2023 Hot🔥 보안 사건 사고 — 상반기

개요

어느새 2023년 상반기가 마무리되고 하반기가 시작되었습니다. 이에 따라 티오리 Security Assessment 팀에서는 앞선 상반기에 어떤 보안 사건/사고가 있었는지 조사했습니다. 물론, 매우 다양한 보안 취약점들이 발생했는데요. 본 포스팅을 통해 이들 중 큰 이슈가 되었거나 파급력이 높은 사건들에 대해 알아보고, 실제 발생했던 사고들에 대해서 현재는 어떻게 대처 되었는지 알려드리고자 합니다.

1. ChatGPT

ChatGPT는 OpenAI가 개발한 인공지능 챗봇입니다. 2022년 11월 30일에 공개되어 올해 다양한 분야에서 가장 큰 이슈가 되었으며, 이러한 영향은 보안산업에서도 보였습니다.

가장 먼저 쟁점이 되기 시작한 것은 ChatGPT에 입력하는 내용에 기밀이 입력되어 관련 내용이 유출되는 문제였습니다. Data Loss Prevention (DLP) 내부 정보 유출 방지 소프트웨어 개발회사인 Cyberhaven에서 조사한 결과 직원의 10.8%가 ChatGPT를 사용하였고, ChatGPT에 넣은 데이터의 8.6%는 회사의 데이터였고, 4.7%는 기밀데이터였으며 그 비율은 점점 증가하여 11%가 되었다고 합니다. 이러한 현상은 한국의 기업에서도 보였습니다. 삼성에서는 설비정보 유출 2건과 회의내용 유출 1건이 발생했다고 하며, 설비정보 유출은 반도체 설비 계측 데이터베이스(DB) 다운로드 프로그램의 소스 코드를 실행하다 오류를 고치기 위해 ChatGPT를 사용하였다고 합니다.

ChatGPT를 사용하며 발생하는 기밀 유출은 단순하게 타사(OpenAI)로 기밀정보가 유출되는 것을 넘어서 타사의 문제로 제 3자에게 까지 기밀정보가 유출될 수 있기 때문에 문제가 됩니다. 실제로 ChatGPT 자체의 취약점으로 타 이용자의 채팅 기록 제목을 볼 수 있었습니다. 기밀 유출의 문제를 해결하기 위해 ChatGPT에서는 채팅 기록을 비활성화하는 옵션을 추가하였습니다. 하지만 해당 옵션을 활성화하는 경우에도 악용 모니터링을 위해 채팅 기록을 저장하고 30일 후 삭제됩니다. 추후 ChatGPT Business 서비스를 제공할 계획이며, 이 서비스를 통한 채팅은 모델 훈련 데이터로 사용하지 않을 계획이라고 합니다. 삼성에서는 자체 AI를 개발하고 있으며, 국정원에서는 “챗GPT 등 생성형 AI 활용 보안 가이드라인”을 발표하여 해당 가이드라인의 내용은 아래의 링크를 통해 확인할 수 있습니다.

• 챗GPT 등 생성형 AI 활용 보안 가이드라인

타 이용자의 채팅 기록 제목을 볼 수 있던 문제 이외에도 버그와 취약점이 존재하였습니다. 그중 CSS cache poisoning을 통해 다른 사용자의 계정을 탈취할 수 있던 취약점 또한 존재하였습니다. 해당 취약점은 아래의 링크를 통해 확인할 수 있습니다.

• css cache poisoning attack

기밀 유출 이외에도 ChatGPT의 악용 가능성에 대한 궁금증도 제기되었습니다. 이에 대한 답변은 KBS 9시 뉴스에서 답변할 기회가 있어 방송되었습니다.

ChatGPT를 이용하여 악성코드, 해킹 가능성에 대한 데모는 아래의 영상에서 확인 하실 수 있습니다.

• 챗GPT가 만든 악성코드…웹사이트·IP캠까지 뚫렸다 [9시 뉴스] / KBS 2023.03.13.

Dreamhack에서는 ChatGPT를 활용하여 실제로 해킹을 해볼 수 있는 문제 또한 제공하고 있으며, ChatGPT를 악용할 수 있는 한계점을 확인해 볼 수 있습니다.

관련내용을 다룬 영상은 아래의 TheoriTV 유튜브 영상에서 확인 할 수 있습니다.

• 일반인에게도 ChatGPT로 해킹을 시켜봤습니다. 되는데요?

1.1 Reference

• https://github.com/NafisiAslH/KnowledgeSharing/blob/3d87f1718d4058e4cc3b269db3247fef9a4d512b/CyberSecurity/Web/BountyStory/CacheDeception/20230412%20-%20Account%20takeover%20in%20ChatGPT.md

• https://economist.co.kr/article/view/ecn202303300057?s=31

• https://www.cyberhaven.com/blog/4-2-of-workers-have-pasted-company-data-into-chatgpt/

• https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=InstructionGuide_main&nttId=54340&menuNo=070000&subMenuNo=070300&thirdMenuNo=

2. Fortinet

Fortinet은 방화벽, 엔드포인트 보안 및 침입 탐지 시스템과 같은 다양한 보안 솔루션 기업입니다.

지난 2022년에 Fortinet의 Product에서 CVE-2022–41328 (FortiOS — Path traversal in execute command), CVE-2022–42475 (FortiOS — heap-based buffer overflow in sslvpnd), CVE-2022–40684 (FortiOS / FortiProxy / FortiSwitchManager — Authentication bypass on administrative interface) 등 파급력이 크고 작은 취약점 다수가 등장하여 혼란을 발생시켰는데요. 2023년에도 계속하여 취약점이 등장하고 있습니다.

특히, CVE-2023–27997은 권한이 없는 유저가 원격으로 서버의 시스템을 장악할 수 있는 취약점입니다.
취약점이 공개된 후 많은 공격 그룹이 이를 악용하기 위해 검색 엔진 등을 통해 Fortigate 서비스를 찾는 것을 확인할 수 있습니다.

2.1 대응방안

다수의 취약점이 등장함에 따라 Fortinet도 빠르게 대응하고 있으며, 시스템 내에서 취약점의 증거가 있는지 검토 / 벤더의 패치 권장 사항 준수 / 사용하지 않는 기능 비활성화 등 공격 표면을 최소화하는 방법들을 제시하고 있습니다.

2.2 Reference

• https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign

• https://blog.lexfo.fr/xortigate-cve-2023-27997.html

3. 해킹집단 ‘샤오치잉’ 설 연휴 사이버 공격

“우리는 계속해서 한국의 공공 네트워크와 정부 네트워크를 해킹할 것이고, 우리의 다음 네트워크를 해킹할 것이다. 네, 우리는 다시 돌아왔습니다.”

지난 설 연휴 기간 동안 중국 해킹 집단인 샤오치잉으로부터 국내 학술 기관 12곳의 웹사이트에 대규모 사이버 공격이 발생했습니다. 이 공격은 주로 홈페이지 화면을 바꾸는 디페이스 공격으로 이루어졌으며, 그 목적은 금전적인 이득보다는 핵티비즘을 추구하는 것으로 보였습니다. 디페이스 공격된 페이지에는 샤오치잉 팀 로고와 “우리는 계속해서 한국 정부와 공공망을 해킹할 것”이라는 메시지 등이 남겨지거나, 피해 기업들로부터 탈취한 개인정보가 온라인에 공개되는 행위도 이루어졌습니다.

샤오치잉은 피해 서버에 침투하기 위해 다양한 방법을 사용했습니다. 그 중에는 SQL Injection, 오래된 버전의 WebLogic의 취약점(1-day) 등이 확인되었습니다. 특히, /.vscode/sftp.json 파일이 웹 경로에서 접근 가능했는데, 이 파일은 개발 환경에서 사용되는 파일로 SSH 계정 정보를 담고 있었으며 공격자가 SSH 계정 정보를 통해 직접 서버에 접근할 수 있게 하였습니다. 게다가, WebLogic을 사용하는 피해 기업 중 3곳은 보안 업데이트를 소홀히 하고 10년이나 지난 버전을 사용하고 있다는 사실이 알려져 많은 충격을 주었습니다.

이러한 사례는 사이버 공격에 대비하고 보안 조치를 적극적으로 강화해야 함을 알려주며, 모든 기업과 개인은 보안 업데이트를 적극적으로 시행하고 취약점 분석, 교육, 정보 공유에 충분한 주의를 기울여야 합니다.

3.1 Reference

• https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=71066

4. LockBit 3.0 랜섬웨어 조직, 국세청 해킹 주장

2023년 3월 29일 LockBit 3.0 랜섬웨어 조직은 국세청 홈페이지인 nts.go.kr을 해킹했다고 주장하며, 4월 1일 10시 57분에 해당 자료를 공개하겠다고 밝혔습니다. 이에 대응하여 국세청은 관련한 공격 및 피해를 받은 적이 없다고 주장하였으며, 4월 1일 LockBit 조직이 공개할 자료에 대해 많은 궁금증을 자아낸 적이 있습니다.

LockBit 조직이 공개한 국세청 자료는 무엇이었을까요? 직접 LockBit 블로그를 방문하여 확인해본 결과 자료를 모두 공개했다고 설명하고 있지만 관련한 링크나 첨부파일, 추가적인 정보는 기재되지 않은 모습이었습니다.

결과적으로 LockBit 3.0 조직은 국세청과 관련한 자료를 공개하지 못하였으며, 이는 국세청을 대상으로 한 허위 피싱인 것으로 밝혀졌습니다.

이 사건과 관련하여 각 기관과 기업들은 랜섬웨어에 감염되지 않도록 보안에 주의를 기울이는 것도 중요하지만, 평상시에 자사 서비스가 공격당하거나 이상 징후가 있는지 주기적으로 모니터링하여 침해에 대응할 수 있는 프로세스를 구축하는 것 또한 중요하다는 의미를 내포하고 있습니다. 공격 시도나 이상 징후에 대한 모니터링이 이루어지지 않은 채 큰 규모의 랜섬웨어 조직으로부터 이와 같은 피싱이 발생할 경우, 이에 속아 추가적인 피해가 더 발생할 수 있기에 주의를 기울여야 합니다.

5. BingBang (MS Azure 클라우드 서비스 취약점)

클라우드 보안 분야에서 역사적인 수준의 성장을 보여주고 있는 Wiz 리서치 팀에서 또한번 MS Azure에 존재하는 매우 크리티컬한 취약점을 발견했습니다. Wiz가 공개한 바에 따르면 BingBang으로 작명된 해당 취약점 체인은 Azure Active Directory (AAD)서비스에 존재하는 설정 취약점들로, 멀티 테넌트 환경에서 앱 생성시 토큰에 대한 부적절한 유효성 검사로 인해 발생했습니다.

공격자는 해당 취약점을 통해 AAD의 일반 사용자 계정으로 Bing Content Management System (CMS)인 “Bing Trivia” 애플리케이션에 접근할 수 있었고, 해당 애플리케이션에 존재하는 XSS 취약점을 추가로 활용하여 결국 Bing 사용자들의 Microsoft 서비스 관련 토큰들을 얻어낼 수 있었습니다.

아래는 Wiz에서 공개한 취약점 트리거의 결과물로, Bing CMS에 직접 접근해 검색 결과를 원하는대로 (“Hackers”) 조작한 모습을 확인할 수 있습니다.

BingBang 취약점은 올해 1월부터 빠르게 패치가 시작되어 3월에 관련된 모든 애플리케이션들에 대한 패치가 완료된 상태입니다. Wiz에서 공개한 관련 타임라인은 아래와 같습니다.

• Jan. 31, 2023 — Wiz Research reported the Bing issue to MSRC

• Jan. 31, 2023 — MSRC issues initial fix to Bing app

• Feb. 25, 2023 — Wiz Research reported the other vulnerable applications to MSRC

• Feb. 27, 2023 — MSRC starts issuing fixes for said applications

• Mar. 20, 2023 — MSRC states that all the reported applications are now fixed

• Mar. 28, 2023 — MSRC awards Wiz Research with $40,000 bug bounty

• Mar. 29, 2023 — Public disclosure

저희 티오리에서도 BingBang을 비롯해 최근 발견되고 있는 클라우드 서비스 취약점들의 파급력과 그 중요도를 절감하여 이들 클라우드 서비스 제공업체에 관련된 취약점 동향과 보안 대응에 대해 앞선 포스팅(최신 클라우드 서비스 제공업체 (CSP) 취약점 동향과 보안 대응 (2022 ~ 2023년))을 통해 공유드린바 있습니다. 궁금하시다면 해당 포스팅을 꼭 확인하시기 바랍니다.

BingBang 취약점의 상세한 디테일과 Wiz 팀의 취약점 연구에 대해 더 알고 싶으시다면 아래 Wiz 리서치 팀의 블로그를 통해 공개된 자료들을 확인하실 수 있습니다.

5.1 Reference

• https://www.wiz.io/blog/azure-active-directory-bing-misconfiguration

• https://www.wiz.io/blog

6. SHA-3 구현 취약점 (CVE-2022–37454)

SHA-3에 대해 알고 계시나요? SHA-3는 암호화 프로토콜 및 알고리즘에서 사용되는 해시 함수의 한 종류로, 2015년에 NIST에서 공식적으로 발표된 바 있습니다. SHA-3는 암호 체계, 블록체인, 비밀번호 해싱 등 다양한 용도로 사용되고 있으며, 특히 Ethereum 2.0가 SHA-3의 variant중 하나인 Keccak-256을 사용하여 체인의 무결성을 보장하는것으로 알려져 있습니다.

그런데 최근 SHA-3의 구현에서 버퍼 오버플로우 취약점이 발견되었습니다. 해당 취약점(CVE-2022–37454)은 Keccak XKCP SHA-3 구현에서 발견되었으며, 구체적으로는 정수 오버플로우와 그로 인한 스택 메모리 버퍼 오버플로우 취약점으로, 무려 2011년 1월 부터 존재해온 것으로 알려졌습니다. 또한 해당 취약점은 Python, PHP 등의 스크립트 언어를 포함해 해당 코드가 포함된 모든 소프트웨어 프로젝트에 영향을 미치며 최악의 경우 임의 코드 실행 또는 암호 관련 로직 우회까지 이어질 수 있는 것으로 확인되었습니다. 다행히도 2022년 8월 Python, PHP, pysha3 등 널리 사용되는 프로젝트들에서는 취약점이 발견된 XKCP 구현체들에 대한 패치가 적절하게 이뤄져 해당 취약점이 최신 버전 SHA-3에서는 더이상 발생하지 않습니다.

최근에는 다양한 메모리 관련 미티게이션과 솔루션의 등장으로 이전과는 달리 메모리 취약점의 파급 효과가 상당히 줄어들었습니다. 그러나 암호 관련 컴포넌트와 같이 비교적 표준화 작업이 매우 활발하고 명확하게 이뤄지는 분야에서도 아직까지 이와 같은 구현 취약점이 발생한다는 사실이 매우 놀랍게 다가옵니다.

특히 사용자의 개인정보 및 기밀 데이터를 보호하는 데 핵심적인 역할을 수행하는 암호 관련 컴포넌트와 같이 보안에 중요한 역할을 하는 영역에서도 여전히 이러한 구현 취약점이 발생한다는 사실은 매우 우려스러운 일입니다. 따라서, 이러한 암호 관련 컴포넌트의 구현 취약점에 대한 주의가 여전히 필요합니다. 새로운 취약점이 발견되면 보안 전문가들은 신속하게 조치를 취하여 이를 해결하고 향후 발생 가능성을 최소화해야 합니다. 또한, 적절한 표준 및 가이드라인 적용을 통해 일관성과 보안성을 강화하고, 개발자들에 대한 보안 관련 인식 및 지속적인 교육 강화가 필요합니다.

해당 취약점에 대한 자세한 소개를 담은 아래 논문과 해당 논문의 저자가 직접 포스팅한 블로그를 통해 취약점 디테일과 PoC 코드를 포함한 더 많은 정보를 확인하실 수 있습니다.

6.1 Reference

• https://eprint.iacr.org/2023/331

• https://mouha.be/sha-3-buffer-overflow/

7. Google TLD

Google은 5월달에 8개의 새로운 TLD (top-level domain)를 출시 했습니다. 이 중, 평소에 자주 사용하는 파일 확장자로 오인될 수 있는 .zip 과 .mov 도메인에 대해 논란이 있었는데요. .zip 과 .mov 는 보통 사용자가 의심하지 않기 때문에, 링크를 클릭하면 피싱 사이트에 접속하게 되거나 악성 프로그램을 다운로드 받을 수 있는 과정으로 이어질 수 있습니다.

여러분은 아래 2개의 링크 중, 진짜 wordpress zip 다운로드 링크를 구별할 수 있나요?

• https://github.com∕WordPress∕WordPress∕archive∕refs∕heads∕@latest.zip

• https://github.com/WordPress/WordPress/archive/refs/heads/master.zip

진짜 wordpress zip 다운로드 링크는 두번째 링크 입니다. 첫번째 링크를 클릭하면, zip 파일이 다운로드 되지 않고 youtube 사이트로 이동되는 것을 볼 수 있습니다. 이러한 이유는 아래 사진에서 URI 구조를 보면 알 수 있습니다. @ 는 유저 정보로 취급되며, @ 뒤는 host로 인식합니다. 따라서 http://google.com@theori.io 와 같이 앞에는 google 도메인으로 되어 있지만, 링크를 클릭하면 google 사이트가 아닌 theori 사이트로 이동됩니다.

하지만 @ 앞에 / 문자가 있으면, 브라우저는 / 이후 path로 인식합니다. 따라서 http://google.com/@theori.io 링크는 정상적으로 google 사이트로 이동됩니다. / 문자와 비슷하게 생긴 unicode 문자 ⁄(U+2044) 가 포함되면, 브라우저는 path 구분자로 인식하지 않습니다. 따라서 공격자는 zip 도메인을 구입하고 unicode ⁄ 와 @를 이용하여 사용자를 쉽게 속일 수 있는 피싱 사이트를 만들 수 있습니다.

아래는 공격자가 피해자에게 zip 파일인 것 처럼 속여, 다운로드를 유도하는 시나리오 입니다 [출처]. 공격자는 @ 문자만 1폰트로 작게 만들어 피해자에게 메일을 전송합니다. 피해자는 zip 파일 인줄 알고 다운로드 하지만, 실제로 exe 파일이 다운로드 되는 것을 볼 수 있습니다. 만약 피해자가 윈도우를 사용하고 있고 확장자 표시를 하지 않는 옵션을 활성화 했다면, evil.zip.exe 라는 파일이름은 피해자에게는 evil.zip 으로 보이기 때문에, 압축 해제를 위해 실행할 수 있습니다.

평소에 자주 사용하는 파일 확장자로 오인될 수 있는 .zip 과 .mov 도메인의 출시로 인해, 신뢰할 수 있는 도메인과 파일 확장자 만으로 피싱 사이트를 걸러내기 어려워졌습니다. 이처럼 피싱의 기술이 고도화 되고 있기 때문에, 사용자는 모르는 사람으로부터 받은 링크를 클릭하기 전에 주의를 기울여야 합니다. 아래 사진은 방문할 링크에 마우스를 올린 뒤, 왼쪽 밑에 실제 방문할 도메인이 출력되는 모습입니다.

7.1 Reference

• https://domains.google/tld/zip/

• https://medium.com/@bobbyrsec/the-dangers-of-googles-zip-tld-5e1e675e59a5

8. 3CX Supply Chain Attack

2023년 3월, 라자루스 그룹의 소행으로 알려진 3CX Supply Chain Attack 이라는 큰 이슈가 있었습니다. 공격 대상은 채팅, 화상 통화, 음성 통화를 포함하여 사용자에게 커뮤니케이션을 제공하는 해외 유명 VoIP 3CX 라는 회사 입니다. 공격자는 3CX 공식 데스크톱 앱 소프트웨어에 keylogging 및 추가 페이로드를 다운받는 악의적인 코드를 삽입하여, 새로운 업데이트 버전으로 배포했습니다. 문제를 파악한 3CX는 공식 사이트에서 영향을 받은 버전에 대해 삭제 및 대처 방안을 공유했습니다.

mandiant 보안 회사에서 조사한 결과, 공격자는 Trading Technologies 에서 개발한 X_TRADER 프로그램에 악의적인 코드를 삽입하여 이를 공식 홈페이지에 게시합니다. 사용자는 Trading Technologies 홈페이지에서 감염된 X_TRADER 프로그램을 다운 받았는데, 이 중 3CX 직원이 이 프로그램을 다운로드 받아 실행한 것입니다.

공격자는 감염된 3CX 직원의 PC에서 정보를 획득하고 FRP (Fast Reverse Proxy) 라는 오픈소스 툴을 사용합니다. 이 툴은 NAT나 방화벽 뒤에 있는 로컬 서버를 인터넷에 노출할 수 있는 빠른 역방향 프록시 툴입니다. 공격자는 이 툴을 이용하여 측면 이동 (Lateral Movement)으로 정보를 수집했습니다. (실제 사례로, 이 툴은 한국을 대상으로 APT 공격을 수행할 때 사용된 사례가 있습니다. 관련 링크)

공격자는 최종적으로 획득한 정보를 이용하여 Windows 와 macOS 빌드 환경을 손상 시켰습니다. 손상된 데스크톱 앱을 배포하게 되면서, 사용자는 본인도 모르게 감염 되었습니다. 해당 프로그램을 실행 시, 정상파일로 위장한 dll 파일을 로드합니다. 이후 Github에 올려둔 ico 파일을 다운 받아 C2 서버 주소를 추출하여 추가적인 악성코드를 다운로드 할 수 있는 환경을 만들었습니다.

이번 사건은 Trading Technologies 에서 개발한 X_TRADER 프로그램을 시작으로 Supply Chain Attack을 하고, 이를 다운 받은 사용자 중 3CX 직원이 감염되어, 2차 Supply Chain Attack을 수행한 사건입니다. mandiant 보안 회사는 이 사건을 조사하였고, 최종적으로 라자루스 그룹의 소행으로 확정지었습니다.

국내에서도 관련 피해 사실이 확인 되었으며, 3CX 프로그램을 사용하고 있다면, 3CX 공식 홈페이지에서 설명되어 있는 방법으로 조치 하는 것을 권고 드립니다.

8.1 Reference

• https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise

• https://www.3cx.com/blog/news/desktopapp-security-alert-updates/

• https://www.3cx.com/blog/news/mandiant-security-update2/

• https://asec.ahnlab.com/ko/50965/

마치며

본 포스팅을 통해 2023년 상반기에 발생한 보안 사건/사고를 다루어 보았습니다. 2023년 하반기에도, 티오리 Security Assessment팀은 꾸준한 사례 조사와 기술 연구를 통해 즉각적인 위협부터 잠재적인 위협까지 선제적으로 대응해나갈 예정입니다. 😄

About Theori Security Assessment

티오리 Security Assessment팀은 실제 해커들의 오펜시브 보안 감사 서비스를 통해 고객의 서비스와 인프라스트럭처를 안전하게 함으로써 비즈니스를 보호합니다. 특히, 더욱 안전한 세상을 위해 난제급 사이버보안 문제들을 해결하는 것을 즐기며, 오펜시브 사이버보안의 리더로서, 공격자보다 한발 앞서 대응하고 불가능하다고 여겨지는 문제를 기술중심적으로 해결합니다.

• Security Assessment팀의 오펜시브 보안 감사 서비스에 대해 더 궁금하시다면? contact@theori.io 로 문의 바랍니다.