Offcanvas

������������

강은성의 보안 아키텍트ㅣ보안 제품에 보안취약점이 있다고?

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

강은성 강은성의 보안 아키텍트 CISO 보안 보안 제품 가상사설망 해킹 VPN 랜섬웨어 보안취약점 마이크로소프트 구글 오라클 아마존 삼성전자 LG전자 네이버 SDL 보안공학 모의해킹 위협 모델링

2021.08.27

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

2021.08.27

인기절정의 '소셜 엔지니어링 툴킷'··· 3가지 활용 조언

2년 전, 모의해킹 테스터 및 소셜 엔지니어링 전문가, 웹사이트인 소셜-엔지니어닷컴(social-engineer.com)의 필진으로 활동하고 있는 데이브 케네디는 소셜 엔지니어링 공격을 시뮬레이션하기 위한 침투 테스터용 툴을 만들고자 했다. 케네디는 그 결과 소셜 엔지니어링 툴킷(SET ; Social Engineering Toolkit)을 구축했다. 'social-engineer.org'에서 무료로 다운로드 받을 수 있는 이 툴킷은 모의해킹 테스트 동안 조직과 특정인을 대상으로 하고, 초점을 맞춘 공격법을 내장하고 있다. 현재 보안 시스템 벤더인 디볼드(DIebold)의 CSO를 맡고 있는 케네디는 이 툴킷이 놀랄 만큼 인기를 끌었다고 전했다. 많은 사람들이 소셜 엔지니어링 기반 공격을 대상으로 한 침투 테스트에 표준과 같은 도구로 이 툴킷을 활용하고 있다는 것이다. 케네디에 따르면, 정기적으로 추가되고 업데이트되는 SET는 그 다운로드 횟수가 매번 100만 회에 달할 정도다. 케네디는 CSO와 인터뷰에서 소셜 엔지니어링 툴킷을 가장 효과적으로 활용할 수 있는 방법을 소개했다. 각자 조사하고 준비한다 케네디는 "침투 테스터가 기업의 가상 공격자를 시뮬레이션할 때는 흠잡을 데 없는 가장 최신 취약점 공격 소프트웨어를 실행시켜야 한다. 그러나 나 같은 경우 이런 취약점 공격 소프트웨어를 이용하지 않는다. 내가 개발한 소셜 엔지니어링 툴킷은 이런 취약점 공격을 레버리지로 삼지 않기 때문이다. 자바와 이메일 등을 적법하게 사용해 공격을 하는 방법을 레버리지로 삼고 있다"고 말했다. 그러나 케네디는 각 회사별로 성공 확률이 높은 방법을 판단해 침투 테스트를 해야 한다고 지적했다. 그는 "침투 테스트 목적에 맞도록 학습을 하고, 이를 바탕으로 공격을 무산시키는 시스템을 구축해야 한다. 사업 방식, 자회사, 가장 마찰이 적은 경로 등을 파악하는 것이다. 많은 경우, 회사 웹사이트 곳곳을 살피고, 링크...

침투 소셜 엔지니어링 툴킷 SEC 소셜 공학 도구 모의해킹

2012.04.30

2년 전, 모의해킹 테스터 및 소셜 엔지니어링 전문가, 웹사이트인 소셜-엔지니어닷컴(social-engineer.com)의 필진으로 활동하고 있는 데이브 케네디는 소셜 엔지니어링 공격을 시뮬레이션하기 위한 침투 테스터용 툴을 만들고자 했다. 케네디는 그 결과 소셜 엔지니어링 툴킷(SET ; Social Engineering Toolkit)을 구축했다. 'social-engineer.org'에서 무료로 다운로드 받을 수 있는 이 툴킷은 모의해킹 테스트 동안 조직과 특정인을 대상으로 하고, 초점을 맞춘 공격법을 내장하고 있다. 현재 보안 시스템 벤더인 디볼드(DIebold)의 CSO를 맡고 있는 케네디는 이 툴킷이 놀랄 만큼 인기를 끌었다고 전했다. 많은 사람들이 소셜 엔지니어링 기반 공격을 대상으로 한 침투 테스트에 표준과 같은 도구로 이 툴킷을 활용하고 있다는 것이다. 케네디에 따르면, 정기적으로 추가되고 업데이트되는 SET는 그 다운로드 횟수가 매번 100만 회에 달할 정도다. 케네디는 CSO와 인터뷰에서 소셜 엔지니어링 툴킷을 가장 효과적으로 활용할 수 있는 방법을 소개했다. 각자 조사하고 준비한다 케네디는 "침투 테스터가 기업의 가상 공격자를 시뮬레이션할 때는 흠잡을 데 없는 가장 최신 취약점 공격 소프트웨어를 실행시켜야 한다. 그러나 나 같은 경우 이런 취약점 공격 소프트웨어를 이용하지 않는다. 내가 개발한 소셜 엔지니어링 툴킷은 이런 취약점 공격을 레버리지로 삼지 않기 때문이다. 자바와 이메일 등을 적법하게 사용해 공격을 하는 방법을 레버리지로 삼고 있다"고 말했다. 그러나 케네디는 각 회사별로 성공 확률이 높은 방법을 판단해 침투 테스트를 해야 한다고 지적했다. 그는 "침투 테스트 목적에 맞도록 학습을 하고, 이를 바탕으로 공격을 무산시키는 시스템을 구축해야 한다. 사업 방식, 자회사, 가장 마찰이 적은 경로 등을 파악하는 것이다. 많은 경우, 회사 웹사이트 곳곳을 살피고, 링크...

2012.04.30

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9