Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

맬웨어

컴퓨터 공격 8건 중 1건 “USB 자동실행 노려”

컴퓨터 공격 8건 중에 한 건이 윈도우의 자동실행 기능을 노린 USB 기기를 통해서 이뤄지는 것으로 나타났다.   보안 소프트웨어 업체인 아바스트(Avast)는 윈도우의 오토런(AutoRun) 및 USB 장치 플러그인을 노린 맬웨어 공격이 급속도로 늘어나고 있다고 발표했다. 회사의 통계에 따르면, 아바스트 사용자 커뮤니티에서 지난 10월 마지막 주 동안 기록된 공격 70만 건 중에서 12.5%가 USB 장치를 통한 것이다.   아바스트는 맬웨어 유포의 핵심은 윈도우의 자동실행 기능이라고 지적했다. 자동실행은 메모리 스틱 같은 새로운 장치가 연결되면 알림 메시지를 전달하며, 사용자가 어떤 애플리케이션을 실행할지를 선택할 수 있게 해 준다.   아바스트의 바이러스 애널리스트인 잰 서머는 “자동실행은 매우 유용한 툴이다. 하지만 현재 맬웨어의 2/3이상이 유포된 방법이기도 하다. USB로 유포되는 맬웨어는 오염된 메모리 스틱을 통한 기업 컴퓨터의 Stuxnet 공격 보다 더 광범위하게 퍼지는 경향이 있다”라고 말했다.   이어, “사이버 범죄자들은 사람들이 친구들과 공유하는 경향과, USB 장치의 용량이 증가하고 있다는 점을 이용한다. 이 두 가지 사실을 함께 고려한다면, 상당히 흥미로운 시나리오가 탄생한다”라고 지적했다.   아바스트는 자동실행 기능이 “INF:AutoRun-gen2 [Wrm]”에 감염된 USB 장치가 컴퓨터에 연결됐을 때 오용될 수 있다고 지적했다.   PSP, 디지털 카메라, 휴대폰, mp3 플레이어 등을 포함한 감염된 장치가 실행 가능한 파일을 시작할 경우 컴퓨터에 상당히 많은 맬웨어를 가져올 수 있다. 컴퓨터에 들어간 맬웨어는 윈도우 OS 핵심에 자가 복제되고, 컴퓨터가 시작될 때 마다 다시 복제된다.   아바스트의 USB 안전 가이드는 다음과 같다. ...

USB 맬웨어 해킹 2010.11.08

패치되지 않은 IE 버그 노린 공격 주의

마이크로소프트가 현재 사용되고 있는 모든 버전의 인터넷 익스플로러(IE)의 패치되지 않은 취약점을 노린 공격이 활발히 진행 중이라고 경고했다.   영향을 받지 않은 것은 현재 베타 상태에 있는 IE9뿐이며, 주요 타깃은 가장 오래된 브라우저인 IE6이다.   마이크로소프트는 “지금까지 확인된 공격은 IE6만을 대상으로 하고 있었으며, IE8을 대상으로 한 공격은 성공하지 못했다”라고 밝히면서, “극도로 제한된 공격”이라고 위험도를 낮게 평가했다.   해커들은 사용자를 악성 사이트로 유도한 다음 윈도우 PC를 하이재킹하는 전통적인 ‘드라이브 바이(drive-by)’ 방식으로 공격하는데, 이 취약점이 있는 버전의 IE를 가진 기기의 경우엔 즉시 해커들의 손에 들어간다.   IE8에도 이 취약점이 들어 있지만, DEP(data execution prevention)가 기본값으로 활성화 되어 있기 때문에 영향을 받지 않는다. DEP는 ASLR과 함께 윈도우의 보안 기능 중 하나이다.   안티바이러스 업체인 시만텍은 몇 일 전에 일부 기업의 사람들에게 보내진 스팸에서 이 익스플로잇(exploits)을 발견했다고 전했는데, 해당 스팸 메일은 호텔 예약 안내 메시지 였다.   시만텍은 “이메일 내에는 다른 사이트의 페이지로 연결되는 링크가 들어 있었으며, 해커들은 이 페이지에 웹 사이트 주인 몰래 접속해서 콘텐츠를 업로드 시켜 놓았다”라고 설명했다.   이 해킹된 사이트를 방문하는 IE6혹은 IE7 사용자는 모두 맬웨어에 감염되며, 다른 명령어들이 포함된 많은 파일이 다운로드 된다. IE6 경우에는 DEP를 지원하지 않으며, IE7의 경우에는 기본값으로 활성화 되어 있지 않다.   시만텍은 마이크로소프트와 감염된 페이지가 호스팅된 서버 주인에게 해당 사실을 보고...

맬웨어 IE 버그 2010.11.04

MS 안티 제우스 툴, PC 25만 대 치료

마이크로소프트는 지난 주 무료 맬웨어 클리닝 툴을 통해서 총 27만 5,000대의 윈도우 컴퓨터에서 제우스를 삭제했다고 밝혔다.   Zbot이라고도 불리는 제우스(Zeus)는 범죄자들이 감염된 PC를 이용할 수 있도록 맞춤화된 맬웨어를 생성할 수 있도록 하는 킷이다. 해커들은 제우스를 배치하여 온라인 은행 계좌에 로그인할 수 있는 사용자명, 비밀번호 및 기타 정보를 빼낸다. 빼낸 정보를 이용해서 피해자의 계좌에서 돈을 빼 범죄 집단의 계좌로 돈을 송금한다.   지난 금요일 포티넷(Fortinet)은 한 제우스 범죄 집단이 투자회사인 찰스 슈압(Charles Schwab)을 노렸으며, 회사 사이트에서 개인정보를 수집하는 부분에 가짜 형식을 집어 넣어 추후에 불법 송금에 사용활 수 있다고 보고한 바 있다.   지난 화요일에 마이크로소프트는 정기 보안 업데이트에 맞춰 MSRT(Malicious Software Removal Tool)에 무료 제우스/Zbot 삭제 프로그램을 추가해 배포했다. MSRT는 공격 코드를 막지는 못하지만, 감염된 기기를 추적해서 맬웨어를 삭제해준다.   마이크로소프트는 화요일 이후에 MSRT는 총 28만 1,491개의 제우스를 27만 4,873대의 PC에서 삭제했다고 밝혔는데, 치료된 전체 기기의 20.4%가 제우스 감염이다. 이런 비율은 전형적인 추세보다 높은 비율이다.   지난 2007년 처음 나타난 제우스는 지난 달 미국과 영국, 우크라이나 정부는 이와 관련된 범죄자를 100명 이상 체포했다. 이들은 4년 동안 약 2억 달러 이상의 피해를 입힌 것으로 알려졌다.   마이크로소프트가 배포한 안티 제우스 툴은 마이크로소프트 사이트에서 수동으로 다운받을 수 있다. editor@idg.co.kr

맬웨어 제우스 마이크로소프트 2010.10.19

보안 전문가들 “맬웨어, 이제는 모바일이다”

사이버 범죄자들이 모바일 기기를 해킹해서 돈을 버는 방법을 모색함에 따라 스마트폰 익스플로잇(exploits)이 증가할 것이라는 경고가 나왔다.   캐스퍼스키 랩의 맬웨어 애널리스트인 팀 암스트롱은 모바일 맬웨어는 아직 초기 단계이지만, 보안 업체들은 올해 말부터 모바일 공격이 급증할 것으로 예측하고 있다고 말했다. 캐스퍼스키 랩은 지난 9월에만 모바일 맬웨어 시그니처를 1,550종 이상 발견했다고 전했다.   암스트롱은 미국 알링톤에서 열린 메시징 안티 어뷰즈 워킹 그룹(Messaging Anti-Abuse Working Group) 회의에서 많은 사람들이 모바일 맬웨어가 등장하기까지 시간이 걸릴 것이라고 보고 있지만, 실제로는 “엄청난 맬웨어 감염을 보는 것은 시간 문제”라고 말했다.   현재 미국 외 지역에서 많이 사용되고 있는 심비안 운영체제는 모바일 익스플로잇의 주요 타깃이지만, 애플의 아이폰과 안드로이드 역시 안전하지 못하다.   F-시큐어의 수석 연구원인 자노 니에멜라는 많은 경우 초기 스마트폰 익스플로잇의 경우 정교함이 떨어지지만, 점점 더 복잡해 지고 그 수가 늘어날 것이라고 예측했다.   니에멜라는 “아직 이 사람들은 아마추어이다”라면서, “이들 중 누군가 금덩이를 발견하면, 많은 것이 달라질 것”이라고 비유했다.   발표 중에 니에멜라와 암스트롱은 이미 공격 시도가 있었던 예를 여러 가지 소개했다.   하나는 가짜 미디어 플레이어를 이용했던 안드로이드 플랫폼을 노린 공격이다. 이 앱은 구글의 안드로이드 마켓플레이스(Android Marketplace)과 관련이 없는 웹사이트에서 안드로이드 사용자가 이 앱을 다운로드 받으면, 가짜 미디어 플레이어가 SMS 익스플로잇을 설치해서 사용자 몰래 한 건당 5달러가 붙는 프리미엄 SMS를 보내게 된다. &nb...

맬웨어 모바일 트로이목마 2010.10.06

“3분기 맬웨어 1/3은 트로이 목마”

올해 3분기에 발견된 새로운 멜웨어의 절반 이상인 55%가 트로이 목마인 것으로 나타났다.   보안업체 판다 시큐리티(Panda Security)의 연구 부서인 판다랩스(PandaLabs)가 발표한 바에 따르면, 이런 트로이 목마 중 대부분은 웹 사용자를 가짜 금융 사이트로 끌어들여 로그인 정보와 비밀번호를 훔치려는 의도로 만들어진 뱅킹 트로이 목마이다.   한편, 한 때 가장 각광받는 맬웨어 유포 방법이었던 이메일 사용량은 줄었다. 대신에 사이버 범죄자들은 페이스북 같은 소셜 네트워킹을 통해서 클릭재킹(Clickjacing) 공격을 선호하고 있다.   또한, 판다는 3분기에 받은 이메일 중 95%가 스팸이며, 이 중 50%는 인도, 브라질, 러시아 등 10개 국에서 발신된 것으로 파악했다.   더불어 지난 3개월 간 구글 안드로이드폰 공격 사례가 상당히 많았다면서, 스마트폰을 노린 위협의 시작일 수 있다고 경고했다.   판다랩스는 “앱이 실행됐을 때 감염되도록 설계된 자동 압축 풀기 파일이 포함된 안드로이드 앱을 살펴보기 시작했다. 다른 말로 하면, 안드로이드 앱은 자동 압축 풀기가 포함된 컴퓨터를 감염시키는데 사용될 수 있다”라고 말했다. editor@idg.co.kr  

맬웨어 해킹 2010.10.04

온라인 결제시 DDoS 봇넷 주의 필요

보안 업체 담발라(Damballa)가 서비스 결제를 한 모든 사람에게 즉시 DDoS 공격을 하도록 만들어진 봇넷에 대해서 경고했다.   IMDDOS 봇넷의 지난 몇 달간의 감염 속도는 매일 1만 대로, 현재 활동 중인 봇넷 중 가장 큰 규모인 것으로 알려졌다.   담발라 연구 부회장인 건터 올만은 IMDDOS가 중요한 이유는 개방되어 있는 결제 서비스 환경 때문이다. 봇넷의 운영자는 잠재적으로 공격자들이 DDoS 서비스를 구독할 때 사용할 수 있는 공개 웹 사이트를 구축하고, 타깃을 정해 공격을 시작한다.   이 사이트는 다양한 구독 계획 및 공격 옵션, 그리고 이 서비스가 효율적인 DDoS 공격에 어떻게 사용될 수 있는지에 대한 팁을 제공하고 있다. 심지어 고객 서비스 센터를 통해 연락 정보를 제공하기도 한다.   중국어를 아는 사람이라면 누구나 이 서비스를 이용할 수 있고 전 세계 어디에 있던지 자신이 선택한 목표에 DDoS 공격을 시작할 수 있다.   유료 회원들은 고유의 별명을 부여 받고 시스템에 다운로드할 수 있는 보안 접속 애플리케이션을 이용할 수 있다. 이 애플리케이션을 이용해서 공격을 하고자 한다면, 웹사이트의 안전한 장소에 로그인을 하고, 공격하고자 하는 호스트와 서버를 나열한 후 요청사항을 제출하기만 하면 된다.   이 봇넷을 지휘하고 제어하는 서버는 목표 목록을 받아서 감염된 호스트 머신이나 봇넷 에이전트에 타깃 사이트에 DDoS 공격을 명령한다. 올만에 따르면, “회원 등급에 따라서 사용할 수 있는 DDoS 에이전트의 수가 다르다”라고 말했다.   IMDDOS 봇넷의 한 부분인 감염된 머신의 대부분은 중국에 있지만, 미국에도 역시 감염된 머신이 상당수 있는 것으로 확인됐다. 미국의 사법기관이 이 내용을 보고 받고 조사에 들어갔다.   ...

맬웨어 봇넷 공격 2010.09.14

“최대 500만 개” 악성 위젯 통한 웹 사이트 해킹 드러나

네트워크 솔루션(Network Solutions)에 호스팅 되어 있는 웹 사이트 500만 개 이상이 지난 몇 달간 맬웨어에 감염된 것으로 알려졌다.   미국의 웹 애플리케이션 보안 업체인 아모라이즈 테크놀로지(Armorize Technologies)의 CTO인 웨인 후왕은 “이것은 지금까지 가장 큰 규모로 드라이브 바이 다운로드(drive-by download)를 위해 감염된 것 중에 하나”라고 말했다.   네트워크 솔루션은 약 50만~500만 개 정도의 사이트가 감염됐다는 후앙의 추정을 부정했지만, 자사의 추정치는 밝히지 않았다.   후앙은 자신의 회사 연구원들이 초기에 GrowSmartBusiness.com 사이트에 설치된 네트워크 솔루션의 위젯에 감염되어 있는 것을 추적한 결과, 거대 호스팅 업체인 헌든(Herndon)에 호스팅되어 공사중인 도메인에는 모두 기본으로 같은 위젯이 설치되어 있는 것을 발견했다.   이 도메인들은 모두 등록은 되어 있으나, 웹 사이트의 주인이 만든 콘텐츠는 거의 없는 사이트 들이다. 맬웨어 제작자와 스캐머들은 이런 공사중인 사이트를 이용해서 공격 코드를 퍼뜨리거나 인위적으로 검색 사이트 랭킹에 올려서 사람들이 방문하도록 유도한다.   후앙은 “기억하는 110만 페이지가 감염됐던 것이 가장 대규모 사고였는데, 이번에는 이것 보다 더 많은 웹 사이트가 감염됐다”라고 지적했다.   이 위젯은 감염된 모든 사이트를 드라이브 바이 공격 사이트로 바꾸어 놓는다. 드라이브 바이 공격 사이트는 ‘Nuke’ 툴킷을 실행시켜서 사용자가 이용하고 있는 인터넷 익스플로러, 파이어폭스, 크롬, 오페라 등을 해킹한다. 만일 해킹이 성공하면, 트로이안 목마 다운로더(downloader)가 윈도우 PC를 공격하게 되며, 검색 결과가 우회접속 되어 광고 팝업창이 나타난다.   ...

맬웨어 웹사이트 감염 2010.08.17

달라지고 있는 기업 보안 위협 양상과 방안

보안 위협의 양상을 수년 동안 다뤄오고 있지만, 2가지 기본적인 문제는 변함이 없다. 첫째, 위협 양상은 지속적으로 진화하고 있으며 점점 더 복잡해지고 있다. 둘째, 사람, 프로세스, 그리고 기술의 전 분야에 걸쳐서 취약점을 악용하는데 있어서는 공격자가 방어자보다 항상 한발 앞서 나갈 것이다. 그 외에 이런 공격의 동기, 방법과 도구는 어떻게 달라졌을까? 이제 우리는 더 이상 해커 개개인과 싸우고 있는 것이 아니라, 고도로 조직화되고, 풍부한 자금 지원을 받고 있는 범죄 조직과 싸우고 있으며, 어떤 경우에는 정부의 지원까지도 받고 있는 정부 요원과 싸우고 있다.   IT 보안 전문가가 높은 성과를 내는 보안 조직을 꾸려나가기 위해서는, 보안 양상의 변화하고 있는 본질을 필수적으로 고려해야 할 것이다. 특히, 다음과 같은 변화를 기본적으로 숙지하고 있자.   동기: 해커들이 명성과 악명을 드높이기 위해서 가장 최근에 자신이 한 악용 사례를 공개적으로 떠벌리던 시절은 갔다. 지금은 이런 시도에 조직 범죄가 개입되어 있을 뿐 아니라, 해커들이 막대한 금전적 이익까지도 얻으려 하고 있다. 공격자는 수 백만 건의 기록을 저장하고 있는 시스템을 노리고 있다. 다음 통계치를 자세히 보자. 미 의회의 보고서에 따르면 사이버 범죄는 미국 경제에 80억 달러의 비용을 유발하고 있으며, 이 금액은 바하마의 국내 총생산(GDP)과 같은 액수이다.   방법: 과거의 가시적인 공격과 달리, 눈에 잘 띄지 않는 완만하게 진행되는 공격은 체계적이고 정확한 공격을 감행하는 것으로, 공격자는 수 개월에 걸쳐 목표에 대한 정보를 수집한 다음에 취약점을 체계적으로 노리고, 목표 환경의 여러 부분에 침투하면서 존재 흔적을 모두 지운다. 최종 목표는 장기간에 걸쳐 지속적인 자금 줄을 만들기 위해 어떻게 해서든 애플리케이션을 수정하는 것이다. 악명 높은 TJX 고객정보 유출 사건처럼.   도구:...

맬웨어 해킹 기업보안 2010.08.17

“지능적으로 변한” 맬웨어와의 전쟁

만일 맬웨어(컴퓨터 유해프로그램)가 유기 생명체였다면, 세상은 역사상 최악의 위기를 맞게 되었을 것이다. 2009년, 2,500만여의 각각의 맬웨어가 발견되었으며, 그보다 더 많은 맬웨어 프로그램이 이전 연도에 생성되었다. 이는 실로 믿지 못할 수치로서, 현재 유해프로그램들이 정상프로그램보다 기하급수적으로 늘어나고 있다.   세계 최대의 클라우드 컴퓨터 사용자는 마이크로소프트도, 구글도 아닌 아마존이다. 컨피커(Conficker) 봇넷의 메인 컴퓨터는 460만여 대의 컴퓨터를 감염시켜 제어하고 있다. APWG 피싱 활동 트렌드 보고서에 따르면, 전체의 48%의 컴퓨터가 맬웨어에 감염된 것으로 추정되고 있으며, 이 중 트로이안 목마가 차지하는 비율은 66%에 이르렀다.   맬웨어는 데이터 절도, 은행 송금, 비밀번호 절도, 개인 정보 유출 등을 통해 돈을 빼내는데 사용된다. 매일 무고한 인터넷 희생자들로부터 수천만 달러를 훔쳐내고 있다. 하지만 아직 많은 컴퓨터 보안 회사들은 무엇이 가장 위협적이라는 것을 아직 명확하게 설명하고 있지 못한다. 만일 가장 큰 위협을 예측하지 못한다면 어떻게 그들의 자산을 보호할 수 있겠는가?      오늘날의 맬웨어는 10년 전, 젊은이들이 사이버 브랭깅 라이츠(bragging rights: 프로레슬링 이벤트)를 위해서 악성 프로그램을 만들었을 때와는 완전히 다르다. 대부분 맬웨어는 메시지나 음악(Yankee Doodle Dandy 바이러스 패밀리처럼)을 통해 사용자들이 알아차릴 수 있었으며, 이는 일종의 장난기에 불과했다. 그때가 좋았다.     현대의 맬웨어   오늘날 맬웨어는 전문적인 범죄자에 의해 작성된다. 대부분 사용자들은 자신도 모르게 트로이 목마 형태로 유해프로그램에 감염된다. 사용자들은 믿을만한 사이트에서 “권장되는” 필요한 소프트웨어를 설치했다고 생각한다....

맬웨어 트로이안목마 2010.08.10

델, 서버 마더보드 맬웨어 경고

델이 자사 서버 마더보드 중 일부에 악성 소프트웨어가 들어있을 수 있다고 경고했다.   델은 “소수의 파워엣지(PowerEdge) 서버 마더보드에 맬웨어가 포함되어 있을 수 있다”라면서, “이 맬웨어 코드는 임베디드 서버 관리 펌웨어에 있는 것으로 추적됐다”라고 전했다.   맬웨어 이슈는 파워엣지 R310, R410, R510, T410 모델에만 해당되며, 사용자가 특정한 배치를 했다거나 안티바이러스 소프트웨어를 이용하지 않을 경우에만 피해를 입히는 것으로 알려졌다.   델의 서버 플랫폼 최고 책임자인 포레스트 노로드는 이메일을 통해 “델은 이번 이슈를 인지하고 피해를 입은 고객들과 연락을 취하고 있다. 이번 이슈는 우리 공장에서 배송된 시스템에는 영향을 끼치지 않고 있으며 교체된 부분에만 해당된다. 영향을 받은 마더보드를 모든 유통과정에서 없앴으며, 맬웨어를 포함하지 않은 새로운 제품으로 판매하고 있다”라고 전했다.   노로드는 이번 맬웨어가 어떻게 서버에 영향을 끼쳤는지, 어떻게 수정이 됐는지 자세한 사항은 밝히지 않았으나, 조만간 델의 웹사이트를 통해 상세한 내용을 밝히겠다고 말했다.   이 같은 델의 대응은 고객이 서버 맬웨어 삭제와 관련해 서비스 기사와 연락을 취했다는 내용을 접하고 나서 이뤄진 것이다.   델은 “지금까지는 데이터 보안과 관련된 고객의 보고를 받지 못했다”며, 자사 고객의 피해는 없다고 전했다.   한편, 비 윈도우 운영체제 및 새로운 마더보드를 장착한 파워엣지 시스템은 이번 맬웨어에 영향을 받지 않는다. jeremy_kirk@idg.com

맬웨어 마더보드 2010.07.22

아이언맨 2 속에 투영된 오늘날의 보안 업계

올 여름 블록버스터 시즌이 할리우드 역사상 5번째로 높은 개봉 주말 수익을 올린, 액션으로 가득 찬 슈퍼히어로 영화인 아이언맨 2를 필두로 5월 7일 금요일 주말부터 공식적으로 시작되었다. 이 영화를 좋아하지 않더라도, 한가지는 확실하다. 줄거리와 등장인물은 오늘날의 최첨단 보안 업계를 놀라울 정도로 정확하게 반영하고 있다는 것.   스포일러 경고: 이 칼럼에는 중요한 줄거리가 언급되어 있다. 아직 영화를 보지 않았다면, 위험을 각오하고 계속 읽기를 바란다.   마블(Marvel)의 쇠 덩어리 슈퍼히어로는 2008년 아이언맨에서 로버트 다우니 주니어의 연기를 통해 처음으로 은막에 등장했다. 그 영화에서, 바람둥이 기업가인 토니 스타크는 양심의 가책을 느끼고 자신의 방위산업체에서 무기 제조를 중지시킨다. 군수품을 가로챈 테러리스트를 추적하기 위해, 스타크는 무기를 갖춘 장갑 외골격 수트(Suit)를 개발하여 아이언맨이 됨으로써, 발명품을 무기 상인들이 탐내는 물건으로 만들어 버린다.   속편도 전편과 거의 같다, 단지 더 많은 악당이 등장하고 좀 더 사악해 졌으며 더 많은 수트가 등장한다. 어떤 국가의 군사력도 아이언맨의 기술적 우월성에 필적할 수 없는 상태에서, 스타크의 사적 제재 행동과 억지 정책은 전 세계적인 데탕트(긴장 완화)를 초래했다.   스타크 만이 유일하게 아이언맨의 원동력을 알고 있으므로, 전 세계의 안전은 온전히 그의 손아귀에 놓이게 되었다. 미국 정부가 군사목적으로 아이언맨 수트를 복제하고 싶어 한 것은 당연지사다. 사설 보안 대 공공 보안에 대한 논쟁이 이 영화의 핵심 갈등 요소 중 한가지를 형성하고 있다.   악당의 등장: 해커, 보안 공급업체   아이언맨 2에 등장하는 2명의 악당 중에서 더 무서운 쪽인 이반 반코는 아버지의 임종 자리에서 “아크 원자로” 발전기를 자신의 아버지와...

맬웨어 보안 악성코드 2010.05.19

가짜 업데이트로 아이패드 사용자 노리는 해커들

해커들이 최근 가짜 업데이트 메시지를 이용해서 아이패드 사용자들이 악성 코드를 윈도우 PC에 다운받도록 유도하고 있는 것으로 알려졌다.   보안 업체인 비트디펜더(BitDefender)에 따르면, 이 메시지는 아이패드용 최신 아이튠즈 업데이트가 나왔다는 내용으로, “최고의 성능 및 새로운 기능, 보안 등을 활용하려면 아이패드의 소프트웨어를 최신버전으로 유지하는 것이 중요하다. 최신 아이튠즈 소프트웨어를 다운받으려면 …로 가서 애플리케이션을 설치하라”라고 쓰여져 있다.   이 링크는 실제 아이튠즈 다운로드 사이트를 모방한 사이트로 사용자들을 유도해서 “itunessetup.exe” 파일을 다운로드 및 설치하도록 한다.   아이튠즈 업데이트로 보이는 이 파일은 실제로는 트로이안 목마로 윈도우의 ‘explorer.exe’ 프로세스에 코드를 주입하고 해커를 위한 문을 여는 역할을 한다. 그러면 해커는 이 문을 이용해서 PC에 더 많은 맬웨어를 추가할 수 있다. “Backdoor.Bifrose.AADY” 트로이안은 또한 해킹된 PC의 다양한 프로그램의 활성 키를 훔치고 메신저 혹은 이메일 계정의 비밀번호도 훔친다.   애플이 마지막으로 윈도우 및 맥 용 소프트웨어를 업데이트한 것은 지난 3월 30일로, 아이튠즈를 버전 9.1로 업데이트 한 바 있다.   비트디펜서의 수석 안티바이러스 및 맬웨어 연구원인 카탈린 코소이는 “속임수가 매우 단순하다”라면서, “만일 아이패드를 가지고 있다면, 이메일이 아니라 ‘업데이트를 완료했습니다. 이 업데이트를 다운받으세요’라는 애플에서 온 것 같은 메시지를 받기를 기대할 것이다. 따라서 이런 식의 속임수는 매우 재치 있는 것”이라고 지적했다.   하지만 맥 사용자들은 가짜 아이튠즈 다운로드 사이트에 들어가도 피해를 입지 않는다. 코소이는 “만일 이 공격이 맥 사용자를 대상으로 하...

맬웨어 보안 해킹 2010.04.27

클라우드 방식의 기업용 안티바이러스 제품 등장

보안 업체인 판다 소프트웨어(Panda Software)가 복잡한 게이트웨이 박스를 사용해 맬웨어를 필터링할 필요가 없도록 하는 완전한 클라우드 웹 보안 서비스를 공개했다.   주로 사무실 밖에서 사용되는 노트북뿐만 아니라 지점에서도 사용될 수 있는 판다 클라우드 인터넷 프로텍션(Panda Cloud Internet Protection)은 굉장히 간단하다. PC에서 보안 소프트웨어를 구동할 필요 없이, 브라우저를 프록시 서버에 지정해줌으로써 트래픽이 판다의 데이터 센터에서 구동되는 방식이다.   맬웨어, 첨부파일, 봇넷 지시기 등의 범위에서 트래픽이 조사된다. 관리자가 웹 콘솔을 이용해서 특정 URL을 허용 혹은 비허용할 수 있으며, 소셜 네트워크, 웹메일, 블로그 시스템 및 다른 온라인 애플리케이션의 접속을 지정할 수 있다. 이런 제어는 특정 브라우저와 버전에서 가능하다.   이 제품의 장점은 IT 부서가 보안 정책을 매우 빠르고 쉽게 발생한 문제에 따라서 전체 PC 중 일부에 적용할 수 있다는 것이다. 클라우드 방식으로 이것을 함으로써 업체들은 어플라이언스를 지정해주거나 관리하거나, 다른 인프라와 통합할 필요가 없다.   클라우드 보안 서비스는 설치형 클라이언트 모델의 불만이 증가함에 따라 각광받고 있는 서비스이지만, 놀랍게도 기업들은 아직 이런 새로운 인프라에 투자를 망설이고 있다. 클라우드는 많이 회자되지만, 구축 비용이 높다. 반면, 대형 보안 회사일수록 소프트웨어 라이선스 판매를 통해 큰 돈을 벌어들이고 있다.   클라우드 보안은 전형적인 소프트웨어 형식의 안티바이러스보다 가격이 높다. 판다는 기기당 연 103달러로 가격을 책정했는데, 이는 설치형 소프트웨어보다 가격이 몇 배 높은 것이다. 하지만 무료 버전을 먼저 사용해 볼 수 있다.   판다 소프트웨어는 일반 소비자를 위한 무료 클라우드 ...

맬웨어 안티바이러스 클라우드 2010.04.19

맬웨어 확산 위한 가짜 지메일 계정 증가

지메일 스팸이 점점 증가하고 있다. 수요일에 발표된 컴터치(Commtouch)의 분기 인터넷 위협 트렌드 보고서(Internet Threats Trend Report)에 따르면, 스패머들이 맬웨어 감염을 위해서 가장 많이 이용한 이메일 계정은 지메일로, gmail.com 이 가장 많이 남용된 도메인명이 됐다.   지메일 주소에서 보내진 스팸 이메일 중 겨우 1%만 실제 지메일 계정에서 온 것인데, 컴터치는 “이런 작은 비율은 스패머와 감염된 지메일 계정이 합쳐진 것으로 보인다”고 지적했다.   전체적으로 지메일 계정에서 보내진 스팸은 5~10% 수준으로, 일반적으로 안티스팸 시스템으로 속이거나 신뢰할 수 있다는 인상을 주기 위해서 주소가 위조된다.   스패머들은 점점 사용자를 속이기 위해서 친숙한 도메인명을 사용하는 능력이 높아지고 있으며, 이런 경향은 지메일이라고 빗겨갈 수는 없다. 컴터치는 “스패머들은 지메일뿐만 아니라 페이팔, 페이스북 등의 메시지 형식을 스팸 및 피싱을 위해서 표준 탬플릿으로 자주 사용하고 있다”라고 설명했다.   2010년 1분기 동안 발생된 이메일 트래픽의 83%가 스팸으로 나타났는데, 최고점은 3월 말 92%이고 최저점은 올해 초 75%였다. 또, 하루에 해커들에게 침입 당해 봇넷에 합류한 좀비 컴퓨터 30만 5,000대가 악성 활동을 위해 사용되고 있는 것으로 나타났다. 이런 좀비 컴퓨터를 가장 많이 만들어내는 국가는 브라질로 전 세계의 14%를 차지하고 있다.   맬웨어에 가장 많이 감염된 웹사이트는 음란물 사이트인 것으로 나타났다. 이 같은 사실은 별로 놀랍지 않지만, 오히려 지난 분기 전까지만 해도 음란물이 가장 많이 감염된 웹사이트 범주가 아니었다는 사실이 더 놀랍다. 컴터치는 “원래 맬웨어에 가장 많이 감염된 웹사이트 분류는 ‘비즈니스’였는데, 이를 음란물이 대체했다”라고 전했다. ...

맬웨어 보안 스팸 2010.04.15

IDG Deep Dive | 엔드포인트 보안의 기초

넷북, 스마트폰 등 네트워크로 연결되는 기기가 급속도로 늘어나면서 엔드포인트 보안의 중요성이 커지고 있다. 특히, 이들 다양한 디바이스를 통제해야 하는 IT 부서에게는 대응책 마련이 시급한 과제로 부상했다. "엔드포인트 보안의 기초”는 현실로 다가선 스마트폰 보안 위협 등 점점 복잡해지고 있는 엔드포인트 보안에 대한 현주소를 짚어보고, 효율적인 보안 방법의 대안으로 떠오른 화이트리스팅의 기본 개념과 제품들의 테스트 결과를 비교분석해 엔드포인트 보안에 대한 이해를 도울 것이다. 주요 내용 엔드포인트 보안의 현주소 / 점점 어려워지는 엔드포인트 보안과 IT 부서의 부담 더 이상 무시할 수 없는 스마트폰 보안의 현주소 맬웨어 차단하고 생산성 높이는 화이트리스팅 활용 기업의 스마트폰 도입, “똑똑한 보안이 필요하다” 보안 해결책을 제시하는 화이트리스팅 / 컴퓨터 보안에 대한 불편한 진실  

맬웨어 악성프로그램 엔드포인트 2010.04.15

소프트웨어 업데이트 프로그램 바꿔놓는 맬웨어 등장

보안연구원들이 다른 애플리케이션의 업데이트 기능에 덮어쓰기를 하는 방식의 악성 소프트웨어를 처음으로 발견했다. 이 악성 소프트웨어는 사용자들에게 또 하나의 장기적인 위험요소가 될 것으로 평가되고 있다.   베트남의 보안업체인 BKIS의 분석가 느구옌 콩 쿠옹은 이번에 발견된 악성 프로그램이 윈도우 PC를 감염시키는 것으로 스스로를 어도비 제품이나 자바 등의 다른 소프트웨어의 업데이트 프로그램으로 위장하고 있다고 밝혔다.   BKIS는 자사 보안 블로그를 통해 어도비 리더 9으로 위장해 AdobeUpdater.exe를 덮어쓰기하는 변종 악성 프로그램의 화면을 공개했다. 어도비 업데이트 프로그램은 새로운 버전이 나왔는지 주기적으로 점검하는 역할을 한다.   일반적으로 악성 프로그램의 사용자의 부주의나 특정 소프트웨어의 취약점을 이용해 시스템에 침투하며, 침투 후에는 명령을 받기 위해 DHCP 클라이언트를 열어 네트워크와 포트를 공유한다.   트렌드마이크로의 수석 보안고문 릭 퍼거슨은 업데이트 프로그램으로 위장한 악성 프로그램 역시 이런 면에서는 새로운 것이 없다고 밝혔다. 하지만 퍼거슨은 제대로 된 보안 소프트웨어는 이런 악성 프로그램을 탐지해 내지만, 감염된 사용자가 악성 프로그램을 제거해도 문제가 남는다고 지적했다.   퍼거슨은 “악성 프로그램을 제거하면 해당 소프트웨어의 자동 업데이트 기능도 함께 삭제된다”며, “이는 치명적인 취약점에 대한 패치 등을 다운로드할 수 없어 해커들에게 악용될 가능성이 여전히 남게 된다”고 설명했다.   이 경우 사용자가 수동으로 소프트웨어를 다시 다운로드해 설치해야 하지만, 단지 업데이트 기능 때문에 이런 작업을 다시 할 사용자는 많지 않을 것으로 예상되므로 사전 주의가 요구된다.  jeremy_kirk@idg.com

맬웨어 악성프로그램 업데이트 2010.03.26

시만텍, 봇넷 활동 추적하는 웹 모니터링 서비스 선봬

시만텍은 기업내의 봇넷과 관련된 맬웨어 활동 단서를 잡기 위한 모니터링 서비스를 발표했다. 이 서비스는 외부로 나가는 HTTP 트래픽을 감시해서 컴퓨터를 해킹해 범죄자들이 제어할 수 있도록 만드는 트로이안 목마로 의심되는 신호를 잡아내는 원리다.   시만텍의 보안 서비스 책임자인 그랜트 게이어에 따르면, 끊임없는 모니터링 서비스는 시만텍의 현재 보안 서비스 포트폴리오를 확장한 형태이다. 웹 모니터링 서비스는 기업 네트워크 내에 봇넷과 관련된 트래픽을 찾아내기 위해서 다양한 방법을 사용하는데, 여기에는 시만텍, 블루코트(Blue Coat), 시트릭스, 임퍼바(Imperva) 등 보안 웹 게이트웨이로부터 나오는 로그 데이터 흐름을 잡아내 시만텍의 SOC(security operation centers)에서 분석하는 방법이 포함된다. 시만텍의 SOC와 상호작용할 수 있도록 고객의 네트워크에 설치된 특별 보안 어플라이언스에 의존하는 시만텍의 서비스는 최소한 92일 동안의 로그를 저장한다.   전형적으로 데이터를 훔칠 수 있는 봇넷은 피해자 회사의 HTTP 스트리밍 뒤에 숨는 경향이 강하다. 이에 따라 시만텍은 웹 모니터링 서비스를 통해서 접속 시도가 있으면 바로 고객에게 공지를 해서 필요한 교정 프로세스를 밟을 수 있도록 했다. 가격 정보는 알려지지 않았다. editor@idg.co.kr

맬웨어 봇넷 시만텍 2010.03.25

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.