클라우드 SIEM 전문기업 로그프레소(대표 양봉열)가 ‘2024년 6월 CTI(Cyber Threat Intelligence) 월간 리포트’를 발행했다고 1일 밝혔다.
로그프레소는 지난 달 수집한 데이터를 기반으로 6월 CTI 리포트를 작성했으며, 오픈소스 공격 툴을 활용하며 진화하고 있는 APT 공격 사례 및 5월에 발생한 다양한 사이버 보안 이슈에 대해 다루었다. 이번 리포트에서 한국을 겨냥한 제노RAT(XenoRAT) 공격 사례와 인도 공군을 타겟으로 이루어졌던 고스틸러(GoStealer) 공격 사례를 심층 분석해 공개했다.
장상근 로그프레소 연구소장은 “최근 APT 공격은 목적에 맞도록 모듈화하고, 오픈소스를 활용해 빠르게 변화하고 있다”며 “시스템과 DB권한 탈취에 더해 브라우저에 저장된 크리덴셜 유출을 주 목적으로 하며, 공격 대상의 정보를 사전에 충분히 확보한 후 실제 공격을 수행해 효율성을 강화하고 있다”라고 전했다.
APT(Advanced Persistent Threat)는 대상 조직의 보안을 저해하거나 중요 정보를 유출하는 것을 목적으로 고도로 정교하고 지속적으로 이루어지는 공격을 의미한다. 과거에는 특정 공격 목적을 위해 코니(Konni), 플러그X(PlugX) 등의 악성코드 빌더를 이용해 관리자 권한을 확보하는 것이 주를 이루었다.
2010년대 게임사를 공격하며 상업적 이익을 추구하던 APT 공격 조직은 현재 남아시아의 특정 국가로 대상을 확대하고 있다. 이들은 공격 대상의 브라우저 접근 정보와 인증 정보인 크리덴셜을 추출하기 위해 다수를 대상으로 한 워터링홀 공격 대신 특정 사용자를 식별해 APT 공격을 감행했다.
이들 조직의 공격 형태는 자체 제작한 악성코드를 주로 사용하던 것에 더해 오픈소스 공격 툴을 함께 활용하는 것으로 변화시켰다. 이러한 모습은 한국에서도 다수 확인되고 있어 CTI를 근간으로 공격 대응과 방어가 필요한 실정이다.
오픈소스 툴을 이용한 공격은 앞으로 일반적인 공격 방식으로 자리잡을 가능성이 높다. 인도 공군을 대상으로 이루어졌던 공격 사례를 살펴보면, 깃허브에 공개된 고스틸러(GoStealer) 코드를 기반으로 악성코드를 제작해 정보를 수집하고, 정상적인 서비스를 통해 획득한 정보를 유출한 것을 확인할 수 있다.
공격자는 인도 공군에서 관심 보일만한 내용을 첨부파일로 보냈고, 이 첨부파일을 실행하도록 유도했다. PDF파일로 위장한 악성코드를 실행하게 되면 브라우저에 내장된 쿠키와 로그인 자격 증명 정보가 추출되며, 해당 데이터가 정상적인 슬랙(Slack) 서비스 채널을 통해 유출된 것을 볼 수 있다.
로그프레소는 증가하고 있는 APT 공격에 효과적으로 대응하기 위해 CTI 서비스를 즉각적인 탐지 체계를 구축하고, 최근 생성된 신규 도메인에 대한 탐지 및 차단 규정을 마련할 것을 권고했다. 더불어 메일에 첨부된 압축 파일에 대한 관리와 검증 체계를 갖춰야 한다고 덧붙였다.
한편 로그프레소는 지난달 CTI 리포트에서 대만의 봇넷 감염에 따른 개인정보 유출 실태를 분석한 데 6월호에서는 인도의 크리덴셜 유출실태를 다루었다.
인도 사용자의 크리덴셜 정보가 유출된 사례를 약 19억 건을 수집하고, 인도 국민들이 가장 많이 사용하는 서비스 100개를 선정해 악성 봇 감염 실태를 분석했다. 수집한 정보 중 74%가 여권이나 세금 등 공공서비스 접속시 이용하는 크리덴셜이었으며, 개인정보가 함께 노출됐을 가능성이 매우 높다.
이 외에도 로그프레소 6월 CTI 리포트는 △ 프랑스 체육부 장관의 소셜 미디어 계정 해킹 △ 가상사설망을 통한 사이버 공격 △ 해적판 소프트웨어로 유포되는 멀웨어 △ 성심당 온라인 쇼핑몰 해킹 △ 전자서명 서비스 위장 피싱 공격 등 다양한 내용을 포함하고 있다.
CTI는 사이버 공격 관련 정보를 수집하고 분석해 사이버 위협에 신속하고 정확하게 대응하고자 가공한 형태의 정보다. 가트너에서는 현존하거나 발생 가능한 위협에 대해 신속한 의사 결정을 하기 위한 각종 사이버 위협 정보, 메커니즘, 지표, 예상 결과에 따른 대응 전략 수립 등을 포괄하는 증거 기반의 지식이라고 정의한다.
로그프레소는 현재 누적 침해 지표(IoC) 4억 7백만 건 이상, PI(Privacy Intelligence) 1,723억 건 이상의 CTI 정보를 보유하고 있으며, 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적 중이다. 또한 수집한 정보를 자사 SIEM(Security Information and Event Management, 통합보안관제) 및 SOAR(Security Orchestration, Automation and Response, 보안운영자동화)과 동기화해 실시간으로 활용할 수 있도록 지원하고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★