Offcanvas

���������������

8가지 유형의 피싱 공격과 이를 인식하는 방법

모든 데이터 유출과 사이버 공격은 비밀번호 자격 증명을 훔치거나 사기 거래를 개시하거나 누군가 악성코드를 다운로드하도록 속이기 위한 일종의 피싱(Phishing) 시도가 관련되어 있다. 실제로 버라이즌의 2020년 데이터 유출 조사 보고서에 따르면, 피싱이 유출과 관련된 가장 많은 위협 활동으로 나타났다.   기업들은 사용자에게 피싱 공격에 주의하도록 주기적으로 알려주지만 많은 사용자가 실제로 이를 인식하는 방법을 모르고 있다. 그리고 사람은 사기를 잘 인식하지 못하는 경향이 있다. 프루프포인트(Proofpoint)의 2020년 피싱 실태 보고서에 따르면, 미국 기관과 기업의 65%가 2019년에 피싱 공격을 경험한 것으로 나타났다. 이는 공격자의 공격 활동이 정교해지고 있으며, 이에 대응하는 보안 인식 교육 또한 정교해져야 한다는 사실을 반증한다.  그리고 모든 피싱 사기가 같은 방식으로 진행되지 않는다. 포괄적으로 무작위 이메일 전송에서부터 특정 유형의 사람을 표적화하기 위해 정교하게 만들어진 공격까지 굉장히 다양하기 때문에 사용자에게 의심스러운 메시지가 어떤 것인지 교육하기가 점차 어려워지고 있다. 다양한 유형의 피싱 공격과 이를 인식하는 방법에 대해 알아보자. 피싱, 대량 전송 이메일 가장 보편적인 형태의 피싱은 일반적으로 대량 전송 유형이며, 누군가를 사칭해 이메일을 전송하고 수신인이 웹 사이트에 로그인하거나 악성코드를 다운로드하도록 유도한다. 공격은 주로 이메일 헤더(Header, 발신인 필드)에 메시지가 신뢰할 수 있는 발신인이 보낸 것처럼 보이게 하는 이메일 위장(Spoofing, 스푸핑)에 의존한다. 하지만 피싱 공격이 항상 UPS 배송 알림 이메일, 비밀번호 만료에 관련한 페이팔의 경고 메시지, 저장 공간 할당량에 관한 오피스 365 이메일처럼 보이는 것은 아니다. 어떤 공격은 기관과 개인을 구체적으로 표적으로 삼으며, 이메일 외의 방법을 동원하는 경우도 있다. 스피어 피싱, 특정 표적 노리기 피싱 공격은 사기꾼들...

피싱 스피어피싱 웨일링 BEC 클론피싱 비싱 스미싱 스노우슈잉

2020.11.30

모든 데이터 유출과 사이버 공격은 비밀번호 자격 증명을 훔치거나 사기 거래를 개시하거나 누군가 악성코드를 다운로드하도록 속이기 위한 일종의 피싱(Phishing) 시도가 관련되어 있다. 실제로 버라이즌의 2020년 데이터 유출 조사 보고서에 따르면, 피싱이 유출과 관련된 가장 많은 위협 활동으로 나타났다.   기업들은 사용자에게 피싱 공격에 주의하도록 주기적으로 알려주지만 많은 사용자가 실제로 이를 인식하는 방법을 모르고 있다. 그리고 사람은 사기를 잘 인식하지 못하는 경향이 있다. 프루프포인트(Proofpoint)의 2020년 피싱 실태 보고서에 따르면, 미국 기관과 기업의 65%가 2019년에 피싱 공격을 경험한 것으로 나타났다. 이는 공격자의 공격 활동이 정교해지고 있으며, 이에 대응하는 보안 인식 교육 또한 정교해져야 한다는 사실을 반증한다.  그리고 모든 피싱 사기가 같은 방식으로 진행되지 않는다. 포괄적으로 무작위 이메일 전송에서부터 특정 유형의 사람을 표적화하기 위해 정교하게 만들어진 공격까지 굉장히 다양하기 때문에 사용자에게 의심스러운 메시지가 어떤 것인지 교육하기가 점차 어려워지고 있다. 다양한 유형의 피싱 공격과 이를 인식하는 방법에 대해 알아보자. 피싱, 대량 전송 이메일 가장 보편적인 형태의 피싱은 일반적으로 대량 전송 유형이며, 누군가를 사칭해 이메일을 전송하고 수신인이 웹 사이트에 로그인하거나 악성코드를 다운로드하도록 유도한다. 공격은 주로 이메일 헤더(Header, 발신인 필드)에 메시지가 신뢰할 수 있는 발신인이 보낸 것처럼 보이게 하는 이메일 위장(Spoofing, 스푸핑)에 의존한다. 하지만 피싱 공격이 항상 UPS 배송 알림 이메일, 비밀번호 만료에 관련한 페이팔의 경고 메시지, 저장 공간 할당량에 관한 오피스 365 이메일처럼 보이는 것은 아니다. 어떤 공격은 기관과 개인을 구체적으로 표적으로 삼으며, 이메일 외의 방법을 동원하는 경우도 있다. 스피어 피싱, 특정 표적 노리기 피싱 공격은 사기꾼들...

2020.11.30

이스트시큐리티, ‘북한 코로나19 상황 인터뷰 문서’ 사칭 APT 공격 주의

이스트시큐리티가 미국 내 북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견돼 각별한 주의가 필요하다고 밝혔다. 회사에 따르면 발견된 악성 파일은 MS워드의 DOC 문서 형식이며 파일명은 ‘My Interview on COVID-19 with NCNK.doc’로 지난 5월 26일 제작됐다.  이스트시큐리티 ESRC(시큐리티대응센터)는 이번 공격의 기법이 특정 정부가 연계된 것으로 알려진 일명 ‘김수키(Kimsuky)’ 조직이 사용한 APT(지능형지속위협) 공격과 동일하며, 기존 보고된 바 있는 스모크 스크린(Smoke Screen) 위협 캠페인의 연장선으로 분석했다. 실제로 최근 APT 공격에서 DOC 문서 자체 취약점이 아닌 정상적인 ‘매크로’ 기능을 악용한 악성 문서 파일을 이메일에 첨부해 유포하는 ‘스피어 피싱 수법’이 주로 사용되고 있으며, 이번 공격 역시 동일한 수법이 사용됐다.  또한 이번 공격에 사용된 악성 문서에는 북한 내 코로나19 바이러스 확산 상황과 국제 NGO 단체의 지원 여부 내용 등이 담겨있으며, 이는 실제 전미북한위원회(NCNK, THE NATIONAL COMMITTEE ON NORTH KOREA) 공식 홈페이지에 등록된 내용을 무단 도용한 것으로 보인다. 이메일 수신자가 이러한 내용에 현혹돼 악성 파일을 열어보게 되면 마치 보호된 MS 워드 영문 문서 화면처럼 위장된 문서가 나타나고, 문서 확인을 위해 상단에 보이는 매크로 버튼 클릭을 유도한다. 만약 콘텐츠 사용 버튼을 클릭해 악성 매크로를 실행할 경우, 해커가 지정한 서버로 접속해 추가 명령을 수행한다. 또한 마이크로소프트의 클라우드 스토리지(저장소) 서비스인 ‘OneDrive’라는 이름으로 윈도 작업 스케줄러에 악성 트리거(Trigger)를 등록해, 3분마다 무한 반복으로 한국 소재 특정 교육원 서버로 접속을 시도한다. 해당 명령 제어(이하 C2) 서버와 정상적 통...

이스트시큐리티 코로나19 코로나바이러스 APT공격 보안 악성파일 스피어피싱

2020.05.29

이스트시큐리티가 미국 내 북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견돼 각별한 주의가 필요하다고 밝혔다. 회사에 따르면 발견된 악성 파일은 MS워드의 DOC 문서 형식이며 파일명은 ‘My Interview on COVID-19 with NCNK.doc’로 지난 5월 26일 제작됐다.  이스트시큐리티 ESRC(시큐리티대응센터)는 이번 공격의 기법이 특정 정부가 연계된 것으로 알려진 일명 ‘김수키(Kimsuky)’ 조직이 사용한 APT(지능형지속위협) 공격과 동일하며, 기존 보고된 바 있는 스모크 스크린(Smoke Screen) 위협 캠페인의 연장선으로 분석했다. 실제로 최근 APT 공격에서 DOC 문서 자체 취약점이 아닌 정상적인 ‘매크로’ 기능을 악용한 악성 문서 파일을 이메일에 첨부해 유포하는 ‘스피어 피싱 수법’이 주로 사용되고 있으며, 이번 공격 역시 동일한 수법이 사용됐다.  또한 이번 공격에 사용된 악성 문서에는 북한 내 코로나19 바이러스 확산 상황과 국제 NGO 단체의 지원 여부 내용 등이 담겨있으며, 이는 실제 전미북한위원회(NCNK, THE NATIONAL COMMITTEE ON NORTH KOREA) 공식 홈페이지에 등록된 내용을 무단 도용한 것으로 보인다. 이메일 수신자가 이러한 내용에 현혹돼 악성 파일을 열어보게 되면 마치 보호된 MS 워드 영문 문서 화면처럼 위장된 문서가 나타나고, 문서 확인을 위해 상단에 보이는 매크로 버튼 클릭을 유도한다. 만약 콘텐츠 사용 버튼을 클릭해 악성 매크로를 실행할 경우, 해커가 지정한 서버로 접속해 추가 명령을 수행한다. 또한 마이크로소프트의 클라우드 스토리지(저장소) 서비스인 ‘OneDrive’라는 이름으로 윈도 작업 스케줄러에 악성 트리거(Trigger)를 등록해, 3분마다 무한 반복으로 한국 소재 특정 교육원 서버로 접속을 시도한다. 해당 명령 제어(이하 C2) 서버와 정상적 통...

2020.05.29

이스트시큐리티, ‘국세청 전자세금계산서 발급 메일 안내’로 위장한 악성 이메일 주의 

이스트시큐리티가 ‘국세청 전자세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요하다고 밝혔다. 이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 ‘스피어 피싱’ 이메일 공격 방식을 사용하고 있다.  이번 공격은 기존 국세청 홈택스(hometax) 사칭 공격에서 한 단계 진화해, 발신지 주소까지 실제 홈택스 도메인(hometaxadmin@hometax.go.kr)처럼 정교하게 조작한 것이 특징이다. 이처럼 이메일 발신지 주소가 실제 도메인으로 위장되어 있을 경우, 메일 수신자가 이메일의 악성 여부를 판단하기 어렵기 때문에 공격에 감염될 가능성이 증가한다. 또한, 이메일에 첨부된 압축 파일은 ‘.pdf.zip’과 같이 이중 확장자를 사용하고 있으며, 사용자 PC의 탐색기 폴더 옵션 설정이 확장자 숨김 처리가 되어 있을 경우 실제 PDF 파일처럼 보여 의심 없이 열어보도록 유도하고 있다. 만약 사용자가 해당 압축파일을 풀고 내부 실행 파일을 실행할 경우, 폼북(Formbook) 유형의 악성코드에 감염돼 기업 내부의 다양한 해킹 피해로 이어질 수 있어 각별한 주의가 필요하다. 이스트시큐리티 ESRC(시큐리티대응센터)는 최근 이와 유사한 위협 사례가 다수 포착되고 있고, 홈택스 사칭뿐만 아니라, 국내 시중은행의 결제 전표 등을 위장한 사례도 확인한 상태이다. ESRC 문종현 이사는 “국세청, 경찰청, 법원 등의 국가기관을 사칭한 악성 이메일이 잊을만하면 등장하고 있지만, 대부분은 발신지 이메일 주소만으로도 쉽게 판별할 수 있었다”라며, “하지만 이번처럼 이메일 발신지의 도메인을 실제 국가 기관 주소로 조작하는 등 국내 기업과 기관 종사자를 대상으로 하는 APT 공격이 날로 정교해지고 있기 때문에, APT 공격에 대한 철저한 대비가 필요하다”라고 말했다. 또한 문 이사는 “기업과 기관 종사자가 스피어 피싱 이메일을 열람하고 첨부파일을 열어보게 되면, 해당 임...

이스트시큐리티 국세청 전자세금계산서 이메일 악성이메일 보안 스피어피싱

2020.05.27

이스트시큐리티가 ‘국세청 전자세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요하다고 밝혔다. 이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 ‘스피어 피싱’ 이메일 공격 방식을 사용하고 있다.  이번 공격은 기존 국세청 홈택스(hometax) 사칭 공격에서 한 단계 진화해, 발신지 주소까지 실제 홈택스 도메인(hometaxadmin@hometax.go.kr)처럼 정교하게 조작한 것이 특징이다. 이처럼 이메일 발신지 주소가 실제 도메인으로 위장되어 있을 경우, 메일 수신자가 이메일의 악성 여부를 판단하기 어렵기 때문에 공격에 감염될 가능성이 증가한다. 또한, 이메일에 첨부된 압축 파일은 ‘.pdf.zip’과 같이 이중 확장자를 사용하고 있으며, 사용자 PC의 탐색기 폴더 옵션 설정이 확장자 숨김 처리가 되어 있을 경우 실제 PDF 파일처럼 보여 의심 없이 열어보도록 유도하고 있다. 만약 사용자가 해당 압축파일을 풀고 내부 실행 파일을 실행할 경우, 폼북(Formbook) 유형의 악성코드에 감염돼 기업 내부의 다양한 해킹 피해로 이어질 수 있어 각별한 주의가 필요하다. 이스트시큐리티 ESRC(시큐리티대응센터)는 최근 이와 유사한 위협 사례가 다수 포착되고 있고, 홈택스 사칭뿐만 아니라, 국내 시중은행의 결제 전표 등을 위장한 사례도 확인한 상태이다. ESRC 문종현 이사는 “국세청, 경찰청, 법원 등의 국가기관을 사칭한 악성 이메일이 잊을만하면 등장하고 있지만, 대부분은 발신지 이메일 주소만으로도 쉽게 판별할 수 있었다”라며, “하지만 이번처럼 이메일 발신지의 도메인을 실제 국가 기관 주소로 조작하는 등 국내 기업과 기관 종사자를 대상으로 하는 APT 공격이 날로 정교해지고 있기 때문에, APT 공격에 대한 철저한 대비가 필요하다”라고 말했다. 또한 문 이사는 “기업과 기관 종사자가 스피어 피싱 이메일을 열람하고 첨부파일을 열어보게 되면, 해당 임...

2020.05.27

코로나19 해킹, 표적은 ‘최대 피해 지역’

사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다.    개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다.  코로나19 연관 도메인의 급증  팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다.  팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다.  CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라...

CSO 코비드-19 COVID-19 코로나바이러스 코로나19 스피어피싱 팔로알토 네트웍스 비트디펜더 방화벽 도메인 사이버공격 사이버범죄 팬데믹

2020.05.07

사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다.    개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다.  코로나19 연관 도메인의 급증  팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다.  팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다.  CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라...

2020.05.07

칼럼 | 미국-이란 갈등의 여파··· '윈도우 PC가 위험하다'

이란 군부의 실세인 거셈 솔레이마니 사령관이 미군의 공습으로 암살당했다. 이란은 이와 관련해 피의 복수를 하겠다고 선언했다. 만약 이란이 보복으로 사이버 공격을 감행한다면 (그럴 가능성이 매우 높다) 그 공격 벡터는 늘 그렇듯 윈도우일 가능성이 높다.  이란이 사이버 공격에 나선다면 개인 PC와 회사 PC 모두 표적이 될 것이다. 왜 이런 일이 발생하는 것인지 그리고 어떻게 하면 이란의 사이버 공격을 조심할 수 있는지 알아본다.   미국-이란 간 사이버전의 오랜 역사 향후 발생할 수 있는 사이버 공격을 이해하려면 과거를 돌아봐야 한다. 미국과 이란은 10년 넘게 저수준 사이버전을 치러왔다. 가끔은 고수준 사이버 공격이 일어나기도 했다. 예를 들면 스턱스넷(Stuxnet) 바이러스는 최악의 사이버 공격 중 하나로 꼽힌다. 이는 2009년 이란의 핵 시설을 겨냥한 미국과 이스라엘의 공격이었다. 스턱스넷은 윈도우 OS의 제로데이 취약점을 이용해 컴퓨터를 감염시켰다. 감염된 소프트웨어가 수천 개의 원심분리기에 고속 회전 명령을 내렸다. 그 결과 가동 능력이 감소하고, 원심분리기가 파괴됐다. 스턱스넷 사건은 이란의 핵 시설에 막대한 피해를 입혔다. 대이란 경제제재로 이끌어낸 2015년 핵 협상에 스턱스넷 공격 또한 한 원인으로 작용한 것 아니겠냐고 많은 사람들은 보았다. 그러나 미국은 경제 제재 완화라는 협상 조건을 더 이상 지키지 않고 있다. 스턱스넷에 대한 보복으로 2012년 이란은 미국 금융기관을 공격했다. 윈도우 취약성을 악용해 뉴욕 증권거래소, JP 모건체이스 등 45개 이상의 미국 금융기관을 겨냥했다. 또한 뉴욕시의 댐 통제 시스템에 침투하는가 하면, 샌즈 그룹 회장 셸든 애덜슨의 카지노 서버도 해킹했다. 미국이 이란에 핵 공격을 해야 한다고 주장했던 그는 친공화당 인물로 손꼽힌다.  그동안 이란의 공격은 위험성이 낮았고, 항상 윈도우가 연관되었다. 일례로 이란의 미국 금융기관 공격은 도스(DoS) 공격이었다....

구글 랜섬웨어 도스 봇넷 이란 스턱스넷 바이러스 사이버공격 취약점 미국 윈도우 피싱 해킹 아마존 보안 스피어피싱

2020.01.13

이란 군부의 실세인 거셈 솔레이마니 사령관이 미군의 공습으로 암살당했다. 이란은 이와 관련해 피의 복수를 하겠다고 선언했다. 만약 이란이 보복으로 사이버 공격을 감행한다면 (그럴 가능성이 매우 높다) 그 공격 벡터는 늘 그렇듯 윈도우일 가능성이 높다.  이란이 사이버 공격에 나선다면 개인 PC와 회사 PC 모두 표적이 될 것이다. 왜 이런 일이 발생하는 것인지 그리고 어떻게 하면 이란의 사이버 공격을 조심할 수 있는지 알아본다.   미국-이란 간 사이버전의 오랜 역사 향후 발생할 수 있는 사이버 공격을 이해하려면 과거를 돌아봐야 한다. 미국과 이란은 10년 넘게 저수준 사이버전을 치러왔다. 가끔은 고수준 사이버 공격이 일어나기도 했다. 예를 들면 스턱스넷(Stuxnet) 바이러스는 최악의 사이버 공격 중 하나로 꼽힌다. 이는 2009년 이란의 핵 시설을 겨냥한 미국과 이스라엘의 공격이었다. 스턱스넷은 윈도우 OS의 제로데이 취약점을 이용해 컴퓨터를 감염시켰다. 감염된 소프트웨어가 수천 개의 원심분리기에 고속 회전 명령을 내렸다. 그 결과 가동 능력이 감소하고, 원심분리기가 파괴됐다. 스턱스넷 사건은 이란의 핵 시설에 막대한 피해를 입혔다. 대이란 경제제재로 이끌어낸 2015년 핵 협상에 스턱스넷 공격 또한 한 원인으로 작용한 것 아니겠냐고 많은 사람들은 보았다. 그러나 미국은 경제 제재 완화라는 협상 조건을 더 이상 지키지 않고 있다. 스턱스넷에 대한 보복으로 2012년 이란은 미국 금융기관을 공격했다. 윈도우 취약성을 악용해 뉴욕 증권거래소, JP 모건체이스 등 45개 이상의 미국 금융기관을 겨냥했다. 또한 뉴욕시의 댐 통제 시스템에 침투하는가 하면, 샌즈 그룹 회장 셸든 애덜슨의 카지노 서버도 해킹했다. 미국이 이란에 핵 공격을 해야 한다고 주장했던 그는 친공화당 인물로 손꼽힌다.  그동안 이란의 공격은 위험성이 낮았고, 항상 윈도우가 연관되었다. 일례로 이란의 미국 금융기관 공격은 도스(DoS) 공격이었다....

2020.01.13

블로그 | 피싱에 잘 속는 사람 있다··· 원인과 해결 방법

작정하고 속이려 드는 사람을 당해낼 재간은 없겠지만, 우리 중에는 누가 봐도 피싱임이 뻔히 보이는 링크조차 의심없이 클릭하는 순진한 사람도 있다. 이런 사람을 사전에 가려 낼 방법은 없을까. 피싱 공격에 잘 당하는 것은 지능의 문제가 아니다. 사회에서 지적이고 똑똑하다고 알려진 집단의 사람들, 예를 들어 의사, 변호사, 엔지니어, 과학자, 심지어 노벨 물리학상 수상자 중에도 피싱 사기 피해자들이 나온다. 그렇다면 피싱에 잘 당하는 사람들은 어떤 사람들일까, 이들을 보안 인식 교육 전략을 세울 방법은 없을까. 다행인 것은 사람들이 이 문제에 대해 고민하고 있고, 어떤 특성을 가진 사람들이 피싱에 가장 취약한지 알고자 노력하고 있다는 사실이다. 예를 들어 센트럴 플로리다 대학교 시뮬레이션 및 트레이닝 연구소에서 포닥 과정에 있는 매튜 캔햄 박사는 현재 피싱 공격 취약점과 해킹, 그리고 온라인 영향력을 연구 중이다. 캔햄은 수많은 사용자 가운데서도 피싱이나 소셜 엔지니어링 등에 당할 확률이 높은 사람을 예측하고 가려내기 위한 연구를 진행 중이다. 범죄자의 사고를 이해하지 못하는 사람들이 피싱에 잘 당한다 보안 전문가는 컴퓨터 보안의 가장 취약한 고리가 인적 요소에 있다고 항상 말하곤 한다(물론 항상 그런 것은 아니다). 그런데 데이터를 가지고 그 이유를 알아내려는 사람이 바로 캔햄 박사다. 세상을 바꾸기 위해서는 데이터가 필요하다. 필자는 캔햄 박사가 학위 과정을 다 마치고 나면 세상을 바꾸기 위해 많은 일을 할 수 있을 것이라 생각한다. 복잡한 문제가 으레 그렇듯, 사람을 범죄에 취약하게 만드는 원인도 여러 가지가 있다. 그러나 몇몇 초기 연구 결과들을 보면, 범죄에 취약한 사람들은 공통적으로 범죄 성향이 낮은 편이라는 사실이다. 이들은 단지 피싱뿐만 아니라 여러 가지 사기 범죄에 골고루 취약했다. 이는 어찌 보면 당연한 이야기다. 문제는 왜 그런가 하는 것인데, 과학자들은 연구를 통해 이와 관련된 데이터를 수집해 나가고 있다. ...

피싱 스피어피싱 보안교육

2018.11.20

작정하고 속이려 드는 사람을 당해낼 재간은 없겠지만, 우리 중에는 누가 봐도 피싱임이 뻔히 보이는 링크조차 의심없이 클릭하는 순진한 사람도 있다. 이런 사람을 사전에 가려 낼 방법은 없을까. 피싱 공격에 잘 당하는 것은 지능의 문제가 아니다. 사회에서 지적이고 똑똑하다고 알려진 집단의 사람들, 예를 들어 의사, 변호사, 엔지니어, 과학자, 심지어 노벨 물리학상 수상자 중에도 피싱 사기 피해자들이 나온다. 그렇다면 피싱에 잘 당하는 사람들은 어떤 사람들일까, 이들을 보안 인식 교육 전략을 세울 방법은 없을까. 다행인 것은 사람들이 이 문제에 대해 고민하고 있고, 어떤 특성을 가진 사람들이 피싱에 가장 취약한지 알고자 노력하고 있다는 사실이다. 예를 들어 센트럴 플로리다 대학교 시뮬레이션 및 트레이닝 연구소에서 포닥 과정에 있는 매튜 캔햄 박사는 현재 피싱 공격 취약점과 해킹, 그리고 온라인 영향력을 연구 중이다. 캔햄은 수많은 사용자 가운데서도 피싱이나 소셜 엔지니어링 등에 당할 확률이 높은 사람을 예측하고 가려내기 위한 연구를 진행 중이다. 범죄자의 사고를 이해하지 못하는 사람들이 피싱에 잘 당한다 보안 전문가는 컴퓨터 보안의 가장 취약한 고리가 인적 요소에 있다고 항상 말하곤 한다(물론 항상 그런 것은 아니다). 그런데 데이터를 가지고 그 이유를 알아내려는 사람이 바로 캔햄 박사다. 세상을 바꾸기 위해서는 데이터가 필요하다. 필자는 캔햄 박사가 학위 과정을 다 마치고 나면 세상을 바꾸기 위해 많은 일을 할 수 있을 것이라 생각한다. 복잡한 문제가 으레 그렇듯, 사람을 범죄에 취약하게 만드는 원인도 여러 가지가 있다. 그러나 몇몇 초기 연구 결과들을 보면, 범죄에 취약한 사람들은 공통적으로 범죄 성향이 낮은 편이라는 사실이다. 이들은 단지 피싱뿐만 아니라 여러 가지 사기 범죄에 골고루 취약했다. 이는 어찌 보면 당연한 이야기다. 문제는 왜 그런가 하는 것인데, 과학자들은 연구를 통해 이와 관련된 데이터를 수집해 나가고 있다. ...

2018.11.20

기고 | APT로 의심되는 5가지 징후

그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. 후원자의 이해관계에 부합하도록 중요 정보를 캐내거나, 악성코드를 심거나, 타깃 네트워크 및 컴퓨터에 원할 때마다 잠입할 수 있도록 백도어 프로그램을 설치해 두는 등의 작업을 한다. APT 해커들은 대체로 수완이 매우 좋으며 절대 잡히지 않는다는 점에서 사실상 게임의 우위를 점하고 있다. 일반적인 범죄자들이 이와 같은 이점을 누리게 된다면 얼마나 집요하고 악랄하게 범죄 행위를 자행할지 생각해 보라. 그러나 APT 해커는 타깃이 자신의 행위를 바로 알아채지 못하게 매우 주의한다는 점에서 일반 해커와 구분된다. 타깃이 알아채고 경계하는 순간 목표 달성이 훨씬 어려워진다. 가장 뛰어난 해커는 네트워크와 컴퓨터에 잠입하여 필요한 것을 빼내고, 탈출하는 순간까지 들키지 않는 해커다. 그래서 이들의 작업은 대체로 ‘천천히, 은밀히’ 이뤄진다. 타깃이 의심할 만한 수상한 이벤트나 에러 메시지, 트래픽 혼잡, 서비스 방해 등을 야기하지 않기 위해서다. 대부분 APT는 해킹에 커스텀 코드를 사용하지만, 최소한 처음에는 공공연히 알려진 취약점을 노리는 쪽을 선호한다. 그렇게 하면 설령 공격 사실이 들통나더라도 과연 공격자가 APT 해커인지, 아니면 일반적이고 상대적으로 덜 문제가 되는 일반 해커나 악성코드 프로그램인지 식별하기가 어렵기 때문이다. 이처럼 교묘한 APT 해킹이 기승을 부리고 있다면, 과연 내가 APT 공격을 당하고 있는지 아닌지 알 방법은 없는 것일까? APT 알아보기 APT 해커는 일반 해커와 다른 기술을 사용하기 때문에 남기는 흔적도 좀 다르다. 지난 20년 동안 필자는 APT 공격을 받은 기업들이 공통으로 다음의 5가지 특징적 현상을 경험...

CSO 스피어피싱 트로이목마 APT 소셜 엔지니어링 해커 CISO 이메일 해킹 지능형 지속 공격

2018.04.30

그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. 후원자의 이해관계에 부합하도록 중요 정보를 캐내거나, 악성코드를 심거나, 타깃 네트워크 및 컴퓨터에 원할 때마다 잠입할 수 있도록 백도어 프로그램을 설치해 두는 등의 작업을 한다. APT 해커들은 대체로 수완이 매우 좋으며 절대 잡히지 않는다는 점에서 사실상 게임의 우위를 점하고 있다. 일반적인 범죄자들이 이와 같은 이점을 누리게 된다면 얼마나 집요하고 악랄하게 범죄 행위를 자행할지 생각해 보라. 그러나 APT 해커는 타깃이 자신의 행위를 바로 알아채지 못하게 매우 주의한다는 점에서 일반 해커와 구분된다. 타깃이 알아채고 경계하는 순간 목표 달성이 훨씬 어려워진다. 가장 뛰어난 해커는 네트워크와 컴퓨터에 잠입하여 필요한 것을 빼내고, 탈출하는 순간까지 들키지 않는 해커다. 그래서 이들의 작업은 대체로 ‘천천히, 은밀히’ 이뤄진다. 타깃이 의심할 만한 수상한 이벤트나 에러 메시지, 트래픽 혼잡, 서비스 방해 등을 야기하지 않기 위해서다. 대부분 APT는 해킹에 커스텀 코드를 사용하지만, 최소한 처음에는 공공연히 알려진 취약점을 노리는 쪽을 선호한다. 그렇게 하면 설령 공격 사실이 들통나더라도 과연 공격자가 APT 해커인지, 아니면 일반적이고 상대적으로 덜 문제가 되는 일반 해커나 악성코드 프로그램인지 식별하기가 어렵기 때문이다. 이처럼 교묘한 APT 해킹이 기승을 부리고 있다면, 과연 내가 APT 공격을 당하고 있는지 아닌지 알 방법은 없는 것일까? APT 알아보기 APT 해커는 일반 해커와 다른 기술을 사용하기 때문에 남기는 흔적도 좀 다르다. 지난 20년 동안 필자는 APT 공격을 받은 기업들이 공통으로 다음의 5가지 특징적 현상을 경험...

2018.04.30

"머신러닝 이용해 공격 가능" 보안 전문가 경고

머신러닝 위협 탐지 및 방어 회사 다크트레이스(Darktrace)는 지난 몇 년간 사이버보안 업계의 떠오르는 별과 같았다. 이 회사의 핵심 자율 머신러닝 기술은 AI 사용 보안 분야의 최고라는 명성과도 잘 맞는다. 그렇다면 사이버보안 연구의 최첨단에 있는 사람들은 정확히 무엇을 걱정할까? 지난달 말 런던의 도클랜즈(Docklands)에서 열린 IP엑스포에서 <컴퓨터월드UK>는 다크트레이스의 사이버 분석 책임자 앤드류 촌체프와 만나 사이버 보안에 대해 들어봤다. 촌체프는 “현존하는 많은 솔루션은 예전 공격을 검토한 후 학습을 시도한다. 따라서 AI와 머신러닝은 그들이 이미 보았던 것에서 학습을 중심으로 구축되고 있다”고 전제하고 “이 방법은 예컨대 뱅킹 트로이 목마를 탐지할 수 있는 머신러닝 분류기를 찾아내는 데 매우 효과적”이라고 덧붙였다. 그런데 그 이면은 어떤가? 만일 업체들이 인공지능을 위협 탐지에 이용하려 한다면 범죄 세계 역시 그 반대의 목적으로 인공지능을 이용하려 하지 않을까? 이 해커들은 현재 일부 업체들이 암시하는 것만큼 수준이 높은가? 공격자들이 머신러닝의 어떤 부분을 활용할지 파악하려면, 머신러닝이 방어에서 강점을 보였던 사례를 살펴보는 것이 도움이 된다. 촌체프는 다음과 같이 설명했다. “기술적으로 간단한 공격이 매우 효율적이다. 네트워크에 많이 보이는 침해 사례는 커스텀 악용 개발, 즉, 탐지를 피할 수 있도록 설계된 맞춤형 악성코드 측면에서는 화려하지 않다. 암호 도용, 피싱(phishing) 등을 위시한 옛날 방식인 경우가 많다. 그러한 공격들의 문제점은 여전히 매우 효과적이라는 점이다. 그러나 탐지하기는 매우 어렵다. 예컨대 기존 직원의 인증 정보를 이용해 외부에 접한 서버를 침해하는 경우라든가 직원들이 업무적인 것과 개인적인 것의 암호를 구분해서 사용하는 것에 익숙하지 않은 경우가 많다. 데이터 침해가 일어나 암호가 유출되면 거래되고 ...

이메일 IP엑스포 다크트레이스 스피어피싱 방어 기계학습 인공지능 사이버보안 위협 공격 맬웨어 뱅킹 트로이 목마

2017.10.24

머신러닝 위협 탐지 및 방어 회사 다크트레이스(Darktrace)는 지난 몇 년간 사이버보안 업계의 떠오르는 별과 같았다. 이 회사의 핵심 자율 머신러닝 기술은 AI 사용 보안 분야의 최고라는 명성과도 잘 맞는다. 그렇다면 사이버보안 연구의 최첨단에 있는 사람들은 정확히 무엇을 걱정할까? 지난달 말 런던의 도클랜즈(Docklands)에서 열린 IP엑스포에서 <컴퓨터월드UK>는 다크트레이스의 사이버 분석 책임자 앤드류 촌체프와 만나 사이버 보안에 대해 들어봤다. 촌체프는 “현존하는 많은 솔루션은 예전 공격을 검토한 후 학습을 시도한다. 따라서 AI와 머신러닝은 그들이 이미 보았던 것에서 학습을 중심으로 구축되고 있다”고 전제하고 “이 방법은 예컨대 뱅킹 트로이 목마를 탐지할 수 있는 머신러닝 분류기를 찾아내는 데 매우 효과적”이라고 덧붙였다. 그런데 그 이면은 어떤가? 만일 업체들이 인공지능을 위협 탐지에 이용하려 한다면 범죄 세계 역시 그 반대의 목적으로 인공지능을 이용하려 하지 않을까? 이 해커들은 현재 일부 업체들이 암시하는 것만큼 수준이 높은가? 공격자들이 머신러닝의 어떤 부분을 활용할지 파악하려면, 머신러닝이 방어에서 강점을 보였던 사례를 살펴보는 것이 도움이 된다. 촌체프는 다음과 같이 설명했다. “기술적으로 간단한 공격이 매우 효율적이다. 네트워크에 많이 보이는 침해 사례는 커스텀 악용 개발, 즉, 탐지를 피할 수 있도록 설계된 맞춤형 악성코드 측면에서는 화려하지 않다. 암호 도용, 피싱(phishing) 등을 위시한 옛날 방식인 경우가 많다. 그러한 공격들의 문제점은 여전히 매우 효과적이라는 점이다. 그러나 탐지하기는 매우 어렵다. 예컨대 기존 직원의 인증 정보를 이용해 외부에 접한 서버를 침해하는 경우라든가 직원들이 업무적인 것과 개인적인 것의 암호를 구분해서 사용하는 것에 익숙하지 않은 경우가 많다. 데이터 침해가 일어나 암호가 유출되면 거래되고 ...

2017.10.24

파이어아이, 북한의 미국 전력 기업 대상 스피어피싱 공격 포착

파이어아이는 지난 9월 22일 북한 정부와 연계된 것으로 보이는 사이버 공격 그룹이 미국의 전력 업체로 발송한 스피어피싱 이메일을 발견해 차단했다고 밝혔다. 최근, 파이어아이는 한국의 전기 시설을 위협하는 북한 정부와 연계된 해킹 그룹을 탐지한 바 있는데, 해당 공격의 경우에도 전력 중단을 초래하지는 않았다. 이번 공격은 정찰의 초기 단계로 파괴적 위협을 초래할 수 있는 심각한 수준의 사이버 공격은 아닌 것으로 밝혀졌다. 전력 공급을 제어하는 산업제어시스템(Industrial Control Systems, ICS) 네트워크를 위협하거나 조작하기 위한 목적으로 설계된 특정 해킹 툴 또는 방법은 확인되지 않았으며, 그러한 접근을 시도한 증거 또한 발견되지 않았다. 일부 국가들의 경우 국가 간 긴장이 고조되는 시기에 종종 인텔리전스를 수집하고 만일의 사태에 대비하기 위해 사이버 스파이 활동을 감행하기도 한다. 파이어아이는 최소 4개 국가로부터 지원을 받은 20여 개의 사이버 위협 그룹을 발견했으며, 이들은 에너지 업계를 공격하려 해 파괴적인 영향력을 발휘하려 한 것으로 드러났다. 이번 북한 공격자들의 경우 에너지 관련 업계를 공격하는데 필요한 추가적인 기술을 사용하거나 그러한 기술을 보유하고 있는 것으로 확인되지는 않았다. 북한 정부와 연계된 해킹 그룹은 매우 과감하며, 자국의 공격 역량 및 의지를 과시하기 위해 다수의 사이버 공격을 감행했다고 업체 측은 설명했다. 최근, 전력 공급망을 타깃으로 한 사이버 공격 역량을 키우는 국가들이 늘어나고 있는 가운데, 북한의 경우, 전력 기업을 대상으로 한 제한적인 공격 또한 큰 성과로 과장해 선전할 가능성이 높다. 북한 연계 해커들은 미국 및 한국뿐만이 아닌 전 세계의 금융 시스템을 공격하고 있다. 그들의 공격 동기는 경제적 목적부터 사보타주를 위한 전통적인 스파이 행위까지 다양하다. 다만, 모든 공격은 국제적 규범을 위반하고 사이버 공격 능력을 과시하려 한다는 점에서 동일한 특징을 보인다. ...

파이어아이 스피어피싱 산업제어시스템

2017.10.12

파이어아이는 지난 9월 22일 북한 정부와 연계된 것으로 보이는 사이버 공격 그룹이 미국의 전력 업체로 발송한 스피어피싱 이메일을 발견해 차단했다고 밝혔다. 최근, 파이어아이는 한국의 전기 시설을 위협하는 북한 정부와 연계된 해킹 그룹을 탐지한 바 있는데, 해당 공격의 경우에도 전력 중단을 초래하지는 않았다. 이번 공격은 정찰의 초기 단계로 파괴적 위협을 초래할 수 있는 심각한 수준의 사이버 공격은 아닌 것으로 밝혀졌다. 전력 공급을 제어하는 산업제어시스템(Industrial Control Systems, ICS) 네트워크를 위협하거나 조작하기 위한 목적으로 설계된 특정 해킹 툴 또는 방법은 확인되지 않았으며, 그러한 접근을 시도한 증거 또한 발견되지 않았다. 일부 국가들의 경우 국가 간 긴장이 고조되는 시기에 종종 인텔리전스를 수집하고 만일의 사태에 대비하기 위해 사이버 스파이 활동을 감행하기도 한다. 파이어아이는 최소 4개 국가로부터 지원을 받은 20여 개의 사이버 위협 그룹을 발견했으며, 이들은 에너지 업계를 공격하려 해 파괴적인 영향력을 발휘하려 한 것으로 드러났다. 이번 북한 공격자들의 경우 에너지 관련 업계를 공격하는데 필요한 추가적인 기술을 사용하거나 그러한 기술을 보유하고 있는 것으로 확인되지는 않았다. 북한 정부와 연계된 해킹 그룹은 매우 과감하며, 자국의 공격 역량 및 의지를 과시하기 위해 다수의 사이버 공격을 감행했다고 업체 측은 설명했다. 최근, 전력 공급망을 타깃으로 한 사이버 공격 역량을 키우는 국가들이 늘어나고 있는 가운데, 북한의 경우, 전력 기업을 대상으로 한 제한적인 공격 또한 큰 성과로 과장해 선전할 가능성이 높다. 북한 연계 해커들은 미국 및 한국뿐만이 아닌 전 세계의 금융 시스템을 공격하고 있다. 그들의 공격 동기는 경제적 목적부터 사보타주를 위한 전통적인 스파이 행위까지 다양하다. 다만, 모든 공격은 국제적 규범을 위반하고 사이버 공격 능력을 과시하려 한다는 점에서 동일한 특징을 보인다. ...

2017.10.12

'기본만 지켜도 충분' 피싱 막는 보안 수칙 11가지

정상적인 이메일이라고 생각하고 클릭했지만, 위험한 링크였던 것으로 판명된 경험을 모두 가지고 있다. IT 실무 사례, 직원 교육과 현명한 SNS 사용법에 대한 필수 기본 수칙을 알아보자. 95~99%의 스피어 피싱 시도를 막을 수 있는 방법 3가지 1. 인바운드 이메일 샌드 박싱 사용자가 이메일 링크를 클릭할 때 연결 안전성을 확인하는 솔루션을 구축하라. 사이버 범죄자들이 시도하는 새로운 전술에 대항할 수 있다. 해커들은 조직의 이메일 보안에 접근하기 위해 이메일에 URL을 첨부한다. 메일을 발송한 후 웹 사이트에 바로 악성 코드를 주입하는 것이다. 이런 URL은 일반적인 표준 스팸 솔루션 대부분을 통과할 수 있다. 2. 실시간 분석 및 웹 트래픽 검사 먼저 악성 URL이 게이트웨이의 사용자 회사 받은 편지함에 접근하는 것 자체를 차단하라. 회사 이메일에서 인바운드 이메일 샌드박스 기술을 쓰더라도, 사용자들이 지메일 등의 개인 이메일에서 링크를 클릭할 수 있다. 이런 경우에는 회사 이메일의 스피어 피싱 보호 기능이 트래픽을 볼 수 없다. 결론은, 웹 보안 게이트웨이가 더욱 지능적이고 실시간 분석적이어야 하며, 맬웨어 차단에 더 효율적이어야 한다는 것이다. 3. 직원의 행동 조직에 있어 인간이라는 요소는 매우 중요하다. 직원 테스트 프로그램을 도입하고 지속적인 훈련 체계를 만들기를 권한다. 직원 프로그램의 목적은 교육인 보안 자각이 아니라 바로 행동 교정이다. 직원 행동 변화시키기 팁 5가지 직원은 조직에 있어 데이터 유출 사고를 막을 수 있는 역량, 스피어 피싱 방어, 성공적인 보안 구축에 가장 중요한 요소다. 직원들을 가장 강력한 보안 정책 지지자로 바꾸어 놓을 방법 5가지를 알아보자. 1. 조직적 펜 테스트 직원들이 새로운 행동을 하게 되는 가장 쉬운 방법은 실수를 하고, 조언을 얻는 것이다. 주요 부서에서 한 사람씩 뽑아서 하나의 그룹을 만들고, 외부 이메일 주소로 타깃 스피어 피싱 이메일을 보내자. 페이스북,...

보안 피싱 비밀번호 SNS 스피어피싱

2017.07.11

정상적인 이메일이라고 생각하고 클릭했지만, 위험한 링크였던 것으로 판명된 경험을 모두 가지고 있다. IT 실무 사례, 직원 교육과 현명한 SNS 사용법에 대한 필수 기본 수칙을 알아보자. 95~99%의 스피어 피싱 시도를 막을 수 있는 방법 3가지 1. 인바운드 이메일 샌드 박싱 사용자가 이메일 링크를 클릭할 때 연결 안전성을 확인하는 솔루션을 구축하라. 사이버 범죄자들이 시도하는 새로운 전술에 대항할 수 있다. 해커들은 조직의 이메일 보안에 접근하기 위해 이메일에 URL을 첨부한다. 메일을 발송한 후 웹 사이트에 바로 악성 코드를 주입하는 것이다. 이런 URL은 일반적인 표준 스팸 솔루션 대부분을 통과할 수 있다. 2. 실시간 분석 및 웹 트래픽 검사 먼저 악성 URL이 게이트웨이의 사용자 회사 받은 편지함에 접근하는 것 자체를 차단하라. 회사 이메일에서 인바운드 이메일 샌드박스 기술을 쓰더라도, 사용자들이 지메일 등의 개인 이메일에서 링크를 클릭할 수 있다. 이런 경우에는 회사 이메일의 스피어 피싱 보호 기능이 트래픽을 볼 수 없다. 결론은, 웹 보안 게이트웨이가 더욱 지능적이고 실시간 분석적이어야 하며, 맬웨어 차단에 더 효율적이어야 한다는 것이다. 3. 직원의 행동 조직에 있어 인간이라는 요소는 매우 중요하다. 직원 테스트 프로그램을 도입하고 지속적인 훈련 체계를 만들기를 권한다. 직원 프로그램의 목적은 교육인 보안 자각이 아니라 바로 행동 교정이다. 직원 행동 변화시키기 팁 5가지 직원은 조직에 있어 데이터 유출 사고를 막을 수 있는 역량, 스피어 피싱 방어, 성공적인 보안 구축에 가장 중요한 요소다. 직원들을 가장 강력한 보안 정책 지지자로 바꾸어 놓을 방법 5가지를 알아보자. 1. 조직적 펜 테스트 직원들이 새로운 행동을 하게 되는 가장 쉬운 방법은 실수를 하고, 조언을 얻는 것이다. 주요 부서에서 한 사람씩 뽑아서 하나의 그룹을 만들고, 외부 이메일 주소로 타깃 스피어 피싱 이메일을 보내자. 페이스북,...

2017.07.11

'언제 어디서 뚫릴 지 모른다' 스피어피싱 대응 팁

스피어피싱 표적 공격에는 소셜 엔지니어링 기법이 쓰인다. 문제 : 스피어피싱 스피어피싱은 오늘날 사이버 범죄자들이 사용하는 최고의 공격 벡터로, 정보 시스템에 접근하기 위해 특정 조직, 그룹 또는 개인을 대상에 맞춘 사기성 전자 메일로 이뤄진다. 스피어피싱 표적 공격에는 특정 관심 대상에 관한 조사가 포함된 소셜 엔지니어링 기법이 활용된다. 범죄집단은 외부와 전자메일을 연결해 소셜 엔지니어링 기법을 실행하고 기존 보안 스택을 우회해 표적의 환경에 진입한다. 티콘(Tychon)의 CTO인 트라비스 로시에크는 미래 공격에 대한 방어력을 높이기 위해 과거 피싱 공격을 어떻게 분석하고, 포착된 피싱 이메일의 데이터베이스를 만들며, 누가 공격 대상이고, 어떤 정보가 소셜 엔지니어링에 쓰였는지 등을 설명했다. 사용자 인식 교육 사용자 인식 교육은 중요하다. 하지만 스피어피싱의 영향을 완화하는 것은 아니다. 결과를 조직에 공개하는 일상적인 스피어피싱 훈련은 조직 문화에 효과적인 방법이며, 인바운드 이메일로 사용자가 위협을 더 잘 인지하게 한다. 가장 가능성이 높은 표적(희생자) 역할(CXO, 법무, 연구팀 등)이나 접근 권한(시스템 관리자 등)을 기반으로 스피어피싱 가능성이 높은 대상을 식별해야 한다. 직원 데이터 접근을 기반으로 엄격한 역할 기반 접근 제어를 구현하고 신뢰할 수 없는 전자메일, 웹사이트, 시스템에 대한 노출을 제한하라. 공격자들은 HR, 고객 불만 처리 등 외부와 정보를 공유하고 상호작용이 빈번한 직원들을 목표로 한다. 항상 경계한다 이메일은 밤낮을 가리지 않고 언제든지, 악의적인 페이로드나 URL이 있는 발신자로부터 올 수 있다. 사용자는 절대 경계를 늦춰서는 안 되며, 수신하는 모든 이메일에 신중히 해야 한다. 기업의 보안 수준은 가장 취약한 링크와 가장 취약한 사용자와 같다고 봐야 한다. 모든 사용자에게 스피어피싱을 피하는 방법을 끊임없이 전달하라. 스팸 필터가 최신 상태인지 확인하...

CSO 교육 이메일 피싱 CISO 공격 소셜 엔지니어링 도메인 스피어피싱

2017.04.07

스피어피싱 표적 공격에는 소셜 엔지니어링 기법이 쓰인다. 문제 : 스피어피싱 스피어피싱은 오늘날 사이버 범죄자들이 사용하는 최고의 공격 벡터로, 정보 시스템에 접근하기 위해 특정 조직, 그룹 또는 개인을 대상에 맞춘 사기성 전자 메일로 이뤄진다. 스피어피싱 표적 공격에는 특정 관심 대상에 관한 조사가 포함된 소셜 엔지니어링 기법이 활용된다. 범죄집단은 외부와 전자메일을 연결해 소셜 엔지니어링 기법을 실행하고 기존 보안 스택을 우회해 표적의 환경에 진입한다. 티콘(Tychon)의 CTO인 트라비스 로시에크는 미래 공격에 대한 방어력을 높이기 위해 과거 피싱 공격을 어떻게 분석하고, 포착된 피싱 이메일의 데이터베이스를 만들며, 누가 공격 대상이고, 어떤 정보가 소셜 엔지니어링에 쓰였는지 등을 설명했다. 사용자 인식 교육 사용자 인식 교육은 중요하다. 하지만 스피어피싱의 영향을 완화하는 것은 아니다. 결과를 조직에 공개하는 일상적인 스피어피싱 훈련은 조직 문화에 효과적인 방법이며, 인바운드 이메일로 사용자가 위협을 더 잘 인지하게 한다. 가장 가능성이 높은 표적(희생자) 역할(CXO, 법무, 연구팀 등)이나 접근 권한(시스템 관리자 등)을 기반으로 스피어피싱 가능성이 높은 대상을 식별해야 한다. 직원 데이터 접근을 기반으로 엄격한 역할 기반 접근 제어를 구현하고 신뢰할 수 없는 전자메일, 웹사이트, 시스템에 대한 노출을 제한하라. 공격자들은 HR, 고객 불만 처리 등 외부와 정보를 공유하고 상호작용이 빈번한 직원들을 목표로 한다. 항상 경계한다 이메일은 밤낮을 가리지 않고 언제든지, 악의적인 페이로드나 URL이 있는 발신자로부터 올 수 있다. 사용자는 절대 경계를 늦춰서는 안 되며, 수신하는 모든 이메일에 신중히 해야 한다. 기업의 보안 수준은 가장 취약한 링크와 가장 취약한 사용자와 같다고 봐야 한다. 모든 사용자에게 스피어피싱을 피하는 방법을 끊임없이 전달하라. 스팸 필터가 최신 상태인지 확인하...

2017.04.07

'사이버 공격에 대비하고 있나?' 테스트 견본으로 보는 체크리스트

당산의 회사는 얼마나 준비돼 있나? ISACA의 2015 국제 사이버 보안 실태 보고서에 따르면, 응답자의 83%는 사이버 공격이 조직이 직면한 상위 3개 위협 가운데 하나라고 답했지만 이에 대비하고 있다고 답한 응답자는 38%에 불과한 것으로 나타났다. 사고 대응은 여전히 대부분 인간 대응이다. 구식 대응 계획에서 아무 잘못 없이 발생할 수 있는 여러 인간 오류까지 더하면 엄청난 결과가 발생할 수 있게 된다. 다음의 실제 시나리오들을 보고 책상머리에서 만들어낸 실시간 조치에 대한 대응 계획을 업데이트해보자. 시나리오 1. 블록체인 해킹 - 세그먼트 1: 내부 블록체인 보안 전문가 스콧의 감독 아래 기업은 블록체인과 비트코인(Bitcoin) 사용에 의존하는 기술 제품-서비스를 공개한다. 월요일 오전, 애플리케이션 유지보수, 소프트웨어 혁신, 서비스 버그 픽스 등 다양한 활동과 변화가 진행 중인 가운데 CEO에게 30만 달러 어치의 비트코인이 사라졌다는 소식이 전해진다. - 세그먼트 2: 로그 분석에서 스콧의 안전한 쉘 키(Shell Key)가 거래 직전에 해킹 당한 서버에 접근했으며 사용자는 목적을 달성한 후 수분 만에 서버에서 빠져나간 것으로 나타났다. 캡제미니(Capgemini)의 국제 보안 사고 책임자 고팔 파딘자루비틸는 "스콧은 피해를 입은 팀의 일원이었기 때문에 그의 입장에서는 비도덕적인 행동이 아니며 그는 일반적으로 서버가 정상적으로 기능하는지 자주 확인한다"고 말했다. - 세그먼트 3: 누군가 곧 같은 SSH 키를 삭제한다. 스콧은 자신이 그러지 않았다고 말하면서 비트코인을 훔친 범죄자 해커가 그랬다고 말한다. 얼마 지나지 않아 스콧과는 연락이 닿지 않고 그는 가족 문제때문에 떠나야 했다고 밝혔다. 해커 이론에 따라 해당 기업은 클라우드 제공업체의 도움을 받아 클라우드에 서버를 다시 구축한다. 새로운 서버가 가동하기 직전에 이 새로운 인프라에서 더 많은 비트코인이 사라진다. - 세그먼트 4:...

CSO 해킹 사이버공격 스피어피싱 재물강요

2016.09.01

당산의 회사는 얼마나 준비돼 있나? ISACA의 2015 국제 사이버 보안 실태 보고서에 따르면, 응답자의 83%는 사이버 공격이 조직이 직면한 상위 3개 위협 가운데 하나라고 답했지만 이에 대비하고 있다고 답한 응답자는 38%에 불과한 것으로 나타났다. 사고 대응은 여전히 대부분 인간 대응이다. 구식 대응 계획에서 아무 잘못 없이 발생할 수 있는 여러 인간 오류까지 더하면 엄청난 결과가 발생할 수 있게 된다. 다음의 실제 시나리오들을 보고 책상머리에서 만들어낸 실시간 조치에 대한 대응 계획을 업데이트해보자. 시나리오 1. 블록체인 해킹 - 세그먼트 1: 내부 블록체인 보안 전문가 스콧의 감독 아래 기업은 블록체인과 비트코인(Bitcoin) 사용에 의존하는 기술 제품-서비스를 공개한다. 월요일 오전, 애플리케이션 유지보수, 소프트웨어 혁신, 서비스 버그 픽스 등 다양한 활동과 변화가 진행 중인 가운데 CEO에게 30만 달러 어치의 비트코인이 사라졌다는 소식이 전해진다. - 세그먼트 2: 로그 분석에서 스콧의 안전한 쉘 키(Shell Key)가 거래 직전에 해킹 당한 서버에 접근했으며 사용자는 목적을 달성한 후 수분 만에 서버에서 빠져나간 것으로 나타났다. 캡제미니(Capgemini)의 국제 보안 사고 책임자 고팔 파딘자루비틸는 "스콧은 피해를 입은 팀의 일원이었기 때문에 그의 입장에서는 비도덕적인 행동이 아니며 그는 일반적으로 서버가 정상적으로 기능하는지 자주 확인한다"고 말했다. - 세그먼트 3: 누군가 곧 같은 SSH 키를 삭제한다. 스콧은 자신이 그러지 않았다고 말하면서 비트코인을 훔친 범죄자 해커가 그랬다고 말한다. 얼마 지나지 않아 스콧과는 연락이 닿지 않고 그는 가족 문제때문에 떠나야 했다고 밝혔다. 해커 이론에 따라 해당 기업은 클라우드 제공업체의 도움을 받아 클라우드에 서버를 다시 구축한다. 새로운 서버가 가동하기 직전에 이 새로운 인프라에서 더 많은 비트코인이 사라진다. - 세그먼트 4:...

2016.09.01

피싱 공격 역추적 경험담··· '결론은 보안 교육'

몇 주 전, 워치가드 테크놀로지스(WatchGuard Technologies) 재무 팀의 핵심 팀원 중 한 명이 스피어 피싱 공격을 받았다. 스피어 피싱은 특정 개인이나 개인 그룹에 맞춰 공격을 맞춤화하는 피싱 공격의 한 형태다. 공격자는 목표로 삼은 사람에 대한 정보를 수집한 다음 그에 맞게 공격을 세밀하게 조정, 사기가 성공할 가능성을 높인다. 공격자는 해당 재무 직원의 상사가 보낸 이메일을 위장해 긴급 송금을 요청했다. 이 재무 직원은 적절한 교육을 받은 덕분에 문제의 이메일이 공식적인 지휘 계통과 재무 규약을 무시했음을 의심스럽게 생각하고 적절한 담당자에게 이 사실을 알렸다. 워치가드의 위협 분석가인 마크 랠리버트는 자신이 경험한 이 사건을 자세히 설명했다. editor@itworld.co.kr

해킹 교육 피싱 공격 스피어피싱

2016.06.24

몇 주 전, 워치가드 테크놀로지스(WatchGuard Technologies) 재무 팀의 핵심 팀원 중 한 명이 스피어 피싱 공격을 받았다. 스피어 피싱은 특정 개인이나 개인 그룹에 맞춰 공격을 맞춤화하는 피싱 공격의 한 형태다. 공격자는 목표로 삼은 사람에 대한 정보를 수집한 다음 그에 맞게 공격을 세밀하게 조정, 사기가 성공할 가능성을 높인다. 공격자는 해당 재무 직원의 상사가 보낸 이메일을 위장해 긴급 송금을 요청했다. 이 재무 직원은 적절한 교육을 받은 덕분에 문제의 이메일이 공식적인 지휘 계통과 재무 규약을 무시했음을 의심스럽게 생각하고 적절한 담당자에게 이 사실을 알렸다. 워치가드의 위협 분석가인 마크 랠리버트는 자신이 경험한 이 사건을 자세히 설명했다. editor@itworld.co.kr

2016.06.24

M&A 기업, 해커들의 표적으로 부상··· 디지털 섀도우 보고서

디지털 섀도우(Digital Shadows)의 최근 보고서에 따르면, M&A를 진행중인 회사, 변호사, 금융 자문, 기타 관련 기업 모두가 사이버공격의 대상이 되는 것으로 파악됐다. 해커들은 맨 먼저 일반에 공개된 정보들을 이용해 초기 정보를 수집한 다음, 각각을 겨냥한 스피어피싱과 악성코드 캠페인을 모은다. M&A 과정에서 진행되는 IT실사인 듀 딜리전스에서 많은 기업이 사이버보안을 무시하기 때문에 종종 사이버공격을 놓친다고 이 보고서는 전했다. 디지털 섀도우의 전략 담당 부사장인 릭 홀랜드는 “최상위 포식자는 바로 공격자”라고 지적했다. 일단 어떤 회사를 해킹하는 데 성공하면, 이 공격자는 다른 공격자가 지적 자산, 개인정보, 기타 데이터를 훔치는 동안 금융 시장 조작에 도움이 될만한 정보를 찾을 것이다. 홀랜드는 "지적 재산을 도둑맞더라도 누군가 그것으로 부당한 이익을 창출하는지를 확인하는 것은 더 어렵다"고 말했다. 도난당한 정보를 외국 정부나 경쟁사가 사용할 수 있으며 문제를 해결하는 데 몇 년이 걸릴 수 있기 때문이다. 홀랜드는 기업이 자신을 보호하려면 사이버보안 실사를 해야 한다고 강조했다. 또 기업은 자신들이 공격자의 표적이 됐음을 확인하는데 시간을 지체해서는 안 된다. 그는 "특히 법조계, 은행이라면, M&A와 관련돼 있다면 누구든 표적이 될 것이다. 매우 가치 있는 지적 재산을 가진 기업도 분명 표적이 될 것이다”고 말했다. 2015년 말 FBI가 투자자문회사에 경고한 바 있는데, 이들이 기업과 증권사기에 관한 중요한 정보를 얻기 위해 해커들에게 돈을 주고 간부 100명 이상의 이메일 계정에 접근하도록 했기 때문이다. 또 다른 그룹은 간부들이 묵었던 호텔을 공격했다. 이들은 호텔 네트워크에 침투했으며 해당 표적에 대한 매우 정확한 정보를 사용하고 있었다. 2015년 글로벌 인수합병 규모는 미화 4조 달러로 기록...

CSO 표적 스피어피싱 변호사 악성코드 보고서 블로그 로펌 공격 해커 CISO 합병 소셜 미디어 해킹 M&A 인수 디지털 섀도우

2016.03.31

디지털 섀도우(Digital Shadows)의 최근 보고서에 따르면, M&A를 진행중인 회사, 변호사, 금융 자문, 기타 관련 기업 모두가 사이버공격의 대상이 되는 것으로 파악됐다. 해커들은 맨 먼저 일반에 공개된 정보들을 이용해 초기 정보를 수집한 다음, 각각을 겨냥한 스피어피싱과 악성코드 캠페인을 모은다. M&A 과정에서 진행되는 IT실사인 듀 딜리전스에서 많은 기업이 사이버보안을 무시하기 때문에 종종 사이버공격을 놓친다고 이 보고서는 전했다. 디지털 섀도우의 전략 담당 부사장인 릭 홀랜드는 “최상위 포식자는 바로 공격자”라고 지적했다. 일단 어떤 회사를 해킹하는 데 성공하면, 이 공격자는 다른 공격자가 지적 자산, 개인정보, 기타 데이터를 훔치는 동안 금융 시장 조작에 도움이 될만한 정보를 찾을 것이다. 홀랜드는 "지적 재산을 도둑맞더라도 누군가 그것으로 부당한 이익을 창출하는지를 확인하는 것은 더 어렵다"고 말했다. 도난당한 정보를 외국 정부나 경쟁사가 사용할 수 있으며 문제를 해결하는 데 몇 년이 걸릴 수 있기 때문이다. 홀랜드는 기업이 자신을 보호하려면 사이버보안 실사를 해야 한다고 강조했다. 또 기업은 자신들이 공격자의 표적이 됐음을 확인하는데 시간을 지체해서는 안 된다. 그는 "특히 법조계, 은행이라면, M&A와 관련돼 있다면 누구든 표적이 될 것이다. 매우 가치 있는 지적 재산을 가진 기업도 분명 표적이 될 것이다”고 말했다. 2015년 말 FBI가 투자자문회사에 경고한 바 있는데, 이들이 기업과 증권사기에 관한 중요한 정보를 얻기 위해 해커들에게 돈을 주고 간부 100명 이상의 이메일 계정에 접근하도록 했기 때문이다. 또 다른 그룹은 간부들이 묵었던 호텔을 공격했다. 이들은 호텔 네트워크에 침투했으며 해당 표적에 대한 매우 정확한 정보를 사용하고 있었다. 2015년 글로벌 인수합병 규모는 미화 4조 달러로 기록...

2016.03.31

美英 기업들, 스피어피싱 공격 후 대응책 마련에 평균 32만 달러 썼다

지난 12개월 동안 평균 1건의 스피어피싱 을 막아내는데 기업들이 미화 31만 9,327달러를 썼으며, 그런데도 공격의 28%를 막아내지 못한 것으로 파악됐다. 이미지 출처 : Thinkstock/CSO 메시징 보안 업체 클라우드마크(Cloudmark)와 IT 조사 기업 밴슨본(Vanson Bourne)이 IT전문가들과 스피어피싱 공격 경험자들을 대상으로 조사한 결과, 스피어피싱 공격이 기업이 보안에 영향을 끼칠 뿐 아니라 금전적인 손실까지도 야기하는 것으로 나타났다. "스피어피싱 은 오늘날 기업이 직면하고 있는 가장 큰 위협 중 하나로 떠오르고 있다. 개인과 조직에 대한 많은 정보를 온라인에서 구입할 수 있으며, 사이버범죄자들이 쉽게 귀중한 개인정보나 재무정보에 접근하기 위해 표적 공격을 만들 수 있다"고 클라우드마크의 CEO 조지 리델은 말했다. 밴슨본은 미국과 영국에서 스피어피싱의 공격을 받아본 적 있는 기업들 가운데 임직원 수 1,000명 이상인 기업의 IT의사결정권자 300명을 대상으로 조사했다. 밴슨본은 이들 기업이 어떻게 스피어피싱에 대해 어떤 대책을 가지고 있는지에 대해서도 파악했다. 다음은 이 조사에서 발견한 결과다. * 응답자의 약 70%는 자신들의 조직이 주로 안티스팸 및 안티 바이러스 소프트웨어뿐만 아니라 직원 교육에도 초점을 맞추고 지난 12개월 동안 평균 31만 9,327달러를 들여 스피어피싱을 막기 위한 구체적인 조치를 취했다고 밝혔다. 그러나 84%는 스피어피싱 공격이 자사 보안 솔루션에 침투한 적 있다고 답했으며, 평균적으로 응답자들은 28%의 공격을 막아내지 못했다고 말했다. * 스피어피싱 공격을 경험한 기업의 80% 이상은 자사에 부정적인 영향을 끼쳤다고 답했다. 가장 큰 영향은 직원의 생산성 저하(41%), 금전적 손실(32%), 기업 평판 실추(29%), 브랜드 명성 손상(27%), 고객의 상실(25%), 지적 재산권 피해(25%) 등이 지목됐다. 또 15%는 스피...

CSO 스피어피싱 밴슨본 메시징 보안 대응 공격 CISO 비용 조사 스피어 피싱 클라우드마크

2016.01.14

지난 12개월 동안 평균 1건의 스피어피싱 을 막아내는데 기업들이 미화 31만 9,327달러를 썼으며, 그런데도 공격의 28%를 막아내지 못한 것으로 파악됐다. 이미지 출처 : Thinkstock/CSO 메시징 보안 업체 클라우드마크(Cloudmark)와 IT 조사 기업 밴슨본(Vanson Bourne)이 IT전문가들과 스피어피싱 공격 경험자들을 대상으로 조사한 결과, 스피어피싱 공격이 기업이 보안에 영향을 끼칠 뿐 아니라 금전적인 손실까지도 야기하는 것으로 나타났다. "스피어피싱 은 오늘날 기업이 직면하고 있는 가장 큰 위협 중 하나로 떠오르고 있다. 개인과 조직에 대한 많은 정보를 온라인에서 구입할 수 있으며, 사이버범죄자들이 쉽게 귀중한 개인정보나 재무정보에 접근하기 위해 표적 공격을 만들 수 있다"고 클라우드마크의 CEO 조지 리델은 말했다. 밴슨본은 미국과 영국에서 스피어피싱의 공격을 받아본 적 있는 기업들 가운데 임직원 수 1,000명 이상인 기업의 IT의사결정권자 300명을 대상으로 조사했다. 밴슨본은 이들 기업이 어떻게 스피어피싱에 대해 어떤 대책을 가지고 있는지에 대해서도 파악했다. 다음은 이 조사에서 발견한 결과다. * 응답자의 약 70%는 자신들의 조직이 주로 안티스팸 및 안티 바이러스 소프트웨어뿐만 아니라 직원 교육에도 초점을 맞추고 지난 12개월 동안 평균 31만 9,327달러를 들여 스피어피싱을 막기 위한 구체적인 조치를 취했다고 밝혔다. 그러나 84%는 스피어피싱 공격이 자사 보안 솔루션에 침투한 적 있다고 답했으며, 평균적으로 응답자들은 28%의 공격을 막아내지 못했다고 말했다. * 스피어피싱 공격을 경험한 기업의 80% 이상은 자사에 부정적인 영향을 끼쳤다고 답했다. 가장 큰 영향은 직원의 생산성 저하(41%), 금전적 손실(32%), 기업 평판 실추(29%), 브랜드 명성 손상(27%), 고객의 상실(25%), 지적 재산권 피해(25%) 등이 지목됐다. 또 15%는 스피...

2016.01.14

칼럼 | CISO가 피해야 할 5가지 죄악

2016년을 맞이하면서 사이버 분야의 미래 추세와 변화를 예상하고 다음의 큰 위협은 무엇인지에 대한 생각을 정리해보고 싶다는 생각도 들지만, 그보다는 2015년을 더 심층적으로 되돌아보면서 사이버 보안 임원으로서 우리가 무엇을 통제하고 어떤 영향력을 가질 수 있는 지에 대해 초점을 맞춰보기로 결심했다. 결국 그것이 조직에게 더 직접적으로, 더 큰 영향을 미치는 요소이기 때문이다. "5가지 죄악"이라는 표현이 과장되게 들릴 지도 모르겠지만, 기업 조직이 똑같은 실수를 바로잡지 않고 되풀이한다는 사실을 감안하면, 새해에는 지난해보다 나아지기를 기원하는 이 시점에 꽤 적합한 표현이라고 생각한다. 완벽을 추구하는 것 사이버 보안에서 한 가지 불변의 사실은 공격자가 방어자에 비해 뚜렷한 이점을 갖는다는 점이다. 네트워크 방어자는 네트워크에 대한 무단 접근 권한을 획득하기 위해 취약점을 찾는 자동화, 집중화된 공격에 상시 대비하기 위해 노력한다. "공격수는 한 번만 성공하면 되지만 수비수는 항상 성공해야 한다"는 격언은 사이버 보안 분야에도 잘 들어맞는다. 이것이 지금 우리가 직면한 현실이다. 아무리 강력하고 계층화된 보안 네트워크라도 침투 당하는 것은 시간 문제라는 사실이 수많은 사례를 통해 드러났듯이, 네트워크를 100% 침투 불가능하게 만들고자 애쓰는 것은 헛된 노력이다. 조직은 모든 공격을 막아내려 노력하는 대신, 위험 관리로 초점을 옮김으로써 당면한 사이버 위협 프로파일을 파악해 전략적 사이버 보안 태세를 지원할 수 있다. 위협의 식별, 분석, 우선순위화를 통해 물적, 금전적, 인적 자원을 적절히 할당할 수 있고, 그 결과 침해가 발생했을 때 탄력성(resiliency)과 회복 능력(recovery capabilities)이 향상된다. 사이버 보험(cyberinsurance)을 보안과 동일시하는 것 보험은 만일의 사태가 발생할 때 조직에게 보상을 제공하는 형태의 보호책이다. 2015년에는 특히 ...

보안 해킹 피싱 사이버 보안 스피어피싱 사이버 보험

2016.01.08

2016년을 맞이하면서 사이버 분야의 미래 추세와 변화를 예상하고 다음의 큰 위협은 무엇인지에 대한 생각을 정리해보고 싶다는 생각도 들지만, 그보다는 2015년을 더 심층적으로 되돌아보면서 사이버 보안 임원으로서 우리가 무엇을 통제하고 어떤 영향력을 가질 수 있는 지에 대해 초점을 맞춰보기로 결심했다. 결국 그것이 조직에게 더 직접적으로, 더 큰 영향을 미치는 요소이기 때문이다. "5가지 죄악"이라는 표현이 과장되게 들릴 지도 모르겠지만, 기업 조직이 똑같은 실수를 바로잡지 않고 되풀이한다는 사실을 감안하면, 새해에는 지난해보다 나아지기를 기원하는 이 시점에 꽤 적합한 표현이라고 생각한다. 완벽을 추구하는 것 사이버 보안에서 한 가지 불변의 사실은 공격자가 방어자에 비해 뚜렷한 이점을 갖는다는 점이다. 네트워크 방어자는 네트워크에 대한 무단 접근 권한을 획득하기 위해 취약점을 찾는 자동화, 집중화된 공격에 상시 대비하기 위해 노력한다. "공격수는 한 번만 성공하면 되지만 수비수는 항상 성공해야 한다"는 격언은 사이버 보안 분야에도 잘 들어맞는다. 이것이 지금 우리가 직면한 현실이다. 아무리 강력하고 계층화된 보안 네트워크라도 침투 당하는 것은 시간 문제라는 사실이 수많은 사례를 통해 드러났듯이, 네트워크를 100% 침투 불가능하게 만들고자 애쓰는 것은 헛된 노력이다. 조직은 모든 공격을 막아내려 노력하는 대신, 위험 관리로 초점을 옮김으로써 당면한 사이버 위협 프로파일을 파악해 전략적 사이버 보안 태세를 지원할 수 있다. 위협의 식별, 분석, 우선순위화를 통해 물적, 금전적, 인적 자원을 적절히 할당할 수 있고, 그 결과 침해가 발생했을 때 탄력성(resiliency)과 회복 능력(recovery capabilities)이 향상된다. 사이버 보험(cyberinsurance)을 보안과 동일시하는 것 보험은 만일의 사태가 발생할 때 조직에게 보상을 제공하는 형태의 보호책이다. 2015년에는 특히 ...

2016.01.08

애슐리 매디슨 사건에 대처하는 보안 관리자의 자세

애슐리 매디슨 데이터 유출 사건은 사이버범죄자들에게 8월의 크리스마스 선물이 됐다. 역으로 보안 관리자들에게는 자사가 표적이 되는 크리스마스 악몽이 될 수 있다. 그래서 일부 사기 사례들은 유심히 지켜봐야 한다. 우선 애슐리 매디슨 공격과 연관된 스팸의 양은 현저히 증가했다. 트랜드마이크로에 따르면, 대다수 최근 애슐리 매디슨과 연관된 피싱 사기들은 애슐리 매디슨 고객 명단(Ashley Madison Client List)이라는 링크를 제공한다. 하지만 명단 대신 사용자의 컴퓨터를 감염시켜 뱅킹 악성코드를 설치하거나 사용자의 파일들을 암호화시키고 1 비트코인 또는 약 235달러를 지불하라고 협박한다. 미국 텍사스 어빙 소재의 트랜드마이크로 사이버보안 책임자 톰 켈러만은 "기업들은 급증하는 범죄를 막기 위해서는 이메일 게이트웨이에서 애슐리 매디슨과 연관된 모든 이메일을 막고, 들어오는 모든 이메일에 URL 필터링을 사용해야 한다"고 말했다. 미국 소재의 배로니스 시스템(Varonis Systems) 마케팅 개발 부문 부사장 데이비드 깁슨은 "애슐리 매디슨 사태는 거부할 수 없는 좋은 피싱 미끼를 제공한다"며, "사람들이 애슐리 매디슨 피해자들에 대한 내용이라는 링크의 유혹을 겪게 되는 것은 피할 수 없는 결과다"고 전했다. 깁슨은 "기업들은 사용자 계정과 워크스테이션, 그리고 민감한 데이터 스토어를 보호하기 위한 조치를 취해야 한다"고 말했다. 최근 노우비포(KnowBe4)는 모의 애슐리 매디슨 피싱 이메일을 보냈는데, 4.2% 평균 클릭율을 보였다. 노우비포 CEO 스투 쇼워만은 "직원들에게 기업 이메일 주소가 회사의 자산임을 가르칠 필요가 있다. 그리고 사적인 용도로 사용해서는 안된다는 걸 알려야 한다"고 충고했다. 애슐리 매디슨 해킹은 단지 잠재적인 사용자 이메일 주소가 노출된 것이 아니다. 사이버범죄자들은 다른 데이터들과 ...

보안 해킹 Security 스팸 스피어피싱 트랜드마이크로 애슐리 매디슨 Ashley Madison spearphishing

2015.09.09

애슐리 매디슨 데이터 유출 사건은 사이버범죄자들에게 8월의 크리스마스 선물이 됐다. 역으로 보안 관리자들에게는 자사가 표적이 되는 크리스마스 악몽이 될 수 있다. 그래서 일부 사기 사례들은 유심히 지켜봐야 한다. 우선 애슐리 매디슨 공격과 연관된 스팸의 양은 현저히 증가했다. 트랜드마이크로에 따르면, 대다수 최근 애슐리 매디슨과 연관된 피싱 사기들은 애슐리 매디슨 고객 명단(Ashley Madison Client List)이라는 링크를 제공한다. 하지만 명단 대신 사용자의 컴퓨터를 감염시켜 뱅킹 악성코드를 설치하거나 사용자의 파일들을 암호화시키고 1 비트코인 또는 약 235달러를 지불하라고 협박한다. 미국 텍사스 어빙 소재의 트랜드마이크로 사이버보안 책임자 톰 켈러만은 "기업들은 급증하는 범죄를 막기 위해서는 이메일 게이트웨이에서 애슐리 매디슨과 연관된 모든 이메일을 막고, 들어오는 모든 이메일에 URL 필터링을 사용해야 한다"고 말했다. 미국 소재의 배로니스 시스템(Varonis Systems) 마케팅 개발 부문 부사장 데이비드 깁슨은 "애슐리 매디슨 사태는 거부할 수 없는 좋은 피싱 미끼를 제공한다"며, "사람들이 애슐리 매디슨 피해자들에 대한 내용이라는 링크의 유혹을 겪게 되는 것은 피할 수 없는 결과다"고 전했다. 깁슨은 "기업들은 사용자 계정과 워크스테이션, 그리고 민감한 데이터 스토어를 보호하기 위한 조치를 취해야 한다"고 말했다. 최근 노우비포(KnowBe4)는 모의 애슐리 매디슨 피싱 이메일을 보냈는데, 4.2% 평균 클릭율을 보였다. 노우비포 CEO 스투 쇼워만은 "직원들에게 기업 이메일 주소가 회사의 자산임을 가르칠 필요가 있다. 그리고 사적인 용도로 사용해서는 안된다는 걸 알려야 한다"고 충고했다. 애슐리 매디슨 해킹은 단지 잠재적인 사용자 이메일 주소가 노출된 것이 아니다. 사이버범죄자들은 다른 데이터들과 ...

2015.09.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31