Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

“마이크로소프트의 매크로 차단 정책은 성공적” 매크로 해킹 피해 줄고 우회 기법 늘어

마이크로소프트의 매크로 차단 정책이 해킹 피해를 줄이는 데 긍정적인 역할을 한 것으로 조사됐다.    보안 전문 업체 프루프포인트(Proofpoint)는 “2021년 10월부터 2022년 6월까지 매크로 기능이 들어간 첨부파일로 해킹을 시도하는 사례가 66% 감소했다”라며 “대신 공격 형태가 매크로 파일이 아닌 바로가기 파일(LNK)을 활용한 방식으로 옮겨가고 있다”라고 밝혔다. 프루프포인트의 위협연구 및 감지 부문 부사장 셰럿 드그리포는 “매크로 악성코드를 제외한 다른 공격이 지난 10개월간 1,600% 넘게 증가했다”라고 설명했다. 마이크로소프트는 2021년 10월 오피스 문서 내 매크로 기능을 차단하는 것을 기본값으로 설정하겠다고 발표했다. 7월 초 해당 정책을 잠시 취소했다가 20일에 다시 기존대로 정책을 유지하겠다고 밝혔다. 따라서 현재 오피스 문서 파일을 신뢰할 수 없거나 알 수 없는 사이트에서 다운받을 경우, 파일 내 매크로 기능은 자동으로 활성화되지 않는다. 드그리포는 “그동안 보안 담당자는 매크로의 악성 코드 문제를 해결하는 데 많은 공을 들였다”라며 “마이크로소프트가 매크로라는 강력한 보안 위협을 제거해주는 의미 있는 조치를 취해줘서 업계에 도움을 주고 있다”라고 밝혔다.  보압 전문업체 텐에이블(Tenable)의 최고 보안 전략 담당자 나단 웬즐러는 “매크로는 대다수 사용자가 발견하기 어려운 프로그램이기 때문에 마이크로소프트의 정책은 좋은 영향을 줬다”라며 “그렇다고 위협이 완전히 사라지는 것은 아니며, 신뢰할 수 없는 곳에서 얻은 파일을 함부로 열지 말라고 사용자에게 계속 주의를 줘야 한다”라고 설명했다.  마이크로소프트 정책으로 해커들은 다른 공격 기법을 찾고 있는 모양새다. 보안 전문업체 엑시티움(Xcitium)의 보안 부문 부사장 팀 반도스는 “공격자도 마이크로소프트의 바뀐 정책을 알고 있다”라며 “이전 방식으로 공격을 제대로 할 수 없기에 새로운 기법을 실험하고 있다”라...

매크로 2022.07.29

아쿠아 시큐리티, "공격받으면 100만 달러 제공" 클라우드 네이티브 보호 보증 프로그램 실시

아쿠아 시큐리티는 100만 달러 규모의 ‘클라우드 네이티브 보호 보증 프로그램(Cloud Native Protection Warranty)’을 실시한다고 밝혔다.   이 프로그램은 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)인 ‘아쿠아 플랫폼(Aqua Platform)’을 완전히 구축한 모든 고객에게 무상으로 제공되며, 이 플랫폼을 뚫고 공격을 받은 고객에게 최대 100만 달러를 지급한다. 이는 아쿠아 플랫폼의 방어 능력과 기술력에 대한 자신감을 기반으로 도입된 보증 프로그램이다.  아쿠아 시큐리티는 프로덕션 환경에서 클라우드 네이티브 워크로드 보호에 대한 진정한 차이점을 만들어온 기업이다. 클라우드 네이티브 애플리케이션이 점점 더 많은 비즈니스 크리티컬 애플리케이션에 사용됨에 따라, 이러한 애플리케이션을 보호하는 것이 기업들에게 무엇보다 중요한 과제가 되고 있다. 기존 보안 툴은 클라우드 네이티브 환경을 보호하는 데 비효율적이라는 점이 입증됐으며, 아쿠아의 전담 보안 연구팀인 아쿠아 노틸러스(Aqua Nautilus)에 의하면 취약한 클라우드 네이티브 워크로드를 손상시키는데 걸리는 시간은 단 20분 미만인 것으로 조사되었다. 아쿠아 시큐리티 드로 다비도프 공동 창립자 및 CEO는 “아쿠아 시큐리티는 전체 개발 라이프사이클에 걸쳐 공격을 차단하고, 프로덕션 환경에서 가장 중요한 시점의 공격을 무력화시킨다”며, “이번 보증 프로그램은 아쿠아 플랫폼에 대한 확신을 보여주는 가장 좋은 방법이자 업계 다른 벤더와 차별화되는 요소”라고 말했다.  아쿠아 플랫폼은 고객의 클라우드 네이티브 자산을 구축 첫날부터 보호하며, 실시간 보안을 제공한다. 이 플랫폼은 취약성, 설정 오류, 암호화, 멀웨어가 프로덕션에 침투하는 것을 방지하고, 공격 발생 시에 자동으로 이를 차단한다.  아쿠아 시큐리티는 소프트웨어 공급망부터 워크로드 실행에 이르기까지 전체 애플리케이션 라이프사이클을 보호하고, 위협 방지를 자동화하며, 즉각적인 ...

아쿠아 시큐리티 2022.07.29

텔레포트, 버전 10 출시…생체·하드웨어 기반 간편 인증 지원

‘텔레포트(Teleport)’의 새로운 버전이 출시됐다. 텔레포트 10은 사용자 이름, 비밀번호, 개인 키를 터치 ID, 윈도우 헬로우 및 TPM 하드웨어 등 안전한 ID 솔루션으로 대체하는 것이 목적이다.    제로 트러스트 액세스 관리 애플레케이션을 제공하는 오픈소스 플랫폼 텔레포트가 통합 접근 평면(Unified Access Plane)의 최신 버전 '텔레포트 10'를 공개했다. SSO(Single Sing-On) 인프라 액세스를 기반으로 한 비밀번호 없는 인증 방식이 특징이다.  텔레포트의 통합 접근 평면은 서버, 쿠버네티스 클러스터, 애플리케이션, 데이터베이스의 보안 액세스를 통합하는 오픈소스 ID 기반 인프라 액세스 플랫폼이다.   이번 업데이트로 텔레포트는 애플의 터치 ID, 마이크로소프트의 윈도우 헬로, 유비키 바이오 같은 생체 인증과 TPM(Trusted Platform Module) 하드웨어 인증 방식을 모두 지원한다. 이를 통해 사용자 이름, 비밀번호, 개인 키 등의 필요성을 없애는 것이 목표라고 업체 측은 밝혔다.   텔레포트 CEO이자 공동 설립자인 에브 콘체보이는 "비밀번호 같은 인증 정보의 탈취가 가장 흔히 발생하는 데이터 침해 방식이다. 이제 기업은 안전한 SSO 인증 방식을 통해 보안 침해 위협을 줄일 수 있다. 더불어 엔지니어의 사용자 경험도 개선할 수 있다"라고 말했다.  업체 측은 비밀번호 의존도를 줄이는 인증 표준의 개발 및 홍보를 위해 설립된 FIDO(Fast Identity Online Alliance)와 파트너십을 맺었다고 덧붙였다. 생체 인증 및 하드웨어 인증 결합  콘체보이의 설명에 따르면, 기존 인증 솔루션의 통합 SSO는 ID 관리(IDM) 암호나 다중 인증, 브라우저 쿠키를 사용해 보안이 취약하다. 따라서 텔레포트는 생체인식 ID(예 : 지문, 얼굴 등)과 하드웨어 ID를 결합해 더욱 안전한 SSO 솔루션을 제공한다. 사용자는 암호...

SSO 간편인증 생체인증 2022.07.29

안랩, 2022년 상반기 보안위협 동향 발표

안랩이 악성코드별 통계 및 사이버 공격 탐지 통계를 기반으로 ‘2022년 상반기 보안위협 동향’을 발표했다. 안랩은 안랩시큐리티대응센터(ASEC)가 수집한 악성코드를 자사의 악성코드 동적분석 시스템 ‘RAPIT’을 이용해 도출한 ▲악성코드별 통계와 안랩 침해대응(CERT, Computer Emergency Response Team) 전문인력이 ‘안랩 보안관제서비스’를 수행하며 탐지/차단한 공격 시도 중 ▲공격 유형별 통계 ▲업종별 공격탐지 비율을 분석해 이번 상반기 보안위협 동향을 발표했다. 올 상반기에는 정보유출형 악성코드가 가장 높은 비율을 차지한 가운데 백도어, 뱅킹 악성코드 등 다양한 종류의 악성코드가 함께 발견됐다. 안랩시큐리티대응센터(ASEC)의 분석 결과, 사용자 웹 브라우저의 계정 정보를 비롯해 암호화폐 지갑 정보, 이메일이나 VPN 클라이언트 정보 등 다양한 사용자 정보를 탈취하는 ‘인포스틸러(Infostealer) 악성코드’가 전체의 66.7%로 가장 높은 비율을 차지했다. 2위로는 공격자가 차후 공격을 수행할 목적으로 시스템에 설치하는 ‘백도어(Backdoor) 악성코드’가 18%를 기록했다. 이외에도 사용자의 금융 관련 정보를 탈취하는 ‘뱅킹(Banking) 악성코드(6.7%)’, 외부 서버에서 각종 악성코드를 추가로 내려받는 ‘다운로더(Downloader) 악성코드(5.9%)’ 등이 뒤를 이었다. 공격자는 ‘인포스틸러 악성코드’를 이용해 탈취한 계정정보 등을 2차 공격에 활용할 수 있다. 2위를 차지한 ‘백도어 악성코드’ 또한 외부의 명령을 받아 추가적인 악성 행위를 할 수 있다. 이에 따라 향후 기업과 조직을 대상으로 내부 침투 및 주요 기밀 정보 유출, 랜섬웨어 감염 등 더욱 심각한 공격이 발생할 수 있기 때문에 각별한 주의가 필요하다고 업체 측은 밝혔다.   안랩 침해대응(CERT, Computer Emergency Response Team) 전문인력이 올 상반기 탐지/차단한 공격시도를 분석한 결과, 가장 많이 ...

안랩 2022.07.28

‘페이스북 비즈니스 계정만 노린다’…새 공격 수법 ‘덕테일’ 발견

핀란드의 한 사이버보안 업체가 페이스북 비즈니스 계정 사용자만 노리는 새로운 유형의 스피어 피싱 맬웨어를 발견해 주의를 당부했다.    핀란드 사이버보안 업체 위드시큐어(WithSecure)가 소셜 미디어 계정을 악용하는 새로운 스피어 피싱 수법을 발견했다고 최근 한 보고서에서 밝혔다. ‘덕테일(Ducktail)’이라고 명명된 이 맬웨어는 페이스북 비즈니스 계정 이용자를 겨냥한다.  연구 결과, 공격자는 한 베트남 해커로 밝혀졌으며, 페이스북 비즈니스 계정에 접근 권한을 가진 관리자의 링크드인 계정으로 맬웨어 메시지를 보내 계정 권한을 탈취했다. 또한 해커는 공격 대상의 이메일 주소로 악성코드가 담긴 이메일을 전송하기도 한다고 연구진은 말했다.   위드시큐어의 설명에 따르면, 이 공격 수법이 특별히 위험한 이유는 해당 해커가 페이스북 비즈니스 계정의 접근 권한을 탈취하고자 인포스틸러(Infostealer)라는 전용 맬웨어 컴포넌트를 개발했기 때문이다. 기존 공격 수업은 특정 사용자만 겨냥하지는 않았다.    공격 대상이 악성 링크를 열면 인포스틸러 맬웨어가 컴퓨터에 설치되어 시스템에 침투한다. 따라서 브라우저 캐시에서 페이스북 비즈니스 계정 접근 권한과 관련된 정보를 추출할 수 있다. 또한 공격 대상의 컴퓨터에 설치되는 맬웨어에는 텔레그램 봇이 포함되어 있다. 해커는 이를 마치 C&C 센터처럼 활용해 탈취한 정보를 자신에게 전송한다. 연구진에 따르면, 해커는 이 맬웨어로 페이스북 광고 계정을 해킹함은 물론, 수많은 개인 데이터에 접근할 수 있다. 이중 인증(2FA) 코드, IP 주소와 GPS 정보를 비롯해 신용카드 번호 같은 세부적인 금융 정보까지 포함된다고 보고서는 설명했다. 덕테일 맬웨어의 공격 수법이 위험한 이유는 특정 사용자만 겨냥해서다. 위드시큐어 연구원 모하마드 카젬 하산 네자드는 보고서를 발표하며 "덕테일 해커가 공격의 성공률을 높이면서도 적발되지...

스피어피싱 맬웨어 페이스북 2022.07.28

스파이스웨어, “워케이션 보안 허점 노린 사이버공격 유의···시간·장소·대상 가리지 않아”

데이터 중심의 제로 트러스트 보안 기업 스파이스웨어가 ‘워케이션 사이버보안 준수사항’을 소개했다. 최근 근무지에 대한 제약이 사라지며, 휴가지에서 ‘일’과 ‘휴식’을 병행하는 ‘워케이션(Workation)’이 새로운 근무형태로 떠오르고 있다. 하지만 개인 PC나 모바일 기기 사용, 공용 와이파이 접속 등 상대적으로 보안이 취약한 환경을 이용해 기업 내부 침입을 시도하려는 해커의 표적이 될 수 있어 주의가 필요하다. 사용자는 ▲공용 와이파이 사용 최소화 ▲출처가 불분명한 이메일·파일·링크 클릭 금지 ▲일상 속 보안 수칙 습관화해야한다고 업체 측은 설명했다.    비밀번호가 그대로 드러나는 호텔이나 카페 등의 무료 와이파이는 해커의 좋은 먹잇감이다. 해커는 사이버보안이 상대적으로 취약한 다중이용시설 와이파이를 해킹해 이용자의 기기에 악성 프로그램을 설치하거나 특정 사이트로 유도해 정보를 훔친다. 해커가 직접 와이파이를 만드는 경우도 있다. 점포에서 제공하는 와이파이와 비슷한 이름의 가짜 와이파이를 생성해 이용자의 접속‧이용기록 관련 모든 정보를 수집하고 탈취한다. 부득이하게 공용 와이파이를 사용해야 할 때는 실시간 보안기능을 활성화하고 금융거래나 민감정보를 다루는 업무는 자제하는 것이 좋다.  호텔 할인쿠폰, 항공권 프로모션 행사와 같이 휴가철을 겨냥한 광고성 문자와 이메일이 증가하면서 광고를 가장한 랜섬웨어 배포가 늘고 있다. 사이버 위협은 나날이 고도화돼 청구명세서, SNS 알람으로 위장하거나 doc, pdf, hwp 처럼 일상에서 자주 사용하는 파일 형식을 가장하기도 한다. 클릭하는 순간 해커가 심어놓은 악성코드에 감염돼 이용자의 정보가 넘어가기 때문에 출처가 의심스러운 이메일·파일·링크 등은 가급적 클릭을 자제해야 한다. 또 랜섬웨어 감염에 대비해 미리 데이터를 백업해둔다.  사이버 공격에 대해 경각심을 갖고 보안 수칙을 습관화하는 것이 중요하다. 보안은 시스템 장애가 아니라 기능이다. 안전은 귀찮음과 불편함 뒤...

스파이스웨어 워케이션 2022.07.28

"선택 아닌 필수" SBOM을 작성하는 베스트 프랙티스와 추천 프로그램 8선

소프트웨어를 실제로 보호하려면 코드 안에 무엇이 있는지 알아야 한다. 그렇기 때문에 오늘날 소프트웨어 자재 명세서(Software Bill of Material, SBOM)는 필수적이다. 과거에는 코드 보안에 대해 크게 걱정하지 않았다. 어리석은 일이었다.   그리고 보안 문제가 잇따라 발생했다. 솔라윈즈 소프트웨어 공급망 공격, 여전히 진행 중인 Log4j 취약점 및 npm 메인테이너 항의 코드가 잘못된 사건으로 보안 업계는 소프트웨어 공급망을 정리해야 한다는 사실을 분명히 깨달았다. 독점 소프트웨어는 제작자가 프로그램 내부에 무엇이 있는지 알려주지 않으므로 불가능하다. 그러나 오픈소스 프로그램을 사용하면 SBOM(s-bomb으로 발음됨)으로 정리할 수 있다. 사실 SBOM은 더 이상 ‘하면 좋은 것’이 아니다. 미국에서는 연방정부의 명령이다. 미국 대통령 조 바이든이 2021년 7월 12일 발표한 ‘국가 사이버보안 개선에 관한 행정명령’에서는 SBOM이 요구사항에 포함된다. 행정명령은 SBOM을 ‘소프트웨어 구축에 사용되는 다양한 구성요소의 세부 사항 및 공급망 관계를 포함하는 공식 기록’으로 정의한다. ‘소프트웨어 개발자와 공급업체는 종종 기존 오픈소스 및 상용 소프트웨어 구성요소를 조립하여 제품을 만드는 경우가 많다’는 점 때문에 오픈소스 소프트웨어에서 특히 중요한 문제다. 그렇다. 오픈소스 소프트웨어가 모든 곳에서, 모든 것을 위해 사용된다는 것은 모두가 안다. 하지만 오픈소스 구성요소를 포함한 애플리케이션이 무려 92%에 달한다는 사실을 알고 있었는가? 사실 평균적인 현대 프로그램은 70%가 오픈소스 소프트웨어로 구성되어 있다.  분명히 조치가 필요하다. 리눅스 재단과 오픈소스 보안 재단(Open Source Security Foundation, OpenSSF), 오픈체인(OpenChain)에 따르면 정답은 SBOM이다. 리눅스 재단의 연구 담당 부사장 스티븐 헨드릭은 SBOM을 다음과 같이 정의한다.   ...

SBOM 추천 오픈소스 2022.07.27

스와이프온, 기업용 출입관리 솔루션으로 국내 진출

스마트 출입관리 시스템 소프트웨어 전문기업인 스와이프온이 업무공간 출입관리 솔루션을 내세워 국내 시장에 본격적으로 진출한다고 밝혔다.   스와이프온은 2013년에 뉴질랜드에서 설립된 이래 미국 텍사스 오스틴에 지사를 두고 미국 기업과 학교에 출입관리 시스템을 제공해왔다. 바이엘, 디즈니, 페덱스, 3M, 보쉬 등 글로벌 기업들을 포함해 전 세계 7,000여 업무 공간이 스와이프온의 출입관리 시스템을 이용 중이다. 스와이프온은 직원과 방문자 관리는 물론 택배 관리나 모바일 출입증 출력까지 아울러 간편하고 안전한 출입관리를 통해 기업들이 안전성과 보안성이 뛰어난 업무 공간을 운영할 수 있도록 돕는다. 스와이프온의 비접촉 출입관리 솔루션은 건물을 드나드는 모든 사람의 출입 등록을 방역 걱정 없이 ‘터치 프리’ 방식으로 처리한다. 방문자는 건물 로비에 비치된 아이패드에 뜨는 QR 코드를 모바일 기기로 간편하게 스캔하고 직원들은 전용 스마트폰 앱으로 방문자 정보를 확인할 수 있다. 더불어 QR 코드를 활용한 출입관리가 가능하기 때문에 아이패드 같은 기기를 건물 로비에 구비하지 않아도 관리할 수 있다. 그 외 방문자 사전 건강 스크리닝, 간소화된 직원 출입 확인, 비상시 대피관리 기능 등을 제공한다. 스와이프온은 처음으로 서비스를 이용하는 국내 기업, 기관들을 위해 ‘14일 무료 제공 패키지’를 선보이며 향후 서울파이낸스센터(서울 중구)에 위치한 한국 지사를 통해 고객 지원 서비스 또한 제공할 계획이다. editor@itworld.co.kr

스와이프온 출입관리 2022.07.27

킨드릴, 새 복구 서비스 발표…"전문가 사전 검토·실시간 피해 복구"

관리형 인프라 서비스 업체 킨드릴(Kyndryl)이 새 사이버 복구 리테이너 서비스(Recovery Retainer Service)를 지난 25일(현지 시각) 발표했다. 킨드릴은 자체 전문 인력의 사전 검토와 현장 복구 지원을 강점으로 내세웠다.    회사에 따르면, 새 서비스는 기업 고객이 랜섬웨어 등 사이버 공격에 피해를 받을 경우 자체 전문 인력을 기업 현장에 제공한다. 또한 업체 측은 이 서비스가 피해 관리에 국한되지 않으며, 사전 예방을 지원한다고 설명했다. 킨드릴의 보안팀이 기업 고객의 사이버보안 방어력을 검토하고 개선하여, 취약성을 보강하는 작업도 서비스에 포함된다.  사이버 공격이 발생할 시에는 보안 전문팀이 실시간으로 기업 고객과 연락하여 중요한 데이터를 복구하고 시스템을 원상 복구하도록 돕는다. 상황에 따라 원격 상담과 현장 파견이 모두 가능하다고 업체 측은 밝혔다.  복구 리테이너 서비스의 일환으로 제공되는 포렌식(forensics) 지원은 흔하다. 그러나 이번에 킨드릴이 발표한 것과 같은 현장 지원 서비스는 드물다.  킨드릴의 사이버보안 및 복원력을 담당하는 글로벌 보안 수칙 리더 크리스 러브조이는 이 서비스가 기존 사이버 공격 피해 복구 서비스의 연장선이라고 설명했다. 그는 "이제 이 분야[사이버보안]에서는, 단순한 방어를 넘어 '사이버 복원력(cyber resilience)’으로의 전환이 필요하다”라며 “이제 사이버 공격은 불가피하다. 따라서 공공과 민간 부문 모두 사이버보안은 물론 사이버 복원력을 갖춰야 한다”라고 말했다.  IDC의 리스크, 자문, 관리 및 개인 정보 보호 담당 리서치 디렉터 필립 해리스는 새 복원 서비스가 올해 4월 출시된 킨드릴의 오케스트레이션(orchestration) 및 사이버볼팅(cybervaulting) 서비스와도 잘 호환된다고 말했다. 이러한 서비스는 머신러닝 기반 구성 검사, 재해 복구 자동화 및 에어갭 백업 시스템 등을 포함한다. 에어갭...

랜섬웨어 데이터복원 데이터복구 2022.07.27

노드VPN, “여행자 25% 이상 휴가 도중 해킹 경험”

노드VPN은 25% 이상의 여행자들이 여행지로 이동하는 중에 해킹을 경험한다고 발표했다. 노드VPN의 최근 연구조사 결과에 따르면, 여행자들이 공공 와이파이로 인터넷을 연결, 사용하는 과정에서 이러한 해킹 경험을 하는 것으로 조사됐으며 특히 최종 여행 목적지로 가기 위한 경유지인 버스나 기차역 또는 공항 등에서 대부분 발생하는 것으로 나타났다. 노드 시큐리티의 조성우 한국지사장은 “해커는 공항이나 기차역에서 제공되는 공공 와이파이 네트워크의 취약점을 십분 활용해서 핵심적인 개인정보나 기업의 중요 정보에 손을 댄다”라며 “따라서 이번 여름휴가 시즌만이 아니라 여행 중에는 보안 와이파이에 연결하고 VPN을 사용할 것을 권고한다”고 강조했다. 해커는 여행자가 여행 중에 적절한 와이파이 이름이 뭔지를 모른다는 것을 악용한다. 여행자가 자주 경유하거나 머무르는 공항이나 기차역에 가짜 와이파이 핫스팟을 만들어서 해킹을 시도하고, 그 과정에서 신용카드, 개인 이메일, 기타 중요한 정보 등을 가져간다.  합법적인 공공 와이파이 네트워크도 안심할 수 없다. 해커는 ‘중간인 공격(man-in-the-middle attack)’이라는 수법을 사용해서 온라인 사용자의 온라인 활동은 물론 암호, 개인 정보 등을 탈취할 수 있다. 중간인 공격은 개인의 디바이스와 와이파이 핫스팟 사이에 해커의 디바이스를 놓고 공격을 가하는 과정을 말한다. 가짜 와이파이 핫스팟이나 중간인 공격을 피하기 위해서, 노드VPN은 보안 와이파이에 연결하고 VPN 서비스를 사용하는 것을 권고했다. 노드VPN의 연구조사에 의하면 여행자의 78% 이상이 여행 중에 VPN 서비스를 사용하지도 않고 보안이 떨어지는 공공 와이파이에 디바이스를 연결하는 것으로 밝혀졌다. 이는 해커들로부터 공격으로 인한 위험도를 급격하게 높이게 된다. 노드VPN의 보안 전문가는 이번 여름휴가 기간은 물론 여행 중 간단하게 보안을 할 수 있는 방법 ▲VPN 서비스 사용 ▲보안 와이...

노드VPN 2022.07.26

“사이버 교전을 유도해 해커의 전술을 파악한다” 마이터 인게이지 살펴보기

사이버 보안은 마치 군사 경쟁처럼 적의 다음 행보, 전략, 동기를 파악하는 것이 중요하다. 마이터의 자료를 이용하면 사이버 전투에 필요한 자료를 확보할 수 있다.    마이터(MITRE Corp)는 미 연방정부에게 자금을 받는 비영리 단체로 공공 및 민간 기업과 파트너십을 맺고 보안 전문가에게 필요한 정보를 제공한다. 특히 올해 초 공개된 '마이터 인게이지(MITRE Engage)' 프레임워크는 사이버 교전, 기만, 거부 활동을 계획하고 수행할 때 쓸 수 있어 주목할 만하다. 여기서 말하는 인게이지란 해커의 공격 즉 사이버 교전을 유발시킨다는 뜻이다.  마이터 최고정보보안책임자 빌 힐은 “사이버 교전은 적군의 전투 계획을 살펴보는 과정과 유사하다”라며 “싸움 상대는 총명하다. 그저 한 가지 방어책만 정해 놓고 모든 공격을 막을 수 있을 것이라 기대하면 안 된다. 적의 다음 행동을 알아야 한다”라고 설명했다. 해커와 교전을 벌이면 공격자와 방어자 모두 진화된 전투 기술을 활용하며 새로운 공격 양상을 확인할 수 있다. 힐에 따르면, 사이버 교전 기법에서 방어자는 공격받는 환경을 자체적으로 통제하면서 공격을 유도해 해커의 행동과 전술을 관찰한다.  힐은 “교전 기법은 위협 사냥(threat hunting)과 비슷하면서도 다르다. 위협 사냥은 이미 네트워크 내에 있는 적을 찾아내 제거한다. 반면 교전은 좀 더 선제적이고 의도적이다. 가령 적의 공격 방식을 알아내겠다는 목표를 세우고, 의도적으로 공격을 주고받는 상황을 만든다”라고 설명했다. 방어자가 이런 의도적인 교전을 활용하면 초기 공격 이후 해커가 어떤 일을 하는지 알아낼 수 있다. 힐은 “공격 시작과 관련해서는 많은 것이 알려져 있다. 보안 전문가는 첫 공격 정보를 기반으로 역공학을 하면서 해커의 기법을 분석한다. 하지만 첫 공격은 전체 공격 중 빙산의 일각에 불과하다. 만일 적이 네트워크에 침투하면 그다음에는 어떤 일이 벌어질까? 적이 두 번째로 하는 일은 무엇인가...

마이터 2022.07.26

“다크웹 익스플로잇 91%, 10달러 미만에 팔린다”

지난 목요일 HP 울프 시큐리티(HP Wolf Security)가 포렌식 패스웨이(Forensic Pathways)와 공동으로 발표한 보고서에 따르면 합법적인 전자상거래가 이뤄지고 있는 지하 경제가 사이버 범죄를 확대하고 있다.  보고서는 사이버 범죄자가 시작하기 쉬운 ‘서비스형(SaaS)’ 악성코드 및 랜섬웨어 공격을 통해 전문적으로 활동하고 있으며, (이로 인해) 초보적인 IT 스킬을 가진 사람도 원하는 타깃에 사이버 공격을 시작할 수 있다고 분석했다. 아울러 지하 시장의 경쟁이 악성 도구의 가격을 낮춰 누구나 사용할 수 있게 됐다고 덧붙였다.     다크웹에 광고되는 174개의 익스플로잇을 분석한 결과, HP 울프 연구진은 압도적인 숫자(91%)가 미화 10달러(2022년 7월 25일 기준 한화 약 1만 3,000원) 미만의 가격에 판매되고 있다. 1,653개의 악성코드 광고에서는 4분의 3 이상(76%)이 10달러 미만에 판매되는 것으로 조사됐다. 평균적으로 인포스틸러(Information Stealer)는 5달러, 원격 액세스 트로이(RAT)는 3달러, 익스플로잇은 2.23달러, 크립터는 1달러에 판매됐다.  마피아보이(MafiaBoy)라는 이름으로 활동했던 前 해커이자 HP 울프 시큐리티 자문 위원회(HP Wolf Security Advisory Board)의 회장 마이클 칼체는 “2010년대에 들어서면서 (악성코드 및 랜섬웨어 등의) 상품화가 크게 추진됐다. 경쟁이 치열해지면서 가격은 더 저렴해지고 있다”라고 말했다.     “지하 경제는 합법적인 시장을 닮았다” 합법적인 시장처럼 작동하면서, 지하 경제는 신뢰와 씨름해야 했다. HP 울프의 수석 맬웨어 애널리스트 알렉스 홀랜드는 “지하 시장 운영자가 구매자와 판매자 간의 공정한 거래를 장려하기 위해 고안해낸 메커니즘이 많다”라고 말했다. 보고서에 의하면 이러한 메커니즘에는 벤더 피드백 점수가 포함된다. 이 밖에 사이버 범죄 시장...

사이버 범죄 지하 경제 서비스형 랜섬웨어 2022.07.26

록빗은 뜨고, 콘티는 지고… 올 2분기 랜섬웨어 공격 둔화

2022년 2분기 록빗(LockBit)이 ‘뜨고’ 콘티(Conti)가 ‘지면서’ 랜섬웨어 공격 횟수가 다소 둔화됐다는 분석이 나왔다.  가드포인트 리서치(GuidePoint Research)가 지난 목요일 발표한 보고서에 따르면 2022년도 2분기 랜섬웨어 공격 횟수는 총 574건으로 집계됐다. 올 1분기 대비 34% 감소한 수치다. 기술 부문은 공공 부문과 마찬가지로 큰 표적이 됐다. 아울러 미국은 가장 많은 공격을 받은 국가로, 전 세계 랜섬웨어 피해의 거의 4분의 1을 차지했다.    2분기 가장 활발하게 공격 활동을 이어온 랜섬웨어 그룹은 서비스형 랜섬웨어(RaaS)를 운영하는 록빗(LockBit)이다. 록빗은 목표 대상의 시스템을 손상시키고 수익을 협력사에게 공유하는 소프트웨어를 제공하며, 자체적인 데이터 도용 툴킷과 랜섬웨어 배포 도구 등을 보유한 것으로 조사됐다.  조사 기간 동안 록빗을 사용한 공격은 총 208건이었다. 보고서에 따르면 록빗은 버그 바운티 프로그램을 운영하면서 공격으로 얻은 수익의 일정 비율을 사용료로 지불하며, 치명적 결과를 초래할 수 있는 주요 인프라 업체에 소프트웨어 사용을 제한하는 등 상당히 체계적인 구조를 가지고 있다.  2분기에 새로 등장한 공격 그룹 블랙바스타(Blackbasta)는 산업 및 제조 회사를 주요 타깃으로 삼고 있다. 또한 콘티 랜섬웨어라는 그룹은 지난 5월 없어져 2분기 공격 횟수가 감소했지만, 조사 기간 동안의 공격 횟수는 록빗2에 이어 2위에 오를만큼 많았다. 콘티는 공격적인 접근 방식과 더불어 일반적인 대형 랜섬웨어 그룹과 달리 몸값을 지불해도 손상된 데이터를 복구해주지 않아 악명이 높았다. 한편 콘티라는 그룹은 사실상 없어졌지만 그 배후에 있었던 사람들은 여전히 활동하고 있을 가능성이 높다.  가드포인트의 운영 책임자 드류 슈미트는 “위협 행위자의 조직 개편이 계속되고 있기 때문에 록빗은 가까운 미래에도 랜섬웨어 산업의 선두 자리를...

랜섬웨어 록빗 콘티 2022.07.25

“개인 보안 인식 높지만 교육은 부족”…이스트시큐리티, 보안 환경 점검 설문 결과 발표

이스트시큐리티는 7월 ‘정보보호의 달’을 맞아 진행한 ‘보안 환경 점검 설문조사’ 결과를 공개했다.   이번 설문조사는 최근 국내의 핵심기술이 연이어 국외로 빠져나가고 있는 가운데, 기업 내 보안 환경을 점검하기 위한 목적으로 지난 6월 29일부터 7월 13일까지 PC 사용자 9,431명을 대상으로 진행했다. 설문 문항은 ▲중요·기밀 자료 보안 및 관리 실태 ▲사용자 개인 보안 인식 현황 ▲기업 및 기관 정보 보호 교육 실태를 묻는 항목으로 구성했다. 설문 결과, 국내 보안 환경은 사용자 개인의 보안 의식은 잘 지켜지고 있으나, 교육 측면에서 기업 및 기관의 지속적인 관심은 상대적으로 부족한 것으로 나타났다. 실제, 이번 설문 조사에 참여한 응답자 중 불과 29.5%만이 회사의 정보보호 정책과 규정에 잘 알고 있다고 응답했고, ‘기본적인 내용만 알고 있다’는 54.3%, ‘잘 모른다’는 16.1%로 조사됐다.   또, 정기적인 정보 보호 교육 실시 여부를 묻는 질문에 대해서는 ‘실시하고 있지 않다’는 응답이 26%, ‘잘 모른다’는 응답이 20.4%로 절반에 가까운 응답자가 제대로 된 교육을 받지 못하는 것으로 나타났다. 다만, 응답자 대부분이 기업의 기밀 유출 및 유실 방지를 위해 중요한 자료가 잘 관리되고 있다고 응답했으며, 개인 역시 보안을 위해 PC 운영체제를 최신화하거나 높은 비율로 바이러스 백신 프로그램을 사용하는 것으로 조사됐다.   이스트시큐리티 관계자는 “정보보호 교육의 부재는 사용자 개인의 보안 관리 미흡으로 직결될 뿐 아니라 기업 및 국가의 자산인 핵심기술 유출로도 이어질 수 있다”며, “이 때문에 현재 보안 교육의 필요성에 대한 인식과 제도적 정착의 확산이 시급하며, 이를 위해선 더 많은 기업과 관련 기관의 적극적인 노력이 필요하다”고 말했다. editor@itworld.co.kr

이스트시큐리티 2022.07.25

국가과학기술인력개발원, ‘2022 제4회 과학자 소통 포럼’ 27일 개최

국가과학기술인력개발원(www.kird.re.kr 이하 KIRD)은 차세대 선도기술 연구성과를 공유하고 융합연구 촉진을 위한 ‘2022년 제4회 과학자 소통 포럼’을 27일 대전 대덕테크비즈센터에서 개최한다고 밝혔다.   이번 포럼에서는 한국과학기술원(KAIST) 전기및전자공학부 김용대 교수가 ‘만물에 대한 해킹’을 주제로 발제에 나선다. 김용대 교수는 사이버보안 기술 분야 전문가로, 서던캘리포니아대학교 컴퓨터과학과 박사 학위를 취득하고 미네소타대학교 컴퓨터공학과 부교수를 역임했다. 현재 한국블록체인협회 정보보호위원회 위원장으로 활동 중이며, 2017년부터는 KAIST 사이버보안연구센터 센터장을 맡고 있다. 주제발제 이후, 김익균 한국전자통신연구원 정보보호연구본부 본부장, 손준영 한국원자력연구원 보안기술연구실 실장, 배성윤 중앙대학교 융합보안학과 박사과정생이 패널로 참여해 토의를 이어갈 예정이다. 이어지는 8월 10일 포럼에서는 융합연구를 주제로 한국과학기술연구원 융합연구정책센터 김현우 소장이 발제자로 나선다. 8월 31일부터 진행되는 시즌 2에서는 ‘환경에너지’ 및 ‘나노화학’을 주제로 분야별 국내 전문가들이 최신 연구성과를 공유할 예정이다. 참가 신청 및 문의는 KIRD 교육 플랫폼 ‘알파캠퍼스(https://alpha-campus.kr/community/meeting/forum/3c19c4a3-5570-4276-97f4-b0bbe93abbea)’에서 확인할 수 있다. 이번 포럼은 현장 집합방식으로 진행되며, 11월 30일까지 총 9회에 걸쳐 진행된다. editor@itworld.co.kr

국가과학기술인력개발원 2022.07.25

안드로이드 앱 권한을 스마트하게 유지하는 방법

안드로이드와 개인정보보호에 있어 일정한 경향이 있음을 우리는 이미 잘 알고 있다. 즉, 새로운 안드로이드 버전이 나올 때마다 개인 정보가 어떻게 사용되는지 이해하고 관리하기가 더 쉬워지고 있다. 이를 지능적으로 처리할 수 있는 더 많은 툴이 늘어나고 안드로이드 내부적으로도 개선이 이뤄지고 있다. 그런데 최근 구글이 안드로이드 개인 정보 보호에 적용한 새로운 변화는 매우 당혹스럽다. 스마트폰 속 정보가 어떻게 쓰이는지 관심이 많은 사람에게는 보안의 퇴보이자 매우 해로운 변화다. 구체적으로 설명하면, 구글은 최근 플레이 스토어 인터페이스를 업데이트했는데, 앱을 설치하기 전에 어떤 권한이 필요한지 정확히 확인할 수 있는 옵션을 없애버렸다. 필자는 며칠 전에 그런 변화를 확인하고 머리가 멍해지는 기분이었다. 이는 현재 모든 앱에 의무화된 플레이스토어의 새로운 데이터 안전 섹션 출시와 관련이 있는 것으로 보인다. 의심할 여지 없이 구글은 일반적인 안드로이드 사용자 대부분이 앱 권한에 대한 더 상세하고 기술적인 설명을 자주 확인하지 않는다는 데이터를 확인하고 이렇게 변경했을 것이다. 하지만 설사 그렇다고 해도 앱이 사용자 기기에서 하고자 하는 모든 것에 대해 쉽게 접근할 수 있는 객관적인 개요를 가질 수 있는 기능을 없애버린 것은 분명히 잘못된 방향이다. 그렇다면 이에 맞서 안드로이드 기기 사용자가 해야 할 일은 무엇일까? 구글이 정신을 차리고 다시 이 기능을 부활시키기를 기다리는 것 말고 말이다.   플레이스토어와 안드로이드 권한의 변화 일단 구체적인 방법을 알아보기 전에 이번 구글의 보안 기능 삭제가 정확히 어떤 의미인지 살펴보자. 기존까지 모든 플레이스토어 앱 목록에는 연결된 앱이 사용자 스마트폰에서 필요로 하는 전체 권한 목록을 볼 수 있는 링크가 있었다. 즉, 앱이 상호 작용하고자 하는 데이터 유형과 스마트폰의 영역을 정확히 인지한 다음, 이 모든 것이 합리적인지 판단해 앱 설치 여부를 결정할 수 있었다. 하지만 이제는 다르다. 개인 정보 관련 ...

안드로이드 구글 플레이스토어 2022.07.25

"보안 점검 및 개선, 교육을 한번에" 효과적인 모의 훈련을 위한 8단계

모의 훈련(tabletop exercise)은 사고 대응 계획을 연습할 수 있는 좋은 기회다. 기존 계획을 연습 및 개선하고 신규 직원을 훈련시킬 수 있는 기회이기도 하다.  CIS(Center for Internet Security)의 선임 운영 디렉터인 스티븐 젠슨은 모의 훈련을 제대로 실행하면 “위협 표면을 줄이는 방법을 찾을 수 있다. 모의 형식의 연습을 통해 단순한 서면상의 정책을 효과적인 정책과 절차로 다듬을 수 있다”라고 말했다.   보안 권고와 벤치마크로 잘 알려진 CIS는 주 정보 공유 및 분석 센터(Multi-State Information Sharing and Analysis Center, MS-ISAC)와 선거 인프라 정보 공유 및 분석 센터(Elections Infrastructure Information Sharing Analysis Center, EI-ISAC)의 본거지이기도 하다. 젠슨은 두 ISAC를 지원하면서 주, 지방, 그룹, 구역 단위의 12,000개 회원 기관을 대상으로 사고 대응과 취약점 관리를 감독한다.  CIS의 위기관리팀에 소속된 젠슨은 MS-ISAC에서 훈련 코디네이터 역할도 담당한다. 미국 국토안보부 산하의 CISA(Cybersecurity and Infrastructure Security Agency) 및 지방 정부와 협력해 모의 훈련을 준비하고 실행한다. 젠슨은 CSO가 최근 주최한 ‘정보 보안의 미래 회담(Future of InfoSec Summit)’에서 연사로 나와 모의 훈련을 구성하고 실행하는 방법과 모의 훈련이 보안 프로세스 및 절차의 공백을 파악하는 데 어떻게 도움이 되는지 설명했다. 효과적인 모의 훈련을 수행하는 방법을 알아보자. 1. 목표 설정 가장 먼저 해야 할 일은 목표 진술문을 만드는 것이다. 목표 진술문은 팀이 구체적인 훈련 목표를 정의하고 시나리오 개발을 위한 틀을 제공하고 전체적인 수준에서 훈련 평가 기준을 제공하는 데 ...

모의훈련 보안 2022.07.22

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.