Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

"불안한 추세를 보여주는 최근 사례"와 사이버 공격의 이해

가상은행강도에서부터 국가규모의 반개방 공격에 이르기까지 지난 수년간 IT 보안은 많은 어려움을 겪었다. 최근 주요 사이버 공격과 이로부터 배울 수 있는 것들을 살펴보자.    사이버 공격에 대한 정의 간단히 정의하면, 사이버 공격은 하나, 또는 여러 컴퓨터를 이용해 다른 컴퓨터(하나 또는 여러 컴퓨터)나 네트워크를 공격하는 것이다. 사이버 공격은 크게 두 가지 유형으로 분류할 수 있다. 그 목적이 표적이 되는 컴퓨터를 비활성화 또는 오프라인 상태로 만드는 공격과 표적 컴퓨터의 데이터에 액세스를 하고 관리자 권한을 획득하는 것을 목적으로 하는 공격이다.     사이버 공격의 유형 사이버 공격자는 이런 목적들을 달성하기 위해 여러 다양한 기술적 방법이나 기법을 활용해야 한다. 항상 새로운 방법이나 기법이 많이 등장한다. 여기에서 소개하는 방법이나 기법 중에는 중복되는 것들도 있다. 그러나 가장 많이 회자되는 '개념'들이다. - 악성코드(Malware): 악성 소프트웨어(Malicious Software)를 줄인 말이다. 마이크로소프트는 "악성코드는 그 구조나 작동 방식에 상관없이, 하나의 컴퓨터, 서버, 컴퓨터 네트워크에 피해를 초래하도록 설계된 모든 종류의 소프트웨어"라고 정의한다. 웜(Worm), 바이러스, 트로이목마(trojans)는 모두 악성코드의 변종이다. 재생산 및 확산 방법에 따라 서로 구분이 된다. 이런 공격으로 컴퓨터나 네트워크를 작동 불능 상태로 만들거나, 시스템을 원격으로 제어할 수 있도록 공격자에게 관리자 권한을 승인하게 만들 수 있다. - 피싱(Phishing): 사이버 공격자가 이메일로 표적으로 삼은 사람을 속여 유해한(위험한) 행동을 하도록 만드는 공격 기법이다. 이메일을 수신하는 사람을 속여, 중요한 문서나 자료로 가장한 악성코드를 다운로드받게 하거나, 은행 사이트의 사용자 이름과 비밀번호 같이 민감한 정보를 캐내는 가짜 웹사이트로 연결된 링크를 클릭하도록 만든...

악성코드 제로데이 사이버공격 2018.12.10

AV-TEST 선정, 업계 최고의 안티 바이러스 소프트웨어 14선

AV-TEST 연구소는 최근 가장 인기 있는 윈도우 10 클라이언트 안티바이러스 제품을 3가지 기준, 즉 보호(protection), 성능(performance), 사용성(usability) 측면에서 테스트했다. 18종의 테스트 제품 가운데 각 기준의 최고 점수인 6점을 모두 획득한 제품은 6개에 불과했다. 즉, 비트디펜더 엔드포인트 시큐리티 6.6(Bitdefender Endpoint Security 6.6), 카스퍼스키 랩 엔드포인트 시큐리티 11(Kaspersky Lab Endpoint Security 11), 카스퍼스키 스몰 오피스 시큐리티 6(Kaspersky Small Office Security 6), 마이크로소프트 윈도우 디펜더 안티바이러스 4.18(Microsoft Windows Defender Antivirus 4.18), 그리고 시만텍 엔드포인트 프로텍션 14.2(Symantec Endpoint Protection 14.2) 및 엔드포인트 프로텍션 클라우드 22.15(Endpoint Protection Cloud 22.15)였다. 여기서 알파벳 순으로 나열된 상위 14개 안티바이러스 제품은 최대 점수인 18점으로부터 최소 17점을 얻은 제품들이다.   링크의 인포그래픽에서 테스트 결과 요약본과 윈도우 7 및 윈도우 8에 대한 이전의 테스트 정보도 볼 수 있다. 결과에 대한 자세한 사항은 AV-TEST 연구소 웹사이트에서 얻을 수 있다.  최고의 윈도우 10 안티바이러스  1. 어베스트 안티바이러스 비즈니스 18.5 및 18.6  어베스트 안티바이러스 비즈니스(Avast Antivirus Business)18.5 및 18.6은 성능 및 보호 측면에서 조금만 향상되면 최고 점수를 받을 수 있을 것이다. 모든 제로 데이 악성코드 공격의 99.3%를 중지시켰지만, 가장 큰 문제는 인기 웹사이트를 시작할 때 느려지는 현상이다. 업계 평균 보다 표준 PC에서 6%포인트가 더 느렸다. 그 외의 경우 허위 경고, ...

악성코드 안티바이러스 백신 2018.12.10

2018년 악성코드 최신 동향과 쉽고 실행 가능한 엔드포인트 보안 운영 전략 - IDG Summary

최근 기업 사용자는 데스크톱 PC뿐만 아니라, 노트북, 태블릿, 스마트폰, 그리고 수많은 이동식 저장장치를 사용한다. 진화하는 악성코드와 취약점은 주로 이런 엔드포인트 기기들을 노리고 있어 기업의 보안 상태는 나날이 위험해지고 있다. 최신 악성코드 동향과 엔드포인트 보안 운영의 주요 과제를 살펴보고, 이를 해결할 수 있는 현실적이고 실현 가능한 보안 전략에 대해 알아보자. <주요 내용> - 잠시 숨 고르고 돌아온 랜섬웨어 - 직접 채굴에 나선 악성코드 - 대표적인 표적형 공격, 워터링 홀 - 표적에게 창을 던지는, 스피어 피싱 공격 - 해킹의 문, 취약점 공격 - 엔드포인트 공격 악성코드에 대응하는 방법, 엔드포인트 하드닝 - 보안 운영자의 현실적인 고민, “너무 많은 엔드포인트 보안 솔루션” - 엔드포인트 보안을 위한 통합적·체계적 관리, 안랩 EPP 매니지먼트 - 쉬운 보안, 실행 가능한 보안을 위한 안랩 EDR - 안랩 EDR의 효과  

맬웨어 악성코드 엔드포인트 2018.12.07

최고의 안티바이러스가 충분치 못한 이유와 여전히 필요한 이유

전통적인 시그니처 기반 안티바이러스(AV) 솔루션은 제로데이 공격이나 랜섬웨어처럼 전례가 없는 새로운 위협에 속수무책일 정도로 취약하다. 그럼에도 불구하고 많은 기업이 다중 엔드포인트 보안 전략의 일환으로 시그니처 기반 안티바이러스 솔루션을 유지하고 있다. Credit: Getty Images Bank 시그니처 기반 솔루션의 제1 목적은 보안의 최전선에서 대부분의 악성코드 공격을 막아 다른 엔드포인트 보안 소프트웨어들이 처리해야 할 물량을 최소한으로 줄여주는 것이다. 기존 안티바이러스 솔루션들은 각 악성코드의 특징을 담은 시그니처를 생성해 이를 기준으로 악성코드를 판단하지만, 이 방법은 일단 최초 감염자가 발생할 수밖에 없다는 치명적인 단점이 있다. 사이랜스(Cylance)의 마케팅 책임자 에드 메카프는 "그리고 설령 안티바이러스 솔루션 업체가 시그니처를 생성해 낸다고 해도 모든 엔드포인트에서 새로운 시그니처를 업데이트 하는 데에는 짧게는 수일에서, 길게는 수개월까지 걸린다. 이 때가 되면 사이버 공격의 여파는 전 기업에 퍼져 나가고 데이터는 이미 유출된 상태일 것이다"라고 말했다. 설문조사를 통해 보는 안티바이러스의 역할 변화 지난 해 블랙 햇 이벤트 참가자들을 대상으로 한 설문조사 결과에 따르면, 응답자의 73%가 전통적인 안티바이러스 솔루션을 무용지물이라고 답했다. NSS Labs의 전략 및 연구 부대표 마이크 스팬바우어는 "안티바이러스 솔루션의 악성코드 차단 및 보호 기능에 대한 신뢰가 급격히 추락하고 있다"고 말했다. 실제로 많은 연구 결과가 이런 주장을 뒷받침해주고 있다. 지난 9월, 보안 전문 기업 워치가드 테크놀로지스(WatchGuard Technologies)는 전통적인 안티바이러스 솔루션에 대한 포괄적 테스트 결과를 발표했다. 워치가드는 안티바이러스 솔루션과 차세대 엔드포인트 보안 솔루션을 모두 사용하는 소비자들을 관찰해 전통적 솔루션이 제로데이 공격 예방에 얼마나 효과...

악성코드 안티바이러스 시그니처 2018.11.01

박멸했던 악성코드의 귀환, "사이버 용병은 '사회의 위협'"…사일런스

악성코드 박멸은 헤라클레스가 9개의 머리를 가진 히드라와 싸우는 것을 연상시킨다. 머리를 자를 때마다, 같은 자리에서 2개의 머리가 다시 자라난다. 이는 사일런스(Cylance)의 새 보고서의 메시지다. 기업 네트워크 방어자는 물론 일반인도 명심해야 할 교훈이다.  Credit: Getty Images Bank 이른바 사이버 용병은 중동의 압제 정권 및 체제에 악성코드를 판매하고 있다. 그리고 올해 초 시티즌 랩(Citizen Lab)의 조사 결과에 따르면, 중동의 압제 정권은 국민들을 공격하는 데 이런 악성코드를 이용하고 있다. 터키와 이집트 정권은 국내 ISP로 하여금 캐나다에서 만든 샌드바인(Sandvine)/프로세라(Procera) 딥 패킷 검사 미들박스를 운영하도록 강제하고 있다. 이를 통해 어베스트(Avast), VLC 플레이어, WinRAR 같은 인기 소프트웨어의 암호화되지 않은 HTTP 다운로드에 악성코드를 주입한다. 이집트와 터키, 그리고 터키 국경 인근인 시리아의 많은 사용자가 여기에 영향을 받고 있다.  시티즌 랩이 보고서를 발표한 이후, 사일런스는 6개월 간 프로메튬(promethium)이나 스트롱피티(StrongPity)와 같은 악성코드가 어떻게 바뀌었는지 조사했다. 사일런스의 위협 인텔리전스 책임자 케빈 라이블리는 본지와의 인터뷰에서 "레이더에서 침해가 사라진 것처럼 보일 수 있다. 그러나 정말로 사라졌다는 의미는 아니다"고 지적했다. 사이버 용병 그룹이 개발한 것으로 알려진 이 악성코드 그룹은 코드를 변경, 눈에 띄지 않게 활동을 하고 있을 뿐이다. 계속해서 압제 정권과 체제에 악성코드를 판매하고 있다는 의미다. 사이버 용병, 누구의 책임인가  직접 이런 악성코드를 개발할 리소스가 없는 압제 정권은 수 많은 사이버 용병 그룹이 반체제 인사, 언론인, 정적, 기타 정권이 좋아하지 않는 사람의 신원을 파악하고, 해킹하고, '스토킹'하고, 위협...

악성코드 사일런스 사이버용병 2018.10.26

뉴에그, "악성 코드 공격 받아" 8~9월 사용자 결제 정보 도난 가능성

온라인 유통 업체 뉴에그가 지난 수요일, 복잡한 피싱 공격으로 가입자 신용카드 정보가 탈취됐다고 발표했다. 뉴에그는 트위터에 발표한 성명서를 통해 “서버 일부에 악성 코드가 삽입돼된 것이 확인되었고 악성코드는 사이트에서 삭제된 상태다. 뉴에그는 광범위한 조사를 통해 악성 코드의 원인과 탈취 정보를 확인하고, 피해 가능성이 있는 사용자들에게 이메일을 발송할 예정”라고 밝혔다. 뉴에그를 공격한 것은 메이지카트(Magecart)라는 신흥 해커 조직이다. 보안 업체 RiskIQ의 연구자들은 공격재들이 뉴에그 페이지에 신용카드 정보를 훔치고 탈취한 정보를 Neweggstats.com이라는 주소로 전송하는 자바스크립트를 심었다고 분석했다. RiskIQ는 올해 초 브리티쉬 항공과 티켓마스터에서도 유사한 메이지카트 공격 시도가 있었다고 밝혔다.   뉴에그 공격에 사용된 코드는 주변 인프라와 섞여서 탐지하기 어렵도록 설계됐다. 뉴에그 측에서 공식 확인한 것은 아니지만, 컴퓨터와 모바일에서 뉴에그 판매 제품을 구입한 사용자가 타격을 입을 가능성이 크다. 보안 업체 볼렉시티(Volexity)의 한 연구원은 Neweggstats.com의 도메인이 등록된 날인 2018년 8월 16일에 악성코드가 심어졌을 것이라고 추측했다. 8~9월 사이에 뉴에그를 이용한 사용자가 영향을 받았을 가능성이 있다. 볼렉시티와 RiskIQ는 공동으로 이번 공격을 발견하고 뉴에그에 알렸으며, 뉴에그는 화요일 코드를 제거했다. 뉴에그는 이번주 안으로 더 많은 정보를 공개하고, 데이터 탈취 위험이 있는 사용자에게 연락을 취하겠다고 밝혔다. editor@itworld.co.kr

악성코드 뉴에그 메이지카트 2018.09.21

악성코드란 무엇인가, 바이러스, 웜, 트로이 목마, 그 이상의 것 이해하기

악성코드(Malware)는 바이러스(virus), 웜(worm), 트로이 목마(trojan)와 기타 유해한 컴퓨터 프로그램을 통틀어 일컫는 용어로, 컴퓨팅의 초창기부터 존재했다. 악성코드는 끊임없이 진화하며 해커는 악성코드를 사용해 파괴를 일삼고 민감한 정보를 훔친다. 악성코드와 싸우는 일은 정보보안 전문가의 일상적인 주 업무다. Credit: Getty Images Bank 악성코드의 정의 악성코드는 악성 소프트웨어(malicious software)의 줄임말이다. 마이크로소프트의 설명에 따르면 "하나의 컴퓨터, 서버 또는 컴퓨터 네트워크에 피해를 입히도록 설계된 모든 소프트웨어"를 통칭한다. 즉, 악성코드는 만드는 데 사용된 특정 기법이나 기술이 아니라 의도된 용도를 기준으로 분류된다. 악성코드의 유형 예를 들어 악성코드와 바이러스의 차이는 무엇이냐는 질문은 요점을 빗나간 것이다. 바이러스는 악성코드의 한 종류다. 따라서 모든 바이러스는 악성코드다(그러나 모든 악성코드가 바이러스는 아니다). 악성코드를 분류하는 방법은 여러 가지인데, 첫 번째는 악성 소프트웨어의 확산 방법에 따른 분류다. 바이러스, 트로이 목마, 웜이라는 용어는 구분되지 않고 혼용되는 경향이 있지만, 시만텍의 설명에 따르면, 각각은 대상 컴퓨터를 감염시키는 방법이 조금씩 다르다. - 웜은 독립적으로 실행되는 악의적인 소프트웨어로, 스스로를 복제하고 다른 컴퓨터로 확산된다. - 바이러스는 다른 독립적 프로그램의 코드 내에 스스로를 주입한 다음, 그 프로그램이 악성 행동을 하고 스스로 확산되도록 강제하는 컴퓨터 코드다. - 트로이 목마는 자가 복제는 하지 못하지만 사용자가 원하는 무언가로 위장해 자신을 활성화하도록 유도하는 방식으로 피해를 입히고 확산된다. 공격자는 컴퓨터에 물리적으로 접근하거나 권한 상승을 사용해 원격 관리자 액세스 권한을 얻는 방법으로 악성코드를 "직접" 컴퓨터에 설치할 수도 있다. ...

악성코드 malware 2018.08.14

“다 같은 바이러스가 아니다” 악성코드의 8가지 유형과 차이점

사람들은 보안 용어를 아무렇게나 사용하는 경향이 있다. 하지만 얼마나 다양한 악성코드(Malware)가 확산되어 있는지 알아야 억제하여 제거할 수 있기 때문에 악성코드 분류를 간소화하는 것이 중요하다. 이 간략한 악성코드 목록은 전문가들과 대화할 때 악성코드 용어를 이해하는데 도움이 될 것이다. 1. 바이러스 대부분의 매체와 일반 최종 사용자는 뉴스에 보도되는 모든 악성코드 프로그램을 컴퓨터 바이러스라고 부른다. 다행히도 대부분의 악성코드 프로그램은 바이러스가 아니다. 컴퓨터 바이러스는 피해자의 파일이 실행되었을 때 바이러스도 실행되어 다른 정상적인 호스트 파일(또는 이에 대한 포인터)를 수정한다. 요즘은 순수한 컴퓨터 바이러스가 흔하지 않으며 전체 악성코드의 10%가 되지 않는다. 좋은 일이다. 바이러스는 다른 파일을 "감염"시키는 유일한 유형의 악성코드이다. 해당 악성코드는 정상적인 프로그램에서 실행해야 하기 때문에 특히 청소하기가 어렵다. 항상 쉽지 않은 일이었고 지금은 거의 불가능에 가깝다. 최고의 백신 프로그램도 이와 관련하여 어려움을 겪고 있으며 많은 경우에 단순히 감염된 파일을 격리하거나 삭제한다. 2. 웜(Worm) 웜은 컴퓨터 바이러스보다 훨씬 오래 전인 메인프레임(Mainframe) 시대부터 있었다. 이메일로 인해 1990년대에 유행했고 컴퓨터 보안 전문가들은 메시지 첨부 파일로 도착하는 악성 웜에 약 10년 동안 시달렸다. 한 사람이 웜에 감염된 이메일을 열면 기업 전체가 즉시 감염되었다. 웜의 감염 특성은 자기 복제이다. 악명 높은 아이러브유(Iloveyou) 웜을 예로 들어보자. 발생 당시에 전 세계의 거의 모든 이메일 사용자가 감염되어 전화 시스템이 (사기 전송 문자 메시지로 인해) 과부하되고 텔레비전 네트워크가 다운되었으며 필자의 석간 신문도 반나절이나 지연되었었다. 이 외에도 SQL 슬래머(SQL Slammer)와 MS 블래스터(MS Blaster) 등의 웜이 컴퓨터 보안 역사에 한 획을...

바이러스 악성코드 트로이목마 2018.07.26

“악성코드 차단, 사용성, 기능까지” 최고의 안드로이드용 백신 앱 12선

상당히 많은 안드로이드용 안티바이러스 도구가 있다. 그 중에서 좋은 것을 골라 사용하는 것은 쉽지 않은데, AV-TEST가 20개의 안드로이드 보안 앱을 대상으로 12가지 안티바이러스 앱을 선정했다. AV-TEST 인스티튜트(AV-TEST Institute)는 독일에 위치한 독립적인 IT보안 및 백신 조사 서비스 제공 업체이다. 아래에 열거된 각 안드로이드 백신 소프트웨어 앱은 보호와 사용성 측면에서 6.0 만점을 받았다. 앱들은 알파벳 순서로 정리되어 있다. 시험한 모든 앱의 감지율은 54.8%~100% 범위이며 평균 96.9%를 기록했다. 1. 알리바바 모바일 시큐리티 5.8(Alibaba Mobile Security 5.8) 다른 모든 안드로이드 악성코드 방지 툴과 마찬가지로 알리바바 모바일 시큐리티는 새롭게 발견된 모든 악성코드와 기타 이전에 알려진 모든 악성코드를 감지했다. 사용성 측면에서 만점을 받았고 거짓 경고도 없었다. 도난 방지, 통화 차단, 메시지 필터링, 안전 브라우징, 앱 잠금 등의 기능도 제공한다. 하지만 시청 규제, 개인 정보 백업, 암호화는 제공되지 않는다. 2. 어베스트 모바일 시큐리티 6.10(Avast Mobile Security 6.10) 어베스트 모바일 시큐리티는 항상 실시간으로 안드로이드 악성코드 감지를 관리한다. 이전 4주 동안 발견된 최신 안드로이드 악성코드를 100% 발견했다. 이 앱은 배터리 사용 시간에 불리한 영향을 끼치거나 정상 사용 중 기기가 느려지는 일이 없다. 구글 플레이 또는 제 3자 앱 스토어의 정상적인 앱 설치 및 사용 중 거짓 경고가 전혀 없었다. 모바일 시큐리티의 안전 브라우징 기능은 피싱 공격과 악성 웹사이트로부터 보호하는데 도움이 되며 원격 삭제 등의 도난 방지 기능도 제공한다. AV-TEST는 앱 잠금, 프라이버시 자문, 와이파이 보안 등의 기능은 테스트하지 않았다. 3. AVG 안티바이러스 프리 6.9(AVG AntiVirus Free 6.9) AVG ...

맬웨어 악성코드 안티바이러스 2018.07.02

"북한의 RAT와 웜 악성코드를 경계하라"…미 FBI와 DHS

미 연방수사국(FBI)과 미 국토안보부(DHS)는 북한 정부와 연계된 해커들이 시스템에 원격으로 침투해 비밀번호와 기타 민감한 데이터를 훔치는 데 사용하는 두 가지 종류의 악성코드에 대한 기술적인 경고를 세부적으로 발표했다. 이 두 가지 악성코드는 원격 접속 도구(RAT)인 조냅(Joanap)과 서버 메시지 블록(SMB) 웜인 브램블(Brambul)이다. 이들 악성코드는 북한 정부의 악의적인 사이버 작전에 대해 미국 정부가 이름붙인 히든 코브라(Hidden Cobra)의 도구로 사용됐던 것으로 알려졌다. 미국 정부는 히든 코브라의 공격자들이 지난 2009년부터 악성코드를 사용해 왔다고 주장해왔다. 이번 경고는 지난 2014년 소니 픽처스 엔터테인먼트의 사이버 공격과 관련 히든 코브라 범죄자들을 비난하는 내용을 담았던 보고서 내용도 인용했다. 또한 1년 전, 전 세계에 확산됐던 파괴적인 특징의 워너크라이(WannaCry) 악성코드 공격에도 이 조직이 가담했다는 비난이 있었다. 미국 침해사고 대응팀(US-CERT)의 기술 자문은 다음과 같다. 신뢰할 수 있는 제 3자의 보고에 따르면, 히든 코브라에 가담한 사람들은 적어도 2009년부터 언론, 항공 우주, 금융 및 핵심 인프라 부문을 포함해 미국을 비롯 전 세계의 다양한 피해자들을 겨냥해 조냅과 브램블 악성코드를 사용해 왔다. 조냅 RAT 2단계 악성코드인 조냅은 히든 코브라 해커가 "데이터 추출, 2차 페이로드 삭제 및 실행, 손상된 윈도우 장치에서의 프록시 통신 초기화" 명령 등을 원격으로 실행할 수 있는 완전한 기능의 RAT다. 이번 경고에 언급된 다른 조냅 기능에는 "파일 관리, 프로세스 관리, 디렉토리 생성 및 삭제, 노드 관리" 등이 포함돼 있다. 조냅은 피해자가 손상된 사이트에서 무의식적으로 파일을 다운로드하거나 악의적으로 심어 놓은 이메일 첨부 파일을 열어 볼 경우, 다른 악성 프로그램을 통해 삭제한 파일 형태로도 시스템을 감...

악성코드 북한 FBI 2018.06.01

2018년 엔드포인트 보안 핵심 동향 5가지

엔드포인트 보안은 IT 초기 컴퓨터 보안의 직계 후손이라 해도 좋을 만큼 많은 면에서 유사한 점들을 보인다. 그러나 엔드포인트 보안은 이제 막 빠르게 발전하고 있는 카테고리로써 점차 네트워크 상의 PC, 서버, 그리고 휴대폰에 대한 통제를 조직화해 악성코드 및 침입자에 대비하려는 조직도 증가하고 있다. 수많은 보안 업체가 귀가 솔깃한 제안을 내놓고 있는 가운데, 올해 엔드포인트 보안은 어떤 방향으로 흘러갈 지 함께 살펴 보자. 엔드포인트 보안이란? 엔드포인트 보안은 엔드포인트, 즉 각 컴퓨터, 휴대폰, 태블릿 등 네트워크와 연결되어 있는 개별 디바이스의 보안을 철저히 함으로써 네트워크 보안까지 보장하려는 접근 방식이다. 그냥 방화벽을 치고, 안티바이러스 소프트웨어를 설치하는 것을 어렵게 돌려 말한 것뿐 아니냐고 생각할 수도 있다. 그리고 실제로 엔드포인트 보안이라는 개념이 처음 나왔을 때만 해도 단순히 안티바이러스 솔루션을 그럴듯하게 포장한 마케팅 용어가 아니냐는 의심이 없지 않았다. 그러나 이런 단순한 가정용 컴퓨터 보호 조치와 엔드포인트 보안의 차이점은 후자의 경우 엔드포인트에 설치하는 보안 툴 등을 기업 IT 부서가 중앙에서 관리한다는 것이다. 즉, 엔드포인트 보안은 2단계로 이루어진다. 엔드포인트 백그라운드에서 구동되는 소프트웨어 ‘에이전트’가 있고, 이들 에이전트를 모니터링 및 관리하는 중앙의 엔드포인트 보안 관리 시스템이 따로 존재한다. 관리 시스템은 IT 부서가 모니터링하는 제어판이 될 수도 있고, 자동화 시스템이 될 수도 있으며, 혹은 이 둘을 조합한 것일 수도 있다. 가끔 엔드포인트 보호와 엔드포인트 보안이라는 용어를 구분 없이 사용하는 사람들도 있다. 그러나 가트너에 따르면, 엔드포인트 보호 플랫폼이란 “엔드포인트 디바이스 보안 기능을 단일 제품에 통합해 안티바이러스, 안티스파이웨어, 개인용 방화벽, 애플리케이션 제어 및 기타 각종 호스트 침입 방지책(예컨대 행동 패턴 차단과 같은)을 제공하는...

악성코드 가트너 엔드포인트 2018.05.15

SK인포섹, 개인 금융정보부터 기업 내부정보까지 빼가는 악성코드 공격 주의

SK인포섹(www.skinfosec.com)은 최근 개인 인터넷 뱅킹 사용자의 금융정보는 물론, 기업의 내부 중요 정보를 탈취하는 악성코드가 발견돼 주의가 필요하다고 밝혔다. 이모텟(Emotet)이라 불리는 이 악성코드는 2014년 유럽에서 처음 발견됐다. 금융 정보를 탈취하기 위한 목적으로 만들어진 이모텟은 개인 인터넷 뱅킹 사용자들에게 무작위로 스팸 메일을 발송해 웹 브라우저를 감염시킨다. 이를 통해 사용자 계정을 알아내거나, 암호화된 인터넷 통신 데이터까지 탈취한다. SK인포섹의 보안 전문가 그룹인 EQST에 따르면 최근 국내에서 발견된 이모텟 악성코드가 한층 더 고도화된 기법이 사용됐다. 불특정 다수에게 스팸 메일을 보내는 방식에서 특정 기업을 목표로 소셜 엔지니어링 기법을 통해 이메일 APT 공격을 감행한다는 설명이다. EQST그룹은 국내 중견기업 몇 곳이 이 같은 방식으로 이모텟 악성코드에 감염돼 실제 피해를 입었다고 밝혔다. 거래처 발신자로 위장해 악성코드가 담긴 문서를 메일을 보내 사용자 PC를 첫 감염시킨 후, 네트워크로 악성코드를 전파해 내부 PC와 주요 시스템에서 정보를 빼갔다. 또한, 이번에 피해를 입힌 이모텟은 공격 기능별로 모듈화돼 있다. 때문에 공격 대상의 IT환경에 맞춰 유동적으로 동작하며, 감염 단계를 세분화시켜 보안 솔루션으로 탐지하기가 매우 어렵다. SK인포섹의 위협 인텔리전스 데이터베이스에 따르면 이모텟 의심 메일은 올해 초부터 서서히 증가하기 시작해 3월부터는 지난해에 비해 약 5배 이상 증가하고 있는 것으로 나타났다. 악성 메일 발송은 지메일(gmail)을 사용하는 경우가 많았으며, 제목에는 ‘계좌(Account)’, ‘청구서(Invoice)’, ‘필수(Required)’ 등 메일 열람을 유도하는 단어가 많이 쓰였다. SK인포섹 EQST그룹은 이모텟 악성코드를 예방하기 위해 ▲출처가 불분명한 이메일과 URL 링크 확인 ...

악성코드 SK인포섹 2018.04.25

MS, 엣지 브라우저 ‘무기’였던 피싱 방어 기술 크롬 애드온으로 공개

마이크로소프트가 엣지(Edge) 브라우저의 주요 자산을 포기했다. 브라우저를 위한 피싱 추적 기술을 크롬 애드온으로 공개한 것. 이에 대해 한 애널리스트는 마이크로소프트에겐 선택의 여지가 많지 않았다고 지적했다. 디렉션 온 마이크로소프트(Directions on Microsoft)의 마이클 체리는 “피싱은 큰 문제이며, 사람들은 사용하는 브라우저만 사용한다. 마이크로소프트는 윈도우 생태계를 보호하기 위해 이같은 결정을 했다”고 분석했다. WDBP(Windows Defender Browser Protection)이라는 이름의 애드온은 윈도우와 맥OS의 크롬 브라우저에 무료로 사용할 수 있으며, 후에는 크롬 OS에서도 사용할 수 있게 될 예정이다. 엣지에서와 마찬가지로 이 애드온은 마이크로소프트의 스마트스크린(SmartScreen) 기술에 의존한다. 스마트스크린 기술은 악성 웹사이트가 악성코드를 기기에 다운로드 하려고 하거나 이메일에 연결된 사이트가 알려진 피싱 URL이 포함된 경우 사용자에게 경고해준다. 마이크로소프트는 지속해서 변경되는 이런 악성 목적지 목록을 자체적으로 보유하는데, 이 목록은 부분적으로 스마트스크린 사용자들이 보내는 것으로 구성된다. 이것이 지금까지 알려진 WDBP의 동작 방식이다. 마이크로소프트는 사이트나 크롬 웹 스토어의 설명에서 이러한 일반적인 정보 외에는 공개하지 않았다. 크롬 웹 스토어 설명에는 “이메일에서 악성 링크를 클릭하거나 금융, 개인 및 기타 민감한 정보를 공개하도록 설계된 사이트를 방문하거나, 악성코드를 호스팅한 웹사이트에 방문하면 WDBP가 지속적으로 업데이트되는 악성 URL 목록과 대조한다”고 적혀 있다. 이것이 스마트스크린이다. 마이크로소프트는 WDBP에 대해 설명하면서, 2017년 발표된 NSS 랩스(NSS Labs)의 보고서를 언급했다. NSS 랩스는 엣지가 브라우저 중 피싱과 소셜 엔지니어링 악성코드 공격을 99%가량 방어하며 각...

맬웨어 악성코드 브라우저 2018.04.24

글로벌 칼럼 | 공황상태에 빠지기 전, 반드시 기억해야 할 안드로이드 보안 관련 6가지 ‘팩트’

안드로이드 보안은 ‘공포’를 불러오는 주제다. 몇 주 간격으로 머리카락이 곤두설 만큼 무서운 뉴스들이 인터넷에 넘쳐난다. 악마 같은 해커가 우리 스마트폰을 해킹해 데이터를 훔치고, 신경을 긁고, 때로는 믿기지 않아 자신의 살을 꼬집을 수밖에 없는 그런 악행을 자행하게 될 것이라는 뉴스들이다. 이번 주도 다르지 않다. 바이퍼랫(ViperRat)과 데저트 스콜피온(Desrt Scorpion)이라는 끔직한 안드로이드 악성코드에 대한 뉴스가 전세계 스마트폰 사용자들을 무서움에 들게 했다. 지난 주도 마찬가지다. 안드로이드 디바이스 제조사의 보안 업데이트를 건너 뛸 수도 있다는 뉴스가 사람들을 겁에 질리게 만들었다. 확실히 불안과 걱정을 야기하는 소식들이다. 특히, 일반적인 악성코드와 관련 없는 지난 주 뉴스는 더하다. 제조사가 사용자를 기만할 수도 있음을 경고하는 뉴스다. 그러나 유념할 부분이 있다. 가정법을 사용했다는 것이다. 그런데 보통 사용자의 관점에서 보면, 이런 겁나는 이야기들에 진짜 겁을 내야 하는 경우는 거의 없다. 앞으로도 안드로이드 보안과 관련된 겁나는 뉴스가 또 등장할 것이다. 이때 마음을 조금 편안하게 만들어주는, 그래서 진짜 걱정해야 할 일만 걱정하도록 도와주는 안드로이드 보안에 대한 ‘팩트’ 6가지를 소개한다. 1. 안드로이드 악성코드가 ‘마법 같이’ 사용자 스마트폰에 자동 설치되는 경우는 없다 대부분의 사람들은 악성코드를 전염병 같은 무엇으로 생각한다. 아무런 일도 하지 않았는데 몰래 침입해 은밀하게 피해를 초래하는 무엇으로 생각한다는 이야기다. 분명히 말하지만 그렇지 않다. 최악의 시나리오에도 이런 식으로 자동 침입해 피해를 초래하는 경우는 없다. 악성코드는 사용자가 수동으로 설치하고 관련된 접근 권한을 승인해야 스마트폰을 탈취해 악생을 저지를 수 있다. 안드로이드 보안에 대한 정보와 뉴스 대부분은 사용자가 의도적이든, 교모한 속임수에 넘어갔든...

맬웨어 스마트폰 악성코드 2018.04.19

올해 최고의 악성코드 위협, 랜섬웨어가 아닌 크립토마이닝…코모도

코모도 사이버보안 위협 연구소의 2018년 1분기 전세계 악성코드 보고서에 따르면, 올해 가장 큰 위협은 랜섬웨어 기반 공격이 아닌 크립토마이닝(Cryptomining) 기반 공격이었다. 코모도는 2018년 1분기동안 총 3억 건의 악성코드 사건 가운데 2,890만 건의 크립토마이닝 사건을 발견했는데, 이는 총 사건의 10%에 이른다고 밝혔다. 크립토마이닝 변종의 수는 1월 9만 3,750건에서 3월에는 12만 7,000건으로 증가했다. 동시에 이 보고서는 랜섬웨어가 형사상의 주목을 끌어 활동 비용이 대폭 오름에 따라 새로운 변종이 1월 12만 4,320건에서 3월 7만 1,540건으로 42%나 감소했다고 밝혔다. 랜섬웨어에 당하게 되면, 모든 것이 암호화되고 몸값 요구 화면을 보면서 사용자는 해킹 당했음을 알게된다. 그러나 크립토마이닝 공격은 공격자가 비밀리에 크립토마이너를 설치하도록 설정한 웹사이트를 방문한 모든 사람이 무슨 일이 일어나는지 알지 못한다. 크립토마이너는 암호화폐를 채굴하기 위해 피해자의 PC 리소스를 사용한다. 사이버범죄자가 랜섬웨어에 비해 크립토마이너를 선호하는 한 가지 이유는 랜섬웨어 공격이 예전처럼 잘 작동하지 않는다는 것이다. 코모도는 2017년 랜섬웨어가 세상에 많이 회자된 이후로, 반 랜섬웨어 조치들이 취해짐에 따라 랜섬웨어 공격 성공율이 떨어졌다. 그러나 가장 큰 이유는 암호화폐의 높은 가치때문이다. 지불할 수도, 지불하지 않을 수도 있는 몸값 요구와는 달리, 크립토마이너는 지속적으로 돈을 회수할 수 있다. 디지털 통화의 경우, 사이버범죄자들은 비트코인(Bitcoin)보다 모네로(Monero)를 채굴하는 걸 선호한다. 비트코인 채굴은 리소스를 많이 사용하고 트랜잭션을 추적할 수 있으며, 비트코인 지갑을 차단하거나 블랙리스트에 올릴 수 있다. 하지만 모네로는 특정 사람을 추적하거나 지갑을 블랙리스트에 올리거나 추적할 수 없다. 또한 모네로 블록은 2분마다 생산되는 반면, 비트코인 블록은 평균 ...

악성코드 랜섬웨어 코모도 2018.04.19

Cisco 2018 연례 사이버 보안 보고서

Cisco 2018 연례 사이버 보안 보고서에서는 기업과 사용자가 공격을 저지할 수 있도록 지원하는 최신 보안 기술 동향을 소개하는 한편 사이버 범죄자가 방어망을 뚫고 탐지 체제를 회피하는 데 사용하는 수법과 전략도 살펴봅니다. 이 보고서에서는 기업의 보안 실태와 해킹 대비의 중요성에 대한 의식 수준을 조사한 2018년 시스코 보안 역량 벤치마크 주요 연구 결과도 집중적으로 소개합니다. <68p> 주요 내용 악성 프로그램의 진화 / 암호화된 악성 웹 트래픽 이메일 취약점 / 샌드박스 우회 전술 클라우드 서비스 및 기타 정상적인 리소스 악용 / IoT 및 DDoS 공격 피해 비용 / 난제 및 장애물 영향: 보안 사고에 따른 공개 조사, 유출 위험 증가 전망: 기술 및 교육에 적극 투자 

시스코 악성코드 취약점 2018.04.12

맥 노리는 악성코드 익스플로잇 270% 증가

맥을 대상으로 한 보안 위협이 증가하고 있다. 보안 전문업체 맬웨어바이트(Malwarebytes)에 따르면, 지난해 맥을 대상으로 한 악성공격이 270% 증가했다. 2018년이 시작되고 2개월 동안 새로운 악성코드 익스플로잇 4종이 발견되기도 했다. 특히 맬웨어바이트는 이들 익스플로잇이 보안업체가 아닌 사용자에 의해 발견됐다는 점을 강조했다. 예를 들어, 한 맥 사용자는 DNS 설정이 변경됐음을 발견했는데, 이를 복구할 수가 없었다. OSM.MaMi로 알려진 이 악성코드 때문인데, 이 악성코드는 피해자의 맥에 신뢰할 수 있는 루트 인증서를 설치해, 웹사이트 피싱 및 중간자 공격에 취약하게 만든다. 맬웨어바이트는 또한, 국가적인 차원에서 악의적인 목적으로 개발된 악성 코드에 기반한 맥 대상의 새로운 자바 기반의 익스플로잇과 인기 소프트웨어 다운로드 웹사이트에 악성 링크를 넣는 공격도 발견했다. 맬웨어바이트는 이런 공격들이 증가하고 있다고 경고하면서, 맥 사용자들이 안전한 플랫폼을 사용하고 있지만 맥OS가 ‘방탄’이라고 여겨선 안 된다고 지적했다. 사이버 공격자들에게 기회를 제공한 ‘무시’ 애플의 플랫폼은 이런 공격에 안전하다는 것이 일반적인 인식이지만, 이는 잘못된 것이다. 물론 맥과 iOS 디바이스가 다른 플랫폼보다 안전하다는 것은 사실이나, 그렇다고 전혀 위험하지 않다는 것은 아니다. 애플의 플랫폼이 더 안전하다는 인식에는 경계가 필요하다. 특히 맥이 업무용 플랫폼으로 널리 사용되기 시작했다는 점에서 더욱 그렇다. 맬웨어바이트는 “애플의 맥OS에는 강력한 보안 기능들이 있지만, 새로운 악성코드는 이를 쉽게 우회할 수 있고, 모든 애드웨어(adware)나 PUP 문제들을 해결하는 것은 아니다”라고 경고했다. 사이버 공격은 점점 더 정교해지고 있다. 2015년 등장한 엑스코드고스트(XcodeGhost) 익스플로잇을 생각해보자. 앱에 악성코드를 주입...

맬웨어 악성코드 2018.03.13

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.