Offcanvas

���������������

블로그 | '사이버 공격 벡터로서의 드론' 대책이 필요하다

필수 인프라 운영자, 사법 당국, 각 정부 기관은 드론을 일상 업무에 적극적으로 활용 중이다. 전통적인 인프라는 물론 농업, 제조업, 수도/전기, 석유/가스, 광업, 중공업까지 드론의 응용 분야는 다양하다. 그리고 드론 제조업체와 최종 사용자들은 엔터프라이즈와 연결된 모든 요소에 ‘각 드론과 드론 편대, 클라우드/엔터프라이즈 기능, 이들 사이의 모든 통신을 아우르는 강력한 능력’이 있다는 사실을 이제서야 인식하기 시작했다.   드론, ‘하늘을 나는 컴퓨터’이자 공격 벡터 드론 시스템은 잠재적인 취약점에도 불구하고 높은 수준의 보안 아키텍처를 사용하지 않는 경우가 많다. 경영 컨설팅 기업 KPMG의 전략 및 현식 책임자 조노 앤더슨은 “드론이 서로 연결된 시스템에서는 드론 내부와 주변 간 통신이 복잡해지면서 여러 개의 공격 벡터가 생긴다. 그 결과, 개별 드론이나 드론 편대의 필수 시스템뿐 아니라 전체 클라우드 및 엔터프라이즈마저 위험에 노출될 가능성이 있다”라고 말했다. 드론 운영에는 검증된 장점도 있지만 심각한 사이버보안 위험도 따른다. 기본적으로 드론은 ‘하늘을 나는 컴퓨터’이므로 컴퓨터처럼 숱한 사이버 위협이 발생할 수 있다. EY의 기술 컨설팅 부문 선임 관리자 조슈아 테이머는 “대부분 조직은 드론이 주/연방 규정을 준수하는지에 집중한다”라고 말했다. 오늘날 드론은 제조업체 소유인 경우가 많으므로 드론이 사용되는 생태계를 적절히 보호할 ‘기본적이고 조직적인 보안 전략’을 갖추는 것이 매우 중요하다.  그동안 드론 제조업체나 사용자에게 사이버보안은 주요 우선순위가 아니었다. 그러나 테이머는 보안 분야에 정통한 사람은 드론의 취약점을 잘 인지하고 있다고 말했다. 대표적인 예가 드론 리버스 엔지니어링 종사자다. 이들은 일반적으로 여러 드론과 제조업체에 걸친 취약점을 알고 있다. 드론을 통해 기업 환경 내에 악성코드가 침투될 우려가 제기되자 드론 관련 기기가 기업 네트워크에 연결되지 못하도록 중간에 ‘에어 갭(air...

드론 사이버공격 상용드론

2022.04.25

필수 인프라 운영자, 사법 당국, 각 정부 기관은 드론을 일상 업무에 적극적으로 활용 중이다. 전통적인 인프라는 물론 농업, 제조업, 수도/전기, 석유/가스, 광업, 중공업까지 드론의 응용 분야는 다양하다. 그리고 드론 제조업체와 최종 사용자들은 엔터프라이즈와 연결된 모든 요소에 ‘각 드론과 드론 편대, 클라우드/엔터프라이즈 기능, 이들 사이의 모든 통신을 아우르는 강력한 능력’이 있다는 사실을 이제서야 인식하기 시작했다.   드론, ‘하늘을 나는 컴퓨터’이자 공격 벡터 드론 시스템은 잠재적인 취약점에도 불구하고 높은 수준의 보안 아키텍처를 사용하지 않는 경우가 많다. 경영 컨설팅 기업 KPMG의 전략 및 현식 책임자 조노 앤더슨은 “드론이 서로 연결된 시스템에서는 드론 내부와 주변 간 통신이 복잡해지면서 여러 개의 공격 벡터가 생긴다. 그 결과, 개별 드론이나 드론 편대의 필수 시스템뿐 아니라 전체 클라우드 및 엔터프라이즈마저 위험에 노출될 가능성이 있다”라고 말했다. 드론 운영에는 검증된 장점도 있지만 심각한 사이버보안 위험도 따른다. 기본적으로 드론은 ‘하늘을 나는 컴퓨터’이므로 컴퓨터처럼 숱한 사이버 위협이 발생할 수 있다. EY의 기술 컨설팅 부문 선임 관리자 조슈아 테이머는 “대부분 조직은 드론이 주/연방 규정을 준수하는지에 집중한다”라고 말했다. 오늘날 드론은 제조업체 소유인 경우가 많으므로 드론이 사용되는 생태계를 적절히 보호할 ‘기본적이고 조직적인 보안 전략’을 갖추는 것이 매우 중요하다.  그동안 드론 제조업체나 사용자에게 사이버보안은 주요 우선순위가 아니었다. 그러나 테이머는 보안 분야에 정통한 사람은 드론의 취약점을 잘 인지하고 있다고 말했다. 대표적인 예가 드론 리버스 엔지니어링 종사자다. 이들은 일반적으로 여러 드론과 제조업체에 걸친 취약점을 알고 있다. 드론을 통해 기업 환경 내에 악성코드가 침투될 우려가 제기되자 드론 관련 기기가 기업 네트워크에 연결되지 못하도록 중간에 ‘에어 갭(air...

2022.04.25

러시아 기반 사이버 공격에 대비하는 10가지 방법

미국 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 최근 점진적으로 전개되는 러시아와 우크라이나의 충돌에 대응해 쉴드업(Shields Up) 주의보를 발령했다. 또한, 러시아 정부가 지난 10년 동안 사이버를 군사 작전의 핵심 요소로 사용해왔으며 우크라이나 외 다른 국가에도 교란 작전을 펼칠 수 있다고 경고했다. 현재 사용자는 기업을 보호하기 위해 어떤 조치를 취해야 할까? 재빠르게 움직여 네트워크를 변경할 필요는 없다. 네트워크를 검토하고 미래의 변화에 대비하는 데 필요한 조치는 다음과 같다.     사고 대응 계획을 검토 및 업데이트 사고 대응 계획을 검토한다. 계획이 최근 상황에 맞는지, 러시아가 우크라이나에 시전 중인 파괴적 공격 유형을 다루는지 여부를 확인할 필요가 있다.   파괴적 공격에 대한 공개된 강화 조언 준수 맨디언트(Mandiant)의 파괴적 공격에 대비하는 강화(Hardening to Protect Against Destructive Attacks) 지침을 검토한다. 맨디언트와 CISA가 지적한 것처럼, 우선 네트워크에 대한 모든 원격 액세스를 검토하고 다요소 인증(Multi-factor Authentication, MFA)을 구성한다. 2요소 인증 애플리케이션이나 입력할 숫자를 제공하는 토큰 여부와 관계없이 단순한 비밀번호 외에 추가적인 인증 없이 원격으로 로그인할 수 없다.   위협 정보에 대한 외부 소스 활용 도구 활용 여부에 관계없이 포럼에 참석하거나 채팅 중인 직원은 정보를 공유하고 신뢰할 수 있는 조언을 얻는 방법이 있다. 바로 산업별 정보를 찾는 것이다. 현재 이런 리소스가 없다면 미국의 인프라가드(Infragard)와 같은 정부 채널과 자국 내 로컬 컴퓨터 보안 리소스를 살펴보는 방법도 있다. 모두에게 제공되는 다른 리소스는 CISA 외에도 호주 사이버 보안 센터(Australian Cyber Sec...

러시아 사이버공격 보안위협

2022.03.10

미국 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 최근 점진적으로 전개되는 러시아와 우크라이나의 충돌에 대응해 쉴드업(Shields Up) 주의보를 발령했다. 또한, 러시아 정부가 지난 10년 동안 사이버를 군사 작전의 핵심 요소로 사용해왔으며 우크라이나 외 다른 국가에도 교란 작전을 펼칠 수 있다고 경고했다. 현재 사용자는 기업을 보호하기 위해 어떤 조치를 취해야 할까? 재빠르게 움직여 네트워크를 변경할 필요는 없다. 네트워크를 검토하고 미래의 변화에 대비하는 데 필요한 조치는 다음과 같다.     사고 대응 계획을 검토 및 업데이트 사고 대응 계획을 검토한다. 계획이 최근 상황에 맞는지, 러시아가 우크라이나에 시전 중인 파괴적 공격 유형을 다루는지 여부를 확인할 필요가 있다.   파괴적 공격에 대한 공개된 강화 조언 준수 맨디언트(Mandiant)의 파괴적 공격에 대비하는 강화(Hardening to Protect Against Destructive Attacks) 지침을 검토한다. 맨디언트와 CISA가 지적한 것처럼, 우선 네트워크에 대한 모든 원격 액세스를 검토하고 다요소 인증(Multi-factor Authentication, MFA)을 구성한다. 2요소 인증 애플리케이션이나 입력할 숫자를 제공하는 토큰 여부와 관계없이 단순한 비밀번호 외에 추가적인 인증 없이 원격으로 로그인할 수 없다.   위협 정보에 대한 외부 소스 활용 도구 활용 여부에 관계없이 포럼에 참석하거나 채팅 중인 직원은 정보를 공유하고 신뢰할 수 있는 조언을 얻는 방법이 있다. 바로 산업별 정보를 찾는 것이다. 현재 이런 리소스가 없다면 미국의 인프라가드(Infragard)와 같은 정부 채널과 자국 내 로컬 컴퓨터 보안 리소스를 살펴보는 방법도 있다. 모두에게 제공되는 다른 리소스는 CISA 외에도 호주 사이버 보안 센터(Australian Cyber Sec...

2022.03.10

"랜섬웨어, 피싱, 제조업, 아시아" 2021년 주요 사이버 공격 키워드

IBM 시큐리티(IBM Security)의 연례 보고서 ‘엑스포스 위협 인텔리전스 인덱스(X-Force Threat Intelligence Index)’에 따르면, 2021년 기업의 주요 사이버보안 문제는 ‘랜섬웨어’와 ‘피싱’이었으며, 아시아에서 가장 많은 사이버 공격이 발생했다. 해당 보고서는 IBM의 위협 정보 공유 플랫폼 엑스포스(X-Force)가 관찰한 트렌드와 패턴을 종합한 것으로, 네트워크 및 엔드포인트 탐지 기기와 같은 주요 데이터 포인트와 침해사고 대응(Incident Response, IR)R까지 포괄적으로 다뤘다.    보고서에 따르면, 2021년의 최상위 공격 유형은 랜섬웨어이며, 피싱과 패치되지 않은 취약점이 가장 많이 사용된 공격 벡터였다. 또 클라우드와 오픈소스, 도커 같은 환경에 가장 초점을 맞춘 악성코드가 증가했으며, 가장 많은 사이버 공격을 받는 업종은 제조업, 지역은 아시아인 것으로 조사됐다.  정부의 감시에도 확산한 랜섬웨어 IBM 시큐리티의 조사 결과 랜섬웨어는 2021년 전체 사이버 공격의 21%를 차지했다. 이는 2020년보다 2% 감소한 수치다. IBM 시큐리티는 2021년 많은 정부가 랜섬웨어에 주목하면서 공격 건수가 줄었지만, 2022년에는 다시 증가할 가능성이 높다고 예상했다. 2021년 발생한 랜섬웨어 공격의 37%는 레빌(REvil)이 사용됐고, 류크(Ryuk)가 13%, 록빗 2.0(Lockbit 2.0)이 7%로 뒤를 이었다. 이외에 2021년 사이버 공격에 사용된 랜섬웨어는 다크사이드(DarkSide), 크리스탈(Crystal), 블랙매터(BlackMatter), 라그나로커(Ragnar Locker), 비트록커(BitLocker), 메두사(Medusa), E킹(Eking), 엑소리스트(Xorist)가 있다. 보고서에 따르면, 랜섬웨어 공격 집단의 평균 수명은 평균 17개월이다. IBM 시큐리티 엑스포스의 사고대응 부문 글로벌 총괄 로렌스 다인은 “...

IBM시큐리티 보고서 랜섬웨어 사이버공격

2022.03.02

IBM 시큐리티(IBM Security)의 연례 보고서 ‘엑스포스 위협 인텔리전스 인덱스(X-Force Threat Intelligence Index)’에 따르면, 2021년 기업의 주요 사이버보안 문제는 ‘랜섬웨어’와 ‘피싱’이었으며, 아시아에서 가장 많은 사이버 공격이 발생했다. 해당 보고서는 IBM의 위협 정보 공유 플랫폼 엑스포스(X-Force)가 관찰한 트렌드와 패턴을 종합한 것으로, 네트워크 및 엔드포인트 탐지 기기와 같은 주요 데이터 포인트와 침해사고 대응(Incident Response, IR)R까지 포괄적으로 다뤘다.    보고서에 따르면, 2021년의 최상위 공격 유형은 랜섬웨어이며, 피싱과 패치되지 않은 취약점이 가장 많이 사용된 공격 벡터였다. 또 클라우드와 오픈소스, 도커 같은 환경에 가장 초점을 맞춘 악성코드가 증가했으며, 가장 많은 사이버 공격을 받는 업종은 제조업, 지역은 아시아인 것으로 조사됐다.  정부의 감시에도 확산한 랜섬웨어 IBM 시큐리티의 조사 결과 랜섬웨어는 2021년 전체 사이버 공격의 21%를 차지했다. 이는 2020년보다 2% 감소한 수치다. IBM 시큐리티는 2021년 많은 정부가 랜섬웨어에 주목하면서 공격 건수가 줄었지만, 2022년에는 다시 증가할 가능성이 높다고 예상했다. 2021년 발생한 랜섬웨어 공격의 37%는 레빌(REvil)이 사용됐고, 류크(Ryuk)가 13%, 록빗 2.0(Lockbit 2.0)이 7%로 뒤를 이었다. 이외에 2021년 사이버 공격에 사용된 랜섬웨어는 다크사이드(DarkSide), 크리스탈(Crystal), 블랙매터(BlackMatter), 라그나로커(Ragnar Locker), 비트록커(BitLocker), 메두사(Medusa), E킹(Eking), 엑소리스트(Xorist)가 있다. 보고서에 따르면, 랜섬웨어 공격 집단의 평균 수명은 평균 17개월이다. IBM 시큐리티 엑스포스의 사고대응 부문 글로벌 총괄 로렌스 다인은 “...

2022.03.02

이머커스 활황 속에서 기업이 ‘웹 스키밍’에 대처하는 방법

웹 스키밍(Web Skimming) 공격은 지난 몇 년 동안 온라인 상점을 괴롭혀온 대표적인 사이버 공격이다. 스크립트를 결제 양식에 삽입하는 단순한 공격이 있는가 하면, 합법적인 서드파티 스크립트 및 서비스를 훼손하는 고도화된 공격도 있다. 사이버 공격 집단 메이지카트(Magecart)의 공격으로 잘 알려진 웹 스키밍은 카드 부재(Card-Not-Present, CNP) 사기의 가장 큰 원인이었고, 크고 작은 브랜드와 여러 유형의 전자상거래 플랫폼에 악영향을 끼쳤다.    미국의 종합 유통기업 타깃(Target)은 몇 년 전부터 웹 스키밍 위협에 대항해 자사 플랫폼에서 쇼핑하는 사용자를 보호하기 위한 해법을 모색했다. 이미 만들어진 웹 스키밍 탐지 툴이 없었기 때문에 타깃의 보안 엔지니어 2명이 자체적으로 개발하기로 결정했다. 타깃이 개발한 클라이언트 측 스캐너는 타깃닷컴(Target.com)에서 3년 이상 활발하게 사용된 끝에, 메리 메이커(Merry Maker)라는 이름의 오픈소스 프로젝트로 깃허브에 공개됐다. 타깃은 블로그에서 “메리 메이커는 온라인 브라우징을 가상으로 계속 진행하면서 테스트 거래를 완수하며 악성코드의 존재를 검사한다. 메리 메이커는 온라인 구매 같은 일반적인 활동을 하는 타깃닷컴의 사용자처럼 행동한다. 그러는 동안 네트워크 요청, 자바스크립트 파일, 브라우저 활동과 같은 각종 정보를 수집 및 분석해 어떤 식으로든 부적절한 행동이 있는지 판단한다”라고 설명했다.  카드 스키밍과 웹 스키밍이란? 카드 스키밍(Card Skimming)은 악성 기기 또는 메커니즘을 정당한 거래 지점에 삽입해 카드의 상세 정보를 입수하는 공격으로, 일종의 중간자 공격(Man-in-the-Middle Attack)이다. 스키밍 기기는 물리적으로 ATM이나 주유소 결제 단말기의 카드 슬롯에 부착돼 카드의 자성 띠에 암호화된 데이터를 획득한다. 공격자는 단말기에 소형 카메라나 PIN 패드 덮개를 부착해 사용자가 입력한 PIN 번호...

웹스키밍 카드스키밍 카드부재 온라인쇼핑 사이버공격

2022.02.10

웹 스키밍(Web Skimming) 공격은 지난 몇 년 동안 온라인 상점을 괴롭혀온 대표적인 사이버 공격이다. 스크립트를 결제 양식에 삽입하는 단순한 공격이 있는가 하면, 합법적인 서드파티 스크립트 및 서비스를 훼손하는 고도화된 공격도 있다. 사이버 공격 집단 메이지카트(Magecart)의 공격으로 잘 알려진 웹 스키밍은 카드 부재(Card-Not-Present, CNP) 사기의 가장 큰 원인이었고, 크고 작은 브랜드와 여러 유형의 전자상거래 플랫폼에 악영향을 끼쳤다.    미국의 종합 유통기업 타깃(Target)은 몇 년 전부터 웹 스키밍 위협에 대항해 자사 플랫폼에서 쇼핑하는 사용자를 보호하기 위한 해법을 모색했다. 이미 만들어진 웹 스키밍 탐지 툴이 없었기 때문에 타깃의 보안 엔지니어 2명이 자체적으로 개발하기로 결정했다. 타깃이 개발한 클라이언트 측 스캐너는 타깃닷컴(Target.com)에서 3년 이상 활발하게 사용된 끝에, 메리 메이커(Merry Maker)라는 이름의 오픈소스 프로젝트로 깃허브에 공개됐다. 타깃은 블로그에서 “메리 메이커는 온라인 브라우징을 가상으로 계속 진행하면서 테스트 거래를 완수하며 악성코드의 존재를 검사한다. 메리 메이커는 온라인 구매 같은 일반적인 활동을 하는 타깃닷컴의 사용자처럼 행동한다. 그러는 동안 네트워크 요청, 자바스크립트 파일, 브라우저 활동과 같은 각종 정보를 수집 및 분석해 어떤 식으로든 부적절한 행동이 있는지 판단한다”라고 설명했다.  카드 스키밍과 웹 스키밍이란? 카드 스키밍(Card Skimming)은 악성 기기 또는 메커니즘을 정당한 거래 지점에 삽입해 카드의 상세 정보를 입수하는 공격으로, 일종의 중간자 공격(Man-in-the-Middle Attack)이다. 스키밍 기기는 물리적으로 ATM이나 주유소 결제 단말기의 카드 슬롯에 부착돼 카드의 자성 띠에 암호화된 데이터를 획득한다. 공격자는 단말기에 소형 카메라나 PIN 패드 덮개를 부착해 사용자가 입력한 PIN 번호...

2022.02.10

네트워크에 침입자가 있다?··· 취해야 할 12단계 조치

CISO는 사고에 신속하고 효과적으로 대응해야 한다는 것을 인지하고 있다. 하지만 한 설문조사 결과 이런 목표를 실제로 달성하는 것은 여전히 어려운 것으로 나타났다.   IT 업체 크롤(Kroll), 레드 카나리(Red Canary), VM웨어가 400명 이상의 IS 전문가와 100명 이상의 법률 및 규정 준수 담당자를 대상으로 실시한 ‘사고 대응 현황 2021’ 조사 결과에 따르면, 응답자의 45%는 기업의 탐지 및 대응 리소스가 부족하다고 답했다. 55%는 사고 억제에 소요되는 시간과 사고 대응 자동화 측면에서 개선이 필요하다고 답했다. 사고 대응 개선에 투자해야 하는 이유는 명확하다. 시스코는 지난 2021년 12월에 발표한 ‘보안 결과 연구 보고서 제2편’에서 사이버보안 프로그램의 성공을 이끄는 5가지 핵심 요소를 언급했다. 5가지 핵심 요소 중에는 정확한 조기 위협 탐지, 신속한 사고 대응, 재해 발생 시 즉각 복구할 수 있는 역량이 포함됐다. CISO에게는 이 세 가지 요소를 실천하기 위한 세부적인 사이버 사고 대응 계획이 필요하다. 연습을 통해 해커 공격 시 타격을 입을 수 있는 결함을 파악하고, 실제 사고가 발생할 때 최적으로 대응할 수 있도록 주기적으로 훈련해야 한다. IT 컨설팅 업체 캡제미니(Capgemini)의 글로벌 사이버보안 포트폴리오 책임자인 조 맥맨은 “실제 사고가 발생한 시점은 이런 모든 것을 파악하기엔 이미 늦었다”라고 말했다. 철저한 대비를 위해 기업의 사이버보안팀은 정확한 자산 인벤토리와 IT 환경의 모든 영역에 대한 시야를 확보해야 한다. 기업의 핵심 시스템이 무엇인지를 알아야 하며, 해커가 핵심 시스템 침입을 시도할 때 어떻게 대응해야 하는지도 숙지해야 한다. 네트워크 내에 활성 공격자가 있을 때 신속하게, 사이버보안팀이 거의 동시다발적으로 취해야 하는 중요한 단계는 다음과 같다. 1. 경보 발령 포레스터 컨설팅과 팔로 알토 네트웍스의 ‘2021년 보안 운영 현황 보고서’에 따르면, ...

보안관리 사고대응 보안사고대응 사이버공격

2022.02.04

CISO는 사고에 신속하고 효과적으로 대응해야 한다는 것을 인지하고 있다. 하지만 한 설문조사 결과 이런 목표를 실제로 달성하는 것은 여전히 어려운 것으로 나타났다.   IT 업체 크롤(Kroll), 레드 카나리(Red Canary), VM웨어가 400명 이상의 IS 전문가와 100명 이상의 법률 및 규정 준수 담당자를 대상으로 실시한 ‘사고 대응 현황 2021’ 조사 결과에 따르면, 응답자의 45%는 기업의 탐지 및 대응 리소스가 부족하다고 답했다. 55%는 사고 억제에 소요되는 시간과 사고 대응 자동화 측면에서 개선이 필요하다고 답했다. 사고 대응 개선에 투자해야 하는 이유는 명확하다. 시스코는 지난 2021년 12월에 발표한 ‘보안 결과 연구 보고서 제2편’에서 사이버보안 프로그램의 성공을 이끄는 5가지 핵심 요소를 언급했다. 5가지 핵심 요소 중에는 정확한 조기 위협 탐지, 신속한 사고 대응, 재해 발생 시 즉각 복구할 수 있는 역량이 포함됐다. CISO에게는 이 세 가지 요소를 실천하기 위한 세부적인 사이버 사고 대응 계획이 필요하다. 연습을 통해 해커 공격 시 타격을 입을 수 있는 결함을 파악하고, 실제 사고가 발생할 때 최적으로 대응할 수 있도록 주기적으로 훈련해야 한다. IT 컨설팅 업체 캡제미니(Capgemini)의 글로벌 사이버보안 포트폴리오 책임자인 조 맥맨은 “실제 사고가 발생한 시점은 이런 모든 것을 파악하기엔 이미 늦었다”라고 말했다. 철저한 대비를 위해 기업의 사이버보안팀은 정확한 자산 인벤토리와 IT 환경의 모든 영역에 대한 시야를 확보해야 한다. 기업의 핵심 시스템이 무엇인지를 알아야 하며, 해커가 핵심 시스템 침입을 시도할 때 어떻게 대응해야 하는지도 숙지해야 한다. 네트워크 내에 활성 공격자가 있을 때 신속하게, 사이버보안팀이 거의 동시다발적으로 취해야 하는 중요한 단계는 다음과 같다. 1. 경보 발령 포레스터 컨설팅과 팔로 알토 네트웍스의 ‘2021년 보안 운영 현황 보고서’에 따르면, ...

2022.02.04

사이버 공격에 맞서 윈도우 네트워크를 방어하는 방법

러시아가 우크라이나에 가한 사이버 공격은 반드시 데이터 탈취, 금전 요구의 목적 만은 아니라는 것을 상기시킨다. 러시아는 가끔 별다른 의도 없이 최대한 큰 피해를 입히고 싶은 것이다. 최근 마이크로소프트와 맨디언트(Mandiant)는 러시아의 파괴적인 공격과 이를 효과적으로 방어하는 방법을 발표했다.   지리적 위치에 관계없이 이런 공격이 발생하고 완화되는 방식으로부터 배울 점이 있다. 공격의 파괴력은 어마어마했다. 마이크로소프트가 자사 블로그를 통해 밝힌 것처럼, 이번 사건에서 악성코드는 마스터 부트 레코드(Master Boot Record, MBR)를 덮어쓰기 했으며, 복구 메커니즘은 존재하지 않는다. 이제 시스템은 부팅도, 수리도 불가능하다. 시스템을 모두 백업해 전체 재설치 혹은 복구만 할 수 있다. 따라서 워크스테이션 이미지 전체를 재배치하거나 플랫폼을 합적으로 복구할 수 있는 기능이 있는 툴과 리소스가 필요하다. 맨디언트 문서는 이와 유사한 공격에 따른 피해 및 파괴로부터 사용자 스스로를 보호할 수 있는 최선의 방법에 관한 실용적인 정보를 포함한다. 맨디언트가 밝힌 보안 조치는 다음과 같다.   다중 인증을 통한 외장 기기 보호 맨디언트는 외부 장치부터 보안 조치를 취하도록 권고한다. 사용자 내부 네트워크는 사실 연약하며, 이를 단단한 껍질로 감싸고 있는 것이 외장 기기인 것이다. 외부가 뚫리면 사무실 리소스 안에서 횡적 공격을 시도하는 것은 비교적 쉽다. 따라서 외장 기기든, 이 외에도 원격 액세스를 허용하는 모든 장치에 대해 다중 인증의 필요 여부를 먼저 검토해야 한다. 그 누구도 사용자 이름과 비밀번호만으로 로그인할 수 있어서는 안 된다. 모든 단말기를 검사해 기기가 간단한 비밀번호가 아닌, 인증 앱을 원래 지원하는지 여부를 확인해야 한다. 다만, 항상 절대적으로 안전할 필요는 없으며, 근접한 네트워크보다 조금 더 안전한 정도이면 된다.   네트워크 상의 고가치 표적 파악 네트워크를 검사해 파괴적 공격의 대상이...

사이버공격 윈도우네트워크 보안

2022.02.03

러시아가 우크라이나에 가한 사이버 공격은 반드시 데이터 탈취, 금전 요구의 목적 만은 아니라는 것을 상기시킨다. 러시아는 가끔 별다른 의도 없이 최대한 큰 피해를 입히고 싶은 것이다. 최근 마이크로소프트와 맨디언트(Mandiant)는 러시아의 파괴적인 공격과 이를 효과적으로 방어하는 방법을 발표했다.   지리적 위치에 관계없이 이런 공격이 발생하고 완화되는 방식으로부터 배울 점이 있다. 공격의 파괴력은 어마어마했다. 마이크로소프트가 자사 블로그를 통해 밝힌 것처럼, 이번 사건에서 악성코드는 마스터 부트 레코드(Master Boot Record, MBR)를 덮어쓰기 했으며, 복구 메커니즘은 존재하지 않는다. 이제 시스템은 부팅도, 수리도 불가능하다. 시스템을 모두 백업해 전체 재설치 혹은 복구만 할 수 있다. 따라서 워크스테이션 이미지 전체를 재배치하거나 플랫폼을 합적으로 복구할 수 있는 기능이 있는 툴과 리소스가 필요하다. 맨디언트 문서는 이와 유사한 공격에 따른 피해 및 파괴로부터 사용자 스스로를 보호할 수 있는 최선의 방법에 관한 실용적인 정보를 포함한다. 맨디언트가 밝힌 보안 조치는 다음과 같다.   다중 인증을 통한 외장 기기 보호 맨디언트는 외부 장치부터 보안 조치를 취하도록 권고한다. 사용자 내부 네트워크는 사실 연약하며, 이를 단단한 껍질로 감싸고 있는 것이 외장 기기인 것이다. 외부가 뚫리면 사무실 리소스 안에서 횡적 공격을 시도하는 것은 비교적 쉽다. 따라서 외장 기기든, 이 외에도 원격 액세스를 허용하는 모든 장치에 대해 다중 인증의 필요 여부를 먼저 검토해야 한다. 그 누구도 사용자 이름과 비밀번호만으로 로그인할 수 있어서는 안 된다. 모든 단말기를 검사해 기기가 간단한 비밀번호가 아닌, 인증 앱을 원래 지원하는지 여부를 확인해야 한다. 다만, 항상 절대적으로 안전할 필요는 없으며, 근접한 네트워크보다 조금 더 안전한 정도이면 된다.   네트워크 상의 고가치 표적 파악 네트워크를 검사해 파괴적 공격의 대상이...

2022.02.03

칼럼 | 러-우 갈등, 사이버 공격은 이미 진행 중

사이버 전쟁은 총알은 발사되지 않지만 수많은 희생자를 낳는다. 많은 사람이 정전된 응급실이나 끊어진 의료 통신망, 폭동으로 사망한다. 이런 사건은 예전에도 있었지만 또 다시 발생할 것이다.   현재 러시아가 우크라이나를 침투할 태세를 갖추고 있고 러시아의 사이버 공격이 이미 진행 중인가운데, 제2차 세계 대전 이후 최초의 주요 유럽 국가 간 전쟁으로 번질 것으로 보인다. 지금으로서는 이를 계기로 제3차 세계 대전이 발발하지 않기를 바라는 것 외에 손쓸 방법이 없다. 만약 제3차 세계 대전이 실제로 발생한다면, 러시아 주력 전차인 T-90 때문이 아닐 것이다. 러시아 정보총국(GRU) 산하 해커 집단인 샌드웜(Sandworm)이 유럽 연합 회원국의 전력망을 파괴하거나 구글과 페이스북, 마이크로소프트와 같은 미국의 주요 인터넷 사이트를 마비시키고, 4G 및 5G 셀룰러 서비스를 중단하는 사이버 공격을 감행할 것으로 보인다. 이 모든 것이 톰 클랜시의 현대판 군사 소설이면 좋겠지만, 실제로 현실에서 일어나고 있다. 지난주 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 중요한 인프라의 운영자는 사이버 위협에 대응해 긴급하게, 빠른 시일 내로 조치를 취해야 한다고 공시했다. 과거 러시아가 우크라이나의 IT 인프라를 표적으로 삼았을 때 서방 국가 역시 공격을 받았을 때만큼 러시아가 미국이나 영국의 기술 자원을 노릴 가능성에 대한 우려는 그렇게 크지 않다. 멀웨어는 국경을 넘나들며 전파된다. 낫페트야(NotPetya), 워너크라이(WannaCry)와 같은 과거의 멀웨어는 단일 국가를 시초로 원래 표적을 넘어 빠른 속도로 퍼졌다. 이들은 지금도 문제를 일으키고 있다. 우크라이나를 겨냥한 러시아의 사이버 공격은 이미 시작됐다. 1월 14일, ‘두려워하라 그리고 최악을 예상하라’라고 경고하며 우크라이나 정부 웹사이트에 대규모 공격을 가했다. 이 경고는 기사 제목에 많...

사이버공격 러시아 해커 멀웨어

2022.01.27

사이버 전쟁은 총알은 발사되지 않지만 수많은 희생자를 낳는다. 많은 사람이 정전된 응급실이나 끊어진 의료 통신망, 폭동으로 사망한다. 이런 사건은 예전에도 있었지만 또 다시 발생할 것이다.   현재 러시아가 우크라이나를 침투할 태세를 갖추고 있고 러시아의 사이버 공격이 이미 진행 중인가운데, 제2차 세계 대전 이후 최초의 주요 유럽 국가 간 전쟁으로 번질 것으로 보인다. 지금으로서는 이를 계기로 제3차 세계 대전이 발발하지 않기를 바라는 것 외에 손쓸 방법이 없다. 만약 제3차 세계 대전이 실제로 발생한다면, 러시아 주력 전차인 T-90 때문이 아닐 것이다. 러시아 정보총국(GRU) 산하 해커 집단인 샌드웜(Sandworm)이 유럽 연합 회원국의 전력망을 파괴하거나 구글과 페이스북, 마이크로소프트와 같은 미국의 주요 인터넷 사이트를 마비시키고, 4G 및 5G 셀룰러 서비스를 중단하는 사이버 공격을 감행할 것으로 보인다. 이 모든 것이 톰 클랜시의 현대판 군사 소설이면 좋겠지만, 실제로 현실에서 일어나고 있다. 지난주 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 중요한 인프라의 운영자는 사이버 위협에 대응해 긴급하게, 빠른 시일 내로 조치를 취해야 한다고 공시했다. 과거 러시아가 우크라이나의 IT 인프라를 표적으로 삼았을 때 서방 국가 역시 공격을 받았을 때만큼 러시아가 미국이나 영국의 기술 자원을 노릴 가능성에 대한 우려는 그렇게 크지 않다. 멀웨어는 국경을 넘나들며 전파된다. 낫페트야(NotPetya), 워너크라이(WannaCry)와 같은 과거의 멀웨어는 단일 국가를 시초로 원래 표적을 넘어 빠른 속도로 퍼졌다. 이들은 지금도 문제를 일으키고 있다. 우크라이나를 겨냥한 러시아의 사이버 공격은 이미 시작됐다. 1월 14일, ‘두려워하라 그리고 최악을 예상하라’라고 경고하며 우크라이나 정부 웹사이트에 대규모 공격을 가했다. 이 경고는 기사 제목에 많...

2022.01.27

맨디언트, 2022년 보안 시장 전망 보고서 발표··· 14가지 사이버 보안 예측 포함

맨디언트는 11월 4일, ‘2022년 보안 시장 전망’ 보고서를 발표했다. 이번 보고서에는 2022년 이후 일어날 수 있는 14가지 사이버 보안 예측이 포함됐다.    맨디언트는 이번 보고서에서 공격자들은 피해 조직으로부터 돈을 갈취하기 위한 방안을 계속 모색하고 새로운 랜섬웨어 전술을 강구할 것으로 전망했다. 랜섬웨어 피해 조직들은 몸값으로 수백만 달러를 지불하겠지만, 그럼에도 불구하고 공격자에 의해 도난 데이터가 유출되는 빈도 수가 증가할 것으로 보인다. 2022년에도 공격자는 OT(Operational Technology) 공간을 계속 노리며 랜섬웨어를 활용한 공격을 확대할 것으로 예상된다. 보고서는 탈레반의 통제와 미군의 아프가니스탄 철수로, 맨디언트 전문가들은 사이버 스파이 활동과 정보작전이 확대될 것으로 예측했다. 북한은 사이버 공격 기술을 동원해 다른 부족한 국력 수단을 보완할 것으로 보인다. 맨디언트는 2022년에는 딥페이크 기술이 더욱 널리 보급됨에 따라, 범죄 및 스파이 공격자가 더욱 설득력 있는 사회공학 기법을 위해, 조작된 미디어(manipulated media)를 탈취 작전에 통합할 것으로 전망했다.   보고서에 따르면, IoT 기기 취약점이 소프트웨어와 하드웨어에서 모두 늘어나며 버그헌터가 버그를 추적하는 것이 더욱 어려워질 것으로 전망된다. 다양한 탈취 공격이 더욱 활발해짐에 따라 과거와 다르게 아시아태평양 및 일본(APJ) 지역의 데이터 침해 및 유출이 더욱 빈번하게 발생할 것으로 예측된다고 업체 측은 설명했다. ciokr@idg.co.kr

맨디언트 보안 랜섬웨어 사이버공격

2021.11.04

맨디언트는 11월 4일, ‘2022년 보안 시장 전망’ 보고서를 발표했다. 이번 보고서에는 2022년 이후 일어날 수 있는 14가지 사이버 보안 예측이 포함됐다.    맨디언트는 이번 보고서에서 공격자들은 피해 조직으로부터 돈을 갈취하기 위한 방안을 계속 모색하고 새로운 랜섬웨어 전술을 강구할 것으로 전망했다. 랜섬웨어 피해 조직들은 몸값으로 수백만 달러를 지불하겠지만, 그럼에도 불구하고 공격자에 의해 도난 데이터가 유출되는 빈도 수가 증가할 것으로 보인다. 2022년에도 공격자는 OT(Operational Technology) 공간을 계속 노리며 랜섬웨어를 활용한 공격을 확대할 것으로 예상된다. 보고서는 탈레반의 통제와 미군의 아프가니스탄 철수로, 맨디언트 전문가들은 사이버 스파이 활동과 정보작전이 확대될 것으로 예측했다. 북한은 사이버 공격 기술을 동원해 다른 부족한 국력 수단을 보완할 것으로 보인다. 맨디언트는 2022년에는 딥페이크 기술이 더욱 널리 보급됨에 따라, 범죄 및 스파이 공격자가 더욱 설득력 있는 사회공학 기법을 위해, 조작된 미디어(manipulated media)를 탈취 작전에 통합할 것으로 전망했다.   보고서에 따르면, IoT 기기 취약점이 소프트웨어와 하드웨어에서 모두 늘어나며 버그헌터가 버그를 추적하는 것이 더욱 어려워질 것으로 전망된다. 다양한 탈취 공격이 더욱 활발해짐에 따라 과거와 다르게 아시아태평양 및 일본(APJ) 지역의 데이터 침해 및 유출이 더욱 빈번하게 발생할 것으로 예측된다고 업체 측은 설명했다. ciokr@idg.co.kr

2021.11.04

자회사 많은 기업일수록 사이버 보안 위협에 취약

오스터만 리서치 보고서에 따르면, 여러 개의 자회사를 보유한 글로벌 기업이 자회사가 더 적거나 없는 기업에 비해 사이버 보안 위협에 더 많이 노출되고 위험 관리에 어려움을 겪고 있다.   이번 연구는 최소 10곳의 자회사 및 3,000명의 직원을 보유하거나 연간 수익이 10억 달러인 기업201곳을 대상으로 시행됐다. 응답 기업의 약 67%가 효과적인 자회사 리스크 관리 운영에 대해 매우 자신만만해 하지만, 자회사를 겨냥한 사이버 공격을 당했거나 이런 위협 가능성을 배제할 수 있는 능력이나 정보가 부족하다고 답했다. 설문 응답자의 절반 가량은 내일 당장 사이버 해킹이 발생해도 놀라지 않을 것이라고 인정했다. 응답자는 사이버 보안 및 규정 준수 또는 위험 관리 직무를 담당했다. 조사 대상에 포함된 모든 기업은 자회사 리스크를 모니터링하는 전담 인력을 보유하고 있었다. 오스터만 리서치 선임 애널리스트 미셸 삼손은 "기업이 막 인수한 자회사보다 업력이 수년 이상 되는 자회사를 보유한 기업이 직면한 위협과 리스크를 파악하고자 했다. 또한, 사이버 보안 문제와 리스크가 계속 변하고 있다는 점을 고려하면 기업이 사이버 공격이 없는, 깨끗한 환경을 유지해도 새로운 취약점이 발견되거나 부각되면 시간이 지남에 따라 또다시 상황은 악화될 것이라고 확신한다”라고 말했다. 삼손은 자회사가 알지 못하는, 혹은 모회사에게 알리지 않은 자산과 데이터 소스가 노출될 경우, 취약점이 간과돼 추후 중대한 문제로 번질 수 있다고 경고했다.   다양한 사이버 보안 위협에 직면한 자회사 보고서는 보안을 어기는 컴플라이언스와 복잡한 온보딩 프로세스, 뜸하고 긴 리스크 관리 프로세스, 수동 툴 남용, 수정 및 결과 지연에 중점을 두는 관행이 자회사 리스크 관리를 방해하는 주요 장애물로 강조했다. 보고서에 따르면, 기업을 둘러싼 거시적 트렌드와 환경이 실제 보안 운영에 영향을 미치고 있다. 예컨대 자회사의 가장 중요한 관심사에 대해 팬데믹으로 인한 디지털 트렌스포메이션이라고...

보안 사이버보안 사이버공격

2021.11.03

오스터만 리서치 보고서에 따르면, 여러 개의 자회사를 보유한 글로벌 기업이 자회사가 더 적거나 없는 기업에 비해 사이버 보안 위협에 더 많이 노출되고 위험 관리에 어려움을 겪고 있다.   이번 연구는 최소 10곳의 자회사 및 3,000명의 직원을 보유하거나 연간 수익이 10억 달러인 기업201곳을 대상으로 시행됐다. 응답 기업의 약 67%가 효과적인 자회사 리스크 관리 운영에 대해 매우 자신만만해 하지만, 자회사를 겨냥한 사이버 공격을 당했거나 이런 위협 가능성을 배제할 수 있는 능력이나 정보가 부족하다고 답했다. 설문 응답자의 절반 가량은 내일 당장 사이버 해킹이 발생해도 놀라지 않을 것이라고 인정했다. 응답자는 사이버 보안 및 규정 준수 또는 위험 관리 직무를 담당했다. 조사 대상에 포함된 모든 기업은 자회사 리스크를 모니터링하는 전담 인력을 보유하고 있었다. 오스터만 리서치 선임 애널리스트 미셸 삼손은 "기업이 막 인수한 자회사보다 업력이 수년 이상 되는 자회사를 보유한 기업이 직면한 위협과 리스크를 파악하고자 했다. 또한, 사이버 보안 문제와 리스크가 계속 변하고 있다는 점을 고려하면 기업이 사이버 공격이 없는, 깨끗한 환경을 유지해도 새로운 취약점이 발견되거나 부각되면 시간이 지남에 따라 또다시 상황은 악화될 것이라고 확신한다”라고 말했다. 삼손은 자회사가 알지 못하는, 혹은 모회사에게 알리지 않은 자산과 데이터 소스가 노출될 경우, 취약점이 간과돼 추후 중대한 문제로 번질 수 있다고 경고했다.   다양한 사이버 보안 위협에 직면한 자회사 보고서는 보안을 어기는 컴플라이언스와 복잡한 온보딩 프로세스, 뜸하고 긴 리스크 관리 프로세스, 수동 툴 남용, 수정 및 결과 지연에 중점을 두는 관행이 자회사 리스크 관리를 방해하는 주요 장애물로 강조했다. 보고서에 따르면, 기업을 둘러싼 거시적 트렌드와 환경이 실제 보안 운영에 영향을 미치고 있다. 예컨대 자회사의 가장 중요한 관심사에 대해 팬데믹으로 인한 디지털 트렌스포메이션이라고...

2021.11.03

“전 세계 주간 사이버 공격 40% 증가” 체크포인트 리서치 발표

체크포인트 소프트웨어 테크놀로지스의 위협 인텔리전스 부문 체크포인트 리서치(Check Point Research)가 10월 ‘사이버보안 인식의 달(Cybersecurity Awareness Month)’임에도 불구하고 지난해 대비 올해 전 세계 조직에 대한 주간 공격이 40% 증가했다고 26일 밝혔다. 전 세계적으로 각 조직에 대한 주간 평균 공격 건수는 2020년 3월 이전 몇 주간 소폭 감소한 후 올해까지 몇 달 동안 크게 증가했다. 2021년 9월 각 조직에 대한 주간 평균 공격 건수는 870건을 넘으며 전 세계 최고 수준에 도달했다. 이는 2020년 3월 공격 건수 대비 2배 이상 증가한 수치다. 특히, 한국의 2021년 조직을 대상으로 한 공격 횟수는 주간 평균 592건으로 조사됐으며, 지난 해 대비 올해의 증감율은 52%에 달한 것으로 나타났다.   가장 많은 사이버 공격의 표적이 된 지역은 아프리카였지만, 2020년에서 2021년 사이 사이버 공격이 가장 크게 증가한 지역은 유럽과 북미였다. 아프리카의 조직들은 2021년 현재까지 조직당 주간 평균 1,615건으로 가장 많은 공격을 받았다. 이는 지난해 대비 15% 증가한 수치다.  여기에 뒤이어 아태지역의 조직당 주간 평균 공격은 1,299건(20% 상승)이었으며, 주간 평균 1,117건(37% 상승)의 공격을 받은 라틴 아메리카, 665건(65% 상승)의 유럽, 497건(57% 상승)의 북미가 뒤를 이었다. 가장 많은 사이버 공격을 경험한 분야는 교육/연구 부문으로 조직당 주간 평균 1,468건(2020년 대비 60% 상승)의 공격이 발생했으며, 1,820건(40% 상승)의 정부/국방과 752건(55% 상승)의 헬스케어가 뒤를 이었다. 더불어 체크포인트 리서치는 전세계적으로 매 주 평균 61개 조직 중 한 곳은 랜섬웨어의 영향을 받았다고 밝혔다. 이는 2020년 대비 9% 상승한 수치이다. ISP/MSP 부문은 올 해 랜섬웨어 공격을 가장 많이 받은 산업이다. 2021...

체크포인트 리서치 사이버공격 멀웨어

2021.10.26

체크포인트 소프트웨어 테크놀로지스의 위협 인텔리전스 부문 체크포인트 리서치(Check Point Research)가 10월 ‘사이버보안 인식의 달(Cybersecurity Awareness Month)’임에도 불구하고 지난해 대비 올해 전 세계 조직에 대한 주간 공격이 40% 증가했다고 26일 밝혔다. 전 세계적으로 각 조직에 대한 주간 평균 공격 건수는 2020년 3월 이전 몇 주간 소폭 감소한 후 올해까지 몇 달 동안 크게 증가했다. 2021년 9월 각 조직에 대한 주간 평균 공격 건수는 870건을 넘으며 전 세계 최고 수준에 도달했다. 이는 2020년 3월 공격 건수 대비 2배 이상 증가한 수치다. 특히, 한국의 2021년 조직을 대상으로 한 공격 횟수는 주간 평균 592건으로 조사됐으며, 지난 해 대비 올해의 증감율은 52%에 달한 것으로 나타났다.   가장 많은 사이버 공격의 표적이 된 지역은 아프리카였지만, 2020년에서 2021년 사이 사이버 공격이 가장 크게 증가한 지역은 유럽과 북미였다. 아프리카의 조직들은 2021년 현재까지 조직당 주간 평균 1,615건으로 가장 많은 공격을 받았다. 이는 지난해 대비 15% 증가한 수치다.  여기에 뒤이어 아태지역의 조직당 주간 평균 공격은 1,299건(20% 상승)이었으며, 주간 평균 1,117건(37% 상승)의 공격을 받은 라틴 아메리카, 665건(65% 상승)의 유럽, 497건(57% 상승)의 북미가 뒤를 이었다. 가장 많은 사이버 공격을 경험한 분야는 교육/연구 부문으로 조직당 주간 평균 1,468건(2020년 대비 60% 상승)의 공격이 발생했으며, 1,820건(40% 상승)의 정부/국방과 752건(55% 상승)의 헬스케어가 뒤를 이었다. 더불어 체크포인트 리서치는 전세계적으로 매 주 평균 61개 조직 중 한 곳은 랜섬웨어의 영향을 받았다고 밝혔다. 이는 2020년 대비 9% 상승한 수치이다. ISP/MSP 부문은 올 해 랜섬웨어 공격을 가장 많이 받은 산업이다. 2021...

2021.10.26

2021년 주목해야 할 사이버 보안 스타트업 12

사이버 보안 분야의 신기술을 알고 싶다면, 관련 스타트업이 무엇을 하는지 지켜보면 된다. 스타트업은 보통 혁신적인 아이디어만으로 시작하며, 설치 기반이나 주류 업계의 접근법으로부터 자유롭다. 그래서 종종 아무도 해결하지 못하는 문제에 덤벼들고는 한다. 단점이라면 자원과 성숙도가 부족하다는 것. 그래서 스타트업의 제품이나 플랫폼을 도입하는 것은 기업에는 상당한 위험이며, 고객과 솔루션 업체의 관계도 보통과는 다르다. 하지만 성공적인 관계를 맺으면, 기업의 경쟁력을 높이거나 보안 자원에 대한 부담을 줄이는 엄청난 혜택을 얻을 수 있다.   주목할 만한 보안 스타트업 12곳을 소개한다. 여기서 소개하는 스타트업은 최근 2년 이내에 새로 설립했거나 스텔스 모드를 끝낸 곳이다.   애브노멀 시큐리티(Abnormal Security) 2019년 설립된 애브노멀 시큐리티는 행동 데이터 과학을 사용해 이메일 공격을 식별하고 방지하는 클라우드 네이티브 이메일 보안 플랫폼을 제공한다. 애브노멀의 AI 기반 접근법은 사용자 행동, 조직 구조, 관계, 비즈니스 프로세스를 분석해 사이버 공격을 암시하는 비정상적인 활동을 파악할 수 있도록 한다. 이를 통해 비즈니스 이메일 손상, 공급망 공격, 송장 사기, 인증서 피싱 및 이메일 계정 손상을 예방한다. 또한 사고 대응을 자동화할 수 있는 도구를 제공하며, 마이크로소프트 오피스 365, 구글 지스위트, 슬랙과 같은 다른 기업용 플랫폼과 통합할 수 있는 클라우드 네이티브 API를 제공한다.    아피로(Apiiro) 아피로는 2020년 스텔스 모드에서 벗어났다. 공동 설립자 겸 CEO인 이단 플로닉은 블로그를 통해 자사의 데브섹옵스 플랫폼이 보안 개발 라이프사이클을 "수동적이며 주기적인 '개발자 나중'(developer-last) 접근법에서 자동 위험 기반 '개발자 우선’(developer-first) 접근법"으로 전환하는 것을 목표로 한다고 밝혔다. 아피로 플랫폼은 API로 모든 온프레미스와 클라...

스타트업 ID 패스워드 크리덴셜 사이버공격

2021.07.12

사이버 보안 분야의 신기술을 알고 싶다면, 관련 스타트업이 무엇을 하는지 지켜보면 된다. 스타트업은 보통 혁신적인 아이디어만으로 시작하며, 설치 기반이나 주류 업계의 접근법으로부터 자유롭다. 그래서 종종 아무도 해결하지 못하는 문제에 덤벼들고는 한다. 단점이라면 자원과 성숙도가 부족하다는 것. 그래서 스타트업의 제품이나 플랫폼을 도입하는 것은 기업에는 상당한 위험이며, 고객과 솔루션 업체의 관계도 보통과는 다르다. 하지만 성공적인 관계를 맺으면, 기업의 경쟁력을 높이거나 보안 자원에 대한 부담을 줄이는 엄청난 혜택을 얻을 수 있다.   주목할 만한 보안 스타트업 12곳을 소개한다. 여기서 소개하는 스타트업은 최근 2년 이내에 새로 설립했거나 스텔스 모드를 끝낸 곳이다.   애브노멀 시큐리티(Abnormal Security) 2019년 설립된 애브노멀 시큐리티는 행동 데이터 과학을 사용해 이메일 공격을 식별하고 방지하는 클라우드 네이티브 이메일 보안 플랫폼을 제공한다. 애브노멀의 AI 기반 접근법은 사용자 행동, 조직 구조, 관계, 비즈니스 프로세스를 분석해 사이버 공격을 암시하는 비정상적인 활동을 파악할 수 있도록 한다. 이를 통해 비즈니스 이메일 손상, 공급망 공격, 송장 사기, 인증서 피싱 및 이메일 계정 손상을 예방한다. 또한 사고 대응을 자동화할 수 있는 도구를 제공하며, 마이크로소프트 오피스 365, 구글 지스위트, 슬랙과 같은 다른 기업용 플랫폼과 통합할 수 있는 클라우드 네이티브 API를 제공한다.    아피로(Apiiro) 아피로는 2020년 스텔스 모드에서 벗어났다. 공동 설립자 겸 CEO인 이단 플로닉은 블로그를 통해 자사의 데브섹옵스 플랫폼이 보안 개발 라이프사이클을 "수동적이며 주기적인 '개발자 나중'(developer-last) 접근법에서 자동 위험 기반 '개발자 우선’(developer-first) 접근법"으로 전환하는 것을 목표로 한다고 밝혔다. 아피로 플랫폼은 API로 모든 온프레미스와 클라...

2021.07.12

글로벌 육가공 업체 JBS, 사이버공격으로 생산 중단

글로벌 대형 육류 가공 업체인 JBS가 지난 주말 사이버공격을 받았다. 이로 인해 호주 및 북미 지역 JBS 공장의 생산라인이 중단되는 사태가 빚어졌다. JBS 측은 성명을 통해 “지난달 30일(현지시간) 조직적인 사이버공격으로 인해 호주와 북미 공장의 IT 시스템을 지원하는 서버가 피해를 입은 것으로 확인됐다”라며 “피해를 입은 시스템을 즉각 중단했으며, 당국에 보고를 마친 뒤 IT 전문가들과 함께 사태 해결을 위해 노력하는 중”이라고 밝혔다.    회사는 “고객, 공급업체, 직원 정보가 유출됐거나 악용된 정황은 아직 발견되지 않았다”라며 “이번 사건을 해결하는 동안 고객사 혹은 공급업체와의 거래가 일부 지연될 수 있다”라고 덧붙였다.  JBS는 브라질 상파울루에 본사를 두고 있는 대형 육가공 업체다. 호주, 미국, 캐나다 등 전 세계 20개국에 육류 가공 시설을 두고 있으며 테스코 등 글로벌 유통기업들도 보유하고 있다. 이번 사이버공격으로 인해 피해를 입은 JBS 공장들은 도축이나 육가공 작업을 취소하고 있다. 축산업 전문 매체 비트센트럴에 따르면 호주 전역의 JBS 공장은 소 및 양고기 도축 작업을 전면 취소했다. 또 JBS의 캐나다 공장도 가동이 중단됐다.  미 농무부는 1일(현지시간) 성명을 통해 “백악관, 국토안보부, JBS 미국 지사 등과 긴밀히 협력해 육가공 식품의 공급이나 가격 관련 문제를 완화하기 위한 조치를 취하고 있다”라고 밝혔다.  이번 사이버공격의 배후는 구체적으로 확정되지 않았지만, 러시아 기반 해커 집단의 소행인 것으로 잠정 파악되고 있다. 장 피에르 백악관 수석 대변인은 이날 언론 브리핑을 통해 "러시아를 근거지로 둔 것으로 추정되는 범죄 조직이 JBS에 몸값을 요구한 사실을 통보받았다"라고 전했다.  블룸버그는 사건에 정통한 소식통을 인용해 레빌(REvil) 혹은 소디노키비(Sodinikibi)라는 이름의 러시아 해킹 집단이 이번 사이버공격의 ...

JBS 사이버공격

2021.06.02

글로벌 대형 육류 가공 업체인 JBS가 지난 주말 사이버공격을 받았다. 이로 인해 호주 및 북미 지역 JBS 공장의 생산라인이 중단되는 사태가 빚어졌다. JBS 측은 성명을 통해 “지난달 30일(현지시간) 조직적인 사이버공격으로 인해 호주와 북미 공장의 IT 시스템을 지원하는 서버가 피해를 입은 것으로 확인됐다”라며 “피해를 입은 시스템을 즉각 중단했으며, 당국에 보고를 마친 뒤 IT 전문가들과 함께 사태 해결을 위해 노력하는 중”이라고 밝혔다.    회사는 “고객, 공급업체, 직원 정보가 유출됐거나 악용된 정황은 아직 발견되지 않았다”라며 “이번 사건을 해결하는 동안 고객사 혹은 공급업체와의 거래가 일부 지연될 수 있다”라고 덧붙였다.  JBS는 브라질 상파울루에 본사를 두고 있는 대형 육가공 업체다. 호주, 미국, 캐나다 등 전 세계 20개국에 육류 가공 시설을 두고 있으며 테스코 등 글로벌 유통기업들도 보유하고 있다. 이번 사이버공격으로 인해 피해를 입은 JBS 공장들은 도축이나 육가공 작업을 취소하고 있다. 축산업 전문 매체 비트센트럴에 따르면 호주 전역의 JBS 공장은 소 및 양고기 도축 작업을 전면 취소했다. 또 JBS의 캐나다 공장도 가동이 중단됐다.  미 농무부는 1일(현지시간) 성명을 통해 “백악관, 국토안보부, JBS 미국 지사 등과 긴밀히 협력해 육가공 식품의 공급이나 가격 관련 문제를 완화하기 위한 조치를 취하고 있다”라고 밝혔다.  이번 사이버공격의 배후는 구체적으로 확정되지 않았지만, 러시아 기반 해커 집단의 소행인 것으로 잠정 파악되고 있다. 장 피에르 백악관 수석 대변인은 이날 언론 브리핑을 통해 "러시아를 근거지로 둔 것으로 추정되는 범죄 조직이 JBS에 몸값을 요구한 사실을 통보받았다"라고 전했다.  블룸버그는 사건에 정통한 소식통을 인용해 레빌(REvil) 혹은 소디노키비(Sodinikibi)라는 이름의 러시아 해킹 집단이 이번 사이버공격의 ...

2021.06.02

해커가 흔적을 숨기는 5가지 방법

네트워크 모니터링 도구, 바이러스 스캐너, 소프트웨어 조합 분석(Software Composition Analysis, SCA) 도구, 디지털 포렌식 및 사고 대응(digital forensics and incident response, DFIR) 솔루션 등 CIOS가 악의적 활동을 탐지하고 차단하는 데 도움이 되는 도구는 많고 끊임없이 발전 중이다. 하지만 사이버 보안은 공격과 방어 간의 지속적인 싸움이고, 공격자도 계속해서 새로운 수법을 들고 나온다. 스테가노그래피(steganography, 악의적 페이로드를 포함한 정보를 이미지와 같은 무해해 보이는 파일 안에 숨기는 수법)와 같은 오래된 수법이 발전을 거쳐 새로운 기능이 추가되고 있다. 예를 들어, 최근 한 연구원은 트위터 플랫폼의 이미지 안에 최대 3MB의 ZIP 압축 파일을 집어넣을 수 있음을 입증하며, 트위터 역시 스테가노그래피에서 자유로울 수 없게 됐다.  한편, 필자는 개인적인 연구를 통해 현재의 위협 행위자들은 난독화, 스테가노그래피, 맬웨어 패킹 수법을 사용하는 것 외에 합법적인 서비스와 플랫폼, 프로토콜, 도구를 이용해 활동하는 것을 알게 됐다. 이와 같은 방법으로 사람의 눈과 기계에 모두 ‘깨끗해’ 보이는 트래픽이나 활동 안에 숨어들 수 있다.  사이버 범죄자가 자신의 흔적을 숨기기 위해 사용하는 5가지 방법은 다음과 같다.     1. 경계심을 낮추는 신뢰받는 플랫폼 악용 2020년 보안 전문가들이 빈번하게 발견한 수법으로, 올해까지 계속 그 추세가 이어지는 중이다. 코발트 스트라이크(Cobalt Strike), Ngrok 같은 침투 테스트 서비스 및 도구부터 깃허브와 같은 오픈소스 코드 생태계, Imgur, 페이스트빈(Pastebin)과 같은 이미지 및 텍스트 사이트에 이르기까지, 공격자들은 지난 몇 년 사이 신뢰받는 다양한 플랫폼을 공격에 이용했다. 일반적으로 Ngrok은 버그 사냥 연습이나 침투 테스트의 일부로 데이터 수집 또는 모...

해킹 흔적 사이버공격 스테가노그래피

2021.05.26

네트워크 모니터링 도구, 바이러스 스캐너, 소프트웨어 조합 분석(Software Composition Analysis, SCA) 도구, 디지털 포렌식 및 사고 대응(digital forensics and incident response, DFIR) 솔루션 등 CIOS가 악의적 활동을 탐지하고 차단하는 데 도움이 되는 도구는 많고 끊임없이 발전 중이다. 하지만 사이버 보안은 공격과 방어 간의 지속적인 싸움이고, 공격자도 계속해서 새로운 수법을 들고 나온다. 스테가노그래피(steganography, 악의적 페이로드를 포함한 정보를 이미지와 같은 무해해 보이는 파일 안에 숨기는 수법)와 같은 오래된 수법이 발전을 거쳐 새로운 기능이 추가되고 있다. 예를 들어, 최근 한 연구원은 트위터 플랫폼의 이미지 안에 최대 3MB의 ZIP 압축 파일을 집어넣을 수 있음을 입증하며, 트위터 역시 스테가노그래피에서 자유로울 수 없게 됐다.  한편, 필자는 개인적인 연구를 통해 현재의 위협 행위자들은 난독화, 스테가노그래피, 맬웨어 패킹 수법을 사용하는 것 외에 합법적인 서비스와 플랫폼, 프로토콜, 도구를 이용해 활동하는 것을 알게 됐다. 이와 같은 방법으로 사람의 눈과 기계에 모두 ‘깨끗해’ 보이는 트래픽이나 활동 안에 숨어들 수 있다.  사이버 범죄자가 자신의 흔적을 숨기기 위해 사용하는 5가지 방법은 다음과 같다.     1. 경계심을 낮추는 신뢰받는 플랫폼 악용 2020년 보안 전문가들이 빈번하게 발견한 수법으로, 올해까지 계속 그 추세가 이어지는 중이다. 코발트 스트라이크(Cobalt Strike), Ngrok 같은 침투 테스트 서비스 및 도구부터 깃허브와 같은 오픈소스 코드 생태계, Imgur, 페이스트빈(Pastebin)과 같은 이미지 및 텍스트 사이트에 이르기까지, 공격자들은 지난 몇 년 사이 신뢰받는 다양한 플랫폼을 공격에 이용했다. 일반적으로 Ngrok은 버그 사냥 연습이나 침투 테스트의 일부로 데이터 수집 또는 모...

2021.05.26

랜섬웨어 공격에 대비할 수 있는 확실한 ‘백업’ 준비법

시스템을 랜섬웨어로 감염시킨 공격자에게 몸값을 지불하지 않는 가장 좋은 방법은 적절히 백업해 시스템을 삭제하고, 안전한 백업에서 복원하는 것이다. 백업이 랜섬웨어에 적합한지 확인할 방법을 소개한다. 이 기사에서 백업은 백업과 재해 복구를 지원하는 구형 백업 시스템과 복제 시스템, 최신 하이브리드 시스템을 비롯해 랜섬웨어 공격에 대응하기 위해 사용할 모든 시스템을 의미한다. 단순성을 위해 여기서는 모두 백업이라 지칭한다.     3-2-1 규칙을 통한 백업 무엇보다도 중요한 것은 ‘모든 것을’ 백업한다는 생각이다. 모든 새 시스템과 파일 시스템, 데이터베이스를 자동으로 포함하는 백업 시스템의 기능을 조사한다. 이는 호스트의 모든 VM이 나타날 때마다 자동으로 백업하도록 구성할 수 있는 가상화 세계에서 가장 쉬운 방법이다. 모든 것을 자동으로 포함하는 백업 시스템을 가장 잘 사용하는 방법의 하나다. 또한, 누가 구식이라고 말하든, 백업 시스템의 3-2-1 규칙을 따라야 한다. 이 규칙에 따르면 데이터의 복사본 또는 버전을 3개 이상 만들고, 2개 이상의 다른 미디어에 저장하며, 미디어 중 1개는 오프사이트에 있어야 한다. 주 시스템과 같은 위치에 백업을 저장하지 않는다. 더 좋은 방법은 다른 운영체제와 다른 물리적 위치에 저장하는 것이지만, 현실적으로 항상 가능하지는 않다. 백업 시스템에 어떤 유형이든 자동 보고 기능이 있어야 작업 중인 백업이 실제로 진행 중인지 확인할 수 있다. 보고에는 백업 성공과 실패가 모두 포함돼야 한다. 서드파티 모니터링 시스템이 가장 나을 수 있고, 모든 것을 지속적으로 살펴보고 상황이 조금 이상할 때 감지할 수 있다. 머신러닝을 사용하는 보고 시스템은 문제를 나타내는 패턴을 알아차릴 수 있어 이상적이다. 이렇게 하면 백업 시스템에서 매일 수십에서 수백 개의 이메일을 읽어야만 제대로 작동하는지 확인하기보다 쉽다.   DR 보안을 최우선 순위로 백업과 DR(Disaster Recovery) 시스템은 컴...

랜섬웨어 백업 사이버공격 재해복구 DR

2021.03.22

시스템을 랜섬웨어로 감염시킨 공격자에게 몸값을 지불하지 않는 가장 좋은 방법은 적절히 백업해 시스템을 삭제하고, 안전한 백업에서 복원하는 것이다. 백업이 랜섬웨어에 적합한지 확인할 방법을 소개한다. 이 기사에서 백업은 백업과 재해 복구를 지원하는 구형 백업 시스템과 복제 시스템, 최신 하이브리드 시스템을 비롯해 랜섬웨어 공격에 대응하기 위해 사용할 모든 시스템을 의미한다. 단순성을 위해 여기서는 모두 백업이라 지칭한다.     3-2-1 규칙을 통한 백업 무엇보다도 중요한 것은 ‘모든 것을’ 백업한다는 생각이다. 모든 새 시스템과 파일 시스템, 데이터베이스를 자동으로 포함하는 백업 시스템의 기능을 조사한다. 이는 호스트의 모든 VM이 나타날 때마다 자동으로 백업하도록 구성할 수 있는 가상화 세계에서 가장 쉬운 방법이다. 모든 것을 자동으로 포함하는 백업 시스템을 가장 잘 사용하는 방법의 하나다. 또한, 누가 구식이라고 말하든, 백업 시스템의 3-2-1 규칙을 따라야 한다. 이 규칙에 따르면 데이터의 복사본 또는 버전을 3개 이상 만들고, 2개 이상의 다른 미디어에 저장하며, 미디어 중 1개는 오프사이트에 있어야 한다. 주 시스템과 같은 위치에 백업을 저장하지 않는다. 더 좋은 방법은 다른 운영체제와 다른 물리적 위치에 저장하는 것이지만, 현실적으로 항상 가능하지는 않다. 백업 시스템에 어떤 유형이든 자동 보고 기능이 있어야 작업 중인 백업이 실제로 진행 중인지 확인할 수 있다. 보고에는 백업 성공과 실패가 모두 포함돼야 한다. 서드파티 모니터링 시스템이 가장 나을 수 있고, 모든 것을 지속적으로 살펴보고 상황이 조금 이상할 때 감지할 수 있다. 머신러닝을 사용하는 보고 시스템은 문제를 나타내는 패턴을 알아차릴 수 있어 이상적이다. 이렇게 하면 백업 시스템에서 매일 수십에서 수백 개의 이메일을 읽어야만 제대로 작동하는지 확인하기보다 쉽다.   DR 보안을 최우선 순위로 백업과 DR(Disaster Recovery) 시스템은 컴...

2021.03.22

IBM, 하이브리드 클라우드 보안 패키지 확장

IBM이 ‘클라우드 팩 포 시큐리티(Cloud Pak for Security)’ 시스템에 데이터, 위협 인텔리전스 및 보안 서비스 등을 추가했다.  IBM이 14일(현지 시각) 클라우드 팩 포 시큐리티의 새로운 기능을 발표했다. 보안 데이터 수집 개선, 서드파티 위협 인텔리전스 피드 활용 등 하이브리드 클라우드 구축을 지원하는 보안-소프트웨어 패키지 서비스를 확장한다고 회사 측은 밝혔다.    회사에 따르면 IBM 클라우드 팩 포 시큐리티는 위협을 추적하는 오픈소스 기술과 사이버공격 대응 속도를 높이는 자동화 기능을 갖췄으며, 고객의 기존 보안 포인트 제품이 수집한 단일 콘솔 데이터를 통합할 수 있다.  또한 IBM 클라우드 팩은 레드햇 리눅스(Red Hat Linux)와 레드햇의 쿠버네티스 기반 오픈시프트 컨테이너 플랫폼(OpenShift Container Platform)로 구축됐으며, 기업 고객이 AWS, 마이크로소프트 애저, 구글 클라우드 플랫폼, 알리바바, IBM 클라우드 등 원하는 프라이빗 또는 퍼블릭 인프라에 컨테이너를 배포하고 관리할 수 있다.    IBM 시큐리티 부문 부사장 저스틴 영블러드는 “고객들이 너무 많은 포인트 시큐리티 제품을 감당하지 못할 지경이다. 평균 50개 이상이다. 이렇게 되면 인사이트를 얻고 위협 및 공격에 신속하게 대응하기가 어렵다”라고 말했다.  작년 출시에 이어 이번에 공개된 새 버전은 분산된 위치에서 저장 및 액세스되는 데이터 피드를 포함하도록 통합 기능을 확장했다. 이는 또한 데이터베이스, 데이터웨어하우스, 하둡(Hadoop)과 같은 빅데이터 환경을 보호하는 IBM 시큐리티 가디언(Security Guardian) 시스템도 지원한다.  보안 팀은 해당 정보를 통해 하이브리드 클라우드 환경 전반에 걸쳐 민감한 데이터가 어디에 있는지, 액세스 권한을 가진 사람은 누구인지 그리고 이를 어떻게 사용하고 보호할 것인지를 파악할 수 있다고 그...

IBM 클라우드 하이브리드 클라우드 보안 위협 인텔리전스 사이버공격 레드햇 리눅스 오픈시프트 컨테이너 플랫폼 AWS 애저 GCP 알리바바 IBM 클라우드 포인트 시큐리티

2020.10.15

IBM이 ‘클라우드 팩 포 시큐리티(Cloud Pak for Security)’ 시스템에 데이터, 위협 인텔리전스 및 보안 서비스 등을 추가했다.  IBM이 14일(현지 시각) 클라우드 팩 포 시큐리티의 새로운 기능을 발표했다. 보안 데이터 수집 개선, 서드파티 위협 인텔리전스 피드 활용 등 하이브리드 클라우드 구축을 지원하는 보안-소프트웨어 패키지 서비스를 확장한다고 회사 측은 밝혔다.    회사에 따르면 IBM 클라우드 팩 포 시큐리티는 위협을 추적하는 오픈소스 기술과 사이버공격 대응 속도를 높이는 자동화 기능을 갖췄으며, 고객의 기존 보안 포인트 제품이 수집한 단일 콘솔 데이터를 통합할 수 있다.  또한 IBM 클라우드 팩은 레드햇 리눅스(Red Hat Linux)와 레드햇의 쿠버네티스 기반 오픈시프트 컨테이너 플랫폼(OpenShift Container Platform)로 구축됐으며, 기업 고객이 AWS, 마이크로소프트 애저, 구글 클라우드 플랫폼, 알리바바, IBM 클라우드 등 원하는 프라이빗 또는 퍼블릭 인프라에 컨테이너를 배포하고 관리할 수 있다.    IBM 시큐리티 부문 부사장 저스틴 영블러드는 “고객들이 너무 많은 포인트 시큐리티 제품을 감당하지 못할 지경이다. 평균 50개 이상이다. 이렇게 되면 인사이트를 얻고 위협 및 공격에 신속하게 대응하기가 어렵다”라고 말했다.  작년 출시에 이어 이번에 공개된 새 버전은 분산된 위치에서 저장 및 액세스되는 데이터 피드를 포함하도록 통합 기능을 확장했다. 이는 또한 데이터베이스, 데이터웨어하우스, 하둡(Hadoop)과 같은 빅데이터 환경을 보호하는 IBM 시큐리티 가디언(Security Guardian) 시스템도 지원한다.  보안 팀은 해당 정보를 통해 하이브리드 클라우드 환경 전반에 걸쳐 민감한 데이터가 어디에 있는지, 액세스 권한을 가진 사람은 누구인지 그리고 이를 어떻게 사용하고 보호할 것인지를 파악할 수 있다고 그...

2020.10.15

美 IT서비스 업체, 랜섬웨어로 최대 손실 7천 만 달러

IT서비스 업체 코그니전트가 4월 ‘메이즈’ 랜섬웨어 공격으로 5,000만 달러에서 7,000만 달러 사이의 손실을 예상하고 있다.   코그니잔트의 브라이언 험프리즈 미국에 기반을 둔 이 회사는 4월 18일 메이즈 랜섬웨어 사이버 공격으로 일부 고객의 서비스가 중단되었다고 밝혔다. 코그니전트는 이 공격에 ‘즉시’ 대응했다고 주장했지만, 이번 2분기에 다운타임과 고객 계정 일시 중지로 인해 부정적인 영향을 받을 것으로 예상했다. 이 회사 CEO 브라이언 험프리즈에 따르면, 메이즈 공격은 코그니전트가 코비드-19 전염병 동안 재택근무를 위해 사용했던 가정 설정 및 랩톱에서 직원의 작업을 지원하는 코그니전트의 시스템을 공격했다. 그는 이 공격이 내부 네트워크에 영향을 미쳤지만 고객 시스템에는 영향을 미치지 않았다고 덧붙였다. 험프리즈는 1분기 실적발표에서 다음과 같이 말했다. “처음에는 랜섬웨어 공격이 우리 내부 시스템 일부를 암호화해 효과적으로 명예를 훼손하고 다른 시스템을 오프라인으로 전환해 버렸다. 일부 고객은 네트워크 접근을 중단하기로 했다. 그에 따라 지불은 한동안 영향을 받았지만, 이 프로젝트에 들어간 직원 비용은 우리 몫이었다.” 험프리즈는 “IT 및 보안 팀의 전문 지식을 활용하고 최고의 사이버 보안 전문가를 모아서 전체 리더십팀을 동원하는 등 회사가 신속하게 대응했다”라고 강조했다. 그는 법 집행 기관에 연락했으며 회사가 “고객과 제대로 투명하게 커뮤니케이션 하기로 했다”라고 전했다. 그는 "아무도 랜섬웨어 공격을 다루기를 원하지 않는다"라고 밝혔다. 이어서 “개인적으로는 그 누구도 진정으로 무관심하다고 생각하지 않지만 그 차이점은 관리 방법이다. 그리고 우리는 전문적이고 성숙하게 관리하려고 노력했다”라고 덧붙였다.  코그니전트는 이제 이 경험을 사용하여 모든 시스템의 보안을 더욱 강화하여 ‘후회 없는’ 접근 방식을 추가했다. 코그니전트는 2020년 3월 31일 마감된 2020년 1분기에 매출액 42억 달러로 지난해...

매출 재택근무 IT서비스 실적 사이버공격 코그니전트 2020년 1분기 랜섬에어 메이즈

2020.05.11

IT서비스 업체 코그니전트가 4월 ‘메이즈’ 랜섬웨어 공격으로 5,000만 달러에서 7,000만 달러 사이의 손실을 예상하고 있다.   코그니잔트의 브라이언 험프리즈 미국에 기반을 둔 이 회사는 4월 18일 메이즈 랜섬웨어 사이버 공격으로 일부 고객의 서비스가 중단되었다고 밝혔다. 코그니전트는 이 공격에 ‘즉시’ 대응했다고 주장했지만, 이번 2분기에 다운타임과 고객 계정 일시 중지로 인해 부정적인 영향을 받을 것으로 예상했다. 이 회사 CEO 브라이언 험프리즈에 따르면, 메이즈 공격은 코그니전트가 코비드-19 전염병 동안 재택근무를 위해 사용했던 가정 설정 및 랩톱에서 직원의 작업을 지원하는 코그니전트의 시스템을 공격했다. 그는 이 공격이 내부 네트워크에 영향을 미쳤지만 고객 시스템에는 영향을 미치지 않았다고 덧붙였다. 험프리즈는 1분기 실적발표에서 다음과 같이 말했다. “처음에는 랜섬웨어 공격이 우리 내부 시스템 일부를 암호화해 효과적으로 명예를 훼손하고 다른 시스템을 오프라인으로 전환해 버렸다. 일부 고객은 네트워크 접근을 중단하기로 했다. 그에 따라 지불은 한동안 영향을 받았지만, 이 프로젝트에 들어간 직원 비용은 우리 몫이었다.” 험프리즈는 “IT 및 보안 팀의 전문 지식을 활용하고 최고의 사이버 보안 전문가를 모아서 전체 리더십팀을 동원하는 등 회사가 신속하게 대응했다”라고 강조했다. 그는 법 집행 기관에 연락했으며 회사가 “고객과 제대로 투명하게 커뮤니케이션 하기로 했다”라고 전했다. 그는 "아무도 랜섬웨어 공격을 다루기를 원하지 않는다"라고 밝혔다. 이어서 “개인적으로는 그 누구도 진정으로 무관심하다고 생각하지 않지만 그 차이점은 관리 방법이다. 그리고 우리는 전문적이고 성숙하게 관리하려고 노력했다”라고 덧붙였다.  코그니전트는 이제 이 경험을 사용하여 모든 시스템의 보안을 더욱 강화하여 ‘후회 없는’ 접근 방식을 추가했다. 코그니전트는 2020년 3월 31일 마감된 2020년 1분기에 매출액 42억 달러로 지난해...

2020.05.11

코로나19 해킹, 표적은 ‘최대 피해 지역’

사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다.    개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다.  코로나19 연관 도메인의 급증  팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다.  팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다.  CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라...

CSO 코비드-19 COVID-19 코로나바이러스 코로나19 스피어피싱 팔로알토 네트웍스 비트디펜더 방화벽 도메인 사이버공격 사이버범죄 팬데믹

2020.05.07

사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다.    개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다.  코로나19 연관 도메인의 급증  팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다.  팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다.  CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라...

2020.05.07

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9