Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

취약점

오라클 대규모 업데이트, 주요 비즈니스 애플리케이션 결함 표면화

최근 전세계를 강타한 워너크라이(WannaCry)와 낫페트야(NotPetya) 악성코드 사태는 애플리케이션 패칭과 관련해 기업들이 처한 어려움을 고스란히 드러낸 사건이었다. 최신의 보안 패치를 지속적으로 반영하는 작업은 IT를 끝없는 업데이트 테스트, 준비, 배치의 사이클 속으로 몰아넣는 과정이며, 기업 환경 안의 모든 애플리케이션 솔루션이 이 과정을 거친다는 것은 현실적으로 한계가 많은 것이 사실이다. 팔짱을 끼고 앉아 "업데이트 배치에 60일 이상 걸리는 일이 있어선 안됩니다"라는 식의 잔소리만 내뱉는 것은 누구나 할 수 있는 일이다. 문제는 이것만이 IT의 과업이 아니라는 점이다. 어떤 기업에선 마이크로소프트와 어도비가 배포하는 월간 업데이트보다 시스코의 최신 패치를 처리하는 게 더 중요할 수도 있으며, 다른 기업에서는 SMB 취약점, 특히 윈도우 XP와 같은 지원 중단 시스템들에 대한 네트워크 바깥의 업데이트들이 우선 과제로 다뤄지기도 할 것이다. iOS 기기를 운영하는 기업이라면 이것의 와이파이 칩에서 발견된 심각한 보안 결함에 대한 최신 업데이트를 우선적으로 처리할 필요가 있다. 이와 더불어 오라클 측이 자사 제품 포트폴리오 전반에서 발견된 308건의 취약점을 보완한 주요 패치 업데이트(Critical Patch Update CPU) 역시 시급한 적용이 요구되는 부분이다. 이번에 수정된 취약점 가운데 절반이 넘는 168건이 사용자의 승인없는 원격 공략이 가능한 취약점이었다. Credit: Magdalena Petrova 워라텍(Waratek) CTO 존 매튜 홀리는 "오라클은 올해에만 벌써 두 차례 패치 배포를 진행했다. 소프트웨어 결함, 해커들의 공세가 얼마나 심각한 수준인지를 잘 드러내주는 부분이며, 사이버 보안 조직의 입장에선 업무 부담이 쉼 없이 가중되는 소식이다"고 말했다. 핵심은 데이터베이스가 아니다 이번 달 배포된 CPU 내용 가운데 9.0-10.0의 일반 취...

애플리케이션 오라클 취약점 2017.07.26

보안 위협 사전 대응을 위한 엔드포인트 가시성 확보 전략 - IDG Video Talk Show

<본 콘텐츠를 다운로드 받으신 분들 중 추첨을 통해 CGV 영화티켓(2인권)을 드립니다.(20명)> 최근 국내 호스팅 업체 한 곳이 랜섬웨어의 공격으로 서비스가 중단되는 사태를 겪으며 보안 문제가 다시 도마 위에 올랐다. 사실 보안 위협이 증가하면서 기업들은 이미 다양한 보안 솔루션을 도입해 운영하고 있다. 하지만 금전적인 이득을 노리는 사이버 범죄자들의 공격 수법이 날로 진화하고 있어 위험을 해소하는 것이 녹록하지 않은 상황이다. 날로 정교해지는 보안 위협의 현재 상황과 기업과 보안 업계의 대응을 살펴보고, 진화하는 보안 공격으로부터 기업을 보호하기 위해 부족한 것은 무엇인지, 그리고 좀 더 근본적인 보호 전략은 무엇인지 알아본다. 특히 해커들의 주요 공격 대상이 되고 있는 엔드포인트가 공격을 받지 않도록 하는 종합적인 대응 방안도 살펴본다. 주요 내용 악성코드와 취약점 현황 엔드포인트 보안의 허점 가시성 확보를 통한 엔드포인트 보안 강화 방안 엔드포인트 보안 강화 성공사례 안랩 EDR 개발 전략

취약점 엔드포인트 안랩 2017.07.10

“비난은 이제 그만” 보안팀의 실상과 랜섬웨어 공격 대응 실패의 원인

전 세계적으로 수천 명의 피해자를 낸 최신 랜섬웨어 공격은 강력한 기시감을 불러온다. 악성코드도 지난 5월 워너크라이가 사용한 것과 다르고 범죄단체도 다르지만, 랜섬웨어 감염에 대응하는 방안은 똑같다. “취약점을 패치하고 돈을 주지 말고 백업을 이용해 시스템을 복구하라.” 새로운 랜섬웨어는 여러 가지 요소가 조합되어 있는데, 미 NSA가 개발한 것으로 추정되는 이터널블루(EternalBlue)와 이터널로맨스(EternalRomance)도 포함되어 있다. 윈도우 기반 SMBv1 악용 코드인 이터널블루는 워너크라이에도 사용됐다. 현재 카스퍼스키랩은 이 랜섬웨어를 엑스표트르(ExPetr)라 명명하고, 페트야 악성코드의 변형이 아니라고 규정했다. 워너크라이와는 달리 엑스표트르는 인터넷이 아니라 로컬 네트워크에 퍼진 것으로 나타났지만, 마스터 부트 레코드를 암호화하기 때문에 개별 파일을 암호화하는 것보다 피해가 더 크다. 엑스표트르는 새로운 공격이지만, 랜섬웨어라는 본질에서는 전혀 다를 것이 없다. 몇 가지 알려진 취약점을 악용하고 인터넷에 노출해서는 안되는 프로토콜을 통해 확산하고 기존 운영체제의 유틸리티를 이용한다. 또 하나 비슷한 것이 있는데, 바로 비난의 대상이다. 보안 전문가들은 블로그와 소셜 미디어, 이메일을 통해 원흉을 지목하기 바쁘다. - 이번 공격은 기업이 보안을 진지하게 받아들이지 않고 있다는 증거이다. - 이런 공격은 기업이 자사 시스템을 적절하게 패치하고 네트워크 보안에 심층 방어 접근법을 구현하면 쉽게 피할 수 있었다. - 워너크라이가 랜섬웨어의 위험성에 경종을 울렸지만, 현실은 새로운 랜섬웨어가 전세계에 퍼지고 있다. 이는 여전히 많은 기업과 사용자가 마이크로소프트가 지난 3월에 발표한 MS17-010 패치를 적용하지 않았다는 것을 보여준다. - SMBv1은 구식 프로토콜로, 인터넷 쪽으로 포트를 열어둘 이유가 없다. 투자나 시간, 우선순위 등에서 보안을 등한시하는 것은 무책임한 일이다. 이...

취약점 패치 랜섬웨어 2017.06.29

"해커들, 오래된 스턱스넷 관련 버그 사용해 공격 실행한다"…카스퍼스키

패치하지 않은 소프트웨어를 실행하는 것을 주의해야 한다. 해커들은 스턱스넷(Stuxnet)과 관련된 오래된 소프트웨어 버그에 통해 공격을 수행하고 있다. Credit: Michael Kan 보안업체인 카스퍼스키랩에 따르면, 이 결함에 대해 2010년 마이크로소프트가 초기 패치했음에도 불구하고, 이는 세상에서 가장 널리 퍼진 소프트웨어 익스플로잇이 될 것이다. 4월 20일 카스퍼스키는 특정 소프트웨어 결함을 이용하도록 설계된 악의적인 프로그램이나 익스플로잇 사용을 조사한 연구 결과를 게재했다. 일단 익스플로잇이 동작하면 일반적으로 다른 악의적인 프로그램이 해당 컴퓨터에 설치될 수 있는 길을 열어준다. CVE-2010-2568로 알려진 스턱스넷에 의해 사용되는 이 취약점은 사용자의 인지 여부와는 상관없이 윈도우 컴퓨터에서 원격으로 코드를 실행하도록 되어 있다. 카스퍼스키 측은 이 공격이 2015년과 2016년 카스퍼스키 사용자 가운데 약 1/4을 대상으로 사용됐다고 말했다. 다행히 이 취약점은 윈도우 XP, 윈도우 서버 2008, 그리고 윈도우 7과 같은 구형 시스템에만 영향을 미친다. 그러나 해커가 취약한 시스템을 찾아내는 것을 막지 못했다. 카스퍼스키는 "이 익스플로잇 배후의 해커들은 네트워크를 통해 '자체 복제(self-replicate)'를 한 악성코드를 사용해 감염된 컴퓨터에 남기고 있다"고 말했다. 이를 통해 해커들은 오래된 소프트웨어를 사용하고 있는 컴퓨터를 성공적으로 해킹할 수 있다. 카스퍼스키의 연구에 따르면, 해커들은 마이크로소프트 오피스, 안드로이드, 자바와 같은 소프트웨어 내에 있는 잘 알려진 취약점을 여전히 사용하고 있다. 카스퍼스키는 "이런 익스플로잇은 보안 패치로 생명이 끝나지 않는다"고 전했다. 이런 경고는 전혀 새로운 것이 아니다. 그러나 최근 보안 커뮤니티는 사용자와 기업이 소프트웨어를 최신 상태로 유지해야 할 필요성을 강조하고...

취약점 카스퍼스키 스턱스넷 2017.04.21

유출된 NSA 해킹 툴, 구 버전 윈도우 서버 위험…MS ”이미 패치 완료”

지난 금요일, 미 NSA의 스파이 툴로 의심되는 해킹 툴이 유출됐다. 특히 이 툴은 윈도우 XP와 윈도우 서버 2008의 취약점을 악용한다는 점에서 주목을 받았다. 하지만 마이크로소프트는 문제의 해킹 툴이 이용하는 취약점은 이미 패치가 이루어졌다고 밝혔다. 즉 소프트웨어를 제대로 업데이트했다면, 구 버전 윈도우라도 심각한 보안 문제는 없다는 것이다. 지난 금요일 정체불명의 해커 집단 섀도우 브로커(Shadow Brokers)가 일반에 공개한 해킹 툴은 보안 커뮤니티에서 적지 않은 우려를 불러일으켰다. 이 툴에는 윈도우 XP나 윈도우 서버 2008과 같은 구 버전 윈도우 운영체제를 해킹하기 위한 20여 가지 수법이 포함되어 있기 때문이다. 하지만 마이크로소프트는 이미 여러 건의 패치가 관련 취약점을 해결했다고 밝혔다. 그중 하나는 불과 한 달 전에 만들어진 것이다. 마이크로소프트는 자사 블로그를 통해 “우리 엔지니어가 공개된 수법을 조사했으며, 대부분의 취약점은 이미 패치가 된 상태이다”라고 밝혔다. 아직 패치되지 않은 취약점도 3개가 있지만, 이들 취약점은 윈도우 7 이후, 그리고 익스체인지 2010 이후 버전에서는 동작하지 않는다. 마이크로소프트는 “아직 이들 제품의 구 버전을 구동하고 있는 고객은 지원 제품으로 업그레이드하기를 권장한다”라고 덧붙였다. 보안 전문업체 해커 하우스의 디렉터 매튜 히키 역시 유출된 취약점을 살펴보고 마이크로소프트의 주장에 동의했다. 히키는 운영 상의 이유로 종종 패치를 지연하곤 하는 기업들에 중요 서버에는 마이크로소프트의 패치를 즉각 적용할 것으로 권고했다. 또 동영상으로 이번에 드러난 취약점 중 하나를 이용해 윈도우 서버 2008 R2 SP1을 구동 중인 시스템에 원격 코드 실행을 간단하게 수행하는 장면을 시연해 보였다. 문제가 되는 취약점은 MS17-010 패치로 해결할 수 있다. 마이크로소프트는 지난 달 이 패치를 발표했는데, 마이크로소프트가 NSA 툴과...

취약점 해킹 패치 2017.04.17

마이크로소프트, 이미 악용된 취약점 3개를 포함한 45개 결함 패치

마이크로소프트는 11일 자체 정기 보안 패치를 발표했다. 이번 패치는 총 45개 취약점을 수정했으며, 그 가운데에는 해커들에게 표적이 된 잘 알려진 취약점도 있었다. Credit: Stephen Brashear/Getty Images for Microsoft 이번 달 최우선 순위는 마이크로소프트 오피스 보안 업데이트인데, 이 결함은 지난 1월부터 악성코드와 함께 컴퓨터를 감염시킬 용도로 해커들에게 적극적으로 악용되어왔다. CVE-2017-0199로 명명된 이 취약점은 지난 며칠동안 널리 악용됐다. CVE-2017-0199 취약점은 마이크로소프트 워드나 워드패드로 문서를 열면 악의적으로 제작된 RTF(서식있는 텍스트) 문서를 통해 악용될 수 있다. 워드패드는 기본적으로 윈도우에 내장되어 제공되기 때문에 이번 결함에 대한 패치는 윈도우용 보안 업데이트에 포함됐다. 보안업체 퀄리스(Qualys)에 따르면, 다음 우선 순위는 마이크로소프트 인터넷 익스플로러(Internet Explorer)와 에지(Edge) 브라우저에 대한 업데이트다. 이번 업데이트를 통해 몇 가지 원격코드 실행 취약점을 해결했다. IE에서 패치된 한 취약점은 공격자들이 브라우저에 적용된 도메인 간 정책을 우회할 수 있도록 해준다. 이 결함을 통해 공격자는 한 도메인에서 정보를 가져와 다른 도메인에 주입해 주요 보안 장벽을 넘을 수 있다. 이 취약점에 대해 마이크로소프트는 "해커 세계에서 이미 악용당했다"고 언급했지만, 이 공격에 대한 자세한 세부 정보는 밝히지 않았다. 치명적인 취약점은 윈도우 서버 2008, 2012, 2016뿐만 아니라 윈도우 8.1과 10에 포함된 마이크로소프트 가상화 하이퍼바이저인 Hyper-V에서도 패치됐다. 이 취약점은 게스트 운영체제에서 실행되는 애플리케이션이 가상 머신을 벗어나 호스트 운영체제에 악의적인 코드를 실행할 수 있도록 해준다. 마지막으로, 마이크로소프트 닷넷 프레임워크 내 원격 코드 실행 취약점...

취약점 패치 보안 2017.04.13

예방이냐 탐지냐? 취약점에 대한 CISO의 자세

오늘날 CISO는 기업에서 가장 가치있는 자산을 보호하는 데 정보에 입각해, 효율적이고 경제적인 의사결정을 내리기 위해 노력하고 있다. 예전에는 예방에 대한 투자가 적절한 보호를 해줬기 때문에 의사결정이 조금더 쉬웠다. 하지만 현재는 그렇지 않다. <지능형 지속 보안(Advanced Persistent Security)> 저자이자 시큐어 멘텀(Secure Mentem) 대표 아이라 윙클러는 "모든 위협으로부터 보호하려는 노력은 비용 효율적이지 못하다"고 말했다. 예방적 보호의 세계에서 나이를 먹어가는 방어자들의 사고방식을 바꾸는 것은 점점 더 어려워졌다. 결과적으로 일부 보안 프로그램은 실패했다. 이에 대해 윙클러는 "해커들이 안으로 들어가서가 아니라 그들이 밖으로 나왔기 때문"이라고 말했다. 강력한 보안 프로그램을 구축하기 위해 CISO는 예방, 탐지, 그리고 대응의 적절한 균형에 투자해야 한다. 예를 들어, 탐지에 더 집중하기 위해 관리할 수 있는 몇가지 취약점을 남겨 둘 수 있다. 콘트래스트 시큐리티 CTO이자 공동 창립자인 제프 윌리엄스는 "윙클러는 보호, 탐지, 그리고 대응을 구분하려 노력하고 있다. 물론 책임있는 보안 전략은 모두 3가지가 있다"고 말했다. 윌리엄스는 "우선 순위는 과제 가운데 하나"라며, "보안에서 우선 순위를 부여하고 대응하는 것이 현재 위협에 압도당하는 CISO에게 한줌의 위안을 제공하고 있다"고 말했다. 윌리엄스는 사이버 보안을 주택 보안에 비유했다. "만약 취약점을 막으려 하지 않는 것은 문과 창문을 잠그는 것을 걱정하지 않는 것이다. 단지 경보기가 울리고 경찰이 자신을 보호해 줄 때까지 기다리는 것이다." 실제로 경보가 울리지 않는 공격도 있을 수 있다. 윌리엄스는 "경찰이 항상 효과적으로 대응하는 것은 아니며, 경찰이 도착할 때까지 이미 피해가 발생했을 것&qu...

취약점 탐지 예방 2017.04.07

구글의 안드로이드 원격 해킹 대회가 실패한 원인 “상금 20만 달러 너무 적다”

6개월 전 구글은 20만 달러의 상금을 걸고 전화번호와 이메일 주소만으로 안드로이드 기기를 원격에서 해킹하는 대회를 열었다. 하지만 아무도 이 과제를 풀겠다고 나서지 않았다. 한편으로는 안드로이드 모바일 운영체제의 강력한 보안을 증명하는 희소식으로 들릴 수도 있지만, 구글 프로젝트 제로(Project Zero Prize) 대회가 이토록 관심을 끌지 못한 이유는 다른 데 있다. 처음부터 사람들은 20만 달러라는 상금이 사용자의 인터랙션을 이용하지 않는 원격 해킹에 대한 보상으로 너무 적다고 지적했다. 지난 해 9월 구글이 대회를 발표하자 한 사용자는 “만약 누군가 이런 해킹을 할 수 있다면, 해킹법을 다른 업체나 조직에 더 비싼 가격에 팔 수 있을 것”이라고 말했다. 또 다른 사용자는 “많은 구매자가 더 많은 돈을 낼 수 있을 것이다. 덤불에서 바늘을 찾는 가격으로 20만 달러는 적합하지 않다”고 지적했다. 구글 역시 이를 인정하지 않을 수 없었는데, 최근 블로그 포스트를 통해 “이 대회에서 이기기 위해 필요한 버그의 형태를 생각하면 상금액이 너무 낮을 수도 있다”라고 언급했다. 구글 보안 팀에 따르면, 관심이 적은 또 다른 이유는 이런 해킹 방법이 너무 복잡하고, 좀 더 기준이 느슨한 다른 대회가 있기 때문이다. 안드로이드의 커널 권한을 얻고 디바이스를 완전히 장악하기 위해서는 여러 취약점을 함께 엮어야 한다. 최소한 디바이스에서 원격으로 코드를 실행할 수 있는 결함이 필요하며, 애플리케이션의 샌드박스를 벗어날 수 있도록 권한을 확대할 수 있는 취약점도 필요하다. 안드로이드의 월간 보안 게시판으로 보면, 권한을 확대할 수 있는 취약점은 많다. 하지만 구글은 어떤 형태의 사용자 인터랙션도 이용하지 않는 해킹 방법을 원한다는 것이 문제이다. 이는 악성 링크를 클릭하거나 가짜 웹사이트를 방문하거나 파일을 받아 실행하는 등의 사용자 조작 없이 해킹해야 한다는 의미이다. 이...

취약점 해킹 버그 2017.04.03

Synopsys 소프트웨어 테스트 도구: Coverity 및 Defensics의 경제적인 효과 - 포레스터 보고서

Forrester에서 고객 사례를 토대로 Synopsys 의 정적 분석 도구 Coverity와 프로토콜 퍼징(Fuzzing)테스트 툴 Defensics의 경제적 파급 효과를 분석한 결과, 소프트웨어의 신뢰성과 보안 강화, 제품 출시 기간 단축, 출시 후 수정비용의 경감 등의 효과로 인한 드라마틱한 경제적 이익을 확인하였습니다. 본 리포트는 이러한 이점을 계량화하기 위하여 Forrester Consulting에 TEI(Total Economic Impact) 연구를 의뢰하여 시행되었으며, 이러한 프레임워크를 사용, 고객 인터뷰와 재무 분석을 시행하여 잠재적 ROI(투자 수익률)를 검토하였습니다. 주요 내용 TEI 프레임워크 및 방법론 재무 요약 제품 개요: Coverity 제품 개요: Defensics 

취약점 테스트 소프트웨어 2017.03.24

위키리크스, IT 업체와 CIA 해킹 툴 공유…패치 후 온라인에 공개

위키리크스가 CIA의 사이버 정보센터 내부의 문서 8,000여 건을 유출한 후, 애플은 CIA가 아이폰을 해킹하기 위해 알아낸 취약점 대부분을 이미 수정했다고 밝혔다. 하지만 CIA가 가진 코드를 보기 전에는 모든 버그를 수정했다고 확신하기는 어렵다. 위키리크스의 줄리안 어산지는 이번에 공개한 문서에는 빠져 있는 코드를 애플을 비롯한 IT 업체들과 공유할 것이라고 밝혔다. 어산지는 영국 런던의 에콰도르 대사관에서 실시간 스트리밍 방식으로 가진 기자회견에서 “우리는 IT 업체들과 공조하기로 했다. 우리가 가진 상세한 기술 정보에 IT 업체들만 접근할 수 있도록 하고, 이를 통해 수정 패치가 개발, 배포될 수 있을 것이다”라고 밝혔다. 또 “일단 이 자료로 효과적으로 무력화되고 나면 일반에 세부 정보를 공개할 것”이라고 덧붙였다. 월스트리트저널의 보도에 따르면, 애플의 엔지니어는 화요일 아침 유출 정보가 공개되자 CIA가 찾아낸 버그가 무엇이며 어떻게 사용했는지를 평가하는 작업에 착수했다. 문서에는 최소한 일부 취약점은 이미 iOS 업데이트를 통해 수정됐다는 것을 알 수 있는 내용도 있었다. 애플은 화요일 오후 발표문을 통해 “초기 분석에 따르면 유출된 문제의 많은 수가 이미 최신 운영체제에서 패치되었지만, 그 어떤 확인된 취약점도 신속하게 해결하기 위해 계속 노력할 것”이라고 밝혔다. 또 사용자들에게 항상 최신 운영체제 업데이트를 다운로드할 것으로 권고했다. 위키리크스는 CIA가 실제 사용한 툴을 애플과 삼성, 구글 등의 업체들과 공유하고, 관련 보안 취약점이 말끔히 패치된 다음에 코드를 온라인에 공개할 계획이다.  editor@itworld.co.kr

취약점 해킹 패치 2017.03.10

애플 “CIA가 사용한 iOS 취약점 이미 수정”

위키리크스가 다시 돌아왔다. 이번에는 CIA의 사이버첩보센터(Center for Cyber Intelligence)의 내부 문서 8,700건을 공개했다. 이 문서에 따르면, CIA는 아이폰을 해킹할 수 있는 제로데이 익스플로잇을 알고 있는 것으로 나타났다. 하지만 애플은 이미 이 버그 중 상당수를 iOS 최신 버전에서 패치했다고 밝혔다. 위기키크스 문서에는 버그의 정체나 CIA가 실제로 이를 악용했는지에 대해 구체적인 내용이 포함되어 있지 않아서, 애플이 이 익스플로잇에 대해 알거나 패치했는지는 확실치 않다. 하지만 애플은 여러 매체를 통해 화요일에 공개된 위키리크스의 문서에 대해 다음과 같이 밝혔다. “애플은 고객들의 프라이버시와 보안을 지키기 위해 최선을 다하고 있다. 오늘날 아이폰에는 최고의 데이터 보안 기술이 들어가 있으며, 우리는 지속적으로 이를 지켜나가고 있다. 우리의 제품과 소프트웨어는 소비자들이 보안 업데이트를 빠르게 받을 수 있도록 설계됐고, 사용자 중 80%가 최신 버전의 운영체제를 사용하고 있다. 초기 분석 결과 오늘 공개된 이슈 중 상당수가 최신 운영체제에서 이미 패치됐고, 계속해서 기타 밝혀진 취약점을 신속히 수정할 것이다. 우리는 소비자들이 가장 최신의 보안 업데이트를 받도록 항상 최신 iOS 다운로드를 권고하고 있다.” CIA가 해킹을 시도한 것은 애플만이 아니다. 2016년 CIA는 24개의 안드로이드 익스플로잇을 발견했는데, 그중 하나는 “울고있는 천사(Weeping Angel)”라는 이름으로 삼성 스마트 TV 공격에 사용됐다. 이 공격으로 CIA는 TV를 마이크로 사용해서 대화를 녹음하고 CIA 서버에 전송했다. 삼성은 버즈피드 측에 해당 내용을 인지했으며, 문제 해결 방안을 긴급히 찾는 중이라고 밝혔다. editor@itworld.co.kr

취약점 해킹 CIA 2017.03.09

미 법무부, “토르 취약점 공개 못한다” 아동 포르노 소송 취하

미 법무부가 아동 포르노 사이트 플레이펜(Playpen)에 대한 기소를 취하해 줄 것을 미 연방법원에 요청했다. 법원이 증거를 모으는 데 사용한 해킹 기법을 공개할 것을 요청한 직후의 일이다. 미 법무부는 “정부는 이제 기밀 정보의 공개와 기소 취하 중 하나를 선택해야만 한다”라며, “현재로써는 기밀 공개는 선택안이 아니다”라고 밝혔다. 해당 소송은 2015년 7월 플레이펜에서 아동 포르노 이미지를 본 혐의로 체포된 제이 미초드에 대한 건으로, 플레이펜과 관련된 최소 137건의 소송 중 하나이다. 플레이펜은 익명화된 네트워크인 토르(Tor) 상에서 운영된 사이트로, FBI가 2015년 단속했다. 당시 FBI는 사이트를 즉각 폐쇄하는 대신 13일 동안 운영하면서 방문자의 컴퓨터에 악성코드를 심어 실제 IP 주소와 신원 정보를 확보했다. 플레이펜이 사용한 토르 프로토콜은 웹 사이트의 실제 주소를 사용자에게 숨기는 것은 물론 사용자의 IP 주소도 웹사이트가 알지 못하도록 만들어졌다. 다시 말해 양방향 익명성을 보장하는 것이다. 플레이펜 방문자는 토르에 최적화된 모질라 파이어폭스 버전인 토르 브라우저를 사용했다. FBI가 어떻게 이들 방문자의 컴퓨터에 악성코드를 심었는지는 확실하지 않지만, 보안 연구원들은 모질라 파이어폭스의 패치되지 않은 취약점을 이용했을 것으로 보고 있다. FBI는 이 기법을 NIT(Network Investigative Technique)라고 언급하며, 기밀이라는 이유로 자세한 정보 공개는 거부했다. 피고 미초드의 변호사는 증거 조사 과정의 일부로 미 법무부가 이 방법을 공개해야 한다고 법원에 요청했다. 또 모질라 역시 정부가 취약점 정보를 공유해 패치할 수 있도록 요청했다. 처음에 법원은 사법기관이 수사 기밀의 세부 정보를 지킬 필요가 있다는 데 동의했지만, 5월에는 툴의 기밀을 공개하지 않으면서 이를 통해 수집한 정보를 재판에서 증거로 사용할 수는 없다고 결...

취약점 포르노 FBI 2017.03.07

자사의 IoT 보안이 허술한 이유

사물인터넷(IoT)에 수반되는 본질적인 보안 위험 경고가 계속 들려온다. 여기서 그치지 않고, 실제 IoT와 관련한 사고까지 발생하고 있다. 많은 기업이 연결된 기기에서 IoT 데이터를 수집하기 시작하면서 중요한 질문 하나가 제기됐다. 바로 데이터와 네트워크를 충분히 안전하게 보호하고 있느냐다. 보안 전문가들은 모바일 기기의 성장과 디지털 엔터프라이즈의 확장 때문에 많은 일을 했다고 생각할지 모르겠다. 그렇지만 명심해야 할 점이 있다. 제품과 기업 자산, 차량, 기타 사물이 연결되면서 보안 적용 범위가 완전히 새로운 단계로 확대되고 있다는 사실이다. 미국 연방정부 기관과 민간기업들 사이의 가교 역할을 하는 ICIT(Institute for Critical Infrastructure Technology)가 2016년 12월에 발표한 보고서는 기업들이 IoT를 매개체로 삼는 디도스에 아주 취약하다고 지적했다. 이 보고서에 따르면, 사이버 범죄자의 IoT 기기 취약점에 대한 통제력이 확대되는 추세다. 이런 IoT 기기 취약점은 계층화된 공격을 위한 ‘DDoS-for-Hire’ 서비스에 악용될 수 있다. 그런데 IoT는 계속 범위가 확산되고 있다. 451리서치가 2016년 8~10월 전세계의 기업 IT 구매자 약 1,000여 명을 대상으로 조사한 결과, 현재 IoT 전략을 위해 데이터를 수집하고 있다는 답변은 71%에 달한다. 기업들은 앞으로 1년 동안 IoT 기술 투자를 33% 확대할 전망이다. 또한 90%는 향후 12개월 동안 IoT 투자를 늘릴 계획이다. 2016년 대비 IoT 관련 투자를 25%~50% 확대하겠다는 답변은 40%에 달했다. 하지만 보안은 여전히 우려 사항으로 남아있다. IoT 구현의 가장 큰 장애물로 보안을 꼽은 비율이 약 절반이었다. 이번 보고서의 주요 저자인 451리서치의 조사 담당 이사 로라 디디오는 "IoT 보안의 필요성과 중요성은 절대 과장이 아니라고 생각한다. 기기와 사람...

취약점 보안 IOT 2017.02.14

IoT 취약점 공동 연구 위한 단체 결성…AT&T·IBM·노키아 등

사물인터넷(IoT)의 취약점을 연구하고 소비자와 기업에 자신을 방어하는 방법을 교육하기 위해 AT&T, IBM, 노키아 등이 함께 나섰다. Credit: Stephen Lawson 보안과 인터넷 대기업들이 여러 영역에서 IoT를 취약하게 만드는 문제를 해결하기 위해 IoT 사이버시큐리티 얼라이언스(IoT Cybersecurity Alliance)를 결성했으며, 여기에는 IBM, 시만텍, 팔로알토 네트웍스, 모바일 보안 업체인 트러스토닉(Trustonic)이 참여했다. 이 단체는 표준을 만들지는 않지만, 공동 조사하고 소비자와 기업을 교육하며 표준과 정책에 영향을 미칠 것으로 알려졌다. IoT 기술이 구체화되면서 여러 영역에서 새로운 취약점이 생성될 위험이 있다. 지난해에 디도스 공격과 같은 보안 사고로 소비자 기기가 공격 대상으로 부상했으며, 보안이 취약한 셋톱박스와 DVR이 봇넷으로 바뀌기도 했다. 이 단체는 보도자료에서 "네트워크, 클라우드, 애플리케이션 단에 이르는 잠재적인 약점이 IoT에서 훨씬 더 광범위하다"고 밝혔다. AT&T는 지난 3년 동안 IoT 기기를 찾는 공격자가 약 3,000% 이상 증가했음을 발견했다. AT&T에 따르면, 기업들은 자사의 기기가 안전하다고 확신하지 않는다. 펀드-IT 애널리스트인 찰스 킹은 이메일을 통해 "공격자의 관심과 고객의 관심사가 결합되면 대부분의 공급 업체가 IoT에서 볼 수 있는 장밋빛 미래가 망가질 수 있다"고 경고했다. IoT 사이버시큐리티 얼라이언스는 연결된 모든 분야의 문제와 연결된 자동차, 의료, 산업용 IoT, 이른바 스마트 도시와 같은 주요 IoT 사례를 공동으로 연구하겠다고 약속했다. 이 단체의 목표와 방법은 인더스트리얼 인터넷 컨소시엄(Industrial Internet Consortium)이 2014년부터 수행해 온 것과 유사하다. AT&T와 IBM이 포함된 IIC는 보안을 포함한 여러 분...

취약점 IOT IoT Cybersecurity Alliance 2017.02.09

삼성 '스마트캠'서 치명적 보안 취약점 발견

인기 있는 보안 카메라인 삼성 스마트캠(SmartCam)에서 치명적인 원격 코드 실행 보안 취약점이 확인됐다. 해커가 이를 악용하면 최고 관리자 권한을 탈취해 카메라를 완전히 장악할 수 있다. 이 보안취약점은 해커 단체인 '엑스플로이티어(Exploiteers)'의 연구자가 발견했다. 이 단체는 이전에도 이 기기의 보안취약점을 발견해 공개한 바 있다. 이 취약점을 이용하면 업체가 로컬 웹 기반 관리 인터페이스를 비활성화한다고 해도 해커가 웹 스크립트를 통해 명령어를 삽입할 수 있다. 삼성 스마트캠은 클라우드 네트워크 보안 카메라이다. 이 제품을 처음 개발한 업체는 삼성 테크윈이지만, 2015년 삼성이 이 사업부를 한국의 재벌인 한화그룹에 매각해 현재는 한화 테크윈으로 이름이 바뀌었다. 지난 몇년간 스마트캠 제품의 웹 기반 관리 인터페이스에서 보안취약점이 잇달아 발견되자 한화 테크윈은 로컬 관리 패널을 완전히 비활성화하기로 결정했다. 현재 사용자는 별도의 스마트폰 앱과 '마이 스마트캠(My SmartCam)' 클라우드 서비스를 통해서만 카메라에 접근할 수 있다. 그러나 엑스플로이티어 연구팀이 삼성 스마트캠 SNH-1011을 분석한 결과, 로컬 네트워크에서 웹 인터페이스에 접근할 수 없다고 해도 웹 서버는 여전히 기기에서 실행되고 있고 '아이와치(iWatch)'라고 불리는 비디오 모니터링 시스템 관련 일부 PHP 스크립트가 서비스되고 있는 것으로 나타났다. 이런 스크립트 중에는 사용자가 파일을 업로드해 아이와치 소프트웨어를 업데이트하는 스크립트가 포함돼 있는데, 파일명 처리에 관련해 보안 취약점을 가지고 있었다. 이 취약점은 인증되지 않은 공격자가 셸 명령을 추가해 루트 권한으로 웹 서버를 실행하는 데 악용될 수 있다. 엑스플로이티어의 연구자는 "아이와치 Install.php 보안취약점을 악용하면 특정 파일명을 통해 php system() 호출을 통과하는 명령어를 넣을 수 있다. 루...

취약점 해킹 삼성 2017.01.17

HOW-TO : 가정용 IoT 기기가 안전한지 바로 확인하는 방법

상당한 시간을 들여 알렉사로 무선 스피커와 거실 전등, 스마트 캠 등을 조작할 수 있도록 만들었다고 하자. 그런데 이런 IoT 설정이 과연 안전할까? 불가드(BullGuard)는 이런 IoT 기기에 기본적인 보안 문제가 없는지를 쉽고 빠르게 확인할 방법을 제공한다. 서비스 이름은 IoT 스캐너(Internet of Things Scanner)이다. 이 서비스는 사용자가 보유한 디바이스 중 어떤 것이라도 쇼단(Shodan) 검색엔진에 올라와 있는지 확인해 준다. 쇼단은 카메라나 프린터, 온도기 같은 IoT 디바이스 중 인터넷에 공개되어 액세스할 수 있는 것을 찾아준다. 어떤 디바이스라도 쇼단에서 검색되어 액세스할 수 있다는 것은 이들 디바이스 중 보안 결함이 있는 것은 해커에게 취약하다는 것을 의미한다. 불가드의 IoT 스캐너의 사용법은 간단하다. 웹 사이트에 접속해 “쇼단에 올라와 있는지 확인하기(Check if I am on Shodan) 버튼을 클릭하면 된다. 몇 초면 답을 얻을 수 있는데, 보안 문제가 없다면 다음과 같은 화면을 볼 수 있다. 다음 단계로 “Deep Scan” 버튼을 클릭하면 네트워크 상의 디바이스와 불가드가 찾아낸 보안 문제에 대한 좀 더 자세한 정보를 볼 수 있다. 단점은 이 단계의 작업을 수행하면 오히려 취약한 디바이스가 쇼단 목록에 올라갈 수 있다는 것이다. 하지만 문제가 발견되면 불가드가 이런 취약한 디바이스를 보호하는 방법을 상세하게 알려 준다. 불가드는 IoT 일반 소비자 가이드로 지능형 디바이스의 보유 여부와 관계없이 홈 네트워크를 보호할 수 있는 세 가지 기본 팁을 제시한다. 스마트폰 패스워드를 설정하고, 공유기 관리 기능의 기본 패스워드를 바꾸고, 와이파이 네트워크의 기본 비밀번호를 바꾸는 것이다. 불가드의 IoT 스캐너가 하는 역할도 마찬가지이다. 스마트 디바이스를 새로 추가할 때마다 취약점은 없는 확인할 수 있는 쉽고 단순한 방법이다...

봇넷 취약점 스마트홈 2017.01.13

마이크로소프트, 68개의 결함 패치… 2개는 이미 악용

마이크로소프트가 윈도우, 오피스, 엣지, 인터넷 익스플로러, SQL 서버에서 68개의 취약점을 패치했는데, 이 가운데 2개는 이미 악용됐으며 3개는 공격자들이 폭로한 것으로 파악됐다. 이번 패치는 14가지 보안 권고에도 포함돼 있다. 이 가운데 하나는 윈도우 10과 8.1에서 윈도우 업데이트를 통해 업그레이드된 어도비 플래시 플레이어에 해당하는 항목이다. 보안 권고 가운데 6가지는 핵심 사항이며, 8가지는 중요 사항이다. 보안 업계에서 팬시 베어(Fancy Bear), APT28 또는 스트론튬(Strontium)으로 알려진 공격 집단이 이미 악용하고 있는 제로데이 취약점을 취급하기 때문에 운영자는 MS16-135 권고에서 윈도우 패치를 최우선으로 해야 한다. 구글은 마이크로소프트에 통보한 10일 만인 지난주 CVE-2016-7255로 추정되는 취약점을 공식적으로 밝혔다. 이는 두 회사 간에 약간의 마찰을 일으켰다. 구글은 취약점이 공격에 악용되는 것을 발견하면 해당 업체들에게 취약점을 수정하는데 7일을 준다. 마이크로소프트는 이러한 구글의 정책에 반대하고 이 취약점에 대해 자세하게 공개하는 것이 오히려 사용자들을 위험하게 한다고 판단했다. 우선으로 처리해야 할 또 다른 윈도우 보안 공지는 MS16-132다. 이는 핵심 사항이며 마이크로소프트에 따르면, 이미 공격자들이 악용하고 있는 또다른 제로데이 결함을 포함한 다수의 원격 코드 실행 취약점을 수정해 준다. 취약점은 윈도우 폰트 라이브러리에 있고, 웹사이트나 문서에 내장된 특별히 정교하게 제작된 폰트를 통하여 악용될 수 있다. 마이크로소프트는 보안 공지에서 공격자들이 악용할 수 있게 되면 감염된 시스템을 완전히 통제할 수 있게 된다고 밝혔다. MS16-142와 MS16-129에 수록된, 인터넷 익스플로러와 엣지에 있는 3개의 다른 중대한 취약점은 패치되기 전에 공식적으로 드러났다. 하지만 마이크로소프트에 따르면, 이것들은 아직 공격에 이용되지 않았다. 오피스 보안 공지...

취약점 패치 마이크로소프트 2016.11.09

마이크로소프트와 구글 "물고 물리는 취약점 폭로 공방"

마이크로소프트가 다음 주 중으로 열흘 전 구글이 공개한 윈도우 취약점 관련 패치를 배포하겠다고 발표했다. 마이크로소프트는 이 취약점을 악용한 공격자가 미국 민주당 전국 위원회(Democratic National Committee, DNC) 해킹 건으로 고발된 해커와 동일 단체라고 밝혔다. 윈도우 및 디바이스 그룹 이사 테리 마이어슨은 블로그를 통해 “모든 윈도우 버전을 대상으로 보안 테스트 중이며, 관련 패치를 11월 8일경 배포할 계획”이라고 말했다. 마이어슨은 구글을 가리켜 “사용자를 최우선으로 두는 것이 책임감 있는 IT 업계의 참여 방식이며 이를 위해서는 취약점 발표에도 조율이 필요하다고 믿는다. 패치를 충분히 테스트하고 공개하기 전에 취약점을 폭로하기로 한 구글의 결정은 매우 실망스러우며 사용자 안전에도 도움이 되지 않는다”고 강하게 비난했다. 구글은 월요일 블로그를 통해 윈도우 커널 버그를 발견했으며 10월 21일경 마이크로소프트에 알린 상태라고 밝혔다. 공격자들이 이 취약점을 적극적으로 악용하고 있었으므로, 구글은 7일 안에 오류를 해결해야 한다는 원칙이 적용된다고 주장했다. 같은 날 구글은 플래시와 윈도우 해킹을 포함, 멀티 익스플로잇 패키지로 PC를 하이재킹하는 플래시 플레이어 취약점에 대해서도 어도비 사에 알렸다. 어도비도 10월 26일에 플래시 보안 취약점에 대한 패치를 배포했다. 마이크로소프트는 어도비 패치 사실을 근거로 윈도우 취약점이 “매우 심각하다”고 언급한 구글의 주장을 반박했다. 어도비 플래시 플레이어 패치가 업데이트 되면서 사용자 피해가 급감했다는 것이다. 구글과 마이크로소프트는 구글 개발자들이 마이크로소프트의 관련 패치 배포에 한 발 앞서 취약점을 일반에 공개하면서 끊임 없는 취약점 폭로전을 벌여 왔다. 예를 들어 2015년 초에는 마이크로소프트가 이미 패치 배포를 준비하는 도중에 구글이 취약점을 폭로했다고 주장했다. 당시 마이크로...

취약점 해킹 제로데이 2016.11.03

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.