오늘의 키워드 : 지하드의 은밀한 수송 통로, 페이스북, 여우, 인증서

테러 방지 심화되면서 지하드의 움직임 역시 긴밀해지고 은밀해져

페이스북 동영상에 걸린 멀웨어와 이제는 믿을 수 없는 진짜 인증서

[보안뉴스 문가용] 지하드가 ‘가족 배려 서비스’를 해주는 것으로 드러났습니다. 테러를 포기하지 말고 더 잘 하라는 뜻으로 분석됩니다. 이 때문에 커뮤니케이션이 늘 수밖에 없는데, 그래서 요즘은 인터넷 한 구석에 자신들만의 영역을 구축해 극히 조심해가며 정보를 나눈다고 합니다. 무슬림 극단주의자들이 암호화를 적극 사용해 테러 몇 번만 더 성공시킨다면 암호화 폐지를 외치는 정부들을 비난하기 힘들어질 게 뻔합니다. 프라이버시를 위해서라도 이들의 추가 테러행위가 없기를 바라야겠습니다.

페이스북에 야한 동영상이 돌아다니고 있는데요, 겉보기만 야할 뿐 아니라 속도 음흉합니다. 금융정보를 노리는 멀웨어가 들어있기 때문입니다. 그러니 포스팅에 걸린 야릇한 영상물 이따 집에 가서 봐야지 마음먹지 마시고, 아예 그냥 하루 정도는 페이스북에서 좀 떨어져 지내보시는 건 어떨까요. 또한 다른 한 편에서는 굉장히 약은 방법으로 감시망을 피하는 ‘여우’ 멀웨어가 등장했습니다. 역시 조심할 필요가 있어 보입니다. 

1. 테러와 보안

지하의 테러 네트워크, 유럽의 예비 지하드들에게 큰 도움(Wall Street Journal)

지하드 세력, 인터넷 사용 시 경계 강화(Security Week)

아메리칸 엑스프레스의 CIO도 정보 공유 법안 찬성 및 촉구(Wall Street Journal)

뉴욕경찰, 테러리즘과의 전쟁 위해 시민과의 관계 개선 나서(New York Times)

샤를리 테러 사건의 주범의 아내이자 이번 사건의 공모자로 수배 중인 Ms. Boumeddiene이라는 인물의 치밀하고 안전한 프랑스 탈출 경로가 드러났습니다. 12월 30일에 렌트한 자동차로 파리를 떠나 31일에 마드리드에 도착, 1월 2일까지 거기에 있다가 이스탄불로 가는 비행기를 탔고 3일에 도착, 4일에는 시리아와 터키의 국경 지대인 우르파로 날아갔습니다. 그리고 테러가 있던 1월 8일에 정확히 시리아로 넘어갔다고 합니다. 이 경로는 프랑스와 스페인 등의 여행관련 법망을 피하고 무슬림 규율은 지킬 수 있도록 꾸며져 있다고 하네요.

관계자들은 무슬림 극단주의 세력이 테러를 직접 실행할 인물의 가족이나 지인 혹은 공범의 도피를 도와 혹여나 있을 변심까지도 막기 위해 이런 식의 물밑 ‘운송 작전’ 루트를 여럿 가지고 있을 것이라고 추정하고 있습니다. 또한 테러에 가담한 인물을 하나라도 서방 국가의 수사망에 걸리지 않게 함으로써 또 다른 테러를 계획할 수 있다는 장점도 있다고 합니다.

이런 암흑의 루트들을 개척하고 동원한다는 건 커뮤니케이션의 소요가 늘어나는 거라고도 볼 수 있습니다. 그래서 수사 기관에서는 인터넷 등 네트워크의 정보들을 꼼꼼하게 수색하고 있지요. 이를 지하드 세력들도 알아채고 점점 인터넷을 사용하는 것에 있어서 조심스러운 태도를 취하고 있다고 합니다. 주로 강력한 암호화 소프트웨어를 총동원해 다크 웹(Dark Web)이라고 하는 비밀스러운 영역을 구축해 그 안에서 활동한다고 하네요. 또한 페이스북 등의 소셜 네트워크의 사용에도 무척 조심스러운 모습을 보이고 있답니다.

테러 이후 미국에서는 위협 정보를 공유하자는 법안이 마련되고 있고, 이에 따라 여러 논쟁이 불거지고 있는 실정입니다. 그런 와중에 아메리칸 엑스프레스(American Express)의 CIO가 이를 찬성하고 나섰습니다. 요즘 같이 서로 다 연결되어 있는 시대에는 한 기업에 대한 공격이 곧 나라 전체에 대한 공격으로 이어질 가능성이 다분하다는 게 요지였습니다. 미국 금융권은 같은 산업 종사 기업의 정보 공유 모임인 ISAC 체제가 잘 잡혀 있고 아메리칸 엑스프레스는 작년 한 해에만 이 ISAC을 통해 5천 건의 첩보를 받았다고 합니다. 즉, 이 CIO는 긍정적인 체험에 의한 전도사 역할을 하고 있는 것이죠.

그 와중에 뉴욕경찰은 거리 수색병력을 늘릴 예정이라고 합니다. 그런데 단순히 거리를 탐문하고 수색하는 게 아니라 시민들과의 대화를 늘려 실제 대중의 걱정과 염려가 무엇인지를 더 적극적으로 파악하는 것이 이 정책의 목적이라고 합니다. 하지만 동시에 경찰의 무기도 강화시켜 실제 테러 진압이 필요할 때 적절한 무력을 발휘할 수 있도록 할 예정이기도 합니다. 경찰이 얼마나 친절해질 수 있을지, 또 시민들은 그걸 얼마나 받아들일 수 있을지 지켜보고 싶어집니다.

2. 페이스북

플래시 업데이트로 가장한 페이스북 멀웨어로 11만명 사용자 감염(Threat Post)

친구가 페이스북으로 영상을 보낸다면? 1. 이상한 놈이거나 2. 멀웨어거나(The Register)

동영상과 태그 타고 번지는 멀웨어, 페이스북에서 10만명 공격(CSOOnline)

사용자가 제일 많은 소셜 네트워크라서 그런지 페이스북을 통해 멀웨어가 단 이틀 만에 11만명이라는 어마어마한 사용자를 감염시켰습니다. 동영상을 포스팅해놓고, 사용자가 그 영상을 재생시키면 잠깐 나오다가 멈춘 후 플래시 플레이어 업데이트가 필요하다는 메시지를 띄운다고 합니다. 그러나 그게 플래시 업데이트일리는 없지요. 감염된 후에는 키스트로크와 마우스 움직임을 임의대로 바꾼다고 합니다. 이 동영상 야한 거라고 하니, 며칠 보고 싶어도 참으셔야 하겠습니다. 아니, 그냥 며칠 페이스북 자체를 좀 참아보세요.

3. 여우 같은 멀웨어

폭시 멀웨어, 암호통화 노리는 재빠르고 약아빠진 멀웨어(Infosecurity Magazine)

영리한 기술력 자랑하는 새로운 멀웨어 ‘폭시’ 발견(Security Week)

여우 같은 멀웨어가 새롭게 발견되었습니다. 이름은 F0xy. 제일 처음 발견된 샘플은 1월 13일자이지만 지금까지도 계속해서 발전과 진화를 거듭해온 것으로 보입니다. 단계별로 침투를 하는데, 처음 침투하는 드로퍼는 바이러스토탈(VirusTotal)에 있는 모든 백신 엔진 중 단 5개만이 감지에 성공했다고 합니다. 일단 침투에 성공하면 MS의 BITS(Background Intelligent Transfer Service)를 악용하여 페이로드를 다운로드 하며, 사용되지 않고 있는 광역대를 찾아내서 클라이언트와 서버 사이에 있는 파일들을 전송합니다. 대부분 금융 관련 정보이며, 이 멀웨어 제작자 역시 금융사기를 제일 첫 목적으로 두고 있는 것으로 보입니다. 여우라고 불리는 이유는 1) 코드와 스트링을 최소화 해서 얼른 보기에 멀웨어 같지 않고 2) 요청을 러시아의 소셜 네트워크에 올림으로써 원래의 C&C 서버 주소를 감추고 있으며 3) 위에 말한 BITS를 활용해 감시에 소홀한 네트워크를 사용하기 때문입니다.

4. 멀웨어도 인증 필요?

카스퍼스키, 합법 인증서로 인증받는 멀웨어 증가 현상 포착(SC Magazine)

6천 여개의 디지털 인증서, 멀웨어 인증에 사용돼(Security Week)

6년 만에 합법적인 디지털 인증서로 멀웨어를 인증하는 예가 1500개에서 6000개로 늘었습니다. 이런 식의 공격은 스턱스넷, 다크호텔 등의 APT에서 흔히 발견되는 것으로 공격자들은 디지털 인증서를 훔치거나 실제로 구입하는 방식을 통해 인증서를 구했다고 합니다. 인증 기관이 인증서를 발행할 때 일일이 검사할 수 없다는 걸 노린 것이죠. 요즘 ‘안전’이 법으로 마련되고 강제되는 분위기인데, 인증 절차도 얼마 있지 않아 누군가 손 볼 듯 한 분위기입니다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>