Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

"그때 그 악성코드" 지금도 기승을 부리는 최악의 악성코드 4종

최신 악성코드의 파괴하고 중지시키기 위해 사법기관과 정보보안업계가 공조하는 경우가 많다. 일반적으로 악성코드가 탐지되면 샌드박스(sandbox)라는 과정과 역공학(reverse engineering)를 걸쳐 최종적으로 중단되는데 킬 스위치(kill switch)가 있을 경우, 이의 조합을 이용하거나 악성코드의 명령 제어(C&C)에 사용되는 서버를 장악하는 방식으로 진행된다. 이 시점부터는 감염된 컴퓨터 간 소통에 이용되는 도메인을 통제할 수 있다. 그런데 옛날 악성코드 중에서 아직도 피해를 입히고 있는 일단의 무리들이 있다. 이들은 오래된 취약점을 자주 악용하고 피싱(phishing) 이메일, 감염된 USB 드라이브, 수상한 이메일 첨부파일, 장악된 웹 페이지를 통해 전파된다. 일례로, 등장한지 5년이 넘은 컨피커(Conficker) 웜과 제우스 트로이 목마(Zeus Trojan)가 최근 체크포인트(CheckPoint) 보고서에서 소개된 전세계적으로 가장 흔한 10대 악성코드 목록에 이름을 올렸다. 옛날 악성코드가 계속 기승을 부리는 이유는 무엇일까? 전문가들은 정기적으로 패칭(patching)을 하지 않는 것과 유효 기간이 지나 제 기능을 하지 못하는 안티바이러스, 보호나 업그레이드가 되지 않는 구식 시스템(ex. MRI 스캐너와 병원 장비) 등을 원인으로 지목하고 있다. 이런 옛날 악성코드가 재정비를 거쳐 다크웹(dark web)에서 판매되는 경우가 많다. 안티소셜 엔지니어(The Antisocial Engineer) 대표 리차드 디 베르는 "옛날 악성코드의 핵심요소가 오늘날에도 여전히 사용되고 있다"며, "악성코드 작성자들은 코드 중 일부분을 살려내 '최신' 또는 최근에 시작된 활동에 이용한다. 만약 효과가 있으면 바꾸지 않고 그대로 사용하는 식이다"고 말했다. 옛날 악성코드에 대한 CISO들의 생각 법률회사 핀센트 메이슨즈(Pinsent Masons) CISO 크리스천 툰은...

악성코드 malware 제우스 2017.08.31

가장 은밀한 해커 공격 10가지

악성코드에 관한 한 우리는 무서운 시대에 살고 있다. 개인 고객 정보로 가득한 네트워크에 해커가 침입했다는 소식이 매일 들려온다. 이제 대중은 너무 무감각해진 나머지 1,000만 건의 기록이 도난 당하거나 회사의 개인 이메일이 인터넷으로 유출되고 있다는 소식에도 그다지 놀라지 않는다. Credit: Getty Images Bank 보안 전문가들은 보이지 않는 적에 대한 두려움 속에서 하루 24시간을 보낼 수는 없다. 보안 전문가들이 할 수 있는 일은 방어책을 확보하는 것이다. 악성코드 공격을 조기 탐지하면 신문에 날 정도의 중대한 피해가 발생하기 전에 중단시킬 수 있다. 대부분의 공격은 소셜 엔지니어링이나 패치 안된 소프트웨어처럼 손쉬운 방법을 통해 시작된다. 그러나 악성코드를 탐지하는 것은 여간 힘든 일이 아니다. 해커들이 몸을 숨기는 방식이 나날이 발전하기 때문이다. 세계에서 가장 탐지하기 어려운 10가지 악성코드 프로그램을 소개한다. 파워셸 악성코드 마이크로소프트(Microsoft)의 파워셸(PowerShell) 스크립트 언어는 원래 윈도우(Windows)와 액티브 디렉터리(Active Directory)의 원격관리를 위한 유연성 있는 도구다. 일상적인 작업을 자동화하고 다수의 컴퓨터를 원격으로 제어하기에 매우 좋다. 악의적으로 사용될 때 감지가 어렵기 때문에 해커들이 선호한다. 파워셸을 이용한 해킹은 연구원들이 만든 개념 증명 프로그램에서 나쁜 놈들이 애용하는 도구로 급속도로 변질됐다. 최근에는 기업 공격 가운데 파워셸이 관련되지 않은 것은 드물다. 일반적으로 탐지를 피하기 위해 신중하게 코딩의 대부분을 일부러 혼란스럽게 만든다. 유명한 2가지 파워셸 툴킷은 파워스플로잇(PowerSploit)과 파워셸 엠파이어(PowerShell Empire)다. 합법적인 침투 테스트용이라고 광고되지만 주로 해커들이 애용하는 도구다. 이에 대한 방어 방법은 합법적으로 서명된 스크립트만 허용하기 등이 있지만 기업들은 손 놓고 있다가 ...

악성코드 해커 공격 2017.08.29

스턱스넷의 이해 : 코드가 기계를 망가뜨리고 전쟁을 일으키는 방법

스턱스넷(Stuxnet)은 대단히 정교한 컴퓨터 웜으로, 기존에 알려진 여러 가지 윈도우 제로데이 취약점을 이용해 컴퓨터를 감염시키고 확산된다. 목적은 단순히 PC를 감염시키는 것이 아니라 물리적인 피해를 입히는 데 있다. 구체적으로, 스턱스넷은 핵무기와 원자로를 가동하는 농축 우라늄을 생산하는 데 사용되는 원심분리기를 타격한다. 스턱스넷은 2010년 정보보안 커뮤니티가 처음 발견했지만, 개발은 2005년부터 시작된 것으로 추정된다. 엄청난 확산 능력과 광범위한 감염율에도 불구하고 우라늄 농축에 관여하지 않는 컴퓨터에는 거의 해를 입히지 않는다. 일단 컴퓨터를 감염시키면 그 컴퓨터가 지멘스(Siemens)에서 제조한 특정 PLC(Programmable Logic Controller)에 연결되어 있는지 여부를 확인한다. PLC는 컴퓨터가 산업용 장비와 상호작용하고 이를 제어하는 데 사용된다. 문제의 PLC에 연결된 것을 확인하면 스턱스넷은 PLC의 프로그램을 변경하여 원심분리기가 장시간 동안 지나치게 빠른 속도로 회전하게 하고, 이로 인해 장비는 고장 나거나 파괴된다. 이 과정이 진행되는 동안 PLC는 컨트롤러 컴퓨터에 모든 부분이 정상 가동 중이라고 알리므로 문제를 알아차릴 때면 이미 너무 늦은 시점이 된다. 스턱스넷 제작자 스턱스넷을 만든 주체는 미국과 이스라엘의 정보 당국이라는 것이 중론이다. 스턱스넷 웜을 개발하기 위한 기밀 프로그램은 “올림픽 게임 작전(Operation Olympic Games)”이라는 코드명으로 불렸다. 조지 W. 부시 대통령 시절 시작돼 오바마 정부에까지 이어졌다. 두 정부 모두 스턱스넷 개발을 공식적으로 인정한 적은 없지만 2011년 이스라엘 방위군 참모총장 가비 아슈케나지의 은퇴 기념식 동영상을 보면 스턱스넷을 재임 시절 성공적 작전 중 하나로 거론하는 장면이 나온다. 스턱스넷을 개발한 개별 엔지니어들은 확인되지 않았지만 이들이 매우 뛰어난 기술을 갖췄으며 그 수도 많다는 것을 알 ...

악성코드 이스라엘 2017.08.24

“5% 사각지대를 막아라” 시그니처 없는 미래형 엔드포인트 보안 전략 - IDG Video Talk Show

<본 콘텐츠를 다운로드 받으신 분들 중 추첨을 통해 스타벅스 커피 기프티콘을 드립니다.(30명)> 산업화된 보안 공격의 기세가 심상치 않다. 기업을 대상으로 한 표적 공격에 보안에 무관심하지 않은 기업도 공격을 막아내는 것이 녹록치 않은 상황이다. 최근 국내에서는 호스팅 업체 한 곳이 랜섬웨어에 당해 서비스가 중단되는 초유의 사태가 발생하기도 했다. 이번에도 문제의 핵심에는 엔드포인트와 취약점이 있었다. 악성코드와 취약점, 그리고 이를 악용하는 공격은 전혀 새로운 것이 아님에도 여전히 현존하는 위협이라는 점이 기업의 불안을 부추기고 있다. 끊이지 않는 보안 위협의 근본적인 원인에 대해 살펴보고, 기존 엔드포인트 솔루션의 약점과 이를 보완해 좀 더 완벽한 엔드포인트 환경을 구현하는 방법도 알아 본다. 주요 내용 - 변화하는 보안 위협과 공격 목표 - 취약점과 익스플로잇 - 새로운 과제 : 익스플로잇 차단 - 소포스 인터셉트X의 3단계 방어 - 차세대 엔드포인트 솔루션과 인터셉트 X - 소포스의 엔드포인트 보안 전략

맬웨어 악성코드 취약점 2017.08.18

머신러닝과 가시성 확보를 통한 지능형 위협 대응 전략 - IDG Video Talk Show

<본 콘텐츠를 다운로드 받으신 분들 중 추첨을 통해 CGV 영화티켓(2인권)을 드립니다.(20명)> 사이버 범죄자들의 공격 수법이 날로 지능화되고 있다는 것은 이미 잘 알려진 사실이다. 금전적인 이들을 노리는 해커들은 가능한 모든 방법을 동원한다고 해도 과언이 아니다. 이 때문에 지능형 보안 위협에 대응하는 보안 업계의 움직임 역시 분주하다. 지능형 보안 위협에 대응하는 좀 더 효과적인 방안으로써 공격과 위협의 흐름에 대한 가시성 확보와 최근 기술 업계 최대 화두인 머신러닝 기반 보안에 대해 알아본다. 특히 안랩의 머신러닝 기술인 퀀텀 러닝을 적용한 실제 사례와 그 효과를 살펴본다. 주요 내용 - 악성코드와 랜섬웨어 현황 - 악성코드의 확산 경로와 공격 기법의 진화 - 공격과 위협에 대한 가시성의 중요성 - 머신러닝 기반 보안 기술의 이해 - 머신러닝 기술 적용 사례와 효과 

악성코드 안랩 가시성 2017.08.16

“어느 것이 더 안전할까?” 안드로이드 vs. iOS 보안 집중 비교 분석

오늘날 모바일 운영 체제 시장은 안드로이드와 iOS라는 두 거인에 의해 양분돼 있다. 모바일 기기란 그것을 비즈니스 용도로 이용할 경우 불가피하게 일정 규모 이상의 보안 리스크를 내재하고 있으며, 일반적으로 안드로이드가 악성코드 공격의 훨씬 만만한 타깃이 되는 것으로 알려져 있다. 그럼에도 지난 몇 년 사이 안드로이드 기반의 모바일 비즈니스 기기 수는 급격한 증가세를 기록하고 있고, 기업들에게는 해당 플랫폼과 관련한 리스크를 최소화 할 전략을 고민해야 하는 과제가 주어지게 됐다고 산업 연구 기관 J. 골드 어소시에이트(J. Gold Associates)는 설명한다. J. 골드 어소시에이트의 수석 애널리스트 잭 골드는 “안드로이드 보안 문제의 기본 원인은 이 운영체제가 오픈소스 방식이라는데 기인한다. 누구나 안드로이드의 내부 구조를 뜯어볼 수 있는 것이다. iOS에서는 불가능한 일이다. 예를 들어 LG 스마트폰 사용자라면, 휴대전화의 운영체제를 원하는 데로 수정해보는 시도를 진행할 수 있다. 그리고 이 과정에서 실수를 일으킨다면, 그 실수는 잠재적 취약성으로 변모할 것이다. 그리고 지금 같은 시대에는, 누군가 그 취약성을 찾아내는 것이 절대 비현실적인 상상이 아니다”라고 설명했다. 개발자들이 안드로이드 기반 앱에 적용하는 작은 조정만으로도 보안 구멍이 생길 수 있다는 것이 골드가 지적하는 부분이다. 골드는 “메시지 앱의 UI를 바꾸는 작은 조정만으로도 우리가 알아채지 못하는 취약점이 생겨날 수 있다. 이는 오픈 코드의 피할 수 없는 운명이며, 테스트를 진행하기 전에는 절대 그 문제를 발견할 수 없다”라고 말했다. 반대로 애플의 iOS는 개발자들의 역할 범위를 한결 강력하게 통제한다. 우선 소스 코드가 절대 배포되지 않는다. 기본적으로 안드로이드 폰에 비해 탈옥이 한층 어렵게 되는 부분이다. 골드는 애플은 개발자와 사용자들에게 모든 종류의 제약을 가하고 있으며, 그들의 모든 활동을...

맬웨어 악성코드 안전 2017.08.14

3만 달러 보석내고 풀려난 워너크라이 영웅, 크로노스 악성코드 혐의 부인

인터넷에서 영웅이 된 마커스 허친스가 미국에 와서 체포됐다. 데프콘이 끝난 후, 미국 FBI는 영국 출신의 보안 연구원인 마커스 허친스를 체포했다. 이는 보안 커뮤니티를 송두리째 흔드는 사건이다. 일명 멀웨어테크(MalwareTech)라는 별명을 가진 허친스는 뱅킹 트로이목마인 크로노스를 만든 혐의로 8월 2일 체포됐다. 올해 초, 허친스는 워너크라이 랜섬웨어 킬 스위치(kill switch)를 찾아 제보하면서 인터넷에서 영웅이 됐다. 그의 보석금은 3만 달러로 책정됐지만 주말동안 감옥에서 보냈다. 이는 금요일 시청이 문을 닫기 전까지 보석금을 낼만한 시간이 충분치 않았기 때문이다. 7일 석방된 허친스는 GPS 모니터링 아래 미국에 남아 위스콘신 주에서 총 6건의 소송에 직면해 있다. 허친스는 크로노스 악성코드를 만들어 판 혐의를 받고 있다. 그는 컴퓨터 사용이 허용되지 않으며, 인터넷에 접속할 수 없다. 미국 검찰은 2014년 7월에서 2015년 사이에 허친스가 크로노스 악성코드를 제작, 광고, 배포, 그리고 수익을 창출했다고 주장했다. 다른 피고인도 기소장에 이름을 올렸지만, 그 이름은 수정됐고, 아직 검거되지 않았다. 공동 피고인은 크로노스를 다크넷 시장인 알파베이(AlphaBay)에서 판매한다고 홍보했다. 미국 검찰은 크로노스를 보여준 한 동영상에서 공동 피고인이 이 트로이목마를 3,000달러에 팔기 위해 웹사이트에 공개적으로 게시했다고 밝혔다. 검찰은 잠복요원이 비밀리에 허친스와 그의 공범자로부터 해당 코드를 2,000달러에 구매했다고 라스베가스 법원에 전했다. 미국 검사 댄 카우힉은 허친스가 경찰 조사에서 자백했다고 말했다. 카우힉은 "허친스는 크로노스 악성코드 저작자임을 인정하고 판매한 것을 시인했다"고 밝혔다. 미 검찰은 허친스가 해당 판매로 인한 수익금을 제대로 분배하지 못한 점을 불평하는 채팅 기록을 갖고 있다고 주장했다. 또한 검찰은 허친스가 공공에게 끼치는 위험을 제기하고 ...

악성코드 체포 FBI 2017.08.08

"악성코드 속 언어 분석을 통해 사이버공격의 배후를 알아낸다"…파미다 라시드

최근 사이버공격의 배후에 누가 있는지 알아내는데 언어학자들이 나서고 있다. 때로는 말하는 방법이 중요할 때가 있다. 특히 사이버공격을 당했을 때 사법당국은 범인을 파악하기 위한 수단으로써 중요하다. CSO 선임기자 파미다 라시드는 사이버보안 업체가 악성코드 뒤에 있는 악의적인 행위자를 추적하는 방법에 대해 살펴봤다. 라시드는 언어학이 기업의 데이터를 보호하는 데 직접적인 도움을 주진 않지만 공격의 근원을 정확히 찾아내는데 도움을 줄 수 있다고 말했다. 라시드는 2014년 소니 공격, 새도우브로커(ShadowBroker) 및 구시퍼(Guccifer) 2.0을 비롯한 다양한 공격을 조사하기 위해 언어 분석(Linguistics analysis)을 사용했다. 이를 통해 랜섬웨어 공격의 배후에 숨은 인물을 식별하는데 도움이 될 수 있다고 예상했다. 예를 들어, 플래시포인트(Flashpoint) 분석가들은 워너크라이(WannaCry)의 몸값 요구를 위해 작성한 문서를 분석한 결과, 원래 영어로 작성된 문장에서 불가리아어, 프랑스어, 독일어, 이탈리아어, 일본어, 한국어, 러시아어, 스페인어, 베트남어로 번역한 것임을 확인했다. 연구원들은 코인볼트(CoinVault) 랜섬웨어의 경우, 원래 네털란드어로 작성됐음을 알려주는 네덜란드에서만 사용되는 완벽한 구문을 발견했다. 랜섬웨어는 공격자가 몸값 요구 문서를 쓸 때 음성 패턴이 텍스트에 나타나기 때문에 언어 분석에 적합하다. 더 많은 텍스트들이 분석되어야 정확해진다. 합법적이라고 속여야 하는 스팸이나 피싱 메시지와는 달리, 랜섬웨어 메시지는 작성자가 어떤 언어가 가장 편안했는 지에 대한 단서를 숨겨야 한다. 라시드에 따르면, 언어학자들은 특정 구문이나 심지어 단어 자체만으로도 공격자에 대해 알 수 있다. 이는 특히 워너크라이처럼 피해자가 공격자로부터 메시지를 받는 랜섬웨어에 해당하며, 메시지에는 숨겨진 단서가 있을 수 있다. 일리노이 공과대학 컴퓨터 과학 교수 슈로모 아가몬과 같은 언어...

악성코드 언어학 언어분석 2017.07.13

IDG 블로그 | 클라우드가 더 안전한 이유를 보여주는 최신 사이버 공격

최근 몇 년 동안 대형 클라우드 서비스 업체가 악성 코드 공격에 피해를 본 적은 없다. 지난 주 페트야 사이버 공격으로 우크라이나부터 미국까지 수많은 컴퓨터가 감염됐다. 지난 달 일어난 워너크라이 랜섬웨어 공격과 비슷했다. 워너크라이 랜섬웨어는 구버전 윈도우의 취약점을 이용했고, 이 때문에 감염이 널리 퍼졌다. 피해자들은 악성 링크를 클릭한 것만으로 감염됐는데, 패치와 업데이트를 설치하지 않았기 때문이다. 이런 공격은 클라우드가 컴퓨팅을 하기에 더 안전한 환경이라는 것을 다시 한 번 생각하게 한다. 최근 몇 년 동안의 연이은 보안 공격으로 기업 IT 부서는 전체론적 보안에 대해 좀 더 적극적으로 대응하게 됐다. 이런 공격은 보안이 전체적이지 않은 곳, 쉽게 말해 패치를 제대로 적용하지 않은 시스템이 있는 환경에서 성공한다. 하지만 한편으로는 이렇게 널리 퍼진 보안에 대한 우려로 많은 IT 부서가 신기술 도입을 미루고 있다. 클라우드 컴퓨팅도 이런 기술 중 하나라고 할 수 있는데, 뭔가 새로운, 특히 다른 사람이 관리하는 무엇인가는 IT를 더 취약한 것으로 만들 것이라는 관념이 있다. 사실은 정반대다. 퍼블릭 클라우드를 사용하면 공격을 더 적게 받고 정보가 유실될 위험도 줄어든다. 클라우드의 보안 계층은 대부분 사이버 공격을 방어하는 이상의 역할을 한다. 클라우드 서비스 업체는 자사 클라우드를 선제적으로 모니터링하고, 보안 공격을 신속하게 탐지해 즉각적으로 차단한다. 또한 운영체제와 애플리케이션, 서비스에 보안 패치와 수정을 자동으로 적용한다. 이런 작업을 클라우드 서비스 업체만큼 하는 기업은 극히 드물다. 이렇게 하기에는 보안 비용이 너무 많이 들며, 이 때문에 시스템을 중단시키는 워너크라이나 페트야 같은 악성코드를 방어하는 데 필요한 것이 무엇인지 알면서도 제대로 구현하지 못하는 것이다. 기업은 이런 공격이 발생했을 때 그저 ‘제자리걸음’을 해서는 안되며, 시스템과 보안의 상태 전반에 대해 거울...

악성코드 랜섬웨어 페트야 2017.07.05

악성코드 분석가가 되기 위해 필요한 것

랜섬웨어 공격의 증가는 악성코드가 여전히 조직에게 중대한 사이버 범죄 문제임을 보여준다. 이 문제에 대처하는 데 가장 적합한 전문가는 바로 악성코드 분석가다. 정보 보안 전문가 채용업체 블랙미어 컨설팅(Blackmere Consulting) 대표 도미니 클락은 "사이버 보안 사고는 세계적으로 증가 중이다. 최근 눈에 띄는 사례는 워너크라이(WannaCry) 랜섬웨어 공격이다. 숙련된 악성코드 전문가에 대한 수요가 늘면서 인재 공급이 따라가지 못하고 있다"고 말했다. 클락은 "구인 시장에서 '악성코드 분석가'라는 직책에 맞는 사람을 구하는 기업이 늘고 있다. 그 외에 보안 컨설턴트, 리버스 엔지니어, 위협 연구원을 포함해 이 작업과 관련된 다른 직책도 있다"고 말했다. 클락은 이런 역할의 대부분은 기업 환경보다는 보안 컨설팅 업체, 보안 제품 기업, 정부 계약 업체 등에 분포돼 있다고 말했다. 그러나 대규모 조직의 경우는 예외적이다. 클락은 "기업 환경에는 동적인 위협과 보조를 맞출 리소스가 없거나 악성코드 분석 전담 팀을 운영할 비용을 정당화할 수 없는 경우가 많다. 이들이 선택하는 대안은 벤더에 의존하는 것이다"고 말했다. 클락은 다른 정보 보안 기술 분야와 마찬가지로 악성코드 분석가 역시 상당히 부족하다고 말했다. 지난 2년 동안의 미국 전역 데이터를 추출하는 커리어빌더(Careerbuilder)의 데이터 포털을 사용해 '악성코드 분석가' 수요와 공급을 검색하면 구인 공고는 1,726건이고 '활동 중인' 후보자는 52명에 불과하다. 전자제품 회사 레이디온(Raytheon)의 브라이언 로갈스키를 비롯해 악성코드 분석가 기술을 보유한 인력이 주로 하는 일은 최신 악성코드 공격을 연구하는 것이다. 로갈스키는 어렸을 때부터 컴퓨터를 좋아했으며 고등학교 시절 시행착오를 거치며 첫 컴퓨터를 조립했다고 말했다. 로갈스키는 "어릴 때부터 이...

악성코드 분석가 2017.06.19

글로벌 칼럼 | 칩 해킹이 만연해질 '6가지 이유'

하드웨어에 삽입된 코드가 취약점을 가지고 있다면 패치하기가 어렵다. 해커들에게는 탐스러운 먹잇감이다. Credit: Getty Images Bank 최근의 인텔(Intel) 펌웨어 취약점 사건으로 인해 수개월 전 쓰려했던 글감이 생각났다. 핵심은 펌웨어와 칩은 해킹이 가능하다는 것이다. 이들(또는 이와 관련된 컨트롤러 칩들)은 보안 결함이 포함된 소프트웨어 명령을 포함하고 있다. 단지 패치가 더 어려울 뿐이다. 그렇다. '칩과 펌웨어는 패치가 더 어려운 소프트웨어다.' 이런 이유 때문에 그리고 다른 여러 이유로 인해 앞으로 펌웨어와 하드웨어 계층을 대상으로 한 해킹이 더욱 빈번하게 발생할 것으로 예상된다. 1. 칩 수준의 보안 움직임이 강화된다 TCG(Trustworthy Computing Group)의 이니셔티브로 말미암아 컴퓨터 보안이 점차 칩 수준에서 이뤄지고 있는 중이다. 거의 모든 컴퓨터에 내장되어 있는 TPM(Trusted Platform Module) 칩, OPAL 자체 암호화 하드 드라이브, UEFI(Unified Extensible Firmware Interface), 인텔의 VT-x(Virtualization Technology)와 AMD의 AMD-V(Virtualization) 같은 하드웨어 기반의 하이퍼바이저(Hypervisor), 칩 개발업체와 제조업체들이 제공하는 무수히 많은 칩과 펌웨어 중심의 기술 등으로 이런 노력이 시작됐다. 보안이 점차 칩 수준에서 시작되고 있으며, 하드웨어 기반 보안은 DG(DeviceGuard), CG(Credential Guard), AG(AppGuard) 등 강력한 최신 기술의 근간이 되고 있다. 대부분의 운영체제와 칩 개발업체들은 앞으로 더 많은 하드웨어 중심적인 보안을 제공할 것으로 예상된다. 하드웨어 기반 보안이 성장하는 주된 이유는 컴퓨팅 사이클에서 보안을 더욱 일찍 적용할 수 있기 때문이다. 보안이 전자 부품에 가까울수록 해커와 악성코드(Malw...

악성코드 펌웨어 보안 2017.05.31

IoT 악성코드 '페르시라이', 알려진 결함 통해 12만 대 IP 카메라 노린다

10만 대가 넘는 인터넷 연결 카메라가 최근 IoT 악성코드에 당할 수 있다. 이 악성코드는 최근 공개된 제품의 취약점을 통해 확산되고 있다. Credit: Magdalena Petrova 트랜드마이크로 보안연구원은 페르시라이(Persirai)라는 악성코드가 지난달부터 중국산 무선 카메라를 감염시키고 있다고 밝혔다. 카메라 내에 결함을 악용하는 이 악성코드는 3월에 한 보안 연구원에 의해 발견돼 보고된 바 있다. 트랜드마이크로 보안연구원 피에르 김은 공격자는 이 취약점을 이용해 카메라를 원격으로 실행하고 효과적으로 데이터를 가로챌 수 있음을 발견했다. 이 연구원은 이 중국 제조업체가 생산한 카메라 모델 가운데 최소 1,250개의 제품이 이 버그를 갖고 있다고 주장했다. 트렌드마이크로는 4월 말에 공개된 결함을 통해 동일 제품에 악용함으로써 확산시키는 새로운 악성코드를 발견했다. 트렌드마이크로 글로벌 위협 커뮤니케이션 이사 존 클레이는 "이 취약점을 이용한 이들이 취약점을 이용하는 방법을 잘 알고 있음을 보여주고 있다"고 말했다. 트렌드마이크로는 인터넷 연결 하드웨어 검색엔진인 쇼단(Shodan)을 기반으로 찾아낸 약 12만 대의 카메라가 악성코드에 취약하다고 추정했다(국내에는 이 가운데 3%인 3,600대의 카메라가 들어온 것으로 추정된다. 편집자 주). Credit: Trend micro  페르시라이 악성코드는 카메라를 감염시켜 봇넷을 형성하거나, 노예가 된 컴퓨터 부대를 형성한다. 이 봇넷은 DDoS 공격을 실행할 수 있다. DDoS 공격은 인터넷 트래픽이 있는 웹사이트들의 가용한 트래픽을 압도해 강제적으로 오프라인 상태를 만들 수 있다. 페르시라이에 감염되면 우선 다른 공격자가 해당 기기에 동일한 취약점을 악용하는 것을 차단한다. 보안업체인 치후(Qihoo) 360도 이 악성코드를 발견했으며, 중국에서 4만 3,621대의 기기가 감염된 것으로 추산했다. 페르시라이는 DVR...

악성코드 IOT 페르시라이 2017.05.10

NSA 스파이웨어 탐지 무료 툴 등장…감염 기기 10만 대 발견

보안 전문업체 카운터셉트(Countercept)의 보안 연구원 루크 제닝스가 지난 주 해커 집단 셰도우 브로커에 의해 일반에 공개된 스파이웨어에 대응하는 스크립트를 만들어 공개했다. 이 스크립트는 더블펄서(Doublepulsar)라는 스파이웨어가 심어져 있는지 탐지한다. 스크립트를 사용하기 위해서는 약간의 프로그램이 기술이 필요하며, 현재 깃허브에 올라와 있다. 몇몇 보안 연구원은 제닝스의 스크립트를 이용해 감염된 기기가 얼마나 되는지 인터넷을 검사했다. 결과는 편차가 컸는데, 3만 대에서 10만 대의 컴퓨터가 이 스파이웨어에 감염된 것으로 나타났다. 침입 테스트 업체인 빌로우제로데이(Below0Day)는 트위터를 통해 국가별 감염 정도를 공개했는데, 미국이 1만 1,000대로 가장 많았다. 그 외에 영국, 대만, 독일이 1,500대 정도였다. 제닝스는 이들 기기가 언제 더블펄서에 감염됐는지는 알 수 없다고 밝혔다. 하지만 NSA의 스파이웨어가 공개된 것이 벌써 지난 주이기 때문에 발 빠른 해커라면 이미 이를 악용할 수 있는 충분한 시간이다. 한편 제닝스는 더블펄서가 인터넷을 통해 컨트롤 서버와 통신하는 방법을 분석해 이번 스크립트를 개발했다고 밝혔다. 하지만 제닝스의 원래 의도는 기업들이 자사 네트워크에 대해 스파이웨어를 탐지하는 데 이용하는 것이지 인터넷 전체에 대한 검사하는 것은 아니었다. 하지만 아직 제닝스의 스크립트가 잘못 됐다는 증거를 제시한 사람은 없다. 포보스 그룹 CEO 댄 텐틀러는 이 스크립트의 정확성을 조사했다. 텐틀러는 이미 수작업으로 감염이 확인된 기기 50대에 대해 스크립트를 사용해 봤는데, 50대 모두 스크립트를 통해서도 감염된 것으로 확인됐다. 텐틀러는 “스크립트가 좋지 않다면, 검사를 많이 하면 몇 개 정도는 오탐이 생기기 마련이다. 하지만 이 스크립트로는 아직 오탐을 발견하지 못했다”라고 밝혔다. 보안 연구원들이 더블펄서 검색 결과의 정확성을 확인하는 데는 시간이 좀 더 걸릴...

악성코드 해커 스파이웨어 2017.04.24

글로벌 칼럼 | 서드파티 보안 실패에서 은행이 배워야할 것들

가장 효과적인 사이버 공격은 우리가 취하는 보안 조치들을 피해가고 있다. 우리는 항상 과거에 발생했던 공격에 대응하고 있으며, 우리의 조치가 실패할 수 있는 가능성에 대해서는 거의 생각하지 않는다. Credit: pixabay 가능성은 항상 존재한다. 첨부파일을 통해 악성코드(Malware)가 들어오는 경우를 보자. 우리는 직원들이 모르는 사람이 보낸 첨부파일을 열지 않도록 메모를 보낸다. 사이버 범죄자들은 이것을 보고 피싱(Phishing)을 이용해 수신인의 가까운 동료가 보낸 것처럼 보이는 이메일에 첨부파일을 보낸다. 그러면 우리는 예상치 못한 첨부파일을 열지 말라고 직원들에게 경고한다. 그러면 공격자들은 첨부파일 경고를 기다렸다가 공격을 개시한다. 최근 브라질의 한 은행에 대한 공격을 살펴보자. 전략적으로 오타에 배치한 사이트가 사용자에게 원하는 사이트를 정확하게 찾아 방문하라고 경고하고 있으며, 특히 뱅킹 사이트의 경우에는 더욱 중요한 문제다. 물론, 공격자들은 우리가 조심하도록 교육을 받았다는 사실을 알고 있다. 그래서 브라질의 사이버범죄자들은 은행을 공격할 때 해당 은행의 DNS 공격자를 먼저 공격했다. 이를 통해 그들은 해당 은행의 도메인에 대한 유효한 디지털 인증서를 구매할 수 있었다. 그리고 나서 그들은 은행을 공격해 백신 앱을 비활성화하는 악성코드를 심었다. 이 공격을 자세히 다룬 다크 리딩(Dark Reading)의 기사에서는 다음과 같이 밝혔다. "해당 은행의 온라인 서비스에 접근하는 고객들은 트러스티어(Trusteer) 뱅킹 보안 플러그인 애플리케이션으로 가장한 악성코드의 공격을 받았다. 해당 악성코드는 로그인 크리덴셜(Credential), 이메일, 연락처 목록, 이메일 및 FTP 크리덴셜을 수집했다." 해당 은행과 DNS 제공업체는 분명 실수를 저질렀다. 실수는 훌륭한 학습 방법이며, 타인의 실수는 더욱 그렇다. 우선, 해당 은행은 DNS 제공업체의 이중 인증 사용을 거부했다. 이...

악성코드 은행 서드파티 2017.04.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.