[주간 보안이슈] 클라우드 이용자의 자동백업 정보, 구글 검색 노출 外

클라우드 서비스 이용자의 자동백업 정보 구글 검색 노출
트루콜러앱, 안드로이드 기기에 영향 줄 수 있는 원격코드 실행 취약점 발견

[보안뉴스 김경애] 클라우드 서비스 이용자의 자동 백업된 정보가 구글 검색을 통해 노출되는 문제가 발생했으며, 전 세계 20만개 이상의 기업에서 사용하는 전자결제 시스템 마젠토를 노리는 랜섬웨어가 등장했다. 뿐만 아니라 스팸 전화를 필터링해주는 트루콜러(Truecaller) 앱에서 1억대의 안드로이드 기기에 영향을 줄 수 있는 원격코드 실행 취약점도 발견됐다. 다음은 한 주간 발생한 주요 보안이슈다.

▲지난 3월 31일 구글검색을 통해 노출된 바이두 클라우드 사용자들의 휴대폰 사진첩 리스트(출처: 알약블로그)

1. 클라우드 서비스 이용자의 자동백업 정보 구글 검색 노출
클라우드 서비스 이용자의 자동백업된 정보가 구글 검색을 통해 노출되는 사건이 발생했다. 자동백업 기능은 내 휴대폰과 컴퓨터에 있는 문서, 사진 파일 등을 자동으로 클라우드에 저장시켜주는 기능이다.

이러한 가운데 지난 3월 31일 구글에서 ‘site:yun.baidu.com来自iPhone’ 키워드로 바이두 클라우드 사용자들의 휴대폰 사진첩이 검색됐다.

알약 블로그에 따르면 바이두 클라우드 사용자가 자신의 사진을 올리면 반공개 상태로 업로드됐으며, 어떤 사람이 개인 바이두 클라우드 상의 사진을 찾고자 하면 기본적으로 검색이 가능하다고 밝혔다.

이번 사건에 대해 바이두 측은 “검색엔진에서 사용자 정보 검색이 가능한 것은 사용자가 바이두 클라우드 사진을 공개로 설정했기 때문”이라며 “사용자 사진을 바이두 클라우드 자체적으로 설정을 공개로 바꿀 수 없다”고 밝혔다. 바이두 클라우드의 자동 백업 기능은 기본적으로 비활성화되어 있으며, 사용자가 활성화시켜야 가능하다는 게 바이두 측의 설명이다.

사용자의 편리성을 향상시키기 위해 개발된 기능이 오히려 사용자 정보의 유출통로가 된 셈이다. 따라서 이용자는 클라우드 서비스의 자동백업 기능의 세부 설정 내용을 확인해 개인정보가 유출되지 않도록 주의해야 한다.

2. 킴실웨어 랜섬웨어의 주 타킷, 마젠토
최근 킴실웨어(KimcilWare)라고 불리는 랜섬웨어가 마젠토(Magento)의 전자결제 플랫폼을 지원하는 웹사이트를 노리고 있는 것으로 드러났다.

▲출처: 마젠토(Magento)

마젠토는 전 세계 20만개 이상의 기업에서 사용하는 전자결제 시스템으로, 다양한 웹사이트에 전자결제 시스템을 제공하고 있다. 하지만 공격자가 웹 도메인 서버단의 권한을 탈취할 경우, 중요 데이터들을 탈취하고 DB에 침투해 웹사이트를 하이재킹(Hijacking) 할 가능성이 제기되고 있다. 특히, 전자결제의 경우 금융정보가 포함되어 있기 때문에 피해가 더욱 커질 수 있다는 지적이다.

멀웨어헌터팀(MalwareHunter Team)의 보안연구원들에 따르면, 해당 랜섬웨어는 마젠토와 연결된 서버를 암호화하며, 웹 관리자에게 기능 복구를 위한 비트코인을 요구하는 것으로 알려졌다. 킴실웨어는 전체 데이터를 .kimcilware 확장자로 암호화 스크립트를 통해 설치되며, 랜섬머니로 1BTC 혹은 140달러를 요구한다는 것. 킴실웨어는 교육 목적으로 제작됐던 오픈소스 랜섬웨어 샘플인 Hidden Tear의 변종으로 분석되고 있다.

3. 트루콜러앱, 원격코드 실행 취약점 발견
트루콜러(Truecaller) 앱에서 1억대의 안드로이드 기기에 영향을 줄 수 있는 원격코드 실행 취약점이 발견됐다.

▲출처: 트루콜러(Truecaller)

트루콜러는 덴마크 회사가 개발한 앱으로, 전호번호부 및 크라우드 소싱을 통해 구축된 DB를 통해 스팸, 광고 등의 전화들을 필터링 해주는 앱이다. 약 1.5억명의 사용자를 보유하고 있으며, 그 중 8000만명의 사용자가 인도에 있다.

이에 대해 알약블로그 측은 공격자가 해당 취약점을 이용하면 △개인정보 탈취(이름, 성별, 이메일, 사진 등) △앱 설정 변경 △스팸문자 차단 해제 △특정 사용자 블랙리스트에 추가 △블랙리스트 삭제 등의 악성행위를 수행할 수 있다고 밝혔다.

이를 발견한 Cheetah 보안연구소 측은 “트루콜러가 사용하는 IMEI를 유일한 개인식별 정보로 사용하는 것을 발견했다”며 “이는 공격자가 사용자의 IMEI만 알아낸다면, IMEI를 통해 트루콜러 사용자의 정보(전화번호, 주소, 이메일 주소 등)를 얻고, 사용자 동의 없이 사용자의 APP 설정을 바꿔 사용자가 피싱의 위협에 처하게 할 수 있다는 것을 의미한다”고 설명했다.

Cheetah 보안연구원들은 해당 취약점을 발견하자마자 트루콜러에 해당 취약점을 보고했으며, 트루콜러는 해당 취약점을 패치한 버전을 지난 3월 22일에 공개했다.

4. 변종 광고프로그램, 플러스매칭 주의
국내에서 제작된 ‘Windows Explorer usewillch .NET Service Pack 1’ 악성 광고 프로그램이 업데이트 기능을 통해 삭제 기능을 제공하지 않는 또 다른 플러스매칭(PlusMatching) 변종 광고 프로그램을 설치하는 것으로 추정된다.

보안전문 파워블로거 울지않는벌새는 “해당 악성 광고 프로그램은 2015년 12월 초에 최초 발견된 것으로 보이며, ‘C:\Users\(로그인 계정명)\AppData\Roaming\fusewill’ 폴더에 파일을 생성한다”며 “‘fusewilll’ 서비스 항목을 등록해 시스템 시작 시 로그인 계정명 파일을 자동 실행해 광고 기능을 수행하는 파일을 로딩해 메모리에 상주시킨다”고 분석했다.

fusewill.exe 파일은 업데이트 정보 및 실행 카운터를 체크한 후 광고 모듈을 로딩한다. 만약 업데이트 체크 과정에서 추가적인 변종 광고 정보가 등록되어 있는 경우 update.exe 파일 다운로드 및 자동 실행을 통해 또 다른 형태의 플러스매칭 광고 프로그램을 설치하는 것으로 추정된다. 또한, 로딩된 usewill.dll 광고 모듈은 인터넷 검색 활동 중 광고 배너(창)을 생성하는 동작이 수행될 수 있다.

이러한 플러스매칭 광고 프로그램을 제거하기 위해서는 보조 프로그램 → ‘명령 프롬프트’ 메뉴를 ‘관리자 권한으로 실행’해 생성된 sc stop fusewilll과 sc delete fusewilll 서비스 레지스트리 값을 자동 삭제해야 한다.

이어 Windows 작업 관리자를 실행해 fusewill.exe 프로세스를 찾아 종료한 이후, C:\Users\(로그인 계정명)\AppData\Roaming\fusewill과 C:\Windows\System32\Tasks\usewills 폴더 및 파일을 삭제해야 한다.

마지막으로 레지스트리 편집기(regedit)를 실행해 레지스트리 값이 존재할 경우 삭제하면 된다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)