Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

조시큐리티, 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스 v20’ 출시

조시큐리티는 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스(JoeSandbox) v20’을 출시했다고 인섹시큐리티(www.insec.co.kr)가 밝혔다. 조샌드박스는 윈도우, 맥OS, 안드로이드, iOS 등의 운영체제를 포함한 실행 파일 및 문서 포맷에 대한 분석을 지원하는 통합 플랫폼이다. 조샌드박스 v20은 ▲최신 악성행위 시그니처 74개 추가 ▲포괄적인 자바스크립트 분석 ▲위치 정보 파악을 차단하는 로컬 인터넷 비식별화 ▲웹 API v2 ▲안드로이드 디바이스 관리 자동화 ▲위협 인텔리전스 등을 강화했다. 조샌드박스 데스크톱(Joe Sandbox Desktop), 모바일(Mobile), X, 컴플리트(Complete), 얼티밋(Ultimate) 버전에 새로운 악성코드 행위 시그니처 74개가 추가됐다. 특히, 지난해 이슈가 되었던 워너크라이(WannaCry), 페트야(Petya), 와이어X(WireX) 및 CVE-2017-8759 등이 추가돼 현재 1,414개의 명시적 규칙이 담긴 시그니처 셋을 포함하고 있다. 조샌드박스 v20은 모든 자바스크립트 변수 및 API 콜을 탐지하고 추적해 분석한다. 특히, 자바스크립트 파일의 복호화를 통해 숨겨진 회피 기술을 탐지한다. 자바스크립트 정밀 분석 기능은 기존의 풀 시스템 에뮬레이션 및 인터 모듈러 콜 추적 기법을 통해서는 확보할 수 없는 통찰을 제공한다. 타깃 공격을 위한 악성코드는 기기의 지리적 위치정보를 제공하는 API 표준인 IP 지오로케이션(geolocation) 정보를 확인한다. 예를 들어 미국 기업을 노리는 악성코드의 경우 미국 내 인터넷 공급업체에 속한 IP를 체크해, 기존의 블랙리스트와 IP 소유자를 비교한다. 조샌드박스 v20에는 이러한 지오로케이션 체크 시도를 차단하기 위해 로컬 인터넷 비식별화(Localized Internet Anonymization, LIA) 기능이 추가됐다. 조시큐리티는 이번 최신 버전을 통해 웹 API를 재설계...

악성코드 조시큐리티 2018.01.08

“봇넷 없는 세상은 불가능한가” 봇넷의 정의와 단시일 내의 근절이 어려운 이유

봇넷은 목표 시스템을 교란시키거나 침입하려는 국가, 사이버 범죄 조직, 또는 개인에게 일종의 전력 승수(force multiplier) 역할을 한다. 봇넷은 해커에게 잠식당한 상태로 인터넷에 연결된 모든 기기들의 집합이다. 주로 DDoS(distributed denial of service) 공격에 사용되지만, 그 밖에도 집합적 컴퓨팅 역량을 악용해 대규모 스팸 정송, 개인 정보 탈취, 그리고 개인 및 기관에 대한 스파이 행위에도 이용되기도 한다. 봇넷이 생성되는 절차는 단순하다. 연결 기기를 악성코드에 감염시켜 C&C(command and control) 서버를 통해 이를 제어하는 것이다. 일단 네트워크 상의 특정 기기를 감염시키는 데 성공하고 나면, 동일 네트워크상에 있는 취약성을 가진 모든 기기를 감염시킬 수 있게 된다. 봇넷 공격의 피해는 그야말로 막심하다. 지난해 미라이(Mirai) 봇넷 공격으로 트위터, 넷플릭스, CNN을 비롯한 주요 웹사이트가 전부 차단되고, 러시아는 주요 은행들이, 라이베리아는 국가 전체가 영향을 받았다. 미라이 봇넷은 보안 카메라 등 보안이 허술한 사물 인터넷 기기에 악성코드를 설치하고 인터넷 트래픽을 라우팅하는 DYN 서버를 공격하는 방식으로 이루어졌다. 이 사건으로 봇넷의 위험성을 인지하게 된 산업체, 기기 제조사들, 규제 당국, 통신사들, 그리고 인터넷 인프라 공급기관들은 일제히 감염된 기기를 식별하고 분리해서 제거하거나 패치했으며, 미라이 봇넷과 같은 봇넷이 다시는 생성될 수 없도록 신속하게 조치를 취했다…. ...라고 쓸 수 있으면 좋겠지만, 그런 일은 일어나지 않았다. 현실은 그 후에도 봇넷 공격이 수 차례 지속됐다. 지난 주 공개된 아카마이 인터넷 보안 보고서에 따르면, 봇넷은 여전히 건재할뿐 아니라 갈수록 더 영리하고, 끈질기게 진화하고 있다. 일례로 오늘날 해커들은 패스트 플럭스 DNS(Fast Flux DNS)를 사용해서 피해자가 추적할 시간조차 주지 않고...

봇넷 악성코드 DDos 2017.12.11

“가짜 뉴스는 위험한가?” 악성코드 위협 증가

가짜 뉴스는 여론을 흔들거나 사람들을 갈라놓기 위해 정교하게 만든 거짓 정보를 배포하는 것을 말한다. 가짜 뉴스가 정보 보안 전문가들의 주목을 받고 있는데, 식별하기도 차단하기도 어려울 뿐만 아니라 악성코드를 퍼드리는 데 일조하기 때문이다. 패스워드 관리 전문업체 다이코틱(Thycotic)의 최고 보안 과학자 조세피 칼슨은 “가짜 뉴스 공장은 많은 사람에게 영향을 미치기 위한 작전에 사용된다. 마케팅 목적이나 구매 결정일 수도 있고, 정치적인 불안이나 그저 진짜 의도를 숨기기 위한 목적일 수도 있다”라며, “소셜 미디어와 온라인 서비스가 일차적인 피해자이다. 사용자들에게 어디서 나온 정보인지 알 수도 없고 진위를 가릴 수도 없는 정보가 끊임없이 제공되기 때문이다”라고 지적했다. 또 하나의 문제는 가짜 뉴스가 종종 두 번째 목적이 있다는 것. 보안 교육 전문업체인 시큐어세트(SecureSet)의 부사장 스콧 넬슨은 가짜 뉴스가 소셜 엔지니어링이나 해킹 활동의 가장 최신 공격 요소라고 말한다. 피싱 공격과 유사하게 많은 변수가 작용한다. 페이스북 상의 의문스러운 링크가 모두 가짜는 아니며, 자동화된 탐지 툴이 모든 의심스럽거나 가짜인 콘텐츠를 잘 집어낼 수 있는 것도 아니다. 넬슨은 “이미지나 링크, 다운로드할 수 있는 가짜 뉴스, 이메일, 소셜 미디어 사이트에 악성코드를 내장하는 기법이 등장하면서 조직의 우려도 커지고 있다”며, “이런 기법은 더 이상 범죄 조직이나 스패머만의 것이 아니며, 이제는 정부기관도 프로파간다를 퍼뜨리거나 시스템을 감염시키고 스파이 활동을 하는 데 사용하고 있다”고 설명했다. 가짜 뉴스가 얼만 악성코드처럼 움직이는지 기업이 제대로 인식하지 못하는 것도 문제이다. 해커가 가짜 뉴스로 분류되는 기존과는 다른 접근 방법을 이용하는 것도 이 때문이다. 넬슨은 “조직은 정치적인 이슈나 가십거리를 퍼뜨리는 이 정교한 캠페인에...

악성코드 피싱 가짜뉴스 2017.11.17

IDG 블로그 | 구글 플레이 프로텍트가 실패하면

필자는 지난 몇 년 동안 안드로이드 보안에 관한 글을 많이 썼고 그 때마다 같은 이야기를 반복했다. 모바일 보안 소프트웨어를 판매하는 업체는 이론적인 위협 요소를 찾는다. 이론적인 위협 요소란 1) 실제 환경에서 실제 사용자에게 영향을 미친 적이 없고 2) 모든 기본 보안 수단이 비활성화되고 사용자가 수상한 포르노 포럼에 올라온 수상한 앱을 다운로드한다는, 한 마디로 도무지 있을 법하지 않은 시나리오를 제외한 실제 환경의 실제 사용자에게는 영향을 미칠 수 없는 위협 요소를 의미한다. 기억하기 쉬운 무서운 바이러스 이름이 난무하고 특정 보안 소프트웨어만이 사용자를 안전하게 보호할 수 있다는 이야기로 마무리되는 공포스러운 이야기를 써놓고, 정작 이러한 중요한 조건을 잘 보이지 않는 각주로 달아둔다. 효과적인 마케팅 형식은 분명하지만 동시에 몹시 선정적이기도 하다. 이 칼럼의 오랜 독자라면 안드로이드 보안의 현실을 잘 알고 대중을 향한 이러한 종류의 과장된 캠페인을 대부분 걸러 들어야 한다는 점도 잘 알 것이다. 그러나 이 범주에 속하지 않는, 진짜 맬웨어 위험 상황들이 최근 발생하고 있다. 예를 들어 수백 개의 인터넷 트래픽 생성 앱이 플레이 스토어를 거쳐 사용자 기기로 침투한 잘 알려진 와이어엑스(WireX) 봇넷 사건, 또는 왓츠앱(WhatsApp)을 가장해 이를 설치한 기기에 광고를 뿌린 더 최근의 가짜 왓츠앱 사건 등이다. 이 두 가지는 실질적 위협이었는데, 기본 구글 플레이 프로텍트(Google Play Protect) 보안 시스템은 침해를 전혀 파악하지 못했고 결과적으로 많은 수의 안드로이드 기기 소유자가 피해를 입는 상황을 막지도 못했다. 최종 사용자가 입은 직접적인 피해의 수준은 미미했지만(웹 트래픽을 발생시키거나 광고가 표시되는 정도로, 문제의 앱을 제거하는 즉시 사라짐) 이러한 유형의 프로그램은 당연히 구글 심사를 통과해 플레이 스토어에 들어가서는 안 된다. 한 가지 더 재미있는 점은 그럼에도 공포에 떨 이...

맬웨어 악성코드 구글플레이 2017.11.09

글로벌 칼럼 | 서드파티 안드로이드 보안 앱이 전혀 의미 없는 3가지 이유

“아주 무서운 새로운 안드로이드 악성코드가 잠복해 있다. 이를 의심하지 않아 위험에 노출된 사용자가 수백 만 명에 달한다. 지금 당장이라도 기업 데이터가 유출될 수 있다. 이런 위험으로부터 스스로를 보호하는 유일한 방법은 ‘이런저런 안드로이드 보안 앱’을 구매하는 것 뿐이다.” 이런 이야기를 들어 본 적이 있을 것이다. 분명하다. 거의 매달, 때로는 더 자주 이런 ‘경보’가 발령된다. 20미터 반경에 위치한 모든 안드로이드 디바이스를 수거, 신호가 도달하지 않는 벙커에 묻어버리고 싶을 만큼 무서운 경보다. 그러나 사실 이렇게 두려움을 유발하는 경보를 뒷받침할 근거가 없다. 다시 말해, 사람들을 오도하는 메시지다. 필자는 안드로이드 플랫폼이 등장한 후 지금까지 안드로이드를 다뤘다. 그런데 현재 기술 분야에서 가장 ‘센세이션’하고 오해가 많은 분야 중 하나가 안드로이드 보안이다. 이런 경보들이 남발되는 이유가 있다. 아주 단순하게도, 모바일 보안이 아주 큰 시장이기 때문이다. 수 많은 회사들이 지속적으로 불합리한 공포를 과장해 주입하고 이익을 챙기려 한다. 이 정도면 충분하다. 지금부터 안드로이드 보안의 현실, 즉, 서드파티 보안 소프트웨어가 해결책이 되기 힘든 이유를 설명하겠다. 1. 지금까지 알려진 안드로이드 악성코드 위협의 절대 다수는 이론에 불과하다 과장된 공포의 거품을 터뜨려 유감이지만, 지금까지 알려진 안드로이드 악성코드 위협이 실제 미국 기업이 운용하는 디바이스에 영향을 미칠 확률은 사실상 ‘0’에 가깝다. 공포를 유발하는 주장 속에 숨겨져 있는 자세한 정보를 살펴보면 그 이유를 알 수 있다. 꽤 오래 전, 9억 대의 안드로이드를 위험에 노출시킨다는 취약점인 ‘쿼드루터(Quadrooter)’를 기억하는가? 이 공격의 희생양이 되는 기업은 모든 비즈니스 활동을 멈출 수 밖에 없다는 주장이었다. ...

악성코드 보안 안드로이드 2017.11.08

역사상 악명을 떨친 악성코드들의 현황

수사 당국과 정보 보안 업계는 최신 악성코드를 무력화하고 차단하기 위해 공조하는 경우가 많다. 악성코드를 차단하는 방법은 일반적으로 두 가지다. 하나는 킬 스위치(있는 경우) 조합을 사용해 탐지, 샌드박싱, 리버스 엔지니어링을 거쳐 최종적으로 차단하는 것이고 다른 하나는 악성코드 명령 및 제어(C&C)에 사용되는 서버를 장악하는 것이다. 서버를 확보하면 감염된 컴퓨터 간 통신에 사용되는 도메인을 통제할 수 있다. 그러나 오래된 일부 악성코드들은 오래된 취약점을 이용하고 피싱 이메일이나 감염된 USB 드라이브, 악성 이메일 첨부 파일, 함정 웹 페이지 등을 통해 확산되면서 지금도 기업들에 피해를 입힌다. 예를 들어 최근 체크포인트(CheckPoint) 보고서에서 컨피커(Conficker) 웜과 제우스(Zeus) 트로이 목마(2개 모두 5년 이상 지난 악성코드)는 전 세계적으로 가장 일반적인 상위 10개 악성코드에 포함됐다. 오래된 악성코드가 계속 기승을 부리는 이유는 무엇일까? 전문가들은 불규칙한 패치, 빈약하고 업데이트되지 않은 안티바이러스, 보호나 업그레이드가 불가능한 레거시 시스템(MRI 스캐너, 독자 규격의 병원 장비 등)을 중요한 이유로 꼽는다. 이와 같은 오래된 악성코드들이 새로운 용도로 개조되어 새로운 갑옷을 입고 다크 웹 시장에서 판매된다. 안티소셜 엔지니어(Antisocial Engineer)의 이사인 리차드 드비어는 "오래된 악성코드의 핵심 구성 요소는 지금도 여전히 사용된다. 악성코드 제작자는 코드 일부를 가져와 새로운 악성코드 캠페인에 사용한다"며, "잘 작동한다면 바꾸지 말라는 격언이 여기에도 적용되는 셈이다"고 말했다. CISO가 악성코드에 대처하는 방법 법률 기업 핀센트 메이슨스(Pinsent Masons)의 CISO인 크리스티안 툰은 "CISO와 SOC 팀에게 골칫거리다. 전통적인 시그니처 기반 탐지를 회피하기 위해 빠른 속도로 형태가 바뀐다. 보통...

악성코드 제우스 콘피커 2017.10.31

스팸봇의 해부 : 출발점부터 감염경로와 대응책까지

보안 전문가들에게 스팸봇은 잘 알려진 ‘적’이다. 그러나 다른 사람들에게는 ‘미상의 실체’이다. 소풍을 갔을 때 본 개미 떼처럼, 메시징 앱의 10대처럼 자신도 모르는 사이에 침입해 확산된다. 봇으로부터 매일 무수히 많은 메시지를 받고 있을지 모른다. 심지어 봇이 사용자 모르게 사용자 컴퓨터에서 원하지 않은 이메일을 발송하면서 원하지 않게 ‘디지털 파괴’의 공범자가 될 수도 있다. 다른 ‘미상의 실체’처럼, 스팸봇의 작동 원리, 하는 일, 확산 방법, 스팸봇 감염 및 실행을 막는 방법을 알면 큰 도움이 된다. 스팸메일의 시작 스팸봇 감염 경로와 작동 원리에 앞서, ‘출발점’에 대해 알아 보자. 악성코드 감지 서비스를 제공하는 플릭서(Plixer)의 IT 및 서비스 담당 디렉터 토마스 포어가 상세한 정보를 줬는데, 보통 러시아와 중국 등 해외를 중심으로 해커들이 다크웹에서 이메일 주소 데이터베이스를 구매하면서 시작된다. 생각보다 훨씬 쉽다. 또한 갈수록 더 쉬워지고 있다. 야후는 최근 2013년에 (이메일 주소와 비밀번호, 생년월일 등 정보가 포함된)사용자 30억 명의 계정이 침해 당했다고 발표했다. 그런데 스팸봇을 만드는 사람들은 이 소식에 놀라지 않았을 것이다. 이미 몇 년 간 자신의 봇에 이런 데이터를 사용하고 있을 확률이 아주 높기 때문이다. 스팸봇에는 이메일 주소가 필요하다. 이메일 주소 없는 스팸봇은 실행되지 않는다. 따라서 어떤 스팸봇이든 이메일을 수집하는 활동을 한다. 원래 스팸봇은 이메일 주소를 추출, 무작위로 컴퓨터를 감염시키는 시도를 했었다. 그러나 가트너의 애널리스트 로렌스 핀그리는 더는 이런 방식을 사용하지 않는다고 강조한다. 판매되고 있는 이메일 주소가 정말 많다. 스팸봇 개발자는 소셜 엔지니어링으로 악순환의 고리를 준비한다. 소셜 엔지니어링 공격을 성공시켜 데이터를 침해한다. 데이터 침해에 성공하면 ...

맬웨어 스팸 악성코드 2017.10.23

해커가 소프트웨어 설치 없이 시스템에 침투하는 방법…"파일리스 공격"의 이해

"매일같이 본다." 삼성 리서치 아메리카(Samsung Research America) CSO 스티븐 렌츠는 "여러 가지 침입, 익스플로잇, 아직 알려지지 않은 랜섬웨어 등 그동안 네트워크나 엔드포인트에서 이런 공격을 여러 차례 차단했다"고 말했다. 렌츠가 우려하는 공격은 파일리스(fileless) 공격이다. 흔적 없는(zero-footprint) 공격, 매크로, 또는 비 악성코드 공격이라고도 한다. 이런 공격 유형은 사용자 컴퓨터에 소프트웨어를 설치하지 않으므로 안티바이러스 툴로 포착하기가 어렵다. 파일리스 공격은 화이트리스팅도 피해간다. 화이트리스팅을 사용하면 승인된 애플리케이션만 시스템에 설치가 허용된다. 파일리스 공격은 이미 설치되어 승인 목록에 있는 애플리케이션을 이용한다. 그러나 "파일리스", "흔적 없는", "비 악성코드" 등의 용어는 기술적으로 정확한 용어는 아니다. 많은 경우 사용자가 악성 첨부 파일을 다운로드해야 작동하며, 제대로 살핀다면 포착 가능한 흔적도 컴퓨터에 남기기 때문이다. 파이어아이(FireEye)의 위협 인텔리전스 선임분석가인 크리스티나 브래프맨 키트너는 "악성코드가 하드 드라이브에 스스로를 설치하지 않는 경우라도 이를 탐지하는 방법이 존재하므로 흔적이 전혀 없는 악성코드는 사실상 존재하지 않는다"고 말했다. 또한 안티바이러스를 완전히 피해가는 것도 아니다. 설치 파일이 설치되지 않더라도 안티바이러스 툴이 악성 첨부 파일이나 악성 링크를 탐지할 수 있는 경우가 많기 때문이다. 공격자는 파일리스 공격을 사용하면 침투 성공 가능성이 높아진다는 것을 안다. 렌츠는 "이것이 실질적인 위협"이라고 말했다. 삼성 리서치는 침투한 공격을 포착하기 위해 카본블랙(Carbon Black)의 엔드포인트 보호를 포함한 행동 기반 시스템을 사용한다. 예를 들어 방문자가 회사 네트워크에 연결되면 회...

악성코드 랜섬웨어 파일리스 2017.09.26

"랜섬웨어의 다음 희생자는?" 진화하는 랜섬웨어 공격과 방어 전략 현황

지난 6월 한국 호스팅 업체가 랜섬웨어 공격을 당했다. 이로 인해 5,000여 고객 웹사이트가 위치한 리눅스 웹 서버 153개의 가동이 중단되었다. 나야나의 황칠홍 대표는 “해커와 협상을 할 수 없다는 점을 잘 알고 있다. 우리 회사만 피해를 입었다면 해커와 협상하지 않았을 것이다. 그러나 피해 규모가 너무 컸고, 너무 많은 사람들이 힘들어하는 상황이었다”는 성명서를 발표했다. 나야나는 데이터를 되찾기 위해 100만 달러 이상인 400비트코인을 지급해야 했다. 하지만 이는 나야나가 감당해야 할 많은 비용 중 일부에 불과하다. 나야나는 복구에 시간과 돈을 투자했고, 피해 고객에게 할인과 환불을 제공해야 했다. 복구하지 못한 데이터도 있을 것이다. 피해 고객에게는 평생 무료 호스팅을 제공하겠다고 약속했다. 이런 피해를 입은 회사는 나야나 하나가 아니다. 이번 달 초, 대형 선박회사인 머스크(Maersk)는 자동 회계 소프트웨어 업데이트를 통해 랜섬웨어 공격을 당했다고 발표했다. 이번 공격은 500곳의 애플리케이션과 사용자에 영향을 미쳤다. 잃어버린 데이터는 없었지만, 머스크에 2억~3억 달러의 복구 비용과 매출 손실이 감수해야 했다. 또 글로벌 대형 제약 회사인 머크(Merck)는 7월 실적 컨퍼런스 콜에서 6월 랜섬웨어 공격으로 제조, 연구, 영업 등 전세계의 기업 활동에 방해를 받았으며, 일부 제조 운영은 복구하지 못한 상태라고 인정했다. 올 여름 초, 크립토스 로직 CEO 살림 나이노는 미 의회에서 100만 대가 넘는 컴퓨터가 워너크라이(WannaCry)에 감염됐다고 밝혔다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면, 올해 랜섬웨어 피해액은 전세계적으로 50억 달러에 달한다. 2015년의 경우 3억 2,500만 달러에 불과했다. 이유가 무엇일까? 공격자들이 큰 ‘보상’을 기대하고 무서울 정도로 공격 기술과 기법을 혁신해 나가고 있기 때문이다. 보안산업도 방어...

악성코드 취약점 랜섬웨어 2017.09.01

"그때 그 악성코드" 지금도 기승을 부리는 최악의 악성코드 4종

최신 악성코드의 파괴하고 중지시키기 위해 사법기관과 정보보안업계가 공조하는 경우가 많다. 일반적으로 악성코드가 탐지되면 샌드박스(sandbox)라는 과정과 역공학(reverse engineering)를 걸쳐 최종적으로 중단되는데 킬 스위치(kill switch)가 있을 경우, 이의 조합을 이용하거나 악성코드의 명령 제어(C&C)에 사용되는 서버를 장악하는 방식으로 진행된다. 이 시점부터는 감염된 컴퓨터 간 소통에 이용되는 도메인을 통제할 수 있다. 그런데 옛날 악성코드 중에서 아직도 피해를 입히고 있는 일단의 무리들이 있다. 이들은 오래된 취약점을 자주 악용하고 피싱(phishing) 이메일, 감염된 USB 드라이브, 수상한 이메일 첨부파일, 장악된 웹 페이지를 통해 전파된다. 일례로, 등장한지 5년이 넘은 컨피커(Conficker) 웜과 제우스 트로이 목마(Zeus Trojan)가 최근 체크포인트(CheckPoint) 보고서에서 소개된 전세계적으로 가장 흔한 10대 악성코드 목록에 이름을 올렸다. 옛날 악성코드가 계속 기승을 부리는 이유는 무엇일까? 전문가들은 정기적으로 패칭(patching)을 하지 않는 것과 유효 기간이 지나 제 기능을 하지 못하는 안티바이러스, 보호나 업그레이드가 되지 않는 구식 시스템(ex. MRI 스캐너와 병원 장비) 등을 원인으로 지목하고 있다. 이런 옛날 악성코드가 재정비를 거쳐 다크웹(dark web)에서 판매되는 경우가 많다. 안티소셜 엔지니어(The Antisocial Engineer) 대표 리차드 디 베르는 "옛날 악성코드의 핵심요소가 오늘날에도 여전히 사용되고 있다"며, "악성코드 작성자들은 코드 중 일부분을 살려내 '최신' 또는 최근에 시작된 활동에 이용한다. 만약 효과가 있으면 바꾸지 않고 그대로 사용하는 식이다"고 말했다. 옛날 악성코드에 대한 CISO들의 생각 법률회사 핀센트 메이슨즈(Pinsent Masons) CISO 크리스천 툰은...

악성코드 malware 제우스 2017.08.31

가장 은밀한 해커 공격 10가지

악성코드에 관한 한 우리는 무서운 시대에 살고 있다. 개인 고객 정보로 가득한 네트워크에 해커가 침입했다는 소식이 매일 들려온다. 이제 대중은 너무 무감각해진 나머지 1,000만 건의 기록이 도난 당하거나 회사의 개인 이메일이 인터넷으로 유출되고 있다는 소식에도 그다지 놀라지 않는다. Credit: Getty Images Bank 보안 전문가들은 보이지 않는 적에 대한 두려움 속에서 하루 24시간을 보낼 수는 없다. 보안 전문가들이 할 수 있는 일은 방어책을 확보하는 것이다. 악성코드 공격을 조기 탐지하면 신문에 날 정도의 중대한 피해가 발생하기 전에 중단시킬 수 있다. 대부분의 공격은 소셜 엔지니어링이나 패치 안된 소프트웨어처럼 손쉬운 방법을 통해 시작된다. 그러나 악성코드를 탐지하는 것은 여간 힘든 일이 아니다. 해커들이 몸을 숨기는 방식이 나날이 발전하기 때문이다. 세계에서 가장 탐지하기 어려운 10가지 악성코드 프로그램을 소개한다. 파워셸 악성코드 마이크로소프트(Microsoft)의 파워셸(PowerShell) 스크립트 언어는 원래 윈도우(Windows)와 액티브 디렉터리(Active Directory)의 원격관리를 위한 유연성 있는 도구다. 일상적인 작업을 자동화하고 다수의 컴퓨터를 원격으로 제어하기에 매우 좋다. 악의적으로 사용될 때 감지가 어렵기 때문에 해커들이 선호한다. 파워셸을 이용한 해킹은 연구원들이 만든 개념 증명 프로그램에서 나쁜 놈들이 애용하는 도구로 급속도로 변질됐다. 최근에는 기업 공격 가운데 파워셸이 관련되지 않은 것은 드물다. 일반적으로 탐지를 피하기 위해 신중하게 코딩의 대부분을 일부러 혼란스럽게 만든다. 유명한 2가지 파워셸 툴킷은 파워스플로잇(PowerSploit)과 파워셸 엠파이어(PowerShell Empire)다. 합법적인 침투 테스트용이라고 광고되지만 주로 해커들이 애용하는 도구다. 이에 대한 방어 방법은 합법적으로 서명된 스크립트만 허용하기 등이 있지만 기업들은 손 놓고 있다가 ...

악성코드 해커 공격 2017.08.29

스턱스넷의 이해 : 코드가 기계를 망가뜨리고 전쟁을 일으키는 방법

스턱스넷(Stuxnet)은 대단히 정교한 컴퓨터 웜으로, 기존에 알려진 여러 가지 윈도우 제로데이 취약점을 이용해 컴퓨터를 감염시키고 확산된다. 목적은 단순히 PC를 감염시키는 것이 아니라 물리적인 피해를 입히는 데 있다. 구체적으로, 스턱스넷은 핵무기와 원자로를 가동하는 농축 우라늄을 생산하는 데 사용되는 원심분리기를 타격한다. 스턱스넷은 2010년 정보보안 커뮤니티가 처음 발견했지만, 개발은 2005년부터 시작된 것으로 추정된다. 엄청난 확산 능력과 광범위한 감염율에도 불구하고 우라늄 농축에 관여하지 않는 컴퓨터에는 거의 해를 입히지 않는다. 일단 컴퓨터를 감염시키면 그 컴퓨터가 지멘스(Siemens)에서 제조한 특정 PLC(Programmable Logic Controller)에 연결되어 있는지 여부를 확인한다. PLC는 컴퓨터가 산업용 장비와 상호작용하고 이를 제어하는 데 사용된다. 문제의 PLC에 연결된 것을 확인하면 스턱스넷은 PLC의 프로그램을 변경하여 원심분리기가 장시간 동안 지나치게 빠른 속도로 회전하게 하고, 이로 인해 장비는 고장 나거나 파괴된다. 이 과정이 진행되는 동안 PLC는 컨트롤러 컴퓨터에 모든 부분이 정상 가동 중이라고 알리므로 문제를 알아차릴 때면 이미 너무 늦은 시점이 된다. 스턱스넷 제작자 스턱스넷을 만든 주체는 미국과 이스라엘의 정보 당국이라는 것이 중론이다. 스턱스넷 웜을 개발하기 위한 기밀 프로그램은 “올림픽 게임 작전(Operation Olympic Games)”이라는 코드명으로 불렸다. 조지 W. 부시 대통령 시절 시작돼 오바마 정부에까지 이어졌다. 두 정부 모두 스턱스넷 개발을 공식적으로 인정한 적은 없지만 2011년 이스라엘 방위군 참모총장 가비 아슈케나지의 은퇴 기념식 동영상을 보면 스턱스넷을 재임 시절 성공적 작전 중 하나로 거론하는 장면이 나온다. 스턱스넷을 개발한 개별 엔지니어들은 확인되지 않았지만 이들이 매우 뛰어난 기술을 갖췄으며 그 수도 많다는 것을 알 ...

악성코드 이스라엘 2017.08.24

“5% 사각지대를 막아라” 시그니처 없는 미래형 엔드포인트 보안 전략 - IDG Video Talk Show

<본 콘텐츠를 다운로드 받으신 분들 중 추첨을 통해 스타벅스 커피 기프티콘을 드립니다.(30명)> 산업화된 보안 공격의 기세가 심상치 않다. 기업을 대상으로 한 표적 공격에 보안에 무관심하지 않은 기업도 공격을 막아내는 것이 녹록치 않은 상황이다. 최근 국내에서는 호스팅 업체 한 곳이 랜섬웨어에 당해 서비스가 중단되는 초유의 사태가 발생하기도 했다. 이번에도 문제의 핵심에는 엔드포인트와 취약점이 있었다. 악성코드와 취약점, 그리고 이를 악용하는 공격은 전혀 새로운 것이 아님에도 여전히 현존하는 위협이라는 점이 기업의 불안을 부추기고 있다. 끊이지 않는 보안 위협의 근본적인 원인에 대해 살펴보고, 기존 엔드포인트 솔루션의 약점과 이를 보완해 좀 더 완벽한 엔드포인트 환경을 구현하는 방법도 알아 본다. 주요 내용 - 변화하는 보안 위협과 공격 목표 - 취약점과 익스플로잇 - 새로운 과제 : 익스플로잇 차단 - 소포스 인터셉트X의 3단계 방어 - 차세대 엔드포인트 솔루션과 인터셉트 X - 소포스의 엔드포인트 보안 전략

맬웨어 악성코드 취약점 2017.08.18

머신러닝과 가시성 확보를 통한 지능형 위협 대응 전략 - IDG Video Talk Show

<본 콘텐츠를 다운로드 받으신 분들 중 추첨을 통해 CGV 영화티켓(2인권)을 드립니다.(20명)> 사이버 범죄자들의 공격 수법이 날로 지능화되고 있다는 것은 이미 잘 알려진 사실이다. 금전적인 이들을 노리는 해커들은 가능한 모든 방법을 동원한다고 해도 과언이 아니다. 이 때문에 지능형 보안 위협에 대응하는 보안 업계의 움직임 역시 분주하다. 지능형 보안 위협에 대응하는 좀 더 효과적인 방안으로써 공격과 위협의 흐름에 대한 가시성 확보와 최근 기술 업계 최대 화두인 머신러닝 기반 보안에 대해 알아본다. 특히 안랩의 머신러닝 기술인 퀀텀 러닝을 적용한 실제 사례와 그 효과를 살펴본다. 주요 내용 - 악성코드와 랜섬웨어 현황 - 악성코드의 확산 경로와 공격 기법의 진화 - 공격과 위협에 대한 가시성의 중요성 - 머신러닝 기반 보안 기술의 이해 - 머신러닝 기술 적용 사례와 효과 

악성코드 안랩 가시성 2017.08.16

“어느 것이 더 안전할까?” 안드로이드 vs. iOS 보안 집중 비교 분석

오늘날 모바일 운영 체제 시장은 안드로이드와 iOS라는 두 거인에 의해 양분돼 있다. 모바일 기기란 그것을 비즈니스 용도로 이용할 경우 불가피하게 일정 규모 이상의 보안 리스크를 내재하고 있으며, 일반적으로 안드로이드가 악성코드 공격의 훨씬 만만한 타깃이 되는 것으로 알려져 있다. 그럼에도 지난 몇 년 사이 안드로이드 기반의 모바일 비즈니스 기기 수는 급격한 증가세를 기록하고 있고, 기업들에게는 해당 플랫폼과 관련한 리스크를 최소화 할 전략을 고민해야 하는 과제가 주어지게 됐다고 산업 연구 기관 J. 골드 어소시에이트(J. Gold Associates)는 설명한다. J. 골드 어소시에이트의 수석 애널리스트 잭 골드는 “안드로이드 보안 문제의 기본 원인은 이 운영체제가 오픈소스 방식이라는데 기인한다. 누구나 안드로이드의 내부 구조를 뜯어볼 수 있는 것이다. iOS에서는 불가능한 일이다. 예를 들어 LG 스마트폰 사용자라면, 휴대전화의 운영체제를 원하는 데로 수정해보는 시도를 진행할 수 있다. 그리고 이 과정에서 실수를 일으킨다면, 그 실수는 잠재적 취약성으로 변모할 것이다. 그리고 지금 같은 시대에는, 누군가 그 취약성을 찾아내는 것이 절대 비현실적인 상상이 아니다”라고 설명했다. 개발자들이 안드로이드 기반 앱에 적용하는 작은 조정만으로도 보안 구멍이 생길 수 있다는 것이 골드가 지적하는 부분이다. 골드는 “메시지 앱의 UI를 바꾸는 작은 조정만으로도 우리가 알아채지 못하는 취약점이 생겨날 수 있다. 이는 오픈 코드의 피할 수 없는 운명이며, 테스트를 진행하기 전에는 절대 그 문제를 발견할 수 없다”라고 말했다. 반대로 애플의 iOS는 개발자들의 역할 범위를 한결 강력하게 통제한다. 우선 소스 코드가 절대 배포되지 않는다. 기본적으로 안드로이드 폰에 비해 탈옥이 한층 어렵게 되는 부분이다. 골드는 애플은 개발자와 사용자들에게 모든 종류의 제약을 가하고 있으며, 그들의 모든 활동을...

맬웨어 악성코드 안전 2017.08.14

3만 달러 보석내고 풀려난 워너크라이 영웅, 크로노스 악성코드 혐의 부인

인터넷에서 영웅이 된 마커스 허친스가 미국에 와서 체포됐다. 데프콘이 끝난 후, 미국 FBI는 영국 출신의 보안 연구원인 마커스 허친스를 체포했다. 이는 보안 커뮤니티를 송두리째 흔드는 사건이다. 일명 멀웨어테크(MalwareTech)라는 별명을 가진 허친스는 뱅킹 트로이목마인 크로노스를 만든 혐의로 8월 2일 체포됐다. 올해 초, 허친스는 워너크라이 랜섬웨어 킬 스위치(kill switch)를 찾아 제보하면서 인터넷에서 영웅이 됐다. 그의 보석금은 3만 달러로 책정됐지만 주말동안 감옥에서 보냈다. 이는 금요일 시청이 문을 닫기 전까지 보석금을 낼만한 시간이 충분치 않았기 때문이다. 7일 석방된 허친스는 GPS 모니터링 아래 미국에 남아 위스콘신 주에서 총 6건의 소송에 직면해 있다. 허친스는 크로노스 악성코드를 만들어 판 혐의를 받고 있다. 그는 컴퓨터 사용이 허용되지 않으며, 인터넷에 접속할 수 없다. 미국 검찰은 2014년 7월에서 2015년 사이에 허친스가 크로노스 악성코드를 제작, 광고, 배포, 그리고 수익을 창출했다고 주장했다. 다른 피고인도 기소장에 이름을 올렸지만, 그 이름은 수정됐고, 아직 검거되지 않았다. 공동 피고인은 크로노스를 다크넷 시장인 알파베이(AlphaBay)에서 판매한다고 홍보했다. 미국 검찰은 크로노스를 보여준 한 동영상에서 공동 피고인이 이 트로이목마를 3,000달러에 팔기 위해 웹사이트에 공개적으로 게시했다고 밝혔다. 검찰은 잠복요원이 비밀리에 허친스와 그의 공범자로부터 해당 코드를 2,000달러에 구매했다고 라스베가스 법원에 전했다. 미국 검사 댄 카우힉은 허친스가 경찰 조사에서 자백했다고 말했다. 카우힉은 "허친스는 크로노스 악성코드 저작자임을 인정하고 판매한 것을 시인했다"고 밝혔다. 미 검찰은 허친스가 해당 판매로 인한 수익금을 제대로 분배하지 못한 점을 불평하는 채팅 기록을 갖고 있다고 주장했다. 또한 검찰은 허친스가 공공에게 끼치는 위험을 제기하고 ...

악성코드 체포 FBI 2017.08.08

"악성코드 속 언어 분석을 통해 사이버공격의 배후를 알아낸다"…파미다 라시드

최근 사이버공격의 배후에 누가 있는지 알아내는데 언어학자들이 나서고 있다. 때로는 말하는 방법이 중요할 때가 있다. 특히 사이버공격을 당했을 때 사법당국은 범인을 파악하기 위한 수단으로써 중요하다. CSO 선임기자 파미다 라시드는 사이버보안 업체가 악성코드 뒤에 있는 악의적인 행위자를 추적하는 방법에 대해 살펴봤다. 라시드는 언어학이 기업의 데이터를 보호하는 데 직접적인 도움을 주진 않지만 공격의 근원을 정확히 찾아내는데 도움을 줄 수 있다고 말했다. 라시드는 2014년 소니 공격, 새도우브로커(ShadowBroker) 및 구시퍼(Guccifer) 2.0을 비롯한 다양한 공격을 조사하기 위해 언어 분석(Linguistics analysis)을 사용했다. 이를 통해 랜섬웨어 공격의 배후에 숨은 인물을 식별하는데 도움이 될 수 있다고 예상했다. 예를 들어, 플래시포인트(Flashpoint) 분석가들은 워너크라이(WannaCry)의 몸값 요구를 위해 작성한 문서를 분석한 결과, 원래 영어로 작성된 문장에서 불가리아어, 프랑스어, 독일어, 이탈리아어, 일본어, 한국어, 러시아어, 스페인어, 베트남어로 번역한 것임을 확인했다. 연구원들은 코인볼트(CoinVault) 랜섬웨어의 경우, 원래 네털란드어로 작성됐음을 알려주는 네덜란드에서만 사용되는 완벽한 구문을 발견했다. 랜섬웨어는 공격자가 몸값 요구 문서를 쓸 때 음성 패턴이 텍스트에 나타나기 때문에 언어 분석에 적합하다. 더 많은 텍스트들이 분석되어야 정확해진다. 합법적이라고 속여야 하는 스팸이나 피싱 메시지와는 달리, 랜섬웨어 메시지는 작성자가 어떤 언어가 가장 편안했는 지에 대한 단서를 숨겨야 한다. 라시드에 따르면, 언어학자들은 특정 구문이나 심지어 단어 자체만으로도 공격자에 대해 알 수 있다. 이는 특히 워너크라이처럼 피해자가 공격자로부터 메시지를 받는 랜섬웨어에 해당하며, 메시지에는 숨겨진 단서가 있을 수 있다. 일리노이 공과대학 컴퓨터 과학 교수 슈로모 아가몬과 같은 언어...

악성코드 언어학 언어분석 2017.07.13

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.