Offcanvas

���������������

실제 사례로 살펴보는 보편적인 '공급망 공격' 유형 6가지

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

공급망공격 코드코브 솔라윈즈 패스워드스테이트 클릭스튜디오 의존성혼동 마임캐스트 Mimecast 소나타입 Sonatype

2021.06.04

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

2021.06.04

윤리적 해커 마이클 코너리가 말하는 '기업 사이버보안의 현 주소'

시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.     코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다.  최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.   크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다.  “귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다.  크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다. 코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다.  피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원...

CIO 아웃룩 365 keylogger 윤리적 해커 키로거 APT10 마임캐스트 보안 교육 사이버보안 소셜 엔지니어링 해커 피싱 사기 지메일 이메일 해킹 캔디루

2019.01.28

시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.     코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다.  최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.   크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다.  “귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다.  크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다. 코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다.  피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원...

2019.01.28

CEO나 CFO인 척 가장한 이메일 공격 증가... 마임캐스트 조사

재무회계 종사자들을 겨냥한 이메일 공격의 경우, 발견하는 것 자체가 어려운 것으로 나타났다. 재무회계 담당자라면, 자금을 전달하라고 지시한 상사의 외부 계정 이메일을 받을 경우 어떻게 해야 할 지 생각하게 될 것이다. 이른바 '고래잡이 공격(whaling attacks)’ 때문이다. 고래잡이 공격은 CFO나 CEO가 보낸 이메일처럼 보이도록 위장하거나 유사 도메인 이름을 사용하는 정교한 수법을 이용한 이메일 공격방법으로 보안 업체인 마임캐스트(Mimecast)에 따르면, 최근 증가 추세에 있다. 마임캐스트는 이번 달 미국, 영국, 남아프리카, 호주의 IT전문가 442명을 대상으로 한 조사 결과 지난 3개월 동안 고래잡이 공격 건수가 늘어난 것으로 드러났다. 이러한 공격의 70%는 도메인 스푸핑으로 집계돼 가장 인기 있는 것으로 나타났다고 마임캐스트는 전했다. 대부분은 CEO인 척하지만 35%는 CFO로 가장하는 것으로 파악됐다. "고래잡이 메일에는 하이퍼링크나 악성 첨부 파일이 없고 목표물을 속이기 위해 소셜 엔지니어링에만 의존하기 때문에 이 이메일을 발견하는 게 더 어려울 수 있다"고 마임캐스트의 사이버 보안 전략가인 올랜도 스콧-칼리는 설명했다. 공격자들은 종종 페이스북, 링크드인, 트위터 같은 사이트에서 고래잡이 공격을 실행하는 데 필요한 정보를 얻는다고 마임캐스트는 전했다. 마임캐스트는 재무회계 담당자들의 주의사항 몇 가지를 제안했다. 우선 고위급 간부, 주요 담당자, 재무팀을 교육해야 한다. 그 다음 직원들이 얼마나 취약한지를 알아보기 위해 현업을 대상으로 고래잡이 공격 모의 테스트를 실시해야 한다.   기업 네트워크 외부에서 들어온 이메일임을 나타내는 인바운드 이메일 문구는, 회사 도메인과 매우 유사하게 만들어진 도메인일 경우 직원에게 이를 알려주는 도메인 이름 등록 알림 서비스 등 다른 유용한 툴이 될 수 있다. "고래잡이 공격을 위한 진입 장...

CEO Whaling attack 고래잡이 공격 외부 계정 지시 스푸핑 마임캐스트 회계 계정 조사 이메일 CFO 재무 유사 도메인

2015.12.28

재무회계 종사자들을 겨냥한 이메일 공격의 경우, 발견하는 것 자체가 어려운 것으로 나타났다. 재무회계 담당자라면, 자금을 전달하라고 지시한 상사의 외부 계정 이메일을 받을 경우 어떻게 해야 할 지 생각하게 될 것이다. 이른바 '고래잡이 공격(whaling attacks)’ 때문이다. 고래잡이 공격은 CFO나 CEO가 보낸 이메일처럼 보이도록 위장하거나 유사 도메인 이름을 사용하는 정교한 수법을 이용한 이메일 공격방법으로 보안 업체인 마임캐스트(Mimecast)에 따르면, 최근 증가 추세에 있다. 마임캐스트는 이번 달 미국, 영국, 남아프리카, 호주의 IT전문가 442명을 대상으로 한 조사 결과 지난 3개월 동안 고래잡이 공격 건수가 늘어난 것으로 드러났다. 이러한 공격의 70%는 도메인 스푸핑으로 집계돼 가장 인기 있는 것으로 나타났다고 마임캐스트는 전했다. 대부분은 CEO인 척하지만 35%는 CFO로 가장하는 것으로 파악됐다. "고래잡이 메일에는 하이퍼링크나 악성 첨부 파일이 없고 목표물을 속이기 위해 소셜 엔지니어링에만 의존하기 때문에 이 이메일을 발견하는 게 더 어려울 수 있다"고 마임캐스트의 사이버 보안 전략가인 올랜도 스콧-칼리는 설명했다. 공격자들은 종종 페이스북, 링크드인, 트위터 같은 사이트에서 고래잡이 공격을 실행하는 데 필요한 정보를 얻는다고 마임캐스트는 전했다. 마임캐스트는 재무회계 담당자들의 주의사항 몇 가지를 제안했다. 우선 고위급 간부, 주요 담당자, 재무팀을 교육해야 한다. 그 다음 직원들이 얼마나 취약한지를 알아보기 위해 현업을 대상으로 고래잡이 공격 모의 테스트를 실시해야 한다.   기업 네트워크 외부에서 들어온 이메일임을 나타내는 인바운드 이메일 문구는, 회사 도메인과 매우 유사하게 만들어진 도메인일 경우 직원에게 이를 알려주는 도메인 이름 등록 알림 서비스 등 다른 유용한 툴이 될 수 있다. "고래잡이 공격을 위한 진입 장...

2015.12.28

데이터 유출에 대처하는 13단계

최근 JP모건체이스의 고객 정보 유출 사건으로 다시 한 번 데이터 유출 문제가 이슈가 됐다. 여기 데이터 유출 사고에 대처할 13단계의 방법론을 소개한다. 얼마 전 데이터 유출 사고를 겪은 마임캐스트(Mimecast)는 이 모범 방법론을 활용해 훌륭하게 위기에 대처한 좋은 사례다. 물론 이들 역시 처음엔 패닉 상태에 빠졌다. 하지만 중요한 점은 그 상태에서 얼마나 빨리 빠져 나와 문제에 대처하는 지다. ciokr@idg.co.kr

CSO 데이터 유출 대처 CISO 사고 대응 JP모건체이스 마임캐스트

2014.10.14

최근 JP모건체이스의 고객 정보 유출 사건으로 다시 한 번 데이터 유출 문제가 이슈가 됐다. 여기 데이터 유출 사고에 대처할 13단계의 방법론을 소개한다. 얼마 전 데이터 유출 사고를 겪은 마임캐스트(Mimecast)는 이 모범 방법론을 활용해 훌륭하게 위기에 대처한 좋은 사례다. 물론 이들 역시 처음엔 패닉 상태에 빠졌다. 하지만 중요한 점은 그 상태에서 얼마나 빨리 빠져 나와 문제에 대처하는 지다. ciokr@idg.co.kr

2014.10.14

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9