구글 클라우드의 네트워크 보안 서비스 클라우드 아머(Cloud Armor)가 지난 6월 한 GCP 고객사를 겨냥한 대규모 디도스(DDoS) 공격을 막아냈다고 구글이 밝혔다.    구글에 따르면, 이번 공격은 최대 초당 4,600만 개의 요청(RPS, requests per second)에 달했다. 이는 이전 최대 규모로 기록됐던 DDoS 공격보다 76% 더 높은 수치이며, 메리스(Meris)라고 알려진 봇넷과 연관된 특성을 보였다고 회사는 전했다. 구글 클라우드는 클라우드 아머 어댑티브 보호(Cloud Armor Adaptive Protection) 기능이 공격 라이프사이클 초기에 이상 트래픽을 감지해 고객사 서비스에 영향을 주지 않은 채 공격을 차단했다고 설명했다. 이번 공격은 해커들이 점점 더 큰 규모의 인프라를 기반으로 다양한 기법을 이용해 대규모 디도스 공격을 감행하고 있는 최근의 추세를 반영한다.  초당 4,600만 건의 전례 없는 공격량  구글에 따르면 공격은 지난 6월 1일 오전 9시 45분(현지 시각)에 개시됐다. 고객사의 HTTPS 로드 밸랜서에 초당 1만 건이 넘는 요청이 들이닥치기 시작했다. 구글은 “8분 만에 RPS가 십만 건을 넘겼다”라며 “클라우드 아머가 트래픽을 분석해 공격 시그니처를 발견했고, 경보를 울렸다. 그 다음 악성 시그니처를 차단할 수 있는 룰(rule)을 고객사에 전달했다”라고 구글은 밝혔다.    고객사의 네트워크 보안팀은 룰을 적용했고 결과는 효과적이었다. “고객사는 ‘디나이(deny) 대신 ‘쓰로틀(throttle)’ 조치를 취해 정상 트래픽을 차단할 실수를 줄이면서 공격 대부분을 네트워크 엣지에서 차단할 수 있었다”라고 구글은 설명했다.   회사는 이어 “그 후 2분 동안 공격은 10만에서 최대 4,600만 RPS에 도달했다. 그러나 클라우드 아머가 이미 악성 트래픽을 차단하고 있었기 때문에 고객사의 서버는 영향받지 않았다”라...

2022.08.23

IT 전문가들이 IoT와 엣지를 분가분의 관계로 간주하고 있으며, 이 두 가지 기술 영역이 미국 정부의 환경 규정을 준수하는 데 활용될 것으로 바라보고 있다고 포레스트 리서치가 진단했다.  이 시장조사기관은 IoT와 에지 컴퓨팅이 동시 성장하는 관계이며, 향후 탄소 배출량 감소와 관련한 연방 정부의 규정으로 인해 두 영역의 성장이 크게 촉진될 것으로 전망했다.  보고서는 “엣지에 미치는 영향에 대한 언급 없이 IoT의 발전을 분리해 이야기할 수 없다. 이제 서로 구별되지 않는다. 사용 사례에 미치는 영향이 결합돼 있다”라고 기술했다.  이번 ‘예측 2022 : 엣지, IoT, 그리고 네트워킹’(Predictions 2022: Edge, IoT, And Networking) 보고서에 따르면 지속 가능성 관련 서비스에 대한 수요가 IoT와 엣지의 부상을 견인할 전망이다. CO2 수준, 오염 및 대기질 모니터링과 같은 환경 분야의 사용 사례가 증가하는 한편, 자원(물 및 전력 등)을 보다 효율적으로 관리할 수 있게 해주는 IoT 시스템에 대한 수요가 확대될 것으로 관측된다.  보고서의 주 저자인 압히지트 서닐은 이러한 동향이 대기업에 두드러지고 있다고 전했다. 그는 “포춘 200대 기업을 조사한 결과 2020년을 기준으로 이들 중 58%가 최고 지속 가능성 책임자를 보유하고 있었다. 나머지 조직에도 지속 가능성과 관련한 다른 관리자가 있었다”라고 말했다.  그는 이어 많은 조직에서 IoT와 에지를 IT 부문에서 현업 부문으로 이전하는 조치에 대한 논의가 이뤄지고 있다면서도, 여전히 CIO가 행동을 취하기에 최적의 직책이라고 진단했다. 서닐은 “새로운 기술을 이해하지 않고 어떻게 조직의 친환경 IT 전략에 영향을 미칠 수 있을까?”라고 반문했다.  반도체 부족 한편 포레스터에 따르면 현재 업계를 강타하고 있는 반도체 부족 현상이 2023년 중반 이전에 해결될 가능성은 낮다. 비즈니스 및 소비자 IT 제...

2021.11.16

덴마크(사실상 유럽 전체)에서 뭔가 썩고 있는데, 아마존은 아무 말이 없다. 상황을 보면 해킹 또는 대규모 서비스 거부 공격이 발생한 것 같다. 필자가 인지한 시점은 지난 10월이지만 구글에서 “AWS DDoS attack”을 검색해 보면 자동 완성으로 뒤에 연도가 붙는다. 빈번하게 일어나는 일이라는 뜻이다. 서비스 거부 공격은 인터넷 자체와 역사를 같이할 만큼 오래된 공격이며, 데이터센터 운영업체 또는 호스팅 제공업체의 숨기는 습관 역시 그에 못지않게 오래된 관행이다. 예나 지금이나 전체 네트워크가 다운되지 않도록 보호해주는 것은 ‘복수의 제공업체가 운영하는 복수의 데이터센터’, 즉 멀티클라우드다.   물론 멀티클라우드 전략의 시작은 여러 업체의 클라우드에 워크로드를 배치하는 것이다. 또는 배치할 수 있는 역량을 유지하는 것이다. 이 말은 AWS와 애저, 때에 따라 구글 클라우드 플랫폼에도 소프트웨어를 유지한다는 것을 의미한다. 옮기지 못하도록 하는 서비스가 있다면 버리고, 여러 데이터센터에 걸쳐 확장이 가능한 데이터 아키텍처를 추구한다.   단일 클라우드의 장단점 단일 업체의 클라우드에 의존할 경우 해당 클라우드 서비스 업체가 제공하는 저렴한 대안을 뷔페처럼 고를 수 있다. 이런 서비스를 추가하는 일은 보통 아주 매끄럽게 이루어진다. 예를 들어 AWS 고객이라면 자체 검색 클러스터를 구축하는 대신 아마존 일래스틱서치 서비스(Amazon Elasticsearch Service)를 사용하면 된다. 구글 고객이라면 문서 데이터베이스를 직접 운영할 필요 없이 구글 문서 데이터베이스인 구글 클라우드 데이터스토어(Google Cloud Datastore)를 사용한다. 그러나 모든 업체의 플랫폼 전략이 그렇듯이 그 대가로 자유를 희생해야 한다. 과장처럼 느끼겠지만, 잘 생각해 보자. 물론 해당 클라우드 서비스 업체가 지금 당장은 더 저렴하다. 하지만 앞으로도 그럴까? 게다가 클라우드 업체가 전략을 변경하면서 어느 날 갑자기 사라지지 않는다고 보...

2020.03.03

디도스 공격은 단일 공격자나 다수의 공격자가 서비스를 제공하지 못 하도록 시도하는 것이다. 이는 실제로 서버, 장비, 서비스, 네트워크, 애플리케이션, 애플리케이션 내의 특정 트랜잭션 등에 대한 접근을 차단함으로써 달성할 수 있다. 도스(DoS) 공격에서는 하나의 시스템이 악성 데이터나 요청을 전송하며, 디도스 공격은 여러 시스템에서 들어온다.   일반적으로 이런 공격은 시스템에 무작위로 데이터를 요청한다. 웹 서버에 너무 많은 페이지 서비스 요청을 전송하여 고장 나도록 하거나 데이터베이스에 많은 쿼리를 전송할 수도 있다. 이로 인해 사용 가능한 인터넷 대역폭, CPU, RAM 용량이 부족해진다. 그 결과 분산형 시스템의 사소한 불편부터 웹 사이트, 애플리케이션, 비즈니스 전체가 중단되는 상황까지 발생할 수 있다. 3가지 유형의 디도스 공격 디도스 공격의 주된 유형은 3가지다. 1. 볼륨 기반 공격은 대량의 가짜 트래픽을 이용해 웹 사이트나 서버 등의 리소스를 압도한다. 여기에는 ICMP, UDP, SPF(Spoofed-Packet Flood) 공격 등이 포함된다. 볼륨 기반 공격의 규모는 초당 비트 수(Bits Per Second, BPS)로 측정된다. 2. 프로토콜 또는 네트워크 계층 디도스 공격은 다수의 패킷을 표적화된 네트워크 인프라와 인프라 관리 툴로 전송한다. 이런 프로토콜 공격에는 SYN 플러드 및 스머프 디도스 등이 있으며 그 규모는 초당 패킷 수(Packets Per Second, PPS)로 측정된다. 3. 애플리케이션 계층 공격은 애플리케이션에 악의적인 요청을 무작위로 전송하여 수행한다. 애플리케이션 계층 공격의 규모는 초당 요구 수(Requests Per Second, RPS)로 측정된다. 각 공격 유형의 목표는 항상 같다. 온라인 리소스를 느리거나 응답이 없게 만드는 것이다. 디도스 공격의 증상 디도스 공격은 서버나 시스템 다운, 정상적인 사용자들의 정상적이지만 과도한 요청, 케이블 절단 등 가용성 문제를 유발...

2020.02.17

사이버보안에 대해 예측하는 일은 재미있는 일이지만, 가장 철저히 준비해야 할 위협을 결정해야 하는 보안 담당자에게 도움이 되지 않을 수도 있다. 아카마이(Akamai)의 보안 인텔리전스 대응팀 선임 엔지니어인 채드 시먼은 “항상 진짜 문제가 되는 부분은 갑자기 튀어나올 수 있기 때문에 미래에 대해 제대로 예측하는 것은 불가능하다”라고 말했다.     2020년 직면할 가장 큰 위협이 새롭고 예상 못한 위협이라면, 미래를 대비해 노력을 집중하는 최상의 방법은 무엇일까? 올해 가장 컸던 위협이 범위와 전술 측면에서 2020년에 어떻게 바뀔지 생각하는 것이 좋은 출발점이 될 수 있다. 본지는 2019년에 가장 빈번히 발생한 중대 위협에 대한 조사 결과들을 살펴봤다. 그리고 조사 및 연구 전문가에게 2020년의 위협 추세에 맞춰 방어 체계를 조정하는 방법에 대한 조언을 구했다.  1. 장치의 악성코드 감염 엔드포인트 보호는 항상 조직들의 큰 ‘전장’이었다. 카스퍼스키(Kaspersky)의 ‘2019년 IT 보안 경제(IT Security Economics in 2019) 보고서에 따르면, 2019년에 회사 소유 장치가 악성코드에 감염된 조직의 비율이 약 절반에 달한다. 또 직원 소유 장치가 악성코드에 감염된 비율도 절반에 달한다. 카스퍼스키 보고서에 따르면, 대기업의 경우에는 가장 많은 피해를 초래한 보안 사고가 회사 소유 장치가 악성코드에 감염된 사고였다. 구체적으로 사고당 평균 피해액이 273만 달러였다. SMB는 피해액이 여기에 크게 못 미치는 11만 7,000달러였다. - 2020년 전망: 카스퍼스키의 보안 연구원인 드미트리 갈로프는 2020년에 직원 소유 장치로부터 초래되는 위험이 증가할 것으로 내다봤다. 갈로프는 비용을 절감하고, 원격 근무제를 도입하고, 직원 만족도를 높이기 위해 직원들이 개인 소유 장치를 사용하도록 허락하는 기업들이 늘어날 것이라고 예측했다. 그 결과, 공격자들은 기업 방어선을 우회하는...

2019.12.17

전통적인 정보보호 위험관리 프로세스에는 막연함이 가득하다. 잠재적 위협(Threat)과 위협으로 생길 수 있는 위험(Risk)을 분류하며 발생 가능성을 측정한다. 만약 그것들이 완화되지 않을 경우의 손실도 추정해야 한다. 완화와 제어를 위한 비용은 잠재적 손실과 비교해 측정된다. 만약 위험과 위협이 유발하는 것보다 완화하는 데 드는 비용이 저렴하고, 실행하기 용이하다면 완화 조치가 진행된다. 사건 가능성과 잠재적 손해를 계산하는 것은 어려울 수 있다. 도대체 어떤 사람이 한 해 동안 랜섬웨어와 DDoS, 내부 공격이 얼마나 일어날지 정확하게 예측할 수 있을까? 또는 누가 사건 발생 가능성이 60%가 아닌 20%임을 증명할 수 있을까?  모두가 복잡다난한 예측 문제로 고군분투한다. 그러나 이 밖에도 위험관리에 영향을 미치는 수많은 요소가 있다. 누구나 알지만 아무도 이야기하지 않는 10가지 보안 위험 요소를 알아보자.   1. '발생할지도 모르는' 위험과 싸우기 모든 위험 평가는 일어날 수도 있는 일과 아무것도 하지 않는 것 사이의 싸움이다. 전에 발생한 적이 없는 위험이라면 더욱더 그렇다. 많은 사람이 아무것도 하지 않는 것이 비용적으로 저렴하다고 생각한다. 발생하지도 않은 일에 대비하는 사람은 돈을 낭비한다고 본다. 사람들은 "왜 돈을 쓰지? 절대 일어나지 않을 텐데!"라고 말한다.  항상 해왔던 일을 하면서 현상을 유지하는 것은 어렵지 않다. 그래서 선제적으로 위험에 대응하기가 어렵다. 큰 비용이 드는 경우는 훨씬 더 순탄치 않다. 대부분 피해가 발생할 때까지 기다렸다가 해결한다.  나는 주로 9.11 테러와 항공 여행 안전을 예로 든다. 항공 여행 전문가가 2001년 9월 11일 이전에 납치범이 커터칼로 조종석을 탈취하거나 비행기에 폭발물을 밀반입할 수 있다는 사실을 미리 알지 못했던 것을 말하려는 게 아니다. 이런 위험은 십수 년 전부터 경고돼 왔다. 하지만 9.11 테러 이전에 비행기 탑승을 위...

2019.11.28

분산 서비스 거부(DDoS) 공격 증폭에 수십만 대의 기기가 악용될 수 있다는 우려가 나왔다. 인터넷을 통한 WSD 프로토콜 요청을 듣고 반응하도록 잘못 구성돼 있기 때문이다.   웹 서비스 동적 검색(WSD)은 UDP 기반 통신 프로토콜의 일종으로, 네트워크 내부에서 웹 기반 서비스를 자동 검색하는 데 사용된다. 프린터, 카메라 등 각종 장치는 물론 윈도우 비스타를 비롯한 다양한 윈도우 기기에 WSD가 사용된다. 벌써 10년도 더 된 이야기다. 범용 플레이 앤 플레이(UPnP), 단순 서비스 검색 프로토콜(SSDP), 단순 네트워크 관리 프로토콜(SNMP), WSD 등 자동 서비스 검색 및 구성 프로토콜은 대부분 로컬 네트워크상에서 사용되도록 설계됐다. 그런데 안전하지 않은 설정으로 이러한 프로토콜을 인터넷에 노출하는 기기가 많다. DDoS 반사 및 증폭 공격에 악용될 수 있는 빌미를 제공하는 것이다. DDoS 반사란 TCP와 달리 UDP는 IP 소스 인증을 전혀 수행하지 않는다. 따라서 대부분의 UDP 기반 프로토콜은 IP 스푸핑에 기본적으로 취약하다. 공격자가 DDoS 트래픽 소스를 숨기기 위해 쓰는 수법은 이처럼 취약한 프로토콜을 이용해 반응하는 컴퓨터를 통해 DDoS 트래픽의 소스를 ‘반사’하는 것이다. DDoS 반사는 다음과 같이 이루어진다. 먼저 공격자가 자신의 통제하에 있는 컴퓨터에서 다른 서버로 UDP 기반 프로토콜을 통해 쿼리를 전송하고 패킷 내부의 소스 IP 주소를 대상 피해자의 IP 주소로 설정한다. 그 결과, 쿼리를 전송받은 서버는 반응을 공격자의 컴퓨터로 되돌려 주는 것이 아니라 피해자에게 보내게 된다. DDoS 반사는 원래 요청보다 반응이 클 때 특히 강력하다. 공격자가 사용할 수 있는 대역폭이 증폭되기 때문이다. 예를 들면, 10대 이상의 컴퓨터를 통제하는 공격자는 인터넷에 노출된 취약한 UDP 기반 서비스를 사용하는 장치 100대에 요청을 전송할 수 있다. 요청이 전송된 장치는 IP 스푸핑 때문에 대량의 반응을...

2019.09.24

컴퓨터 바이러스는 정상 애플리케이션 코드를 매개체로 삼아 확산되고, 스스로 재생시키는 악성 소프트웨어의 일종이다. 다른 악성코드처럼, 공격자가 컴퓨터에 피해를 주거나, 컴퓨터를 제어하기 위해 바이러스를 배포한다. 표적을 감염시키는 방식 때문에 ‘바이러스’라는 이름이 붙여졌다. HIV나 인플루엔자 같은 생물 바이러스들은 스스로 번식을 할 수 없다. 세포를 ‘강탈’ 해야 한다. 이 과정에 감염된 조직을 파괴한다. 이와 유사하게, 컴퓨터 바이러스도 ‘나홀로’ 프로그램이 아니다. 자신을 다른 애플리케이션에 집어넣는 코드 조각이다. 애플리케이션이 실행되면서 바이러스 코드가 실행되고, 이로 인해 작은 피해부터 재앙적인 피해까지 다양한 피해가 초래된다. 이런저런 담론이나 언론 보도에서 사람들이 바이러스와 악성코드를 혼용해 번갈아 사용하는 경우가 많다. 엄격히 말하면, 위 정의에 부합하는 악성코드 종류가 바이러스이다. 다른 두 종류의 악성코드 중 첫 번째는 무해한 애플리케이션으로 가장해 사용자가 실행을 시키도록 유도하는 트로이 목마(Trojans), 두 번째는 다른 애플리케이션에 의지하지 않고 번식과 확산이 가능한 웜(worms)이다. 바이러스는 작동하기 위해 다른 프로그램을 감염시켜야 한다는 차이가 있다. 컴퓨터 바이러스가 하는 일은? 당신의 컴퓨터에 설치된 애플리케이션 하나가 바이러스에 감염되었다고 가정하자(나중에 잠깐 동안 일어날 수 있는 여러 일에 대해 이야기를 할 예정이다. 지금은 감염만 생각하자). 바이러스는 어떤 식으로 ‘나쁜 일’을 하는 것일까? 블리핑 컴퓨터가 이 과정을 개략적으로 잘 설명하고 있다. 먼저 감염된 애플리케이션이 (통상 사용자의 요청에 따라) 실행된다. 그리고 바이러스 코드가 다른 적법한 코드가 실행되기 전에 CPU 메모리에 로딩된다. 이 시점부터, 바이러스는 호스트 컴퓨터의 애플리케이션을 감염시키고, 가능한 모든 장소에 악성 코드를 주입해 번식을 시작한다 (상주 바이러스는 실행되는 프로그램에 이렇게 하지만, 비상주 바이러스는 실행되...

2019.07.18

넷스카우트가 전세계 인터넷 위협 정보와 분석한 최신 위협 환경 보고서 ‘넷스카우트 위협 인텔리전스(NETSCOUT Threat Intelligence)’를 발표했다. 2018년 하반기 현황을 분석한 이번 보고서는 ▲국가단위의 APT(advanced persistent threat) 공격 그룹 ▲IoT 취약성 ▲크라임웨어(crimeware) 활동 ▲DDoS(Distributed Denial of Service) 공격 캠페인을 비롯한 최신 동향과 움직임을 다룬다. 넷스카우트 하딕 모디 시니어 디렉터는 “2018년 하반기 전세계 위협 환경은 스테로이드의 독성과 맞먹는 무시무시한 상황을 보여주고 있다”며, “DDoS 공격 규모와 빈도, 국가단위의 사이버 공격 활동, IoT 위협의 속도가 동시에 증가하고 있고, 모든 것이 거미줄처럼 연결된 커넥티드 환경의 상호의존성을 역으로 이용하는 공격이 현대 사회를 위협하고 있으며, 우리는 더 이상 이러한 디지털 위협을 좌시할 수 없다”고 말했다.    넷스카우트 보고서는 ATLAS(Active Level Threat Analysis System)를 통한 인터넷 규모의 가시성과 ASERT(ATLAS Security Engineering and Response Team) 분석을 기반으로 2018년 하반기 동안 파악된 전세계 위협에 대한 현황을 제공한다. 넷스카우트 위협 인텔리전스는 지난 6개월 동안 공격자들이 기존 수단을 확대하고, 빠르게 최신 기술을 발전시키고, 스마트 비즈니스 기법을 적용해 공격 증가율이 가속화되고 있음을 확인했다고 업체 측은 설명했다.  끊임없이 DDoS 멀웨어의 타깃이 되고 있는 IoT 기기는 연결 후 5분 이내에 공격을 받고 24시간 이내에 특정 익스플로잇의 타깃이 되고 있다. 많은 기기에서 IoT 보안이 최소 수준 또는 전무한 상황이다. 이로 인해 IoT는 대단히 위험하고 취약한 영역이 되었으...

2019.03.11

사이버보안 제품과 서비스 시장이 성장하는 데 발을 맞춰 이를 제공하는 기업들의 가치도 상승하고 있다. 이를 알려주는 증거가 2018년 한 해 동안 벌어진 여러 사이버보안 회사들의 인수합병 거래다. 기술 M&A 컨설팅 회사인 햄플턴 파트너스가 제공한 자료에 따르면, 2018년 한 해 사이버보안 인수합병 거래는 140여 건에 달한다. 이 가운데 미화 5억 달러(5,642억 원)가 넘는 대형 M&A는 9건 이상이다. 10억 달러가 넘었던 거래도 4건이나 있었다.   햄플턴 파트너스의 액셀 브릴 디렉터는 “현재 사이버보안은 기술 산업 곳곳에 위치하고 있다. 모든 것이 연결되면서, 모든 분야와 영역에서 보안 강화에 대한 목소리가 높다”고 말했다. ID 및 액세스 관리(IAM), 네트워크 보안, 금융/트랜젝션(거래) 관련 사이버보안 부문의 규모가 가장 크다. 사이버보안 M&A 컨설팅 회사인 모멘텀 사이버(Momentum Cyber)의 디렉터 디노 부쿠리스는 “제로 트러스트(zero-trust) 방식이 확산되고, 경계선 개념이 퇴색되면서 IAM에 대한 관심이 높아지는 추세다. 하이브리드 클라우드 인프라 도입 속도가 빨라지면서 클라우드 인프라 보안도 크게 성장했다”고 말했다. 다음은 2018년 한 해 가장 규모가 컸던 사이버보안 M&A 거래 9건과 2019년 지금까지의 현황이다. 1위. 시스코가 듀오 시큐리티를 23억 5,000만 달러에 인수 네트워킹 분야의 ‘거인’인 시스코가 제로 트러스트 보안 회사인 듀오 시큐리티(Duo Security)를 23억 5,000만 달러(2조 8,784억 4,000만 원)에 인수, 2018년 한 해 가장 규모가 큰 보안 M&A 거래가 되었다. 이는 모든 것을 적용 대상으로 하는 클라우드 보안이 중요하다는 인식이 높아지고 있음을 보여주는 증거다. 인수 직후 어닝 콜에서 시스코의 CEO 척 로빈스는 듀오 인수로 시스코의 포트폴...

2019.03.07

기업들이 지난 수년 동안 자사 네트워크에 사물인터넷(IoT) 기기를 추가했으며 인터넷에 대한 노출이 증가하는 경우도 많았다. 이로 인해 NAS(Network Attached Storage) 박스, 감시 카메라, 디지털 비디오 기록, 화상회의 시스템 등을 통제하기 위해 안전하지 못한 구성과 취약성 악용에 특화된 봇넷이 최근 등장했다.   지난 8월, IoT 보안 신생업체 WC(WootCloud)의 연구원들은 폴리콤이 만든 기업용 화상회의 시스템을 감염시키는 OMNI라는 봇넷을 발견했다. 그 이후로 해당 기업은 기타 리눅스 기반의 임베디드 기기 외에 같은 유형의 시스템을 표적으로 삼는 3개의 봇넷을 추가로 발견했다. 폴리콤 HDX 시리즈 엔드포인트를 표적으로 삼는 이 새로운 3가지 봇넷은 부시도(Bushido), 헤이즈(Hades), 요와이(Yowai)이며 2016년에 소스 코드가 유출된 미라이 봇넷에 기초하고 있다. 미라이는 수십만 개의 IoT 기기를 감염시키는 데 성공했으며 역사상 가장 큰 DDoS 공격에 사용되기도 했다. 많은 사용자가 스마트 기기의 기본 관리 자격 증명을 변경하지 않는다는 점을 이용해 주로 웜 같은 방식으로 텔넷 연결을 통해 확산되었다. 최초의 미라이 봇넷은 더 이상 활동하지 않지만 소스 코드가 개선사항과 추가적인 감영 방법이 추가된 최소 13가지의 봇넷을 위한 기본으로 사용되었다. 부시도, 헤이즈, 요와이는 폴리콤 HDX와 기타 기기에 접근하기 위해 무작위 비밀번호 추측 기법을 사용하여 텔넷을 통해 확산된다. 하지만 펌웨어 또는 관리 인터페이스의 취약성 악용도 가능하다고 WC의 연구원들이 밝혔다. 폴리콤은 봇넷 위협에 대해 조처를 하고 있다 사실 2월 20일 공개된 주의보에서 폴리콤은 고객들에게 "3.1.13 버전 이전의 소프트웨어로 구동하는 (폴리콤 HDX 엔드포인트)에는 이전에 폴리콤 보안 센터에 나열한 보안 취약성이 포함되어 있다"고 경고했으며 "이런 보안 취약성으로 인해 HDX 엔드포인트...

2019.02.22

CIO와 현업 임원을 대상으로 하는 디도스(Distributed Denial-of-Service) 공격은 항상 문제가 되었다. 모든 조직이 디도스 공격에 취약할 수 있지만 발생 상황에서 대응하는 방법을 알고 있으면 피해를 최소화하는 데 도움이 된다. 아버 네트웍스(Arbor Networks)의 2018년 전세계 인프라 보안 보고서에 따르면, 2017년에는 57%의 기업과 45%의 데이터센터 운영회사가 디도스 공격으로 인터넷 대역폭이 포화 상태에 이르렀으며 2017년에는 총 750만 건의 디도스 공격이 발견됐다. 디도스 공격은 형태 면에서 차이가 있지만 모두 여러 호스트에서 온라인 공격을 목표로 공격하는 공통의 목표를 공유한다. 해를 끼칠 가능성이 농후하지만 다행히 피해를 완화할 방법이 있다. 1. 안티 디도스 제공 업체로부터 데이터 요청 안티 디도스 제공 업체의 모든 데이터를 요청하는 것이 중요하다. 여기에는 봇넷 소스 주소나 공격자를 식별할 수 있는 기타 데이터도 포함될 수 있다. 이 데이터가 수집되면 다른 공격의 위험을 최소화할 가능성을 찾을 수 있다. 여기에는 단일 IP 주소 뒤에 수백 명이 있을 수 있으므로 여러 명의 공격자를 차단할 IP 주소 차단 기능도 포함된다. 2. 온라인 중단 완화 및 대응 전략 구현 모든 조직은 비즈니스 단에서 재해복구 계획의 일부로 디도스 완화 및 대응 전략을 구현해야 한다. 여기에는 현업 직원이 접근할 수 있도록 세부적인 의사소통 및 실행 계획도 들어 있어야 한다. 미래의 공격이 나타나기 전에 이를 완화하고 경로를 재조정하기 위해 조직은 처음에 네트워크 수준의 보호 기능을 여러 개의 WAN 진입점에 연결하는 것이 중요하다. 또한 현업 부서는 운영팀이 트래픽을 쉽고 빠르게 다시 라우팅할 수 있는 올바른 행동 계획을 수립하는 데 도움을 얻을 수 있다. 3. 교육  효과적인 교육을 이수한 구성원이 공격을 인식할 수 있으므로 공격에 대한 대응 방법을 알 수 있다...

2018.07.09

카스퍼스키랩이 최근 봇넷을 통해 이뤄진 DDoS 공격 1분기 결산 보고서를 발표했다. 카스퍼스키랩 전문가들의 말에 따르면 기존 봇넷 및 신종 봇넷의 활동이 증가하고 증폭 DDoS 공격의 빈도가 높아졌으며 여러 날 동안 지속되는 DDoS 공격도 다시 출현했다고 한다. 2018년 1분기 동안 DDoS 봇넷의 온라인 리소스 공격이 79개국에서 발생했다. 공격을 가장 많이 경험한 국가로는 중국과 미국, 한국이 다시 순위권에 등장했다. 이들 국가 모두 해킹 집단이 이용할 수 있는 서버 대수가 높은 수준이며, 따라서 호스팅되는 사이트 및 서비스의 수 또한 대단하다. 한편 최다 공격 대상 국가 10위권에는 네덜란드와 베트남이 빠지고 홍콩과 일본이 이름을 올렸다. C&C 서버 최다 호스팅 부문 10위권의 변화는 더욱 뚜렷하다. 캐나다, 터키, 리투아니아, 덴마크가 순위에서 사라지고 이탈리아, 홍콩, 독일, 영국이 그 자리를 대신했다. 이로 미루어 볼 때 Darkai(Mirai의 복제본)와 AESDDoS 봇의 활성 C&C 서버 수가 급격히 증가하고 있으며 기존 Xor 및 Yoyo 봇넷이 활동을 재개했다고 추측할 수 있다. 이들 봇넷은 대부분 리눅스를 사용하지만 리눅스 기반 봇넷이 차지하는 비율은 2018년 1분기에 66%를 기록하며 2017년 말의 71%에 비해 약간 감소했다. 또한 오래 지속되는 DDoS 공격이 잠시 중단되는 듯했으나 최근 다시 나타난 것으로 보인다. 1분기에 가장 오래 지속되었던 DDoS 공격은 297시간, 즉 12일이 넘도록 지속됐다. 2015년 말 이후로 가장 긴 공격이다. 1분기 끝 무렵에 눈에 띈 멤캐시드(Memcached) DDoS 공격은 공격력 면에서 워낙 독보적이어서 일부 경우 1TB를 넘어서는 대규모 공격이 발생하기도 했다. 그러나 카스퍼스키랩 전문가들은 멤캐시드 공격이 성행하는 현상은 오래 지속되지 않을 것으로 예상하고 있다. 해당 공격은 공격 대상에게도 영향을 미치지만 공격 수행 시 ...

2018.04.30

하버드대학교(Harvard University)의 새로운 연구 보고서에 따르면, 2016년의 딘(Dyn) DNS 정지와 유사한 대규모 인터넷 마비 사태가 다시 쉽게 발생할 수 있는 것으로 나타났다. 딘에 대한 DDoS 공격으로 인해 트위터(Twitter), 페이팔(PayPal), 레딧(Reddit), 아마존(Amazon), 넷플릭스(Netflix) 등의 주요 웹사이트가 거의 하루 동안 다운되었다. 미라이(Mirai) 봇넷에 속한 수백만 개의 해킹된 IoT 장치가 딘의 DNS 서비스를 1.2TBps의 가짜 트래픽으로 폭주시키면서 고객들의 웹사이트를 위한 진짜 DNS 요청에 대응할 수 없게 되었다. 어쨌든 공격은 페이팔 또는 트위터 서버에 영향을 끼치지 않았지만 은행에 송금하거나 소셜 미디어에 잡다한 것을 게시할 때 IP 주소를 기억하지 않는 대부분의 사람들은 사이트에 접근할 수 없었다. 공격자들은 민족 국가 활동가들이 아니었지만 딴 속셈이 있는 범죄자들이었다. 브루스 슈나이어는 "침입자들은 브라이언 크렙스가 DDoS 청부 집단을 운영하던 2명의 이스라엘 해커를 식별하고 FBI가 체포하도록 도운 딘에 앙심을 품은 해커들이었을 가능성이 높다"고 당시 밝힌 바 있다. 처음부터 불안정하고 패치가 불가능한 경우도 많은 불안정한 IoT 장치가 증가하면서 도메인명 시스템에 대한 차기 DDoS 공격이 더욱 심각할 수 있다. DNS 제공자의 중앙 집중화가 문제인 것이다. 단일 고장점이 실패할 때 이 보고서의 저자는 "DNS가 분산되도록 설계되었지만 DNS의 중앙 집중화로 단일 고장점이 생겨났다"며, "공격자의 성공을 통해 도메인 관리자 측면에서 상대적으로 제공자 다양성이 거의 없는 집중된 DNS 공간 때문에 대기업들이 서비스 중단에 취약해질 수 있는 여러 방법이 있음을 알 수 있다"고 밝혔다. 예전에 기업들은 자체적으로 DNS를 관리했다. 이 때문에 새로운 것을 구축할 수 있는 인재들이 사무...

2018.03.07

봇넷은 목표 시스템을 교란시키거나 침입하려는 국가, 사이버 범죄 조직, 또는 개인에게 일종의 전력 승수(force multiplier) 역할을 한다. 봇넷은 해커에게 잠식당한 상태로 인터넷에 연결된 모든 기기들의 집합이다. 주로 DDoS(distributed denial of service) 공격에 사용되지만, 그 밖에도 집합적 컴퓨팅 역량을 악용해 대규모 스팸 정송, 개인 정보 탈취, 그리고 개인 및 기관에 대한 스파이 행위에도 이용되기도 한다. 봇넷이 생성되는 절차는 단순하다. 연결 기기를 악성코드에 감염시켜 C&C(command and control) 서버를 통해 이를 제어하는 것이다. 일단 네트워크 상의 특정 기기를 감염시키는 데 성공하고 나면, 동일 네트워크상에 있는 취약성을 가진 모든 기기를 감염시킬 수 있게 된다. 봇넷 공격의 피해는 그야말로 막심하다. 지난해 미라이(Mirai) 봇넷 공격으로 트위터, 넷플릭스, CNN을 비롯한 주요 웹사이트가 전부 차단되고, 러시아는 주요 은행들이, 라이베리아는 국가 전체가 영향을 받았다. 미라이 봇넷은 보안 카메라 등 보안이 허술한 사물 인터넷 기기에 악성코드를 설치하고 인터넷 트래픽을 라우팅하는 DYN 서버를 공격하는 방식으로 이루어졌다. 이 사건으로 봇넷의 위험성을 인지하게 된 산업체, 기기 제조사들, 규제 당국, 통신사들, 그리고 인터넷 인프라 공급기관들은 일제히 감염된 기기를 식별하고 분리해서 제거하거나 패치했으며, 미라이 봇넷과 같은 봇넷이 다시는 생성될 수 없도록 신속하게 조치를 취했다…. ...라고 쓸 수 있으면 좋겠지만, 그런 일은 일어나지 않았다. 현실은 그 후에도 봇넷 공격이 수 차례 지속됐다. 지난 주 공개된 아카마이 인터넷 보안 보고서에 따르면, 봇넷은 여전히 건재할뿐 아니라 갈수록 더 영리하고, 끈질기게 진화하고 있다. 일례로 오늘날 해커들은 패스트 플럭스 DNS(Fast Flux DNS)를 사용해서 피해자가 추적...

2017.12.12

IoT 기기가 공격자들에게 디도스(분산 서비스 거부) 공격 대상으로 부상했다. 뉴스타(Neustar)의 글로벌 디도스 공격 및 사이버 보안 통찰력 보고서에 따르면, 사물인터넷(IoT) 기기 사용에 적극적인 아시아태평양 기업의 78%가 사이버공격을 받은 것으로 파악됐다. 거의 10건 중 3건(28%)은 물리적인 장비를 망가뜨리기도 했다. 응답자 39%는 적극적으로 자신의 IoT 기기를 보호할 방법을 찾는 것으로 나타났다. 이 보고서는 한 번만 공격해서 회사의 방벽을 뚫을 수 있음을 발견했다. 아시아태평양 기업 중 절반 이상(51%)이 디도스 공격 후 바이러스를 발견했다. 32%의 응답자는 다중 전술 공격의 일환으로 디도스 공격 중 악성코드 활성화를 목격했다. 전 세계적으로 52%의 기업이 바이러스를 신고했으며 35%는 디도스 공격과 관련된 악성코드를 보고했다. 뉴스타에 따르면, 이러한 결과는 사이버 범죄자들이 단 한 번의 대규모 공격으로 소동을 일으키는 대신 방어막을 과시하고 네트워크 취약성을 탐색하며 좀더 표적화된 공격을 실행하는 데 중점을 둔다. 또한 사이버공격에는 대기업에 포함되지 않는 것으로 밝혀졌다. 아시아태평양에서는 중견기업 70%가 공격에 시달렸다. 전 세계적으로 중소기업 50% 이상이 평균 3건의 침해 사례가 발생했다. 디도스 공격으로 전 세계 기업은 평균 미화 430만 달러의 피해를 보았다. 이러한 상황을 파악한 기업은 디도스 보호를 예산의 우선순위에 두고 계층화된 방어와 웹 애플리케이션 방화벽(WAF)에 최우선으로 투자하고 있다. 뉴스타 시큐리티 솔루션(Neustar Security Solutions)의 연구개발 담당 부사장인 배렛 라이언은 이를 제대로 된 방향으로 나아가는 단계라고 언급했다. 라이언은 "기업이 디도스 대응 보안 전략을 계속해서 다양하게 마련해야 한다. 사전 패키지 솔루션을 보안 포트폴리오의 초석으로 받아들이는 것만으로는 부족하다"고 밝혔다. 이어서 ...

2017.10.20

DDoS 공격 규모가 커지고 그 기세도 갈수록 맹렬해지고 있다. 누구나 언제든 공격 목표가 될 수 있다. DDoS 공격에 맞서 자산을 보호하기 위한 몇 가지 필수적인 조언을 모았다. 1. DDoS 완화 계획 마련 조직은 공격자의 목표물이 될 수 있는 애플리케이션과 네트워크 서비스를 예상하고 이러한 공격을 완화하기 위한 비상 대응 계획을 마련해야 한다. 산테스는 “기업들은 이러한 공격과 그 공격에 대처하는 방법을 계획하는 데 주력한다. 내부적으로 수집한 공격 정보와 벤더가 제공하는 정보를 조합해 방어에 활용하는 역량을 향상시키는 중”이라고 말했다. IBM의 프라이스도 “조직의 대처 능력이 향상되고 있다. 내부 애플리케이션과 네트워킹 팀을 통합하고 있으며 무방비 상태로 당하지 않도록 언제 공격 대응 단계를 높여야 하는지를 알고 있다. 공격자가 갈수록 교묘해지고 있지만 그에 대처하는 금융 기관들 역시 마찬가지”라고 말했다. 데이는 “비즈니스에 영향을 미치는 DDoS 공격이 발생하면 적절한 대외 메시지를 포함한 재해 복구 계획과 테스트된 절차가 마련되어 있어야 한다. 유형과 지리적 위치 측면에서 인프라의 다양성, 그리고 퍼블릭 및 프라이빗 클라우드를 활용한 적절한 하이브리드화도 DDoS 공격을 완화하는 데 도움이 될 수 있다”고 말했다. 비욘드트러스트(BeyondTrust)의 기술 고문 스콧 칼슨은 “규모가 큰 기업은 모두 여러 WAN 진입점, 대규모 트래픽 스크러빙(scrubbing) 제공업체와의 계획을 통해 네트워크 수준 보호부터 시작해서 공격을 완화하고 경계에 접근하기 전에 공격 경로를 돌려야 한다. WAN 속도 공격을 따라갈 수 있는 물리적 DDoS 장비는 없으므로 이를 클라우드에서 가장 먼저 스크러빙해야 한다. 운영 담당자가 스크러빙을 위해 트래픽 경로를 손쉽게 재설정하고 포화된 네트워크 장비를 장애 조치(fail over)할 수 있는 절차가 필요하다&rd...

2017.09.20