2012.12.17

최근 은행의 디도스 공격으로 본 교훈

Antone Gonsalves | CSO
한 보안 전문가에 따르면, 디도스(DDoS) 공격에서 사용된 변화 전술을 반영하는 캠페인 중에 미국 주요 은행의 웹사이트가 지난 주 공격받았다

지난 주 자신들을 이즈 애드딘 알-콰쌈 사이버 파이퍼(Izz ad-Din al-Qassam Cyber Fihter)라고 부르는 이 해커 그룹은 미국 뱅콥(US Bancorp), JP모건 체이스&코(JPMorgan Chase & Co.,), 뱅크오브아메리카, PNC 파이낸셜 서비스 그룹, 선트러스트뱅크(SunTrust Bank) 등의 웹 사이트에 대한 공격을 시작했다. 지난9월부터 은행을 대상으로 공격해온 이 그룹은 공격 하루 전에 페이스트빈(Pastebin)에 경고했다.

다행히 디도스 공격이 은행의 온라인 업무를 방해하지는 못했다. 공격 대상 은행들에게 디도스 완화를 수행하는 업체 아버 네트웍스(Abor Netoworks)의 보안연구 담당 이사 댄 홀든은 “이번 공격은 이러한 위협에 직면한 기업들에 중요한 교훈을 준다”라고 밝혔다.

우선, 공격은 방화벽과 침입 방지 시스템과 같은 경계선 방어가 악성 코드에 대한 트래픽을 걸러줄 수는 있지만 오늘날의 복잡한 디도스 공격에 대해서는 무용지물이라는 것을 보여줬다. 대신, 기업들은 웹 사이트 또는 비즈니스 애플리케이션을 내리기 전에 공격에 대한 최신 정보를 제공 할 수 있는 내부 기술이 있어야 한다.

웹 사이트를 압도하는 오프로드 디도스 트래픽을 생성했던 보안 업체들은 자사의 용량 수준을 다시 한 번 살펴봐야 한다고 아버는 전했다. 최근 사이버 공격의 트렌드는 동종 업계에서 여러 기업들을 대상으로 공격을 퍼부으며 이를 완화해주는 서비스 업체들이 자사의 역량을 바꿀 수 있도록 하고 있다.

또다른 교훈은 공격자의 전술이 바뀌고 있다는 것이다. 디도스는 더 이상 사이트 트래픽의 홍수만을 의미하지 않는다. 대신, 은행을 대상으로 한 것과 같은 공격자들은 애플리케이션 단에서 관심을 멀리 돌리기 위해 사이트를 공격하고 있으며, 그 결과 그들은 타깃 공격에서 더 많은 취약점들을 볼 수 있게 됐다.

"기업이 얻은 가장 큰 교훈은 트래픽이 완화됐다 해도 애플리케이션 DoS가 여전히 당신의 정보를 꺼내갈 수 있다는 사실이다"라고 홀든은 강조했다.

웹 애플리케이션에 초점을 맞추는 것은 공격자의 프로필을 바꿔 놓았다. "이번 은행 공격이 세계에서 가장 정교한 공격은 아니지만 이 사람들은 디도스뿐 아니라 웹 애플리케이션에도 분명 능통한 전문가들이다"라고 홀든은 말했다.

사이버 파이터는 최신 팀썸(TimThumb) 플러그인을 사용하여 워드프레스(WordPress) 사이트와 해킹된 PHP 기반 웹 애플리케이션과 함께 서버에서 공격을 시작했다. 제대로 관리되지 않는 사이트들은 공격 툴을 설치하기 쉬운 대상이 된다.

최근 공격에서 보면, 몇 가지를 제외하고는 지난 9월부터 은행에 사용된 도구는 유사한 것으로 나타났다. 가장 눈에 잘 띄는 공격 툴은 소위 잇소크노프라블럼브로(itsoknoproblembro)라는 브로봇(Brobot)이다고 아버는 밝혔다. 이보다 덜 자주 사용되는 두 개의 다른 툴로는 캐미케이즈(KamiKaze)와 AMOS가 있다. ciokr@idg.co.kr



2012.12.17

최근 은행의 디도스 공격으로 본 교훈

Antone Gonsalves | CSO
한 보안 전문가에 따르면, 디도스(DDoS) 공격에서 사용된 변화 전술을 반영하는 캠페인 중에 미국 주요 은행의 웹사이트가 지난 주 공격받았다

지난 주 자신들을 이즈 애드딘 알-콰쌈 사이버 파이퍼(Izz ad-Din al-Qassam Cyber Fihter)라고 부르는 이 해커 그룹은 미국 뱅콥(US Bancorp), JP모건 체이스&코(JPMorgan Chase & Co.,), 뱅크오브아메리카, PNC 파이낸셜 서비스 그룹, 선트러스트뱅크(SunTrust Bank) 등의 웹 사이트에 대한 공격을 시작했다. 지난9월부터 은행을 대상으로 공격해온 이 그룹은 공격 하루 전에 페이스트빈(Pastebin)에 경고했다.

다행히 디도스 공격이 은행의 온라인 업무를 방해하지는 못했다. 공격 대상 은행들에게 디도스 완화를 수행하는 업체 아버 네트웍스(Abor Netoworks)의 보안연구 담당 이사 댄 홀든은 “이번 공격은 이러한 위협에 직면한 기업들에 중요한 교훈을 준다”라고 밝혔다.

우선, 공격은 방화벽과 침입 방지 시스템과 같은 경계선 방어가 악성 코드에 대한 트래픽을 걸러줄 수는 있지만 오늘날의 복잡한 디도스 공격에 대해서는 무용지물이라는 것을 보여줬다. 대신, 기업들은 웹 사이트 또는 비즈니스 애플리케이션을 내리기 전에 공격에 대한 최신 정보를 제공 할 수 있는 내부 기술이 있어야 한다.

웹 사이트를 압도하는 오프로드 디도스 트래픽을 생성했던 보안 업체들은 자사의 용량 수준을 다시 한 번 살펴봐야 한다고 아버는 전했다. 최근 사이버 공격의 트렌드는 동종 업계에서 여러 기업들을 대상으로 공격을 퍼부으며 이를 완화해주는 서비스 업체들이 자사의 역량을 바꿀 수 있도록 하고 있다.

또다른 교훈은 공격자의 전술이 바뀌고 있다는 것이다. 디도스는 더 이상 사이트 트래픽의 홍수만을 의미하지 않는다. 대신, 은행을 대상으로 한 것과 같은 공격자들은 애플리케이션 단에서 관심을 멀리 돌리기 위해 사이트를 공격하고 있으며, 그 결과 그들은 타깃 공격에서 더 많은 취약점들을 볼 수 있게 됐다.

"기업이 얻은 가장 큰 교훈은 트래픽이 완화됐다 해도 애플리케이션 DoS가 여전히 당신의 정보를 꺼내갈 수 있다는 사실이다"라고 홀든은 강조했다.

웹 애플리케이션에 초점을 맞추는 것은 공격자의 프로필을 바꿔 놓았다. "이번 은행 공격이 세계에서 가장 정교한 공격은 아니지만 이 사람들은 디도스뿐 아니라 웹 애플리케이션에도 분명 능통한 전문가들이다"라고 홀든은 말했다.

사이버 파이터는 최신 팀썸(TimThumb) 플러그인을 사용하여 워드프레스(WordPress) 사이트와 해킹된 PHP 기반 웹 애플리케이션과 함께 서버에서 공격을 시작했다. 제대로 관리되지 않는 사이트들은 공격 툴을 설치하기 쉬운 대상이 된다.

최근 공격에서 보면, 몇 가지를 제외하고는 지난 9월부터 은행에 사용된 도구는 유사한 것으로 나타났다. 가장 눈에 잘 띄는 공격 툴은 소위 잇소크노프라블럼브로(itsoknoproblembro)라는 브로봇(Brobot)이다고 아버는 밝혔다. 이보다 덜 자주 사용되는 두 개의 다른 툴로는 캐미케이즈(KamiKaze)와 AMOS가 있다. ciokr@idg.co.kr

X