Cappuccino sapiens

멀티 클라우드, 하이브리드 클라우드로 기업의 데이터를 이전함에 따라, 데이터는 더욱 분산되고 여러 디바이스로부터 여러 경로를 통해 접근이 가능하게 됩니다. 기업은 데이터의 안전한 접근통제 및 관리를 위해  제로 트러스트(Zero Trust) 보안모델을 적용하고 있으며, 이를 통해 운영환경에 대한 가시성을 확보하고, 정당한 사용자 및 디바이스에만 접근 권한을 부여하고 있습니다.

제로 트러스트 보안모델은 단순한 정보(생성시간, 접근경로, 접근소스)의 의미를 떠나, 어떤 상황(영역)에서 발생했는지, 접근 소스(디바이스 또는 사용자)의 보안 상태가 어떤지, 현재 시스템 (운영체제, 어플리케이션)의 운영상태가 어떤지 등 다양한 정보들의 수집·결합·조합을 통해 컨텍스트(Context, 맥랙 또는 상황)를 기본적으로 구성합니다. 구축은1) 트러스트 영역 이해 및 설정, 2) 모든 접근경로 파악 및 모니터링, 3) 지속적인 결점보완 및 수정을 통한 강화, 4) 분석기법 강화 및 딥러닝, AI 등 기술도입을 통한 가시성 확보와 오탐 최소화로 진행합니다.  

AI기반의 IAM (Identity and Access Management)과 UEM (Unified Endpoint Management) 도입을 통해, 제로 트러스트 보안에 적합한 강력한 사용자 인증, 접근경로와 데이터 흐름통제 및 모니터링, 안전한 디바이스 관리 등을 구현할 수 있습니다.

※ 관련기사 : Take a Data-Centric Approach to Zero Trust to Protect Your Most Critical Assets

※ IBM Security: IAM, UEM (MaaS360)

지난 5월 11일, 슬로바키아 보안업체인 ESET은 자신들의 웹사이트를 대상으로DDoS공격을 수행하는 안드로이드 앱 “Updates for Android”에 대해 공개하였습니다. 공격은 올해 1월, 약 7시간 동안 4,000여개의 고유IP 주소를 통해 발생하였습니다.

공격에 사용된 앱은 사설 페이지를 통해, 안드로이드 폰의 기능을 단순히 업데이트하는 앱으로 소개하고 있으며, 사용자가 다운로드하면 주기적으로 C&C서버와 통신하여 추가적인 악성코드(JavaScript)를 설치 합니다. 사용자는 자신이 모르는 사이에 타깃으로 설정된 Victim 사이트를 대상으로 flood traffic을 보내게 됩니다. 이 앱을 현재 Google Play에서는 삭제되었으며, 다운받은 사용자는 대략 5만명을 상회하는 것으로 추산하고 있습니다.

DDoS 공격은 얼마나 많은 사용자가 공격에 가담 했는지에 따라 공격의 효과성이 나타나는 만큼, 공격자는 일정 수 이상의 사용자들이 감염되기를 기다리다가 실행에 옮길 것입니다. 즉, 현재 여러분의 폰에도 수상한 앱이 동면하고 있을지도 모르는 일입니다.

·       안티바이러스 프로그램이 설치되었고 최신의 보안 업데이트가 되었는지 확인 합니다.

·       최신의 악성코드와 관련된 침해지표 (IoC, indicators of compromise)를 확인하고 차단합니다.

·       운영체제 및 응용프로그램이 최신의 버전으로 패치 되었는지 확인합니다.

·       단말기 보안시스템 (MDM, UEM)을 설치하여, 디바이스와 앱의 취약성 및 보안상태를 점검합니다.

관련기사: Breaking news? App promises news feeds, brings DDoS attacks instead

※ IBM Security: 통합 엔드포인트 보안관리 솔루션인 MaaS 360은 모든 단말(PC, 태블릿, 스마트폰, IoT 디바이스 등)의 멀티팩터 인증, 프로그램 및 데이터에 대한 보안관리(보안업데이트, 사용자 권한관리, 프로그램 사용 이력관리 등), 디바이스 보안관리 기능을 제공합니다. (MaaS 360웹사이트, 제품 소개자료 다운받기)

올해 상반기에는 재택근무 및 원격근무의 확산에 따라 이를 지원하는 영상회의 시스템들이  많은 인기를 누리고 있습니다. 하지만, 최근에 논란이 되었던 줌(Zoom)의 인증 취약점을 악용한 회의 방해사건 등과 같이, 영상회의 시스템에 대한 해커들의 관심 또한 증가하고 있습니다.

지난달, 보안전문 분석업체인 Confense Phishing Defense Center (PDC)에 따르면, WebEx의 주소를 위장한 이메일을 통해 사용자의 크리덴셜(계정, 패스워드)을 탈취하려는 시도가 있었음을 보고하고 있습니다. 사용자는 WebEx의 발신자로 부터 수신한 이메일을 의심없이 열어보고, 서비스 사용을 위해 로그인 정보를 기꺼히 입력할 것입니다. 하지만, 조금만 주의를 기울인다면 이러한 해킹시도를 예방할 수 있습니다.

-       안티바이러스 프로그램이 설치되었고 최신의 보안 업데이트가 되었는지 확인 합니다.

-       운영체제 및 응용프로그램이 최신의 버전으로 패치 되었는지 확인합니다.

-       최신의 침해지표 (IoC, indicators of compromise)를 확인하고 차단합니다.

-       이메일을 열기전 반드시 필요한 내용인지 확인합니다.

-       이메일을 통해 링크를 클릭시 Redirection 되는 주소(마우스를 올리면 볼 수 있는)를 확인 합니다.

-       의심스러운 메일 또는 해킹이 의심될 때, 보안팀에 바로 신고 합니다.

 - 관련기사: Phishers Continue to Spoof WebEx

※ IBM Security: 위협 인텔리전스인 IBM X-Force Exchange는 최신 보안위협에 대한 분석 및 침해지표(IoC)를 제공하여, 보안팀이 빠르고 신속하게 보안위협에 대응하도록 돕습니다. (IBM X-Force Exchange, 소개영상)

웹 스키밍(Web skimming, e-skimming, 또는 Magecart attack)은 주로 지불을 처리하는 웹사이트를 해킹하여 악성코드를 삽입한 후, 사용자가 거래시에 카드결재 정보와 같은 지불정보를 탈취하는 수법을 말합니다. 웹페이지를 운영하는 기업들은 웹 스키밍 기법을 막기위한 웹 취약점 진단, 시큐어 코딩, 웹 페이지 위·변조 탐지 등 여러가지 보안기법들을 적용해 오고 있습니다.

반면, 해커들 또한 이러한 대응기법들은 우회할 수 있는 기술들을 발전시키고 있으며, 특히 해킹한 후 악성코드를 숨기는 기법들에 많은 노력을 하고 있는 듯 합니다.

보안전문기관인 Malwarebytes에 따르면, 웹사이트의 파비콘(favicon)에서 악성코드를 발견하였으며, 이를 통해 사용자의 지불정보가 유출될 수 있음을 보고하였습니다.

 ※ 파비콘: 웹사이트를 띄울 때 주소창에 나타나는 그림형식의 고유 로고

 ※ 관련기사:  Credit card skimmer masquerades as favicon

 ※ IBM Security: 위협 인텔리전스인 IBM X-Force Exchange는 133개 국가에서 발생하는 최신 보안위협을 선별하여 핵심정보와 분석보고서를 제공합니다. 기업의 보안에 대한 인사이트를 제공함은 물론, 보안팀이 빠르고 신속하게 보안위협에 대한 조사와 대응을 하도록 돕습니다. (IBM X-Force Exchange, 소개영상)

일반적인 해킹기법은 시스템의 취약한 부분을 침투한 후 악성코드를 설치하고, 외부와 채널(ftp, ftps)을 설정하여 데이터를 복사하는 방식일 것입니다. 이를 방어하기 위해 시스템의 허용되지 않은 외부 통신채널을 탐지하고 이를 차단함으로써 예방할 수 있습니다. 최근에는 이러한 기존의 틀을 벗어난 여러가지 해킹기법들이 소개되고 있습니다. 예를 들면, 컴퓨터의 GPU (Graphics Processing Unit)나 PSU (Power Supply Unit)의 신호를 해석하여 사용자의 입력값을 훔치는 것입니다. 해커는 사용자의 PC에 GPU나 PSU에서 발생시키는 미세한 진동을 주파수로 변환할 수 있는 악성코드를 심어 놓고, 사용자가 작업할 때마다 graphic card나 power supply에서 반응하는 팬의 세기나 전력량의 변화를 주파수로 변화하여 외부에 송출하게 됩니다. 이러한 신호는 약 15미터(50피트) 밖의 수신기에 전달이 가능하며, 기존의 탐지기법을 통한 차단은 불가능하게 됩니다. 물론 현재까지는 기술적으로 완벽한 것이라고 볼 수는 없지만, 사용자의 크리덴셜(ID/Password) 정보를 유출할 수 있을 가능성은 존재합니다.   

최근에 개봉된 영화, 울프콜 (The Wolf’s Call)에서는 핵잠수함 음향 탐지사가 상사의 타이핑 소리만 듣고도 패스워드를 알아내는 장면이 나오는데, 이러한 해킹기법들을 연상시킵니다.

-        관련기사: New Hacking Concept Uses PSU to Steal Data, AMD GPU Turned into Data Stealing Radio Transmitter

※ IBM Security: Trusteer 는 사용자 접속 패턴 및 바이오 행위 패턴 학습을 통해 크리덴셜 도용을 방지하고, 인공지능에 의한 판단으로 사기식별 및 오탐을 최소화 합니다. (홈페이지,   소개자료)

영리한 해커들은 돈을 버는 방법을 잘 알고 있습니다. 데이터가 많이 몰리는 곳을 공략해서, 그 중에서 가치 있는 데이터를 찾아 암호화하여 돈을 요구하는 것이죠. 내부 데이터를 암호화하기 위해, 해커는 시스템 침투에 많은 노력을 들이게 됩니다. 이메일을 통해 악성코드에 감염시키는 방식 외에도 시스템 취약점이나 RDP (Remote Desktop Protocol) 등을 이용하여 내부에 침투를 시도 합니다. 기업들은 매년 시스템 취약점 진단과 보안대책을 이행하고 있지만,  전 임직원들의 보안수준을 강화하고 IT환경변화에 대한 대처를 완벽하게 수행하는 것은 만만치 않은 일입니다.

최근에는 미국 IT 서비스 기업인 Cognizant와 케이블 제조사인 Southwire, 스위스 사이버보험사인 Chubb, 로스 엔젤레스의 City of Torrance,  캐나다 로펌 등이 Ransomware에 공격을 당했으며, 해커들은 시스템 정상화를 댓가로 적게는 8억원에서 많게는 74억원에 가까운 돈을 요구하기도 했습니다.

암호화된 데이터를 복구해 주는 보안업체가 나타나면서, Ransomware는 더욱 강력한 암호기법을 사용함은 물론, 유출한 데이터와 함께 기업의 보안에 대한 허술함을 언론에 공개하는 형태로 기업을 압박하고 있습니다.  

Ransomware를 막는 기본적인 방법은 아래와 같습니다.

-        사용자 인증기법 강화: 강한 패스워드, 멀티팩터 인증

-        주기적인 데이터 백업 및 백업시간 외 접근 차단 또는 Off-Line

-        정기/수시 시스템 패치 및 보안 업데이트

-        불필요한 서비스 및 포트 (RDP 등) 제거

※ IBM Security: 통합 엔드포인트 보안관리 솔루션인 MaaS 360은 모든 단말(PC, 태블릿, 스마트폰, IoT 디바이스 등)의 멀티팩터 인증, 프로그램 및 데이터에 대한 보안관리(보안업데이트, 사용자 권한관리, 프로그램 사용 이력관리 등), 디바이스 보안관리 기능을 제공합니다.

 (MaaS2360웹사이트, 제품 소개자료 다운받기)

지난 금요일, 해커는 인도네시아 최대 온라인 쇼핑몰인 Tokopedia의 사용자 계정 1천 5백만개의 사용자 정보를 유출했습니다. 사용자 계정은 지난 3월에 시스템 침투를 통해 얻은 것이며, 전체 해킹한 데이터(9천 1백만개) 중 일부라고 밝혔습니다. 탈취된 데이터는 이미, 지난 3월 3일에 다크웹 마켓플레이스에서 올라왔던 데이터 입니다.

Tokopedia는 강력한 SHA2-384 해쉬 함수를 사용하고 있고, 해쉬값 생성시 랜덤값인 Salt 값이 도난당하지 않았기 때문에, 사용자는 패스워드를 초기화하는데 충분한 시간이 있다고 말하고 있습니다.

하지만, 이미 사용자의 계정정보외에 메신저 ID, 취미, 학력 등의 신상정보가 도난당했기 때문에, 이러한 정보를 악용한 소셜공격, 크리덴셜 공격 등 2차 피해에 대해 우려가 될 수 밖에 없습니다.

※ IBM Security: Guardium은 개인정보에 대한 암호화, 접근권한 감사, 접근기록 감사, 접근통제 및 DB 취약성 평가 등을 통해 법적 규제를 충족하고 고객 및 개인정보를 보호하는 데이터 보안 솔루션입니다.

-       자료다운 받기: 개인정보 암호화(Guardium Data Encryption), 접근기록 모니터링(Guardium Data Protection)

여러분은 몇개의 카메라를 가지고 계신가요? 스마트 폰, 태블릿, 홈 카메라, 스마트 TV, 장난감, 게임기 등의 connected-device는 기본적으로 카메라가 탑재되고 있는 상황입니다. 2018년 기준으로 호주의 가정에서는 약 17개의 connected-device를 사용하는 것으로 조사되었습니다.(기사 참조)

문제는 이러한 단말의 허술한 보안문제 또는 악성코드 감염으로 인해, 쉽게 카메라의 접근 권한이 탈취되고 모르는 사이에, 즉, 카메라의 파란불(On sign)이 켜지지 않은 상태에서 사용자의 모든 행동이 불법으로 촬영될 수 있다는 것입니다. 가장 간단한 예방법은 카메라를 덮개로 가려 놓는 것입니다.

재택 및 원격근무가 일상이 된 요즘, 단말기기의 카메라 해킹 뿐만 아니라, OS 패치, 다양한 앱의 접근권한 및 취약점 관리, 악성코드 침투, 원격제어, 정보유출 등 사용자 데이터와 기기에 대한 보안위협 관리는 필요불가결한 요소가 되고 있습니다.

※ 관련기사: Hackers can access your mobile and laptop cameras and record you

※ IBM Security: 통합 엔드포인트 보안관리 솔루션인 MaaS 360은 모든 단말(PC, 태블릿, 스마트폰, IoT 디바이스 등)의 앱과 데이터에 대한 보안관리(보안업데이트, 사용자 권한관리, 앱 이력 및 사용관리 등)는 물론 디바이스에 대한 보안관리 기능을 제공합니다. (웹사이트, 제품 소개자료 다운받기)