Offcanvas

악성코드

뜨거웠던 7월··· 주요 ‘보안 이슈’ 살펴보기

2022.08.01 Joan Goodchild  |  CSO
맬웨어가 포함된 구글 플레이 앱부터 러시아의 클라우드 스토리지 서비스 하이재킹, 옥타 플랫폼의 결함 아닌 결함까지 여기서는 지난 7월 한 달 동안 흥미로웠던 몇 가지 보안 연구 결과를 소개한다. 

여름 휴가철에도 해커는 쉬지 않는다. 보안 연구진 또한 해커를 추적하고 (해커가) 악용할 수 있는 경로를 파헤치느라 바쁘다. 
 
ⓒGetty Images Bank

가짜 안드로이드 앱이 여전히 판치는 구글 플레이
신뢰할 수 있는 앱 출처라고 하면 당연히 안전한 모바일 애플리케이션을 다운로드 받는다고 생각한다. 하지만 안타깝게도 항상 그런 건 아니다. 

새롭게 불거진 문제는 아니지만 지스케일러 쓰레트랩(Zscaler ThreatLabz)프라데오(Pradeo)의 최근 보고서는 구글의 앱 스토어 ‘구글 플레이(Google Play)’에서 맬웨어가 포함된 안드로이드 앱이 계속 발견되고 있다고 밝혔다. 보고서에 따르면 조커(Joker), 페이스스틸러(Facestealer), 코퍼(Coper) 등의 맬웨어 제품군이 여러 앱 인스턴스에서 포착됐다. 

지스케일러의 연구원 바이럴 간디와 히만슈 샤르마는 보고서에서 “조커는 안드로이드 기기를 표적으로 하는 맬웨어 중 하나다. 이미 널리 알려진 악성코드이긴 하지만 이는 코드, 실행 방법, 페이로드 검색 기술을 업데이트하는 등 맬웨어의 시그니처를 정기적으로 수정하면서 구글의 앱 스토어에 계속 침투하고 있다”라고 설명했다. 

연구진은 즉시 이를 구글에 알렸고, 구글은 이 악성 앱을 제거하기 위한 조치를 취했다. 한편 본인을 시스템 관리자, 사이버 보안 애널리스트, 침투 테스터 및 개발자라고 밝힌 아론 락스(@MAST3R0x1A4)는 트위터링크드인에서 “구글처럼 규모가 크고 #플레이스토어를 운영하는 기업이 어떻게 이런 광범위한 맬웨어 배포를 계속 허용할 수 있는지 정말 이해할 수 없다”라고 지적했다. 

맬웨어의 통로 역할을 한 클라우드 스토리지 서비스
7월은 구글의 제품 및 보안에 썩 좋지 않은 달이었다. 또 다른 연구진은 러시아가 지원하는 유명 해커 그룹이 최근의 APT(Advance Persistent Threat) 공격에서 드롭박스와 구글 드라이브를 활용하고 있다고 밝혔다. 

팔로 알토 네트웍스(Palo Alto Networks)의 유닛 42(Unit 42)는 “여러 이름(예: Cloaked Ursa, APT29, Nobelium, Cozy Bear)으로 알려진 이 해커 그룹이 탐지를 피하기 위해 인기 있는 클라우드 스토리지 서비스를 신속하게 통합하는 정교함과 기술을 보여줬다”라고 전했다. 

이어 연구진은 “해당 그룹이 신뢰할 수 있고 합법적인 클라우드 서비스를 사용하는 게 완전히 새로운 일은 아니다. 가장 최근의 두 캠페인에서 처음으로 구글 드라이브 클라우드 스토리지 서비스를 활용했다는 사실을 발견했다. 이 클라우드 스토리지 서비스는 어디서나 사용할 수 있으며 전 세계 수백만 명의 고객들이 신뢰하고 있다는 점에서 APT 악성코드 딜리버리 프로세스에 포함되는 게 상당히 우려된다”라고 덧붙였다. 

이 해킹 그룹은 지난 몇 년 동안 여러 대규모 공격 캠페인에 연루돼 왔다. 이를테면 2016년 민주당 전국위원회(DNC) 이메일 해킹 사건, 2020년 솔라윈즈 해킹 사건의 주범으로 지목되기도 했다. 

트위터에서 리차드 프라이버그(@richfreiberg)는 스토리지 도구의 보급과 인기에 따라 해커가 이를 쉽게 악용할 수 있게 됐다고 언급했다. 그는 “구글 드라이브 및 드롭박스를 사용하면 신뢰할 수 있는 애플리케이션을 저렴한 비용으로 활용할 수 있다. 구글 계정을 쉽게 그리고 무료로 얻을 수 있으며, 이를 사용하여 정보를 수집하는 한편 맬웨어까지 호스팅할 수 있다”라고 말했다. 

옥타의 결함 아닌 결함
클라우드 ID 및 액세스 보안 회사 오쏘마이즈(Authomize)의 최근 보고서는 흔하게 볼 수 있는 일반적인 취약점 공개 사례의 흥미로운 반전이다. 오쏘마이즈는 옥타(Okta)의 플랫폼에서 ‘임팩트가 큰 보안 위험’을 여럿 발견했다고 발표했다. 이러한 보안 위험은 고객들을 비밀번호 도용 및 사칭에 노출시킬 가능성이 있다고 회사 측은 전했다. 

오쏘마이즈의 공동 설립자 겸 CTO 갤 디스킨(@gal_diskin)은 트위터에서 “새로운 보안 연구: #PassBleed: 일반 텍스트로 @okta 마스터 암호를 얻는 방법 그리고 몇 가지 다른 중요한 발견. 왜 관심을 가져야 하는가? IdP 손상은 보안 게임 오버이기 때문”이라고 말했다. 회사 블로그에 의하면 이 문제의 위험 요소는 다음과 같다. 

1. SCIM을 통한 일반 텍스트 암호 추출
2. 암호화되지 않은 채널(HTTP)을 통한 비밀번호 및 민감한 데이터 공유 
3. 하위 관리자가 허브 또는 다른 스포크 다운스트림의 계정을 손상시킬 수 있는 허브 및 스포크 구성
4. 변경 가능한 ID 로그 스푸핑


하지만 옥타의 제품 관리 부문 SVP 아르납 보스는 해당 연구 결과를 검토한 결과, 이를 버그로 간주하지 않는다고 밝혔다. 그는 “철저한 조사 후 내부 제품 및 보안팀은 해당 문제가 취약점이 아니라는 사실을 확인했다”라고 말했다. 아울러 옥타를 안전하게 사용할 수 있도록 도구 구성과 관련된 다양한 권장사항을 제공하기도 했다. 

이에 오쏘마이즈는 “(해당 문제가) 결함은 아니지만 보안상 위험이며, 아마도 옥타의 운영 위험 평가의 일부일 수 있다”라면서, “옥타의 답변 그리고 시장에 출시된 모든 IAM 솔루션을 보면 명확하다. 위험을 증가시키더라도 고객들이 더 많은 일을 할 수 있는 제품을 만들고자 할 것”이라고 전했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.