국가사이버안보센터가  해외 보안 동향으로 국가적 이슈 4건 및 그 외 랜섬웨어 및 취약점 사례 3건을 발표했다.

국가적 이슈

북한 해킹 집단 킴수키가 이메일 보안 취약점을 악용 DMARC(Domain-based Message Authentication, Reporting & Conformance, 도메인 기반 메세지 인증 프로토콜) 정책 우회 사이버 공격을 감행했다. DMARC는 이메일 도메인의 출처를 검증해 위장 이메일을 차단하는 역할을 하지만, 구성 오류를 이용해 악용이 가능하다.

킴수키는 신뢰할 수 있는 도메인으로 위장해 유명 인사나 조직을 사칭한 스피어 피싱을 했으며, 특히 한국, 일본, 미국의 전문가와 기관을 대상으로 공격했다.

중국과 연관된 스푸핑 공격 발생됐다. 2020년 1월부터 주기적으로 수백만 개의 IP가 TCP 연결을 중심으로 스푸핑된 트래픽을 발생시켜 인터넷을 마비시키는 ‘노이즈 스톰(Noise Storm)’ 공격으로, 전문가들은 이 트래픽은 QQ, 위챗, 위페이(WePay) 등 주요 중국 플랫폼을 서비스하는 CDN과 관련됐으며, 숨겨진 통신, 정교한 명령 및 제어 메커니즘, DDoS 공격, 트래픽 조작 등 다양한 가능성 존재한다고 전했다.

한편, 우크라이나 국가 사이버 보안 센터(NCCC)는 국가 안보 우려로 정부 기관, 군대, 중요 인프라에서 텔레그램 사용을 금지. 우크라이나 국방 정보국장은 러시아 정보 기관이 텔레그램 사용자 데이터, 삭제된 메시지 등을 감시할 수 있다는 증거를 제시하며 국가 안보에 위협이 된다고 경고했다.

지난 7월 새로운 사이버 공격이 아제르바이잔과 이스라엘의 외교관들을 대상으로 시작됐다. ‘Actor240524’로 추적되는 이 공격은 피싱 이메일을 통해 악성 매크로를 실행하고, 악성 코드를 로드해 원격 서버와 연결했다. 전문가들은 시스템 정보를 탈취하고 분석 회피 기술을 사용하며 두 나라의 외교 관계를 겨냥한 것으로 판단했다.

그 외 랜섬웨어 피해, 취약점 발견 사례들

미국 제약 회사 센코라(Cencora)가 지난 2월에 발생한 랜섬웨어 피해 몸값으로 45000만 달러를 지불했다. 센코라는 이 공격으로 이름, 주소, 생년월일, 의료 정보 등 민감한 환자 데이터가 도난당했으며, 이는 랜섬웨어 그룹 ‘다크 엔젤스(Dark Angels Group)’의 소행으로 추정했다.

암호화폐 인플루언서나 온라인 게임 유저들을 주요 타겟으로 삼아 피싱 공격을 감행하는 ‘마르코 폴로(Marko Polo)’ 범죄 그룹이 발견됐다. 50종 이상의 다양한 악성코드를 이용하여 민감한 정보를 빼내거나 랜섬웨어를 통해 금전을 요구하며, 최소 30개의 사기 활동과 연루된 정황이 포착됐다.

미디어텍(MediaTek) 와이파이 칩셋과 드라이버 번들을 사용하는 다양한 제조사의 스마트폰과 라우터에서 CVE-2024-20017이라는 제로-클릭 취약점 발견됐다. 이 취약점은 네트워크 서비스 ‘wappd’에서 발생하는 버퍼 오버플로우 문제로 사용자 상호작용 없이 원격 코드 실행(RCE)이 가능하다. 영향을 받는 제품에는 Ubiquiti, Xiaomi, Netgear 등이 포함되며, 최신 패치로 해결할 수 있다.

[알림] GTT KOREA와 전자신문인터넷이 오는 9월 27일(금) 서울 양재동 엘타워 그레이스홀(양재역)에서 공동으로 주최하는 “NABS(Next AI & Bigdata Summit) 2024”에서는 “비즈니스에 성공하는 AI & Big Data 혁신 전략”을 주제로 글로벌 AI와 빅데이터 산업을 이끌고 있는 글로벌 리더 기업들이 급변하는 기술과 비즈니스 환경에서 생산성과 효율성 및 비용 절감까지 조직과 비즈니스를 혁신할 수 있는 맞춤형 차세대 AI와 빅데이터 전략을 제시한다.