[12월 1주 뉴스쌈] 사토리 봇넷이 깨어났다
에티오피아의 스파이웨어, 이란의 APT34와 MS 취약점,
‘메일스플로잇’, 사토리 봇넷 활성화, 스마트 시티와 보안
침해사고 관련 통계, 셀레즈네브 형 선고, 구글의 앱 정책
[보안뉴스 오다인 기자] 논어에 “학이불사즉망, 사이불학즉태(學而不思則罔, 思而不學則殆)”라는 공자 말씀이 나옵니다. “배우기만 하고 생각하지 않으면 미혹되고, 생각하기만 하고 배우지 않으면 위태롭다”(논어, 옮긴이 김원중, 휴머니스트 2017)는 뜻을 담고 있습니다. 사이버 보안 세계에서 나타나는 현상들과 그 기저에 놓여 있는 정치, 경제, 사회, 문화적 배경들 사이의 관계를 읽으려면 배움과 생각 사이의 균형을 잘 맞춰야 할 텐데 시간이 없다는 핑계로 배움을 차일피일 미루고만 있습니다.
기자의 수준이 높아질수록 기사의 수준도 높아지겠지요. 열심히 배우고 전하겠습니다. 이번 주는 에티오피아와 이란의 스파이 작전부터 이메일을 위조하는 ‘메일스플로잇’ 취약점, 잠에서 깨어난 사토리 봇넷, 스마트 시티와 보안 사이의 관계, 침해사고 관련 통계, 러시아의 유명 해커 셀레즈네브의 추가 형 선고, 구글의 애플리케이션 개인정보 수집 정책 소식 등을 한 데 묶었습니다.
[이미지=iclickart]
에티오피아 정부의 어설픈(?) 스파이 작전
에티오피아 정부가 스파이웨어를 사용해 자국의 반체제 인사들을 감시하려다 적발됐습니다. 이들은 명령 및 제어(C&C) 서버를 구성하는 과정에서 실수를 저지르는 바람에 스파이 작전이 드러나게 됐습니다. 에티오피아 정부는 스피어 피싱 이메일을 이용해 특정 사이트들로 유도한 뒤, 가짜 어도비 플래시 플레이어 업데이트를 다운로드 받도록 유인한 것으로 밝혀졌습니다.
해외 컴퓨터 전문 매체 블리핑컴퓨터(Bleeping Computer)에 따르면, 에티오피아 정부의 비밀 감시 작전은 작년부터 시작된 것으로 추정됩니다. 이 작전의 타깃이던 사람들 중 일부가 뭔가 이상하다는 느낌을 받고, 정보 인권을 옹호하는 단체인 시티즌 랩(Citizen Lab)에 피싱 이메일 분석을 의뢰했습니다. 이후 에티오피아 정부는 시티즌 랩 연구원을 대상으로 스피어 피싱 공격을 감행했다가 꼬리가 잡혔습니다.
시티즌 랩 연구진은 가짜 어도비 플래시 플레이어와 통신하고 있던 C&C 서버를 찾아낸 뒤, 이 서버에 웹 폴더들이 노출돼 있다는 사실을 발견했습니다. 해당 웹 폴더들 안에서 이들 연구진은 공격자들의 IP 주소 로그를 포함해 에티오피아 정부의 타깃 목록까지 모두 확보할 수 있었습니다. 시티즌 랩 연구진은 타깃 목록에 올라 있는 기자, 활동가, 반체제 인사들에게 이 같은 사실을 즉각 고지했다고 밝혔습니다.
한편, 에티오피아 정부가 사용한 스파이웨어는 ‘PC 감시 시스템(PSS: PC Surveillance System)’이라고 불리는 윈도우 프로그램이라고 합니다. PSS는 사이버 보안 업체를 표방하는 사이버비트(Cyberbit)라는 회사가 판매하고 있는데요. 블리핑컴퓨터는 사이버비트가 합법적인 감시 소프트웨어라는 점을 내세워 전 세계 첩보기관 및 수사기관에 PSS를 판매하고 있다고 지적했습니다.
이란의 APT34, 최신 MS 취약점 활용해 스파이 공격 펼쳐
보안 업체 파이어아이(FireEye) 연구진에 따르면, 이란 정부가 배후로 추정되는 해킹 그룹 APT34가 최신 마이크로소프트 오피스 취약점(CVE-2017-11882)을 이용해 현재 스파이 공격을 펼치는 중입니다. APT34는 2014년부터 활동하기 시작한 것으로 추정되며, 이란 정부에 이익이 되는 정찰 활동에 집중하고 있습니다. 주로 중동의 정부기관들을 정찰하고 있는데요. APT34가 이용한 취약점은 MS가 불과 11월 14일에 패치한 것입니다.
‘메일스플로잇’: 누구나 이메일을 위조할 수 있다
‘메일스플로잇(Mailsploit)’이라는 이메일 조작 취약점이 발견됐습니다. ‘메일’과 ‘익스플로잇(exploit)’을 조합한 말인데요. 이 취약점을 이용하면 보내는 사람(from)을 위조해서 스팸 필터 등 이메일 보안 장치를 우회할 수 있는 것으로 나타났습니다. 이 취약점은 애플 메일, 야후 메일, 마이크로소프트 아웃룩, 지메일 등을 포함해 30개가 넘는 이메일 서비스에서 발견됐다고 합니다.
메일스플로잇은 독일의 보안 연구자 사브리 아두쉬(Sabri Haddouche)에 의해 발견됐습니다. 보통 이메일 서비스는 DKIM(Domain Keys Identified Mail)과 DMARC(Domain-based Message Authentication, Reporting & Conformance) 같은 기술을 적용해서 수상한 이메일들을 걸러냅니다. 그러나 메일스플로잇은 이메일 클라이언트와 웹 인터페이스가 ‘보내는 사람(from)’ 헤더를 파싱하는 방식을 공략합니다. 즉, DKIM이든 DMARC든 메일스플로잇 앞에서는 모두 무력하다는 뜻입니다.
아두쉬는 “수많은 멀웨어가 이메일을 통해 전파된다”며 “사람들은 사회공학적 공격에 속아 이메일 내 악성 첨부파일을 열거나 피싱 링크를 클릭한다”고 말했습니다. 아두쉬는 메일스플로잇과 관련해 33군데의 이메일 서비스 업체에 고지했습니다.
사토리 봇넷이 깨어났다
지난 5일 12시간 동안 사토리(Satori)라고 불리는 봇넷이 280,000개가 넘는 IP 주소에서 갑자기 활성화됐다는 소식입니다. 사토리 봇넷은 미라이(Mirai)의 변종으로, 포트 37215과 52869를 스캔하면서 하드코드된 크리덴셜을 이용해 타깃 기기에 접근하려고 시도한다고 하는데요. 중국 인터넷 보안 업체 치후 360(Qihoo 360)의 리 펑페이(Li Fengpei) 연구원이 360 넷랩(360 Netlab) 블로그를 통해 5일 발표했습니다.
브로드밴드 인터넷 제공업체 센추리링크(CenturyLink)의 최고보안전략가 데일 드루(Dale Drew)는 사토리 봇넷이 화웨이 홈 게이트웨이 라우터(Huawei HG532 Router)의 제로데이 취약점을 활용하고 있다고 해외 IT 전문 매체 아스테크니카(ArsTechnica)에 말했습니다. 이 취약점은 포트 37215를 공략한 취약점으로서, 앞서 11월 27일 보안 업체 체크포인트(Check Point)가 ‘치명적(Critical)’인 원격 코드 실행 취약점이라고 밝힌 바 있습니다. 무려 263,250대의 기기가 이 취약점에 감염된 상태인 것으로 나타났습니다.
나머지 19,403대는 포트 52869을 겨냥한 공격으로 감염됐습니다. 이 취약점은 리얼텍(Realtek) 기기에서 오래 전에 발견된 적 있는 ‘CVE-2014-8361’입니다. 해외 컴퓨터 전문 매체 블리핑컴퓨터(Bleeping Computer)는 CVE-2014-8361은 패치율이 높기 때문에 포트 37215를 겨냥한 공격보다 상대적으로 저조하게 전파된 것으로 보인다고 분석했습니다.
한편, ‘사토리(さとり)’는 ‘깨닫다’는 뜻의 일본어입니다. 몇 년 전, 돈이나 출세에 관심 없는 일본 청년들을 가리켜 ‘득도한 세대’라는 의미로 ‘사토리 세대’라고 호명하기도 했죠. 360 넷랩 연구진이 이 봇넷을 왜 사토리라고 이름 붙였는지에 대해선 정확하게 알려진 바 없습니다.
스마트 시티로 가려면 보안이라는 큰 산을 넘어야 한다
비영리 단체 와이선 얼라이언스(Wi-Sun Alliance)의 연구에 따르면, 스마트 시티(Smart City)의 가장 큰 장벽은 보안인 것으로 나타났습니다. 와이선 얼라이언스는 영국, 미국, 덴마크, 스웨덴에서 사물인터넷(IoT) 프로젝트를 진행 중인 IT 전문가들을 설문조사했습니다. 그 결과, IoT 도입의 확산으로 취약성이 높아지거나 해킹 위험이 커질 것을 염려해 프로젝트 실현에 어려움이 있다고 답한 사람이 무려 59%에 달했습니다. 비용은 46%를 차지해, 보안의 뒤를 이었습니다. 4차 산업혁명의 근간이 보안이라는 사실, 다시 상기하게 됩니다.
침해사고 당해도 모니터링 잘 안 한다
130명의 결정권자들을 설문조사한 결과, 절반 이상이 침해사고를 겪었으나 네트워크 활동 및 트래픽을 모니터링 한다고 응답한 사람은 37%에 불과한 것으로 나타났습니다. 또한, 응답자의 45%는 자사에 사이버 보안 부문 리더가 존재하지 않는다고 밝혔으며, 20%는 위험 평가를 정기적으로 진행하고 있지 않다고 답했습니다. 이 설문조사는 기술 기업 허니웰(Honeywell)에서 진행했습니다.
비슷한 연구로, 보안 업체 트립와이어(Tripwire)의 설문조사도 있습니다. 트립와이어의 조사에서 소매업계의 IT 보안 종사자 75%가 침해사고 대응 계획을 갖고 있지 않다고 답했습니다. 게다가 응답자의 21%는 침해사고 발생 시 72시간 내 고객에게 알릴 수단조차 갖고 있지 않다고 밝혔습니다. 침해사고는 계속해서 증가하고 있지만 아직까지 보안에 대한 인식은 크게 발전하지 못한 것 같습니다.
27년형 받았던 셀레즈네브, 추가로 14년형 선고
신용카드정보를 해킹해 약 1,918억 원(169백만 달러)의 손해를 끼친 혐의로 지난 4월 21일 미국 법무부로부터 27년형을 선고받았던 러시아의 유명 해커 로만 발레리예비치 셀레즈네브(Roman Valeryevich Seleznev)가 사이버 범죄자 조직에 가담해 약 647억 원(59백만 달러)의 손해를 일으킨 혐의에 대해 14년형을 추가로 선고받았습니다.
미국 법무부는 11월 30일 보도자료를 통해 네바다 주와 조지아 주 지방법원이 셀레즈네브를 상대로 제기한 사기죄에 대해 각각 168개월형을 선고했다고 밝혔습니다. 이와 더불어 셀레즈네브는 네바다 주에 559억 원(5,100만 달러), 조지아 주에 24억 원(218만 달러)의 배상금을 지불할 것을 명령 받았습니다.
구글, 이용자 동의 없이 정보 수집하는 앱 금지
1일 구글이 이용자의 개인정보를 동의 없이 수집하는 애플리케이션을 금지한다고 밝혔습니다. 이용자의 전화번호나 이메일 주소 등을 취급하는 애플리케이션의 경우, 이용자에게 프라이버시 정책을 알리라고도 요구했습니다. 또한, 애플리케이션의 기능과 관계없는 개인정보를 수집하고 전송할 시 해당 정보가 어떻게 활용될 것인지 명확하게 공지하고 이 같은 활용에 대해 명확하게 동의를 얻으라고 덧붙였습니다.
[국제부 오다인 기자(boan2@boannews.com)]
[출처] http://www.boannews.com/media/view.asp?idx=58523&mkind=1&kind=1