Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

스파이웨어

줄줄이 드러난 스파이웨어 악용사례에 대응 나선 미국 정부

미국 하원 정보위원회(Intelligence Committee, IC)가 해외 스파이웨어의 위협을 논의하기 위해 이례적으로 공청회를 개최하고 있다.  그동안 미국 정부는 독재 정권이 정치적 적을 상대로 NSO그룹(NSOGroup)의 페가수스(Pegasus) 같은 스파이웨어 앱을 비판 없이 사용하고 있다는 증거가 많음에도 불구하고 조치를 거의 취하지 않고 있었다. 하지만 무시하기 어려운 사례가 쏟아지면서 해외 스파이웨어 남용을 억제하기 위한 움직임을 보이기 시작한 것이다.   급물살을 탄 미국의 조치 2021년 11월, 미 상무부는 NSO그룹을 거래 제한 블랙리스트에 추가해 미국 기업과의 거래를 제한했다. NSO그룹과의 거래를 국가 안보 위험으로 판단한 것이다. NSO그룹은 거래 제한 목록에서 벗어나기 위해 로비 활동까지 벌인 것으로 보인다. 다음 달인 2021년 12월, 의회는 연례 NDAA(National Defense Authorization Act)를 비준하면서 국무부가 5년 동안 매년 의회에 스파이웨어 기업 목록을 제출하도록 의무화하는 조항을 포함했다. 미국의 강경책과 기타 정치적 논란으로 인해 NSO그룹에는 혼란이 일었고 미군 출신이 운영하는 기업과 매각 논의가 오갔다. 여기에 더해 방산업체 L3해리스(L3Harris)도 NSO그룹의 스파이웨어 구입 논의에 참여했고, 일부 미국 정보기관이 지원했다는 예상치 못한 폭로까지 있었다. 백악관은 미국의 방산업체가 스파이웨어 구매를 시도하는 경우 강력한 저항에 부딪힐 것이라고 밝혔다. 7월 초 IC는 미국 국가정보국장에게 스파이웨어 개발자와 정보 커뮤니티 간 계약을 금지할 수 있는 권한을 부여하는 법안을 제출했다. 만약 그들이 미국 스파이를 표적으로 삼는다면 백악관이 제재할 수 있는 권한을 부여한다.  NSO의 스파이웨어 사용을 조사하는 것은 미국만이 아니다. 유럽 의회 역시 별도의 조사 위원회를 출범해 유럽 회원국 내 스파이웨어 사용을 조사하고 있다. ...

스파이웨어 미국정부 2022.07.29

구글 “이탈리아 스파이웨어, iOS 및 안드로이드 기기 해킹”

구글 보고서에 따르면 ‘RCS 랩(RCS Lab)’ 스파이웨어는 알려진 익스플로잇을 사용하여 유해한 페이로드를 설치하고, 개인 사용자 데이터를 훔친다.   구글의 ‘위협 분석 그룹(Threat Analysis Group; TAG)’이 최근 이탈리아와 카자흐스탄의 iOS 및 안드로이드 모바일 사용자를 공격하기 위해 제로-데이 취약점을 악용하는 문제의 스파이웨어를 개발한 곳은 ‘RCS 랩(RCS Lab)’이라고 밝혔다.    지난 목요일 구글 블로그 게시물에 의하면 RCS 랩은 드라이브-바이(drive-by) 다운로드를 포함한 여러 전술 조합을 초기 감염 벡터로 사용했다. 이어 이 회사는 표적 기기의 개인 데이터를 감시하는 도구도 개발했다고 구글은 덧붙였다.  이탈리아 밀라노를 기반으로 하는 RCS 랩은 (웹사이트에 따르면) 프랑스와 스페인에 계열사를 두고 있으며, 유럽 정부 기관이 고객으로 있다고 밝히고 있다. 또 합법적인 감청 분야에서 ‘첨단 기술 솔루션’을 제공한다고 주장한다.  (이와 관련해) RCS 랩의 별도의 입장을 표명하지 않았으며, ComputerWorld의 이메일 요청에도 답하지 않았다. 대신 RCS 랩은 로이터에 보낸 성명에서 “RCS 랩 직원은 관련 고객이 수행하는 어떤 활동에도 참여하지 않는다”라고 말했다. 아울러 이 회사는 웹사이트에서 “완전히 합법적인 감청 서비스”를 제공한다면서, “유럽에서만 매일 1만 개 이상의 감청 대상이 처리된다”라고 광고한다.  TAG는 RCS 랩의 기능을 사용한 스파이웨어 캠페인을 관찰했다고 전했다. 해당 캠페인은 표적으로 전송되는 고유 링크에서 시작되며, 이 링크를 클릭하면 사용자가 안드로이드 또는 iOS 기기에 악성 애플리케이션을 다운로드하여 설치하도록 한다.  이는 때에 따라 표적 기기의 ISP와 협력하여 모바일 데이터 연결을 해제해 수행된다고 구글은 설명했다. 이후 사용자는 표면상 데이터 연결을 복구해야 한다는 명목으로 SMS를 통...

스파이웨어 iOS 안드로이드 2022.06.28

“해결 방법 없다” 구글이 본 제로클릭 공격의 위험

모바일 보안과 관련해 사용자는 항상 의심스러운 링크나 이메일, 첨부파일을 피하며 각별한 주의를 기울여야 한다. 하지만 제로클릭(zero-click) 사이버 공격이 늘어나면서 이런 노력이 무력해지고 있다.   지난 12월 구글은 대표적인 제로클릭 사이버 공격인 페가수스(Pegasus)의 작동 방법을 연구한 결과를 발표했다. 페가수스 스파이웨어는 언론인과 세계 지도자를 해킹하기 위해 이스라엘 보안업체 NSO 그룹이 사용한 것으로 알려졌다. 구글 프로젝트 제로(Project Zero) 팀은 “지금까지 확인한 사이버 공격 가운데 기술적으로 가장 정교했으며, NSO의 기술이 일부 국가에서만 접근할 수 있다고 여겨진 기술에 필적한다는 것을 보여준다”라고 말했다. 구글의 연구결과에서 가장 놀라운 점은 페가수스가 보안 알람의 불문율, 즉 ‘효과적인 방어책이 없는 공격은 그 세부사항을 보고하는 것이 차선책’이라는 규칙을 깨뜨렸다는 점이다. 구글은 업계가 제로클릭 공격에 대한 방어책을 신속하게 마련할 수 있도록 세부 논의가 필요하다고 강조했다. 구글은 “NSO가 개발한 제로클릭 공격 기술은 어떠한 상호작용도 필요 없다. 따라서 평소에 피싱 링크를 클릭하지 않는, 기술에 능숙한 사람도 공격 대상이 되었다는 점을 모른다. 공격자는 피싱 메시지를 전송하지 않고 휴대폰 백그라운드에서 조용히 공격을 진행한다. 기기를 사용하지 않는 것 외에는 예방 방법이 없다. 방어할 수 없는 무기인 셈이다”라고 설명했다. 공격 수단은 ‘가짜 GIF’ 페가수스 공격의 배후로 알려진 NSO는 가짜 GIF로 코어그래픽스 PDF(CoreGraphics PDF) 파서의 취약점을 겨냥했다. 가짜 GIF는 확장자가 .gif이지만 실제로는 GIF 이미지 파일이 아니다. 파일명과 확장자는 사용자를 안심시키는 수단에 불과했다. ImageIO 라이브러리는 파일 확장자에 상관없이 소스 파일의 올바른 형식을 추측하고 구문을 분석하는 데 사용된다. 이를 가짜 GIF에 적용하면 20개 이상의 이미지 코덱...

NSO 페가수스 스파이웨어 2022.01.12

아이폰에 숨어있는 페가수스 스파이웨어를 확인하는 방법

이스라엘 보안업체 NSO 그룹이 언론인과 세계 지도자를 해킹하기 위해 설치한 것으로 알려진 페가수스(Pegasus) 스파이웨어에 대한 최근 보도가 걱정된다면, 이 스파이웨어가 자신의 아이폰에 숨겨져 있는지 확인하는 도구가 있다. 아마도 걱정할 필요는 없을 것이다.   워싱턴포스트에 따르면, 이스라엘 기업이 개발한 군사용 스파이웨어인 페가수스는 언론인, 인권운동가, 기업 경영자, 그리고 살해된 사우디 언론인 자말 카슈끄지와 그와 가까운 2명의 여성 등 40여 명의 스마트폰을 해킹하는 데 이용됐다.  보도에 따르면, 해킹된 전화기는 5만 개 이상인 것으로 나타났다. 하지만 NSO는 혐의를 부인했다.   일반인의 아이폰은 이 목록에 없을 가능성이 높다. 보도에 따르면, 이 작전의 합법성이 의심스럽기도 하지만, NSO는 고위 정치인, 정부 관료, 언론인을 표적으로 삼았고, 목표에 절반도 성공하지 못했다. 예를 들어, 국제앰네스티는 67개 전화기를 조사한 결과, 23개가 감염됐고, 14개가 침투 시도 징후를 보였다는 것을 발견했다. 조사에 따르면 이 가운데 대부분은 아이폰이었다.  하지만 스파이웨어가 걱정된다면, 자신의 아이폰이 표적이 됐는지 테스트할 수 있는 방법이 있다. 쉬운 테스트는 아니지만, 맥이나 리눅스 PC를 사용 중이고 이를 통해 아이폰을 백업한 경우라면 가능하다. (국제사면위원회가 공개한) 모바일 검증 툴킷(Mobile Verification Toolkit)은 자신의 아이폰에 페가수스 스파이웨어가 설치되어 있는지 여부를 탐지할 수 있다.  테크크런치가 테스트한 이 도구는 맥OS 터미널 앱을 사용해 작동하고 맥에서 최신 아이폰 백업을 검색한다. 이 도구는 정교하고 세련된 사용자 환경이 아니며 터미널 탐색 방법에 대한 몇 가지 기본 지식이 필요하다. 홈브루(Homebrew)를 사용해 libusb와 파이썬(Python) 3을 설치해야 한다(자세한 설치 방법은 여기에서 확인할 수 있다). 테크크런치에 따르...

페가수스 Pegasus 스파이웨어 2021.07.21

악성코드의 9가지 유형과 이를 탐지, 제거하는 방법

사람들은 보안 용어를 아무렇게나 사용하는 경향이 있다. 하지만 얼마나 다양한 악성코드(Malware)가 확산되어 있는지 알아야 차단하고 제거할 수 있다. 때문에 악성코드 분류를 간소화하는 것이 중요하다. 이번 기사는 전문가들과 대화할 때 악성코드 용어를 이해하는데 도움이 될 것이다.   1. 바이러스 대부분의 매체와 일반 최종 사용자는 뉴스에 보도되는 모든 악성코드 프로그램을 컴퓨터 바이러스라고 부른다. 다행히도 대부분의 악성코드 프로그램은 바이러스가 아니다. 컴퓨터 바이러스는 피해자의 파일이 실행되었을 때 바이러스도 실행되어 다른 정상적인 호스트 파일(또는 이에 대한 포인터)를 수정한다. 요즘은 순수한 컴퓨터 바이러스가 흔하지 않으며 전체 악성코드의 10%가 되지 않는다. 좋은 일이다. 바이러스는 다른 파일을 "감염"시키는 유일한 유형의 악성코드다. 해당 악성코드는 정상적인 프로그램에서 실행하기 때문에 특히 청소하기가 어렵다. 항상 쉽지 않은 일이었고 지금은 거의 불가능에 가깝다. 최고의 안티바이러스 프로그램도 이와 관련해 어려움을 겪고 있으며 많은 경우에 단순히 감염된 파일을 격리하거나 삭제한다. 2. 웜(Worm) 웜은 컴퓨터 바이러스보다 훨씬 오래 전인 메인프레임(Mainframe) 시대부터 있었다. 이메일로 인해 1990년대에 유행했고 컴퓨터 보안 전문가들은 메시지 첨부 파일로 도착하는 악성 웜에 약 10년 동안 시달렸다. 한 사람이 웜에 감염된 이메일을 열면 기업 전체가 즉시 감염되었다. 웜의 감염 특성은 자기 복제다. 악명높은 아이러브유(Iloveyou) 웜을 예로 들어보자. 발생 당시에 전 세계의 거의 모든 이메일 사용자가 감염되어 전화 시스템이 (사기 전송 문자 메시지로 인해) 과부하되고 텔레비전 네트워크가 다운되었으며 필자의 석간 신문도 반나절이나 지연되었다. 이 외에도 SQL 슬래머(SQL Slammer)와 MS 블래스터(MS Blaster) 등의 웜이 컴퓨터 보안 역사에 한 획을 그었다. 효과적인 웜은 ...

바이러스 악성코드 애드웨어 2019.05.09

모바일 기기를 공격하는 5대 신종 위협

사이버 범죄자들은 신형 무기와 구형 무기의 변종을 동원해 모바일 기기에 대한 공격을 강화하고 있다. 10년 전만 해도 모바일 악성코드는 있을 법하지 않은 신종 위협으로 간주됐다. 이런 위협으로부터 자신은 안전하다고 여기는 모바일 기기 사용자들도 많았다. 시간이 흘러 2017년이 된 지금 총 1,600만 건이 넘는 모바일 악성코드 사례 가운데 맥아피 연구소(McAfee Labs)에서 올해 1분기에만 발견한 신종 사례가 150만 건이 넘는다. 오늘날 모바일 기기에 대한 공격은 증가 일로에 있으며 누구도 안전하지 않다. 체크 포인트 소프트웨어(Check Point Software)의 디멘셔널 리서치(Dimensional Research)에서 실시한 설문 조사에서 모바일 기기 침해를 겪은 적이 있다고 응답한 회사의 비율은 20%에 달했다. 응답자 가운데 1/4은 공격을 겪었는지 여부조차 몰랐다. 거의 모든 응답자(94 %)가 모바일 공격의 빈도가 증가할 것으로 예상했으며, 79%는 모바일 기기를 안전하게 보호하는 것이 점점 어려워지고 있음을 인정했다. 체크 포인트의 모바일 위협 연구원 대니얼 파돈(Daniel Padon)은 "모바일 위협으로 입을 수 있는 타격에 대해 기업들의 인식이 점점 커지기 시작하고 있다"고 전제하고, "굴리건(Gooligan), 허밍배드(Hummingbad)와 같이 수많은 기기에 피해를 입히는 국가 수준의 실질적인 대규모 악성코드 공격과 이런 악성코드의 능력은 빙산의 일각에 불과하다"고 덧붙였다. 애플(Apple) 및 안드로이드(Android) 운영체제의 보안이 강화된 반면, 더욱 교묘하게 사용자를 현혹하는 신종 악성코드 역시 끊임없이 쏟아지고 있다. 게다가, 앱 설계 시 보안은 여전히 최우선 순위에서 밀려나 있다. 사용자로 하여금 인증 정보를 보이는 곳에 또는 약하게 암호화해서 저장하거나 전달할 수 있게 허용하는 앱들도 있다. 영국 보안업체 소포스(Sophos)의 수석 보안 ...

모바일 봇넷 스파이웨어 2017.08.04

"NSA 스파이웨어 존재를 쉽게 확인"…깃허브에 등장한 스크립트 '주목'

자사의 컴퓨터가 NSA의 감시 도구에 감염됐는지 의심스러운 이들이 환영할 만한 도구가 등장했다. 이를 쉽게 감지할 수 있다는 무료 도구가 등장해 눈길을 끌고 있다. 보안업체 커머셜(Countercept)의 루크 제닝스는 지난주 NSA가 유포한 것으로 추정되는 사이버 무기에 대응해 작성한 스크립트를 공개했다. 'Dublepulsar'라고 불리는 NSA의 이 감시 도구 삽입물은 윈도우 기반 취약점에 의해 배포되며 다른 악성코드를 실행시키는 능력을 보유했다. 제닝스의 이번 스크립트는 현재 깃허브에서 다운로드할 수 있다. 단 사용을 위해서는 약간의 프로그래밍 기술이 필요하다.  한편 몇몇 보안 전문가들이 제닝스의 스크립트를 사용해 임플란트에 감염된 시스템을 인터넷에서 검색했다. 그 결과, 약 3만~10만 대의 컴퓨터가 'Dublepulsar'에 감염된 것으로 추정되고 있다. 이 가운데 침투 테스트 업체 빌로우0데이(Below0Day)는 감염 컴퓨터가 분포한 국가를 의미하는 트위터 그래프를 작성하기도 했다. 이에 따르면 미국에는 약 1만 1,000대의 감염된 컴퓨터가 존재하며, 영국, 대만, 독일을 비롯한 여러 국가에서 1,500대 이상의 컴퓨터가 감염돼 있었다. 제닝스는 이들 컴퓨터들이 악성코드에 감염된 시기가 분명하지 않다고 밝히면서도, 'Doublepulsar'를 배포하는 것으로 추정되는 NSA의 도구가 일주일 전에 누출됐으며 이 시점부터 해킹 역량을 가진 이들이 이용하기 시작했었을 수 있다고 분석했다. . 몇몇 보안 전문가들은 사이버 범죄자나 외국 정부가 이번 취약점을 악용해 인터넷으로 구형 컴퓨터 일부를 공격할 수 있다고 우려하고 있다. 특히 패치되지 않은 윈도우 시스템으로 구동되는 컴퓨터가 특히 위험에 처해 있다는 진단이다. 시스템을 재부팅하면 NSA의 삽입물은 제거되지만 임플란트와 관련된 모든 악성코드가 제거되지 않는다. 제닝스는 'Dublepulsar'...

스파이웨어 NSA 깃허브 2017.04.24

NSA 스파이웨어 탐지 무료 툴 등장…감염 기기 10만 대 발견

보안 전문업체 카운터셉트(Countercept)의 보안 연구원 루크 제닝스가 지난 주 해커 집단 셰도우 브로커에 의해 일반에 공개된 스파이웨어에 대응하는 스크립트를 만들어 공개했다. 이 스크립트는 더블펄서(Doublepulsar)라는 스파이웨어가 심어져 있는지 탐지한다. 스크립트를 사용하기 위해서는 약간의 프로그램이 기술이 필요하며, 현재 깃허브에 올라와 있다. 몇몇 보안 연구원은 제닝스의 스크립트를 이용해 감염된 기기가 얼마나 되는지 인터넷을 검사했다. 결과는 편차가 컸는데, 3만 대에서 10만 대의 컴퓨터가 이 스파이웨어에 감염된 것으로 나타났다. 침입 테스트 업체인 빌로우제로데이(Below0Day)는 트위터를 통해 국가별 감염 정도를 공개했는데, 미국이 1만 1,000대로 가장 많았다. 그 외에 영국, 대만, 독일이 1,500대 정도였다. 제닝스는 이들 기기가 언제 더블펄서에 감염됐는지는 알 수 없다고 밝혔다. 하지만 NSA의 스파이웨어가 공개된 것이 벌써 지난 주이기 때문에 발 빠른 해커라면 이미 이를 악용할 수 있는 충분한 시간이다. 한편 제닝스는 더블펄서가 인터넷을 통해 컨트롤 서버와 통신하는 방법을 분석해 이번 스크립트를 개발했다고 밝혔다. 하지만 제닝스의 원래 의도는 기업들이 자사 네트워크에 대해 스파이웨어를 탐지하는 데 이용하는 것이지 인터넷 전체에 대한 검사하는 것은 아니었다. 하지만 아직 제닝스의 스크립트가 잘못 됐다는 증거를 제시한 사람은 없다. 포보스 그룹 CEO 댄 텐틀러는 이 스크립트의 정확성을 조사했다. 텐틀러는 이미 수작업으로 감염이 확인된 기기 50대에 대해 스크립트를 사용해 봤는데, 50대 모두 스크립트를 통해서도 감염된 것으로 확인됐다. 텐틀러는 “스크립트가 좋지 않다면, 검사를 많이 하면 몇 개 정도는 오탐이 생기기 마련이다. 하지만 이 스크립트로는 아직 오탐을 발견하지 못했다”라고 밝혔다. 보안 연구원들이 더블펄서 검색 결과의 정확성을 확인하는 데는 시간이 좀 더 걸릴...

악성코드 해커 스파이웨어 2017.04.24

인권운동가 노린 아이폰 스파이웨어 발견… 애플 보안 업데이트 배포

중동 국가 정부와 연결된 해커가 인권 운동 활동 감시를 위해서 애플 iOS의 알려지지 않은 취약점 3개를 악용한 것으로 알려졌다. 캐나다의 시티즌 랩(Citizen Lab)과 모바일 보안 업체인 룩아웃(Lookout)은 아랍 에미리트 연합국의 인권 운동가 아메드 아만수어를 표적으로 한 스파이웨어가 발견됐다고 전했다. 이달 초 만수어는 아이폰으로 아랍 에미리트 연합국의 억류자 고문과 관련된 “새로운 비밀”을 제공하겠다는 문자 메시지를 받았다. 하지만 이 메시지 안에는 링크가 있었는데, 이것을 클릭하면 아이폰이 iOS의 제로데이 익스플로잇을 활용한 스파이웨어에 감염될 수 있다고 연구원은 전했다. 해당 익스플로잇은 원격의 탈옥 된 아이폰으로 작동되며, 사용자 모르게 스파이웨어를 다운로드한다. 감염되면 아이폰의 카메라와 마이크, 메시지 등에 액세스할 수 있다. 룩아웃은 이 공격이 역대 아이폰에서 발견됐던 것 중 가장 정교한 공격이라고 말했다. 이미 애플에 이 같은 사실을 전달했으며, 애플은 목요일 해당 이슈를 수정한 iOS 9.3.5를 배포했다. 이 공격은 아직 알려지지 않은 3가지 취약점을 사용해야 하기 때문에 이 해커가 거액을 받았음을 유추할 수 있다. 이 익스플로잇의 가격은 하나에 100만 달러까지 될 수 있다. 그러나 시티즌 랩은 이스라엘의 보안 업체 NSO 그룹(NSO Group)을 용의자로 지목했다. 정부가 노리는 스마트폰 감시 전문 업체로 잘 알려져 있다. NSO 그룹은 웹사이트를 운영하지 않으며, 회사로 보낸 문의 메일에는 답이 없었다. 하지만 시티즌 랩은 유출된 문서에 이 이스라엘 업체가 페가수스(Pegasus)라는 스파이웨어 상품을 판매하고 있으며, 이것이 발견된 3개의 제로데이 익스플로잇과 일치한다고 주장했다. 시티즌 랩은 또한 만수어가 문자 메시지로 받은 링크의 도메인도 분석했다. 긴 추적 끝에 NSO 그룹이 이메일을 등록한 것을 확인했고, 이것이 NSO 그룹이 이번 공격에 가담했다...

스파이웨어 업데이트 보안 2016.08.26

스파이웨어, 악성웨어, 랜섬웨어를 막는 8가지 방법

최근 사이버 공격과 신원 도용이 증가하면서, 전체 인터넷이 어둠의 웹(Dark Web)으로 변해버린 느낌을 준다. 해킹할 수 없는 시스템은 없다. 그러나 온라인 범죄에 앞서 대비할 수 있는 손쉬운 방법들이 있다. 스파이웨어, 악성웨어, 피싱, 이보다 나중에 등장한 랜섬웨어에 이르기까지 인터넷에는 다양한 위협이 존재한다. 먼저 자신의 '적'을 알아야 한다. 여기에서 '적'인 '인터넷 공격'은 저마다 특징이 다르다. 스파이웨어 - 사용자 몰래 사용자 컴퓨터에 대한 정보를 수집하는 소프트웨어이다. 악성웨어 - 경미하게 또는 중대하게 컴퓨터에 피해를 초래하는 (바이러스, 웜, 트로이의 목마 등) 악성 소프트웨어이다. 피싱 – 주로 악용을 하기 위해 ID와 비밀번호, 신용카드 번호 등 개인 정보를 탈취하려는 시도이다. 통상 이메일과 같은 전자 통신 수단과 일반적인 보안 절차를 버리도록 하는 소셜 엔지니어링이 사용된다.   랜섬웨어 – '몸값'을 내기까지 컴퓨터를 사용하지 못하게 만들거나, 파일을 암호로 잠그는 악성 스파이웨어이다. 이 가운데 대다수는 사후에 없애는 것보다 예방이 쉽다. 사이버범죄, 기타 다양한 온라인 범죄에서 사용자가 기업이 쉽게 표적이 되지 않는 간단한 방법을 소개한다. 1. 2단계 인증 체계를 적용한다 비밀번호는 온라인 계정과 디지털 데이터를 안전하게 만드는 간편하면서도 검증된 방법이다. 그러나 스파이웨어나 다른 속임수로 쉽게 탈취할 수 있다는 단점이 있다. 그런데 범죄자가 사용자의 비밀번호를 탈취해도 계정을 보호할 수 있는 좋은 방법이 있다. 바로 2단계 인증(2FA: Two Factor Authentication)이다. 2FA는 비밀번호 위에 또 다른 보안 계층을 중첩한다. 비밀번호라는 첫 번째 요소와 휴대폰으로 전송되는 확인 번호, 문자 메시지 등 두 번째 요소로 구성된 방식이다. 사전에 설정...

스파이웨어 보안 랜섬웨어 2015.09.21

플레임과 같은 멜웨어를 이용한 보안 누출 사고 조사하기

컴퓨터에 로그인하면 읽기 쉬운 막대 그래프와 파이 그래프 형태의 통계로 가득 찬 화면이 반길 것이다. 특히 시선이 가는 한 그래프가 있다. 이는 이란의 한 서버에서 수백 명의 사용자 가운데, 단 한대의 컴퓨터가 대용량의 데이터를 전송한 것으로 표시된 그래프다.   마우스로 이 그래프를 더블 클릭하면, 사용자가 자신의 시스템에 외장 드라이브를 삽입해 프록시 웹사이트에 로그인한 후, 기업 방화벽이 놓친 외부 서버(일반적으로 국외 서버)에 암호화된 기밀 파일을 전송한 것을 확인할 수 있다. 몇 차례 마우스 클릭으로 해당 사용자의 장치에 로그인을 한 후, 범죄 과학적인 평가를 위해 문서를 포착한다.   용의자가 미상의 인물에게 기밀 파일을 누출한 확고한 증거를 바탕으로 해당 용의자의 문서에 디지털 추적 장치를 심어 최종 목적지를 추적한다. 마지막으로 용의자의 휴대폰에 표시한 후, SMS 문자와 GPS 좌표를 확인해 유죄를 입증한다.   미국 정부가 주도해 개발한 스파이웨어인 '플레임(Flame)'을 설명한 내용이라고 생각할 지 모르겠다. 그러나 이는 시장에 출시된 지 몇 년이 지난 프로그램으로 가능한 작업이다. 기업의 보안 누출 조사에 도움이 되는 프로그램들이다.   언론들은 가장 최근 발견된, 공식적으로 축출된 스턱스넷(Stuxnet)과 형제 격인 인텔 기반의 플레임(Flame) 몰웨어를 중점적으로 보도해왔다. 그러나 해커와 관련 산업 전문가는 이 멜웨어에 시큰둥한 반응을 보이고 있다. 플레임 류의 멜웨어는 이미 멜웨어와 판매용 소프트웨어 형태로 십여 년간 존재해왔던 것이기 때문이다.   RAT(Romote Access Tool)로 알려진 이 프로그램은 플레임과 유사하게 복잡하고 비범한 데이터 도난 기능을 갖추고 있다. ▲사용자의 스크린샷(screen shot)이나 키스트로크(keystroke)를 캡처하고 ▲파일을 다운로드 받고 ▲웹 캠...

스파이웨어 플레임 멜웨어 2012.08.08

글로벌 칼럼 | 시스코 라우터 업데이트 사건의 불편한 진실

지난 주 시스코는 어처구니 없는 짓을 저질렀다. 자사의 가정용 무선 라우터인 링크시스 제품군의 몇몇 모델에 대한 자동 펌웨어 업데이트가 사용자들로 하여금 시스코의 클라우드 서비스 계정을 개설하고 로그인해야만 라우터를 관리할 수 있도록 한 것이다. 여기에 더해 이전에는 사용할 수 있었던 몇몇 기능이 업데이트에서 사라지기도 했다. 필자는 뛰어난 기술력을 기반으로 세워진 명성을 가진 회사가 어떻게 이런 사기극을 만들어낼 수 있는지 도저히 이해할 수가 없다. 그리고 상황은 점점 더 나빠지고 있다.   사용자가 수용해야 할 서비스 조건, 즉 이미 구매한 라우터를 운용하기 위해 필요한 조건에는 시스코에 사용자의 인터넷 사용 관련 정보를 모니터하고 추적할 권리를 부여하는 조항이 포함되어 있었다. 이 말은 사용자가 저작권이 있는 파일이나 외설적인 콘텐츠를 다운로드하면, 시스코가 라우터를 차단할 수도 있다는 것을 암시한다.   네트워크 침입 자사의 추악한 욕망을 여과없이 드러낸 후, 시스코는 뒤로 한 걸음 물러났다. 서비스 조건을 수정해 일부 어처구니 없는 조항들을 삭제하겠다고 약속하고 나선 것이다. 시스코는 또 피해를 입은 장비를 다운그레이드할 수 있는 방안도 제공했다. 하지만 익스트림테크(ExtremeTech)는 이미 이런 약속은 중요하지 않게 됐다고 지적했다. 시스코는 여전히 언제라도 이들 조건을 업데이트할 수 있기 때문이다.    이 사건의 요점은 모두가 피해를 입었다는 것이다. 문제의 라우터를 구매한 사용자는 본질적으로 자신들의 손에서 떠나버린 장비를 갖게 됐다. 시스코가 수백 달러를 받고 판 장비는 이제 이번 사건 이전과는 완전히 다른 장비가 됐다. 하드웨어는 바뀌지 않았지만, 서비스, 지원, 사용 환경은 완전히 오염되고 말았다.    생각해 보자. 토스터를 사서 잘 사용하고 있는데, 제조업체가 와서 내부 부품 몇 개를 빼버렸다. 그리고 사용자의 부...

라우터 시스코 스파이웨어 2012.07.10

‘생산성은 Yes, 감시는 No’, 자발적 모니터링 SW 부각

하루 중 생산적으로 쓰고 있는 시간이 얼마 되는지 알고 싶은가? 예를 들어 업무 관련 조사를 하다 전혀 관련이 없는 웹사이트를 방문하는 횟수는 얼마나 될까? 나 자신뿐 아니라 상사나 동료, 부하직원들에 대해서도 말해주는 그런 소프트웨어가 있다.   현재 많은 기업들이 은밀하게 직원들을 지켜보기 위해 쓰고 있는 스파이 소프트웨어를 말하는 게 아니다. 근무 시간 동안 직원들이 뭘 하는지 지켜보는 새로운 종류의 기업용 모니터링 소프트웨어가 있다. 기존 소프트웨어와의 가장 큰 차이는 은밀하지 않다는 점이다. 이 위젯은 업무 성과를 앞에서 보여준다.   이 모니터링 소프트웨어를 만든 리스큐 타임(RescueTime)의 공동 창업자이자 CEO인 조 흐루스카는  "사람들이 하루 8시간 중 생산적으로 보내지 못하는 시간이 얼마나 되는지 살펴보면 꽤 놀랍다"라며 "예를 들어 컴퓨터를 이용해 일을 하고 있을 때 4~5시간을 생산적으로 쓰고 있다면 상위 10%에 해당한다. 이보다 더 생산적으로 일을 하는 사람들을 보기란 꽤 힘들다"라고 말했다.   리스큐타임은 원래 사람들이 하루 일상을 어떻게 보내는지 추적할 수 있는 소비재 소프트웨어를 만들려고 했다. 주로 고객에게 시간제 과금을 할 수 있도록 해주기 위해서였다.   IT 컨설팅 부문에서 경력을 쌓기도 한 흐루스카는 "애초 시간 추적 시스템이나 사람들을 모니터링 하기 위한 소프트웨어를 만들려고는 하지 않았다. 그러나 테스트 과정에서 사람들이 일과 중 무슨 일을 하는지 뿐 아니라 얼마나 생산적인지 알고 싶어한다는 사실이 드러났다. 따라서 정보를 자동으로 획득하는데 목표를 뒀다. 사용자가 간여할 필요 없이 말이다. 데이터 기입 없이 이런 정보를 얻어보자고 생각했다. 일하는 걸 멈추고 타임시트를 채우는 것보다 생산성을 더 방해하는 건 없기 때문이다"라고 설명했다. ...

감시 생산성 스파이웨어 2011.04.11

애드웨어, 소셜 네트워크 타고 재등장

페이스북, 트위터 등 인기 소셜 네트워크 사이트를 타깃으로 애드웨어를 배포하는 회사들이 급증하고 있다. 공유에 대해서 우호적인 인식을 갖고 있는 소셜 네트워크 사이트 환경은 진짜 의도를 숨기고 있는 서드파티 애플리케이션을 통해서 애드웨어나 트랙웨어를 퍼뜨리는데 이상적인 환경이다.   애드웨어의 기원   애드웨어는 다운로드했을 때 특정한 광고를 보여주는 소프트웨어다. 애드웨어는 다운로드 가능한 게임, 영화, 음악파일, 소프트웨어 프로그램에 끼워져 있는 경우가 많다. 하지만 다운로드 할 때는 애드웨어가 끼어 있는지 알 수 없다. 일단 시스템에 들어오면 애드웨어 애플리케이션은 사용자가 온라인에서 주로 어떤 행동을 하는지 추적해서 그 행태에 맞는 광고를 보여준다. 쇼핑도우미, 타겟광고, 팝업 또는 팝업 아래 윈도우, 키워드 강조, 검색 툴바, 플로팅 광고, 기타 등등 귀찮게 하는 광고 등 형태는 다양하다.   과거의 애드웨어는 2003년에 최대의 호황을 누렸고 2005년에는 여러 다운로드 파일 및 사이트에 보편적으로 자리잡았다. 웹사이트 방문자를 상대로 팝업창을 마치 폭격하듯 열어 보이는 방식이나 액티브X 제어나 다른 소프트웨어를 설치하라는 메시지창을 여는 방식, 윈도우 미디어 플레이어 같은 프로그램을 설치하기 위한 인증번호 제공, P2P 애플리케이션을 묶어서 제공하는 등 방법도 다양했다.   2005년 후반 속임수 광고와 컴퓨터 무단 침입을 언급하면서 미국의 주 법무부와 연방거래위원회는 애드웨어 배포자들에 대한 제재를 가하기 시작했다. 2007년 애드웨어 계의 거인 장고(Zango)와 다른 주요 애드웨어 회사들이 문을 닫거나 새로운 소프트웨어 시장으로 흡수되었다.     그러나 장고에 다니던 재능 있는 직원들이 루드모(Loudmo), 핀볼 퍼블리싱 네트워크(Pinball Publishing Network) 같은 회사로 흩어져...

애드웨어 페이스북 트위터 2010.10.21

안철수연구소, 오진 재발 방지 대책 발표

안철수연구소는 12일 V3 제품군이 주민등록관리 시스템 등 행정안전부의 일부 민원 프로그램을 스파이웨어로 오진한 것과 관련해 향후 재발 방지 대책을 발표했다.   이번 오진의 원인은 스파이웨어 중 악성 가짜백신 ‘바이클리어(VICLEAR)’와 주민등록 관리 프로그램에서 사용하는 midas.dll의 레지스트리 정보가 같기 때문이다. 즉, ‘VICLEAR’와 주민등록 관리 프로그램에 들어있는 midas.dll 파일이 같기 때문이다. 가짜백신은 교묘하게 정상 백신인 것처럼 위장해 사용자 동의없이 설치되며 허위 진단으로 과금을 유도한다. V3는 이 가짜백신을 진단하는 과정에서 정상적인 프로그램의 파일을 실행 차단한 것이다.   안철수연구소는 오진 재발 방지를 위해 먼저, 악성코드를 진단하는 엔진에만 적용되던 기술을 스파이웨어 진단 엔진에도 적용해 오진 발생 시 최단 시간 내에 조치할 수 있게 할 계획이다. 즉, 오진 값을 제거하는 기능, 검역소의 백업 파일을 복구하는 기능, 자동 진단 제외 기능을 스파이웨어 진단 엔진에도 적용하기로 했다.   또한, 스파이웨어를 진단하는 알고리즘을 더욱 정밀하게 강화하고 화이트리스트(white list) 관리를 더욱 철저히 할 계획이다. 즉, 정상 프로그램이 등록되는 레지스트리 CLSID(Class Identifier, 보충설명 참조), 설치 폴더명, 설치 파일 정보의 DB를 구축 및 보강해 품질보증 과정에 적용할 계획이다. 또한 기존 파일 분석 모듈을 개선하는 한편, 안철수연구소가 보유한 정상/악성 파일들의 세부적인 데이터베이스를 구축해 정상 파일의 코드 영역을 진단하지 않도록 할 계획이다.   한편, 이처럼 교묘하게 정상 프로그램으로 위장한 가짜백신 및 스파이웨어를 판별하기 위해 더욱 정교한 기술이 필요해지는 추세이다. 안철수연구소는 이에 대해 더욱 기술력을 집중할 계획이다. 아울러 지능화하는 가짜백신과 스파이웨어를 근원적으...

악성코드 안철수연구소 V3 2010.01.13

공짜 스파이웨어제거SW 치료성능 '탁월'

(서울=연합뉴스) 유경수 기자 = NHN과 다음, KT, 이스트소프트, 야후 등이 무료로 배포하는 스파이웨어 제거 프로그램이 웬만한 유료 프로그램보다 치료 성능이 좋은 것으로 나타났다.      스파이웨어(Spyware)란 사용자의 동의 없이 설치돼 인터넷 시작페이지를 멋대로 변경하거나 컴퓨터의 주요 정보를 유출하는 등의 악의적인 행위를 하는 프로그램을 말한다.      12일 방송통신위원회와 한국정보보호진흥원에 따르면 작년 말 현재 국내에 유통되고 있는 유료 109종, 무료 19종 등 모두 128종의 스파이웨어 제거프로그램의 성능시험 결과 13종의 프로그램이 스파이웨어 탐지율이 우수했다.      우수 프로그램 중 네이버 PC 그린(NHN), 다음툴바(다음), 메가닥터(KT), 알약(이스트소프트), 야후 툴바(야후) 등은 무료고 노애드2+(노애드), 라이브콜(하우리), 바이러스체이서(뉴테크웨이브), 애드스파이더다잡아(디지탈온넷), nProtect AVS 2007(잉카인터넷), PC닥터(보안연구소), PC지기CIS(비전파워), V3 365(안철수연구소)는 유료다. 이들 프로그램은 1천500개 스파이웨어 샘플을 이용, 최근 스파이웨어 유형에 맞춰 스파이웨어 패턴분석에 의한 탐지 및 치료기능을 시험했을 때 전체 샘플의 500개 이상을 정확히 진단했다.      시험표본 중 150개 이상을 정확히 진단한 프로그램이 6종, 1-149개 진단 프로그램이 9종이었다.      하지만 나머지 100개의 프로그램은 탐지하지 못하거나 프로그램 실행 오류가 발생, 제품별 성능 차가 매우 큰 것으로 나타났다.      또 이번 조사에서는 프로그램 설치 시...

야후 KT 다음 2009.02.12

"외국산 가짜 백신ㆍ스파이웨어 급증"

(서울=연합뉴스) 조성흠 기자 = 최근 들어 외국산 가짜 백신과 스파이웨어 등 해외발 보안위협이 증가하고 있는 것으로 나타났다.      안철수연구소는 12일 보안ㆍ바이러스 정보 'ASEC 리포트'를 통해 "올해 외산 가짜 백신과 외산 스파이웨어가 급증하고 있다"고 주의를 당부했다.      상반기 25개가 발견됐던 외산 가짜 백신은 하반기 들어 갑자기 증가, 3분기에만 75개가 확인됐다. 이들은 백신 프로그램으로 위장해 설치된 뒤 스팸메일을 발송하거나 다른 악성코드를 설치하는 등 피해를 입히며, 특히 일단 설치된 뒤에는 진단과 삭제도 힘들다고 안철수연구소는 설명했다.      또한 외산 스파이웨어의 경우 국산 스파이웨어가 줄어드는 틈을 타 오히려 극성을 부리는 것으로 나타났다.      올해 1월 국산 스파이웨어가 전체의 60%를 차지했으나 9월에는 11%까지 낮아지는 대신, 외산이 빈자리를 차지한 것.      외산 스파이웨어는 성인사이트와 스팸메일을 통해 유입되며 일단 감염되면 가짜 백신 등 악성 프로그램을 설치하거나 스팸메일을 대량으로 발생하는 등 피해를 유발시킨다.      ASEC 리포트는 이밖에 3분기 주요 보안 이슈로 ▲웹사이트 공격의 지능화 ▲PDF, DOC, PPT 파일 취약점을 악용하는 악성코드 증가 ▲DDoS(분산서비스거부) 공격 유발 활동 증가 등을 들었다.      한편 올해 3분기까지 새로 발견된 악성코드와 스파이웨어는 1만6천768개로 지난해 같은 기간 6천356개에 비해 2.6배로 많아진 것으로 나타났다. 이는 악성코드를 손쉽게 제작하고 또한 ...

악성코드 스파이웨어 가짜백신 2008.10.13

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.