Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

안드로이드 루팅 트로이 목마 발견…정식 앱 스토어 배포에 광고까지

구글 플레이 스토어는 최근 몇 년간 악성코드를 더욱 잘 감시하고 공격에 대한 장벽을 높이며 과거보다 잘 대처했다. 하지만 정교하게 제작된 트로이 목마가 계속해서 구글 플레이 스토어에 침입하고 있다. 최근 발견된 앱스트랙에뮤(AbstractEmu)가 대표적이다. 유틸리티 앱으로 가장한 앱스트랙에뮤는 루트 취약점 공격으로 피해자의 장치를 완전히 통제할 수 있다.   보안 업체 룩아웃(Lookout) 연구진은 최근 발표한 보고서에서 “지난 5년 동안 루팅 악성코드 배포가 줄었기 때문에 앱스트랙에뮤는 아주 중요한 발견이다. 그동안 안드로이드 생태계가 성숙해지면서 여러 기기에 영향을 미치는 취약점 공격이 줄었고, 이로 인해 악성코드의 유용성도 줄어든 상황이다”라고 설명했다. 앱스트랙에뮤는 구글 플레이 스토어, 아마존 앱스토어, 삼성 갤럭시 스토어와 상대적으로 덜 알려진 앱토이드(Aptoide), APK퓨어(APKPure)에서도 발견됐다. 신뢰하는 앱 스토어에서 앱을 다운로드하면 모바일 장치의 공격 확률을 낮출 수 있지만, 절대적인 해법은 아니며 추가 보호 방안과 모니터링이 필요하다는 점을 일깨운다. 정기 OS 보안 패치가 적시에 배포되는 기기를 선택하고, 장치에 사용하는 앱 수를 제한하고, 불필요한 앱을 제거하는 것이 아주 중요하다.  자금 탈취 목적의 글로벌 작전일 가능성 있어 룩아웃에 따르면, 앱스트랙에뮤는 비밀번호 관리 도구, 앱 런처, 데이터 세이버, 주변 조명 관련 도구, 광고 차단 도구, 기타 유틸리티 앱으로 가장한 19개 앱에서 발견됐다. 구체적인 앱 명칭은 안티 애드 브라우저(Anti-ads Browser), 데이터 세이버(Data Saver), 라이트 런처(Lite Launcher), 마이 폰(My Phone), 나이트 라이트(Night Light), 올 패스워드(All Passwords), 폰 플러스(Phone Plus)다. 라이트 런처는 구글 플레이 스토어에서 1만 회 이상 다운로드된 앱이다. 앱스트랙에뮤에 감염된 앱은 모...

트로이목마 악성코드 2021.11.04

에어태그를 '악성코드 배포기'로 만든 치명적인 코딩 오류

2021년 모바일 IT의 무서운 진실 가운데 하나는 애플 워치, 에어태그, 건강 상태를 추적하는 링, 스마트 헤드폰 등 소형 기기의 단순성과 편의가 지나치게 유혹적이라는 점이다. 노트북이나 데스크톱과 비교했을 때 이들 기기에서는 URL에 문제가 없는지, 스팸, 악성코드 문자, 이메일이 열리지는 않는지, 직원이 IT 부서가 요청한 최소한의 사이버보안 예방 조치를 따르고 있는지 확인하기가 지극히 어렵다. 에를 들어 데스크톱 이메일에는 극도의 주의를 기울이는 사람이 애플 워치를 통해 유입되는 메시지에는 별 생각 없이 경계를 푸는 경우가 많다.   더구나 사소한 프로그래밍 오류는 쉽게 일어나고 그냥 지나치는 경우가 많다. 하지만 이 사소한 오류가 거대한 보안 허점이 될 수 있다. 애플과 에어태그의 사례를 살펴보자. 한 보안 연구자가 전화번호를 입력하는 필드가 의도치 않게 에어태그를 악성 코드 범죄자를 위한 '신의 선물'로 만들었음을 발견했다.   아스 테크니카(Ars Technica)는 "보안 컨설턴트이자 침투 테스터인 보비 로치가 애플의 에어태크, 즉 노트북, 전화기, 자동차 열쇠 등 자주 분실하는 물품에 부착될 수 있는 소형 기기를 분석한 결과 이용자가 입력한 정보를 삭제하지 않는다는 사실을 알아냈다. 이는 에어태그가 드롭 공격에 이용될 여지를 있음을 의미한다. 노리는 사람의 차가 주차된 곳에 악성코드가 담긴 USB 드라이브를 뿌리는 대신, 준비된 에어태그를 투하할 수 있게 됐다"라고 보도했다.   보도에 따르면, 이런 종류의 공격은 고도의 전문 지식이 필요 없다. 공격자는 단순히 에어태그의 전화번호 필드에 정당한 XSS를 입력한 후 에어태그를 ‘분실’ 모드에 두고 표적이 이를 발견한만한 장소에 두면 된다. 이론적으로, 분실된 에어태그를 스캔하는 일은 안전한 행동이다. https://found.apple.com 웹페이지를 열도록 되어 있을 뿐이다. 문제는 found.apple.com 웹사이트가 피해자의 브라우저에 표시된 대로 ...

에어태그 악성코드 코딩 2021.10.07

“OT 보안, 통합의 접점을 찾아라” 최적화된 OT 융합 보안 체계 구축 전략 - IDG Summary

폐쇄망으로 알려져 있는 OT 환경이 침해 사고에 시달리고 있다. 사고 원인의 대부분은 외부 유입 악성코드이다. 이 때문에 OT 환경을 외부와 연결하는 산업용 DMZ 계층의 안전에 관심이 쏠리고 있다. 해법으로 제시되는 것은 IT와 OT를 아우르는 통합적인 분석 및 가시성 확보이다. OT 보안의 현황과 주요 문제점을 짚어보고, 최적의 OT 보안 대책을 위한 조건과 고려사항, 솔루션을 살펴본다. 주요 내용 OT 침해사고의 65%는 외부 유입 악성코드 레벨 3.5 DMZ 계층을 보호하라 OT 보안, 빙산 아래를 보는 가시성이 관건 OT 환경을 위한 보안 체계의 조건 OT와 IT를 아우르는 위협 분석 및 가시성 제공하는 스파이더 OT 최적의 OT 보안 대책을 위한 고려사항

OT 침해사고 악성코드 2021.09.03

미 FBI, ‘원퍼센트’ 랜섬웨어 공격 주의보 “한달 전부터 네트워크 암약”

미국 연방수사국(FBI)이 원퍼센트(OnePercent, 혹은 1Percent)라고 불리는 랜섬웨어 공격 단체에 대해 주의하라고 23일(현지시간) 경고했다.   이 단체는 아이스드아이디(IcedID) 트로이안과 모의 해킹 툴 코발트 스트라이크(Cobalt Strike)를 이용해 기업 네트워크에 침투한다. 이미 유명한 다른 랜섬웨어 공격 단체처럼 원퍼센트는 기업 데이터를 암호화해 탈취한 뒤, 몸값을 지급하지 않으면 해당 정보를 공개하거나 판매할 것이라고 피해 기업을 협박한다. 원퍼센트는 적어도 지난 2020년 11월부터 미국 기업을 상대로 활동한 것으로 보인다. 이들은 최초의 몸값 요청에 일주일 안으로 응답하지 않으면 위조된 번호를 이용해 전화하거나 지속적으로 이메일을 보내는 등 적극적으로 몸값을 요구한다. 아이스드아이디와 코발트 스트라이크를 이용한 ‘낚시’ 원퍼센트는 피해 기업의 네트워크에 처음 잠입할 때 아이스드아이디 트로이목마를 사용한다. 아이스드아이디는 본래 온라인 은행 정보를 빼내도록 설계되었지만, 여타 뱅킹 트로이목마와 마찬가지로 플랫폼에도 접근할 수 있도록 기능이 확장됐다. 과거 트릭봇(TrickBot) 뱅킹 트로이안을 유포한 류크(Ryuk) 랜섬웨어 그룹과 드라이덱스(Dridex)를 유포한 웨이스티드락커(WastedLocker), 굿킷(Gootkit)을 유포한 레빌(REvil) 혹은 소디노키비(Sodinokibi) 그룹과 유사하다. 아이스드아이디는 악성코드 압축파일이 첨부된 피싱 이메일을 통해 배포된다. 압축파일에 들어있는 워드파일에는 아이스드아이디를 다운로드하고 설치한 후, 이를 실행하는 매크로 시스템이 들어있다. 원퍼센트는 아이스드아이디를 설치한 후 코발트 스트라이크(Cobalt Strike)를 배치한다. 코발트 스트라이크는 상업적으로 활용되는 모의 해킹 도구로, 최근 몇 년 사이 여러 사이버 범죄에서 사용되며 유명해졌다. 시스템에 접근할 수 있는 백도어를 생성하고 파워쉘 스크립트를 실행시켜 네트워크에 우회적으로 접속한다. ...

랜섬웨어 트로이안 트로이안목마 2021.08.25

안랩  “채용 제안 메일로 유포되는 악성코드 주의하라”

안랩이 11일, ‘채용 제안(Job Invitation)’ 메일로 위장해 유포되는 악성코드를 주의하라고 당부했다. 공격자는 ‘팀장(Team Lead)‘이라는 발신자 이름으로 ‘팀원 채용 제안(Our Team Job Invitation)’이라는 제목을 달아 악성 메일을 전송했다. 본문에는 ‘우리의 채용 제안을 첨부했다(Hello, our invitation is attached to this message)’라는 내용을 담아 첨부파일 실행을 유도했다. 특히, 공격자는 첨부파일 압축해제 비밀번호를 기재해 마치 수신인만을 위한 메일인 것처럼 ‘당신의 개인 비밀번호(Your personal password)’라는 문구를 사용해 수신자의 의심을 피했다.  수신자가 비밀번호를 입력해 압축 파일을 해제하고, 워드 파일을 실행하면 편집 사용(Enabling editing) 버튼을 클릭하라는 내용의 워드 문서가 열린다. 이 때 정보탈취형 악성코드에 감염된다.   이 악성코드에 감염되면 인터넷 브라우저에 저장된 사용자 계정 정보, FTP(File Transfer Protocol)  설정 정보 등 다양한 PC 정보가 유출될 수 있다. 악성코드 피해를 예방하기 위해서는 ▲출처가 불분명한 메일의 첨부파일 실행 금지 ▲메일 주소 재확인 ▲최신 버전 백신 사용 등의 기본적인 보안 수칙을 지켜야 한다. 안랩 분석팀 장서준 주임 연구원은 “이메일로 악성코드를 유포하는 등 공격자의 공격 방식이 점차 고도화되고 있다”라며, “관심 있는 메일이라도 첨부파일 또는 URL를 클릭하지 않고 꼼꼼히 확인하는 습관을 가져야 한다”라고 말했다. editor@itworld.co.kr

안랩 이메일 악성코드 2021.08.11

“가짜 윈도우 11 다운로드 링크를 조심하라” 악성코드 온라인 유포 중…카스퍼스키 경고

윈도우 11의 최종 버전은 아직 출시되지 않았지만, 가짜 다운로드 링크는 이미 온라인에서 널리 공유되고 있다. 이는 마이크로소프트의 향후 운영체제가 호환 가능한 기기를 위한 무료 업그레이드이며, 현재 널리 제공되는 공식 베타가 있음에도 불구하고 가짜 버전이 유포되고 있다.    러시아 사이버보안 업체 카스퍼스키(Kaspersky)는 비공식 출처에서 윈도우 11을 다운로드하지 말 것을 촉구하는 공식 경고를 발표했다. 이런 서드파티 사이트 중 일부는 신뢰할 수 있는 것처럼 보일 수 있지만, 새 운영체제 버전에는 바이러스와 악성코드가 로드되는 경우가 많다.  카스퍼스키 측은 가장 흔한 사례 가운데 하나를 강조했다. 1.75GB 파일짜리 다운로드 링크가 ‘86307_windows 11 build 21996.1 x64 + activator.exe’라는 이름으로 온라인에 유포되고 있다. 이는 윈도우 11의 정식 버전처럼 보이지만, 이를 설치하면 애드웨어와 악성코드와 같은 매우 다른 소프트웨어가 제공된다.  이 파일은 마이크로소프트에서 배포하는 공식 버전이 아니기 때문이다. 카스퍼스키는 윈도우 11을 사칭하는 다른 악성코드 및 바이러스가 있을 수 있다고 경고했다.  물론 윈도우 11을 사용할 수 있는 더 쉬운 방법이 있다. 마이크로소프트는 테스트 단계에서 윈도우 11의 새로운 하드웨어 요구사항을 적용하고 있지 않으므로 윈도우 10 PC가 있는 사람이라면 누구나 사용해 볼 수 있다. 윈도우 참가자 프로그램에 가입하고, ‘개발자 채널(Dev Channel)’을 선택하기만 하면 된다.  이 초기 빌드를 설치하는 것은 여전히 버그와 누락된 기능이 있을 수 있으므로 주 컴퓨터에 설치하는 것은 권장하지 않는다. 윈도우 11이 설치되는 즉시 효과적인 보안 소프트웨어를 활성화하는 것도 중요하다. 마이크로소프트 디펜더(Microsoft Defender)는 이미 설치되어 있지만, 훌륭한 대안이 많이 있다. editor@itwo...

윈도우11 악성코드 카스퍼스키 2021.07.27

최악 악성코드 '모자익로더', 불법 복제 게이머 노린다

"구글에서 찾지 못하면 잡히지 않는다." 아마도 새로운 모자익로더(MosaicLoader) 악성코드 개발자가 이 사실을 발견한 것으로 보인다. PC 보안 업체 비트디펜더(Bitdefender)가 최근 공개한 백서에 따르면, 이 악의적인 소프트웨어는 불법 복제된 게임을 미끼로 악성코드를 다운로드하도록 유도한다. 비트디펜더에 따르면 모자익로더는 게임이나 다른 애플리케이션의 불법 복제 소프트웨어를 구하는 이들을 노린다. 검색 과정에서 다운로더를 내려받게 하는 방식이다. 사실 악성코드 개발자가 크랙된 소프트웨어 사용자를 노리는 것은 새로운 경향이 아니다. 하지만 모자익로더의 차별점은 탐지를 피하기 위해 상당히 공을 들였고 매우 심각한 피해를 준다는 것이다. 비트디펜더 측은 "악성코드 분석을 방해하고 리버스 엔지니어링을 막기 위해 내부 구조를 복잡하게 했기 때문에 모자익로더라는 이름을 붙였다"라고 설명했다. 모자익로더는 여러 가지로 흥미로운 악성코드다. 특정 파일명을 이용해 윈도우 디펜더(Windows Defender)의 로컬 제외 항목에 추가한다. 이를 통해 악성코드가 활동을 시작할 때 마이크로소프트의 안티바이러스 앱이 작동하는 것을 막는다. 악성코드가 항상 그랬던 것처럼 모자익로더 역시 합법적인 소프트웨어의 파일 정보를 흉내 낸다. 더 작은 코드 더미와 실행 명령을 뒤섞는 방식으로 코드를 분석하기 어렵게 한다. 또한, 디버깅 프로그램을 작동하는 것을 막는 전통적인 안티 디버깅 기법도 사용한다. 모자익로더가 일단 시스템에 설치되면, 온라인 계정을 훔치기 위해 로그인 세션을 가로채는 쿠키 탈취를 포함해 모든 종류의 피해를 준다. 사용자의 페이스북이나 트위터에 접속하는 것은 생각만 해도 곤혹스러운데 여기서 끝이 아니다. 더 큰 피해로 이어질 수 있다. 이 악성코드를 통해 같은 사용자의 다른 계정까지 탈취하는 힌트를 얻을 수 있기 때문이다. 또는 친구들에게 링크를 보내 더 많은 악성코드를 배포하는 데 악용할 수도 있다. 모자익로더로 입을 수 있는 피해 중에는 컴퓨...

모자익로더 불법복제 악성코드 2021.07.23

윤리적이고 효과적인 피싱 테스트를 위한 5가지 베스트 프랙티스

규모를 막론하고 모든 기업에서 피싱 시뮬레이션(혹은 피싱 테스트)을 통한 보안교육이 인기를 끌고 있다. 피싱 테스트는 보안팀이 진짜처럼 보이는 악성 피싱 메일을 만들어 직원에게 발송하는 방식으로 이뤄진다. 통상 누락된 납품에 대한 안내, 송장 요청, 유명인들의 소문 같은 내용으로 이메일을 열어보게 만든다. 보안팀의 통제 아래 이런 이메일에 대한 응답을 정량화하고, 직원들의 보안 인식 수준을 확인한다. 얼마나 많이 첨부 파일을 열어보고, 링크를 클릭했는가? 얼마나 많은 이메일을 의심스러운 메일로 표시하거나, 무시했는가? 다른 것들에 비해 가장 큰 영향을 미친 이메일 제목은 무엇인가? 피해자가 될 확률이 더 높은 특정 부서나 사용자가 있는가? 이런 데이터는 사이버보안 인식 트레이닝 및 교육을 더 효과적으로 맞춤화하고, 해결해야 할 잠재적인 취약점을 파악하도록 한다.   피싱 테스트에 제기된 윤리적 문제 하지만 몇몇 사건으로 인해 피싱 테스트의 핵심 요소에 대한 윤리성이 논란이 되고 있다. 최근 논란의 여지가 있는 주제를 사용해 피싱 테스트를 진행한 영국 웨스트 미들랜즈의 한 철도회사가 대표적인 예다. WMT(West Midlands Trains)은 코로나19 팬데믹 위기 동안의 노고를 치하하기 위해 보너스를 지불한다는 내용으로 피싱 테스트를 진행했다. 발신인은 재무팀으로 가장했다. 또한 수신자가 WMT의 상무이사 줄리안 에드워즈에게 개인 메시지를 보낼 수 있는 마이크로소프트 오피스 365 링크를 클릭하도록 유도했다. 이 링크는 마이크로소프트가 피싱 테스트를 위해 설정한 셰어포인트 사이트로 연결되었고, 링크를 클릭한 사람에게는 HR 팀으로부터 로그인 정보를 요구하는 이메일을 주의하라는 충고 이메일을 받았다. 말할 필요도 없이 보너스는 지급되지 않았다.   윤리적인 피싱 테스트 일정액을 지불하겠다고 약속하는 방법은 사이버 범죄자들이 피해자를 속이기 위해 많이 사용하는 효과적인 전술이다. 그러나 피싱 테스트에서 이런 전술을 사용하는 것은 공정한 것...

보안 피싱 악성코드 2021.05.28

세계 최대의 봇넷 이모텟, 여러 국가의 협력으로 붕괴

몇몇 국가의 법 집행기관들이 공동작전을 펼쳐 세계 최대의 봇넷 가운데 하나인 이모텟(Emotet)의 명령 제어 인프라를 장악했다. 이 봇넷의 붕괴가 영구적일지는 아직 지켜봐야 하지만 보안 전문가에 따르면 긍정적인 신호임은 틀림없다.      유럽형사경찰기구(Europol, 유로폴)는 27일 “이번 작전은 네덜란드, 독일, 미국, 영국, 프랑스, 리투아니아, 캐나다, 우크라이나 간 협력의 결과이고, 국제적 활동은 유로폴과 유럽사법기구(Eurojust, 유로저스트)가 조율했다. 이 작전은 범죄 위협에 대한 유럽 다학제 플랫폼(European Multidisciplinary Platform Against Criminal Threats, EMPACT) 프레임워크 내에서 수행됐다”라고 밝혔다.  이모텟, 무엇인가?  이모텟(Emotet)은 2014년부터 운영을 시작했는데, 지난 수개월 동안 보안 제품에 의해 가장 흔하게 검출되던 악성코드 계열이었다. 이는 온라인 뱅킹 인증정보를 탈취하려는 데 주력하는 트로이목마 프로그램으로 시작했지만, 시간이 지나면서 다른 사이버 범죄 집단이 자체 악성코드를 전개하거나 감염된 컴퓨터에 접근하는 데 이용하는 악성코드 서비스 플랫폼(malware-as-service platform)으로 진화했다.   이모텟은 보안 업계가 TA542로 추적하는 집단에 의해 운영되고, 주요 고객 가운데 한곳은 트릭봇(TrickBot)의 배후에 있는 집단이다. 트릭봇은 악명높은 류크(Ryuk) 랜섬웨어를 유포하는 것으로 알려진 봇넷이다. 이모텟/ 트릭봇/ 류크의 관계는 보안 업계에서 잘 알려져 있고, 기업들은 네트워크 상의 이모텟과 트릭봇 감염을 심각하게 취급하라고 반복적으로 경고를 받았다. 랜섬웨어의 전조가 되는 봇넷이기 때문이다.   트릭봇 명령 제어 서버는 지난해 10월 마이크로소프트가 개별적으로 주도해 섬멸 작전을 펼쳤지만, 이 봇넷은 완전히 괴멸되지 않았다. 마이크로소프트의 작전 이후에...

이모텟 봇넷 악성코드 2021.01.29

IDG 블로그ㅣ원격근무부터 제로트러스트까지… 2021년 ‘보안’ 전망

2020년은 ‘최고정보보안책임자(Chief Information Security Officer, CISO)’가 끊임없는 도전과 과제에 직면해야 했던 한 해였다. 2021년에는 CISO가 그 영향력을 더욱더 확대하는 동시에 위험과 보상을 모두 마주치게 되리라 전망한다.  CISO의 역할이 바뀌고 있다. 점차 보안을 사일로처럼 취급하지 않게 되면서다. 기업들은 조직을 보호하기 위해 이 역할에 진정한 리더가 필요하다는 사실을 깨닫기 시작했다. 전례 없는 위기 속에서 CISO는 적절한 위험 허용치와 정책을 관리하는 동시에 비즈니스에 부합하는 많은 결정을 신속하게 내려야 했다.  이러한 변화는 계속될 것으로 예상된다. CISO가 예산 압박, 새로운 위험, 새로운 워크 이코노미 등의 과제에 직면하게 될 내년에도 말이다.  CISO들은 2021년 어떤 성과를 거두게 될까? 어떤 부문에 관심을 기울여야 할까?    예측 1. 팬데믹 이후 ‘정리(cleaning up)’는 기본으로 돌아가는 것을 의미한다 올 한 해 코로나19 사태에 대처하고자 고군분투했던 CISO들은 2021년 기본 작업을 두 배로 늘리고자 할 가능성이 크다. 악성코드(Malware)를 사전에 방지하기 위해서는 이른바 ‘보안 위생(security hygiene)’이 매우 중요하다는 점을 실감했기 때문이다. 적절한 보안 프로그램을 갖추지 않았던 CISO라면 위협을 스캔 및 조사하고, 우선순위를 정하며, 이를 무력화하는 방법을 다루는 워크플로우를 필요로 할 것이다.  이 작업을 수행한다는 것은 정확한 자산 인벤토리 목록을 갖는다는 의미다. 이는 많은 기업이 코로나19 위기에 신속하게 대응하고자 했을 때 없었던 것이기도 했다. 정확하게 자산 인벤토리 목록을 작성하고, 최신 상태로 유지하는 것은 2021년의 핵심 업무가 될 것이다.  이와 함께 레거시 기술 문제(예: 자산 관리)가 대두될 것으로 예상된다. ‘클라우드 퍼스트(Cloud first...

CISO 최고정보보안책임자 보안 2020.12.31

미국 IoT 사이버보안 개선법, 상원 통과

‘사물인터넷 사이버보안 개선법(The Internet of Things Cybersecurity Improvement Act)’에 따르면, 기기 제조업체는 새로운 보안 표준을 충족해야 한다. 아직까진 정부 기관과 관련된 업체에만 적용되는 법이지만, 향후 민간 부문으로 확대될 것으로 전망된다.    전 세계가 모든 전자기기를 상호연결하는, 즉 사물인터넷(IoT) 시대로 나아가고 있다. 하지만 ‘보안’보다 시장 출시 속도와 가격만 우선시하는 기기 제조업체들이 많다. 노키아(Nokia)의 최신 위협 인텔리전스 보고서(Threat Intelligence Report 2020)에 따르면, 전체 모바일 및 와이파이 네트워크 감염에서 IoT 기기가 차지하는 비율은 무려 1/3에 달했다.  IoT 기기 수가 기하급수적으로 증가하면서 이 비율 또한 많이 늘어날 것으로 예상된다. 포티넷(Fortinet)의 최근 보고서는 엣지 기기의 급속한 도입으로 공격 기회가 커질 것이라면서, “지능형 악성코드가 새로운 ‘엣지 액세스 트로이목마(Edge Access Trojans, EAT)’를 사용해 민감한 데이터를 발견하고 로컬 네트워크에서 요청을 가로채 시스템을 손상시키거나 추가 공격 명령을 주입하는 등의 침입 활동을 수행할 수 있다”라고 경고했다.  지난 9월 미국 하원을 통과했고 지난주 상원에서 만장일치로 승인된 ‘사물인터넷 사이버보안 개선법’은 이런 위협을 방지하고 IoT 기기 보안을 강화하기 위한 조치다. 이제 남은 것은 도널드 트럼프 대통령의 서명 절차뿐이다.  처음부터 이 법안을 적극 후원했던 월 허드 하원의원과 로빈 켈리 하원의원의 말을 빌리자면, 해당 개선법의 목표는 “국가 안보와 국민의 개인정보를 보호하기 위해 미국 정부가 안전한 기기를 구매할 수 있도록 보장하는 것 그리고 기존 취약점을 차단할 수 있도록 하는 것”이다. 연방정부가 따를 수 있는 표준 및 가이드라인을 만드는 것 또한 목표다.  이 법안은 이러한...

사물인터넷 IOT 엣지 2020.11.26

이스트시큐리티, 북한 내부 정보로 현혹하는 탈륨 해킹 조직 주의보

통합 보안 업체 이스트시큐리티는 마치 북한의 최근 내부 소식인 듯 현혹하는 악성 HWP 문서 파일 공격이 발견돼 각별한 주의가 필요하다고 30일 밝혔다. 이번에 등장한 위협은 공격자가 실제 탈북민이나 대북 소식통으로 신분을 위장해 최신 북한 뉴스를 제공하겠다는 식으로, 대북 분야 활동가나 전문연구원 등에 접근해 해킹을 시도하고 있다. 일반적인 스피어 피싱 공격은 처음부터 이메일에 악성 파일을 첨부해 수신자로 하여금 즉시 실행을 유도하지만, 의심이 많거나 보안 경각심이 높은 대상자의 경우 신뢰를 먼저 구축한 뒤 공격을 진행하는 나름 치밀한 시나리오를 활용하고 있다. 이번 공격은 초반 일정 기간은 정상적인 이메일을 수차례 보내 대상자를 먼저 안심시키는 사전 준비 과정을 거치고, 자신을 믿는다고 판단된 순간 악성 파일을 전달하는 일종의 투-트랙 공격 전략을 구사 중인 것으로 보인다. 아울러 HWP, DOC 등 문서형 악성 파일을 전송할 때는 보안 프로그램의 탐지와 의심을 최소화하기 위해 문서작성 프로그램의 자체 비밀번호 설정 기능을 악성코드에 적용해 보낸 후, 이메일을 회신한 사람에게만 해제 비밀번호를 제한적으로 전달하는 1:1 맞춤형 감염 수법을 사용한다.  한편, 공격에 활용된 여러 코드를 살펴본 결과, 공격자는 실제 북한 언어 표현에 능통한 것으로 보이며 악성 파일 내부에선 제작자가 의도하지 않게 남긴 흔적이 발견됐다.   이는 제작자의 특정 폴더 경로로, 해당 경로는 실제 악성코드를 제작한 공격자가 문서 파일의 객체 연결 삽입(OLE)과 바로 가기(LNK) 기능을 악용해 감염을 유도하면서 코드 내부에서 발견됐다. [제작자 폴더 경로명] \공격방안\보프\침투방안\2020\0904\spy\hwp 이스트시큐리티 ESRC(시큐리티대응센터)는 HWP 문서 파일 공격이 사람의 심리와 호기심을 자극하는 방식으로 꾸준히 발전하고 있다며, 이번 공격의 배후로는 특정 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thalli...

이스트 탈륨 김수키 2020.10.30

공격자가 QR 코드를 악용하는 방법과 기업의 위험 완화 전략

코로나19 사태로 QR코드 사용이 일상화되면서 이를 악용해 개인정보를 탈취하거나 피싱 공격을 시도하는 사례가 늘고 있다. 기업 보안팀은 물론이고 직원들도 알아야 할 사항은 다음과 같다.  팬데믹이 기술 분야에 미친 영향 가운데 하나는 바로 ‘QR코드’ 사용 증가다. 그리고 당연하게도 모처럼의 기회를 놓치지 않으려는 공격자들이 이 모바일 기술의 취약점을 악용해 공격을 시도하고 있다. 보안팀과 직원 모두 이 위협에 대비해야 한다.    모바일 보안 플랫폼 업체 모바일아이언(MobileIron)이 지난 9월 발표한 보고서에 따르면, QR코드는 기업과 개인에게 ‘중대한’ 보안 위험을 초래할 수 있다. 모바일아이언은 미국과 영국에서 2,100명의 소비자를 대상으로 설문조사를 실시했다.  전체 응답자의 47%는 최근 들어 QR코드를 많이 사용하고 있다고 말했다. QR코드가 비접촉식 거래를 필요로 하는 현시점에서 매우 유용하게 쓰이고 있기 때문이다.  대다수(84%)가 QR코드를 사용해봤으며, 이 가운데 1/3은 최근 일주일 이내에 QR코드를 스캔했다고 답했다. QR코드를 주로 사용한 곳은 소매점, 레스토랑, 술집 및 기타 시설인 것으로 드러났다. 또한 QR코드가 미래의 결제 방식으로 더욱 광범위하게 사용되기를 원한다고 말한 응답자도 많았다. 한편, 모바일아이언은 보안되지 않은 개인용 기기를 사용해 커뮤니케이션하고 클라우드 기반 앱과 서비스를 사용하며 원격근무를 하는 비율이 늘어났다고 언급했다. 다시 말해, 일상 전반에서 개인용 모바일 기기를 사용하기 시작했고, 여기에 더해 QR코드 사용까지 증가하기 시작하면서 자신은 물론 기업 리소스까지 위험에 노출되고 있다고 보고서는 설명했다.  ‘QR코드 악용’은 간단하고 효과적이다  모바일아이언의 보고서에 따르면 공격자는 코로나19 사태로 인한 보안 공백을 악용하고 있으며 특히, 모바일 기기를 표적으로 삼고 있다.  공격자는 악성코드를 포함한 악성...

QR코드 비접촉식 결제 악성코드 2020.10.22

11가지 해커 유형과 미치는 영향

해커 유형, 해킹 동기 및 목적, 사용하는 악성코드 등을 이해한다면, 공격을 식별하고 적절하게 방어할 방법을 파악하는 데 도움이 된다.   지난 수십 년 동안 해커와 악성코드는 계속해서 진화해왔다. 컴퓨터가 퍼티(putty) 같은 화면만 보이는 큰 상자였을 때 해커들은 이제 막 걸음마를 배우고 유치한 장난을 치고 있었다. 어쩌면 화면에 “마리화나를 합법화하라!”와 같은 문구를 띄우거나 양키 두들(Yankee Doodle)을 플레이하는 유치한 악성코드를 만들었을 수도 있다.    컴퓨터가 발전하고 자체적인 시장을 형성하자 해커들도 순진한 괴짜에서 대담한 범죄자 집단으로 변화하기 시작했다. 더 이상 컴퓨터는 새로운 것이 아니며 더 이상 해커도 장난을 치진 않는다. 밤새 에너지 드링크와 정크 푸드를 먹으며 괴짜 같은 장난을 즐기던 사회 부적응자들은 사라졌다.  오늘날 해커들은 제대로 된 일자리가 있는 숙련된 전문가다. 보수도 좋고, HR팀도 있으며 휴가도 즐긴다. 해커 유형은 돈이나 권력을 얻는 방법만큼이나 다양하지만 나누자면 다음의 11가지 기본 유형으로 분류할 수 있다. 1. 은행 강도(Bank robber) 한때 말을 타고 쳐들어와 총을 겨누면서 은행이나 여행자의 돈을 훔치는 은행 강도와 노상강도가 있었다. 오늘날의 금융 해커는 랜섬웨어를 타고 쳐들어온다. 그리고 위조 송장부터 위조 수표, 날짜 사기, 가짜 에스크로 중개, DoS 공격에 이르기까지 계좌에서 돈을 훔칠 수 있는 모든 사기와 해킹을 사용한다. 탐욕은 인류와 역사를 같이 했다.  2. 국가 주도(Nation-state)의 해커 오늘날 대부분의 선진국은 수천 명의 숙련된 해커들을 고용하고 있다. 이들이 하는 일은 무엇일까? 다른 국가의 군사 및 산업 네트워크에 숨어들어 자산을 파악하고 악의적인 백도어를 설치하는 것이다. 그리고 이를 통해 사이버전(cyberwarfare)을 준비하는 것이다.  이란 원자력 발전소의 우라늄 원심분리기 1,...

보안 악성코드 해킹 2020.09.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.