Offcanvas

���������������

기고ㅣ고급 사이버 범죄의 수익성이 높아지는 이유와 그 대응책

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

카스퍼스키 사이버 범죄 보안 사고 기업 보안 보안 인공지능 엔드포인트 보안 깃허브 APT급 공격

2021.11.05

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

2021.11.05

“'오징어게임' 흥행 악용한 사이버 위협 발견” 카스퍼스키

한국 드라마 ‘오징어게임’이 공개 한 달 만에 1억1,100만 이상의 가구에서 시청하는 기록을 남기며 넷플릭스의 최고 흥행작 자리에 올랐다. 오징어게임을 보려는 시청 수요가 늘어난 틈을 타 트로이목마, 애드웨어 및 핼러윈 코스튬 광고를 가장한 피싱 사기 등 사이버 범죄도 발생하고 있다고 카스퍼스키가 28일 밝혔다.    2021년 9월부터 10월까지, 웹상에서 오징어게임의 이름을 단 악성 파일 몇십 가지가 발견되었다. 분석된 대부분의 사례에서 다른 악성 프로그램을 설치할 수 있는 트로이목마 다운로더가 발견됐고, 그 밖에도 다른 종류의 트로이목마와 애드웨어도 있었다. 사이버범죄자의 수법 중 하나는 오징어 게임에 등장하는 첫 번째 게임의 애니메이션 버전이라고 속여 피해자들이 이를 시청하는 동안, 트로이목마가 눈에 보이지 않게 실행돼 사용자의 다양한 브라우저에서 데이터를 훔쳐 이것을 공격자의 서버로 전송하는 방식이었다. 폴더 중 하나에 단축키가 생성돼 시스템이 시작될 때마다 트로이목마가 실행될 수도 있었다. 오징어게임을 악용하는 모바일 악성코드도 발견됐다. 오징어게임 에피소드를 다운로드하려다 트로이목마가 다운로드되는 것이다. 앱이 기기에서 실행되면 제어 서버에 특정 작업을 수행하도록 명령한다. 이러한 작업은 브라우저에서 탭을 여는 것에서부터 제어 서버에서 받은 번호로 SMS를 전송하는 것까지 다양하다. 이 트로이목마는 공인되지 않은 앱스토어와 다양한 포털에서 유명한 애플리케이션, 게임 및 도서로 가장해 배포된다.   오징어게임과 관련된 가짜 쇼핑몰이 나타나기 시작하는 것을 발견할 수 있었다. 이러한 쇼핑몰 대부분은 자신들이 공식 쇼핑몰이라고 내세우며 드라마 속 인물들이 입은 것과 똑같은 복장을 구매할 수 있다고 유인한다. 하지만 이러한 쇼핑몰에서 구매할 경우 물건은 받지 못하고 돈만 잃어버릴 위험이 있다. 더불어, 이러한 쇼핑몰에서는 카드 정보와 이메일 주소, 거주지 주소, 이름을 포함한 개인정보를 요구하므로 피해자들의 은...

카스퍼스키 오징어게임 보안위협

2021.10.28

한국 드라마 ‘오징어게임’이 공개 한 달 만에 1억1,100만 이상의 가구에서 시청하는 기록을 남기며 넷플릭스의 최고 흥행작 자리에 올랐다. 오징어게임을 보려는 시청 수요가 늘어난 틈을 타 트로이목마, 애드웨어 및 핼러윈 코스튬 광고를 가장한 피싱 사기 등 사이버 범죄도 발생하고 있다고 카스퍼스키가 28일 밝혔다.    2021년 9월부터 10월까지, 웹상에서 오징어게임의 이름을 단 악성 파일 몇십 가지가 발견되었다. 분석된 대부분의 사례에서 다른 악성 프로그램을 설치할 수 있는 트로이목마 다운로더가 발견됐고, 그 밖에도 다른 종류의 트로이목마와 애드웨어도 있었다. 사이버범죄자의 수법 중 하나는 오징어 게임에 등장하는 첫 번째 게임의 애니메이션 버전이라고 속여 피해자들이 이를 시청하는 동안, 트로이목마가 눈에 보이지 않게 실행돼 사용자의 다양한 브라우저에서 데이터를 훔쳐 이것을 공격자의 서버로 전송하는 방식이었다. 폴더 중 하나에 단축키가 생성돼 시스템이 시작될 때마다 트로이목마가 실행될 수도 있었다. 오징어게임을 악용하는 모바일 악성코드도 발견됐다. 오징어게임 에피소드를 다운로드하려다 트로이목마가 다운로드되는 것이다. 앱이 기기에서 실행되면 제어 서버에 특정 작업을 수행하도록 명령한다. 이러한 작업은 브라우저에서 탭을 여는 것에서부터 제어 서버에서 받은 번호로 SMS를 전송하는 것까지 다양하다. 이 트로이목마는 공인되지 않은 앱스토어와 다양한 포털에서 유명한 애플리케이션, 게임 및 도서로 가장해 배포된다.   오징어게임과 관련된 가짜 쇼핑몰이 나타나기 시작하는 것을 발견할 수 있었다. 이러한 쇼핑몰 대부분은 자신들이 공식 쇼핑몰이라고 내세우며 드라마 속 인물들이 입은 것과 똑같은 복장을 구매할 수 있다고 유인한다. 하지만 이러한 쇼핑몰에서 구매할 경우 물건은 받지 못하고 돈만 잃어버릴 위험이 있다. 더불어, 이러한 쇼핑몰에서는 카드 정보와 이메일 주소, 거주지 주소, 이름을 포함한 개인정보를 요구하므로 피해자들의 은...

2021.10.28

"맬웨어 담은 가짜 윈도우 11 유포 중" 카스퍼스키

가짜 윈도우 11 다운로드 링크가 확산되고 있다. 맬웨어와 바이러스 유포를 노린 해커들의 소행으로 추정된다. 러시아 보안 기업 카스퍼스키는 26일 비공식 출처에서 윈도우 11을 다운로드하지 말라고 경고했다. 서드파티 사이트에 등록된 윈도우 11은 신뢰할 만한 것처럼 보일 수 있지만 바이러스나 맬웨어가 포함된 것이 일부 있다는 진단이다.  일례로 1.75GB 용량의 파일 다운로드 링크가 ‘86307_windows 11 build 21996.1 x64 + activator.exe’라는 이름의 파일이 온라인에 유포되고 있는데, 윈도우 11 정식 버전처럼 보이지만 애드웨어와 맬웨어가 설치된다고 회사는 설명했다.  윈도우 11을 이용하려면 마이크로소프트의 인사이더 프로그램에 가입하고 ‘개발자 채널’을 선택하면 된다. 이 버전의 경우 윈도우 11의 새 하드웨어 사양을 요구하기 않기 때문에 기존의 윈도우 10 PC로도 테스트를 수행할 수 있다. ciokr@idg.co.kr  

카스퍼스키 가짜 윈도우 11

2021.07.27

가짜 윈도우 11 다운로드 링크가 확산되고 있다. 맬웨어와 바이러스 유포를 노린 해커들의 소행으로 추정된다. 러시아 보안 기업 카스퍼스키는 26일 비공식 출처에서 윈도우 11을 다운로드하지 말라고 경고했다. 서드파티 사이트에 등록된 윈도우 11은 신뢰할 만한 것처럼 보일 수 있지만 바이러스나 맬웨어가 포함된 것이 일부 있다는 진단이다.  일례로 1.75GB 용량의 파일 다운로드 링크가 ‘86307_windows 11 build 21996.1 x64 + activator.exe’라는 이름의 파일이 온라인에 유포되고 있는데, 윈도우 11 정식 버전처럼 보이지만 애드웨어와 맬웨어가 설치된다고 회사는 설명했다.  윈도우 11을 이용하려면 마이크로소프트의 인사이더 프로그램에 가입하고 ‘개발자 채널’을 선택하면 된다. 이 버전의 경우 윈도우 11의 새 하드웨어 사양을 요구하기 않기 때문에 기존의 윈도우 10 PC로도 테스트를 수행할 수 있다. ciokr@idg.co.kr  

2021.07.27

카스퍼스키, 한국 기업 대상으로 랜섬웨어 유포 시도한 공격 사례 발견

카스퍼스키 연구진이 2021년 초 새로운 유형의 악성 워드 파일을 발견했다. 처음에는 이 파일이 라자러스(Lazarus) 지능형 지속 공격(APT) 조직의 것으로 추측됐으나 카스퍼스키 글로벌 위협 정보 분석 팀(GReAT)의 추가 분석 결과 파일의 코드와 실행 방법에서 확인된 몇몇 정보를 바탕으로 실제 배후는 라자러스 그룹의 하위 조직인 안다리엘(Andariel)로 밝혀졌다. 카스퍼스키는 이전 공격에서 안다리엘이 주로 사용한 윈도우 명령을 실행하는 방식 및 이 공격에 사용된 복호화 루틴에 기초해 공격의 근원을 안다리엘로 제시했다.  안다리엘은 정부의 지원을 받는 사이버 위협 조직으로, 한국 금융보안원에서 라자러스의 하위 조직으로 분류했다. 이들은 금전적 이득과 사이버 스파이 활동에 중점을 두고 주로 한국의 기관을 공격한다. 2017년부터 안다리엘 조직은 공격의 방향을 전환해 한국의 ATM을 해킹하는 등 금전적 이득을 위한 금융기관 공격에 집중하는 양상을 보였다. APAC 지역 카스퍼스키 GReAT의 박성수 선임 보안 연구원은 “안다리엘과 같은 APT그룹의 공격이 주로사이버 첩보 활동을 위한 공격이지만, 이번 사례에서 볼 수 있듯이 어떤 기업이든 공격 대상이 될 수 있다”라며, “따라서 사이버 공격에 대해 경계 태세를 갖추고 가장 취약한 부분인 사용자, 즉 직원의 실수나 방심으로 인한 사이버 보안 침해를 예방해야한다”라고 말했다. 카스퍼스키 GReAT는 바이러스토탈에서 앞서 언급한 의심스러운 워드 문서를 발견했다. 문서 제목은 ’참가신청서양식.doc’로 특정 행사 관련 양식을 사용하고 있었으며, 이 문서는 2021년 4월에 발견됐지만 공격의 최종 페이로드로 사용된 악성코드는 2020년 중반부터 안다리엘이 지속적으로 사용했다.    전체 공격 과정을 분석하는 중, 한국의 피해 기업 중 하나에서 마지막 페이로드인 백도어를 이용하여 알려지지 않은 랜섬웨어를 실행하는 것이 확인됐다. 이 랜섬웨어는 커맨드라인을 이용하여 인자를 전달...

카스퍼스키

2021.06.16

카스퍼스키 연구진이 2021년 초 새로운 유형의 악성 워드 파일을 발견했다. 처음에는 이 파일이 라자러스(Lazarus) 지능형 지속 공격(APT) 조직의 것으로 추측됐으나 카스퍼스키 글로벌 위협 정보 분석 팀(GReAT)의 추가 분석 결과 파일의 코드와 실행 방법에서 확인된 몇몇 정보를 바탕으로 실제 배후는 라자러스 그룹의 하위 조직인 안다리엘(Andariel)로 밝혀졌다. 카스퍼스키는 이전 공격에서 안다리엘이 주로 사용한 윈도우 명령을 실행하는 방식 및 이 공격에 사용된 복호화 루틴에 기초해 공격의 근원을 안다리엘로 제시했다.  안다리엘은 정부의 지원을 받는 사이버 위협 조직으로, 한국 금융보안원에서 라자러스의 하위 조직으로 분류했다. 이들은 금전적 이득과 사이버 스파이 활동에 중점을 두고 주로 한국의 기관을 공격한다. 2017년부터 안다리엘 조직은 공격의 방향을 전환해 한국의 ATM을 해킹하는 등 금전적 이득을 위한 금융기관 공격에 집중하는 양상을 보였다. APAC 지역 카스퍼스키 GReAT의 박성수 선임 보안 연구원은 “안다리엘과 같은 APT그룹의 공격이 주로사이버 첩보 활동을 위한 공격이지만, 이번 사례에서 볼 수 있듯이 어떤 기업이든 공격 대상이 될 수 있다”라며, “따라서 사이버 공격에 대해 경계 태세를 갖추고 가장 취약한 부분인 사용자, 즉 직원의 실수나 방심으로 인한 사이버 보안 침해를 예방해야한다”라고 말했다. 카스퍼스키 GReAT는 바이러스토탈에서 앞서 언급한 의심스러운 워드 문서를 발견했다. 문서 제목은 ’참가신청서양식.doc’로 특정 행사 관련 양식을 사용하고 있었으며, 이 문서는 2021년 4월에 발견됐지만 공격의 최종 페이로드로 사용된 악성코드는 2020년 중반부터 안다리엘이 지속적으로 사용했다.    전체 공격 과정을 분석하는 중, 한국의 피해 기업 중 하나에서 마지막 페이로드인 백도어를 이용하여 알려지지 않은 랜섬웨어를 실행하는 것이 확인됐다. 이 랜섬웨어는 커맨드라인을 이용하여 인자를 전달...

2021.06.16

카스퍼스키, ‘2020년 금융 사이버 위협 보고서’ 발표

카스퍼스키가 ‘2020년 금융 사이버 위협(Financial Cyberthreats in 2020) 보고서’를 발표했다.  이번 보고서에 따르면, 2020년에는 PC 또는 모바일을 통한 위협 규모가 전체적으로 감소했으나, 사이버 범죄자들이 새로운 첨단 정찰 기법을 사용하고 있는 것으로 나타났다. 공격 지역은 더욱 다각적이고 광범위해졌고, 특히 모바일 금융 악성코드에 있어 이러한 추세가 더욱 뚜렷하다. 전통적으로 공격이 잦았던 지역의 순위는 변동했으며, 사이버 범죄 기법의 발전 및 모바일에 보다 집중하는 경향을 보였다. 사용자의 자격 증명을 탈취하거나 심지어 사용자의 계좌에서 금전을 갈취하도록 고안된 유형의 악성코드인 모바일 뱅킹 트로이목마도 부분적으로 이러한 변화의 영향을 받았다. 2019년 안드로이드 뱅킹 악성 코드 공격을 경험한 사용자 비율이 가장 높았던 10개 국가는 러시아(0.72%), 남아프리카(0.66%), 호주(0.59%), 스페인(0.29%), 타지키스탄(0.21%), 터키(0.20%), 미국(0.18%), 이탈리아(0.17%), 우크라이나(0.17%), 아르메니아(0.16%) 순이다.  그러나 2020년에는 상황이 완전히 바뀌어, 공격 대상 국가의 순위가 모두 변동되었다. 이 부문에서 오랜 기간 최상위 국가였던 러시아는 2020년에는 7위로 내려왔다. 또한 2019년 피해 국가 목록에 등장하지 않았던 일본과 대만이 급부상하여 1, 2위를 차지했다. 또한 기존에 순위에 없던 한국도 6위를 차지했다.    카스퍼스키 보안 전문가 빅터 체비세브는 “2020년에는 새로운 여러 국가에서 사이버 공격에 의한 감염이 확인되었다”라며, “가장 뚜렷한 예가 Wroba.g 뱅킹 트로이목마의 공세를 경험한 일본”이라고 말했다.  카스퍼스키 전문가들은 금융 악성 코드에 감염되지 않도록 ▲공식 스토어 등 신뢰할 수 있는 출처를 통해서만 애플리케이션을 설치 ▲애플리케이션에서 어떤 권한을 요구하는지 확인 ▲광범위한...

카스퍼스키

2021.04.08

카스퍼스키가 ‘2020년 금융 사이버 위협(Financial Cyberthreats in 2020) 보고서’를 발표했다.  이번 보고서에 따르면, 2020년에는 PC 또는 모바일을 통한 위협 규모가 전체적으로 감소했으나, 사이버 범죄자들이 새로운 첨단 정찰 기법을 사용하고 있는 것으로 나타났다. 공격 지역은 더욱 다각적이고 광범위해졌고, 특히 모바일 금융 악성코드에 있어 이러한 추세가 더욱 뚜렷하다. 전통적으로 공격이 잦았던 지역의 순위는 변동했으며, 사이버 범죄 기법의 발전 및 모바일에 보다 집중하는 경향을 보였다. 사용자의 자격 증명을 탈취하거나 심지어 사용자의 계좌에서 금전을 갈취하도록 고안된 유형의 악성코드인 모바일 뱅킹 트로이목마도 부분적으로 이러한 변화의 영향을 받았다. 2019년 안드로이드 뱅킹 악성 코드 공격을 경험한 사용자 비율이 가장 높았던 10개 국가는 러시아(0.72%), 남아프리카(0.66%), 호주(0.59%), 스페인(0.29%), 타지키스탄(0.21%), 터키(0.20%), 미국(0.18%), 이탈리아(0.17%), 우크라이나(0.17%), 아르메니아(0.16%) 순이다.  그러나 2020년에는 상황이 완전히 바뀌어, 공격 대상 국가의 순위가 모두 변동되었다. 이 부문에서 오랜 기간 최상위 국가였던 러시아는 2020년에는 7위로 내려왔다. 또한 2019년 피해 국가 목록에 등장하지 않았던 일본과 대만이 급부상하여 1, 2위를 차지했다. 또한 기존에 순위에 없던 한국도 6위를 차지했다.    카스퍼스키 보안 전문가 빅터 체비세브는 “2020년에는 새로운 여러 국가에서 사이버 공격에 의한 감염이 확인되었다”라며, “가장 뚜렷한 예가 Wroba.g 뱅킹 트로이목마의 공세를 경험한 일본”이라고 말했다.  카스퍼스키 전문가들은 금융 악성 코드에 감염되지 않도록 ▲공식 스토어 등 신뢰할 수 있는 출처를 통해서만 애플리케이션을 설치 ▲애플리케이션에서 어떤 권한을 요구하는지 확인 ▲광범위한...

2021.04.08

카스퍼스키, 라자루스의 APT 공격 공개

카스퍼스키 연구진은 지금까지 알려지지 않은 라자루스(Lazarus)의 새로운 공격을 확인했다고 발표했다.  라자루스는 최소 2009년부터 활동을 시작해 현재까지 왕성하게 활동 중인 지능형 공격 조직으로 여러 분야에 걸친 다수의 공격에 연루돼 있다. 이들은 2020년 초부터 ThreatNeedle이라는 백도어로 방위 산업을 노리고 있으며, 이후 다양한 툴과 명령을 통해 내부망으로 이동해 민감한 정보를 수집한다. 라자루스는 현재 가장 활동이 왕성한 공격 조직 중 하나로, 최소 2009년부터 활동을 시작한 이래로 대규모 사이버 스파이 공격, 랜섬웨어 공격은 물론 암호화폐 시장 공격에도 연루돼 있다. 지난 몇 년 동안은 금융 기관을 중점적으로 공격했으나 2020년이 시작되면서 방위 산업을 공격 ‘포트폴리오’에 추가한 것으로 보인다. 카스퍼스키 연구진은 침해 사고 조사에 투입되면서 이 공격을 처음 인지했고, 해당 조직이 맞춤 백도어(장치 전체의 완전한 원격 제어를 가능하게 해주는 악성 코드의 일종)의 피해를 입은 것을 발견했다. ThreatNeedle는 공격자에게 다양한 기능을 제공하며 추가적인 툴과 명령을 통해 내부망 이동 후 기밀 정보를 수집한다. 첫 감염은 스피어 피싱을 통해 발생한다. 공격 대상은 악성 워드 첨부파일, 또는 첨부파일 링크가 포함된 이메일을 받는다. 공격자는 공격 대상이 관심있을 만한 주제를 이용하며 실제로 유명한 의료기관을 가장해 코로나19 관련 긴급 업데이트라는 주제를 사용한 경우도 확인됐다. 악성 문서를 열면 악성 코드가 생성되며 다음 감염 단계가 진행된다. 이 공격에 사용된 ThreatNeedle 악성 코드는 Manuscrypt로 알려진 악성 코드군에 속한다. 이 악성 코드군은 라자루스 조직의 소유이며 과거 암호화폐 기업을 공격한 전력이 있다. ThreatNeedle이 설치되면 공격 대상의 장치를 완전히 제어할 수 있다. 즉, 파일 조작은 물론 수신된 명령의 실행에 이르기까지, 모든 작업이 가능해지는 것이다. 이 공격의 ...

카스퍼스키

2021.02.26

카스퍼스키 연구진은 지금까지 알려지지 않은 라자루스(Lazarus)의 새로운 공격을 확인했다고 발표했다.  라자루스는 최소 2009년부터 활동을 시작해 현재까지 왕성하게 활동 중인 지능형 공격 조직으로 여러 분야에 걸친 다수의 공격에 연루돼 있다. 이들은 2020년 초부터 ThreatNeedle이라는 백도어로 방위 산업을 노리고 있으며, 이후 다양한 툴과 명령을 통해 내부망으로 이동해 민감한 정보를 수집한다. 라자루스는 현재 가장 활동이 왕성한 공격 조직 중 하나로, 최소 2009년부터 활동을 시작한 이래로 대규모 사이버 스파이 공격, 랜섬웨어 공격은 물론 암호화폐 시장 공격에도 연루돼 있다. 지난 몇 년 동안은 금융 기관을 중점적으로 공격했으나 2020년이 시작되면서 방위 산업을 공격 ‘포트폴리오’에 추가한 것으로 보인다. 카스퍼스키 연구진은 침해 사고 조사에 투입되면서 이 공격을 처음 인지했고, 해당 조직이 맞춤 백도어(장치 전체의 완전한 원격 제어를 가능하게 해주는 악성 코드의 일종)의 피해를 입은 것을 발견했다. ThreatNeedle는 공격자에게 다양한 기능을 제공하며 추가적인 툴과 명령을 통해 내부망 이동 후 기밀 정보를 수집한다. 첫 감염은 스피어 피싱을 통해 발생한다. 공격 대상은 악성 워드 첨부파일, 또는 첨부파일 링크가 포함된 이메일을 받는다. 공격자는 공격 대상이 관심있을 만한 주제를 이용하며 실제로 유명한 의료기관을 가장해 코로나19 관련 긴급 업데이트라는 주제를 사용한 경우도 확인됐다. 악성 문서를 열면 악성 코드가 생성되며 다음 감염 단계가 진행된다. 이 공격에 사용된 ThreatNeedle 악성 코드는 Manuscrypt로 알려진 악성 코드군에 속한다. 이 악성 코드군은 라자루스 조직의 소유이며 과거 암호화폐 기업을 공격한 전력이 있다. ThreatNeedle이 설치되면 공격 대상의 장치를 완전히 제어할 수 있다. 즉, 파일 조작은 물론 수신된 명령의 실행에 이르기까지, 모든 작업이 가능해지는 것이다. 이 공격의 ...

2021.02.26

강은성의 보안 아키텍트ㅣ연말이면 쏟아지는 사이버 위협 보고서, 그래서 어쩌라고?

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

강은성 보안 아키텍트 사이버 위협 맥아피 카스퍼스키 파이어아이 소닉월 포티넷 보안기업 위협 인텔리전스 표적 피싱 원격 CISO CSO

2020.12.21

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

2020.12.21

“2021년 APT, 사이버 위협 종류와 공격 전략 다양화” 카스퍼스키 

카스퍼스키가 2021년의 지능형 지속 공격(APT: Advanced Persistent Threats)에 대한 전망을 발표하고 향후 표적 공격이 어떻게 변화할 것인지 예측했다.  2020년에는 코로나19로 인해 일상생활뿐만 아니라 표적 공격 분야에서 구조적이면서 전략적인 많은 변화가 생길 것이며, 제로데이 취약점 공격과 같은 사이버 공격을 가능케 하는 활동에 맞선 적극적인 조치 및 다단계 공격과 함께 네트워크 기기 표적화 및 5G 취약성 검색과 같은 새로운 방식의 공격이 발생할 것이라고 업체 측은 설명했다.  이러한 예측은 카스퍼스키의 글로벌 연구분석팀(GReAT)이 2020년에 목격한 변화를 바탕으로 한 것이며, 사이버보안 커뮤니티를 지원하기 위해 몇 가지 지침 및 통찰력과 함께 공개했다.  카스퍼스키 연구원들이 예상하는 핵심적이면서 잠재적으로 가장 위험한 동향 중 하나는 APT공격 그룹들이 공격 대상에 접근하는 방식이 변화하고 있다는 점이다. 지난해 표적 랜섬웨어 공격은 공격 대상 네트워크에 대한 초기 발판을 마련하기 위한 수단으로 일반 악성 소프트웨어를 사용함으로써 새로운 수준에 도달하게 됐다.  카스퍼스키 연구원들은 APT 공격 그룹 들이 동일한 방법으로 위협을 주기 시작할 것이라고 전망하고 있다. 따라서, 조직은 일반 악성 프로그램에 대한 경각심을 높이고 감염된 각 컴퓨터에서 기본적인 사고 대응 활동을 수행하여 일반 악성 프로그램이 더욱 정교한 공격을 실행하는 수단으로 사용되지 않도록 해야 한다고 업체 측은 당부했다. 카스퍼스키는 기타 표적 공격 위협과 관련된 2021년 예측 내용은 ▲다수 국가가 법적 기소를 사이버 전략의 일환으로 사용할 것 ▲실리콘밸리 기업들의 제로데이 브로커 차단 조치 ▲네트워크 기기 공격 증가 ▲랜섬웨어 협박을 통한 금전 갈취 ▲더욱 파괴적인 공격 ▲5G 취약점의 출현 ▲공격자들은 코로나19 대유행을 계속 악용 등이다.   또한 카스퍼스키가 예측한 2021년 한...

카스퍼스키 APT 지능형 지속 공격 사이버 위협 제로데이 공격

2020.11.25

카스퍼스키가 2021년의 지능형 지속 공격(APT: Advanced Persistent Threats)에 대한 전망을 발표하고 향후 표적 공격이 어떻게 변화할 것인지 예측했다.  2020년에는 코로나19로 인해 일상생활뿐만 아니라 표적 공격 분야에서 구조적이면서 전략적인 많은 변화가 생길 것이며, 제로데이 취약점 공격과 같은 사이버 공격을 가능케 하는 활동에 맞선 적극적인 조치 및 다단계 공격과 함께 네트워크 기기 표적화 및 5G 취약성 검색과 같은 새로운 방식의 공격이 발생할 것이라고 업체 측은 설명했다.  이러한 예측은 카스퍼스키의 글로벌 연구분석팀(GReAT)이 2020년에 목격한 변화를 바탕으로 한 것이며, 사이버보안 커뮤니티를 지원하기 위해 몇 가지 지침 및 통찰력과 함께 공개했다.  카스퍼스키 연구원들이 예상하는 핵심적이면서 잠재적으로 가장 위험한 동향 중 하나는 APT공격 그룹들이 공격 대상에 접근하는 방식이 변화하고 있다는 점이다. 지난해 표적 랜섬웨어 공격은 공격 대상 네트워크에 대한 초기 발판을 마련하기 위한 수단으로 일반 악성 소프트웨어를 사용함으로써 새로운 수준에 도달하게 됐다.  카스퍼스키 연구원들은 APT 공격 그룹 들이 동일한 방법으로 위협을 주기 시작할 것이라고 전망하고 있다. 따라서, 조직은 일반 악성 프로그램에 대한 경각심을 높이고 감염된 각 컴퓨터에서 기본적인 사고 대응 활동을 수행하여 일반 악성 프로그램이 더욱 정교한 공격을 실행하는 수단으로 사용되지 않도록 해야 한다고 업체 측은 당부했다. 카스퍼스키는 기타 표적 공격 위협과 관련된 2021년 예측 내용은 ▲다수 국가가 법적 기소를 사이버 전략의 일환으로 사용할 것 ▲실리콘밸리 기업들의 제로데이 브로커 차단 조치 ▲네트워크 기기 공격 증가 ▲랜섬웨어 협박을 통한 금전 갈취 ▲더욱 파괴적인 공격 ▲5G 취약점의 출현 ▲공격자들은 코로나19 대유행을 계속 악용 등이다.   또한 카스퍼스키가 예측한 2021년 한...

2020.11.25

“모바일 플랫폼 통한 악성 코드 감염 및 유포 증가세” 카스퍼스키

카스퍼스키가 2020년 1분기 APT(지능형 지속 공격) 활동 보고서를 통해 모바일 플랫폼을 통한 악성 코드 감염 및 유포가 증가세에 있으며 그 중 일부 공격은 완전히 모바일에만 집중되어 있다고 밝혔다.  보고서에 따르면 신규 해커 조직의 아시아 지역 공격 활동이 더욱 증가하는 가운데, 기존의 지능형 공격 조직들은 공격 수행 방식에 있어 보다 신중한 모습을 보인 것으로 나타났다.  지난 분기 APT 동향 요약은 카스퍼스키의 비공개 위협 인텔리전스 연구와 대중이 알아야 하는 주요 공격 전개 양상을 다룬 기타 출처를 바탕으로 작성됐다.  2020년 1분기 APT 관찰 결과 아시아 지역에서의 활동이 증가하고 있으며 동남아시아, 한국, 일본에서 특히 활발하게 일어나고 있음이 확인됐다. 카스퍼스키는 창의적이면서 비용이 낮은 캠페인을 무기로 하는 새로운 APT 조직이 등장해, 캑터스피티(CactusPete)나 라자루스(Lazarus) 같은 유명한 조직과 함께 존재감을 굳히고 있다고 설명했다.  뿐만 아니라 공격 및 악성 코드 유포 수단으로서의 모바일 플랫폼에 대한 관심도도 증가하고 있는 것으로 보인다. 최근 카스퍼스키는 홍콩 사용자를 노리고 iOS 및 안드로이드 기기의 취약점을 악용한 라이트스파이(LightSpy) 워터링 홀 공격 및 동남아시아 지역을 겨냥한 안드로이드 사이버 스파이 공격 팬텀랜스(PhantomLance) 등 모바일에 집중한 몇몇 캠페인에 대한 보고서를 발표했다. 이 두 공격 모두 포럼이나 소셜미디어부터 구글 플레이 앱스토어까지 다양한 온라인 플랫폼을 활용하는데 성공하면서, 결과적으로 악성 코드를 효과적으로 유포하는 방법을 제시했다. 아시아 지역을 노리는 APT 공격자들만 모바일 임플란트를 개발하는 것은 아니다. 아프가니스탄과 인도 사용자를 노리고 ‘USB웜’이라는 새로운 모듈을 사용한 공격을 펼친 트랜스페이런트트라이브(TransparentTribe) 또한 안드로이드 기기를 감염시키기 위해 새로운 임플란트를 개...

모바일 악성코드 카스퍼스키

2020.05.06

카스퍼스키가 2020년 1분기 APT(지능형 지속 공격) 활동 보고서를 통해 모바일 플랫폼을 통한 악성 코드 감염 및 유포가 증가세에 있으며 그 중 일부 공격은 완전히 모바일에만 집중되어 있다고 밝혔다.  보고서에 따르면 신규 해커 조직의 아시아 지역 공격 활동이 더욱 증가하는 가운데, 기존의 지능형 공격 조직들은 공격 수행 방식에 있어 보다 신중한 모습을 보인 것으로 나타났다.  지난 분기 APT 동향 요약은 카스퍼스키의 비공개 위협 인텔리전스 연구와 대중이 알아야 하는 주요 공격 전개 양상을 다룬 기타 출처를 바탕으로 작성됐다.  2020년 1분기 APT 관찰 결과 아시아 지역에서의 활동이 증가하고 있으며 동남아시아, 한국, 일본에서 특히 활발하게 일어나고 있음이 확인됐다. 카스퍼스키는 창의적이면서 비용이 낮은 캠페인을 무기로 하는 새로운 APT 조직이 등장해, 캑터스피티(CactusPete)나 라자루스(Lazarus) 같은 유명한 조직과 함께 존재감을 굳히고 있다고 설명했다.  뿐만 아니라 공격 및 악성 코드 유포 수단으로서의 모바일 플랫폼에 대한 관심도도 증가하고 있는 것으로 보인다. 최근 카스퍼스키는 홍콩 사용자를 노리고 iOS 및 안드로이드 기기의 취약점을 악용한 라이트스파이(LightSpy) 워터링 홀 공격 및 동남아시아 지역을 겨냥한 안드로이드 사이버 스파이 공격 팬텀랜스(PhantomLance) 등 모바일에 집중한 몇몇 캠페인에 대한 보고서를 발표했다. 이 두 공격 모두 포럼이나 소셜미디어부터 구글 플레이 앱스토어까지 다양한 온라인 플랫폼을 활용하는데 성공하면서, 결과적으로 악성 코드를 효과적으로 유포하는 방법을 제시했다. 아시아 지역을 노리는 APT 공격자들만 모바일 임플란트를 개발하는 것은 아니다. 아프가니스탄과 인도 사용자를 노리고 ‘USB웜’이라는 새로운 모듈을 사용한 공격을 펼친 트랜스페이런트트라이브(TransparentTribe) 또한 안드로이드 기기를 감염시키기 위해 새로운 임플란트를 개...

2020.05.06

카스퍼스키, 원격 근무자 보호 및 섀도우 IT 환경 위한 보안 솔루션 제공

카스퍼스키는 최신 버전의 카스퍼스키 엔드포인트 시큐리티 클라우드(Kaspersky Endpoint Security Cloud)가 원격 근무자 보호 및 섀도우 IT에 대한 가시성을 향상시킨다고 밝혔다.  IT 관리자는 새로운 클라우드 탐색 기능으로 직원들이 안전하지 않을 수도 있는 애플리케이션과 사이트를 무단 사용하지 않도록 관리해, 기업 보안 정책을 확실히 준수할 수 있다. 클라우드 서비스를 제어해 기업 데이터의 침해 노출 위험성을 줄이면서 직원들이 어디서나 업무를 처리할 수 있도록 지원한다고 업체 측은 설명했다.  코로나19 확산으로 원격 근무자가 늘어나고 있는 상황에서 관리자는 기업과 직원의 데이터 모두 외부 노출 없이 안전하게 유지 관리해야하는 책임이 커지고 있다.  직원들은 인증된 서비스만 이용하는 것이 아니라 다른 애플리케이션을 선택해 사용하거나 기업 관행과 개인적 습관에 맞는 애플리케이션을 혼합해 사용하기도 한다. 바로 여기서 ‘섀도우 IT’가 발생한다. 메신저, 파일 공유 서비스를 비롯하여 업무 또는 개인적 필요에 따라 기업 장치에서 사용하는 기타 소소한 도구에 이르기까지, 그렇게 선택하는 애플리케이션은 보안이 확실하지 않을 수 있다. 아무리 타당한 의도라도 IT 부서의 승인을 받지 않고 그러한 애플리케이션을 사용하면 조직의 평판을 위태롭게 하는 기업 데이터 침해 또는 악성 코드 감염을 유발할 가능성이 있는 것이다. 카스퍼스키는 이런 상황에서 엔드포인트 시큐리티 클라우드를 사용하면 IT 관리자는 기업 IT를 더욱 투명하게 파악하고 조직 내에서 신뢰할 수 있는 클라우드 서비스만 사용되도록 관리할 수 있다고 밝혔다. 클라우드 탐색 기능을 통해 기업 보안 정책에 부합하는 인가된 클라우드 서비스 목록을 설정하고 해당 목록을 철저히 준수하고 있는지 확인할 수 있다고 덧붙였다.  사용하는 서비스 및 전용 애플리케이션 카테고리 관련 데이터를 대시보드에서 가시적으로 확인할 수 있으며, 관리자는 이 대시보드를 통해 업무...

카스퍼스키 엔드포인트

2020.04.20

카스퍼스키는 최신 버전의 카스퍼스키 엔드포인트 시큐리티 클라우드(Kaspersky Endpoint Security Cloud)가 원격 근무자 보호 및 섀도우 IT에 대한 가시성을 향상시킨다고 밝혔다.  IT 관리자는 새로운 클라우드 탐색 기능으로 직원들이 안전하지 않을 수도 있는 애플리케이션과 사이트를 무단 사용하지 않도록 관리해, 기업 보안 정책을 확실히 준수할 수 있다. 클라우드 서비스를 제어해 기업 데이터의 침해 노출 위험성을 줄이면서 직원들이 어디서나 업무를 처리할 수 있도록 지원한다고 업체 측은 설명했다.  코로나19 확산으로 원격 근무자가 늘어나고 있는 상황에서 관리자는 기업과 직원의 데이터 모두 외부 노출 없이 안전하게 유지 관리해야하는 책임이 커지고 있다.  직원들은 인증된 서비스만 이용하는 것이 아니라 다른 애플리케이션을 선택해 사용하거나 기업 관행과 개인적 습관에 맞는 애플리케이션을 혼합해 사용하기도 한다. 바로 여기서 ‘섀도우 IT’가 발생한다. 메신저, 파일 공유 서비스를 비롯하여 업무 또는 개인적 필요에 따라 기업 장치에서 사용하는 기타 소소한 도구에 이르기까지, 그렇게 선택하는 애플리케이션은 보안이 확실하지 않을 수 있다. 아무리 타당한 의도라도 IT 부서의 승인을 받지 않고 그러한 애플리케이션을 사용하면 조직의 평판을 위태롭게 하는 기업 데이터 침해 또는 악성 코드 감염을 유발할 가능성이 있는 것이다. 카스퍼스키는 이런 상황에서 엔드포인트 시큐리티 클라우드를 사용하면 IT 관리자는 기업 IT를 더욱 투명하게 파악하고 조직 내에서 신뢰할 수 있는 클라우드 서비스만 사용되도록 관리할 수 있다고 밝혔다. 클라우드 탐색 기능을 통해 기업 보안 정책에 부합하는 인가된 클라우드 서비스 목록을 설정하고 해당 목록을 철저히 준수하고 있는지 확인할 수 있다고 덧붙였다.  사용하는 서비스 및 전용 애플리케이션 카테고리 관련 데이터를 대시보드에서 가시적으로 확인할 수 있으며, 관리자는 이 대시보드를 통해 업무...

2020.04.20

'국가 재난 될 수 있었다' 인도 핵발전소 해킹 사건의 전말

민간 기반시설 공격은 전쟁 범죄가 맞다. 그런데 세계 각국의 첩보원들은 민간 기반시설(예: 에너지를 생산하는 민간 핵발전소)에 침투해 사전 배치하기 위한 소리 없고 비열한 전쟁을 치르고 있다. 지정학적 긴장이 발생하는 동안 파괴 공작을 저지르기 위해서다.   다음은 인도의 쿠당쿨람 핵발전소(Kudankulam Nuclear Power Plant: KNPP) 해킹 사건이 어떻게 발생했으며 어떻게 쉽게 예방할 수도 있었는지에 대한 설명이다. KNPP 해킹 사건 소식이 알려진 것은 요즘에는 흔히 그렇듯 트위터를 통해서였다. 뉴 인디언 익스프레스(The New Indian Express)에 따르면, ‘저명한 사이버 첩보 전문가’이자 ‘인도 국립기술연구조직(NTRO)의 사이버전 작전 센터 수립에 중요한 역할’을 한 푸크라 싱은 본인의 트위터 계정에 다음과 같은 글을 올렸다. “자, 이제 공개된 사실이다. KNPP에 도메인 컨트롤러 수준 접근 발생. 정부는 이미 오래전에 이 사실을 통보받았다. 임무 수행에 지극히 중요한 목표물이 공격받았다.” 그는 인용 트윗에서 이 공격에 대해 2019년 9월 7일부터 이미 알고 있었다면서 ‘전쟁 명분(causus belli)’(전쟁을 도발할 정도로 심각한 공격)이라고 규정했다. 싱은 그 이후 트윗에서 본인이 직접 악성코드를 발견한 것은 아니라고 밝혔다. 제3자가 “본인에게 연락을 취했고 나는 9월 4일(날짜가 중요)에 국가사이버보안담당자(NCSC)에게 통보했다. 제3자는 그 후 침해지표(IoC)들을 NCSC 사무실과 공유했다. 카스퍼스키는 이를 나중에 보고했고 디트랙(DTrack)이라고 불렀다.” 인도 핵발전소공사는 처음에 이 사실을 부인했다. 보도자료를 통해, SNS에 나돌고 있는 ‘잘못된 정보’라고 매도했으며 KNPP 핵발전소는 “독자적인 네트워크로, 외부 사이버 네트워크와 인터넷에 연결되어 있지 않아 핵발전소 제어 시스템에 대한 사이버 공격은 불가능하다”라고 주장했다.  그러나 나중에 이 주장을 철회했...

CSO 인도 핵발전소공사 사이버비트 사보타지웨어 기반시설 KNPP 라자루스 핵발전소 멀웨어 카스퍼스키 APT 공격 맬웨어 트위터 해킹 쿠당쿨람 핵발전소

2019.12.11

민간 기반시설 공격은 전쟁 범죄가 맞다. 그런데 세계 각국의 첩보원들은 민간 기반시설(예: 에너지를 생산하는 민간 핵발전소)에 침투해 사전 배치하기 위한 소리 없고 비열한 전쟁을 치르고 있다. 지정학적 긴장이 발생하는 동안 파괴 공작을 저지르기 위해서다.   다음은 인도의 쿠당쿨람 핵발전소(Kudankulam Nuclear Power Plant: KNPP) 해킹 사건이 어떻게 발생했으며 어떻게 쉽게 예방할 수도 있었는지에 대한 설명이다. KNPP 해킹 사건 소식이 알려진 것은 요즘에는 흔히 그렇듯 트위터를 통해서였다. 뉴 인디언 익스프레스(The New Indian Express)에 따르면, ‘저명한 사이버 첩보 전문가’이자 ‘인도 국립기술연구조직(NTRO)의 사이버전 작전 센터 수립에 중요한 역할’을 한 푸크라 싱은 본인의 트위터 계정에 다음과 같은 글을 올렸다. “자, 이제 공개된 사실이다. KNPP에 도메인 컨트롤러 수준 접근 발생. 정부는 이미 오래전에 이 사실을 통보받았다. 임무 수행에 지극히 중요한 목표물이 공격받았다.” 그는 인용 트윗에서 이 공격에 대해 2019년 9월 7일부터 이미 알고 있었다면서 ‘전쟁 명분(causus belli)’(전쟁을 도발할 정도로 심각한 공격)이라고 규정했다. 싱은 그 이후 트윗에서 본인이 직접 악성코드를 발견한 것은 아니라고 밝혔다. 제3자가 “본인에게 연락을 취했고 나는 9월 4일(날짜가 중요)에 국가사이버보안담당자(NCSC)에게 통보했다. 제3자는 그 후 침해지표(IoC)들을 NCSC 사무실과 공유했다. 카스퍼스키는 이를 나중에 보고했고 디트랙(DTrack)이라고 불렀다.” 인도 핵발전소공사는 처음에 이 사실을 부인했다. 보도자료를 통해, SNS에 나돌고 있는 ‘잘못된 정보’라고 매도했으며 KNPP 핵발전소는 “독자적인 네트워크로, 외부 사이버 네트워크와 인터넷에 연결되어 있지 않아 핵발전소 제어 시스템에 대한 사이버 공격은 불가능하다”라고 주장했다.  그러나 나중에 이 주장을 철회했...

2019.12.11

윈도우 7 종료 임박··· 英 NHS의 대응책은?

2020년 1월 14일이면 윈도우 7 지원이 끝난다. 하지만 이 운영체제는 여러 기업과 공공기관에서 여전히 운영 중이며, 영국 국가의료제도(NHS)도 그 중 하나다.   2019년 6월 30일 현재, 100만 5,000대의 NHS 컴퓨터가 여전히 윈도우를 이용하고 있었다(NHS의 약 76%). 이는 영국 정신 건강 및 자살 예방 담당관인 재키 도일-프라이스가 의회 답변에서 밝힌 내용이다.  내년 1월 14일, 마이크로소프트는 신종 악성코드 공격으로부터 컴퓨터를 보호하는 윈도우 7의 보안 패치, 업데이트 또는 기술 지원을 종료할 예정이다. 이제 해커들은 종료 시한이 지나는 것을 기다릴 수 있다.  2017년 워너크라이 사이버 공격에서 드러난 것처럼, 위험은 NHS에게 특히 심각하다. 이 랜섬웨어는 236곳의 NHS 트러스트 가운데 최소 80곳에 영향을 주었고, 약 2만 건의 병원 예약 및 수술이 취소되었으며, 5곳의 사고 및 응급 진료부(A&E)가 환자를 다른 병원으로 이관해야 했다.  사이버보안 책임을 맡은 그림자 내각 장관(Shadow Cabinet Office Minister)인 조 플랫은 NHS가 윈도우 7을 계속해서 널리 사용하는 것이 ‘지극히 염려스럽다’고 말했다.  플랫은 “2년 전의 워너크라이 사이버 공격은 시한이 넘은 소프트웨어를 이용할 때의 위험을 확실히 보여주었다”라면서 “정부가 신속히 행동하고, 과거의 실수로부터 배우지 않는다면, 워너크라이는 반복될 위험이 있다”라고 경고했다.  2018년 4월 보건사회복지부는 NHS가 윈도우 10을 무료로 이용할 수 있는 계약을 마이크로소프트와 체결했다고 발표했지만, 그런데도 여러 NHS 조직이 마이그레이션에서 곤란을 겪었다.   NHS는 빠듯한 예산과 인력 제약으로 대기업보다 운영체제를 업그레이드하는 것이 더 어려운 것이 보통이다. 일부의 경우, 운영체제가 NHS 컴퓨터와 서버에서 실행할 수 없을 정도로 지나치게 향상됐을 ...

마이크로소프트 워너크라이 종료 윈도우10 넷 애플리케이션 카스퍼스키 윈도우XP 업그레이드 패치 운영체제 윈도우7 마이그레이션 NHS

2019.11.29

2020년 1월 14일이면 윈도우 7 지원이 끝난다. 하지만 이 운영체제는 여러 기업과 공공기관에서 여전히 운영 중이며, 영국 국가의료제도(NHS)도 그 중 하나다.   2019년 6월 30일 현재, 100만 5,000대의 NHS 컴퓨터가 여전히 윈도우를 이용하고 있었다(NHS의 약 76%). 이는 영국 정신 건강 및 자살 예방 담당관인 재키 도일-프라이스가 의회 답변에서 밝힌 내용이다.  내년 1월 14일, 마이크로소프트는 신종 악성코드 공격으로부터 컴퓨터를 보호하는 윈도우 7의 보안 패치, 업데이트 또는 기술 지원을 종료할 예정이다. 이제 해커들은 종료 시한이 지나는 것을 기다릴 수 있다.  2017년 워너크라이 사이버 공격에서 드러난 것처럼, 위험은 NHS에게 특히 심각하다. 이 랜섬웨어는 236곳의 NHS 트러스트 가운데 최소 80곳에 영향을 주었고, 약 2만 건의 병원 예약 및 수술이 취소되었으며, 5곳의 사고 및 응급 진료부(A&E)가 환자를 다른 병원으로 이관해야 했다.  사이버보안 책임을 맡은 그림자 내각 장관(Shadow Cabinet Office Minister)인 조 플랫은 NHS가 윈도우 7을 계속해서 널리 사용하는 것이 ‘지극히 염려스럽다’고 말했다.  플랫은 “2년 전의 워너크라이 사이버 공격은 시한이 넘은 소프트웨어를 이용할 때의 위험을 확실히 보여주었다”라면서 “정부가 신속히 행동하고, 과거의 실수로부터 배우지 않는다면, 워너크라이는 반복될 위험이 있다”라고 경고했다.  2018년 4월 보건사회복지부는 NHS가 윈도우 10을 무료로 이용할 수 있는 계약을 마이크로소프트와 체결했다고 발표했지만, 그런데도 여러 NHS 조직이 마이그레이션에서 곤란을 겪었다.   NHS는 빠듯한 예산과 인력 제약으로 대기업보다 운영체제를 업그레이드하는 것이 더 어려운 것이 보통이다. 일부의 경우, 운영체제가 NHS 컴퓨터와 서버에서 실행할 수 없을 정도로 지나치게 향상됐을 ...

2019.11.29

카스퍼스키 “정보 수집 위해 한국과 동남아 지역 노리는 한국어 기반 APT 조직 발견”

카스퍼스키가 2019년 3분기 카스퍼스키 보고서를 발표하며, 은행, 정부, 금융기관, 군사조직의 정보를 노린 공격이 활발한 양상을 보이고 있다고 밝혔다.  2019년 3분기에는 ▲모바일 메신저 또는 암호화폐 앱을 가장해 암호화폐 개인투자자 및 조직을 대상으로 공격을 펼치는 안드로이드 악성코드 ▲도구를 계속 변경하며 은행을 공격하는 악명 높은 APT(지능형 지속 공격) 조직 ▲CVE-2017-10271를 악용해 업데이트된 툴을 유포 중인 라자루스(Lazarus)의 하위 조직 등 다양한 해킹 조직의 활동이 두드러졌다. 공격 대상 및 수법은 다양했지만 모두 한국어 기반의 공격 그룹이었으며, 한반도 및 동남아시아 지역에 유포되었다는 공통점이 있다.  KONNI, 개인 암호화폐 탈취 카스퍼스키 연구진이 새롭게 발견한 활동 중에는 모바일 메신저 또는 암호화폐 관련 앱으로 위장한 안드로이드 악성코드가 있다. 카스퍼스키는 한국 현지 CERT와 긴밀하게 협업해 공격자 서버를 분석한 끝에 신종 악성코드를 확인하고 KONNI와의 연관성을 밝힐 수 있었다. KONNI는 과거 인권 단체를 비롯해 한국과 이해관계가 있는 개인을 공격하는 데 사용되었던 윈도우 악성코드의 일종이다. 또한 KONNI는 안드로이드 기기를 제어할 수 있는 기능을 갖추고서 개인의 암호화폐를 탈취하는 것으로도 잘 알려져 있다. 은밀하게 활동하는 블루노로프 카스퍼스키의 모니터링을 통해 악명 높은 APT 조직 라자루스의 하위 조직인 블루노로프(BlueNoroff)가 2019년 3분기 동안 미얀마의 은행을 감염시킨 사실도 드러났다. 공격자는 내부망 이동을 통해 은행 시스템 엔지니어 소유의 SWIFT 관련 호스트를 비롯한 중요 호스트에 접근한 것으로 보이며, 빠른 정보 공유와 즉각적인 조치 덕분에 더 이상의 피해는 발생하지 않았다. 연구진은 추가 분석을 통해 이러한 이 그룹의 전체 공격 과정에 대해 중요한 정보를 얻을 수 있었다. 또한 카스퍼스키의 조사를 통해 파워셀(Powershell) ...

카스퍼스키

2019.11.08

카스퍼스키가 2019년 3분기 카스퍼스키 보고서를 발표하며, 은행, 정부, 금융기관, 군사조직의 정보를 노린 공격이 활발한 양상을 보이고 있다고 밝혔다.  2019년 3분기에는 ▲모바일 메신저 또는 암호화폐 앱을 가장해 암호화폐 개인투자자 및 조직을 대상으로 공격을 펼치는 안드로이드 악성코드 ▲도구를 계속 변경하며 은행을 공격하는 악명 높은 APT(지능형 지속 공격) 조직 ▲CVE-2017-10271를 악용해 업데이트된 툴을 유포 중인 라자루스(Lazarus)의 하위 조직 등 다양한 해킹 조직의 활동이 두드러졌다. 공격 대상 및 수법은 다양했지만 모두 한국어 기반의 공격 그룹이었으며, 한반도 및 동남아시아 지역에 유포되었다는 공통점이 있다.  KONNI, 개인 암호화폐 탈취 카스퍼스키 연구진이 새롭게 발견한 활동 중에는 모바일 메신저 또는 암호화폐 관련 앱으로 위장한 안드로이드 악성코드가 있다. 카스퍼스키는 한국 현지 CERT와 긴밀하게 협업해 공격자 서버를 분석한 끝에 신종 악성코드를 확인하고 KONNI와의 연관성을 밝힐 수 있었다. KONNI는 과거 인권 단체를 비롯해 한국과 이해관계가 있는 개인을 공격하는 데 사용되었던 윈도우 악성코드의 일종이다. 또한 KONNI는 안드로이드 기기를 제어할 수 있는 기능을 갖추고서 개인의 암호화폐를 탈취하는 것으로도 잘 알려져 있다. 은밀하게 활동하는 블루노로프 카스퍼스키의 모니터링을 통해 악명 높은 APT 조직 라자루스의 하위 조직인 블루노로프(BlueNoroff)가 2019년 3분기 동안 미얀마의 은행을 감염시킨 사실도 드러났다. 공격자는 내부망 이동을 통해 은행 시스템 엔지니어 소유의 SWIFT 관련 호스트를 비롯한 중요 호스트에 접근한 것으로 보이며, 빠른 정보 공유와 즉각적인 조치 덕분에 더 이상의 피해는 발생하지 않았다. 연구진은 추가 분석을 통해 이러한 이 그룹의 전체 공격 과정에 대해 중요한 정보를 얻을 수 있었다. 또한 카스퍼스키의 조사를 통해 파워셀(Powershell) ...

2019.11.08

방어, 성능, 유용성 면에서 '우수'··· 바이러스 백신 SW 12선

AV-TEST 인스티튜트가 최근 가장 인기 있는 윈도우 10 클라이언트 바이러스 백신 제품을 방어, 성능, 유용성이라는 세가지 기준으로 테스트했다. 그 결과 18개 제품 중 4개가 각 기준에 대해 6점 만점을 받았다. • 카스퍼스키랩 엔드포인트 시큐리티 • 카스퍼스키랩 스몰 오피스 시큐리티 • 시만텍 엔드포인트 프로텍션 • 시만텍 엔드포인트 프로텍션 클라우드 여기에서 알파벳순으로 소개한 12개 바이러스 백신 제품은 18점 만점에서 최소 17.5점을 받았다. 전체 테스트 결과는 AV-TEST 인스티튜트 웹사이트에서 확인할 수 있다.   바이러스 백신 테스트 결과 활용법 이 테스트는 랩 환경에서 수행되었다. 위협 모델 다른 각각의 다른 엔터프라이즈 시스템은 각 제품에 관해 다른 결과를 나타낸다. 다시 말해, 실험실에서 100% 탐지율을 보였다고 해서 해당 제품이 네트워크의 모든 바이러스 백신 위협을 탐지한다는 의미는 아니다. 이러한 차이를 보이는 이유 중 하나는 새로 제출된 악성코드 표본이 지정된 바이러스 백신 제품의 데이터베이스로 만들어지는 데 며칠이 걸릴 수 있기 때문이다. AV-TEST 결과에 따르면, 악성코드 탐지의 기본 요소에 가장 적합한 윈도우 바이러스 백신 제품이 시스템 성능에 미치는 영향은 가장 적었다. 이는 기업 환경에 가장 적합한 제품을 평가할 때 좋은 출발점이 된다. ‘우수 평가받은’ 윈도우 10 바이러스 백신 툴  1. 어베스트 비즈니스 안티바이러스 프로 플러스 19.5와 19.6 어베스트 비즈니스 안티바이러스 프로 플러스는 지난 4주 동안 발견된 제로데이 악성코드 공격 및 악성코드를 중지시키는 데 완벽한 점수를 받았다. 표준 PC에서 평균보다 11%포인트가 느린 인기 웹사이트를 제외하고 모든 테스트에서 평균보다 성능이 높았다. 합법적인 소프트웨어를 설치하고 사용하는 동안 하나의 잘못된 행동 차단을 등록했다. 2. 비트디펜더 엔드포인트 시큐리티 6.6 비트디펜더 엔드포인트 시큐리티는 테스트에 쓰인 모든 제로데이 ...

CSO 윈도우 10 어베스트 AV-TEST 비트디펜더 엔드포인트 제로데이 소포스 카스퍼스키 바이러스 백신 트렌드마이크로 탐지 안티바이러스 시만텍 CISO 맥아피 차단 마이크로소프트 F-시큐어

2019.10.07

AV-TEST 인스티튜트가 최근 가장 인기 있는 윈도우 10 클라이언트 바이러스 백신 제품을 방어, 성능, 유용성이라는 세가지 기준으로 테스트했다. 그 결과 18개 제품 중 4개가 각 기준에 대해 6점 만점을 받았다. • 카스퍼스키랩 엔드포인트 시큐리티 • 카스퍼스키랩 스몰 오피스 시큐리티 • 시만텍 엔드포인트 프로텍션 • 시만텍 엔드포인트 프로텍션 클라우드 여기에서 알파벳순으로 소개한 12개 바이러스 백신 제품은 18점 만점에서 최소 17.5점을 받았다. 전체 테스트 결과는 AV-TEST 인스티튜트 웹사이트에서 확인할 수 있다.   바이러스 백신 테스트 결과 활용법 이 테스트는 랩 환경에서 수행되었다. 위협 모델 다른 각각의 다른 엔터프라이즈 시스템은 각 제품에 관해 다른 결과를 나타낸다. 다시 말해, 실험실에서 100% 탐지율을 보였다고 해서 해당 제품이 네트워크의 모든 바이러스 백신 위협을 탐지한다는 의미는 아니다. 이러한 차이를 보이는 이유 중 하나는 새로 제출된 악성코드 표본이 지정된 바이러스 백신 제품의 데이터베이스로 만들어지는 데 며칠이 걸릴 수 있기 때문이다. AV-TEST 결과에 따르면, 악성코드 탐지의 기본 요소에 가장 적합한 윈도우 바이러스 백신 제품이 시스템 성능에 미치는 영향은 가장 적었다. 이는 기업 환경에 가장 적합한 제품을 평가할 때 좋은 출발점이 된다. ‘우수 평가받은’ 윈도우 10 바이러스 백신 툴  1. 어베스트 비즈니스 안티바이러스 프로 플러스 19.5와 19.6 어베스트 비즈니스 안티바이러스 프로 플러스는 지난 4주 동안 발견된 제로데이 악성코드 공격 및 악성코드를 중지시키는 데 완벽한 점수를 받았다. 표준 PC에서 평균보다 11%포인트가 느린 인기 웹사이트를 제외하고 모든 테스트에서 평균보다 성능이 높았다. 합법적인 소프트웨어를 설치하고 사용하는 동안 하나의 잘못된 행동 차단을 등록했다. 2. 비트디펜더 엔드포인트 시큐리티 6.6 비트디펜더 엔드포인트 시큐리티는 테스트에 쓰인 모든 제로데이 ...

2019.10.07

카스퍼스키, “41%의 소비자가 여전히 미지원 또는 단종이 임박한 OS 사용”

카스퍼스키의 조사 결과, 지원되지 않거나 곧 단종될 운영 체제(OS)에 의존하고 있는 소비자와 기업이 여전히 많은 것으로 나타났다.  최신 버전 OS가 시중에 나와 있음에도 불구하고 약 41%의 소비자가 윈도우 XP, 윈도우 7같이 지원되지 않거나 지원 종료를 앞두고 있는 데스크톱 OS를 사용하고 있다. 한편, 40%의 초소규모 기업(VSB)과 48%의 중소기업(SMB) 및 대기업 또한 동일한 실태인 것으로 드러났다.  여기서 문제는 지원이 종료된 OS는 보안 위험을 야기할 수 있다는 것이다. 일반적으로 OS의 수명주기 종료란 해당 OS 제공업체가 더 이상 업데이트를 제공하지 않음을 의미하며, 여기에는 사이버 보안과 관련된 업데이트도 포함된다. 이러한 시스템에서는 보안 전문가나 사이버 공격자가 이전에 알려지지 않은 취약점을 새로이 발견할 수 있으며, 이 취약점은 사이버 공격에 악용될 우려가 있다. 그러나 지원이 중단된 OS는 보안 취약점에 대한 패치를 제공하지 않기 때문에 사용자들이 위험에 고스란히 노출된다.  이렇게 위험에 처한 시스템이 얼마나 되는지를 가늠해 위험 규모를 추산하기 위해 카스퍼스키 연구진은 카스퍼스키 시큐리티 네트워크(Kaspersky Security Network) 사용자의 동의하에 익명 처리하여 확보한 OS 사용 데이터를 분석했다. 그 결과, 소비자 10명 중 4명이 여전히 윈도우 XP와 비스타 같이 아주 오래된 OS를 포함한 단종 시스템을 사용하고 있는 것으로 드러났다.   이러한 단종 OS의 버전을 구체적으로 살펴보면 일반 소비자의 경우 2%, VSB의 경우 워크스테이션의 1%가 중단된 지 10년 이상 된 윈도우 XP에 의존하고 있는 것으로 나타났다. 또한 0.3%의 소비자와 0.2%의 VSB가 7년 전에 일반 지원이 중단된 윈도우 비스타를 여전히 선호한다고 응답했다. 일부 소비자(1%)와 기업(VSB: 1%, SMB 및 대기업: 0.4%)이 윈도우 8.1 무료 업데이트를 받지 않고 2016년...

카스퍼스키

2019.09.02

카스퍼스키의 조사 결과, 지원되지 않거나 곧 단종될 운영 체제(OS)에 의존하고 있는 소비자와 기업이 여전히 많은 것으로 나타났다.  최신 버전 OS가 시중에 나와 있음에도 불구하고 약 41%의 소비자가 윈도우 XP, 윈도우 7같이 지원되지 않거나 지원 종료를 앞두고 있는 데스크톱 OS를 사용하고 있다. 한편, 40%의 초소규모 기업(VSB)과 48%의 중소기업(SMB) 및 대기업 또한 동일한 실태인 것으로 드러났다.  여기서 문제는 지원이 종료된 OS는 보안 위험을 야기할 수 있다는 것이다. 일반적으로 OS의 수명주기 종료란 해당 OS 제공업체가 더 이상 업데이트를 제공하지 않음을 의미하며, 여기에는 사이버 보안과 관련된 업데이트도 포함된다. 이러한 시스템에서는 보안 전문가나 사이버 공격자가 이전에 알려지지 않은 취약점을 새로이 발견할 수 있으며, 이 취약점은 사이버 공격에 악용될 우려가 있다. 그러나 지원이 중단된 OS는 보안 취약점에 대한 패치를 제공하지 않기 때문에 사용자들이 위험에 고스란히 노출된다.  이렇게 위험에 처한 시스템이 얼마나 되는지를 가늠해 위험 규모를 추산하기 위해 카스퍼스키 연구진은 카스퍼스키 시큐리티 네트워크(Kaspersky Security Network) 사용자의 동의하에 익명 처리하여 확보한 OS 사용 데이터를 분석했다. 그 결과, 소비자 10명 중 4명이 여전히 윈도우 XP와 비스타 같이 아주 오래된 OS를 포함한 단종 시스템을 사용하고 있는 것으로 드러났다.   이러한 단종 OS의 버전을 구체적으로 살펴보면 일반 소비자의 경우 2%, VSB의 경우 워크스테이션의 1%가 중단된 지 10년 이상 된 윈도우 XP에 의존하고 있는 것으로 나타났다. 또한 0.3%의 소비자와 0.2%의 VSB가 7년 전에 일반 지원이 중단된 윈도우 비스타를 여전히 선호한다고 응답했다. 일부 소비자(1%)와 기업(VSB: 1%, SMB 및 대기업: 0.4%)이 윈도우 8.1 무료 업데이트를 받지 않고 2016년...

2019.09.02

카스퍼스키, 윈도우 취약점 악용해 퍼진 신종 지능형 랜섬웨어 ‘소딘’ 발견 보고

카스퍼스키 연구진이 새로운 암호화 랜섬웨어 소딘(Sodin)을 발견했다고 발표했다.  소딘은 최근 발견되었던 윈도우 제로데이 취약점을 악용해 감염된 시스템에 대한 관리자 권한을 확보한 후, 랜섬웨어로서는 보기 드물게 CPU 아키텍처를 교묘히 활용해서 보안 솔루션의 감시망을 벗어났다. 뿐만 아니라 사용자 개입없이 공격자가 바로 취약한 서버에 소딘을 심은 사례도 몇 건 발견됐다.  데이터 또는 기기 자체를 암호화하고 이를 대가로 주로 돈을 요구하는 랜섬웨어는 오래전부터 존재한 사이버위협이다. 전 세계적으로 개인은 물론 규모를 막론한 모든 조직이 랜섬웨어의 피해를 입고 있다. 대부분의 보안 솔루션은 널리 알려진 랜섬웨어나 공격 수법을 탐지할 수 있지만, 소딘과 같이 최근에 발견된 제로데이 취약점(CVE-2018-8453)을 악용해서 관리자 권한을 획득하는 정교한 기법을 사용할 경우는 얼마간은 감시망을 피할 수 있다. 소딘은 유포자(구매자)가 암호화 악성코드가 전파되는 방식을 선택하는 서비스형 랜섬웨어(RAAS) 일종으로 보인다. 소딘이 제휴 프로그램을 통해 유포된다는 몇 가지 증거도 있다.  예를 들어 개발자가 악성코드 기능에 허술한 구멍을 남겨두었기에 악성코드 구매자들도 모르게 파일을 복호화할 수 있다. 보통은 피해자가 대가를 지불하면 유포자 키를 제공해 파일을 복구하는데, 이 유포자 키가 없어도 복호화할 수 있는 일종의 ‘마스터키’를 원천 개발자가 가진 셈이다. 이 기능은 개발자가 피해자 데이터 복구를 제어하거나 일부 유포자의 악성코드를 쓸모없게 만들어서 제휴 프로그램에서 제외시키는 등 랜섬웨어 유포를 조작하는 데 사용되는 것으로 보인다. 뿐만 아니라 대부분의 랜섬웨어는 이메일 첨부파일 열기 또는 악성 링크 클릭 등 사용자의 개입이 조금이라도 필요하기 마련인데 소딘의 경우는 달랐다. 소딘을 사용한 공격자는 취약한 서버를 찾아 ‘radm.exe.’라는 이름의 악성 파일을 다운로드하도록 명령을 전송했다. 그러면 랜섬웨어가 로컬에 ...

카스퍼스키 랜섬웨어

2019.08.19

카스퍼스키 연구진이 새로운 암호화 랜섬웨어 소딘(Sodin)을 발견했다고 발표했다.  소딘은 최근 발견되었던 윈도우 제로데이 취약점을 악용해 감염된 시스템에 대한 관리자 권한을 확보한 후, 랜섬웨어로서는 보기 드물게 CPU 아키텍처를 교묘히 활용해서 보안 솔루션의 감시망을 벗어났다. 뿐만 아니라 사용자 개입없이 공격자가 바로 취약한 서버에 소딘을 심은 사례도 몇 건 발견됐다.  데이터 또는 기기 자체를 암호화하고 이를 대가로 주로 돈을 요구하는 랜섬웨어는 오래전부터 존재한 사이버위협이다. 전 세계적으로 개인은 물론 규모를 막론한 모든 조직이 랜섬웨어의 피해를 입고 있다. 대부분의 보안 솔루션은 널리 알려진 랜섬웨어나 공격 수법을 탐지할 수 있지만, 소딘과 같이 최근에 발견된 제로데이 취약점(CVE-2018-8453)을 악용해서 관리자 권한을 획득하는 정교한 기법을 사용할 경우는 얼마간은 감시망을 피할 수 있다. 소딘은 유포자(구매자)가 암호화 악성코드가 전파되는 방식을 선택하는 서비스형 랜섬웨어(RAAS) 일종으로 보인다. 소딘이 제휴 프로그램을 통해 유포된다는 몇 가지 증거도 있다.  예를 들어 개발자가 악성코드 기능에 허술한 구멍을 남겨두었기에 악성코드 구매자들도 모르게 파일을 복호화할 수 있다. 보통은 피해자가 대가를 지불하면 유포자 키를 제공해 파일을 복구하는데, 이 유포자 키가 없어도 복호화할 수 있는 일종의 ‘마스터키’를 원천 개발자가 가진 셈이다. 이 기능은 개발자가 피해자 데이터 복구를 제어하거나 일부 유포자의 악성코드를 쓸모없게 만들어서 제휴 프로그램에서 제외시키는 등 랜섬웨어 유포를 조작하는 데 사용되는 것으로 보인다. 뿐만 아니라 대부분의 랜섬웨어는 이메일 첨부파일 열기 또는 악성 링크 클릭 등 사용자의 개입이 조금이라도 필요하기 마련인데 소딘의 경우는 달랐다. 소딘을 사용한 공격자는 취약한 서버를 찾아 ‘radm.exe.’라는 이름의 악성 파일을 다운로드하도록 명령을 전송했다. 그러면 랜섬웨어가 로컬에 ...

2019.08.19

보호∙성능∙유용성 뛰어난 바이러스 백신 SW 10선

최근 AV-테스트 인스티튜트(AT-TEST Institute)가 보호, 성능, 유용성이라는 세 가지 기본 기준으로 가장 인기 있는 윈도우 10 클라이언트 바이러스 백신 제품을 테스트했다. 테스트한 18개 제품 가운데 각 기준에서 6점 만점을 받은 제품은 다음의 5가지다.  • F-시큐어 PSB 컴퓨터 프로텍션 • 카스퍼스키랩 엔드포인트 시큐리티 • 카스퍼스키랩 스몰 비즈니스 시큐리티 • 시만텍 엔드포인트 프로텍션 클라우드 • 트렌드마이크로 오피스스캔 아래의 <표>는 18개 제품을 알파벳 순으로 나열한 것으로, 여기서 상위 10개 바이러스 백신 제품은 총점 18점 만점에서 중 17.5점을 받았다. AV-TEST 인스티튜트 웹 사이트에서 전체 결과를 내려받을 수 있다.   바이러스 백신 테스트 결과를 사용하는 방법 이 테스트는 랩 환경에서 수행됐음을 밝힌다. 위협 모델은 다른 엔터프라이즈 시스템마다 아래 나열된 각 제품에 대해 다른 결과가 나타난다. 다시 말해, 테스트 결과 100% 탐지율을 나타냈다고 해서 해당 제품이 네트워크의 모든 안티바이러스 위협을 탐지한다는 의미는 아니다. 여기에는 여러 가지 이유가 있는데 그 하나는 새로 제출된 악성코드 샘플이 지정된 바이러스 백신 제품의 데이터베이스로 만들어지는 데 며칠이 걸릴 수 있기 때문이다. AV-테스트 결과에 따르면 악성코드 탐지의 기본 요소에 가장 적합한 윈도우 안티바이러스 제품이 시스템 성능에 미치는 영향이 가장 적다. 이 때문에 환경에 가장 적합한 제품을 평가할 때 좋은 출발점이 된다. 최고의 윈도우 10 바이러스 백신 툴 1. 어베스트 비즈니스 안티바이러스 프로 19.3 어베스트 비즈니스 안티바이러스 프로 플러스는 보호 기능이 약간 향상되어 완벽한 점수를 받았다. 모든 제로데이 악성코드 공격의 97%를 막아냈다. 모든 테스트에서 업계 평균에 가까운 제품으로 마지막 테스트 라운드 동안 성능이 향상되었다. 이밖에 잘못된 경고, 차단 또는 합법적인 소프트웨어를 악성코드로 ...

CSO AV-테스트 인스티튜트 AT-TEST Institute AV-테스트 윈도우 10 어베스트 백신 비트디펜더 제로데이 카스퍼스키 트렌드마이크로 안티바이러스 시만텍 CISO 마이크로소프트 F-시큐어

2019.08.19

최근 AV-테스트 인스티튜트(AT-TEST Institute)가 보호, 성능, 유용성이라는 세 가지 기본 기준으로 가장 인기 있는 윈도우 10 클라이언트 바이러스 백신 제품을 테스트했다. 테스트한 18개 제품 가운데 각 기준에서 6점 만점을 받은 제품은 다음의 5가지다.  • F-시큐어 PSB 컴퓨터 프로텍션 • 카스퍼스키랩 엔드포인트 시큐리티 • 카스퍼스키랩 스몰 비즈니스 시큐리티 • 시만텍 엔드포인트 프로텍션 클라우드 • 트렌드마이크로 오피스스캔 아래의 <표>는 18개 제품을 알파벳 순으로 나열한 것으로, 여기서 상위 10개 바이러스 백신 제품은 총점 18점 만점에서 중 17.5점을 받았다. AV-TEST 인스티튜트 웹 사이트에서 전체 결과를 내려받을 수 있다.   바이러스 백신 테스트 결과를 사용하는 방법 이 테스트는 랩 환경에서 수행됐음을 밝힌다. 위협 모델은 다른 엔터프라이즈 시스템마다 아래 나열된 각 제품에 대해 다른 결과가 나타난다. 다시 말해, 테스트 결과 100% 탐지율을 나타냈다고 해서 해당 제품이 네트워크의 모든 안티바이러스 위협을 탐지한다는 의미는 아니다. 여기에는 여러 가지 이유가 있는데 그 하나는 새로 제출된 악성코드 샘플이 지정된 바이러스 백신 제품의 데이터베이스로 만들어지는 데 며칠이 걸릴 수 있기 때문이다. AV-테스트 결과에 따르면 악성코드 탐지의 기본 요소에 가장 적합한 윈도우 안티바이러스 제품이 시스템 성능에 미치는 영향이 가장 적다. 이 때문에 환경에 가장 적합한 제품을 평가할 때 좋은 출발점이 된다. 최고의 윈도우 10 바이러스 백신 툴 1. 어베스트 비즈니스 안티바이러스 프로 19.3 어베스트 비즈니스 안티바이러스 프로 플러스는 보호 기능이 약간 향상되어 완벽한 점수를 받았다. 모든 제로데이 악성코드 공격의 97%를 막아냈다. 모든 테스트에서 업계 평균에 가까운 제품으로 마지막 테스트 라운드 동안 성능이 향상되었다. 이밖에 잘못된 경고, 차단 또는 합법적인 소프트웨어를 악성코드로 ...

2019.08.19

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13