Offcanvas

���������������������

소셜 엔지니어링에 대한 5가지 착각 

소셜 엔지니어링(social engineering)은 기술적 해킹 기법을 사용하는 대신, 사람의 심리를 악용해 시스템에 침입하는 공격 수법이다. 사이버 공격 대다수에서 활용되고 있지만 이를 방어하지 못하는 경우가 꽤 있다. 보안 전문 업체 프루프포인트(Proofpoint)는 그 피해가 잘못된 통념으로 더 심화되고 있다고 지적한다.   프루프포인트의 위협 연구 및 감지 부문 부사장 셔로드 드그리포는 “보안 요소를 아무리 탄탄히 갖춰도 매년 수십억 달러 규모의 해킹 피해가 발생한다”라며 “보안성을 높이기 위한 노력이 대부분 물리적 기기 및 클라우드 기반 인프라를 보호하는 데 집중되다보니, 상대적으로 허술한 사람을 공격하는 해킹이 늘고 관련 기법이 정교화되고 있다”라고 설명했다.  실제로 해커는 예상하지 못하는 방식으로 오랜 기간에 걸쳐 소셜 엔지니어링 공격을 수행하며, 그 공격을 피하기는 점점 어려워지고 있다. 프루프포인트는 소셜 엔지니어링 피해를 줄이기 위해 알아야할 잘못된 통념 5가지를 다음과 같이 소개했다.  착각 1. 해커는 공격 대상과 대화하지 않는다  많은 사람이 공격자는 피해자와 우호적 관계를 구축하는 데 시간과 노력을 투자하지 않는다고 생각한다. 실제는 그렇지 않다. 해커는 대화를 시작하기 위해 친근한 이메일을 많이 보낸다. 프루프포인트 보고서에 따르면 “해커는 소셜 엔지니어링 피해자가 악의적인 컨텐츠에 정신적으로 열중할 수 있게 감정을 부추긴다. 사용자가 안정감을 느끼도록 의도적으로 친근한 이메일을 보내고 관계를 쌓아 악용한다”라고 설명했다.  프루프포인트가 조사한 결과, 비즈니스 이메일 훼손(BEC), 악성코드 배포, 국가를 상대로 한 지능형 지속 공격(APT) 등을 시작하기 위해 대화를 우호적으로 구축하는 사례가 많았다. 대표적으로 TA453, TA406, TA499 같은 공격자가 이와 같은 전략을 취했다. 착각 2. 합법적인 서비스는 소셜 엔지니어링 공격으로부터 안전하다 사람들은 자신이 잘 ...

소셜엔지니어링 해커 이메일

2022.07.04

소셜 엔지니어링(social engineering)은 기술적 해킹 기법을 사용하는 대신, 사람의 심리를 악용해 시스템에 침입하는 공격 수법이다. 사이버 공격 대다수에서 활용되고 있지만 이를 방어하지 못하는 경우가 꽤 있다. 보안 전문 업체 프루프포인트(Proofpoint)는 그 피해가 잘못된 통념으로 더 심화되고 있다고 지적한다.   프루프포인트의 위협 연구 및 감지 부문 부사장 셔로드 드그리포는 “보안 요소를 아무리 탄탄히 갖춰도 매년 수십억 달러 규모의 해킹 피해가 발생한다”라며 “보안성을 높이기 위한 노력이 대부분 물리적 기기 및 클라우드 기반 인프라를 보호하는 데 집중되다보니, 상대적으로 허술한 사람을 공격하는 해킹이 늘고 관련 기법이 정교화되고 있다”라고 설명했다.  실제로 해커는 예상하지 못하는 방식으로 오랜 기간에 걸쳐 소셜 엔지니어링 공격을 수행하며, 그 공격을 피하기는 점점 어려워지고 있다. 프루프포인트는 소셜 엔지니어링 피해를 줄이기 위해 알아야할 잘못된 통념 5가지를 다음과 같이 소개했다.  착각 1. 해커는 공격 대상과 대화하지 않는다  많은 사람이 공격자는 피해자와 우호적 관계를 구축하는 데 시간과 노력을 투자하지 않는다고 생각한다. 실제는 그렇지 않다. 해커는 대화를 시작하기 위해 친근한 이메일을 많이 보낸다. 프루프포인트 보고서에 따르면 “해커는 소셜 엔지니어링 피해자가 악의적인 컨텐츠에 정신적으로 열중할 수 있게 감정을 부추긴다. 사용자가 안정감을 느끼도록 의도적으로 친근한 이메일을 보내고 관계를 쌓아 악용한다”라고 설명했다.  프루프포인트가 조사한 결과, 비즈니스 이메일 훼손(BEC), 악성코드 배포, 국가를 상대로 한 지능형 지속 공격(APT) 등을 시작하기 위해 대화를 우호적으로 구축하는 사례가 많았다. 대표적으로 TA453, TA406, TA499 같은 공격자가 이와 같은 전략을 취했다. 착각 2. 합법적인 서비스는 소셜 엔지니어링 공격으로부터 안전하다 사람들은 자신이 잘 ...

2022.07.04

'인간을 노리는' 사이버 공격 수법 4가지

기술의 실패는 매일같이 발생한다. 사기성 메일, 피싱 메일처럼 원하지 않는 이메일을 막는 일은 이메일을 사용하기 시작한 날부터 줄곧 실패했다. 지난 2000년 수많은 IT 동료를 감염시킨 악명 높은 이메일 기반 컴퓨터 악성코드 ‘아이러브유(ILOVEYOU) 바이러스’를 생각해 보자.   아이러브유 바이러스 희생자들은 ‘아이러브유(ILOVEYOU)’라는 제목의 이메일을 클릭하지 말았어야 했지만 클릭했고, 그 후에는 뒷정리를 감당해야 했다. 많은 사용자가 백신이나 엔드포인트 보호 소프트웨어가 이런 문제를 경고해 줄 것으로 기대하지만 현실은 그렇지 않을 때가 많다. 기술이 실패하는 이유는 공격자가 사람을 표적으로 한 공격 수법으로 해당 기술을 피해갔기 때문이다. 대표적인 4가지 수법을 소개한다. 1. 특정인을 목표로 한 소셜 엔지니어링 사람을 대상으로 한 사이버 공격은 여러 가지다. 가장 대표적인 방법이 특정 인물을 목표로 삼은 공격 방법이다. 이런 공격 방법은 최근 소셜프루프 시큐리티(SocialProof Security) CEO 레이첼 토바크가 공개한 영상에 잘 소개돼 있다. 토바크는 영화 제작자 제프리 캐천버그의 컴퓨터를 해킹하기 위해 우선 웹상에 공개된 데이터베이스를 조사해 캐천버그가 믿을 만한 회사 동료 앤서니 살레로 가장했다. 토바크는 살레의 이메일과 매우 비슷한 주소로 캐천버그에게 피싱 메일을 전송한 후, 살레의 전화번호를 도용해 전화를 걸었다. 살레의 전화를 받았다고 생각한 캐천버그가 피싱 메일에 포함된 링크를 클릭하자, 토바크는 캐천버그가 보유한 모든 연락처를 포함해 캐천버그가 노트북으로 로그인한 모든 것에 접근할 수 있었다.   소셜 엔지니어링 기법이 새로운 것은 아니다. 1990년대에 검거된 유명 해커 캐빈 미트닉은 소셜 엔지니어링 기법으로 입수한 비밀번호와 암호만으로 컴퓨터를 해킹했다고 밝힌 바 있다. FBI는 미트닉이 사용하던 워싱턴 지역의 임원과 비서 인명록을 증거로 압수했는데, 필자는 페이지 모서리가 접혀 있는 ...

소셜엔지니어링 피싱메일 다중인증

2022.04.05

기술의 실패는 매일같이 발생한다. 사기성 메일, 피싱 메일처럼 원하지 않는 이메일을 막는 일은 이메일을 사용하기 시작한 날부터 줄곧 실패했다. 지난 2000년 수많은 IT 동료를 감염시킨 악명 높은 이메일 기반 컴퓨터 악성코드 ‘아이러브유(ILOVEYOU) 바이러스’를 생각해 보자.   아이러브유 바이러스 희생자들은 ‘아이러브유(ILOVEYOU)’라는 제목의 이메일을 클릭하지 말았어야 했지만 클릭했고, 그 후에는 뒷정리를 감당해야 했다. 많은 사용자가 백신이나 엔드포인트 보호 소프트웨어가 이런 문제를 경고해 줄 것으로 기대하지만 현실은 그렇지 않을 때가 많다. 기술이 실패하는 이유는 공격자가 사람을 표적으로 한 공격 수법으로 해당 기술을 피해갔기 때문이다. 대표적인 4가지 수법을 소개한다. 1. 특정인을 목표로 한 소셜 엔지니어링 사람을 대상으로 한 사이버 공격은 여러 가지다. 가장 대표적인 방법이 특정 인물을 목표로 삼은 공격 방법이다. 이런 공격 방법은 최근 소셜프루프 시큐리티(SocialProof Security) CEO 레이첼 토바크가 공개한 영상에 잘 소개돼 있다. 토바크는 영화 제작자 제프리 캐천버그의 컴퓨터를 해킹하기 위해 우선 웹상에 공개된 데이터베이스를 조사해 캐천버그가 믿을 만한 회사 동료 앤서니 살레로 가장했다. 토바크는 살레의 이메일과 매우 비슷한 주소로 캐천버그에게 피싱 메일을 전송한 후, 살레의 전화번호를 도용해 전화를 걸었다. 살레의 전화를 받았다고 생각한 캐천버그가 피싱 메일에 포함된 링크를 클릭하자, 토바크는 캐천버그가 보유한 모든 연락처를 포함해 캐천버그가 노트북으로 로그인한 모든 것에 접근할 수 있었다.   소셜 엔지니어링 기법이 새로운 것은 아니다. 1990년대에 검거된 유명 해커 캐빈 미트닉은 소셜 엔지니어링 기법으로 입수한 비밀번호와 암호만으로 컴퓨터를 해킹했다고 밝힌 바 있다. FBI는 미트닉이 사용하던 워싱턴 지역의 임원과 비서 인명록을 증거로 압수했는데, 필자는 페이지 모서리가 접혀 있는 ...

2022.04.05

트위터 VIP 계정 해킹 사건으로 본 ‘내부자 위협’의 위험

대부분의 기업은 원격 공격으로부터 네트워크 경계선을 방어하기 위해 많은 노력을 하지만, 조직 내부에서 비롯되는 위협에는 많은 관심을 기울이지 않는다. 최근 유명인사와 브랜드의 트위터 계정이 하이재킹당한 공격이 있었다. 이는 악의적인 의도를 갖고 있거나, 잘 속는 내부자나 관리 액세스 권한을 제대로 관리하지 못했을 때 기업에 초래할 수 있는 위험을 알려주는 사건이었다.   트위터 해킹 사건 개요 15일, 기업 경영자와 예술가, 정치가, 유명 브랜드의 트위터 계정에 특정 주소로 비트코인을 보내라는 암호화폐 사기와 관련된 게시물이 게시됐다. 엘론 머스크, 빌 게이츠, 제프 베조스, 버락 오바마, 조 바이든, 카니예 웨스트, 킴 카시디안, 마이크 블룸버그, 우버, 애플, 심지어 트위터 고객지원 계정에서도 이런 일이 일어났다. 공격자들이 트위터에서 유명인을 가장해 이런 스캠 메시지를 게시하는 사례들이 종종 있다. 그러나 통상 팔로워가 몇 명 없는 가짜 계정으로 이런 일을 한다. 그런데 이번 사건에서는 트위터가 진짜 신원을 확인해 이름 옆에 체크 표시를 한 공식 계정에 이런 악성 메시지가 게시됐다. 이는 수많은 사용자가 이 스캠 메시지를 믿도록 만들었다. 공격자들은 이번 공격으로 약 12만 달러의 부당이득을 챙긴 것으로 추정되고 있다. 트위터는 모든 확인된 계정을 대상으로 일시적으로 새 메시지를 게시하지 못하도록 만드는 조치를 취했고, 그 즉시 이번 사건에 대해 조사하기 시작했다. 그런데 공격자들은 어떻게 한 번에 이렇게 많은 계정에 대한 액세스 권한을 획득할 수 있었을까? 사용자 계정 관리에 사용하는 내부 도구의 액세스 권한을 갖고 있는 1명 이상의 트위터 직원들을 통해 이렇게 할 수 있었다. 트위터에 이 도구의 스크린샷들이 게시되었지만, 트위터는 약관을 위반했다며 이들 스크린샷을 삭제했다. 트위터 직원들이 계정 일시 정지, 트윗 블랙리스트 처리, 계정과 연결된 이메일 주소 변경 등 여러 관리자 권한 작업을 수행할 수 있는 도구로 판단된다. 이번 공격에서...

트위터 해킹 내부자위협 소셜엔지니어링

2020.07.22

대부분의 기업은 원격 공격으로부터 네트워크 경계선을 방어하기 위해 많은 노력을 하지만, 조직 내부에서 비롯되는 위협에는 많은 관심을 기울이지 않는다. 최근 유명인사와 브랜드의 트위터 계정이 하이재킹당한 공격이 있었다. 이는 악의적인 의도를 갖고 있거나, 잘 속는 내부자나 관리 액세스 권한을 제대로 관리하지 못했을 때 기업에 초래할 수 있는 위험을 알려주는 사건이었다.   트위터 해킹 사건 개요 15일, 기업 경영자와 예술가, 정치가, 유명 브랜드의 트위터 계정에 특정 주소로 비트코인을 보내라는 암호화폐 사기와 관련된 게시물이 게시됐다. 엘론 머스크, 빌 게이츠, 제프 베조스, 버락 오바마, 조 바이든, 카니예 웨스트, 킴 카시디안, 마이크 블룸버그, 우버, 애플, 심지어 트위터 고객지원 계정에서도 이런 일이 일어났다. 공격자들이 트위터에서 유명인을 가장해 이런 스캠 메시지를 게시하는 사례들이 종종 있다. 그러나 통상 팔로워가 몇 명 없는 가짜 계정으로 이런 일을 한다. 그런데 이번 사건에서는 트위터가 진짜 신원을 확인해 이름 옆에 체크 표시를 한 공식 계정에 이런 악성 메시지가 게시됐다. 이는 수많은 사용자가 이 스캠 메시지를 믿도록 만들었다. 공격자들은 이번 공격으로 약 12만 달러의 부당이득을 챙긴 것으로 추정되고 있다. 트위터는 모든 확인된 계정을 대상으로 일시적으로 새 메시지를 게시하지 못하도록 만드는 조치를 취했고, 그 즉시 이번 사건에 대해 조사하기 시작했다. 그런데 공격자들은 어떻게 한 번에 이렇게 많은 계정에 대한 액세스 권한을 획득할 수 있었을까? 사용자 계정 관리에 사용하는 내부 도구의 액세스 권한을 갖고 있는 1명 이상의 트위터 직원들을 통해 이렇게 할 수 있었다. 트위터에 이 도구의 스크린샷들이 게시되었지만, 트위터는 약관을 위반했다며 이들 스크린샷을 삭제했다. 트위터 직원들이 계정 일시 정지, 트윗 블랙리스트 처리, 계정과 연결된 이메일 주소 변경 등 여러 관리자 권한 작업을 수행할 수 있는 도구로 판단된다. 이번 공격에서...

2020.07.22

'블랙스완'에 직면했다··· 코로나19 위기 속 기업이 해야 할 일 

코로나19는 전 세계적인 '블랙스완(Black Swan)' 현상이라고 할 만하다. 이는 2001년 미국 투자전문가 나심 니콜라스 탈레브가 처음 사용한 용어로, 극히 예외적이지만 일단 발생하면 엄청난 충격과 파장을 불러오는 사건을 일컫는다.  코로나19 펜데믹은 좀비 아포칼립스, 즉 대부분의 인류가 좀비화되는 상황을 연상시킨다. 코로나19로 인해 각종 생활용품이 동나고 있는 상황을 보면 더욱더 그렇다. 현실적으로 보자면, 누구나 코로나19에 감염될 확률이 있다. 그러나 통계적으로 볼 때 크게 걱정할 필요는 없는 것으로 분석된다. 60세 이하의 건강한 성인 대부분에게 코로나19 감염은 큰 문제가 되지 않는다. 오래 가지 않으며 완전히 회복된다.  하지만 유감스럽게도 ‘기업 전망’은 그렇게 밝지 않다. 지금 당장 행동해야 한다. 그렇지 않으면 기업이 ‘좀비’가 될 수도 있다.   코로나19가 초래하는 위험을 파악하라 세계보건기구(WHO)가 코로나19를 팬데믹(세계적 대유행병)으로 선포했다. 코로나19가 여러 국가에서 위기 수준으로 발생하고 있다는 의미다. 코로나19는 사스(SARS)처럼 동물을 매개로 변이돼 감염되는 코로나바이러스와 높은 유사성을 보인 것으로 밝혀졌다. 사스와는 확실한 차이점이 있다. 사스만큼 치사율이 높지 않지만, 더 쉽게 확산된다. 코로나19로 인한 사망률은 2% 미만이다. 60세 이하 성인의 사망률은 1%가 되지 않는다. 앞으로 코로나바이러스는 몇 년, 몇십 년 동안 계속될 가능성이 높다. 매년 겨울이면 발병률이 증가하는 계절 감염병이 되는 것이다. 항공편 결항, 국경 폐쇄, 컨퍼런스 연기 및 온라인 대체 등의 봉쇄조치는 코로나19 감염 속도를 늦추는 데 목적이 있다. 병원의 시설 및 인력이 증가하는 환자를 감당하기 힘들 것으로 예상되며, 한 번에 너무 많은 사람이 감염되면 그야말로 재앙이 되기 때문이다. 봉쇄 및 격리 조치는 이러한 재앙을 피하기 위한 것이다.  확산 속도를 늦...

원격근무 블랙스완 사회적거리두기 코로나19 가짜뉴스 멀웨어 악성코드 위기관리 재택근무 보안 소셜엔지니어링 운영연속성

2020.03.17

코로나19는 전 세계적인 '블랙스완(Black Swan)' 현상이라고 할 만하다. 이는 2001년 미국 투자전문가 나심 니콜라스 탈레브가 처음 사용한 용어로, 극히 예외적이지만 일단 발생하면 엄청난 충격과 파장을 불러오는 사건을 일컫는다.  코로나19 펜데믹은 좀비 아포칼립스, 즉 대부분의 인류가 좀비화되는 상황을 연상시킨다. 코로나19로 인해 각종 생활용품이 동나고 있는 상황을 보면 더욱더 그렇다. 현실적으로 보자면, 누구나 코로나19에 감염될 확률이 있다. 그러나 통계적으로 볼 때 크게 걱정할 필요는 없는 것으로 분석된다. 60세 이하의 건강한 성인 대부분에게 코로나19 감염은 큰 문제가 되지 않는다. 오래 가지 않으며 완전히 회복된다.  하지만 유감스럽게도 ‘기업 전망’은 그렇게 밝지 않다. 지금 당장 행동해야 한다. 그렇지 않으면 기업이 ‘좀비’가 될 수도 있다.   코로나19가 초래하는 위험을 파악하라 세계보건기구(WHO)가 코로나19를 팬데믹(세계적 대유행병)으로 선포했다. 코로나19가 여러 국가에서 위기 수준으로 발생하고 있다는 의미다. 코로나19는 사스(SARS)처럼 동물을 매개로 변이돼 감염되는 코로나바이러스와 높은 유사성을 보인 것으로 밝혀졌다. 사스와는 확실한 차이점이 있다. 사스만큼 치사율이 높지 않지만, 더 쉽게 확산된다. 코로나19로 인한 사망률은 2% 미만이다. 60세 이하 성인의 사망률은 1%가 되지 않는다. 앞으로 코로나바이러스는 몇 년, 몇십 년 동안 계속될 가능성이 높다. 매년 겨울이면 발병률이 증가하는 계절 감염병이 되는 것이다. 항공편 결항, 국경 폐쇄, 컨퍼런스 연기 및 온라인 대체 등의 봉쇄조치는 코로나19 감염 속도를 늦추는 데 목적이 있다. 병원의 시설 및 인력이 증가하는 환자를 감당하기 힘들 것으로 예상되며, 한 번에 너무 많은 사람이 감염되면 그야말로 재앙이 되기 때문이다. 봉쇄 및 격리 조치는 이러한 재앙을 피하기 위한 것이다.  확산 속도를 늦...

2020.03.17

"2019년 1분기 HTTPS 이용 악성 URL 26% 증가, 피싱 시도 17% 증가" 파이어아이 발표

파이어아이가  2019년 1분기 이메일 위협 보고서(Email Threat Report)를 발표했다. 파이어아이는 이번 보고서를 위해 13억 건의 이메일 샘플을 분석했으며, ▲스푸핑(Spoofing)을 통한 피싱 시도 ▲HTTPS 암호화를 적용한 URL 기반 공격 ▲대중적인 파일 공유 서비스를 이용한 클라우드 기반 공격 등 세 개 주요 분야에서 위협 증가 추세가 발견됐다고 밝혔다. 파이어아이가 보고서에 따르면, 일반적으로 피싱 이메일은 자격 증명 정보나 신용 카드 정보를 탈취하기 위한 목적으로, 기존에 알고있는 연락처나 신뢰할 수 있는 기업을 사칭해 이메일 수신인이 임베디드 링크를 클릭하도록 유도한다. 파이어아이는 2019년 1분기 피싱 이메일 공격이 전 분기 대비 17% 증가했다고 밝혔다. 공격 활동에서 가장 많이 스푸핑된 기업 중 하나는 마이크로소프트로, 탐지된 건의 약30%를 차지했다. 또한 원드라이브, 애플, 페이팔, 아마존이 그 뒤를 이었고, 각각 6~7%의 비중을 차지했다.   지난 2018년 파이어아이는 전달 수단으로 URL 기반 공격이 첨부 파일 기반 공격을 추월했다고 보고한 바 있다. 이러한 추세는 2019년 1분기에도 이어졌으며, 특히 HTTPS를 이용한 악성 URL이 이전 분기 대비 26% 증가했다. 이를 통해 악성 행위자가 온라인 상에서 상대적으로 안전하다고 인식되는 HTTPS를 이용하고 있다는 점을 확인할 수 있다. 2019년 1분기에는 클라우드 기반, 특히 파일 공유 서비스를 이용한 공격이 증가했다. 2019년 1분기 이메일 분석 결과, 위트랜스퍼(WeTransfer), 구글드라이브, 원드라이브와 같이 신뢰도가 높으면서 대중적으로 이용되는 파일 공유 서비스에 게재된 악성 파일로의 연결 링크 수가 급격하게 증가했다고 분석했다. 한편, 이와 같은 공격에 가장 많이 사용된 서비스는 드롭박스인 것으로 밝혀졌다. 경영진을 사칭한 공격은 지속적으로 증가했으며, 접근 방식 또한 다양해졌다. 이러한 사이버 ‘캐...

소셜엔지니어링 이메일 파일 공유 파이어아이 위협 인텔리전스 스푸핑 사회공학적 사이버 공격 이메일 위협 보고서

2019.07.15

파이어아이가  2019년 1분기 이메일 위협 보고서(Email Threat Report)를 발표했다. 파이어아이는 이번 보고서를 위해 13억 건의 이메일 샘플을 분석했으며, ▲스푸핑(Spoofing)을 통한 피싱 시도 ▲HTTPS 암호화를 적용한 URL 기반 공격 ▲대중적인 파일 공유 서비스를 이용한 클라우드 기반 공격 등 세 개 주요 분야에서 위협 증가 추세가 발견됐다고 밝혔다. 파이어아이가 보고서에 따르면, 일반적으로 피싱 이메일은 자격 증명 정보나 신용 카드 정보를 탈취하기 위한 목적으로, 기존에 알고있는 연락처나 신뢰할 수 있는 기업을 사칭해 이메일 수신인이 임베디드 링크를 클릭하도록 유도한다. 파이어아이는 2019년 1분기 피싱 이메일 공격이 전 분기 대비 17% 증가했다고 밝혔다. 공격 활동에서 가장 많이 스푸핑된 기업 중 하나는 마이크로소프트로, 탐지된 건의 약30%를 차지했다. 또한 원드라이브, 애플, 페이팔, 아마존이 그 뒤를 이었고, 각각 6~7%의 비중을 차지했다.   지난 2018년 파이어아이는 전달 수단으로 URL 기반 공격이 첨부 파일 기반 공격을 추월했다고 보고한 바 있다. 이러한 추세는 2019년 1분기에도 이어졌으며, 특히 HTTPS를 이용한 악성 URL이 이전 분기 대비 26% 증가했다. 이를 통해 악성 행위자가 온라인 상에서 상대적으로 안전하다고 인식되는 HTTPS를 이용하고 있다는 점을 확인할 수 있다. 2019년 1분기에는 클라우드 기반, 특히 파일 공유 서비스를 이용한 공격이 증가했다. 2019년 1분기 이메일 분석 결과, 위트랜스퍼(WeTransfer), 구글드라이브, 원드라이브와 같이 신뢰도가 높으면서 대중적으로 이용되는 파일 공유 서비스에 게재된 악성 파일로의 연결 링크 수가 급격하게 증가했다고 분석했다. 한편, 이와 같은 공격에 가장 많이 사용된 서비스는 드롭박스인 것으로 밝혀졌다. 경영진을 사칭한 공격은 지속적으로 증가했으며, 접근 방식 또한 다양해졌다. 이러한 사이버 ‘캐...

2019.07.15

가장 '쉽게 당하는' 사이버 공격 유형 5가지

현존하는 가장 큰 보안 문제의 하나는 보안 인식이다. 기업이 직면하고 있다고 생각하는 위협은 실제로 가장 큰 위험이 따르는 위협과는 상당한 차이가 있는 것이 보통이다. 예를 들어, 정작 필요한 것은 양호한 패칭(patching)이지만, 필자를 고용한 회사는 최첨단 공개키 인프라(PKI)나 전사적 침입 탐지 시스템(Intrusion Detection System)을 원한다.  사실, 대다수 회사가 동일한 위협들에 직면해 있고, 이런 위험에 대응하는데 최선을 다해야 한다. 이번 기사에서는 가장 보편적이고 성공적인(?) 사이버 공격 유형 5가지를 알아본다.     1 소셜 엔지니어링 악성코드  소셜 엔지니어링 악성코드는, 제 1위의 공격 기법이다(버퍼 오버플로우나 구성 오류나 고급 익스플로잇이 아니다). 최근에는 데이터 암호화 랜섬웨어가 주류다. 최종 사용자는 어쩌다가 트로이목마 프로그램을 실행하도록 속아 넘어가는데, 이는 종종 자신이 신뢰하고 빈번히 방문하는 웹사이트에서 일어난다. 다른 경우라면 무해한 웹사이트가 일시적으로 훼손되어 정상적인 웹사이트 코딩이 아닌 악성코드를 전달하는 것이다.  악성 웹사이트는 사용자에게 웹사이트에 액세스하기 위해 새 소프트웨어를 설치하거나, 허위 안티바이러스를 실행하거나, 불필요하고 악성인 다른 중요 소프트웨어 부분을 실행하도록 종용한다. 흔히 사용자는 브라우저나 운영체계로부터 나오는 보안 경보를 클릭해 지나치도록, 그리고 방해가 될 수 있는 까다로운 방어 수단을 중지시키도록 지시받는다.   트로이목마 프로그램은 정당한 무언가를 하는 척 가장하거나 백그라운드로 사라져 사기 행위를 실행한다. 소셜 엔지니어링 악성코드는 매년 수억 회의 성공적 해킹에 이용된다. 수치로만 보면 다른 모든 해킹 유형은 단순히 잡음에 불과하다.  - 대책: 소셜 엔지니어링 악성코드는 최신 위협을 알리는, 예컨대 신뢰성 있는 웹사이트가 뜻밖의 소프트웨어를 실행하라고 종용하는 경우, 지속...

소셜엔지니어링 보안 피싱 APT 사이버공격

2018.12.28

현존하는 가장 큰 보안 문제의 하나는 보안 인식이다. 기업이 직면하고 있다고 생각하는 위협은 실제로 가장 큰 위험이 따르는 위협과는 상당한 차이가 있는 것이 보통이다. 예를 들어, 정작 필요한 것은 양호한 패칭(patching)이지만, 필자를 고용한 회사는 최첨단 공개키 인프라(PKI)나 전사적 침입 탐지 시스템(Intrusion Detection System)을 원한다.  사실, 대다수 회사가 동일한 위협들에 직면해 있고, 이런 위험에 대응하는데 최선을 다해야 한다. 이번 기사에서는 가장 보편적이고 성공적인(?) 사이버 공격 유형 5가지를 알아본다.     1 소셜 엔지니어링 악성코드  소셜 엔지니어링 악성코드는, 제 1위의 공격 기법이다(버퍼 오버플로우나 구성 오류나 고급 익스플로잇이 아니다). 최근에는 데이터 암호화 랜섬웨어가 주류다. 최종 사용자는 어쩌다가 트로이목마 프로그램을 실행하도록 속아 넘어가는데, 이는 종종 자신이 신뢰하고 빈번히 방문하는 웹사이트에서 일어난다. 다른 경우라면 무해한 웹사이트가 일시적으로 훼손되어 정상적인 웹사이트 코딩이 아닌 악성코드를 전달하는 것이다.  악성 웹사이트는 사용자에게 웹사이트에 액세스하기 위해 새 소프트웨어를 설치하거나, 허위 안티바이러스를 실행하거나, 불필요하고 악성인 다른 중요 소프트웨어 부분을 실행하도록 종용한다. 흔히 사용자는 브라우저나 운영체계로부터 나오는 보안 경보를 클릭해 지나치도록, 그리고 방해가 될 수 있는 까다로운 방어 수단을 중지시키도록 지시받는다.   트로이목마 프로그램은 정당한 무언가를 하는 척 가장하거나 백그라운드로 사라져 사기 행위를 실행한다. 소셜 엔지니어링 악성코드는 매년 수억 회의 성공적 해킹에 이용된다. 수치로만 보면 다른 모든 해킹 유형은 단순히 잡음에 불과하다.  - 대책: 소셜 엔지니어링 악성코드는 최신 위협을 알리는, 예컨대 신뢰성 있는 웹사이트가 뜻밖의 소프트웨어를 실행하라고 종용하는 경우, 지속...

2018.12.28

미리 보는 2019년 모바일 보안 위협 6가지

요즘 모든 기업이 가장 크게 걱정하는 것이 모바일 보안이다. 여기에는 타당한 이유가 있다. 대부분 직원이 정기적으로 스마트폰을 이용해 기업 데이터에 액세스한다. 이로 인해, 민감한 정보가 유출되는 것을 막기 어려워지고 있다. 그런데, 데이터에 대한 중요성은 과거 어느 때보다 높아졌다. 포네몬 연구소가 2018년 발표한 조사 결과에 따르면, 기업 데이터 침해로 초래되는 평균 손실이 386만 달러에 달한다. 또 2017년에 추정했던 평균 손실보다 6.4%가 증가했다.  입에 자주 오르내리는 악성코드에 초점을 맞추기 쉽지만, 실제 발생하는 모바일 악성코드 감염 사례는 아주 낮다. 우스갯소리로는 스마트폰이 악성코드에 감염될 확률은 벼락에 맞을 확률보다 훨씬 더 낮다. 모바일 악성코드의 특징과 최신 모바일 운영체제에 구현된 방어 체계 때문에 그렇다. 이로 인해 실제는 간과하기 쉬운 것들이 모바일 보안 위험을 초래할 확률이 훨씬 더 높다. 그리고 이는 앞으로 더 심해질 것이다. 1. 데이터 유출 2019년에 기업 보안에 가장 꺼림칙한 위협 가운데 하나로 간주되는 것이 데이터 유출이다. 앞서 악성코드에 감염될 확률은 거의 없다고 강조했다. 하지만 포네몬의 지난해 조사 결과에 따르면, 향후 2년 간 데이터 침해 사고를 경험할 확률이 1/4이 넘는 28%에 달한다. 이 문제가 더 골치아픈 이유는 악의적인 의도로 이 문제가 발생하는 경우는 많지 않기 때문이다. 앱 권한이나 정보 전송과 관련해 실수로 잘못된 결정을 내리면서 이런 일이 일어나는 때가 많다. 가트너의 모바일 보안 담당 책임자 디오니시오 주멀레는 "관리자가 걱정하지 많도록 만들면서, 동시에 사용자는 화나게 만들지 않도록 앱 검사 및 심사 프로세스를 구현하는 방법이 가장 큰 도전과제"라고 말했다. 주멀레는 시만텍의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 체크포인트(CheckPoint)의 샌드블래스트 모바일(SandBla...

소셜엔지니어링 데이터유출 모바일위협

2018.11.23

요즘 모든 기업이 가장 크게 걱정하는 것이 모바일 보안이다. 여기에는 타당한 이유가 있다. 대부분 직원이 정기적으로 스마트폰을 이용해 기업 데이터에 액세스한다. 이로 인해, 민감한 정보가 유출되는 것을 막기 어려워지고 있다. 그런데, 데이터에 대한 중요성은 과거 어느 때보다 높아졌다. 포네몬 연구소가 2018년 발표한 조사 결과에 따르면, 기업 데이터 침해로 초래되는 평균 손실이 386만 달러에 달한다. 또 2017년에 추정했던 평균 손실보다 6.4%가 증가했다.  입에 자주 오르내리는 악성코드에 초점을 맞추기 쉽지만, 실제 발생하는 모바일 악성코드 감염 사례는 아주 낮다. 우스갯소리로는 스마트폰이 악성코드에 감염될 확률은 벼락에 맞을 확률보다 훨씬 더 낮다. 모바일 악성코드의 특징과 최신 모바일 운영체제에 구현된 방어 체계 때문에 그렇다. 이로 인해 실제는 간과하기 쉬운 것들이 모바일 보안 위험을 초래할 확률이 훨씬 더 높다. 그리고 이는 앞으로 더 심해질 것이다. 1. 데이터 유출 2019년에 기업 보안에 가장 꺼림칙한 위협 가운데 하나로 간주되는 것이 데이터 유출이다. 앞서 악성코드에 감염될 확률은 거의 없다고 강조했다. 하지만 포네몬의 지난해 조사 결과에 따르면, 향후 2년 간 데이터 침해 사고를 경험할 확률이 1/4이 넘는 28%에 달한다. 이 문제가 더 골치아픈 이유는 악의적인 의도로 이 문제가 발생하는 경우는 많지 않기 때문이다. 앱 권한이나 정보 전송과 관련해 실수로 잘못된 결정을 내리면서 이런 일이 일어나는 때가 많다. 가트너의 모바일 보안 담당 책임자 디오니시오 주멀레는 "관리자가 걱정하지 많도록 만들면서, 동시에 사용자는 화나게 만들지 않도록 앱 검사 및 심사 프로세스를 구현하는 방법이 가장 큰 도전과제"라고 말했다. 주멀레는 시만텍의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 체크포인트(CheckPoint)의 샌드블래스트 모바일(SandBla...

2018.11.23

"인간을 패치해야 할 때가 왔다"··· 소셜 엔지니어링 대응법

"소셜엔지니어링, 인간의 어리석음에 대해서는 패치가 없다"는 말을 알 것이다. 제이슨 스트리트는 이 문구에 대해 "절대적으로 맞다"고 말했다. 데프콘(DEF CON) 그룹 글로벌 대사이자 스피어NY(SphereNY) 정보보안 부사장 제이슨 스트리트는 수년 동안 보안 분야에 종사하는 사람들조차도 일부는 소셜 엔지니어링에 대해 배운 것보다 많은 것을 잊어버렸다고 말했다. 이는 허풍이 아니라 실존하는 위협이다. 스트리트와의 대화는 올해 그가 참석하는 컨퍼런스에 대해 묻는 간단한 질문에서 시작됐다. 실제로 스트리트는 에이프릴 C, 라이트와 함께 올해 라스베이거스의 블랙햇(Black Hat)에서 보안 팀에게 인간 침입 탐지 시스템을 개발하도록 가르치는 교육 강습을 하고 있다. 흥미로운 보안 위험 요소, 인간 필자가 본지에서 가장 재미있게 작성한 기사 가운데 하나는 스트리트가 은행의 침투 테스트를 시행했던 이야기다 2015년에 발행한 이 이야기는 다음에서 찾아볼 수 있다. 이 기사의 주제는 낙관적인 사고와 모든 사람을 최선을 추정하는 것은 실제로 위험하다는 것이다. 당시 스트리트는 단순히 은행에 들어갔다(미국이 아닌 다른 국가). 스트리트는 이 은행의 카운터 뒤쪽으로 가서 해킹된 시스템을 자유롭게 사용했다. 그는 은행에서 돈을 받고 물리적인 침투 테스트를 수행하는 임무를 받았다. 해당 은행에서 이 외국인이 좋은 사람이 아님을 파악한 사람은 아무도 없었다. 스트리트는 이 일에 대해 말하면서 "사람들은 자신에게 일어나는 부정적인 일에 대해서는 생각하길 싫어한다"고 말했다. 이는 인간 본성에 어긋난다. 스트리트는 "나는 그들에게 합리적인 설명을 해줄 수 있다면 그들은 나쁘게 보지 않고 오히려 낙관적으로 생각한다"고 말했다. 현재 스트리트는 여전히 보안을 위해 소셜 엔지니어링 훈련을 시행하고 있지만, 자신과 같은 조직을 방어하는 이들을 도와주는 사명도 맡고 있다. 인...

소셜엔지니어링 패치 인간 security awareness social engineering

2018.04.18

"소셜엔지니어링, 인간의 어리석음에 대해서는 패치가 없다"는 말을 알 것이다. 제이슨 스트리트는 이 문구에 대해 "절대적으로 맞다"고 말했다. 데프콘(DEF CON) 그룹 글로벌 대사이자 스피어NY(SphereNY) 정보보안 부사장 제이슨 스트리트는 수년 동안 보안 분야에 종사하는 사람들조차도 일부는 소셜 엔지니어링에 대해 배운 것보다 많은 것을 잊어버렸다고 말했다. 이는 허풍이 아니라 실존하는 위협이다. 스트리트와의 대화는 올해 그가 참석하는 컨퍼런스에 대해 묻는 간단한 질문에서 시작됐다. 실제로 스트리트는 에이프릴 C, 라이트와 함께 올해 라스베이거스의 블랙햇(Black Hat)에서 보안 팀에게 인간 침입 탐지 시스템을 개발하도록 가르치는 교육 강습을 하고 있다. 흥미로운 보안 위험 요소, 인간 필자가 본지에서 가장 재미있게 작성한 기사 가운데 하나는 스트리트가 은행의 침투 테스트를 시행했던 이야기다 2015년에 발행한 이 이야기는 다음에서 찾아볼 수 있다. 이 기사의 주제는 낙관적인 사고와 모든 사람을 최선을 추정하는 것은 실제로 위험하다는 것이다. 당시 스트리트는 단순히 은행에 들어갔다(미국이 아닌 다른 국가). 스트리트는 이 은행의 카운터 뒤쪽으로 가서 해킹된 시스템을 자유롭게 사용했다. 그는 은행에서 돈을 받고 물리적인 침투 테스트를 수행하는 임무를 받았다. 해당 은행에서 이 외국인이 좋은 사람이 아님을 파악한 사람은 아무도 없었다. 스트리트는 이 일에 대해 말하면서 "사람들은 자신에게 일어나는 부정적인 일에 대해서는 생각하길 싫어한다"고 말했다. 이는 인간 본성에 어긋난다. 스트리트는 "나는 그들에게 합리적인 설명을 해줄 수 있다면 그들은 나쁘게 보지 않고 오히려 낙관적으로 생각한다"고 말했다. 현재 스트리트는 여전히 보안을 위해 소셜 엔지니어링 훈련을 시행하고 있지만, 자신과 같은 조직을 방어하는 이들을 도와주는 사명도 맡고 있다. 인...

2018.04.18

모의해킹 전문가 "소셜 엔지니어링 공격 성공률은 150%"

화이트햇 소속 해커들은 기업을 '최악의 상태'로 파악한다. 이들이 하는 일은 결국은 취약점을 노출시키는 것이기 때문이다. 네트워크 월드 편집장인 존 딕스는 침투 테스트(모의 해킹) 전문가인 조쉬 베리와 인터뷰를 가졌다. 미국 휴스톤 소재 IT 컨설팅 및 통합 업체인 애큐데이터 시스템(Accudata Systems)의 선임 기술 매니저인 조쉬 베리는 자신이 직접 접했던 공격 기법과 이에 대응하는 방법을 자세히 설명했다. Q. 화이트햇 팀에 대한 간략한 소개를 부탁한다. A. 내부, 외부 취약점 평가, 네트워크 침투 테스트, 웹 애플리케이션 테스트, 모바일 애플리케이션 침투 테스트, 무선 관련 테스트, 소셜 엔지니어링 등을 담당하고 있다. 또한 PCI-DDS, HIPAA 등 컴플라이언스(규제 준수) 측면의 업무도 맡고 있다. 대부분이 '기본'에 해당하는 보안 자격증인 CISSP를 보유하고 있다. 나 같은 경우 침투 테스트라는 '틈새' 영역에서 높은 평가를 받는 OSCP(Offensive Security Certified Professional)이다. 연구소에서는 24시간 동안 가능한 많은 시스템에 침투, 액세스한 후 보고서를 작성한다. Q. 고객은 누구인가? A. 통상 정보보안팀 등 IT부서와 협력한다. 보안 통제정책을 검증해야 하는 컴플라이언스(규제 준수)와 관련된 의뢰가 많다. 신용카드 업계를 예로 들면, 데이터 보안 기준인 HIPAA 준수와 관련된 의뢰다. 고객이 목적과 목표를 인식하고 있어 많은 설명이 필요없다. Q. 침해 사고 후 의뢰를 받기도 하는가? A. 그런 경우도 있다. 침해 사고를 당한 경우 보안 계층과 통제정책을 강화하는 조치를 취한다. 강화 조치가 완료된 후 애큐데이터 같은 회사에 침투 테스트를 의뢰, 설치한 시스템을 검증하는 때가 많다. 예를 들어, 한 은행권 기업은 고객에게 배포할 모바일 애플리케이션 평가를 의뢰했다. 테스트를 통해 취약점 하나를 발견했다. 테스트...

소셜엔지니어링 컴플라이언스 화이트햇 침입테스트

2016.08.17

화이트햇 소속 해커들은 기업을 '최악의 상태'로 파악한다. 이들이 하는 일은 결국은 취약점을 노출시키는 것이기 때문이다. 네트워크 월드 편집장인 존 딕스는 침투 테스트(모의 해킹) 전문가인 조쉬 베리와 인터뷰를 가졌다. 미국 휴스톤 소재 IT 컨설팅 및 통합 업체인 애큐데이터 시스템(Accudata Systems)의 선임 기술 매니저인 조쉬 베리는 자신이 직접 접했던 공격 기법과 이에 대응하는 방법을 자세히 설명했다. Q. 화이트햇 팀에 대한 간략한 소개를 부탁한다. A. 내부, 외부 취약점 평가, 네트워크 침투 테스트, 웹 애플리케이션 테스트, 모바일 애플리케이션 침투 테스트, 무선 관련 테스트, 소셜 엔지니어링 등을 담당하고 있다. 또한 PCI-DDS, HIPAA 등 컴플라이언스(규제 준수) 측면의 업무도 맡고 있다. 대부분이 '기본'에 해당하는 보안 자격증인 CISSP를 보유하고 있다. 나 같은 경우 침투 테스트라는 '틈새' 영역에서 높은 평가를 받는 OSCP(Offensive Security Certified Professional)이다. 연구소에서는 24시간 동안 가능한 많은 시스템에 침투, 액세스한 후 보고서를 작성한다. Q. 고객은 누구인가? A. 통상 정보보안팀 등 IT부서와 협력한다. 보안 통제정책을 검증해야 하는 컴플라이언스(규제 준수)와 관련된 의뢰가 많다. 신용카드 업계를 예로 들면, 데이터 보안 기준인 HIPAA 준수와 관련된 의뢰다. 고객이 목적과 목표를 인식하고 있어 많은 설명이 필요없다. Q. 침해 사고 후 의뢰를 받기도 하는가? A. 그런 경우도 있다. 침해 사고를 당한 경우 보안 계층과 통제정책을 강화하는 조치를 취한다. 강화 조치가 완료된 후 애큐데이터 같은 회사에 침투 테스트를 의뢰, 설치한 시스템을 검증하는 때가 많다. 예를 들어, 한 은행권 기업은 고객에게 배포할 모바일 애플리케이션 평가를 의뢰했다. 테스트를 통해 취약점 하나를 발견했다. 테스트...

2016.08.17

CIO를 위한 ‘소셜 비즈니스 전략’ 구축법

‘사용하지 않는 데이터’, ‘확장 불가능’, ‘신규 솔루션 도입의 어려움’, ‘과다한 비용 지출’, ‘보안상의 허점 메우기’ 등등.   포레스터 리서치가 최근 발간한 보고서에 따르면, 이들은 기업들이 소셜 솔루션을 도입할 때 직면하거나 종종 실패의 원인을 제공하는 데 공통적으로 발생하는 현상이다.   점점 더 많은 기업들이 소셜 테크놀로지를 활용하고 있다. 그리고 여기서 소셜 비즈니스 전략은 성공의 열쇠다. 이번 보고서의 작성자이자 애널리스트인 니겔 펜윅은 "시장의 요구 사항을 토대로 구축된 과거의 전략은 오늘날의 비즈니스 세계에서는 무용지물이 됐다"라며 "기업과 고객이 직면하고 있는 문제를 해결하는데 초점을 맞춘 소셜 커넥션에 뿌리를 둔 역동적이고 수평적인 구조를 갖춘 기업들이 기존의 위계적인 기업들을 대체하고 있는 중"이라고 설명한다.   하지만 CIO들은 소셜 비즈니스 전략을 개발하기 앞서, CMO와 협력해 다음 두 영역을 다뤄야 한다:   먼저 소셜 비즈니스 전략 위원회를 구성해야 한다. 즉 CIO나 CMO 개인이 아닌 임원진이 전략에 책임을 져야 한다는 점을 수용해야 한다. 그리고 IT와 HR, 법률 지원 부서 등, 전사적인 부서별 책임자와 관리자가 포함된 소셜 비즈니스 전략 위원회 구성을 위해 CEO의 지원을 얻어야 한다. 이 위원회는 전략 수립을 지원하고, 이의 이행을 관장하는 책임을 맡게 될 것이다.   그 다음, '결정적인’ 계기를 만들어 가야 한다. 이 계기는 고위 임원진이 소셜 테크놀로지의 잠재성이 비즈니스를 개선할 수 있다는 사실을 깨닫게 될 때 창출된다. 임원들이 함께 협력해 소셜 테크놀로지를 이용해 기업의 부문들을 개혁할 방법을 탐구하고, 구현 가능한 목표를 토론...

CIO SNS 소셜엔지니어링 전략 소셜네트워크

2011.03.03

‘사용하지 않는 데이터’, ‘확장 불가능’, ‘신규 솔루션 도입의 어려움’, ‘과다한 비용 지출’, ‘보안상의 허점 메우기’ 등등.   포레스터 리서치가 최근 발간한 보고서에 따르면, 이들은 기업들이 소셜 솔루션을 도입할 때 직면하거나 종종 실패의 원인을 제공하는 데 공통적으로 발생하는 현상이다.   점점 더 많은 기업들이 소셜 테크놀로지를 활용하고 있다. 그리고 여기서 소셜 비즈니스 전략은 성공의 열쇠다. 이번 보고서의 작성자이자 애널리스트인 니겔 펜윅은 "시장의 요구 사항을 토대로 구축된 과거의 전략은 오늘날의 비즈니스 세계에서는 무용지물이 됐다"라며 "기업과 고객이 직면하고 있는 문제를 해결하는데 초점을 맞춘 소셜 커넥션에 뿌리를 둔 역동적이고 수평적인 구조를 갖춘 기업들이 기존의 위계적인 기업들을 대체하고 있는 중"이라고 설명한다.   하지만 CIO들은 소셜 비즈니스 전략을 개발하기 앞서, CMO와 협력해 다음 두 영역을 다뤄야 한다:   먼저 소셜 비즈니스 전략 위원회를 구성해야 한다. 즉 CIO나 CMO 개인이 아닌 임원진이 전략에 책임을 져야 한다는 점을 수용해야 한다. 그리고 IT와 HR, 법률 지원 부서 등, 전사적인 부서별 책임자와 관리자가 포함된 소셜 비즈니스 전략 위원회 구성을 위해 CEO의 지원을 얻어야 한다. 이 위원회는 전략 수립을 지원하고, 이의 이행을 관장하는 책임을 맡게 될 것이다.   그 다음, '결정적인’ 계기를 만들어 가야 한다. 이 계기는 고위 임원진이 소셜 테크놀로지의 잠재성이 비즈니스를 개선할 수 있다는 사실을 깨닫게 될 때 창출된다. 임원들이 함께 협력해 소셜 테크놀로지를 이용해 기업의 부문들을 개혁할 방법을 탐구하고, 구현 가능한 목표를 토론...

2011.03.03

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13