국가사이버안보센터가 주간 해외 사이버 보안 동향을 발표했다.

러시아 해킹 단체 APT 대상 공격 집단 헬하운즈(HellHounds)가 취약한 웹 서비스와 신뢰할 수 있는 관계를 이용해 러시아와 동유럽의 러시아의 전력 회사·IT 기업·정부기관의 리눅스 시스템을 타겟으로 윈도우용 악성 코드 디코이 도구(Decoy Dog) 트로이목마 공격을 시도한 것으로 드러났다.

글로벌 보안회사 맨디언트(Mandiant)의 최근 보고서에 따르면 지난해 50개의 새로운 랜섬웨어 변종이 발견되었으며, 약 3분의 1은 기존 악성코드에서 파생된 것으로 확인됐다. 이에 병원·의료 부문이 특히 큰 피해를 입었으며, 데이터 유출 사이트의 게시물 수가 전년 대비 75% 증가한 것을 바탕으로, 랜섬웨어 공격이 2022년의 일시적인 감소 이후 다시 급증했다고 분석했다.

한편 FBI는 미국 구직자 대상 가짜 원격근무 광고를 통해 암호화폐를 훔치는 사기꾼들에 대해 경고했다. 이 사기는 ‘온라인 업체 평가’ 또는 ‘서비스 최적화’와 같은 간단한 작업을 쉽게 수행할 수 있다고 속이고 가짜 포털을 사용해 수익을 보여주지만 실제로는 출금 불가능하다.

서비스형 악성코드(MaaS)인 다크게이크(DarkGate)는 6버전의 최신 공격에서 오토잇(AutoIt )스크립트 대신 오토핫키(AutoHotkey) 메커니즘을 사용해 악성 코드를 실행하고, 피싱 이메일, 매크로가 포함된 엑셀(Excel) 파일 등을 통해 공격하며, 오디오 녹음, 마우스 제어 등의 새로운 기능이 추가됐다.

또한 마이크로소프트는 윈도우와 윈도우 서버에서 NTLM 인증 프로토콜을 공식적으로 중단하고, 개발자들에게 커버로스(Kerberos )또는 니고시에이션(Negotiation) 인증으로 전환할 것을 권장했다. NTLM은 1993년에 출시된 이후로 널리 사용되었지만, 사이버 공격에 취약해 현대 보안 기준에 부합하지 않는다고 밝혔다.

미국 국토부 산하 보안 부서 CISA는 중국 해커들이 암호화폐 채굴기 배포를 위해 악용한 오래된 오라클 웹로직 취약점(CVE-2017-3506)을 주의해야 할 취약점 목록에 추가했다. 이 취약점은 인증되지 않은 공격자가 중요한 데이터를 접근하거나 수정할 수 있게 해 임의의 OS 명령을 실행한다. 최근 8220 Gang(Water Sigbin으로도 알려짐)이 이러한 다양한 취약점을 이용해 암호화폐 채굴기를 배포했다고 전했다.

한편 해커들이 우크라이나 대상 VBA 매크로가 포함된 Excel 파일을 통해 공격 후 사용자가 매크로를 활성화하도록 유도했다고 전했다. 매크로가 활성화되면 우크라이나에 위치한 장치에서만 코발트 스트라이크 비콘(Cobalt Strike Beacon)이 배포되어 명령 및 제어(C2) 서버와의 통신 설정 후 해킹을 감행했다.

한편 FBI가 2024년 2월 국제 작전 "오퍼레이션 크로노스(Operation Cronos)"에서 록빗(LockBit) 랜섬웨어의 인프라를 차단하고 2500개 이상의 복호화 키를 확보해 7000개 이상의 복호화 키를 제공하고 있다고 전했다. 록빗은 여전히 활동 중이며 새로운 서버와 다크 웹 도메인으로 전환해 데이터 유출 중이다. 이에 피해자들이 ic3.gov를 방문해 신고할 것을 권장하고 있으며, 미국 국무부는 록빗 리더의 체포나 유죄 판결에 대한 정보에 1천만 달러, 랜섬웨어 관련자의 체포에 대한 정보에 500만 달러의 포상을 제공한다고 전했다.

시스코가 독일 정부의 웹엑스 회의 노출 후 보안 권고문을 발표했다. 시스코의 웹엑스 소프트웨어의 취약점이 악용돼 내부 회의 링크와 고위 관료의 회의실 링크가 노출됐다. 이에 민감한 군사 활동을 논의하는 세션을 포함한 회의 주제, 시간, 참가자 정보가 유출되었다고 전했다.

또한 미국에서는 120만 명의 사이버 보안 인력이 있으나 22만 5천 명이 더 필요하다고 전했다. 2023년 5월부터 2024년 4월까지 사이버 보안 관련 채용 공고는 대략 47만 건으로, 네트워크 및 시스템 엔지니어, 시스템 관리자, 사이버 보안 엔지니어 등이 가장 많이 요구됐다. 이에 美정부는 인력 부족문제 해결을 위해 NIST가 3.6백만 달러의 보조금을 발표했고, 15개 주의 18개 교육 및 커뮤니티 조직에 각 20만 달러를 지원해 미래 사이버 보안인력 양성 계획을 밝혔다.

한편 틱톡에서 심각한 보안문제(제로데이 취약점, zero-day vulnerability)가 발견됐다. 악의적인 사용자가 CNN, SONY, 페리스 힐튼 등 유명 회사 및 샐럽 계정을 해킹하는 사건이 발생했다. 악성 코드가 담긴 다이렉트 메시지(DM)를 통해 이뤄졌으며, 메시지를 열기만 하면 계정이 해킹된다고 전했다.

윤리적 해커 알렉산더 하게너(Alexander Hagenah)가 윈도우의 리콜(Recall) 기능을 악용할 수 있는 토털리콜(TotalRecall) 도구를 개발했다. 리콩은 5월 20일 마이크로소프트가 발표한 윈도우 11 기반의 새로운 PC 라인인 코파일럿+(Copilot+)의 기능으로, 몇 초마다 컴퓨터 화면의 스냅샷을 찍어 로컬에 저장후 OCR로 정보를 추출해 SQLite 데이터베이스에 평문으로 저장한다. 그러나 악성코드와 해커가 쉽게 접근할 수 있어 보안 문제의 심각성을 제기했다.

한편,  아리안 시스템(Ariane Systems) 셀프 체크인 단말기가 터치스크린 단말기에서 입력하는 특정 문자열을 통해 호텔 고객 개인 정보 및 다른 객실 열쇠에 접근이 가능하고 다른 객실의 키를 만들수 있는 등의 취약점도 발견됐다고 전했다.