Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

"랜섬웨어 평균 피해액은 얼마인가" 숫자로 본 사이버보안 현황 2020

이번 기사에서 제시하는 숫자는 악성코드 추세에서 예산 이동에 이르기까지 업계 현황을 파악할 수 있는 최신의 것들이다.    사이버보안 세계에서 무슨 일이 일어나고 있는지 자신의 판단을 뒷받침할 수 있는 확실한 수치를 갖고 있는가? 보안 산업 현황에 대한 연구와 조사를 통해 현재 보안 상황과 이에 대해 보안 리더들이 어떻게 대응하고 있는지 파악했다.  어떤 시스템이 가장 취약한지, 어떤 악성코드가 순위에서 1위를 차지하고 있는지, 그리고 이런 공격과 사고들을 대응, 처리하기 위해 얼마나 많은 돈을 지출하고 있는지에 대한 데이터를 원한다면 계속 읽어보자.  한 눈에 보는 9가지 주요 사이버보안 통계   악성코드의 94%가 이메일을 통해 전달된다.  피싱 공격은 보고된 보안 사고의 80% 이상을 차지한다.  피싱 공격으로 1분에 1만 7,700달러의 손실이 발생한다.   보안 침해의 60%는 패치가 제공됐지만 적용하지 않은 취약점과 관련이 있다.  기업의 63%가 하드웨어 또는 반도체 레벨의 보안 침해 사고로 인해 12개월 내에 데이터를 해킹당할 가능성이 있다고 답했다.  2019년 상반기 IoT 디바이스 공격은 3배로 증가했다.  2019년 상반기 동안 파일리스 공격이 256% 증가했다.  데이터 침해 사고로 기업은 평균 390만 달러를 지불했다.  IT 리더 가운데 40%가 사이버보안 업무자를 채워넣기가 가장 어렵다고 응답했다.  기본부터 시작해보자. 사이버보안에 관한 기사에서 새롭고 낮선 취약점의 수와 관계없이 모든 기본 취약점에 대한 것이다. 수천 건의 보안 사고를 조사한 결과, 버라이즌은 거의 모든 악성코드가 이메일을 통해 컴퓨터에 도달했다는 사실을 밝혀냈다. 94%의 경우가 그러했다.  관련이 없는 뉴스에서 보고된 사고의 80% 이상이 차지하는 소셜 엔지니어링 공격의 가장 큰 유형은 피싱이었...

악성코드 지출 사이버보안 2020.03.17

토픽 브리핑 | "더 악랄하게 돌아왔다" 랜섬웨어 현황과 대응 전략

2010년대 중반에 위험한 수준으로까지 급증했다가 2018년 크립토재킹(cryptojacking)에 밀려 사라지는 듯했던 랜섬웨어가 2019년에 다시 돌아왔다. 그것도 더욱 강력하고 악랄하게 등장했다.    2019년 새로운 랜섬웨어는 57% 감소한데 반해, 랜섬웨어 탐지율은 10% 증가한 것으로 나타났다. 헬스케어 산업은 여전히 공격자의 주요 타깃이었으며, 2019년에만 700개 이상의 미국 기업이 랜섬웨어의 영향을 받았다. 특히 미국의 경우, 연방 정부와 지방 정부, 그리고 관련 기관 117곳이 랜섬웨어로 인한 피해를 입었다. 랜섬웨어가 지방자치단체, 병원, 학교 또는 경찰서와 같은 공공 기관을 공격할 때, 그 충격은 눈에 띄게 커지고 피해 범위는 한층 더 넓어진다.  보안 업체 엠시소프트(Emsisoft)가 2019년 12월에 발표한 보고서에 따르면, 랜섬웨어 공격은 113개 미국 정부기관, 지방자치단체, 주정부에 영향을 미쳤으며, 764개의 의료 서비스 제공업체와 89개의 대학교 및 단과대학 등이 영향을 받을 가능성이 있다고 한다.  지난 1년간 랜섬웨어 동향을 요약하면 다음과 같다.  - 공격 목표, 개인 사용자에서 기업으로  - 랜섬웨어 피해 현황을 알지 못해 피해 손실이 크게 증가  - 랜섬웨어, APT 레벨의 위협으로 진화 - 새로운 랜섬웨어, 탐지가 쉽지 않다  - 풀기가 더 어려워진 랜섬웨어 암호화 2020 랜섬웨어 현황과 방어 전략 “지능화되고 표적화된 공격으로 피해 비용 증가” 보안 전문가는 2019년도 최악의 랜섬웨어로 소디노키비(Sodinokibi)를 선정했다. 그 이유는 소디노키비 컨트롤러가 추가한 공격 방식 때문이다.  주니퍼 네트웍스 주니퍼 위협 연구소장 무니르 하하드는 "소디노키비가 조금 특별한 한 가지 이유는 이 공격 집단이 사람들에게 ‘몸값을 내지 않으면 데이터를 돌려받을 수 없다’는 말뿐만 아니라 ‘그 비밀 자료를 웹에 ...

랜섬웨어 토픽브리핑 2020.03.13

"사이버 공격이란 무엇인가" 의미와 사례, 동향 분석

사이버 공격(cyber attack)이란 간단히 말해, 하나 이상의 컴퓨터에서 다른 컴퓨터, 여러 컴퓨터 또는 네트워크에 대해 시작된 공격이다. 사이버 공격은 넓게 2가지 유형으로 분류될 수 있는데, 하나는 대상 컴퓨터를 비활성화하거나 오프라인으로 만드는 공격이고 다른 하나는 대상 컴퓨터의 데이터에 접근해 관리자 권한을 얻는 것이 목표인 공격 유형이다.    사이버 공격의 8가지 유형  접속권한을 얻거나 운영을 불가능하게 하는 목표를 달성하기 위해, 사이버 범죄자들은 수많은 다른 기술적 방법을 사용한다. 항상 새로운 방법이 확산되고 이런 범주들은 일부는 중복되지만, 일반적으로 가장 많이 들을 수 있는 용어들이다.   1. 악성코드(Malware) 2. 피싱(Phishing) 3. 랜섬웨어(Ransomware) 4. 서비스 거부(Ransomware, DoS) 5. 중간자(Man in the middle) 6. 크립토재킹(Cryptojacking) 7. SQL 인젝션(injection) 8. 제로데이 익스플로잇(Zero-day exploits) - 악성코드  악성 소프트웨어(malicious software)의 줄임말인 악성코드(malware)는 어떻게 구조화되는지와 운용되는지는 상관없이 ‘단일 컴퓨터, 서버 또는 컴퓨터 네트워크에 손상을 입히기 위해 고안된’ 모든 종류의 소프트웨어를 일컫는다. 웜(Worms), 바이러스(viruses), 트로이목마(trojans)는 모두 다양한 종류의 악성코드로, 복제하고 확산되는 방법에 따라 서로 구별된다. 이런 공격은 컴퓨터나 네트워크를 운용 불가능하게 만들 수도 있고, 공격자가 시스템을 원격으로 제어할 수 있도록 공격자에게 루트 접근(관리자 권한)을 허가할 수도 있다. - 피싱 피싱은 사이버 범죄자가 이메일을 조작해 목표대상을 속여서 어떤 유해한 행동을 취하는 기술이다. 예를 들어, 수신자는 중요한 문서로 위장한 악성코드를 다운로드하도록 속거나, 은행 사용자 이름이나 ...

악성코드 SQL인잭션 cyber attack 2020.03.03

'더 교묘하고 더 악랄해진' 2020 랜섬웨어 공격 5종

데이터를 볼모(ransom)로 잡는 맬웨어의 일종, 랜섬웨어(ransomware)가 등장한 것은 상당히 오래 전이다. 시초는 1991년 한 생물학자가 다른 AIDS 연구자들에게 일반 우편으로 보내는 방식으로 최초의 랜섬웨어인 PC 사이보그를 플로피 디스크에 담아 퍼뜨린 것이다. 2000년대 중반 아키베우스(Archiveus)가 랜섬웨어로는 최초로 암호화를 사용했는데, 물론 오래 전에 해독되어 그 암호가 해당 위키피디아 페이지에 공개되어 있다. 2010년대 초반에는 일련의 ‘경찰’ 랜섬웨어 패키지가 등장했다. 이 명칭이 붙은 것은 법 집행기관을 사칭해 피해자에게 불법 활동에 대한 ‘벌금’ 납부를 요구했기 때문이다. 이들 랜섬웨어 패키지는 걸리지 않고 돈을 쉽게 받아내도록 신세대 익명 결제 서비스를 악용하기 시작했다. 2010년대에는 랜섬웨어 추세가 새롭게 바뀌었다. 피해자의 돈을 갈취하려는 사이버 범죄자들이 몸값 지불 방식으로 암호화폐를 선택한 것이다. 애초에 추적할 수 없는 익명 결제 방식을 목적으로 만들어진 암호화폐는 범죄자들의 구미에 딱 맞았다. 대부분의 랜섬웨어 범죄집단들이 요구한 몸값 지불 수단은 암호화폐 중에서 가장 주목받는 비트코인이었는데 인기가 높아지면서 가치 변동이 심해지자 다른 화폐로 갈아타는 경우도 생겼다. 랜섬웨어 공격은 2010년대 중반에 위험한 수준으로까지 급증했다가 2018년에 이르자 크립토재킹(cryptojacking)에 밀려 사라지는 듯했다. 크립토재킹은 비트코인 지갑이 뭔지 모르는 피해자에게서 비트코인을 빼내는 또다른 불법 갈취 수단이다. 크립토재커는 스팸 유포자와 디도스(DDoS) 공격자가 오랫동안 사용해 온 각본에 따라 주인 몰래 컴퓨터를 은밀히 장악한다. 크립토재킹을 당한 컴퓨터는 비트코인 채굴 기기로 전락해 유휴 자원을 잡아먹으며 뒤에서 조용히 암호화폐를 생산하지만, 피해자는 그 상황을 전혀 모른다. 2018년 한 해 동안 랜섬웨어 공격은 감소한 반면 크립토재킹 공격은 450% 급증했다.   오늘날의 랜섬웨어 ...

랜섬웨어 2020.02.24

2020 랜섬웨어 현황과 방어 전략 “지능화되고 표적화된 공격으로 피해 비용 증가”

랜섬웨어가 진화하고 공격자가 더 나은 도구를 사용하고 과거의 실수로부터 배우면서 위협 수준이 APT와 동등한 수준에 이르렀다.    지난 수년동안 랜섬웨어 공격은 더욱 정교하고 은밀한 기술을 적용함과 동시에 이전에 갖고 있었던 많은 구현 오류를 수정했다. 게다가 일부 공격은 이제 새로운 데이터 유출 방법을 획득했는데, 이로 인해 기업은 기존의 랜섬웨어로 인한 전통적인 데이터 손실보다 더 많은 피해를 입을 수 있다.  지난 1년 동안 관찰된 바에 따르면, 이런 공격은 사라지지 않고 더 증가할 가능성이 높다.  공격 목표가 이동하고 있다  랜섬웨어는 개인 사용자 위협으로 시작했다. 이는 사람들에게 가짜 벌금을 내거나 존재하지 않은 문제를 해결하기 위해 악성 소프트웨어를 구매하도록 속이는 스케어웨어(scareware)의 공격적인 진화다.  초기 캠페인은 사이버 범죄 조직에게 수익을 안겼지만 날이 갈수록 개인 사용자 랜섬웨어의 공격 환경은 복잡해졌다. 개인 사용자 안티바이러스 업체가 랜섬웨어 탐지 기능을 개선함에 따라 가능한 한 많은 피해자를 확보하기 위해 광범위한 네트워크에 전송하는 것이 효과적이지 못하게 됐다.  2019년 8월에 발표한 보고서에서 멀웨어바이트(Malwarebytes)는 2018년 2분기와 2019년 2분기 사이의 랜섬웨어 진화를 살펴보면서 “한때는 위험했지만 최근 잠잠했던 이 위협이 대규모 개인 사용자 캠페인에서 고도로 표적화되고 지능적인 공격으로 전환되면서 다시 살아났다”고 언급했다.  분석 기간 동안 비즈니스 환경에서 랜섬웨어 탐지 수는 365% 증가한 반면 일반 사용자 탐지는 감소했다. 멀웨어바이트 연구소장 애덤 쿠자와에 따르면, 이런 추세는 1년 동안 지속됐다. 쿠자와는 본지와의 인터뷰에서 “우리는 기업에 초점을 맞추고 있는데, 모든 종류의 감염 방법이 증가하고 있다”면서, “몇 년 전보다 오늘날에는 감염이 더 쉬워졌고 이터널블루(EternalBlue)와 ...

APT 랜섬웨어 2020.02.13

지난 5년 간 규모가 컸던 랜섬웨어 공격 6종

데이터를 인질로 잡는 악성코드는 꽤 오래 전에 등장했다. 1991년, 생물학자 한 명이 다른 AIDS 연구원들에게 플로피 디스크를 우편 발송하는 방법으로 역사상 최초의 랜섬웨어인 PC 사이보그(Cyborg)를 퍼트렸다. 2000년대 중반에는 암호화를 사용하는 첫 번째 랜섬웨어인 아키비어스(Archieveus)가 등장했다. 아주 오래 전에 해결되었지만 위키피디아 페이지에서 비밀번호를 찾을 수 있는 랜섬웨어다.  2010년대 초에는 이른바 ‘폴리스(Police)’로 불리는 일련의 랜섬웨어들이 등장했다. 법 집행기관으로 위장, 피해자의 불법 활동에 대해 경고를 하고 ‘벌금’을 요구한 랜섬웨어였다. 새로 등장한 익명 지불 서비스를 이용하기 시작한 랜섬웨어로, 잡히지 않고 돈을 걷어들일 수 있었다. 2010년대 말에는 랜섬웨어와 관련, 새로운 트렌드 하나가 부상했다. 사이버 범죄자들이 사이버 몸값 결제 수단으로 암호화폐(Cryptocurrency)를 사용하기 시작한 것이다. 사이버 범죄자들에게 암호화폐가 매력적인 이유는 추적이 불가능한 익명 지불 수단이기 때문이다. 대부분 랜섬웨어 범죄자들이 가장 유명한 암호화폐인 비트코인으로 사이버 몸값을 지불할 것을 요구했다. 그러나 비트코인의 인기로 가치 변동성이 커지면서 다른 화폐로 결제를 요구하기 시작했다.   랜섬웨어는 처음에는 호기심과 성가심의 대상에 불과했지만, 지금은 국가 첩보기관이나 국제적인 책략과도 관련이 있는 중대한 위협으로 부상했다. 지난 5년 동안 발생한 랜섬웨어 공격 중 가장 규모가 큰 랜섬웨어 공격들은 랜섬웨어가 어떻게 진화했는지 알려준다. 1. 테슬라크립트(TeslaCrypt) 처음에는 크립토락커(CryptoLocker) 변종 중 하나였지만, 얼마 지나지 않아 테슬라크립트라는 새로운 이름이 붙여졌다. 꽤 영리한 작업 방식을 갖고 있다. 저장된 게임, 지도, 다운로드 가능 콘텐츠 등 비디오 게임과 관련된 부수적 파일들을 표적으로 삼았다. 한때 하드코어 게이머들이 소중히 취급했던 시...

랜섬웨어 워너크라이 낫페트야 2019.12.27

2020년 사이버보안, 주시해야 할 9가지 위협

사이버보안에 대해 예측하는 일은 재미있는 일이지만, 가장 철저히 준비해야 할 위협을 결정해야 하는 보안 담당자에게 도움이 되지 않을 수도 있다. 아카마이(Akamai)의 보안 인텔리전스 대응팀 선임 엔지니어인 채드 시먼은 “항상 진짜 문제가 되는 부분은 갑자기 튀어나올 수 있기 때문에 미래에 대해 제대로 예측하는 것은 불가능하다”라고 말했다.     2020년 직면할 가장 큰 위협이 새롭고 예상 못한 위협이라면, 미래를 대비해 노력을 집중하는 최상의 방법은 무엇일까? 올해 가장 컸던 위협이 범위와 전술 측면에서 2020년에 어떻게 바뀔지 생각하는 것이 좋은 출발점이 될 수 있다. 본지는 2019년에 가장 빈번히 발생한 중대 위협에 대한 조사 결과들을 살펴봤다. 그리고 조사 및 연구 전문가에게 2020년의 위협 추세에 맞춰 방어 체계를 조정하는 방법에 대한 조언을 구했다.  1. 장치의 악성코드 감염 엔드포인트 보호는 항상 조직들의 큰 ‘전장’이었다. 카스퍼스키(Kaspersky)의 ‘2019년 IT 보안 경제(IT Security Economics in 2019) 보고서에 따르면, 2019년에 회사 소유 장치가 악성코드에 감염된 조직의 비율이 약 절반에 달한다. 또 직원 소유 장치가 악성코드에 감염된 비율도 절반에 달한다. 카스퍼스키 보고서에 따르면, 대기업의 경우에는 가장 많은 피해를 초래한 보안 사고가 회사 소유 장치가 악성코드에 감염된 사고였다. 구체적으로 사고당 평균 피해액이 273만 달러였다. SMB는 피해액이 여기에 크게 못 미치는 11만 7,000달러였다. - 2020년 전망: 카스퍼스키의 보안 연구원인 드미트리 갈로프는 2020년에 직원 소유 장치로부터 초래되는 위험이 증가할 것으로 내다봤다. 갈로프는 비용을 절감하고, 원격 근무제를 도입하고, 직원 만족도를 높이기 위해 직원들이 개인 소유 장치를 사용하도록 허락하는 기업들이 늘어날 것이라고 예측했다. 그 결과, 공격자들은 기업 방어선을 우회하는 방법으로 개인...

악성코드 사이버보안 서드파티 2019.12.16

“랜섬웨어에 당했다” 몸값을 지불하기 전 답변해야 할 8가지 질문

랜섬웨어 공격 후 몸값을 지불할 것인지 결정하기 전에 다음과 같은 8가지 요소들을 고려해야 한다. 더 좋은 것은 랜섬웨어 범죄자가 자신을 공격하기 전에 스스로 어디에 서 있는 지 파악하는 것이다.    몇 년 전까지만 해도 랜섬웨어 범죄자들이 요구한 몸값을 절대 내지말라고 권장했는데, 이런 행위는 랜섬웨어 범죄자들의 범죄 행위를 부추길 뿐이기 때문이다. 이런 경고에도 불구하고 모든 랜섬웨어 피해자의 약 40%가 몸값을 지불했다는 소문이 무성하다.  최근 많은 피해를 입은 기업들이 몸값을 지불하고 있으며, 이를 원하지 않던 소수의 기업도 몸값을 지불하고 있는 것 같다. 몸값을 지불하지 않고 환경을 복구할 수 있다고 주장한 랜섬웨어 복구 업체들이 종종 범죄자들에게 몸값을 지불하고 암호 해독키를 비밀리에 받는 증거가 포착됐다.  누가 몸값을 지불하는가  필자는 뮬런 콜린(Mullen Coughlin, LLC)의 존 뮬런과 인터뷰를 가졌다. 뮬렌은 수천 건의 사이버보안 사고 대응에 관여한 경력을 가진 인물이다. 뮬런 콜린은 지난해 1,200여 건의 개인정보보호 문제를 처리했으며, 2019년에는 1,500건의 거래를 처리하고 있다.    필자는 뮬런에게 최근 40%까지 수치가 올라간 걸 아는 지 물었다. 뮬렌은 “40~50%가 아니었다. 이 숫자의 출처를 모르겠다. 항상 더 높은 수치였다. 대부분의 기업은 계약이 취소되거나 철회 결정에 직면하면 바로 몸값을 지불한다. 피해 기업은 또 다른 비즈니스 선택지가 없기 때문에 지불할 수 밖에 없다”고 말했다. 뮬렌은 “몸값을 지불하는 기업의 실제 비율을 아는 사람은 아무도 없지만, 몸값 비용이 증가하고 있음은 틀림없다"고 말했다.  필자는 사법당국이 어떤 일이 있어도 몸값을 지불하지 말라고 권장하는 것을 언급했다. 뮬런은 “경험이 풍부한 사법 당국 요원과 비공식적으로 대화해보면 거의 그렇지 않다. 대부분 피해자가 몸값을 지불하는 것이 더 낫다는 ...

몸값 랜섬웨어 지불 2019.10.28

안티바이러스 소프트웨어에 돈을 쓸 필요가 없는 이유

이제 더 이상 안티바이러스 소프트웨어에 돈을 쓸 필요가 없다. 마이크로소프트의 윈도우 디펜더는 윈도우 10에 내장된 무료 서비스이고 지금까지 돈을 내고 사용했던 유료 안티바이러스/맬웨어 솔루션만큼이나 우수하다.    PC 사용자는 2가지 이유 때문에 안티바이러스 소프트웨어에 돈을 지불했다. 무료 대안 소프트웨어가 희소했고, 마이크로소프트는 윈도우를 통해 최소한의 보호만을 제공하며, 안티바이러스 범주를 노턴, 카스퍼스키 같은 서드파티 업체에게 넘겨버렸다. 윈도우의 최초 안티맬웨어 프로젝트는 지극히 참담해서 AV컴패러티브(AV-comparatives.org), AV테스트(AV-test.org)같은 테스트 기관은 윈도우 디펜더를 기본적 성능 수준으로 이용할 정도였다. 한마디로 쓸모 없는 제품이었던 것이다. 예를 들어 2013년 12월 AV테스트는 23개의 안티바이러스 업체가 윈도우 8.1 상에서 현실세계의 악성 코드 샘플을 얼마나 잘 방어하는지 테스트했다. 마이크로소프트는 꼴지를 차지했다.  그 즈음부터 마이크로소프트는 엔드포인트 보안을 진지하게 취급하기 시작했다. 2019년 윈도우 10에 무료로 내장된 마이크로소프트의 윈도우 디펜더 안티바이러스는 유료 서비스를 빈번하게 앞지른다. 참고로 윈도우는 윈도우 디펜더 안티바이러스를 윈도우 방화벽 등을 포함하는 윈도우 시큐리티라는 패키지에 넣어 일률적으로 취급한다. 이는 완벽하지 않다. 정당한 앱을 악성코드로 오인하는 긍정 오류 발생률이 높을 수 있다. 또한, 한 테스트에서는 특히 보급형 PC를 느리게 만드는 것으로 나타났다. 1년에 60달러 이상을 지불하느니 차라리 이를 감수하는 것이 나은지는 스스로 결정할 일이다.   필자는 여전히 최고의 안티바이러스 앱들을 리뷰한다. 그리고 최고의 안티바이러스를 선택해야 할 몇 가지 이유가 여전히 존재한다. 잠시 후 이를 논의할 것이다. 그러나 우선 윈도우 디펜더가 얼마나 발전했는지 고찰하고, 제 1의 안티바이러스 제품이 될 자격이 있는지부터...

맬웨어 안티바이러스 윈도우디펜더 2019.09.26

안랩, 상용 판매 중인 동영상 플레이어 위장 ‘블루크랩’ 랜섬웨어 주의 당부

안랩(www.ahnlab.com)은 최근 한글로 제작한 피싱 페이지를 이용해 동영상 플레이어 프로그램 위장 자바스크립트 파일 형태(.js)의 ‘블루크랩(BlueCrab) 랜섬웨어’ 유포 사례를 발견해 사용자 주의를 당부했다. 공격자는 한글로 제작한 피싱 페이지로 블루크랩 랜섬웨어를 유포했다. 피싱 페이지는 해외에서 상용 판매 중인 유명 동영상 플레이어 프로그램 다운로드 페이지를 사칭했다. 사용자가 무심코 해당 피싱 페이지에서 파일을 다운로드하면 자바스크립트 파일(.js) 형태의 랜섬웨어 실행파일이 다운로드된다. 만약 사용자가 다운로드한 자바스크립트 파일(.js)을 실행하면 블루크랩 랜섬웨어에 감염된다. 이후 블루크랩 랜섬웨어는 사용자 PC내 파일을 암호화(확장자는 무작위 문자로 변경)하고, 복호화 대가로 암호화폐 등 금전을 요구한다. 현재 안랩 V3 제품군은 해당 랜섬웨어를 진단하고 차단한다. 이와 같은 악성코드의 피해를 줄이기 위해서는 ▲의심되는 웹사이트 방문 자제 ▲정품인증 소프트웨어 및 콘텐츠 다운로드 ▲출처 불분명 메일 첨부파일 실행 자제 ▲운영체제 및 인터넷 브라우저, 애플리케이션, 오피스 소프트웨어 등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 최신 버전 유지 및 주기적 검사 등 보안 수칙 실행이 필요하다. 안랩 분석팀 오민택 연구원은 “블루크랩 랜섬웨어 공격자가 한글 피싱 페이지를 제작한 것으로 보아 국내 사용자를 노린 것으로 추정된다”며, “피해 방지를 위해 중요 파일을 수시로 백업하고 필수 보안 수칙을 평소 지키는 것이 필요하다”고 말했다. editor@itworld.co.kr

안랩 랜섬웨어 2019.09.20

필요할 때 애저 백업이 작동하도록 보장하는 7단계 조치

최근 충격적인 랜섬웨어 공격이 미국 텍사스 주 22개 지방 정부를 덮쳐 세금 납부나 정상적인 업무처리를 수행할 수 없게 되었다. 이로 인해 공공단체와 민간단체 모두 이런 공격에서 회복할 수 있는 능력을 재검토할 필요가 있다는 점도 다시 한 번 일깨워주는 계기가 되었다. 이는 적절한 백업 전략을 갖는 것으로 시작한다.   랜섬웨어 공격자들은 종종 네트워크가 어떻게 설정되고 기업이 백업 솔루션에 어떤 프로세스를 사용하는지 조사한다. 공격자는 먼저 백업 위치를 찾아 로컬 NAS 기기에서 조용하고 신속하게 백업을 삭제하고 1s와 0s로 장치에 기록해 큰 비용없이 백업을 완전히 삭제해 복구될 수 없도록 한다.  공격자는 종종 온라인 백업을 먼저 타겟으로 삼는다. 공격자는 백업을 암호화하는 대신 백업이 있는 위치를 삭제하고 복구되지 않도록 그 위치 위에 무언가를 덮어 쓰려고 할 것이다. 그런 다음 가상화 게스트, 가상화 호스트, 워크스테이션 데이터, 마지막으로 도메인 컨트롤러를 대상으로 한다. 공격자는 서버 및 워크스테이션마다 서로 다른 암호키를 사용하고 모든 복구키에 대해 요금을 부과한다.  애저에 대한 백업 및 랜섬웨어 복구의 모범 관행 핵심은 공격자들이 우리가 쉽게 해결하지 못하게 하는 것이다. 미국 국토안보부는 피해자가 취해야 할 조치에 대한 권고안을 내놓았다. 최고의 조치는 시스템을 백업하는 것이다. 이것조차도 오늘날의 비즈니스 경제에서는 까다로울 수 있다. 책임의 분열은 서로 다른 팀이 중요한 일을 처리한다고 생각하다가 결국 균열이 발생해 추락하는 상황을 초래할 수 있다. 백업이 설정되어 있지만 모니터링되지 않은 경우는 비일비재하다. 실제 백업이 동작하지 않을 때, 백업을 할 수 있다고 생각하는 것보다 더 나쁜 일은 없다.  다음과 같은 7단계를 수행해 랜섬웨어 또는 기타 공격이 발생한 날, 백업이 이로부터 우리를 구원할 수 있도록 하자. 1. 경고 설정 방법을 검토하도록 한다. 백업이 실패할 때를 알려주는 알림을...

복구 백업 애저 2019.08.30

"랜섬웨어에 아직 당하지 않은" 조직이 해야 할 일

가장 강력한 공격 가운데 하나인 랜섬웨어(Ransomware)를 알아야만 공격 표적이 되지 않는다.   랜섬웨어가 무엇인지 모르는 사람이 있다면, 분명 그는 아직 랜섬웨어에 당해보지 않았을 가능성이 있다. 랜섬웨어는 몸값이 지불될 때까지 컴퓨터 시스템이나 데이터에 대한 액세스를 거부하도록 설계된 바이러스 유형이다.  현재 랜섬웨어는 가장 취약하고도 중요한 기관인 주, 도시, 교육 기관을 대상으로 공격하고 있다. 최근 랜섬웨어 공격에 당한 미국의 주와 도시들은 볼티모어 시와 올 버니(Albany), 루이지애나 학군, 텍사스 주의 23개 도시들이다. 그리고 이는 더 나빠질 전망이다.   이는 좀처럼 없어질 것 같지 않으므로 왜 이런 일이 일어나고 있는지에 대해 알아보는 것이 좋다.  - 공격 표적이 된 이들은 일반적으로 소프트웨어 패치를 유지할 수 있는 적절한 보안 기술과 전문지식이 없다. 이들은 시스템을 안전하게 유지하고 지속적인 데이터 위생을 유지하기 위한 적절한 보안 도구를 갖추고 있지 않다.  - 공격자들은 세금 납부 시스템이나 수업료 지불 사이트와 같은 중요한 기능이 납세자 자금을 지원하는 단체와 기타 교육 기관의 생명선이라는 점을 잘 알고 있다. 이 시스템이나 사이트가 오프라인 상태가 길어질수록 피해자는 고통을 느끼고 몸값을 지불할 가능성이 높다.  - 과거의 성공은 미래 성장을 이끈다. 이는 엉뚱한 소리처럼 들릴 수도 있지만 사실이다. 범죄자가 자신의 표적이 돈을 지불하고 있음을 알게되면 모든 지역, 주, 교육기관이 표적이 되어버린다.  - 공격이 한번 휩쓸고 지나간 모든 곳에는 피해자가 사이버보안 보험에 더 많은 돈을 지불해야 하는 상황이 발생한다.   또한 피해를 받은 이들 가운데 일부는 이 문제를 처리 결정한 방법에서 배워야 할 교훈이 있다. 피해 조직들의 대응은 각기 다르고 일관되지 않았다. - 볼티모어의 버나드 C, 잭 영 시장은 몸값으로 요구한 8만 달러...

조직 랜섬웨어 2019.08.21

카스퍼스키, 윈도우 취약점 악용해 퍼진 신종 지능형 랜섬웨어 ‘소딘’ 발견

카스퍼스키 연구진은 새로운 암호화 랜섬웨어 소딘(Sodin)을 발견했다고 발표했다.  소딘은 최근 발견되었던 윈도우 제로데이 취약점을 악용해 감염된 시스템에 대한 관리자 권한을 확보한 후, 랜섬웨어로서는 보기 드물게 CPU 아키텍처를 교묘히 활용해서 보안 솔루션의 감시망을 벗어났다. 뿐만 아니라 사용자 개입없이 공격자가 바로 취약한 서버에 소딘을 심은 사례도 몇 건 발견됐다.  데이터 또는 기기 자체를 암호화하고 이를 대가로 주로 돈을 요구하는 랜섬웨어는 오래 전부터 존재한 사이버위협이다. 전 세계적으로 개인은 물론 규모를 막론한 모든 조직이 랜섬웨어의 피해를 입고 있다. 대부분의 보안 솔루션은 널리 알려진 랜섬웨어나 공격 수법을 탐지할 수 있지만, 소딘과 같이 최근에 발견된 제로데이 취약점(CVE-2018-8453)을 악용해서 관리자 권한을 획득하는 정교한 기법을 사용할 경우는 얼마간은 감시망을 피할 수 있다. 소딘은 유포자(구매자)가 암호화 악성코드가 전파되는 방식을 선택하는 서비스형 랜섬웨어(RaaS) 일종으로 보인다. 소딘이 제휴 프로그램을 통해 유포된다는 몇 가지 증거도 있다.  예를 들어 개발자가 악성코드 기능에 허술한 구멍을 남겨두었기에 악성코드 구매자들도 모르게 파일을 복호화할 수 있다. 보통은 피해자가 대가를 지불하면 유포자 키를 제공해 파일을 복구하는데, 이 유포자 키가 없어도 복호화할 수 있는 일종의 ‘마스터키’를 원천 개발자가 가진 셈이다. 이 기능은 개발자가 피해자 데이터 복구를 제어하거나 일부 유포자의 악성코드를 쓸모없게 만들어서 제휴 프로그램에서 제외시키는 등 랜섬웨어 유포를 조작하는 데 사용되는 것으로 보인다. 뿐만 아니라 대부분의 랜섬웨어는 이메일 첨부파일 열기 또는 악성 링크 클릭 등 사용자의 개입이 조금이라도 필요하기 마련인데 소딘의 경우는 달랐다. 소딘을 사용한 공격자는 취약한 서버를 찾아 ‘radm.exe.’라는 이름의 악성 파일을 다운로드하도록 명령을 전송했다. 그러면 랜섬웨어가 로컬에...

카스퍼스키 랜섬웨어 2019.08.19

How To : 랜섬웨어와 온라인 사기로부터 자신을 지키는 방법

온라인 사기로부터 자신을 스스로 보호해야 하는 것은 이제 어쩔 수 없는 현실이 됐다. FBI의 2018년 인터넷 범죄 보고서(2018 Internet Crime Report)에 따르면, 2014년부터 2018년까지 인터넷 사기는 소비자들에게 74억 5,000만 달러(약 8조 7,463억 원)의 피해를 입혔다.    사기는 온라인 쇼핑에서의 주문한 제품의 불착, 신원 도용, 신용카드 사기와 DoS /DDoS 공격 등을 포함한다. 또 다른 위협으로는 여러 종류의 랜섬웨어, 악성코드, 스케어웨어, 바이러스와 몇 가지 다른 범주의 범죄가 있다.  필자는 지금까지 랜섬웨어를 두번이나 겪었는데, 이를 위한 치료 방법과 타격을 받았던 친구의 경험에서 많은 것을 배웠다. 필자가 경험한 일을 기반으로 랜섬웨어 제거 방법과 모든 종류의 온라인 사기를 막을 수 있는 체크리스트를 구성했다.  랜섬웨어에 당한 필자의 경험담   랜섬웨어는 “컴퓨터가 잠겼습니다”, 또는 “모든 파일이 암호화됐습니다”라는 메시지가 화면 한가운데 창이 뜨게 되는데 무섭다. 다시 예전처럼 돌아갈 수 있는 유일한 방법은 대가를 지불하거나 작동하지 않을 수도 있는 특수 소프트웨어를 구매해야 한다.  몸값을 지불해야하나? 아마도 그렇지 않다. 금액이 상대적으로 적다면 돈을 지불하고픈 유혹에 빠질 수 있지만 최상의 상황을 기대해보자. 가해자는 암호화된 파일을 풀기 위해 암호화 코드나 소프트웨어 프로그램을 보낼 의도가 없을 수 있다. 가해자가 자신의 약속을 철저히 지키더라도 “호구” 목록에 등록될 위험이 있다. 이로 인해 더 많은 공격자가 방문할 수 있다.    미국 조지아 주 애틀랜타시에서 일어난 사건은 랜섬웨어 공격에 대한 대응이 얼마나 어려운지를 보여준다. 이 도시의 컴퓨터 시스템이 샘샘(SamSam) 랜섬웨어에 감염됐다. 공격자들은 약 5만 달러 규모의 비트코인 지불을 요구했지만, 지불 포털의 액세스가 불가능해져서 몸값을 지불할...

온라인사기 랜섬웨어 2019.07.19

"범죄자에게 대가를 지불하느냐, 지불하지 않느냐" 랜섬웨어 딜레마

지난 주 미국 볼티모어 시장 잭 영은 미국 시장협의회(U.S. Conference of Mayors)의 시장들에게 랜섬웨어 공격자의 대가 요구를 거부하도록 촉구하는 결의안을 비준했다고 발표했다. 이 결의안에서 "최소 170개 국가, 도시, 주 정부 시스템이 2013년 이후로 랜섬웨어 공격을 경험했으며 이 가운데 22건은 2019년에 발생했다"고 밝혔다.   여기에는 영의 볼티모어시도 포함되어 있었으며, 지난 5월 7일 로빈후드(Robbinhood) 랜섬웨어 공격을 받아 한 달 이상 혼란과 시 서비스 중단 사태가 벌어졌고 해당 시의 부동산 가격이 하락했으며 결과적으로 복구 비용 및 수익 손실로 인해 1,800만 달러(약 212억 원)의 피해를 입었다.  볼티모어는 연방 재난 기금을 신청했으며 해당 시의 IT 책임자는 공격 이후의 "미흡한 의사소통"에 대해 공개적으로 사과했다. 영 시장과 IT 전문가들은 볼티모어의 시스템이 제대로 기능하려면 수개월이 더 소요될 것이라고 밝혔다. 몰티모어의 랜섬웨어 재난은 이론 상으로 해당 시가 해커의 초기 요구에 따라 비트코인으로 궁극적인 공격 비용의 1% 미만에 해당하는 약 7만 6,000달러(약 9,000만 원)를 지불했더라도 최소화되었을 것이다. 최소한 다른 2개의 도시들이 최근 랜섬웨어 공격을 받고 자체적인 계산에 따라 그렇게 하기로 결정했다. 인구 3만 5,000명의 플로리다 리비에라 비치(Riviera Beach)시는 5월 29일 류크(Ryuk) 랜섬웨어로 추정되는 것에 감염됐다. 해당 시는 네트워크를 복구하기 위해 공격자에게 당시 시세로 약 60만 달러였던 65개의 비트코인을 지불하기로 동의했지만 보험사로부터 리비에라 비치가 공제할 수 있는 금액은 2만 5,000달러(약 3,000만 원)에 불과했다. 6월 10일, 인구 1만 2,000명의 플로리다 레이크 시티(Lake City)는 이모텟(Emotet)과 트릭봇(TrickBot) 뱅킹 트로이 목마 바이러스(Trojan)를 결합해 류크 랜섬웨...

대가 랜섬웨어 2019.07.17

당신의 백업·복구 프로세스는 '틀렸다'

거의 대부분 기업이 중대한 데이터를 백업한 후 이 백업이 정말로 제대로 복구되는지 테스트하지 않는다.   백업은 항상 '제대로 인정받은 적이 없는' 작업이었다. 백업 소프트웨어는 수백 가지나 되지만 지극히 복잡하고 실제 유효성은 의심스럽다. 이에 관한 교육은 매우 부족하거나 제대로 이뤄지지 않아 대다수는 그냥 기본값을 적용하고 효과가 있기를 기도한다. 실제로 필자 역시 백업을 복구할 때마다 심지어 파일 하나를 복구할 때에도 작업이 제대로 완료되면 '안도의 한숨'을 쉰다. 백업과 복구 과정이 유효하지 않은 경우가 많다는 것을 알고 있기 때문이다. 대부분의 경우 필요한 복구 작업이 실패하곤 한다. 더 안타까운 것은 실제로는 실패했지만 백업 소프트웨어가 작업에 성공했다고 메시지를 보여주는 경우다. 이런 경우 백업은 기본적인 가치조차 잃게 된다.   부실한 백업 테스팅이 보안을 위협한다 백업을 테스트해야 한다는 것을 모르는 사람은 없다. 그러나 이를 이행하는 사람은 거의 없고 설사 테스트를 해도 단일 데이터베이스나 서버를 제한적으로 복구해 볼 뿐이다. 필자는 이런 식의 테스트라도 이행하는 사람은 1% 정도라고 본다. 진정한 보안 전문가다. 나머지 99%는 백업을 전혀 테스트하지 않는다. 게다가 백업이 이루어지지 않은 사례에 대한 보고서를 읽는 사람도 별로 없다. 대부분은 파일이나 폴더가 제대로 백업되지 않은 이유를 전혀 생각하지 않기 때문이다. 그래서 가동 중인 파일과 프로그램은 올바르게 백업될 수 없다는 한계를 잘 이해하지 못한다. 또는 적절한 백업 소프트웨어가 없거나 추가로 값비싼 모듈이 구매해야 하지만 경영진은 예산을 계속 삭감하고 이를 설득하지도 못한다. 결국 백업과 복구는 전문적이고 물리적인 악몽이 된다. 심지어 이는 감사 과정에서도 걸러지지 않는다. 백업과 복구 작업이 완료됐고 이에 대해 최소한의 증거를 제시하면 감사 측은 기꺼이 ‘백업 및 복구 테스팅’ 요건이 충족된 것으로 체크하기 때문이다. 문제가 계속 악순환을 반복하는 이유...

복구 백업 랜섬웨어 2019.07.02

"윈도우 XP, 윈도우 서버 2003 버리지 않아" MS, 원격 코드 실행 취약점 필수 패치 발행

윈도우 XP의 수명은 다했을지 모르지만, 웜 바이러스에 방치되지는 않는다. 어제 날짜로 마이크로소프트는 사용자에게 윈도우 XP를 위험에 처하게 할 수 있는 원격 코드 실행 취약점에 대한 필수 패치를 적용하라고 권고했다. 일반적인 주의로는 부족하다. 이번 익스플로잇은 사용자가 어떤 특정한 행동을 하지 않아도 기기가 위험에 노출될 수 있다. 마이크로소프트의 사이먼 포프는 “즉, 이번 패치는 “웜 감염 가능”한 취약성에 대한 것인데, 향후 어떤 맬웨어가 이 취약성을 악용해 취약한 컴퓨터에서 다른 취약한 컴퓨터로, 마치 2017년 전 세계를 강타한 워너크라이 맬웨어처럼 빠르게 바이러스를 퍼뜨릴 수 있다”고 설명헀다. PC를 사용할 수 없게 하고 데이터를 인질로 잡아 잠금 해제 비용을 요구하는 워너크라이의 선례를 본 마이크로소프트는 2개의 만료된 운영체제, 즉 윈도우 XP와 윈도우 서버 2003에 대한 중요 보안 패치를 이례적으로 공개했다. 또, 윈도우 7, 윈도우 서버 2008, 윈도우 서버 2008 R2 대상으로도 운영체제 원격 데스크톱 서비스를 목적으로 하는 새로운 보안 취약점 악용을 방지하기 위해 중요 패치 업데이트가 발행됐다. 포프는 실제로 취약점이 악용된 사례를 발견하지는 못했지만, 악의적인 공격자가 취약점을 자체적인 맬웨어에 통합할 가능성이 매우 높다며 “워너크라이와 비슷한 방식으로 상황이 악화되지 않도록 영향권에 있는 PC일 경우 빨리 패치를 설치해야 한다”고 권고했다. 이번 중요 패치의 설치 대상인 운영체제 목록은 마이크로소프트 홈페이지에서 확인할 수 있다. 이번 패치에는 윈도우 8과 윈도우 10용 패치 다운로드 링크가 빠져 있다. 포프는 “최신 윈도우 버전이 취약점 패치 목록에 빠진 것은 우연이 아니다. 마이크로소프트는 오랫동안 제품 보안 강화에 전력을 다해왔고, 과거 버전에서 생각할 수 없었던 설계상 개선을 이루어냈다”고 주장했다. 실제로 윈도우 10은...

맬웨어 웜바이러스 윈도우XP 2019.05.15

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.