Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

해킹

“해결 방법 없다” 구글이 본 제로클릭 공격의 위험

모바일 보안과 관련해 사용자는 항상 의심스러운 링크나 이메일, 첨부파일을 피하며 각별한 주의를 기울여야 한다. 하지만 제로클릭(zero-click) 사이버 공격이 늘어나면서 이런 노력이 무력해지고 있다.   지난 12월 구글은 대표적인 제로클릭 사이버 공격인 페가수스(Pegasus)의 작동 방법을 연구한 결과를 발표했다. 페가수스 스파이웨어는 언론인과 세계 지도자를 해킹하기 위해 이스라엘 보안업체 NSO 그룹이 사용한 것으로 알려졌다. 구글 프로젝트 제로(Project Zero) 팀은 “지금까지 확인한 사이버 공격 가운데 기술적으로 가장 정교했으며, NSO의 기술이 일부 국가에서만 접근할 수 있다고 여겨진 기술에 필적한다는 것을 보여준다”라고 말했다. 구글의 연구결과에서 가장 놀라운 점은 페가수스가 보안 알람의 불문율, 즉 ‘효과적인 방어책이 없는 공격은 그 세부사항을 보고하는 것이 차선책’이라는 규칙을 깨뜨렸다는 점이다. 구글은 업계가 제로클릭 공격에 대한 방어책을 신속하게 마련할 수 있도록 세부 논의가 필요하다고 강조했다. 구글은 “NSO가 개발한 제로클릭 공격 기술은 어떠한 상호작용도 필요 없다. 따라서 평소에 피싱 링크를 클릭하지 않는, 기술에 능숙한 사람도 공격 대상이 되었다는 점을 모른다. 공격자는 피싱 메시지를 전송하지 않고 휴대폰 백그라운드에서 조용히 공격을 진행한다. 기기를 사용하지 않는 것 외에는 예방 방법이 없다. 방어할 수 없는 무기인 셈이다”라고 설명했다. 공격 수단은 ‘가짜 GIF’ 페가수스 공격의 배후로 알려진 NSO는 가짜 GIF로 코어그래픽스 PDF(CoreGraphics PDF) 파서의 취약점을 겨냥했다. 가짜 GIF는 확장자가 .gif이지만 실제로는 GIF 이미지 파일이 아니다. 파일명과 확장자는 사용자를 안심시키는 수단에 불과했다. ImageIO 라이브러리는 파일 확장자에 상관없이 소스 파일의 올바른 형식을 추측하고 구문을 분석하는 데 사용된다. 이를 가짜 GIF에 적용하면 20개 이상의 이미지 코덱...

NSO 페가수스 스파이웨어 2022.01.12

글로벌 칼럼 | IT 인프라 다양성, 더 나은 보안의 지름길

올해 발생한 랜섬웨어 공격은 기업의 운영뿐만 아니라 사회 기간 인프라까지 중단시켰다는 점에서 세간의 이목을 끌었다. 콜로니얼 파이프라인(Colonial Pipeline)과 미국 최대 육류 생산업체 JBS 사례에서 사용된 공격법은 사이버 범죄자가 ‘수익 창출’에 성공한 대표적인 사례다. 당시 공격의 위력은 엄청났다. 또한 이 사건을 통해 공공 및 민간 부문 모두 문제 해결이 시급함을 절감했다.   정교한 사이버 범죄가 야기하는 문제점은 여기서 끝이 아니다. 사이버 범죄자는 피해 대상 기업보다 한발 앞서가기 위해 공격법을 계속해서 바꾸고 있다. 예를 들어보자. 보안 솔루션 업체 한 곳의 취약점만 노리는 공격이 많아지면서 보안 인프라를 단일 솔루션 업체에 의존하는 것에 대한 우려가 높아지고 있다. 업체 한 곳의 공격만 성공하면 전체 네트워크를 장악하는 데다가 더 넓은 범위의 공급망에도 접근할 수 있기 때문이다. 악명 높은 솔라윈즈 공격은 기업이 전체 인프라와 툴, 보안 관리를 솔루션 업체 한 곳에만 맡기는 것이 얼마나 위험한지 여실히 보여줬다. 솔라윈즈는 마이크로소프트 아키텍처만 사용했기 때문에 공격 지점과 아무런 방해 없이 연결된 상태였다. 따라서 공격자는 보안에 취약한 노트북을 시작으로 애저 액티브 디렉토리(Azure Active Directory)와 오피스 365까지 장악할 수 있었다. 이처럼 공격자가 이메일 접근 권한을 얻게 되면, 직원을 모방하며 내부 정보를 활용해 접근 권한을 넓혀간다. 앞선 사례에서 확인한 바와 같이 애플리케이션과 보안을 하나로 묶는 것은 업무 통합과 원가 절감이라는 장점을 누리는 합리적인 선택처럼 보이지만, 실제로 사용자를 더 큰 위험에 빠뜨리는 환경을 조성하는 원인이 되기도 한다. 단일 솔루션 업체를 이용하는 것은 마이크로소프트처럼 전 세계적으로 영향력 있는 업체가 지속해서 공격 대상이 된다는 점에서도 문제가 된다. 공격자는 엄청난 시간과 자원을 투입해 침입 전략을 세운다. 이런 접근 방식은 피해 기업이 의존하고 있...

SASE 해킹 공급망보안 2021.10.06

윤리적이고 효과적인 피싱 테스트를 위한 5가지 베스트 프랙티스

규모를 막론하고 모든 기업에서 피싱 시뮬레이션(혹은 피싱 테스트)을 통한 보안교육이 인기를 끌고 있다. 피싱 테스트는 보안팀이 진짜처럼 보이는 악성 피싱 메일을 만들어 직원에게 발송하는 방식으로 이뤄진다. 통상 누락된 납품에 대한 안내, 송장 요청, 유명인들의 소문 같은 내용으로 이메일을 열어보게 만든다. 보안팀의 통제 아래 이런 이메일에 대한 응답을 정량화하고, 직원들의 보안 인식 수준을 확인한다. 얼마나 많이 첨부 파일을 열어보고, 링크를 클릭했는가? 얼마나 많은 이메일을 의심스러운 메일로 표시하거나, 무시했는가? 다른 것들에 비해 가장 큰 영향을 미친 이메일 제목은 무엇인가? 피해자가 될 확률이 더 높은 특정 부서나 사용자가 있는가? 이런 데이터는 사이버보안 인식 트레이닝 및 교육을 더 효과적으로 맞춤화하고, 해결해야 할 잠재적인 취약점을 파악하도록 한다.   피싱 테스트에 제기된 윤리적 문제 하지만 몇몇 사건으로 인해 피싱 테스트의 핵심 요소에 대한 윤리성이 논란이 되고 있다. 최근 논란의 여지가 있는 주제를 사용해 피싱 테스트를 진행한 영국 웨스트 미들랜즈의 한 철도회사가 대표적인 예다. WMT(West Midlands Trains)은 코로나19 팬데믹 위기 동안의 노고를 치하하기 위해 보너스를 지불한다는 내용으로 피싱 테스트를 진행했다. 발신인은 재무팀으로 가장했다. 또한 수신자가 WMT의 상무이사 줄리안 에드워즈에게 개인 메시지를 보낼 수 있는 마이크로소프트 오피스 365 링크를 클릭하도록 유도했다. 이 링크는 마이크로소프트가 피싱 테스트를 위해 설정한 셰어포인트 사이트로 연결되었고, 링크를 클릭한 사람에게는 HR 팀으로부터 로그인 정보를 요구하는 이메일을 주의하라는 충고 이메일을 받았다. 말할 필요도 없이 보너스는 지급되지 않았다.   윤리적인 피싱 테스트 일정액을 지불하겠다고 약속하는 방법은 사이버 범죄자들이 피해자를 속이기 위해 많이 사용하는 효과적인 전술이다. 그러나 피싱 테스트에서 이런 전술을 사용하는 것은 공정한 것...

보안 피싱 악성코드 2021.05.28

해커가 흔적을 숨기는 5가지 방법

네트워크 모니터링 도구, 바이러스 스캐너, 소프트웨어 조합 분석(Software Composition Analysis, SCA) 도구, 디지털 포렌식 및 사고 대응(digital forensics and incident response, DFIR) 솔루션 등 CIOS가 악의적 활동을 탐지하고 차단하는 데 도움이 되는 도구는 많고 끊임없이 발전 중이다. 하지만 사이버 보안은 공격과 방어 간의 지속적인 싸움이고, 공격자도 계속해서 새로운 수법을 들고 나온다. 스테가노그래피(steganography, 악의적 페이로드를 포함한 정보를 이미지와 같은 무해해 보이는 파일 안에 숨기는 수법)와 같은 오래된 수법이 발전을 거쳐 새로운 기능이 추가되고 있다. 예를 들어, 최근 한 연구원은 트위터 플랫폼의 이미지 안에 최대 3MB의 ZIP 압축 파일을 집어넣을 수 있음을 입증하며, 트위터 역시 스테가노그래피에서 자유로울 수 없게 됐다.  한편, 필자는 개인적인 연구를 통해 현재의 위협 행위자들은 난독화, 스테가노그래피, 맬웨어 패킹 수법을 사용하는 것 외에 합법적인 서비스와 플랫폼, 프로토콜, 도구를 이용해 활동하는 것을 알게 됐다. 이와 같은 방법으로 사람의 눈과 기계에 모두 ‘깨끗해’ 보이는 트래픽이나 활동 안에 숨어들 수 있다.  사이버 범죄자가 자신의 흔적을 숨기기 위해 사용하는 5가지 방법은 다음과 같다.     1. 경계심을 낮추는 신뢰받는 플랫폼 악용 2020년 보안 전문가들이 빈번하게 발견한 수법으로, 올해까지 계속 그 추세가 이어지는 중이다. 코발트 스트라이크(Cobalt Strike), Ngrok 같은 침투 테스트 서비스 및 도구부터 깃허브와 같은 오픈소스 코드 생태계, Imgur, 페이스트빈(Pastebin)과 같은 이미지 및 텍스트 사이트에 이르기까지, 공격자들은 지난 몇 년 사이 신뢰받는 다양한 플랫폼을 공격에 이용했다. 일반적으로 Ngrok은 버그 사냥 연습이나 침투 테스트의 일부로 데이터 수집 또는 모...

해킹 흔적 사이버공격 2021.05.25

FBI, 해킹당한 익스체인지 서버에서 백도어 웹 셸 정리…이례적 능동적 방어 조치

FBI는 올해 초 제로데이(Zero-day) 취약점을 통해 해킹 당한 수백 대의 민간 마이크로소프트 익스체인지(Microsoft Exchange) 서버에서 백도어 프로그램을 제거할 수 있는 법원 명령을 확보했다.    이는 FBI가 전통적인 조사 역할을 벗어나 사이버 위협 대응에 있어서 좀 더 능동적인 접근방식을 취할 준비가 되었음을 보여주지만 이런 조치의 한계가 어디까지인지에 대한 궁금증을 자아내고 있다. FBI가 익스체인지 서버를 정리에 나선 이유는 최근 미 법무부는 텍사스 주법원이 FBI가 민간 기업이 소유한 수백 대의 온프레미스 마이크로소프트 익스체인지 서버에서 웹 셸(web shells)을 복사하고 삭제할 수 있는 조사 및 압수 영장을 발부했다고 발표했다. 웹 셸은 해커가 해킹된 웹 서버에 설치하여 웹 기반 인터페이스를 통해 백도어 접근과 서버에서의 원격 명령 실행 능력을 제공하는 프로그램이다. 해당 영장의 대상은 중국 정부와 관련성이 있을 것으로 보이는 하프니움(Hafnium)이라는 사이버 첩보 그룹이 설치한 웹 셸이다. 3월 초, 마이크로소프트는 하프니움이 이전에 패치되지 않은 마이크로소프트 익스체인지의 취약점을 악용해 서버를 해킹했다고 보고했다.  이와 동시에 마이크로소프트는 이런 취약점에 대한 패치뿐만 아니라 해킹의 조짐과 기타 탐지 도구를 함께 공개했지만 그 이후에도 다른 공격자 그룹이 해당 취약점을 악용했다. 4월 13일자 영장 청구에서 FBI는 마이크로소프트, CISA, FBI의 대중 인식 캠페인에도 불구하고 여전히 많은 서버가 하프니움이 배포한 웹 셸에 감염되어 있다고 주장했다. 공개된 영장에서 정확한 숫자는 삭제되었지만 미국 법무부는 언론보도에서 ‘수백 대’라고 밝혔다. 이번 영장으로 FBI가 할 수 있는 일 FBI는 본래 공격자가 설정한 비밀번호를 통해 악성 웹 셸에 접근한 후 서버에 배포된 .aspx 스크립트인 웹 셸을 삭제하기 위해 법원에 명령을 요청했으며, 법원은 이를 승인했다. ...

FBI 해킹 백도어 2021.04.22

글로벌 칼럼 | 윈도우 해커가 코로나19 백신 냉동 배포망을 노린다

많은 해커가 코로나바이러스 팬데믹 동안 쉽고 빠르게 돈을 벌기 위해 윈도우 취약점을 악용하고 있다. 최근 공격이 급증하면서 상황이 더 악화하고 있다. 특히 이번 상황이 심각한 것은 사람들을 해칠 수 있기 때문이다. 해커는 백신 연구진과 제조업체, 전 세계에 배포하는 동안 백신을 매우 차갑게 유지하는데 사용될 코로나19 ‘콜드 체인’을 표적 삼고 있다. 이러한 공격이 백신 배포를 방해하면, 많은 사람이 사망에 이를 수 있다.   지난 11월 중순, 마이크로소프트는 백신 연구진과 제조업체에 대한 윈도우 공격의 급증을 경고했다. 마이크로소프트는 “최근 몇 달 동안 3개 국가에서 지원하는 해커가 코로나19 백신과 치료 연구에 직접 관련된 주요 7개 기업을 대상으로 사이버 공격을 감행했다. 캐나다와 프랑스, 인도, 한국, 미국의 선도적인 제약 기업과 백신 연구진이 포함된다. 공격은 러시아 출신 해커 그룹 스트론튬(Strontium), 그리고 징크(Zinc)와 세륨(Cerium)이라고 하는 북한 해킹 그룹이다”라고 설명했다. 마이크로소프트에 따르면, 표적 대부분이 백신 임상시험에 참여한 백신 제조업체다. 공격자는 로그인 자격증명을 도용하기 위한 무차별 대입 로그인 시도뿐만 아니라 스피어 피싱(Spear fishing) 등 일반적인 범위의 악성코드를 사용해 윈도우 시스템을 공격했다. 스피어 피싱 공격에 사용된 이메일은 채용 담당자와 세계 보건기구(WHO) 담당자가 보낸 것처럼 꾸몄다. 마이크로소프트는 이들 공격 대부분이 차단됐다고 설명했지만 공격이 성공한 경우도 있었다(마이크로소프트는 이에 대해 더 자세한 정보를 제공하지 않았다). 공격의 이유가 연구 데이터를 훔치거나 랜섬웨어를 심거나, 연구를 방해하기 위한 것인지도 확실히 공개하지 않았다. 이후 급증한 최신 공격은 코로나19 백신의 배포를 목표로 했기 때문에 더 우려스럽다. IBM에 따르면, 최근 공격은 백신을 보관하고 운송하는 동안 온도 조절 환경에서 백신을 안전하게 보존하는 백신 공급망의 구성요소인...

해킹 코로나19 백신 2020.12.15

'누구나 해킹당할 수 있다' 파이어아이 해킹 사고와 기업이 걱정해야 하는 것

러시아의 코지 베어(Cozy Bear) 그룹이 주장하는 레드 팀(Red team)의 해킹 도구 도난은 다른 기업에 있어서는 생각보다 큰 위협이 아닐 수 있다. 하지만 진정한 교훈은 바로 ‘누구나 해킹 당할 수 있다’는 것이다.    사이버보안 업체 파이어아이(FireEye)는 12월 8일 정부가 후원하는 정교한 공격자 그룹이 자사의 네트워크에 침입해 전문가들이 실제 공격자를 시뮬레이션하고 고객의 보안을 테스트하기 위해 개발한 도구를 훔쳤다고 발표했다. 이는 아주 걱정스러운 사건이지만, 과거에 공격 도구가 유출됐던 사례에 비춰봤을 때, 기업에 상당한 위험 증가를 초래할 가능성은 낮다.  파이어아이는 전 세계 주요 정부와 기업 고객을 보유한 세계 최고의 사이버보안 업체 가운데 하나다. 정부가 후원하는 공격자에 대한 최고 수준의 연구와 사고 대응 능력으로 유명한 이 업체는 지난 수년 동안 정부와 기업에서 가장 두드러진 침해 사고를 조사하고 있었다.  파이어아이, 누가 공격한 것인가?  파이어아이 CEO 케빈 맨디아는 공개 석상에서 “최근 파이어아이는 정부 후원의 고도로 정교한 위협 행위자로부터 공격을 받았다. 이 공격은 지금까지 대응해온 수만 건의 사고와는 다르다. 공격자는 특히 파이어아이를 표적으로 삼고 공격하기 위해 세계적 수준의 능력을 맞춤화했다. 이들은 운영 보안(operational security)에 대해 고도로 훈련되어 있으며, 규율과 집중력을 갖고 실행했다. 보안 도구와 포렌식 검사에 대응하는 방법을 사용해 비밀리에 운영했다. 이들은 지금껏 보지 못했던 새로운 기술 조합을 사용했다"라고 밝혔다.  공격자가 훔친 것은 무엇인가?  워싱턴 포스트가 보도한 바에 따르면, 공격자는 보안 업계에서 APT29 또는 코지 베어로 알려진 러시아 SVR 해외정보국의 해킹부서로 파이어아이의 정부 고객 관련 정보를 노렸다. 파이어아이 측은 현재 사건 대응과 컨설팅 관련 계약과 관련된 고객 정보가 도...

파이어아이 해킹 공격도구 2020.12.14

엑셀 4.0 매크로 공격이 급증하는 이유

엑셀 4.0 매크로는 거의 30년째 사용되어 왔지만, 올해 공격자들은 이를 무기화 할 새로운 방법을 찾아냈다. 엑셀 4.0 매크로에 여전히 크게 의존하고 있는 기업에겐 안 좋은 소식이다. VM웨어 보안 연구원인 제임스 호옴과 스테파노 오르톨라니, 바이바브 싱은 올해 수천 개의 샘플을 관찰해 10월에 개최된 VB2020 컨퍼런스에서 결과를 발표했다. 이들은 악성코드 작성자가 악성 스프레드시트를 더욱 정교하게 만들어 탐지를 회피하게 만든 방법에 주목해 샘플을 별개의 유형으로 그룹화했다. XL4 매크로라고도 하는 엑셀 4.0 매크로 공격은 2월에 유독 급증했다. 일반적으로 피해자는 이메일로 악성 XLS 파일을 받고 매크로를 활성화하도록 유도된다. 그렇게 되면, 공격자는 네트워크에 액세스해 더 영구적으로 피해를 줄 수 있는 악성코드를 추가로 심을 수 있다.  트릭봇(Trickbot)과 다나봇(Danabot), 고지(Gozi), 지로더(ZLoader)를 비롯한 여러 상용 악성코드 제품군은 이 아이디어를 사용해 목표 네트워크에 침입 발판을 마련했다. 실제로 연구진은 이런 유형의 악성코드가 광범위한 공격 가능성의 문을 열어준다고 말했다. 연구진은 엑셀 4.0 매크로를 현재 (공격과 보안) 양측이 지속적으로 새로운 트릭을 배우는 ‘미지의 영역’으로 보고 있다. 악성코드 작성자는 새로운 탐지 회피 방법을 찾아내며 경계를 계속 확장하는 반면, 보안 연구진은 엑셀 문서를 더 잘 평가하는 방법을 밝히려고 한다. 쫓고 쫓기는 게임은 앞으로도 계속될 것이다. 마이크로소프트는 사용자가 엑셀 4.0 매크로를 버리고 최신인 VBA(Visual Basic for Application)로 바꾸도록 권장한다. 그러나 많은 기업이 여전히 엑셀 4.0 매크로에 의존하고 있어, 당장 이 기능이 폐기될 가능성은 적다.   엑셀 4.0 매크로란? 오르톨라니는 엑셀 4.0 매크로는 “믿을 수 없을 정도로 오래됐지만, 놀라울 정도로 멋진 것은 아니다”라고 말했다. 화면에 메시지를 ...

엑셀4.0매크로 공격 해킹 2020.12.02

11가지 해커 유형과 미치는 영향

해커 유형, 해킹 동기 및 목적, 사용하는 악성코드 등을 이해한다면, 공격을 식별하고 적절하게 방어할 방법을 파악하는 데 도움이 된다.   지난 수십 년 동안 해커와 악성코드는 계속해서 진화해왔다. 컴퓨터가 퍼티(putty) 같은 화면만 보이는 큰 상자였을 때 해커들은 이제 막 걸음마를 배우고 유치한 장난을 치고 있었다. 어쩌면 화면에 “마리화나를 합법화하라!”와 같은 문구를 띄우거나 양키 두들(Yankee Doodle)을 플레이하는 유치한 악성코드를 만들었을 수도 있다.    컴퓨터가 발전하고 자체적인 시장을 형성하자 해커들도 순진한 괴짜에서 대담한 범죄자 집단으로 변화하기 시작했다. 더 이상 컴퓨터는 새로운 것이 아니며 더 이상 해커도 장난을 치진 않는다. 밤새 에너지 드링크와 정크 푸드를 먹으며 괴짜 같은 장난을 즐기던 사회 부적응자들은 사라졌다.  오늘날 해커들은 제대로 된 일자리가 있는 숙련된 전문가다. 보수도 좋고, HR팀도 있으며 휴가도 즐긴다. 해커 유형은 돈이나 권력을 얻는 방법만큼이나 다양하지만 나누자면 다음의 11가지 기본 유형으로 분류할 수 있다. 1. 은행 강도(Bank robber) 한때 말을 타고 쳐들어와 총을 겨누면서 은행이나 여행자의 돈을 훔치는 은행 강도와 노상강도가 있었다. 오늘날의 금융 해커는 랜섬웨어를 타고 쳐들어온다. 그리고 위조 송장부터 위조 수표, 날짜 사기, 가짜 에스크로 중개, DoS 공격에 이르기까지 계좌에서 돈을 훔칠 수 있는 모든 사기와 해킹을 사용한다. 탐욕은 인류와 역사를 같이 했다.  2. 국가 주도(Nation-state)의 해커 오늘날 대부분의 선진국은 수천 명의 숙련된 해커들을 고용하고 있다. 이들이 하는 일은 무엇일까? 다른 국가의 군사 및 산업 네트워크에 숨어들어 자산을 파악하고 악의적인 백도어를 설치하는 것이다. 그리고 이를 통해 사이버전(cyberwarfare)을 준비하는 것이다.  이란 원자력 발전소의 우라늄 원심분리기 1,...

보안 악성코드 해킹 2020.09.16

‘참신하거나 우스꽝스럽거나...’ 이색 해킹 사례 8선

네트워크에 침투하거나 사기를 치기 위해 해커가 이용하는 방법은 다양하다. 그중에는 엉뚱하거나 심지어 멍청해 보이는 것도 있다.  해커는 으레 단호하고 끈질기며 똑똑하고 적응력이 뛰어나며 눈에 띄지 않고 무자비하다. 이를테면 그들은 코로나19 팬데믹을 포함한 모든 비극을 이용하며 네트워크의 모든 취약성을 이용한다. 대부분 해커는 저항이 가장 적은 길을 선택하며 피싱, 취약한 비밀번호, 패치되지 않은 시스템, 소셜 엔지니어링을 통해 네트워크를 공격한다. 그리고 때로는 해킹이 그냥 괴상할 수 있다. 8가지 가지 예를 살펴본다.   IoT 수조를 통해 훔친 데이터 사이버 보안 기업 다크트레이스(Darktrace)는 2017년 인터넷에 연결된 수조를 이용해 북미의 한 카지노에서 데이터를 훔친 해킹 사례를 발견했다고 발표했다. 문제의 수조에는 수온과 수조의 청정도를 모니터링하고 조절하며 물고기 섭식을 통제하는 PC에 연결된 IoT 센서가 탑재되어 있기는 했다. 다크트레이스의 사이버 정보 및 분석 책임자 저스틴 피어는 “누군가 수조를 이용하여 네트워크에 침투하여 다른 취약성을 스캔하여 발견한 후 네트워크의 다른 곳으로 횡 이동했다”라고 말했다. 이 카지노의 이름은 공개되지 않았지만 보고서에 따르면 데이터가 외국에 있는 장치로 전송됐다. 핀란드라고 생각했다면, 정답이다. 다크트레이스의 CEO 니콜 이건은 런던에서 열린 한 행사에서 참석자들에게 해커들이 네트워크에 침투한 후 하이 롤러 데이터베이스에 액세스했다고 설명했다. 참고로 하이 롤러 데이터베이스는 ‘고래’라고도 불린다. 말 그대로 ‘작은 물고기’에서 ‘고래’로 이동한 셈이다.  CEO를 속인 비싱(Vishing) 공격 우리 모두가 이메일 피싱 공격에 주의하고 있지만 상사가 전화를 해서 무엇인가를 부탁한다면 어떨까? 자신이 보이스 피싱이나 비싱 공격의 피해자가 될 수도 있다고 의심할까? AI 기반 비싱 공격의 첫 보도 사례는 2019년 영국에서 발생했다. 범인은 상업용 음성 생성...

해커 해킹 비싱 2020.08.04

"가장 인기 있는 공격 표적은 브라우저 아닌 MS 오피스"

마이크로소프트는 사이버 범죄자가 선호하는 공격 플랫폼이 됐으며, 사건 발생 건수는 계속 늘고 있는 것으로 나타났다. 카스퍼스키 랩의 연구진 보리스 라린과 블라드 스톨랴로프, 알렉산더 리스킨이 최근 시큐리티 애널리스트 서밋(Security Analyst Summit) 행사에서 지난 2년 동안 위협 환경의 변화에 대한 보고서를 발표하고, 사용자는 감염 위험을 줄이기 위해 소프트웨어를 최신으로 유지하고 신뢰할 수 없는 출처에서 온 파일은 열지 말라고 조언했다.   보고서에 따르면, 카스퍼스키 랩이 발견한 전체 공격의 70% 이상이 마이크로소프트 오피스를 대상으로 했으며, 14%만이 브라우저의 취약점을 이용했다. 2년 전만 해도 그 반대였다. 웹 기반 취약점 공격은 45%, 마이크로소프트 오피스는 16%였다. 연구진은 브라우저 취약점을 악용한 공격이 줄어든 이유로 브라우저 보안이 향상되면서 해킹이 더 어려워졌기 때문이라고 분석했다. 그들은 “브라우저 개발자는 다양한 종류의 보안 보호 및 완화에 큰 노력을 기울였다. 결국 공격자는 새로운 대상을 찾았고, 마이크로소프트 오피스가 주요 공격 대상으로 떠올랐다"라고 설명했다. 라스킨에 따르면, 사이버 범죄자가 널리 쓰이는 제품군을 공격 대상으로 선택하는 이유는 다양하다. 그는 “마이크로소프트 오피스는 파일 형식이 매우 다양하고, 윈도우 운영체제에 긴밀하게 통합돼 있다”고 말했다. 그런데 마이크로소프트는 오피스를 개발할 때 현재 보안 측면에서 최선이 아니고 변경하기도 어려운 몇 가지 결정을 내렸다. 이제 와서 이를 바꾸면 모든 버전의 오피스 제품에 심각한 영향을 미치는 상황이다"라고 말했다. 보안 업체 소닉월(SonicWall)의 2020년 7월 최신 보고서에도 이런 추세를 확인할 수 있다. 오피스가 공격에 악용되는 사례가 증가하고 있다. 이제는 악성코드 전달 메커니즘으로 PDF보다 오피스 파일이 더 많아, 전체 악성코드 파일 형식 중 PDF가 10.7%, 오피스는 22.4%를 차지한다. 반면 소닉월 보고서에...

브라우저 오피스 공격 2020.07.29

"트위터는 핵심 인프라인가, 아닌가" 트위터 해킹 사건 현황과 이를 둘러싼 여러 논제

최근 발생한 트위터 해킹 사건은 인터넷과 사이버보안, 정치의 기반을 흔들고 있다. 알려진 바에 따르면, 오지유저스(OGusers)를 애용하며 1~2개 문자로 된 핸들을 사용하는 트위터 얼리어댑터로 구성된 몇 명의 청년이 130개의 유명 계정을 대상으로 비밀번호를 재설정하고 45명의 “유명인” 계정에서 메시지를 전송했다.    해킹의 목적은 금전적 이익에 있는 것으로 보인다. 공격자들은 조 바이든, 버락 오바마, 빌 게이츠, 일론 머스크를 비롯한 유명 인사의 계정을 사용해 보낸 사기 메시지로 12만 1,000달러 상당의 비트코인을 챙긴 것으로 알려졌다.   2020년 미국 대선을 불과 몇 개월 앞둔 시점에 일어난 이번 해킹은 2016년 선거 당시에 발생한 국가 배후의 디지털 공격에 대한 식지 않은 공포와 뒤섞여 혼란을 가중시키고 있다. 특히 중요한 정치적 플랫폼으로 부상한 트위터가 해커들에게 장악되면서 정치권의 관심도 쏠렸다. 미 하원 감시 및 개혁 위원회의 간부 회원인 제임스 코머는 트위터 CEO 잭 도시에게 7월 24일 이내에 관련 사건에 대해 브리핑을 할 것을 요구하는 서한을 보냈다. 코머가 서한을 보내고 하루 뒤에는 미 상원 의원인 조시 홀리도 도시에게 비슷한 메시지를 보냈다. 홀리는 초기 해킹의 여파로 혼란한 가운데 트위터 CEO에게 “즉시 사법부와 FBI에 연락해 침해가 더 확산되기 전에 사이트를 정상화하기 위해 필요한 모든 조치를 취할 것”을 요구했다. 홀리는 도시가 당면한 위기를 해결하고 나면 어떻게 해서 해킹이 발생했는지, 그리고 이 해킹이 모든 트위터 사용자 중 가장 유명 인사인 도널드 트럼프의 계정 보안에도 위협이 되었는지 여부를 포함한 여러 질문에 답해야 할 것이라고 덧붙였다. 다른 정치인들도 가세했다. 뉴욕 주지사 앤드루 쿠오모는 해킹에 대한 전면적 수사를 지시했다. FBI도 자체적으로 조사를 시작했다.    “클래스 붕괴” 해킹 트위터는 지난 18일 “특정 직원들”이 공격자의 소셜 엔지...

트위터 인프라 해킹 2020.07.23

트위터 VIP 계정 해킹 사건으로 본 ‘내부자 위협’의 위험

대부분의 기업은 원격 공격으로부터 네트워크 경계선을 방어하기 위해 많은 노력을 하지만, 조직 내부에서 비롯되는 위협에는 많은 관심을 기울이지 않는다. 최근 유명인사와 브랜드의 트위터 계정이 하이재킹당한 공격이 있었다. 이는 악의적인 의도를 갖고 있거나, 잘 속는 내부자나 관리 액세스 권한을 제대로 관리하지 못했을 때 기업에 초래할 수 있는 위험을 알려주는 사건이었다.   트위터 해킹 사건 개요 15일, 기업 경영자와 예술가, 정치가, 유명 브랜드의 트위터 계정에 특정 주소로 비트코인을 보내라는 암호화폐 사기와 관련된 게시물이 게시됐다. 엘론 머스크, 빌 게이츠, 제프 베조스, 버락 오바마, 조 바이든, 카니예 웨스트, 킴 카시디안, 마이크 블룸버그, 우버, 애플, 심지어 트위터 고객지원 계정에서도 이런 일이 일어났다. 공격자들이 트위터에서 유명인을 가장해 이런 스캠 메시지를 게시하는 사례들이 종종 있다. 그러나 통상 팔로워가 몇 명 없는 가짜 계정으로 이런 일을 한다. 그런데 이번 사건에서는 트위터가 진짜 신원을 확인해 이름 옆에 체크 표시를 한 공식 계정에 이런 악성 메시지가 게시됐다. 이는 수많은 사용자가 이 스캠 메시지를 믿도록 만들었다. 공격자들은 이번 공격으로 약 12만 달러의 부당이득을 챙긴 것으로 추정되고 있다. 트위터는 모든 확인된 계정을 대상으로 일시적으로 새 메시지를 게시하지 못하도록 만드는 조치를 취했고, 그 즉시 이번 사건에 대해 조사하기 시작했다. 그런데 공격자들은 어떻게 한 번에 이렇게 많은 계정에 대한 액세스 권한을 획득할 수 있었을까? 사용자 계정 관리에 사용하는 내부 도구의 액세스 권한을 갖고 있는 1명 이상의 트위터 직원들을 통해 이렇게 할 수 있었다. 트위터에 이 도구의 스크린샷들이 게시되었지만, 트위터는 약관을 위반했다며 이들 스크린샷을 삭제했다. 트위터 직원들이 계정 일시 정지, 트윗 블랙리스트 처리, 계정과 연결된 이메일 주소 변경 등 여러 관리자 권한 작업을 수행할 수 있는 도구로 판단된다. 이번 공격에서...

트위터 해킹 내부자위협 2020.07.21

“코로나19로 변한 근무 형태, 기업의 인터넷 공격 표면 급증”

코로나19 팬데믹으로 촉발된 새로운 근무 형태로 인해 최근 대기업의 공격 표면이 증가한 것으로 나타났다. 인터넷에서 바로 접근이 가능한 서버, 도메인 이름, 웹사이트, 웹 양식, 인증서, 서드파티 애플리케이션과 구성요소 또는 모바일 앱을 포함한 많은 영역에서 위협이 증가했다. 일부는 일시적일수도 있지만, 상당수는 계속 지속될 가능성이 높으므로 기존 IT팀과 보안 팀은 중압감 속에서 이와 같은 변화를 관리하고 보호해야 한다.   디지털 자산 검색 및 보호를 전문으로 하는 보안 업체 리스크IQ(RiskIQ)는 최근 자체 기술로 인터넷 스캔을 통해 수집한 데이터를 사용해 글로벌 공격 표면을 조사했다. 조사 결과 2주에 걸쳐 웹에 295만 9,498개의 새로운 도메인 이름과 7억 7,278만 6,941개의 새로운 고유한 호스트가 추가된 것으로 나타났다. 알렉사(Alexa) 상위 1만 개 웹사이트의 거의 절반이 해커의 주 공격 목표인 인기 콘텐츠 관리 플랫폼에서 실행 중이다. 리스크IQ는 이러한 웹사이트에서 1만 3,222개의 워드프레스 플러그인이 실행 중인 것으로 확인했다. 워드프레스 플러그인 역시 취약점과 침해의 주 발생지다. 리스크IQ는 알려진 중대하고 치명적인 취약점을 찾는 과정에서 알렉사 상위 1만 개의 도메인 중 2,480개에서 실행 중인 잠재적으로 취약한 구성요소를 최고 한 개 발견했다. 잠재적으로 취약한 웹 구성 요소의 총 수는 8,121개에 이르렀다. 리스크IQ는 보고서에서 “이중 일부에 대해서는 식별된 취약점과 노출점이 악용되지 않도록 하기 위해 패치나 기타 보완 대책이 나오겠지만, 상당수는 그대로 방치될 것”이라고 경고했다.   대기업의 인터넷 공격 표면 리스크IQ는 FTSE 30 목록에 포함된 기업의 인터넷 자산에서 1,967개의 도메인 이름과 5,422개의 웹사이트, 8,427개의 호스트, 77만 7,049개의 웹 페이지, 3,609개의 인증서, 7만 6,324개의 양식, 2,841개의 워드프레스 및 드루팔(Drupal...

코로나19 팬데믹 해킹 2020.06.15

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.