Offcanvas

������

‘대규모 사칭 서비스 사이트 총검거’ 국제 수사에 10개국 공조

유럽, 호주, 북미 등의 사법 당국이 협력 수사를 벌여 대규모 스푸핑(spoofing) 웹사이트에 연루된 용의자 142명을 체포했다고 밝혔다.    유럽·호주·미국·우크라이나·캐나다의 사법 당국이 ‘스푸핑’ 서비스를 제공해왔던 대규모 웹사이트 '아이스푸프(iSpoof)'를 끌어내렸다. 수사 기관에 따르면 이 웹사이트의 사용자가 자신을 유명한 기업이나 지인으로 속여 얻은 피해액은 약 1억 2,000만 달러에 달한다.  영국을 중심으로 유로폴과 유럽연합(EU)의 사법협력 기관 유로저스트(Eurojust)이 공조해 142명의 용의자를 체포했다. 유로폴이 11월 24일에 올린 성명에 따르면, 웹사이트의 운영자를 체포하는 데 성공했다.    이 웹사이트는 사용자들이 익명으로 스푸핑 된 전화를 걸고, 녹음된 메시지를 보내고, 일회성 비밀번호를 가로챌 수 있는 유료 서비스를 제공했다. 유로폴은 웹사이트가 16개월 동안 380만 달러에 달하는 수수료를 챙겼다고 보고했다. 이 웹사이트의 고객은 불법적인 '스푸핑' 캠페인으로 1억 2천만 달러를 벌어들였다. 미 연방통신위원회(FCC)는 '스푸핑'을 전화 통신에 국한해 설명한다. 발신자가 신원을 위장하기 위해 수신자 화면에 뜨는 정보를 바꾸는 행위를 가리킨다. 그러나 스푸핑 기술은 점차 정교해졌다. 이제 이메일, 웹사이트, 문자 등 다양한 채널에서 여러 가지 방법으로 이루어진다.  이 기법을 쓰는 범죄자는 피해자가 비밀번호, 신용카드, 혹은 금융 정보와 같은 귀중한 개인 정보를 넘겨주도록 설득하고자 신뢰할 수 있는 기관이나 기업(은행 혹은 널리 쓰이는 인터넷 사이트)으로 위장한다.  영국의 사법 당국은 2021년 10월에 처음 유럽에 도움을 요청했다. 그 후 10개국이 가담하며 범국가적 스푸핑 소탕 작전으로 그 규모가 커졌다. 이렇게 구성된 연합 수사팀은 2022년 11월에 작전을 성공적으로 수행해 전 세계 수많은 웹사이트 사용자를 비롯한 관리자를...

스푸핑 피싱 피싱웹사이트 스푸핑웹사이트 인터폴 국제협력 유로저스

1일 전

유럽, 호주, 북미 등의 사법 당국이 협력 수사를 벌여 대규모 스푸핑(spoofing) 웹사이트에 연루된 용의자 142명을 체포했다고 밝혔다.    유럽·호주·미국·우크라이나·캐나다의 사법 당국이 ‘스푸핑’ 서비스를 제공해왔던 대규모 웹사이트 '아이스푸프(iSpoof)'를 끌어내렸다. 수사 기관에 따르면 이 웹사이트의 사용자가 자신을 유명한 기업이나 지인으로 속여 얻은 피해액은 약 1억 2,000만 달러에 달한다.  영국을 중심으로 유로폴과 유럽연합(EU)의 사법협력 기관 유로저스트(Eurojust)이 공조해 142명의 용의자를 체포했다. 유로폴이 11월 24일에 올린 성명에 따르면, 웹사이트의 운영자를 체포하는 데 성공했다.    이 웹사이트는 사용자들이 익명으로 스푸핑 된 전화를 걸고, 녹음된 메시지를 보내고, 일회성 비밀번호를 가로챌 수 있는 유료 서비스를 제공했다. 유로폴은 웹사이트가 16개월 동안 380만 달러에 달하는 수수료를 챙겼다고 보고했다. 이 웹사이트의 고객은 불법적인 '스푸핑' 캠페인으로 1억 2천만 달러를 벌어들였다. 미 연방통신위원회(FCC)는 '스푸핑'을 전화 통신에 국한해 설명한다. 발신자가 신원을 위장하기 위해 수신자 화면에 뜨는 정보를 바꾸는 행위를 가리킨다. 그러나 스푸핑 기술은 점차 정교해졌다. 이제 이메일, 웹사이트, 문자 등 다양한 채널에서 여러 가지 방법으로 이루어진다.  이 기법을 쓰는 범죄자는 피해자가 비밀번호, 신용카드, 혹은 금융 정보와 같은 귀중한 개인 정보를 넘겨주도록 설득하고자 신뢰할 수 있는 기관이나 기업(은행 혹은 널리 쓰이는 인터넷 사이트)으로 위장한다.  영국의 사법 당국은 2021년 10월에 처음 유럽에 도움을 요청했다. 그 후 10개국이 가담하며 범국가적 스푸핑 소탕 작전으로 그 규모가 커졌다. 이렇게 구성된 연합 수사팀은 2022년 11월에 작전을 성공적으로 수행해 전 세계 수많은 웹사이트 사용자를 비롯한 관리자를...

1일 전

‘구독 취소하려면 전화 달라’ 유닛42, ‘콜백 피싱’ 해킹 경고

루나 모스 그룹의 콜백 피싱(callback phishing) 해킹 수법은 이메일로 맬웨어 대신 영수증을 피해자에게 보낸다. 구독을 취소하려면 전화를 달라는 사기 이메일을 보내 개인 정보를 탈취한 뒤 대금을 요구하는 수법이다.    팔로알토 유닛42 보안 연구팀이 루나 모트(Luna Moth) 해킹그룹의 콜백 피싱 갈취 수법과 관련된 여러 사건을 조사했다. 이 종류의 해킹 수법은 법률과 소매업과 같은 다양한 분야의 기업을 겨냥했다. 분석 결과 수법의 배후에 있는 해커들은 악성코드 기반 암호화 없이 데이터를 갈취한다는 사실이 밝혀졌다.  연구팀에 따르면 루나 모트 해킹 그룹은 콜센터와 같은 주요 인프라에 집중적으로 많은 액수를 투자했으며, 점점 전술을 고도화하고 있다. 연구팀은 해킹 수법으로 인해 피해자는 수백만 달러의 비용을 치러야 했으며, 갈수록 그 범위가 확장되고 있다고 말했다.    맬웨어 대신...영수증?  콜백 피싱(callback phishing)은 사회 공학(social engineering) 공격 수법이다. 유닛 42 연구진은 콜백 피싱이 스크립트 기반 공격보다 자원을 많이 사용하지만 덜 복잡하며 성공률도 더 높은 편이라고 설명했다. 기존 해킹은 피해자가 맬웨어를 다운받도록 유도한다. 가령 콘티 랜섬웨어 그룹과 연계된 사이버 공격집단은 피해자가 '바자르로더(BazarLoader)'라는 맬웨어를 내려받도록 했다.  이렇듯 맬웨어는 기존 콜백 피싱 공격에서 빠질 수 없는 요소다. 하지만 이번 유닛42가 조사한 해킹 수법에서 루나 모트 해킹 그룹은 맬웨어를 이용하지 않았다. 대신, 합법적이고 신뢰할 수 있는 시스템 관리 도구를 사용해 피해자와 직접 소통했다. 연구진은 "이러한 도구는 특성상 악의적이지 않아 기존 바이러스 백신 제품이 감지하기 어려울 것"이라고 설명했다.    가짜 구독 청구 영수증  이 수법의 초기 유인책은 PDF 영수증이 첨부된 피싱 ...

콜백피싱 랜섬웨어 피싱 피싱메일 보이스피싱

2022.11.22

루나 모스 그룹의 콜백 피싱(callback phishing) 해킹 수법은 이메일로 맬웨어 대신 영수증을 피해자에게 보낸다. 구독을 취소하려면 전화를 달라는 사기 이메일을 보내 개인 정보를 탈취한 뒤 대금을 요구하는 수법이다.    팔로알토 유닛42 보안 연구팀이 루나 모트(Luna Moth) 해킹그룹의 콜백 피싱 갈취 수법과 관련된 여러 사건을 조사했다. 이 종류의 해킹 수법은 법률과 소매업과 같은 다양한 분야의 기업을 겨냥했다. 분석 결과 수법의 배후에 있는 해커들은 악성코드 기반 암호화 없이 데이터를 갈취한다는 사실이 밝혀졌다.  연구팀에 따르면 루나 모트 해킹 그룹은 콜센터와 같은 주요 인프라에 집중적으로 많은 액수를 투자했으며, 점점 전술을 고도화하고 있다. 연구팀은 해킹 수법으로 인해 피해자는 수백만 달러의 비용을 치러야 했으며, 갈수록 그 범위가 확장되고 있다고 말했다.    맬웨어 대신...영수증?  콜백 피싱(callback phishing)은 사회 공학(social engineering) 공격 수법이다. 유닛 42 연구진은 콜백 피싱이 스크립트 기반 공격보다 자원을 많이 사용하지만 덜 복잡하며 성공률도 더 높은 편이라고 설명했다. 기존 해킹은 피해자가 맬웨어를 다운받도록 유도한다. 가령 콘티 랜섬웨어 그룹과 연계된 사이버 공격집단은 피해자가 '바자르로더(BazarLoader)'라는 맬웨어를 내려받도록 했다.  이렇듯 맬웨어는 기존 콜백 피싱 공격에서 빠질 수 없는 요소다. 하지만 이번 유닛42가 조사한 해킹 수법에서 루나 모트 해킹 그룹은 맬웨어를 이용하지 않았다. 대신, 합법적이고 신뢰할 수 있는 시스템 관리 도구를 사용해 피해자와 직접 소통했다. 연구진은 "이러한 도구는 특성상 악의적이지 않아 기존 바이러스 백신 제품이 감지하기 어려울 것"이라고 설명했다.    가짜 구독 청구 영수증  이 수법의 초기 유인책은 PDF 영수증이 첨부된 피싱 ...

2022.11.22

블로그ㅣ 피싱 공격 막는 법은? 현관문을 닫아라

데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 英 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 97,456,345건의 기록이 손상됐다.  2022년 내내 (공개된) 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고… 해커들은 피싱 캠페인을 활용하여 이러한 공격을 시작하기 위한 직원 자격증명 액세스 권한을 얻고 있다.    사회 공학 다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 친구의 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다.  해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 해당 직원의 자격증명에 액세스하고, (기업 시스템에 침입할 수 있는) 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 게 쉬운 법이다.  따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다.  우버, 트윌리오, 메일침프 해킹 사건 모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버(Uber)에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발...

피싱 피싱 공격 사회 공학 랜섬웨어 금융 사기 MFA 2FA

2022.10.27

데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 英 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 97,456,345건의 기록이 손상됐다.  2022년 내내 (공개된) 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고… 해커들은 피싱 캠페인을 활용하여 이러한 공격을 시작하기 위한 직원 자격증명 액세스 권한을 얻고 있다.    사회 공학 다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 친구의 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다.  해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 해당 직원의 자격증명에 액세스하고, (기업 시스템에 침입할 수 있는) 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 게 쉬운 법이다.  따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다.  우버, 트윌리오, 메일침프 해킹 사건 모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버(Uber)에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발...

2022.10.27

"피싱메일 손실 비용, 직원 연봉으로 따지면..." 오스터만 리서치

오스터만 리서치에 따르면 기업의 보안 전문가가 각 피싱 이메일을 처리하는 데 걸리는 시간은 평균 60분에 달하며, 이를 연봉으로 환산하면 인당 4만 5천 달러에 육박한다.     피싱 공격이 증가함에 따라 이에 대응하는 데 많은 비용이 드는 것으로 밝혀졌다. 오스터만 리서치(Osterman Research)의 새로운 보고서는 피싱 공격의 직접적인 피해액보다 기회 비용을 조명했다. 설문조사에 따르면 IT 및 보안 팀은 총 업무 시간 중 무려 3분의 1에 달하는 시간을 피싱 공격 대응에 쓰고 있다. 구체적인 피해액을 추산하자면 피싱 이메일 한 개에 평균 2.84달러에서 85.33달러 사이의 처리 비용이 발생한다고 보고서는 밝혔다.    이 보고서가 조명한 피해액은 피싱으로 인한 직접적 피해 비용이 아니라 IT 및 보안 팀의 생산성 손실을 기준으로 한다.  기업은 이메일 인프라에서 확인된 각 피싱 이메일을 처리하는 데 평균 16~30분을 소비한다고 보고서는 밝혔다. 이 보고서는 이메일 보안업체 아이언스케일스(Ironscales)가 의뢰했다. 오스터만 리서치는 2022년 6월 미국의 IT 및 보안 전문가 252명을 대상으로 설문 조사를 실시했다.  이안 토마스 아이컨스케일스 제품 마케팅 담당 부사장은 "매일 특정 기업을 공격하는 피싱 이메일의 수는 회사가 속한 산업과 지역을 포함한 무수한 요인에 따라 천차만별이다"라고 말했다.     피싱메일의 '진짜' 피해 비용 셈법  오스터만 리서치는 IT 및 보안 팀의 피싱 처리 비용을 계산하고자 IT 및 보안 전문가에게 제공되는 평균 급여 및 혜택을 파악했다. 이를 위해 매주 기업에서 피싱에 대처하는 데 시간을 할애하는 기업의 직군을 바탕으로 함수를 만들었다. 직군은 IT 보안 관리자, IT 관리자, 이메일 보안 관리자, 보안 관리자, 이메일 보안 관리자, SOC 관리자 및 SOC 애널리스트 등이 있다. IT 및 보안 전문가의 급여...

피싱메일 피싱 피싱공격

2022.10.24

오스터만 리서치에 따르면 기업의 보안 전문가가 각 피싱 이메일을 처리하는 데 걸리는 시간은 평균 60분에 달하며, 이를 연봉으로 환산하면 인당 4만 5천 달러에 육박한다.     피싱 공격이 증가함에 따라 이에 대응하는 데 많은 비용이 드는 것으로 밝혀졌다. 오스터만 리서치(Osterman Research)의 새로운 보고서는 피싱 공격의 직접적인 피해액보다 기회 비용을 조명했다. 설문조사에 따르면 IT 및 보안 팀은 총 업무 시간 중 무려 3분의 1에 달하는 시간을 피싱 공격 대응에 쓰고 있다. 구체적인 피해액을 추산하자면 피싱 이메일 한 개에 평균 2.84달러에서 85.33달러 사이의 처리 비용이 발생한다고 보고서는 밝혔다.    이 보고서가 조명한 피해액은 피싱으로 인한 직접적 피해 비용이 아니라 IT 및 보안 팀의 생산성 손실을 기준으로 한다.  기업은 이메일 인프라에서 확인된 각 피싱 이메일을 처리하는 데 평균 16~30분을 소비한다고 보고서는 밝혔다. 이 보고서는 이메일 보안업체 아이언스케일스(Ironscales)가 의뢰했다. 오스터만 리서치는 2022년 6월 미국의 IT 및 보안 전문가 252명을 대상으로 설문 조사를 실시했다.  이안 토마스 아이컨스케일스 제품 마케팅 담당 부사장은 "매일 특정 기업을 공격하는 피싱 이메일의 수는 회사가 속한 산업과 지역을 포함한 무수한 요인에 따라 천차만별이다"라고 말했다.     피싱메일의 '진짜' 피해 비용 셈법  오스터만 리서치는 IT 및 보안 팀의 피싱 처리 비용을 계산하고자 IT 및 보안 전문가에게 제공되는 평균 급여 및 혜택을 파악했다. 이를 위해 매주 기업에서 피싱에 대처하는 데 시간을 할애하는 기업의 직군을 바탕으로 함수를 만들었다. 직군은 IT 보안 관리자, IT 관리자, 이메일 보안 관리자, 보안 관리자, 이메일 보안 관리자, SOC 관리자 및 SOC 애널리스트 등이 있다. IT 및 보안 전문가의 급여...

2022.10.24

강은성의 보안 아키텍트ㅣ2단계 인증(2FA)을 통과하는 사회공학

지난 8월 10일 세계적인 네트워크 장비 기업이자 보안 전문 기업인 시스코(Cisco)는 올해 5월 24일 회사의 IT 인프라를 표적으로 한 공격이 발생했음을 발견하고 즉각 대응하여 제거했다고 밝힌 바 있다. 시스코에 따르면 공격자는 시스코 직원의 개인 구글 계정을 장악하여 직원의 크롬 브라우저에 저장되어 동기화된 회사의 자격증명을 확보했다. 그 뒤 공격자는 직원에게 다단계 인증 푸시 알림을 수락하도록 며칠 동안 이 직원이 신뢰할 만한 조직을 사칭하여 국제 억양과 사투리로 직원에게 전화를 걸었고, 결국 성공하여 CiscoVPN을 통해 내부에 침입하였다.   기술적으로 뚫리기 쉽지 않은 2단계 인증이 보이스 피싱으로 뚫린 것은 다소 허망한 면이 없지 않다. 하지만 시스코의 보고서에 나오는 대로 ‘신뢰할 만’하게 보이는 국제단체인 것처럼 위장하고 계속 전화를 걸면 귀찮아서든 실수로든 푸시 알림을 한 번쯤 누를 수도 있을 법하다(필자는 Google Authenticator를 테스트해 보기 위해 푸시 알림에 ‘아니오’를 눌렀다가 고생한 경험이 있다). 지난 9월 5일 세계 굴지의 호텔그룹 인터컨티넨티탈호텔그룹(IHG)의 자회사 홀리데이인호텔이 사이버 공격을 받아 2주일 정도 예약시스템 등 주요 IT시스템이 중단됐다. 자신을 TeaPea라고 지칭한 범인은 9월 17일 텔레그램을 통해 BBC와 연결됐을 때, 피싱 메일에 악성코드를 첨부하여 회사 내부에 침입하였으며, 2단계 인증 코드(2FA)를 캡처하여 2FA를 우회했고, IHG의 가장 민감한 컴퓨터시스템은 패스워드 ‘Qwerty1234’(!)로 접속하였다고 주장했다.  기사만으로는 IHG에서 2단계 인증이 우회된 경위가 분명해 보이지는 않으나, 이와 비슷한 내용을 한국인터넷진흥원(KISA)에서 제시한 적이 있다.    위 시퀀스 다이어그램을 보면, 피싱 메일을 받은 직원은 메일 본문에 있는 로그인 피싱 페이지에 접속하여 ID와 비밀번호를 입력하고, OTP(One Ti...

강은성 강은성의 보안 아키텍트 2단계 인증 2FA 사회공학 시스코 구글 악성코드 피싱 랩서스 소셜 엔지니어링 OTP

2022.10.12

지난 8월 10일 세계적인 네트워크 장비 기업이자 보안 전문 기업인 시스코(Cisco)는 올해 5월 24일 회사의 IT 인프라를 표적으로 한 공격이 발생했음을 발견하고 즉각 대응하여 제거했다고 밝힌 바 있다. 시스코에 따르면 공격자는 시스코 직원의 개인 구글 계정을 장악하여 직원의 크롬 브라우저에 저장되어 동기화된 회사의 자격증명을 확보했다. 그 뒤 공격자는 직원에게 다단계 인증 푸시 알림을 수락하도록 며칠 동안 이 직원이 신뢰할 만한 조직을 사칭하여 국제 억양과 사투리로 직원에게 전화를 걸었고, 결국 성공하여 CiscoVPN을 통해 내부에 침입하였다.   기술적으로 뚫리기 쉽지 않은 2단계 인증이 보이스 피싱으로 뚫린 것은 다소 허망한 면이 없지 않다. 하지만 시스코의 보고서에 나오는 대로 ‘신뢰할 만’하게 보이는 국제단체인 것처럼 위장하고 계속 전화를 걸면 귀찮아서든 실수로든 푸시 알림을 한 번쯤 누를 수도 있을 법하다(필자는 Google Authenticator를 테스트해 보기 위해 푸시 알림에 ‘아니오’를 눌렀다가 고생한 경험이 있다). 지난 9월 5일 세계 굴지의 호텔그룹 인터컨티넨티탈호텔그룹(IHG)의 자회사 홀리데이인호텔이 사이버 공격을 받아 2주일 정도 예약시스템 등 주요 IT시스템이 중단됐다. 자신을 TeaPea라고 지칭한 범인은 9월 17일 텔레그램을 통해 BBC와 연결됐을 때, 피싱 메일에 악성코드를 첨부하여 회사 내부에 침입하였으며, 2단계 인증 코드(2FA)를 캡처하여 2FA를 우회했고, IHG의 가장 민감한 컴퓨터시스템은 패스워드 ‘Qwerty1234’(!)로 접속하였다고 주장했다.  기사만으로는 IHG에서 2단계 인증이 우회된 경위가 분명해 보이지는 않으나, 이와 비슷한 내용을 한국인터넷진흥원(KISA)에서 제시한 적이 있다.    위 시퀀스 다이어그램을 보면, 피싱 메일을 받은 직원은 메일 본문에 있는 로그인 피싱 페이지에 접속하여 ID와 비밀번호를 입력하고, OTP(One Ti...

2022.10.12

‘채용 제안 유혹에 맬웨어 유입’ 라자루스 그룹, 델 드라이버 취약점 침투

라자루스 해킹 그룹은 채용 제안을 가장하는 식으로 피해자에 접근해 컴퓨터에 맬웨어를 유입시켰다. 이 맬웨어는 델이 만든 OEM 드라이버의 취약점을 악용한다.    북한의 악명 높은 국가 지원 해커 그룹인 라자루스가 보안 솔루션의 탐지를 피하고자 델이 개발한 OEM 드라이버의 알려진 취약성을 이용하기 시작했다.  PC 운영체제 업데이트를 항상 최신 상태로 유지하는 것이 왜 중요한지 보여주는 사례다.  바이러스 백신 업체 ESET의 보안 연구원들은 최근 보고서에서 “가장 눈에 띄는 공격 수법은 델 드라이버 CVE-2021-21551에 있는 취약점을 악용해 커널 메모리 읽기/쓰기 권한을 탈취한 해킹 도구였다”라고 말했다. 연구진은 “현장에서 이 취약점이 공격당한 적은 처음이다. 공격자는 커널 메모리 권한으로 레지스트리, 파일 시스템, 프로세스 생성, 이벤트 추적 등과 같이 윈도우 운영체제가 시스템을 모니터링하기 위해 사용하는 7가지 메커니즘을 비활성화했다. 즉 운영체제의 보안 기능을 가장 단순하면서 확실한 방법으로 무력화시킨 셈이다”라고 설명했다.    채용 제안으로 유혹  ESET이 조사한 새 공격 수법은 일명 히든 코브라(Hidden Cobra)로 불리기도 한다. 해커들은 네덜란드의 한 항공 우주 회사 직원과 벨기에 언론 기관의 직원을 겨냥했다. 항공 우주 회사의 직원은 링크드인에서 Amzon_Netherlands.docx라는 파일이 첨부된 메시지를 받았다. 연구진은 문서의 내용을 알아내지 못했지만 아마존 카이퍼 우주 프로젝트와 관련된 채용 제안이었으리라 추측했다. 비슷하게 벨기에 언론사의 직원도 AWS_EMEA_Legal_.docx이라는 문서가 첨부된 이메일을 받았다. 이 또한 허위 AWS 채용 제안으로 추정된다.   이런 허위 채용 제안 수법은 2019년과 2020년 라자루스가 항공우주 및 방위산업 분야의 직원을 겨냥한 방식과 궤를 같이한다.  첨부 파일은...

라자루스 그룹 라자루스 소셜엔지니어링 소셜엔지니어링공격 피싱

2022.10.07

라자루스 해킹 그룹은 채용 제안을 가장하는 식으로 피해자에 접근해 컴퓨터에 맬웨어를 유입시켰다. 이 맬웨어는 델이 만든 OEM 드라이버의 취약점을 악용한다.    북한의 악명 높은 국가 지원 해커 그룹인 라자루스가 보안 솔루션의 탐지를 피하고자 델이 개발한 OEM 드라이버의 알려진 취약성을 이용하기 시작했다.  PC 운영체제 업데이트를 항상 최신 상태로 유지하는 것이 왜 중요한지 보여주는 사례다.  바이러스 백신 업체 ESET의 보안 연구원들은 최근 보고서에서 “가장 눈에 띄는 공격 수법은 델 드라이버 CVE-2021-21551에 있는 취약점을 악용해 커널 메모리 읽기/쓰기 권한을 탈취한 해킹 도구였다”라고 말했다. 연구진은 “현장에서 이 취약점이 공격당한 적은 처음이다. 공격자는 커널 메모리 권한으로 레지스트리, 파일 시스템, 프로세스 생성, 이벤트 추적 등과 같이 윈도우 운영체제가 시스템을 모니터링하기 위해 사용하는 7가지 메커니즘을 비활성화했다. 즉 운영체제의 보안 기능을 가장 단순하면서 확실한 방법으로 무력화시킨 셈이다”라고 설명했다.    채용 제안으로 유혹  ESET이 조사한 새 공격 수법은 일명 히든 코브라(Hidden Cobra)로 불리기도 한다. 해커들은 네덜란드의 한 항공 우주 회사 직원과 벨기에 언론 기관의 직원을 겨냥했다. 항공 우주 회사의 직원은 링크드인에서 Amzon_Netherlands.docx라는 파일이 첨부된 메시지를 받았다. 연구진은 문서의 내용을 알아내지 못했지만 아마존 카이퍼 우주 프로젝트와 관련된 채용 제안이었으리라 추측했다. 비슷하게 벨기에 언론사의 직원도 AWS_EMEA_Legal_.docx이라는 문서가 첨부된 이메일을 받았다. 이 또한 허위 AWS 채용 제안으로 추정된다.   이런 허위 채용 제안 수법은 2019년과 2020년 라자루스가 항공우주 및 방위산업 분야의 직원을 겨냥한 방식과 궤를 같이한다.  첨부 파일은...

2022.10.07

‘안경 반사부터 버린 프린터까지…’ 기묘한 데이터 유출 이야기 8선

직원들이 사이버보안 수칙을 철저히 지키더라도 방심은 근물이다. 안경에 반사에 된 화면부터 버려진 프린터까지 데이터가 쥐도 새도 모르게 유출될 구멍은 여전히 수두룩하다.   요즘 직원들은 데이터 유출에 조심하라는 잔소리를 귀가 닳도록 듣는다. 피싱 이메일, 자격 증명 도난, 단순한 비밀번호 등 쉽게 예방할 수 있는 취약점이 무수하기 때문이다.  하지만 예방할 수 없는 취약점도 있다. 자신도 모르게 민감한 데이터를 노출할 때가 있다. 그만큼 데이터 탈취 수법이 교묘한 것이다. 이는 심지어 보안 인식 프로그램에서도 다뤄지지 않는다.  여기 직원 자신도 모르게 민감한 데이터를 노출하게 되는 8가지 사례다.    1. 안경에 화면이 반사됐다  원격 및 하이브리드 근무가 일상이 되면서 줌(Zoom), 팀즈(Teams)와 같은 도구는 삶의 일부가 됐다. 보통 화상회의를 할 때는 화면 녹화 같은 디지털 유출만 고려된다. 그러나 놀랍게도 새로운 연구에 따르면 화상회의 참가자의 안경에 비친 화면의 모습이 중요한 정보가 노출되는 취약점이 될 수 있다. ‘사립탐정: 화상회의 시 안경 반사를 통한 텍스트 화면 피킹(Peeking)의 한계에 관하여(Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing)’라는 논문에서 코넬 대학교(Cornell University)의 연구원들은 화상회의 중 참가자들의 안경과 다른 반사 물체를 통해 노출되는 화면 텍스트를 재구성하는 수법을 탐구했다. 해당 연구는 수학적 모델링을 활용해 사람을 대상으로 실험했다. 그 결과 안경에 어슴푸레 비치는 참가자의 화면을 웹캠이 인식해 중요한 텍스트 및 시각적 정보를 추출할 수 있다는 점을 발견했다.  연구원들은 “통제된 연구실 환경에서 실시한 실험에 따르면 720p 웹캠으로 높이가 10mm에 불과한 텍스트를 ...

데이터유출 데이터보안 보안수칙 피싱 피싱공격

2022.10.06

직원들이 사이버보안 수칙을 철저히 지키더라도 방심은 근물이다. 안경에 반사에 된 화면부터 버려진 프린터까지 데이터가 쥐도 새도 모르게 유출될 구멍은 여전히 수두룩하다.   요즘 직원들은 데이터 유출에 조심하라는 잔소리를 귀가 닳도록 듣는다. 피싱 이메일, 자격 증명 도난, 단순한 비밀번호 등 쉽게 예방할 수 있는 취약점이 무수하기 때문이다.  하지만 예방할 수 없는 취약점도 있다. 자신도 모르게 민감한 데이터를 노출할 때가 있다. 그만큼 데이터 탈취 수법이 교묘한 것이다. 이는 심지어 보안 인식 프로그램에서도 다뤄지지 않는다.  여기 직원 자신도 모르게 민감한 데이터를 노출하게 되는 8가지 사례다.    1. 안경에 화면이 반사됐다  원격 및 하이브리드 근무가 일상이 되면서 줌(Zoom), 팀즈(Teams)와 같은 도구는 삶의 일부가 됐다. 보통 화상회의를 할 때는 화면 녹화 같은 디지털 유출만 고려된다. 그러나 놀랍게도 새로운 연구에 따르면 화상회의 참가자의 안경에 비친 화면의 모습이 중요한 정보가 노출되는 취약점이 될 수 있다. ‘사립탐정: 화상회의 시 안경 반사를 통한 텍스트 화면 피킹(Peeking)의 한계에 관하여(Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing)’라는 논문에서 코넬 대학교(Cornell University)의 연구원들은 화상회의 중 참가자들의 안경과 다른 반사 물체를 통해 노출되는 화면 텍스트를 재구성하는 수법을 탐구했다. 해당 연구는 수학적 모델링을 활용해 사람을 대상으로 실험했다. 그 결과 안경에 어슴푸레 비치는 참가자의 화면을 웹캠이 인식해 중요한 텍스트 및 시각적 정보를 추출할 수 있다는 점을 발견했다.  연구원들은 “통제된 연구실 환경에서 실시한 실험에 따르면 720p 웹캠으로 높이가 10mm에 불과한 텍스트를 ...

2022.10.06

피싱에도 ‘부캐’ 등판?··· 이란 해킹그룹의 새 공격 캠페인 발견돼

이란이 후원하는 해킹그룹이 새로운 스피어 피싱 전략을 구사하기 시작했다. 여러 가짜 페르소나를 사용하여 이메일을 주고받아 더욱더 신뢰하도록 하는 방식이다.  프루프포인트(Proofpoint)는 해당 그룹이 TA453이라고 추정했으나, 이란의 다른 해킹그룹 챠밍 키튼(Charming Kitten), 포스포러스(Phosphorus), APT42의 짓이라는 분석도 있었다. 이를테면 맨디언트(Mendiant)는 최근 APT42가 이슬람혁명수비대(IRGC)의 정보기구(IRGC-IO)를 대신하고 있으며, 고도로 표적화된 사회공학을 하고 있는 것 같다고 밝혔다.  프루프포인트 연구진은 최신 보고서에서 “2022년 중반부터 시작해 TA453이 표적형 사회공학을 새로운 차원으로 끌어올렸다. 한 사람이 통제하는 한 페르소나가 아니라, 여러 페르소나가 있다. 이 기법을 통해 TA453은 사회적 증거(편집자 주: 다른 사람들의 행동과 의견으로 행동 및 의사결정의 기준을 삼는다는 뜻)의 심리학적 원리를 활용하여 타깃을 속일 수 있고, 아울러 위협 행위자의 스피어 피싱 신뢰성을 높일 수 있다”라고 설명했다.    ‘멀티-페르소나’ 사칭의 작동 방식 프루프포인트에서 분석한 최근 이메일 공격은 TA453의 위협 행위자가 타깃과 관련된 주제로 신중하게 제작된 이메일을 (타깃에게) 보내는 것으로 시작됐다. 이러한 이메일은 일반적으로 타깃과 같은 분야에서 일하는 다른 학자나 연구원을 사칭했다.  예를 들면 중동 지역 전문가를 타깃으로 한 이메일에서 공격자는 FPRI(Foreign Policy Research Institute)의 연구 책임자 아론 스타인을 사칭하여 이스라엘, 걸프 국가, 아브라함 협정에 관한 대화를 시작했다. 또 공격자는 이메일에 퓨 리서치 센터(Pew Research Center)의 글로벌 태세 연구 책임자 리처드 위크도 참조에 넣어 소개했다.  여기서 이메일에 위조된 ID는 모두 실제로 해당 기관에서 일하는 실...

피싱 피싱 메일 스피어 피싱 해킹그룹 멀티 페르소나

2022.09.16

이란이 후원하는 해킹그룹이 새로운 스피어 피싱 전략을 구사하기 시작했다. 여러 가짜 페르소나를 사용하여 이메일을 주고받아 더욱더 신뢰하도록 하는 방식이다.  프루프포인트(Proofpoint)는 해당 그룹이 TA453이라고 추정했으나, 이란의 다른 해킹그룹 챠밍 키튼(Charming Kitten), 포스포러스(Phosphorus), APT42의 짓이라는 분석도 있었다. 이를테면 맨디언트(Mendiant)는 최근 APT42가 이슬람혁명수비대(IRGC)의 정보기구(IRGC-IO)를 대신하고 있으며, 고도로 표적화된 사회공학을 하고 있는 것 같다고 밝혔다.  프루프포인트 연구진은 최신 보고서에서 “2022년 중반부터 시작해 TA453이 표적형 사회공학을 새로운 차원으로 끌어올렸다. 한 사람이 통제하는 한 페르소나가 아니라, 여러 페르소나가 있다. 이 기법을 통해 TA453은 사회적 증거(편집자 주: 다른 사람들의 행동과 의견으로 행동 및 의사결정의 기준을 삼는다는 뜻)의 심리학적 원리를 활용하여 타깃을 속일 수 있고, 아울러 위협 행위자의 스피어 피싱 신뢰성을 높일 수 있다”라고 설명했다.    ‘멀티-페르소나’ 사칭의 작동 방식 프루프포인트에서 분석한 최근 이메일 공격은 TA453의 위협 행위자가 타깃과 관련된 주제로 신중하게 제작된 이메일을 (타깃에게) 보내는 것으로 시작됐다. 이러한 이메일은 일반적으로 타깃과 같은 분야에서 일하는 다른 학자나 연구원을 사칭했다.  예를 들면 중동 지역 전문가를 타깃으로 한 이메일에서 공격자는 FPRI(Foreign Policy Research Institute)의 연구 책임자 아론 스타인을 사칭하여 이스라엘, 걸프 국가, 아브라함 협정에 관한 대화를 시작했다. 또 공격자는 이메일에 퓨 리서치 센터(Pew Research Center)의 글로벌 태세 연구 책임자 리처드 위크도 참조에 넣어 소개했다.  여기서 이메일에 위조된 ID는 모두 실제로 해당 기관에서 일하는 실...

2022.09.16

강은성의 보안 아키텍트ㅣ돈 되는 곳에 해킹 있다? - 천문학적 피해를 일으키는 가상자산 해킹

지난 4월 말 코엑스에서는 ‘8K 빅 픽처 인 포레스트'(8K Big Picture in FOR:REST)’라는 낯선 이름의 전시회가 열렸다.    “작가의 원화와 8K 고화질 디지털·NFT 작품을 감상”할 수 있다는 기사의 소개처럼 NFT의 주요 적용 분야 중 하나인 그림 작품을 실세계에 전시한 것이라 상당히 눈길을 끌었다. 2021년은 대체불가토큰(NFT, Non Fungible Token) 시장이 폭발적으로 성장한 한 해였다.   NFT 시장분석 사이트인 NonFungible.com에 따르면 2021년 NFT 거래는 약 177억 달러 규모로 2020년 8,250만 달러 대비 약 213배에 이른다. 가히 폭발적 성장이라 할 수 있다.  다양한 표정과 치장을 한 원숭이로 인기를 끈 ‘지루한 원숭이 요트클럽'(Bored Ape Yacht Club) 같은 프로필로부터 예술 창작품, 게임, 메타버스 등 활용되는 분야가 다양해진 덕분이다. 마케팅 수단으로 NFT를 도입하는 기업도 많이 늘었다.  돈 되는 곳에 해킹이 있듯 올해 NFT에 대한 해킹이 많이 발생했다. 블록체인 분석 기업 엘립틱(Elliptic)에 따르면 2021년 7월부터 2022년 7월까지 약 1억 달러(약 1,350억 원) 상당의 NFT가 도난당했다.  NFT가 블록체인 위에 기록되지만, 사고는 비밀번호 해킹과 피싱 같은 전통적인 방식으로 많이 일어났다. NFT 발행자가 주도하는 SNS에서 관리자의 계정 정보가 해킹되고, 그 계정으로 위장 NFT 발행 링크가 게시되어 그것을 따라간 사용자들이 자신의 지갑에 있던 NFT를 탈취당하거나 가짜 NFT에 가상자산을 사기당하는 식이다. 피싱 메일을 통해 해킹이 이뤄지기도 한다. 관리자 계정에 다단계 인증만 제대로 적용해도 많은 부분 대응할 수 있는 문제다. 가상자산에서 더 큰 피해는 블록체인 브리지에서 발생했다.    블록체인 브리지(또는 크로스체인 브리지)는 한 가상...

가상자산 블록체인 NFT 대체불가토큰 메타버스 해킹 피싱 블록체인 브리지 크로스체인 브리지 탈중앙화 금융 로닌 웜홀

2022.09.13

지난 4월 말 코엑스에서는 ‘8K 빅 픽처 인 포레스트'(8K Big Picture in FOR:REST)’라는 낯선 이름의 전시회가 열렸다.    “작가의 원화와 8K 고화질 디지털·NFT 작품을 감상”할 수 있다는 기사의 소개처럼 NFT의 주요 적용 분야 중 하나인 그림 작품을 실세계에 전시한 것이라 상당히 눈길을 끌었다. 2021년은 대체불가토큰(NFT, Non Fungible Token) 시장이 폭발적으로 성장한 한 해였다.   NFT 시장분석 사이트인 NonFungible.com에 따르면 2021년 NFT 거래는 약 177억 달러 규모로 2020년 8,250만 달러 대비 약 213배에 이른다. 가히 폭발적 성장이라 할 수 있다.  다양한 표정과 치장을 한 원숭이로 인기를 끈 ‘지루한 원숭이 요트클럽'(Bored Ape Yacht Club) 같은 프로필로부터 예술 창작품, 게임, 메타버스 등 활용되는 분야가 다양해진 덕분이다. 마케팅 수단으로 NFT를 도입하는 기업도 많이 늘었다.  돈 되는 곳에 해킹이 있듯 올해 NFT에 대한 해킹이 많이 발생했다. 블록체인 분석 기업 엘립틱(Elliptic)에 따르면 2021년 7월부터 2022년 7월까지 약 1억 달러(약 1,350억 원) 상당의 NFT가 도난당했다.  NFT가 블록체인 위에 기록되지만, 사고는 비밀번호 해킹과 피싱 같은 전통적인 방식으로 많이 일어났다. NFT 발행자가 주도하는 SNS에서 관리자의 계정 정보가 해킹되고, 그 계정으로 위장 NFT 발행 링크가 게시되어 그것을 따라간 사용자들이 자신의 지갑에 있던 NFT를 탈취당하거나 가짜 NFT에 가상자산을 사기당하는 식이다. 피싱 메일을 통해 해킹이 이뤄지기도 한다. 관리자 계정에 다단계 인증만 제대로 적용해도 많은 부분 대응할 수 있는 문제다. 가상자산에서 더 큰 피해는 블록체인 브리지에서 발생했다.    블록체인 브리지(또는 크로스체인 브리지)는 한 가상...

2022.09.13

벤더 기고 | 기업 3/4이 1년 새 랜섬웨어 공격 경험··· 실패에 대비하라

랜섬웨어 공격은 꾸준히 증가하고 있다. 빔 소프트웨어의 ‘2022 데이터 보호 트렌드 보고서’에 따르면 지난 12개월 동안 기업의 76%가 랜섬웨어 공격에 영향을 받았다. 이는 전년대비 15%나 증가한 수치다. 랜섬웨어는 빈번해질 뿐만 아니라 더 강력해지고 있다. 랜섬웨어에 타격을 입으면 평균적으로 기업은 손실 데이터의 3분의 1이상(36%)은 복구할 수 없게 된다. 사이버 위협은 그 어느때보다도 예측하기가 어려워졌다. 더 많은 랜섬웨어 공격이 더 다양한 방법으로 발생하고 있다. 이로 인해 회사가 입게 될 막대한 손실은 불 보듯 뻔하다. 상황이 이렇기 때문에 기업은 예측이나 대처가 힘든 사이버 공격에 좌절하고 두려워하기보다 관리할 수 있는 범위에서 최대한의 노력을 기울여야 한다. 즉, 사이버 공격으로부터 비즈니스를 보호하는 방어에 집중해야 한다. 이를 위해서는 몇 가지 원칙을 명심해야 한다. 첫째는 랜섬웨어의 타깃은 무차별적이라는 점이다. 현재 사이버 보안 현황을 보고 있으면 잔인한 느낌이 들 지경이다. 사이버 범죄자들에게 책임을 묻기는 어려워지고, 기업들은 사이버 범죄 사건을 쉬쉬하며 대중의 관심을 최소화하려고 애쓴다. 이는 사이버 범죄자 보다는 피해 기업에 초점이 맞춰지는 현실에 기인한다. 사실 대부분의 사이버 범죄 자체가 무차별적이라고 볼 수 있다. 다시 말해, 모든 기업이 공격 타깃이 될 수 있다. 어나니머스(Anonymous)와 같은 해커 단체들은 사회 정의를 행사하고 그들이 비도덕적이거나, 불법적이거나, 위험하다고 생각하는 기업이나 정부를 공격하기 위해 조직적인 사이버 공격을 감행한다. 하지만 요즘엔 자선활동이나 도덕적인 이미지의 기업들조차도 사이버 공격으로 인해 데이터와 시스템을 복구하기 위한 비용을 사이버 범죄자에게 지불하는 실정이다. 사이버 공격은 종종 '피싱(phishing)'으로 시작된다. 피싱은 피해자가 관심있어 할 만한 이메일이나 텍스트로 링크를 클릭하게 만들고 몰래 악성 프로그램을 장치에 심는 것을 말한다. 특히 랜섬웨어는 산...

빔 소프트웨어 피싱 백업 제로 트러스트

2022.08.24

랜섬웨어 공격은 꾸준히 증가하고 있다. 빔 소프트웨어의 ‘2022 데이터 보호 트렌드 보고서’에 따르면 지난 12개월 동안 기업의 76%가 랜섬웨어 공격에 영향을 받았다. 이는 전년대비 15%나 증가한 수치다. 랜섬웨어는 빈번해질 뿐만 아니라 더 강력해지고 있다. 랜섬웨어에 타격을 입으면 평균적으로 기업은 손실 데이터의 3분의 1이상(36%)은 복구할 수 없게 된다. 사이버 위협은 그 어느때보다도 예측하기가 어려워졌다. 더 많은 랜섬웨어 공격이 더 다양한 방법으로 발생하고 있다. 이로 인해 회사가 입게 될 막대한 손실은 불 보듯 뻔하다. 상황이 이렇기 때문에 기업은 예측이나 대처가 힘든 사이버 공격에 좌절하고 두려워하기보다 관리할 수 있는 범위에서 최대한의 노력을 기울여야 한다. 즉, 사이버 공격으로부터 비즈니스를 보호하는 방어에 집중해야 한다. 이를 위해서는 몇 가지 원칙을 명심해야 한다. 첫째는 랜섬웨어의 타깃은 무차별적이라는 점이다. 현재 사이버 보안 현황을 보고 있으면 잔인한 느낌이 들 지경이다. 사이버 범죄자들에게 책임을 묻기는 어려워지고, 기업들은 사이버 범죄 사건을 쉬쉬하며 대중의 관심을 최소화하려고 애쓴다. 이는 사이버 범죄자 보다는 피해 기업에 초점이 맞춰지는 현실에 기인한다. 사실 대부분의 사이버 범죄 자체가 무차별적이라고 볼 수 있다. 다시 말해, 모든 기업이 공격 타깃이 될 수 있다. 어나니머스(Anonymous)와 같은 해커 단체들은 사회 정의를 행사하고 그들이 비도덕적이거나, 불법적이거나, 위험하다고 생각하는 기업이나 정부를 공격하기 위해 조직적인 사이버 공격을 감행한다. 하지만 요즘엔 자선활동이나 도덕적인 이미지의 기업들조차도 사이버 공격으로 인해 데이터와 시스템을 복구하기 위한 비용을 사이버 범죄자에게 지불하는 실정이다. 사이버 공격은 종종 '피싱(phishing)'으로 시작된다. 피싱은 피해자가 관심있어 할 만한 이메일이나 텍스트로 링크를 클릭하게 만들고 몰래 악성 프로그램을 장치에 심는 것을 말한다. 특히 랜섬웨어는 산...

2022.08.24

“2022 상반기 피싱 공격서 가장 많이 사칭된 브랜드는 MS”

보안 회사 베이드(Vade)의 피싱 보고서(Phishers' Favorites)에 따르면 마이크로소프트가 2022년 상반기 피싱 공격에서 가장 많이 사칭된 25개 브랜드 가운데 페이스북을 제치고 1위에 올랐다. 총 1만 1,041개의 피싱 URL이 마이크로소프트를 사칭한 것이었다. 2021년 가장 많이 사칭된 브랜드 1위였던 페이스북은 총 1만 448개의 피싱 URL로 그 뒤를 바짝 쫓았다. 상위 5위 안에 드는 다른 브랜드로는 크레디 아그리콜(Credit Agricole), 왓츠앱(Whatsapp), 오렌지(Orange) 등이 있었다. 좋은 소식도 있다. 마이크로소프트, 페이스북 등 주요 브랜드를 사칭한 피싱 공격이 분기별로 증가하긴 했지만 이번 2분기(5만 3,198개) 전체 피싱 공격 건수는 1분기(8만 1,447개) 대비 감소했다.    창의적인 전술로 이뤄지는 마이크로소프트와 페이스북 피싱 2억 4,000만 명 이상의 비즈니스 사용자를 보유한 마이크로소프트의 365 플랫폼은 굉장히 매력적인 피싱 공격 타깃이라고 할 수 있다. 실제로 올해 이 브랜드를 사칭한 피싱 공격은 분기 대비 266% 급증했다.  보고서에 의하면 마이크로소프트의 브랜드는 맥아피, 노턴, 애플, 아마존 등 다른 기업과 마찬가지로 수많은 ‘기술 지원’ 사기에 사용됐다. 달랐던 점은 해커가 사용자를 유인하고 이메일 필터를 우회하기 위해 피싱 링크 대신 전화번호를 사용했다는 것이다.  예를 들면 지난 6월 한 해커는 마이크로소프트 디펜더(Microsoft Defender)를 사칭하여 피해자에게 299달러의 구독료가 인출됐으며, 24시간 이내에 전화를 통해서만 취소할 수 있다고 알렸다. 피해자가 해당 알림에 표시된 번호로 전화를 걸면 해커는 사용자의 컴퓨터를 제어해 스파이웨어를 설치했다.  페이스북 피싱에서도 창의적인 전술이 발견됐다. 이를테면 ‘커뮤니티 표준 위반(Violation of Community Standards)...

피싱 피싱 공격 마이크로소프트 페이스북

2022.07.29

보안 회사 베이드(Vade)의 피싱 보고서(Phishers' Favorites)에 따르면 마이크로소프트가 2022년 상반기 피싱 공격에서 가장 많이 사칭된 25개 브랜드 가운데 페이스북을 제치고 1위에 올랐다. 총 1만 1,041개의 피싱 URL이 마이크로소프트를 사칭한 것이었다. 2021년 가장 많이 사칭된 브랜드 1위였던 페이스북은 총 1만 448개의 피싱 URL로 그 뒤를 바짝 쫓았다. 상위 5위 안에 드는 다른 브랜드로는 크레디 아그리콜(Credit Agricole), 왓츠앱(Whatsapp), 오렌지(Orange) 등이 있었다. 좋은 소식도 있다. 마이크로소프트, 페이스북 등 주요 브랜드를 사칭한 피싱 공격이 분기별로 증가하긴 했지만 이번 2분기(5만 3,198개) 전체 피싱 공격 건수는 1분기(8만 1,447개) 대비 감소했다.    창의적인 전술로 이뤄지는 마이크로소프트와 페이스북 피싱 2억 4,000만 명 이상의 비즈니스 사용자를 보유한 마이크로소프트의 365 플랫폼은 굉장히 매력적인 피싱 공격 타깃이라고 할 수 있다. 실제로 올해 이 브랜드를 사칭한 피싱 공격은 분기 대비 266% 급증했다.  보고서에 의하면 마이크로소프트의 브랜드는 맥아피, 노턴, 애플, 아마존 등 다른 기업과 마찬가지로 수많은 ‘기술 지원’ 사기에 사용됐다. 달랐던 점은 해커가 사용자를 유인하고 이메일 필터를 우회하기 위해 피싱 링크 대신 전화번호를 사용했다는 것이다.  예를 들면 지난 6월 한 해커는 마이크로소프트 디펜더(Microsoft Defender)를 사칭하여 피해자에게 299달러의 구독료가 인출됐으며, 24시간 이내에 전화를 통해서만 취소할 수 있다고 알렸다. 피해자가 해당 알림에 표시된 번호로 전화를 걸면 해커는 사용자의 컴퓨터를 제어해 스파이웨어를 설치했다.  페이스북 피싱에서도 창의적인 전술이 발견됐다. 이를테면 ‘커뮤니티 표준 위반(Violation of Community Standards)...

2022.07.29

“위협 행위자, ‘휴먼팩터’ 악용해 더 창의적으로 변하고 있다”

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

프루프포인트 위협 행위자 휴먼팩터 인적요소 소셜 엔지니어링 피싱 스미싱 내부자 위협 공급망 공격

2022.06.14

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

2022.06.14

기고 | 일론 머스크의 트위터 인수, 지켜봐야 할 2가지

일론 머스크의 트위터 인수에 대한 보도 중 상당수는 ‘발언의 자유’에 초점을 맞추고 있다. 그러나 머스크가 트위터에 적용할 두 가지 변경 사항, 즉 트위터 알고리즘을 오픈소스화하는 것과 플랫폼에서 봇을 제거하는 것이 보안 측면에서 큰 의미를 지닌다고 엑스트라홉의 수석 기술 매니저 제이미 몰레는 분석한다.    오픈소스화 관련 우려 소스 코드를 대중과 공유하는 것은 비교적 쉽다. 깃허브(GitHub)와 같은 공용 보관소에 코드를 공개하면 된다. 하지만, 트위터는 공유 내용을 신중히 고민할 필요가 있다. 코드에는 으레 노출되지 말아야 할 부분이 있다. 배경 설명을 하자면, 트위터와 같은 플랫폼의 근간에는 다양한 기능을 수행하는 많은 알고리즘이 존재한다. 그 중에서도 특히 흥미로운 것은 트위터 게시물의 인기를 모니터링하고 관리하는 알고리즘이다.  특정 트위터 게시물을 우선적으로 적극 홍보하거나 트위터 상에서 인기 있는 게시물을 결정하는 알고리즘 등이 있다. 일례로 한 알고리즘은 신규 게시물들 속에 사용 중인 해시태그를 전체적으로 검토해 ‘트렌딩(trending)’ 게시물 순위를 정한다.  결국 이런 알고리즘을 통해 어떤 게시물과 관점이 관심을 끌지 결정된다. 일론 머스크는 트위터 알고리즘을 오픈소스화 한다는 방침이다. 이와 관련해 흥미롭게 지켜볼 부분이 있다. 알고리즘 자체의 가치와 이들 알고리즘이 처리하는 데이터의 가치다.  머신러닝(ML) 종사자라면 “특별한 것은 데이터이고 ML에는 특별할 것이 없다”는 개념에 익숙하다. 구글이 최초로 제안한 이 개념은 대부분의 ML 알고리즘이 그저 평범할 뿐이며, 가치의 원천은 데이터임을 강조한다. 이른바 쓰레기를 넣으면 쓰레기가 나온다. 그렇다면 트위터 알고리즘은 어떨까? 이미 다른 주요 SNS 서비스나 신규 업체가 사용 중인 것과 다를 바 없는 지극히 평범한 알고리즘일까? 트위터의 특별함은 단순히 사용자들과 그들이 올리는 게시물 덕분인 것일까? 오픈소스화, 트위터...

일론 머스크 트위터 알고리즘 피싱

2022.05.09

일론 머스크의 트위터 인수에 대한 보도 중 상당수는 ‘발언의 자유’에 초점을 맞추고 있다. 그러나 머스크가 트위터에 적용할 두 가지 변경 사항, 즉 트위터 알고리즘을 오픈소스화하는 것과 플랫폼에서 봇을 제거하는 것이 보안 측면에서 큰 의미를 지닌다고 엑스트라홉의 수석 기술 매니저 제이미 몰레는 분석한다.    오픈소스화 관련 우려 소스 코드를 대중과 공유하는 것은 비교적 쉽다. 깃허브(GitHub)와 같은 공용 보관소에 코드를 공개하면 된다. 하지만, 트위터는 공유 내용을 신중히 고민할 필요가 있다. 코드에는 으레 노출되지 말아야 할 부분이 있다. 배경 설명을 하자면, 트위터와 같은 플랫폼의 근간에는 다양한 기능을 수행하는 많은 알고리즘이 존재한다. 그 중에서도 특히 흥미로운 것은 트위터 게시물의 인기를 모니터링하고 관리하는 알고리즘이다.  특정 트위터 게시물을 우선적으로 적극 홍보하거나 트위터 상에서 인기 있는 게시물을 결정하는 알고리즘 등이 있다. 일례로 한 알고리즘은 신규 게시물들 속에 사용 중인 해시태그를 전체적으로 검토해 ‘트렌딩(trending)’ 게시물 순위를 정한다.  결국 이런 알고리즘을 통해 어떤 게시물과 관점이 관심을 끌지 결정된다. 일론 머스크는 트위터 알고리즘을 오픈소스화 한다는 방침이다. 이와 관련해 흥미롭게 지켜볼 부분이 있다. 알고리즘 자체의 가치와 이들 알고리즘이 처리하는 데이터의 가치다.  머신러닝(ML) 종사자라면 “특별한 것은 데이터이고 ML에는 특별할 것이 없다”는 개념에 익숙하다. 구글이 최초로 제안한 이 개념은 대부분의 ML 알고리즘이 그저 평범할 뿐이며, 가치의 원천은 데이터임을 강조한다. 이른바 쓰레기를 넣으면 쓰레기가 나온다. 그렇다면 트위터 알고리즘은 어떨까? 이미 다른 주요 SNS 서비스나 신규 업체가 사용 중인 것과 다를 바 없는 지극히 평범한 알고리즘일까? 트위터의 특별함은 단순히 사용자들과 그들이 올리는 게시물 덕분인 것일까? 오픈소스화, 트위터...

2022.05.09

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

보안 부서 넘어서는 ‘내부자 위협’ 문제··· 요주의 직원은? 대응 방법은?

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

내부자 위협 내부자 유출 소셜 엔지니어링 스캠 피싱

2022.04.15

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

2022.04.15

조시큐리티, ‘조샌드박스’ 발표··· "심층 URL 분석으로 피싱 탐지 기능 강화"

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

조시큐리티 조샌드박스 피싱 악성코드

2022.01.20

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

2022.01.20

"금융사 또는 북한 내부 정보로 현혹" 이스트시큐리티, 北 배후 해킹 증가 주의

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

이스트시큐리티 해킹 사이버 위협 악성코드 피싱

2022.01.13

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

2022.01.13

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31