Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

MS, 엣지 브라우저 ‘무기’였던 피싱 방어 기술 크롬 애드온으로 공개

마이크로소프트가 엣지(Edge) 브라우저의 주요 자산을 포기했다. 브라우저를 위한 피싱 추적 기술을 크롬 애드온으로 공개한 것. 이에 대해 한 애널리스트는 마이크로소프트에겐 선택의 여지가 많지 않았다고 지적했다. 디렉션 온 마이크로소프트(Directions on Microsoft)의 마이클 체리는 “피싱은 큰 문제이며, 사람들은 사용하는 브라우저만 사용한다. 마이크로소프트는 윈도우 생태계를 보호하기 위해 이같은 결정을 했다”고 분석했다. WDBP(Windows Defender Browser Protection)이라는 이름의 애드온은 윈도우와 맥OS의 크롬 브라우저에 무료로 사용할 수 있으며, 후에는 크롬 OS에서도 사용할 수 있게 될 예정이다. 엣지에서와 마찬가지로 이 애드온은 마이크로소프트의 스마트스크린(SmartScreen) 기술에 의존한다. 스마트스크린 기술은 악성 웹사이트가 악성코드를 기기에 다운로드 하려고 하거나 이메일에 연결된 사이트가 알려진 피싱 URL이 포함된 경우 사용자에게 경고해준다. 마이크로소프트는 지속해서 변경되는 이런 악성 목적지 목록을 자체적으로 보유하는데, 이 목록은 부분적으로 스마트스크린 사용자들이 보내는 것으로 구성된다. 이것이 지금까지 알려진 WDBP의 동작 방식이다. 마이크로소프트는 사이트나 크롬 웹 스토어의 설명에서 이러한 일반적인 정보 외에는 공개하지 않았다. 크롬 웹 스토어 설명에는 “이메일에서 악성 링크를 클릭하거나 금융, 개인 및 기타 민감한 정보를 공개하도록 설계된 사이트를 방문하거나, 악성코드를 호스팅한 웹사이트에 방문하면 WDBP가 지속적으로 업데이트되는 악성 URL 목록과 대조한다”고 적혀 있다. 이것이 스마트스크린이다. 마이크로소프트는 WDBP에 대해 설명하면서, 2017년 발표된 NSS 랩스(NSS Labs)의 보고서를 언급했다. NSS 랩스는 엣지가 브라우저 중 피싱과 소셜 엔지니어링 악성코드 공격을 99%가량 방어하며 각...

맬웨어 악성코드 브라우저 2018.04.24

글로벌 칼럼 | 공황상태에 빠지기 전, 반드시 기억해야 할 안드로이드 보안 관련 6가지 ‘팩트’

안드로이드 보안은 ‘공포’를 불러오는 주제다. 몇 주 간격으로 머리카락이 곤두설 만큼 무서운 뉴스들이 인터넷에 넘쳐난다. 악마 같은 해커가 우리 스마트폰을 해킹해 데이터를 훔치고, 신경을 긁고, 때로는 믿기지 않아 자신의 살을 꼬집을 수밖에 없는 그런 악행을 자행하게 될 것이라는 뉴스들이다. 이번 주도 다르지 않다. 바이퍼랫(ViperRat)과 데저트 스콜피온(Desrt Scorpion)이라는 끔직한 안드로이드 악성코드에 대한 뉴스가 전세계 스마트폰 사용자들을 무서움에 들게 했다. 지난 주도 마찬가지다. 안드로이드 디바이스 제조사의 보안 업데이트를 건너 뛸 수도 있다는 뉴스가 사람들을 겁에 질리게 만들었다. 확실히 불안과 걱정을 야기하는 소식들이다. 특히, 일반적인 악성코드와 관련 없는 지난 주 뉴스는 더하다. 제조사가 사용자를 기만할 수도 있음을 경고하는 뉴스다. 그러나 유념할 부분이 있다. 가정법을 사용했다는 것이다. 그런데 보통 사용자의 관점에서 보면, 이런 겁나는 이야기들에 진짜 겁을 내야 하는 경우는 거의 없다. 앞으로도 안드로이드 보안과 관련된 겁나는 뉴스가 또 등장할 것이다. 이때 마음을 조금 편안하게 만들어주는, 그래서 진짜 걱정해야 할 일만 걱정하도록 도와주는 안드로이드 보안에 대한 ‘팩트’ 6가지를 소개한다. 1. 안드로이드 악성코드가 ‘마법 같이’ 사용자 스마트폰에 자동 설치되는 경우는 없다 대부분의 사람들은 악성코드를 전염병 같은 무엇으로 생각한다. 아무런 일도 하지 않았는데 몰래 침입해 은밀하게 피해를 초래하는 무엇으로 생각한다는 이야기다. 분명히 말하지만 그렇지 않다. 최악의 시나리오에도 이런 식으로 자동 침입해 피해를 초래하는 경우는 없다. 악성코드는 사용자가 수동으로 설치하고 관련된 접근 권한을 승인해야 스마트폰을 탈취해 악생을 저지를 수 있다. 안드로이드 보안에 대한 정보와 뉴스 대부분은 사용자가 의도적이든, 교모한 속임수에 넘어갔든...

맬웨어 스마트폰 악성코드 2018.04.19

올해 최고의 악성코드 위협, 랜섬웨어가 아닌 크립토마이닝…코모도

코모도 사이버보안 위협 연구소의 2018년 1분기 전세계 악성코드 보고서에 따르면, 올해 가장 큰 위협은 랜섬웨어 기반 공격이 아닌 크립토마이닝(Cryptomining) 기반 공격이었다. 코모도는 2018년 1분기동안 총 3억 건의 악성코드 사건 가운데 2,890만 건의 크립토마이닝 사건을 발견했는데, 이는 총 사건의 10%에 이른다고 밝혔다. 크립토마이닝 변종의 수는 1월 9만 3,750건에서 3월에는 12만 7,000건으로 증가했다. 동시에 이 보고서는 랜섬웨어가 형사상의 주목을 끌어 활동 비용이 대폭 오름에 따라 새로운 변종이 1월 12만 4,320건에서 3월 7만 1,540건으로 42%나 감소했다고 밝혔다. 랜섬웨어에 당하게 되면, 모든 것이 암호화되고 몸값 요구 화면을 보면서 사용자는 해킹 당했음을 알게된다. 그러나 크립토마이닝 공격은 공격자가 비밀리에 크립토마이너를 설치하도록 설정한 웹사이트를 방문한 모든 사람이 무슨 일이 일어나는지 알지 못한다. 크립토마이너는 암호화폐를 채굴하기 위해 피해자의 PC 리소스를 사용한다. 사이버범죄자가 랜섬웨어에 비해 크립토마이너를 선호하는 한 가지 이유는 랜섬웨어 공격이 예전처럼 잘 작동하지 않는다는 것이다. 코모도는 2017년 랜섬웨어가 세상에 많이 회자된 이후로, 반 랜섬웨어 조치들이 취해짐에 따라 랜섬웨어 공격 성공율이 떨어졌다. 그러나 가장 큰 이유는 암호화폐의 높은 가치때문이다. 지불할 수도, 지불하지 않을 수도 있는 몸값 요구와는 달리, 크립토마이너는 지속적으로 돈을 회수할 수 있다. 디지털 통화의 경우, 사이버범죄자들은 비트코인(Bitcoin)보다 모네로(Monero)를 채굴하는 걸 선호한다. 비트코인 채굴은 리소스를 많이 사용하고 트랜잭션을 추적할 수 있으며, 비트코인 지갑을 차단하거나 블랙리스트에 올릴 수 있다. 하지만 모네로는 특정 사람을 추적하거나 지갑을 블랙리스트에 올리거나 추적할 수 없다. 또한 모네로 블록은 2분마다 생산되는 반면, 비트코인 블록은 평균 ...

악성코드 랜섬웨어 코모도 2018.04.19

Cisco 2018 연례 사이버 보안 보고서

Cisco 2018 연례 사이버 보안 보고서에서는 기업과 사용자가 공격을 저지할 수 있도록 지원하는 최신 보안 기술 동향을 소개하는 한편 사이버 범죄자가 방어망을 뚫고 탐지 체제를 회피하는 데 사용하는 수법과 전략도 살펴봅니다. 이 보고서에서는 기업의 보안 실태와 해킹 대비의 중요성에 대한 의식 수준을 조사한 2018년 시스코 보안 역량 벤치마크 주요 연구 결과도 집중적으로 소개합니다. <68p> 주요 내용 악성 프로그램의 진화 / 암호화된 악성 웹 트래픽 이메일 취약점 / 샌드박스 우회 전술 클라우드 서비스 및 기타 정상적인 리소스 악용 / IoT 및 DDoS 공격 피해 비용 / 난제 및 장애물 영향: 보안 사고에 따른 공개 조사, 유출 위험 증가 전망: 기술 및 교육에 적극 투자 

시스코 악성코드 취약점 2018.04.12

맥 노리는 악성코드 익스플로잇 270% 증가

맥을 대상으로 한 보안 위협이 증가하고 있다. 보안 전문업체 맬웨어바이트(Malwarebytes)에 따르면, 지난해 맥을 대상으로 한 악성공격이 270% 증가했다. 2018년이 시작되고 2개월 동안 새로운 악성코드 익스플로잇 4종이 발견되기도 했다. 특히 맬웨어바이트는 이들 익스플로잇이 보안업체가 아닌 사용자에 의해 발견됐다는 점을 강조했다. 예를 들어, 한 맥 사용자는 DNS 설정이 변경됐음을 발견했는데, 이를 복구할 수가 없었다. OSM.MaMi로 알려진 이 악성코드 때문인데, 이 악성코드는 피해자의 맥에 신뢰할 수 있는 루트 인증서를 설치해, 웹사이트 피싱 및 중간자 공격에 취약하게 만든다. 맬웨어바이트는 또한, 국가적인 차원에서 악의적인 목적으로 개발된 악성 코드에 기반한 맥 대상의 새로운 자바 기반의 익스플로잇과 인기 소프트웨어 다운로드 웹사이트에 악성 링크를 넣는 공격도 발견했다. 맬웨어바이트는 이런 공격들이 증가하고 있다고 경고하면서, 맥 사용자들이 안전한 플랫폼을 사용하고 있지만 맥OS가 ‘방탄’이라고 여겨선 안 된다고 지적했다. 사이버 공격자들에게 기회를 제공한 ‘무시’ 애플의 플랫폼은 이런 공격에 안전하다는 것이 일반적인 인식이지만, 이는 잘못된 것이다. 물론 맥과 iOS 디바이스가 다른 플랫폼보다 안전하다는 것은 사실이나, 그렇다고 전혀 위험하지 않다는 것은 아니다. 애플의 플랫폼이 더 안전하다는 인식에는 경계가 필요하다. 특히 맥이 업무용 플랫폼으로 널리 사용되기 시작했다는 점에서 더욱 그렇다. 맬웨어바이트는 “애플의 맥OS에는 강력한 보안 기능들이 있지만, 새로운 악성코드는 이를 쉽게 우회할 수 있고, 모든 애드웨어(adware)나 PUP 문제들을 해결하는 것은 아니다”라고 경고했다. 사이버 공격은 점점 더 정교해지고 있다. 2015년 등장한 엑스코드고스트(XcodeGhost) 익스플로잇을 생각해보자. 앱에 악성코드를 주입...

맬웨어 악성코드 2018.03.13

조시큐리티, 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스 v20’ 출시

조시큐리티는 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스(JoeSandbox) v20’을 출시했다고 인섹시큐리티(www.insec.co.kr)가 밝혔다. 조샌드박스는 윈도우, 맥OS, 안드로이드, iOS 등의 운영체제를 포함한 실행 파일 및 문서 포맷에 대한 분석을 지원하는 통합 플랫폼이다. 조샌드박스 v20은 ▲최신 악성행위 시그니처 74개 추가 ▲포괄적인 자바스크립트 분석 ▲위치 정보 파악을 차단하는 로컬 인터넷 비식별화 ▲웹 API v2 ▲안드로이드 디바이스 관리 자동화 ▲위협 인텔리전스 등을 강화했다. 조샌드박스 데스크톱(Joe Sandbox Desktop), 모바일(Mobile), X, 컴플리트(Complete), 얼티밋(Ultimate) 버전에 새로운 악성코드 행위 시그니처 74개가 추가됐다. 특히, 지난해 이슈가 되었던 워너크라이(WannaCry), 페트야(Petya), 와이어X(WireX) 및 CVE-2017-8759 등이 추가돼 현재 1,414개의 명시적 규칙이 담긴 시그니처 셋을 포함하고 있다. 조샌드박스 v20은 모든 자바스크립트 변수 및 API 콜을 탐지하고 추적해 분석한다. 특히, 자바스크립트 파일의 복호화를 통해 숨겨진 회피 기술을 탐지한다. 자바스크립트 정밀 분석 기능은 기존의 풀 시스템 에뮬레이션 및 인터 모듈러 콜 추적 기법을 통해서는 확보할 수 없는 통찰을 제공한다. 타깃 공격을 위한 악성코드는 기기의 지리적 위치정보를 제공하는 API 표준인 IP 지오로케이션(geolocation) 정보를 확인한다. 예를 들어 미국 기업을 노리는 악성코드의 경우 미국 내 인터넷 공급업체에 속한 IP를 체크해, 기존의 블랙리스트와 IP 소유자를 비교한다. 조샌드박스 v20에는 이러한 지오로케이션 체크 시도를 차단하기 위해 로컬 인터넷 비식별화(Localized Internet Anonymization, LIA) 기능이 추가됐다. 조시큐리티는 이번 최신 버전을 통해 웹 API를 재설계...

악성코드 조시큐리티 2018.01.08

“봇넷 없는 세상은 불가능한가” 봇넷의 정의와 단시일 내의 근절이 어려운 이유

봇넷은 목표 시스템을 교란시키거나 침입하려는 국가, 사이버 범죄 조직, 또는 개인에게 일종의 전력 승수(force multiplier) 역할을 한다. 봇넷은 해커에게 잠식당한 상태로 인터넷에 연결된 모든 기기들의 집합이다. 주로 DDoS(distributed denial of service) 공격에 사용되지만, 그 밖에도 집합적 컴퓨팅 역량을 악용해 대규모 스팸 정송, 개인 정보 탈취, 그리고 개인 및 기관에 대한 스파이 행위에도 이용되기도 한다. 봇넷이 생성되는 절차는 단순하다. 연결 기기를 악성코드에 감염시켜 C&C(command and control) 서버를 통해 이를 제어하는 것이다. 일단 네트워크 상의 특정 기기를 감염시키는 데 성공하고 나면, 동일 네트워크상에 있는 취약성을 가진 모든 기기를 감염시킬 수 있게 된다. 봇넷 공격의 피해는 그야말로 막심하다. 지난해 미라이(Mirai) 봇넷 공격으로 트위터, 넷플릭스, CNN을 비롯한 주요 웹사이트가 전부 차단되고, 러시아는 주요 은행들이, 라이베리아는 국가 전체가 영향을 받았다. 미라이 봇넷은 보안 카메라 등 보안이 허술한 사물 인터넷 기기에 악성코드를 설치하고 인터넷 트래픽을 라우팅하는 DYN 서버를 공격하는 방식으로 이루어졌다. 이 사건으로 봇넷의 위험성을 인지하게 된 산업체, 기기 제조사들, 규제 당국, 통신사들, 그리고 인터넷 인프라 공급기관들은 일제히 감염된 기기를 식별하고 분리해서 제거하거나 패치했으며, 미라이 봇넷과 같은 봇넷이 다시는 생성될 수 없도록 신속하게 조치를 취했다…. ...라고 쓸 수 있으면 좋겠지만, 그런 일은 일어나지 않았다. 현실은 그 후에도 봇넷 공격이 수 차례 지속됐다. 지난 주 공개된 아카마이 인터넷 보안 보고서에 따르면, 봇넷은 여전히 건재할뿐 아니라 갈수록 더 영리하고, 끈질기게 진화하고 있다. 일례로 오늘날 해커들은 패스트 플럭스 DNS(Fast Flux DNS)를 사용해서 피해자가 추적할 시간조차 주지 않고...

봇넷 악성코드 DDos 2017.12.11

“가짜 뉴스는 위험한가?” 악성코드 위협 증가

가짜 뉴스는 여론을 흔들거나 사람들을 갈라놓기 위해 정교하게 만든 거짓 정보를 배포하는 것을 말한다. 가짜 뉴스가 정보 보안 전문가들의 주목을 받고 있는데, 식별하기도 차단하기도 어려울 뿐만 아니라 악성코드를 퍼드리는 데 일조하기 때문이다. 패스워드 관리 전문업체 다이코틱(Thycotic)의 최고 보안 과학자 조세피 칼슨은 “가짜 뉴스 공장은 많은 사람에게 영향을 미치기 위한 작전에 사용된다. 마케팅 목적이나 구매 결정일 수도 있고, 정치적인 불안이나 그저 진짜 의도를 숨기기 위한 목적일 수도 있다”라며, “소셜 미디어와 온라인 서비스가 일차적인 피해자이다. 사용자들에게 어디서 나온 정보인지 알 수도 없고 진위를 가릴 수도 없는 정보가 끊임없이 제공되기 때문이다”라고 지적했다. 또 하나의 문제는 가짜 뉴스가 종종 두 번째 목적이 있다는 것. 보안 교육 전문업체인 시큐어세트(SecureSet)의 부사장 스콧 넬슨은 가짜 뉴스가 소셜 엔지니어링이나 해킹 활동의 가장 최신 공격 요소라고 말한다. 피싱 공격과 유사하게 많은 변수가 작용한다. 페이스북 상의 의문스러운 링크가 모두 가짜는 아니며, 자동화된 탐지 툴이 모든 의심스럽거나 가짜인 콘텐츠를 잘 집어낼 수 있는 것도 아니다. 넬슨은 “이미지나 링크, 다운로드할 수 있는 가짜 뉴스, 이메일, 소셜 미디어 사이트에 악성코드를 내장하는 기법이 등장하면서 조직의 우려도 커지고 있다”며, “이런 기법은 더 이상 범죄 조직이나 스패머만의 것이 아니며, 이제는 정부기관도 프로파간다를 퍼뜨리거나 시스템을 감염시키고 스파이 활동을 하는 데 사용하고 있다”고 설명했다. 가짜 뉴스가 얼만 악성코드처럼 움직이는지 기업이 제대로 인식하지 못하는 것도 문제이다. 해커가 가짜 뉴스로 분류되는 기존과는 다른 접근 방법을 이용하는 것도 이 때문이다. 넬슨은 “조직은 정치적인 이슈나 가십거리를 퍼뜨리는 이 정교한 캠페인에...

악성코드 피싱 가짜뉴스 2017.11.17

IDG 블로그 | 구글 플레이 프로텍트가 실패하면

필자는 지난 몇 년 동안 안드로이드 보안에 관한 글을 많이 썼고 그 때마다 같은 이야기를 반복했다. 모바일 보안 소프트웨어를 판매하는 업체는 이론적인 위협 요소를 찾는다. 이론적인 위협 요소란 1) 실제 환경에서 실제 사용자에게 영향을 미친 적이 없고 2) 모든 기본 보안 수단이 비활성화되고 사용자가 수상한 포르노 포럼에 올라온 수상한 앱을 다운로드한다는, 한 마디로 도무지 있을 법하지 않은 시나리오를 제외한 실제 환경의 실제 사용자에게는 영향을 미칠 수 없는 위협 요소를 의미한다. 기억하기 쉬운 무서운 바이러스 이름이 난무하고 특정 보안 소프트웨어만이 사용자를 안전하게 보호할 수 있다는 이야기로 마무리되는 공포스러운 이야기를 써놓고, 정작 이러한 중요한 조건을 잘 보이지 않는 각주로 달아둔다. 효과적인 마케팅 형식은 분명하지만 동시에 몹시 선정적이기도 하다. 이 칼럼의 오랜 독자라면 안드로이드 보안의 현실을 잘 알고 대중을 향한 이러한 종류의 과장된 캠페인을 대부분 걸러 들어야 한다는 점도 잘 알 것이다. 그러나 이 범주에 속하지 않는, 진짜 맬웨어 위험 상황들이 최근 발생하고 있다. 예를 들어 수백 개의 인터넷 트래픽 생성 앱이 플레이 스토어를 거쳐 사용자 기기로 침투한 잘 알려진 와이어엑스(WireX) 봇넷 사건, 또는 왓츠앱(WhatsApp)을 가장해 이를 설치한 기기에 광고를 뿌린 더 최근의 가짜 왓츠앱 사건 등이다. 이 두 가지는 실질적 위협이었는데, 기본 구글 플레이 프로텍트(Google Play Protect) 보안 시스템은 침해를 전혀 파악하지 못했고 결과적으로 많은 수의 안드로이드 기기 소유자가 피해를 입는 상황을 막지도 못했다. 최종 사용자가 입은 직접적인 피해의 수준은 미미했지만(웹 트래픽을 발생시키거나 광고가 표시되는 정도로, 문제의 앱을 제거하는 즉시 사라짐) 이러한 유형의 프로그램은 당연히 구글 심사를 통과해 플레이 스토어에 들어가서는 안 된다. 한 가지 더 재미있는 점은 그럼에도 공포에 떨 이...

맬웨어 악성코드 구글플레이 2017.11.09

글로벌 칼럼 | 서드파티 안드로이드 보안 앱이 전혀 의미 없는 3가지 이유

“아주 무서운 새로운 안드로이드 악성코드가 잠복해 있다. 이를 의심하지 않아 위험에 노출된 사용자가 수백 만 명에 달한다. 지금 당장이라도 기업 데이터가 유출될 수 있다. 이런 위험으로부터 스스로를 보호하는 유일한 방법은 ‘이런저런 안드로이드 보안 앱’을 구매하는 것 뿐이다.” 이런 이야기를 들어 본 적이 있을 것이다. 분명하다. 거의 매달, 때로는 더 자주 이런 ‘경보’가 발령된다. 20미터 반경에 위치한 모든 안드로이드 디바이스를 수거, 신호가 도달하지 않는 벙커에 묻어버리고 싶을 만큼 무서운 경보다. 그러나 사실 이렇게 두려움을 유발하는 경보를 뒷받침할 근거가 없다. 다시 말해, 사람들을 오도하는 메시지다. 필자는 안드로이드 플랫폼이 등장한 후 지금까지 안드로이드를 다뤘다. 그런데 현재 기술 분야에서 가장 ‘센세이션’하고 오해가 많은 분야 중 하나가 안드로이드 보안이다. 이런 경보들이 남발되는 이유가 있다. 아주 단순하게도, 모바일 보안이 아주 큰 시장이기 때문이다. 수 많은 회사들이 지속적으로 불합리한 공포를 과장해 주입하고 이익을 챙기려 한다. 이 정도면 충분하다. 지금부터 안드로이드 보안의 현실, 즉, 서드파티 보안 소프트웨어가 해결책이 되기 힘든 이유를 설명하겠다. 1. 지금까지 알려진 안드로이드 악성코드 위협의 절대 다수는 이론에 불과하다 과장된 공포의 거품을 터뜨려 유감이지만, 지금까지 알려진 안드로이드 악성코드 위협이 실제 미국 기업이 운용하는 디바이스에 영향을 미칠 확률은 사실상 ‘0’에 가깝다. 공포를 유발하는 주장 속에 숨겨져 있는 자세한 정보를 살펴보면 그 이유를 알 수 있다. 꽤 오래 전, 9억 대의 안드로이드를 위험에 노출시킨다는 취약점인 ‘쿼드루터(Quadrooter)’를 기억하는가? 이 공격의 희생양이 되는 기업은 모든 비즈니스 활동을 멈출 수 밖에 없다는 주장이었다. ...

악성코드 보안 안드로이드 2017.11.08

역사상 악명을 떨친 악성코드들의 현황

수사 당국과 정보 보안 업계는 최신 악성코드를 무력화하고 차단하기 위해 공조하는 경우가 많다. 악성코드를 차단하는 방법은 일반적으로 두 가지다. 하나는 킬 스위치(있는 경우) 조합을 사용해 탐지, 샌드박싱, 리버스 엔지니어링을 거쳐 최종적으로 차단하는 것이고 다른 하나는 악성코드 명령 및 제어(C&C)에 사용되는 서버를 장악하는 것이다. 서버를 확보하면 감염된 컴퓨터 간 통신에 사용되는 도메인을 통제할 수 있다. 그러나 오래된 일부 악성코드들은 오래된 취약점을 이용하고 피싱 이메일이나 감염된 USB 드라이브, 악성 이메일 첨부 파일, 함정 웹 페이지 등을 통해 확산되면서 지금도 기업들에 피해를 입힌다. 예를 들어 최근 체크포인트(CheckPoint) 보고서에서 컨피커(Conficker) 웜과 제우스(Zeus) 트로이 목마(2개 모두 5년 이상 지난 악성코드)는 전 세계적으로 가장 일반적인 상위 10개 악성코드에 포함됐다. 오래된 악성코드가 계속 기승을 부리는 이유는 무엇일까? 전문가들은 불규칙한 패치, 빈약하고 업데이트되지 않은 안티바이러스, 보호나 업그레이드가 불가능한 레거시 시스템(MRI 스캐너, 독자 규격의 병원 장비 등)을 중요한 이유로 꼽는다. 이와 같은 오래된 악성코드들이 새로운 용도로 개조되어 새로운 갑옷을 입고 다크 웹 시장에서 판매된다. 안티소셜 엔지니어(Antisocial Engineer)의 이사인 리차드 드비어는 "오래된 악성코드의 핵심 구성 요소는 지금도 여전히 사용된다. 악성코드 제작자는 코드 일부를 가져와 새로운 악성코드 캠페인에 사용한다"며, "잘 작동한다면 바꾸지 말라는 격언이 여기에도 적용되는 셈이다"고 말했다. CISO가 악성코드에 대처하는 방법 법률 기업 핀센트 메이슨스(Pinsent Masons)의 CISO인 크리스티안 툰은 "CISO와 SOC 팀에게 골칫거리다. 전통적인 시그니처 기반 탐지를 회피하기 위해 빠른 속도로 형태가 바뀐다. 보통...

악성코드 제우스 콘피커 2017.10.31

스팸봇의 해부 : 출발점부터 감염경로와 대응책까지

보안 전문가들에게 스팸봇은 잘 알려진 ‘적’이다. 그러나 다른 사람들에게는 ‘미상의 실체’이다. 소풍을 갔을 때 본 개미 떼처럼, 메시징 앱의 10대처럼 자신도 모르는 사이에 침입해 확산된다. 봇으로부터 매일 무수히 많은 메시지를 받고 있을지 모른다. 심지어 봇이 사용자 모르게 사용자 컴퓨터에서 원하지 않은 이메일을 발송하면서 원하지 않게 ‘디지털 파괴’의 공범자가 될 수도 있다. 다른 ‘미상의 실체’처럼, 스팸봇의 작동 원리, 하는 일, 확산 방법, 스팸봇 감염 및 실행을 막는 방법을 알면 큰 도움이 된다. 스팸메일의 시작 스팸봇 감염 경로와 작동 원리에 앞서, ‘출발점’에 대해 알아 보자. 악성코드 감지 서비스를 제공하는 플릭서(Plixer)의 IT 및 서비스 담당 디렉터 토마스 포어가 상세한 정보를 줬는데, 보통 러시아와 중국 등 해외를 중심으로 해커들이 다크웹에서 이메일 주소 데이터베이스를 구매하면서 시작된다. 생각보다 훨씬 쉽다. 또한 갈수록 더 쉬워지고 있다. 야후는 최근 2013년에 (이메일 주소와 비밀번호, 생년월일 등 정보가 포함된)사용자 30억 명의 계정이 침해 당했다고 발표했다. 그런데 스팸봇을 만드는 사람들은 이 소식에 놀라지 않았을 것이다. 이미 몇 년 간 자신의 봇에 이런 데이터를 사용하고 있을 확률이 아주 높기 때문이다. 스팸봇에는 이메일 주소가 필요하다. 이메일 주소 없는 스팸봇은 실행되지 않는다. 따라서 어떤 스팸봇이든 이메일을 수집하는 활동을 한다. 원래 스팸봇은 이메일 주소를 추출, 무작위로 컴퓨터를 감염시키는 시도를 했었다. 그러나 가트너의 애널리스트 로렌스 핀그리는 더는 이런 방식을 사용하지 않는다고 강조한다. 판매되고 있는 이메일 주소가 정말 많다. 스팸봇 개발자는 소셜 엔지니어링으로 악순환의 고리를 준비한다. 소셜 엔지니어링 공격을 성공시켜 데이터를 침해한다. 데이터 침해에 성공하면 ...

맬웨어 스팸 악성코드 2017.10.23

해커가 소프트웨어 설치 없이 시스템에 침투하는 방법…"파일리스 공격"의 이해

"매일같이 본다." 삼성 리서치 아메리카(Samsung Research America) CSO 스티븐 렌츠는 "여러 가지 침입, 익스플로잇, 아직 알려지지 않은 랜섬웨어 등 그동안 네트워크나 엔드포인트에서 이런 공격을 여러 차례 차단했다"고 말했다. 렌츠가 우려하는 공격은 파일리스(fileless) 공격이다. 흔적 없는(zero-footprint) 공격, 매크로, 또는 비 악성코드 공격이라고도 한다. 이런 공격 유형은 사용자 컴퓨터에 소프트웨어를 설치하지 않으므로 안티바이러스 툴로 포착하기가 어렵다. 파일리스 공격은 화이트리스팅도 피해간다. 화이트리스팅을 사용하면 승인된 애플리케이션만 시스템에 설치가 허용된다. 파일리스 공격은 이미 설치되어 승인 목록에 있는 애플리케이션을 이용한다. 그러나 "파일리스", "흔적 없는", "비 악성코드" 등의 용어는 기술적으로 정확한 용어는 아니다. 많은 경우 사용자가 악성 첨부 파일을 다운로드해야 작동하며, 제대로 살핀다면 포착 가능한 흔적도 컴퓨터에 남기기 때문이다. 파이어아이(FireEye)의 위협 인텔리전스 선임분석가인 크리스티나 브래프맨 키트너는 "악성코드가 하드 드라이브에 스스로를 설치하지 않는 경우라도 이를 탐지하는 방법이 존재하므로 흔적이 전혀 없는 악성코드는 사실상 존재하지 않는다"고 말했다. 또한 안티바이러스를 완전히 피해가는 것도 아니다. 설치 파일이 설치되지 않더라도 안티바이러스 툴이 악성 첨부 파일이나 악성 링크를 탐지할 수 있는 경우가 많기 때문이다. 공격자는 파일리스 공격을 사용하면 침투 성공 가능성이 높아진다는 것을 안다. 렌츠는 "이것이 실질적인 위협"이라고 말했다. 삼성 리서치는 침투한 공격을 포착하기 위해 카본블랙(Carbon Black)의 엔드포인트 보호를 포함한 행동 기반 시스템을 사용한다. 예를 들어 방문자가 회사 네트워크에 연결되면 회...

악성코드 랜섬웨어 파일리스 2017.09.26

"랜섬웨어의 다음 희생자는?" 진화하는 랜섬웨어 공격과 방어 전략 현황

지난 6월 한국 호스팅 업체가 랜섬웨어 공격을 당했다. 이로 인해 5,000여 고객 웹사이트가 위치한 리눅스 웹 서버 153개의 가동이 중단되었다. 나야나의 황칠홍 대표는 “해커와 협상을 할 수 없다는 점을 잘 알고 있다. 우리 회사만 피해를 입었다면 해커와 협상하지 않았을 것이다. 그러나 피해 규모가 너무 컸고, 너무 많은 사람들이 힘들어하는 상황이었다”는 성명서를 발표했다. 나야나는 데이터를 되찾기 위해 100만 달러 이상인 400비트코인을 지급해야 했다. 하지만 이는 나야나가 감당해야 할 많은 비용 중 일부에 불과하다. 나야나는 복구에 시간과 돈을 투자했고, 피해 고객에게 할인과 환불을 제공해야 했다. 복구하지 못한 데이터도 있을 것이다. 피해 고객에게는 평생 무료 호스팅을 제공하겠다고 약속했다. 이런 피해를 입은 회사는 나야나 하나가 아니다. 이번 달 초, 대형 선박회사인 머스크(Maersk)는 자동 회계 소프트웨어 업데이트를 통해 랜섬웨어 공격을 당했다고 발표했다. 이번 공격은 500곳의 애플리케이션과 사용자에 영향을 미쳤다. 잃어버린 데이터는 없었지만, 머스크에 2억~3억 달러의 복구 비용과 매출 손실이 감수해야 했다. 또 글로벌 대형 제약 회사인 머크(Merck)는 7월 실적 컨퍼런스 콜에서 6월 랜섬웨어 공격으로 제조, 연구, 영업 등 전세계의 기업 활동에 방해를 받았으며, 일부 제조 운영은 복구하지 못한 상태라고 인정했다. 올 여름 초, 크립토스 로직 CEO 살림 나이노는 미 의회에서 100만 대가 넘는 컴퓨터가 워너크라이(WannaCry)에 감염됐다고 밝혔다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면, 올해 랜섬웨어 피해액은 전세계적으로 50억 달러에 달한다. 2015년의 경우 3억 2,500만 달러에 불과했다. 이유가 무엇일까? 공격자들이 큰 ‘보상’을 기대하고 무서울 정도로 공격 기술과 기법을 혁신해 나가고 있기 때문이다. 보안산업도 방어...

악성코드 취약점 랜섬웨어 2017.09.01

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.