Offcanvas

������

이스트시큐리티 "국립외교원 구글 설문지로 둔갑한 北 연계 해킹 공격 등장"

이스트시큐리티가 ‘2022 외교안보연구소(IFANS) 국제문제회의’ 초청 글처럼 위장한 북한 연계 해킹 공격이 등장했다고 경고했다.   이번 공격은 오는 11월 2일 국립외교원 외교안보연구소(IFANS)에서 개최 예정인 실제 행사를 미끼로 활용했고, 외교·안보·국방 분야 전문가를 초대하는 것처럼 현혹해 구글 설문지를 작성하도록 유도하는 흥미로운 공격 수법이 쓰였다.  국제문제회의는 국립외교원 외교안보연구소의 연례 포럼으로 국내외 학계 주요 인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석함으로써 외교전략 수립에 기여하는 토론회다. 공격자는 지난 10월 21일, 외교부 공식 사이트 공지사항에 올려진 ‘2022 IFANS 국제문제회의 개최’ 게시물에 첨부된 초청장 이미지를 도용해 공격에 사용한 것으로 드러났다. 초청장 이미지는 피싱 공격용 이메일 본문에 포함해 발송되며, 수신자가 이미지 영역에 접근할 경우 피싱 사이트로 연결된다. 이때 보여지는 것이 마치 구글 설문지 포맷처럼 보이는데, 연결된 곳은 ‘docxooqle.epizy[.]com’ 주소이다. 웹 사이트를 자세히 살펴보면 구글처럼 위장된 가짜 사이트라는 것을 인지할 수 있다.   이스트시큐리티 시큐리티대응센터(이하 ESRC)가 해당 구글 설문지로 위장된 피싱 수법을 조사한 결과, 공격자는 실제 구글 설문지 포맷을 교묘하게 모방해 공격에 활용했다. 특히, 설문지 작성 항목을 고려해 피해 대상자가 성명, 소속, 직위, 이메일, 연락처 등의 개인정보를 직접 입력하도록 유도해 1차 정보 탈취를 시도한다. 그 이후 설문 작성 등록이 완료되면 ‘accounts.qocple.epizy[.]com’ 피싱 주소로 화면을 이동시켜 구글 로그인 화면을 보여주고, 지메일 비밀번호 탈취를 이어간다. 이로 인해 주요 개인정보 및 구글 계정 비밀번호 유출까지 연쇄적 해킹 피해로 이어질 수 있어 세심한 주의가 필요하고, 평상시 접속하는 사이트가 공식 주소인지 꼼꼼히 살...

이스트시큐리티 북한 국립외교원 해킹

2022.10.26

이스트시큐리티가 ‘2022 외교안보연구소(IFANS) 국제문제회의’ 초청 글처럼 위장한 북한 연계 해킹 공격이 등장했다고 경고했다.   이번 공격은 오는 11월 2일 국립외교원 외교안보연구소(IFANS)에서 개최 예정인 실제 행사를 미끼로 활용했고, 외교·안보·국방 분야 전문가를 초대하는 것처럼 현혹해 구글 설문지를 작성하도록 유도하는 흥미로운 공격 수법이 쓰였다.  국제문제회의는 국립외교원 외교안보연구소의 연례 포럼으로 국내외 학계 주요 인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석함으로써 외교전략 수립에 기여하는 토론회다. 공격자는 지난 10월 21일, 외교부 공식 사이트 공지사항에 올려진 ‘2022 IFANS 국제문제회의 개최’ 게시물에 첨부된 초청장 이미지를 도용해 공격에 사용한 것으로 드러났다. 초청장 이미지는 피싱 공격용 이메일 본문에 포함해 발송되며, 수신자가 이미지 영역에 접근할 경우 피싱 사이트로 연결된다. 이때 보여지는 것이 마치 구글 설문지 포맷처럼 보이는데, 연결된 곳은 ‘docxooqle.epizy[.]com’ 주소이다. 웹 사이트를 자세히 살펴보면 구글처럼 위장된 가짜 사이트라는 것을 인지할 수 있다.   이스트시큐리티 시큐리티대응센터(이하 ESRC)가 해당 구글 설문지로 위장된 피싱 수법을 조사한 결과, 공격자는 실제 구글 설문지 포맷을 교묘하게 모방해 공격에 활용했다. 특히, 설문지 작성 항목을 고려해 피해 대상자가 성명, 소속, 직위, 이메일, 연락처 등의 개인정보를 직접 입력하도록 유도해 1차 정보 탈취를 시도한다. 그 이후 설문 작성 등록이 완료되면 ‘accounts.qocple.epizy[.]com’ 피싱 주소로 화면을 이동시켜 구글 로그인 화면을 보여주고, 지메일 비밀번호 탈취를 이어간다. 이로 인해 주요 개인정보 및 구글 계정 비밀번호 유출까지 연쇄적 해킹 피해로 이어질 수 있어 세심한 주의가 필요하고, 평상시 접속하는 사이트가 공식 주소인지 꼼꼼히 살...

2022.10.26

'기자 메일과 소셜 계정을 해킹' 사이버 스파이의 주요 먹잇감 된 언론사

2021년 이후 국가 주도의 지능형 지속 공격(Advanced Persistent Threat, APT)이 언론인과 미디어 기업에 집중되고 있다. 주공격 대상은 언론인의 업무 이메일과 소셜 미디어 계정이다. 민감한 정치적 사건이나 특정 정권에 대한 부정적 시각이 강조된 기사에 대한 추적도 이뤄지고 있다.   언론인은 스파이에게 언제나 매력적인 공격 대상이다. 언론인은 기밀 정보에 접근할 수 있고, 기업과 개인 모두에게 쉽게 신뢰받는다. 그런 면에서 미디어 구성원이라면 반드시 온라인 보안 교육을 받아야 하고, 국가 주도의 해킹 기법에 대해서 잘 알아야 한다.  보안 전문 업체 프루프포인트(Proofpoint)는 최근 보고서를 통해 중국, 북한, 이란, 터키 정부 관련 APT 집단이 언론인을 공격하고 있다고 밝혔다. 프루프포인트는 “미디어 업계 종사자는 일반인은 접근하지 못하는 정보를 볼 수 있다”라며 “언론인 이메일 계정을 적당한 시기에 해킹하면 공격자는 민감하거나 새로운 소식, 정보 출처를 획득해 필요한 정보를 얻을 수 있다. 또한 해킹한 계정으로 조작된 정보나 국가 홍보 메시지를 퍼뜨릴 수 있다. 전쟁이나 팬데믹 기간에는 가짜 정보를 제공하고 정치적으로 긴장감을 높일 수 있다”라고 설명했다.    트래킹 픽셀부터 악성코드 배포에 활용되는 언론인 메일  언론인을 공격하기 위해 해커는 APT 공격 중에서도 주로 정찰(Reconnaissance) 기법을 이용한다. 해커는 그럴듯한 미끼를 만들기 위해 공격 대상에 대한 정보를 최대한 많이 획득한다. 이 과정에서 이메일 주소를 확인하거나 악성 메시지를 열도록 유도할 수 있다.  예를 들어 공격자는 픽셀 크기의 작은 이미지를 이메일에 삽입하고 친절한 메일 내용을 담아 전송하는데, 이런 기법을 트래킹 픽셀(tracking pixel) 또는 웹 비컨(web beacon)이라고 부른다. 피해자가 이메일을 읽는 순간, 외부 IP 주소, 유저-에이전트 스트링(user-...

언론사 해킹 APT 북한

2022.07.20

2021년 이후 국가 주도의 지능형 지속 공격(Advanced Persistent Threat, APT)이 언론인과 미디어 기업에 집중되고 있다. 주공격 대상은 언론인의 업무 이메일과 소셜 미디어 계정이다. 민감한 정치적 사건이나 특정 정권에 대한 부정적 시각이 강조된 기사에 대한 추적도 이뤄지고 있다.   언론인은 스파이에게 언제나 매력적인 공격 대상이다. 언론인은 기밀 정보에 접근할 수 있고, 기업과 개인 모두에게 쉽게 신뢰받는다. 그런 면에서 미디어 구성원이라면 반드시 온라인 보안 교육을 받아야 하고, 국가 주도의 해킹 기법에 대해서 잘 알아야 한다.  보안 전문 업체 프루프포인트(Proofpoint)는 최근 보고서를 통해 중국, 북한, 이란, 터키 정부 관련 APT 집단이 언론인을 공격하고 있다고 밝혔다. 프루프포인트는 “미디어 업계 종사자는 일반인은 접근하지 못하는 정보를 볼 수 있다”라며 “언론인 이메일 계정을 적당한 시기에 해킹하면 공격자는 민감하거나 새로운 소식, 정보 출처를 획득해 필요한 정보를 얻을 수 있다. 또한 해킹한 계정으로 조작된 정보나 국가 홍보 메시지를 퍼뜨릴 수 있다. 전쟁이나 팬데믹 기간에는 가짜 정보를 제공하고 정치적으로 긴장감을 높일 수 있다”라고 설명했다.    트래킹 픽셀부터 악성코드 배포에 활용되는 언론인 메일  언론인을 공격하기 위해 해커는 APT 공격 중에서도 주로 정찰(Reconnaissance) 기법을 이용한다. 해커는 그럴듯한 미끼를 만들기 위해 공격 대상에 대한 정보를 최대한 많이 획득한다. 이 과정에서 이메일 주소를 확인하거나 악성 메시지를 열도록 유도할 수 있다.  예를 들어 공격자는 픽셀 크기의 작은 이미지를 이메일에 삽입하고 친절한 메일 내용을 담아 전송하는데, 이런 기법을 트래킹 픽셀(tracking pixel) 또는 웹 비컨(web beacon)이라고 부른다. 피해자가 이메일을 읽는 순간, 외부 IP 주소, 유저-에이전트 스트링(user-...

2022.07.20

“의료기관 노린다” 美 정부, 마우이(Maui) 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

마우이 북한 랜섬웨어 맬웨어 악성코드 보안 사이버 보안 APT

2022.07.11

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

2022.07.11

“바이든 시대, 북한 비핵화 협상과 체제 안전 내용 APT 공격 징후 발견” 이스트시큐리티 

이스트시큐리티가 지난 미국 대선 결과에 따른 ‘바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제’ 내용 문건으로 사칭한 악성 파일이 발견돼, 각별한 주의가 필요하다고 밝혔다. 새롭게 발견된 악성 파일은 마이크로소프트 워드 문서 형태로 유포되고 있으며, 이메일에 문서 파일을 다운로드할 수 있는 인터넷 주소(URL)를 기재해 수신자가 내려받도록 유도하는 방식이다.   이 URL은 마치 국내 특정 포털 업체의 인터넷 주소처럼 비슷하게 위조돼, 수신자가 공식 사이트로 생각하고 의심 없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계돼 있다. 만약 메일 수신자가 위조 웹사이트에서 악성 문서 파일을 내려받아 실행하면, 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나며 [콘텐츠 사용] 버튼을 클릭하도록 유도한다. 이때, 버튼을 클릭하면 정상적인 문서 내용이 나타나지만, 실제로는 내부에 숨겨진 악성 매크로 명령이 순식간에 작동해 PC 정보를 해커가 지정한 서버로 전송하고 추가 원격제어 등의 해킹 피해로 이어질 수 있는 상태가 된다. 한편, [콘텐츠 사용] 버튼을 클릭하면 나타나는 문서에는 ‘미국과 북한의 비핵화 협상 제안과 회담 내용’ 등을 담고 있어, 관련 분야에서 활동하거나 관심을 가진 사람이 위협에 노출될 가능성이 높아 보인다. 이처럼 악성 문서 파일 기반으로 공격한 점을 미뤄볼 때, 이번 공격은 전형적인 스피어 피싱 공격일 가능성이 높다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 공격을 분석한 결과 ‘naver.midsecurity[.]org’ 서버를 통해 악성 워드 문서가 배포됐고, 정보 탈취 및 C2 명령제어 서버로 확인됐다고 밝혔다.   ESRC 조사에 의하면 공격 단계별로 C2 서버와 통신을 수행하고, 감염된 컴퓨터 정보를 수집해 선별적으로 추가 명령을 내려보내는 수법이 활용됐다. 특히, 이번 공격에 사용된 고유한 통신 문자열(WebKitFormBoundaryA2D2gp2XzUyO0...

이스트시큐리티 북한 미국 대선 악성 파일 보안

2020.11.17

이스트시큐리티가 지난 미국 대선 결과에 따른 ‘바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제’ 내용 문건으로 사칭한 악성 파일이 발견돼, 각별한 주의가 필요하다고 밝혔다. 새롭게 발견된 악성 파일은 마이크로소프트 워드 문서 형태로 유포되고 있으며, 이메일에 문서 파일을 다운로드할 수 있는 인터넷 주소(URL)를 기재해 수신자가 내려받도록 유도하는 방식이다.   이 URL은 마치 국내 특정 포털 업체의 인터넷 주소처럼 비슷하게 위조돼, 수신자가 공식 사이트로 생각하고 의심 없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계돼 있다. 만약 메일 수신자가 위조 웹사이트에서 악성 문서 파일을 내려받아 실행하면, 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나며 [콘텐츠 사용] 버튼을 클릭하도록 유도한다. 이때, 버튼을 클릭하면 정상적인 문서 내용이 나타나지만, 실제로는 내부에 숨겨진 악성 매크로 명령이 순식간에 작동해 PC 정보를 해커가 지정한 서버로 전송하고 추가 원격제어 등의 해킹 피해로 이어질 수 있는 상태가 된다. 한편, [콘텐츠 사용] 버튼을 클릭하면 나타나는 문서에는 ‘미국과 북한의 비핵화 협상 제안과 회담 내용’ 등을 담고 있어, 관련 분야에서 활동하거나 관심을 가진 사람이 위협에 노출될 가능성이 높아 보인다. 이처럼 악성 문서 파일 기반으로 공격한 점을 미뤄볼 때, 이번 공격은 전형적인 스피어 피싱 공격일 가능성이 높다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 공격을 분석한 결과 ‘naver.midsecurity[.]org’ 서버를 통해 악성 워드 문서가 배포됐고, 정보 탈취 및 C2 명령제어 서버로 확인됐다고 밝혔다.   ESRC 조사에 의하면 공격 단계별로 C2 서버와 통신을 수행하고, 감염된 컴퓨터 정보를 수집해 선별적으로 추가 명령을 내려보내는 수법이 활용됐다. 특히, 이번 공격에 사용된 고유한 통신 문자열(WebKitFormBoundaryA2D2gp2XzUyO0...

2020.11.17

“북한 엘리트층, VPN과 토르에의 관심 고조” 레코디드 퓨처 보고서

“평양 엘리트들 사이의 인터넷 사용방식이 변화하고 있다. 특히 군사 정보계에 몸담고 있는 이들 엘리트는 종전보다 강력한 보안망을 활용하고 있다. 이들은 이 밖에 인터넷을 수익 창출 도구로도 사용하고 있다. 사이버 공격 및 온라인 사기, 채굴 등의 활동을 통해서다” 이러한 사실은 CIA의 스타트업 펀드와 구글의 지원을 받은 오픈소스 정보 그룹인 ‘레코디드 퓨처(Recorded Future)’가 밝힌 것이다. 이 업체는 최근 7억 8,000만 달러에 사모펀드인 인사이트 파트너스에 매각됐다.   이 오픈소스 정보 회사는 2017년부터 조선민주주의인민공화국(미군에 의해 그어진 38도선 이북의 분단국가인 북한을 지칭하는 공식 명칭)에서 글로벌 인터넷 접속을 한다고 파악된 소수의 인사들을 감시하기 시작했다. 감시 초기에는 많은 네트워크 트래픽이 스트리밍, 비디오 게임, 온라인 구매 제품 검색과 같은 소비자 애플리케이션을 중심으로 이뤄졌다. 이 최신 보고서는 그러나 이제 인터넷이 효용과 수익 창출을 위한 도구로 인식되는 쪽으로 크게 변화했다고 기술했다. 북한은 국가 차원에서 고통받았던 기근의 시기에서 다소 회복되었고 북한 지도자들은 과학, 기술, 연구와 개발의 장점을 열심히 강조해오고 있다. 이 과정에서 인터넷을 에너지와 무기에 관한 기술 습득의 도구로도 보고 있다. 레코디드 퓨처는 북한이 인터넷을 사이버 공격 작전에 이용하면서, 은행 절도, 암호화폐, 저급 금융범죄, 그리고 합법적인 프리랜서 IT 업무에 특히 신경을 쓰고 있다고 밝혔다. 게다가, 북한 엘리트층은 현재 2017년 첫 번째 보고서 당시보다 일과 중에 더 자주 인터넷에 접속하고 있다. 이는 글로벌 인터넷이 이들 사용자들의 일상 생활의 일부가 되었음을 시사한다. 그럼에도 불구하고, 여전히 일부의 이야기이다. 프리실라 모리우치 레코디드퓨처 전략위협개발담당은 최근 테크월드와의 전화 인터뷰에서 “북한 사회의 0.1%인 극소수의 북한 주민들, 즉 군 정보관련 최고 지도자들과 그 가족만이 글로벌 인터...

북한 VPN 토르 DPRK 김정은 평양

2020.03.19

“평양 엘리트들 사이의 인터넷 사용방식이 변화하고 있다. 특히 군사 정보계에 몸담고 있는 이들 엘리트는 종전보다 강력한 보안망을 활용하고 있다. 이들은 이 밖에 인터넷을 수익 창출 도구로도 사용하고 있다. 사이버 공격 및 온라인 사기, 채굴 등의 활동을 통해서다” 이러한 사실은 CIA의 스타트업 펀드와 구글의 지원을 받은 오픈소스 정보 그룹인 ‘레코디드 퓨처(Recorded Future)’가 밝힌 것이다. 이 업체는 최근 7억 8,000만 달러에 사모펀드인 인사이트 파트너스에 매각됐다.   이 오픈소스 정보 회사는 2017년부터 조선민주주의인민공화국(미군에 의해 그어진 38도선 이북의 분단국가인 북한을 지칭하는 공식 명칭)에서 글로벌 인터넷 접속을 한다고 파악된 소수의 인사들을 감시하기 시작했다. 감시 초기에는 많은 네트워크 트래픽이 스트리밍, 비디오 게임, 온라인 구매 제품 검색과 같은 소비자 애플리케이션을 중심으로 이뤄졌다. 이 최신 보고서는 그러나 이제 인터넷이 효용과 수익 창출을 위한 도구로 인식되는 쪽으로 크게 변화했다고 기술했다. 북한은 국가 차원에서 고통받았던 기근의 시기에서 다소 회복되었고 북한 지도자들은 과학, 기술, 연구와 개발의 장점을 열심히 강조해오고 있다. 이 과정에서 인터넷을 에너지와 무기에 관한 기술 습득의 도구로도 보고 있다. 레코디드 퓨처는 북한이 인터넷을 사이버 공격 작전에 이용하면서, 은행 절도, 암호화폐, 저급 금융범죄, 그리고 합법적인 프리랜서 IT 업무에 특히 신경을 쓰고 있다고 밝혔다. 게다가, 북한 엘리트층은 현재 2017년 첫 번째 보고서 당시보다 일과 중에 더 자주 인터넷에 접속하고 있다. 이는 글로벌 인터넷이 이들 사용자들의 일상 생활의 일부가 되었음을 시사한다. 그럼에도 불구하고, 여전히 일부의 이야기이다. 프리실라 모리우치 레코디드퓨처 전략위협개발담당은 최근 테크월드와의 전화 인터뷰에서 “북한 사회의 0.1%인 극소수의 북한 주민들, 즉 군 정보관련 최고 지도자들과 그 가족만이 글로벌 인터...

2020.03.19

이스트시큐리티, ‘2019년 북한 신년사 평가 내용’ 담은 APT 악성코드 발견

2019년 북한 신년사 평가 내용을 담고 있는 APT(지능형지속위협) 유형의 악성코드가 발견돼 각별한 주의가 필요하다고 이스트시큐리티의 시큐리티대응센터(이하 ESRC)가 4일 당부했다. 해당 악성코드는 정부 기관의 공식 문건처럼 내용을 사칭하고 있으며, 2019년 1월 2일 오전에 제작된 최신 악성코드인 것으로 분석됐다. ESRC에 따르면 매년 반복적으로 북한의 신년사 내용을 미끼를 활용해 한국의 특정인을 노린 표적 공격이 이어지고 있고, 공격자는 주로 이메일 첨부파일을 활용한 스피어 피싱(Spear Phishing) 공격을 활용하는 양상을 보여주고 있다. 실제로 지난 2017년과 2018년에도 이와 유사한 APT 공격이 발견된 바 있다. 다만 당시 발견된 공격은 HWP 문서 파일의 보안 취약점이 활용된 반면, 이번에는 EXE 실행 파일 형태로 제작됐고 파일 아이콘이 마치 정상적인 HWP 문서 파일로 보이게끔 위장하고 있는 것이 특징이다. ESRC는 해당 공격 코드를 분석한 결과 작년 11월에 공개한 ‘작전명 블랙 리무진(Operation Black Limousine)’ 공격을 수행한 조직과 동일한 조직의 공격으로 확인했으며, 이번 APT 공격을 ‘작전명 엔케이 뉴이어(Operation NK New Year)’로 명명했다. 만약, 이번 악성코드에 감염될 경우엔 공격자가 미리 설정해 둔 명령 제어(C2) 서버와 통신을 수행한 후, 키보드 입력 내용 수집(키로깅) 등의 개인정보 유출 시도 및 추가 악성코드 설치에 의한 원격제어 위협에 노출될 위험성이 높다. 또한 공격자가 악성코드에 감염된 사용자 PC로부터 정보를 수집하는 과정에서, 포털 이메일 서비스를 경유지로 악용하면서 백신 등 보안 솔루션의 탐지 우회 시도도 하는 것으로 확인되었다. ESRC 문종현 센터장은 "2019년 새해 연초부터 특정 정부 기반이 배후에 있는 것으로 알려진 해킹 조직이, 한국을 상대로 은밀한 APT 공격을 수행하고 있어 ...

북한 이스트시큐리티 신년사

2019.01.04

2019년 북한 신년사 평가 내용을 담고 있는 APT(지능형지속위협) 유형의 악성코드가 발견돼 각별한 주의가 필요하다고 이스트시큐리티의 시큐리티대응센터(이하 ESRC)가 4일 당부했다. 해당 악성코드는 정부 기관의 공식 문건처럼 내용을 사칭하고 있으며, 2019년 1월 2일 오전에 제작된 최신 악성코드인 것으로 분석됐다. ESRC에 따르면 매년 반복적으로 북한의 신년사 내용을 미끼를 활용해 한국의 특정인을 노린 표적 공격이 이어지고 있고, 공격자는 주로 이메일 첨부파일을 활용한 스피어 피싱(Spear Phishing) 공격을 활용하는 양상을 보여주고 있다. 실제로 지난 2017년과 2018년에도 이와 유사한 APT 공격이 발견된 바 있다. 다만 당시 발견된 공격은 HWP 문서 파일의 보안 취약점이 활용된 반면, 이번에는 EXE 실행 파일 형태로 제작됐고 파일 아이콘이 마치 정상적인 HWP 문서 파일로 보이게끔 위장하고 있는 것이 특징이다. ESRC는 해당 공격 코드를 분석한 결과 작년 11월에 공개한 ‘작전명 블랙 리무진(Operation Black Limousine)’ 공격을 수행한 조직과 동일한 조직의 공격으로 확인했으며, 이번 APT 공격을 ‘작전명 엔케이 뉴이어(Operation NK New Year)’로 명명했다. 만약, 이번 악성코드에 감염될 경우엔 공격자가 미리 설정해 둔 명령 제어(C2) 서버와 통신을 수행한 후, 키보드 입력 내용 수집(키로깅) 등의 개인정보 유출 시도 및 추가 악성코드 설치에 의한 원격제어 위협에 노출될 위험성이 높다. 또한 공격자가 악성코드에 감염된 사용자 PC로부터 정보를 수집하는 과정에서, 포털 이메일 서비스를 경유지로 악용하면서 백신 등 보안 솔루션의 탐지 우회 시도도 하는 것으로 확인되었다. ESRC 문종현 센터장은 "2019년 새해 연초부터 특정 정부 기반이 배후에 있는 것으로 알려진 해킹 조직이, 한국을 상대로 은밀한 APT 공격을 수행하고 있어 ...

2019.01.04

소니 해커 기소문을 통해 짚어보는 IT 보안 교훈 5가지

2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 170페이지가 넘는 이 기소장은 미국 로스앤젤레스 FBI의 네이썬 쉴즈가 작성했으며 사이버공격 방식을 알아내기 위해 수사 당국이 사용한 포렌식 분석을 잘 보여주고 있다. 박진혁의 해킹 단체는 보안 전문가들 사이에서 여러 이름으로 불리고 있다. 라자러스 그룹(Lazarus Group), APT37, Lab 110, Group 123, 히든 코브라(Hidden Cobra), 니켈 아카데미(Nickel Academy), 그리고 리퍼(Reaper) 등이 그것이다. 이 가운데 일부는 해당 해킹 단체가 생성한 악성코드 이름에서 따온 것도 있다. 기소장은 서두에서 이 북한 해커 집단이 지난 6년 동안 각종 사이버 공격의 중심에 있었다고 주장했다. 물론 북한 정부 측은 박진혁의 존재 자체를 부인하고 있으며, 그가 기소된 사건들은 북한 정부와는 "전혀 관계가 없다"고 반박했다. 하지만 이번 기사는 박진혁이나 북한 정부의 유무죄 여부를 판단하려는 것이 아니다. FBI가 수사 과정에서 찾아낸 자료들과, 이 사건들을 통해 기업의 CISO 및 IT 관리자가 보안에 대해 배우고 명심해야 할 것들을 알아 보려고 한다. FBI가 소니 해커를 찾아낸 방법 이 기소문은 법적 관점에서 읽을 것이 아니라, 북한 정부가 네트워크에 침투하기 위해 얼마나 혈안이 되어있는 지를 중점적으로 봐야 한다. 소니 해킹 사건에 대해 FBI가 밝혀 낸 사실들은 다음과 같다. FBI는 박진혁의 움직임을 디지털로 추적할 수 있었다. 박진혁은 중국 국경 지대에서 북한 정부의 유령회사이자 군사 해킹 작전으로 알려진 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 소니 해킹이 시작되기 직전 그는 북한으로 돌아갔다. 우선 FBI는 악성코드의 여러 부분들을 조직적으로 해체, 분석해 ...

소니 북한 라자러스 워너크라이 박진혁

2018.10.04

2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 170페이지가 넘는 이 기소장은 미국 로스앤젤레스 FBI의 네이썬 쉴즈가 작성했으며 사이버공격 방식을 알아내기 위해 수사 당국이 사용한 포렌식 분석을 잘 보여주고 있다. 박진혁의 해킹 단체는 보안 전문가들 사이에서 여러 이름으로 불리고 있다. 라자러스 그룹(Lazarus Group), APT37, Lab 110, Group 123, 히든 코브라(Hidden Cobra), 니켈 아카데미(Nickel Academy), 그리고 리퍼(Reaper) 등이 그것이다. 이 가운데 일부는 해당 해킹 단체가 생성한 악성코드 이름에서 따온 것도 있다. 기소장은 서두에서 이 북한 해커 집단이 지난 6년 동안 각종 사이버 공격의 중심에 있었다고 주장했다. 물론 북한 정부 측은 박진혁의 존재 자체를 부인하고 있으며, 그가 기소된 사건들은 북한 정부와는 "전혀 관계가 없다"고 반박했다. 하지만 이번 기사는 박진혁이나 북한 정부의 유무죄 여부를 판단하려는 것이 아니다. FBI가 수사 과정에서 찾아낸 자료들과, 이 사건들을 통해 기업의 CISO 및 IT 관리자가 보안에 대해 배우고 명심해야 할 것들을 알아 보려고 한다. FBI가 소니 해커를 찾아낸 방법 이 기소문은 법적 관점에서 읽을 것이 아니라, 북한 정부가 네트워크에 침투하기 위해 얼마나 혈안이 되어있는 지를 중점적으로 봐야 한다. 소니 해킹 사건에 대해 FBI가 밝혀 낸 사실들은 다음과 같다. FBI는 박진혁의 움직임을 디지털로 추적할 수 있었다. 박진혁은 중국 국경 지대에서 북한 정부의 유령회사이자 군사 해킹 작전으로 알려진 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 소니 해킹이 시작되기 직전 그는 북한으로 돌아갔다. 우선 FBI는 악성코드의 여러 부분들을 조직적으로 해체, 분석해 ...

2018.10.04

칼럼 | CIO가 알아야 할 위기 대응 매뉴얼

기술 책임자는 정기적으로 ‘소규모 위기’ 상황에 대응할 가능성이 높다. 하지만 정말로 끔찍한 일이 벌어졌을 때 어떻게 대응할까? 상황을 최대한 잘 관리하는 방법을 생각할 수 있도록 차분함을 유지하면서 리더십을 보여주는 방법은 무엇일까? 위기 상황이 닥치면 어떤 일이 발생하는지 살펴보자. 어떤 리더들은 문제에 정면으로 대응하지만 어떤 리더들은 불확실성 때문에 얼어버린다. 이런 위기 사고가 개별 운영 시스템에 영향을 끼치기도 한다. 때로는 대규모 혁신 프로그램에 영향을 끼쳐 조직의 명성이 바닥으로 추락할 수도 있다. 따라서 위기관리 능력도 혁신에 포함된다. 개인적인 예를 들어 설명해 보겠다. 수년 전 필자가 CUA에서 CIO직을 맡았을 때 우리는 주요 핵심 온라인 모바일 뱅킹시스템 변경을 준비하고 있었다. CEO는 이를 준비하면서 ‘위기 모드’로 실시하도록 제안했다. 그래서 관리팀과 혁신팀 전체가 모든 것이 안정될 때까지 2주 동안 하루에 4번씩 회의를 진행했다. 이 회의는 주말에도 열렸으며, 명확한 소통과 적절한 인원 확보가 직면한 상황과 시나리오에 대응하는 데 큰 차이를 나타냈다. 다른 기업에도 이런 특성을 적용하면 좋을 것이다. 1. 최악에 대비하라 포괄적인 계획으로 시작하는 것이 좋다. 위기 시에는 항상 예상치 못했던 요소가 발생하지만 위기관리 계획을 수립하면 공통의 이해와 체계를 적용할 수 있다. 새로운 위협이 등장하는 경우 항상 계획을 조정할 수 있지만 반드시 시작점이 있어야 한다. 계획은 공통의 위기 상황을 다루고 경영진, 직원, 고객에 신뢰를 제공하여 사건 발생 시에 적용할 수 있어야 한다. 위기 시에는 좌절감을 느끼는 것이 보통이기 때문에 미리 시간을 갖고 대응 방식 그리고 다양한 이해 당사자와 소통하는 방법을 예측해야 한다. 그리고 계획이 예상대로 실질적인 효과가 있는지 ‘시험’한다. 최근, 필자는 일본에서 근무하면서 북한에서 미사...

CIO IT 위기 미사일 위기 대응 모바일 뱅킹 위기 관리 북한 군대 사이버보안 위치 대처

2018.02.05

기술 책임자는 정기적으로 ‘소규모 위기’ 상황에 대응할 가능성이 높다. 하지만 정말로 끔찍한 일이 벌어졌을 때 어떻게 대응할까? 상황을 최대한 잘 관리하는 방법을 생각할 수 있도록 차분함을 유지하면서 리더십을 보여주는 방법은 무엇일까? 위기 상황이 닥치면 어떤 일이 발생하는지 살펴보자. 어떤 리더들은 문제에 정면으로 대응하지만 어떤 리더들은 불확실성 때문에 얼어버린다. 이런 위기 사고가 개별 운영 시스템에 영향을 끼치기도 한다. 때로는 대규모 혁신 프로그램에 영향을 끼쳐 조직의 명성이 바닥으로 추락할 수도 있다. 따라서 위기관리 능력도 혁신에 포함된다. 개인적인 예를 들어 설명해 보겠다. 수년 전 필자가 CUA에서 CIO직을 맡았을 때 우리는 주요 핵심 온라인 모바일 뱅킹시스템 변경을 준비하고 있었다. CEO는 이를 준비하면서 ‘위기 모드’로 실시하도록 제안했다. 그래서 관리팀과 혁신팀 전체가 모든 것이 안정될 때까지 2주 동안 하루에 4번씩 회의를 진행했다. 이 회의는 주말에도 열렸으며, 명확한 소통과 적절한 인원 확보가 직면한 상황과 시나리오에 대응하는 데 큰 차이를 나타냈다. 다른 기업에도 이런 특성을 적용하면 좋을 것이다. 1. 최악에 대비하라 포괄적인 계획으로 시작하는 것이 좋다. 위기 시에는 항상 예상치 못했던 요소가 발생하지만 위기관리 계획을 수립하면 공통의 이해와 체계를 적용할 수 있다. 새로운 위협이 등장하는 경우 항상 계획을 조정할 수 있지만 반드시 시작점이 있어야 한다. 계획은 공통의 위기 상황을 다루고 경영진, 직원, 고객에 신뢰를 제공하여 사건 발생 시에 적용할 수 있어야 한다. 위기 시에는 좌절감을 느끼는 것이 보통이기 때문에 미리 시간을 갖고 대응 방식 그리고 다양한 이해 당사자와 소통하는 방법을 예측해야 한다. 그리고 계획이 예상대로 실질적인 효과가 있는지 ‘시험’한다. 최근, 필자는 일본에서 근무하면서 북한에서 미사...

2018.02.05

"북한이 워너크라이 배후"라는 미 정부의 주장, 어디까지 믿을 수 있을까?

백악관이 지난 5월의 워크크라이 공격 배후로 북한을 공식 지목했다. 도널드 트럼프의 미 국토 안보 보좌관인 톰 보세트는 월 스트리트 저널에서 북한 해커가 사이버 공격을 단행했다고 주장했다. 그는 "북한은 지난 10 년 동안 크게 불확실한 행동을 보였으며, 더 심각한 악의적 행동은 행하고 있다 .워너크라이는 무분별하게 무모했다"라고 표현했다. 영국의 보안 장관 벤 월리스도 지난 10월 BBC 라디오 인터뷰에서 워크크라이의 배후로 북한을 언급했다. 그러나 북한 측은 이를 "근거 없는 추측"이라고 비난하며 자국에 대한 제재를 강화하려는 "사악한 시도"라고 주장했다. 현재 결정적이라고 할 만한 증거를 제시한 이들은 없다. 누구의 말을 어디까지 믿을 수 있을까? 독립 보안 분석가는 그래험 클루리는 컴퓨터월드 UK와의 인터뷰에서 "미국과 북한 사이의 험악한 기류 속에서 이러한 주장이 제기되고 있는지, 이러한 주장을 촉발시키는 것이 무엇인지에 대해 생각할 필요가 있다. 정말로 북한이었을까? 단언하기 어렵다. 권력층에서 정보를 숨기고 있다. 자칫 오판하기 십상이다"라고 말했다. 그는 이어 "한 가지 확실한 점이 있다. 북학이 워너크라이를 통해 돈을 벌려고 한 것이라면 완전한 실패에 가깝다는 것"이라고 덧붙였다. 보안 소프트웨어 기업 트립와이어(Tripwire)의 제품 관리 및 전략 부사장인 팀 에린 역시 미국 측의 주장을 전적으로 믿기 어렵다는 의견을 제시했다. 그는 "사이버 공격의 출처를 정확히 파악하기란 늘 어려운 일이다. 결정적인 증거가 공유되지 않는 경우라면 더욱 그렇다. 오늘날 미국 정부의 주장은 전적으로 신뢰받지 않는 경향이 있으며, 이는 그리 놀라운 일이 아니다"라고 말했다. 에린은 북한이 배후 조직이라는 주장이 힘을 얻기 위해서는 좀더 상세한 설명이 요구된다고 전했다. 그는 "신뢰할 수 있는 결과물을 개발할 수 있...

미국 북한 워너크라이 배후

2017.12.21

백악관이 지난 5월의 워크크라이 공격 배후로 북한을 공식 지목했다. 도널드 트럼프의 미 국토 안보 보좌관인 톰 보세트는 월 스트리트 저널에서 북한 해커가 사이버 공격을 단행했다고 주장했다. 그는 "북한은 지난 10 년 동안 크게 불확실한 행동을 보였으며, 더 심각한 악의적 행동은 행하고 있다 .워너크라이는 무분별하게 무모했다"라고 표현했다. 영국의 보안 장관 벤 월리스도 지난 10월 BBC 라디오 인터뷰에서 워크크라이의 배후로 북한을 언급했다. 그러나 북한 측은 이를 "근거 없는 추측"이라고 비난하며 자국에 대한 제재를 강화하려는 "사악한 시도"라고 주장했다. 현재 결정적이라고 할 만한 증거를 제시한 이들은 없다. 누구의 말을 어디까지 믿을 수 있을까? 독립 보안 분석가는 그래험 클루리는 컴퓨터월드 UK와의 인터뷰에서 "미국과 북한 사이의 험악한 기류 속에서 이러한 주장이 제기되고 있는지, 이러한 주장을 촉발시키는 것이 무엇인지에 대해 생각할 필요가 있다. 정말로 북한이었을까? 단언하기 어렵다. 권력층에서 정보를 숨기고 있다. 자칫 오판하기 십상이다"라고 말했다. 그는 이어 "한 가지 확실한 점이 있다. 북학이 워너크라이를 통해 돈을 벌려고 한 것이라면 완전한 실패에 가깝다는 것"이라고 덧붙였다. 보안 소프트웨어 기업 트립와이어(Tripwire)의 제품 관리 및 전략 부사장인 팀 에린 역시 미국 측의 주장을 전적으로 믿기 어렵다는 의견을 제시했다. 그는 "사이버 공격의 출처를 정확히 파악하기란 늘 어려운 일이다. 결정적인 증거가 공유되지 않는 경우라면 더욱 그렇다. 오늘날 미국 정부의 주장은 전적으로 신뢰받지 않는 경향이 있으며, 이는 그리 놀라운 일이 아니다"라고 말했다. 에린은 북한이 배후 조직이라는 주장이 힘을 얻기 위해서는 좀더 상세한 설명이 요구된다고 전했다. 그는 "신뢰할 수 있는 결과물을 개발할 수 있...

2017.12.21

박승남의 畵潭 | 대포와 미사일

최근 한반도 주변의 군사적 긴장감이 높아지면서, 대한민국에 대한 중대 위협요소로 북한의 장사정포가 거론되곤 합니다. 이에 대한 우리는 탄도미사일 등을 동원한 대응책을 준비하고 있습니다. 이 대포와 미사일을 보면서, 남북 간의 전략적 차이가 느껴집니다. 북한은 양적 전략, 대한민국은 질적 전략. 대포는 모든 변수를 고정해서 발사합니다. 거리, 풍향, 풍속 심지어 목표 지점도 고정이 되어있습니다. 쏘고 나서는 변경이 불가능한 일수불퇴이기 때문에 이동하는 목표에 대하여 맞추기가 어렵습니다. 주로 고정적인 대규모의 목표에 적합한 무기입니다. 미사일은 이런 변수들을 고려해서 발사하지만, 이동하면서 계속 항로를 변경합니다. 목표가 이동하여도 추적하여 맞춥니다. 비교적 적은 수를 목표로 하지만, 이동하는 목표도 정확히 타격할 수 있는 무기입니다. 흔히 급변하는 비즈니스 환경이라고 합니다. 비즈니스뿐 아니라 기술, 인력, 환경, 정치 등등 모든 변수가 빠르게 움직이고 있습니다. 이런 변화하는 환경에서 우리의 사업 전략이나 좁게는 프로젝트 방법론이 대포에서 미사일로 옮겨져야 하지 않나 하는 생각이 듭니다. 물론 대포와 같은 스타일로 접근해야 하는 것들이 아직 많이 있습니다. 철저하게 사전 조사하고, 타당성 분석하고, 소요 인력과 예산에 대하여 검증하고, 시뮬레이션 해야 성공할 수 있는 분야들이 존재합니다. 하지만 점차 미사일과 같이 먼저 시작하고 주변 요소의 변화를 반영하면서 목표에 접근해야 하는 분야가 점점 늘어나고 있다고 생각합니다. 이런 변화들은, IT분야 경우 사용량을 예측해서 시스템을 도입/구축하던 방식에서, 변화하는 수요량에 유연하게 대처하기 위하여 클라우드 형태의 서비스로 진화하고 있는 것에서도 느낄 수가 있습니다. 사업 전략에서는 어떨까요? 우버나 에어비앤비가 수요자, 공급자, 초기 투자예산, 비용, 예상 수익률을 정확히 예측하고 사업타당성을 모두 검증하고 나서 사업을 시작했을까요? 저는 이 사업들이 일단 비...

CIO 군사력 장사정포 천궁 미사일 대포 박승남 IT환경 유연성 북한 속도 목표 전략 타당성

2017.05.10

최근 한반도 주변의 군사적 긴장감이 높아지면서, 대한민국에 대한 중대 위협요소로 북한의 장사정포가 거론되곤 합니다. 이에 대한 우리는 탄도미사일 등을 동원한 대응책을 준비하고 있습니다. 이 대포와 미사일을 보면서, 남북 간의 전략적 차이가 느껴집니다. 북한은 양적 전략, 대한민국은 질적 전략. 대포는 모든 변수를 고정해서 발사합니다. 거리, 풍향, 풍속 심지어 목표 지점도 고정이 되어있습니다. 쏘고 나서는 변경이 불가능한 일수불퇴이기 때문에 이동하는 목표에 대하여 맞추기가 어렵습니다. 주로 고정적인 대규모의 목표에 적합한 무기입니다. 미사일은 이런 변수들을 고려해서 발사하지만, 이동하면서 계속 항로를 변경합니다. 목표가 이동하여도 추적하여 맞춥니다. 비교적 적은 수를 목표로 하지만, 이동하는 목표도 정확히 타격할 수 있는 무기입니다. 흔히 급변하는 비즈니스 환경이라고 합니다. 비즈니스뿐 아니라 기술, 인력, 환경, 정치 등등 모든 변수가 빠르게 움직이고 있습니다. 이런 변화하는 환경에서 우리의 사업 전략이나 좁게는 프로젝트 방법론이 대포에서 미사일로 옮겨져야 하지 않나 하는 생각이 듭니다. 물론 대포와 같은 스타일로 접근해야 하는 것들이 아직 많이 있습니다. 철저하게 사전 조사하고, 타당성 분석하고, 소요 인력과 예산에 대하여 검증하고, 시뮬레이션 해야 성공할 수 있는 분야들이 존재합니다. 하지만 점차 미사일과 같이 먼저 시작하고 주변 요소의 변화를 반영하면서 목표에 접근해야 하는 분야가 점점 늘어나고 있다고 생각합니다. 이런 변화들은, IT분야 경우 사용량을 예측해서 시스템을 도입/구축하던 방식에서, 변화하는 수요량에 유연하게 대처하기 위하여 클라우드 형태의 서비스로 진화하고 있는 것에서도 느낄 수가 있습니다. 사업 전략에서는 어떨까요? 우버나 에어비앤비가 수요자, 공급자, 초기 투자예산, 비용, 예상 수익률을 정확히 예측하고 사업타당성을 모두 검증하고 나서 사업을 시작했을까요? 저는 이 사업들이 일단 비...

2017.05.10

카스퍼스키 랩 "은행 연쇄 해킹 집단, 북한 IP 사용했다"

최근 은행을 해킹해 돈을 빼가는 사이버 범죄가 연쇄적으로 발생하는 가운데, 한 보안 업체가 이 해커 집단의 정체를 밝힐 단서를 발견했다고 주장했다. '라자러스 그룹(Lazarus Group)'으로 불리는 이들 해커 집단은 지난 2월 방글라데시 중앙 은행에서 스위프트(SWIFT) 소프트웨어를 이용해 8100만 달러를 빼내는 등 일련의 해킹 사건의 배후로 거론되고 있다. 이런 가운데 보안 업체 카스퍼스키 랩(Kaspersky Lab)은 이 해커 집단이 최근 심각한 실수를 저질렀다고 3일 밝혔다. 유럽에서 해킹을 시도하면서 서버의 로그를 삭제하는 데 실패한 것이다. 이 로그를 보면 북한 IP 주소를 이용해 서버에 접속했음을 알 수 있다. 북한은 인터넷 접속이 매우 제한돼 있다는 것을 고려하면 매우 이례적인 것이다. 이 IP 주소는 라자러스 그룹이 북한과 밀접하게 관련돼 있음을 보여주는 새로운 증거이다. 카스퍼스키 랩은 지난해에도 비슷한 분석을 내놓은 바 있다. 2014년 소니 해킹에 사용된 코딩 기술과 은행 해킹에 사용된 것 사이에 유사성이 있다는 것이다. 소니 해킹 사건 당시 미국 정부는 북한의 소행이라고 비난한 바 있다. 카스퍼스키 랩은 자사 블로그를 통해, 복구한 서버 로그를 보면 북한과 라자러스 간의 직접적인 연결을 볼 수 있다고 주장했다. 또한 라자러스는 은행 외에도 카지노와 금융 솔루션 업체, 디지털 통화 전문업체 등을 해킹 대상으로 주목해 왔다고 밝혔다. 라자러스가 서버 로그를 삭제하지 못한 것은 암호통화인 '모네로(Monero)'를 생성하는 소프트웨어를 설치했기 때문으로 보인다. 카스퍼스키 랩 측은 "이 소프트웨어는 시스템 자원을 극단적으로 많이 사용해 시스템 전체가 응답하지 못하는 상태가 됐다"라고 설명했다. 그러나 카스퍼스키 랩은 라자러스의 범죄 활동의 배후에 북한 정부가 있다고 단정하지는 않았다. 업체는 "아직은 추론 단계이다. 다른 연구자들처럼 우리도...

해킹 은행 북한 카스퍼스키 랩 라자러스 Lazarus

2017.04.04

최근 은행을 해킹해 돈을 빼가는 사이버 범죄가 연쇄적으로 발생하는 가운데, 한 보안 업체가 이 해커 집단의 정체를 밝힐 단서를 발견했다고 주장했다. '라자러스 그룹(Lazarus Group)'으로 불리는 이들 해커 집단은 지난 2월 방글라데시 중앙 은행에서 스위프트(SWIFT) 소프트웨어를 이용해 8100만 달러를 빼내는 등 일련의 해킹 사건의 배후로 거론되고 있다. 이런 가운데 보안 업체 카스퍼스키 랩(Kaspersky Lab)은 이 해커 집단이 최근 심각한 실수를 저질렀다고 3일 밝혔다. 유럽에서 해킹을 시도하면서 서버의 로그를 삭제하는 데 실패한 것이다. 이 로그를 보면 북한 IP 주소를 이용해 서버에 접속했음을 알 수 있다. 북한은 인터넷 접속이 매우 제한돼 있다는 것을 고려하면 매우 이례적인 것이다. 이 IP 주소는 라자러스 그룹이 북한과 밀접하게 관련돼 있음을 보여주는 새로운 증거이다. 카스퍼스키 랩은 지난해에도 비슷한 분석을 내놓은 바 있다. 2014년 소니 해킹에 사용된 코딩 기술과 은행 해킹에 사용된 것 사이에 유사성이 있다는 것이다. 소니 해킹 사건 당시 미국 정부는 북한의 소행이라고 비난한 바 있다. 카스퍼스키 랩은 자사 블로그를 통해, 복구한 서버 로그를 보면 북한과 라자러스 간의 직접적인 연결을 볼 수 있다고 주장했다. 또한 라자러스는 은행 외에도 카지노와 금융 솔루션 업체, 디지털 통화 전문업체 등을 해킹 대상으로 주목해 왔다고 밝혔다. 라자러스가 서버 로그를 삭제하지 못한 것은 암호통화인 '모네로(Monero)'를 생성하는 소프트웨어를 설치했기 때문으로 보인다. 카스퍼스키 랩 측은 "이 소프트웨어는 시스템 자원을 극단적으로 많이 사용해 시스템 전체가 응답하지 못하는 상태가 됐다"라고 설명했다. 그러나 카스퍼스키 랩은 라자러스의 범죄 활동의 배후에 북한 정부가 있다고 단정하지는 않았다. 업체는 "아직은 추론 단계이다. 다른 연구자들처럼 우리도...

2017.04.04

지정학적 사이버보안 위협 큰 나라 '러시아·중국·미국'

플래시포인트(Flashpoint)가 발표한 보고서에 따르면, 러시아와 중국은 좀더 진일보한 사이버보안 역량을 보유하고 있으며 심각한 영향을 받을 가능성이 높은 것으로 파악됐다. 하지만 미국과 그 동맹국은 세계 안보 문제를 제기하는 것으로 나타났다. 플래시포인트에서 동아시아 연구 담당 이사 겸 애널리스트인 존 콘드라는 이 회사가 2010년 반테러에 중점을 두고 시작했지만 점차 사이버보안을 포함한 위협 평가를 확대했다고 밝혔다. 이 보고서는 플래시포인트가 적대적인 집단에서 갖는 존재감과 상호작용을 기반으로 하고 있으며, 올해의 사이버 보안에 영향을 줄 수 있는 글로벌 지정학적 환경 요소를 검토했다. 한 가지 흥미로운 추세는 사이버 범죄와 정치적 동기가 있는 공격에서 러시아가 공격적으로 변해가고 있는 반면 중국은 축소되고 있다는 점이다. 지난해 중국과 미국은 2015년에 서명한 사이버보안 협정을 이행하기 위한 조처를 하기 시작했다. 콘드라는 "모든 사람이 의심했지만, 대부분의 경우 미국을 겨냥한 중국의 첩보 활동이 감소한 것으로 보인다"고 분석했다. 이어서 “특히 산업 스파이 활동이 감소했다. 대신 자국의 사이버 환경에 대한 통제 수준을 높이고 있다"고 밝혔다. 예를 들어, 중국 정부는 1만 5,000명의 사이버 범죄자를 체포했는데 여기에는 미국 정부의 직접적인 촉구도 일부를 포함돼 있었다. 그렇다고 중국이 이러한 행동을 완전히 정리하기로 한 것은 아니다. 그는 "사이버범죄를 단속하라는 상당한 내부 압력이 중국에 있다고 생각한다"고 말했다. 미국과 4대 주요 영어권 국가인 영국, 캐나다, 호주, 뉴질랜드도 사이버보안 위협 목록을 작성하고 있다. 뉴질랜드가 세계적인 사이버 위협의 주요인이라는 의미는 아니지만, 이 5개국은 주요 글로벌 세력으로 간주됐다. 콘드라는 "첩보 행위와 파괴 행위 모두에서 사이버 능력의 정점에 있기 때문에 이 5개국들을 포함하려...

중국 플래시포인트 북한 러시아 사이버공격 사이버보안 위협 미국 CISO CSO 지정학적 환경

2017.01.12

플래시포인트(Flashpoint)가 발표한 보고서에 따르면, 러시아와 중국은 좀더 진일보한 사이버보안 역량을 보유하고 있으며 심각한 영향을 받을 가능성이 높은 것으로 파악됐다. 하지만 미국과 그 동맹국은 세계 안보 문제를 제기하는 것으로 나타났다. 플래시포인트에서 동아시아 연구 담당 이사 겸 애널리스트인 존 콘드라는 이 회사가 2010년 반테러에 중점을 두고 시작했지만 점차 사이버보안을 포함한 위협 평가를 확대했다고 밝혔다. 이 보고서는 플래시포인트가 적대적인 집단에서 갖는 존재감과 상호작용을 기반으로 하고 있으며, 올해의 사이버 보안에 영향을 줄 수 있는 글로벌 지정학적 환경 요소를 검토했다. 한 가지 흥미로운 추세는 사이버 범죄와 정치적 동기가 있는 공격에서 러시아가 공격적으로 변해가고 있는 반면 중국은 축소되고 있다는 점이다. 지난해 중국과 미국은 2015년에 서명한 사이버보안 협정을 이행하기 위한 조처를 하기 시작했다. 콘드라는 "모든 사람이 의심했지만, 대부분의 경우 미국을 겨냥한 중국의 첩보 활동이 감소한 것으로 보인다"고 분석했다. 이어서 “특히 산업 스파이 활동이 감소했다. 대신 자국의 사이버 환경에 대한 통제 수준을 높이고 있다"고 밝혔다. 예를 들어, 중국 정부는 1만 5,000명의 사이버 범죄자를 체포했는데 여기에는 미국 정부의 직접적인 촉구도 일부를 포함돼 있었다. 그렇다고 중국이 이러한 행동을 완전히 정리하기로 한 것은 아니다. 그는 "사이버범죄를 단속하라는 상당한 내부 압력이 중국에 있다고 생각한다"고 말했다. 미국과 4대 주요 영어권 국가인 영국, 캐나다, 호주, 뉴질랜드도 사이버보안 위협 목록을 작성하고 있다. 뉴질랜드가 세계적인 사이버 위협의 주요인이라는 의미는 아니지만, 이 5개국은 주요 글로벌 세력으로 간주됐다. 콘드라는 "첩보 행위와 파괴 행위 모두에서 사이버 능력의 정점에 있기 때문에 이 5개국들을 포함하려...

2017.01.12

'해커를 알면 사이버 공격이 보인다' 왜? 어떻게?

해커가 누구며 이들이 무엇을 원하는지 아는 것은 네트워크 보안 침해의 영향을 최소화하는 열쇠다. 보안 전문가들이 해커를 식별하는 데 사용하는 방법을 소개한다. Credit: Pixabay 다음과 같은 상황을 상상해보자. 회사 네트워크가 디도스 공격을 받는 상황인데, 공격자가 누구인지, 왜 이런 짓을 하는지 아무런 정보가 없다. 이런 정보 없이는 공격을 멈추는 대가로 금전을 원하는 것인지, 아니면 보안팀의 주의를 한쪽으로 끌고 그 틈을 타 네트워크에 침투해 중요 정보를 훔쳐가려는 것인지, 해커가 정확히 무엇을 노리는지 파악할 수 없다. 그뿐만 아니라, 네트워크 공격 직후에는 공격자에 관한 정보를 조금이라도 알고 있는 것이 큰 도움이 될 수 있다. 이들이 누구인지, 어디에 소속되어 있는지만 알아도 훨씬 정확하게 공격의 영향을 예상할 수 있기 때문이다. 특히 데이터가 유출된 위치나, 해커가 남겨두고 갔을 수 있는 트로이 목마 바이러스나 익스플로잇 키트의 존재를 파악하는 데도 이러한 정보가 필요하다. 또 공격자의 신원을 알면 공격의 목적이나 동기, 그리고 결과가 어떠할지에 대해서도 어느 정도 추측할 수 있다. 예를 들어, 신용카드 정보처럼 재판매가 가능한 정보라면 가리지 않고 노리는 부류도 있지만, 외국 정부 및 국가 주도 해커들의 경우처럼 특정한 정보만을 노리는 이들도 있다. 버지니아 주에 있는 보안업체 쓰렛커넥트(ThreatConnect)의 위협 지능 애널리스트 카일 엠키는 "공격자의 신원만 알아도 그의 목적과 역량, 인프라를 파악할 수 있다. 특히 공격자가 왜, 어떻게 공격을 감행했는지 아는 것은 매우 중요하다"고 말했다. 무엇보다 공격자에 대한 정보는 향후 기업의 보안 대책을 세우고 예산을 어떻게 분배할지 결정하는 데 필요하다. 예를 들어 특정 정보를 노리고 침투했으나 그 목적을 전부 다 달성하지 못하고 돌아갔다면, 이 해커들이 다시 노릴 가능성이 높은 정보나 자산 위주로 보안을 강화할 수 있을 것이다. ...

CIO Paul Rubens 블랙 햇 다크웹 분석 봇넷 디도스 북한 공격 소니 해커 FBI 해킹 Pattern of Life

2016.12.16

해커가 누구며 이들이 무엇을 원하는지 아는 것은 네트워크 보안 침해의 영향을 최소화하는 열쇠다. 보안 전문가들이 해커를 식별하는 데 사용하는 방법을 소개한다. Credit: Pixabay 다음과 같은 상황을 상상해보자. 회사 네트워크가 디도스 공격을 받는 상황인데, 공격자가 누구인지, 왜 이런 짓을 하는지 아무런 정보가 없다. 이런 정보 없이는 공격을 멈추는 대가로 금전을 원하는 것인지, 아니면 보안팀의 주의를 한쪽으로 끌고 그 틈을 타 네트워크에 침투해 중요 정보를 훔쳐가려는 것인지, 해커가 정확히 무엇을 노리는지 파악할 수 없다. 그뿐만 아니라, 네트워크 공격 직후에는 공격자에 관한 정보를 조금이라도 알고 있는 것이 큰 도움이 될 수 있다. 이들이 누구인지, 어디에 소속되어 있는지만 알아도 훨씬 정확하게 공격의 영향을 예상할 수 있기 때문이다. 특히 데이터가 유출된 위치나, 해커가 남겨두고 갔을 수 있는 트로이 목마 바이러스나 익스플로잇 키트의 존재를 파악하는 데도 이러한 정보가 필요하다. 또 공격자의 신원을 알면 공격의 목적이나 동기, 그리고 결과가 어떠할지에 대해서도 어느 정도 추측할 수 있다. 예를 들어, 신용카드 정보처럼 재판매가 가능한 정보라면 가리지 않고 노리는 부류도 있지만, 외국 정부 및 국가 주도 해커들의 경우처럼 특정한 정보만을 노리는 이들도 있다. 버지니아 주에 있는 보안업체 쓰렛커넥트(ThreatConnect)의 위협 지능 애널리스트 카일 엠키는 "공격자의 신원만 알아도 그의 목적과 역량, 인프라를 파악할 수 있다. 특히 공격자가 왜, 어떻게 공격을 감행했는지 아는 것은 매우 중요하다"고 말했다. 무엇보다 공격자에 대한 정보는 향후 기업의 보안 대책을 세우고 예산을 어떻게 분배할지 결정하는 데 필요하다. 예를 들어 특정 정보를 노리고 침투했으나 그 목적을 전부 다 달성하지 못하고 돌아갔다면, 이 해커들이 다시 노릴 가능성이 높은 정보나 자산 위주로 보안을 강화할 수 있을 것이다. ...

2016.12.16

"북한의 .KP 도메인 이용 사이트는 총 28개"

북한의 인터넷은 그리 놀랍지 않게도 그 규모가 몹시 작다. 북한 전역에 소재한 도메인은 불과한 28개인 것으로 드러났다. 전세계에는 3억 3,500만 개의 도메인이 있다. 20일 발생한 설정상의 오류로 인해 이 은둔 국가의 온라인 인프라스트럭처 정보가 외부인에게 공개됐다. 이번 오류를 감지한 주역은 TLDR 프로젝트인데, 이는 전세계 DNS 공급자 사이의 글로벌 존(global zone) 전송 요청을 자동으로 추적해 기트허브에 기록하려는 시도다. 이번에 밝혀진 정보에 따르면 '.kp'를 이용하는 북한 도메인은 28개가 있으며 대개 해외에 정보를 제공하려는 의도로 만들어진 것이었다. 내용은 서방 세계의 퇴폐성을 강조하고 북한 지도자 김정은의 업적을 홍보하는 것들이 주류다. 그러나 음식 조리법이나 북한 영화 커미션에 대한 내용도 있으며 북한 항공사인 고려항공과 마식령 스키 리조트를 안내하는 사이트도 확인할 수 있다. .kp 사이트 주소는 기트허브 링크에서 확인할 수 있지만 대한민국에서는 접속이 어렵다. 기트허브 해당 페이지에서는 사이트 주소 외에도 북한 인터넷과 관련된 여러 정보가 게재돼 있다. * 본 기사는 네트워크월드 존 골드 기자의 글을 기반으로 작성됐다. ciokr@idg.co.kr 

인터넷 도메인 북한 DNS .kp

2016.09.21

북한의 인터넷은 그리 놀랍지 않게도 그 규모가 몹시 작다. 북한 전역에 소재한 도메인은 불과한 28개인 것으로 드러났다. 전세계에는 3억 3,500만 개의 도메인이 있다. 20일 발생한 설정상의 오류로 인해 이 은둔 국가의 온라인 인프라스트럭처 정보가 외부인에게 공개됐다. 이번 오류를 감지한 주역은 TLDR 프로젝트인데, 이는 전세계 DNS 공급자 사이의 글로벌 존(global zone) 전송 요청을 자동으로 추적해 기트허브에 기록하려는 시도다. 이번에 밝혀진 정보에 따르면 '.kp'를 이용하는 북한 도메인은 28개가 있으며 대개 해외에 정보를 제공하려는 의도로 만들어진 것이었다. 내용은 서방 세계의 퇴폐성을 강조하고 북한 지도자 김정은의 업적을 홍보하는 것들이 주류다. 그러나 음식 조리법이나 북한 영화 커미션에 대한 내용도 있으며 북한 항공사인 고려항공과 마식령 스키 리조트를 안내하는 사이트도 확인할 수 있다. .kp 사이트 주소는 기트허브 링크에서 확인할 수 있지만 대한민국에서는 접속이 어렵다. 기트허브 해당 페이지에서는 사이트 주소 외에도 북한 인터넷과 관련된 여러 정보가 게재돼 있다. * 본 기사는 네트워크월드 존 골드 기자의 글을 기반으로 작성됐다. ciokr@idg.co.kr 

2016.09.21

해커들, 내년 미국 선거 겨냥할 듯… 사이버공격 전망

보안 전문가 브루스 슈나이어에 따르면, 내년 미국 대통령 선거를 앞두고 해커들이 정치 영역에 끼어들고 있다.  이미지 출처 : IDGNS 내년에는 주요 사이버공격이 미국의 선거를 겨냥할 것이라고 슈나이어는 예측했다. 사이버공격은 투표 시스템을 건드리지는 않고, 대선과 관련이 없을 지도 모르지만, 해커들에게 선거는 주나 지방의 경선에서조차 상당히 매력적인 기회라고 컴퓨터 보안 선구자이자 오랜 기간 동안 의견을 제공해 온 슈나이어는 분석했다. "미국 정치에 영향을 미칠만한 해킹이 있을 것"이라고 슈나이어는 말했다. 공격자들은 선거 운동에서 대중들에게 알리고 싶지 않은 정보를 찾아내기 위해 후보자의 웹 사이트, 이메일이나 소셜미디어 계정을 해킹할 수 있다고 그는 설명했다. 슈나이어는 17일 자신이 CTO로 일하는 사고 대응 업체인 레질리언트 시스템(Resilient Systems)의 웹캐스트에서 이같은 전망을 제시했다. 그는 해커의 공격 대상과 동기 측면, 그리고 국경을 초월한 성장 정책의 차이 측면 모두에서 데이터 보안과 개인정보 보호가 정치 영역으로 들어가는 것을 목격하고 있다고 밝혔다.   슈나이어에 따르면, 소니픽처스의 내부 이메일 유출 사건, 미국 정부와 북한과의 관계와 관련 있었던 일, 올해 사우디아라비아의 외교부가 이란 해커들을 공격했던 사건 등이 포함된다. 공격자들이 끼칠 수 있는 영향을 보면서 이러한 종류 범죄가 바뀌고 있다고 슈나이어는 말했다. 한편, 미국과 유럽은 데이터 개인정보 보호와 반대 방향으로 움직이고 있다. 올 10월 유럽연합(EU)은 충분히 강력하지 않다는 이유로 해외에 데이터를 저장하는 것에 대한 세이프 하버 협정을 거부했다. 이번 주 미국 의회는 개인정보 보호 대부분이 삭제된 사이버보안 정보 공유 법안을 통과시킬 것으로 예상된다.  법과 언론 홍보 관련 위험으로 일부 기업들은 데이터 가치 자체를 다시 생각하게 됐다고 슈나이어는 밝혔다. 이...

소셜네트워크 소니픽처스 2016년 미국 대통령 선거 정치 북한 사이버공격 미국 정부 계정 해커 이메일 전망 해킹 외교

2015.12.18

보안 전문가 브루스 슈나이어에 따르면, 내년 미국 대통령 선거를 앞두고 해커들이 정치 영역에 끼어들고 있다.  이미지 출처 : IDGNS 내년에는 주요 사이버공격이 미국의 선거를 겨냥할 것이라고 슈나이어는 예측했다. 사이버공격은 투표 시스템을 건드리지는 않고, 대선과 관련이 없을 지도 모르지만, 해커들에게 선거는 주나 지방의 경선에서조차 상당히 매력적인 기회라고 컴퓨터 보안 선구자이자 오랜 기간 동안 의견을 제공해 온 슈나이어는 분석했다. "미국 정치에 영향을 미칠만한 해킹이 있을 것"이라고 슈나이어는 말했다. 공격자들은 선거 운동에서 대중들에게 알리고 싶지 않은 정보를 찾아내기 위해 후보자의 웹 사이트, 이메일이나 소셜미디어 계정을 해킹할 수 있다고 그는 설명했다. 슈나이어는 17일 자신이 CTO로 일하는 사고 대응 업체인 레질리언트 시스템(Resilient Systems)의 웹캐스트에서 이같은 전망을 제시했다. 그는 해커의 공격 대상과 동기 측면, 그리고 국경을 초월한 성장 정책의 차이 측면 모두에서 데이터 보안과 개인정보 보호가 정치 영역으로 들어가는 것을 목격하고 있다고 밝혔다.   슈나이어에 따르면, 소니픽처스의 내부 이메일 유출 사건, 미국 정부와 북한과의 관계와 관련 있었던 일, 올해 사우디아라비아의 외교부가 이란 해커들을 공격했던 사건 등이 포함된다. 공격자들이 끼칠 수 있는 영향을 보면서 이러한 종류 범죄가 바뀌고 있다고 슈나이어는 말했다. 한편, 미국과 유럽은 데이터 개인정보 보호와 반대 방향으로 움직이고 있다. 올 10월 유럽연합(EU)은 충분히 강력하지 않다는 이유로 해외에 데이터를 저장하는 것에 대한 세이프 하버 협정을 거부했다. 이번 주 미국 의회는 개인정보 보호 대부분이 삭제된 사이버보안 정보 공유 법안을 통과시킬 것으로 예상된다.  법과 언론 홍보 관련 위험으로 일부 기업들은 데이터 가치 자체를 다시 생각하게 됐다고 슈나이어는 밝혔다. 이...

2015.12.18

"미 NSA, 북한 네트워크에서 소니 공격 증거 확인" 뉴욕 타임즈

미국 NSA(National Security Agency)rk 수 년 동안 북한 네트워크 내에 비밀 거점을 갖고 있었으며 거기에서 소니 픽처스 엔터테인먼트 공격의 흔적을 보았다고 뉴욕타임스가 18일 보도했다. 뉴욕타임스는 독일 언론 슈피겔(Der Spiegel)에서 미국과 외국 전 공무원들이 폭로한 새로운 NSA 문서를 인용하며 "NSA는 적어도 북한 내 네트워크와 주로 중국과 말레이시아 내에서 활동하고 있는 북한 해커들에 침입하기 위해 4년 전부터 일하고 있었다"고 전했다. 한편 이번 폭로는 왜 미국이 그렇게 빨리 북한을 지목할 수 있었는 지를 설명하는 것으로 풀이된다. 또북한 공격설에 대해 회의론이 확산됨에도 불구하고 미국이 증거를 제시하지 않은 이유도 일부 설명한다. 뉴욕타임스는 이번 수사에 참여한 바 있는 이의 말을 인용해 "이 해커들은 말할 수 없이 신중하고 인내력이 있었다"고 보도했다. 미국은 12월 중순 북한을 비난한 후, 어떤 증거가 있는 지에 대해서는 침묵했다. 1월 2일 미 대통령 버락 오바마가 정식으로 북한에 대한 제재 조치를 승인하면서 수년간 북한에 스파이를 두고 있었다고 언급했을 뿐이다. 미국이 사이버공격에 대해 직접적으로 다른 국가를 비난한 것은 이번이 두번째다. 첫번째 법적 행동을 취한 것은 2014년 5월로, 미 연방 검사가 8년이 넘도록 미국 조직들에게서 기업 비밀을 훔쳐간 5명의 중국군을 기소한 것이다. 이 고소에 대해 중국은 응하지 않고 있다. FBI 국장 제임스 코미는 1월 7일 소니 공격에 대한 더많은 실마리를 제공했다. 코미는 "해커들은 자신들의 IP 주소를 지우는데 실패했다. 이는 이 해커들이 소니 종사자들에게 보낸 일부 이메일에서 북한에서 사용되는 인터넷 망을 사용함으로써 드러났다"고 말했다. ciokr@idg.co.kr

소니 NSA 북한

2015.01.20

미국 NSA(National Security Agency)rk 수 년 동안 북한 네트워크 내에 비밀 거점을 갖고 있었으며 거기에서 소니 픽처스 엔터테인먼트 공격의 흔적을 보았다고 뉴욕타임스가 18일 보도했다. 뉴욕타임스는 독일 언론 슈피겔(Der Spiegel)에서 미국과 외국 전 공무원들이 폭로한 새로운 NSA 문서를 인용하며 "NSA는 적어도 북한 내 네트워크와 주로 중국과 말레이시아 내에서 활동하고 있는 북한 해커들에 침입하기 위해 4년 전부터 일하고 있었다"고 전했다. 한편 이번 폭로는 왜 미국이 그렇게 빨리 북한을 지목할 수 있었는 지를 설명하는 것으로 풀이된다. 또북한 공격설에 대해 회의론이 확산됨에도 불구하고 미국이 증거를 제시하지 않은 이유도 일부 설명한다. 뉴욕타임스는 이번 수사에 참여한 바 있는 이의 말을 인용해 "이 해커들은 말할 수 없이 신중하고 인내력이 있었다"고 보도했다. 미국은 12월 중순 북한을 비난한 후, 어떤 증거가 있는 지에 대해서는 침묵했다. 1월 2일 미 대통령 버락 오바마가 정식으로 북한에 대한 제재 조치를 승인하면서 수년간 북한에 스파이를 두고 있었다고 언급했을 뿐이다. 미국이 사이버공격에 대해 직접적으로 다른 국가를 비난한 것은 이번이 두번째다. 첫번째 법적 행동을 취한 것은 2014년 5월로, 미 연방 검사가 8년이 넘도록 미국 조직들에게서 기업 비밀을 훔쳐간 5명의 중국군을 기소한 것이다. 이 고소에 대해 중국은 응하지 않고 있다. FBI 국장 제임스 코미는 1월 7일 소니 공격에 대한 더많은 실마리를 제공했다. 코미는 "해커들은 자신들의 IP 주소를 지우는데 실패했다. 이는 이 해커들이 소니 종사자들에게 보낸 일부 이메일에서 북한에서 사용되는 인터넷 망을 사용함으로써 드러났다"고 말했다. ciokr@idg.co.kr

2015.01.20

"NSA, 제3자 맬웨어 해킹해 재활용하기도" 獨 슈피겔 보도

독자적으로 개발한 디지털 무기만 이용한 것이 아니었다. 미 NSA(National Security Agency)는 제 3자가 개발한 맬웨어를 하이재킹해 재활용하기도 한 것으로 드러났다. 독일 시사주간지 슈피겔은 지난 18일 NSA가 제 3자의 봇넷에 독자적인 맬웨어를 삽입해 전세계 인터넷을 감시하기도 했다고 보도했다. 코드명 퀀텀봇(Quantumbot)이라는 기술을 통해서였다. 에드워드 스노든이 누출하고 슈피겔이 발간한 비밀 문서 중 하나에는 'DEFIANTWARRIOR'이라는 이름의 NSA 프로그램에 대한 내용이 포함돼 있다. 이는 봇넷 컴퓨터를 하이재킹하고 이를 'pervasive network analysis vantage points'로 활용하는 프로그램이다. 좀더 구체적 설명하면 사이버 범죄자들이 감염시킨 컴퓨터에 대해 NSA가 독자적인 맬웨어를 추가 배치함으로써, 이들 감염 컴퓨터를 활용하도록 했다는 것이다. 이 밖에 폭로 문서에 따르면 이 프로그램은 해외 컴퓨터를 대상으로만 진행됐으며, 미국 내에 기반한 봇의 경우 FBI 피해자 지원부(Office of Victim Assistance)로 보고됐다. NSA는 또 써드 파티 맬웨어, 특히 해외 정보기관이 개발한 맬웨어에 의해 강탈된 데이터를 수집하고 가로채기도 했다는 보도다. 이 기법은 '제 4자 수집'(fourth party collection)이라고 명명됐다. 슈피겔 보도에 따르면 NSA 근로자의 계정 정보를 담은 한 비밀 문서의 경우, 북한을 대상으로 한 대한민국의 CNE(computer network exploitation)에 NSA가 어떻게 침투했는지 묘사하고 있었다. 즉 NSA는 북한 정보 기관을 감시하는 대한민국 정보 기관을 감시했다는 것이다. * 본 기사는 IDG 뉴스 서비스 루션 콘스탄틴 기자의 글을 기반으로 작성된 것이다. ciokr@idg.co.kr  

해킹 맬웨어 NSA 북한 정보기관 스노든

2015.01.20

독자적으로 개발한 디지털 무기만 이용한 것이 아니었다. 미 NSA(National Security Agency)는 제 3자가 개발한 맬웨어를 하이재킹해 재활용하기도 한 것으로 드러났다. 독일 시사주간지 슈피겔은 지난 18일 NSA가 제 3자의 봇넷에 독자적인 맬웨어를 삽입해 전세계 인터넷을 감시하기도 했다고 보도했다. 코드명 퀀텀봇(Quantumbot)이라는 기술을 통해서였다. 에드워드 스노든이 누출하고 슈피겔이 발간한 비밀 문서 중 하나에는 'DEFIANTWARRIOR'이라는 이름의 NSA 프로그램에 대한 내용이 포함돼 있다. 이는 봇넷 컴퓨터를 하이재킹하고 이를 'pervasive network analysis vantage points'로 활용하는 프로그램이다. 좀더 구체적 설명하면 사이버 범죄자들이 감염시킨 컴퓨터에 대해 NSA가 독자적인 맬웨어를 추가 배치함으로써, 이들 감염 컴퓨터를 활용하도록 했다는 것이다. 이 밖에 폭로 문서에 따르면 이 프로그램은 해외 컴퓨터를 대상으로만 진행됐으며, 미국 내에 기반한 봇의 경우 FBI 피해자 지원부(Office of Victim Assistance)로 보고됐다. NSA는 또 써드 파티 맬웨어, 특히 해외 정보기관이 개발한 맬웨어에 의해 강탈된 데이터를 수집하고 가로채기도 했다는 보도다. 이 기법은 '제 4자 수집'(fourth party collection)이라고 명명됐다. 슈피겔 보도에 따르면 NSA 근로자의 계정 정보를 담은 한 비밀 문서의 경우, 북한을 대상으로 한 대한민국의 CNE(computer network exploitation)에 NSA가 어떻게 침투했는지 묘사하고 있었다. 즉 NSA는 북한 정보 기관을 감시하는 대한민국 정보 기관을 감시했다는 것이다. * 본 기사는 IDG 뉴스 서비스 루션 콘스탄틴 기자의 글을 기반으로 작성된 것이다. ciokr@idg.co.kr  

2015.01.20

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9