Offcanvas

���������������

구글 “이탈리아 스파이웨어, iOS 및 안드로이드 기기 해킹”

구글 보고서에 따르면 ‘RCS 랩(RCS Lab)’ 스파이웨어는 알려진 익스플로잇을 사용하여 유해한 페이로드를 설치하고, 개인 사용자 데이터를 훔친다.   구글의 ‘위협 분석 그룹(Threat Analysis Group; TAG)’이 최근 이탈리아와 카자흐스탄의 iOS 및 안드로이드 모바일 사용자를 공격하기 위해 제로-데이 취약점을 악용하는 문제의 스파이웨어를 개발한 곳은 ‘RCS 랩(RCS Lab)’이라고 밝혔다.    지난 목요일 구글 블로그 게시물에 의하면 RCS 랩은 드라이브-바이(drive-by) 다운로드를 포함한 여러 전술 조합을 초기 감염 벡터로 사용했다. 이어 이 회사는 표적 기기의 개인 데이터를 감시하는 도구도 개발했다고 구글은 덧붙였다.  이탈리아 밀라노를 기반으로 하는 RCS 랩은 (웹사이트에 따르면) 프랑스와 스페인에 계열사를 두고 있으며, 유럽 정부 기관이 고객으로 있다고 밝히고 있다. 또 합법적인 감청 분야에서 ‘첨단 기술 솔루션’을 제공한다고 주장한다.  (이와 관련해) RCS 랩의 별도의 입장을 표명하지 않았으며, 컴퓨터월드(ComputerWorld)의 이메일 요청에도 답하지 않았다. 대신 RCS 랩은 로이터에 보낸 성명에서 “RCS 랩 직원은 관련 고객이 수행하는 어떤 활동에도 참여하지 않는다”라고 말했다. 아울러 이 회사는 웹사이트에서 “완전히 합법적인 감청 서비스”를 제공한다면서, “유럽에서만 매일 1만 개 이상의 감청 대상이 처리된다”라고 광고한다.  TAG는 RCS 랩의 기능을 사용한 스파이웨어 캠페인을 관찰했다고 전했다. 해당 캠페인은 표적으로 전송되는 고유 링크에서 시작되며, 이 링크를 클릭하면 사용자가 안드로이드 또는 iOS 기기에 악성 애플리케이션을 다운로드하여 설치하도록 한다.  이는 때에 따라 표적 기기의 ISP와 협력하여 모바일 데이터 연결을 해제해 수행된다고 구글은 설명했다. 이후 사용자는 표면상 데이터 연결을 복구해야 한다는 명목으로...

스파이웨어 iOS 안드로이드 익스플로잇 페이로드 감청 제로데이 RCS 랩 드라이브 바이 드라이브 바이 다운로드

5일 전

구글 보고서에 따르면 ‘RCS 랩(RCS Lab)’ 스파이웨어는 알려진 익스플로잇을 사용하여 유해한 페이로드를 설치하고, 개인 사용자 데이터를 훔친다.   구글의 ‘위협 분석 그룹(Threat Analysis Group; TAG)’이 최근 이탈리아와 카자흐스탄의 iOS 및 안드로이드 모바일 사용자를 공격하기 위해 제로-데이 취약점을 악용하는 문제의 스파이웨어를 개발한 곳은 ‘RCS 랩(RCS Lab)’이라고 밝혔다.    지난 목요일 구글 블로그 게시물에 의하면 RCS 랩은 드라이브-바이(drive-by) 다운로드를 포함한 여러 전술 조합을 초기 감염 벡터로 사용했다. 이어 이 회사는 표적 기기의 개인 데이터를 감시하는 도구도 개발했다고 구글은 덧붙였다.  이탈리아 밀라노를 기반으로 하는 RCS 랩은 (웹사이트에 따르면) 프랑스와 스페인에 계열사를 두고 있으며, 유럽 정부 기관이 고객으로 있다고 밝히고 있다. 또 합법적인 감청 분야에서 ‘첨단 기술 솔루션’을 제공한다고 주장한다.  (이와 관련해) RCS 랩의 별도의 입장을 표명하지 않았으며, 컴퓨터월드(ComputerWorld)의 이메일 요청에도 답하지 않았다. 대신 RCS 랩은 로이터에 보낸 성명에서 “RCS 랩 직원은 관련 고객이 수행하는 어떤 활동에도 참여하지 않는다”라고 말했다. 아울러 이 회사는 웹사이트에서 “완전히 합법적인 감청 서비스”를 제공한다면서, “유럽에서만 매일 1만 개 이상의 감청 대상이 처리된다”라고 광고한다.  TAG는 RCS 랩의 기능을 사용한 스파이웨어 캠페인을 관찰했다고 전했다. 해당 캠페인은 표적으로 전송되는 고유 링크에서 시작되며, 이 링크를 클릭하면 사용자가 안드로이드 또는 iOS 기기에 악성 애플리케이션을 다운로드하여 설치하도록 한다.  이는 때에 따라 표적 기기의 ISP와 협력하여 모바일 데이터 연결을 해제해 수행된다고 구글은 설명했다. 이후 사용자는 표면상 데이터 연결을 복구해야 한다는 명목으로...

5일 전

여전히 사용되는 ‘해묵은’ 공격 벡터 7가지

오늘날 디지털 혁명 시대에도 악의적 해커는 수십 년 전의 공격 벡터를 계속 사용하고 있다. 최근 한 연구에서는 오래 전에 사용된 특정 공격이 부활한 기간을 보여주기도 했다. 공격은 시간이 지나면서 조금씩 바뀔 수 있지만 감염과 배포, 확산 지점은 그대로 유지되며 심각한 데이터 유출을 야기할 수 있다. ETI(Egress Threat Intelligence) 부사장 잭 채프먼은 “사이버 범죄자는 기존에 자신이 선호하던 공격 방식을 재사용하는 경향이 있다. 특히, 법률집행 및 보안팀의 노력으로 새로운 공격 벡터가 차단되거나 실행되지 않을 때 더욱 그렇다”라고 말했다.   CNSS(Cato Networks Strategic Security) 엔지니어 피터 리도 채프먼의 말에 동의하며 사이버 범죄자가 오래된 공격 벡터를 사용하는 대표적인 이유 2가지로 경제와 표적 획득을 들었다. 리는 “나날이 발전하는 익스플로잇 공격 시장은 공격자가 표적에 가하는 모든 공격에 가격을 붙인다. 가격은 매우 다양하기 때문에 공격자는 저렴한 공격을 시도해 목적을 달성하려고 할 것이다. 예를 들어, 2017년에 만든 패치되지 않은 웹 서버 CVE로 동일한 표적을 해킹할 수 있다면 굳이 200만 달러의 아이폰 제로데이를 구매할 필요가 없다. 또한, 사이버 보안이 전반적으로 개선돼 사이버 범죄자의 메시지가 주요 표적에게 도달하는 것이 더욱 어려워졌다. 이로 인해 여러 방어자의 레이더에서 벗어난 오래된 벡터에 의지할 수밖에 없는 경우가 많다”라고 말했다. 사이버 범죄자가 여전히 사용 중인 오래된 7가지 공격 벡터와 실질적인 대응책도 살펴보자.   1. 시스템을 감염시키고 악성코드를 퍼뜨리는 물리적 스토리지 장치 최초의 컴퓨터 바이러스는 플로피 디스크를 통해 확산됐다. 지금도 공격자는 물리적 스토리지 장치를 사용해 시스템을 감염시키고 악성코드를 퍼뜨린다. 이런 현상은 올해 1월, FBI가 악성 소프트웨어를 포함한 여러 USB 드라이브를 운송, 국방, 보험 기관 직원에게 송...

사이버범죄 공격벡터 익스플로잇

2022.03.21

오늘날 디지털 혁명 시대에도 악의적 해커는 수십 년 전의 공격 벡터를 계속 사용하고 있다. 최근 한 연구에서는 오래 전에 사용된 특정 공격이 부활한 기간을 보여주기도 했다. 공격은 시간이 지나면서 조금씩 바뀔 수 있지만 감염과 배포, 확산 지점은 그대로 유지되며 심각한 데이터 유출을 야기할 수 있다. ETI(Egress Threat Intelligence) 부사장 잭 채프먼은 “사이버 범죄자는 기존에 자신이 선호하던 공격 방식을 재사용하는 경향이 있다. 특히, 법률집행 및 보안팀의 노력으로 새로운 공격 벡터가 차단되거나 실행되지 않을 때 더욱 그렇다”라고 말했다.   CNSS(Cato Networks Strategic Security) 엔지니어 피터 리도 채프먼의 말에 동의하며 사이버 범죄자가 오래된 공격 벡터를 사용하는 대표적인 이유 2가지로 경제와 표적 획득을 들었다. 리는 “나날이 발전하는 익스플로잇 공격 시장은 공격자가 표적에 가하는 모든 공격에 가격을 붙인다. 가격은 매우 다양하기 때문에 공격자는 저렴한 공격을 시도해 목적을 달성하려고 할 것이다. 예를 들어, 2017년에 만든 패치되지 않은 웹 서버 CVE로 동일한 표적을 해킹할 수 있다면 굳이 200만 달러의 아이폰 제로데이를 구매할 필요가 없다. 또한, 사이버 보안이 전반적으로 개선돼 사이버 범죄자의 메시지가 주요 표적에게 도달하는 것이 더욱 어려워졌다. 이로 인해 여러 방어자의 레이더에서 벗어난 오래된 벡터에 의지할 수밖에 없는 경우가 많다”라고 말했다. 사이버 범죄자가 여전히 사용 중인 오래된 7가지 공격 벡터와 실질적인 대응책도 살펴보자.   1. 시스템을 감염시키고 악성코드를 퍼뜨리는 물리적 스토리지 장치 최초의 컴퓨터 바이러스는 플로피 디스크를 통해 확산됐다. 지금도 공격자는 물리적 스토리지 장치를 사용해 시스템을 감염시키고 악성코드를 퍼뜨린다. 이런 현상은 올해 1월, FBI가 악성 소프트웨어를 포함한 여러 USB 드라이브를 운송, 국방, 보험 기관 직원에게 송...

2022.03.21

‘로그4j’ 사태, 아직 끝나지 않았다··· 앱 개발자가 해야 할 3가지

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을 발견했다. 이 코드는 마인크래프트(Minecraft)부터 스팀(Steam), 아이클라우드(iCloud), 포티넷(Fortinet), 레드햇(Red Hat)까지 모든 소비자 및 기업 시스템에서 널리 사용되고 있다. 한 전문가는 수백만 개의 엔드포인트가 위험에 처할 수 있다고 추정했다.   로그4j는 솔라윈즈와 카세야 등 일련의 소프트웨어 공급망 공격 중 가장 최근에 발생한 일이다. 로그4j 취약점이 밝혀진 이후 많은 보안업체 및 애널리스트가 무엇을 해야 하는지 여러 정보를 공개했다. 이를테면 거진 최후의 날에 가까운 시나리오를 게시한 사람도 있었고, 덜 심각하게 전망하는 사람도 있었다.  체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)에 따르면 고객층의 절반가량에서 취약점 공격이 발견됐다. 콘트라스트 시큐리티(Contrast Security)는 자바 애플리케이션의 58%에 취약한 버전이 존재하지만 실제로 로그4j를 사용하는 경우는 37%에 불과한 것으로 조사됐다고 전했다.  4가지 문제는 CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105다. 美 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA)은 영향을 받은 애플리케이션 목록과 다양한 벤더 블로그 링크를 포함한 웹 페이지를 공개하고 지속적으로 업데이트하고 있다.  이 문제는 원격 코드 실행을 허용하는 JDNI(Java Naming and Directory Interface) 및 JM어펜더(JMSAppender) 이벤트 메시지와 같은 로깅...

로그4j Log4j 자바 보안 취약점 취약점 공격 익스플로잇 WAF 애플리케이션 보안

2021.12.31

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을 발견했다. 이 코드는 마인크래프트(Minecraft)부터 스팀(Steam), 아이클라우드(iCloud), 포티넷(Fortinet), 레드햇(Red Hat)까지 모든 소비자 및 기업 시스템에서 널리 사용되고 있다. 한 전문가는 수백만 개의 엔드포인트가 위험에 처할 수 있다고 추정했다.   로그4j는 솔라윈즈와 카세야 등 일련의 소프트웨어 공급망 공격 중 가장 최근에 발생한 일이다. 로그4j 취약점이 밝혀진 이후 많은 보안업체 및 애널리스트가 무엇을 해야 하는지 여러 정보를 공개했다. 이를테면 거진 최후의 날에 가까운 시나리오를 게시한 사람도 있었고, 덜 심각하게 전망하는 사람도 있었다.  체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)에 따르면 고객층의 절반가량에서 취약점 공격이 발견됐다. 콘트라스트 시큐리티(Contrast Security)는 자바 애플리케이션의 58%에 취약한 버전이 존재하지만 실제로 로그4j를 사용하는 경우는 37%에 불과한 것으로 조사됐다고 전했다.  4가지 문제는 CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105다. 美 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA)은 영향을 받은 애플리케이션 목록과 다양한 벤더 블로그 링크를 포함한 웹 페이지를 공개하고 지속적으로 업데이트하고 있다.  이 문제는 원격 코드 실행을 허용하는 JDNI(Java Naming and Directory Interface) 및 JM어펜더(JMSAppender) 이벤트 메시지와 같은 로깅...

2021.12.31

매일 악성 '코로나' 도메인 1,700개 생성 <팔로알토>

86,600개 이상의 악성 신규 도메인 중 2,829개가 퍼블릭 클라우드에서 발견되었다. 매일 1,700개가 넘는 악성 코로나바이러스 주제로 한 도메인이 생성되고 있다. 새로운 연구 결과에 따르면 이들 중 소수가 퍼블릭 클라우드에 호스팅돼 있지만, 덜 복잡한 방화벽일수록 부분적으로 뚫을 가능성이 더 크다.  이는 팔로알토 네트웍스의 위협 인텔리전스팀 유닛 42가 3월 9일부터 4월 26일까지 코로나바이러스 전염병 관련 키워드로 120만 개의 새로 등록된 도메인(NRD) 이름을 분석한 결과다.   팔로알토 네트웍스의 URL 필터링 결과 86,600개 이상의 도메인이 ‘위험’하거나 ‘악의적인’ 범주로 분류되었으며 오토포커스 제품, WHOIS 도메인 데이터베이스, IP 지리적 위치로 보강되었다. 유닛 42의 클라우드 취약성 및 익스플로잇 선임 연구원인 제이 첸의 블로그 게시물에 따르면 악성 도메인 대부분인 29,007개가 미국에서 호스팅됐고 다음은 이탈리아로 2,877개, 독일은 2,564개, 러시아는 2,456개가 호스팅됐다. 호주는 534개의 악성 도메인만 보유했다. 대부분 악성 도메인에는 79.8%의 악성코드가 포함되어 있다. 피싱 시도는 20%에 이르렀으며, 커맨드 앤드 컨트롤(C2) 악성코드는 0.2%였다. 악의적인 도메인의 소수인 2,829개는 퍼블릭 클라우드에서 호스팅되는 것으로 밝혀졌다. 이 중 대부분은 아마존웹서비스(AWS)에서 79.2%, 구글 클라우드 플랫폼(GCP)은 14.6%, 마이크로소프트 애저는 5.9%, 알리바바는 0.3%로 각각 집계됐다. 첸은 더 높은 가격과 엄격한 스크리닝 및 모니터링 프로세스 때문에 퍼블릭 클라우드에서 호스팅되는 악성 도메인이 거의 없을 것이라고 가정했다. 그러나 퍼블릭 클라우드 도메인의 위협을 과소평가해서는 안 된다. 첸은 “악성 행위자가 클라우드 리소스를 활용하여 탐지를 회피하고 공격을 증폭시키기 때문에 클라우드에서 발생하는 위협을 방어하기가 더 어려울 수 있다”라고 밝혔다....

맬웨어 코로나바이러스 구글 클라우드 플랫폼 GCP 익스플로잇 아마존웹서비스 마이크로소프트 애저 팔로알토 네트웍스 CDN 퍼블릭 클라우드 클라우드플레어 도메인 취약점 AWS 아마존 클라우드프론트

2020.05.07

86,600개 이상의 악성 신규 도메인 중 2,829개가 퍼블릭 클라우드에서 발견되었다. 매일 1,700개가 넘는 악성 코로나바이러스 주제로 한 도메인이 생성되고 있다. 새로운 연구 결과에 따르면 이들 중 소수가 퍼블릭 클라우드에 호스팅돼 있지만, 덜 복잡한 방화벽일수록 부분적으로 뚫을 가능성이 더 크다.  이는 팔로알토 네트웍스의 위협 인텔리전스팀 유닛 42가 3월 9일부터 4월 26일까지 코로나바이러스 전염병 관련 키워드로 120만 개의 새로 등록된 도메인(NRD) 이름을 분석한 결과다.   팔로알토 네트웍스의 URL 필터링 결과 86,600개 이상의 도메인이 ‘위험’하거나 ‘악의적인’ 범주로 분류되었으며 오토포커스 제품, WHOIS 도메인 데이터베이스, IP 지리적 위치로 보강되었다. 유닛 42의 클라우드 취약성 및 익스플로잇 선임 연구원인 제이 첸의 블로그 게시물에 따르면 악성 도메인 대부분인 29,007개가 미국에서 호스팅됐고 다음은 이탈리아로 2,877개, 독일은 2,564개, 러시아는 2,456개가 호스팅됐다. 호주는 534개의 악성 도메인만 보유했다. 대부분 악성 도메인에는 79.8%의 악성코드가 포함되어 있다. 피싱 시도는 20%에 이르렀으며, 커맨드 앤드 컨트롤(C2) 악성코드는 0.2%였다. 악의적인 도메인의 소수인 2,829개는 퍼블릭 클라우드에서 호스팅되는 것으로 밝혀졌다. 이 중 대부분은 아마존웹서비스(AWS)에서 79.2%, 구글 클라우드 플랫폼(GCP)은 14.6%, 마이크로소프트 애저는 5.9%, 알리바바는 0.3%로 각각 집계됐다. 첸은 더 높은 가격과 엄격한 스크리닝 및 모니터링 프로세스 때문에 퍼블릭 클라우드에서 호스팅되는 악성 도메인이 거의 없을 것이라고 가정했다. 그러나 퍼블릭 클라우드 도메인의 위협을 과소평가해서는 안 된다. 첸은 “악성 행위자가 클라우드 리소스를 활용하여 탐지를 회피하고 공격을 증폭시키기 때문에 클라우드에서 발생하는 위협을 방어하기가 더 어려울 수 있다”라고 밝혔다....

2020.05.07

멘로시큐리티, 멀웨어 감염 시 100만 달러 지급하는 보증 프로그램 실시

멘로시큐리티가 멀웨어에 대한 100% 보호를 보증하는 ‘멀웨어 보호 보증(malware protection warranty)’ 프로그램을 진행한다고 밝혔다. 랜섬웨어를 비롯한 멀웨어 제거 기술을 보유한 멘로시큐리티는 멀웨어 공격이 자사의 웹 격리 기술 ‘아이솔레이션 코어(Isolation Core)’ 기반 보안 플랫폼을 뚫고 감염된 경우 고객에게 최대 100만 달러(한화 약 11억 2,000만원)를 지급한다고 전했다. 멘로시큐리티는 자사의 격리 기술을 통해 익스플로잇, 랜섬웨어, 제로데이 공격 등 모든 멀웨어를 100% 차단할 수 있다는 자신감에 기반하여 이번 보증 프로그램을 발표하게 됐다고 설명했다.  멘로시큐리티 아미르 벤 에프레임 CEO는 “보안은 결코 100%가 될 수 없다는 인식이 팽배해져 있고, 안타깝게도 기업들은 이를 받아들여왔다”라며, “기존의 보안 상황을 극복하고자 멘로시큐리티는 근본적으로 다른 접근 방식을 취했고, 멀웨어 감염으로부터 보호하고 타협 없이 보안을 제공하는 완벽한 클라우드 보안 플랫폼을 구축했다”라고 말했다. 멘로시큐리티는 기업이 데이터 가시성, 제어 및 사용자 경험을 희생하지 않고 클라우드의 이점을 활용하고 클라우드 전환을 안전하게 보호하도록 지원한다. 사내에 구축한 고가의 온프레미스 보안 어플라이언스 대신 이 기능을 클라우드로 이전해 활용할 수 있는 안전한 방법을 제공한다. 멘로시큐리티의 ‘아이솔레이션 코어’ 기반으로 구축된 ‘글로벌 클라우드 프록시 플랫폼(Global Cloud Proxy Platform)’은 엔터프라이즈 네트워크와 퍼블릭 웹을 분리하여 사용자들이 안전하고 짧은 지연 속도 상에서 인터넷과 SaaS 애플리케이션을 사용할 수 있도록 지원한다. 클라우드를 위해 클라우드 상에 구축된 이 플랫폼은 클라우드 퍼스트 아키텍처를 수용할 수 있도록 설계돼 있다.  멘로시큐리티 김성래 지사장은 “외국계 기업들의 보증 프로그램 대부분이 북미, 유럽을 우선으로 적용되고 있으나, 멘로시큐리티는 100...

보안 제로데이 멀웨어 랜섬웨어 익스플로잇 멘로시큐리티

2020.02.27

멘로시큐리티가 멀웨어에 대한 100% 보호를 보증하는 ‘멀웨어 보호 보증(malware protection warranty)’ 프로그램을 진행한다고 밝혔다. 랜섬웨어를 비롯한 멀웨어 제거 기술을 보유한 멘로시큐리티는 멀웨어 공격이 자사의 웹 격리 기술 ‘아이솔레이션 코어(Isolation Core)’ 기반 보안 플랫폼을 뚫고 감염된 경우 고객에게 최대 100만 달러(한화 약 11억 2,000만원)를 지급한다고 전했다. 멘로시큐리티는 자사의 격리 기술을 통해 익스플로잇, 랜섬웨어, 제로데이 공격 등 모든 멀웨어를 100% 차단할 수 있다는 자신감에 기반하여 이번 보증 프로그램을 발표하게 됐다고 설명했다.  멘로시큐리티 아미르 벤 에프레임 CEO는 “보안은 결코 100%가 될 수 없다는 인식이 팽배해져 있고, 안타깝게도 기업들은 이를 받아들여왔다”라며, “기존의 보안 상황을 극복하고자 멘로시큐리티는 근본적으로 다른 접근 방식을 취했고, 멀웨어 감염으로부터 보호하고 타협 없이 보안을 제공하는 완벽한 클라우드 보안 플랫폼을 구축했다”라고 말했다. 멘로시큐리티는 기업이 데이터 가시성, 제어 및 사용자 경험을 희생하지 않고 클라우드의 이점을 활용하고 클라우드 전환을 안전하게 보호하도록 지원한다. 사내에 구축한 고가의 온프레미스 보안 어플라이언스 대신 이 기능을 클라우드로 이전해 활용할 수 있는 안전한 방법을 제공한다. 멘로시큐리티의 ‘아이솔레이션 코어’ 기반으로 구축된 ‘글로벌 클라우드 프록시 플랫폼(Global Cloud Proxy Platform)’은 엔터프라이즈 네트워크와 퍼블릭 웹을 분리하여 사용자들이 안전하고 짧은 지연 속도 상에서 인터넷과 SaaS 애플리케이션을 사용할 수 있도록 지원한다. 클라우드를 위해 클라우드 상에 구축된 이 플랫폼은 클라우드 퍼스트 아키텍처를 수용할 수 있도록 설계돼 있다.  멘로시큐리티 김성래 지사장은 “외국계 기업들의 보증 프로그램 대부분이 북미, 유럽을 우선으로 적용되고 있으나, 멘로시큐리티는 100...

2020.02.27

데이터센터 네트워크 매니저의 3가지 주요 취약점

시스코가 최근 넥서스 데이터센터 스위치에 대한 데이터센터 네트워크 관리자(DCNM) 소프트웨어의 여러 가지 중요한 인증 노출을 해결하기 위한 소프트웨어를 배포했다.    DCNM은 시스코 넥서스 스위치를 기반으로 하는 데이터센터 패브릭의 중앙 관리 대시보드로 패브릭, 장치, 네트워크 토폴로지에 대한 자동화, 구성 제어, 플로우 정책 관리, 실시간 상태 세부 정보 등 많은 핵심 업무를 처리한다. 시스코는 원격 공격자가 취약한 장치에 대한 관리 권한으로 인증을 우회하여 자의적인 동작을 실행하도록 해줄 수 있는 DCNM 인증 메커니즘에서 3건의 노출이 있었다고 밝혔으며, 이들 노출이 공통 취약점 등급 시스템(Common Vulnerability Scoring System)에서 10점 만점에 9.8점에 해당한다고 평가했다. 시스코는 취약점이 서로 독립적이기 때문에 하나를 익스플로잇 한다고 다른 것을 익스플로잇 해야 하는 것은 아니라고 말했다. 게다가, 취약점 중 하나에 영향을 받는 소프트웨어 출시는 다른 소프트웨어 출시의 영향을 받지 않을 수 있다고 회사측은 밝혔다. 중요 취약점에는 다음과 같은 것들이 포함된다.  REST API 인증 우회 취약점: 시스코 DCNM의 REST API 엔드포인트에는 취약점이 있으며 이를 통해 원격 공격자는 인증을 우회할 수 있다. 시스코는 “정적인 암호화 키가 설치 간에 공유되기 때문에 취약점이 존재한다. 공격자는 유효한 세션 토큰을 만들기 위해 정적 키를 사용하여 이 취약점을 익스플로잇 할 수 있다. 익스플로잇이 성공하면 공격자가 관리자 권한을 가진 REST API를 통해 자의적인 행동을 할 수 있다”라고 밝혔다.  SOAP API 인증 우회 취약점: 시스코 DCNM의 SOAP API 엔드포인트에도 약점이 있으며, 이를 통해 인증되지 않은 원격 공격자가 영향을 받는 기기에서 인증을 우회할 수 있게 할 수 있다. REST 취약점과 마찬가지로 정적 암호화 키가 설치 간에 공유되기 때문에 이...

시스코 넥서스 스위치 SOAP API DCNM 익스플로잇 엔드포인트 REST 패브릭 API 취약점 데이터센터 네트워크 관리자

2020.01.07

시스코가 최근 넥서스 데이터센터 스위치에 대한 데이터센터 네트워크 관리자(DCNM) 소프트웨어의 여러 가지 중요한 인증 노출을 해결하기 위한 소프트웨어를 배포했다.    DCNM은 시스코 넥서스 스위치를 기반으로 하는 데이터센터 패브릭의 중앙 관리 대시보드로 패브릭, 장치, 네트워크 토폴로지에 대한 자동화, 구성 제어, 플로우 정책 관리, 실시간 상태 세부 정보 등 많은 핵심 업무를 처리한다. 시스코는 원격 공격자가 취약한 장치에 대한 관리 권한으로 인증을 우회하여 자의적인 동작을 실행하도록 해줄 수 있는 DCNM 인증 메커니즘에서 3건의 노출이 있었다고 밝혔으며, 이들 노출이 공통 취약점 등급 시스템(Common Vulnerability Scoring System)에서 10점 만점에 9.8점에 해당한다고 평가했다. 시스코는 취약점이 서로 독립적이기 때문에 하나를 익스플로잇 한다고 다른 것을 익스플로잇 해야 하는 것은 아니라고 말했다. 게다가, 취약점 중 하나에 영향을 받는 소프트웨어 출시는 다른 소프트웨어 출시의 영향을 받지 않을 수 있다고 회사측은 밝혔다. 중요 취약점에는 다음과 같은 것들이 포함된다.  REST API 인증 우회 취약점: 시스코 DCNM의 REST API 엔드포인트에는 취약점이 있으며 이를 통해 원격 공격자는 인증을 우회할 수 있다. 시스코는 “정적인 암호화 키가 설치 간에 공유되기 때문에 취약점이 존재한다. 공격자는 유효한 세션 토큰을 만들기 위해 정적 키를 사용하여 이 취약점을 익스플로잇 할 수 있다. 익스플로잇이 성공하면 공격자가 관리자 권한을 가진 REST API를 통해 자의적인 행동을 할 수 있다”라고 밝혔다.  SOAP API 인증 우회 취약점: 시스코 DCNM의 SOAP API 엔드포인트에도 약점이 있으며, 이를 통해 인증되지 않은 원격 공격자가 영향을 받는 기기에서 인증을 우회할 수 있게 할 수 있다. REST 취약점과 마찬가지로 정적 암호화 키가 설치 간에 공유되기 때문에 이...

2020.01.07

기고 | 항공 사이버보안 문제 해결, 왜 지체되나?

항공 사이버보안에 관한 대서양 협의회(Atlantic Council)의 새로운 보고서에 따르면, 항공 보안 상태가 취약하며 이 업계가 해당 문제의 심각성을 잘 이해하지 못하는 것으로 나타났다.     거대 선박 회사인 머스크는 2017년 낫페트야(NotPetya) 사보타지웨어에 감염되었고, 거의 5억 달러에 가까운 손해를 입었다. 머스크는 공격의 표적조차 아니었다. 이 같은 일이 항공에서도 일어날 수 있을까? 그럴 수 있다는 우려가 항공 업계에서 서서히 확산되고 있다. 머스크 공격에서는 업무가 타격을 입었지, 선박이 피해를 본 것은 아니었다. 그러나 보안 연구원인 크리스 쿠베카가 지난달 밝힌 바와 같이 항공 사이버 위험은 공중의 비행기로 확대된다.  대서양 협의회(Atlantic Council)는 항공 사이버보안에 관한 신규 보고서에서, 현대의 항공기는 ‘세계를 돌아다니는 하늘의 데이터 센터’이지만, 항공산업은 승객을 사이버보안 위험으로부터 보호할 방법을 제대로 알지 못한다고 밝혔다.  이제 위험을 제대로 이해하지 못한 채, 위험을 경감할 기술적 전문성이 없는 채, 그리고 충분한 재무적 또는 규제적 동기가 없는 채, 항공산업은 미래를 향해 비틀거리며 나아가고 있고 문제를 파악하는 동안 나쁜 일이 일어나지 않기만 바라고 있다.  항공산업은 문제에 맞설 준비가 되어 있지 않아 보인다. 대서양 협의회의 보고서는 문제 해결이 지체되고 있는 이유를 설명했다.  디지털화에 따른 위험과 보상  항공산업은 급속한 디지털화로부터 효율 개선을 얻고자 보안을 건너뛰었고, 이제서야 뒤를 돌아보며 보안 문제가 언제든지 자신을 괴롭힐 수 있음을 깨닫고 있다. 예를 들어 육상 시스템의 붕괴라든지 항공기의 악성코드 감염, 심지어 확률이 극히 낮기는 하지만 수백 또는 수천 대의 항공기가 동시에 영향을 받을 신종 보안 침해 같은 것들이다.   컴퓨터 혁신을 좋아하지 않는 사람이라면 아날로그를 팽개친 것이 실...

CSO 낫페트야 머스크 페트야 익스플로잇 디지털 변혁 선박 비행기 사이버보안 항공 취약점 CISO 사보타지웨어

2019.12.19

항공 사이버보안에 관한 대서양 협의회(Atlantic Council)의 새로운 보고서에 따르면, 항공 보안 상태가 취약하며 이 업계가 해당 문제의 심각성을 잘 이해하지 못하는 것으로 나타났다.     거대 선박 회사인 머스크는 2017년 낫페트야(NotPetya) 사보타지웨어에 감염되었고, 거의 5억 달러에 가까운 손해를 입었다. 머스크는 공격의 표적조차 아니었다. 이 같은 일이 항공에서도 일어날 수 있을까? 그럴 수 있다는 우려가 항공 업계에서 서서히 확산되고 있다. 머스크 공격에서는 업무가 타격을 입었지, 선박이 피해를 본 것은 아니었다. 그러나 보안 연구원인 크리스 쿠베카가 지난달 밝힌 바와 같이 항공 사이버 위험은 공중의 비행기로 확대된다.  대서양 협의회(Atlantic Council)는 항공 사이버보안에 관한 신규 보고서에서, 현대의 항공기는 ‘세계를 돌아다니는 하늘의 데이터 센터’이지만, 항공산업은 승객을 사이버보안 위험으로부터 보호할 방법을 제대로 알지 못한다고 밝혔다.  이제 위험을 제대로 이해하지 못한 채, 위험을 경감할 기술적 전문성이 없는 채, 그리고 충분한 재무적 또는 규제적 동기가 없는 채, 항공산업은 미래를 향해 비틀거리며 나아가고 있고 문제를 파악하는 동안 나쁜 일이 일어나지 않기만 바라고 있다.  항공산업은 문제에 맞설 준비가 되어 있지 않아 보인다. 대서양 협의회의 보고서는 문제 해결이 지체되고 있는 이유를 설명했다.  디지털화에 따른 위험과 보상  항공산업은 급속한 디지털화로부터 효율 개선을 얻고자 보안을 건너뛰었고, 이제서야 뒤를 돌아보며 보안 문제가 언제든지 자신을 괴롭힐 수 있음을 깨닫고 있다. 예를 들어 육상 시스템의 붕괴라든지 항공기의 악성코드 감염, 심지어 확률이 극히 낮기는 하지만 수백 또는 수천 대의 항공기가 동시에 영향을 받을 신종 보안 침해 같은 것들이다.   컴퓨터 혁신을 좋아하지 않는 사람이라면 아날로그를 팽개친 것이 실...

2019.12.19

"IoT기기 보안, 쉬운데도 안 한다" <CITL 조사>

IoT기기의 컴파일 시간 보안 기능을 쉽게 활성화할 수 있다. 그런데 이렇게 하는 IoT기기 제조사가 늘지 않는 이유는 무엇일까? IoT 펌웨어 바이너리를 구축할 때 보안 기능에 대한 플래그를 추가하면 IoT기기 보안을 크게 개선할 수 있다. 그런데 대부분이 이렇게 하지 않는다. 게다가 CITL(Cyber Independent Testing Lab) 매스 퍼징 프로젝트의 새로운 조사 결과에 따르면, 상황이 나아지는 것이 아니라 오히려 악화되고 있다. 매우 쉬운 일이다. 이렇게 하지 않을 이유가 없다. 그런데 이렇게 하지 않는다.  CITL은 컨슈머 리포트 같은 비영리 보안 연구소다. 현재까지 지난 15년간 발표된 300여만 개의 IoT 펌웨어 바이너리 퍼징을 자동화했다. 그 결과는 실망스럽다. CITL의 최고 과학자인 사라 자트코는 <CSO>에 “매우 쉬운 일이다. 그런데 IoT 업체들은 기본적인 컴파일 시간 보안 기능을 활성화하지 않고 있다. 기능을 활성화하지 않을 이유가 없는데도 그렇게 하고 있다”라고 말했다. 이어서 자트코는 “의도적으로 무시했으리라 생각하지는 않는다. 진짜로 누군가 이 보안 기능을 제외하기로 의도적으로 결정을 내린 경우가 아니라면 말이다. 이는 선의의 무시라고 봐야 한다. 자신이 반드시 해야 할 일, 자신의 직업이라면 이런 일이 일어나지 않았을 것이다”라고 덧붙였다.   빌드 후 확인할 시기? IoT 업체들은 쉽게 이런 컴파일 시간 보안 플래그를 활성화하고, 이를 릴리스 관리 프로세스의 일부로 확인할 수 있다. 더 최신 버전의 컴파일러가 있는지 확인하고, ASLR과 DEP, 스택 가드 같은 기본적인 보안 플래그를 활성화하는 것 등이 빌드에서 권장되는 ‘위생’ 조치이다. 마법 같은 보안 경감책은 존재하지 않지만, 그래도 IoT 환경에서 에어백과 안전벨트 같은 역할을 한다. 충돌 자체를 방지하지는 못하더라도 생명을 구하는 역할을 한다는 이야기다. 하루 최대 몇 시간의 엔지니어링 작업이 필요한 일이다...

CSO CISO 취약점 펌웨어 사물인터넷 익스플로잇 CITL Cyber Independent Testing Lab QA 테스팅

2019.09.16

IoT기기의 컴파일 시간 보안 기능을 쉽게 활성화할 수 있다. 그런데 이렇게 하는 IoT기기 제조사가 늘지 않는 이유는 무엇일까? IoT 펌웨어 바이너리를 구축할 때 보안 기능에 대한 플래그를 추가하면 IoT기기 보안을 크게 개선할 수 있다. 그런데 대부분이 이렇게 하지 않는다. 게다가 CITL(Cyber Independent Testing Lab) 매스 퍼징 프로젝트의 새로운 조사 결과에 따르면, 상황이 나아지는 것이 아니라 오히려 악화되고 있다. 매우 쉬운 일이다. 이렇게 하지 않을 이유가 없다. 그런데 이렇게 하지 않는다.  CITL은 컨슈머 리포트 같은 비영리 보안 연구소다. 현재까지 지난 15년간 발표된 300여만 개의 IoT 펌웨어 바이너리 퍼징을 자동화했다. 그 결과는 실망스럽다. CITL의 최고 과학자인 사라 자트코는 <CSO>에 “매우 쉬운 일이다. 그런데 IoT 업체들은 기본적인 컴파일 시간 보안 기능을 활성화하지 않고 있다. 기능을 활성화하지 않을 이유가 없는데도 그렇게 하고 있다”라고 말했다. 이어서 자트코는 “의도적으로 무시했으리라 생각하지는 않는다. 진짜로 누군가 이 보안 기능을 제외하기로 의도적으로 결정을 내린 경우가 아니라면 말이다. 이는 선의의 무시라고 봐야 한다. 자신이 반드시 해야 할 일, 자신의 직업이라면 이런 일이 일어나지 않았을 것이다”라고 덧붙였다.   빌드 후 확인할 시기? IoT 업체들은 쉽게 이런 컴파일 시간 보안 플래그를 활성화하고, 이를 릴리스 관리 프로세스의 일부로 확인할 수 있다. 더 최신 버전의 컴파일러가 있는지 확인하고, ASLR과 DEP, 스택 가드 같은 기본적인 보안 플래그를 활성화하는 것 등이 빌드에서 권장되는 ‘위생’ 조치이다. 마법 같은 보안 경감책은 존재하지 않지만, 그래도 IoT 환경에서 에어백과 안전벨트 같은 역할을 한다. 충돌 자체를 방지하지는 못하더라도 생명을 구하는 역할을 한다는 이야기다. 하루 최대 몇 시간의 엔지니어링 작업이 필요한 일이다...

2019.09.16

'SAP 환경에서 빈번하게 발생'··· 8가지 보안 실수

구성 오류 등 몇 년 전부터 잘 알려진 수많은 실수들이 계속해서 SAP 환경의 보안을 훼손하고 있다. SAP 환경이 갈수록 더 복잡해지고 있는 것이 이런 상황을 초래하는 큰 이유 중 하나다. 지난 몇 년간 SAP 애플리케이션들이 달라졌고 발전했다. 최근에는 여러 다양한 다른 시스템 및 애플리케이션과 연결되어 있다.   SAP 환경은 일반적으로 시간 경과와 함께 도입되고 연결된 다양한 API와 인터페이스를 통해 서로, 또 외부 시스템과 통신하는 통신 구성 요소 및 많은 맞춤형 코드로 구성된다. EPR 분야 보안 업체인 오냅시스(Onapsis)의 CTO 후안 페레즈-에체고엔에 따르면, 새 코드와 프로토콜이 기존 환경과 상호작용하면서 보안 취약점과 결함을 물려 받는다. 또 새 비즈니스 프로세스를 수용하기 위해 프로필과 파라미터, 구성을 계속 바꾸지만, 이것이 초래할 보안 측면의 영향을 거의 이해하지 못한다. 이러한 환경의 복잡성이 수많은 보안 취약점을 초래한다. 올해 초, 2개 주요 SAP 구성 요소의 잘 알려진 구성 오류를 겨냥한 익스플로잇들이 공개되면서 이 문제가 집중 조명되었다. 공격자가 원격으로 SAP 환경을 관리자 권한으로 제어할 수 있는 익스플로잇으로 10KBlaze로 불린다. US-CERT는 그 즉시 이에 대해 경고했다. 다음은 엔터프라이즈 SAP 환경에서 가장 많이 발생하는 구성 오류, 보안 실패 가운데 일부를 정리한 내용이다. 1. 잘못 구성된 ACL ACL(Access Control Listes)은 여러 SAP 시스템 간, 그리고 SAP와 비 SAP 환경 간 통신과 연결을 제어한다. 또 SAP 시스템에 대한 사용자 접근 권한을 결정한다. 그런데 SAP 시스템과 외부 시스템, 여러 SAP 시스템 간 연결을 제어하는 ACL이 잘못 구성되고, 결함이 많고, 특정인이 특정 시스템을 매개체로 다른 시스템에 쉽게 접근할 수 있는 경우가 많다. 페레즈-에체고엔에 따르면, 침입 테스트를 하면 잘못된 ACL 구성으로 인해 공격자가 SAP 환...

SAP 익스플로잇 접근 제어 CERT SAP HANA 오류 복구 비밀번호 공격 인증 CISO 암호화 ERP CSO ERP 보안

2019.06.28

구성 오류 등 몇 년 전부터 잘 알려진 수많은 실수들이 계속해서 SAP 환경의 보안을 훼손하고 있다. SAP 환경이 갈수록 더 복잡해지고 있는 것이 이런 상황을 초래하는 큰 이유 중 하나다. 지난 몇 년간 SAP 애플리케이션들이 달라졌고 발전했다. 최근에는 여러 다양한 다른 시스템 및 애플리케이션과 연결되어 있다.   SAP 환경은 일반적으로 시간 경과와 함께 도입되고 연결된 다양한 API와 인터페이스를 통해 서로, 또 외부 시스템과 통신하는 통신 구성 요소 및 많은 맞춤형 코드로 구성된다. EPR 분야 보안 업체인 오냅시스(Onapsis)의 CTO 후안 페레즈-에체고엔에 따르면, 새 코드와 프로토콜이 기존 환경과 상호작용하면서 보안 취약점과 결함을 물려 받는다. 또 새 비즈니스 프로세스를 수용하기 위해 프로필과 파라미터, 구성을 계속 바꾸지만, 이것이 초래할 보안 측면의 영향을 거의 이해하지 못한다. 이러한 환경의 복잡성이 수많은 보안 취약점을 초래한다. 올해 초, 2개 주요 SAP 구성 요소의 잘 알려진 구성 오류를 겨냥한 익스플로잇들이 공개되면서 이 문제가 집중 조명되었다. 공격자가 원격으로 SAP 환경을 관리자 권한으로 제어할 수 있는 익스플로잇으로 10KBlaze로 불린다. US-CERT는 그 즉시 이에 대해 경고했다. 다음은 엔터프라이즈 SAP 환경에서 가장 많이 발생하는 구성 오류, 보안 실패 가운데 일부를 정리한 내용이다. 1. 잘못 구성된 ACL ACL(Access Control Listes)은 여러 SAP 시스템 간, 그리고 SAP와 비 SAP 환경 간 통신과 연결을 제어한다. 또 SAP 시스템에 대한 사용자 접근 권한을 결정한다. 그런데 SAP 시스템과 외부 시스템, 여러 SAP 시스템 간 연결을 제어하는 ACL이 잘못 구성되고, 결함이 많고, 특정인이 특정 시스템을 매개체로 다른 시스템에 쉽게 접근할 수 있는 경우가 많다. 페레즈-에체고엔에 따르면, 침입 테스트를 하면 잘못된 ACL 구성으로 인해 공격자가 SAP 환...

2019.06.28

'꼼꼼한 패치 관리는 이렇게' 6단계 프로세스

패치 관리는 취약점을 해결하고자 간단히 소프트웨어를 업데이트하는 것이다. 단순할 것처럼 들리지만 실제로 대부분 IT조직에서 패치 관리는 쉬운 프로세스가 아니다. 패치 관리 프로세스에 필요한 6단계 조치를 소개한다.   전 세계 사이버보안 관계자들이 지난 20년 동안 제조된 대부분의 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터 및 멜트다운과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 부각되고 있다. 왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다. 오늘의 상황은 워너크라이와 페트야 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어의 취약점을 공격했다. 이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다. 패치 관리란 무엇인가? 소프트웨어를 새로운 코드로 업데이트하는 패치 관리는, 대부분 해커가 악용할 수 있는 취약성을 해결해 주지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다. 이 활동이 꽤 간단해 보이기도 하지만 대부분의 IT 조직에게 패치 관리는 쉬운 일이 아니다. 복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다. IT 거버넌스에 집중하는 국제적인 전문 협회 ISACA의 이사 겸 사이버보안 활동 전문가 프랭크 다운스는 "대형 조직 도는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에...

CSO 워너크라이 익스플로잇 소프트웨어 업데이트 사이버보안 패치 공격 취약점 CISO 가트너 펫티야

2019.03.19

패치 관리는 취약점을 해결하고자 간단히 소프트웨어를 업데이트하는 것이다. 단순할 것처럼 들리지만 실제로 대부분 IT조직에서 패치 관리는 쉬운 프로세스가 아니다. 패치 관리 프로세스에 필요한 6단계 조치를 소개한다.   전 세계 사이버보안 관계자들이 지난 20년 동안 제조된 대부분의 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터 및 멜트다운과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 부각되고 있다. 왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다. 오늘의 상황은 워너크라이와 페트야 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어의 취약점을 공격했다. 이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다. 패치 관리란 무엇인가? 소프트웨어를 새로운 코드로 업데이트하는 패치 관리는, 대부분 해커가 악용할 수 있는 취약성을 해결해 주지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다. 이 활동이 꽤 간단해 보이기도 하지만 대부분의 IT 조직에게 패치 관리는 쉬운 일이 아니다. 복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다. IT 거버넌스에 집중하는 국제적인 전문 협회 ISACA의 이사 겸 사이버보안 활동 전문가 프랭크 다운스는 "대형 조직 도는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에...

2019.03.19

칼럼 | 보안의 '뉴노멀'이 된 제로데이 익스플로잇

그동안 IT 보안 영역에서는 제로데이 익스플로잇이 매우 드물고, 대다수를 차지하는 비-제로데이에 더 신경 써야 한다고 것이 통설이었다. 그러나 최근 마이크로소프트의 보안 연구자인 매트 밀러가 마이크로소프트 윈도우 익스플로잇의 진화와 마이크로스프트의 2월 7일의 최신 블루 햇 사건을 다룬 멋진 발표를 통해 이런 통설을 반박했다. 필자 역시 그의 발표를 듣기 전까지 제로데이가 드물다고 생각했다. 그러나 밀러가 수집한 최신 데이터를 보면 제로데이가 사실상 대세이고, 시간이 지나면서 오히려 비-제로데이가 힘을 잃어가고 있음을 알 수 있다. 그는 2017년 적극적으로 악용된 마이크로소프트의 취약점은 모두가 처음에는 제로데이 공격으로 시작됐음을 입증했다. 제로데이 공격 비중은 2012년에 52%였고, 2008년에는 21%에 불과했다. 말한 것도 없이, 그의 발표는 수많은 논쟁을 불러 일으켰다. 많은 사람이 대다수 익스플로잇의 패치가 없는 상황에서 패칭이 얼마나 중요한 역할을 하겠냐고 의문을 제기했다. 그러나 이 발표의 진정한 교훈은 방어 체계를 구축하는 데 하나의 정보에만 의존해선 안된다는 것이다. 지금부터 이 주장을 뒷받침하는 몇몇 사례를 살펴보자. 대다수 취약점은 악용되지 않는다  한 해 새롭게 발견되는 공개적 취약점은 1만 5,000개가 넘지만 대다수는 결코 악용되지 않는다. 밀러의 자료를 보면, 불과 0.02%만이 실제로 악용됐다. 588개의 윈도우 CVE 가운데 12개다. 리스크 관리 업체 케나 시큐리티(Kenna Security)의 데이터가 맥락이 같다. 이 업체에 따르면, 모든 CVE 가운데 불과 0.6%만이 현실에서 악용된다(마이크로소프트 윈도우 CVE에 국한되는 것이 아님).    이는 매우 중요한 뉴스다. 필자가 여러 해 동안 강조한 사실이기도 하다. 공개된 취약점 대다수는 사실 걱정할 필요가 없다. 현실에서 적극적으로 악용되는 것만 걱정하면 된다. 1만 5,000개가 넘는 취약점을 모두 패치하는 대신 ...

보안 마이크로소프트 취약점 뉴노멀 익스플로잇

2019.02.25

그동안 IT 보안 영역에서는 제로데이 익스플로잇이 매우 드물고, 대다수를 차지하는 비-제로데이에 더 신경 써야 한다고 것이 통설이었다. 그러나 최근 마이크로소프트의 보안 연구자인 매트 밀러가 마이크로소프트 윈도우 익스플로잇의 진화와 마이크로스프트의 2월 7일의 최신 블루 햇 사건을 다룬 멋진 발표를 통해 이런 통설을 반박했다. 필자 역시 그의 발표를 듣기 전까지 제로데이가 드물다고 생각했다. 그러나 밀러가 수집한 최신 데이터를 보면 제로데이가 사실상 대세이고, 시간이 지나면서 오히려 비-제로데이가 힘을 잃어가고 있음을 알 수 있다. 그는 2017년 적극적으로 악용된 마이크로소프트의 취약점은 모두가 처음에는 제로데이 공격으로 시작됐음을 입증했다. 제로데이 공격 비중은 2012년에 52%였고, 2008년에는 21%에 불과했다. 말한 것도 없이, 그의 발표는 수많은 논쟁을 불러 일으켰다. 많은 사람이 대다수 익스플로잇의 패치가 없는 상황에서 패칭이 얼마나 중요한 역할을 하겠냐고 의문을 제기했다. 그러나 이 발표의 진정한 교훈은 방어 체계를 구축하는 데 하나의 정보에만 의존해선 안된다는 것이다. 지금부터 이 주장을 뒷받침하는 몇몇 사례를 살펴보자. 대다수 취약점은 악용되지 않는다  한 해 새롭게 발견되는 공개적 취약점은 1만 5,000개가 넘지만 대다수는 결코 악용되지 않는다. 밀러의 자료를 보면, 불과 0.02%만이 실제로 악용됐다. 588개의 윈도우 CVE 가운데 12개다. 리스크 관리 업체 케나 시큐리티(Kenna Security)의 데이터가 맥락이 같다. 이 업체에 따르면, 모든 CVE 가운데 불과 0.6%만이 현실에서 악용된다(마이크로소프트 윈도우 CVE에 국한되는 것이 아님).    이는 매우 중요한 뉴스다. 필자가 여러 해 동안 강조한 사실이기도 하다. 공개된 취약점 대다수는 사실 걱정할 필요가 없다. 현실에서 적극적으로 악용되는 것만 걱정하면 된다. 1만 5,000개가 넘는 취약점을 모두 패치하는 대신 ...

2019.02.25

'패치만 잘해줬어도…' 관리 프로세스 6단계

전 세계 사이버 보안 관계자들이 지난 20년 동안 제조된 대부분 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터(Spectre) 및 멜트다운(Meltdown)과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 주목받고 있다. 왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다. 오늘의 상황은 워너크라이(WannaCry)와 페티야(Petya) 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어 취약점을 공격했다. 이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버 보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다. 패치 관리란 무엇인가? 패치 관리는 소프트웨어를 새로운 코드로 업데이트하는 것으로써, 대부분 해커가 악용할 수 있는 취약성을 해결하는 것이지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다. 이 활동이 꽤 간단해 보이기도 하지만 대부분 IT조직에게 패치 관리는 쉬운 일이 아니다. 복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다. IT거버넌스에 집중하는 국제적인 전문협회 ISACA의 이사 겸 사이버 보안 활동 전문가 프랭크 다운스는 "대형 조직 또는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에 여러 가지 일이 발생할 수 있다. 배치가 보안 구멍을 해결할 수 있지만 여러 의도하지 않은 결과가...

CSO 패치 관리 멜트다운 스펙터 워너크라이 익스플로잇 사이버 보안 업데이트 공격 취약점 CISO 가트너 페티야

2018.04.13

전 세계 사이버 보안 관계자들이 지난 20년 동안 제조된 대부분 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터(Spectre) 및 멜트다운(Meltdown)과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 주목받고 있다. 왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다. 오늘의 상황은 워너크라이(WannaCry)와 페티야(Petya) 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어 취약점을 공격했다. 이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버 보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다. 패치 관리란 무엇인가? 패치 관리는 소프트웨어를 새로운 코드로 업데이트하는 것으로써, 대부분 해커가 악용할 수 있는 취약성을 해결하는 것이지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다. 이 활동이 꽤 간단해 보이기도 하지만 대부분 IT조직에게 패치 관리는 쉬운 일이 아니다. 복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다. IT거버넌스에 집중하는 국제적인 전문협회 ISACA의 이사 겸 사이버 보안 활동 전문가 프랭크 다운스는 "대형 조직 또는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에 여러 가지 일이 발생할 수 있다. 배치가 보안 구멍을 해결할 수 있지만 여러 의도하지 않은 결과가...

2018.04.13

보안, 성능, TCO로 본 데이터센터 침입 방지 시스템 5종 비교

일반적인 IPS는 최종 사용자 활동을 보호하기 위해 기업 네트워크 경계에 설치되지만 DCIPS(Data Center Intrusion-Prevention System)는 데이터센터 서버와 여기에서 구동하는 애플리케이션을 보호하기 위해 데이터센터 경계 안쪽에 놓인다. 최근 NSS랩(NSS Labs)은 5개 DCIPS 제품의 보안, 성능, 총소유비용(TCO)을 시험한 결과 DCIPS가 서버 팜(Server Farm)에서 대형 애플리케이션에 접근하는 수십만 명의 잠재적인 사용자로부터 발생하는 트래픽에 대응해야 한다고 전했다. 보안 인프라 제품 및 서비스를 위한 사이버 보안 시험 및 구매 안내에 특화된 NSS랩은 “애플리케이션 트래픽으로 인해 요청당 많은 연결과 거래가 발생하기 때문에 네트워크 보안 장비가 많은 연결을 신속하게 설정하고 여러 연결을 개방해 두며 높은 처리량을 달성할 수 있어야 한다”고 밝혔다. NSS의 연구원들은 5개 제품을 시험하여 긍정 오류나 네트워크 성능 저하 없이 웹, 애플리케이션, 데이터베이스 서버에 대한 위협을 얼마나 잘 식별하고 차단하는지 살펴보았다. 다음은 NSS랩이 시험한 5개 제품이다. • 포티넷 포티게이트(Fortinet FortiGate) 3000D v5.4.5 GA 빌드(Build) 3273 • 포티넷 포티게이트(Fortinet FortiGate) 7060E v5.4.5 GA 빌드(Build) 6355 • 주니퍼 네트웍스(Juniper Networks) SRX5400E v15.1X49-D100.6 • 맥아피 네트워크 시큐리티 플랫폼(McAfee Network Security Platform) NS9100 어플라이언스(Appliance) v9.1.5.3 • 트렌드마이크로 티핑포인트(Trend Micro TippingPoint) 8400TX v5.0.0.4815 또한 해당 연구소는 시스코의 제품도 시험했지만 결과가 검증되지 않았다....

TCO 트렌드마이크로 티핑포인트 맥아피 네트워크 시큐리티 플랫폼 포티넷 포티게이트 총 소유비용 침입방지시스템 DCIPS 테이터센터 침입 방지 시스템 신뢰성 익스플로잇 주니퍼 네트웍스 NSS랩 IPS IP 안정성 트래픽 모더 인텔리전스

2018.02.26

일반적인 IPS는 최종 사용자 활동을 보호하기 위해 기업 네트워크 경계에 설치되지만 DCIPS(Data Center Intrusion-Prevention System)는 데이터센터 서버와 여기에서 구동하는 애플리케이션을 보호하기 위해 데이터센터 경계 안쪽에 놓인다. 최근 NSS랩(NSS Labs)은 5개 DCIPS 제품의 보안, 성능, 총소유비용(TCO)을 시험한 결과 DCIPS가 서버 팜(Server Farm)에서 대형 애플리케이션에 접근하는 수십만 명의 잠재적인 사용자로부터 발생하는 트래픽에 대응해야 한다고 전했다. 보안 인프라 제품 및 서비스를 위한 사이버 보안 시험 및 구매 안내에 특화된 NSS랩은 “애플리케이션 트래픽으로 인해 요청당 많은 연결과 거래가 발생하기 때문에 네트워크 보안 장비가 많은 연결을 신속하게 설정하고 여러 연결을 개방해 두며 높은 처리량을 달성할 수 있어야 한다”고 밝혔다. NSS의 연구원들은 5개 제품을 시험하여 긍정 오류나 네트워크 성능 저하 없이 웹, 애플리케이션, 데이터베이스 서버에 대한 위협을 얼마나 잘 식별하고 차단하는지 살펴보았다. 다음은 NSS랩이 시험한 5개 제품이다. • 포티넷 포티게이트(Fortinet FortiGate) 3000D v5.4.5 GA 빌드(Build) 3273 • 포티넷 포티게이트(Fortinet FortiGate) 7060E v5.4.5 GA 빌드(Build) 6355 • 주니퍼 네트웍스(Juniper Networks) SRX5400E v15.1X49-D100.6 • 맥아피 네트워크 시큐리티 플랫폼(McAfee Network Security Platform) NS9100 어플라이언스(Appliance) v9.1.5.3 • 트렌드마이크로 티핑포인트(Trend Micro TippingPoint) 8400TX v5.0.0.4815 또한 해당 연구소는 시스코의 제품도 시험했지만 결과가 검증되지 않았다....

2018.02.26

칼럼 | 멜트다운과 스펙터 익스플로잇, '두려워 말고 팩트만 보라'

인텔을 비롯한 여러 기업이 지난 일주일 동안 발표한 컴퓨터 칩 익스플로잇에 대해 여러 가지 정보가 떠돌고 있다. 그 중에는 정확한 것도 있지만 선정적이고 과장된 정보도 있다. 멜트다운(Meltdown)과 스펙터(Spectre) 결함을 기술적으로 깊게 다루는 정보는 많으므로, 여기서는 기술적인 내용보다는 비즈니스 및 개인 컴퓨터 사용자에게 미치는 전반적인 영향을 중심을 살펴보자. 첫째, 이번 익스플로잇은 모든 주요 컴퓨터 칩 아키텍처에 영향을 미친다. 주요 칩 제조업체(AMD, ARM, 인텔)는 이 공동의 적이 대부분의 모던 컴퓨터 칩에 미치는 잠재적인 영향을 최소화하는 데 협력하기로 했다. 또한, 리눅스, 윈도우의 마이크로소프트, 맥OS의 애플 같은 주요 소프트웨어 업체와 VM웨어, 시트릭스 등의 가상화 소프트웨어 공급업체 모두 이 위협을 완화하기 위해 손을 잡았다. 그런데 그 위협이란 무엇일까? 현재 밝혀진 바로는 3가지 잠재적인 위협이 있는데, 이를 통틀어 멜트다운과 스펙터로 부른다. 멜트다운과 스펙터는 서로 다르면서도 관련되어 있는 비슷한 익스플로잇으로 컴퓨터 데이터에 대한 접근 권한을 획득한다. 주요 업체(인텔, AMD, ARM)에서 만든 거의 모든 모던 칩 아키텍처가 영향을 받으므로 사실상 데이터센터에서 PC, 스마트폰에 이르기까지 수많은 모던 컴퓨터 시스템이 영향권에 포함된다. 윈도우, 리눅스, 맥OS, 안드로이드에 이르는 모든 주요 운영체제, VM웨어와 시트릭스 등의 가상화 환경에 영향을 미친다. 그러나 문제의 특정 기능을 사용하지 않는 저수준 또는 실시간 운영 체제(예: QNX), 그리고 사물인터넷에 사용되는 저수준 컨트롤러 칩은 영향을 받지 않는다. 기본적으로 이 익스플로잇은 컴퓨터 커널에서 사용하도록 예약된, 보호되는 메모리 위치를 읽는 데서 비롯된다. 이른바 “예측 실행(speculative execution)”이라는 아키텍처 기술이 이용되는데 이는 컴퓨터 성능을 크게 향상시키는 예측 명령 및 데이...

인텔 CPU 익스플로잇 스펙터 멜트다운

2018.01.09

인텔을 비롯한 여러 기업이 지난 일주일 동안 발표한 컴퓨터 칩 익스플로잇에 대해 여러 가지 정보가 떠돌고 있다. 그 중에는 정확한 것도 있지만 선정적이고 과장된 정보도 있다. 멜트다운(Meltdown)과 스펙터(Spectre) 결함을 기술적으로 깊게 다루는 정보는 많으므로, 여기서는 기술적인 내용보다는 비즈니스 및 개인 컴퓨터 사용자에게 미치는 전반적인 영향을 중심을 살펴보자. 첫째, 이번 익스플로잇은 모든 주요 컴퓨터 칩 아키텍처에 영향을 미친다. 주요 칩 제조업체(AMD, ARM, 인텔)는 이 공동의 적이 대부분의 모던 컴퓨터 칩에 미치는 잠재적인 영향을 최소화하는 데 협력하기로 했다. 또한, 리눅스, 윈도우의 마이크로소프트, 맥OS의 애플 같은 주요 소프트웨어 업체와 VM웨어, 시트릭스 등의 가상화 소프트웨어 공급업체 모두 이 위협을 완화하기 위해 손을 잡았다. 그런데 그 위협이란 무엇일까? 현재 밝혀진 바로는 3가지 잠재적인 위협이 있는데, 이를 통틀어 멜트다운과 스펙터로 부른다. 멜트다운과 스펙터는 서로 다르면서도 관련되어 있는 비슷한 익스플로잇으로 컴퓨터 데이터에 대한 접근 권한을 획득한다. 주요 업체(인텔, AMD, ARM)에서 만든 거의 모든 모던 칩 아키텍처가 영향을 받으므로 사실상 데이터센터에서 PC, 스마트폰에 이르기까지 수많은 모던 컴퓨터 시스템이 영향권에 포함된다. 윈도우, 리눅스, 맥OS, 안드로이드에 이르는 모든 주요 운영체제, VM웨어와 시트릭스 등의 가상화 환경에 영향을 미친다. 그러나 문제의 특정 기능을 사용하지 않는 저수준 또는 실시간 운영 체제(예: QNX), 그리고 사물인터넷에 사용되는 저수준 컨트롤러 칩은 영향을 받지 않는다. 기본적으로 이 익스플로잇은 컴퓨터 커널에서 사용하도록 예약된, 보호되는 메모리 위치를 읽는 데서 비롯된다. 이른바 “예측 실행(speculative execution)”이라는 아키텍처 기술이 이용되는데 이는 컴퓨터 성능을 크게 향상시키는 예측 명령 및 데이...

2018.01.09

현직 CIO·CSO가 말하는 '사이버 공격 대응 방법'

IT임원이 가장 두려워하는 사이버보안 위협은 무엇일까? 금융기업과 공공기관 CIO 및 CSO 3인이 사이버보안 위협에 어떻게 대응하고 있고 선호하는 보안 툴은 무엇인지 정보를 공유했다. CIO와 CISO에게 간밤에 잠을 설치게 하는 사이버보안 문제가 무엇인지 묻는다면 피싱(Phishing) 등의 소셜 엔지니어링 해킹뿐만이 아니라 범인들이 사용자의 웹사이트를 탈취할 수 있는 악성코드, 무서운 랜섬웨어, 서비스 거부(Denial Of Service) 공격 등 다양한 문제를 언급할 것이다. 업무에 따라 ‘앞서 말한 모든 것’을 지목하는 사람도 있을 것이다. 이러한 위협으로 인해 민족 국가 활동자, 외로운 늑대 공격자, 기타 기업 데이터에 접근하려는 불평분자로부터 기업 데이터를 보호하기 위한 사이버보안 툴 투자가 증가하고 있다. IT책임자들은 하나의 적절한 익스플로잇(Exploit) 공격으로도 기업 네트워크에 침투할 수 있다는 사실을 알고 있지만 최고의 접근방식이 공격면을 축소하고 공격 시 사고에 대응할 준비를 하는 것이라는 점도 인지하고 있다. 준비를 위해서는 인재와 기술에 대한 상당한 투자가 필요하다. IDC는 기업이 사이버보안 소프트웨어, 서비스, 하드웨어에 2016년에 지출한 것으로 예상되는 737억 달러보다 38% 증가한 1,016억 달러를 지출할 것이라고 밝혔다. 독자 여러분의 전략 개발을 돕기 위해 2명의 CSO와 1명의 CIO가 각각 자신이 선호하는 보안 툴에 대한 경험을 공유했다. 에이온(Aon) CSO 앤서니 벨피오르 가장 큰 보험 및 재보험사인 에이온은 해커들의 중요한 표적이다. 에이온의 CSO 벨피오르(왼쪽 사진)는 디도스(Distributed Denial Of Service) 공격이 가장 걱정된다고 밝혔다. 대부분의 기업은 사업을 더욱 신속하게 통합하기 위해 컴퓨팅 시스템을 대부분 통합했다. 그들은 VOIP, 채팅, 이메일을 포함하여 기업 소프트웨어를 하나의 중앙 시스템에서 운영하는 경향이 ...

CIO 채팅 랜섬웨어 dos 보험 사이버보안 소셜 엔지니어링 공격 CISO 피싱 이메일 정부 해킹 익스플로잇

2017.04.06

IT임원이 가장 두려워하는 사이버보안 위협은 무엇일까? 금융기업과 공공기관 CIO 및 CSO 3인이 사이버보안 위협에 어떻게 대응하고 있고 선호하는 보안 툴은 무엇인지 정보를 공유했다. CIO와 CISO에게 간밤에 잠을 설치게 하는 사이버보안 문제가 무엇인지 묻는다면 피싱(Phishing) 등의 소셜 엔지니어링 해킹뿐만이 아니라 범인들이 사용자의 웹사이트를 탈취할 수 있는 악성코드, 무서운 랜섬웨어, 서비스 거부(Denial Of Service) 공격 등 다양한 문제를 언급할 것이다. 업무에 따라 ‘앞서 말한 모든 것’을 지목하는 사람도 있을 것이다. 이러한 위협으로 인해 민족 국가 활동자, 외로운 늑대 공격자, 기타 기업 데이터에 접근하려는 불평분자로부터 기업 데이터를 보호하기 위한 사이버보안 툴 투자가 증가하고 있다. IT책임자들은 하나의 적절한 익스플로잇(Exploit) 공격으로도 기업 네트워크에 침투할 수 있다는 사실을 알고 있지만 최고의 접근방식이 공격면을 축소하고 공격 시 사고에 대응할 준비를 하는 것이라는 점도 인지하고 있다. 준비를 위해서는 인재와 기술에 대한 상당한 투자가 필요하다. IDC는 기업이 사이버보안 소프트웨어, 서비스, 하드웨어에 2016년에 지출한 것으로 예상되는 737억 달러보다 38% 증가한 1,016억 달러를 지출할 것이라고 밝혔다. 독자 여러분의 전략 개발을 돕기 위해 2명의 CSO와 1명의 CIO가 각각 자신이 선호하는 보안 툴에 대한 경험을 공유했다. 에이온(Aon) CSO 앤서니 벨피오르 가장 큰 보험 및 재보험사인 에이온은 해커들의 중요한 표적이다. 에이온의 CSO 벨피오르(왼쪽 사진)는 디도스(Distributed Denial Of Service) 공격이 가장 걱정된다고 밝혔다. 대부분의 기업은 사업을 더욱 신속하게 통합하기 위해 컴퓨팅 시스템을 대부분 통합했다. 그들은 VOIP, 채팅, 이메일을 포함하여 기업 소프트웨어를 하나의 중앙 시스템에서 운영하는 경향이 ...

2017.04.06

CIA 문건 공개 파장··· SW업체를 얼마나 믿을 수 있나?

최근 미 CIA(Central Intelligence Agency)의 사이버 간첩행위에 대한 공개가 잇따르면서 소프트웨어 업체들이 시의적절하게 취약성을 수정하겠다는 약속을 반복했으며 사용자들에게 해당 기관에서 유출된 문서에 기술된 결함 중 많은 부분을 수정했다고 밝혔다. 제로데이 취약성은 앞으로도 계속 존재할 것이다.  홍보의 관점에서는 이런 약속을 이해할 수 있지만 실제로 국가의 후원을 받는 해커들이 노리는 기업들과 사용자들에게는 아무런 차이가 없다. 그들이 사용하는 소프트웨어는 안전하지 않을뿐더러 지난 14일 위키리크스(WikiLeaks)가 8,700건 이상의 CIA 문건을 공개하기 이전보다 더욱 안전해지지도 않았다. 유출된 파일에는 CIA의 사이버 부서에서 모든 주요 데스크톱 및 모바일 운영체제뿐만이 아니라 네트워킹 장비와 스마트TV 등 임베디드 기기를 해킹하는 데 사용하는 악성코드 툴과 익스플로잇 공격에 관해 설명되어 있었다. 해당 문서에는 이런 툴의 실제 코드가 포함되어 있지는 않았으며 그 중 좀 더 자세한 것으로 보이는 설명은 수정되었다. 위키리크스의 설립자 줄리안 어산지는 자신의 조직이 소프트웨어 업체들과 비공 세부사항을 공유하여 취약성을 패치할 수 있도록 하겠다고 말했다. 하지만 위키리크스가 그렇게 한다 하더라도 정보는 특정 순간에 관한 것이라는 사실을 인식하는 것이 중요하다. 해당 문서의 가장 최근 날짜 문자열은 2016년 3월 초부터 시작되기 때문에 CIA의 시스템에서 파일을 복사한 시점을 알 수 있다. 일부 익스플로잇 공격 목록도 마찬가지다. 예를 들어, 애플의 iOS에 대한 익스플로잇 공격을 설명한 페이지에는 iOS 버전 별로 배열한 표가 포함되어 있다. 해당 표는 2015년 12월에 공개된 iOS 9.2에서 끝난다. 그 이후의 중요 업데이트인 iOS 9.3은 2016년 3월 말에 공개됐다. 영국의 GCHQ에서 획득한 커널 익스플로잇 공격인 ‘난다오(Nandao)’는 ...

애플 임베디드 기기 익스플로잇 해킹팀 취약성 스마트TV 제로데이 CIA iOS 데스크톱 OS 소프트웨어 위키리크스 난다오

2017.03.15

최근 미 CIA(Central Intelligence Agency)의 사이버 간첩행위에 대한 공개가 잇따르면서 소프트웨어 업체들이 시의적절하게 취약성을 수정하겠다는 약속을 반복했으며 사용자들에게 해당 기관에서 유출된 문서에 기술된 결함 중 많은 부분을 수정했다고 밝혔다. 제로데이 취약성은 앞으로도 계속 존재할 것이다.  홍보의 관점에서는 이런 약속을 이해할 수 있지만 실제로 국가의 후원을 받는 해커들이 노리는 기업들과 사용자들에게는 아무런 차이가 없다. 그들이 사용하는 소프트웨어는 안전하지 않을뿐더러 지난 14일 위키리크스(WikiLeaks)가 8,700건 이상의 CIA 문건을 공개하기 이전보다 더욱 안전해지지도 않았다. 유출된 파일에는 CIA의 사이버 부서에서 모든 주요 데스크톱 및 모바일 운영체제뿐만이 아니라 네트워킹 장비와 스마트TV 등 임베디드 기기를 해킹하는 데 사용하는 악성코드 툴과 익스플로잇 공격에 관해 설명되어 있었다. 해당 문서에는 이런 툴의 실제 코드가 포함되어 있지는 않았으며 그 중 좀 더 자세한 것으로 보이는 설명은 수정되었다. 위키리크스의 설립자 줄리안 어산지는 자신의 조직이 소프트웨어 업체들과 비공 세부사항을 공유하여 취약성을 패치할 수 있도록 하겠다고 말했다. 하지만 위키리크스가 그렇게 한다 하더라도 정보는 특정 순간에 관한 것이라는 사실을 인식하는 것이 중요하다. 해당 문서의 가장 최근 날짜 문자열은 2016년 3월 초부터 시작되기 때문에 CIA의 시스템에서 파일을 복사한 시점을 알 수 있다. 일부 익스플로잇 공격 목록도 마찬가지다. 예를 들어, 애플의 iOS에 대한 익스플로잇 공격을 설명한 페이지에는 iOS 버전 별로 배열한 표가 포함되어 있다. 해당 표는 2015년 12월에 공개된 iOS 9.2에서 끝난다. 그 이후의 중요 업데이트인 iOS 9.3은 2016년 3월 말에 공개됐다. 영국의 GCHQ에서 획득한 커널 익스플로잇 공격인 ‘난다오(Nandao)’는 ...

2017.03.15

"매년 모든 시스템의 보안 유지보수 예산 편성해야" 전문가 조언

심포지엄 2016(SIMposium 2016)에 참가한 전문가들이 IoT를 통한 대규모 디도스 공격에 관해 의견을 공유했다. "금요일에 인터넷 접속에 문제가 있었던 사람이 몇 명이나 될까?" 지난 10월 25일, 코네티컷(Connecticut)의 모히건 선(Mohegan Sun) 리조트에서 2016 심포지엄(SIMposium)이 열렸고, 여기에 참가한 CIO 및 IT 임원들은 ‘의도하지 않은 사물인터넷의 결과’에 관해 의견을 나눴다. 이 행사의 발표 연사인 사이버 보안 컨설턴트 브라이스 오스틴은 이렇게 운을 뗐다. 이후 불편한 웃음이 이어졌다. 오스틴은 자신의 세션이 원래 프로그램에 없었지만 그렇다고 최근에 발생한 악명 높은 IoT 익스플로잇 Dyn DDoS 공격 때문에 발표 내용에 갑작스럽게 추가된 것은 아니라고 밝혔다. SIM(Society for Information Management)의 구성원들이 이 주제를 숨겼던 것은 아니었다. 올해 초 SIM은 사이버 보안 특수 이익 그룹을 출범했으며 최근 SIM의 연례 IT 트렌드 연구가 공개되면서 사이버 보안이 큰 관심을 얻게 되었다. 자신의 집에서는 인터넷에 연결된 온도 조절 장치를 사용하지 않는다고 밝힌 오스틴은 해커들이 이런 장치를 조작하여 온도를 낮춤으로써 수도배관을 동파시키거나 높여서 애완동물을 죽일 수 있는 끔찍한 시나리오에 대해 설명했다. 예전에 그의 발표 세션에 참가한 바 있는 가자 중 한 사람은 더욱 끔찍한 사례를 들었다. 도시에 수십 억 달러짜리 발전소를 건설하려는 기업이 여러 개의 온도 조절 장치로 온도를 떨어뜨려 부분적인 전압을 낮추고 유권자들에게 불필요한 시설을 위해 세금을 지불하도록 한다면 어떨까? 오스틴은 "꽤 우울한 생각이다"며 "누가 그렇게 할까? 엔론(Enron)이면 가능하다!”고 말했다. TCE 스트래터지(TCE Strategy)의 브라이스 오스틴은 IoT...

CIO 2016 심포지엄 Dyn Mirai 미라이 IoT 보안 익스플로잇 봇넷 디도스 공격 DDoS CISO AT&T CSO SIMposium

2016.10.31

심포지엄 2016(SIMposium 2016)에 참가한 전문가들이 IoT를 통한 대규모 디도스 공격에 관해 의견을 공유했다. "금요일에 인터넷 접속에 문제가 있었던 사람이 몇 명이나 될까?" 지난 10월 25일, 코네티컷(Connecticut)의 모히건 선(Mohegan Sun) 리조트에서 2016 심포지엄(SIMposium)이 열렸고, 여기에 참가한 CIO 및 IT 임원들은 ‘의도하지 않은 사물인터넷의 결과’에 관해 의견을 나눴다. 이 행사의 발표 연사인 사이버 보안 컨설턴트 브라이스 오스틴은 이렇게 운을 뗐다. 이후 불편한 웃음이 이어졌다. 오스틴은 자신의 세션이 원래 프로그램에 없었지만 그렇다고 최근에 발생한 악명 높은 IoT 익스플로잇 Dyn DDoS 공격 때문에 발표 내용에 갑작스럽게 추가된 것은 아니라고 밝혔다. SIM(Society for Information Management)의 구성원들이 이 주제를 숨겼던 것은 아니었다. 올해 초 SIM은 사이버 보안 특수 이익 그룹을 출범했으며 최근 SIM의 연례 IT 트렌드 연구가 공개되면서 사이버 보안이 큰 관심을 얻게 되었다. 자신의 집에서는 인터넷에 연결된 온도 조절 장치를 사용하지 않는다고 밝힌 오스틴은 해커들이 이런 장치를 조작하여 온도를 낮춤으로써 수도배관을 동파시키거나 높여서 애완동물을 죽일 수 있는 끔찍한 시나리오에 대해 설명했다. 예전에 그의 발표 세션에 참가한 바 있는 가자 중 한 사람은 더욱 끔찍한 사례를 들었다. 도시에 수십 억 달러짜리 발전소를 건설하려는 기업이 여러 개의 온도 조절 장치로 온도를 떨어뜨려 부분적인 전압을 낮추고 유권자들에게 불필요한 시설을 위해 세금을 지불하도록 한다면 어떨까? 오스틴은 "꽤 우울한 생각이다"며 "누가 그렇게 할까? 엔론(Enron)이면 가능하다!”고 말했다. TCE 스트래터지(TCE Strategy)의 브라이스 오스틴은 IoT...

2016.10.31

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9