클라우드 SIEM 전문기업 로그프레소(대표 양봉열)가 2024년 2월 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence) 월간 리포트를 발행했다고 21일 밝혔다.

로그프레소는 현재 누적 침해 지표(IoC) 2억 건 이상, PI(Privacy Intelligence) 780억 건 이상의 CTI 정보를 보유하고 있으며, 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적 중이다. CTI는 사이버 공격 관련 정보를 수집하고 분석해 사이버 위협에 신속하고 정확하게 대응하고자 가공한 형태의 정보다.

로그프레소는 지난 해 말부터 리포트를 제작해 배포하고 있으며, 홈페이지에서도 다운로드 할 수 있다. 현재 영문 버전으로도 발행해 해외 고객을 위해 배포 중에 있다. 회사는 축적한 데이터를 기반으로 작성한 리포트로 글로벌 위협 대응과 효과적인 예방 활동을 지원해 나가겠다는 계획이다.

로그프레소는 2월 CTI 리포트에서 크리덴셜을 유출한 악성코드를 분석해 국가별로 분류했다. 글로벌 차원에서는 최근 남미와 동남아시아에서의 크리덴셜 유출 건수가 급증하는 추세를 보였다.

한국인으로 추정되는 크리덴셜 유출 현황을 살펴보면, 대한민국 국내에서 발생한 크리덴셜 유출이 76%였고, 교민들이 많이 거주하는 북미 지역 외에 필리핀, 태국, 베트남 등 동남아 국가들이 뒤를 이었다. 이는 엔데믹으로 인해 동남아시아 여행이 증가하면서, 동남아시아 현지에서 크리덴셜 유출 사례가 다수 발생한 것으로 보인다.

▲ 한국인 추정 크리덴셜 유출 국가 순위

로그프레소 측은 해외여행 시 무료 와이파이 이용을 주의하고, 가급적 현지 유심 및 테더링 서비스를 이용해 크리덴셜 유출 피해를 예방할 것을 당부했다.

또한 로그프레소는 CTI 리포트에서 김수키(Kimsuky) 악성코드와 모바일 악성 앱 유포 사례를 분석했다.

김수키는 북한 정권의 지원을 받는 해커 그룹으로 한국 안보 관련 정보 수집과 탈북민 사찰을 목적으로 행동한다. 이들은 소프트웨어의 제로데이(Zero-day) 취약점, 워터링 홀(Watering Hole), 스피어 피싱(Spear-Phishing) 등 다양한 공격 방식을 사용하며, 특히 타깃 맞춤형 스피어 피싱 공격을 적극 활용한다.

로그프레소는 2023년 김수키 측이 유포한 악성 스크립트를 수집하고 분석해 어떠한 방식으로 공격에 활용하는지 설명했다.

▲ 한글문서 실행 화면 예시

공격자는 수신자가 호기심을 가질만한 내용이나 업무 관련 내용을 전송해 답변을 유도하고, 답변을 보낸 수신자에게 악성코드를 첨부한 메일을 보내 감염시키는 방식을 사용한다. 실제로 화면 상에 표시되는 ‘사례비 지급의뢰서’ 문서 파일은 정상이지만 백그라운드에서 악성 행위를 수행해 시스템을 장악하게 된다.

장상근 로그프레소 연구소장은 “악성코드 분석 도중에도 김수키 등 공격자 서버는 빠르게 폐기돼 사라진다”며 “실시간으로 침해 지표를 제공하는 CTI 서비스를 활용해 심각한 악성코드 감염과 침해를 효과적으로 탐지해야 할 것”이라고 전했다.