• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[4월 4주 뉴스쌈] 신종 피싱, 이메일 5억 건 발송 2018.04.29

우버 버그바운티 정책, 가짜 계정 개설자 유죄 인정,
인터넷 협회 이니셔티브, 초대형 신종 피싱 공격

[보안뉴스 오다인 기자] 우버는 버그바운티 정책을 업데이트 했습니다. 미국의 한 남성은 약 11억 원에 달하는 돈을 부정한 방법으로 벌어들였지만 결국 덜미를 잡혔습니다. 인터넷 협회는 MANRS를 IXP까지 확장키로 했고, 새로 포착된 피싱 공격은 1분기에만 5억 건이 넘는 이메일을 전 세계에 뿌렸습니다. 4월 마지막 주 뉴스쌈, 시작합니다.

[이미지=iclickart]


우버, 버그바운티 정책 업데이트
우버가 버그바운티 정책을 구체적으로 밝혔습니다. 우버는 2016년 정보유출 사건을 거치며 자사 취약점 공개 정책에 큰 문제가 있다는 사실을 드러냈는데요. 더군다나 지난해 가을 해커 두 명에게 10만 달러(약 1억 730만 원)를 주면서 훔친 운전자 및 승객 정보를 파기해달라고 요청한 사실이 밝혀져 더 큰 파장이 일기도 했습니다. 해킹 사실을 1년 동안 밝히지 않은 것 역시 큰 문제였고요.

우버의 새 버그바운티 정책 중 일부는 다음과 같습니다. “우버를 갈취하지 말라. 불법적으로 또는 나쁜 믿음에서 취약점을 이용하거나 민감·기밀정보에 접근해서는 안 된다. 돈을 요구하거나 몸값을 요구하는 등 우버를 갈취하려고 하는 행위들을 말한다. 다시 말해, 취약점을 발견했다면 조건을 달지 말고 우버에 직접 보고해라.”

가짜 온라인 계정 8,000개 만든 남성, 유죄 인정
미국 네바다 주 리노에 사는 남성이 훔친 신원으로 8,000개가 넘는 가짜 온라인 계정을 만든 데 대해 27일(현지시간) 유죄를 인정했다고 미국 법무부가 밝혔습니다. 이 남성의 이름은 케네스 길버트 깁슨(Kenneth Gilbert Gibson)으로, 이렇게 만든 계정들을 통해 350만 달러(약 37억 5,550만 원)치 사기를 계획하고 있었다고 합니다.

깁슨은 2012년부터 2017년까지 리노의 한 데이터베이스에서 다수의 신원정보를 빼돌렸습니다. 그런 다음 이 신원정보로 온라인 계정을 비롯해 신용계좌, 은행계좌, 선불카드 등을 만들었습니다. 깁슨의 계획은 대략 500개 은행계좌 및 선불카드를 통해 350만 달러가량을 그 자신의 계좌로 송금하는 것이었습니다.

깁슨은 2013년 납세 기간 때 연방 소득세 신고를 허위로 작성하기도 했는데요. 그때까지 사기로 벌어들인 수익이 총 104만 9,070달러(약 11억 2,565만 원)에 달했습니다. 그는 △텔레뱅킹을 이용한 금융사기(wire fraud) 한 건 △우편사기(mail fraud) 한 건 △허위 세금 신고 한 건 △가중 신원 도용 죄 한 건 등에 대해 유죄를 인정했습니다. 형 선고는 2018년 7월 30일로 예정돼 있습니다.

인터넷 협회, MANRS 확장 이니셔티브 발표
국제 비영리 기구 인터넷 협회(Internet Society)에서 새로운 이니셔티브가 나왔습니다. 이른바 ‘라우팅 보안에 관한 상호 합의된 규범(MANRS: Mutually Agreeed Norms for Routing Security)’을 인터넷 서비스 제공자(ISP)에서 인터넷 익스체인지 포인트(IXP)까지 확장하기로 한 조치입니다. MANRS의 광범위한 적용은 최근 논란이 된 마이이더월렛(MyEtherWallet) 사고 등의 재발을 막는 데 유용할 것으로 기대됩니다.

인터넷 협회에 따르면, 참여하는 IXP는 아래 IXP 프로그램 액션 5가지 중 최소 3가지를 실행해야만 합니다.
1) 부정확한 라우팅 정보의 전파를 방지할 것
2) IXP 멤버십에 MANRS를 장려할 것
3) 피어링 플랫폼(peering platform)을 보호할 것
4) 네트워크 오퍼레이터 간 운영 통신과 협조를 장려할 것
5) 멤버들에게 모니터링 및 디버깅 툴을 제공할 것

액션 1)과 2)는 모든 참여자에게 요구됩니다.

신종 피싱 공격, 전 세계 5억 5,000만 개 이메일 이용자 겨냥
신종 피싱 공격이 포착됐습니다. 이 공격은 2018년 1분기 동안에만 무려 5억 5,000만 개가 넘는 이메일을 보낸 것으로 나타났습니다. 보안업체 베이드 시큐어(Vade Secure)가 보고했습니다. 지난 1월 최초로 포착됐으며, 미국·영국·프랑스·독일·네덜란드 이용자들을 주로 공격했습니다.

피싱 이메일은 자국의 유명 브랜드에서 발송한 것처럼 위장됐습니다. 공격자들은 온라인 퀴즈 또는 콘테스트에 참여하면 쿠폰이나 할인을 해주겠다고 유인해 피해자들의 은행정보를 탈취하려고 시도했습니다.

전문가들은 이 공격의 배후에 심각한 범죄자 조직이 있다고 추정하고 있습니다. 보통 피싱 공격자들은 불법 복제한 웹사이트를 활용하는데요. 이들 범죄자는 이런 웹사이트도 사용하지 않습니다. 이들은 합법적인 IP 주소·서버·도메인명을 사용하고 있는 것으로 추정되는데, 이 같은 인프라를 유지하는 데만 최소 수만 달러가 들어갈 것이라고 전문가들은 지적했습니다. 또한 이들 범죄자는 URL을 줄이는 툴을 사용해 궁극적인 목적지를 감추고 있습니다.

베이드 시큐어 연구진은 이처럼 정교한 기술이 현존하는 이메일 보안 툴을 우회할 수 있는 위협이 된다고 경고했습니다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>