Offcanvas

������

다중 인증 했는데도 털렸다? 눈 뜨고 코 베이는 ‘MFA 피로’ 공격

자격증명 손상(Credential compromise)은 오랫동안 네트워크 보안 침해의 주요 원인 중 하나였다. 이에 따라 많은 기업에서 방어 수단으로 다중 인증(MFA)을 사용하고 있다. 모든 계정에 MFA를 활성화하는 게 가장 좋다. 하지만 공격자도 이를 우회할 방법을 찾고 있다.   인기 있는 (우회) 방법 중 하나는 자격증명이 손상된 직원에게 (해당 직원이) 짜증 나서 인증 앱을 통해 요청을 승인할 때까지 스팸처럼 MFA 인증 요청을 보내는 것이다. 이는 ‘MFA 피로(MFA fatigue)’라고 알려져 있으며, 최근의 우버 해킹에서도 사용된 간단하면서 효과적인 기법이다.    우버, 랩서스 그리고… 지난주 우버가 (또다시) 해킹을 당했다. 한 해커가 지스위트(G-Suite), 슬랙(Slack), 오픈DNS(OpenDNS), 해커원(HackerOne) 버그 현상금 플랫폼 등 우버의 몇몇 내부 시스템에 액세스한 것이다.  우버의 보안 연구원 케빈 비오몬트가 트위터에서 이번 사건이 자신의 소행이라고 주장한 해커와 나눈 대화를 공개했는데, 해당 해커는 다음과 같이 밝혔다. “[한] 직원에게 인증을 요청하는 푸시 알림을 1시간 넘게 반복적으로 보냈다. 그리고 왓츠앱(WhatsApp)으로 우버의 IT 부서라고 연락했다. 팝업창을 멈추고 싶다면 수락해야 한다고 말하자 그는 이를 수락했고, 내 장치를 추가할 수 있었다.” 이후 우버는 보안 사고 업데이트에서 피해자가 우버의 외부 계약자였으며, 기기가 맬웨어에 감염된 후 우버 자격증명을 도난당했다고 밝혔다. 이 회사는 해커가 다크웹에서 자격증명을 구매하고, MFA 피로 공격을 시도한 것이라고 분석했다.  이어 “공격자는 해당 계약자(피해자)의 우버 계정에 반복적으로 로그인을 시도했다. 그때마다 계약자는 2단계 로그인 승인 요청을 받았다. 처음에는 액세스가 차단됐지만 결국 계약자가 이를 수락했고, 공격자는 로그인에 성공했다”라고 회사 측은 설명했다.  아...

해킹 보안 침해 다중 인증 다단계 인증 MFA 자격증명 손상 MFA 피로 랩서스 우버 사회 공학

5일 전

자격증명 손상(Credential compromise)은 오랫동안 네트워크 보안 침해의 주요 원인 중 하나였다. 이에 따라 많은 기업에서 방어 수단으로 다중 인증(MFA)을 사용하고 있다. 모든 계정에 MFA를 활성화하는 게 가장 좋다. 하지만 공격자도 이를 우회할 방법을 찾고 있다.   인기 있는 (우회) 방법 중 하나는 자격증명이 손상된 직원에게 (해당 직원이) 짜증 나서 인증 앱을 통해 요청을 승인할 때까지 스팸처럼 MFA 인증 요청을 보내는 것이다. 이는 ‘MFA 피로(MFA fatigue)’라고 알려져 있으며, 최근의 우버 해킹에서도 사용된 간단하면서 효과적인 기법이다.    우버, 랩서스 그리고… 지난주 우버가 (또다시) 해킹을 당했다. 한 해커가 지스위트(G-Suite), 슬랙(Slack), 오픈DNS(OpenDNS), 해커원(HackerOne) 버그 현상금 플랫폼 등 우버의 몇몇 내부 시스템에 액세스한 것이다.  우버의 보안 연구원 케빈 비오몬트가 트위터에서 이번 사건이 자신의 소행이라고 주장한 해커와 나눈 대화를 공개했는데, 해당 해커는 다음과 같이 밝혔다. “[한] 직원에게 인증을 요청하는 푸시 알림을 1시간 넘게 반복적으로 보냈다. 그리고 왓츠앱(WhatsApp)으로 우버의 IT 부서라고 연락했다. 팝업창을 멈추고 싶다면 수락해야 한다고 말하자 그는 이를 수락했고, 내 장치를 추가할 수 있었다.” 이후 우버는 보안 사고 업데이트에서 피해자가 우버의 외부 계약자였으며, 기기가 맬웨어에 감염된 후 우버 자격증명을 도난당했다고 밝혔다. 이 회사는 해커가 다크웹에서 자격증명을 구매하고, MFA 피로 공격을 시도한 것이라고 분석했다.  이어 “공격자는 해당 계약자(피해자)의 우버 계정에 반복적으로 로그인을 시도했다. 그때마다 계약자는 2단계 로그인 승인 요청을 받았다. 처음에는 액세스가 차단됐지만 결국 계약자가 이를 수락했고, 공격자는 로그인에 성공했다”라고 회사 측은 설명했다.  아...

5일 전

"2FA, 만병통치약 아니다" 우버 해킹 사건의 교훈 3가지

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

2FA 우버 개인정보보호 이중인증 다중인증 MFA 해킹 우버해킹

2022.09.22

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

2022.09.22

강은성의 보안 아키텍트ㅣ돈 되는 곳에 해킹 있다? - 천문학적 피해를 일으키는 가상자산 해킹

지난 4월 말 코엑스에서는 ‘8K 빅 픽처 인 포레스트'(8K Big Picture in FOR:REST)’라는 낯선 이름의 전시회가 열렸다.    “작가의 원화와 8K 고화질 디지털·NFT 작품을 감상”할 수 있다는 기사의 소개처럼 NFT의 주요 적용 분야 중 하나인 그림 작품을 실세계에 전시한 것이라 상당히 눈길을 끌었다. 2021년은 대체불가토큰(NFT, Non Fungible Token) 시장이 폭발적으로 성장한 한 해였다.   NFT 시장분석 사이트인 NonFungible.com에 따르면 2021년 NFT 거래는 약 177억 달러 규모로 2020년 8,250만 달러 대비 약 213배에 이른다. 가히 폭발적 성장이라 할 수 있다.  다양한 표정과 치장을 한 원숭이로 인기를 끈 ‘지루한 원숭이 요트클럽'(Bored Ape Yacht Club) 같은 프로필로부터 예술 창작품, 게임, 메타버스 등 활용되는 분야가 다양해진 덕분이다. 마케팅 수단으로 NFT를 도입하는 기업도 많이 늘었다.  돈 되는 곳에 해킹이 있듯 올해 NFT에 대한 해킹이 많이 발생했다. 블록체인 분석 기업 엘립틱(Elliptic)에 따르면 2021년 7월부터 2022년 7월까지 약 1억 달러(약 1,350억 원) 상당의 NFT가 도난당했다.  NFT가 블록체인 위에 기록되지만, 사고는 비밀번호 해킹과 피싱 같은 전통적인 방식으로 많이 일어났다. NFT 발행자가 주도하는 SNS에서 관리자의 계정 정보가 해킹되고, 그 계정으로 위장 NFT 발행 링크가 게시되어 그것을 따라간 사용자들이 자신의 지갑에 있던 NFT를 탈취당하거나 가짜 NFT에 가상자산을 사기당하는 식이다. 피싱 메일을 통해 해킹이 이뤄지기도 한다. 관리자 계정에 다단계 인증만 제대로 적용해도 많은 부분 대응할 수 있는 문제다. 가상자산에서 더 큰 피해는 블록체인 브리지에서 발생했다.    블록체인 브리지(또는 크로스체인 브리지)는 한 가상...

가상자산 블록체인 NFT 대체불가토큰 메타버스 해킹 피싱 블록체인 브리지 크로스체인 브리지 탈중앙화 금융 로닌 웜홀

2022.09.13

지난 4월 말 코엑스에서는 ‘8K 빅 픽처 인 포레스트'(8K Big Picture in FOR:REST)’라는 낯선 이름의 전시회가 열렸다.    “작가의 원화와 8K 고화질 디지털·NFT 작품을 감상”할 수 있다는 기사의 소개처럼 NFT의 주요 적용 분야 중 하나인 그림 작품을 실세계에 전시한 것이라 상당히 눈길을 끌었다. 2021년은 대체불가토큰(NFT, Non Fungible Token) 시장이 폭발적으로 성장한 한 해였다.   NFT 시장분석 사이트인 NonFungible.com에 따르면 2021년 NFT 거래는 약 177억 달러 규모로 2020년 8,250만 달러 대비 약 213배에 이른다. 가히 폭발적 성장이라 할 수 있다.  다양한 표정과 치장을 한 원숭이로 인기를 끈 ‘지루한 원숭이 요트클럽'(Bored Ape Yacht Club) 같은 프로필로부터 예술 창작품, 게임, 메타버스 등 활용되는 분야가 다양해진 덕분이다. 마케팅 수단으로 NFT를 도입하는 기업도 많이 늘었다.  돈 되는 곳에 해킹이 있듯 올해 NFT에 대한 해킹이 많이 발생했다. 블록체인 분석 기업 엘립틱(Elliptic)에 따르면 2021년 7월부터 2022년 7월까지 약 1억 달러(약 1,350억 원) 상당의 NFT가 도난당했다.  NFT가 블록체인 위에 기록되지만, 사고는 비밀번호 해킹과 피싱 같은 전통적인 방식으로 많이 일어났다. NFT 발행자가 주도하는 SNS에서 관리자의 계정 정보가 해킹되고, 그 계정으로 위장 NFT 발행 링크가 게시되어 그것을 따라간 사용자들이 자신의 지갑에 있던 NFT를 탈취당하거나 가짜 NFT에 가상자산을 사기당하는 식이다. 피싱 메일을 통해 해킹이 이뤄지기도 한다. 관리자 계정에 다단계 인증만 제대로 적용해도 많은 부분 대응할 수 있는 문제다. 가상자산에서 더 큰 피해는 블록체인 브리지에서 발생했다.    블록체인 브리지(또는 크로스체인 브리지)는 한 가상...

2022.09.13

“PLC를 무기화해 엔지니어링 워크스테이션 해킹”··· 이블 PLC 공격의 위험

제조 또는 필수 인프라 산업 설비에 대한 대부분 공격 시나리오는 PLC(Programmable Logic Controller)를 해킹해 PLC가 제어 및 자동화하는 물리적 프로세스에 간섭하는 것에 집중한다. PLC에서 악성코드를 실행하는 대표적인 방법은 엔지니어가 프로그램을 관리/배포하는 데 사용하는 워크스테이션을 먼저 해킹하는 것인데, 이는 일종의 일반통행로를 만드는 셈이다. 탈취된 PLC를 사용해 엔지니어링 워크스테이션을 해킹하면 강력한 횡적 이동을 위한 길이 생긴다.   최근 ICS(Industrial Control System) 보안 업체 클라로티(Claroty)의 연구팀은 로크웰 오토메이션(Rockwell Automation), 슈나이더 일렉트릭(Schneider Electric), GE, B&R, 진제(Xinje), 오바로(OVARRO), 에머슨(Emerson) 등 7개 ICS 제조사의 엔지니어링 소프트웨어를 겨냥한 ‘이블 PLC 공격(Evil PLC Attack)’에 대한 개념 증명을 정리한 보고서를 발간했다. 클라로티 연구팀은 “이 공격은 산업용 네트워크에서 매일 작업하는 엔지니어들, 특히 유틸리티, 전기, 상수 및 폐수, 중공업, 제조, 자동차와 같은 필수 산업에서 프로세스의 안전성과 신뢰성을 확보하기 위해 PLC를 구성하고 문제를 해결하는 엔지니어를 공격 대상으로 한다”라고 말했다.  악성 바이트코드부터 악성 메타데이터까지 PLC는 기본적으로 기계, 물리적 프로세스, 생산 라인 등을 제어하는 임베디드 컴퓨터다. 자체 CPU가 있고 제공업체의 수정사항 및 바이트코드 해석 프로그램과 함께 RTOS(Real-Time Operating System)을 실행한다. 엔지니어는 로직 코드를 작성하고 PLC 인터프리터가 이해하는 형식으로 컴파일링하고 배포하는 데 사용되는 특수 엔지니어링 소프트웨어를 통해 연결 컴퓨터에서 PLC를 모니터링 및 프로그래밍한다. PLC는 래더 로직(Ladder Logic)으로도...

PLC 해킹 워크스테이션 횡적이동

2022.08.22

제조 또는 필수 인프라 산업 설비에 대한 대부분 공격 시나리오는 PLC(Programmable Logic Controller)를 해킹해 PLC가 제어 및 자동화하는 물리적 프로세스에 간섭하는 것에 집중한다. PLC에서 악성코드를 실행하는 대표적인 방법은 엔지니어가 프로그램을 관리/배포하는 데 사용하는 워크스테이션을 먼저 해킹하는 것인데, 이는 일종의 일반통행로를 만드는 셈이다. 탈취된 PLC를 사용해 엔지니어링 워크스테이션을 해킹하면 강력한 횡적 이동을 위한 길이 생긴다.   최근 ICS(Industrial Control System) 보안 업체 클라로티(Claroty)의 연구팀은 로크웰 오토메이션(Rockwell Automation), 슈나이더 일렉트릭(Schneider Electric), GE, B&R, 진제(Xinje), 오바로(OVARRO), 에머슨(Emerson) 등 7개 ICS 제조사의 엔지니어링 소프트웨어를 겨냥한 ‘이블 PLC 공격(Evil PLC Attack)’에 대한 개념 증명을 정리한 보고서를 발간했다. 클라로티 연구팀은 “이 공격은 산업용 네트워크에서 매일 작업하는 엔지니어들, 특히 유틸리티, 전기, 상수 및 폐수, 중공업, 제조, 자동차와 같은 필수 산업에서 프로세스의 안전성과 신뢰성을 확보하기 위해 PLC를 구성하고 문제를 해결하는 엔지니어를 공격 대상으로 한다”라고 말했다.  악성 바이트코드부터 악성 메타데이터까지 PLC는 기본적으로 기계, 물리적 프로세스, 생산 라인 등을 제어하는 임베디드 컴퓨터다. 자체 CPU가 있고 제공업체의 수정사항 및 바이트코드 해석 프로그램과 함께 RTOS(Real-Time Operating System)을 실행한다. 엔지니어는 로직 코드를 작성하고 PLC 인터프리터가 이해하는 형식으로 컴파일링하고 배포하는 데 사용되는 특수 엔지니어링 소프트웨어를 통해 연결 컴퓨터에서 PLC를 모니터링 및 프로그래밍한다. PLC는 래더 로직(Ladder Logic)으로도...

2022.08.22

'기자 메일과 소셜 계정을 해킹' 사이버 스파이의 주요 먹잇감 된 언론사

2021년 이후 국가 주도의 지능형 지속 공격(Advanced Persistent Threat, APT)이 언론인과 미디어 기업에 집중되고 있다. 주공격 대상은 언론인의 업무 이메일과 소셜 미디어 계정이다. 민감한 정치적 사건이나 특정 정권에 대한 부정적 시각이 강조된 기사에 대한 추적도 이뤄지고 있다.   언론인은 스파이에게 언제나 매력적인 공격 대상이다. 언론인은 기밀 정보에 접근할 수 있고, 기업과 개인 모두에게 쉽게 신뢰받는다. 그런 면에서 미디어 구성원이라면 반드시 온라인 보안 교육을 받아야 하고, 국가 주도의 해킹 기법에 대해서 잘 알아야 한다.  보안 전문 업체 프루프포인트(Proofpoint)는 최근 보고서를 통해 중국, 북한, 이란, 터키 정부 관련 APT 집단이 언론인을 공격하고 있다고 밝혔다. 프루프포인트는 “미디어 업계 종사자는 일반인은 접근하지 못하는 정보를 볼 수 있다”라며 “언론인 이메일 계정을 적당한 시기에 해킹하면 공격자는 민감하거나 새로운 소식, 정보 출처를 획득해 필요한 정보를 얻을 수 있다. 또한 해킹한 계정으로 조작된 정보나 국가 홍보 메시지를 퍼뜨릴 수 있다. 전쟁이나 팬데믹 기간에는 가짜 정보를 제공하고 정치적으로 긴장감을 높일 수 있다”라고 설명했다.    트래킹 픽셀부터 악성코드 배포에 활용되는 언론인 메일  언론인을 공격하기 위해 해커는 APT 공격 중에서도 주로 정찰(Reconnaissance) 기법을 이용한다. 해커는 그럴듯한 미끼를 만들기 위해 공격 대상에 대한 정보를 최대한 많이 획득한다. 이 과정에서 이메일 주소를 확인하거나 악성 메시지를 열도록 유도할 수 있다.  예를 들어 공격자는 픽셀 크기의 작은 이미지를 이메일에 삽입하고 친절한 메일 내용을 담아 전송하는데, 이런 기법을 트래킹 픽셀(tracking pixel) 또는 웹 비컨(web beacon)이라고 부른다. 피해자가 이메일을 읽는 순간, 외부 IP 주소, 유저-에이전트 스트링(user-...

언론사 해킹 APT 북한

2022.07.20

2021년 이후 국가 주도의 지능형 지속 공격(Advanced Persistent Threat, APT)이 언론인과 미디어 기업에 집중되고 있다. 주공격 대상은 언론인의 업무 이메일과 소셜 미디어 계정이다. 민감한 정치적 사건이나 특정 정권에 대한 부정적 시각이 강조된 기사에 대한 추적도 이뤄지고 있다.   언론인은 스파이에게 언제나 매력적인 공격 대상이다. 언론인은 기밀 정보에 접근할 수 있고, 기업과 개인 모두에게 쉽게 신뢰받는다. 그런 면에서 미디어 구성원이라면 반드시 온라인 보안 교육을 받아야 하고, 국가 주도의 해킹 기법에 대해서 잘 알아야 한다.  보안 전문 업체 프루프포인트(Proofpoint)는 최근 보고서를 통해 중국, 북한, 이란, 터키 정부 관련 APT 집단이 언론인을 공격하고 있다고 밝혔다. 프루프포인트는 “미디어 업계 종사자는 일반인은 접근하지 못하는 정보를 볼 수 있다”라며 “언론인 이메일 계정을 적당한 시기에 해킹하면 공격자는 민감하거나 새로운 소식, 정보 출처를 획득해 필요한 정보를 얻을 수 있다. 또한 해킹한 계정으로 조작된 정보나 국가 홍보 메시지를 퍼뜨릴 수 있다. 전쟁이나 팬데믹 기간에는 가짜 정보를 제공하고 정치적으로 긴장감을 높일 수 있다”라고 설명했다.    트래킹 픽셀부터 악성코드 배포에 활용되는 언론인 메일  언론인을 공격하기 위해 해커는 APT 공격 중에서도 주로 정찰(Reconnaissance) 기법을 이용한다. 해커는 그럴듯한 미끼를 만들기 위해 공격 대상에 대한 정보를 최대한 많이 획득한다. 이 과정에서 이메일 주소를 확인하거나 악성 메시지를 열도록 유도할 수 있다.  예를 들어 공격자는 픽셀 크기의 작은 이미지를 이메일에 삽입하고 친절한 메일 내용을 담아 전송하는데, 이런 기법을 트래킹 픽셀(tracking pixel) 또는 웹 비컨(web beacon)이라고 부른다. 피해자가 이메일을 읽는 순간, 외부 IP 주소, 유저-에이전트 스트링(user-...

2022.07.20

해커로부터 스마트폰을 지키는 8가지 방법

스마트폰을 해킹당하는 것은 악몽 같은 일이다. 최악의 경우 소셜 미디어, 이메일, 쇼핑몰에 있는 개인 정보가 넘어가고, 심지어 은행에 있는 돈도 빼앗길 수 있다. 이런 상황 때문에 비밀번호를 자주 변경하고, 신용카드 사용에 제한을 두거나, 은행 및 쇼핑몰에 연락해 구매 내역을 취소하는 식의 번거로운 작업을 할 때가 많다.  소 잃고 외양간 고치기보단, 미리 대비하는 것이 언제나 낫다. 해킹당하고 나서 후회하며 보안에 관심을 가지지 말고, 지금부터 자신을 보호할 수 있는 조치를 취해보자. 다음은 해커로부터 스마트폰을 안전하게 지키기 위해 취할 수 있는 8가지 예방 조치다.      1. 비밀번호, 페이스아이디, 터치아이디 사용한다 해킹이라고 하면 보통 누군가 원격으로 악성 프로그램을 설치해서 스마트폰에 접근하는 것을 떠올린다. 물론 그럴 수도 있지만 현실은 그보다 더 지루한 과정일 수 있다. 해킹이란 누군가가 장치의 데이터에 무단으로 접근하는 일련의 과정을 말한다. 즉, 원격이 아니고 스마트폰에 물리적으로 접근하고 동의 없이 데이터에 접근했다면, 그것도 해킹당했다고 볼 수 있다.  모바일 장치의 가장 기본적인 보호는 암호, 페이스아이디, 터치아이디 같은 기능을 사용하는 것이다. 100 % 완벽하지 않지만 비밀번호나 다른 인증 수단을 적용해두면, 해커가 스마트폰을 손에 넣는다 하더라도 높은 확률로 개인 정보를 지킬 수 있다. 스마트폰에 잠금을 추가하는 것은 조금 불편하지만 해킹당하는 불편함과 비교한다면 아무것도 아니다. 2. 스마트폰을 자주 백업한다 스마트폰을 자주 백업하는 것은 여러 가지 이유로 좋다. 가령 꼭 스마트폰을 분실하거나 도난당하지 않더라도 기기 교체 시 백업을 해두면 데이터를 쉽게 이전할 수 있다.  스마트폰을 분실하거나 도난당한 경우, 사용자는 원격으로 모든 데이터에 여전히 접근할 수 있으니 안심하고 분실된 스마트폰의 데이터를 지울 수 있다. 데이터 복사본이 3개 이상 있는 게 아니라면...

스마트폰 해킹

2022.07.11

스마트폰을 해킹당하는 것은 악몽 같은 일이다. 최악의 경우 소셜 미디어, 이메일, 쇼핑몰에 있는 개인 정보가 넘어가고, 심지어 은행에 있는 돈도 빼앗길 수 있다. 이런 상황 때문에 비밀번호를 자주 변경하고, 신용카드 사용에 제한을 두거나, 은행 및 쇼핑몰에 연락해 구매 내역을 취소하는 식의 번거로운 작업을 할 때가 많다.  소 잃고 외양간 고치기보단, 미리 대비하는 것이 언제나 낫다. 해킹당하고 나서 후회하며 보안에 관심을 가지지 말고, 지금부터 자신을 보호할 수 있는 조치를 취해보자. 다음은 해커로부터 스마트폰을 안전하게 지키기 위해 취할 수 있는 8가지 예방 조치다.      1. 비밀번호, 페이스아이디, 터치아이디 사용한다 해킹이라고 하면 보통 누군가 원격으로 악성 프로그램을 설치해서 스마트폰에 접근하는 것을 떠올린다. 물론 그럴 수도 있지만 현실은 그보다 더 지루한 과정일 수 있다. 해킹이란 누군가가 장치의 데이터에 무단으로 접근하는 일련의 과정을 말한다. 즉, 원격이 아니고 스마트폰에 물리적으로 접근하고 동의 없이 데이터에 접근했다면, 그것도 해킹당했다고 볼 수 있다.  모바일 장치의 가장 기본적인 보호는 암호, 페이스아이디, 터치아이디 같은 기능을 사용하는 것이다. 100 % 완벽하지 않지만 비밀번호나 다른 인증 수단을 적용해두면, 해커가 스마트폰을 손에 넣는다 하더라도 높은 확률로 개인 정보를 지킬 수 있다. 스마트폰에 잠금을 추가하는 것은 조금 불편하지만 해킹당하는 불편함과 비교한다면 아무것도 아니다. 2. 스마트폰을 자주 백업한다 스마트폰을 자주 백업하는 것은 여러 가지 이유로 좋다. 가령 꼭 스마트폰을 분실하거나 도난당하지 않더라도 기기 교체 시 백업을 해두면 데이터를 쉽게 이전할 수 있다.  스마트폰을 분실하거나 도난당한 경우, 사용자는 원격으로 모든 데이터에 여전히 접근할 수 있으니 안심하고 분실된 스마트폰의 데이터를 지울 수 있다. 데이터 복사본이 3개 이상 있는 게 아니라면...

2022.07.11

블로그ㅣ러-중 사이버 범죄 동맹이 국제질서 위태롭게 할 수 있다

러시아의 사이버 그룹이 상호 이익을 위해 협력하길 바라며 중국의 사이버 그룹에 구애의 손짓을 건네고 있다. 하지만 이와 동시에 중국의 사이버 그룹이 녹록지 않은 상대라는 사실도 깨닫고 있다.  사이버식스길(Cybersixgill)의 ‘곰과 용(The Bear and The Dragon)’ 분석 보고서를 통해 최근 러시아와 중국의 ‘프레너미(Frenemy; 공동의 이익을 위해 손을 잡는 협력관계이면서도 경쟁적인 관계) 양상을 살펴본다.    러시아 사이버 범죄자는 돈에, 중국 사이버 범죄자는 기술에 초점을 맞춘다 사이버식스길은 두 사이버 범죄 공동체가 ‘신생 동맹’으로 보이는 것을 형성하고 있다고 밝혔다. 이는 플래시포인트 인텔리전스(Flashpoint Intelligence)에서 중국과 러시아 위협 행위자가 연결되고 있다고 언급한 지난 2021년 11월 상황을 한 단계 뛰어넘는 것이다.   두 보고서 모두 동일한 결론을 냈다. 러시아 사이버 범죄자가 중국 사이버 범죄자에게 협력에 참여하라는 구애의 손짓을 보내고 있다는 것이다. 하지만 러시아와 중국의 풍경은 사뭇 다르다. 러시아 범죄 그룹은 돈에 의해 동기 부여를 받는 반면, 중국 그룹은 ‘강력하고 정교한 해킹 집단’을 구축하는 데 중점을 두고 있다는 게 사이버식스길의 설명이다.  사이버식스길의 사이버 지정학 전문가 딜라일라 슈워츠는 “러시아 사이버 범죄자의 교묘함과 끊임없이 발전하는 수법을 고려할 때 이 전문성을 중국 위협 행위자에게 이전하는 것이 특히 우려된다. 러시아와 중국의 동맹이 계속된다면 새로운 비국가 사이버 초강대국이 등장할 수 있으며, 이는 외교적 갈등 우려나 국제질서를 불안정하게 만든다는 이유로 제어되지 않을 것”이라고 말했다. 지정학적 현실에 따른 협력 징후 러시아와 중국은 국가 차원에서 서로의 지적 재산을 노리지 않기로 지속적으로 합의하고 있다. 그 말인즉슨 양국은 외교적 관계를 유지하고 있으며, 이를 ‘한계 없는 우정(friendshi...

사이버 범죄 사이버 범죄 그룹 러시아 중국 해킹 VPN RAMP 다크넷

2022.06.29

러시아의 사이버 그룹이 상호 이익을 위해 협력하길 바라며 중국의 사이버 그룹에 구애의 손짓을 건네고 있다. 하지만 이와 동시에 중국의 사이버 그룹이 녹록지 않은 상대라는 사실도 깨닫고 있다.  사이버식스길(Cybersixgill)의 ‘곰과 용(The Bear and The Dragon)’ 분석 보고서를 통해 최근 러시아와 중국의 ‘프레너미(Frenemy; 공동의 이익을 위해 손을 잡는 협력관계이면서도 경쟁적인 관계) 양상을 살펴본다.    러시아 사이버 범죄자는 돈에, 중국 사이버 범죄자는 기술에 초점을 맞춘다 사이버식스길은 두 사이버 범죄 공동체가 ‘신생 동맹’으로 보이는 것을 형성하고 있다고 밝혔다. 이는 플래시포인트 인텔리전스(Flashpoint Intelligence)에서 중국과 러시아 위협 행위자가 연결되고 있다고 언급한 지난 2021년 11월 상황을 한 단계 뛰어넘는 것이다.   두 보고서 모두 동일한 결론을 냈다. 러시아 사이버 범죄자가 중국 사이버 범죄자에게 협력에 참여하라는 구애의 손짓을 보내고 있다는 것이다. 하지만 러시아와 중국의 풍경은 사뭇 다르다. 러시아 범죄 그룹은 돈에 의해 동기 부여를 받는 반면, 중국 그룹은 ‘강력하고 정교한 해킹 집단’을 구축하는 데 중점을 두고 있다는 게 사이버식스길의 설명이다.  사이버식스길의 사이버 지정학 전문가 딜라일라 슈워츠는 “러시아 사이버 범죄자의 교묘함과 끊임없이 발전하는 수법을 고려할 때 이 전문성을 중국 위협 행위자에게 이전하는 것이 특히 우려된다. 러시아와 중국의 동맹이 계속된다면 새로운 비국가 사이버 초강대국이 등장할 수 있으며, 이는 외교적 갈등 우려나 국제질서를 불안정하게 만든다는 이유로 제어되지 않을 것”이라고 말했다. 지정학적 현실에 따른 협력 징후 러시아와 중국은 국가 차원에서 서로의 지적 재산을 노리지 않기로 지속적으로 합의하고 있다. 그 말인즉슨 양국은 외교적 관계를 유지하고 있으며, 이를 ‘한계 없는 우정(friendshi...

2022.06.29

블로그 | 애플이 앱스토어 해킹 통계를 공개한 이유

애플이 수백만 건에 해당하는 부정행위가 매해 앱 스토어와 사용자에게 시도되고 있다며 관련 수치를 공개했다. 또한 2021년 기준 15억 달러 규모의 사기 거래를 막아냈으며, 2020년에도 비슷한 규모의 조치를 취했다고 밝혔다.     점점 다양해지는 앱스토어 해킹 수법 애플은 해커가 어떻게 앱스토어에서 부정행위를 시도하는지 수법을 공개했다.  해킹 수법은 다양하다. 단순한 방법으로는 도난 카드나 가짜 카드를 이용해 결제를 시도하는 사례가 있다. 정교한 수법 중에는 평소에는 잘 작동하는 사기용 앱을 개발해 뒤에서 몰래 데이터를 빼내거나, 악성 프로그램을 심어서 사용자를 속이거나 사기를 시도하는 경우가 있다.  2022년에는 특히 악성 프로그램으로 기기를 해킹하려는 시도가 많아졌다. 안드로이드 기기에서 해킹용 악성 프로그램이 설치되는 사례가 올해 40% 이상 증가했다는 점도 주목할 만하다. 애플이 앱 사기를 우려하는 이유도 이런 환경 때문이다.  앱스토어에는 숨겨진 코드를 넣거나 오해할 소지가 있는 앱, 다른 앱을 베꼈거나 개인정보 남용과 관련된 앱 등이 등록되고 있으며, 애플은 이런 앱 수만 개를 승인 거부했다. 애플이 발표한 내용에 따르면, 매년 부정행위를 저지르기 위해 고객 및 개발자용 계정이 수백만 개 이상 생성됐으며, 도난당한 신용카드 330만 개가 사용됐다.  애플은 앱 개발사들이 불법적인 형태의 평점이나 리뷰를 올리고 있다고 언급했다. 경쟁 업체들의 앱 판매를 방해하거나 문제 있는 앱을 사용자가 다운로드하도록 유도하기 위한 활동이었다.  2021년 기준 앱스토어엔 10억 건이 넘는 평점과 리뷰가 올라왔는데, 그중 9,400만 건의 리뷰와 1억 7,000만 건의 평점이 ‘검토 기준을 통과하지 못한 것’으로 파악되어 차단됐다. 애플은 또한 불만 사항과 후속 평가를 살펴보고 61만 건의 리뷰를 삭제했다. 해당 통계는 허위 리뷰의 규모가 비교적 크다는 것을 시사한다. 10억...

애플 앱스토어 개발자 해킹

2022.06.07

애플이 수백만 건에 해당하는 부정행위가 매해 앱 스토어와 사용자에게 시도되고 있다며 관련 수치를 공개했다. 또한 2021년 기준 15억 달러 규모의 사기 거래를 막아냈으며, 2020년에도 비슷한 규모의 조치를 취했다고 밝혔다.     점점 다양해지는 앱스토어 해킹 수법 애플은 해커가 어떻게 앱스토어에서 부정행위를 시도하는지 수법을 공개했다.  해킹 수법은 다양하다. 단순한 방법으로는 도난 카드나 가짜 카드를 이용해 결제를 시도하는 사례가 있다. 정교한 수법 중에는 평소에는 잘 작동하는 사기용 앱을 개발해 뒤에서 몰래 데이터를 빼내거나, 악성 프로그램을 심어서 사용자를 속이거나 사기를 시도하는 경우가 있다.  2022년에는 특히 악성 프로그램으로 기기를 해킹하려는 시도가 많아졌다. 안드로이드 기기에서 해킹용 악성 프로그램이 설치되는 사례가 올해 40% 이상 증가했다는 점도 주목할 만하다. 애플이 앱 사기를 우려하는 이유도 이런 환경 때문이다.  앱스토어에는 숨겨진 코드를 넣거나 오해할 소지가 있는 앱, 다른 앱을 베꼈거나 개인정보 남용과 관련된 앱 등이 등록되고 있으며, 애플은 이런 앱 수만 개를 승인 거부했다. 애플이 발표한 내용에 따르면, 매년 부정행위를 저지르기 위해 고객 및 개발자용 계정이 수백만 개 이상 생성됐으며, 도난당한 신용카드 330만 개가 사용됐다.  애플은 앱 개발사들이 불법적인 형태의 평점이나 리뷰를 올리고 있다고 언급했다. 경쟁 업체들의 앱 판매를 방해하거나 문제 있는 앱을 사용자가 다운로드하도록 유도하기 위한 활동이었다.  2021년 기준 앱스토어엔 10억 건이 넘는 평점과 리뷰가 올라왔는데, 그중 9,400만 건의 리뷰와 1억 7,000만 건의 평점이 ‘검토 기준을 통과하지 못한 것’으로 파악되어 차단됐다. 애플은 또한 불만 사항과 후속 평가를 살펴보고 61만 건의 리뷰를 삭제했다. 해당 통계는 허위 리뷰의 규모가 비교적 크다는 것을 시사한다. 10억...

2022.06.07

마우스 실제 이동시켜 적 겨냥··· 한 유튜버의 하드웨어 에임봇 ‘눈길’

배틀 그라운드, 오버워치와 같은 슈팅 게임을 즐긴다면 아마 ‘에임봇’을 알고 있을 터다. 적을 자동으로 겨누는 이 치팅 소프트웨어는 오늘날 온라인 멀티플레이어 슈팅 게임의 골칫거리다. 그렇다면 ‘하드웨어 에임봇’은 어떨가?   유튜버 카말 카터가 이 이색적인 장치를 제작했다. 해커데이 보도에 따르면 카말 카터의 이 동창적인 장치는 일반 마우주 변에 4개의 바퀴가 배치된 형태다. 게임 시 화면의 적을 쏘는데 필요한 위치로 마우스를 움직이는 개념이다. 겨냥을 위해 로봇은 로봇은 게임에서 캡처한 스크린샷을 ‘판독’ 색상을 분석하여 가장 가까운 대상을 설정한 다음 쏜다. 영상으로 보면 꽤 흥미롭다.  2개월 동안 개발된 이 물리적 에임봇이 게임의 재미를 떨어뜨리리라 걱정하기에는 아직 이르다. 스크린샷-분석-발사 과정에 있어 색상 대비 감지 방법의 한계가 분명하며, 무엇보다도 물리적 이동 속도가 너무 느리다. 또 에임랩(Aimlab)에 국한돼 있다. 카말 개인의 에임랩 점수보다는 높지만, 프로 게이머 속도의 절반 정도인 것으로 전해졌다. ciokr@idg.co.kr  

카말 카터 마우스 에임봇 치팅 해킹 슈팅 게임

2022.05.03

배틀 그라운드, 오버워치와 같은 슈팅 게임을 즐긴다면 아마 ‘에임봇’을 알고 있을 터다. 적을 자동으로 겨누는 이 치팅 소프트웨어는 오늘날 온라인 멀티플레이어 슈팅 게임의 골칫거리다. 그렇다면 ‘하드웨어 에임봇’은 어떨가?   유튜버 카말 카터가 이 이색적인 장치를 제작했다. 해커데이 보도에 따르면 카말 카터의 이 동창적인 장치는 일반 마우주 변에 4개의 바퀴가 배치된 형태다. 게임 시 화면의 적을 쏘는데 필요한 위치로 마우스를 움직이는 개념이다. 겨냥을 위해 로봇은 로봇은 게임에서 캡처한 스크린샷을 ‘판독’ 색상을 분석하여 가장 가까운 대상을 설정한 다음 쏜다. 영상으로 보면 꽤 흥미롭다.  2개월 동안 개발된 이 물리적 에임봇이 게임의 재미를 떨어뜨리리라 걱정하기에는 아직 이르다. 스크린샷-분석-발사 과정에 있어 색상 대비 감지 방법의 한계가 분명하며, 무엇보다도 물리적 이동 속도가 너무 느리다. 또 에임랩(Aimlab)에 국한돼 있다. 카말 개인의 에임랩 점수보다는 높지만, 프로 게이머 속도의 절반 정도인 것으로 전해졌다. ciokr@idg.co.kr  

2022.05.03

'엔비디아 이어 마이크로소프트까지' 소스 코드 37GB 유출·공개됐다

유명인 해커 팀이라는 것이 존재할 수 있을까? 만일 그렇다면 하나 떠오르는 그룹이 있다. 몇 주 전 엔비디아의 국제 문서 및 암호화 키 해킹을 주도한 공격 팀이 이번에는 마이크로소프트를 공격했다고 밝혔다. 이 그룹은 37GB에 달하는 지적 재산권 소스 코드를 토렌트 파일로 배포했다. 현재 마이크로소프트가 배포한 상태인 파일도 포함되어 있다.   랩서스$라는 이 해커 그룹은 훔친 데이터에 검색 엔진 빙, 음성 비서 코타나 외 여러 프로젝트의 지적 재산권 코드가 상당량 포함되어 있다고 밝혔다. 블리핑 컴퓨터에 따르면 도난 데이터 중 공개된 부분은 실제 데이터인 것으로 확인됐다. 이 해커 그룹은 지난 수 개월간 삼성, 유비소프트, 보다폰 등을 공격하기도 했다. 암호화된 메시지 서비스인 텔레그램으로 자신들을 홍보하며 수천 명의 팔로워를 거느리고 있다. 공격 방법은 특정되지 않았으나 기업에 접근하기 위해 IT 대기업 직원에게 공개 뇌물을 제공한 혐의도 있다. 보안 전문가들은 상대적으로 젊고 새로운 해킹 그룹이 정교함과 공격 효율을 모두 확보하고 있다고 우려하고 있다. 현재까지 윈도우, 오피스, 엑스박스 같은 핵심 수익 제품은 마이크로소프트의 도난 데이터에 포함되지 않은 것으로 알려졌다. editor@itworld.co.kr 

해킹

2022.03.24

유명인 해커 팀이라는 것이 존재할 수 있을까? 만일 그렇다면 하나 떠오르는 그룹이 있다. 몇 주 전 엔비디아의 국제 문서 및 암호화 키 해킹을 주도한 공격 팀이 이번에는 마이크로소프트를 공격했다고 밝혔다. 이 그룹은 37GB에 달하는 지적 재산권 소스 코드를 토렌트 파일로 배포했다. 현재 마이크로소프트가 배포한 상태인 파일도 포함되어 있다.   랩서스$라는 이 해커 그룹은 훔친 데이터에 검색 엔진 빙, 음성 비서 코타나 외 여러 프로젝트의 지적 재산권 코드가 상당량 포함되어 있다고 밝혔다. 블리핑 컴퓨터에 따르면 도난 데이터 중 공개된 부분은 실제 데이터인 것으로 확인됐다. 이 해커 그룹은 지난 수 개월간 삼성, 유비소프트, 보다폰 등을 공격하기도 했다. 암호화된 메시지 서비스인 텔레그램으로 자신들을 홍보하며 수천 명의 팔로워를 거느리고 있다. 공격 방법은 특정되지 않았으나 기업에 접근하기 위해 IT 대기업 직원에게 공개 뇌물을 제공한 혐의도 있다. 보안 전문가들은 상대적으로 젊고 새로운 해킹 그룹이 정교함과 공격 효율을 모두 확보하고 있다고 우려하고 있다. 현재까지 윈도우, 오피스, 엑스박스 같은 핵심 수익 제품은 마이크로소프트의 도난 데이터에 포함되지 않은 것으로 알려졌다. editor@itworld.co.kr 

2022.03.24

이스트시큐리티, 외교 안보 국방분야 겨냥한 북한 연계 해킹 공격 주의보

이스트시큐리티는 대선이 다가오는 가운데 국내 외교 안보 국방분야 교수 및 민간분야 전문가를 겨냥한 북한 배후 소행의 해킹 공격 시도가 연일 포착되고 있다며, 각별한 주의와 대비가 요구된다고 밝혔다. 지난 2월 21일 시도된 공격은 마치 한국의 군사연구 및 동북아 평화 협회처럼 위장해 해당 분야 종사자들에게 ‘[붙임] 프로필 양식.doc’ 이름의 악성 MS 워드 문서를 전달한 것이 특징이다.   이번 공격은 이메일로 보내는 전형적인 스피어 피싱(Spear Phishing) 수법이 사용됐으며, 보안 솔루션의 행위 분석이나 기존에 알려진 패턴 탐지를 최대한 회피하기 위해 악성 DOC 문서에 별도의 암호를 설정하고, 수신자만 열어보도록 이메일로 전달하였다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 2월에도 일명 ‘페이크 스트라이커’ 위협 캠페인으로 명명된 북한 연계 사이버 위협 활동이 꾸준히 포착되고 있어, 이들의 공격 의도를 정확히 규명하기 위해 다각적인 분석을 진행 중이다. 실제 수행된 공격 내용을 살펴보면, 공격자는 피해 대상자로 하여금 첨부된 악성 문서 파일을 조속히 열람하도록 유도하기 위해 간단한 약력의 프로필을 수신한 다음 날까지 작성해 보내도록 요청한 부분이 공통적으로 관측됐다. 해당 악성 DOC 파일이 열리면 먼저 암호를 입력하는 과정을 거친 후에 이름, 소속, 직위, 휴대폰 번호와 사진 등을 입력하는 간략한 프로필 양식 화면이 나타나는데 기존에 DOC 악성 문서가 [콘텐츠 사용] 매크로 실행 유도를 위해 보여주는 가짜 MS오피스 안내 화면을 보여주지는 않는다. 만약 문서를 열람한 수신자가 [콘텐츠 사용] 버튼을 클릭하면 악성파일 내부에 숨겨져 있는 매크로 명령이 작동해 이용자 몰래 공격자가 만든 해외 명령 제어(C2) 서버로 은밀히 통신을 진행하며, 사용자가 입력하는 키보드 입력 등의 개인 정보 탈취 및 추가 악성 파일에 감염되는 예기치 못한 해킹 피해로 이어질 수 있게 된다. ESRC는 공격자들이 C2 서버 구축을 위해...

이스트시큐리티 해킹 악성 프로그램

2022.02.23

이스트시큐리티는 대선이 다가오는 가운데 국내 외교 안보 국방분야 교수 및 민간분야 전문가를 겨냥한 북한 배후 소행의 해킹 공격 시도가 연일 포착되고 있다며, 각별한 주의와 대비가 요구된다고 밝혔다. 지난 2월 21일 시도된 공격은 마치 한국의 군사연구 및 동북아 평화 협회처럼 위장해 해당 분야 종사자들에게 ‘[붙임] 프로필 양식.doc’ 이름의 악성 MS 워드 문서를 전달한 것이 특징이다.   이번 공격은 이메일로 보내는 전형적인 스피어 피싱(Spear Phishing) 수법이 사용됐으며, 보안 솔루션의 행위 분석이나 기존에 알려진 패턴 탐지를 최대한 회피하기 위해 악성 DOC 문서에 별도의 암호를 설정하고, 수신자만 열어보도록 이메일로 전달하였다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 2월에도 일명 ‘페이크 스트라이커’ 위협 캠페인으로 명명된 북한 연계 사이버 위협 활동이 꾸준히 포착되고 있어, 이들의 공격 의도를 정확히 규명하기 위해 다각적인 분석을 진행 중이다. 실제 수행된 공격 내용을 살펴보면, 공격자는 피해 대상자로 하여금 첨부된 악성 문서 파일을 조속히 열람하도록 유도하기 위해 간단한 약력의 프로필을 수신한 다음 날까지 작성해 보내도록 요청한 부분이 공통적으로 관측됐다. 해당 악성 DOC 파일이 열리면 먼저 암호를 입력하는 과정을 거친 후에 이름, 소속, 직위, 휴대폰 번호와 사진 등을 입력하는 간략한 프로필 양식 화면이 나타나는데 기존에 DOC 악성 문서가 [콘텐츠 사용] 매크로 실행 유도를 위해 보여주는 가짜 MS오피스 안내 화면을 보여주지는 않는다. 만약 문서를 열람한 수신자가 [콘텐츠 사용] 버튼을 클릭하면 악성파일 내부에 숨겨져 있는 매크로 명령이 작동해 이용자 몰래 공격자가 만든 해외 명령 제어(C2) 서버로 은밀히 통신을 진행하며, 사용자가 입력하는 키보드 입력 등의 개인 정보 탈취 및 추가 악성 파일에 감염되는 예기치 못한 해킹 피해로 이어질 수 있게 된다. ESRC는 공격자들이 C2 서버 구축을 위해...

2022.02.23

현상금 100억 원도 나왔다··· 버그 바운티에 열 올리는 암호화폐 업계

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

암호화폐 버그 현상금 버그바운티 취약점 블록체인 크립토닷컴 큐빗 파이낸스 탈중앙화 금융 디파이 이더리움 해킹 웹3 버그 해커 화이트 해커 포상금 현상금

2022.02.21

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

2022.02.21

"금융사 또는 북한 내부 정보로 현혹" 이스트시큐리티, 北 배후 해킹 증가 주의

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

이스트시큐리티 해킹 사이버 위협 악성코드 피싱

2022.01.13

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

2022.01.13

“해결 방법 없다” 구글이 본 제로클릭 공격의 위험

모바일 보안과 관련해 사용자는 항상 의심스러운 링크나 이메일, 첨부파일을 피하며 각별한 주의를 기울여야 한다. 하지만 제로클릭(zero-click) 사이버 공격이 늘어나면서 이런 노력이 무력해지고 있다.   지난 12월 구글은 대표적인 제로클릭 사이버 공격인 페가수스(Pegasus)의 작동 방법을 연구한 결과를 발표했다. 페가수스 스파이웨어는 언론인과 세계 지도자를 해킹하기 위해 이스라엘 보안업체 NSO 그룹이 사용한 것으로 알려졌다. 구글 프로젝트 제로(Project Zero) 팀은 “지금까지 확인한 사이버 공격 가운데 기술적으로 가장 정교했으며, NSO의 기술이 일부 국가에서만 접근할 수 있다고 여겨진 기술에 필적한다는 것을 보여준다”라고 말했다. 구글의 연구결과에서 가장 놀라운 점은 페가수스가 보안 알람의 불문율, 즉 ‘효과적인 방어책이 없는 공격은 그 세부사항을 보고하는 것이 차선책’이라는 규칙을 깨뜨렸다는 점이다. 구글은 업계가 제로클릭 공격에 대한 방어책을 신속하게 마련할 수 있도록 세부 논의가 필요하다고 강조했다. 구글은 “NSO가 개발한 제로클릭 공격 기술은 어떠한 상호작용도 필요 없다. 따라서 평소에 피싱 링크를 클릭하지 않는, 기술에 능숙한 사람도 공격 대상이 되었다는 점을 모른다. 공격자는 피싱 메시지를 전송하지 않고 휴대폰 백그라운드에서 조용히 공격을 진행한다. 기기를 사용하지 않는 것 외에는 예방 방법이 없다. 방어할 수 없는 무기인 셈이다”라고 설명했다. 공격 수단은 ‘가짜 GIF’ 페가수스 공격의 배후로 알려진 NSO는 가짜 GIF로 코어그래픽스 PDF(CoreGraphics PDF) 파서의 취약점을 겨냥했다. 가짜 GIF는 확장자가 .gif이지만 실제로는 GIF 이미지 파일이 아니다. 파일명과 확장자는 사용자를 안심시키는 수단에 불과했다. ImageIO 라이브러리는 파일 확장자에 상관없이 소스 파일의 올바른 형식을 추측하고 구문을 분석하는 데 사용된다. 이를 가짜 GIF에 적용하면 20개 이상의 이미지 코덱...

NSO 페가수스 스파이웨어 구글 해킹

2022.01.13

모바일 보안과 관련해 사용자는 항상 의심스러운 링크나 이메일, 첨부파일을 피하며 각별한 주의를 기울여야 한다. 하지만 제로클릭(zero-click) 사이버 공격이 늘어나면서 이런 노력이 무력해지고 있다.   지난 12월 구글은 대표적인 제로클릭 사이버 공격인 페가수스(Pegasus)의 작동 방법을 연구한 결과를 발표했다. 페가수스 스파이웨어는 언론인과 세계 지도자를 해킹하기 위해 이스라엘 보안업체 NSO 그룹이 사용한 것으로 알려졌다. 구글 프로젝트 제로(Project Zero) 팀은 “지금까지 확인한 사이버 공격 가운데 기술적으로 가장 정교했으며, NSO의 기술이 일부 국가에서만 접근할 수 있다고 여겨진 기술에 필적한다는 것을 보여준다”라고 말했다. 구글의 연구결과에서 가장 놀라운 점은 페가수스가 보안 알람의 불문율, 즉 ‘효과적인 방어책이 없는 공격은 그 세부사항을 보고하는 것이 차선책’이라는 규칙을 깨뜨렸다는 점이다. 구글은 업계가 제로클릭 공격에 대한 방어책을 신속하게 마련할 수 있도록 세부 논의가 필요하다고 강조했다. 구글은 “NSO가 개발한 제로클릭 공격 기술은 어떠한 상호작용도 필요 없다. 따라서 평소에 피싱 링크를 클릭하지 않는, 기술에 능숙한 사람도 공격 대상이 되었다는 점을 모른다. 공격자는 피싱 메시지를 전송하지 않고 휴대폰 백그라운드에서 조용히 공격을 진행한다. 기기를 사용하지 않는 것 외에는 예방 방법이 없다. 방어할 수 없는 무기인 셈이다”라고 설명했다. 공격 수단은 ‘가짜 GIF’ 페가수스 공격의 배후로 알려진 NSO는 가짜 GIF로 코어그래픽스 PDF(CoreGraphics PDF) 파서의 취약점을 겨냥했다. 가짜 GIF는 확장자가 .gif이지만 실제로는 GIF 이미지 파일이 아니다. 파일명과 확장자는 사용자를 안심시키는 수단에 불과했다. ImageIO 라이브러리는 파일 확장자에 상관없이 소스 파일의 올바른 형식을 추측하고 구문을 분석하는 데 사용된다. 이를 가짜 GIF에 적용하면 20개 이상의 이미지 코덱...

2022.01.13

'안전지대 있을까?' 스마트폰 해킹 수법 8가지

모바일 기기의 보안은 PC보다 오히려 뛰어난 경향을 보인다. 하지만 스마트폰이 해킹 당할 가능성은 여전히 남아있다. 8가지 스마트폰 공격 수법에 대해 알아본다.   소셜 엔지니어링(social engineering) 해커가 가장 쉽게 장치에 침투하는 방법은 사용자 스스로 문을 열게 하는 것이다. 물론 말처럼 쉬운 일은 아니다. 하지만 대부분의 소셜 엔지니어링 공격이 이것을 노리고 있다. 대체로 스마트폰 운영체제는 PC나 서버에 비해 보안 체계가 엄격하다. 애플리케이션 코드가 샌드박스 모드에서 실행되기 때문에 권한 확대를 통해 장치가 장악되는 일을 막아준다. 즉, 애플리케이션 코드가 스마트폰의 운영체제나 저장장치의 보호된 부분에 접근하려면 모바일 사용자의 승인이 필요하다. 이처럼 우수한 보안 모델에도 단점이 있다. 접근 승인을 요청하는 메세지가 너무 많이 뜨는 나머지 다수의 사용자가 이를 무시한다는 점이다. 쿠마(Kuma LLC) 보안 애널리스트 카탈리노 베가 3세는 “모바일 장치의 애플리케이션은 승인 기능이 분리돼 있다. 악성 앱이 사용자 데이터를 마음대로 할 수 없도록  하기 위해서다. 그러다 보니 ‘이 애플리케이션이 사진에 접근하도록 허용하시겠습니까?’와 같은 메시지가 자주 뜨게 되고, 사용자는 이런 메시지에 익숙해진다”라고 설명했다. 이어 그는 “(위와 같은 메시지가) 애플리케이션에 대한 접근 허용의 한 단계만 추가할 뿐”이라며, “사용자 대부분이 앱 기능을 사용하기 위해 접근 허용 요청을 쉽게 수락하는 습관이 생기게 된다. 다들 그런 적이 있으리라 생각한다”라고 말했다. 악성 광고(Malvertising) 소위 ‘악성 광고’는 속기 쉬운 대화상자를 활용한 공격이다. 브라우저든 앱 내부이든 모바일 광고 생태계용으로 개발된 인프라에 편승하는 방법이다. 딥 인스팅트(Deep Instinct) 사이버보안 홍보 책임자 척 에베렛은 “사용자가 광고를 클릭하게 만드는 것이 목적”이라며, “생각할 틈도 없이 반사적으로 클릭하게 만드는 것...

모바일 보안 스마트폰 해킹

2021.11.04

모바일 기기의 보안은 PC보다 오히려 뛰어난 경향을 보인다. 하지만 스마트폰이 해킹 당할 가능성은 여전히 남아있다. 8가지 스마트폰 공격 수법에 대해 알아본다.   소셜 엔지니어링(social engineering) 해커가 가장 쉽게 장치에 침투하는 방법은 사용자 스스로 문을 열게 하는 것이다. 물론 말처럼 쉬운 일은 아니다. 하지만 대부분의 소셜 엔지니어링 공격이 이것을 노리고 있다. 대체로 스마트폰 운영체제는 PC나 서버에 비해 보안 체계가 엄격하다. 애플리케이션 코드가 샌드박스 모드에서 실행되기 때문에 권한 확대를 통해 장치가 장악되는 일을 막아준다. 즉, 애플리케이션 코드가 스마트폰의 운영체제나 저장장치의 보호된 부분에 접근하려면 모바일 사용자의 승인이 필요하다. 이처럼 우수한 보안 모델에도 단점이 있다. 접근 승인을 요청하는 메세지가 너무 많이 뜨는 나머지 다수의 사용자가 이를 무시한다는 점이다. 쿠마(Kuma LLC) 보안 애널리스트 카탈리노 베가 3세는 “모바일 장치의 애플리케이션은 승인 기능이 분리돼 있다. 악성 앱이 사용자 데이터를 마음대로 할 수 없도록  하기 위해서다. 그러다 보니 ‘이 애플리케이션이 사진에 접근하도록 허용하시겠습니까?’와 같은 메시지가 자주 뜨게 되고, 사용자는 이런 메시지에 익숙해진다”라고 설명했다. 이어 그는 “(위와 같은 메시지가) 애플리케이션에 대한 접근 허용의 한 단계만 추가할 뿐”이라며, “사용자 대부분이 앱 기능을 사용하기 위해 접근 허용 요청을 쉽게 수락하는 습관이 생기게 된다. 다들 그런 적이 있으리라 생각한다”라고 말했다. 악성 광고(Malvertising) 소위 ‘악성 광고’는 속기 쉬운 대화상자를 활용한 공격이다. 브라우저든 앱 내부이든 모바일 광고 생태계용으로 개발된 인프라에 편승하는 방법이다. 딥 인스팅트(Deep Instinct) 사이버보안 홍보 책임자 척 에베렛은 “사용자가 광고를 클릭하게 만드는 것이 목적”이라며, “생각할 틈도 없이 반사적으로 클릭하게 만드는 것...

2021.11.04

前 CISA 국장 "美 사이버안보, CIO들의 역할이 중요하다"

“美 정부의 사이버보안 행정명령을 간과하는 CIO는 위험을 감수해야 한다.” 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA) 前 국장 크리스 크렙스가 ‘가트너 IT 심포지엄/엑스포(Gartner IT Symposium/Xpo)’ 기조연설에서 강조한 내용이다. 크렙스는 지난 5월 발표된 바이든 행정부의 사이버보안 행정명령을 언급하면서, “CIO가 이 행정명령의 기본 규정 준수를 우려하기보다는 향후 예상되는 공격 증가와 추가적인 사이버보안 명령에 대비해 인프라를 최대한 강화해야 한다”라고 말했다.    이어서 그는 “미국 경제의 연속성과 밀접한 관련이 있는 중요 산업들이 위험에 처해 있다. 또 지난 몇 년간의 사건을 본다면 이러한 컴플라이언스 체제는 강화될 것이라고 예상한다”라면서, “보안 프로그램에 들어가는 비용을 지출하고 있기 때문에 체크리스트 기반의 접근법만 사용하는 환경을 원하지 않을 것이다”라고 전했다. 작년 말 美 전역을 뒤흔든 솔라윈즈 해킹 사건부터 올해 미국 송유관 업체 콜로니얼 파이프라인과 정육 업체 JBS에서 랜섬웨어 공격으로 각각 미화 440만 달러, 1,100만 달러의 몸값을 지불해야 했던 사건까지 사이버보안 문제가 계속 심각해지면서 바이든 행정부는 긴급 조치에 나섰다.  지난 5월 소프트웨어 조달 및 MFA 아키텍처 도입 의무화에 관한 새로운 명령과 공공 및 민간 자산을 보호하기 위한 일련의 요구사항을 포함하는 행정명령을 발표한 것이다. 크렙스는 모든 사이버 공격이 국가 안보를 위협하기 때문에 CISA는 CIA, FBI, 국가안보국(NSA), 국가안전보장회의(NSC)와 함께 민관 협력을 조정하고, 확대하며, 행정명령을 시행하고 있다고 밝혔다. 공공 및 민간 부문의 CIO들도 인프라 보안에 앞다퉈 나서고 있다.  포브스 CIO 넥스트(Forbes CIO Next) 행사에서 나사(NASA)의 CIO 제프 시튼은...

CIO 사이버보안 미국 정부 바이든 행정부 랜섬웨어 콜로니얼 파이프라인 솔라윈즈 해킹 가트너 해킹 사이버 공격 사이버안보

2021.11.01

“美 정부의 사이버보안 행정명령을 간과하는 CIO는 위험을 감수해야 한다.” 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA) 前 국장 크리스 크렙스가 ‘가트너 IT 심포지엄/엑스포(Gartner IT Symposium/Xpo)’ 기조연설에서 강조한 내용이다. 크렙스는 지난 5월 발표된 바이든 행정부의 사이버보안 행정명령을 언급하면서, “CIO가 이 행정명령의 기본 규정 준수를 우려하기보다는 향후 예상되는 공격 증가와 추가적인 사이버보안 명령에 대비해 인프라를 최대한 강화해야 한다”라고 말했다.    이어서 그는 “미국 경제의 연속성과 밀접한 관련이 있는 중요 산업들이 위험에 처해 있다. 또 지난 몇 년간의 사건을 본다면 이러한 컴플라이언스 체제는 강화될 것이라고 예상한다”라면서, “보안 프로그램에 들어가는 비용을 지출하고 있기 때문에 체크리스트 기반의 접근법만 사용하는 환경을 원하지 않을 것이다”라고 전했다. 작년 말 美 전역을 뒤흔든 솔라윈즈 해킹 사건부터 올해 미국 송유관 업체 콜로니얼 파이프라인과 정육 업체 JBS에서 랜섬웨어 공격으로 각각 미화 440만 달러, 1,100만 달러의 몸값을 지불해야 했던 사건까지 사이버보안 문제가 계속 심각해지면서 바이든 행정부는 긴급 조치에 나섰다.  지난 5월 소프트웨어 조달 및 MFA 아키텍처 도입 의무화에 관한 새로운 명령과 공공 및 민간 자산을 보호하기 위한 일련의 요구사항을 포함하는 행정명령을 발표한 것이다. 크렙스는 모든 사이버 공격이 국가 안보를 위협하기 때문에 CISA는 CIA, FBI, 국가안보국(NSA), 국가안전보장회의(NSC)와 함께 민관 협력을 조정하고, 확대하며, 행정명령을 시행하고 있다고 밝혔다. 공공 및 민간 부문의 CIO들도 인프라 보안에 앞다퉈 나서고 있다.  포브스 CIO 넥스트(Forbes CIO Next) 행사에서 나사(NASA)의 CIO 제프 시튼은...

2021.11.01

강은성의 보안 아키텍트ㅣ보안 제품에 보안취약점이 있다고?

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

강은성 강은성의 보안 아키텍트 CISO 보안 보안 제품 가상사설망 해킹 VPN 랜섬웨어 보안취약점 마이크로소프트 구글 오라클 아마존 삼성전자 LG전자 네이버 SDL 보안공학 모의해킹 위협 모델링

2021.08.27

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

2021.08.27

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13