Offcanvas

APT

“중요 기업 자산의 94%, 최초 침입 지점서 4단계 이내에 뚫린다” XM 사이버

사이버 공격 방법, 공격 경로, 영향 등을 분석하는 ‘XM 사이버(XM Cyber)’의 최신 보고서에 따르면 공격자는 최초 침입 지점에서 불과 4단계 이내에 중요 자산의 94%를 손상시킬 수 있는 것으로 드러났다.  이 하이브리드 클라우드 보안 업체의 ‘공격 경로 관리 영향 보고서(Attack Path Management Impact Report)’는 2021년 한 해 동안 약 200만 개의 엔드포인트, 파일, 폴더, 클라우드 리소스에서 얻은 인사이트를 통합하여 온프레미스, 멀티 클라우드, 하이브리드 환경 전반에 걸쳐 중요한 자산에 영향을 미치는 공격 동향 및 기술의 주요 결과를 분석했다.    공격에 취약한 중요 자산, 아킬레스건은 자격 증명  보고서에 의하면 기업의 중요 자산 가운데 75%가 현 보안 상태에서 위험에 노출될 가능성이 있으며, 작년에 사용된 주요 공격 기법 중 73%는 자격 증명을 잘못 관리하거나 또는 도난당한 것과 관련돼 있었다. 또한 가장 일반적인 공격 기법의 4분의 1(27%)이 취약점이나 잘못된 구성을 악용했다.  XM 사이버의 리서치 책임자 주르 울리아니츠키는 “기업들이 비즈니스를 가속하기 위해 더 많은 플랫폼, 앱, 기타 기술 등에 투자하고 있다. 하지만 이러한 모든 기술 간의 상호연결이 상당한 위험을 초래한다는 사실을 깨닫지 못하는 경우가 많다”라면서, “사일로화된 팀이 네트워크 내에서 다양한 보안 구성요소를 담당하면 그 누구도 전체적인 그림을 볼 수 없다. 큰 그림에서 보지 못하면 중요 자산의 숨겨진 공격 경로일 수도 있는 작은 위험을 지나칠 수 있다. 오늘날의 기술 및 비즈니스 요구사항에 대응하려면 공격 경로 수정이 우선돼야 한다”라고 설명했다.  2021년에 사용된 새로운 공격 기법 XM 사이버는 2021년에 사용된 새로운 공격 기법을 분석해 APT(지속적 위협)가 어떻게 악용되고 환경에 침투하는지 살펴봤다. 연구진은 이를 (1) 클라우드 기법, (2) 원격코드 ...

엔터프라이즈 보안 자격 증명 공격 경로 APT

2022.04.01

사이버 공격 방법, 공격 경로, 영향 등을 분석하는 ‘XM 사이버(XM Cyber)’의 최신 보고서에 따르면 공격자는 최초 침입 지점에서 불과 4단계 이내에 중요 자산의 94%를 손상시킬 수 있는 것으로 드러났다.  이 하이브리드 클라우드 보안 업체의 ‘공격 경로 관리 영향 보고서(Attack Path Management Impact Report)’는 2021년 한 해 동안 약 200만 개의 엔드포인트, 파일, 폴더, 클라우드 리소스에서 얻은 인사이트를 통합하여 온프레미스, 멀티 클라우드, 하이브리드 환경 전반에 걸쳐 중요한 자산에 영향을 미치는 공격 동향 및 기술의 주요 결과를 분석했다.    공격에 취약한 중요 자산, 아킬레스건은 자격 증명  보고서에 의하면 기업의 중요 자산 가운데 75%가 현 보안 상태에서 위험에 노출될 가능성이 있으며, 작년에 사용된 주요 공격 기법 중 73%는 자격 증명을 잘못 관리하거나 또는 도난당한 것과 관련돼 있었다. 또한 가장 일반적인 공격 기법의 4분의 1(27%)이 취약점이나 잘못된 구성을 악용했다.  XM 사이버의 리서치 책임자 주르 울리아니츠키는 “기업들이 비즈니스를 가속하기 위해 더 많은 플랫폼, 앱, 기타 기술 등에 투자하고 있다. 하지만 이러한 모든 기술 간의 상호연결이 상당한 위험을 초래한다는 사실을 깨닫지 못하는 경우가 많다”라면서, “사일로화된 팀이 네트워크 내에서 다양한 보안 구성요소를 담당하면 그 누구도 전체적인 그림을 볼 수 없다. 큰 그림에서 보지 못하면 중요 자산의 숨겨진 공격 경로일 수도 있는 작은 위험을 지나칠 수 있다. 오늘날의 기술 및 비즈니스 요구사항에 대응하려면 공격 경로 수정이 우선돼야 한다”라고 설명했다.  2021년에 사용된 새로운 공격 기법 XM 사이버는 2021년에 사용된 새로운 공격 기법을 분석해 APT(지속적 위협)가 어떻게 악용되고 환경에 침투하는지 살펴봤다. 연구진은 이를 (1) 클라우드 기법, (2) 원격코드 ...

2022.04.01

지니언스, 원광대학교병원에 EDR 솔루션 공급

지니언스가 10월 5일 전북 익산의 상급종합병원 원광대학교병원의 EDR 구축 사업을 수주했다고 밝혔다.    호남지역의 대표 상급종합병원 원광대학교병원은 랜섬웨어, APT 등 고도화되고 지능화된 다양한 위협에 효율적으로 대응해 보다 안전한 의료서비스 제공을 목표로 EDR 솔루션 도입을 추진했다. 그 결과 원광대학교병원은 위협 탐지 대응 체계, 직관성, 안정화, 호환성 등 EDR 솔루션들을 면밀한 검토를 거쳐 지니언스의 EDR 솔루션 ‘지니언 인사이트 E(Genian Insight E)’를 선택했다고 지니언스는 전했다. 회사에 따르면 이 제품은 악성코드 유입과 감염, 취약점을 이용한 내부 확산 탐지, 반복적으로 발생하는 이상행위와 위협을 실시간으로 추적해 신속하게 대응하는 인텔리전스 보안 솔루션이다. 안티바이러스의 한계를 뛰어넘는 지능형 솔루션으로 최근 기승을 부리는 지능형 공격, 랜섬웨어 등의 공격 위협을 탐지하고 공격의 징후, 공격의 진행 등을 추적할 수 있어 차세대 보안 제품으로 각광을 받고 있다는 게 업체 측 설명이다. 특히, 사용자 단말의 가시성을 확보하고 이를 통해 위협의 탐지, 조사 대응이 가능함은 물론 침해사고지표(IOC), 머신러닝(ML), 행위기반 위협탐지(XBA), 야라(YARA) 등의 다양한 기술이 적용돼 알려지지 않은 모든 공격까지 탐지하고 대응할 수 있다. 원광대학교병원은 EDR 솔루션 도입을 통해 엔드포인트의 보안 위협 탐지 및 조기 대응, 단말의 보안성 강화 및 위협 가시성이 대폭 향상될 것으로 기대하고 있다. 지니언스 이동범 대표이사는 “전 세계적으로 사이버 위협에 노출되고 다양한 공격방법이 속속들이 등장하고 있다”라며, “지니언스의 EDR 솔루션은 검증된 단말안정성, 글로벌 수준의 위협탐지 역량, 국내 환경에 최적화된 기술력을 강점으로 원광대학교병원의 안전한 의료서비스 체계 완비에 일익을 담당할 것”이라고 밝혔다. ciokr@idg.co.kr

지니언스 병원 EDR 랜섬웨어 APT 악성코드

2021.10.05

지니언스가 10월 5일 전북 익산의 상급종합병원 원광대학교병원의 EDR 구축 사업을 수주했다고 밝혔다.    호남지역의 대표 상급종합병원 원광대학교병원은 랜섬웨어, APT 등 고도화되고 지능화된 다양한 위협에 효율적으로 대응해 보다 안전한 의료서비스 제공을 목표로 EDR 솔루션 도입을 추진했다. 그 결과 원광대학교병원은 위협 탐지 대응 체계, 직관성, 안정화, 호환성 등 EDR 솔루션들을 면밀한 검토를 거쳐 지니언스의 EDR 솔루션 ‘지니언 인사이트 E(Genian Insight E)’를 선택했다고 지니언스는 전했다. 회사에 따르면 이 제품은 악성코드 유입과 감염, 취약점을 이용한 내부 확산 탐지, 반복적으로 발생하는 이상행위와 위협을 실시간으로 추적해 신속하게 대응하는 인텔리전스 보안 솔루션이다. 안티바이러스의 한계를 뛰어넘는 지능형 솔루션으로 최근 기승을 부리는 지능형 공격, 랜섬웨어 등의 공격 위협을 탐지하고 공격의 징후, 공격의 진행 등을 추적할 수 있어 차세대 보안 제품으로 각광을 받고 있다는 게 업체 측 설명이다. 특히, 사용자 단말의 가시성을 확보하고 이를 통해 위협의 탐지, 조사 대응이 가능함은 물론 침해사고지표(IOC), 머신러닝(ML), 행위기반 위협탐지(XBA), 야라(YARA) 등의 다양한 기술이 적용돼 알려지지 않은 모든 공격까지 탐지하고 대응할 수 있다. 원광대학교병원은 EDR 솔루션 도입을 통해 엔드포인트의 보안 위협 탐지 및 조기 대응, 단말의 보안성 강화 및 위협 가시성이 대폭 향상될 것으로 기대하고 있다. 지니언스 이동범 대표이사는 “전 세계적으로 사이버 위협에 노출되고 다양한 공격방법이 속속들이 등장하고 있다”라며, “지니언스의 EDR 솔루션은 검증된 단말안정성, 글로벌 수준의 위협탐지 역량, 국내 환경에 최적화된 기술력을 강점으로 원광대학교병원의 안전한 의료서비스 체계 완비에 일익을 담당할 것”이라고 밝혔다. ciokr@idg.co.kr

2021.10.05

“2021년 APT, 사이버 위협 종류와 공격 전략 다양화” 카스퍼스키 

카스퍼스키가 2021년의 지능형 지속 공격(APT: Advanced Persistent Threats)에 대한 전망을 발표하고 향후 표적 공격이 어떻게 변화할 것인지 예측했다.  2020년에는 코로나19로 인해 일상생활뿐만 아니라 표적 공격 분야에서 구조적이면서 전략적인 많은 변화가 생길 것이며, 제로데이 취약점 공격과 같은 사이버 공격을 가능케 하는 활동에 맞선 적극적인 조치 및 다단계 공격과 함께 네트워크 기기 표적화 및 5G 취약성 검색과 같은 새로운 방식의 공격이 발생할 것이라고 업체 측은 설명했다.  이러한 예측은 카스퍼스키의 글로벌 연구분석팀(GReAT)이 2020년에 목격한 변화를 바탕으로 한 것이며, 사이버보안 커뮤니티를 지원하기 위해 몇 가지 지침 및 통찰력과 함께 공개했다.  카스퍼스키 연구원들이 예상하는 핵심적이면서 잠재적으로 가장 위험한 동향 중 하나는 APT공격 그룹들이 공격 대상에 접근하는 방식이 변화하고 있다는 점이다. 지난해 표적 랜섬웨어 공격은 공격 대상 네트워크에 대한 초기 발판을 마련하기 위한 수단으로 일반 악성 소프트웨어를 사용함으로써 새로운 수준에 도달하게 됐다.  카스퍼스키 연구원들은 APT 공격 그룹 들이 동일한 방법으로 위협을 주기 시작할 것이라고 전망하고 있다. 따라서, 조직은 일반 악성 프로그램에 대한 경각심을 높이고 감염된 각 컴퓨터에서 기본적인 사고 대응 활동을 수행하여 일반 악성 프로그램이 더욱 정교한 공격을 실행하는 수단으로 사용되지 않도록 해야 한다고 업체 측은 당부했다. 카스퍼스키는 기타 표적 공격 위협과 관련된 2021년 예측 내용은 ▲다수 국가가 법적 기소를 사이버 전략의 일환으로 사용할 것 ▲실리콘밸리 기업들의 제로데이 브로커 차단 조치 ▲네트워크 기기 공격 증가 ▲랜섬웨어 협박을 통한 금전 갈취 ▲더욱 파괴적인 공격 ▲5G 취약점의 출현 ▲공격자들은 코로나19 대유행을 계속 악용 등이다.   또한 카스퍼스키가 예측한 2021년 한...

카스퍼스키 APT 지능형 지속 공격 사이버 위협 제로데이 공격

2020.11.25

카스퍼스키가 2021년의 지능형 지속 공격(APT: Advanced Persistent Threats)에 대한 전망을 발표하고 향후 표적 공격이 어떻게 변화할 것인지 예측했다.  2020년에는 코로나19로 인해 일상생활뿐만 아니라 표적 공격 분야에서 구조적이면서 전략적인 많은 변화가 생길 것이며, 제로데이 취약점 공격과 같은 사이버 공격을 가능케 하는 활동에 맞선 적극적인 조치 및 다단계 공격과 함께 네트워크 기기 표적화 및 5G 취약성 검색과 같은 새로운 방식의 공격이 발생할 것이라고 업체 측은 설명했다.  이러한 예측은 카스퍼스키의 글로벌 연구분석팀(GReAT)이 2020년에 목격한 변화를 바탕으로 한 것이며, 사이버보안 커뮤니티를 지원하기 위해 몇 가지 지침 및 통찰력과 함께 공개했다.  카스퍼스키 연구원들이 예상하는 핵심적이면서 잠재적으로 가장 위험한 동향 중 하나는 APT공격 그룹들이 공격 대상에 접근하는 방식이 변화하고 있다는 점이다. 지난해 표적 랜섬웨어 공격은 공격 대상 네트워크에 대한 초기 발판을 마련하기 위한 수단으로 일반 악성 소프트웨어를 사용함으로써 새로운 수준에 도달하게 됐다.  카스퍼스키 연구원들은 APT 공격 그룹 들이 동일한 방법으로 위협을 주기 시작할 것이라고 전망하고 있다. 따라서, 조직은 일반 악성 프로그램에 대한 경각심을 높이고 감염된 각 컴퓨터에서 기본적인 사고 대응 활동을 수행하여 일반 악성 프로그램이 더욱 정교한 공격을 실행하는 수단으로 사용되지 않도록 해야 한다고 업체 측은 당부했다. 카스퍼스키는 기타 표적 공격 위협과 관련된 2021년 예측 내용은 ▲다수 국가가 법적 기소를 사이버 전략의 일환으로 사용할 것 ▲실리콘밸리 기업들의 제로데이 브로커 차단 조치 ▲네트워크 기기 공격 증가 ▲랜섬웨어 협박을 통한 금전 갈취 ▲더욱 파괴적인 공격 ▲5G 취약점의 출현 ▲공격자들은 코로나19 대유행을 계속 악용 등이다.   또한 카스퍼스키가 예측한 2021년 한...

2020.11.25

'소 잃기 전에 외양간 점검하라'··· 11가지 해커 유형과 미치는 영향

해커 유형, 해킹 동기 및 목적, 사용하는 악성코드 등을 이해한다면, 공격을 식별하고 적절하게 방어할 방법을 파악하는 데 도움이 된다.   지난 수십 년 동안 해커와 악성코드는 계속해서 진화해왔다. 컴퓨터가 퍼티(putty) 같은 화면만 보이는 큰 상자였을 때 해커들은 이제 막 걸음마를 배우고 유치한 장난을 치고 있었다. 어쩌면 화면에 “마리화나를 합법화하라!” 같은 문구를 띄우거나 양키 두들(Yankee Doodle)을 플레이하는 유치한 악성코드를 만들었을 수도 있다.    컴퓨터가 발전하고 자체적인 시장을 형성하자 해커들도 순진한 괴짜에서 대담한 범죄자 집단으로 변화하기 시작했다. 더 이상 컴퓨터는 새로운 것이 아니며 더 이상 해커들도 장난을 치진 않는다. 밤새 에너지 드링크와 정크 푸드를 먹으며 괴짜 같은 장난을 즐기던 사회 부적응자들은 사라졌다.  오늘날 해커들은 제대로 된 일자리가 있는 숙련된 전문가다. 보수도 좋고, HR팀도 있으며 휴가도 즐긴다. 해커 유형은 돈이나 권력을 얻는 방법만큼이나 다양하지만 나누자면 다음의 11가지 기본 유형으로 분류할 수 있다. 1. 은행 강도(Bank robber) 한때 말을 타고 쳐들어와 총을 겨누면서 은행이나 여행자의 돈을 훔치는 은행 강도와 노상강도가 있었다. 오늘날의 금융 해커는 랜섬웨어를 타고 쳐들어온다. 그리고 위조 송장부터 위조 수표, 날짜 사기, 가짜 에스크로 중개, DoS 공격에 이르기까지 계좌에서 돈을 훔칠 수 있는 모든 사기와 해킹을 사용한다. 탐욕은 인류와 역사를 같이 했다.  2. 국가(Nation-state) 오늘날 대부분의 선진국은 수천 명의 숙련된 해커들을 고용하고 있다. 이들이 하는 일은 무엇일까? 다른 국가의 군사 및 산업 네트워크에 숨어들어 자산을 파악하고 악의적인 백도어를 설치하는 것이다. 그리고 이를 통해 사이버전(cyberwarfare)을 준비하는 것이다.  이란 원자력 발전소의 우라늄 원심분리기 1,000대를 파...

보안 악성코드 해킹 해커 사이버전 스턱스넷 APT 데스스토커 크립토잭커 암호화폐 핵티비스트 어나니머스 봇넷 미라이 봇 애드웨어

2020.09.15

해커 유형, 해킹 동기 및 목적, 사용하는 악성코드 등을 이해한다면, 공격을 식별하고 적절하게 방어할 방법을 파악하는 데 도움이 된다.   지난 수십 년 동안 해커와 악성코드는 계속해서 진화해왔다. 컴퓨터가 퍼티(putty) 같은 화면만 보이는 큰 상자였을 때 해커들은 이제 막 걸음마를 배우고 유치한 장난을 치고 있었다. 어쩌면 화면에 “마리화나를 합법화하라!” 같은 문구를 띄우거나 양키 두들(Yankee Doodle)을 플레이하는 유치한 악성코드를 만들었을 수도 있다.    컴퓨터가 발전하고 자체적인 시장을 형성하자 해커들도 순진한 괴짜에서 대담한 범죄자 집단으로 변화하기 시작했다. 더 이상 컴퓨터는 새로운 것이 아니며 더 이상 해커들도 장난을 치진 않는다. 밤새 에너지 드링크와 정크 푸드를 먹으며 괴짜 같은 장난을 즐기던 사회 부적응자들은 사라졌다.  오늘날 해커들은 제대로 된 일자리가 있는 숙련된 전문가다. 보수도 좋고, HR팀도 있으며 휴가도 즐긴다. 해커 유형은 돈이나 권력을 얻는 방법만큼이나 다양하지만 나누자면 다음의 11가지 기본 유형으로 분류할 수 있다. 1. 은행 강도(Bank robber) 한때 말을 타고 쳐들어와 총을 겨누면서 은행이나 여행자의 돈을 훔치는 은행 강도와 노상강도가 있었다. 오늘날의 금융 해커는 랜섬웨어를 타고 쳐들어온다. 그리고 위조 송장부터 위조 수표, 날짜 사기, 가짜 에스크로 중개, DoS 공격에 이르기까지 계좌에서 돈을 훔칠 수 있는 모든 사기와 해킹을 사용한다. 탐욕은 인류와 역사를 같이 했다.  2. 국가(Nation-state) 오늘날 대부분의 선진국은 수천 명의 숙련된 해커들을 고용하고 있다. 이들이 하는 일은 무엇일까? 다른 국가의 군사 및 산업 네트워크에 숨어들어 자산을 파악하고 악의적인 백도어를 설치하는 것이다. 그리고 이를 통해 사이버전(cyberwarfare)을 준비하는 것이다.  이란 원자력 발전소의 우라늄 원심분리기 1,000대를 파...

2020.09.15

태니엄, 구글과의 파트너십 확장해 분산 IT 시대를 위한 보안 혁신 제공

높은 보안 수준의 IT 환경을 위한 엔드포인트 통합 관리 및 보안 플랫폼 제공업체 태니엄이 분산된 기업 및 조직의 비즈니스 운용 전환 속도 가속을 지원하기 위해 구글 클라우드(Google Cloud)와 파트너십을 확장했다고 발표했다. 태니엄이 공급하는 이번 솔루션은 기업들이 지능형 지속 공격(APT)을 감지, 조사, 및 분석을 할 수 있도록 지원하고, 태니엄의 위협 대응(Threat Response)과 구글 클라우드의 클라우드 분석 플랫폼인 크로니클(Chronicle)에서 통합돼 구현된다. 미국의 컨설팅 전문업체 부즈 앨런 해밀턴(Booz Allen Hamilton)의 연구에 따르면 기업 내에서 APT는 평균적으로 200일에서 250일간 잠복기를 갖는다. 이러한 위협이 감지되지 않고 오래 지속될수록 확산 범위가 확장되며, 성공적으로 조치를 취하기 위한 조사도 추가적으로 필요하다. 공격 벡터 전반에 대한 평균 잠복기가 짧아진다 하더라도, APT는 지속적으로 전통적인 방어를 회피해 기업 전반의 시스템과 데이터에 침투한다. 인력 분산과 클라우드 컴퓨팅의 전반적 가속화는 엔드포인트가 전통적인 네트워크 경계와 방어 외부에서 실행될 때 위협 벡터를 증가시킨다. 구글 클라우드의 서닐 포티 총괄 담당자 겸 클라우드 보안 부사장은 “사용자들은 태니엄과 구글 클라우드를 통해 품질, 범위, 적시성과 보안 텔레메트리(telemetry) 스토리지 비용 사이에서 어느 하나를 포기할 필요가 없다”라며 “지능형 지속 공격은 감지 및 대응을 위한 정교한 접근이 필요하다. 그 시작은 대부분의 침해 활동이 시작되는 엔드포인트다. 태니엄의 포괄적인 엔드포인트 보안 접근에서 소싱한 텔레메트리를 통해 고객들은 신속하게 조치를 취하고, 향후 침투를 방지하기 위해 침해 이후 활동에 대한 감지 및 조사에 필요한 데이터를 갖출 수 있다”고 말했다. 태니엄의 오리온 힌다위 공동창립자 겸 공동 CEO는 “크로니클과 협업한 솔루션은 태니엄 고객들에게 다른 엔드포인트 감지 및 대응 포인트 솔루션 보다 훨씬 ...

태니엄 구글 클라우드 크로니클 APT 텔레메트리

2020.08.18

높은 보안 수준의 IT 환경을 위한 엔드포인트 통합 관리 및 보안 플랫폼 제공업체 태니엄이 분산된 기업 및 조직의 비즈니스 운용 전환 속도 가속을 지원하기 위해 구글 클라우드(Google Cloud)와 파트너십을 확장했다고 발표했다. 태니엄이 공급하는 이번 솔루션은 기업들이 지능형 지속 공격(APT)을 감지, 조사, 및 분석을 할 수 있도록 지원하고, 태니엄의 위협 대응(Threat Response)과 구글 클라우드의 클라우드 분석 플랫폼인 크로니클(Chronicle)에서 통합돼 구현된다. 미국의 컨설팅 전문업체 부즈 앨런 해밀턴(Booz Allen Hamilton)의 연구에 따르면 기업 내에서 APT는 평균적으로 200일에서 250일간 잠복기를 갖는다. 이러한 위협이 감지되지 않고 오래 지속될수록 확산 범위가 확장되며, 성공적으로 조치를 취하기 위한 조사도 추가적으로 필요하다. 공격 벡터 전반에 대한 평균 잠복기가 짧아진다 하더라도, APT는 지속적으로 전통적인 방어를 회피해 기업 전반의 시스템과 데이터에 침투한다. 인력 분산과 클라우드 컴퓨팅의 전반적 가속화는 엔드포인트가 전통적인 네트워크 경계와 방어 외부에서 실행될 때 위협 벡터를 증가시킨다. 구글 클라우드의 서닐 포티 총괄 담당자 겸 클라우드 보안 부사장은 “사용자들은 태니엄과 구글 클라우드를 통해 품질, 범위, 적시성과 보안 텔레메트리(telemetry) 스토리지 비용 사이에서 어느 하나를 포기할 필요가 없다”라며 “지능형 지속 공격은 감지 및 대응을 위한 정교한 접근이 필요하다. 그 시작은 대부분의 침해 활동이 시작되는 엔드포인트다. 태니엄의 포괄적인 엔드포인트 보안 접근에서 소싱한 텔레메트리를 통해 고객들은 신속하게 조치를 취하고, 향후 침투를 방지하기 위해 침해 이후 활동에 대한 감지 및 조사에 필요한 데이터를 갖출 수 있다”고 말했다. 태니엄의 오리온 힌다위 공동창립자 겸 공동 CEO는 “크로니클과 협업한 솔루션은 태니엄 고객들에게 다른 엔드포인트 감지 및 대응 포인트 솔루션 보다 훨씬 ...

2020.08.18

위협을 '헌팅'한다··· '엘리 메'가 보안에 인텔리전스와 AI를 적용하기까지

이 모기지 분야의 기술 기업은 랜섬웨어와 같은 APT 공격에 선제적으로 대응하기 위해 위협 인텔리전스, 예측 애널리틱스, AI를 활용하고 있다. 정보 보안 분야에서 공격자에게는 유리한 점이 있다. 이들은 선제적인 공격을 하는 반면 방어 측은 반응적인 것이 일반적이라는 사실이다. 그래서 일부 조직은 선제적 방어를 위해 위협 인텔리전스를 도입해왔다. 이는 데이터를 정밀 조사해 공격이 발생하기 전에 지능형 지속 공격(APT)을 식별하는 보안 관행이다.  엘리 매(Ellie Mae) 미국 내 모기지 신청의 약 44%를 처리하는 클라우드 기반 플랫폼을 공급한다. 이 회사는 위협 인텔리전스를 한층 진화시켜 예측 애널리틱스를 이용해 ‘위협을 사냥’하고 있다.  엘리 매의 수석 부사장이자 최고 보안 임원인 셀림 에이시는 “위협 사냥은 본질 상 매우 선제적이다. 공격이 발생할 때까지 기다리지 않는다. 공격이 발생하거나 심지어 악성코드가 알려지기 전에 위협을 탐색하고 순위 설정하고 조사한다”라고 말했다.  엘리 매는 ‘지능형 지속 공격에 대한 자율적 위협 사냥 프로젝트’를 약 2년 전부터 개발하기 시작했다. 랜섬웨어 같은 위협에 맞서기 위해서였다. 에이시는 랜섬웨어가 어떤 사업체에나 실존적이고 값비싼 위협이라고 말했다. 이 프로젝트에 의해 엘리 매는 CIO 100 어워드를 수상했다.  2019년 12월, 에미소프트 맬웨어 랩(Emisoft Malware Lab)은 미국 랜섬웨어 실태에 관한 보고서를 발간했다. 보고서에 따르면 미국은 2019년 전례 없는 가혹한 랜섬웨어 공격에 시달렸고, 손해 규모는 75억 달러를 상회했다. 랜섬 지불, 데이터 복구, 포렌식 조사, 매출 상실 등의 비용을 합한 값이다.  에이시는 “우리 업종과 유사 업종에 가장 큰 위협은 랜섬웨어였다. 랜섬웨어의 영향은 어떤 기업에게든 파괴적이다. SaaS 유형의 회사라면 서비스가 수일 내지 수주가 지체되곤 하는 재난이다”라고 말했다.   ...

엘리 메 APT 랜섬웨어 자율 위협 사냥 선제적 대응 변화 관리

2020.07.03

이 모기지 분야의 기술 기업은 랜섬웨어와 같은 APT 공격에 선제적으로 대응하기 위해 위협 인텔리전스, 예측 애널리틱스, AI를 활용하고 있다. 정보 보안 분야에서 공격자에게는 유리한 점이 있다. 이들은 선제적인 공격을 하는 반면 방어 측은 반응적인 것이 일반적이라는 사실이다. 그래서 일부 조직은 선제적 방어를 위해 위협 인텔리전스를 도입해왔다. 이는 데이터를 정밀 조사해 공격이 발생하기 전에 지능형 지속 공격(APT)을 식별하는 보안 관행이다.  엘리 매(Ellie Mae) 미국 내 모기지 신청의 약 44%를 처리하는 클라우드 기반 플랫폼을 공급한다. 이 회사는 위협 인텔리전스를 한층 진화시켜 예측 애널리틱스를 이용해 ‘위협을 사냥’하고 있다.  엘리 매의 수석 부사장이자 최고 보안 임원인 셀림 에이시는 “위협 사냥은 본질 상 매우 선제적이다. 공격이 발생할 때까지 기다리지 않는다. 공격이 발생하거나 심지어 악성코드가 알려지기 전에 위협을 탐색하고 순위 설정하고 조사한다”라고 말했다.  엘리 매는 ‘지능형 지속 공격에 대한 자율적 위협 사냥 프로젝트’를 약 2년 전부터 개발하기 시작했다. 랜섬웨어 같은 위협에 맞서기 위해서였다. 에이시는 랜섬웨어가 어떤 사업체에나 실존적이고 값비싼 위협이라고 말했다. 이 프로젝트에 의해 엘리 매는 CIO 100 어워드를 수상했다.  2019년 12월, 에미소프트 맬웨어 랩(Emisoft Malware Lab)은 미국 랜섬웨어 실태에 관한 보고서를 발간했다. 보고서에 따르면 미국은 2019년 전례 없는 가혹한 랜섬웨어 공격에 시달렸고, 손해 규모는 75억 달러를 상회했다. 랜섬 지불, 데이터 복구, 포렌식 조사, 매출 상실 등의 비용을 합한 값이다.  에이시는 “우리 업종과 유사 업종에 가장 큰 위협은 랜섬웨어였다. 랜섬웨어의 영향은 어떤 기업에게든 파괴적이다. SaaS 유형의 회사라면 서비스가 수일 내지 수주가 지체되곤 하는 재난이다”라고 말했다.   ...

2020.07.03

이스트시큐리티, “중국인 추정 APT 그룹, 국내 기업 대상 공격 증가”

이스트시큐리티는 국내 기업들을 대상으로 중국인으로 추정되는 APT(지능형 지속 위협) 그룹의 공격 활동이 눈에 띄게 증가하고 있는 것이 확인됐다며, 기업 내부 보안 강화와 이용자의 각별한 주의를 당부했다. 지난 4월경부터 최근까지 한국의 특정 온라인 게임사, 언론사 등을 대상으로 다소 어눌한 한글 표현을 사용한 이메일로 스피어 피싱(Spear Phishing) 공격이 다수 발견되었으며, 주로 외부에 많이 공개된 그룹메일 계정으로 공격이 수행된 것으로 드러났다.   해커는 공격 초기부터 악성 워드 파일(DOCX) 문서를 사용했으며, 수신자들이 쉽게 현혹돼 이메일을 열어보도록 ‘직원 활동 보너스 신청서.docx’, ‘직무 요구와 대우.docx’ 등의 파일 이름 사용했다. 또한 최근에는 회사 내부의 사내 문서나 이력서를 사칭한 파일로도 공격이 수행되고 있다. 이스트시큐리티 ESRC(시큐리티대응센터)는 이들 악성 파일들이 대부분 중국어 기반에서 작성되었고, 악성 문서 작성자가 ‘coin***’으로 동일한 이름을 사용한 것이 공통적인 특징이라고 밝혔다. 발견된 악성 문서들은 처음 실행된 후 마치 개인 정보 옵션 화면처럼 조작한 이미지를 보여주고, 보안 및 개인 정보보호를 위해 매크로 실행이 필요하다는 식으로 ‘콘텐츠 사용’ 기능을 허용하도록 유도한다. 하지만 이는 실제 악성코드가 담긴 원격 템플릿 매크로 파일을 호출해 실행하는 기능이며, 이용자가 ‘콘텐츠 사용’ 버튼을 누르면 본격적인 보안 위협에 노출되어 해커의 추가 공격으로 인한 피해로 이어질 수 있게 된다. 이 공격 기법은 다양한 국제 사이버 위협 조직들이 활용하고 있는데, 일명 라자루스 (Lazarus) 그룹도 최근 적극적으로 사용하고 있다. 또한 ESRC는 지난 5월 18일 새로 발견된 이력서 사칭 공격에 특정인의 이력서 문서와 주민등록증, 학위증 등의 개인정보가 담긴 사진 등으로 보다 신뢰할 수 있도록 조작해 공격을 수행한 것을 발견했다. 중국인으로 추정되는 APT 공격자들의 활동이 ...

이스트시큐리티 중국 APT

2020.05.20

이스트시큐리티는 국내 기업들을 대상으로 중국인으로 추정되는 APT(지능형 지속 위협) 그룹의 공격 활동이 눈에 띄게 증가하고 있는 것이 확인됐다며, 기업 내부 보안 강화와 이용자의 각별한 주의를 당부했다. 지난 4월경부터 최근까지 한국의 특정 온라인 게임사, 언론사 등을 대상으로 다소 어눌한 한글 표현을 사용한 이메일로 스피어 피싱(Spear Phishing) 공격이 다수 발견되었으며, 주로 외부에 많이 공개된 그룹메일 계정으로 공격이 수행된 것으로 드러났다.   해커는 공격 초기부터 악성 워드 파일(DOCX) 문서를 사용했으며, 수신자들이 쉽게 현혹돼 이메일을 열어보도록 ‘직원 활동 보너스 신청서.docx’, ‘직무 요구와 대우.docx’ 등의 파일 이름 사용했다. 또한 최근에는 회사 내부의 사내 문서나 이력서를 사칭한 파일로도 공격이 수행되고 있다. 이스트시큐리티 ESRC(시큐리티대응센터)는 이들 악성 파일들이 대부분 중국어 기반에서 작성되었고, 악성 문서 작성자가 ‘coin***’으로 동일한 이름을 사용한 것이 공통적인 특징이라고 밝혔다. 발견된 악성 문서들은 처음 실행된 후 마치 개인 정보 옵션 화면처럼 조작한 이미지를 보여주고, 보안 및 개인 정보보호를 위해 매크로 실행이 필요하다는 식으로 ‘콘텐츠 사용’ 기능을 허용하도록 유도한다. 하지만 이는 실제 악성코드가 담긴 원격 템플릿 매크로 파일을 호출해 실행하는 기능이며, 이용자가 ‘콘텐츠 사용’ 버튼을 누르면 본격적인 보안 위협에 노출되어 해커의 추가 공격으로 인한 피해로 이어질 수 있게 된다. 이 공격 기법은 다양한 국제 사이버 위협 조직들이 활용하고 있는데, 일명 라자루스 (Lazarus) 그룹도 최근 적극적으로 사용하고 있다. 또한 ESRC는 지난 5월 18일 새로 발견된 이력서 사칭 공격에 특정인의 이력서 문서와 주민등록증, 학위증 등의 개인정보가 담긴 사진 등으로 보다 신뢰할 수 있도록 조작해 공격을 수행한 것을 발견했다. 중국인으로 추정되는 APT 공격자들의 활동이 ...

2020.05.20

이스트시큐리티, ‘라자루스’ 그룹 소행 국내외 APT 공격 증가 주의보

이스트시큐리티가 특정 정부 후원을 받는 것으로 추정되는 APT(지능형 지속 위협) 공격 그룹인 일명 ‘라자루스(Lazarus)’의 국내외 APT 공격이 활발히 진행되고 있다며 주의를 당부했다. 27일 이스트시큐리티 ESRC(시큐리티대응센터)에 따르면 최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 ▲블록체인 소프트웨어 개발 계약서 ▲한미관계와 외교안보 ▲항공우주기업 채용 관련 문서 ▲00광역시 코로나 바이러스 대응 ▲성착취물 유포사건 출석통지서 사칭 등이 있다. ESRC 관계자는 “특정 정부 후원을 받는 라자루스 조직은 한국뿐만 아니라 미국 등 국제사회에서 주요 APT 공격을 수행하고 있다”며, “사이버 첩보 활동뿐만 아니라 금전적 수익을 거두기 위한 외화벌이 활동도 꾸준히 확장하고 있다”고 설명했다.   이들 조직은 2020년에도 지속적인 APT 공격을 시도하고 있으며, 최근에는 블록체인 소프트웨어 개발 계약서로 위장한 스피어 피싱 공격이 발견됐다.  이 공격에 사용된 악성 이메일에는 실제 전자지불 관련 서비스를 제공하고 있는 기업명이 언급되어 있으며, 해당 기업의 블록체인 소프트웨어 개발 계약서로 사칭한 서류를 검토해 달라는 내용으로 악성 첨부파일을 열어보도록 유도한다. 특히, 주로 비트코인 등을 거래했거나 관련 분야 종사자를 주요 공격 표적으로 삼고 있어, 금전적인 피해로 이어질 위험도 우려된다. 또한 지난 4월 1일 발견된 00광역시 감염병관리지원단 사칭 코로나19 바이러스 확진자 발생 관련 협조 요청 위장 공격 역시, 국내 비트코인 거래 관계자가 공격 대상에 일부 포함된 것으로 드러났다. 이처럼 해당 조직은 최근까지 한국 내 암호 화폐 거래 관계자에 대한 공격을 지속하고 있다. 이밖에도 지난 20일에는 한미관계와 외교안보 제목을 가진 악성 MS워드(MS-Word) DOC 문서가, 24일에는 미국 항공우주기업 채용 관련 문서로 둔갑한 악성 DOC 문서도 발견됐다.  이들 조직이 사용한 악성 ...

보안 APT 이스트시큐리티 지능형지속위협

2020.04.27

이스트시큐리티가 특정 정부 후원을 받는 것으로 추정되는 APT(지능형 지속 위협) 공격 그룹인 일명 ‘라자루스(Lazarus)’의 국내외 APT 공격이 활발히 진행되고 있다며 주의를 당부했다. 27일 이스트시큐리티 ESRC(시큐리티대응센터)에 따르면 최근 발견된 APT 공격 중 라자루스가 위협 배후로 추정되는 공격은 ▲블록체인 소프트웨어 개발 계약서 ▲한미관계와 외교안보 ▲항공우주기업 채용 관련 문서 ▲00광역시 코로나 바이러스 대응 ▲성착취물 유포사건 출석통지서 사칭 등이 있다. ESRC 관계자는 “특정 정부 후원을 받는 라자루스 조직은 한국뿐만 아니라 미국 등 국제사회에서 주요 APT 공격을 수행하고 있다”며, “사이버 첩보 활동뿐만 아니라 금전적 수익을 거두기 위한 외화벌이 활동도 꾸준히 확장하고 있다”고 설명했다.   이들 조직은 2020년에도 지속적인 APT 공격을 시도하고 있으며, 최근에는 블록체인 소프트웨어 개발 계약서로 위장한 스피어 피싱 공격이 발견됐다.  이 공격에 사용된 악성 이메일에는 실제 전자지불 관련 서비스를 제공하고 있는 기업명이 언급되어 있으며, 해당 기업의 블록체인 소프트웨어 개발 계약서로 사칭한 서류를 검토해 달라는 내용으로 악성 첨부파일을 열어보도록 유도한다. 특히, 주로 비트코인 등을 거래했거나 관련 분야 종사자를 주요 공격 표적으로 삼고 있어, 금전적인 피해로 이어질 위험도 우려된다. 또한 지난 4월 1일 발견된 00광역시 감염병관리지원단 사칭 코로나19 바이러스 확진자 발생 관련 협조 요청 위장 공격 역시, 국내 비트코인 거래 관계자가 공격 대상에 일부 포함된 것으로 드러났다. 이처럼 해당 조직은 최근까지 한국 내 암호 화폐 거래 관계자에 대한 공격을 지속하고 있다. 이밖에도 지난 20일에는 한미관계와 외교안보 제목을 가진 악성 MS워드(MS-Word) DOC 문서가, 24일에는 미국 항공우주기업 채용 관련 문서로 둔갑한 악성 DOC 문서도 발견됐다.  이들 조직이 사용한 악성 ...

2020.04.27

'국가 재난 될 수 있었다' 인도 핵발전소 해킹 사건의 전말

민간 기반시설 공격은 전쟁 범죄가 맞다. 그런데 세계 각국의 첩보원들은 민간 기반시설(예: 에너지를 생산하는 민간 핵발전소)에 침투해 사전 배치하기 위한 소리 없고 비열한 전쟁을 치르고 있다. 지정학적 긴장이 발생하는 동안 파괴 공작을 저지르기 위해서다.   다음은 인도의 쿠당쿨람 핵발전소(Kudankulam Nuclear Power Plant: KNPP) 해킹 사건이 어떻게 발생했으며 어떻게 쉽게 예방할 수도 있었는지에 대한 설명이다. KNPP 해킹 사건 소식이 알려진 것은 요즘에는 흔히 그렇듯 트위터를 통해서였다. 뉴 인디언 익스프레스(The New Indian Express)에 따르면, ‘저명한 사이버 첩보 전문가’이자 ‘인도 국립기술연구조직(NTRO)의 사이버전 작전 센터 수립에 중요한 역할’을 한 푸크라 싱은 본인의 트위터 계정에 다음과 같은 글을 올렸다. “자, 이제 공개된 사실이다. KNPP에 도메인 컨트롤러 수준 접근 발생. 정부는 이미 오래전에 이 사실을 통보받았다. 임무 수행에 지극히 중요한 목표물이 공격받았다.” 그는 인용 트윗에서 이 공격에 대해 2019년 9월 7일부터 이미 알고 있었다면서 ‘전쟁 명분(causus belli)’(전쟁을 도발할 정도로 심각한 공격)이라고 규정했다. 싱은 그 이후 트윗에서 본인이 직접 악성코드를 발견한 것은 아니라고 밝혔다. 제3자가 “본인에게 연락을 취했고 나는 9월 4일(날짜가 중요)에 국가사이버보안담당자(NCSC)에게 통보했다. 제3자는 그 후 침해지표(IoC)들을 NCSC 사무실과 공유했다. 카스퍼스키는 이를 나중에 보고했고 디트랙(DTrack)이라고 불렀다.” 인도 핵발전소공사는 처음에 이 사실을 부인했다. 보도자료를 통해, SNS에 나돌고 있는 ‘잘못된 정보’라고 매도했으며 KNPP 핵발전소는 “독자적인 네트워크로, 외부 사이버 네트워크와 인터넷에 연결되어 있지 않아 핵발전소 제어 시스템에 대한 사이버 공격은 불가능하다”라고 주장했다.  그러나 나중에 이 주장을 철회했...

CSO 인도 핵발전소공사 사이버비트 사보타지웨어 기반시설 KNPP 라자루스 핵발전소 멀웨어 카스퍼스키 APT 공격 맬웨어 트위터 해킹 쿠당쿨람 핵발전소

2019.12.11

민간 기반시설 공격은 전쟁 범죄가 맞다. 그런데 세계 각국의 첩보원들은 민간 기반시설(예: 에너지를 생산하는 민간 핵발전소)에 침투해 사전 배치하기 위한 소리 없고 비열한 전쟁을 치르고 있다. 지정학적 긴장이 발생하는 동안 파괴 공작을 저지르기 위해서다.   다음은 인도의 쿠당쿨람 핵발전소(Kudankulam Nuclear Power Plant: KNPP) 해킹 사건이 어떻게 발생했으며 어떻게 쉽게 예방할 수도 있었는지에 대한 설명이다. KNPP 해킹 사건 소식이 알려진 것은 요즘에는 흔히 그렇듯 트위터를 통해서였다. 뉴 인디언 익스프레스(The New Indian Express)에 따르면, ‘저명한 사이버 첩보 전문가’이자 ‘인도 국립기술연구조직(NTRO)의 사이버전 작전 센터 수립에 중요한 역할’을 한 푸크라 싱은 본인의 트위터 계정에 다음과 같은 글을 올렸다. “자, 이제 공개된 사실이다. KNPP에 도메인 컨트롤러 수준 접근 발생. 정부는 이미 오래전에 이 사실을 통보받았다. 임무 수행에 지극히 중요한 목표물이 공격받았다.” 그는 인용 트윗에서 이 공격에 대해 2019년 9월 7일부터 이미 알고 있었다면서 ‘전쟁 명분(causus belli)’(전쟁을 도발할 정도로 심각한 공격)이라고 규정했다. 싱은 그 이후 트윗에서 본인이 직접 악성코드를 발견한 것은 아니라고 밝혔다. 제3자가 “본인에게 연락을 취했고 나는 9월 4일(날짜가 중요)에 국가사이버보안담당자(NCSC)에게 통보했다. 제3자는 그 후 침해지표(IoC)들을 NCSC 사무실과 공유했다. 카스퍼스키는 이를 나중에 보고했고 디트랙(DTrack)이라고 불렀다.” 인도 핵발전소공사는 처음에 이 사실을 부인했다. 보도자료를 통해, SNS에 나돌고 있는 ‘잘못된 정보’라고 매도했으며 KNPP 핵발전소는 “독자적인 네트워크로, 외부 사이버 네트워크와 인터넷에 연결되어 있지 않아 핵발전소 제어 시스템에 대한 사이버 공격은 불가능하다”라고 주장했다.  그러나 나중에 이 주장을 철회했...

2019.12.11

파이어아이, 새로운 중국 사이버 공격 그룹 'APT41' 세부 내용 공개

파이어아이가 새로운 지능형지속위협 그룹을 식별해 ‘APT41’이라 명명하고 자세한 내용을 공개했다. 파이어아이 산드라 조이스 글로벌 위협 인텔리전스 운영 부문 수석부사장은 “APT41은 개인적 이익을 위한 것으로 추정되는 활동에, 일반적으로 첩보 활동을 위해 이용되는 툴을 사용한다는 점에서 파이어아이가 추적하는 중국계 사이버 위협 조직과는 다른 특징을 보인다”며 “첩보 활동과 사이버 범죄 목적을 위한 APT 41의 공격적이고 지속적인 사이버 위협은 다른 조직과 구별되며, 여러 산업 분야에서 주요 위협 요소가 되고 있다”고 말했다. APT41는 전 세계 15개의 국가에서 7년 이상 사이버 위협 활동을 진행해왔으며, 의료, 첨단 기술, 통신, 교육, 비디오 게임, 여행, 심지어는 언론 조직을 포함한 다양한 산업군을 표적으로 삼았다.  파이어아이는 APT41이 정부 지원 활동으로 영역을 넓히기 이전인 2012년부터 해당 그룹의 개별 멤버들의 재정적 목적의 사이버 범죄 행위를 관찰해왔다. 파이어아이가 추적한 바에 따르면 2014년부터 그룹의 활동은 크게 사이버 첩보 활동과 재정적 갈취라는 두 가지 목적으로 나뉘었다. APT41은 현재까지 한국을 비롯해 프랑스, 인도, 이탈리아, 일본, 미얀마, 네덜란드, 싱가포르, 남아프리카, 스위스, 태국, 터키, 영국, 미국, 홍콩 등지에서 표적을 대상으로 활동했다.  APT41은 의료기기와 진단 영역을 포함한 헬스케어 산업, 첨단 기술, 통신 분야를 표적으로 삼고 전략적인 정보를 수집하는 것을 목적으로 활동했다. 또는 지식 재산권 탈취를 목적으로 한 점도 과거 활동에서 확인되었다.  재정적 목적의 활동으로 APT41은 가상 화폐를 조작하거나 랜섬웨어 감염 시도 등 비디오 게임 산업에서 활동했다. ciokr@idg.co.kr

APT 파이어아이

2019.08.08

파이어아이가 새로운 지능형지속위협 그룹을 식별해 ‘APT41’이라 명명하고 자세한 내용을 공개했다. 파이어아이 산드라 조이스 글로벌 위협 인텔리전스 운영 부문 수석부사장은 “APT41은 개인적 이익을 위한 것으로 추정되는 활동에, 일반적으로 첩보 활동을 위해 이용되는 툴을 사용한다는 점에서 파이어아이가 추적하는 중국계 사이버 위협 조직과는 다른 특징을 보인다”며 “첩보 활동과 사이버 범죄 목적을 위한 APT 41의 공격적이고 지속적인 사이버 위협은 다른 조직과 구별되며, 여러 산업 분야에서 주요 위협 요소가 되고 있다”고 말했다. APT41는 전 세계 15개의 국가에서 7년 이상 사이버 위협 활동을 진행해왔으며, 의료, 첨단 기술, 통신, 교육, 비디오 게임, 여행, 심지어는 언론 조직을 포함한 다양한 산업군을 표적으로 삼았다.  파이어아이는 APT41이 정부 지원 활동으로 영역을 넓히기 이전인 2012년부터 해당 그룹의 개별 멤버들의 재정적 목적의 사이버 범죄 행위를 관찰해왔다. 파이어아이가 추적한 바에 따르면 2014년부터 그룹의 활동은 크게 사이버 첩보 활동과 재정적 갈취라는 두 가지 목적으로 나뉘었다. APT41은 현재까지 한국을 비롯해 프랑스, 인도, 이탈리아, 일본, 미얀마, 네덜란드, 싱가포르, 남아프리카, 스위스, 태국, 터키, 영국, 미국, 홍콩 등지에서 표적을 대상으로 활동했다.  APT41은 의료기기와 진단 영역을 포함한 헬스케어 산업, 첨단 기술, 통신 분야를 표적으로 삼고 전략적인 정보를 수집하는 것을 목적으로 활동했다. 또는 지식 재산권 탈취를 목적으로 한 점도 과거 활동에서 확인되었다.  재정적 목적의 활동으로 APT41은 가상 화폐를 조작하거나 랜섬웨어 감염 시도 등 비디오 게임 산업에서 활동했다. ciokr@idg.co.kr

2019.08.08

“APT 성행에도 대응 솔루션 사용 기업 17%에 불과” 지란지교시큐리티

지란지교시큐리티가 기업 APT 피해 및 대응 현황 파악을 목적으로 진행한 ‘기업 APT 대응 보안 현황 설문조사’ 결과를 발표했다. 지란지교시큐리티는 지난 2월 20일부터 28일까지 국내 IT기업과 금융, 공공, 의료업 등 다양한 산업 군의 보안담당자를 대상으로 ‘지능형 위협(이하 APT, Advanced Persistent Threat) 피해와 대응 보안 현황’에 대한 설문조사를 IT관리자 커뮤니티 Shared IT와 공동으로 진행했다. 이번 조사에 따르면 전체 응답자(259명) 중 60%가 랜섬웨어, 제로데이, 디도스 등의 APT 피해가 있었다고 응답한 반면, APT 대응을 위해 샌드박스 기반의 솔루션을 사용하고 있다고 답한 응답자는 전체 응답자의 17%에 불과했다. 응답자의 절대다수는 APT 대응 솔루션을 사용하지 않거나(60%) 도입을 검토 중(23%)이라고 답했다. 이를 통해 국내 기업의 APT에 대한 인식 수준은 높은 반면, 그에 대한 대비는 여전히 미흡한 수준임을 알 수 있다. 이는 보안 위협 및 피해 사례가 빈번해짐에 따라 중소 및 중견기업의 APT 대응 솔루션 도입 검토는 활발해지고 있으나, 솔루션 도입 시 비용에 대한 부담이 반영된 결과로 보인다. 실제로 APT 대응 솔루션 도입 시 가장 중요하게 고려하는 사항을 묻는 질문에 현재 솔루션 사용 유무와 관계없이 탐지 정확성(58%), 도입 및 운영 비용(36%)이라고 답해 비용 또한 중요한 요소로 적용됨을 알 수 있다. 한편, 현재 APT 대응을 위해 샌드박스 기반의 솔루션을 사용하고 있는 응답자의 84%가 솔루션 도입 시 탐지 정확성을 가장 중요하게 여기는 반면, 사용 중인 솔루션에 대해 ‘만족한다’고 답한 응답자는 43%에 그쳤다. 이는 현재 샌드박스를 사용하고 있지만 여전히 탐지 정확성에 대한 요구는 지속되며, 보다 확실한 APT 대응 방안을 필요로 한다고 볼 수 있다. 내부 인프라 중 APT에 가장 취약하다고 ...

APT 지란지교시큐리티

2019.03.21

지란지교시큐리티가 기업 APT 피해 및 대응 현황 파악을 목적으로 진행한 ‘기업 APT 대응 보안 현황 설문조사’ 결과를 발표했다. 지란지교시큐리티는 지난 2월 20일부터 28일까지 국내 IT기업과 금융, 공공, 의료업 등 다양한 산업 군의 보안담당자를 대상으로 ‘지능형 위협(이하 APT, Advanced Persistent Threat) 피해와 대응 보안 현황’에 대한 설문조사를 IT관리자 커뮤니티 Shared IT와 공동으로 진행했다. 이번 조사에 따르면 전체 응답자(259명) 중 60%가 랜섬웨어, 제로데이, 디도스 등의 APT 피해가 있었다고 응답한 반면, APT 대응을 위해 샌드박스 기반의 솔루션을 사용하고 있다고 답한 응답자는 전체 응답자의 17%에 불과했다. 응답자의 절대다수는 APT 대응 솔루션을 사용하지 않거나(60%) 도입을 검토 중(23%)이라고 답했다. 이를 통해 국내 기업의 APT에 대한 인식 수준은 높은 반면, 그에 대한 대비는 여전히 미흡한 수준임을 알 수 있다. 이는 보안 위협 및 피해 사례가 빈번해짐에 따라 중소 및 중견기업의 APT 대응 솔루션 도입 검토는 활발해지고 있으나, 솔루션 도입 시 비용에 대한 부담이 반영된 결과로 보인다. 실제로 APT 대응 솔루션 도입 시 가장 중요하게 고려하는 사항을 묻는 질문에 현재 솔루션 사용 유무와 관계없이 탐지 정확성(58%), 도입 및 운영 비용(36%)이라고 답해 비용 또한 중요한 요소로 적용됨을 알 수 있다. 한편, 현재 APT 대응을 위해 샌드박스 기반의 솔루션을 사용하고 있는 응답자의 84%가 솔루션 도입 시 탐지 정확성을 가장 중요하게 여기는 반면, 사용 중인 솔루션에 대해 ‘만족한다’고 답한 응답자는 43%에 그쳤다. 이는 현재 샌드박스를 사용하고 있지만 여전히 탐지 정확성에 대한 요구는 지속되며, 보다 확실한 APT 대응 방안을 필요로 한다고 볼 수 있다. 내부 인프라 중 APT에 가장 취약하다고 ...

2019.03.21

가장 '쉽게 당하는' 사이버 공격 유형 5가지

현존하는 가장 큰 보안 문제의 하나는 보안 인식이다. 기업이 직면하고 있다고 생각하는 위협은 실제로 가장 큰 위험이 따르는 위협과는 상당한 차이가 있는 것이 보통이다. 예를 들어, 정작 필요한 것은 양호한 패칭(patching)이지만, 필자를 고용한 회사는 최첨단 공개키 인프라(PKI)나 전사적 침입 탐지 시스템(Intrusion Detection System)을 원한다.  사실, 대다수 회사가 동일한 위협들에 직면해 있고, 이런 위험에 대응하는데 최선을 다해야 한다. 이번 기사에서는 가장 보편적이고 성공적인(?) 사이버 공격 유형 5가지를 알아본다.     1 소셜 엔지니어링 악성코드  소셜 엔지니어링 악성코드는, 제 1위의 공격 기법이다(버퍼 오버플로우나 구성 오류나 고급 익스플로잇이 아니다). 최근에는 데이터 암호화 랜섬웨어가 주류다. 최종 사용자는 어쩌다가 트로이목마 프로그램을 실행하도록 속아 넘어가는데, 이는 종종 자신이 신뢰하고 빈번히 방문하는 웹사이트에서 일어난다. 다른 경우라면 무해한 웹사이트가 일시적으로 훼손되어 정상적인 웹사이트 코딩이 아닌 악성코드를 전달하는 것이다.  악성 웹사이트는 사용자에게 웹사이트에 액세스하기 위해 새 소프트웨어를 설치하거나, 허위 안티바이러스를 실행하거나, 불필요하고 악성인 다른 중요 소프트웨어 부분을 실행하도록 종용한다. 흔히 사용자는 브라우저나 운영체계로부터 나오는 보안 경보를 클릭해 지나치도록, 그리고 방해가 될 수 있는 까다로운 방어 수단을 중지시키도록 지시받는다.   트로이목마 프로그램은 정당한 무언가를 하는 척 가장하거나 백그라운드로 사라져 사기 행위를 실행한다. 소셜 엔지니어링 악성코드는 매년 수억 회의 성공적 해킹에 이용된다. 수치로만 보면 다른 모든 해킹 유형은 단순히 잡음에 불과하다.  - 대책: 소셜 엔지니어링 악성코드는 최신 위협을 알리는, 예컨대 신뢰성 있는 웹사이트가 뜻밖의 소프트웨어를 실행하라고 종용하는 경우, 지속...

소셜엔지니어링 보안 피싱 APT 사이버공격

2018.12.28

현존하는 가장 큰 보안 문제의 하나는 보안 인식이다. 기업이 직면하고 있다고 생각하는 위협은 실제로 가장 큰 위험이 따르는 위협과는 상당한 차이가 있는 것이 보통이다. 예를 들어, 정작 필요한 것은 양호한 패칭(patching)이지만, 필자를 고용한 회사는 최첨단 공개키 인프라(PKI)나 전사적 침입 탐지 시스템(Intrusion Detection System)을 원한다.  사실, 대다수 회사가 동일한 위협들에 직면해 있고, 이런 위험에 대응하는데 최선을 다해야 한다. 이번 기사에서는 가장 보편적이고 성공적인(?) 사이버 공격 유형 5가지를 알아본다.     1 소셜 엔지니어링 악성코드  소셜 엔지니어링 악성코드는, 제 1위의 공격 기법이다(버퍼 오버플로우나 구성 오류나 고급 익스플로잇이 아니다). 최근에는 데이터 암호화 랜섬웨어가 주류다. 최종 사용자는 어쩌다가 트로이목마 프로그램을 실행하도록 속아 넘어가는데, 이는 종종 자신이 신뢰하고 빈번히 방문하는 웹사이트에서 일어난다. 다른 경우라면 무해한 웹사이트가 일시적으로 훼손되어 정상적인 웹사이트 코딩이 아닌 악성코드를 전달하는 것이다.  악성 웹사이트는 사용자에게 웹사이트에 액세스하기 위해 새 소프트웨어를 설치하거나, 허위 안티바이러스를 실행하거나, 불필요하고 악성인 다른 중요 소프트웨어 부분을 실행하도록 종용한다. 흔히 사용자는 브라우저나 운영체계로부터 나오는 보안 경보를 클릭해 지나치도록, 그리고 방해가 될 수 있는 까다로운 방어 수단을 중지시키도록 지시받는다.   트로이목마 프로그램은 정당한 무언가를 하는 척 가장하거나 백그라운드로 사라져 사기 행위를 실행한다. 소셜 엔지니어링 악성코드는 매년 수억 회의 성공적 해킹에 이용된다. 수치로만 보면 다른 모든 해킹 유형은 단순히 잡음에 불과하다.  - 대책: 소셜 엔지니어링 악성코드는 최신 위협을 알리는, 예컨대 신뢰성 있는 웹사이트가 뜻밖의 소프트웨어를 실행하라고 종용하는 경우, 지속...

2018.12.28

앱소리티와 재블린 인수한 시만텍, '엔드포인트 보안 강화' 목적

시만텍이 엔드포인트 보안 포트폴리오를 강화하고자 모바일 애플리케이션 보안 업체인 앱소리티(Appthority)와 APT 전문업체인 재블린 네트웍스(Javelin Networks)를 인수했다. 앱소리티 인수로 시만텍 고객은 모바일 앱을 분석하여 취약성, 민감한 데이터 손실 위험 및 개인정보 침해 행위와 같은 악의적인 기능과 안전하지 않거나 원치 않는 행동을 분석할 수 있게 됐다. 앱소리티의 인수는 2017년 7월 스카이큐어(Skycure) 인수를 보완해 준다. 모바일 위협 방어 제공 업체 스카이큐어는 앱소리티의 기술이 내장된 시만텍 엔드포인트 프로텍션 모바일(SEP Mobile)의 출시를 지원할 것으로 기대된다. 이를 통해 시만텍은 ‘다양한 최신 엔드포인트 및 운영체제’를 보호할 수 있게 된다. 앱소리티의 공동 설립자인 도밍고 J. 구에라는 "모바일 사용자가 설치하는 각 애플리케이션으로 기업의 공격 대상 영역을 증가시킨다”며 "이번 인수로 시만텍의 포괄적인 엔드포인트 보안 포트폴리오로 앱소리티가 통합되었다. 이 포트폴리오는 모든 전통적이고 현대적인 엔드포인트와 현재의 애플리케이션을 보호할 수 있는 업계 최초의 솔루션이다"고 말했다. 시만텍은 통합된 사이버 방어 플랫폼을 통해 공급 업체가 애플리케이션, 네트워크, 아이덴티티, 클라우드 레이어뿐 아니라 모바일 기기에서 윈도우, 맥OS, 리눅스, iOS, 안드로이드용 최신 엔드포인트를 보호할 수 있는 솔루션을 제공할 수 있다고 밝혔다. 앱소리티와 재블린 네트웍스의 조직과 기술은 모두 시만텍의 엔드포인트 보안 사업부로 편입될 것이다. 한편 재블린 네트웍스 인수로 시만텍은 AD(Active Directory) 구성 오류 및 백도어를 감지하고 인증된 기기 및 애플리케이션의 AD 정찰 및 자격 증명 오용을 방지하는 고급 기술에 접근할 수 있다. 시만텍의 엔드포인트 및 데이터센터 제품 담당 수석 부사장인 야...

인수 액티브 디렉토리 AD 앱소리티 엔드포인트 APT 시만텍 마이크로소프트 M&A 재블린 네트웍스

2018.11.06

시만텍이 엔드포인트 보안 포트폴리오를 강화하고자 모바일 애플리케이션 보안 업체인 앱소리티(Appthority)와 APT 전문업체인 재블린 네트웍스(Javelin Networks)를 인수했다. 앱소리티 인수로 시만텍 고객은 모바일 앱을 분석하여 취약성, 민감한 데이터 손실 위험 및 개인정보 침해 행위와 같은 악의적인 기능과 안전하지 않거나 원치 않는 행동을 분석할 수 있게 됐다. 앱소리티의 인수는 2017년 7월 스카이큐어(Skycure) 인수를 보완해 준다. 모바일 위협 방어 제공 업체 스카이큐어는 앱소리티의 기술이 내장된 시만텍 엔드포인트 프로텍션 모바일(SEP Mobile)의 출시를 지원할 것으로 기대된다. 이를 통해 시만텍은 ‘다양한 최신 엔드포인트 및 운영체제’를 보호할 수 있게 된다. 앱소리티의 공동 설립자인 도밍고 J. 구에라는 "모바일 사용자가 설치하는 각 애플리케이션으로 기업의 공격 대상 영역을 증가시킨다”며 "이번 인수로 시만텍의 포괄적인 엔드포인트 보안 포트폴리오로 앱소리티가 통합되었다. 이 포트폴리오는 모든 전통적이고 현대적인 엔드포인트와 현재의 애플리케이션을 보호할 수 있는 업계 최초의 솔루션이다"고 말했다. 시만텍은 통합된 사이버 방어 플랫폼을 통해 공급 업체가 애플리케이션, 네트워크, 아이덴티티, 클라우드 레이어뿐 아니라 모바일 기기에서 윈도우, 맥OS, 리눅스, iOS, 안드로이드용 최신 엔드포인트를 보호할 수 있는 솔루션을 제공할 수 있다고 밝혔다. 앱소리티와 재블린 네트웍스의 조직과 기술은 모두 시만텍의 엔드포인트 보안 사업부로 편입될 것이다. 한편 재블린 네트웍스 인수로 시만텍은 AD(Active Directory) 구성 오류 및 백도어를 감지하고 인증된 기기 및 애플리케이션의 AD 정찰 및 자격 증명 오용을 방지하는 고급 기술에 접근할 수 있다. 시만텍의 엔드포인트 및 데이터센터 제품 담당 수석 부사장인 야...

2018.11.06

마에스트로 네트웍스, 윈도우 악성코드 탐지 분석 도구 '마에스트로 윈도우 포렌식' 출시

마에스트로 네트웍스가 윈도우 악성코드 탐지 분석 솔루션인 ‘마에스트로 윈도우 포렌식(MAESTRO Windows Forensic)’을 출시한다고 밝혔다. 마에스트로 윈도우 포렌식은 최근 증가되고 있는 윈도우 악성코드에 대한 탐지 및 분석할 수 있는 포렌식 도구이다. 포렌식 디스크 이미징 덤프파일에서 실행파일 또는 문서파일 추출, 윈도우 시스템에 존재하는 파일, 디렉토리 및 파티션을 선택하여 멀티 안티바이러스 스캔, 동적 및 정적 분석, IP 및 도메인 평판 분석 등을 수행해 악성코드를 탐지하고 분석할 수 있는 윈도우 포렌식 도구이다. 마에스트로 윈도우 포렌식 도구는 파일의 악성 여부를 자동분석·검증·차단하는 지능형 보안 위협 인텔리전스 플랫폼인 ‘마에스트로 사이버보안 위협 인텔리전스 통합 플랫폼(Maestro Cyber Threat Intelligence Platform, 이하 CTIP)’과 상호연동하여 동작한다. 마에스트로 윈도우 포렌식은 포렌식 디스크 이미지 덤프파일에서 파일들을 추출한 후 ‘마에스트로 CTIP’로 전송한다. 이와 연동된 다양한 지능형 보안 위협 인텔리전스 솔루션들을 활용, 30가지 이상의 멀티 A/V스캔 엔진으로 멀티 안티바이러스 검사, 파일을 실행해 동적 및 정적분석, IP 및 도메인 평판 분석, 이메일 및 URL 평판 분석, 연관분석, 머신러닝, 안드로이드 & iOS 계열 모바일 취약점 진단, 안드로이드 APK 실행파일 분석 등을 통해 신종 및 변종 악성코드들을 신속하고 정확하게 탐지 및 분석할 수 있다. 마에스트로 CTIP는 기업 내부로 유입되는 다양한 파일들과 IP/도메인/URL, 이메일 분석은 물론, 연관분석, 머신러닝 분석 등을 이용하여 악성코드를 탐지/분석/차단할 수 있는 지능형 보안 인텔리전스 통합 플랫폼이다. 마에스트로 CTIP는 기업 내 또는 사내에 구축돼 있는 다양한 엔드포인트·네트워...

윈도우 APT 포렌식 마에스트로 네트웍스 지능형지속위협

2018.09.07

마에스트로 네트웍스가 윈도우 악성코드 탐지 분석 솔루션인 ‘마에스트로 윈도우 포렌식(MAESTRO Windows Forensic)’을 출시한다고 밝혔다. 마에스트로 윈도우 포렌식은 최근 증가되고 있는 윈도우 악성코드에 대한 탐지 및 분석할 수 있는 포렌식 도구이다. 포렌식 디스크 이미징 덤프파일에서 실행파일 또는 문서파일 추출, 윈도우 시스템에 존재하는 파일, 디렉토리 및 파티션을 선택하여 멀티 안티바이러스 스캔, 동적 및 정적 분석, IP 및 도메인 평판 분석 등을 수행해 악성코드를 탐지하고 분석할 수 있는 윈도우 포렌식 도구이다. 마에스트로 윈도우 포렌식 도구는 파일의 악성 여부를 자동분석·검증·차단하는 지능형 보안 위협 인텔리전스 플랫폼인 ‘마에스트로 사이버보안 위협 인텔리전스 통합 플랫폼(Maestro Cyber Threat Intelligence Platform, 이하 CTIP)’과 상호연동하여 동작한다. 마에스트로 윈도우 포렌식은 포렌식 디스크 이미지 덤프파일에서 파일들을 추출한 후 ‘마에스트로 CTIP’로 전송한다. 이와 연동된 다양한 지능형 보안 위협 인텔리전스 솔루션들을 활용, 30가지 이상의 멀티 A/V스캔 엔진으로 멀티 안티바이러스 검사, 파일을 실행해 동적 및 정적분석, IP 및 도메인 평판 분석, 이메일 및 URL 평판 분석, 연관분석, 머신러닝, 안드로이드 & iOS 계열 모바일 취약점 진단, 안드로이드 APK 실행파일 분석 등을 통해 신종 및 변종 악성코드들을 신속하고 정확하게 탐지 및 분석할 수 있다. 마에스트로 CTIP는 기업 내부로 유입되는 다양한 파일들과 IP/도메인/URL, 이메일 분석은 물론, 연관분석, 머신러닝 분석 등을 이용하여 악성코드를 탐지/분석/차단할 수 있는 지능형 보안 인텔리전스 통합 플랫폼이다. 마에스트로 CTIP는 기업 내 또는 사내에 구축돼 있는 다양한 엔드포인트·네트워...

2018.09.07

차세대 방화벽이란? 클라우드와 복잡성이 주는 영향은?

전통적인 방화벽은 트래픽이 출발하는 도메인과 트래픽이 도착하는 포트를 추적한다. 차세대 방화벽은 여기서 한 단계 더 나아간다. 좀더 자세히 설명하면 맬웨어 및 데이터 외부 유출에 대비해 메시지 콘텐츠를 감시하고, 위협을 실시간으로 대응하며 저지할 수 있다. 최신 방화벽 제품은 이보다도 더 나아간다. 행동 애널리틱스, 애플리케이션 보안, 제로-데이 멀웨어 검출, 클라우드 및 하이브리드 환경 지원, 심지어 엔드포인트 보호까지 아우른다. 수많은 기능이 한 장소에 집결된 것이다. 이렇게 집중시키면 관리 작업이 단순해질 것이다. 일부 방화벽 업체는, 그리고 서드파티 사업자들은, 인텐트 기반 보안(intent-based security)을 제공하며 관리 이슈(management issue)에 대처하기 시작했다. 이에 의해 이용자는 일관성 있는 관리 및 구성 정책을 설정할 수 있고, 아울러 컴플라이언스 관련 정책들도 수립할 수 있다. 가트너에 따르면 2020년까지 차세대 방화벽은 거의 100%의 POP(internet points of presence)에 도달할 것이다. 그러나 대다수 조직들은 차세대 기능 가운데 한두 개 정도만 사용할 것으로 전망된다. 차세대 방화벽 시장의 변화 양상 차세대 방화벽은 나온 지 10년이 되었지만, 시장은 아직도 성장 중이다. NSS랩에 따르면 현재 기업이 80% 이상이 차세대 방화벽을 배치했다. NSS 랩의 전략 및 연구 부사장인 마이크 스팬보어는 “오늘날 이는 최고의 기업 보안 제어 수단이다”라고 말했다. 그러나 올 여름 NSS랩이 보안 테스트에서 평가한 어떤 방화벽도 변형 공격들에 대해 완벽한 복원력을 보여주지 못했다. 10개의 방화벽 중 6개가 90% 이상의 점수를 기록했지만 그렇다. 이는 개선의 여지가 상당함을 시사한다. NSS랩의 차세대 방화벽 추천 제품 NSS랩이 이행한 최신의 방화벽 비교 보안 테스트에서, 다음의 방화벽...

APT 차세대 방화벽 인텐트 보안

2018.08.29

전통적인 방화벽은 트래픽이 출발하는 도메인과 트래픽이 도착하는 포트를 추적한다. 차세대 방화벽은 여기서 한 단계 더 나아간다. 좀더 자세히 설명하면 맬웨어 및 데이터 외부 유출에 대비해 메시지 콘텐츠를 감시하고, 위협을 실시간으로 대응하며 저지할 수 있다. 최신 방화벽 제품은 이보다도 더 나아간다. 행동 애널리틱스, 애플리케이션 보안, 제로-데이 멀웨어 검출, 클라우드 및 하이브리드 환경 지원, 심지어 엔드포인트 보호까지 아우른다. 수많은 기능이 한 장소에 집결된 것이다. 이렇게 집중시키면 관리 작업이 단순해질 것이다. 일부 방화벽 업체는, 그리고 서드파티 사업자들은, 인텐트 기반 보안(intent-based security)을 제공하며 관리 이슈(management issue)에 대처하기 시작했다. 이에 의해 이용자는 일관성 있는 관리 및 구성 정책을 설정할 수 있고, 아울러 컴플라이언스 관련 정책들도 수립할 수 있다. 가트너에 따르면 2020년까지 차세대 방화벽은 거의 100%의 POP(internet points of presence)에 도달할 것이다. 그러나 대다수 조직들은 차세대 기능 가운데 한두 개 정도만 사용할 것으로 전망된다. 차세대 방화벽 시장의 변화 양상 차세대 방화벽은 나온 지 10년이 되었지만, 시장은 아직도 성장 중이다. NSS랩에 따르면 현재 기업이 80% 이상이 차세대 방화벽을 배치했다. NSS 랩의 전략 및 연구 부사장인 마이크 스팬보어는 “오늘날 이는 최고의 기업 보안 제어 수단이다”라고 말했다. 그러나 올 여름 NSS랩이 보안 테스트에서 평가한 어떤 방화벽도 변형 공격들에 대해 완벽한 복원력을 보여주지 못했다. 10개의 방화벽 중 6개가 90% 이상의 점수를 기록했지만 그렇다. 이는 개선의 여지가 상당함을 시사한다. NSS랩의 차세대 방화벽 추천 제품 NSS랩이 이행한 최신의 방화벽 비교 보안 테스트에서, 다음의 방화벽...

2018.08.29

"2018년 2분기, 아시아 지역에서 APT 공격 활동 활발" 카스퍼스키랩

카스퍼스키랩이 최근 발간한 분기별 위협 인텔리전스 요약 보고서에 따르면, 2018년 2분기에는 주로 아시아 지역에서 APT 공격 활동이 활발하게 관찰됐다. 이러한 활동에는 잘 알려진 조직과 비교적 덜 알려진 조직이 모두 연관돼 있었다. 많은 조직이 이 지역의 민감한 정치 외교적 사건을 표적으로 삼거나 그 시기를 노려 공격을 전개했다. 2018년 2분기 카스퍼스키랩의 연구원들은 APT(지능형 지속 공격) 조직들의 새로운 도구와 기술, 공격을 잇따라 발견했는데, 그 중에는 수 년간 활동이 없던 조직도 있었다. 아시아는 APT 조직의 관심이 집중된 지역이었다. 한국어 기반 조직 라자루스(Lazarus)나 스카크러프트(Scarcruft) 같은 지역 기반 조직의 활동이 두드러졌으며, 러시아어 기반의 털라(Turla)가 중앙 아시아와 중동을 노리고 사용한 라이트뉴런(LightNeuron)도 발견됐다. 카스퍼스키랩은 2018년 2분기에서 주목할 만한 동향으로 우선, 올림픽 디스트로이어의 배후 조직의 귀환을 꼽았다. 2018년 1월 평창 동계 올림픽에 대한 공격 이후, 카스퍼스키랩 연구원들은 러시아의 금융 기관과 유럽 및 우크라이나의 생화학 위협 방지 연구소에 가해진 공격을 발견했는데, 이를 올림픽 디스트로이어와 동일한 공격자의 소행으로 추정하고 있다. 많은 지표들이 낮음∼중간 정도의 가능성으로 올림픽 디스트로이어와 러시아어 기반 조직 소파시(Sofacy)와의 연관성을 시사하고 있다. 유명 APT인 라자루스/블루노로프(Lazarus/BlueNoroff)는 남미의 카지노는 물론 대형 사이버 스파이 캠페인의 일환으로 터키의 금융 기관을 노렸다는 지표들도 발견됐다. 이러한 공격 활동은 최근의 북한 평화 회담 무드와는 관계 없이 돈을 목적으로 한 라자루스의 활동은 계속되고 있음을 보여준다. 스카크러프트 APT 활동은 상대적으로 활발한 것으로 관찰됐다. 이 조직은 안드로이드 악성 코드를 사용하고 연구원들이 POORWEB이라 명명한 새로운 백도어...

공격 APT 카스퍼스키랩 평창 동계 올림픽

2018.07.17

카스퍼스키랩이 최근 발간한 분기별 위협 인텔리전스 요약 보고서에 따르면, 2018년 2분기에는 주로 아시아 지역에서 APT 공격 활동이 활발하게 관찰됐다. 이러한 활동에는 잘 알려진 조직과 비교적 덜 알려진 조직이 모두 연관돼 있었다. 많은 조직이 이 지역의 민감한 정치 외교적 사건을 표적으로 삼거나 그 시기를 노려 공격을 전개했다. 2018년 2분기 카스퍼스키랩의 연구원들은 APT(지능형 지속 공격) 조직들의 새로운 도구와 기술, 공격을 잇따라 발견했는데, 그 중에는 수 년간 활동이 없던 조직도 있었다. 아시아는 APT 조직의 관심이 집중된 지역이었다. 한국어 기반 조직 라자루스(Lazarus)나 스카크러프트(Scarcruft) 같은 지역 기반 조직의 활동이 두드러졌으며, 러시아어 기반의 털라(Turla)가 중앙 아시아와 중동을 노리고 사용한 라이트뉴런(LightNeuron)도 발견됐다. 카스퍼스키랩은 2018년 2분기에서 주목할 만한 동향으로 우선, 올림픽 디스트로이어의 배후 조직의 귀환을 꼽았다. 2018년 1월 평창 동계 올림픽에 대한 공격 이후, 카스퍼스키랩 연구원들은 러시아의 금융 기관과 유럽 및 우크라이나의 생화학 위협 방지 연구소에 가해진 공격을 발견했는데, 이를 올림픽 디스트로이어와 동일한 공격자의 소행으로 추정하고 있다. 많은 지표들이 낮음∼중간 정도의 가능성으로 올림픽 디스트로이어와 러시아어 기반 조직 소파시(Sofacy)와의 연관성을 시사하고 있다. 유명 APT인 라자루스/블루노로프(Lazarus/BlueNoroff)는 남미의 카지노는 물론 대형 사이버 스파이 캠페인의 일환으로 터키의 금융 기관을 노렸다는 지표들도 발견됐다. 이러한 공격 활동은 최근의 북한 평화 회담 무드와는 관계 없이 돈을 목적으로 한 라자루스의 활동은 계속되고 있음을 보여준다. 스카크러프트 APT 활동은 상대적으로 활발한 것으로 관찰됐다. 이 조직은 안드로이드 악성 코드를 사용하고 연구원들이 POORWEB이라 명명한 새로운 백도어...

2018.07.17

기고 | APT로 의심되는 5가지 징후

그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. 후원자의 이해관계에 부합하도록 중요 정보를 캐내거나, 악성코드를 심거나, 타깃 네트워크 및 컴퓨터에 원할 때마다 잠입할 수 있도록 백도어 프로그램을 설치해 두는 등의 작업을 한다. APT 해커들은 대체로 수완이 매우 좋으며 절대 잡히지 않는다는 점에서 사실상 게임의 우위를 점하고 있다. 일반적인 범죄자들이 이와 같은 이점을 누리게 된다면 얼마나 집요하고 악랄하게 범죄 행위를 자행할지 생각해 보라. 그러나 APT 해커는 타깃이 자신의 행위를 바로 알아채지 못하게 매우 주의한다는 점에서 일반 해커와 구분된다. 타깃이 알아채고 경계하는 순간 목표 달성이 훨씬 어려워진다. 가장 뛰어난 해커는 네트워크와 컴퓨터에 잠입하여 필요한 것을 빼내고, 탈출하는 순간까지 들키지 않는 해커다. 그래서 이들의 작업은 대체로 ‘천천히, 은밀히’ 이뤄진다. 타깃이 의심할 만한 수상한 이벤트나 에러 메시지, 트래픽 혼잡, 서비스 방해 등을 야기하지 않기 위해서다. 대부분 APT는 해킹에 커스텀 코드를 사용하지만, 최소한 처음에는 공공연히 알려진 취약점을 노리는 쪽을 선호한다. 그렇게 하면 설령 공격 사실이 들통나더라도 과연 공격자가 APT 해커인지, 아니면 일반적이고 상대적으로 덜 문제가 되는 일반 해커나 악성코드 프로그램인지 식별하기가 어렵기 때문이다. 이처럼 교묘한 APT 해킹이 기승을 부리고 있다면, 과연 내가 APT 공격을 당하고 있는지 아닌지 알 방법은 없는 것일까? APT 알아보기 APT 해커는 일반 해커와 다른 기술을 사용하기 때문에 남기는 흔적도 좀 다르다. 지난 20년 동안 필자는 APT 공격을 받은 기업들이 공통으로 다음의 5가지 특징적 현상을 경험...

CSO 스피어피싱 트로이목마 APT 소셜 엔지니어링 해커 CISO 이메일 해킹 지능형 지속 공격

2018.04.30

그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. 후원자의 이해관계에 부합하도록 중요 정보를 캐내거나, 악성코드를 심거나, 타깃 네트워크 및 컴퓨터에 원할 때마다 잠입할 수 있도록 백도어 프로그램을 설치해 두는 등의 작업을 한다. APT 해커들은 대체로 수완이 매우 좋으며 절대 잡히지 않는다는 점에서 사실상 게임의 우위를 점하고 있다. 일반적인 범죄자들이 이와 같은 이점을 누리게 된다면 얼마나 집요하고 악랄하게 범죄 행위를 자행할지 생각해 보라. 그러나 APT 해커는 타깃이 자신의 행위를 바로 알아채지 못하게 매우 주의한다는 점에서 일반 해커와 구분된다. 타깃이 알아채고 경계하는 순간 목표 달성이 훨씬 어려워진다. 가장 뛰어난 해커는 네트워크와 컴퓨터에 잠입하여 필요한 것을 빼내고, 탈출하는 순간까지 들키지 않는 해커다. 그래서 이들의 작업은 대체로 ‘천천히, 은밀히’ 이뤄진다. 타깃이 의심할 만한 수상한 이벤트나 에러 메시지, 트래픽 혼잡, 서비스 방해 등을 야기하지 않기 위해서다. 대부분 APT는 해킹에 커스텀 코드를 사용하지만, 최소한 처음에는 공공연히 알려진 취약점을 노리는 쪽을 선호한다. 그렇게 하면 설령 공격 사실이 들통나더라도 과연 공격자가 APT 해커인지, 아니면 일반적이고 상대적으로 덜 문제가 되는 일반 해커나 악성코드 프로그램인지 식별하기가 어렵기 때문이다. 이처럼 교묘한 APT 해킹이 기승을 부리고 있다면, 과연 내가 APT 공격을 당하고 있는지 아닌지 알 방법은 없는 것일까? APT 알아보기 APT 해커는 일반 해커와 다른 기술을 사용하기 때문에 남기는 흔적도 좀 다르다. 지난 20년 동안 필자는 APT 공격을 받은 기업들이 공통으로 다음의 5가지 특징적 현상을 경험...

2018.04.30

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9