Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

안랩, 2015년 1분기 PC 악성코드 통계 발표

안랩(www.ahnlab.com)은 내부 집계 결과, 올해 1월부터 3월까지 누적으로 총 1,154만 개의 PC 악성코드가 수집됐다고 발표했다. 이는 지난해 같은 기간(1,187만 개)에 수집된 악성코드 통계와 유사한 수준으로, 3개월 간 하루 평균 약 12만 8,000여 개가 발생한 것이다. 올 1분기 동안 탐지된 악성코드를 유형별로 분류하면, 유해 가능 프로그램 ‘PUP(Potentially Unwanted Program)’은 전체의 52.8%를 차지했다. PUP는 주로 광고 노출, 툴바 등의 설치로 ‘해킹’이 아닌 자체 수익을 추구하지만, 일부 PUP의 경우 허술한 보안 관리로 파밍이나 공인인증서 탈취 악성코드의 전파 경로로 악용된 사례도 있어 사용자의 주의가 필요하다. 이어서 랜섬웨어나 인터넷뱅킹 악성코드 등 공격자에게 원격에서 명령을 받아 사용자의 PC에서 악성 행위를 실행하는 ‘트로이목마 악성코드(Trojan)’가 27.2%를 차지했다. PUP와 트로이목마, 두 가지 악성코드가 전체의 80%를 차지하며 PC 악성코드의 대세로 나타났다. 이어서 광고를 전송하는 애드웨어(Ad-ware)가 6%, 웜(Worm)과 악성코드를 추가로 설치하는 다운로더(downloader) 및 기타 악성코드가 소량씩 발견되며 뒤를 이었다. 안전한 PC 사용을 위해서는 ▲운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등 프로그램의 업데이트 적용 ▲V3 등 백신 프로그램 최신버전 유지 및 실행 ▲제목이나 출처가 불분명한 이메일/SNS에 첨부된 파일이나 링크는 실행 자제 및 수상한 사이트 방문 자제 등 기본 보안 수칙을 실천하는 것이 중요하다. 안랩시큐리티대응센터(ASEC) 한창규 실장은 “모바일 기기가 확산되고 있지만, PC는 여전히 공격자가 선호하는 공격 대상”이라며, ”피해를 예방하기 위해서는 모두가 알고 있는 기본 보안수칙을 ...

악성코드 안랩 2015.05.13

은밀한 리눅스 GPU 악성코드, "윈도우 PC뿐만 아니라 맥에도 잠복할 수 있어"

그래픽 카드에서 실행되는 리눅스 루트킷을 만든 익명의 개발팀이 윈도우에서도 동일한 기능을 수행하는 최신 기술검증 악성코드 프로그램을 배포했다. 그뿐만 아니라 맥 OS X에서도 동작하는 것으로 알려졌다. 이 개발자들은 현재 보안 업계에서 대비해놓지 않은 GPU를 악성코드로 감염시킬 수 있다는 인식을 높이기 위해 개발을 진행한 것으로 알려졌다. 이들은 악의적인 목적을 가진 해커는 아닌 것으로 보이나, 이들이 배포한 소스코드는 불완전하고 잠재적인 버그를 탑재할 수 있다는 점에서 불법적인 목적으로 악용될 소지가 많다. 이 개발자들은 윈도우나 리눅스와 같은 운영체제나 GPU 자체보다는, GPU가 사용하는 RAM(Random Access Memory)을 스캔하지 않는 기존 보안 도구를 악의적으로 사용할 수 있음을 강조하고 있다. 개발자에 따르면, 이 최신 윈도우 악성코드는 WIN_JELLY라고 명명되었으며, RAT(Remote Access, 원격제어) 또는 트로이처럼 행동한다. RAT는 공격자가 감염된 컴퓨터를 광범위하게 제어할 수 있는 권한을 부여하며, 지난 몇년 동안 많은 표적 공격에 사용됐다. 그러나 WIN_JELLY의 특정 기능에 대해서는 아직 자세히 밝혀지지 않았다. 기존의 관념을 새롭게 활용하다 그래픽 카드에서 동작하는 악성코드에 대한 개념은 새로운 것이 아니다. 지난 2013년 컬럼비아 대학교와 그리스 헬라스에 위치한 연구 및 기술 재단(Foundation for Research and Technology)는 학술 연구구를 목적으로 GPU를 이용한 키로거를 개발했다. 이들은 연구 논문에서 “GPU에서 범용 코드를 실행하는 기능은 악성코드 개발자들이 기존 방어 체계를 악용할 수 있는 새로운 활로를 제공할 것”이라고 경고했다. 기존의 안티 악성코드 도구는 그래픽 카드와 같은 별도의 하드웨어 장치의 메모리에 저장되거나 시스템의 CPU에서 실행되지 않는 악성 코드는 검출하지 못한다고 개발자들은 밝혔다. ...

GPU 악성코드 젤리피시 2015.05.12

“슈퍼피시, 전세계 구글 페이지 뷰의 4%에 광고 심는다”...구글

페이지에 광고를 주입하는 애드웨어가 구글 소유의 웹사이트를 방문하는 페이지의 5%를 임의로 변경하는 것으로 알려졌다. 그 중에서도 슈퍼피시(Superfish)는 이와 같은 형태의 프로그램 가운데 대표적인 사례다. 구글과 캘리포니아 대학교 연구진들은 지난해 6월부터 9월까지의 구글 사이트를 방문한 1억 200만 페이지 뷰를 분석했다. 구글은 프로그램 또는 브라우저 확장 프로그램이 페이지에 광고를 주입했는지를 감지하기 위해 사이트별로 코드를 심었다. 이들은 사용자 컴퓨터에 설치된 애드웨어가 전체에서 5.2%에 해당하는 5,339,913 페이지 뷰에 영향을 미쳤다는 사실을 밝혔다. 이들은 50,870개의 크롬 확장 프로그램과 34,407개의 애드웨어를 발견했다. 이 가운데 38%의 확장 프로그램과 17%의 프로그램은 악성코드로 분류되었으며, 그 나머지는 애드웨어 형태의 애플리케이션이었다. 대다수의 애드웨어는 광고를 표시하거나 다른 작업을 수행하는 1개 또는 그 이상의 라이브러리도 포함됐다. 슈퍼피시와 졸리월렛(Jollywallet)는 가장 흔히 찾아볼 수 있는 라이브러리였다. 슈퍼피시는 이미지 유사 검색에 기반하여 이를 대체할 수 있는 쇼핑 아이템을 제안하는 광고를 주입한다. 졸리월렛의 경우, 졸리월렛은 실제 팔리는 제품으로 트래픽을 유도하지 않고 추천 수수료를 벌기 위해 쇼핑 사이트의 URL의 제휴 매개 변수를 덮어씌운다. 한편, 슈퍼피시는 지난 2월 다시금 주목을 받은 바 있다. 중국 PC 제조업체인 레노버가 자사의 PC에 슈퍼피시라는 애드웨어를 선탑재했는데, '중간자공격'및 프라이버시에 대한 문제가 발생할 수 있다는 점에서 보안상 심각한 구멍으로 부각됐다. 레노버는 마이크로소프트 및 다른 보안 업체와 협력하여 슈퍼피시를 제거할 수 있는 도구를 배포했다. 연구진들은 자신들이 발견한 애드웨어 가운데 49,127개(96%)의 브라우저 확장 프로그램과 33,486(97%)개의 소프트웨어 프로그램이 superfish.com...

악성코드 애드웨어 브라우저 2015.05.11

"최신 악성코드 롬버틱, 발각되면 PC 데이터 파괴” : 시스코

보안 검사를 실행하는 도중에 발견되면 컴퓨터의 하드웨어를 파괴하는 새로운 형태의 악성코드가 발견돼 사용자의 주의가 당부되고 있다. 시스코 시스템즈가 롬버틱(Rombertik)이라고 칭하는 이 악성코드는 브라우저 창에 입력한 모든 일반 텍스트를 가로채는 것으로 알려졌다. 지난 4일(현지 시각) 시스코의 탈로스 그룹(Talos Group) 블로그에 게재된 글에 따르면, 이 악성코드는 스팸 및 피싱 메시지를 통해 확산되고 있는 상황이다. 롬버틱은 윈도우 컴퓨터에서 보안 검사가 진행되면, 해당 컴퓨터가 자신의 존재를 탐지했는지를 여러 번 확인한다. 탈로스 그룹의 벤 베이커와 알렉스 치우는 “이러한 형태는 일부 악성코드 형태에서 흔히 찾아볼 수 있으나, 롬버틱은 악성코드 분석과 연관된 특정 행동을 감지했을 때 컴퓨터를 적극적으로 파괴한다”고 밝혔다. 이와 같은 와이퍼(Wiper) 악성코드는 지난해 2013년 한국을 겨냥한 320 사이버테러와 지난해 소니 픽처스 엔터테인먼트(Sony Pictures Entertainment)를 겨냥한 사이버 공격에 사용됐던 것과 같은 것으로 알려졌다. 와이퍼 악성코드는 백신 프로그램을 무력화한 뒤 컴퓨터의 부팅영역을 파괴하고, 하드디스크를 망가뜨린 뒤 데이터를 삭제한다. 롬버틱이 수행하는 가장 마지막 단계가 가장 위험하다. 롬버틱은 메모리 리소스의 32 비트 해시를 계산하는데, 만일 해당 리소스 또는 컴파일 시간이 바뀌면 롬버틱은 저절로 데이터를 파괴하는 트리거를 건다. 해당 악성코드는 운영체제 시스템을 로딩하기 전에 컴퓨터가 읽어들이는 PC 하드 드라이버의 첫 번째 섹터인 마스터 부트 레코드(Master Boot Record, MBR)을 겨냥한다. 만일 롬버틱이 MBR에 액세스할 수 없으면, 무작위 RC4 키를 이용해서 사용자의 홈 폴더에 저장된 모든 파일을 파괴한다. MBR가 파괴되거나 홈 폴더가 암호화되면, 해당 컴퓨터는 재시작한다. MBR의 정보가 파괴된 탓에 컴퓨터는 무...

시스코 악성코드 롬버틱 2015.05.06

IDG 블로그 | 데이터 유출을 막으려면 사람을 산정하지 마라

칼럼리스트 롭 엔덜은 "악성코드는 점점 더 지능적이고 어려워진다. 사람들이 언제나 올바른 일을 할 것이라고 산정할 수 없다"고 말했다. 엔덜은 보안 침해에 약한 연계고리를 소재로 이야기를 꾸려나가며 자신의 비전을 제공한다(편집자 주). "자사가 해킹을 당했는데, 경영진들은 이를 받아들이지 못한다." 최근 RSA 컨퍼런스에서 아침을 먹다가 우연히 다른 테이블에서 인텔 보안팀이 얘기하는 것을 들었다. 필자는 '스피어피싱(spearfishing)'이라는 단어를 들었을 때, 귀를 쫑긋 세워 인텔 경영진 가운데 한명이 그 이야기의 핵심이라는 것을 알았다. 스피어피싱은 그들의 자격을 훔치거나 또는 하드웨어를 침투하기 위해 회사 내 특정 표적을 공격하는 것을 일컫는다. 들은 바로는, 그 인텔 고위 간부는 중국 대학원생이라고 주장하는 이로부터 PDF 문서가 첨부된 이메일을 받았다. 이 이메일은 대학원에서의 개인정보를 포함하고 있었으며, 이 개인정보는 그 고위 간부에게 합법적인 것처럼 보이기에 충분했다. 이메일에서는 그 고위 간부에게 첨부된 PDF 형태의 논문을 살펴보기를 요청했다. 그 PDF는 자체적으로는 경고가 일어날만한 방아쇠 역할을 하지 않았으며 해가 없는 것처럼 보였지만 그 고위 간부는 그것을 열지 않고 바로 맥아피 랩에 보냈다. 맥아피 랩에 따르면, 그 첨부파일에는 지금까지 본적이 없는 악성코드의 다양한 인스턴스가 포함되어 있었다. 다시 말해, 공격자들은 해당 고위 간부에 대해 스피어피싱 공격을 했을 뿐만 아니라 적대적 행위를 탐지하는 악성코드 탐지시스템이 볼 수 없도록 어렵게 만들어진 패키지로 디자인되어 있었다. 수년 전부터 전문가들은 PDF 파일은 특히 위험스럽다고 경고해왔다. 이번 사례에서 보듯이 완벽하게 패치를 한 상태에서도 공격 위험성을 완화시키지 못했다. 필자는 특히 악성코드가 보안업체 고위 간부에게 맞춤형으로 제작된다는 점에 무척 두려움을 느낀다. 보안업체 경영진들...

악성코드 데이터유출 보안 2015.04.28

세계 최고의 암호 해석가들, '랜섬웨어'에 대해 논하다

세계 최고의 암호 해석가들 사이에서 컴퓨터와 스마트폰에 저장된 파일을 암호화한 뒤, 복호화 키를 주는 대가로 돈을 요구하는 악성 프로그램인 랜섬웨어의 상승세에 우려는 표하는 목소리가 커지고 있다. 특히 암호화 알고리즘을 악용한 사례라는 점에서 주의가 당부되고 있다. 안티바이러스 업체인 F시큐어(F-Secure)의 보고서에 따르면, 랜섬웨어의 범람을 막기 위해 법이 제정되는 움직임이 포착되고 있음에도 불구, 랜섬웨어 프로그램의 피해는 점차 늘어나고 있다. 랜섬웨어의 일종인 브로우락(Browlock)은 경찰 기관을 사칭한 뒤 허가받지 않은 사이트를 방문한 대가로 벌금을 지불하도록 유도했으며, 이는 2014년 하반기 10대 PC 위협 가운데 하나로 손꼽혔다. 또한, 안드로이드 스마트폰에서도 랜섬웨어의 위협이 증가하는 추세다. 브로우락이 사용자가 자신의 데스크톱에 액세스할 수 없도록 차단하는 악성코드라면, 데이터를 복구조차 하지 못하게 만드는 것도 있다. 크립토락커(Cryptolocker), 크립토월(CryptoWall)과 CTB락커(CTB-락커)와 같이 사용자의 파일에 강력한 암호화 알고리즘을 적용하는 위협은 복호화 키에 대한 비용을 지불하지 않고는 파일 복구가 불가능하게 만든다. 자신의 파일에 적용된 암호화를 풀기 위해 실제로 해커 집단에 돈을 지불하고 있다는 정황들이 다수 포착되고 있어 이러한 위협이 얼마나 담대하고 효과가 있는지를 단편적으로 알 수 있을 정도다. RSA 보안 컨퍼런스에서 랜섬웨어 패널 토론에 참석한 RSA 암호 시스템의 공동 발명자인 아디 샤미르는 “매우 심각한 문제라고 생각한다”며, “랜섬웨어를 멈출 수 있는 새로운 기술을 생각해봐야 할 시점이 온 것 같다”고 말했다. 샤미르는 현재로서는 랜섬웨어의 질주를 막을 수 있는 좋은 대안이 없다며, 이제 겨우 시작일 뿐이라고 덧붙였다. 또한, 오늘날 사용자의 PC와 스마트폰에 악영향을 미치고 있는 랜섬웨어가 스마트 TV를 비롯...

악성코드 암호화 RSA 2015.04.27

“클리앙의 국내 최초 DBD-랜섬웨어 유포 사태, 사전 차단 중요”… 빛스캔

전세계적으로 랜섬웨어 피해가 극심한 가운데 국내에서도 대규모 피해 사태가 일어나 각별한 주의가 당부되고 있다. 신규 취약성을 중심으로 국내 주요 웹서비스에 대한 공격과 악성코드에 감염되는 사례가 증가할 것으로 예상되는 다운데, 초기 대책에 대한 중요성도 대두하고 있다. 23일 빛스캔은 최근 클리앙 웹사이트에서 DBD(드라이브 바이 다운로드, Drive by Download) 공격 방식으로 배포된 크립토웨어에 관한 분석 및 전망을 내놓았다. 빛스캔은 지난 21일 발발한 클리앙 사태가 전세계를 무대로 활용하는 랜섬웨어 해커 집단이 공격 대상을 한국으로 확대된 것이라고 분석했다. 현재까지 분석된 내용에 따르면, 공격자들이 클리앙 웹사이트를 해킹하여 악성링크를 추가한 것으로 확인됐다. 해당 악성코드는 사이트 광고 서버를 통해 재유포되고 있으며, 악성코드 경유지는 트위터로 리다이렉션되고 있는 상황이다. 이 악성코드에 감염된 PC의 주요 파일은 암호화되며, 해당 국가로 작성된 txt, html을 생성해 사용자에게 PC가 감염된 사실을 알리는 것으로 확인됐다. 좀비 PC의 IP 주소를 기반으로 국가별 또는 언어별로 안내문구를 작성하는 것도 확인됐다. 이번 공격은 국내 최초 DBD 공격 방식을 이용한 랜섬웨어 대량 감염이라는 점에서 의미가 크다. DBD 공격은 주로 원격통제나 금융정보 탈취를 위한 용도로 발생하였으나, 불특정 다수에게 랜섬웨어를 유포한다는 점에서 심각한 상황을 야기하고 있다. 빛스캔은 현재 국내 사이트를 통해 감영에 이용된 취약성은 인터넷 익스플로러와 플래시 등 시일이 지난 취약성을 활용하였으나, 앞으로 신규 취약성도 추가로 악용할 경우 피해는 지금보다 더 커질 수도 있다고 경고했다. 이어, 사후 대책에만 치우치는 상황에 대해서 우려를 나타냈다. 백신 및 보안업데이트가 중요하기는 하지만, 사건이 일어나는 시점에서는 빠르게 대처하기 어려운 부분이 있다. 또한, 해당 악성코드를 안전하게 제거하더라도 이미 데이터는 암호화되어 있어 ...

악성코드 보안 랜섬웨어 2015.04.23

시만텍, 인터넷 보안 위협 보고서 제20호 발표..."2014년은 고도의 취약점 공격과 지능형 공격이 화두"

오늘날 보안사고를 원천적으로 차단하고 악성코드에 감염되지 않도록 하는 것은 불가능한 일로 인식되고 있다. 하루에만 약 100만 개의 새로운 악성코드가 발생하고 있으며, 풍부한 자금력으로 고도로 조직화된 사이버 공격자들이 지능적인 해킹을 시도하고 있기 때문이다. 시만텍은 2014년의 정보보호시장의 화두는 '고도의 취약점 공격과 지능형 공격 전술'이라는 분석을 내놓으며 침입을 탐지하고 막는 기술도 중요하지만, 피해규모를 최대한 줄이는 방안도 모색해야 한다고 강조했다. 시만텍은 14일 '인터넷 보안 위협 보고서(Internet Security Threat Report)' 제20호를 발표하고 2014년 한 해 동안의 주요 사이버 범죄 및 보안 위협 동향에 대한 분석 결과를 공개했다. 이번 보고서에 따르면, ▲지능형 사이버 공격 전술 확대 ▲광범위한 제로데이 공격 ▲사이버 협박을 위한 랜섬웨어 진화 ▲소셜 미디어 및 모바일 플랫폼 공격 증가 ▲악성코드 증가 ▲IoT(사물인터넷) 보안 위협 부상 등이 주목해야 할 보안 위협으로 나타났다. 시만텍 보안사업 부문 한국 총괄 박희범 대표는 “해커들은 한층 정교하고 지능화된 공격 기법을 기반으로 목표 대상에 더 민첩하고, 은밀하게 공격을 감행하는 한편, 이를 방어해야 하는 기업과 조직은 상대적으로 대응 속도와 능력이 떨어져 그 격차가 현저하게 벌어지고 있다”며, “또한, 개인 사용자를 노리는 보안 위협도 빠르게 진화하고 있어 이에 대한 보안 의식 제고와 함께 대응 방안을 시급하게 마련해야 할 것”이라고 말했다. 한 발 앞선 고도의 지능형 사이버 공격 전술의 확대 2014년 한 해 특정 대상을 목표로 스피어피싱(Spear-phishing) 이메일을 이용해 네트워크에 잠입하는 지능형 표적공격 캠페인은 전년 대비 8% 증가하는 양상을 보였다. 전반적으로 스피어피싱 이메일이나 이를 수신한 기업은 각각 14%, 20% 감소하는 것과는 달리 공격...

시만텍 악성코드 유출 2015.04.14

ITWorld 용어풀이 | 랜섬웨어(Ransom ware)

전세계적으로 랜섬웨어(Ransom ware) 피해가 발생하고 있으며, 국내에서도 고도화된 랜섬웨어가 발견되는 등 새로운 보안 위협으로 등장하고 있다. 신종 악성 프로그램인 랜섬웨어는 파일을 인질로 잡아 금전을 요구한다고 해서 몸값, 배상금을 의미하는 랜섬(Ransom)이라는 수식어가 붙었다. 랜섬웨어에 감염되면 기기 부팅 시 암호를 요구하거나 문서, 그림 등 파일을 암호화해 정상적으로 사용하지 못하게 만든 뒤 이를 풀어준다는 조건으로 돈을 갈취한다. 여기에는 비트코인 또는 추적이 어려운 전자 화폐 수단이 활용된다. 대부분 랜섬웨어 바이러스는 파일을 온전히 유지하면서도 안전하게 제거할 수 있지만, 일부의 경우 고급 파일 복구 작업이 필요할 수도 있다. 그래서 랜섬웨어를 난이도에 따라 크게 3가지로 분류해 볼 수 있으며, 스케어웨어(Scareware), 락 스크린 바이러스(lock-screen viruses), 네스티 스터프(Really Nasty Stuff) 바이러스가 그것이다. 가장 단순한 형태의 스케어웨어는 2000년대 불량 안티바이러스 판매 기법에서 비롯됐다. 이 프로그램은 지속해서 팝업창을 올리며 사용자에게 컴퓨터 감염을 알렸으며, 이 문제를 고치려면 돈을 내야 한다고 경고한다. 이처럼 온통 경고창과 팝업으로 도배하는 대신 PC를 정상적으로 사용할 수 있도록 하는 것도 있으며, 아예 프로그램을 작동하지 못하도록 하기도 한다. 시간이 흐름에 따라 보안 교육과 신뢰할 수 있는 안티바이러스 소프트웨어가 대중화되고, 법적인 제재가 가해지는 등 복합적인 요소들이 작용함에 따라 스케어웨어의 인기는 식게 됐다. 다음은 락 스크린 바이러스라 불리는 랜섬웨어로, 공포심을 유발하는 전략을 앞세운다. 이 바이러스에 걸리면 기기를 전혀 사용할 수 없게 된다. 일반적으로 풀 사이즈 윈도우 창을 여러 개 띄우는데 FBI나 사법부 로고를 박아놓고 불법 다운로드로 법을 어겼으니 벌금을 내야 한다며 으름장을 놓는다. 콜러 폴리스(Koler Police)...

악성코드 랜섬웨어 용어풀이 2015.02.26

안랩, 세미나 초대장으로 위장한 악성코드 주의 당부

안랩(www.ahnlab.com)은 세미나 초대장 그림 파일로 위장한 악성코드를 이메일에 첨부해 유포한 사례가 발견돼 사용자의 주의를 당부했다. 공격자는 사용자들의 의심을 피하기 위해 실존하는 대학 부설 기관을 사칭한뒤, 해당 기관이 실제로 개최했던 외교 관련 가짜 세미나 초대장 파일 내부에 악성코드를 숨겼다. 해당 파일은 실행파일(확장자명: .scr)이다. 아이콘을 그림파일용 아이콘으로 바꾸고, 악성행위 실행과 동시에 초대장으로 꾸민 그림파일을 사용자에게 보여주기 때문에 피해자는 해당 파일이 정상 동작하는 것으로 오인하기 쉽다. 이 악성코드를 실행하면 특정 IP(C&C서버)로 감염 PC의 정보를 전송한다. 이후에 동일 IP에서 특정 명령을 받아 수행하는 ‘백도어’ 역할을 할 것으로 추정된다. 백도어가 설치되면 공격자의 목적에 따라 다양한 악성코드 추가 설치 및 실행이 가능하므로 사용자의 주의가 필요하다. V3 제품군은 해당 악성코드를 진단하고 있다. 이 같은 피해를 줄이기 위해서는 ▲스팸성 메일/첨부파일 실행 금지 ▲파일 실행 전 파일 확장자 반드시 확인 ▲백신 프로그램 최신버전 유지 및 주기적 검사 등 보안 수칙을 실행해야 한다. 안랩 ASEC대응팀 박태환 팀장은 “사용자가 속기 쉬운 문서나 그림 파일로 위장 악성코드는 꾸준히 발견되고 있다”며 “이러한 악성코드는 중요 정보 유출 및 APT 공격의 경로가 될 가능성도 있어 사용자의 각별한 주의가 필요하다”고 말했다. editor@itworld.co.kr

악성코드 안랩 2015.02.17

2015년 엔드포인트 보안 전망, "BYOD 종말과 보안업체의 감소"

엔드포인트 보안은 단연 필자가 선호하는 보안 방식이다. 네트워크를 안전하게 보호하는 것은 끊임없는 작업과 경계를 요하는 어려운 과정이다. 사전에 최대한 견고한 보안을 확보하지 않은 채 클라이언트나 서버를 네트워크에 들여서는 안 된다. 필자의 데이터센터 경험을 바탕으로 이야기하자면 지금까지 수정한 중차대한 네트워크 취약점의 상당부분은 제대로 보안이 구현되지 않은 컴퓨터를 네트워크에 도입한 데서 기인했다. 이런 유형의 실수는 생각보다 많이 발생한다. 2014년 동안 네트워크 기반 정보 보안 공격 사례는 횟수가 증가하면서 수시로 뉴스에 등장했다. 이제 이런 사고가 유명 웹사이트에서 보고될 정도에 이르렀다. 게다가 실제 보도되는 사고보다 보도되지 않는 사고가 훨씬 더 많다는 점도 고려해야 한다. 이런 문제의 상당수는 견고한 엔드포인트 보안 전략을 통해 예방할 수 있다. 앞으로 기업과 기관들은 이런 사고에 지능적으로 대처할 수 있을까? 기술이 빠른 속도로 발전하는 환경에서 2015년 엔드포인트 보안은 어떻게 구현될까? 지금까지 IT 부문을 지켜본 바로는 다음과 같이 예견할 수 있다. BYOD의 종말, CYOD의 시작 2007년 이후 개인용과 업무용 스마트폰 사용량이 폭증했다. 사무실에서 근무하는 사람들은 유튜브에서 고양이 동영상을 보고, 유료 게임을 결제하고, 개인적인 금융 거래를 하는 데 사용하는 기기에 그대로 회사 업무 내용을 담은 채 집으로 간다. 또한 구글 월릿, 애플 페이와 같은 NFC 결제 앱 덕분에 스마트폰으로 상점이나 음식점에서 물건 값을 치르는 사람들도 많아졌다. 기업들은 BYOD(Bring Your Own Device)를 허용하면 직원용 모바일 기기를 구매할 필요성이 사라지므로 비용이 절감되고 생산성도 향상될 것이라고 생각한다. 그러나 BYOD는 기업 네트워크에 많은 보안 문제를 일으킨다. 임직원의 기기에 기업의 기밀 데이터가 저장되지 않는 경우라 해도 마찬가지다. 앞서 언급한 앱 결제, 뱅킹, NFC 결제는 직...

악성코드 안티바이러스 BYOD 2015.02.03

2014년 모바일 악성코드 감염 수 전년 대비 75% 증가

미국 샌프란시스코의 모바일 보안 업체인 룩아웃(Lookout)의 최신 보고서에 따르면 2014년 악성코드에 감염된 모바일 사용자는 2013년에 비해 75%나 증가한 것으로 나타났다. 룩아웃이 전세계 6,000만 사용자로부터 집계한 데이터를 기반으로 작성된 보고서를 보면 2014년 모바일 악성코드에 감염된 사용자 비중은 7%로, 2013년 수치에서 3%가 증가했다. 특히 미국에서 안드로이드를 사용하는 400만 명의 사용자는 랜섬웨어(사용자 기기에 잠입해서 파일을 암호화하여 열지 못하게 만든 뒤, 돈을 요구하는 프로그램)에 노출되는 등 이 캠페인의 확산이 큰 영향을 미친 것으로 보인다. 룩아웃의 엔터프라이즈 제품 담당 부사장인 아론 코케릴은 “이와 같은 위협은 더 이상 일반적인 수준에 머물지 않는다. 기업 관점에서 보면 훨씬 더 정교하고 위험한 형태로 발전하고 있다”고 말했다. 코케릴은 “악의를 가진 이들이 회사 네트워크에 대한 액세스 권리를 얻는 공격과 같이 기업에 진심으로 관심을 표현하는 공격이 자주, 그리고 훨씬 더 정교하다는 점에서 명확한 증가가 있다는 것을 발견했다”며, “또한, 기기 루팅이나 탈옥을 도와주는 앱이 더 많이 보급화되고 정교해짐을 알게 됐다”고 말했다. 특히 기업에서 모바일 기기와 관련된 가장 큰 보안 위협 요인으로는 민감한 데이터의 손실과 기업 네트워크로의 불법적인 접근이다. 코케릴은 “자사가 발견한 취약점들은 데이터 탈취와 사내 네트워크로의 불법 접근을 목적으로 한다”고 설명했다. 룩아웃의 수석 보안 프로덕트 매니저인 제러미 린든에 따르면, 감염된 사이트에서 파일을 내려받거나 스팸 메일의 악성 링크를 클릭하는 것이 전형적인 악성코드 감염 경로다. 특히 가장 많이 감염된 기기는 안드로이드 기기며, 윈도우 폰은 그 비중이 높지 않았다. 린든은 “윈도우 폰의 경우, 현재 악성코드 제작자들이 신경 써야 할 정도로...

모바일 악성코드 ios 2015.01.16

북한 공식 뉴스 사이트인 조선 중앙 통신, 악성코드 유포

보안 전문가들은 북한의 공식 뉴스 사이트가 플래시 플레이어 인스톨러(Flash Player installer)로 가장한 악성코드를 유포하고 있음을 발견했다. 출처. http://infosecotter.com 북한 정부가 운영하는 북한 공식 뉴스통신사인 조선 중앙 통신(Korean Central News Agency, KCNA)의 웹사이트를 방문한 사용자들은 자신의 컴퓨터가 악성코드에 감염됐는지 여부를 점검해야 한다. 한 보안 연구원은 조선 중앙 통신 사이트에서 FlashPlayer10.zip이라는 이름의 악성파일을 뿌리고 있음을 발견했다. 이 파일은 kcna.user.exploit.exploit.kcmsf로부터 로드된 자바스크립트 코드에 의해 실행된다. 여기서 kcmsf는 이 사이트에서 사용된 확장자 파일이다. 인포섹오터(InfoSecOtter)라는 온라인 명을 사용하는 이 연구원은 11일 자신의 웹페이지에 "FlashPlayer10.zip은 'Install Flash Player 10 Activex.exe'와 'Install Flash Player 10 Plugin.exe' 등 두 개의 실행파일을 갖고 있다. 바이러스토털(VirusTotal)에 스캔한 바에 따르면, 두개의 파일 모두 악성코드였다"고 게재했다. 이와는 별개로 안티바이러스 업체 비트디펜더(Bitdefender)의 보안 연구원들은 13일 북한 공식 뉴스통신사 KCNA(Korean Central News Agency, 조선 중앙 통신) 사이트인 kcna.kp 내에 압축 파일 형태로 있는 이 파일들은 악의적인 파일임을 확인했다. 비트디펜터 수석 애널리스트 보그단 보테자투는 "빠르게 살펴본 바, 이 실행파일은 브라우저로부터 비밀번호를 훔치는 악성코드로 추정된다"며, "또한 다른 역할도 있을 지 모르는데, 이를 자세히 분석하려면 시간이 좀더 필요하다"고 설명했다. 이 파일 가운데 ...

악성코드 북한 조선중앙통신 2015.01.14

한수원, 7월 웹사이트를 통해 악성코드 감염 가능성...빛스캔

최근 한수원(한국수력원자력)의 해킹 사건으로 전국, 아니 전세계가 떠들썩한 가운데, 더이상 사이버 보안이 IT 산업에 국한된 것이 아님을 여실히 증명하고 있다. 한수원 해킹 방법과 침입 통로에 대해 여러가지 주장이 대두되는 가운데, 공식적으로는 이메일에 첨부된 악성코드가 담긴 한글문서로 인한 것으로 내부 PC의 정보를 삭제하려 한 시도가 확인된 것으로 파악됐다. 하지만 지난 7월, 모두투어 여행사의 한수원 내부직원을 위한 전용 웹사이트에서 이미 악성코드를 유포한 정황을 발견했다는 한 보안업체의 주장이 나왔다. 빛스캔에 따르면, 당시 기록에서 모두투어가 악성링크가 삽입된 이후 관련되었던, 카테고리 사이트와 연관되어 있는 대부분의 사이트가 동시에 같은 악성링크가 삽입되어 영향을 주었다. 이 과정에서 한수원이 포함되어 있었으며, 해당 악성링크의 영향을 받았던 것으로 추정된다고 밝혔다. 특히 한수원 모두투어 사이트 같은 경우 한수원 임직원만 이용하도록 제작된 사이트로, 일반인이 접근해 이용하기는 쉽지 않다. 빛스캔 측은 "이 사이트는 한수원 내부 임직원을 위한 페이지일 확률이 높다고 볼 수 있으며, 보안에 취약한 사용자가 이 기간 동안에 해당 사이트를 방문했을 경우에는 악성코드의 감염확률이 높다"고 말했다. 한 마디로 워터링 홀 공격(Watering Hall Attack)에 당했다는 것이다. 워터링 홀 공격은 해커들은 모든 권한을 가진 웹사이트에서 소스를 변경해 악성링크를 방문자들에게 자동으로 실행하도록 구성해, 대상을 한정해 악성코드를 감염시키는 표적형 공격 방법이다. 공격할 대상을 미리 선정한 후, 그 대상의 생활 패턴들을 파악하고 자주 접속하는 사이트, 자주 방문하는 장소 등을 파악하는 등 공격 대상에 대한 정보를 빼낸다. 이후 수집된 정보를 바탕으로 보안이 취약한 사이트를 찾아 해킹을 시도해 악성코드나 링크를 심어 두고 공격 대상이 해당 사이트를 접속할 때까지 기다리는 것이다. 지난 몇년 동안 국가 기관...

악성코드 빛스캔 한수원 2014.12.29

KISA, ‘더 인터뷰’ 영화 파일을 가장한 악성코드 주의보

한국인터넷진흥원(KISA)은 북한 김정은 국방위원장 암살을 다룬 ‘더 인터뷰’ 영화 파일을 가장한 스마트폰 악성코드가 개인들간 파일 공유 프로그램인 토렌트를 통해 유포된 사례가 발견됐다며 스마트폰 이용자들의 주의를 당부했다. 한국인터넷진흥원은 한국 맥아피로부터 관련 악성코드 샘플을 제공받아 분석한 결과, 해당 악성코드는 국내 스마트폰 뱅킹에 필요한 금융정보를 유출하는 것으로 확인됐다. 또한 악성코드 유포지 및 정보 유출지로의 접속 경로를 ISP를 통해 긴급 차단했다. 한국인터넷진흥원 박상환 코드분석팀장은 “스미싱 문자 메시지로도 해당 영화를 사칭한 악성코드가 유포될 우려가 있으므로 악성코드 감염을 막기 위해서는 필요한 영화와 앱들은 반드시 공식 웹사이트 또는 앱 마켓을 통해 다운로드해야 한다”고 당부했다. editor@itworld.co.kr

악성코드 KISA 2014.12.29

악성코드 차단의 5가지 새로운 원칙: 진화하는 위협에 대처

25년 전 첫 PC 바이러스가 등장한 후 악성코드는 크게 달라졌습니다. 오늘날 악성코드의 진화 속도는 너무 빨라서 많은 고객이 최신 위협을 앞서가는 것이 거의 불가능하다고 생각합니다. 악성코드 변종의 폭발적인 증가뿐 아니라 정교한 클라이언트 측 공격과 APT(advanced persistent threat)가 기존의 보안 정책을 우회하여 희생자를 노리고 있습니다. 문제는 네트워크가 지능형 악성코드의 공격을 받을지 여부가 아닙니다. 언제 공격이 발생할지, 어떻게 대응해야 할지가 문제입니다. 지능형 악성코드로 인해 보안 관리 방식이 달라지고 있습니다. 여러분이 알아야 할 악성코드 차단의 5가지 새로운 원칙이 있습니다. 주요 내용 “빅 데이터” 문제가 된 보안 협업이 열쇠 하나가 아닌 여러 개의 엔드포인트를 고려 협 환경을 가장 잘 아는 것은 바로 당사자 지능형 악성코드에 대한 보안

시스코 악성코드 APT 2014.12.29

Integrated Network Security Architecture: Threat-focused Next-generation Firewall

네트워크 보안 방어 기술이 더욱 정교해진 표적 공격과 지능형 악성코드의 공격을 막아내는 데 한계를 드러내고 있습니다. 이제 대기업은 상호 운용 가능한 네트워크 보안 아키텍처가 필요합니다. 위협에 중점을 두고, 확장성을 제공하며, 수동 프로세스를 자동화하고, 포인트 툴을 상호 운용 가능한 네트워크 보안 서비스로 대체하는 통합 네트워크 보안 아키텍처가 필요합니다. 네트워크 보안 아키텍처는 중앙집중식 명령 및 제어, 분산 시행, 실행 가능한 통합 인텔리전스를 포함해야 합니다. 주요 내용 네트워크 보안 과제와 네트워크 보안 격차 대기업에는 위협 대응에 초점을 둔 통합 네트워크 보안 아키텍처 중앙집중식 명령 및 제어 분산 시행 실행 가능한 통합 Cisco Network Security Architecture: 위협 대응 중심의 차세대 방화 

시스코 악성코드 파이어월 2014.12.28

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.