국가사이버안보센터가 미국, 프랑스, 중국, 유럽의 보안과 인텔 PC의 취약점, MS 사칭 메일, 기업의 랜섬웨어 피해 등 기업 관련 보안 동향을 25일 발표했다.

국가별 보안 동향 - 미국, 프랑스, 중국, 유럽

美국토안보부(DHS)가 향후 2년간 AI, 공급망 문제, 중국 영향력 확대 집중한다고 전했다. 알레한드로 마요르카스 DHS 장관은 "국가 안보, 경제 안보, 공공 안전을 위해 중요 인프라의 안정적인 기능이 필수적"이라며 위 주제들과 관련된 2025년까지의 지침 문서를 발표했다. 문서에는 국가의 전력과 수돗물 같은 중요 네트워크 보호, 공급망 취약성과 기후 변화 등을 고려한 보호 방안도 포함됐다.

美 바이든 행정부가 러시아 사이버 보안업체 카스퍼스키 SW의 미국내 판매 금지 조치를 시행했다. 美 상무부는 새로 확장된 기술거래 규제 권한을 처음으로 사용해 카스퍼스키의 미국 내 판매와 업데이트를 금지한다고 발표했다. 상무부 장관 지나 레이몬도는 러시아 정부와의 연계 가능성을 이유로 미국 소비자들에게 해당 소프트웨어 사용 중단을 권고했다.

프랑스 외교기관을 겨냥한 러시아 연계 사이버 공격이 발생했다. 이에 프랑스 정보기관 ANSSI는 러시아 연계 국가배후 해커들이 프랑스 외교기관 대상 사이버 공격을 수행했다고 전했다.

이 공격은 마이크로소프트가 "미드나이트 블리자드"로 추적한 그룹과 관련이 있으며, 외교기관 대상 피싱 캠페인을 통해 직원 이메일 계정을 해킹해 악성 이메일을 송부했다. 해당 그룹은 최근 우크라이나 키이우와 루마니아의 프랑스 대사관을 대상으로 한 피싱 공격이 관찰되었고, IT 및 사이버 보안 기관을 겨냥한 공격도 수행했다.

중국어 사용자를 겨냥한 새로운 멀웨어 로더(악성코드) '스퀴드로더'가 발견됐다. 이 악성코드는 최소 2년 이상 중국 기관을 겨냥한 공격에 사용되었고, 피싱 이메일을 통해 전송됐다. 다양한 속임수와 회피 기술을 사용해 탐지를 피하고, 코발트 스트라이크(Cobalt Strike) 비콘을 전달하는 것으로 관찰됐다.

또한 중국 국가배후 해커가 아시아 통신사 수년간 공격한 정황이 발견됐다. 해당 공격은 적어도 2021년부터 시작되어 다양한 맞춤형 백도어를 사용해 통신사와 관련 서비스를 제공하는 회사, 타국의 대학교를 공격했다.

사용된 백도어는 중국의 국가배후 해킹그룹과 관련이 있으며, 해커들은 쿨클라이언트(Coolclient), 퀵힐(Quickheal), 레이니데이(Rainyday) 등 맞춤 제작 백도어를 통해 원격 접근, 정보 수집, 데이터 유출 등의 활동을 수행했다.

폴란드 유로 2024 개막전의 온라인 중계가 DDoS 공격으로 일시적 중단됐다. 챔피언십 개막 경기 중 폴란드와 네덜란드의 경기를 방송하던 폴란드 공영 방송 TVP가 DDoS 공격을 받아 온라인 스트리밍이 중단됐다.

공격은 경기 시작과 동시에 이루어졌으며, TVP는 신속하게 서비스를 복구했다. 동시접속에 따른 사고 가능성도 있지만, 폴란드 디지털부 차관 파벨 올셰프스키는 러시아 배후 가능성 주장했다.

기업 취약점 및 랜섬웨어

인텔 PC 모델에 영향을 미치는 피닉스 시큐어코어(Phoenix SecureCore) UEFI 펌웨어 취약점이 발견됐다. 이 취약점은 'UEFICANHAZBUFFEROVERFLOW'로 불리며, 버퍼 오버플로우 버그로 인해 취약한 장치에서 코드 실행이 가능하다. 주로 레노버, 델, 에이서, HP의 다양한 모델에 영향을 미치며, 레노버는 결함 해결을 위한 새로운 펌웨어 업데이트를 출시했다.

마이크로소프트 이메일 계정으로 위장한 피싱 공격이 가능한 버그가 발견됐다. 이는 보안 연구자 세볼로드 코코린(Vsevolod Kokorin(@Slonser))이 발견한 버그로, 누구나 마이크로소프트 기업 이메일 계정을 흉내내어 피싱 공격이 가능하다. 마이크로소프트 아웃룩 계정으로 이메일을 보낼 때 작동하며, 코코린은 이 취약점을 마이크로소프트에 보고했지만, 회사측의 재현 불가 답변을 받은후 해당 취약점 악용 방법을 공개했다.

랜섬웨어허브(RansomHub) 랜섬웨어가 VMware ESXi 환경 암호화 리눅스 버전을 통해 기업서버를 공격했다. 랜섬웨어허브는 2024년 2월에 출시된 랜섬웨어 서비스(RaaS)로, ALPHV/BlackCat 및 Knight 랜섬웨어와 코드가 겹치고 18개국 45기관 이상의 피해자를 발생시켰다. ESXi 버전은 C++로 작성되었으며, 특정 명령어를 통해 가상 머신을 종료하거나 스냅샷을 삭제할 수 있고, 로그 기록을 방해하고 실행 후 자체 삭제 기능을 보유했다.