세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[11월 2주 뉴스쌈] 위키리크스, CIA 해킹 툴 소스코드 폭로
  |  입력 : 2017-11-11 18:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
위키리크스의 ‘볼트 8’, 리디렉션 막는 크롬 업데이트,
바라쿠다의 소니안 인수, 팬시 베어의 MS DDE 이용


[보안뉴스 오다인 기자] “고맙습니다. / 겨울은 언제나 저희들을 / 겸손하게 만들어주십니다.”(램프와 빵 - 겨울 판화 6, 기형도, 『입 속의 검은 잎』, 문학과지성사 1994) 겨울이 다가오는 현재, 기형도 시인의 짤막한 시를 소개해 드립니다. 인생의 겨울을 지날 때도 겸손을 배울 기회로 여겨야지, 하고 다짐해봅니다.

매주 뉴스쌈을 빌미로 한두 문단씩은 꼭 독자님들께 편지를 씁니다. 건조하고 복잡한 보안 이슈들을 보다 친근하게 느끼실 수 있도록, 보안을 잘 모르는 분들도 관심 갖고 내 문제로 여기실 수 있도록 만드는 것이 보안 매체에 몸담은 기자의 역할이라고 생각합니다. 아직 갈 길은 먼 것 같지만요. 이번 주 뉴스쌈은 네 가지 소식을 묶었습니다. 건강 유의하시고 따듯한 주말 보내십시오.

[이미지=iclickart]


위키리크스의 ‘볼트 8’: CIA 해킹 툴 ‘하이브’ 소스코드 공개
미국 중앙정보국(CIA)의 해킹 툴 23가지를 ‘볼트 7(Vault 7)’이라는 이름으로 폭로했던 국제 비영리 조직 위키리크스(WikiLeaks)가 목요일(9일) 자사 홈페이지를 통해 새로운 사실을 또 폭로했습니다. 바로 CIA가 멀웨어 관리에 사용한 인프라 ‘하이브(Hive)’의 소스코드와 개발 로그를 폭로한 것인데요. 이번 폭로물에는 앞선 볼트 7 시리즈에 이어 ‘볼트 8(Vault 8)’이라는 이름이 붙었습니다.

위키리크스는 “볼트 8을 공개함으로써 탐사보도 전문기자, 포렌식 전문가, 일반 대중이 CIA의 비밀 인프라 요소에 대해 더 잘 이해할 수 있을 것”이라며 폭로 취지를 밝혔습니다. 이어 볼트 7 시리즈처럼 볼트 8 역시 타자에 의해 악용될 만한 어떠한 제로데이 취약점도 포함하고 있지 않다고 덧붙였습니다.

▲ 하이브 해킹 경로 [이미지=위키리스크 홈페이지 캡처]


위키리크스에 따르면, 하이브는 CIA가 해킹 툴을 원격 제어하기 위해 사용한 인프라 중에서도 핵심 요소입니다. CIA는 하이브를 통해 해킹 작전에 가장 중요한 문제, 즉 들키지 않고 지속적으로 타깃 기기와 통신할 수 있어야 한다는 문제를 풀 수 있었던 것으로 드러났습니다. 하이브를 사용하면 해킹 툴에 감염됐다는 사실이 발각될 경우에도 멀웨어 통신 내역만 보면 CIA를 배후로 지목하는 것이 어렵기 때문이라고 위키리크스는 지적했습니다.

하이브 소스코드 중에서 무엇보다 흥미로운 사실은, CIA가 러시아 정부와의 연루 의혹으로 미국에서 퇴출되다시피 한 러시아 보안 업체 카스퍼스키 랩(Kaspersky Lab)의 인증서를 위장해 타깃으로부터 정보를 빼돌려 왔다는 게 드러났다는 점입니다. 위키리크스는 CIA가 네트워크 관리자에 의해 해킹 툴이 탐지되는 것을 피하기 위해 카스퍼스키 랩의 디지털 인증서를 위장해 해당 멀웨어를 심었다고 설명했습니다.

크롬 업데이트, 원치 않는 리디렉션 막는다
수요일(8일) 구글이 크롬 브라우저를 업데이트한다고 공지했습니다. 구글은 크롬 사용자 5명 중 1명이 원치 않는 리디렉션을 경험했다고 밝히면서 크롬 개선 방향을 논의할 때 이 같은 피드백을 진중히 고려했다고 말했습니다. 구글은 크롬 사용자에게 최대한의 편의를 제공하기 위해 향후 몇 차례에 걸쳐 세 가지의 새로운 보호책을 출시할 계획이라고 덧붙였습니다.

바라쿠다, 클라우드 향상 위해 소니안 인수
클라우드 보안 및 데이터 보호 전문 업체 바라쿠다 네트웍스(Barracuda Networks)가 클라우드 아카이브를 포함해 이메일 보안 및 관리 역량을 개선하는 차원에서 소니안(Sonian)을 인수한다고 현지시각으로 수요일(8일) 발표했습니다. 바라쿠다 네트웍스는 소니안이 공공 클라우드 아카이브 분야에서 선도적인 제공업체라고 밝혔습니다. 바라쿠다 네트웍스는 자사 보안 플랫폼에 소니안의 분석 및 인공지능 기술을 추가함으로써 오피스 365와 클라우드를 사용하고 있는 고객들이 더 나은 보안과 데이버 보호를 확보할 수 있을 것이라고 강조했습니다.

‘팬시 베어’가 MS 오피스의 DDE 익스플로잇을 사용하고 있다
해커들이 일명 ‘동적 데이터 교환(DDE: Dynamic Data Exchange)’이라고 불리는 마이크로소프트 오피스의 기능을 이용해 매크로 실행 요청을 보내거나 메모리를 오염시키지 않고도 타깃 기기에 코드를 실행하는 사례가 속속 나타나고 있는데요. ‘팬시 베어(Fancy Bear)’ 또는 ‘APT 28’로 불리는 해킹 그룹도 DDE를 이용해서 공격에 나섰다는 정황이 포착됐습니다. 팬시 베어는 러시아 정부의 지원을 받는 사이버 공격 조직으로 알려져 있습니다.

화요일(7일) 보안 업체 맥아피는 팬시 베어의 활동을 모니터링 하던 중 마이크로소프트 오피스의 DDE 기술을 이용한 악성 워드 문서를 발견했다고 밝혔습니다. 이어 맥아피는 팬시 베어가 DDE 기술을 이용한 사례는 이번이 최초라고 덧붙이면서, 최근 미국 뉴욕 시에서 발생한 테러리스트 공격과 관련된 문서인 것처럼 꾸몄다고 설명했습니다. 파일명이 ‘IsisAttackInNewYork.docx’였다고 하네요.

맥아피는 팬시 베어가 자원이 풍부한 공격자로서 타깃을 유인하기 위해 최근 사건들을 이용할 줄 아는 데다 성공률을 높이기 위해 최신 익스플로잇 기술까지 빠르게 적용시킬 줄 안다고 경고했습니다. 한편, 마이크로소프트는 DDE 취약점을 보안 문제로 생각하지 않기 때문에 패치하지 않겠다고 앞서 밝힌 바 있습니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)