[주간 보안이슈] KT 위장 대량 스팸메일 발송 악성코드 발견 外

인증 없이 원격 관리프로그램 사용되고 있는 PC에서 의료정보 노출
KT 위장해 대량 스팸 메일 발송하는 악성코드 발견, DBD 방식 유포
페북·트위터 등 SNS 통해 아이폰·아이패드 충돌 야기하는 링크 발견

[보안뉴스 김경애] 인증 없이 원격관리 프로그램이 사용되고 있는 PC에서 의료정보가 노출되고 있는 데 이어 대량의 스팸메일을 발송하는 악성코드가 발견됐으며, SNS를 통해 아이폰이나 아이패드의 충돌을 야기할 수 있는 링크가 노출되기도 됐다. 다음은 한 주간 발생한 보안이슈다.

▲1일 검색엔진 쇼단을 통해 노출된 의료정보 화면(출처: 하우리)

1. 쇼단 통해 의료정보 노출
먼저 한 주간 의료정보 노출 이슈로 파장이 커지고 있다. 1일 취약한 IoT 서비스를 검색하는 검색엔진 Shodan(쇼단)을 통해 의료정보가 노출된 정황이 포착됐다.

노출된 의료정보는 환자 두개골로 보이는 엑스레이 사진이며, 브라질에 위치한 한 병원으로 추정되고 있다. 이는 원격관리 프로그램을 인증 없이 사용하고 있는 PC를 통해 엑스레이 사진이 노출된 것으로 분석되고 있다.

이와 관련 하우리 최상명 CERT 실장은 1일 “최근 이슈가 되었던 CCTV 영상 및 병원 엑스레이 사진 노출 등은 외부와의 접점인 인증 부분의 관리 부실이 원인”이라며 “원격접속이 가능한 서비스의 경우 반드시 인증을 강화하고 지속적인 관리가 필요하다”고 당부했다.

2. 1월초 스팸메일 발송용 악성코드 발견
이어 대량의 스팸메일을 발송하는 악성코드가 발견돼 메일 수신 시 이용자들의 각별한 주의가 요구된다.

▲KT를 위장해 스팸메일을 발송하는 악성코드 발견 정황 화면(출처: 하우리)

스팸메일 발송용 악성코드는 지난 1월 초부터 국내에서 드라이브 바이 다운로드(Drive-by-Download) 방식으로 유포되고 있으며, 통신사 KT에서 전송한 것으로 위장하고 있는 것이 특징이다.

이와 관련 최상명 실장은 “특정 SMTP 서버에 접속해 송신자를 속여서 대량의 스팸메일을 발송한다”며 “이 악성코드는 KT 계정으로 속여서 KT가 이메일을 보낸 것처럼 위장한다”고 밝혔다.

특히, 스팸메일 발송 시 송신자를 위장해서 발송하는 것은 매우 쉽다는 것. 따라서 이용자는 메일 수신 시 이러한 위장된 스팸메일을 수신하지 않도록 메일 확인에 만전을 기해야 한다.

3. 아이폰 등 애플 제품 충돌과 재부팅 야기하는 링크 출현
최근 트위터나 페이스북과 같은 SNS를 통해 아이폰이나 아이패드의 충돌을 야기할 수 있는 링크가 발견돼 이용자들의 주의가 요구된다.

만약 아이폰이나 아이패드, 그리고 맥 컴퓨터에서 crashsafari.com 링크를 본다면 클릭하지 않도록 주의해야 한다. 이 링크는 사파리(Safari) 어플리케이션의 충돌을 일으키며, 애플 기기를 재부팅시킨다.

이와 관련 알약 블로그 측은 “crashsafari.com 웹사이트는 애플의 디폴트 브라우저인 사파리 주소창의 최대 문자열 길이를 초과하는 긴 문자열을 생성한다”며 “크롬을 사용하는 안드로이드 기기에서 해당 사이트를 방문할 경우, 기기가 뜨거워지며 느려지는 현상이 발생한다”고 밝혔다. 또한, 데스크탑이나 노트북 사양에 따라 이 사이트에 영향을 받을 수도 있으며, 충돌 현상은 애플의 최신 OS인 iOS 9.2.1, OS X 10.11.3에서도 발생한다고 덧붙였다.

사이트 구조를 분석해본 결과 브라우저 충돌로 인해 실제로 볼 수 없는 헤더 타이틀(Header Title)과 HTML5 History API를 수천번 호출해 사파리를 다운시키는 자바 스크립트로 구성된다.

현재까지 해당 링크에 피해를 입은 사용자는 약 15만명에 달하지만, 애플은 현재까지 이런 현상에 대해 아무런 입장을 밝히지 않고 있다.

4. 비트코인 요구하는 매직 랜섬웨어 발견
한 주간 오픈소스 기반의 교육용 코드를 악용한 매직(Magic) 랜섬웨어도 발견됐다. 악용된 교육용 코드는 랜섬웨어를 가르치기 위해 만들어진 오픈소스이며, 풀 랜섬웨어 툴킷을 함께 제공하고 있는 eda2 키트를 기반으로 하고 있다.

이에 대해 알약 블로그 측은 “교육용 코드를 악용한 매직 랜섬웨어는 AES 암호화를 통해 데이터를 암호화하며, 매직 확장자를 추가하고 몸값으로 1비트코인을 요구한다”며 “개발자가 해킹된 터미널 서비스나 원격 데스크탑을 통해 수동으로 배포하는 것으로 보인다”고 추정했다.

매직 랜섬웨어의 경우 감염된 컴퓨터에서 문자열 $를 포함하는 파일이거나, C:\Windows나 C:\program경로를 제외한 모든 문서 파일을 스캐닝한다. 매직 랜섬웨어의 외형은 트렌드 마이크로가 최근 발견한 CRYPTEAR.B 랜섬웨어와 유사하며, 이 역시 오픈소스 교육용 코드인 Hidden Tear을 기반으로 하는 것으로 알려졌다.

이처럼 범죄자들이 신속히 사용할 수 있고, 쉽게 구할 수 있는 코드를 악용한 랜섬웨어가 급증하고 있다. 이는 공격자 입장에서는 구입가격이 저렴하면서 파급력이 높기 때문이다. 게다가 랜섬웨어 대부분은 없애기 쉬운 무료 웹사이트 서비스를 통해 C&C 서버로 운영돼 피해자는 키를 복구할 수 없다.

매직 랜섬웨어를 발견한 Bleeping Computer의 Lawrence Abrams는 “C&C 서버가 호스팅 회사에 의해 제거된 것을 확인했으며, 호스팅 회사에 연락해 랜섬웨어 감염자들을 위한 복호화 툴을 만들기 위한 데이터데이스의 복사본을 구할 수 있는지 문의해둔 상태”라고 밝혔다.

5. 시스템 권한 획득 가능한 IBM 취약점 15건 발견
1월 4째주 발생된 총 21건의 벤더(Vender)별 취약점 중 IBM이 가장 많이 발견됐다.

▲1월 넷째주 한 주간 탐지된 벤더별 취약점(출처: SK인포섹 블로그)

SK인포섹 블로그에 따르면 IBM이 총 15건(71.5%)로 가장 많이 발견됐으며, 이어 시스코 6건(28.5%)순으로 나타났다.

특히, IBM에서 발견된 총 15건의 취약점은 원격 공격에 의해 모든 시스템 권한 획득이 가능한 취약점으로 위험등급이 높은 것으로 알려졌다.

▲1월 넷째주 한 주간 탐지된 공격유형(출처: SK인포섹 블로그)

이어 지난 한 주간 탐지된 공격 유형으로는 웹해킹 55.46%, 스캐닝 16.82%, 시스템 해킹 10.16% 순으로 나타났고, 탐지된 패턴은 SQL 인젝션이 53,929건으로 22.6%로 가장 많이 탐지됐다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)