Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

워너크라이

"1일 1백업은 재앙"…실시간 기록 및 백업 지원하는 '지속적 데이터 보호'의 중요성

5년 전 NHS 등이 겪은 워너크라이 공격, 그리고 지난해 콜로니얼 파이프라인 보안 사고와 최근 엔비디아 사고까지 랜섬웨어 사건 사고 타임라인은 계속 늘어나고 있다. 사실 복잡한 사이버보안 지형에서 매일 새로운 사건이 1면을 장식하는 일은 거의 없고, 엄청난 혼란을 야기하는 문제도 많지는 않다. 그러나 2021년 IDC 연구에 따르면 전 세계 기업의 약 40%가 어떤 형태로든 랜섬웨어 피해를 경험한 적이 있다. 지난 2월 CISA 보고서는 전 세계의 중요 인프라에 대한 정교하고 영향력이 큰 랜섬웨어 사건 증가를 확인했으며, 미국 핵심 인프라 16개 중 14개가 랜섬웨어 공격의 표적이 되었다고 분석했다. 워너크라이 이후 연간 랜섬웨어 공격은 1억 8,400만 건에서 3억 건 이상으로 60% 이상 증가했다. 여러 전문가가 랜섬웨어 공격이 이제 ‘가능성’이 아니라 ‘시기’의 문제라고 진단했지만 지금은 다시 ‘얼마나 자주 공격받는가’의 문제가 된 것이다.   2017년 이후 점점 정교해지는 랜섬웨어 공격에 발맞춰 사이버보안 업계 대응책도 진화하고 있다. 항상 모든 공격을 예방할 수는 없겠지만, 이제 기업은 다운타임을 줄이고 수 일이 아닌 수 분, 수 초만에 데이터를 복구하는 정교한 대응 방법을 강구할 수 있다.   지속적 데이터 보호 CDP(Continuous Data Protection, 지속적 데이터 보호)도 그중 하나다. 기업 IT는 로컬 및 원격에서 여러 개의 복사본을 빠르게 생성해 규모에 맞게 모든 사이트와 애플리케이션을 빠르게 복구하는 ‘올웨이즈온’ 사본 및 저널링 기술을 고려할 수 있을 것이다. 시스템의 다운타임과 데이터 손실 위험이 있는 기업이라면 1일 전 백업만 보유하는 것은 매우 위험하다. 시간이 지나 데이터 손실의 위험이 커지면 복구 비용은 비약적으로 상승한다. 핵심 데이터를 보호하는 현재의 대다수 접근법은 기간별 스냅샷을 생성해 데이터를 보호하는 수십 년 전의 레거시 솔루션에 의존하는 방법이다. 그러나 항상 활성화되어...

지속적데이터보호 랜섬웨어 워너크라이 2022.07.11

"낫페트야 공격 후 5년, 그리고 러-우 전쟁" 보안 업계는 무엇을 배웠나

우크라이나의 제헌절인 2017년 6월 27일, 대규모 사이버 공격이 발생했다. 낫페트야(NotPetya)라고 알려진 멀웨어는 우크라이나 소재 기업 80곳 이상을 감염시켰다. 낫페트야는 우크라이나에만 머무르지 않고 유럽을 비롯해 전 세계 수천 곳의 기업까지 퍼져나갔다. 낫페트야라는 이름은 페트야(Petya)와 유사하지만 다르다는 의미로 지어졌다. 2016년 발견된 페트야는 초기 형태의 랜섬웨어와 달리 암호 해독이 불가능했다. 페트야는 마스터 부트 레코드를 덮어쓰고 암호화했기 때문에 엄밀히 말해서 랜섬웨어라기보다는 데이터를 파괴하는 와이퍼 악성코드의 한 형태로 간주됐다.   빠르게 전파되는 가짜 랜섬웨어 페트야처럼 낫페트야는 암호 해독이 불가능했기 때문에 실제 랜섬웨어가 아니었다. 공격자는 파괴적인 목적을 감추기 위해 300달러의 몸값을 가짜로 요구했다. 낫페트야가 등장한 것은 또 다른 가짜 랜섬웨어인 워너크라이(WannaCry) 공격 이후 5주만이었다. 진정한 '사이버 무기'로 간주되던 낫페트야는 워너크라이와 마찬가지로 미국 NSA(National Security Agency)가 도난당한 사이터 툴 이터널블루(EternalBlue)를 사용했다. 이터널블루로 낫페트야는 윈도우의 SMB(Server Message Block) 프로토콜의 취약점을 악용했다. 마이크로소프트는 공격이 발생하기 한 달 앞서 윈도우 10 패치를 배포했지만, 멀웨어가 확산하는 데는 패치가 적용되지 않은 윈도우 10 PC 1대, 혹은 이전 버전의 윈도우가 설치된 PC 1대만 있으면 충분했다. 공격자는 이터널블루와 함께 미미캐츠(mimikatz)라는 툴도 사용했다. 보안 연구를 위해 오래전 개발된 미미캐츠는 메모리에서 암호를 가져올 수 있다. 공격자는 이터널블루와 미미캐츠로 공격 범위를 넓혀나갔다.  러시아 GRU의 전염성 높은 악성코드 일부 전문가는 낫페트야를 페트야의 변종으로 간주했지만, 전파 방식을 고려했을 때 별개의 멀웨어였다. 낫페트야는 페트야보다 훨씬 전염...

낫페트야 워너크라이 CISO 2022.06.30

"여전히 가장 큰 위협" 워너크라이 5주년을 맞이한 보안 업계의 '말말말'

역사적인 사건이 일어날 당시에 ‘어디서 무엇을 하고 있었는지’ 회상할 수 있는 기회를 좋아하지 않는 사람이 있을까? 지난 며칠은 워너크라이(WannaCry)를 기억하는 시기였다. 워너크라이는 5년 전 수천 대의 컴퓨터를 감염시켜 전 세계 기업에 수십억 달러의 손해를 입힌 악명 높은 랜섬웨어다.    워너크라이는 2017년 5월 12일 정보보안 업계에 등장했다. 취약한 버전의 SMB(Server Message Block) 프로토콜을 이용해 궁극적으로 150개가 넘는 국가에서 약 20만 대 이상의 컴퓨터를 감염시켰다. 마이크로소프트는 공격이 시작되기 한 달도 훨씬 전에 SMB 취약점에 대한 패치를 배포했지만, 패치를 설치하지 않은 컴퓨터는 수백만 대에 달했다. 사상 최대 규모의 랜섬웨어 공격은 영국의 국립보건서비스(NHS), 미국의 대형 배달 기업 페덱스(FedEX), 독일 철도기업 도이치 반(Deutsche Bahn)과 같은 세계적인 대기업에 영향을 미쳤다.  보안 전문가이자 위드시큐어(WithSecure)의 최고연구책임자 미코 히포넨은 “이 역사적인 공격은 사상 최대의 공격 가운데 하나였다. 거의 대기업만을 대상으로 했고 수십만 대의 컴퓨터를 파괴했다. 병원, 자동차 공장, 발전소, 열차 회사 등 전 세계 기업이 감염됐으며, 감염 목록은 현재까지도 계속 늘어나고 있다”라고 말했다. 워너크라이 공격은 북한과 관련된 것으로 알려진 라자루스(Lazarus) 그룹의 소행이었다. 그러나 워너크라이 사건과 관련해 가장 주목할 만한 사항은 그 이후 출현한 전염병, 즉 ‘랜섬웨어’에 눈을 뜨게 했다는 것이다. 사실 랜섬웨어는 새로운 것이 아니었다. 하지만 당시까지 랜섬웨어는 잘 알려지지 않은 악성 프로그램 종류였고, 워너크라이 사건 이후에는 많은 사람이 랜섬웨어에 관해 이야기했다. 정보보안 분야의 유명인들은 트위터에서 ‘그날’의 이야기를 공유하고 당시 배운 교훈을 되새겼다.  영국 텔레그래프의 비즈니스 기술 및 보안 담당 기자 개...

워너크라이 랜섬웨어 2022.05.24

IDG 블로그 | "참을 만큼 참았다" 오류투성이인 윈도우 10 업데이트

일명 ‘패치 화요일’이었던 어제 필자는 윈도우 10 패치의 안타까운 상태를 애도하고 잘못돼 가는 것들의 아주 풍부한 사례를, 필자의 노트북에서 발생한 엄청난 예시를 실은 칼럼을 완성했다. 마이크로소프트가 SMBGhost로 불리는 서버 메시지 블록(SMB) 버그 소식을 실수로 유출했다는 이야기가 퍼졌다. 유출 내용에 따르면 이 버그는 어제 공개되는 패치로는 수정되지 않는다고 한다. 물론 이 소식에도 분노하겠지마 우선 지난 몇 달간을 되돌아보자. 필자는 마이크로소프트 10 패치 실패에 대한 기사를 여럿 작성했다. 솔직히 이제는 지칠 지경이다. 하지만 그 외에도 지쳐버린 것이 있는데, 바로 엉망으로 꼬여버린 윈도우 10 업데이트를 멈추려는 수많은 광대놀음이다. 심지어 필자는 주 데스크톱 운영체제로 윈도우 10을 쓰지도 않고 있다. 주 운영체제는 리눅스 민트와 데비안 리눅스를 설치한 크롬북이다. 업무용으로 윈도우 10에만 의지해야 하는 동료들에게는 안타까운 마음뿐이다. 윈도우 10 패치 지형도를 돌아보면 왜 아직도 윈도우 7을 고집하는 사용자가 남아 있는지를 이해할 수 있다. 지원 기간도 끝났고 공격에 취약하지만 최소한 업데이트 후 PC를 재시작할 때 무슨 일이 일어날지 두려워하지 않아도 되나. 지난 2월 독자적인 보안 패치 KB 4524244가 배포됐다. 한 마디로 엉망진창이었다. 라이젠 프로세서를 탑재한 HP PC 제품을 중심으로 여러 PC가 이 패치로 나가떨어졌다. 보안 부팅을 활성화해놨어도 정상적으로 재부팅을 하지 못했고 최악의 경우에는 시스템을 완전히 새로 복구해야 했다. 그 방법도 먹히지 않은 경우조차 있었다. 마이크로소프트는 사용자를 곯리는 방법을 아주 제대로 아는 것 같다. 마이크로소프트는 마침내 패치를 철회했다. 수많은 데이터를 잃어버린 다음에야 문을 닫아줘서 고맙기 짝이 없다. 그리고나서는 KB4532693이 있었다. 신뢰할 수 있는 기자인 우디 레너드가 말한 것처럼 데스크톱 아이콘을 먹어치우고 윈도우 10 1903과 1909에서 파일을...

SMB 윈도우10업데이트 패치화요일 2020.03.12

지난 5년 간 규모가 컸던 랜섬웨어 공격 6종

데이터를 인질로 잡는 악성코드는 꽤 오래 전에 등장했다. 1991년, 생물학자 한 명이 다른 AIDS 연구원들에게 플로피 디스크를 우편 발송하는 방법으로 역사상 최초의 랜섬웨어인 PC 사이보그(Cyborg)를 퍼트렸다. 2000년대 중반에는 암호화를 사용하는 첫 번째 랜섬웨어인 아키비어스(Archieveus)가 등장했다. 아주 오래 전에 해결되었지만 위키피디아 페이지에서 비밀번호를 찾을 수 있는 랜섬웨어다.  2010년대 초에는 이른바 ‘폴리스(Police)’로 불리는 일련의 랜섬웨어들이 등장했다. 법 집행기관으로 위장, 피해자의 불법 활동에 대해 경고를 하고 ‘벌금’을 요구한 랜섬웨어였다. 새로 등장한 익명 지불 서비스를 이용하기 시작한 랜섬웨어로, 잡히지 않고 돈을 걷어들일 수 있었다. 2010년대 말에는 랜섬웨어와 관련, 새로운 트렌드 하나가 부상했다. 사이버 범죄자들이 사이버 몸값 결제 수단으로 암호화폐(Cryptocurrency)를 사용하기 시작한 것이다. 사이버 범죄자들에게 암호화폐가 매력적인 이유는 추적이 불가능한 익명 지불 수단이기 때문이다. 대부분 랜섬웨어 범죄자들이 가장 유명한 암호화폐인 비트코인으로 사이버 몸값을 지불할 것을 요구했다. 그러나 비트코인의 인기로 가치 변동성이 커지면서 다른 화폐로 결제를 요구하기 시작했다.   랜섬웨어는 처음에는 호기심과 성가심의 대상에 불과했지만, 지금은 국가 첩보기관이나 국제적인 책략과도 관련이 있는 중대한 위협으로 부상했다. 지난 5년 동안 발생한 랜섬웨어 공격 중 가장 규모가 큰 랜섬웨어 공격들은 랜섬웨어가 어떻게 진화했는지 알려준다. 1. 테슬라크립트(TeslaCrypt) 처음에는 크립토락커(CryptoLocker) 변종 중 하나였지만, 얼마 지나지 않아 테슬라크립트라는 새로운 이름이 붙여졌다. 꽤 영리한 작업 방식을 갖고 있다. 저장된 게임, 지도, 다운로드 가능 콘텐츠 등 비디오 게임과 관련된 부수적 파일들을 표적으로 삼았다. 한때 하드코어 게이머들이 소중히 취급했던 시...

랜섬웨어 워너크라이 낫페트야 2019.12.27

윈도우 7 종료 임박을 맞이한 영국 NHS의 대응책

2020년 1월 14일이면 윈도우 7 지원이 끝난다. 하지만 이 운영체제는 여러 기업과 공공기관에서 여전히 운영 중이며, 영국 국가의료제도(NHS)도 그 중 하나다.   2019년 6월 30일 현재, 100만 5,000대의 NHS 컴퓨터가 여전히 윈도우를 이용하고 있었다(NHS의 약 76%). 이는 영국 정신 건강 및 자살 예방 담당관인 재키 도일-프라이스가 의회 답변에서 밝힌 내용이다.  내년 1월 14일, 마이크로소프트는 신종 악성코드 공격으로부터 컴퓨터를 보호하는 윈도우 7의 보안 패치, 업데이트 또는 기술 지원을 종료할 예정이다. 이제 해커들은 종료 시한이 지나는 것을 기다릴 수 있다.  2017년 워너크라이 사이버 공격에서 드러난 것처럼, 위험은 NHS에게 특히 심각하다. 이 랜섬웨어는 236곳의 NHS 트러스트 가운데 최소 80곳에 영향을 주었고, 약 2만 건의 병원 예약 및 수술이 취소되었으며, 5곳의 사고 및 응급 진료부(A&E)가 환자를 다른 병원으로 이관해야 했다.  사이버보안 책임을 맡은 그림자 내각 장관(Shadow Cabinet Office Minister)인 조 플랫은 NHS가 윈도우 7을 계속해서 널리 사용하는 것이 ‘지극히 염려스럽다’고 말했다.  플랫은 “2년 전의 워너크라이 사이버 공격은 시한이 넘은 소프트웨어를 이용할 때의 위험을 확실히 보여주었다”라면서 “정부가 신속히 행동하고, 과거의 실수로부터 배우지 않는다면, 워너크라이는 반복될 위험이 있다”라고 경고했다.  2018년 4월 보건사회복지부는 NHS가 윈도우 10을 무료로 이용할 수 있는 계약을 마이크로소프트와 체결했다고 발표했지만, 그런데도 여러 NHS 조직이 마이그레이션에서 곤란을 겪었다.   NHS는 빠듯한 예산과 인력 제약으로 대기업보다 운영체제를 업그레이드하는 것이 더 어려운 것이 보통이다. 일부의 경우, 운영체제가 NHS 컴퓨터와 서버에서 실행할 수 없을 정도로 지나치게 향상됐을 ...

윈도우XP 윈도우10 마이크로소프트 2019.12.02

"윈도우 XP, 윈도우 서버 2003 버리지 않아" MS, 원격 코드 실행 취약점 필수 패치 발행

윈도우 XP의 수명은 다했을지 모르지만, 웜 바이러스에 방치되지는 않는다. 어제 날짜로 마이크로소프트는 사용자에게 윈도우 XP를 위험에 처하게 할 수 있는 원격 코드 실행 취약점에 대한 필수 패치를 적용하라고 권고했다. 일반적인 주의로는 부족하다. 이번 익스플로잇은 사용자가 어떤 특정한 행동을 하지 않아도 기기가 위험에 노출될 수 있다. 마이크로소프트의 사이먼 포프는 “즉, 이번 패치는 “웜 감염 가능”한 취약성에 대한 것인데, 향후 어떤 맬웨어가 이 취약성을 악용해 취약한 컴퓨터에서 다른 취약한 컴퓨터로, 마치 2017년 전 세계를 강타한 워너크라이 맬웨어처럼 빠르게 바이러스를 퍼뜨릴 수 있다”고 설명헀다. PC를 사용할 수 없게 하고 데이터를 인질로 잡아 잠금 해제 비용을 요구하는 워너크라이의 선례를 본 마이크로소프트는 2개의 만료된 운영체제, 즉 윈도우 XP와 윈도우 서버 2003에 대한 중요 보안 패치를 이례적으로 공개했다. 또, 윈도우 7, 윈도우 서버 2008, 윈도우 서버 2008 R2 대상으로도 운영체제 원격 데스크톱 서비스를 목적으로 하는 새로운 보안 취약점 악용을 방지하기 위해 중요 패치 업데이트가 발행됐다. 포프는 실제로 취약점이 악용된 사례를 발견하지는 못했지만, 악의적인 공격자가 취약점을 자체적인 맬웨어에 통합할 가능성이 매우 높다며 “워너크라이와 비슷한 방식으로 상황이 악화되지 않도록 영향권에 있는 PC일 경우 빨리 패치를 설치해야 한다”고 권고했다. 이번 중요 패치의 설치 대상인 운영체제 목록은 마이크로소프트 홈페이지에서 확인할 수 있다. 이번 패치에는 윈도우 8과 윈도우 10용 패치 다운로드 링크가 빠져 있다. 포프는 “최신 윈도우 버전이 취약점 패치 목록에 빠진 것은 우연이 아니다. 마이크로소프트는 오랫동안 제품 보안 강화에 전력을 다해왔고, 과거 버전에서 생각할 수 없었던 설계상 개선을 이루어냈다”고 주장했다. 실제로 윈도우 10은...

맬웨어 웜바이러스 윈도우XP 2019.05.15

세계는 차세대 대규모 랜섬웨어 공격에 대비하고 있는가

초미의 사건이었던 워너크라이/낫페티야 랜섬웨어 공격은 많은 곳에서 다양한 규모의 기업에 영향을 끼쳤다. 둘 다 빠르게 확산되었으며 영국이나 미국의 국가기관, 글로벌 대기업의 시스템이 멈추기도 했다.  현재 이런 두 공격의 위협이 대부분 완화되긴 했지만 둘의 변종은 여전히 확산되고 있다. 새로운 보고서에 따르면, 같은 유형의 또 다른 세계적인 공격이 제대로 실행된다면 더 큰 피해를 입하고 기업들은 수십 억 달러의 비용을 지출하게 될 것이라고 한다. 세계적인 대규모 공격의 비용 워너크라이는 150여 개국에서 20만 개 이상의 컴퓨터를 감염시키고 패치되지 않은 버전의 마이크로소프트 윈도우를 통해 확산된 것으로 알려졌다. 낫페티야는 우크라이나의 인기있는 세무 애플리케이션의 해킹된 업데이트를 통해 확산됐으며 우크라이나와 기타 유럽 국가의 기업들에 영향을 끼쳤는데, 러시아가 해당 공격을 주도한 혐의를 받고 있다. 둘 다 NSA가 개발하고 SB(Shadow Brokers) 해커 그룹에 의해 공개된 이터널블루(Eternal Blue) 익스플로잇 공격을 이용해 SMB(Windows Server Manage Block) 프로토콜의 취약점을 이용했다. 워너크라이로 인해 영국의 NHS(National Health Service)는 약 9,150만 파운드(약 1,357억 원)를 지출한 것으로 정부 계산 결과 드러났다. 이 공격 자체로 인한 피해 금액은 1,900만 파운드(약 281억 원)였으며, 나머지 비용은 공격을 인지하고 시스템을 개선, 업그레이드하는 IT 지원 비용이었다. 공격자는 이 공격을 통해 얻은 실질적인 이익은 10만 달러(약 1억 1,000만 원)가 채 되지 않지만 사이버 위험 모델링 업체인 사이언스(Cyence)는 해당 공격의 총 비용이 40억 달러(약 4조 5,000억 원)에 이를 수 있는 것으로 추산했다. 낫페티야도 널리 확산되었고 많은 비용을 발생시켰다. 운송기업 머스크와 물류 기업 페덱스는 각각 약 3억 달러(약 3,385억 원)의 손실을 ...

랜섬웨어 워너크라이 낫페티야 2019.03.06

'패치만 잘해줬어도…' 관리 프로세스 6단계

전 세계 사이버 보안 관계자들이 지난 20년 동안 제조된 대부분 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터(Spectre) 및 멜트다운(Meltdown)과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 주목받고 있다. 왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다. 오늘의 상황은 워너크라이(WannaCry)와 페티야(Petya) 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어 취약점을 공격했다. 이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버 보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다. 패치 관리란 무엇인가? 패치 관리는 소프트웨어를 새로운 코드로 업데이트하는 것으로, 대부분 해커가 악용할 수 있는 취약성을 해결하는 것이지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다. 이 활동이 꽤 간단해 보이기도 하지만 대부분 IT 조직에게 패치 관리는 쉬운 일이 아니다. 복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다. IT 거버넌스에 집중하는 국제적인 전문협회 ISACA의 이사 겸 사이버 보안 활동 전문가 프랭크 다운스는 "대형 조직 또는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에 여러 가지 일이 발생할 수 있다. 배치가 보안 구멍을 해결할 수 있지만 여러 의도하지 않은 결과가 발생할 수 있다"고 말했다. 또한 조직은 패치를 이...

취약점 멜트다운 페티야 2019.01.04

“워너크라이, 2018년 3분기에도 여전히 성행...약 7만 5,000명 공격” 카스퍼스키랩 발표

워너크라이(WannaCry) 랜섬웨어 대규모 공격 이후 1년 반이 지난 지금도 워너크라이는 랜섬웨어 악성 코드 가운데 가장 높은 자리를 차지하고 있는 것으로 나타났다. 카스퍼스키랩은 전 세계적으로 워너크라이 공격을 받은 순사용자 수는 7만 4,621명으로, 2018년 3분기 랜섬웨어의 표적이 된 전체 사용자의 28.72%에 달한다고 자사 3분기 IT 위협 진화 보고서에서 밝혔다. 랜섬웨어 공격 중 16.78%를 차지했던 2017년 3분기에 비해 한 해 동안 그 비율이 2/3 이상 증가한 것이다. 2017년 5월에 발생했던 워너크라이 랜섬웨어를 이용한 일련의 사이버 공격은 지금까지 사상 최대의 랜섬웨어 공격으로 남아 있다. 공격이 시작되기 2달 전에 윈도우가 운영체제에서 이터널블루(EternalBlue)에 의해 악용되는 취약점을 해결할 수 있는 패치를 출시했음에도 워너크라이는 전 세계 수 십만 대의 기기를 감염시켰다. 여느 랜섬웨어와 마찬가지로, 워너크라이는 피해자 컴퓨터의 파일을 암호화된 데이터로 변환한 다음 작동되지 않는 기기에서 암호를 해독하고 데이터 복구를 위한 대가를 요구했다. 워너크라이의 확산은 피해자들이 주로 네트워킹 시스템을 보유한 조직이었기 때문에 그 결과가 특히 심각했는데, 기업과 공장, 병원 등의 업무가 중단되기도 했다. 이는 랜섬웨어의 위험성을 잘 보여주는 사례이다. 전 세계 대부분의 PC가 이터널블루 익스플로잇에 대항할 수 있도록 업데이트됐지만, 통계에 따르면 범죄자들은 여전히 패치가 설치되지 않은 컴퓨터에 대한 공격을 시도하고 있고 아직도 그러한 컴퓨터가 전 세계에 많이 남아 있다. 카스퍼스키랩은 자사 보안 솔루션으로 총 25만 9,867명의 순사용자를 랜섬웨어 공격으로부터 보호했다고 밝혔다. 이는 2018년 2분기 15만 8,921명에서 39%나 늘어난 수치다. 사용자 수의 증가 추이를 월별로 관찰한 결과, 이 수치는 빠르면서도 꾸준히 증가한 것으로 나타났다. 카스퍼스키랩코리아(www.kaspersky...

카스퍼스키랩 워너크라이 2018.11.22

소니 해커 기소문을 통해 알아보는 5가지 IT 보안 교훈들

2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 170페이지가 넘는 이 기소장은 미국 로스앤젤레스 FBI의 네이썬 쉴즈가 작성했으며 사이버공격 방식을 알아내기 위해 수사 당국이 사용한 포렌식 분석을 잘 보여주고 있다. 박진혁의 해킹 단체는 보안 전문가들 사이에서 여러 이름으로 불리고 있다. 라자러스 그룹(Lazarus Group), APT37, Lab 110, Group 123, 히든 코브라(Hidden Cobra), 니켈 아카데미(Nickel Academy), 그리고 리퍼(Reaper) 등이 그것이다. 이 가운데 일부는 해당 해킹 단체가 생성한 악성코드 이름에서 따온 것도 있다. 기소장은 서두에서 이 북한 해커 집단이 지난 6년 동안 각종 사이버 공격의 중심에 있었다고 주장했다. 물론 북한 정부 측은 박진혁의 존재 자체를 부인하고 있으며, 그가 기소된 사건들은 북한 정부와는 "전혀 관계가 없다"고 반박했다. 하지만 이번 기사는 박진혁이나 북한 정부의 유무죄 여부를 판단하려는 것이 아니다. FBI가 수사 과정에서 찾아낸 자료들과, 이 사건들을 통해 기업의 CISO 및 IT 관리자가 보안에 대해 배우고 명심해야 할 것들을 알아 보려고 한다. FBI가 소니 해커를 찾아낸 방법 이 기소문은 법적 관점에서 읽을 것이 아니라, 북한 정부가 네트워크에 침투하기 위해 얼마나 혈안이 되어있는 지를 중점적으로 봐야 한다. 소니 해킹 사건에 대해 FBI가 밝혀 낸 사실들은 다음과 같다. FBI는 박진혁의 움직임을 디지털로 추적할 수 있었다. 박진혁은 중국 국경 지대에서 북한 정부의 유령회사이자 군사 해킹 작전으로 알려진 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 소니 해킹이 시작되기 직전 그는 북한으로 돌아갔다. 우선 FBI는 악성코드의 여러 부분들을 조직적으로 해체, 분석해 ...

소니 북한 라자러스 2018.10.02

'보안 문제', '머신러닝', '아주 멋진 스마트폰'…"2017년 IT 업계 10대 기사"

일반 사용자와 기업 모두 악성코드로부터 스스로를 보호하느라 정신없었던 2017년 IT 업계를 간략히 요약한다면 보안에 대한 우려다. 이 외에 올해 가장 두드러진 기사와 트렌드의 또 다른 주제는 머신러닝이다. IDG 뉴스서비스가 올해 선정한 10대 뉴스를 살펴보자(순서는 무작위다). editor@itworld.co.kr 

제온 망중립성 모바일아이 2017.12.28

워너크라이 배후에 북한이 있다는 미국 정부의 주장, 믿을 수 있나

미국 백악관은 지난 5월에 발생한 대규모 랜섬웨어 공격의 범인을 발견한 것일까? 아니면 가짜 뉴스일까? 미 백악관은 북한을 2017년 5월, 미국 국민건강보험(National Health Service, NHS)을 포함한 많은 조직을 불구로 만든 세계적인 워너크라이(WannaCry) 랜섬웨어 공격의 배후로 지목하고 공식적으로 비난했다. 지난 주, 미 도널드 트럼프 정부의 국토안보보좌관 토마스 보세트는 월스트리트 저널 논설에서 북한의 해커들이 이 사이버 공격의 배후였다고 다시 주장했다. 보세트는 극단적인 트럼프식 언어로 다음과 같이 주장했다. "북한은 지난 10년동안 나쁜 행동을 해왔으며, 그 악의적인 행동은 더욱 심각해지고 있다. 워너크라이는 너무 부분별하고 무모했다." 영국 보안 장관 벤 월리스 또한 지난 10월 BBC 라디오와의 인터뷰에서 "북한 정부에게 워너크라이에 대한 책임을 물어야 한다"고 말했다. 이에 대해 북한은 "근거없는 추측"이라며, "자국에 대한 제재를 강화하기 위한 사악한 시도"라고 반박했다. 보안연구원들은 북한이라고 지목하는 몇 줄의 코드, 특히 중국 해킹 조직인 라자러스 그룹(Lazarus Group)이 북한과의 연관되어 있음을 발견했다고 주장한다. 아무도 결정적인 증거를 제시하지 못한 이 사안에 대해 미국 정부를 얼마만큼 믿어야 할까? 독립 보안분석가 그레이엄 클루리는 본지와의 인터뷰에서 "미국과 북한 간의 적대적인 현 상황에서 이런 주장이 제기된 이유에 대해 생각해보자. 정말로 북한 소행일까? 현 시점에서 이는 말하기 매우 어렵다. 권력자들은 정보를 공유하지 않기 때문에 오판하기 쉽다"고 의견을 피력했다. "한 가지 확실한 것은 만약 북한이 워너크라이를 통해 큰 돈을 벌 생각이었다면 그것은 완전히 실패였다"고 덧붙였다. 보안 소프트웨어 개발업체 트립와이어(Tripwire) 제품관...

북한 미국 증거 2017.12.27

"워너크라이 책임, 북한에 있다"…트럼프 미 행정부

12월 18일, 트럼프 미 행정부는 지난 5월 있었던 워너크라이(WannaCry) 랜섬웨어 공격은 북한의 소행이라고 비난했다. Credit: MalwareTech 미 국토안보보좌관 토마스 보세트는 월스트리트저널의 기명 논평에서 미행정부의 결론을 발표했다. 이번 발언은 지난 6월 미국 NSA, 10월 영국 정부가 제기한 주장과 유사한 것으로 증거에 기반으로 한다는 것에 주목할만 하다. "...조심스럽게 조사한 결과, 미국은 워너크라이 대규모 사이버공격이 북한의 소행이라고 오늘부터 공개적인 태도를 변화했다"고 월스트리트 저널에 전했다. 워너크라이의 결과와 파급 효과는 경제적 측면보다 더 큰 것이었다. 이 악의적인 소프트웨어는 영국 건강관리 분야의 컴퓨터에 치명적인 영향을 끼쳤으며, 중요한 작업을 하는 시스템을 손상시켰다. 5월 12일에 시작된 이 공격은 150개국, 23만 대 이상의 컴퓨터에 피해를 줬다. 워너크라이의 정치적인 파급효과로부터 빼고나면 이 공격은 얼마든지 예방할 수 있었다는 불편한 진실이 보인다. 이는 기존 시스템의 잠재적인 문제를 제대로 해결하지 않은 데서 비롯된 것으로, 장비 교체 이후 필수적인 패치를 하지 못하거나 또는 하지 않았기 때문이다. 이전 기사에서 보도한 바와 같이 워너크라이는 SMB 프로토콜 내 취약점을 표적으로 하며, NSA가 개발한 것으로 간주되는 취약점 공격 도구인 이터널블루(EternalBlue)를 활용했다. 게다가 워너크라이는 또 다른 NSA 도구인 더블 펄사(Double Pulsar) 백도어를 설치해 감염된 시스템을 원격으로 공격할 수 있도록 했다. 워너크라이는 영국의 국민건강보험(NHS), 영국 닛산(Nissan), 스페인의 텔레포니카(Telefonica), 미국의 페덱스(Fedex), 러시아의 내무부, 미국 전역의 방사선 장비, 중국 전역의 ATM 기기 등의 시스템에서 발견됐다. 멜웨어테크(MalwareTech)의 한 연구원은 워너크라이가 확산되는 ...

북한 트럼프 워너크라이 2017.12.20

글로벌 칼럼 | 북한의 사이버 범죄 지문, 너무 많은 곳에 찍혀있다

조선민주주의인민공화국(DPRK, 이하 북한)은 사이버 범죄 활동이 정권을 위한 현금을 얻는 지속적인 수단으로 사용되고 있다. 전 세계의 이목이 북한이 발사하는 미사일에 고정되어 있지만, 많은 이가 김정은 정권의 추악한 모습을 보지 못하고 있다. 북한 정권은 국가, 기업, 그리고 개인에 대한 범죄 활동을 자행하는 국가다. 북한 스타일의 사이버 범죄 2017년 9월, 북한은 기존 인프라스트럭처를 활용하는 그들의 능력을 십분 발휘해 남한에 있는 미국 병사들에게 마치 비상 대피 계획을 실행 준비하는 것처럼 일련의 문자 메시지를 보냈다. 이 문자 메시지는 페이스북 메신저를 통해 전송됐다. 당시 주한 미국 공군(U.S. Forces Korea, USFK)은 이런 활동을 예상하고 이동하기 전 중복 확인하는 절차를 밟기 때문에 아무런 피해를 입지 않는다고 말했다. 또한 지난 9월, 파이어아이(FireEye)는 북한의 사이버 팀에 의해 한국의 암호화 화폐 교환소의 비트코인이 세 차례나 공격받는 정황을 포착했다. 이 공격으로 인해 한국의 금융위원회는 한국내 가상화폐공개(Initial Coin Offerings, ICO)에 대한 금지를 발표했을 수도 있다. 최근 익스프레스(Express)와 인터뷰한 영국 안보 및 첩보 당국 GCHQ(Government Communications Headquarters)의 전 국장 로버트 해니건의 메시지는 명확했다. "북한 사이버 전문가들은 우리의 돈을 노리고 있다." 허니건은 2017년 5월 영국 국민 건강보험(National Health Service)을 심각한 손상을 준 워너크라이(WannaCry) 랜섬웨어 공격이 북한의 사이버 공격의 한 예라고 지적했다. 또한 미국 NSA는 150개국의 사람들과 단체들을 공격한 워너크라이를 북한, 특히 북한의 첩보기관인 정찰총국(Reconnaissance General Bureau)의 소행으로 규정했다. 영국 BBC는 북한의 사이버 공격 역사에 대해 북한...

북한 사이버범죄 워너크라이 2017.10.11

3만 달러 보석내고 풀려난 워너크라이 영웅, 크로노스 악성코드 혐의 부인

인터넷에서 영웅이 된 마커스 허친스가 미국에 와서 체포됐다. 데프콘이 끝난 후, 미국 FBI는 영국 출신의 보안 연구원인 마커스 허친스를 체포했다. 이는 보안 커뮤니티를 송두리째 흔드는 사건이다. 일명 멀웨어테크(MalwareTech)라는 별명을 가진 허친스는 뱅킹 트로이목마인 크로노스를 만든 혐의로 8월 2일 체포됐다. 올해 초, 허친스는 워너크라이 랜섬웨어 킬 스위치(kill switch)를 찾아 제보하면서 인터넷에서 영웅이 됐다. 그의 보석금은 3만 달러로 책정됐지만 주말동안 감옥에서 보냈다. 이는 금요일 시청이 문을 닫기 전까지 보석금을 낼만한 시간이 충분치 않았기 때문이다. 7일 석방된 허친스는 GPS 모니터링 아래 미국에 남아 위스콘신 주에서 총 6건의 소송에 직면해 있다. 허친스는 크로노스 악성코드를 만들어 판 혐의를 받고 있다. 그는 컴퓨터 사용이 허용되지 않으며, 인터넷에 접속할 수 없다. 미국 검찰은 2014년 7월에서 2015년 사이에 허친스가 크로노스 악성코드를 제작, 광고, 배포, 그리고 수익을 창출했다고 주장했다. 다른 피고인도 기소장에 이름을 올렸지만, 그 이름은 수정됐고, 아직 검거되지 않았다. 공동 피고인은 크로노스를 다크넷 시장인 알파베이(AlphaBay)에서 판매한다고 홍보했다. 미국 검찰은 크로노스를 보여준 한 동영상에서 공동 피고인이 이 트로이목마를 3,000달러에 팔기 위해 웹사이트에 공개적으로 게시했다고 밝혔다. 검찰은 잠복요원이 비밀리에 허친스와 그의 공범자로부터 해당 코드를 2,000달러에 구매했다고 라스베가스 법원에 전했다. 미국 검사 댄 카우힉은 허친스가 경찰 조사에서 자백했다고 말했다. 카우힉은 "허친스는 크로노스 악성코드 저작자임을 인정하고 판매한 것을 시인했다"고 밝혔다. 미 검찰은 허친스가 해당 판매로 인한 수익금을 제대로 분배하지 못한 점을 불평하는 채팅 기록을 갖고 있다고 주장했다. 또한 검찰은 허친스가 공공에게 끼치는 위험을 제기하고 ...

악성코드 체포 FBI 2017.08.08

글로벌 칼럼 | 보안인식 프로그램에 워너크라이를 활용하는 4가지 방법

최근 보안 업계의 가장 뜨거운 감자라면 워너크라이(Wannacry)와 낫페트야(NotPetya)를 거론할 수 있다. 필자는 이번 기사를 통해 새삼스럽게 보안 경고를 전하려는 게 아니다. 전문가들은 이미 이전부터 이 랜섬웨어들에 대한 경고를 외쳐왔는데, 이 목소리에 귀 기울이지 않았을 뿐이다. 지금까지 하트블리드(Heartbleed), 체르노빌(Chernobyl), 아이 러브 유(I Love You) 등 이런저런 보안 사고를 경험해왔다. 이 익숙한 이름들을 들으면 누군가는 "이를 통해 사람들이 안티바이러스, 패치 시스템의 중요성을 알게 됐겠지"라고 생각할지도 모르겠다. 하지만 시장은 또다시 타깃(Target), OPM 사태와 같은 대규모 데이터 유출 사고로 몸살을 앓아야 했고, 보안 프로그램 전반에 대한 개선이 필요함을 상기시켜줬다. 그리고 최근의 워너크라이, 낫페트야 사태를 살펴보면, 앞선 사고들로부터 아무런 교훈을 얻지 못한 것이 아닐까 하는 씁쓸함이 밀려온다. 사고의 가장 큰 책임은 기업 IT 조직에 있지만, 위험 축소를 위한 보안 인식 프로그램의 역할이 부족했다는 점 역시 부인하기는 어렵다. 인식 프로그램이 적절히 구축, 작동되었다면 사고의 타격은 한층 축소될 수 있었을 것이다. 대규모 보안 사고가 발생하는 경우 보안 조직은 자사의 보안 프로그램에 이와 관련한 취약점이 존재하지는 않는지, 혹 이미 영향을 입은 부분은 없는 지를 확인하는 과정을 거쳐야 한다. 동시에(혹은 최대한 빠른 시일 내에) 사용자들이 접하게 되는 정보 수준을 파악하고, 그들이 우려하는 바를 포착해낼 수 있어야 한다. 이 점을 기억하며 진행해야 할 다음 단계는 다른 이들의 불행을 자사 사용자들의 행동양식 개선에 활용할 방안을 물색하는 것이다. 1. 뉴스에 오류는 없는가? 언론에 실린 보안 사고 소식에 대해 자신이 가장 먼저 해야 할 일은 그것의 정확도를 따져보는 것이다. 사고 뉴스는 사람들에게 보안에 대한 잘못된 인식이나 막연한 불안감...

보안인식 워너크라이 낫페트야 2017.07.18

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.