Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

"결제 취소하려면 전화 주세요" 더 고도화되는 '콜백 피싱' 사기

팔로알토 유닛42 보안 연구팀이 루나 모트(Luna Moth) 해킹그룹의 콜백 피싱 갈취 수법과 관련된 여러 사건을 조사한 결과를 발표했다. 이들은 법률과 소매업과 같은 다양한 분야의 기업을 겨냥했다. 분석 결과 해커는 악성코드 기반 암호화 없이 데이터를 갈취한다는 사실이 밝혀졌다. 연구팀에 따르면 루나 모트 해킹 그룹은 콜센터와 같은 주요 인프라를 집중적으로 노렸으며, 점점 전술을 고도화하고 있다. 피해자는 수백만 달러의 비용을 치러야 했고 갈수록 그 범위가 확장되고 있다.     콜백 피싱(callback phishing)은 사회 공학(social engineering) 공격 수법이다. 유닛 42 연구진은 콜백 피싱이 스크립트 기반 공격보다 자원을 많이 사용하지만 덜 복잡하며 성공률도 더 높은 편이라고 설명했다. 기존 해킹은 피해자가 악성코드를 다운받도록 유도한다. 가령 콘티 랜섬웨어 그룹과 연계된 사이버 공격집단은 피해자가 '바자르로더(BazarLoader)'라는 악성코드를 내려받도록 했다.  이렇듯 악성코드는 기존 콜백 피싱 공격에서 빠질 수 없는 요소다. 하지만 이번 유닛42가 조사한 해킹 수법에서 루나 모트 해킹 그룹은 악성코드를 이용하지 않았다. 대신, 합법적이고 신뢰할 수 있는 시스템 관리 도구를 사용해 피해자와 직접 소통했다. 연구진은 "이러한 도구는 특성상 악의적이지 않아 기존 바이러스 백신 제품이 감지하기 어려울 것"이라고 설명했다.    가짜 구독 청구 영수증  이 수법의 초기 유인책은 PDF 영수증이 첨부된 피싱 이메일이다. 수신자의 신용 카드로 구독 서비스가 청구됐다고 알린다. 청구액은 보통 1,000달러 이하의 금액으로, 피해자의 관심을 끌 수 있을만한 액수로 책정된다. 이메일은 수신자의 개인 정보에 맞춰 작성되며, 합법적인 이메일 서비스를 통해 전송된다. 이는 곧 이메일 보호 플랫폼에서 악성 메일을 미리 탐지하기 어렵다는 의미다.   유닛42...

콜백피싱 랜섬웨어 피싱 2022.11.23

“지정학적 긴장 악용한 핵티비스트 공격 1위는 랜섬웨어” EU 사이버보안국

EU 사이버보안국(EU Agency for Cybersecurity; ENISA)은 2022년 한 해 동안 국가의 후원을 받는 위협 행위자가 우크라이나를 지원하는 42개국 128개 정부 조직을 표적으로 활동했다고 발표했다. 주요 공격 유형은 랜섬웨어와 DDoS다. ENISA에 따르면 지난 1년간 러시아-우크라이나 분쟁의 여파가 보안 공격 분야에도 영향을 미쳤다. 국가의 후원을 받는 위협 행위자가 우크라이나를 지원하는 42개국의 128개 정부 조직을 표적으로 삼는 등 핵티비스트(hacktivist; 정치·사회적 목적으로 해킹하는 사람 또는 행위를 의미한다) 활동이 증가하는 결과를 낳았다.    최신 ENISA 위협 환경 보고서(The 10th edition of the ENISA threat landscape report)는 몇몇 위협 행위자가 분쟁 초기에 정보 수집을 위해 우크라이나와 러시아 기관을 목표로 삼았다고 언급했다. ‘지정학적 불안, 2022년 사이버 보안 위협 환경 뒤흔들다(Volatile Geopolitics Shake the Trends of the 2022 Cybersecurity Threat Landscape)’라는 제목의 보고서는 지정학적 상황이 사이버 보안에 계속해서 큰 영향을 미치고 있다고 전했다.  제로데이 및 DDoS로 이뤄지는 국가 후원 공격 보고서는 국가에서 후원하는 위협 행위자가 주로 사용하는 공격 유형을 파악했다. 여기에는 제로데이 및 핵심 취약점 공격, 운영기술(OT) 네트워크 공격, 정부 기관 및 주요 기반 시설의 네트워크를 파괴하고 교란하기 위한 와이퍼 공격, 공급망 공격이 있었다. 이밖에 소셜 엔지니어링, 허위 정보, 데이터 위협도 포함됐다.  아울러 국가 후원 위협 행위자가 동남아시아, 일본, 호주, 대만의 정부 조직을 표적으로 삼는 정황도 관찰됐다. 아시아 특정 국가 간의 긴장이 고조되면서 위협 행위자는 대만과 긴밀한 관계를 맺고 있는 국가(EU 회원국 ...

지정학적 환경 사이버 공격 랜섬웨어 2022.11.08

"뒷문보다 앞문 단속" 더 정교해지는 피싱 공격 막는 법

데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 영국 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 9,745만 6,345건의 기록이 손상됐다.  2022년에 공개된 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고 해커 역시 피싱 캠페인을 활용해 공격을 시작할 직원 자격증명 액세스 권한을 얻고 있다.    사회 공학 다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다.  해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 자격증명에 액세스하고, 기업 시스템에 침입할 수 있는 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 것이 쉬운 법이다.  따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다.  우버, 트윌리오, 메일침프 해킹 사건 모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발생했다.  또 2022년 초 보안업체 그...

피싱 피싱 공격 사회 공학 2022.10.28

마이크로소프트 365 디펜더, 기업 전용 랜섬웨어 방지 기능 추가

마이크로소프트 365 디펜더가 자동으로 랜섬웨어 공격을 방어하는 기능을 기업 사용자에게 먼저 제공한다. 개인 사용자에게는 아직 지원하지 않는 기능이다.  연례 자체 컨퍼런스인 이그나이트 행사에서 마이크로소프트는 기업용 애플리케이션의 개선에 중점을 뒀다.  그중 하나가 마이크로소프트 365 디펜더다. 디펜더는 마이크로소프트의 여러 보안 제품 중 하나다. 오피스 365에 마이크로소프트 디펜더가 포함되어 있기는 하지만 윈도우 디펜더와는 다른 제품이다. 그러나 오피스 365용 마이크로소프트 디펜더와 개인용 보안 소프트웨어인 오피스 365 패밀리나 개인용 마이크로소프트 디펜더는 각기 다른 제품이다. 마이크로소프트에 따르면, 새로운 랜섬웨어 보호 기능은 엔드포인트, ID, 이메일, 문서, 애플리케이션 전반의 공격 신호를 수집해 통합된 사건으로 인식하고, 높은 신뢰도로 조기에 랜섬웨어 공격을 파악해 방어한다. 그러나 이 기능은 오피스 365 가족이나 개인용 제품에 포함된 마이크로소프트 디펜더에까지 도입되지는 않았다. 마이크로소프트는 발표를 통해 새로운 기능은 윈도우 XDR 플랫폼의 엔드포인트, 이메일, ID, 클라우드 앱을 대상으로 관련 신호를 연결해 랜섬웨어 등 고도의 측면 이동 공격을 방어한다고 밝혔다. 이들 공격은 주로 기업과 조직을 대상으로 한다는 것이 마이크로소프트의 설명이다. 마이크로소프트에 따르면, 마이크로소프트 365 패밀리와 개인용 제품은 생산성 향상에 초점을 맞춘 개인 사용자용 구독 요금제이고, 최종 사용자가 IT 인프라를 관리하는 제품이 아니므로 랜섬웨어 공격 시나리오가 적용되지 않는다. 마이크로소프트 365 디펜더는 기업용 제품으로 “엔드포인트나 사용자 ID 등 영향받는 자산이 자동으로 포함되므로 새로운 기능이 랜섬웨어 확산을 저지해 전반적인 공격 비용을 낮추고 기업의 회복 탄력선을 개선할 것”이라는 것이 마이크로소프트의 입장이다. 또한 마이크로소프트는 자산이 건전한 상태로 복귀하면 보안 운영 부서가 탐지, 수정,...

랜섬웨어 마이크로소프트365 마이크로소프트디펜더 2022.10.13

랜섬웨어 위험 낮추기, 내부 감사 부서의 역할 커진다

대중 교통 시스템, 의료 시설, 금융 서비스 기업의 공통점은 무엇일까? 바로 랜섬웨어 공격을 받았다는 것이다. 랜섬웨어는 사이버 범죄자가 개인과 기업기밀 시스템 및 파일 액세스를 차단한 후 해제하는 대가로 금전을 요구하는 악성 소프트웨어를 말한다. 전 세계 모든 업계의 기업 상당수가 랜섬웨어 경험이 있다. 사이버 보안 위험은 많지만 그 중에서도 랜섬웨어는 가장 심각한 사안이다. 랜섬웨어 공격을 받으면 기업 운영 중단을 넘어 데이터 유출과 평판 손상 같은 문제가 발생하기 때문이다. 사이버 보안 소프트웨어 기업 소포스(Sophos)가 전 세계적으로 실시한 설문 조사에 따르면, 2021년 조사에 참여한 기업의 66%가 랜섬웨어 공격을 받은 것으로 나타났다. 소포스는 “랜섬웨어로 인한 손해와 장애 복구에 평균 1개월이 걸렸다”라고 덧붙였다. 랜섬웨어의 심각성을 고려할 때, 내부 감사자는 전반적인 사이버 보안 위험과 랜섬웨어 위협을 함께 제거할 수 있도록 지원하는 목표를 세워야 한다. IT/사이버 보안 감사를 수행하고, 내부 감사 관리 소프트웨어 등의 기술로 내부 통제와 협업을 개선하는 조치를 수행하는 것이 한 방법이다. 더욱 자세히 살펴보자.   IT 관행 및 통제 수단 검토 일반적으로 내부 감사자는 사이버 보안 소프트웨어를 선택하고 랜섬웨어 위험 인지에 대한 직원 교육을 실시할 책임자는 아니지만, IT 감사 같은 IT 관행과 통제 수단에 대한 확신을 제공할 수는 있다. IT 팀이 랜섬웨어 이메일 사기를 당한 직원이 있는지를 확인하는 피싱 테스트를 수행한다면, 그 후 내부 감사자가 결과를 검토하고 사회 공학적 공격 방지 기준을 충족하는지를 확인할 수 있다. 랜섬웨어나 다른 사이버 보안 위험에 대한 기업의 대비 상태가 미흡하다고 판단될 경우, 내부 감사자는 이사회와 고위 경영진 같은 다른 이해 관계자에게 위험을 알려야 한다.  내부 감사 리더는 또한, 원격 근무 정책을 검토하여 IT 팀이 재택 근무 환경에 필요한 기능에만 집중하지 않고 랜섬웨어...

사이버보안감사 랜섬웨어 데이터유출 2022.10.11

민간 랜섬웨어 대응 협의체 ‘KARA’, 랜섬웨어 동향 보고서 발간

민간 랜섬웨어 대응 협의체 ‘KARA(Korea Anti Ransomware Alliance)’는 랜섬웨어 동향 보고서를 발간했다. SK쉴더스의 주도로 구성된 KARA는 각 분야 전문 기업들이 랜섬웨어 최신 트렌드 및 피해 실태와 관련한 정기적인 정보 공유를 통해 사고 접수와 대응, 복구, 대책까지 원스톱으로 대응하는 프로세스를 제공하고 있다. 현재 트렌드마이크로, 지니언스, 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등이 참여중이다.   최근 랜섬웨어 트렌드를 분석하고 공격 전략과 대응 방안을 담은 랜섬웨어 동향 보고서에서 KARA는 주요 랜섬웨어 그룹이 사용한 공격 전략을 글로벌 보안 위협 표준 프레임워크 ‘마이터 어택’(MITRE ATT&CK)에 맞춰 각 단계별 공격 기법을 분석하고 대응 방안을 기술했다. 다크웹에서 가장 활발하게 활동중인 랜섬웨어 그룹 ‘VenusLocker’의 ‘Lockbit 3.0’, 꾸준히 변종이 발생되고 있는 ‘Phobos’, 국내 기업만을 타깃으로 하는 ‘귀신’ 랜섬웨어에 대한 특징을 상세히 분석했다. 이 밖에도, 2017년 발생해 꾸준히 변종이 발견되고 있는 ‘Phobos’ 랜섬웨어와 최근 국내 기업만을 타깃으로 해 화제가 된 ‘귀신’ 랜섬웨어에 대한 배경과 특징을 자세히 밝혔다. 이들은 공통적으로 공격 대상을 선정하기 위해 다양한 방법으로 내부 정찰을 시도하고 내부 인프라에 침입, 데이터를 암호화해 시스템을 마비시킨 것으로 조사됐다. 이후 데이터를 유출하겠다는 협박을 통해 공격을 수행하는 정밀하고 고도화된 전략을 사용하고 있는 것으로 분석됐다. KARA는 이러한 랜섬웨어 피해를 예방하기 위해서 단일 솔루션과 서비스가 아닌 단계별 보안 요소와 프로세스를 마련해 랜섬웨어를 미리 탐지하고 차단해야 한다고 밝혔다. 기업 내부의 네트워크와 인프라 자산 등에 대한 관리가 체계적으로 이뤄져야 하며 사고 발생 시 대응 프로세스가 수립되어야 한다고 덧붙였다.  이번 보고서는 ...

랜섬웨어 KARA SK쉴더스 2022.09.22

"올 상반기 랜섬웨어 공격 오히려 줄었다"

올해 상반기 랜섬웨어 공격 횟수와 피해액이 모두 줄어든 것으로 나타났다. 사이버 보험 업체 콜리션(Coalition)이 자사 보험에 가입한 기업을 분석한 보고서에 따르면, 팬데믹의 시작과 함께 급격히 늘어난 랜섬웨어 공격은 올해 상반기 오히려 감소했다. 지난해 하반기 전체 보험 가입자의 0.66%가 랜섬웨어 공격으로 보상을 받은 반면 올해 상반기에는 0.41%를 기록했다. 코로나 위기가 최고에 달했던 2020년 하반기의 0.44%보다도 낮은 수치다.   보고서에 따르면, 이처럼 랜섬웨어가 급감한 이유 중 하나는 오프라인 백업 시스템의 확산이다. 랜섬웨어 피해를 본 기업 중 상당수가 공격자와 접촉하지 않고 이 시스템을 이용해 간단하게 데이터를 복구할 수 있었다. 이는 데이터 복구 서비스 업체 코브웨어(Coveware)와 버라이즌(Verizon)의 자료를 통해서도 확인할 수 있다. 랜섬웨어 공격으로 기업이 지불하는 금액이 최근 몇 달 사이 크게 줄어들었다. 반면 랜섬웨어 공격자의 공격 전략이 계속 진화하고 있는 것은 우려스러운 대목이다. 실제로 지난 3년간 사이버공격은 수익성 높은 범죄 사업 모델이 됐다. 콘티(Conti), 록비트(Lockbit), 하이브(Hive) 같은 범죄 그룹이 언론의 헤드라인에 지속적으로 등장했다. 더욱이 이제 랜섬웨어 공격자는 기존보다 더 작은 규모의 기업을 노리고 있다. 랜섬웨어 공격에 상대적으로 대응력이 떨어지는 기업이다. 콜리션 보고서는 "이런 소규모 기업이 사이버보안 사고 피해를 본 후 청구하는 평균 금액은 2022년 상반기 13만 9,000달러로, 소기업엔 꽤 부담되는 금액이다. 사이버보안 사고가 발생하면 매우 작은 기업은 사업을 접어야 할 수도 있다"라고 지적했다. 가트너의 대표 애널리스트 존 아마토는 이런 지적에 동의했다. 랜섬웨어가 줄어드는 시점이라고 하지만 사이버 범죄자에게는 여전히 돈벌이가 되는 사업이고, 보안이 취약한 기업에 치명적인 위험인 것도 마찬가지라는 것이다. 그는 "이런 기업은 백업 데이터...

랜섬웨어 콜리션 Coalition 2022.09.21

“피싱과 소프트웨어 취약점이 사이버 침해 사고 경로의 70% 차지해” 팔로알토 네트웍스 발표

팔로알토 네트웍스는 인시던트 대응을 위한 자사의 연구 조사 기관 유닛42에서 수집한 600여 개 이상의 사고 대응 사례를 샘플링 한 분석 결과를 담아 ‘2022 유닛42 인시던트 대응 보고서’를 발표했다.  이 보고서는 각 조직의 CISO 및 보안 팀에서 최우선으로 해결해야 할 보안 위협을 이해하고, 이에 대응하기 위해 자원을 전략적으로 운용할 수 있는 팁을 담고 있다.   보고서에 따르면 랜섬웨어로부터 몸값을 지불하도록 요구된 금액이 가장 높은 업종은 금융과 부동산으로, 평균 금액은 각각 평균 800만 달러, 520만 달러에 육박했다. 지난 12개월 동안 가장 빈번하게 발생한 공격 유형은 전체 인시던트 대응의 70%를 차지하는 랜섬웨어와 기업 이메일을 침해하는 ‘BEC공격(business email compromise)’ 인 것으로 조사됐다. 새로운 랜섬웨어 피해자가 4시간마다 유출 사이트에 게시되고 있다. 랜섬웨어 활동을 조기에 식별하는 것이 매우 중요한데, 일반적으로 랜섬웨어 공격자들은 파일이 암호화된 후에야 발견되고, 피해 조직에서는 그 이후에 금전 요구 액수와 지불 방법 등이 담긴 랜섬 노트를 받는다. 유닛 42는 랜섬웨어 공격 시 위협 행위자들이 표적 환경에서 탐지되기 전에 보내는 시간을 의미하는 중간 체류 기간이 28일임을 확인했다. 2022 랜섬웨어 보고서 발표 이후로도 공격 빈도와 피해 금액은 지속적으로 증가하여, 몸값 요구 금액은 3천만 달러, 실제 지불 금액은 800만 달러에 이른 것으로 조사됐다. 특히 몸값을 지불하지 않을 경우 민감한 정보를 공개하겠다고 위협하는 이중 갈취 수법이 지속적으로 늘어나고 있다. 사이버 범죄자들은 업무용 전자 메일을 타깃으로 하는 송금 사기 기법을 사용하고 있다. 피싱과 같은 소셜 엔지니어링의 형태는 발견의 위험을 낮추는 동시에 은밀한 액세스 권한을 얻을 수 있는 쉽고 비용 효율적인 방법이다. 이번 조사에 따르면, 많은 경우에 사이버 범죄자들이 무작위의 타깃에게 자격 증명을 요구하고 ...

팔로알토 네트웍스 피싱 랜섬웨어 2022.09.05

KISA, 랜섬웨어 동향 및 대응 방향 모색하는 '제1회 랜섬웨어 레질리언스 컨퍼런스’ 9월 20일 개최

한국인터넷진흥원(KISA)은 과학기술정보통신부와 함께 랜섬웨어 공격 동향과 이에 따른 대응 방안을 공유하기 위해 산·학·연·관이 함께하는 ‘제1회 랜섬웨어 레질리언스 컨퍼런스’를 9월 20일 양재 엘타워에서 개최한다고 밝혔다.   랜섬웨어는 해킹을 통해 피해자의 데이터를 암호화하고, 이를 풀어주는 대가로 돈을 요구하는 사이버 공격으로 전 세계적으로 피해규모가 급증하고 있다. 특히, 최근에는 전문지식이 없어도 비용만 지급하면 되는 랜섬웨어 서비스 형태의 공격으로 진화하고 있어 사이버 범죄의 진입장벽이 낮아지고 있다. 이에 따라, KISA는 랜섬웨어에 대한 체계적 대응을 위해 2017년 노모어랜섬과 국제협력을 시작으로, 랜섬웨어 암호기술 연구 및 복구 도구 개발, 공격 동향 분석 등을 추진하고 있다.  또한, KISA는 안전한 디지털 플랫폼 정부 구현을 위한 랜섬웨어의 적극적 대응 필요성을 환기하기 위해 이번 컨퍼런스를 마련했으며, 매년 개최하여 국가·공공, 금융, 학계 등 다양한 분야의 관계자와 함께 랜섬웨어 대응 및 예방 방안을 지속적으로 모색할 예정이다.   세부 프로그램은 KISA의 ‘랜섬웨어 피해 최소화를 위한 노력’에 대한 소개를 시작으로 ▲AI 기반 자율형 차단 기술 ▲랜섬웨어 수사 사례 ▲국내·외 랜섬웨어 복구 동향 및 기법 등의 내용으로 발표가 이어지며, 랜섬웨어 공격 대응 현황에 대해 논의하는 패널 토의를 마지막으로 컨퍼런스를 마무리할 예정이다. 이번 컨퍼런스는 랜섬웨어에 관심 있는 누구나 9월 8일까지 선착순 100명까지 신청받으며, 자세한 내용은 암호이용활성화 누리집(https://seed.kisa.or.kr)에서 확인할 수 있다. KISA 이성재 융합보안단장은 “랜섬웨어 범죄 형태의 조직화·지능화로 수익 실현이 용이해지면서 공격이 심화될 것으로 예상한다”며, “이에 랜섬웨어 공동 대응을 위한 협력이 중요한 만큼, 이번 컨퍼런스가 각 분야의 관계자가 한자리에 모여 다양한 의견을 공유하고 협력을 강화할 ...

KISA 랜섬웨어 2022.08.29

아크로니스 “2023년까지 전세계 랜섬웨어 피해액 규모 300억 달러 넘을 것”

아크로니스는 아크로니스 사이버보호 운영 센터(Acronis’ Cyber Protection Operation Centers)가 수집해 분석한 정보를 바탕으로 수행한 최신 위협 트렌드에 대한 심층 분석과 전망을 담은 ‘2022 상반기 사이버 위협 리포트(Acronis Cyberthreats Report)’를 발표했다.   아크로니스의 ‘2022 상반기 사이버 위협 리포트’에 따르면 2022년 상반기 동안 보고된 모든 침해(breaches) 사고의 거의 절반이 피싱 및 랜섬웨어 캠페인을 가능하게 하는 도용된 자격 증명(credentials)과 관련된 것으로 나타났다. 또한 보고서는 랜섬웨어가 공공 기관, 대기업과 중견기업 등을 막론해 모든 규모의 기업과 산업 분야에서 최대 보안 위협 요인이라고 설명하고 있다. 자격 증명 및 기타 민감한 정보를 추출하기 위해 사이버 범죄자는 피싱 및 악성 이메일을 선호하는 감염 벡터(매개체)로 사용하고 있다. 전체 이메일의 대략 1%에 악성 링크나 파일이 포함돼 있으며 모든 이메일의 1/4 이상(26.5%)이 사용자 받은 편지함으로 전달된 후(Microsoft365에 의해 차단되지 않음) 아크로니스 이메일 보안 프로그램(Acronis email security)에 의해 제거됐다.  또한 이 연구는 사이버 범죄자들이 어떻게 멀웨어를 사용하고 최신 보안 업데이트 버전이 적용 안된(패치되지 않은) 소프트웨어 취약점을 공격하여 데이터를 추출하고 조직을 인질로 잡는지 보여준다. 사이버 보안 위협 환경을 더욱 복잡하게 만드는 것은 새로운 진입 경로를 통한 공격의 확산이었다. 실제로 공격자들은 최근 암호 화폐와 분산 금융 시스템(cryptocurrencies and decentralized finance systems)을 공격 경로의 우선 순위로 삼았다. 이러한 다양한 경로를 사용한 성공적인 침해로 인해 수십억 달러의 비용 손실과 TB(테라바이트) 이상의 데이터가 유출되었다. 아크로니스 사이버 보호 리서치의 칸디드 뷔...

아크로니스 랜섬웨어 피해규모 2022.08.29

중소기업을 위한 랜섬웨어 방어 대책과 40가지 권고 : IST

IST(Institute for Security and Technology)가 최근 “랜섬웨어 방어 청사진(“Blueprint for Ransomware Defense)란 보고서를 발표하며, 중소기업의 랜섬웨어와 기타 사이버 공격 대응에 필요한 방어 대책 권고안을 제시했다. 보고서는 NIST(National Institute of Standards and Technology)의 사이버 보안 프레임워크를 따라 확인, 보호, 대응, 복구 형식에 초점을 맞췄다. NIST의 프레임워크 중 탐지 기능에 대한 내용은 포함하지 않았는데, 보고서는 SMB가 이 기능을 수행하기 위해서는 사이버 보안 서비스 업체와 협력할 것으로 권고했다.    권고안은 단계별로 기초적인 방지책 14가지, 실행 가능한 방지책 26가지를 제시했다.    기업 네트워크 상의 위협을 파악할 수 있는 방안 IST는 보호가 필요한 기업 네트워크 상에 어떤 것이 있는지 파악하는 데 도움이 되는 기초적인 방어 대책으로 다음 4가지를 소개했다.   상세한 기업 자산 인벤토리를 작성해 유지한다. 소프트웨어 인벤토리를 작성해 유지한다. 데이터 관리 프로세스를 수립해 유지한다. 계정 인벤토리를 작성해 유지한다. SMB는 기업 내 컴퓨터와 소프트웨어에 있는 위험을 이해하기 위해 좀 더 많은 지침이 필요할 수 있다. 특히 많은 중소기업이 구식 기술을 그대로 사용하는데, 대부분 중요한 현업 애플리케이션에 필요하기 때문이다. 따라서 IT 자산 현황을 파악하는 것만으로는 부족하며, 구식 장비와 소프트웨어를 사용함으로써 생기는 위험을 평가할 필요가 있다. 실행 가능한 방지책은 허가된 소프트웨어가 지원되도록 확실히 하는 것이다.   네트워크 인프라 보호를 위한 방안 다음 권고안은 이렇게 확인한 IT 자산을 보호하는 방법에 관한 것이다.   안전한 환경 구성 프로세스를 구축하고 유지한다. 네트워크 인프라를 위한 안전한 환경 구성 프로세스...

랜섬웨어 해킹 대응 2022.08.18

“구글 계정이 침입 통로” 시스코 해킹 사고의 전모

엔비디아와 마이크로소프트, 유비소프트, 삼성, 보다폰에 이어 시스코가 유명 IT 업체의 해킹 피해 사례에 이름을 올렸다. 지난 5월 말 한 공격자가 시스코 네트워크에 침투하는 데 성공했다. 이른바 초기 액세스 브로커(Initial Access Broker, 돈을 받고 대상 네트워크로의 액세스를 제공하는 공격자)인 이 공격자는 UNC2447 사이버 범죄 조직, Lapsus$ 조직, 그리고 랜섬웨어 얀루오왕(Yanluowang) 운영자들과 연루된 것으로 보인다. 이번 공격에서 눈에 띄는 부분은 제로데이 취약점이나 패치 미설치, 네트워크 구성의 약한 지점이 아닌 전형적인 소셜 엔지니어링 기법을 사용했다는 점이다.    제한적 피해만 발생 이번 공격은 다른 대규모 해킹 사건의 경우와 달리 가치 있는 데이터를 얻지는 못한 것으로 보인다. 해커로부터 이메일을 받았다고 주장하는 Bleepingcomputer.com에 따르면, 해당 해커는 약 3,100개 파일로 구성된 2.75GB 용량의 데이터를 훔쳤다고 한다. 파일의 대부분은 비밀 유지 계약(NDA), 데이터 덤프, 기술 도면 등인 것으로 알려졌다. 시스코는 공식적으로 “2022년 5월 말에 회사 네트워크에서 보안 사고가 발생했다. 공격자를 제압해 네트워크에서 제거하기 위한 즉각적인 조치를 취했다. 이 사고는 시스코 제품 또는 서비스, 민감한 고객 데이터 또는 민감한 직원 정보, 회사 지적 재산 또는 공급망을 포함해 시스코 비즈니스에 아무런 영향을 미치지 않았다”고 발표했다.  공격자가 훔친 파일 목록을 게시하자 시스코도 사고를 세부적으로 공개했다. 시스코가 사고에 대처하면서 얻은 교훈을 다른 여러 기업에 제공하는 것은 주목할 만한 일이다. 시스코 내부 보안 그룹인 탈로스(Talos)는 블로그를 통해 공격자가 어떻게 네트워크에 침투했고 거기서 무엇을 했는지를 자세히 설명했다.     취약한 구글 계정  해킹의 출발점은 시스코가 아닌 구글이었다. 공격자는 시스...

시스코 해킹 소셜엔지니어링 2022.08.17

‘반짝 출현 후 사라진’ 10대 해킹단체 랩서스 수법과 대비책

미국 사이버보안 회사 테너블(Tenable)의 선임 연구 엔지니어 클레어 틸스가 블로그에 해킹그룹 랩서스(Lapsus$)를 추적해 조사한 결과를 발표했다. 랩서스의 공격 수법에 대해 “겁 없고, 터무니없으며 단순하기 짝이 없다”라고 평가했다.   랩서스는 마이크로소프트, 삼성, 엔비디아, 보다폰, 유비소프트, 옥타 같은 유명한 회사를 공격해 이목을 집중시켰다. 데이터를 탈취하거나 랜섬웨어로 피해 기업을 갈취하기도 했다.  랩서스가 악명을 얻기까지 다른 사이버 범죄 조직과 달리, 랩서스는 오직 자체 텔레그램 채널을 통해 운영된다. 다크 웹에서 유출 사이트를 운영하지 않는다. 지금까지 데이터를 갈취할 회사를 골라 달라며 텔레그램에 커뮤니티에 물어보는 방식으로 공격할 기업을 언급해왔다. 랩서스는 단순한 수법으로 파격적인 공격 방식을 전개해 많은 이를 당황케 했다. 예를 들어, 올해 초에는 고객 센터 제공업체 시텔(Sitel)의 컴퓨터 시스템에 침입하는 것을 시작으로 단계적인 해킹 전략을 구사했다. 이를 통해 시텔과 협력하는 클라우드 보안 업체 옥타에서 일하는 지원 엔지니어의 노트북까지 해킹해 결국 옥타의 기업 네트워크까지 침투했다. 틸스에 따르면, 랩서스 그룹은 다음과 같이 꽤나 보편적인 수법을 사용해왔다:    외부에 공개된 로그인 정보를 이용하거나 다크웹에서 로그인 정보를 구매하여 공격할 기업의 네트워크에 초기 접근  비밀번호 도용 직원들에게 대가를 지급해 접근 정보 구매  헬프데스크의 도움을 받거나 인증요청을 대량으로 살포해 다중 인증 절차 우회  VPN, 가상 데스크톱, 마이크로소프트 쉐어포인트, 가상 데스크톱 같은 애플리케이션에 로그인해 추가 크리덴셜 및 중요 정보 탈취  지라(Jira), 깃랩(GitLab) 및 컨플루언스(Confluence) 같은 소프트웨어의 미패치 취약점을 악용해 시스템 접근 권한 획득  노드VPN(NordVPN...

랩서스 테너블 랜섬웨어 2022.08.16

멘로시큐리티, ‘랜섬웨어 공격 및 대비 현황’ 보고서 발표..."피해 복구 비용은 평균 32만 달러"

멘로시큐리티는 기업 보안 의사 결정권자들의 랜섬웨어 공격 및 대비 현황을 조사한 ‘2022 임팩트: 랜섬웨어 공격 및 대비 현황(2022 Impacts: Ransomware attacks and preparedness)’ 보고서를 발표했다.   멘로시큐리티의 연구 보고서에 따르면 랜섬웨어 공격이 여전한 것으로 나타났다. 최근 설문 조사에 따르면 기업의 1/3이 적어도 일주일에 한 번 랜섬웨어 공격을 경험하고 10명 중 1명은 하루에 한 번 이상 랜섬웨어 공격을 경험하는 것으로 나타났다. 이번 연구에는 미국과 영국에서 1,000명 이상의 직원들이 근무하는 조직의 IT 보안 의사 결정권자 505명이 응답했다. 특히, 이번 연구는 보안 전문가들의 고민 등 웰빙(삶의 만족도)에 미치는 영향을 조사했으며, 밤에 깨어 있게 만드는 이유가 무엇인지 묻는 질문에 응답자의 41%는 랜섬웨어 공격이 팀의 지식과 기술을 넘어 진화하는 것에 대해 걱정한다고 답했으며, 39%는 기업의 보안 역량을 넘어 진화하는 것에 대해 걱정한다고 답했다. 그러나 보안 담당자들의 가장 큰 고민은 직원들이 기업의 보안 조언을 무시하고 악성 코드가 포함된 링크나 첨부 파일을 클릭할 위험(46%)이었다. 응답자의 1/4(26%)만이 고용안전성과 관련된 실직하게 될 것을 걱정했다. 보고서에 따르면 기업의 약 절반(미국 61%, 영국 44%)이 지난 18개월 동안 랜섬웨어 공격을 받은 피해자였으며, 고객과 잠재 고객이 공격자들의 진입점일 가능성이 가장 높은 것으로 나타났다. 파트너/공급업체 및 직원/계약 업체들도 심각한 보안 위험으로 간주되지만 10명 중 1명은 공격이 어떻게 유입되었는지 정확히 식별할 수 없다고 답했다. 상위 3개 랜섬웨어 공격 벡터는 이메일(54%), 데스크톱이나 노트북에서 사용하는 웹 브라우저(49%), 모바일 기기(39%) 순이었다. 보안 전문가들은 랜섬웨어 공격으로부터 복구하는 데 들어갈 것으로 예상하는 비용과 실제 복구 비용 사이에 격차가 크다는 점을 주목했다....

멘로시큐리티 랜섬웨어 피해복구 2022.08.11

킨드릴, 새 복구 서비스 발표…"전문가 사전 검토·실시간 피해 복구"

관리형 인프라 서비스 업체 킨드릴(Kyndryl)이 새 사이버 복구 리테이너 서비스(Recovery Retainer Service)를 지난 25일(현지 시각) 발표했다. 킨드릴은 자체 전문 인력의 사전 검토와 현장 복구 지원을 강점으로 내세웠다.    회사에 따르면, 새 서비스는 기업 고객이 랜섬웨어 등 사이버 공격에 피해를 받을 경우 자체 전문 인력을 기업 현장에 제공한다. 또한 업체 측은 이 서비스가 피해 관리에 국한되지 않으며, 사전 예방을 지원한다고 설명했다. 킨드릴의 보안팀이 기업 고객의 사이버보안 방어력을 검토하고 개선하여, 취약성을 보강하는 작업도 서비스에 포함된다.  사이버 공격이 발생할 시에는 보안 전문팀이 실시간으로 기업 고객과 연락하여 중요한 데이터를 복구하고 시스템을 원상 복구하도록 돕는다. 상황에 따라 원격 상담과 현장 파견이 모두 가능하다고 업체 측은 밝혔다.  복구 리테이너 서비스의 일환으로 제공되는 포렌식(forensics) 지원은 흔하다. 그러나 이번에 킨드릴이 발표한 것과 같은 현장 지원 서비스는 드물다.  킨드릴의 사이버보안 및 복원력을 담당하는 글로벌 보안 수칙 리더 크리스 러브조이는 이 서비스가 기존 사이버 공격 피해 복구 서비스의 연장선이라고 설명했다. 그는 "이제 이 분야[사이버보안]에서는, 단순한 방어를 넘어 '사이버 복원력(cyber resilience)’으로의 전환이 필요하다”라며 “이제 사이버 공격은 불가피하다. 따라서 공공과 민간 부문 모두 사이버보안은 물론 사이버 복원력을 갖춰야 한다”라고 말했다.  IDC의 리스크, 자문, 관리 및 개인 정보 보호 담당 리서치 디렉터 필립 해리스는 새 복원 서비스가 올해 4월 출시된 킨드릴의 오케스트레이션(orchestration) 및 사이버볼팅(cybervaulting) 서비스와도 잘 호환된다고 말했다. 이러한 서비스는 머신러닝 기반 구성 검사, 재해 복구 자동화 및 에어갭 백업 시스템 등을 포함한다. 에어갭...

랜섬웨어 데이터복원 데이터복구 2022.07.27

록빗은 뜨고, 콘티는 지고… 올 2분기 랜섬웨어 공격 둔화

2022년 2분기 록빗(LockBit)이 ‘뜨고’ 콘티(Conti)가 ‘지면서’ 랜섬웨어 공격 횟수가 다소 둔화됐다는 분석이 나왔다.  가드포인트 리서치(GuidePoint Research)가 지난 목요일 발표한 보고서에 따르면 2022년도 2분기 랜섬웨어 공격 횟수는 총 574건으로 집계됐다. 올 1분기 대비 34% 감소한 수치다. 기술 부문은 공공 부문과 마찬가지로 큰 표적이 됐다. 아울러 미국은 가장 많은 공격을 받은 국가로, 전 세계 랜섬웨어 피해의 거의 4분의 1을 차지했다.    2분기 가장 활발하게 공격 활동을 이어온 랜섬웨어 그룹은 서비스형 랜섬웨어(RaaS)를 운영하는 록빗(LockBit)이다. 록빗은 목표 대상의 시스템을 손상시키고 수익을 협력사에게 공유하는 소프트웨어를 제공하며, 자체적인 데이터 도용 툴킷과 랜섬웨어 배포 도구 등을 보유한 것으로 조사됐다.  조사 기간 동안 록빗을 사용한 공격은 총 208건이었다. 보고서에 따르면 록빗은 버그 바운티 프로그램을 운영하면서 공격으로 얻은 수익의 일정 비율을 사용료로 지불하며, 치명적 결과를 초래할 수 있는 주요 인프라 업체에 소프트웨어 사용을 제한하는 등 상당히 체계적인 구조를 가지고 있다.  2분기에 새로 등장한 공격 그룹 블랙바스타(Blackbasta)는 산업 및 제조 회사를 주요 타깃으로 삼고 있다. 또한 콘티 랜섬웨어라는 그룹은 지난 5월 없어져 2분기 공격 횟수가 감소했지만, 조사 기간 동안의 공격 횟수는 록빗2에 이어 2위에 오를만큼 많았다. 콘티는 공격적인 접근 방식과 더불어 일반적인 대형 랜섬웨어 그룹과 달리 몸값을 지불해도 손상된 데이터를 복구해주지 않아 악명이 높았다. 한편 콘티라는 그룹은 사실상 없어졌지만 그 배후에 있었던 사람들은 여전히 활동하고 있을 가능성이 높다.  가드포인트의 운영 책임자 드류 슈미트는 “위협 행위자의 조직 개편이 계속되고 있기 때문에 록빗은 가까운 미래에도 랜섬웨어 산업의 선두 자리를...

랜섬웨어 록빗 콘티 2022.07.25

"송수신자 추적성 확보하라" EU, 암호화폐 규제 나선다

유럽연합(EU)이 암호화폐 규제에 나섰다. 기업 IT에 상당한 영향을 미칠 전망이다. 암호화폐는 사이버 범죄자가 선호하는 지불 수단이다. 랜섬웨어 공격을 받았을 때 몸값을 지불할 생각이라면 암호화폐가 필요하다. 사이버 범죄자가 암호화폐를 그토록 좋아하는 가장 큰 이유는 추적이 어렵기 때문이다.    EU에서 내놓은 이번 규제안이 중요한 이유다. EU는 모든 암호화폐를 대상으로 하는 추적 요건을 만들고 있으며, 이는 미국을 포함한 많은 국가의 규제당국에서 모방할 가능성이 높다. 만약 이 규제가 성공적으로 안착하고 EU가 변화의 결과로 큰 성과를 낸다면, 암호화폐는 사이버 범죄자가 선호하는 결제 수단에서 빠르게 제외될 수 있다. 이것이 기업 IT와 보안에 의미하는 바는 무엇일까? 바로 2023년과 2024년의 랜섬웨어 싸움에 암호화폐가 꼭 필요하지 않을 수 있다는 이야기다. 사이버 범죄자는 비자(Visa), 전신 송금(wire tranfer), ACH 결제(ACH payment)를 더 안전하게 사용하는 방법을 찾아낼 지도 모른다. 실제로 페이팔(PayPal) 계정을 충전하거나 젤러(Zelle) 또는 벤모(Venmo)를 사용하면 몸값 지불이 매우 단순해진다. 몸값 지불도 끔찍하지만 더 우려스러운 것은 많은 암호화폐를 빠르게 구매하기가 어렵다는 점이다. 암호화폐는 그 가치가 매우 변덕스럽기 때문에 기업이 언젠가 몸값을 지불하기 위해 마냥 보유하고 있을 수 없다. 500만 달러 상당의 암호화폐라고 생각했지만 정작 사용하려고 보니 4만 2,000달러의 가치밖에 되지 않을 수 있다.  그렇다면 EU는 정확히 무엇을 하려는 것일까? 유럽연합 이사회(The Council of the European Union)는 새로운 암호화폐 규제에 ‘잠정 합의’했다고 밝혔다. 현재 합의된 법안은 최종 버전이 아니기 때문에 최종적으로 어떤 내용이 포함될지는 명확하지 않다. EU는 성명문에는 다음과 같은 내용이 포함돼 있다. &n...

EU 암호화폐 랜섬웨어 2022.07.22

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.