했는데, 공격 방식이나 목표 대상 등이 레드 옥토버의 그것과 동일하다고 합니다. 스피어피싱에 사용한 파일 이름도 비슷하고, 겨냥이 된 회사는 물론 그 회사 내 기기까지도 동일한 경우가 많다고 하네요. 물론 차이점이 아예 없지는 않습니다. 레드 옥토버와는 달리 정유업, 금융업계에 종사하고 있는 개인들까지도 이번 ‘인셉션’ 공격에 포함되었으니까요. 멀웨어에 힌두어도 있고, 아랍어도 있고, ‘God_Save_The_Queen’이란 스트링이 있어 이 해커들이 인도에서 활동 중이다, 중동에 있다. 영국인들이다 등 추측이 난무하고 있는 상태입니다. 어젠 푸들이 부활하더니 오늘은 해커들이 부활하나요.

2. 야후, 새롭게 발견된 취약점 90일 내에 공개키로(Security Week)

http://www.securityweek.com/yahoo-disclose-newly-discovered-vulnerabilities-within-90-day-window

야후, 새롭게 발견한 버그 90일 내에 공개할 계획(Threat Post)

http://threatpost.com/yahoo-plans-to-disclose-all-new-bugs-it-finds-within-90-days/109798

야후가 앞으로 자사에서 발견한 새로운 취약점 및 버그를 90일 이내에 공개하기로 공식 발표했습니다. 또한 US-CERT와의 공조로 발견된 취약점들 마다 CVE 이름을 붙여 다른 업체나 조직들에서도 같은 취약점 및 버그에 잘 대항할 수 있도록 하겠다고 했습니다. 90일 내 공개라는 원칙은 사실 구글의 프로젝트 제로(Project Zero)라는 야후가 내부적으로 운영하는 팀에서 이미 실행하고 있는 것으로, 최근 이 팀의 이런 정책이 빛을 발해 마이크로소프트나 애플의 여러 제품 및 솔루션에서 버그를 여럿 발견한 것이 이번 발표에 큰 영향을 미친 것으로 보입니다. 사실 그동안 여러 보안 업체들이나 전문 기관에서는 취약점을 발견해도 그 즉시 발표하는 게 아니라 그에 대한 여러 가지 조사를 마친 후 보고서 만들어 발행하는 시점에서 발표하는 경우가 많았는데요, 야후의 이런 발표가 이런 관행에 어떤 영향을 미칠지 기대가 됩니다.

3. 중국, 웹 사이트 사기 행각의 85% 책임 있어(The Register)

http://www.theregister.co.uk/2014/12/10/chinese_responsible_for_85_per_cent_of_website_scams/

안티피싱 워킹 그룹(APWG)에서 최근 발간한 반년차보고서에 따르면 전 세계에서 일어나는 웹 사이트 사기 행각의 85%가 중국 네티즌의 짓이라고 합니다. 이번 보고서를 위해 APWG에서는 22679개의 악성 도메인을 조사했고, 그 중 19000개가 넘는 도메인이 중국발이라는 걸 밝혀냈습니다. 또한 피싱으로 당한 도메인의 비율이 가장 높은 열 개의 회사 중 아홉 개가 중국에 있다는 것도 보고되었습니다. 그밖에 피싱 사이트로 가장 인기가 높은 도메인은 닷컴 도메인인 것으로 드러났으며 전체 피싱 캠페인의 51%가 바로 닷컴을 통해 일어났음 또한 보고되었습니다. 중국의 종횡무진이라는 표현을 엊그제 쓴 거 같은데, 그게 그저 느낌만은 아니었나 봅니다.

4. 서드파티 번들링 때문에 IBM 제품들 가장 취약해(Security Week)
http://www.securityweek.com/third-party-bundling-made-ibm-products-most-vulnerable-study

연말이라 각종 보고서가 나오고 있습니다. 세큐니아(Secunia)라는 곳에서도 취약점에 관한 보고서를 작성했는데요, 지난 8월, 9월, 10월 사이에 가장 많은 취약점이 드러난 제품은 구글 크롬이었다고 합니다. 8월에 64개, 9월 17개, 10월에 162개라고 하니, 꽤나 많긴 하군요. 업체 별로 봤을 때 같은 기간 취약한 제품을 가장 많이 제조한 업체는 IBM이라고 합니다. 그 이유는 자바나 오픈SSL 등의 서드파티 소프트웨어와의 번들링 정책 때문이랍니다. 자바나 오픈SSL이나 올해 여러 번 등장했던 이름이죠. 서드파티 관리가 힘든 건 IBM처럼 대형 업체도 마찬가지인가 봅니다.

5. 국제 기업에서도 보안은 총체적 난국(Infosecurity Magazine)

http://www.infosecurity-magazine.com/news/report-reveals-security/

또 다른 보고서가 재미있는 결과를 드러냅니다. 트러스트웨이브(Trustwave)라는 곳에서 발간한 보고서인데요, 세계적인 IT 및 보안 업체의 전문가들조차 보안 의식이 아직 제대로 갖추어지지 않은 것으로 드러났습니다. 미국, 영국, UAE 등에 있는 500명의 전문가들을 대상으로 한 설문에서 데이터를 저장할 때 완전히 암호화를 한다는 응답자는 49%였으며, 민감한 정보를 추적하는 방법을 제대로 알거나 가지고 있지 않다는 응답자는 무려 63%나 되었습니다. 리스크 관리에 있어서 큰 약점이 노출된 것이죠. 사건 대응 절차를 수립하지 않은 채 지내고 있는 전문가는 21%, 보고 체계조차 갖추지 못한 응답자가 20%나 되었다니, 일반 사용자의 보안불감증을 탓할 때가 아닙니다.

[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)