1. 개요 [1]

- 미국 국가안보국(NSA), 연방수사국(FBI), 국무부는 이메일 보안 프로토콜을 악용한 북한 해킹그룹 관련 보안 권고 발표
- 북한 해킹그룹은 신분을 가장하여 스피어피싱 캠페인을 수행

 

2. 주요내용

북한 해킹그룹은 이메일 보안 프로토콜 DMARC을 악용해 피싱 메일을 발송

 

- DMARC (Domain-based Message Authentication Reporting and Conformance) [2][3]
SPF와 DKIM을 사용해 메일의 인증 여부를 확인하고, 메일이 SPF와 DKIM 검사를 통과하지 못하면 DMARC 정책이 실행

> DNS TXT 레코드에 명시

※ DMARC 정책 : 의심스러운 메일을 처리하는 방법이 명시

 

> SPF와 DKIM을 기반으로 동작하기에 SPF와 DKIM을 먼저 설정해야 함

※ SPF (Sender Policy Framework) : 수신측 메일서버가 발신측 메일 발송 IP가 DNS에 등록된 IP가 맞는지 확인하여 스팸인지 아닌지 확인

※ DKIM (Domain Keys Identified Mail) : 수신측 메일서버가 발신측에서 보낸 전자서명과 DNS에 등록된 DKIM 공개키로 전자서명을 검증하여 스팸인지 아닌지 확인

 

- DMARC 레코드 다음과 같은 항목으로 구성 [4][5]

DMARC 레코드 형식 예시: v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:report@example.com
항목 설명 비고
v - DMARC의 버전을 설명하며, 반드시 가장 먼저 선언되어야 함 필수
p - 반드시 v 다음에 선언되어야 함
- 수신 서버에서 DMARC로 인증되지 않은 메일에 대한 처리 방법 명시
> none : 아무런 조치를 하지 않고 메일을 수신
> quarantine : 이메일을 스팸으로 표시하고 스팸함으로 보냄
> reject : 수신을 거부 (스팸함에도 도착하지 않음)		 필수
sp - 하위 도메인에서 전송된 메일에 대한 정책
> none : 아무런 조치를 하지 않고 메일을 수신
> quarantine : 이메일을 스팸으로 표시하고 스팸함으로 보냄
> reject : 수신을 거부 (스팸함에도 도착하지 않음)		  
aspf - 메일 정보가 SPF 서명과 어느 정도 정확하게 일치해야 하는지 정의
- 값을 설정하지 않으면 기본적으로 r 값으로 설정
> s: 모두 일치
> r: 부분적 일치		  
adkim - 메일 정보가 DKIM 서명과 어느 정도 정확하게 일치해야 하는지 정의
- 값을 설정하지 않으면 기본적으로 r 값으로 설정
> s: 모두 일치
> r: 부분적 일치		  
rua - DMARC 처리 보고서를 수신할 이메일 주소
- 메일 주소 앞에 "mailto:"를 입력
- 쉼표(,)를 연결하여 여러 이메일 주소 지정 가능		  
ruf - DMARC 처리 실패 보고서를 수신할 이메일 주소
- 메일 주소 앞에 "mailto:"를 입력
- 쉼표(,)를 연결하여 여러 이메일 주소 지정 가능		  
pct - DMARC 정책을 적용할 이메일 비중
- 0 ~ 100까지 설정 가능하며 기본값은 100		  
fo - 실패 보고서(ruf)를 생성할 기준
> 0: SPF, DKIM 모두 실패 (기본값)
> 1: SPF, DKIM 둘 중 하나 실패
> s: SPF 실패
> d: DKIM 실패		  
rf - 실패 보고서(ruf) 형식에 대한 설정
- 값 afrf 고정		  
ri - 실패를 집계할 기간으로, 설정된 주기마다 rua 발송
- 기본값: 86400초		  

 

- 북한 공격자들은 "p=none" 설정의 약점을 공격에 악용

> DMARC 레코드 설정에 따르면 p=none 설정은 검증 실패 시 아무런 조치 없이 메일을 수신

[사진 1] p=none

 

- 또는 메일 헤더를 조작하거나 [사진 2], 메일 본문에 회신 메일을 명시하여 회신을 유도 [사진 3]

 

[사진 2] 메일 헤더 조작
[사진 3] 메일 본문 회신 메일 명시

 

- 따라서, 위협에 대응하기 위해 DMARC 보안 정책을 구현할 것을 권장

> "v=DMARC1; p=quarantine;" 또는 "v=DMARC1; p=reject;"로 설정을 업데이트

> rua, ruf 레코드를 사용해 통합 보고서를 수신하여 가시성 확보 및 잠재적 보안 침해 식별

> 단, DMARC 정책 적용으로 발송한 메일이 수신자에게 전달되지 않을 수 있으므로, 영향도 검증 필요

 

3. 참고

[1] https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3762915/nsa-highlights-mitigations-against-north-korean-actor-email-policy-exploitation/
[2] https://www.crinity.net/Newsletter/2019/06/Coffee_Break.html
[3] https://help.worksmobile.com/kr/administrator/service/mail/advanced-setting/what-is-dmarc/
[4] https://help.worksmobile.com/kr/administrator/service/mail/advanced-setting/what-is-dmarc/
[5] https://docs.nhncloud.com/ko/Notification/Email/ko/dmarc-record/
[6] https://www.dailysecu.com/news/articleView.html?idxno=155699

'취약점 > Social Engineering' 카테고리의 다른 글

큐싱(Qshing)  (1) 2023.11.01
MS Teams 공격 도구 TeamsPhisher  (0) 2023.07.06
국정원, 北의 '네이버 복제 피싱사이트' 주의 당부  (0) 2023.06.14
마이크로소프트, 다단계 AiTM 피싱 및 BEC 공격에 대해 경고  (0) 2023.06.12
국정원, 국내 '포털사이트' 사칭한 北 해킹공격 주의 촉구  (1) 2023.05.26
요약 - 이번 달 MITRE는 ATT&CK 프레임워크에 두 가지 테크닉을 추가할 예정
- 북한이 즐겨 사용하고 있는 공격 전략인 TCC 악용과 팬텀 DLL 하이재킹
내용 - 북한의 해커들은 두 가지 공격 기법을 활용
> 맥OS와 윈도 환경에 불법적으로 접근 및 권한 탈취
> 이후 피해자를 염탐하여 정보 수집 등 필요한 악성 행위 실시

① 맥OS 대상: TCC 악용
- TCC는 일종의 데이터베이스 
> 사용자 층위의 데이터베이스: ‘전체 디스크 접근 권한(FDA)’ 혹은 그에 준하는 권한을 가지고 있어야 TCC에 접근가능
> 시스템 층위의 데이터베이스: ‘시스템 무결성 보호(SIP)’라는 기능을 통해 제어가 가능
> TCC에 접근하려면 FDA나 SIP 혹은 그에 상당하는 높은 수준의 권한을 가지고 있어야 한다는 뜻

- 그러나, 권한을 무시하고 접근할 수 있게 해 주는 방법들이 존재
> SIP의 경우 공격자들이 피해자의 시스템에 침투하여 다른 공격 기법을 통해 비활성화시킬 수 있음
> 스스로에게 FDA 권한을 줄 수도 있음

- TCC를 겨냥한 멀웨어들이 이미 다크웹에 여럿 존재
> 가장 중요한 건 SIP를 항상 활성화시켜두는 것이라고 강조

② 윈도우 대상: 팬텀 DLL 하이재킹 (Phantom DLL Hijacking)
- 윈도는 실존하지 않는 DLL 파일들을 자꾸만 참조하는 이상한 오류 존재
> 프로젝트를 위해 생성한 DLL을 프로젝트 종료 후 DLL을 전부 삭제하지 못하는 등의 경우 발생
> 윈도는 참조하는데 정작 존재하지는 않는 DLL 파일들을 ‘팬텀 DLL 파일(유령 DLL 파일)’이라고 부름

- 공격자 악용 방식
> 자신들의 목적에 맞는 악성 DLL 파일을 임의로 생성
> 윈도가 참조하고 있는 유령 DLL 파일과 똑같은 이름으로 설정
> 그 DLL 파일과 같은 위치에 옮겨두면 OS가 알아서 로딩
> 윈도가 참조하는 것이므로 보안 경보 울리지 않음

- MS가 직접 윈도의 ‘유령 DLL 참조 현상’을 제거해야 한다고 강조
> 그 전까지 윈도 사용자들은 모니터링을 철저히 수행할 필요
> 애플리케이션 제어도 보다 능동적으로 수행할 필요
> 원격에서 DLL을 로딩시키는 것 또한 차단할 필요
기타 - 라자루스 멀웨어 전략
> TCC 데이터베이스의 접근 테이블을 덤핑하는 기능과 SIP 비활성화 기능 포함
> IKEEXT와 같이 함께 팬텀 DLL 하이재킹 기능 구현: IKEEXT 실행 후 존재하지 않는 DLL 로딩 시도

 

보안뉴스

 

북한이 최근 사용하는 공격 전략, 조만간 마이터 서브테크닉에 추가된다

이번 달 마이터(MITRE)는 어택(ATT&CK) 프레임워크에 두 가지 테크닉을 추가할 예정이다. 이 두 테크닉 모두 북한의 해킹 조직들이 이미 즐겨 사용하고 있는 것으로, 하나는 애플 맥OS 내에서 애플리

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

깃허브와 깃랩 사용하면 사실상 대처법이 전무한 피싱 공격 완성  (1) 2024.04.28
코드 서명 절차를 안전하게 유지시키기 위한 8가지 보안 전략  (0) 2024.04.17
베트남 해킹그룹 코랄레이더, 한국과 아시아 전역 금융 데이터 표적 공격중...주의  (0) 2024.04.07
회사의 보안실태와 취약점 점검 시 꼭 필요한 건 ‘소셜 엔지니어링’ 감사  (0) 2024.03.31
현재 보안 담당자들이 가장 신경 써야 할 평가 항목, MTTR  (0) 2024.03.04
요약 - 국정원, 지난해 하반기부터 최근까지 북한이 사이버 공격에 집중 정황 포착
- 악성코드 사용을 최소화하고, LotL(Living off the Land) 기법 주로 사용
내용 - 국정원, 지난해 하반기부터 북한 국내 반도체 장비업체 대상 사이버 공격에 집중
> 서버가 인터넷에 연결되어 취약점이 노출된 업체들을 공략
> 문서 등 자료관리에 사용되는 해당 업체의 업무용 서버들이 표적
> ‘LotL(Living off the Land)’ 기법을 주로 구사
> 서버 내 설치된 정상 프로그램을 활용하여 공격하는 기법

- 형상관리서버와 보안정책서버를 해킹
> 제품 설계도면과 설비 현장사진 등 탈취 (서로 다른 반돋체 기업)
> 피해업체에 관련 사실을 통보하고 보안대책 수립을 지원
> 내 주요 반도체 업체에도 위협정보를 제공해 자체 보안점검 권고

- 인터넷 노출 서버 대상
> 보안 업데이트와 접근 제어를 실시
> 정기적인 관리자 인증강화 등 계정관리에 만전 당부
기타 - 대북제재로 인한 반도체 조달 어려움 + 무기 개발에 따른 수요 증가 => 반도체 자체 생산 목적의 해킹

- 최근 북한의 사이버 공격
> ‘컴파일된 HTML 도움말 파일(.chm)’과 ‘바로가기(.lnk)’를 이용
> 파일 형식을 악용한 공격에 대응해 EDR 솔루션 탐지 등으로 보안을 강화 당부

 

보안뉴스

 

北 , 국내 반도체 기업 해킹으로 설계도면과 현장사진 훔쳐갔다

국내 반도체 장비업체를 노린 북한의 사이버 공격이 포착되고 있어 반도체 기업 및 관련기관의 주의가 요구된다. 국가정보원(이하 국정원) 측은 “지난해 하반기부터 최근까지 북한이 사이버

www.boannews.com

 

NIS 국가정보원

대한민국 국가정보원 공식 홈페이지

www.nis.go.kr

'보안뉴스' 카테고리의 다른 글

회사의 보안실태와 취약점 점검 시 꼭 필요한 건 ‘소셜 엔지니어링’ 감사  (0) 2024.03.31
현재 보안 담당자들이 가장 신경 써야 할 평가 항목, MTTR  (0) 2024.03.04
한국·독일 정보기관, 북한의 방산기술 사이버위협에 경고 외 3건  (0) 2024.02.21
신원 미상 해킹그룹, 대민 서비스 계정 1만 3,000여개 다크웹에 유출 외 1건  (0) 2024.02.05
국내 웹사이트 무차별 공격 중인 중국 해커, 1만개 이상 IP 주소 텔레그램 공개 외 5건  (0) 2024.01.30
요약 - 국정원, 독일 헌법보호청(BfV) 방산 분야 대상 북한 공격 수법 및 대처법을 담은 합동 사이버보안 권고문 발표
- 북한 방산 해킹 대표적 사례 2가지에 대해 TTPs 등을 분석, 소개
내용 - 북한 방산 해킹 사례 2가지 및 완화 방안
① 홈페이지 유지보수 업체를 통한 방산기관 우회침투
> 22년말 해양ㆍ조선 기술을 연구하는 기관에 침투
> 보안이 취약한 유지보수 업체를 해킹해 서버 계정정보 탈취 및 기관 침투
> 악성코드 유포를 시도하였으나, 배포 전 발각되어 직원들에게 스피어피싱 이메일 발송 등 추가 공격 시도 감행

② 구인업체 관계자 위장 후 방산업체 직원 해킹
> 라자루스는 20년 중반부터 사회공학적 기법을 사용해 방산업체 침투
> 링크드인 등에 채용 담당자로 위장가입해 방산업체 직원에 접근해 친밀감 형성에 주력
> 이직 상담을 핑계로 일자리 제안 PDF 발송 등을 통해 악성코드 설치 유도

③ 완화 방안 (권고문 참고)
- 직원들에게 사이버 공격 최신 동향에 대해 정기적으로 설명
- 지정된 시스템에만 원격 접속을 허용하며 사용자 인증 등 접근통제 적용
- SSL/TLS 통신을 구현해 패킷 암호화
- 원격근무를 위해 VPN 사용시 ID/PW 인증 및 2차 인증 수단 적용
- 사회공학 공격사례에 대한 교육 등
※ 본 권고문에서 침해지표 제공(C2 URL, 악성 파일 MD5 및 SHA-1/SHA-256, YARA 탐지 규칙 제공)

- 두 기관은 북한이 군사력 강화를 목적으로 전 세계 대상 방산 기술 절취 및 전략 무기 개발에 활용한다고 판단
> 북한의 사이버상 해킹 행위는 무기 기술 획득을 위한 저비용의 효율적인 수단으로 지속 될 것
> 방산 분야 보안을 더욱 강화할 필요
기타 - 북 해킹조직은 코로나로 원격 유지보수가 허용된 상황을 틈타 유지보수업체를 이용해 내부서버 침투를 많이 시도
- 국가ㆍ공공기관에서 협력업체의 원격 유지 보수가 필요한 경우, 국가정보보안지침 제26조(용역업체 보안)을 참고

 

보안뉴스

 

NIS 국가정보원

대한민국 국가정보원 공식 홈페이지

www.nis.go.kr

 

국가사이버안보센터

국제 및 국가배후 해킹 조직 관련 사이버위협 예방·대응, 보안적합성·암호모듈 검증제도 등 정보수록

www.ncsc.go.kr:4018

 

한국·독일 정보기관, 북한의 방산기술 사이버위협에 경고

대한민국 국가정보원과 독일 헌법보호청(BfV)은 북한의 방산 분야 사이버공격 피해를 예방하기 위해 2월 19일 합동 사이버보안 권고문을 발표했다. 이번 합동 권고문은 북한의 방산 해킹 대표적

www.boannews.com

 

북한 해킹조직, 해양·조선 기술 연구기관 침투…방산기술 사이버위협 경고 - 데일리시큐

국가정보원과 독일 헌법보호청(BfV)은 북한의 방산 분야 사이버공격 피해를 예방하기 위해 2월 19일 합동 사이버보안 권고문을 발표했다.이번 합동 권고문은 북한의 방산 해킹 대표적인 사례 2가

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

현재 보안 담당자들이 가장 신경 써야 할 평가 항목, MTTR  (0) 2024.03.04
北 , 국내 반도체 기업 해킹으로 설계도면과 현장사진 훔쳐갔다  (0) 2024.03.04
신원 미상 해킹그룹, 대민 서비스 계정 1만 3,000여개 다크웹에 유출 외 1건  (0) 2024.02.05
국내 웹사이트 무차별 공격 중인 중국 해커, 1만개 이상 IP 주소 텔레그램 공개 외 5건  (0) 2024.01.30
[긴급] 260억 개 이상 사상 최대 해킹 데이터 저장소 발견…한국도 1만6천개 이상 사이트서 6천만개 이상 데이터 유출  (1) 2024.01.24
요약 - 국정원, 북한 해킹조직이 국내 보안인증 소프트웨어 취약점을 악용한 해킹 공격 지속 수행 확인
- 빠른 업데이트 권고 및 백신사 등과 합동으로 구버전 S/W 자동 삭제 등 능동적 대응 계획 발표
내용 - 지난 6월 국정원은 北 정찰총국이 보안인증 S/W 취약점을 악용한 해킹 확인
> 공공기관·언론사·방산·IT 등 50여개 기관을 해킹
> 신속한 해당 S/W 업데이트 및 삭제를 당부

- 공격에 사용한 S/W는 ‘MagicLine4NX(매직라인)’
> 국가·공공기관, 금융기관 등 홈페이지에 공동인증서를 활용하여 로그인할 경우 본인인증을 위해 설치되는 S/W
> 대부분의 기관은 국정원의 권고에 따라 업데이트 또는 삭제 등의 조치 완료

- 일부 기관과 일반 사용자들은 업데이트나 삭제를 하지 않아 여전히 해킹에 악용되는 것을 탐지
> 패치가 안 된 일부 환경을 악용해 해킹 인프라 재구축 정황 포착
> 사용자가 해킹된 홈페이지 방문시 해킹에 노출되는 등 피해 확장 우려

- 국정원 관련 기관과 합동해 기업과 일반 사용자를 구분해 보안대책 시행
> 기업: 기관내 설치된 백신(기업용)에서 구버전 S/W(MagicLIne4NX 1.0.0.26 버전 이하)를 탐지, 삭제
> 사용자: ‘구버전 삭제 전용도구 및 업데이트 도구’를 활용 또는 직접 삭제
기타 - 보안권고문 배포와 언론보도 등 보안조치 권고
> 취약한 S/W 구버전이 설치된 PC가 여전히 많아 공격 재개시 막대한 피해 우려

 

보안뉴스

 

北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중!

국정원이 북한 해킹조직이 국내 보안인증 소프트웨어 취약점을 악용한 해킹 공격을 지속하고 있다며, 조속한 업데이트를 재차 당부하고 기관을 대상으로는 백신사 등과 합동으로 구버전 S/W 자

www.boannews.com

 

[긴급] 북한 해킹조직 ‘보안인증 SW 취약점’ 악용 해킹 공격 주의보 발령 - 데일리시큐

국정원은 북한 해킹조직이 국내 보안인증 소프트웨어 취약점을 악용한 해킹 공격을 지속하고 있다며, 조속한 업데이트를 재차 당부하고 기관을 대상으로는 백신사 등과 합동으로 구버전 S/W 자

www.dailysecu.com

 

NIS 국가정보원

대한민국 국가정보원 공식 홈페이지

www.nis.go.kr

 

'보안뉴스' 카테고리의 다른 글

국가 행정전산망 장애 발생... 정부기관 및 지자체 온라인 서비스 차질 외 9건  (0) 2023.11.20
확 달라진 CVSS 4.0, 취약점에 대한 입체적 평가 가능하게 할 듯  (0) 2023.11.11
북한, 2,000만명 사용 전자상거래 앱 사칭한 앱 공격!  (1) 2023.10.26
북한 해커들, 프리랜서로 재택 근무해 번 돈을 정권 무기 개발에 바쳤다 외 6건  (0) 2023.10.23
사건 대응 모의 훈련을 실시할 때 가장 많이 저지르는 실수 6  (0) 2023.10.19
요약 - 북한 해킹조직이 국민 다수가 사용하는 앱 변조, 유포 정황을 국정원이 포착
- 국정원은 구글플레이 등 공식 앱스토어 이용, 백신 업데이트 등 점검 당부
내용 - 국정원, 북한의 전자상거래 앱 변조 및 유포 정황 포착
> 대상 앱은 국민 2,000만명 이상 사용 중인 전자상거래 앱
> 정상 앱과 아이콘, 기능이 동일하며, 크기가 유사함
> 아이콘만으로는 정상 앱과 구분하기 힘듦
> 감염시 기기 내 저장되어있는 모든 개인정보가 탈취될 수 있음

- 국정원은 변조 앱 확산을 막기 위해 국내·외 보안업체에 즉각 공유
> 보안업체들은 백신 업데이트 등 보안 조치 수행

- 국정원 권고
> 북한의 국민 대상 해킹수법이 정교화·다양화
> 공식 앱스토 등 정상적인 경로를 통해 앱 설치
> 출처가 불분명한 이메일 또는 문자에 첨부된 링크 유의
> 주기적인 백신 앱 업데이트 등 스마트폰 보안 강화
기타 - 친하마스 해킹조직이 이스라엘 국민을 대상으로 앱 변조·유포해 개인정보 탈취 시도
> 대상 앱은 이스라엘 국민들이 사용하는 미사일 공습경보 앱

 

보안뉴스

 

북한, 2,000만명 사용 전자상거래 앱 사칭한 앱 공격!

최근 북한 해킹조직이 우리 국민 2,000만명 이상 사용 중인 전자상거래 앱을 교묘히 변조, 유포하려는 정황이 국가정보원에 포착됐다. 국정원은 구글플레이 등 공식 앱스토어가 아닌 출처가 불분

www.boannews.com

'보안뉴스' 카테고리의 다른 글

확 달라진 CVSS 4.0, 취약점에 대한 입체적 평가 가능하게 할 듯  (0) 2023.11.11
北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중! 외 2건  (0) 2023.11.08
북한 해커들, 프리랜서로 재택 근무해 번 돈을 정권 무기 개발에 바쳤다 외 6건  (0) 2023.10.23
사건 대응 모의 훈련을 실시할 때 가장 많이 저지르는 실수 6  (0) 2023.10.19
MS 오피스 매크로 대신 공격자들이 사용해 오던 VB스크립트, 조만간 사라진다 외 1건  (0) 2023.10.16
요약 - 재택근무 기간 동안 위장 취업한 북한 해커들이 수입을 북한 정부로 송금
- 미국 FBI, 법무부는 불법 수익 150만 달러 및 북한 해커가 사용하는 도메인 17개를 압수했다고 발표
내용 - 재택근무 기간 동안 북한 해커들은 신분을 위조하여 불법 취업 및 북한 정부로 자금 송금
> 북한 무기 개발 자금 조달을 목적으로 위장 취업
> IT 분야 프리랜서, 원격근무, 외주인력 등으로 신분 위장
> 북한은 이를 위해 IT 인력을 중국과 러시아로 파견하고, 미국에서 일하는 것처럼 보이도록 여러 전략 사용
> 연간 수백만 달러의 임금을 북한으로 보내고, 내부망에 침입해 정보 탈취 또는 해당 기업 대상 해킹 활동 준비

- 북한 해커들은 원격 근무를 신청하기 위해 17개의 도메인을 사용
> 자신들의 신분과 위치를 숨기기위해 합법적인 미국 IT 서비스를 이용
> 실제 위치는 중국에 위치한 Yanbian Silverstar Network, 러시아에 위치한 Volasys Silver Star로 확인
> 명목상 해외 기업일뿐, 북한에서 관리 및 통제하며, 2018년 미 재무부에의해 제재를 받음

- 압수된 17개의 도메인은 다음과 같음
> silverstarchina[.]com
> edenprogram[.]com
> xinlusoft[.]com
> foxvsun[.]com
> foxysunstudio[.]com
> foxysunstudios[.]com
> cloudbluefox[.]com
> cloudfoxhub[.]com
> mycloudfox[.]com
> thefoxcloud[.]com
> thefoxesgroup[.]com
> babyboxtech[.]com
> cloudfox[.]cloud
> danielliu[.]info
> jinyang[.]asia
> jinyang[.]services
> ktsolution[.]tech

- FBI는 관련된 추가 지침을 발표
> 북한 IT 인력 고용 방지를 위한 지침
> 주요 골자는 신원 확인에 만전을 기하는 것 (신분증, 언어, 사실확인, 공증 등)
기타 - 재택근무 활성화에 따른 북한 해커의 위장취업은 이전부터 알려졌으나, 뚜렷한 실체가 확인되지 않음
> 이번의 경우 '자금의 흐름'이라는 뚜력한 실체가 확인

 

보안뉴스

 

북한 해커들, 프리랜서로 재택 근무해 번 돈을 정권 무기 개발에 바쳤다

보안 외신 시큐리티위크에 의하면 미국 기업들과 계약을 맺었던 전 세계 수많은 재택 근무자들이 월급을 북한 정부로 보낸 사실이 드러났다고 한다. 특히 IT 분야 전문가들 중 외주자들 다수가

www.boannews.com

 

U.S. DoJ Cracks Down on North Korean IT Scammers Defrauding Global Businesses

U.S. government seizes 17 website domains and confiscates $1.5 million linked to North Korean IT workers in a massive global fraud scheme

thehackernews.com

 

FBI: Thousands of Remote IT Workers Sent Wages to North Korea to Help Fund Weapons Program

Thousands of IT workers contracting with U.S. firms have secretly sent millions of dollars to North Korea to fund its missile program.

www.securityweek.com

 

Justice Department Announces Court-Authorized Action to Disrupt Illicit Revenue Generation Efforts of Democratic People’s Repu

On Oct. 17, pursuant to a court order issued in the Eastern District of Missouri, the United States seized 17 website domains used by North Korean information technology (IT) workers in a scheme to defraud U.S. and foreign businesses, evade sanctions and f

www.justice.gov

 

Treasury Targets North Korea-Controlled Information Technology Companies in China and Russia

WASHINGTON – The U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) today announced North Korea-related designations, continuing the implementation of existing sanctions.  Today’s action against two entities and one individual

home.treasury.gov

 

Additional Guidance on the Democratic People's Republic of Korea Information Technology Workers

The United States (U.S.) and the Republic of Korea (ROK) are updating previous warnings and guidance to the international community, the private sector, and the public to better understand and guard against the inadvertent recruitment, hiring, and facilita

www.ic3.gov

 

'보안뉴스' 카테고리의 다른 글

北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중! 외 2건  (0) 2023.11.08
북한, 2,000만명 사용 전자상거래 앱 사칭한 앱 공격!  (1) 2023.10.26
사건 대응 모의 훈련을 실시할 때 가장 많이 저지르는 실수 6  (0) 2023.10.19
MS 오피스 매크로 대신 공격자들이 사용해 오던 VB스크립트, 조만간 사라진다 외 1건  (0) 2023.10.16
선관위 해킹 논란... 투개표 시스템 해킹 취약점 등 사이버보안 총체적 부실 확인  (0) 2023.10.12
요약 - 국정원, 선관위, KISA는 07/19 ~ 09/22 중앙선거관리위원회 북한 해킹 공격 관련 합동점검 시행
- 10월 10일 국가정보원은 2개월간 진행된 합동 보안점검의 결과를 브리핑
내용 - 국정원, 선관위, KISA는 7월 중순부터 중앙선거관리위원회 합동 보안점검을 시행
> 선관위 해킹 시도가 2022년에만 4만여건이 있었다고 했지만, 선관위는 보안점검 거부
> 중앙선거관리위원회에서 최근 2년 북한으로부터 다수의 사이버 공격을 받았던 사실이 알려져 우려 제기
> 이에 07/03 ~ 07/14 사전점검, 07/18 ~ 09/08 현장점검

- 선관위 전산망은 크게 인터넷상, 업무망, 선거망으로 구성
> 인터넷망: 선관위 홈페이지, 직원 인터넷 PC 등 운영
> 업무망: 선거사무관리를 위한 업무시스템 등 운영
> 선거망: 투·개표 관련 주요 선거 시스템 운영 등
> 해킹은 인터넷망 -> 업무망 -> 선거망 순으로 이루어짐
> 선관위에서 해킹 당한 PC는 지방 선관위의 간부급 직원의 PC로 확인


- 점검 결과 문제점
① 근본 문제
> 미흡한 망분리 : 망간 접점 발생
> 초기 패스워드 사용 : 인터넷망부터 내부 선거시스템까지 침투가 가능

② 투표 시스템의 문제점
> 통합선거인명부 탈취 및 변경 가능 : 내부망 침투 취약점 존재 및 계정관리 부실
> 사전투표 여부 변조 : 사전투표 여부 플래그 삭제
> 통합선거인명부 시스템에서 선관위의 투표소 사인 위조 및 무단 사용
> 온라인투표시스템의 대리투표 가능 : 단순한 패스워드 사용
> ‘사전투표소’를 통해 선거망에 침투가 가능 : 유권자 정보 조회를 위해 선관위 시스템과 직접 연결
> 선상투표 결과 열람 가능 : 암호화되어 저장, 전송되지만, 암호키를 탈취해 선상투표 복호화 및 무단 열람
> 재외선거망까지 접근이 가능 : 재외국민 선거인명부 탈취, 재외공관의 직원 PC 접근 가능, 재외공관 운영망을 통해 선관위 내부망 접속

③ 개표 시스템 문제점
> ‘개표DB’ 해킹 가능 : 선관위의 인터넷망은 특별한 보안이 없어 득표수 변경이 가능
> ‘투표지분류기’ 해킹 가능 : 투표지 분류기에 USB를 통해 악성코드 설치 및 무선통신장비 연결 가능, 검증 프로그램을 우회해 투표지 분류 결과를 변경 가능
> 투표지분류기 프로그램이 인터넷에 노출돼 누구나 내려받을 수 있는 것을 확인

④ 북한 해킹대응 실태 점검 결과
> 선관위에 통보한 해킹 사건의 피해여부 및 조치 내용, 국정원이 보유한 위협정보 활용, 해킹 여부 점검 등을 시행
> 선관위는 국정원의 통보가 있기 전까지 2021~2023년에 선관위와 관련된 8건의 해킹에 대해 전혀 인지하지 못함
> 해킹 원인의 조사 부재 및 자료유출 여부 또한 확인하지 못함
> 북한 김수키 해킹조직에 의한 메일 계정 탈취공격으로 선관위 직원의 상용 메일과 인터넷PC에 접속해 대외비 등 자료 유출
> 선관위 직원들이 개인 상용메일을 통해 업무자료를 유통한 사례가 발견

⑤ 선관위가 자체점검 항목 재점검
> 평가 점수는 31.5점이 나왔으며, 31개 항목 중 0점을 받은 항목은 15개

⑥ 정보시스템 망분리 및 운영 실태
> 업무망이 인터넷과 미분리돼 개인 쇼핑몰 등 접속이 가능
> 기반시설 취약점 분석 및 평가에서도 무자격 업체가 관리
> 2018~2023년에 선관위가 시행한 총 185건의 정보화 사업 중 104건이 수의계약


- 국정원의 보안점검 후 보안조치 방안
① 즉시(1개월 내) 
> 전산망간 접점 제거
> 온라인 투표 인증우회 보완 
> 취약서버 패스워드 변경(이상 조치 완료)
> 인터넷PC 문서편집기 삭제 등

② 단기(3개월 내) 
> 전 서버 최신 보안패치
> 네트워크 접근제어 강화
> 사전투표소 전산망 보안 강화
> 용역업체 관리권한 축소

③ 중장기
> 전체 전산망 재설계 
> 상주용역업체 전산망 분리 
> 2차 보안인증 체계 구축
> 정보보호 전담조직 신설 등
기타 -

 

보안뉴스

 

선관위 해킹 논란... 투개표 시스템 해킹 취약점 등 사이버보안 총체적 부실 확인

올해 5월, 대한민국 헌법기관인 중앙선거관리위원회(위원장 노태악, 이하 중앙선관위)에서 최근 2년 새 북한 해킹 조직으로부터 다수의 사이버 공격을 받았던 사실이 알려져 우려가 제기된 바

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

사건 대응 모의 훈련을 실시할 때 가장 많이 저지르는 실수 6  (0) 2023.10.19
MS 오피스 매크로 대신 공격자들이 사용해 오던 VB스크립트, 조만간 사라진다 외 1건  (0) 2023.10.16
'철통보안' 애플의 자신감..."아이폰15에 최강 보안 체계 구축"  (1) 2023.10.06
구글의 루커스튜디오 악용한 공격자들, 이메일 보안 장치들 농락  (0) 2023.09.14
TLS 인증서의 유효 기간 줄인다는 구글, 어떻게 대처해야 할까?  (0) 2023.09.08

+ Recent posts

티스토리툴바