Offcanvas

악성코드

'송금 잡범에서 경제 사범으로...' 금융기관 해킹은 진화 중

금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다.    랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다. VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다. 보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다.  만연한 콘티(Conti) 랜섬웨어  설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다.  응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다.  이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. ...

랜섬웨어 포트폴리오 주식 거래 데이터 사이버 공격 사이버보안 금융기관 내부자 거래

2022.04.21

금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다.    랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다. VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다. 보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다.  만연한 콘티(Conti) 랜섬웨어  설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다.  응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다.  이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. ...

2022.04.21

윈도우 RPC 패치, 곧바로 적용해야 할 이유

마이크로소프트의 월간 패치 주기에 따라 지난주에도 100개 이상의 취약성이 패치됐다. 이중 보안 전문가들이 유독 우려하는 취약성이 하나 있는데, 바로 윈도우 RPC(Remote Procedure Call) 런타임에 위치한 RCE(Remote Code Execution) 취약성이다. CVE-2022-26809로 추적되는 이 결함은 사용자 개입 없이 네트워크로 악용할 수 있으며, 여러 개의 프로토콜을 트리거로 사용한다. 윈도우에서 네트워크로 통신할 때 RPC를 사용했던 과거 주요 봇넷(Botnet)이 떠오르는 취약성이다.   SANS ISC(Internet Storm Center)의 설립자 요하네스 울리히는 권고에서 “이 취약성을 방지하는 방법은 패치밖에 없기 때문에 미루지 말기를 바란다. 바로 패치 후 4월 업데이트 전체를 적용하자. 네트워크 안에서 유사한 영향이 주는(NFS[Network File System] 결함 등) 다른 여러 치명적인 결함도 해결한다. 윈도우에서는 RPC를 끌 수 없기 때문에 문제가 발생할 것이고, RPC는 SMB[Server Message Block]보다 기능이 많다”라고 조언했다.   CVE-2022-26809 처리가 까다로운 이유 CVE-2022-26809 결함은 마이크로소프트가 이번 달에 패치한 3개 중 하나다. 나머지 2개인 CVE-2022-24492와 CVE-2022-24528의 공격 벡터는 클라이언트 측이며, 공격자는 사용자를 속여 RPC 호스트를 호출하고 RPC 서비스와 같은 권한으로 코드를 실행하는 특수 제작 스크립트를 실행한다. 반면, CVE-2022-26809 익스플로잇은 완전히 서버 측이라서 사용자 개입이 필요하지 않다. 공격자는 연결을 준비하는 RPC 서비스가 있는 시스템을 찾아 익스플로잇 공격을 전송하기만 하면 된다. 결함이 발표된 이후로 보안 전문가 커뮤니티에는 취약성에 도달하기 위해 어떤 프로토콜을 사용할지를 두고 논란이 일었다. 그 이유를 알기 위해서는 RPC의 원리를 이해하는 것...

윈도우취약점

2022.04.20

마이크로소프트의 월간 패치 주기에 따라 지난주에도 100개 이상의 취약성이 패치됐다. 이중 보안 전문가들이 유독 우려하는 취약성이 하나 있는데, 바로 윈도우 RPC(Remote Procedure Call) 런타임에 위치한 RCE(Remote Code Execution) 취약성이다. CVE-2022-26809로 추적되는 이 결함은 사용자 개입 없이 네트워크로 악용할 수 있으며, 여러 개의 프로토콜을 트리거로 사용한다. 윈도우에서 네트워크로 통신할 때 RPC를 사용했던 과거 주요 봇넷(Botnet)이 떠오르는 취약성이다.   SANS ISC(Internet Storm Center)의 설립자 요하네스 울리히는 권고에서 “이 취약성을 방지하는 방법은 패치밖에 없기 때문에 미루지 말기를 바란다. 바로 패치 후 4월 업데이트 전체를 적용하자. 네트워크 안에서 유사한 영향이 주는(NFS[Network File System] 결함 등) 다른 여러 치명적인 결함도 해결한다. 윈도우에서는 RPC를 끌 수 없기 때문에 문제가 발생할 것이고, RPC는 SMB[Server Message Block]보다 기능이 많다”라고 조언했다.   CVE-2022-26809 처리가 까다로운 이유 CVE-2022-26809 결함은 마이크로소프트가 이번 달에 패치한 3개 중 하나다. 나머지 2개인 CVE-2022-24492와 CVE-2022-24528의 공격 벡터는 클라이언트 측이며, 공격자는 사용자를 속여 RPC 호스트를 호출하고 RPC 서비스와 같은 권한으로 코드를 실행하는 특수 제작 스크립트를 실행한다. 반면, CVE-2022-26809 익스플로잇은 완전히 서버 측이라서 사용자 개입이 필요하지 않다. 공격자는 연결을 준비하는 RPC 서비스가 있는 시스템을 찾아 익스플로잇 공격을 전송하기만 하면 된다. 결함이 발표된 이후로 보안 전문가 커뮤니티에는 취약성에 도달하기 위해 어떤 프로토콜을 사용할지를 두고 논란이 일었다. 그 이유를 알기 위해서는 RPC의 원리를 이해하는 것...

2022.04.20

“‘AWS 람다’ 표적으로 노린 맬웨어가 발견됐다”

새 암호화폐 채굴 맬웨어는 쉽게 배포할 수 있도록 고(Go)로 작성됐으며, AWS의 자체 오픈소스 고 라이브러리를 사용한다.  맬웨어 개발자는 트렌드를 따라간다. 특히, 공격자는 타깃 조직에서 사용하는 것과 동일한 기술을 채택한다. 최근 카도 시큐리티(Cado Security)의 연구진이 사용자 제공 애플리케이션 코드를 온디맨드로 실행하도록 설계된, 이른바 서버리스 컴퓨팅 플랫폼 ‘AWS 람다(AWS Lambda)’ 내부에서 실행되는 암호화폐 채굴기를 발견했다고 밝혔다.  연구진은 “이 첫 번째 샘플은 암호화폐 채굴 소프트웨어만 실행한다는 점에서 무해하긴 하지만 공격자가 클라우드 관련 전문 지식을 활용하여 복잡한 클라우드 인프라를 악용하는 방법을 보여주며, 이는 잠재적으로 굉장히 위험한 공격이 될 수 있다”라고 말했다.    ‘데노니아(Denonia)’  고랭으로 작성된 이 맬웨어는 (공격자가 도메인에 부여한 이름을 따서) ‘데노니아(Denonia)’라고 명명됐으며, 리눅스용 64-bit ELF 실행 파일로 발견됐다. 카도 시큐리티 연구진은 이 맬웨어가 어떻게 배포되는지 정확하게 파악하진 못했지만 손상된 AWS 액세스 자격증명 및 시크릿 키(Secret Keys)가 관련됐을 가능성이 있다고 봤다.  한편 구글의 고 언어로 작성된 맬웨어가 새로운 것은 아니다. 맬웨어를 크로스 플랫폼 및 독립형으로 만드는 간편한 방법을 제공한다는 점에서 이는 최근 몇 년 동안 점점 더 보편화되고 있는 추세다. 물론 단점도 있다. 바이너리 파일이 크다는 것이다. 운영체제에 이미 존재하는 라이브러리에 동적으로 연결되는 대신, 프로그램이 필요로 하는 모든 라이브러리를 포함해야 하기 때문이다.  여러 프로그래밍 언어로 된 코드를 지원하도록 설계된 서버리스 컴퓨팅 플랫폼은 코드를 쉽게 배포할 수 있도록 지원한다. AWS 람다는 기본적으로 자바, 고, 파워셸, 노드닷제이에스, C#, 파이썬, 루비를 지원한다. 사용자가...

AWS 람다 서버리스 컴퓨팅 데노니아 맬웨어 암호화폐 채굴 XM리그

2022.04.07

새 암호화폐 채굴 맬웨어는 쉽게 배포할 수 있도록 고(Go)로 작성됐으며, AWS의 자체 오픈소스 고 라이브러리를 사용한다.  맬웨어 개발자는 트렌드를 따라간다. 특히, 공격자는 타깃 조직에서 사용하는 것과 동일한 기술을 채택한다. 최근 카도 시큐리티(Cado Security)의 연구진이 사용자 제공 애플리케이션 코드를 온디맨드로 실행하도록 설계된, 이른바 서버리스 컴퓨팅 플랫폼 ‘AWS 람다(AWS Lambda)’ 내부에서 실행되는 암호화폐 채굴기를 발견했다고 밝혔다.  연구진은 “이 첫 번째 샘플은 암호화폐 채굴 소프트웨어만 실행한다는 점에서 무해하긴 하지만 공격자가 클라우드 관련 전문 지식을 활용하여 복잡한 클라우드 인프라를 악용하는 방법을 보여주며, 이는 잠재적으로 굉장히 위험한 공격이 될 수 있다”라고 말했다.    ‘데노니아(Denonia)’  고랭으로 작성된 이 맬웨어는 (공격자가 도메인에 부여한 이름을 따서) ‘데노니아(Denonia)’라고 명명됐으며, 리눅스용 64-bit ELF 실행 파일로 발견됐다. 카도 시큐리티 연구진은 이 맬웨어가 어떻게 배포되는지 정확하게 파악하진 못했지만 손상된 AWS 액세스 자격증명 및 시크릿 키(Secret Keys)가 관련됐을 가능성이 있다고 봤다.  한편 구글의 고 언어로 작성된 맬웨어가 새로운 것은 아니다. 맬웨어를 크로스 플랫폼 및 독립형으로 만드는 간편한 방법을 제공한다는 점에서 이는 최근 몇 년 동안 점점 더 보편화되고 있는 추세다. 물론 단점도 있다. 바이너리 파일이 크다는 것이다. 운영체제에 이미 존재하는 라이브러리에 동적으로 연결되는 대신, 프로그램이 필요로 하는 모든 라이브러리를 포함해야 하기 때문이다.  여러 프로그래밍 언어로 된 코드를 지원하도록 설계된 서버리스 컴퓨팅 플랫폼은 코드를 쉽게 배포할 수 있도록 지원한다. AWS 람다는 기본적으로 자바, 고, 파워셸, 노드닷제이에스, C#, 파이썬, 루비를 지원한다. 사용자가...

2022.04.07

알고도 속는 5가지, 몰라서 속는 4가지 '소셜 엔지니어링' 속임수

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

사회공학 해킹 소셜 엔지니어링 사이버 공격 랜섬웨어 악성코드 악성 소프트웨어 이메일 피싱 피싱 공격 전화 피싱

2022.03.30

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

2022.03.30

“비다르(Vidar) 악성코드 포함된 MS 도움말 파일 발견돼”

美 보안 회사 트러스트웨이브(Trustwava)가 ‘비다르(Vidar)’ 스파이웨어 패키지를 포함한 신종 이메일 캠페인을 발견했다고 공식 블로그를 통해 밝혔다. 해당 이메일 맬웨어에 첨부된 파일은 마이크로소프트의 CHM(Compiled HTML) 도움말 파일로 위장하고 있어 주의가 필요하다.    회사에 따르면 이메일 캠페인에 첨부된 파일은 워드 문서(request.doc)로 표시돼 있지만 실제로는 비다르 페이로드와 ISO로 패키지돼 있다. 이를 열면 ‘CHM’을 사용하는 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe)이 나온다. 트러스트웨이브의 연구원 다이애나 로페라는 “타깃이 가짜 문서(request.doc)를 열고 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe) 중 하나를 실행하면 악성 패키지가 트리거되고 시스템이 손상된다”라고 설명했다.    해당 공격에 사용된 CHM 파일은 대부분 합법적인 복사본이지만 HTML 응용 프로그램(HTA) 코드가 숨겨져 있다. 이 추가 코드는 CHM 파일이 실행될 때 백그라운드에서 악성 파일을 자동으로 실행한다.  이번 이메일 캠페인에서 확인된 비다르 버전은 모두 50.3이며, 오픈소스 소셜 네트워크 플랫폼 마스토돈(Mastodon)의 계정에서 C&C 서버를 검색한다고 회사 측은 전했다. 악성코드가 실행되면 마스토돈 페이지를 통해 식별한 C&C 서버에서 구성정보를 다운로드하고 작업을 시작한다. 먼저 브라우저 및 기타 애플리케이션에서 시스템 정보와 비밀번호 데이터를 수집하고, 해당 정보를 ZIP 파일로 C&C 서버에 전송한다. 그다음 감염된 시스템에 다른 맬웨어를 설치하고 자신을 삭제한다. 로페라는 “의심하지 않는 파일 형식에 악성 파일을 추가하는 것은 공격자가 탐지를 피하기 위해 사용하는 속임수 중 하나”라고 언급했다.  한편, 클라우드 보안 업체 인포블록스(Infoblox)의...

맬웨어 악성 소프트웨어 비다르

2022.03.28

美 보안 회사 트러스트웨이브(Trustwava)가 ‘비다르(Vidar)’ 스파이웨어 패키지를 포함한 신종 이메일 캠페인을 발견했다고 공식 블로그를 통해 밝혔다. 해당 이메일 맬웨어에 첨부된 파일은 마이크로소프트의 CHM(Compiled HTML) 도움말 파일로 위장하고 있어 주의가 필요하다.    회사에 따르면 이메일 캠페인에 첨부된 파일은 워드 문서(request.doc)로 표시돼 있지만 실제로는 비다르 페이로드와 ISO로 패키지돼 있다. 이를 열면 ‘CHM’을 사용하는 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe)이 나온다. 트러스트웨이브의 연구원 다이애나 로페라는 “타깃이 가짜 문서(request.doc)를 열고 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe) 중 하나를 실행하면 악성 패키지가 트리거되고 시스템이 손상된다”라고 설명했다.    해당 공격에 사용된 CHM 파일은 대부분 합법적인 복사본이지만 HTML 응용 프로그램(HTA) 코드가 숨겨져 있다. 이 추가 코드는 CHM 파일이 실행될 때 백그라운드에서 악성 파일을 자동으로 실행한다.  이번 이메일 캠페인에서 확인된 비다르 버전은 모두 50.3이며, 오픈소스 소셜 네트워크 플랫폼 마스토돈(Mastodon)의 계정에서 C&C 서버를 검색한다고 회사 측은 전했다. 악성코드가 실행되면 마스토돈 페이지를 통해 식별한 C&C 서버에서 구성정보를 다운로드하고 작업을 시작한다. 먼저 브라우저 및 기타 애플리케이션에서 시스템 정보와 비밀번호 데이터를 수집하고, 해당 정보를 ZIP 파일로 C&C 서버에 전송한다. 그다음 감염된 시스템에 다른 맬웨어를 설치하고 자신을 삭제한다. 로페라는 “의심하지 않는 파일 형식에 악성 파일을 추가하는 것은 공격자가 탐지를 피하기 위해 사용하는 속임수 중 하나”라고 언급했다.  한편, 클라우드 보안 업체 인포블록스(Infoblox)의...

2022.03.28

여전히 사용되는 ‘해묵은’ 공격 벡터 7가지

오늘날 디지털 혁명 시대에도 악의적 해커는 수십 년 전의 공격 벡터를 계속 사용하고 있다. 최근 한 연구에서는 오래 전에 사용된 특정 공격이 부활한 기간을 보여주기도 했다. 공격은 시간이 지나면서 조금씩 바뀔 수 있지만 감염과 배포, 확산 지점은 그대로 유지되며 심각한 데이터 유출을 야기할 수 있다. ETI(Egress Threat Intelligence) 부사장 잭 채프먼은 “사이버 범죄자는 기존에 자신이 선호하던 공격 방식을 재사용하는 경향이 있다. 특히, 법률집행 및 보안팀의 노력으로 새로운 공격 벡터가 차단되거나 실행되지 않을 때 더욱 그렇다”라고 말했다.   CNSS(Cato Networks Strategic Security) 엔지니어 피터 리도 채프먼의 말에 동의하며 사이버 범죄자가 오래된 공격 벡터를 사용하는 대표적인 이유 2가지로 경제와 표적 획득을 들었다. 리는 “나날이 발전하는 익스플로잇 공격 시장은 공격자가 표적에 가하는 모든 공격에 가격을 붙인다. 가격은 매우 다양하기 때문에 공격자는 저렴한 공격을 시도해 목적을 달성하려고 할 것이다. 예를 들어, 2017년에 만든 패치되지 않은 웹 서버 CVE로 동일한 표적을 해킹할 수 있다면 굳이 200만 달러의 아이폰 제로데이를 구매할 필요가 없다. 또한, 사이버 보안이 전반적으로 개선돼 사이버 범죄자의 메시지가 주요 표적에게 도달하는 것이 더욱 어려워졌다. 이로 인해 여러 방어자의 레이더에서 벗어난 오래된 벡터에 의지할 수밖에 없는 경우가 많다”라고 말했다. 사이버 범죄자가 여전히 사용 중인 오래된 7가지 공격 벡터와 실질적인 대응책도 살펴보자.   1. 시스템을 감염시키고 악성코드를 퍼뜨리는 물리적 스토리지 장치 최초의 컴퓨터 바이러스는 플로피 디스크를 통해 확산됐다. 지금도 공격자는 물리적 스토리지 장치를 사용해 시스템을 감염시키고 악성코드를 퍼뜨린다. 이런 현상은 올해 1월, FBI가 악성 소프트웨어를 포함한 여러 USB 드라이브를 운송, 국방, 보험 기관 직원에게 송...

사이버범죄 공격벡터 익스플로잇

2022.03.21

오늘날 디지털 혁명 시대에도 악의적 해커는 수십 년 전의 공격 벡터를 계속 사용하고 있다. 최근 한 연구에서는 오래 전에 사용된 특정 공격이 부활한 기간을 보여주기도 했다. 공격은 시간이 지나면서 조금씩 바뀔 수 있지만 감염과 배포, 확산 지점은 그대로 유지되며 심각한 데이터 유출을 야기할 수 있다. ETI(Egress Threat Intelligence) 부사장 잭 채프먼은 “사이버 범죄자는 기존에 자신이 선호하던 공격 방식을 재사용하는 경향이 있다. 특히, 법률집행 및 보안팀의 노력으로 새로운 공격 벡터가 차단되거나 실행되지 않을 때 더욱 그렇다”라고 말했다.   CNSS(Cato Networks Strategic Security) 엔지니어 피터 리도 채프먼의 말에 동의하며 사이버 범죄자가 오래된 공격 벡터를 사용하는 대표적인 이유 2가지로 경제와 표적 획득을 들었다. 리는 “나날이 발전하는 익스플로잇 공격 시장은 공격자가 표적에 가하는 모든 공격에 가격을 붙인다. 가격은 매우 다양하기 때문에 공격자는 저렴한 공격을 시도해 목적을 달성하려고 할 것이다. 예를 들어, 2017년에 만든 패치되지 않은 웹 서버 CVE로 동일한 표적을 해킹할 수 있다면 굳이 200만 달러의 아이폰 제로데이를 구매할 필요가 없다. 또한, 사이버 보안이 전반적으로 개선돼 사이버 범죄자의 메시지가 주요 표적에게 도달하는 것이 더욱 어려워졌다. 이로 인해 여러 방어자의 레이더에서 벗어난 오래된 벡터에 의지할 수밖에 없는 경우가 많다”라고 말했다. 사이버 범죄자가 여전히 사용 중인 오래된 7가지 공격 벡터와 실질적인 대응책도 살펴보자.   1. 시스템을 감염시키고 악성코드를 퍼뜨리는 물리적 스토리지 장치 최초의 컴퓨터 바이러스는 플로피 디스크를 통해 확산됐다. 지금도 공격자는 물리적 스토리지 장치를 사용해 시스템을 감염시키고 악성코드를 퍼뜨린다. 이런 현상은 올해 1월, FBI가 악성 소프트웨어를 포함한 여러 USB 드라이브를 운송, 국방, 보험 기관 직원에게 송...

2022.03.21

IAB부터 서비스형 X까지··· ‘사이버 범죄 뒷골목’ 살펴보기

오늘날 사이버 범죄자는 혼자 해킹에 나서기보다 랜섬웨어 갱단 등의 조직적이고 불법적인 비즈니스로 자리매김하고 있다. 점점 더 많은 랜섬웨어 그룹이 등장하고 있으며, 기존 그룹은 주요 기업을 해킹하면서 계속 성장하고 있다. 랜섬웨어 갱단, 강탈 그룹, 디도스 공격자의 성공률 증가는 결코 우연이 아니다. 그 이면에는 다양한 계층의 위협 행위자로 구성된 조직적인 구조가 있다. 이들은 최종 목표를 달성하고 각자의 몫을 받기 위해 협력한다.    초기 액세스 브로커(Initial Access Broker; IAB) IAB는 엔터프라이즈 액세스 권한을 구매자(다른 공격자)에게 판매하는 위협 행위자 계층이다. 데이터 유출 시장, 포럼, 폐쇄적인 메시징 앱 채널과 채팅 그룹 등에서 활동한다. 하지만 IAB는 데이터 유출, 암호화, 삭제 등의 후속적인 활동을 수행하진 않는다. 영업 비밀을 훔칠 것인지, 랜섬웨어를 배포할 것인지, 스파이웨어를 설치할 것인지, 데이터를 유출할 것인지 등 이 액세스 권한을 악용할 방식을 결정하는 건 구매자의 몫이다.  클라우드용 암호 없는 인증 서비스 업체 클라우드 라디우스(Cloud RADIUS)의 수석 소프트웨어 엔지니어 벤 리차드슨은 “과거에 IAB는 주로 기업 데이터를 파괴하거나 IP 또는 재무 데이터를 훔치려는 범죄자에게 해당 기업의 액세스 권한을 판매했다”라며, “이때는 공격 횟수가 적었기 때문에 수요가 많지 않았다. 일반적으로 스파이 행위 및 절도를 위해 비즈니스 경쟁업체에서 고용하는 경우가 많았다”라고 설명했다.   이어서 그는 랜섬웨어 시대가 기하급수적인 ‘IAB’ 수요 증가를 초래했다고 언급했다. IAB는 이제 랜섬웨어 갱단에 고용돼 갱단이 기밀 파일을 암호화하고 백업을 파괴할 수 있도록 타깃 회사를 해킹하고 있다.   서비스형 X(X as a service) 현재, ‘서비스형 X(X-as-a-Service)’라는 용어는 비교적 새로운 비즈니스 모델을 구성하는 서비스형...

사이버 범죄 사이버 범죄 그룹 초기 액세스 브로커 IAB 서비스형 랜섬웨어 데이터 브로커 랜섬웨어 갱단

2022.03.16

오늘날 사이버 범죄자는 혼자 해킹에 나서기보다 랜섬웨어 갱단 등의 조직적이고 불법적인 비즈니스로 자리매김하고 있다. 점점 더 많은 랜섬웨어 그룹이 등장하고 있으며, 기존 그룹은 주요 기업을 해킹하면서 계속 성장하고 있다. 랜섬웨어 갱단, 강탈 그룹, 디도스 공격자의 성공률 증가는 결코 우연이 아니다. 그 이면에는 다양한 계층의 위협 행위자로 구성된 조직적인 구조가 있다. 이들은 최종 목표를 달성하고 각자의 몫을 받기 위해 협력한다.    초기 액세스 브로커(Initial Access Broker; IAB) IAB는 엔터프라이즈 액세스 권한을 구매자(다른 공격자)에게 판매하는 위협 행위자 계층이다. 데이터 유출 시장, 포럼, 폐쇄적인 메시징 앱 채널과 채팅 그룹 등에서 활동한다. 하지만 IAB는 데이터 유출, 암호화, 삭제 등의 후속적인 활동을 수행하진 않는다. 영업 비밀을 훔칠 것인지, 랜섬웨어를 배포할 것인지, 스파이웨어를 설치할 것인지, 데이터를 유출할 것인지 등 이 액세스 권한을 악용할 방식을 결정하는 건 구매자의 몫이다.  클라우드용 암호 없는 인증 서비스 업체 클라우드 라디우스(Cloud RADIUS)의 수석 소프트웨어 엔지니어 벤 리차드슨은 “과거에 IAB는 주로 기업 데이터를 파괴하거나 IP 또는 재무 데이터를 훔치려는 범죄자에게 해당 기업의 액세스 권한을 판매했다”라며, “이때는 공격 횟수가 적었기 때문에 수요가 많지 않았다. 일반적으로 스파이 행위 및 절도를 위해 비즈니스 경쟁업체에서 고용하는 경우가 많았다”라고 설명했다.   이어서 그는 랜섬웨어 시대가 기하급수적인 ‘IAB’ 수요 증가를 초래했다고 언급했다. IAB는 이제 랜섬웨어 갱단에 고용돼 갱단이 기밀 파일을 암호화하고 백업을 파괴할 수 있도록 타깃 회사를 해킹하고 있다.   서비스형 X(X as a service) 현재, ‘서비스형 X(X-as-a-Service)’라는 용어는 비교적 새로운 비즈니스 모델을 구성하는 서비스형...

2022.03.16

시스코 탈로스, 퍼블릭 클라우드 활용한 맬웨어 캠페인 경고

애저와 AWS와 같은 퍼블릭 클라우드를 이용해 나노코어(Nanocore), 넷와이어(Netwire), 에이싱크랫(AsyncRAT)을 확산시키는 맬웨어 캠페인이 포착했다고 시스코가 밝혔다. 시스코 탈로스의 보안 연구원 케탄 라푸푸라사드와 벤차 스바처는 탈로스 블로그를 통해 클라우드 서비스를 악의적인 목적으로 악용하는 공격의 최신 사례라고 말했다.  설명에 따르면 해커들은 DuckDNS 동적 DNS 서비스를 사용하여 캠페인에 사용된 명령 및 제어 호스트의 도메인 이름을 변경해 위장했다. 해당 캠페인은 나노코어, 넷와이어, 에이싱크랫의 변종을 미국, 이탈리아, 싱가포르 지역에 지난 10월 26일부터 배포한 것으로 전해졌다. 이러한 변종에는 목표의 컴퓨터를 제어하여 명령을 내리고 정보를 훔칠 수 있는 여러 기능이 내장돼 있다는 설명이다.  감염된 ZIP 파일이 포함된 피싱 이메일 이용해 공격 시작 연구원들은 초기 감염 벡터가 ZIP 아카이브가 중독된 피싱 이메일임을 발견했다. 아카이브에는 악성 스크립트가 포함된 ISO 이미지가 포함돼 있었다. 스크립트가 실행되면 애저 또는 AWS에서 호스팅되는 서버에 연결해 맬웨어를 다운로드하는 방식이었다.  연구진은 “위협 행위자들이 클라우드 기술을 활용하는 동향이 증가하고 있다. 클라우드 서비스를 통해 공격자는 저렴하고 빠르게 인프라를 설정할 수 있다. 또 공격에 대한 추적이 더 어려워지기도 한다”라고 전했다.  자동화 위협 관리 솔루션 벤더 벡트라의 올리버 타바콜리 CTO는 맬웨어 명령 및 제어를 위해 외부의 인프라를 사용하는 것이 완전히 새로운 것은 아니라고 전했다. 그는 “클라우드 이전 시대에도 외부 컴퓨팅 인프라에 침입하여 맬웨어를 배포하는 양태가 있었다. 이제 공격자들이 퍼블릭 클라우드 인프라를 이용하고 있다. 쉽게 블랙리스트에 올릴 수 없는 인프라를 임대하는 것이다”라고 말했다.  클라우드 네이티브 네트워크 보안 서비스 벤더 발틱스의 수석 보안 연구원 데이비스 맥...

시스코 탈로스 나노코어 넷와이어 에이싱크랫

2022.01.24

애저와 AWS와 같은 퍼블릭 클라우드를 이용해 나노코어(Nanocore), 넷와이어(Netwire), 에이싱크랫(AsyncRAT)을 확산시키는 맬웨어 캠페인이 포착했다고 시스코가 밝혔다. 시스코 탈로스의 보안 연구원 케탄 라푸푸라사드와 벤차 스바처는 탈로스 블로그를 통해 클라우드 서비스를 악의적인 목적으로 악용하는 공격의 최신 사례라고 말했다.  설명에 따르면 해커들은 DuckDNS 동적 DNS 서비스를 사용하여 캠페인에 사용된 명령 및 제어 호스트의 도메인 이름을 변경해 위장했다. 해당 캠페인은 나노코어, 넷와이어, 에이싱크랫의 변종을 미국, 이탈리아, 싱가포르 지역에 지난 10월 26일부터 배포한 것으로 전해졌다. 이러한 변종에는 목표의 컴퓨터를 제어하여 명령을 내리고 정보를 훔칠 수 있는 여러 기능이 내장돼 있다는 설명이다.  감염된 ZIP 파일이 포함된 피싱 이메일 이용해 공격 시작 연구원들은 초기 감염 벡터가 ZIP 아카이브가 중독된 피싱 이메일임을 발견했다. 아카이브에는 악성 스크립트가 포함된 ISO 이미지가 포함돼 있었다. 스크립트가 실행되면 애저 또는 AWS에서 호스팅되는 서버에 연결해 맬웨어를 다운로드하는 방식이었다.  연구진은 “위협 행위자들이 클라우드 기술을 활용하는 동향이 증가하고 있다. 클라우드 서비스를 통해 공격자는 저렴하고 빠르게 인프라를 설정할 수 있다. 또 공격에 대한 추적이 더 어려워지기도 한다”라고 전했다.  자동화 위협 관리 솔루션 벤더 벡트라의 올리버 타바콜리 CTO는 맬웨어 명령 및 제어를 위해 외부의 인프라를 사용하는 것이 완전히 새로운 것은 아니라고 전했다. 그는 “클라우드 이전 시대에도 외부 컴퓨팅 인프라에 침입하여 맬웨어를 배포하는 양태가 있었다. 이제 공격자들이 퍼블릭 클라우드 인프라를 이용하고 있다. 쉽게 블랙리스트에 올릴 수 없는 인프라를 임대하는 것이다”라고 말했다.  클라우드 네이티브 네트워크 보안 서비스 벤더 발틱스의 수석 보안 연구원 데이비스 맥...

2022.01.24

“유해한 USB 드라이브를 직원에게 배송”··· FBI, ‘배드USB’ 공격 경고

악성 소프트웨어를 담은 USB 드라이브를 직원에게 발송하는 방식의 공격이 증가하고 있다고 FBI가 경고했다. ‘배드USB’(BadUSB) 공격의 행태와 이에 대처하는 방식을 살펴본다. FBI에 따르면, 2021년 8월에서 11월 사이에 운송, 방산 및 보험 분야의 조직을 대상으로 악성 소프트웨어가 담긴 USB 드라이브가 송달되는 공격이 다수 출현했다. 복지부와 아마존을 사칭하는 가짜 편지가 동봉됐으며, 미국 우편 서비스와 UPS를 통해 배송됐다. FBI는 이러한 ‘배드USB’ 공격의 배후로 FIN7 해커 조직을 지목했다.  트러스트웨이브 스파이더랩의 보안 연구 수석 칼 시글러는 “배드USB 공격은 피해자에게 기프트 카드나 송장이 담긴 것처럼 보이는 물리 USB 스틱을 발송한다. 이를 피해자의 시스템에 연결하도록 유인하는 것이다”라고 말했다. 그와 그의 맬웨어 연구팀은 2020년 악성 썸 드라이브를 조사하면서 이 공격 캠페인을 처음 발견한 바 있다. 시글러는 “USB 드라이브는 컴퓨터에서 USB 키보드로 인식된다. 자동으로 일반적으로 명령 셸을 호출하고 맬웨어를 다운로드하기 위한 명령이 입력되게 된다”라고 설명했다.  이후 진행되는 공격 양태는 다양하다. 크리덴셜 탈취에서 백도어 및 랜섬웨어 설치에 이른다. 시글러는 이러한 공격이 희귀하다는 점에서 꽤 효과적일 수 있다고 강조했다.  사이버리즌의 최고 비전 책임자이자 공동 설립자인 요시 나르에 따르면 재택 근무 동향을 활용하려는 공격일 수 있다. 그는 “재택근무 환경에서는 보호 방책이 줄어든다. 재택근무자가 업무용 컴퓨터나 홈 네트워크에 연결할 가능성이 높아진다. 업무용 네트워크에 쉽게 연결될 수 있는 것이다”라고 말했다.  이러한 공격을 막기 위한 조치들이 있다. 먼저 이 공격 유형을 보안 교육을 통해 알리고 모든 직원이 확인되지 않은 하드웨어를 시스템에 삽입하거나 연결하지 않도록 하는 것이다. 또 명령 셸 남용 및 다운로드될 수 있는 후속 맬웨어를 모니터링할 수...

배드USB USB 공격 FBI 재택근무

2022.01.21

악성 소프트웨어를 담은 USB 드라이브를 직원에게 발송하는 방식의 공격이 증가하고 있다고 FBI가 경고했다. ‘배드USB’(BadUSB) 공격의 행태와 이에 대처하는 방식을 살펴본다. FBI에 따르면, 2021년 8월에서 11월 사이에 운송, 방산 및 보험 분야의 조직을 대상으로 악성 소프트웨어가 담긴 USB 드라이브가 송달되는 공격이 다수 출현했다. 복지부와 아마존을 사칭하는 가짜 편지가 동봉됐으며, 미국 우편 서비스와 UPS를 통해 배송됐다. FBI는 이러한 ‘배드USB’ 공격의 배후로 FIN7 해커 조직을 지목했다.  트러스트웨이브 스파이더랩의 보안 연구 수석 칼 시글러는 “배드USB 공격은 피해자에게 기프트 카드나 송장이 담긴 것처럼 보이는 물리 USB 스틱을 발송한다. 이를 피해자의 시스템에 연결하도록 유인하는 것이다”라고 말했다. 그와 그의 맬웨어 연구팀은 2020년 악성 썸 드라이브를 조사하면서 이 공격 캠페인을 처음 발견한 바 있다. 시글러는 “USB 드라이브는 컴퓨터에서 USB 키보드로 인식된다. 자동으로 일반적으로 명령 셸을 호출하고 맬웨어를 다운로드하기 위한 명령이 입력되게 된다”라고 설명했다.  이후 진행되는 공격 양태는 다양하다. 크리덴셜 탈취에서 백도어 및 랜섬웨어 설치에 이른다. 시글러는 이러한 공격이 희귀하다는 점에서 꽤 효과적일 수 있다고 강조했다.  사이버리즌의 최고 비전 책임자이자 공동 설립자인 요시 나르에 따르면 재택 근무 동향을 활용하려는 공격일 수 있다. 그는 “재택근무 환경에서는 보호 방책이 줄어든다. 재택근무자가 업무용 컴퓨터나 홈 네트워크에 연결할 가능성이 높아진다. 업무용 네트워크에 쉽게 연결될 수 있는 것이다”라고 말했다.  이러한 공격을 막기 위한 조치들이 있다. 먼저 이 공격 유형을 보안 교육을 통해 알리고 모든 직원이 확인되지 않은 하드웨어를 시스템에 삽입하거나 연결하지 않도록 하는 것이다. 또 명령 셸 남용 및 다운로드될 수 있는 후속 맬웨어를 모니터링할 수...

2022.01.21

“해결 방법 없다” 구글이 본 제로클릭 공격의 위험

모바일 보안과 관련해 사용자는 항상 의심스러운 링크나 이메일, 첨부파일을 피하며 각별한 주의를 기울여야 한다. 하지만 제로클릭(zero-click) 사이버 공격이 늘어나면서 이런 노력이 무력해지고 있다.   지난 12월 구글은 대표적인 제로클릭 사이버 공격인 페가수스(Pegasus)의 작동 방법을 연구한 결과를 발표했다. 페가수스 스파이웨어는 언론인과 세계 지도자를 해킹하기 위해 이스라엘 보안업체 NSO 그룹이 사용한 것으로 알려졌다. 구글 프로젝트 제로(Project Zero) 팀은 “지금까지 확인한 사이버 공격 가운데 기술적으로 가장 정교했으며, NSO의 기술이 일부 국가에서만 접근할 수 있다고 여겨진 기술에 필적한다는 것을 보여준다”라고 말했다. 구글의 연구결과에서 가장 놀라운 점은 페가수스가 보안 알람의 불문율, 즉 ‘효과적인 방어책이 없는 공격은 그 세부사항을 보고하는 것이 차선책’이라는 규칙을 깨뜨렸다는 점이다. 구글은 업계가 제로클릭 공격에 대한 방어책을 신속하게 마련할 수 있도록 세부 논의가 필요하다고 강조했다. 구글은 “NSO가 개발한 제로클릭 공격 기술은 어떠한 상호작용도 필요 없다. 따라서 평소에 피싱 링크를 클릭하지 않는, 기술에 능숙한 사람도 공격 대상이 되었다는 점을 모른다. 공격자는 피싱 메시지를 전송하지 않고 휴대폰 백그라운드에서 조용히 공격을 진행한다. 기기를 사용하지 않는 것 외에는 예방 방법이 없다. 방어할 수 없는 무기인 셈이다”라고 설명했다. 공격 수단은 ‘가짜 GIF’ 페가수스 공격의 배후로 알려진 NSO는 가짜 GIF로 코어그래픽스 PDF(CoreGraphics PDF) 파서의 취약점을 겨냥했다. 가짜 GIF는 확장자가 .gif이지만 실제로는 GIF 이미지 파일이 아니다. 파일명과 확장자는 사용자를 안심시키는 수단에 불과했다. ImageIO 라이브러리는 파일 확장자에 상관없이 소스 파일의 올바른 형식을 추측하고 구문을 분석하는 데 사용된다. 이를 가짜 GIF에 적용하면 20개 이상의 이미지 코덱...

NSO 페가수스 스파이웨어 구글 해킹

2022.01.13

모바일 보안과 관련해 사용자는 항상 의심스러운 링크나 이메일, 첨부파일을 피하며 각별한 주의를 기울여야 한다. 하지만 제로클릭(zero-click) 사이버 공격이 늘어나면서 이런 노력이 무력해지고 있다.   지난 12월 구글은 대표적인 제로클릭 사이버 공격인 페가수스(Pegasus)의 작동 방법을 연구한 결과를 발표했다. 페가수스 스파이웨어는 언론인과 세계 지도자를 해킹하기 위해 이스라엘 보안업체 NSO 그룹이 사용한 것으로 알려졌다. 구글 프로젝트 제로(Project Zero) 팀은 “지금까지 확인한 사이버 공격 가운데 기술적으로 가장 정교했으며, NSO의 기술이 일부 국가에서만 접근할 수 있다고 여겨진 기술에 필적한다는 것을 보여준다”라고 말했다. 구글의 연구결과에서 가장 놀라운 점은 페가수스가 보안 알람의 불문율, 즉 ‘효과적인 방어책이 없는 공격은 그 세부사항을 보고하는 것이 차선책’이라는 규칙을 깨뜨렸다는 점이다. 구글은 업계가 제로클릭 공격에 대한 방어책을 신속하게 마련할 수 있도록 세부 논의가 필요하다고 강조했다. 구글은 “NSO가 개발한 제로클릭 공격 기술은 어떠한 상호작용도 필요 없다. 따라서 평소에 피싱 링크를 클릭하지 않는, 기술에 능숙한 사람도 공격 대상이 되었다는 점을 모른다. 공격자는 피싱 메시지를 전송하지 않고 휴대폰 백그라운드에서 조용히 공격을 진행한다. 기기를 사용하지 않는 것 외에는 예방 방법이 없다. 방어할 수 없는 무기인 셈이다”라고 설명했다. 공격 수단은 ‘가짜 GIF’ 페가수스 공격의 배후로 알려진 NSO는 가짜 GIF로 코어그래픽스 PDF(CoreGraphics PDF) 파서의 취약점을 겨냥했다. 가짜 GIF는 확장자가 .gif이지만 실제로는 GIF 이미지 파일이 아니다. 파일명과 확장자는 사용자를 안심시키는 수단에 불과했다. ImageIO 라이브러리는 파일 확장자에 상관없이 소스 파일의 올바른 형식을 추측하고 구문을 분석하는 데 사용된다. 이를 가짜 GIF에 적용하면 20개 이상의 이미지 코덱...

2022.01.13

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

기고ㅣ애플리케이션에서 ‘Log4j’ 취약점을 탐지하는 방법

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

자바 취약점 버그 Log4j Log4Shell

2021.12.14

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

2021.12.14

블로그ㅣ새 스파이웨어 ‘폰스파이’가 기업 IT 보안에 시사하는 바

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

스파이웨어 악성코드 악성 앱 안드로이드 iOS 앱스토어 구글 플레이 애플리케이션 BYOD 보안 기업 보안 CISO 모바일

2021.11.19

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

2021.11.19

블로그 | 은밀한 네트워크 침입자 ‘크립토마이너 맬웨어’ 차단 방법

크립토마이너(Cryptominer) 맬웨어는 은밀하게 (시스템 내부로) 침투해 네트워크 및 기기의 성능을 저하시킨다. 그 피해를 최소화할 수 있는 몇 가지 작업과 도구를 소개한다.   아이슬란드가 비트코인 채굴에 이상적인 장소라는 얘기가 있다. 그런데 누군가의 컴퓨터 또한 암호화폐 채굴에 이상적인 타깃이 될 수 있다. 실제로 필자는 불법적으로 고객의 장치에서 크립토마이닝 소프트웨어를 작동시켰던 사례를 알고 있다. 암호화폐 채굴(Cryptomining)은 암호화폐를 생성하는 절차다. 유명 암호화폐 대부분이 수학 문제를 풀어서 암호화폐 단위를 생성하는 방식으로 채굴된다. 자신의 컴퓨터에서 암호화폐를 생성하는 작업은 합법이다. 하지만 특정 컴퓨터를 하이재킹해 암호화폐 채굴에 사용하면 범죄 행위로 간주된다. ‘크립토재킹(Cryptojacking)’은 악성 행위자가 웹 서버 및 브라우저를 통해 시스템을 장악할 때 발생한다. 악성 자바스크립트가 웹 서버에 주입되거나 심어져 사용자들이 웹 페이지를 열면 브라우저가 감염되고, 해당 컴퓨터는 암호화폐 채굴을 위한 장소가 된다. 암호화폐 채굴 맬웨어를 감지해 네트워크 및 기기를 공격으로부터 보호할 수 있을까? 물론이다. 네트워크 상에서 암호화폐 채굴자를 발견하는 간단한 방법을 살펴본다. 네트워크 성능 모니터링 먼저 네트워크의 시스템 성능을 검토해보자. 과도한 CPU 사용량이나 온도의 변화, 팬 속도가 빨라지는 현상을 나타났다면 의심해볼 수 있다. 이런 현상은 업무용 애플리케이션의 코딩이 잘못돼 나타나는 증상일 수 있지만, 시스템에 맬웨어가 숨겨져 있음을 알리는 신호일 수도 있다. 시스템에서 이상 징후를 발견하기 위한 기준선을 정해 놓으면 문제를 발견하기가 더 쉬워진다. 성능과 관련된 이상 징후를 관찰하는 것만으로는 부족하다. 최근 보안사고 사례에서 확인된 것처럼, 공격자들은 CPU 사용량이 잘 드러나지 않도록 하는 수법을 쓰고 있다. 최근 발간된 마이크로소프트 디지털 보안 보고서는 프랑스와 베트남의 정부 기...

크립토마이너 암호화폐 네트워크보안

2021.11.11

크립토마이너(Cryptominer) 맬웨어는 은밀하게 (시스템 내부로) 침투해 네트워크 및 기기의 성능을 저하시킨다. 그 피해를 최소화할 수 있는 몇 가지 작업과 도구를 소개한다.   아이슬란드가 비트코인 채굴에 이상적인 장소라는 얘기가 있다. 그런데 누군가의 컴퓨터 또한 암호화폐 채굴에 이상적인 타깃이 될 수 있다. 실제로 필자는 불법적으로 고객의 장치에서 크립토마이닝 소프트웨어를 작동시켰던 사례를 알고 있다. 암호화폐 채굴(Cryptomining)은 암호화폐를 생성하는 절차다. 유명 암호화폐 대부분이 수학 문제를 풀어서 암호화폐 단위를 생성하는 방식으로 채굴된다. 자신의 컴퓨터에서 암호화폐를 생성하는 작업은 합법이다. 하지만 특정 컴퓨터를 하이재킹해 암호화폐 채굴에 사용하면 범죄 행위로 간주된다. ‘크립토재킹(Cryptojacking)’은 악성 행위자가 웹 서버 및 브라우저를 통해 시스템을 장악할 때 발생한다. 악성 자바스크립트가 웹 서버에 주입되거나 심어져 사용자들이 웹 페이지를 열면 브라우저가 감염되고, 해당 컴퓨터는 암호화폐 채굴을 위한 장소가 된다. 암호화폐 채굴 맬웨어를 감지해 네트워크 및 기기를 공격으로부터 보호할 수 있을까? 물론이다. 네트워크 상에서 암호화폐 채굴자를 발견하는 간단한 방법을 살펴본다. 네트워크 성능 모니터링 먼저 네트워크의 시스템 성능을 검토해보자. 과도한 CPU 사용량이나 온도의 변화, 팬 속도가 빨라지는 현상을 나타났다면 의심해볼 수 있다. 이런 현상은 업무용 애플리케이션의 코딩이 잘못돼 나타나는 증상일 수 있지만, 시스템에 맬웨어가 숨겨져 있음을 알리는 신호일 수도 있다. 시스템에서 이상 징후를 발견하기 위한 기준선을 정해 놓으면 문제를 발견하기가 더 쉬워진다. 성능과 관련된 이상 징후를 관찰하는 것만으로는 부족하다. 최근 보안사고 사례에서 확인된 것처럼, 공격자들은 CPU 사용량이 잘 드러나지 않도록 하는 수법을 쓰고 있다. 최근 발간된 마이크로소프트 디지털 보안 보고서는 프랑스와 베트남의 정부 기...

2021.11.11

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6