이번 주는 반성을 많이 해야할 것 같다. 회사에 적응한다는 핑계로 일일커밋을 대충한 것이 너무 아쉽다. 그나마 변명을 좀 하자면, 일일커밋에 몰두할 수 있는 물리적인 시간이 내 예상보다 더 부족했다. 그래서 생각을 좀 해보았는데, 앞으로 근무일에는 정보보안 관련 기사 또는 포스팅에 대한 간단한 리뷰를 하고, 휴일에는 기존처럼 문제 풀이나 개인 공부에 대한 내용을 다룰 예정이다. 아무튼, 오늘은 이번 주의 정보보안 관련 소식 몇 가지를 소개하고자 한다.
1. 2020년, 데이터 유출 사고의 패턴이 크게 변했다 (보안뉴스, 문가용 기자, 2021.01.22.)
2020년 한 해동안 전세계에서 발생했던 데이터 유출 사고를 분석했을 때, 2019년에 비해 사고 횟수 자체는 절반(약 4000건)으로 줄어들었으나 유출된 데이터의 수는 2배로 늘어났다고 한다. 이를 조사한 리스크베이스드시큐리티(Risk Based Security)는 2020년에 유출된 데이터의 80%가 5건의 클라우드 설정 오류로부터 나온 것이라며 클라우드 보안을 강화해야 한다고 말했다. 또한 작년과 재작년의 데이터 유출 사고의 양상이 달라진 원인으로 랜섬웨어 공격자들의 공격 전략이 변화한 것을 지적했다. 이제 랜섬웨어 공격자들은 단순히 파일들을 암호화할 뿐만 아니라, 내부 자료를 탈취한 뒤 이를 유출하지 않는 대가를 요구하는 방식의 이중 협박 전략을 사용한다.
또한 전체 유출 사고의 3/4는 외부 요인에 의해 발생하며, 나머지는 내부자 공격으로 발생하는데 이 중 2/3은 사고와 실수로 인해 발생한다고 한다.
2. Intel Confims Unauthorized Access of Earning-Related Data (Dark Reading, Jai Vijayan, 2021.01.22.)
인텔은 지난 2020년 4분기 실적이 누군가의 비인가 접근에 의해 의도치 않게 유출되어 예정 시각보다 빠르게 공개되었으며, 이러한 여파로 인해 공개 당일 인텔의 주가가 9% 가까이 하락헀다는 소식이다. 인텔은 유출 원인에 대해 자사 네트워크가 해킹된 것이 아니며, 누군가가 당시 공개되지 않았던 URL을 통해 사전에 업로드 된 실적 데이터에 접근한 것이라고 해명했다. 인텔의 4분기 실적은 예상치를 웃돌았으나 이번 유출 사건으로 인해 인텔의 주주들은 크게 실망한 모양이다.
3. Why North Korea Excels in Cybercrimes (Dark Reading, Marc Wilczek, 2021.01.22.)
최근 북한의 사이버범죄가 급부상한 점에 대한 칼럼 기사이다. 다들 알다시피, 북한은 핵무기 개발로 인해 국제사회로부터 경제제재를 받고 있으며 이를 우회하며 핵무기 개발 자금을 얻고자 사이버범죄에 손을 대기 시작했다. 현재는 핵무기 개발 못지 않게 사이버범죄에도 상당한 노력을 들이며 전세계적으로 그 악명을 떨치고 있는 중이다. 대표적인 사례로, 지난 2017년 워너크라이(WannyCry) 사태를 일으킨 APT 그룹 라자루스(Lazarus)가 북한의 지원을 받아 활동하고 있는 것으로 잘 알려져 있다.
남재준 전 국정원장에 따르면, 김정은은 사이버전 능력을 핵무기와 동등하게 중요시한다고 한다. 북한은 사이버범죄 관련 기술을 가르치는 대학을 세우고, 중국과 협약을 맺어 기술 교류를 하는 등 국가적 차원에서 해커들을 양성하고 있다. 아직으로선 그 수준이 중국이나 러시아에는 못 미치나 꾸준한 성장세를 보이고 있어 방어체계를 보다 견고히 하고, 북한의 해커양성을 방해하는 등 대책이 요구된다.
4. North Korean Attackers Target Security Researchers via Social Media: Google (Dark Reading, Kelly Sheridan, 2021.01.26.)
구글 TAG(Threat Analysis Group)는 최근 북한의 공격자들이 SNS를 통해 보안 전문가들과 접촉을 시도하며 그들에게 피싱 공격을 시도하는 것을 포착하였다. 공격자는 보안 컨퍼런스, 취약점 보고서 등의 주제로 보안 전문가들과 안면을 튼 뒤 그들에게 협업 제의를 하면서 정상 파일로 위장한 악성코드 또는 악성 링크를 보내어 공격을 시도한다.
5. Dreambus, Freakout Botnets Pose New Threat to Linux Systems (Dark Reading, Jai Vijayan, 2021.01.21.)
리눅스에서 동작하는 새로운 악성코드 2종이 발견되었다. 이 둘은 각각 ‘Dreambus’, ‘Freakout’이라는 이름으로 명명되었는데 이 중 Dreambus는 RFC 1918 IP 주소 공간을 스캔하여 인터넷에 노출되지 않은 서버들을 찾을 수 있으며, 취약한 암호로 설정된 서버를 공격해 자가유포를 한다. Dreambus는 현재 ‘XMRig’라고 하는 모네로(Monero, XMR) 암호화폐 채굴 악성코드를 심지만 임의의 명령을 추가로 수행할 수 있어 향후 랜섬웨어 감염 등의 추가 피해를 일으킬 수 있다.
Freakout 악성코드는 CVE-2020-28188, CVE-2020-7961, CVE-2021-3007 취약점을 익스플로잇하여 시스템을 감염시키며 감염된 시스템은 DDoS 공격을 위한 봇넷으로 쓰이거나 암호화폐 채굴에 쓰인다고 한다.
현재 Freakout에 감염될 수 있는 시스템은 인터넷 검색으로만 9000개 이상을 찾을 수 있어 패치 적용이 시급한 상황이다.
6. 리눅스의 유명 유틸리티에서 10년 된 취약점 패치돼 (보안뉴스, 문가용 기자, 2021.01.28.)
거의 모든 UNIX/Linux 기반 OS에서 사용되고 있는 ‘sudo’ 유틸리티에서 치명적인 취약점이 생긴지 10년 만에 드러나 급히 패치되었다. 해당 취약점은 버퍼 오버플로우로 인한 권한 상승 취약점이며, 최대 루트 권한까지 얻을 수 있다. 보다 자세한 설명은 Qualys Blog에서 확인할 수 있다.
7. Is the Web Supply Chain Next in Line for State-Sponsored Attacks? (Dark Reading, Rui Ribeiro, 2021.01.29.)
솔라윈즈 사태로 인해 엄청난 존재감(?)을 뽐낸 공급망 공격(Supply Chain Attack). 이 기사에서는 전세계 웹 서비스에서 널리 사용되고 있는 서드파티 모듈들을 통해서도 전세계로 악성코드를 유포하는 공급망 공격이 가능하다고 지적한다. 대다수의 모듈들은 개발 당시 보안이 크게 고려되지 않았으며, 모듈 사용 시 대체로 권한 분리가 잘 되어있지 않아 위험하다. 솔라윈즈 사태를 일으킨 해커 그룹처럼 국가적 지원을 받는 해커 그룹들이 이 취약점을 노리고 있는 것으로 보인다. 해당 취약점으로 인한 피해를 막기 위해서는 가급적 서드파티 모듈의 사용을 줄이고, 클라이언트에서 발생하는 이상 행위를 차단해야 한다.
여담으로…
이제 사회생활을 시작한 소감을 간단히 말하자면… 회사 자체는 생각보다 만족스럽다. 근무환경도 괜찮고, 같이 일하는 동료분들도 다들 좋으신 분들 같고.. 무엇보다도 내가 즐겁게 할 수 있는 업무가 주어진 것 같아 좋다. 앞으로 더 열심히 공부해야겠다는 동기부여가 된다. 다만, 벌써부터 백수의 삶이 조금은 그리워진다…