Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

사이버공격

라이엇 게임즈, 해킹으로 소스코드 도난 “고객 정보는 안전…몸값 요구 불응할 것”

사이버 공격은 금융 기관을 노리는 경우가 가장 흔하지만, 게임 업계 역시 자유롭지 않다. 리그 오브 레전드(League of Legends) 개발사 라이엇 게임즈(Riot Games)가 최근 사이버 보안 공격을 당한 소식이 알려졌다. 해커들은 요구사항이 충족되지 않으면 자신들이 탈취한 리그 오브 레전드의 소스 코드를 공개하겠다고 위협하고 있다.    라이엇 게임즈의 트위터에 따르면, 공격은 소셜 엔지니어링 기법을 사용해 지난주 발생했다. 소셜 엔지니어링 기법은 가짜 이메일 헤더로 액세스 자격증명을 포기하도록 속이는 것과 같은 기술적 해킹이 아닌 일반적인 속임수를 사용한다. 해커들은 라이엇 게임즈의 인프라에 액세스해 리그 오브 레전드와 모바일 게임  전략적 팀 전투(Teamfight Tactics)의 소스 코드와 치트 방지 도구를 훔쳤다.  라이엇 게임즈는 해커들이 고객 데이터에는 액세스하지 못했다고 말했다. 하지만 도난당한 정보로 인해 게임이 새로운 치트와 익스플로잇에 취약해질 수 있다. 소스 코드가 “느슨해지고” 비양심적인 개발자가 게임을 카피할 수 있는 직접적인 원인이 될 수 있지만, 라이엇 게임즈는 해커에게 몸값을 지급하지 않을 것이라고 덧붙였다. 이번 공격으로 인해 영향을 받는 게임에 대한 업데이트가 일시적으로 중단되었으며, 향후 패치 출시가 느려질 수 있다. 패치를 기다리는 동안 ‘보안을 강화하는 간단한 방법 5가지’를 살펴보는 것을 추천한다. editor@itworld.co.kr

라이엇게임즈 리그오브레전드 사이버공격 3일 전

"온라인 위협에 대한 체계적인 접근" 메타가 제안하는 새로운 킬 체인

록히드 마틴은 2014년 4월 ‘적대 세력 캠페인 분석과 침입 킬 체인의 정보에 근거한 인텔리전스 기반 컴퓨터 네트워크 방어(Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chain)’라는 백서를 출간해 사이버 방어 비즈니스에 혁명을 일으켰다. 이 문서로 인해 디지털 적대 세력, 구체적으로는 국가 차원의 APT(Advanced Persistent Threat) 그룹을 바라보는 사고가 달라지기 시작했다.   백서 저자들은 적대 세력이 운용되는 방식에 대한 지식을 활용하면 “인텔리전스 피드백 루프를 만들어 방어자가 정보 우위를 구축해 이후 적대 세력의 침입 시도가 성공할 가능성을 낮출 수 있다”라고 주장한다. 킬 체인(kill chain)이라고 하는 이 모델은 “침입의 각 단계를 기술하고 킬 체인 지표를 방어자의 행동 방침에 매핑하며, 개별 침입을 더 넓은 범위의 캠페인에 연결하는 패턴을 식별한다. 인텔리전스 기반 컴퓨터 네트워크 방어의 기초가 되는 인텔리전스 수집의 반복적 속성을 이해”하는 데 도움이 된다. 록히드 마틴의 백서가 발간된 지 8년 뒤, 백서 저자 중 한 명이자 현재 메타(Meta)의 보안 엔지니어 조사관인 에릭 허친스와 메타의 글로벌 위협 인텔리전스 리드인 벤 니모는 최근 개최된 사이버워콘(Cyberwarcon) 컨퍼런스에서 새로운 킬 체인 모델을 발표했다. 이 모델은 온라인 작전의 일반적인 사일로를 관통하는 공통 프레임워크 ‘온라인 오퍼레이션 킬 체인(Online Operations Kill Chain)’를 규정한다. 공통 위협 분류 체계 메타 연구원들은 온라인 작전에서 직면하는 고유한 과제에 초점을 두고 공통 위협 분류 체계를 고안했다. 업계의 집단 방위에서 취약점을 파악하고 위협 환경을 더 효과적으로 이해하는 데 도움이 된다. 니모는 사이버워콘에서 “첫 번째 작업은 무슨 ...

메타 킬체인 사이버킬체인 2022.11.17

글로벌 칼럼 | 라틴 아메리카 사례를 통해 살펴보는 사이버보안의 3가지 기반

최근 라틴 아메리카 지역에서 사이버 공격이 증가하고 있다. 멕시코 대통령 로페스 오브라도르는 정보부와 군대에 대한 민감한 공격이 있었음을 확인했다. 칠레 군대와 사법 시스템, 콜롬비아 국립식품의약품감시원(Instituto Nacional de Vigilancia de Medicamentos y Alimentos, INVIMA)도 비슷한 공격을 받았다. 올해 대규모 랜섬웨어 공격을 받은 코스타리카에서는 보건부의 시스템을 침해하려는 시도가 있었다.   왜 라틴 아메리카를 공격하는가 라틴 아메리카가 사이버 공격의 표적이 되는 이유에 대해서는 여러 이론이 제기되고 있다. 공격 배후에 있는 그룹 중 하나인 과카마야(Guacamaya)는 해당 지역의 천연자원을 착취하는 서방 기업을 "사보타주"하려는 의도라고 주장한다. 라틴 아메리카에서 활동하는 또 다른 범죄 집단 콘티(Conti)는 러시아와 연관되어 있다. 이들의 공격은 러시아가 우크라이나와 그 동맹국의 주요 인프라 시설에 대규모 사이버 공격을 계획하고 있으며, 라틴 아메리카가 테스트 또는 시나리오 지역으로 사용될 수 있다고 한 우크라이나 국방부의 최근 발표와 시기적으로 부합한다. 선진국들은 외부의 위협 행위자가 민간 기업을 포함해 국가와 경제의 안정에 큰 영향을 미칠 수 있다는 점을 잘 이해하고 있다. 대표적으로 미국, 유럽 연합 및 영국 같은 국가는 지난 몇 년 동안 비즈니스 및 중요 인프라에 대한 사이버 공격의 위험을 완화하도록 설계된 정책과 규정을 마련했다. 또한 이들은 기업과 정부 기관이 스스로를 보호하기 위해 갖추어야 할 기술적 능력에 대한 지침도 발표했다. 하지만 라틴 아메리카는 상황이 다르므로 접근 방법도 달라야 한다. 라틴 아메리카의 정부와 민간 기업 리더가 사이버 공격 위험을 완화하기 위해 취해야 하는 3가지 조치를 살펴보자.  1. 사이버보안에 재정 자원 할당 현재까지 라틴 아메리카의 15개국은 국가 차원의 사이버 보안 전략을 개발했지만, 이 전략에 따른...

보안 라틴아메리카 사이버공격 2022.10.11

“가짜 뉴스가 기후 변화만큼 나쁘다” 선진국 시민 70%가 위협 요소로 평가

최근 한 조사에서 19개 선진국 시민의 70%가 가짜 뉴스의 온라인 유포에 대해 우려한다고 답했다. 가짜뉴스보다 더 위협적인 것은 기후 변화뿐이었다. 미국 퓨 리서치 센터(Pew Research Center)가 2만 3,525명의 선진국 시민에게 기후 변화, 감염병, 온라인 가짜 뉴스, 국가 사이버 공격, 세계 경제 상태에 관해 위협 정도를 평가해 달라고 물었다. 대부분 국가에서 기후 변화를 가장 큰 위협이라고 답했으며, 응답률은 75%에 달했다. 하지만 기후 변화의 뒤를 이어 인터넷 가짜 뉴스가 70%의 응답률로 2위를 차지했다.   흥미로운 것은 미국인의 위협 인식이다. 응답자 중 미국인의 70%가 가짜 뉴스와 사이버 공격을 가장 큰 위협이라고 답했다. 반면에 기후 변화에 대한 우려는 그리 크지 않았는데, 5가지 위협 중 지구 온난화가 가장 낮은 응답률을 기록했다. 뉴욕 타임즈는 이번 조사 결과에 대해 최근 몇 년 동안 미국인이 다른 국가에 비해 가짜 뉴스 때문에 더 많은 어려움을 겪었기 때문이라고 분석했다. 대표적인 것이 지난 미국 대통령 선거와 코로나19 팬데믹이다. 미국인 중 온라인 가짜 뉴스가 무시해도 좋은 위협이라고 답한 비율은 26%에 불과했다. 미국인 54%, 독일인은 75%가 기후 변화가 가장 큰 위협이라고 답했다. 기후 변화에 대한 위기 의식이 가장 낮은 나라는 이스라엘로, 단 42%만이 심각한 위협이라고 답했다.   한편, 퓨 리서치 센터의 분석에 따르면, 미국인의 가짜 뉴스에 대한 인식은 지지 정당에 따라 달랐다. 민주당 지지자와 교육 수준이 높은 응답자일수록 기후 변화가 위협이라고 답했으며, 공화당 지지자와 교육 수준이 낮은 응답자는 기후 변화를 크게 우려하지 않는 것으로 나타났다. 트럼프 지지자의 66%가 온라인 가짜 뉴스를 위협이라고 답했으며, 바이든 지지자는 이보다 많은 78%가 그렇다고 답했다. editor@itworld.co.kr

기후변화 가짜뉴스 감염병 2022.09.02

"22년 2분기 악성 도메인 활동 및 피싱 툴킷 재사용 증가" 아카마이 조사

사이버보안 업체 아카마이가 최근 실시한 조사에 따르면, 모니터링 대상 기기의 12.3%가 2022년 2분기 중 한 번 이상 맬웨어 또는 랜섬웨어와 연계된 도메인과 통신한 것으로 나타났다. 2022년 1분기보다 3% 증가한 수치다. 또한 아카마이는 악성 도메인 관련 활동에서 피싱 툴킷이 핵심적 역할을 하고 있다고 전했다. 이번 조사 결과는 DNS 데이터, 그리고 다양한 산업과 지리적 위치에 걸쳐 통신사 및 기업 트래픽에 대한 아카마이의 분석 자료를 기반으로 한다.   22년 2분기, 맬웨어·피싱·C2 도메인 활동 증가 감지 조사에 대해 자세히 설명한 블로그에서 아카마이는 맬웨어/랜섬웨어 관련 도메인과 통신하는 것으로 감지된 기기 외에 6.2%는 피싱 도메인, 0.8%는 C2 관련 도메인에 액세스했다고 언급했다(모두 2022년 1분기 대비 소폭 증가). 아카마이는 “수치만 보면 미미한 것 같지만 규모로 보면 수백만 대의 기기다. 이 점과 함께 C2가 가장 악의적 위협임을 고려하면 매우 중대한 사안”이라고 강조했다. 아카마이는 잠재적으로 침해된 디바이스와 다양한 위협 범주에서 63%의 기기는 맬웨어 활동과 관련된 위협에 노출됐으며, 32%는 피싱, 5%는 C2에 노출됐다면서 “맬웨어와 연계된 도메인에 접근했다고 해서 해당 기기가 무조건 실제로 침해되는 것은 아니지만, 이런 조사 결과는 위협을 적절히 완화하지 않을 경우 잠재적 위험이 증가한다는 강한 지표를 제공한다. 반면 C2 관련 도메인에 접근했다는 것은 기기가 침해됐고 C2 서버와 통신하고 있을 가능성이 매우 크다는 것을 나타낸다. 많은 경우 C2의 관측 빈도가 맬웨어 숫자와 비교할 때 낮은 이유를 이것으로 설명할 수 있다”고 언급했다. 가장 빈번한 표적은 첨단 기술, 금융 브랜드 아카마이에 따르면, 2022년 2분기 악의적 도메인 활동이 가장 많이 표적으로 삼아 악용하고 모방한 분야는 첨단 기술 및 금융 브랜드다. 공격 범주를 보면 대부분(80.7%)의 캠페인이 소비자를 노렸지만, 아카마이는 ...

DNS 해킹 악성코드 2022.08.29

"스마트 팩토리, 사이버공격에 맥 못춰" 캡제미니 보고서

스마트 팩토리를 운영하는 기업들은 직면한 사이버 위협을 명확하게 인지하고 있다. 하지만 이에 맞설 대비책은 매우 미흡한 실정이다.      스마트 팩토리를 운영하는 기업들은 사이버보안이 중차대한 고려사항이라는 점을 잘 알고 있다. 그러나 최근 기술 및 디지털 트랜스포메이션 컨설팅 업체 캡제미니(Capjemini)가 발간한 보고서 '스마트&시큐어: 스마트 팩토리가 사이버보안을 우선시해야 하는 이유(Smart & Secure: Why Smart Factories Need to Prioritize Cybersecurity)'는 조금 다른 현실을 보여준다. 상당수의 스마트 팩토리가 증가하는 사이버보안 위협에 대비책을 마련하지 못한 상태라고 보고서는 밝혔다.  전 세계 950개 기업을 대상으로 한 이 조사에 따르면 전체 응답자의 무려 80%가 사이버보안이 스마트 팩토리 운영의 중요한 구성요소라는 점에, 그리고 51%는 향후 12개월 동안 사이버보안 위협이 계속 증가할 것이라는 데 동의했다. 하지만 이에 따른 대비책은 턱없이 부족한 실정이다.  설문조사에 참여한 많은 임원은 스마트 팩토리와 제조 공장이 사이버 공격에 매우 취약하다는 점을 인정했다. 특히 내부 사이버보안 애널리스트들이 공격을 탐지해 예방하려면 방대한 양의 운영기술(OT) 및 산업용 사물인터넷(IIoT) 기기를 추적해야 하는 것이 가장 큰 걸림돌이라고 전했다. 스마트 팩토리에 설치되고 있는 기기의 수가 기하급수적으로 증가하고 있는 상황에서 이러한 문제는 더 심화될 것이라고 보고서는 설명했다.  가장 취약한 곳은 중공업  캡제미니 보고서는 스마트 팩토리를 겨냥한 사이버 공격이 팬데믹이나 이에 따른 경기 불황에 굴하지 않고 더 기승을 부렸다고 기술했다. 무려 기업의 73%가 지난 12개월 안에 공격을 받은 적이 있다고 답변했다. 이 중 사이버 공격에 가장 큰 영향을 받은 산업은 중공업(58%)로 나타났고 제약...

스마트팩토리 사이버공격 섀도우IT 2022.07.08

트렌드마이크로, ‘ICS·OT 산업 사이버 보안 보고서’ 발표…“산업계 사이버 공격으로 수십억 피해 초래”

트렌드마이크로가 ‘산업 사이버 보안 현황 보고서(The State of Industrial Cybersecurity)’를 발표해 ICS/OT 환경에 가해지는 사이버 위협 영향을 공개했다.  독일, 미국, 일본 등의 전기, 석유 및 가스, 제조 부문 산업제어시스템(ICS) 사이버 보안 리더 900명을 대상으로 설문조사를 실시한 이번 보고서는 응답자의 89%가 지난 한 해 사이버 공격으로 인해 생산과 에너지 공급에 영향을 받았다고 밝혔다. 트렌드마이크로 인프라 전략 부문 윌리엄 말릭 부사장은 “전세계의 주요 산업들이 지속가능한 성장을 위해 디지털 전환을 추진하는 가운데, 사이버 공격으로 인한 재정적 피해 및 평판 손상의 가능성도 증가했다”며 “복잡한 IT 및 OT 환경을 효과적으로 관리하기 위해서는 뛰어난 성능과 폭 넓은 기능을 기반으로 두 환경 모두에서 최고의 보안 수준을 제공하는 숙련된 파트너사가 필요하다”고 말했다. 이번 보고서는 콜로니얼 파이프라인 랜섬웨어 공격 발생 1년 후 발표됐다. 이 랜섬웨어 공격은 OT 시스템을 며칠동안 중단시키고 미국 동부 연안에 대대적인 연료 부족 사태를 초래해 현재까지도 가장 큰 국가 중요 인프라(CNI) 공격으로 언급된다. 보고서에 따르면 국가 중요 인프라 공격으로 영향을 받은 적 있는 조직의 절반 가량이 사이버 보안 인프라 개발을 위해 노력한 것으로 나타났다. 그러나 일부는 자원과 지식 부족으로 이러한 개발에 어려움을 겪고 있는 것으로 확인됐다. 또한, 산업제어시스템 및 운영기술(ICS/OT)이 겪은 사이버 장애로 발생한 조직의 재정적 피해는 평균 280만 달러(한화 약 36억원)에 달하며, 특히 석유 및 가스 산업이 가장 큰 피해를 입은 것으로 나타났다. 응답자의 72%는 지난 1년 동안 ICS/OT 환경에서 사이버 장애를 최소 6번 경험했다고 답했다. 트렌드마이크로가 이번 보고서를 통해 확인한 산업 사이버 보안 현황은 응답자의 40%가 초기 공격을 차단하지 못했고, 일시적인 장애를 겪었다고 대답한 ...

트렌드마이크로 사이버공격 2022.06.21

“우크라이나 겨냥한 러시아발 사이버 공격, 더욱 빨라질 것” MS 보고서

최근 마이크로소프트가 발행한 보고서에 따르면, 러시아 정부와 밀접한 관련이 있는 해킹 단체들이 우크라이나 침공 이후부터 수백 개의 목표물에 대해 40건에 가까운 파괴적인 공격을 가한 것으로 알려졌다. 주로 우크라이나 정부 기관을 겨냥한 공격이었지만, 우크라이나 정부와 군대는 물론 국가 경제와 민간인에게도 피해를 입힌 것으로 나타났다.   러시아 정부의 지원을 받는 해커들은 GRU, SVR, FSB의 분명한 지시 하에 피싱 캠페인, 잘못된 정보, 데이터 도난 및 중요 시스템 파괴에 이르기까지 우크라이나에 대해 광범위한 사이버 공격을 감행했다. 보고서에 따르면 해커들의 주요 표적은 우크라이나의 에너지 기반 시설이었다. 원자력 안전 조직과 지역 에너지 제공업체가 데이터 도난과 시스템 파괴 공격을 받은 것으로 알려졌다. 하지만 에너지 부문만 피해를 본 것은 아니었다. 마이크로소프트는 미디어 조직과 물류 제공업체뿐 아니라 심지어 농업 회사 1곳도 공격을 받았다고 밝혔다. “사이버 공격 속도 빨라질 것” 마이크로소프트는 러시아 대통령 블라디미르 푸틴이 “목표를 달성할 때까지 전쟁은 계속될 것”이라고 공개적으로 언급한 점을 고려할 때 침공이 계속되면서 사이버 공격 속도도 빨라질 것이라고 예상했다. 마이크로소프트는 보고서를 공개한 블로그 게시물에서 “갈등이 지속됨에 따라 러시아의 공격적인 사이버 활동 범위가 더욱 확대될 수 있으며, 우크라이나에 물질적 지원을 제공하는 수많은 국가에 대한 보복 조치 징후도 이미 발견됐다”라고 말했다. 또한 마이크로소프트는 “각 정부 기관과 중요 인프라 관련 기업은 CISA와 US 정부 기관, 다른 국가의 사이버 관련 조직이 발표한 경보를 심각하게 받아들이고 이들 조직이 권장하는 방어 및 복구 조치를 취해야 한다”라고 조언했다. 러시아발 사이버 공격에 대비하는 방법 마이크로소프트가 발간한 보고서에는 정부 기관 및 인프라의 IT 보안 작업자를 위한 권장 사항도 소개됐다. 구체적으로 △가능한 한 모든 곳에서 다중 인증을 채택하고...

러시아 우크라이나 사이버공격 2022.04.29

'사이버 공격 벡터로서의 드론' 대책 마련이 필요하다

필수 인프라 운영자, 사법 당국, 각 정부 기관은 드론을 일상 업무에 적극적으로 활용 중이다. 전통적인 인프라는 물론 농업, 제조업, 수도/전기, 석유/가스, 광업, 중공업까지 드론의 응용 분야는 다양하다. 그리고 드론 제조업체와 최종 사용자들은 엔터프라이즈와 연결된 모든 요소에 ‘각 드론과 드론 편대, 클라우드/엔터프라이즈 기능, 이들 사이의 모든 통신을 아우르는 강력한 능력’이 있다는 사실을 이제서야 인식하기 시작했다.   드론, ‘하늘을 나는 컴퓨터’이자 공격 벡터 드론 시스템은 잠재적인 취약점에도 불구하고 높은 수준의 보안 아키텍처를 사용하지 않는 경우가 많다. 경영 컨설팅 기업 KPMG의 전략 및 현식 책임자 조노 앤더슨은 “드론이 서로 연결된 시스템에서는 드론 내부와 주변 간 통신이 복잡해지면서 여러 개의 공격 벡터가 생긴다. 그 결과, 개별 드론이나 드론 편대의 필수 시스템뿐 아니라 전체 클라우드 및 엔터프라이즈마저 위험에 노출될 가능성이 있다”라고 말했다. 드론 운영에는 검증된 장점도 있지만 심각한 사이버보안 위험도 따른다. 기본적으로 드론은 ‘하늘을 나는 컴퓨터’이므로 컴퓨터처럼 숱한 사이버 위협이 발생할 수 있다. EY의 기술 컨설팅 부문 선임 관리자 조슈아 테이머는 “대부분 조직은 드론이 주/연방 규정을 준수하는지에 집중한다”라고 말했다. 오늘날 드론은 제조업체 소유인 경우가 많으므로 드론이 사용되는 생태계를 적절히 보호할 ‘기본적이고 조직적인 보안 전략’을 갖추는 것이 매우 중요하다.  그동안 드론 제조업체나 사용자에게 사이버보안은 주요 우선순위가 아니었다. 그러나 테이머는 보안 분야에 정통한 사람은 드론의 취약점을 잘 인지하고 있다고 말했다. 대표적인 예가 드론 리버스 엔지니어링 종사자다. 이들은 일반적으로 여러 드론과 제조업체에 걸친 취약점을 알고 있다. 드론을 통해 기업 환경 내에 악성코드가 침투될 우려가 제기되자 드론 관련 기기가 기업 네트워크에 연결되지 못하도록 중간에 ‘에어 갭(air...

드론 사이버공격 상용드론 2022.04.22

러시아 샌드웜 그룹, 우크라이나 에너지 설비 사이버 공격 감행

우크라이나 정부 컴퓨터 비상 대응 팀(CERT-UA)이 러시아의 정부 후원을 받는 위협 그룹 샌드웜(Sandworm)이 우크라이나 모 에너지 설비를 대상으로 두 차례 사이버 공격을 감행했다고 발표했다. 공격자는 고전압 변전소, 윈도우 컴퓨터, 리눅스 서버, 네트워크 장비를 포함, IT와 운영 기술 전반 설비 중단을 목표로 공격했다.   CERT-UA는 초기 침해는 2022년 2월 이전에 실행됐다고 밝혔지만 침해가 어떻게 발생했는지에 관해서 구체적으로 언급하지는 않았다. 전기 변전소의 연결을 끊어 설비 가동을 중단시키려는 작전은 2022년 4월 8일 저녁에 예정되어 있었지만 이 “악의적 계획의 실행”은 사전에 차단됐다.   우크라이나 팀은 마이크로소프트와 ESET의 도움을 받아 공격을 피했다. ESET은 공격을 분석한 보고서에서 CERT-UA와의 협력으로 새로운 인더스트로이어(Industroyer) 맬웨어 변종을 발견했다고 밝혔다. 샌드웜 그룹은 2016년 우크라이나 전력망 가동을 중단시킨 공격에서도 인더스트로이어 맬웨어를 사용한 적이 있다.   인더스트로이어2 맬웨어, IT와 OT 시스템 모두 공격 ESET과 CERT-UA가 인더스트로이어2로 명명한 이 맬웨어는 108_100.exe라는 하나의 윈도우 실행 파일로 배포됐으며 2022년 4월 8일 UTC 16:00:00에 예약된 작업을 사용해 실행됐다. PE 타임스탬프에 따르면 컴파일된 시점은 2022년 3월 23일로, 이는 공격자들이 최소 2주 전에 공격을 계획했음을 시사한다. 인더스트로이어2는 인더스트로이어와 달리 산업용 장비와 통신하기 위한 IEC-104라는 하나의 산업용 제어 시스템 프로토콜로만 동작한다.   ESET은 분석된 샘플에 8개의 다른 디바이스 IP 주소가 포함되는 등 인더스트로이어2가 여러 디바이스와 동시에 통신할 수 있다고 밝혔다. 공격자들은 ICS 네트워크에 인더스트로이어2를 배포한 동시에 캐디와이퍼(CaddyWiper)라는 파괴적인 맬웨어의 새 버전...

러시아 샌드웜 우크라이나 사이버공격 2022.04.14

칼럼 | 아직 '사이버 대전'은 없었을지라도... 러-우 전쟁과 CISO의 과제

해커와 정부 차원의 사이버 공격을 대비하기 위해 어느 때보다 경계를 강화해야 할 시점이다.  지난 2월 말, 러시아가 우크라이나를 침공했을 때 일각에서는 막대한 사이버 공격이 일어날 것으로 예상했다. 하지만 예상과 달리 러시아의 사이버 공격은 제한적이었고, 특정 대상만을 겨냥했다. 이전부터 러시아의 대규모 사이버 공격 역량을 보여주는 사례는 여럿 있었다. 대표적인 사례는 2016년 러시아 해커가 우크라이나의 일부 전력망을 정전시킨 사건이었다. 그런데 왜 러시아는 지난 5주 동안 대규모 사이버 공격을 하지 않은 걸까?   일단 2월 중순 우크라이나 금융 부문에 가해진 DDoS 공격에 러시아 정보국이 관여했다는 것은 이미 알려진 사실이다. 워싱턴 포스트(Washington Post)는 러시아군의 스파이 해커가 주요 위성 광대역 서비스를 공격했다고 보도했다. 미국 정보 전문가들에 따르면 이 사이버 공격은 지난달 우크라이나의 군사 통신 활동에 차질을 빚었다. 앞으로 사이버 공격이 더 많이 일어날까? 미국 정부는 러시아의 사이버 공격 가능성에 대한 성명을 발표한 바 있다. 미국 인프라를 겨냥한 사이버 공격에 대비할 필요가 있다는 주문이었다. 백악관은 미국 기업에 “사이버 보안 방어를 강화하고, 미국인들이 의존하는 중요한 서비스의 사이버 보안과 회복력을 강화할 것”을 촉구했다. 그러나 심각한 수준의 공격은 아직 발생하지 않았다. 추정되는 이유는 여럿이다. 먼저 러시아 정부와 군대가 처음부터 간단하게 승리할 것이라 확신했을 수 있다. 신속하게 물리적인 힘만 사용해도 충분할 것이라고 가정한 것이다. 결과적으로 사이버 공격에 굳이 수고를 들일 필요가 없으리라 판단했다고 볼 수 있다. 또 다른 가능성은 전쟁이 장기화되고 있음에도 불구하고 러시아가 사이버 공격을 자제하고 있다는 분석이다. 미국과 NATO 동맹국 같은 강대국을 겨냥한 대규모 공격을 시작한다면 전쟁이 급격하게 확산될 수 있다. 러시아 침공에 맞서고 있는 방어체계가 예...

보안 CISO 사이버공격 2022.04.07

미국 의회, 사이버 사고 신고법 제정 "보안 강화를 위한 게임 체인저"

미국 하원은 ‘2022년 중요 인프라에 대한 사이버 사고 신고법(Cyber Incident Reporting for Critical Infrastructure Act of 2022)’의 핵심 조항을 통과시켰다. 이에 따라 기업은 중요 인프라 운영 시 해킹을 당하거나 위협 행위자에 몸값을 지불할 경우 정부에 알려야 한다. 이번 조항은 3월 9일 미국 하원이 통과시킨 1.5조 달러 규모인 일괄세출안의 일부로, 올해 남은 기간 동안 연방정부에 자금을 지원한다. 더욱 광범위해진 미국 사이버 보안 강화법(Strengthening American Cybersecurity Act)에 포함된 이번 사이버 사고 신고법에 관한 조항은 작년에 법률로 제정되지 못했지만, 3월 1일 미국 상원에서 만장일치로 통과됐다.     사이버 사고는 72시간, 몸값 지불은 24시간 내로 보고 중요 인프라를 보유한 기업과 연방기관은 법안의 요건에 해당하는 사이버 사고가 발생하면 72시간이내로, 몸값을 지불할 경우에는 24시간 안에 미국 국토안보부(United States Department of Homeland Security, DHS)의 사이버 보안 및 인프라 보안국(CyberSecurity and Infrastructure Security Agency, CISA)에 보고해야 한다. 특히 몸값 지불 요건은 랜섬웨어 공격이 신고 요건에 해당하는 사이버 사고가 아니어도 적용된다. 사이버 사고나 몸값 지불을 보고하지 않은 중요 인프라 기업과 연방기관은 CISA의 국장의 소환장을 받는다. CISA 국장은 사안을 법무부 장관에게 회부해 미국 지방 법원에 민사 소송을 제기할 수 있다. 법원은 발행된 소환장을 준수하지 않은 것을 법정 모욕죄로 처벌할 수 있다. 또한, CISA는 사이버 사고 신고를 익명으로 접수하고 적절한 방어 조치와 함께 부문별 조정 위원회와 정보 공유 및 분석 조직, 주∙지방∙부족∙영토 정부, IT 기업, 사이버 보안 및 사고 대응 업체, 보안 연구원에게 전달...

미국의회 사이버공격 CISA 2022.03.15

러시아 기반 사이버 공격에 대비하는 10가지 방법

미국 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 최근 점진적으로 전개되는 러시아와 우크라이나의 충돌에 대응해 쉴드업(Shields Up) 주의보를 발령했다. 또한, 러시아 정부가 지난 10년 동안 사이버를 군사 작전의 핵심 요소로 사용해왔으며 우크라이나 외 다른 국가에도 교란 작전을 펼칠 수 있다고 경고했다. 현재 사용자는 기업을 보호하기 위해 어떤 조치를 취해야 할까? 재빠르게 움직여 네트워크를 변경할 필요는 없다. 네트워크를 검토하고 미래의 변화에 대비하는 데 필요한 조치는 다음과 같다.     사고 대응 계획을 검토 및 업데이트 사고 대응 계획을 검토한다. 계획이 최근 상황에 맞는지, 러시아가 우크라이나에 시전 중인 파괴적 공격 유형을 다루는지 여부를 확인할 필요가 있다.   파괴적 공격에 대한 공개된 강화 조언 준수 맨디언트(Mandiant)의 파괴적 공격에 대비하는 강화(Hardening to Protect Against Destructive Attacks) 지침을 검토한다. 맨디언트와 CISA가 지적한 것처럼, 우선 네트워크에 대한 모든 원격 액세스를 검토하고 다요소 인증(Multi-factor Authentication, MFA)을 구성한다. 2요소 인증 애플리케이션이나 입력할 숫자를 제공하는 토큰 여부와 관계없이 단순한 비밀번호 외에 추가적인 인증 없이 원격으로 로그인할 수 없다.   위협 정보에 대한 외부 소스 활용 도구 활용 여부에 관계없이 포럼에 참석하거나 채팅 중인 직원은 정보를 공유하고 신뢰할 수 있는 조언을 얻는 방법이 있다. 바로 산업별 정보를 찾는 것이다. 현재 이런 리소스가 없다면 미국의 인프라가드(Infragard)와 같은 정부 채널과 자국 내 로컬 컴퓨터 보안 리소스를 살펴보는 방법도 있다. 모두에게 제공되는 다른 리소스는 CISA 외에도 호주 사이버 보안 센터(Australian Cyber Sec...

러시아 사이버공격 보안위협 2022.03.07

우크라이나 노린 와이퍼 악성코드, "군사 충돌이 사이버공간으로 확대"

우크라이나에 대한 러시아 군의 침공이 계속되는 가운데, 적법한 드라이버를 도용해 액티브 디렉터리 서버를 표적으로 한 공격, 와이퍼 악성코드(Wiper malware)가 탐지됐다. 이 캠페인은 지정학적 위기 동안 위험 완화를 촉구하는 조직과 악성코드 사용이 함께 증가하는 추세를 그대로 반영하고 있다.   2월 23일 이셋 연구진이 발견한 허메틱와이퍼(HermeticWiper)는 우크라이나 내 수백 대의 컴퓨터에 설치됐으며, 전쟁 상황에서 사이버보안과 국제적 안보는 더 이상 구분이 없음을 보여준다.  이는 최근 우크라이나 웹사이트에 대한 DDoS 공격, 사이버 공격으로부터 우크라이나를 방어하는 데 도움을 주고자 하는 EU 사이버 신속 대응팀의 배치, 미국 바이든 대통령의 러시아 은행 및 지도자에 대한 새로운 제재 조치 이후, 미국 조직에 대한 잠재적 랜섬웨어 공격에 대한 경고에 따른 것이다.  와이퍼, 적법한 드라이버를 도용해 액티브 디렉터리 서버 공격  이셋은 최근에 이 악성코드의 첫 번째 샘플을 관찰했지만, 샘플 가운데 하나는 PE 컴파일 타임스팸프가 2021년 12월 28일이었다. 이는 이번 공격이 거의 2개월 이상 준비됐음을 시사한다.  이 연구진은 데이터를 파괴하는 와이퍼 바이너리는 허메티카 디지털(Hermetica Digital Ltd)이 발급한 코드 서명 인증서를 사용, 서명하는 파티션 관리 프로그램인 '이지어스 파티션 마스터(EaseUS Partition Master Free)'를 악용한다고 설명했다.  마지막 단계에서 이 와이퍼 악성코드는 컴퓨터를 재부팅한다. 이셋 측은 표적 조직 가운데 하나에서 기본 도메인 정책 GPO를 통해 와이퍼가 들어왔는데, 이는 공격자가 액티브 디렉터리 서버를 제어했을 가능성이 높다고 덧붙였다.  미국 신시내티 대학교 정치학 조교수이자 사이버전략 정책센터 초빙 연구원인 그레고리 H. 윙어는 본지와의 인터뷰에서 “우크라이나 정부 내에서 데이...

우크라이나 와이퍼 악성코드 2022.03.02

2021년 주요 사이버 공격 키워드는 ‘랜섬웨어, 피싱, 제조업, 아시아’

IBM 시큐리티(IBM Security)의 연례 보고서 ‘엑스포스 위협 인텔리전스 인덱스(X-Force Threat Intelligence Index)’에 따르면, 2021년 기업의 주요 사이버보안 문제는 ‘랜섬웨어’와 ‘피싱’이었으며, 아시아에서 가장 많은 사이버 공격이 발생했다. 해당 보고서는 IBM의 위협 정보 공유 플랫폼 엑스포스(X-Force)가 관찰한 트렌드와 패턴을 종합한 것으로, 네트워크 및 엔드포인트 탐지 기기와 같은 주요 데이터 포인트와 침해사고 대응(Incident Response, IR)R까지 포괄적으로 다뤘다.    보고서에 따르면, 2021년의 최상위 공격 유형은 랜섬웨어이며, 피싱과 패치되지 않은 취약점이 가장 많이 사용된 공격 벡터였다. 또 클라우드와 오픈소스, 도커 같은 환경에 가장 초점을 맞춘 악성코드가 증가했으며, 가장 많은 사이버 공격을 받는 업종은 제조업, 지역은 아시아인 것으로 조사됐다.  정부의 감시에도 확산한 랜섬웨어 IBM 시큐리티의 조사 결과 랜섬웨어는 2021년 전체 사이버 공격의 21%를 차지했다. 이는 2020년보다 2% 감소한 수치다. IBM 시큐리티는 2021년 많은 정부가 랜섬웨어에 주목하면서 공격 건수가 줄었지만, 2022년에는 다시 증가할 가능성이 높다고 예상했다. 2021년 발생한 랜섬웨어 공격의 37%는 레빌(REvil)이 사용됐고, 류크(Ryuk)가 13%, 록빗 2.0(Lockbit 2.0)이 7%로 뒤를 이었다. 이외에 2021년 사이버 공격에 사용된 랜섬웨어는 다크사이드(DarkSide), 크리스탈(Crystal), 블랙매터(BlackMatter), 라그나로커(Ragnar Locker), 비트록커(BitLocker), 메두사(Medusa), E킹(Eking), 엑소리스트(Xorist)가 있다. 보고서에 따르면, 랜섬웨어 공격 집단의 평균 수명은 평균 17개월이다. IBM 시큐리티 엑스포스의 사고대응 부문 글로벌 총괄 로렌스 다인은 “IB...

IBM시큐리티 보고서 랜섬웨어 2022.02.28

글로벌 칼럼 | 제조업계 노린 랜섬웨어 공격 심화에 따른 사이버 보안 태세의 필요성

산업 사이버 보안 선두 기업인 드라고스(Dragos)가 발행한 보고서에 따르면, 작년 랜섬웨어가 주요 인프라에 대한 공격 벡터 1위를 차지했다. 드라고스는 23일 공개된 업계가 직면한 사이버 위협에 관한 연례 리뷰에서 이들 공격의 65%가 제조 부문을 겨냥했다고 밝혔다.   드라고스 CEO 로버트 리는 보고서가 발행되기 전, 한 설명회에서 “다른 부문이 입은 피해를 모두 합쳐도 제조업계가 받은 타격만 못하다”라고 강조했다. 리는 “랜섬웨어 공격자 및 단체가 기업을 표적으로 삼으면 유리하다고 인지한 것으로 평가된다”라고 전망했다. 그 이유에 대해 "기업은 랜섬웨어 공격을 받으면 사업을 운영을 중단하게 되며, 이런 점은 기업 전반에 큰 문제가 된다. 따라서 몸값을 빠르게, 혹은 더욱 많은 액수를 지불하도록 직원을 재촉할 수 있다”라고 설명했다. 이번 보고서에 따르면, 업계를 노린 랜섬웨어 공격의 절반 이상(51%)은 콘티(Conti)와 록빗(Lockbit) 2.0이라는 2가지 위협 단체가 벌인 것이다. 이들 공격의 70%는 제조업계를 표적으로 삼고 있다. 따라서 모든 업계는 미국 통신사인 버리즌(Verizon)처럼 데이터 침해를 막기 위해 매년 사이버 보안 태세를 갖춰야 한다. 리는 랜섬웨어 공격이 감소하고 있다는 보도를 대수롭지 않게 여기며, “정부에 공격을 신고하는 사람은 줄고 있지만, 실제 사례가 감소하고 있는 것은 아니다”라고 말했다.   아직도 랜섬웨어 방지에 준비가 안 된 주요 인프라 사업자 드라고스 보고서는 주요 인프라 사업자의 사이버 보안 개선이 필요한 분야를 파악했다.   운영 네트워크의 가시성을 개선한다. 기업의 86%가 산업 통제 시스템 환경에 대한 가시성 확보에 제약이 있다. 이로 인해 기업은 구조적으로 탐지와 분류, 대응이 어려울 수 있다. 리는 보고서에 명시된 기업은 드라고스 기업 고객에 한정된 것으로, 실제로 이런 문제를 겪는 기업은 훨씬 더 많을 것이라며 주의를 당부했다. 경계 보안을 강화한다....

랜섬웨어 사이버공격 보안 2022.02.28

이머커스 활황 속에서 기업이 ‘웹 스키밍’에 대처하는 방법

웹 스키밍(Web Skimming) 공격은 지난 몇 년 동안 온라인 상점을 괴롭혀온 대표적인 사이버 공격이다. 스크립트를 결제 양식에 삽입하는 단순한 공격이 있는가 하면, 합법적인 서드파티 스크립트 및 서비스를 훼손하는 고도화된 공격도 있다. 사이버 공격 집단 메이지카트(Magecart)의 공격으로 잘 알려진 웹 스키밍은 카드 부재(Card-Not-Present, CNP) 사기의 가장 큰 원인이었고, 크고 작은 브랜드와 여러 유형의 전자상거래 플랫폼에 악영향을 끼쳤다.    미국의 종합 유통기업 타깃(Target)은 몇 년 전부터 웹 스키밍 위협에 대항해 자사 플랫폼에서 쇼핑하는 사용자를 보호하기 위한 해법을 모색했다. 이미 만들어진 웹 스키밍 탐지 툴이 없었기 때문에 타깃의 보안 엔지니어 2명이 자체적으로 개발하기로 결정했다. 타깃이 개발한 클라이언트 측 스캐너는 타깃닷컴(Target.com)에서 3년 이상 활발하게 사용된 끝에, 메리 메이커(Merry Maker)라는 이름의 오픈소스 프로젝트로 깃허브에 공개됐다. 타깃은 블로그에서 “메리 메이커는 온라인 브라우징을 가상으로 계속 진행하면서 테스트 거래를 완수하며 악성코드의 존재를 검사한다. 메리 메이커는 온라인 구매 같은 일반적인 활동을 하는 타깃닷컴의 사용자처럼 행동한다. 그러는 동안 네트워크 요청, 자바스크립트 파일, 브라우저 활동과 같은 각종 정보를 수집 및 분석해 어떤 식으로든 부적절한 행동이 있는지 판단한다”라고 설명했다.  카드 스키밍과 웹 스키밍이란? 카드 스키밍(Card Skimming)은 악성 기기 또는 메커니즘을 정당한 거래 지점에 삽입해 카드의 상세 정보를 입수하는 공격으로, 일종의 중간자 공격(Man-in-the-Middle Attack)이다. 스키밍 기기는 물리적으로 ATM이나 주유소 결제 단말기의 카드 슬롯에 부착돼 카드의 자성 띠에 암호화된 데이터를 획득한다. 공격자는 단말기에 소형 카메라나 PIN 패드 덮개를 부착해 사용자가 입력한 PIN 번호...

웹스키밍 카드스키밍 카드부재 2022.02.09

네트워크에 침입자가 있을 때 취해야 할 12단계 조치

CISO는 사고에 신속하고 효과적으로 대응해야 한다는 것을 인지하고 있다. 하지만 한 설문조사 결과 이런 목표를 실제로 달성하는 것은 여전히 어려운 것으로 나타났다.   IT 업체 크롤(Kroll), 레드 카나리(Red Canary), VM웨어가 400명 이상의 IS 전문가와 100명 이상의 법률 및 규정 준수 담당자를 대상으로 실시한 ‘사고 대응 현황 2021’ 조사 결과에 따르면, 응답자의 45%는 기업의 탐지 및 대응 리소스가 부족하다고 답했다. 55%는 사고 억제에 소요되는 시간과 사고 대응 자동화 측면에서 개선이 필요하다고 답했다. 사고 대응 개선에 투자해야 하는 이유는 명확하다. 시스코는 지난 2021년 12월에 발표한 ‘보안 결과 연구 보고서 제2편’에서 사이버보안 프로그램의 성공을 이끄는 5가지 핵심 요소를 언급했다. 5가지 핵심 요소 중에는 정확한 조기 위협 탐지, 신속한 사고 대응, 재해 발생 시 즉각 복구할 수 있는 역량이 포함됐다. CISO에게는 이 세 가지 요소를 실천하기 위한 세부적인 사이버 사고 대응 계획이 필요하다. 연습을 통해 해커 공격 시 타격을 입을 수 있는 결함을 파악하고, 실제 사고가 발생할 때 최적으로 대응할 수 있도록 주기적으로 훈련해야 한다. IT 컨설팅 업체 캡제미니(Capgemini)의 글로벌 사이버보안 포트폴리오 책임자인 조 맥맨은 “실제 사고가 발생한 시점은 이런 모든 것을 파악하기엔 이미 늦었다”라고 말했다. 철저한 대비를 위해 기업의 사이버보안팀은 정확한 자산 인벤토리와 IT 환경의 모든 영역에 대한 시야를 확보해야 한다. 기업의 핵심 시스템이 무엇인지를 알아야 하며, 해커가 핵심 시스템 침입을 시도할 때 어떻게 대응해야 하는지도 숙지해야 한다. 네트워크 내에 활성 공격자가 있을 때 신속하게, 사이버보안팀이 거의 동시다발적으로 취해야 하는 중요한 단계는 다음과 같다. 1. 경보 발령 포레스터 컨설팅과 팔로 알토 네트웍스의 ‘2021년 보안 운영 현황 보고서’에 따르면, ...

보안관리 사고대응 보안사고대응 2022.02.03

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.