Offcanvas

���������������������

이스트시큐리티, 외교 안보 국방분야 겨냥한 북한 연계 해킹 공격 주의보

이스트시큐리티는 대선이 다가오는 가운데 국내 외교 안보 국방분야 교수 및 민간분야 전문가를 겨냥한 북한 배후 소행의 해킹 공격 시도가 연일 포착되고 있다며, 각별한 주의와 대비가 요구된다고 밝혔다. 지난 2월 21일 시도된 공격은 마치 한국의 군사연구 및 동북아 평화 협회처럼 위장해 해당 분야 종사자들에게 ‘[붙임] 프로필 양식.doc’ 이름의 악성 MS 워드 문서를 전달한 것이 특징이다.   이번 공격은 이메일로 보내는 전형적인 스피어 피싱(Spear Phishing) 수법이 사용됐으며, 보안 솔루션의 행위 분석이나 기존에 알려진 패턴 탐지를 최대한 회피하기 위해 악성 DOC 문서에 별도의 암호를 설정하고, 수신자만 열어보도록 이메일로 전달하였다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 2월에도 일명 ‘페이크 스트라이커’ 위협 캠페인으로 명명된 북한 연계 사이버 위협 활동이 꾸준히 포착되고 있어, 이들의 공격 의도를 정확히 규명하기 위해 다각적인 분석을 진행 중이다. 실제 수행된 공격 내용을 살펴보면, 공격자는 피해 대상자로 하여금 첨부된 악성 문서 파일을 조속히 열람하도록 유도하기 위해 간단한 약력의 프로필을 수신한 다음 날까지 작성해 보내도록 요청한 부분이 공통적으로 관측됐다. 해당 악성 DOC 파일이 열리면 먼저 암호를 입력하는 과정을 거친 후에 이름, 소속, 직위, 휴대폰 번호와 사진 등을 입력하는 간략한 프로필 양식 화면이 나타나는데 기존에 DOC 악성 문서가 [콘텐츠 사용] 매크로 실행 유도를 위해 보여주는 가짜 MS오피스 안내 화면을 보여주지는 않는다. 만약 문서를 열람한 수신자가 [콘텐츠 사용] 버튼을 클릭하면 악성파일 내부에 숨겨져 있는 매크로 명령이 작동해 이용자 몰래 공격자가 만든 해외 명령 제어(C2) 서버로 은밀히 통신을 진행하며, 사용자가 입력하는 키보드 입력 등의 개인 정보 탈취 및 추가 악성 파일에 감염되는 예기치 못한 해킹 피해로 이어질 수 있게 된다. ESRC는 공격자들이 C2 서버 구축을 위해...

이스트시큐리티 해킹 악성 프로그램

2022.02.23

이스트시큐리티는 대선이 다가오는 가운데 국내 외교 안보 국방분야 교수 및 민간분야 전문가를 겨냥한 북한 배후 소행의 해킹 공격 시도가 연일 포착되고 있다며, 각별한 주의와 대비가 요구된다고 밝혔다. 지난 2월 21일 시도된 공격은 마치 한국의 군사연구 및 동북아 평화 협회처럼 위장해 해당 분야 종사자들에게 ‘[붙임] 프로필 양식.doc’ 이름의 악성 MS 워드 문서를 전달한 것이 특징이다.   이번 공격은 이메일로 보내는 전형적인 스피어 피싱(Spear Phishing) 수법이 사용됐으며, 보안 솔루션의 행위 분석이나 기존에 알려진 패턴 탐지를 최대한 회피하기 위해 악성 DOC 문서에 별도의 암호를 설정하고, 수신자만 열어보도록 이메일로 전달하였다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 2월에도 일명 ‘페이크 스트라이커’ 위협 캠페인으로 명명된 북한 연계 사이버 위협 활동이 꾸준히 포착되고 있어, 이들의 공격 의도를 정확히 규명하기 위해 다각적인 분석을 진행 중이다. 실제 수행된 공격 내용을 살펴보면, 공격자는 피해 대상자로 하여금 첨부된 악성 문서 파일을 조속히 열람하도록 유도하기 위해 간단한 약력의 프로필을 수신한 다음 날까지 작성해 보내도록 요청한 부분이 공통적으로 관측됐다. 해당 악성 DOC 파일이 열리면 먼저 암호를 입력하는 과정을 거친 후에 이름, 소속, 직위, 휴대폰 번호와 사진 등을 입력하는 간략한 프로필 양식 화면이 나타나는데 기존에 DOC 악성 문서가 [콘텐츠 사용] 매크로 실행 유도를 위해 보여주는 가짜 MS오피스 안내 화면을 보여주지는 않는다. 만약 문서를 열람한 수신자가 [콘텐츠 사용] 버튼을 클릭하면 악성파일 내부에 숨겨져 있는 매크로 명령이 작동해 이용자 몰래 공격자가 만든 해외 명령 제어(C2) 서버로 은밀히 통신을 진행하며, 사용자가 입력하는 키보드 입력 등의 개인 정보 탈취 및 추가 악성 파일에 감염되는 예기치 못한 해킹 피해로 이어질 수 있게 된다. ESRC는 공격자들이 C2 서버 구축을 위해...

2022.02.23

‘알약 개방형 OS’ 출시…“윈도우부터 개방형 OS까지 한 번에 관리”

이스트시큐리티가 개방형 OS(운영체제)를 위한 강력한 통합 백신 ‘알약 개방형 OS’를 정식 출시했다고 2월 16일 밝혔다. ‘알약 개방형 OS’는 지난 2020년 1월 윈도우7 기술지원 종료로 시작된 정부 주도의 마이크로소프트 OS 종속에서 벗어나려는 적극적인 움직임과 여러 산업에서 개방형 OS 채택이 확산됨에 따라 이에 대응 가능한 보안 환경 제공을 위해 출시됐다.  회사에 따르면 알약 개방형 OS는 윈도우와 리눅스 환경에서 검증된 알약의 기술력을 바탕으로 기업 내 침투한 악성코드를 강력하게 검사하고 치료한다. 이에 더해 관리자가 사내 보안 정책에 맞춰 검사와 업데이트 등의 스케줄링이 가능해 운영 효율성을 극대화 했으며, 일반 사용자도 전문가의 도움 없이 손쉽게 PC 검사를 진행할 수 있도록 웹 기반의 그래픽유저인터페이스(GUI)도 지원한다. 아울러, 이스트시큐리티는 개방형 OS 환경에서 취약점을 점검하고 관리할 수 있도록 ‘알약 내PC지키미 개방형 OS’도 출시했다. ‘알약 내PC지키미 개방형 OS’는 백신 탐지 및 치료 이외의 영역에서 관리자가 다양한 취약점을 점검하고, 발견 시 이에 적절한 조치를 가능하게 하는 솔루션이다. 예로 패스워드 복잡성 설정이나, 불필요한 서비스의 활성화 여부 등을 모니터링하고 대응할 수 있게 해준다. 이를 통해 관리자는 현재 PC의 안전 상태를 한눈에 확인할 수 있으며, 주기적인 보안 점검 및 자동 조치를 통해 기업 보안이 향상되는 효과를 기대할 수 있다고 업체 측은 전했다.  이스트시큐리티 관계자는 “급변하는 국내 OS 환경에 맞춰 사용자가 윈도우에서 개방형 OS까지 한 번에 관리할 수 있도록 알약 개방형OS를 출시했다”라며, “현재 개방형 OS 도입 후 클라이언트 보안 관리가 필요한 사용자에게 알약 개방형OS가 큰 효용을 제공할 것으로 기대한다”라고 말했다. ciokr@idg.co.kr

이스트시큐리티 알약 윈도우 운영체제 보안

2022.02.16

이스트시큐리티가 개방형 OS(운영체제)를 위한 강력한 통합 백신 ‘알약 개방형 OS’를 정식 출시했다고 2월 16일 밝혔다. ‘알약 개방형 OS’는 지난 2020년 1월 윈도우7 기술지원 종료로 시작된 정부 주도의 마이크로소프트 OS 종속에서 벗어나려는 적극적인 움직임과 여러 산업에서 개방형 OS 채택이 확산됨에 따라 이에 대응 가능한 보안 환경 제공을 위해 출시됐다.  회사에 따르면 알약 개방형 OS는 윈도우와 리눅스 환경에서 검증된 알약의 기술력을 바탕으로 기업 내 침투한 악성코드를 강력하게 검사하고 치료한다. 이에 더해 관리자가 사내 보안 정책에 맞춰 검사와 업데이트 등의 스케줄링이 가능해 운영 효율성을 극대화 했으며, 일반 사용자도 전문가의 도움 없이 손쉽게 PC 검사를 진행할 수 있도록 웹 기반의 그래픽유저인터페이스(GUI)도 지원한다. 아울러, 이스트시큐리티는 개방형 OS 환경에서 취약점을 점검하고 관리할 수 있도록 ‘알약 내PC지키미 개방형 OS’도 출시했다. ‘알약 내PC지키미 개방형 OS’는 백신 탐지 및 치료 이외의 영역에서 관리자가 다양한 취약점을 점검하고, 발견 시 이에 적절한 조치를 가능하게 하는 솔루션이다. 예로 패스워드 복잡성 설정이나, 불필요한 서비스의 활성화 여부 등을 모니터링하고 대응할 수 있게 해준다. 이를 통해 관리자는 현재 PC의 안전 상태를 한눈에 확인할 수 있으며, 주기적인 보안 점검 및 자동 조치를 통해 기업 보안이 향상되는 효과를 기대할 수 있다고 업체 측은 전했다.  이스트시큐리티 관계자는 “급변하는 국내 OS 환경에 맞춰 사용자가 윈도우에서 개방형 OS까지 한 번에 관리할 수 있도록 알약 개방형OS를 출시했다”라며, “현재 개방형 OS 도입 후 클라이언트 보안 관리가 필요한 사용자에게 알약 개방형OS가 큰 효용을 제공할 것으로 기대한다”라고 말했다. ciokr@idg.co.kr

2022.02.16

케이사인, 4억 건의 사이버보안 AI 학습용 데이터셋 구축 완료

케이사인이 자회사 위협 인텔리전스 전문 기업 ‘샌즈랩’ 및 안티바이러스 전문기업 ‘이스트시큐리티’와 4억 건의 사이버보안 AI 학습용 데이터셋을 구축 완료했다고 2월 11일 밝혔다. 한국인터넷진흥원(KISA)은 지난해 과학기술정통부의 ‘K-사이버방역 추진전략’의 일환으로 ‘사이버보안 AI 데이터셋 구축사업’을 진행했다. 이번 과제는 사이버 침해대응 분야 민관 전문가가 협력해 사이버보안 AI 데이터셋 구축의 선순환 환경을 조성하고, 국내 보안기술을 지능화해 급증하는 신·변종 보안 위협에 선제적으로 대응할 수 있는 기반을 마련하는 것을 목표로 한다. 케이사인 컨소시엄은 해당 사업에서 3억 건 이상의 정상/악성파일 및 300종 이상의 악성코드 패밀리를 분류하고, 즉시 활용할 수 있는 ‘사이버보안 인공지능(AI) 데이터셋(악성코드 분야)’ 구축했다. 악성코드 AI 특징정보 추출에 대한 전문적 노하우와 클라우드 기반의 페타급 대용량 데이터셋 이관 방법론으로 최적의 데이터셋을 구축하고, 이관 및 검증 체계를 마련하며 업계의 주목을 받았다.   케이사인 컨소시엄은 샌즈랩에서 운영하는 멀웨어즈닷컴(malwares.com)에서 분석한 20억 건의 악성코드 분석 데이터 가운데 대표성을 띈 3억 개의 악성코드를 추출하고, 악성코드 특징 정보를 바탕으로 300여 종의 패밀리로 분류했다. 회사에 따르면 구축된 데이터셋은 총 150여 종의 메타정보 및 원시데이터를 포함한다. 또한 공격그룹, 공격기법, 유포방법 등 악성코드 속성정보에 대한 고차원으로 연관관계 분석을 실시해 1억 건의 악성코드 분석 데이터도 함께 마련했다. 정적/동적 분석만으로 도출할 수 없는 심층정보를 속성으로 생성해 유사도 분석을 수행하고, 클러스터링한 결과를 기반으로 데이터셋을 구축하며 기술을 우수성을 인정받았다. 구축한 데이터셋은 다수의 기관으로부터 다양한 AI 모델을 통해 실증을 수행했다. 또한 악성코드 전문 인력과 품질 검증을 위해 각 분야 전문가 10인의 자문을 받아 데이터셋의 질적 향상을...

케이사인 샌즈랩 이스트시큐리티 악성코드 사이버보안

2022.02.11

케이사인이 자회사 위협 인텔리전스 전문 기업 ‘샌즈랩’ 및 안티바이러스 전문기업 ‘이스트시큐리티’와 4억 건의 사이버보안 AI 학습용 데이터셋을 구축 완료했다고 2월 11일 밝혔다. 한국인터넷진흥원(KISA)은 지난해 과학기술정통부의 ‘K-사이버방역 추진전략’의 일환으로 ‘사이버보안 AI 데이터셋 구축사업’을 진행했다. 이번 과제는 사이버 침해대응 분야 민관 전문가가 협력해 사이버보안 AI 데이터셋 구축의 선순환 환경을 조성하고, 국내 보안기술을 지능화해 급증하는 신·변종 보안 위협에 선제적으로 대응할 수 있는 기반을 마련하는 것을 목표로 한다. 케이사인 컨소시엄은 해당 사업에서 3억 건 이상의 정상/악성파일 및 300종 이상의 악성코드 패밀리를 분류하고, 즉시 활용할 수 있는 ‘사이버보안 인공지능(AI) 데이터셋(악성코드 분야)’ 구축했다. 악성코드 AI 특징정보 추출에 대한 전문적 노하우와 클라우드 기반의 페타급 대용량 데이터셋 이관 방법론으로 최적의 데이터셋을 구축하고, 이관 및 검증 체계를 마련하며 업계의 주목을 받았다.   케이사인 컨소시엄은 샌즈랩에서 운영하는 멀웨어즈닷컴(malwares.com)에서 분석한 20억 건의 악성코드 분석 데이터 가운데 대표성을 띈 3억 개의 악성코드를 추출하고, 악성코드 특징 정보를 바탕으로 300여 종의 패밀리로 분류했다. 회사에 따르면 구축된 데이터셋은 총 150여 종의 메타정보 및 원시데이터를 포함한다. 또한 공격그룹, 공격기법, 유포방법 등 악성코드 속성정보에 대한 고차원으로 연관관계 분석을 실시해 1억 건의 악성코드 분석 데이터도 함께 마련했다. 정적/동적 분석만으로 도출할 수 없는 심층정보를 속성으로 생성해 유사도 분석을 수행하고, 클러스터링한 결과를 기반으로 데이터셋을 구축하며 기술을 우수성을 인정받았다. 구축한 데이터셋은 다수의 기관으로부터 다양한 AI 모델을 통해 실증을 수행했다. 또한 악성코드 전문 인력과 품질 검증을 위해 각 분야 전문가 10인의 자문을 받아 데이터셋의 질적 향상을...

2022.02.11

"금융사 또는 북한 내부 정보로 현혹" 이스트시큐리티, 北 배후 해킹 증가 주의

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

이스트시큐리티 해킹 사이버 위협 악성코드 피싱

2022.01.13

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

2022.01.13

“2022년, 대북 사이버 위협 가속화, 팬데믹 활용한 위협도 증가” 이스트시큐리티

이스트시큐리티가 ‘2022년 예상 보안이슈 톱 6’와 올해 발생한 주요 보안이슈를 정리하는 ‘2021년 주요 보안이슈 결산 톱 5’를 선정해 발표했다. 이스트시큐리티가 선정한 2022년 발생할 것으로 예상되는 ‘보안 이슈 전망 톱 6’는 ▲북한 당국의 공공/민간분야 대상 사이버 위협 가속화 ▲국지적 고도화된 랜섬웨어 공격 활발 ▲대통령 선거 및 월드컵, 올림픽 등 국제 행사를 활용한 사회공학적 공격 발생 ▲팬데믹을 활용한 개인정보 유출 위협 지속 ▲메타버스 플랫폼의 데이터 및 NFT 광풍으로 인한 위협 등장 ▲AI 서비스나 스마트 기기를 대상으로 한 위협 발생이다.   이스트시큐리티는 2022년 역시 북한의 대남 사이버 위협은 일상처럼 지속될 것으로 예측했다. 특히, 공공분야뿐만 아니라 민간 분야 전문 종사자를 대상으로 한 표적 공격도 가속화될 것으로 보고 있다. 기업용 소프트웨어, 운영체제 취약점 등을 악용해 맞춤형 랜섬웨어를 유포하고 내부 정보를 유출하는 공격이 광범위하게 발생할 것으로 내다봤다. 랜섬웨어 제작에서 유포까지 도와주는 서비스형 랜섬웨어(Ransomware as a service) 방식은 더욱 성행할 것으로 보이며, 특히 APT 공격과 결합한 랜섬웨어 위협이 증대될 것으로 예측했다.  코로나19 팬데믹이 지속됨에 따라 위드 코로나와 관련된 “확진자 동선”, “소상공인 지원 안내”, “백신접종 확인” 등 관련 키워드를 사용한 이메일 피싱, 스미싱 등 종합적인 공격이 다수 발생할 것으로 예상된다. 또, 극장 대신 집에서 영화나 드라마를 볼 수 있는 OTT 서비스(over-the-top media service) 시장이 지속해서 성장함에 따라 가입 회원의 아이디, 암호, 결제정보 등 개인정보를 겨냥한 위협이 나타날 것으로 보인다. 메타버스는 가상의 공간에서 창조된 자신의 아바타를 통해 블록체인 기술을 기반으로 한 대체불가토큰(NFT, Non-Fungible Token)으로 가상 세계의 부동산 거래, 상품 거래 등 여러 경...

이스트시큐리티

2021.12.09

이스트시큐리티가 ‘2022년 예상 보안이슈 톱 6’와 올해 발생한 주요 보안이슈를 정리하는 ‘2021년 주요 보안이슈 결산 톱 5’를 선정해 발표했다. 이스트시큐리티가 선정한 2022년 발생할 것으로 예상되는 ‘보안 이슈 전망 톱 6’는 ▲북한 당국의 공공/민간분야 대상 사이버 위협 가속화 ▲국지적 고도화된 랜섬웨어 공격 활발 ▲대통령 선거 및 월드컵, 올림픽 등 국제 행사를 활용한 사회공학적 공격 발생 ▲팬데믹을 활용한 개인정보 유출 위협 지속 ▲메타버스 플랫폼의 데이터 및 NFT 광풍으로 인한 위협 등장 ▲AI 서비스나 스마트 기기를 대상으로 한 위협 발생이다.   이스트시큐리티는 2022년 역시 북한의 대남 사이버 위협은 일상처럼 지속될 것으로 예측했다. 특히, 공공분야뿐만 아니라 민간 분야 전문 종사자를 대상으로 한 표적 공격도 가속화될 것으로 보고 있다. 기업용 소프트웨어, 운영체제 취약점 등을 악용해 맞춤형 랜섬웨어를 유포하고 내부 정보를 유출하는 공격이 광범위하게 발생할 것으로 내다봤다. 랜섬웨어 제작에서 유포까지 도와주는 서비스형 랜섬웨어(Ransomware as a service) 방식은 더욱 성행할 것으로 보이며, 특히 APT 공격과 결합한 랜섬웨어 위협이 증대될 것으로 예측했다.  코로나19 팬데믹이 지속됨에 따라 위드 코로나와 관련된 “확진자 동선”, “소상공인 지원 안내”, “백신접종 확인” 등 관련 키워드를 사용한 이메일 피싱, 스미싱 등 종합적인 공격이 다수 발생할 것으로 예상된다. 또, 극장 대신 집에서 영화나 드라마를 볼 수 있는 OTT 서비스(over-the-top media service) 시장이 지속해서 성장함에 따라 가입 회원의 아이디, 암호, 결제정보 등 개인정보를 겨냥한 위협이 나타날 것으로 보인다. 메타버스는 가상의 공간에서 창조된 자신의 아바타를 통해 블록체인 기술을 기반으로 한 대체불가토큰(NFT, Non-Fungible Token)으로 가상 세계의 부동산 거래, 상품 거래 등 여러 경...

2021.12.09

“북한 정찰총국 해킹 조직, 국내 싱크탱크 사칭해 위협” 이스트시큐리티

이스트시큐리티는 11월 9일, 한국의 싱크탱크 워크샵 행사 내용처럼 위장한 새로운 사이버 위협 활동이 포착됐다며 주의를 당부했다.   이번 공격은 지난 주에 수행된 것으로 확인됐는데, 실존하는 특정 학술원의 안보전략 심층 토론 내용처럼 위장했다. 공격자는 전형적인 이메일 기반 스피어 피싱(Spear Phishing) 공격 기법을 구사했으며, 마치 오는 11월 23일 진행되는 행사용 워드(DOCX) 문서 파일처럼 수신자를 현혹했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석결과 해당 첨부 문서는 MSHTML 원격 코드 실행 취약성(CVE-2021-40444)이 삽입된 악성 파일로 확인됐다. 만약 CVE-2021-40444 취약점이 작동될 경우 공격자는 액티브X 컨트롤을 통해 추가 악성파일을 대상자 시스템에 은밀히 설치할 수 있다. 보통 이 액티브X 컨트롤은 악성 매크로 오피스 문서를 통해 전달되고, 피해자가 이 문서를 열어야만 취약점이 작동된다. 해당 취약점은 지난 8월 중순부터 일부 사례가 보고된 바 있으며, 마이크로소프트가 이를 인지하고 보안 권고문을 발표한 것은 9월 7일이다. 정식 보안패치 업데이트를 배포하기 시작한 시점은 9월 14일이다. ESRC는 이번 공격이 마치 한국의 싱크탱크 행사처럼 사칭해 국방·안보 분야 전문가를 집중 겨냥한 이른바 페이크 스트라이커(Fake Striker) APT 캠페인의 연장선이라 밝히며, 위협 벡터와 공격 툴 등을 종합적으로 분석한 결과 북한 정찰총국 연계 해킹 조직 소행으로 최종 지목했다. 이번 배후로 지목된 북한 해킹 조직이 CVE-2021-40444 취약점을 결합해 공격을 시도한 대남 사이버 위협 사례는 처음 관측됐고, 이들이 최신 보안 취약점을 적극적으로 실전 공격에 도입한 점이 특히 주목된다. 이스트시큐리티는 이미 지난 8월에도 동일 위협 행위자들이 CVE-2020-9715 취약점 공격을 사용하고 있다며, 국내에서 처음으로 PDF 기반 악성 문서 주의보를 내린 바 있다....

이스트시큐리티

2021.11.09

이스트시큐리티는 11월 9일, 한국의 싱크탱크 워크샵 행사 내용처럼 위장한 새로운 사이버 위협 활동이 포착됐다며 주의를 당부했다.   이번 공격은 지난 주에 수행된 것으로 확인됐는데, 실존하는 특정 학술원의 안보전략 심층 토론 내용처럼 위장했다. 공격자는 전형적인 이메일 기반 스피어 피싱(Spear Phishing) 공격 기법을 구사했으며, 마치 오는 11월 23일 진행되는 행사용 워드(DOCX) 문서 파일처럼 수신자를 현혹했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석결과 해당 첨부 문서는 MSHTML 원격 코드 실행 취약성(CVE-2021-40444)이 삽입된 악성 파일로 확인됐다. 만약 CVE-2021-40444 취약점이 작동될 경우 공격자는 액티브X 컨트롤을 통해 추가 악성파일을 대상자 시스템에 은밀히 설치할 수 있다. 보통 이 액티브X 컨트롤은 악성 매크로 오피스 문서를 통해 전달되고, 피해자가 이 문서를 열어야만 취약점이 작동된다. 해당 취약점은 지난 8월 중순부터 일부 사례가 보고된 바 있으며, 마이크로소프트가 이를 인지하고 보안 권고문을 발표한 것은 9월 7일이다. 정식 보안패치 업데이트를 배포하기 시작한 시점은 9월 14일이다. ESRC는 이번 공격이 마치 한국의 싱크탱크 행사처럼 사칭해 국방·안보 분야 전문가를 집중 겨냥한 이른바 페이크 스트라이커(Fake Striker) APT 캠페인의 연장선이라 밝히며, 위협 벡터와 공격 툴 등을 종합적으로 분석한 결과 북한 정찰총국 연계 해킹 조직 소행으로 최종 지목했다. 이번 배후로 지목된 북한 해킹 조직이 CVE-2021-40444 취약점을 결합해 공격을 시도한 대남 사이버 위협 사례는 처음 관측됐고, 이들이 최신 보안 취약점을 적극적으로 실전 공격에 도입한 점이 특히 주목된다. 이스트시큐리티는 이미 지난 8월에도 동일 위협 행위자들이 CVE-2020-9715 취약점 공격을 사용하고 있다며, 국내에서 처음으로 PDF 기반 악성 문서 주의보를 내린 바 있다....

2021.11.09

“북 연계 조직, 故 노태우 조문 뉴스로 사칭한 해킹 공격 시도” 이스트시큐리티

이스트시큐리티는 대표적인 北 연계 해킹 그룹으로 알려진 ‘탈륨’의 새로운 APT캠페인 해킹 공격이 포착됐다며 각별한 주의를 당부한다고 28일 밝혔다. 이번 공격은 이메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱(Spear Phishing) 공격 기법과 다르게, 마치 최근 있었던 시사 정치 뉴스처럼 가장해 본문의 URL링크주소 클릭을 유도하는 사회공학적 피싱 수법이 쓰였다.   먼저 위협행위자는 북한 분야에서 활동하는 대북 전문가들을 주요 표적 삼아 이번 공격을 수행했다. 마치 고(故) 노태우 전 대통령의 법적 사위인 최태원 회장이 서울대병원 장례식장에 위치한 빈소를 찾아 조문하고 미국 출장 길에 오른다는 네이버 뉴스처럼 위장해 수신자의 경계심을 낮추고 접근하는 치밀함을 보였다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)의 확인결과 해당 공격에 사용된 문구와 조작된 가짜 사이트 화면은 실제 모 언론사의 실제 뉴스 내용을 그대로 무단 인용한 것으로 확인됐다. 공격에 사용된 이메일은 보낸 사람과 주소가 ‘네이버 뉴스<news@navercorp.corn>’로 조작됐고, 실제 발신지는 불가리아 이메일 서비스인 ‘mail.bg’인 것으로 밝혀졌는데, 해당 서비스는 북한과 연계된 사이버 위협 조직이 그동안 여러 차례 사용한 바 있다. 그리고 이메일을 자세히 살펴보면 com 도메인이 아니라 c o r n 알파벳으로 교묘히 발신지를 위장한 사실도 알 수 있다. 해킹 이메일의 본문에는 [뉴스 바로 가기] 링크가 2개 포함돼 있고, 모두 ‘nid.livelogin365.in[.]net’이라는 해외 서버로 접속을 유도한다. 이때 해당 주소로 접근된 사용자의 IP주소 및 웹 브라우저 등 일부 정보가 노출될 가능성이 있고, 공격자의 의도에 따라 추가 악성 파일이 설치되는 위험성이 존재한다. 이후 ‘nnews.naver-con.cloudns[.]cl’ 주소로 이동시켜 실제 뉴스 내용처럼 위장한 가짜 화면을 보여주게 된다. ESRC 분석에 의하...

이스트시큐리티 악성파일

2021.10.28

이스트시큐리티는 대표적인 北 연계 해킹 그룹으로 알려진 ‘탈륨’의 새로운 APT캠페인 해킹 공격이 포착됐다며 각별한 주의를 당부한다고 28일 밝혔다. 이번 공격은 이메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱(Spear Phishing) 공격 기법과 다르게, 마치 최근 있었던 시사 정치 뉴스처럼 가장해 본문의 URL링크주소 클릭을 유도하는 사회공학적 피싱 수법이 쓰였다.   먼저 위협행위자는 북한 분야에서 활동하는 대북 전문가들을 주요 표적 삼아 이번 공격을 수행했다. 마치 고(故) 노태우 전 대통령의 법적 사위인 최태원 회장이 서울대병원 장례식장에 위치한 빈소를 찾아 조문하고 미국 출장 길에 오른다는 네이버 뉴스처럼 위장해 수신자의 경계심을 낮추고 접근하는 치밀함을 보였다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)의 확인결과 해당 공격에 사용된 문구와 조작된 가짜 사이트 화면은 실제 모 언론사의 실제 뉴스 내용을 그대로 무단 인용한 것으로 확인됐다. 공격에 사용된 이메일은 보낸 사람과 주소가 ‘네이버 뉴스<news@navercorp.corn>’로 조작됐고, 실제 발신지는 불가리아 이메일 서비스인 ‘mail.bg’인 것으로 밝혀졌는데, 해당 서비스는 북한과 연계된 사이버 위협 조직이 그동안 여러 차례 사용한 바 있다. 그리고 이메일을 자세히 살펴보면 com 도메인이 아니라 c o r n 알파벳으로 교묘히 발신지를 위장한 사실도 알 수 있다. 해킹 이메일의 본문에는 [뉴스 바로 가기] 링크가 2개 포함돼 있고, 모두 ‘nid.livelogin365.in[.]net’이라는 해외 서버로 접속을 유도한다. 이때 해당 주소로 접근된 사용자의 IP주소 및 웹 브라우저 등 일부 정보가 노출될 가능성이 있고, 공격자의 의도에 따라 추가 악성 파일이 설치되는 위험성이 존재한다. 이후 ‘nnews.naver-con.cloudns[.]cl’ 주소로 이동시켜 실제 뉴스 내용처럼 위장한 가짜 화면을 보여주게 된다. ESRC 분석에 의하...

2021.10.28

“이번 추석 연휴, ‘택배 사칭’ 外 스미싱 공격 주의” 이스트시큐리티

다가오는 추석 연휴 기간 스마트폰 보안 위협이 증가할 것으로 예상되는 가운데, 이스트시큐리티가 9월 16일 위협에 대비할 수 있도록 대표적인 스미싱 공격 유형과 예방법을 공개했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 올해 8월까지 모바일 백신 ‘알약M’을 통해 확인된 스미싱 공격은 14만 건을 상회한 것으로 집계됐다.    회사에 따르면 특히 이번 추석은 코로나19 영향으로 친인척을 직접 방문하지 않고 선물이나 메시지를 통해 인사를 대체하는 경우가 많아 관련된 스미싱 공격이 더욱 기승을 부릴 것으로 예상되며, 실제로 추석 명절을 앞둔 현재 ‘택배’, ‘5차 재난지원금’, 추석 선물/기프티콘 도착’ 등의 키워드를 사용하는 공격이 증가하고 있는 것으로 확인됐다. 먼저 ‘택배 사칭’ 스미싱은 연중 가장 흔하게 발견되는 스미싱 위협 중 하나로, 선물 발송 등 택배 이용이 증가하는 명절 연휴에 더욱 기승을 부릴 것으로 예상된다. 일반적으로 이 공격은 택배 반송, 주소지 불명 등을 안내하기 위해 발송된 것으로 사칭해, 택배 상태 조회를 위해 첨부된 URL을 클릭하도록 유도한다. 만약 수신자가 첨부된 URL에 접속할 경우 택배 기업 앱으로 위장한 악성 앱이 다운로드되고, 로그인을 위해 계정 정보를 입력하면 공격자에게 정보가 탈취된다. 다음으로 최근 코로나19 확산세가 장기화되며 정부가 5차 국민 재난지원금을 지급하는 가운데, 국민의 관심이 집중되는 것을 노리는 사회공학적 기법을 사용한 ‘국민 재난지원금’ 사칭 스미싱도 증가하고 있다. 공격자는 최근 금융사 등 여러 기관에서 5차 국민 재난지원금 대상 여부 확인 등을 안내하기 위해 전 국민에게 문자 메시지(이하 SMS)를 발송하는 것을 틈타, 악성 URL이 첨부된 가짜 안내 스미싱 SMS를 발송하고 있다. 국민 재난지원금은 전 국민의 관심이 집중되고 있고, 특히 추석 명절 준비로 지원금을 사용하려는 국민이 이 SMS를 수신할 경우 성급한 마음에 악성 URL을 클릭할 확률이 ...

이스트시큐리티

2021.09.16

다가오는 추석 연휴 기간 스마트폰 보안 위협이 증가할 것으로 예상되는 가운데, 이스트시큐리티가 9월 16일 위협에 대비할 수 있도록 대표적인 스미싱 공격 유형과 예방법을 공개했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 올해 8월까지 모바일 백신 ‘알약M’을 통해 확인된 스미싱 공격은 14만 건을 상회한 것으로 집계됐다.    회사에 따르면 특히 이번 추석은 코로나19 영향으로 친인척을 직접 방문하지 않고 선물이나 메시지를 통해 인사를 대체하는 경우가 많아 관련된 스미싱 공격이 더욱 기승을 부릴 것으로 예상되며, 실제로 추석 명절을 앞둔 현재 ‘택배’, ‘5차 재난지원금’, 추석 선물/기프티콘 도착’ 등의 키워드를 사용하는 공격이 증가하고 있는 것으로 확인됐다. 먼저 ‘택배 사칭’ 스미싱은 연중 가장 흔하게 발견되는 스미싱 위협 중 하나로, 선물 발송 등 택배 이용이 증가하는 명절 연휴에 더욱 기승을 부릴 것으로 예상된다. 일반적으로 이 공격은 택배 반송, 주소지 불명 등을 안내하기 위해 발송된 것으로 사칭해, 택배 상태 조회를 위해 첨부된 URL을 클릭하도록 유도한다. 만약 수신자가 첨부된 URL에 접속할 경우 택배 기업 앱으로 위장한 악성 앱이 다운로드되고, 로그인을 위해 계정 정보를 입력하면 공격자에게 정보가 탈취된다. 다음으로 최근 코로나19 확산세가 장기화되며 정부가 5차 국민 재난지원금을 지급하는 가운데, 국민의 관심이 집중되는 것을 노리는 사회공학적 기법을 사용한 ‘국민 재난지원금’ 사칭 스미싱도 증가하고 있다. 공격자는 최근 금융사 등 여러 기관에서 5차 국민 재난지원금 대상 여부 확인 등을 안내하기 위해 전 국민에게 문자 메시지(이하 SMS)를 발송하는 것을 틈타, 악성 URL이 첨부된 가짜 안내 스미싱 SMS를 발송하고 있다. 국민 재난지원금은 전 국민의 관심이 집중되고 있고, 특히 추석 명절 준비로 지원금을 사용하려는 국민이 이 SMS를 수신할 경우 성급한 마음에 악성 URL을 클릭할 확률이 ...

2021.09.16

이스트시큐리티, 통일부 직원 사칭한 ‘사이버안전 조치 안내’ APT 공격 발견

이스트시큐리티는 통일부 직원의 업무 메일을 사칭한 지능형 지속위협(APT)이 발견되었다고 밝혔다. 이번 악성 이메일 공격은 통일부 정착지원과의 모 사무관이 발송한 것처럼 위장하고 있다.  회사에 따르면 악성 이메일에는 ‘최근 유명 인사를 노린 사이버 공격이 전방위로 진행되고 있어 안전에 유의를 부탁한다’는 내용과 함께, ‘210811_업무연락(사이버안전).doc’ 이름의 악성 문서 파일을 함께 첨부했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 공격이 국내 대북 분야 종사자를 대상으로 수행된 것으로 확인했다.  특히, ESRC는 이번 공격이 최근 국내 사이버 보안 위협 증가에 따른 민관 사이버 위기 경보가 ‘정상’에서 ‘관심’ 단계로 격상됨에 따라, 사이버 보안에 대한 공직자와 대북 관계자의 관심이 높아져 첨부 파일을 열어볼 가능성이 크다는 점을 교묘히 노린 것으로 분석했다. 아울러 이번 공격을 심층 분석한 결과 지난 5월 북한 연계 해킹 조직 ‘탈륨’이 수행한 작전명 ‘사이버 스톰’ 공격과 동일한 계열의 코드 등 유사점을 발견했으며, 이번 공격 역시 ‘탈륨’이 배후인 것으로 확인되었다. ‘탈륨’ 조직은 오랜 기간 DOC 형식의 악성 문서를 활용해 국내 전·현직 고위 정부 인사 등을 상대로 해킹 공격을 시도해 왔으며, 최근에는 국내 유명 방송 및 언론사의 주요 간부나 국장급을 상대로 PDF 취약점 (CVE-2020-9715) 공격도 수행한 바 있다. 또한, ESRC는 첨부된 악성 DOC 문서 파일 내부에 악성 매크로 코드가 숨겨져 있으며, 추가 악성 명령을 수행하기 위해 국내 특정 고시학원 사이트 서버를 탈취해 명령 제어 서버(C2)로 활용한 것으로 분석했다.   실제로 이메일 수신자가 첨부된 악성 DOC 문서를 열어보면, ‘호환성 문제로 콘텐츠를 불러올 수 없으며, 정상적인 문서 확인을 위해서 [콘텐츠 사용] 버튼을 클릭하라’는 내용의 위조된 안내 화면이 나타난다  MS 오피스에서 문서를 열...

이스트시큐리티 보안

2021.08.13

이스트시큐리티는 통일부 직원의 업무 메일을 사칭한 지능형 지속위협(APT)이 발견되었다고 밝혔다. 이번 악성 이메일 공격은 통일부 정착지원과의 모 사무관이 발송한 것처럼 위장하고 있다.  회사에 따르면 악성 이메일에는 ‘최근 유명 인사를 노린 사이버 공격이 전방위로 진행되고 있어 안전에 유의를 부탁한다’는 내용과 함께, ‘210811_업무연락(사이버안전).doc’ 이름의 악성 문서 파일을 함께 첨부했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 공격이 국내 대북 분야 종사자를 대상으로 수행된 것으로 확인했다.  특히, ESRC는 이번 공격이 최근 국내 사이버 보안 위협 증가에 따른 민관 사이버 위기 경보가 ‘정상’에서 ‘관심’ 단계로 격상됨에 따라, 사이버 보안에 대한 공직자와 대북 관계자의 관심이 높아져 첨부 파일을 열어볼 가능성이 크다는 점을 교묘히 노린 것으로 분석했다. 아울러 이번 공격을 심층 분석한 결과 지난 5월 북한 연계 해킹 조직 ‘탈륨’이 수행한 작전명 ‘사이버 스톰’ 공격과 동일한 계열의 코드 등 유사점을 발견했으며, 이번 공격 역시 ‘탈륨’이 배후인 것으로 확인되었다. ‘탈륨’ 조직은 오랜 기간 DOC 형식의 악성 문서를 활용해 국내 전·현직 고위 정부 인사 등을 상대로 해킹 공격을 시도해 왔으며, 최근에는 국내 유명 방송 및 언론사의 주요 간부나 국장급을 상대로 PDF 취약점 (CVE-2020-9715) 공격도 수행한 바 있다. 또한, ESRC는 첨부된 악성 DOC 문서 파일 내부에 악성 매크로 코드가 숨겨져 있으며, 추가 악성 명령을 수행하기 위해 국내 특정 고시학원 사이트 서버를 탈취해 명령 제어 서버(C2)로 활용한 것으로 분석했다.   실제로 이메일 수신자가 첨부된 악성 DOC 문서를 열어보면, ‘호환성 문제로 콘텐츠를 불러올 수 없으며, 정상적인 문서 확인을 위해서 [콘텐츠 사용] 버튼을 클릭하라’는 내용의 위조된 안내 화면이 나타난다  MS 오피스에서 문서를 열...

2021.08.13

이스트시큐리티, “외교·안보 전문가 노린 북한 연계 APT공격 주의”

이스트시큐리티가 국내에서 악성 ‘PDF 문서 파일’을 활용하는 새로운 형태의 지능형지속위협(이하 APT) 공격이 계속해서 발견되고 있다며 각별한 주의를 당부했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석에 따르면, 새롭게 발견된 PDF 파일 취약점이 지난 5월부터 현재까지 국내 외교, 안보, 국방, 통일 분야 전·현직 종사자 등을 대상으로 하는 해킹 공격에 사용된 것으로 확인됐다. ESRC는 이번 PDF 취약점 공격에 사용된 기술과 전략을 심층 분석한 결과를 바탕으로, 북한 연계 해킹 조직으로 알려진 ‘탈륨’을 위협 배후로 지목했다. ‘탈륨’ 조직은 최근까지 국내 전·현직 장차관급 고위 정부 인사 등을 상대로 계속해서 해킹 공격을 시도해왔고, 실제로 지난 2021년 한미 정상 회담 기간에도 외교·안보·통일 및 대북 분야 전문가를 상대로 DOC 문서를 악용하는 방식의 해킹 공격을 시도한 것으로 확인되었다. 다만, PDF 취약점을 활용한 사례가 발견된 것은 이번이 처음이며, 이는 탈륨 조직의 대표적인 APT 공격 캠페인 중 하나인 ‘페이크 스트라이커(Fake Striker)’의 연장선인 것으로 분석된다는 설명이다. ESRC 관계자는 “일반적으로 PDF 형식의 문서 파일이 보안으로부터 안전하다는 인식이 있어, 자칫 보안 수칙 준수를 허술히 할 수 있다”라며, “이번 공격에 활용된 PDF 취약점은 또 다른 공격에도 은밀히 사용될 수 있기 때문에, 외교·안보·국방·통일 분야 전문가들은 더이상 PDF 문서 파일도 안전하지 않다는 인식을 가지고 각별히 주의를 기울여야 한다”라고 말했다. 한편 ESRC는 이번 공격에 활용된 악성 PDF 파일의 분석 결과도 함께 공개했다. 이메일에 첨부된 악성 PDF 파일은 국내 특정 사단법인이 주관하는 ‘평화 경제 최고경영자 과정’ 안내 자료를 사칭하고 있으며, 실제로 파일을 열어보면 관련 안내 자료가 보인다. 만약 메일 수신자가 문서를 열어보면, PDF 파일 내부에 은닉된 스크립트 코드가 작동된다. 이...

이스트시큐리티

2021.08.03

이스트시큐리티가 국내에서 악성 ‘PDF 문서 파일’을 활용하는 새로운 형태의 지능형지속위협(이하 APT) 공격이 계속해서 발견되고 있다며 각별한 주의를 당부했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석에 따르면, 새롭게 발견된 PDF 파일 취약점이 지난 5월부터 현재까지 국내 외교, 안보, 국방, 통일 분야 전·현직 종사자 등을 대상으로 하는 해킹 공격에 사용된 것으로 확인됐다. ESRC는 이번 PDF 취약점 공격에 사용된 기술과 전략을 심층 분석한 결과를 바탕으로, 북한 연계 해킹 조직으로 알려진 ‘탈륨’을 위협 배후로 지목했다. ‘탈륨’ 조직은 최근까지 국내 전·현직 장차관급 고위 정부 인사 등을 상대로 계속해서 해킹 공격을 시도해왔고, 실제로 지난 2021년 한미 정상 회담 기간에도 외교·안보·통일 및 대북 분야 전문가를 상대로 DOC 문서를 악용하는 방식의 해킹 공격을 시도한 것으로 확인되었다. 다만, PDF 취약점을 활용한 사례가 발견된 것은 이번이 처음이며, 이는 탈륨 조직의 대표적인 APT 공격 캠페인 중 하나인 ‘페이크 스트라이커(Fake Striker)’의 연장선인 것으로 분석된다는 설명이다. ESRC 관계자는 “일반적으로 PDF 형식의 문서 파일이 보안으로부터 안전하다는 인식이 있어, 자칫 보안 수칙 준수를 허술히 할 수 있다”라며, “이번 공격에 활용된 PDF 취약점은 또 다른 공격에도 은밀히 사용될 수 있기 때문에, 외교·안보·국방·통일 분야 전문가들은 더이상 PDF 문서 파일도 안전하지 않다는 인식을 가지고 각별히 주의를 기울여야 한다”라고 말했다. 한편 ESRC는 이번 공격에 활용된 악성 PDF 파일의 분석 결과도 함께 공개했다. 이메일에 첨부된 악성 PDF 파일은 국내 특정 사단법인이 주관하는 ‘평화 경제 최고경영자 과정’ 안내 자료를 사칭하고 있으며, 실제로 파일을 열어보면 관련 안내 자료가 보인다. 만약 메일 수신자가 문서를 열어보면, PDF 파일 내부에 은닉된 스크립트 코드가 작동된다. 이...

2021.08.03

이스트시큐리티, ‘2021년 상반기 주요 보안 위협 톱5’ 발표

이스트시큐리티가 2021년 상반기 발생한 ‘5가지 주요 보안 위협’을 발표했다.  이스트시큐리티는 올해 상반기 코로나19 확산이 지속되는 가운데 다양한 보안 위협이 발견되었으며, 그 중 살펴봐야 할 주요 보안 동향으로 ▲북한 당국 지원 해킹 그룹의 위협 지속 ▲국가 핵심 인프라 위협 랜섬웨어 증가 ▲코로나19 이슈 활용 사회공학 공격 지속 ▲다양한 테마의 스미싱, 악성 앱 공격 지속 ▲국내외 대규모 기업, 기관에서의 개인정보 유출 피해 증가를 꼽았다.   회사에 따르면 2021년 상반기에도 국방·통일·외교·안보 및 대북 관계자 등 특정 타깃을 대상으로 하는 북한 해커들의 공격 활동이 활발하게 이뤄졌다. 특히 북한 당국의 지원을 받는 것으로 추정되는 ‘라자루스’와 ‘탈륨(김수키)’ 그룹의 공격이 여전히 빈번하게 발생하고 있으며, 이들은 금전적으로 현혹될 만한 내용과 사회적 이슈를 주제로 하는 악성 MS 워드(DOC) 문서를 공격에 적극적으로 활용했다. 최근에는 송유관, 원자력 등 국가 핵심 인프라를 비롯해 국내 특정 기업과 해외 유명 검색 서비스를 공격 거점으로 민간 전문가를 공격 대상으로 노리는 정황도 확인되었다. 이에 국내에서는 북한의 해킹 재발 방지 대책을 촉구하는 정치계 움직임도 확산되고 있다. 2021년 상반기에는 미국 최대 송유관 기업인 콜로니얼 파이프라인(Colonial Pipeline) 공격을 비롯해 전 세계 국가 핵심 인프라 시설을 위협하는 랜섬웨어 공격이 증가했다. 이러한 대규모 공격으로 인해 해당 기업의 시스템 운영이 중단되었고, 공격자에게 거액의 비용을 지불해 큰 피해를 막은 것으로 확인되었다. 공격 발생 이후 FBI 공조 등을 통해 대대적인 수사가 이루어졌고, 결국 해당 랜섬웨어 운영자들은 폐업을 선언하고 피해 기업에 복호화 키를 제공하겠다고 밝히기도 했다.  지난해와 마찬가지로 2021년 상반기에도 코로나19 확산세가 지속되면서, 코로나19 이슈를 테마로 활용한 사회공학 기법의 공격이 계속해서 등장하...

이스트시큐리티

2021.07.21

이스트시큐리티가 2021년 상반기 발생한 ‘5가지 주요 보안 위협’을 발표했다.  이스트시큐리티는 올해 상반기 코로나19 확산이 지속되는 가운데 다양한 보안 위협이 발견되었으며, 그 중 살펴봐야 할 주요 보안 동향으로 ▲북한 당국 지원 해킹 그룹의 위협 지속 ▲국가 핵심 인프라 위협 랜섬웨어 증가 ▲코로나19 이슈 활용 사회공학 공격 지속 ▲다양한 테마의 스미싱, 악성 앱 공격 지속 ▲국내외 대규모 기업, 기관에서의 개인정보 유출 피해 증가를 꼽았다.   회사에 따르면 2021년 상반기에도 국방·통일·외교·안보 및 대북 관계자 등 특정 타깃을 대상으로 하는 북한 해커들의 공격 활동이 활발하게 이뤄졌다. 특히 북한 당국의 지원을 받는 것으로 추정되는 ‘라자루스’와 ‘탈륨(김수키)’ 그룹의 공격이 여전히 빈번하게 발생하고 있으며, 이들은 금전적으로 현혹될 만한 내용과 사회적 이슈를 주제로 하는 악성 MS 워드(DOC) 문서를 공격에 적극적으로 활용했다. 최근에는 송유관, 원자력 등 국가 핵심 인프라를 비롯해 국내 특정 기업과 해외 유명 검색 서비스를 공격 거점으로 민간 전문가를 공격 대상으로 노리는 정황도 확인되었다. 이에 국내에서는 북한의 해킹 재발 방지 대책을 촉구하는 정치계 움직임도 확산되고 있다. 2021년 상반기에는 미국 최대 송유관 기업인 콜로니얼 파이프라인(Colonial Pipeline) 공격을 비롯해 전 세계 국가 핵심 인프라 시설을 위협하는 랜섬웨어 공격이 증가했다. 이러한 대규모 공격으로 인해 해당 기업의 시스템 운영이 중단되었고, 공격자에게 거액의 비용을 지불해 큰 피해를 막은 것으로 확인되었다. 공격 발생 이후 FBI 공조 등을 통해 대대적인 수사가 이루어졌고, 결국 해당 랜섬웨어 운영자들은 폐업을 선언하고 피해 기업에 복호화 키를 제공하겠다고 밝히기도 했다.  지난해와 마찬가지로 2021년 상반기에도 코로나19 확산세가 지속되면서, 코로나19 이슈를 테마로 활용한 사회공학 기법의 공격이 계속해서 등장하...

2021.07.21

“알약, 2021년 2분기 ‘랜섬웨어 공격 차단’ 총 15만8,000여 건” 이스트시큐리티

이스트시큐리티가 자사의 백신 프로그램 ‘알약’을 통해, 2021년 1분기 총 15만8,188건의 랜섬웨어 공격을 차단했다고 밝혔다. 통계에 따르면 2021년 2분기 알약을 통해 차단된 랜섬웨어 공격은 ▲총 15만8,188건으로, 이를 일간 기준으로 환산하면 일평균 ▲약 1,758건의 랜섬웨어 공격이 차단된 것으로 볼 수 있다. 또한, 1분기 차단된 랜섬웨어 공격은 총 15만4,887건으로, 올해 상반기 알약을 통해 차단된 랜섬웨어 공격은 총 31만3,075건에 이른다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 추정된다. 또한, 최근 2년여 간은 랜섬웨어 공격수가 지속적으로 감소하는 추세를 보였으나, 이번 2분기에는 1분기에 비해 소폭 증가한 것으로 나타나 주의가 필요하다. 이스트시큐리티 대응센터(이하 ESRC)는 2021년 2분기에 발견된 주요 랜섬웨어 보안 위협으로, 2021년 2분기에는 ▲소디노키비(Sodinokibi) 조직의 공격 확산과 리눅스 변종 랜섬웨어 발견 ▲미 최대 송유관 회사인 콜로니얼 파이프라인(Colonial Pipeline) 등 국가 인프라 대상 대규모 공격 발생 ▲바북락커(Babuk Locker) 랜섬웨어 빌더 유출에 따른 변종 출현과 피해 사례 발생 ▲비너스락커 그룹의 마콥(Makop) 랜섬웨어 위협 지속을 꼽았다. 먼저 소디노키비 조직은 올해 4월 애플의 핵심 공급업체인 대만의 ‘콴타 컴퓨터’, 6월에는 미국 식품 가공 업체 ‘JBS 푸드’ 및 일본 기업 ‘후지필름’ 등 세계적인 대기업을 대상으로 공격을 감행했다. 이 공격으로 인해 각 기업의 생산 시설이 일정 시간 중단되는 등 시스템 운영에 어려움을 겪었으며, 해커들은 탈취한 데이터 중 핵심적인 기업 기밀 사항을 유출하겠다고 협박하는 ‘이중 갈취’ 전략을 사용함으로써 랜섬 지불을 더욱 효과적으로 유도했다. 또한...

이스트시큐리티

2021.07.12

이스트시큐리티가 자사의 백신 프로그램 ‘알약’을 통해, 2021년 1분기 총 15만8,188건의 랜섬웨어 공격을 차단했다고 밝혔다. 통계에 따르면 2021년 2분기 알약을 통해 차단된 랜섬웨어 공격은 ▲총 15만8,188건으로, 이를 일간 기준으로 환산하면 일평균 ▲약 1,758건의 랜섬웨어 공격이 차단된 것으로 볼 수 있다. 또한, 1분기 차단된 랜섬웨어 공격은 총 15만4,887건으로, 올해 상반기 알약을 통해 차단된 랜섬웨어 공격은 총 31만3,075건에 이른다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 추정된다. 또한, 최근 2년여 간은 랜섬웨어 공격수가 지속적으로 감소하는 추세를 보였으나, 이번 2분기에는 1분기에 비해 소폭 증가한 것으로 나타나 주의가 필요하다. 이스트시큐리티 대응센터(이하 ESRC)는 2021년 2분기에 발견된 주요 랜섬웨어 보안 위협으로, 2021년 2분기에는 ▲소디노키비(Sodinokibi) 조직의 공격 확산과 리눅스 변종 랜섬웨어 발견 ▲미 최대 송유관 회사인 콜로니얼 파이프라인(Colonial Pipeline) 등 국가 인프라 대상 대규모 공격 발생 ▲바북락커(Babuk Locker) 랜섬웨어 빌더 유출에 따른 변종 출현과 피해 사례 발생 ▲비너스락커 그룹의 마콥(Makop) 랜섬웨어 위협 지속을 꼽았다. 먼저 소디노키비 조직은 올해 4월 애플의 핵심 공급업체인 대만의 ‘콴타 컴퓨터’, 6월에는 미국 식품 가공 업체 ‘JBS 푸드’ 및 일본 기업 ‘후지필름’ 등 세계적인 대기업을 대상으로 공격을 감행했다. 이 공격으로 인해 각 기업의 생산 시설이 일정 시간 중단되는 등 시스템 운영에 어려움을 겪었으며, 해커들은 탈취한 데이터 중 핵심적인 기업 기밀 사항을 유출하겠다고 협박하는 ‘이중 갈취’ 전략을 사용함으로써 랜섬 지불을 더욱 효과적으로 유도했다. 또한...

2021.07.12

이스트시큐리티, 통일부 사칭한 이메일 공격 발견…“북한 연계 ‘탈륨’ 해킹 공격 주의보”

이스트시큐리티가 북한 연계 해킹 조직 소행으로 추정되는 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있다며, 각별한 보안 주의를 당부했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번 APT 공격은 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 해킹 조직의 소행으로 추정되며, ▲통일부를 사칭한 이메일 공격과 ▲통일연구원을 사칭한 이메일 해킹 공격 유형 등이 발견되고 있다. 통일부를 사칭한 공격은 지난 6월 22일, 통일연구원을 사칭한 공격은 24일 각각 포착됐다. 이들 공격은 거의 동일한 시기에 수행되었으며, ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 내용으로 메일 수신자를 현혹하는 공통점이 있다.  또한, 메일 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록, 각 발신지 주소를 실제 통일부(analysis@unikorea.go.kr)와 통일연구원(mail@kinu.or.kr)의 공식 이메일 주소처럼 정교하게 조작하는 해킹 수법을 사용했다. ESRC의 분석 결과 이번에 발견된 공격은 이메일에 첨부된 악성 문서 파일을 열어보도록 유도하는 전형적인 첨부파일 유형의 공격처럼 보이지만, 실제로는 첨부 파일이 아니라 악성 URL 링크를 삽입해 포털 계정을 탈취할 목적의 공격인 것으로 확인됐다. 이는 별도의 악성 파일을 사용하지 않아, 백신 등 보안 솔루션의 위협 탐지를 회피하기 위한 목적으로 예상된다. 공격자가 발송한 이메일 본문에는 마치 통일부나 통일연구원에서 공식 발행한 것처럼 교묘하게 도용된 화면이 사용됐고, HWP나 PDF 문서 전문이 첨부된 것처럼 화면을 보여주며 클릭을 유도한다.  만약, 해당 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 로그인 암호 입력을 요구하는 화면을 먼저 보여준다.  이때 이메일 주소의 암호를 입력하면 공격자에게 암호가 전송돼 이메일을 통해 주고받은 개인 정보가 유출되는 것은 물론, 공격자가 자신의 계정을 도용해 주변 지인에게 접근을 시...

이스트시큐리티

2021.06.25

이스트시큐리티가 북한 연계 해킹 조직 소행으로 추정되는 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있다며, 각별한 보안 주의를 당부했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번 APT 공격은 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 해킹 조직의 소행으로 추정되며, ▲통일부를 사칭한 이메일 공격과 ▲통일연구원을 사칭한 이메일 해킹 공격 유형 등이 발견되고 있다. 통일부를 사칭한 공격은 지난 6월 22일, 통일연구원을 사칭한 공격은 24일 각각 포착됐다. 이들 공격은 거의 동일한 시기에 수행되었으며, ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 내용으로 메일 수신자를 현혹하는 공통점이 있다.  또한, 메일 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록, 각 발신지 주소를 실제 통일부(analysis@unikorea.go.kr)와 통일연구원(mail@kinu.or.kr)의 공식 이메일 주소처럼 정교하게 조작하는 해킹 수법을 사용했다. ESRC의 분석 결과 이번에 발견된 공격은 이메일에 첨부된 악성 문서 파일을 열어보도록 유도하는 전형적인 첨부파일 유형의 공격처럼 보이지만, 실제로는 첨부 파일이 아니라 악성 URL 링크를 삽입해 포털 계정을 탈취할 목적의 공격인 것으로 확인됐다. 이는 별도의 악성 파일을 사용하지 않아, 백신 등 보안 솔루션의 위협 탐지를 회피하기 위한 목적으로 예상된다. 공격자가 발송한 이메일 본문에는 마치 통일부나 통일연구원에서 공식 발행한 것처럼 교묘하게 도용된 화면이 사용됐고, HWP나 PDF 문서 전문이 첨부된 것처럼 화면을 보여주며 클릭을 유도한다.  만약, 해당 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 로그인 암호 입력을 요구하는 화면을 먼저 보여준다.  이때 이메일 주소의 암호를 입력하면 공격자에게 암호가 전송돼 이메일을 통해 주고받은 개인 정보가 유출되는 것은 물론, 공격자가 자신의 계정을 도용해 주변 지인에게 접근을 시...

2021.06.25

이스트시큐리티, “금융거래·사례비 지급 명목으로 접근하는 해킹 피해 우려”

금융거래 이메일로 위장한 표적형 해킹 시도가 급증하는 가운데, 각별한 주의가 필요하다고 이스트 시큐리티가 밝혔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 북한 당국과 연계된 것으로 알려진 ‘탈륨’ 해킹 조직의 국내 사이버 위협 활성도가 지속적으로 증가하는 것으로 나타났다. 이 조직은 이달 진행된 한미정상 회담 기간에도 외교·안보·통일 및 대북 분야 전문가를 상대로 한 해킹 시도 정황이 드러난 바 있다. 이들은 이메일 수신 대상자의 금융거래 심리를 교묘히 자극하는 공격 방식을 사용하며, 실제로 발견된 공격에서는 마치 국내 시중은행의 공식 안내 메일처럼 위장하거나 설문지 응답 또는 세미나 참석에 따른 소정의 사례비 명목으로 수신자를 현혹하고 있다.  또한, 평소 보안 경계심이 높은 공격 대상자에게 사전에 정상적인 이메일을 수차례 발송해 안심시킨 다음 본격적인 공격을 시도하는 ‘신뢰 기반’의 위협 시나리오를 적용하는 등 갈수록 공격의 치밀함과 대담성이 높아지고 있다. 일반적인 공격에는 여전히 이메일에 악성 MS 워드(DOC) 문서를 많이 사용하지만, 이번에 발견된 금융업체 이메일 사칭 공격에는 악성 엑셀(XLSX) 문서가 사용됐다.  국내 시중은행의 보안 명세서로 위장한 엑셀 문서가 실행되면 악성 매크로 코드 실행을 유도하기 위해 ‘차단된 콘텐츠를 허용해 주시기 바랍니다.’ 등의 가짜 안내 화면을 보여주는 전형적인 매크로 공격 방식이 사용됐다. 메일 수신자가 이 화면에 속아 ‘[콘텐츠 사용]’ 버튼을 누르게 되면, 악성 명령이 작동돼 개인 정보 유출 및 예기치 못한 해킹 피해로 이어질 수 있다. 이스트시큐리티 ESRC센터장 문종현 이사는 “페이크 스트라이커(Fake Striker)로 명명된 이번 탈륨 조직의 APT 공격 캠페인이 급증하고 있고, 주로 대북분야에서 활동하는 인물들이 위협 블랙 리스트에 존재한다”라며, “마치 금융거래나 사례비 지급처럼 금전적 심리를 자극하는 등 갈수록 수법이 교묘해지고 있어, 유사한 ...

이스트시큐리티

2021.05.26

금융거래 이메일로 위장한 표적형 해킹 시도가 급증하는 가운데, 각별한 주의가 필요하다고 이스트 시큐리티가 밝혔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 북한 당국과 연계된 것으로 알려진 ‘탈륨’ 해킹 조직의 국내 사이버 위협 활성도가 지속적으로 증가하는 것으로 나타났다. 이 조직은 이달 진행된 한미정상 회담 기간에도 외교·안보·통일 및 대북 분야 전문가를 상대로 한 해킹 시도 정황이 드러난 바 있다. 이들은 이메일 수신 대상자의 금융거래 심리를 교묘히 자극하는 공격 방식을 사용하며, 실제로 발견된 공격에서는 마치 국내 시중은행의 공식 안내 메일처럼 위장하거나 설문지 응답 또는 세미나 참석에 따른 소정의 사례비 명목으로 수신자를 현혹하고 있다.  또한, 평소 보안 경계심이 높은 공격 대상자에게 사전에 정상적인 이메일을 수차례 발송해 안심시킨 다음 본격적인 공격을 시도하는 ‘신뢰 기반’의 위협 시나리오를 적용하는 등 갈수록 공격의 치밀함과 대담성이 높아지고 있다. 일반적인 공격에는 여전히 이메일에 악성 MS 워드(DOC) 문서를 많이 사용하지만, 이번에 발견된 금융업체 이메일 사칭 공격에는 악성 엑셀(XLSX) 문서가 사용됐다.  국내 시중은행의 보안 명세서로 위장한 엑셀 문서가 실행되면 악성 매크로 코드 실행을 유도하기 위해 ‘차단된 콘텐츠를 허용해 주시기 바랍니다.’ 등의 가짜 안내 화면을 보여주는 전형적인 매크로 공격 방식이 사용됐다. 메일 수신자가 이 화면에 속아 ‘[콘텐츠 사용]’ 버튼을 누르게 되면, 악성 명령이 작동돼 개인 정보 유출 및 예기치 못한 해킹 피해로 이어질 수 있다. 이스트시큐리티 ESRC센터장 문종현 이사는 “페이크 스트라이커(Fake Striker)로 명명된 이번 탈륨 조직의 APT 공격 캠페인이 급증하고 있고, 주로 대북분야에서 활동하는 인물들이 위협 블랙 리스트에 존재한다”라며, “마치 금융거래나 사례비 지급처럼 금전적 심리를 자극하는 등 갈수록 수법이 교묘해지고 있어, 유사한 ...

2021.05.26

이스트시큐리티, 수성엔지니어링에 문서중앙화 솔루션 ‘시큐어디스크’ 공급

이스트시큐리티가 토목 엔지니어링 업체인 수성엔지니어링에 문서중앙화 솔루션 ‘시큐어디스크’를 구축 완료했다고 밝혔다. ‘시큐어디스크’는 기업 내부 자료를 PC나 이메일, 클라우드 저장소에 저장하지 않고, 중앙 서버를 통한 통합 관리 환경을 지원해 자료의 유출과 유실을 원천적으로 방지한 문서중앙화 솔루션이다.   최근 시큐어디스크를 도입한 수성엔지니어링은 ‘디지털 전환’이라는 경영 전략에 맞춰 다수의 수주 프로젝트를 진행하며 쌓은 기술 노하우를 안전하게 보호하면서도 효과적으로 관리할 수 있는 솔루션의 도입을 검토해 왔다. 그동안 수성엔지니어링은 프로젝트별로 업무가 진행되는 업계 특성상 PC와 그룹웨어에 각종 문서가 산재돼 있어, 체계적인 문서 통합 관리의 필요성을 크게 느끼고 있었다. 이번 시큐어디스크 도입으로 수성엔지니어링은 사내 주요 자산인 설계, 도면 파일들이 ▲랜섬웨어 등으로 유출되거나 유실되는 것을 사전에 방지하고, ▲중앙 서버를 통해 문서를 효율적으로 관리하고 활용할 수 있게 됐다. 특히, 그룹웨어와의 연계를 통해 원활한 파일 공유와 안전한 협업이 가능한 업무 환경이 마련되었다고 업체 측은 설명했다. 수성엔지니어링 관계자는 “문서 보안뿐만 아니라, 임직원 누구나 쉽게 활용할 수 있는 편의성을 고려해 기존 업무환경과 같이 윈도우 탐색기 UI를 그대로 사용할 수 있는 시큐어디스크를 선택하게 됐다”라며, “안전하고 편리한 업무 환경을 바탕으로 스마트 건설을 주도하는 엔지니어링사로 거듭나겠다”라고 말했다. ciokr@idg.co.kr

이스트시큐리티

2021.04.27

이스트시큐리티가 토목 엔지니어링 업체인 수성엔지니어링에 문서중앙화 솔루션 ‘시큐어디스크’를 구축 완료했다고 밝혔다. ‘시큐어디스크’는 기업 내부 자료를 PC나 이메일, 클라우드 저장소에 저장하지 않고, 중앙 서버를 통한 통합 관리 환경을 지원해 자료의 유출과 유실을 원천적으로 방지한 문서중앙화 솔루션이다.   최근 시큐어디스크를 도입한 수성엔지니어링은 ‘디지털 전환’이라는 경영 전략에 맞춰 다수의 수주 프로젝트를 진행하며 쌓은 기술 노하우를 안전하게 보호하면서도 효과적으로 관리할 수 있는 솔루션의 도입을 검토해 왔다. 그동안 수성엔지니어링은 프로젝트별로 업무가 진행되는 업계 특성상 PC와 그룹웨어에 각종 문서가 산재돼 있어, 체계적인 문서 통합 관리의 필요성을 크게 느끼고 있었다. 이번 시큐어디스크 도입으로 수성엔지니어링은 사내 주요 자산인 설계, 도면 파일들이 ▲랜섬웨어 등으로 유출되거나 유실되는 것을 사전에 방지하고, ▲중앙 서버를 통해 문서를 효율적으로 관리하고 활용할 수 있게 됐다. 특히, 그룹웨어와의 연계를 통해 원활한 파일 공유와 안전한 협업이 가능한 업무 환경이 마련되었다고 업체 측은 설명했다. 수성엔지니어링 관계자는 “문서 보안뿐만 아니라, 임직원 누구나 쉽게 활용할 수 있는 편의성을 고려해 기존 업무환경과 같이 윈도우 탐색기 UI를 그대로 사용할 수 있는 시큐어디스크를 선택하게 됐다”라며, “안전하고 편리한 업무 환경을 바탕으로 스마트 건설을 주도하는 엔지니어링사로 거듭나겠다”라고 말했다. ciokr@idg.co.kr

2021.04.27

“외교·안보·국방·통일 분야 전문가 대상 사이버 표적 공격 급증 주의보” 이스트시큐리티

이스트시큐리티가 최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 연이어 발견되고 있다며, 각별한 주의가 필요하다고 밝혔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이 공격의 배후로, 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨(Thallium)’과 ‘라자루스(Lazarus)’를 각각 지목했다.  각 조직은 국내 외교·안보·국방·통일 분야 종사자를 주요 공격대상으로 삼아 사이버 위협 활동을 펼치고 있으며, 일부 방위산업, 군사 전문가들도 공격에 노출된 것으로 분석된다. 주로 이메일에 악성 DOC 문서를 첨부하는 전통적 공격 방식이 성행하고 있지만, 수신자를 현혹시키기 위한 위협 시나리오는 나날이 정교해지고 있다고 업체는 설명했다.  이번에 발견된 공격에는 ‘안보 연구 평가 설문’을 사칭한 이메일 공격 수법이 활용되었다. 공격자가 수신자에게 처음으로 발송한 설문지 안내 파일에는 위협 요소가 전혀 없는 정상 문서가 첨부돼, 수신자로 하여금 의심을 낮추고 신뢰도를 높였다. 이후 이메일에서는 사례금 지급을 미끼로 수신자의 심리를 자극해 악성 문서를 열람하도록 유도하는 ‘지능적 투-트랙 스피어 피싱 전략’을 구사한 것으로 확인됐다. ESRC는 최근 포착된 여러 사례들을 종합 분석한 결과, 탈륨 조직이 프로톤메일(ProtonMail) 서비스를 공격에 도입한 것으로 보인다고 설명했다. 프로톤메일은 스위스 제네바에서 2013년 설립된 종단간 암호화 이메일 서비스로, 보안 기능이 높은 것으로 알려져 있어 랜섬웨어 제작자들이 비트코인을 요구하거나 협상 시 활용하는 대표 이메일 서비스다. 따라서 프로톤 이메일로 평소와 다른 형태의 접근이 목격된다면 세심히 관찰할 필요가 있다. 아울러 라자루스 조직은 DOC 문서 파일 내부에 조작된 PNG 포맷의 데이터를 삽입하고, 이 데이터를 WIA_ConvertImage 매크로 함수를 통해 BMP 포맷으로 변환하는 공격 방식을 취했다. 이는 이...

이스트시큐리티

2021.04.20

이스트시큐리티가 최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 연이어 발견되고 있다며, 각별한 주의가 필요하다고 밝혔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이 공격의 배후로, 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨(Thallium)’과 ‘라자루스(Lazarus)’를 각각 지목했다.  각 조직은 국내 외교·안보·국방·통일 분야 종사자를 주요 공격대상으로 삼아 사이버 위협 활동을 펼치고 있으며, 일부 방위산업, 군사 전문가들도 공격에 노출된 것으로 분석된다. 주로 이메일에 악성 DOC 문서를 첨부하는 전통적 공격 방식이 성행하고 있지만, 수신자를 현혹시키기 위한 위협 시나리오는 나날이 정교해지고 있다고 업체는 설명했다.  이번에 발견된 공격에는 ‘안보 연구 평가 설문’을 사칭한 이메일 공격 수법이 활용되었다. 공격자가 수신자에게 처음으로 발송한 설문지 안내 파일에는 위협 요소가 전혀 없는 정상 문서가 첨부돼, 수신자로 하여금 의심을 낮추고 신뢰도를 높였다. 이후 이메일에서는 사례금 지급을 미끼로 수신자의 심리를 자극해 악성 문서를 열람하도록 유도하는 ‘지능적 투-트랙 스피어 피싱 전략’을 구사한 것으로 확인됐다. ESRC는 최근 포착된 여러 사례들을 종합 분석한 결과, 탈륨 조직이 프로톤메일(ProtonMail) 서비스를 공격에 도입한 것으로 보인다고 설명했다. 프로톤메일은 스위스 제네바에서 2013년 설립된 종단간 암호화 이메일 서비스로, 보안 기능이 높은 것으로 알려져 있어 랜섬웨어 제작자들이 비트코인을 요구하거나 협상 시 활용하는 대표 이메일 서비스다. 따라서 프로톤 이메일로 평소와 다른 형태의 접근이 목격된다면 세심히 관찰할 필요가 있다. 아울러 라자루스 조직은 DOC 문서 파일 내부에 조작된 PNG 포맷의 데이터를 삽입하고, 이 데이터를 WIA_ConvertImage 매크로 함수를 통해 BMP 포맷으로 변환하는 공격 방식을 취했다. 이는 이...

2021.04.20

이스트시큐리티, “국내 포털 ‘아이디 거래 계약서’ 사칭 악성코드 유포 중”

이스트시큐리티가 국내 유명 포털 서비스의 아이디 거래 계약서로 사칭한 해킹 공격이 수행되고 있어 각별한 주의를 필요로 한다고 밝혔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 새롭게 발견한 이번 공격은 악성 파일명이 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr’이며, 국내에 은밀히 유포 중인 정황이 포착됐다. ESRC는 작년 말에도 ▲전체회원정보 및 비밀번호포함_xls(4).scr ▲관리정산 및 모든자료_xls(3).scr ▲거래안내_및_가격표_신청안내_xls3.exe 등의 파일명으로 유사한 형태의 공격이 다수 보고된 바 있으며, 현재도 지속적으로 발견되고 있다고 설명했다. 이 같은 공격은 파일 확장자가 정상적인 문서 파일로 보이지만, 실제로는 엑셀(.XLS), 한글(.HWP) 등 문서 확장자 뒤 실행 파일(.EXE), 화면보호기(.SCR)와 같은 숨겨진 확장자가 존재하는 전형적인 2중 확장자명 위장 수법을 사용하고 있다. 2중 확장자명 위장 수법은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 되어있는 점을 악용한 것이다.  윈도우 기본 설정을 사용하는 사용자의 PC에서는 2중 확장자명으로 조작된 첨부 파일의 확장자인 EXE, SCR가 보이지 않고 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp’ 등으로 보이기 때문에, 정상적인 문서 파일로 오인할 가능성이 크다. 만약 숨겨진 파일 확장자를 인지하지 못하고 정상 문서로 착각해 파일을 열어볼 경우, 추가 악성코드 다운로드, PC에 저장된 자료와 개인정보 유출 등 잠재적인 해킹 피해로 이어질 수 있다.  실제로 새롭게 발견된 공격에서도 공격자가 추가 악성코드 배포를 준비한 정황이 발견되었다. ESRC 관계자는 “이번 공격에 사용된 악성 파일의 경우 해외 상용 난독화 제품인 ‘Crypto Obfuscator’ 도구로 닷넷 함수를 암호화해, 코드 분석 방해와 백신 탐지 우회 ...

이스트시큐리티 악성코드 보안

2021.03.04

이스트시큐리티가 국내 유명 포털 서비스의 아이디 거래 계약서로 사칭한 해킹 공격이 수행되고 있어 각별한 주의를 필요로 한다고 밝혔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 새롭게 발견한 이번 공격은 악성 파일명이 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr’이며, 국내에 은밀히 유포 중인 정황이 포착됐다. ESRC는 작년 말에도 ▲전체회원정보 및 비밀번호포함_xls(4).scr ▲관리정산 및 모든자료_xls(3).scr ▲거래안내_및_가격표_신청안내_xls3.exe 등의 파일명으로 유사한 형태의 공격이 다수 보고된 바 있으며, 현재도 지속적으로 발견되고 있다고 설명했다. 이 같은 공격은 파일 확장자가 정상적인 문서 파일로 보이지만, 실제로는 엑셀(.XLS), 한글(.HWP) 등 문서 확장자 뒤 실행 파일(.EXE), 화면보호기(.SCR)와 같은 숨겨진 확장자가 존재하는 전형적인 2중 확장자명 위장 수법을 사용하고 있다. 2중 확장자명 위장 수법은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 되어있는 점을 악용한 것이다.  윈도우 기본 설정을 사용하는 사용자의 PC에서는 2중 확장자명으로 조작된 첨부 파일의 확장자인 EXE, SCR가 보이지 않고 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp’ 등으로 보이기 때문에, 정상적인 문서 파일로 오인할 가능성이 크다. 만약 숨겨진 파일 확장자를 인지하지 못하고 정상 문서로 착각해 파일을 열어볼 경우, 추가 악성코드 다운로드, PC에 저장된 자료와 개인정보 유출 등 잠재적인 해킹 피해로 이어질 수 있다.  실제로 새롭게 발견된 공격에서도 공격자가 추가 악성코드 배포를 준비한 정황이 발견되었다. ESRC 관계자는 “이번 공격에 사용된 악성 파일의 경우 해외 상용 난독화 제품인 ‘Crypto Obfuscator’ 도구로 닷넷 함수를 암호화해, 코드 분석 방해와 백신 탐지 우회 ...

2021.03.04

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6