[정보보안] 사이버 위협 동향 보고서(2023년 상반기)의 키워드 요약

KISA 보호나라&KrCERT/CC 사이트의 “알림마당 > 보고서/가이드”에 등록된 “사이버 위협 동향 보고서(2023년 상반기)“의 키워드를 요약한 것입니다.

Part.1 사이버 위협 동향
1-1. 침해사고 현황

중국 해커조직인 샤오치잉은 국내 웹사이트를 대상으로 취약점 스캔을 수행해서 공격 대상들을 선별했던 것으로 확인된다. 특히 인터넷에서 쉽게 확보할 수 있는 해킹 툴인 Sqlmap과 Nuclei등을 사용했다.

1-2. 피싱 사이트 위협 동향

`23년 7월 초부터 국내 텔레그램 사용자 계정을 노린 피싱 공격도 다수 탐지되고 있다. 텔레그램 피싱사이트를 상세분석한 결과 인증키, 초대코드, 전화번호, 토큰 등 Telegram Web 로그인에 필요한 계정정보를 수집한다.

1-3. 보안 취약점 및 신고 포상제 동향
1-4. 주요 공격 기법의 변화

국내에서 발생한 주요 침해사고에서 공통으로 사용되는 핵심 기법은 ‘SMB/Admin Share’를 이용한 내부 전파(Lateral Movement)이다. Windows의 SMB/Admin Share 기능은 많은 기업에서 서버 간 자료 공유의 편의성을 추구하거나, Active Directory 환경에서의 정책 배포를 위해 사용하는 기능이다.

C:\>net share
공유 이름    리소스                           설명
-------------------------------------------------------------------------------
C$           C:\                             기본 공유
D$           D:\                             기본 공유
IPC$                                         원격 IPC
ADMIN$       C:\WINDOWS                      원격 관리
명령을 잘 실행했습니다.

 
Part.2 전문가 컬럼
2-1. 쿠팡 BlueTeam 곽성현 Staff Security Engineer: 맞춤형 공격 대응을 위한 기업 내 보안조직 운영 방안

OWASP SAMM는 Security Assurance Maturity Model의 약자로 모든 유형의 조직이 소프트웨어의 보안 상태를 분석하고 개선할 수 있도록 측정 가능한 방법을 제공하는 성숙도 모델이다. SAMM의 상위 레벨에서는 5가지의 비지니스 기능을 정의한다
(Business Functions: Governance / Design / Implementation / Verification / Operations)
퍼플팀을 통해 레드팀의 테스트 영역의 한계를 조금씩 넓히고 블루팀의 탐지 범위를 확장한다. 정보 보안 조직의 리더들을 포함해 블루팀과 레드팀에서 가상의 퍼플팀을 구성한다. 퍼플팀 활동을 수행함으로써 참가자들은 공동으로 공격과 탐지, 대응을 하고 정보 보안 평가에 대한 전체 지식을 공유하게 된다.

2-2. 한국랜섬웨어침해대응센터 이경호 과장: 랜섬웨어 공격 구조와 취약점 패치의 중요성

AD서버(Active Directory Server)나 NAC(Network Access Control) 서버는 계정 정보 없이도 배포 권한을 가지므로 공격자에게 권한이 넘어가면 시스템을 완전히 장악하는 것과 같은 심각한 상황이 발생할 수 있다.

2-3. 고려대학교 SW보안연구소 최윤성 교수: 3CX 연쇄 소프트웨어 공급망 공격 사건과 시사점

현재 백악관 관리예산실(OMB)과 FDA를 선두로 논의되는 SW 공급망에 대한 보안 요구사항은 크게 두 가지로 요약할 수 있다. 1) SW 개발 및 배포 프로세스의 취약점 패치 등 업데이트를 위한 보안 개발 생명주기(S-SDLC, Secure Software Development Life Cycle) 관리 체계의 구축과 2) SW 부품명세표(SBOM) 제출로 회자하는 구성요소의 투명성 및 책임 추적성의 향상이다.

2-4. 한국전자통신연구원 사이버보안연구본부 김익균: 사이버 억지력 강화를 위한 “Defend Forward” 전략의 이해

Defend Forward 개념은 공격적인 사고 방식으로 방어하고, 악의적인 사이버 활동을 초기 단계에서 선제적으로 방해하거나 중지하며, 적의 비용을 증가시키는 사이버 전략을 의미한다.

 
Part.3 기술 보고서
3-1. KISA 침해사고분석단 종합분석팀 김동욱 선임, 이태우 선임, 이슬기 선임: TTPs $ ScarCruft Tracking Note
3-2. KISA 침해사고분석단 사고분석팀 신우성 선임, 레인비트 이예나 선임, 이상아 연구원, 한택승 연구원: 블랙캣 랜섬웨어 침해사고 기술보고서

블랙캣(BlackCat 또는 ALPHV) 랜섬웨어는 `21년 11월 전 세계 처음으로 발견됐으며, RUST 프로그래밍 언어를 기반으로 한 최초의 랜섬웨어로 백신 탐지 확률이 낮으며 빠르게 암호화가 가능하고 다양한 운영체제 플랫폼에서 사용할 수 있는 특징이 있다.