Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

사이버 위협 환경 더 나빠졌다⋯"기업 66% 랜섬웨어 피해 입어"

사이버 위협 환경이 갈수록 나빠지고 있다. 전 세계 31개국 IT 전문가 5,600명을 대상으로 한 설문조사 결과를 담은 소포스의 ‘2022 랜섬웨어 현황(The State of Ransomware 2022)’에 따르면 전체 응답 기업의 72%가 지난해 사이버 공격의 규모, 복잡성, 영향이 증가했다고 밝혔다.    랜섬웨어만 놓고 보면 전체 응답 기업의 66%가 피해를 입었다고 답했다. 전년도 37%에서 크게 증가한 수치다. 팬데믹에 따른 디지털화와 재택근무가 원인으로 추정된다. 아울러 이 걱정스러운 증가세의 또 다른 원인으로는 ‘서비스형 랜섬웨어(RaaS)의 인기’가 꼽혔다. 랜섬웨어 공격을 받았다고 답한 기업의 약 3분의 2(65%)는 공격의 마지막 단계인 데이터 암호화를 당했다. 아시아 태평양 지역에서는 기업의 72%가 랜섬웨어 공격을 받았으며, 이 공격의 72%가 데이터 암호화로 이어졌다. 10곳의 회사 중 9곳은 랜섬웨어 공격이 비즈니스 운영에 영향을 미쳤다고 말했다. 데이터를 되찾기 위해 몸값을 지불했다고 밝힌 비율은 인도(78%)에서 가장 높았으며, 전 세계에서는 기업 2곳 중 1곳 미만이 몸값을 지불한다고 밝혔다.    지역 분석 사이버 보안 업체 소포스(Sophos)의 아시아 태평양 지역 수석 부사장 개빈 스트러더스는 인도가 몸값을 지불했다고 답한 비율이 가장 높은 이유는 데이터 백업 시스템이 제대로 갖춰져 있지 않아 취약하기 때문이라고 진단했다. 두 번째 이유는 랜섬웨어 공격이 보편화되면서 많은 기업이 강화된 방어 수단을 갖추고 몸값 지불을 중단했기 때문이다. 이로 인해 범죄자는 기업의 데이터를 다크웹에 유출하겠다고 위협하는 등의 갈취를 하고 있다. 스트러더스에 의하면 인도 기업은 브랜드와 고객의 개인정보를 침해할 수 있다는 두려움 때문에 더 빠르게 돈을 지불하는 것으로 드러났다.  이러한 2가지 이유는 (인도뿐만 아니라) 아시아 태평양 지역 전체에도 적용될 수 있다. 첫째, 모든...

사이버 보안 랜섬웨어 아시아 태평양 2022.07.13

“의료기관 노린다” 미국 FBI, 마우이 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 악성코드를 사용해 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 설명했다.    연방기관이 주의보를 발령한 가운데, 위협 사냥, 탐지, 대응 전문업체 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면, 마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보인다.   마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 업체 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 평가했다. 시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이라는 것이다. 그는 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다. 이는 중요한 파일만 표적으로 삼고 복구할 수 있게 하며, 운영체제 파일이 암호화됐을 때도 전체...

마우이 북한 랜섬웨어 2022.07.12

"1일 1백업은 재앙"…실시간 기록 및 백업 지원하는 '지속적 데이터 보호'의 중요성

5년 전 NHS 등이 겪은 워너크라이 공격, 그리고 지난해 콜로니얼 파이프라인 보안 사고와 최근 엔비디아 사고까지 랜섬웨어 사건 사고 타임라인은 계속 늘어나고 있다. 사실 복잡한 사이버보안 지형에서 매일 새로운 사건이 1면을 장식하는 일은 거의 없고, 엄청난 혼란을 야기하는 문제도 많지는 않다. 그러나 2021년 IDC 연구에 따르면 전 세계 기업의 약 40%가 어떤 형태로든 랜섬웨어 피해를 경험한 적이 있다. 지난 2월 CISA 보고서는 전 세계의 중요 인프라에 대한 정교하고 영향력이 큰 랜섬웨어 사건 증가를 확인했으며, 미국 핵심 인프라 16개 중 14개가 랜섬웨어 공격의 표적이 되었다고 분석했다. 워너크라이 이후 연간 랜섬웨어 공격은 1억 8,400만 건에서 3억 건 이상으로 60% 이상 증가했다. 여러 전문가가 랜섬웨어 공격이 이제 ‘가능성’이 아니라 ‘시기’의 문제라고 진단했지만 지금은 다시 ‘얼마나 자주 공격받는가’의 문제가 된 것이다.   2017년 이후 점점 정교해지는 랜섬웨어 공격에 발맞춰 사이버보안 업계 대응책도 진화하고 있다. 항상 모든 공격을 예방할 수는 없겠지만, 이제 기업은 다운타임을 줄이고 수 일이 아닌 수 분, 수 초만에 데이터를 복구하는 정교한 대응 방법을 강구할 수 있다.   지속적 데이터 보호 CDP(Continuous Data Protection, 지속적 데이터 보호)도 그중 하나다. 기업 IT는 로컬 및 원격에서 여러 개의 복사본을 빠르게 생성해 규모에 맞게 모든 사이트와 애플리케이션을 빠르게 복구하는 ‘올웨이즈온’ 사본 및 저널링 기술을 고려할 수 있을 것이다. 시스템의 다운타임과 데이터 손실 위험이 있는 기업이라면 1일 전 백업만 보유하는 것은 매우 위험하다. 시간이 지나 데이터 손실의 위험이 커지면 복구 비용은 비약적으로 상승한다. 핵심 데이터를 보호하는 현재의 대다수 접근법은 기간별 스냅샷을 생성해 데이터를 보호하는 수십 년 전의 레거시 솔루션에 의존하는 방법이다. 그러나 항상 활성화되어...

지속적데이터보호 랜섬웨어 워너크라이 2022.07.11

윈도우의 '제어된 폴더 액세스' 기능을 조심해서 써야 하는 이유

2010년대 중반 랜섬웨어 공격이 증가하자 마이크로소프트는 윈도우 사용자와 관리자에게 랜섬웨어 공격으로부터 PC를 보호할 툴을 제공하기 위해 고민했다. 그 결과가 2017년 10월 기능 업데이트에 추가된 '제어된 폴더 액세스(Controlled Folder Access)'라는 기능이다.  설명 문서에 따르면, 제어된 폴더 액세스는 리소스가 제한된 일반 사용자, 홈 PC 사용자, 소규모 기업을 위한 좋은 보호 툴이다. 마이크로소프트는 “제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱과 위협으로부터 귀중한 데이터를 보호하는 데 도움이 된다. 제어된 폴더 액세스는 알려진 신뢰할 수 있는 앱 목록을 기준으로 앱을 검사해 데이터를 보호한다. 윈도우 서버 2019, 윈도우 서버 2022, 윈도우 10, 윈도우 11 클라이언트에서 지원되며 윈도우 보안 앱, 마이크로소프트 엔드포인트 구성 관리자(Endpoint Configuration Manager) 또는 인튠(Intune, 관리형 디바이스에 해당)을 사용해 활성화할 수 있다”고 설명했다.  또한 마이크로소프트에 따르면, 제어된 폴더 액세스는 신뢰할 수 있는 앱만 보호되는 폴더에 액세스하도록 허용한다. 보호된 폴더는 제어된 폴더 액세스가 구성되는 시점에 지정된다. 일반적으로 문서, 사진, 다운로드용 폴더와 같이 자주 사용되는 폴더가 제어된 폴더 목록에 포함된다. 구체적으로 보호되는 폴더는 다음과 같다.   c:\Users\<username>\Documents c:\Users\Public\Documents c:\Users\<username>\Pictures c:\Users\Public\Pictures c:\Users\Public\Videos c:\Users\<username>\Videos c:\Users\<username>\Music c:\Users\Public\Music c:\Users\<username>\Favorites  ...

제어된 폴더 액세스 보안 랜섬웨어 2022.07.08

"아시아 기업 최대 보안 과제는 개인정보 침해와 데이터 손실"

아시아 기업의 12%만이 사이버 위협의 재정적 영향을 정량화한 것으로 나타났다. 전 세계 평균(26%)의 절반에도 못 미치는 수치다.  마이크로소프트 그리고 위험 자문 회사 마시(Marsh)가 공동으로 실시한 설문조사 결과에 의하면 아시아 보안 리더의 3분의 2 이상(69%)이 소속 기업의 사이버 보안 복원력을 확신하고 있으며, 48%는 이를 개선해야 한다고 답했다.    이어 사이버 복원력 현황 보고서(The State of Cyber Resilience)의 아시아판은 아시아 기업이 훨씬 더 많은 수의 개인정보 침해(28%)와 서비스 거부 공격(21%)을 경험했다고 밝혔다. 글로벌 기업은 각각 18%와 14%였다.  아시아 기업은 ‘개인정보 침해 또는 데이터 손실(68%)’을 가장 큰 보안 문제로 봤고, 전 세계적으로는 ‘랜섬웨어(79%)’가 꼽혔다. 따라서 데이터 손실은 사이버 위험 관리 전략에 반영 및 해결돼야 하는 중요한 문제라고 보고서는 지적했다. 글로벌과 달리 아시아에서는 58%만이 랜섬웨어를 가장 큰 사이버 보안 문제라고 지목했다.  올해 초 IBM 시큐리티(IBM Security)의 보고서에 의하면 랜섬웨어는 전체 사이버 공격의 20%를 차지하는 글로벌 공격 유형 1위로 조사됐다. 랜섬웨어의 주요 감염 경로는 피싱 및 취약점 익스플로잇이었다.    아시아 기업은 보안에 수동적인 접근 방식을 취하고 있다 보고서는 아시아 기업이 사이버 보안 사고 대응과 관련해 주로 ‘사후 평가’에 초점을 맞춘 수동적인 접근 방식을 취하고 있다고 밝혔다. 아시아 기업 3곳 중 1곳(34%)은 핵심 보험 요건인 ‘엔드포인트 탐지 및 대응’이 없다고 답했다. 또 26%는 지난 12개월 동안 기기를 개선하지 않았다고 말했다. 이렇게 답한 비율이 글로벌에서는 9%에 불과했다.  아울러 아시아 기업의 3분의 1 이상(35%)은 사이버 공격이나 사고가 발생했을 때만 사이버 위험 관련 신기술을 평가하...

사이버 보안 사이버 위협 사이버 복원력 2022.07.07

블로그ㅣ정보보안 ‘영웅’은 필요하지 않다

많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다!    보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?). 영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예 : 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등).  그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다. 마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다.  조력자가 돼라 자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원더우먼도,...

정보보안 사이버 보안 제품 보안 2022.07.06

해커가 직접 알려주는 랜섬웨어 예방 및 복구 가이드

2021년에는 전년 대비 랜섬웨어 공격을 받은 조직의 수가 102% 급증했습니다. 이러한 추세가 지속되는 상황에서, 기업 및 정부는 데이터와 자산, 네트워크를 보호하기 위한 노력을 강화해야만 합니다. 이 eBook에서는 전직 “Black Hat’ 해커인 헥터 몬세구르(Hector Monsegur)가 공격자의 동기와 공격 방식을 상세하게 설명하고 있습니다. 데이터 보호에 대한 팁과 다음 사항에 대한 인사이트를 확인해보세요.<17p> 주요 내용 - 랜섬웨어 공격이 증가하는 이유 - 공격을 방지하고 데이터 손실을 최소화하기 위해 사전에 취해야 할 조치 - 공격이 발생하기 전에 공격자가 행동하는 방식 - 공격을 식별하고 진행 중인 공격에 대응하는 방법 - 공격 발생 후 데이터 복구 및 복원 방법

랜섬웨어 해커 복구 2022.06.23

“버전 설정 악용해 셰어포인트·원드라이브 파일 해킹할 수 있다” 프루프포인트 연구

개념증명(PoC) 익스플로잇이 발생하면 원드라이드 또는 셰어포인트에 저장된 오피스 365 또는 마이크로소프트 365 문서에 액세스하지 못하게 될 수 있다.  프루프포인트(Proofpoint) 연구진에 따르면 클라우드에 호스팅되는 문서가 랜섬웨어 공격자의 손이 닿지 않는 곳에 있고(랜섬웨어 공격은 전통적으로 엔드포인트 또는 네트워크 드라이브의 데이터를 타깃으로 삼았다), 아울러 클라우드 서비스의 자동 백업 기능으로 (랜섬웨어 공격자의) 암호화가 통하지 않을 수 있지만 그렇다 하더라도 기업들을 난관에 봉착하게 만드는 방법은 여전히 존재한다.  연구진은 오피스 365와 마이크로소프트 365 클라우드에서 마이크로소프트 원드라이브 및 셰어포인트 온라인 서비스의 문서 버전 설정을 악용하는 개념증명 공격 시나리오를 발견했다고 밝혔다. 이런 서비스는 API를 통해 대부분의 기능에 액세스할 수 있기 때문에 명령줄 인터페이스와 파워셸 스크립트를 사용하여 이 잠재적인 공격을 자동화할 수도 있다고 회사 측은 덧붙였다.  문서 버전 수 줄이기 프루프포인트에 의하면  공격 체인은 해커가 1개 이상의 셰어포인트 온라인 또는 원드라이브 계정을 손상시키는 것으로 시작된다. 이는 피싱이나, 사용자 컴퓨터에 맬웨어를 감염시킨 다음 인증된 세션을 하이재킹하거나, 오쓰(OAuth)를 통해 서드파티 애플리케이션에 계정 액세스 권한을 부여하도록 사용자를 속이는 등 다양한 방법으로 이뤄질 수 있다.    이를 통해 공격자는 계정이 손상된 사용자의 모든 문서에 액세스할 수 있게 된다. 셰어포인트에서 이를 문서 라이브러리라고 하며, 기본적으로 여러 문서와 해당되는 메타데이터를 저장할 수 있는 목록이다. 원드라이브와 셰어포인트의 한 가지 문서 기능은 편집할 때마다 자동 저장 기능에서 사용되는 파일 버전 관리다. 기본적으로 문서에는 최대 500개의 버전이 있을 수 있지만 이 설정은 하나의 버전으로만 구성할 수 있다.  연구진은 “셰어포인...

마이크로소프트 원드라이브 셰어포인트 2022.06.20

“누가 맹수에게 먹이를 주는가?” 사이버리즌 랜섬웨어 연구 보고서

최근 몇 년 동안 랜섬웨어는 가장 큰 보안 위협으로 떠올랐다. 다크사이드(Darkside)나 레빌(REvil), 콘티(Conti) 같은 사이버 범죄 집단은 수많은 공격으로 이름을 알렸다. 미국 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline), 육류 생산회사 JBS, 그리고 코스타 리카의 국가 기관 및 단체에 대한 공격이 전 세계 매체의 헤드라인을 장식했다. 코스타 리카 로드리고 차베스 로블레스 대통령은 국가 비상 사태를 선언하기도 했다.   나아가 이들 범죄 단체는 공격 툴을 서비스형 랜섬웨어(Ransomware as a Service)로 제공하면서 알짜배기 수익 모델을 마련했다. 누구든 서비스형 랜섬웨어와 기존 클라우드 인프라를 이용해 블랙메일 사업을 시작할 수 있도록 한 것이다. 랜섬웨어가 이토록 어려운 해결 과제가 된 데는 사이버 범죄 집단과 국가 지원 공격자 간의 경계가 모호하다는 것도 한몫했다.  IT 보안 전문업체 사이버리즌(Cybereason)이 의뢰한 연구 보고서 ‘랜섬웨어 : 기업의 진짜 비용(Ransomware :The True Costs to Business)’ 역시 이들 정치적 목적의 공격자를 ‘국가 통제’ 또는 ‘국가 묵인’ 공격자라고 부른다. 이들 공격자가 속한 국가의 정부는 공격이 정치적 목표에 도움이 되는 한 애써 눈을 감는다.   몸값보다 더 큰 랜섬웨어 피해 비용  랜섬웨어 공격을 받은 기업에 구원자는 없다. 유일한 반격 방법은 금전 요구를 거부하고 백업을 이용해 손상된 시스템을 최대한 복구하면서 공격자가 가로챈 민감한 정보를 공개해버리거나 팔아버리지 않기를 기도하는 수밖에 없다. 다른 방법은 이른바 ‘몸값’을 지불하고 악당이 해독키를 넘겨줘 무사히 시스템을 되돌릴 수 있기를 기대하는 것이다. 두 번째 방법은 언뜻 보기에는 쉽고 단순해 보인다. 하지만 사이버리즌의 조사에 따르면, 공격자에게 몸값을 지불하지 말아야 할 이유는 한둘이 아니다. 몸값을 지불한 기업은 종종 데...

랜섬웨어 몸값 사이버리즌 2022.06.16

글로벌 칼럼 | 러-우 전쟁으로 랜섬웨어 몸값 지불 결정이 복잡해진 이유

암호화폐 포렌식 업체 체인어낼리시스(Chainanalysis)가 수행한 조사에 따르면, 러시아-우크라이나 전쟁이 시작되기 전인 2021년 랜섬웨어로 인한 암호화폐 지불금의 약 75%가 러시아로 흘러간 것으로 나타났다. 이런 단편적인 사실을 잠시 내버려 두고 생각해 보자. 러시아가 제재를 받는 현 상황에서 랜섬웨어 몸값을 지불하는 것이 기업에 어떠한 법적 파문을 일으킬 수 있을까?   디지털 위협 보호 업체 그룹센스(GroupSense)의 CEO 커티스 마인더에게 이런 제재는 협상 및 대응 서비스를 찾아 도움을 요청하는 랜섬웨어 피해자의 손길을 뿌리쳐야 한다는 의미다. 미국 재무부 산하 해외재산관리국(Office of Foreign Assets Control, OFAC)이 발행하는 제재 목록에 저촉될 위험이 있기 때문이다. 지난 2년 동안 수백 건의 랜섬웨어 몸값 지불과 관련해 협상을 진행한 마인더는 특정 OFAC 제재 목록과는 반대로 러시아에 대한 제재는 광범위하고 모호하기 때문에 적절한 인텔리전스와 맥락 없이는 준수하기 어렵다고 말했다. 마인더는 “미국 정부가 러시아 단체에 대한 제재를 점차 강화하고 있다. 따라서 OFAC의 제재 목록이 있더라도 여전히 외부 인텔리전스 및 위험 데이터를 활용해 피해자가 제재받는 단체에 직접 지불하는 것인지, 제재받는 그룹 또는 지역과 어느 정도 관련이 있는 제휴 프로그램을 통해 지불하는 것인지 파악해야 한다”라고 설명했다.  대부분 제재는 랜섬웨어 공격 집단을 방해하고, 피해 기업의 회복력을 강화하고, 암호화폐를 통한 자금 세탁을 어렵게 만들고, 러시아 같은 ‘안전한 항구’를 처리해 랜섬웨어에 대항하고자 하는 백악관 이니셔티브의 연장선에 있다. 물론 러시아가 유일한 제재 국가는 아니다. OFAC는 2019년 북한을 제재 목록에 추가했다. 20년간 FBI의 사이버 및 대정보팀을 관리한 대런 모트는 FBI가 2012년 이후부터 중국 관련 기업들을 제재 목록에 추가하려고 시도했고, 일부 성공했다고 말했다....

랜섬웨어 러시아 우크라이나 2022.06.08

새로운 랜섬웨어 '치어스크립트' 등장 "ESXi 서버 공격해 이중 갈취"

보안 업체 트렌드 마이크로(Trend Micro) 연구팀이 새로운 리눅스 기반 랜섬웨어를 발견했다. ‘치어스크립트(Cheerscrypt)’라고 불리는 이 랜섬웨어는 VM웨어의 ESXi 서버 공격에 사용됐다. ESXi 서버는 같은 하드 드라이브 스토리지를 공유하는 여러 가상머신을 생성하고 실행하는 베어메탈 하이퍼바이저다. 치어스크립트는 록빗(LockBit), 하이브(Hive), 랜섬EXX(RansomEXX) 같은 다른 랜섬웨어 프로그램의 공격 방식을 답습해 ESXi에서 악의적인 페이로드로 한 번에 많은 컴퓨터를 감염시키는 효율적인 방법을 찾아냈다.    보안 인식 교육 업체 노비4(KnowBe4)의 방어 에반젤리스트 로저 그림스에 따르면, 전 세계 대부분 기업이 VM웨어 가상머신을 사용해 운영하고 있다. 그림스는 “랜섬웨어 공격자가 작업하기 쉬운 환경이다. 하나의 서버(VM웨어 서버)만 암호화하면 여기에 포함된 모든 게스트 가상머신을 암호화할 수 있기 때문이다. 한 번의 공격 및 암호화 명령으로 수십에서 수백 대의 가상 실행 컴퓨터를 쉽게 암호화한다”라고 지적했다.  그림스는 “가상머신 솔루션 업체 대부분은 일종의 VM 백업 제품으로 모든 게스트 서버를 백업한다. 따라서 하나의 백업 리포지토리를 찾아서 삭제하거나 손상시키면 호스팅된 모든 게스트 서버의 백업 이미지까지 한 번에 사라진다”라고 덧붙였다.  치어스크립트 공격 집단, ‘이중 갈취’ 기법 사용 트렌드 마이크로 소속 연구원 아리안 델라 크루즈, 바이런 겔레라, 맥저스틴 드 구즈만, 워렌 스토가 블로그에 게재한 설명에 따르면, 치어스크립트 공격 집단은 암호화 경로를 지정하는 입력 매개변수를 획득한 후 모든 VM 관련 파일을 암호화할 수 있는지 테스트하기 위해 모든 VM 프로세스를 종료하는 명령을 실행한다.  또한 연구팀은 치어스크립트 공격 집단이 표적에게 몸값을 얻어내기 위해 이중 갈취(double extortion) 기법을 사용하고 있...

랜섬웨어 이중갈취 치어스크립트 2022.05.27

아시아 태평양 위협 보고서 2022 : 한국을 중심으로

지난 2년 동안 IBM Security X-Force 연구소 분석에 따르면, 전세계적으로 기업을 위협하고 있는 랜섬웨어 (Ransomware) 와 IoT(Internet-of-Things) 봇넷은 한국을 비롯하여 아시아 지역에 대표적으로 조직에 영향을 미치는 주요 보안 위협 중 하나로 꼽히고 있습니다. 이와 더불어 정부 기관 뿐 아니라 상업 기업의 지적 재산을 훔치기 위해 활발하게 활동하고 있는 여러 국가주도 사이버 공격 그룹도 추가로 확인되고 있습니다. 이러한 아시아 태평양 지역을 주요 목표로 설정하는 공격그룹들의 관심과 시도가 한국 기업들에게 지속적인 위험이 될 것입니다. X-Force 연구진은 아시아 태평양 지역에 대한 위협을 관찰하면서 최근 3년의 기간 (2019년 1월~2021년 12월) 에 대한 위협 정보를 분석했습니다. 수집 정보는 X-Force 침해사고대응팀에서 수행된 침해 대응 활동 뿐 아니라, 관제팀에서 모니터링된 서비스 및 엔드포인트 등 다양한 정보를 기반하고 있습니다. 이 수집 정보를 기반으로 IBM X-Force연구소는 사이버 위협 현황을 평가하고, 기업이 진화하는 위협, 연관된 위험 및 사이버 보안 과제에 대한 우선순위를 결정하는 방법을 이해할 수 있도록 지원합니다. <19p> 주요 내용 - 아시아 태평양 지역 대상 주요 공격 유형 - 초기 침입 경로 - 운영 기술(OT)에 대한 위협 - 한국을 겨냥한 주요 위협 그룹

랜섬웨어 봇넷 위협그룹 2022.05.26

"여전히 가장 큰 위협" 워너크라이 5주년을 맞이한 보안 업계의 '말말말'

역사적인 사건이 일어날 당시에 ‘어디서 무엇을 하고 있었는지’ 회상할 수 있는 기회를 좋아하지 않는 사람이 있을까? 지난 며칠은 워너크라이(WannaCry)를 기억하는 시기였다. 워너크라이는 5년 전 수천 대의 컴퓨터를 감염시켜 전 세계 기업에 수십억 달러의 손해를 입힌 악명 높은 랜섬웨어다.    워너크라이는 2017년 5월 12일 정보보안 업계에 등장했다. 취약한 버전의 SMB(Server Message Block) 프로토콜을 이용해 궁극적으로 150개가 넘는 국가에서 약 20만 대 이상의 컴퓨터를 감염시켰다. 마이크로소프트는 공격이 시작되기 한 달도 훨씬 전에 SMB 취약점에 대한 패치를 배포했지만, 패치를 설치하지 않은 컴퓨터는 수백만 대에 달했다. 사상 최대 규모의 랜섬웨어 공격은 영국의 국립보건서비스(NHS), 미국의 대형 배달 기업 페덱스(FedEX), 독일 철도기업 도이치 반(Deutsche Bahn)과 같은 세계적인 대기업에 영향을 미쳤다.  보안 전문가이자 위드시큐어(WithSecure)의 최고연구책임자 미코 히포넨은 “이 역사적인 공격은 사상 최대의 공격 가운데 하나였다. 거의 대기업만을 대상으로 했고 수십만 대의 컴퓨터를 파괴했다. 병원, 자동차 공장, 발전소, 열차 회사 등 전 세계 기업이 감염됐으며, 감염 목록은 현재까지도 계속 늘어나고 있다”라고 말했다. 워너크라이 공격은 북한과 관련된 것으로 알려진 라자루스(Lazarus) 그룹의 소행이었다. 그러나 워너크라이 사건과 관련해 가장 주목할 만한 사항은 그 이후 출현한 전염병, 즉 ‘랜섬웨어’에 눈을 뜨게 했다는 것이다. 사실 랜섬웨어는 새로운 것이 아니었다. 하지만 당시까지 랜섬웨어는 잘 알려지지 않은 악성 프로그램 종류였고, 워너크라이 사건 이후에는 많은 사람이 랜섬웨어에 관해 이야기했다. 정보보안 분야의 유명인들은 트위터에서 ‘그날’의 이야기를 공유하고 당시 배운 교훈을 되새겼다.  영국 텔레그래프의 비즈니스 기술 및 보안 담당 기자 개...

워너크라이 랜섬웨어 2022.05.24

글로벌 칼럼 | 사이버 보험 청약서로 알아보는 랜섬웨어 기본 대처법

필자는 매년 이맘때쯤 사이버 보험 청약서를 작성한다. 청약서의 질문 사항을 작성하며 보험사들이 비즈니스의 위험과 위협을 평가하는 데 사용하는 기준과 베스트 프렉티스로 강조하는 것이 무엇인지 인사이트를 얻는다. 보험사가 중요하게 여기는 요소가 없다면 보험료와 사이버 보험 가입 자격 여부에 영향을 미칠 수 있다. 이번에 작성한 보험 청약서에서는 구체적인 랜섬웨어 예방 기법과 보호 장치에 관한 질문이 있어 흥미로웠다. 청약서에서 눈에 띄었던 질문을 자세히 살펴보자.   이중 인증이 마련돼 있는가? 필자의 보험사는 원격 네트워크 액세스를 보호하는 이중 인증(Two-factor authentication, 2FA) 절차가 마련돼 있는지 질문했다. VPN과 RDP(Remote Desktop Protocol)가 사용자뿐 아니라 공격자에게 효과적인 액세스를 제공하는 현실에 대응하고자 하는 것이다. 우리는 때때로 물리 및 가상 서버에 접근하기 위해 원격 액세스를 남겨두는데, 공격자는 네트워크 액세스 권한을 얻기 위해 이런 원격 액세스 툴을 표적으로 삼는다. 점프 서버 같은 시스템과 승인된 사용자의 RDP 연결만 허용하기 위해서 모든 도메인 컨트롤러 OU(Organizational Unit)에 연결되는 GPO(Group Policy Objects)를 구성해야 한다. 특히 서버에 대한 원격 액세스를 가능한 한 안전하게 설정하는 것이 중요하다. 최근 필자는 자격 증명을 한계로 느낀다. 자격 증명을 검증하고 추가 보호를 제공하는 툴을 확보하는 것이 공격자가 접근 권한을 획득하지 못하도록 하는 핵심적인 방법이다. 조건부 액세스를 통해 사용자의 행동에 기초해 보호를 구성할 수 있으며, 사용자가 특정 역할 또는 이례적인 위치에서 로그인할 때 추가적인 인증 조치를 의무화해야 한다. 필자는 관리자 역할에 2FA를 의무화했다. 이미 인증된 기기에서는 2FA가 선택사항이며, 사용자가 이례적인 위치에서 로그인할 때는 추가 인증 절차를 거쳐야 한다. 필자는 조건부 액세스를 설계...

사이버보험 보안 랜섬웨어 2022.05.13

"훔칠 게 없어 괜찮다?" MFA 안 쓰는 갖가지 핑계와 대응 방법

많은 기업이 다중인증(Multi Factor Authentication, MFA) 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 효과가 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이런 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이런 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만, 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다.  3. “개인 전화번호가 마케팅에 사용되거나 서드파티 업체에 판매될 것이다” 이 핑계가 통하지 않도록 IT는 보안 이외의 목적으로 직원...

다중인증 이중인증 MFA 2022.05.06

"업데이트 설치하니 비트코인 요구" 윈도우 10 업데이트 파일로 가장한 랜섬웨어 주의

마이크로소프트가 아닌 사이트에서 윈도우 업데이트를 다운로드하면 안 된다는 것은 말할 필요도 없는 일이다. 하지만 모두가 이런 사실을 알고 있는 것 같지는 않는 듯하므로 다시 경고하고자 한다. 마이크로소프트가 아닌 곳에서 윈도우 업데이트를 다운로드하면 절대 안 된다. 최근 불분명한 출처에서 윈도우 10 업데이트를 다운로드한 사용자들이 매그니베르(Magniber) 랜섬웨어에 감염돼 비트코인 몸값을 요구받고 있는 사례가 확인됐다.    해당 문제를 발견한 블리핑컴퓨터(BleepingComputer)의 보안 전문가에 따르면, 한 포럼 회원들이 불법 와레즈(warez) 사이트에서 자칭 윈도우 10 업데이트 파일을 설치한 후 랜섬웨어에 감염됐다고 알렸다. 와레즈 사이트는 불법 복제 및 크랙 버전의 유료 소프트웨어를 제공하기 때문에 악성코드를 유포하려는 위협 행위자가 표적으로 삼기 쉬운 사용자가 가득한 것으로 악명 높다. 가짜 업데이트에 숨겨진 매그니버 프로그램은 사용자 PC의 드라이브에 저장된 일부 데이터를 암호화한 뒤 파일을 복구하고 싶으면 약 2,600달러(약 329만 원)에 해당하는 비트코인을 전송하라고 요구한다. 지불을 늦추면 몸값이 올라간다. 지갑을 열지 않고 파일을 복호화하는 방법은 알려진 바 없다.  블리핑컴퓨터에 따르면, 매그니버 공격 캠페인은 일반 사용자와 학생을 겨낭하고 있어 피해가 심각한 상황이다. 다시 한번 강조하지만, 사용자는 올바른 위치에서 제공되는 소프트웨어와 업데이트를 다운로드해야 하고, 데이터를 적절하게 백업하고 백업이 손상되지 않았는지 확인해야 한다. 공식적인 윈도우 10 업데이트는 시작 메뉴에서 톱니바퀴 아이콘을 클릭해 설정 앱을 연 다음 ‘업데이트 및 보안 → Windows 업데이트 → 업데이트 확인’ 메뉴에서 설치할 수 있다. editor@itworld.co.kr

매그니베르 랜섬웨어 불법복제 2022.05.03

"침입 잠복기 단축, 중국 스파이 활동 증가" 2022년 주목해야 할 보안 인사이트

전 세계 조직이 위협 탐지와 대응에 있어 많은 진전을 이루고 있다. 하지만 사이버 공격자 역시 새로운 갈취 기법과 랜섬웨어 TTP(tactics, techniques, and procedures)를 사용한 사이버 공격으로 표적 환경에 맞춰 진화하고 있다.  최근 맨디언트가 2020년 10월부터 2021년 12월까지 진행된 표적화된 공격 활동을 분석한 '2022 M-트렌드 보고서(M-Trends 2022)'에 따르면, 사이버 침입 잠복기가 감소하고 익스플로잇이 가장 일반적인 공격 벡터였으며, 비즈니스/전문가 및 금융 서비스 산업이 가장 많은 표적이 됐다. 중국과 관련한 스파이 활동의 증가도 포착됐다.    침입 잠복기 감소, 내부 및 외부 탐지 간의 격차 커 보고서에 따르면, 표적 환경에서 공격자가 발각되기 전까지의 기간을 나타내는 잠복기는 전 세계를 기준으로 2020년 24일에서 2021년 21일로 줄었다. 사고가 탐지되는 방식이 잠복기에 상당한 영향을 미치는 것으로 나타났다. 예컨대 외부에서 발견된 사고의 잠복기 중앙값은 73일에서 27일로 짧아진 반면, 내부에서 발견된 사고의 경우 12일에서 18일로 오히려 길어졌다.  2021년 외부에서 사고를 탐지해 해당 조직에 알린 속도는 2020년보다 62% 빨라졌다. 맨디언트는 외부 탐지 역량의 개선과 더 확고해진 커뮤니케이션 및 파견 프로그램이 기여했다고 판단했다. 흥미롭게도 2021년 내부 탐지 사고의 잠복기 중앙값은 2020년보다 길어졌으나, 그 알림 속도는 외부 탐지 사고의 알림 속도보다 36% 빨랐다. EMEA와 APAC 지역에서 2021년 발생한 침입은 대부분 외부에서 발견된 반면(각각 62%, 76%), 아메리카 지역에서는 60%가 조직 내부에서 탐지됐다. 잠복기의 분포도를 분석한 결과, 잠복기가 30일 미만인 침입은 55%였고, 일주일 이내에 발견된 침입은 67%였다. 조사 사례의 20%는 잠복기가 90~300일 사이로 급증했는데, 이는 공격 라...

맨디언트 보고서 사이버위협 2022.04.21

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.