Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

보안 담당자를 위한 2018년 악성코드 현황 분석 및 2019년 예상 - IDG Deep Dive

연말 연초가 되면 대부분의 보안업체는 자사에 유리한 보안 예측 보고서를 내놓는다. 올해 또한 그럴 것이며, 앞으로도 마찬가지다. 그런데 이 보고서들의 주장은 한결같다. "더 위험해지고 어려워진다." 제품을 팔아야 하는 업체뿐만 아니라 현장 반응에 민감한 전문 조사 기관들의 목소리 또한 동일하다. 미래를 예측하는 일은 무엇보다 어렵다. 점술이나 토정비결을 통해 미래를 점치는 것보다는 좀더 정확한 예측을 하려면 과거와 현재를 제대로 분석해 이를 기반으로 미래를 예측하는 수밖에 없다. 2018년 악성코드 동향을 살펴보고, 이를 기반으로 2019년을 예상해보자.  Intro  "바이러스, 웜, 트로이목마, 그 이상의 것" 악성코드란 무엇인가  "다 같은 바이러스가 아니다" 악성코드의 8가지 유형과 차이점 Market Trends  2018년 사이버공격 동향과 2019년 예상 2018년 엔드포인트 보안 핵심 동향 5가지 "사이버 용병은 사회의 위협" 박멸했던 악성코드 제작 그룹의 귀환  How To  크립토재킹이란 무엇이며 이로부터 자신을 보호하는 방법 암호화폐 채굴 악성코드를 탐지하고 방지하는 방법 67개 안티바이러스 엔진 모두 활용한 악성코드 탐지 9단계 방법  Tech Trends  사이버 보안 속 인공지능과 머신러닝, "진짜인가 가짜인가"  보안의 다음 과제, AI를 활용한 사이버 위협에 대응하라

악성코드 보안 2018.12.21

“2018년 신종 악성코드 일평균 34만6,000개 탐지” 카스퍼스키랩 발표

카스퍼스키랩은 2018년에 탐지된 전체 신종 악성 파일 중에서 백도어로 밝혀진 악성 파일의 수는 44% 증가했으며 랜섬웨어의 규모도 43% 증가했다고 발표했다. 즉, 2018년 한 해 동안 전체 컴퓨터 중 약 1/3(30.01%)이 온라인 악성 코드 공격을 한 번 이상 경험한 것이다.  이러한 결과를 종합해보면 컴퓨터 사용자에게 악성코드, 특히 백도어 및 랜섬웨어의 위험성은 여전히 크다는 사실을 알 수 있다고 업체 측은 설명했다. 2018년 탐지된 랜섬웨어(트로이목마 랜섬웨어)와 백도어는 10월까지 수집된 전체 신종 악성 파일 가운데 각각 3.5%와 3.7%를 차지하고 있다. 이는 랜섬웨어의 경우 지난해에 비해 43%(2017년의 219만 8,130개⟶2018년에는 313만 3,513개), 백도어는 44%(2017년의 227만 2,341개⟶ 2018년에는 326만 3,681개) 증가한 수치다. 2018년 초부터 10개월 동안 카스퍼스키랩의 탐지 기술을 통해 처리된 신종 악성 파일은 하루 34만 6,000개에 달한다. 매일 탐지되는 신종 악성 파일의 수와 범위는 악성 코드를 만들어 배포하는 사이버 범죄자들의 동향을 파악할 수 있는 좋은 지표이다. 카스퍼스키랩의 기술로 하루에 탐지해내는 신종 파일의 수는 2011년 7만 개 수준이었으나 2017년에는 그 5배인 36만 개로 증가했다. 카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “2018년에는 신종 파일의 일일 탐지 건수가 약간 주춤했지만, 백도어 및 트로이목마 랜섬웨어 탐지 건수는 급증하고 있어, 악성 코드 범죄자들이 피해자의 기기를 감염시켜 돈을 벌어들일 새로운 방법을 끊임없이 찾고 있다는 사실을 알 수 있다”며, “랜섬웨어에 대한 관심과 개발이 지속되는 현상은 기존의 알려진 사이버 위협뿐 아니라 아직 알려지지 않은 위협에 대해서도 경계를 늦추지 말아야 한다는 경고하고 있다”고 말했다. editor@itworld.co...

악성코드 카스퍼스키랩 2018.12.13

"불안한 추세를 보여주는 최근 사례"와 사이버 공격의 이해

가상은행강도에서부터 국가규모의 반개방 공격에 이르기까지 지난 수년간 IT 보안은 많은 어려움을 겪었다. 최근 주요 사이버 공격과 이로부터 배울 수 있는 것들을 살펴보자.    사이버 공격에 대한 정의 간단히 정의하면, 사이버 공격은 하나, 또는 여러 컴퓨터를 이용해 다른 컴퓨터(하나 또는 여러 컴퓨터)나 네트워크를 공격하는 것이다. 사이버 공격은 크게 두 가지 유형으로 분류할 수 있다. 그 목적이 표적이 되는 컴퓨터를 비활성화 또는 오프라인 상태로 만드는 공격과 표적 컴퓨터의 데이터에 액세스를 하고 관리자 권한을 획득하는 것을 목적으로 하는 공격이다.     사이버 공격의 유형 사이버 공격자는 이런 목적들을 달성하기 위해 여러 다양한 기술적 방법이나 기법을 활용해야 한다. 항상 새로운 방법이나 기법이 많이 등장한다. 여기에서 소개하는 방법이나 기법 중에는 중복되는 것들도 있다. 그러나 가장 많이 회자되는 '개념'들이다. - 악성코드(Malware): 악성 소프트웨어(Malicious Software)를 줄인 말이다. 마이크로소프트는 "악성코드는 그 구조나 작동 방식에 상관없이, 하나의 컴퓨터, 서버, 컴퓨터 네트워크에 피해를 초래하도록 설계된 모든 종류의 소프트웨어"라고 정의한다. 웜(Worm), 바이러스, 트로이목마(trojans)는 모두 악성코드의 변종이다. 재생산 및 확산 방법에 따라 서로 구분이 된다. 이런 공격으로 컴퓨터나 네트워크를 작동 불능 상태로 만들거나, 시스템을 원격으로 제어할 수 있도록 공격자에게 관리자 권한을 승인하게 만들 수 있다. - 피싱(Phishing): 사이버 공격자가 이메일로 표적으로 삼은 사람을 속여 유해한(위험한) 행동을 하도록 만드는 공격 기법이다. 이메일을 수신하는 사람을 속여, 중요한 문서나 자료로 가장한 악성코드를 다운로드받게 하거나, 은행 사이트의 사용자 이름과 비밀번호 같이 민감한 정보를 캐내는 가짜 웹사이트로 연결된 링크를 클릭하도록 만든...

악성코드 제로데이 사이버공격 2018.12.10

AV-TEST 선정, 업계 최고의 안티 바이러스 소프트웨어 14선

AV-TEST 연구소는 최근 가장 인기 있는 윈도우 10 클라이언트 안티바이러스 제품을 3가지 기준, 즉 보호(protection), 성능(performance), 사용성(usability) 측면에서 테스트했다. 18종의 테스트 제품 가운데 각 기준의 최고 점수인 6점을 모두 획득한 제품은 6개에 불과했다. 즉, 비트디펜더 엔드포인트 시큐리티 6.6(Bitdefender Endpoint Security 6.6), 카스퍼스키 랩 엔드포인트 시큐리티 11(Kaspersky Lab Endpoint Security 11), 카스퍼스키 스몰 오피스 시큐리티 6(Kaspersky Small Office Security 6), 마이크로소프트 윈도우 디펜더 안티바이러스 4.18(Microsoft Windows Defender Antivirus 4.18), 그리고 시만텍 엔드포인트 프로텍션 14.2(Symantec Endpoint Protection 14.2) 및 엔드포인트 프로텍션 클라우드 22.15(Endpoint Protection Cloud 22.15)였다. 여기서 알파벳 순으로 나열된 상위 14개 안티바이러스 제품은 최대 점수인 18점으로부터 최소 17점을 얻은 제품들이다.   링크의 인포그래픽에서 테스트 결과 요약본과 윈도우 7 및 윈도우 8에 대한 이전의 테스트 정보도 볼 수 있다. 결과에 대한 자세한 사항은 AV-TEST 연구소 웹사이트에서 얻을 수 있다.  최고의 윈도우 10 안티바이러스  1. 어베스트 안티바이러스 비즈니스 18.5 및 18.6  어베스트 안티바이러스 비즈니스(Avast Antivirus Business)18.5 및 18.6은 성능 및 보호 측면에서 조금만 향상되면 최고 점수를 받을 수 있을 것이다. 모든 제로 데이 악성코드 공격의 99.3%를 중지시켰지만, 가장 큰 문제는 인기 웹사이트를 시작할 때 느려지는 현상이다. 업계 평균 보다 표준 PC에서 6%포인트가 더 느렸다. 그 외의 경우 허위 경고, ...

악성코드 안티바이러스 백신 2018.12.10

2018년 악성코드 최신 동향과 쉽고 실행 가능한 엔드포인트 보안 운영 전략 - IDG Summary

최근 기업 사용자는 데스크톱 PC뿐만 아니라, 노트북, 태블릿, 스마트폰, 그리고 수많은 이동식 저장장치를 사용한다. 진화하는 악성코드와 취약점은 주로 이런 엔드포인트 기기들을 노리고 있어 기업의 보안 상태는 나날이 위험해지고 있다. 최신 악성코드 동향과 엔드포인트 보안 운영의 주요 과제를 살펴보고, 이를 해결할 수 있는 현실적이고 실현 가능한 보안 전략에 대해 알아보자. <주요 내용> - 잠시 숨 고르고 돌아온 랜섬웨어 - 직접 채굴에 나선 악성코드 - 대표적인 표적형 공격, 워터링 홀 - 표적에게 창을 던지는, 스피어 피싱 공격 - 해킹의 문, 취약점 공격 - 엔드포인트 공격 악성코드에 대응하는 방법, 엔드포인트 하드닝 - 보안 운영자의 현실적인 고민, “너무 많은 엔드포인트 보안 솔루션” - 엔드포인트 보안을 위한 통합적·체계적 관리, 안랩 EPP 매니지먼트 - 쉬운 보안, 실행 가능한 보안을 위한 안랩 EDR - 안랩 EDR의 효과  

맬웨어 악성코드 엔드포인트 2018.12.07

최고의 안티바이러스가 충분치 못한 이유와 여전히 필요한 이유

전통적인 시그니처 기반 안티바이러스(AV) 솔루션은 제로데이 공격이나 랜섬웨어처럼 전례가 없는 새로운 위협에 속수무책일 정도로 취약하다. 그럼에도 불구하고 많은 기업이 다중 엔드포인트 보안 전략의 일환으로 시그니처 기반 안티바이러스 솔루션을 유지하고 있다. Credit: Getty Images Bank 시그니처 기반 솔루션의 제1 목적은 보안의 최전선에서 대부분의 악성코드 공격을 막아 다른 엔드포인트 보안 소프트웨어들이 처리해야 할 물량을 최소한으로 줄여주는 것이다. 기존 안티바이러스 솔루션들은 각 악성코드의 특징을 담은 시그니처를 생성해 이를 기준으로 악성코드를 판단하지만, 이 방법은 일단 최초 감염자가 발생할 수밖에 없다는 치명적인 단점이 있다. 사이랜스(Cylance)의 마케팅 책임자 에드 메카프는 "그리고 설령 안티바이러스 솔루션 업체가 시그니처를 생성해 낸다고 해도 모든 엔드포인트에서 새로운 시그니처를 업데이트 하는 데에는 짧게는 수일에서, 길게는 수개월까지 걸린다. 이 때가 되면 사이버 공격의 여파는 전 기업에 퍼져 나가고 데이터는 이미 유출된 상태일 것이다"라고 말했다. 설문조사를 통해 보는 안티바이러스의 역할 변화 지난 해 블랙 햇 이벤트 참가자들을 대상으로 한 설문조사 결과에 따르면, 응답자의 73%가 전통적인 안티바이러스 솔루션을 무용지물이라고 답했다. NSS Labs의 전략 및 연구 부대표 마이크 스팬바우어는 "안티바이러스 솔루션의 악성코드 차단 및 보호 기능에 대한 신뢰가 급격히 추락하고 있다"고 말했다. 실제로 많은 연구 결과가 이런 주장을 뒷받침해주고 있다. 지난 9월, 보안 전문 기업 워치가드 테크놀로지스(WatchGuard Technologies)는 전통적인 안티바이러스 솔루션에 대한 포괄적 테스트 결과를 발표했다. 워치가드는 안티바이러스 솔루션과 차세대 엔드포인트 보안 솔루션을 모두 사용하는 소비자들을 관찰해 전통적 솔루션이 제로데이 공격 예방에 얼마나 효과...

악성코드 안티바이러스 시그니처 2018.11.01

박멸했던 악성코드의 귀환, "사이버 용병은 '사회의 위협'"…사일런스

악성코드 박멸은 헤라클레스가 9개의 머리를 가진 히드라와 싸우는 것을 연상시킨다. 머리를 자를 때마다, 같은 자리에서 2개의 머리가 다시 자라난다. 이는 사일런스(Cylance)의 새 보고서의 메시지다. 기업 네트워크 방어자는 물론 일반인도 명심해야 할 교훈이다.  Credit: Getty Images Bank 이른바 사이버 용병은 중동의 압제 정권 및 체제에 악성코드를 판매하고 있다. 그리고 올해 초 시티즌 랩(Citizen Lab)의 조사 결과에 따르면, 중동의 압제 정권은 국민들을 공격하는 데 이런 악성코드를 이용하고 있다. 터키와 이집트 정권은 국내 ISP로 하여금 캐나다에서 만든 샌드바인(Sandvine)/프로세라(Procera) 딥 패킷 검사 미들박스를 운영하도록 강제하고 있다. 이를 통해 어베스트(Avast), VLC 플레이어, WinRAR 같은 인기 소프트웨어의 암호화되지 않은 HTTP 다운로드에 악성코드를 주입한다. 이집트와 터키, 그리고 터키 국경 인근인 시리아의 많은 사용자가 여기에 영향을 받고 있다.  시티즌 랩이 보고서를 발표한 이후, 사일런스는 6개월 간 프로메튬(promethium)이나 스트롱피티(StrongPity)와 같은 악성코드가 어떻게 바뀌었는지 조사했다. 사일런스의 위협 인텔리전스 책임자 케빈 라이블리는 본지와의 인터뷰에서 "레이더에서 침해가 사라진 것처럼 보일 수 있다. 그러나 정말로 사라졌다는 의미는 아니다"고 지적했다. 사이버 용병 그룹이 개발한 것으로 알려진 이 악성코드 그룹은 코드를 변경, 눈에 띄지 않게 활동을 하고 있을 뿐이다. 계속해서 압제 정권과 체제에 악성코드를 판매하고 있다는 의미다. 사이버 용병, 누구의 책임인가  직접 이런 악성코드를 개발할 리소스가 없는 압제 정권은 수 많은 사이버 용병 그룹이 반체제 인사, 언론인, 정적, 기타 정권이 좋아하지 않는 사람의 신원을 파악하고, 해킹하고, '스토킹'하고, 위협...

악성코드 사일런스 사이버용병 2018.10.26

뉴에그, "악성 코드 공격 받아" 8~9월 사용자 결제 정보 도난 가능성

온라인 유통 업체 뉴에그가 지난 수요일, 복잡한 피싱 공격으로 가입자 신용카드 정보가 탈취됐다고 발표했다. 뉴에그는 트위터에 발표한 성명서를 통해 “서버 일부에 악성 코드가 삽입돼된 것이 확인되었고 악성코드는 사이트에서 삭제된 상태다. 뉴에그는 광범위한 조사를 통해 악성 코드의 원인과 탈취 정보를 확인하고, 피해 가능성이 있는 사용자들에게 이메일을 발송할 예정”라고 밝혔다. 뉴에그를 공격한 것은 메이지카트(Magecart)라는 신흥 해커 조직이다. 보안 업체 RiskIQ의 연구자들은 공격재들이 뉴에그 페이지에 신용카드 정보를 훔치고 탈취한 정보를 Neweggstats.com이라는 주소로 전송하는 자바스크립트를 심었다고 분석했다. RiskIQ는 올해 초 브리티쉬 항공과 티켓마스터에서도 유사한 메이지카트 공격 시도가 있었다고 밝혔다.   뉴에그 공격에 사용된 코드는 주변 인프라와 섞여서 탐지하기 어렵도록 설계됐다. 뉴에그 측에서 공식 확인한 것은 아니지만, 컴퓨터와 모바일에서 뉴에그 판매 제품을 구입한 사용자가 타격을 입을 가능성이 크다. 보안 업체 볼렉시티(Volexity)의 한 연구원은 Neweggstats.com의 도메인이 등록된 날인 2018년 8월 16일에 악성코드가 심어졌을 것이라고 추측했다. 8~9월 사이에 뉴에그를 이용한 사용자가 영향을 받았을 가능성이 있다. 볼렉시티와 RiskIQ는 공동으로 이번 공격을 발견하고 뉴에그에 알렸으며, 뉴에그는 화요일 코드를 제거했다. 뉴에그는 이번주 안으로 더 많은 정보를 공개하고, 데이터 탈취 위험이 있는 사용자에게 연락을 취하겠다고 밝혔다. editor@itworld.co.kr

악성코드 뉴에그 메이지카트 2018.09.21

악성코드란 무엇인가, 바이러스, 웜, 트로이 목마, 그 이상의 것 이해하기

악성코드(Malware)는 바이러스(virus), 웜(worm), 트로이 목마(trojan)와 기타 유해한 컴퓨터 프로그램을 통틀어 일컫는 용어로, 컴퓨팅의 초창기부터 존재했다. 악성코드는 끊임없이 진화하며 해커는 악성코드를 사용해 파괴를 일삼고 민감한 정보를 훔친다. 악성코드와 싸우는 일은 정보보안 전문가의 일상적인 주 업무다. Credit: Getty Images Bank 악성코드의 정의 악성코드는 악성 소프트웨어(malicious software)의 줄임말이다. 마이크로소프트의 설명에 따르면 "하나의 컴퓨터, 서버 또는 컴퓨터 네트워크에 피해를 입히도록 설계된 모든 소프트웨어"를 통칭한다. 즉, 악성코드는 만드는 데 사용된 특정 기법이나 기술이 아니라 의도된 용도를 기준으로 분류된다. 악성코드의 유형 예를 들어 악성코드와 바이러스의 차이는 무엇이냐는 질문은 요점을 빗나간 것이다. 바이러스는 악성코드의 한 종류다. 따라서 모든 바이러스는 악성코드다(그러나 모든 악성코드가 바이러스는 아니다). 악성코드를 분류하는 방법은 여러 가지인데, 첫 번째는 악성 소프트웨어의 확산 방법에 따른 분류다. 바이러스, 트로이 목마, 웜이라는 용어는 구분되지 않고 혼용되는 경향이 있지만, 시만텍의 설명에 따르면, 각각은 대상 컴퓨터를 감염시키는 방법이 조금씩 다르다. - 웜은 독립적으로 실행되는 악의적인 소프트웨어로, 스스로를 복제하고 다른 컴퓨터로 확산된다. - 바이러스는 다른 독립적 프로그램의 코드 내에 스스로를 주입한 다음, 그 프로그램이 악성 행동을 하고 스스로 확산되도록 강제하는 컴퓨터 코드다. - 트로이 목마는 자가 복제는 하지 못하지만 사용자가 원하는 무언가로 위장해 자신을 활성화하도록 유도하는 방식으로 피해를 입히고 확산된다. 공격자는 컴퓨터에 물리적으로 접근하거나 권한 상승을 사용해 원격 관리자 액세스 권한을 얻는 방법으로 악성코드를 "직접" 컴퓨터에 설치할 수도 있다. ...

악성코드 malware 2018.08.14

“다 같은 바이러스가 아니다” 악성코드의 8가지 유형과 차이점

사람들은 보안 용어를 아무렇게나 사용하는 경향이 있다. 하지만 얼마나 다양한 악성코드(Malware)가 확산되어 있는지 알아야 억제하여 제거할 수 있기 때문에 악성코드 분류를 간소화하는 것이 중요하다. 이 간략한 악성코드 목록은 전문가들과 대화할 때 악성코드 용어를 이해하는데 도움이 될 것이다. 1. 바이러스 대부분의 매체와 일반 최종 사용자는 뉴스에 보도되는 모든 악성코드 프로그램을 컴퓨터 바이러스라고 부른다. 다행히도 대부분의 악성코드 프로그램은 바이러스가 아니다. 컴퓨터 바이러스는 피해자의 파일이 실행되었을 때 바이러스도 실행되어 다른 정상적인 호스트 파일(또는 이에 대한 포인터)를 수정한다. 요즘은 순수한 컴퓨터 바이러스가 흔하지 않으며 전체 악성코드의 10%가 되지 않는다. 좋은 일이다. 바이러스는 다른 파일을 "감염"시키는 유일한 유형의 악성코드이다. 해당 악성코드는 정상적인 프로그램에서 실행해야 하기 때문에 특히 청소하기가 어렵다. 항상 쉽지 않은 일이었고 지금은 거의 불가능에 가깝다. 최고의 백신 프로그램도 이와 관련하여 어려움을 겪고 있으며 많은 경우에 단순히 감염된 파일을 격리하거나 삭제한다. 2. 웜(Worm) 웜은 컴퓨터 바이러스보다 훨씬 오래 전인 메인프레임(Mainframe) 시대부터 있었다. 이메일로 인해 1990년대에 유행했고 컴퓨터 보안 전문가들은 메시지 첨부 파일로 도착하는 악성 웜에 약 10년 동안 시달렸다. 한 사람이 웜에 감염된 이메일을 열면 기업 전체가 즉시 감염되었다. 웜의 감염 특성은 자기 복제이다. 악명 높은 아이러브유(Iloveyou) 웜을 예로 들어보자. 발생 당시에 전 세계의 거의 모든 이메일 사용자가 감염되어 전화 시스템이 (사기 전송 문자 메시지로 인해) 과부하되고 텔레비전 네트워크가 다운되었으며 필자의 석간 신문도 반나절이나 지연되었었다. 이 외에도 SQL 슬래머(SQL Slammer)와 MS 블래스터(MS Blaster) 등의 웜이 컴퓨터 보안 역사에 한 획을...

바이러스 악성코드 트로이목마 2018.07.26

“악성코드 차단, 사용성, 기능까지” 최고의 안드로이드용 백신 앱 12선

상당히 많은 안드로이드용 안티바이러스 도구가 있다. 그 중에서 좋은 것을 골라 사용하는 것은 쉽지 않은데, AV-TEST가 20개의 안드로이드 보안 앱을 대상으로 12가지 안티바이러스 앱을 선정했다. AV-TEST 인스티튜트(AV-TEST Institute)는 독일에 위치한 독립적인 IT보안 및 백신 조사 서비스 제공 업체이다. 아래에 열거된 각 안드로이드 백신 소프트웨어 앱은 보호와 사용성 측면에서 6.0 만점을 받았다. 앱들은 알파벳 순서로 정리되어 있다. 시험한 모든 앱의 감지율은 54.8%~100% 범위이며 평균 96.9%를 기록했다. 1. 알리바바 모바일 시큐리티 5.8(Alibaba Mobile Security 5.8) 다른 모든 안드로이드 악성코드 방지 툴과 마찬가지로 알리바바 모바일 시큐리티는 새롭게 발견된 모든 악성코드와 기타 이전에 알려진 모든 악성코드를 감지했다. 사용성 측면에서 만점을 받았고 거짓 경고도 없었다. 도난 방지, 통화 차단, 메시지 필터링, 안전 브라우징, 앱 잠금 등의 기능도 제공한다. 하지만 시청 규제, 개인 정보 백업, 암호화는 제공되지 않는다. 2. 어베스트 모바일 시큐리티 6.10(Avast Mobile Security 6.10) 어베스트 모바일 시큐리티는 항상 실시간으로 안드로이드 악성코드 감지를 관리한다. 이전 4주 동안 발견된 최신 안드로이드 악성코드를 100% 발견했다. 이 앱은 배터리 사용 시간에 불리한 영향을 끼치거나 정상 사용 중 기기가 느려지는 일이 없다. 구글 플레이 또는 제 3자 앱 스토어의 정상적인 앱 설치 및 사용 중 거짓 경고가 전혀 없었다. 모바일 시큐리티의 안전 브라우징 기능은 피싱 공격과 악성 웹사이트로부터 보호하는데 도움이 되며 원격 삭제 등의 도난 방지 기능도 제공한다. AV-TEST는 앱 잠금, 프라이버시 자문, 와이파이 보안 등의 기능은 테스트하지 않았다. 3. AVG 안티바이러스 프리 6.9(AVG AntiVirus Free 6.9) AVG ...

맬웨어 악성코드 안티바이러스 2018.07.02

"북한의 RAT와 웜 악성코드를 경계하라"…미 FBI와 DHS

미 연방수사국(FBI)과 미 국토안보부(DHS)는 북한 정부와 연계된 해커들이 시스템에 원격으로 침투해 비밀번호와 기타 민감한 데이터를 훔치는 데 사용하는 두 가지 종류의 악성코드에 대한 기술적인 경고를 세부적으로 발표했다. 이 두 가지 악성코드는 원격 접속 도구(RAT)인 조냅(Joanap)과 서버 메시지 블록(SMB) 웜인 브램블(Brambul)이다. 이들 악성코드는 북한 정부의 악의적인 사이버 작전에 대해 미국 정부가 이름붙인 히든 코브라(Hidden Cobra)의 도구로 사용됐던 것으로 알려졌다. 미국 정부는 히든 코브라의 공격자들이 지난 2009년부터 악성코드를 사용해 왔다고 주장해왔다. 이번 경고는 지난 2014년 소니 픽처스 엔터테인먼트의 사이버 공격과 관련 히든 코브라 범죄자들을 비난하는 내용을 담았던 보고서 내용도 인용했다. 또한 1년 전, 전 세계에 확산됐던 파괴적인 특징의 워너크라이(WannaCry) 악성코드 공격에도 이 조직이 가담했다는 비난이 있었다. 미국 침해사고 대응팀(US-CERT)의 기술 자문은 다음과 같다. 신뢰할 수 있는 제 3자의 보고에 따르면, 히든 코브라에 가담한 사람들은 적어도 2009년부터 언론, 항공 우주, 금융 및 핵심 인프라 부문을 포함해 미국을 비롯 전 세계의 다양한 피해자들을 겨냥해 조냅과 브램블 악성코드를 사용해 왔다. 조냅 RAT 2단계 악성코드인 조냅은 히든 코브라 해커가 "데이터 추출, 2차 페이로드 삭제 및 실행, 손상된 윈도우 장치에서의 프록시 통신 초기화" 명령 등을 원격으로 실행할 수 있는 완전한 기능의 RAT다. 이번 경고에 언급된 다른 조냅 기능에는 "파일 관리, 프로세스 관리, 디렉토리 생성 및 삭제, 노드 관리" 등이 포함돼 있다. 조냅은 피해자가 손상된 사이트에서 무의식적으로 파일을 다운로드하거나 악의적으로 심어 놓은 이메일 첨부 파일을 열어 볼 경우, 다른 악성 프로그램을 통해 삭제한 파일 형태로도 시스템을 감...

악성코드 북한 FBI 2018.06.01

2018년 엔드포인트 보안 핵심 동향 5가지

엔드포인트 보안은 IT 초기 컴퓨터 보안의 직계 후손이라 해도 좋을 만큼 많은 면에서 유사한 점들을 보인다. 그러나 엔드포인트 보안은 이제 막 빠르게 발전하고 있는 카테고리로써 점차 네트워크 상의 PC, 서버, 그리고 휴대폰에 대한 통제를 조직화해 악성코드 및 침입자에 대비하려는 조직도 증가하고 있다. 수많은 보안 업체가 귀가 솔깃한 제안을 내놓고 있는 가운데, 올해 엔드포인트 보안은 어떤 방향으로 흘러갈 지 함께 살펴 보자. 엔드포인트 보안이란? 엔드포인트 보안은 엔드포인트, 즉 각 컴퓨터, 휴대폰, 태블릿 등 네트워크와 연결되어 있는 개별 디바이스의 보안을 철저히 함으로써 네트워크 보안까지 보장하려는 접근 방식이다. 그냥 방화벽을 치고, 안티바이러스 소프트웨어를 설치하는 것을 어렵게 돌려 말한 것뿐 아니냐고 생각할 수도 있다. 그리고 실제로 엔드포인트 보안이라는 개념이 처음 나왔을 때만 해도 단순히 안티바이러스 솔루션을 그럴듯하게 포장한 마케팅 용어가 아니냐는 의심이 없지 않았다. 그러나 이런 단순한 가정용 컴퓨터 보호 조치와 엔드포인트 보안의 차이점은 후자의 경우 엔드포인트에 설치하는 보안 툴 등을 기업 IT 부서가 중앙에서 관리한다는 것이다. 즉, 엔드포인트 보안은 2단계로 이루어진다. 엔드포인트 백그라운드에서 구동되는 소프트웨어 ‘에이전트’가 있고, 이들 에이전트를 모니터링 및 관리하는 중앙의 엔드포인트 보안 관리 시스템이 따로 존재한다. 관리 시스템은 IT 부서가 모니터링하는 제어판이 될 수도 있고, 자동화 시스템이 될 수도 있으며, 혹은 이 둘을 조합한 것일 수도 있다. 가끔 엔드포인트 보호와 엔드포인트 보안이라는 용어를 구분 없이 사용하는 사람들도 있다. 그러나 가트너에 따르면, 엔드포인트 보호 플랫폼이란 “엔드포인트 디바이스 보안 기능을 단일 제품에 통합해 안티바이러스, 안티스파이웨어, 개인용 방화벽, 애플리케이션 제어 및 기타 각종 호스트 침입 방지책(예컨대 행동 패턴 차단과 같은)을 제공하는...

악성코드 가트너 엔드포인트 2018.05.15

SK인포섹, 개인 금융정보부터 기업 내부정보까지 빼가는 악성코드 공격 주의

SK인포섹(www.skinfosec.com)은 최근 개인 인터넷 뱅킹 사용자의 금융정보는 물론, 기업의 내부 중요 정보를 탈취하는 악성코드가 발견돼 주의가 필요하다고 밝혔다. 이모텟(Emotet)이라 불리는 이 악성코드는 2014년 유럽에서 처음 발견됐다. 금융 정보를 탈취하기 위한 목적으로 만들어진 이모텟은 개인 인터넷 뱅킹 사용자들에게 무작위로 스팸 메일을 발송해 웹 브라우저를 감염시킨다. 이를 통해 사용자 계정을 알아내거나, 암호화된 인터넷 통신 데이터까지 탈취한다. SK인포섹의 보안 전문가 그룹인 EQST에 따르면 최근 국내에서 발견된 이모텟 악성코드가 한층 더 고도화된 기법이 사용됐다. 불특정 다수에게 스팸 메일을 보내는 방식에서 특정 기업을 목표로 소셜 엔지니어링 기법을 통해 이메일 APT 공격을 감행한다는 설명이다. EQST그룹은 국내 중견기업 몇 곳이 이 같은 방식으로 이모텟 악성코드에 감염돼 실제 피해를 입었다고 밝혔다. 거래처 발신자로 위장해 악성코드가 담긴 문서를 메일을 보내 사용자 PC를 첫 감염시킨 후, 네트워크로 악성코드를 전파해 내부 PC와 주요 시스템에서 정보를 빼갔다. 또한, 이번에 피해를 입힌 이모텟은 공격 기능별로 모듈화돼 있다. 때문에 공격 대상의 IT환경에 맞춰 유동적으로 동작하며, 감염 단계를 세분화시켜 보안 솔루션으로 탐지하기가 매우 어렵다. SK인포섹의 위협 인텔리전스 데이터베이스에 따르면 이모텟 의심 메일은 올해 초부터 서서히 증가하기 시작해 3월부터는 지난해에 비해 약 5배 이상 증가하고 있는 것으로 나타났다. 악성 메일 발송은 지메일(gmail)을 사용하는 경우가 많았으며, 제목에는 ‘계좌(Account)’, ‘청구서(Invoice)’, ‘필수(Required)’ 등 메일 열람을 유도하는 단어가 많이 쓰였다. SK인포섹 EQST그룹은 이모텟 악성코드를 예방하기 위해 ▲출처가 불분명한 이메일과 URL 링크 확인 ...

악성코드 SK인포섹 2018.04.25

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.