미사일 격추 실험 성공한 미국...이지스 함에 탑재시킬 예정
이카루스 랜섬웨어 활동 재개...요즘은 오피스365 활용한 공격이 유행

[보안뉴스 문가용 기자] 온라이너라는 스팸봇을 침투했더니 무려 유럽인구의 숫자와 같은 이메일 주소 등이 발견되었습니다. 영국의 대형 가전 제품 체인스토어에서는 2백만 건의 고객정보가 유출됐습니다. 이카루스 랜섬웨어는 활동을 다시 시작했다고 하고, 오피스365를 통한 믿음직스러운 피싱 메일 공격이 유행 중이라고 합니다. 그런 와중에 러시아는 과거 소비에트 국가들을 대상으로 한 스파이 공격을 펼치고 있는 것이 드러나기도 했습니다.


세계 소식
얼마 전 시리아와 레바논의 국경에 있던 ISIS 무장 세력들이 시리아 군과 레바논 군의 포위 공격을 받아 강제로 퇴거되었다는 소식이 있었습니다. 생존한 ISIS 멤버들과 그 가족들이 시리아 군의 호위까지 받으며 해당 지역을 포기한 건데요, 미국은 이 결과가 썩 마음에 들지 않았던 모양입니다. 시리아와 이라크의 국경지대까지 가는 이들의 행렬에 공중폭격을 가해 길을 막은 것입니다. 중간에 다리까지 폭파해 이 행렬이 더 이상 진행되지 않도록 하기도 했습니다. 공중 폭격이 끝나고서, ISIS 멤버들이 도착지에 도달했는지는 아직 보도되지 않고 있습니다.

북한이 자꾸만 미사일 발사 도발을 하자, 미국도 미사일 방어 실험을 진행했습니다. 그리고 중거리 탄도 미사일을 중간에 격추시키는 데 성공했습니다. 원조 미사일 왕의 실력을 보여준 것인데요, 미군 측에서는 “해당 실험은 오래전에 기획된 것”이라고 하며 “이번 북한의 도발과는 아무런 연관이 없는 실험”이라고 못을 박았습니다. 이 미사일 방어 시스템은 이지스 BMD 전함들에 탑재될 예정이라고 합니다.

이렇게 미국이 중동과 자국 내에서 여러 폭발을 일으키고 있지만 이란은 꿈쩍도 하지 않습니다. 오히려 미국의 핵 제재 시도에 더 강경하게 맞대응을 하고 있습니다. 국제 조사관들이 핵 개발 현황을 알아보려고 입국을 한다고 하더라도 군대 시설로는 절대 들여보내지 않겠다고 발표를 한 것인데요, 이는 2015년의 협약 내용과는 상반된 것입니다. 이제 미국의 의심과 압박이 더 커질 전망입니다.

트럼프 대통령이 대선 후보 시절 변호사를 통해 모스코바에 트럼프 타워를 건축하기 위해 코헨(Cohen) 변호사를 통해 푸틴 대통령의 측근에 연락을 취했다는 소식이 미국 사회에 커다란 충격을 준 것이 불과 얼마 전입니다. 이 사실을 러시아 정부 측도 인정했습니다. 하지만 러시아 정부는 “해당 이메일 주소는 온라인에 공개되어 있고, 그래서 하루에도 수천 통의 이메일이 여기저기서 들어온다”며 “트럼프 후보자가 보낸 당시 메일도 그 중 하나였을 뿐이고, 우리는 아무런 답장을 하지 않았다”고 말했습니다. 코헨 역시 지난 월요일 “그냥 한 번 던져본 메일일뿐”이라고 해명한 바 있습니다.

물난리가 세계 곳곳에서 일어나고 있습니다. 미국은 하비(Harvey) 때문에 엄청난 수의 수재민이 발생했는데요, 그 비슷한 일이 지금 인도, 방글라데시, 네팔에서 일어나고 있습니다. 홍수 발생 이틀만인데 벌써 사망자 수가 1000명에 달했습니다. 뭄바이 서부 지역은 이미 사람 가슴 높이까지 물이 차오른 상태인데요, 상하수도 설비가 시원치 않아 거의 해마다 물난리를 겪는 지역이지만, 그걸 감안하더라도 이번 홍수는 매우 심각하고 이례적인 일이라고 합니다.

보안 소식
스패밍에 사용되던 봇(스팸봇)을 뚫어내는 데 보안 전문가 트로이 헌트(Troy Hunt)가 성공해 7억 1천 1백만 건의 기록을 발견했습니다. 여기서 기록이란 이메일 주소, 이메일과 비밀번호를 한 쌍으로 하는 조합, SMTP 크리덴셜 및 환경설정 파일을 아우른 단위입니다. 7억 건이라는 것에 대해 트로이 헌트는 “유럽의 모든 남성, 여성, 아이들을 합한 수”라고 표현했습니다. 이 봇의 이름은 온라이너(Onliner)이고, 2016년 Ursnif라는 뱅킹 멀웨어를 배포한 것으로 유명해졌습니다.

영국의 대형 중고 가전제품 유통사인 세스(CeX)에서 2백만 건의 고객 정보 유출 사고가 터졌습니다. 영국 내에서만 350개의 점포가 있을 정도로 큰 기업인데, 공격자들은 세스가 운영하는 위바이(WeBuy)라는 웹사이트로부터 파고들어가 데이터베이스에까지 침투한 것으로 보입니다. 세스 측은 “보안 침해 사고를 최근 겪었습니다”라는 문구 외에는 아무런 정보도 공개하고 있지 않고 있습니다만, 이름, 주소, 이메일 주소, 전화번호 등이 유출됐을 수도 있다고 경고했습니다. 이참에 브랜드 이름이나 좀 바꿨으면.

여러 대사관과 외교관들을 감시하고 정찰하는 데 사용되었던 게이저(Gazer)라는 백도어가 털라(Turla)라는 단체와 연관성이 있다는 사실이 드러났습니다. 털라는 러시아의 APT 그룹으로, 주로 옛 소비에트 연방에 속했던 유럽 국가들을 공격해왔습니다. 게이저를 발견한 보안 업체 ESET은 “적어도 1년은 넘은 멀웨어”라며 주로 스피어 피싱 공격을 통해 퍼지고 있는 것으로 보고 있습니다.

록키 랜섬웨어의 변종인 이카루스(IKARUSdilapidated)가 활동을 다시 시작했습니다. 처음에 발견된 것은 8월 9일경인데요, 이때 이카루스는 봇넷을 타고 3일 동안 대규모로 퍼져갔습니다. 다행히 제목이나 내용도 없는, 누가 봐도 수상한 메일의 형태로 퍼졌기 때문에 감염률이 높지는 않았다고 합니다. 그리고 이번에 두 번째 공격이 시작된 건데요, 이번에는 훨씬 더 진짜 같아 보이는 이메일이 사용되고 있다고 합니다. 사무실에서 흔히 사용되고 있는 프린터나 스캔으로부터 발송된 것처럼 보이는 이메일 제목을 가지고 있다고 하네요.

최근 1억 명이 넘는 사용자를 보유한 오피스365를 활용한 공격이 유행 중에 있다고 합니다. 마치 내부 직원들끼리 보낸 것처럼 보이는 문서가 정확한 이메일 주소로부터 배달되기 때문에 제목이 이상하다거나, 메일 주소가 약간 틀리다거나, 수상한 첨부파일이 붙는 등 피싱 메일의 흔한 현상이 나타나지 않는다고 합니다. 즉 오피스365를 통해 정확한 회사동료의 이메일 주소가 사용되고, 믿을만한 문서가 첨부된다는 건데요, 이런 공격은 오피스365의 로그인 크리덴셜을 훔치거나 구매하는 것으로부터 시작된다고 합니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>