Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

NSA

쿠버네티스 보안 강화를 위한 NSA/CISA 가이드 분석

쿠버네티스는 컨테이너 오케스트레이션을 위한 사실상의 표준이다. 기업의 88%가 컨테이너 오케스트레이션에 쿠버네티스를 사용하고, 그중 74%가 프로덕션 환경에 사용한다는 조사 결과도 있다. 그러나 보안은 여전히 중대한 우려 사항으로, 기업의 94%가 지난 12개월 사이 쿠버네티스 환경에서 한 번 이상 보안 사고를 겪은 것으로 나타났다.    조직이 안전하게 쿠버네티스를 사용하기 위해서는 쿠버네티스를 도입할 때 업계 베스트 프랙티스와 가이드를 따르는 것이 중요하다. 미국 국가안전국(NSA)과 사이버 보안 인프라 보안국(CISA)이 최근 발행한 쿠버네티스 강화 가이드(Kubernetes Hardening Guidance)는 좋은 참고 자료다.  그 외에 쿠버네티스를 위한 유용한 보안 가이드와 서적으로는 인터넷 보안 센터(CIS) 쿠버네티스 벤치마크, 미국 국방부 쿠버네티스 보안 기술 구현 가이드(STIG), 그리고 아쿠아 시큐리티(Aqua Security)의 리즈 라이스와 마이클 하우젠블라스가 쓴 쿠버네티스 보안(Kubernetes Security)이 있다.  쿠버네티스 보안 강화 가이드는 쿠버네티스 보안 위험의 일반적인 발생지를 세 가지로 분류한다. 공급망 위험, 악성 위협 행위자, 내부자 위협이다. 또한 위협 모델링, 쿠버네티스 포드 보안, 네트워크 분리 및 강화, 인증과 권한 부여, 로그 감사, 업그레이드, 애플리케이션 보안 베스트 프랙티스와 같은 중요 영역에 걸쳐 세부적인 내용을 제공한다.  가이드의 도입부에는 쿠버네티스의 핵심 아키텍처 구성요소에 대한 설명이 나와 있다. 중심에는 클러스터가 있고 제어 플레인, 노드, 노드에 위치하는 포드와 같은 클러스터의 핵심 구성요소가 포함된다. 쿠버네티스가 어떻게 기능하고 구성요소가 어떻게 상호작용하며, 궁극적으로 이를 어떻게 보호해야 하는지를 이해하려면 이와 같은 핵심 구성요소를 이해해야 한다.    제어 플레인(Control Plane)&nb...

쿠버네티스 컨테이너 오케스트레이션 2021.08.25

“치명적인 수준을 넘어서는 취약점” 미 NSA, 윈도우 서버 즉각 패치 권고

마이크로소프트의 이번 달 화요일 패치에는 무려 49가지 허점을 메울 방안이 포함되어 있는데, 이 중 하나는 ‘치명적인’ 수준을 넘어서는 취약점이다. 윈도우 서버 2016이나 2019를 구동하는 기업은 가능한 한 빨리 패치를 적용하는 것이 필수적이다.   미 NSA는 패치가 나온 당일, 윈도우 서버 취약점 하나를 공개했다. NSA가 허점을 찾은 것은 수개월 전이지만, 마이크로소프트가 패치를 준비할 때까지 공개를 미룬 것으로 보인다. 취약점을 공개하는 것은 NSA는 물론 어느 누구의 책임도 아니며, 소프트웨어 업체에 패치를 만들 시간을 주는 것 역시 마찬가지다. 이번 취약점은 crypt32.dll에서 발견됐다. 이 모듈은 윈도우 NT 4.0부터 데스크톱과 서버용 윈도우 모두에 사용됐기 때문에 20년도 넘은 모듈이다. 마이크로소프트는 이 라이브러리가 CryptoAPI에서 인증과 암호화 메시지 기능을 처리한다고 설명했다. CryptoAPI는 개발자가 암호를 사용하는 안전한 윈도우 기반 애플리케이션을 개발할 수 있는 서비스를 제공하며, 여기에는 윈도우 환경에서 신뢰의 주된 요소가 되는 디지털 인증서 사용도 포함된다. 사용자는 개발자가 디지털 서명하지 않은 앱을 배제할 수 있다. 해커는 디지털 서명을 속이는 결함을 이용해 악성 소프트웨어를 위한 가짜 인증서를 발급할 수 있다. 따라서 이 취약점의 중요성은 너무나 분명하다. 악의적인 소프트웨어가 윈도우 보안의 중심 수문장을 사용해 컴퓨터에 설치될 수 있다는 것이다. 이 취약점은 윈도우 10 코드 기반에만 영향을 미치기 때문에 윈도우 10, 윈도우 서버 2016, 윈도우 서버 2019 시스템만 영향을 받는다. NSA는 권고안을 발표하며 이 취약점이 좀 더 광범위한 영역의 보안에 악영향을 미칠 수 있다고 지적했다. 이 취약점을 악용하면 “공격자가 신뢰할 수 있는 네트워크 연결을 깨고 적법하고 믿을 수 있는 개체처럼 보이면서 실행 가능한 코드를 전달할 수 있다”는 설명이다. 또 “NSA는 이 취약점이 심각하...

취약점 패치 암호화 2020.01.21

마이크로소프트-NSA, 윈도우 10 결함 공개했으나 윈도우 7은 해당 없음

예상했던 대로, 마이크로소프트는 윈도우 10 암호화 라이브러리에 영향을 미치는 윈도우의 근본적인 결함을 공개했다. 이와 함께 14일 1월 패치를 통해 윈도우 10과 윈도우 서버와 관련한 문제를 해결했다.     결함 CVE-2020-0601은 윈도우 10 시스템에 영향을 주는 사용자 모드 암호화 라이브러리인 CRYPT32.DLL에서 발견됐다. 이전 소문과 달리 우연히 같은 날 종료되는 윈도우 7에는 영향을 미치지 않았다. 다행히도 마이크로소프트는 라이브러리가 현재 사용하지 않고 있다고 밝혔지만, 공격자가 라이브러리를 무기화하는 것을 막지는 못했다.  특히 이 공격은 악성코드가 스푸핑된 암호화 서명 뒤에 숨는 것을 허용할 수 있다. 따라서 안티바이러스 소프트웨어는 악성코드를 합법적인 애플리케이션으로 식별하거나 가짜 은행 사이트가 이 취약점을 이용해 사용자의 PC가 합법적이라고 생각하도록 속일 수 있다.  마이크로소프트는 이 취약점을 보고한 출처에 대해 언급하지 않았다. 워싱턴 포스트는 NSA가 이 익스플로잇을 발견한 다음, 이를 마이크로소프트에 넘겼다고 보도했다. NSA는 이번에 발표한 보안 권고에 대한 공적을 인정했다.  마이크로소프트에 따르면, CVE-2020-0601은 윈도우 10에 영향을 미친다. NSA는 윈도우 서버 2016/2019에도 영향을 줄 것이라고 판단했다.  NSA는 “이 취약점을 악용하면 공격자가 신뢰할 수 있는 네트워크 연결을 우회하고 합법적으로 신뢰할 수 있는 조직인 것처럼 보이는 실행 코드를 제공할 수 있다”라고 말했다. 신뢰 유효성 검사에 영향을 줄 수 있는 예로는 HTTPS 연결, 서명된 파일, 이메일 및 사용자 모드 프로세스로 시작된 서명된 실행 코드 등이 있다.   NSA는 기본적으로 모든 사람이 PC를 위험에 빠뜨리지 않도록 가능한 한 빨리 이번 패치를 적용하도록 권고했다. NSA는 “취약점이 심각하다고 평가하고 정교한 사이버 공격자들은 이 근본적인 결...

NSA 결함 마이크로소프트 2020.01.15

1월 14일 윈도우 7 종료의 날, 주요 버그가 공개될 수 있다는 소문 제기

보안 연구원인 브라이언 크렙스는 1월 14일 윈도우 7에 대한 지원이 만료되는 날, 고약한 버그가 패치될 수 있다고 경고했다.    이것이 사실이라면, 수백만 명의 윈도우 사용자가 악성코드에 노출될 수 있으며, 크렙스는 “이는 크립토API(CryptoAPI)의 인증서 및 암호화 메시징 기능을 제어하는 crypt32.dll에 영향을 미칠 수 있다”고 말했다. 무서운 점은 crypt32.dll가 특정 소프트웨어에 대한 디지털 서명을 스누핑(spoofing)하는 데 사용되어 PC가 완벽하게 정당한 애플리케이션으로 위장한 악성코드를 허용할 가능성을 만들어낸다는 점이다.   CERT 조정 센터의 취약점 보고서를 작성하는 윌 도먼은 “사용자들은 마이크로소프트 패치 화요일 업데이트를 적시에 설치하는 것에 매우 주의를 기울여야 할 것”이라고 지적했다.  크렙스는 미국 NSA가 1월 14일 사이버보안 문제에 관한 기자간담회를 개최할 예정이라고 보도했다.  윈도우 7에 대한 지원이 오늘 만료될 것으로 예상됨에 따라 지금 시기는 매우 중요하다. 마이크로소프트가 종전 지침을 그대로 따른다면, 취약점에 대한 보안 패치를 제공하지 않아 수백만 명의 윈도우 7 사용자가 특히 취약해진다. 물론, 마이크로소프트가 이 소문난 결함에 대해 패치를 내더라도, 그리고 지원을 하루 연장하더라도 문제가 없어지진 않는다. 또 다른 초대형 버그가 뒤따를 것이기 때문이다.  다시 한번 말하지만, 이런 주요 취약점이 공개된 경우, 마이크로소프트가 윈도우 7용 패치를 발행하지 않을 가능성은 매우 낮다. 윈도우 10과 윈도우 7이 모두 취약하더라도 마이크로소프트는 사용자에게 더 오래되고 덜 안전한 운영체제를 마이그레이션하도록 권장할 강력한 이유가 될 수 있다.  마이크로소프트나 NSA가 오늘 폭탄을 발표할 것인지 여부와 관계없이 변하지 않는 사실이 있다. 패치 및 기타 수정 사항에 대해 PC를 최신 상태로 유지하는 것은 최선의 방법이다. ...

윈도우7 패치 NSA 2020.01.14

NSA의 새로운 사이버보안 조직의 수장, “위협”과 ”목표”를 말하다

미국 국가안보국(NSA) 사이버보안 사무국(Cybersecurity Directorate) 책임자인 앤 노이버거는 자신의 그룹은 랜섬웨어, 미국선거 위협 및 국가 주도의 영향 공작(Influence Operations)에 초점을 맞출 것이라고 말했다.  NSA 산하 새로운 부서인 이 조직의 책임자인 앤 노이버거에 따르면, 랜섬웨어, 러시아, 중국, 이란, 북한은 사이버보안 사무국이 중점을 둘 최고의 사이버보안 위협이다.    노이버거는 지난 7월 NSA 국장인 폴 나카소네에 의해 이 조직의 수장으로 임명받았다. 이 조직은 자체 위협 정보, 취약점 평가, 사이버 방어 전문 지식을 운영한다는 목표를 갖고 기관의 해외 정보팀과 사이버 운영팀을 하나로 통합해 새로운 부서로 시작했다.   노이버거는 9월 4일 미국 워싱턴의 빌링턴 사이버시큐리티(Billington Cybersecurity Summit) 행사에서 사이버보안 벤처 투자자이자 경영인인  닐루파 라지 호위와의 대담에서 "NSA는 실제로 게임 수준을 높였다"며, “방위 산업에 초점을 맞추고 국가 보안 시스템과 주요 인프라에서 활동하는 사이버 공격자를 막고 근절하기 위한 매우 적극적인 임무를 맡게 됐다”고 말했다.  노이버거는 “위협 측면에서 명백하게 랜섬웨어가 핵심이다. 우리는 하루에 약 4,000건의 랜섬웨어 공격이 발생하는 것을 봤다”고 말했다.  고유한 방식을 갖고 있는 각국의 사이버 위협 노이버거는 “러시아를 살펴보면, 사이버 공격을 무력 분쟁 단계 아래에 실제로 통합해 사용하고 있다. 또한 그들은 선거에 영향을 줄 수 있는 인터넷연구소나 우크라이나, 시리아에서 군사적 충돌에 맞서 싸우는 용병, 그리고 정부와 관련이 없는 단체에도 영향 공작을 해왔다”고 말했다.  노이버거는 중국은 사이버 위협을 이용한 국가 안보와 군사 목표를 달성하는 방법에 대해 독자적인 접근 방식을 갖고 있다고 말했다. 중국의 사이버 위협은 완전히 다른...

NSA 2019.09.06

NSA가 만든 무료 리버스 엔지니어링 툴, "기드라" 사용 방법

초대형 악성코드 스턱스넷(Stuxnet)을 만든 미국 국가안보국(NSA)이 이번에는 악성코드를 연구하는 리버스 엔지니어(reverse engineering)의 저변 확대를 위해 오픈소스 리버스 엔지니어링 프레임워크인 기드라(Ghidra)를 공개했다.    결과적으로 리버스 엔지니어링 시장을 오랫동안 석권해왔던 IDA 프로(IDA Pro)의 위상이 흔들리고, 많은 사람이 막대한 IDA 프로 라이선스 비용을 내지 않고도 리버스 엔지니어링 방법을 배울 수 있게 됐다. 기존 IDA 프로 사용자 입장에서는 이미 구축된 워크플로우와 커스터마이징한 부분을 기드라로 옮기기 위해 필요한 시간과 노력을 감안할 때 적어도 당분간은 툴을 바꿀 이유가 없으므로 급격한 전환은 없을 것으로 보인다. 그러나 관련 생태계가 발전할수록 기드라는 IDA 프로의 시장 점유율을 뺏고 이 툴의 도태를 가속화할 가능성이 높다. 지난 4월 RSA에서 아파치 라이선스에 따라 출시된 기드라는 필요에 맞게 손쉽게 수정이 가능해 보안 연구원들은 빠르게 기드라 소스코드를 해킹하기 시작했다. 라이선스를 받은 프로그램이 정확히 몇 대의 컴퓨터에 설치되었는지 따질 필요도 없다. 필요한 만큼 얼마든지 많은 워크스테이션(또는 서버)에 기드라를 설치할 수 있다. 기드라는 불과 몇 개월 전에 나왔지만 그 사이 이미 다수로부터 IDA 프로의 대안으로 충분하다는 평가를 받았다. 기드라를 시작하기 위해 알아야 할 점을 살펴보자. 기드라는 무엇인가 기드라는 미국 정부가 자체적으로 개발한 리버스 엔지니어링 프레임워크다. 위키리크스는 지난 2017년 볼트 7(Vault 7) 조사 활동의 일부로 기드라의 존재를 공개했고 NSA는 이후 2019년 RSA에서 그 소스코드를 공식적으로 공개했다. 많은 이가 NSA의 행보를 두고 조직 홍보를 위한 움직임으로 해석했다.   기드라를 공개한 NSA의 동기가 무엇이든 기드라가 유용하다는 사실에는 논쟁의 여지가 없다. 기드라의 특징은 리버스 컴파일러, 상황별 ...

NSA IDA 리버스엔지니어링 2019.05.14

카스퍼스키랩, 소스코드를 공개해도 '스파이 활동' 의문을 해소하지 못한다

카스퍼스키랩(Kaspersky Lab)은 독자적인 확인과 검증이 가능하도록 소스코드를 공개하는 '투명성' 이니셔티브를 발표했다. 월스트리트저널과 뉴욕타임즈가 러시아 해커들이 카스퍼스키 제품을 이용해, NSA 계약업체 컴퓨터에서 민감한 자료를 훔쳤다고 보도한 직후 나온 발표다. 카스퍼스키는 러시아 정부와 어떤 형태로도 협력하고 있지 않으며, 앞으로도 계속 그럴 계획이라면서 보도 내용을 부인했다. 카스퍼스키랩은 보도 자료에서 업데이트와 탐지 규칙을 포함한 소프트웨어 소스코드를 자유롭게 독립적으로 확인할 수 있도록 공개하는 투명성 이니셔티브를 추진한다고 설명했다. 이 이니셔티브는 이해 당사자가 코드의 신뢰도, 카스퍼스키 내부 프로세스와 비즈니스 운영 측면의 신뢰성을 검증하고 확인할 수 있도록 만드는 데 목적이 있다. 그러나 NSA의 부대표를 지낸 릭 레제트는 이런 이니셔티브가 좋은 출발점이 될 수는 있지만, 진짜 문제를 해결하지는 못한다고 지적했다. 바이러스 백신 소프트웨어는 고객 컴퓨터의 모든 파일에 액세스할 수 있도록 설계되어 있다. 이번 경우 NSA 계약업체가 고객이었다. 카스퍼스키 소프트웨어는 파일을 스캔하고, 서명이 일치할 경우 파일을 수집해 추가 분석할 수 있도록 만들어져 있다. 레제트는 "카스퍼스키는 고객 컴퓨터에 대한 적법한 관리자 액세스 권한을 사용, 악성코드가 아닌 파일을 식별해 수집한다는 혐의를 받고 있다. 유진 카스퍼스키는 "전문가들이 바이러스 백신 코드를 분석할 수 있도록 소스코드를 공개하겠다는 제안을 했지만, 이는 이런 혐의와 관련이 없다. 코드가 앞서 언급한 작업을 하도록 개발되어 있기 때문이다. 또 돈을 내고 이를 이용하는 고객의 기대 사항과도 어긋난다. 코드가 아니라, 코드 사용 방법이 문제다"고 말했다. 전문가들은 "코드가 원래 하도록 되어 있는 작업을 하고 있다는 점을 발견하게 될 것이며, 유진 카스퍼스키 또한 이런 사실을 알고 있다"고 말했다. 이러 ...

카스퍼스키 NSA 소스코드 2017.10.25

이스라엘, 카스퍼스키 해킹 통해 미국을 해킹한 러시아 해커 포착

이스라엘이 카스퍼스키를 해킹해 미국 정부의 분류 프로그램을 검색하고 정보를 훔치는데 카스퍼스키 소프트웨어를 사용한 러시아를 잡아냈다. 러시아 해커가 카스퍼스키 제품을 사용해 NSA의 취약점을 검색하고 다른 미국 정부 분류 프로그램을 검색하는 방법을 설명하는 과정에서 러시아 해커를 포착한 이스라엘 첩보 당국이 미국 정보기관에 말한 것이 드러난 것이다. 뉴욕타임즈는 "이번 기사는 스파이가 스파이를 보았다는 첩보 사건이다. 러시아 정부 해커들이 전 세계 컴퓨터에서 미국 정보 프로그램의 코드명을 찾는 정황을 이스라엘 첩보원이 실시간으로 보고 있었다"고 보도했다. 이스라엘은 미국의 한 첩보당국에게 해당 첩보 행위에 대해 말했으며, 카스퍼스키 네트워크에 깊숙이 들어간 것을 스크린 샷과 문서 형태로 증거를 제공한 것으로 알려졌다. 이는 분류 규칙에 의거해 익명을 요구한 익명의 정부 공직자에 따른 것이다. 뉴욕 타임즈는 "이전에 드러나지 않았던 미국의 비밀을 폭넓게 검색하는데 카스퍼스키 소프트웨어를 사용한 러시아 해커들의 침해 사실을 이스라엘 정보 기관이 밝혀냈다"고 설명했다. 이스라엘 첩보당국은 2014년 자체 첩보활동을 목적으로 카스퍼스키를 해킹한 바 있다. 그들은 러시아 해커들이 미국 정부의 분류 프로그램에 대해 적극적으로 스캔한 모든 조사 결과를 러시아 첩보 시스템에 전달하는 것을 실시간으로 보고 있다고 미국 NSA에게 말했다. 러시아 첩보원들은 민감한 정보를 검색하는 일종의 구글 검색 용도로 카스퍼스키랩 소프트웨어를 사용한 것이라고 전해졌다. 뉴욕 타임즈는 러시아 해커들이 훔친 미국의 비밀 데이터가 무엇인지는 정확히 밝히지 않았지만, 이 러시아인은 NSA 직원의 가정용 컴퓨터에 부적절하게 저장되어 있는 분류된 NSA 문서를 훔쳤다고 언급했다. 또한 워싱턴 포스트는 2015년에 NSA TAO(Tailored Access Operations) 직원이 가정용 컴퓨터에서 카스퍼스키 안티바이러스를 사용하고 ...

해킹 미국 이스라엘 2017.10.13

NSA에서 발생한 제 3의 데이터 유출 사건 공개 후 쏟아지는 의문들

월스트리트저널(The Wall Street Journal) 기사에 따르면, 러시아 정부를 위해 일하는 해커들이 NSA 계약자의 개인 컴퓨터에서 민감한 문서를 탈취했다고 한다. 해당 계약자는 카스퍼스키랩(Kaspersky Lab)의 안티바이러스가 파일을 발견한 후 표적이 되었다고 전해지며 그간 미국 정부가 자체 시스템에서 카스퍼스키 제품을 금지하려는 이유를 어느 정도 이해할 수 있다. 월스트리트저널은 "전문가들은 공개되지 않은 이 도난 사건을 최근 수년 동안의 가장 중대한 보안 유출로 보고 있다. 이를 통해 러시아 정보부가 널리 사용되는 상용 소프트웨어 제품을 이용해 미국을 감시하는 것에 대해 정보 커뮤니티가 어떻게 생각하고 있는지 살짝 엿볼 수 있다. 해당 사건은 2015년에 발생했지만 지난 해 봄까지 발견되지 않았다고 공언한 사건이다"고 보도했다. 이 기사가 사실이라면 NSA는 자체 해킹 툴에 대한 서드파티 데이터 유출로 인해 피해를 입었을 것이다. 카스퍼스키랩과 이 데이터 유출의 관련성에 관해 월스트리트저널은 미국의 조사관들은 익명의 계약자가 KAV(Kaspersky Anti-Virus)를 사용하면서 러시아 해커들의 파일 존재를 알게 되었다고 보도했다. 월스트리트저널은 "전문가들은 해당 소프트웨어가 악성코드를 찾다가 계약자가 NSA에서 삭제한 데이터의 샘플을 발견했을 수 있다. 하지만 카스퍼스키 기술자들이 NSA 자료를 나타내는 특정 파라미터를 찾도록 소프트웨어를 프로그램하는 등 안티바이러스 시스템이 그것을 어떻게 판단했는지는 불분명하다. 또한 카스퍼스키의 직원들이 러시아 정부에 그 발견사항을 알렸는지 여부도 불분명하다"고 보도했다. 이 기사에서 KAV가 이런 파일을 찾게 된 이유는 밝혀지지 않았다. 해당 파일이 이퀘이션 그룹(Equation Group)과 관련되어 있다면 카스퍼스키의 소프트웨어가 알려진 파일을 스캔하고 추가 분석을 위해 표시했을 수 있다. 모든 안티바이러스 개발업체...

유출 카스퍼스키 NSA 2017.10.11

섀도우 브로커 “윈도우 공격 툴 더 있다”…구독 서비스로 판매 계획

미 NSA의 것으로 의심되는 윈도우 취약점 공격 툴을 공개한 해커 집단 섀도우 브로커(Shadow Brokers)가 더 많은 공격 툴을 확보하고 있으며, 이를 새로운 구독 기반 서비스로 판매할 계획이라고 주장했다. 또한, NSA가 수집한 해외 은행과 탄도 미사일 프로그램 관련 정보도 가지고 있다고 밝혔다. 섀도우 브로커가 유출한 윈도우 SMB 취약점 공격 툴 이터널블루(EternalBlue)는 최근 워너크라이 랜섬웨어가 수십 만대의 컴퓨터를 감염시키는 데 이용됐다. 이 단체는 지난 해 8월 처음 온라인에 등장해 자신들이 이퀘이션(Equation)이란 사이버 스파이 단체의 무기고에 액세스할 수 있다고 주장했다. 이퀘이션은 전문가들에게 미 NSA의 해킹 부서로 알려져 있다. 16일 섀도우 브로커는 새로운 메시지를 온라인에 올려 자신들이 아직 공개되지 않은 이퀘이션의 공격 툴을 더 많이 가지고 있다고 주장했다. 또 이들 공격 툴을 6월에 출시하는 새로운 구독 기반 서비스의 일부로 제공할 계획이라고 밝혔다. 섀도우 브로커는 처음에 라우터와 파이어월 제품 해킹 툴 세트를 공개하며 자신들이 더 많은 공격 툴을 가지고 있으며, 이를 1만 비트코인(약 1,200만 달러)에 팔겠다고 나섰다. 하지만 사겠다고 나서는 구매자가 없자 이퀘이션이 공격한 시스템의 IP 주소를 포함한 많은 정보를 공개하기도 했다. 결국 1월에는 판매 시도를 중단하고 온라인 계정을 닫고 말았다. 하지만 4월에 다시 등장해 수많은 윈도우 및 리눅스 공격 툴이 담긴 암호화된 아카이브의 패스워드를 공개해 버렸다. 여기에는 이퀘이션이 사용한 것으로 추정되는 악성코드도 포함되어 있었다. 물론 이렇게 유출된 공격 툴이 노리는 취약점 대부분은 패스워드 공개 당시 이미 패치가 이루어진 상태였으며, 이터널블루 역시 마이크로소프트가 3월에 패치했다. 섀도우 브로커에 따르면, 새로운 서비스를 통해 매월 유출할 데이터는 웹 브라라우저와 라우터, 모바일 디바이스, 윈도우 10용 공격...

NSA 랜섬웨어 섀도우브로커 2017.05.17

NSA, 미국 시민들의 이메일, 문자 메시지에 대한 감시 중단

미국 국가안보국(NSA)이 더 이상 이메일, 문자, 그리고 기타 인터넷 통신을 감시하지 않을 것이라고 밝혔다. 4월 28일 NSA의 이번 발표는 그동안 비판가들이 미국 시민권을 침해했다고 주장해 온 감시 수단을 중단한 것이다. 이 감시 수단은 외국 감시 대상이 언급된 통신에 대해서는 영장없이도 데이터를 수집할 수 있었는데, 이제 NSA는 이런 수집 행위를 하지 않겠다는 걸 의미한다. 이번 성명서에서 NSA는 "이제 감시는 외국 정보 기관을 대상으로 '직접적인' 또는 '그 대상으로부터' 이뤄지는 통신에만 국한될 것"이라고 밝혔다. 이번 발표의 일환으로 NSA는 감시 기술을 사용해 수집된 대부분의 인터넷 통신을 삭제한다. NSA는 기술적인 제약과 미국 시민들의 프라이버시에 대한 관심사, 이행상의 어려움 때문에 일부 활동을 중단하기로 결정했다고 밝혔다. NSA는 이 감시 기술을 사용해 실수로 미국 시민들의 통신 데이터를 수집한 몇 가지 사건을 겪고 난 후에 변경했다고 밝혔다. 파키스탄 당국의 스파이 활동을 감독하는 해외정보감독법원(Foreign Intelligence Surveillance Court)은 NSA의 데이터 수집 활동을 보다 더 폭넓게 할 수 있는 접근 방식을 승인했다. 미국 오레곤 주 론 위든 상원의원은 성명서를 통해 "이 같은 변화로 미국인들의 통신을 외국 표적이라는 언급만으로 영장없이 수집할 수 있는 관행을 없앨 수 있다"고 말했다. 위든은 이런 유형의 데이터 수집을 금지하는 법안을 상정할 계획이다. 전 NSA 계약자인 에드워드 스노든은 "이번 방침이 다른 모든 프로그램에 적용된다면 2013년 이후 이뤄진 NSA 개혁 가운데 가장 실질적인 변화인 것 같다"고 말했다. NSA의 이와 같은 변화는 특히 미국 시민들을 감시하는 프리즘(PRISM) 프로그램이 아닌 좀더 상위의 감시 수집행위를 포함한다. editor@itworld.co....

감시 NSA 시민 2017.05.02

"스마트폰 보안에도 가상화를 사용하라"…NSA

미국 국가안보국(NSA)은 현재 미국 정부 부서와 기업들에게 가상화를 사용해 보안이 설정된 스마트폰을 구입할 것을 제안했다. 이 가상화 기술은 현재 태블릿과 노트북에서만 요구하는 기술이다. Credit: Peter Sayer 이번 제안은 가상화 기반의 스마트폰 보안 시스템이 미국 상용 솔루션 분류 목록(U.S. Commercial Solutions for Classified list, CSfC)에 포함되면서 나온 것이다. CSfC(Commercial Solutions for Classified)는 NSA가 개발한 프로그램으로 미국 정부기관과 기업들에게 계층화된 보안시스템을 신속하게 구축할 수 있도록 지원한다. D4 가상화 플랫폼을 사용한 코그시스템(Cog Systems)에 의해 보안이 강화된 HTC A9 스마트폰은 현재 삼성전자, LG전자, 블랙베리 등 가상화 기술이 적용되지 않은 기기들과 함께 이 목록에 올라와있다. A9에서 통신 기능은 D4 가상화 플랫폼에서 별도의 가상머신에서 실행되어 보안을 유지한다. NSA는 지금까지 가상화를 태블릿과 노트북과 같은 큰 기기에서만 요구해왔다. 이번 A9은 가상화를 사용한 첫번째 스마트폰이다. NSA의 기술 지침서에는 "스마트폰에 가상화 기술을 사용한다면 일부 문제를 해결하는데 활용할 수 있다. 지금까지 스마트폰에는 해당 기술이 적용되지 않았다"고 전했다. 코그시스템의 지위는 아직 확정적인 것이 아니다. 여전히 미국 국가정보보증협회(National Information Assurance Partnership, NIAP)의 모바일 플랫폼과 IPSec VPN 클라이언트 보호 프로파일에 대한 D4/A9 조합에 대한 인증은 획득된 것이 아니다. 일반적으로 개발업체들은 이 목록 유지를 위한 인증 획득에 6개월이 걸린다. 현재 D4의 검증은 고서머 시큐리티 솔루션(Gossamer Security Solutions)의 CCTL(Common Criteria Testing L...

가상화 스마트폰 NSA 2017.05.02

"NSA 스파이웨어 존재를 쉽게 확인"…깃허브에 등장한 스크립트 '주목'

자사의 컴퓨터가 NSA의 감시 도구에 감염됐는지 의심스러운 이들이 환영할 만한 도구가 등장했다. 이를 쉽게 감지할 수 있다는 무료 도구가 등장해 눈길을 끌고 있다. 보안업체 커머셜(Countercept)의 루크 제닝스는 지난주 NSA가 유포한 것으로 추정되는 사이버 무기에 대응해 작성한 스크립트를 공개했다. 'Dublepulsar'라고 불리는 NSA의 이 감시 도구 삽입물은 윈도우 기반 취약점에 의해 배포되며 다른 악성코드를 실행시키는 능력을 보유했다. 제닝스의 이번 스크립트는 현재 깃허브에서 다운로드할 수 있다. 단 사용을 위해서는 약간의 프로그래밍 기술이 필요하다.  한편 몇몇 보안 전문가들이 제닝스의 스크립트를 사용해 임플란트에 감염된 시스템을 인터넷에서 검색했다. 그 결과, 약 3만~10만 대의 컴퓨터가 'Dublepulsar'에 감염된 것으로 추정되고 있다. 이 가운데 침투 테스트 업체 빌로우0데이(Below0Day)는 감염 컴퓨터가 분포한 국가를 의미하는 트위터 그래프를 작성하기도 했다. 이에 따르면 미국에는 약 1만 1,000대의 감염된 컴퓨터가 존재하며, 영국, 대만, 독일을 비롯한 여러 국가에서 1,500대 이상의 컴퓨터가 감염돼 있었다. 제닝스는 이들 컴퓨터들이 악성코드에 감염된 시기가 분명하지 않다고 밝히면서도, 'Doublepulsar'를 배포하는 것으로 추정되는 NSA의 도구가 일주일 전에 누출됐으며 이 시점부터 해킹 역량을 가진 이들이 이용하기 시작했었을 수 있다고 분석했다. . 몇몇 보안 전문가들은 사이버 범죄자나 외국 정부가 이번 취약점을 악용해 인터넷으로 구형 컴퓨터 일부를 공격할 수 있다고 우려하고 있다. 특히 패치되지 않은 윈도우 시스템으로 구동되는 컴퓨터가 특히 위험에 처해 있다는 진단이다. 시스템을 재부팅하면 NSA의 삽입물은 제거되지만 임플란트와 관련된 모든 악성코드가 제거되지 않는다. 제닝스는 'Dublepulsar'...

스파이웨어 NSA 깃허브 2017.04.24

NSA 스파이웨어 탐지 무료 툴 등장…감염 기기 10만 대 발견

보안 전문업체 카운터셉트(Countercept)의 보안 연구원 루크 제닝스가 지난 주 해커 집단 셰도우 브로커에 의해 일반에 공개된 스파이웨어에 대응하는 스크립트를 만들어 공개했다. 이 스크립트는 더블펄서(Doublepulsar)라는 스파이웨어가 심어져 있는지 탐지한다. 스크립트를 사용하기 위해서는 약간의 프로그램이 기술이 필요하며, 현재 깃허브에 올라와 있다. 몇몇 보안 연구원은 제닝스의 스크립트를 이용해 감염된 기기가 얼마나 되는지 인터넷을 검사했다. 결과는 편차가 컸는데, 3만 대에서 10만 대의 컴퓨터가 이 스파이웨어에 감염된 것으로 나타났다. 침입 테스트 업체인 빌로우제로데이(Below0Day)는 트위터를 통해 국가별 감염 정도를 공개했는데, 미국이 1만 1,000대로 가장 많았다. 그 외에 영국, 대만, 독일이 1,500대 정도였다. 제닝스는 이들 기기가 언제 더블펄서에 감염됐는지는 알 수 없다고 밝혔다. 하지만 NSA의 스파이웨어가 공개된 것이 벌써 지난 주이기 때문에 발 빠른 해커라면 이미 이를 악용할 수 있는 충분한 시간이다. 한편 제닝스는 더블펄서가 인터넷을 통해 컨트롤 서버와 통신하는 방법을 분석해 이번 스크립트를 개발했다고 밝혔다. 하지만 제닝스의 원래 의도는 기업들이 자사 네트워크에 대해 스파이웨어를 탐지하는 데 이용하는 것이지 인터넷 전체에 대한 검사하는 것은 아니었다. 하지만 아직 제닝스의 스크립트가 잘못 됐다는 증거를 제시한 사람은 없다. 포보스 그룹 CEO 댄 텐틀러는 이 스크립트의 정확성을 조사했다. 텐틀러는 이미 수작업으로 감염이 확인된 기기 50대에 대해 스크립트를 사용해 봤는데, 50대 모두 스크립트를 통해서도 감염된 것으로 확인됐다. 텐틀러는 “스크립트가 좋지 않다면, 검사를 많이 하면 몇 개 정도는 오탐이 생기기 마련이다. 하지만 이 스크립트로는 아직 오탐을 발견하지 못했다”라고 밝혔다. 보안 연구원들이 더블펄서 검색 결과의 정확성을 확인하는 데는 시간이 좀 더 걸릴...

악성코드 해커 스파이웨어 2017.04.24

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.