Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

플레임

플레임과 같은 멜웨어를 이용한 보안 누출 사고 조사하기

컴퓨터에 로그인하면 읽기 쉬운 막대 그래프와 파이 그래프 형태의 통계로 가득 찬 화면이 반길 것이다. 특히 시선이 가는 한 그래프가 있다. 이는 이란의 한 서버에서 수백 명의 사용자 가운데, 단 한대의 컴퓨터가 대용량의 데이터를 전송한 것으로 표시된 그래프다.   마우스로 이 그래프를 더블 클릭하면, 사용자가 자신의 시스템에 외장 드라이브를 삽입해 프록시 웹사이트에 로그인한 후, 기업 방화벽이 놓친 외부 서버(일반적으로 국외 서버)에 암호화된 기밀 파일을 전송한 것을 확인할 수 있다. 몇 차례 마우스 클릭으로 해당 사용자의 장치에 로그인을 한 후, 범죄 과학적인 평가를 위해 문서를 포착한다.   용의자가 미상의 인물에게 기밀 파일을 누출한 확고한 증거를 바탕으로 해당 용의자의 문서에 디지털 추적 장치를 심어 최종 목적지를 추적한다. 마지막으로 용의자의 휴대폰에 표시한 후, SMS 문자와 GPS 좌표를 확인해 유죄를 입증한다.   미국 정부가 주도해 개발한 스파이웨어인 '플레임(Flame)'을 설명한 내용이라고 생각할 지 모르겠다. 그러나 이는 시장에 출시된 지 몇 년이 지난 프로그램으로 가능한 작업이다. 기업의 보안 누출 조사에 도움이 되는 프로그램들이다.   언론들은 가장 최근 발견된, 공식적으로 축출된 스턱스넷(Stuxnet)과 형제 격인 인텔 기반의 플레임(Flame) 몰웨어를 중점적으로 보도해왔다. 그러나 해커와 관련 산업 전문가는 이 멜웨어에 시큰둥한 반응을 보이고 있다. 플레임 류의 멜웨어는 이미 멜웨어와 판매용 소프트웨어 형태로 십여 년간 존재해왔던 것이기 때문이다.   RAT(Romote Access Tool)로 알려진 이 프로그램은 플레임과 유사하게 복잡하고 비범한 데이터 도난 기능을 갖추고 있다. ▲사용자의 스크린샷(screen shot)이나 키스트로크(keystroke)를 캡처하고 ▲파일을 다운로드 받고 ▲웹 캠...

스파이웨어 플레임 멜웨어 2012.08.08

플레임, "이란 공격 위한 미국과 이스라엘의 합작품" : WP

고도로 정교한 악성 프로그램으로 보안 업계에 충격을 준 플레임(Flame)이 미국과 이스라엘 정부가 이란의 핵연료 농축을 막기 위한 사이버 공격을 위해 준비했다는 보도가 나왔다.   워싱턴 포스트는 이 작전에 대해 알고 있는 익명의 서방 관리의 말을 빌려, 플레임의 목표가 이란 컴퓨터 네트워크의 정보를 모아 향후 사이버 공격을 위한 것이라고 보도했다.   지난 6월 1일 뉴욕타임즈는 스턱스넷이 미국과 이스라엘 정부의 코드명 올림픽 게임즈란 합동작전이었다고 보도한 바 있다. 스턱스넷은 이란 나탄 우라늄 농축 시설의 가스 응축기 1,000대의 파괴를 초래한 것으로 알려졌다.   그리고 지난 6월 11일 플레임 악성 프로그램을 연구하던 카스퍼스키 랩은 플레임과 스턱스넷이 공유 컴퓨터 코드의 형태로 관련성을 갖고 있다고 밝혔다. 또한 이런 정황을 모아 볼 때, 이 두 가지 악성 프로그램은 동일한 공격자 그룹의 지원을 받아 서로 다른 개발팀이 만들어 낸 것이라고 분석했다.   카스퍼스키랩의 글로벌 연구분석팀 수석 연구원인 로엘 슈벤버그는 플레임은 첩보 활동을 위해, 그리고 스턱스넷은 파괴 공작을 위해 만들어졌을 것이이라고 추정했다.   플레임이 발견된 것은 지난 5월로, 이란 석유 당국에서 일어난 일련의 알 수 없는 데이터 손실 사고를 조사하면서 그 존재가 파악됐다. 워싱턴 포스트는 실제 사이버 공격은 4월에 이뤄졌으며, 이스라엘이 미국도 모르게 작전을 수행한 것으로 전해졌다.   카스퍼스키랩은 플레임이 만들어진 시점을 2008년 상반기로 보고 있다. 스턱스넷이 처음 발견된 것은 지난 2010년 6월이지만, 첫번째 변종이 만들어진 시점은 2009년 6월로 추정되고 있다.   지난 2011년 9월에는 스턱스넷이나 플레임과는 별도의 사이버 첩보 악성 프로그램인 두쿠가 발견됐는데, 보안 연구원들은 두쿠의 아키텍처와...

맬웨어 악성프로그램 미국 2012.06.21

글로벌 칼럼 | 플레임 바이러스보다 심각한 16가지 보안 문제

플레임 바이러스의 해시 충돌 공격은 아주 흥미롭다. 이를 부인할 생각은 없다. MD5 충돌, 취약한 개발업체 디지털 인증, WPAD(Web Proxy Auto-Discover Protocol) 취약성, 서명된 몰웨어를 이용한 놀랍도록 복잡한 연쇄 취약성 공격이다. 역사에 기록될만한 공격이라고 할 수 있다.   그러나 필자는 크게 당혹해하지는 않았다. 필자의 직장인 마이크로소프트는 취약한 인증을 취소한 바 있다. WPAD 취약성은 새삼스러운 것이 아니다. 사실 '패스더해시(Pass-the-hash) 등 좀더 쉬운 방법의 공격이 있다. 게다가 플레임은 확산되지도 않았다.   필자가 플레임에 크게 당혹해 하지않은 가장 큰 이유는 따로 있다. 바로 IT 보안 상태가 이미 형편없이 나쁘다는 것이며, 플레임은 그저 불길에 기름을 끼얹는 역할만을 했을 뿐이다. 이미 불지옥이 전개된 상황이다. 얼마나 나쁠까? 플레임 이전에 대규모로 확산됐던 바이러스들을 살펴보면 알 수 있다.   1. 매일 100만 대 이상의 컴퓨터를 대상으로 한 공격이 성공하고 있다. 이는 14초마다 한 대가 공격을 당하는 셈이다. 2. 전세계 컴퓨터의 39%는 멜웨어에 감염되어 있다. 3. 지난 해, 전세계 기업의 90%는 네트워크 침해 사고를 당했다. 4. 프라이버시 라이츠의 발표에 따르면, 매년 성인 남녀 7명 가운데 1명은 온라인 정보, 아이디, 비밀번호를 도난당하고 있다. 지난 8년 간을 합계하면 2억 8,000만 명에 해당한다. 5. 악성 웹사이트의 82%는 해킹을 통해 적법한 웹사이트에 호스팅되어 있다. 6. 단 한 번의 해킹으로 1억 달러 이상의 피해를 초래하는 일이 자연스럽게 되어 버렸다. 소니를 대상으로 한 공격이 좋은 예가 된다. 7. 어나니머스 같은 해키비스트(Hackivist) 단체는 세계의 주요 대기업들을 정기적으로 공격한다. 심지어는 자신들을 조사하는 정부 기관...

보안 플레임 인터넷 2.0 2012.06.15

스턱스넷과 플레임, 소스코드와 개발 팀을 공유...카스퍼스키 랩 주장

카스퍼스키 랩은 최근 발견된 플레임 사이버스파이 멜웨어는 2년 전 이란 핵 시설의 PLC(programmable logic controllers)를 공격하기 위한 사용된 스턱스넷 멜웨어와 직접적인 연관성을 가진다. 카스퍼스키는 플레임과 스턱스넷은 같은 기술적 코드를 공유하고 있는데, 이는 같은 종류의 개발 활동이었음을 내포하고 있다고 말했다.     로엘 스카우벤버그 카스퍼스키랩 수석 연구원은 "스턱스넷의 초기 버전은 플레임 모듈을 가졌다"면서 "사이버 무기로 개발된 스턱스넷과 윈도우 기반의 사이버스파이 툴인 플레임 간에는 직접적인 관련성이 드러났는데, 그것들이 아주 유사한 운영 방식을 갖고 있다"고 말했다.    최근 이와 관련한 폭로는 현재 정치권을 뒤흔들고 있다. 뉴욕 타임즈는 바락 오바마 미국 대통령이 이란을 공격하는데 스턱스넷 사이버 무기의 사용을 명령했다고 보도했다. 백악관은 이를 부인했다.   스턱스넷과 좀더 최근에 이란의 컴퓨터 대응팀이 5월에 자국의 석유국 내 감염된 컴퓨터에서 플레임을 발견된 플레임 간에 연관성이 있다는 카스퍼스키의 주장은 앞으로 정치권에 더 많은 파문을 일으킬 것으로 보인다.    카스퍼스키 연구원들은 스턱스넷, 스턱스넷.A의 초기 버전은 USB 스프리딩과 윈도우 상에서 자동 설치 기능을 이동 매카니즘과 권한 상승 취약점(privilege-escalation vulnerability)으로 이용하는 리소스 207로 언급되는 플레임 모듈을 갖고 있다는 것을 강조했다.     카스퍼스키는 UN 산하인 ITU(International Telecommunication Union)에 플레임을 분석하기 위해 임명됐다. ITU는 전세계 국가들에게 플레임의 위험함을 경고했다.    현재 카스퍼스키랩은 플레임 멜웨어가 스턱스넷...

미국 카스퍼스키 이란 2012.06.12

플레임, 흔적 완전 삭제 위한 별도 모듈 배포

최근 악명을 떨치고 있는 사이버 스파이 툴인 플레임(Flame)의 작성자가 감염된 컴퓨터에게 자체적으로 그간의 흔적을 모두 삭제하는 모듈을 다운로드해 실행할 것을 명령한 것으로 밝혀졌다. 이를 보고한 시만텍 보안 연구원들은 범죄 분석을 방해하기 위한 것으로 보고 있다.   플레임은 이른바 ‘자살(SUICIDE)’이란 내장 기능을 가지고 있는데, 감염된 컴퓨터에서 악성 프로그램을 지우는데 주로 사용한다. 하지만 지난 주 플레임 작성자는 이와는 별도로 자체 제거 모듈을 감염된 컴퓨터에 배포하기로 결정했다는 것이 시만텍의 분석이다.   Browser32.odx란 이 모듈은 최신 버전이 5월 9일날 작성된 것이다. 시만텍은 “플레임 작성자가 이미 내장되어 있는 자살 기능을 사용하지 않고 새로운 모듈로 눈에 띄는 조처를 취하는 이유는 알려지지 않았다”고 밝혔다.   하지만 기본적인 기능에서는 비슷하지만, 새로운 모듈은 기존 자살 기능에 비해 한 단계 더 강화된 기능을 갖춘 것으로 파악된다. 시만텍은 “새로운 모듈은 하드디스크 상의 모든 플레임 파일을 파악해 삭제하고, 임의의 문자를 해당 디스크에 덮어쓰기를 해 감염 관련 정볼르 얻지 못하도록 한다”며, “이 모듈은 임의의 문자를 생성하는 기능이 포함되어 있다. 감염의 흔적을 하나도 남겨 두지 않으려는 것”이라고 설명했다.   한편, 카스퍼스키 랩의 최고 보안 전문가 알렉스 고스테브에 따르면, 임의의 문자열로 디스크에 덮어쓰기를 하는 작업은 플레임 파일이 삭제되기 전에 이루어진다고 밝혔다. 시만텍의 설명과는 차이가 있지만, 어느 쪽이든 목적과 결과는 흔적을 지우는 것이다.   고스테브는 “새로운 모듈은 하드디스크의 아무 곳이나 덮어쓰기를 하지는 않는다. 플레임에 관련된 파일만 삭제한다”고 설명했다. &...

맬웨어 악성 자살 2012.06.08

마이크로소프트, 플레임에 악용된 디지털 인증 다수 폐기

지난 일요일 마이크로소프트는 자사의 디지털 인증 여러 건을 폐기했다. 한창 문제가 되고 있는 플레임의 제작자들이 이들 디지털 서명을 악성 프로그램을 배포에 악용하는 방법을 알아낸 것으로 파악됐기 때문이다.   지난 주말 모든 버전의 윈도우용으로 나온 긴급 업데이트는 매우 이례적인 것으로, 사안의 심각성을 잘 보여주는 것이었다. 이번 업데이트에는 나온 지 얼마 되지 않은 윈도우 8 릴리즈 프리뷰용도 포함되어 있었다.   엔서클 시큐리티의 보안 운영 이사인 앤드류 스톰은 “이건 대단한 일이다”라고 평가했다. 마이크로소프트의 터미널 서비스 라이선스 인증은 보통 기업들이 원격 데스크톱 서비스나 세션을 승인하는 용도로 사용하는데, 여기에 결함이 있다는 것은 공격자들이 플레임의 코드를 인증하는 데 사용할 수 있는 디지털 인증을 생성할 수 있다는 의미이기 때문이다.   플레임은 스턱스넷보다 20~40배나 큰 대규모 스파이 툴로, 네트워크에 침입해 디지털 환경을 정찰하고는 다양한 모듈을 사용해 정보를 훔쳐낸다. 플레임은 원래 이란을 대상으로 알려졌는데 감염된 시스템의 대다수가 이란 지역에서 발견됐기 때문이다.    스톰은 “플레임은 유효하지만 가짜인 마이크로소프트 인증을 사용해 터미널 서비스를 통해 인증 시스템의 취약점으로 악성 코드를 승인해 준다”며, “따라서 악성 코드가 유효한 것으로 표시되면, 이는 정상적인 절차를 통해 루트 서버에 연결되고, 사용해도 좋은 코드로 받아들여진다”고 설명했다.   이후에는 플레임의 요소들은 무슨 짓을 해도 무해한 것으로 나타나는데, 마이크로소프트 자체가 이를 인증해 줬기 때문이다.   마이크로소프트는 인증서 세 건을 폐기함으로써 이 취약점을 해결했으며, 이들 인증을 폐기 목록에 추가하는 업데이트를 발표한 것이다. 심지어 윈도우 8...

인증 스턱스넷 보안 2012.06.05

이스라엘, 플레임 멜웨어로 이란 공격했는가

최근 가장 위험한 멜웨어에 의해 타격을 받는 일곱 개의 국가 가운데 하나인 이란은 이스라엘이 공격한 것이라는 정황을 발견했다고 밝혔다. 이란 사이버 방어 기관은 이란 고위급 사무실의 컴퓨터가 플레임이라 불리우는 데이터마이닝 멜웨어가 침입한 것을 파악했다고 확인했다.   이스라엘 수석 장관이 이란의 핵 계획은 사이버 무기의 사용을 하는데 충분한 이유가 될 수 있다고 말한 것을 보면, 새로운 밝혀지지 않은 플레임 바이러스를 촉발시키는데 이스라엘이 연루되어 있을 것을 암시하고 있다.   플레임 바이러스가 러시아 카스퍼스키 랩에 의해 발견된 지 몇 시간 후, 모세 야론 이스라엘 부수상은 이스라엘 군 라디오에서 이란의 계획을 묶기 위해 그것을 포함해 다른 차원의 주요한 위협을 보게 될 것이라고 말했다. 야론은"이스라엘이 기술적으로 앞선 국가라는 것은 축복이며, 이것들은 우리가 할 수 있는 모든 형태를 가능성에 열어놓고 있다고 말했다. Editor@itworld.co.kr

이스라엘 이란 플레임 2012.05.31

‘스턱스넷·두쿠 이상의 악성 SW’··· 보안업계, ‘플레임’ 등장에 긴장

일련의 보안 기업 및 기관에 소속된 연구원들이 중동 지역에서 사이버 스파이 공격에 사용된 새로운 첨단 악성 소프트웨어 위협을 규명해냈다. 지금껏 발견된 가장 진보된 형태의 악성 소프트웨어로 관측되기도 한다.   이란의 MAHER(Iranian Computer Emergency Response Team)에 따르면, 이 새로운 악성 소프트웨어는 플레이머(Flamer)라 불리는 것으로, 최근 이란에서 일어난 데이터 손실 사건에 연루된 것으로 관측된다.   MAHER 측은 이 악성소프트웨어가 스턱스넷(Stuxnet) 및 두쿠(Duqu)와 관련된 위협으로 분석된다고도 전했다.   백신 전문기업 카스퍼스키 랩(Kaspersky Lab)의 악성 소프트웨어 연구원들 또한 이 악성 소프트웨어를 분석했다. 그 결과 이 악성 소프트웨어가 활동 지역과 목표 측면에서는 스턱스넷 및 두쿠와 유사하지만 차별화된 기능을 갖고 있으며 이전의 두 위협보다 여러모로 복잡하다는 사실을 밝혀 냈다.   카스퍼스키의 연구원이 ‘플레임’이라 부르는 이 악성 소프트웨어는 다수의 개별적인 모듈을 가진 거대한 공격 툴킷이다. 다양한 악성 공격을 실행할 수 있으며 그 활동은 대부분 데이터 절도와 사이버 스파이 행위에 관계되어 있다.   특히 컴퓨터의 마이크를 이용하여 대화를 녹음할 수 있는 기능을 갖췄으며 특정 애플리케이션을 사용할 때 스크린샷을 찍을 수 있고 키보드 입력을 기록하며 네트워크 트래픽을 추적하고 주변의 블루투스(Bluetooth) 기기와 통신할 수 있는 등의 특징을 지니고 있다.   이 툴킷의 최초 버전은 2010년에 개발되었을 가능성이 있으며 그 후 모듈 아키텍처를 활용하여 기능을 확장한 것으로 보인다고 카스퍼스키 랩의 악성 소프트웨어 수석 전문가 바이탈리 캄럭은 전했다.   플레임은 전문가들이 꽤 큰 용량이라...

스턱스넷 보안 두쿠 2012.05.30

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.