Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

카세야 랜섬웨어 공격, '뜨거웠던 7월'의 타임라인 정리

2021년 7월, 미국의 소프트웨어 제공업체 카세야(Kaseya)에 대한 악명 높은 러시아와 관련된 랜섬웨어 그룹 레빌(REvil)의 공격으로 최대 2,000개의 기관과 기업이 영향을 받은 것으로 추정된다. 레빌은 카세야의 원격 컴퓨터 관리 도구의 취약점(CVE-2021-30116)을 이용해 공격을 감행했고 그 여파가 몇 주 동안 지속되면서 해당 사건에 대한 정보가 점차 공개되고 있다.   이 사건은 소프트웨어 공급망과 정교한 랜섬웨어 그룹에 의한 위협을 다시금 상기시켰다. 다음은 카세야의 사건 업데이트 페이지와 기타 출처를 바탕으로 해당 공격의 타임라인과 영향을 받은 피해자들에 대한 기록이다.  카세야 레빌 랜섬웨어 공격 타임라인 - 7월 2일 금요일: 카세야의 사건 대응팀은 원격 컴퓨터 관리 도구인 카세야 VSA(Kaseya VSA)와 관련된 잠재적인 보안 이벤트를 탐지했다.  이 조사를 통해 카세야는 모든 온프레미스 고객에게 추가적인 공지가 있을 때까지 VSA 서버를 셧다운하도록 조언했으며 예비 조치로써 SaaS 서버도 셧다운했다. 카세야의 내부팀은 보안 전문가들과 함께 문제의 원인을 파악하고 FBI와 CISA 등의 시행 및 정부 사이버보안 기관에 알렸다. 카세야는 조기 지표를 통해 소수(40곳)의 온프레미스 카세야 고객만이 영향을 받았음을 확인했으며 취약점의 출처를 알아냈다고 밝혔다. 미 동부시간으로 오후 10시 패치가 준비되고 있었다. - 7월 3일 토요일: 카세야가 사이버 공격을 받았다고 밝혔다.  카세야는 계속해서 온프레미스 고객들에게 패치가 공개될 때까지 VSA 서버를 오프라인 상태로 유지하도록 강력히 권고했다. 또한 랜섬웨어 공격자들로부터 메시지를 받은 고객이 어떤 링크도 클릭하지 않도록 조언했다. 카세야는 VSA 고객이 시스템의 상태를 평가하는 데 도움이 되는 해킹 탐지 도구를 만들고 있다고 발표했다. 카세야는 지속적으로 영향을 받은 사용자에게 연락하고 다음 날 CEO 프레드 보콜라가 사건에 대한 인...

랜섬웨어 카세야 레빌 2021.08.05

글로벌 칼럼 | 윈도우 보안, 기본값이 아니라 추가 구매 기능인가

최근 마이크로소프트는 지난 1년 동안 1,650억 달러의 매출과 600억 달러의 수익을 올렸다고 밝혔다. 특히 클라우드 매출이 급성장했다. 하지만 그 1년 동안 단 하루도 새로운 보안 문제나 랜섬웨어 공격이 없었던 적은 없었다. 이 때문에 윈도우 11은 더 나은 보안을 가져다줄 별도의 하드웨어가 필요했고, 그만큼의 대가도 치러야 한다. 윈도우 11을 지원하지 않는 PC를 사용하는 대부분 사용자는 윈도우 10에 묶여 있게 될 것이다.    윈도우 생태계의 현실과 실제 사용자의 현실 간에는 상당한 간극이 있는 것처럼 보인다. 사용자에게 필요한 것은 지금 현재의 보안이기 때문이다. 악성코드는 보통 피싱이나 가짜 링크를 통해 시스템에 침투한다. 사실 마이크로소프트는 이미 시스템에 탑재되어 있지만 활성화되어 있지 않은 보안 솔루션을 권장하는 것만으로도 사용자에게 훨씬 나은 보안을 제공할 수 있다. 이런 설정의 일부는 추가 라이선스도 필요없다.  물론 많은 보안 기능이 마이크로소프트 365 E5 라이선스에 가로막혀 있다. E5 라이선스 하나를 구매해 향상된 보안 기능을 이용하는 것이 어려운 일은 아니지만, 마이크로소프트가 보안을 기본 탑재된 기능이 아니라 운영체제의 추가 프로그램으로 만들고 있다는 우려를 지울 수 없다. 필자는 마이크로소프트의 SD3+C(Secure by Design, Secure by Default, Secure in Deployment and Communication) 전략을 기억한다. 하지만 지금은 이미 윈도우에 있는 보안이 아니라 E5 라이선스가 제공하는 보안 솔루션을 강조하고 있다. 라이선스 없이 이용할 수 있는 설정은 마이크로소프트 디펜더의 공격 표면 감소(Attack Surface Reduction, ASR) 규칙에 포함되어 있거나 디펜더의 특정 설명에 파묻혀 있다. 사용자가 이용할 수 있는 옵션 중 하나는 컨피켜 디펜더(Configure Defender)같은 서드파티 깃허브 툴을 사용하는 것이다. 깃허브에...

랜섬웨어 윈도우디펜더 설정 2021.08.03

글로벌 칼럼 | 랜섬웨어와의 전쟁, 마이크로소프트의 노력이 아쉬운 이유

어떤 기업이 랜섬웨어 공격을 받았다는 뉴스가 하루도 빠지지 않고 등장한다. 많은 경우 사고의 시작은 피싱 공격 또는 패치 지연으로 인한 취약점이다. 또는 부실하게 코딩된 컨설턴트 툴에서 시작되는 경우도 있다. 어떤 방식으로 시작됐든, 백업에서 복구하거나(사용 가능한 백업이 있다는 전제 하에) 몸값을 지불하고 데이터의 암호를 해독해 복구할 때는 시간이 소요된다.    그런데 기업에는 그럴 시간이 없다.  미국 정부는 지난 주 기업과 학교, 기타 조직이 랜섬웨어 공격에 대처하는 데 도움을 주기 위해 스톱랜섬웨어(Stopransomeware) 웹사이트를 개설했다. 가이드에는 데이터를 암호화해 백업하고 주기적으로 테스트할 것, 핵심 시스템의 골드 이미지를 주기적으로 업데이트해 보관할 것, 백업 하드웨어를 확보해 둘 것, 적용 가능한 코드도 같이 유지할 것 등 백업과 관련된 사항이 포함되어 있다. 백업 문제에 있어 필자는 모범 사례를 촉진하기 위한 마이크로소프트의 대처가 미흡하다고 생각한다. 물론 마이크로소프트는 많은 솔루션 업체가 제공하는 서드파티 옵션 생태계와 관련해서 신중하게 움직여야 하는 경우가 많다.  특히 소기업과 개인 사용자 관점에서 대규모 엔터프라이즈와 소기업의 요구사항은 서로 다르다. 대기업은 오토파일럿(Autopilot)과 같은 툴을 사용해 새로운 시스템의 이미지를 신속하게 배포할 수 있다. 예를 들어 랜섬웨어로 일련의 워크스테이션이 손상됐다면, 오토파일럿과 같은 다양한 툴을 사용해 다시 배포할 수 있다. (윈도우 11은 오토파일럿을 완전히 지원하며, 손쉽게 애저 액티브 디렉토리에 조인하는 옵션도 제공한다.)  소규모 기업을 위한 마이크로소프트의 랜섬웨어 대책은 제어된 폴더 액세스(Controlled folder access)다. 제어된 폴더 액세스는 다음과 같은 폴더를 랜섬웨어로부터 보호한다.  c:\Users\<username>\Documents c:\Users\Publi...

랜섬웨어 백업 윈도우11 2021.07.22

미 행정부의 새로운 랜섬웨어 방지 대책 발표에 따른 전문가 반응

러시아 범죄 집단의 지속적이고 심각한 랜섬웨어 공격을 막아야 하는 바이든 미 행정부는 지난 7월 15일 방어 계획을 발표했다. 이번 발표는 바이든 대통령이 블라디미르 푸틴 러시아 대통령에게 자국의 랜섬웨어 위협 집단에 대처할 것을 강력하게 경고한 지 일주일만에 나온 것이다.    첫째, 미 국무부는 외교안보국(Diplomatic Security Service)이 관리하는 '정의를 위한 보상금 제도(Rewards for Justice)' 프로그램을 통해 국가가 후원하는 위협 행위자를 식별하는 정보를 제공하는 모든 사람에게 1,000만 달러를 보상할 것이라고 발표했다.  특히, 컴퓨터 사기 및 남용에 관한 법률(Computer Fraud and Abuse Act, CFAA)를 위반해 미국의 주요 인프라에 대한 악의적인 사이버 활동에 외국 정부의 지휘를 받거나 통제 하에 활동하는 모든 사람의 신원 또는 소재지를 파악할 수 있는 정보를 제공하는 자에게 포상이 주어진다. 정의를 위한 보상금 제도 프로그램은 잠재적 제보자의 안전과 보안을 위해 토르 기반 다크웹 보고 사이트를 설치했다. 또한 이 프로그램은 기관 간 파트너와 협력해 정보를 신속하게 처리하고 제보자의 신변 보호와 보상 지불을 가능하도록 지원한다.  둘째, 미국 재무부 산하의 금융 범죄 단속국인 핀센(Financial Crimes Enforcement Network, FinCEN)은 2021년 8월 랜섬웨어 문제에 초점을 맞춘 핀센 거래소를 소집하겠다고 발표했다. 이 거래소는 금융기관, 기타 주요 산업 이해 관계자 및 연방정부 기관으로 구성되며, 목표는 랜섬웨어 지불 문제를 해결하기 위한 차후 단계를 알리는 것이다.  이번 발표는 새로운 그룹이 랜섬웨어 문제에 대한 널리 알려진 해결책인 랜섬웨어 행위자에 대한 지불을 중단시킬 방법을 검토할 것이라는 언급에 지나지 않는다. 핀센의 임시 책임자인 마이클 모지에는 “이 강탈 행위는 우리의 집단 안전을 위협하기 때...

랜섬웨어 미국 러시아 2021.07.20

갑자기 사라진 랜섬웨어 그룹 '레빌', 피해 기업은 시스템 복구 불가

악명높은 레빌(REvil) 랜섬웨어 그룹이 운영하는 다크 웹 사이트가 7월 13일 갑자기 온라인에서 사라지면서 미국 또는 러시아 정부의 개입설이 나돌고 있다. 한편 이 그룹의 공격을 받은 피해 기업과 이들의 데이터 복구를 돕는 보안업체는 더 어려운 상황에 처하게 됐다.   몸값 협상 서비스 제공업체 그룹센스(GroupSense)의 인텔리전스 서비스 부문 부사장인 마이크 파울러는 “피해 기업은 암호화된 네트워크를 복원하는 데 필요한 해독 소프트웨어를 구할 수 없게 됐다. 그룹센스 고객 중에도 해당 사례가 있다”면서, “이들을 급습한 사법 기관이 피해 기업의 암호화 키에 상응하는 해독 키를 구하는 데 필요한 소프트웨어를 확보했기를 바랄 뿐이다. 그렇지 않다면 피해 기업이 다른 방법으로 데이터를 복구하는 것은 현실적으로 불가능하다”라고 밝혔다. 갑자기 사라진 레빌  엠시소프트(Emsisoft), 그룹-IB(Group-IB), 그룹센스를 포함한 여러 사이버 범죄 인텔리전스 업체는 레빌의 웹사이트가 7월 13일부터 접속되지 않는 상태임을 확인했다. 여기에는 이 그룹이 대외 홍보 활동과 피해자 공개에 사용하는 웹사이트, 그리고 피해자가 몸값을 확인하고 웹 채팅 인터페이스를 통해 공격자와 대화할 수 있는 결제 사이트도 포함된다. 어떤 이유로 사이트 운영이 중단됐는지 아직 공식적으로 확인되지는 않았지만 사이버 위협 인텔리전스 업계에서는 레빌의 활동을 추적해 온 미 정부 또는 사법 기관이 움직인 것으로 보고 있다. 미국의 조 바이든 대통령은 7월 9일 러시아 블라디미르 푸틴 대통령에게 러시아에서 활동하는 랜섬웨어 그룹이 활동을 멈추지 않을 경우 미국이 조치를 취할 준비가 되어 있다고 경고했고, 그 이후에 레블의 웹 사이트가 사라졌기 때문이다. 바이든은 기자들에게 “푸틴에게 근원지가 러시아인 랜섬웨어 공격이 발생할 경우, 설령 러시아 정부의 후원을 받지 않는 공격이라 해도 미국이 그들의 정체에 관한 충분한 정보를 제공하면 러시아 측이 조치를 취할 것으...

랜섬웨어 레빌 REvil 2021.07.15

재해 복구 실행 이전에 해야 할 랜섬웨어 복구 프로세스

컴퓨팅 환경이 대규모 랜섬웨어 공격을 당할 위험이 있다면, 대부분 재해복구 계획을 세울 것이다. 하지만 시스템을 복구하기 전에 감염을 중단시키고 공격을 파악한 다음, 제거하는 작업부터 해야 한다. 복구 단계를 너무 성급하게 실행하면, 사태를 더 악화시킬 수도 있다. 성급한 복구가 문제가 되는 이유는 랜섬웨어가 어떻게 작동하는지를 이해하면 알 수 있다.     랜섬웨어가 확산하는 방법 랜섬웨어가 무슨 짓을 하는지를 설명하는 글은 많지만, 랜섬웨어의 목표가 단지 시스템 한 대를 감염시키는 것이 아니라는 사실을 강조하는 것이 중요하다. 현대화된 랜섬웨어 변종은 다양한 운영체제의 취약점을 찾아내 관리자 액세스를 확보하고 LAN의 나머지 영역으로 확산한다. 공격은 C&C 서버를 통해 조정되는데, 명령을 받기 위해 이들 서버와 접촉하는 것이 모든 랜섬웨어 변종이 제일 먼저 하는 일이다. 랜섬웨어 대응의 핵심은 이들 C&C 서버와의 추가 커뮤니케이션을 차단하는 것은 물론, 감염된 시스템과 LAN의 나머지 시스템 간의 커뮤니케이션도 차단하는 것이다. 지금 감염된 상태가 아니라면, 이제는 네트워크 환경에 맞춰 대응 계획을 세우고, 이를 재해복구 계획처럼 테스트해야 한다.    도움을 얻을 수 있는 곳 대규모 랜섬웨어 공격은 혼자서 막을 수 있는 것이 아니다. 지옥문이 열렸다고 느껴질 때, 이를 중단하고 복구하는 데 도움을 줄 곳은 많으며, 기업도 관련 기관이 범인을 체포하는 데 도움이 될 수 있는 조처를 취해야 한다. 랜섬웨어 대응 계획의 일부로 이런 곳의 연락 정보가 포함되어야 한다. 사이버 보험 정책이 있다면 매우 유용한데, 대응 과정에서 지침을 줄 수 있는 전문가와 연락할 수 있기 때문이다. 공격을 받기 전에 이들과 연락해 대응 프로세스와 문서를 구축하기 바란다. 이런 정책이 없다면, 새로 마련하는 것도 고려해야 한다. 지역 사법기관에도 즉각 연락해야 한다. 공격의 범위와 특성에 따라 이들 사법기관이 개입하는 정...

랜섬웨어 재해복구 프로세스 2021.07.13

IDG 블로그 | 클라우드는 랜섬웨어 안전지대 아니다

날로 증가하는 랜섬웨어 공격은 클라우드 배치까지 위협할 수 있다. 탐재-대응-복구 접근법으로 시스템을 보호해야 한다. 랜섬웨어는 날마다 사고 뉴스를 만들어내고 있으며, 향후 몇 년 간은 이런 뉴스가 끊이지 않을 것으로 보인다. 공격자는 대부분 태만하거나 전문 지식이 없는 곳을 노리는데, 조만간 클라우드까지 넘볼 가능성이 크다.   퍼블릭 클라우드에 대한 공격이 많지 않은 것은 온프레미스의 시스템보다 더 잘 유지보수하고 업데이트하며, 더 나은 보안 시스템을 사용하기 때문이다. 하지만 대부분 보안 전문가들이 지적하는 것처럼 100% 안전한 것은 없으며, 클라우드 보안은 완전히 최적화되려면 여전히 몇 가지 진화해야 할 것이 있다. 하지만 클라우드 보안이 완벽해지기를 기다리고 있을 수는 없다. 현재 클라우드에 주어진 임무는 클라우드 기반 시스템에 대한 랜섬웨어를 비롯한 여러 공격을 방지할 베스트 프랙티스를 찾는 것이다. 결론은 탐지-대응-복구 접근법이다. 탐지. 보안 모니터링은 랜섬웨어에 대한 최고의 방어 수단이다. 여기에는 공격 시도를 탐지하는 것은 물론, 피싱 이메일처럼 랜섬웨어 공격이 클라우드 기반 시스템에 침투할 수 있는 여러 경로를 모니터링하는 것도 포함된다. 탐지는 선제적이어야 한다. 클라우드 서비스 업체의 네이티브 클라우드 시스템을 이용해 방어막을 구축하는 것은 물론, 모든 시스템을 적극적으로 감시해야 한다. 실패한 로그인 시도, CPU와 I/O 잠식, 심지어 권한 있는 사용자의 의심스러운 행위까지 감시해야 한다. 일단 위협을 탐지하면 대응해야 한다. 대응. 대응은 반드시 자동화해야 한다. 보안 책임자에게 문자와 이메일을 보낸다면, 너무 늦다. 자동화된 시스템은 의심스러운 특정 IP 주소를 차단하고 의심스럽게 동작하는 프로세스를 자동으로 죽일 수 있다. 이외에도 모니터링한 활동을 기반으로 계정의 패스워드 변경을 강제해 클라우드 계정 탈취를 막을 수도 있다. 공격이 성공한 경우에는 백업을 개시해 좀 더 신속하게 복구 단계를 이행할 준비...

랜섬웨어 사고대응 희생자 2021.07.12

랜섬웨어 회담, “바이든이 푸틴을 협상 테이블에 앉힐 수 있을까?"

랜섬웨어 재앙을 끝내라는 압박 속에 미 백악관은 거센 역풍에 직면해 있다. 문제는 협상 대상자인 러시아의 푸틴 대통령은 현재 상황을 바꿀만한 이유가 없다.    미국이 러시아 랜섬웨어 공격에서 벗어나자마자 또 다른 공격 집단인 레빌(REvil) 위협 그룹이 플로리다 소재 소프트웨어 업체인 카세야(Kaseya)에 대한 공격이 발생했다. 미국 내에서 벌어지고 있는 범죄 행위에 대해 미국은 러시아에 책임을 묻기 위한 수사를 강화하고 있다.  백악관 대변인 제니퍼 사키는 7월 7일 기자간담회에서 카세야 공격에 대해 미국 국가 안보의 고위급 관계자가 러시아 고위 관리와 접촉하고 있다고 말했다. 또한 다음 주에는 랜섬웨어에 초점을 맞춘 미국 러시아 양국 간의 또 다른 회의가 있을 예정이라고 말했다.  사키는 또한 러시아에 경고를 전달했다. 사키는 “바이든 대통령이 지난달 정상회담에서 푸틴 대통령에게 분명히 밝혔듯이, 러시아 정부가 러시아에 거주하는 범죄 행위자에 대해 조치를 취할 수 없거나 하지 않을 경우, 우리는 스스로 조치를 취할 권리를 보유할 것이다”라고 말했다. 다음 날인 7월 8일 바이든 미국 대통령은 백악관 상황실에 법무부와 국토안보부 핵심 참보들을 소집해 랜섬웨어 전략회의를 열었다. 이 브레인스토밍의 결과는 아직 명확하지 않지만 랜섬웨어 재앙을 끝내야 한다는 압박이 미 행정부에 가해지고 있다는 것은 확실하다.    크라우드스트라이크(Crowdstrike) 공동창립자 드미트리 알페로비치와 윌슨 센터의 켄난 연구소(Kennan Institute) 소장 매튜 로잔스키는 러시아 대통령인 블라디미르 푸틴에게 랜섬웨어에 대한 최후 통첩을 하라고 바이든 대통령에게 촉구하기도 했다.  로잔스키는 “푸틴이 바이든의 요구대로 랜섬웨어 문제를 심각하게 받아들이기로 결정한다면 러시아 보안 관리들은 공격자를 신속하게 식별하고 기소해 미국을 포함한 전 세계 기업에 대한 피해를 막기 위해 데이터 잠금을 해제하도록...

랜섬웨어 미국 바이든 2021.07.09

랜섬웨어 억제, "국제 협력과 지불 방해가 열쇠"

랜섬웨어(Ransomware)는 경미한 사이버 범죄로 시작해 국가 안보를 위협하는 위기로 진화했다. 콜로니얼 파이프라인 공격(Colonial Pipeline attack)과 같은 사건은 랜섬웨어 범죄가 양호한 보안 관행이 없는 특정 기업뿐 아니라 국민 전체에게 영향을 줄 수 있음을 보여줬다. 랜섬웨어는 사람들의 삶을 단절시키고 의료 등의 기본적인 서비스를 제공받지 못하도록 방해할 수 있다.     미국 백악관은 랜섬웨어를 억제할 수단을 찾고 있다. 랜섬, 즉 몸값은 암호화폐로 지급되는 것이 보통이기 때문에 이에 대한 추적을 강화하는 것도 한 가지 방법이다. 하지만 비트코인 거래소가 전세계에 흩어져 있고 느슨한 규제만을 준수하면 되기 때문에 추적하기가 쉽지 않다.   미국은 암호화폐 거래를 좀 더 투명하게 만들고 범죄 집단을 해체하기 위해 국제적인 협력을 바라고 있다. 랜섬웨어는 영국에서 열린 G7 정상회담의 논의 안건이었고, 여기서 정치 지도자들은 모든 국가가 자국 내에서 활동하는 랜섬웨어 범죄 네트워크를 빠르게 식별하고 와해시키도록 촉구했다. 또한 스위스 제네바에서 열린 후속 회의에서 미국의 조 바이든 대통령은 러시아의 블라디미르 푸틴 대통령에게 ‘공격을 받아서는 안 되는’ 16가지 핵심 인프라 목록을 제시했다.   보안 연구원들은 이런 조치가 랜섬웨어의 성장을 어느 정도 늦출 것이라면서 환영하면서도 기업이 랜섬웨어 위협에 맞서 보안을 계속해서 강화해야 한다고 말했다.   유효한 랜섬웨어 규제, 국제 협력이 필수   4월 말, 보안기술연구소(the Institute of Security and Technology)의 랜섬웨어 태스크 포스(Ransomware Task Force)는 48가지 권고안을 발표했고 이를 백악관에 전달했다. 보안업체, 정부, 법 집행기관, 국제 단체, 민간 단체에서 일하는 수십 명의 전문가가 이 랜섬웨어 권고안에 기여했다.   랜섬웨어 태스크 포스의 일원이었던 래...

랜섬웨어 랜섬 몸값 2021.07.07

미국 4개주, 랜섬웨어 몸값 지불 금지 법안 발의 '효과는 글쎄'

미국 일부 주에서는 랜섬웨어 몸값 지불을 제한하거나 금지할 수 있는 법안을 논의하고 있다. 전문가들은 랜섬웨어 공격 신고를 의무화하는 것이 더 좋은 선택이라고 주장한다.          콜로니얼 파이프라인(Colonial Pipeline)과 최대 육류 생산업체 JBS에 대한 대대적인 랜섬웨어 공격 이후, 일부 정부 관계자는 의회와 행정부가 랜섬웨어 협박자들에게 몸값을 지불하는 것을 금지할 것을 요구했다. 이런 금지 법안의 목표는 '랜섬웨어 공격자에게 같은 범죄를 부추기는 돈을 지불하지 마라'라는 FBI의 현재 조언을 성문화하는 것이다.  미 연방 수준의 일부 지원에도 불구하고 행정부의 공식적인 입장은 전면적인 금지안을 환영하지 않는 것 같다. 국가사이버안보담당 보안 고문 안네 뉴버거는 지난 5월 백악관 언론 브리핑에서 “이는 일반적으로 민간 부문의 결정이며, 현 시점에서는 더 이상의 조언을 제공하지 못한다”라고 말했다. 미 의회나 상원은 아직 몸값 지불을 금지하는 법안을 발의하지 않았다.  미국 4개 주 의회, 몸값 지불 금지 발의  그러나 주 의회 차원에서는 상황이 다르다. 지금까지 4개 주는 몸값 지불을 금지하거나 실질적으로 몸값 지불을 제한하는 5개의 법안이 계류 중이다. 뉴욕 주 상원법안 S6806A는 사이버 사고 또는 사이버 몸값, 랜섬웨어 공격 시 정부 기관, 기업, 의료기관이 몸값을 지불하는 것을 금지하고 있다.  뉴욕 주의 또 다른 상원 법안인 S6154는 지방 정부가 네트워크를 업그레이드할 수 있도록 자금을 제공한다. 그러나 동시에 랜섬웨어 공격에 대응해 몸값을 지불하는데 납세자의 돈을 사용하는 것을 제한한다.  뉴욕은 민간 기업이 몸값을 지불하지 못하도록 제한하고 있다. 노스캐롤라이나 주 하원법안 813호, 펜실베니아 상원법안 726호, 텍사스 주 하원법안 3892호는 모두 몸값을 지불하는데 주 및 지방 납세자의 돈이나 기타 공금을 사용하는 것을...

랜섬웨어 몸값 2021.06.30

토픽 브리핑 | 사이버 공격의 시작 "피싱"과 대응 방안

코로나 19 시대를 보내면서 기업의 취약점과 제로데이에 대한 대응이 많이 향상됐다. 그 결과 공격자는 피싱(Phishing) 공격을 통한 사용자를 노리는 방법으로 전환했다. 한 기업의 보안은 가장 약한 고리의 세기만큼 강하다. 일반적으로 가장 약한 고리는 바로 인간, 사용자와 관련이 있다. 실제로 버라이즌의 2020년 데이터 유출 조사 보고서에 따르면, 피싱이 데이터 유출과 관련된 가장 많은 위협 활동으로 나타났다.    피싱은 위조된 이메일을 무기로 사용하는 사이버 공격이다. 피싱의 목표는 이메일 수신자가 그 메시지를 자신에게 필요한, 또는 자신이 원하는 메시지로 여기게끔 속이는 것이다. 예를 들어 은행에서 발신한 정보 요청 메일, 회사 내의 동료가 보낸 메시지라고 생각해 링크를 클릭하거나 첨부 파일을 다운로드하도록 유도한다. 대표적인 사이버 공격 "피싱"의 방법과 이를 예방하는 법 ‘문자 메시지를 통한 피싱’ 스미싱의 정의와 이를 막는 방법 피싱은 공격 기술 측면에서 낮은 편에 속한다. 물론 집중적이고 개인화된 피싱 공격인 스피어피싱(spear phishing)이나 고위급 또는 고액의 목표물에 초점을 맞춘 피싱 공격인 웨일링(whaling)과 같은 훨씬 더 정교한 피싱 변종 공격도 있지만, 이 공격들은 기술보다는 소셜 엔지니어링에 초점을 맞추고 있다.  표적화된 이메일 공격을 멈추기가 어려운 이유 "스피어 피싱의 이해" 민감한 데이터 보유한 고위 임원, 피싱·랜섬웨어의 새로운 '먹잇감' "피싱 성공 후 2시간 만에 네트워크에 칩입" 카바낙의 해킹 운영방법…비트디펜더 그러나 피싱은 많은 네트워크와 엔드포인트 보호 솔루션을 우회하기 때문에 가장 효과적인 공격 유형 가운데 하나다. 피싱의 가장 큰 특징은 메시지의 형식이다. 공격자는 수신자가 신뢰하는 주체 또는 실존 인물이나 실제 있을 법한 인물, 또는 거래 협력업체를 가장한다. 피싱은 1990년 대부터 시작된 가장 오래된 사이버 공격 형태 가운데 하나인데, 최근 피싱 메시...

피싱 스미싱 스피어피싱 2021.06.11

FBI, 콜로니얼 파이프라인 랜섬웨어 공격자 암호화폐 지갑 230만 달러 압수

FBI가 콜로니얼 파이프라인 랜섬웨어 공격에 사용된 암호화폐 지갑 230만 달러어치를 압류한 것으로 알려졌다. 이번 압수는 다른 피해자들이 사법당국과 더 잘 협력하도록 장려하는 한편, 랜섬웨어 공격자의 운영을 더 힘들게 만들 수 있다.    지난 6월 7일 미 법무부는 콜로니얼 파이프라인(Colonial Pipeline)이 다크사이드(DarkSide) 랜섬웨어 공격자에게 5월 8일 지불한 금액의 일부로 추정되는 약 230만 달러 상당의 63.7 비트코인을 압수했다고 발표했다.   콜로니얼 파이프라인은 5월 7일 회사가 발표한 심각한 랜섬웨어 공격 이후 시스템의 전체 지능을 복원하기 위해 총 440만 달러의 비트코인 몸값을 사이버 범죄자에게 지불했다고 시인했다.  미 캘리포니아 북부지방 검찰청 특별검사부와 자산 몰수 부서(Asset Forfeiture Unit)는 캘리포니아 북부지방법원 치안판사가 압수수색 영장을 승인하자 곧바로 비트코인 지갑을 압수했다. 다크사이드 공격자는 지난 5월 중순, 결제 서버 등 일부 서버에 대한 통제력을 상실하고 미국의 ‘압박’으로 폐쇄한다고 발표한 바 있다. 이를 감안한다면 지갑 압수 소식은 그리 놀랄 일은 아니다. 당시 다크사이드는 자금의 일부가 미지의 계좌로 인출됐다고 진술했다.    '돈의 흐름을 쫓아라'라는 수사 격언은 여전히 작동  미 법무부 법무차관 리사 모나코는 언론 브리핑에서 “‘돈의 흐름을 쫓아라’라는 옛 격언이 여전히 적용된다”라고 말했다. 콜로니얼 파이프라인이 사법당국에 신속하게 통보한 후, 7일 새벽 미국 캘리포니아 북부지방 법원에서 발부한 압수 수색 영장에 따라 법무부는 몸값의 대부분을 찾아 냈다. 콜로니얼은 지난달 랜섬웨어 공격의 여파로 다크사이드 네트워크에 돈을 지불했다.  지갑의 표적 압수는 특히 석유 및 가스 파이프라인과 같은 매우 중요한 기반 시설을 대상으로 하는 점점 더 파괴적인 랜섬웨어 공격을 약화시키는 것을 목표로 한...

FBI 콜로니얼 랜섬웨어 2021.06.10

지능형 위협, “SIEM과 위협 인텔리전스 결합 통해 해결했다” 사례로 본 지능형 위협과 기업의 대응 전략 - IDG Summary

모든 것이 연결되는 세상이 오면서 네트워크의 가치는 커졌지만, 이에 따른 위협 또한 심각해지고 있다. 랜섬웨어, 공급망 공격, APT와 같은 지속적 표적 공격 등은 IT를 넘어 이제 OT에 대한 위협까지 확산되면서 그 위험은 점점 광범위해지고, 또한 강력해졌다. 문제가 되는 것은 90%의 범용적인 악성코드나 알려진 취약점을 이용한 공격이 아니라 10%의 APT 공격과 같이 매우 지능적이고 해당 기관/기업을 표적으로 하는 공격이다. 기업의 지능형 위협 피해 사례는 무수히 많다. 하지만 공격자는 물론이고, 피해자나 보안공급업체 모두가 정보 공개를 꺼리기 때문에 다른 기관/기업도 똑같은 유형의 피해를 입게되는 경우가 많다. 이에 지능형 위협 피해 사례를 4개의 유형으로 나눠 각 기업이 당한 공격 방식과 대처한 방법에 대해 알아보자.  주요 내용  - 사이버보안 과제의 변화 - A 기업의 기밀 정보 유출 피해와 대응 - 고객 신용카드 정보를 유출당한 B 인터넷쇼핑몰의 대응 - C 기관의 ERP가 멈춘 이유와 대응 - 모바일/ 랜섬웨어 공격으로 인한 D 기업의 피해와 대응 - 위협 인텔리전스가 제공해야 할 기본 정보 - 탁월한 보안 기술력을 기반으로 한 카스퍼스키 위협 인텔리전스

위협인텔리전스 SIEM 사이버보안 2021.06.10

랜섬웨어에 대비할 수 있는 노트북 백업 방법

원격으로 일하는 사람이 늘어나면서 노트북에 있는 기업 데이터를 효율적으로 백업하는 것이 중요해졌다. 노트북 데이터 백업은 기업의 LAN에 연결되어 있는 데스크톱을 위한 전통적인 백업 시스템과 다른 기능을 필요로 한다. 노트북은 데스크톱의 모든 기능을 가지고 있지만, 분실과 도난에 취약하며 회사 리소스에 연결하기 위한 대역폭이 제한되고, 예기치 못하게 연결이 끊겨 시간을 소비할 수도 있다. 따라서 이러한 문제점을 극복하면서도 랜섬웨어 공격을 방어할 수 있는 백업 옵션을 찾아야 한다. 노트북을 적절히 백업하면, 특히 원격 작업의 세계에서 더 쉽게 업그레이드할 수도 있다. 좋은 백업 시스템은 사용자의 프로필 및 데이터를 복구하고 IT 부서와 개인이 쉽게 노트북을 교체할 수 있도록 해준다. 올바른 시스템을 갖추면 새 노트북을 배송하기만 하면 IT 팀 개입 없이도 사용자가 직접 프로필을 복원해 시간, 노력, 비용을 절감할 수 있다.     휴대용 하드디스크 드라이브의 단점 노트북 데이터를 휴대용 하드디스크 드라이브에 백업하는 것도 가능하지만, 기업에 좋은 선택지는 아니다.  우선, 3개의 데이터 카피를 2개의 다른 미디어에 보관하고, 그중 1개는 다른 위치에 있어야 한다는 3-2-1 규칙에 반한다. 노트북 옆에 있는 하나의 미디어에 하나의 카피만 보관하게 되기 때문이다. 이 방법은 기업 IT 관점에서도 좋지 않다. 중앙 통제나 백업 프로세스와 관련된 보고가 불가능해서 신뢰하기 어렵기 때문이다. 수백 또는 수천 개의 암호화되지 않은 기업 데이터가 휴대용 하드디스크 드라이브에 존재하게 되어 물리적 보안 문제를 야기한다. 휴대옹 하드디스크 드라이브를 다른 노트북에 연결해 모든 데이터를 읽기는 매우 쉽다.   전통적 백업 소프트웨어의 한계점 또 다른 옵션은 데이터를 파일 레벨로 백업하는 전통적인 백업 소프트웨어를 사용하는 것이다. LAN에 연결된 데스크톱에 잘 맞는 방법이지만, 노트북에는 아니다. 우선, 노트북은 항상 연결상태가 ...

노트북 랜섬웨어 백업 2021.06.01

랜섬웨어와 함께 더욱 강력해지는 DDoS 공격, 데이터 갈취에 이용 증가

랜섬웨어(Ransomware)는 사이버 범죄 생태계의 중심으로 부상하면서 2020년 한 해 동안 전 세계적으로 10억 달러의 피해를 입혔고 덕분에 범죄자들은 막대한 수익을 챙겼다. 이와 동시에 이전부터 기업을 갈취하는데 사용됐던 분산 서비스 거부(Distributed Denial-of-Service, DDoS) 공격이 기세를 다시 올렸다. 랜섬웨어 그룹은 공격 대상 기업을 한층 더 압박하기 위한 수단으로 DDoS를 사용한다.    CDN 및 DDoS 대응 업체가 발행한 여러 연간 보고서에 따르면, 2020년은 DDoS 공격이 횟수와 규모, 사용된 공격 벡터의 수, 3가지 측면 모두에서 사상 최대치를 기록한 해다. 이와 같은 DDoS 갈취의 재유행은 코로나 19의 영향일 가능성이 높다. 코로나 19로 인해 기업들이 대부분의 직원을 대상으로 원격 작업 기능을 열어줄 수밖에 없었고, 결과적으로 비즈니스 운영 중단에 더 취약해지면서 공격자의 시각에서는 돈을 뜯기도 더 쉬워 보였을 것이다. 이 추세는 2021년에도 지속됐다. 아카마이(Akamai)에 따르면, 지난 2월 중 발생한 DDoS 공격 중에는 역사적으로 가장 규모가 큰 6개 DDoS 공격 가운데 3개가 포함됐다. 또한 2021년 1분기 중 발생한 50Gbps 이상 DDoS 공격의 수가 2019년 전체 수를 합친 수보다 많다. 아카마이는 50Gbps 이상의 공격은 대 DDoS 방어 수단을 갖추지 않은 대부분의 온라인 서비스를 오프라인으로 내릴 수 있는 위력을 가졌다고 분석했다.  DDoS 갈취의 귀환 DDoS 공격의 동기는 부도덕한 기업 소유자가 경쟁업체의 서비스를 중단시키려는 경우, 핵티비스트가 자신이 동의하지 않는 행위를 하는 조직에 메시지를 보내는 경우, 그리고 다양한 그룹 간의 경쟁심으로 인한 단순한 반달리즘(vandalism)에 이르기까지 다양하다.  그러나 갈취는 오래 전부터 DDoS의 핵심적인 동기 가운데 하나이며, DDoS 공격을 감행하는 데는 큰 투자가...

DDoS 랜섬웨어 2021.05.25

IDG 블로그 | 쓸 만한 사이버 보안은 클라우드에 있다

다소 과장된 말인지는 모르지만, 이제 단 일주일도 데이터 유출이나 랜섬웨어 공격에 관한 뉴스 없이 지나가는 날이 없다. 더구나 이런 사고가 송유관 해킹처럼 일반인의 삶에도 영향을 끼친다는 점에서는 더욱 더 절망적이다.    남의 일이라고 쉽게 말하는 것 같지만, 이런 사고에는 공통된 패턴이 있다. 해당 기업이 효과가 떨어지는 보안 기술을 사용하고, 아마도 현장에 있는 보안 인력 역시 마찬가지일 것이다. 말하자면 그렇다. 이렇게 공격이 증가하면서 일부 조직은 생각을 바꿨다. 프랑스 정부는 최근 프랑스의 가장 민감한 국가 정보와 기업 데이터 일부를 퍼블릭 클라우드에 저장할 수 있다고 밝혔다. 구글과 마이크로소프트가 개발한 기술을 지목했는데, 이들 업체가 프랑스 기업에 라이선스를 제공하면 가능한 일이 됐다. 로컬 시스템만을 신뢰하던 프랑스 정부의 기존 입장에서 180도 달라진 것이다. 프랑스 재무장관 브루노 르 마레를 비롯한 몇몇 장관은 전략적인 계획의 일부를 공개했다. 이들은 보안 분야에서 미국의 기술적 우위에 대해 언급했는데, 자체 개발한 대안 기술을 주창하던 기존 유럽 정치인과는 대조적이다.  퍼블릭 클라우드 보안은 보통 가장 좋은 보안 방안으로 평가되는데, 가장 많은 연구개발비가 투여되기 때문이다. 하이퍼스케일 클라우드 서비스 업체 자체는 물론 수많은 서드파티 보안 솔루션 업체가 떠오르는 퍼블릭 클라우드 컴퓨팅에 투자하고 있다. 이들 서드파티 보안 솔루션 업체는 멀티클라우드와 크로스 클라우드 보안이 대중화되면서 더욱 중요해졌다 또 하나의 요소는 클라우드에 있는 데이터는 온전히 관리되고 모니터링된다는 사실이다. 해커가 데이터에 도달하기 위해서는 많은 보호 계층을 뚫어야 하며, 이들의 움직임은 CPU나 I/O 소비가 정상적이지 않다는 경보를 울리기 쉽다. 또한, 이런 종류의 공격으로 잘 알려진 지역에서 오는 IP 접속도 감시한다. 클라우드 자체를 뚫어야 하고, 그 다음에 다른 보호 계층을 또 침투해야 한다. 이 때문에 해커는...

클라우드 보안 랜섬웨어 2021.05.24

다크사이드 랜섬웨어의 동작 방식과 배후

다크사이드(DarkSide)는 최소한 2020년 8월부터 활동을 시작한 랜섬웨어이며, 미국 조지아 주의 콜로니얼(Colonial) 파이프라인을 공격하는 데 사용됐다. 이 공격으로 미국 동부 해안선을 따르는 석유 공급에 큰 차질이 발생했다.   다크사이드 악성코드는 다른 유명 랜섬웨어 위협과 마찬가지로 제휴 프로그램을 통해 다양한 사이버 범죄자에게 서비스로 제공되며, 파일 암호화와 데이터 절도를 결합한 이중 갈취 수법을 사용하고 수동 해킹 기법을 사용해 침해된 네트워크에 배포된다. 최근 보고서에서 위협 인텔리전스 업체인 플래시포인트(Flashpoint) 연구진은 “다크사이드 배후의 위협 행위자들은 러시아에 기반을 두고 있으며 이전 REvil RaaS(Ransomware as a Service) 그룹과 연계되었을 가능성이 높다”라고 밝혔다.  도덕적 원칙을 내세우는 PR에 능란한 그룹 연구진에 따르면, 다크사이드 제작자들이 처음에는 모든 공격 캠페인을 직접 실행했지만 몇 개월 후부터 다른 그룹에 랜섬웨어를 제공하고 러시아어로 된 지하 포럼에서 판매하기 시작했다. 이들은 서비스 출시를 발표하면서 잘 알려진 과거의 크립토로커(cryptolocker)와 연계해 이미 수백만 달러의 수익을 거두었다고 주장했다. 이 그룹은 기자들에게 침해에 대한 더 자세한 정보와 비공개 정보를 얻으려면 그룹이 운영하는 웹사이트에 등록할 것을 독려하며, 미디어의 모든 질문에 24시간 이내에 응답한다고 약속했다. 또한 대규모 IT 부서가 없는 피해 기업이 돈을 지불한 뒤 데이터를 해독하는 데 도움을 줄 수 있는 데이터 복호화 업체를 초대하기도 했다. 또한 '원칙'에 따라 의료 기관, 코로나 백신 연구 및 유통 기업, 장례 서비스, 비영리 기구, 교육 기관 또는 정부 조직을 공격하지 않는다고 주장했다.   콜로니얼 파이프라인을 공격한 이후, 그룹은 다음과 같은 성명을 통해 앞으로 제휴 조직이 침투하는 피해 기업과 이들이 암호화하는 데이터를 점검하고 감독하겠다...

다크사이드 DarkSide 랜섬웨어 2021.05.17

'가장 흔한 랜섬웨어 공격 경로' 악성 오피스 파일을 막는 방법

맥아피(McAfee)는 최근 쿠바(Cuba) 랜섬웨어에 대한  연구 결과를 공개했다. 이들 공격자는 기업의 돈을 갈취하기 위해 데이터를 유출하는 쪽으로 방향을 돌렸다.   보고서를 보면, 먼저 공격자는 랜섬웨어를 활성화하기 전에 네트워크에 액세스했다. 네트워크를 조사하고 네트워크를 공격하는 최선의 방법을 찾기 위해서였다. 이후 파워쉘(PowerShell) 명령을 사용해 네트워크 안에서 횡 방향으로 이동했다. SysWOW64 폴더에서 Powershell -windowstyle hidden 명령을 사용해 호출하고 사용자에게는 숨겼다. 이 랜섬웨어는 공격자에게 유연성을 제공하기 위해 러시아어 등의 특정 언어를 찾았다. 그리고 각 워크스테이션이 액세스하는 대상과 각 워크스테이션에 대한 마지막 연결을 검토해 더 많은 대상을 확보했다. 또한 공격자는 SeDebugPrivilege 프로세스를 사용해 권한을 높였다. 공격 시퀀스를 통해 SQL, 이메일, 기타 통신 프로세스와 관련된 것 등을 포함해 특정 서비스를 비활성화했다.   공격자가 좋아하는 윈도우 권한 윈도우 권한은 다른 공격에서 악용되는 경우가 많다.   SeCreateTokenPrivilege는 토큰(Token) 객체를 생성하지만 권한을 높이기 위해 사용할 수 있다. SeBackupPrivilege는 모든 파일에 대한 모든 읽기 액세스 권한을 부여한다. 공격자는 이를 사용해 네트워크에 관한 정보를 수집할 수 있다. SeDebugPrivilege는 다른 계정이 소유한 프로세스의 메모리를 디버그(Debug)하고 조정하는 데 필요하다. 공격자는 이를 사용해 감지를 피하고 자격 증명 액세스를 확보한다. SeLoadDriverPrivilege는 장치 드라이버 로딩 또는 언로딩에 필요하다. 공격자는 이를 사용해 방어책을 회피하는 경우가 많다. SeRestorePrivilege는 복원 작업 수행에 필요하다. 이것은 시스템이 모든 파일에 대한 모든 쓰기 액세스 권한을 부여하도록 한다. ...

랜섬웨어 악성오피스파일 윈도우권한오용 2021.05.10

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.