Home > 전체기사

2021년을 괴롭혔던 ‘사이버보안 사건·사고’ 어떤 것들이 있었나? 下

  |  입력 : 2021-12-30 10:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
7월 미국 카세야 사태부터 12월 Log4j까지 세계를 뒤흔든 사건·사고들

[보안뉴스 원병철 기자] 다사다난(多事多難)했던 2021년이 저물어간다. 코로나19로 전 세계가 어려움을 겪은 가운데, 특히 사이버 상에서는 가장 최근에 발생한 ‘Log4j’를 비롯해 다양한 사건·사고가 발생했다. 그렇다면 2021년에는 보안과 관련해 어떤 사건·사고가 발생했을까? <보안뉴스>는 2회에 걸쳐 지난 1년간 발생했던 사건·사고를 정리해 사이버공격자들의 공격방법과 흐름을 알아보는 시간을 마련했다. 이번 기사는 12개월 중 7~12월에 발생한 사건·사고다.

[이미지=utoimage]


7월: 최악의 공급망 공격, 카세야 사태
7월 미국 독립기념일 연휴기간동안 발생한 이른바 ‘카세야’ 사태는 미국 IT 관리용 솔루션 제공 업체 ‘카세야(Kaseya)’의 VSA(IT 관리용 플랫폼) 제품이 랜섬웨어 유포 경로로 악용된 사건이다. 카세야의 VSA 공격은 레빌(REvil) 랜섬웨어 조직에 의해 감행된 공급망 공격으로, VSA 서버를 통해 고객사 약 200여 곳에 랜섬웨어가 업데이트 되어 파일들이 암호화되는 피해를 입은 것으로 드러났다. 특히, 당시 공급망 공격으로 랜섬웨어 감염 피해를 기업 가운데 스웨덴의 슈퍼마켓 체인 COOP은 전산망 마비로 점포 800여 곳의 문을 닫은 것으로 알려졌다.

7월 2일 금요일 14시 30분 경, 인터넷에 연결된 카세야(Kaseya) VSA 서버들 중 일부에 악성 트래픽이 일제히 몰리기 시작했다. 이 서버들은 MSP 업체들이 호스팅하고 있었다. 전부 같은 시간대에 발생한 일로, 공격자들은 특정 시간에 맞춰 한꺼번에 움직인 후 사라졌다. 그리고 다시 16:30, 거의 동시에 침해된 서버들이 명령 스크립트를 실행하기 시작했다. 각종 보안 기능을 비활성화시키고 악성 페이로드를 실행시키는 스크립트였다. 이 악성 페이로드는 레빌 랜섬웨어였다. 최초 침해에서 랜섬웨어 감염으로 이어진 시간이 겨우 두 시간이었다는 것이 보안 업체 헌트레스 랩스(Huntress Labs)의 조사 결과다.

8월: 콘티 랜섬웨어 해커조직의 한화생명 베트남 법인 공격
8월에는 콘티 랜섬웨어 해커조직이 한화생명의 베트남 법인을 공격해 내부 문서 샘플을 다크웹에 공개했다. 2020년 처음 등장해 피해 기업을 해킹하고 데이터를 훔쳐 공개하는 것으로 악명을 떨친 콘티 랜섬웨어 조직이 지난 8월 26일 한화생명 베트남 법인의 내부 자료 일부를 공개했다. 본지가 다크웹 내 해당 페이지를 직접 조사한 결과, 공개된 자료는 한화생명 베트남 법인의 홈페이지와 주소, 기업 설명과 함께 1개의 일본 재류카드(Residence Card)와 49개의 문서자료였다.

콘티 랜섬웨어 조직은 피해 기업들의 보험과 은행 업무와 관련된 파일을 주로 찾는 것으로 알려졌다. 이는 최근 운영자들의 내부 문건과 훈련 자료가 공개되면서 알려졌으며, 기업들이 금융관련 문건이 유출되는 것을 가장 꺼려하기 때문인 것으로 업계에서는 보고 있다.

한편, 최근 랜섬웨어 공격 그룹들이 국내외 기업은 물론 국가기관들을 계속 공격하면서 정부는 관계부처 합동으로 랜섬웨어 대응 강화 방안을 발표하는 등 대책 마련에 나섰다.

9월: 서울성모병원 구 홈페이지 해킹 외
9월 1일에는 가톨릭대학교 서울성모병원의 구 홈페이지가 해킹을 당해 회원 개인정보가 유출됐다고 공지했다. 2013년 2월 이전에 가입한 회원이 대상이며, 특히 ID와 패스워드는 물론 민감정보인 주민등록번호가 포함된 것으로 알려져 파장이 클 것으로 보인다. 가톨릭대학교 서울성모병원은 홈페이지 공지사항에 이번 회원정보 유출사실을 공지했다. 다만 언제, 어떤 형태의 외부 공격을 받았는지, 피해 규모는 어느 정도이며 구 홈페이지와 현재 홈페이지의 차이는 무엇인지 등 주요한 내용은 포함되지 않았다.

이번에 유출된 정보는 구 홈페이지의 △아이디 △패스워드 △이름 △주민등록번호 △우편번호 △주소 △이메일 △전화번호 △휴대전화번호 △등록일 등 10개 항목이다. 다만 개인별로 유출된 정보가 달라 휴대전화번호로 개별 문자 연락을 취한 상태다.

9월 둘째 주 주말에는 일본 올림푸스(Olympus)가 사이버공격을 당했다고 발표했다. 올림푸스 측은 공격에 대한 세부 내용을 발표하지 않았지만 익명의 제보자가 “블랙매터(BlackMatter)라는 랜섬웨어 공격자들이 9월 8일부터 협박을 해온 상태”라고 밝혔다. 이에 따르면 올림푸스의 네트워크는 마비된 상태라 일부 지역에서는 사업 진행이 불가능한 상황까지 이르기도 했다. 한편, 블랙매터는 최근 등장한 랜섬웨어 그룹으로 5월 콜로니얼 파이프라인(Colonial Pipeline) 사태를 일으키고 사라진 다크사이드(DarkSide)의 뒤를 잇는 그룹으로 여겨지고 있다.

이어 추석연휴에는 북한 추정 사이버 공작원(해커)들의 공격 시도가 이어진 것으로 드러났다. 북한의 사이버 공격을 집중적으로 연구·추적하고 있는 연구그룹 싸이버워(CyberWar)에 따르면 남북 군사분야 합의서가 체결된 지 3주년이 된 지난 9월 19일에도 북한의 사이버 공작원들이 우리나라 대북 분야 관계자들을 타깃으로 한 사이버 공격 정황이 포착됐다.

10월: QR코드 이용한 악성메일 등장
보안 업체 앱노멀 시큐리티(Abnormal Security)에 의하면 9월 15일과 10월 13일 사이 이상한 큐알코드가 삽입된 메일을 200통 이상 발견해 차단했다고 한다. 악성 첨부파일이나 악성 링크가 아니라 악성 큐알코드가 다수 발견된 건 처음 있는 일이라고 한다. 피싱 메일의 내용은 음성 사서함에 저장된 메시지가 있으니 확인하고 싶으면 큐알코드를 스캔하라는 것이다. 많은 기업들에서 사용하는 이메일 보안 솔루션들은 악성 첨부파일과 링크만을 탐지하기 때문에 악성 큐알코드는 탐지가 안 되는 경우가 많다. 공격자들이 이 허점을 파고든 것으로 보인다.

이번에 앱노멀 측이 발견한 피싱 캠페인의 경우 공격자들의 목적은 아웃룩 계정 크리덴셜을 탈취하는 것이었다. 큐알코드를 피해자가 스캔할 경우 구글과 아마존 도메인과 연결된 정상적인 사이트로 연결되는데, 이는 당연히 피싱 페이지다. MS의 크리덴셜을 입력하도록 만들어져 있다. 메일 패턴을 분석했을 때 특정 조직이나 단체를 노린 것으로 보이지는 않는다고 한다.

11월: 한국 아파트 월패드 해킹
11월 중순, 다크웹에 한국 아파트에 설치된 월패드를 해킹해 촬영한 영상이 올라와 큰 이슈가 됐다. 특히, 해킹 아파트의 명단이 온라인을 통해 유포되면서 사건이 일파만파로 커졌다. 이번 사건이 처음 알려진 것은 지난 10월 중순 홍콩의 한 포럼에 한국 아파트 17만 가구의 월패드를 해킹해 촬영했다는 사진이 올라오면서부터다. 당시 우리나라 유명 연예인 등 유명인들의 사생활이 포함되어 있다며 큰 이슈가 됐다. 이후 11월 중순 해당 영상을 판매한다는 글이 다크웹의 한 포럼에 올라왔고, 해킹된 아파트 리스트가 공개됐다.

문제는 이미 유출된 영상에 대한 대책이 전혀 없다는 사실이다. 과기정통부는 24일 저녁에서야 ‘월패드 등 홈네트워크 기기 이용시 유의사항 및 홈·가전 IoT 보안 가이드’ 보도자료를 배포하며 기기 암호 설정 및 정보보호 인증 획득한 월패드를 이용하라고 안내했다. 그러나 이미 발생한 사건에는 적용이 어려운 것은 물론 월패드 자체가 입주민이 고를 수 없는 제품이기 때문에 큰 의미가 없다는 지적이 제기됐다.

한편, 보안전문가들은 집안에 월패드가 있을 경우 반드시 비밀번호를 변경하고, 카메라 렌즈를 가릴 수 있는 가리개를 구입해 사용하지 않을 경우 가려놓을 것을 조언했다.

12월: Log4j 취약점, 제2의 워너크라이 사태 우려
거의 모든 서버에 영향을 미칠 수 있는 매우 심각한 제로데이 취약점이 발견됐다. 로그4j(Log4j)는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램으로, 대부분의 서버에서 광범위하게 사용되는 프로그램이다. 국내외 보안전문가들은 널리 사용되는 Log4j 도구에서 발견된 이번 제로데이 취약점은 지난 2017년 최악의 유출사고를 겪은 에퀴팩스가 당했던 아파치 스트러츠(Apache Struts) 취약점보다 조직에 더 큰 위협이 될 수 있다고 경고하고 있다.

보안전문가들은 현재 해당 취약점을 이용한 악성코드(크립토마이너, 봇넷 등)의 유포가 이미 활발하게 이뤄지고 있고, 패치되지 않은 시스템을 대상으로 한 무차별적인 공격은 이미 시작된 상태라고 우려하고 있다. 보안기업 S2W는 “log4j 취약점으로 영향을 받는 국내 호스트만 해도 4만여 개 이상”으로 추정하고 있으며, “특히 CVE-2021-44228은 아파치 서버에만 영향을 미치는 취약점이 아니며, 서버의 종류와 상관없이 log4j를 사용하는 모든 서버 및 서비스에 영향을 미친다”고 지적했다.

특히, log4j의 신규 취약점과 새로운 패치가 나와 보안담당자들의 시급한 업데이트가 요구된다. 아파치재단은 12월 18일 ‘Log4j 2.16.0’ 버전에서 동작하는 CVE-2021-45105 취약점을 추가로 공개했다.

Log4j에 대해 취약점 스캔, 해킹 점검 툴 등 다양한 대응 방안이 제시되고 있지만 취약한 대상을 확인하는 것만으로는 충분치 않은 것으로 알려졌다. 탐지 정보가 나오기 전에 이미 공격을 당한 제로데이 공격 및 침투 사례가 속속들이 밝혀지고 있기 때문이다. 실제로 국내 기업·기관을 대상으로 유사한 내용이 확인되어 긴장감이 높아지고 있다.

Log4j의 취약점 발견 후 탐지정보와 패치가 제공되기 전에 이뤄졌기 때문에 침해의 여부조차 알 수 없는 상황으로 현재의 보안 대응 체계가 무력화 될 수도 있기 때문이다. 따라서 현재의 보안대응 체계에 더해 제로데이 침투가 이뤄진 내부 IP를 찾아내고 외부 IP로의 통신 차단과 멀웨어 제거가 이뤄질 수 있도록 취약점에 대한 방어, 조치·해결, 조사 등 종합적이고 다각적인 접근이 필요하다고 보안전문가들은 조언한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)