Offcanvas

������������������

2021년에 닥칠 신종 공격 수법 6가지

코로나19가 발발하고 2020년 3월 이후부터 기업은 대대적인 변화가 불가피했고, 이는 기업 위협 지형에 중대한 변화를 가져왔다. 불과 순식간에 일어난 변화여서 보안 부분에서 심각한 문제가 생겼다. 원격 근무 시 특히 그러했다.  또한 코로나19는 클라우드로의 이동을 가속했다. 2020년 1월 예상했던 것보다 훨씬 빠른 속도였다. 이들 새로운 원격 근무는 평균 90%의 내부 데이터 플로우와 인력을 평균 90%의 외부로 반전시켰고, 따라서 사물인터넷(IoT) 장비가 몇 배로 증가했다. 좋지 않은 것은, 이들이 극히 불안전한 소비자 등급 IoT 기기였다는 점이고, 이는 일반적으로 VPN 전송 상의 피기배킹(Piggybacking)에 의해 기밀 시스템에 은밀히 진입할 수 있다.    이렇게 기업 위협 지형이 달라졌다면, CISO는 상이한 보안 전략을 구사하고 상이한 보안 툴을 이용할 것으로 예상할 수 있다. 보호하는 것이 크게 달라졌다면 방어 메커니즘도 그에 따라 달라져야 하는 것이 아닐까?    이런 극적인 변화는 대다수 기업 사이버보안 방어에서 일어나지 않았다. 공격자들이 공격 수법을 아직 유의미하게 변화시키지 않았기 때문이다. 공격의 양과 강도는 증가했지만 공격 방식은 특별히 변하지 않았다. 이는 단기적 상황일 뿐이고 조만간 공격 수법이 변할 것으로 보인다. 시기는 2021년 초가 될 것이 거의 확실하다.   그렇다면 새로운 공격 수법은 어떤 모습일까? 이번 기사에서 다양한 사이버보안 전문가의 의견을 제시한다.  원격 기기 상의 신종 공격  컨설팅 업체인 매킨지 앤 컴퍼니(McKinsey & Co)의 전문가 파트너인 짐 보엠은 신종 공격이 코로나19 이전보다 민감한 데이터를 훨씬 더 많이 취급하게 된 원격 사무실 기기에 집중될 것으로 예상했다.  예를 들어, 보엠이 최근 작업한 기업 고객은 VPN 프로토콜이 보안 보호보다 업무 연속성에 더 비중을 뒀다. 그 고객 기...

공격 2021년

2020.12.10

코로나19가 발발하고 2020년 3월 이후부터 기업은 대대적인 변화가 불가피했고, 이는 기업 위협 지형에 중대한 변화를 가져왔다. 불과 순식간에 일어난 변화여서 보안 부분에서 심각한 문제가 생겼다. 원격 근무 시 특히 그러했다.  또한 코로나19는 클라우드로의 이동을 가속했다. 2020년 1월 예상했던 것보다 훨씬 빠른 속도였다. 이들 새로운 원격 근무는 평균 90%의 내부 데이터 플로우와 인력을 평균 90%의 외부로 반전시켰고, 따라서 사물인터넷(IoT) 장비가 몇 배로 증가했다. 좋지 않은 것은, 이들이 극히 불안전한 소비자 등급 IoT 기기였다는 점이고, 이는 일반적으로 VPN 전송 상의 피기배킹(Piggybacking)에 의해 기밀 시스템에 은밀히 진입할 수 있다.    이렇게 기업 위협 지형이 달라졌다면, CISO는 상이한 보안 전략을 구사하고 상이한 보안 툴을 이용할 것으로 예상할 수 있다. 보호하는 것이 크게 달라졌다면 방어 메커니즘도 그에 따라 달라져야 하는 것이 아닐까?    이런 극적인 변화는 대다수 기업 사이버보안 방어에서 일어나지 않았다. 공격자들이 공격 수법을 아직 유의미하게 변화시키지 않았기 때문이다. 공격의 양과 강도는 증가했지만 공격 방식은 특별히 변하지 않았다. 이는 단기적 상황일 뿐이고 조만간 공격 수법이 변할 것으로 보인다. 시기는 2021년 초가 될 것이 거의 확실하다.   그렇다면 새로운 공격 수법은 어떤 모습일까? 이번 기사에서 다양한 사이버보안 전문가의 의견을 제시한다.  원격 기기 상의 신종 공격  컨설팅 업체인 매킨지 앤 컴퍼니(McKinsey & Co)의 전문가 파트너인 짐 보엠은 신종 공격이 코로나19 이전보다 민감한 데이터를 훨씬 더 많이 취급하게 된 원격 사무실 기기에 집중될 것으로 예상했다.  예를 들어, 보엠이 최근 작업한 기업 고객은 VPN 프로토콜이 보안 보호보다 업무 연속성에 더 비중을 뒀다. 그 고객 기...

2020.12.10

엑셀 4.0 매크로 공격이 급증하는 이유

엑셀 4.0 매크로는 거의 30년째 사용되어 왔지만, 올해 공격자들은 이를 무기화 할 새로운 방법을 찾아냈다. 엑셀 4.0 매크로에 여전히 크게 의존하고 있는 기업에겐 안 좋은 소식이다. VM웨어 보안 연구원인 제임스 호옴과 스테파노 오르톨라니, 바이바브 싱은 올해 수천 개의 샘플을 관찰해 10월에 개최된 VB2020 컨퍼런스에서 결과를 발표했다. 이들은 악성코드 작성자가 악성 스프레드시트를 더욱 정교하게 만들어 탐지를 회피하게 만든 방법에 주목해 샘플을 별개의 유형으로 그룹화했다. XL4 매크로라고도 하는 엑셀 4.0 매크로 공격은 2월에 유독 급증했다. 일반적으로 피해자는 이메일로 악성 XLS 파일을 받고 매크로를 활성화하도록 유도된다. 그렇게 되면, 공격자는 네트워크에 액세스해 더 영구적으로 피해를 줄 수 있는 악성코드를 추가로 심을 수 있다.  트릭봇(Trickbot)과 다나봇(Danabot), 고지(Gozi), 지로더(ZLoader)를 비롯한 여러 상용 악성코드 제품군은 이 아이디어를 사용해 목표 네트워크에 침입 발판을 마련했다. 실제로 연구진은 이런 유형의 악성코드가 광범위한 공격 가능성의 문을 열어준다고 말했다. 연구진은 엑셀 4.0 매크로를 현재 (공격과 보안) 양측이 지속적으로 새로운 트릭을 배우는 ‘미지의 영역’으로 보고 있다. 악성코드 작성자는 새로운 탐지 회피 방법을 찾아내며 경계를 계속 확장하는 반면, 보안 연구진은 엑셀 문서를 더 잘 평가하는 방법을 밝히려고 한다. 쫓고 쫓기는 게임은 앞으로도 계속될 것이다. 마이크로소프트는 사용자가 엑셀 4.0 매크로를 버리고 최신인 VBA(Visual Basic for Application)로 바꾸도록 권장한다. 그러나 많은 기업이 여전히 엑셀 4.0 매크로에 의존하고 있어, 당장 이 기능이 폐기될 가능성은 적다.   엑셀 4.0 매크로란? 오르톨라니는 엑셀 4.0 매크로는 “믿을 수 없을 정도로 오래됐지만, 놀라울 정도로 멋진 것은 아니다”라고 말했다. 화면에 메시지를 ...

엑셀4.0매크로 공격 해킹 악성공격

2020.12.03

엑셀 4.0 매크로는 거의 30년째 사용되어 왔지만, 올해 공격자들은 이를 무기화 할 새로운 방법을 찾아냈다. 엑셀 4.0 매크로에 여전히 크게 의존하고 있는 기업에겐 안 좋은 소식이다. VM웨어 보안 연구원인 제임스 호옴과 스테파노 오르톨라니, 바이바브 싱은 올해 수천 개의 샘플을 관찰해 10월에 개최된 VB2020 컨퍼런스에서 결과를 발표했다. 이들은 악성코드 작성자가 악성 스프레드시트를 더욱 정교하게 만들어 탐지를 회피하게 만든 방법에 주목해 샘플을 별개의 유형으로 그룹화했다. XL4 매크로라고도 하는 엑셀 4.0 매크로 공격은 2월에 유독 급증했다. 일반적으로 피해자는 이메일로 악성 XLS 파일을 받고 매크로를 활성화하도록 유도된다. 그렇게 되면, 공격자는 네트워크에 액세스해 더 영구적으로 피해를 줄 수 있는 악성코드를 추가로 심을 수 있다.  트릭봇(Trickbot)과 다나봇(Danabot), 고지(Gozi), 지로더(ZLoader)를 비롯한 여러 상용 악성코드 제품군은 이 아이디어를 사용해 목표 네트워크에 침입 발판을 마련했다. 실제로 연구진은 이런 유형의 악성코드가 광범위한 공격 가능성의 문을 열어준다고 말했다. 연구진은 엑셀 4.0 매크로를 현재 (공격과 보안) 양측이 지속적으로 새로운 트릭을 배우는 ‘미지의 영역’으로 보고 있다. 악성코드 작성자는 새로운 탐지 회피 방법을 찾아내며 경계를 계속 확장하는 반면, 보안 연구진은 엑셀 문서를 더 잘 평가하는 방법을 밝히려고 한다. 쫓고 쫓기는 게임은 앞으로도 계속될 것이다. 마이크로소프트는 사용자가 엑셀 4.0 매크로를 버리고 최신인 VBA(Visual Basic for Application)로 바꾸도록 권장한다. 그러나 많은 기업이 여전히 엑셀 4.0 매크로에 의존하고 있어, 당장 이 기능이 폐기될 가능성은 적다.   엑셀 4.0 매크로란? 오르톨라니는 엑셀 4.0 매크로는 “믿을 수 없을 정도로 오래됐지만, 놀라울 정도로 멋진 것은 아니다”라고 말했다. 화면에 메시지를 ...

2020.12.03

'공격측엔 신무기, 이용측엔 구멍'··· 드론이 기업 보안에 끼치는 영향

드론의 활용이 다각도로 증가하고 있는 가운데, 이와 관련된 보안 위협을 관리할 필요성이 대두되고 있다. 드론을 직접 이용하지 않는 기업에게도 해당되는 이야기다.  대부분 보안 리더들이 위협 리스트에 드론을 포함시키지 않았을 것이다. 그러나 보안 전문가들은 드론은 새로운 위협을 초래하며, 조직들은 이를 인식해서 미리 대처할 필요가 있다고 강조한다. 드론을 이용하지 않는 조직일지라도 그렇다.  최근 다양한 목적을 위해 UAV나 무인 UAS 같은 드론을 배치하는 기업과 기관의 수가 늘어나고 있는 추세이다. 예를 들어, 농작물에 대한 모니터링, 입지와 지형에 대한 조사, 유틸리티 인프라 검사, 상품 배달, 창고 재고 확인 등에 드론을 활용할 수 있다. 최근 프라임 에어(Prime Air)라는 드론 배달 서비스 계획을 공개한 아마존에 관심이 쏠렸지만, 다른 기업들도 조용히 드론 프로젝트를 추진하고 있다. 에너지 회사인 서던 컴퍼니(Southern Company)는 폭풍 피해 산정, 주변 수목 관리 등 인프라 검사에 드론을 활용하고 있다. 보험사인 올스테이트 인슈어런스(Allstate Insurance)는 여러 주에서 드론을 이용해 재산상 손해를 산정하고 있다. 쉘(Shell)은 전세계적으로 셰일 가스 자산 감시에 드론을 이용하고 있고, CVS는 UPS와 손잡고 드론을 이용해 의약품을 더 빨리 배달하는 프로젝트를 추진하고 있다. 이 밖에 드론과 기술을 조합해 응용할 수 있는 분야는 그야말로 다양하다.  시장 리서치 회사인 가트너는 드론이 가져오는 생산성은 이 기술에 대한 기업들의 수요를 견인하게 될 것이며, 지난해 32만 4,000개였던 설치 사례가 2028년에는 900만 개 이상으로 증가할 것으로 전망했다. 드론 활용에 광범위한 모멘텀이 형성되기 시작했기 때문에, 기업과 기관들은 드론이 초래할 새로운 위험들을 인식할 필요가 있다. 토론토 소재 드론 보안 컨설팅 회사인 스타 리버(Star River, Inc.)의 제임스 에이스비도 대...

드론 공격 해킹 CISO 침투 중국 스푸핑 감시 감청

2020.08.05

드론의 활용이 다각도로 증가하고 있는 가운데, 이와 관련된 보안 위협을 관리할 필요성이 대두되고 있다. 드론을 직접 이용하지 않는 기업에게도 해당되는 이야기다.  대부분 보안 리더들이 위협 리스트에 드론을 포함시키지 않았을 것이다. 그러나 보안 전문가들은 드론은 새로운 위협을 초래하며, 조직들은 이를 인식해서 미리 대처할 필요가 있다고 강조한다. 드론을 이용하지 않는 조직일지라도 그렇다.  최근 다양한 목적을 위해 UAV나 무인 UAS 같은 드론을 배치하는 기업과 기관의 수가 늘어나고 있는 추세이다. 예를 들어, 농작물에 대한 모니터링, 입지와 지형에 대한 조사, 유틸리티 인프라 검사, 상품 배달, 창고 재고 확인 등에 드론을 활용할 수 있다. 최근 프라임 에어(Prime Air)라는 드론 배달 서비스 계획을 공개한 아마존에 관심이 쏠렸지만, 다른 기업들도 조용히 드론 프로젝트를 추진하고 있다. 에너지 회사인 서던 컴퍼니(Southern Company)는 폭풍 피해 산정, 주변 수목 관리 등 인프라 검사에 드론을 활용하고 있다. 보험사인 올스테이트 인슈어런스(Allstate Insurance)는 여러 주에서 드론을 이용해 재산상 손해를 산정하고 있다. 쉘(Shell)은 전세계적으로 셰일 가스 자산 감시에 드론을 이용하고 있고, CVS는 UPS와 손잡고 드론을 이용해 의약품을 더 빨리 배달하는 프로젝트를 추진하고 있다. 이 밖에 드론과 기술을 조합해 응용할 수 있는 분야는 그야말로 다양하다.  시장 리서치 회사인 가트너는 드론이 가져오는 생산성은 이 기술에 대한 기업들의 수요를 견인하게 될 것이며, 지난해 32만 4,000개였던 설치 사례가 2028년에는 900만 개 이상으로 증가할 것으로 전망했다. 드론 활용에 광범위한 모멘텀이 형성되기 시작했기 때문에, 기업과 기관들은 드론이 초래할 새로운 위험들을 인식할 필요가 있다. 토론토 소재 드론 보안 컨설팅 회사인 스타 리버(Star River, Inc.)의 제임스 에이스비도 대...

2020.08.05

"가장 인기 있는 공격 표적은 브라우저 아닌 MS 오피스"

범죄자들이 가장 선호하는 공격 플랫폼은 마이크로소프트의 솔루션군이며, 사건 발생 건수는 계속 늘고 있는 것으로 나타났다. 카스퍼스키 랩의 연구진 보리스 라린과 블라드 스톨랴로프, 알렉산더 리스킨이 최근 시큐리티 애널리스트 서밋(Security Analyst Summit) 행사에서 지난 2년 동안 위협 환경의 변화에 대한 보고서를 발표하고, 사용자는 감염 위험을 줄이기 위해 소프트웨어를 최신으로 유지하고 신뢰할 수 없는 출처에서 온 파일은 열지 말라고 조언했다.   보고서에 따르면, 카스퍼스키 랩이 발견한 전체 공격의 70% 이상이 마이크로소프트 오피스를 대상으로 했으며, 14%만이 브라우저의 취약점을 이용했다. 2년 전만 해도 그 반대였다. 웹 기반 취약점 공격은 45%, 마이크로소프트 오피스는 16%였다. 연구진은 브라우저 취약점을 악용한 공격이 줄어든 이유로 브라우저 보안이 향상되면서 해킹이 더 어려워졌기 때문이라고 분석했다. 그들은 “브라우저 개발자는 다양한 종류의 보안 보호 및 완화에 큰 노력을 기울였다. 결국 공격자는 새로운 대상을 찾았고, 마이크로소프트 오피스가 주요 공격 대상으로 떠올랐다"라고 설명했다. 라스킨에 따르면, 사이버 범죄자가 널리 쓰이는 제품군을 공격 대상으로 선택하는 이유는 다양하다. 그는 “마이크로소프트 오피스는 파일 형식이 매우 다양하고, 윈도우 운영체제에 긴밀하게 통합돼 있다”고 말했다. 그런데 마이크로소프트는 오피스를 개발할 때 현재 보안 측면에서 최선이 아니고 변경하기도 어려운 몇 가지 결정을 내렸다. 이제 와서 이를 바꾸면 모든 버전의 오피스 제품에 심각한 영향을 미치는 상황이다"라고 말했다. 보안 업체 소닉월(SonicWall)의 2020년 7월 최신 보고서에도 이런 추세를 확인할 수 있다. 오피스가 공격에 악용되는 사례가 증가하고 있다. 이제는 악성코드 전달 메커니즘으로 PDF보다 오피스 파일이 더 많아, 전체 악성코드 파일 형식 중 PDF가 10.7%, 오피스는 22.4%를 차지한다. 반면 소닉월 보...

브라우저 오피스 공격 해킹

2020.07.30

범죄자들이 가장 선호하는 공격 플랫폼은 마이크로소프트의 솔루션군이며, 사건 발생 건수는 계속 늘고 있는 것으로 나타났다. 카스퍼스키 랩의 연구진 보리스 라린과 블라드 스톨랴로프, 알렉산더 리스킨이 최근 시큐리티 애널리스트 서밋(Security Analyst Summit) 행사에서 지난 2년 동안 위협 환경의 변화에 대한 보고서를 발표하고, 사용자는 감염 위험을 줄이기 위해 소프트웨어를 최신으로 유지하고 신뢰할 수 없는 출처에서 온 파일은 열지 말라고 조언했다.   보고서에 따르면, 카스퍼스키 랩이 발견한 전체 공격의 70% 이상이 마이크로소프트 오피스를 대상으로 했으며, 14%만이 브라우저의 취약점을 이용했다. 2년 전만 해도 그 반대였다. 웹 기반 취약점 공격은 45%, 마이크로소프트 오피스는 16%였다. 연구진은 브라우저 취약점을 악용한 공격이 줄어든 이유로 브라우저 보안이 향상되면서 해킹이 더 어려워졌기 때문이라고 분석했다. 그들은 “브라우저 개발자는 다양한 종류의 보안 보호 및 완화에 큰 노력을 기울였다. 결국 공격자는 새로운 대상을 찾았고, 마이크로소프트 오피스가 주요 공격 대상으로 떠올랐다"라고 설명했다. 라스킨에 따르면, 사이버 범죄자가 널리 쓰이는 제품군을 공격 대상으로 선택하는 이유는 다양하다. 그는 “마이크로소프트 오피스는 파일 형식이 매우 다양하고, 윈도우 운영체제에 긴밀하게 통합돼 있다”고 말했다. 그런데 마이크로소프트는 오피스를 개발할 때 현재 보안 측면에서 최선이 아니고 변경하기도 어려운 몇 가지 결정을 내렸다. 이제 와서 이를 바꾸면 모든 버전의 오피스 제품에 심각한 영향을 미치는 상황이다"라고 말했다. 보안 업체 소닉월(SonicWall)의 2020년 7월 최신 보고서에도 이런 추세를 확인할 수 있다. 오피스가 공격에 악용되는 사례가 증가하고 있다. 이제는 악성코드 전달 메커니즘으로 PDF보다 오피스 파일이 더 많아, 전체 악성코드 파일 형식 중 PDF가 10.7%, 오피스는 22.4%를 차지한다. 반면 소닉월 보...

2020.07.30

로그인 정보 분석해 봇 차단… 오스제로 시그널즈

오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.   지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다.  지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다.  이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다.  오스제로 작동 방식  오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다.  규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤...

CSO 사이버보안 Saas 공격 봇 공격 ID 오스제로 Auth0 오스제로 시그널즈 Auth0 Signals 전자상거래 IP 로그인 스크립트 기반 공격

2020.06.17

오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.   지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다.  지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다.  이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다.  오스제로 작동 방식  오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다.  규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤...

2020.06.17

“코로나19로 근무 형태 변화 속, 비즈니스 공격 표면 급증”

코로나19 팬데믹으로 촉발된 새로운 근무 형태로 인해 최근 대기업의 공격 표면이 증가한 것으로 나타났다. 인터넷에서 바로 접근이 가능한 서버, 도메인 이름, 웹사이트, 웹 양식, 인증서, 서드파티 애플리케이션과 구성요소 또는 모바일 앱을 포함한 많은 영역에서 위협이 증가했다. 일부는 일시적일수도 있지만, 상당수는 계속 지속될 가능성이 높으므로 기존 IT팀과 보안 팀은 중압감 속에서 이와 같은 변화를 관리하고 보호해야 한다.   디지털 자산 검색 및 보호를 전문으로 하는 보안 업체 리스크IQ(RiskIQ)는 최근 자체 기술로 인터넷 스캔을 통해 수집한 데이터를 사용해 글로벌 공격 표면을 조사했다. 조사 결과 2주에 걸쳐 웹에 295만 9,498개의 새로운 도메인 이름과 7억 7,278만 6,941개의 새로운 고유한 호스트가 추가된 것으로 나타났다. 알렉사(Alexa) 상위 1만 개 웹사이트의 거의 절반이 해커의 주 공격 목표인 인기 콘텐츠 관리 플랫폼에서 실행 중이다. 리스크IQ는 이러한 웹사이트에서 1만 3,222개의 워드프레스 플러그인이 실행 중인 것으로 확인했다. 워드프레스 플러그인 역시 취약점과 침해의 주 발생지다. 리스크IQ는 알려진 중대하고 치명적인 취약점을 찾는 과정에서 알렉사 상위 1만 개의 도메인 중 2,480개에서 실행 중인 잠재적으로 취약한 구성요소를 최고 한 개 발견했다. 잠재적으로 취약한 웹 구성 요소의 총 수는 8,121개에 이르렀다. 리스크IQ는 보고서에서 “이중 일부에 대해서는 식별된 취약점과 노출점이 악용되지 않도록 하기 위해 패치나 기타 보완 대책이 나오겠지만, 상당수는 그대로 방치될 것”이라고 경고했다.   대기업의 인터넷 공격 표면 리스크IQ는 FTSE 30 목록에 포함된 기업의 인터넷 자산에서 1,967개의 도메인 이름과 5,422개의 웹사이트, 8,427개의 호스트, 77만 7,049개의 웹 페이지, 3,609개의 인증서, 7만 6,324개의 양식, 2,841개의 워드프레스 및 드루팔(Drupal...

코로나19 팬데믹 해킹 공격 인터넷공격

2020.06.16

코로나19 팬데믹으로 촉발된 새로운 근무 형태로 인해 최근 대기업의 공격 표면이 증가한 것으로 나타났다. 인터넷에서 바로 접근이 가능한 서버, 도메인 이름, 웹사이트, 웹 양식, 인증서, 서드파티 애플리케이션과 구성요소 또는 모바일 앱을 포함한 많은 영역에서 위협이 증가했다. 일부는 일시적일수도 있지만, 상당수는 계속 지속될 가능성이 높으므로 기존 IT팀과 보안 팀은 중압감 속에서 이와 같은 변화를 관리하고 보호해야 한다.   디지털 자산 검색 및 보호를 전문으로 하는 보안 업체 리스크IQ(RiskIQ)는 최근 자체 기술로 인터넷 스캔을 통해 수집한 데이터를 사용해 글로벌 공격 표면을 조사했다. 조사 결과 2주에 걸쳐 웹에 295만 9,498개의 새로운 도메인 이름과 7억 7,278만 6,941개의 새로운 고유한 호스트가 추가된 것으로 나타났다. 알렉사(Alexa) 상위 1만 개 웹사이트의 거의 절반이 해커의 주 공격 목표인 인기 콘텐츠 관리 플랫폼에서 실행 중이다. 리스크IQ는 이러한 웹사이트에서 1만 3,222개의 워드프레스 플러그인이 실행 중인 것으로 확인했다. 워드프레스 플러그인 역시 취약점과 침해의 주 발생지다. 리스크IQ는 알려진 중대하고 치명적인 취약점을 찾는 과정에서 알렉사 상위 1만 개의 도메인 중 2,480개에서 실행 중인 잠재적으로 취약한 구성요소를 최고 한 개 발견했다. 잠재적으로 취약한 웹 구성 요소의 총 수는 8,121개에 이르렀다. 리스크IQ는 보고서에서 “이중 일부에 대해서는 식별된 취약점과 노출점이 악용되지 않도록 하기 위해 패치나 기타 보완 대책이 나오겠지만, 상당수는 그대로 방치될 것”이라고 경고했다.   대기업의 인터넷 공격 표면 리스크IQ는 FTSE 30 목록에 포함된 기업의 인터넷 자산에서 1,967개의 도메인 이름과 5,422개의 웹사이트, 8,427개의 호스트, 77만 7,049개의 웹 페이지, 3,609개의 인증서, 7만 6,324개의 양식, 2,841개의 워드프레스 및 드루팔(Drupal...

2020.06.16

코비드-19 여파로 의료 IoT 공격 증가

코로나바이러스만으로 수용 능력의 한계에 도달한 미국 의료 시스템에 또 다른 위협이 등장했다. 바로 사이버공격이다. 특히 의료 IoT 장비와 네트워크를 노린 랜섬웨어 기반 사이버공격은 감염증 확산과 더불어 더욱 흔해지고 있다.   포레스터 리서치 애널리스트 크리스 셔먼에 따르면, 미국 병원 두 곳이 벌써 가상 치료 시스템을 통해서 공격을 받았다. 의료 IoT 장비(구체적으로는 원격 환자 모니터링 센서)의 취약성을 악용한 해커가 해당 병원의 환자 데이터베이스에 접속한 것이다. 한편, 유럽 최대의 사설 병원 운영회사이자 의료 장비 생산기업인 프레제니우스 그룹은 랜섬웨어의 공격을 당했다. 셔먼은 “확실히 의료 장비에 대한 공격이 집중적으로 늘고 있다”라고 전제하며  “인터넷에 노출된 시스템이라면 공격 대상이 된다. 대부분 의료 네트워크가 매우 허술하다는 점을 감안하면 이는 우려되는 점”이라고 덧붙였다. 이러한 위협이 정확히 어느 정도까지 코로나바이러스 유행 때문에 발생했는지는 확실하지 않지만 상관관계가 있어 보인다는 것이 대부분 전문가의 공통적인 견해다. 셔먼에 따르면, 일부 보도에서는 공격 건수를 보통의 예상 수준보다 3~5배 높게 잡고 있는데 이는 약간 부풀려졌을 가능성이 있다. 의료 회사는 여러 가지 이유로 랜섬웨어 공격의 표적이 되기 쉽다. NTT 캐나다 사이버보안 시행 책임자 스튜 울프는 의료 IT장비의 경우 침입에 대비한 안전 조치가 부실한 경우가 너무 많다고 지적했다. “의료 IT장비는 기본 비밀번호가 기록된 매뉴얼을 인터넷에서 찾아볼 수 있을 정도로 보안에 신경을 쓰지 않는 것이 많다”면서 걱정스러운 물리적 보안 요소도 있다고 덧붙였다. 병동과 진료소는 사실상 일반인에게 공개된 상태인 경우가 많기 때문에 보안 조치가 미비한 장비에 직접 접근하기가 비교적 쉽다.  울프는 “이런 접근은 매우 간단하다. 그냥 돌아다니다가 출입 제한 구역으로 들어가면 된다”라고 밝혔다. 셔먼은 원격 의료 및 가상 치료 시스템 사용 급증...

코로나바이러스 코로나19 코비드-19 COVID-19 의료장비 사물인터넷 공격 병원 피싱

2020.05.26

코로나바이러스만으로 수용 능력의 한계에 도달한 미국 의료 시스템에 또 다른 위협이 등장했다. 바로 사이버공격이다. 특히 의료 IoT 장비와 네트워크를 노린 랜섬웨어 기반 사이버공격은 감염증 확산과 더불어 더욱 흔해지고 있다.   포레스터 리서치 애널리스트 크리스 셔먼에 따르면, 미국 병원 두 곳이 벌써 가상 치료 시스템을 통해서 공격을 받았다. 의료 IoT 장비(구체적으로는 원격 환자 모니터링 센서)의 취약성을 악용한 해커가 해당 병원의 환자 데이터베이스에 접속한 것이다. 한편, 유럽 최대의 사설 병원 운영회사이자 의료 장비 생산기업인 프레제니우스 그룹은 랜섬웨어의 공격을 당했다. 셔먼은 “확실히 의료 장비에 대한 공격이 집중적으로 늘고 있다”라고 전제하며  “인터넷에 노출된 시스템이라면 공격 대상이 된다. 대부분 의료 네트워크가 매우 허술하다는 점을 감안하면 이는 우려되는 점”이라고 덧붙였다. 이러한 위협이 정확히 어느 정도까지 코로나바이러스 유행 때문에 발생했는지는 확실하지 않지만 상관관계가 있어 보인다는 것이 대부분 전문가의 공통적인 견해다. 셔먼에 따르면, 일부 보도에서는 공격 건수를 보통의 예상 수준보다 3~5배 높게 잡고 있는데 이는 약간 부풀려졌을 가능성이 있다. 의료 회사는 여러 가지 이유로 랜섬웨어 공격의 표적이 되기 쉽다. NTT 캐나다 사이버보안 시행 책임자 스튜 울프는 의료 IT장비의 경우 침입에 대비한 안전 조치가 부실한 경우가 너무 많다고 지적했다. “의료 IT장비는 기본 비밀번호가 기록된 매뉴얼을 인터넷에서 찾아볼 수 있을 정도로 보안에 신경을 쓰지 않는 것이 많다”면서 걱정스러운 물리적 보안 요소도 있다고 덧붙였다. 병동과 진료소는 사실상 일반인에게 공개된 상태인 경우가 많기 때문에 보안 조치가 미비한 장비에 직접 접근하기가 비교적 쉽다.  울프는 “이런 접근은 매우 간단하다. 그냥 돌아다니다가 출입 제한 구역으로 들어가면 된다”라고 밝혔다. 셔먼은 원격 의료 및 가상 치료 시스템 사용 급증...

2020.05.26

지방정부가 랜섬웨어를 극복하기 위해 할 수 있는 8가지 <딜로이트>

미국의 주정부와 지방정부가 랜섬웨어 공격 대상으로 인기 있는 이유와 이들 정부가 한정된 자원으로 스스로 보호할 방법을 딜로이트가 제안했다.  3월 6일 저녁 발생한 랜섬웨어 공격으로 노스캐롤라이나 더럼 시와 카운티 정부의 IT시스템이 다운됐다. 자세한 정보는 알려지지 않았지만, 노스캐롤라이나주 수사국은 류크(Ryuk)라는 러시아 악성코드가 사용된 랜섬웨어 공격이라고 발표했다. 최근 전국적으로 랜섬웨어와 씨름하는 미국 지방정부들이 늘고 있다. 더럼도 이런 지방정부 가운데 하나다. 랜섬웨어는 이런 공격에서 복구될 준비가 갖춰지지 않은 취약한 지방정부 시스템을 표적으로 삼는다. 더럼 같은 지방정부는 랜셈웨어 공격자에게 매력적인 표적이다. 주 및 지방정부를 표적으로 하는 랜섬웨어 공격 동향을 조사하는 딜로이트 CGI(Center for Government Insights)의 새 보고서에 따르면, 따르면, 자주 인질이 되고 사이버 몸값을 요구받는 정부가 늘어나고 있다. 보고서에 따르면, 2019년 한 해 정부를 표적으로 삼은 랜섬웨어 공격은 163건으로 2018년 대비 150%나 증가했다. 랜섬(사이버 몸값) 지불 금액은 미화 180만 달러였으며, 복구에도 많은 돈이 지출됐다. 지방정부가 이런 공격에 애를 먹는 주된 이유는 사이버보안 인재 부족, 공격 표면 증가, 넉넉하지 못한 예산 등이다.   지방정부가 랜섬웨어 표적으로 선호되는 이유 지방정부들이 사용하는 컴퓨터가 늘어나고, 교통 신호등부터 구급차, 쓰레기 수거 트럭 등 여러 서비스를 네트워크에 연결해 사용하는 사례가 증가하면서 공격 표면이 넓어지는 추세다. 또한, 부족한 예산이 새로운 사이버보안 도구 도입 등 현대화 노력에 제약이 되고 있다. 보고서는 마지막으로 지방정부들이 필요한 사이버보안 인재 유치에 애를 먹고 있다고 지적했다. 매년 두 차례 실시되는 NASCIO/딜로이트 사이버보안 서베이에 따르면, 2010년 이후 매년 주 정부 수준 CISO들의 가장 큰 우려사항은 예산 부족이었다....

CSO 회복력 워게임 복구 업데이트 패치 예산 공격 백업 CISO 딜로이트 암호화 정부 지방정부

2020.03.16

미국의 주정부와 지방정부가 랜섬웨어 공격 대상으로 인기 있는 이유와 이들 정부가 한정된 자원으로 스스로 보호할 방법을 딜로이트가 제안했다.  3월 6일 저녁 발생한 랜섬웨어 공격으로 노스캐롤라이나 더럼 시와 카운티 정부의 IT시스템이 다운됐다. 자세한 정보는 알려지지 않았지만, 노스캐롤라이나주 수사국은 류크(Ryuk)라는 러시아 악성코드가 사용된 랜섬웨어 공격이라고 발표했다. 최근 전국적으로 랜섬웨어와 씨름하는 미국 지방정부들이 늘고 있다. 더럼도 이런 지방정부 가운데 하나다. 랜섬웨어는 이런 공격에서 복구될 준비가 갖춰지지 않은 취약한 지방정부 시스템을 표적으로 삼는다. 더럼 같은 지방정부는 랜셈웨어 공격자에게 매력적인 표적이다. 주 및 지방정부를 표적으로 하는 랜섬웨어 공격 동향을 조사하는 딜로이트 CGI(Center for Government Insights)의 새 보고서에 따르면, 따르면, 자주 인질이 되고 사이버 몸값을 요구받는 정부가 늘어나고 있다. 보고서에 따르면, 2019년 한 해 정부를 표적으로 삼은 랜섬웨어 공격은 163건으로 2018년 대비 150%나 증가했다. 랜섬(사이버 몸값) 지불 금액은 미화 180만 달러였으며, 복구에도 많은 돈이 지출됐다. 지방정부가 이런 공격에 애를 먹는 주된 이유는 사이버보안 인재 부족, 공격 표면 증가, 넉넉하지 못한 예산 등이다.   지방정부가 랜섬웨어 표적으로 선호되는 이유 지방정부들이 사용하는 컴퓨터가 늘어나고, 교통 신호등부터 구급차, 쓰레기 수거 트럭 등 여러 서비스를 네트워크에 연결해 사용하는 사례가 증가하면서 공격 표면이 넓어지는 추세다. 또한, 부족한 예산이 새로운 사이버보안 도구 도입 등 현대화 노력에 제약이 되고 있다. 보고서는 마지막으로 지방정부들이 필요한 사이버보안 인재 유치에 애를 먹고 있다고 지적했다. 매년 두 차례 실시되는 NASCIO/딜로이트 사이버보안 서베이에 따르면, 2010년 이후 매년 주 정부 수준 CISO들의 가장 큰 우려사항은 예산 부족이었다....

2020.03.16

'위험 우선순위 정하고 최대한 방어···' 2020년 사이버보안 강령

IDG가 발행하는 IT전문 매체인 <CIO>, <컴퓨터월드>, <CSO>, <인포월드>, <네트워크월드>에서 최근 다룬 보안 동향을 중심으로 2020년 사이버보안 전망을 정리했다.    정보 관리 협회(Society for Information Management, SIM)가 매년 진행한 IT 동향 연구에 따르면, CIO가 꼽은 중요한 IT관리 문제에서 사이버보안은 2014년부터 1, 2위를 다툴 만큼 우선순위가 높은 것으로 나타났다.  하지만 2013년에는 달랐다. 같은 조사에서 사이버보안은 당시 7위에 그쳤다. 1년 사이에 무슨 일이 일어났을까? 미국 대형 유통회사인 타겟의 악명 높은 데이터 유출이 있었다. 이로 인해 타겟은 1,850만 달러의 벌금을 부과받았고 CEO는 불명예를 안고서 회사를 떠났다.  그 이후 타겟의 데이터 유출은 세간의 이목을 끄는 사건이 됐다. 메시지는 단순 명료하다. 위협의 수와 능력이 계속 증가함에 따라, 해마다 경영진의 퇴출을 부를 만한 유출 위험은 더 커진다는 점이다.  좌불안석 CSO들에겐 대책이 필요하다. 일부 사람들이 보안 소프트웨어 산업의 마케팅 전략에 바로 적용되는 포인트 솔루션으로 모든 새로운 위협에 달려들 수밖에 없다고 느끼는 것은 당연하다. 그러나 사이버보안 예산을 무한대로 쓸 수 있는 조직은 없다. 그렇다면 CSO는 방어 자원을 가장 효과적으로 배분할 방법을 결정할 수 있을까? 간단한 답은 2가지다. 위험의 우선순위를 합리적으로 정하고, 동시에 이미 실시하고 있는 유용한 방어를 최대한 활용하라. 대부분 조직에서 소프트웨어와 소셜 엔지니어링(피싱 포함)이 패치되지 않은 경우가 가장 높은 위험을 나타내고 있으며, 패스워드 크래킹과 소프트웨어의 잘못된 구성이 그 뒤를 이었다. 신속한 패치를 보장하기 위한 정치 및 운영상의 장벽을 제거하고, 효과적인 보안 인식 프로그램을 수립하며, 구성을 쉽게 변경하지 못하도록...

CIO 심층 방어 시큐어 코드 데이텅 유출 데브섹옵스 제로 트러스트 Society for Information Management DevSecOps 타겟 엔드포인트 방화벽 SIM 사이버보안 공격 CISO CSO 정보 관리 협회

2020.02.12

IDG가 발행하는 IT전문 매체인 <CIO>, <컴퓨터월드>, <CSO>, <인포월드>, <네트워크월드>에서 최근 다룬 보안 동향을 중심으로 2020년 사이버보안 전망을 정리했다.    정보 관리 협회(Society for Information Management, SIM)가 매년 진행한 IT 동향 연구에 따르면, CIO가 꼽은 중요한 IT관리 문제에서 사이버보안은 2014년부터 1, 2위를 다툴 만큼 우선순위가 높은 것으로 나타났다.  하지만 2013년에는 달랐다. 같은 조사에서 사이버보안은 당시 7위에 그쳤다. 1년 사이에 무슨 일이 일어났을까? 미국 대형 유통회사인 타겟의 악명 높은 데이터 유출이 있었다. 이로 인해 타겟은 1,850만 달러의 벌금을 부과받았고 CEO는 불명예를 안고서 회사를 떠났다.  그 이후 타겟의 데이터 유출은 세간의 이목을 끄는 사건이 됐다. 메시지는 단순 명료하다. 위협의 수와 능력이 계속 증가함에 따라, 해마다 경영진의 퇴출을 부를 만한 유출 위험은 더 커진다는 점이다.  좌불안석 CSO들에겐 대책이 필요하다. 일부 사람들이 보안 소프트웨어 산업의 마케팅 전략에 바로 적용되는 포인트 솔루션으로 모든 새로운 위협에 달려들 수밖에 없다고 느끼는 것은 당연하다. 그러나 사이버보안 예산을 무한대로 쓸 수 있는 조직은 없다. 그렇다면 CSO는 방어 자원을 가장 효과적으로 배분할 방법을 결정할 수 있을까? 간단한 답은 2가지다. 위험의 우선순위를 합리적으로 정하고, 동시에 이미 실시하고 있는 유용한 방어를 최대한 활용하라. 대부분 조직에서 소프트웨어와 소셜 엔지니어링(피싱 포함)이 패치되지 않은 경우가 가장 높은 위험을 나타내고 있으며, 패스워드 크래킹과 소프트웨어의 잘못된 구성이 그 뒤를 이었다. 신속한 패치를 보장하기 위한 정치 및 운영상의 장벽을 제거하고, 효과적인 보안 인식 프로그램을 수립하며, 구성을 쉽게 변경하지 못하도록...

2020.02.12

넷플릭스, MS 365 앱 사용자 겨냥한 이메일 피싱 '주의'

사이버범죄자들이 넷플릭스 회원과 마이크로소프트 365 앱 사용자를 겨냥한 새로운 피싱 공격을 시작했다.  사이버보안 제공 업체 메일가드(MailGuard)에 따르면 2020년 첫날 넷플릭스 회원은 '당신의 넷플릭스 멤버십을 보류 중입니다'라는 제목으로 손상된 이메일 계정으로부터 이메일을 받았다.   이 이메일에는 사기꾼이 가입자의 회원 정보를 수집하는 가짜 넷플릭스 '로그인' 페이지로 연결되는 확인 링크가 들어 있었다. 또한 프로세스를 완료하지 못하면 회원 자격이 정지된다는 경고까지 포함돼 있었다. 넷플릭스를 사칭한 이메일은 의심하지 않는 사용자를 사용자의 생년월일을 요청하는 '귀하의 청구 정보'로 안내한다. 이 페이지에는 해당 페이지가 합법적임을 보증하는 '보안 서버' 아이콘까지 있었다. 메일가드는 블로그 게시글에서 “넷플릭스 사칭 이메일을 받았다면 링크를 클릭하지 않고 즉시 이메일을 삭제하라”며 다음과 같이 전했다. “넷플릭스에서 온 이메일에는 주의를 기울여 열고 열기 전에 합법적인 커뮤니케이션인지 확인하라. 사람들에게 위협을 알리는 데 도움이 되도록 이 알림을 소셜미디어 네트워크와 공유하라." 이 밖에도 사이버 해커는 사용자의 자격 증명을 수집하기 위해 악의적인 마이크로소프트 365 앱으로 전환했다. 피시랩(PhishLabs)에 따르면 공격자는 내부 피싱 메시지를 보내 내부 셰어포인트와 원드라이브 파일 공유를 가장하여 피해자가 포함된 링크를 클릭하도록 유도한다. 지난달에 발견된 이 사기는 정상으로 보이는 비즈니스 프로세스의 신뢰성을 이용하며 사용자에게 로그인을 요청하는 마이크로소프트의 합법적인 로그인 페이지로 연결되는 링크를 포함한다. 그러나 이 앱에 대한 접근을 승인하면 받은편지함, 연락처, 원드라이브 파일을 포함하여 공격자에게 오피스 365 계정을 완전히 제어할 수 있다. 피시랩에 따르면 31.7.59.82에서 메일 서버에 대해 발신자 계정을 확인하면 사기를 피할 수 있다. 피시랩은 오피스 365 사용자가 공식 오...

셰어포인트 메일가드 365 앱 전자메일 원드라이브 스캠 넷플릭스 공격 해커 피싱 사기 마이크로소프트 이메일 해킹 피시랩

2020.01.09

사이버범죄자들이 넷플릭스 회원과 마이크로소프트 365 앱 사용자를 겨냥한 새로운 피싱 공격을 시작했다.  사이버보안 제공 업체 메일가드(MailGuard)에 따르면 2020년 첫날 넷플릭스 회원은 '당신의 넷플릭스 멤버십을 보류 중입니다'라는 제목으로 손상된 이메일 계정으로부터 이메일을 받았다.   이 이메일에는 사기꾼이 가입자의 회원 정보를 수집하는 가짜 넷플릭스 '로그인' 페이지로 연결되는 확인 링크가 들어 있었다. 또한 프로세스를 완료하지 못하면 회원 자격이 정지된다는 경고까지 포함돼 있었다. 넷플릭스를 사칭한 이메일은 의심하지 않는 사용자를 사용자의 생년월일을 요청하는 '귀하의 청구 정보'로 안내한다. 이 페이지에는 해당 페이지가 합법적임을 보증하는 '보안 서버' 아이콘까지 있었다. 메일가드는 블로그 게시글에서 “넷플릭스 사칭 이메일을 받았다면 링크를 클릭하지 않고 즉시 이메일을 삭제하라”며 다음과 같이 전했다. “넷플릭스에서 온 이메일에는 주의를 기울여 열고 열기 전에 합법적인 커뮤니케이션인지 확인하라. 사람들에게 위협을 알리는 데 도움이 되도록 이 알림을 소셜미디어 네트워크와 공유하라." 이 밖에도 사이버 해커는 사용자의 자격 증명을 수집하기 위해 악의적인 마이크로소프트 365 앱으로 전환했다. 피시랩(PhishLabs)에 따르면 공격자는 내부 피싱 메시지를 보내 내부 셰어포인트와 원드라이브 파일 공유를 가장하여 피해자가 포함된 링크를 클릭하도록 유도한다. 지난달에 발견된 이 사기는 정상으로 보이는 비즈니스 프로세스의 신뢰성을 이용하며 사용자에게 로그인을 요청하는 마이크로소프트의 합법적인 로그인 페이지로 연결되는 링크를 포함한다. 그러나 이 앱에 대한 접근을 승인하면 받은편지함, 연락처, 원드라이브 파일을 포함하여 공격자에게 오피스 365 계정을 완전히 제어할 수 있다. 피시랩에 따르면 31.7.59.82에서 메일 서버에 대해 발신자 계정을 확인하면 사기를 피할 수 있다. 피시랩은 오피스 365 사용자가 공식 오...

2020.01.09

'국가 재난 될 수 있었다' 인도 핵발전소 해킹 사건의 전말

민간 기반시설 공격은 전쟁 범죄가 맞다. 그런데 세계 각국의 첩보원들은 민간 기반시설(예: 에너지를 생산하는 민간 핵발전소)에 침투해 사전 배치하기 위한 소리 없고 비열한 전쟁을 치르고 있다. 지정학적 긴장이 발생하는 동안 파괴 공작을 저지르기 위해서다.   다음은 인도의 쿠당쿨람 핵발전소(Kudankulam Nuclear Power Plant: KNPP) 해킹 사건이 어떻게 발생했으며 어떻게 쉽게 예방할 수도 있었는지에 대한 설명이다. KNPP 해킹 사건 소식이 알려진 것은 요즘에는 흔히 그렇듯 트위터를 통해서였다. 뉴 인디언 익스프레스(The New Indian Express)에 따르면, ‘저명한 사이버 첩보 전문가’이자 ‘인도 국립기술연구조직(NTRO)의 사이버전 작전 센터 수립에 중요한 역할’을 한 푸크라 싱은 본인의 트위터 계정에 다음과 같은 글을 올렸다. “자, 이제 공개된 사실이다. KNPP에 도메인 컨트롤러 수준 접근 발생. 정부는 이미 오래전에 이 사실을 통보받았다. 임무 수행에 지극히 중요한 목표물이 공격받았다.” 그는 인용 트윗에서 이 공격에 대해 2019년 9월 7일부터 이미 알고 있었다면서 ‘전쟁 명분(causus belli)’(전쟁을 도발할 정도로 심각한 공격)이라고 규정했다. 싱은 그 이후 트윗에서 본인이 직접 악성코드를 발견한 것은 아니라고 밝혔다. 제3자가 “본인에게 연락을 취했고 나는 9월 4일(날짜가 중요)에 국가사이버보안담당자(NCSC)에게 통보했다. 제3자는 그 후 침해지표(IoC)들을 NCSC 사무실과 공유했다. 카스퍼스키는 이를 나중에 보고했고 디트랙(DTrack)이라고 불렀다.” 인도 핵발전소공사는 처음에 이 사실을 부인했다. 보도자료를 통해, SNS에 나돌고 있는 ‘잘못된 정보’라고 매도했으며 KNPP 핵발전소는 “독자적인 네트워크로, 외부 사이버 네트워크와 인터넷에 연결되어 있지 않아 핵발전소 제어 시스템에 대한 사이버 공격은 불가능하다”라고 주장했다.  그러나 나중에 이 주장을 철회했...

CSO 인도 핵발전소공사 사이버비트 사보타지웨어 기반시설 KNPP 라자루스 핵발전소 멀웨어 카스퍼스키 APT 공격 맬웨어 트위터 해킹 쿠당쿨람 핵발전소

2019.12.11

민간 기반시설 공격은 전쟁 범죄가 맞다. 그런데 세계 각국의 첩보원들은 민간 기반시설(예: 에너지를 생산하는 민간 핵발전소)에 침투해 사전 배치하기 위한 소리 없고 비열한 전쟁을 치르고 있다. 지정학적 긴장이 발생하는 동안 파괴 공작을 저지르기 위해서다.   다음은 인도의 쿠당쿨람 핵발전소(Kudankulam Nuclear Power Plant: KNPP) 해킹 사건이 어떻게 발생했으며 어떻게 쉽게 예방할 수도 있었는지에 대한 설명이다. KNPP 해킹 사건 소식이 알려진 것은 요즘에는 흔히 그렇듯 트위터를 통해서였다. 뉴 인디언 익스프레스(The New Indian Express)에 따르면, ‘저명한 사이버 첩보 전문가’이자 ‘인도 국립기술연구조직(NTRO)의 사이버전 작전 센터 수립에 중요한 역할’을 한 푸크라 싱은 본인의 트위터 계정에 다음과 같은 글을 올렸다. “자, 이제 공개된 사실이다. KNPP에 도메인 컨트롤러 수준 접근 발생. 정부는 이미 오래전에 이 사실을 통보받았다. 임무 수행에 지극히 중요한 목표물이 공격받았다.” 그는 인용 트윗에서 이 공격에 대해 2019년 9월 7일부터 이미 알고 있었다면서 ‘전쟁 명분(causus belli)’(전쟁을 도발할 정도로 심각한 공격)이라고 규정했다. 싱은 그 이후 트윗에서 본인이 직접 악성코드를 발견한 것은 아니라고 밝혔다. 제3자가 “본인에게 연락을 취했고 나는 9월 4일(날짜가 중요)에 국가사이버보안담당자(NCSC)에게 통보했다. 제3자는 그 후 침해지표(IoC)들을 NCSC 사무실과 공유했다. 카스퍼스키는 이를 나중에 보고했고 디트랙(DTrack)이라고 불렀다.” 인도 핵발전소공사는 처음에 이 사실을 부인했다. 보도자료를 통해, SNS에 나돌고 있는 ‘잘못된 정보’라고 매도했으며 KNPP 핵발전소는 “독자적인 네트워크로, 외부 사이버 네트워크와 인터넷에 연결되어 있지 않아 핵발전소 제어 시스템에 대한 사이버 공격은 불가능하다”라고 주장했다.  그러나 나중에 이 주장을 철회했...

2019.12.11

모든 컴퓨터 보안 전문가가 알아야 할 12가지

공격자와 싸움을 하려면 전문 지식이 필요하다. 모든 보안 전문가가 알아야 할 기본은 다음과 같다.    빨라진 IT 보안으로 인해 보안 업계 또한 변하지 않는 관련 직업은 거의 없다. 실무자들은 매년 평균 5,000~7,000개의 새로운 소프트웨어 취약점에 직면해 있다. 이 숫자는 지난해 1만 6,555개로 급증했다. 이는 보안 담당자들이 자신의 방어선에서 매일 13~45번의 새로운 약점을 발견한다는 것이다. 매년 IT 환경을 위협하는 수천만 개의 고유한 악성코드 프로그램과 이를 통해 공격을 시도하는 공격자들과 싸움을 벌이고 있다.  끊임없는 위협이 계속되고 있는 상황에서 단 한번의 실수로 회사의 평판을 손상시키고 미디어에 좋지 못한 내용으로 회사 이름이 오르내리는 상황을 만들고 수익을 떨어뜨리고 사람들을 해고시킬 수 있다.   보안 팀이 성공적으로 싸울 수 없다고 말하는 것이 아니다. 물론 할 수 있으며, 해야 한다는 것이다. 다음은 성공적인 싸움을 위해 모든 컴퓨터 보안 전문가가 알아야 할 12가지 사항이다.   1. 상대방의 동기  나쁜 사람이 누구인지, 왜 자사를 공격하는지 이해하지 못한다면 성공적인 싸움을 시작할 수 없다. 모든 공격자는 자신만의 고유한 동기와 목표를 갖고 있는데, 이 2가지가 공격자가 하는 모든 일과 행동 방식을 주도한다. 오늘날, 해커는 심각한 동기로 자사를 공격한다. 대부분 다음 범주 중 하나일 것이다.  - 금전  - 국가 후원/사이버전(cyberwarfare) - 기업 스파이  - 핵티비스트 - 자원 절도 - 멀티 플레이어 게임 속임수  공격자가 많더라도 모든 공격이 동일하지 않다. 공격 동기를 이해하는 것이 이를 해결하는 중요한 열쇠다. “이유”와 다른 모든 것을 고려하라. 이것이 자사의 네트워크에 어떤 유형의 공격 목표가 있는지 알아내는 가장 좋은 방법이다. 또한 상대를 물리치는 방법에 대한 단서를 찾을 수도 있다. &nb...

공격 보안전문가 의도

2019.08.20

공격자와 싸움을 하려면 전문 지식이 필요하다. 모든 보안 전문가가 알아야 할 기본은 다음과 같다.    빨라진 IT 보안으로 인해 보안 업계 또한 변하지 않는 관련 직업은 거의 없다. 실무자들은 매년 평균 5,000~7,000개의 새로운 소프트웨어 취약점에 직면해 있다. 이 숫자는 지난해 1만 6,555개로 급증했다. 이는 보안 담당자들이 자신의 방어선에서 매일 13~45번의 새로운 약점을 발견한다는 것이다. 매년 IT 환경을 위협하는 수천만 개의 고유한 악성코드 프로그램과 이를 통해 공격을 시도하는 공격자들과 싸움을 벌이고 있다.  끊임없는 위협이 계속되고 있는 상황에서 단 한번의 실수로 회사의 평판을 손상시키고 미디어에 좋지 못한 내용으로 회사 이름이 오르내리는 상황을 만들고 수익을 떨어뜨리고 사람들을 해고시킬 수 있다.   보안 팀이 성공적으로 싸울 수 없다고 말하는 것이 아니다. 물론 할 수 있으며, 해야 한다는 것이다. 다음은 성공적인 싸움을 위해 모든 컴퓨터 보안 전문가가 알아야 할 12가지 사항이다.   1. 상대방의 동기  나쁜 사람이 누구인지, 왜 자사를 공격하는지 이해하지 못한다면 성공적인 싸움을 시작할 수 없다. 모든 공격자는 자신만의 고유한 동기와 목표를 갖고 있는데, 이 2가지가 공격자가 하는 모든 일과 행동 방식을 주도한다. 오늘날, 해커는 심각한 동기로 자사를 공격한다. 대부분 다음 범주 중 하나일 것이다.  - 금전  - 국가 후원/사이버전(cyberwarfare) - 기업 스파이  - 핵티비스트 - 자원 절도 - 멀티 플레이어 게임 속임수  공격자가 많더라도 모든 공격이 동일하지 않다. 공격 동기를 이해하는 것이 이를 해결하는 중요한 열쇠다. “이유”와 다른 모든 것을 고려하라. 이것이 자사의 네트워크에 어떤 유형의 공격 목표가 있는지 알아내는 가장 좋은 방법이다. 또한 상대를 물리치는 방법에 대한 단서를 찾을 수도 있다. &nb...

2019.08.20

이스트시큐리티, "암호화폐 거래소 회원 겨냥한 해킹 이메일 공격 지속"

국내 특정 거래소 회원들을 대상으로 한 해킹 이메일 공격 시도가 지속적으로 포착되고 있어 비트코인 등 암호화폐를 거래하는 이용자들의 각별한 주의와 보안 강화가 요구된다.  이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이러한 유형의 해킹 이메일 기반 APT(지능형지속위협) 공격 캠페인을 작전명 ‘무비 코인’으로 명명하고 있다. 이 공격 캠페인은 지난 6월부터 국내에서 지속적으로 발생하고 있으며, 주로 ▲투자계약서_20190619 ▲(필수)외주직원 신상명세서 ▲에어컨 유지보수 특수조건 ▲시스템 포팅 계약서(수정) ▲현장프로젝트1 결과발표(4조) 등 한국어로 작성된 다양한 이름의 악성 파일을 첨부하고 있다. ESRC는 공격에 사용된 HWP 확장자의 악성 문서 파일들이 모두 동일한 취약점을 악용하고 있으며, 이메일로 공격을 수행하는 ‘스피어 피싱(Spear Phishing)’ 해킹 기법이 사용되고 있다고 분석했다. 또한 ESRC는 이달 18일에도 경찰대학 입시전문 사이트의 예상 문제 자료로 위장된 새로운 공격이 발견되었다고 밝혔다. 이 공격에 사용된 악성 문서 파일은 내부에 취약점 코드가 은밀하게 숨겨져 있어, 취약점이 보완되지 않은 구버전 문서 작성 프로그램을 사용할 경우 예기치 못한 보안 위협에 노출될 수 있다. 이 악성 코드에 감염될 경우 공격자가 지정한 특정 명령 제어(C2) 서버와의 은밀한 통신을 통해, 공격자가 사용자 PC를 원격 제어할 수 있게 됨은 물론 추가 해킹 시도도 가능해진다. ESRC는 이번 공격의 배후에 일명 ‘라자루스(Lazarus)’ 조직이 있는 것으로 분석했다. 이 공격 조직은 ▲7.7 DDoS 공격(2009년) ▲미국 소니픽쳐스 공격(2014년) ▲방글라데시 중앙은행 해킹(2016년) ▲워너크라이 랜섬웨어 유포(2017년) 등 전 세계 이목을 집중시킨 보안 사고에 연루된 것으로 알려져 있으며, 지난 2017년 경찰청 사이버안전국이 수사 결과를 발표한 ‘국내 비트코인 거래소 대상 해킹 공격’과도 밀접한 관계가...

해킹 공격 암호화폐 이스트시큐리티

2019.07.19

국내 특정 거래소 회원들을 대상으로 한 해킹 이메일 공격 시도가 지속적으로 포착되고 있어 비트코인 등 암호화폐를 거래하는 이용자들의 각별한 주의와 보안 강화가 요구된다.  이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이러한 유형의 해킹 이메일 기반 APT(지능형지속위협) 공격 캠페인을 작전명 ‘무비 코인’으로 명명하고 있다. 이 공격 캠페인은 지난 6월부터 국내에서 지속적으로 발생하고 있으며, 주로 ▲투자계약서_20190619 ▲(필수)외주직원 신상명세서 ▲에어컨 유지보수 특수조건 ▲시스템 포팅 계약서(수정) ▲현장프로젝트1 결과발표(4조) 등 한국어로 작성된 다양한 이름의 악성 파일을 첨부하고 있다. ESRC는 공격에 사용된 HWP 확장자의 악성 문서 파일들이 모두 동일한 취약점을 악용하고 있으며, 이메일로 공격을 수행하는 ‘스피어 피싱(Spear Phishing)’ 해킹 기법이 사용되고 있다고 분석했다. 또한 ESRC는 이달 18일에도 경찰대학 입시전문 사이트의 예상 문제 자료로 위장된 새로운 공격이 발견되었다고 밝혔다. 이 공격에 사용된 악성 문서 파일은 내부에 취약점 코드가 은밀하게 숨겨져 있어, 취약점이 보완되지 않은 구버전 문서 작성 프로그램을 사용할 경우 예기치 못한 보안 위협에 노출될 수 있다. 이 악성 코드에 감염될 경우 공격자가 지정한 특정 명령 제어(C2) 서버와의 은밀한 통신을 통해, 공격자가 사용자 PC를 원격 제어할 수 있게 됨은 물론 추가 해킹 시도도 가능해진다. ESRC는 이번 공격의 배후에 일명 ‘라자루스(Lazarus)’ 조직이 있는 것으로 분석했다. 이 공격 조직은 ▲7.7 DDoS 공격(2009년) ▲미국 소니픽쳐스 공격(2014년) ▲방글라데시 중앙은행 해킹(2016년) ▲워너크라이 랜섬웨어 유포(2017년) 등 전 세계 이목을 집중시킨 보안 사고에 연루된 것으로 알려져 있으며, 지난 2017년 경찰청 사이버안전국이 수사 결과를 발표한 ‘국내 비트코인 거래소 대상 해킹 공격’과도 밀접한 관계가...

2019.07.19

'환자 유전자 배열 기록 편집 가능' 오픈소스 취약점 제기

널리 사용되는 오픈소스 게놈 분석 소프트웨어의 취약점으로 공격자가 환자 유전자 배열 기록을 수정할 경우 환자가 비효율적인 독성 약물을 처방받을 위험이 있다는 주장이 제기됐다.   미국 샌디아국립연구소(Sandia National Laboratories)의 연구원은 게놈 매칭 프로그램인 BWA(Burrows-Wheeler Aligner)에서 취약점을 확인하고 개발자에게 이 사실을 전달했다. 다행히 취약점을 해결해 최신 배포판에 반영됐다. 환자의 유전 정보를 사용하여 치료를 안내하는 과정은 환자의 세포에서 유전 콘텐츠를 시퀀싱하고 그 열을 표준화된 인간 게놈과 비교하는 것을 포함한다. 연구원들은 BWA 프로그램이 표준화된 인간 게놈을 정부 서버에서 가져왔을 때 이 취약점을 발견했다고 말했다. 표준화된 게놈 배열은 안전하지 못한 채널을 오가며 '중간자 사람' 공격의 기회를 만들었다. 이로 인해 시퀀싱에서 얻은 환자의 유전 정보가 변경돼 표준 시퀀스로 악성코드가 전송됐다. 연구원은 "악성코드는 게놈 매핑 과정에서 환자의 생체 유전 정보를 바꿀 수 있어 아무도 모르게 최종 분석을 부정확하게 만든다"라고 말했다. 그는 "실제로 이는 의사가 정확한 정보를 가지고 있다면 환자에게 효과가 없거나 독성이 있다는 유전자 분석에 근거한 약물을 처방할 수 있음을 의미한다"라고 덧붙였다. 매핑 소프트웨어를 사용하는 의사, 법의학 실험실, 게놈 시퀀싱 회사는 결과가 악의적으로 변경되는 것에 일시적으로 취약한 것으로 나타났다. 그러나 소비자가 직접 유전자 검사를 의뢰하는 경우는 다른 염기 배열 분석 방법을 따르기 때문에 영향을 받지 않았다. 샌디아국립연구소의 생물정보과학 연구원으로 이 문제를 발견하는 데 도움을 주었던 코레이 허드슨은 "우리는 BWA 코드의 다른 곳에서 수행된 것처럼 좀더 안전한 버퍼 할당 방식을 사용하여 쉽게 해결할 수 있는 고전적인 버퍼 오버플로 취약점을 활용했다"라고 이야기했다. "이 공격으로 환자의 유전 정보가 바뀔 수 있음을 알게 돼 책...

취약점 컴퓨터비상대응팀 처방 생물정보과학 샌디아국립연구소 CERT 유전자 게놈 유전자 정보 공격 표준기술연구소

2019.07.09

널리 사용되는 오픈소스 게놈 분석 소프트웨어의 취약점으로 공격자가 환자 유전자 배열 기록을 수정할 경우 환자가 비효율적인 독성 약물을 처방받을 위험이 있다는 주장이 제기됐다.   미국 샌디아국립연구소(Sandia National Laboratories)의 연구원은 게놈 매칭 프로그램인 BWA(Burrows-Wheeler Aligner)에서 취약점을 확인하고 개발자에게 이 사실을 전달했다. 다행히 취약점을 해결해 최신 배포판에 반영됐다. 환자의 유전 정보를 사용하여 치료를 안내하는 과정은 환자의 세포에서 유전 콘텐츠를 시퀀싱하고 그 열을 표준화된 인간 게놈과 비교하는 것을 포함한다. 연구원들은 BWA 프로그램이 표준화된 인간 게놈을 정부 서버에서 가져왔을 때 이 취약점을 발견했다고 말했다. 표준화된 게놈 배열은 안전하지 못한 채널을 오가며 '중간자 사람' 공격의 기회를 만들었다. 이로 인해 시퀀싱에서 얻은 환자의 유전 정보가 변경돼 표준 시퀀스로 악성코드가 전송됐다. 연구원은 "악성코드는 게놈 매핑 과정에서 환자의 생체 유전 정보를 바꿀 수 있어 아무도 모르게 최종 분석을 부정확하게 만든다"라고 말했다. 그는 "실제로 이는 의사가 정확한 정보를 가지고 있다면 환자에게 효과가 없거나 독성이 있다는 유전자 분석에 근거한 약물을 처방할 수 있음을 의미한다"라고 덧붙였다. 매핑 소프트웨어를 사용하는 의사, 법의학 실험실, 게놈 시퀀싱 회사는 결과가 악의적으로 변경되는 것에 일시적으로 취약한 것으로 나타났다. 그러나 소비자가 직접 유전자 검사를 의뢰하는 경우는 다른 염기 배열 분석 방법을 따르기 때문에 영향을 받지 않았다. 샌디아국립연구소의 생물정보과학 연구원으로 이 문제를 발견하는 데 도움을 주었던 코레이 허드슨은 "우리는 BWA 코드의 다른 곳에서 수행된 것처럼 좀더 안전한 버퍼 할당 방식을 사용하여 쉽게 해결할 수 있는 고전적인 버퍼 오버플로 취약점을 활용했다"라고 이야기했다. "이 공격으로 환자의 유전 정보가 바뀔 수 있음을 알게 돼 책...

2019.07.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13