Offcanvas

������������

취약점 악용 가능성을 예측하는 지표··· ‘EPSS’ 따라잡기

EPSS(Exploit Prediction Scoring System)은 한계를 지닌다. 그러나 CVSS(Common Vulnerability Scanning System)를 유의미하게 보완할 수 있다.  공통 취약점 스캔 시스템(Common Vulnerability Scanning System, CVSS)은 취약점의 심각성을 평가하는 용도로 자주 언급되는 등급 시스템이다. 그러나 취약점으로 인한 위험을 평가하고 우선순위를 정하는 관행이 적절하지 않다는 비판을 받아왔다. 이러한 이유로 각종 메트릭을 보다 실행 가능하고 효율적으로 만들기 위해 익스플로잇 예측 스코어링 시스템(Exploit Prediction Scoring System, EPSS)을 사용하거나 CVSS와 EPSS를 결합해야 한다는 목소리가 등장했다. EPSS는 사건 대응 및 보안 팀으로 구성된 포럼인 FIRST(Forum of Incident Response and Security Teams,)에 의해 관리된다.   EPSS의 정의 EPSS는 소프트웨어 취약점이 야생에서 악용될 가능성을 추정하고자 하는, 개방적이고 데이터 중심적인 노력이라고 할 수 있다. CVSS의 경우 취약점의 고유한 특성에 초점을 맞춰 심각성 점수를 매긴다. 이 점수는 취약점 문제 해결 및 완화 노력의 우선 순위를 지정하여 조직 리스크 감소에 미치는 영향을 극대화해야 하는 취약점 관리 전문가에게 중요한 정보다. 그러나 심각성 점수만으로는 악용 가능성을 보여주지 않는다. EPSS와 관련해 관심이 있는 사람들을 위해 개방된 단체(SIG ; special interest group)가 있다 연구원, 보안 실무자, 학계 및 정부 인력이 주도하고 있는 자원봉사그룹이 주도한다. 이러한 업계 협업 중심의 접근 방식에도 불구하고 조직이 적합하다고 판단하는 대로 모델 및 관련 지침을 업데이트할 수 있는 권한은 FIRST가 보유하고 있다. 이 그룹에는 다양한 조직의 많은 구성원들 중에서도 랜드, 싸이엔시아, 버지니아 공...

EPSS CVSS 취약점 FIRST CVE

5일 전

EPSS(Exploit Prediction Scoring System)은 한계를 지닌다. 그러나 CVSS(Common Vulnerability Scanning System)를 유의미하게 보완할 수 있다.  공통 취약점 스캔 시스템(Common Vulnerability Scanning System, CVSS)은 취약점의 심각성을 평가하는 용도로 자주 언급되는 등급 시스템이다. 그러나 취약점으로 인한 위험을 평가하고 우선순위를 정하는 관행이 적절하지 않다는 비판을 받아왔다. 이러한 이유로 각종 메트릭을 보다 실행 가능하고 효율적으로 만들기 위해 익스플로잇 예측 스코어링 시스템(Exploit Prediction Scoring System, EPSS)을 사용하거나 CVSS와 EPSS를 결합해야 한다는 목소리가 등장했다. EPSS는 사건 대응 및 보안 팀으로 구성된 포럼인 FIRST(Forum of Incident Response and Security Teams,)에 의해 관리된다.   EPSS의 정의 EPSS는 소프트웨어 취약점이 야생에서 악용될 가능성을 추정하고자 하는, 개방적이고 데이터 중심적인 노력이라고 할 수 있다. CVSS의 경우 취약점의 고유한 특성에 초점을 맞춰 심각성 점수를 매긴다. 이 점수는 취약점 문제 해결 및 완화 노력의 우선 순위를 지정하여 조직 리스크 감소에 미치는 영향을 극대화해야 하는 취약점 관리 전문가에게 중요한 정보다. 그러나 심각성 점수만으로는 악용 가능성을 보여주지 않는다. EPSS와 관련해 관심이 있는 사람들을 위해 개방된 단체(SIG ; special interest group)가 있다 연구원, 보안 실무자, 학계 및 정부 인력이 주도하고 있는 자원봉사그룹이 주도한다. 이러한 업계 협업 중심의 접근 방식에도 불구하고 조직이 적합하다고 판단하는 대로 모델 및 관련 지침을 업데이트할 수 있는 권한은 FIRST가 보유하고 있다. 이 그룹에는 다양한 조직의 많은 구성원들 중에서도 랜드, 싸이엔시아, 버지니아 공...

5일 전

‘구독 취소하려면 전화 달라’ 유닛42, ‘콜백 피싱’ 해킹 경고

루나 모스 그룹의 콜백 피싱(callback phishing) 해킹 수법은 이메일로 맬웨어 대신 영수증을 피해자에게 보낸다. 구독을 취소하려면 전화를 달라는 사기 이메일을 보내 개인 정보를 탈취한 뒤 대금을 요구하는 수법이다.    팔로알토 유닛42 보안 연구팀이 루나 모트(Luna Moth) 해킹그룹의 콜백 피싱 갈취 수법과 관련된 여러 사건을 조사했다. 이 종류의 해킹 수법은 법률과 소매업과 같은 다양한 분야의 기업을 겨냥했다. 분석 결과 수법의 배후에 있는 해커들은 악성코드 기반 암호화 없이 데이터를 갈취한다는 사실이 밝혀졌다.  연구팀에 따르면 루나 모트 해킹 그룹은 콜센터와 같은 주요 인프라에 집중적으로 많은 액수를 투자했으며, 점점 전술을 고도화하고 있다. 연구팀은 해킹 수법으로 인해 피해자는 수백만 달러의 비용을 치러야 했으며, 갈수록 그 범위가 확장되고 있다고 말했다.    맬웨어 대신...영수증?  콜백 피싱(callback phishing)은 사회 공학(social engineering) 공격 수법이다. 유닛 42 연구진은 콜백 피싱이 스크립트 기반 공격보다 자원을 많이 사용하지만 덜 복잡하며 성공률도 더 높은 편이라고 설명했다. 기존 해킹은 피해자가 맬웨어를 다운받도록 유도한다. 가령 콘티 랜섬웨어 그룹과 연계된 사이버 공격집단은 피해자가 '바자르로더(BazarLoader)'라는 맬웨어를 내려받도록 했다.  이렇듯 맬웨어는 기존 콜백 피싱 공격에서 빠질 수 없는 요소다. 하지만 이번 유닛42가 조사한 해킹 수법에서 루나 모트 해킹 그룹은 맬웨어를 이용하지 않았다. 대신, 합법적이고 신뢰할 수 있는 시스템 관리 도구를 사용해 피해자와 직접 소통했다. 연구진은 "이러한 도구는 특성상 악의적이지 않아 기존 바이러스 백신 제품이 감지하기 어려울 것"이라고 설명했다.    가짜 구독 청구 영수증  이 수법의 초기 유인책은 PDF 영수증이 첨부된 피싱 ...

콜백피싱 랜섬웨어 피싱 피싱메일 보이스피싱

2022.11.22

루나 모스 그룹의 콜백 피싱(callback phishing) 해킹 수법은 이메일로 맬웨어 대신 영수증을 피해자에게 보낸다. 구독을 취소하려면 전화를 달라는 사기 이메일을 보내 개인 정보를 탈취한 뒤 대금을 요구하는 수법이다.    팔로알토 유닛42 보안 연구팀이 루나 모트(Luna Moth) 해킹그룹의 콜백 피싱 갈취 수법과 관련된 여러 사건을 조사했다. 이 종류의 해킹 수법은 법률과 소매업과 같은 다양한 분야의 기업을 겨냥했다. 분석 결과 수법의 배후에 있는 해커들은 악성코드 기반 암호화 없이 데이터를 갈취한다는 사실이 밝혀졌다.  연구팀에 따르면 루나 모트 해킹 그룹은 콜센터와 같은 주요 인프라에 집중적으로 많은 액수를 투자했으며, 점점 전술을 고도화하고 있다. 연구팀은 해킹 수법으로 인해 피해자는 수백만 달러의 비용을 치러야 했으며, 갈수록 그 범위가 확장되고 있다고 말했다.    맬웨어 대신...영수증?  콜백 피싱(callback phishing)은 사회 공학(social engineering) 공격 수법이다. 유닛 42 연구진은 콜백 피싱이 스크립트 기반 공격보다 자원을 많이 사용하지만 덜 복잡하며 성공률도 더 높은 편이라고 설명했다. 기존 해킹은 피해자가 맬웨어를 다운받도록 유도한다. 가령 콘티 랜섬웨어 그룹과 연계된 사이버 공격집단은 피해자가 '바자르로더(BazarLoader)'라는 맬웨어를 내려받도록 했다.  이렇듯 맬웨어는 기존 콜백 피싱 공격에서 빠질 수 없는 요소다. 하지만 이번 유닛42가 조사한 해킹 수법에서 루나 모트 해킹 그룹은 맬웨어를 이용하지 않았다. 대신, 합법적이고 신뢰할 수 있는 시스템 관리 도구를 사용해 피해자와 직접 소통했다. 연구진은 "이러한 도구는 특성상 악의적이지 않아 기존 바이러스 백신 제품이 감지하기 어려울 것"이라고 설명했다.    가짜 구독 청구 영수증  이 수법의 초기 유인책은 PDF 영수증이 첨부된 피싱 ...

2022.11.22

블로그ㅣ보안의 미래는 스스로를 보호하는 기기가 아닐까?

애플 기기 관리 전문업체 ‘잼프(Jamf)’가 보안회사 ‘제크옵스(Zecops)’를 인수했다. 이 인수가 왜 중요하며, 엔터프라이즈 모바일 보안에는 어떤 의미가 있을까?    경계를 벗어난 보안 이 질문의 답을 얻으려면 모바일 기기의 확산으로 전통적인 보안의 효과가 예전보다 훨씬 더 떨어지면서 보안이 어떻게 발전해 왔는지 생각해보자. 이제 모바일 기기는 전 세계 웹사이트 트래픽의 59%를 차지한다. 하지만 가장 최근의 버라이즌 모바일 시큐리티 인덱스(Verizon Mobile Security Index)에 따르면 절반가량(45%)의 기업이 지난 12개월 동안 모바일 기기와 관련된 침해를 겪었다고 말했다.  기업의 방화벽은 ‘벽 내부’만 보호하며, 회고적(retrospective) 맬웨어 검사기는 기본적으로 공격이 발생하기 전까지는 이를 감지하지 않는다.  전통적인 보안 모델은 이제 기기, 사용자, 위치, 심지어는 애플리케이션 기반까지 보안을 적용하는 엔드포인트 보안의 개념으로 대체됐다. 오늘날 보안 업계의 유행어인 제로 트러스트, MFA, 암호 없는 보안 등은 모두 새로운 접근 방식의 구성 요소다.  기기가 스스로를 보호할 수 있을까?  이 밖에 또 다른 전술은 애플의 시큐어 엔클레이브(Secure Enclave)처럼 기기 자체의 보안 보호를 발전시키려는 시도다. 이를테면 공격을 받았는지 인식할 수 있을 정도로 스마트한 시스템을 개발하는 것. 하지만 이러한 머신 인텔리전스 셀프 인식을 제공하려면 먼저 원격 측정 데이터의 형태로 정보에 액세스할 수 있어야 한다.  잼프에는 이미 ‘잼프 프로텍트(Jamf Protect)’라는 맥(Mac)용 보안 솔루션이 있다. 위협을 감지하고, 컴플라이언스를 모니터링하며, 몇몇 보안 사고에 자동으로 대응할 수 있다. 이는 지난 2019년 출시 당시 보안 보호의 미래를 보여줬다. 이어 제크옵스 인수는 잼프가 이제 아이폰과 아이패드에도 유사한 보호 기능을 제공할...

보안 애플 잼프 제크옵스 인수 모바일 보안 맬웨어 엔드포인트 보안 제로트러스트 원격 측정 데이터

2022.11.21

애플 기기 관리 전문업체 ‘잼프(Jamf)’가 보안회사 ‘제크옵스(Zecops)’를 인수했다. 이 인수가 왜 중요하며, 엔터프라이즈 모바일 보안에는 어떤 의미가 있을까?    경계를 벗어난 보안 이 질문의 답을 얻으려면 모바일 기기의 확산으로 전통적인 보안의 효과가 예전보다 훨씬 더 떨어지면서 보안이 어떻게 발전해 왔는지 생각해보자. 이제 모바일 기기는 전 세계 웹사이트 트래픽의 59%를 차지한다. 하지만 가장 최근의 버라이즌 모바일 시큐리티 인덱스(Verizon Mobile Security Index)에 따르면 절반가량(45%)의 기업이 지난 12개월 동안 모바일 기기와 관련된 침해를 겪었다고 말했다.  기업의 방화벽은 ‘벽 내부’만 보호하며, 회고적(retrospective) 맬웨어 검사기는 기본적으로 공격이 발생하기 전까지는 이를 감지하지 않는다.  전통적인 보안 모델은 이제 기기, 사용자, 위치, 심지어는 애플리케이션 기반까지 보안을 적용하는 엔드포인트 보안의 개념으로 대체됐다. 오늘날 보안 업계의 유행어인 제로 트러스트, MFA, 암호 없는 보안 등은 모두 새로운 접근 방식의 구성 요소다.  기기가 스스로를 보호할 수 있을까?  이 밖에 또 다른 전술은 애플의 시큐어 엔클레이브(Secure Enclave)처럼 기기 자체의 보안 보호를 발전시키려는 시도다. 이를테면 공격을 받았는지 인식할 수 있을 정도로 스마트한 시스템을 개발하는 것. 하지만 이러한 머신 인텔리전스 셀프 인식을 제공하려면 먼저 원격 측정 데이터의 형태로 정보에 액세스할 수 있어야 한다.  잼프에는 이미 ‘잼프 프로텍트(Jamf Protect)’라는 맥(Mac)용 보안 솔루션이 있다. 위협을 감지하고, 컴플라이언스를 모니터링하며, 몇몇 보안 사고에 자동으로 대응할 수 있다. 이는 지난 2019년 출시 당시 보안 보호의 미래를 보여줬다. 이어 제크옵스 인수는 잼프가 이제 아이폰과 아이패드에도 유사한 보호 기능을 제공할...

2022.11.21

"포브스 2000대 기업, 도메인 보안 미흡"

포브스 글로벌 2000대 기업이 주요 도메인 보안 조치를 채택하지 않아 심각한 보안 위험에 노출된 것으로 나타났다.  엔터프라이즈급 도메인 등록 기관 및 DNS 위협 완화 업체인 CSC(Corporation Service Company)의 최근 보고서에 따르면, 글로벌 2000대 기업의 75%는 DMARC(Domain-based Message Authentication, Reporting, and Conformance)을 도입했지만, 이는 전체 도메인 보안 조치의 일부에 불과하다. DMARC는 2020년 이후 유일하게 채택률이 증가한 유일한 보안 조치다.  CSC의 이번 조사 결과는 2022년 2분기 악성 도메인 활동과 피싱 툴킷 재사용이 증가했다는 아카마이의 조사 결과와 궤를 같이한다.   ‘너무 느린’ 도메인 보안 조치 채택 속도 CSC는 지난 몇 년간 2000대 기업이 권장 도메인 보안 조치를 채택하는 속도가 느리다고 지적했다. 조사 결과, 2020년 이후부터는 DNS 이중화, 레지스트리 잠금, CAA(Certificate Authority Authorization) 기록, DNSSEC(DNS Security Extensions)와 같은 조치의 도입이 확대되는 속도가 평이했다. CSC 보고서 집필팀은 “도메인 보안의 부재는 잠재적으로 피싱 또는 랜섬웨어 공격 및 기타 사이버 위협으로 이어질 수 있다”라고 경고했다. 한편 DMARC 도입 비율은 2020년 38.9%에서 2022년 61.5%로 크게 올랐다. CSC는 상표 표기 인증서(Verified Mark Certificates, VMC)로 SSL 인증서를 확인하기 위해서 DMARC를 설정해야 한다는 점이 채택률을 높인 것으로 분석했다. 또한 보고서는 “애플이 9월 BMI(Brand Indicators for Message Identification)를 발표하고 iOS 16 및 맥OS용 이메일 클라이언트가 브랜드 스푸핑 및 사칭을 방지하기 위한 노력을 지원할 것이라고 ...

csc 도메인 유사도메인 호모글리

2022.11.17

포브스 글로벌 2000대 기업이 주요 도메인 보안 조치를 채택하지 않아 심각한 보안 위험에 노출된 것으로 나타났다.  엔터프라이즈급 도메인 등록 기관 및 DNS 위협 완화 업체인 CSC(Corporation Service Company)의 최근 보고서에 따르면, 글로벌 2000대 기업의 75%는 DMARC(Domain-based Message Authentication, Reporting, and Conformance)을 도입했지만, 이는 전체 도메인 보안 조치의 일부에 불과하다. DMARC는 2020년 이후 유일하게 채택률이 증가한 유일한 보안 조치다.  CSC의 이번 조사 결과는 2022년 2분기 악성 도메인 활동과 피싱 툴킷 재사용이 증가했다는 아카마이의 조사 결과와 궤를 같이한다.   ‘너무 느린’ 도메인 보안 조치 채택 속도 CSC는 지난 몇 년간 2000대 기업이 권장 도메인 보안 조치를 채택하는 속도가 느리다고 지적했다. 조사 결과, 2020년 이후부터는 DNS 이중화, 레지스트리 잠금, CAA(Certificate Authority Authorization) 기록, DNSSEC(DNS Security Extensions)와 같은 조치의 도입이 확대되는 속도가 평이했다. CSC 보고서 집필팀은 “도메인 보안의 부재는 잠재적으로 피싱 또는 랜섬웨어 공격 및 기타 사이버 위협으로 이어질 수 있다”라고 경고했다. 한편 DMARC 도입 비율은 2020년 38.9%에서 2022년 61.5%로 크게 올랐다. CSC는 상표 표기 인증서(Verified Mark Certificates, VMC)로 SSL 인증서를 확인하기 위해서 DMARC를 설정해야 한다는 점이 채택률을 높인 것으로 분석했다. 또한 보고서는 “애플이 9월 BMI(Brand Indicators for Message Identification)를 발표하고 iOS 16 및 맥OS용 이메일 클라이언트가 브랜드 스푸핑 및 사칭을 방지하기 위한 노력을 지원할 것이라고 ...

2022.11.17

강은성의 보안 아키텍트ㅣ글로벌 보안 규제와 공급망 보안

2016년 10월 21일 아마존, 넷플릭스, 트위터 등 많은 이용자들이 있는 대형 서비스를 미국의 많은 지역에서 접속하지 못하는 사태가 벌어졌다.     이들 지역에 DNS를 제공하는 업체 Dyn이 대규모 분산 서비스거부 공격(DDoS) 공격을 받아 도메인이름 서비스(DNS)가 중단됐기 때문이었다. IP 카메라, 홈라우터 등 수십 만대의 사물인터넷(IoT) 기기를 감염시킨 미라이(Mirai) 봇넷이 이들을 동원하여 Dyn에 DDoS 공격을 한 것이다. 이 사건은 미국을 비롯한 세계 각국에서 법률 제정과 정부 정책을 통해 IoT 기기에 대한 보안 규제를 본격적으로 추진하는 계기가 됐다.  2020년 1월부터 미국 캘리포니아주에서 시행된 ‘사물인터넷 보안법’(Security of connected devices)은 캘리포니아주에서 판매되거나 판매를 위해 제공되는 ‘정보통신망 연결 기기’를 제조하거나 대신 제조하기로 계약한 제조업체에 적용되는데, 이 기기들은 다음과 같은 합리적인 보안 기능을 갖춰야 한다.    • 해당 기기의 본질과 기능에 적합  • 기기에 수집·보관·전송되는 정보에 적합  • 기기 및 기기에 보관된 모든 정보가 무단 접근, 파괴, 사용, 변경, 공개되지 않도록 보호할 수 있게 설계  • LAN 외부에 인증수단이 있는 경우에는 다음 중 하나를 충족    (1) 생산 시 사전 설정되는 패스워드는 기기마다 고유해야 함    (2) 이용자가 기기를 처음 접근권한을 허용 받기 전에 새 인증수단을 요구하는 보안 기능을 갖춤   로봇청소기를 예로 들면 로봇청소기의 본질에는 자율 이동과 청소가 포함되고, 자율 이동을 위해서는 비디오카메라로 주위 공간을 찍어서 데이터를 클라우드로 전송하여 분석한 뒤 이를 기반으로 이동하는 기능이 필요하다.    따라서 로...

강은성 강은성의 보안 아키텍트 디도스 공격 미라이 봇넷 사물인터넷 보안 공급망 보안

2022.11.14

2016년 10월 21일 아마존, 넷플릭스, 트위터 등 많은 이용자들이 있는 대형 서비스를 미국의 많은 지역에서 접속하지 못하는 사태가 벌어졌다.     이들 지역에 DNS를 제공하는 업체 Dyn이 대규모 분산 서비스거부 공격(DDoS) 공격을 받아 도메인이름 서비스(DNS)가 중단됐기 때문이었다. IP 카메라, 홈라우터 등 수십 만대의 사물인터넷(IoT) 기기를 감염시킨 미라이(Mirai) 봇넷이 이들을 동원하여 Dyn에 DDoS 공격을 한 것이다. 이 사건은 미국을 비롯한 세계 각국에서 법률 제정과 정부 정책을 통해 IoT 기기에 대한 보안 규제를 본격적으로 추진하는 계기가 됐다.  2020년 1월부터 미국 캘리포니아주에서 시행된 ‘사물인터넷 보안법’(Security of connected devices)은 캘리포니아주에서 판매되거나 판매를 위해 제공되는 ‘정보통신망 연결 기기’를 제조하거나 대신 제조하기로 계약한 제조업체에 적용되는데, 이 기기들은 다음과 같은 합리적인 보안 기능을 갖춰야 한다.    • 해당 기기의 본질과 기능에 적합  • 기기에 수집·보관·전송되는 정보에 적합  • 기기 및 기기에 보관된 모든 정보가 무단 접근, 파괴, 사용, 변경, 공개되지 않도록 보호할 수 있게 설계  • LAN 외부에 인증수단이 있는 경우에는 다음 중 하나를 충족    (1) 생산 시 사전 설정되는 패스워드는 기기마다 고유해야 함    (2) 이용자가 기기를 처음 접근권한을 허용 받기 전에 새 인증수단을 요구하는 보안 기능을 갖춤   로봇청소기를 예로 들면 로봇청소기의 본질에는 자율 이동과 청소가 포함되고, 자율 이동을 위해서는 비디오카메라로 주위 공간을 찍어서 데이터를 클라우드로 전송하여 분석한 뒤 이를 기반으로 이동하는 기능이 필요하다.    따라서 로...

2022.11.14

“지정학적 긴장, 사이버 공격서 주요한 역할 한다” EU 사이버보안국

EU 사이버보안국(EU Agency for Cybersecurity; ENISA)은 2022년 한 해 동안 국가의 후원을 받는 위협 행위자가 우크라이나를 지원하는 42개국의 128개 정부 조직을 표적으로 삼았다고 밝혔다. 주요 공격 유형은 랜섬웨어와 디도스(DDoS)였다.  ENISA에 따르면 현재 진행 중인 러시아-우크라이나 분쟁으로 지난 1년 동안 국가의 후원을 받는 위협 행위자가 우크라이나를 지원하는 42개국의 128개 정부 조직을 표적으로 삼는 등 핵티비스트(hacktivist; 정치·사회적 목적으로 해킹하는 사람 또는 행위를 의미한다) 활동이 증가하는 결과를 낳았다.    최신 ENISA 위협 환경 보고서(The 10th edition of the ENISA threat landscape report)는 몇몇 위협 행위자가 분쟁 초기에 정보 수집을 위해 우크라이나와 러시아 기관을 목표로 삼았다고 언급했다. ‘불안한 지정학이 2022년 사이버 보안 위협 환경을 뒤흔든다(Volatile Geopolitics Shake the Trends of the 2022 Cybersecurity Threat Landscape)’라는 제목의 해당 보고서는 지정학적 상황이 사이버 보안에 계속해서 큰 영향을 미치고 있다고 전했다.  제로데이 및 디도스로 이뤄지는 국가 후원 공격 보고서는 국가에서 후원하는 위협 행위자가 주로 사용하는 공격 유형을 파악했다. 여기에는 제로데이 및 핵심 취약점 공격, 운영기술(OT) 네트워크 공격, 정부 기관 및 주요 기반 시설의 네트워크를 파괴하고 교란하기 위한 와이퍼 공격, 공급망 공격이 있었다. 이밖에 소셜 엔지니어링, 허위 정보, 데이터 위협도 포함됐다.  아울러 국가 후원 위협 행위자가 동남아시아, 일본, 호주, 대만의 정부 조직을 표적으로 삼는 것도 관찰됐다. 아시아 특정 국가 간의 긴장이 고조되면서 위협 행위자는 대만과 긴밀한 관계를 맺고 있는 국가(EU 회원국 포함)를 타깃으로...

지정학적 환경 사이버 공격 랜섬웨어 디도스 DDoS 제로데이 핵티비스트

2022.11.07

EU 사이버보안국(EU Agency for Cybersecurity; ENISA)은 2022년 한 해 동안 국가의 후원을 받는 위협 행위자가 우크라이나를 지원하는 42개국의 128개 정부 조직을 표적으로 삼았다고 밝혔다. 주요 공격 유형은 랜섬웨어와 디도스(DDoS)였다.  ENISA에 따르면 현재 진행 중인 러시아-우크라이나 분쟁으로 지난 1년 동안 국가의 후원을 받는 위협 행위자가 우크라이나를 지원하는 42개국의 128개 정부 조직을 표적으로 삼는 등 핵티비스트(hacktivist; 정치·사회적 목적으로 해킹하는 사람 또는 행위를 의미한다) 활동이 증가하는 결과를 낳았다.    최신 ENISA 위협 환경 보고서(The 10th edition of the ENISA threat landscape report)는 몇몇 위협 행위자가 분쟁 초기에 정보 수집을 위해 우크라이나와 러시아 기관을 목표로 삼았다고 언급했다. ‘불안한 지정학이 2022년 사이버 보안 위협 환경을 뒤흔든다(Volatile Geopolitics Shake the Trends of the 2022 Cybersecurity Threat Landscape)’라는 제목의 해당 보고서는 지정학적 상황이 사이버 보안에 계속해서 큰 영향을 미치고 있다고 전했다.  제로데이 및 디도스로 이뤄지는 국가 후원 공격 보고서는 국가에서 후원하는 위협 행위자가 주로 사용하는 공격 유형을 파악했다. 여기에는 제로데이 및 핵심 취약점 공격, 운영기술(OT) 네트워크 공격, 정부 기관 및 주요 기반 시설의 네트워크를 파괴하고 교란하기 위한 와이퍼 공격, 공급망 공격이 있었다. 이밖에 소셜 엔지니어링, 허위 정보, 데이터 위협도 포함됐다.  아울러 국가 후원 위협 행위자가 동남아시아, 일본, 호주, 대만의 정부 조직을 표적으로 삼는 것도 관찰됐다. 아시아 특정 국가 간의 긴장이 고조되면서 위협 행위자는 대만과 긴밀한 관계를 맺고 있는 국가(EU 회원국 포함)를 타깃으로...

2022.11.07

사이버전쟁 피해, 기업 보험 적용 '불투명'··· 비공개로 종결 난 몬델리즈-취리히 소송

2017년, 러시아 당국이 배후로 추정되는 낫페트야(NotPeya) 맬웨어 공격으로 큰 피해를 본 미국의 대형 제과회사 몬델리즈 인터내셔널(Modelez International)이 전담 보험사인 취리히 아메리칸 보험(Zurich American Insurance)과 4년 간 이어온 소송을 합의로 종결한 것으로 드러났다. 그러나 합의 내용이 밝혀지지 않아 사이버전쟁 피해가 기업 보험에 포함돼야 할지에 대한 기준을 확립하기 어려워졌다. 낫페트야 공격으로 비슷한 피해를 본 제약회사 머크(Merck)는 보험사 에이스 아메리칸(Ace American)에 건 소송에서 지난 1월 승소했다.    2017년 6월 27일, 낫페트야 맬웨어는 몬델리즈에 있던 1,700개의 서버와 24,000대의 노트북을 영구적으로 손상시켰다. 회사는 피해액이 1억 달러에 달한다고 밝혔다.  이에 몬델레즈는 보험 규정에 "기계코드나 명령의 악의적인 도입으로 인한 물리적 손실이나 손상을 포함해 전자 데이터, 프로그램 또는 소프트웨어에 대한 물리적 손실이나 손상을 보상한다"라고 명시돼 있다며 전담 보험사인 취리히 아메리칸에 보험금을 청구했다.    ‘전쟁면책’ 들며 지급 거절  처음 몬델레즈는 보험 정책이 당연히 유효하리라 믿었다. 맬웨어가 인프라에 분명한 손상을 입혔기 때문이다. 하지만 몬델레즈는 2018년 6월 1일 취리히로부터 서면 거절을 받았다고 밝혔다. 다음과 같은 전쟁 상황은 면책 대상이라는 점이 거절 사유였다.    평화 또는 전쟁 시 적대적이거나 호전적인 모든 사건은 면책 대상이다. 여기에는 실제, 임박하거나 예상되는 공격에 대한 방해, 전투 또는 방어 행동을 포함한다. 공격 대상은 i) 정부 또는 주권(재판 또는 사실상의) ii) 군대, 해군 또는 공군 iii) 상기 ii 또는 ii에 명시된 당사자의 대리인 또는 권한을 모두 포함한다.  그러나, 몇 주 후 취리히 보험은 태도를 바꿔 몬...

사이버전쟁 사이버보험 페트야 낫페트야 맬웨어 러우전쟁 러시아해킹

2022.11.04

2017년, 러시아 당국이 배후로 추정되는 낫페트야(NotPeya) 맬웨어 공격으로 큰 피해를 본 미국의 대형 제과회사 몬델리즈 인터내셔널(Modelez International)이 전담 보험사인 취리히 아메리칸 보험(Zurich American Insurance)과 4년 간 이어온 소송을 합의로 종결한 것으로 드러났다. 그러나 합의 내용이 밝혀지지 않아 사이버전쟁 피해가 기업 보험에 포함돼야 할지에 대한 기준을 확립하기 어려워졌다. 낫페트야 공격으로 비슷한 피해를 본 제약회사 머크(Merck)는 보험사 에이스 아메리칸(Ace American)에 건 소송에서 지난 1월 승소했다.    2017년 6월 27일, 낫페트야 맬웨어는 몬델리즈에 있던 1,700개의 서버와 24,000대의 노트북을 영구적으로 손상시켰다. 회사는 피해액이 1억 달러에 달한다고 밝혔다.  이에 몬델레즈는 보험 규정에 "기계코드나 명령의 악의적인 도입으로 인한 물리적 손실이나 손상을 포함해 전자 데이터, 프로그램 또는 소프트웨어에 대한 물리적 손실이나 손상을 보상한다"라고 명시돼 있다며 전담 보험사인 취리히 아메리칸에 보험금을 청구했다.    ‘전쟁면책’ 들며 지급 거절  처음 몬델레즈는 보험 정책이 당연히 유효하리라 믿었다. 맬웨어가 인프라에 분명한 손상을 입혔기 때문이다. 하지만 몬델레즈는 2018년 6월 1일 취리히로부터 서면 거절을 받았다고 밝혔다. 다음과 같은 전쟁 상황은 면책 대상이라는 점이 거절 사유였다.    평화 또는 전쟁 시 적대적이거나 호전적인 모든 사건은 면책 대상이다. 여기에는 실제, 임박하거나 예상되는 공격에 대한 방해, 전투 또는 방어 행동을 포함한다. 공격 대상은 i) 정부 또는 주권(재판 또는 사실상의) ii) 군대, 해군 또는 공군 iii) 상기 ii 또는 ii에 명시된 당사자의 대리인 또는 권한을 모두 포함한다.  그러나, 몇 주 후 취리히 보험은 태도를 바꿔 몬...

2022.11.04

“올 3분기 피싱 공격, 전년 동기 대비 217% 증가”

사이버 보안 회사 베이드(Vade)의 최신 보고서에 따르면 2022년 3분기에만 총 2억 390만 건 이상의 피싱 이메일이 유포됐다. 이전 분기(1억 530만 건)에서 31% 이상 증가한 수치다.  베이드는 올 3분기 피싱 이메일이 전 분기 대비 31% 이상 늘어났으며, 2022년 1~3분기 동안 맬웨어를 포함한 이메일 수가 2021년 수준을 5,580만 건 돌파했다고 밝혔다. 맬웨어 이메일은 2022년 3분기에 전년 동기 대비 217% 증가했다. 지난 7월 1,920만 건으로 최고조에 달했고, 8월과 9월에는 각각 1,680만 건과 1,650만 건으로 전월 대비 감소했다.     보고서에 의하면 이메일은 피싱 및 맬웨어의 기본적인 공격 벡터다. 기업의 공격 표면에서 가장 취약한 고리인 사용자에게 직접적인 채널을 제공하기 때문이다. 한편 해당 보고서는 베이드에서 수집한 피싱 및 맬웨어 데이터를 분석한 결과를 담았다.  이어 보고서는 공격이 점점 더 정교해지면서 이는 기업 10곳 중 약 8곳이 (여전히) 사용하고 있는, 이메일 제공업체에서 지원하는 기본 보안을 회피하고 있다고 전했다.  아울러 널리 알려져 있고 신뢰할 수 있는 브랜드를 사칭하는 것이 여전히 가장 인기 있는 전략이라고 보고서는 언급했다. 2022년 3분기에 페이스북은 2분기 연속 가장 많이 사칭된 브랜드였으며, 구글, MTB, 페이팔, 마이크로소프트가 그 뒤를 이었다. 금융 서비스 부문은 베이드에서 탐지한 피싱 이메일의 32%를 차지하는, 가장 많이 사칭된 산업이었으며, 그다음이 클라우드(25%), 소셜 미디어(22%), 인터넷/통신(13%) 순이었다.  피싱 공격이 갈수록 ‘표적화’되고 있다 피싱 공격이 증가하면서 위협 행위자가 쓰는 기술도 계속 발전하고 있다. 전통적으로 피싱 캠페인은 큰 규모에 무작위적으로 이뤄졌지만 베이드에서 확인한 최근 캠페인은 표적화된 캠페인으로 전환되고 있음을 시사했다.  보고서는 2022년 7...

피싱 공격 피싱 이메일 맬웨어 피싱 캠페인

2022.10.31

사이버 보안 회사 베이드(Vade)의 최신 보고서에 따르면 2022년 3분기에만 총 2억 390만 건 이상의 피싱 이메일이 유포됐다. 이전 분기(1억 530만 건)에서 31% 이상 증가한 수치다.  베이드는 올 3분기 피싱 이메일이 전 분기 대비 31% 이상 늘어났으며, 2022년 1~3분기 동안 맬웨어를 포함한 이메일 수가 2021년 수준을 5,580만 건 돌파했다고 밝혔다. 맬웨어 이메일은 2022년 3분기에 전년 동기 대비 217% 증가했다. 지난 7월 1,920만 건으로 최고조에 달했고, 8월과 9월에는 각각 1,680만 건과 1,650만 건으로 전월 대비 감소했다.     보고서에 의하면 이메일은 피싱 및 맬웨어의 기본적인 공격 벡터다. 기업의 공격 표면에서 가장 취약한 고리인 사용자에게 직접적인 채널을 제공하기 때문이다. 한편 해당 보고서는 베이드에서 수집한 피싱 및 맬웨어 데이터를 분석한 결과를 담았다.  이어 보고서는 공격이 점점 더 정교해지면서 이는 기업 10곳 중 약 8곳이 (여전히) 사용하고 있는, 이메일 제공업체에서 지원하는 기본 보안을 회피하고 있다고 전했다.  아울러 널리 알려져 있고 신뢰할 수 있는 브랜드를 사칭하는 것이 여전히 가장 인기 있는 전략이라고 보고서는 언급했다. 2022년 3분기에 페이스북은 2분기 연속 가장 많이 사칭된 브랜드였으며, 구글, MTB, 페이팔, 마이크로소프트가 그 뒤를 이었다. 금융 서비스 부문은 베이드에서 탐지한 피싱 이메일의 32%를 차지하는, 가장 많이 사칭된 산업이었으며, 그다음이 클라우드(25%), 소셜 미디어(22%), 인터넷/통신(13%) 순이었다.  피싱 공격이 갈수록 ‘표적화’되고 있다 피싱 공격이 증가하면서 위협 행위자가 쓰는 기술도 계속 발전하고 있다. 전통적으로 피싱 캠페인은 큰 규모에 무작위적으로 이뤄졌지만 베이드에서 확인한 최근 캠페인은 표적화된 캠페인으로 전환되고 있음을 시사했다.  보고서는 2022년 7...

2022.10.31

블로그ㅣ 피싱 공격 막는 법은? 현관문을 닫아라

데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 英 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 97,456,345건의 기록이 손상됐다.  2022년 내내 (공개된) 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고… 해커들은 피싱 캠페인을 활용하여 이러한 공격을 시작하기 위한 직원 자격증명 액세스 권한을 얻고 있다.    사회 공학 다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 친구의 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다.  해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 해당 직원의 자격증명에 액세스하고, (기업 시스템에 침입할 수 있는) 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 게 쉬운 법이다.  따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다.  우버, 트윌리오, 메일침프 해킹 사건 모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버(Uber)에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발...

피싱 피싱 공격 사회 공학 랜섬웨어 금융 사기 MFA 2FA

2022.10.27

데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 英 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 97,456,345건의 기록이 손상됐다.  2022년 내내 (공개된) 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고… 해커들은 피싱 캠페인을 활용하여 이러한 공격을 시작하기 위한 직원 자격증명 액세스 권한을 얻고 있다.    사회 공학 다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 친구의 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다.  해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 해당 직원의 자격증명에 액세스하고, (기업 시스템에 침입할 수 있는) 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 게 쉬운 법이다.  따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다.  우버, 트윌리오, 메일침프 해킹 사건 모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버(Uber)에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발...

2022.10.27

안랩, ‘2022년 3분기 보안위협 동향’ 발표… "악성코드 ‘인포스틸러’ 최다 비중"

안랩이 악성코드별 통계와 사이버 공격 탐지 통계를 분석한 ‘2022년 3분기(7월~9월) 보안위협 동향’을 발표했다. 이번 3분기 보안위협 동향은 악성코드 분석·대응조직 ASEC(안랩시큐리티대응센터)이 수집한 악성코드를 자사 악성코드 동적분석 시스템 ‘RAPIT’을 이용해 도출한 ‘악성코드별 통계’와 안랩 침해대응(CERT, Computer Emergency Response Team) 전문인력이 탐지/차단한 공격 시도를 분석한 ‘공격 유형별 통계’를 기반으로 한다.    3분기에는 정보유출형 악성코드인 ‘인포스틸러’가 상반기에 이어 가장 높은 비율을 차지한 가운데, 추가 공격을 위한 ‘다운로더’와 ‘백도어’ 악성코드가 뒤를 이었다. 안랩시큐리티대응센터(ASEC)의 분석 결과, 사용자 웹 브라우저에 암호화돼 등록된 계정정보를 비롯해 가상화폐 지갑주소, 파일 등 다양한 사용자 정보를 탈취하는 ‘인포스틸러(Infostealer)’가 전체의 55.1%를 기록해 지난 상반기에 이어 가장 높은 비중을 차지했다. 다른 유형의 악성코드를 추가로 다운로드 받는 ‘다운로더(Downloader)’ 악성코드는 22.6%로 2위를 기록했다. 이외에도 공격자로부터 명령을 전달받아 추가 공격을 수행하는 ‘백도어(Backdoor)’ 악성코드가 16.4%로 3위를 기록했으며, 랜섬웨어(4.7%), 뱅킹(0.8%), 코인마이너(0.4%) 순으로 뒤를 이었다. 공격자는 ‘인포스틸러 악성코드’로 탈취한 정보를 활용해 2차 공격을 진행할 수 있다. 특히, 계정 정보를 다크웹 등에서 거래하거나 유튜브 계정탈취 공격, 악성코드 유포 등 다양한 범죄에 사용할 수 있다. 사용자들은 최신 버전 백신 사용 외에 자동 로그인 기능 해제, 주기적인 패스워드 변경 등 개인정보 관리에 힘써야 한다. 2위와 3위를 차지한 다운로더와 백도어 역시 추가 악성코드 설치 및 공격자 명령 수행 등 2차 공격을 위한 도구 역할을 할 수 있어, 보안관리자들은 주기적인 조직 시스템 및 자산 점검을 수행해...

안랩

2022.10.26

안랩이 악성코드별 통계와 사이버 공격 탐지 통계를 분석한 ‘2022년 3분기(7월~9월) 보안위협 동향’을 발표했다. 이번 3분기 보안위협 동향은 악성코드 분석·대응조직 ASEC(안랩시큐리티대응센터)이 수집한 악성코드를 자사 악성코드 동적분석 시스템 ‘RAPIT’을 이용해 도출한 ‘악성코드별 통계’와 안랩 침해대응(CERT, Computer Emergency Response Team) 전문인력이 탐지/차단한 공격 시도를 분석한 ‘공격 유형별 통계’를 기반으로 한다.    3분기에는 정보유출형 악성코드인 ‘인포스틸러’가 상반기에 이어 가장 높은 비율을 차지한 가운데, 추가 공격을 위한 ‘다운로더’와 ‘백도어’ 악성코드가 뒤를 이었다. 안랩시큐리티대응센터(ASEC)의 분석 결과, 사용자 웹 브라우저에 암호화돼 등록된 계정정보를 비롯해 가상화폐 지갑주소, 파일 등 다양한 사용자 정보를 탈취하는 ‘인포스틸러(Infostealer)’가 전체의 55.1%를 기록해 지난 상반기에 이어 가장 높은 비중을 차지했다. 다른 유형의 악성코드를 추가로 다운로드 받는 ‘다운로더(Downloader)’ 악성코드는 22.6%로 2위를 기록했다. 이외에도 공격자로부터 명령을 전달받아 추가 공격을 수행하는 ‘백도어(Backdoor)’ 악성코드가 16.4%로 3위를 기록했으며, 랜섬웨어(4.7%), 뱅킹(0.8%), 코인마이너(0.4%) 순으로 뒤를 이었다. 공격자는 ‘인포스틸러 악성코드’로 탈취한 정보를 활용해 2차 공격을 진행할 수 있다. 특히, 계정 정보를 다크웹 등에서 거래하거나 유튜브 계정탈취 공격, 악성코드 유포 등 다양한 범죄에 사용할 수 있다. 사용자들은 최신 버전 백신 사용 외에 자동 로그인 기능 해제, 주기적인 패스워드 변경 등 개인정보 관리에 힘써야 한다. 2위와 3위를 차지한 다운로더와 백도어 역시 추가 악성코드 설치 및 공격자 명령 수행 등 2차 공격을 위한 도구 역할을 할 수 있어, 보안관리자들은 주기적인 조직 시스템 및 자산 점검을 수행해...

2022.10.26

“소셜 엔지니어링을 역으로 이용하라”··· '피싱 공격' 혼쭐내는 법

연말연시 성수기를 손꼽아 기다리는 건 소매업체, 유통업체뿐만 아니다. 사기꾼도 마찬가지다. 이 시기에는… 사람들이 신뢰하는 곳(예: 기관, 회사, 브랜드 등)을 사칭하여 (소비자에게) 쿠폰, 할인 혜택 정보 등을 보내고 심지어는 직원에게 상품권을 보내느라 사기꾼도 바쁘다.    실제로 <CIO 닷컴>에서는 윤리적 해커와의 인터뷰를 인용해 스스로 보호받고 있으며 안전하다고 여기는 기업(그리고 이러한 기업의 관리형 서비스 업체)을 대상으로 노련한 해커가 소셜 엔지니어링 공격을 준비하는 데 단 몇 분밖에 걸리지 않는다고 보도한 바 있다.    → 윤리적 해커 마이클 코너리가 말하는 '기업 사이버보안의 현 주소' 민감한 정보를 (심지어는 돈까지) 공유하도록 속이거나 수신자의 시스템에 악성 소프트웨어를 주입하도록 설계된 이메일 피싱은 가장 오래된 수법 가운데 하나지만, 혹스헌트(Hoxhunt)의 연구 결과에 따르면 이메일 사이버 공격은 오늘날에도 전체 데이터 침해 사건의 90%를 차지한다.  이메일 사이버 공격이 전 세계 경제에 끼치는 피해를 모두 합하면 미화 6조 달러에 달한다. 수년 동안 이러한 이메일 사이버 공격에 관한 소비자와 개인의 인식이 높아지긴 했지만(‘피싱(phishing)’이라는 용어는 몰라도) 여전히 놀라울 정도로 흔하고 효과적인 공격이라고 할 수 있다. 그렇다면 오늘날 만연하는 피싱 공격에는 어떤 것이 있으며, 공격의 영향을 최소화하기 위해 사이버 보안 전문가가 사용하는 방법은 무엇인가? 또 기업들이 끈질긴 피싱 공격을 예방하려면 어떻게 해야 할까? 심도 있게 살펴보자. 피싱 공격 이해하기 피싱 공격자(Phisher)는 거의 모든 커뮤니케이션 포맷과 연결을 통한 소셜 엔지니어링 전술을 사용하여 피싱 공격을 감행한다. 피싱에는 이메일뿐만 아니라 다음과 같은 다양한 종류가 있다.   • 이메일 피싱(Email phishing): 공격자는 맬웨어가 담긴 첨부파...

악성코드 맬웨어 보안 사회공학 소셜 엔지니어링 이메일 피싱 피싱 공격 스피어 피싱 웨일링 스미싱 비싱 파밍

2022.10.25

연말연시 성수기를 손꼽아 기다리는 건 소매업체, 유통업체뿐만 아니다. 사기꾼도 마찬가지다. 이 시기에는… 사람들이 신뢰하는 곳(예: 기관, 회사, 브랜드 등)을 사칭하여 (소비자에게) 쿠폰, 할인 혜택 정보 등을 보내고 심지어는 직원에게 상품권을 보내느라 사기꾼도 바쁘다.    실제로 <CIO 닷컴>에서는 윤리적 해커와의 인터뷰를 인용해 스스로 보호받고 있으며 안전하다고 여기는 기업(그리고 이러한 기업의 관리형 서비스 업체)을 대상으로 노련한 해커가 소셜 엔지니어링 공격을 준비하는 데 단 몇 분밖에 걸리지 않는다고 보도한 바 있다.    → 윤리적 해커 마이클 코너리가 말하는 '기업 사이버보안의 현 주소' 민감한 정보를 (심지어는 돈까지) 공유하도록 속이거나 수신자의 시스템에 악성 소프트웨어를 주입하도록 설계된 이메일 피싱은 가장 오래된 수법 가운데 하나지만, 혹스헌트(Hoxhunt)의 연구 결과에 따르면 이메일 사이버 공격은 오늘날에도 전체 데이터 침해 사건의 90%를 차지한다.  이메일 사이버 공격이 전 세계 경제에 끼치는 피해를 모두 합하면 미화 6조 달러에 달한다. 수년 동안 이러한 이메일 사이버 공격에 관한 소비자와 개인의 인식이 높아지긴 했지만(‘피싱(phishing)’이라는 용어는 몰라도) 여전히 놀라울 정도로 흔하고 효과적인 공격이라고 할 수 있다. 그렇다면 오늘날 만연하는 피싱 공격에는 어떤 것이 있으며, 공격의 영향을 최소화하기 위해 사이버 보안 전문가가 사용하는 방법은 무엇인가? 또 기업들이 끈질긴 피싱 공격을 예방하려면 어떻게 해야 할까? 심도 있게 살펴보자. 피싱 공격 이해하기 피싱 공격자(Phisher)는 거의 모든 커뮤니케이션 포맷과 연결을 통한 소셜 엔지니어링 전술을 사용하여 피싱 공격을 감행한다. 피싱에는 이메일뿐만 아니라 다음과 같은 다양한 종류가 있다.   • 이메일 피싱(Email phishing): 공격자는 맬웨어가 담긴 첨부파...

2022.10.25

"피싱메일 손실 비용, 직원 연봉으로 따지면..." 오스터만 리서치

오스터만 리서치에 따르면 기업의 보안 전문가가 각 피싱 이메일을 처리하는 데 걸리는 시간은 평균 60분에 달하며, 이를 연봉으로 환산하면 인당 4만 5천 달러에 육박한다.     피싱 공격이 증가함에 따라 이에 대응하는 데 많은 비용이 드는 것으로 밝혀졌다. 오스터만 리서치(Osterman Research)의 새로운 보고서는 피싱 공격의 직접적인 피해액보다 기회 비용을 조명했다. 설문조사에 따르면 IT 및 보안 팀은 총 업무 시간 중 무려 3분의 1에 달하는 시간을 피싱 공격 대응에 쓰고 있다. 구체적인 피해액을 추산하자면 피싱 이메일 한 개에 평균 2.84달러에서 85.33달러 사이의 처리 비용이 발생한다고 보고서는 밝혔다.    이 보고서가 조명한 피해액은 피싱으로 인한 직접적 피해 비용이 아니라 IT 및 보안 팀의 생산성 손실을 기준으로 한다.  기업은 이메일 인프라에서 확인된 각 피싱 이메일을 처리하는 데 평균 16~30분을 소비한다고 보고서는 밝혔다. 이 보고서는 이메일 보안업체 아이언스케일스(Ironscales)가 의뢰했다. 오스터만 리서치는 2022년 6월 미국의 IT 및 보안 전문가 252명을 대상으로 설문 조사를 실시했다.  이안 토마스 아이컨스케일스 제품 마케팅 담당 부사장은 "매일 특정 기업을 공격하는 피싱 이메일의 수는 회사가 속한 산업과 지역을 포함한 무수한 요인에 따라 천차만별이다"라고 말했다.     피싱메일의 '진짜' 피해 비용 셈법  오스터만 리서치는 IT 및 보안 팀의 피싱 처리 비용을 계산하고자 IT 및 보안 전문가에게 제공되는 평균 급여 및 혜택을 파악했다. 이를 위해 매주 기업에서 피싱에 대처하는 데 시간을 할애하는 기업의 직군을 바탕으로 함수를 만들었다. 직군은 IT 보안 관리자, IT 관리자, 이메일 보안 관리자, 보안 관리자, 이메일 보안 관리자, SOC 관리자 및 SOC 애널리스트 등이 있다. IT 및 보안 전문가의 급여...

피싱메일 피싱 피싱공격

2022.10.24

오스터만 리서치에 따르면 기업의 보안 전문가가 각 피싱 이메일을 처리하는 데 걸리는 시간은 평균 60분에 달하며, 이를 연봉으로 환산하면 인당 4만 5천 달러에 육박한다.     피싱 공격이 증가함에 따라 이에 대응하는 데 많은 비용이 드는 것으로 밝혀졌다. 오스터만 리서치(Osterman Research)의 새로운 보고서는 피싱 공격의 직접적인 피해액보다 기회 비용을 조명했다. 설문조사에 따르면 IT 및 보안 팀은 총 업무 시간 중 무려 3분의 1에 달하는 시간을 피싱 공격 대응에 쓰고 있다. 구체적인 피해액을 추산하자면 피싱 이메일 한 개에 평균 2.84달러에서 85.33달러 사이의 처리 비용이 발생한다고 보고서는 밝혔다.    이 보고서가 조명한 피해액은 피싱으로 인한 직접적 피해 비용이 아니라 IT 및 보안 팀의 생산성 손실을 기준으로 한다.  기업은 이메일 인프라에서 확인된 각 피싱 이메일을 처리하는 데 평균 16~30분을 소비한다고 보고서는 밝혔다. 이 보고서는 이메일 보안업체 아이언스케일스(Ironscales)가 의뢰했다. 오스터만 리서치는 2022년 6월 미국의 IT 및 보안 전문가 252명을 대상으로 설문 조사를 실시했다.  이안 토마스 아이컨스케일스 제품 마케팅 담당 부사장은 "매일 특정 기업을 공격하는 피싱 이메일의 수는 회사가 속한 산업과 지역을 포함한 무수한 요인에 따라 천차만별이다"라고 말했다.     피싱메일의 '진짜' 피해 비용 셈법  오스터만 리서치는 IT 및 보안 팀의 피싱 처리 비용을 계산하고자 IT 및 보안 전문가에게 제공되는 평균 급여 및 혜택을 파악했다. 이를 위해 매주 기업에서 피싱에 대처하는 데 시간을 할애하는 기업의 직군을 바탕으로 함수를 만들었다. 직군은 IT 보안 관리자, IT 관리자, 이메일 보안 관리자, 보안 관리자, 이메일 보안 관리자, SOC 관리자 및 SOC 애널리스트 등이 있다. IT 및 보안 전문가의 급여...

2022.10.24

"美 사칭 사기 피해액, 2024년까지 2배 이상 늘어날 전망" 소큐어 보고서

신원 확인 서비스 업체 소큐어(Socure)가 지난 20일(현지 시각) 발표한 보고서에 따르면 위조 신분 기반의 사칭 사기로 인한 미국 내 피해액이 2020년 12억 달러에서 2024년까지 24억 8,000만 달러(한화 약 3조 5,000억 원)로 2배 이상 증가할 전망이다.    소큐어 보고서에 따르면 위조 신분은 2010년대 중반 기업과 금융 기관의 공통적인 관심사가 됐다. 일반적으로 위조 신분은 실제 인물을 기반으로 하지만, 생년월일이나 사회보장번호와 같은 개인 식별 정보를 약간 수정한다. 이렇게 위조된 ID는 종종 신용 확인 과정만 거친다. 위조됐다는 점이 감지될 가능성이 낮은 이유다. 따라서 사기꾼은 대출 신청서 및 신용 카드 등 여러 목적에 신분을 악용할 수 있다. 미국 정부의 전자 동의 기반 검증 서비스(Electronic Consent-Based Verification Service,eCBSV)와 같은 규제가 있음에도 이러한 사기는 만연해 있다. 이 검증 서비스를 통해 일부 기업은 주어진 사회보장번호, 이름, 생년월일 조합이 기존 사회보장기록과 일치하는지 확인할 수 있다. 문제는 금융 기관이 사칭 사기에 적극적으로 대응할 금전적 동기가 부족하다는 점이다.  보고서는 "오늘날 고신용 은행 고객의 긍정적 가치는 사기 계좌의 부정적 비용(은행이나 핀테크에 따라 대략 250~400달러)과 크게 다르지 않다"라며 "은행에게 저신용 고객의 피해액은 그리 크지 않다. P2P(Peer to Peer, P2P) 사기와 같은 재정적 손실은 주로 소비자가 부담하게 되며 은행에게 직접적인 피해를 끼치지 않는다. 그리고 인신매매와 마약 밀매, 테러, PPP(Paycheck Protection Program), 실업 예금과 낮은 수준의 자금 세탁과 같은 악질적인 활동은 은행에 재정적 손실을 가져오지 않는다"라고 설명했다.    신분 위조 해법은? 결국 '제로 트러스트' 가트너 부사장이자 애널리스트 아키프 칸' 위조...

신분 도용 신분 위조 사칭 사칭사기 금융사기 신분사칭 사칭범죄

2022.10.24

신원 확인 서비스 업체 소큐어(Socure)가 지난 20일(현지 시각) 발표한 보고서에 따르면 위조 신분 기반의 사칭 사기로 인한 미국 내 피해액이 2020년 12억 달러에서 2024년까지 24억 8,000만 달러(한화 약 3조 5,000억 원)로 2배 이상 증가할 전망이다.    소큐어 보고서에 따르면 위조 신분은 2010년대 중반 기업과 금융 기관의 공통적인 관심사가 됐다. 일반적으로 위조 신분은 실제 인물을 기반으로 하지만, 생년월일이나 사회보장번호와 같은 개인 식별 정보를 약간 수정한다. 이렇게 위조된 ID는 종종 신용 확인 과정만 거친다. 위조됐다는 점이 감지될 가능성이 낮은 이유다. 따라서 사기꾼은 대출 신청서 및 신용 카드 등 여러 목적에 신분을 악용할 수 있다. 미국 정부의 전자 동의 기반 검증 서비스(Electronic Consent-Based Verification Service,eCBSV)와 같은 규제가 있음에도 이러한 사기는 만연해 있다. 이 검증 서비스를 통해 일부 기업은 주어진 사회보장번호, 이름, 생년월일 조합이 기존 사회보장기록과 일치하는지 확인할 수 있다. 문제는 금융 기관이 사칭 사기에 적극적으로 대응할 금전적 동기가 부족하다는 점이다.  보고서는 "오늘날 고신용 은행 고객의 긍정적 가치는 사기 계좌의 부정적 비용(은행이나 핀테크에 따라 대략 250~400달러)과 크게 다르지 않다"라며 "은행에게 저신용 고객의 피해액은 그리 크지 않다. P2P(Peer to Peer, P2P) 사기와 같은 재정적 손실은 주로 소비자가 부담하게 되며 은행에게 직접적인 피해를 끼치지 않는다. 그리고 인신매매와 마약 밀매, 테러, PPP(Paycheck Protection Program), 실업 예금과 낮은 수준의 자금 세탁과 같은 악질적인 활동은 은행에 재정적 손실을 가져오지 않는다"라고 설명했다.    신분 위조 해법은? 결국 '제로 트러스트' 가트너 부사장이자 애널리스트 아키프 칸' 위조...

2022.10.24

'비밀번호 하나 없애려니 대체재 술술' MFA 솔루션 제대로 고르기

다중인증(Multi-Factor Authentication, MFA)은 이제 접근 권한 관리의 기본이 됐다. 하지만 수많은 MFA 솔루션이 시장에 나와 있어 어느 것을 택해야 할지 헷갈릴 수 있다. MFA에 대한 기본 개념과 시장에 나와 있는 다양한 솔루션에 대해 알아본다.     오늘날의 자격 증명 공격은 훨씬 더 정교해졌으며 그 수법 또한 넘쳐난다. 고급 피싱 기술, 자격 증명 무작위 대입 공격(credential stuffing), 소셜 엔지니어링, 타사 서비스 침해는 시작에 불과하다. 자격 증명은 기업 보안의 아킬레스건이다. 이러한 공격은 모두 사용자 이름 및 암호 같은 자격 증명을 겨냥한다. 이와 같은 시대에 아직도 ID와 비밀번호만 사용하는 건 언제 터질지 모르는 폭탄을 보유하고 있는 셈이다. 따라서 시대에 맞게 보안을 강화하기 위해 다중 인증(MFA)을 도입해야 한다.  보안 전문가들은 항상 통제권을 확보하려 한다. 물리적 보안 환경에서 보안 요원은 ID를 확인하거나 개인에게 금속 탐지기를 통과하도록 요청하면 된다. 인터넷이 있기 전 기업 내부망에 접근할 수 있는 유일한 지점은 디렉토리였다. 직원들은 단순히 하나의 자격 증명을 이용해 접근 권한을 부여받았다.  현대 인프라와 웹 기반 비즈니스 애플리케이션은 보안 상황을 훨씬 더 복잡하게 만들었다. 이에 따라 전문화된 도구 없이 이 단일 진입 지점을 유지하는 것이 훨씬 더 어려워졌다.  MFA는 사용자에게 권한을 부여하기 위해 여러 개의 돌다리를 두드려본다. 첫 번째는 접근하려는 시스템과 분리된 인증 방식을 추가하는 것이다. 스마트폰, 하드웨어 MFA 토큰 또는 SMS 또는 이메일 기반 인증 코드 등이 있다. 중요한 것은 인증 프로세스가 더 이상 사용자 이름 및 암호와 같은 데이터에 의존하지 않는다는 것이다. 이런 데이터는 피싱 또는 기타 공격 기법(단순한 자격 증명 요청 등)을 통해 쉽게 손상될 수 있으므로 매우 취약하다.  &nbs...

MFA 2FA 다중인증 이중인증 패스워드리스 패스워드리스ID관리 제로트러스트

2022.10.20

다중인증(Multi-Factor Authentication, MFA)은 이제 접근 권한 관리의 기본이 됐다. 하지만 수많은 MFA 솔루션이 시장에 나와 있어 어느 것을 택해야 할지 헷갈릴 수 있다. MFA에 대한 기본 개념과 시장에 나와 있는 다양한 솔루션에 대해 알아본다.     오늘날의 자격 증명 공격은 훨씬 더 정교해졌으며 그 수법 또한 넘쳐난다. 고급 피싱 기술, 자격 증명 무작위 대입 공격(credential stuffing), 소셜 엔지니어링, 타사 서비스 침해는 시작에 불과하다. 자격 증명은 기업 보안의 아킬레스건이다. 이러한 공격은 모두 사용자 이름 및 암호 같은 자격 증명을 겨냥한다. 이와 같은 시대에 아직도 ID와 비밀번호만 사용하는 건 언제 터질지 모르는 폭탄을 보유하고 있는 셈이다. 따라서 시대에 맞게 보안을 강화하기 위해 다중 인증(MFA)을 도입해야 한다.  보안 전문가들은 항상 통제권을 확보하려 한다. 물리적 보안 환경에서 보안 요원은 ID를 확인하거나 개인에게 금속 탐지기를 통과하도록 요청하면 된다. 인터넷이 있기 전 기업 내부망에 접근할 수 있는 유일한 지점은 디렉토리였다. 직원들은 단순히 하나의 자격 증명을 이용해 접근 권한을 부여받았다.  현대 인프라와 웹 기반 비즈니스 애플리케이션은 보안 상황을 훨씬 더 복잡하게 만들었다. 이에 따라 전문화된 도구 없이 이 단일 진입 지점을 유지하는 것이 훨씬 더 어려워졌다.  MFA는 사용자에게 권한을 부여하기 위해 여러 개의 돌다리를 두드려본다. 첫 번째는 접근하려는 시스템과 분리된 인증 방식을 추가하는 것이다. 스마트폰, 하드웨어 MFA 토큰 또는 SMS 또는 이메일 기반 인증 코드 등이 있다. 중요한 것은 인증 프로세스가 더 이상 사용자 이름 및 암호와 같은 데이터에 의존하지 않는다는 것이다. 이런 데이터는 피싱 또는 기타 공격 기법(단순한 자격 증명 요청 등)을 통해 쉽게 손상될 수 있으므로 매우 취약하다.  &nbs...

2022.10.20

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6