Offcanvas

������������

‘전송 중 파일서 악성코드 검출’… 딥 인스팅트, 새 안티 맬웨어 발표

사이버 보안업체 딥 인스팅트(Deep Instinct)가 새 맬웨어 방지 소프트웨어 ‘애플리케이션 포 딥 인스팅트 프리벤션(Deep Instinct Prevention for Applications)’을 출시했다. 시스템에 업로드되거나 다운로드되는 파일 중 악성코드가 심어진 파일을 탐지해 해킹을 사전 중단시키는 것이 핵심 기능이다.  회사에 따르면 이 소프트웨어는 고객 환경 내 컨테이너에서 구축되며, 클라우드에 연결하지 않아도 작동한다. API를 를 기반으로 작동해 모든 시스템 및 장치에서 구동될 만큼 유연하며, 전송 중인 파일을 검색해 엔드포인트를 넘어 위협 보호 기능을 한층 더 향상시킨다고 업체 측은 설명했다.  딥 인스팅트의 제품 솔루션 담당 이사 카렌 크롤리는 기업에서 매우 널리 사용되고 있는 PDF 및 오피스 파일은 여전히 해커들의 대규모 공격 대상이라고 전했다. 그는 "PDF 문서의 텍스트, 이미지 및 코드에 악성 스크립트가 심겨 있을 수 있다. 이런 스크립트는 탐지되기 쉽지 않으며, 기업의 보안에 해를 가할 위험이 있다”라며 "이러한 파일은 사이버 범죄자에게 백도어를 열어줘, 그들이 기기의 접근 권한을 탈취해 네트워크의 다른 영역까지 침투할 가능성도 있다”라고 말했다.    크롤리는 새 솔루션이 20분 이내에 수백만 개의 파일을 검색한다고 밝혔다. 그는 “솔루션의 ‘브레인(brain)’은 도커 컨테이너 형식으로 배포되며, 웹 애플리케이션과 웹 게이트웨이 관련 파일까지 스캔할 수 있다. 스캔이 완료되면 애플리케이션은 ‘악성 코드 발견’ 혹은 ‘안전함(’이라는 검사 결과를 송출한다. 만일 악성 코드 발견이 뜨면, 애플리케이션은 사용자에게 격리, 삭제 그리고 샌드박스 이렇게 3가지의 유연한 대응 방식을 제공한다”라고 설명했다. 새 솔루션은 위협 유형을 분류하고 탐지 및 대응을 개선하고자 업체의 클라우드 기반 데이터 애널리틱스 서비스로 파일을 전송할 수도 있다고 크롤리는 덧붙였다. 그는 "악성코드를 판별하는...

맬웨어 PDF문서형악성코드 악성코드 딥러닝

2022.08.08

사이버 보안업체 딥 인스팅트(Deep Instinct)가 새 맬웨어 방지 소프트웨어 ‘애플리케이션 포 딥 인스팅트 프리벤션(Deep Instinct Prevention for Applications)’을 출시했다. 시스템에 업로드되거나 다운로드되는 파일 중 악성코드가 심어진 파일을 탐지해 해킹을 사전 중단시키는 것이 핵심 기능이다.  회사에 따르면 이 소프트웨어는 고객 환경 내 컨테이너에서 구축되며, 클라우드에 연결하지 않아도 작동한다. API를 를 기반으로 작동해 모든 시스템 및 장치에서 구동될 만큼 유연하며, 전송 중인 파일을 검색해 엔드포인트를 넘어 위협 보호 기능을 한층 더 향상시킨다고 업체 측은 설명했다.  딥 인스팅트의 제품 솔루션 담당 이사 카렌 크롤리는 기업에서 매우 널리 사용되고 있는 PDF 및 오피스 파일은 여전히 해커들의 대규모 공격 대상이라고 전했다. 그는 "PDF 문서의 텍스트, 이미지 및 코드에 악성 스크립트가 심겨 있을 수 있다. 이런 스크립트는 탐지되기 쉽지 않으며, 기업의 보안에 해를 가할 위험이 있다”라며 "이러한 파일은 사이버 범죄자에게 백도어를 열어줘, 그들이 기기의 접근 권한을 탈취해 네트워크의 다른 영역까지 침투할 가능성도 있다”라고 말했다.    크롤리는 새 솔루션이 20분 이내에 수백만 개의 파일을 검색한다고 밝혔다. 그는 “솔루션의 ‘브레인(brain)’은 도커 컨테이너 형식으로 배포되며, 웹 애플리케이션과 웹 게이트웨이 관련 파일까지 스캔할 수 있다. 스캔이 완료되면 애플리케이션은 ‘악성 코드 발견’ 혹은 ‘안전함(’이라는 검사 결과를 송출한다. 만일 악성 코드 발견이 뜨면, 애플리케이션은 사용자에게 격리, 삭제 그리고 샌드박스 이렇게 3가지의 유연한 대응 방식을 제공한다”라고 설명했다. 새 솔루션은 위협 유형을 분류하고 탐지 및 대응을 개선하고자 업체의 클라우드 기반 데이터 애널리틱스 서비스로 파일을 전송할 수도 있다고 크롤리는 덧붙였다. 그는 "악성코드를 판별하는...

2022.08.08

뜨거웠던 7월··· 주요 ‘보안 이슈’ 살펴보기

맬웨어가 포함된 구글 플레이 앱부터 러시아의 클라우드 스토리지 서비스 하이재킹, 옥타 플랫폼의 결함 아닌 결함까지 여기서는 지난 7월 한 달 동안 흥미로웠던 몇 가지 보안 연구 결과를 소개한다.  여름 휴가철에도 해커는 쉬지 않는다. 보안 연구진 또한 해커를 추적하고 (해커가) 악용할 수 있는 경로를 파헤치느라 바쁘다.    가짜 안드로이드 앱이 여전히 판치는 구글 플레이 신뢰할 수 있는 앱 출처라고 하면 당연히 안전한 모바일 애플리케이션을 다운로드 받는다고 생각한다. 하지만 안타깝게도 항상 그런 건 아니다.  새롭게 불거진 문제는 아니지만 지스케일러 쓰레트랩(Zscaler ThreatLabz)과 프라데오(Pradeo)의 최근 보고서는 구글의 앱 스토어 ‘구글 플레이(Google Play)’에서 맬웨어가 포함된 안드로이드 앱이 계속 발견되고 있다고 밝혔다. 보고서에 따르면 조커(Joker), 페이스스틸러(Facestealer), 코퍼(Coper) 등의 맬웨어 제품군이 여러 앱 인스턴스에서 포착됐다.  지스케일러의 연구원 바이럴 간디와 히만슈 샤르마는 보고서에서 “조커는 안드로이드 기기를 표적으로 하는 맬웨어 중 하나다. 이미 널리 알려진 악성코드이긴 하지만 이는 코드, 실행 방법, 페이로드 검색 기술을 업데이트하는 등 맬웨어의 시그니처를 정기적으로 수정하면서 구글의 앱 스토어에 계속 침투하고 있다”라고 설명했다.  연구진은 즉시 이를 구글에 알렸고, 구글은 이 악성 앱을 제거하기 위한 조치를 취했다. 한편 본인을 시스템 관리자, 사이버 보안 애널리스트, 침투 테스터 및 개발자라고 밝힌 아론 락스(@MAST3R0x1A4)는 트위터와 링크드인에서 “구글처럼 규모가 크고 #플레이스토어를 운영하는 기업이 어떻게 이런 광범위한 맬웨어 배포를 계속 허용할 수 있는지 정말 이해할 수 없다”라고 지적했다.  맬웨어의 통로 역할을 한 클라우드 스토리지 서비스 7월은 구글의 제품 및 보안에 썩 좋지 않은...

맬웨어 악성코드 취약점 옥타 구글 플레이 스토어 클라우드 스토리지

2022.08.01

맬웨어가 포함된 구글 플레이 앱부터 러시아의 클라우드 스토리지 서비스 하이재킹, 옥타 플랫폼의 결함 아닌 결함까지 여기서는 지난 7월 한 달 동안 흥미로웠던 몇 가지 보안 연구 결과를 소개한다.  여름 휴가철에도 해커는 쉬지 않는다. 보안 연구진 또한 해커를 추적하고 (해커가) 악용할 수 있는 경로를 파헤치느라 바쁘다.    가짜 안드로이드 앱이 여전히 판치는 구글 플레이 신뢰할 수 있는 앱 출처라고 하면 당연히 안전한 모바일 애플리케이션을 다운로드 받는다고 생각한다. 하지만 안타깝게도 항상 그런 건 아니다.  새롭게 불거진 문제는 아니지만 지스케일러 쓰레트랩(Zscaler ThreatLabz)과 프라데오(Pradeo)의 최근 보고서는 구글의 앱 스토어 ‘구글 플레이(Google Play)’에서 맬웨어가 포함된 안드로이드 앱이 계속 발견되고 있다고 밝혔다. 보고서에 따르면 조커(Joker), 페이스스틸러(Facestealer), 코퍼(Coper) 등의 맬웨어 제품군이 여러 앱 인스턴스에서 포착됐다.  지스케일러의 연구원 바이럴 간디와 히만슈 샤르마는 보고서에서 “조커는 안드로이드 기기를 표적으로 하는 맬웨어 중 하나다. 이미 널리 알려진 악성코드이긴 하지만 이는 코드, 실행 방법, 페이로드 검색 기술을 업데이트하는 등 맬웨어의 시그니처를 정기적으로 수정하면서 구글의 앱 스토어에 계속 침투하고 있다”라고 설명했다.  연구진은 즉시 이를 구글에 알렸고, 구글은 이 악성 앱을 제거하기 위한 조치를 취했다. 한편 본인을 시스템 관리자, 사이버 보안 애널리스트, 침투 테스터 및 개발자라고 밝힌 아론 락스(@MAST3R0x1A4)는 트위터와 링크드인에서 “구글처럼 규모가 크고 #플레이스토어를 운영하는 기업이 어떻게 이런 광범위한 맬웨어 배포를 계속 허용할 수 있는지 정말 이해할 수 없다”라고 지적했다.  맬웨어의 통로 역할을 한 클라우드 스토리지 서비스 7월은 구글의 제품 및 보안에 썩 좋지 않은...

2022.08.01

“의료기관 노린다” 美 정부, 마우이(Maui) 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

마우이 북한 랜섬웨어 맬웨어 악성코드 보안 사이버 보안 APT

2022.07.11

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

2022.07.11

강은성의 보안 아키텍트ㅣ랜섬웨어와 랜섬웨어 ‘산업’에 대응하려면

올해 상반기에도 랜섬웨어 피해에 관한 뉴스가 줄을 이었다. 2월 미국의 글로벌 물류업체 익스피다이터스(Expeditors)가 랜섬웨어 공격을 받아 약 3주간 서비스를 하지 못해 미화 6,000만 달러(한화 약 7,440억 원) 이상의 손실을 봤고, 3월에는 미국의 글로벌 타이어 기업 브리지스톤(Bridgestone)이 러시아 랜섬웨어 갱단 록빗(Lockbit) 2.0의 공격으로 10일 동안 생산이 중단됐다. 4월에는 러시아 랜섬웨어 갱단 콘티(Conti)가 코스타리카 재무부를 공격하여 정부가 국가 비상사태를 선포했고, 5월에는 페루 정보기관을 해킹하기도 하였다.  블록체인 데이터 분석 기업 체이널리시스(Chainalysis)는 2021년에 몸값으로 지급된 가상자산만 6억 200만 달러(약 7,250억 원)로 파악됐다고 밝혔고, 사이버 경제 분석 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 「2019 Official Annual Cybercrime Report」에서 2021년 랜섬웨어 피해를 20억 달러(약 2조 4,000억 원)로 추정하였다. 엄청난 규모다.   국내 피해도 증가하는 추세다. 올해 2월 과학기술정보통신부에 따르면, 2021년 랜섬웨어 피해 신고 건수는 223건으로 2020년 대비 76%로 급증했고, 1월 신고 건수 역시 19건으로 2020년 11건에서 많이 증가했다. 랜섬웨어용 보안솔루션은 아직 시장에 나와 있지 않다. 지난 5월 한국침해사고대응팀협의회가 주최한 ‘랜섬웨어 대응 콘테스트’에 나온 보안기업들도 주로 기존 보안솔루션의 기능을 활용하여 랜섬웨어에 대응하는 방법을 소개하였다. 결국 각 기업이 사업과 업무, IT 인프라와 보안솔루션을 고려하여 랜섬웨어 대응 전략을 짜고 구현해야 하는 상황이다. 랜섬웨어는 악성코드의 일종이고, 지능형 표적(APT) 공격 방식으로 많이 배포되므로, 이를 예방하기 위한 방법은 악성코드 및 APT 공격에 대한 대책과 그리 다르지 않다(“APT 공격, 어떻게 ...

랜섬웨어 록빗 콘티 악성코드 지능형 표적 공격 랩서스 비즈니스 연속성 서비스형 랜섬웨어 레빌 클롭 사이버 범죄 강은성 강은성의 보안 아키텍트

2022.07.11

올해 상반기에도 랜섬웨어 피해에 관한 뉴스가 줄을 이었다. 2월 미국의 글로벌 물류업체 익스피다이터스(Expeditors)가 랜섬웨어 공격을 받아 약 3주간 서비스를 하지 못해 미화 6,000만 달러(한화 약 7,440억 원) 이상의 손실을 봤고, 3월에는 미국의 글로벌 타이어 기업 브리지스톤(Bridgestone)이 러시아 랜섬웨어 갱단 록빗(Lockbit) 2.0의 공격으로 10일 동안 생산이 중단됐다. 4월에는 러시아 랜섬웨어 갱단 콘티(Conti)가 코스타리카 재무부를 공격하여 정부가 국가 비상사태를 선포했고, 5월에는 페루 정보기관을 해킹하기도 하였다.  블록체인 데이터 분석 기업 체이널리시스(Chainalysis)는 2021년에 몸값으로 지급된 가상자산만 6억 200만 달러(약 7,250억 원)로 파악됐다고 밝혔고, 사이버 경제 분석 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 「2019 Official Annual Cybercrime Report」에서 2021년 랜섬웨어 피해를 20억 달러(약 2조 4,000억 원)로 추정하였다. 엄청난 규모다.   국내 피해도 증가하는 추세다. 올해 2월 과학기술정보통신부에 따르면, 2021년 랜섬웨어 피해 신고 건수는 223건으로 2020년 대비 76%로 급증했고, 1월 신고 건수 역시 19건으로 2020년 11건에서 많이 증가했다. 랜섬웨어용 보안솔루션은 아직 시장에 나와 있지 않다. 지난 5월 한국침해사고대응팀협의회가 주최한 ‘랜섬웨어 대응 콘테스트’에 나온 보안기업들도 주로 기존 보안솔루션의 기능을 활용하여 랜섬웨어에 대응하는 방법을 소개하였다. 결국 각 기업이 사업과 업무, IT 인프라와 보안솔루션을 고려하여 랜섬웨어 대응 전략을 짜고 구현해야 하는 상황이다. 랜섬웨어는 악성코드의 일종이고, 지능형 표적(APT) 공격 방식으로 많이 배포되므로, 이를 예방하기 위한 방법은 악성코드 및 APT 공격에 대한 대책과 그리 다르지 않다(“APT 공격, 어떻게 ...

2022.07.11

“러는 교묘했고 우크라는 잘 견뎠다” MS 사이버전(戰) 보고서

지난주 마이크로소프트가 우크라이나 침공과 함께 시작된 러시아의 사이버 공격을 심층 조사한 결과를 발표했다. 이는 러시아의 악의적인 사이버 활동과 관련된 신선한 인사이트 그리고 전쟁을 둘러싼 교묘하고 광범위한 사이버 심리전의 새로운 세부사항을 담고 있다.  마이크로소프트의 사장 브래드 스미스는 지난 3월 이 회사가 인도주의적 기술 구호 활동에 자금을 지원하는 것 외에도, 우크라이나 정부 시스템의 사이버 보안 취약점을 식별하기 위해 ‘리스크IQ(RiskIQ)’ 플랫폼을 구축했다고 밝혔다. 이어 “공격자에게 발판을 제공할 수 있는, 즉 패치되지 않았으며 치명적인 CVE(Common Vulnerability and Exposure)가 있는 취약한 시스템 목록을 우크라이나 정부에 제공했다”라고 덧붙였다.  또한 이보다 앞선 1월 마이크로소프트의 보안 전문가는 약 70개의 우크라이나 정부 웹사이트를 다운시켰던 사전 침입 맬웨어 공격을 가장 먼저 발견했다. 이에 따라 새로 발견된 맬웨어 보호 기능을 마이크로소프트 365 디펜더 엔드포인트 보호(Microsoft 365 Defender Endpoint Detection)에, 안티바이러스 보호 기능을 온프레미스 및 클라우드에 배포했다.    스미스는 이번 보고서의 서문에서 어떤 전쟁이든 첫 방아쇠가 중요하다고 언급하며, 현 우크라이나 침공과 제1차 세계대전을 촉발시킨 1914년 오스트리아-헝가리의 황태자 프란츠 페르디난트 암살사건 사이에 유사점이 있다고 말했다. 러시아의 첫 공격은 전쟁이 시작되기 직전인 2월 23일, 우크라이나의 정부 및 금융기관을 타깃으로 한 폭스블레이드(Foxblade)라는 데이터 삭제 기능을 가진 맬웨어였다.  그는 “러시아의 우크라이나 침공 전략은 3가지로 구분된다. 1) 우크라이나 내부를 노린 사이버 공격, 2) 우크라이나 외부에서의 네트워크 침투 및 간첩 활동, 3) 전 세계 사람을 대상으로 하는 사이버 심리전이다”라고 전했다. 러시아 공격의 ...

사이버 보안 사이버 전쟁 사이버 공격 우크라이나 러시아 악성코드 맬웨어 취약점 사이버 심리전

2022.06.30

지난주 마이크로소프트가 우크라이나 침공과 함께 시작된 러시아의 사이버 공격을 심층 조사한 결과를 발표했다. 이는 러시아의 악의적인 사이버 활동과 관련된 신선한 인사이트 그리고 전쟁을 둘러싼 교묘하고 광범위한 사이버 심리전의 새로운 세부사항을 담고 있다.  마이크로소프트의 사장 브래드 스미스는 지난 3월 이 회사가 인도주의적 기술 구호 활동에 자금을 지원하는 것 외에도, 우크라이나 정부 시스템의 사이버 보안 취약점을 식별하기 위해 ‘리스크IQ(RiskIQ)’ 플랫폼을 구축했다고 밝혔다. 이어 “공격자에게 발판을 제공할 수 있는, 즉 패치되지 않았으며 치명적인 CVE(Common Vulnerability and Exposure)가 있는 취약한 시스템 목록을 우크라이나 정부에 제공했다”라고 덧붙였다.  또한 이보다 앞선 1월 마이크로소프트의 보안 전문가는 약 70개의 우크라이나 정부 웹사이트를 다운시켰던 사전 침입 맬웨어 공격을 가장 먼저 발견했다. 이에 따라 새로 발견된 맬웨어 보호 기능을 마이크로소프트 365 디펜더 엔드포인트 보호(Microsoft 365 Defender Endpoint Detection)에, 안티바이러스 보호 기능을 온프레미스 및 클라우드에 배포했다.    스미스는 이번 보고서의 서문에서 어떤 전쟁이든 첫 방아쇠가 중요하다고 언급하며, 현 우크라이나 침공과 제1차 세계대전을 촉발시킨 1914년 오스트리아-헝가리의 황태자 프란츠 페르디난트 암살사건 사이에 유사점이 있다고 말했다. 러시아의 첫 공격은 전쟁이 시작되기 직전인 2월 23일, 우크라이나의 정부 및 금융기관을 타깃으로 한 폭스블레이드(Foxblade)라는 데이터 삭제 기능을 가진 맬웨어였다.  그는 “러시아의 우크라이나 침공 전략은 3가지로 구분된다. 1) 우크라이나 내부를 노린 사이버 공격, 2) 우크라이나 외부에서의 네트워크 침투 및 간첩 활동, 3) 전 세계 사람을 대상으로 하는 사이버 심리전이다”라고 전했다. 러시아 공격의 ...

2022.06.30

‘바자로더’ 가고 ‘범블비’ 왔다… 새로운 악성코드 로더 주의보

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

바자로더 아이스드아이디 범블비 악성코드 악성코드 로더

2022.05.03

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

2022.05.03

알고도 속는 5가지, 몰라서 속는 4가지 '소셜 엔지니어링' 속임수

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

사회공학 해킹 소셜 엔지니어링 사이버 공격 랜섬웨어 악성코드 악성 소프트웨어 이메일 피싱 피싱 공격 전화 피싱

2022.03.30

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

2022.03.30

“몸값 시한 지나면 자동 삭제”··· 랜섬웨어 ‘로키로커’가 당신을 노린다

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

랜섬웨어 악성 소프트웨어 악성코드 로키로커 블랙베리 서비스형 랜섬웨어 닷넷 사이버 범죄 맬웨어

2022.03.17

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

2022.03.17

케이사인, 4억 건의 사이버보안 AI 학습용 데이터셋 구축 완료

케이사인이 자회사 위협 인텔리전스 전문 기업 ‘샌즈랩’ 및 안티바이러스 전문기업 ‘이스트시큐리티’와 4억 건의 사이버보안 AI 학습용 데이터셋을 구축 완료했다고 2월 11일 밝혔다. 한국인터넷진흥원(KISA)은 지난해 과학기술정통부의 ‘K-사이버방역 추진전략’의 일환으로 ‘사이버보안 AI 데이터셋 구축사업’을 진행했다. 이번 과제는 사이버 침해대응 분야 민관 전문가가 협력해 사이버보안 AI 데이터셋 구축의 선순환 환경을 조성하고, 국내 보안기술을 지능화해 급증하는 신·변종 보안 위협에 선제적으로 대응할 수 있는 기반을 마련하는 것을 목표로 한다. 케이사인 컨소시엄은 해당 사업에서 3억 건 이상의 정상/악성파일 및 300종 이상의 악성코드 패밀리를 분류하고, 즉시 활용할 수 있는 ‘사이버보안 인공지능(AI) 데이터셋(악성코드 분야)’ 구축했다. 악성코드 AI 특징정보 추출에 대한 전문적 노하우와 클라우드 기반의 페타급 대용량 데이터셋 이관 방법론으로 최적의 데이터셋을 구축하고, 이관 및 검증 체계를 마련하며 업계의 주목을 받았다.   케이사인 컨소시엄은 샌즈랩에서 운영하는 멀웨어즈닷컴(malwares.com)에서 분석한 20억 건의 악성코드 분석 데이터 가운데 대표성을 띈 3억 개의 악성코드를 추출하고, 악성코드 특징 정보를 바탕으로 300여 종의 패밀리로 분류했다. 회사에 따르면 구축된 데이터셋은 총 150여 종의 메타정보 및 원시데이터를 포함한다. 또한 공격그룹, 공격기법, 유포방법 등 악성코드 속성정보에 대한 고차원으로 연관관계 분석을 실시해 1억 건의 악성코드 분석 데이터도 함께 마련했다. 정적/동적 분석만으로 도출할 수 없는 심층정보를 속성으로 생성해 유사도 분석을 수행하고, 클러스터링한 결과를 기반으로 데이터셋을 구축하며 기술을 우수성을 인정받았다. 구축한 데이터셋은 다수의 기관으로부터 다양한 AI 모델을 통해 실증을 수행했다. 또한 악성코드 전문 인력과 품질 검증을 위해 각 분야 전문가 10인의 자문을 받아 데이터셋의 질적 향상을...

케이사인 샌즈랩 이스트시큐리티 악성코드 사이버보안

2022.02.11

케이사인이 자회사 위협 인텔리전스 전문 기업 ‘샌즈랩’ 및 안티바이러스 전문기업 ‘이스트시큐리티’와 4억 건의 사이버보안 AI 학습용 데이터셋을 구축 완료했다고 2월 11일 밝혔다. 한국인터넷진흥원(KISA)은 지난해 과학기술정통부의 ‘K-사이버방역 추진전략’의 일환으로 ‘사이버보안 AI 데이터셋 구축사업’을 진행했다. 이번 과제는 사이버 침해대응 분야 민관 전문가가 협력해 사이버보안 AI 데이터셋 구축의 선순환 환경을 조성하고, 국내 보안기술을 지능화해 급증하는 신·변종 보안 위협에 선제적으로 대응할 수 있는 기반을 마련하는 것을 목표로 한다. 케이사인 컨소시엄은 해당 사업에서 3억 건 이상의 정상/악성파일 및 300종 이상의 악성코드 패밀리를 분류하고, 즉시 활용할 수 있는 ‘사이버보안 인공지능(AI) 데이터셋(악성코드 분야)’ 구축했다. 악성코드 AI 특징정보 추출에 대한 전문적 노하우와 클라우드 기반의 페타급 대용량 데이터셋 이관 방법론으로 최적의 데이터셋을 구축하고, 이관 및 검증 체계를 마련하며 업계의 주목을 받았다.   케이사인 컨소시엄은 샌즈랩에서 운영하는 멀웨어즈닷컴(malwares.com)에서 분석한 20억 건의 악성코드 분석 데이터 가운데 대표성을 띈 3억 개의 악성코드를 추출하고, 악성코드 특징 정보를 바탕으로 300여 종의 패밀리로 분류했다. 회사에 따르면 구축된 데이터셋은 총 150여 종의 메타정보 및 원시데이터를 포함한다. 또한 공격그룹, 공격기법, 유포방법 등 악성코드 속성정보에 대한 고차원으로 연관관계 분석을 실시해 1억 건의 악성코드 분석 데이터도 함께 마련했다. 정적/동적 분석만으로 도출할 수 없는 심층정보를 속성으로 생성해 유사도 분석을 수행하고, 클러스터링한 결과를 기반으로 데이터셋을 구축하며 기술을 우수성을 인정받았다. 구축한 데이터셋은 다수의 기관으로부터 다양한 AI 모델을 통해 실증을 수행했다. 또한 악성코드 전문 인력과 품질 검증을 위해 각 분야 전문가 10인의 자문을 받아 데이터셋의 질적 향상을...

2022.02.11

이글루시큐리티, 침해사고 재현한 1억 2,000건의 AI 데이터셋 구축

이글루시큐리티가 2021년 한국인터넷진흥원(KISA)의 ‘사이버보안 인공지능 데이터셋(침해사고 분야)’ 구축 사업에 참여해 주요 침해사고를 재현한 1억 2,000건의 데이터셋 구축을 완료했다고 1월 26일 밝혔다. 한국인터넷진흥원(KISA)은 K-사이버방역 추진 전략의 일환으로 악성코드와 침해사고 분야에서 AI 침해 대응에 적용할 수 있는 8억 건 이상의 AI 데이터셋을 구축하는 ‘사이버보안 AI 데이터셋 구축 사업’을 추진했다. 민간 개방된 침해사고 데이터셋을 토대로 국내 보안 조직들이 신·변종 보안 위협에 선제 대응할 수 있는 기반을 마련하는 것이 이번 사업의 골자였다. 이번 사업 중 최신 침해사건 재현 분야는 2015년부터 AI 알고리즘과 AI 학습 데이터 개발에 공을 들여온 이글루시큐리티가 담당했다. 이글루시큐리티는 다년간의 AI 시스템 구축·운영 역량과 대규모 위협 대응 경험을 토대로 국내외 주요 침해사고를 재현한 AI 데이터셋을 구축하고 검증하는 역할을 맡았다. 이글루시큐리티는 15건의 엄선된 침해사고 시나리오 실행을 통해 6개 이기종 보안 장비에서 생성된 원시 데이터를 수집하고, 원시 데이터에서 공격의 특징을 추출·선별해 레이블링한 뒤 이 레이블링 데이터를 AI 학습을 위한 데이터셋 형태로 가공했다. 이후 AI 보안 모델을 적용한 사이트에 AI 데이터셋을 적용하며 검증도 완료했다. 이글루시큐리티는 국내 보안 조직들이 웹 애플리케이션 취약점을 이용한 공격, 랜섬웨어 감염 등의 다양한 침해사고에 체계적으로 신속 대응할 수 있도록 15건의 침해사고에 대한 ‘플레이북(Playbook)’도 개발했다. 이글루시큐리티는 마이터 어택 프레임워크(MITRE ATT&CK Framework)에 따라 공격 단계를 분석하고 공격자 관점의 침투 테스트를 실행하는 과정을 통해, 침해사고 유형별 최적의 표준 절차와 대응 방안을 매뉴얼화한 ‘플레이북’을 마련했다고 회사 측은 전했다. 회사에 따르면 이번에 구축된 데이터셋은 한국인터넷진흥원 사이버보안빅데이터센터를 통...

이글루시큐리티 인공지능 침해사고 악성코드

2022.01.26

이글루시큐리티가 2021년 한국인터넷진흥원(KISA)의 ‘사이버보안 인공지능 데이터셋(침해사고 분야)’ 구축 사업에 참여해 주요 침해사고를 재현한 1억 2,000건의 데이터셋 구축을 완료했다고 1월 26일 밝혔다. 한국인터넷진흥원(KISA)은 K-사이버방역 추진 전략의 일환으로 악성코드와 침해사고 분야에서 AI 침해 대응에 적용할 수 있는 8억 건 이상의 AI 데이터셋을 구축하는 ‘사이버보안 AI 데이터셋 구축 사업’을 추진했다. 민간 개방된 침해사고 데이터셋을 토대로 국내 보안 조직들이 신·변종 보안 위협에 선제 대응할 수 있는 기반을 마련하는 것이 이번 사업의 골자였다. 이번 사업 중 최신 침해사건 재현 분야는 2015년부터 AI 알고리즘과 AI 학습 데이터 개발에 공을 들여온 이글루시큐리티가 담당했다. 이글루시큐리티는 다년간의 AI 시스템 구축·운영 역량과 대규모 위협 대응 경험을 토대로 국내외 주요 침해사고를 재현한 AI 데이터셋을 구축하고 검증하는 역할을 맡았다. 이글루시큐리티는 15건의 엄선된 침해사고 시나리오 실행을 통해 6개 이기종 보안 장비에서 생성된 원시 데이터를 수집하고, 원시 데이터에서 공격의 특징을 추출·선별해 레이블링한 뒤 이 레이블링 데이터를 AI 학습을 위한 데이터셋 형태로 가공했다. 이후 AI 보안 모델을 적용한 사이트에 AI 데이터셋을 적용하며 검증도 완료했다. 이글루시큐리티는 국내 보안 조직들이 웹 애플리케이션 취약점을 이용한 공격, 랜섬웨어 감염 등의 다양한 침해사고에 체계적으로 신속 대응할 수 있도록 15건의 침해사고에 대한 ‘플레이북(Playbook)’도 개발했다. 이글루시큐리티는 마이터 어택 프레임워크(MITRE ATT&CK Framework)에 따라 공격 단계를 분석하고 공격자 관점의 침투 테스트를 실행하는 과정을 통해, 침해사고 유형별 최적의 표준 절차와 대응 방안을 매뉴얼화한 ‘플레이북’을 마련했다고 회사 측은 전했다. 회사에 따르면 이번에 구축된 데이터셋은 한국인터넷진흥원 사이버보안빅데이터센터를 통...

2022.01.26

조시큐리티, ‘조샌드박스’ 발표··· "심층 URL 분석으로 피싱 탐지 기능 강화"

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

조시큐리티 조샌드박스 피싱 악성코드

2022.01.20

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

2022.01.20

안랩, 성인용 게임 파일로 위장한 디도스 악성코드 주의 당부

안랩이 1월 19일 특정 파일공유 사이트에 성인용 게임으로 위장한 악성 파일을 올려 디도스 공격용 악성코드를 유포하는 사례를 발견해 사용자의 주의를 당부했다. 공격자는 먼저 한 파일공유 사이트에 유명 성인용 게임 다운로드 게시물을 올리고, 악성코드를 포함한 압축파일을 업로드했다. 공격자는 해당 게임 외에도 다양한 성인용 게임을 위장해 동일한 악성코드를 포함한 압축 파일을 여러 번에 걸쳐 올렸다.   사용자가 해당 게임을 플레이하기 위해 압축파일 내에 있는 실행파일(‘Game_Open.exe’)을 실행하면 공격자의 명령에 따라 디도스 공격을 수행할 수 있는 봇(Bot) 악성코드가 설치된다. 악성코드 설치와 동시에 성인용 게임도 정상적으로 실행되기 때문에 사용자는 악성코드 감염 사실을 알아차리기 어렵다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다. 피해 예방을 위해서는 ▲파일/콘텐츠 다운로드 시 공식 홈페이지 이용 ▲출처 불분명 파일 실행 금지 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 실시간 감시 적용 등 보안 수칙을 준수해야 한다. 안랩 분석팀 이재진 주임연구원은 “파일공유 사이트를 이용한 디도스 악성코드 유포는 지난해부터 꾸준히 발견되고 있다”라며, “피해 예방을 위해서는 파일은 반드시 신뢰할 수 있는 공식 홈페이지 등에서 내려받고 백신 프로그램의 실시간 감시 기능을 활성화하는 등 보안 수칙을 지켜야 한다”라고 말했다. ciokr@idg.co.kr

안랩 악성파일 디도스 악성코드

2022.01.19

안랩이 1월 19일 특정 파일공유 사이트에 성인용 게임으로 위장한 악성 파일을 올려 디도스 공격용 악성코드를 유포하는 사례를 발견해 사용자의 주의를 당부했다. 공격자는 먼저 한 파일공유 사이트에 유명 성인용 게임 다운로드 게시물을 올리고, 악성코드를 포함한 압축파일을 업로드했다. 공격자는 해당 게임 외에도 다양한 성인용 게임을 위장해 동일한 악성코드를 포함한 압축 파일을 여러 번에 걸쳐 올렸다.   사용자가 해당 게임을 플레이하기 위해 압축파일 내에 있는 실행파일(‘Game_Open.exe’)을 실행하면 공격자의 명령에 따라 디도스 공격을 수행할 수 있는 봇(Bot) 악성코드가 설치된다. 악성코드 설치와 동시에 성인용 게임도 정상적으로 실행되기 때문에 사용자는 악성코드 감염 사실을 알아차리기 어렵다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다. 피해 예방을 위해서는 ▲파일/콘텐츠 다운로드 시 공식 홈페이지 이용 ▲출처 불분명 파일 실행 금지 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 실시간 감시 적용 등 보안 수칙을 준수해야 한다. 안랩 분석팀 이재진 주임연구원은 “파일공유 사이트를 이용한 디도스 악성코드 유포는 지난해부터 꾸준히 발견되고 있다”라며, “피해 예방을 위해서는 파일은 반드시 신뢰할 수 있는 공식 홈페이지 등에서 내려받고 백신 프로그램의 실시간 감시 기능을 활성화하는 등 보안 수칙을 지켜야 한다”라고 말했다. ciokr@idg.co.kr

2022.01.19

"금융사 또는 북한 내부 정보로 현혹" 이스트시큐리티, 北 배후 해킹 증가 주의

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

이스트시큐리티 해킹 사이버 위협 악성코드 피싱

2022.01.13

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

2022.01.13

"도미노 공격의 빈도 및 강도가 증가할 것 外"··· 2022년 사이버보안 전망

2021년은 다사다난(多事多難)했던 한 해였다. 한 설문조사 결과에 따르면 디지털 생태계 수요 증가로 사이버 보안 공격이 급증해 기업들은 미화 약 6조 달러의 피해를 본 것으로 추산된다. 더욱더 우려스러운 점은 전 세계 사이버 범죄 비용이 향후 5년간 15% 증가해 2025년에는 연간 10조 5,000억 달러에 이를 것으로 예상된다는 것이다.    디지털 자산을 보호할 때 보안 리더는 화면 반대편에 있는 악의적인 행위자보다 앞서 나가기 위해 모든 기반을 다뤄야 한다. 2022년 보안 리더가 우선순위에 둬야 할 보안 영역을 살펴본다.    주요 인프라 공격이 물리적인 피해를 줄 것 악의적인 행위자는 운영 기술만 표적으로 삼는 것에서 벗어나 IT 시스템을 손상시키는 것을 목표로 하고 있다. 비용은 저렴하지만 영향력이 큰 공격(예: 랜섬웨어 등)은 악의적인 행위자가 비즈니스 운영을 마비시키기 위해 택하는 주요 전략이다. 이에 따라 보안 리더는 액티브 디렉토리(Active Directory)가 핵심 타깃인 취약한 인프라에 주의를 기울여야 한다. 또 디지털 시스템 개선에 투자하고 이를 보호하기 위해 이해관계자부터 직원들까지 모두 사이버보안 침해가 비즈니스에 미치는 위험을 인지하도록 해야 한다.  잘못 구성된 ‘액티브 디렉토리’는 문제를 초래할 것 하이브리드 근무와 디지털 통합의 시대에서 ‘액티브 디렉토리(Active Directory; AD)’는 데이터 보존, 구성, 배포의 핵심이다. 하지만 여러 업계에서 AD가 SaaS 및 클라우드 컴퓨팅 확장의 기준이 된 이후, 최근 몇 년 동안 이는 악의적인 행위자의 주요 표적이 됐다. 제로로그온(Zerologon) 취약점, 솔로리게이트(Solorigate) 백도어 악성 프로그램 등의 주요 공격 사건은 AD 구성 오류가 내포하는 위험을 입증했다. 특히 공격자는 취약한 패치를 통해 쉽게 접근할 수 있는 도메인 컨트롤러(Domain Controller)를 주로 노린다. 2022년에도...

랜섬웨어 악성코드 악성 프로그램 사이버 공격 사이버 보안 액티브 디렉토리 AD 제로로그온 솔로리게이트

2022.01.07

2021년은 다사다난(多事多難)했던 한 해였다. 한 설문조사 결과에 따르면 디지털 생태계 수요 증가로 사이버 보안 공격이 급증해 기업들은 미화 약 6조 달러의 피해를 본 것으로 추산된다. 더욱더 우려스러운 점은 전 세계 사이버 범죄 비용이 향후 5년간 15% 증가해 2025년에는 연간 10조 5,000억 달러에 이를 것으로 예상된다는 것이다.    디지털 자산을 보호할 때 보안 리더는 화면 반대편에 있는 악의적인 행위자보다 앞서 나가기 위해 모든 기반을 다뤄야 한다. 2022년 보안 리더가 우선순위에 둬야 할 보안 영역을 살펴본다.    주요 인프라 공격이 물리적인 피해를 줄 것 악의적인 행위자는 운영 기술만 표적으로 삼는 것에서 벗어나 IT 시스템을 손상시키는 것을 목표로 하고 있다. 비용은 저렴하지만 영향력이 큰 공격(예: 랜섬웨어 등)은 악의적인 행위자가 비즈니스 운영을 마비시키기 위해 택하는 주요 전략이다. 이에 따라 보안 리더는 액티브 디렉토리(Active Directory)가 핵심 타깃인 취약한 인프라에 주의를 기울여야 한다. 또 디지털 시스템 개선에 투자하고 이를 보호하기 위해 이해관계자부터 직원들까지 모두 사이버보안 침해가 비즈니스에 미치는 위험을 인지하도록 해야 한다.  잘못 구성된 ‘액티브 디렉토리’는 문제를 초래할 것 하이브리드 근무와 디지털 통합의 시대에서 ‘액티브 디렉토리(Active Directory; AD)’는 데이터 보존, 구성, 배포의 핵심이다. 하지만 여러 업계에서 AD가 SaaS 및 클라우드 컴퓨팅 확장의 기준이 된 이후, 최근 몇 년 동안 이는 악의적인 행위자의 주요 표적이 됐다. 제로로그온(Zerologon) 취약점, 솔로리게이트(Solorigate) 백도어 악성 프로그램 등의 주요 공격 사건은 AD 구성 오류가 내포하는 위험을 입증했다. 특히 공격자는 취약한 패치를 통해 쉽게 접근할 수 있는 도메인 컨트롤러(Domain Controller)를 주로 노린다. 2022년에도...

2022.01.07

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

블로그ㅣ새 스파이웨어 ‘폰스파이’가 기업 IT 보안에 시사하는 바

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

스파이웨어 악성코드 악성 앱 안드로이드 iOS 앱스토어 구글 플레이 애플리케이션 BYOD 보안 기업 보안 CISO 모바일

2021.11.19

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

2021.11.19

안랩, ‘캡챠’ 위장한 이미지로 악성 웹사이트 유도하는 '피싱 PDF' 주의 당부

안랩은 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서를 발견해 사용자의 주의를 당부했다. 캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 방식을 활용해 정상 이용자를 판별한다. 안랩이 이번에 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다. 만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’를 다운로드하거나 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲출처 불분명 파일 실행금지 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲오피스 SW, 운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 회사 측은 전했다. 안랩 분석팀 최수진 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”라며, “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”라고 당부했다. ciokr@idg.co.kr

안랩 피싱 악성코드

2021.11.09

안랩은 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서를 발견해 사용자의 주의를 당부했다. 캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 방식을 활용해 정상 이용자를 판별한다. 안랩이 이번에 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다. 만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’를 다운로드하거나 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲출처 불분명 파일 실행금지 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲오피스 SW, 운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 회사 측은 전했다. 안랩 분석팀 최수진 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”라며, “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”라고 당부했다. ciokr@idg.co.kr

2021.11.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13