맬웨어
"뜨거웠던 7월" 주요 보안 이슈 살펴보기
여름 휴가철에도 해커는 쉬지 않는다. 보안 연구진 또한 해커를 추적하고 (해커가) 악용할 수 있는 경로를 파헤치느라 바쁘다. 맬웨어가 포함된 구글 플레이 앱부터 러시아의 클라우드 스토리지 서비스 하이재킹, 옥타 플랫폼의 결함 아닌 결함까지 지난 7월 한 달 동안 흥미로웠던 몇 가지 보안 연구 결과를 소개한다. 가짜 안드로이드 앱이 여전히 판치는 구글 플레이 신뢰할 수 있는 앱 출처라고 하면 당연히 안전한 모바일 애플리케이션을 다운로드 받는다고 생각한다. 하지만 안타깝게도 항상 그런 건 아니다. 새롭게 불거진 문제는 아니지만 지스케일러 쓰레트랩(Zscaler ThreatLabz)과 프라데오(Pradeo)의 최근 보고서는 구글의 앱 스토어 ‘구글 플레이(Google Play)’에서 맬웨어가 포함된 안드로이드 앱이 계속 발견되고 있다고 밝혔다. 보고서에 따르면 조커(Joker), 페이스스틸러(Facestealer), 코퍼(Coper) 등의 맬웨어 제품군이 여러 앱 인스턴스에서 포착됐다. 지스케일러의 연구원 바이럴 간디와 히만슈 샤르마는 보고서에서 “조커는 안드로이드 기기를 표적으로 하는 맬웨어 중 하나다. 이미 널리 알려진 악성코드이긴 하지만 이는 코드, 실행 방법, 페이로드 검색 기술을 업데이트하는 등 맬웨어의 시그니처를 정기적으로 수정하면서 구글의 앱 스토어에 계속 침투하고 있다”라고 설명했다. 연구진은 즉시 이를 구글에 알렸고, 구글은 이 악성 앱을 제거하기 위한 조치를 취했다. 한편 본인을 시스템 관리자, 사이버 보안 애널리스트, 침투 테스터 및 개발자라고 밝힌 아론 락스(@MAST3R0x1A4)는 트위터와 링크드인에서 “구글처럼 규모가 크고 #플레이스토어를 운영하는 기업이 어떻게 이런 광범위한 맬웨어 배포를 계속 허용할 수 있는지 정말 이해할 수 없다”라고 지적했다. 맬웨어의 통로 역할을 한 클라우드 스토리지 서비스 7월은 구글의 제품 및 보안에 썩 좋지 않...
‘페이스북 비즈니스 계정만 노린다’…새 공격 수법 ‘덕테일’ 발견
핀란드의 한 사이버보안 업체가 페이스북 비즈니스 계정 사용자만 노리는 새로운 유형의 스피어 피싱 맬웨어를 발견해 주의를 당부했다. 핀란드 사이버보안 업체 위드시큐어(WithSecure)가 소셜 미디어 계정을 악용하는 새로운 스피어 피싱 수법을 발견했다고 최근 한 보고서에서 밝혔다. ‘덕테일(Ducktail)’이라고 명명된 이 맬웨어는 페이스북 비즈니스 계정 이용자를 겨냥한다. 연구 결과, 공격자는 한 베트남 해커로 밝혀졌으며, 페이스북 비즈니스 계정에 접근 권한을 가진 관리자의 링크드인 계정으로 맬웨어 메시지를 보내 계정 권한을 탈취했다. 또한 해커는 공격 대상의 이메일 주소로 악성코드가 담긴 이메일을 전송하기도 한다고 연구진은 말했다. 위드시큐어의 설명에 따르면, 이 공격 수법이 특별히 위험한 이유는 해당 해커가 페이스북 비즈니스 계정의 접근 권한을 탈취하고자 인포스틸러(Infostealer)라는 전용 맬웨어 컴포넌트를 개발했기 때문이다. 기존 공격 수업은 특정 사용자만 겨냥하지는 않았다. 공격 대상이 악성 링크를 열면 인포스틸러 맬웨어가 컴퓨터에 설치되어 시스템에 침투한다. 따라서 브라우저 캐시에서 페이스북 비즈니스 계정 접근 권한과 관련된 정보를 추출할 수 있다. 또한 공격 대상의 컴퓨터에 설치되는 맬웨어에는 텔레그램 봇이 포함되어 있다. 해커는 이를 마치 C&C 센터처럼 활용해 탈취한 정보를 자신에게 전송한다. 연구진에 따르면, 해커는 이 맬웨어로 페이스북 광고 계정을 해킹함은 물론, 수많은 개인 데이터에 접근할 수 있다. 이중 인증(2FA) 코드, IP 주소와 GPS 정보를 비롯해 신용카드 번호 같은 세부적인 금융 정보까지 포함된다고 보고서는 설명했다. 덕테일 맬웨어의 공격 수법이 위험한 이유는 특정 사용자만 겨냥해서다. 위드시큐어 연구원 모하마드 카젬 하산 네자드는 보고서를 발표하며 "덕테일 해커가 공격의 성공률을 높이면서도 적발되지...
“의료기관 노린다” 미국 FBI, 마우이 랜섬웨어 경고
美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 악성코드를 사용해 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다. FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 설명했다. 연방기관이 주의보를 발령한 가운데, 위협 사냥, 탐지, 대응 전문업체 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면, 마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보인다. 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 업체 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 평가했다. 시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이라는 것이다. 그는 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다. 이는 중요한 파일만 표적으로 삼고 복구할 수 있게 하며, 운영체제 파일이 암호화됐을 때도 전체...
“다음 먹잇감은 서버리스” AWS 람다 노리는 암호화폐 채굴 악성코드 등장
악성코드 제작자는 서버 지향적인 악성코드에 있어서는 시대의 변화를 놓치지 않는다. 특히 공격자는 자신이 노리는 기업이나 기관이 사용하는 기술을 적극적으로 도입한다. 최근 AWS 람다에서 동작하도록 만들어진 암호화폐 채굴 악성코드가 발견된 것도 이런 맥락에서 볼 수 있다. AWS 람다는 서버리스 컴퓨팅 플랫폼으로, 사용자가 제공하는 애플리케이션 코드를 온디맨드 방식으로 실행한다. 카도 시큐리티(Cado Security)의 연구팀은 보고서를 통해 “첫 샘플은 암호화폐 채굴 소프트웨어를 실행할 뿐이라 비교적 무해한 편이지만, 공격자가 첨단 클라우드 전문 지식을 사용해 복잡한 클라우드 인프라를 어떻게 악용하는지를 잘 보여준다. 미래에 일어날 수 있는 더 사악한 공격의 신호가 될 수 있다”고 설명했다. 이번에 발견된 데노니아(Denonia)라는 악성 코드는 구글의 고 언어로 작성되었으며, 리눅스용 64비트 ELF 실행 파일을 전달한다. 카도의 연구팀은 악성코드가 전달되는 방식에 대해서는 아직 정보가 없지만, 손상된 AWS 접근 인증서와 비밀키가 이용되었을 것으로 추측한다. 고 언어로 작성된 악성코드는 최근 몇 년 동안 증가 추세인데, 크로스 플랫폼 특성과 자체 실행 특성을 가진 악성코드를 만들기 쉽기 때문이다. 단점이라면 프로그램 실행에 필요한 모든 라이브러리를 포함해야 하기 때문에 바이너리 파일이 제법 크다. 또한 서버리스 컴퓨팅 플랫폼 자체도 여러 프로그램 언어로 작성된 코드를 지원하도록 만들어지기 때문에 악성코드를 배치하기 쉽다. AWS 람다는 자바, 고, 파워셸, Node.js, C#, 파이썬, 루비를 기본적으로 지원한다. 데노니아는 확실히 AWS 람다를 염두에 두고 만들어진 것으로, AWS가 자체적으로 만든 서드파티 오픈소스 고 라이브러리인 aws-sdk-go와 aws-lambda-go가 포함되어 있다. 더구나 실행될 때 LAMBDA_SERVER_PORT나 AWS_LAMBDA_RUNTIME_API 같은 특정 람다 환...
애플 M1칩 노린 맬웨어 '실버 스패로우'…150개국 3만 대 감염 추정
맥 세계에는 좀처럼 바이러스가 없다. 최근 맥과 관련된 바이러스가 발견됐지만 역시 큰 피해는 없다. 보안 전문 리서치 업체 레드 카나리아가 150개국의 2만 9,139대 이상의 맥을 감염시킨 활동 클러스터에 대한 정보를 발표했지만 여기에도 한 가지 필수 항목이 빠져 있었다. 바로 바이러스의 ‘피해 여부’다. 보고서에서 레드 카나리아와 맬웨어바이츠(Malwarebytes)는 ‘실버 스패로우(Silver Sparrow)’라는 이름의 최근 발견된 일련의 맥OS 맬웨어가 인텔과 애플 실리콘 프로세서를 대상으로 활동한다고 발표했다. 이들 업체는 실버 스패로우가 그간 맥OS를 겨냥한 일반적인 애드웨어의 행태를 보이지는 않지만 그럼에도 심각한 위협으로 볼 합리적인 이유가 충분하다고 밝혔다. 즉, 직접적인 피해는 없다는 의미다. 이미 수천, 수만 대의 맥이 바이러스에 감염됐을 가능성이 높은 상황임을 감안하면 물론 발표 내용을 전적으로 신뢰할 수는 없지만, 그럼에도 복수 기관의 조사나 발표 내용을 보면 실버 스패로우라는 새로운 바이러스는 “불시에 영향력이 큰 페이로드를 배포할 수 있는 위치에서 발견”되었음이 확실한 것으로 보인다. 애플은 바이러스 전파를 허용한 개발자 인증서를 즉시 취소했다. 레드 카나리아는 바이러스가 단시간에 많은 맥에 퍼진 이유를 알아내지는 못했지만, 이 바이러스는 악성 맥OS 애드웨어의 일반적인 속성을 지니고 있다. 악의적인 의도가 바로 보이지는 않았지만 레드 카나리아는 칩의 호환성, 전 세계적 감염 규모와 비교적 높은 감염률, 운영 성숙도로 미루어 볼 때 실버 스패로우가 시스템에 해로울 가능성이 매우 높다고 경고했다. 애플 M1 칩은 실버 스패로우 이전에도 맬웨어 감염 사례가 있었다. 지난주 보안 전문가 패트릭 워들은 맥북 에어, 맥북 프로, 맥 미니에 탑재된 M1 칩을 겨냥해 특별히 컴파일된 애드웨어를 보고했다. 애플은 이 애드웨어와 관련된 인증서도 즉시 취소했다. 실버 스패로우의 내부 작동 방식은 레드 카나리아의 블로그에 상...
인텔, 타이거 레이크 프로세서에 악성코드 방지 기능 내장…인메모리 공격 차단
인텔이 차세대 타이거 레이크(Tiger Lake) 프로세서 자체에 악성 앱의 운영 방법을 방해하는 보안 기능을 탑재한다. 기존 방식을 따르면, 타이거 프로세서를 가장 먼저 탑재하는 것은 모바일 디바이스가 될 것이다. 지난 20년 동안 인텔은 모바일, 데스크톱, 그리고 서버 프로세서의 순으로 차세대 프로세서를 공개했는데, 서버 프로세서가 마지막 차례인 것은 데스크톱 프로세서에 서버용 명령어를 결합해야 하기 때문이다. 더구나 대부분 기업은 신형 프로세서를 함부로 서버에 사용하지 않는다. 타이거 레이크 프로세서의 성능을 둘러싼 논란이 적지 않다. 인텔이 내장 GPU의 성능이 엔비디아나 AMD의 별도 GPU와 견줄 만하다고 주장하기 때문이다. 이와는 별개로 보안 측면에서는 타이거 레이크에 큰 변화가 있는데, 바로 CET(Control-Flow Enforcement Technology)가 추가된 것이다. CET는 CPU 내부에서 실행되는 동작의 순서를 담당한다. 맬웨어는 취약점을 이용해 다른 앱의 제어 흐름을 가로채 악성코드를 앱에 삽입하는데, 유효한 애플리케이션의 일부로 실행되기 때문에 소프트웨어 기반의 안티바이러스 프로그램이 탐지하기 어렵다. 인메모리 공격이 바로 이렇게 이루어지는데, 악성 코드를 디스크에 기록하지는 않는다. 인텔은 트렌드마이크로의 제로데이 이니셔티브를 인용해 2019년부터 현재까지 공개된 취약점 1.097건 중 63.2%가 메모리의 안전과 관련된 것이라고 지적했다. 인텔 클라이언트 컴퓨팅 그룹 부사장이자 보안 전략 담당 총괄 책임자인 톰 개리슨은 블로그 포스트를 통해 “성능에 최소한을 영향을 미치면서 효과적인 보안 기능을 제공하기 위해 기반부터 깊이 있는 하드웨어 통합을 적용했다”며, “이번 작업이 보여주듯 하드웨어는 어떤 보안 솔루션에도 기반을 제공한다. 하드웨어에 뿌리를 둔 보안 솔루션은 현재와 미래의 위협에 대한 보안을 보장할 가능성이 가장 크다”고 강조했다. CET는 두 가지 새로운 보안 메커니즘을 통해 제어 흐름을 ...
'해킹이 국가 재난 될 수 있다' 인도 핵발전소 해킹 사건의 전말
민간 기반시설 공격은 전쟁 범죄가 맞다. 그런데 세계 각국의 첩보원들은 민간 기반시설(예: 에너지를 생산하는 민간 핵발전소)에 침투해 사전 배치하기 위한 소리 없고 비열한 전쟁을 치르고 있다. 지정학적 긴장이 발생하는 동안 파괴 공작을 저지르기 위해서다. 다음은 인도의 쿠당쿨람 핵발전소(Kudankulam Nuclear Power Plant, KNPP) 해킹 사건이 어떻게 발생했으며 어떻게 쉽게 예방할 수도 있었는지에 대한 설명이다. KNPP 해킹 사건 소식이 알려진 것은 요즘에는 흔히 그렇듯 트위터를 통해서였다. 뉴 인디언 익스프레스(The New Indian Express)에 따르면, ‘저명한 사이버 첩보 전문가’이자 ‘인도 국립기술연구조직(NTRO)의 사이버전 작전 센터 수립에 중요한 역할’을 한 푸크라 싱은 본인의 트위터 계정에 다음과 같은 글을 올렸다. “자, 이제 공개된 사실이다. KNPP에 도메인 컨트롤러 수준 접근 발생. 정부는 이미 오래전에 이 사실을 통보받았다. 임무 수행에 지극히 중요한 목표물이 공격받았다.” 그는 인용 트윗에서 이 공격에 대해 2019년 9월 7일부터 이미 알고 있었다면서 ‘전쟁 명분(causus belli)’(전쟁을 도발할 정도로 심각한 공격)이라고 규정했다. 싱은 그 이후 트윗에서 본인이 직접 악성코드를 발견한 것은 아니라고 밝혔다. 제3자가 “본인에게 연락을 취했고 나는 9월 4일(날짜가 중요)에 국가사이버보안담당자(NCSC)에게 통보했다. 제3자는 그 후 침해지표(IoC)들을 NCSC 사무실과 공유했다. 카스퍼스키는 이를 나중에 보고했고 디트랙(DTrack)이라고 불렀다.” 인도 핵발전소공사는 처음에 이 사실을 부인했다. 보도자료를 통해, SNS에 나돌고 있는 ‘잘못된 정보’라고 매도했으며 KNPP 핵발전소는 “독자적인 네트워크로, 외부 사이버 네트워크와 인터넷에 연결되어 있지 않아 핵발전소 제어 시스템에 대한 사이버 공격은 불가능하다”라고 주장했다. 그러나 나중에 이 주장을 철회했...
이셋, 신종 악성코드 2건 발견
이셋코리아는 신종 악성코드 2종 ‘미스파두(Mispadu)’와 ‘디프리몬(DePriMon)’을 발견했다고 발표했다. 미스파두는 가짜 팝업창을 사용해 잠재적인 피해자가 자신의 개인정보와 자격증명을 공유하도록 유도한다. 브라질과 멕시코에서 주로 발견되는 미스파두 뱅킹 트로이목마에는 백도어 기능이 포함돼 있으며 스크린샷을 찍고 마우스 및 키보드 동작을 시뮬레이션하며 키 입력을 캡쳐할 수 있다. 이셋 연구팀은 미스파두가 스팸과 악성 광고라는 두 가지 배포 방법을 사용하고 있다고 밝혔다. 페이스북에 맥도날드의 가짜 할인쿠폰을 제공하는 스폰서 광고를 게재했고 이 광고를 클릭하면 악성 웹 페이지로 연결돼 msi 설치 프로그램이 포함된 zip 파일을 다운로드하게 되는 것이다. 이 파일을 실행하면 3개의 스크립트 체인을 통해 미스파두 뱅킹 트로이목마가 다운로드 및 실행된다. 이 트로이목마는 웹 브라우저 및 이메일 클라이언트에서 피해자의 저장된 자격 증명을 추출한다. 브라질에서는 미스파두가 크롬 확장 프로그램을 배포하는 것으로 위장했다. 이 확장 프로그램은 “크롬을 보호하세요”라고 광고하지만, 신용카드 및 온라인 뱅킹 데이터를 도용하려고 시도하는 것이다. 또다른 악성코드 디프리몬는 2017년 3월부터 활성화돼, 중부 유럽에 위치한 민간기업과 중동 지역 수십 대의 컴퓨터에서 탐지됐다. 이는 “Default Print Monitor”라는 이름으로 새로운 로컬 포트 모니터를 등록해 디프리몬(DePriMon)으로 명명됐다. 메모리에 다운로드돼 직접 실행되는 반사형 DLL 로딩 기술을 사용하고, 디스크에는 저장되지 않는다. 흥미로운 요소가 포함된 광범위한 파일로 구성돼 있으며, 암호화가 적절하게 이뤄져 있다. 결과적으로 디프리몬은 페이로드 다운로드 및 실행과 동시에 시스템과 사용자에 대한 기본 정보를 수집한다. editor@itworld.co.kr
구글 플레이 스토어, 새로운 앱 디펜스 연합으로 보안 오명 벗는다
안드로이드는 플레이 스토어에서 이른바 ‘악당’들과 긴 싸움을 벌여왔다. 구글이 플레이 스토어 내부로 들어오는 모든 악성 앱을 막지는 못한다. 그래서 구글이 내세운 대안은 모바일 보안 분야의 주요 업체와 손 잡고 '앱 디펜스 연합(App Defense Alliance)'을 결성하는 것이다. 새로운 연합에는 구글, ESET, 룩아웃(Lookout), 짐페리엄(Zimperium)이 참여해 안드로이드의 악성코드 검사기인 플레이 프로텍트(Play Protect)를 강화한다. 안드로이드 8 오레오부터 적용된 이 기능은 꽤 효과가 있는 것으로 평가된다. 백그라운드에서 동작하는 플레이 프로텍트는 플레이 스토어의 앱과 사용자의 안드로이드 폰에 설치된 앱을 정기적으로 검사해 사용자에게 악성코드의 존재 여부를 알려준다. 한 가지 문제라면, 스캐너의 성능이 그다지 좋지 않다는 것. AV-Test의 격월 안티바이러스 리뷰에 따르면, 플레이 프로텍트의 점수는 보호 기능과 사용자 편의성 모두 꼴찌로, 최신 안드로이드 악성코드 공격의 55%를 인식하는 데 그쳤다. 업계 평균은 97%이다. 새로운 앱 디펜스 연합은 이 수치를 확실히 끌어올릴 것으로 보인다. 구글은 블로그 포스트를 통해 이번 협력으로 “각 협력업체의 검사 엔진을 구글 플레이 프로텍트 탐지 시스템과 통합할 예정”이기 때문이다. 새로운 앱 위험 정보도 생성된다. 협력업체는 데이터세트를 분석하고 앱이 플레이 스토어에 등록되기 전에 감시하는 또 하나의 눈으로 활동한다”고 설명했다. 분명 악성 앱이 사용자의 안드로이드 폰을 감염시키기 전에 추정하고 특정해 차단할 강력한 시스템이 될 것이다. 구글은 “이들 협력업체를 잠재적 위협 탐지 실적과 생태계 개선에 대한 기여를 기준으로 공들여 선정했다”고 강조했다. 새로운 시스템은 머신러닝과 정적/동적 분석의 조합을 사용해 악당이 플레이 스토어를 덮치기 전에 집어낸다. 구글은 새 시스템이 개별 스마트폰에서도 동작하는지는 밝히지 않았지만, 악성코드가 플레이 스토어에 도달하는 ...
안티바이러스 소프트웨어에 돈을 쓸 필요가 없는 이유
이제 더 이상 안티바이러스 소프트웨어에 돈을 쓸 필요가 없다. 마이크로소프트의 윈도우 디펜더는 윈도우 10에 내장된 무료 서비스이고 지금까지 돈을 내고 사용했던 유료 안티바이러스/맬웨어 솔루션만큼이나 우수하다. PC 사용자는 2가지 이유 때문에 안티바이러스 소프트웨어에 돈을 지불했다. 무료 대안 소프트웨어가 희소했고, 마이크로소프트는 윈도우를 통해 최소한의 보호만을 제공하며, 안티바이러스 범주를 노턴, 카스퍼스키 같은 서드파티 업체에게 넘겨버렸다. 윈도우의 최초 안티맬웨어 프로젝트는 지극히 참담해서 AV컴패러티브(AV-comparatives.org), AV테스트(AV-test.org)같은 테스트 기관은 윈도우 디펜더를 기본적 성능 수준으로 이용할 정도였다. 한마디로 쓸모 없는 제품이었던 것이다. 예를 들어 2013년 12월 AV테스트는 23개의 안티바이러스 업체가 윈도우 8.1 상에서 현실세계의 악성 코드 샘플을 얼마나 잘 방어하는지 테스트했다. 마이크로소프트는 꼴지를 차지했다. 그 즈음부터 마이크로소프트는 엔드포인트 보안을 진지하게 취급하기 시작했다. 2019년 윈도우 10에 무료로 내장된 마이크로소프트의 윈도우 디펜더 안티바이러스는 유료 서비스를 빈번하게 앞지른다. 참고로 윈도우는 윈도우 디펜더 안티바이러스를 윈도우 방화벽 등을 포함하는 윈도우 시큐리티라는 패키지에 넣어 일률적으로 취급한다. 이는 완벽하지 않다. 정당한 앱을 악성코드로 오인하는 긍정 오류 발생률이 높을 수 있다. 또한, 한 테스트에서는 특히 보급형 PC를 느리게 만드는 것으로 나타났다. 1년에 60달러 이상을 지불하느니 차라리 이를 감수하는 것이 나은지는 스스로 결정할 일이다. 필자는 여전히 최고의 안티바이러스 앱들을 리뷰한다. 그리고 최고의 안티바이러스를 선택해야 할 몇 가지 이유가 여전히 존재한다. 잠시 후 이를 논의할 것이다. 그러나 우선 윈도우 디펜더가 얼마나 발전했는지 고찰하고, 제 1의 안티바이러스 제품이 될 자격이 있는지부터...
“안드로이드는 보안에 취약해?” 잘못된 상식을 깨뜨릴 5가지 보안 점검 질문
요즘 IT 뉴스를 아주 자세히 들여다보지는 않았지만, 필자는 어떤 사악한 소리를 내는 가상의 그렘린이나 괴물들이 내 스마트폰에 침입해서 개인정보를 훔치고, 평생 두려움과 절망에 빠지게 만들 것 같은 의심을 남몰래 하고 있다. 그 괴물은 심지어 바로 지금 우리 집 부엌에서 과자를 훔쳐 먹고 있을 지도 모른다. 그 맛있는 과자를 전부 말이다! 굳이 신문의 헤드라인을 아주 세심하게 훑어보지 않아도 이런 사고가 일어날 수 있는 가능성이 꽤 크다는 것은 누구나 안다. 격주로 여기 안드로이드 세계에서 발생하는 사고이기 때문이다. 한 달에 확실히 몇 번은 우스꽝스러운 이름을 한, 끔찍해 보이는 새로운 악성코드가 우리의 휴대폰과 삶으로 진격해오고는 한다. (독사와 쥐를 의미하는 바이퍼랫(ViperRat)! 사막 전갈을 말하는 데저트 스콜피온! 공포영화 제목에서 따온 우가-부가-미니-몬스터(Ooga-Booga-Meanie-Monster)!) 그렇지는 않더라도 설득력 있게 들리는 이러한 이야기들을 여러 번 들어는 봤을 것이다. (맞다. 우가-부가-미니-몬스터는 내가 방금 만든 말일지 모르지만, 흔한 명칭이다. 우리가 그 이름을 사용하는 것을 보는 것은 시간 문제에 불과할 것이다.) 현실에서는 기업의 마케팅 부서가 이 괴물들을 거의 매번 찾아내서, 신중하게 이름을 붙이고 고의적으로 다시 풀어준다. 이 부서의 수익은 사용자의 휴대폰이 항상 공격을 받고 있다는 생각을 심어주는 데서 나온다. 공포는 야단스러운 홍보의 수단이다. 평이하고 단순하지만 꽤 뻔뻔스러운 홍보인 셈이다. 하지만 이 글을 읽는 당신은 아무것도 모른 채 순진하게 스마트폰을 들고 다니는 대중보다는 한 발 앞서 있는 셈이다. 안드로이드 전화기를 사용하면서 가장 높은 위험에 처해있는 사람들, 그리고 포켓몬을 하는 사람들보다는 말이다. 우리는 어떤 악랄한 안드로이드 악성코드에 감염되는 것이 아니라, 두려움에서 이익을 얻어내려는 기업들이 만들어내는 선정적인 공포 캠페인에 속아넘어가는 것이다. 다...
“디지털 라이프를 안전하게” 간편한 가상 윈도우 PC ‘윈도우 샌드박스’ 사용법
마이크로소프트는 윈도우 10 2019년 5월 업데이트에 사용이 간편한 윈도우 샌드박스를 도입하면서, 이를 신뢰할 수 없는 애플리케이션 테스트용 ‘안전 지대’ 이상으로 포지셔닝하고 있다. 일반적으로 윈도우 샌드박스를 이용하거나 PC 앱을 샌드박스 처리하면, 악성코드일 가능성이 있는 유틸리티, 확신이 들지 않는 웹사이트를 시험해볼 수 있다. 잠재적으로 위험할 수 있는 요소가 남을 수도 있지만, 샌드박스를 이용하면 조금 더 모험을 할 수 있다. 윈도우 샌드박스는 완전히 처음부터 안전한 ‘윈도우 속 윈도우’ 가상 머신 환경을 생성하고, 이를 ‘진짜’ PC 환경과 분리한다. 안전하게 브라우저를 열어 서핑을 하고, 앱을 다운로드 받고, 심지어 방문해서는 안 될 웹사이트도 방문할 수 있다. 또 샌드박스에는 가상 PC 안과 밖으로 파일을 복사해 이동할 수 있는 기능이 포함되어 있다. 즉, 안전하다고 확신하는 경우, 격리 상태를 해제할 수 있다. 또 언제든지 윈도우 샌드박스를 종료할 수 있다. 종료를 하면, 남은 모든 것이 완전히 삭제된다. 악성 웹사이트가 샌드박스 환경에 악성코드를 퍼 부은 경우에도, 단 한 번의 클릭으로 종료를 시키면 윈도우 설치판에는 어떤 위험도 초래되지 않는다. 다음에는 새 샌드박스 버전을 실행하면 된다. 그러면 깨끗한 초기 상태의 윈도우 10 환경이 실행된다. 이 기능을 사용하기 위해 또 다른 윈도우 사본을 구입할 필요는 없지만, 윈도우 10 프로와 엔터프라이즈에서만 지원되는 기능이다. 홈 버전은 샌드박스 기능을 제공하지 않는다. 지금부터 윈도우 샌드박스를 이용하기 위해 알아야 할 내용들을 소개한다. 윈도우 샌드박스 시작하기 기술적으로 윈도우 샌드박스는 개발자와 연구원들이 통제된 환경에서 새 소프트웨어를 테스트할 때 종종 사용하는 도구인 가상 머신, ‘가벼운’ 가상 머신이다. 가상화로 기존 윈도우 PC 내에 운...
"윈도우 XP, 윈도우 서버 2003 버리지 않아" MS, 원격 코드 실행 취약점 필수 패치 발행
윈도우 XP의 수명은 다했을지 모르지만, 웜 바이러스에 방치되지는 않는다. 어제 날짜로 마이크로소프트는 사용자에게 윈도우 XP를 위험에 처하게 할 수 있는 원격 코드 실행 취약점에 대한 필수 패치를 적용하라고 권고했다. 일반적인 주의로는 부족하다. 이번 익스플로잇은 사용자가 어떤 특정한 행동을 하지 않아도 기기가 위험에 노출될 수 있다. 마이크로소프트의 사이먼 포프는 “즉, 이번 패치는 “웜 감염 가능”한 취약성에 대한 것인데, 향후 어떤 맬웨어가 이 취약성을 악용해 취약한 컴퓨터에서 다른 취약한 컴퓨터로, 마치 2017년 전 세계를 강타한 워너크라이 맬웨어처럼 빠르게 바이러스를 퍼뜨릴 수 있다”고 설명헀다. PC를 사용할 수 없게 하고 데이터를 인질로 잡아 잠금 해제 비용을 요구하는 워너크라이의 선례를 본 마이크로소프트는 2개의 만료된 운영체제, 즉 윈도우 XP와 윈도우 서버 2003에 대한 중요 보안 패치를 이례적으로 공개했다. 또, 윈도우 7, 윈도우 서버 2008, 윈도우 서버 2008 R2 대상으로도 운영체제 원격 데스크톱 서비스를 목적으로 하는 새로운 보안 취약점 악용을 방지하기 위해 중요 패치 업데이트가 발행됐다. 포프는 실제로 취약점이 악용된 사례를 발견하지는 못했지만, 악의적인 공격자가 취약점을 자체적인 맬웨어에 통합할 가능성이 매우 높다며 “워너크라이와 비슷한 방식으로 상황이 악화되지 않도록 영향권에 있는 PC일 경우 빨리 패치를 설치해야 한다”고 권고했다. 이번 중요 패치의 설치 대상인 운영체제 목록은 마이크로소프트 홈페이지에서 확인할 수 있다. 이번 패치에는 윈도우 8과 윈도우 10용 패치 다운로드 링크가 빠져 있다. 포프는 “최신 윈도우 버전이 취약점 패치 목록에 빠진 것은 우연이 아니다. 마이크로소프트는 오랫동안 제품 보안 강화에 전력을 다해왔고, 과거 버전에서 생각할 수 없었던 설계상 개선을 이루어냈다”고 주장했다. 실제로 윈도우 10은...
윈도우 10에서 루트킷을 찾아 차단하고 제거하는 방법
공격자들은 루트킷(rootkits)을 이용해 디바이스에 악성코드를 숨겨 오랫동안 발견되지 못하도록 한다. 이 기간 데이터나 리소스를 훔치거나 커뮤니케이션을 감시할 수 있다. 운영체제 기반 루트킷도 두렵지만 펌웨어 루트킷은 더하다. 둘 다 이를 박멸하는 프로세스와 절차를 피해 숨는다. 커널 또는 운영체제 루트킷은 수 년 동안 컴퓨터에 대한 위험한 위협이었다. 그리고 마이크로소프트가 2006년 마이크로소프트 비스타로 운영체제를 대대적으로 변경했다. 업체들에게 디지털 서명된 드라이버를 요구했는데, 이로 인해 프린터 드라이버에만 문제가 발생했을 뿐 아니라, 악성코드 작성자들도 공격 방식을 바꾸어야 했다. KPP(Kernel Patch PRotection) 때문에 악성코드 작성자는 디지털 서명 요건을 극복해야 했다. 그래서 고급 공격자들 또한 페이로드의 일환으로 루트킷을 사용하게 됐다. 루트킷은 집중적으로 사용되다가 수 년 동안 악성코드 결과물에서 차지하는 비율이 1% 미만이 되었다. 윈도우 루트킷을 재조명하게 된 Zacinlo 광고 사기 그리고 2018년 6월 Zacinlo 광고 사기 활동이 재조명되면서 우리는 다시 루트킷의 위험에 대해 걱정하게 됐다. 비트디펜더의 조사에서 밝혔듯, 이 루트킷 기반 악성코드는 6년 동안 사용되었지만 최근에서야 윈도우 10을 표적으로 삼게됐으며, 한 가지 중대한 변화를 거쳤다. 디지털 서명한 드라이버를 이용해 윈도우 10의 보호 장치를 우회한 것이다. 연구원들은 샘플 중 90%가 윈도우 10을 구동하고 있음을 발견했다. 기본적으로 루트킷은 기본적인 운영체제 청소 작업을 견디게 설계되고, 서명된 윈도우 10 드라이버에 주입되는데, 이것이 Zacinlo 악성 코드의 기능과 동일하다. 비트디펜더가 밝힌 Zacinlo의 구성요소는 다음과 같다. • 스스로를 보호하는 루트킷 드라이버와 기타 구성 요소. 애드웨어의 정지나 삭제를 방지하면서 그 기능에 위험하다고 간주되는 프로세스를 정지할 수 있다. &bul...
2018년 악성코드 최신 동향과 쉽고 실행 가능한 엔드포인트 보안 운영 전략 - IDG Summary
최근 기업 사용자는 데스크톱 PC뿐만 아니라, 노트북, 태블릿, 스마트폰, 그리고 수많은 이동식 저장장치를 사용한다. 진화하는 악성코드와 취약점은 주로 이런 엔드포인트 기기들을 노리고 있어 기업의 보안 상태는 나날이 위험해지고 있다. 최신 악성코드 동향과 엔드포인트 보안 운영의 주요 과제를 살펴보고, 이를 해결할 수 있는 현실적이고 실현 가능한 보안 전략에 대해 알아보자. <주요 내용> - 잠시 숨 고르고 돌아온 랜섬웨어 - 직접 채굴에 나선 악성코드 - 대표적인 표적형 공격, 워터링 홀 - 표적에게 창을 던지는, 스피어 피싱 공격 - 해킹의 문, 취약점 공격 - 엔드포인트 공격 악성코드에 대응하는 방법, 엔드포인트 하드닝 - 보안 운영자의 현실적인 고민, “너무 많은 엔드포인트 보안 솔루션” - 엔드포인트 보안을 위한 통합적·체계적 관리, 안랩 EPP 매니지먼트 - 쉬운 보안, 실행 가능한 보안을 위한 안랩 EDR - 안랩 EDR의 효과
“악성코드 차단, 사용성, 기능까지” 최고의 안드로이드용 백신 앱 12선
상당히 많은 안드로이드용 안티바이러스 도구가 있다. 그 중에서 좋은 것을 골라 사용하는 것은 쉽지 않은데, AV-TEST가 20개의 안드로이드 보안 앱을 대상으로 12가지 안티바이러스 앱을 선정했다. AV-TEST 인스티튜트(AV-TEST Institute)는 독일에 위치한 독립적인 IT보안 및 백신 조사 서비스 제공 업체이다. 아래에 열거된 각 안드로이드 백신 소프트웨어 앱은 보호와 사용성 측면에서 6.0 만점을 받았다. 앱들은 알파벳 순서로 정리되어 있다. 시험한 모든 앱의 감지율은 54.8%~100% 범위이며 평균 96.9%를 기록했다. 1. 알리바바 모바일 시큐리티 5.8(Alibaba Mobile Security 5.8) 다른 모든 안드로이드 악성코드 방지 툴과 마찬가지로 알리바바 모바일 시큐리티는 새롭게 발견된 모든 악성코드와 기타 이전에 알려진 모든 악성코드를 감지했다. 사용성 측면에서 만점을 받았고 거짓 경고도 없었다. 도난 방지, 통화 차단, 메시지 필터링, 안전 브라우징, 앱 잠금 등의 기능도 제공한다. 하지만 시청 규제, 개인 정보 백업, 암호화는 제공되지 않는다. 2. 어베스트 모바일 시큐리티 6.10(Avast Mobile Security 6.10) 어베스트 모바일 시큐리티는 항상 실시간으로 안드로이드 악성코드 감지를 관리한다. 이전 4주 동안 발견된 최신 안드로이드 악성코드를 100% 발견했다. 이 앱은 배터리 사용 시간에 불리한 영향을 끼치거나 정상 사용 중 기기가 느려지는 일이 없다. 구글 플레이 또는 제 3자 앱 스토어의 정상적인 앱 설치 및 사용 중 거짓 경고가 전혀 없었다. 모바일 시큐리티의 안전 브라우징 기능은 피싱 공격과 악성 웹사이트로부터 보호하는데 도움이 되며 원격 삭제 등의 도난 방지 기능도 제공한다. AV-TEST는 앱 잠금, 프라이버시 자문, 와이파이 보안 등의 기능은 테스트하지 않았다. 3. AVG 안티바이러스 프리 6.9(AVG AntiVirus Free 6.9) AVG ...
시스코, 북미정상회담 이용한 신규 악성코드 확인
시스코 탈로스는 국내 사용자들을 겨냥한 신규 한글 워드프로세서(HWP) 악성 파일을 발견했다고 밝혔다. 이 해당 파일을 열면 “NavRAT”라는 원격 접속 트로이목마 공격이 다운로드돼 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채 기록하는 키로깅(Keylogging) 등 해킹한 기기에서 다양한 활동을 수행할 수 있다고 업체 측은 설명했다. 해당 악성 파일명은 “미북 정상회담 전망 및 대비.hwp”로, 다가오는 북미정상회담 관련 정보를 담고 있는 듯한 형태로 배포되고 있다. 한국 사용자들이 주로 사용하는 HWP 형식 파일에 EPS(Encapsulated PostScript) 형식이 첨부돼 감염된 시스템에 악성코드를 실행할 수 있게 설계돼 있다. 특히, 해당 공격자들은 정식 네이버 이메일 플랫폼을 통해 공격을 진행했으며, 탈로스가 포착해 온 악성코드 가운데 네이버를 이용한 것은 이번이 처음이다. editor@itworld.co.kr
추천기사
