Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

해킹

결제처리시스템을 해킹한 하얏트 해커들, 훔친 카드 250여 곳에서 사용

해커들은 하얏트 호텔의 결제 시스템을 악성코드에 감염시킨 후, 전세계 50여 개국 250여 곳의 하야트 호텔에서 해킹한 지불 카드를 사용했다. 지난 7일 하얏트는 지난해 12월 데이터 유출 사고에 대한 조사 결과를 발표하면서 지불 카드 번호가 노출된 장소 총목록과 시간 등을 알렸다. 2015년 8월 13일부터 12월 8일 동안 유출된 결제 카드는 대부분 하얏트 내 레스토랑에서 사용됐다. 그러나 적은 확률로 스파나 골프 숍, 주차장, 프론트 데스크, 영업 사무실 등에서도 사용됐을 가능성이 있다. 카드 소유주 이름, 카드 번호, 유효기간과 인증코드 등과 같은 카드 상세 내역을 캡처하기 위해 설계된 이 악성코드는 하얏트의 컴퓨터에 설치되어 그 기간동안 결제 데이터를 수집했다. 하얏트는 집 주소가 있는 고객들에게는 집주소로, 다른 고객들에게는 이메일을 통해 공지 편지를 보내면서 피해를 입은 고객들에게 1년간 신원 확인 및 사기보호 서비스인 CSID를 무료로 제공한다고 밝혔다. 하얏트 측은 서드파티 사이버보안 전문가들과 함께 보안 사고에 대해 면밀히 조사하고 있는데, 추가적인 피해사항은 일어나지 않았다고 전했다. 이번 사건에 영향을 받은 한국 하얏트 호텔은 총 5곳으로, 파크 하얏트 부산(Park Hyatt Busan), 파크 하얏트 서울(Park Hyatt Seoul), 그랜드 하얏트 인천(Grand Hyatt Incheon), 하얏트 리젠시 제주(Hyatt Regency Jeju), 그랜드 하얏트 서울(Grand Hyatt Seoul) 등이다. 영향을 받은 전체 목록은 여기를 클릭. 한국뿐만 아니라 중국(22곳), 호주(5곳), 일본(4곳), 홍콩(3곳), 말레이시아(3곳), 태국(3곳), 베트남(2곳), 싱가포르, 마카오, 필리핀, 괌, 대만 등 아태 지역 대부분의 호텔들도 영향을 받았다. 2015년 8월 13일부터 12월 8일까지 하얏트 호텔을 방문하거나 결제를 한 사용자라면 결제 카드 거래 내역서를 잘 살펴보고 비승인 청...

해킹 결제시스템 데이터유출 2016.01.19

글로벌 칼럼 | “등잔 밑이 어둡다” 확산되는 스마트 장난감의 보안 위협

장난감은 위험한 존재다. 장난감의 뾰족한 모서리나 불량 소재 등에 관한 이야기가 아니다. 이제 우리는 이러한 물리적 위험뿐 아니라, 해킹이라는 새로운 형태의 위협까지 고민해야 하는 시대에 도달했다. 스마트, 연결형(connected) 장난감들의 등장과 함께 지적되어오던 해킹의 가능성이, 바로 지난 주 실제로 발생한 것이다. 물론 이러한 스마트 장난감들은 분명 전통적인 장난감보다 아이들에게 더 많은 즐거움을 줄 수도 있고, 대부분의 경우 큰 위험 없이 사용할 수 있는 것이 사실이다. 하지만 지난 주의 사건을 통해 우리는 새로운 세대의 장난감들이 내재하고 있는 새로운 형태의 위험을 실제로 확인하게 됐다. 사건의 주인공은 홍콩 기반의 소비자 가전 제조사이자 세계 최대의 장난감 제조사 중 한 곳인 브이테크(VTech)였다. 브이테크는 키드 커넥트(Kid Connect)라는 자체 프로그램을 개발해 스마트 장난감을 통한 아동과 부모 간의 채팅을 지원하고 콘텐츠 다운로드 기능을 제공해왔는데, 지난 11월 14일 해당 프로그램에 해킹 공격이 가해진 것이다. 공격자는 데이터 유출 사실을 온라인 매체인 마더보드(Motherboard)에 공개하고 이번 해킹이 브이테크의 허술한 보안 체계를 폭로하기 위해 이뤄진 것이라 밝혔다. 그는 공격을 통해 사용자의 이름과 우편번호, 이메일 계정, IP 주소, 다운로드 기록, 성별 및 생년월일, 사진, 채팅 기록 등 매우 많은 개인 정보를 유출하는데 성공했다. 보고서에 따르면 이번 해킹으로 636만 8,509명의 아동과 485만 4,209 명의 부모 사용자들의 개인 정보가 유출됐으며, 지역별로는 미주 지역에서 300만 여명의 아동이, 유럽 지역에서 100만 여 명의 아동이 피해를 입은 것으로 확인됐다. 본 칼럼은 이러한 해킹 공격에 관한 낙관적인 견해와 비관적인 견해를 종합적으로 다루는 방식으로 전개될 것이다. 우리의 아이들에게 닥친 새로운 위협에 관해, 그리고 그간 어디에서도 들어보지 못했을 우리 아...

해킹 보안 IOT 2015.12.09

해킹에 가장 취약한 스마트 기기들

가트너에 따르면, 현재 소비자들이 인터넷에 연결해 사용하고 있는 기기의 수가 30억 개가 넘는다. 그리고 내년에는 40억 개로 10억 개가 증가할 전망이다. 연말 기간동안 인터넷에 연결된 기기는 크게 증가할 것으로 예상된다. CEA(Consumer Electronics Association)가 10월 발표한 보고서에서 연말 기간동안 선물로 전자 제품을 구입할 계획을 갖고 있는 미국인이 전체의 65%에 달한다. CEA 수석 경제학자이자 연구 조사 담당 선임 책임자인 숀 두브라백은 "기술 제품 지출액은 343억 달러로 역대 최고의 기술 제품 쇼핑 시즌이 될 것"이라고 전망했다. 이 가운데 상당수가 스마트 TV, 태블릿, 스마트폰, 노트북 컴퓨터, 비디오 게임 콘솔(게임기) 등 인터넷에 연결된 기기들이다. 또한 약 1/3(33%)의 미국 소비자들은 올해 스마트 홈 기기, 웨어러블 피트니스 트래커, 스마트 워치, 드론 등 신기술 제품을 구입할 계획을 갖고 있다. 불행히도, 이들 기기 가운데 상당수는 해킹에 취약하다. editor@itworld.co.kr

스마트폰 해킹 드론 2015.12.02

“악명 혹은 별명” 10명의 유명 해커와 이들의 별명

현대적 해커 문화의 진원지는 1960년대 반체제 운동의 본거지이기도 한 캘리포니아 지역이다. 1973년 시분할 버클리(Berkeley) 운영 체제 개발에 참여했던 버클리 지역 프로그래머들이 최초의 공용 게시판 시스템인 커뮤니티 메모리(Community Memory)를 출범했다. 이들 중에는 세인트 주드(St. Jude)로 불린 유명인 주드 밀혼도 있었다. 밀혼은 2003년 사망할 때까지 많은 사랑을 받았다. 커뮤니티 메모리가 출범하고 몇 년 후에는 마찬가지로 캘리포니아 주의 반대쪽 끝에서 수잔 헤들리가 범죄 조직과 손을 잡고 DEC 시스템 해킹을 도왔는데, 당시 헤들리는 수지 썬더(Susy Thunder)로 통했다. 이들이 즐겨 사용한 재미있는 별명은 당시 시대상의 일면이다. editor@itworld.co.kr

해커 해킹 보안 2015.11.30

JP모건 해킹 사건, 3명 기소

11월 10일, 뉴욕남부지방 검사 프릿 바라라는 여러 금융 기관, 금융 뉴스 출판사, 다른 기업 등을 해킹한 3개의 개별적인 혐의를 추가한 기소장을 공개했다. 로이터가 보도한 바에 따르면, 최근 공개된 이 기소장이 지난해 8,300만 가구 정보를 유출한 해킹 사건과 연관있다는 것을 JP모건(JPMorgan) 측에 확인했다. 9일 기소장은 게리 샤론, 조슈아 사무엘 아론, 지브 오렌스테인에 초점이 맞춰져 있었다. CSO 온라인이 입수한 기소장에서 기소 검사는 2012년에서 2015년 사이에 발생한 이 3개의 사건은 1억 명 이상의 개인 정보를 절취한 '역사상 미국 금융 업체로부터 고객 데이터를 절취한 가장 큰 사건'이라고 전했다. 이 3명의 이름은 올해 초 JP모건 해킹 사건 뿐만 아니라 주가 및 증권 사기 혐의로 기소장에 올라왔다. 이 그룹은 11개의 다른 기업들도 표적으로 삼았다. 23개의 기소에는 이 피해자들의 이름은 올라와 있지 않았다. 이 기소장에는 전세계에서 가장 큰 금융 서비스 업체 가운데 하나를 대상으로 소셜 엔지니어링, 하트브리드 취약점을 악용한 것을 포함한 공격 방법의 일부를 설명했다. 이 그룹의 핵심 범죄 해커인 샤론은 고객들에게 제공되는 적법한 접속권한을 적절히 혼합해 사용했다. 법원 기록에서 그는 표적이 된 네트워크 취약점들을 증명하기 위함이었으며, 악성코드 설치는 추가적인 접근 권한을 획득하기 위함이었다고 주장했다. 피해자로부터 갖고 온 데이터는 보안 솔루션을 조작하는 것을 포함해 다른 피해자들을 대상으로 한 공격에 사용됐다. 이후 기소장은 이 그룹은 내부 정보를 위해 최고경영진이나 유력 트레이더들이 사용하는 이메일 계정을 표적으로 삼았다고 밝혔다. 이들의 메일에는 그들이 관심 있는 정보가 들어있기 때문이었다. 이 그룹은 금융 공격을 실행하고 훔친 데이터를 세탁하기 위해 이집트, 체코, 남아프리카, 브라질에 서버를 두었다. 이러한 혐의를 기반으로 3명은 각각 기소됐...

해킹 사이버범죄 JP모건 2015.11.11

미 저작권청, 자동차와 의료기기에 대한 연구 목적 해킹 허용

미 저작권청이 보안 연구원들이 법적 소송의 위협 없이 자동차 시스템이나 의료 기기의 결함을 연구할 수 있도록 하는 근거를 마련했다. 미국 내에서 저작권 규제의 면책 여부를 최종 결정하는 미 국회도서관은 디지털 밀레니엄법 1201항에 대한 여러 가지 예외를 인정했다. 이 조항은 저작권물을 보호하기 위해 사용한 기술적 방법을 우회하는 것을 금지하고 있다. 미 저작권청은 국회 도서관의 산하 기관이다. 이번 결정으로 합법적으로 취득한 자동차와 트랙터, 기타 모터 구동 기기 상에서 실행되는 컴퓨터 프로그램과 환자에게 이식할 목적으로 만든 의료기기와 부속 개인 모니터링 시스템, 기타 투표 기계를 포함해 일반 소비자가 사용할 목적으로 만든 기기에 대해 “정직한 보안 연구”가 가능해졌다. 이번 면책안은 자동차와 의료기기 업계의 여러 회사와 조직이 반대해 왔지만 통과를 막지 못했다. 하지만 이번 결정은 실제 적용까지 1년의 유예 기간을 두기로 했기 때문에, 관련 보안 연구원들은 저작권법에 저촉되지 않기 위해서는 1년을 기다려야 한다. 디지털 밀레니엄법의 1201항은 불법적인 복제를 막기 위한 것이다. 전자프론티어재단의 변호사 키트 월시는 “하지만 최근 폭스바겐 사태에서 보듯이 이 조항은 잘못된 것을 컴퓨터 코드에 감추는 데 사용될 수 있다”고 지적했다. 월시는 “이제 분석가들이 우리가 타는 자동차의 소프트웨어를 자동차 업체의 법적 위협 없이 검사할 수 있게 돼 기쁘다”고 밝혔다. 전자프론티어재단은 이번 면책안을 청원한 단체 중 하나이다. 하지만 한편에서는 이런 자동차 보안 연구를 위축시킬 수 있는 법안이 만들어지고 있다. 미 하원 에너지 통상 소위원회는 최근 자동차 해킹을 불법 행위로 규정하는 법률 초안을 발표했다. 한편 미 국회도서관은 기존의 스마트폰 탈옥에 대한 면책 범위를 개정해 태블릿과 스마트워치 등 다른 모바일 디바이스로 확대했다. editor@itworld.co.k...

해킹 저작권 면책 2015.10.29

안드로이드 홈 화면에서 잠겨진 비밀번호를 우회하는 새로운 해킹 방법

지금까지 PIN이나 패턴 인식으로 자신을 보호할 수 있다. 하지만 이를 위해 모든 제조업체들이 매월 업데이트를 할 필요가 있다. 자신의 기기가 현재 심각한 보안 문제를 갖고 있다고 생각하는 이는 아무도 없을 것이다. 하지만 이번 해킹은 그것을 할 수 있다. 아스 테크니카(Ars Technica)의 의해 공개된 이 동영상은 누군가 긴급 전화를 사용해 잠긴 폰에 들어가는 권한을 획득할 수 있음을 보여준다. 이 스마트폰은 비밀번호로 보호받고 있음에도 불구하고 말이다. 이 동영상에서는 통화 창에서 강력한 문자열을 기입한다. 그리고 그것들을 기기의 클립보드에서 복사한 뒤, 그것을 통해 해커는 잠긴 기기에서 카메라를 열 수 있다. 그리고 옵션 메뉴에 접속하고 비밀번호 입력창에 여러 문자열들을 붙여 넣는다. 그러자 이 폰은 잠금이 해제됐다. 이 취약점은 안드로이드 5.0 운영체제에서 소개됐으며 넥서스 기기에 발표된 LMY48M 안드로이드 5.1.1 빌드에서는 해결됐다. 그러나 다양한 종류의 안드로이드 기기들은 넥서스와는 다를 수 있다. 이는 자신의 기기가 업데이트가 될 때까지 이 해킹에 취약점을 갖고 있을 수 있다는 걸 의미한다. 다행스럽게도 이 공격은 자신의 기기를 언락하기 위해 비밀번호를 사용할 때만 가능하다. 그래서 자신을 보호하려면 PIN이나 패턴 인식을 사용하면 된다. 만약 지문 인식을 사용하는 이라면 좀더 안전성을 유지하기 위해 백업으로 PIN 또는 패턴 인식을 할 필요가 있다. 올해는 아무래도 안드로이드 보안을 위한 좋은 해는 아닌 듯 하다. 스테이지프라이트(Stagefright)의 큰 공포를 겪은 직후이기 때문에 이런 작은 해킹에도 다들 주목한다. 구글과 기기 제조업체들이 매주 새로운 해킹에 대해 모든 이들이 그들의 게임을 안전하게 즐길 수 있도록 좀더 나은 보안을 필요하다. editor@itworld.co.kr

해킹 비밀번호 보안 2015.09.17

"시스코 라우터가 탈취 당했다, 다른 라우터도 위험한 건 마찬가지"...파이어아이

공격자들이 결국 시스코 라우터들을 성공적으로 감염시켰다. 파이어아이는 "공격자들이 해당 라우터가 서브하고 있는 네트워크 상의 다른 서버와 데이터를 해킹하기 위한 수단을 확보하기 위해 지속적으로 공격한 결과"라고 전했다. 파이어아이에 따르면, SNY풀 노크(SYNful Knock) 공격은 인도, 멕시코, 필리핀, 우크라이나에 있는 14개 시스코 라우터 내 펌웨어 버전들을 성공적으로 바꿔치기했다. 이를 통해 공격자는 해당 기기들에 대한 완전한 접속권한을 갖게 되는데, 연구원들은 해킹당한 서버들이 더 다양한 장소나 다른 브랜드의 라우터에서도 나타날 것으로 예상했다. SYN풀 노크는 향후 공격에 맞춤화하기 위해 소프트웨어 모듈을 다운로드하는데, 시스코 1841, 2811, 그리고 3825 라우터에서 발견됐다. 파이어아이는 블로그에서 "이는 처음에 라우터에 물리적인 접속을 하거나 유효한 비밀번호를 요구하게 되는 점을 악용한 것인데, 이는 소프트웨어 취약점을 악용한 것이 아니다"고 전했다. 파이어아이는 "그러나 이 공격은 특정 벤더와는 상관없는 일이다. 이는 어떤 제조업체가 만든 라우터라도 효과적이라는 것을 의미한다. 이런 공격 방법은 매우 실제적이어서 널리 퍼질 것이 명백하다"고 예상했다. 이 공격은 아마도 기본 비밀번호를 바꾸지 않은, 유효한 신원 인증을 사용해 접속 권한을 획득하는 것으로 시작한다. 그런 뒤 이 라우터의 IOS 운영체제를 수정한 임플란트(implants)을 설치한다. 이 임플란트는 공격자들에게 향후 악용을 위해 현재 해킹한 서버들에 접속할 수 있는 대체 수단을 제공한다. 시스코 블로그에서는 라우터 안전 수단을 권고한다. - 시스코의 가이드를 사용하고 있는 확실한 기기들만 사용하라. - 네트워크 모니터링를 통해 기기들의 완전성을 모니터링하라. - 운영 절차를 보장하기 위한 기기들을 위한 기준치를 확고히 하라. - 이 기준치로부터 벗어나는 것에 대해 ...

라우터 시스코 해킹 2015.09.16

美 대학 연구진, “의료기기 해킹으로 환자(마네킹) 살해할 수 있어”

대학생이 수업 후 집으로 와서 “오늘 무선으로 심박조율기를 해킹해서 환자를 죽였다. 내일은 인슐린 펌프를 해킹해서 환자를 죽일 것이다”라고 말하는 모습을 상상하긴 어렵다. 그러나 미국 사우스 앨라배마 대학 연구진은 옥상에 올라 큰 목소리로 거리낌없이 외친다. 교도소에 갈 걱정도 하지 않는다. 이들이 해킹한 의료 기기는 “현재 시중에서 가장 진보된 무선 환자 시뮬레이터”인 아이스탠(iStan)에 장착된 것이기 때문이다. 이 대학의 교수이자 인간 시뮬레이션 프로그램을 이끄는 마이크 제이콥스는 마더보드(Motherboard)와의 인터뷰에서 “이 시뮬레이터에는 심박 조율기가 있어 심박수를 높이거나 낮출 수 있다. 대부분의 경우 세동제거기가 포함되어 있는데, 이 경우 반복적으로 전기 충격을 가할 수 있다. 물론 마음만 먹으면 시뮬레이션 환자에게 해를 끼칠 수 있다. 심박조율기뿐만 아니라 인슐린 펌프를 비롯해 생명을 위협하는 부상이나 사망에 이르게 하는 다른 방법도 사용할 수 있다”고 말했다. 10만 달러짜리 아이스탠의 내부는 사람의 각종 기관을 모조한 심혈관, 호흡기, 신경계까지 구현돼 있다. 아이스탠이 피를 흘리는 경우 혈압과 심박동, 기타 임상 증상이 자동으로 바뀐다. 미국 간호 대학에 사용되는 아이스탠은 숨을 쉬고 두 곳에서 피를 흘리고 울고 체액을 분비하고 말을 하고 신음하고 쌕쌕거리고 토하고 헐떡거리고 기침을 하고 웅얼거린다. 제이콥스는 “달리 말하면 아이스탠은 살아 있는 사람, 또는 경우에 따라 죽어가는 사람을 시뮬레이션한다”며 “300가지 종류의 시뮬레이션 약물과 시술에 반응하며 생리적 반응은 인간의 반응과 동일하다”고 말했다. 연구 논문에는 아이스탠, 그리고 아이스탠과 연결되는 뮤즈(Muse) 소프트웨어 인터페이스의 사진이 포함돼 있다. 해킹을 통해 시뮬레이션 인간을 죽이는 것은 키보드를 통해 실제 사람을 살해하는 것만큼 충...

해킹 보안 2015.09.10

"대형 헬스케어 조직, 81%가 해킹당했다"...KPMG

KPMG의 최근 보고서에 따르면, 지난 2년동안 81%의 미국 병원과 건강보험 업체들이 데이터 유출 사고를 겪었다. 이는 이 업체들이 데이터를 잃었다고 모두 확정된 사고들이다. 그렉 벨 KPMG 사이버 미국 리더는 "이것이 단순히 악성코드 또는 바이러스 감염을 의미하는 게 아니라 실제로 데이터 유출까지 이뤄진 것"이라고 말했다. 이 연구는 연매출 5억 달러이상을 기록한 223개 헬스케어 조직들의 수석 기술 및 보안 임원들을 대상으로 설문조사를 실시한 결과다. 이 설문조사에서 건강보험 업체 경영진의 66%, 병원 경영진 53%만이 공격에 대비하고 있다고 말했다. 그리고 16%가 실시간으로 공격을 탐지하지 못한다고 응답했다. 결과적으로, KPMG는 겨우 13%의 조직만이 하루에 시도되는 사이버공격 평균보다 더 많다는 결과에 대해 의구심을 나타냈다. KPMG에 따르면, 많은 조직들이 공격에 대한 데이터를 수집하지 않고 있으며, 효과적으로 관리하고 있지 않다. 이 업체들은 실제 사고 숫자보다 적게 신고한 것으로 보인다. KPMG 파트너이자 사이버 프랙티스 헬스케어 리더인 마이클 에버트는 "그들은 아마 해킹당했어도 해킹 자체를 인지하지 못할 수도 있다"고 말했다. 그렉 벨은 "하나의 문제가 떠오르는데, 이 업체들에게는 정보를 수집하고 이를 조직 의사결정권자들에게 제공하는, 정보 보안에 대해 전담하고 있는 이가 없다는 점이다"고 지적했다. 이 설문조사에 따르면, 15% 헬스케어 조직들이 정보보안에 대한 전적인 책임을 가진 리더가 없었으며, 23%가 신원 확인과 위협 평가를 위한 보안 운영 센터를 갖고 있지 않았다. 게다가 55%는 그들의 조직에 인력을 확보하는 데 어려운 시간들을 보낸 적이 있다고 말했다. 또다른 문제는 이 문제가 회사내 최고 의사결정권자와 연결될 수 없었다는 것이다. 다른 최근 KPMG 설문조사에 따르면, 92%의 CEO들은 자신의 회사가 사이버 공격에 대해...

해킹 병원 KPMG 2015.09.07

FBI, 이메일 해킹 혐의로 전직 테슬라 엔지니어 기소

미국 전기 자동차 업체인 테슬라의 한 엔지니어가 상급 관리자의 이메일 계정을 해킹하고 직원 평가 내역을 훔쳐 보는 등 내부 기밀을 빼낸 혐의로 피소된 것으로 알려졌다. 미국 연방수사국(FBI)는 전 테슬라 직원이자 28세의 캐나다인 니마 칼바시가 고객 불만 사항 보고서에 접근하고, 해킹을 통해 알아낸 내용과 테슬라 자동차의 품질을 비난하는 의견 등을 온라인에 게시했다고 밝혔다. FBI는 목요일, 칼바시가 지난 달 미국과 캐나다 간 국경을 넘으려고 시도하다가 버몬트 주에서 체포됐다고 전했다. 칼바시는 2건의 컴퓨터 침입에 대해 중죄 혐의를 받아 최대 5년 형에, 또 다른 1건의 경범죄 혐의가 적용되면 최대 1년 형에 처해질 것으로 보인다. FBI의 기소에 따르면 칼바시는 지난 12월까지 약 1년 가량 테슬라에서 기계 엔지니어로 근무했다. 기소 내용에 따르면 퇴사 후 개인 이메일 계정이 비활성화되었으나, 칼바시는 전 직장 상사의 이메일 계정과 로그인 인증서, 비밀번호를 입수했다. 어떤 수단으로 기밀 인증을 손에 넣었는지는 알려지지 않았다. 칼바시 측은 이에 대한 답변이 없었고, 피고 측 변호사 역시 이메일 질문에 답변하지 않았다. 한 해 동안 외부 해커에 의한 침입과 공격 사고가 끊이지 않는 가운데, 일부 조사 결과는 내부 직원의 태만과 부주의 또한 보안 규약에 맹점으로 작용하는 경향이 분명히 존재하는 것으로 나타났다. editor@itworld.co.kr

해킹 이메일 FB 2015.09.04

러시아와 중국, 미국 첩보요원들을 알아내기 위해 해킹된 데이터베이스 사용

러시아와 중국 첩보기관들은 미국 첩보 활동을 알아내기 위해 해킹된 데이터베이스들을 교차 점검하고 있다. LA 타임즈가 31일 보도한 바에 따르면, 미국 엔지니어와 과학자로 구성된 비밀 네트워크는 미국의 외국 첩보당국들을 해킹당한 것에 대해 기술적 조언을 제공하고 있다. 이 기사는 외국 첩보 기관들이 여러 대의 해킹된 데이터베이스들을 교차 점검 중에 있는데, 이 데이터베이스에는 미국 첩보요원을 알아내기 위해 비밀 취급서(Security Clearance applications)와 항공 기록 정보를 포함하고 있다. 지난 6월, 미국 인사관리처(Office of Personnel Management, OPM)은 자체 비밀 취급 데이터베이스를 유출한 사실을 발표했다. 이 유출 사건에서 미국 정부의 기준 서식(Standard Form) 86에 있는 정보를 해킹당한 것으로 알려졌는데, 이는 지원자의 과거 군 경력, 범죄 경력, 컴퓨터 해킹 활동, 금융상 문제, 그리고 테러리즘 그룹과의 연계 등에 대한 127 페이지짜리 설문지다. 미국 법조인들은 OPM 유출 사고가 첩보 요원들을 위험하게 만들고, 지원자들을 협박에 노출시킨 것에 대해 우려했다. OPM 유출사고와 함께 다른 최근 해킹들에 대해 트립와이어 보안 분석가 켄 웨스틴은 "우리의 가장 큰 두려움은 이 데이터 유출사고들이 단독 해킹 사건이 아니라 전세계에 있는 미국 첩보요원들과 비밀 취급 권한을 가진 이들을 노출시키기 위한 목적으로 이뤄지는 거대한 캠페인 가운데 하나일 경우"라고 이메일을 통해 말했다. 웨스틴은 "여러 해킹 사고들의 목적이 첩보요원들의 노출이라는 증거들이 커가고 있다"고 덧붙였다. 웨스틴은 기사에서 "정부요원과 민간 기업들에 대한 여러 우려할만한 것들이 증가하고 있다"며, "우리의 리스크과 위협 모델은 다수의 해킹 사고로부터 나온 데이터들이 서로 연관관계를 가질 때 기하급수적으로 증가할 피해액은 계...

해킹 2015.09.02

애슐리 메디슨 해킹 사건에 대한 보안 전문가들의 소견, "피해는 생각보다 크다"

애슐리 메디슨 해커들은 이 사이트 사용자 정보들을 공개할 것이라고 위협하다가 결국 모든 정보를 공개했다. 이 해커들이 해당 사이트에서 빼냈다고 주장하는 이 데이터는 실제로 강력했다. 그러나 어떤 점에서는 이 데이터의 상당량이 위조됐거나 가짜일지 모른다. 그래서 자신이 보는 모든 것을 믿을 수 없다. '인생은 짧다. 바람을 피우세요'라는 애슐리 메디슨의 부제어처럼 걱정스럽게도 일부 사용자들은 말 그대로 인생이 정말 짧아질 지 모른다. IT 블로그워치의 블로거들은 유출된 데이터에 대해 조심스럽게 다뤘으며, 이에 대해 언급조차 하지 않았다. 9.7GB 짜리 파일은 다크웹(dark web)에 게재됐다. 이 파일에는 3,200만 사용자의 상세 계정정보와 로그인 정보를 포함해 7년동안 신용카드와 다른 지불 거래 정보들이 포함되어 있었다. 여기에는 수백만 건의 지불 거래와 이름, 주소, 이메일 주소, 지불 금액 등은 있었지만, 신용카드 번호는 없었다. 돈 받고 계정정보 지운다는 약속도 안 지켰다 지난달, 자신들을 임팩트팀(Impact Team)이라 부르는 이 해커들은 애슐리메디슨닷컴(AshleyMadison.com)과 에스태블리시트 맨(Established Men)의 소유업체인 ALM(Avid Life Media)에게 이 두 사이트를 중단하라고 협박했었다. 그리고 이 사이트들은 사용자가 19달러를 지불하면 사용자 데이터를 삭제해 준다고 약속했지만 실제로는 이 데이터를 보유하고 있었다고 폭로했다. 이 해커들은 ALM은 사용자와의 비밀을 지킨다는 약속을 이행할 생각도 하지 않았다고 주장했다. 애슐리 메디슨의 결제 프로세스는 이메일 주소의 검증을 요구하지 않는다는 점에서 중요하다. 예를 들어 해킹 당했을 지 모르는 데이터 속에는 전 영국 수상 토니 블레어를 지칭하는 이메일도 포함되어 있다. 이 데이터들은 실제일 가능성이 높다 이 데이터들이 실제인가? 미국 보안전문 블로거인 브라이언 크렙스는 '그렇다...

해킹 프라이버시 데이터유출 2015.08.20

글로벌 칼럼 | 컴퓨터 보안 10년…가장 큰 변화 5가지

이 글을 쓰는 현재 인포월드에 기고를 시작한 지 10년 째다. 10년째가 되는 지금, 그나마 그 동안 변한 것들을 정리해 본다. 지금 우리가 직면하는 위협도, 그에 대처하는 방어도 과거와는 많이 달라졌다. 보안 변화 1: 전문 직업이 된 해킹 초기에는 위협 요소의 대부분이 장난기 많은 어린 사용자들이 만든 바이러스, 웜, 트로이 목마 등의 멀웨어 프로그램이었다. 일부 멀웨어 프로그램은 디스크를 포맷하거나 데이터 파일을 삭제하는 등 실질적인 해를 끼치기도 했지만 대부분은 그냥 귀찮고 성가신 정도였다. 물론 전문적인 해커나 정부 지원을 받는 해커도 있긴 했으나 흔한 경우는 아니었다. 10년이 지나면서 무엇이 바뀌었을까. 지금은 거의 모든 멀웨어가 돈이나 기업 기밀을 훔치기 위한 목적으로 만들어진다. 장난으로 스크립트를 만들던 아이들은 일반 사용자와 기업을 희생양 삼아 거의 잡힐 위험도 없이 매일 수백만 달러의 돈을 벌어들이는 전문 해커 집단에 밀려나 사라졌다. 멀웨어는 한때 악의 없는 장난스러운 바이러스와 웜이었지만 이제 ID를 훔치는 프로그램과 랜섬웨어로 바뀌었다. 신용 카드를 소지한 사람이라면 누구나 금융 관련 ID가 유출되는 일을 겪어봤을 것이다. 이제는 1억 건의 기록이 유출되는 사건이 벌어져도 아무도 놀라지 않는다. 이제 모두가 무료 신용 모니터링을 이용하지 않는가? 지금은 공식적이든 비공식적이든 외국 정부의 후원을 받아 움직이는 지능적 지속 위협(APT)이 흔하다. 이들은 개인 문서와 이메일, 특허와 계약 등을 아이가 꽃밭에서 꽃을 따듯 쉽게 훔친다. 한 국가가 사이버 보안 공격을 이용해서 다른 국가 수장의 이메일을 읽거나 핵 원심분리기와 같은 물리적 자산을 파괴하는 일은 이제 일상적이다. 가장 뛰어난 해커를 보유한 국가가 새로운 냉전의 승리자가 된다. 무해한 부팅 바이러스, 그리고 장난스러운 스크립트를 짜던 10대 아이들, 그 시절이 그립다. 보안 변화 2: 누구도 침해를 피할 수 없다 지금은 모든 사람들...

해킹 멀웨어 보안 2015.08.20

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.