올해 1월, 일부 연예인들이 스마트폰을 해킹 당해 사생활 유출을 빌미로 금품을 갈취 당한 사건이 발생했다. 협박범은 사전에 유출된 연예인들의 계정 등의 개인정보를 이용하여 크리덴셜 스터핑 공격으로 삼성 클라우드 계정에 접근한 후 스마트폰을 복제했다. 이 방법으로 카카오톡, 문자메시지 등의 민감 정보를 확보한 것으로 확인되었다. 피해 연예인은 총 8명이며 이 중 5명의 연예인이 총 6억 원 가량의 금품을 협박범에게 건넨 것으로 확인되었다.

또한, 일본의 ‘미쓰비시 전기’에서 일본 방위 기술과 관련된 정보와 중요한 사회 인프라에 관한 데이터가 유출되는 사고가 있었다. 이는 취약점 CVE-2019-18187을 악용한 것으로 확인되었다. 미쓰비시 전기 측은 해킹 수법 등을 참고하였을 때 방위 관련 기밀 정보를 주로 노리는 중국 정부와 밀접한 관계가 있는 해커 그룹 ‘Tick(틱)’이 관련됐을 것으로 추정하고 조사 중이다.

한편, 최근이 사이버 공격으로 인해 고속 활공 미사일의 성능에 대한 정보가 유출된 것으로 밝혀졌다. 이탈리아의 암호화폐 거래소인 ‘알츠비트’에서 암호화폐 탈취 해킹 사고가 있었다. 알츠비트는 이해킹 사고로 인하여 고객 예치 암호화폐를 제외한 거의 모든 자금인 6,929 BTC, 23,210 ETH, 3,924,082 ARRR, 414,154 VRSC, 1,066 KMD(총 한화 약 900억 원)을 탈취 당하는 심각한 피해를 입었다. 이로 인해 알츠비트는 남은 고객 예치 암호화폐를 반환하였으며 5월 8일부로 서비스를 종료하였다. 관련 업계에서는 이렇게 피해가 컸던 이유에 대해 거래의 편의성을 위해 콜드 월렛과 핫 월렛의 비중을 적절하게 분배하지 않고 주로 핫 월렛을 이용했기 때문으로 보고 있다.

3월과 4월에는 웹 호스팅 업체인 ‘마루인터넷’의 랜섬웨어 감염 사고가 있었다. 정확한 피해 규모는 알려지지 않았지만, 해커와의 협상을 통해 90% 가량의 서버는 복구하였으나 일부 서버는 복구가 이루어지지 않았다. 또한, 복구가 이루어진 일부 서버는 데이터와 DB 쿼리 부분의 망실 등으로 인해 100% 복구에 차질이 발생한 것으로 알려졌다.

또한, Zoom과 Webex 등 원격 회의 플랫폼의 보안 이슈가 화제가 되었다. 2월 말, 정부가 코로나19 상황을 '심각' 단계로 격상하면서 대부분의 기업이 재택근무를 시행했고, 이에 원격 회의, 화상회의 앱 사용량이 급증했다. 하지만, 급증하는 사용량만큼 여러 가지 보안 취약점이 화두에 올랐다. 대표적으로 Zoom International의 협업 솔루션 ‘Zoom’에서 UNC path를 공유할 때 이를 클릭한 사용자의 시스템 계정 정보가 노출될 수 있고, 이 링크를 이용한 원격 파일 다운로드 및 실행이 가능했던 취약점이 있었다.

이외에도, 상용 이메일 계정이 아닌 특정 도메인 계정을 사용할 때 같은 도메인 계정을 사용하는 사용자의 리스트가 출력되는 취약점, 회의 ID가 짧아 무작위 대입 접속 시도를 통해 비밀번호가 설정되지 않은 회의실 참여가 가능한 취약점이 있었다. 또한 Cisco Systems의 협업 솔루션 Webex에서 ARF(Advanced Recording Format), WRF(Webex Recording Format)로 저장된 Webex 레코딩내 요소 검증 문제로 악의적인 ARF, WRF 파일을 공유하고 사용자가 파일을 실행할 때 임의 코드실행이 가능했던 취약점(CVE-2020-3127, CVE-2020-3128)이 존재하였다.

국내 쇼퍼블 콘텐츠 기업인 ‘스타일쉐어’의 개인정보 유출 사고도 발생했다. 피해 규모는 전체 회원 수인 약 640만 건이며 유출된 정보는 아이디, 이름, 생일, 배송지 정보, 성별, 이메일 주소, 전화번호이다. 비밀번호는 암호화해 별도로 관리되고 있으며, 이메일 주소와 전화번호도 암호화 처리되어 있어 광고성 메일 또는 보이스 피싱 등의 2차 피해 가능성은 낮은 것으로 확인되었다. 해당 사고는 샤이니 헌터스(Shiny Hunters)로 알려진 해킹 조직 소행으로 알려졌다.

5월에는 온라인 인테리어 플랫폼 업체인 ‘집꾸미기’의 개인정보 유출 사고가 있었다. 피해 규모는 약 200만 건이며 이름, 아이디, 이메일 주소, 전화번호가 유출된 것으로 추정된다. 주민등록번호와 금융 정보와 같이 민감 정보는 유출되지 않은 것으로 확인되었다. 해당 사고 역시 샤이니 헌터스(Shiny Hunters)로 알려진 해킹 조직 소행으로 알려졌으며, 다크웹에서 200만 건의 개인정보를 1300달러(약 160만 원)에 판매한다고 홍보하기도 했다. 업체는 해킹과 관련된 안내 메일을 발송하는 과정에서 회원들의 이메일 주소를 그대로 노출하는 실수를 범해 피해자들의 공분을 사기도 하였다.

또한, 여행 플랫폼을 운영하는 업체인 ‘플레이윙즈’ 사이트가 공격을 받아 고객의 개인정보가 유출된 사실이 알려졌다. 4월 16일에 허가 받지 않은 외부 접속자가 당사의 서버 접속 키를 탈취하여 일부 회원 정보에 접근하였으며, 당사 DB에 적재된 개인정보를 탈취한 사실이 6월 29일에 확인되었다고 밝혔다. 유출된 개인정보 항목은 이메일 주소로 가입한 회원(SNS 가입 유저 제외)의 이메일, 암호화된 비밀번호, 닉네임 등 3개 항목이다. 플레이윙즈는 개인정보 최소 수집 원칙에 따라 SNS 로그인을 병행 이용하고 있어 회원의 성명, 주민등록번호, 카드번호 등 금융 정보는 원칙적으로 보관(수집)하지 않는다고 설명했다. 이번 사건과 관련해 지난 4월 22일 서버 접속 Key를 변경해 취약점 제거를 완료했다고 밝혔다.

Maze 해킹 그룹의 랜섬웨어 공격은 타깃 서버에 비정상적으로 접근하여 랜섬웨어를 실행시켜 주요 확장자가 포함된 파일들을 암호화하는 방식으로 이뤄진다.

이후 데이터를 복구하기 위해 필요한 복호화 키에 대한 비용을 지불하라고 요구했다. 그러나 최근 Maze 그룹은 타겟 서버에 침투 후 랜섬웨어를 바로 실행시키지 않고 주요 데이터를 탈취한 후 암호화를 진행한다. 그후, 비용을 지불하지 않으면 탈취한 데이터를 웹에 공개하겠다고 협박하면서 결제를 유도한다. 실제로 비용을 지불하지 않을 시 데이터 일부를 자신의 웹 아카이브에 공개하며 협박의 수위를 높였고, 그럼에도 불응할 시에는 모든 데이터를 공개했다. 해당 아카이브를 확인해보면 실제로 일반 기업뿐만 아니라 다양한 분야에서 다수의 침해가 발생한 것을 확인할 수 있다.

7월에는 트위터가 해킹을 당해 많은 유명인사들의 계정이 탈취되는 사태가 벌어지기도 했다. 공격자는 내부 시스템에 접근 권한이 있는 일부 직원의 PC를 해킹하였고, 획득한 권한으로 여러 저명인사의 계정을 이용해 암호화폐 사기에 악용하였다. 해당 사건은 과거와 다르게 여러 개의 계정이 한꺼번에 해킹을 당했고, 심지어 2단계 인증을 사용했음에도 불구하고, 해킹을 당해 그 사태는 더욱 심각했다고 볼 수 있다. 트위터에서는 해킹당한 인증 계정의 활동을 모두 차단시켰고 패스워드 변경을 통보하였다. 공격자는 이 공격으로 인하여 한화로 약 2억 원의 부당이익을 챙긴것으로 확인되었다.

또한, 미국 보안 기업 TrustWave가 중국 필수 세금 납부 관련 소프트웨어와 관련된 백도어를 발견했다. TrustWave는 고객사의 중국지사 사무실 설립 이후 당사 시스템 정보가 외부로 유출되는 것을 이상하게 여기고 원천을 확인해 본 결과, 중국 필수 세금 납부 관련 소프트웨어가 설치되면서 추가로 설치된 악성 파일(Goldenspy)이 원인인 것을 알아냈다. 해당 내용이 알려지자 해당 소프트웨어 개발 업체 Aisino는 Goldenspy 관련 흔적을 지우는 삭제 프로그램(Uninstaller)을 배포하며, 이 사실을 숨기려고 했다. Aisino가 Goldenspy로부터 이득을 얻었는지 확인되지 않았지만, 정보 유출지 도메인이 중국이라는 점과 Aisino가 발각된 Goldenspy 흔적을 급하게 삭제하려고 했던점으로 미루어 볼 때 배후 미상의 단체와 함께 Aisino 또한 해당 공격에 연루된 것으로 관측된다.

9월에는 이란 출신으로 보이는 해커가 전 세계 기업을 대상으로 RDP 포트를 이용해 복잡도가 낮게 설정된 패스워드를 뚫고 다르마 랜섬웨어를 심은 후 금전을 요구하는 사건이 있었다. 다르마 랜섬웨어의 소스코드가 공개되면서 많은 공격자들이 활용할 수 있게 바뀌었고, 전문적이지 않은 공격자들도 악용할 수 있는 것으로 확인되었다. 해당 공격은 자체 제작하거나 조작된 해킹 도구가 아닌, 쉽게 구할 수 있는 여러 Scanning, Bruteforce 도구를 사용한 흔적을 봤을 때 전문적이지 않은 아마추어에 의한 소행인 것으로 추정되었다. 침해 성공 이후에는 데이터를 탈취하고 다르마 랜섬웨어를 최종적으로 감염시켰다. 그런데, 해커들이 파일 복구 비용을 타 랜섬웨어 보다 상당히 낮은 1~5 비트코인을 요구하였다. 이 사건은 대부분 이란 해커들의 해킹 목적인 스파이, 정보 탈취, 사보타주 등의 행위와 다르게 금전을 요구하는 해킹이 발생했다는 점, 그리고 타 랜섬웨어 대비 몸값 비용이 극히 적었던 점이 이슈가 되었다.

10월에는 국내 대기업, 금융권 등을 타깃으로 일명 ‘랜섬 디도스’ 공격이 발생했다. ‘랜섬 디도스’는 비용을 지불하지 않으면 디도스 공격을 수행하겠다는 새로운 유형의 협박성 공격 방식이다.

실제 서비스에 대한 피해는 보고되지 않았지만, 해킹과 Ransom을 결합하여 공갈하는 방식의 사회공학적 공격이 점차 늘어날 것으로 전망된다.

또한, 류크 랜섬웨어 그룹이 AD 관리자 권한 획득 공격 시, Windows 제품군의 권한 상승 취약점(CVE-2020-1472)을 악용하는 것으로 확인됐다. 최초 스피어피싱을 성공한 후 2시간 만에 AD 관리자 권한 획득, 5시간 만에 도메인 네트워크 시스템 전체 암호화한 사례가 보고됨에 따라 해당 취약점에 대한 패치와 주의가 요구된다.

이 콘텐츠의 저작권은 ㈜ADT캡스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2020 ADT CAPS. All Rights Reserved.