Offcanvas

������

“위협 행위자, ‘휴먼팩터’ 악용해 더 창의적으로 변하고 있다”

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

프루프포인트 위협 행위자 휴먼팩터 인적요소 소셜 엔지니어링 피싱 스미싱 내부자 위협 공급망 공격

2022.06.14

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

2022.06.14

기고 | 일론 머스크의 트위터 인수, 지켜봐야 할 2가지

일론 머스크의 트위터 인수에 대한 보도 중 상당수는 ‘발언의 자유’에 초점을 맞추고 있다. 그러나 머스크가 트위터에 적용할 두 가지 변경 사항, 즉 트위터 알고리즘을 오픈소스화하는 것과 플랫폼에서 봇을 제거하는 것이 보안 측면에서 큰 의미를 지닌다고 엑스트라홉의 수석 기술 매니저 제이미 몰레는 분석한다.    오픈소스화 관련 우려 소스 코드를 대중과 공유하는 것은 비교적 쉽다. 깃허브(GitHub)와 같은 공용 보관소에 코드를 공개하면 된다. 하지만, 트위터는 공유 내용을 신중히 고민할 필요가 있다. 코드에는 으레 노출되지 말아야 할 부분이 있다. 배경 설명을 하자면, 트위터와 같은 플랫폼의 근간에는 다양한 기능을 수행하는 많은 알고리즘이 존재한다. 그 중에서도 특히 흥미로운 것은 트위터 게시물의 인기를 모니터링하고 관리하는 알고리즘이다.  특정 트위터 게시물을 우선적으로 적극 홍보하거나 트위터 상에서 인기 있는 게시물을 결정하는 알고리즘 등이 있다. 일례로 한 알고리즘은 신규 게시물들 속에 사용 중인 해시태그를 전체적으로 검토해 ‘트렌딩(trending)’ 게시물 순위를 정한다.  결국 이런 알고리즘을 통해 어떤 게시물과 관점이 관심을 끌지 결정된다. 일론 머스크는 트위터 알고리즘을 오픈소스화 한다는 방침이다. 이와 관련해 흥미롭게 지켜볼 부분이 있다. 알고리즘 자체의 가치와 이들 알고리즘이 처리하는 데이터의 가치다.  머신러닝(ML) 종사자라면 “특별한 것은 데이터이고 ML에는 특별할 것이 없다”는 개념에 익숙하다. 구글이 최초로 제안한 이 개념은 대부분의 ML 알고리즘이 그저 평범할 뿐이며, 가치의 원천은 데이터임을 강조한다. 이른바 쓰레기를 넣으면 쓰레기가 나온다. 그렇다면 트위터 알고리즘은 어떨까? 이미 다른 주요 SNS 서비스나 신규 업체가 사용 중인 것과 다를 바 없는 지극히 평범한 알고리즘일까? 트위터의 특별함은 단순히 사용자들과 그들이 올리는 게시물 덕분인 것일까? 오픈소스화, 트위터...

일론 머스크 트위터 알고리즘 피싱

2022.05.09

일론 머스크의 트위터 인수에 대한 보도 중 상당수는 ‘발언의 자유’에 초점을 맞추고 있다. 그러나 머스크가 트위터에 적용할 두 가지 변경 사항, 즉 트위터 알고리즘을 오픈소스화하는 것과 플랫폼에서 봇을 제거하는 것이 보안 측면에서 큰 의미를 지닌다고 엑스트라홉의 수석 기술 매니저 제이미 몰레는 분석한다.    오픈소스화 관련 우려 소스 코드를 대중과 공유하는 것은 비교적 쉽다. 깃허브(GitHub)와 같은 공용 보관소에 코드를 공개하면 된다. 하지만, 트위터는 공유 내용을 신중히 고민할 필요가 있다. 코드에는 으레 노출되지 말아야 할 부분이 있다. 배경 설명을 하자면, 트위터와 같은 플랫폼의 근간에는 다양한 기능을 수행하는 많은 알고리즘이 존재한다. 그 중에서도 특히 흥미로운 것은 트위터 게시물의 인기를 모니터링하고 관리하는 알고리즘이다.  특정 트위터 게시물을 우선적으로 적극 홍보하거나 트위터 상에서 인기 있는 게시물을 결정하는 알고리즘 등이 있다. 일례로 한 알고리즘은 신규 게시물들 속에 사용 중인 해시태그를 전체적으로 검토해 ‘트렌딩(trending)’ 게시물 순위를 정한다.  결국 이런 알고리즘을 통해 어떤 게시물과 관점이 관심을 끌지 결정된다. 일론 머스크는 트위터 알고리즘을 오픈소스화 한다는 방침이다. 이와 관련해 흥미롭게 지켜볼 부분이 있다. 알고리즘 자체의 가치와 이들 알고리즘이 처리하는 데이터의 가치다.  머신러닝(ML) 종사자라면 “특별한 것은 데이터이고 ML에는 특별할 것이 없다”는 개념에 익숙하다. 구글이 최초로 제안한 이 개념은 대부분의 ML 알고리즘이 그저 평범할 뿐이며, 가치의 원천은 데이터임을 강조한다. 이른바 쓰레기를 넣으면 쓰레기가 나온다. 그렇다면 트위터 알고리즘은 어떨까? 이미 다른 주요 SNS 서비스나 신규 업체가 사용 중인 것과 다를 바 없는 지극히 평범한 알고리즘일까? 트위터의 특별함은 단순히 사용자들과 그들이 올리는 게시물 덕분인 것일까? 오픈소스화, 트위터...

2022.05.09

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

보안 부서 넘어서는 ‘내부자 위협’ 문제··· 요주의 직원은? 대응 방법은?

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

내부자 위협 내부자 유출 소셜 엔지니어링 스캠 피싱

2022.04.15

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

2022.04.15

조시큐리티, ‘조샌드박스’ 발표··· "심층 URL 분석으로 피싱 탐지 기능 강화"

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

조시큐리티 조샌드박스 피싱 악성코드

2022.01.20

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

2022.01.20

"금융사 또는 북한 내부 정보로 현혹" 이스트시큐리티, 北 배후 해킹 증가 주의

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

이스트시큐리티 해킹 사이버 위협 악성코드 피싱

2022.01.13

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

2022.01.13

“랜섬웨어 공격 위해 기업 직원에서 접근하는 움직임 뚜렷하다”

펄스와 히타치 ID의 보고서에 따르면 사이버 공격자들이 랜섬웨어 공격을 위해 기업 직원들에게 접근하고 있다. 북미 지역 기업의 약 48%에 속하는 직원들이 이러한 접근을 보고했다. 이번 보고서는 100명의 IT 및 보안 임원을 대상으로 사이버 보안 인프라의 최근 변화, 사이버 공격 대처 능력, 정치의 역할 등을 조사한 결과를 대상으로 작성됐다. 응답자의 대다수(73%)는 10,000 명 이상의 직원을 보유한 기업의 종사자들이었다. 보고서에 따르면, 응답자의 83%가 재택근무로 전환한 이후 그러한 시도가 더욱 두드러졌다고 답했다. 주의태만과 사고를 방지하기 위한 직원 교육  내부접근 시도가 증가한 결과 지난 12개월 동안 69%의 응답자가 사이버보안에 대해 직원 교육을 시작했다고 밝혔으며, 향후 12개월 이내에 실시하겠다고 약속한 비율도 20%에 달했다. 사이버 보안에 대한 직원 교육을 마친 임원의 응답을 살펴보면, 89%는 피싱 공격에, 95%는 보안 암호 생성에, 95%는 이들 암호의 안전 유지에 초점을 맞췄다고 응답했다. 콘스텔레이션 리서치의 애널리스트인 리즈 밀러는 “사이버 보안 교육은 인간적인 실수에 가장 취약한 사람들이나 잘 식별하도록 도울 수 있다. 그러나 불만이나 악의를 가진 직원들로 인한 문제는 막기 어렵다”라고 말했다. 밀러에 따르면, 일부 직원의 악의적인 의도에 의해 유발된 내부자 위협을 처리하는 좋은 방법에는 계정으로부터의 엄청난 트래픽 양, 다중 지리적 로그인을 가진 단일 사용자, 일관되지 않거나 비정상적인 액세스 활동, 직장에서의 노골적으로 부정적인 감정과 같은 지표에 주의하는 것 등이 있다. 목록에서 최우선 순위인 SaaS, 제로 트러스트 및 IAM  거의 모든 보안 전문가들이(99%) 보안 관련 디지털 전환 노력의 일환으로 SaaS로의 이동이 포함된다고 답했으며, 3분의 1 이상(36%)은 그들의 노력 중 절반 이상에 SaaS로의 이동이 포함된다고 답했다. 임원 중 약 86%가 보안이 요구되는 구형 시스템...

랜섬웨어 히타치 펄스 직원 피싱 제로 트러스트 IAM

2021.12.17

펄스와 히타치 ID의 보고서에 따르면 사이버 공격자들이 랜섬웨어 공격을 위해 기업 직원들에게 접근하고 있다. 북미 지역 기업의 약 48%에 속하는 직원들이 이러한 접근을 보고했다. 이번 보고서는 100명의 IT 및 보안 임원을 대상으로 사이버 보안 인프라의 최근 변화, 사이버 공격 대처 능력, 정치의 역할 등을 조사한 결과를 대상으로 작성됐다. 응답자의 대다수(73%)는 10,000 명 이상의 직원을 보유한 기업의 종사자들이었다. 보고서에 따르면, 응답자의 83%가 재택근무로 전환한 이후 그러한 시도가 더욱 두드러졌다고 답했다. 주의태만과 사고를 방지하기 위한 직원 교육  내부접근 시도가 증가한 결과 지난 12개월 동안 69%의 응답자가 사이버보안에 대해 직원 교육을 시작했다고 밝혔으며, 향후 12개월 이내에 실시하겠다고 약속한 비율도 20%에 달했다. 사이버 보안에 대한 직원 교육을 마친 임원의 응답을 살펴보면, 89%는 피싱 공격에, 95%는 보안 암호 생성에, 95%는 이들 암호의 안전 유지에 초점을 맞췄다고 응답했다. 콘스텔레이션 리서치의 애널리스트인 리즈 밀러는 “사이버 보안 교육은 인간적인 실수에 가장 취약한 사람들이나 잘 식별하도록 도울 수 있다. 그러나 불만이나 악의를 가진 직원들로 인한 문제는 막기 어렵다”라고 말했다. 밀러에 따르면, 일부 직원의 악의적인 의도에 의해 유발된 내부자 위협을 처리하는 좋은 방법에는 계정으로부터의 엄청난 트래픽 양, 다중 지리적 로그인을 가진 단일 사용자, 일관되지 않거나 비정상적인 액세스 활동, 직장에서의 노골적으로 부정적인 감정과 같은 지표에 주의하는 것 등이 있다. 목록에서 최우선 순위인 SaaS, 제로 트러스트 및 IAM  거의 모든 보안 전문가들이(99%) 보안 관련 디지털 전환 노력의 일환으로 SaaS로의 이동이 포함된다고 답했으며, 3분의 1 이상(36%)은 그들의 노력 중 절반 이상에 SaaS로의 이동이 포함된다고 답했다. 임원 중 약 86%가 보안이 요구되는 구형 시스템...

2021.12.17

안랩, ‘캡챠’ 위장한 이미지로 악성 웹사이트 유도하는 '피싱 PDF' 주의 당부

안랩은 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서를 발견해 사용자의 주의를 당부했다. 캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 방식을 활용해 정상 이용자를 판별한다. 안랩이 이번에 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다. 만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’를 다운로드하거나 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲출처 불분명 파일 실행금지 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲오피스 SW, 운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 회사 측은 전했다. 안랩 분석팀 최수진 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”라며, “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”라고 당부했다. ciokr@idg.co.kr

안랩 피싱 악성코드

2021.11.09

안랩은 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서를 발견해 사용자의 주의를 당부했다. 캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 방식을 활용해 정상 이용자를 판별한다. 안랩이 이번에 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다. 만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’를 다운로드하거나 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲출처 불분명 파일 실행금지 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲오피스 SW, 운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 회사 측은 전했다. 안랩 분석팀 최수진 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”라며, “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”라고 당부했다. ciokr@idg.co.kr

2021.11.09

내부자 위협으로 이어진다··· CISO가 ‘허위 정보’에 민감해야 할 이유

허위 정보를 믿는 직원이 소셜 엔지니어링 및 피싱 공격에 좀더 취약한 경향을 보인다. 공격자들 또한 이를 잘 알고 있다. 오늘날 허위 정보와 사이버 공격을 연관 지어 생각하는 CISO들은 많지 않다. 실제로 밴다이어그램에는 ‘허위 정보’가 ‘CISO’ 또는 ‘사이버 위협’이라는 단어와 겹쳐 보이지 않는다. 하지만 현실은 다르다.   허위 정보는 CISO의 문제 일부 기업들이 허위 정보를 위협으로 식별하고 있다. 레코디드 퓨처(Recorded Future)의 CSO 그래빈 라이드가 직원들의 행동에 영향을 미치는 허위 정보에 대응하는 방법을 탐구하고 있다. DTEX 시스템(DTEX Systems)의 내부자 위협 대응, 보안, 비즈니스 인텔리전스 책임자 아만 마보드도 이런 시각을 갖고 있다.  그는 “의도와 결과에 상관없이 허위 정보/오정보를 공유하는 현상이 자주 발생하고 있다. 임원과 조직은 무엇이 공유될 수 있는지조차 파악하지 못하기 때문에 정보를 반박하기가 어렵고 이로 인해 대응할 필요성을 느끼지 못하고 있다”라고 말했다. 마보드는 “게다가 시급한 문제들이 많다. 기본적인 문제를 해결하기 위해 분투하고 있다. 내 직원은 누구이며, 어디에 있는가? 기업이 실제로 어떻게 운영되고 있는가? (지역, 부서별 등) 비즈니스가 얼마나 활발히 진행되고 있는가? 이 외에도 조직의 전반적인 사이버 보안 태도에 영향을 미치는 기업들에 대한 미묘하고 상세한 질문이 있다”라고 덧붙였다. 리댁티드(Redacted)의 위협 정보 이사 아담 플래틀리는 조직 외부의 허위 정보 캠페인을 탐구하고 있다. 특히 ‘피해자들이 잘못된 설명을 믿고 확정 편향을 유발하는 정보에 중독되는지’를 중심으로 CISO의 문제를 고려하고 있다. 플래틀리는 “피해자(직원)들이 확정 편향을 유발하는 정보에 중독되어 벗어나지 못하는 것이 CISO들에게 문제가 된다. 이로 인해 피싱 이메일, 문자 메시지 링크, 원하는 것에 맞춰 제작된 기타 미끼를 클릭할 가능성이 더 높아져 자격 증명 도...

허위 정보 소셜 엔지니어링 스캠 피싱 내부자 위협 가짜 정보

2021.11.01

허위 정보를 믿는 직원이 소셜 엔지니어링 및 피싱 공격에 좀더 취약한 경향을 보인다. 공격자들 또한 이를 잘 알고 있다. 오늘날 허위 정보와 사이버 공격을 연관 지어 생각하는 CISO들은 많지 않다. 실제로 밴다이어그램에는 ‘허위 정보’가 ‘CISO’ 또는 ‘사이버 위협’이라는 단어와 겹쳐 보이지 않는다. 하지만 현실은 다르다.   허위 정보는 CISO의 문제 일부 기업들이 허위 정보를 위협으로 식별하고 있다. 레코디드 퓨처(Recorded Future)의 CSO 그래빈 라이드가 직원들의 행동에 영향을 미치는 허위 정보에 대응하는 방법을 탐구하고 있다. DTEX 시스템(DTEX Systems)의 내부자 위협 대응, 보안, 비즈니스 인텔리전스 책임자 아만 마보드도 이런 시각을 갖고 있다.  그는 “의도와 결과에 상관없이 허위 정보/오정보를 공유하는 현상이 자주 발생하고 있다. 임원과 조직은 무엇이 공유될 수 있는지조차 파악하지 못하기 때문에 정보를 반박하기가 어렵고 이로 인해 대응할 필요성을 느끼지 못하고 있다”라고 말했다. 마보드는 “게다가 시급한 문제들이 많다. 기본적인 문제를 해결하기 위해 분투하고 있다. 내 직원은 누구이며, 어디에 있는가? 기업이 실제로 어떻게 운영되고 있는가? (지역, 부서별 등) 비즈니스가 얼마나 활발히 진행되고 있는가? 이 외에도 조직의 전반적인 사이버 보안 태도에 영향을 미치는 기업들에 대한 미묘하고 상세한 질문이 있다”라고 덧붙였다. 리댁티드(Redacted)의 위협 정보 이사 아담 플래틀리는 조직 외부의 허위 정보 캠페인을 탐구하고 있다. 특히 ‘피해자들이 잘못된 설명을 믿고 확정 편향을 유발하는 정보에 중독되는지’를 중심으로 CISO의 문제를 고려하고 있다. 플래틀리는 “피해자(직원)들이 확정 편향을 유발하는 정보에 중독되어 벗어나지 못하는 것이 CISO들에게 문제가 된다. 이로 인해 피싱 이메일, 문자 메시지 링크, 원하는 것에 맞춰 제작된 기타 미끼를 클릭할 가능성이 더 높아져 자격 증명 도...

2021.11.01

아크로니스, 사이버 위협 대비 현황 보고서 발표··· "올해 피싱 공격 급증"

아크로니스는 전세계 기업들의 사이버 보안 위협 대응을 위한 대비 현황을 담은 연례 보고서 ‘사이버 위협 대비현황 리포트(Cyber Readiness Report)’를 출간했다고 19일 밝혔다.  아크로니스는 이번 리포트에서 글로벌 팬데믹으로 인한 비대면 및 원격 근무의 주요 보안 과제를 다루면서, 지난해 글로벌 기업들의 80%가 원격 근무로의 전환을 충분히 준비하지 못했다고 지적했다. 이번 조사는 전 세계 18개국 3,600명의 중소기업 IT관리자와 원격 근무자들을 대상으로 실시됐다. 보고서에 따르면 글로벌 기업의 53%가 공급망 공격에 대해 잘못된 보안의식을 갖고 있는 것으로 나타났다. 카세야 및 솔라윈즈와 같은 신뢰할 수 있는 소프트웨어 공급업체가 세계적인 규모의 사이버 공격을 받았음에도 불구하고, 여전히 IT 리더의 절반 이상이 '신뢰할 수 있는 알려진 소프트웨어'를 사용하는 것만으로도 충분한 보호가 가능하다고 생각하는 것으로 조사됐다.   ‘사이버 위협 대비 현황 리포트’에 따르면 지난해 조사 결과와 비슷한 수준인 10개 기업 중 3개 기업이 적어도 하루에 한 번은 사이버 공격을 경험한 것으로 나타났다. 그러나 공격을 전혀 경험하지 않았다고 답한 비율은 지난해 32%에서 20%로 떨어져, 특정 기업에 공격이 집중돼 공격의 규모가 증가한 것으로 분석됐다. 피싱 공격(가짜 사이트로 유인해 개인정보 탈취) 등의 일반적인 공격 유형이 올해 사상 최고 수준에 도달했다. 피싱 공격 빈도는 계속 증가하고 있으며, 현재 58%로 가장 높은 빈도의 공격 유형이다. 2021년에는 멀웨어 공격도 증가 추세로 올해 36.5%의 기업이 멀웨어 공격을 탐지했으며, 이는 2020년의 22.2%에서 증가한 수치이다. 올해 가장 주목할 만한 공격은 피싱 공격이라고 보고서는 전했다. URL 필터링 솔루션에 대한 수요가 2020년 이후 10배 증가했으며, 글로벌 기업의 20%는 피싱이 비즈니스에 심각한 위협이 된다고 인식하고 있다.   한편, 안...

아크로니스 피싱 사이버 공격

2021.10.19

아크로니스는 전세계 기업들의 사이버 보안 위협 대응을 위한 대비 현황을 담은 연례 보고서 ‘사이버 위협 대비현황 리포트(Cyber Readiness Report)’를 출간했다고 19일 밝혔다.  아크로니스는 이번 리포트에서 글로벌 팬데믹으로 인한 비대면 및 원격 근무의 주요 보안 과제를 다루면서, 지난해 글로벌 기업들의 80%가 원격 근무로의 전환을 충분히 준비하지 못했다고 지적했다. 이번 조사는 전 세계 18개국 3,600명의 중소기업 IT관리자와 원격 근무자들을 대상으로 실시됐다. 보고서에 따르면 글로벌 기업의 53%가 공급망 공격에 대해 잘못된 보안의식을 갖고 있는 것으로 나타났다. 카세야 및 솔라윈즈와 같은 신뢰할 수 있는 소프트웨어 공급업체가 세계적인 규모의 사이버 공격을 받았음에도 불구하고, 여전히 IT 리더의 절반 이상이 '신뢰할 수 있는 알려진 소프트웨어'를 사용하는 것만으로도 충분한 보호가 가능하다고 생각하는 것으로 조사됐다.   ‘사이버 위협 대비 현황 리포트’에 따르면 지난해 조사 결과와 비슷한 수준인 10개 기업 중 3개 기업이 적어도 하루에 한 번은 사이버 공격을 경험한 것으로 나타났다. 그러나 공격을 전혀 경험하지 않았다고 답한 비율은 지난해 32%에서 20%로 떨어져, 특정 기업에 공격이 집중돼 공격의 규모가 증가한 것으로 분석됐다. 피싱 공격(가짜 사이트로 유인해 개인정보 탈취) 등의 일반적인 공격 유형이 올해 사상 최고 수준에 도달했다. 피싱 공격 빈도는 계속 증가하고 있으며, 현재 58%로 가장 높은 빈도의 공격 유형이다. 2021년에는 멀웨어 공격도 증가 추세로 올해 36.5%의 기업이 멀웨어 공격을 탐지했으며, 이는 2020년의 22.2%에서 증가한 수치이다. 올해 가장 주목할 만한 공격은 피싱 공격이라고 보고서는 전했다. URL 필터링 솔루션에 대한 수요가 2020년 이후 10배 증가했으며, 글로벌 기업의 20%는 피싱이 비즈니스에 심각한 위협이 된다고 인식하고 있다.   한편, 안...

2021.10.19

블로그ㅣ이메일에서 시작된 ‘보안’에 관한 몇 가지 생각

며칠 전 필자는 한 이메일을 받았는데, 처음엔 이게 합법적인지 아닌지 알아내기가 거의 불가능했다. 게다가 아웃룩에서 이메일을 미리보기만 해도 일부 취약점이 시스템에 액세스할 수 있다는 점을 생각하니 더욱더 긴장됐다. 하지만 이메일이 안전한지 확인해야 했다.  무엇보다도 건강한 회의주의(skepticism)가 중요하다. 사용하는 플랫폼이 패치를 완료해 공격을 방어할 준비가 됐는지 항상 확인해야 한다. 예를 들어 더 이상 지원되지 않는 아웃룩 버전을 계속 쓰고 있다면 위험에 노출될 수 있다.    또한 패치되지 않은 오피스 제품군에서 모르는 이메일을 열어선 안 된다. 더 나은 보호를 제공하는 최신 이메일 클라이언트로 마이그레이션하는 것도 괜찮다. 아웃룩의 유용한 대안으로 쓸 수 있는 많은 서드파티 이메일 클라이언트가 있다. 이를테면 썬더버드(Thunderbird), eM 클라이언트(eM Client), 메일버드(Mailbird) 등이다.  때때로 구식이라고 간주되는 방법이 적합할 수 있다. 이메일은 모르는 내용이지만 보낸 사람을 알고 있다고 가정해보자. 이때 해당 이메일이 합법적인지 확인하는 가장 쉬운 방법은 전화기를 들고 전화를 하는 것이다.  비즈니스 이메일 침해(BEC) 공격도 마찬가지다. 은행 계좌가 바닥나지 않도록 하는 가장 좋은 방법은 전화를 걸어 거래를 확인하는 것이다. 똑똑한 사람도 사기를 당할 수 있다는 걸 명심하라. 이를테면 美 투자 리얼리티 TV쇼 ‘샤크 탱크(Shark Tank)’에서 투자자로 출연해 유명세를 얻은 백만장자 바바라 코코란은 지난해 그를 사칭한 사기꾼이 회계 담당자에게 계좌이체를 승인해달라는 이메일을 보내 약 40만 달러를 잃었다(잘못된 형식의 이메일 주소로 발각됐다). 다른 이메일 클라이언트를 사용하는 대신 플랫폼을 전환할 수도 있다. 많은 기업이 애플 플랫폼이나 크롬북으로 이동하게 되면서 사람들은 (자신들이) 공격에 면역을 가지고 있다고 생각하게 될 수 있다. 하지만 ...

이메일 기업 이메일 침해 BEC 보안 패치 취약점 피싱 운영체제 윈도우 오피스 아웃룩

2021.09.07

며칠 전 필자는 한 이메일을 받았는데, 처음엔 이게 합법적인지 아닌지 알아내기가 거의 불가능했다. 게다가 아웃룩에서 이메일을 미리보기만 해도 일부 취약점이 시스템에 액세스할 수 있다는 점을 생각하니 더욱더 긴장됐다. 하지만 이메일이 안전한지 확인해야 했다.  무엇보다도 건강한 회의주의(skepticism)가 중요하다. 사용하는 플랫폼이 패치를 완료해 공격을 방어할 준비가 됐는지 항상 확인해야 한다. 예를 들어 더 이상 지원되지 않는 아웃룩 버전을 계속 쓰고 있다면 위험에 노출될 수 있다.    또한 패치되지 않은 오피스 제품군에서 모르는 이메일을 열어선 안 된다. 더 나은 보호를 제공하는 최신 이메일 클라이언트로 마이그레이션하는 것도 괜찮다. 아웃룩의 유용한 대안으로 쓸 수 있는 많은 서드파티 이메일 클라이언트가 있다. 이를테면 썬더버드(Thunderbird), eM 클라이언트(eM Client), 메일버드(Mailbird) 등이다.  때때로 구식이라고 간주되는 방법이 적합할 수 있다. 이메일은 모르는 내용이지만 보낸 사람을 알고 있다고 가정해보자. 이때 해당 이메일이 합법적인지 확인하는 가장 쉬운 방법은 전화기를 들고 전화를 하는 것이다.  비즈니스 이메일 침해(BEC) 공격도 마찬가지다. 은행 계좌가 바닥나지 않도록 하는 가장 좋은 방법은 전화를 걸어 거래를 확인하는 것이다. 똑똑한 사람도 사기를 당할 수 있다는 걸 명심하라. 이를테면 美 투자 리얼리티 TV쇼 ‘샤크 탱크(Shark Tank)’에서 투자자로 출연해 유명세를 얻은 백만장자 바바라 코코란은 지난해 그를 사칭한 사기꾼이 회계 담당자에게 계좌이체를 승인해달라는 이메일을 보내 약 40만 달러를 잃었다(잘못된 형식의 이메일 주소로 발각됐다). 다른 이메일 클라이언트를 사용하는 대신 플랫폼을 전환할 수도 있다. 많은 기업이 애플 플랫폼이나 크롬북으로 이동하게 되면서 사람들은 (자신들이) 공격에 면역을 가지고 있다고 생각하게 될 수 있다. 하지만 ...

2021.09.07

CEO 이메일 위조는 옛말... 나날이 교묘해지는 'BEC' 현황 및 예방법

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

CSO 피싱 피싱 메일 기업 이메일 침해 BEC 랜섬웨어 원격근무 제로 트러스트 MFA

2021.07.19

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

2021.07.19

‘보안도 역지사지’··· 사이버 범죄자에게 배울 수 있는 3가지

날쌘 사이버 범죄자처럼 민첩하게 행동하는 방법을 배우지 못한다면 비극적인 결말을 맞이할 수밖에 없을 것이다.  사이버 범죄자로부터 배울 수 있는 게 많다. 이들의 속도, 민첩성, 창의성이 특히 그러하다. 비효율적인 회의, 사무실 정치, 강압적인 컴플라이언스 등에 넌더리가 난다면 한 번쯤 공격자의 시각으로 사물을 보는 것도 나쁘지 않다.  사이버 범죄자는 ‘알 필요가 있는(need to know)’ 내용들을 배우고, 장벽을 뚫고 침투하기 위한 기술과 최신 공격 기법을 공유한다. 장벽이란 바로 기업이다.    여기서는 다크웹(Dark Web)에서 공유됐던 이야기를 모아 발간됐던 간행물에 ‘크라임 씬(Crime Scene; CS)’이라는 멋들어진 제목을 붙이고, 사이버 범죄자의 심리를 역으로 유추해볼 수 있는 흥미진진한 안전 지침(Safety Manual)으로 재구성했다.  ‘크라임 씬’은 독자(사이버 범죄자)를 자극하는 다음의 뉴스로 시작된다. “코로나19 사태는 5년이 걸렸을 디지털 트랜스포메이션을 12개월 만에 빠르게 해치우도록 밀어붙였다. 이는 직원들을 혼란스럽게 만들었고 이들이 사무실 밖으로 나가면서 온갖 취약점이 생겼다. 이제 데이터 침해를 즐겨야 할 때다.” 크라임 씬의 사용자 정보 섹션에서는 독자들이 ‘필수적으로 알아야 할’ 최신 기술 및 도구를 소개한다. 사이버 범죄자들은 언제나 시대를 앞서가고 있으며, 그중에서도 얼리어답터라면 인공지능(AI), 사물인터넷(IoT), 5세대 이동통신(5G)에 지체없이 집중할 것이다. 머지 않아 공격자들은 ‘침입(break in)’ 세미나를 열고 자동화, 통합, 침투를 혼합할 최적의 방법을 논의할 것이다.  크라임 씬의 유머 섹션에서는 ‘코로나바이러스가 어떻게 사이버 사기를 촉발시켰는지(몇 달도 더 지난 이야기다)’, ‘사이버 범죄자들이 최신 기술에 투자하고 있다(이게 뉴스인가?)’, 그리고 ‘비트코인이 사기꾼들의 최신 표적이다(이제서야 안 것인가?!)...

보안 사이버 공격 사이버 범죄 인공지능 클라우드 다크웹 크라임 씬 코로나19 취약점 사물인터넷 5G 재택근무 피싱 데이터 유출 데이터 침해 비트코인 노코드 로우코드 액티브 디렉토리

2021.04.22

날쌘 사이버 범죄자처럼 민첩하게 행동하는 방법을 배우지 못한다면 비극적인 결말을 맞이할 수밖에 없을 것이다.  사이버 범죄자로부터 배울 수 있는 게 많다. 이들의 속도, 민첩성, 창의성이 특히 그러하다. 비효율적인 회의, 사무실 정치, 강압적인 컴플라이언스 등에 넌더리가 난다면 한 번쯤 공격자의 시각으로 사물을 보는 것도 나쁘지 않다.  사이버 범죄자는 ‘알 필요가 있는(need to know)’ 내용들을 배우고, 장벽을 뚫고 침투하기 위한 기술과 최신 공격 기법을 공유한다. 장벽이란 바로 기업이다.    여기서는 다크웹(Dark Web)에서 공유됐던 이야기를 모아 발간됐던 간행물에 ‘크라임 씬(Crime Scene; CS)’이라는 멋들어진 제목을 붙이고, 사이버 범죄자의 심리를 역으로 유추해볼 수 있는 흥미진진한 안전 지침(Safety Manual)으로 재구성했다.  ‘크라임 씬’은 독자(사이버 범죄자)를 자극하는 다음의 뉴스로 시작된다. “코로나19 사태는 5년이 걸렸을 디지털 트랜스포메이션을 12개월 만에 빠르게 해치우도록 밀어붙였다. 이는 직원들을 혼란스럽게 만들었고 이들이 사무실 밖으로 나가면서 온갖 취약점이 생겼다. 이제 데이터 침해를 즐겨야 할 때다.” 크라임 씬의 사용자 정보 섹션에서는 독자들이 ‘필수적으로 알아야 할’ 최신 기술 및 도구를 소개한다. 사이버 범죄자들은 언제나 시대를 앞서가고 있으며, 그중에서도 얼리어답터라면 인공지능(AI), 사물인터넷(IoT), 5세대 이동통신(5G)에 지체없이 집중할 것이다. 머지 않아 공격자들은 ‘침입(break in)’ 세미나를 열고 자동화, 통합, 침투를 혼합할 최적의 방법을 논의할 것이다.  크라임 씬의 유머 섹션에서는 ‘코로나바이러스가 어떻게 사이버 사기를 촉발시켰는지(몇 달도 더 지난 이야기다)’, ‘사이버 범죄자들이 최신 기술에 투자하고 있다(이게 뉴스인가?)’, 그리고 ‘비트코인이 사기꾼들의 최신 표적이다(이제서야 안 것인가?!)...

2021.04.22

'모르면 낚인다'··· 2021년 새로운 소셜 엔지니어링 공격 7가지

그야말로 소셜 엔지니어링(Social engineering)의 ‘전성기’다. 특히나 팬데믹으로 인한 공황, 경기침체에 따른 불안감, 건강 및 안전에 관한 우려 등은 공격자들로 하여금 이러한 두려움을 더 쉽게 악용하도록 하고 있다.  소셜 엔지니어링은 ‘컴퓨터 시스템’이 아닌 ‘사용자’를 공격해 탈취로 이어지는 행동을 유도하거나 정보를 빼내려 시도한다. 이는 거짓말만큼이나 오래됐다. 컴퓨팅 시대에 맞춰 ‘거짓말’에 새로운 이름이 붙은 것이라고 비유할 수 있다. 소셜 엔지니어링 공격이 변화하는 양상을 고려한다면 완벽한 비유다.    보안인식 교육업체 노우비포(knowBe4)의 최고 에반젤리스트 겸 전략 책임자 페리 카펜터는 “대게 새로운 패키지로 포장됐을 뿐 동일한 속임수다”라고 말했다. 보안 전문가들의 말처럼 ‘포장’이 문제의 핵심이다. 익숙한 공격이라도 익숙하지 않은 위장과 포장으로 방어망을 빠져나갈 수 있다. 여기서는 2021년에 부상하고 있는 소셜 엔지니어링 공격을 살펴본다.  1. 악성 QR코드 지난해 QR코드와 관련된 피싱 사기가 등장했다. 기계로 읽을 수 있는 사각형 모양의 흑백 매트릭스 코드인 ‘QR코드’는 코로나19 사태 동안 기업이 고객과 접촉하고 서비스를 전달하는 데 활용되면서 많은 인기를 끌었다.  예를 들면 많은 레스토랑이 종이에 인쇄한 메뉴를 버리고, 그 대신 고객이 스마트폰으로 QR코드를 스캔해 메뉴를 확인하도록 만들었다. 또 올해 초 걸스카우트에서는 비대면 방식의 쿠키 주문 및 배달에 활용할 수 있는 QR코드를 게시하기도 했다.  하지만 QR코드를 스캔했을 때 이동하는 많은 웹사이트를 서드파티 벤더가 운영한다는 점에서 QR코드는 위험하다. 악성 QR코드를 스캔하면 스마트폰을 악성 웹사이트에 연결시킬 수 있기 때문이다.  마치 악성 링크를 클릭하는 것과 마찬가지다. 내용물은 같지만 포장지가 바뀐 것이다. 카펜터는 “사람들이 QR코드와 웹사이트는 문제없다고 생각할...

소셜 엔지니어링 피싱 스캠 딥페이크 팬데믹 원격근무 재택근무 QR코드 악성코드 알림 하이재킹 타이포스쿼팅 유사 도메인 사기

2021.04.15

그야말로 소셜 엔지니어링(Social engineering)의 ‘전성기’다. 특히나 팬데믹으로 인한 공황, 경기침체에 따른 불안감, 건강 및 안전에 관한 우려 등은 공격자들로 하여금 이러한 두려움을 더 쉽게 악용하도록 하고 있다.  소셜 엔지니어링은 ‘컴퓨터 시스템’이 아닌 ‘사용자’를 공격해 탈취로 이어지는 행동을 유도하거나 정보를 빼내려 시도한다. 이는 거짓말만큼이나 오래됐다. 컴퓨팅 시대에 맞춰 ‘거짓말’에 새로운 이름이 붙은 것이라고 비유할 수 있다. 소셜 엔지니어링 공격이 변화하는 양상을 고려한다면 완벽한 비유다.    보안인식 교육업체 노우비포(knowBe4)의 최고 에반젤리스트 겸 전략 책임자 페리 카펜터는 “대게 새로운 패키지로 포장됐을 뿐 동일한 속임수다”라고 말했다. 보안 전문가들의 말처럼 ‘포장’이 문제의 핵심이다. 익숙한 공격이라도 익숙하지 않은 위장과 포장으로 방어망을 빠져나갈 수 있다. 여기서는 2021년에 부상하고 있는 소셜 엔지니어링 공격을 살펴본다.  1. 악성 QR코드 지난해 QR코드와 관련된 피싱 사기가 등장했다. 기계로 읽을 수 있는 사각형 모양의 흑백 매트릭스 코드인 ‘QR코드’는 코로나19 사태 동안 기업이 고객과 접촉하고 서비스를 전달하는 데 활용되면서 많은 인기를 끌었다.  예를 들면 많은 레스토랑이 종이에 인쇄한 메뉴를 버리고, 그 대신 고객이 스마트폰으로 QR코드를 스캔해 메뉴를 확인하도록 만들었다. 또 올해 초 걸스카우트에서는 비대면 방식의 쿠키 주문 및 배달에 활용할 수 있는 QR코드를 게시하기도 했다.  하지만 QR코드를 스캔했을 때 이동하는 많은 웹사이트를 서드파티 벤더가 운영한다는 점에서 QR코드는 위험하다. 악성 QR코드를 스캔하면 스마트폰을 악성 웹사이트에 연결시킬 수 있기 때문이다.  마치 악성 링크를 클릭하는 것과 마찬가지다. 내용물은 같지만 포장지가 바뀐 것이다. 카펜터는 “사람들이 QR코드와 웹사이트는 문제없다고 생각할...

2021.04.15

강은성의 보안 아키텍트ㅣ연말이면 쏟아지는 사이버 위협 보고서, 그래서 어쩌라고?

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

강은성 보안 아키텍트 사이버 위협 맥아피 카스퍼스키 파이어아이 소닉월 포티넷 보안기업 위협 인텔리전스 표적 피싱 원격 CISO CSO

2020.12.21

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

2020.12.21

이메일 공격 예방을 위한 14가지 지침

최근 필자는 협력 기업으로부터 흥미로운 이메일을 받았다. 이메일 내용은 전자 팩스로 추정된다. 전자 팩스를 다룬 방식을 보니 의심스러운 메일임을 확신할 수 있었다. 필자의 회사에는 공개된 팩스 번호가 있고, 보통 전자 팩스가 이메일로 보내지는 경우는 회사에서 그렇게 설정한 경우에만 해당된다.  필자가 이메일에 답장하면, 공격자가 기업의 메일 서버를 장악하고 해당 이메일이 합법적이며 파일을 열어 지시를 따라야 한다고 응답하는 자동 이메일 규칙이 설정된 것이 분명했다. 이메일에는 링크만 포함되어 있고 직접적인 악성코드가 없어서 여러 직원이 같은 이메일을 받았다. 이 이메일은 필자의 모든 스팸 필터를 통과했을 뿐만 아니라, 메시지를 받은 모든 계정에서 자동 응답을 하도록 설정되어 있었다. 이는 기업 이메일 공격(Business Email Compromise, BEC)의 전형적인 사례다. 미국 FBI 산하의 인터넷 범죄 신고 센터인 IC3(Internet Crime Complaint Center)에 따르면, 2019년 BEC 때문에 2019년에 전 세계적으로 17억 달러가 넘는 손실이 발생했다. FBI 사이버 국은 최근 BEC에 대해 경고하고, 기업에게 전달 규칙을 검토하도록 촉구하며 다음 14가지 사항을 권장했다.     1. 데스크톱과 웹 이메일 클라이언트가 같은 버전을 실행하는지 확인한다 데스크톱과 웹 이메일 클라이언트를 최신으로 유지하면 동기화와 업데이트 문제를 방지할 수 있다. 데스크톱과 웹 간에 동기화 돼있지 않으면, 공격자는 데스크톱 클라이언트에 노출되지 않는 규칙을 배치할 수 있다. 따라서 공격 방식이 눈에 띄지 않는다.   2. 마지막 순간 이메일 계정 주소 변경에 주의한다 해킹된 이메일 계정의 경우, 이전에 필자와 연락하고 피싱 공격에 사용된 사람이 소속된 회사가 도메인 이름과 이메일 플랫폼을 업데이트했다. 이 마이그레이션 프로세스로 인해 메일 서버가 공격에 노출됐다. 갑자기 공급업체에서 재정 문제에 대한...

이메일공격 BEC 보안 피싱

2020.12.21

최근 필자는 협력 기업으로부터 흥미로운 이메일을 받았다. 이메일 내용은 전자 팩스로 추정된다. 전자 팩스를 다룬 방식을 보니 의심스러운 메일임을 확신할 수 있었다. 필자의 회사에는 공개된 팩스 번호가 있고, 보통 전자 팩스가 이메일로 보내지는 경우는 회사에서 그렇게 설정한 경우에만 해당된다.  필자가 이메일에 답장하면, 공격자가 기업의 메일 서버를 장악하고 해당 이메일이 합법적이며 파일을 열어 지시를 따라야 한다고 응답하는 자동 이메일 규칙이 설정된 것이 분명했다. 이메일에는 링크만 포함되어 있고 직접적인 악성코드가 없어서 여러 직원이 같은 이메일을 받았다. 이 이메일은 필자의 모든 스팸 필터를 통과했을 뿐만 아니라, 메시지를 받은 모든 계정에서 자동 응답을 하도록 설정되어 있었다. 이는 기업 이메일 공격(Business Email Compromise, BEC)의 전형적인 사례다. 미국 FBI 산하의 인터넷 범죄 신고 센터인 IC3(Internet Crime Complaint Center)에 따르면, 2019년 BEC 때문에 2019년에 전 세계적으로 17억 달러가 넘는 손실이 발생했다. FBI 사이버 국은 최근 BEC에 대해 경고하고, 기업에게 전달 규칙을 검토하도록 촉구하며 다음 14가지 사항을 권장했다.     1. 데스크톱과 웹 이메일 클라이언트가 같은 버전을 실행하는지 확인한다 데스크톱과 웹 이메일 클라이언트를 최신으로 유지하면 동기화와 업데이트 문제를 방지할 수 있다. 데스크톱과 웹 간에 동기화 돼있지 않으면, 공격자는 데스크톱 클라이언트에 노출되지 않는 규칙을 배치할 수 있다. 따라서 공격 방식이 눈에 띄지 않는다.   2. 마지막 순간 이메일 계정 주소 변경에 주의한다 해킹된 이메일 계정의 경우, 이전에 필자와 연락하고 피싱 공격에 사용된 사람이 소속된 회사가 도메인 이름과 이메일 플랫폼을 업데이트했다. 이 마이그레이션 프로세스로 인해 메일 서버가 공격에 노출됐다. 갑자기 공급업체에서 재정 문제에 대한...

2020.12.21

8가지 유형의 피싱 공격과 이를 인식하는 방법

모든 데이터 유출과 사이버 공격은 비밀번호 자격 증명을 훔치거나 사기 거래를 개시하거나 누군가 악성코드를 다운로드하도록 속이기 위한 일종의 피싱(Phishing) 시도가 관련되어 있다. 실제로 버라이즌의 2020년 데이터 유출 조사 보고서에 따르면, 피싱이 유출과 관련된 가장 많은 위협 활동으로 나타났다.   기업들은 사용자에게 피싱 공격에 주의하도록 주기적으로 알려주지만 많은 사용자가 실제로 이를 인식하는 방법을 모르고 있다. 그리고 사람은 사기를 잘 인식하지 못하는 경향이 있다. 프루프포인트(Proofpoint)의 2020년 피싱 실태 보고서에 따르면, 미국 기관과 기업의 65%가 2019년에 피싱 공격을 경험한 것으로 나타났다. 이는 공격자의 공격 활동이 정교해지고 있으며, 이에 대응하는 보안 인식 교육 또한 정교해져야 한다는 사실을 반증한다.  그리고 모든 피싱 사기가 같은 방식으로 진행되지 않는다. 포괄적으로 무작위 이메일 전송에서부터 특정 유형의 사람을 표적화하기 위해 정교하게 만들어진 공격까지 굉장히 다양하기 때문에 사용자에게 의심스러운 메시지가 어떤 것인지 교육하기가 점차 어려워지고 있다. 다양한 유형의 피싱 공격과 이를 인식하는 방법에 대해 알아보자. 피싱, 대량 전송 이메일 가장 보편적인 형태의 피싱은 일반적으로 대량 전송 유형이며, 누군가를 사칭해 이메일을 전송하고 수신인이 웹 사이트에 로그인하거나 악성코드를 다운로드하도록 유도한다. 공격은 주로 이메일 헤더(Header, 발신인 필드)에 메시지가 신뢰할 수 있는 발신인이 보낸 것처럼 보이게 하는 이메일 위장(Spoofing, 스푸핑)에 의존한다. 하지만 피싱 공격이 항상 UPS 배송 알림 이메일, 비밀번호 만료에 관련한 페이팔의 경고 메시지, 저장 공간 할당량에 관한 오피스 365 이메일처럼 보이는 것은 아니다. 어떤 공격은 기관과 개인을 구체적으로 표적으로 삼으며, 이메일 외의 방법을 동원하는 경우도 있다. 스피어 피싱, 특정 표적 노리기 피싱 공격은 사기꾼들...

피싱 스피어피싱 웨일링 BEC 클론피싱 비싱 스미싱 스노우슈잉

2020.11.30

모든 데이터 유출과 사이버 공격은 비밀번호 자격 증명을 훔치거나 사기 거래를 개시하거나 누군가 악성코드를 다운로드하도록 속이기 위한 일종의 피싱(Phishing) 시도가 관련되어 있다. 실제로 버라이즌의 2020년 데이터 유출 조사 보고서에 따르면, 피싱이 유출과 관련된 가장 많은 위협 활동으로 나타났다.   기업들은 사용자에게 피싱 공격에 주의하도록 주기적으로 알려주지만 많은 사용자가 실제로 이를 인식하는 방법을 모르고 있다. 그리고 사람은 사기를 잘 인식하지 못하는 경향이 있다. 프루프포인트(Proofpoint)의 2020년 피싱 실태 보고서에 따르면, 미국 기관과 기업의 65%가 2019년에 피싱 공격을 경험한 것으로 나타났다. 이는 공격자의 공격 활동이 정교해지고 있으며, 이에 대응하는 보안 인식 교육 또한 정교해져야 한다는 사실을 반증한다.  그리고 모든 피싱 사기가 같은 방식으로 진행되지 않는다. 포괄적으로 무작위 이메일 전송에서부터 특정 유형의 사람을 표적화하기 위해 정교하게 만들어진 공격까지 굉장히 다양하기 때문에 사용자에게 의심스러운 메시지가 어떤 것인지 교육하기가 점차 어려워지고 있다. 다양한 유형의 피싱 공격과 이를 인식하는 방법에 대해 알아보자. 피싱, 대량 전송 이메일 가장 보편적인 형태의 피싱은 일반적으로 대량 전송 유형이며, 누군가를 사칭해 이메일을 전송하고 수신인이 웹 사이트에 로그인하거나 악성코드를 다운로드하도록 유도한다. 공격은 주로 이메일 헤더(Header, 발신인 필드)에 메시지가 신뢰할 수 있는 발신인이 보낸 것처럼 보이게 하는 이메일 위장(Spoofing, 스푸핑)에 의존한다. 하지만 피싱 공격이 항상 UPS 배송 알림 이메일, 비밀번호 만료에 관련한 페이팔의 경고 메시지, 저장 공간 할당량에 관한 오피스 365 이메일처럼 보이는 것은 아니다. 어떤 공격은 기관과 개인을 구체적으로 표적으로 삼으며, 이메일 외의 방법을 동원하는 경우도 있다. 스피어 피싱, 특정 표적 노리기 피싱 공격은 사기꾼들...

2020.11.30

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31