Offcanvas

������

피싱에도 ‘부캐’ 등판?··· 이란 해킹그룹의 새 공격 캠페인 발견돼

이란이 후원하는 해킹그룹이 새로운 스피어 피싱 전략을 구사하기 시작했다. 여러 가짜 페르소나를 사용하여 이메일을 주고받아 더욱더 신뢰하도록 하는 방식이다.  프루프포인트(Proofpoint)는 해당 그룹이 TA453이라고 추정했으나, 이란의 다른 해킹그룹 챠밍 키튼(Charming Kitten), 포스포러스(Phosphorus), APT42의 짓이라는 분석도 있었다. 이를테면 맨디언트(Mendiant)는 최근 APT42가 이슬람혁명수비대(IRGC)의 정보기구(IRGC-IO)를 대신하고 있으며, 고도로 표적화된 사회공학을 하고 있는 것 같다고 밝혔다.  프루프포인트 연구진은 최신 보고서에서 “2022년 중반부터 시작해 TA453이 표적형 사회공학을 새로운 차원으로 끌어올렸다. 한 사람이 통제하는 한 페르소나가 아니라, 여러 페르소나가 있다. 이 기법을 통해 TA453은 사회적 증거(편집자 주: 다른 사람들의 행동과 의견으로 행동 및 의사결정의 기준을 삼는다는 뜻)의 심리학적 원리를 활용하여 타깃을 속일 수 있고, 아울러 위협 행위자의 스피어 피싱 신뢰성을 높일 수 있다”라고 설명했다.    ‘멀티-페르소나’ 사칭의 작동 방식 프루프포인트에서 분석한 최근 이메일 공격은 TA453의 위협 행위자가 타깃과 관련된 주제로 신중하게 제작된 이메일을 (타깃에게) 보내는 것으로 시작됐다. 이러한 이메일은 일반적으로 타깃과 같은 분야에서 일하는 다른 학자나 연구원을 사칭했다.  예를 들면 중동 지역 전문가를 타깃으로 한 이메일에서 공격자는 FPRI(Foreign Policy Research Institute)의 연구 책임자 아론 스타인을 사칭하여 이스라엘, 걸프 국가, 아브라함 협정에 관한 대화를 시작했다. 또 공격자는 이메일에 퓨 리서치 센터(Pew Research Center)의 글로벌 태세 연구 책임자 리처드 위크도 참조에 넣어 소개했다.  여기서 이메일에 위조된 ID는 모두 실제로 해당 기관에서 일하는 실...

피싱 피싱 메일 스피어 피싱 해킹그룹 멀티 페르소나

2022.09.16

이란이 후원하는 해킹그룹이 새로운 스피어 피싱 전략을 구사하기 시작했다. 여러 가짜 페르소나를 사용하여 이메일을 주고받아 더욱더 신뢰하도록 하는 방식이다.  프루프포인트(Proofpoint)는 해당 그룹이 TA453이라고 추정했으나, 이란의 다른 해킹그룹 챠밍 키튼(Charming Kitten), 포스포러스(Phosphorus), APT42의 짓이라는 분석도 있었다. 이를테면 맨디언트(Mendiant)는 최근 APT42가 이슬람혁명수비대(IRGC)의 정보기구(IRGC-IO)를 대신하고 있으며, 고도로 표적화된 사회공학을 하고 있는 것 같다고 밝혔다.  프루프포인트 연구진은 최신 보고서에서 “2022년 중반부터 시작해 TA453이 표적형 사회공학을 새로운 차원으로 끌어올렸다. 한 사람이 통제하는 한 페르소나가 아니라, 여러 페르소나가 있다. 이 기법을 통해 TA453은 사회적 증거(편집자 주: 다른 사람들의 행동과 의견으로 행동 및 의사결정의 기준을 삼는다는 뜻)의 심리학적 원리를 활용하여 타깃을 속일 수 있고, 아울러 위협 행위자의 스피어 피싱 신뢰성을 높일 수 있다”라고 설명했다.    ‘멀티-페르소나’ 사칭의 작동 방식 프루프포인트에서 분석한 최근 이메일 공격은 TA453의 위협 행위자가 타깃과 관련된 주제로 신중하게 제작된 이메일을 (타깃에게) 보내는 것으로 시작됐다. 이러한 이메일은 일반적으로 타깃과 같은 분야에서 일하는 다른 학자나 연구원을 사칭했다.  예를 들면 중동 지역 전문가를 타깃으로 한 이메일에서 공격자는 FPRI(Foreign Policy Research Institute)의 연구 책임자 아론 스타인을 사칭하여 이스라엘, 걸프 국가, 아브라함 협정에 관한 대화를 시작했다. 또 공격자는 이메일에 퓨 리서치 센터(Pew Research Center)의 글로벌 태세 연구 책임자 리처드 위크도 참조에 넣어 소개했다.  여기서 이메일에 위조된 ID는 모두 실제로 해당 기관에서 일하는 실...

2022.09.16

강은성의 보안 아키텍트ㅣ돈 되는 곳에 해킹 있다? - 천문학적 피해를 일으키는 가상자산 해킹

지난 4월 말 코엑스에서는 ‘8K 빅 픽처 인 포레스트'(8K Big Picture in FOR:REST)’라는 낯선 이름의 전시회가 열렸다.    “작가의 원화와 8K 고화질 디지털·NFT 작품을 감상”할 수 있다는 기사의 소개처럼 NFT의 주요 적용 분야 중 하나인 그림 작품을 실세계에 전시한 것이라 상당히 눈길을 끌었다. 2021년은 대체불가토큰(NFT, Non Fungible Token) 시장이 폭발적으로 성장한 한 해였다.   NFT 시장분석 사이트인 NonFungible.com에 따르면 2021년 NFT 거래는 약 177억 달러 규모로 2020년 8,250만 달러 대비 약 213배에 이른다. 가히 폭발적 성장이라 할 수 있다.  다양한 표정과 치장을 한 원숭이로 인기를 끈 ‘지루한 원숭이 요트클럽'(Bored Ape Yacht Club) 같은 프로필로부터 예술 창작품, 게임, 메타버스 등 활용되는 분야가 다양해진 덕분이다. 마케팅 수단으로 NFT를 도입하는 기업도 많이 늘었다.  돈 되는 곳에 해킹이 있듯 올해 NFT에 대한 해킹이 많이 발생했다. 블록체인 분석 기업 엘립틱(Elliptic)에 따르면 2021년 7월부터 2022년 7월까지 약 1억 달러(약 1,350억 원) 상당의 NFT가 도난당했다.  NFT가 블록체인 위에 기록되지만, 사고는 비밀번호 해킹과 피싱 같은 전통적인 방식으로 많이 일어났다. NFT 발행자가 주도하는 SNS에서 관리자의 계정 정보가 해킹되고, 그 계정으로 위장 NFT 발행 링크가 게시되어 그것을 따라간 사용자들이 자신의 지갑에 있던 NFT를 탈취당하거나 가짜 NFT에 가상자산을 사기당하는 식이다. 피싱 메일을 통해 해킹이 이뤄지기도 한다. 관리자 계정에 다단계 인증만 제대로 적용해도 많은 부분 대응할 수 있는 문제다. 가상자산에서 더 큰 피해는 블록체인 브리지에서 발생했다.    블록체인 브리지(또는 크로스체인 브리지)는 한 가상...

가상자산 블록체인 NFT 대체불가토큰 메타버스 해킹 피싱 블록체인 브리지 크로스체인 브리지 탈중앙화 금융 로닌 웜홀

2022.09.13

지난 4월 말 코엑스에서는 ‘8K 빅 픽처 인 포레스트'(8K Big Picture in FOR:REST)’라는 낯선 이름의 전시회가 열렸다.    “작가의 원화와 8K 고화질 디지털·NFT 작품을 감상”할 수 있다는 기사의 소개처럼 NFT의 주요 적용 분야 중 하나인 그림 작품을 실세계에 전시한 것이라 상당히 눈길을 끌었다. 2021년은 대체불가토큰(NFT, Non Fungible Token) 시장이 폭발적으로 성장한 한 해였다.   NFT 시장분석 사이트인 NonFungible.com에 따르면 2021년 NFT 거래는 약 177억 달러 규모로 2020년 8,250만 달러 대비 약 213배에 이른다. 가히 폭발적 성장이라 할 수 있다.  다양한 표정과 치장을 한 원숭이로 인기를 끈 ‘지루한 원숭이 요트클럽'(Bored Ape Yacht Club) 같은 프로필로부터 예술 창작품, 게임, 메타버스 등 활용되는 분야가 다양해진 덕분이다. 마케팅 수단으로 NFT를 도입하는 기업도 많이 늘었다.  돈 되는 곳에 해킹이 있듯 올해 NFT에 대한 해킹이 많이 발생했다. 블록체인 분석 기업 엘립틱(Elliptic)에 따르면 2021년 7월부터 2022년 7월까지 약 1억 달러(약 1,350억 원) 상당의 NFT가 도난당했다.  NFT가 블록체인 위에 기록되지만, 사고는 비밀번호 해킹과 피싱 같은 전통적인 방식으로 많이 일어났다. NFT 발행자가 주도하는 SNS에서 관리자의 계정 정보가 해킹되고, 그 계정으로 위장 NFT 발행 링크가 게시되어 그것을 따라간 사용자들이 자신의 지갑에 있던 NFT를 탈취당하거나 가짜 NFT에 가상자산을 사기당하는 식이다. 피싱 메일을 통해 해킹이 이뤄지기도 한다. 관리자 계정에 다단계 인증만 제대로 적용해도 많은 부분 대응할 수 있는 문제다. 가상자산에서 더 큰 피해는 블록체인 브리지에서 발생했다.    블록체인 브리지(또는 크로스체인 브리지)는 한 가상...

2022.09.13

벤더 기고 | 기업 3/4이 1년 새 랜섬웨어 공격 경험··· 실패에 대비하라

랜섬웨어 공격은 꾸준히 증가하고 있다. 빔 소프트웨어의 ‘2022 데이터 보호 트렌드 보고서’에 따르면 지난 12개월 동안 기업의 76%가 랜섬웨어 공격에 영향을 받았다. 이는 전년대비 15%나 증가한 수치다. 랜섬웨어는 빈번해질 뿐만 아니라 더 강력해지고 있다. 랜섬웨어에 타격을 입으면 평균적으로 기업은 손실 데이터의 3분의 1이상(36%)은 복구할 수 없게 된다. 사이버 위협은 그 어느때보다도 예측하기가 어려워졌다. 더 많은 랜섬웨어 공격이 더 다양한 방법으로 발생하고 있다. 이로 인해 회사가 입게 될 막대한 손실은 불 보듯 뻔하다. 상황이 이렇기 때문에 기업은 예측이나 대처가 힘든 사이버 공격에 좌절하고 두려워하기보다 관리할 수 있는 범위에서 최대한의 노력을 기울여야 한다. 즉, 사이버 공격으로부터 비즈니스를 보호하는 방어에 집중해야 한다. 이를 위해서는 몇 가지 원칙을 명심해야 한다. 첫째는 랜섬웨어의 타깃은 무차별적이라는 점이다. 현재 사이버 보안 현황을 보고 있으면 잔인한 느낌이 들 지경이다. 사이버 범죄자들에게 책임을 묻기는 어려워지고, 기업들은 사이버 범죄 사건을 쉬쉬하며 대중의 관심을 최소화하려고 애쓴다. 이는 사이버 범죄자 보다는 피해 기업에 초점이 맞춰지는 현실에 기인한다. 사실 대부분의 사이버 범죄 자체가 무차별적이라고 볼 수 있다. 다시 말해, 모든 기업이 공격 타깃이 될 수 있다. 어나니머스(Anonymous)와 같은 해커 단체들은 사회 정의를 행사하고 그들이 비도덕적이거나, 불법적이거나, 위험하다고 생각하는 기업이나 정부를 공격하기 위해 조직적인 사이버 공격을 감행한다. 하지만 요즘엔 자선활동이나 도덕적인 이미지의 기업들조차도 사이버 공격으로 인해 데이터와 시스템을 복구하기 위한 비용을 사이버 범죄자에게 지불하는 실정이다. 사이버 공격은 종종 '피싱(phishing)'으로 시작된다. 피싱은 피해자가 관심있어 할 만한 이메일이나 텍스트로 링크를 클릭하게 만들고 몰래 악성 프로그램을 장치에 심는 것을 말한다. 특히 랜섬웨어는 산...

빔 소프트웨어 피싱 백업 제로 트러스트

2022.08.24

랜섬웨어 공격은 꾸준히 증가하고 있다. 빔 소프트웨어의 ‘2022 데이터 보호 트렌드 보고서’에 따르면 지난 12개월 동안 기업의 76%가 랜섬웨어 공격에 영향을 받았다. 이는 전년대비 15%나 증가한 수치다. 랜섬웨어는 빈번해질 뿐만 아니라 더 강력해지고 있다. 랜섬웨어에 타격을 입으면 평균적으로 기업은 손실 데이터의 3분의 1이상(36%)은 복구할 수 없게 된다. 사이버 위협은 그 어느때보다도 예측하기가 어려워졌다. 더 많은 랜섬웨어 공격이 더 다양한 방법으로 발생하고 있다. 이로 인해 회사가 입게 될 막대한 손실은 불 보듯 뻔하다. 상황이 이렇기 때문에 기업은 예측이나 대처가 힘든 사이버 공격에 좌절하고 두려워하기보다 관리할 수 있는 범위에서 최대한의 노력을 기울여야 한다. 즉, 사이버 공격으로부터 비즈니스를 보호하는 방어에 집중해야 한다. 이를 위해서는 몇 가지 원칙을 명심해야 한다. 첫째는 랜섬웨어의 타깃은 무차별적이라는 점이다. 현재 사이버 보안 현황을 보고 있으면 잔인한 느낌이 들 지경이다. 사이버 범죄자들에게 책임을 묻기는 어려워지고, 기업들은 사이버 범죄 사건을 쉬쉬하며 대중의 관심을 최소화하려고 애쓴다. 이는 사이버 범죄자 보다는 피해 기업에 초점이 맞춰지는 현실에 기인한다. 사실 대부분의 사이버 범죄 자체가 무차별적이라고 볼 수 있다. 다시 말해, 모든 기업이 공격 타깃이 될 수 있다. 어나니머스(Anonymous)와 같은 해커 단체들은 사회 정의를 행사하고 그들이 비도덕적이거나, 불법적이거나, 위험하다고 생각하는 기업이나 정부를 공격하기 위해 조직적인 사이버 공격을 감행한다. 하지만 요즘엔 자선활동이나 도덕적인 이미지의 기업들조차도 사이버 공격으로 인해 데이터와 시스템을 복구하기 위한 비용을 사이버 범죄자에게 지불하는 실정이다. 사이버 공격은 종종 '피싱(phishing)'으로 시작된다. 피싱은 피해자가 관심있어 할 만한 이메일이나 텍스트로 링크를 클릭하게 만들고 몰래 악성 프로그램을 장치에 심는 것을 말한다. 특히 랜섬웨어는 산...

2022.08.24

“2022 상반기 피싱 공격서 가장 많이 사칭된 브랜드는 MS”

보안 회사 베이드(Vade)의 피싱 보고서(Phishers' Favorites)에 따르면 마이크로소프트가 2022년 상반기 피싱 공격에서 가장 많이 사칭된 25개 브랜드 가운데 페이스북을 제치고 1위에 올랐다. 총 1만 1,041개의 피싱 URL이 마이크로소프트를 사칭한 것이었다. 2021년 가장 많이 사칭된 브랜드 1위였던 페이스북은 총 1만 448개의 피싱 URL로 그 뒤를 바짝 쫓았다. 상위 5위 안에 드는 다른 브랜드로는 크레디 아그리콜(Credit Agricole), 왓츠앱(Whatsapp), 오렌지(Orange) 등이 있었다. 좋은 소식도 있다. 마이크로소프트, 페이스북 등 주요 브랜드를 사칭한 피싱 공격이 분기별로 증가하긴 했지만 이번 2분기(5만 3,198개) 전체 피싱 공격 건수는 1분기(8만 1,447개) 대비 감소했다.    창의적인 전술로 이뤄지는 마이크로소프트와 페이스북 피싱 2억 4,000만 명 이상의 비즈니스 사용자를 보유한 마이크로소프트의 365 플랫폼은 굉장히 매력적인 피싱 공격 타깃이라고 할 수 있다. 실제로 올해 이 브랜드를 사칭한 피싱 공격은 분기 대비 266% 급증했다.  보고서에 의하면 마이크로소프트의 브랜드는 맥아피, 노턴, 애플, 아마존 등 다른 기업과 마찬가지로 수많은 ‘기술 지원’ 사기에 사용됐다. 달랐던 점은 해커가 사용자를 유인하고 이메일 필터를 우회하기 위해 피싱 링크 대신 전화번호를 사용했다는 것이다.  예를 들면 지난 6월 한 해커는 마이크로소프트 디펜더(Microsoft Defender)를 사칭하여 피해자에게 299달러의 구독료가 인출됐으며, 24시간 이내에 전화를 통해서만 취소할 수 있다고 알렸다. 피해자가 해당 알림에 표시된 번호로 전화를 걸면 해커는 사용자의 컴퓨터를 제어해 스파이웨어를 설치했다.  페이스북 피싱에서도 창의적인 전술이 발견됐다. 이를테면 ‘커뮤니티 표준 위반(Violation of Community Standards)...

피싱 피싱 공격 마이크로소프트 페이스북

2022.07.29

보안 회사 베이드(Vade)의 피싱 보고서(Phishers' Favorites)에 따르면 마이크로소프트가 2022년 상반기 피싱 공격에서 가장 많이 사칭된 25개 브랜드 가운데 페이스북을 제치고 1위에 올랐다. 총 1만 1,041개의 피싱 URL이 마이크로소프트를 사칭한 것이었다. 2021년 가장 많이 사칭된 브랜드 1위였던 페이스북은 총 1만 448개의 피싱 URL로 그 뒤를 바짝 쫓았다. 상위 5위 안에 드는 다른 브랜드로는 크레디 아그리콜(Credit Agricole), 왓츠앱(Whatsapp), 오렌지(Orange) 등이 있었다. 좋은 소식도 있다. 마이크로소프트, 페이스북 등 주요 브랜드를 사칭한 피싱 공격이 분기별로 증가하긴 했지만 이번 2분기(5만 3,198개) 전체 피싱 공격 건수는 1분기(8만 1,447개) 대비 감소했다.    창의적인 전술로 이뤄지는 마이크로소프트와 페이스북 피싱 2억 4,000만 명 이상의 비즈니스 사용자를 보유한 마이크로소프트의 365 플랫폼은 굉장히 매력적인 피싱 공격 타깃이라고 할 수 있다. 실제로 올해 이 브랜드를 사칭한 피싱 공격은 분기 대비 266% 급증했다.  보고서에 의하면 마이크로소프트의 브랜드는 맥아피, 노턴, 애플, 아마존 등 다른 기업과 마찬가지로 수많은 ‘기술 지원’ 사기에 사용됐다. 달랐던 점은 해커가 사용자를 유인하고 이메일 필터를 우회하기 위해 피싱 링크 대신 전화번호를 사용했다는 것이다.  예를 들면 지난 6월 한 해커는 마이크로소프트 디펜더(Microsoft Defender)를 사칭하여 피해자에게 299달러의 구독료가 인출됐으며, 24시간 이내에 전화를 통해서만 취소할 수 있다고 알렸다. 피해자가 해당 알림에 표시된 번호로 전화를 걸면 해커는 사용자의 컴퓨터를 제어해 스파이웨어를 설치했다.  페이스북 피싱에서도 창의적인 전술이 발견됐다. 이를테면 ‘커뮤니티 표준 위반(Violation of Community Standards)...

2022.07.29

“위협 행위자, ‘휴먼팩터’ 악용해 더 창의적으로 변하고 있다”

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

프루프포인트 위협 행위자 휴먼팩터 인적요소 소셜 엔지니어링 피싱 스미싱 내부자 위협 공급망 공격

2022.06.14

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

2022.06.14

기고 | 일론 머스크의 트위터 인수, 지켜봐야 할 2가지

일론 머스크의 트위터 인수에 대한 보도 중 상당수는 ‘발언의 자유’에 초점을 맞추고 있다. 그러나 머스크가 트위터에 적용할 두 가지 변경 사항, 즉 트위터 알고리즘을 오픈소스화하는 것과 플랫폼에서 봇을 제거하는 것이 보안 측면에서 큰 의미를 지닌다고 엑스트라홉의 수석 기술 매니저 제이미 몰레는 분석한다.    오픈소스화 관련 우려 소스 코드를 대중과 공유하는 것은 비교적 쉽다. 깃허브(GitHub)와 같은 공용 보관소에 코드를 공개하면 된다. 하지만, 트위터는 공유 내용을 신중히 고민할 필요가 있다. 코드에는 으레 노출되지 말아야 할 부분이 있다. 배경 설명을 하자면, 트위터와 같은 플랫폼의 근간에는 다양한 기능을 수행하는 많은 알고리즘이 존재한다. 그 중에서도 특히 흥미로운 것은 트위터 게시물의 인기를 모니터링하고 관리하는 알고리즘이다.  특정 트위터 게시물을 우선적으로 적극 홍보하거나 트위터 상에서 인기 있는 게시물을 결정하는 알고리즘 등이 있다. 일례로 한 알고리즘은 신규 게시물들 속에 사용 중인 해시태그를 전체적으로 검토해 ‘트렌딩(trending)’ 게시물 순위를 정한다.  결국 이런 알고리즘을 통해 어떤 게시물과 관점이 관심을 끌지 결정된다. 일론 머스크는 트위터 알고리즘을 오픈소스화 한다는 방침이다. 이와 관련해 흥미롭게 지켜볼 부분이 있다. 알고리즘 자체의 가치와 이들 알고리즘이 처리하는 데이터의 가치다.  머신러닝(ML) 종사자라면 “특별한 것은 데이터이고 ML에는 특별할 것이 없다”는 개념에 익숙하다. 구글이 최초로 제안한 이 개념은 대부분의 ML 알고리즘이 그저 평범할 뿐이며, 가치의 원천은 데이터임을 강조한다. 이른바 쓰레기를 넣으면 쓰레기가 나온다. 그렇다면 트위터 알고리즘은 어떨까? 이미 다른 주요 SNS 서비스나 신규 업체가 사용 중인 것과 다를 바 없는 지극히 평범한 알고리즘일까? 트위터의 특별함은 단순히 사용자들과 그들이 올리는 게시물 덕분인 것일까? 오픈소스화, 트위터...

일론 머스크 트위터 알고리즘 피싱

2022.05.09

일론 머스크의 트위터 인수에 대한 보도 중 상당수는 ‘발언의 자유’에 초점을 맞추고 있다. 그러나 머스크가 트위터에 적용할 두 가지 변경 사항, 즉 트위터 알고리즘을 오픈소스화하는 것과 플랫폼에서 봇을 제거하는 것이 보안 측면에서 큰 의미를 지닌다고 엑스트라홉의 수석 기술 매니저 제이미 몰레는 분석한다.    오픈소스화 관련 우려 소스 코드를 대중과 공유하는 것은 비교적 쉽다. 깃허브(GitHub)와 같은 공용 보관소에 코드를 공개하면 된다. 하지만, 트위터는 공유 내용을 신중히 고민할 필요가 있다. 코드에는 으레 노출되지 말아야 할 부분이 있다. 배경 설명을 하자면, 트위터와 같은 플랫폼의 근간에는 다양한 기능을 수행하는 많은 알고리즘이 존재한다. 그 중에서도 특히 흥미로운 것은 트위터 게시물의 인기를 모니터링하고 관리하는 알고리즘이다.  특정 트위터 게시물을 우선적으로 적극 홍보하거나 트위터 상에서 인기 있는 게시물을 결정하는 알고리즘 등이 있다. 일례로 한 알고리즘은 신규 게시물들 속에 사용 중인 해시태그를 전체적으로 검토해 ‘트렌딩(trending)’ 게시물 순위를 정한다.  결국 이런 알고리즘을 통해 어떤 게시물과 관점이 관심을 끌지 결정된다. 일론 머스크는 트위터 알고리즘을 오픈소스화 한다는 방침이다. 이와 관련해 흥미롭게 지켜볼 부분이 있다. 알고리즘 자체의 가치와 이들 알고리즘이 처리하는 데이터의 가치다.  머신러닝(ML) 종사자라면 “특별한 것은 데이터이고 ML에는 특별할 것이 없다”는 개념에 익숙하다. 구글이 최초로 제안한 이 개념은 대부분의 ML 알고리즘이 그저 평범할 뿐이며, 가치의 원천은 데이터임을 강조한다. 이른바 쓰레기를 넣으면 쓰레기가 나온다. 그렇다면 트위터 알고리즘은 어떨까? 이미 다른 주요 SNS 서비스나 신규 업체가 사용 중인 것과 다를 바 없는 지극히 평범한 알고리즘일까? 트위터의 특별함은 단순히 사용자들과 그들이 올리는 게시물 덕분인 것일까? 오픈소스화, 트위터...

2022.05.09

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

보안 부서 넘어서는 ‘내부자 위협’ 문제··· 요주의 직원은? 대응 방법은?

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

내부자 위협 내부자 유출 소셜 엔지니어링 스캠 피싱

2022.04.15

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

2022.04.15

조시큐리티, ‘조샌드박스’ 발표··· "심층 URL 분석으로 피싱 탐지 기능 강화"

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

조시큐리티 조샌드박스 피싱 악성코드

2022.01.20

조샌드박스의 공식 총판사 인섹시큐리티가 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 1월 20일 밝혔다. 회사에 따르면 조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.    새롭게 강화된 탐지 분석 기술은 ▲템플릿 매칭(Template Matching) ▲부분 해싱(Template Matching) ▲OCR(광학 문자 인식) ▲핸드크래프트 지원(Hand Crafted) 등이다. 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용해 정체를 숨긴다는 점을 착안해 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 은닉하는 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재돼 있다. 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다. 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다고 업체 측은 설명했다.  일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와...

2022.01.20

"금융사 또는 북한 내부 정보로 현혹" 이스트시큐리티, 北 배후 해킹 증가 주의

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

이스트시큐리티 해킹 사이버 위협 악성코드 피싱

2022.01.13

이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있다며, 각별한 주의와 대비가 요구된다고 1월 13일 밝혔다. 지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.  공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다. 해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다. 피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령 제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다. 특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나이다. 아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트...

2022.01.13

“랜섬웨어 공격 위해 기업 직원에서 접근하는 움직임 뚜렷하다”

펄스와 히타치 ID의 보고서에 따르면 사이버 공격자들이 랜섬웨어 공격을 위해 기업 직원들에게 접근하고 있다. 북미 지역 기업의 약 48%에 속하는 직원들이 이러한 접근을 보고했다. 이번 보고서는 100명의 IT 및 보안 임원을 대상으로 사이버 보안 인프라의 최근 변화, 사이버 공격 대처 능력, 정치의 역할 등을 조사한 결과를 대상으로 작성됐다. 응답자의 대다수(73%)는 10,000 명 이상의 직원을 보유한 기업의 종사자들이었다. 보고서에 따르면, 응답자의 83%가 재택근무로 전환한 이후 그러한 시도가 더욱 두드러졌다고 답했다. 주의태만과 사고를 방지하기 위한 직원 교육  내부접근 시도가 증가한 결과 지난 12개월 동안 69%의 응답자가 사이버보안에 대해 직원 교육을 시작했다고 밝혔으며, 향후 12개월 이내에 실시하겠다고 약속한 비율도 20%에 달했다. 사이버 보안에 대한 직원 교육을 마친 임원의 응답을 살펴보면, 89%는 피싱 공격에, 95%는 보안 암호 생성에, 95%는 이들 암호의 안전 유지에 초점을 맞췄다고 응답했다. 콘스텔레이션 리서치의 애널리스트인 리즈 밀러는 “사이버 보안 교육은 인간적인 실수에 가장 취약한 사람들이나 잘 식별하도록 도울 수 있다. 그러나 불만이나 악의를 가진 직원들로 인한 문제는 막기 어렵다”라고 말했다. 밀러에 따르면, 일부 직원의 악의적인 의도에 의해 유발된 내부자 위협을 처리하는 좋은 방법에는 계정으로부터의 엄청난 트래픽 양, 다중 지리적 로그인을 가진 단일 사용자, 일관되지 않거나 비정상적인 액세스 활동, 직장에서의 노골적으로 부정적인 감정과 같은 지표에 주의하는 것 등이 있다. 목록에서 최우선 순위인 SaaS, 제로 트러스트 및 IAM  거의 모든 보안 전문가들이(99%) 보안 관련 디지털 전환 노력의 일환으로 SaaS로의 이동이 포함된다고 답했으며, 3분의 1 이상(36%)은 그들의 노력 중 절반 이상에 SaaS로의 이동이 포함된다고 답했다. 임원 중 약 86%가 보안이 요구되는 구형 시스템...

랜섬웨어 히타치 펄스 직원 피싱 제로 트러스트 IAM

2021.12.17

펄스와 히타치 ID의 보고서에 따르면 사이버 공격자들이 랜섬웨어 공격을 위해 기업 직원들에게 접근하고 있다. 북미 지역 기업의 약 48%에 속하는 직원들이 이러한 접근을 보고했다. 이번 보고서는 100명의 IT 및 보안 임원을 대상으로 사이버 보안 인프라의 최근 변화, 사이버 공격 대처 능력, 정치의 역할 등을 조사한 결과를 대상으로 작성됐다. 응답자의 대다수(73%)는 10,000 명 이상의 직원을 보유한 기업의 종사자들이었다. 보고서에 따르면, 응답자의 83%가 재택근무로 전환한 이후 그러한 시도가 더욱 두드러졌다고 답했다. 주의태만과 사고를 방지하기 위한 직원 교육  내부접근 시도가 증가한 결과 지난 12개월 동안 69%의 응답자가 사이버보안에 대해 직원 교육을 시작했다고 밝혔으며, 향후 12개월 이내에 실시하겠다고 약속한 비율도 20%에 달했다. 사이버 보안에 대한 직원 교육을 마친 임원의 응답을 살펴보면, 89%는 피싱 공격에, 95%는 보안 암호 생성에, 95%는 이들 암호의 안전 유지에 초점을 맞췄다고 응답했다. 콘스텔레이션 리서치의 애널리스트인 리즈 밀러는 “사이버 보안 교육은 인간적인 실수에 가장 취약한 사람들이나 잘 식별하도록 도울 수 있다. 그러나 불만이나 악의를 가진 직원들로 인한 문제는 막기 어렵다”라고 말했다. 밀러에 따르면, 일부 직원의 악의적인 의도에 의해 유발된 내부자 위협을 처리하는 좋은 방법에는 계정으로부터의 엄청난 트래픽 양, 다중 지리적 로그인을 가진 단일 사용자, 일관되지 않거나 비정상적인 액세스 활동, 직장에서의 노골적으로 부정적인 감정과 같은 지표에 주의하는 것 등이 있다. 목록에서 최우선 순위인 SaaS, 제로 트러스트 및 IAM  거의 모든 보안 전문가들이(99%) 보안 관련 디지털 전환 노력의 일환으로 SaaS로의 이동이 포함된다고 답했으며, 3분의 1 이상(36%)은 그들의 노력 중 절반 이상에 SaaS로의 이동이 포함된다고 답했다. 임원 중 약 86%가 보안이 요구되는 구형 시스템...

2021.12.17

안랩, ‘캡챠’ 위장한 이미지로 악성 웹사이트 유도하는 '피싱 PDF' 주의 당부

안랩은 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서를 발견해 사용자의 주의를 당부했다. 캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 방식을 활용해 정상 이용자를 판별한다. 안랩이 이번에 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다. 만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’를 다운로드하거나 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲출처 불분명 파일 실행금지 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲오피스 SW, 운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 회사 측은 전했다. 안랩 분석팀 최수진 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”라며, “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”라고 당부했다. ciokr@idg.co.kr

안랩 피싱 악성코드

2021.11.09

안랩은 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서를 발견해 사용자의 주의를 당부했다. 캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 방식을 활용해 정상 이용자를 판별한다. 안랩이 이번에 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다. 만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’를 다운로드하거나 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다. 피해를 예방하기 위해서는 ▲출처 불분명 파일 실행금지 ▲인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 ▲오피스 SW, 운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 회사 측은 전했다. 안랩 분석팀 최수진 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”라며, “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”라고 당부했다. ciokr@idg.co.kr

2021.11.09

내부자 위협으로 이어진다··· CISO가 ‘허위 정보’에 민감해야 할 이유

허위 정보를 믿는 직원이 소셜 엔지니어링 및 피싱 공격에 좀더 취약한 경향을 보인다. 공격자들 또한 이를 잘 알고 있다. 오늘날 허위 정보와 사이버 공격을 연관 지어 생각하는 CISO들은 많지 않다. 실제로 밴다이어그램에는 ‘허위 정보’가 ‘CISO’ 또는 ‘사이버 위협’이라는 단어와 겹쳐 보이지 않는다. 하지만 현실은 다르다.   허위 정보는 CISO의 문제 일부 기업들이 허위 정보를 위협으로 식별하고 있다. 레코디드 퓨처(Recorded Future)의 CSO 그래빈 라이드가 직원들의 행동에 영향을 미치는 허위 정보에 대응하는 방법을 탐구하고 있다. DTEX 시스템(DTEX Systems)의 내부자 위협 대응, 보안, 비즈니스 인텔리전스 책임자 아만 마보드도 이런 시각을 갖고 있다.  그는 “의도와 결과에 상관없이 허위 정보/오정보를 공유하는 현상이 자주 발생하고 있다. 임원과 조직은 무엇이 공유될 수 있는지조차 파악하지 못하기 때문에 정보를 반박하기가 어렵고 이로 인해 대응할 필요성을 느끼지 못하고 있다”라고 말했다. 마보드는 “게다가 시급한 문제들이 많다. 기본적인 문제를 해결하기 위해 분투하고 있다. 내 직원은 누구이며, 어디에 있는가? 기업이 실제로 어떻게 운영되고 있는가? (지역, 부서별 등) 비즈니스가 얼마나 활발히 진행되고 있는가? 이 외에도 조직의 전반적인 사이버 보안 태도에 영향을 미치는 기업들에 대한 미묘하고 상세한 질문이 있다”라고 덧붙였다. 리댁티드(Redacted)의 위협 정보 이사 아담 플래틀리는 조직 외부의 허위 정보 캠페인을 탐구하고 있다. 특히 ‘피해자들이 잘못된 설명을 믿고 확정 편향을 유발하는 정보에 중독되는지’를 중심으로 CISO의 문제를 고려하고 있다. 플래틀리는 “피해자(직원)들이 확정 편향을 유발하는 정보에 중독되어 벗어나지 못하는 것이 CISO들에게 문제가 된다. 이로 인해 피싱 이메일, 문자 메시지 링크, 원하는 것에 맞춰 제작된 기타 미끼를 클릭할 가능성이 더 높아져 자격 증명 도...

허위 정보 소셜 엔지니어링 스캠 피싱 내부자 위협 가짜 정보

2021.11.01

허위 정보를 믿는 직원이 소셜 엔지니어링 및 피싱 공격에 좀더 취약한 경향을 보인다. 공격자들 또한 이를 잘 알고 있다. 오늘날 허위 정보와 사이버 공격을 연관 지어 생각하는 CISO들은 많지 않다. 실제로 밴다이어그램에는 ‘허위 정보’가 ‘CISO’ 또는 ‘사이버 위협’이라는 단어와 겹쳐 보이지 않는다. 하지만 현실은 다르다.   허위 정보는 CISO의 문제 일부 기업들이 허위 정보를 위협으로 식별하고 있다. 레코디드 퓨처(Recorded Future)의 CSO 그래빈 라이드가 직원들의 행동에 영향을 미치는 허위 정보에 대응하는 방법을 탐구하고 있다. DTEX 시스템(DTEX Systems)의 내부자 위협 대응, 보안, 비즈니스 인텔리전스 책임자 아만 마보드도 이런 시각을 갖고 있다.  그는 “의도와 결과에 상관없이 허위 정보/오정보를 공유하는 현상이 자주 발생하고 있다. 임원과 조직은 무엇이 공유될 수 있는지조차 파악하지 못하기 때문에 정보를 반박하기가 어렵고 이로 인해 대응할 필요성을 느끼지 못하고 있다”라고 말했다. 마보드는 “게다가 시급한 문제들이 많다. 기본적인 문제를 해결하기 위해 분투하고 있다. 내 직원은 누구이며, 어디에 있는가? 기업이 실제로 어떻게 운영되고 있는가? (지역, 부서별 등) 비즈니스가 얼마나 활발히 진행되고 있는가? 이 외에도 조직의 전반적인 사이버 보안 태도에 영향을 미치는 기업들에 대한 미묘하고 상세한 질문이 있다”라고 덧붙였다. 리댁티드(Redacted)의 위협 정보 이사 아담 플래틀리는 조직 외부의 허위 정보 캠페인을 탐구하고 있다. 특히 ‘피해자들이 잘못된 설명을 믿고 확정 편향을 유발하는 정보에 중독되는지’를 중심으로 CISO의 문제를 고려하고 있다. 플래틀리는 “피해자(직원)들이 확정 편향을 유발하는 정보에 중독되어 벗어나지 못하는 것이 CISO들에게 문제가 된다. 이로 인해 피싱 이메일, 문자 메시지 링크, 원하는 것에 맞춰 제작된 기타 미끼를 클릭할 가능성이 더 높아져 자격 증명 도...

2021.11.01

아크로니스, 사이버 위협 대비 현황 보고서 발표··· "올해 피싱 공격 급증"

아크로니스는 전세계 기업들의 사이버 보안 위협 대응을 위한 대비 현황을 담은 연례 보고서 ‘사이버 위협 대비현황 리포트(Cyber Readiness Report)’를 출간했다고 19일 밝혔다.  아크로니스는 이번 리포트에서 글로벌 팬데믹으로 인한 비대면 및 원격 근무의 주요 보안 과제를 다루면서, 지난해 글로벌 기업들의 80%가 원격 근무로의 전환을 충분히 준비하지 못했다고 지적했다. 이번 조사는 전 세계 18개국 3,600명의 중소기업 IT관리자와 원격 근무자들을 대상으로 실시됐다. 보고서에 따르면 글로벌 기업의 53%가 공급망 공격에 대해 잘못된 보안의식을 갖고 있는 것으로 나타났다. 카세야 및 솔라윈즈와 같은 신뢰할 수 있는 소프트웨어 공급업체가 세계적인 규모의 사이버 공격을 받았음에도 불구하고, 여전히 IT 리더의 절반 이상이 '신뢰할 수 있는 알려진 소프트웨어'를 사용하는 것만으로도 충분한 보호가 가능하다고 생각하는 것으로 조사됐다.   ‘사이버 위협 대비 현황 리포트’에 따르면 지난해 조사 결과와 비슷한 수준인 10개 기업 중 3개 기업이 적어도 하루에 한 번은 사이버 공격을 경험한 것으로 나타났다. 그러나 공격을 전혀 경험하지 않았다고 답한 비율은 지난해 32%에서 20%로 떨어져, 특정 기업에 공격이 집중돼 공격의 규모가 증가한 것으로 분석됐다. 피싱 공격(가짜 사이트로 유인해 개인정보 탈취) 등의 일반적인 공격 유형이 올해 사상 최고 수준에 도달했다. 피싱 공격 빈도는 계속 증가하고 있으며, 현재 58%로 가장 높은 빈도의 공격 유형이다. 2021년에는 멀웨어 공격도 증가 추세로 올해 36.5%의 기업이 멀웨어 공격을 탐지했으며, 이는 2020년의 22.2%에서 증가한 수치이다. 올해 가장 주목할 만한 공격은 피싱 공격이라고 보고서는 전했다. URL 필터링 솔루션에 대한 수요가 2020년 이후 10배 증가했으며, 글로벌 기업의 20%는 피싱이 비즈니스에 심각한 위협이 된다고 인식하고 있다.   한편, 안...

아크로니스 피싱 사이버 공격

2021.10.19

아크로니스는 전세계 기업들의 사이버 보안 위협 대응을 위한 대비 현황을 담은 연례 보고서 ‘사이버 위협 대비현황 리포트(Cyber Readiness Report)’를 출간했다고 19일 밝혔다.  아크로니스는 이번 리포트에서 글로벌 팬데믹으로 인한 비대면 및 원격 근무의 주요 보안 과제를 다루면서, 지난해 글로벌 기업들의 80%가 원격 근무로의 전환을 충분히 준비하지 못했다고 지적했다. 이번 조사는 전 세계 18개국 3,600명의 중소기업 IT관리자와 원격 근무자들을 대상으로 실시됐다. 보고서에 따르면 글로벌 기업의 53%가 공급망 공격에 대해 잘못된 보안의식을 갖고 있는 것으로 나타났다. 카세야 및 솔라윈즈와 같은 신뢰할 수 있는 소프트웨어 공급업체가 세계적인 규모의 사이버 공격을 받았음에도 불구하고, 여전히 IT 리더의 절반 이상이 '신뢰할 수 있는 알려진 소프트웨어'를 사용하는 것만으로도 충분한 보호가 가능하다고 생각하는 것으로 조사됐다.   ‘사이버 위협 대비 현황 리포트’에 따르면 지난해 조사 결과와 비슷한 수준인 10개 기업 중 3개 기업이 적어도 하루에 한 번은 사이버 공격을 경험한 것으로 나타났다. 그러나 공격을 전혀 경험하지 않았다고 답한 비율은 지난해 32%에서 20%로 떨어져, 특정 기업에 공격이 집중돼 공격의 규모가 증가한 것으로 분석됐다. 피싱 공격(가짜 사이트로 유인해 개인정보 탈취) 등의 일반적인 공격 유형이 올해 사상 최고 수준에 도달했다. 피싱 공격 빈도는 계속 증가하고 있으며, 현재 58%로 가장 높은 빈도의 공격 유형이다. 2021년에는 멀웨어 공격도 증가 추세로 올해 36.5%의 기업이 멀웨어 공격을 탐지했으며, 이는 2020년의 22.2%에서 증가한 수치이다. 올해 가장 주목할 만한 공격은 피싱 공격이라고 보고서는 전했다. URL 필터링 솔루션에 대한 수요가 2020년 이후 10배 증가했으며, 글로벌 기업의 20%는 피싱이 비즈니스에 심각한 위협이 된다고 인식하고 있다.   한편, 안...

2021.10.19

블로그ㅣ이메일에서 시작된 ‘보안’에 관한 몇 가지 생각

며칠 전 필자는 한 이메일을 받았는데, 처음엔 이게 합법적인지 아닌지 알아내기가 거의 불가능했다. 게다가 아웃룩에서 이메일을 미리보기만 해도 일부 취약점이 시스템에 액세스할 수 있다는 점을 생각하니 더욱더 긴장됐다. 하지만 이메일이 안전한지 확인해야 했다.  무엇보다도 건강한 회의주의(skepticism)가 중요하다. 사용하는 플랫폼이 패치를 완료해 공격을 방어할 준비가 됐는지 항상 확인해야 한다. 예를 들어 더 이상 지원되지 않는 아웃룩 버전을 계속 쓰고 있다면 위험에 노출될 수 있다.    또한 패치되지 않은 오피스 제품군에서 모르는 이메일을 열어선 안 된다. 더 나은 보호를 제공하는 최신 이메일 클라이언트로 마이그레이션하는 것도 괜찮다. 아웃룩의 유용한 대안으로 쓸 수 있는 많은 서드파티 이메일 클라이언트가 있다. 이를테면 썬더버드(Thunderbird), eM 클라이언트(eM Client), 메일버드(Mailbird) 등이다.  때때로 구식이라고 간주되는 방법이 적합할 수 있다. 이메일은 모르는 내용이지만 보낸 사람을 알고 있다고 가정해보자. 이때 해당 이메일이 합법적인지 확인하는 가장 쉬운 방법은 전화기를 들고 전화를 하는 것이다.  비즈니스 이메일 침해(BEC) 공격도 마찬가지다. 은행 계좌가 바닥나지 않도록 하는 가장 좋은 방법은 전화를 걸어 거래를 확인하는 것이다. 똑똑한 사람도 사기를 당할 수 있다는 걸 명심하라. 이를테면 美 투자 리얼리티 TV쇼 ‘샤크 탱크(Shark Tank)’에서 투자자로 출연해 유명세를 얻은 백만장자 바바라 코코란은 지난해 그를 사칭한 사기꾼이 회계 담당자에게 계좌이체를 승인해달라는 이메일을 보내 약 40만 달러를 잃었다(잘못된 형식의 이메일 주소로 발각됐다). 다른 이메일 클라이언트를 사용하는 대신 플랫폼을 전환할 수도 있다. 많은 기업이 애플 플랫폼이나 크롬북으로 이동하게 되면서 사람들은 (자신들이) 공격에 면역을 가지고 있다고 생각하게 될 수 있다. 하지만 ...

이메일 기업 이메일 침해 BEC 보안 패치 취약점 피싱 운영체제 윈도우 오피스 아웃룩

2021.09.07

며칠 전 필자는 한 이메일을 받았는데, 처음엔 이게 합법적인지 아닌지 알아내기가 거의 불가능했다. 게다가 아웃룩에서 이메일을 미리보기만 해도 일부 취약점이 시스템에 액세스할 수 있다는 점을 생각하니 더욱더 긴장됐다. 하지만 이메일이 안전한지 확인해야 했다.  무엇보다도 건강한 회의주의(skepticism)가 중요하다. 사용하는 플랫폼이 패치를 완료해 공격을 방어할 준비가 됐는지 항상 확인해야 한다. 예를 들어 더 이상 지원되지 않는 아웃룩 버전을 계속 쓰고 있다면 위험에 노출될 수 있다.    또한 패치되지 않은 오피스 제품군에서 모르는 이메일을 열어선 안 된다. 더 나은 보호를 제공하는 최신 이메일 클라이언트로 마이그레이션하는 것도 괜찮다. 아웃룩의 유용한 대안으로 쓸 수 있는 많은 서드파티 이메일 클라이언트가 있다. 이를테면 썬더버드(Thunderbird), eM 클라이언트(eM Client), 메일버드(Mailbird) 등이다.  때때로 구식이라고 간주되는 방법이 적합할 수 있다. 이메일은 모르는 내용이지만 보낸 사람을 알고 있다고 가정해보자. 이때 해당 이메일이 합법적인지 확인하는 가장 쉬운 방법은 전화기를 들고 전화를 하는 것이다.  비즈니스 이메일 침해(BEC) 공격도 마찬가지다. 은행 계좌가 바닥나지 않도록 하는 가장 좋은 방법은 전화를 걸어 거래를 확인하는 것이다. 똑똑한 사람도 사기를 당할 수 있다는 걸 명심하라. 이를테면 美 투자 리얼리티 TV쇼 ‘샤크 탱크(Shark Tank)’에서 투자자로 출연해 유명세를 얻은 백만장자 바바라 코코란은 지난해 그를 사칭한 사기꾼이 회계 담당자에게 계좌이체를 승인해달라는 이메일을 보내 약 40만 달러를 잃었다(잘못된 형식의 이메일 주소로 발각됐다). 다른 이메일 클라이언트를 사용하는 대신 플랫폼을 전환할 수도 있다. 많은 기업이 애플 플랫폼이나 크롬북으로 이동하게 되면서 사람들은 (자신들이) 공격에 면역을 가지고 있다고 생각하게 될 수 있다. 하지만 ...

2021.09.07

CEO 이메일 위조는 옛말... 나날이 교묘해지는 'BEC' 현황 및 예방법

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

CSO 피싱 피싱 메일 기업 이메일 침해 BEC 랜섬웨어 원격근무 제로 트러스트 MFA

2021.07.19

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

2021.07.19

‘보안도 역지사지’··· 사이버 범죄자에게 배울 수 있는 3가지

날쌘 사이버 범죄자처럼 민첩하게 행동하는 방법을 배우지 못한다면 비극적인 결말을 맞이할 수밖에 없을 것이다.  사이버 범죄자로부터 배울 수 있는 게 많다. 이들의 속도, 민첩성, 창의성이 특히 그러하다. 비효율적인 회의, 사무실 정치, 강압적인 컴플라이언스 등에 넌더리가 난다면 한 번쯤 공격자의 시각으로 사물을 보는 것도 나쁘지 않다.  사이버 범죄자는 ‘알 필요가 있는(need to know)’ 내용들을 배우고, 장벽을 뚫고 침투하기 위한 기술과 최신 공격 기법을 공유한다. 장벽이란 바로 기업이다.    여기서는 다크웹(Dark Web)에서 공유됐던 이야기를 모아 발간됐던 간행물에 ‘크라임 씬(Crime Scene; CS)’이라는 멋들어진 제목을 붙이고, 사이버 범죄자의 심리를 역으로 유추해볼 수 있는 흥미진진한 안전 지침(Safety Manual)으로 재구성했다.  ‘크라임 씬’은 독자(사이버 범죄자)를 자극하는 다음의 뉴스로 시작된다. “코로나19 사태는 5년이 걸렸을 디지털 트랜스포메이션을 12개월 만에 빠르게 해치우도록 밀어붙였다. 이는 직원들을 혼란스럽게 만들었고 이들이 사무실 밖으로 나가면서 온갖 취약점이 생겼다. 이제 데이터 침해를 즐겨야 할 때다.” 크라임 씬의 사용자 정보 섹션에서는 독자들이 ‘필수적으로 알아야 할’ 최신 기술 및 도구를 소개한다. 사이버 범죄자들은 언제나 시대를 앞서가고 있으며, 그중에서도 얼리어답터라면 인공지능(AI), 사물인터넷(IoT), 5세대 이동통신(5G)에 지체없이 집중할 것이다. 머지 않아 공격자들은 ‘침입(break in)’ 세미나를 열고 자동화, 통합, 침투를 혼합할 최적의 방법을 논의할 것이다.  크라임 씬의 유머 섹션에서는 ‘코로나바이러스가 어떻게 사이버 사기를 촉발시켰는지(몇 달도 더 지난 이야기다)’, ‘사이버 범죄자들이 최신 기술에 투자하고 있다(이게 뉴스인가?)’, 그리고 ‘비트코인이 사기꾼들의 최신 표적이다(이제서야 안 것인가?!)...

보안 사이버 공격 사이버 범죄 인공지능 클라우드 다크웹 크라임 씬 코로나19 취약점 사물인터넷 5G 재택근무 피싱 데이터 유출 데이터 침해 비트코인 노코드 로우코드 액티브 디렉토리

2021.04.22

날쌘 사이버 범죄자처럼 민첩하게 행동하는 방법을 배우지 못한다면 비극적인 결말을 맞이할 수밖에 없을 것이다.  사이버 범죄자로부터 배울 수 있는 게 많다. 이들의 속도, 민첩성, 창의성이 특히 그러하다. 비효율적인 회의, 사무실 정치, 강압적인 컴플라이언스 등에 넌더리가 난다면 한 번쯤 공격자의 시각으로 사물을 보는 것도 나쁘지 않다.  사이버 범죄자는 ‘알 필요가 있는(need to know)’ 내용들을 배우고, 장벽을 뚫고 침투하기 위한 기술과 최신 공격 기법을 공유한다. 장벽이란 바로 기업이다.    여기서는 다크웹(Dark Web)에서 공유됐던 이야기를 모아 발간됐던 간행물에 ‘크라임 씬(Crime Scene; CS)’이라는 멋들어진 제목을 붙이고, 사이버 범죄자의 심리를 역으로 유추해볼 수 있는 흥미진진한 안전 지침(Safety Manual)으로 재구성했다.  ‘크라임 씬’은 독자(사이버 범죄자)를 자극하는 다음의 뉴스로 시작된다. “코로나19 사태는 5년이 걸렸을 디지털 트랜스포메이션을 12개월 만에 빠르게 해치우도록 밀어붙였다. 이는 직원들을 혼란스럽게 만들었고 이들이 사무실 밖으로 나가면서 온갖 취약점이 생겼다. 이제 데이터 침해를 즐겨야 할 때다.” 크라임 씬의 사용자 정보 섹션에서는 독자들이 ‘필수적으로 알아야 할’ 최신 기술 및 도구를 소개한다. 사이버 범죄자들은 언제나 시대를 앞서가고 있으며, 그중에서도 얼리어답터라면 인공지능(AI), 사물인터넷(IoT), 5세대 이동통신(5G)에 지체없이 집중할 것이다. 머지 않아 공격자들은 ‘침입(break in)’ 세미나를 열고 자동화, 통합, 침투를 혼합할 최적의 방법을 논의할 것이다.  크라임 씬의 유머 섹션에서는 ‘코로나바이러스가 어떻게 사이버 사기를 촉발시켰는지(몇 달도 더 지난 이야기다)’, ‘사이버 범죄자들이 최신 기술에 투자하고 있다(이게 뉴스인가?)’, 그리고 ‘비트코인이 사기꾼들의 최신 표적이다(이제서야 안 것인가?!)...

2021.04.22

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9