Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

IDG 블로그 | 클라우드가 더 안전한 이유를 보여주는 최신 사이버 공격

최근 몇 년 동안 대형 클라우드 서비스 업체가 악성 코드 공격에 피해를 본 적은 없다. 지난 주 페트야 사이버 공격으로 우크라이나부터 미국까지 수많은 컴퓨터가 감염됐다. 지난 달 일어난 워너크라이 랜섬웨어 공격과 비슷했다. 워너크라이 랜섬웨어는 구버전 윈도우의 취약점을 이용했고, 이 때문에 감염이 널리 퍼졌다. 피해자들은 악성 링크를 클릭한 것만으로 감염됐는데, 패치와 업데이트를 설치하지 않았기 때문이다. 이런 공격은 클라우드가 컴퓨팅을 하기에 더 안전한 환경이라는 것을 다시 한 번 생각하게 한다. 최근 몇 년 동안의 연이은 보안 공격으로 기업 IT 부서는 전체론적 보안에 대해 좀 더 적극적으로 대응하게 됐다. 이런 공격은 보안이 전체적이지 않은 곳, 쉽게 말해 패치를 제대로 적용하지 않은 시스템이 있는 환경에서 성공한다. 하지만 한편으로는 이렇게 널리 퍼진 보안에 대한 우려로 많은 IT 부서가 신기술 도입을 미루고 있다. 클라우드 컴퓨팅도 이런 기술 중 하나라고 할 수 있는데, 뭔가 새로운, 특히 다른 사람이 관리하는 무엇인가는 IT를 더 취약한 것으로 만들 것이라는 관념이 있다. 사실은 정반대다. 퍼블릭 클라우드를 사용하면 공격을 더 적게 받고 정보가 유실될 위험도 줄어든다. 클라우드의 보안 계층은 대부분 사이버 공격을 방어하는 이상의 역할을 한다. 클라우드 서비스 업체는 자사 클라우드를 선제적으로 모니터링하고, 보안 공격을 신속하게 탐지해 즉각적으로 차단한다. 또한 운영체제와 애플리케이션, 서비스에 보안 패치와 수정을 자동으로 적용한다. 이런 작업을 클라우드 서비스 업체만큼 하는 기업은 극히 드물다. 이렇게 하기에는 보안 비용이 너무 많이 들며, 이 때문에 시스템을 중단시키는 워너크라이나 페트야 같은 악성코드를 방어하는 데 필요한 것이 무엇인지 알면서도 제대로 구현하지 못하는 것이다. 기업은 이런 공격이 발생했을 때 그저 ‘제자리걸음’을 해서는 안되며, 시스템과 보안의 상태 전반에 대해 거울...

악성코드 랜섬웨어 페트야 2017.07.05

악성코드 분석가가 되기 위해 필요한 것

랜섬웨어 공격의 증가는 악성코드가 여전히 조직에게 중대한 사이버 범죄 문제임을 보여준다. 이 문제에 대처하는 데 가장 적합한 전문가는 바로 악성코드 분석가다. 정보 보안 전문가 채용업체 블랙미어 컨설팅(Blackmere Consulting) 대표 도미니 클락은 "사이버 보안 사고는 세계적으로 증가 중이다. 최근 눈에 띄는 사례는 워너크라이(WannaCry) 랜섬웨어 공격이다. 숙련된 악성코드 전문가에 대한 수요가 늘면서 인재 공급이 따라가지 못하고 있다"고 말했다. 클락은 "구인 시장에서 '악성코드 분석가'라는 직책에 맞는 사람을 구하는 기업이 늘고 있다. 그 외에 보안 컨설턴트, 리버스 엔지니어, 위협 연구원을 포함해 이 작업과 관련된 다른 직책도 있다"고 말했다. 클락은 이런 역할의 대부분은 기업 환경보다는 보안 컨설팅 업체, 보안 제품 기업, 정부 계약 업체 등에 분포돼 있다고 말했다. 그러나 대규모 조직의 경우는 예외적이다. 클락은 "기업 환경에는 동적인 위협과 보조를 맞출 리소스가 없거나 악성코드 분석 전담 팀을 운영할 비용을 정당화할 수 없는 경우가 많다. 이들이 선택하는 대안은 벤더에 의존하는 것이다"고 말했다. 클락은 다른 정보 보안 기술 분야와 마찬가지로 악성코드 분석가 역시 상당히 부족하다고 말했다. 지난 2년 동안의 미국 전역 데이터를 추출하는 커리어빌더(Careerbuilder)의 데이터 포털을 사용해 '악성코드 분석가' 수요와 공급을 검색하면 구인 공고는 1,726건이고 '활동 중인' 후보자는 52명에 불과하다. 전자제품 회사 레이디온(Raytheon)의 브라이언 로갈스키를 비롯해 악성코드 분석가 기술을 보유한 인력이 주로 하는 일은 최신 악성코드 공격을 연구하는 것이다. 로갈스키는 어렸을 때부터 컴퓨터를 좋아했으며 고등학교 시절 시행착오를 거치며 첫 컴퓨터를 조립했다고 말했다. 로갈스키는 "어릴 때부터 이...

악성코드 분석가 2017.06.19

글로벌 칼럼 | 칩 해킹이 만연해질 '6가지 이유'

하드웨어에 삽입된 코드가 취약점을 가지고 있다면 패치하기가 어렵다. 해커들에게는 탐스러운 먹잇감이다. Credit: Getty Images Bank 최근의 인텔(Intel) 펌웨어 취약점 사건으로 인해 수개월 전 쓰려했던 글감이 생각났다. 핵심은 펌웨어와 칩은 해킹이 가능하다는 것이다. 이들(또는 이와 관련된 컨트롤러 칩들)은 보안 결함이 포함된 소프트웨어 명령을 포함하고 있다. 단지 패치가 더 어려울 뿐이다. 그렇다. '칩과 펌웨어는 패치가 더 어려운 소프트웨어다.' 이런 이유 때문에 그리고 다른 여러 이유로 인해 앞으로 펌웨어와 하드웨어 계층을 대상으로 한 해킹이 더욱 빈번하게 발생할 것으로 예상된다. 1. 칩 수준의 보안 움직임이 강화된다 TCG(Trustworthy Computing Group)의 이니셔티브로 말미암아 컴퓨터 보안이 점차 칩 수준에서 이뤄지고 있는 중이다. 거의 모든 컴퓨터에 내장되어 있는 TPM(Trusted Platform Module) 칩, OPAL 자체 암호화 하드 드라이브, UEFI(Unified Extensible Firmware Interface), 인텔의 VT-x(Virtualization Technology)와 AMD의 AMD-V(Virtualization) 같은 하드웨어 기반의 하이퍼바이저(Hypervisor), 칩 개발업체와 제조업체들이 제공하는 무수히 많은 칩과 펌웨어 중심의 기술 등으로 이런 노력이 시작됐다. 보안이 점차 칩 수준에서 시작되고 있으며, 하드웨어 기반 보안은 DG(DeviceGuard), CG(Credential Guard), AG(AppGuard) 등 강력한 최신 기술의 근간이 되고 있다. 대부분의 운영체제와 칩 개발업체들은 앞으로 더 많은 하드웨어 중심적인 보안을 제공할 것으로 예상된다. 하드웨어 기반 보안이 성장하는 주된 이유는 컴퓨팅 사이클에서 보안을 더욱 일찍 적용할 수 있기 때문이다. 보안이 전자 부품에 가까울수록 해커와 악성코드(Malw...

악성코드 펌웨어 보안 2017.05.31

IoT 악성코드 '페르시라이', 알려진 결함 통해 12만 대 IP 카메라 노린다

10만 대가 넘는 인터넷 연결 카메라가 최근 IoT 악성코드에 당할 수 있다. 이 악성코드는 최근 공개된 제품의 취약점을 통해 확산되고 있다. Credit: Magdalena Petrova 트랜드마이크로 보안연구원은 페르시라이(Persirai)라는 악성코드가 지난달부터 중국산 무선 카메라를 감염시키고 있다고 밝혔다. 카메라 내에 결함을 악용하는 이 악성코드는 3월에 한 보안 연구원에 의해 발견돼 보고된 바 있다. 트랜드마이크로 보안연구원 피에르 김은 공격자는 이 취약점을 이용해 카메라를 원격으로 실행하고 효과적으로 데이터를 가로챌 수 있음을 발견했다. 이 연구원은 이 중국 제조업체가 생산한 카메라 모델 가운데 최소 1,250개의 제품이 이 버그를 갖고 있다고 주장했다. 트렌드마이크로는 4월 말에 공개된 결함을 통해 동일 제품에 악용함으로써 확산시키는 새로운 악성코드를 발견했다. 트렌드마이크로 글로벌 위협 커뮤니케이션 이사 존 클레이는 "이 취약점을 이용한 이들이 취약점을 이용하는 방법을 잘 알고 있음을 보여주고 있다"고 말했다. 트렌드마이크로는 인터넷 연결 하드웨어 검색엔진인 쇼단(Shodan)을 기반으로 찾아낸 약 12만 대의 카메라가 악성코드에 취약하다고 추정했다(국내에는 이 가운데 3%인 3,600대의 카메라가 들어온 것으로 추정된다. 편집자 주). Credit: Trend micro  페르시라이 악성코드는 카메라를 감염시켜 봇넷을 형성하거나, 노예가 된 컴퓨터 부대를 형성한다. 이 봇넷은 DDoS 공격을 실행할 수 있다. DDoS 공격은 인터넷 트래픽이 있는 웹사이트들의 가용한 트래픽을 압도해 강제적으로 오프라인 상태를 만들 수 있다. 페르시라이에 감염되면 우선 다른 공격자가 해당 기기에 동일한 취약점을 악용하는 것을 차단한다. 보안업체인 치후(Qihoo) 360도 이 악성코드를 발견했으며, 중국에서 4만 3,621대의 기기가 감염된 것으로 추산했다. 페르시라이는 DVR...

악성코드 IOT 페르시라이 2017.05.10

NSA 스파이웨어 탐지 무료 툴 등장…감염 기기 10만 대 발견

보안 전문업체 카운터셉트(Countercept)의 보안 연구원 루크 제닝스가 지난 주 해커 집단 셰도우 브로커에 의해 일반에 공개된 스파이웨어에 대응하는 스크립트를 만들어 공개했다. 이 스크립트는 더블펄서(Doublepulsar)라는 스파이웨어가 심어져 있는지 탐지한다. 스크립트를 사용하기 위해서는 약간의 프로그램이 기술이 필요하며, 현재 깃허브에 올라와 있다. 몇몇 보안 연구원은 제닝스의 스크립트를 이용해 감염된 기기가 얼마나 되는지 인터넷을 검사했다. 결과는 편차가 컸는데, 3만 대에서 10만 대의 컴퓨터가 이 스파이웨어에 감염된 것으로 나타났다. 침입 테스트 업체인 빌로우제로데이(Below0Day)는 트위터를 통해 국가별 감염 정도를 공개했는데, 미국이 1만 1,000대로 가장 많았다. 그 외에 영국, 대만, 독일이 1,500대 정도였다. 제닝스는 이들 기기가 언제 더블펄서에 감염됐는지는 알 수 없다고 밝혔다. 하지만 NSA의 스파이웨어가 공개된 것이 벌써 지난 주이기 때문에 발 빠른 해커라면 이미 이를 악용할 수 있는 충분한 시간이다. 한편 제닝스는 더블펄서가 인터넷을 통해 컨트롤 서버와 통신하는 방법을 분석해 이번 스크립트를 개발했다고 밝혔다. 하지만 제닝스의 원래 의도는 기업들이 자사 네트워크에 대해 스파이웨어를 탐지하는 데 이용하는 것이지 인터넷 전체에 대한 검사하는 것은 아니었다. 하지만 아직 제닝스의 스크립트가 잘못 됐다는 증거를 제시한 사람은 없다. 포보스 그룹 CEO 댄 텐틀러는 이 스크립트의 정확성을 조사했다. 텐틀러는 이미 수작업으로 감염이 확인된 기기 50대에 대해 스크립트를 사용해 봤는데, 50대 모두 스크립트를 통해서도 감염된 것으로 확인됐다. 텐틀러는 “스크립트가 좋지 않다면, 검사를 많이 하면 몇 개 정도는 오탐이 생기기 마련이다. 하지만 이 스크립트로는 아직 오탐을 발견하지 못했다”라고 밝혔다. 보안 연구원들이 더블펄서 검색 결과의 정확성을 확인하는 데는 시간이 좀 더 걸릴...

악성코드 해커 스파이웨어 2017.04.24

글로벌 칼럼 | 서드파티 보안 실패에서 은행이 배워야할 것들

가장 효과적인 사이버 공격은 우리가 취하는 보안 조치들을 피해가고 있다. 우리는 항상 과거에 발생했던 공격에 대응하고 있으며, 우리의 조치가 실패할 수 있는 가능성에 대해서는 거의 생각하지 않는다. Credit: pixabay 가능성은 항상 존재한다. 첨부파일을 통해 악성코드(Malware)가 들어오는 경우를 보자. 우리는 직원들이 모르는 사람이 보낸 첨부파일을 열지 않도록 메모를 보낸다. 사이버 범죄자들은 이것을 보고 피싱(Phishing)을 이용해 수신인의 가까운 동료가 보낸 것처럼 보이는 이메일에 첨부파일을 보낸다. 그러면 우리는 예상치 못한 첨부파일을 열지 말라고 직원들에게 경고한다. 그러면 공격자들은 첨부파일 경고를 기다렸다가 공격을 개시한다. 최근 브라질의 한 은행에 대한 공격을 살펴보자. 전략적으로 오타에 배치한 사이트가 사용자에게 원하는 사이트를 정확하게 찾아 방문하라고 경고하고 있으며, 특히 뱅킹 사이트의 경우에는 더욱 중요한 문제다. 물론, 공격자들은 우리가 조심하도록 교육을 받았다는 사실을 알고 있다. 그래서 브라질의 사이버범죄자들은 은행을 공격할 때 해당 은행의 DNS 공격자를 먼저 공격했다. 이를 통해 그들은 해당 은행의 도메인에 대한 유효한 디지털 인증서를 구매할 수 있었다. 그리고 나서 그들은 은행을 공격해 백신 앱을 비활성화하는 악성코드를 심었다. 이 공격을 자세히 다룬 다크 리딩(Dark Reading)의 기사에서는 다음과 같이 밝혔다. "해당 은행의 온라인 서비스에 접근하는 고객들은 트러스티어(Trusteer) 뱅킹 보안 플러그인 애플리케이션으로 가장한 악성코드의 공격을 받았다. 해당 악성코드는 로그인 크리덴셜(Credential), 이메일, 연락처 목록, 이메일 및 FTP 크리덴셜을 수집했다." 해당 은행과 DNS 제공업체는 분명 실수를 저질렀다. 실수는 훌륭한 학습 방법이며, 타인의 실수는 더욱 그렇다. 우선, 해당 은행은 DNS 제공업체의 이중 인증 사용을 거부했다. 이...

악성코드 은행 서드파티 2017.04.17

파괴적 행동을 하는 IoT 악성코드 등장과 IoT 기기 구매시 보안 검증 방법

해커들이 사물인터넷(Internet-of-things, IoT)와 기타 임베디드 기기를 감염시키도록 설계된 악성코드에 데이터 삭제 기능을 추가하기 시작했다. 최근 관찰된 2개의 악성코드 공격은 이런 삭제 행위를 보여줬지만 각자 다른 목적으로 사용됐을 가능성이 있다. Credit: Gerd Altmann/ Pixabay 팔로알토 네트웍스 연구원들은 1년 전 취약점을 통해 DVR(Digital Video Recorders)을 감염시키는 새로운 악성코드 프로그램인 암네시아(Amnesia, 기억상실)를 발견했다. 암네시아는 쓰나미(Tsunami)라 부르는 구형 IoT 봇넷 클라이언트의 변형이지만, 흥미로운 점은 가상화된 환경에서 실행 중인지를 탐지하려고 시도한다는 것이다. 이 악성코드는 실행중인 리눅스 환경이 실제 환경인지, 버추얼박스(VirtualBox), VM웨어(VMware), QEMU 등을 기반으로 한 가상머신에서 실행하는 것인 지를 확인하기 위해 몇가지 검사를 수행한다. 이런 가상 환경은 보안 연구원들이 일반적으로 사용하는 분석 샌드박스 또는 허니팟(honeypots)을 만드는데 사용된다. 가상머신 탐지 기능을 가진 윈도우 악성코드는 수년 전부터 존재해 왔다. 하지만 이 기능이 리눅스 기반의 임베디드 기기용으로 만들어진 악성코드에서 관찰된 것은 처음이다. 암네시아가 가상머신의 존재를 탐지해낸다면 수집한 증거를 없애기 위해 리눅스 “rm –rf”(연결된 모든 드라이브의 파일을 삭제하는 유명한 명령어)를 사용해 파일 시스템에서 중요한 디렉토리를 지우려고 시도한다. 한편 보안서비스 제공업체인 라드웨어(Radware)의 연구원은 IoT 기기를 대상으로 한 브리커봇(BrickerBot)이라는 다른 악성코드 공격을 발견했다. 이 공격은 감염된 라우터와 무선 액세스 포인트로부터 다른 리눅스 기반의 임베디드 기기에 시작된다. 이 악성코드는 텔넷 서비스가 실행 중이며, 인터넷에 노출되어 있는 기기들을 ...

악성코드 IOT 암네시아 2017.04.10

“악성코드 중 30%는 레거시 안티바이러스가 놓친 제로데이”

현재 악성코드의 30%가 전통적인 안티바이러스가 놓친 제로데이 악성코드라는 연구 결과가 나왔다. 워치가드 테크놀로지(WatchGuard Technologies)가 발표한 분기별 인터넷 보안 보고서에 따르면, 2016년 4분기에 ‘새로운 것’ 혹은 ‘제로데이’로 분류된 악성코드 중 30%가 레거시 안티바이러스 솔루션에서 탐지하지 못한 것들이다. 보고서는 워치가드 UTM 어플라이언스 2만 4,000개에서 수집한 데이터에 기반하고 있으며, 이들 어플라이언스가 2016년 4분기에 탐지한 악성코드는 총 1,870만개다. 그중에서 전통적인 시그니처 기반 안티바이러스 솔루션이 탐지한 악성코드는 896만 6,040개이지만, 새로운 행동기반 악성코드 보호 서비스는 386만 3,078개의 악성코드를 더 잡아냈다. APT(advanced threat prevention) 솔루션을 보유하지 않은 기업들은 악성코드의 3분의 1을 놓칠 수 있다는 것이 워치가드의 설명이다. 이밖에, 워치가드는 보고서에서 오래된 공격 유형이 여전히 기승을 부리고 있다고 지적했다. 악성 마크로가 포함된 워드 문서나 웹 서버를 하이재킹하는 악성 웹 셸 등이다. 또한 워치가드는 대부분의 네트워크 공격이 웹 서비스나 브라우저를 대상으로 하고 있으며, 특히, 웹 브라우저 공격의 73%가 드라이브 바이 다운로드(drive-by-downloads)라고 지적했다. 워치가드의 보고서는 웹사이트에서 전문을 확인할 수 있다. editor@itworld.co.kr

맬웨어 악성코드 안티바이러스 2017.04.06

랜섬웨어 피해를 예방하고 극복하기 위한 ‘전투 계획’

랜섬웨어는 보통 악성코드처럼 PC에 슬금슬금 침입하지 않는다. 불쑥 들어와, 데이터에 총을 겨누고 현금을 요구한다. 그리고 스스로를 방어하는 방법을 배우지 않으면 계속해서 반복이 된다. 정보 슈퍼고속도로를 질주하는 디지털 무장 강도이다. 액션 영화 속 이야기처럼 들릴지 모르겠지만, 통계는 사실임을 알려준다. 랜섬웨어 공격은 2015년 380만 건에서 2016년 6억 3,800만 건으로 증가했다. 소닉월(Sonicwall)에 따르면, 악성코드 공격은 감소했지만 랜섬웨어는 연간 167배가 증가했다. 그냥 현금을 요구할 수 있는데 데이터를 훔칠 이유가 없다. 샌프란시스코에서 열린 RSA 보안 컨퍼런스에서는 사상 처음 공격 표적, 요구 받는 금액, 랜섬웨어를 차단하고 제거하는 방법, 데이터를 인질로 잡은 악당들과 협상하는 방법 등을 자세히 소개한 하루 일정의 종합적인 랜섬웨어 세미나가 개최됐다. 우리는 랜섬웨어에 대응하는 전략을 수립할 때 사용할 수 있는 수 많은 정보를 얻었다. 아픈 곳을 공격하는 랜섬웨어 - 준비하라! 3년 전, 필자 아내의 컴퓨터가 랜섬웨어 공격을 받아 아기 사진, 세금 관련 자료, 기타 개인 데이터가 위험에 노출됐다. 맥이 풀렸다. 우리의 디지털 일생을 잃지 않기 위해 수백 달러를 지불해야 할까? 다행히 그럴 필요는 없었다. 전문가들이 추천한 모든 단계적 방법을 실천했기 때문이다. 첫째, 적을 이해해야 한다. 인텔 시큐리티(Intel Security) EMEA 사업 부문의 라즈 사마니 최고 기술 책임자에 따르면, 현재 랜섬웨어는 400여 종이다. 이중에는 맥OS와 리눅스를 표적으로 삼는 랜섬웨어도 있다. 다토(Datto)의 조사에 따르면, 시한장치 암호화로 개인 문서를 인질로 잡는 크립토로커(CryptoLocker)가 가장 많다. 그러나 공격 방법이 다양하다. 예를 들어, 센티넬원(SentinelOne)의 보안 전략 책임자인 제레미아 그로스먼에 따르면, 웹캠으로 창피한 순간을 녹화한 후, 온라인에 올리겠다고 위협하는 랜섬...

악성코드 PC 방어 2017.03.15

전문가들이 가장 두려워하는 보안 위협 7가지

악당들이 한 겨울에 난방기를 끈 후, 다시 켜는 조건으로 1,000달러를 요구한다면? 더 나아가 작은 도시의 전기를 '인질'로 사이버 몸값을 요구한다면? RSA 2017 컨퍼런스의 발표자로 나선 SANS 인스터튜트(SANS Institute) 보안 전문가들은 개인, 기업, 인프라 기술을 표적으로 하는 이런 종류의 공격들에 대한 우려가 가장 높다고 말했다. 이 중에는 소비자가 직접적인 표적인 위협도 있다. 또 기업이 표적이지만, 시간이 지나 소비자에 파급되는 위협도 있다. SANS에 따르면, 다음은 가장 위험한 공격 벡터 7개와 대응하는 방법이다. 1. 랜섬웨어 : 랜섬웨어는 20년 전 처음 등장한 후 아주 무서운 악성코드로 진화했다. 파일을 암호화한 후, 이를 해제하고 싶다면 돈을 내라고 협박하는 암호형 랜섬웨어를 말하는 것이다. 악당들에게 아주 좋은 공격 방법이다. SANS 인스터튜트의 에드 스쿠디스에 따르면, 바이러스처럼 확산되고, 데이터를 잠그고, 범죄자에게 연락해 '사이버 몸값'을 지불하도록 강요하기 때문이다. 할 수 있는 일 : 시스템을 패치하고 안티맬웨어를 이용하고, 권한을 설정하고, 네트워크 액세스를 관리해 위험 노출을 없애는 '네트워크 위생'을 연습해야 한다. PC 1대가 감염된 후, 감염이 네트워크의 다른 PC로 확산되어서는 안 된다. 이런 랜섬웨어를 관장하는 것은 사람이라는 사실을 기억해야 한다. 스쿠디스는 "가능한 작은 회사, 가난한 회사로 보이는 것이 좋다. 지불할 사이버 몸값을 줄이기 위해서이다"고 덧붙였다. 2. 사물 인터넷. 소비자 제품이 진화하고 있다. 다음 단계의 진화는 '연결성'이다. 베이비 모니터 카메라에서 칫솔까지 모든 제품에 서로, 그리고 인터넷에 연결할 수 있는 무선 프로토콜이 이용되고 있다. 그러면서 해킹에 약한 취약점이 생겼다. 더 나아가, 미라이(Mirai) 웜 사태에서 확인됐듯, IoT 장치가 공격 플랫폼이...

봇넷 악성코드 RSA 2017.02.21

"러시아어는 미끼” 은행 공격한 해커, 라자러스 연관성 높아

최근 전 세계 금융기관을 대상으로 한 정교한 해킹 공격에서 해커가 조사기관들을 떼어내기 위해 자신들이 사용한 악성코드에 고의로 러시아어를 삽입한 것으로 드러났다. 사이버 보안 업체 BEA 시스템의 연구원들은 최근 31개국 104곳의 금융기관을 공격한 악성코드의 추가 샘플을 확보해 분석했는데, 악성코드 내의 명령어 여럿이 온라인 툴을 이용해 러시아어로 번역한 것으로 나타났다. 러시아 원어민이 사용하지 않은 말이었다. BAE 연구원들은 블로그 포스트를 통해 “어떤 경우는 부정확한 번역으로 단어의 의미가 완전히 바뀌어 버리기도 했다. 이는 이번 공격의 작성자가 러시아어 원어민이 아니며, 러시아 단어를 사용한 것은 가짜 표지인 것으로 보인다”라고 설명했다. 이런 비상식적인 행위는 조사기관을 잘못된 정보로 유인하기 위한 것일 가능성이 크다. 실제로 이 악성코드 샘플과 공격 전체가 라자러스(Lazarus)의 소행이라고 볼 수 있는 기술적인 증거들이 있다. 라자러스는 2009년부터 활동을 시작한 사이버 범죄 단체로, 한국과 미국의 여러 정부 기관과 민간 기업에 대한 다양한 공격을 일으켰다. 또 2014년 소니 픽처스 공격의 주범으로 알려져 있다. FBI와 미국 정보기관은 소니에 대한 공격은 북한에 의한 것으로 보고 있다. 라자러스는 또 지난해 방글라데시 중앙은행의 8,100만 달러 절취와도 연관되어 있는데, 이 공격에서 해커는 은행이 SWIFT 네트워크를 통해 송금하는 데 사용하는 컴퓨터를 조작하는 악성코드를 사용했다. 당시 해커는 총 9억 5,100만 달러를 이체하려 했지만, 트랜잭션은 실패했고 송금했던 금액도 해킹이 발견된 이후 원래대로 복구되었다. 이달 초에는 폴란드의 여러 은행이 공격을 당해 주목을 받았는데, 이 공격은 폴란드 금융감독기관의 감염된 웹 사이트가 관련된 것으로 알려졌다. BAE와 시만텍의 연구원들은 폴란드 은행에 대한 공격이 지난 10월부터 진행된 좀 더 큰 규모의 해킹 작전과 연결된 것으로 ...

악성코드 해커 러시아 2017.02.21

"불완전한 안드로이드 앱, 커넥티드 카를 위험에 빠트린다"…카스퍼스키

수백만 명의 자동차 소유자가 원격으로 차량을 찾고 잠금을 해제할 수 있는 안드로이드 앱을 사용하고 있지만, 이 앱에는 해커들의 변조를 방지할 수 있는 보안 기능이 없다. 카스퍼스키 랩의 연구원들은 다양한 제조업체의 커넥티드 카에 사용되는 가장 인기있는 7개의 안드로이드 앱을 해킹 관점에서 분석했다. 앱과 제조업체의 이름은 특정하지 않았다. 이 연구원들은 이런 앱들이 설치되어 있는 기기가 악성코드에 감염되면 공격자가 해당 기기를 가로채기 어렵게 만드는 대책을 사용하고 있는 지에 대해 조사했다. 뱅킹 앱과 같은 애플리케이션의 경우, 이런 보호 기능이 있었다. 이번 조사에서 테스트를 받은 어떤 애플리케이션도 공격자가 프로그램을 분석하는 것을 어렵게 만드는 코드 난독화를 사용하지 않았으며, 악의적인 조작을 방지하기 위해 코드 무결성 검사를 사용하지 않았다는 점이 드러났다. 2개의 애플리케이션은 로컬에 저장된 로그인 자격 증명을 암호화하지 않았고, 4개는 비밀번호만 암호화했다. 실행중인 기기가 루팅됐는지 확인하는 앱은 없었다. 이는 앱이 안전하지 않고 손상됐을 가능성이 있음을 나타낸다. 마지막으로 테스트된 모든 애플리케이션이 다른 앱이 화면 위에 덮어씌울 수 없도록 하는 오버레이 방지 기능을 사용하지 않았다. 악성코드 앱 중에는 사용자가 속임수에 넘어가 로그인 정보를 노출하도록 가짜 로그인 화면을 가짜 앱에 표시할 수 있다. 물론 커넥티드 카 앱을 해킹하는 것만으로는 직접 절도 행위를 할 수 있는 것은 아니다. 하지만, 절도 행위를 쉽게 할 수 있도록 도와준다. 대부분 이런 앱이나 앱들이 저장한 자격 증명들은 차량을 원격으로 잠금 해제하고 경고 시스템을 사용할 수 없도록 하는데 사용할 수 있다. 카스퍼스키 연구원은 한 블로그에서 "이 위험 요소가 단순한 차량 절도에 국한되는 것은 아니다"며, "자동차 접근 권한을 획득해 자체 요소를 변경하면 도로 사고를 일으켜, 부상 또는 사망에 이르게 할 수 있다&quo...

악성코드 커넥티드 2017.02.20

RSA 2017에서 보안 전문가들이 남긴 최고의 조언

RSA 행사는 수많은 보안 기술로 가득 차 있다. 업계 최고를 자랑하는 업체들이 참여해 랜섬웨어와 싸우고 데이터 유출을 막는 제품을 선보인다. 하지만 아무리 최고의 보안 소프트웨어라 해도 사용자와 기업이 자신을 방어하기 위한 올바른 단계를 밟지 않는다면, 무용지물이다. RSA에 참석한 보안 전문가들에게 자신들이 알고 있는 최고의 보안 팁은 무엇인지 물었다. 델 시큐어웍스(Dell Secureworks) 맬웨어 연구 담당 디렉터 조 스튜어트 스튜어트는 인터넷 계정, 특히 이메일을 보호하는 데 이중 인증을 사용할 것으로 모두에게 권했다. 이중 인증은 사용자의 로그인 패스워드를 훔치려는 해커를 막는데 매우 유용한데, 악성코드를 이용하거나 이메일 피싱 사기를 이용하는 해커 모두에 대응할 수 있다. 또한, 해커가 사용자의 패스워드를 간신히 가로챘다고 해도, 인중 인증은 가장 정교한 공격을 포함한 모든 공격을 막아준다. 사용자의 계정에 액세스하려면, 지문이나 휴대폰에서 전송된 텍스트 메시지 등 또 다른 형식의 인증이 필요하기 때문이다. 스튜어트는 “이중 인증은 이런 사기 행위 대부분을 차단한다. 은행 악성코드도 이중 인증은 간신히 피해 가는데, 이들 해커는 그 수준이 아니기 때문이다”라며, “이중 인증은 대부분의 기업 이메일 훼손을 바로 막아줄 것이다”라고 강조했다. 크라우드스트라이크(CrowdStrike) 기술 전략 담당 부사장 마이크 센토나스 기업들은 무턱대고 최신 보안 제품을 구매하기 전에 사이버 위협으로부터 보호해야 하는 회사의 자산이 무엇인지부터 먼저 생각해야 한다. 지켜야 할 자산은 직원일 수도 있고, 지적재산권일 수도 있고, 고객 데이터베이스일 수도 있다. 센토나스는 “누구나 뭔가 가치 있는 것을 가지고 있다”라며, “자신이 가진 가치 있는 것이 무엇인지 알아야 한다. 그리고 그 다음에 그것이 어디에 있는지, 누가 액세스하는지 알아야 한다&rdqu...

악성코드 RSA 피싱 2017.02.20

지난 수년간 전세계 강타한 파일리스 악성코드 공격과 대응 방안

최근 140개 이상의 은행, 통신, 정부 기관 네트워크에서 발견된 파일리스 악성코드 공격(Fileless malware attacks)은 현재 알려진 공격의 15%를 차지하며 지난 수년 간 다양한 형태로 존재했다. Credit: IDGNS 가트너 보안 분석가 아비바 리탄은 "파일리스 악성코드 공격은 훨씬 더 보편화되고 있으며, 오늘날 배포되는 대부분의 엔드포인트 보호 및 탐지 도구를 우회한다"고 말했다. 지난 8일, 러시아 소재의 카스퍼스키랩의 연구원은 파일리스 악성코드 최근 현황에 대한 보고서를 냈다. 카스퍼스키에 따르면, 이 공격자들은 식별되지 않았으며 누구라고 지명하는 것은 거의 불가능하다. 악성코드가 메모리에만 존재하고 대부분 숨겨져 있기 때문에 파일리스 악성코드 공격이라 부른다. 이 악성코드 공격은 알려지지 않은 사이버 도둑들에 의해 ATM와 고객 계정을 훔쳐내는데 사용됐다. 그러나 피해범위나 액수에 대해서는 알려진 바 없다. 이 최신 위협은 원래 익명의 은행 보안 팀에 의해 발견됐는데, 악성코드는 보안 감사 요청에 응답하는 일종의 서버인 이 은행 도메인 컨트롤러의 물리적인 메모리 내에서 존재했다. 이 악성코드에 감염된 은행과 다른 기관들은 모두 40개국에 걸쳐 있었으며, 그 가운데 가장 많은 피해를 입은 국가는 미국, 프랑스, 영국, 케냐, 에콰도르 등 5개국이었다. 카스퍼스키 측은 미국 내에서 21건의 공격이 발생했다고 전했다. 카스퍼스키 랩 연구원인 커트 봄가트너에 따르면, 공격의 목표는 완전히 밝혀지지 않았지만, 공격자는 ATM 기기의 돈을 받아들이는 은행 컴퓨터를 표적으로 했다. 리탄은 이메일을 통해 "도둑들은 ATM 기기에서 현금을 빼내고 계정에서 돈을 훔치는 것을 포함해 모든 종류의 공격에 파일리스 악성코드를 사용한다"며, "지난 2년동안 은행과 유통업체들에게서 발생한 금융 사고의 절반 이상이 이런 공격 기법을 사용했다"고 설명했다. ...

악성코드 카스퍼스키 파일리스 2017.02.10

포켓몬 고 등 유명 앱을 가장한 악성코드를 확인하는 방법

포켓몬 고(Pokemon Go) 사용자가 게임하는 동안 장애물을 피하기도 해야겠지만, 현재 그들 자신이 좋아하는 게임 앱이 자신의 폰에 악의적인 행동을 할 수 있는 가짜 앱인지 여부를 밝힐 수 있어야 한다. 모바일 보안업체인 짐페리움(Zimperium)은 사용자가 앱 스토어에 들어갔을 때 '내 앱/ 게임'에서 자신의 앱을 인지하고 있는 지 파악하라고 충고했다. 짐페리움 CTO 존 미켈센은 구글이나 애플과 같은 인증된 앱 스토어는 앱 보안을 강화하고 개선하기 위해 노력하고 있다. 이 2개의 마켓 플레이스는 앱을 검증하고 샌드박스화 할 수 있도록 보호 계층을 추가하지만, 크랙으로 인해 심각한 위험은 여전하며 새로운 가짜 앱들은 매일같이 등장한다. 예를 들어, 수개월 전, 중국 개발자의 로그 앱(Rogue App)이 노드스트롬(Nordstrom), 딜라드(Dillard), 자포스(Zappos.com)와 같은 대형 소매업체로 가장해 애플의 프로세스를 통과한 적이 있었다. 이 마르쉐(Marcher) 악성코드는 슈퍼마리오 런(Super Mario run) 게임 앱과 포켓몬 고처럼 위장했다. 또한 가짜 안드로이드 프리즘(Prisma) 앱은 피싱, 악성코드 사기 등을 실행하고 있다. 가짜 앱 대다수는 사진 편집 기능을 갖고 있지 않으며 사용자의 기기를 애드웨어와 악성코드에 감염시키는 것에 주력한다. 이 가짜앱은 구글 플레이가 삭제하기 전까지 150만 사용자가 이 앱을 다운로드했다. 굴리건(Gooligan) 악성코드는 서드파티 앱스토어를 통해 86개의 감염된 가짜 앱 가운데 하나를 다운로드하거나 이메일에 포함된 사기성 링크를 클릭하는 등 피싱 사기에 해당하는 것을 설치할 수 있다. 미켈센은 이런 가짜 앱들을 식별하는데 도움이 될만한 팁을 제공했다. - 서드파티 앱 스토어를 피하라 공식 앱 스토어에서만 앱을 다운로드하라. '알 수 없는 출처'의 다운로드는 허용해서는 안된다. 구글 플레이 외부에서 안드로이드 앱...

악성코드 포켓몬고 2017.02.06

리눅스 사용자가 악성코드에 대해 걱정해야 하는 이유와 대처 방법

컴퓨터를 사용하다 보면 악성코드 확산을 차단하거나 감염 이후 사태에 대처하는 것은 피할 수 없는 일이다. 윈도우를 향해 끊임없이 밀려드는 위협에서 벗어나기 위해 리눅스 또는 맥으로 옮겼다면 신선한 공기를 한껏 들이마실 수 있겠지만 그렇다고 무방비 상태로 가드를 내려서는 안 된다. 맥 OS X와 같은 유닉스 계열 시스템과 리눅스는 사용자 수가 적은 만큼 위협의 수도 더 적지만 어쨌든 위협은 존재한다. 바이러스 역시 심각하지는 않다해도 문제가 될 수 있다. 킬디스크(KillDisk)와 같은 최근 랜섬웨어는 데이터를 붙잡고 풀어주는 대가로 엄청난 금액을 요구한다(리눅스의 경우 킬디스크 공격을 당하면 몸값을 지불하더라도 데이터를 되찾을 수 없다). 시스템 업데이트, 항상 최신으로 유지하라 시스템을 업데이트된 상태로 유지하면 항상 보안 취약점을 패치할 수 있다. 설치한 소프트웨어에 따라 매일 업데이트가 나오기도 하니 최소 2주에 한 번씩은 업데이트를 실행할 것을 권한다. 어떤 이유로 소프트웨어의 현재 버전을 유지해야 한다면 적어도 커널이라도 계속 업데이트해야 한다. 낯선 네트워크를 신뢰하지 말 것 시간이 된다면 대학 캠퍼스나 커피숍에 가서 주변을 둘러보라. 사람들이 반짝거리는 신형 노트북을 꺼내놓고 바쁘게 클릭하고 입력하는 모습을 볼 수 있을 것이다. 도둑들에게는 잭팟과도 같은 풍경이다. 다만 일반적으로 상상하는 형태의 도둑은 아니다. 공개 와이파이 네트워크는 큰 골칫거리다. 적절한 소프트웨어와 무선 설정만 갖추면 누구나 암호화되지 않은 채로 공기 중에 떠다니는 와이파이 트래픽을 훔칠 수 있다. 집이나 사무실 외부에서 네트워크에서 연결한다면 항상 가상 사설망(VPN)을 첫 번째 방어선으로 사용해야 한다. VPN에 대해 잘 모른다면 잠깐 시간을 내서 이 기사를 읽어보길 바란다. 의심스러울 때는 VPN을 사용하라.  리눅스에서 VPN을 사용하려면 적절한 패키지 설치가 필요하다. 대부분의 개인 사용자용 VPN은 오픈VPN(Open...

리눅스 악성코드 보안 2017.01.23

구글, 안드로이드를 악성코드로부터 보호하는 “앱 검증” 소개

안드로이드 4.2 젤리빈이 출시됐을 때, 구글은 앱 검증(Verify Apps)이라는 기능을 추가했다. 사용자들이 실수로 악성코드를 다운로드해서 디바이스에 문제가 생기는 것을 방지하기 위한 기능이다. 기본적으로 모든 안드로이드 디바이스에서 활성화되어 있는 이 서비스는 플레이 스토어가 아닌 다른 출처에서 설치된 앱을 확인하고 사용자에게 잠재적인 위험성이 있음을 경고한다. 구글은 블로그를 통해 이 앱 검증 기능에 대해 구체적으로 소개하며, 이 기능이 악성코드를 얼마나 효율적으로 방어하고 있는지 설명했다. 앱 검증 기능은 대부분의 사용자들이 활성화되어 있는지도 모를 정도로 조용하고 눈에 띄지 않는다. 하지만 반대로 이 기능이 비활성화되어 있다는 것도 알지 못할 가능성이 있다는 이야기다. 구글은 기본적으로 활성화되어 있는 이 기능이 비활성화되는 경우는 악성 앱이 의도적으로 이 기능을 비활성화한 것이며, 잠재적인 위험성이 있다고 설명했다. 구글은 앱 검증 기능이 비활성화된 이러한 디바이스를 DOI(Dead or Insecure) 디바이스, 그리고 DOI 디바이스에 많이 다운로드된 앱을 DOI 앱으로 정의한다. 여기서 구글의 보안 마법이 시작된다. 소프트웨어 엔지니어 메간 루스벤은 구글이 디바이스의 작동을 멈추는 보안과 관련된 원인들을 알아내고, 향후 이러한 일이 발생하지 않도록 막는 방법으로 앱 검증 기능을 도입했다고 밝혔다. 디바이스에서 앱 검증 기능 사용이 중지되면, 구글은 설치된 앱을 점검하고, 앱의 DOI 점수를 확인한다. DOI 점수란, 특정 앱이 앱 검증 기능이 활성화되어 있을 때 다운로드 된 디바이스의 개수를 의미한다. 앱의 DOI 점수가 낮으면 앱 검증 기능이 비활성화된 디바이스에 설치된 적이 많다는 의미이며, 구글은 해당 앱을 더 깊게 조사하고 필요하다면 앱을 삭제하거나 앞으로 설치되지 않도록 차단한다. 구글은 이 방법을 통해서 허밍버드(Hummingbird), 고스트 푸시(Ghost Push), 굴리건(Gooligan) 악성...

악성코드 보안 구글 2017.01.20

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.