Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

'가장 흔한 랜섬웨어 공격 경로' 악성 오피스 파일을 막는 방법

맥아피(McAfee)는 최근 쿠바(Cuba) 랜섬웨어에 대한  연구 결과를 공개했다. 이들 공격자는 기업의 돈을 갈취하기 위해 데이터를 유출하는 쪽으로 방향을 돌렸다.   보고서를 보면, 먼저 공격자는 랜섬웨어를 활성화하기 전에 네트워크에 액세스했다. 네트워크를 조사하고 네트워크를 공격하는 최선의 방법을 찾기 위해서였다. 이후 파워쉘(PowerShell) 명령을 사용해 네트워크 안에서 횡 방향으로 이동했다. SysWOW64 폴더에서 Powershell -windowstyle hidden 명령을 사용해 호출하고 사용자에게는 숨겼다. 이 랜섬웨어는 공격자에게 유연성을 제공하기 위해 러시아어 등의 특정 언어를 찾았다. 그리고 각 워크스테이션이 액세스하는 대상과 각 워크스테이션에 대한 마지막 연결을 검토해 더 많은 대상을 확보했다. 또한 공격자는 SeDebugPrivilege 프로세스를 사용해 권한을 높였다. 공격 시퀀스를 통해 SQL, 이메일, 기타 통신 프로세스와 관련된 것 등을 포함해 특정 서비스를 비활성화했다.   공격자가 좋아하는 윈도우 권한 윈도우 권한은 다른 공격에서 악용되는 경우가 많다.   SeCreateTokenPrivilege는 토큰(Token) 객체를 생성하지만 권한을 높이기 위해 사용할 수 있다. SeBackupPrivilege는 모든 파일에 대한 모든 읽기 액세스 권한을 부여한다. 공격자는 이를 사용해 네트워크에 관한 정보를 수집할 수 있다. SeDebugPrivilege는 다른 계정이 소유한 프로세스의 메모리를 디버그(Debug)하고 조정하는 데 필요하다. 공격자는 이를 사용해 감지를 피하고 자격 증명 액세스를 확보한다. SeLoadDriverPrivilege는 장치 드라이버 로딩 또는 언로딩에 필요하다. 공격자는 이를 사용해 방어책을 회피하는 경우가 많다. SeRestorePrivilege는 복원 작업 수행에 필요하다. 이것은 시스템이 모든 파일에 대한 모든 쓰기 액세스 권한을 부여하도록 한다. ...

랜섬웨어 악성오피스파일 윈도우권한오용 2021.05.10

미국 랜섬웨어 대책반이 제안하는 랜섬웨어 퇴치 프레임워크

인터넷 시대의 ‘완전 범죄’인 랜섬웨어가 빠른 속도로 확산하고 있다. 일각에서는 2020년에 150% 이상 성장한 것으로 보고 있으며, 2021년에도 누그러질 조짐이 보이지 않고 있다. 경찰, 병원, 지방 단체, 학교 등 좀 더 규모가 크고 취약한 조직이 랜섬웨어 공격의 표적이 되면서 요구되는 평균 몸값은 2020년도 4분기 이후 43%가 뛰어 2021년 1분기에는 22만 298달러에 달했다.   랜섬웨어가 기승을 부릴 수밖에 없는 2가지 요소가 있다. 첫째, 사이버범죄자가 랜섬웨어로 돈을 벌기가 쉽다. 둘째, 랜섬웨어 유형의 공격에 사법 당국이 거의 속수무책인 것도 랜섬웨어 시장이 활개를 치게 된 요인이다. 미국 바이든 행정부의 법무부에서는 랜섬웨어 문제가 악화된 상황을 인정하고 랜섬웨어 대책반(Ransomware Task Force)을 출범시켰다. 이 대책반은 랜섬웨어를 지원하는 디지털 생태계 전체를 겨냥하는 것으로 알려져 있으며, 법무부의 형사부, 국가보안부, 민사부서와 FBI, 그리고 미국 전역의 최고 93인의 검찰관을 지원하는 미국 법조인 집행 사무국으로 구성되어 있다. 산업, 사법, 보험, 국제 등 다양한 분야의 조직에서 자원한 60인 이상의 전문가로 구성된 연합체는 종합 대책 체계를 제안했다. 이 체계는 랜섬웨어 시장 와해를 위해 정부 및 업계에서 취할 수 있는 48가지 조치로 구성되어 있다.  주로 보안기술연구소에서 조직한 랜섬웨어 대책반은 최근 <랜섬웨어 퇴치 종합 대책: 랜섬웨어 대책반의 주요 실천 권고사항>이라는 제목의 보고서를 발표했다. 랜섬웨어 대응 5대 우선 실천 권고사항 대책반의 48가지 실천 권고사항 중에서 ‘우선’ 조치로 규정된 것은 다음과 같다. 1. 국제적 외교 및 사법 차원의 공조를 통해 적극적이고 우선적으로 랜섬웨어 퇴치에 나서야 한다. 이를 위해서는 자원을 투입한 종합 전략을 수립해야 하며, 세부 내용으로는 각국이 랜섬웨어 범죄자에게 안전한 피난처를 제공하지 않도록 하는 회유와 위협...

랜섬웨어 대책반 2021.05.04

"보상 지급 깐깐해지고 보험료 오른다" 사이버 보험 전망과 현명한 가입 방법

전 세계의 법, 위험, 사이버 보안 전문가의 전망에 따르면, 올해 기업과 기관은 사이버 보험에 가입, 갱신하고, 보상을 받을 때 어려움을 겪을 것으로 보인다. 여러 요인이 이 부문을 더 엄격하고, 더 전문화된 포지션으로 바꾸고 있기 때문이다. 예를 들면 랜섬웨어 공격과 광범위한 공급망 보안 문제를 중심으로 2020년 전체와 2021년 첫 몇 달 동안 사이버 위협이 계속 진화했고 이로 인해 영향을 받았다.   그 결과 보험사는 올해 보험에 가입하거나 갱신하는 기업의 사이버보안 위험에 대한 분석을 강화하고, 보험료를 인상하고, 면책 조항을 더 엄격히 제한하고, 보험료를 전액 지급하는 것을 거부하거나, 심지어 보험 가입을 거절할 가능성이 있다. 미국 소재 AI 기반 사이버 보안 보험사인 카우벨 사이버(Cowbell Cyber)의 창업자 잭 쿠데일은 “사이버보안 시장이 까다로워지고 있다. 보험 서비스를 제공하는 업체는 보험 가입이나 갱신 전에 보험 계약자에 더 많은 것을 요구한다”고 말했다. 네텐리치(Netenrich)의 보안 어드바이저인 숀 코르데르는 보험사가 처음으로 보험 계약자에 사이버보안 태세의 적절성을 증명하고, 위험 노출을 최소화하고 있음을 보여주는 새로운 증거와 증명을 요구할 것으로 내다봤다. 그는 “보상 범위(커버리지)를 새로 요청할 때마다 면밀한 조사가 따라붙을 것이다. 보장 범위를 늘리거나 유지하려는 기업은 충분한 보장 범위를 확보하기 더 어려워질 수 있다. 보증 과정에 보험 계약자의 보안에 대한 관행과 위험 노출을 더 면밀히 조사할 것이기 때문이다"라고 말했다. 쿠데일도 "기업의 보험 대상 위험 프로필을 더 면밀히 평가하는 것은 환영할 변화다. 그러나 기존 보험사가 손해율을 일정 수준으로 유지하기 위해 특정 산업은 보험을 갱신하지 않거나 책임 한도를 반으로 줄이거나, 보험료를 2배 인상하는 경우도 있다"라고 말했다.   사이버 위협이 사이버 보험에 미치는 영향 지난해 사이버 위협은 다양한 규모의 여러 기업과 조직에 영향...

사이버보험 랜섬웨어 2021.04.30

낫페트야 사태 후 4년, 사이버 보험을 둘러싼 '책임과 말장난'

최근 솔라윈즈와 마이크로소프트 익스체인지 서버 관련 사건을 보면 보안 사고가 결국 수많은 소송과 거액의 보상금으로 이어질 가능성이 크다. 사이버 보안 연구자와 프라이버시 컨설턴트를 중심으로, 사이버 보험사가 미래의 생존을 위한 갈림길에  서 있다고 경고한 이유다.   이런 혼란은 기업도 마찬가지다. 사이버 보험에 가입할 것인지 고민하고 있다. 사이버 보험 산업의 불확실성으로 실제 피해가 발생했을 때 보험금을 제대로 받을 수 있을지 의심스럽기 때문이다. 사이버 보험사가 2017년의 낫페트야(NotPetya) 등 거대한 공격의 결과 막대한 금액을 지급해야 하는 상황에 직면했다는 정황이 곳곳에서 나오고 있다. 당시 낫페트야 사태로 인해 수십억 달러의 피해가 발생했고, 수많은 글로벌 기업이 속절없이 무너졌다. 이 공격은 세계 최초의 사이버 보험이 탄생한 지 20년 만에 일어났고, 사이버 위험의 전체 범주를 이해하는 데 여전히 ‘초기 단계’에 있는 이 산업의 발전에 있어 의미심장한 이정표가 됐다.   사이버 보험의 험난한 길과 지속되는 불확실성 프라이버시 리스크 관리 컨설팅 회사인 프라이브코어(Privcore)의 리서치 및 교육 책임자이자 맥과이어 대학교 경영 및 경제 학부의 연구원인 존 셀비는 최근 열린 AISA 사이버콘 컨러펀스(AISA CyberCon conference)에서 “여러 해에 걸쳐 보험 사업자를 잠 못 이루게 한 수많은 공격이 있었다”라고 말했다. 이어 "사이버 보험은 다른 보험에 비해 보장 범위가 훨씬 협소한 경향이 있다.  그러나 사이버 보험의 위험을 모델링하기 위한 과거 데이터가 터무니없이 적어 보험 가격을 설정하기 매우 까다롭다. 결국 발생 확률을 계산하기 애매한 사건에 대해서는 보험을 제공하는 것을 주저한다”라고 덧붙였다. 예를 들어 낫페트야 같은 광범위한 공격은 집합 위험(aggregation risk)을 통해 더 복잡해졌다. 셀비는 “단일의 원인 또는 사건으로 인해 수많은 손해를 동시에 입을 ...

낫페트야 랜섬웨어 사이버보험 2021.04.26

랜섬웨어 공격으로 맥북 프로 정보 유출 “맥세이프 복귀 확인”

21일은 애플이 M1 아이맥과 아이패드 프로, 에어태그를 공개한 축제의 날이었지만, 애플의 맥북 공급업체 중 한 곳은 악몽 같은 하루를 보냈다.  블룸버그 보도에 따르면, 애플의 맥북 핵심 공급 업체인 콴타 컴퓨터(Quanta Computer Inc,)가 유명 다크웹 해킹 그룹인 REvil로부터 랜섬웨어 공격을 받았다. REvil은 5,000만 달러의 몸값을 요구했는데 콴타 컴퓨터가 이를 거부하자 2021년 3월에 디자인된 것으로 보이는 맥북의 구체적인 정보를 15개의 이미지와 함께 공개했다. 블룸버그는 문서 내용을 공개하진 않았는데, 해당 자료를 본 맥루머(Macrumors)는 차세대 맥북에 새로운 포트가 포함됨을 확인했다며 다음과 같이 전했다. “디바이스의 오른쪽에는 1개의 USB-C/썬더볼트 포트 1개 및 SD 카드 리더와 함께 HDMI 포트가 있다. 왼쪽에는 2개의 USB-C/썬더볼트 포트와 1개의 맥세이프(MagSafe) 충전 슬롯이 있어 현재의 4개가 아닌 총 3개의 USB-C/썬더볼트 포트를 확인했다.” 맥루머는 또한 트위터에서 돌고 있는 유출된 신형 맥북 프로 이미지를 통해 터치 바(Touch Bar)가 없음을 확인했다고 전했다.   이미 신형 맥북에는 사라졌던 포트와 맥세이프가 돌아오고, 디자인이 일부 조정되고, 터치 바가 사라질 것이라는 소문이 있다. 애플이 이제 막 신형 아이맥을 공개했기 때문에, 새로운 맥은 6월 WWDC에서야 확인할 수 있을 것이다. editor@itworld.co.kr  

맥북프로 랜섬웨어 콴타컴퓨터 2021.04.22

IDG 블로그 | 쥐도 새도 모르는 클라우드 공격

랜섬웨어 공격은 최소한 피해자에게 공격당한 사실을 알려준다는 점에서 양반이다. 스스로 방어할 기회도 있고, 위기에 대비할 수도 있기 때문이다. 하지만 한창 떠오르는 사이버 공격은 훨씬 더 은밀하게 이루어진다.   스텔스 해킹(Stealth Hacking)이라 부르는 이런 미묘한 공격은 사용자의 데이터와 프로세스를 훔쳐보지만, 어떤 경보도 뜨지 않는다. 일반 사용자 컴퓨팅 세상에서는 잘못된 다운로드로 설치되는 키로거 악성코드가 전형적인 예이다. 해커는 들키지 않고 가능한 한 많은 데이터를 모으려 하며, 때에 따라서는 영원히 발각되지 않을 수도 있다. 기업 환경에서는 이보다 조금 더 섬찟하다. 일반 해킹 공격의 피해는 위험성과 비용으로 쉽게 규정할 수 있다. 리스크아이큐(RiskIQ)에 따르면, 2019년 사이버 범죄로 1분마다 290만 달러의 손실이 발생했으며, 피해 규모가 큰 기업은 사이버 보안 침해로 분당 25달러를 지불했다. 하지만 기업이 해킹당한 사실을 모른다면, 피해 규모는 즉각적인 공격의 10배가 될 수도 있다. 스텔스 해킹은 잘 드러나지 않기 때문에 실제 피해액을 알 수 있는 데이터가 많지 않다. 주요 사례는 다음과 같다.   내부자 주식 거래. 실적 발표 이전에 영업 및 각종 회계 데이터에 접근 감사 전 회사 계정으로부터 현금 이동 HR 기록에 대한 접근을 이용한 블랙메일 이런 종류의 해킹은 온프레미스 시스템을 대상으로 한다는 것이 전제인데, 최근에는 클라우드 컴퓨팅의 비중이 커지면서 등한시하기 쉽다. 하지만 퍼블릭 클라우드에서도 스텔스 해킹은 일어날 수 있다. 퍼블릭 클라우드 서비스 업체는 고객 데이터를 더 잘 보호할 책임이 있다고 말하지만, 실제로 클라우드는 어디까지나 책임 분담 모델이다. 즉 클라우드 업체가 안전을 위한 툴과 프로시저를 제공하면, 이를 올바르게 구현하는 것은 기업의 몫이다. 예를 들어, 기업이 퍼블릭 클라우드의 스토리지에 대한 보안을 잘못 구성했고, 이로 인해 데이터가 유출된다면, 책임은 ...

스텔스해킹 랜섬웨어 AI옵스 2021.03.31

토픽 브리핑 | 점점 더 독해지는 랜섬웨어의 유일한 방어책 ‘백업’

2021년 현재 가장 위협적인 사이버 공격을 꼽으라면, 단연 랜섬웨어다. 카날리스의 조사에 따르면, 2020년 한 해 동안 랜섬웨어로 120건 이상의 데이터가 유출되고, 알려진 랜섬웨어 공격수가 60% 증가했다.  "랜섬웨어 공격 사상 최고치··· 2021년 보안 투자 최대 10% 증가" 카날리스 전망 랜섬웨어 피해 비용이 상승하는 5가지 이유   랜섬웨어로 인한 피해 비용도 증가 중이다. 랜섬웨어 전문 협상 업체인 코브웨어(Coveware)의 연구에 따르면, 실제 랜섬웨어 몸값 지불금이 2019년 4분기 8만 4,000달러에서 2020년 3분기 23만 3,817달러로 급증했다. 물론, 몸값 자체는 랜섬웨어 총 피해 비용의 일부일 뿐이다. 특히, 랜섬웨어 공격으로 인한 다운타임은 비즈니스 운영은 물론, 비용이나 평판에도 큰 영향을 끼친다. 조사에 따르면, 2020년 4분기 기준 랜섬웨어로 인한 평균 다운타임 기간은 21일에 이르며, 다운타임 비용은 1년 전보다 93% 증가했다.  민감한 데이터 보유한 고위 임원, 피싱·랜섬웨어의 새로운 '먹잇감' 한편, 랜섬웨어의 공격 방식도 진화하고 있다. 과거 무작위로 피싱 이메일을 보내 공격을 시작했다면, 이제는 기업의 고위 임원을 표적화해 공격한다. 이들은 대체로 민감한 데이터를 보유하는 것은 물론, 회사 시스템에 대한 높은 접근 권한을 가지고 있다. 따라서 시간과 노력이 더 필요한 공격이지만, 기업에 큰 타격을 줄 수 있고, 그만큼 공격자에게 돌아오는 보상도 크다.  랜섬웨어로부터 백업을 보호하는 방법 랜섬웨어 공격에 대비할 수 있는 확실한 ‘백업’ 준비 방법 랜섬웨어 위협을 최소화할 수 있는 유일한 방법은 시스템이 암호화되더라도 복원할 수 있도록 백업을 갖추는 것이다. 백업을 갖출 때의 핵심은 생산 시스템과 백업 시스템 사이에 최대한 많은 장벽을 배치해 백업까지 랜섬웨어에 감염되지 않도록 하는 것이다. 백업 서버를 리눅스로 사용한다거나, 백업 사본을 데이터센터 외부에 ...

토픽브리핑 랜섬웨어 백업 2021.03.26

랜섬웨어 공격에 대비할 수 있는 확실한 ‘백업’ 준비 방법

시스템을 랜섬웨어로 감염시킨 공격자에게 몸값을 지불하지 않는 가장 좋은 방법은 적절히 백업해 시스템을 삭제하고, 안전한 백업에서 복원하는 것이다. 백업이 랜섬웨어에 적합한지 확인할 방법을 소개한다. 이 기사에서 백업은 백업과 재해 복구를 지원하는 구형 백업 시스템과 복제 시스템, 최신 하이브리드 시스템을 비롯해 랜섬웨어 공격에 대응하기 위해 사용할 모든 시스템을 의미한다. 단순성을 위해 여기서는 모두 백업이라 지칭한다.     3-2-1 규칙을 통한 백업 무엇보다도 중요한 것은 ‘모든 것을’ 백업한다는 생각이다. 모든 새 시스템과 파일 시스템, 데이터베이스를 자동으로 포함하는 백업 시스템의 기능을 조사한다. 이는 호스트의 모든 VM이 나타날 때마다 자동으로 백업하도록 구성할 수 있는 가상화 세계에서 가장 쉬운 방법이다. 모든 것을 자동으로 포함하는 백업 시스템을 가장 잘 사용하는 방법의 하나다. 또한, 누가 구식이라고 말하든, 백업 시스템의 3-2-1 규칙을 따라야 한다. 이 규칙에 따르면 데이터의 복사본 또는 버전을 3개 이상 만들고, 2개 이상의 다른 미디어에 저장하며, 미디어 중 1개는 오프사이트에 있어야 한다. 주 시스템과 같은 위치에 백업을 저장하지 않는다. 더 좋은 방법은 다른 운영체제와 다른 물리적 위치에 저장하는 것이지만, 현실적으로 항상 가능하지는 않다. 백업 시스템에 어떤 유형이든 자동 보고 기능이 있어야 작업 중인 백업이 실제로 진행 중인지 확인할 수 있다. 보고에는 백업 성공과 실패가 모두 포함돼야 한다. 서드파티 모니터링 시스템이 가장 나을 수 있고, 모든 것을 지속적으로 살펴보고 상황이 조금 이상할 때 감지할 수 있다. 머신러닝을 사용하는 보고 시스템은 문제를 나타내는 패턴을 알아차릴 수 있어 이상적이다. 이렇게 하면 백업 시스템에서 매일 수십에서 수백 개의 이메일을 읽어야만 제대로 작동하는지 확인하기보다 쉽다.   DR 보안을 최우선 순위로 백업과 DR(Disaster Recovery) 시스템은 컴...

랜섬웨어 백업 사이버공격 2021.03.18

랜섬웨어 피해 비용이 상승하는 5가지 이유

2020년 9월, 랜섬웨어 공격으로 자사의 네트워크가 무력화된 대형병원그룹인 UHS(United Health Services)가 관련 비용을 6,700만 달러나 지불한 것은 그리 흔한 일은 아니었다. 그러나 지난 2년 동안 랜섬웨어 피해자들이 점점 더 많은 재정적 손실을 입고 있다.    보안 전문가는 특히 의료 부문의 조직에서 랜섬웨어와 관련한 피해 비용 증가를 유발하는 여러 요인을 지적한다. 가장 명백한 것 가운데 하나는 공격자가 피해기업에게 요구하는 평균 몸값이 증가했다는 것이다.  지난해 사이버 보험업체인 코얼리션(Coalition)이 보험 계약자의 청구 데이터를 분석한 결과, 평균 몸값 수요가 2020년 1분기 23만 달러에서 2020년 2분기 33만 8,669달러로 47% 증가했다. 평균 몸값은 42만 달러였다. 사이버사건 대응업체이자 랜섬웨어 전문 협상업체인 코브웨어(Coveware)의 연구에 따르면, 실제 랜섬웨어 지불금도 2019년 4분기 8만 4,000달러에서 2020년 3분기 23만 3,817달러로 급증했다.  그러나 몸값 자체는 총 비용의 일부일 뿐이며, 몸값 협박에 동의하지 않는 기관과 기업에게는 젼혀 문제가 되지 않는다. 그러나 이런 기업에서도 피해 비용은 지난 2년 동안 꾸준히 증가했다. 보안 전문가에 따르면, 랜섬웨어 관련 피해 비용이 증가하는 가장 일반적인 5가지 이유가 있다.   1. 다운타임 비용  다운타임(Downtime)은 랜섬웨어 공격과 관련된 가장 큰 비용 가운데 하나로 부상했다(첫 번째는 아니다). 랜섬웨어 피해자는 종종 랜섬웨어 공격 후 시스템을 복원하는데 며칠에서 심지어 몇 주가 걸릴 때도 있다. 그 시간동안 정상적인 서비스가 심각하게 중단되어 비즈니스 손실, 기회 비용 손실, 고객 영업권 손실, SLA 위반, 브랜드 손상 및 기타 많은 문제가 발생할 수 있다. 예를 들어, UHS의 피해 비용 대부분은 평상시처럼 환자 치료 서비스를 제공하지 못하고 청구...

랜섬웨어 몸값 2021.03.12

뉴욕, 랜섬웨어와 솔라윈즈로 인한 비용 증가로 사이버 보험 프레임워크 발행

2021년 2월 4일 뉴욕은 미국 최초로 모든 공인된 재산 및 손해 보험업체에게 사이버보안 보험 위험 프레임워크를 발행했다. 이 프레임워크를 발표하면서 뉴욕의 금융 서비스부(Department of Financial Services, DFS)는 “최근 랜섬웨어의 부상과 솔라윈즈 기반의 사이버 첩보 캠페인으로 인해 사이버보안은 이제 소비자 보호에서 국가 안보에 이르기까지 현대 생활의 모든 측면에서 매우 중요해졌다”라고 밝혔다.      이 프레임워크는 사이버보안 보험을 작성하는 모든 재산 또는 손해 보험업체에 적용된다. 그러나 DFS는 사이버보안 보험을 제공하지 않는 보험업체들도 이 ‘조용한 위험’에 대해 평가하고, 이를 줄이기 위한 적절한 조치를 취하길 바라고 있다.    DFS의 몸값 요구에 대한 조언, "보험이 오히려 몸값을 높인다"  DFS는 랜섬웨어 보험 청구가 2018년부터 2019년까지 180% 증가했고, 2019년부터 2020년까지 2배로 증가했다는 점에 주목하면서 보험업체에 다음과 같은 3가지 이유로 랜섬웨어 몸값을 지불하지 말 것을 조언했다.   미국 재무부의 해외자산통제국(OFAC)은 몸값 지불이 국가 안보에 미치는 영향에 대해 언급하면서 보험업체가 제재 대상에 지불한 몸값에 대해 책임을 질 수 있다고 경고했다. 또한 보험업체가 몸값을 지불하더라도 피해자가 암호화된 파일이나 도난당한 데이터를 되찾을 것이라는 보장이 없다.  많은 보험업체는 아직 사이버보안 위험을 정확하게 측정할 수 없다. 게다가 사이버 보험은 사이버 위험을 증가시키는 역효과를 가져올 수 있는데, 이는 곧 보험업체에 부담으로 작용한다.    DFS는 “러시아 정부가 2017년에 내놓은 ‘낫페트야(NotPetya) 악성코드로 인해 30억 달러의 보험 청구가 발생했으며, 이 가운데 보험업체는 사이버보안 위험에 대한 침묵 정책에 따라 27억 달러를 지불했다”라고 비교했다.  뉴욕의...

랜섬웨어 솔라윈즈 사이버보험 2021.02.25

랜섬웨어 협상 방법과 기업이 해야할 일

경험이 많은 협상가들이 랜섬웨어 몸값을 지불해야 하는 경우, 기업이 해야 할 일에 대해 설명했다.        랜섬웨어는 지난 몇 년 동안 기업이 직면한 가장 파괴적인 악성코드 위협 가운데 하나로, 공격자들은 이 공격을 멈출 기미를 보이지 않는다. 랜섬웨어는 범죄자들에게 너무나 이득이 많다. 공격자는 많은 기업이 기꺼이 몸값을 지불할 의사가 있음을 알게 됐기 때문에 요구하는 몸값이 수천만 원에서 수십억 원, 심지어 수백억 원으로 증가했다.  CIO 등 임원부터 외부 고문, 보험업체에 이르기까지 많은 요소와 당사자가 랜섬웨어 지불 결정에 관여한다. 이런 몸값 지불의 필요성이 증가함에 따라, 랜섬웨어 협상 및 암호화폐 결제를 전문으로 하는 컨설턴트나 업체가 생겨났으며, 시장이 만들어졌다.   랜섬웨어 공격에 당했을 때 기업이 해야 할 일   랜섬웨어 공격에 대응하는 가장 이상적인 방법은 제대로 준비된 재해 복구 계획이지만, 안타깝게도 많은 기업이 이를 준비하지 못하고 있다. 대기업은 사고대응 팀이 있고, 사이버 공격을 대처하기 위한 계획을 세울 수 있지만, 데이터 유출 위협, 고객 및 규제 기관과의 외부 커뮤니케이션, 위협 행위자와의 협상 결정 등 랜섬웨어 공격과 관련한 다양한 측면을 처리하기 위한 절차는 빠져있다.    위협 인텔리전스 및 랜섬웨어 협상업체인 그룹센스(GroupSense) CEO 커티스 마인더는 “사고대응 계획이 있는 대기업에서도 일반적으로 랜섬웨어와 관련된 세부 정보를 다루지 않고 있다. 일단 복호화 협상 과정에서 누가 관여해야 하고, 비즈니스 결정을 내릴 것인지 많은 내용을 문서화해야 한다. 하지만 메시징이나 홍보 계획도 없다. 우리를 초빙한 대부분의 기업은 이를 갖추지 않았다”라고 말했다.    랜섬웨어 대응 서비스를 제공하는 또 다른 위협 인텔리전스 업체인 플래시포인트(Flashpoint) EMEA 부사장 이안 쉔켈에 따르면, 사고대응...

랜섬웨어 협상 몸값 2021.02.18

랜섬웨어로부터 백업을 보호하는 방법

랜섬웨어는 데이터에 대한 가장 큰 위협이다. 따라서, 악성 행위자들이 랜섬웨어 공격을 실행할 때 사용자의 기본 데이터와 더불어 사용자의 백업 데이터를 암호화하지 않도록 조치하는 것이 필수적이다. 랜섬웨어 공격으로 백업 데이터마저 암호화되어 버리면 사용자 입장에서는 몸값을 지불하지 않을 수 없게 되며 몸값을 받으면 고무된 악성 행위자들이 다시 랜섬웨어 공격에 나서게 될 것이기 때문이다. 몸값을 지불할 필요가 없게 하기 위한 핵심은 시스템이 랜섬웨어로 암호화되더라도 복원할 수 있도록 백업을 갖추는 것이다. 백업을 랜섬웨어로부터 보호하기 위한 핵심은 생산 시스템과 백업 시스템 사이에 장벽을 최대한 많이 배치하는 것이다. 무슨 일이 있어도 피해야 할 것은 보호하고자 하는 것과 같은 데이터센터 내 윈도우 서버상의 디렉토리에 유일한 백업 하나를 그냥 두는 것이다. 이 문장의 핵심 부분인 ‘윈도우’, ‘같은 데이터센터’, ‘디렉토리에 두는 것’ 등을 자세히 살펴보자.     윈도우 보호 대다수의 랜섬웨어 공격은 윈도우 호스트를 대상으로 한다. 일단 호스트 하나가 감염되면 사용자 컴퓨터 환경 내 다른 윈도우 호스트로 퍼져나간다. 그런 식으로 충분히 많은 호스트에 랜섬웨어가 퍼지고 나면 공격자는 암호화 프로그램을 작동시킨다. 그러면 사용자의 세계가 전체가 갑자기 멈춰버린다. 따라서, 무엇보다도 백업 서버를 윈도우 아닌 다른 것으로 사용해야 한다. 안타깝게도 인기 있는 백업 제품은 주로 윈도우에서 실행되는 것이 많다. 그나마 다행한 것은 리눅스 대안을 제공하는 것도 많다는 것이다. 비록 기본 백업 소프트웨어는 반드시 윈도우 상에서 실행해야 한다고 하더라도 리눅스 미디어 서버 옵션이 갖춰져 있을 수도 있다. 미디어 서버가 핵심이다. 사용자가 보호하려고 하는 데이터가 있는 곳이 미디어 서버이기 때문이다. 리눅스 기반 미디어 서버를 통해서만 접근 가능한 백업은 윈도우 기반 서버에 대한 랜섬웨어 공격이 침범할 수 없다. 리눅스 기반 미디어 서버 뒤에는 주기적...

랜섬웨어 백업 보안 2021.02.17

스프라이트 스파이더, 가장 파괴적인 랜섬웨어 위협 집단으로 부상…크라우드스트라이크

최근 ‘SANS 사이버 위협 인텔리전트 서밋(SANS Cyber Threat Intelligence Summit)’에서 크라우드스트라이크(CrowdStrike) 사이버보안 책임자인 세르게이 프랭코프와 인텔리전스 애널리스트인 에릭 루이는 일명 '스프라이트 스파이더(Sprite Spider)'라는 새롭게 떠오르는 중대한 랜섬웨어 행위자에 관해 자세히 설명했다.    수많은 다른 랜섬웨어 공격자와 마찬가지로, 스프라이트 스파이더 공격의 배후 집단은 2015년 이래로 급속히 정교화되었고 타격 역량 또한 급속히 성장했다.   현재 스프라이트 스파이더는 2021년의 최대의 랜섬웨어 위협 행위자의 하나가 되었고, 5~10년 전 지능형 지속 공격(APT) 행위자의 위상과 맞먹는 위협 프로파일을 가지고 있다. 스프라이트 스파이더가 고도화된 위협으로 성장한 것은 새삼스러울 게 없다. 수많은 다른 랜섬웨어 조직과 마찬가지로 국가 차원의 위협 행위자에 의해 종종 유급으로 고용된 해커들로 채워져 있기 때문이다.   스프라이트 스파이더의 진화   스프라이트 스파이더는 2015년 시푸(Shifu)라는 뱅킹 트로이목마 프로그램을 이용하며 활동을 시작했고, 2017년에는 배텟(Vatet)이라는 악성코드 로더를 추가했다. 2018년에는 파이지(PyXie)라는 원격 접속 트로이목마를 전개했다. 2019년에는 DERRAY777이라는 랜섬웨어를 전개하는 수준까지 진화했다.   현재, 크라우드스트라이크 연구진은 시푸, 배텟, 파이지를 DEFRAY777 랜섬웨어 공격과 연계시켰다. 이들 컴포넌트로부터 나오는 일체의 공격이 한 위협 행위자에 연결되어 있음을 발견했고, 이 위협 행위자는 지금까지 감시망에 걸리지 않았다.   스프라이트 스파이더 랜섬웨어가 작용하는 방식   이 집단은 빈번하게 검출을 회피할 수 있다. 주로 코드가 무해해 보이고 노트패드++ 같은 오픈 소스 프로젝트에 숨어있기 때문이다. 스프라이트 스파...

스프라이트 랜섬웨어 크라우드 2021.02.04

세계 최대의 봇넷 이모텟, 여러 국가의 협력으로 붕괴

몇몇 국가의 법 집행기관들이 공동작전을 펼쳐 세계 최대의 봇넷 가운데 하나인 이모텟(Emotet)의 명령 제어 인프라를 장악했다. 이 봇넷의 붕괴가 영구적일지는 아직 지켜봐야 하지만 보안 전문가에 따르면 긍정적인 신호임은 틀림없다.      유럽형사경찰기구(Europol, 유로폴)는 27일 “이번 작전은 네덜란드, 독일, 미국, 영국, 프랑스, 리투아니아, 캐나다, 우크라이나 간 협력의 결과이고, 국제적 활동은 유로폴과 유럽사법기구(Eurojust, 유로저스트)가 조율했다. 이 작전은 범죄 위협에 대한 유럽 다학제 플랫폼(European Multidisciplinary Platform Against Criminal Threats, EMPACT) 프레임워크 내에서 수행됐다”라고 밝혔다.  이모텟, 무엇인가?  이모텟(Emotet)은 2014년부터 운영을 시작했는데, 지난 수개월 동안 보안 제품에 의해 가장 흔하게 검출되던 악성코드 계열이었다. 이는 온라인 뱅킹 인증정보를 탈취하려는 데 주력하는 트로이목마 프로그램으로 시작했지만, 시간이 지나면서 다른 사이버 범죄 집단이 자체 악성코드를 전개하거나 감염된 컴퓨터에 접근하는 데 이용하는 악성코드 서비스 플랫폼(malware-as-service platform)으로 진화했다.   이모텟은 보안 업계가 TA542로 추적하는 집단에 의해 운영되고, 주요 고객 가운데 한곳은 트릭봇(TrickBot)의 배후에 있는 집단이다. 트릭봇은 악명높은 류크(Ryuk) 랜섬웨어를 유포하는 것으로 알려진 봇넷이다. 이모텟/ 트릭봇/ 류크의 관계는 보안 업계에서 잘 알려져 있고, 기업들은 네트워크 상의 이모텟과 트릭봇 감염을 심각하게 취급하라고 반복적으로 경고를 받았다. 랜섬웨어의 전조가 되는 봇넷이기 때문이다.   트릭봇 명령 제어 서버는 지난해 10월 마이크로소프트가 개별적으로 주도해 섬멸 작전을 펼쳤지만, 이 봇넷은 완전히 괴멸되지 않았다. 마이크로소프트의 작전 이후에...

이모텟 봇넷 악성코드 2021.01.29

'CPU 자체에서 랜섬웨어 잡는다'… '인텔 TDT' 위협 탐지 기능 분석

인텔의 11세대 모바일 프로세서에 내장된 새로운 원격 측정과 머신러닝 프로세스를 활용하면 기존 탐지 기술을 회피하는 정교한 랜섬웨어 프로그램을 더 잘 탐지해 차단할 수 있다. 이 기능은 v프로(vPro) 기능 세트를 포함하는 비즈니스용으로 설계된 인텔 코어 CPU에 내장돼 있다.   v프로 플랫폼은 IT 관리 기능 외에도 하드웨어 쉴드(Hardware Shield)라는 이름으로 강화된 여러 가지 하드웨어 보안 기능을 제공한다. 여기에는 안전한 실행과 가상화, 메모리 암호화, 런타임 BIOS 복원, 위협 탐지 기술인 '인텔 TDT' 등이 포함된다.   인텔 TDT 작동 방식 인텔 TDT는 CPU의 PMU(Performance Monitoring Unit)의 원격 측정 데이터를 가속화된 머신러닝 휴리스틱과 결합해 잠재적 위협을 탐지한다. 일부 유형의 악성 프로그램은 실행하는 작업 유형 때문에 CPU 성능에 영향을 미친다. 성능 영향은 PMU 원격 측정 데이터에 반영되며, 머신러닝 모델은 이를 사용해 잠재적으로 의심스럽거나 비정상적인 동작을 식별하는 방식으로 악성코드를 찾아낸다. OS 내부에서 실행되는 보안 제품은 인텔 TDT의 신호를 사용해 추가 스캐닝과 복구 워크플로우를 실행할 수 있다. 기본적으로 이를 통해 CPU 수준에서 동작 기반 악성코드 탐지가 가능하다. 인텔 비즈니스 클라이언트 그룹의 전략 기획 및 아키텍처 수석 이사 마이클 노드퀴스트는 “일반적인 방어는 피싱 방지, 백업, 기타 사전 예방적 방법 등 보안을 강화하는 데 초점을 맞추고 있다. 훌륭한 방법이지만 결국 공격이 성공할 수 있다. 반면 인텔 TDT는 가장 널리 퍼진 랜섬웨어 변종을 파일 암호화 시작부터 탐지할 수 있으며, 공격을 치료하기 위해 AV/EDR 소프트웨어에 즉시 신호를 보낼 수 있다. 이는 감염된 엔드포인트의 손상을 최소화할 뿐만 아니라 다른 엔드포인트에 대한 손상, 혹은 네트워크나 클라우드/SaaS 기반 앱으로 악성 코드가 퍼지는 것을 방지할 수 있다”라고 ...

TDT 랜섬웨어 CPU 2021.01.22

“액티브 디렉토리(AD)를 보호하라” 접근 통제와 실시간 탐지를 통한 랜섬웨어 방어 전략 – IDG Summary

2021년 랜섬웨어가 여전히 최고의 위협으로 손꼽히는 가운데, 기업의 액티브 디렉토리(Active Directory, AD)를 대상으로 장기간 정교하게 설계된 공격이 이어질 것으로 전망된다. 특히, 보안 솔루션을 우회하는 기법이 등장하고 있다는 점과 기업의 IT 환경에서 AD의 중요성을 생각하면 지금까지 와는 다른 AD 보안 전략이 필요한 시기다. AD를 표적으로 하는 랜섬웨어 공격 방식에 대해 알아보고, 이를 방어하기 위한 최선의 전략으로 엔드포인트 기반의 접근통제와 감사를 통한 실시간 탐지를 제시한다. 주요 내용 - AD가 매력적인 공격 타깃인 이유 - 엔드포인트 기반 접근 통제로 시작하는 AD 보안 - 정책 기반 감사로 랜섬웨어 실시간 탐지 - 완벽한 AD 가시성 확보, 퀘스트소프트웨어 체인지 오디터 - ‘엔드포인트 보안부터 AD 계정·GPO 접근 통제까지’  - 진화하는 랜섬웨어, 철저한 접근 통제와 실시간 탐지가 해법  

AD 액티브디렉토리 랜섬웨어 2021.01.19

글로벌 칼럼 | “백 투 더 퓨처”에서 배우는 보안 경력에 관한 3가지 교훈

보안 업계의 2020년은 암울했다. 사상 최악의 해였다고 보는 사람도 있다. 코로나19 팬데믹 이후 닥친 재택 근무에서의 문제, 다양한 선거 관련 의혹, 솔라윈드(SolarWinds) 침해, 해외의 국가 주도 사이버 공격, 새로운 랜섬웨어, 전 세계적인 사이버 인재의 부족, 정부 지도자의 실수 등등 논하자면 끝도 없다.  지긋지긋한 지금의 심정과 딱 맞는 영화 대사는 영화 ‘백 투 더 퓨처’에서 박사가 마티에게 한 말, “무슨 일이 있어도 2020년으로는 절대 가지마라!”이다.    2020년의 실패에 대해 누구를 탓하든(또는 탓하지 않든) 브루스 슈나이어는 솔라윈드 침해 이후 우리에게 남은 최선의 길은 포춘지 선정 500대 기업 대다수가 네트워크를 태워 없앤 다음 처음부터 새로 구축하는 것이라고 말한다.  그러나 공공 및 민간 조직이 이 급진적인 접근 방법을 따른다 해도 많은 질문이 뒤따른다. 똑같은 네트워크 아키텍처를 다시 설계하는가? 똑같은 사람, 프로세스, 기술(알려진 취약점이 패치된)이 앞으로는 공격자를 막을 수 있는가? 똑같은 일을 하면서 다른 결과를 기대하는 것이 타당한가? 그리고 지난 10년, 아니 작년 한 해만이라도 우리는 무언가를 배웠는가?  필자가 모든 영화를 통틀어 두 번째로 좋아하는 3부작 영화 이야기로 돌아가 보자. 영화 ‘백 투 더 퓨처’에는 삶에 관한 좋은 교훈이 많다. 지난 연말 연휴 기간에 이 주제를 곰곰이 생각하고 3부작 영화를 다시 한 번 보면서, 필자는 사이버 전문가(와 다른 IT 분야 종사자)들이 경력 관리에 관해 이 명작에서 얻을 수 있는 가장 중요한 교훈을 정리했다.  1. 내가 신뢰하고 나를 믿는 전문가들과 함께 일하라.  필자는 이 영화가 여러 세대에 걸쳐 있다는 면이 너무 좋다. 박사/마티의 관계도 그렇고, 부모와 조부모의 성격이 전혀 다른 주변 환경에도 불구하고 세대를 거쳐 그대로 내려오는 부분에서도 나타난다. 3부작에서 어떤 일이 일어나...

백투더퓨처 경력관리 랜섬웨어 2021.01.14

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.