Offcanvas

NSA

“치명적인 수준을 넘어서는 취약점” 미 NSA, 윈도우 서버 즉각 패치 권고

마이크로소프트의 이번 달 화요일 패치에는 무려 49가지 허점을 메울 방안이 포함되어 있는데, 이 중 하나는 ‘치명적인’ 수준을 넘어서는 취약점이다. 윈도우 서버 2016이나 2019를 구동하는 기업은 가능한 한 빨리 패치를 적용하는 것이 필수적이다.   미 NSA는 패치가 나온 당일, 윈도우 서버 취약점 하나를 공개했다. NSA가 허점을 찾은 것은 수개월 전이지만, 마이크로소프트가 패치를 준비할 때까지 공개를 미룬 것으로 보인다. 취약점을 공개하는 것은 NSA는 물론 어느 누구의 책임도 아니며, 소프트웨어 업체에 패치를 만들 시간을 주는 것 역시 마찬가지다. 이번 취약점은 crypt32.dll에서 발견됐다. 이 모듈은 윈도우 NT 4.0부터 데스크톱과 서버용 윈도우 모두에 사용됐기 때문에 20년도 넘은 모듈이다. 마이크로소프트는 이 라이브러리가 CryptoAPI에서 인증과 암호화 메시지 기능을 처리한다고 설명했다. CryptoAPI는 개발자가 암호를 사용하는 안전한 윈도우 기반 애플리케이션을 개발할 수 있는 서비스를 제공하며, 여기에는 윈도우 환경에서 신뢰의 주된 요소가 되는 디지털 인증서 사용도 포함된다. 사용자는 개발자가 디지털 서명하지 않은 앱을 배제할 수 있다. 해커는 디지털 서명을 속이는 결함을 이용해 악성 소프트웨어를 위한 가짜 인증서를 발급할 수 있다. 따라서 이 취약점의 중요성은 너무나 분명하다. 악의적인 소프트웨어가 윈도우 보안의 중심 수문장을 사용해 컴퓨터에 설치될 수 있다는 것이다. 이 취약점은 윈도우 10 코드 기반에만 영향을 미치기 때문에 윈도우 10, 윈도우 서버 2016, 윈도우 서버 2019 시스템만 영향을 받는다. NSA는 권고안을 발표하며 이 취약점이 좀 더 광범위한 영역의 보안에 악영향을 미칠 수 있다고 지적했다. 이 취약점을 악용하면 “공격자가 신뢰할 수 있는 네트워크 연결을 깨고 적법하고 믿을 수 있는 개체처럼 보이면서 실행 가능한 코드를 전달할 수 있다”는 설명이다. 또 “NSA는 이 취약점이 심각하...

암호화 취약점 패치 NSA 인증서

2020.01.22

마이크로소프트의 이번 달 화요일 패치에는 무려 49가지 허점을 메울 방안이 포함되어 있는데, 이 중 하나는 ‘치명적인’ 수준을 넘어서는 취약점이다. 윈도우 서버 2016이나 2019를 구동하는 기업은 가능한 한 빨리 패치를 적용하는 것이 필수적이다.   미 NSA는 패치가 나온 당일, 윈도우 서버 취약점 하나를 공개했다. NSA가 허점을 찾은 것은 수개월 전이지만, 마이크로소프트가 패치를 준비할 때까지 공개를 미룬 것으로 보인다. 취약점을 공개하는 것은 NSA는 물론 어느 누구의 책임도 아니며, 소프트웨어 업체에 패치를 만들 시간을 주는 것 역시 마찬가지다. 이번 취약점은 crypt32.dll에서 발견됐다. 이 모듈은 윈도우 NT 4.0부터 데스크톱과 서버용 윈도우 모두에 사용됐기 때문에 20년도 넘은 모듈이다. 마이크로소프트는 이 라이브러리가 CryptoAPI에서 인증과 암호화 메시지 기능을 처리한다고 설명했다. CryptoAPI는 개발자가 암호를 사용하는 안전한 윈도우 기반 애플리케이션을 개발할 수 있는 서비스를 제공하며, 여기에는 윈도우 환경에서 신뢰의 주된 요소가 되는 디지털 인증서 사용도 포함된다. 사용자는 개발자가 디지털 서명하지 않은 앱을 배제할 수 있다. 해커는 디지털 서명을 속이는 결함을 이용해 악성 소프트웨어를 위한 가짜 인증서를 발급할 수 있다. 따라서 이 취약점의 중요성은 너무나 분명하다. 악의적인 소프트웨어가 윈도우 보안의 중심 수문장을 사용해 컴퓨터에 설치될 수 있다는 것이다. 이 취약점은 윈도우 10 코드 기반에만 영향을 미치기 때문에 윈도우 10, 윈도우 서버 2016, 윈도우 서버 2019 시스템만 영향을 받는다. NSA는 권고안을 발표하며 이 취약점이 좀 더 광범위한 영역의 보안에 악영향을 미칠 수 있다고 지적했다. 이 취약점을 악용하면 “공격자가 신뢰할 수 있는 네트워크 연결을 깨고 적법하고 믿을 수 있는 개체처럼 보이면서 실행 가능한 코드를 전달할 수 있다”는 설명이다. 또 “NSA는 이 취약점이 심각하...

2020.01.22

NSA의 새로운 사이버보안 조직의 수장, “위협”과 ”목표”를 말하다

미국 국가안보국(NSA) 사이버보안 사무국(Cybersecurity Directorate) 책임자인 앤 노이버거는 자신의 그룹은 랜섬웨어, 미국선거 위협 및 국가 주도의 영향 공작(Influence Operations)에 초점을 맞출 것이라고 말했다.  NSA 산하 새로운 부서인 이 조직의 책임자인 앤 노이버거에 따르면, 랜섬웨어, 러시아, 중국, 이란, 북한은 사이버보안 사무국이 중점을 둘 최고의 사이버보안 위협이다.    노이버거는 지난 7월 NSA 국장인 폴 나카소네에 의해 이 조직의 수장으로 임명받았다. 이 조직은 자체 위협 정보, 취약점 평가, 사이버 방어 전문 지식을 운영한다는 목표를 갖고 기관의 해외 정보팀과 사이버 운영팀을 하나로 통합해 새로운 부서로 시작했다.   노이버거는 9월 4일 미국 워싱턴의 빌링턴 사이버시큐리티(Billington Cybersecurity Summit) 행사에서 사이버보안 벤처 투자자이자 경영인인  닐루파 라지 호위와의 대담에서 "NSA는 실제로 게임 수준을 높였다"며, “방위 산업에 초점을 맞추고 국가 보안 시스템과 주요 인프라에서 활동하는 사이버 공격자를 막고 근절하기 위한 매우 적극적인 임무를 맡게 됐다”고 말했다.  노이버거는 “위협 측면에서 명백하게 랜섬웨어가 핵심이다. 우리는 하루에 약 4,000건의 랜섬웨어 공격이 발생하는 것을 봤다”고 말했다.  고유한 방식을 갖고 있는 각국의 사이버 위협 노이버거는 “러시아를 살펴보면, 사이버 공격을 무력 분쟁 단계 아래에 실제로 통합해 사용하고 있다. 또한 그들은 선거에 영향을 줄 수 있는 인터넷연구소나 우크라이나, 시리아에서 군사적 충돌에 맞서 싸우는 용병, 그리고 정부와 관련이 없는 단체에도 영향 공작을 해왔다”고 말했다.  노이버거는 중국은 사이버 위협을 이용한 국가 안보와 군사 목표를 달성하는 방법에 대해 독자적인 접근 방식을 갖고 있다고 말했다. 중국의 사이버 위협은 완전히 다른...

NSA

2019.09.09

미국 국가안보국(NSA) 사이버보안 사무국(Cybersecurity Directorate) 책임자인 앤 노이버거는 자신의 그룹은 랜섬웨어, 미국선거 위협 및 국가 주도의 영향 공작(Influence Operations)에 초점을 맞출 것이라고 말했다.  NSA 산하 새로운 부서인 이 조직의 책임자인 앤 노이버거에 따르면, 랜섬웨어, 러시아, 중국, 이란, 북한은 사이버보안 사무국이 중점을 둘 최고의 사이버보안 위협이다.    노이버거는 지난 7월 NSA 국장인 폴 나카소네에 의해 이 조직의 수장으로 임명받았다. 이 조직은 자체 위협 정보, 취약점 평가, 사이버 방어 전문 지식을 운영한다는 목표를 갖고 기관의 해외 정보팀과 사이버 운영팀을 하나로 통합해 새로운 부서로 시작했다.   노이버거는 9월 4일 미국 워싱턴의 빌링턴 사이버시큐리티(Billington Cybersecurity Summit) 행사에서 사이버보안 벤처 투자자이자 경영인인  닐루파 라지 호위와의 대담에서 "NSA는 실제로 게임 수준을 높였다"며, “방위 산업에 초점을 맞추고 국가 보안 시스템과 주요 인프라에서 활동하는 사이버 공격자를 막고 근절하기 위한 매우 적극적인 임무를 맡게 됐다”고 말했다.  노이버거는 “위협 측면에서 명백하게 랜섬웨어가 핵심이다. 우리는 하루에 약 4,000건의 랜섬웨어 공격이 발생하는 것을 봤다”고 말했다.  고유한 방식을 갖고 있는 각국의 사이버 위협 노이버거는 “러시아를 살펴보면, 사이버 공격을 무력 분쟁 단계 아래에 실제로 통합해 사용하고 있다. 또한 그들은 선거에 영향을 줄 수 있는 인터넷연구소나 우크라이나, 시리아에서 군사적 충돌에 맞서 싸우는 용병, 그리고 정부와 관련이 없는 단체에도 영향 공작을 해왔다”고 말했다.  노이버거는 중국은 사이버 위협을 이용한 국가 안보와 군사 목표를 달성하는 방법에 대해 독자적인 접근 방식을 갖고 있다고 말했다. 중국의 사이버 위협은 완전히 다른...

2019.09.09

윈도우 '블루킵' 취약점이 뭐길래··· MS 이어 NSA까지 빠른 패치 권고

미국 국가안보국(NSA)이 IT 관리자에게 마이크로소프트가 3주 전 내놓은 보안 업데이트를 설치할 것을 권고했다. 마이크로소프트에 이어 NSA까지 나서 공개적으로 패치의 시급함을 지적한 것이다.   NSA는 지난 4일 "NSA는 마이크로소프트 윈도우 관리자와 사용자가 점점 커지는 보안 위협을 막기 위해 반드시 시스템을 패치하고 업데이트할 것을 촉구한다"고 밝혔다. 이번 발표는 며칠 전 마이크로소프트의 공지에 바로 뒤이어 나왔다. 지난 5월 30일 마이크로소프트는 사용자에게 5월 14일에 공개한 업데이트를 반드시 설치해야 한다고 다시 알렸다. MSRC(Microsoft Security Response Center)의 사이먼 포트는 회사 블로그를 통해 "이 취약점의 영향을 받는 모든 시스템을 가능한 한 빨리 업데이트할 것을 강력하게 권고한다"라고 말했다. 마이크로소프트의 이러한 간청(?)은 매우 이례적이다. 마이크로소프트가 보안 패치를 내놓은 후 사용자에게 이를 설치하도록 재공지한 전례가 거의 없다. 패치를 설치하는 것은 사용자의 몫이라는 태도였다. 이번에 태도가 바뀐 이유가 무엇일까? NSA와 마이크로소프트가 경고한 패치는 윈도우의 RDS(Remote Desktop Services) 관련 보안 취약점에 대한 것이다. '블루킵(BlueKeep)'이라는 이름이 붙은 이 보안 취약점을 악용하면 매우 위험한 상황을 초래할 수 있다. 포프는 "이 보안취약점은 웜에 악용될 수 있다. 마치 2017년 전 세계를 휩쓴 워너크라이 악성코드와 비슷한 방식으로 패치가 안 된 컴퓨터 간에 급속히 확산할 가능성이 있다"라고 설명했다. 이 보안 취약점이 얼마나 위험한지는 마이크로소프트는 예정에 없던 패치를 내놓은 것만 봐도 알 수 있다. 마이크로소프트는 윈도우 7을 포함해 현재 기술지원 대상인 윈도우 버전은 물론 이미 5년 전에 기술지원이 종료된 윈도우 XP용 패치까지 내놓았다. 워너크라이 랜섬웨어가...

해킹 마이크로소프트 윈도우 NSA 보안 취약점 블루킵

2019.06.07

미국 국가안보국(NSA)이 IT 관리자에게 마이크로소프트가 3주 전 내놓은 보안 업데이트를 설치할 것을 권고했다. 마이크로소프트에 이어 NSA까지 나서 공개적으로 패치의 시급함을 지적한 것이다.   NSA는 지난 4일 "NSA는 마이크로소프트 윈도우 관리자와 사용자가 점점 커지는 보안 위협을 막기 위해 반드시 시스템을 패치하고 업데이트할 것을 촉구한다"고 밝혔다. 이번 발표는 며칠 전 마이크로소프트의 공지에 바로 뒤이어 나왔다. 지난 5월 30일 마이크로소프트는 사용자에게 5월 14일에 공개한 업데이트를 반드시 설치해야 한다고 다시 알렸다. MSRC(Microsoft Security Response Center)의 사이먼 포트는 회사 블로그를 통해 "이 취약점의 영향을 받는 모든 시스템을 가능한 한 빨리 업데이트할 것을 강력하게 권고한다"라고 말했다. 마이크로소프트의 이러한 간청(?)은 매우 이례적이다. 마이크로소프트가 보안 패치를 내놓은 후 사용자에게 이를 설치하도록 재공지한 전례가 거의 없다. 패치를 설치하는 것은 사용자의 몫이라는 태도였다. 이번에 태도가 바뀐 이유가 무엇일까? NSA와 마이크로소프트가 경고한 패치는 윈도우의 RDS(Remote Desktop Services) 관련 보안 취약점에 대한 것이다. '블루킵(BlueKeep)'이라는 이름이 붙은 이 보안 취약점을 악용하면 매우 위험한 상황을 초래할 수 있다. 포프는 "이 보안취약점은 웜에 악용될 수 있다. 마치 2017년 전 세계를 휩쓴 워너크라이 악성코드와 비슷한 방식으로 패치가 안 된 컴퓨터 간에 급속히 확산할 가능성이 있다"라고 설명했다. 이 보안 취약점이 얼마나 위험한지는 마이크로소프트는 예정에 없던 패치를 내놓은 것만 봐도 알 수 있다. 마이크로소프트는 윈도우 7을 포함해 현재 기술지원 대상인 윈도우 버전은 물론 이미 5년 전에 기술지원이 종료된 윈도우 XP용 패치까지 내놓았다. 워너크라이 랜섬웨어가...

2019.06.07

블로그 | 블룸버그의 중국산 스파이 칩 보도를 의심하는 이유

지난주 해킹 칩을 탑재한 중국산 서버를 다룬 블룸버그 뉴스가 업계를 뒤흔들었다. 그러나 이 뉴스를 곧이곧대로 믿기 힘든 부분이 분명 있다. -> "중국, 미 다수 기업 서버에 '스파이 칩' 설치"··· 블룸버그 보도 일파만파 최근 블룸버그는 중국이 비밀리에 삽입한 스파이 칩이 서버 마더보드에 탑재됐으며, 해당 서버가 여러 주요 기업에서 활용되고 있다고 보도하며 쌀알 크기의 해킹 칩 사진도 함께 게재했다. 그러나 여기에는 의심의 여지가 있으며, 이번 의혹은 긴 토론의 시작점으로 활용되어야 한다. 필자는 익명의 주장대신 증거에 기반한 사실로 이야기를 시작하려 한다. 실제로 중국 정부가 인터넷과 해커를 사용해 산업 기밀을 훔친 것에는 논란의 여지가 희박하다. 중국은 무언가를 배우고 싶을 때 그렇게 했다. 그리고 이번 블룸버그의 보도가 그릇됐다고 주장하고자 하는 것도 아니다. 그러나 이번 해킹 칩과 관련해서는 모호한 부분이 있다. 이유는 다음과 같다. 중국 디지털 스파이 역사 중국이 컴퓨터 칩을 사용해 정보를 빼가고 감시하고 있다는 이야기는 지난 수십 년 동안 회자됐다. 백악관이 비밀의 중국 스파이 칩을 컴퓨터에서 포착했으며, 정부 기관에게 중국산 컴퓨터를 사지 말도록 권고한다는 이야기도 있었다. 중국산 컴퓨터가 정부 계약 업체에 허용되지 않는 경우도 있었다. 필자 또한 직접 겪었다. 레노버 컴퓨터가 허용되지 않아 노트북을 차에 두어야 했던 경우가 있다. 어떤 경우에는 위험이 너무 심각한 것으로 간주돼 렌터차에 둘 수도 없었다. 이 경우 집이나 호텔에 노트북을 두고 가야 했다. 당시 접촉했던 몇몇은 백악관의 최고 기밀 문서를 본 지인이 있다며, 자신의 주장을 뒷받침했다. 그러나 수십 년 동안 필자는 이러한 문서를 실제로 본 신뢰할 만한 인물과 이야기한 바 있다. 늘 '친구나 지인'의 이야기였다. 중국이 조용히 감시하는 이유? 중국의 감시가...

중국 해킹 미국 NSA 스파이 칩

2018.10.10

지난주 해킹 칩을 탑재한 중국산 서버를 다룬 블룸버그 뉴스가 업계를 뒤흔들었다. 그러나 이 뉴스를 곧이곧대로 믿기 힘든 부분이 분명 있다. -> "중국, 미 다수 기업 서버에 '스파이 칩' 설치"··· 블룸버그 보도 일파만파 최근 블룸버그는 중국이 비밀리에 삽입한 스파이 칩이 서버 마더보드에 탑재됐으며, 해당 서버가 여러 주요 기업에서 활용되고 있다고 보도하며 쌀알 크기의 해킹 칩 사진도 함께 게재했다. 그러나 여기에는 의심의 여지가 있으며, 이번 의혹은 긴 토론의 시작점으로 활용되어야 한다. 필자는 익명의 주장대신 증거에 기반한 사실로 이야기를 시작하려 한다. 실제로 중국 정부가 인터넷과 해커를 사용해 산업 기밀을 훔친 것에는 논란의 여지가 희박하다. 중국은 무언가를 배우고 싶을 때 그렇게 했다. 그리고 이번 블룸버그의 보도가 그릇됐다고 주장하고자 하는 것도 아니다. 그러나 이번 해킹 칩과 관련해서는 모호한 부분이 있다. 이유는 다음과 같다. 중국 디지털 스파이 역사 중국이 컴퓨터 칩을 사용해 정보를 빼가고 감시하고 있다는 이야기는 지난 수십 년 동안 회자됐다. 백악관이 비밀의 중국 스파이 칩을 컴퓨터에서 포착했으며, 정부 기관에게 중국산 컴퓨터를 사지 말도록 권고한다는 이야기도 있었다. 중국산 컴퓨터가 정부 계약 업체에 허용되지 않는 경우도 있었다. 필자 또한 직접 겪었다. 레노버 컴퓨터가 허용되지 않아 노트북을 차에 두어야 했던 경우가 있다. 어떤 경우에는 위험이 너무 심각한 것으로 간주돼 렌터차에 둘 수도 없었다. 이 경우 집이나 호텔에 노트북을 두고 가야 했다. 당시 접촉했던 몇몇은 백악관의 최고 기밀 문서를 본 지인이 있다며, 자신의 주장을 뒷받침했다. 그러나 수십 년 동안 필자는 이러한 문서를 실제로 본 신뢰할 만한 인물과 이야기한 바 있다. 늘 '친구나 지인'의 이야기였다. 중국이 조용히 감시하는 이유? 중국의 감시가...

2018.10.10

악성코드 공격 '재발'은 제발! 5가지 예방법

전세계 곳곳의 병원과 정부기관, 기업과 개인을 마비시킨 글로벌 워너크라이(WannaCry) 랜섬웨어 공격은 일어나지 않아도 될 사건이었다. 천재 해커 집단들이 엄청난 기술을 이용해 벌인 일이 아니었기 때문이다. 단지 보안 문제 처리에 게으르고 허술한 조직들의 약점을 파고들었을 뿐이다. 여기에 인터넷 시대의 보안 약화에 일조하고 있는 미국 국가보안국(NSA)과 대형 기술 회사들의 미진한 대처도 빌미를 제공했다. 사실 이는 불행 중 다행이라 할 수 있다. 글로벌 악성코드 공격의 재발을 충분히 예방할 수 있다는 뜻이기 때문이다. 그 다섯 가지 방안을 소개한다. 1. NSA의 취약점 비축 금지 랜섬웨어 공격의 기반이 된 해킹 도구는 NSA에서 구축한 것으로서 ‘섀도우 브로커스(Shadow Brokers)’라는 집단이 훔친 후 퍼뜨린 것이다. 뉴욕타임스의 보도처럼 이 랜섬웨어 공격은 “미국 국민이 낸 세금으로 운영되는 NSA에서 개발한 사이버무기가 적에게 탈취되어 환자, 병원, 기업, 정부, 일반 시민들을 대상으로 한 공격에 이용된 첫 사례”였다. NSA 도구와 랜섬웨어는 윈도우XP, 윈도우 7, 윈도우 8, 윈도우 서버 2003 등 다양한 윈도우 버전의 소프트웨어 취약점을 악용한다. NSA 작업의 대부분은 이처럼 운영체제의 보안 허점을 찾아낸 후 이를 이용할 소프트웨어를 개발하는 방식으로 이뤄진다. NSA에서 허점을 찾아내더라도 마이크로소프트와 같은 소프트웨어 업체에 통보하지 않고 이를 비축해 두는 경우가 많다. 기업들이 미처 취약점을 보완하지 못한 상태에 있어야만 NSA 해킹 도구의 효과가 높아지기 때문이다. 오바마 행정부는 NSA가 취약점 전부까지는 아니더라도 일부를 기업에 공개하도록 강제하는 조처를 했다. 워너크라이 랜섬웨어 공격은 그와 같이 비축된 여러 취약점 중 하나를 기반으로 이루어졌다. 마이크로소프트 사장 겸 최고법률책임자 브래드 스미스는 이에 대해 NSA를 맹렬히 비난하는 글...

해킹 워너크라이 멀웨어 해적판 NSA 패치 병원 취약점 해커 윈도우 OS 맬웨어 마이크로소프트 정부 불법 소프트에어

2017.05.30

전세계 곳곳의 병원과 정부기관, 기업과 개인을 마비시킨 글로벌 워너크라이(WannaCry) 랜섬웨어 공격은 일어나지 않아도 될 사건이었다. 천재 해커 집단들이 엄청난 기술을 이용해 벌인 일이 아니었기 때문이다. 단지 보안 문제 처리에 게으르고 허술한 조직들의 약점을 파고들었을 뿐이다. 여기에 인터넷 시대의 보안 약화에 일조하고 있는 미국 국가보안국(NSA)과 대형 기술 회사들의 미진한 대처도 빌미를 제공했다. 사실 이는 불행 중 다행이라 할 수 있다. 글로벌 악성코드 공격의 재발을 충분히 예방할 수 있다는 뜻이기 때문이다. 그 다섯 가지 방안을 소개한다. 1. NSA의 취약점 비축 금지 랜섬웨어 공격의 기반이 된 해킹 도구는 NSA에서 구축한 것으로서 ‘섀도우 브로커스(Shadow Brokers)’라는 집단이 훔친 후 퍼뜨린 것이다. 뉴욕타임스의 보도처럼 이 랜섬웨어 공격은 “미국 국민이 낸 세금으로 운영되는 NSA에서 개발한 사이버무기가 적에게 탈취되어 환자, 병원, 기업, 정부, 일반 시민들을 대상으로 한 공격에 이용된 첫 사례”였다. NSA 도구와 랜섬웨어는 윈도우XP, 윈도우 7, 윈도우 8, 윈도우 서버 2003 등 다양한 윈도우 버전의 소프트웨어 취약점을 악용한다. NSA 작업의 대부분은 이처럼 운영체제의 보안 허점을 찾아낸 후 이를 이용할 소프트웨어를 개발하는 방식으로 이뤄진다. NSA에서 허점을 찾아내더라도 마이크로소프트와 같은 소프트웨어 업체에 통보하지 않고 이를 비축해 두는 경우가 많다. 기업들이 미처 취약점을 보완하지 못한 상태에 있어야만 NSA 해킹 도구의 효과가 높아지기 때문이다. 오바마 행정부는 NSA가 취약점 전부까지는 아니더라도 일부를 기업에 공개하도록 강제하는 조처를 했다. 워너크라이 랜섬웨어 공격은 그와 같이 비축된 여러 취약점 중 하나를 기반으로 이루어졌다. 마이크로소프트 사장 겸 최고법률책임자 브래드 스미스는 이에 대해 NSA를 맹렬히 비난하는 글...

2017.05.30

"NSA 공격도구 악용한 워너 디스크립토 랜섬웨어, 전세계 확산 중"

미 국가안보국(NSA)의 해킹 도구를 활용한 랜섬웨어 공격이 전 세계로 확산되고 있다. 워너 디스크립토(Wanna Decryptor)라고 불리는 이번 랜섬웨어는 지난 12일 영국의 국민 건강 보험(National Health Service) 상의 일부 병원을 공격해 네트워크를 무력화켰다. 또 스페인 통신 기업인 텔레포니카를 공격한 것으로 전해졌다. 워너크라이(WannaCry)라고도 불리는 이번 랜섬웨어는 지난달 미지의 해킹 도구가 캐시를 통해 인터넷에 누출되면서 공개된 윈도우 취약점을 활용하는 것으로 분석된다. l 보안 전문가들은 이번 공격 도구들이 NSA에서 비롯된 것으로 추정하고 있다. 여기에는 구형 윈도우 시스템을 공격하기 쉽게 만드는 코드명 이터널블루(EternalBlue)가 포함돼 있는데, 이는 윈도우에서 파일 공유 목적으로 사용되는 SMB((Server Message Block)을 대상으로 한다. 마이크로소프트는 이미 이 취약점을 패치한 상태다. 그러나 최신 윈도우 시스템에만 적용된다. 윈도우 서버 2003과 같은 이전 버전은 기업 분야에서 널리 활용되고 있음에도 불구하고 이러한 패치가 적용되지 않는다. 보안 기업 해커 하우스의 매튜 히키 디렉터는 워너 디스크립토가 NSA 해킹 도구를 코드에 적용함으로써 개발된 것으로 추정했다. 이 밖에 보안기업 아바스트는 러시아, 우크라이나, 대만을 공격하는 이 랜섬웨어를 감지했다고 전했다. 다른 보안 리서치 기업은 맬웨어테크(MalwareTech)는 이번 랜섬웨어 공격을 모니터링하는 페이지를 개설했는데, 이에 따르면 이번 공격은 전 세계로 확산된 것으로 관측된다. 디스크립토 랜섬웨어는 다른 랜섬웨어 공격과 마찬가지로 감염된 PC의 파일을 암호화한 다음, 암호 해제화 조건으로 300~600달러를 요구하는 것으로 전해졌다. 보안 전문가들은 취약한 시스템에 패치를 적용하고, 최신 버전의 OS로 업그레이드하고, 중요한 파일을 백업하도록 촉구하고 있다. ciokr@idg.co.kr...

NSA 랜섬웨어 워너크라이 워너 디스크립토

2017.05.15

미 국가안보국(NSA)의 해킹 도구를 활용한 랜섬웨어 공격이 전 세계로 확산되고 있다. 워너 디스크립토(Wanna Decryptor)라고 불리는 이번 랜섬웨어는 지난 12일 영국의 국민 건강 보험(National Health Service) 상의 일부 병원을 공격해 네트워크를 무력화켰다. 또 스페인 통신 기업인 텔레포니카를 공격한 것으로 전해졌다. 워너크라이(WannaCry)라고도 불리는 이번 랜섬웨어는 지난달 미지의 해킹 도구가 캐시를 통해 인터넷에 누출되면서 공개된 윈도우 취약점을 활용하는 것으로 분석된다. l 보안 전문가들은 이번 공격 도구들이 NSA에서 비롯된 것으로 추정하고 있다. 여기에는 구형 윈도우 시스템을 공격하기 쉽게 만드는 코드명 이터널블루(EternalBlue)가 포함돼 있는데, 이는 윈도우에서 파일 공유 목적으로 사용되는 SMB((Server Message Block)을 대상으로 한다. 마이크로소프트는 이미 이 취약점을 패치한 상태다. 그러나 최신 윈도우 시스템에만 적용된다. 윈도우 서버 2003과 같은 이전 버전은 기업 분야에서 널리 활용되고 있음에도 불구하고 이러한 패치가 적용되지 않는다. 보안 기업 해커 하우스의 매튜 히키 디렉터는 워너 디스크립토가 NSA 해킹 도구를 코드에 적용함으로써 개발된 것으로 추정했다. 이 밖에 보안기업 아바스트는 러시아, 우크라이나, 대만을 공격하는 이 랜섬웨어를 감지했다고 전했다. 다른 보안 리서치 기업은 맬웨어테크(MalwareTech)는 이번 랜섬웨어 공격을 모니터링하는 페이지를 개설했는데, 이에 따르면 이번 공격은 전 세계로 확산된 것으로 관측된다. 디스크립토 랜섬웨어는 다른 랜섬웨어 공격과 마찬가지로 감염된 PC의 파일을 암호화한 다음, 암호 해제화 조건으로 300~600달러를 요구하는 것으로 전해졌다. 보안 전문가들은 취약한 시스템에 패치를 적용하고, 최신 버전의 OS로 업그레이드하고, 중요한 파일을 백업하도록 촉구하고 있다. ciokr@idg.co.kr...

2017.05.15

"NSA 스파이웨어 존재를 쉽게 확인"··· 기트허브에 등장한 스크립트 '눈길'

조직의 컴퓨터가 NSA의 감시 도구에 감염됐는지 의심스러운 이들이 환영할 만한 도구가 등장했다. 이를 쉽게 감지할 수 있다는 무료 도구가 등장해 눈길을 끌고 있다. 보안 업체 커머셜(Countercept)의 루크 제닝스는 지난주 NSA가 유포한 것으로 추정되는 사이버 무기에 대응해 작성한 스크립트를 공개했다. ‘Dublepulsar’라고 불리는 NSA의 이 감시 도구 삽입물은 윈도우 기반 취약성에 의해 배포되며 다른 맬웨어를 실행시키는 재주를 갖췄다. 제닝스의 이번 스크립트는 현재 기트허브에서 다운로드할 수 있다. 단 사용을 위해서는 약간의 프로그래밍 기술이 필요하다. 한편 몇몇 보안 전문가들이 제닝스의 스크립트를 사용하여 임플란트에 감염된 시스템을 인터넷에서 검색했다. 그 결과, 약 3만 ~ 10만 대의 컴퓨터가 ‘Dublepulsar’에 감염된 것으로 추정되고 있다. 이 중 침투 테스트 기업 빌로우0데이(Below0Day)는 감염 컴퓨터가 분포한 국가를 의미하는 트위터 그래프를 작성하기도 했다. 이에 따르면 미국에는 약 1 만 1,000대의 감염된 컴퓨터가 존재하며, 영국, 대만, 독일을 비롯한 여러 국가에서 1,500 대 이상의 컴퓨터가 감염돼 있었다. 제닝스는 이들 컴퓨터들이 악성 코드에 감염된 시기가 분명하지 않다고 밝히면서도, ‘Doublepulsar’를 배포하는 것으로 추정되는 NSA의 도구가 일주일 전에 누출됐으며 이 시점부터 해킹 역량을 가진 이들이 이용하기 시작했었을 수 있다고 분석했다. . 몇몇 보안 전문가들은 사이버 범죄자나 외국 정부가 이번 취약성을 악용해 인터넷으로 구형 컴퓨터 일부를 공격 할 수 있다고 우려하고 있다. 특히 패치되지 않은 윈도우 시스템으로 구동되는 컴퓨터가 특히 위험에 처해 있다는 진단이다. 시스템을 재부팅하면 NSA의 삽입물은 제거되지만 임플란트와 관련된 모든 맬웨어가 제거되지 않는다. 제닝스는 ‘Dubl...

맬웨어 스파이웨어 감시 NSA 커머셜 취약성

2017.04.24

조직의 컴퓨터가 NSA의 감시 도구에 감염됐는지 의심스러운 이들이 환영할 만한 도구가 등장했다. 이를 쉽게 감지할 수 있다는 무료 도구가 등장해 눈길을 끌고 있다. 보안 업체 커머셜(Countercept)의 루크 제닝스는 지난주 NSA가 유포한 것으로 추정되는 사이버 무기에 대응해 작성한 스크립트를 공개했다. ‘Dublepulsar’라고 불리는 NSA의 이 감시 도구 삽입물은 윈도우 기반 취약성에 의해 배포되며 다른 맬웨어를 실행시키는 재주를 갖췄다. 제닝스의 이번 스크립트는 현재 기트허브에서 다운로드할 수 있다. 단 사용을 위해서는 약간의 프로그래밍 기술이 필요하다. 한편 몇몇 보안 전문가들이 제닝스의 스크립트를 사용하여 임플란트에 감염된 시스템을 인터넷에서 검색했다. 그 결과, 약 3만 ~ 10만 대의 컴퓨터가 ‘Dublepulsar’에 감염된 것으로 추정되고 있다. 이 중 침투 테스트 기업 빌로우0데이(Below0Day)는 감염 컴퓨터가 분포한 국가를 의미하는 트위터 그래프를 작성하기도 했다. 이에 따르면 미국에는 약 1 만 1,000대의 감염된 컴퓨터가 존재하며, 영국, 대만, 독일을 비롯한 여러 국가에서 1,500 대 이상의 컴퓨터가 감염돼 있었다. 제닝스는 이들 컴퓨터들이 악성 코드에 감염된 시기가 분명하지 않다고 밝히면서도, ‘Doublepulsar’를 배포하는 것으로 추정되는 NSA의 도구가 일주일 전에 누출됐으며 이 시점부터 해킹 역량을 가진 이들이 이용하기 시작했었을 수 있다고 분석했다. . 몇몇 보안 전문가들은 사이버 범죄자나 외국 정부가 이번 취약성을 악용해 인터넷으로 구형 컴퓨터 일부를 공격 할 수 있다고 우려하고 있다. 특히 패치되지 않은 윈도우 시스템으로 구동되는 컴퓨터가 특히 위험에 처해 있다는 진단이다. 시스템을 재부팅하면 NSA의 삽입물은 제거되지만 임플란트와 관련된 모든 맬웨어가 제거되지 않는다. 제닝스는 ‘Dubl...

2017.04.24

NSA의 해외 감시, 알아둘 만한 5가지

논란을 일으킨 미 법률 하나가 올 해 말 시효 만료된다. 국가안보국(National Security Agency, NSA)에 해외 사람들을 감시할 수 있는 광범위한 권한을 제공하는 조항이다. 이에 따라 미국의 감시 법률 및 그 적용 범위에 대한 논쟁이 12월 31일까지 뜨겁게 이어질 전망이다. 여기서 주목해야 할 것 중 하나는 감시와 관련해 미국 체류자들의 통신을 처리하는 방식이다. 일각의 비평가들은 미국 이메일, 문자 메시지, 채팅 로그 등 수백, 수천 만 개의 대상이 해외정보감시법(FISA ; Foreign Intelligence Surveillance Act)의 섹션 702에 따라 법적으로 허용된 감시를 받게 된다고 지적하고 있다. 설명에 따르면 NSA의 해외 감시 대상과 소통하는 미국 체류자의 데이터는 NSA가 말하는 ‘우발적인’(incidental) 수집 작업 중 수집되게 된다. 그러면 FBI가 이런 통신을 조사할 수 있다. 그러나 이러한 일이 얼마나 자주 있을지는 아직 알 수 없다. 뜨거운 논란 주제로 부상한 섹션 702에 대해 알아둬야 할 정보를 정리했다. 섹션 702 감시란 무엇인가? 해외정보감시법(FISA)의 섹션 702는 2013년 전직 NSA요원 에드워드 스노든이 밝힌 것처럼 NSA가 프리즘(Prism)과 업스트림(Upstream) 같은 프로그램을 실행하기 위해 필요한 권한을 다루고 있다. 미 정보 기관들은 섹션 702를 테러와의 전쟁에서 ‘가장 중요한 툴’이라고 불렀다고 3월 1일 의회 청문회 중 버지니아(Virginia)의 공화당원 밥 굿라떼가 말했다. 이 밖에 섹션 702 감시 조항은 미 정부가 테러와의 전쟁을 진행함에 있어 “필수적”이라고 NSA에서 13년 동안 변호사로 근무한 에이프릴 도스(April Doss)가 표현했다. “나는 NSA 근무하는 동안 미군들을 지원하고 미국과 우방의 안전을 위협하는 테러 계획과 의도를 감지...

감시 FBI NSA 감청 섹션 702

2017.03.16

논란을 일으킨 미 법률 하나가 올 해 말 시효 만료된다. 국가안보국(National Security Agency, NSA)에 해외 사람들을 감시할 수 있는 광범위한 권한을 제공하는 조항이다. 이에 따라 미국의 감시 법률 및 그 적용 범위에 대한 논쟁이 12월 31일까지 뜨겁게 이어질 전망이다. 여기서 주목해야 할 것 중 하나는 감시와 관련해 미국 체류자들의 통신을 처리하는 방식이다. 일각의 비평가들은 미국 이메일, 문자 메시지, 채팅 로그 등 수백, 수천 만 개의 대상이 해외정보감시법(FISA ; Foreign Intelligence Surveillance Act)의 섹션 702에 따라 법적으로 허용된 감시를 받게 된다고 지적하고 있다. 설명에 따르면 NSA의 해외 감시 대상과 소통하는 미국 체류자의 데이터는 NSA가 말하는 ‘우발적인’(incidental) 수집 작업 중 수집되게 된다. 그러면 FBI가 이런 통신을 조사할 수 있다. 그러나 이러한 일이 얼마나 자주 있을지는 아직 알 수 없다. 뜨거운 논란 주제로 부상한 섹션 702에 대해 알아둬야 할 정보를 정리했다. 섹션 702 감시란 무엇인가? 해외정보감시법(FISA)의 섹션 702는 2013년 전직 NSA요원 에드워드 스노든이 밝힌 것처럼 NSA가 프리즘(Prism)과 업스트림(Upstream) 같은 프로그램을 실행하기 위해 필요한 권한을 다루고 있다. 미 정보 기관들은 섹션 702를 테러와의 전쟁에서 ‘가장 중요한 툴’이라고 불렀다고 3월 1일 의회 청문회 중 버지니아(Virginia)의 공화당원 밥 굿라떼가 말했다. 이 밖에 섹션 702 감시 조항은 미 정부가 테러와의 전쟁을 진행함에 있어 “필수적”이라고 NSA에서 13년 동안 변호사로 근무한 에이프릴 도스(April Doss)가 표현했다. “나는 NSA 근무하는 동안 미군들을 지원하고 미국과 우방의 안전을 위협하는 테러 계획과 의도를 감지...

2017.03.16

'이퀘이젼 사이버첩보 그룹의 배후엔 NSA와 CIA가...' 유출된 CIA 문서에서 확인

지난 7일 유출된 CIA 문서는 이퀘이젼(Equation)이라 부르는 그룹이 갖고 있었던 악성코드 도구와 그 운영에 대한 책임이 NSA(National Security Agency)와 CIA 본부 가운데 하나에 있다는 것을 확인시켜줬다. Credit: Michael Kan 이퀘이젼의 사이버첩보 활동은 2015년 2월 카스퍼스키랩의 연구원들에 의해 보고됐는데, 이 그룹은 정교한 자체 도구와 운영 기간을 바탕으로 전세계에서 가장 최첨단의 사이버첩보 그룹으로 널리 알려져 있다. 이들의 활동 일부는 1996년까지 거슬러 올라간다. 초기부터 이퀘이젼에 의해 사용된 이 도구와 기술들은 2013년 에드워드 스노든에 의해 유출된 비밀문서에서 설명한 그것과 상당히 유사한 점을 갖고 있었다. 이런 관계에 대한 의문은 이퀘이젼 악성코드와 NSA 파일 내에 있는 다양한 코드 이름간의 유사성으로 인해 더욱 짙어졌다. 위키리크스가 유출한 새로운 CIA 문서에는 이퀘이젼 그룹에 대한 카스퍼스키의 분석 보고서가 나온 후 당국의 기술 자문 위원회의 회원 간 2015년 토론도 포함되어 있다. 이 토론의 내용은 대부분 카스퍼스키 연구원들이 다양한 도구 간의 관계와 그룹간 연계성을 알아내게 한 이퀘이젼의 잘못이 무엇인 지에 대해 초점을 맞추고 있었다. 이들의 목표는 CIA 자체 사이버 팀들이 이번 실수로부터 자체 툴과 운영에서 이런 실수를 피하는 것이었다. 토론 중에 발견된 이퀘이젼의 실수들은 오픈SSL 또는 마이크소프트의 크립토API와 같은 표준 라이브러리에 의존하지 않고 사용자 지정 암호화 구현을 사용한 것과 프로그램 데이터베이스 내에 식별할 만한 문자열을 남겨둔 점, 고유 뮤텍스(mutexes) 사용과 익스플로잇 재사용 등이 포함되어 있었다. 이 토론 중에 한 회원은 "이 보고서에 표시된 이퀘이젼 그룹은 특정 그룹과 연관이 없으며, 도구 모음도 일부만"이라고 말했다. TAO는 NSA의 맞춤형 접속 운영 사무소(Office of...

CIA NSA Equation 이퀘이젼

2017.03.10

지난 7일 유출된 CIA 문서는 이퀘이젼(Equation)이라 부르는 그룹이 갖고 있었던 악성코드 도구와 그 운영에 대한 책임이 NSA(National Security Agency)와 CIA 본부 가운데 하나에 있다는 것을 확인시켜줬다. Credit: Michael Kan 이퀘이젼의 사이버첩보 활동은 2015년 2월 카스퍼스키랩의 연구원들에 의해 보고됐는데, 이 그룹은 정교한 자체 도구와 운영 기간을 바탕으로 전세계에서 가장 최첨단의 사이버첩보 그룹으로 널리 알려져 있다. 이들의 활동 일부는 1996년까지 거슬러 올라간다. 초기부터 이퀘이젼에 의해 사용된 이 도구와 기술들은 2013년 에드워드 스노든에 의해 유출된 비밀문서에서 설명한 그것과 상당히 유사한 점을 갖고 있었다. 이런 관계에 대한 의문은 이퀘이젼 악성코드와 NSA 파일 내에 있는 다양한 코드 이름간의 유사성으로 인해 더욱 짙어졌다. 위키리크스가 유출한 새로운 CIA 문서에는 이퀘이젼 그룹에 대한 카스퍼스키의 분석 보고서가 나온 후 당국의 기술 자문 위원회의 회원 간 2015년 토론도 포함되어 있다. 이 토론의 내용은 대부분 카스퍼스키 연구원들이 다양한 도구 간의 관계와 그룹간 연계성을 알아내게 한 이퀘이젼의 잘못이 무엇인 지에 대해 초점을 맞추고 있었다. 이들의 목표는 CIA 자체 사이버 팀들이 이번 실수로부터 자체 툴과 운영에서 이런 실수를 피하는 것이었다. 토론 중에 발견된 이퀘이젼의 실수들은 오픈SSL 또는 마이크소프트의 크립토API와 같은 표준 라이브러리에 의존하지 않고 사용자 지정 암호화 구현을 사용한 것과 프로그램 데이터베이스 내에 식별할 만한 문자열을 남겨둔 점, 고유 뮤텍스(mutexes) 사용과 익스플로잇 재사용 등이 포함되어 있었다. 이 토론 중에 한 회원은 "이 보고서에 표시된 이퀘이젼 그룹은 특정 그룹과 연관이 없으며, 도구 모음도 일부만"이라고 말했다. TAO는 NSA의 맞춤형 접속 운영 사무소(Office of...

2017.03.10

FBI, 정부 IT 계약자 체포··· "NSA 기밀정보 유출 혐의"

FBI가 정부와 계약을 맺고 업무를 해온 외부 전문가를 체포했다. 기밀자료를 빼돌린 혐의를 받고 있는데, 이 자료에는 NSA가 사용하는 해킹툴이 포함됐을 가능성도 있는 것으로 알려졌다. Image Credit: NSA 체포된 사람은 올해 51살인 헤럴드 토마스 마틴 3세이다. 5일 미국 법무부는 그가 1급 기밀 정보가 포함된 정부 문서를 유출한 혐의를 받고 있다고 밝혔다. 마틴은 1급 기밀 사항 취급 허가를 갖고 있으며 2014년에 6건의 기밀 문서를 작성한 것으로 알려졌다. 법무부는 "이들 문서는 기밀 정부 자료와 방법, 능력을 이용해 만들어졌으며, 국가 안보의 다양한 측면에서 치명적인 내용을 담고 있다"고 설명했다. 이와 관련해서 뉴욕타임스는 마틴이 NSA와 계약을 맺고 일해 온 외부 전문가이며 외국 정부를 해킹할 수 있는 기밀 컴퓨터 프로그램을 유출한 혐의로 체포됐다고 보도했다. 그는 컨설팅 업체 부즈 앨런 해밀턴(Booz Allen Hamilton) 소속인데, 과거 NSA의 민간인 사찰을 폭로했던 에드워드 스노든이 일했던 업체이기도 하다. NSA의 인프라스트럭처를 관리하고 있다. 업체는 마틴 관련된 사안에 대한 취재에 대해 답변을 거부했다. 마틴은 지난 8월 27일 체포됐다. 섀도우브로커(ShadowBrokers)라 불리는 익명의 해커들이 NSA가 사용한다는 해킹 툴을 공개하고 일주일 이상 지난 시점이었다. 이 툴의 샘플 파일의 최신 갱신 날짜는 2013년이었다. 마틴의 체포가 이 사건과 관련이 있는지는 확실치 않다. 그러나 일부 보안 전문가는 NSA 내부자가 섀도우브로커 유출의 배후에 있을 것으로 추정한다. 이 해킹 툴의 샘플 파일이 실제로 작동하고 해킹 측면에서 다소 가치가 있기 때문이다. 법무부의 형사고발 내용을 보면, 마틴은 초기 심문 과정에서 어떤 정부 자료도 외부로 유출하지 않았다고 부인했다. 그러나 이후 이를 유출했고 승인절차를 밟지 않았음을 시인했다. 마틴의 변호사는 마틴이 이적행위를 ...

FBI NSA 스노우든

2016.10.06

FBI가 정부와 계약을 맺고 업무를 해온 외부 전문가를 체포했다. 기밀자료를 빼돌린 혐의를 받고 있는데, 이 자료에는 NSA가 사용하는 해킹툴이 포함됐을 가능성도 있는 것으로 알려졌다. Image Credit: NSA 체포된 사람은 올해 51살인 헤럴드 토마스 마틴 3세이다. 5일 미국 법무부는 그가 1급 기밀 정보가 포함된 정부 문서를 유출한 혐의를 받고 있다고 밝혔다. 마틴은 1급 기밀 사항 취급 허가를 갖고 있으며 2014년에 6건의 기밀 문서를 작성한 것으로 알려졌다. 법무부는 "이들 문서는 기밀 정부 자료와 방법, 능력을 이용해 만들어졌으며, 국가 안보의 다양한 측면에서 치명적인 내용을 담고 있다"고 설명했다. 이와 관련해서 뉴욕타임스는 마틴이 NSA와 계약을 맺고 일해 온 외부 전문가이며 외국 정부를 해킹할 수 있는 기밀 컴퓨터 프로그램을 유출한 혐의로 체포됐다고 보도했다. 그는 컨설팅 업체 부즈 앨런 해밀턴(Booz Allen Hamilton) 소속인데, 과거 NSA의 민간인 사찰을 폭로했던 에드워드 스노든이 일했던 업체이기도 하다. NSA의 인프라스트럭처를 관리하고 있다. 업체는 마틴 관련된 사안에 대한 취재에 대해 답변을 거부했다. 마틴은 지난 8월 27일 체포됐다. 섀도우브로커(ShadowBrokers)라 불리는 익명의 해커들이 NSA가 사용한다는 해킹 툴을 공개하고 일주일 이상 지난 시점이었다. 이 툴의 샘플 파일의 최신 갱신 날짜는 2013년이었다. 마틴의 체포가 이 사건과 관련이 있는지는 확실치 않다. 그러나 일부 보안 전문가는 NSA 내부자가 섀도우브로커 유출의 배후에 있을 것으로 추정한다. 이 해킹 툴의 샘플 파일이 실제로 작동하고 해킹 측면에서 다소 가치가 있기 때문이다. 법무부의 형사고발 내용을 보면, 마틴은 초기 심문 과정에서 어떤 정부 자료도 외부로 유출하지 않았다고 부인했다. 그러나 이후 이를 유출했고 승인절차를 밟지 않았음을 시인했다. 마틴의 변호사는 마틴이 이적행위를 ...

2016.10.06

'이번엔 시스코' 네트워크 장비 84만대, 보안 취약점에 노출

전 세계 84만 대 이상의 시스코 네트워크 장비가 보안 취약점에 노출됐다. 미국 국가안보국(NSA)과 관련된 것으로 추정되는 해킹 그룹에 의해 공개된 것과 비슷한 보안 취약점이다. Image Credit: Gerd Altmann/Pixabay 이 보안 취약점은 지난주 시스코의 발표로 알려졌다. 여러 네트워킹 장비에서 사용되는 IOS, IOS XE, IOS XR 소프트웨어 등에 영향을 준다. 이를 이용하면 해커가 원격으로 장비 메모리 내용을 추출해 민감한 정보를 외부로 유출할 수 있다. 이 보안 취약점은 운영체제가 IKEv1(Internet Key Exchange version 1) 요구를 처리하는 과정에서 발생한다. 이 키 변환 프로토톨은 VPN(Virtual Private Networks)을 비롯해 기업 환경에서 인기가 높은 여러 기능에 사용된다. 시스코는 자체적으로 시스코 PIX 방화벽 취약점을 분석하는 과정에서 이 보안 취약점을 발견했다. 이 취약점은 지난달 '셰도우 브로커(Shadow Brokers)'라 불리는 해킹 툴을 통해 알려졌다. 이 툴은 사이버스파이 그룹이 사용한다고 알려진 것으로, 여기에는 NSA도 포함된다는 분석이 있다. 시스코는 현재 이에 대한 패치를 개발하고 있을 뿐 배포 단계는 아니다. 그러나 다른 해커도 이 취약점을 분석해 같은 보안 구멍을 찾았을 가능성이 있으므로, 일단 장비 사용자에게 관련 정보를 공개하기로 했다. 이번 취약점의 영향을 받는 IOS, IOS XE, IOS XR 릴리즈 대부분은 아직 수정된 버전이 없다. 그러나 시스코는 침입방지시스템(IPS)용 감지 시그니처를 공개해, 잠재적인 공격으로부터 네트워크를 보호할 수 있도록 했다. 이와 함께 사이버범죄를 추적하고 봇넷 피해 대응을 지원하는 셰도우서버 파운데이션(Shadowserver Foundation)도 인터넷 전반에 대한 스캔을 시작했다. 이 보안취약점의 영향을 받는 시스코 장비를 찾아 장비 운영자에게 알려주기...

해킹 시스코 NSA 보안 취약점 네트워크 장비

2016.09.22

전 세계 84만 대 이상의 시스코 네트워크 장비가 보안 취약점에 노출됐다. 미국 국가안보국(NSA)과 관련된 것으로 추정되는 해킹 그룹에 의해 공개된 것과 비슷한 보안 취약점이다. Image Credit: Gerd Altmann/Pixabay 이 보안 취약점은 지난주 시스코의 발표로 알려졌다. 여러 네트워킹 장비에서 사용되는 IOS, IOS XE, IOS XR 소프트웨어 등에 영향을 준다. 이를 이용하면 해커가 원격으로 장비 메모리 내용을 추출해 민감한 정보를 외부로 유출할 수 있다. 이 보안 취약점은 운영체제가 IKEv1(Internet Key Exchange version 1) 요구를 처리하는 과정에서 발생한다. 이 키 변환 프로토톨은 VPN(Virtual Private Networks)을 비롯해 기업 환경에서 인기가 높은 여러 기능에 사용된다. 시스코는 자체적으로 시스코 PIX 방화벽 취약점을 분석하는 과정에서 이 보안 취약점을 발견했다. 이 취약점은 지난달 '셰도우 브로커(Shadow Brokers)'라 불리는 해킹 툴을 통해 알려졌다. 이 툴은 사이버스파이 그룹이 사용한다고 알려진 것으로, 여기에는 NSA도 포함된다는 분석이 있다. 시스코는 현재 이에 대한 패치를 개발하고 있을 뿐 배포 단계는 아니다. 그러나 다른 해커도 이 취약점을 분석해 같은 보안 구멍을 찾았을 가능성이 있으므로, 일단 장비 사용자에게 관련 정보를 공개하기로 했다. 이번 취약점의 영향을 받는 IOS, IOS XE, IOS XR 릴리즈 대부분은 아직 수정된 버전이 없다. 그러나 시스코는 침입방지시스템(IPS)용 감지 시그니처를 공개해, 잠재적인 공격으로부터 네트워크를 보호할 수 있도록 했다. 이와 함께 사이버범죄를 추적하고 봇넷 피해 대응을 지원하는 셰도우서버 파운데이션(Shadowserver Foundation)도 인터넷 전반에 대한 스캔을 시작했다. 이 보안취약점의 영향을 받는 시스코 장비를 찾아 장비 운영자에게 알려주기...

2016.09.22

주니퍼 방화벽 불량 코드 사태... 알아야 할 정보들

주니퍼 네트웍스는 고객들에게 공격자들이 넷스크린(NetScreen) 기업 방화벽을 장악해 회사 사이트와 모바일 종사자들 간 VPN 트래픽을 복호화할 수 있도록 하는 불량코드(bad code)에 대해 패치하라고 강력하게 권고하고 있다. 주니퍼는 보안 안내에서 "이 위험은 공격자들이 이 코드를 악용해 넷스크린 장비에 대한 관리자급 권한을 획득해 VPN 커넥션을 복호화할 수 있다는 점"이라고 밝혔다. 공격자들은 이 취약점을 악용해 해킹 추적을 힘들게 하기 위해 로그 파일들을 없앨 수 있다. 이에 대해 기업고객들이 해야 할 것이 무엇인지 주니퍼와의 질문과 대답을 들어보자. Q. 영향을 받는 장비들은 어떤 것인가? A. 스크린OS 6.2.0r15에서 6.2.0r18, 그리고 6.3.0r12에서 6.3.0r20이 실행되는 장비들이다. 이에는 넷스크린-5200과 넷스크린-5400 기업 방화벽이 포함된다. Q. 고객들이 해야할 일은 무엇인가? A. 우리는 모든 고객들에게 자사의 시스템들을 업데이트하고 최우선으로 패치된 릴리스를 적용하라고 강력하게 권고하고 있다. Q. 패치는 어디서 찾을 수 있나? A. 주니퍼 홈페이지에서 다운로드받을 수 있다. Q. 패치 말고 다른 방법은 없는가? A. 없다. Q. 스파이웨어가 영향을 받은 장비를 해킹하는데 사용된 적이 있는가? A. 12월 17일까지 우리는 이번 취약점을 악용됐다는 어떤 보고서도 받은 적이 없다. Q. 얼마나 많은 장비들이 영향을 받은 것인가? A. 말할 수 없다. Q. 이 불량코드는 어떻게 발견한 것인가? A. 이는 최근 내부 코드 검토 중에 발견했다. 코드 검토를 언제 했는지, 왜 착수하게 됐는 지는 말할 수 없다. Q. 주니퍼는 이 문제를 어떻게 생각하는가? Q. 우리는 스크린OS 내 공인되지 않은 코드를 발견했다. 숙련된 공격자는 이를 악용해 넷스크린 장비에 대한 관리자급 접속 권한을 획득하고 VPN 커넥션을 복호화할 수 ...

보안 불량코드 넷스크린 VPN 트래픽 복호화 VPN 커넥션 복호화 방화벽 주니퍼 NSA 해킹 스크린OS

2015.12.22

주니퍼 네트웍스는 고객들에게 공격자들이 넷스크린(NetScreen) 기업 방화벽을 장악해 회사 사이트와 모바일 종사자들 간 VPN 트래픽을 복호화할 수 있도록 하는 불량코드(bad code)에 대해 패치하라고 강력하게 권고하고 있다. 주니퍼는 보안 안내에서 "이 위험은 공격자들이 이 코드를 악용해 넷스크린 장비에 대한 관리자급 권한을 획득해 VPN 커넥션을 복호화할 수 있다는 점"이라고 밝혔다. 공격자들은 이 취약점을 악용해 해킹 추적을 힘들게 하기 위해 로그 파일들을 없앨 수 있다. 이에 대해 기업고객들이 해야 할 것이 무엇인지 주니퍼와의 질문과 대답을 들어보자. Q. 영향을 받는 장비들은 어떤 것인가? A. 스크린OS 6.2.0r15에서 6.2.0r18, 그리고 6.3.0r12에서 6.3.0r20이 실행되는 장비들이다. 이에는 넷스크린-5200과 넷스크린-5400 기업 방화벽이 포함된다. Q. 고객들이 해야할 일은 무엇인가? A. 우리는 모든 고객들에게 자사의 시스템들을 업데이트하고 최우선으로 패치된 릴리스를 적용하라고 강력하게 권고하고 있다. Q. 패치는 어디서 찾을 수 있나? A. 주니퍼 홈페이지에서 다운로드받을 수 있다. Q. 패치 말고 다른 방법은 없는가? A. 없다. Q. 스파이웨어가 영향을 받은 장비를 해킹하는데 사용된 적이 있는가? A. 12월 17일까지 우리는 이번 취약점을 악용됐다는 어떤 보고서도 받은 적이 없다. Q. 얼마나 많은 장비들이 영향을 받은 것인가? A. 말할 수 없다. Q. 이 불량코드는 어떻게 발견한 것인가? A. 이는 최근 내부 코드 검토 중에 발견했다. 코드 검토를 언제 했는지, 왜 착수하게 됐는 지는 말할 수 없다. Q. 주니퍼는 이 문제를 어떻게 생각하는가? Q. 우리는 스크린OS 내 공인되지 않은 코드를 발견했다. 숙련된 공격자는 이를 악용해 넷스크린 장비에 대한 관리자급 접속 권한을 획득하고 VPN 커넥션을 복호화할 수 ...

2015.12.22

NSA CIO가 설명하는 내외부 보안 위협을 막는 방법

전직 직원 에드워드 스노든이 2년 전 비밀 정보를 조금씩 빼내 폭로한 사건 이후 미국 NSA는 사이버 위협 감지 능력에 크게 집중해왔다. NSA CIO 그렉 스미스버거는 CIO와의 대담에서 "NSA는 행동 분석(behavior analytics)를 포함한 다계층 탐지 능력으로 스토리지, 컴퓨팅, 운영 분석을 제공하는 프라이빗 클라우드를 보호하고 있다"고 말했다. 지난 27년간 다양한 해외 정보활동을 해오다 6개월 전 CIO 역할을 맡게 된 스미스버거는 "우리가 해외 임무를 위해 개발해 왔던 수많은 기술, 우리가 IAD(Information Assurance Directorate) 내에서 개발했던 기술, 빅데이터 분석을 제대로 활용하기 위해 진행중인 수많은 이니셔티브들이 있다"고 전했다. 스미스버거는 NSA가 이러한 기술을 활용해 외부 공격에서부터 의심스러운 내부 활동까지 이상상황을 감지하고 대응하는 능력을 향상시키고 있다고 말한다. NSA는 NSA에서 근무하던 에드워드 스노든이 2013년 미국과 해외에서의 대화내역을 감시하는 비밀 프로그램을 상세하게 보여주는 문서를 공개하기 시작하면서 주류 언론과 프라이버시 보호 시민단체들의 거센 비판에 시달려왔다. NSA, 애널리틱스를 통해 내외부 위협 방어 스미스버거에 따르면 NSA는 내부 분석가, 정보원, 엔지니어들이 다양한 정보 수집 활동에서 사용하는 자체 네트워크에 대한 위협 감지도 향상시켜왔다. 스미스버거는 인증된 사용자가 이상한 시간에 일상적이지 않은 지리적 장소에서 네트워크에 접속할 때 같은 비일상적 상황을 포착하는 역량을 예로 들었다. 예를 들어 보통 오전 7시에서 오후 7시 사이에 민감한 정보에 접속하는 버지니아주에 위치한 NSA 분석가가 동일한 정보에 대한 접속을 이스라엘 텔아비브에서 오전 3시에 요청하는 상황을 생각해볼 수 있다. 가트너 분석가 아비바 리탄의 조사에 의하면 프로파일링과 기계 학습에 기...

클라우드 IAD behavior analytics 계층별 보안 애널리틱스 퍼블릭 클라우드 NSA 프라이빗 클라우드 빅데이터 보안 ICITE

2015.12.10

전직 직원 에드워드 스노든이 2년 전 비밀 정보를 조금씩 빼내 폭로한 사건 이후 미국 NSA는 사이버 위협 감지 능력에 크게 집중해왔다. NSA CIO 그렉 스미스버거는 CIO와의 대담에서 "NSA는 행동 분석(behavior analytics)를 포함한 다계층 탐지 능력으로 스토리지, 컴퓨팅, 운영 분석을 제공하는 프라이빗 클라우드를 보호하고 있다"고 말했다. 지난 27년간 다양한 해외 정보활동을 해오다 6개월 전 CIO 역할을 맡게 된 스미스버거는 "우리가 해외 임무를 위해 개발해 왔던 수많은 기술, 우리가 IAD(Information Assurance Directorate) 내에서 개발했던 기술, 빅데이터 분석을 제대로 활용하기 위해 진행중인 수많은 이니셔티브들이 있다"고 전했다. 스미스버거는 NSA가 이러한 기술을 활용해 외부 공격에서부터 의심스러운 내부 활동까지 이상상황을 감지하고 대응하는 능력을 향상시키고 있다고 말한다. NSA는 NSA에서 근무하던 에드워드 스노든이 2013년 미국과 해외에서의 대화내역을 감시하는 비밀 프로그램을 상세하게 보여주는 문서를 공개하기 시작하면서 주류 언론과 프라이버시 보호 시민단체들의 거센 비판에 시달려왔다. NSA, 애널리틱스를 통해 내외부 위협 방어 스미스버거에 따르면 NSA는 내부 분석가, 정보원, 엔지니어들이 다양한 정보 수집 활동에서 사용하는 자체 네트워크에 대한 위협 감지도 향상시켜왔다. 스미스버거는 인증된 사용자가 이상한 시간에 일상적이지 않은 지리적 장소에서 네트워크에 접속할 때 같은 비일상적 상황을 포착하는 역량을 예로 들었다. 예를 들어 보통 오전 7시에서 오후 7시 사이에 민감한 정보에 접속하는 버지니아주에 위치한 NSA 분석가가 동일한 정보에 대한 접속을 이스라엘 텔아비브에서 오전 3시에 요청하는 상황을 생각해볼 수 있다. 가트너 분석가 아비바 리탄의 조사에 의하면 프로파일링과 기계 학습에 기...

2015.12.10

하둡 창시자, 개발자들에게 NSA 감시 언급… '신뢰' 강조

하둡 창시자가 대중의 신뢰를 잃으면 애플리케이션 사용률이 떨어진다고 경고했다. 하둡 창시자는 웹 애플리케이션 개발자가 먼저 대중의 신뢰를 염두에 둬야 한다며 미국 국가안전보장국(NSA)의 감시는 빅데이터가 미래에 주의할 점이 무엇인지를 생각하게 한다고 말했다. 2004년 맵리듀스 프레임워크의 오픈소스 구현을 개발했던 더그 커팅은 빅데이터 분석이 새로운 소비자 데이터를 수집하고 방대한 과거 이력 정보를 분석하기 위한 수문을 열었다고 밝혔다. 예를 들어 NSA는 대용량 데이터 수집 프로그램 관련 빅데이터 분석을 위한 하둡을 사용하고 있다. NSA은 애국법을 이유로 전화나 사업 비밀 등 광범위한 정보를 수집한 데 대해 상당한 비판을 받아 왔다. 데모 트랙션 엔터프라이즈 컨퍼런스의 연사로 나섰던 커팅은 NSA의 처음이자 가장 큰 실수가 드러난 것이라고 지적했다. "스노든의 폭로로 NSA가 곤욕을 치렀는데 이 사건은 NSA가 무슨 일을 하고 있고 왜 하는지에 대해 사람들이 자세히 알지 못했기 때문에 신뢰할 수 없는 기관의 사례가 된 일이었다고 생각한다. 우리가 수집하는 데이터가 누구의 것이고 그것으로 무엇을 하는지에 대해 사람들이 신뢰하도록 해야 한다"고 그는 말했다. "신뢰는 초기 단계부터 구축해야 한다"고 커팅은 개발자들에게 당부했다. 현재 하둡 서비스 회사 클라우드데라의 수석 아키텍트인 커팅은 “믿지 않는 벤더들에게 거절하고 싶기 때문에 자신들의 모든 커뮤니케이션 필요를 위한 하나의 웹 플랫폼 사용을 거부하는 친구들이 있다”고 밝혔다. 예를 들어, 사람들은 자신들의 소셜과 업무 일정을 하나의 애플리케이션에 보관하고 이메일을 다른 앱에 보관할 것이라고 그는 전했다. 이렇게 하는 게 더 불편하긴 하지만 정보가 한 곳에 있지 않기 때문에 안전하다는 생각이 들게 한다고 그는 덧붙였다. "사람들이 서비스를 제공하는 업체를 신뢰하지 않는다면, 그 업체는 ...

빅데이터 개발자 하둡 NSA 더그 커팅 신뢰 NSA 스누핑

2015.09.21

하둡 창시자가 대중의 신뢰를 잃으면 애플리케이션 사용률이 떨어진다고 경고했다. 하둡 창시자는 웹 애플리케이션 개발자가 먼저 대중의 신뢰를 염두에 둬야 한다며 미국 국가안전보장국(NSA)의 감시는 빅데이터가 미래에 주의할 점이 무엇인지를 생각하게 한다고 말했다. 2004년 맵리듀스 프레임워크의 오픈소스 구현을 개발했던 더그 커팅은 빅데이터 분석이 새로운 소비자 데이터를 수집하고 방대한 과거 이력 정보를 분석하기 위한 수문을 열었다고 밝혔다. 예를 들어 NSA는 대용량 데이터 수집 프로그램 관련 빅데이터 분석을 위한 하둡을 사용하고 있다. NSA은 애국법을 이유로 전화나 사업 비밀 등 광범위한 정보를 수집한 데 대해 상당한 비판을 받아 왔다. 데모 트랙션 엔터프라이즈 컨퍼런스의 연사로 나섰던 커팅은 NSA의 처음이자 가장 큰 실수가 드러난 것이라고 지적했다. "스노든의 폭로로 NSA가 곤욕을 치렀는데 이 사건은 NSA가 무슨 일을 하고 있고 왜 하는지에 대해 사람들이 자세히 알지 못했기 때문에 신뢰할 수 없는 기관의 사례가 된 일이었다고 생각한다. 우리가 수집하는 데이터가 누구의 것이고 그것으로 무엇을 하는지에 대해 사람들이 신뢰하도록 해야 한다"고 그는 말했다. "신뢰는 초기 단계부터 구축해야 한다"고 커팅은 개발자들에게 당부했다. 현재 하둡 서비스 회사 클라우드데라의 수석 아키텍트인 커팅은 “믿지 않는 벤더들에게 거절하고 싶기 때문에 자신들의 모든 커뮤니케이션 필요를 위한 하나의 웹 플랫폼 사용을 거부하는 친구들이 있다”고 밝혔다. 예를 들어, 사람들은 자신들의 소셜과 업무 일정을 하나의 애플리케이션에 보관하고 이메일을 다른 앱에 보관할 것이라고 그는 전했다. 이렇게 하는 게 더 불편하긴 하지만 정보가 한 곳에 있지 않기 때문에 안전하다는 생각이 들게 한다고 그는 덧붙였다. "사람들이 서비스를 제공하는 업체를 신뢰하지 않는다면, 그 업체는 ...

2015.09.21

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6