Offcanvas

������������

‘바자로더’ 가고 ‘범블비’ 왔다… 새로운 악성코드 로더 주의보

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

바자로더 아이스드아이디 범블비 악성코드 악성코드 로더

2022.05.03

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

2022.05.03

알고도 속는 5가지, 몰라서 속는 4가지 '소셜 엔지니어링' 속임수

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

사회공학 해킹 소셜 엔지니어링 사이버 공격 랜섬웨어 악성코드 악성 소프트웨어 이메일 피싱 피싱 공격 전화 피싱

2022.03.30

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

2022.03.30

“몸값 시한 지나면 자동 삭제”··· 랜섬웨어 ‘로키로커’가 당신을 노린다

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

랜섬웨어 악성 소프트웨어 악성코드 로키로커 블랙베리 서비스형 랜섬웨어 닷넷 사이버 범죄 맬웨어

2022.03.17

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

2022.03.17

케이사인, 4억 건의 사이버보안 AI 학습용 데이터셋 구축 완료

케이사인이 자회사 위협 인텔리전스 전문 기업 ‘샌즈랩’ 및 안티바이러스 전문기업 ‘이스트시큐리티’와 4억 건의 사이버보안 AI 학습용 데이터셋을 구축 완료했다고 2월 11일 밝혔다. 한국인터넷진흥원(KISA)은 지난해 과학기술정통부의 ‘K-사이버방역 추진전략’의 일환으로 ‘사이버보안 AI 데이터셋 구축사업’을 진행했다. 이번 과제는 사이버 침해대응 분야 민관 전문가가 협력해 사이버보안 AI 데이터셋 구축의 선순환 환경을 조성하고, 국내 보안기술을 지능화해 급증하는 신·변종 보안 위협에 선제적으로 대응할 수 있는 기반을 마련하는 것을 목표로 한다. 케이사인 컨소시엄은 해당 사업에서 3억 건 이상의 정상/악성파일 및 300종 이상의 악성코드 패밀리를 분류하고, 즉시 활용할 수 있는 ‘사이버보안 인공지능(AI) 데이터셋(악성코드 분야)’ 구축했다. 악성코드 AI 특징정보 추출에 대한 전문적 노하우와 클라우드 기반의 페타급 대용량 데이터셋 이관 방법론으로 최적의 데이터셋을 구축하고, 이관 및 검증 체계를 마련하며 업계의 주목을 받았다.   케이사인 컨소시엄은 샌즈랩에서 운영하는 멀웨어즈닷컴(malwares.com)에서 분석한 20억 건의 악성코드 분석 데이터 가운데 대표성을 띈 3억 개의 악성코드를 추출하고, 악성코드 특징 정보를 바탕으로 300여 종의 패밀리로 분류했다. 회사에 따르면 구축된 데이터셋은 총 150여 종의 메타정보 및 원시데이터를 포함한다. 또한 공격그룹, 공격기법, 유포방법 등 악성코드 속성정보에 대한 고차원으로 연관관계 분석을 실시해 1억 건의 악성코드 분석 데이터도 함께 마련했다. 정적/동적 분석만으로 도출할 수 없는 심층정보를 속성으로 생성해 유사도 분석을 수행하고, 클러스터링한 결과를 기반으로 데이터셋을 구축하며 기술을 우수성을 인정받았다. 구축한 데이터셋은 다수의 기관으로부터 다양한 AI 모델을 통해 실증을 수행했다. 또한 악성코드 전문 인력과 품질 검증을 위해 각 분야 전문가 10인의 자문을 받아 데이터셋의 질적 향상을...

케이사인 샌즈랩 이스트시큐리티 악성코드 사이버보안

2022.02.11

케이사인이 자회사 위협 인텔리전스 전문 기업 ‘샌즈랩’ 및 안티바이러스 전문기업 ‘이스트시큐리티’와 4억 건의 사이버보안 AI 학습용 데이터셋을 구축 완료했다고 2월 11일 밝혔다. 한국인터넷진흥원(KISA)은 지난해 과학기술정통부의 ‘K-사이버방역 추진전략’의 일환으로 ‘사이버보안 AI 데이터셋 구축사업’을 진행했다. 이번 과제는 사이버 침해대응 분야 민관 전문가가 협력해 사이버보안 AI 데이터셋 구축의 선순환 환경을 조성하고, 국내 보안기술을 지능화해 급증하는 신·변종 보안 위협에 선제적으로 대응할 수 있는 기반을 마련하는 것을 목표로 한다. 케이사인 컨소시엄은 해당 사업에서 3억 건 이상의 정상/악성파일 및 300종 이상의 악성코드 패밀리를 분류하고, 즉시 활용할 수 있는 ‘사이버보안 인공지능(AI) 데이터셋(악성코드 분야)’ 구축했다. 악성코드 AI 특징정보 추출에 대한 전문적 노하우와 클라우드 기반의 페타급 대용량 데이터셋 이관 방법론으로 최적의 데이터셋을 구축하고, 이관 및 검증 체계를 마련하며 업계의 주목을 받았다.   케이사인 컨소시엄은 샌즈랩에서 운영하는 멀웨어즈닷컴(malwares.com)에서 분석한 20억 건의 악성코드 분석 데이터 가운데 대표성을 띈 3억 개의 악성코드를 추출하고, 악성코드 특징 정보를 바탕으로 300여 종의 패밀리로 분류했다. 회사에 따르면 구축된 데이터셋은 총 150여 종의 메타정보 및 원시데이터를 포함한다. 또한 공격그룹, 공격기법, 유포방법 등 악성코드 속성정보에 대한 고차원으로 연관관계 분석을 실시해 1억 건의 악성코드 분석 데이터도 함께 마련했다. 정적/동적 분석만으로 도출할 수 없는 심층정보를 속성으로 생성해 유사도 분석을 수행하고, 클러스터링한 결과를 기반으로 데이터셋을 구축하며 기술을 우수성을 인정받았다. 구축한 데이터셋은 다수의 기관으로부터 다양한 AI 모델을 통해 실증을 수행했다. 또한 악성코드 전문 인력과 품질 검증을 위해 각 분야 전문가 10인의 자문을 받아 데이터셋의 질적 향상을...

2022.02.11

이글루시큐리티, 침해사고 재현한 1억 2,000건의 AI 데이터셋 구축

이글루시큐리티가 2021년 한국인터넷진흥원(KISA)의 ‘사이버보안 인공지능 데이터셋(침해사고 분야)’ 구축 사업에 참여해 주요 침해사고를 재현한 1억 2,000건의 데이터셋 구축을 완료했다고 1월 26일 밝혔다. 한국인터넷진흥원(KISA)은 K-사이버방역 추진 전략의 일환으로 악성코드와 침해사고 분야에서 AI 침해 대응에 적용할 수 있는 8억 건 이상의 AI 데이터셋을 구축하는 ‘사이버보안 AI 데이터셋 구축 사업’을 추진했다. 민간 개방된 침해사고 데이터셋을 토대로 국내 보안 조직들이 신·변종 보안 위협에 선제 대응할 수 있는 기반을 마련하는 것이 이번 사업의 골자였다. 이번 사업 중 최신 침해사건 재현 분야는 2015년부터 AI 알고리즘과 AI 학습 데이터 개발에 공을 들여온 이글루시큐리티가 담당했다. 이글루시큐리티는 다년간의 AI 시스템 구축·운영 역량과 대규모 위협 대응 경험을 토대로 국내외 주요 침해사고를 재현한 AI 데이터셋을 구축하고 검증하는 역할을 맡았다. 이글루시큐리티는 15건의 엄선된 침해사고 시나리오 실행을 통해 6개 이기종 보안 장비에서 생성된 원시 데이터를 수집하고, 원시 데이터에서 공격의 특징을 추출·선별해 레이블링한 뒤 이 레이블링 데이터를 AI 학습을 위한 데이터셋 형태로 가공했다. 이후 AI 보안 모델을 적용한 사이트에 AI 데이터셋을 적용하며 검증도 완료했다. 이글루시큐리티는 국내 보안 조직들이 웹 애플리케이션 취약점을 이용한 공격, 랜섬웨어 감염 등의 다양한 침해사고에 체계적으로 신속 대응할 수 있도록 15건의 침해사고에 대한 ‘플레이북(Playbook)’도 개발했다. 이글루시큐리티는 마이터 어택 프레임워크(MITRE ATT&CK Framework)에 따라 공격 단계를 분석하고 공격자 관점의 침투 테스트를 실행하는 과정을 통해, 침해사고 유형별 최적의 표준 절차와 대응 방안을 매뉴얼화한 ‘플레이북’을 마련했다고 회사 측은 전했다. 회사에 따르면 이번에 구축된 데이터셋은 한국인터넷진흥원 사이버보안빅데이터센터를 통...

이글루시큐리티 인공지능 침해사고 악성코드

2022.01.26

이글루시큐리티가 2021년 한국인터넷진흥원(KISA)의 ‘사이버보안 인공지능 데이터셋(침해사고 분야)’ 구축 사업에 참여해 주요 침해사고를 재현한 1억 2,000건의 데이터셋 구축을 완료했다고 1월 26일 밝혔다. 한국인터넷진흥원(KISA)은 K-사이버방역 추진 전략의 일환으로 악성코드와 침해사고 분야에서 AI 침해 대응에 적용할 수 있는 8억 건 이상의 AI 데이터셋을 구축하는 ‘사이버보안 AI 데이터셋 구축 사업’을 추진했다. 민간 개방된 침해사고 데이터셋을 토대로 국내 보안 조직들이 신·변종 보안 위협에 선제 대응할 수 있는 기반을 마련하는 것이 이번 사업의 골자였다. 이번 사업 중 최신 침해사건 재현 분야는 2015년부터 AI 알고리즘과 AI 학습 데이터 개발에 공을 들여온 이글루시큐리티가 담당했다. 이글루시큐리티는 다년간의 AI 시스템 구축·운영 역량과 대규모 위협 대응 경험을 토대로 국내외 주요 침해사고를 재현한 AI 데이터셋을 구축하고 검증하는 역할을 맡았다. 이글루시큐리티는 15건의 엄선된 침해사고 시나리오 실행을 통해 6개 이기종 보안 장비에서 생성된 원시 데이터를 수집하고, 원시 데이터에서 공격의 특징을 추출·선별해 레이블링한 뒤 이 레이블링 데이터를 AI 학습을 위한 데이터셋 형태로 가공했다. 이후 AI 보안 모델을 적용한 사이트에 AI 데이터셋을 적용하며 검증도 완료했다. 이글루시큐리티는 국내 보안 조직들이 웹 애플리케이션 취약점을 이용한 공격, 랜섬웨어 감염 등의 다양한 침해사고에 체계적으로 신속 대응할 수 있도록 15건의 침해사고에 대한 ‘플레이북(Playbook)’도 개발했다. 이글루시큐리티는 마이터 어택 프레임워크(MITRE ATT&CK Framework)에 따라 공격 단계를 분석하고 공격자 관점의 침투 테스트를 실행하는 과정을 통해, 침해사고 유형별 최적의 표준 절차와 대응 방안을 매뉴얼화한 ‘플레이북’을 마련했다고 회사 측은 전했다. 회사에 따르면 이번에 구축된 데이터셋은 한국인터넷진흥원 사이버보안빅데이터센터를 통...

2022.01.26

조시큐리티, ‘조샌드박스’ 발표··· "심층 URL 분석으로 피싱 탐지 기능 강화"

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

조시큐리티 조샌드박스 피싱 악성코드

2022.01.20

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

2022.01.20

안랩, 성인용 게임 파일로 위장한 디도스 악성코드 주의 당부

안랩이 1월 19일 특정 파일공유 사이트에 성인용 게임으로 위장한 악성 파일을 올려 디도스 공격용 악성코드를 유포하는 사례를 발견해 사용자의 주의를 당부했다. 공격자는 먼저 한 파일공유 사이트에 유명 성인용 게임 다운로드 게시물을 올리고, 악성코드를 포함한 압축파일을 업로드했다. 공격자는 해당 게임 외에도 다양한 성인용 게임을 위장해 동일한 악성코드를 포함한 압축 파일을 여러 번에 걸쳐 올렸다.   사용자가 해당 게임을 플레이하기 위해 압축파일 내에 있는 실행파일(‘Game_Open.exe’)을 실행하면 공격자의 명령에 따라 디도스 공격을 수행할 수 있는 봇(Bot) 악성코드가 설치된다. 악성코드 설치와 동시에 성인용 게임도 정상적으로 실행되기 때문에 사용자는 악성코드 감염 사실을 알아차리기 어렵다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다. 피해 예방을 위해서는 ▲파일/콘텐츠 다운로드 시 공식 홈페이지 이용 ▲출처 불분명 파일 실행 금지 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 실시간 감시 적용 등 보안 수칙을 준수해야 한다. 안랩 분석팀 이재진 주임연구원은 “파일공유 사이트를 이용한 디도스 악성코드 유포는 지난해부터 꾸준히 발견되고 있다”라며, “피해 예방을 위해서는 파일은 반드시 신뢰할 수 있는 공식 홈페이지 등에서 내려받고 백신 프로그램의 실시간 감시 기능을 활성화하는 등 보안 수칙을 지켜야 한다”라고 말했다. ciokr@idg.co.kr

안랩 악성파일 디도스 악성코드

2022.01.19

안랩이 1월 19일 특정 파일공유 사이트에 성인용 게임으로 위장한 악성 파일을 올려 디도스 공격용 악성코드를 유포하는 사례를 발견해 사용자의 주의를 당부했다. 공격자는 먼저 한 파일공유 사이트에 유명 성인용 게임 다운로드 게시물을 올리고, 악성코드를 포함한 압축파일을 업로드했다. 공격자는 해당 게임 외에도 다양한 성인용 게임을 위장해 동일한 악성코드를 포함한 압축 파일을 여러 번에 걸쳐 올렸다.   사용자가 해당 게임을 플레이하기 위해 압축파일 내에 있는 실행파일(‘Game_Open.exe’)을 실행하면 공격자의 명령에 따라 디도스 공격을 수행할 수 있는 봇(Bot) 악성코드가 설치된다. 악성코드 설치와 동시에 성인용 게임도 정상적으로 실행되기 때문에 사용자는 악성코드 감염 사실을 알아차리기 어렵다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다. 피해 예방을 위해서는 ▲파일/콘텐츠 다운로드 시 공식 홈페이지 이용 ▲출처 불분명 파일 실행 금지 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 실시간 감시 적용 등 보안 수칙을 준수해야 한다. 안랩 분석팀 이재진 주임연구원은 “파일공유 사이트를 이용한 디도스 악성코드 유포는 지난해부터 꾸준히 발견되고 있다”라며, “피해 예방을 위해서는 파일은 반드시 신뢰할 수 있는 공식 홈페이지 등에서 내려받고 백신 프로그램의 실시간 감시 기능을 활성화하는 등 보안 수칙을 지켜야 한다”라고 말했다. ciokr@idg.co.kr

2022.01.19

"금융사 또는 북한 내부 정보로 현혹" 이스트시큐리티, 北 배후 해킹 증가 주의

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

이스트시큐리티 해킹 사이버 위협 악성코드 피싱

2022.01.13

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

2022.01.13

"도미노 공격의 빈도 및 강도가 증가할 것 外"··· 2022년 사이버보안 전망

2021년은 다사다난(多事多難)했던 한 해였다. 한 설문조사 결과에 따르면 디지털 생태계 수요 증가로 사이버 보안 공격이 급증해 기업들은 미화 약 6조 달러의 피해를 본 것으로 추산된다. 더욱더 우려스러운 점은 전 세계 사이버 범죄 비용이 향후 5년간 15% 증가해 2025년에는 연간 10조 5,000억 달러에 이를 것으로 예상된다는 것이다.    디지털 자산을 보호할 때 보안 리더는 화면 반대편에 있는 악의적인 행위자보다 앞서 나가기 위해 모든 기반을 다뤄야 한다. 2022년 보안 리더가 우선순위에 둬야 할 보안 영역을 살펴본다.    주요 인프라 공격이 물리적인 피해를 줄 것 악의적인 행위자는 운영 기술만 표적으로 삼는 것에서 벗어나 IT 시스템을 손상시키는 것을 목표로 하고 있다. 비용은 저렴하지만 영향력이 큰 공격(예: 랜섬웨어 등)은 악의적인 행위자가 비즈니스 운영을 마비시키기 위해 택하는 주요 전략이다. 이에 따라 보안 리더는 액티브 디렉토리(Active Directory)가 핵심 타깃인 취약한 인프라에 주의를 기울여야 한다. 또 디지털 시스템 개선에 투자하고 이를 보호하기 위해 이해관계자부터 직원들까지 모두 사이버보안 침해가 비즈니스에 미치는 위험을 인지하도록 해야 한다.  잘못 구성된 ‘액티브 디렉토리’는 문제를 초래할 것 하이브리드 근무와 디지털 통합의 시대에서 ‘액티브 디렉토리(Active Directory; AD)’는 데이터 보존, 구성, 배포의 핵심이다. 하지만 여러 업계에서 AD가 SaaS 및 클라우드 컴퓨팅 확장의 기준이 된 이후, 최근 몇 년 동안 이는 악의적인 행위자의 주요 표적이 됐다. 제로로그온(Zerologon) 취약점, 솔로리게이트(Solorigate) 백도어 악성 프로그램 등의 주요 공격 사건은 AD 구성 오류가 내포하는 위험을 입증했다. 특히 공격자는 취약한 패치를 통해 쉽게 접근할 수 있는 도메인 컨트롤러(Domain Controller)를 주로 노린다. 2022년에도...

랜섬웨어 악성코드 악성 프로그램 사이버 공격 사이버 보안 액티브 디렉토리 AD 제로로그온 솔로리게이트

2022.01.07

2021년은 다사다난(多事多難)했던 한 해였다. 한 설문조사 결과에 따르면 디지털 생태계 수요 증가로 사이버 보안 공격이 급증해 기업들은 미화 약 6조 달러의 피해를 본 것으로 추산된다. 더욱더 우려스러운 점은 전 세계 사이버 범죄 비용이 향후 5년간 15% 증가해 2025년에는 연간 10조 5,000억 달러에 이를 것으로 예상된다는 것이다.    디지털 자산을 보호할 때 보안 리더는 화면 반대편에 있는 악의적인 행위자보다 앞서 나가기 위해 모든 기반을 다뤄야 한다. 2022년 보안 리더가 우선순위에 둬야 할 보안 영역을 살펴본다.    주요 인프라 공격이 물리적인 피해를 줄 것 악의적인 행위자는 운영 기술만 표적으로 삼는 것에서 벗어나 IT 시스템을 손상시키는 것을 목표로 하고 있다. 비용은 저렴하지만 영향력이 큰 공격(예: 랜섬웨어 등)은 악의적인 행위자가 비즈니스 운영을 마비시키기 위해 택하는 주요 전략이다. 이에 따라 보안 리더는 액티브 디렉토리(Active Directory)가 핵심 타깃인 취약한 인프라에 주의를 기울여야 한다. 또 디지털 시스템 개선에 투자하고 이를 보호하기 위해 이해관계자부터 직원들까지 모두 사이버보안 침해가 비즈니스에 미치는 위험을 인지하도록 해야 한다.  잘못 구성된 ‘액티브 디렉토리’는 문제를 초래할 것 하이브리드 근무와 디지털 통합의 시대에서 ‘액티브 디렉토리(Active Directory; AD)’는 데이터 보존, 구성, 배포의 핵심이다. 하지만 여러 업계에서 AD가 SaaS 및 클라우드 컴퓨팅 확장의 기준이 된 이후, 최근 몇 년 동안 이는 악의적인 행위자의 주요 표적이 됐다. 제로로그온(Zerologon) 취약점, 솔로리게이트(Solorigate) 백도어 악성 프로그램 등의 주요 공격 사건은 AD 구성 오류가 내포하는 위험을 입증했다. 특히 공격자는 취약한 패치를 통해 쉽게 접근할 수 있는 도메인 컨트롤러(Domain Controller)를 주로 노린다. 2022년에도...

2022.01.07

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

블로그ㅣ새 스파이웨어 ‘폰스파이’가 기업 IT 보안에 시사하는 바

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

스파이웨어 악성코드 악성 앱 안드로이드 iOS 앱스토어 구글 플레이 애플리케이션 BYOD 보안 기업 보안 CISO 모바일

2021.11.19

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

2021.11.19

안랩, ‘캡챠’ 위장한 이미지로 악성 웹사이트 유도하는 '피싱 PDF' 주의 당부

안랩은 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서를 발견해 사용자의 주의를 당부했다. 캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 방식을 활용해 정상 이용자를 판별한다. 안랩이 이번에 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다. 만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’를 다운로드하거나 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲출처 불분명 파일 실행금지 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲오피스 SW, 운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 회사 측은 전했다. 안랩 분석팀 최수진 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”라며, “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”라고 당부했다. ciokr@idg.co.kr

안랩 피싱 악성코드

2021.11.09

안랩은 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서를 발견해 사용자의 주의를 당부했다. 캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 방식을 활용해 정상 이용자를 판별한다. 안랩이 이번에 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다. 만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’를 다운로드하거나 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲출처 불분명 파일 실행금지 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲오피스 SW, 운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 회사 측은 전했다. 안랩 분석팀 최수진 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”라며, “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”라고 당부했다. ciokr@idg.co.kr

2021.11.09

지니언스, 원광대학교병원에 EDR 솔루션 공급

지니언스가 10월 5일 전북 익산의 상급종합병원 원광대학교병원의 EDR 구축 사업을 수주했다고 밝혔다.    호남지역의 대표 상급종합병원 원광대학교병원은 랜섬웨어, APT 등 고도화되고 지능화된 다양한 위협에 효율적으로 대응해 보다 안전한 의료서비스 제공을 목표로 EDR 솔루션 도입을 추진했다. 그 결과 원광대학교병원은 위협 탐지 대응 체계, 직관성, 안정화, 호환성 등 EDR 솔루션들을 면밀한 검토를 거쳐 지니언스의 EDR 솔루션 ‘지니언 인사이트 E(Genian Insight E)’를 선택했다고 지니언스는 전했다. 회사에 따르면 이 제품은 악성코드 유입과 감염, 취약점을 이용한 내부 확산 탐지, 반복적으로 발생하는 이상행위와 위협을 실시간으로 추적해 신속하게 대응하는 인텔리전스 보안 솔루션이다. 안티바이러스의 한계를 뛰어넘는 지능형 솔루션으로 최근 기승을 부리는 지능형 공격, 랜섬웨어 등의 공격 위협을 탐지하고 공격의 징후, 공격의 진행 등을 추적할 수 있어 차세대 보안 제품으로 각광을 받고 있다는 게 업체 측 설명이다. 특히, 사용자 단말의 가시성을 확보하고 이를 통해 위협의 탐지, 조사 대응이 가능함은 물론 침해사고지표(IOC), 머신러닝(ML), 행위기반 위협탐지(XBA), 야라(YARA) 등의 다양한 기술이 적용돼 알려지지 않은 모든 공격까지 탐지하고 대응할 수 있다. 원광대학교병원은 EDR 솔루션 도입을 통해 엔드포인트의 보안 위협 탐지 및 조기 대응, 단말의 보안성 강화 및 위협 가시성이 대폭 향상될 것으로 기대하고 있다. 지니언스 이동범 대표이사는 “전 세계적으로 사이버 위협에 노출되고 다양한 공격방법이 속속들이 등장하고 있다”라며, “지니언스의 EDR 솔루션은 검증된 단말안정성, 글로벌 수준의 위협탐지 역량, 국내 환경에 최적화된 기술력을 강점으로 원광대학교병원의 안전한 의료서비스 체계 완비에 일익을 담당할 것”이라고 밝혔다. ciokr@idg.co.kr

지니언스 병원 EDR 랜섬웨어 APT 악성코드

2021.10.05

지니언스가 10월 5일 전북 익산의 상급종합병원 원광대학교병원의 EDR 구축 사업을 수주했다고 밝혔다.    호남지역의 대표 상급종합병원 원광대학교병원은 랜섬웨어, APT 등 고도화되고 지능화된 다양한 위협에 효율적으로 대응해 보다 안전한 의료서비스 제공을 목표로 EDR 솔루션 도입을 추진했다. 그 결과 원광대학교병원은 위협 탐지 대응 체계, 직관성, 안정화, 호환성 등 EDR 솔루션들을 면밀한 검토를 거쳐 지니언스의 EDR 솔루션 ‘지니언 인사이트 E(Genian Insight E)’를 선택했다고 지니언스는 전했다. 회사에 따르면 이 제품은 악성코드 유입과 감염, 취약점을 이용한 내부 확산 탐지, 반복적으로 발생하는 이상행위와 위협을 실시간으로 추적해 신속하게 대응하는 인텔리전스 보안 솔루션이다. 안티바이러스의 한계를 뛰어넘는 지능형 솔루션으로 최근 기승을 부리는 지능형 공격, 랜섬웨어 등의 공격 위협을 탐지하고 공격의 징후, 공격의 진행 등을 추적할 수 있어 차세대 보안 제품으로 각광을 받고 있다는 게 업체 측 설명이다. 특히, 사용자 단말의 가시성을 확보하고 이를 통해 위협의 탐지, 조사 대응이 가능함은 물론 침해사고지표(IOC), 머신러닝(ML), 행위기반 위협탐지(XBA), 야라(YARA) 등의 다양한 기술이 적용돼 알려지지 않은 모든 공격까지 탐지하고 대응할 수 있다. 원광대학교병원은 EDR 솔루션 도입을 통해 엔드포인트의 보안 위협 탐지 및 조기 대응, 단말의 보안성 강화 및 위협 가시성이 대폭 향상될 것으로 기대하고 있다. 지니언스 이동범 대표이사는 “전 세계적으로 사이버 위협에 노출되고 다양한 공격방법이 속속들이 등장하고 있다”라며, “지니언스의 EDR 솔루션은 검증된 단말안정성, 글로벌 수준의 위협탐지 역량, 국내 환경에 최적화된 기술력을 강점으로 원광대학교병원의 안전한 의료서비스 체계 완비에 일익을 담당할 것”이라고 밝혔다. ciokr@idg.co.kr

2021.10.05

FBI, ‘원퍼센트’ 그룹발 랜섬웨어 공격 주의보 “한달 전부터 암약”

미국 연방수사국(FBI)이 원퍼센트(OnePercent, 혹은 1Percent)라고 불리는 랜섬웨어 공격 단체에 대해 주의하라고 23일(현지시간) 경고했다.   이 단체는 아이스드아이디(IcedID) 트로이안과 모의 해킹 툴 코발트 스트라이크(Cobalt Strike)를 이용해 기업 네트워크에 침투한다. 이미 유명한 다른 랜섬웨어 공격 단체처럼 원퍼센트는 기업 데이터를 암호화해 탈취한 뒤, 몸값을 지급하지 않으면 해당 정보를 공개하거나 판매할 것이라고 피해 기업을 협박한다. 원퍼센트는 적어도 지난 2020년 11월부터 미국 기업을 상대로 활동한 것으로 보인다. 이들은 최초의 몸값 요청에 일주일 안으로 응답하지 않으면 위조된 번호를 이용해 전화하거나 지속적으로 이메일을 보내는 등 적극적으로 몸값을 요구한다. 아이스드아이디와 코발트 스트라이크를 이용한 ‘낚시’ 원퍼센트는 피해 기업의 네트워크에 처음 잠입할 때 아이스드아이디 트로이목마를 사용한다. 아이스드아이디는 본래 온라인 은행 정보를 빼내도록 설계되었지만, 여타 뱅킹 트로이목마와 마찬가지로 플랫폼에도 접근할 수 있도록 기능이 확장됐다. 과거 트릭봇(TrickBot) 뱅킹 트로이안을 유포한 류크(Ryuk) 랜섬웨어 그룹과 드라이덱스(Dridex)를 유포한 웨이스티드락커(WastedLocker), 굿킷(Gootkit)을 유포한 레빌(REvil) 혹은 소디노키비(Sodinokibi) 그룹과 유사하다. 아이스드아이디는 악성코드 압축파일이 첨부된 피싱 이메일을 통해 배포된다. 압축파일에 들어있는 워드파일에는 아이스드아이디를 다운로드하고 설치한 후, 이를 실행하는 매크로 시스템이 들어있다. 원퍼센트는 아이스드아이디를 설치한 후 코발트 스트라이크(Cobalt Strike)를 배치한다. 코발트 스트라이크는 상업적으로 활용되는 모의 해킹 도구로, 최근 몇 년 사이 여러 사이버 범죄에서 사용되며 유명해졌다. 시스템에 접근할 수 있는 백도어를 생성하고 파워쉘 스크립트를 실행시켜 네트워크에 우회적으로 접속한다. ...

랜섬웨어 트로이안 트로이안목마 레빌 악성코드

2021.08.26

미국 연방수사국(FBI)이 원퍼센트(OnePercent, 혹은 1Percent)라고 불리는 랜섬웨어 공격 단체에 대해 주의하라고 23일(현지시간) 경고했다.   이 단체는 아이스드아이디(IcedID) 트로이안과 모의 해킹 툴 코발트 스트라이크(Cobalt Strike)를 이용해 기업 네트워크에 침투한다. 이미 유명한 다른 랜섬웨어 공격 단체처럼 원퍼센트는 기업 데이터를 암호화해 탈취한 뒤, 몸값을 지급하지 않으면 해당 정보를 공개하거나 판매할 것이라고 피해 기업을 협박한다. 원퍼센트는 적어도 지난 2020년 11월부터 미국 기업을 상대로 활동한 것으로 보인다. 이들은 최초의 몸값 요청에 일주일 안으로 응답하지 않으면 위조된 번호를 이용해 전화하거나 지속적으로 이메일을 보내는 등 적극적으로 몸값을 요구한다. 아이스드아이디와 코발트 스트라이크를 이용한 ‘낚시’ 원퍼센트는 피해 기업의 네트워크에 처음 잠입할 때 아이스드아이디 트로이목마를 사용한다. 아이스드아이디는 본래 온라인 은행 정보를 빼내도록 설계되었지만, 여타 뱅킹 트로이목마와 마찬가지로 플랫폼에도 접근할 수 있도록 기능이 확장됐다. 과거 트릭봇(TrickBot) 뱅킹 트로이안을 유포한 류크(Ryuk) 랜섬웨어 그룹과 드라이덱스(Dridex)를 유포한 웨이스티드락커(WastedLocker), 굿킷(Gootkit)을 유포한 레빌(REvil) 혹은 소디노키비(Sodinokibi) 그룹과 유사하다. 아이스드아이디는 악성코드 압축파일이 첨부된 피싱 이메일을 통해 배포된다. 압축파일에 들어있는 워드파일에는 아이스드아이디를 다운로드하고 설치한 후, 이를 실행하는 매크로 시스템이 들어있다. 원퍼센트는 아이스드아이디를 설치한 후 코발트 스트라이크(Cobalt Strike)를 배치한다. 코발트 스트라이크는 상업적으로 활용되는 모의 해킹 도구로, 최근 몇 년 사이 여러 사이버 범죄에서 사용되며 유명해졌다. 시스템에 접근할 수 있는 백도어를 생성하고 파워쉘 스크립트를 실행시켜 네트워크에 우회적으로 접속한다. ...

2021.08.26

'모르면 낚인다'··· 2021년 새로운 소셜 엔지니어링 공격 7가지

그야말로 소셜 엔지니어링(Social engineering)의 ‘전성기’다. 특히나 팬데믹으로 인한 공황, 경기침체에 따른 불안감, 건강 및 안전에 관한 우려 등은 공격자들로 하여금 이러한 두려움을 더 쉽게 악용하도록 하고 있다.  소셜 엔지니어링은 ‘컴퓨터 시스템’이 아닌 ‘사용자’를 공격해 탈취로 이어지는 행동을 유도하거나 정보를 빼내려 시도한다. 이는 거짓말만큼이나 오래됐다. 컴퓨팅 시대에 맞춰 ‘거짓말’에 새로운 이름이 붙은 것이라고 비유할 수 있다. 소셜 엔지니어링 공격이 변화하는 양상을 고려한다면 완벽한 비유다.    보안인식 교육업체 노우비포(knowBe4)의 최고 에반젤리스트 겸 전략 책임자 페리 카펜터는 “대게 새로운 패키지로 포장됐을 뿐 동일한 속임수다”라고 말했다. 보안 전문가들의 말처럼 ‘포장’이 문제의 핵심이다. 익숙한 공격이라도 익숙하지 않은 위장과 포장으로 방어망을 빠져나갈 수 있다. 여기서는 2021년에 부상하고 있는 소셜 엔지니어링 공격을 살펴본다.  1. 악성 QR코드 지난해 QR코드와 관련된 피싱 사기가 등장했다. 기계로 읽을 수 있는 사각형 모양의 흑백 매트릭스 코드인 ‘QR코드’는 코로나19 사태 동안 기업이 고객과 접촉하고 서비스를 전달하는 데 활용되면서 많은 인기를 끌었다.  예를 들면 많은 레스토랑이 종이에 인쇄한 메뉴를 버리고, 그 대신 고객이 스마트폰으로 QR코드를 스캔해 메뉴를 확인하도록 만들었다. 또 올해 초 걸스카우트에서는 비대면 방식의 쿠키 주문 및 배달에 활용할 수 있는 QR코드를 게시하기도 했다.  하지만 QR코드를 스캔했을 때 이동하는 많은 웹사이트를 서드파티 벤더가 운영한다는 점에서 QR코드는 위험하다. 악성 QR코드를 스캔하면 스마트폰을 악성 웹사이트에 연결시킬 수 있기 때문이다.  마치 악성 링크를 클릭하는 것과 마찬가지다. 내용물은 같지만 포장지가 바뀐 것이다. 카펜터는 “사람들이 QR코드와 웹사이트는 문제없다고 생각할...

소셜 엔지니어링 피싱 스캠 딥페이크 팬데믹 원격근무 재택근무 QR코드 악성코드 알림 하이재킹 타이포스쿼팅 유사 도메인 사기

2021.04.15

그야말로 소셜 엔지니어링(Social engineering)의 ‘전성기’다. 특히나 팬데믹으로 인한 공황, 경기침체에 따른 불안감, 건강 및 안전에 관한 우려 등은 공격자들로 하여금 이러한 두려움을 더 쉽게 악용하도록 하고 있다.  소셜 엔지니어링은 ‘컴퓨터 시스템’이 아닌 ‘사용자’를 공격해 탈취로 이어지는 행동을 유도하거나 정보를 빼내려 시도한다. 이는 거짓말만큼이나 오래됐다. 컴퓨팅 시대에 맞춰 ‘거짓말’에 새로운 이름이 붙은 것이라고 비유할 수 있다. 소셜 엔지니어링 공격이 변화하는 양상을 고려한다면 완벽한 비유다.    보안인식 교육업체 노우비포(knowBe4)의 최고 에반젤리스트 겸 전략 책임자 페리 카펜터는 “대게 새로운 패키지로 포장됐을 뿐 동일한 속임수다”라고 말했다. 보안 전문가들의 말처럼 ‘포장’이 문제의 핵심이다. 익숙한 공격이라도 익숙하지 않은 위장과 포장으로 방어망을 빠져나갈 수 있다. 여기서는 2021년에 부상하고 있는 소셜 엔지니어링 공격을 살펴본다.  1. 악성 QR코드 지난해 QR코드와 관련된 피싱 사기가 등장했다. 기계로 읽을 수 있는 사각형 모양의 흑백 매트릭스 코드인 ‘QR코드’는 코로나19 사태 동안 기업이 고객과 접촉하고 서비스를 전달하는 데 활용되면서 많은 인기를 끌었다.  예를 들면 많은 레스토랑이 종이에 인쇄한 메뉴를 버리고, 그 대신 고객이 스마트폰으로 QR코드를 스캔해 메뉴를 확인하도록 만들었다. 또 올해 초 걸스카우트에서는 비대면 방식의 쿠키 주문 및 배달에 활용할 수 있는 QR코드를 게시하기도 했다.  하지만 QR코드를 스캔했을 때 이동하는 많은 웹사이트를 서드파티 벤더가 운영한다는 점에서 QR코드는 위험하다. 악성 QR코드를 스캔하면 스마트폰을 악성 웹사이트에 연결시킬 수 있기 때문이다.  마치 악성 링크를 클릭하는 것과 마찬가지다. 내용물은 같지만 포장지가 바뀐 것이다. 카펜터는 “사람들이 QR코드와 웹사이트는 문제없다고 생각할...

2021.04.15

강은성의 보안 아키텍트ㅣ맥(Mac) 안전하게 사용하기

확실히 ‘맥(Mac)’ 사용자가 많이 늘었다. 테헤란로에서는 맥을 정말 많이 봤는데, 학교에 와서도 맥을 종종 보게 된다. 과거에 맥은 디자이너의 전유물이다시피 했지만 이제는 개발자도 많이 사용하고 아예 맥을 기본으로 사용하는 회사도 생겼다.  시장조사기관 스탯카운터(StatCounter)에 따르면 2020년 12월 기준으로 데스크톱 운영체제 중 맥OS가 17.1%를 차지한다. 2014년 8.7%와 비교해 6년 만에 2배 가까이 늘어난 것이다. 사용자가 늘어난 만큼 이를 노린 보안 공격이 늘어나는 것은 낯설지 않은 일이다.    맥은 안전하다는 믿음을 가진 분들이 의외로 많지만 맥용 악성코드는 꾸준히 늘어나는 추세다. 국내 악성코드 수집 사이트 멀웨어스닷컴(malwares.com)에 따르면 2020년 1월부터 10월까지 수집된 맥OS용 악성코드는 약 14만 개로 지난해 같은 기간보다 11.8배 증가했다.  그런데 맥용 악성코드가 가장 많이 발견된 때조차도 윈도우용 악성코드 수의 1/100 이하에 불과하다. 통계 주체에 따라 좀 다르긴 하지만 맥용 악성코드 통계를 두루 살펴보면 애드웨어나 PUP(Potentially Unwanted Program) 종류가 많아서 행위의 악성 수준이 좀 떨어지기도 한다.    맥의 보안 체계를 뚫기 쉽지 않아서 맥에 대한 공격은 사용자가 속아서 스스로 설치하도록 만드는 공격이 많다. 악성코드를 마치 보안 프로그램인 것처럼 보이게 해서 배포하는 방식이 그중 하나다. 아무래도 윈도우보다 맥OS에서 작동하는 소프트웨어가 훨씬 적고 애플 앱스토어라는 한정된 곳에서 제공되다 보니 인터넷 검색이나 토렌트 등을 통해 무료 소프트웨어를 찾는 사용자들도 꽤 있다.    맥용 보안 제품을 사 주지 않는 회사에서 무료 보안 프로그램을 찾는 사용자도 있어서 공격자들이 파고들기 좋다. 애플 사용자들의 애플에 대한 특수한 신뢰를 악용하여 애플 사이트로 위장한 피싱 사이트...

강은성 강은성의 보안 아키텍트 보안 윈도우 악성코드 데스크톱 운영체제 안티바이러스 엔드포인트 보안

2021.04.15

확실히 ‘맥(Mac)’ 사용자가 많이 늘었다. 테헤란로에서는 맥을 정말 많이 봤는데, 학교에 와서도 맥을 종종 보게 된다. 과거에 맥은 디자이너의 전유물이다시피 했지만 이제는 개발자도 많이 사용하고 아예 맥을 기본으로 사용하는 회사도 생겼다.  시장조사기관 스탯카운터(StatCounter)에 따르면 2020년 12월 기준으로 데스크톱 운영체제 중 맥OS가 17.1%를 차지한다. 2014년 8.7%와 비교해 6년 만에 2배 가까이 늘어난 것이다. 사용자가 늘어난 만큼 이를 노린 보안 공격이 늘어나는 것은 낯설지 않은 일이다.    맥은 안전하다는 믿음을 가진 분들이 의외로 많지만 맥용 악성코드는 꾸준히 늘어나는 추세다. 국내 악성코드 수집 사이트 멀웨어스닷컴(malwares.com)에 따르면 2020년 1월부터 10월까지 수집된 맥OS용 악성코드는 약 14만 개로 지난해 같은 기간보다 11.8배 증가했다.  그런데 맥용 악성코드가 가장 많이 발견된 때조차도 윈도우용 악성코드 수의 1/100 이하에 불과하다. 통계 주체에 따라 좀 다르긴 하지만 맥용 악성코드 통계를 두루 살펴보면 애드웨어나 PUP(Potentially Unwanted Program) 종류가 많아서 행위의 악성 수준이 좀 떨어지기도 한다.    맥의 보안 체계를 뚫기 쉽지 않아서 맥에 대한 공격은 사용자가 속아서 스스로 설치하도록 만드는 공격이 많다. 악성코드를 마치 보안 프로그램인 것처럼 보이게 해서 배포하는 방식이 그중 하나다. 아무래도 윈도우보다 맥OS에서 작동하는 소프트웨어가 훨씬 적고 애플 앱스토어라는 한정된 곳에서 제공되다 보니 인터넷 검색이나 토렌트 등을 통해 무료 소프트웨어를 찾는 사용자들도 꽤 있다.    맥용 보안 제품을 사 주지 않는 회사에서 무료 보안 프로그램을 찾는 사용자도 있어서 공격자들이 파고들기 좋다. 애플 사용자들의 애플에 대한 특수한 신뢰를 악용하여 애플 사이트로 위장한 피싱 사이트...

2021.04.15

이스트시큐리티, “국내 포털 ‘아이디 거래 계약서’ 사칭 악성코드 유포 중”

이스트시큐리티가 국내 유명 포털 서비스의 아이디 거래 계약서로 사칭한 해킹 공격이 수행되고 있어 각별한 주의를 필요로 한다고 밝혔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 새롭게 발견한 이번 공격은 악성 파일명이 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr’이며, 국내에 은밀히 유포 중인 정황이 포착됐다. ESRC는 작년 말에도 ▲전체회원정보 및 비밀번호포함_xls(4).scr ▲관리정산 및 모든자료_xls(3).scr ▲거래안내_및_가격표_신청안내_xls3.exe 등의 파일명으로 유사한 형태의 공격이 다수 보고된 바 있으며, 현재도 지속적으로 발견되고 있다고 설명했다. 이 같은 공격은 파일 확장자가 정상적인 문서 파일로 보이지만, 실제로는 엑셀(.XLS), 한글(.HWP) 등 문서 확장자 뒤 실행 파일(.EXE), 화면보호기(.SCR)와 같은 숨겨진 확장자가 존재하는 전형적인 2중 확장자명 위장 수법을 사용하고 있다. 2중 확장자명 위장 수법은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 되어있는 점을 악용한 것이다.  윈도우 기본 설정을 사용하는 사용자의 PC에서는 2중 확장자명으로 조작된 첨부 파일의 확장자인 EXE, SCR가 보이지 않고 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp’ 등으로 보이기 때문에, 정상적인 문서 파일로 오인할 가능성이 크다. 만약 숨겨진 파일 확장자를 인지하지 못하고 정상 문서로 착각해 파일을 열어볼 경우, 추가 악성코드 다운로드, PC에 저장된 자료와 개인정보 유출 등 잠재적인 해킹 피해로 이어질 수 있다.  실제로 새롭게 발견된 공격에서도 공격자가 추가 악성코드 배포를 준비한 정황이 발견되었다. ESRC 관계자는 “이번 공격에 사용된 악성 파일의 경우 해외 상용 난독화 제품인 ‘Crypto Obfuscator’ 도구로 닷넷 함수를 암호화해, 코드 분석 방해와 백신 탐지 우회 ...

이스트시큐리티 악성코드 보안

2021.03.04

이스트시큐리티가 국내 유명 포털 서비스의 아이디 거래 계약서로 사칭한 해킹 공격이 수행되고 있어 각별한 주의를 필요로 한다고 밝혔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 새롭게 발견한 이번 공격은 악성 파일명이 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr’이며, 국내에 은밀히 유포 중인 정황이 포착됐다. ESRC는 작년 말에도 ▲전체회원정보 및 비밀번호포함_xls(4).scr ▲관리정산 및 모든자료_xls(3).scr ▲거래안내_및_가격표_신청안내_xls3.exe 등의 파일명으로 유사한 형태의 공격이 다수 보고된 바 있으며, 현재도 지속적으로 발견되고 있다고 설명했다. 이 같은 공격은 파일 확장자가 정상적인 문서 파일로 보이지만, 실제로는 엑셀(.XLS), 한글(.HWP) 등 문서 확장자 뒤 실행 파일(.EXE), 화면보호기(.SCR)와 같은 숨겨진 확장자가 존재하는 전형적인 2중 확장자명 위장 수법을 사용하고 있다. 2중 확장자명 위장 수법은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 되어있는 점을 악용한 것이다.  윈도우 기본 설정을 사용하는 사용자의 PC에서는 2중 확장자명으로 조작된 첨부 파일의 확장자인 EXE, SCR가 보이지 않고 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp’ 등으로 보이기 때문에, 정상적인 문서 파일로 오인할 가능성이 크다. 만약 숨겨진 파일 확장자를 인지하지 못하고 정상 문서로 착각해 파일을 열어볼 경우, 추가 악성코드 다운로드, PC에 저장된 자료와 개인정보 유출 등 잠재적인 해킹 피해로 이어질 수 있다.  실제로 새롭게 발견된 공격에서도 공격자가 추가 악성코드 배포를 준비한 정황이 발견되었다. ESRC 관계자는 “이번 공격에 사용된 악성 파일의 경우 해외 상용 난독화 제품인 ‘Crypto Obfuscator’ 도구로 닷넷 함수를 암호화해, 코드 분석 방해와 백신 탐지 우회 ...

2021.03.04

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5