Home > 전체기사
미국의 사이버 사령부, “이란 해커가 MS 아웃룩 노린다”
  |  입력 : 2019-07-08 17:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미군과 밀접한 관계에 있는 기관...군 시각에서 위험한 것들에 대해 경고 발령
사이버 사령부가 러시아 외 국가에 대한 경고 발표한 건 처음...이란 관계 심각성 나타내


[보안뉴스 문가용 기자] 미국의 사이버 사령부가 사기업들과 정부 기관들에 경보를 발령했다. 이란 정부와 관련되어 있는 해킹 단체들이 미국 조직들을 대상으로 사이버 공격을 펼치고 있다는 내용이다. 특별히 마이크로소프트의 아웃룩(Outlook) 클라이언트를 통해 사용자의 크리덴셜에 접근하고 있다는 경고가 눈에 띄었다.

[이미지 = iclickart]


이란의 공격자들이 악용하고 있는 아웃룩 취약점은 2017년 10월 마이크로소프트가 이미 패치를 발표한 것으로, 아직 많은 단체들이 패치를 적용하지 않았기 때문에 여전한 위협으로 남아있다. 보안 업체 파이어아이(FireEye)의 보안 전문가 닉 카(Nick Carr)는 “불과 3주 전에도 이 취약점을 악용한 공격 캠페인이 있었다”고 말할 정도다.

카는 “이 아웃룩 취약점 문제는 앞으로도 계속해서 많은 조직들을 괴롭힐 것으로 보인다”고 설명한다. 굳이 사용자들이 패치에 게을러서만은 아니다. “블루팀, 레드팀 훈련을 해본 결과 이 취약점에 대한 패치가 많이 불안정하다는 걸 알게 되었습니다. 레지스트리 키를 조작함으로써 이전 버전으로 롤백시키는 게 가능하거든요. 즉, 패치를 해도 소용이 없다는 것이죠. 이란의 해커들이 실시하는 것도 바로 이러한 공격이고요.”

현재 이란과 미국은 꽤나 심각한 긴장관계를 유지하고 있다. 양측 모두 서로를 향해 사이버 공격을 실시하고 있다고 주장하고 있으며, 상대의 공격을 무력화시켰다고 우기고 있다. 현재 아웃룩 취약점을 통해 미국 단체들을 공격하고 있는 건 APT34일 가능성이 가장 높은 것으로 나타났다. 주로 중동을 노리던 단체다. 그 외에 APT33이 참전하고 있는 것도 사실로 보인다고 한다. 미국, 유럽, 중동을 고루 노리던 조직이다.

보안 업체 크로니클(Chronicle)의 애플리케이션 첩보 전문가인 브랜든 르벤(Brandon Levene)은 “이란의 공격자들은 파괴적인 멀웨어를 사용할 줄도 알고, 사용할 의지도 가지고 있으므로 각 조직들은 방어력을 높여야 할 것”이라고 말한다. “방어력을 높이는 방법은 1) 최신 버전으로 시스템과 앱들을 패치하고, 2) 자신의 조직이 이란의 표적이 될만한지, 그 가능성이 어느 정도인지 객관적으로 파악해 그에 맞는 방어 장치를 마련하는 것”이다.

문제의 취약점은 CVE-2017-11774로, 공격자들은 이메일 클라이언트에 있는 홈 페이지 기능을 통해 HTML과 비주얼베이직 코드를 주입할 수 있게 된다. 그러면서 샌드박스도 탈출할 수 있게 된다. 원격에서도 취약점을 발동시키는 게 가능하다. 보안 업체 센스포스트(SensePost)가 이 취약점을 가장 먼저 발견해 마이크로소프트에 알린 것으로 알려져 있다.

센스포스트는 당시 “이 취약점을 가지고 홈 페이지 기능을 악용하는 게 쉽지만은 않지만, 성공할 경우 매우 은밀하게 공격을 진행할 수 있다는 장점이 있다”고 설명한 바 있다. 이런 사실이 알려진 것이 20개월 전이지만, 이란은 최소 2018년부터 이 취약점을 악용해왔고, 현재도 유용한 공격으로 이어지고 있다.

미국 사이버 사령부는 바이러스토탈(VirusTotal)에 다섯 가지 파일들을 제출했다. 전부 아웃룩을 겨냥한 이란 해커들의 캠페인에서 추출한 것들이다. 그러면서 “배포되는 멀웨어의 출처는 ‘customermgmt.net/page/macrocosm’이라고 알렸다. 사이버 사령부가 러시아 외 해외 세력의 사이버 공격에 대해 경고를 발표한 건 이번이 처음이다.

이번 캠페인에서부터 나온 파일들 중 일부는 2016년 공격에도 활용된 적이 있을 정도로 오래된 것이다. 그러나 위에 언급된 악성 웹사이트는 불과 수주 전에 만들어진 것으로 밝혀졌다. 즉, 사이버 사령부가 굉장히 시기적절하게 경고를 발표한 건 아니고, 오히려 오래전부터 이란의 해커들을 주시해왔던 것으로 보인다.

르벤은 “사이버 사령부는 군의 일부 조직”이라며 “군의 시각에서 위협 요소라고 생각하는 것들에 대해 경고하는 곳”이라고 설명을 추가했다. 즉 위험한 일이 벌어질 때마다 민간 기업들에 경고하는 단체가 아니라는 것이다.

그러면서 르벤은 “사이버 사령부가 발표한 기술적 지표들도 그리 유용하지 않다”고 설명을 이어갔다. “지난 몇 년 동안 알려진 내용들을 모아놓은 것입니다. 역사적 자료는 될지 몰라도 기술적으로 당장에 유용한 것은 아닙니다. 그러나 이렇게 모아놓으니, 이란의 해커들이 어떤 전술을 사용하고, 어떤 전략을 활용하며, 어떤 성향을 나타내는지는 볼 수 있습니다. 그러므로 방어 전략을 구축하는 데에도 충분히 사용할 수 있습니다.”

3줄 요약
1. 미국과 이란의 긴장관계, 계속 이어지는 가운데 미국 사이버 사령부가 다시 한 차례 미국 기업과 기관들에 경고.
2. 이번에는 마이크로소프트 아웃룩의 오래된 취약점 악용한다는 내용.
3. 사용자들도 패치를 잘 하지 않고, 패치 자체도 깨지기 쉬우며, 은밀한 공격할 수 있게 해줘 해커들에겐 유익한 취약점.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)