Offcanvas

���������������������������������������������

파이어아이, 파이어아이 엔드포인트 4.0 버전 출시

파이어아이가 파이어아이 엔드포인트 4.0(FireEye Endpoint 4.0) 상용화 버전을 발표했다. 파이어아이 엔드포인트의 최신 버전은 위협에 대한 보호 및 대응 효과를 더욱 강화하기 위해 다양한 통합 위협 탐지/방지 기능을 제공할 수 있도록 설계됐다. 파이어아이는 다수의 탐지 기술과 위협 인텔리전스 및 상세한 가시성을 엔드포인트 솔루션에 통합했다. 이를 통해, 가능한 한 많은 수의 위협을 제어하고 신속한 대응을 위해 공격에 대한 상세한 데이터를 제공할 수 있게 됐다. 이는 궁극적으로 보호 기능을 향상시키고 위협의 조직에 대한 영향을 최소화 시킨다. 파이어아이 엔드포인트 4.0은 ▲파이어아이 인텔리전스의 실제 위협 정보에 대한 지속적이고 신속한 업데이트 ▲알려진 위협을 제어하는 통합 악성코드 탐지 및 차단 엔진 ▲행위 기반의 익스플로잇 분석 엔진을 통한 지능형 위협 탐지 및 차단 ▲머신 러닝 기술을 활용한 위협 대응 및 세부 공격에 대한 탐지 및 정보 제공한다. 파이어아이의 CTO 그레디 서머스는 “엔드포인트 보호 솔루션에서 필수적으로 필요한 역량은 공격 감지 및 방지 기능, 악의적 활동에 대한 엔드포인트 가시성 그리고 공격의 최전방에서 얻을 수 있는 최신의 인텔리전스”라며, “이러한 역량은 엔드포인트, 이메일 네트워크 및 서드 파티 솔루션의 보안 운영에 대한 완전한 엔드투엔드 통합 뷰를 제공하는 파이어아이 헬릭스(FireEye Helix) 플랫폼과의 통합으로 한층 더 강화됐다”고 말했다. 파이어아이 엔드포인트 4.0은 9월 28일 정식 출시되며, 클라우드, 온-프레미스, 가상 환경 또는 하이브리드 환경 등 다양한 환경에서 구축할 수 있다. ciokr@idg.co.kr

파이어아이

2017.09.26

파이어아이가 파이어아이 엔드포인트 4.0(FireEye Endpoint 4.0) 상용화 버전을 발표했다. 파이어아이 엔드포인트의 최신 버전은 위협에 대한 보호 및 대응 효과를 더욱 강화하기 위해 다양한 통합 위협 탐지/방지 기능을 제공할 수 있도록 설계됐다. 파이어아이는 다수의 탐지 기술과 위협 인텔리전스 및 상세한 가시성을 엔드포인트 솔루션에 통합했다. 이를 통해, 가능한 한 많은 수의 위협을 제어하고 신속한 대응을 위해 공격에 대한 상세한 데이터를 제공할 수 있게 됐다. 이는 궁극적으로 보호 기능을 향상시키고 위협의 조직에 대한 영향을 최소화 시킨다. 파이어아이 엔드포인트 4.0은 ▲파이어아이 인텔리전스의 실제 위협 정보에 대한 지속적이고 신속한 업데이트 ▲알려진 위협을 제어하는 통합 악성코드 탐지 및 차단 엔진 ▲행위 기반의 익스플로잇 분석 엔진을 통한 지능형 위협 탐지 및 차단 ▲머신 러닝 기술을 활용한 위협 대응 및 세부 공격에 대한 탐지 및 정보 제공한다. 파이어아이의 CTO 그레디 서머스는 “엔드포인트 보호 솔루션에서 필수적으로 필요한 역량은 공격 감지 및 방지 기능, 악의적 활동에 대한 엔드포인트 가시성 그리고 공격의 최전방에서 얻을 수 있는 최신의 인텔리전스”라며, “이러한 역량은 엔드포인트, 이메일 네트워크 및 서드 파티 솔루션의 보안 운영에 대한 완전한 엔드투엔드 통합 뷰를 제공하는 파이어아이 헬릭스(FireEye Helix) 플랫폼과의 통합으로 한층 더 강화됐다”고 말했다. 파이어아이 엔드포인트 4.0은 9월 28일 정식 출시되며, 클라우드, 온-프레미스, 가상 환경 또는 하이브리드 환경 등 다양한 환경에서 구축할 수 있다. ciokr@idg.co.kr

2017.09.26

파이어아이, MS 오피스 제로데이 취약점 발견

파이어아이가 핀스파이(FINSPY) 확산에 이용된 마이크로소프트 오피스 제로데이 취약점을 발견했다고 밝혔다. 파이어아이는 핀스파이 공격에 사용되는 MS 오피스 RTF(Rich Text Format) 문서를 발견했으며, ‘Проект.doc’라는 이름으로 배포된 악성 문서가 러시아어 사용자를 공격 대상으로 삼았을 가능성이 높다고 설명했다. 핀피셔(FinFisher) 또는 윙버드(Wingbird)로도 알려진 핀스파이 멀웨어는 합법적 해킹의 용도로 구매할 수 있다. 파이어아이는 악성 문서가 사이버 스파이 활동 목적으로 러시아어를 사용하는 조직을 대상으로 악용됐을 것으로 추정하고 있다. 또한, 파이어아이의 동적 위협 인텔리전스(Dynamic Threat Intelligence; DTI) 시스템은 다른 대상자들을 공격한 일련의 행위가 이미 2017년 7월에 발생했을 가능성이 있다는 것을 추가로 발견했다. CVE-2017-8759는 파이어아이가 2017년에 발견한 두 번째 제로데이 취약점으로 핀스파이 배포를 위해 사용됐다. 이러한 취약점 발견은 합법적 해킹 영역의 여러 기업 및 고객들의 중요한 리소스로 활용된다. 핀스파이는 다수의 고객들에게 판매됐으며, 이는 여러 공격에 취약점이 악용됐다는 것을 의미한다고 업체 측은 설명했다. 파이어아이는 CVE-2017-8759가 다른 공격자들에 의해 추가로 사용됐을 가능성 또한 발견했다고 밝혔다. 아직 정확한 증거는 확보하지 못했지만, 2017년 4월 발생한 핀스파이 배포에 사용된 제로데이 취약점 CVE-2017-0199가 금전적 동기를 가진 공격자들로부터 동시에 사용된 것으로 확인됐다. 핀스파이 공격자들이 기존과 동일한 출처로부터 취약점을 확보했다면, 해당 출처는 다른 공격자들에게도 취약점을 판매했을 가능성이 높다고 업체 측은 설명했다. 파이어아이 코리아 전수홍 지사장은 “일반적으로 제로데이 공격은 다양한 산업군을 타깃으로 하고 있으며, 제품 공급업체에서 패치를 제공하기 전...

MS 취약점 제로데이 파이어아이

2017.09.18

파이어아이가 핀스파이(FINSPY) 확산에 이용된 마이크로소프트 오피스 제로데이 취약점을 발견했다고 밝혔다. 파이어아이는 핀스파이 공격에 사용되는 MS 오피스 RTF(Rich Text Format) 문서를 발견했으며, ‘Проект.doc’라는 이름으로 배포된 악성 문서가 러시아어 사용자를 공격 대상으로 삼았을 가능성이 높다고 설명했다. 핀피셔(FinFisher) 또는 윙버드(Wingbird)로도 알려진 핀스파이 멀웨어는 합법적 해킹의 용도로 구매할 수 있다. 파이어아이는 악성 문서가 사이버 스파이 활동 목적으로 러시아어를 사용하는 조직을 대상으로 악용됐을 것으로 추정하고 있다. 또한, 파이어아이의 동적 위협 인텔리전스(Dynamic Threat Intelligence; DTI) 시스템은 다른 대상자들을 공격한 일련의 행위가 이미 2017년 7월에 발생했을 가능성이 있다는 것을 추가로 발견했다. CVE-2017-8759는 파이어아이가 2017년에 발견한 두 번째 제로데이 취약점으로 핀스파이 배포를 위해 사용됐다. 이러한 취약점 발견은 합법적 해킹 영역의 여러 기업 및 고객들의 중요한 리소스로 활용된다. 핀스파이는 다수의 고객들에게 판매됐으며, 이는 여러 공격에 취약점이 악용됐다는 것을 의미한다고 업체 측은 설명했다. 파이어아이는 CVE-2017-8759가 다른 공격자들에 의해 추가로 사용됐을 가능성 또한 발견했다고 밝혔다. 아직 정확한 증거는 확보하지 못했지만, 2017년 4월 발생한 핀스파이 배포에 사용된 제로데이 취약점 CVE-2017-0199가 금전적 동기를 가진 공격자들로부터 동시에 사용된 것으로 확인됐다. 핀스파이 공격자들이 기존과 동일한 출처로부터 취약점을 확보했다면, 해당 출처는 다른 공격자들에게도 취약점을 판매했을 가능성이 높다고 업체 측은 설명했다. 파이어아이 코리아 전수홍 지사장은 “일반적으로 제로데이 공격은 다양한 산업군을 타깃으로 하고 있으며, 제품 공급업체에서 패치를 제공하기 전...

2017.09.18

파이어아이, 우크라이나 경찰청과 이터널페트야 공격 관련 조사 공조

파이어아이가 우크라이나 경찰청을 도와 최근 발생한 이터널페트야(EternalPetya) 공격에 대한 조사를 실시한다고 밝혔다. 지난 6월 말 발생한 이터널페트야(별칭 NotPetya 또는 Petya) 사이버 공격은 기업, 공항 및 정부 기관 등 우크라이나 많은 조직에 심각한 피해를 줬다. 또한 우크라이나와 관련된 일부 다국적 기업들의 운영에도 적지 않은 지장을 초래했다. 우크라이나 경찰청 사이버 경찰부문 책임자인 세르게이 존은 “이 사이버 공격은 우크라이나에서는 거의 볼 수 없는 대규모로 이루어졌고, 공격자가 반드시 상응하는 대가를 치르도록 하려면 이 공격에 대해 최대한 많은 것을 알아낼 필요가 있다”며 “이에 따라 우크라이나 경찰청은 포렌식 조사와 인텔리전스 평가에 대한 전문지식을 보유하고 있는 파이어아이에게 지원을 요청하게 됐다”고 설명했다. 파이어아이 사이버 스파이 분석 총괄 존 헐트퀴스트는 “이터널페트야 초기 분석에 따르면, 이번 공격은 러시아 기반의 공격 조직인 샌드웜(Sandworm)팀이 수행한 다른 사이버 공격들과 상당히 유사한 것으로 나타났다”며, “샌드웜은 과거에도 우크라이나를 대상으로 공격을 감행한 적이 있으며, 특히 2015년 12월과 2016년 12월 발생한 대규모 정전사태도 이들에 의한 것으로 알려져 있고, 러시아 정부가 이 조직의 배후에 있다고 본다”고 말했다. 파이어아이는 서버와 워크스테이션에 대한 포렌식 검사를 수행하고 있으며, 초기 감염 매개체를 확인해 줄 증거와 이들 장비들의 멀웨어 확산 방식을 확인하고 있다. 또한 파이어아이는 인텔리전스 확보를 위해 이 장비들의 텔레메트리(Telemetry) 데이터를 검토 중이다. ciokr@idg.co.kr

파이어아이 우크라이나

2017.07.25

파이어아이가 우크라이나 경찰청을 도와 최근 발생한 이터널페트야(EternalPetya) 공격에 대한 조사를 실시한다고 밝혔다. 지난 6월 말 발생한 이터널페트야(별칭 NotPetya 또는 Petya) 사이버 공격은 기업, 공항 및 정부 기관 등 우크라이나 많은 조직에 심각한 피해를 줬다. 또한 우크라이나와 관련된 일부 다국적 기업들의 운영에도 적지 않은 지장을 초래했다. 우크라이나 경찰청 사이버 경찰부문 책임자인 세르게이 존은 “이 사이버 공격은 우크라이나에서는 거의 볼 수 없는 대규모로 이루어졌고, 공격자가 반드시 상응하는 대가를 치르도록 하려면 이 공격에 대해 최대한 많은 것을 알아낼 필요가 있다”며 “이에 따라 우크라이나 경찰청은 포렌식 조사와 인텔리전스 평가에 대한 전문지식을 보유하고 있는 파이어아이에게 지원을 요청하게 됐다”고 설명했다. 파이어아이 사이버 스파이 분석 총괄 존 헐트퀴스트는 “이터널페트야 초기 분석에 따르면, 이번 공격은 러시아 기반의 공격 조직인 샌드웜(Sandworm)팀이 수행한 다른 사이버 공격들과 상당히 유사한 것으로 나타났다”며, “샌드웜은 과거에도 우크라이나를 대상으로 공격을 감행한 적이 있으며, 특히 2015년 12월과 2016년 12월 발생한 대규모 정전사태도 이들에 의한 것으로 알려져 있고, 러시아 정부가 이 조직의 배후에 있다고 본다”고 말했다. 파이어아이는 서버와 워크스테이션에 대한 포렌식 검사를 수행하고 있으며, 초기 감염 매개체를 확인해 줄 증거와 이들 장비들의 멀웨어 확산 방식을 확인하고 있다. 또한 파이어아이는 인텔리전스 확보를 위해 이 장비들의 텔레메트리(Telemetry) 데이터를 검토 중이다. ciokr@idg.co.kr

2017.07.25

파이어아이, 새로운 클라우드 및 가상 엔드포인트 보안 제품 발표

파이어아이가 자사의 엔드포인트 보안 솔루션을 위한 클라우드 및 가상 폼팩터를 출시한다고 발표했다. 3분기에 전 세계에 출시될 이 새로운 클라우드 및 가상 제품은 클라우드로 이전하는 고객 및 파트너들이 보다 유연하게 솔루션을 구축하고, 비용도 절감할 수 있도록 지원한다. 엔드포인트 탐지 및 대응(EDR) 솔루션 분야 선도기업인 파이어아이는 보안을 간소화, 통합 및 자동화 해주는 인텔리전스 기반의 엔드포인트 보호 플랫폼(EPP)을 고객들에게 공급하겠다는 목표하에, 클라우드 및 가상 엔드포인트 보안제품을 2017년 주요 업그레이드의 일부로 제공할 예정이다. 솔루션 업그레이드의 주요 내용은 ▲안티 바이러스(AV) 교체 및 개선(3분기) ▲행동 기반의 랜섬웨어 방어 ▲맥OS, 윈도우 등 모든 주요 컴퓨팅 플랫폼의 보호를 위한 리눅스 지원 ▲데이터 과학 및 인공 지능(AI)에 대한 수십년간의 투자, 연구 및 제품에 기반한 간소화된 보안을 제공한다. 파이어아이 케빈 맨디아 CEO는 “화려한 미사여구를 사용해 최신기술을 강조하는 엔드포인트 보안 솔루션이 시장에 많이 나와 있지만, 침해 대응 과정에서 경보가 작동하지 않아 고객들과 파트너들이 실망하는 경우가 늘고 있다”며 “파이어아이는 경험을 통해 얻은 정보 및 노하우를 엔드포인트 보안에 접목해 고객들의 보안운영을 간소화하면서도, 허점 없이 고객들을 보호할 수 있다”고 말했다. 이 새로운 폼팩터들은 파트너들이 파이어아이 엔드포인트를 더 빠르고 효율적으로 공급할 수 있도록 해준다고 업체 측은 설명했다. 파트너들은 파이어아이 엔드포인트를 하드웨어 없이 즉각적으로 구축하고, 고객들에게 호스트 옵션 또는 가상 관리 옵션을 제공할 수 있다. 이러한 새로운 옵션들은 구현 비용과 복잡성을 대폭 감소해주며, 글로벌 시장에서 파이어아이의 입증된 확장성을 제공한다. 이 뿐만 아니라, 파이어아이 헬릭스(FireEye Helix)를 통해, 파트너들은 엔드포인트, 네트워크 및 타사...

파이어아이

2017.06.30

파이어아이가 자사의 엔드포인트 보안 솔루션을 위한 클라우드 및 가상 폼팩터를 출시한다고 발표했다. 3분기에 전 세계에 출시될 이 새로운 클라우드 및 가상 제품은 클라우드로 이전하는 고객 및 파트너들이 보다 유연하게 솔루션을 구축하고, 비용도 절감할 수 있도록 지원한다. 엔드포인트 탐지 및 대응(EDR) 솔루션 분야 선도기업인 파이어아이는 보안을 간소화, 통합 및 자동화 해주는 인텔리전스 기반의 엔드포인트 보호 플랫폼(EPP)을 고객들에게 공급하겠다는 목표하에, 클라우드 및 가상 엔드포인트 보안제품을 2017년 주요 업그레이드의 일부로 제공할 예정이다. 솔루션 업그레이드의 주요 내용은 ▲안티 바이러스(AV) 교체 및 개선(3분기) ▲행동 기반의 랜섬웨어 방어 ▲맥OS, 윈도우 등 모든 주요 컴퓨팅 플랫폼의 보호를 위한 리눅스 지원 ▲데이터 과학 및 인공 지능(AI)에 대한 수십년간의 투자, 연구 및 제품에 기반한 간소화된 보안을 제공한다. 파이어아이 케빈 맨디아 CEO는 “화려한 미사여구를 사용해 최신기술을 강조하는 엔드포인트 보안 솔루션이 시장에 많이 나와 있지만, 침해 대응 과정에서 경보가 작동하지 않아 고객들과 파트너들이 실망하는 경우가 늘고 있다”며 “파이어아이는 경험을 통해 얻은 정보 및 노하우를 엔드포인트 보안에 접목해 고객들의 보안운영을 간소화하면서도, 허점 없이 고객들을 보호할 수 있다”고 말했다. 이 새로운 폼팩터들은 파트너들이 파이어아이 엔드포인트를 더 빠르고 효율적으로 공급할 수 있도록 해준다고 업체 측은 설명했다. 파트너들은 파이어아이 엔드포인트를 하드웨어 없이 즉각적으로 구축하고, 고객들에게 호스트 옵션 또는 가상 관리 옵션을 제공할 수 있다. 이러한 새로운 옵션들은 구현 비용과 복잡성을 대폭 감소해주며, 글로벌 시장에서 파이어아이의 입증된 확장성을 제공한다. 이 뿐만 아니라, 파이어아이 헬릭스(FireEye Helix)를 통해, 파트너들은 엔드포인트, 네트워크 및 타사...

2017.06.30

MS워드에서 패치되지 않은 취약점 악용하는 '이메일 기반 공격'

올 1월부터 해커들이 마이크로소프트 워드의 제로데이 취약점을 악용해 컴퓨터에 악성코드를 감염시켜 온 것으로 밝혀졌다. 해커들은 지난 수개월 동안 마이크로소프트 워드에서 패치되지 않은 취약점을 악용해 컴퓨터를 손상시키고 악성코드로 감염시켰다. 맥아피는 4월 1일 이 공격을 발견해 의심스러운 워드 파일을 분석한 후 7일 처음으로 보고했다. 이 파일은 윈도우 10에서 실행되는 최신 오피스 2016을 포함해 모든 마이크로소프트 오피스 버전에 영향을 주는 취약점을 악용했다. 이 결함은 마이크로소프트 오피스의 윈도우 객체 연결 삽입(Object Linking and Embedding) 기능과 관련이 있다. 맥아피 연구원은 블로그에서 “이 기능을 통해 문서에 참조, 다른 문서, 또는 개체에 대한 링크를 포함할 수 있다”고 밝혔다. 이 공격에 사용된 악의적인 문서가 열리면 외부 서버에 도달해 악의적인 VB스크립트(VBScript) 코드가 포함된 HTA(HTML 애플리케이션) 파일을 다운로드 한다. HTA 파일은 RTF(Rich Text Format) 문서로 위장돼 자동으로 실행된다. 맥아피의 연구원은 "성공적인 공격은 미끼 워드 문서를 닫고 가짜를 보여주기 위해 가짜 공격을 일으킨다"며 "악성코드는 이미 피해자 시스템에 은밀하게 설치돼 있다"고 말했다. 맥아피는 데이터를 검색해 이 취약점을 악용해 1월 말까지 추적했다. 맥아피 보고서에 이어 파이어아이의 보안 연구원도 이러한 공격을 인지하고 몇 주 동안 악용한 사실을 확인해 마이크로소프트와의 공조를 조율했다. 파이어아이에 따르면, 악성코드가 들어 있는 워드 문서는 이메일 첨부 파일로 전송된다. 파이어아이는 악성 이메일의 예를 제시하지는 않았다. 하지만 이전에 알려지지 않은 제로데이 취약점이기 때문에 공격은 제한된 수의 희생자를 대상으로 할 가능성이 크다. 맥아피와 파이어아이는 이 취약점이 윈도우에 포함된 대부분의 ...

이메일 MS오피스 파이어아이 워드 제로데이 악성코드 패치 공격 해커 맥아피 MS워드

2017.04.11

올 1월부터 해커들이 마이크로소프트 워드의 제로데이 취약점을 악용해 컴퓨터에 악성코드를 감염시켜 온 것으로 밝혀졌다. 해커들은 지난 수개월 동안 마이크로소프트 워드에서 패치되지 않은 취약점을 악용해 컴퓨터를 손상시키고 악성코드로 감염시켰다. 맥아피는 4월 1일 이 공격을 발견해 의심스러운 워드 파일을 분석한 후 7일 처음으로 보고했다. 이 파일은 윈도우 10에서 실행되는 최신 오피스 2016을 포함해 모든 마이크로소프트 오피스 버전에 영향을 주는 취약점을 악용했다. 이 결함은 마이크로소프트 오피스의 윈도우 객체 연결 삽입(Object Linking and Embedding) 기능과 관련이 있다. 맥아피 연구원은 블로그에서 “이 기능을 통해 문서에 참조, 다른 문서, 또는 개체에 대한 링크를 포함할 수 있다”고 밝혔다. 이 공격에 사용된 악의적인 문서가 열리면 외부 서버에 도달해 악의적인 VB스크립트(VBScript) 코드가 포함된 HTA(HTML 애플리케이션) 파일을 다운로드 한다. HTA 파일은 RTF(Rich Text Format) 문서로 위장돼 자동으로 실행된다. 맥아피의 연구원은 "성공적인 공격은 미끼 워드 문서를 닫고 가짜를 보여주기 위해 가짜 공격을 일으킨다"며 "악성코드는 이미 피해자 시스템에 은밀하게 설치돼 있다"고 말했다. 맥아피는 데이터를 검색해 이 취약점을 악용해 1월 말까지 추적했다. 맥아피 보고서에 이어 파이어아이의 보안 연구원도 이러한 공격을 인지하고 몇 주 동안 악용한 사실을 확인해 마이크로소프트와의 공조를 조율했다. 파이어아이에 따르면, 악성코드가 들어 있는 워드 문서는 이메일 첨부 파일로 전송된다. 파이어아이는 악성 이메일의 예를 제시하지는 않았다. 하지만 이전에 알려지지 않은 제로데이 취약점이기 때문에 공격은 제한된 수의 희생자를 대상으로 할 가능성이 크다. 맥아피와 파이어아이는 이 취약점이 윈도우에 포함된 대부분의 ...

2017.04.11

파이어아이 출신 엔지니어, 신생보안 업체 '슬래쉬넥스트' 설립

파이어아이 출신 엔지니어가 머신러닝과 인공지능 기술로 파이어아이의 위협 방지 플랫폼과 경쟁할 수 있는 신생 보안업체인 슬래쉬넥스트(SlashNext)를 설립했다. 슬래쉬넥스트는 데이터 유출, 악성코드, 악용, 소셜 엔지니어링 공격을 탐지할 수 있는 클라우드 기반 학습 구성 요소가 포함된 서비스인 액티브 사이버 방어 시스템(Active Cyber Defense System)을 개발하는 회사다. 이 회사의 창립자 겸 CEO인 아티프 무스타크(왼쪽 사진)는 자사 시스템의 오탐지율이 낮다고 강조했다. 그에 따르면, 이 시스템은 인간 보안 분석가가 분석하듯 의심스러운 트래픽을 분석한다. 이를 통해 시스템은 소셜 엔지니어링 공격을 탐지할 수 있다. 예를 들어 피해자가 악의적인 링크를 클릭하도록 유도하는 피싱 시도에서 종종 이러한 링크가 합법적인 로그인 페이지를 모방한다. 보안 분석가는 경력 과정에서 배운 지식을 토대로 페이지가 실제 페이지와 다르다는 것을 감지한다. 분석가들은 제로데이 공격을 탐지하기 위해 자신의 경험을 활용할 수 있다. 마찬가지로, 슬래쉬텍스트 시스템은 공격에 대한 지식을 사전에 로드하고 알고리즘을 통해 인간의 사고 프로세스를 모방해 트래픽을 분석한다. 무스타크는 "프로그레시브 러닝(Progressive Learning)이라는 기술은 핵심 지식 기반을 구축하기 위해 머신러닝을 사용하는 일련의 알고리즘"이라고 밝혔다. 그러나 자체 학습 기능과 적응 능력은 특허 출원중인 AI 알고리즘을 통해 이 머신러닝에서 개발됐다. 슬래쉬텍스트의 AI는 결론을 도출하고 예측하기 위해 인간의 인지 추론 자동화로 정의된다. 무스타크는 "사람이 과거부터 현재까지 예외적으로 잘 해왔던 것이 바로 이 AI다"고 말했다.   감지는 네트워크 트래픽을 기반으로 하므로 슬래쉬넥스트의 시스템은 운영체제와 상관없이 모든 기기를 보호할 수 있다. 위협으로 판명되면 시스템이 보안 팀에 경고한다. 슬...

경쟁 슬래쉬넥스트 스타트업 파이어아이 기계학습 벤처캐피털 악용 신생벤처 인공지능 탐지 소셜 엔지니어링 공격 오탐지

2017.04.10

파이어아이 출신 엔지니어가 머신러닝과 인공지능 기술로 파이어아이의 위협 방지 플랫폼과 경쟁할 수 있는 신생 보안업체인 슬래쉬넥스트(SlashNext)를 설립했다. 슬래쉬넥스트는 데이터 유출, 악성코드, 악용, 소셜 엔지니어링 공격을 탐지할 수 있는 클라우드 기반 학습 구성 요소가 포함된 서비스인 액티브 사이버 방어 시스템(Active Cyber Defense System)을 개발하는 회사다. 이 회사의 창립자 겸 CEO인 아티프 무스타크(왼쪽 사진)는 자사 시스템의 오탐지율이 낮다고 강조했다. 그에 따르면, 이 시스템은 인간 보안 분석가가 분석하듯 의심스러운 트래픽을 분석한다. 이를 통해 시스템은 소셜 엔지니어링 공격을 탐지할 수 있다. 예를 들어 피해자가 악의적인 링크를 클릭하도록 유도하는 피싱 시도에서 종종 이러한 링크가 합법적인 로그인 페이지를 모방한다. 보안 분석가는 경력 과정에서 배운 지식을 토대로 페이지가 실제 페이지와 다르다는 것을 감지한다. 분석가들은 제로데이 공격을 탐지하기 위해 자신의 경험을 활용할 수 있다. 마찬가지로, 슬래쉬텍스트 시스템은 공격에 대한 지식을 사전에 로드하고 알고리즘을 통해 인간의 사고 프로세스를 모방해 트래픽을 분석한다. 무스타크는 "프로그레시브 러닝(Progressive Learning)이라는 기술은 핵심 지식 기반을 구축하기 위해 머신러닝을 사용하는 일련의 알고리즘"이라고 밝혔다. 그러나 자체 학습 기능과 적응 능력은 특허 출원중인 AI 알고리즘을 통해 이 머신러닝에서 개발됐다. 슬래쉬텍스트의 AI는 결론을 도출하고 예측하기 위해 인간의 인지 추론 자동화로 정의된다. 무스타크는 "사람이 과거부터 현재까지 예외적으로 잘 해왔던 것이 바로 이 AI다"고 말했다.   감지는 네트워크 트래픽을 기반으로 하므로 슬래쉬넥스트의 시스템은 운영체제와 상관없이 모든 기기를 보호할 수 있다. 위협으로 판명되면 시스템이 보안 팀에 경고한다. 슬...

2017.04.10

파이어아이, 멀버타이징 공격 트렌드 공개

파이어아이가 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 공격과 관련한 최근 트렌드를 발표했다. 파이어아이는 블로그를 통해 최근 4개월 간의 멀버타이징 공격 분석 내용을 공개하며, 공격에 이용된 익스플로잇킷(Exploit Kit, 이하 EK) 및 관련 서버에 대해 자세히 다뤘다. 특히, 파이어아이는 한국이 해당 멀버타이징 공격에 이용된 매그니튜드(Magnitude) EK가 가장 많이 사용된 지역으로써 국내 개인 사용자 및 기업들의 주의가 요구된다고 경고했다. 멀버타이징 공격은 온라인 광고 네트워크가 악성 광고를 게시하게 되면서 발생한다. 멀버타이징은 사용자들이 단지 웹사이트에 방문하기만 해도 악성코드에 감염될 수 있는 드라이브 바이(Drive-by) 형태를 사용하는 위협의 일종이다. 악성 광고는 웹사이트 방문자들을 익스플로잇 킷 랜딩 페이지로 리다이렉트해 악성코드에 감염시킨다. 익스플로잇킷은 사용자 시스템에서 실행하고 있는 애플리케이션에 따라 악성코드를 사용자의 동의없이 시스템에 로드한다. 멀버타이징 공격에서, 광고 서버가 쿠션 서버(Cushion Servers) 혹은 쉐도우 서버(Shadow Servers)라고 불리는 악성 도메인 서버를 통해 트래픽을 전달하는 네트워크로 방문자를 리다이렉트하는 것은 일반적인 일이다. 공격자의 통제 아래, 쿠션 서버는 HTTP 리다이렉트 프로토콜 혹은 아이프레임(iframe)을 이용해 방문자를 악성 도메인 서버로 리다이렉트한다. 한편, 방문자는 공격자가 삽입한 스크립트를 포함한 페이지를 받는 경우가 있는데, 이는 공격자가 타깃 시스템의 취약점을 효과적으로 이용한 결과이다. 또한, 몇몇 공격 사례에서는 도메인 이름 등록자를 감염시켜 합법적인 도메인 아래 하위 도메인을 등록하는 도메인 섀도잉(Domain Shadowing) 기술을 통해 가짜 광고 서버를 정상적인 광고 업체로 위장하기도 했다. 이번에 포착된 멀버타이징 공격에서는 리그(Rig) EK, 선다운(Sundown) E...

파이어아이

2017.03.29

파이어아이가 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 공격과 관련한 최근 트렌드를 발표했다. 파이어아이는 블로그를 통해 최근 4개월 간의 멀버타이징 공격 분석 내용을 공개하며, 공격에 이용된 익스플로잇킷(Exploit Kit, 이하 EK) 및 관련 서버에 대해 자세히 다뤘다. 특히, 파이어아이는 한국이 해당 멀버타이징 공격에 이용된 매그니튜드(Magnitude) EK가 가장 많이 사용된 지역으로써 국내 개인 사용자 및 기업들의 주의가 요구된다고 경고했다. 멀버타이징 공격은 온라인 광고 네트워크가 악성 광고를 게시하게 되면서 발생한다. 멀버타이징은 사용자들이 단지 웹사이트에 방문하기만 해도 악성코드에 감염될 수 있는 드라이브 바이(Drive-by) 형태를 사용하는 위협의 일종이다. 악성 광고는 웹사이트 방문자들을 익스플로잇 킷 랜딩 페이지로 리다이렉트해 악성코드에 감염시킨다. 익스플로잇킷은 사용자 시스템에서 실행하고 있는 애플리케이션에 따라 악성코드를 사용자의 동의없이 시스템에 로드한다. 멀버타이징 공격에서, 광고 서버가 쿠션 서버(Cushion Servers) 혹은 쉐도우 서버(Shadow Servers)라고 불리는 악성 도메인 서버를 통해 트래픽을 전달하는 네트워크로 방문자를 리다이렉트하는 것은 일반적인 일이다. 공격자의 통제 아래, 쿠션 서버는 HTTP 리다이렉트 프로토콜 혹은 아이프레임(iframe)을 이용해 방문자를 악성 도메인 서버로 리다이렉트한다. 한편, 방문자는 공격자가 삽입한 스크립트를 포함한 페이지를 받는 경우가 있는데, 이는 공격자가 타깃 시스템의 취약점을 효과적으로 이용한 결과이다. 또한, 몇몇 공격 사례에서는 도메인 이름 등록자를 감염시켜 합법적인 도메인 아래 하위 도메인을 등록하는 도메인 섀도잉(Domain Shadowing) 기술을 통해 가짜 광고 서버를 정상적인 광고 업체로 위장하기도 했다. 이번에 포착된 멀버타이징 공격에서는 리그(Rig) EK, 선다운(Sundown) E...

2017.03.29

시만텍·시스코·IBM·체크포인트·인텔의 보안 시장 지배력 약해진다 <TBR 전망>

2021년이 되면 시만텍, 시스코, IBM, 체크포인트, 인텔이 보안 시장에서 차지하는 비중이 더 줄어들 것이라는 전망이 나왔다. 보안 시장은 지난 몇 년 동안보다 향후 2년 동안 빠르게 성장하면서 2018년까지 12% 가까이 늘어날 전망이다. 테크놀로지 비즈니스 리서치(Technology Business Research)의 조사 결과에 따르면, 전세계 보안시장이 2016년 전년 대비 11.5% 성장했고 그 가운데 신생업체들이 주목받으며 보안 업계 판도가 바뀌는 추세다. TBR은 시만텍, 시스코, IBM, 체크포인트, 인텔 5대 대형 보안업체가 향후 5년 동안 매출 성장을 이어가기 위해 계속해서 혁신하고 인수할 것으로 예상했다. 하지만 중소 업체들이 기업의 보안 전략에 더 큰 역할을 담당하면서 대형 보안 업체들의 영향력은 2021년까지 줄어든다는 전망이다. 특히 팔로알토 네트웍스, 포티넷, 트렌드 마이크로, 파이어아이, 포스포인트(Forcepoint)는 보안시장에서 시장점유율을 넓힐 것으로 기대됐다. TBR의 보안 실무 책임자인 제인 라이트는 "성장하는 보안 시장에서 업체들의 시장 점유율이 바뀔 것이다"고 밝혔다.   이러한 보안 시장의 판도 변화는 2017년과 2018년의 정치경제적인 변화에 따른 것으로 풀이됐다. 라이트는 "여기에는 많은 조직에서 진행중인 디지털 변혁과 관련된 보안 요구 사항부터 EU 내 일반 데이터 보호 규정 채택까지 여러 가지 이슈들이 포함돼 있다"고 설명했다. 기업, 공공 부문, 기타 비 소비자 고객에게 판매되는 보안 제품과 보안 관리 서비스나 프리미엄 보안 서비스에 대한 전세계 시장은 2016년에서 2021년까지 11.7% 증가할 것으로 예측된다. "많은 기업이 개선된 보안 작업, 향상된 규정 준수, 신속한 탐지 등 강력한 보안 제어 환경을 구현했지만 사이버 범죄자는 점점 더 정교한 공격을 시도하고 있다"고 라이트...

인텔 2021년 포스포인트 팔로알토 네트웍스 TBR 테크놀로지 비즈니스 리서치 파이어아이 트렌드 마이크로 포티넷 시만텍 체크포인트 시스코 IBM 전망 Technology Business Research

2017.02.03

2021년이 되면 시만텍, 시스코, IBM, 체크포인트, 인텔이 보안 시장에서 차지하는 비중이 더 줄어들 것이라는 전망이 나왔다. 보안 시장은 지난 몇 년 동안보다 향후 2년 동안 빠르게 성장하면서 2018년까지 12% 가까이 늘어날 전망이다. 테크놀로지 비즈니스 리서치(Technology Business Research)의 조사 결과에 따르면, 전세계 보안시장이 2016년 전년 대비 11.5% 성장했고 그 가운데 신생업체들이 주목받으며 보안 업계 판도가 바뀌는 추세다. TBR은 시만텍, 시스코, IBM, 체크포인트, 인텔 5대 대형 보안업체가 향후 5년 동안 매출 성장을 이어가기 위해 계속해서 혁신하고 인수할 것으로 예상했다. 하지만 중소 업체들이 기업의 보안 전략에 더 큰 역할을 담당하면서 대형 보안 업체들의 영향력은 2021년까지 줄어든다는 전망이다. 특히 팔로알토 네트웍스, 포티넷, 트렌드 마이크로, 파이어아이, 포스포인트(Forcepoint)는 보안시장에서 시장점유율을 넓힐 것으로 기대됐다. TBR의 보안 실무 책임자인 제인 라이트는 "성장하는 보안 시장에서 업체들의 시장 점유율이 바뀔 것이다"고 밝혔다.   이러한 보안 시장의 판도 변화는 2017년과 2018년의 정치경제적인 변화에 따른 것으로 풀이됐다. 라이트는 "여기에는 많은 조직에서 진행중인 디지털 변혁과 관련된 보안 요구 사항부터 EU 내 일반 데이터 보호 규정 채택까지 여러 가지 이슈들이 포함돼 있다"고 설명했다. 기업, 공공 부문, 기타 비 소비자 고객에게 판매되는 보안 제품과 보안 관리 서비스나 프리미엄 보안 서비스에 대한 전세계 시장은 2016년에서 2021년까지 11.7% 증가할 것으로 예측된다. "많은 기업이 개선된 보안 작업, 향상된 규정 준수, 신속한 탐지 등 강력한 보안 제어 환경을 구현했지만 사이버 범죄자는 점점 더 정교한 공격을 시도하고 있다"고 라이트...

2017.02.03

파이어아이, 미국 민주당 해킹 그룹 ‘APT 28’ 분석 보고서 발표

파이어아이가 미국 민주당 해킹 사건의 주범으로 지목되고 있는 러시아 기반 사이버 위협 그룹 ‘APT28’에 대한 보고서를 발표했다. 2014년에 이어 두 번째로 발간된 해당 보고서에서 파이어아이는 APT28의 사이버 위협 행위가 러시아에 정치적으로 유리한 결과를 가져다 주는 정보전 성향을 띠고 있으며, 앞으로 각국을 대상으로 한 이러한 공격을 지속할 것이라고 경고했다. 파이어아이는 지난 2014년에 APT28 관련 보고서를 발표하며, 러시아 정부가 해당 그룹의 사이버 위협 활동을 통해 전략적으로 정보를 수집한다고 추정한 바 있다. 특히 APT28은 유럽과 동유럽 국가들의 정부 및 군사 기관을 비롯해, NATO(북대서양조약기구), OSCE(유럽안보협력기구) 등 지역 안보 조직도 타깃으로 한다. 파이어아이는 2016년 유럽안보협력기구(OSCE) 해킹과 독일 기독교 민주 동맹(CDU)으로의 피싱 이메일 공격 그리고 2015년 NATO 대상 제로데이 취약점 공격 등의 사례에서 이 같은 경향이 나타난다고 전했다. 또한, 파이어아이는 2014년 이후 APT28의 전술이 변화했다고 밝히며, 러시아 외 국가들의 국내 정치에 영향을 미치려는 정보전(information operation) 성격을 띤다고 전했다. 실제로 APT28은 러시아 정부에 유리한 정치적 상황을 만들기 위해 타깃 네트워크에 침투해 전략적으로 데이터를 유출하는 방법으로 전술을 변화시켰는데, 세계반도핑기구(WADA) 해킹, 미국 민주당 해킹 등이 대표적인 사례이다. 특히, 세계반도핑기구 해킹 사례는 러시아가 자국에 불리한 사건에 대응하기 위해 어떤 식으로 사이버 공격을 이용하는지 잘 보여준다. 지난해 7월 세계반도핑기구가 러시아 선수들의 도핑 증거를 발표함에 따라, 118명의 러시아 선수들이 올림픽 팀에서 제외됐다. 그러자 APT28은 스피어 피싱 메일을 통해 계정을 탈취해 세계반도핑기구의 ADAMS 데이터 베이스에 접근한 뒤, DB내 선수들의 의료 데이터를 유출했다...

해킹 파이어아이

2017.01.31

파이어아이가 미국 민주당 해킹 사건의 주범으로 지목되고 있는 러시아 기반 사이버 위협 그룹 ‘APT28’에 대한 보고서를 발표했다. 2014년에 이어 두 번째로 발간된 해당 보고서에서 파이어아이는 APT28의 사이버 위협 행위가 러시아에 정치적으로 유리한 결과를 가져다 주는 정보전 성향을 띠고 있으며, 앞으로 각국을 대상으로 한 이러한 공격을 지속할 것이라고 경고했다. 파이어아이는 지난 2014년에 APT28 관련 보고서를 발표하며, 러시아 정부가 해당 그룹의 사이버 위협 활동을 통해 전략적으로 정보를 수집한다고 추정한 바 있다. 특히 APT28은 유럽과 동유럽 국가들의 정부 및 군사 기관을 비롯해, NATO(북대서양조약기구), OSCE(유럽안보협력기구) 등 지역 안보 조직도 타깃으로 한다. 파이어아이는 2016년 유럽안보협력기구(OSCE) 해킹과 독일 기독교 민주 동맹(CDU)으로의 피싱 이메일 공격 그리고 2015년 NATO 대상 제로데이 취약점 공격 등의 사례에서 이 같은 경향이 나타난다고 전했다. 또한, 파이어아이는 2014년 이후 APT28의 전술이 변화했다고 밝히며, 러시아 외 국가들의 국내 정치에 영향을 미치려는 정보전(information operation) 성격을 띤다고 전했다. 실제로 APT28은 러시아 정부에 유리한 정치적 상황을 만들기 위해 타깃 네트워크에 침투해 전략적으로 데이터를 유출하는 방법으로 전술을 변화시켰는데, 세계반도핑기구(WADA) 해킹, 미국 민주당 해킹 등이 대표적인 사례이다. 특히, 세계반도핑기구 해킹 사례는 러시아가 자국에 불리한 사건에 대응하기 위해 어떤 식으로 사이버 공격을 이용하는지 잘 보여준다. 지난해 7월 세계반도핑기구가 러시아 선수들의 도핑 증거를 발표함에 따라, 118명의 러시아 선수들이 올림픽 팀에서 제외됐다. 그러자 APT28은 스피어 피싱 메일을 통해 계정을 탈취해 세계반도핑기구의 ADAMS 데이터 베이스에 접근한 뒤, DB내 선수들의 의료 데이터를 유출했다...

2017.01.31

파이어아이, 용인시청에 NX 에센셜 공급

용인시청이 랜섬웨어 및 APT공격에 대한 선제적인 방어를 위해 파이어아이 NX 에센셜을 도입했다고 파이어아이가 5일 밝혔다. 이를 통해 용인시청은 사이버 위협 탐지 및 차단 역량을 크게 강화하고 더욱 안정적인 대시민 행정서비스를 제공할 수 있게 됐다는 설명이다. 용인시청은 기존의 사이버 보안 솔루션으로 고도화되는 사이버 공격을 선제적으로 방어하는데 한계를 경험하고 있었다. 또한, 최근 랜섬웨어 피해가 정부 기관 및 지방 기관으로 확산됨에 따라 시민들에게 안정적인 서비스를 제공하기 위해서 보다 능동적인 사이버 보안 대응 체계를 구축할 필요가 있다고 판단했다. 다양한 국내외 보안 솔루션을 검토한 결과, 용인시청은 기존의 솔루션과 달리 가상 머신 기반으로 알려지지 않은 악성코드 및 랜섬웨어 탐지가 가능하다는 점에 주목, 파이어아이 NX에센셜을 최종 솔루션으로 선정했다. 실시간 위협 차단 기능을 제공해 따로 관리 인력이 필요치 않다는 점 역시 솔루션 선정에 영향을 미쳤다고 용인시청은 설명했다. 도입 결과, 용인시청은 기존에 탐지 되지 않던 1,000여 건이 넘는 이벤트 및 300여 개의 악성코드를 발견하며 탐지 역량을 크게 강화할 수 있었다. 또한, NX에센셜이 제공하는 실시간 위협 차단 정책을 통해 도입 초기 단계에서 월 600여 건 가량 탐지되던 알려지지 않은 위협이 두 달 후 200건으로 65% 이상 감소되는 등 단기간에 사이버 위협 감소 효과를 경험했다. 별도의 보안 인력을 투입할 필요가 없어 총소유비용을 절감할 수 있었다는 것도 주요 성과다. 용인시청 정보통신팀 관계자는 “파이어아이 솔루션 도입을 통해 보안 운영의 효율성을 높이는 동시에 랜섬웨어를 비롯한 APT 성격의 공격에 대한 실시간 탐지 및 차단 역량을 크게 강화했다”며 “사이버 보안 역량 향상을 통해 용인 시민들에게 안정적인 행정 서비스를 제공할 수 있게 됐고, 앞으로도 시민들의 신뢰는 물론 만족도를 제고할 수 있도록 보안 투자 확대를 위해 노력할...

파이어아이 용인시청

2017.01.05

용인시청이 랜섬웨어 및 APT공격에 대한 선제적인 방어를 위해 파이어아이 NX 에센셜을 도입했다고 파이어아이가 5일 밝혔다. 이를 통해 용인시청은 사이버 위협 탐지 및 차단 역량을 크게 강화하고 더욱 안정적인 대시민 행정서비스를 제공할 수 있게 됐다는 설명이다. 용인시청은 기존의 사이버 보안 솔루션으로 고도화되는 사이버 공격을 선제적으로 방어하는데 한계를 경험하고 있었다. 또한, 최근 랜섬웨어 피해가 정부 기관 및 지방 기관으로 확산됨에 따라 시민들에게 안정적인 서비스를 제공하기 위해서 보다 능동적인 사이버 보안 대응 체계를 구축할 필요가 있다고 판단했다. 다양한 국내외 보안 솔루션을 검토한 결과, 용인시청은 기존의 솔루션과 달리 가상 머신 기반으로 알려지지 않은 악성코드 및 랜섬웨어 탐지가 가능하다는 점에 주목, 파이어아이 NX에센셜을 최종 솔루션으로 선정했다. 실시간 위협 차단 기능을 제공해 따로 관리 인력이 필요치 않다는 점 역시 솔루션 선정에 영향을 미쳤다고 용인시청은 설명했다. 도입 결과, 용인시청은 기존에 탐지 되지 않던 1,000여 건이 넘는 이벤트 및 300여 개의 악성코드를 발견하며 탐지 역량을 크게 강화할 수 있었다. 또한, NX에센셜이 제공하는 실시간 위협 차단 정책을 통해 도입 초기 단계에서 월 600여 건 가량 탐지되던 알려지지 않은 위협이 두 달 후 200건으로 65% 이상 감소되는 등 단기간에 사이버 위협 감소 효과를 경험했다. 별도의 보안 인력을 투입할 필요가 없어 총소유비용을 절감할 수 있었다는 것도 주요 성과다. 용인시청 정보통신팀 관계자는 “파이어아이 솔루션 도입을 통해 보안 운영의 효율성을 높이는 동시에 랜섬웨어를 비롯한 APT 성격의 공격에 대한 실시간 탐지 및 차단 역량을 크게 강화했다”며 “사이버 보안 역량 향상을 통해 용인 시민들에게 안정적인 행정 서비스를 제공할 수 있게 됐고, 앞으로도 시민들의 신뢰는 물론 만족도를 제고할 수 있도록 보안 투자 확대를 위해 노력할...

2017.01.05

파이어아이, 인텔리전스 기반 플랫폼 ‘헬릭스’ 발표

파이어아이가 규모와 산업군에 상관없이 모든 기업들이 보안 운영을 단순화하고 통합 및 자동화할 수 있도록 지원하는 신규 플랫폼 ‘파이어아이 헬릭스(FireEye Helix)’를 선보인다고 15일 밝혔다.  파이어아이 헬릭스는 차세대 방화벽, 엔드포인트, 침입방지시스템(Intrusion Prevention Systems, IPS) 등 기존 사이버 보안 제품들이 제공하는 저품질 혹은 잘못된 보안 경보를 관리하는 데에 소요되는 시간, 비용, 노력들을 대폭 줄이기 위해 개발된 제품이다. 파이어아이 헬릭스는 이번에 한정 얼리어답터 프로그램(early adopter program)으로 출시됐으며 2017년 1분기 후반에 상용화될 예정이다. 파이어아이 케빈 맨디아 CEO는 “파이어아이 헬릭스는 파이어아이의 탐지 솔루션과 맨디언트, 아이사이트 파트너스, 인보타스와 같은 유수 보안 업체에 대한 투자를 통해 탄생한 혁신”이라며, “이 제품은 클라우드 및 온프레미스 환경에서 간단하게 통합 및 자동화된 보안 운영을 가능케 하는 인텔리전스 기반 플랫폼”이라고 말했다. 헬릭스는 파이어아이 엔드포인트 보안 제품 HX와 네트워크 보안 제품 NX의 MVX 탐지 역량을 통합한다. 파이어아이 헬릭스는 파이어아이 아이사이트 인텔리전스를 통해 고객의 환경에 도입된 모든 타사 제품으로부터 나오는 보안 경보를 통합 및 분석해 가시성을 더욱 강화한다. 이로써, 정확하지 않거나, 오탐지로 인한 보안 경보는 줄어들고, 위협에 대한 대응을 가속화할 수 있는 업무에 적용 가능한 정보만을 제공하게 돼 궁극적으로 모든 보안 솔루션의 효용 가치를 증진시킨다고 업체 측은 설명했다. 헬릭스는 보안 분석가들에 의해, 보안 분석가들을 위해 재설계된 UX(사용자경험)는 위협에 대한 적절한 대응을 위해 위협의 우선순위 및 상관관계를 정확히 파악할 수 있도록 구성됐다. 커스터마이징이 가능한 대시보드(Dashboard), 서치 및 리포트...

파이어아이

2016.12.15

파이어아이가 규모와 산업군에 상관없이 모든 기업들이 보안 운영을 단순화하고 통합 및 자동화할 수 있도록 지원하는 신규 플랫폼 ‘파이어아이 헬릭스(FireEye Helix)’를 선보인다고 15일 밝혔다.  파이어아이 헬릭스는 차세대 방화벽, 엔드포인트, 침입방지시스템(Intrusion Prevention Systems, IPS) 등 기존 사이버 보안 제품들이 제공하는 저품질 혹은 잘못된 보안 경보를 관리하는 데에 소요되는 시간, 비용, 노력들을 대폭 줄이기 위해 개발된 제품이다. 파이어아이 헬릭스는 이번에 한정 얼리어답터 프로그램(early adopter program)으로 출시됐으며 2017년 1분기 후반에 상용화될 예정이다. 파이어아이 케빈 맨디아 CEO는 “파이어아이 헬릭스는 파이어아이의 탐지 솔루션과 맨디언트, 아이사이트 파트너스, 인보타스와 같은 유수 보안 업체에 대한 투자를 통해 탄생한 혁신”이라며, “이 제품은 클라우드 및 온프레미스 환경에서 간단하게 통합 및 자동화된 보안 운영을 가능케 하는 인텔리전스 기반 플랫폼”이라고 말했다. 헬릭스는 파이어아이 엔드포인트 보안 제품 HX와 네트워크 보안 제품 NX의 MVX 탐지 역량을 통합한다. 파이어아이 헬릭스는 파이어아이 아이사이트 인텔리전스를 통해 고객의 환경에 도입된 모든 타사 제품으로부터 나오는 보안 경보를 통합 및 분석해 가시성을 더욱 강화한다. 이로써, 정확하지 않거나, 오탐지로 인한 보안 경보는 줄어들고, 위협에 대한 대응을 가속화할 수 있는 업무에 적용 가능한 정보만을 제공하게 돼 궁극적으로 모든 보안 솔루션의 효용 가치를 증진시킨다고 업체 측은 설명했다. 헬릭스는 보안 분석가들에 의해, 보안 분석가들을 위해 재설계된 UX(사용자경험)는 위협에 대한 적절한 대응을 위해 위협의 우선순위 및 상관관계를 정확히 파악할 수 있도록 구성됐다. 커스터마이징이 가능한 대시보드(Dashboard), 서치 및 리포트...

2016.12.15

파이어아이, 맨디언트 M-트렌드 보고서 아태지역판 발간

파이어아이가 맨디언트에서 연례로 발간하는 M-트렌트 보고서의 아태지역판을 발간했다. 이 보고서는 지난 해 맨디언트가 아태지역에서 실시한 침해조사를 기반으로 얻은 통계 자료와 인사이트를 담고 있을 뿐 아니라, 사이버 위협 그룹들이 아태지역 조직들의 비즈니스를 방해하고, 민감 데이터를 유출시키기 사용했던 전략과 최근 사이버 공격 트렌드에 대해 상세히 다루고 있다. 맨디언트는 지난 2014년 파이어아이가 인수한 포렌식 전문 기업이다. 2016 맨디언트 M-트렌드 보고서에 따르면, 아태지역에서 발생한 대부분의 침해사고는 대중에게 알려지지 않은 것으로 나타났다. 사이버 보안 시장이 성숙한 국가들과 달리, 아태지역 대부분의 정부 및 사이버 보안 산업을 관장하는 조직들은 침해사고를 의무적으로 공개하도록 하는 법안을 갖추고 있지 않다. 따라서 아태지역 내 발생한 대부분의 침해사고는 언론에 많이 등장하지 않았다. 또한 아태지역 조직들은 침해사고를 발견하고 대응할 준비가 되어있지 않다고 밝혔다. 아태지역의 조직들은 기본적인 침해사고 대응 프로세스 및 계획, 위협 정보, 기술, 전문성이 부족해 공격으로부터 네트워크를 효과적으로 방어하지 못하는 경우가 많았다. 아태지역 조직들은 공격자가 시스템에 침입했다는 사실을 알아내기까지 평균 520일 즉 17개월 걸린 것으로 나타났다. 이는 146일이 소요된 글로벌 평균의 세 배가 넘는 기간이며, EMEA(유럽, 중동, 아프리카)의 평균인 469일과 비교해볼 때도 오랜 기간이다. 실제로 17개월은 공격자가 시스템에 침입 한 후 초기 목적을 달성하기 충분한 시간이다. 일례로 맨디언트 레드팀은 목표 시스템에 최초 접근한 후 평균 3일 내에 도메인 관리자 인증정보에 접근할 수 있으며, 일단 도메인 관리자 인증정보가 유출되면 공격자가 원하는 정보를 포착, 접근, 유출하게 되는 것은 시간 문제이다. 따라서 침해 사실을 인지하는데 17개월이 소요된다는 것은 아직까지 아태지역 내 조직들이 사이버 침해를 방어하는데 심각한 ...

파이어아이 맨디언트

2016.09.08

파이어아이가 맨디언트에서 연례로 발간하는 M-트렌트 보고서의 아태지역판을 발간했다. 이 보고서는 지난 해 맨디언트가 아태지역에서 실시한 침해조사를 기반으로 얻은 통계 자료와 인사이트를 담고 있을 뿐 아니라, 사이버 위협 그룹들이 아태지역 조직들의 비즈니스를 방해하고, 민감 데이터를 유출시키기 사용했던 전략과 최근 사이버 공격 트렌드에 대해 상세히 다루고 있다. 맨디언트는 지난 2014년 파이어아이가 인수한 포렌식 전문 기업이다. 2016 맨디언트 M-트렌드 보고서에 따르면, 아태지역에서 발생한 대부분의 침해사고는 대중에게 알려지지 않은 것으로 나타났다. 사이버 보안 시장이 성숙한 국가들과 달리, 아태지역 대부분의 정부 및 사이버 보안 산업을 관장하는 조직들은 침해사고를 의무적으로 공개하도록 하는 법안을 갖추고 있지 않다. 따라서 아태지역 내 발생한 대부분의 침해사고는 언론에 많이 등장하지 않았다. 또한 아태지역 조직들은 침해사고를 발견하고 대응할 준비가 되어있지 않다고 밝혔다. 아태지역의 조직들은 기본적인 침해사고 대응 프로세스 및 계획, 위협 정보, 기술, 전문성이 부족해 공격으로부터 네트워크를 효과적으로 방어하지 못하는 경우가 많았다. 아태지역 조직들은 공격자가 시스템에 침입했다는 사실을 알아내기까지 평균 520일 즉 17개월 걸린 것으로 나타났다. 이는 146일이 소요된 글로벌 평균의 세 배가 넘는 기간이며, EMEA(유럽, 중동, 아프리카)의 평균인 469일과 비교해볼 때도 오랜 기간이다. 실제로 17개월은 공격자가 시스템에 침입 한 후 초기 목적을 달성하기 충분한 시간이다. 일례로 맨디언트 레드팀은 목표 시스템에 최초 접근한 후 평균 3일 내에 도메인 관리자 인증정보에 접근할 수 있으며, 일단 도메인 관리자 인증정보가 유출되면 공격자가 원하는 정보를 포착, 접근, 유출하게 되는 것은 시간 문제이다. 따라서 침해 사실을 인지하는데 17개월이 소요된다는 것은 아직까지 아태지역 내 조직들이 사이버 침해를 방어하는데 심각한 ...

2016.09.08

파이어아이, 금융권 사이버 위협 대응 보고서 발간

파이어아이가 최근 일련의 은행권 침해사고 대응 경험을 바탕으로 금융권 사이버 위협을 효과적으로 방어할 수 있는 대응 전략이 담긴 보고서를 발표했다고 3일 밝혔다.  파이어아이의 자회사 맨디언트의 컨설턴트들은 지난 해 금융권 침해 사고를 대응하고 조사한 경험을 바탕으로 금융 서비스 기관들이 지능형 사이버 위협을 빠르게 대응하고 그로 인한 침해를 최소화하는 데에 필요한 조치들을 발표했다. 맨디언트는 지난 2014년 파이어아이가 인수한 포렌식 전문 기업으로, 사이버 침해 탐지 및 대응 분야의 전문 보안 업체이다. 우선, 파이어아이는 지능형 위협에 대한 빠른 대응을 위해 필요한 3가지 조치 ▲인증정보 관리 ▲망분리 시행 ▲데이터 분리를 권고했다. 거의 모든 침해사고에서 인증정보가 탈취되고 악용됨에 따라 인증정보에 대한 적절한 보호 조치가 필요하다. 특히, 도메인 관리자 및 루트 권한 계정의 수를 줄이고, 로컬 관리자 계정 및 각종 권한 계정에 대해 암호 관리 솔루션을 사용해야 한다. 또한, 민감한 시스템 및 애플리케이션에 대한 원격 접근을 포함한 모든 접근에 대해 다중요소 인증 방식을 도입해야 하며, 인증정보가 악용되고 있는지 여부를 지속적으로 확인하기 위해 인증정보에 대한 감사를 진행할 것이 좋다. 이와 함께, 관리자 계정에 대한 지속적인 모니터링이 요구되며 관리자 활동에 대해 강력한 인증 절차를 거쳐야 한다. 대부분의 금융 기관들이 망분리를 적절히 시행하지 않고 이에 대한 모니터링도 이루어지지 않고 있어 주의가 요구 된다. 진정한 망분리는 데이터를 한 시스템에서 다른 시스템으로 이동시키는 데 수동적인 절차가 필요한 것을 의미하며, 따라서 기업들은 망분리 과정에서 소요되는 비용과 공격자가 주요 자산에 접근하고 유출했을 시 발생할 손실을 비교해 리스크를 관리해야 한다. 제품생산 관련 데이터와 같은 민감한 데이터를 테스트 및 QA시스템에 저장하지 않아야 한다. 테스트 및 QA시스템은 낮은 권한으로도 접근이 가능하며 안전하지 않은 환경...

파이어아이

2016.08.03

파이어아이가 최근 일련의 은행권 침해사고 대응 경험을 바탕으로 금융권 사이버 위협을 효과적으로 방어할 수 있는 대응 전략이 담긴 보고서를 발표했다고 3일 밝혔다.  파이어아이의 자회사 맨디언트의 컨설턴트들은 지난 해 금융권 침해 사고를 대응하고 조사한 경험을 바탕으로 금융 서비스 기관들이 지능형 사이버 위협을 빠르게 대응하고 그로 인한 침해를 최소화하는 데에 필요한 조치들을 발표했다. 맨디언트는 지난 2014년 파이어아이가 인수한 포렌식 전문 기업으로, 사이버 침해 탐지 및 대응 분야의 전문 보안 업체이다. 우선, 파이어아이는 지능형 위협에 대한 빠른 대응을 위해 필요한 3가지 조치 ▲인증정보 관리 ▲망분리 시행 ▲데이터 분리를 권고했다. 거의 모든 침해사고에서 인증정보가 탈취되고 악용됨에 따라 인증정보에 대한 적절한 보호 조치가 필요하다. 특히, 도메인 관리자 및 루트 권한 계정의 수를 줄이고, 로컬 관리자 계정 및 각종 권한 계정에 대해 암호 관리 솔루션을 사용해야 한다. 또한, 민감한 시스템 및 애플리케이션에 대한 원격 접근을 포함한 모든 접근에 대해 다중요소 인증 방식을 도입해야 하며, 인증정보가 악용되고 있는지 여부를 지속적으로 확인하기 위해 인증정보에 대한 감사를 진행할 것이 좋다. 이와 함께, 관리자 계정에 대한 지속적인 모니터링이 요구되며 관리자 활동에 대해 강력한 인증 절차를 거쳐야 한다. 대부분의 금융 기관들이 망분리를 적절히 시행하지 않고 이에 대한 모니터링도 이루어지지 않고 있어 주의가 요구 된다. 진정한 망분리는 데이터를 한 시스템에서 다른 시스템으로 이동시키는 데 수동적인 절차가 필요한 것을 의미하며, 따라서 기업들은 망분리 과정에서 소요되는 비용과 공격자가 주요 자산에 접근하고 유출했을 시 발생할 손실을 비교해 리스크를 관리해야 한다. 제품생산 관련 데이터와 같은 민감한 데이터를 테스트 및 QA시스템에 저장하지 않아야 한다. 테스트 및 QA시스템은 낮은 권한으로도 접근이 가능하며 안전하지 않은 환경...

2016.08.03

올 3월 아태지역 랜섬웨어 급증... 파이어아이 발표

파이어아이에 따르면, 랜섬웨어 공격이 지속적으로 증가하는 추세며 특히 올해 3월에 아시아태평양 지역 전반에 걸쳐 기업체 대상 랜섬웨어 공격이 급증했다. 실제로 일본 기업을 대상으로 한 랜섬웨어 공격의 경우, 지난 해 10월 대비 올해 3월에 약 3,600배 증가했으며, 같은 기간 홍콩에서는 약 1,600배 증가했다. 국내에서도 같은 기간 기업체 대상 랜섬웨어 공격이 약 22배 가량 증가하며 한국 역시 랜섬웨어 공격에서 안전지대가 아님을 시사했다. 랜섬웨어 공격 3월에 집중 파이어아이 동적 위협 인텔리전스의 데이터에 따르면, 랜섬웨어 공격은 2015년 중반부터 지속적으로 증가하기 시작해서 올해 3월에는 급격한 증가세를 기록했다. 파이어아이 연구원들은 특히 록키(Locky) 랜섬웨어가 50개국에 걸쳐 전방위적으로 이메일 스팸 공격을 시도함에 따라, 현저한 증가세를 보였다고 밝혔다. 이메일을 통한 랜섬웨어 공격의 경우, 주로 인보이스 혹은 사진을 송부하는 메일로 가장하지만, 피해자들이 첨부 파일을 여는 순간 랜섬웨어 감염으로 이어지는 형태의 공격이다. 언론과 랜섬웨어 파이어아이는 랜섬웨어 공격자들은 자신들의 공격 내용이 언론에 보도되는 것에서 희열을 느끼며, 특히 피해자가 몸값을 지불했다는 헤드라인이 게재되는 것에 대해 만족감을 느낀다고 전했다. 따라서 최근의 랜섬웨어 공격에 대한 잇따른 언론의 보도가 다른 사이버 범죄자들의 랜섬웨어 공격을 촉진했을 가능성 있으며, 이 것이 3월의 랜섬웨어 공격 급증에 영향을 미쳤을 것이라고 파이어아이는 분석했다. 실제로 페트야(Petya) 랜섬웨어의 경우, 몸값(ransom) 지불 페이지에 최근에 보도된 기사들의 링크들을 포함시키며 이러한 추측에 신빙성을 더했다. 의료기관을 타깃 하는 랜섬웨어 지난 2월 차병원 그룹 소유의 미국 로스앤젤레스 소재 할리우드 장로병원은 랜섬웨어 공격을 받아 병원 내 파일을 암호화하고 데이터에 대한 몸값을 요구한 공격자에게 1만7,000달러를 지불했다. 또한, ...

아태 아시아태평양 파이어아이 랜섬웨어

2016.05.26

파이어아이에 따르면, 랜섬웨어 공격이 지속적으로 증가하는 추세며 특히 올해 3월에 아시아태평양 지역 전반에 걸쳐 기업체 대상 랜섬웨어 공격이 급증했다. 실제로 일본 기업을 대상으로 한 랜섬웨어 공격의 경우, 지난 해 10월 대비 올해 3월에 약 3,600배 증가했으며, 같은 기간 홍콩에서는 약 1,600배 증가했다. 국내에서도 같은 기간 기업체 대상 랜섬웨어 공격이 약 22배 가량 증가하며 한국 역시 랜섬웨어 공격에서 안전지대가 아님을 시사했다. 랜섬웨어 공격 3월에 집중 파이어아이 동적 위협 인텔리전스의 데이터에 따르면, 랜섬웨어 공격은 2015년 중반부터 지속적으로 증가하기 시작해서 올해 3월에는 급격한 증가세를 기록했다. 파이어아이 연구원들은 특히 록키(Locky) 랜섬웨어가 50개국에 걸쳐 전방위적으로 이메일 스팸 공격을 시도함에 따라, 현저한 증가세를 보였다고 밝혔다. 이메일을 통한 랜섬웨어 공격의 경우, 주로 인보이스 혹은 사진을 송부하는 메일로 가장하지만, 피해자들이 첨부 파일을 여는 순간 랜섬웨어 감염으로 이어지는 형태의 공격이다. 언론과 랜섬웨어 파이어아이는 랜섬웨어 공격자들은 자신들의 공격 내용이 언론에 보도되는 것에서 희열을 느끼며, 특히 피해자가 몸값을 지불했다는 헤드라인이 게재되는 것에 대해 만족감을 느낀다고 전했다. 따라서 최근의 랜섬웨어 공격에 대한 잇따른 언론의 보도가 다른 사이버 범죄자들의 랜섬웨어 공격을 촉진했을 가능성 있으며, 이 것이 3월의 랜섬웨어 공격 급증에 영향을 미쳤을 것이라고 파이어아이는 분석했다. 실제로 페트야(Petya) 랜섬웨어의 경우, 몸값(ransom) 지불 페이지에 최근에 보도된 기사들의 링크들을 포함시키며 이러한 추측에 신빙성을 더했다. 의료기관을 타깃 하는 랜섬웨어 지난 2월 차병원 그룹 소유의 미국 로스앤젤레스 소재 할리우드 장로병원은 랜섬웨어 공격을 받아 병원 내 파일을 암호화하고 데이터에 대한 몸값을 요구한 공격자에게 1만7,000달러를 지불했다. 또한, ...

2016.05.26

파이어아이, 빠른 사고 대응 위해 '인보타스' 인수

파이어아이가 보안 사고에 운영자가 더 신속하게 대응할 수 있도록 돕는 플랫폼 개발업체인 인보타스(Invotas)를 인수했다. 이 M&A는 1일에 완료됐으며 인수 조건은 공개되지 않았다. 엔드포인트 보호 제품에서 출발한 파이어아이는 사이버 보안에 대한 기업들의 우려가 커지면서 보안 제품 및 서비스 범위를 넓힐 방안을 모색했으며 이번 M&A는 이 같은 노력의 일환으로 풀이됐다. 미국 버지니아주 알렉산드리아에 본사를 둔 인보타스는 시큐리티 오케스트레이터(Security Orchestrator)라는 제품을 개발한 업체다. 이 플랫폼은 다양한 이기종 보안 제품에서 정보를 수집해 사고가 발생했을 때 자동으로 대응하도록 설계돼 있다. 파이어아이는 보도자료에서 많은 기업들이 서로 다른 데이터소스에서 가져온 정보를 수동으로 처리해야 하는데, 이 정보는 일관성 없는 워크플로우를 생성한다고 언급했다. 파이어아이는 네트워크에 들어오는 새로운 기기를 탐지하고 관리하는 소프트웨어 개발 업체인 포스카우트(ForeScout)와 손잡고 인보타스 기술을 사용할 계획이다.   올해 들어 파이어아이의 인수는 이번이 두번째다. 2주 전인 1월 20일 파이어아이는 미화 2억 달러에 텍사스에 있는 아이사이트 파트너스(iSight Partners)를 인수했다. 이 회사 임원들은 아이사이트 파트너스의 인수로 해킹 그룹과 범죄자들이 사고를 일으키기 전에 이들에 대한 강력한 인텔리전스를 얻게 될 것이라고 밝혔다. 2014년 초 파이어아이는 사이버공격 조사를 전문으로 하는 컴퓨터 보안 업체인 맨디언트(Mandiant)를 사들였다. 타겟(Target) 등 대행 데이터 침해 사고의 일부 피해자들은 맨디언트의 서비스를 유지하고 있다. ciokr@idg.co.kr

인수 M&A 탐지 파이어아이 사고 대응 맨디언트 인보타스 Invotas 포스카우트

2016.02.02

파이어아이가 보안 사고에 운영자가 더 신속하게 대응할 수 있도록 돕는 플랫폼 개발업체인 인보타스(Invotas)를 인수했다. 이 M&A는 1일에 완료됐으며 인수 조건은 공개되지 않았다. 엔드포인트 보호 제품에서 출발한 파이어아이는 사이버 보안에 대한 기업들의 우려가 커지면서 보안 제품 및 서비스 범위를 넓힐 방안을 모색했으며 이번 M&A는 이 같은 노력의 일환으로 풀이됐다. 미국 버지니아주 알렉산드리아에 본사를 둔 인보타스는 시큐리티 오케스트레이터(Security Orchestrator)라는 제품을 개발한 업체다. 이 플랫폼은 다양한 이기종 보안 제품에서 정보를 수집해 사고가 발생했을 때 자동으로 대응하도록 설계돼 있다. 파이어아이는 보도자료에서 많은 기업들이 서로 다른 데이터소스에서 가져온 정보를 수동으로 처리해야 하는데, 이 정보는 일관성 없는 워크플로우를 생성한다고 언급했다. 파이어아이는 네트워크에 들어오는 새로운 기기를 탐지하고 관리하는 소프트웨어 개발 업체인 포스카우트(ForeScout)와 손잡고 인보타스 기술을 사용할 계획이다.   올해 들어 파이어아이의 인수는 이번이 두번째다. 2주 전인 1월 20일 파이어아이는 미화 2억 달러에 텍사스에 있는 아이사이트 파트너스(iSight Partners)를 인수했다. 이 회사 임원들은 아이사이트 파트너스의 인수로 해킹 그룹과 범죄자들이 사고를 일으키기 전에 이들에 대한 강력한 인텔리전스를 얻게 될 것이라고 밝혔다. 2014년 초 파이어아이는 사이버공격 조사를 전문으로 하는 컴퓨터 보안 업체인 맨디언트(Mandiant)를 사들였다. 타겟(Target) 등 대행 데이터 침해 사고의 일부 피해자들은 맨디언트의 서비스를 유지하고 있다. ciokr@idg.co.kr

2016.02.02

파이어아이, 국내 금융∙보험 기업 노리는 레이튼트봇 악성코드 경고

파이어아이가 다층 난독화를 통한 잠입으로 아무런 흔적없이 네트워크에 잠복하며 하드디스크를 손상시키는 악성코드 레이튼트봇(LATENTBOT)을 발견했다고 밝혔다. 회사에 따르면 이 악성코드는 한국을 포함해 미국, 영국, 싱가포르 등 여러 주요 국가의 금융 서비스 및 보험 분야를 주요 타깃으로 공격을 감행해왔으며, 특히 한국은 해당 악성코드의 타깃국가일 뿐 아니라 CnC 서버로 악용되기에 각별한 주의가 요구된다. 파이어아이의 동적 위협 인텔리전스(DTI, Dynamic Threat Intelligence)에 수집된 정보에 의하면, 레이튼트봇은 2013년에 생성돼 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다, 페루, 폴란드 등 여러 국가의 금융 서비스 및 보험 분야를 주요 대상으로 그간 여러 차례 공격을 감행해 온 것으로 드러났다. 파이어아이는 해당 악성코드가 레이튼트봇이라고 명명된 최종 페이로드(payload)를 통해 타깃 컴퓨터에 감염 시키는 흔한 수법을 이용했지만, 페이로드가 여러 단계로 주입되는 다층 난독화 과정으로 인해 탐지가 어렵다는 점이 특기할 만 하다고 전했다. 은밀한 잠입이 특징인 레이튼트봇 악성코드의 실제 ‘악성’ 코드는 필요한 최소한의 기간 동안만 메모리에 남아있다가 사라진다. 또한, 대부분의 감염된 데이터는 프로그램 리소스나 레지스트리에서 발견되며, CnC(C2, Command and Control) 통신의 암호화에 포함되는 개별화된 암호 알고리즘이 각기 다른 요소들에 나뉘어져 존재하기 때문에 해당 악성코드의 바이너리는 안티바이러스 소프트웨어로 탐지하기가 어렵다. 잠입 시에도 이 악성코드는 여러 단계에 걸쳐 시스템을 장악하며 더욱 탐지를 어렵게 한다. 최초시스템 침입 시, 공격 그룹은 악성 워드 파일이 첨부된 이메일을 타깃에게 송부한다. 해당 워드 파일이 실행되면 공격 그룹의 서버로부터 두 번째 루미노시티링크(LuminosityLink)라는 악성코드를 다운로드하는데, 이...

악성코드 파이어아이

2016.01.28

파이어아이가 다층 난독화를 통한 잠입으로 아무런 흔적없이 네트워크에 잠복하며 하드디스크를 손상시키는 악성코드 레이튼트봇(LATENTBOT)을 발견했다고 밝혔다. 회사에 따르면 이 악성코드는 한국을 포함해 미국, 영국, 싱가포르 등 여러 주요 국가의 금융 서비스 및 보험 분야를 주요 타깃으로 공격을 감행해왔으며, 특히 한국은 해당 악성코드의 타깃국가일 뿐 아니라 CnC 서버로 악용되기에 각별한 주의가 요구된다. 파이어아이의 동적 위협 인텔리전스(DTI, Dynamic Threat Intelligence)에 수집된 정보에 의하면, 레이튼트봇은 2013년에 생성돼 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다, 페루, 폴란드 등 여러 국가의 금융 서비스 및 보험 분야를 주요 대상으로 그간 여러 차례 공격을 감행해 온 것으로 드러났다. 파이어아이는 해당 악성코드가 레이튼트봇이라고 명명된 최종 페이로드(payload)를 통해 타깃 컴퓨터에 감염 시키는 흔한 수법을 이용했지만, 페이로드가 여러 단계로 주입되는 다층 난독화 과정으로 인해 탐지가 어렵다는 점이 특기할 만 하다고 전했다. 은밀한 잠입이 특징인 레이튼트봇 악성코드의 실제 ‘악성’ 코드는 필요한 최소한의 기간 동안만 메모리에 남아있다가 사라진다. 또한, 대부분의 감염된 데이터는 프로그램 리소스나 레지스트리에서 발견되며, CnC(C2, Command and Control) 통신의 암호화에 포함되는 개별화된 암호 알고리즘이 각기 다른 요소들에 나뉘어져 존재하기 때문에 해당 악성코드의 바이너리는 안티바이러스 소프트웨어로 탐지하기가 어렵다. 잠입 시에도 이 악성코드는 여러 단계에 걸쳐 시스템을 장악하며 더욱 탐지를 어렵게 한다. 최초시스템 침입 시, 공격 그룹은 악성 워드 파일이 첨부된 이메일을 타깃에게 송부한다. 해당 워드 파일이 실행되면 공격 그룹의 서버로부터 두 번째 루미노시티링크(LuminosityLink)라는 악성코드를 다운로드하는데, 이...

2016.01.28

파이어아이, 홍콩 미디어 기업 노린 중국의 APT 공격 조직 밝혀

최근 중국 기반 사이버 범죄 조직 ‘admin@338’이 홍콩의 미디어 기업을 대상으로 스피어 피싱 이메일을 이용한 사이버 공격을 감행했다고 파이어아이가 밝혔다. 파이어아이에 따르면, 이 사이버 범죄 조직은 공격 과정에서 CnC(명령 및 제어) 통신을 위해 클라우드 스토리지 서비스인 드롭박스(Dropbox)를 악용했으며, 주로 친민주주의 성향의 미디어를 대상으로 사이버 공격을 진행했다고 전했다. 지난 8월, 사이버 범죄 조직 admin@338은 신문사, 라디오 및 TV 방송국 등 홍콩의 미디어 기업체를 대상으로 뉴스 제보를 명목으로 악성 파일이 첨부한 스피어 피싱 이메일을 전송했다. 일례로, 실제 사용된 피싱 이메일에는 홍콩의 2014년 민주화 시위 ‘우산 혁명’의 기념일에 맞춰 창립하는 기독교 시민 사회 단체에 관한 내용이 담겨 있었으며, 또 다른 이메일에는 홍콩 대학교 부총장 총선거에서 친중국파 부총장 선출에 대한 우려로 투표를 꺼리는 해당 학교의 동창회에 관한 언급이 있었다. 파이어아이는 이 조직이 CnC 통신을 위해 드롭박스를 악용하는 로우볼(LOWBALL)이라는 멀웨어를 사용했다. 조사 과정에서, 파이어아이의 연구진은 드롭박스에 이 조직의 해킹 활동에 대해 경고를 보냈으며, 드롭박스는 즉시 로우볼이 사용하는 접근 토큰(access token)을 차단했다. 이를 통해 드롭박스는 해당 조직이 이용한 멀웨어 모든 버전에서의 CnC 통신을 차단할 수 있었다. 파이어아이는 다수의 중국 사이버 범죄 조직이 아시아 지역의 미디어 기업들을 대상으로 감행한 공격들에 대해 예의 주시해왔다. 이러한 공격들은 주로 홍콩 기반의 미디어, 특히 친민주주의 내용을 보도하는 언론에 중점을 두고 있으며, 대만, 동남 아시아 및 이 지역의 다른 국가에 위치한 기자들도 역시 공격의 대상이 됐다고 밝혔다. 파이어아이는 지난 2013년부터 admin@338의 활동을 추적해왔다. 이 조직은 대부분 금융, 경제 및 ...

파이어아이

2016.01.13

최근 중국 기반 사이버 범죄 조직 ‘admin@338’이 홍콩의 미디어 기업을 대상으로 스피어 피싱 이메일을 이용한 사이버 공격을 감행했다고 파이어아이가 밝혔다. 파이어아이에 따르면, 이 사이버 범죄 조직은 공격 과정에서 CnC(명령 및 제어) 통신을 위해 클라우드 스토리지 서비스인 드롭박스(Dropbox)를 악용했으며, 주로 친민주주의 성향의 미디어를 대상으로 사이버 공격을 진행했다고 전했다. 지난 8월, 사이버 범죄 조직 admin@338은 신문사, 라디오 및 TV 방송국 등 홍콩의 미디어 기업체를 대상으로 뉴스 제보를 명목으로 악성 파일이 첨부한 스피어 피싱 이메일을 전송했다. 일례로, 실제 사용된 피싱 이메일에는 홍콩의 2014년 민주화 시위 ‘우산 혁명’의 기념일에 맞춰 창립하는 기독교 시민 사회 단체에 관한 내용이 담겨 있었으며, 또 다른 이메일에는 홍콩 대학교 부총장 총선거에서 친중국파 부총장 선출에 대한 우려로 투표를 꺼리는 해당 학교의 동창회에 관한 언급이 있었다. 파이어아이는 이 조직이 CnC 통신을 위해 드롭박스를 악용하는 로우볼(LOWBALL)이라는 멀웨어를 사용했다. 조사 과정에서, 파이어아이의 연구진은 드롭박스에 이 조직의 해킹 활동에 대해 경고를 보냈으며, 드롭박스는 즉시 로우볼이 사용하는 접근 토큰(access token)을 차단했다. 이를 통해 드롭박스는 해당 조직이 이용한 멀웨어 모든 버전에서의 CnC 통신을 차단할 수 있었다. 파이어아이는 다수의 중국 사이버 범죄 조직이 아시아 지역의 미디어 기업들을 대상으로 감행한 공격들에 대해 예의 주시해왔다. 이러한 공격들은 주로 홍콩 기반의 미디어, 특히 친민주주의 내용을 보도하는 언론에 중점을 두고 있으며, 대만, 동남 아시아 및 이 지역의 다른 국가에 위치한 기자들도 역시 공격의 대상이 됐다고 밝혔다. 파이어아이는 지난 2013년부터 admin@338의 활동을 추적해왔다. 이 조직은 대부분 금융, 경제 및 ...

2016.01.13

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31