Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

“사이버 보안 및 네트워킹, IT 지출 우선순위로 꼽혀” ETR

‘ETR(Enterprise Technology Research)’이 미국과 EMEA 지역의 IT 의사결정권자 1,200명을 대상으로 실시한 최신 설문조사 결과에 따르면 기술 채용은 기록적인 수준에 도달했지만 올 2분기 전반적인 IT 지출 증가세는 다소 둔화될 전망이다.  ETR에서 분기별로 발행하는 ‘기술 지출 의향 설문조사(Technology Spending Intentions Survey)’의 최신 버전이 공개됐다. TSIS 보고서는 IT 인력 수요가 지금까지 보고된 결과 중에서 가장 높은 수준이라고 밝혔다. 美 노동통계국(BLS)은 2020년에서 2030년 사이에 미국 시장에서 66만 7,600개 이상의 IT 일자리가 추가될 것이라고 예측했다.  반면에 올 2분기 IT 지출 증가율은 지난 조사 결과(6.8%)보다 감소한 5.5%로 예측된다고 보고서는 전했다. 이에 따라 2022년 총 IT 지출 전망이 6.7%로 하향 조정됐다. 지난 설문 조사에서는 8.3%였다.  IT 지출 우선순위는 ‘보안 및 네트워킹’ 이 결과는 IT 부문이 지속적으로 성장하고 있다는 것을 의미하며, 그중 대부분이 ‘원격근무로의 전환’ 그리고 이에 따른 ‘효과적인 사이버 보안 조치 및 네트워크 기술 수요’에 의해 주도되고 있다고 보고서는 밝혔다. 사이버 보안(5.7%)은 최우선 순위로 꼽혔으며, 클라우드 마이그레이션(4.5%), 애널리틱스 및 데이터 웨어하우징(4.2%)이 뒤를 이었다. 네트워킹은 급격한 순위 상승을 보였다.   아울러 TSIS 보고서는 IT 직원의 42%가 풀타임 원격근무를 하고 있고, 31%는 원격근무와 사무실 근무를 병행하고 있으며, 27%는 현장으로 복귀했다고 전했다. 하지만 팬데믹 종식이 다가오고 있고, 더 많은 인력이 풀타임 또는 시간제로 사무실에 복귀함에 따라 재택근무를 하는 IT 직원의 비율은 계속 줄어들 것으로 예상됐다. 원격근무의 확산은 네트워크 장비의 새로운 우선순위를 촉발했고, 그 결과 공급이 수요를...

사이버 보안 네트워킹 재택근무 2022.05.04

“공격할수록 단단해진다” 사이버 전쟁에 저항하는 우크라이나

올해 2월, 러시아가 우크라이나에 전면 공격을 개시했다. 전 세계는 러시아가 빠른 시일 내에 우크라이나를 장악할 것이라고 예상했지만, 뜻밖에도 그런 일은 일어나지 않았다. 우크라이나는 여전히 공격받고 있지만, 우크라이나를 정복하겠다는 러시아의 야망을 막고 있다.   한편, 두 국가의 사이버 전쟁도 진행 중이다. 러시아는 전 세계에서 가장 위협적이라고 여겨진 국가 지원 해커를 우크라이나에 배치했다. 우크라이나는 러시아 군대를 막아낸 것과 동일한 방법으로 사이버 전쟁에서 승리하고 있다. 이번 사이버 전쟁도 주로 윈도우에서 벌어지고 있다. 윈도우는 공격할 범위가 가장 넓고 사이버 공격에 취약하기 때문이다. 그동안 발생한 사태에 관해 구체적으로 알려진 사실은 없지만, 우크라이나가 러시아를 이길 수 있는 증거는 많다.   러시아를 곤경에 빠뜨린 ‘윈도우 XP’ 러시아가 사이버 전쟁으로 처음 입은 손실은 사실 우크라이나 침공 초기에 발생했다. 러시아는 동맹국인 벨라루스 철도를 통해 병사와 탱크, 중화기 등 전쟁 물자를 우크라이나 국경 지역으로 보냈다. 전쟁이 본격적으로 시작되자, 러시아는 이 철도를 자국군을 위한 주요 공급망으로 활용했으며, 더 많은 탱크와 무기를 우크라이나로 실어 날랐다. 하지만 이후 벨라루스의 독재자 그리고리예비치 루카셴코와 수년 동안 투쟁한 핵티비스트 조직인 사이버 파르티잔(Cyber Partisans)이 등장하면서 러시아는 난관에 봉착했다. 추방당한 벨라루스 기술 전문가로 구성된 이 조직은 러시아군의 공격 징후가 처음 포착됐을 때, 벨라루스의 철도 시스템을 공격해 병력과 보급품, 무기 등의 공급을 지연시켰다. 여기에 벨라루스 철도 노동자와 반체제 벨라루스 방위군도 참여했다. 워싱턴 포스트에 따르면, 이들의 공격으로 러시아군은 물류에 차질이 생겼으며, 우크라이나 침공을 시작한 지 얼마되지 않아 식량과 연료, 탄약이 없는 상태로 전선에 발이 묶였다. 우크라이나의 격렬한 저항으로 러시아는 우크라이나 수도 키이우와 북부 도시를 ...

러시아 우크라이나 사이버전쟁 2022.05.03

글로벌 칼럼 | SOC 현대화를 위한 8가지 핵심 고려 사항

오는 6월 RSA 컨퍼런스 2022(RSA Conference 2022)가 미국 샌프란시스코 모스콘 센터에서 개최된다. 오랜만에 개최되는 대면 행사인 만큼 보안 업계의 분위기는 한껏 고무됐다. 지난 2년 동안 원격 업무로 많은 진전을 이뤘음은 분명하지만, 사이버보안은 2022년에도 여전히 불안정한 상태이므로 업계의 대책 회의가 시급하다. 전통적인 보안 방어의 규모와 복잡성이 더 이상 통하지 않거나 한계에 이른 시점에 도달했다. 즉, CISO가 보안 트랜스포메이션에 대해 생각해야 한다는 의미다. 이 과정에서는 보안 기술 스택의 모든 프로세스와 계층이 작동한다.   이번 컨퍼런스에서는 XDR(Extended Detection and Response), CNAPP(Cloud Native Application Protection Platforms), SASE(Secure Access Service Edge), 제로 트러스트와 같은 보안 ‘플랫폼’에 관한 많은 이야기가 나올 것이다. 모두 중요한 주제임은 분명하나 과장된 이야기와 사용자의 혼란으로 어수선한 분야이기도 하다. 필자는 ISSA 인터내셔널(ISSA International) 대표 캔디 알렉산더와 함께 6월 7일 RSA 세션에서 이런 추세를 살펴볼 예정이다. 토론 세션을 제외하고는 SOC(Security Operation Center) 현대화에 대한 지식을 최대한 많이 습득할 계획이다. SOC 현대화의 의미를 세부적으로 살펴보자. SOC는 흔히들 말하는 것처럼 사이버보안 역량이 실제로 검증되는 곳이다. SOC 애널리스트는 위협을 적시에 탐지하고 이런 위협을 조사해 그 범위와 영향 반경을 판단한 후 사이버 공격을 완화하거나 차단, 또는 피해를 최소화하고 IT 운영 부서와 협력해 비즈니스/IT 운영을 온전히 복원한 다음, 이 과정에서 얻은 지식을 바탕으로 방어를 한층 강화해야 한다. 안타깝게도 이런 과정은 지난 몇 년 동안 복잡해졌다. SOC 담당자는 상호 연결되지 않은 여러 포인트 툴과 수작업을...

SOC현대화 SOC SASE 2022.05.03

데이터 복구가 백업보다 오래 걸리는 5가지 이유

데이터 복구 속도가 백업 속도보다 느리다는 데 놀라는 사람들이 많지만 알고 보면 전혀 놀라운 일이 아니다. 오히려 이 시간 차이를 백업 계획에 반영해야 한다. 복구 속도가 일반적으로 백업보다 느린 데는 몇 가지 이유가 있다.     RAID 쓰기 페널티 대부분의 현대 디스크 어레이는 패리티(parity) 기반의 독립 디스크 중복 어레이(RAID)인 RAID 레벨 3~6을 사용해 구축한다. 그 외에 이레이저 코딩(erasure coding)을 사용하는 방법도 있는데 직면하는 어려움은 패리티 기반 RAID와 비슷하다. 패리티 기반 RAID는 어레이에 데이터를 쓸 때 패리티 정보를 계산해야 한다. 같은 어레이에서 데이터를 읽을 때는 이 계산이 불필요하다. 그래서 쓰기보다 읽기 속도가 훨씬 더 빠르다. RAID 레벨 또는 이레이저 코딩에 사용된 설정에 따라서 쓰기 성능 페널티는 미미할 수도, 상당히 클 수도 있다. 어쨌든 이와 같은 어레이에서 얼마간의 쓰기 패널티는 필연적이므로 각자의 환경에서 어느 정도인지 확인해야 한다.   쓰기 시 복사(copy-on-write) 스냅샷 쓰기 시 복사 스냅샷을 사용하는 어레이와 NAS 파일러에도 쓰기 페널티와 비슷한 개념이 적용된다. 쓰기 시 복사 스냅샷을 생성한다는 것은 간단히 비유하면 참조 지점으로 삼을 막대기를 땅에 꽂는 것과 같다. 스냅샷이 처음 생성될 때는 거의 아무런 I/O도 일어나지 않고 모든 무거운 작업은 그 뒤에 실행된다. 스냅샷을 위해 저장해야 하는 블록을 쓰기가 덮어쓰려고 시도할 경우 먼저 해당 블록을 스냅샷 영역으로 복사한 후 쓰기가 허용된다(그래서 '쓰기 시 복사'라고 함) 이 현상은 RAID 쓰기 페널티와 마찬가지로 쓰기에서만 발생한다. 특정 볼륨에 보관 중인 스냅샷의 수에 따라 스냅샷 페널티 역시 상당히 커질 수 있다. 스냅샷이 많을수록 각 쓰기가 진행되기에 앞서 개별 블록을 복사해야 할 가능성도 커진다. 따라서 쓰기 시 복사 볼륨에 스냅샷의 수가 많을수록 새 데이터를 ...

복구 백업 데이터 2022.05.03

"업데이트 설치하니 비트코인 요구" 윈도우 10 업데이트 파일로 가장한 랜섬웨어 주의

마이크로소프트가 아닌 사이트에서 윈도우 업데이트를 다운로드하면 안 된다는 것은 말할 필요도 없는 일이다. 하지만 모두가 이런 사실을 알고 있는 것 같지는 않는 듯하므로 다시 경고하고자 한다. 마이크로소프트가 아닌 곳에서 윈도우 업데이트를 다운로드하면 절대 안 된다. 최근 불분명한 출처에서 윈도우 10 업데이트를 다운로드한 사용자들이 매그니베르(Magniber) 랜섬웨어에 감염돼 비트코인 몸값을 요구받고 있는 사례가 확인됐다.    해당 문제를 발견한 블리핑컴퓨터(BleepingComputer)의 보안 전문가에 따르면, 한 포럼 회원들이 불법 와레즈(warez) 사이트에서 자칭 윈도우 10 업데이트 파일을 설치한 후 랜섬웨어에 감염됐다고 알렸다. 와레즈 사이트는 불법 복제 및 크랙 버전의 유료 소프트웨어를 제공하기 때문에 악성코드를 유포하려는 위협 행위자가 표적으로 삼기 쉬운 사용자가 가득한 것으로 악명 높다. 가짜 업데이트에 숨겨진 매그니버 프로그램은 사용자 PC의 드라이브에 저장된 일부 데이터를 암호화한 뒤 파일을 복구하고 싶으면 약 2,600달러(약 329만 원)에 해당하는 비트코인을 전송하라고 요구한다. 지불을 늦추면 몸값이 올라간다. 지갑을 열지 않고 파일을 복호화하는 방법은 알려진 바 없다.  블리핑컴퓨터에 따르면, 매그니버 공격 캠페인은 일반 사용자와 학생을 겨낭하고 있어 피해가 심각한 상황이다. 다시 한번 강조하지만, 사용자는 올바른 위치에서 제공되는 소프트웨어와 업데이트를 다운로드해야 하고, 데이터를 적절하게 백업하고 백업이 손상되지 않았는지 확인해야 한다. 공식적인 윈도우 10 업데이트는 시작 메뉴에서 톱니바퀴 아이콘을 클릭해 설정 앱을 연 다음 ‘업데이트 및 보안 → Windows 업데이트 → 업데이트 확인’ 메뉴에서 설치할 수 있다. editor@itworld.co.kr

매그니베르 랜섬웨어 불법복제 2022.05.03

마이크로소프트, 엣지 브라우저에 유사 VPN 기능 추가

마이크로소프트가 엣지 브라우저에 무료 VPN 기능을 추가 중인 것으로 알려졌다. 하지만 좀 더 자세히 들여다보면, 사이트와 사이트를 연결하는 전통적인 의미의 VPN은 아니다. 오히려 사용자의 ID나 위치를 위장하는 프록시 메커니즘에 가깝다.   마이크로소프트는 협력업체인 클라우드플레어(Cloudflare)와 함께 구현한 “시큐어 네트워크(Secure Network)” 기능을 자사 지원 페이지에서만 소개하고 있다. 기본적으로 엣지를 사용할 때 인터넷 접속을 암호화해 공공 무선 LAN을 이용한 웹 서핑 등을 더 안전하게 만들어 주며, 온라인 추적도 한층 더 어렵게 만든다. 특히 사용자가 가상 IP 주소를 사용하고 위치를 특정할 수 없기 때문에 타깃 광고가 어려워진다.  하지만 실제 VPN 서비스와 비교하면 제약이 많다. 우선 엣지 브라우저를 사용할 때만 이용할 수 있다. 다른 애플리케이션의 인터넷 액세스는 보호하지 않는다. 무료 서비스이지만, 데이터 용량은 월 1GB로 제한된다. 지역적으로 차단된 스트리밍 세션 역시 이 서비스로는 이용할 수 없다.   또한 이 서비스를 이용하려면, 마이크로소프트 계정으로 로그인해야 한다. 익명성을 유지한 채 웹을 이용하고자 하는 목적과 충돌되는 부분으로, 좀 더 지켜봐야 할 부분이다.  서비스는 현재 프리뷰 기능으로 이용할 수 있으며, 엣지 브라우저의 설정 메뉴에서 활성화할 수 있다. 마이크로소프트는 추후 보안 업데이트를 통해 정식 기능으로 배포할 예정이지만, 정확한 일시는 밝히지 않았다. editor@itworld.co.kr

마이크로소프트 엣지 VPN 2022.05.03

‘바자로더’ 가고 ‘범블비’ 왔다…새로운 악성코드 로더 주의보

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

바자로더 아이스드아이디 범블비 2022.05.02

SK쉴더스, 융합보안 플랫폼 ‘써미츠’ 기반 산업 안전장비 출시

SK쉴더스(www.skshieldus.com)가 융합보안 플랫폼 ‘써미츠(SUMiTS)’ 기반으로 산업안전 장비를 출시한다고 밝혔다. SK쉴더스는 산업용품 제조업체 세이프웨어와 협업해 고위험군인 건설/제조/물류센터 등의 현장에서 고소작업으로 발생될 수 있는 추락사고에 대비해 근로자가 손쉽게 착용할 수 있는 ‘웨어러블 에어백’을 출시했다. 웨어러블 에어백은 자동차의 에어백과 같이 근로자의 추락을 감지해 0.2초 내 내장된 이산화탄소가 팽창해 추락으로 충격을 완화해주는 기능을 갖췄다. 또한, 추락과 동시에 현장 관리자에게 긴급으로 문자메시지가 전송돼 후속 조치가 가능하다. 향후, SK쉴더스는 지난해 10월 출시한 지능형 융합보안 플랫폼 ‘써미츠’에 웨어러블 에어백을 연동해 나갈 계획이다. 두 시스템간 연동 시 작업장 인근에 설치된 고성능 CCTV와 플랫폼 내 영상분석 기능을 활용해 작업 중 안전관리 현황을 실시간 모니터링해 사고예방이 가능하다. 만약 추락 사고가 발생하더라도 현장 안전관리자 및 관제 담당자, 현장 근무자 외 긴급출동 가능한 유관 기관 등에 자동으로 대응절차가 전송돼 즉각 위기에 대응할 수 있는 체계를 갖출 수 있다. 지능형 융합보안 플랫폼 ‘써미츠’는 AI 및 머신러닝 등 첨단 기술이 접목돼 이기종의 시스템으로부터 수집된 위협 정보에 대한 분석과 즉각 대응할 수 있다는 장점이 있다. 특히 산업현장에 설치된 지능형 영상분석, 유해가스 감지, 온도 감지, 화재 감지 등 다양한 IoT 센서를 활용해 정보를 수집하는 호환성을 갖췄다. SK쉴더스는 사이버 보안 및 물리 보안을 동시에 내재화한 독보적인 융합보안 역량을 바탕으로 산업안전 활동과 관련된 데이터 수집/분석, 영상분석 그리고 안전보건관리체계 구축 후 사후 관리, 모니터링에 이르기까지 산업안전 활동과 관련된 모든 활동을 지원하고 있다고 밝혔다.  SK쉴더스 김영주 융합보안사업본부장은 “중대재해처벌법이 시행되며, 산업현장에서 통합적으로 데이터를 수집, 분석해 위협 요소를 빠르게 파악하...

SK쉴더스 2022.05.02

How-To : 온프레미스 마이크로소프트 서버를 보호하는 방법

온프레미스 서버는 여전히 전 세계에서 널리 사용되고 있으며, 최근 마이크로소프트도 이런 사실을 인정했다. 마이크로소프트는 온프레미스 익스체인지(Exchange)와 셰어포인트(SharePoint), 기타 오피스 서버에 대한 보안 현상금을 인상한다고 밝혔다. 최근 윈도우나 웹 서버가 아닌 셰어포인트, 그리고 특히 익스체인지 서버를 노린 위협적인 온프레미스 서버 공격이 발생한 이후에 나온 조치이다.   보안 연구원들은 오래 전부터 익스체인지 온프레미스 서버의 보안 문제를 발견한 것에 대한 금전적인 보상이 너무 적다고 불평해왔다. 이들의 불만은 작년 3월 익스체인지 온프레미스 서버를 표적으로 삼은 하프늄(Hafnium) 공격이 발생하면서 정점을 찍었다. 이 공격은 미국 연방 정부가 직접 나서 피해를 입은 익스체인지 서버를 패치할 정도로 큰 파장을 일으켰다. 프록시로그온(ProxyLogon)과 프록시셸(ProxyShell)은 오렌지 차이가 발견했다. 오렌지 차이는 블랙햇(BlackHat)에서 익스체인지 버그에 대해 발표했다. 차이는 마이크로소프트가 이 같은 중요한 레거시 제품을 조사하는 연구원에게 인센티브를 제공하지 않는다고 지적했다. 마이크로소프트는 그 의견을 반영해 버그 현상금 프로그램에 레거시 제품을 포함하기로 결정했다. 윈도우 서버 2012 R2, 윈도우 서버 2016을 비롯한 많은 레거시 서버가 여전히 사용되고 있다. 이들 중에는 물리적인 시스템이 아닌 것도 있다. 필자가 가지고 있는 서버는 대부분 역할과 연한이 제각각인 하이퍼-V(Hyper-V) 서버이다. 기업은 2023년 10월 10일로 예정된 윈도우 서버 2012 R2에 대한 지원 종료에 대비할 필요가 있다. 최신 운영체제로 업그레이드하거나 서비스와 역할을 클라우드 플랫폼으로 전환하기 위한 계획을 즉시 마련해야 한다. 플랫폼의 서비스와 역할을 변경해도 무방하다는 점을 항상 기억하기 바란다.   서버용 마이크로소프트 디펜더의 온프레미스 기능 마이크로소프트는 애저나 다른 클라우드 서...

마이크로소프트 온프레미스 서버 2022.04.29

'로그4셸부터 제로로그온까지' 2021년 가장 많이 악용된 취약점 15가지

전 세계 사이버보안 기관이 악의적인 사이버 행위자가 2021년 가장 일상적으로 악용한 15가지 CVE(Common Vulnerabilities and Exposures)에 대한 공동 주의보를 발간했다. 이번 작업에는 미국 사이버보안 및 인프라 보안국(CISA), 미 국가안전보장국(NSA), 미 연방수사국(FBI), 호주 사이버 보안 센터(Australian Cyber Security Centre, ACSC), 캐나다 사이버 보안 센터(Canadian Centre for Cyber Security, CCCS), 뉴질랜드 사이버 보안 센터(New Zealand National Cyber Security Centre, NZ NCSC), 영국 국립 사이버 보안 센터(United Kingdom’s National Cyber Security Centre, NCSC-UK)가 참여했다.   이들 조직은 적인 사이버 공격자들이 새롭게 공개된 중요한 소프트웨어 취약점을 악용해 지난해 전 세계 공공 및 민간 부문 조직을 포함한 광범위한 표적을 공격하는 데 사용했다고 경고했다. 또한 악의적인 행위자는 이미 공개적으로 잘 알려진 취약점도 계속해서 활용한 것으로 나타났다. 인터넷 기반 시스템을 겨냥한 15가지 취약점  주의보에 따르면, 2021년 전 세계적으로 악의적인 사이버 행위자는 새롭게 발견된 취약점을 악용해 이메일 서버나 VPN 서버 등 인터넷 기반 시스템을 공격 목표로 삼았다. 또한 상위 취약점 대부분의 경우 연구원 또는 기타 행위자가 취약점이 공개된 후 2주 이내에 개념증명(PoC) 코드를 발표했는데, 악의적인 행위자가 PoC 코드를 악용해 더욱 광범위한 공격을 진행했을 가능성이 높다. 또한 악의적인 사이버 행위자들은 공개적으로 알려진 오래된 소프트웨어 취약점을 계속해서 악용했다. 그중 일부는 2020년 또는 그 이전에도 일상적으로 악용되었다고 경고한 취약점이었다. CISA는 “오래된 취약점이 악용됐다는 것은 소프트웨어를 적시에 패치하지 못하거나 ...

취약점 CVE 아파치 2022.04.29

“우크라이나 겨냥한 러시아발 사이버 공격, 더욱 빨라질 것” MS 보고서

최근 마이크로소프트가 발행한 보고서에 따르면, 러시아 정부와 밀접한 관련이 있는 해킹 단체들이 우크라이나 침공 이후부터 수백 개의 목표물에 대해 40건에 가까운 파괴적인 공격을 가한 것으로 알려졌다. 주로 우크라이나 정부 기관을 겨냥한 공격이었지만, 우크라이나 정부와 군대는 물론 국가 경제와 민간인에게도 피해를 입힌 것으로 나타났다.   러시아 정부의 지원을 받는 해커들은 GRU, SVR, FSB의 분명한 지시 하에 피싱 캠페인, 잘못된 정보, 데이터 도난 및 중요 시스템 파괴에 이르기까지 우크라이나에 대해 광범위한 사이버 공격을 감행했다. 보고서에 따르면 해커들의 주요 표적은 우크라이나의 에너지 기반 시설이었다. 원자력 안전 조직과 지역 에너지 제공업체가 데이터 도난과 시스템 파괴 공격을 받은 것으로 알려졌다. 하지만 에너지 부문만 피해를 본 것은 아니었다. 마이크로소프트는 미디어 조직과 물류 제공업체뿐 아니라 심지어 농업 회사 1곳도 공격을 받았다고 밝혔다. “사이버 공격 속도 빨라질 것” 마이크로소프트는 러시아 대통령 블라디미르 푸틴이 “목표를 달성할 때까지 전쟁은 계속될 것”이라고 공개적으로 언급한 점을 고려할 때 침공이 계속되면서 사이버 공격 속도도 빨라질 것이라고 예상했다. 마이크로소프트는 보고서를 공개한 블로그 게시물에서 “갈등이 지속됨에 따라 러시아의 공격적인 사이버 활동 범위가 더욱 확대될 수 있으며, 우크라이나에 물질적 지원을 제공하는 수많은 국가에 대한 보복 조치 징후도 이미 발견됐다”라고 말했다. 또한 마이크로소프트는 “각 정부 기관과 중요 인프라 관련 기업은 CISA와 US 정부 기관, 다른 국가의 사이버 관련 조직이 발표한 경보를 심각하게 받아들이고 이들 조직이 권장하는 방어 및 복구 조치를 취해야 한다”라고 조언했다. 러시아발 사이버 공격에 대비하는 방법 마이크로소프트가 발간한 보고서에는 정부 기관 및 인프라의 IT 보안 작업자를 위한 권장 사항도 소개됐다. 구체적으로 △가능한 한 모든 곳에서 다중 인증을 채택하고...

러시아 우크라이나 사이버공격 2022.04.29

S2W, 사이버 위협 인텔리전스 플랫폼 ‘퀘이사’ 출시

S2W(https://s2w.inc/)는 사이버 위협 인텔리전스(CTI) 플랫폼인 ‘퀘이사(Quaxar)’를 출시한다고 밝혔다.   퀘이사는 기존 ‘자비스 엔터프라이즈(Xarvis Enterprise)’의 업그레이드 버전으로, CTI 업무를 수행하기 위한 최적의 환경을 제공한다. 다크웹 및 딥웹 등 다양한 출처로부터 수집된 정보에서 핵심적인 부분들만 정제해 사용자에게 맞춤형 인텔리전스를 제공한다.  퀘이사는 다크웹 및 딥웹 내 임직원 유출 계정 정보, 랜섬웨어 공격 현황, 브랜드 사칭 정보, 지능형지속위협(APT) 공격 그룹 정보 등을 활용해 신뢰구간을 무너뜨리는 신종 공격에 대한 강력한 제로트러스트 TI(위협정보) 관리 환경을 운영할 수 있다. 또한, 기업 내부에서는 식별하기 어려운 수많은 공격표면을 자동 탐지하는 등 강력한 방어력을 갖추고 사이버 위협 인텔리전스에 필요한 전반적인 업무를 수행할 수 있도록 지원한다. 나아가 퀘이사를 이용하는 기업들 간 공격 관련 첩보 등 핵심 정보를 공유할 수 있는 생태계(QUINTES, QUaxar INTelligence Eco System)를 조성해 보다 신속하고 효과적인 공동 대응의 구심점 역할을 강화해 나갈 계획이다. 퀘이사의 주요 서비스는 ▲디지털 리스크로부터 브랜드 보호(Digital Risk Protection) ▲데이터 유출 탐지(Data Breach Detection) ▲동적 위협 및 취약점 관리(Active Threat & Vulnerability Management) 등이다.  동적 위협 및 취약점 관리 서비스는 다양한 외부 위협에 대한 유의미한 대응책을 신속하게 제공한다. 사이버 위협 상황 발생의 사전 예방을 위한 침해지표(IOC: Indicators of Compromise)를 제공하며, 사고 발생 시에도 보안 전문팀의 신속한 지원을 통해 리질리언스을 확보할 수 있다 S2W는 퀘이사를 통해 다양한 국내외 보안 기업 및 기관들과의 협력을 통해 위협을 탐지하...

S2W 2022.04.28

글로벌 칼럼 | 클라우드의 공유 책임 모델은 “벌거숭이 임금님”

제대로 된 책임자가 없는 교차기능팀에서 일해 본 사람은 안다. ‘공유’나 ‘공동’ 책임이란 말은 때로 모두가 다른 누군가가 맡아야 할 문제로 생각한다는 의미가 된다. 여러 팀 사이의 틈새로 아무것도 흘리지 않겠다는 확실한 노력을 기울이지 않으면, 무엇인가는 놓치게 마련이다.   클라우드 서비스의 ‘공유 책임’ 모델은 이런 식이다. 클라우드 서비스 업체는 일정 단계 이하(보통 서비스 업체의 소프트웨어)의 모든 것을 보호하고, 그 보안을 책임진다. 주택으로 따지면 기초에 해당한다. 그리고 기업 고객은 그 기초 위의 모든 것을 책임진다. 즉 주택 자체를 맡는다. 모든 비유가 그렇듯 명확하고 단순해 보인다. 하지만, 주택이란 것을 살펴보면, 기초와 그 나머지 사이에 필요한 것을 구분할 수 있는 선이 그리 단순하지 않다는 것을 알 수 있다. 분리된 각 시스템 간의 상호연결은 주택의 구조적인 완전성에 필수적인 요소이다. 클라우드 플랫폼과 그 위에서 작동하는 애플리케이션 간의 상호연결 역시 마찬가지다. 실제로는 기업 고객이 클라우드 서비스를 어떻게 구성하느냐가 애플리케이션의 안전에 결정적인 영향을 미친다. 퍼블릭 클라우드에서 애플리케이션을 구축했는가? AWS 람다 서비스의 기능이 일반에 노출된 적이 있는가? 아마도 AWS 레이크 포메이션(Lake Formation) 상에 구축한 데이터 레이크에 대해 액세스 제어를 활성화하지도 않았을 것이다. 아니면 애저 SQL DB 서버에 첨단 데이터 보안을 적용한 적도 없을 것이다.  이런 문제는 IaaS 퍼블릭 클라우드 서비스를 넘어 확장된다. 만약 DDoS 방어를 위해 CDN을 이용한다면, 원본 호스트 이름을 예측할 수 없도록 했는가? SaaS 서비스 간에 비즈니스 애플리케이션 메시를 통합할 때 실수로 특정 부서에서만 필요한 API를 모든 사용자가 호출할 수 있도록 하지는 않았는가? 기업 고객이 자신을 발등을 찍을 수 있는 방법은 너무나 많다. 최고의 클라우드 플랫폼이라면, 이런 식으로 중요한 설정을 간과...

공유책임모델 퍼블릭클라우드 2022.04.28

트렌드마이크로, 통합 사이버 보안 플랫폼 ‘트렌드마이크로 원’ 발표

트렌드마이크로가 통합 사이버 보안 플랫폼 ‘트렌드마이크로 원(Trend Micro One)’을 출시한다고 밝혔다. ‘트렌드마이크로 원’은 자사의 기술과 협업 파트너들의 기술을 통합해 고객의 사이버 보안 이해도를 높이고 실제 사이버 위험을 낮춘다고 업체 측은 설명했다.  기업들은 공격 접점이 복합해지고 넓어짐으로써 증가하는 사이버 위험에 대응하기 위해 팀을 보강하고 파편화된 개별 보안 제품을 도입하면서 대응하고 있다. 이에 트렌드마이크로는 통합 사이버 보안 플랫폼 ‘트렌드마이크로 원’을 출시해 공격 접점 발견, 사이버 위험 분석, 위협 완화 및 대응 등 위험 및 위협 평가 전 과정에서 통합적인 접근을 제공할 계획이다. 트렌드마이크로 원의 기술 협업 파트너로 비트 디스커버리, 구글 클라우드, 마이크로소프트, 옥타, 팔로알토 네트웍스, 서비스나우, 슬랙, 퀄리스, 래피드7, 스플렁크, 테너블 등이 참여했다.  트렌드마이크로 원이 갖춘 강력한 위험 평가 기능은 협업 파트너들을 통해 더욱 확장됐다. 고객은 향상된 가시성과 탐지 및 대응 기능, 보안 계층 ​​및 시스템 전반에 걸친 포괄적인 보안 체계를 갖출 수 있게 된다. 트렌드마이크로 원은 ▲공격 접점을 발견하고 ▲위험을 이해하고 지속적 위험을 평가해 ▲위험의 효과적 완화 등의 기능을 지원한다.  트렌드마이크로 케빈 심저 최고운영책임자(COO)는 “협업 파트너들과 통합 기술을 제공해 더욱 효과적으로 고객의 사이버 보안 격차를 해소하고, 내부 및 외부의 기업 자산을 식별하고, 이를 완화하기 위한 중요 조치를 취하도록 지원할 수 있다”고 말했다. 비트 디스커버리의 최고경영자(CEO) 예레미아 그로스만은 “비트 디스커버리를 기반으로 한 외부 공격 접점 가시성 확보를 포함해 여러 소스의 자산 및 위험 가시성을 통합한 것이 트렌드마이크로 원의 특징”이라며, “고객들이 신속하게 자신의 공격 접점에 대한 우선 순위 정립과 포괄적 이해를 하도록 지원할 것”이라고 밝혔다.  editor@...

트렌드마이크로 2022.04.28

노드VPN, ‘쓰렛 프로텍션’ 기능 추가…피싱 시도, 오염된 파일 등 사전 차단

노드VPN은 VPN에 쓰렛 프로텍션(Threat Protection) 기능을 추가한다고 발표했다. 쓰렛 프로텍션은 트래커 및 피싱(phishing) 시도를 차단하는 것은 물론 부적절한 광고 및 웹사이트, 바이러스에 오염된 파일도 사전에 걸러내며 사이버 위협에 대한 보안 기능을 강화한다고 업체 측은 설명했다.  노드 시큐리티 조성우 대표는 “쓰렛 프로텍션 기능을 추가해 노드VPN은 단순하게 VPN 접속에 그치지 않고 보다 포괄적인 서비스와 보안 기능을 제공할 수 있게 되었다”고 말했다. 쓰렛 프로텍은 3가지 주요 위협 ▲웹 트래커 및 악의적인 광고 ▲위험한 웹사이트 ▲바이러스에 오염된 파일을 방어한다.  노드VPN 제품 전략담당 임원인 비킨타스 마크니카스는 “쓰렛 프로텍션은 이전에 안티 바이러스 소프트웨어가 해주던 기능을 노드VPN 서비스에 포함해 제공한다”며, “사용자들은 좀 더 온라인 활동을 즐길 수 있음은 물론 바이러스 감염 및 개인정보 등으로부터 자신들을 보호할 수 있는 보호막을 칠 수 있게 되는 것”이라고 말했다.  쓰렛 프로텍션을 활용하려면 노드VPN의 최신 버전을 다운로드하거나 업데이트하면 된다. 최신버전을 다운로드하거나 최신버전으로 업데이트한 후에는 사용자는 VPN 서버에 연결되지 않아도 사이버 위협으로부터 보호할 수 있다. 쓰렛 프로텍션은 현재 윈도우와 맥OS에서만 다운로드할 수 있으며, iOS와 안드로이드 버전은 추후 제공될 예정이다.  editor@itworld.co.kr

노드VPN 2022.04.27

"악명 높은 '이모텟' 봇넷, 새로운 공격 전술 테스트 중" 프루프포인트 조사

보안 업체 프루프포인트(Proofpoint)에 따르면, 악명 높은 사이버 위협 이모텟(Emotet)의 운영진이 대규모 공격 캠페인이나 선별적이고 제한된 공격에 대비한 새로운 형태의 공격 기법을 테스트하고 있는 것으로 나타났다. 프루프포인트는 이모텟 운영진이 활동을 쉬면서 대규모 캠페인을 벌이지 않는 동안 이런 테스트를 진행했다고 밝혔다.    그간 이모텟은 윈도우 플랫폼을 악용해 악성 프로그램을 배포했다. 2021년 1월 여러 국가의 법 집행기관의 협력으로 작동을 중단하기 전까지 이모텟은 가장 활발히 활동하던 대표적인 사이버 위협이었다. 10개월간 자취를 감춘 이모텟은 2021년 11월 다시 등장했으며, 지금까지 여러 국가에서 수천 명의 사용자를 공격 목표로 삼았다. 프루프포인트에 따르면 일부 캠페인에 사용된 악성 메시지의 양이 100만 건을 넘는 경우도 있었지만, 2022년 4월 4일부터 19일 사이 감지된 활동은 이모텟의 전형적인 공격 행위에서 상당히 이탈한 형태였다. 과거 이모텟을 운영한 것으로 알려진 사이버 위협 집단 TA524의 행위로 추정된다. 프루프포인트는 이모텟을 배포하려는 적은 양의 이메일을 감지했다. 해당 발신자 이메일은 손상된 것으로 파악됐으며 이모텟 스팸 모듈에서 발송된 이메일이 아니었다. 프루프포인트는 “이메일 본문에는 원드라이브 URL 외에 다른 내용은 없었다. 원드라이브 URL은 XLL 파일이 포함된 zip 파일로 호스팅되며, zip 아카이브와 XLL 파일은 이메일 제목인 ‘Salary_new.zip’과 동일했다. 이 아카이브에는 “Salary_and_bonuss-04.01.2022.xll”라는 이름의 동일한 XLL 파일의 복사본 4개가 포함되어 있었다. 해당 XLL 파일을 실행하면 Epoch 4 봇넷을 활용해 이모텟을 설치 및 실행된다”라고 설명했다. 프루프포인트는 과거 이모텟 캠페인에서 관찰된 전술과 최근 감지한 활동의 차이점을 다음과 같이 설명했다.   규모가 적음. 일반적으로 이모...

이모텟 봇넷 TA542 2022.04.27

아카마이, 리노드 관리형 데이터베이스·오디언스 하이재킹 프로텍터 발표 

아카마이 테크놀로지스(www.akamai.com)는 다양한 신제품 출시와 기존의 보안 및 컴퓨팅 제품군의 업데이트를 진행한다고 밝혔다.     아카마이는 서비스형 인프라(IaaS, Infrastructure as a Service) 시장에 진입하며, 리노드 관리형 데이터베이스(Linode Managed Database) 및 오디언스 하이재킹 프로텍터(Audience Hijacking Protector)의 출시, 그리고 개발자와 사이버 보안 전문가를 위한 새로운 기능들을 발표했다.  리노드 관리형 데이터베이스는 지난 3월 서비스형 인프라 플랫폼 제공업체인 리노드를 인수한 이후 발표한 첫 제품이다. 관리형 데이터베이스는 기존의 리노드 고객들로부터 가장 많은 요청을 받은 제품이기도 하다.  아카마이는 리노드 관리형 데이터베이스의 출시 발표와 동시에 리노드의 11개 글로벌 데이터 센터에 마이SQL(MySQL)용 리노드 관리형 데이터베이스를 제공할 예정이며, 2022년 2분기에는 포스트그레SQL(PostgreSQL), 레디스(Redis) 및 몽고DB(MongoDB)를 지원할 예정이다. 고객들은 지원되는 각각의 관리형 데이터베이스에서 고정 요금제, 보안 및 복구 수단, 유연한 배포 옵션, 고가용성 클러스터 옵션 기능 등을 이용할 수 있다. 아카마이의 오디언스 하이재킹 프로텍터는 온라인 비즈니스를 위해 설계된 새로운 솔루션으로, 구매 과정에서 발생하는 마케팅 사기의 위험성을 줄이고 수익 창출의 기회를 극대화한다고 업체 측은 설명했다.  온라인 소매업의 발전 속도가 빨라짐에 따라 온라인 브랜드의 보안 팀은 최근 사용자들에게 광범위하게 발생하고 있는 새로운 현상을 목격하고 있다. 이는 사용자 하이재킹(audience hijacking)으로, 쇼핑객들이 인증되지 않은 광고 및 팝업에 유인돼 해당 온라인 소매 기업의 웹페이지에서 이탈하게 되는 현상을 말한다.  오디언스 하이재킹 프로텍터와 더불어, 아카마이는 기업들...

아카마이 2022.04.27

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.