Offcanvas

������������

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

기고ㅣ애플리케이션에서 ‘Log4j’ 취약점을 탐지하는 방법

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

자바 취약점 버그 Log4j Log4Shell

2021.12.14

널리 사용되는 ‘Log4j’ 라이브러리에 버그가 있으면 공격자는 Log4j를 사용하여 로그를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다.  아파치 재단이 거의 모든 자바 애플리케이션에 포함된 로깅 도구 Log4j의 치명적인 제로데이 취약점에 관한 긴급 업데이트를 발표했다. 이는 ‘Log4Shell’로 명명됐으며, 식별자는 CVE-2021-44228이다.  이 취약점은 Log4j 라이브러리의 버그를 통해 발생하는데, 이를 통해 공격자는 Log4j를 사용하여 로그 메시지를 작성하는 시스템에서 임의의 코드를 실행할 수 있다. 따라서 Log4j를 포함하는 애플리케이션 사용자라면 누구나 즉시 주의를 기울여야 한다.    Log4Shell을 해결해야 하는 이유 Log4j는 많은 자바 애플리케이션에서 사용되는 라이브러리다. 현재 가장 널리 쓰이는 자바 라이브러리이기도 하다. 대부분의 자바 애플리케이션은 데이터를 기록하며, Log4j가 주로 활용된다.   여기서 문제는 Log4j를 찾는 것이다. 자바 패키징의 작동 방식 때문에 Log4j가 애플리케이션의 어딘가 숨어 있을 수 있고, 심지어는 그 사실을 모르고 있을 가능성이 크다.  자바 생태계에서 종속성은 자바 라이브러리로 사용할 수 있는 패키지인 JAR(Java archive) 파일로 배포된다. 메이븐(Maven), 그래들(Gradle) 등 일반적으로 사용되는 도구는 자바 애플리케이션을 빌드할 때 JAR 파일을 자동으로 추가할 수 있다. JAR이 종속성을 충족하기 위해 다른 JAR을 포함할 수도 있다.  즉, 취약점이 애플리케이션에서 여러 수준 아래에 숨겨질 수 있다. 어떤 경우에는 하나의 종속성이 수백 개의 다른 종속성을 가져와 (이를) 찾기 훨씬 더 어려울 수 있다.  기본적으로 자바 세계에서는 JAR에 중첩된 JAR에 JAR이 중첩될 수 있다. 이는 모든 것을 조사해야 하는 수많은 계층을 만든다. 이에 따라 Log4j가 ...

2021.12.14

블로그ㅣ새 스파이웨어 ‘폰스파이’가 기업 IT 보안에 시사하는 바

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

스파이웨어 악성코드 악성 앱 안드로이드 iOS 앱스토어 구글 플레이 애플리케이션 BYOD 보안 기업 보안 CISO 모바일

2021.11.19

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

2021.11.19

블로그 | 은밀한 네트워크 침입자 ‘크립토마이너 맬웨어’ 차단 방법

크립토마이너(Cryptominer) 맬웨어는 은밀하게 (시스템 내부로) 침투해 네트워크 및 기기의 성능을 저하시킨다. 그 피해를 최소화할 수 있는 몇 가지 작업과 도구를 소개한다.   아이슬란드가 비트코인 채굴에 이상적인 장소라는 얘기가 있다. 그런데 누군가의 컴퓨터 또한 암호화폐 채굴에 이상적인 타깃이 될 수 있다. 실제로 필자는 불법적으로 고객의 장치에서 크립토마이닝 소프트웨어를 작동시켰던 사례를 알고 있다. 암호화폐 채굴(Cryptomining)은 암호화폐를 생성하는 절차다. 유명 암호화폐 대부분이 수학 문제를 풀어서 암호화폐 단위를 생성하는 방식으로 채굴된다. 자신의 컴퓨터에서 암호화폐를 생성하는 작업은 합법이다. 하지만 특정 컴퓨터를 하이재킹해 암호화폐 채굴에 사용하면 범죄 행위로 간주된다. ‘크립토재킹(Cryptojacking)’은 악성 행위자가 웹 서버 및 브라우저를 통해 시스템을 장악할 때 발생한다. 악성 자바스크립트가 웹 서버에 주입되거나 심어져 사용자들이 웹 페이지를 열면 브라우저가 감염되고, 해당 컴퓨터는 암호화폐 채굴을 위한 장소가 된다. 암호화폐 채굴 맬웨어를 감지해 네트워크 및 기기를 공격으로부터 보호할 수 있을까? 물론이다. 네트워크 상에서 암호화폐 채굴자를 발견하는 간단한 방법을 살펴본다. 네트워크 성능 모니터링 먼저 네트워크의 시스템 성능을 검토해보자. 과도한 CPU 사용량이나 온도의 변화, 팬 속도가 빨라지는 현상을 나타났다면 의심해볼 수 있다. 이런 현상은 업무용 애플리케이션의 코딩이 잘못돼 나타나는 증상일 수 있지만, 시스템에 맬웨어가 숨겨져 있음을 알리는 신호일 수도 있다. 시스템에서 이상 징후를 발견하기 위한 기준선을 정해 놓으면 문제를 발견하기가 더 쉬워진다. 성능과 관련된 이상 징후를 관찰하는 것만으로는 부족하다. 최근 보안사고 사례에서 확인된 것처럼, 공격자들은 CPU 사용량이 잘 드러나지 않도록 하는 수법을 쓰고 있다. 최근 발간된 마이크로소프트 디지털 보안 보고서는 프랑스와 베트남의 정부 기...

크립토마이너 암호화폐 네트워크보안

2021.11.11

크립토마이너(Cryptominer) 맬웨어는 은밀하게 (시스템 내부로) 침투해 네트워크 및 기기의 성능을 저하시킨다. 그 피해를 최소화할 수 있는 몇 가지 작업과 도구를 소개한다.   아이슬란드가 비트코인 채굴에 이상적인 장소라는 얘기가 있다. 그런데 누군가의 컴퓨터 또한 암호화폐 채굴에 이상적인 타깃이 될 수 있다. 실제로 필자는 불법적으로 고객의 장치에서 크립토마이닝 소프트웨어를 작동시켰던 사례를 알고 있다. 암호화폐 채굴(Cryptomining)은 암호화폐를 생성하는 절차다. 유명 암호화폐 대부분이 수학 문제를 풀어서 암호화폐 단위를 생성하는 방식으로 채굴된다. 자신의 컴퓨터에서 암호화폐를 생성하는 작업은 합법이다. 하지만 특정 컴퓨터를 하이재킹해 암호화폐 채굴에 사용하면 범죄 행위로 간주된다. ‘크립토재킹(Cryptojacking)’은 악성 행위자가 웹 서버 및 브라우저를 통해 시스템을 장악할 때 발생한다. 악성 자바스크립트가 웹 서버에 주입되거나 심어져 사용자들이 웹 페이지를 열면 브라우저가 감염되고, 해당 컴퓨터는 암호화폐 채굴을 위한 장소가 된다. 암호화폐 채굴 맬웨어를 감지해 네트워크 및 기기를 공격으로부터 보호할 수 있을까? 물론이다. 네트워크 상에서 암호화폐 채굴자를 발견하는 간단한 방법을 살펴본다. 네트워크 성능 모니터링 먼저 네트워크의 시스템 성능을 검토해보자. 과도한 CPU 사용량이나 온도의 변화, 팬 속도가 빨라지는 현상을 나타났다면 의심해볼 수 있다. 이런 현상은 업무용 애플리케이션의 코딩이 잘못돼 나타나는 증상일 수 있지만, 시스템에 맬웨어가 숨겨져 있음을 알리는 신호일 수도 있다. 시스템에서 이상 징후를 발견하기 위한 기준선을 정해 놓으면 문제를 발견하기가 더 쉬워진다. 성능과 관련된 이상 징후를 관찰하는 것만으로는 부족하다. 최근 보안사고 사례에서 확인된 것처럼, 공격자들은 CPU 사용량이 잘 드러나지 않도록 하는 수법을 쓰고 있다. 최근 발간된 마이크로소프트 디지털 보안 보고서는 프랑스와 베트남의 정부 기...

2021.11.11

기고ㅣ고급 사이버 범죄의 수익성이 높아지는 이유와 그 대응책

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

카스퍼스키 사이버 범죄 보안 사고 기업 보안 보안 인공지능 엔드포인트 보안 깃허브 APT급 공격

2021.11.05

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

2021.11.05

“새 접근법이 필요하다”··· 가트너, 2022년 기업 보안 동향 8가지 발표

가트너가 2022년 주목해야 할 8가지 기업 보안 동향을 발표했다. 아이덴티티 관리, 하이브리드 근무, 보안 제품 통합 등이 기업 보안과 관련된 핵심 트렌드로 선정됐다.   최근 기업에서 중앙집권적 통제가 약화되면서 새로운 보안 문제들이 대두되고 있다. 가트너 애널리스트들은 이들 위협에 대응하기 위해 새로운 방법이 필요하다고 조언한다. 네트워크 보안의 기본 공식을 변화시킬 위협들이기 때문이다. 가트너 부사장 피터 퍼스트브룩은 끊임없이 진화하는 보안 문제를 다룰 수 있는 IT 전문가 영입이 중요하면서도 지속적인 숙제라고 말했다. 퍼스트브룩은 "사이버보안 팀에게는 수많은 형태의 디지털 트랜스포메이션과 다른 여러 신기술을 보호해야할 책무가 있다"라며, "숙련된 전문가가 없으면 원하는대로 제어할 수 없는 매니지드 또는 클라우드 제공 서비스를 채택하는 것이 불가피해진다"라고 말했다. 퍼스트브룩은 또 "최근 랜섬웨어 공격과 기업 피싱이 폭발적으로 증가하는 가운데 공격자들이 더 끈질긴 양상을 보이고 있다”라며 “공격자들이 사이버 공격을 서비스로 제공하는 등 전문성을 높여가고 있다. 이에 따라 공격자가 되기 위한 장벽이 낮아지고 있고 사이버 공격의 수가 크게 늘 수 있다"라고 우려했다. 가트너가 제시한 보안 및 위험 관리 분야 8개 트렌드는 다음과 같다. 뉴노멀이 된 원격/하이브리드 근무 원격 또는 하이브리드 근무자의 비중은 향후 2년 사이 30% 증가할 것으로 예상된다. 퍼스트브룩은 기업들이 거주지와 상관없이 숙련된 직원을 채용할 수 있다는 게 원격근무의 큰 장점이라고 말했다. 하지만 이 같은 형태로 인력이 고용되면 새로운 보안 문제가 발생할 수 있다. (원격 근무 도입으로) 온프레미스 보안 도구 및 하드웨어를 많이 활용하지 않게 되면서 기업들이 클라우드 보안에 중점을 두는 경향이 나타난다. 이를 통해 기업들은 엔드포인트의 위치와 상관없이 (보안과 관련된) 가시성과 통제권을 확보할 수 있다고 퍼스트브룩은 말했다. 사이버보안 메시 아키텍처(CSMA) 가...

가트너 2022년 기업 보안 하이브리드근무 원격근무 아이덴티티 보안정책 CSO

2021.10.20

가트너가 2022년 주목해야 할 8가지 기업 보안 동향을 발표했다. 아이덴티티 관리, 하이브리드 근무, 보안 제품 통합 등이 기업 보안과 관련된 핵심 트렌드로 선정됐다.   최근 기업에서 중앙집권적 통제가 약화되면서 새로운 보안 문제들이 대두되고 있다. 가트너 애널리스트들은 이들 위협에 대응하기 위해 새로운 방법이 필요하다고 조언한다. 네트워크 보안의 기본 공식을 변화시킬 위협들이기 때문이다. 가트너 부사장 피터 퍼스트브룩은 끊임없이 진화하는 보안 문제를 다룰 수 있는 IT 전문가 영입이 중요하면서도 지속적인 숙제라고 말했다. 퍼스트브룩은 "사이버보안 팀에게는 수많은 형태의 디지털 트랜스포메이션과 다른 여러 신기술을 보호해야할 책무가 있다"라며, "숙련된 전문가가 없으면 원하는대로 제어할 수 없는 매니지드 또는 클라우드 제공 서비스를 채택하는 것이 불가피해진다"라고 말했다. 퍼스트브룩은 또 "최근 랜섬웨어 공격과 기업 피싱이 폭발적으로 증가하는 가운데 공격자들이 더 끈질긴 양상을 보이고 있다”라며 “공격자들이 사이버 공격을 서비스로 제공하는 등 전문성을 높여가고 있다. 이에 따라 공격자가 되기 위한 장벽이 낮아지고 있고 사이버 공격의 수가 크게 늘 수 있다"라고 우려했다. 가트너가 제시한 보안 및 위험 관리 분야 8개 트렌드는 다음과 같다. 뉴노멀이 된 원격/하이브리드 근무 원격 또는 하이브리드 근무자의 비중은 향후 2년 사이 30% 증가할 것으로 예상된다. 퍼스트브룩은 기업들이 거주지와 상관없이 숙련된 직원을 채용할 수 있다는 게 원격근무의 큰 장점이라고 말했다. 하지만 이 같은 형태로 인력이 고용되면 새로운 보안 문제가 발생할 수 있다. (원격 근무 도입으로) 온프레미스 보안 도구 및 하드웨어를 많이 활용하지 않게 되면서 기업들이 클라우드 보안에 중점을 두는 경향이 나타난다. 이를 통해 기업들은 엔드포인트의 위치와 상관없이 (보안과 관련된) 가시성과 통제권을 확보할 수 있다고 퍼스트브룩은 말했다. 사이버보안 메시 아키텍처(CSMA) 가...

2021.10.20

안랩, ‘재난지원금 신청 개인정보 동의서’ 위장한 악성 문서파일 주의 당부

안랩은 최근 ‘코로나19 긴급재난지원금 신청 관련 개인정보 수집·이용 동의서(이하 재난지원금 신청 개인정보 동의서)’를 위장한 악성 문서 파일을 발견해 사용자의 주의를 당부한다고 20일 밝혔다. 안랩이 이번에 발견한 ‘재난지원금 신청 개인정보 동의서’ 위장 악성문서는 공격자가 정상 서식문서(.hwp)에 악성 스크립트를 삽입해 변조한 것이다.   만약 사용자가 최신 보안패치를 하지 않은 한글 프로그램으로 이 악성 한글문서 파일을 실행하면 문서 내 악성 스크립트가 사용자 몰래 자동으로 동작해 사용자 PC가 악성코드에 감염된다. 사용자 화면에는 재난지원금 신청을 위한 개인정보 동의 항목 등이 나오기 때문에 사용자가 악성코드 감염 사실을 알아차리기 어렵다고 업체 측은 전했다. 감염 이후 해당 악성코드는 악성 URL에 접속해 추가 악성코드 다운로드를 시도하는 것으로 분석됐다. 최신 보안 패치가 적용 돼 있는 한글 프로그램에서는 악성 스크립트가 동작하지 않는다. 또한, 현재 V3는 악성 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲오피스 SW, OS 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲출처 불분명 파일 실행금지 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 업체 측은 설명했다. 안랩 분석팀 최유림 선임연구원은 “공격자는 악성코드 유포를 위해 최신 사회적 이슈를 이용한다”라며, “사용자는 출처가 불분명하거나 의심스러운 문서 파일은 무작정 실행하지 말고 보안 패치를 즉시 적용하는 등 평소에 보안 수칙을 실천해야 한다”라고 말했다. ciokr@idg.co.kr

안랩

2021.10.20

안랩은 최근 ‘코로나19 긴급재난지원금 신청 관련 개인정보 수집·이용 동의서(이하 재난지원금 신청 개인정보 동의서)’를 위장한 악성 문서 파일을 발견해 사용자의 주의를 당부한다고 20일 밝혔다. 안랩이 이번에 발견한 ‘재난지원금 신청 개인정보 동의서’ 위장 악성문서는 공격자가 정상 서식문서(.hwp)에 악성 스크립트를 삽입해 변조한 것이다.   만약 사용자가 최신 보안패치를 하지 않은 한글 프로그램으로 이 악성 한글문서 파일을 실행하면 문서 내 악성 스크립트가 사용자 몰래 자동으로 동작해 사용자 PC가 악성코드에 감염된다. 사용자 화면에는 재난지원금 신청을 위한 개인정보 동의 항목 등이 나오기 때문에 사용자가 악성코드 감염 사실을 알아차리기 어렵다고 업체 측은 전했다. 감염 이후 해당 악성코드는 악성 URL에 접속해 추가 악성코드 다운로드를 시도하는 것으로 분석됐다. 최신 보안 패치가 적용 돼 있는 한글 프로그램에서는 악성 스크립트가 동작하지 않는다. 또한, 현재 V3는 악성 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲오피스 SW, OS 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲출처 불분명 파일 실행금지 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 업체 측은 설명했다. 안랩 분석팀 최유림 선임연구원은 “공격자는 악성코드 유포를 위해 최신 사회적 이슈를 이용한다”라며, “사용자는 출처가 불분명하거나 의심스러운 문서 파일은 무작정 실행하지 말고 보안 패치를 즉시 적용하는 등 평소에 보안 수칙을 실천해야 한다”라고 말했다. ciokr@idg.co.kr

2021.10.20

블로그 | 14인의 보안 전문가 가세··· 애플 CSAM 논란 '재점화'

애플이 사용자 기기를 감시하는 기술(client-side scanning, CSS)의 도입을 철회했다. 그러나 이 기술 전반에 대한 우려가 또다시 제기됐다. 적성국가나 범죄조직, 사용자 주변인에 의해 악용될 수 있다는 지적이다.   얼마 전 애플이 CSAM(Child Sexual Abuse Material ; 아동 성착취물) 감지 기능 도입을 연기하기로 결정한 것은 적절한 조치다. 그런데 최근 보고서에 따르면 유럽연합(EU)이 CSAM(아동 성 착취물) 자동 탐지 기능 활용을 검토했다. “위험한 기술” 최근 국제적으로 저명한 보안 전문가 14인이 보고서를 발표했다. 애플의 CSAM 철회 발표가 있기 전부터 해당 기술에 대한 연구를 시작한 이들은, EU가 CSAM 탐지 기능을 도입해 개인 휴대전화에서 불법 자료를 찾아내려는 계획에 대해 정부의 감시 능력만 강화하는 "위험한 기술"이라고 비판했다. 이들은 CSS 시스템이 실제로 활용될 경우, 지난 6월 EU가 제안한 암호화 약화 방법보다 프라이버시 침해 소지가 훨씬 더 크다고 경고했다. 해당 보고서에 따르면 CSS를 활용할 경우 사법당국이 암호화된 대화 기록을 읽는 것을 넘어, 사용자 기기에 저장된 정보까지 원격으로 검색할 수 있다. 이에 앞서 시민 자유 운동가, 프라이버시 옹호가, 기술 업계 관계자들도 CSAM 탐지 기능을 도입하려는 정부들의 계획이 기본 인권을 위협한다고 경고한 바 있다. 애플이 발표한 시스템은 악의가 없는 것으로 보였지만, 사용자 기기에서 숫자로 된 해시 데이터 형태의 이미지 데이터베이스를 스캔하는 기능이 우려를 불러일으켰다. 어떤 것을 감시하는 시스템을 한번 만들어 놓으면, 이후 감시 범위나 대상을 늘리는 것은 매우 쉬운 일이기 때문이다. 실제로 일부 국가에서는 CSAM 감시 기능을 다른 범죄로 확장하는 방안을 검토하고 있다고 최근 뉴욕타임즈가 보도했다.  CSS 도입 원하는 EU 연구진은 CSAM 감시 기능을 검토해온 유럽연합(EU)의 행보에 대응해 애플 발...

애플 사용자정책 감시 정부감시

2021.10.18

애플이 사용자 기기를 감시하는 기술(client-side scanning, CSS)의 도입을 철회했다. 그러나 이 기술 전반에 대한 우려가 또다시 제기됐다. 적성국가나 범죄조직, 사용자 주변인에 의해 악용될 수 있다는 지적이다.   얼마 전 애플이 CSAM(Child Sexual Abuse Material ; 아동 성착취물) 감지 기능 도입을 연기하기로 결정한 것은 적절한 조치다. 그런데 최근 보고서에 따르면 유럽연합(EU)이 CSAM(아동 성 착취물) 자동 탐지 기능 활용을 검토했다. “위험한 기술” 최근 국제적으로 저명한 보안 전문가 14인이 보고서를 발표했다. 애플의 CSAM 철회 발표가 있기 전부터 해당 기술에 대한 연구를 시작한 이들은, EU가 CSAM 탐지 기능을 도입해 개인 휴대전화에서 불법 자료를 찾아내려는 계획에 대해 정부의 감시 능력만 강화하는 "위험한 기술"이라고 비판했다. 이들은 CSS 시스템이 실제로 활용될 경우, 지난 6월 EU가 제안한 암호화 약화 방법보다 프라이버시 침해 소지가 훨씬 더 크다고 경고했다. 해당 보고서에 따르면 CSS를 활용할 경우 사법당국이 암호화된 대화 기록을 읽는 것을 넘어, 사용자 기기에 저장된 정보까지 원격으로 검색할 수 있다. 이에 앞서 시민 자유 운동가, 프라이버시 옹호가, 기술 업계 관계자들도 CSAM 탐지 기능을 도입하려는 정부들의 계획이 기본 인권을 위협한다고 경고한 바 있다. 애플이 발표한 시스템은 악의가 없는 것으로 보였지만, 사용자 기기에서 숫자로 된 해시 데이터 형태의 이미지 데이터베이스를 스캔하는 기능이 우려를 불러일으켰다. 어떤 것을 감시하는 시스템을 한번 만들어 놓으면, 이후 감시 범위나 대상을 늘리는 것은 매우 쉬운 일이기 때문이다. 실제로 일부 국가에서는 CSAM 감시 기능을 다른 범죄로 확장하는 방안을 검토하고 있다고 최근 뉴욕타임즈가 보도했다.  CSS 도입 원하는 EU 연구진은 CSAM 감시 기능을 검토해온 유럽연합(EU)의 행보에 대응해 애플 발...

2021.10.18

블로그ㅣ이메일에서 시작된 ‘보안’에 관한 몇 가지 생각

며칠 전 필자는 한 이메일을 받았는데, 처음엔 이게 합법적인지 아닌지 알아내기가 거의 불가능했다. 게다가 아웃룩에서 이메일을 미리보기만 해도 일부 취약점이 시스템에 액세스할 수 있다는 점을 생각하니 더욱더 긴장됐다. 하지만 이메일이 안전한지 확인해야 했다.  무엇보다도 건강한 회의주의(skepticism)가 중요하다. 사용하는 플랫폼이 패치를 완료해 공격을 방어할 준비가 됐는지 항상 확인해야 한다. 예를 들어 더 이상 지원되지 않는 아웃룩 버전을 계속 쓰고 있다면 위험에 노출될 수 있다.    또한 패치되지 않은 오피스 제품군에서 모르는 이메일을 열어선 안 된다. 더 나은 보호를 제공하는 최신 이메일 클라이언트로 마이그레이션하는 것도 괜찮다. 아웃룩의 유용한 대안으로 쓸 수 있는 많은 서드파티 이메일 클라이언트가 있다. 이를테면 썬더버드(Thunderbird), eM 클라이언트(eM Client), 메일버드(Mailbird) 등이다.  때때로 구식이라고 간주되는 방법이 적합할 수 있다. 이메일은 모르는 내용이지만 보낸 사람을 알고 있다고 가정해보자. 이때 해당 이메일이 합법적인지 확인하는 가장 쉬운 방법은 전화기를 들고 전화를 하는 것이다.  비즈니스 이메일 침해(BEC) 공격도 마찬가지다. 은행 계좌가 바닥나지 않도록 하는 가장 좋은 방법은 전화를 걸어 거래를 확인하는 것이다. 똑똑한 사람도 사기를 당할 수 있다는 걸 명심하라. 이를테면 美 투자 리얼리티 TV쇼 ‘샤크 탱크(Shark Tank)’에서 투자자로 출연해 유명세를 얻은 백만장자 바바라 코코란은 지난해 그를 사칭한 사기꾼이 회계 담당자에게 계좌이체를 승인해달라는 이메일을 보내 약 40만 달러를 잃었다(잘못된 형식의 이메일 주소로 발각됐다). 다른 이메일 클라이언트를 사용하는 대신 플랫폼을 전환할 수도 있다. 많은 기업이 애플 플랫폼이나 크롬북으로 이동하게 되면서 사람들은 (자신들이) 공격에 면역을 가지고 있다고 생각하게 될 수 있다. 하지만 ...

이메일 기업 이메일 침해 BEC 보안 패치 취약점 피싱 운영체제 윈도우 오피스 아웃룩

2021.09.07

며칠 전 필자는 한 이메일을 받았는데, 처음엔 이게 합법적인지 아닌지 알아내기가 거의 불가능했다. 게다가 아웃룩에서 이메일을 미리보기만 해도 일부 취약점이 시스템에 액세스할 수 있다는 점을 생각하니 더욱더 긴장됐다. 하지만 이메일이 안전한지 확인해야 했다.  무엇보다도 건강한 회의주의(skepticism)가 중요하다. 사용하는 플랫폼이 패치를 완료해 공격을 방어할 준비가 됐는지 항상 확인해야 한다. 예를 들어 더 이상 지원되지 않는 아웃룩 버전을 계속 쓰고 있다면 위험에 노출될 수 있다.    또한 패치되지 않은 오피스 제품군에서 모르는 이메일을 열어선 안 된다. 더 나은 보호를 제공하는 최신 이메일 클라이언트로 마이그레이션하는 것도 괜찮다. 아웃룩의 유용한 대안으로 쓸 수 있는 많은 서드파티 이메일 클라이언트가 있다. 이를테면 썬더버드(Thunderbird), eM 클라이언트(eM Client), 메일버드(Mailbird) 등이다.  때때로 구식이라고 간주되는 방법이 적합할 수 있다. 이메일은 모르는 내용이지만 보낸 사람을 알고 있다고 가정해보자. 이때 해당 이메일이 합법적인지 확인하는 가장 쉬운 방법은 전화기를 들고 전화를 하는 것이다.  비즈니스 이메일 침해(BEC) 공격도 마찬가지다. 은행 계좌가 바닥나지 않도록 하는 가장 좋은 방법은 전화를 걸어 거래를 확인하는 것이다. 똑똑한 사람도 사기를 당할 수 있다는 걸 명심하라. 이를테면 美 투자 리얼리티 TV쇼 ‘샤크 탱크(Shark Tank)’에서 투자자로 출연해 유명세를 얻은 백만장자 바바라 코코란은 지난해 그를 사칭한 사기꾼이 회계 담당자에게 계좌이체를 승인해달라는 이메일을 보내 약 40만 달러를 잃었다(잘못된 형식의 이메일 주소로 발각됐다). 다른 이메일 클라이언트를 사용하는 대신 플랫폼을 전환할 수도 있다. 많은 기업이 애플 플랫폼이나 크롬북으로 이동하게 되면서 사람들은 (자신들이) 공격에 면역을 가지고 있다고 생각하게 될 수 있다. 하지만 ...

2021.09.07

"올해 초 대규모 사이버 공격 배후는 中 국가보안부" 미국 및 동맹국 주장

미국, EU, 영국, 나토 소속 국가 및 여타 동맹국들이 올해 초 마이크로소프트 익스체인지 제로데이 취약점을 이용해 수천 곳의 조직을 대상으로 한 사이버 공격에 주체로 중국 국가보안부(MSS)를 지목했다. 미 법무부는 또 APT40이라고 불리는 사이버 스파이 그룹을 운영한 혐의로 MSS 장교 4명을 기소했다.    19일 공개된 기소장에 따르면 APT40 그룹은 하이난 지안둔 테크놀로지 디벨롭먼트라는 회사가 운영한다. MSS 산하 하이난 보안국(HSSD)의 대외 조직으로 추정되는 기업이다. 이 회사는 지역 대학과 협력해 전 세계 사이버 스파이 활동에 사용할 컴퓨터 해커 및 언어학자를 모집했다.  또 2011년과 2018년 사이에 APT40은 중국 국영 기업을 위해 영업 비밀 및 기타 기밀 비즈니스 정보를 훔치는 것을 목표로 항공, 국방, 교육, 정부, 의료, 바이오 제약, 해양, 운송 및 학계를 포함한 다양한 산업의 조직을 공격했다. 미국, 오스트리아, 캄보디아, 캐나다, 독일, 인도네시아, 말레이시아, 노르웨이, 사우디아라비아, 남아프리카 공화국, 스위스, 영국에 소재한 조직들이었다.  미 법부무는 “기소된 MSS 장교들은 목표를 달성하기 위해 하이난을 비롯한 중국의 여러 지역의 대학 직원 및 교수들과 협력했다. 이들 대학은 MSS가 해커와 언어학자를 식별하고 모집해 외국 대학의 학자 및 공격 대상 기업의 컴퓨터 네트워크에 침투하여 훔치는 것을 도왔다”라고 주장했다.  APT40의 도구 및 기술 APT40은 악성 첨부 파일과 링크가 포함된 스피어 피싱 이메일을 주로 사용해 피해자의 네트워크에 대한 초기 액세스 권한을 획득한 것으로 전해졌다. 또 인기 소프트웨어의 취약점을 악용한 웹 사이트의 드라이브 바이 공격도 활용했다는 주장이다.  이들이 공격을 위해 사용한 오픈소스 도구 및 맞춤형 맬웨어 프로그램으로는 BADFLICK/Greencrash, China Chopper, Cobalt Strike...

중국 APT40 해커 사이버 공격 사이버 범죄

2021.07.20

미국, EU, 영국, 나토 소속 국가 및 여타 동맹국들이 올해 초 마이크로소프트 익스체인지 제로데이 취약점을 이용해 수천 곳의 조직을 대상으로 한 사이버 공격에 주체로 중국 국가보안부(MSS)를 지목했다. 미 법무부는 또 APT40이라고 불리는 사이버 스파이 그룹을 운영한 혐의로 MSS 장교 4명을 기소했다.    19일 공개된 기소장에 따르면 APT40 그룹은 하이난 지안둔 테크놀로지 디벨롭먼트라는 회사가 운영한다. MSS 산하 하이난 보안국(HSSD)의 대외 조직으로 추정되는 기업이다. 이 회사는 지역 대학과 협력해 전 세계 사이버 스파이 활동에 사용할 컴퓨터 해커 및 언어학자를 모집했다.  또 2011년과 2018년 사이에 APT40은 중국 국영 기업을 위해 영업 비밀 및 기타 기밀 비즈니스 정보를 훔치는 것을 목표로 항공, 국방, 교육, 정부, 의료, 바이오 제약, 해양, 운송 및 학계를 포함한 다양한 산업의 조직을 공격했다. 미국, 오스트리아, 캄보디아, 캐나다, 독일, 인도네시아, 말레이시아, 노르웨이, 사우디아라비아, 남아프리카 공화국, 스위스, 영국에 소재한 조직들이었다.  미 법부무는 “기소된 MSS 장교들은 목표를 달성하기 위해 하이난을 비롯한 중국의 여러 지역의 대학 직원 및 교수들과 협력했다. 이들 대학은 MSS가 해커와 언어학자를 식별하고 모집해 외국 대학의 학자 및 공격 대상 기업의 컴퓨터 네트워크에 침투하여 훔치는 것을 도왔다”라고 주장했다.  APT40의 도구 및 기술 APT40은 악성 첨부 파일과 링크가 포함된 스피어 피싱 이메일을 주로 사용해 피해자의 네트워크에 대한 초기 액세스 권한을 획득한 것으로 전해졌다. 또 인기 소프트웨어의 취약점을 악용한 웹 사이트의 드라이브 바이 공격도 활용했다는 주장이다.  이들이 공격을 위해 사용한 오픈소스 도구 및 맞춤형 맬웨어 프로그램으로는 BADFLICK/Greencrash, China Chopper, Cobalt Strike...

2021.07.20

"이스라엘산 스파이웨어, 50개국 1천여 명 해킹에 사용돼"

이스라엘 스파이웨어 ‘페가수스’가 전 세계 언론인, 기업인, 인권운동가 등을 사찰하는 데 사용된 사실이 드러났다고 외신들이 18일(현지시간) 보도했다. 페가수스는 민간 보안업체 NSO 그룹이 테러 방지 및 군사용으로 개발했다. 일련의 보도에 따르면, 국제 인권 단체인 앰네스티와 프랑스 비영리 저널리즘 단체인 ‘포비든 스토리즈’는 페가수스의 표적 대상에 오른 것으로 추정되는 5만 개의 전화번호 목록을 입수해 워싱턴포스트(WP), 영국 가디언 등 전 세계 16개 언론사들에 공유했다.   16개 언론사들이 공동 취재팀을 꾸려 지난 수개월 간 전화번호를 조사한 결과, 테러리스트가 아니라 189명의 전 세계 언론인, 65명 이상의 기업인, 600명 이상의 정계 주요 인물 등 전 세계 50개국 1,000여 명이 페가수스의 감시를 받은 것으로 드러났다.  사찰 대상이 된 언론인 중에는 미국의소리(VOA), 뉴욕타임스, 블룸버그, 파이낸셜타임스 등의 매체에 소속된 기자들이 포함돼 있었다. 여기에는 지난 2018년 사우디아라비아 총영사관에서 살해된 사우디 반체제 언론인 자말 까슈끄지와 지인 번호도 있었던 것으로 밝혀졌다. 사찰에 사용된 페가수스를 개발한 NSO 그룹은 이스라엘 민간 스파이웨어 제조 업체다. WP에 따르면 2010년 설립된 이 회사는 전 세계 60곳의 정부 고객을 두고 있다. 지난해 2억 4,000만 달러(한화 약 2,757억 원)의 매출을 기록한 것으로 알려져 있다.  스파이웨어는 컴퓨터, 스마트폰 등 장치의 보안취약점을 이용해 침투한 다음 사용자 몰래 이메일, 통화 내역, 채팅 메시지, 음성, 영상 데이터 등을 수집 및 감시하는 데 사용된다. NSO 그룹이 판매한 페가수스는 아이폰과 안드로이드 폰에 침투할 수 있도록 설계돼 있는 것으로 전해졌다.  NSO의 공동설립자인 샬레브 훌리오는 WP를 통해 페가수스가 민간인 사찰에 이용된 경우를 조사하고, 필요시 고객과의 계약을 해지할 것이라고 말했다. 하지만 5만 개의...

NSO 그룹 스파이웨어 페가수스 앰네스티

2021.07.19

이스라엘 스파이웨어 ‘페가수스’가 전 세계 언론인, 기업인, 인권운동가 등을 사찰하는 데 사용된 사실이 드러났다고 외신들이 18일(현지시간) 보도했다. 페가수스는 민간 보안업체 NSO 그룹이 테러 방지 및 군사용으로 개발했다. 일련의 보도에 따르면, 국제 인권 단체인 앰네스티와 프랑스 비영리 저널리즘 단체인 ‘포비든 스토리즈’는 페가수스의 표적 대상에 오른 것으로 추정되는 5만 개의 전화번호 목록을 입수해 워싱턴포스트(WP), 영국 가디언 등 전 세계 16개 언론사들에 공유했다.   16개 언론사들이 공동 취재팀을 꾸려 지난 수개월 간 전화번호를 조사한 결과, 테러리스트가 아니라 189명의 전 세계 언론인, 65명 이상의 기업인, 600명 이상의 정계 주요 인물 등 전 세계 50개국 1,000여 명이 페가수스의 감시를 받은 것으로 드러났다.  사찰 대상이 된 언론인 중에는 미국의소리(VOA), 뉴욕타임스, 블룸버그, 파이낸셜타임스 등의 매체에 소속된 기자들이 포함돼 있었다. 여기에는 지난 2018년 사우디아라비아 총영사관에서 살해된 사우디 반체제 언론인 자말 까슈끄지와 지인 번호도 있었던 것으로 밝혀졌다. 사찰에 사용된 페가수스를 개발한 NSO 그룹은 이스라엘 민간 스파이웨어 제조 업체다. WP에 따르면 2010년 설립된 이 회사는 전 세계 60곳의 정부 고객을 두고 있다. 지난해 2억 4,000만 달러(한화 약 2,757억 원)의 매출을 기록한 것으로 알려져 있다.  스파이웨어는 컴퓨터, 스마트폰 등 장치의 보안취약점을 이용해 침투한 다음 사용자 몰래 이메일, 통화 내역, 채팅 메시지, 음성, 영상 데이터 등을 수집 및 감시하는 데 사용된다. NSO 그룹이 판매한 페가수스는 아이폰과 안드로이드 폰에 침투할 수 있도록 설계돼 있는 것으로 전해졌다.  NSO의 공동설립자인 샬레브 훌리오는 WP를 통해 페가수스가 민간인 사찰에 이용된 경우를 조사하고, 필요시 고객과의 계약을 해지할 것이라고 말했다. 하지만 5만 개의...

2021.07.19

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31