[1.11 보안 이슈투데이] 미국 의회 점거, 솔라윈즈, 팀TNT

미국 의회 점거 사건의 정보보안 문제 불거지며, 보안의 물리 요소 얘기돼
솔라윈즈 공격자들, 비밀번호 추측과 살포 공격 통해서도 표적 노려
팀TNT라는 암호화폐 채굴 봇넷 멀웨어, 이제는 도커 API와 AWS 크리덴셜도 노려

[보안뉴스 문가용 기자] 지난 주 발생한 미국 의회 점거 사건의 충격이 사이버 보안 분야로도 퍼지고 있다. 폭도들이 의회 컴퓨터에 물리적으로 접근한 사실이 드러나면서이다. 솔라윈즈 공격자들은 솔라윈즈만 활용한 게 아닌 것으로 밝혀졌다. 목표 달성을 위해 여러 가지 방법을 취했는데, 그 중 하나가 솔라윈즈의 공급망 공격이었던 것이다. 암호화폐 채굴 멀웨어 팀TNT는 클라우드와 컨테이너 크리덴셜도 노리는 멀웨어로 업그레이드 됐다.

[이미지 = utoimage]

[SecurityWeek] 트럼프 지지자들의 의회 점거, 정보보안 문제도 불거져 :
지난 주 성난 트럼프 지지자들의 의회 점거 사태가 전 세계적인 충격을 준 가운데, 해당 사건의 사이버 보안 문제도 제기되고 있다. 의회 내부에 있던 이들이 빠르게 대피를 할 수밖에 없던 상황에서 컴퓨터를 미쳐 다 끄지 못하고 나가는 바람에 각종 민감 정보 및 기밀들이 노출되었기 때문이다. 이메일이 열려 있던 의회 내 컴퓨터 화면이 트위터에 돌아다니고 있으며, 이 때문에 이제 사이버 보안이 물리적인 공격도 고려해야 한다고 전문가들은 주장하고 있다.

[FindBiometrics] 솔라윈즈 공격자들, 솔라윈즈만 활용한 것 아니다 :
미국 국토안보부 산하 CISA가 솔라윈즈 사태에 대해 새로운 사실을 발표했다. 공격자들이 기본적이고 평범한 해킹 기술을 사용해 여러 조직을 공격하기도 했다는 것이다. 즉 솔라윈즈의 업그레이드 파일을 감염시켜서 침투하는 공급망 공격 외에도, 비밀번호 추측 및 대입, 비밀번호 스프레잉(password spraying)과 같은 기법을 사용해가며 표적들을 공략했다고 한다. 공격자들이 특정 목표를 정해두고 모든 수단과 방법을 총 동원했다는 것이다.

[DW] 뉴질랜드의 중앙은행, 사이버 공격에 민감한 정보 잃어 :
뉴질랜드의 중앙은행이 주말 동안 사이버 공격에 당했다. 공격이 주로 발생한 곳은 서드파티 파일공유 서비스라고 한다. 이를 통해 은행 측은 그 동안 중요하고 민감한 정보를 저장하고 유통했으며, 따라서 여기에 접근한 해커들이 꽤나 중요한 정보를 가져갔을 가능성이 높다. 현재 은행 측은 조치와 복구를 모두 마무리 했고, 은행은 정상적으로 돌아가는 중이라고 한다. 다만 공격자들이 현재 어떤 정보에 접근했고, 정확히 얼마나 가져갔는지를 파악 중에 있다.

[Dr. Dons News] 팀TNT 봇넷, 이제는 도커 API와 AWS 크리덴셜도 훔친다 :
암호화폐, 특히 모네로 채굴을 전문으로 하던 봇넷 멀웨어인 팀TNT(TeamTNT)가 최근 업그레이드 됐다고 보안 업체 트렌드 마이크로(Trend Micro)가 발표했다. 이 봇넷은 이제 도커 API와 AWS의 로그인 크리덴셜도 훔친다고 한다. 현재까지는 컨테이너 플랫폼들만 팀TNT의 공격에 노출되어 있는데, 주로 악성 컨테이너 이미지를 퍼트리는 방법으로 공격이 진행되고 있다고 한다.

[E Hacking News] 파이어폭스와 크롬에서 치명적인 버그 발견돼 :
CVE-2020-16044(파이어폭스)와 CVE-2020-15995(크롬)이라는 취약점을 패치하라고 미국 국토안보부 산하 CISA가 직접 권고문을 발표했다. 전자는 UaF 취약점으로 데스크톱 버전 84.0.2, 안드로이드 버전 84.1.3에서 발견된다고 한다. 후자는 현재의 87.0.4280.141 버전 크롬에서 발견되고 있다. 보안 업체 테너블(Tenable)은 이 두 가지 모두가 치명적 위험도를 가지고 있다고 주장했지만 구글과 마이크로소프트는 고위험군으로 분류했다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)