Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

해킹

글로벌 칼럼 | “등잔 밑이 어둡다” 확산되는 스마트 장난감의 보안 위협

장난감은 위험한 존재다. 장난감의 뾰족한 모서리나 불량 소재 등에 관한 이야기가 아니다. 이제 우리는 이러한 물리적 위험뿐 아니라, 해킹이라는 새로운 형태의 위협까지 고민해야 하는 시대에 도달했다. 스마트, 연결형(connected) 장난감들의 등장과 함께 지적되어오던 해킹의 가능성이, 바로 지난 주 실제로 발생한 것이다. 물론 이러한 스마트 장난감들은 분명 전통적인 장난감보다 아이들에게 더 많은 즐거움을 줄 수도 있고, 대부분의 경우 큰 위험 없이 사용할 수 있는 것이 사실이다. 하지만 지난 주의 사건을 통해 우리는 새로운 세대의 장난감들이 내재하고 있는 새로운 형태의 위험을 실제로 확인하게 됐다. 사건의 주인공은 홍콩 기반의 소비자 가전 제조사이자 세계 최대의 장난감 제조사 중 한 곳인 브이테크(VTech)였다. 브이테크는 키드 커넥트(Kid Connect)라는 자체 프로그램을 개발해 스마트 장난감을 통한 아동과 부모 간의 채팅을 지원하고 콘텐츠 다운로드 기능을 제공해왔는데, 지난 11월 14일 해당 프로그램에 해킹 공격이 가해진 것이다. 공격자는 데이터 유출 사실을 온라인 매체인 마더보드(Motherboard)에 공개하고 이번 해킹이 브이테크의 허술한 보안 체계를 폭로하기 위해 이뤄진 것이라 밝혔다. 그는 공격을 통해 사용자의 이름과 우편번호, 이메일 계정, IP 주소, 다운로드 기록, 성별 및 생년월일, 사진, 채팅 기록 등 매우 많은 개인 정보를 유출하는데 성공했다. 보고서에 따르면 이번 해킹으로 636만 8,509명의 아동과 485만 4,209 명의 부모 사용자들의 개인 정보가 유출됐으며, 지역별로는 미주 지역에서 300만 여명의 아동이, 유럽 지역에서 100만 여 명의 아동이 피해를 입은 것으로 확인됐다. 본 칼럼은 이러한 해킹 공격에 관한 낙관적인 견해와 비관적인 견해를 종합적으로 다루는 방식으로 전개될 것이다. 우리의 아이들에게 닥친 새로운 위협에 관해, 그리고 그간 어디에서도 들어보지 못했을 우리 아...

해킹 보안 IOT 2015.12.09

해킹에 가장 취약한 스마트 기기들

가트너에 따르면, 현재 소비자들이 인터넷에 연결해 사용하고 있는 기기의 수가 30억 개가 넘는다. 그리고 내년에는 40억 개로 10억 개가 증가할 전망이다. 연말 기간동안 인터넷에 연결된 기기는 크게 증가할 것으로 예상된다. CEA(Consumer Electronics Association)가 10월 발표한 보고서에서 연말 기간동안 선물로 전자 제품을 구입할 계획을 갖고 있는 미국인이 전체의 65%에 달한다. CEA 수석 경제학자이자 연구 조사 담당 선임 책임자인 숀 두브라백은 "기술 제품 지출액은 343억 달러로 역대 최고의 기술 제품 쇼핑 시즌이 될 것"이라고 전망했다. 이 가운데 상당수가 스마트 TV, 태블릿, 스마트폰, 노트북 컴퓨터, 비디오 게임 콘솔(게임기) 등 인터넷에 연결된 기기들이다. 또한 약 1/3(33%)의 미국 소비자들은 올해 스마트 홈 기기, 웨어러블 피트니스 트래커, 스마트 워치, 드론 등 신기술 제품을 구입할 계획을 갖고 있다. 불행히도, 이들 기기 가운데 상당수는 해킹에 취약하다. editor@itworld.co.kr

스마트폰 해킹 드론 2015.12.02

“악명 혹은 별명” 10명의 유명 해커와 이들의 별명

현대적 해커 문화의 진원지는 1960년대 반체제 운동의 본거지이기도 한 캘리포니아 지역이다. 1973년 시분할 버클리(Berkeley) 운영 체제 개발에 참여했던 버클리 지역 프로그래머들이 최초의 공용 게시판 시스템인 커뮤니티 메모리(Community Memory)를 출범했다. 이들 중에는 세인트 주드(St. Jude)로 불린 유명인 주드 밀혼도 있었다. 밀혼은 2003년 사망할 때까지 많은 사랑을 받았다. 커뮤니티 메모리가 출범하고 몇 년 후에는 마찬가지로 캘리포니아 주의 반대쪽 끝에서 수잔 헤들리가 범죄 조직과 손을 잡고 DEC 시스템 해킹을 도왔는데, 당시 헤들리는 수지 썬더(Susy Thunder)로 통했다. 이들이 즐겨 사용한 재미있는 별명은 당시 시대상의 일면이다. editor@itworld.co.kr

해커 해킹 보안 2015.11.30

JP모건 해킹 사건, 3명 기소

11월 10일, 뉴욕남부지방 검사 프릿 바라라는 여러 금융 기관, 금융 뉴스 출판사, 다른 기업 등을 해킹한 3개의 개별적인 혐의를 추가한 기소장을 공개했다. 로이터가 보도한 바에 따르면, 최근 공개된 이 기소장이 지난해 8,300만 가구 정보를 유출한 해킹 사건과 연관있다는 것을 JP모건(JPMorgan) 측에 확인했다. 9일 기소장은 게리 샤론, 조슈아 사무엘 아론, 지브 오렌스테인에 초점이 맞춰져 있었다. CSO 온라인이 입수한 기소장에서 기소 검사는 2012년에서 2015년 사이에 발생한 이 3개의 사건은 1억 명 이상의 개인 정보를 절취한 '역사상 미국 금융 업체로부터 고객 데이터를 절취한 가장 큰 사건'이라고 전했다. 이 3명의 이름은 올해 초 JP모건 해킹 사건 뿐만 아니라 주가 및 증권 사기 혐의로 기소장에 올라왔다. 이 그룹은 11개의 다른 기업들도 표적으로 삼았다. 23개의 기소에는 이 피해자들의 이름은 올라와 있지 않았다. 이 기소장에는 전세계에서 가장 큰 금융 서비스 업체 가운데 하나를 대상으로 소셜 엔지니어링, 하트브리드 취약점을 악용한 것을 포함한 공격 방법의 일부를 설명했다. 이 그룹의 핵심 범죄 해커인 샤론은 고객들에게 제공되는 적법한 접속권한을 적절히 혼합해 사용했다. 법원 기록에서 그는 표적이 된 네트워크 취약점들을 증명하기 위함이었으며, 악성코드 설치는 추가적인 접근 권한을 획득하기 위함이었다고 주장했다. 피해자로부터 갖고 온 데이터는 보안 솔루션을 조작하는 것을 포함해 다른 피해자들을 대상으로 한 공격에 사용됐다. 이후 기소장은 이 그룹은 내부 정보를 위해 최고경영진이나 유력 트레이더들이 사용하는 이메일 계정을 표적으로 삼았다고 밝혔다. 이들의 메일에는 그들이 관심 있는 정보가 들어있기 때문이었다. 이 그룹은 금융 공격을 실행하고 훔친 데이터를 세탁하기 위해 이집트, 체코, 남아프리카, 브라질에 서버를 두었다. 이러한 혐의를 기반으로 3명은 각각 기소됐...

해킹 사이버범죄 JP모건 2015.11.11

미 저작권청, 자동차와 의료기기에 대한 연구 목적 해킹 허용

미 저작권청이 보안 연구원들이 법적 소송의 위협 없이 자동차 시스템이나 의료 기기의 결함을 연구할 수 있도록 하는 근거를 마련했다. 미국 내에서 저작권 규제의 면책 여부를 최종 결정하는 미 국회도서관은 디지털 밀레니엄법 1201항에 대한 여러 가지 예외를 인정했다. 이 조항은 저작권물을 보호하기 위해 사용한 기술적 방법을 우회하는 것을 금지하고 있다. 미 저작권청은 국회 도서관의 산하 기관이다. 이번 결정으로 합법적으로 취득한 자동차와 트랙터, 기타 모터 구동 기기 상에서 실행되는 컴퓨터 프로그램과 환자에게 이식할 목적으로 만든 의료기기와 부속 개인 모니터링 시스템, 기타 투표 기계를 포함해 일반 소비자가 사용할 목적으로 만든 기기에 대해 “정직한 보안 연구”가 가능해졌다. 이번 면책안은 자동차와 의료기기 업계의 여러 회사와 조직이 반대해 왔지만 통과를 막지 못했다. 하지만 이번 결정은 실제 적용까지 1년의 유예 기간을 두기로 했기 때문에, 관련 보안 연구원들은 저작권법에 저촉되지 않기 위해서는 1년을 기다려야 한다. 디지털 밀레니엄법의 1201항은 불법적인 복제를 막기 위한 것이다. 전자프론티어재단의 변호사 키트 월시는 “하지만 최근 폭스바겐 사태에서 보듯이 이 조항은 잘못된 것을 컴퓨터 코드에 감추는 데 사용될 수 있다”고 지적했다. 월시는 “이제 분석가들이 우리가 타는 자동차의 소프트웨어를 자동차 업체의 법적 위협 없이 검사할 수 있게 돼 기쁘다”고 밝혔다. 전자프론티어재단은 이번 면책안을 청원한 단체 중 하나이다. 하지만 한편에서는 이런 자동차 보안 연구를 위축시킬 수 있는 법안이 만들어지고 있다. 미 하원 에너지 통상 소위원회는 최근 자동차 해킹을 불법 행위로 규정하는 법률 초안을 발표했다. 한편 미 국회도서관은 기존의 스마트폰 탈옥에 대한 면책 범위를 개정해 태블릿과 스마트워치 등 다른 모바일 디바이스로 확대했다. editor@itworld.co.k...

해킹 저작권 면책 2015.10.29

안드로이드 홈 화면에서 잠겨진 비밀번호를 우회하는 새로운 해킹 방법

지금까지 PIN이나 패턴 인식으로 자신을 보호할 수 있다. 하지만 이를 위해 모든 제조업체들이 매월 업데이트를 할 필요가 있다. 자신의 기기가 현재 심각한 보안 문제를 갖고 있다고 생각하는 이는 아무도 없을 것이다. 하지만 이번 해킹은 그것을 할 수 있다. 아스 테크니카(Ars Technica)의 의해 공개된 이 동영상은 누군가 긴급 전화를 사용해 잠긴 폰에 들어가는 권한을 획득할 수 있음을 보여준다. 이 스마트폰은 비밀번호로 보호받고 있음에도 불구하고 말이다. 이 동영상에서는 통화 창에서 강력한 문자열을 기입한다. 그리고 그것들을 기기의 클립보드에서 복사한 뒤, 그것을 통해 해커는 잠긴 기기에서 카메라를 열 수 있다. 그리고 옵션 메뉴에 접속하고 비밀번호 입력창에 여러 문자열들을 붙여 넣는다. 그러자 이 폰은 잠금이 해제됐다. 이 취약점은 안드로이드 5.0 운영체제에서 소개됐으며 넥서스 기기에 발표된 LMY48M 안드로이드 5.1.1 빌드에서는 해결됐다. 그러나 다양한 종류의 안드로이드 기기들은 넥서스와는 다를 수 있다. 이는 자신의 기기가 업데이트가 될 때까지 이 해킹에 취약점을 갖고 있을 수 있다는 걸 의미한다. 다행스럽게도 이 공격은 자신의 기기를 언락하기 위해 비밀번호를 사용할 때만 가능하다. 그래서 자신을 보호하려면 PIN이나 패턴 인식을 사용하면 된다. 만약 지문 인식을 사용하는 이라면 좀더 안전성을 유지하기 위해 백업으로 PIN 또는 패턴 인식을 할 필요가 있다. 올해는 아무래도 안드로이드 보안을 위한 좋은 해는 아닌 듯 하다. 스테이지프라이트(Stagefright)의 큰 공포를 겪은 직후이기 때문에 이런 작은 해킹에도 다들 주목한다. 구글과 기기 제조업체들이 매주 새로운 해킹에 대해 모든 이들이 그들의 게임을 안전하게 즐길 수 있도록 좀더 나은 보안을 필요하다. editor@itworld.co.kr

해킹 비밀번호 보안 2015.09.17

"시스코 라우터가 탈취 당했다, 다른 라우터도 위험한 건 마찬가지"...파이어아이

공격자들이 결국 시스코 라우터들을 성공적으로 감염시켰다. 파이어아이는 "공격자들이 해당 라우터가 서브하고 있는 네트워크 상의 다른 서버와 데이터를 해킹하기 위한 수단을 확보하기 위해 지속적으로 공격한 결과"라고 전했다. 파이어아이에 따르면, SNY풀 노크(SYNful Knock) 공격은 인도, 멕시코, 필리핀, 우크라이나에 있는 14개 시스코 라우터 내 펌웨어 버전들을 성공적으로 바꿔치기했다. 이를 통해 공격자는 해당 기기들에 대한 완전한 접속권한을 갖게 되는데, 연구원들은 해킹당한 서버들이 더 다양한 장소나 다른 브랜드의 라우터에서도 나타날 것으로 예상했다. SYN풀 노크는 향후 공격에 맞춤화하기 위해 소프트웨어 모듈을 다운로드하는데, 시스코 1841, 2811, 그리고 3825 라우터에서 발견됐다. 파이어아이는 블로그에서 "이는 처음에 라우터에 물리적인 접속을 하거나 유효한 비밀번호를 요구하게 되는 점을 악용한 것인데, 이는 소프트웨어 취약점을 악용한 것이 아니다"고 전했다. 파이어아이는 "그러나 이 공격은 특정 벤더와는 상관없는 일이다. 이는 어떤 제조업체가 만든 라우터라도 효과적이라는 것을 의미한다. 이런 공격 방법은 매우 실제적이어서 널리 퍼질 것이 명백하다"고 예상했다. 이 공격은 아마도 기본 비밀번호를 바꾸지 않은, 유효한 신원 인증을 사용해 접속 권한을 획득하는 것으로 시작한다. 그런 뒤 이 라우터의 IOS 운영체제를 수정한 임플란트(implants)을 설치한다. 이 임플란트는 공격자들에게 향후 악용을 위해 현재 해킹한 서버들에 접속할 수 있는 대체 수단을 제공한다. 시스코 블로그에서는 라우터 안전 수단을 권고한다. - 시스코의 가이드를 사용하고 있는 확실한 기기들만 사용하라. - 네트워크 모니터링를 통해 기기들의 완전성을 모니터링하라. - 운영 절차를 보장하기 위한 기기들을 위한 기준치를 확고히 하라. - 이 기준치로부터 벗어나는 것에 대해 ...

라우터 시스코 해킹 2015.09.16

美 대학 연구진, “의료기기 해킹으로 환자(마네킹) 살해할 수 있어”

대학생이 수업 후 집으로 와서 “오늘 무선으로 심박조율기를 해킹해서 환자를 죽였다. 내일은 인슐린 펌프를 해킹해서 환자를 죽일 것이다”라고 말하는 모습을 상상하긴 어렵다. 그러나 미국 사우스 앨라배마 대학 연구진은 옥상에 올라 큰 목소리로 거리낌없이 외친다. 교도소에 갈 걱정도 하지 않는다. 이들이 해킹한 의료 기기는 “현재 시중에서 가장 진보된 무선 환자 시뮬레이터”인 아이스탠(iStan)에 장착된 것이기 때문이다. 이 대학의 교수이자 인간 시뮬레이션 프로그램을 이끄는 마이크 제이콥스는 마더보드(Motherboard)와의 인터뷰에서 “이 시뮬레이터에는 심박 조율기가 있어 심박수를 높이거나 낮출 수 있다. 대부분의 경우 세동제거기가 포함되어 있는데, 이 경우 반복적으로 전기 충격을 가할 수 있다. 물론 마음만 먹으면 시뮬레이션 환자에게 해를 끼칠 수 있다. 심박조율기뿐만 아니라 인슐린 펌프를 비롯해 생명을 위협하는 부상이나 사망에 이르게 하는 다른 방법도 사용할 수 있다”고 말했다. 10만 달러짜리 아이스탠의 내부는 사람의 각종 기관을 모조한 심혈관, 호흡기, 신경계까지 구현돼 있다. 아이스탠이 피를 흘리는 경우 혈압과 심박동, 기타 임상 증상이 자동으로 바뀐다. 미국 간호 대학에 사용되는 아이스탠은 숨을 쉬고 두 곳에서 피를 흘리고 울고 체액을 분비하고 말을 하고 신음하고 쌕쌕거리고 토하고 헐떡거리고 기침을 하고 웅얼거린다. 제이콥스는 “달리 말하면 아이스탠은 살아 있는 사람, 또는 경우에 따라 죽어가는 사람을 시뮬레이션한다”며 “300가지 종류의 시뮬레이션 약물과 시술에 반응하며 생리적 반응은 인간의 반응과 동일하다”고 말했다. 연구 논문에는 아이스탠, 그리고 아이스탠과 연결되는 뮤즈(Muse) 소프트웨어 인터페이스의 사진이 포함돼 있다. 해킹을 통해 시뮬레이션 인간을 죽이는 것은 키보드를 통해 실제 사람을 살해하는 것만큼 충...

해킹 보안 2015.09.10

"대형 헬스케어 조직, 81%가 해킹당했다"...KPMG

KPMG의 최근 보고서에 따르면, 지난 2년동안 81%의 미국 병원과 건강보험 업체들이 데이터 유출 사고를 겪었다. 이는 이 업체들이 데이터를 잃었다고 모두 확정된 사고들이다. 그렉 벨 KPMG 사이버 미국 리더는 "이것이 단순히 악성코드 또는 바이러스 감염을 의미하는 게 아니라 실제로 데이터 유출까지 이뤄진 것"이라고 말했다. 이 연구는 연매출 5억 달러이상을 기록한 223개 헬스케어 조직들의 수석 기술 및 보안 임원들을 대상으로 설문조사를 실시한 결과다. 이 설문조사에서 건강보험 업체 경영진의 66%, 병원 경영진 53%만이 공격에 대비하고 있다고 말했다. 그리고 16%가 실시간으로 공격을 탐지하지 못한다고 응답했다. 결과적으로, KPMG는 겨우 13%의 조직만이 하루에 시도되는 사이버공격 평균보다 더 많다는 결과에 대해 의구심을 나타냈다. KPMG에 따르면, 많은 조직들이 공격에 대한 데이터를 수집하지 않고 있으며, 효과적으로 관리하고 있지 않다. 이 업체들은 실제 사고 숫자보다 적게 신고한 것으로 보인다. KPMG 파트너이자 사이버 프랙티스 헬스케어 리더인 마이클 에버트는 "그들은 아마 해킹당했어도 해킹 자체를 인지하지 못할 수도 있다"고 말했다. 그렉 벨은 "하나의 문제가 떠오르는데, 이 업체들에게는 정보를 수집하고 이를 조직 의사결정권자들에게 제공하는, 정보 보안에 대해 전담하고 있는 이가 없다는 점이다"고 지적했다. 이 설문조사에 따르면, 15% 헬스케어 조직들이 정보보안에 대한 전적인 책임을 가진 리더가 없었으며, 23%가 신원 확인과 위협 평가를 위한 보안 운영 센터를 갖고 있지 않았다. 게다가 55%는 그들의 조직에 인력을 확보하는 데 어려운 시간들을 보낸 적이 있다고 말했다. 또다른 문제는 이 문제가 회사내 최고 의사결정권자와 연결될 수 없었다는 것이다. 다른 최근 KPMG 설문조사에 따르면, 92%의 CEO들은 자신의 회사가 사이버 공격에 대해...

해킹 병원 KPMG 2015.09.07

FBI, 이메일 해킹 혐의로 전직 테슬라 엔지니어 기소

미국 전기 자동차 업체인 테슬라의 한 엔지니어가 상급 관리자의 이메일 계정을 해킹하고 직원 평가 내역을 훔쳐 보는 등 내부 기밀을 빼낸 혐의로 피소된 것으로 알려졌다. 미국 연방수사국(FBI)는 전 테슬라 직원이자 28세의 캐나다인 니마 칼바시가 고객 불만 사항 보고서에 접근하고, 해킹을 통해 알아낸 내용과 테슬라 자동차의 품질을 비난하는 의견 등을 온라인에 게시했다고 밝혔다. FBI는 목요일, 칼바시가 지난 달 미국과 캐나다 간 국경을 넘으려고 시도하다가 버몬트 주에서 체포됐다고 전했다. 칼바시는 2건의 컴퓨터 침입에 대해 중죄 혐의를 받아 최대 5년 형에, 또 다른 1건의 경범죄 혐의가 적용되면 최대 1년 형에 처해질 것으로 보인다. FBI의 기소에 따르면 칼바시는 지난 12월까지 약 1년 가량 테슬라에서 기계 엔지니어로 근무했다. 기소 내용에 따르면 퇴사 후 개인 이메일 계정이 비활성화되었으나, 칼바시는 전 직장 상사의 이메일 계정과 로그인 인증서, 비밀번호를 입수했다. 어떤 수단으로 기밀 인증을 손에 넣었는지는 알려지지 않았다. 칼바시 측은 이에 대한 답변이 없었고, 피고 측 변호사 역시 이메일 질문에 답변하지 않았다. 한 해 동안 외부 해커에 의한 침입과 공격 사고가 끊이지 않는 가운데, 일부 조사 결과는 내부 직원의 태만과 부주의 또한 보안 규약에 맹점으로 작용하는 경향이 분명히 존재하는 것으로 나타났다. editor@itworld.co.kr

해킹 이메일 FB 2015.09.04

러시아와 중국, 미국 첩보요원들을 알아내기 위해 해킹된 데이터베이스 사용

러시아와 중국 첩보기관들은 미국 첩보 활동을 알아내기 위해 해킹된 데이터베이스들을 교차 점검하고 있다. LA 타임즈가 31일 보도한 바에 따르면, 미국 엔지니어와 과학자로 구성된 비밀 네트워크는 미국의 외국 첩보당국들을 해킹당한 것에 대해 기술적 조언을 제공하고 있다. 이 기사는 외국 첩보 기관들이 여러 대의 해킹된 데이터베이스들을 교차 점검 중에 있는데, 이 데이터베이스에는 미국 첩보요원을 알아내기 위해 비밀 취급서(Security Clearance applications)와 항공 기록 정보를 포함하고 있다. 지난 6월, 미국 인사관리처(Office of Personnel Management, OPM)은 자체 비밀 취급 데이터베이스를 유출한 사실을 발표했다. 이 유출 사건에서 미국 정부의 기준 서식(Standard Form) 86에 있는 정보를 해킹당한 것으로 알려졌는데, 이는 지원자의 과거 군 경력, 범죄 경력, 컴퓨터 해킹 활동, 금융상 문제, 그리고 테러리즘 그룹과의 연계 등에 대한 127 페이지짜리 설문지다. 미국 법조인들은 OPM 유출 사고가 첩보 요원들을 위험하게 만들고, 지원자들을 협박에 노출시킨 것에 대해 우려했다. OPM 유출사고와 함께 다른 최근 해킹들에 대해 트립와이어 보안 분석가 켄 웨스틴은 "우리의 가장 큰 두려움은 이 데이터 유출사고들이 단독 해킹 사건이 아니라 전세계에 있는 미국 첩보요원들과 비밀 취급 권한을 가진 이들을 노출시키기 위한 목적으로 이뤄지는 거대한 캠페인 가운데 하나일 경우"라고 이메일을 통해 말했다. 웨스틴은 "여러 해킹 사고들의 목적이 첩보요원들의 노출이라는 증거들이 커가고 있다"고 덧붙였다. 웨스틴은 기사에서 "정부요원과 민간 기업들에 대한 여러 우려할만한 것들이 증가하고 있다"며, "우리의 리스크과 위협 모델은 다수의 해킹 사고로부터 나온 데이터들이 서로 연관관계를 가질 때 기하급수적으로 증가할 피해액은 계...

해킹 2015.09.02

애슐리 메디슨 해킹 사건에 대한 보안 전문가들의 소견, "피해는 생각보다 크다"

애슐리 메디슨 해커들은 이 사이트 사용자 정보들을 공개할 것이라고 위협하다가 결국 모든 정보를 공개했다. 이 해커들이 해당 사이트에서 빼냈다고 주장하는 이 데이터는 실제로 강력했다. 그러나 어떤 점에서는 이 데이터의 상당량이 위조됐거나 가짜일지 모른다. 그래서 자신이 보는 모든 것을 믿을 수 없다. '인생은 짧다. 바람을 피우세요'라는 애슐리 메디슨의 부제어처럼 걱정스럽게도 일부 사용자들은 말 그대로 인생이 정말 짧아질 지 모른다. IT 블로그워치의 블로거들은 유출된 데이터에 대해 조심스럽게 다뤘으며, 이에 대해 언급조차 하지 않았다. 9.7GB 짜리 파일은 다크웹(dark web)에 게재됐다. 이 파일에는 3,200만 사용자의 상세 계정정보와 로그인 정보를 포함해 7년동안 신용카드와 다른 지불 거래 정보들이 포함되어 있었다. 여기에는 수백만 건의 지불 거래와 이름, 주소, 이메일 주소, 지불 금액 등은 있었지만, 신용카드 번호는 없었다. 돈 받고 계정정보 지운다는 약속도 안 지켰다 지난달, 자신들을 임팩트팀(Impact Team)이라 부르는 이 해커들은 애슐리메디슨닷컴(AshleyMadison.com)과 에스태블리시트 맨(Established Men)의 소유업체인 ALM(Avid Life Media)에게 이 두 사이트를 중단하라고 협박했었다. 그리고 이 사이트들은 사용자가 19달러를 지불하면 사용자 데이터를 삭제해 준다고 약속했지만 실제로는 이 데이터를 보유하고 있었다고 폭로했다. 이 해커들은 ALM은 사용자와의 비밀을 지킨다는 약속을 이행할 생각도 하지 않았다고 주장했다. 애슐리 메디슨의 결제 프로세스는 이메일 주소의 검증을 요구하지 않는다는 점에서 중요하다. 예를 들어 해킹 당했을 지 모르는 데이터 속에는 전 영국 수상 토니 블레어를 지칭하는 이메일도 포함되어 있다. 이 데이터들은 실제일 가능성이 높다 이 데이터들이 실제인가? 미국 보안전문 블로거인 브라이언 크렙스는 '그렇다...

해킹 프라이버시 데이터유출 2015.08.20

글로벌 칼럼 | 컴퓨터 보안 10년…가장 큰 변화 5가지

이 글을 쓰는 현재 인포월드에 기고를 시작한 지 10년 째다. 10년째가 되는 지금, 그나마 그 동안 변한 것들을 정리해 본다. 지금 우리가 직면하는 위협도, 그에 대처하는 방어도 과거와는 많이 달라졌다. 보안 변화 1: 전문 직업이 된 해킹 초기에는 위협 요소의 대부분이 장난기 많은 어린 사용자들이 만든 바이러스, 웜, 트로이 목마 등의 멀웨어 프로그램이었다. 일부 멀웨어 프로그램은 디스크를 포맷하거나 데이터 파일을 삭제하는 등 실질적인 해를 끼치기도 했지만 대부분은 그냥 귀찮고 성가신 정도였다. 물론 전문적인 해커나 정부 지원을 받는 해커도 있긴 했으나 흔한 경우는 아니었다. 10년이 지나면서 무엇이 바뀌었을까. 지금은 거의 모든 멀웨어가 돈이나 기업 기밀을 훔치기 위한 목적으로 만들어진다. 장난으로 스크립트를 만들던 아이들은 일반 사용자와 기업을 희생양 삼아 거의 잡힐 위험도 없이 매일 수백만 달러의 돈을 벌어들이는 전문 해커 집단에 밀려나 사라졌다. 멀웨어는 한때 악의 없는 장난스러운 바이러스와 웜이었지만 이제 ID를 훔치는 프로그램과 랜섬웨어로 바뀌었다. 신용 카드를 소지한 사람이라면 누구나 금융 관련 ID가 유출되는 일을 겪어봤을 것이다. 이제는 1억 건의 기록이 유출되는 사건이 벌어져도 아무도 놀라지 않는다. 이제 모두가 무료 신용 모니터링을 이용하지 않는가? 지금은 공식적이든 비공식적이든 외국 정부의 후원을 받아 움직이는 지능적 지속 위협(APT)이 흔하다. 이들은 개인 문서와 이메일, 특허와 계약 등을 아이가 꽃밭에서 꽃을 따듯 쉽게 훔친다. 한 국가가 사이버 보안 공격을 이용해서 다른 국가 수장의 이메일을 읽거나 핵 원심분리기와 같은 물리적 자산을 파괴하는 일은 이제 일상적이다. 가장 뛰어난 해커를 보유한 국가가 새로운 냉전의 승리자가 된다. 무해한 부팅 바이러스, 그리고 장난스러운 스크립트를 짜던 10대 아이들, 그 시절이 그립다. 보안 변화 2: 누구도 침해를 피할 수 없다 지금은 모든 사람들...

해킹 멀웨어 보안 2015.08.20

애슐리 메디슨 해커, 해킹한 개인정보 수백만 개 공개

지난 7월 애슐리 메디슨(Ashley Madison)을 해킹한 해커들이 공개하겠다고 약속했던 수백만의 개인정보를 포함한 10GB 파일을 공개했다. 이 해킹 그룹이 애슐리 메디슨(the Ashley Madison)을 해킹해 탈취했다는 정보에는 사용자 계정 정보, 개인 정보, 금융 거래 기록 등이 포함됐다. 지난 7월, 자칭 임팩트팀(Impact Team)이라 부르는 이 해커 그룹은 자신들이 불륜 조장 사이트인 애슐리 매디슨과 쿠거 라이프(Cougar Life), 그리고 젊은 여자를 부자들에게 소개시켜주는 에스태블리시트 맨(Established Men) 등을 운영하는 ALM(Avid Life Media)을 해킹해 데이터를 유출했다고 밝혔다. 이 해커 그룹은 "그들은 완전히 해킹당했다. 우리는 ALM의 자료 전체를 획득했다"고 말했다. 이들이 애슐리 메디슨과 에스태블리시드 맨 사이트 운영을 중단할 것을 요구하면서 만약 중단하지 않으면, 해킹한 모든 자료들을 공개할 것이라고 협박했다. 이번 공격의 이유에 대해 임팩트 팀은 이 회사가 다른 사람의 고통으로 이익을 올리기 때문이라고 말했다. 18일 이 해커 그룹은 자신들이 약속했던 10GB의 데이터를 공개했다. "ALM은 애슐리 메디슨과 에스테블리시트 맨 사이트를 중단하지 않았다. 우리는 ALM의 사기 행각과 속임수와 사이트 회원들의 어리석음에 대해 설명했다. 현재 누구든지 이 데이터들을 볼 수 있다. 만약 이 데이터에서 자신이 알고 있는 누군가를 발견한다고 해서 욕해서는 안된다. 이 사이트는 수천 명의 가짜 여성 명단으로 사기 행각을 벌이고 있음을 명심해라. 애슐리 매디슨의 사기 프로파일은 소송감이다. 이 사이트의 사용자 90~95%가 남자다. 만약 당신의 남자가 세계에서 가장 문제가 되는 사이트에 등록했다고 하더라도 결코 바람을 필 수 없을 것이다. 이 명단에서 자신의 이름이 발견됐다면 ALM은 당신을 나락으로 빠트리고 거짓말을 한 것이다. ALM을 고소하고 손해...

해킹 개인정보 데이터 2015.08.19

공유기가 해커들의 관문이 되고 있다

IT 보안 가운데 가장 취약한 연결고리가 실수와 부주의가 많은 사람이라는 말을 많이 한다. 그렇다면 두 번째로 취약한 연결고리는 무엇일까? 많은 전문가들이 라우터(router), 즉 공유기를 꼽는다. 공유기는 인터넷의 '백본(근간)'으로 부르는 사람과 웹을 연결하는 장치다. 그런데 이 공유기는 능력있는 해커에 취약점을 드러낸다. 전문가들이 공유기에 대해 '경종'을 울린 역사는 꽤 길다. 하지만 큰 변화가 없었다. 1년 전 매사추세츠 캠브릿지에서 개최된 한 컨퍼런스에서 벤처 캐피탈 업체인 인큐텔(In-Q-Tel) CSO인 댄 기어는 "대부분의 상용 공유기는 안전하지 못하다. 드라이버와 운영 시스템은 리눅스 상태에 대한 스냅샷이나 마찬가지이고, 애초 가장 저렴한 상용 칩으로 공유기를 설계하기 때문이다"고 지적했다. 기어는 이에 대한 유일한 해결책은 이런 공유기를 쓰레기통에 버리고, 새 공유기를 설치하는 것이라고 말했다. 그러나 이런 방법으로도 문제를 해결할 수 없을지 모른다고 덧붙였다. 새 공유기에도 동일한 취약점이 있기 때문이다. 시스템 아키텍트인 짐 게티스는 지난해 여러 공유기에 탑재된 구식 기술들을 조사했다. 그리고 공유기를 설계하는 시점부터 3~4년된 기술을 사용하고 있음을 발견했다. 업데이트가 없다면 애초부터 기존 취약점을 떠 안은 상태에서 공유기를 사용하게 되는 것이다. 그리고 시간이 경과하면서 상황이 더 악화된다. 게티스는 최근 인터뷰에서 "이후에도 시장에 큰 변화가 없었다"고 지적했다. 암호화 기술 전문가인 레질런트 시스템스(Resilient Systems)의 브루스 슈나이어는 1년 전 한 블로그 게시글에서 "공유기와 모뎀에 탑재된 컴퓨터 기술은 1990년대 PC보다는 강력하다"고 비꼬면서 "지금 당장 보안 취약점을 해결하지 않을 경우 보안 측면에서 재앙을 맞게 될 것이다. 해커들이 컴퓨터보다는 공유기 해킹이 쉽다는 사실을 알고 있...

라우터 취약점 해커 2015.08.18

비트디펜더 해킹 사건, 옛날 버전의 소프트웨어 내 취약점 악용해 고객 비밀번호 찾기 유출

비트디펜더 고객 비밀번호 찾기를 훔친 해커는 하나의 서버로부터 정보를 추출하기 위해 옛날 버전의 소프트웨어 내 취약점을 악용한 것으로 드러났다. 이 해커는 SMB 기업 고객들을 대상으로 클라우드 기반의 관리 대시보드를 호스트하는 비트디펜더의 한 서버에서 고객 비밀번호 찾기(customer log-in credentials)를 추출했다. 비트디펜더는 이 보안 해킹 사건을 시인했다. 하지만 이메일 공식 성명을 통해 비밀번호를 모두 초기화해 영향을 받은 이들은 중견중소 기업 고객들의 1% 미만이라고 말했다. 일반 고객들과 대기업 고객은 아무런 영향이 없다고 덧붙였다. 온라인에서 DetoxRansome이라는 아이디를 사용하는 이 해커는 7월 25일 이 해킹 사건을 트위터에 올리면서 자신에게 1만 5,000달러를 지불하지 않으면 이 회사의 고객 데이터를 공개하겠다고 비트디펜더를 위협하는 메시지를 남겼다. 그가 경고한 바대로 다음날 두명의 비트디펜더 고객 계정과 기업 자체적으로 운영되는 한 계정의 이메일 주소와 비밀번호를 공개했다. 트래비스 도링과 댄 맥피크는 한 블로그에서 이 데이터를 팔려는 해커와 접촉했다고 주장했다. 해커는 활동 중으로 확인된 250개 이상의 비트디펜더 사용자 계정 이름과 비밀번호 일치 목록을 제공했다고 7월 29일 전했다. 도링과 맥피크는 비트디펜더와 함께 이 정보를 공유했다고 말했다. 이들에 따르면, 이들이 DetoxRansome에게 얼마나 많은 비밀번호 찾기를 획득했는지 요구했을 때, 해커는 비트디펜더의 주요 서버 가운데 하나를 스니핑(Sniffing)했다고 응답했다. 비트디펜더는 이 공격이 이전에 알려지지 않은, 제로데이 취약점을 악용한 것이 아니라고 확인했다. 이번 사건은 사람의 실수에 의해 기인한 것으로 보인다. 도링은 인프라스트럭처 증가로 인한 것으로, 정보를 추출할 수 있는 알려진 결함을 갖고 있는 옛날 소프트웨어 패키지에 배치된 하나의 서버가 해킹당한 것으로 추정했다. 그러나 비트디펜더...

해킹 유출 비트디펜더 2015.08.03

커넥티드 카 “기존 방화벽으로는 보호할 수 없다”

중국 군사 전략가 손자는 병법에서 “전쟁에서 가장 중요한 것은 적의 전략을 공격하는 것”이라고 썼다. 전문가들은 자동차가 갈수록 고도로 네트워크화되고 있는 만큼 자동차 업계도 자동차 보호에 적극 나서야 한다고 말한다. 사이버 공격을 차단하기 위한 방화벽은 별 소용이 없다. 실질적 피해를 입히기 전에 공격을 막기 위해서는 보안 결함의 형태를 인식하는 시스템을 구축해야 한다. 최근 크라이슬러 지프를 해킹해 원격으로 제어할 수 있음을 시연한 보안 전문가 찰리 밀러는 “자동차 헤드 유닛을 해킹해서 라디오를 조작하는 것 정도는 문제가 되지 않는다. 그러나 헤드 유닛을 해킹해서 브레이크를 작동 불능으로 만든다면 그건 전혀 다른 이야기다. 이미 공격이 벌어지고 난 다음 막아봤자 소용이 없다”고 지적했다. IHS 오토모티브(IHS Automotive)의 선임 분석가이자 연구 책임자인 에질 줄리우센은 자동차 업계(은행 업계 역시 마찬가지)는 운영 보안(Operational Security)이라고 하는 이러한 보안을 더디게 도입하고 있다면서 “자동차 업계는 해커가 경계 보안을 뚫지 못한다고 생각하지만 이는 사실과 다르다. 이것은 보안의 기본 원칙”이라고 말했다. 밀러와 크리스 밸러섹이 경계 보안을 해킹한 다음 크라이슬러 지프의 인포테인먼트 시스템인 유커넥트(UConnect) 헤드 유닛 초기 모델로 침투하는 데 성공한 사건은 자동차 업계의 경각심을 일깨웠다. 과거 해커는 자동차의 온보드 진단(OBD-II) 포트에 물리적으로 연결을 한 상태에서만 내부 컴퓨터 버스에 침투할 수 있었다. 밀러와 밸러섹은 차량의 셀룰러 네트워크 연결을 사용해서 지프의 헤드 유닛에 무선으로 연결한 다음 지프의 제어 영역 네트워크(Control Area Network, CAN)에 접근했다. 이 그림은 10개 이상의 무선 액세스 포인트가 자동차의 헤드 유닛과 CAN에 있다는 것을 보여준다. 모든 현대식 ...

해킹 자동차 커넥티드카 2015.07.28

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.