[보안뉴스] 지불 카드 노리는 메이지카트, 포브스 매거진도 당했다 지불
카드 스키머 스크립트 주입...카드 정보 긁어간 것으로 보여
포브스 매거진 측은 “피해자 없을 것”이라고
하지만, 가능성 낮아 [보안뉴스 문가용 기자] 지불
카드 정보를 주력으로 하고 있는 사이버 공격 단체 메이지카트(Magecart)가 다시 한 번 피해를
일으키며 등장했다. 피해를 입은 단체들 중에는 유명 매체인 포브스 매거진(Forbes Magazine)이 있는 것으로 밝혀졌다. 포브스 매거진을 필두로 한 모든 피해자들에는 카드 정보를 스키밍하는
스크립트가 주입되었다. 포브스의 경우 구독자 페이지에서 이번 주 수요일에 발견됐으며, 구독자들의 결제 관련 정보를 빼내간 것으로 보인다. 이번에 침해된
포브스 매거진 웹사이트는, 포브스의 웹사이트와는 다르다.
보업 업체 배드 패키츠(Bad Packets)의 창립자인 트로이 머쉬(Troy Mursch)가
포브스 매거진 사이트가 침해된 사실을 제일 먼저 발견한 것으로 알려져 있다. 포브스 매거진 측은 이
문제에 대한 보고를 받고 해당 페이지를 임시로 닫아두었다. 현재까지도 이 페이지는 닫혀 있으며, 청소 작업이 진행되고 있다고 한다. 포브스의 대변인은 “이 문제로 피해를 본 사람은 아무도 없다는 것에 자신한다”고 주장했다.
크리덴셜 탈취 뱅킹 멀웨어 고즈님의 배후 일당 기소돼 국제
공조 통해 신원 파악하고 기소하는 데 성공...체포 작전은 아직 진행 중
사이버 범죄, 이제 국경 넘는 조직력 보이는 게 흔한 일...공조의
기조도 바뀌어야
[보안뉴스 문가용 기자] 여러
나라의 사법 기관들이 공조를 통해 국제적인 사이버 범죄 단체의 구성원 10명을 체포 및 기소하는 데
성공했다. 이 조직의 이름은 고즈님(GozNym)으로 현재까지
세계 여러 곳의 조직들로부터 1억 달러 이상을 훔쳤거나 훔치려 시도했다고 한다. 최근 공개된 기소장에 의하면 위
10명은 고즈님에 소속돼 은행 사기, 전자 금융 사기, 자금
세탁 등을 저지른 혐의를 받고 있다. 이 중 5명은 러시아에서
활동하고 있으며 계속해서 사법 기관의 추적을 받아왔다고 한다. 나머지는 조지아, 우크라이나, 몰도바, 불가리아에서
활동했으며 각 국가에서 현재 재판이 진행 중에 있다.
여기에 11번째 인물이 있다. 크라시미르 니콜로프(Krasimir Nikolov)라는 본명을 가지고 있으나 온라인에서는 파블로피카소(pablopicasso)로 활동한다. 니콜로프는 이미 불가리아에서
체포돼 2016년 12월 미국으로 인도됐다. 그 후로 계속된 재판 과정을 통해 고즈님 활동에 참여한 것이 사실로 들어나며 유죄 판결을 받았다. 2019년 8월 30일
최종 판결이 있을 것이라고 한다.
[패치 및 업데이트] Intel CPU 취약점 보안 업데이트 권고 □ 개요 o Intel社 CPU에서
발생하는 취약점을 해결한 보안 업데이트를 발표 o 영향 받는 버전 사용자는 해결방안에 따라 최신버전으로 업데이트
권고 □ 설명 o Intel社 CPU의
예측 실행(Speculative execution) 과정에서 부채널 공격을 CPU 내(캐시) 저장된 정보가 노출되는 취약점(CVE-2018-12126, 12127,
12130, CVE-2019-11091) ※ 예측 실행(Speculative execution) : CPU가 예측되는 명령을 미리 실행하여 성능과 효율성을 향상시킨 기술 □ 영향 받는
제품 o 참고사이트에 명시되어 있는 ‘Affected Products’을 통해 취약한 CPU 확인 [1]
□ 해결
방안
o Apple [2] - Mac OS 최신버전(10.14.5) 업데이트 • 홈페이지
직접 설치 : http://support.apple.com/downloads/ • App
Store 이용 : 애플 메뉴에서 [소프트웨어 업데이트] 선택 o Microsoft [3] - 윈도우 최신 업데이트 수행 • 홈페이지
직접 설치 : https://portal.msrc.microsoft.com/ko-KR/security-guidance/advisory/ADV190013에서 ‘다운로드’ 항목을 클릭하여 업데이트 수행 • 자동업데이트 : 윈도우 설정 – 업데이트 및 보안 – [업데이트 확인] 선택 o RedHat [4] - 참고사이트[4] 접속 - Resolve 탭에서 사용중인 버전 확인 -
Advisory/Update 선택 – 솔루션
항목에서 적용방법을 참고하여 업데이트 적용 o Google [5] - 크롬 OS : https://support.google.com/chromebook/answer/177889?hl=ko 참고하여
업데이트 진행 □ 기타 문의사항 o 기술지원 - Apple :
080-333-4000 - Microsoft :
1577-9700 - RedHat :
080-081-0880 - Google : https://support.google.com/에서 FAQ 및
도움말 참고
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html [2] https://support.apple.com/ko-kr/HT210119 [3] https://portal.msrc.microsoft.com/ko-KR/security-guidance/advisory/ADV190013 [4] https://access.redhat.com/security/vulnerabilities/mds [5] https://www.chromium.org/chromium-os/mds-on-chromeos 윈도우
RDP 원격코드실행 취약점 악용 코드 공개에 따른 보안 강화 권고 (2차) □ 개요
o 최근 원도우 RDP 원격코드실행 취약점(CVE-2019-0708)을
악용할 수 있는 개념증명코드(Proof of concept code, PoC)가 인터넷상에 공개되어 윈도우 사용자의 보안 강화 필요
※ 개념증명코드 : 취약점을 증명/검증할
수 있는 프로그램 또는 소스코드
※ 기술지원이 종료된 Windows XP, Windows Server
2003까지 보안업데이트 제공
□ 주요 내용
o 윈도우 RDP 원격코드실행 취약점(CVE-2019-0708)를
악용코드가 인터넷상에 공개되어 서비스 거부 공격 및 랜섬웨어 감염 등에 악용될 수 있음
o 윈도우 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 서비스(기본포트:3389)가 실행되고 있고 최신 보안 업데이트가 적용되어 있지 않을 경우 공격 위험에 노출
o 취약점에 영향받는 윈도우 제품을 이용하는 각 기관, 기업 및 일반 사용자는
해당 취약점에 노출되지 않도록 보안 업데이트 적용 및 RDP 보안 강화
필요
< 취약점에 영향 받는 윈도우 제품>
- Windows XP SP3 x86
- Windows XP Professional x64 Edition SP2
- Windows XP Embedded SP3 x86
- Windows Server 2003 SP2 x86
- Windows Server 2003 x64 Edition SP2
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems Service Pack 1
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
□ 대응 방안
o 윈도우 OS에 대한 최신 보안 업데이트 적용(KISA 보안공지 1193번 참고)
o RDP 사용하지 않을 시, 서비스 비활성화
o RDP 사용이 불가피할 시, 인가된 관리자
IP주소에서만 윈도우 RDP를 접근할 수 있도록 방화벽 등을 통한 접근 통제 강화 및 기본 포트 번호(3389)를
다른 포트로 변경하여 사용
o 백신 설치 및 정기적으로 최신 업데이트 수행
□ 문의사항
o 마이크로소프트 코리아 고객센터: 1577-9700
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[업데이트 다운로드 웹사이트]
[1]
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
[2]
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708 http://www.krcert.or.kr/data/secNoticeList.do http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/
[최신 바이러스 정보] XML/Dloader.S8
최초 발견일: 2019-05-17
종 류: 트로이목마(다운로더)
형 태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설 명: XML/Dloader.S8의 XML은
주로 웹서비스 혹은 구조화된 문서들을 위해 사용되는 언어로
XML내부에 악성코드를 삽입하고 실행시켜 악의적인 행위를 한다. Win-PUP/Webtoolbar.512000
최초 발견일: 2019-05-17
종 류: 유해가능
형 태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설 명: Win-PUP/Webtoolbar.512000는 사용자가
원치않는 툴바를 설치하고 웹 브라우저 이용시 광고성 팝업을 띄우거나 홈페이지를 변경하는 등 사용자에게 불편을 줄 수 있다. http://www.viruschaser.com http://www.viruslist.com http://alyac.altools.co.kr/
http://www.ahnlab.com/
[보안 TIP] 국가사이버안보전략, 기본법
제정과 컨트롤타워 논의 필요하다 [보안뉴스 원병철 기자] 대한민국
정부 최초로 ‘국가사이버안보전략’이 발표된 후, 이에 대한 관심은 사이버보안 분야 전반에 걸쳐 뜨겁게 타올랐다. 특히, 3대 원칙을 바탕으로 6개 전략과제와 66개 소과제로 이뤄진 국가사이버안보전략은 국가 차원의 대명제를 품고 있다는 점에서 인정받고 있지만, 전략에서도 언급했듯 실제 세부계획은 ‘국가 사이버안보 기본계획’과 ‘국가 사이버안보 시행계획’을
수립해 추진하겠다고 밝히면서 세부사항에 대한 갑론을박이 이어지고 있다. 17일 개최된 한국사이버법정책포럼의
‘2019 국가사이버안보전략에 대한 평가와 향후 과제’ 세미나는 보안관련 법제도, 보안산업의 전문가들이 모여 국가사이버안보전략에 대한 상호간의 의견을 나누는 중요한 자리가 됐다.
염흥열 순천향대 교수는 “미국과 영국, 일본 등 주요 국가들은 국가 상위수준에서 사이버안보
정책 이행과 총괄 역할 등을 강화했다”면서, “또한 국가
사이버보안 조직 간의 연계와 협력은 물론 사이버위협 정보 공유도 확대되고 있다”고 평가했다.
실제로 미국은 백악관의 사이버조정관, 일본은 내각관방 내 사이버시큐리티 전략본부가 정부차원의 사이버 보안전략을 컨트롤 한다. 또한, 일본 사이버시큐리티 전략본부와 영국 국가사이버보안센터는 국가
사이버보안 조직 간의 연계와 협력을 추진하며, 미국과 일본은 양자간 안보 조약에 사이버보안을 적용해
위협정보 공유를 추진하고 있다.
“이러한 주요 국가와 비교했을
때, 우리 국가사이버안전전략 역시 비슷한 수준의 전략이라는 평가를 받고 있습니다. 특히, 지금까지의 대책을 넘어 국가 최상위 수준의 포괄적 국가사이버안보
전략이라는 점과 국가최고책임자 수준에서 작성된 전략이라는 점, 그리고 국가안보실의 사이버안보 컨트롤타워
역할을 재확인했다는 점에서 높은 평가를 받을 수 있습니다.”
또한,
염 교수는 사이버안보 3대 원칙이 주요국 원칙과 호환되는 점과 국민기본권과 사이버보안 간의
조화를 강조한 점, 각 부문별 사이버안보전략 최상위 문서로 활용이 가능한 점도 잘 만들어진 항목으로
평가했다.
다만 국가안보실 내 사이버안보 총괄
업무의 경우 사이버정보비서관이 맡을 것으로 추정되는데, 내실 있고 실질적인 정책 조정 및 총괄 업무를
수행하기에는 다소 버거운 직급으로 보인다고 아쉬워했다. 특히, 이전
정부에 존재했던 안보특별보좌관이나 사이버안보비서관이 없어지고, 사이버정보비서관으로 통합된 것은 아쉽다는
얘기다.
“총괄책임자의 역할과 책임이
중요한 만큼 사이버안보비서관을 독립시키고 전담시켜야 한다고 생각합니다. 이상민 의원이 법안을 발의한
사이버보안청 신설도 생각해볼 필요가 있습니다. 무엇보다 국제 협력 내실화와 리더십 확보를 위한 적극적인
노력이 필요해 보입니다.”
또한,
한근희 건국대 교수도 “미국 트럼프 대통령의 ICT와
서비스 위협 대응 및 보호를 위한 국가비상사태 선포 사례를 볼 때 대통령의 의지가 매우 중요하다”면서, “이번 국가사이버안보전략은 그런 의미에서 매우 반갑다”고 설명했다.
“다만 이번 전략이 계획으로
끝나서는 안 되며, 구체적인 이행전략과 실천방안을 수립해야 합니다. 예를
들어 사이버보안 통합 법령을 제정한다던가 말이죠. 과거 정부가 사이버보안관 3,000명을 양성한다고 발표했지만, 지금 그러한 제도 자체를 찾아볼
수 없다는 것을 잊으면 안됩니다.”
정준현 단국대 교수도 컨트롤타워에 대한
또 다른 대안을 제시했다. 정 교수는 컨트롤타워는 권력이 아닌 능력을 중시해야 한다면서 “국정원이 컨트롤타워를 맡되, 비밀분류법과 국가사이버안보법을 제정해
민관군 협치를 통한 시너지 효과를 극대화해야 한다”고 주장했다.
각 부처별로 갖고 있는 비밀정보에 대한
접근이 막혀 있는 상황에서 부처별 협업은 물론 민간과의 협업은 불가능한 일이라면서 정 교수는 비밀관리 주체에 의한 비밀접근권을 부여하되, 국회가 감시할 수 있도록 해야 한다고 제안했다. 아울러 현재 훈령인
국가사이버안전관리규정의 한계를 극복하기 위해 국가사이버안보법을 제정해야 한다고 강조했다.
또한,
이성엽 고려대 교수도 비슷한 맥락의 주장을 펼쳤다. 민관군 협력체계를 활성화하기 위해서
각 영역간 사이버위협 정보를 체계적으로 공유·분석·활용할
수 있도록 법적 장치를 마련해야 한다는 것. 미국 사이버안보법과 일본 사이버안보기본법과 같이 공공과
민간을 아우르는 통합 기본법 체계가 필요하다는 설명이다.
이와 함께 기존 국정원과 과기정통부가
중심이 된 집중형 사이버안보 관리체계에서 관련 부처에 관리 및 집행 책임을 이전하는 분산형 사이버안보 관리체계 구축을 검토하되, 통합적 의사결정을 위한 ‘국가사이버안보위원회’나 위기발생시 대책본부 등 일부 사항에 대해서는 집중형 관리체계를 도입해야 한다고 주장했다.
SK인포섹 강용석 상무는
민간을 중심으로 사이버공격 대응역량 고도화해야 한다고 강조했다. “국가사이버안보전략 중 가장 중요한
핵심은 사이버공격 대응역량이라고 생각합니다. 이는 민간의 보안전문가 집단과 사이버보안기업의 실력과 경쟁력에서
좌우되는데, 자칫 공공성이 강조되면서 정부주도의 조직화나 예산 확보,
인력 확대 등에 초점이 맞춰지면 안됩니다. 특정기관으로 권한이 집중되고 관을 중심으로 비전문가가
양성될 수 있기 때문입니다. 사이버공격 대응역량을 고도화하기 위해서는 가장 먼저 산업이 성장하고 전문가들이
역량을 발휘할 수 있도록 만들어가야 합니다.”
이날 토론에 나선 학계와 민간 보안전문가들은
이번 국가사이버안보전략이 국가 최상위 수준의 포괄적 전략이면서 해외 주요국가의 안보전략과 일맥상통한다는 점에서는 높이 평가하면서도 ‘국가 사이버안보 기본계획’과 ‘국가
사이버안보 시행계획’을 이유로 이번 전략에는 구체적인 방안이 없다는 사실은 아쉬워했다. 아울러 청와대 국가안보실이 컨트롤타워를 맡는 부분에 대해서도 여러 가지 이유로 우려의 목소리를 나타냈으며, 전략의 근간인 ‘국가사이버안전관리규정’이 대통령 훈령이라는 점도 지적했다.
한편,
‘국가 사이버안보 기본계획’과 ‘국가 사이버안보
시행계획’은 이미 각 부처별로 하달된 것으로 알려졌지만 자세한 내용은 아직 공개되지 않은 상황이다. http://www.krcert.or.kr/data/secNoticeList.do http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/
| 