Offcanvas

������ ���������������

“위협 행위자, ‘휴먼팩터’ 악용해 더 창의적으로 변하고 있다”

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

프루프포인트 위협 행위자 휴먼팩터 인적요소 소셜 엔지니어링 피싱 스미싱 내부자 위협 공급망 공격

2022.06.14

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

2022.06.14

깃허브, 2023년 말까지 모든 사용자 대상으로 ‘2FA’ 의무화한다

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

깃허브 개발자 이중인증 2단계 인증 다중인증 보안 소셜 엔지니어링 자격증명 도난 보안 침해

2022.05.06

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

2022.05.06

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

보안 부서 넘어서는 ‘내부자 위협’ 문제··· 요주의 직원은? 대응 방법은?

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

내부자 위협 내부자 유출 소셜 엔지니어링 스캠 피싱

2022.04.15

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

2022.04.15

알고도 속는 5가지, 몰라서 속는 4가지 '소셜 엔지니어링' 속임수

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

사회공학 해킹 소셜 엔지니어링 사이버 공격 랜섬웨어 악성코드 악성 소프트웨어 이메일 피싱 피싱 공격 전화 피싱

2022.03.30

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

2022.03.30

내부자 위협으로 이어진다··· CISO가 ‘허위 정보’에 민감해야 할 이유

허위 정보를 믿는 직원이 소셜 엔지니어링 및 피싱 공격에 좀더 취약한 경향을 보인다. 공격자들 또한 이를 잘 알고 있다. 오늘날 허위 정보와 사이버 공격을 연관 지어 생각하는 CISO들은 많지 않다. 실제로 밴다이어그램에는 ‘허위 정보’가 ‘CISO’ 또는 ‘사이버 위협’이라는 단어와 겹쳐 보이지 않는다. 하지만 현실은 다르다.   허위 정보는 CISO의 문제 일부 기업들이 허위 정보를 위협으로 식별하고 있다. 레코디드 퓨처(Recorded Future)의 CSO 그래빈 라이드가 직원들의 행동에 영향을 미치는 허위 정보에 대응하는 방법을 탐구하고 있다. DTEX 시스템(DTEX Systems)의 내부자 위협 대응, 보안, 비즈니스 인텔리전스 책임자 아만 마보드도 이런 시각을 갖고 있다.  그는 “의도와 결과에 상관없이 허위 정보/오정보를 공유하는 현상이 자주 발생하고 있다. 임원과 조직은 무엇이 공유될 수 있는지조차 파악하지 못하기 때문에 정보를 반박하기가 어렵고 이로 인해 대응할 필요성을 느끼지 못하고 있다”라고 말했다. 마보드는 “게다가 시급한 문제들이 많다. 기본적인 문제를 해결하기 위해 분투하고 있다. 내 직원은 누구이며, 어디에 있는가? 기업이 실제로 어떻게 운영되고 있는가? (지역, 부서별 등) 비즈니스가 얼마나 활발히 진행되고 있는가? 이 외에도 조직의 전반적인 사이버 보안 태도에 영향을 미치는 기업들에 대한 미묘하고 상세한 질문이 있다”라고 덧붙였다. 리댁티드(Redacted)의 위협 정보 이사 아담 플래틀리는 조직 외부의 허위 정보 캠페인을 탐구하고 있다. 특히 ‘피해자들이 잘못된 설명을 믿고 확정 편향을 유발하는 정보에 중독되는지’를 중심으로 CISO의 문제를 고려하고 있다. 플래틀리는 “피해자(직원)들이 확정 편향을 유발하는 정보에 중독되어 벗어나지 못하는 것이 CISO들에게 문제가 된다. 이로 인해 피싱 이메일, 문자 메시지 링크, 원하는 것에 맞춰 제작된 기타 미끼를 클릭할 가능성이 더 높아져 자격 증명 도...

허위 정보 소셜 엔지니어링 스캠 피싱 내부자 위협 가짜 정보

2021.11.01

허위 정보를 믿는 직원이 소셜 엔지니어링 및 피싱 공격에 좀더 취약한 경향을 보인다. 공격자들 또한 이를 잘 알고 있다. 오늘날 허위 정보와 사이버 공격을 연관 지어 생각하는 CISO들은 많지 않다. 실제로 밴다이어그램에는 ‘허위 정보’가 ‘CISO’ 또는 ‘사이버 위협’이라는 단어와 겹쳐 보이지 않는다. 하지만 현실은 다르다.   허위 정보는 CISO의 문제 일부 기업들이 허위 정보를 위협으로 식별하고 있다. 레코디드 퓨처(Recorded Future)의 CSO 그래빈 라이드가 직원들의 행동에 영향을 미치는 허위 정보에 대응하는 방법을 탐구하고 있다. DTEX 시스템(DTEX Systems)의 내부자 위협 대응, 보안, 비즈니스 인텔리전스 책임자 아만 마보드도 이런 시각을 갖고 있다.  그는 “의도와 결과에 상관없이 허위 정보/오정보를 공유하는 현상이 자주 발생하고 있다. 임원과 조직은 무엇이 공유될 수 있는지조차 파악하지 못하기 때문에 정보를 반박하기가 어렵고 이로 인해 대응할 필요성을 느끼지 못하고 있다”라고 말했다. 마보드는 “게다가 시급한 문제들이 많다. 기본적인 문제를 해결하기 위해 분투하고 있다. 내 직원은 누구이며, 어디에 있는가? 기업이 실제로 어떻게 운영되고 있는가? (지역, 부서별 등) 비즈니스가 얼마나 활발히 진행되고 있는가? 이 외에도 조직의 전반적인 사이버 보안 태도에 영향을 미치는 기업들에 대한 미묘하고 상세한 질문이 있다”라고 덧붙였다. 리댁티드(Redacted)의 위협 정보 이사 아담 플래틀리는 조직 외부의 허위 정보 캠페인을 탐구하고 있다. 특히 ‘피해자들이 잘못된 설명을 믿고 확정 편향을 유발하는 정보에 중독되는지’를 중심으로 CISO의 문제를 고려하고 있다. 플래틀리는 “피해자(직원)들이 확정 편향을 유발하는 정보에 중독되어 벗어나지 못하는 것이 CISO들에게 문제가 된다. 이로 인해 피싱 이메일, 문자 메시지 링크, 원하는 것에 맞춰 제작된 기타 미끼를 클릭할 가능성이 더 높아져 자격 증명 도...

2021.11.01

포스트 팬데믹 시대, CISO의 체크포인트 4가지

코로나19 이후를 준비해야 할 시점이다. 원격 작업자의 증가, 건강 데이터 보안, 좀더 진화한 사이버 범죄 생태계가 CISO를 기다리고 있다.  포스트 팬데믹 세상에서 CISO는 새로운 문제들에 직면한다. 많은 보안 전문가들이 재구성된 직장과 직원 건강 고려사항 뿐만이 아니라 위협 증가 등의 문제를 떠맡게 되었다고 지난주 RSA 컨퍼런스(RSA Conference)에 참석한 전문가 연사들이 밝혔다. 시스코 시큐어(Cisco Secure)의 자문 CISO이자 전 오하이오 주립대학교 CISO 헬렌 패튼은 “코로나19가 처음 닥쳤을 때, 우리는 비상시국에 임하는 마음가짐을 가졌다. 우리는 사생결단 모드로 진입했다. 우리는 오랫동안 이 속도로 달려왔다. 스트레스와 탈진감을 느끼고 있다”라고 말했다.   직업-생활 균형에 대한 집중 패튼은 이어서 “직원들은 18개월 이상 100%로 가동했다. 이제 다른 계획이 필요하다. 즉 우리가 지치지 않도록 팀 계획을 세워야 한다”라고 말했다.  많은 조직들이 팬데믹 중 사기를 높이기 위해 특전과 인센티브를 제공함으로써 보안팀의 스트레스트를 완화하기 위해 노력했다. 마켈(Markel)의 CISO 겸 CPO 패티 타이터스는 “아이들이 있는 집에 아동용 선물이 든 상자를 발송하는 크레이트조이(Cratejoy)라는 서비스를 이용했다. 우리는 사람들과 지속적으로 소통하는 방법에 대한 기존의 상식을 깨뜨렸으며, 더 큰 유대감이 형성되었다고 믿는다”라고 말했다. 노스웨스턴 뮤추얼(Northwestern Mutual)의 CISO 로라 디너는 보안 근로자들이 극한까지 몰렸지만 위기 중 조성된 공동체의식이 위로가 된다는 사실을 발견했다는 점에 동의했다. 그녀는 “모두가 함께 모이는 모습이 보기 좋았다”라고 말했다. 직원들의 업무 유연성 향상 많은 직원들이 사무실로 복귀하고 있지만 이 공간은 이전과 달라졌다. 마이크로소프트의 부사장 겸 CISO 브렛 아스놀트는 “우리는 자택에 대기했고 이런 것들을 꽤 빠르게 진...

코로나19 팬데믹 워라밸 소셜 엔지니어링 스캠 원격근무

2021.05.27

코로나19 이후를 준비해야 할 시점이다. 원격 작업자의 증가, 건강 데이터 보안, 좀더 진화한 사이버 범죄 생태계가 CISO를 기다리고 있다.  포스트 팬데믹 세상에서 CISO는 새로운 문제들에 직면한다. 많은 보안 전문가들이 재구성된 직장과 직원 건강 고려사항 뿐만이 아니라 위협 증가 등의 문제를 떠맡게 되었다고 지난주 RSA 컨퍼런스(RSA Conference)에 참석한 전문가 연사들이 밝혔다. 시스코 시큐어(Cisco Secure)의 자문 CISO이자 전 오하이오 주립대학교 CISO 헬렌 패튼은 “코로나19가 처음 닥쳤을 때, 우리는 비상시국에 임하는 마음가짐을 가졌다. 우리는 사생결단 모드로 진입했다. 우리는 오랫동안 이 속도로 달려왔다. 스트레스와 탈진감을 느끼고 있다”라고 말했다.   직업-생활 균형에 대한 집중 패튼은 이어서 “직원들은 18개월 이상 100%로 가동했다. 이제 다른 계획이 필요하다. 즉 우리가 지치지 않도록 팀 계획을 세워야 한다”라고 말했다.  많은 조직들이 팬데믹 중 사기를 높이기 위해 특전과 인센티브를 제공함으로써 보안팀의 스트레스트를 완화하기 위해 노력했다. 마켈(Markel)의 CISO 겸 CPO 패티 타이터스는 “아이들이 있는 집에 아동용 선물이 든 상자를 발송하는 크레이트조이(Cratejoy)라는 서비스를 이용했다. 우리는 사람들과 지속적으로 소통하는 방법에 대한 기존의 상식을 깨뜨렸으며, 더 큰 유대감이 형성되었다고 믿는다”라고 말했다. 노스웨스턴 뮤추얼(Northwestern Mutual)의 CISO 로라 디너는 보안 근로자들이 극한까지 몰렸지만 위기 중 조성된 공동체의식이 위로가 된다는 사실을 발견했다는 점에 동의했다. 그녀는 “모두가 함께 모이는 모습이 보기 좋았다”라고 말했다. 직원들의 업무 유연성 향상 많은 직원들이 사무실로 복귀하고 있지만 이 공간은 이전과 달라졌다. 마이크로소프트의 부사장 겸 CISO 브렛 아스놀트는 “우리는 자택에 대기했고 이런 것들을 꽤 빠르게 진...

2021.05.27

'모르면 낚인다'··· 2021년 새로운 소셜 엔지니어링 공격 7가지

그야말로 소셜 엔지니어링(Social engineering)의 ‘전성기’다. 특히나 팬데믹으로 인한 공황, 경기침체에 따른 불안감, 건강 및 안전에 관한 우려 등은 공격자들로 하여금 이러한 두려움을 더 쉽게 악용하도록 하고 있다.  소셜 엔지니어링은 ‘컴퓨터 시스템’이 아닌 ‘사용자’를 공격해 탈취로 이어지는 행동을 유도하거나 정보를 빼내려 시도한다. 이는 거짓말만큼이나 오래됐다. 컴퓨팅 시대에 맞춰 ‘거짓말’에 새로운 이름이 붙은 것이라고 비유할 수 있다. 소셜 엔지니어링 공격이 변화하는 양상을 고려한다면 완벽한 비유다.    보안인식 교육업체 노우비포(knowBe4)의 최고 에반젤리스트 겸 전략 책임자 페리 카펜터는 “대게 새로운 패키지로 포장됐을 뿐 동일한 속임수다”라고 말했다. 보안 전문가들의 말처럼 ‘포장’이 문제의 핵심이다. 익숙한 공격이라도 익숙하지 않은 위장과 포장으로 방어망을 빠져나갈 수 있다. 여기서는 2021년에 부상하고 있는 소셜 엔지니어링 공격을 살펴본다.  1. 악성 QR코드 지난해 QR코드와 관련된 피싱 사기가 등장했다. 기계로 읽을 수 있는 사각형 모양의 흑백 매트릭스 코드인 ‘QR코드’는 코로나19 사태 동안 기업이 고객과 접촉하고 서비스를 전달하는 데 활용되면서 많은 인기를 끌었다.  예를 들면 많은 레스토랑이 종이에 인쇄한 메뉴를 버리고, 그 대신 고객이 스마트폰으로 QR코드를 스캔해 메뉴를 확인하도록 만들었다. 또 올해 초 걸스카우트에서는 비대면 방식의 쿠키 주문 및 배달에 활용할 수 있는 QR코드를 게시하기도 했다.  하지만 QR코드를 스캔했을 때 이동하는 많은 웹사이트를 서드파티 벤더가 운영한다는 점에서 QR코드는 위험하다. 악성 QR코드를 스캔하면 스마트폰을 악성 웹사이트에 연결시킬 수 있기 때문이다.  마치 악성 링크를 클릭하는 것과 마찬가지다. 내용물은 같지만 포장지가 바뀐 것이다. 카펜터는 “사람들이 QR코드와 웹사이트는 문제없다고 생각할...

소셜 엔지니어링 피싱 스캠 딥페이크 팬데믹 원격근무 재택근무 QR코드 악성코드 알림 하이재킹 타이포스쿼팅 유사 도메인 사기

2021.04.15

그야말로 소셜 엔지니어링(Social engineering)의 ‘전성기’다. 특히나 팬데믹으로 인한 공황, 경기침체에 따른 불안감, 건강 및 안전에 관한 우려 등은 공격자들로 하여금 이러한 두려움을 더 쉽게 악용하도록 하고 있다.  소셜 엔지니어링은 ‘컴퓨터 시스템’이 아닌 ‘사용자’를 공격해 탈취로 이어지는 행동을 유도하거나 정보를 빼내려 시도한다. 이는 거짓말만큼이나 오래됐다. 컴퓨팅 시대에 맞춰 ‘거짓말’에 새로운 이름이 붙은 것이라고 비유할 수 있다. 소셜 엔지니어링 공격이 변화하는 양상을 고려한다면 완벽한 비유다.    보안인식 교육업체 노우비포(knowBe4)의 최고 에반젤리스트 겸 전략 책임자 페리 카펜터는 “대게 새로운 패키지로 포장됐을 뿐 동일한 속임수다”라고 말했다. 보안 전문가들의 말처럼 ‘포장’이 문제의 핵심이다. 익숙한 공격이라도 익숙하지 않은 위장과 포장으로 방어망을 빠져나갈 수 있다. 여기서는 2021년에 부상하고 있는 소셜 엔지니어링 공격을 살펴본다.  1. 악성 QR코드 지난해 QR코드와 관련된 피싱 사기가 등장했다. 기계로 읽을 수 있는 사각형 모양의 흑백 매트릭스 코드인 ‘QR코드’는 코로나19 사태 동안 기업이 고객과 접촉하고 서비스를 전달하는 데 활용되면서 많은 인기를 끌었다.  예를 들면 많은 레스토랑이 종이에 인쇄한 메뉴를 버리고, 그 대신 고객이 스마트폰으로 QR코드를 스캔해 메뉴를 확인하도록 만들었다. 또 올해 초 걸스카우트에서는 비대면 방식의 쿠키 주문 및 배달에 활용할 수 있는 QR코드를 게시하기도 했다.  하지만 QR코드를 스캔했을 때 이동하는 많은 웹사이트를 서드파티 벤더가 운영한다는 점에서 QR코드는 위험하다. 악성 QR코드를 스캔하면 스마트폰을 악성 웹사이트에 연결시킬 수 있기 때문이다.  마치 악성 링크를 클릭하는 것과 마찬가지다. 내용물은 같지만 포장지가 바뀐 것이다. 카펜터는 “사람들이 QR코드와 웹사이트는 문제없다고 생각할...

2021.04.15

구글 크롬, ‘피싱’ 막고자 ‘도메인 이름’만 보여주는 기능 실험 중

구글이 오는 10월 정식 공개할 크롬 86(Chrome 86) 버전에서 사이트 URL을 전부 보여주지 않고 도메인 이름만 표시하는 실험을 진행한다. 피싱 공격 방지가 목적이다.   지난 12일(현지 시각) 크롬 보안팀의 에밀리 스타크, 에릭 밀, 슈웨타 판디트라오는 공식 블로그를 통해 “데스크톱 플랫폼 주소창에 URL을 표시하는 방법을 실험할 것”이라며, “목표는 다음과 같다. 이렇게 URL을 보여주는 방식이 효과적인지 실제 사용을 통해 확인하고자 하는 것이다. 특히, 사용자가 이를 통해 악의적인 사이트를 알아챌 수 있는지에 관해서다. 피싱 및 소셜 엔지니어링 공격으로부터 사용자를 보호하는 것 또한 목표다”라고 말했다.    크롬 보안팀의 ‘실험’은 10월 6일 출시 예정인 크롬 86 버전에서 진행된다. 참가자는 무작위로 선정될 계획이다. 스타크, 밀, 판디트라오는 이 파일럿에 참여하게 될 크롬 사용자 수 또는 브라우저 비율은 구체적으로 밝히지 않았다. 단, 기업용으로 등록된 기기는 이번 실험에서 제외된다고 그들은 덧붙였다.  크롬 주소창에 ‘전체 URL’을 표시하는 대신, 실험에서는 ‘도메인 이름’만 보이도록 URL이 압축된다. 구글은 이를 ‘가장 중요한 부분’이라고 설명했다. 예를 들어 컴퓨터월드(Computerworld) 기사의 전체 URL이 ‘https://www.computerworld.com/article/3571442/microsoft-sets-new-support-deadlines-for-ie11-and-edge.html’이라면, 실험에서는 ‘computerworld.com’로만 표시되는 것이다.    세 명의 구글 엔지니어는 이를 통해 사용자가 올바른 사이트에 접속하는지 스스로 쉽게 확인할 수 있다고 주장했다. 즉 사용자가 악의적인 사이트에 접속해 있는지 아닌지를 바로 파악할 수 있다는 게 그들의 설명이다.  이어서 스타크, 밀, 판디트라오는 “공격자가 URL을 조작할 ...

구글 크롬 브라우저 피싱 소셜 엔지니어링 스캠 URL 주소창 웹 주소 크롬 86

2020.08.21

구글이 오는 10월 정식 공개할 크롬 86(Chrome 86) 버전에서 사이트 URL을 전부 보여주지 않고 도메인 이름만 표시하는 실험을 진행한다. 피싱 공격 방지가 목적이다.   지난 12일(현지 시각) 크롬 보안팀의 에밀리 스타크, 에릭 밀, 슈웨타 판디트라오는 공식 블로그를 통해 “데스크톱 플랫폼 주소창에 URL을 표시하는 방법을 실험할 것”이라며, “목표는 다음과 같다. 이렇게 URL을 보여주는 방식이 효과적인지 실제 사용을 통해 확인하고자 하는 것이다. 특히, 사용자가 이를 통해 악의적인 사이트를 알아챌 수 있는지에 관해서다. 피싱 및 소셜 엔지니어링 공격으로부터 사용자를 보호하는 것 또한 목표다”라고 말했다.    크롬 보안팀의 ‘실험’은 10월 6일 출시 예정인 크롬 86 버전에서 진행된다. 참가자는 무작위로 선정될 계획이다. 스타크, 밀, 판디트라오는 이 파일럿에 참여하게 될 크롬 사용자 수 또는 브라우저 비율은 구체적으로 밝히지 않았다. 단, 기업용으로 등록된 기기는 이번 실험에서 제외된다고 그들은 덧붙였다.  크롬 주소창에 ‘전체 URL’을 표시하는 대신, 실험에서는 ‘도메인 이름’만 보이도록 URL이 압축된다. 구글은 이를 ‘가장 중요한 부분’이라고 설명했다. 예를 들어 컴퓨터월드(Computerworld) 기사의 전체 URL이 ‘https://www.computerworld.com/article/3571442/microsoft-sets-new-support-deadlines-for-ie11-and-edge.html’이라면, 실험에서는 ‘computerworld.com’로만 표시되는 것이다.    세 명의 구글 엔지니어는 이를 통해 사용자가 올바른 사이트에 접속하는지 스스로 쉽게 확인할 수 있다고 주장했다. 즉 사용자가 악의적인 사이트에 접속해 있는지 아닌지를 바로 파악할 수 있다는 게 그들의 설명이다.  이어서 스타크, 밀, 판디트라오는 “공격자가 URL을 조작할 ...

2020.08.21

칼럼 | 크롬북이 기업 시장에서 대세가 될까? 가능성 있는 5가지 이유

지난달 기업용 크롬북이 등장했다. 델은 이전 ‘기업용’ 크롬북보다 RAM과 저장 공간을 2배로 늘린 새로운 기기를 출시했다. 이제 하드웨어 성능 측면에서 윈도우 기기들과 경쟁하는 크롬북이 생겨났다. 이제 크롬북의 유일한 장벽은 좋지 못한 평판이다. 기업 IT 및 보안 책임자들은 다양한 문제에 직면하고 있다. 이 문제들이 용인할 수 없을 정도로 커지면서 크롬북을 거부하지 못하게 될 수도 있다.    델의 소식은 고무적이다 구글과 델은 2가지 새로운 기업용 크롬북을 위해 손잡았다. 델의 새로운 크롬북 중 하나는 14인치 래티튜드5400이며 699달러부터 시작한다. 나머지 하나는 13인치 래티튜드5300 2-in-1이며 819달러부터 시작한다. 인텔의 8세대 코어 i7 프로세서, 최대 32GB RAM, 최대 1TB SSD 저장 공간을 선택할 수 있으며 LTE도 추가할 수 있다. 둘 다 크롬 엔터프라이즈가 미리 탑재되어 있다. 새로운 하드웨어 발표 시 항상 가능한 최고의 사양과 함께 가능한 최저 가격을 강조한다. 사실, 풀옵션 래티튜드5400은 2,100달러에 가깝다. 바로 필자가 원하는 모델이다. 발표사항에 대한 보도로 인해서 진실이 더욱 가려졌다. 그렇다. 이 시스템들은 이전 기업용 크롬북보다 RAM과 저장 공간을 2배로 늘리는 옵션이 있다. 하지만 이런 고급형 크롬북은 곧 모든 사람에게 보급될 것이다. 필자는 1년 안에 여러 기업이 32MB RAM과 최소 1테라바이트의 저장 공간을 갖춘 크롬북을 출시하리라 생각한다. 델의 발표가 주된 기사가 되어서는 안 된다. 구글과 델이 기업 내에서 크롬북을 관리하기 위해 개발한 클라우드 기반의 관리 툴을 발표했다는 것이 중요하다. 크롬북은 VM웨어 워크스페이스 원과 유사한 툴을 통해 이전보다 더 쉽게 관리할 수 있게 될 것이다. 즉, 구글은 기업들이 더욱 중앙 집중적으로 관리하고 배치할 수 있도록 노력하고 있다. 그리고 이를 통해 모든 것이 바뀔 것이다. 한편, 새로운 델 노트북들은 구글의...

구글 리눅스 서피스 맥북 랩톱 소셜 엔지니어링 윈도우 PC 크롬북 안드로이드 TCO 마이크로소프트 노트북 애플 파워워시

2019.09.04

지난달 기업용 크롬북이 등장했다. 델은 이전 ‘기업용’ 크롬북보다 RAM과 저장 공간을 2배로 늘린 새로운 기기를 출시했다. 이제 하드웨어 성능 측면에서 윈도우 기기들과 경쟁하는 크롬북이 생겨났다. 이제 크롬북의 유일한 장벽은 좋지 못한 평판이다. 기업 IT 및 보안 책임자들은 다양한 문제에 직면하고 있다. 이 문제들이 용인할 수 없을 정도로 커지면서 크롬북을 거부하지 못하게 될 수도 있다.    델의 소식은 고무적이다 구글과 델은 2가지 새로운 기업용 크롬북을 위해 손잡았다. 델의 새로운 크롬북 중 하나는 14인치 래티튜드5400이며 699달러부터 시작한다. 나머지 하나는 13인치 래티튜드5300 2-in-1이며 819달러부터 시작한다. 인텔의 8세대 코어 i7 프로세서, 최대 32GB RAM, 최대 1TB SSD 저장 공간을 선택할 수 있으며 LTE도 추가할 수 있다. 둘 다 크롬 엔터프라이즈가 미리 탑재되어 있다. 새로운 하드웨어 발표 시 항상 가능한 최고의 사양과 함께 가능한 최저 가격을 강조한다. 사실, 풀옵션 래티튜드5400은 2,100달러에 가깝다. 바로 필자가 원하는 모델이다. 발표사항에 대한 보도로 인해서 진실이 더욱 가려졌다. 그렇다. 이 시스템들은 이전 기업용 크롬북보다 RAM과 저장 공간을 2배로 늘리는 옵션이 있다. 하지만 이런 고급형 크롬북은 곧 모든 사람에게 보급될 것이다. 필자는 1년 안에 여러 기업이 32MB RAM과 최소 1테라바이트의 저장 공간을 갖춘 크롬북을 출시하리라 생각한다. 델의 발표가 주된 기사가 되어서는 안 된다. 구글과 델이 기업 내에서 크롬북을 관리하기 위해 개발한 클라우드 기반의 관리 툴을 발표했다는 것이 중요하다. 크롬북은 VM웨어 워크스페이스 원과 유사한 툴을 통해 이전보다 더 쉽게 관리할 수 있게 될 것이다. 즉, 구글은 기업들이 더욱 중앙 집중적으로 관리하고 배치할 수 있도록 노력하고 있다. 그리고 이를 통해 모든 것이 바뀔 것이다. 한편, 새로운 델 노트북들은 구글의...

2019.09.04

편의냐, 보안이냐··· CIO가 균형을 유지할 방법은?

현대는 편리함을 기반으로 한 앱 시대다. 하지만 쉬운 삶에 대한 열망은 보안이 우선순위에서 밀려날 수 있음을 의미한다. 보안과 편의성, 특히 IT와 관련해 오랫동안 갈등이 있었다. 예를 들어 모든 단일 계정에 간단한 암호를 사용하는 것은 편리하지만 엄청난 보안 위험이 있다. 한 계정의 암호가 유출된 경우 다른 모든 암호가 손상되기 때문이다.   물론 이는 전문적인 맥락에서 더욱더 중요하다. 보안보다는 편의를 선택하는 직원은 중요한 회사 정보를 손상시킬 수 있다. 직원들이 종종 회사의 보안 고리에서 가장 약한 연결점이 될 수 있음을 고려하면 특히 걱정스럽다. 정보보안 업체인 쉬레드-잇(Shred-it)의 보고서에 따르면 직원의 과실은 데이터 유출의 주요 원인이다. 기업 임원 중 47%는 이것이 사실이라고 밝혔으며, 장기나 문서 분실과 같은 사례를 언급했다. 예를 들어 설문조사에 참여한 25%의 직원은 자신의 컴퓨터에 잠금 기능을 걸지 않은 채 방치해 둔다고 말했는데, 이는 믿을 수 없을 정도로 기본적인 오류가 발생할 수 있음을 시사한다 원격 작업 더 많은 직원이 집에서 일하기를 원하며, 사무실 곳곳에서 점점 더 열심히 규제를 준수하고 근로자에게 유연한 옵션을 제공한다. 2018년 설문조사에 따르면 전 세계 인구의 70%가 적어도 일주일에 한 번 원격으로 일하는 것으로 나타났다. 그러나 사무실 밖에서 일하는 직원이 늘어남에 따라 보안 위험도 증가한다. 사이버보안 프로토콜은 원격지 근로자가 제기한 새로운 과제에 부응하지 못했다. 많은 기업이 원격 근로자를 위한 정책이 충분하지 않거나 정책이 없기 때문에 막대한 보안 위험이 발생한다. 중요한 영역 중 하나는 암호다. 직원은 회사 네트워크에 원격으로 접근하고 자체 기기에 대해 분실하거나 도난당하지 않게 하려면 강력한 자격 증명이 있어야 한다. 이중 인증을 사용하면 보안이 강화되고 암호 관리자를 사용하여 길고 복잡한 암호를 기억하는 것이 좋다.   -------------------------...

CIO 쉬레드-잇 Shred-it 도난 원격 근무 BYOD 소셜 엔지니어링 계정 암호 공격 유출 피싱 편의

2019.06.12

현대는 편리함을 기반으로 한 앱 시대다. 하지만 쉬운 삶에 대한 열망은 보안이 우선순위에서 밀려날 수 있음을 의미한다. 보안과 편의성, 특히 IT와 관련해 오랫동안 갈등이 있었다. 예를 들어 모든 단일 계정에 간단한 암호를 사용하는 것은 편리하지만 엄청난 보안 위험이 있다. 한 계정의 암호가 유출된 경우 다른 모든 암호가 손상되기 때문이다.   물론 이는 전문적인 맥락에서 더욱더 중요하다. 보안보다는 편의를 선택하는 직원은 중요한 회사 정보를 손상시킬 수 있다. 직원들이 종종 회사의 보안 고리에서 가장 약한 연결점이 될 수 있음을 고려하면 특히 걱정스럽다. 정보보안 업체인 쉬레드-잇(Shred-it)의 보고서에 따르면 직원의 과실은 데이터 유출의 주요 원인이다. 기업 임원 중 47%는 이것이 사실이라고 밝혔으며, 장기나 문서 분실과 같은 사례를 언급했다. 예를 들어 설문조사에 참여한 25%의 직원은 자신의 컴퓨터에 잠금 기능을 걸지 않은 채 방치해 둔다고 말했는데, 이는 믿을 수 없을 정도로 기본적인 오류가 발생할 수 있음을 시사한다 원격 작업 더 많은 직원이 집에서 일하기를 원하며, 사무실 곳곳에서 점점 더 열심히 규제를 준수하고 근로자에게 유연한 옵션을 제공한다. 2018년 설문조사에 따르면 전 세계 인구의 70%가 적어도 일주일에 한 번 원격으로 일하는 것으로 나타났다. 그러나 사무실 밖에서 일하는 직원이 늘어남에 따라 보안 위험도 증가한다. 사이버보안 프로토콜은 원격지 근로자가 제기한 새로운 과제에 부응하지 못했다. 많은 기업이 원격 근로자를 위한 정책이 충분하지 않거나 정책이 없기 때문에 막대한 보안 위험이 발생한다. 중요한 영역 중 하나는 암호다. 직원은 회사 네트워크에 원격으로 접근하고 자체 기기에 대해 분실하거나 도난당하지 않게 하려면 강력한 자격 증명이 있어야 한다. 이중 인증을 사용하면 보안이 강화되고 암호 관리자를 사용하여 길고 복잡한 암호를 기억하는 것이 좋다.   -------------------------...

2019.06.12

윤리적 해커 마이클 코너리가 말하는 '기업 사이버보안의 현 주소'

시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.     코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다.  최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.   크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다.  “귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다.  크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다. 코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다.  피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원...

CIO 아웃룩 365 keylogger 윤리적 해커 키로거 APT10 마임캐스트 보안 교육 사이버보안 소셜 엔지니어링 해커 피싱 사기 지메일 이메일 해킹 캔디루

2019.01.28

시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.     코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다.  최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.   크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다.  “귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다.  크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다. 코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다.  피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원...

2019.01.28

이메일 보안을 위한 '12가지 베스트 프랙티스'

암호 설정부터 이메일 관리 정책까지 효과적인 이메일 보안 방안을 알아 보자. 이메일은 사이버 범죄자에게 매우 효과적인 진입점이며 피싱과 소셜 엔지니어링 공격은 일반적으로 평준화됐다. 이메일 보안에 소홀히 하는 직원이 단 명이라도 있으면 전체 기업의 안전과 보안에 문제가 될 수 있다. 이메일 해킹 시도의 희생양이 되기까지는 시간문제일뿐이지만 '베스트 프랙티스'를 참고해 무엇을 해야 할지 정확히 알고 실천하면 피해를 줄일 수 있다. 여기 이메일을 안전하게 유지하기 위한 베스트 프랙티스를 소개한다. 1. 약점을 파악하고 잠재적인 위협을 정의하라 인적 오류는 조직이 피싱, 랜섬웨어, 기타 이메일 관련 사기에 희생양이 되는 가장 큰 이유 중 하나다. 그러나 해커가 지원인 척 실수를 가장할 수 있다고 알리는 것만으로는 부족하다. 이상적으로는 이메일을 통해 해커가 배포할 수 있는 다양한 악성코드를 보여주는 문서를 만드는 것이 좋다. 라이브 문서로 작동해야 하며 새로운 해킹 기술 및 최신 해킹 기술에 대한 정보를 업데이트하고 악성코드가 감지되면 어떻게 행동해야 하는지를 제공해야 한다. 해커에 대해 가능한 한 많은 경로를 강조 표시하는 흐름을 만들고 직원부터 이사진까지 모두에게 이를 알려야 한다. 일반적으로 이메일을 열었을 때 악성 프로그램이 네트워크에 들어오면 이 때 행동해야 하는 '골든아워'가 있다. 짧은 시간 내에 실행할 계획 및 구조화된 절차가 마련되어 있는지부터 확인하라. 문서로 잘 정리돼 있으면 모든 잠재적인 위협과 행동 방법을 보여주는 훌륭한 자료가 될 것이다. 보안 경고 메시지를 받은 후 행동하는 것이 이메일 성공 사례를 만드는 한 가지 요소일 뿐이다. 조직의 이메일 보안을 최우선 과제로 삼아 수많은 위협 요소에 희생되지 않도록 하는 방법에 대한 실용적인 정보를 읽으라. 2. 적절한 암호와 암호화 툴을 사용하라 '강력한...

소셜네트워크 가상사설망 GDPR 매크로 백신 차세대 방화벽 VPN 방화벽 바이러스 소셜 엔지니어링 암호 공격 피싱 마이크로소프트 이메일 해킹 NGF

2018.09.17

암호 설정부터 이메일 관리 정책까지 효과적인 이메일 보안 방안을 알아 보자. 이메일은 사이버 범죄자에게 매우 효과적인 진입점이며 피싱과 소셜 엔지니어링 공격은 일반적으로 평준화됐다. 이메일 보안에 소홀히 하는 직원이 단 명이라도 있으면 전체 기업의 안전과 보안에 문제가 될 수 있다. 이메일 해킹 시도의 희생양이 되기까지는 시간문제일뿐이지만 '베스트 프랙티스'를 참고해 무엇을 해야 할지 정확히 알고 실천하면 피해를 줄일 수 있다. 여기 이메일을 안전하게 유지하기 위한 베스트 프랙티스를 소개한다. 1. 약점을 파악하고 잠재적인 위협을 정의하라 인적 오류는 조직이 피싱, 랜섬웨어, 기타 이메일 관련 사기에 희생양이 되는 가장 큰 이유 중 하나다. 그러나 해커가 지원인 척 실수를 가장할 수 있다고 알리는 것만으로는 부족하다. 이상적으로는 이메일을 통해 해커가 배포할 수 있는 다양한 악성코드를 보여주는 문서를 만드는 것이 좋다. 라이브 문서로 작동해야 하며 새로운 해킹 기술 및 최신 해킹 기술에 대한 정보를 업데이트하고 악성코드가 감지되면 어떻게 행동해야 하는지를 제공해야 한다. 해커에 대해 가능한 한 많은 경로를 강조 표시하는 흐름을 만들고 직원부터 이사진까지 모두에게 이를 알려야 한다. 일반적으로 이메일을 열었을 때 악성 프로그램이 네트워크에 들어오면 이 때 행동해야 하는 '골든아워'가 있다. 짧은 시간 내에 실행할 계획 및 구조화된 절차가 마련되어 있는지부터 확인하라. 문서로 잘 정리돼 있으면 모든 잠재적인 위협과 행동 방법을 보여주는 훌륭한 자료가 될 것이다. 보안 경고 메시지를 받은 후 행동하는 것이 이메일 성공 사례를 만드는 한 가지 요소일 뿐이다. 조직의 이메일 보안을 최우선 과제로 삼아 수많은 위협 요소에 희생되지 않도록 하는 방법에 대한 실용적인 정보를 읽으라. 2. 적절한 암호와 암호화 툴을 사용하라 '강력한...

2018.09.17

늘어나는 모바일 POS 결제, 단말기 해킹이 위험하다

약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다. 저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다. 포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다. 공격 유형은 일반적으로 공격자의 최종 목표에 따라 달...

CSO 포지티브 테크놀로지스 mPOS 모바일 포스 타겟 블랙햇 펌웨어 dos POS 페이팔 소셜 엔지니어링 취약점 해킹 서비스 거부 공격

2018.08.20

약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다. 저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다. 포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다. 공격 유형은 일반적으로 공격자의 최종 목표에 따라 달...

2018.08.20

'뻔하지만 잘 낚이는' 이메일 피싱 수법과 대응 방안

누구든 피싱의 피해자가 될 수 있다. 여기서 소개하는 6가지 방법은 받은 이메일이 정확한지를 확인하는 데 도움이 된다. 이메일은 해커와 사이버범죄자에게 효과 좋은 관문이다. 특히 피싱과 같은 소셜 엔지니어링 공격에 유용하다. 키프넷 랩(Keepnet Labs)의 2017년 연구에 따르면, 피싱 메일이 30%에서 48.2%로 크게 증가했다. 악성코드와 랜섬웨어 같은 보안 문제는 이메일을 통해 자주 전달되므로 실제 조직의 안전에 영향을 끼치는 것은 사용자가 잘 인지하지 못하는 위반이다. 키프넷 랩에 따르면 피싱 공격은 기본적인 인간의 자연스러운 반응을 목표로 하기 때문에 성공하는 경향이 있다. 이는 이메일이 인기 있는 브랜드 및 조직에서 보낸 것처럼 보이도록 위장되어 있기 때문이다. 하지만 무언가 잘못됐을 때 이를 파악할 방법이 있다. 다음은 피싱 이메일을 탐지하는 몇 가지 팁이다. 1. 잘못된 철자와 잘못된 문법 이메일의 구조는 종종 피싱 이메일인지 여부를 파악하는 첫 번째 방법이다. 글쓰기 스타일은 원본 발신인이 작성한 방법과 조금 다르게 나타날 수 있다. 조직과 브랜드 마케팅 담당자는 의사소통을 진지하게 생각하는 경향이 있으며 발송 전에 맞춤법 검사를 하는 경우가 많다. 따라서 이메일에 철자 오류와 문법 오류가 있다면 해당 발신자가 보낸 메일이 아닐 수 있다. 2. 이상한 URL 피싱 메일에는 로그인 세부 정보를 요구하는 사이트로 연결되는 링크가 포함될 가능성이 있다. 그러면 공격자가 계정 세부 정보를 도용할 수 있다. URL은 유효하지만 로그인과 관련이 있는 것처럼 보이기 때문에 간과되는 경우가 많고, PC에서 이메일을 확인하는 경우 실제 하이퍼링크를 볼 수 있는 링크 위로 마우스를 가져갈 수 있다. 어딘가 URL이 어색하다면 클릭하지 않는 것이 안전하다. 도메인 이름에서 발신인 주소를 확인하고 도메인 주소가 일반적으로 이전에 조직에서 받은 합법적인 이메일을 나타내는지를 확인하라. 3. 개인정보 이메일 서두...

해킹 이메일 사이버범죄 피싱 해커 소셜 엔지니어링 키프넷 랩

2018.08.09

누구든 피싱의 피해자가 될 수 있다. 여기서 소개하는 6가지 방법은 받은 이메일이 정확한지를 확인하는 데 도움이 된다. 이메일은 해커와 사이버범죄자에게 효과 좋은 관문이다. 특히 피싱과 같은 소셜 엔지니어링 공격에 유용하다. 키프넷 랩(Keepnet Labs)의 2017년 연구에 따르면, 피싱 메일이 30%에서 48.2%로 크게 증가했다. 악성코드와 랜섬웨어 같은 보안 문제는 이메일을 통해 자주 전달되므로 실제 조직의 안전에 영향을 끼치는 것은 사용자가 잘 인지하지 못하는 위반이다. 키프넷 랩에 따르면 피싱 공격은 기본적인 인간의 자연스러운 반응을 목표로 하기 때문에 성공하는 경향이 있다. 이는 이메일이 인기 있는 브랜드 및 조직에서 보낸 것처럼 보이도록 위장되어 있기 때문이다. 하지만 무언가 잘못됐을 때 이를 파악할 방법이 있다. 다음은 피싱 이메일을 탐지하는 몇 가지 팁이다. 1. 잘못된 철자와 잘못된 문법 이메일의 구조는 종종 피싱 이메일인지 여부를 파악하는 첫 번째 방법이다. 글쓰기 스타일은 원본 발신인이 작성한 방법과 조금 다르게 나타날 수 있다. 조직과 브랜드 마케팅 담당자는 의사소통을 진지하게 생각하는 경향이 있으며 발송 전에 맞춤법 검사를 하는 경우가 많다. 따라서 이메일에 철자 오류와 문법 오류가 있다면 해당 발신자가 보낸 메일이 아닐 수 있다. 2. 이상한 URL 피싱 메일에는 로그인 세부 정보를 요구하는 사이트로 연결되는 링크가 포함될 가능성이 있다. 그러면 공격자가 계정 세부 정보를 도용할 수 있다. URL은 유효하지만 로그인과 관련이 있는 것처럼 보이기 때문에 간과되는 경우가 많고, PC에서 이메일을 확인하는 경우 실제 하이퍼링크를 볼 수 있는 링크 위로 마우스를 가져갈 수 있다. 어딘가 URL이 어색하다면 클릭하지 않는 것이 안전하다. 도메인 이름에서 발신인 주소를 확인하고 도메인 주소가 일반적으로 이전에 조직에서 받은 합법적인 이메일을 나타내는지를 확인하라. 3. 개인정보 이메일 서두...

2018.08.09

알아보고 대비하자! 흔한 소셜 엔지니어링 공격

보안 사슬에서 가장 약한 고리는 바로 ‘사람’이다. 악의적인 공격의 위험을 상쇄하기 위해 조직이 가장 뛰어난 기술을 전부 보유할 수 있다. 하지만 직원을 교육하지 않거나 베스트 프랙티스를 제공하지 않는 조직은 더 위험하다. 실제로 네트워크를 손상시키는 가장 효과적인 방법은 속임수를 이용해 내부 시스템, 이메일 계정에 접근해 사람을 겨냥하는 것이다. 이 속임수를 최대한 이용하려는 공격자는 평범한 사람의 실수에 의존하기 때문에 시스템을 보호하기가 가장 어렵다. 이는 소셜 엔지니어링이라 불리는 가장 보편적인 기술이다. 소셜 엔지니어링은 거짓말과 조작이며, 가장 오래된 전술이 핵심이다. 실제로 위협 환경이 점점 복잡해지고 있지만 손쉬운 피싱 방식은 그리 많지 않다. 일반적인 소셜 엔지니어링 공격에 관해 알아보자. 1. 피싱 개인정보나 자격증명만 있으면 공격자가 많은 것을 얻을 수 있다. 공격자에게 정보를 제공하는 합법적인 모양의 웹사이트에 개인 자격증명을 입력하도록 사용자를 속일 수 있다. 일반적으로 희생자는 이베이나 페이팔 같은 실제 기업에서 온 것처럼 보이는 이메일을 받게 된다. 이 이메일은 사용자에게 로그인에 주의하라고 경고한다. 하지만 로그인할 때 로그인 정보가 엉망이 된다. 2. 스피어 피싱 피싱과 마찬가지로 스피어 피싱(spear phishing)은 은밀한 수단을 통해 자격증명에 접근하는 것을 목표로 한다. 그러나 피싱과는 목표가 다르다. 스피어 피싱 공격은 공격자가 공개적으로 사용할 수 있는 정보를 통해 매우 조심스럽게 공격 대상자를 파악하는 경향이 있다. CFO와 같은 가치가 높은 목표물이 이러한 공격의 희생양으로 악명이 높아졌으며, 때로는 수십만 달러에 달하는 돈이 은행 계좌로 이체되어 돈이 세탁되기도 했다. 3. 비싱(보이스 피싱) 비싱은 보이스 피싱(voice phishing)의 약자로, 기본적으로 전화를 통한 피싱 공격이다. 누군가에게 전화를 걸어 신원을 알아낸다. 그것이 개인일 수도 ...

스피어 피싱 베이팅 퀴드 프로우 쿼우 워터링 홀 워터홀링 보이스 피싱 비싱 프리텍스팅 트랜드마이크로 제로데이 소셜 엔지니어링 공격 피싱 테일게이팅

2018.08.01

보안 사슬에서 가장 약한 고리는 바로 ‘사람’이다. 악의적인 공격의 위험을 상쇄하기 위해 조직이 가장 뛰어난 기술을 전부 보유할 수 있다. 하지만 직원을 교육하지 않거나 베스트 프랙티스를 제공하지 않는 조직은 더 위험하다. 실제로 네트워크를 손상시키는 가장 효과적인 방법은 속임수를 이용해 내부 시스템, 이메일 계정에 접근해 사람을 겨냥하는 것이다. 이 속임수를 최대한 이용하려는 공격자는 평범한 사람의 실수에 의존하기 때문에 시스템을 보호하기가 가장 어렵다. 이는 소셜 엔지니어링이라 불리는 가장 보편적인 기술이다. 소셜 엔지니어링은 거짓말과 조작이며, 가장 오래된 전술이 핵심이다. 실제로 위협 환경이 점점 복잡해지고 있지만 손쉬운 피싱 방식은 그리 많지 않다. 일반적인 소셜 엔지니어링 공격에 관해 알아보자. 1. 피싱 개인정보나 자격증명만 있으면 공격자가 많은 것을 얻을 수 있다. 공격자에게 정보를 제공하는 합법적인 모양의 웹사이트에 개인 자격증명을 입력하도록 사용자를 속일 수 있다. 일반적으로 희생자는 이베이나 페이팔 같은 실제 기업에서 온 것처럼 보이는 이메일을 받게 된다. 이 이메일은 사용자에게 로그인에 주의하라고 경고한다. 하지만 로그인할 때 로그인 정보가 엉망이 된다. 2. 스피어 피싱 피싱과 마찬가지로 스피어 피싱(spear phishing)은 은밀한 수단을 통해 자격증명에 접근하는 것을 목표로 한다. 그러나 피싱과는 목표가 다르다. 스피어 피싱 공격은 공격자가 공개적으로 사용할 수 있는 정보를 통해 매우 조심스럽게 공격 대상자를 파악하는 경향이 있다. CFO와 같은 가치가 높은 목표물이 이러한 공격의 희생양으로 악명이 높아졌으며, 때로는 수십만 달러에 달하는 돈이 은행 계좌로 이체되어 돈이 세탁되기도 했다. 3. 비싱(보이스 피싱) 비싱은 보이스 피싱(voice phishing)의 약자로, 기본적으로 전화를 통한 피싱 공격이다. 누군가에게 전화를 걸어 신원을 알아낸다. 그것이 개인일 수도 ...

2018.08.01

"2017년 가상화폐의 사회공학 공격기법 통한 피해 규모 약 1,000만 달러" 카스퍼스키랩 발표

카스퍼스키랩 전문가들이 관측한 최근의 온라인 사기 트렌드에 따르면, 가상 화폐의 개발은 투자자는 물론 큰 수익을 노리는 사이버 범죄자들에게도 많은 관심의 대상이 되고 있는 것으로 나타났다. 2018년 상반기 카스퍼스키랩의 제품은 가짜 거래소 및 여러 출처의 가상 화폐와 연관된 수십만 건 이상의 범죄 시도를 차단했으며 이러한 유형의 공격 시도는 계속되고 있다고 업체 측은 밝혔다. 사이버 범죄자들은 가상 화폐의 열풍과 가상 화폐 보유자에 대해 대중의 관심이 높아지는 것을 놓치지 않았다. 이들은 범죄 목표를 달성하기 위해 주로 고전적인 피싱 기술을 사용하지만, 그 내용은 우리에게 많이 알려진 ‘평범한’ 시나리오와 사뭇 다른 경우가 많다. 초기 코인 발행(ICO) 투자와 가상 화폐의 무료 배포에서 착안한 공격 방식으로 사이버 범죄자들은 가상 화폐의 소유주와 입문자 모두를 대상으로 수익을 챙겨왔다. 주요 표적 대상 중 하나는 미래의 수익 창출을 꿈꾸며 스타트업에 대한 투자를 물색하는 ICO 투자자이다. 사이버 범죄자들은 이들을 속이기 위해 공식 ICO 프로젝트의 사이트를 본떠 가짜 웹페이지를 만들거나, ICO 투자자의 연락처 정보에 접근한 뒤 전자 지갑 번호가 담긴 피싱 이메일을 전송해 투자자가 자신의 가상 화폐를 전송하도록 유도하기도 한다. 가장 큰 피해를 유발한 여러 공격에서는 잘 알려진 ICO 프로젝트가 이용됐다. 예를 들어 무료 가상 화폐를 배포하는 스위체오(Switcheo) ICO를 악용해, 가짜 트위터 계정을 통해 해당 링크를 확산시킨 후 2만 5,000만 달러 이상의 가상 화폐를 훔친 사례가 있었다. 또 다른 사례에서는 오마세고(OmaseGo) 프로젝트의 피싱 사이트를 개설해 110만 달러 이상의 가상 화폐를 가로채기도 했다. 또한 그에 못지않게 범죄자들 사이에서 텔레그램(Telegram) ICO를 둘러싼 소문에 대한 관심이 높았는데, 이로 인해 ‘투자’를 모집하는 수백 개의 가짜 사이트...

소셜 엔지니어링 비트코인 가상화폐 ICO 카스퍼스키랩

2018.07.26

카스퍼스키랩 전문가들이 관측한 최근의 온라인 사기 트렌드에 따르면, 가상 화폐의 개발은 투자자는 물론 큰 수익을 노리는 사이버 범죄자들에게도 많은 관심의 대상이 되고 있는 것으로 나타났다. 2018년 상반기 카스퍼스키랩의 제품은 가짜 거래소 및 여러 출처의 가상 화폐와 연관된 수십만 건 이상의 범죄 시도를 차단했으며 이러한 유형의 공격 시도는 계속되고 있다고 업체 측은 밝혔다. 사이버 범죄자들은 가상 화폐의 열풍과 가상 화폐 보유자에 대해 대중의 관심이 높아지는 것을 놓치지 않았다. 이들은 범죄 목표를 달성하기 위해 주로 고전적인 피싱 기술을 사용하지만, 그 내용은 우리에게 많이 알려진 ‘평범한’ 시나리오와 사뭇 다른 경우가 많다. 초기 코인 발행(ICO) 투자와 가상 화폐의 무료 배포에서 착안한 공격 방식으로 사이버 범죄자들은 가상 화폐의 소유주와 입문자 모두를 대상으로 수익을 챙겨왔다. 주요 표적 대상 중 하나는 미래의 수익 창출을 꿈꾸며 스타트업에 대한 투자를 물색하는 ICO 투자자이다. 사이버 범죄자들은 이들을 속이기 위해 공식 ICO 프로젝트의 사이트를 본떠 가짜 웹페이지를 만들거나, ICO 투자자의 연락처 정보에 접근한 뒤 전자 지갑 번호가 담긴 피싱 이메일을 전송해 투자자가 자신의 가상 화폐를 전송하도록 유도하기도 한다. 가장 큰 피해를 유발한 여러 공격에서는 잘 알려진 ICO 프로젝트가 이용됐다. 예를 들어 무료 가상 화폐를 배포하는 스위체오(Switcheo) ICO를 악용해, 가짜 트위터 계정을 통해 해당 링크를 확산시킨 후 2만 5,000만 달러 이상의 가상 화폐를 훔친 사례가 있었다. 또 다른 사례에서는 오마세고(OmaseGo) 프로젝트의 피싱 사이트를 개설해 110만 달러 이상의 가상 화폐를 가로채기도 했다. 또한 그에 못지않게 범죄자들 사이에서 텔레그램(Telegram) ICO를 둘러싼 소문에 대한 관심이 높았는데, 이로 인해 ‘투자’를 모집하는 수백 개의 가짜 사이트...

2018.07.26

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13