2017.02.21

전문가들이 가장 두려워하는 보안 위협 7가지

Mark Hachman | PCWorld
악당들이 한 겨울에 난방기를 끈 후, 다시 켜는 조건으로 1,000달러를 요구한다면? 더 나아가 작은 도시의 전기를 '인질'로 사이버 몸값을 요구한다면? RSA 2017 컨퍼런스의 발표자로 나선 SANS 인스터튜트(SANS Institute) 보안 전문가들은 개인, 기업, 인프라 기술을 표적으로 하는 이런 종류의 공격들에 대한 우려가 가장 높다고 말했다.

이 중에는 소비자가 직접적인 표적인 위협도 있다. 또 기업이 표적이지만, 시간이 지나 소비자에 파급되는 위협도 있다.

Credit: Mark Hachman

SANS에 따르면, 다음은 가장 위험한 공격 벡터 7개와 대응하는 방법이다.

1. 랜섬웨어 : 랜섬웨어는 20년 전 처음 등장한 후 아주 무서운 악성코드로 진화했다. 파일을 암호화한 후, 이를 해제하고 싶다면 돈을 내라고 협박하는 암호형 랜섬웨어를 말하는 것이다. 악당들에게 아주 좋은 공격 방법이다. SANS 인스터튜트의 에드 스쿠디스에 따르면, 바이러스처럼 확산되고, 데이터를 잠그고, 범죄자에게 연락해 '사이버 몸값'을 지불하도록 강요하기 때문이다.

할 수 있는 일 : 시스템을 패치하고 안티맬웨어를 이용하고, 권한을 설정하고, 네트워크 액세스를 관리해 위험 노출을 없애는 '네트워크 위생'을 연습해야 한다. PC 1대가 감염된 후, 감염이 네트워크의 다른 PC로 확산되어서는 안 된다. 이런 랜섬웨어를 관장하는 것은 사람이라는 사실을 기억해야 한다. 스쿠디스는 "가능한 작은 회사, 가난한 회사로 보이는 것이 좋다. 지불할 사이버 몸값을 줄이기 위해서이다"고 덧붙였다.

2. 사물 인터넷. 소비자 제품이 진화하고 있다. 다음 단계의 진화는 '연결성'이다. 베이비 모니터 카메라에서 칫솔까지 모든 제품에 서로, 그리고 인터넷에 연결할 수 있는 무선 프로토콜이 이용되고 있다. 그러면서 해킹에 약한 취약점이 생겼다. 더 나아가, 미라이(Mirai) 웜 사태에서 확인됐듯, IoT 장치가 공격 플랫폼이 되었다.

할 수 있는 일 : 기본 비밀번호를 바꾼다. 보유하고 있는 스마트 홈 장치의 기본 비밀번호를 바꿀 수 없다면 반품을 한다. 또는 사용자가 비밀번호를 지정할 수 있는 펌웨어가 나올 때까지 기다린다(또는 제조업체에 요구). 또 원격 액세스를 끄고, IoT 장치에 전용 홈 LAN을 이용하고, 전용 클라우드 계정으로 이를 관리하는 등의 조치를 취할 수도 있다.

3. 랜섬웨어와 IoT의 교차점. 지난 해, 오스트리아의 한 호텔이 해킹 당해 키카드 시스템이 무력화된 사건이 발생했다. 가정에서도 이런 공격이 발생할 수 있다. 스마트 온도조절기가 '인질'로 잡혀 '몸값'을 지불해야 할 수도 있다.

할 수 있는 일 : 지금 당장은 실제보다는 이론에 가까운 공격이다. 그러나 스마트 홈 시스템을 구축할 때 이런 부분을 고려해야 한다. 자동화가 지나치지 않은지 생각해야 한다. SANS의 산업 및 인프라 담당 디렉터 마이클 아산테는 "사람과 머신의 올바른 균형점을 생각해야 한다"고 강조했다.

4. 산업용 사물 인터넷 공격. 2015년과 2016년 신원 불명의 해커가 우크라이나의 발전소를 점령하는 사고가 발생했다. 발전소에 분산형 자동 시스템 도입이 증가하고 있는 것을 악용한 해킹 공격이었다. 다행히 1차 대응자가 신속히 수동으로 전환, 전력 공급을 재개시켰다. 그러나 매번 신속한 조치가 이뤄질 것이라고 장담할 수 없다. 또 이런 해킹 사고가 우크라이나에서만 일어날 수 있는 것은 아니다.

할 수 있는 일 : 소비자가 할 수 있는 일은 없다. 인프라 사업자가 지능형 시스템을 이용할지 결정해야 한다. 자동화를 확대해 전력 비용을 낮출 수 있다. 그러나 아산테는 이와 함께 취약성이 커질 수 있다고 경고한다.

5. 취약한 난수 발생기. 제대로 된 난수는 암호화에 큰 도움을 준다. SANS 인터넷 스톰 센터 디렉터 요하네스 울리치는 와이파이와 다양한 보안 알고리즘을 안전하게 만들 수 있다고 설명한다. 그러나 난수 발생기의 난수가 진짜 난수가 아닐 수도 있다. 이 경우, 암호를 쉽게 풀 수 있다. 공격자가 이 점을 악용, 암호화된 연결의 보안을 무력화 시킬 수 있다.

할 수 있는 일 : 장치 제조업체가 해결해야 할 문제이다. 보안 네트워크의 보안의 생각보다 취약할 수 있음을 유념해야 한다.

6. 지나친 웹 서비스 의존성. 점점 더 많은 앱과 서비스가 도커나 애저 같은 서드파티 서비스와 통합되고 있다. 그러나 이런 앱이 엉뚱한 서버와 연결되거나 공격자가 침입해 데이터를 훔치고, 가짜 정보를 공급할 수도 있다.

할 수 있는 일 : 개발자가 해결해야 할 문제이다. 울리치는 모바일 앱의 취약성이 커지고 있다고 경고한다. 앱은 데이터를 훔치지 않아도 연결된 '(공격자의 가장한)서비스'가 데이터를 훔칠 수 있다.

7. NoSQL 데이터베이스를 공격하는 SoQL 공격. 역시 개발자가 해결해야 할 문제이다. 그러나 사용자와 관련된 데이터 수집에 영향을 미치는 문제이다. 오랜 기간 SQL 데이터베이스에 실행 코드를 주입하는 SQL 인젝션 공격이 인터넷에서 극성을 부렸다. 현재 개발자들은 SQL 대신 몽고DB 같은 NoSQL 데이터베이스로 옮겨가고 있다. 그러면서 이들 데이터베이스도 생각만큼 안전하지 않다는 사실을 깨닫고 있다.  editor@itworld.co.kr


2017.02.21

전문가들이 가장 두려워하는 보안 위협 7가지

Mark Hachman | PCWorld
악당들이 한 겨울에 난방기를 끈 후, 다시 켜는 조건으로 1,000달러를 요구한다면? 더 나아가 작은 도시의 전기를 '인질'로 사이버 몸값을 요구한다면? RSA 2017 컨퍼런스의 발표자로 나선 SANS 인스터튜트(SANS Institute) 보안 전문가들은 개인, 기업, 인프라 기술을 표적으로 하는 이런 종류의 공격들에 대한 우려가 가장 높다고 말했다.

이 중에는 소비자가 직접적인 표적인 위협도 있다. 또 기업이 표적이지만, 시간이 지나 소비자에 파급되는 위협도 있다.

Credit: Mark Hachman

SANS에 따르면, 다음은 가장 위험한 공격 벡터 7개와 대응하는 방법이다.

1. 랜섬웨어 : 랜섬웨어는 20년 전 처음 등장한 후 아주 무서운 악성코드로 진화했다. 파일을 암호화한 후, 이를 해제하고 싶다면 돈을 내라고 협박하는 암호형 랜섬웨어를 말하는 것이다. 악당들에게 아주 좋은 공격 방법이다. SANS 인스터튜트의 에드 스쿠디스에 따르면, 바이러스처럼 확산되고, 데이터를 잠그고, 범죄자에게 연락해 '사이버 몸값'을 지불하도록 강요하기 때문이다.

할 수 있는 일 : 시스템을 패치하고 안티맬웨어를 이용하고, 권한을 설정하고, 네트워크 액세스를 관리해 위험 노출을 없애는 '네트워크 위생'을 연습해야 한다. PC 1대가 감염된 후, 감염이 네트워크의 다른 PC로 확산되어서는 안 된다. 이런 랜섬웨어를 관장하는 것은 사람이라는 사실을 기억해야 한다. 스쿠디스는 "가능한 작은 회사, 가난한 회사로 보이는 것이 좋다. 지불할 사이버 몸값을 줄이기 위해서이다"고 덧붙였다.

2. 사물 인터넷. 소비자 제품이 진화하고 있다. 다음 단계의 진화는 '연결성'이다. 베이비 모니터 카메라에서 칫솔까지 모든 제품에 서로, 그리고 인터넷에 연결할 수 있는 무선 프로토콜이 이용되고 있다. 그러면서 해킹에 약한 취약점이 생겼다. 더 나아가, 미라이(Mirai) 웜 사태에서 확인됐듯, IoT 장치가 공격 플랫폼이 되었다.

할 수 있는 일 : 기본 비밀번호를 바꾼다. 보유하고 있는 스마트 홈 장치의 기본 비밀번호를 바꿀 수 없다면 반품을 한다. 또는 사용자가 비밀번호를 지정할 수 있는 펌웨어가 나올 때까지 기다린다(또는 제조업체에 요구). 또 원격 액세스를 끄고, IoT 장치에 전용 홈 LAN을 이용하고, 전용 클라우드 계정으로 이를 관리하는 등의 조치를 취할 수도 있다.

3. 랜섬웨어와 IoT의 교차점. 지난 해, 오스트리아의 한 호텔이 해킹 당해 키카드 시스템이 무력화된 사건이 발생했다. 가정에서도 이런 공격이 발생할 수 있다. 스마트 온도조절기가 '인질'로 잡혀 '몸값'을 지불해야 할 수도 있다.

할 수 있는 일 : 지금 당장은 실제보다는 이론에 가까운 공격이다. 그러나 스마트 홈 시스템을 구축할 때 이런 부분을 고려해야 한다. 자동화가 지나치지 않은지 생각해야 한다. SANS의 산업 및 인프라 담당 디렉터 마이클 아산테는 "사람과 머신의 올바른 균형점을 생각해야 한다"고 강조했다.

4. 산업용 사물 인터넷 공격. 2015년과 2016년 신원 불명의 해커가 우크라이나의 발전소를 점령하는 사고가 발생했다. 발전소에 분산형 자동 시스템 도입이 증가하고 있는 것을 악용한 해킹 공격이었다. 다행히 1차 대응자가 신속히 수동으로 전환, 전력 공급을 재개시켰다. 그러나 매번 신속한 조치가 이뤄질 것이라고 장담할 수 없다. 또 이런 해킹 사고가 우크라이나에서만 일어날 수 있는 것은 아니다.

할 수 있는 일 : 소비자가 할 수 있는 일은 없다. 인프라 사업자가 지능형 시스템을 이용할지 결정해야 한다. 자동화를 확대해 전력 비용을 낮출 수 있다. 그러나 아산테는 이와 함께 취약성이 커질 수 있다고 경고한다.

5. 취약한 난수 발생기. 제대로 된 난수는 암호화에 큰 도움을 준다. SANS 인터넷 스톰 센터 디렉터 요하네스 울리치는 와이파이와 다양한 보안 알고리즘을 안전하게 만들 수 있다고 설명한다. 그러나 난수 발생기의 난수가 진짜 난수가 아닐 수도 있다. 이 경우, 암호를 쉽게 풀 수 있다. 공격자가 이 점을 악용, 암호화된 연결의 보안을 무력화 시킬 수 있다.

할 수 있는 일 : 장치 제조업체가 해결해야 할 문제이다. 보안 네트워크의 보안의 생각보다 취약할 수 있음을 유념해야 한다.

6. 지나친 웹 서비스 의존성. 점점 더 많은 앱과 서비스가 도커나 애저 같은 서드파티 서비스와 통합되고 있다. 그러나 이런 앱이 엉뚱한 서버와 연결되거나 공격자가 침입해 데이터를 훔치고, 가짜 정보를 공급할 수도 있다.

할 수 있는 일 : 개발자가 해결해야 할 문제이다. 울리치는 모바일 앱의 취약성이 커지고 있다고 경고한다. 앱은 데이터를 훔치지 않아도 연결된 '(공격자의 가장한)서비스'가 데이터를 훔칠 수 있다.

7. NoSQL 데이터베이스를 공격하는 SoQL 공격. 역시 개발자가 해결해야 할 문제이다. 그러나 사용자와 관련된 데이터 수집에 영향을 미치는 문제이다. 오랜 기간 SQL 데이터베이스에 실행 코드를 주입하는 SQL 인젝션 공격이 인터넷에서 극성을 부렸다. 현재 개발자들은 SQL 대신 몽고DB 같은 NoSQL 데이터베이스로 옮겨가고 있다. 그러면서 이들 데이터베이스도 생각만큼 안전하지 않다는 사실을 깨닫고 있다.  editor@itworld.co.kr


X