세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[12월 2주 뉴스쌈] 몽고DB와 랜섬웨어의 끈질긴 악연
  |  입력 : 2017-12-17 00:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
몽고DB-랜섬웨어, 메클렌버그-랜섬웨어, 라자루스-비트코인,
드리덱스 돈세탁 도운 은행 직원, 윈도우 디펜더 긴급 패치,
트립와이어 툴, 미국 법에 명시된 카스퍼스키, ATM 스키밍


[보안뉴스 오다인 기자] 2017년은 랜섬웨어의 해라더니 12월 중순까지도 랜섬웨어 사고가 계속 터지고 있습니다. 몽고DB는 올해 들어 벌써 세 번째로 랜섬웨어에 당했으며, 미국의 어느 카운티도 랜섬웨어 공격을 받아 공공기관 시스템이 중단되는 일이 있었습니다. 미처 기사화되지 않은 사건들은 또 얼마나 많을까요?

12월 둘째 주 뉴스쌈은 두 개의 랜섬웨어 소식과 함께, 비트코인을 노린 라자루스의 피싱 공격 상황, 드리덱스 뱅킹 트로이목마 일당을 도와 허위로 계좌를 개설한 은행 직원, 윈도우 디펜더 긴급 패치 및 트립와이어라는 정보유출 탐지 툴, 미국 법으로 금지된 카스퍼스키 랩, ATM 스키밍을 벌여온 범죄자 일당 소식을 준비했습니다.

[이미지=iclickart]


몽고DB, 또 다시 랜섬웨어에 당해... 유권자 정보 볼모로 잡혀
몽고DB에 저장돼 있던 미국 캘리포니아주 1,920만 명의 유권자 정보가 랜섬웨어 공격의 볼모로 잡혔습니다. 보안 업체 크롬테크(Kromtech) 소속의 연구자 밥 디아첸코(Bob Diachenko)는 15일 블로그를 통해 “캘리포니아주 유권자 전체 정보가 사이버 범죄자들에게 넘어갔다”고 밝혔습니다.

디아첸코는 12월 초 크롬테크 연구진이 몽고DB 데이터베이스에서 ‘cool_db’라고 명명된 보호되지 않은 인스턴스 하나를 발견했는데, cool_db는 온라인 이용자 누구나 열어볼 수 있고 수정까지 할 수 있었다고 설명했습니다. 디아첸코에 따르면, cool_db는 1)사람이 수기로 작성한 유권자 등록 정보 모음과 2)19,264,123개의 캘리포니아 주 유권자 전체에 대한 기록이 포함돼 있었습니다. 이 데이터베이스의 원래 주인이 누구인지는 아직 밝혀지지 않았습니다.

현재 사이버 범죄자들은 이 데이터베이스를 삭제한 뒤 0.2비트코인을 요구한 상태입니다. 디아첸코는 캘리포니아 주민들의 정보가 온라인에 공공연히 유출돼 있었을 뿐 아니라 사이버 범죄자들이 돈을 뜯어내기 위해 이를 훔쳐가기까지 한 상황이라고 비판했습니다.

몽고DB가 랜섬웨어에 당한 건 올해 벌써 3번째입니다. 1월엔 몽고DB 전체 데이터베이스의 4분의 1가량이 인터넷에 방치돼 있다가 랜섬웨어에 당했으며, 9월에는 3개의 각기 다른 해커 조직이 몽고DB 데이터베이스 약 26,000개를 쓸어갔습니다.

메클렌버그 카운티도 랜섬웨어에 당했다
미국 노스캐롤라이나주의 메클렌버그 카운티도 랜섬웨어 공격에 당했습니다. 공격자는 23,000달러의 몸값을 지불하라고 요구했으나 메클렌버그 카운티는 거부했다고 뉴욕타임스 등 다수의 외신이 보도했습니다. 메클렌버그 카운티는 지난 5일(현지시간) 트위터를 통해 “컴퓨터 시스템 정지를 겪고 있는 중”이라며 “카운티 사무실에 용무가 있다면 영업 중인지 먼저 확인하라”고 알렸습니다.

라자루스, 런던의 비트코인 회사 겨냥해 피싱 공격 중
북한이 배후로 추정되는 해커 조직 라자루스(Lazarus)가 현재 런던의 한 비트코인 회사를 겨냥해 피싱 공격을 펼치고 있는 것으로 드러났습니다. 보안 업체 시큐어웍스(Secureworks) 연구진이 밝혔습니다.

이들 연구진에 따르면, 라자루스는 비트코인 회사 직원들에게 이메일을 보내 최고재무관리자(CFO) 채용에 대한 링크를 클릭하도록 유도했는데 이 링크를 클릭한 직원들은 악성코드에 감염됐습니다. 감염된 기기를 원격으로 제어하는 소프트웨어가 설치된 것이죠.

시큐어웍스는 이번 공격에서 사용된 기술이 라자루스가 사용하는 기술과 유사하다고 설명했습니다. 시큐어웍스는 라자루스가 지금도 공격을 진행 중인 것으로 보인다고 경고했습니다.

드리덱스 돈세탁 도운 은행 직원, 6년 4개월 징역 선고
영국 바클레이(Barclays) 은행 직원이 사이버 범죄 조직 드리덱스(Dridex)의 돈세탁을 도운 죄로 6년 4개월의 징역형을 선고받았습니다. 영국 국가범죄수사국(National Crime Agency)에 따르면, 영국의 29세 남성 지날 페사드(Jinal Pethad)는 몰도바 출신의 드리덱스 자금 운반책 파벨 긴코타(Pavel Gincota)와 이온 투르칸(Ion Turcan)을 위해 105개의 은행 계좌를 개설한 혐의에 대해 11일 유죄를 인정했습니다.

긴코타와 투르칸은 가짜 신원 정보를 페사드에게 제공했으며, 이를 바탕으로 페사드는 가짜 계정을 개설했습니다. 긴코타와 투르칸은 드리덱스 뱅킹 트로이목마로 갈취한 돈을 페사드가 개설한 계좌로 옮겨놓는 수법을 썼습니다. 이후, 이들은 ATM에서 돈을 바로 인출하거나 체크카드로 고가의 제품을 구매한 뒤 판매했으며, 이렇게 마련한 자금의 일부를 드리덱스 핵심 운영자에게 송금했습니다.

긴코타와 투르칸은 2015년 2월 영국 경찰에 의해 체포됐으며 2016년 10월에 유죄를 인정, 12년형을 선고받았습니다. 페사드는 2016년 11월에 체포됐습니다. 바클레이 은행은 페사드의 범행 사실을 파악한 뒤 그를 해고했다고 밝혔습니다.

마이크로소프트, 윈도우 디펜더에 긴급 패치 시행
마이크로소프트가 7일(현지시간) 멀웨어 보호 툴인 윈도우 디펜더에 응급 패치를 진행했습니다. 이번 취약점은 영국의 국가사이버보안센터(National Cyber Security Centre)가 발견했으며, 원격코드 실행 취약점(CVE-2017-11937)입니다. 공격자는 윈도우 디펜더 내 취약점을 통해 윈도우 7, 8, 10과 윈도우 서버 시스템을 완전히 제어할 수 있는 것으로 나타났습니다.

웹사이트 정보유출 여부 탐지하는 툴, ‘트립와이어’
미국 캘리포니아대학교 샌디에이고(University of California, San Diego) 연구진이 ‘트립와이어(Tripwire)’라는 툴을 개발했습니다. 트립와이어는 웹사이트의 정보유출 여부를 탐지해주는 툴이라고 합니다.

해외 컴퓨터 전문 매체 블리핑컴퓨터(Bleeping Computer)에 따르면, 트립와이어는 고유한 이메일 주소를 사용해서 하나 이상의 계정을 웹사이트에 등록시킨 뒤 누군가 이 계정의 비밀번호를 사용해 웹사이트에 접근하려고 시도하는지 정기적으로 체크합니다. 만약 이런 일이 발생하면, 웹사이트가 침해됐다고 표시해준다고 하네요. 단순하면서도 창의적인 접근법인 것 같습니다.

미국 도널드 트럼프 대통령, 카스퍼스키 제품 금지 법안에 서명
올 한 해, 카스퍼스키(Kaspersky)는 참 많이도 언급됐습니다. 이제 이 러시아 보안업체 이름은 미국 법안에도 정식으로 명시됐습니다. 역시, 좋은 일은 아닙니다.

미국 도널드 트럼프 대통령은 12일(현지시간) 미국 연방 정부기관 컴퓨터에 카스퍼스키 제품 사용을 공식적으로 금지하는 법안에 서명했습니다. 2018 회계연도를 위한 국가방어수권법(National Defense Authorization Act for Fiscal Year 2018) 제1634조에 세부사항이 나와 있습니다. 핵심만 번역해 봤습니다.

제1634조. 카스퍼스키 랩이 개발하거나 제공한 제품 및 서비스 사용에 대한 금지
(a)금지 - 연방 정부에 속하는 부처, 기관, 조직 등 그 어떤 부류에서도 아래 명시된 단체에서 전체 또는 부분으로 개발하거나 제공한 하드웨어, 소프트웨어, 서비스를 직접 또는 간접적으로 사용해서는 안 된다.
(1)카스퍼스키 랩(또는 승계 조직)
(2)카스퍼스키 랩을 통제하거나 카스퍼스키 랩에 의해 통제되는 조직
(3)카스퍼스키 랩이 주요 소유권을 갖고 있는 조직


▲2018 회계연도를 위한 국가방어수권법 제1634조[이미지=미국 국회 홈페이지 캡처]


카스퍼스키를 둘러싼 일련의 논란들을 다시 한 번 정리하고 싶으시다면, 본지에서 연속 보도한 아래 기사들을 참조해 주세요.
△미국과 러시아, 카스퍼스키 두고 관계 골 깊어지나(2017.06.30.)
△카스퍼스키 랩이 미국 정부기관 공급업체 명단에서 삭제됐다(2017.07.13.)
△카스퍼스키 제품 사라진 베스트 바이! 러시아 견제 시작되나?(2017.09.11.)
△이스라엘→러시아→미국, 물고 물리는 해킹... ‘사이버 냉전의 시대’(2017.10.12.)
△점점 커지는 카스퍼스키 스캔들, 백신 업계 전체로 확장(2017.10.13.)
△입지 좁아진 카스퍼스키, 소스코드와 내부 프로세스 공개한다(2017.10.24.)
△카스퍼스키 “NSA 기밀 우연히 입수한 뒤 삭제했다”고 해명(2017.10.26.)
△유진 카스퍼스키, “카스퍼스키 랩은 미국의 정보 전쟁에 당한 것”(2017.10.31.)
△러시아에 당했던 NSA 직원 컴퓨터서 121개 멀웨어 추가 발견(2017.11.18.)
△기밀을 집에 저장했던 NSA 직원, 10년간 근무해온 베테랑(2017.12.04.)

ATM 스키밍 저질러온 루마니아 청년 7명, 유죄 인정
루마니아 국적의 사이버 범죄자 7명이 ATM 스키밍 혐의에 대해 유죄를 인정했습니다. 19세에서 27세로 구성된 범죄자들은 미국 메사추세츠, 코네티컷, 뉴욕, 사우스캐롤라이나 등지에서 이 같은 범행을 저질러온 것으로 드러났습니다. 이들의 범행은 ‘리코(RICO)’라는 이름으로 알려져 있습니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)