[파이낸셜뉴스]  중앙선거관리위원회 소속 직원의 컴퓨터가 악성코드에 감염, 선관위 관련 정보 등이 유출됐던 것으로 알려졌다. 지난해 10월 8일, 직원 PC 감염..인지 못해 2일 KBS '뉴스9' 보도에 따르면 해당 직원의 컴퓨터가 공격을 받은 건 지난해 10월 8일 무렵이다. 업무용 이메일과 휴대전화 번호는 물론 선관위 내부망 일부 주소, 이곳에 접속할 수 있는 정보 등이 유출된 것. 하지만 해당 직원도 선관위도 이 같은 사실을 모르고 있었다. 선관위는 KBS 측에 "직원의 PC가 악성코드에 감염됐다가 지난해 10월 9일 낮 12시쯤 백신이 삭제한 걸로 파악됐다"고 밝혔다. 악성코드가 삭제됐더라도 추가적인 보안 조치가 필요하다는 게 전문가들의 조언. 선관위는 보안 소프트웨어가 악성코드를 탐지하지 못한 이유를 찾고 있다고 밝혔다. 해커 공격받은 공공기관 PC 3천대 넘어 공공기관을 상대로 한 해킹 공격은 이번이 처음이 아니다. KBS 측이 다크웹 분석 업체에 의뢰한 결과 최근 3년 동안 해커의 공격을 받은 공공기관 PC는 3000대 넘는 것으로 알려졌다. 유출된 기관은 교육기관이 가장 많았다. 서울시 교육청 390여대, 경상남도 교육청 260여대, 인천시 교육청 180여대 순이었다. 심지어 서울시청과 경찰청, 법원, 검찰 PC까지 확인됐다. 특히 공공기관 내부망 주소까지 노출, 해커들이 내부망까지 접근할 수 있는 PC도 120대나 됐다. 이를 방지하기 위해서는 이메일 계정과 비밀번호를 주기적으로 바꾸고, 출처가 불분명한 파일 등을 PC에 설치할 때 특별히 주의해야 한다. gaa1003@fnnews.com 안가을 기자

안랩이 최근 불법 온라인 도박 정보를 위장해 악성코드를 유포하는 사례를 발견하고 사용자 주의를 당부한다고 7일 밝혔다. 공격자는 먼저 ‘percent.xlsm'이라는 이름의 바로가기 파일(.lnk)을 유포했다. 유포에는 불법 온라인 도박 확률 분석 내용과 함께 불법 도박 사이트를 홍보하는 이메일 등을 이용했을 것으로 추정된다. 사용자가 무심코 해당 파일을 실행하면 불법 도박 배팅 방법이 적힌 엑셀 파일의 본문이 나타나며 동시에 악성코드가 설치된다. 악성코드에 감염되면 공격자는 감염 PC에서 키로깅 및 사용자 정보 탈취를 시도할 수 있다. 또한 공격자 명령에 따라 추가 악성코드 다운로드 등 다양한 악성 행위를 수행할 수 있다. 현재 안랩 V3는 해당 악성코드를 진단 및 차단하고 있다. 악성코드로 인한 피해 예방을 위해서는 △출처가 불분명한 파일 다운로드/실행 금지 △오피스 소프트웨어(SW), 운영체제(OS) 및 인터넷 브라우저(엣지, 크롬, 파이어폭스 등) 프로그램 최신 보안패치 적용 △백신 최신버전 유지 및 실시간 감시 기능 실행 등 기본 보안수칙을 지켜야 한다. 안랩 분석팀 김예은 주임연구원은 “공격자는 도박, 음란물 등 사용자가 호기심을 가질만한 소재를 공격에 적극적으로 활용하고 있다“며 “특히 휴식을 즐길 수 있는 연휴를 앞두고 유사한 방식이 증가할 것으로 예상되기 때문에 출처를 알 수 없는 파일은 다운로드하거나 실행하지 않는 등 기본 보안수칙을 지켜야 한다”고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스] 올해 초 법원 전산망이 악성코드에 감염됐던 사실이 뒤늦게 드러났다. 1일 법조계에 따르면 대법원 법원행정처는 전날 입장문을 내고 "올해 초 보안일일점검 중 악성코드가 감염된 것을 탐지했고 악성코드 탐지 대응 분석 과정에서 특정 인터넷 가상화 PC에서 데이터 흐름이 있었음을 확인했다"고 밝혔다. 법원 내 PC는 기본적으로 내부망만 접속할 수 있다. 다만 일부 가상화 PC는 별도 절차를 거치면 외부망 접근이 가능하다. 법원행정처는 "인터넷 가상화는 내부시스템과 분리된 인터넷 사용을 위한 시스템으로 인터넷을 사용하기 때문에 외부 사이트와 다량의 통신이 있을 수 있다"며 "가상화 PC에 외산 클라우드로 연결되는 통신 흐름을 확인했지만 외부 사이트와 다량의 통신을 하는 인터넷 특성상 데이터의 세부사항 특정이 불가하며 소송서류 등 유출 여부를 확인할 수 없다"고 설명했다. 아울러 "악성코드가 탐지된 장비는 자료가 임시로 저장된 후 삭제되는 서버"라고 밝혔다. 일각에서 북한 해킹 그룹으로 알려진 '라자루스'의 해킹 공격으로 소송서류와 재판기록 등 전자정보가 유출됐다는 의혹이 제기되기도 했지만, 법원행정처는 "라자루스로 단정할 수 없다"고 했다. jisseo@fnnews.com 서민지 기자

[파이낸셜뉴스] 올해 초 사법부 전산망이 악성코드에 감염됐던 것으로 뒤늦게 확인됐다. 대법원 법원행정처는 법원에서 사용하는 PC가 악성코드에 감염된 것을 올해 초 확인했다고 30일 밝혔다. 법원행정처는 "올해 초 보안일일점검 중 악성코드가 감염된 것을 탐지했고 악성코드 탐지 대응 분석 과정에서 특정 인터넷 가상화 PC에서 데이터 흐름이 있었음을 확인했다"고 했다. 법원 내 PC는 내부망만 접속할 수 있고 일부 가상화 PC만 예외적으로 별도 절차를 거쳐 통상적으로 사용하는 외부망에 접근할 수 있다. 인터넷 가상화는 내부 시스템과 분리된 인터넷 사용을 위한 시스템으로, 외부 사이트와 다량의 통신이 있을 수 있다고 법원행정처는 전했다. 외산 클라우드로 연결되는 통신 흐름을 확인했으나 데이터의 세부 사항 특정이 불가해 소송서류 등 유출 여부를 확인할 수는 없다고 덧붙였다. 북한의 해킹 그룹으로 알려진 '라자루스'의 공격 아니냐는 일각의 의혹에 대해서는 "북한 소행으로 단정할 수 없다"고 선을 그었다. 예민한 소송 관련 정보가 유출됐을 가능성에 대해서는 "악성코드가 탐지된 장비는 자료가 임시로 저장됐다가 삭제되는 서버"라며 확인되지 않았다고 부인했다. 올해 초 탐지 후 필요한 조처를 했으며 이후 추가적인 감염·해킹 등은 없었다고 법원행정처는 설명했다. unsaid@fnnews.com 강명연 기자

[파이낸셜뉴스]  일본이 지난달 24일 후쿠시마 제1원자력발전소 오염수의 해양 방류를 개시한 가운데, 후쿠시마 오염수 방류 이슈를 악용해 악성코드를 유포하는 사례가 발견됐다. 5일 안랩에 따르면 공격자는 오염수 처리와 관련한 내용을 담은 이메일 등을 이용해 ‘project.chm’ 이라는 이름의 윈도 도움말 파일(.chm)을 유포한 것으로 추정된다. 안랩은 사용자가 무심코 이 파일을 실행하면 ‘후쿠시마 오염수 방류’와 ‘노재팬’ 캠페인에 관한 현황을 담은 언론 기사 내용이 나타나면서 해당 PC에 몰래 백도어 악성코드(공격자가 차후 공격을 수행할 목적으로 시스템에 설치하는 악성코드)가 설치된다고 설명했다. 해당 악성코드는 공격자의 명령에 따라 감염 PC에서 파일 업로드와 다운로드, 정보 탈취 등 다양한 악성 행위를 수행할 수 있는 것으로 알려졌다. 백도어 악성코드는 추가 공격에서 공격자의 출입 통로 역할을 한다. 안랩 V3는 이 악성코드를 진단 및 차단하고 있다고 밝혔다. 이가영 안랩 분석팀 주임연구원은 “공격자는 사용자의 궁금증을 유발해 악성 파일을 실행하도록 유도하려고 최근 이슈가 되는 주제를 적극적으로 이용하고 있다”며 “출처가 불분명한 파일은 저장하거나 실행하지 말고 백신을 최신 버전으로 유지해야 한다”고 말했다. 한편 악성코드로 인한 피해 예방을 위해서는 ▲출처가 불분명한 파일 다운로드·실행 금지 ▲오피스 소프트웨어(SW), 운영체체(OS) 및 인터넷 브라우저(엣지, 크롬, 파이어폭스 등) 프로그램 최신 보안패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안수칙을 지켜야 한다. sanghoon3197@fnnews.com 박상훈 기자

안랩은 최근 ‘한글 2022 크랙’ 설치파일로 위장한 파일을 파일 공유 사이트에 올려 암호화폐 채굴 및 원격제어 악성코드 등을 유포하는 사례를 발견해 사용자의 주의를 당부한다고 23일 밝혔다.  공격자는 먼저 웹하드, 토렌트 등 국내 다수 파일공유 사이트에 ‘한글2022 (★일반 사용자용 영구 정품 인증)’이라는 제목으로 악성 압축 파일을 업로드했다.  사용자가 다운로드한 파일의 압축을 해제한 뒤 ‘install.exe’을 실행하면 ‘한글2022’ 크랙 설치파일과 함께 악성코드를 외부에서 다운로드 받도록 하는 명령이 사용자 몰래 실행된다. 이 때 사용자 PC에 V3 설치여부에 따라 다른 종류의 악성코드가 설치 시도된다.  만약 사용자 PC에 V3가 없다면 원격제어 악성코드인 ‘Orcus RAT’가 다운로드 된다. 'Orcus RAT’에 감염될 경우 공격자가 사용자PC를 원격으로 제어할 수 있는 권한을 획득할 수 있다. 공격자는 이 권한을 활용해 추가 명령을 내려 정보 탈취 등 다양한 악성행위를 수행할 수 있다. V3가 설치돼 있을 경우에는 암호화폐 채굴 악성코드 ‘XMRig’설치를 시도한다.  현재 V3는 해당 악성코드 2종을 모두 진단하고 있다.  사용자는 피해를 예방하기 위해 △불법 콘텐츠 다운로드 금지 △인터넷에서 파일 다운로드 시 공식 홈페이지 이용 △OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 △최신 버전 백신 사용 및 실시간 감시 적용 등 기본 보안 수칙을 준수해야 한다는 것이 안랩 측 설명이다.  이재진 안랩 분석팀 주임연구원은 “이번 사례는 한글 프로그램 정품 및 제공사와 무관하게 공격자가 유명 소프트웨어 불법 설치파일을 위장해 공격에 이용한 것”이라며 “불법 경로로 소프트웨어나 게임 등의 콘텐츠를 이용하는 경우 위협에 노출될 가능성이 큰 만큼 사용자는 반드시 정식 콘텐츠를 이용해야 한다”고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스]  북한의 해커조직 ‘김수키’가 윈도우 도움말 파일로 위장한 악성코드를 유포하고 있는 것으로 알려져 주의가 요구된다. 2일 보안업체 안랩에 따르면 김수키는 최근 윈도 도움말 파일(.chm) 형식으로 된 악성코드를 보내고 있는 것으로 나타났다. 해당 형식의 파일을 실행하면 HTML 파일로 된 도움말 창을 생성하는데, 이때 htm 또는 html 파일에 포함된 악성 명령어가 함께 실행되는 것으로 전해졌다. 안랩은 “도움말 창이 정상적인 내용을 노출하기 때문에 이용자가 악성코드라는 점을 쉽게 알아채기 어렵다”고 설명했다. 해당 악성코드가 유포되는 경로에 관해 안랩은 주로 사례비 또는 개인정보 양식을 위장하고 이메일로 유포된다고 설명했다. 안랩은 “항상 첨부파일 실행에 유의해야 한다”며 “백신을 최신 버전으로 업데이트해 악성코드 감염을 예방해야 한다”고 권고했다. 김수키는 이렇게 유포한 코드로 사용자의 정보를 수집하거나, 키보드에 입력한 정보를 중간에서 가로채는 ‘키로깅’ 공격을 하는 것으로 전해졌다. 한편 북한의 해커조직인 김수키는 2014년 한국수력원자력을 해킹한 것으로 알려졌다. 김수키는 우리나라 공공기관이나 외교·안보 분야 전문가, 가상화폐 등을 노린 사이버 공격도 지속적으로 시도하고 있다. 주요 글로벌 보안업체들에 따르면 김수키는 사이버 범죄를 통해 북한 김정은 정권의 첩보 작전에 필요한 자금을 조달하고 있는 것으로 파악됐다. 북한은 국제사회의 대북 제재 강화 이후 해킹과 마약 밀매 등 범죄 행위에 더욱 집중하는 것으로 전해졌다. sanghoon3197@fnnews.com 박상훈 기자

[파이낸셜뉴스] 불법으로 마이크로소프(MS) 윈도우 설치했다면 파일공유사이트에 떠도는 '불법 인증 툴'을 주의해야 한다. 이 툴을 PC에 설치할 경우 악성코드가 PC에 깔려 해커가 원격제어할 수 있으며, 개인정보 탈취나 암호화폐 채굴 등 다양한 피해를 입을 수 있다. 안랩은 "최근 불법 인증 툴로 인한 악성코드 유포사례가 발견되고 있다"며 주의를 당부했다. 18일 안랩에 따르면, 먼저 공격자는 국내 다수 파일공유 사이트에 'KMS Tools', 'KMS Tools Portable' 등의 제목으로 불법 윈도우 정품인증 툴을 위장한 압축파일(.7z)을 업로드했다. 사용자가 다운로드 받은 파일의 압축을 해제하고 내부의 실행파일(KMS Tools Unpack.exe)을 실행할 경우 BitRAT이라는 원격제어 악성코드가 외부 다운로드 방식으로 추가 설치된다. BitRAT 악성코드는 설치 이후 감염 PC를 원격제어할 수 있을 뿐만 아니라 개인정보 탈취, 암호화폐 채굴 등 다양한 악성행위를 수행할 수 있다. 만약 해당 PC에 V3가 설치된 환경이라면 이를 감지해 원격제어 악성코드가 아닌 'XMRig'라는 암호화폐 채굴 악성코드만 설치한다. 이는 V3가 설치된 환경에서 원격제어 악성코드의 악성행위가 명확하게 진단될 수 있기 때문인 것으로 추정된다. 현재 V3는 원격제어 및 채굴 악성코드가 설치되기 전인 악성 실행파일(KMS Tools Unpack.exe) 실행시점에서 해당 악성파일을 진단한다. 이재진 안랩 분석팀 주임연구원은 "파일공유 사이트 등에서 제품을 불법으로 다운로드하는 사용자를 노린 공격은 지속적으로 발생하고 있다"며, "공격자는 앞으로 파일의 이름을 바꿔 다양한 파일공유 사이트에서 유사한 공격을 이어갈 것으로 예상되기 때문에 사용자는 반드시 공식 경로로 콘텐츠를 이용해야 한다"고 말했다.  monarch@fnnews.com 김만기 기자

[파이낸셜뉴스]   악성 코드를 자동 차단하고, 청소년 유해 사이트 접근을 막는 인터넷 서비스가 나온다. KT는 온라인 이용 환경에 대한 불안감을 줄이기 위해 신규 인터넷 요금제 '안심 인터넷'을 7일부터 출시한다고 6일 밝혔다. 이번에 출시되는 안심 인터넷은 악성코드가 숨어있는 은닉 사이트와 악성코드에게 명령을 내리는 'C&C(Command & Control) 서버'를 이중으로 막는 차단 기능을 갖췄다. 인터넷 이용 습관을 관리할 수 있는 기능도 제공한다. 인터넷 이용 가능 시간을 30분 단위로 조정하고 접속 권한을 '자녀 모드', '부모 모드', '일시허용'으로 구분해 사용자에 따라 방송통신위원회가 정한 청소년 유해 사이트 접근을 막는다. KT는 안심 인터넷 서비스 이용자에게 'KT안심박스'를 제공한다. KT안심박스는 보호대상자의 스마트폰 내에 있는 앱(App.) 별로 이용시간을 직접 설정하고, 유해물의 접속을 차단 설정하는 서비스다. 스마트폰 위치도 실시간으로 확인할 수 있다. KT의 '올레tv'와 안심 인터넷을 함께 이용하는 고객은 △TV시청 가능 시간을 설정 △자녀가 시청하고 있는 채널 확인 △원격으로 셋탑박스의 전원을 끄고 켜는 것이 가능하다. 구강본 KT 커스터머사업본부장 상무는 "코로나의 장기화로 집에 머무는 시간이 길어지면서 가족 구성원 모두가 안전하게 인터넷을 이용할 수 있는 환경에 대한 중요성이 커지고 있다"라며 "KT는 변화하는 사회 환경에 맞춰 최적의 인터넷 환경을 제공하고 고객의 삶을 더욱 풍요롭게 하는 혁신 서비스를 지속 제공하겠다"라고 말했다. spring@fnnews.com 이보미 기자

[파이낸셜뉴스]   과학기술정보통신부는 '아파치 로그 Log4j 2' 서비스에 대한 보안취약점이 발견됨에 따라 긴급 보안업데이트를 권고하였다. 관련 취약점을 공격자가 악용할 경우 악성코드 감염 등의 피해를 발생 시킬 수 있으므로 아래 보호나라 보안공지에 따라 긴급하게 보안조치를 해줄 것을 당부했다. Log4j란 기업 홈페이지 등 인터넷 서비스 운영-관리 목적의 로그기록을 남기기 위해 사용하는 프로그램으로 업데이트를 수행하지 않을 경우, 취약점을 악용해 공격자가 원격에서 공격코드를 실행시킬 수 있어 심각한 피해를 입을 수 있으므로 Log4j를 이용하는 경우 신속하게 업데이트를 적용해야한다. 아파치재단은 해당 취약점을 해결한 보안 업데이트 발표한 바 있다. 과기정통부는 보호나라 홈페이지를 통해 즉시 보안 업데이트를 당부하였고(12.11), 기반시설, ISMS 인증기업(758개사), CISO(23,835명), C-TAS(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC (16곳) 등을 대상으로 긴급 전파하였고 해당서버를 사용하는 기업들에게도 신속한 조치를 강조했다 관련 보안취약점 조치에 대한 자세한 사항은 보호나라 홈페이지 보안공지를 참고하고 국번없이 118로 상담을 요청하면 조치 여부 등을 자세하게 안내받을 수 있다. 보호나라 보안공지 확인 경로는 KISA 보호나라  홈페이지에서→ 자료실 → 보안공지→ 1614번 보안공지를 확인하면 된다. spring@fnnews.com 이보미 기자