Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

MDR 시장 넘보는 구글…크로니클에 "선별된 탐지" 기능 정식 출시

구글 클라우드가 최근 크로니클(Chronicle) 보안 분석 플랫폼을 위한 “선별된 탐지(curated detection)” 기능이 정식(GA) 버전으로 출시됐다고 발표하며 빠르게 성장 중인 MDR(Managed Detection and Response) 시장에 본격적으로 발을 디뎠다.   크로니클의 새로운 선별된 탐지 기능은 구글이 자체 사용자 기반을 보호하면서 얻은 위협 인텔리전스를 활용해 자동화된 탐지 서비스를 제공한다. 랜섬웨어와 인포스틸러(infostealer), 데이터 도용부터 단순히 잘못 구성된 시스템과 원격 액세스 도구까지 모든 것을 포괄한다. 기업의 잠재적인 위협을 맥락과 관련지어 더 잘 이해할 수 있도록 돕기 위해 마이터 어택(MITRE ATT&CK)과 같은 권위 있는 데이터 소스를 통합하며, 구글 자체 보안팀이 지속해서 업데이트하는 위협 정보를 제공한다. 앞서 구글 클라우드(Google Could)는 내장 DDoS 보호 기능 및 API 보안 기능을 비롯해 자체 제품에 대한 2가지 보안 업데이트를 진행했다. 하지만 '선별된 탐지' 기능이 구글의 사내 전문 지식을 기반으로 하더라도 크로니클은 구글 클라우드 고객이 아닌 사람에게도 판매되는 제품인 것을 이해하는 것이 중요하다.  가트너 부사장 닐 맥도날드에 따르면, 구글의 선별된 탐지 기능 출시는 MDR 시장의 급성장을 보여주는 일부분에 불과하다. 맥도날드는 MDR 시장 규모가 이미 연 매출 25억 달러로 상당히 크지만, 매년 49%씩 성장할 것으로 예상했다.  MDR 기술이 인기를 끄는 이유는 오늘날 보안의 복잡성이 계속 증가하고 있으며, 사내 보안팀 간의 지식 격차도 커지기 때문이다. 맥도날드는 “모든 기업이 공격을 받고 있고 모든 기업이 이런 이벤트를 더 잘 탐지하고 대응하기를 바라며, 모든 기업은 이를 처리할 직원을 찾는 데 어려움을 겪고 있다. 따라서 서드파티가 관리하는 개념은 매우 합리적이다”라고 말했다. 구글이 새...

MDR 매니지드서비스 09시 42분

중국 정부의 틱톡 데이터 접근이 ‘보안 위험’인 이유 3가지

짧은 동영상 플랫폼 틱톡(TikTok)은 최근 몇 달간 빈축을 샀다. 미국 국회의원들과 국민은 틱톡의 데이터 수집 관행과 중국 정부와의 잠재적인 연계성에 의문을 제기했다. 이런 우려는 중국에서 일부 미국 사용자의 데이터에 반복적으로 접근했다는 버즈피드(Buzzfeed)의 보도 후 격화했다.   틱톡의 모회사인 베이징 소재 바이트댄스(ByteDance)는 중국 정부와의 정보 공유 사실을 부인했으며, 미국 사용자 트래픽을 오라클(Oracle)이 운영하는 서버로 이주했다고 발표했다. 그러나 의혹을 불식하기에는 부족했고 보안 및 개인정보보호 전문가들의 우려는 계속되고 있다. 인포시스 컨설팅(Infosys Consulting)의 사이버보안 담당 파트너 조셉 윌리엄스는 “중국에서 정치와 사업은 불가분의 관계다. 중국 정부는 흥미로울 만한 것은 무엇이든 파악하기 위해 특정 사용자, 특정 키워드 또는 특정 동영상 시퀀스에 집중할 수 있다”라고 주장했다. 이론적으로 틱톡은 문자, 이미지, 동영상, 위치, 메타데이터, 초안 메시지, 지문, 브라우징 이력 등 온갖 종류의 데이터를 수집할 수 있다. 지난 몇 년간 급성장한 틱톡의 월간 활동 사용자 수는 전 세계적으로 10억 명이 넘는다. 이 중에서 1억 명은 미국에 거주한다. 퓨 리서치 센터(Pew Research Center)의 설문조사에 따르면, 미국 십 대 67%가 틱톡 사용 경험이 있었다. 인스타그램(Instagram), 스냅챗(SnapChat), 페이스북(Facebook), 트위터(Twitter)보다 더 많았다. 기업이 정부에 정보를 넘기는 문제는 틱톡이나 중국 차원을 훨씬 넘어선다. 서비(Cerby) 최고 신뢰 책임자 맷 치오디는 “데이터 욕심에 끝이 없는 국가는 중국만이 아니다. 가장 인기 있는 소셜 미디어 플랫폼 중 여러 곳의 데이터를 가장 많이 요청한 국가는 미국이라는 점을 상기해야 한다”라고 말했다. 정부는 기업 소유 데이터를 다음과 같은 3가지 방식으로 활용할 수 있다. 1. 내외국인 대한 ...

틱톡 개인정보 중국 1일 전

목적 없는 직원 감시 기술 "득보다 실 많다"

코로나19 팬데믹 기간 동안 재택 근무 직원, 또는 위치 및 생산성을 하루 종일 모니터링해야 하는 ‘긱 직원’을 추적하는 생산성 모니터링 툴의 사용이 증가했다는 조사 결과가 발표됐다. 직장에서의 디지털 감시는 많은 노동자에게 점차 우려의 대상이 되고 있다. CCTV 같은 감시 기술은 이미 다양한 산업에서 보편화되어 있지만, 팬데믹 상황을 맞아 같은 사무실에서 일하지 않는 직원을 감시하려고 소프트웨어 툴에 의지한 기업도 많다. 기업의 감시는 노동자 사생활에 대한 우려를 불러일으켰고, 이어서 전반적인 모니터링 효과를 살펴보려는 연구가 최근 늘어났다.   와이오밍 대학의 경영학과 부교수인 체이스 티엘은 직원 모니터링이 “전 세계 직원에게 일어나는 현상이지만 직원의 반응은 제대로 파악하지 못하고 있다”라고 분석했다. 티엘은 SAGE 경영학 저널에 발표된 ‘빼앗긴 주체성 : 직원 모니터링이 일탈에 미치는 역설적 효과(Stripped of Agency: The Paradoxical Effect of Employee Monitoring on Deviance)’의 저자 중 한 명이다.  이 연구에서 티엘은 다른 미국 대학의 학자와 공동 참여해 왜 모니터링이 실제로 규칙 위반 가능성을 높이는지를 살펴보았다. 기본적으로 2가지 연구와 관련이 있었다. 직장 모니터링 대상을 포함한 100명의 미국 직원을 살펴본 한 연구에서는 모니터링 대상인 참가자가 허가없이 휴식을 취하거나 고용주에게 부정적으로 말하는 등 잘못된 행동을 할 가능성이 높게 나타났다.   두 번째 연구는 일련의 작업을 완료해야 하는 200명의 미국 직원을 대상으로 한 실험이었는데, 이 중 절반이 디지털 감시를 받고 있다고 말했다. 감시를 받는다는 말을 들은 대상자가 규칙을 어길 가능성이 더 높았다. 이 경우 작업을 수행할 때 부정행위를 할 수 있다.  원인은 감시 대상자가 행동의 결과에 대한 책임감과 ‘주체감(sense of agency)’이 감소한 것이다. 이들은 직장에...

생산성 모니터링 모니터링툴 1일 전

“구글 계정이 침입 통로” 시스코 해킹 사고의 전모

엔비디아와 마이크로소프트, 유비소프트, 삼성, 보다폰에 이어 시스코가 유명 IT 업체의 해킹 피해 사례에 이름을 올렸다. 지난 5월 말 한 공격자가 시스코 네트워크에 침투하는 데 성공했다. 이른바 초기 액세스 브로커(Initial Access Broker, 돈을 받고 대상 네트워크로의 액세스를 제공하는 공격자)인 이 공격자는 UNC2447 사이버 범죄 조직, Lapsus$ 조직, 그리고 랜섬웨어 얀루오왕(Yanluowang) 운영자들과 연루된 것으로 보인다. 이번 공격에서 눈에 띄는 부분은 제로데이 취약점이나 패치 미설치, 네트워크 구성의 약한 지점이 아닌 전형적인 소셜 엔지니어링 기법을 사용했다는 점이다.    제한적 피해만 발생 이번 공격은 다른 대규모 해킹 사건의 경우와 달리 가치 있는 데이터를 얻지는 못한 것으로 보인다. 해커로부터 이메일을 받았다고 주장하는 Bleepingcomputer.com에 따르면, 해당 해커는 약 3,100개 파일로 구성된 2.75GB 용량의 데이터를 훔쳤다고 한다. 파일의 대부분은 비밀 유지 계약(NDA), 데이터 덤프, 기술 도면 등인 것으로 알려졌다. 시스코는 공식적으로 “2022년 5월 말에 회사 네트워크에서 보안 사고가 발생했다. 공격자를 제압해 네트워크에서 제거하기 위한 즉각적인 조치를 취했다. 이 사고는 시스코 제품 또는 서비스, 민감한 고객 데이터 또는 민감한 직원 정보, 회사 지적 재산 또는 공급망을 포함해 시스코 비즈니스에 아무런 영향을 미치지 않았다”고 발표했다.  공격자가 훔친 파일 목록을 게시하자 시스코도 사고를 세부적으로 공개했다. 시스코가 사고에 대처하면서 얻은 교훈을 다른 여러 기업에 제공하는 것은 주목할 만한 일이다. 시스코 내부 보안 그룹인 탈로스(Talos)는 블로그를 통해 공격자가 어떻게 네트워크에 침투했고 거기서 무엇을 했는지를 자세히 설명했다.     취약한 구글 계정  해킹의 출발점은 시스코가 아닌 구글이었다. 공격자는 시스...

시스코 해킹 소셜엔지니어링 1일 전

"이제는 지긋지긋해!" 스팸 전화 및 문자를 차단하는 방법

필자는 몇 달 전 사기성 전화를 차단하는 로보킬러(Robokiller)라는 앱을 설치했다. 이 앱은 첫 번째로 걸려오는 전화를 성공적으로 차단했다. 두 번째로 전화가 왔을 때는 필자가 너무 성급했다. 발신 번호가 의료기관이라고 표시되는 바람에 합법적인 전화일지도 모른다는 생각을 한 것이다. 경험치가 쌓였으므로 잘 알 것이라고 판단했다.  하지만 안타깝게도 그 전화는 지난 10년 동안 필자를 괴롭히던 수십 개의 자동 녹음 전화, 이른바 로보콜(robocall) 중 하나일 뿐이었다.    아틀라스 VPN(Atlas VPN)에 따르면, 올 상반기 미국인들이 받은 로보콜은 240억 건에 달한다. 지난해 같은 기간보다 5% 감소했지만, 여전히 천문학적인 수준이다.  로보콜의 확산은 사람들의 행동을 대규모로 변화시키고 있다. 예를 들어, 통화 선별(call screening) 소프트웨어 제작 업체 하이야(Hiya)는 확인되지 않은 번호로 걸려 오는 전화에는 응답하지 않는 사용자가 79%에 달한다고 말한다. 단순히 응답하지 않는 것으로 만족할 수 있을까? 사기성 전화 및 문사를 피하는 기술적인 방법을 살펴보자. 이동통신사 및 기기의 기본 기능 사용하기 우선 FTC(Federal Trade Commission)의 수신 거부 목록(Do Not Call Registry)에 사용자의 전화번호를 등록하는 것이 좋다. 합법적인 텔레마케팅 목록에서 사용자의 전화번호가 제거된다. 하지만 로보콜을 막지는 못한다. 원렙(OneRep) 창립자 드미트리 쉘레스트는 “사기꾼들은 이미 사용자의 정보를 훔쳐 법을 어길 의향이 있으므로 수신 거부 목록에 기재되어 있든 그렇지 않든 상관하지 않는다”라고 말했다. 원렙은 인터넷에서 승인되지 않은 비공개 정보 목록을 자동으로 제거하는 서비스를 제공하는 업체다.  주요 이동통신업체는 모두 일종의 무료 로보콜 차단 서비스를 제공한다. 예를 들어, AT&T의 액티브 아머(Active Ar...

스팸전화 로보콜 1일 전

줌, 맥용 앱 업데이트 배포 "해커가 맥북 완전히 장악할 수 있는 취약점 수정"

화상회의를 위해 줌(Zoom)에 접속해야 한다면, 시간을 조금 더 투자해 앱 업데이트를 반드시 설치하는 것이 좋다. 최근 줌은 해커가 사용자의 기기 전체를 장악할 수 있는 맥OS용 줌 앱의 취약점을 수정하는 보안 패치를 배포했다.    오브젝티브씨파운데이션(Objective-See Foundation)의 패트릭 워들이 발견한 맥OS용 줌의 취약점은 자동 업데이터(ZoomAutoUpdater.app)와 관련이 있다. 자동 업데이터는 루트 사용자로 작동하며 사용자의 비밀번호가 필요 없다. 업데이터가 실행되면 소프트웨어 업데이트가 줌이 서명한 것인지 확인하는데, 워들은 파일 이름이 서명 인증서와 같은지만 확인하고 있음을 발견했다. 해커는 인증서와 이름이 같은 다른 패키지를 사용해 맥에 액세스할 수 있다.  워들은 최근 미국 라스베이거스에서 열린 보안 컨퍼런스 데프콘(DefCon)에서 해당 취약점에 대해 발표했다(발표 자료는 온라인에서 확인할 수 있다). 줌은 취약점 패치 버전인 5.11.5(9788)을 배포했지만, 사실 이번 패치는 해당 취약점을 수정하는 두 번째 시도다. 워들은 지난 12월에도 취약점에 대해 설명했고 줌은 수정 사항을 배포했지만, 당시 패치에는 취약점을 여전히 유효하도록 만드는 버그가 있었다. 보안과 관련한 줌의 역사는 파란만장하다. 과거에는 승인되지 않은 마이크 액세스, 암호화 미흡, 승인되지 않은 사용자의 회의 침입과 같은 문제가 있었다. 이런 문제는 업데이트를 통해 해결됐다.  맥OS에서 줌 업데이트하기 줌 앱을 실행하면 업데이트가 자동으로 설치되지만, 필자의 경험에 따르면 최신 버전인 5.11.5(9788)는 설치되지 않을 수 있다. 최신 버전이 설치되지 않았다면 수동으로 업데이트해야 한다. 방법은 다음과 같다.  1. 업데이트 수동 확인 : 'zoom.us' 메뉴 → '업데이트 확인' 선택   2. 업데이트 설치 : 줌 앱이 설치할 수 있는 업데이트를 ...

취약점 2022데프콘 1일 전

"디지털 선동 위험 여전하다" 베네수엘라의 콜럼비아 대선 조작 이야기

2016년 미국 대선 당시, 트롤 양성소로 악명 높은 러시아 IRA(Internet Research Agency)가 SNS를 통해 미국 유권자에게 가짜 뉴스 캠페인을 벌인 이래로, 전 세계 여러 국가가 비슷한 선거 허위·조작정보 캠페인에 뛰어들기 시작했다. 방송통신위원회에 따르면 가짜 뉴스(fake news)는 단지 거짓 정보를 뜻하는 데 비해 허위·조작정보(disinformation)는 악의적 의도를 가지고 명백한 사실관계를 조작한 정보를 지칭하는 더 구체적인 용어다. 즉, 고의성이 가장 큰 차이다.   2019년 미 국무부는 국가 지원 허위·조작정보 캠페인에 관한 보고서를 통해 러시아뿐만 아니라 중국, 이란, 북한의 선전 전략에 대해 다뤘다. 보고서는 점점 더 많은 민족국가가 정치적 목적을 달성하고자 "디지털 기술과 SNS를 활용해 음모론, 왜곡된 정보 및 가짜 뉴스를 퍼뜨려 대중의 인식을 권력자의 입맛에 맞게 조작하고 있다"라고 밝혔다. 이들은 대표적인 미국의 적대국이다. 특정 정치인을 향한 지지를 유도하고자 사회적 갈등을 악화시키고 정치적 허위·조작정보를 유포하는 나라는 이뿐이 아니다. 니소스의 선임 인텔리전스 애널리스트 산드라 퀸코스가 2022 블랙햇 컨퍼런스에서 베네수엘라의 허위·조작정보 캠페인을 조사한 보고서(Colombian Election Disinformation Campaign: The Role of Venezuelan Leftists)를 발표했다. 이 캠페인의 목적은 콜롬비아 4·19 운동의 일원으로 활동했던 2022년 콜롬비아 대선의 좌파 후보 구스타보 페트로를 당선시키는 것이었다. 구스타보 페트로는 2022년 8월, 대통령에 당선됐다.   캠페인의 근거지는 한 트위터 계정    먼저 니소소의 조사팀은 캠페인의 주체를 추적했다. 영향력 있는 한 트위터 계정이 캠페인의 중추였다는 점이 밝혀졌다. 이 계정의 이름은 @ChalecosAmarill으로 미 적대국에 우호적인 외교 정책을 주장하는 대통령...

허위조작정보 가짜뉴스 디지털선동 2일 전

“중국 APT 그룹, 최대 6개 백도어 활용해 공격 중” 카스퍼스키 경고

중국계 TA428 그룹이 공개된 취약성과 흔한 탐지 회피 기법을 사용해 다른 국가의 군사 및 정부 기관을 공격해온 사실이 확인됐다고 카스퍼스키가 밝혔다. TA428이라고 불리는 중국계 APT 그룹이 올해 초부터 우크라이나, 러시아, 벨라루스의 군산 복합체들과 공공기관을 노리고 있다. 아프가니스탄과 같은 다른 지역들도 공격 대상이다. 이 그룹은 최대 6개의 서로 다른 백도어를 배치하는 흥미로운 접근 방식을 보이고 있다. 이 그룹의 공격 캠페인을 조사한 바이러스 백신 공급업체 카스퍼스키 랩의 연구자들에 따르면, 그 목표대상에는 산업 공장, 설계부서, 연구소, 정부 부처, 기관, 부서들이 포함된다. 연구진은 보고서에서 “공격자들이 수십 개 기업에 침투하고 일부 기업의 IT 인프라까지 탈취해 보안 솔루션 관리용 시스템을 통제할 수 있었다. 이 사건들을 조사하면서 얻은 정보를 분석한 결과, 이 공격의 목적은 사이버 스파이 활동으로 보인다”라고 밝혔다.   TA428은 방산 조직을 공격한 전력이 있다 분석에 따르면 최근 캠페인에 사용된 6개의 백도어 프로그램 중, 5개는 이전에도 TA428에 의해 사용된 것들이다. 이 단체는 지난해 러시아와 몽골의 국방 관련 조직을 표적으로 삼았으며, 그 중 일부 공격이 다른 보안 회사들에 의해 포착된 바 있다. 그러나 중국에는 여러 APT 그룹이 있다. 특히 중국 정부와 관련이 있다고 여겨지는 그룹들은 서로 코드와 툴을 공유하는 경향을 가진다. 포트도어, nccTrojan, Logtu, Cotx, DNSep 등의 백도어 프로그램 중 일부를 사용했다고 해서 TA428의 소행이라고 단언하기는 어려운 셈이다. 그러나 백도어 프로그램 자체 외에도 과거에 TA428이 사용했던 기법과 지휘통제 서버에서도 중복되는 부분이 있으며, 다른 간접적인 증거도 있다. 악성 문서를 통한 목표대상 피싱  초기 감염 벡터는 대상 조직의 직원을 겨냥한 스피어피싱 이메일이다. 이러한 이메일 중 일부는 특정 프로젝트를 담당하는 직원의 이...

TA428 중국 APT 그룹 2일 전

‘반짝 출현 후 사라진’ 10대 해킹단체 랩서스 수법과 대비책

미국 사이버보안 회사 테너블(Tenable)의 선임 연구 엔지니어 클레어 틸스가 블로그에 해킹그룹 랩서스(Lapsus$)를 추적해 조사한 결과를 발표했다. 랩서스의 공격 수법에 대해 “겁 없고, 터무니없으며 단순하기 짝이 없다”라고 평가했다.   랩서스는 마이크로소프트, 삼성, 엔비디아, 보다폰, 유비소프트, 옥타 같은 유명한 회사를 공격해 이목을 집중시켰다. 데이터를 탈취하거나 랜섬웨어로 피해 기업을 갈취하기도 했다.  랩서스가 악명을 얻기까지 다른 사이버 범죄 조직과 달리, 랩서스는 오직 자체 텔레그램 채널을 통해 운영된다. 다크 웹에서 유출 사이트를 운영하지 않는다. 지금까지 데이터를 갈취할 회사를 골라 달라며 텔레그램에 커뮤니티에 물어보는 방식으로 공격할 기업을 언급해왔다. 랩서스는 단순한 수법으로 파격적인 공격 방식을 전개해 많은 이를 당황케 했다. 예를 들어, 올해 초에는 고객 센터 제공업체 시텔(Sitel)의 컴퓨터 시스템에 침입하는 것을 시작으로 단계적인 해킹 전략을 구사했다. 이를 통해 시텔과 협력하는 클라우드 보안 업체 옥타에서 일하는 지원 엔지니어의 노트북까지 해킹해 결국 옥타의 기업 네트워크까지 침투했다. 틸스에 따르면, 랩서스 그룹은 다음과 같이 꽤나 보편적인 수법을 사용해왔다:    외부에 공개된 로그인 정보를 이용하거나 다크웹에서 로그인 정보를 구매하여 공격할 기업의 네트워크에 초기 접근  비밀번호 도용 직원들에게 대가를 지급해 접근 정보 구매  헬프데스크의 도움을 받거나 인증요청을 대량으로 살포해 다중 인증 절차 우회  VPN, 가상 데스크톱, 마이크로소프트 쉐어포인트, 가상 데스크톱 같은 애플리케이션에 로그인해 추가 크리덴셜 및 중요 정보 탈취  지라(Jira), 깃랩(GitLab) 및 컨플루언스(Confluence) 같은 소프트웨어의 미패치 취약점을 악용해 시스템 접근 권한 획득  노드VPN(NordVPN...

랩서스 테너블 랜섬웨어 2일 전

기가몬, ‘2022 랜섬웨어 현황 보고서’ 발표

기가몬(www.gigamon.com/kr)은 전세계 500인 이상 규모 기업의 IT 및 보안 담당자 1,020명을 대상으로 내부자에 의한 위협 증가와 제로트러스트 보안 구현 현황을 조사한 ‘2022 랜섬웨어 현황 보고서(Survey Report: State of Ransomware 2022)’를 발표했다.   기가몬의 ‘2022 랜섬웨어 현황 보고서’에 따르면, 보안담당자에 대한 내부 ‘비난 문화(blame culture)’로 인해 보안 사고 보고를 지체함으로써 중대한 보안 위협 상황으로 이어질 수 있는 것으로 나타났다. 또한 응답자의 59%는 최근 3개월 사이 랜섬웨어 사태가 악화됐고, 95%는 지난해 랜섬웨어 공격을 경험한 적이 있다고 답했다. 그러나 동시에 응답자 중 45%는 보안 투자가 감소하고 있다고 밝혔다. 랜섬웨어 공격 경로로는 피싱(58%), 멀웨어와 같은 컴퓨터 바이러스(56%), 클라우드 애플리케이션(42%) 등이었다. 이 보고서에 따르면 전체 응답자 중 95%(CISO/CIO의 99%)는 악의적인 내부자를 심각한 위험으로 보고 있다. 실제로 랩서스(Lapsus$) 해킹 그룹과 같은 위협 행위자는 기업에 불만을 품고 있는 직원들을 포섭해 기업 네트워크에 액세스하고 있다. 다행히도 내부자 위협을 랜섬웨어의 원인으로 보고 있는 응답자의 66%는 실수로 인한 우발적 위협과 악의적인 위협에 대한 대응하는 전략을 가지고 있는 것으로 나타났다. 그러나 여전히 많은 조직이 어떤 유형의 내부 위협이 비즈니스를 위험에 빠뜨리는지 식별하는 데 필요한 가시성(visibility)이 부족해 위험을 완화시키는데 어려움을 겪고 있다고 밝혔다. 점점 더 많은 조직들이 애플리케이션 레벨에서 보안 및 성능 문제를 모니터링하기 위해 옵저버빌리티(관찰, observability) 장비에 의존하고 있지만, 이러한 툴은 인프라의 네트워크 레벨에 대한 가시성이 부족하기 때문에 보안 위협에 그대로 노출될 수 있다. 이러한 사각 지대를 제거하기 위해 조직은 네트워크 ...

기가몬 2일 전

"USB 악용한 공격 예방" 벤투라의 USB 제한 모드가 중요한 이유와 사용법

과거에는 표준 USB 스토리지 카드를 사용해 맥에서 데이터를 추출하는 것이 산업을 파괴하는 하나의 공격 벡터로 사용됐다. 맬웨어에 감염된 케이블로 컴퓨터를 하이재킹하는 것도 가능했다. 애플은 USB 제한 모드(USB Restricted Mode)를 통해 이런 종류의 사이버 위험에서 (애플 실리콘) 맥 보호를 강화하려 한다.   USB 제한 모드란? 맥OS 벤투라(Ventura)부터 USB 제한 모드라는 새로운 보호 계층이 제공된다. 기본적으로 활성화된 기능이다. 애플 개발자 노트의 설명에 따르면, 이 기능은 다음과 같이 작동한다. “애플 실리콘이 탑재된 휴대용 맥 컴퓨터에서 USB-C 포트에 새로운 USB 및 썬더볼트 액세서리를 직접 연결해 맥OS와 통신하기 전에는 사용자 승인이 필요하다.” 설명이 친숙하게 들릴 수 있다. 이미 아이패드와 아이폰에 존재하는 기능이기 때문이다. 아이폰과 아이패드에서는 그동안 대용량 저장 장치에 대한 지원이 맥보다 항상 뒤쳐져 있으며, 외부 저장 매체를 사용할 수 있었던 것이 불과 iOS 13부터라는 점을 생각하면 주목할 가치가 있다. 맥은 항상 외부 저장 매체를 지원했지만, 애플은 이제서야 애플 실리콘 시스템을 통해 외부 저장 매체 연결을 더욱 안전하게 만들었다.  USB 제한 모드 작동 방법 핵심은 새로운 USB 혹은 썬더볼트를 맥에 연결할 때 사용자가 연결 허용 여부를 결정하는 것이다. 맥이 잠긴 상태라면 최종 사용자가 맥 잠금을 풀어야 컴퓨터가 액세서리 연결을 인식한다. 맥을 한 시간 정도 잠금 상태로 두면 작동한다.  애플의 설명에 따르면, 전원 어댑터나 디스플레이 또는 승인된 허브에 대한 연결에는 적용되지 않는다. 연결된 액세서리의 연결에 대해 ‘허용하지 않음’을 선택하더라도 기기는 계속 충전된다. 즉, 에너지는 흐르되 데이터는 흐르지 않는다는 개념이다. 이 기능이 필요한 이유는 무엇일까? 오늘날 보안 환경은 계속 악화하고 있다. 따라서 USB 제한 모드...

벤투라 USB제한기능 2일 전

모든 파일에 접근할 수 있는 맥OS 취약점 공개 "오래된 OS는 여전히 위험"

애플이 OS 업데이트를 배포했다면 가능한 한 빨리 업데이트하는 것이 좋다. 가장 큰 이유는 중요한 보안 패치가 포함되어 있는 경우가 많기 때문이다. 최근 사이버보안 업체 컴퓨테스트리마인즈(Computestremids)의 보안 연구원 티즈 알케메이드가 공개한 보고서에서도 신속한 업데이트가 중요한 이유를 알 수 있다.   와이어드(Wired)는 맥OS의 저장된 상태 기능에서 취약점이 발견됐다고 보도했다. 이 기능은 맥을 다시 시작하면 열려 있던 앱과 파일이 자동으로 다시 열리는 기능이다. 2020년 12월 이 취약점을 발견한 알케메이드는 맥의 저장된 상태에 대한 프로세스 주입 공격을 성공적으로 수행했다. 그런 다음 몇 가지 다른 맥 보안 기능을 우회해 사용자 파일에 접근하고, 시스템 설정을 변경하고, 심지어 웹캠까지 사용할 수 있었다. 다만 와이어드의 보도에 따르면, 해당 취약점이 실제로 악용된 사례를 발견되지 않았다. 공통 취약점 및 노출 데이터베이스에 CVE-2021-30873로 등록된 취약점은 2021년 10월 25일 출시된 맥OS 몬터레이 12.0.1 업데이트에서 수정됐다. 지원 문서에 따르면, 맥OS 카탈리나의 경우에는 2021년 10월 24일에 배포된 보안 업데이트 2021-007에 같은 취약점에 대한 패치가 포함되어 있다. 하지만 빅서에서 사용할 수 있는 패치는 없는 것으로 보인다. 카탈리나보다 오래된 버전의 맥OS(버전 10.14.6 모하비 및 이전 버전)은 애플에서 지원하지 않거나 더 이상 사용되지 않는 것으로 간주된다. iOS 14.5 및 아이패드OS 14.5에서도 유사한 결함이 패치된 바 있다.  컴퓨테스트는 블로그를 통해 해당 취약점을 이용한 공격에 대해 자세히 설명하고, 애플의 통합 개발 환경(IDE) 앱인 엑스코드(Xcode)를 사용해 수정 사항을 확인할 수 있는 방법을 소개했다. 매우 기술적인 내용이지만 알케메이드는 “SIP의 파일 시스템 제한에서 제외되면 사용자의 Mail.app 사서함과 같은...

맥OS 취약점 버그 2일 전

MS, ‘도그워크’ 제로데이 취약점 패치 권고

마이크로소프트가 ‘도그워크(DogWalk)’ 취약점을 수정한 패치를 릴리즈했다. 이 취약점은 2년 전 처음 발견됐지만 당시 회사 측은 이를 보안 문제로 분류하지 않았다.  이후 마이크로소프트는 위협 행위자가 이 제로데이 보안 취약점을 활발하게 악용하고 있다는 사실을 확인했으며, 이에 모든 윈도우 및 윈도우 서버 사용자에게 가능한 한 빨리 최신 월간 패치 화요일(Patch Tuesday) 업데이트를 받으라고 권고했다.    ‘CVE-2022-34713’ 또는 ‘도그워크(DogWalk)’라고 알려진 해당 취약점을 통해 위협 행위자는 윈도우 MSDT(Microsoft Support Diagnostic Tool)의 취약점을 악용할 수 있다. 공격자는 소셜 엔지니어링 및 피싱을 활용해 사용자를 속여 가짜 웹사이트를 방문하거나 악성 문서/파일을 열게 하고, 최종적으로 손상된 시스템에서 원격 코드를 실행할 수 있다.  도그워크는 최신 클라이언트 및 서버 릴리즈(윈도우 11 및 윈도우 서버 2022)를 포함하여 지원되는 모든 윈도우 버전에 영향을 미친다고 회사 측은 언급했다.  이 취약점은 지난 2020년 1월 처음 보고됐지만 당시 마이크로소프트는 이를 보안 문제로 간주하지 않았다. 최근 몇 달 동안 이 회사에서 이미 발견된 취약점에 관한 기존 입장을 번복한 것은 이번이 두 번째인데, 앞서 폴리나(Follina)로 알려진 또 다른 윈도우 MSDT 제로데이가 보안 위협을 제기한다는 보고도 처음에는 보안 문제로 간주하지 않았다. 해당 취약점 패치는 지난 6월 패치 화요일 업데이트에서 릴리즈됐다.  오렌지 사이버디펜스(Orange Cyberdefense)의 보안 연구 책임자 샤를 반 데어 월트는 “겉보기엔 무해한 확장자를 가진 파일이 악성 페이로드를 전달하는 데 얼마나 자주 그리고 쉽게 사용되는지 감안하지 못한 점은 마이크로소프트가 비난받아 마땅하지만 한편으론 매년 수천 개의 취약점이 보고되고 있기 때문에 취약점을 ...

마이크로소프트 도그워크 제로데이 6일 전

"네트워크 구성 오류로 인한 기업 손실, 연매출의 9%" 티타니아 보고서

네트워크 구성 오류(misconfiguration)로 인해 기업의 연 매출 9%가 손실되는 것으로 나타났다. 네트워크 보안 및 컴플라이언스 업체 티타니아(Titania)의 보고서에 따르면, 네트워크 연결 기기에 대한 감사를 정기적으로 수행하지 않으면 구성 오류가 몇 달 또는 몇 년 동안 조직의 네트워크에 남아 있어 사이버 공격에 취약해질 수 있다. 티타니아는 여러 정부 기관 및 산업 분야의 고위 사이버보안 의사결정권자 160명을 대상으로 진행한 조사 보고서를 최근 발간했다.   티타니아 CEO 필 루이스는 “일반적으로 네트워크는 계획된 활동을 통해 매일 변경될 수 있으므로 구성 드리프트가 발생한다. 방화벽, 라우터, 스위치는 모든 네트워크의 보안에 중추적인 역할을 하므로 조직은 모든 기기를 정기적으로, 이상적으로는 매일 점검해 중대한 보안 위험이 되는 구성 오류가 실수 혹은 고의로 발생하지 않았는지 있는지 확인해야 한다”라고 말했다. 루이스는 “방화벽뿐 아니라 스위치 및 라우팅 기기까지 모든 네트워크 기기를 점검 및 평가하는 조직이 4%에 불과하다는 사실은 본질적인 문제가 있음을 의미한다. 정밀한 자동화 기능이 부족한 결과일 가능성이 크다”라고 덧붙였다. 연구에 따르면, 많은 조직이 네트워크 기기로 인한 위험을 완화하는 우선순위를 결정하는 데 어려움을 겪고 있는 것으로 나타났다. 응답자의 70%가 위험을 기반으로 한 완화 우선순위를 정하는 것이 어렵다고 답했다. 또한 연구팀은 보안 및 컴플라이언스 요구 사항 충족 시 정밀하지 않은 자동화 기능이 가장 중요한 문제임을 발견했다. 루이스는 “취약점 탐지 자동화를 위해 많은 조직이 사용하는 도구는 일상적인 네트워크 보안 점검 프로세스를 효과적이고 효율적으로 만들지 못하고 있다. 여기에는 샘플링 작업이 포함되는데, 궁극적으로 이런 작업으로 인해 네트워크가 탐지되지 않은, 중대한 위험이 될 수 있는 구성 드리프트에 노출된다”라고 지적했다. 하지만 조직은 네트워크 구성 오류를 다루기 꺼릴 수도 있다. ...

보고서 네트워크 구성오류 6일 전

SK쉴더스-중앙대학교, 융합보안 특화 인재 육성 및 채용 위한 산학협력 MOU 체결

SK쉴더스가 중앙대학교와 우수 융합보안 인재 육성 및 채용을 위한 산학협력 업무협약(MOU)을 체결했다고 밝혔다.   이번 협약을 통해 SK쉴더스는 중앙대학교 산업보안학과 학생을 대상으로 ▲재학생 대상 채용 연계형 프로그램 구축 ▲현장 맞춤형 교육 프로그램 지원 ▲재직자 대상 보안 교육 프로그램(Security Expert Program) 공동 운영 ▲보안 거버넌스 및 관리체계 운영자문 및 컨설팅 지원 등을 제공할 계획이다. 이 외에도 양자 상호 간 보안 주제에 대한 공동연구와 정보교류에도 협력해 나갈 예정이다. 또한 보안 관련 산학협력 사업에도 앞장서며 산업보안, 정보보안, 융합보안을 아우르는 보안 산업 발전을 위한 교육 및 연구 활성화에도 적극 동참한다. SK쉴더스는 그 동안 실무형 보안 인재 양성을 지원하며, 사회적 가치를 창출하는 ESG 경영 활동을 추진해 왔다. 아주대학교, 숭실대학교, 한국공학대학교 등 국내 유수의 보안 관련 학과와의 산학협력 업무협약 체결을 통해 지식과 실무 능력을 두루 갖춘 보안 인재 육성에 앞장서고 있다. 국내 대표 융합보안 사업자로서 전문 인프라와 인력, 노하우를 중심으로 현장에 바로 투입될 수 있는 인재를 양성해 나간다는 목표다. SK쉴더스 김태헌 인재지원그룹장은 “보안 산업계가 요구하는 창의성과 실무 기술력을 보유한 인재가 육성될 수 있도록 SK쉴더스와 중앙대학교가 채용부터 육성까지 세부분야에서 상호 협력해 나갈 것”이라며 “미래 보안 산업을 리딩하는 핵심 인재 육성에 토대가 되길 바란다”고 밝혔다. 중앙대학교 이주락 산업보안학과장은 “산업보안학과 학생들이 New ICT 기술을 통해 라이프 케어 플랫폼 기업으로 성장하는 SK쉴더스와 시너지를 낼 수 있는 분야가 다양할 것으로 기대한다”며 “앞으로도 SK쉴더스와의 긴밀한 협력을 통해 융합보안 인재 양성과 기술 개발에도 적극 나서겠다”고 말했다. editor@itworld.co.kr

SK쉴더스 중앙대학교 7일 전

멘로시큐리티, ‘랜섬웨어 공격 및 대비 현황’ 보고서 발표..."피해 복구 비용은 평균 32만 달러"

멘로시큐리티는 기업 보안 의사 결정권자들의 랜섬웨어 공격 및 대비 현황을 조사한 ‘2022 임팩트: 랜섬웨어 공격 및 대비 현황(2022 Impacts: Ransomware attacks and preparedness)’ 보고서를 발표했다.   멘로시큐리티의 연구 보고서에 따르면 랜섬웨어 공격이 여전한 것으로 나타났다. 최근 설문 조사에 따르면 기업의 1/3이 적어도 일주일에 한 번 랜섬웨어 공격을 경험하고 10명 중 1명은 하루에 한 번 이상 랜섬웨어 공격을 경험하는 것으로 나타났다. 이번 연구에는 미국과 영국에서 1,000명 이상의 직원들이 근무하는 조직의 IT 보안 의사 결정권자 505명이 응답했다. 특히, 이번 연구는 보안 전문가들의 고민 등 웰빙(삶의 만족도)에 미치는 영향을 조사했으며, 밤에 깨어 있게 만드는 이유가 무엇인지 묻는 질문에 응답자의 41%는 랜섬웨어 공격이 팀의 지식과 기술을 넘어 진화하는 것에 대해 걱정한다고 답했으며, 39%는 기업의 보안 역량을 넘어 진화하는 것에 대해 걱정한다고 답했다. 그러나 보안 담당자들의 가장 큰 고민은 직원들이 기업의 보안 조언을 무시하고 악성 코드가 포함된 링크나 첨부 파일을 클릭할 위험(46%)이었다. 응답자의 1/4(26%)만이 고용안전성과 관련된 실직하게 될 것을 걱정했다. 보고서에 따르면 기업의 약 절반(미국 61%, 영국 44%)이 지난 18개월 동안 랜섬웨어 공격을 받은 피해자였으며, 고객과 잠재 고객이 공격자들의 진입점일 가능성이 가장 높은 것으로 나타났다. 파트너/공급업체 및 직원/계약 업체들도 심각한 보안 위험으로 간주되지만 10명 중 1명은 공격이 어떻게 유입되었는지 정확히 식별할 수 없다고 답했다. 상위 3개 랜섬웨어 공격 벡터는 이메일(54%), 데스크톱이나 노트북에서 사용하는 웹 브라우저(49%), 모바일 기기(39%) 순이었다. 보안 전문가들은 랜섬웨어 공격으로부터 복구하는 데 들어갈 것으로 예상하는 비용과 실제 복구 비용 사이에 격차가 크다는 점을 주목했다....

멘로시큐리티 랜섬웨어 피해복구 7일 전

"AWS vs. GCP vs. 애저" 클라우드 보안 기능 승자는?

최고 정보 보호 책임자(CISO)가 클라우드 서비스 업체(CSP)의 보안을 평가할 때 결국 2가지 질문으로 압축된다. 첫째는 '업체의 자체 인프라를 가장 잘 보호하는 업체는 어디인가'이고 둘째는 '서비스 사용 기업의 데이터와 애플리케이션을 가장 잘 보호하는 업체는 어디인가'다.   퍼블릭 클라우드의 보안은 ‘공동 책임 모델(shared responsibility model)’을 기반으로 한다. 클라우드 서비스 공급자의 역할(플랫폼 보안)과 사용자의 역할(클라우드 내 자산 보호)을 구분할 수 있는 개념이다. 이론적으로는 그럴듯해 보이지만, 실제로 CISO가 단일 클라우드 서비스만 사용할 때는 까다롭고, 멀티 클라우드 환경으로 가면 기하급수적으로 난해해진다. 베테랑 보안 전문가 앤디 엘리스는 “명확하고 단순해 보인다. 하지만 모든 명확하고 간단한 비유가 그렇듯 이 역시 구체적으로 확인할 수는 없다. 실제로 기업이 클라우드 플랫폼과 그 위에서 실행되는 응용 프로그램 간의 상호 연결을 구체적으로 파악하기 어렵다. 그래서 결국 실제로 애플리케이션 보안에 있어 가장 중요한 것은 사용자인 기업이 클라우드 서비스를 어떻게 구성하느냐다. 이 구성 방법에 따라 기업은 수많은 문제에 직면할 수 있다"라고 말했다. 그런데 클라우드 서비스 공급자의 책임과 사용자의 역할을 구분하는 이 견고한 벽이 무너지기 시작했다. 엔터프라이즈 스트래티지 그룹(Enterprise Strategy Group) ESG의 수석 애널리스트인 멜린다 막스는 "클라우드 서비스 업체는 공동 책임 모델의 단점을 인식하고 있다. 경쟁사와 차별화하기 위해 고객과의 파트너십 관계를 더 발전시키려 노력하고 있다"라고 말했다. 그렇다면 아마존 AWS, 마이크로소프트 애저(Azure), 구글 클라우드(Cloud) 등 빅3 클라우드 서비스 업체는 이런 문제를 어떻게 해결하고 있을까? 여기서는 CISO가 안전하고 탄력적인 클라우드 플랫폼을 선택할 수 있도록 주요 업체의 보안 기능을 비교해 본다. 일단 세큐로시스...

클라우드 보안 AWS GCP 7일 전

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.