클라우드 서비스 이용자의 자동백업 정보 구글 검색 노출
트루콜러앱, 안드로이드 기기에 영향 줄 수 있는 원격코드 실행 취약점 발견
[발췌] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
[보안뉴스 김경애] 클라우드 서비스 이용자의 자동 백업된 정보가 구글 검색을 통해 노출되는 문제가 발생했으며, 전 세계 20만개 이상의 기업에서 사용하는 전자결제 시스템 마젠토를 노리는 랜섬웨어가 등장했다. 뿐만 아니라 스팸 전화를 필터링해주는 트루콜러(Truecaller) 앱에서 1억대의 안드로이드 기기에 영향을 줄 수 있는 원격코드 실행 취약점도 발견됐다. 다음은 한 주간 발생한 주요 보안이슈다.
▲지난 3월 31일 구글검색을 통해 노출된 바이두 클라우드 사용자들의 휴대폰 사진첩 리스트(출처: 알약블로그)
1. 클라우드 서비스 이용자의 자동백업 정보 구글 검색 노출
클라우드 서비스 이용자의 자동백업된 정보가 구글 검색을 통해 노출되는 사건이 발생했다. 자동백업 기능은 내 휴대폰과 컴퓨터에 있는 문서, 사진 파일 등을 자동으로 클라우드에 저장시켜주는 기능이다.
이러한 가운데 지난 3월 31일 구글에서 ‘site:yun.baidu.com来自iPhone’ 키워드로 바이두 클라우드 사용자들의 휴대폰 사진첩이 검색됐다.
알약 블로그에 따르면 바이두 클라우드 사용자가 자신의 사진을 올리면 반공개 상태로 업로드됐으며, 어떤 사람이 개인 바이두 클라우드 상의 사진을 찾고자 하면 기본적으로 검색이 가능하다고 밝혔다.
이번 사건에 대해 바이두 측은 “검색엔진에서 사용자 정보 검색이 가능한 것은 사용자가 바이두 클라우드 사진을 공개로 설정했기 때문”이라며 “사용자 사진을 바이두 클라우드 자체적으로 설정을 공개로 바꿀 수 없다”고 밝혔다. 바이두 클라우드의 자동 백업 기능은 기본적으로 비활성화되어 있으며, 사용자가 활성화시켜야 가능하다는 게 바이두 측의 설명이다.
사용자의 편리성을 향상시키기 위해 개발된 기능이 오히려 사용자 정보의 유출통로가 된 셈이다. 따라서 이용자는 클라우드 서비스의 자동백업 기능의 세부 설정 내용을 확인해 개인정보가 유출되지 않도록 주의해야 한다.
2. 킴실웨어 랜섬웨어의 주 타킷, 마젠토
---------------------------------------------중 략---------------------------------------------
3. 트루콜러앱, 원격코드 실행 취약점 발견
---------------------------------------------중 략---------------------------------------------
4. 변종 광고프로그램, 플러스매칭 주의
국내에서 제작된 ‘Windows Explorer usewillch .NET Service Pack 1’ 악성 광고 프로그램이 업데이트 기능을 통해 삭제 기능을 제공하지 않는 또 다른 플러스매칭(PlusMatching) 변종 광고 프로그램을 설치하는 것으로 추정된다.
보안전문 파워블로거 울지않는벌새는 “해당 악성 광고 프로그램은 2015년 12월 초에 최초 발견된 것으로 보이며, ‘C:\Users\(로그인 계정명)\AppData\Roaming\fusewill’ 폴더에 파일을 생성한다”며 “‘fusewilll’ 서비스 항목을 등록해 시스템 시작 시 로그인 계정명 파일을 자동 실행해 광고 기능을 수행하는 파일을 로딩해 메모리에 상주시킨다”고 분석했다.
fusewill.exe 파일은 업데이트 정보 및 실행 카운터를 체크한 후 광고 모듈을 로딩한다. 만약 업데이트 체크 과정에서 추가적인 변종 광고 정보가 등록되어 있는 경우 update.exe 파일 다운로드 및 자동 실행을 통해 또 다른 형태의 플러스매칭 광고 프로그램을 설치하는 것으로 추정된다. 또한, 로딩된 usewill.dll 광고 모듈은 인터넷 검색 활동 중 광고 배너(창)을 생성하는 동작이 수행될 수 있다.
이러한 플러스매칭 광고 프로그램을 제거하기 위해서는 보조 프로그램 → ‘명령 프롬프트’ 메뉴를 ‘관리자 권한으로 실행’해 생성된 sc stop fusewilll과 sc delete fusewilll 서비스 레지스트리 값을 자동 삭제해야 한다.
이어 Windows 작업 관리자를 실행해 fusewill.exe 프로세스를 찾아 종료한 이후, C:\Users\(로그인 계정명)\AppData\Roaming\fusewill과 C:\Windows\System32\Tasks\usewills 폴더 및 파일을 삭제해야 한다.
마지막으로 레지스트리 편집기(regedit)를 실행해 레지스트리 값이 존재할 경우 삭제하면 된다.
[김경애 기자(boan3@boannews.com)]
| 국내(한국) 서버호스팅 | 일본 서버호스팅 |
| ○ Intel® Xeon® Octa Core E5-2670 x 2CPU 24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps |
○ Intel Xeon Quad Core L5520 x 2CPU (센다이) 24GB DDR RAM , 1TB SATA3 HDD 구성 |
| ○ Intel® Xeon® Quad Core L5520 x 2CPU 24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps |
○ Intel Xeon Quad Core E3-1260L 2.40 GHz (도쿄) 8GB DDR RAM , 1TB SATA3 , 15Mbps |
| ○ Intel® Xeon® Quad Core E3 1230 8GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps |
○ Intel Xeon Hexa(Six) Core L5640 x 2CPU (센다이) 24GB DDR RAM , 1TB SATA3 HDD 구성 |
| 국내 코로케이션 | 일본 서버호스팅의 필수 보안서비스 |
| 1U 80,000원 / 2U 100,000원 / 4U 130,000원 쿼터 220,000원 / 하프 370,000원 / 풀 670,000원 |
DDoS(디도스) 보안서비스 + 웹방화벽 패키지 서비스 문의(070-7600-5513) |
| 1. 디도스 우회 proxy 보안서비스를 통한 웹서버 IP 숨김지원 | |
| 무료 보안 컨설팅 | 2. 웹취약점을 통한 로그인 탈취 및 데이터 손실 방어를 위한 실시간 웹방화벽 차단서비스 |
| 귀사의 서버에 보안침해를 경험하셨거나, 보안취약점 점검을 받아보시고자 하시면 언제든지 전화 및 메일 주시면 보안취약성 점검을 통한 보안레포트를 제공해드리겠습니다. 보안취약성 점검을 위한 무상장비는 웹방화벽, IPS 무상 지원해드립니다. |
홍콩 서버호스팅 |
| ○ Intel Xeon E3-1230Lv3 Core 8GB DDR RAM / 500GB SATA 구성 | |
| ○ Intel Xeon E3-1230Lv3 Core 8GB DDR RAM / 128 SSD 구성 | |
| 서비스문의 | |
| ◎ IDC사업부 : 070-7600-5513(3095, 7311) | ◎ 메일주소 : request@ehostidc.co.kr |
| ◎ 스카이프 : Sales_Team_EhostIDC ( 또는 '이호스트' 'ehostidc' 검색) | |
| ◎ 신청문의 : http://cc.ehostidc.co.kr/index.php?/cart/ | |
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
| 랜섬웨어에 대비하고 계십니까? 보안기술 예방법 -1편 (0) | 2016.04.12 |
|---|---|
| 서버호스팅 리눅스 서버의 바이러스 감염 사례 (1) | 2016.04.11 |
| PC 정상적인 부팅 불가능하게 만드는 랜섬웨어 출현 (0) | 2016.03.31 |
| 홍콩, 일본서버호스팅 보안 가이드. Oracle Java SE Critical Patch Update 권고 (0) | 2016.03.28 |
| 홍콩, 일본서버호스팅 보안 가이드. Apple(iOS, watchOS, tvOS, Xcode, OS X El Capitan, OS X Server, Safari) 보안 업데이트 권고 (0) | 2016.03.28 |