Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
글로벌 트렌드 / 보안

"뜨거웠던 7월" 주요 보안 이슈 살펴보기

Joan Goodchild | CSO 2022.08.02
여름 휴가철에도 해커는 쉬지 않는다. 보안 연구진 또한 해커를 추적하고 (해커가) 악용할 수 있는 경로를 파헤치느라 바쁘다. 맬웨어가 포함된 구글 플레이 앱부터 러시아의 클라우드 스토리지 서비스 하이재킹, 옥타 플랫폼의 결함 아닌 결함까지  지난 7월 한 달 동안 흥미로웠던 몇 가지 보안 연구 결과를 소개한다. 
 
ⓒ Getty Images Bank


가짜 안드로이드 앱이 여전히 판치는 구글 플레이

신뢰할 수 있는 앱 출처라고 하면 당연히 안전한 모바일 애플리케이션을 다운로드 받는다고 생각한다. 하지만 안타깝게도 항상 그런 건 아니다. 

새롭게 불거진 문제는 아니지만 지스케일러 쓰레트랩(Zscaler ThreatLabz)프라데오(Pradeo)의 최근 보고서는 구글의 앱 스토어 ‘구글 플레이(Google Play)’에서 맬웨어가 포함된 안드로이드 앱이 계속 발견되고 있다고 밝혔다. 보고서에 따르면 조커(Joker), 페이스스틸러(Facestealer), 코퍼(Coper) 등의 맬웨어 제품군이 여러 앱 인스턴스에서 포착됐다. 

지스케일러의 연구원 바이럴 간디와 히만슈 샤르마는 보고서에서 “조커는 안드로이드 기기를 표적으로 하는 맬웨어 중 하나다. 이미 널리 알려진 악성코드이긴 하지만 이는 코드, 실행 방법, 페이로드 검색 기술을 업데이트하는 등 맬웨어의 시그니처를 정기적으로 수정하면서 구글의 앱 스토어에 계속 침투하고 있다”라고 설명했다. 

연구진은 즉시 이를 구글에 알렸고, 구글은 이 악성 앱을 제거하기 위한 조치를 취했다. 한편 본인을 시스템 관리자, 사이버 보안 애널리스트, 침투 테스터 및 개발자라고 밝힌 아론 락스(@MAST3R0x1A4)는 트위터링크드인에서 “구글처럼 규모가 크고 #플레이스토어를 운영하는 기업이 어떻게 이런 광범위한 맬웨어 배포를 계속 허용할 수 있는지 정말 이해할 수 없다”라고 지적했다. 


맬웨어의 통로 역할을 한 클라우드 스토리지 서비스

7월은 구글의 제품 및 보안에 썩 좋지 않은 달이었다. 또 다른 연구진은 러시아가 지원하는 유명 해커 그룹이 최근의 APT(Advance Persistent Threat) 공격에서 드롭박스와 구글 드라이브를 활용하고 있다고 밝혔다. 

팔로 알토 네트웍스(Palo Alto Networks)의 유닛 42(Unit 42)는 “여러 이름(예: Cloaked Ursa, APT29, Nobelium, Cozy Bear)으로 알려진 이 해커 그룹이 탐지를 피하기 위해 인기 있는 클라우드 스토리지 서비스를 신속하게 통합하는 정교함과 기술을 보여줬다”라고 전했다. 

이어 연구진은 “해당 그룹이 신뢰할 수 있고 합법적인 클라우드 서비스를 사용하는 게 완전히 새로운 일은 아니다. 가장 최근의 두 캠페인에서 처음으로 구글 드라이브 클라우드 스토리지 서비스를 활용했다는 사실을 발견했다. 이 클라우드 스토리지 서비스는 어디서나 사용할 수 있으며 전 세계 수백만 명의 고객들이 신뢰하고 있다는 점에서 APT 악성코드 딜리버리 프로세스에 포함되는 게 상당히 우려된다”라고 덧붙였다. 

이 해킹 그룹은 지난 몇 년 동안 여러 대규모 공격 캠페인에 연루돼 왔다. 이를테면 2016년 민주당 전국위원회(DNC) 이메일 해킹 사건, 2020년 솔라윈즈 해킹 사건의 주범으로 지목되기도 했다. 

트위터에서 리차드 프라이버그(@richfreiberg)는 스토리지 도구의 보급과 인기에 따라 해커가 이를 쉽게 악용할 수 있게 됐다고 언급했다. 그는 “구글 드라이브 및 드롭박스를 사용하면 신뢰할 수 있는 애플리케이션을 저렴한 비용으로 활용할 수 있다. 구글 계정을 쉽게 그리고 무료로 얻을 수 있으며, 이를 사용하여 정보를 수집하는 한편 맬웨어까지 호스팅할 수 있다”라고 말했다. 


옥타의 결함 아닌 결함

클라우드 ID 및 액세스 보안 회사 오쏘마이즈(Authomize)의 최근 보고서는 흔하게 볼 수 있는 일반적인 취약점 공개 사례의 흥미로운 반전이다. 오쏘마이즈는 옥타(Okta)의 플랫폼에서 ‘임팩트가 큰 보안 위험’을 여럿 발견했다고 발표했다. 이러한 보안 위험은 고객들을 비밀번호 도용 및 사칭에 노출시킬 가능성이 있다고 회사 측은 전했다. 

오쏘마이즈의 공동 설립자 겸 CTO 갤 디스킨(@gal_diskin)은 트위터에서 “새로운 보안 연구: #PassBleed: 일반 텍스트로 @okta 마스터 암호를 얻는 방법 그리고 몇 가지 다른 중요한 발견. 왜 관심을 가져야 하는가? IdP 손상은 보안 게임 오버이기 때문”이라고 말했다. 회사 블로그에 의하면 이 문제의 위험 요소는 다음과 같다. 
 
  1. SCIM을 통한 일반 텍스트 암호 추출
  2. 암호화되지 않은 채널(HTTP)을 통한 비밀번호 및 민감한 데이터 공유 
  3. 하위 관리자가 허브 또는 다른 스포크 다운스트림의 계정을 손상시킬 수 있는 허브 및 스포크 구성
  4. 변경 가능한 ID 로그 스푸핑

하지만 옥타의 제품 관리 부문 SVP 아르납 보스는 해당 연구 결과를 검토한 결과, 이를 버그로 간주하지 않는다고 밝혔다. 그는 “철저한 조사 후 내부 제품 및 보안팀은 해당 문제가 취약점이 아니라는 사실을 확인했다”라고 말했다. 아울러 옥타를 안전하게 사용할 수 있도록 도구 구성과 관련된 다양한 권장사항을 제공하기도 했다. 

이에 오쏘마이즈는 “(해당 문제가) 결함은 아니지만 보안상 위험이며, 아마도 옥타의 운영 위험 평가의 일부일 수 있다”라면서, “옥타의 답변 그리고 시장에 출시된 모든 IAM 솔루션을 보면 명확하다. 위험을 증가시키더라도 고객들이 더 많은 일을 할 수 있는 제품을 만들고자 할 것”이라고 전했다.
ciokr@idg.co.kr
 Tags 맬웨어 악성코드 취약점 옥타 구글 플레이 스토어 클라우드 스토리지
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.