[주간 보안이슈] 안티멀웨어 기능 있는 Gatekeeper 취약점 발견 外

안티멀웨어 기능이 있는 Gatekeeper와 쿠키 훔칠 수 있는 iOS에서 취약점 발견
1월 3째주 벤더별 취약점: 총62건 중 MS가 24건, 어도비 17건, 애플 13건 순

[보안뉴스 김경애] 최근 금융정보 탈취를 목적으로 한 파밍용 악성코드 중 새로운 유형이 발견되는가 하면, 안티멀웨어 기능이 있는 Gatekeeper에서 취약점을 비롯해 쿠키 훔칠 수 있는 iOS 취약점이 발견됐다. 또한 1월 3째주 벤더별 취약점이 총 62건이나 발견됐다. 다음은 한 주간 발생한 주요 보안이슈다.

▲옵션설정 주소의 난독화된 실행 화면과 난독화된 금융권 도메인

1. 자동 구성 스크립트 이용한 파밍
최근 금융정보 탈취를 목적으로 한 파밍용 악성코드 중 새로운 유형이 발견됐다. 기존에는 호스트(hosts) 파일을 변조하거나 메모리를 참조하는 수법을 이용했다. 그러나 이제는 호스트 파일 변조 없이 인터넷 옵션 설정을 변경하며 좀더 지능적으로 변모했다.

이에 대해 제로서트는 “공격자는 인터넷 옵션의 자동 구성 스크립트 주소를 랜덤포트 또는 문자열 형식처럼 사용해 은행 등 특정 도메인을 파밍 IP로 유도하고 있다”며 “기존의 호스트 파일을 변조할 경우 백신에서 탐지돼 차단조치와 함께 사용자가 인지할 수 있었다. 하지만 이제는 공격자가 인터넷 옵션 설정을 변경하는 수법으로 파밍 대상의 은행 도메인을 sha1으로 암호화해 확인을 어렵게 하고 있다”고 설명했다.

최근 파밍 조직이 국내 사이트를 경유지로 악용해 일본을 겨냥한 공격이 이슈가 되고 있는 만큼 국내 사이트가 경유지로 악용되지 않도록 주의해야 하며, 이용자 역시 파밍 피해를 입지 않도록 각별히 신경써야 한다.

악성코드 감염 확인 방법은 인터넷 익스플로러->도구->인터넷 옵션->연결->LAN 설정-> 자동 구성 스크립트 사용을 ‘확인’으로 설정하면 된다.

2. 안티멀웨어 기능이 있는 Gatekeeper에서 취약점 발견
2012년 7월 출시된 Gatekeeper는 맥 OS X 시스템을 멀웨어로부터 보호하기 위해 신뢰할 수 없는 앱 실행을 차단하도록 설계돼 있다. 하지만 해커들은 Gatekeeper가 가장 높은 보안 상태로 설정돼 있을 경우, 맥 컴퓨터에 악성 SW를 설치할 수 있는 취약점이 발견됐다.

▲Gatekeeper 취약점 동작 화면(출처: The Hacker News)

NSA의 전 직원이자 Synack의 보안 연구원인 Patrick Wardel은 “완전히 패치된 OS X 10.11.2 시스템에서도 Gatekeeper을 쉽게 우회할 수 있다”고 말했다.

Wardle은 △동일한 폴더에 위치하는 별도의 앱 (바이너리 B)을 실행하는 서명된 바이너리 파일(Binary A)을 준비하고, △바이너리 A의 이름을 변경했다. △이후 정상 바이너리 B를 악성 파일로 변경해 동일한 폴더 내에서 동일한 파일 이름으로 악성파일 바이너리 B를 생성했다.

알약 블로그에 따르면 이렇게 생성된 바이너리 B는 디지털 인증서나 애플 개발자 인증서 실행이 더 이상 필요 없게 돼 Gatekeeper을 우회해 공격자가 원하는 어떤 것도 설치할 수 있게 된다고 밝혔다.

이에 애플은 해당 파일들을 차단하는 ‘보안패치’ 업데이트를 제공하고, Wardle은 모든 실행파일들을 체크해 신뢰할 수 없거나 웹에서 받은 서명되지 않은 코드 등을 블록해주는 무료 툴인 Ostiarius를 공개했다.

3. 애플, 쿠키 훔칠 수 있는 iOS 취약점
iOS에서 공격자가 웹사이트의 암호화 되지 않은 인증쿠키에 읽기/쓰기 권한을 부여해 사용자로 위장할 수 있는 취약점도 발견됐다. 이 취약점은 지난 화요일에 공개된 iOS 9.2.1에서 수정되었는데, 이는 이 취약점이 발견 및 애플에 제보된 지 약 3년만이다.

▲호텔 네트워크에 접속한 화면(출처: info security)

알약 블로그에 따르면 사용자가 취약한 아이폰이나 아이패드로 커피숍, 호텔, 공항 등 종속된 네트워크에 접속했을 경우, 암호화 되지 않은 HTTP 연결을 통해 로그인 창이 표시된다며 접근이 승인되면 사용자는 인터넷을 이용할 수 있지만, 내장된 브라우저가 암호화 되지 않은 저장된 쿠키들을 safari 브라우저와 공유하게 된다고 설명했다.

또한, Skycure 블로그 측은 공유된 리소스를 이용하면 해커가 그들의 고유 종속포털을 생성사고 이를 Wi-Fi 네트워크와 연결시켜 취약한 iOS 기기가 네트워크에 연결할 경우 기기에 저장된 암호화 되지 않은 쿠키들을 훔칠 수 있게 된다고 밝혔다.

해커가 Captive Portal 취약점을 악용해 실행할 수 있는 공격은 위장(Impersonation)공격, 세션 고정(Fixation) 공격, 캐시 포이즌 공격(Cache-poisoning)이다. 이 취약점은 iPhone 4S, iPad 2를 포함한 상위 버전 기기에 모두 존재한다. 이 공격에서 보호받기 위해서는 iOS 9.2.1로 업그레이드해야 한다.

4. 영국 피싱 피해 금액 1.74억파운드
영국의 2015년 피싱 공격 피해 금액이 1.74억파운드(3,002억원 상당)에 달한 것으로 조사됐다.

▲영국의 피싱 피액금액 보도 내용(출처: The Hacker News)

영국 런던 경찰 산하 사기 수사국(NFIB) 및 Get Safe Online은, 2015년에 피싱 공격이 점차 증가해 1.74억 파운드 상당의 피해를 입었으며, 1년만에 피싱 사기가 21% 증가했다고 밝혔다.

Financial Fraud Action UK에서 발행한 보고서에 따르면, 2015년 상반기에는 피해 금액이 3.25억 파운드(5,608억원 상당)에 달했으며, 이는 2014년 동일 기간과 비교했을 때 6% 증가했다고 미러는 보도했다.

5. 벤더 취약점, 총 62건 발견
이어 1월 3째주 벤더별 취약점은 총62건이 발견됐다. 그 중에서도 마이크로소프트가 24건으로 취약점의 가장 많은 부분을 차지했다.

▲1월3째주 주간 취약점 동향 및 통계(출처: SK인포섹 블로그)

SK인포섹에 따르면 지난주에 발생된 총62건의 벤더별 취약점 중 마이크로소프트가 24건(38.7%), 어도비가 17건(27.5%), 애플 13건(20.9%) 순으로 나타났다고 밝혔다.

▲1월3째주 주간 취약점 동향 및 통계(출처: SK인포섹 블로그)

한 주간 탐지된 공격 유형으로는 시스템해킹이 31.84%, 웹해킹이 30.38%로 높은 점유율을 차지했다. 탐지된 패턴은 RCP_Portmap_Dump가 61,664건(30.7%)으로 가장 많았다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)