제품문의

02-6011-1377

보안관제센터

02-6011-2337

FAX

02-463-1376

E-mail

iamguide
@cmtinfo.co.kr

보안공지

공지사항

2018.년을 얼룩지게 했던 프라이버시 및 보안 사건들

페이지 정보

작성자 최고관리자 작성일18-12-27 18:47 댓글0건

본문

2018.년은 시작부터 역사에 길이 남을 보안 사건인 스펙터(Spectre)와 멜트다운(Meltdown) 취약점 사태가 터지더니, 암호화폐 광풍과 함께 채굴 공격이 한 해 내내 극성을 부리기도 했다. GDPR이 도입되는가 하면, 페이스북은 1년 내내 프라이버시 문제로 시달렸다. 정말 프라이버시 및 보안과 관련된 이야기가 하루도 빠짐없이 터진 해였던 것이다. 이를 일목요연하게 정리해보았다.  


암호화폐 채굴 멀웨어
암호화폐로 수많은 사람들이 울다가 웃고, 웃다가 운 한 해였다. 암호화폐가 이렇게까지 주목을 받은 건 사상 처음 있는 일이었다. 2018.년 초만 해도 별다른 해와 다를 게 없었다. 해커들은 랜섬웨어 공격을 하고, 데이터를 돌려받는 대신 암호화폐를 내라고 요구하는 게 가장 흔한 암호화폐 사용법이었다. 그런데 이것이 금세 ‘채굴 코드 심기’로 바뀌었다. 그도 그럴 것이 암호화폐의 가치가 고공행진을 이어갔기 때문이다. 3월에는 한 암호화폐 채굴 전문 범죄 단체가 채굴 코드 공격으로 6개월 만에 7백만 달러를 벌어들였다는 사실이 밝혀지기도 했다. 랜섬웨어가 채굴 코드 때문에 사라질 지경이라는 연구도 여럿 나왔다. 하지만 12월 즈음 되자 암호화폐의 가치는 뚝 떨어졌고, 범죄자들은 다시 랜섬웨어를 사용하기 시작했다.

디도스 공격
너무 흔한 공격이라서 그런지 많이 부각되지 않았는데, 2018.년에 발생한 디도스 공격은 2017년의 그것보다 5배나 많았다. 빈도만 늘어난 게 아니라 공격 시 사용되는 트래픽의 용량도 커졌다. 디도스 공격을 사용한 전략도 늘어났고 더 다양해졌다. 가장 눈에 띄는 건 올 한 해 동안 디도스 공격의 볼륨이 훨씬 커졌다는 것이다. 공격자들이 반사(reflection) 및 증폭(amplification) 기술을 활용해 DNS, NTP, SSDP, CLDAP, Chargen 등의 프로토콜에 존재하는 취약점들을 익스플로잇 하기 시작했기 때문이다. 게다가 2018.년에는 VPN필터(VPNFilter)라는 멀웨어가 등장하는 바람에 라우터와 같은 장비들이 기록적으로 감염되기도 했다.

침해 사고, “이젠 지겨워”
미국의 국토안보부는 올해 초부터 침해 사고를 당해 근무자 24만 명의 개인정보가 유출됐다는 소식을 세상에 전했다. 3월에는 언더 아머(Under Armour)가 사용자 계정 1억 5천만 개가 침해되었다고 발표했다. 그 후에는 티켓마스터(Ticketmaster), 걸스카우트, 영국항공, 쿼라(Quora), 메리어트 호텔 등에서 비슷한 사고가 끊기지도 않고 터졌다. 데이터가 유출되었다는 소식에 하품만 나게 되었다. 

멜트다운과 스펙터
현대 컴퓨터들에 사용되고 있는 마이크로프로세서들에서 구조적인 결함이 발견되었으니, 바로 스펙터와 멜트다운이다. 인텔과 AMD 등 사실상 이 시장을 거머쥐고 있는 업체들 모두가 취약한 제품을 생산하고 있었다는 게 밝혀지면서 비상이 걸렸다. 멜트다운과 스펙터는 메모리 내에 저장된 민감한 정보를 탈취할 수 있도록 해주는 취약점으로, 현대 CPU가 이러한 정보를 다루는 방식 그 자체에서 발견된 것이기 때문에 패치로 고치는 것에도 한계가 있었다. 칩 생산의 과학 자체가 바뀌어야만 고쳐질 수 있다는 말이 나오고, 인텔 역시 차세대 칩을 통해 멜트다운과 스펙터가 해결하겠다고 약속했다. 그래서인지 스펙터와 멜트다운의 변종들이 한 해 동안 계속해서 등장했다. 차세대 칩들이 보편화되기 전에는 앞으로도 계속 그럴 것으로 보인다.

난리, 난리, 생난리의 페이스북
2018.년 초반 세상을 발칵 뒤집어 놓은 소식 중 페이스북과 캠브리지 애널리티카(Cambridge Analytica)가 일으킨 스캔들은 단연 첫 손에 꼽힌다. 그 다음부터 페이스북은 비슷한 일만 일어났다 하면 ‘미안하다’, ‘죄송하다’는 말을 자동으로 발표하는 회사가 되었다. 사건은 페이스북의 파트너사인 캠브리지 애널리티카가 페이스북 사용자의 동의 없이 개인정보를 수집했다는 보도에서부터 시작됐다. 이 때 사용된 건 디스이즈유어디지털라이프(thisisyourdigitalife)라는 앱이었다. CEO인 마크 저커버그는 의회에도 소환됐다. 그 외에도 10곳도 넘는 곳에 등장해 사과를 했다. 

이 사건이 잊힐 즈음인 10월, 페이스북 사용자 5천만 명의 계정 접근 토큰이 유출되는 사건이 벌어졌다. 12월에는 680만 사용자의 사적인 이미지들을 노출시키는 버그가 등장했다. 심지어 페이스북이 150개 기술 기업들과 데이터 공유 협약을 맺고 있었다는 것도 내부 문건을 통해 드러났다. 이 때문에 유명인들 사이에서 탈퇴 러시가 이어지기도 했지만, 그리 큰 파장을 일으키진 못했다.

종단간 암호화
1월부터 “정부가 수사나 사회 안전 유지를 위해 암호화된 비밀 데이터에 접근할 수 있어야 하는가”라는 논의에 불이 붙었다. 미국 연방정부 입찰 사이트인 FBO의 국장 크리스토퍼 레이(Christopher Wray)가 “깰 수 없는 암호화 기술은 국가 안보를 위협한다”고 발언했기 때문이다. 그 때부터 ‘암호화에 대한 백도어를 원하는 정부’에 대한 기사가 끊이지 않고 올라왔다. 호주에서는 종단간 암호화를 통해 보호되는 데이터에 대한 정부의 접근을 허용하는 법안이 통과되기도 했다. 러시아 당국도 종단간 암호화 메신저 앱인 텔레그램(Telegram)을 퇴출시켰다. 

APT
올해 유명 APT 공격 단체의 활동은 비교적 뜸한 편이었다. 그렇다고 이러한 단체들이 성과를 올리지 못했다는 건 아니다. 특히 소파시(Sofacy), 털라(Turla), 코지베어(CozyBear)와 같은 그룹들은 눈에 띄는 활동력을 보였다. 보안 업체 카스퍼스키는 “그 중에서도 소파시가 가장 활동적이었다”고 말한다. 새로운 APT 그룹의 등장도 있었다. 특히 레이지미어캣(LazyMeerkats), 프루티아머(FruityArmor), 다크히드러스(DarkHydrus), 도메스틱키튼즈(DomesticKittens) 등 중동 출신의 그룹들이 성공적인 데뷔를 이어갔다.

파괴형 멀웨어
2월 한국 평창에서 동계올림픽이 열리자마자 멀웨어 공격에 대한 보도가 잇따랐다. 개막식과 관련된 인프라에서 파괴형 멀웨어가 발견됐기 때문이다. 이 멀웨어는 나중에 올림픽 디스트로이어(Olympic Destroyer)라는 이름으로 통용되기 시작한다. 올림픽 당시 조직위원회가 사용하던 모니터 일부를 마비시키고, 와이파이 네트워크를 불능상태로 만들었다. 또한 올림픽 관람 티켓 판매 기능에도 지장을 줬다. 공격자들은 자신들의 흔적을 감추기 위해 유명한 공격 단체 여럿의 특징을 흉내 내기도 했다. 그래서 전문가들은 ‘추적이 지옥 같다’는 의미에서 공격자를 하데스(Hades)라고 부르기 시작했다. 

그러다가 애틀랜타 시와 뉴어크 시를 마비시킨 파괴형 멀웨어도 있었다. 이 멀웨어는 삼삼(SamSam) 랜섬웨어의 형태로 퍼지고 있었다. 12월에는 중동의 석유 산업을 괴롭히던 파괴형 멀웨어 샤문(Shamoon)의 세 번째 버전이 등장해 이탈리아와 중동의 석유 관련 조직들을 공격했다. 

GDPR의 등장
5월이 끝나갈 무렵 유럽연합은 드디어 GDPR이라는 개인정보보호법을 공식 출범시켰다. 그 동안 소문으로만 무성했던 것이 실제 법으로서 적용되기 시작한 것이다. GDPR은 현재까지 존재해왔던 개인정보 보호 관련 법들 중 가장 광범위하고 포괄적인 것으로 알려져 있다. 소비자 보호를 위한 사이버 보안 기술 및 정책과, 기술 기업들의 역할은 물론 대서양 연안 국가들(미국과 유럽국가들)의 미래까지도 담아내고 있다. 하지만 5월의 정식 도입 이후 이렇다 할 소식이 없는 것도 사실이다. 특히 그 무시무시하다던 GDPR 벌금도 아직까지 무시무시하게 구형되지는 않았다.

라우터 공격
데이터를 노리는 공격자들의 수가 발전하고 증가하면서, 또 봇 인프라에 대한 수요가 범죄자들 사이에서 높아지면서, 라우터가 훔치기에 가장 매력적인 장비로 떠올랐다. 5월에는 시스코 탈로스 팀이 러시아어를 구사하며 블랙에너지(BlackEnergey)와 관련이 있는 것으로 보이는 한 공격 단체가 VPN필터라는 멀웨어를 사용해 50만 대의 라우터를 감염시켰다고 발표했다. 

8월에는 센시스(Censys.io)라는 보안 업체에서 마이크로틱(MikroTik)에서 만든 라우터들을 집중적으로 노리는 대규모 암호화폐 채굴 캠페인을 적발해냈다. 이 때 감염된 라우터의 수는 17만이었다. 다시 이야기를 3월로 돌리자면, 슬링샷(Slingshot)이라는 사이버 위협 단체가 라우터들을 장악해 네트워크 내 다른 시스템들을 공격하기 시작했다는 보고가 나오기도 했다. 11월에는 이터널블루(EternalBlue)를 사용한 캠페인을 통해 4만 5천 대의 라우터가 당하기도 했다고 보안 업체 아카마이(Akamai)가 발표했다.