안드로이드 등 제로데이 취약점 악용한 스파이웨어

안드로이드 등 제로데이 취약점 악용한 스파이웨어   작년에 해결된 많은 제로데이 취약점이 상용 스파이웨어 공급업체에서 안드로이드 및 iOS 기기를 대상으로 악용되었다고 구글 TAG(Threat Analysis Group)가 밝혔어요.   구글 프로젝트 제로는 제로데이 공격의 위험성을 분석하기 위해 실제 공격(in-the-wild)에 사용되던 취약점들의 목록을 공개하고 해당 결함에 대한 정보 역시 분석하고 있어요.   더해커뉴스에 따르면, 패치 릴리스 후 대상 장치에 실제로 배포될 때까지의 패치 갭을 활용하는 두 가지 별개의 캠페인은 제한적이고 고도로 표적화되었어요. 두 캠페인의 규모와 표적의 특성은 현재 알려지지 않았다고 보도했어요. 또한 지난 1월에도 제로데이 취약점이 알려지지 않은 행위자에 의해 정부 및 기타 대규모 조직을 대상으로 한 공격에 악용되었다고 더해커뉴스가 보도했어요.   이처럼 지속적으로 사이버보안이 위협을 받고 있어요. TAG은 보고서에서 "이러한 벤더들은 위험한 해킹 도구의 확산을 가능하게 하여 이러한 기능을 사내에서 개발할 수 없는 정부를 무장시키고 있다. 감시 기술의 사용은 국내 또는 국제법에 따라 합법일 수 있지만, 반체제 인사, 언론인, 인권 운동가 및 야당 정치인을 표적으로 삼기 위해 정부에서 종종 사용하는 것으로 밝혀졌다."라고 설명했어요.   두 작전 중 첫 번째 작전은 2022년 11월에 이루어졌으며 SMS 메시지를 통해 이탈리아, 말레이시아, 카자흐스탄에 있는 사용자에게 단축 링크를 보내는 작업이 포함되었어요.   URL 클릭 시 수신자는 안드로이드 또는 iOS용 익스플로잇을 호스팅하는 웹 페이지로 리디렉션한 후 합법적인 뉴스 또는 배송 추적 웹사이트로 다시 리디렉션된다고 해요. iOS 익스플로잇 체인은 CVE-2022-42856(당시 제로데이), CVE-2021-30900, PAC(포인터 인증 코드) 우회를 포함한 여러 버그를 활용하여 취약한 장치에 .IPA 파일을 설치했어요. 안드로이드 익스플로잇 체인은 CVE-2022-3723, CVE-2022-4135(악용 당시 제로데이) 및 CVE-2022-38181의 세 가지 익스플로잇으로 구성되어 지정되지 않은 페이로드를 전달했어요. Mali GPU Kernel Driver에 영향을 미치는 권한 에스컬레이션 버그인 CVE-2022-38181이 2022년 8월 Arm에 의해 패치되었지만 적이 패치 릴리스 전에 이미 결함에 대한 익스플로잇을 소유하고 있었는지 여부는 알려지지 않았어요.   또 하나 주목할 점은 링크를 클릭해 삼성 인터넷 브라우저에서 연 안드로이드 사용자가 인텐트 리다이렉션이라는 방법을 사용해 크롬으로 리다이렉트됐다는 점이에요.   2022년 12월에 관찰된 두 번째 캠페인은 최신 버전의 삼성 인터넷 브라우저를 대상으로 하는 몇 가지 제로데이 및 n데이로 구성되었으며, 익스플로잇은 SMS를 통해 UAE에 있는 장치에 대한 일회성 링크로 전달되었어요. 스페인 스파이웨어 회사인 바리스톤 IT가 사용한 것과 유사한 웹 페이지는 궁극적으로 채팅 및 브라우저 애플리케이션에서 데이터를 수집할 수 있는 C++ 기반 악성 툴킷을 이식했어요. 악용된 결함은 CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 및 CVE-2023-26083으로 익스플로잇 체인은 바리스톤 IT의 고객 또는 파트너가 사용한 것으로 추정된다고 해요.   국제앰네스티는 공동 보고서에서 2022년 12월 해킹 캠페인이 고도화되고 정교했으며 이 익스플로잇이 "상업적인 사이버 감시 회사에서 개발되어 표적 스파이웨어 공격을 수행하기 위해 정부 해커에게 판매되었다. 새로 발견된 스파이웨어 캠페인은 최소 2020년부터 활동했으며 구글의 안드로이드 운영 체제 사용자를 포함한 모바일 및 데스크톱 장치를 대상으로 했으며, 스파이웨어와 제로데이 익스플로잇은 여러 국가에서 미디어 웹사이트를 스푸핑하는 도메인을 포함하여 1,000개 이상의 악성 도메인으로 구성된 광범위한 네트워크에서 전달되었다."라고 설명했어요.   이 공개는 미국 정부가 연방 기관이 국가 안보 위험을 나타내는 상업용 스파이웨어를 사용하는 것을 제한하는 행정 명령을 발표한 지 불과 며칠 만에 나왔어요.   2023년에도 해킹, 랜섬웨어, 가상 자산 해킹은 지속되고 있다고 해요. 더군다나 변종의 바이러스를 지속적으로 유포하고 공격 형태가 진화하고 있어 더욱 문제가 될 전망이에요.   사이버범죄 피해 규모는 2019년 약 5.2조 달러, 2021년 약 7조 달러, 2025년에는 약 10.5조 달러에 달할 것으로 전망된다고 하는 만큼, 모두가 사이버 위협으로부터 안전할 수 있도록 보안 교육을 일상화하고 사전 예방 보안팀의 운영이 필요해 보여요!   <관련기사> ○ 챗GPT로 1분만에 악성코드 만든다는데…국내 보안인력 '태부족' (2023.04.18) ○ 해킹 피해자는 결국 국민... "공공·기업 보안인식 제고해야" (2023.03.10) ○ 한국의 은행 전화번호 위조해 사칭한 안드로이드 멀웨어 탐지 (2023.03.15)

일상 속 개인정보 침해사고 발생 유형과 예방 방법   사례1 ▲ A씨는 관리사무소가 자신의 집 현관 인근에 폐쇄회로 텔레비전(CCTV)을 설치하여 자신의 사생활이 과도하게 침해받고 있다고 하면서 폐쇄회로 텔레비전(CCTV)의 철거를 요구하는 분쟁조정을 신청하였고, 분쟁조정위원회는 개인정보 권리 침해 소지를 최소화하는 방향으로 폐쇄회로 텔레비전(CCTV)의 설치장소를 변경하도록 조정했어요.   사례2 ▲ B씨는 입주자대표회의가 운영하는 아파트 관리 앱에서 이용자의 별명(닉네임)에 동·호수를 의무적으로 표기하도록 한 것에 대해 개인정보 권리 침해를 최소화하는 방식으로 변경하여 달라고 분쟁조정을 신청하였고, 분쟁조정원회는 과도한 개인정보 수집·이용으로 개인정보 권리가 침해될 우려가 있다고 판단하여 별명(닉네임) 표기방식을 동·호수 기재를 선택할 수 있게 하는 등의 방식으로 변경하도록 조정했어요.   사례3 ▲ C씨 등은 지자체 공무원이 개인정보를 외부 업체에 유출한 것에 대한 손해배상을 요구하는 분쟁조정을 신청하였고, 분쟁조정위원회는 신청인들의 개인정보 유출에 대한 정신적 고통을 인정하여 손해배상금을 지급하도록 조정했어요.   사례1부터 사례3까지 정말 다양하게 우리 일상 속에서 개인정보가 침해되고 있는 사고를 발견할 수 있어요. 개인정보 유출 사고는 계속 발생하고 있고 막상 개인정보 사고를 당하면 우왕좌왕하는 경우가 많아요. 이런 개인정보 침해 사고를 경험하게 되면 어떻게 해야 할까요?   일상생활 속 작은 노력만으로도 내 소중한 개인정보를 더 안전하게 지킬 수 있어요. 특히 개인정보의 활용이 활발한 인터넷 서비스 이용 시에는 기본적인 수칙만 잘 지켜도 개인정보 침해로 인한 피해로부터 훨씬 안전할 수 있어요. 내 개인정보 보호를 위해서 어떤 노력들을 할 수 있는지 '개인정보 보호를 위한 인터넷 이용 수칙'을 알려 드릴게요.   - 블로그, 카페 등 인터넷에 올리는 데이터에 개인정보가 포함되지 않도록 유의해요. - 출처가 불분명한 파일이나 이메일은 즉시 삭제하고 무료 다운로드 사이트 이용은 자제해요. - 노트북, PC 등 이용 기기에는 부팅 패스워드를 설정하고 백신 프로그램은 항상 최신으로 유지해요. - 개인정보가 담긴 파일은 암호화하여 안전하게 보관해요.   그리고 개인뿐만 아니라 사이버 위협에 경각심을 가지고 실질적인 대응력을 갖출 수 있도록 기업들 또한 많은 노력을 들이고 있어요!   분쟁조정위원회는 일상생활 속 발생할 수 있는 다양한 유형의 개인정보 분쟁 사례와 분쟁을 사전에 예방하기 위한 목적으로 매년 사례집을 발간하고 있어요.   가장 자주 발생하는 침해유형은, 동의 없는 개인정보 수집·이용 개인정보의 목적외 이용 혹은 제3자 제공 개인정보취급자의 누설·유출·훼손 이라고 해요.   최근 개정된 개인정보보호법(’23.3.14. 공포, 9.15. 시행예정)에 따르면, 올 9월부터는 개인정보 분쟁조정 의무참여 대상이 공공기관뿐 아니라 민간까지 확대되고, 분쟁조정위가 필요하다고 판단하면 직접 현장 사실조사도 가능해진다고 해요.   이인호 분쟁조정위 위원장은 “마이데이터 확산, 인공지능 활용 확대 등 데이터 신경제 시대의 도래로 개인정보 활용환경의 혁신적 변화가 기대되고 있는 만큼 개인정보 분쟁사례도 큰 폭으로 증가하고 다양해질 것”이라고 강조하면서 “지속적인 사례집 발간이 개인정보 보호의 중요성에 대한 국민 모두의 인식을 높이고, 서로 신뢰 가능한 개인정보 처리 기반을 구축해 나가는 데 도움이 될 것으로 기대한다.”고 말했어요.   앞으로 일상 속에서 우리의 소중한 개인정보가 침해되지 않도록 안전 수칙을 지키고 지속적인 교육과 훈련을 통해 예방해야 할 것 같아요!   <관련기사> ○ ‘개인정보보호법’ 개정안 의결…‘개인정보 전송요구권’ 일반법적 근거 신설, 9월 14일부터 시행 (2023.03.07.) ○ 인사·노무 업무시 지켜야 할 개인정보보호 원칙과 기준은 (2023.02.05) ○ 사파리 버그, 구글 계정 정보와 사용 기록 유출시켜…주의 (2022.01.19.)