Offcanvas

������������

'소 잃기 전에 외양간 점검하라'··· 11가지 해커 유형과 미치는 영향

해커 유형, 해킹 동기 및 목적, 사용하는 악성코드 등을 이해한다면, 공격을 식별하고 적절하게 방어할 방법을 파악하는 데 도움이 된다.   지난 수십 년 동안 해커와 악성코드는 계속해서 진화해왔다. 컴퓨터가 퍼티(putty) 같은 화면만 보이는 큰 상자였을 때 해커들은 이제 막 걸음마를 배우고 유치한 장난을 치고 있었다. 어쩌면 화면에 “마리화나를 합법화하라!” 같은 문구를 띄우거나 양키 두들(Yankee Doodle)을 플레이하는 유치한 악성코드를 만들었을 수도 있다.    컴퓨터가 발전하고 자체적인 시장을 형성하자 해커들도 순진한 괴짜에서 대담한 범죄자 집단으로 변화하기 시작했다. 더 이상 컴퓨터는 새로운 것이 아니며 더 이상 해커들도 장난을 치진 않는다. 밤새 에너지 드링크와 정크 푸드를 먹으며 괴짜 같은 장난을 즐기던 사회 부적응자들은 사라졌다.  오늘날 해커들은 제대로 된 일자리가 있는 숙련된 전문가다. 보수도 좋고, HR팀도 있으며 휴가도 즐긴다. 해커 유형은 돈이나 권력을 얻는 방법만큼이나 다양하지만 나누자면 다음의 11가지 기본 유형으로 분류할 수 있다. 1. 은행 강도(Bank robber) 한때 말을 타고 쳐들어와 총을 겨누면서 은행이나 여행자의 돈을 훔치는 은행 강도와 노상강도가 있었다. 오늘날의 금융 해커는 랜섬웨어를 타고 쳐들어온다. 그리고 위조 송장부터 위조 수표, 날짜 사기, 가짜 에스크로 중개, DoS 공격에 이르기까지 계좌에서 돈을 훔칠 수 있는 모든 사기와 해킹을 사용한다. 탐욕은 인류와 역사를 같이 했다.  2. 국가(Nation-state) 오늘날 대부분의 선진국은 수천 명의 숙련된 해커들을 고용하고 있다. 이들이 하는 일은 무엇일까? 다른 국가의 군사 및 산업 네트워크에 숨어들어 자산을 파악하고 악의적인 백도어를 설치하는 것이다. 그리고 이를 통해 사이버전(cyberwarfare)을 준비하는 것이다.  이란 원자력 발전소의 우라늄 원심분리기 1,000대를 파...

보안 악성코드 해킹 해커 사이버전 스턱스넷 APT 데스스토커 크립토잭커 암호화폐 핵티비스트 어나니머스 봇넷 미라이 봇 애드웨어

2020.09.15

해커 유형, 해킹 동기 및 목적, 사용하는 악성코드 등을 이해한다면, 공격을 식별하고 적절하게 방어할 방법을 파악하는 데 도움이 된다.   지난 수십 년 동안 해커와 악성코드는 계속해서 진화해왔다. 컴퓨터가 퍼티(putty) 같은 화면만 보이는 큰 상자였을 때 해커들은 이제 막 걸음마를 배우고 유치한 장난을 치고 있었다. 어쩌면 화면에 “마리화나를 합법화하라!” 같은 문구를 띄우거나 양키 두들(Yankee Doodle)을 플레이하는 유치한 악성코드를 만들었을 수도 있다.    컴퓨터가 발전하고 자체적인 시장을 형성하자 해커들도 순진한 괴짜에서 대담한 범죄자 집단으로 변화하기 시작했다. 더 이상 컴퓨터는 새로운 것이 아니며 더 이상 해커들도 장난을 치진 않는다. 밤새 에너지 드링크와 정크 푸드를 먹으며 괴짜 같은 장난을 즐기던 사회 부적응자들은 사라졌다.  오늘날 해커들은 제대로 된 일자리가 있는 숙련된 전문가다. 보수도 좋고, HR팀도 있으며 휴가도 즐긴다. 해커 유형은 돈이나 권력을 얻는 방법만큼이나 다양하지만 나누자면 다음의 11가지 기본 유형으로 분류할 수 있다. 1. 은행 강도(Bank robber) 한때 말을 타고 쳐들어와 총을 겨누면서 은행이나 여행자의 돈을 훔치는 은행 강도와 노상강도가 있었다. 오늘날의 금융 해커는 랜섬웨어를 타고 쳐들어온다. 그리고 위조 송장부터 위조 수표, 날짜 사기, 가짜 에스크로 중개, DoS 공격에 이르기까지 계좌에서 돈을 훔칠 수 있는 모든 사기와 해킹을 사용한다. 탐욕은 인류와 역사를 같이 했다.  2. 국가(Nation-state) 오늘날 대부분의 선진국은 수천 명의 숙련된 해커들을 고용하고 있다. 이들이 하는 일은 무엇일까? 다른 국가의 군사 및 산업 네트워크에 숨어들어 자산을 파악하고 악의적인 백도어를 설치하는 것이다. 그리고 이를 통해 사이버전(cyberwarfare)을 준비하는 것이다.  이란 원자력 발전소의 우라늄 원심분리기 1,000대를 파...

2020.09.15

칼럼 | 미국-이란 갈등의 여파··· '윈도우 PC가 위험하다'

이란 군부의 실세인 거셈 솔레이마니 사령관이 미군의 공습으로 암살당했다. 이란은 이와 관련해 피의 복수를 하겠다고 선언했다. 만약 이란이 보복으로 사이버 공격을 감행한다면 (그럴 가능성이 매우 높다) 그 공격 벡터는 늘 그렇듯 윈도우일 가능성이 높다.  이란이 사이버 공격에 나선다면 개인 PC와 회사 PC 모두 표적이 될 것이다. 왜 이런 일이 발생하는 것인지 그리고 어떻게 하면 이란의 사이버 공격을 조심할 수 있는지 알아본다.   미국-이란 간 사이버전의 오랜 역사 향후 발생할 수 있는 사이버 공격을 이해하려면 과거를 돌아봐야 한다. 미국과 이란은 10년 넘게 저수준 사이버전을 치러왔다. 가끔은 고수준 사이버 공격이 일어나기도 했다. 예를 들면 스턱스넷(Stuxnet) 바이러스는 최악의 사이버 공격 중 하나로 꼽힌다. 이는 2009년 이란의 핵 시설을 겨냥한 미국과 이스라엘의 공격이었다. 스턱스넷은 윈도우 OS의 제로데이 취약점을 이용해 컴퓨터를 감염시켰다. 감염된 소프트웨어가 수천 개의 원심분리기에 고속 회전 명령을 내렸다. 그 결과 가동 능력이 감소하고, 원심분리기가 파괴됐다. 스턱스넷 사건은 이란의 핵 시설에 막대한 피해를 입혔다. 대이란 경제제재로 이끌어낸 2015년 핵 협상에 스턱스넷 공격 또한 한 원인으로 작용한 것 아니겠냐고 많은 사람들은 보았다. 그러나 미국은 경제 제재 완화라는 협상 조건을 더 이상 지키지 않고 있다. 스턱스넷에 대한 보복으로 2012년 이란은 미국 금융기관을 공격했다. 윈도우 취약성을 악용해 뉴욕 증권거래소, JP 모건체이스 등 45개 이상의 미국 금융기관을 겨냥했다. 또한 뉴욕시의 댐 통제 시스템에 침투하는가 하면, 샌즈 그룹 회장 셸든 애덜슨의 카지노 서버도 해킹했다. 미국이 이란에 핵 공격을 해야 한다고 주장했던 그는 친공화당 인물로 손꼽힌다.  그동안 이란의 공격은 위험성이 낮았고, 항상 윈도우가 연관되었다. 일례로 이란의 미국 금융기관 공격은 도스(DoS) 공격이었다....

구글 랜섬웨어 도스 봇넷 이란 스턱스넷 바이러스 사이버공격 취약점 미국 윈도우 피싱 해킹 아마존 보안 스피어피싱

2020.01.13

이란 군부의 실세인 거셈 솔레이마니 사령관이 미군의 공습으로 암살당했다. 이란은 이와 관련해 피의 복수를 하겠다고 선언했다. 만약 이란이 보복으로 사이버 공격을 감행한다면 (그럴 가능성이 매우 높다) 그 공격 벡터는 늘 그렇듯 윈도우일 가능성이 높다.  이란이 사이버 공격에 나선다면 개인 PC와 회사 PC 모두 표적이 될 것이다. 왜 이런 일이 발생하는 것인지 그리고 어떻게 하면 이란의 사이버 공격을 조심할 수 있는지 알아본다.   미국-이란 간 사이버전의 오랜 역사 향후 발생할 수 있는 사이버 공격을 이해하려면 과거를 돌아봐야 한다. 미국과 이란은 10년 넘게 저수준 사이버전을 치러왔다. 가끔은 고수준 사이버 공격이 일어나기도 했다. 예를 들면 스턱스넷(Stuxnet) 바이러스는 최악의 사이버 공격 중 하나로 꼽힌다. 이는 2009년 이란의 핵 시설을 겨냥한 미국과 이스라엘의 공격이었다. 스턱스넷은 윈도우 OS의 제로데이 취약점을 이용해 컴퓨터를 감염시켰다. 감염된 소프트웨어가 수천 개의 원심분리기에 고속 회전 명령을 내렸다. 그 결과 가동 능력이 감소하고, 원심분리기가 파괴됐다. 스턱스넷 사건은 이란의 핵 시설에 막대한 피해를 입혔다. 대이란 경제제재로 이끌어낸 2015년 핵 협상에 스턱스넷 공격 또한 한 원인으로 작용한 것 아니겠냐고 많은 사람들은 보았다. 그러나 미국은 경제 제재 완화라는 협상 조건을 더 이상 지키지 않고 있다. 스턱스넷에 대한 보복으로 2012년 이란은 미국 금융기관을 공격했다. 윈도우 취약성을 악용해 뉴욕 증권거래소, JP 모건체이스 등 45개 이상의 미국 금융기관을 겨냥했다. 또한 뉴욕시의 댐 통제 시스템에 침투하는가 하면, 샌즈 그룹 회장 셸든 애덜슨의 카지노 서버도 해킹했다. 미국이 이란에 핵 공격을 해야 한다고 주장했던 그는 친공화당 인물로 손꼽힌다.  그동안 이란의 공격은 위험성이 낮았고, 항상 윈도우가 연관되었다. 일례로 이란의 미국 금융기관 공격은 도스(DoS) 공격이었다....

2020.01.13

"에너지 그리드가 위험하다"··· '스턱스넷' 공격에 속수무책

회로 차단기를 여는 것은 위험하다. 그러나 이를 다시 닫으면 더 심각한 결과를 초래한다. 예를 들어 2016년 12월 러시아는 우크라이나의 에너지 그리드를 공격했다. 우크라이나 에너지 그리드의 회로 차단기를 열자 정전이 발생했고 이 정전은 1시간 가량 계속됐다. 하지만 더 파괴적 결과가 벌어질 수도 있었다. 즉, 러시아가 회로 차단기를 다시 닫았다면, AC의 이상 회로를 초래해 에너지 그리드 자체가 손상되고, 결국 물리적 인프라 자체를 바꿔야 할 수도 있었다. 그런데 미국 역시 이러한 공격으로부터 안전하지 않다고 전문가들은 경고한다. 다행히 미국 내 에너지 그리드는 곳곳에 분산돼 있어 한 지점을 공격한다고 나라 전체가 위험에 빠질 일은 없다. 그러나 최소한 서부 해안이나 북동부 회랑 지역을 몇 달간, 심지어 1년 가까이 정전에 빠뜨리는 것은 가능하다.  ICS 보안 전문가 조 바이스는 CSO와의 인터뷰에서 “러시아 정부는 (우크라이나에) 거기까지 할 생각은 없었던 것 같다. 차단 회로를 다시 닫기만 하면 더 큰 피해를 줄 수 있었지만 그렇게 하지 않았다"라고 말했다. 이런 공격의 가능성은 2007년 오로라(Aurora) 테스트 이후 줄곧 제기됐지만, 10년도 더 지난 지금까지 에너지 그리드는 여전히 취약한 상태로 남아 있다.  오로라의 공포 2007년 아이다호 국립 연구소에서는 유명한 오로라 발전기 테스트를 진행했다. 몇 줄의 코드 만으로 차단 회로를 여닫아 발전기를 파괴할 수 있음을 보여주기 위해서였다. 실제로 발전기에 대한 원격 액세스 권한을 확보한 후 큰 어려움 없이 물리 법칙을 이용해 사회 시설망을 파괴할 수 있었다.  바이스는 “이는 모든 전기공학과 학생이 1학년 때 배우는 기본 중 기본이다. 절대 전력망과 어긋나도록 AC 장비를 운영해서는 안 된다는 것이다. 그러면 전력망 자체가 훼손돼 버린다. 오로라 테스트를 통해, 원격 조종을 이용해 차단 회로를 열고 이후 전력망과 어긋...

보안 그리드 스턱스넷

2019.01.30

회로 차단기를 여는 것은 위험하다. 그러나 이를 다시 닫으면 더 심각한 결과를 초래한다. 예를 들어 2016년 12월 러시아는 우크라이나의 에너지 그리드를 공격했다. 우크라이나 에너지 그리드의 회로 차단기를 열자 정전이 발생했고 이 정전은 1시간 가량 계속됐다. 하지만 더 파괴적 결과가 벌어질 수도 있었다. 즉, 러시아가 회로 차단기를 다시 닫았다면, AC의 이상 회로를 초래해 에너지 그리드 자체가 손상되고, 결국 물리적 인프라 자체를 바꿔야 할 수도 있었다. 그런데 미국 역시 이러한 공격으로부터 안전하지 않다고 전문가들은 경고한다. 다행히 미국 내 에너지 그리드는 곳곳에 분산돼 있어 한 지점을 공격한다고 나라 전체가 위험에 빠질 일은 없다. 그러나 최소한 서부 해안이나 북동부 회랑 지역을 몇 달간, 심지어 1년 가까이 정전에 빠뜨리는 것은 가능하다.  ICS 보안 전문가 조 바이스는 CSO와의 인터뷰에서 “러시아 정부는 (우크라이나에) 거기까지 할 생각은 없었던 것 같다. 차단 회로를 다시 닫기만 하면 더 큰 피해를 줄 수 있었지만 그렇게 하지 않았다"라고 말했다. 이런 공격의 가능성은 2007년 오로라(Aurora) 테스트 이후 줄곧 제기됐지만, 10년도 더 지난 지금까지 에너지 그리드는 여전히 취약한 상태로 남아 있다.  오로라의 공포 2007년 아이다호 국립 연구소에서는 유명한 오로라 발전기 테스트를 진행했다. 몇 줄의 코드 만으로 차단 회로를 여닫아 발전기를 파괴할 수 있음을 보여주기 위해서였다. 실제로 발전기에 대한 원격 액세스 권한을 확보한 후 큰 어려움 없이 물리 법칙을 이용해 사회 시설망을 파괴할 수 있었다.  바이스는 “이는 모든 전기공학과 학생이 1학년 때 배우는 기본 중 기본이다. 절대 전력망과 어긋나도록 AC 장비를 운영해서는 안 된다는 것이다. 그러면 전력망 자체가 훼손돼 버린다. 오로라 테스트를 통해, 원격 조종을 이용해 차단 회로를 열고 이후 전력망과 어긋...

2019.01.30

'은행강도부터 핵티비스트까지' 10가지 해커 유형별로 본 위험

지난 수십 년간 해커와 이들이 개발해 사용하는 악성코드의 수가 급증했다. 컴퓨터가 흰색의 큰 상자였던 시절, 해커들은 이제 막 걸음마를 배우는 단계였다. 그리고 이들이 하는 일은 ‘유치한 장난’에 불과했다. 예를 들면, 컴퓨터 화면에 ‘양키 두들’이나 ‘대마초 합법화’ 같은 문구 또는 그림을 표시하는 정도였다. 그러나 컴퓨터가 발전해 ‘경제’가 되면서, 해커들도 순진한 ‘너드’에서 파렴치한 범죄자 집단의 일원으로 발전했다. 이제 컴퓨터는 더 이상 ‘진기한 장난감’이 아니다. 그리고 해커들도 이런 진기한 장난감에 관심을 보여, 이를 가지고 노는 유치한 어린아이가 아니다. 지금은 어린아이 같은 해커들이 에너지 음료와 패스트푸드를 옆에 두고 밤새 장난삼아 컴퓨터를 가지고 놀던 시절이 아니다. 지금의 해커는 숙련된 전문가며, 해킹은 직업이다. 많은 보수를 받고, HR팀의 지원을 받는다. 휴가도 챙긴다. 해커란 어떤 직업일까? 해커의 ‘고용 프로필’은 다른 직업처럼 아주 다양하다. 그러나 크게 다음 10가지 부류로 분류할 수 있다. ‘총 대신 랜섬웨어로’ 은행 턴다 과거 총을 들고, 은행과 여행객, 상인, 기타 손쉬운 표적이 되는 사람들로부터 돈을 강탈하던 노상강도와 은행강도 같은 해커들이다. 현대의 금융 해커들은 총 대신 랜섬웨어, 가짜 청구서, 데이팅 스캠, 가짜 수표, 가짜 에스크로 서비스, 디도스 공격, 기타 다양한 스캠과 해킹 도구를 이용해 개인과 기업, 은행, 주식 계좌에서 돈을 훔친다. 인류의 역사만큼 오래된 ‘탐욕’이 이들의 동기 부여 요소다. 국가와 정부를 위하여! 현재 대부분 선진국과 정부들은 수천, 또는 수만에 달하는 해커를 고용해 활용하고 있다. 이들은 어떤 일을 할까? 다른 국가의 군사, 산업 ...

CSO 미라이 사물인터넷 애드웨어 봇넷 디도스 핵티비스트 어나니머스 스턱스넷 스팸 소셜 엔지니어링 해커 CISO 은행 해킹 암호화폐

2018.04.26

지난 수십 년간 해커와 이들이 개발해 사용하는 악성코드의 수가 급증했다. 컴퓨터가 흰색의 큰 상자였던 시절, 해커들은 이제 막 걸음마를 배우는 단계였다. 그리고 이들이 하는 일은 ‘유치한 장난’에 불과했다. 예를 들면, 컴퓨터 화면에 ‘양키 두들’이나 ‘대마초 합법화’ 같은 문구 또는 그림을 표시하는 정도였다. 그러나 컴퓨터가 발전해 ‘경제’가 되면서, 해커들도 순진한 ‘너드’에서 파렴치한 범죄자 집단의 일원으로 발전했다. 이제 컴퓨터는 더 이상 ‘진기한 장난감’이 아니다. 그리고 해커들도 이런 진기한 장난감에 관심을 보여, 이를 가지고 노는 유치한 어린아이가 아니다. 지금은 어린아이 같은 해커들이 에너지 음료와 패스트푸드를 옆에 두고 밤새 장난삼아 컴퓨터를 가지고 놀던 시절이 아니다. 지금의 해커는 숙련된 전문가며, 해킹은 직업이다. 많은 보수를 받고, HR팀의 지원을 받는다. 휴가도 챙긴다. 해커란 어떤 직업일까? 해커의 ‘고용 프로필’은 다른 직업처럼 아주 다양하다. 그러나 크게 다음 10가지 부류로 분류할 수 있다. ‘총 대신 랜섬웨어로’ 은행 턴다 과거 총을 들고, 은행과 여행객, 상인, 기타 손쉬운 표적이 되는 사람들로부터 돈을 강탈하던 노상강도와 은행강도 같은 해커들이다. 현대의 금융 해커들은 총 대신 랜섬웨어, 가짜 청구서, 데이팅 스캠, 가짜 수표, 가짜 에스크로 서비스, 디도스 공격, 기타 다양한 스캠과 해킹 도구를 이용해 개인과 기업, 은행, 주식 계좌에서 돈을 훔친다. 인류의 역사만큼 오래된 ‘탐욕’이 이들의 동기 부여 요소다. 국가와 정부를 위하여! 현재 대부분 선진국과 정부들은 수천, 또는 수만에 달하는 해커를 고용해 활용하고 있다. 이들은 어떤 일을 할까? 다른 국가의 군사, 산업 ...

2018.04.26

칼럼 | ‘자기 발등 찍기’ 스턱스넷은 실패한 무기다

지난 수십년간 맬웨어(malware)는 개인 컴퓨터에 침입해 돈을 훔치는 수단 뿐만 아니라 기업이나 국가가 사이버 스파이를 하는 수단으로까지 발전했다. 두 달 전에도 페루와 인접 국가에서는 맬웨어를 이용한 사이버 산업 스파이 사고가 발생했다. ‘ACAD/Medre.A’라고 불리는 이 웜은 전자 설계 소프트웨어인 오토캐드를 대상으로 하고 있다. 오토캐드 작동 스크립트에 사용되는 AutoLISP 언어를 이용해 만들어진 웜이다.  ‘ACAD/Medre.A’는 사악한 목적을 갖고 있는데, 사용자가 열어본 설계 도면 사본을 중국의 두 ISP에 호스팅 된 40개 메일 박스에 보내는 것이 핵심이다. 샌디에고의 안티바이러스 기업인 ESET가 페루에서의 사고를 처음 밝혀냈다. 이 회사는 특정 URL에서 이를 감지할 수 있었다고 설명했다. 페루 등지에서 사고를 초래한 원인이 된 감염된 오토캐드 탬플릿을 공급한 웹사이트였다. 즉 이 URL에 해당하는 회사와 사업관계를 맺고 싶었던 회사들이 이 템플릿을 사용해야만 했다고 가정하면, 왜 페루와 인접 국가에서 맬웨어가 발견됐는지가 논리적으로 설명이 된다. 또 이 지역 외의 대기업 가운데서도 감염된 프로젝트를 지원 또는 확인해주는 업무를 진행했다면 역시 감염이 됐을 수 있다. 이 바이러스는 반드시 중국이라고는 할 수 없지만 누군가 또는 특정 기관이 심어놓은 감염된 템플릿 때문인 것으로 분석되고 있다. 특정 프로젝트를 놓고 경쟁관계에 있는 기업들의 설계 도면을 망쳐 경쟁에서 우위에 서고자 하는 목적으로 풀이된다. ESET는 오토데스크, 중국 컴퓨터 바이러스 대응센터(Chines National Computer Virus Emergency Response Center), 중국의 IPS 들의 도움을 받아 문제를 해결하기까지 10만 여 도면이 도난 당했을 것으로 추정하고 있다. 이와 관련된 자세한 내용은 ACCA/Medre.A 기술 분석이라는 블로그 포스팅을 참...

미국 사이버 스턱스넷 두쿠 전쟁 이란

2012.06.26

지난 수십년간 맬웨어(malware)는 개인 컴퓨터에 침입해 돈을 훔치는 수단 뿐만 아니라 기업이나 국가가 사이버 스파이를 하는 수단으로까지 발전했다. 두 달 전에도 페루와 인접 국가에서는 맬웨어를 이용한 사이버 산업 스파이 사고가 발생했다. ‘ACAD/Medre.A’라고 불리는 이 웜은 전자 설계 소프트웨어인 오토캐드를 대상으로 하고 있다. 오토캐드 작동 스크립트에 사용되는 AutoLISP 언어를 이용해 만들어진 웜이다.  ‘ACAD/Medre.A’는 사악한 목적을 갖고 있는데, 사용자가 열어본 설계 도면 사본을 중국의 두 ISP에 호스팅 된 40개 메일 박스에 보내는 것이 핵심이다. 샌디에고의 안티바이러스 기업인 ESET가 페루에서의 사고를 처음 밝혀냈다. 이 회사는 특정 URL에서 이를 감지할 수 있었다고 설명했다. 페루 등지에서 사고를 초래한 원인이 된 감염된 오토캐드 탬플릿을 공급한 웹사이트였다. 즉 이 URL에 해당하는 회사와 사업관계를 맺고 싶었던 회사들이 이 템플릿을 사용해야만 했다고 가정하면, 왜 페루와 인접 국가에서 맬웨어가 발견됐는지가 논리적으로 설명이 된다. 또 이 지역 외의 대기업 가운데서도 감염된 프로젝트를 지원 또는 확인해주는 업무를 진행했다면 역시 감염이 됐을 수 있다. 이 바이러스는 반드시 중국이라고는 할 수 없지만 누군가 또는 특정 기관이 심어놓은 감염된 템플릿 때문인 것으로 분석되고 있다. 특정 프로젝트를 놓고 경쟁관계에 있는 기업들의 설계 도면을 망쳐 경쟁에서 우위에 서고자 하는 목적으로 풀이된다. ESET는 오토데스크, 중국 컴퓨터 바이러스 대응센터(Chines National Computer Virus Emergency Response Center), 중국의 IPS 들의 도움을 받아 문제를 해결하기까지 10만 여 도면이 도난 당했을 것으로 추정하고 있다. 이와 관련된 자세한 내용은 ACCA/Medre.A 기술 분석이라는 블로그 포스팅을 참...

2012.06.26

"플레임, 이란 공격 위한 미국과 이스라엘의 합작품" WP

고도로 정교한 악성 프로그램으로 보안 업계에 충격을 준 플레임(Flame)이 미국과 이스라엘 정부가 이란의 핵연료 농축을 막기 위한 사이버 공격을 위해 준비한 것이라는 보도가 나왔다.   워싱턴 포스트는 이 작전에 대해 알었다는 익명의 서방 관리의 말을 빌려, 플레임의 목표가 이란 컴퓨터 네트워크의 정보를 모아 향후 사이버 공격을 위한 것이라고 보도했다.   지난 6월 1일 뉴욕타임즈는 스턱스넷이 미국과 이스라엘 정부의 코드명 올림픽 게임즈란 합동작전이었다고 보도한 바 있다. 스턱스넷은 이란 나탄 우라늄 농축 시설의 가스 응축기 1,000대의 파괴를 초래한 것으로 알려졌다.   그리고 지난 6월 11일 플레임 악성 프로그램을 연구하던 카스퍼스키 랩은 플레임과 스턱스넷이 공유 컴퓨터 코드의 형태로 관련성을 갖고 있다고 밝혔다. 또한 이런 정황을 모아 볼 때, 이 두 가지 악성 프로그램은 동일한 공격자 그룹의 지원을 받아 서로 다른 개발팀이 만들어 낸 것이라고 분석했다.   카스퍼스키랩의 글로벌 연구분석팀 수석 연구원인 로엘 슈벤버그는 플레임은 첩보 활동을 위해, 그리고 스턱스넷은 파괴 공작을 위해 만들어졌을 것이이라고 추정했다.   플레임이 발견된 것은 지난 5월로, 이란 석유 당국에서 일어난 일련의 알 수 없는 데이터 손실 사고를 조사하면서 그 존재가 파악됐다. 워싱턴 포스트는 실제 사이버 공격은 4월에 이뤄졌으며, 이스라엘이 미국도 모르게 작전을 수행한 것으로 전해졌다.   카스퍼스키랩은 플레임이 만들어진 시점을 2008년 상반기로 보고 있다. 스턱스넷이 처음 발견된 것은 지난 2010년 6월이지만, 첫번째 변종이 만들어진 시점은 2009년 6월로 추정되고 있다.   지난 2011년 9월에는 스턱스넷이나 플레임과는 별도의 사이버 첩보 악성 프로그램인 두쿠가 발견됐는데, 보안 연구원들은 두쿠의 아키텍...

악성프로그램 맬웨어 미국 스턱스넷 이란 플레임 이스라엘

2012.06.22

고도로 정교한 악성 프로그램으로 보안 업계에 충격을 준 플레임(Flame)이 미국과 이스라엘 정부가 이란의 핵연료 농축을 막기 위한 사이버 공격을 위해 준비한 것이라는 보도가 나왔다.   워싱턴 포스트는 이 작전에 대해 알었다는 익명의 서방 관리의 말을 빌려, 플레임의 목표가 이란 컴퓨터 네트워크의 정보를 모아 향후 사이버 공격을 위한 것이라고 보도했다.   지난 6월 1일 뉴욕타임즈는 스턱스넷이 미국과 이스라엘 정부의 코드명 올림픽 게임즈란 합동작전이었다고 보도한 바 있다. 스턱스넷은 이란 나탄 우라늄 농축 시설의 가스 응축기 1,000대의 파괴를 초래한 것으로 알려졌다.   그리고 지난 6월 11일 플레임 악성 프로그램을 연구하던 카스퍼스키 랩은 플레임과 스턱스넷이 공유 컴퓨터 코드의 형태로 관련성을 갖고 있다고 밝혔다. 또한 이런 정황을 모아 볼 때, 이 두 가지 악성 프로그램은 동일한 공격자 그룹의 지원을 받아 서로 다른 개발팀이 만들어 낸 것이라고 분석했다.   카스퍼스키랩의 글로벌 연구분석팀 수석 연구원인 로엘 슈벤버그는 플레임은 첩보 활동을 위해, 그리고 스턱스넷은 파괴 공작을 위해 만들어졌을 것이이라고 추정했다.   플레임이 발견된 것은 지난 5월로, 이란 석유 당국에서 일어난 일련의 알 수 없는 데이터 손실 사고를 조사하면서 그 존재가 파악됐다. 워싱턴 포스트는 실제 사이버 공격은 4월에 이뤄졌으며, 이스라엘이 미국도 모르게 작전을 수행한 것으로 전해졌다.   카스퍼스키랩은 플레임이 만들어진 시점을 2008년 상반기로 보고 있다. 스턱스넷이 처음 발견된 것은 지난 2010년 6월이지만, 첫번째 변종이 만들어진 시점은 2009년 6월로 추정되고 있다.   지난 2011년 9월에는 스턱스넷이나 플레임과는 별도의 사이버 첩보 악성 프로그램인 두쿠가 발견됐는데, 보안 연구원들은 두쿠의 아키텍...

2012.06.22

미국 정부의 스턱스넷 공격, 기업 사이버 공격 증가로 이어질 수 있어

지난 1일, 뉴욕 타임즈는 이란을 대상으로 한 스턱스넷 공격에 미국 정부가 광범위하게 관여를 했다고 보도했다. 그리고 보안 전문가들은 이런 관여가 미국 기업 및 핵심 기반 시설에 대한 사이버 공격 증가로 이어질 수 있다고 경고했다.   타임즈 또한 오바마 대통령과 부시 전 대통령이 이란의 핵 시설을 무력화하기 위해 정교하면서도 비밀스럽게 사이버 공격을 주도했다는 충격적인 보도를 내놨다.   익명의 내부 소식통을 인용한 이 보도는 이스라엘과 미국의 보안 전문가들이 어떤 방식으로 스턱스넷을 설계해 이란 나탄즈 핵 시설의 우라늄 정제 원심 분리기를 무력화하려 했는지를 설명했다.   또한 지난 2010년 여름 스턱스넷 코드 공격이 알려지고 이란뿐만 아니라 다른 나라의 산업 제어 시스템을 공격하기 시작한 이후에도, 오바마 정부가 부시 정부 당시 올림픽 게임이라는 코드네임이 붙은 사이버 공격에 더욱 박차를 가하기로 결정한 사실도 전했다.   지난 2010년 스턱스넷 공격은 이란 나탄즈의 5,000개 원심분리기의 약 1/5을 일시 가동 중단시켰고, 프로그램을 지연시키는 역할을 했다. 이는 컴퓨터 악성 바이러스가 물리적 시설에 피해를 입힌 첫 번째 사례다. 많은 사람들이 유사 이래 가장 정교한 멜웨어를 스턱스넷이라고 부르기 시작했다.   타임즈의 보도에 따르면, 많은 보안 전문가들은 미국이 스턱스넷 공격에 관여했던 사실을 일정 기간 알고 있었던 것으로 전해졌다. 알란 팔러 산스 인스터튜트 연구 담당 이사는 보도를 통해 드러난 사실이 사이버보안 지형에 큰 변화를 불러올 것이라고 지적했다.   팔러는 미국이 스턱스넷 공격에 관여한 사실이 보도되면서 동일한 전술과 사이버 무기를 이용하는 누군가에 의해 미국이 공격받는 사례가 발생할 수 있다고 강조했다.    팔러는 "미국은 대규모 사이버 공격의 타깃이 ...

미국 스턱스넷 이란 멜웨어 클레임

2012.06.05

지난 1일, 뉴욕 타임즈는 이란을 대상으로 한 스턱스넷 공격에 미국 정부가 광범위하게 관여를 했다고 보도했다. 그리고 보안 전문가들은 이런 관여가 미국 기업 및 핵심 기반 시설에 대한 사이버 공격 증가로 이어질 수 있다고 경고했다.   타임즈 또한 오바마 대통령과 부시 전 대통령이 이란의 핵 시설을 무력화하기 위해 정교하면서도 비밀스럽게 사이버 공격을 주도했다는 충격적인 보도를 내놨다.   익명의 내부 소식통을 인용한 이 보도는 이스라엘과 미국의 보안 전문가들이 어떤 방식으로 스턱스넷을 설계해 이란 나탄즈 핵 시설의 우라늄 정제 원심 분리기를 무력화하려 했는지를 설명했다.   또한 지난 2010년 여름 스턱스넷 코드 공격이 알려지고 이란뿐만 아니라 다른 나라의 산업 제어 시스템을 공격하기 시작한 이후에도, 오바마 정부가 부시 정부 당시 올림픽 게임이라는 코드네임이 붙은 사이버 공격에 더욱 박차를 가하기로 결정한 사실도 전했다.   지난 2010년 스턱스넷 공격은 이란 나탄즈의 5,000개 원심분리기의 약 1/5을 일시 가동 중단시켰고, 프로그램을 지연시키는 역할을 했다. 이는 컴퓨터 악성 바이러스가 물리적 시설에 피해를 입힌 첫 번째 사례다. 많은 사람들이 유사 이래 가장 정교한 멜웨어를 스턱스넷이라고 부르기 시작했다.   타임즈의 보도에 따르면, 많은 보안 전문가들은 미국이 스턱스넷 공격에 관여했던 사실을 일정 기간 알고 있었던 것으로 전해졌다. 알란 팔러 산스 인스터튜트 연구 담당 이사는 보도를 통해 드러난 사실이 사이버보안 지형에 큰 변화를 불러올 것이라고 지적했다.   팔러는 미국이 스턱스넷 공격에 관여한 사실이 보도되면서 동일한 전술과 사이버 무기를 이용하는 누군가에 의해 미국이 공격받는 사례가 발생할 수 있다고 강조했다.    팔러는 "미국은 대규모 사이버 공격의 타깃이 ...

2012.06.05

‘스턱스넷·두쿠 이상의 악성 SW’··· 보안업계, ‘플레임’ 등장에 긴장

일련의 보안 기업 및 기관에 소속된 연구원들이 중동 지역에서 사이버 스파이 공격에 사용된 새로운 첨단 악성 소프트웨어 위협을 규명해냈다. 지금껏 발견된 가장 진보된 형태의 악성 소프트웨어로 관측되기도 한다. 이란의 MAHER(Iranian Computer Emergency Response Team)에 따르면, 이 새로운 악성 소프트웨어는 플레이머(Flamer)라 불리는 것으로, 최근 이란에서 일어난 데이터 손실 사건에 연루된 것으로 관측된다. MAHER 측은 이 악성소프트웨어가 스턱스넷(Stuxnet) 및 두쿠(Duqu)와 관련된 위협으로 분석된다고도 전했다. 백신 전문기업 카스퍼스키 랩(Kaspersky Lab)의 악성 소프트웨어 연구원들 또한 이 악성 소프트웨어를 분석했다. 그 결과 이 악성 소프트웨어가 활동 지역과 목표 측면에서는 스턱스넷 및 두쿠와 유사하지만 차별화된 기능을 갖고 있으며 이전의 두 위협보다 여러모로 복잡하다는 사실을 밝혀 냈다. 카스퍼스키의 연구원이 ‘플레임’이라 부르는 이 악성 소프트웨어는 다수의 개별적인 모듈을 가진 거대한 공격 툴킷이다. 다양한 악성 공격을 실행할 수 있으며 그 활동은 대부분 데이터 절도와 사이버 스파이 행위에 관계되어 있다. 특히 컴퓨터의 마이크를 이용하여 대화를 녹음할 수 있는 기능을 갖췄으며 특정 애플리케이션을 사용할 때 스크린샷을 찍을 수 있고 키보드 입력을 기록하며 네트워크 트래픽을 추적하고 주변의 블루투스(Bluetooth) 기기와 통신할 수 있는 등의 특징을 지니고 있다. 이 툴킷의 최초 버전은 2010년에 개발되었을 가능성이 있으며 그 후 모듈 아키텍처를 활용하여 기능을 확장한 것으로 보인다고 카스퍼스키 랩의 악성 소프트웨어 수석 전문가 바이탈리 캄럭은 전했다. 플레임은 전문가들이 꽤 큰 용량이라고 판단한 500 KB의 두쿠 및 스턱스넷보다 훨씬 크다. 모든 플레임 구성요소를 하나로 합치면 용량이 20MB가 넘으며 어떤...

맬웨어 바이러스 스턱스넷 두쿠 스카이와이프 플레이머

2012.05.30

일련의 보안 기업 및 기관에 소속된 연구원들이 중동 지역에서 사이버 스파이 공격에 사용된 새로운 첨단 악성 소프트웨어 위협을 규명해냈다. 지금껏 발견된 가장 진보된 형태의 악성 소프트웨어로 관측되기도 한다. 이란의 MAHER(Iranian Computer Emergency Response Team)에 따르면, 이 새로운 악성 소프트웨어는 플레이머(Flamer)라 불리는 것으로, 최근 이란에서 일어난 데이터 손실 사건에 연루된 것으로 관측된다. MAHER 측은 이 악성소프트웨어가 스턱스넷(Stuxnet) 및 두쿠(Duqu)와 관련된 위협으로 분석된다고도 전했다. 백신 전문기업 카스퍼스키 랩(Kaspersky Lab)의 악성 소프트웨어 연구원들 또한 이 악성 소프트웨어를 분석했다. 그 결과 이 악성 소프트웨어가 활동 지역과 목표 측면에서는 스턱스넷 및 두쿠와 유사하지만 차별화된 기능을 갖고 있으며 이전의 두 위협보다 여러모로 복잡하다는 사실을 밝혀 냈다. 카스퍼스키의 연구원이 ‘플레임’이라 부르는 이 악성 소프트웨어는 다수의 개별적인 모듈을 가진 거대한 공격 툴킷이다. 다양한 악성 공격을 실행할 수 있으며 그 활동은 대부분 데이터 절도와 사이버 스파이 행위에 관계되어 있다. 특히 컴퓨터의 마이크를 이용하여 대화를 녹음할 수 있는 기능을 갖췄으며 특정 애플리케이션을 사용할 때 스크린샷을 찍을 수 있고 키보드 입력을 기록하며 네트워크 트래픽을 추적하고 주변의 블루투스(Bluetooth) 기기와 통신할 수 있는 등의 특징을 지니고 있다. 이 툴킷의 최초 버전은 2010년에 개발되었을 가능성이 있으며 그 후 모듈 아키텍처를 활용하여 기능을 확장한 것으로 보인다고 카스퍼스키 랩의 악성 소프트웨어 수석 전문가 바이탈리 캄럭은 전했다. 플레임은 전문가들이 꽤 큰 용량이라고 판단한 500 KB의 두쿠 및 스턱스넷보다 훨씬 크다. 모든 플레임 구성요소를 하나로 합치면 용량이 20MB가 넘으며 어떤...

2012.05.30

'불릿 타임 기법’, 사이버 공격 방어책 될까?

이란이 미국에 사이버 공격을 할 수 있을까? 그렇다면 인터넷 트래픽을 늦추는 이른바 '불릿 타임(Bullet time)'이라는 기법을 활용함으로써 핵심 기반 방위 시스템이 제시간에 대응하도록 할 수 있을까? 여기에 대한 의견은 제각각이다. 공격과 방어가 모두 가능하다고 하는 전문가도, 공격과 방어 모두 불가능하다고 하는 전문가도 있다. 사이버보안 분야 전문들에 따르면 이란은 미국을 상대로 큰 타격을 입히는 군사 공격을 할 능력을 갖추고 있지 않다. 정부 주장도 마찬가지다. 그러나 일부 전문가들은 전력 그리드나 금융 시스템 같이 핵심 자산을 통제하고 있는 컴퓨터 네트워크에는 피해를 입힐 수 있다고 말하고 있다다. 미국 국방부(Department of Defense)의 사이버분쟁 전문가인 제프리 카는 지난 내셔널 퍼블릭 라디오(National Public Interview)와의 인터뷰에서 "이란은 사이버전쟁의 강자가 될 수 있는 자원과 역량을 갖고 있다"라고 지적했다. 또 NPR 방송에 따르면, 제임스 클래퍼 미국 국가정보국 국장은 의회에서 "이란은 미국에 사이버 공격을 감행할 의도와 역량을 모두 갖추고 있다. 이는 최근 부쩍 늘어나고 있는 추세다"라고 강조했다. 그는 이란이 반체제 인사를 추적하고, 트위터와 웹사이트를 차단하고, 정교한 사이버 공격을 감행할 능력을 갖고 있다고 설명했다. 사이버보안 전문가들은 이란이 미국의 전력 그리드를 붕괴시킬 능력을 갖고 있다면서도 그러나 금융 시스템을 해킹할 정도는 된다고 말하고 있다. 한편 미국 과학 저널(New Scientis)은이 이번 주 발표한 저널에 따르면, 툴사 대학(University of Tulsa)의 보안 엔지니어들은 악성 데이터를 포함해 인터넷 트래픽을 늦춤으로써, 네트워크가 공격에 대처할 수 있는 시간을 벌어주는 방법을 개발했다. 이 기법에는 영화 매트릭스에서 주인공인 키아누 리브스가 시간을 늦춰 총알을 피하는 장면에서...

사이버 공격 스턱스넷 불릿 타임 이란

2012.05.08

이란이 미국에 사이버 공격을 할 수 있을까? 그렇다면 인터넷 트래픽을 늦추는 이른바 '불릿 타임(Bullet time)'이라는 기법을 활용함으로써 핵심 기반 방위 시스템이 제시간에 대응하도록 할 수 있을까? 여기에 대한 의견은 제각각이다. 공격과 방어가 모두 가능하다고 하는 전문가도, 공격과 방어 모두 불가능하다고 하는 전문가도 있다. 사이버보안 분야 전문들에 따르면 이란은 미국을 상대로 큰 타격을 입히는 군사 공격을 할 능력을 갖추고 있지 않다. 정부 주장도 마찬가지다. 그러나 일부 전문가들은 전력 그리드나 금융 시스템 같이 핵심 자산을 통제하고 있는 컴퓨터 네트워크에는 피해를 입힐 수 있다고 말하고 있다다. 미국 국방부(Department of Defense)의 사이버분쟁 전문가인 제프리 카는 지난 내셔널 퍼블릭 라디오(National Public Interview)와의 인터뷰에서 "이란은 사이버전쟁의 강자가 될 수 있는 자원과 역량을 갖고 있다"라고 지적했다. 또 NPR 방송에 따르면, 제임스 클래퍼 미국 국가정보국 국장은 의회에서 "이란은 미국에 사이버 공격을 감행할 의도와 역량을 모두 갖추고 있다. 이는 최근 부쩍 늘어나고 있는 추세다"라고 강조했다. 그는 이란이 반체제 인사를 추적하고, 트위터와 웹사이트를 차단하고, 정교한 사이버 공격을 감행할 능력을 갖고 있다고 설명했다. 사이버보안 전문가들은 이란이 미국의 전력 그리드를 붕괴시킬 능력을 갖고 있다면서도 그러나 금융 시스템을 해킹할 정도는 된다고 말하고 있다. 한편 미국 과학 저널(New Scientis)은이 이번 주 발표한 저널에 따르면, 툴사 대학(University of Tulsa)의 보안 엔지니어들은 악성 데이터를 포함해 인터넷 트래픽을 늦춤으로써, 네트워크가 공격에 대처할 수 있는 시간을 벌어주는 방법을 개발했다. 이 기법에는 영화 매트릭스에서 주인공인 키아누 리브스가 시간을 늦춰 총알을 피하는 장면에서...

2012.05.08

"두큐 작성 툴은?" 카스퍼스키 랩, 커뮤니티에 도움 요청

카스퍼스키랩의 악성 프로그램 전문가들이 프로그래밍 커뮤니티에 도움을 요청했다. 두큐 트로이목마 바이러스의 핵심부를 작성하는 데 사용된 프로그래밍 언어와 컴파일러 또는 프레임워크를 밝혀 달라는 것. 카스퍼스키랩은 이를 통해 두큐를 누가 왜 만들었는가를 알아낼 수 있을 것으로 보고 있다.   카스퍼스키의 최고 맬웨어 전문가인 비탈리 캄룩은 “두큐를 검사했을 때 전혀 알 수 없는 것으로 보였고, 이런 매우 맞춤형으로 만들어진 것이 개발되고 사용되는 이유가 불분명하다는 점에서 매우 흥미로웠다”라고 설명했다.   악성 프로그램이 어떻게 만들어졌는지를 이해하는 것은 다음에는 어떤 식으로 변화할 것인지, 개발에 얼마나 많은 자원이 투여됐는지 등의 파악하는 결정적인 단서가 된다.   두큐의 일부인 실행 DLL은 표준 C++로 작성됐지만, 나머지 대부분은 다른 언어로 개발된 것이다. 카스퍼스키의 전문가 이고르 수멘코프는 이 낯선 코드의 특징에 대해 “이 부분은 C++ 소스로 컴파일하지 않았다. 표준 C++은 물론 다른 사용자 작성 C++ 함수에 대한 어떤 참고도 포함하지 않고 있다. 분명한 것은 객체 지향 언어라는 점 뿐”이라고 설명했다.   카스퍼스키의 연구원들은 이 부분을 “두큐 프레임워크”라고 부르며, 전혀 다른 프로그래밍 팀이 만들었을 것으로 보고 있다. 다른 부분은 스턱스넷에서 직접 가져와 사용했음에도 불구하고, 이 부분만은 스턱스넷에도 존재하지 않는다.    수멘코프는 “이 알 수 없는 프로그래밍 언어는 분명히 C++, 오브젝티브C, 자바, 파이썬, 아다, 루아 등 우리가 이미 점검한 언어가 아니다”라며, 카스퍼스키의 연구팀이 이 코드 분석에 무수한 시간을 투여했다고 강조했다.    카스퍼스키 연구원들은 이 코드에 대해 외부 ...

개발 카스퍼스키 스턱스넷 두쿠 트로이목마

2012.03.12

카스퍼스키랩의 악성 프로그램 전문가들이 프로그래밍 커뮤니티에 도움을 요청했다. 두큐 트로이목마 바이러스의 핵심부를 작성하는 데 사용된 프로그래밍 언어와 컴파일러 또는 프레임워크를 밝혀 달라는 것. 카스퍼스키랩은 이를 통해 두큐를 누가 왜 만들었는가를 알아낼 수 있을 것으로 보고 있다.   카스퍼스키의 최고 맬웨어 전문가인 비탈리 캄룩은 “두큐를 검사했을 때 전혀 알 수 없는 것으로 보였고, 이런 매우 맞춤형으로 만들어진 것이 개발되고 사용되는 이유가 불분명하다는 점에서 매우 흥미로웠다”라고 설명했다.   악성 프로그램이 어떻게 만들어졌는지를 이해하는 것은 다음에는 어떤 식으로 변화할 것인지, 개발에 얼마나 많은 자원이 투여됐는지 등의 파악하는 결정적인 단서가 된다.   두큐의 일부인 실행 DLL은 표준 C++로 작성됐지만, 나머지 대부분은 다른 언어로 개발된 것이다. 카스퍼스키의 전문가 이고르 수멘코프는 이 낯선 코드의 특징에 대해 “이 부분은 C++ 소스로 컴파일하지 않았다. 표준 C++은 물론 다른 사용자 작성 C++ 함수에 대한 어떤 참고도 포함하지 않고 있다. 분명한 것은 객체 지향 언어라는 점 뿐”이라고 설명했다.   카스퍼스키의 연구원들은 이 부분을 “두큐 프레임워크”라고 부르며, 전혀 다른 프로그래밍 팀이 만들었을 것으로 보고 있다. 다른 부분은 스턱스넷에서 직접 가져와 사용했음에도 불구하고, 이 부분만은 스턱스넷에도 존재하지 않는다.    수멘코프는 “이 알 수 없는 프로그래밍 언어는 분명히 C++, 오브젝티브C, 자바, 파이썬, 아다, 루아 등 우리가 이미 점검한 언어가 아니다”라며, 카스퍼스키의 연구팀이 이 코드 분석에 무수한 시간을 투여했다고 강조했다.    카스퍼스키 연구원들은 이 코드에 대해 외부 ...

2012.03.12

인터뷰 | 2012년, 악성 맬웨어 신시대

악성 맬웨어(Malware)의 형태가 크게 바뀌고 있는 것은 아니지만, 배달 수단과 의도 등은 더욱 알아차리기 어렵게 바뀌어가고 있다고 ICSA 랩스(ICSA Labs)의 로저 톰슨이 진단했다. 스마트 기기, 소셜 미디어, 앱 스토어를 통한 온라인 활동의 증가, 트랜잭션(Transaction) 기반의 웹 사이트 등이 합쳐지면서 국가 안보에까지 영향을 끼치는 요소들이 하나의 무시무시한 조합을 이루고 있다고 한 전문가가 평가했다. 최근 버라이존의 독립 부서인 ICSA 랩스에 최초의 최고 신흥위협 연구원(Chief Emerging Threats Researcher)으로 영입된 로저 톰슨은, 지금이야말로 기존의 보안 조치들이 새로운 방향으로 나아갈 때라고 말했다. 그에 따르면 맬웨어는 이제 백신 소프트웨어로 따라잡을 수 없는 수준으로 확산되었다. 또 범죄자들은 희생자를 탐색을 위한 배경조사의 도구로 소셜 네트워크와 스마트폰을 사용하게 되면서 그 어느 때보다도 목표를 집중적으로 공략하고 있다는 설명이다. 그렇다면 업계는 이에 대해 어떻게 대응해야 할까? 톰슨은 CSO와 2012년과 맬웨어에 관해서, 그리고 이에 대항하는 싸움에서 무엇을 변화시킬 필요가 있는지에 관한 의견을 나눴다. Q 당신은 맬웨어에도 시대가 있다고 언급했다. 그렇다면 당신의 관점에서 현재 맬웨어는 어떤 시대를 구가하고 있는가? 가장 최근의 시대는 웹 공격의 시대이다. 이 시대는 웹 기반의 공격, 부당 이용, 무분별한 다운로드로 넘어가던 2005년부터 시작되었다. 이 시대가 여전히 지속되고 있다. 범죄자들은 이제 조직적일뿐 아니라 기회주의적이며 대부분 웹을 통해 우리를 공격하고 있다. 만약 이것이 야구 경기였다면 우리는 약 4회 정도를 치르고 있다고 말할 수 있다. 이런 상황은 당분간 지속될 것이다. 하지만 개인적으로 볼 때 사이버 전쟁의 시대에 진입할 태세를 보이고 있다고도 생각한다. 이런 상황은 꽤나 분명하게 진전되고 있다. 예를 들어...

보안 맬웨어 바이러스 스턱스넷 악성

2011.12.14

악성 맬웨어(Malware)의 형태가 크게 바뀌고 있는 것은 아니지만, 배달 수단과 의도 등은 더욱 알아차리기 어렵게 바뀌어가고 있다고 ICSA 랩스(ICSA Labs)의 로저 톰슨이 진단했다. 스마트 기기, 소셜 미디어, 앱 스토어를 통한 온라인 활동의 증가, 트랜잭션(Transaction) 기반의 웹 사이트 등이 합쳐지면서 국가 안보에까지 영향을 끼치는 요소들이 하나의 무시무시한 조합을 이루고 있다고 한 전문가가 평가했다. 최근 버라이존의 독립 부서인 ICSA 랩스에 최초의 최고 신흥위협 연구원(Chief Emerging Threats Researcher)으로 영입된 로저 톰슨은, 지금이야말로 기존의 보안 조치들이 새로운 방향으로 나아갈 때라고 말했다. 그에 따르면 맬웨어는 이제 백신 소프트웨어로 따라잡을 수 없는 수준으로 확산되었다. 또 범죄자들은 희생자를 탐색을 위한 배경조사의 도구로 소셜 네트워크와 스마트폰을 사용하게 되면서 그 어느 때보다도 목표를 집중적으로 공략하고 있다는 설명이다. 그렇다면 업계는 이에 대해 어떻게 대응해야 할까? 톰슨은 CSO와 2012년과 맬웨어에 관해서, 그리고 이에 대항하는 싸움에서 무엇을 변화시킬 필요가 있는지에 관한 의견을 나눴다. Q 당신은 맬웨어에도 시대가 있다고 언급했다. 그렇다면 당신의 관점에서 현재 맬웨어는 어떤 시대를 구가하고 있는가? 가장 최근의 시대는 웹 공격의 시대이다. 이 시대는 웹 기반의 공격, 부당 이용, 무분별한 다운로드로 넘어가던 2005년부터 시작되었다. 이 시대가 여전히 지속되고 있다. 범죄자들은 이제 조직적일뿐 아니라 기회주의적이며 대부분 웹을 통해 우리를 공격하고 있다. 만약 이것이 야구 경기였다면 우리는 약 4회 정도를 치르고 있다고 말할 수 있다. 이런 상황은 당분간 지속될 것이다. 하지만 개인적으로 볼 때 사이버 전쟁의 시대에 진입할 태세를 보이고 있다고도 생각한다. 이런 상황은 꽤나 분명하게 진전되고 있다. 예를 들어...

2011.12.14

"두쿠 해커, 제어 서버에 있는 증거마저 제거" 카스퍼스키

두쿠(Duqu) 봇넷을 조종한 해커가 10월 20일에 알려진 12개의 명령 & 제어(C&C) 서버들의 모든 파일을 제거하고 그들의 스누핑 운영을 중단했다고 카스퍼스키의 한 보안 연구원이 말했다.    모스코바 소재의 카스퍼스키 연구소에 따르면, 이는 시만텍이 트로이 목마 기반의 봇넷인 두쿠의 분석을 공개한 이후 2일 만이다. 많은 보안 전문가들은 이 두쿠가 지난해 이란의 핵 프로그램을 파괴했던 고도로 지능화된 웜 바이러스인 스턱스넷의 코드와 그 특성을 공유했다고 믿고 있다.     시만텍과 카스퍼스키는 두쿠는 미확인 국가가 지원하는 숙련된 해커에 의해 설계된 것이라고 밝혔다.    스턱스넷과는 달리, 두쿠는 우라늄 농축 기기에 대한 파괴적인 피해를 입히는 술책을 쓰는 것이 아니다. 산업 제어 시스템을 표적으로 한 또 다른 웜 바이러스 침투를 위한 도입구로써 설치와 컴퓨터 네트워크의 취약점을 정찰하는 것이다.   카스퍼스키 선임 연구원 로엘 스카우벤버그는 "나는 이것이 현재 닫혀진 두쿠의 운영 중 일부라고 생각한다"며, "그러나 그것이 이미 시작했을지도 모르는 새롭게 수정된 운영 방법을 말하는 것이 아니"라고 이메일을 통해 말했다.    최근 또 다른 카스퍼스키의 전문가는 두쿠에 대해 조사한 결과, 10월 20일에 깨끗하게 정리된 상태였다고 업데이트했다.    카스퍼스키에 따르면, 알려진 것만해도 십여 개가 되는 두쿠 변종의 각각은 멜웨어의 특정 버전에 침입를 받은 PC를 관리하는 데 다른 좀비 서버를 사용했다. 이 서버들은 벨기에, 인도, 네덜란드, 그리고 베트남과 다른 국가에 위치했다.    카스퍼스키는 "10월 20일에 공격자들이 멀게는 2009년부터 사용해 오던 모든...

Duqu 스턱스넷 두쿠

2011.12.02

두쿠(Duqu) 봇넷을 조종한 해커가 10월 20일에 알려진 12개의 명령 & 제어(C&C) 서버들의 모든 파일을 제거하고 그들의 스누핑 운영을 중단했다고 카스퍼스키의 한 보안 연구원이 말했다.    모스코바 소재의 카스퍼스키 연구소에 따르면, 이는 시만텍이 트로이 목마 기반의 봇넷인 두쿠의 분석을 공개한 이후 2일 만이다. 많은 보안 전문가들은 이 두쿠가 지난해 이란의 핵 프로그램을 파괴했던 고도로 지능화된 웜 바이러스인 스턱스넷의 코드와 그 특성을 공유했다고 믿고 있다.     시만텍과 카스퍼스키는 두쿠는 미확인 국가가 지원하는 숙련된 해커에 의해 설계된 것이라고 밝혔다.    스턱스넷과는 달리, 두쿠는 우라늄 농축 기기에 대한 파괴적인 피해를 입히는 술책을 쓰는 것이 아니다. 산업 제어 시스템을 표적으로 한 또 다른 웜 바이러스 침투를 위한 도입구로써 설치와 컴퓨터 네트워크의 취약점을 정찰하는 것이다.   카스퍼스키 선임 연구원 로엘 스카우벤버그는 "나는 이것이 현재 닫혀진 두쿠의 운영 중 일부라고 생각한다"며, "그러나 그것이 이미 시작했을지도 모르는 새롭게 수정된 운영 방법을 말하는 것이 아니"라고 이메일을 통해 말했다.    최근 또 다른 카스퍼스키의 전문가는 두쿠에 대해 조사한 결과, 10월 20일에 깨끗하게 정리된 상태였다고 업데이트했다.    카스퍼스키에 따르면, 알려진 것만해도 십여 개가 되는 두쿠 변종의 각각은 멜웨어의 특정 버전에 침입를 받은 PC를 관리하는 데 다른 좀비 서버를 사용했다. 이 서버들은 벨기에, 인도, 네덜란드, 그리고 베트남과 다른 국가에 위치했다.    카스퍼스키는 "10월 20일에 공격자들이 멀게는 2009년부터 사용해 오던 모든...

2011.12.02

2012년, 사이버 전쟁의 해가 될 것인가?

사이버 전쟁에 대한 많은 예측들이 쏟아져 나오고 있다. 이미 시작됐다고 믿는 사람들도 많다. 그렇다면 보안 전문가들은 2012년 계획을 어떻게 세워야 할까?   사이버 전쟁 정의 자체가 혼란하다  우선 사이버 전쟁 행위는 어떻게 정의하는가? 중국이나 러시아에서 미국 전력망 가동을 중단시키는 정교한 해킹인가? 정부 사이트들에 침입하는 어노니머스(Anonymous) 같은 해커 집단인가? 지금 몇 년째 계속되고 있는 중국의 스파이 활동인가?   스턱스넷(Stuxnet)과 두쿠(Duqu)는 또 무엇인가? 이런 행위들 역시 이란에 맞섰던 미국과 이스라엘의 전쟁 행위였는가? 사이버 전쟁은 정부와 군 사이트에 관련된 것들로 제한되는가 아니면 사기업 네트워크까지 포함하는가?   이런 논쟁은 2012년에도 계속될 것이다. 보다 명확한 정의는 기대하지 않는 게 좋다. 아마도 그럴 일은 없을 것이다. 그렇지만 훨씬 국소적인 의미에서 국가간 온라인 전쟁이 어느 정도 실제로 있음을 증명하는 증거들은 지금도 충분히 나와 있다.    완벽한 지표들과 장황한 말들을 기다리기보다는 현존하는 사이버 전쟁 툴과 노하우들을 받아들이고 그에 따른 나름의 방어책을 세우는 편이 좋을 듯 싶다.    사이버 스파이, 이미 활동 중  지금껏 수 년 동안 각 정부들은 해커들을 이용해왔고 그들에게 컴퓨팅 인프라의 약점들을 통해 다른 국가들을 염탐하게끔 해왔다.    지난 2009년에는 필자의 동료인 그랜트 그로스가 중국과 러시아, 그리고 기타 국가 출신의 사이버 스파이들에 관해 기고한 바 있다. 그들은 미국 전력망에의 접근권을 획득해 해당 서비스를 중단하도록 설계된 악성코드 툴을 설치했다. 이런 행위의 동기를 확실히 파악하기는 어렵지만, 어쨌든 이를 전쟁 행위로 이해할 수는 있다.   2주...

스파이 사이버 전쟁 스카다 스턱스넷 두쿠

2011.11.30

사이버 전쟁에 대한 많은 예측들이 쏟아져 나오고 있다. 이미 시작됐다고 믿는 사람들도 많다. 그렇다면 보안 전문가들은 2012년 계획을 어떻게 세워야 할까?   사이버 전쟁 정의 자체가 혼란하다  우선 사이버 전쟁 행위는 어떻게 정의하는가? 중국이나 러시아에서 미국 전력망 가동을 중단시키는 정교한 해킹인가? 정부 사이트들에 침입하는 어노니머스(Anonymous) 같은 해커 집단인가? 지금 몇 년째 계속되고 있는 중국의 스파이 활동인가?   스턱스넷(Stuxnet)과 두쿠(Duqu)는 또 무엇인가? 이런 행위들 역시 이란에 맞섰던 미국과 이스라엘의 전쟁 행위였는가? 사이버 전쟁은 정부와 군 사이트에 관련된 것들로 제한되는가 아니면 사기업 네트워크까지 포함하는가?   이런 논쟁은 2012년에도 계속될 것이다. 보다 명확한 정의는 기대하지 않는 게 좋다. 아마도 그럴 일은 없을 것이다. 그렇지만 훨씬 국소적인 의미에서 국가간 온라인 전쟁이 어느 정도 실제로 있음을 증명하는 증거들은 지금도 충분히 나와 있다.    완벽한 지표들과 장황한 말들을 기다리기보다는 현존하는 사이버 전쟁 툴과 노하우들을 받아들이고 그에 따른 나름의 방어책을 세우는 편이 좋을 듯 싶다.    사이버 스파이, 이미 활동 중  지금껏 수 년 동안 각 정부들은 해커들을 이용해왔고 그들에게 컴퓨팅 인프라의 약점들을 통해 다른 국가들을 염탐하게끔 해왔다.    지난 2009년에는 필자의 동료인 그랜트 그로스가 중국과 러시아, 그리고 기타 국가 출신의 사이버 스파이들에 관해 기고한 바 있다. 그들은 미국 전력망에의 접근권을 획득해 해당 서비스를 중단하도록 설계된 악성코드 툴을 설치했다. 이런 행위의 동기를 확실히 파악하기는 어렵지만, 어쨌든 이를 전쟁 행위로 이해할 수는 있다.   2주...

2011.11.30

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9