국가사이버안보센터가 해외 보안 동향을 발표했다.

국가별 동향

EU가 사이버 보안 강화를 위해 새로운 법률 두 건을 채택해 ‘유럽 사이버 보안 방패’를 구축하고 관리 보안 서비스에 대한 보안 기준을 강화했다. 첫 번째 법은 유럽 전역의 사이버 허브 네트워크를 포함한 사이버 보안 경보 시스템과 긴급 대응 메커니즘을 마련하는 것이며, 두 번째 법은 관리 보안 서비스의 인증 제도를 도입하는 것이다.

미국 상무부가 중국 반도체 장비, 도구, 소프트웨어 제조업체를 포함한 140개의 중국 기술 기업을 수출 통제 대상 '엔티티 리스트'에 추가했다. 이번 규정으로 AI와 같은 첨단 응용 분야의 고대역폭 메모리 칩의 중국 수출 제한을 기대한다고 전했다.

유로폴(Europol)이 국제 공조 작전 ‘시계꽃 작전(Operation Passionflower)’을 통해 범죄자들이 사용하던 암호화 메시징 서비스 매트릭스(MATRIX)를 폐쇄하고 주요 용의자 5명을 체포했다.

매트릭스는 암호화된 메시지와 익명 인터넷 사용 등으로 주로 마약 밀매, 무기 거래, 조직 범죄 등 불법 활동에 사용됐다. 경찰은 2021년 한 저격범의 휴대폰에서 매트릭스를 발견하고, 3개월간 메시지를 감시해 2.3백만 개의 메시지를 확보했다. 또한 40개의 서버를 압수하고 약 970대의 암호화된 휴대폰, 현금 및 암호화폐를 몰수했으며 추가 수사를 진행 중이다.

미국 국립표준기술연구소(NIST)는 기존의 복잡한 비밀번호 요구사항 대신 비밀번호 변경 주기를 줄이고, 더 긴 비밀번호(대소문자, 숫자, 특수 문자 등 복잡한 조합 대신 최소 8자 이상, 15자 이상의 비밀번호나 64자까지의 구문 권장) 사용을 권장하는 새로운 지침(NIST SP 800-63 Digital Identity Guidelines)을 발표했다.

이는 복잡하지만 길이가 짧은 비밀번호가 오히려 해킹에 취약할수 있으며 사용자의 기억력에 부담을 준다는 연구에 따른 변화로 고안됐다. 보안의 초점은 비밀번호보다 다중 인증(MFA)과 제로 트러스트 솔루션 등 비밀번호 대체 기술을 권고했다.

한편, Tor 프로젝트가 러시아의 강화된 검열에 대응하기 위해 2024년 말까지 200개의 새로운 웹터널(WebTunnel) 브리지를 배포할 자원봉사자를 모집 중이다. 웹터널은 Tor 트래픽을 HTTPS로 위장해 검열을 우회하는 기술로, 기존 방법보다 탐지 회피를 강화했다. 참여자는 안정적인 IPv4 주소, SSL/TLS 인증서, 1TB 이상의 대역폭을 갖춘 브리지를 1년 이상 운영한 경험이 있어야 한다,

랜섬웨어 사례

랜섬웨어 조직들이 자신들의 악성코드 품질을 높이기 위해 러시아 익명 마켓플레이스(Russian Anonymous Marketplace, RAMP)과 같은 텔레그램 채팅과 포럼에 랜섬웨어 암호화 테스트 및 악성코드 해킹 버그를 찾을 수 있는 지원자를 모집 중이다.

한편, 러시아 당국이 악명 높은 랜섬웨어 조직 멤버 미하일 파블로비치 마트베예프(일명 Wazawaka)를 악성코드 개발 및 해킹 그룹 활동 혐의로 체포했다. 그는 록빗(LockBit), 하이브(Hive), 바북(Babuk) 랜섬웨어와 관련된 공격을 주도하며 미국 주요 기관과 조직을 타겟으로 삼았고, 미국 법무부와 재무부로부터 기소 및 제재됐다.

마트베예프는 해킹 포럼 RAMP와 바북 랜섬웨어의 초기 운영자로 알려져 있으며, 미국 정부는 그의 체포 또는 유죄 판결에 대해 최대 1000만 달러의 현상금을 제시했다.

2023년 미국 소프트웨어 개발사 프로그레스 소프트웨어(Progress Software)의 MOVEit 파일 전송 도구 취약점을 악용한 Cl0p 랜섬웨어 그룹의 공격으로, Xerox, 노키아, 뱅크 오브 아메리카, 모건 스탠리(Morgan Stanley) 등 주요 기업 76만 명 이상의 직원 정보가 유출됐다. 최근 ‘Nam3L3ss’라는 익명 사용자가 유출 데이터를 공개했으며, 이름, 이메일, 전화번호, 직책 등 민감한 정보가 포함된 것으로 확인됐다.

글로벌 보안 서비스 기업 트립와이어(Tripwire)가 파일을 암호화하고 복호키 제공을 대가로 암호화폐를 요구하는 ‘미믹(Mimic)’ 랜섬웨어에 대해 경고했다. 일부 변종은 암호화 전에 데이터를 탈취해 협상 수단으로 사용한다.

미믹은 윈도우 파일 검색 도구 "Everything"의 API를 악용해 파일 암호화를 수행하며, 윈도우 방화벽과 백업 복구 도구 무력화 프로그램도 포함. 신규 변종 엘파코(Elpaco)는 원격 데스크톱 프로토콜 접근과 제로로곤(Zerologon, CVE-2020-1472) 취약점 악용을 통해 감염되며, 현재 러시아와 한국에서도 감염사례가 보고됐다.

랜섬웨어 그룹이 AI를 활용한 랜섬웨어 배포와 취약점 분석 도구로 전략을 강화하고 있으며, 특히 랜섬허브(RansomHub)가 이에 가장 활발한 활동을 하고 있다. 또한 다크웹에서는 의료, 교육, 핵심 인프라를 주요 공격 대상으로 삼는 EDR 회피 도구와 AI 기반 랜섬웨어 서비스가 판매되고 있다. 특히, 미국이 랜섬웨어 탐지의 41%를 차지하며 가장 큰 타격을 받고 있으며, 글로벌 사이버 보안 전략의 지속적 업그레이드가 필요하다.

취약점 및 악용 사례

글로벌 보안 미디어 헬프넷 시큐리티(Helpnet Security)가 VPN 취약점과 약한 비밀번호가 랜섬웨어 공격의 주요 진입점으로 작용하며, 전체 공격의 약 30%를 차지한다고 전했다. 또한 구식 소프트웨어와 보안이 부족한 VPN 계정(예: admin 같은 기본 사용자 이름 및 MFA 부재)이 자동화된 무차별 대입 공격에 취약하다고 밝혔다.

글로벌 에지 솔루션 기업 어드밴텍(Adventech)의 산업용 Wi-Fi 액세스 포인트 장치에서 약 20개의 취약점이 발견됐다. 총 6개의 취약점은 지속적인 백도어 설치, 서비스 거부(DoS) 공격 유발, 감염된 장치의 네트워크 침투 등이 가능했다.

이 중 일부는 인증 우회를 통해 루트 권한으로 코드를 실행할 수 있다. 특히, CVE-2024-50376과 같은 XSS 취약점은 악성 SSID를 통해 관리자 브라우저에서 임의 코드 실행 및 OS 명령 주입이 가능하다.

한국의 BoB(Best of the Best) 보안 인재양성 프로그램 참가 학생들이 개발한 것으로 알려진 부트키티(BootKitty)라는 새로운 리눅스 UEFI 부트킷이 LogoFAIL(CVE-2023-40238) 취약점을 악용해 우분투 기반 컴퓨터를 대상으로 공격을 시도하는 정황이 발견됐다.

이 부트킷은 취약한 UEFI 펌웨어를 사용하는 에이서(Acer), 레노버 등 일부 브랜드에서 작동하며, 보안 부팅(Secure Boot)을 우회하여 악성 부트로더를 실행했다.

한편, 시스코(Cisco)가 2014년에 발견된 CVE-2014-2120 취약점 악용 공격을 경고했다. 이 취약점은 시스코 ASA 장치의 WebVPN 로그인 페이지에서 발생하며, 원격 공격자가 XSS 공격을 통해 악성 링크 클릭을 유도한다. 최근 Androxgh0st 봇넷이 이 취약점을 악용하여 시스템에 침투하고 백도어를 설치하는 등 다양한 악성 활동 수행한다.

악성 코드 및 피싱 사례

지난 2023년 11월, 아동 전용 태블릿 드래곤 터치(Dragon Touch) 키즈패드 안드로이드 기기에 악성코드가 탑재됐던 사례가 발견됐다. 구글은 이에 해당 유통업체를 자사의 보안 인증 기기 목록인 플레이 프로텍트(Play Protect)에서 제외했지만, 여전히 재고가 남아있었으며, 조치에 대한 투명성 부족이 문제로 지적됐다.

이와 같은 안드로이드OS 기기의 사전 설치된 악성코드 문제에 펌웨어 투명성(Android Binary Transparency)과 소프트웨어 자재명세서(SBOMs) 같은 해결책이 제시되고 있으나, 소비자가 직접 확인해야 하는 상황은 부적절하며 제조업체와 유통업체, 규제 기관 책임강화 필요하다는 의견이 지배적이었다.

구글 플레이에서 800만 회 이상 다운로드된 15개 이상의 악성 대출 앱에 심어진 ‘스파이론(SpyLoan)’ 악성코드가 발견됐다.

이 앱들은 멕시코, 콜롬비아, 태국, 인도네시아, 베트남, 페루 등 여러 국가에서 빠르고 간단한 대출을 제공한다고 속이며 사용자들을 유인했으며, 민감 개인정보를 수집하고, 협박과 고금리 대출로 금전적 피해를 초래했다. 데이터는 암호화되어 C2 서버로 전송됐다.

신규 피싱 서비스 플랫폼 '락스타(Rockstar) 2FA'가 출현해 마이크로소프트 365 계정을 대상으로 대규모 중간자 공격 ‘AiTM(Adversary-in-the-Middle)’을 감행했다.

MFA(다단계 인증)를 우회해 세션 쿠키를 가로채는 방식으로 계정 접근 권한을 확보했으며, 5천개 이상의 피싱 도메인을 생성했고, 피싱 이메일을 통해 악성 메시지를 배포했다. 저비용으로 제공되며, 보안 회피 기능과 사용자 친화적인 관리 패널 등을 제공하고 있다.

구글 및 마이크로소프트 보안 정책 업데이트 사항

구글 크롬은 AI를 활용해 방문 중인 웹사이트의 신뢰성을 빠르게 확인할 수 있는 ‘스토어 리뷰’ 기능을 도입한다. 이 기능은 트러스트 파일럿(Trust Pilot), 스캠어드바이저(ScamAdvisor) 등의 독립적인 리뷰 플랫폼 평가를 요약 제공하며, 주소창의 잠금 아이콘이나 ‘i’ 아이콘을 클릭해 해당 사이트의 신뢰성 확인할 수 있다.

마이크로소프트가 2025년 새로운 윈도우 보안 전략(Windows Resiliency Initiative)을 발표했다. 이 새로운 운영체제는 자체 방어 커널과 더 견고한 드라이버로 설계되며, 신속한 복구, 악성코드 방지, 강력한 신원 보호, 그리고 권한 관리 강화 기능을 포함한다.

주요 보안 강화로는 검증된 애플리케이션 및 드라이버 실행만 허용, 윈도우 헬로(Windows Hello) 기반 다중 인증 강화, 그리고 관리 권한을 제한해 랜섬웨어 같은 공격 예방이 포함됐다. 또한, MS는 C++에서 Rust로의 전환을 통해 더 안전한 프로그래밍 환경 구축을 도모한다고 밝혔다.