Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

해킹

시즌 3에 접어드는 한수원 기밀 유출 사건, 용의자는 아직도 활동중

2014년 12월 초에 발생한 한수원 기밀 유출 사건은 현재 진행중이다. 7월 8일 오전, 이 사건의 범인으로 추정되는 이가 3월에 이어 또다시 트위터 활동을 재개하면서 논란이 일고 있다. 자칭 원전반대그룹 회장 미핵이라는 사이버 공격자는 트위터를 통해 한수원 측에 요구한 몇 억불을 지불하지 않은 것에 대해 비난하면서 한수원 비리를 폭로하고 추가 자료를 공개하겠다고 협박했다. 이 사이버 공격자는 그간 고리 1호기, 월성 1호기, 울진 원전 4호기, 한빛 원전 1호기 등의 각종 사고들을 거론하면서 이미 방사성 물질이 유출된 것을 은폐하고 있다고 주장했다. 또한 현재 가동중인 원전부품 중 시험성적서가 위조된 경우가 지난해까지 2,116건에 달한다고 전했다. 이런 활동은 국민의 안전을 위한 성전이라고 주장하면서 지난해 크리스마스 원전 폭발 협박을 실행하지 않은 것은 보안이 강하거나 철저한 대응때문이 아니라 추운 겨울에 떨 무고한 국민들을 위해서라고 주장했다. 이와 함께 "원전운영프로그램, 10여 만 장의 원전설계도면, 감속재 체계분석, 최종안전성분석, 독성가스영향분석서, 열수력 보고서, 냉각재 펌프 밀봉누설 분석서 등을 보유하고 있다"며, 드롭박스를 통해 자료를 공유했다. 또한 정부의 특정인물과 협상을 요구하면서 신변안전 보장을 요구했다. 이 사이버 공격자는 7월 8일 9시, 11시에 두번에 걸쳐 데이터가 담긴 링크를 게재했다. 2개의 데이터를 정리해 보면 다음과 같다. - 2014년도 전군 주요지휘관 행사 설명 자료 유출 * 국가 주요지휘관 직위, 정보, 행사 좌석 배치도 - 한수원 내 불량 상태 설비 사진 자료 유출 - 설계 도면 유출(일부 모자이크) - 소프트웨어 2종 유출 - 프로젝트 이름 : *** 원자력 발전소 관련 문서 유출(일부 모자이크) - 발전소 설계 도면 유출(일부 모자이크) - 발전소 내부 실사진 유출 - 구조물/설비/기기 정보가 담긴 엑셀파일 캡처본 유출 이들은 자신들...

해킹 한수원 기밀유출 2015.07.08

해킹 팀, 데이터 유출 사건에 대한 대응과 추가적으로 드러난 내용 - 2부

해킹 팀이 이번 해킹 사건에 대해 대응한 첫번 째 시도는 공포, 불확실, 그리고 의심을 조장하는 것이었다. 7월 5일 저녁, 누군가 해킹 팀(Hacking Team) 트위터 계정을 해킹했으며 이를 통해 이 업체의 잘나가는 해킹 툴을 알리는 데 사용했다. 한 마디로 해킹 툴로 잘 알려진 업체가 스스로 충격적인 해킹의 피해자가 된 셈이다. 이 해커들은 해킹 팀의 내부 문서, 소스코드, 이메일 내용이 담긴 400GB 토렌트 파일 전체를 대중에게 공개했다. 연구원들이 유출된 문서들이 어떤 것인지 설명하기 시작하면서 이번 해킹 사건은 점점 더 커지고 있다. 그리고 익스플로잇 개발업체의 실체가 대중에게 최초로 드러나고 있다 이탈리아 보안업체인 해킹 팀은 각 정부와 사법당국들에게 침입 및 감시 툴을 팔았다. 그러나 억압적 폭력을 행사하는 것으로 알려진 국가들에게 이 툴과 서비스를 판매함으로써 그들의 사업은 프라이버시 및 인권단체들로부터 비난의 대상이 됐다. 국경없는기자회(Reporters Without Borders)는 해킹 팀의 비즈니스 사례와 그들의 대표 감시 툴인 다 빈치를 이유로 인터넷의 적으로 등재했다. 7월 5일 저녁, 이 문서들은 온라인에 떠돌기 시작했으며, 해킹 팀이 이집트, 레바논, 에티오피아, 그리고 수단과 연관되어 있다는 정보가 속속 공유되기 시작했다. 특히 수단과 연관된 링크는 뉴스 가치가 있다. 이 업체는 예전에 수단과는 결코 사업을 하지 않았다고 공언한 바 있다. UN은 EU와 영국법에 의해 수단에 통상금지조치를 내렸다. 만약 해킹 팀이 수단 정부와 계속 사업을 해왔다면 커다란 곤경에 처해질 수 있다. 2014년 인권 그룹인 시티즌랩(Citizen Lab)의 보고서에서 해킹 팀의 원격 제어 시스템(Remote Control System, RCS)이 수단 정부에 의해 사용됐다는 증거가 드러난 바 있었다. 해킹 팀은 이를 완전히 부인했다. 그러나 이번 해킹 사건으로 유출된 400GB 자료 속에는 ...

해킹 정부 프라이버시 2015.07.07

감시 툴 전문 업체 해킹 팀, 해킹 당해 내부 자료 400GB 유출 - 1부

각국 정부의 첩보 활동을 도와주는, 세상에서 가장 악명높은 보안업체인 해킹 팀(Hacking Team)이 해킹을 당했다. 감시 기술에 특화된 해킹 팀은 400GB가 넘는 내부 자료가 전세계에 유출됐다. 프라이버시 옹호론자들은 이 업체가 들어갈 비용을 계산하면서 샤덴프로이데(Schadenfreude, 남의 불행에서 얻는 행복)를 즐기고 있다. 이탈리아 업체인 해킹 팀은 각 정부와 사법당국들에게 침입 및 감시 툴을 팔았다. 이 해킹 팀에 의해 개발된 합법적 감청(lawful interception) 툴은 지금까지 보안 연구원들과 언론에 의해 고발된 프라이버시 침입 사례들과 다수 연관이 있다. 국경없는기자회(Reporters Without Borders)는 해킹 팀의 비즈니스와 그들의 기본적인 감시툴인 다 빈치(Da Vinci)를 이유로 인터넷의 적(Enemies of the Internet) 목록에 등재했다. 해킹팀을 해킹한 이는 아직 누군지 모른다. 그러나 이 공격자들은 400GB 분량의 내부 문서, 소스코드, 이메일 통신 기록들을 누구나 볼 수 있도록 토렌트 파일을 올렸다. 게다가 이 공격자들은 해킹 팀 계정을 뚫고 들어가 새로운 로고와 회사 소개를 트위터에 게재하면서 해킹한 데이터 이미지와 함께 메시지를 함께 실었다. 업데이트 1. 토렌트 파일 목록을 기반으로 크리스토퍼 소고얀은 "해킹 팀의 고객들은 대한민국, 카자흐스탄, 사우디아라비아, 오만, 레바논, 몽골 등이 포함되어 있다. 이 업체는 인권을 억압하는 정부와 비즈니스를 하지 않는다는 정책을 유지한다"고 말했다. 업데이트 2. 연구원들은 토렌트에 올려진 파일에서 의미있는 정보들을 뽑아내기 시작했다. 그 가운데 하나는 해킹 팀이 이집트에게 청구한 RCS 익스플로잇 포털(RCS Exploit Portal) 5만 8,000유로짜리 청구서다. 업데이트 3. 다음 동영상은 해킹 팀의 대표 툴인 다 빈치의 광고다. 업데이트 4...

해킹 해킹팀 첩보기관 2015.07.07

핵티비스트 그룹, 수백 개의 웹사이트 해킹 통해 사이버보안 강조

고스트쉘(Ghost Shell)로 잘 알려진 해커 그룹은 해킹한 수백 개의 웹사이트 데이터베이스를 해킹해 훔친 것으로 추정되는 민감한 데이터들을 최근 공개했다. 2012년 정부조직, 사법당국, 다양한 산업계의 기업들을 표적으로 삼고 공격했던 고스트쉘은 2013년 3월, 자체 행동을 중단한다고 발표했다. 지난 6월 29일 이 그룹의 귀환은 자신의 그룹이 해킹했다고 주장하는 웹사이트 이름들을 트위터에 게재하면서 시작했다. 이들은 새로운 캠페인의 일환으로, 해킹한 웹사이트 데이터베이스에서 추출한 데이터의 견본이 담긴 링크를 같이 게재했다. 지금까지 이 그룹은 450여 웹사이트의 이름들을 밝히면서 더많은 사이트들을 해킹했다고 주장했다. 현재까지 피해 범위는 회사에서부터 교육 기구, 그리고 다른 국가의 정부 조직에 이른다. 자체 트위터 메시지를 바탕으로 이 그룹의 목표는 엉망인 사이버보안임을 보여준다. "최근 수년동안 보안 기술과 제품들의 발전에도 불구하고 개탄스러운 인터넷 보안은 조금도 향상되지 않았다"고 전했다. 이 그룹은 자신들이 해킹했다고 주장하는 웹사이트 데이터베이스에서 부분적인 정보만을 게재한 것은 그들이 침투할 수 있음을 증명하는 것이며 경각심을 일깨워주기 위함이라고 전했다. 그렇다 하더라도 이 데이터들은 이메일, 사용자 이름, 주소, 전화번호, 스카이프 이름, 생년월일, 그리고 기타 개인 식별 정보들을 포함하고 있다. 여기에는 암호화되지 않은 평문과 해시된 비밀번호가 포함되어 있다. 시만텍 연구원은 한 블로그에서 "최근 발표한 해킹 목록을 보면 해킹된 웹사이트는 무작위인 것으로 보이며 특정 국가나 부문을 표적으로 한 것으로 보이지 않는다"고 전했다. "이 그룹은 취약점을 가진 웹사이트를 해킹하면서 자체적인 기존 해킹 방식인 SQL 인젝션 공격과 취약한 PHP 스트립트 설정을 공략한 것으로 보이는데 이는 확인된 것은 아니다"고 말했다. editor@itworld...

해킹 핵티비스트 고스트쉘 2015.07.02

ITWorld 용어풀이 | 암호화 해시 함수

웹사이트에 로그인하기 위해서는 ID와 비밀번호를 입력해야 합니다. 과거에는 데이터베이스에 저장된 비밀번호와 사용자가 입력한 값을 직접 비교하는 프로세스가 일반적이었습니다. 그러나 각종 사이버 범죄와 해킹으로 정보 유출 사건이 증가함에 따라 민감한 정보를 암호화해서 저장하기 시작했죠. 사용자의 비밀번호를 암호화하는 대표적인 방법으로는 암호화 해시 함수(Cryptographic Hash Function)가 있습니다. 일반적으로 사용자가 입력한 비밀번호는 암호화 해시 함수를 거쳐 다이제스트(Digest)의 형태로 저장됩니다. 여기서 다이제스트란, 해시 함수라는 수학적인 연산을 통해 생성된 암호화된 메시지를 의미합니다. 해시 함수는 임의의 비밀번호 입력값을 문자와 숫자를 임의로 나열한 일정한 길이의 다이제스트로 전환합니다. 기존에 데이터베이스에 저장된 다이제스트와 비교해서 일치하면 서비스에 로그인할 수 있습니다. 암호화 해시 함수의 특징은 바로 '단방향'이라는 것입니다. 비밀번호를 알면 다이제스트를 바로 연산할 수는 있지만, 다이제스트만으로는 비밀번호를 역추적하는 것이 거의 불가능합니다. 이와 같은 이유로 비밀번호를 데이터베이스에 저장하는 대신, 다이제스트를 저장하는 것이 보편화되고 있습니다. 국내에서는 '개인정보보호법'과 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 통해 비밀번호, 주민등록번호와 같은 개인정보를 반드시 암호화해야 한다고 규정하고 있기도 하죠. 잘 알려진 암호화 해시 함수에는 MD5, SHA-1, SHA-256 등이 있습니다. 최근에는 HAS-150이나 MD5, SHA-1는 보안성이 취약하다는 이유로 잘 사용되지 않고 있습니다. 일반적으로 많이 사용되는 컴퓨터로도 초당 56억 개의 다이제스트를 대입할 수 있는데요, 상대적으로 다이제스트 길이가 짧은 이들 함수에서는 암호화된 비밀번호를 해독하는 데 걸리는 시간이 생각보다 길지 않기 때문입니다. 그렇지만 지금 KISA에서 권고하...

해킹 암호화 비밀번호 2015.06.25

미국과 영국 첩보기관, 보안 소프트웨어를 공격

인터셉트는 미국 NSA(National Security Agency)와 영국 첩보기관에 종사하는 스파이들이 자신의 첩보 수집행위에 장애가 되는 안티바이러스와 보안 소프트웨어를 무용지물로 만들기 위해 일하고 있다고 보도했다. 이런 행각은 NSA 전계약자 에드워드 스노우든이 폭로한 문서를 통해 드러났다. 이 해킹의 대상은 보안 소프트웨어 벤더에 초점을 맞췄는데, 이 가운데에는 전세계 4억 명이 넘는 고객들을 보유한 러시아 모스크바를 기반으로 한 보안 소프트웨어 개발업체인 카스퍼스키 랩이 포함됐다. 인터셉트는 미 NSA와 영국의 GCHQ(Government Communications Headquarters)는 카스퍼스키의 소프트웨어와 자체 서버 간의 웹과 이메일 트래픽을 모니터링하면서 민감한 고객 정보를 획득했다고 밝혔다 영국 첩보당국은 카스퍼스키의 소프트웨어를 자체 첩보 수집 행위의 장애물로 판단하고 리버스 엔지니어링을 통해 그것을 걷어내는 방법을 취했다. 인터셉트는 이 첩보기관이 소프트웨어를 리버스 엔지니어하는 것을 법에 허용했다고 하지만 그 합법성에 의문을 표시했다. 카스퍼스키 대변인은 이 기사에 공객한 정보들을 세밀하게 조사해 자체 인프라스트럭처에 닥칠 잠재적인 위험 여부를 측정하고 있다고 밝혔다. editor@itworld.co.kr

해킹 카스퍼스키 NSA 2015.06.23

한끼 식사로 암호화 키를 훔치는 가장 완벽한 방법

이스라엘 연구원들이 피타 브레드(Pita Bread)를 이용해서 컴퓨터에 저장된 암호화 키를 훔쳐낼 수 있는 빠르고 저렴한 방법을 고안했다고 밝혔다. 이들이 발표한 최신 논문에서는 컴퓨터가 계산을 수행하는 과정에서 파장되어 나오는 전기적인 신호를 기반으로 암호 키를 분석한다고 쓰여있다. 이는 일반적으로 부채널 공격(Side Channel Attack)으로 알려졌다. 연구진들은 전기적 신호를 분석하여 키 입력값을 추론함으로써 사용자가 어떤 애플리케이션을 사용하는지 유추하거나 파일이나 이메일을 암호화하는 데 사용된 비밀 암호화 키를 찾을 가능성을 입증했다. 이 연구진은 RSA와 엘가말(Elgamal) 키 암호화 알고리즘을 사용하는 오픈소스 암호화 프로그램인 GnuPG 1.x를 구동하는 노트북에서 암호화 키를 수집하는 데 주력했다. 이들은 GnuGP의 개발자인 워너 코흐에게 해당 논문에 관한 소식을 전했다고 이야기했다. 연구원들은 50cm 떨어진 전자기적 신호를 모으는 장비를 피타 브레드안에 숨겼다. 이 장치의 이름은 PITA(Portable Instrument for Trace Acquisition)로, 루프 안테나로 덮지 않은 구리와 암호화 키 정보를 유출할 수 있는 1.7MHz 범위의 주파수를 엿들을 수 있도록 설계된 커패시터로 구성돼 있다. 내장 마이크로 SD카드에 수집된 신호를 토대로 오프라인 분석을 하면 수 초 만에 암호화 키를 유추할 수 있다. 공격의 한 부분으로, PITA 기기는 암호문이나 암호화된 콘텐츠를 컴퓨터로 전송한다. 컴퓨터가 해당 콘텐츠를 복호화하면, 눈으로 볼 수 있는 전자기 신호를 내보낸다. 해당 논문은 “신호 처리 및 암호 해독을 통해 이와 같은 파동으로부터 암호화키를 추정할 수 있다”고 말했다. 이 연구진들은 또한 이 신호를 모을 수 있는 두 번째 기기도 설계했다. 1.7MHz 진동수가 AM 라디오와 같은 주파수대역을 사용한다는 점에서 연구원들은 로드 마스터(Road M...

해킹 암호화키 2015.06.23

해커들, 1년 전부터 미국 비밀정보 사용 허가 데이터에 접속

워싱턴 포스트는 지난 19일 데이터베이스를 침입한 해커들이 발각되기 전까지 1년동안 비밀정보 사용 허가와 함께 미국 정부 직원들의 상세 개인정보가 담긴 시스템에 접속할 수 있었다고 보도했다. 미국 인사관리처(Office of Personnel Management, OPM)의 해킹 사고는 2014년 6월 또는 7월로 거슬러 올라가며, 이 해킹은 올해 6월 초에 이르러서야 발견됐다. 노출된 데이터베이스는 비밀정보 사용허가를 위한 애플리케이션을 포함하고 있는데, 이를 이용한다면 한 개인 삶의 모든 정보를 찾아볼 수 있다. 이를 통해 찾아볼 수 있는 정보는 사회보장번호, 여권 번호, 이웃들의 이름, 가족 구성원 정보와 함께 과거 7년간 외국을 방문한 기록과 약물, 알코올 중독 및 채무, 파산, 구금 등의 문제와 사법 당국으로부터의 체포 이력 등이다. 미국 인사관리처는 얼마나 많은 데이터가 도난당했는지 말하지 않았지만 오랫동안 침입자는 이 네트워크 내를 돌아다니며 그들이 접속할 수 있었던 데이터는 엄청났을 것으로 보인다. 한 해동안 그 공격자들이 가져갔을 데이터에 대해 상당한 우려가 제기된다. 이는 최근 수주일동안 밝혀진 이 인사관리처에서의 두번 째 해킹 사건이다. 그 첫번 째는 지난 6월 초, 미국 인사관리처 데이터데이터를 포함한 400만 이상의 미 연방정부 직원들의 데이터를 도난 당했다는 것. 익명의 미 관계자는 "공격자는 아직 누군지는 말할 수 없지만, 중국 정부가 한 행위로 파악하고 있다"고 말했다. 중국 정부는 이런 주장에 대해 부인하고 있다. 미국 인사관리처는 정부 인력자원부문에서 직원들의 고용 및 유지, 배경 조사 실행 등과 같은 필수적인 역할을 하고 있다. 인사관리처는 사람들을 식별하는데 사용될 수 있는 정보를 보유하고 있는데, 이에는 금융데이터, 정부종사자 가족들에 대한 상세 정보 등을 포함한다. editor@itworld.co.kr

해커 해킹 비밀정보 2015.06.22

라스트패스 해킹 : 앞으로 해야 할 일

지난 월요일 비밀번호 저장 사이트 라스트패스(LastPass)가 믿을 수 없는 소식을 발표했다. 비밀번호 데이터베이스가 유출돼 사용자 계정 정보가 탈취됐다는 것이다. 라스트패스는 중앙 스토리지와 데이터 저장소(사용자가 이용하는 웹사이트 및 앱의 각종 비밀번호 및 정보를 저장한다) 간의 동기화를 제공하는 만큼, 여기에 저장된 비밀번호가 유출되면 사용자의 모든 비밀이 새어나가는 것은 아닌지 우려의 목소리가 컸다. 하지만 다행히도 라스트패스는 충분한 보안책을 적절히 시행해온 것으로 보여 이번 실패로 사용자들에게 심각한 피해가 전달되는 일은 없을 것으로 판단된다. 여기 라스트패스 사용자들에게 가해질 수 있는 위협의 유형과 이를 해결하는데 필요한 단계들에 대해 알아보자. 여러 단계의 방어망 데스크톱 및 스마트폰에서 서비스되던 초기 비밀번호 저장 소프트웨어들은 부족한 컴퓨팅 역량과 실행문제로 이용에 불편함이 컸다. 2012년 발표한 보고서를 통해 디지털 수사 소프트웨어 업체 엘콤소프트(Elcomsoft)는 스마트폰 비밀번호 관리 앱 17종에서 발견한 결함을 공개한 바 있다. 엘콤소프트가 발표한 문제들 가운데 일부는 상당히 심각한 수준에 있었다(또한, 일부 문제는 데스크톱 버전에서도 동일하게 확인된 것들이다). 이 보고서는 업체들이 문제를 해결하고 개선하도록 하는 계기가 됐고 이후 개발자들은 더욱 똑똑하고 철저한 솔루션을 내놓기 시작했다. 그리고 그런 노력의 효과가 이번 유출 사건에서 증명됐다. (웹사이트용) 운영체제에서건, 앱의 데이터 스토리지 안에서건, 비밀번호는 손쉽게 복구할 수 없는 방식으로 저장돼야 한다. 인증이나 액세스에 이용되는 비밀번호를 요구하는 모든 시스템은 단뱡향 프로세스를 채택하는 것이 정상이다. 하지만 많은 웹사이트가 여전히 간단한 방식을 이용하고 있다. 이들은 사용자의 비밀번호를 확보한 뒤, 집중적인 수학적 운영을 실행하는 ‘해싱 알고리즘(hashing algorithm)’을 통해 이를 구동해 불가역의 결...

해킹 암호화 해시 2015.06.19

"미국 프로야구 세인트루이스 카디널스, 휴스턴 애스트로스 해킹 혐의로 수사중"...FBI

FBI는 미국 메이저리그에서 가장 강력한 팀 가운데 하나인 세인트 루이스 카디널스(St. Louis Cardinals)가 경쟁상대인 휴스턴 애스트로스(Houston Astros)의 자체 네트워크를 해킹하고 핵심 데이터베이스에 접속함으로써 얻을 수 있는 것이 무엇인지를 수사 중이다. 경쟁구단 시스템을 해킹한 것이 사실로 밝혀진다면, 이는 미국 프로 스포츠 사상 첫번째 사건이다. 이번 수사의 중심에는 선수들에 대한 특정 통계, 동영상 그리고 기타 생체 정보 등이 담긴 야구 운영 데이터베이스가 있다. FBI가 수사하고 있다는 사실은 미국 프로야구 메이저리그(Major League Baseball)와 세인트루이스 카디널스 구단의 짤막한 공식성명을 통해 확인됐다. 카디널스 구단은 "이번 수사에 대해 알고 있으며 철저한 조사가 이뤄질 수 있도록 최대한 협조하고 있다"고 말했다. 그러나 수사가 완전히 끝나지 않았다는 이유로 추가적인 언급은 거절했다. 리그를 운영하면서 각 팀들에 대해 제제를 가할 수 있는 권한을 갖고 있는 미국 프로야구 메이저리그 사무국 또한 수사에 협조중이라고 말했다. 사무국 측은 "FBI 수사 절차가 완료되는 대로 우리는 다음 순서를 진행할 것이며 지체없이 결정을 내릴 것"이라고 전했다. 이에 대해 휴스턴 애스트로스는 아무런 언급이 없었다. 뉴욕타임스 보도에 따르면, 이번 해킹은 2011년 에스트로스 단장으로 부임하면서 카디널스를 떠난 제프 루노우에 앙심을 품은 사무직원에 의해 벌어진 일이다. 뉴욕타임스는 "야구는 팀, 운동선수, 직원들에 대한 수백 개의 데이터 통계들을 토대로 하는 스포츠다. 카디널스 직원들은 루노우가 휴스턴에 가면서 갖고 간 카디널스의 핵심 지식들이 유출된 것을 우려했다. 루노우는 애스트로스에서 세인트루이스의 야구 운영 데이터베이스와 유사한 시스템을 구축했다"고 전했다. 그래서 카디널스 직원들은 루노우와 애스트로스에 합류한 다른 직원...

해킹 FBI 메이저리그 2015.06.17

라스트패스 해킹 당해...마스터 비밀번호 당장 변경해야

비밀번호 관리 프로그램인 라스트패스를 사용하고 있다면 지금 당장 마스터 비밀번호를 변경하는 것이 좋다. 라스트패스는 지난 12일(현지 시각) 자사의 네트워크가 해킹당했다고 밝혔다. 라스트패스는 사내 보안팀이 의심스러운 활동을 탐지한 이후 15일 블로그를 통해 해당 소식을 전했다. 라스트패스에 따르면, 해커가 사용자의 암호화된 데이터를 훔치거나 라스트패스 사용자 계정에 접근한 정황을 발견하지 못했다고 밝혔다. 라스트패스 계정에 이용되는 이메일 주소와 마스터비밀번호 힌트, 사용자 솔트(Salt, 랜덤으로 생성한 코드)와 인증 해시만 해킹당한 것으로 알려졌다. 솔트와 인증 해시 데이터는 약하게 만들어진 마스터 비밀번호를 손쉽게 알아낼 수 있도록 할 수 있으나, 라스트패스의 CEO인 조 시그리스트는 라스트패스의 보호(서버쪽에 PBKDF2-SHA256를 10만 번 적용) 시스템은 훔쳐낸 해시를 공격하기 어렵게 만들 것이라고 밝혔다. 이와 같은 이유로 라스트패스 사용자는 새로운 마스터 비밀번호를 설정할 필요가 있으며, 새로운 기기나 IP 주소에서 자신의 계정에 로그인할 경우 2단계 인증을 설정하지 않더라도 이메일을 통해 로그인을 검증하는 것을 추천한다. 라스트패스는 여러 사이트에 로그인하는 ID와 비밀번호를 저장해서 자동으로 로그인하는 프로그램으로, 사용자는 각각의 로그인 정보를 기억하지 않아도 된다는 이점이 있다. 복잡한 문자열을 이용해서 강력한 비밀번호도 생성할 수 있으며 라스트패스의 마스터 비밀번호만 기억하면 된다. 이 점에서 봤을 때 라스트패스가 안전하게 보호되어야 모든 사이트의 보안 또한 보장할 수 있다. 특히 2단어를 조합한 문자열이나 전화번호를 마스터 비밀번호로 사용한 경우에는 비밀번호가 해킹당할 가능성이 크다. 다른 사이트 계정 정보를 보호하기 위해서라도 라스트패스 마스터 비밀번호를 사용한 다른 사이트의 비밀번호도 함께 변경하는 편이 좋다. 라스트패스가 해킹당한 사건은 이번이 처음이 아니다. 지난 2011년 해킹당한 사실을 ...

해킹 보안 라스트패스 2015.06.16

스마트 홈 해킹을 막는 5가지 방법

보안 문제를 생각하지 않은 상태에서 홈 오토메이션 기기를 설치하는 것은 해커와 도둑들을 초대하는 것이나 다름없다. 홈 자동화 기기에 중대한 취약점이 있음을 드러내는 연구 보고서들이 계속 쏟아지고 있다. HP가 10종의 완제품 홈 보안 시스템을 조사한 결과에 따르면, 비밀번호 정책과 중간자 공격(Man-in-the -middle attack)에 취약한 기기들이 많았다. 또한 코드 보안업체인 베라코드(Veracode)가 4월 발표한 조사 결과에 따르면, 장치의 디버깅 인터페이스 접속을 막지 못해 기기를 쉽게 해킹할 수 있도록 만드는 장치들도 있다. 보안업체인 사이낵(Cynack)의 연구에서는 공격자가 장치에 액세스하는 순간 기기를 쉽게 감염시켜, 트로이의 목마로 바꿀 수 있다고 경고한다. 실제 보안 연구원들은 하드웨어 포장을 풀고 5~20분 만에 기기를 감염시킬 방법을 찾았다. 사이낵 보안 연구 애널리스트 콜비 무어는 "홈 오토메이션 업체들은 사물인터넷에 대한 관심 증가 속에 시장화를 서두르고 있다. 그러나 보안 전문가가 없어 작은 부분들을 다수 놓치는 경향이 있다. 즉 기본을 무시하는 업체들이 절반이 넘는다"고 강조했다.   중고 네스트를 구입하는 건 어리석은 짓이다. 범죄자들은 홈 네트워크 상 다른 기기들의 호스트를 침투할 수 있는 펌웨어를 설치할 수 있다. 가트너(Gartner)는 올해 말까지 인터넷에 연결되는 소비자 기기가 29억 개에 도달할 것이라고 전망했다. 애플 워치가 가장 잘 알려진 사물인터넷 기기다. 그러나 이 밖에도 미래에는 집의 일부로 인터넷에 연결될 '사물'들이 많다. 불행히도 홈 자동화 상업화를 서두르다가, 사이버범죄자들에게 또 다른 공격 경로를 제공하는, 보안이 취약한 시스템들이 등장하고 말았다. 베라코드 보안 연구 설계자 브랜든 크레이톤은 "IoT가 가져온, 그리고 가져올 가치를 반길만한 이유는 많다. 그러나 이 과정에서 사이버보안을...

해킹 스마트홈 보안 2015.06.12

"정부 후원의 해커들, 두쿠 2.0으로 카스퍼스키 내부 침입"...카스퍼스키

카스퍼스키는 지금껏 본적이 없는 두쿠(Duqu)의 개선 버전을 발견했다. 카스퍼스키 랩은 지난 10일 자체 네트워크가 지금까지 본적도 없던 새로운 악성코드에 의해 침입당한 사실을 알렸다. 카스퍼스키는 이전 버전과의 유사성을 파악한 결과, 2011년 최초로 선보인 두쿠의 개선 버전이라고 확신했다. 카스퍼스키 랩의 유진 카스퍼스키는 포브스닷컴에서 "이 공격으로 인해 자신의 기업은 바보가 됐다"며, "이는 진정한 산업 스파이 사례다"고 전했다. 카스퍼스키는 "두쿠 2.0는 지금까지 한번도 등장하지 않았으며, 시대를 앞서가는 악성코드다. 이 악성코드는 탐지를 어렵게 하기 위해 다수의 속임수를 사용해 무력화시켰다"고 설명했다. 두쿠 2.0은 첨단 악성코드를 발견하기 위해 설계된 툴에 의해 탐지됐다. 이 제품은 아직 완전하지 않았지만 이 초기 버전을 통해 무언가 잘못됐음을 알아차릴 수 있었다. 그러나 두쿠를 조종하는 이들이 무엇을 하려 했는지 알아내진 못했다. 카스퍼스키 랩의 글로벌 조사 및 분석 책임자 코스틴 라이우는 공식 성명에서 "고도로 지능적인 이 공격에는 매우 인상적인 3개의 제로데이 익스플로잇을 사용됐다. 이에 대한 공격 비용은 상당히 높을 것이다"고 말했다. 숨은 상태를 유지하기 위해 두쿠 2.0은 커널 메모리 내에 머무른다. 이로 인해 안티 악성코드 솔루션은 두쿠 2.0을 탐지하기가 어렵다. 또한 이 악성코드는 명령을 받기 위한 C&C 서버와 직접적으로 연결하지 않는다. 대신 공격자들은 공격자의 C&C 서버에서 내부 네트워크로의 모든 트래픽을 프록시하는 악의적인 드라이브를 설치함으로써 네트워크 게이트웨이와 방화벽을 감염시킨다. 이 공격자들이 네트워크에 잠입한 방법은 불명확하다. 카스퍼스키가 추정한 바에 따르면, 아태지역 사무실에 종사하는 한 직원을 표적으로 한 피싱 공격에 의한 것이다. 이 주장은 카스퍼스키가 공격자들의 정체가 밝혀졌을...

해킹 카스퍼스키 Duqu 2015.06.11

기업 보안 관리자를 위한 서바이벌 가이드 - IDG Deep Dive

최근 기업 보안을 위태롭게 만드는 위협들은 종류도 다양하고 상당히 빠르게 진화한다. 보안업계들도 기존 보안 체계나 접근방식으로는 방어하기가 힘들다고 입을 모은다. 최근 APT 공격에 대응해 전문가들은 공격을 침입 전, 중, 후로 나누어 단계별 보안을 강조하고 있다. 무조건 막는 데 전력을 기울이는 것이 아니라 침입 당한 이후, 공격자의 목표를 달성하기 어렵게 만들기 위해 노력하는 것이다. 이에 기업 보안 관리자들이 알아야 할 보안 생존 전략에 대해 살펴보자. 침입 전 Survival Guide 해고 당할 10가지 치명적 보안 실수 침입 중 Survival Guide 해킹 당했다는 11가지 신호와 대응 방안 자사가 APT 공격에 당했다는 걸 알려주는 5가지 신호 침입 후 Survival 해킹 당했다, 어떻게 할 것인가 Solutions APT와 전투에 임하는 6가지 팁 Products "Detect More. Protect More" - 고성능 지능형 보안 솔루션, 맥아피 NGFW

해킹 보안관리자 APT 2015.06.08

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.