Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

파괴적 행동을 하는 IoT 악성코드 등장과 IoT 기기 구매시 보안 검증 방법

해커들이 사물인터넷(Internet-of-things, IoT)와 기타 임베디드 기기를 감염시키도록 설계된 악성코드에 데이터 삭제 기능을 추가하기 시작했다. 최근 관찰된 2개의 악성코드 공격은 이런 삭제 행위를 보여줬지만 각자 다른 목적으로 사용됐을 가능성이 있다. Credit: Gerd Altmann/ Pixabay 팔로알토 네트웍스 연구원들은 1년 전 취약점을 통해 DVR(Digital Video Recorders)을 감염시키는 새로운 악성코드 프로그램인 암네시아(Amnesia, 기억상실)를 발견했다. 암네시아는 쓰나미(Tsunami)라 부르는 구형 IoT 봇넷 클라이언트의 변형이지만, 흥미로운 점은 가상화된 환경에서 실행 중인지를 탐지하려고 시도한다는 것이다. 이 악성코드는 실행중인 리눅스 환경이 실제 환경인지, 버추얼박스(VirtualBox), VM웨어(VMware), QEMU 등을 기반으로 한 가상머신에서 실행하는 것인 지를 확인하기 위해 몇가지 검사를 수행한다. 이런 가상 환경은 보안 연구원들이 일반적으로 사용하는 분석 샌드박스 또는 허니팟(honeypots)을 만드는데 사용된다. 가상머신 탐지 기능을 가진 윈도우 악성코드는 수년 전부터 존재해 왔다. 하지만 이 기능이 리눅스 기반의 임베디드 기기용으로 만들어진 악성코드에서 관찰된 것은 처음이다. 암네시아가 가상머신의 존재를 탐지해낸다면 수집한 증거를 없애기 위해 리눅스 “rm –rf”(연결된 모든 드라이브의 파일을 삭제하는 유명한 명령어)를 사용해 파일 시스템에서 중요한 디렉토리를 지우려고 시도한다. 한편 보안서비스 제공업체인 라드웨어(Radware)의 연구원은 IoT 기기를 대상으로 한 브리커봇(BrickerBot)이라는 다른 악성코드 공격을 발견했다. 이 공격은 감염된 라우터와 무선 액세스 포인트로부터 다른 리눅스 기반의 임베디드 기기에 시작된다. 이 악성코드는 텔넷 서비스가 실행 중이며, 인터넷에 노출되어 있는 기기들을 ...

악성코드 IOT 암네시아 2017.04.10

“악성코드 중 30%는 레거시 안티바이러스가 놓친 제로데이”

현재 악성코드의 30%가 전통적인 안티바이러스가 놓친 제로데이 악성코드라는 연구 결과가 나왔다. 워치가드 테크놀로지(WatchGuard Technologies)가 발표한 분기별 인터넷 보안 보고서에 따르면, 2016년 4분기에 ‘새로운 것’ 혹은 ‘제로데이’로 분류된 악성코드 중 30%가 레거시 안티바이러스 솔루션에서 탐지하지 못한 것들이다. 보고서는 워치가드 UTM 어플라이언스 2만 4,000개에서 수집한 데이터에 기반하고 있으며, 이들 어플라이언스가 2016년 4분기에 탐지한 악성코드는 총 1,870만개다. 그중에서 전통적인 시그니처 기반 안티바이러스 솔루션이 탐지한 악성코드는 896만 6,040개이지만, 새로운 행동기반 악성코드 보호 서비스는 386만 3,078개의 악성코드를 더 잡아냈다. APT(advanced threat prevention) 솔루션을 보유하지 않은 기업들은 악성코드의 3분의 1을 놓칠 수 있다는 것이 워치가드의 설명이다. 이밖에, 워치가드는 보고서에서 오래된 공격 유형이 여전히 기승을 부리고 있다고 지적했다. 악성 마크로가 포함된 워드 문서나 웹 서버를 하이재킹하는 악성 웹 셸 등이다. 또한 워치가드는 대부분의 네트워크 공격이 웹 서비스나 브라우저를 대상으로 하고 있으며, 특히, 웹 브라우저 공격의 73%가 드라이브 바이 다운로드(drive-by-downloads)라고 지적했다. 워치가드의 보고서는 웹사이트에서 전문을 확인할 수 있다. editor@itworld.co.kr

맬웨어 악성코드 안티바이러스 2017.04.06

랜섬웨어 피해를 예방하고 극복하기 위한 ‘전투 계획’

랜섬웨어는 보통 악성코드처럼 PC에 슬금슬금 침입하지 않는다. 불쑥 들어와, 데이터에 총을 겨누고 현금을 요구한다. 그리고 스스로를 방어하는 방법을 배우지 않으면 계속해서 반복이 된다. 정보 슈퍼고속도로를 질주하는 디지털 무장 강도이다. 액션 영화 속 이야기처럼 들릴지 모르겠지만, 통계는 사실임을 알려준다. 랜섬웨어 공격은 2015년 380만 건에서 2016년 6억 3,800만 건으로 증가했다. 소닉월(Sonicwall)에 따르면, 악성코드 공격은 감소했지만 랜섬웨어는 연간 167배가 증가했다. 그냥 현금을 요구할 수 있는데 데이터를 훔칠 이유가 없다. 샌프란시스코에서 열린 RSA 보안 컨퍼런스에서는 사상 처음 공격 표적, 요구 받는 금액, 랜섬웨어를 차단하고 제거하는 방법, 데이터를 인질로 잡은 악당들과 협상하는 방법 등을 자세히 소개한 하루 일정의 종합적인 랜섬웨어 세미나가 개최됐다. 우리는 랜섬웨어에 대응하는 전략을 수립할 때 사용할 수 있는 수 많은 정보를 얻었다. 아픈 곳을 공격하는 랜섬웨어 - 준비하라! 3년 전, 필자 아내의 컴퓨터가 랜섬웨어 공격을 받아 아기 사진, 세금 관련 자료, 기타 개인 데이터가 위험에 노출됐다. 맥이 풀렸다. 우리의 디지털 일생을 잃지 않기 위해 수백 달러를 지불해야 할까? 다행히 그럴 필요는 없었다. 전문가들이 추천한 모든 단계적 방법을 실천했기 때문이다. 첫째, 적을 이해해야 한다. 인텔 시큐리티(Intel Security) EMEA 사업 부문의 라즈 사마니 최고 기술 책임자에 따르면, 현재 랜섬웨어는 400여 종이다. 이중에는 맥OS와 리눅스를 표적으로 삼는 랜섬웨어도 있다. 다토(Datto)의 조사에 따르면, 시한장치 암호화로 개인 문서를 인질로 잡는 크립토로커(CryptoLocker)가 가장 많다. 그러나 공격 방법이 다양하다. 예를 들어, 센티넬원(SentinelOne)의 보안 전략 책임자인 제레미아 그로스먼에 따르면, 웹캠으로 창피한 순간을 녹화한 후, 온라인에 올리겠다고 위협하는 랜섬...

악성코드 PC 방어 2017.03.15

전문가들이 가장 두려워하는 보안 위협 7가지

악당들이 한 겨울에 난방기를 끈 후, 다시 켜는 조건으로 1,000달러를 요구한다면? 더 나아가 작은 도시의 전기를 '인질'로 사이버 몸값을 요구한다면? RSA 2017 컨퍼런스의 발표자로 나선 SANS 인스터튜트(SANS Institute) 보안 전문가들은 개인, 기업, 인프라 기술을 표적으로 하는 이런 종류의 공격들에 대한 우려가 가장 높다고 말했다. 이 중에는 소비자가 직접적인 표적인 위협도 있다. 또 기업이 표적이지만, 시간이 지나 소비자에 파급되는 위협도 있다. SANS에 따르면, 다음은 가장 위험한 공격 벡터 7개와 대응하는 방법이다. 1. 랜섬웨어 : 랜섬웨어는 20년 전 처음 등장한 후 아주 무서운 악성코드로 진화했다. 파일을 암호화한 후, 이를 해제하고 싶다면 돈을 내라고 협박하는 암호형 랜섬웨어를 말하는 것이다. 악당들에게 아주 좋은 공격 방법이다. SANS 인스터튜트의 에드 스쿠디스에 따르면, 바이러스처럼 확산되고, 데이터를 잠그고, 범죄자에게 연락해 '사이버 몸값'을 지불하도록 강요하기 때문이다. 할 수 있는 일 : 시스템을 패치하고 안티맬웨어를 이용하고, 권한을 설정하고, 네트워크 액세스를 관리해 위험 노출을 없애는 '네트워크 위생'을 연습해야 한다. PC 1대가 감염된 후, 감염이 네트워크의 다른 PC로 확산되어서는 안 된다. 이런 랜섬웨어를 관장하는 것은 사람이라는 사실을 기억해야 한다. 스쿠디스는 "가능한 작은 회사, 가난한 회사로 보이는 것이 좋다. 지불할 사이버 몸값을 줄이기 위해서이다"고 덧붙였다. 2. 사물 인터넷. 소비자 제품이 진화하고 있다. 다음 단계의 진화는 '연결성'이다. 베이비 모니터 카메라에서 칫솔까지 모든 제품에 서로, 그리고 인터넷에 연결할 수 있는 무선 프로토콜이 이용되고 있다. 그러면서 해킹에 약한 취약점이 생겼다. 더 나아가, 미라이(Mirai) 웜 사태에서 확인됐듯, IoT 장치가 공격 플랫폼이...

봇넷 악성코드 RSA 2017.02.21

"러시아어는 미끼” 은행 공격한 해커, 라자러스 연관성 높아

최근 전 세계 금융기관을 대상으로 한 정교한 해킹 공격에서 해커가 조사기관들을 떼어내기 위해 자신들이 사용한 악성코드에 고의로 러시아어를 삽입한 것으로 드러났다. 사이버 보안 업체 BEA 시스템의 연구원들은 최근 31개국 104곳의 금융기관을 공격한 악성코드의 추가 샘플을 확보해 분석했는데, 악성코드 내의 명령어 여럿이 온라인 툴을 이용해 러시아어로 번역한 것으로 나타났다. 러시아 원어민이 사용하지 않은 말이었다. BAE 연구원들은 블로그 포스트를 통해 “어떤 경우는 부정확한 번역으로 단어의 의미가 완전히 바뀌어 버리기도 했다. 이는 이번 공격의 작성자가 러시아어 원어민이 아니며, 러시아 단어를 사용한 것은 가짜 표지인 것으로 보인다”라고 설명했다. 이런 비상식적인 행위는 조사기관을 잘못된 정보로 유인하기 위한 것일 가능성이 크다. 실제로 이 악성코드 샘플과 공격 전체가 라자러스(Lazarus)의 소행이라고 볼 수 있는 기술적인 증거들이 있다. 라자러스는 2009년부터 활동을 시작한 사이버 범죄 단체로, 한국과 미국의 여러 정부 기관과 민간 기업에 대한 다양한 공격을 일으켰다. 또 2014년 소니 픽처스 공격의 주범으로 알려져 있다. FBI와 미국 정보기관은 소니에 대한 공격은 북한에 의한 것으로 보고 있다. 라자러스는 또 지난해 방글라데시 중앙은행의 8,100만 달러 절취와도 연관되어 있는데, 이 공격에서 해커는 은행이 SWIFT 네트워크를 통해 송금하는 데 사용하는 컴퓨터를 조작하는 악성코드를 사용했다. 당시 해커는 총 9억 5,100만 달러를 이체하려 했지만, 트랜잭션은 실패했고 송금했던 금액도 해킹이 발견된 이후 원래대로 복구되었다. 이달 초에는 폴란드의 여러 은행이 공격을 당해 주목을 받았는데, 이 공격은 폴란드 금융감독기관의 감염된 웹 사이트가 관련된 것으로 알려졌다. BAE와 시만텍의 연구원들은 폴란드 은행에 대한 공격이 지난 10월부터 진행된 좀 더 큰 규모의 해킹 작전과 연결된 것으로 ...

악성코드 해커 러시아 2017.02.21

"불완전한 안드로이드 앱, 커넥티드 카를 위험에 빠트린다"…카스퍼스키

수백만 명의 자동차 소유자가 원격으로 차량을 찾고 잠금을 해제할 수 있는 안드로이드 앱을 사용하고 있지만, 이 앱에는 해커들의 변조를 방지할 수 있는 보안 기능이 없다. 카스퍼스키 랩의 연구원들은 다양한 제조업체의 커넥티드 카에 사용되는 가장 인기있는 7개의 안드로이드 앱을 해킹 관점에서 분석했다. 앱과 제조업체의 이름은 특정하지 않았다. 이 연구원들은 이런 앱들이 설치되어 있는 기기가 악성코드에 감염되면 공격자가 해당 기기를 가로채기 어렵게 만드는 대책을 사용하고 있는 지에 대해 조사했다. 뱅킹 앱과 같은 애플리케이션의 경우, 이런 보호 기능이 있었다. 이번 조사에서 테스트를 받은 어떤 애플리케이션도 공격자가 프로그램을 분석하는 것을 어렵게 만드는 코드 난독화를 사용하지 않았으며, 악의적인 조작을 방지하기 위해 코드 무결성 검사를 사용하지 않았다는 점이 드러났다. 2개의 애플리케이션은 로컬에 저장된 로그인 자격 증명을 암호화하지 않았고, 4개는 비밀번호만 암호화했다. 실행중인 기기가 루팅됐는지 확인하는 앱은 없었다. 이는 앱이 안전하지 않고 손상됐을 가능성이 있음을 나타낸다. 마지막으로 테스트된 모든 애플리케이션이 다른 앱이 화면 위에 덮어씌울 수 없도록 하는 오버레이 방지 기능을 사용하지 않았다. 악성코드 앱 중에는 사용자가 속임수에 넘어가 로그인 정보를 노출하도록 가짜 로그인 화면을 가짜 앱에 표시할 수 있다. 물론 커넥티드 카 앱을 해킹하는 것만으로는 직접 절도 행위를 할 수 있는 것은 아니다. 하지만, 절도 행위를 쉽게 할 수 있도록 도와준다. 대부분 이런 앱이나 앱들이 저장한 자격 증명들은 차량을 원격으로 잠금 해제하고 경고 시스템을 사용할 수 없도록 하는데 사용할 수 있다. 카스퍼스키 연구원은 한 블로그에서 "이 위험 요소가 단순한 차량 절도에 국한되는 것은 아니다"며, "자동차 접근 권한을 획득해 자체 요소를 변경하면 도로 사고를 일으켜, 부상 또는 사망에 이르게 할 수 있다&quo...

악성코드 커넥티드 2017.02.20

RSA 2017에서 보안 전문가들이 남긴 최고의 조언

RSA 행사는 수많은 보안 기술로 가득 차 있다. 업계 최고를 자랑하는 업체들이 참여해 랜섬웨어와 싸우고 데이터 유출을 막는 제품을 선보인다. 하지만 아무리 최고의 보안 소프트웨어라 해도 사용자와 기업이 자신을 방어하기 위한 올바른 단계를 밟지 않는다면, 무용지물이다. RSA에 참석한 보안 전문가들에게 자신들이 알고 있는 최고의 보안 팁은 무엇인지 물었다. 델 시큐어웍스(Dell Secureworks) 맬웨어 연구 담당 디렉터 조 스튜어트 스튜어트는 인터넷 계정, 특히 이메일을 보호하는 데 이중 인증을 사용할 것으로 모두에게 권했다. 이중 인증은 사용자의 로그인 패스워드를 훔치려는 해커를 막는데 매우 유용한데, 악성코드를 이용하거나 이메일 피싱 사기를 이용하는 해커 모두에 대응할 수 있다. 또한, 해커가 사용자의 패스워드를 간신히 가로챘다고 해도, 인중 인증은 가장 정교한 공격을 포함한 모든 공격을 막아준다. 사용자의 계정에 액세스하려면, 지문이나 휴대폰에서 전송된 텍스트 메시지 등 또 다른 형식의 인증이 필요하기 때문이다. 스튜어트는 “이중 인증은 이런 사기 행위 대부분을 차단한다. 은행 악성코드도 이중 인증은 간신히 피해 가는데, 이들 해커는 그 수준이 아니기 때문이다”라며, “이중 인증은 대부분의 기업 이메일 훼손을 바로 막아줄 것이다”라고 강조했다. 크라우드스트라이크(CrowdStrike) 기술 전략 담당 부사장 마이크 센토나스 기업들은 무턱대고 최신 보안 제품을 구매하기 전에 사이버 위협으로부터 보호해야 하는 회사의 자산이 무엇인지부터 먼저 생각해야 한다. 지켜야 할 자산은 직원일 수도 있고, 지적재산권일 수도 있고, 고객 데이터베이스일 수도 있다. 센토나스는 “누구나 뭔가 가치 있는 것을 가지고 있다”라며, “자신이 가진 가치 있는 것이 무엇인지 알아야 한다. 그리고 그 다음에 그것이 어디에 있는지, 누가 액세스하는지 알아야 한다&rdqu...

악성코드 RSA 피싱 2017.02.20

지난 수년간 전세계 강타한 파일리스 악성코드 공격과 대응 방안

최근 140개 이상의 은행, 통신, 정부 기관 네트워크에서 발견된 파일리스 악성코드 공격(Fileless malware attacks)은 현재 알려진 공격의 15%를 차지하며 지난 수년 간 다양한 형태로 존재했다. Credit: IDGNS 가트너 보안 분석가 아비바 리탄은 "파일리스 악성코드 공격은 훨씬 더 보편화되고 있으며, 오늘날 배포되는 대부분의 엔드포인트 보호 및 탐지 도구를 우회한다"고 말했다. 지난 8일, 러시아 소재의 카스퍼스키랩의 연구원은 파일리스 악성코드 최근 현황에 대한 보고서를 냈다. 카스퍼스키에 따르면, 이 공격자들은 식별되지 않았으며 누구라고 지명하는 것은 거의 불가능하다. 악성코드가 메모리에만 존재하고 대부분 숨겨져 있기 때문에 파일리스 악성코드 공격이라 부른다. 이 악성코드 공격은 알려지지 않은 사이버 도둑들에 의해 ATM와 고객 계정을 훔쳐내는데 사용됐다. 그러나 피해범위나 액수에 대해서는 알려진 바 없다. 이 최신 위협은 원래 익명의 은행 보안 팀에 의해 발견됐는데, 악성코드는 보안 감사 요청에 응답하는 일종의 서버인 이 은행 도메인 컨트롤러의 물리적인 메모리 내에서 존재했다. 이 악성코드에 감염된 은행과 다른 기관들은 모두 40개국에 걸쳐 있었으며, 그 가운데 가장 많은 피해를 입은 국가는 미국, 프랑스, 영국, 케냐, 에콰도르 등 5개국이었다. 카스퍼스키 측은 미국 내에서 21건의 공격이 발생했다고 전했다. 카스퍼스키 랩 연구원인 커트 봄가트너에 따르면, 공격의 목표는 완전히 밝혀지지 않았지만, 공격자는 ATM 기기의 돈을 받아들이는 은행 컴퓨터를 표적으로 했다. 리탄은 이메일을 통해 "도둑들은 ATM 기기에서 현금을 빼내고 계정에서 돈을 훔치는 것을 포함해 모든 종류의 공격에 파일리스 악성코드를 사용한다"며, "지난 2년동안 은행과 유통업체들에게서 발생한 금융 사고의 절반 이상이 이런 공격 기법을 사용했다"고 설명했다. ...

악성코드 카스퍼스키 파일리스 2017.02.10

포켓몬 고 등 유명 앱을 가장한 악성코드를 확인하는 방법

포켓몬 고(Pokemon Go) 사용자가 게임하는 동안 장애물을 피하기도 해야겠지만, 현재 그들 자신이 좋아하는 게임 앱이 자신의 폰에 악의적인 행동을 할 수 있는 가짜 앱인지 여부를 밝힐 수 있어야 한다. 모바일 보안업체인 짐페리움(Zimperium)은 사용자가 앱 스토어에 들어갔을 때 '내 앱/ 게임'에서 자신의 앱을 인지하고 있는 지 파악하라고 충고했다. 짐페리움 CTO 존 미켈센은 구글이나 애플과 같은 인증된 앱 스토어는 앱 보안을 강화하고 개선하기 위해 노력하고 있다. 이 2개의 마켓 플레이스는 앱을 검증하고 샌드박스화 할 수 있도록 보호 계층을 추가하지만, 크랙으로 인해 심각한 위험은 여전하며 새로운 가짜 앱들은 매일같이 등장한다. 예를 들어, 수개월 전, 중국 개발자의 로그 앱(Rogue App)이 노드스트롬(Nordstrom), 딜라드(Dillard), 자포스(Zappos.com)와 같은 대형 소매업체로 가장해 애플의 프로세스를 통과한 적이 있었다. 이 마르쉐(Marcher) 악성코드는 슈퍼마리오 런(Super Mario run) 게임 앱과 포켓몬 고처럼 위장했다. 또한 가짜 안드로이드 프리즘(Prisma) 앱은 피싱, 악성코드 사기 등을 실행하고 있다. 가짜 앱 대다수는 사진 편집 기능을 갖고 있지 않으며 사용자의 기기를 애드웨어와 악성코드에 감염시키는 것에 주력한다. 이 가짜앱은 구글 플레이가 삭제하기 전까지 150만 사용자가 이 앱을 다운로드했다. 굴리건(Gooligan) 악성코드는 서드파티 앱스토어를 통해 86개의 감염된 가짜 앱 가운데 하나를 다운로드하거나 이메일에 포함된 사기성 링크를 클릭하는 등 피싱 사기에 해당하는 것을 설치할 수 있다. 미켈센은 이런 가짜 앱들을 식별하는데 도움이 될만한 팁을 제공했다. - 서드파티 앱 스토어를 피하라 공식 앱 스토어에서만 앱을 다운로드하라. '알 수 없는 출처'의 다운로드는 허용해서는 안된다. 구글 플레이 외부에서 안드로이드 앱...

악성코드 포켓몬고 2017.02.06

리눅스 사용자가 악성코드에 대해 걱정해야 하는 이유와 대처 방법

컴퓨터를 사용하다 보면 악성코드 확산을 차단하거나 감염 이후 사태에 대처하는 것은 피할 수 없는 일이다. 윈도우를 향해 끊임없이 밀려드는 위협에서 벗어나기 위해 리눅스 또는 맥으로 옮겼다면 신선한 공기를 한껏 들이마실 수 있겠지만 그렇다고 무방비 상태로 가드를 내려서는 안 된다. 맥 OS X와 같은 유닉스 계열 시스템과 리눅스는 사용자 수가 적은 만큼 위협의 수도 더 적지만 어쨌든 위협은 존재한다. 바이러스 역시 심각하지는 않다해도 문제가 될 수 있다. 킬디스크(KillDisk)와 같은 최근 랜섬웨어는 데이터를 붙잡고 풀어주는 대가로 엄청난 금액을 요구한다(리눅스의 경우 킬디스크 공격을 당하면 몸값을 지불하더라도 데이터를 되찾을 수 없다). 시스템 업데이트, 항상 최신으로 유지하라 시스템을 업데이트된 상태로 유지하면 항상 보안 취약점을 패치할 수 있다. 설치한 소프트웨어에 따라 매일 업데이트가 나오기도 하니 최소 2주에 한 번씩은 업데이트를 실행할 것을 권한다. 어떤 이유로 소프트웨어의 현재 버전을 유지해야 한다면 적어도 커널이라도 계속 업데이트해야 한다. 낯선 네트워크를 신뢰하지 말 것 시간이 된다면 대학 캠퍼스나 커피숍에 가서 주변을 둘러보라. 사람들이 반짝거리는 신형 노트북을 꺼내놓고 바쁘게 클릭하고 입력하는 모습을 볼 수 있을 것이다. 도둑들에게는 잭팟과도 같은 풍경이다. 다만 일반적으로 상상하는 형태의 도둑은 아니다. 공개 와이파이 네트워크는 큰 골칫거리다. 적절한 소프트웨어와 무선 설정만 갖추면 누구나 암호화되지 않은 채로 공기 중에 떠다니는 와이파이 트래픽을 훔칠 수 있다. 집이나 사무실 외부에서 네트워크에서 연결한다면 항상 가상 사설망(VPN)을 첫 번째 방어선으로 사용해야 한다. VPN에 대해 잘 모른다면 잠깐 시간을 내서 이 기사를 읽어보길 바란다. 의심스러울 때는 VPN을 사용하라.  리눅스에서 VPN을 사용하려면 적절한 패키지 설치가 필요하다. 대부분의 개인 사용자용 VPN은 오픈VPN(Open...

리눅스 악성코드 보안 2017.01.23

구글, 안드로이드를 악성코드로부터 보호하는 “앱 검증” 소개

안드로이드 4.2 젤리빈이 출시됐을 때, 구글은 앱 검증(Verify Apps)이라는 기능을 추가했다. 사용자들이 실수로 악성코드를 다운로드해서 디바이스에 문제가 생기는 것을 방지하기 위한 기능이다. 기본적으로 모든 안드로이드 디바이스에서 활성화되어 있는 이 서비스는 플레이 스토어가 아닌 다른 출처에서 설치된 앱을 확인하고 사용자에게 잠재적인 위험성이 있음을 경고한다. 구글은 블로그를 통해 이 앱 검증 기능에 대해 구체적으로 소개하며, 이 기능이 악성코드를 얼마나 효율적으로 방어하고 있는지 설명했다. 앱 검증 기능은 대부분의 사용자들이 활성화되어 있는지도 모를 정도로 조용하고 눈에 띄지 않는다. 하지만 반대로 이 기능이 비활성화되어 있다는 것도 알지 못할 가능성이 있다는 이야기다. 구글은 기본적으로 활성화되어 있는 이 기능이 비활성화되는 경우는 악성 앱이 의도적으로 이 기능을 비활성화한 것이며, 잠재적인 위험성이 있다고 설명했다. 구글은 앱 검증 기능이 비활성화된 이러한 디바이스를 DOI(Dead or Insecure) 디바이스, 그리고 DOI 디바이스에 많이 다운로드된 앱을 DOI 앱으로 정의한다. 여기서 구글의 보안 마법이 시작된다. 소프트웨어 엔지니어 메간 루스벤은 구글이 디바이스의 작동을 멈추는 보안과 관련된 원인들을 알아내고, 향후 이러한 일이 발생하지 않도록 막는 방법으로 앱 검증 기능을 도입했다고 밝혔다. 디바이스에서 앱 검증 기능 사용이 중지되면, 구글은 설치된 앱을 점검하고, 앱의 DOI 점수를 확인한다. DOI 점수란, 특정 앱이 앱 검증 기능이 활성화되어 있을 때 다운로드 된 디바이스의 개수를 의미한다. 앱의 DOI 점수가 낮으면 앱 검증 기능이 비활성화된 디바이스에 설치된 적이 많다는 의미이며, 구글은 해당 앱을 더 깊게 조사하고 필요하다면 앱을 삭제하거나 앞으로 설치되지 않도록 차단한다. 구글은 이 방법을 통해서 허밍버드(Hummingbird), 고스트 푸시(Ghost Push), 굴리건(Gooligan) 악성...

악성코드 보안 구글 2017.01.20

생물 의학 연구소만 목표로 한 맥 악성코드 발견… “몇 년간 존재”

지난 몇 년간 생물 의학 연구 센터를 엿보기 위해 만들어진 맥 악성코드가 방치됐다는 사실이 드러났다. 안티바이러스 업체인 맬웨어바이트(Malwarebytes)는 감염된 맥에서 비정상적인 네트워크 트래픽을 발견한 후, 이 악성코드를 발견했다고 밝혔다. 애플이 프루트플라이(Fruitfly)라고 부르는 이 악성코드는 스크린 캡처, 웹캠 엑세스, 마우스 클릭 및 키 입력 모방 등을 실행하도록 설계되어 있어, 해커가 원격으로 감염된 맥을 제어할 수 있다고 맬웨어바이트는 블로그를 통해 설명했다. 해당 악성코드가 어떻게 확산될 수 있었는지는 알려지지 않았다. 하지만 맬웨어바이트의 연구원 토마스 리드는 이 악성코드 작성자는 맥 OS X 운영체제가 2001년 출시되기 전의 “구식” 코딩 기능에 의존하고 있다고 전했다. 놀랍게도 프루트플라이는 리눅스 셸 명령어와 함께 작성됐다. 리드는 이 악성코드를 리눅스 머신에서 실행해봤는데, 맥 전용 코드만 제외하고 모든 것이 “정상 작동”했다고 말했다. 리눅스 명령어가 포함되어 있다는 것은 이 악성코드 제작자가 맥을 잘 모르며 오래된 문서를 기반으로 만든 것”임을 보여준다고 리드는 설명했다. 보안 연구원들은 맥 악성코드가 흔하지 않다고 말한다. 해커들이 보통 더 대중적인 윈도우 기반 디바이스를 노리기 때문이다. 리드에 따르면, 이 맥 악성코드는 찾아내기 쉽다. 2개의 파일로 되어 있으며, 하나는 실행 에이전트 역할을 한다. 그럼에도 불구하고, 맬웨어바이트가 알아낸 바에 따르면, 이 프루트플라이는 탐지되지 않은 채 몇 년 동안 존재했다. 예를 들어, 이 악성코드의 수정이 OS X 요세미티 문제를 해결하기 위한 것이었는데, 이 운영체제는 2014년 10월에 출시됐다. 리드는 이 악성코드가 탐지되지 않았던 이유로 “표적이 매우 좁은 타깃 공격으로 노출이 제한적이었다”고 설명한다. 그는 이 악성코드가 특정 생물 의학 연구소를...

악성코드 의료 2017.01.19

웹 게이트웨이가 ”만능 방어막”이 아닌 5가지 이유

보안 위협이 진화한 것처럼, 웹 게이트웨이도 지난 몇 년간 진화를 거듭했다. 오늘날 웹 게이트웨이는 컴플라이언스나 HR 정책을 강제하는 것뿐만 아니라, 인터넷 발 위협을 차단하는 역할을 한다. 하지만 웹 게이트웨이가 10년 이상 존재하면서 진화했음에도 불구하고, 그들은 ‘방탄’이 아니며, 웹 게이트웨이에 과하게 의존하게 되면 데이터, 사용자, 고객, 기업, 평판 등을 위험에 빠트릴 수 있다. 파이어글래스(Fireglass)의 CEO이자 공동 창업자인 가이 거즈너가 이야기하는 웹 게이트웨이가 방탄이 아닌 이유를 살펴본다. URL 필터링은 언제나 늦다 1초마다 571개의 새로운 웹사이트가 탄생하며, 도메인이 많아진 만큼 보안 통제를 잃을 기회가 증가한다. 여기에 공격 대상에 의해서만 발동되는 공격자들이 사용하는 많은 URL은 24시간 미만 동안만 존재하고 자주 변경되는데, 이것들은 고정적인 도메인보다 차단하기 어렵다. 분류되지 않은 웹사이트 차단은 답이 아니다 분류되지 않은 웹사이트를 차단하면 사용자의 생산성이 급감한다. 최종 사용자들이 불편할 뿐만 아니라, 보안 팀도 사용자들이 웹 게이트웨이를 통과하지 못했으나 정보를 위해 엑세스해야 하는 사이트에 대한 접속을 요청하는 티켓을 지원하는데 시달리게 된다. 이러한 설정은 “정책의 지옥”에 빠지게 하며, 보안 팀은 스스로 자꾸 증가하는 정책과 규칙을 관리하는데 너무 많은 시간을 쏟게 될 것이다. “안전한” 웹사이트도 방문자를 감염시킬 수 있다 감염이 의심스럽거나 악성으로 분류된 웹사이트를 통해서만 감염된다는 믿음은 틀렸다. 보안 업체인 포스포인트(Forcepoint, 전 웹센스(Websense))는 일반적인 이런 믿음과 반대로 감염 중 85%가 합법적이고 안전한 웹사이트를 통해서 감염된다는 사실을 발견했다. 소위 안전하다고 여겨지는 웹사이트들은 통제가 안 되는 다른 소스에서 온 악성 콘텐츠가 포함되는 경우가 있다. 맬버타이...

악성코드 게이트웨이 트래픽 2017.01.17

“악성코드 없는 공격” 2016년 랜섬웨어 만만치 않은 보안 위협으로...

보안 전문가들이 실제 악성코드에 의존하지 않는 공격 활동에 주목해야 할 필요가 생겼다. 카본 블랙(Carbon Black)이 내놓은 최신 보고서에 따르면, 지난 1월부터 11월까지 악성코드 감염 없이 정상적으로 시스템에서 작동되고 있는 애플리케이션이나 프로세스를 악용하는 공격의 비율이 3%에서 11%로 증가했다. 이 보고서는 “2016년 악성코드 없는 공격과 랜섬웨어가 보안 공격의 중심을 차지했다”라면서 “악성코드가 없는 공격은 역대 최고 많은 비율이었으며, 내년에는 이 공격을 방어하는 데 초점을 맞춰야 할 것”이라고 전했다. 250만 개 이상의 엔드포인트가 포함된 1,000곳 이상의 카본 블랙 고객으로부터 받은 데이터가 보고서의 조사 대상이다. 연구원들은 악성코드가 탐지되는 것을 우회하기 위해 파워셸(PowerShell)과 WMI(Windows Management Instrumentation)을 악용했을 가능성이 있다고 설명했다. 악성코드가 없는 공격은 일반적으로 악성 파일을 추가로 다운로드할 것을 요구하지 않으며, 데이터 탈취, 인증 탈취, IT 환경 염탐 등 상당히 악의적인 행위가 시행될 수 있다. 예를 들어, 2016년 초 카본블랙은 파워웨어를 이용해 랜섬웨어 공격을 한 파워셸 공격 사례를 발견했다. 파워셸은 보통 경고가 울리지 않는 정상적인 윈도우 유틸리티이기 때문에, 이것을 이용하면 눈에 띄지 않는 공격이 가능하다. 같은 이유로 WMI도 이러한 공격에 활용된다. 카본 블랙 보고서는 이런 종류의 공격 중에서 ‘심각한 악성코드 없는 공격’을 분류했는데, 이런 공격이 4분기 현재 1분기에 비해 33% 증가했다고 전했다. 그리고 앞으로 90일 사이에 기업 중 3분의 1이 이 공격을 받게 될 것이라고도 전했다. 이 보고서는 “심각함”을 파워셸에 의심스러운 명령줄을 추가하고 코드를 바로 실행하는 공격이라고 정의했다. 이런 공격은 셸코드를 ...

악성코드 공격 랜섬웨어 2016.12.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.