보안에 해당하는글 23



게시일: 2016-08-02 l 작성자: Trend Micro

트렌드마이크로에서 제안하는 다층보안설계 중 엔드포인트 솔루션에 대해 설명하고자 합니다.

이 블로그는 네 파트로 이루어진 시리즈의 두 번째 파트로써, 랜섬웨어가 어떤 기술을 활용하여 엔드유저와 기업에 영향을 미치는 지에 대하여 설명합니다. 위협을 최소화하기 위한 다층보안 설계는 게이트웨이 보안 및 엔드포인트, 네트워크, 그리고 서버에 각각 알맞은 보안을 도입해야 한다는 것을 의미합니다.

게이트웨이 보안을 다룬 트렌드마이크로의 블로그를 보시려면, 하단을 클릭하세요:

FBI는 2016년 랜섬웨어 피해가 자그마치 10억 달러 이상 될 것이라 추정했습니다. 랜섬웨어 비즈니스는 급속히 팽창하고 있으며, 사이버 범죄자들은 피해자의 비즈니스 형태 및 규모와 상관없이 끊임없는 공격을 가하고 있습니다.

일반적으로 중소기업에서는 체계적인 보안 솔루션을 유지할 비용적 여유가 없기 때문에 랜섬웨어 보안 등에 큰 투자를 하고 있지 않습니다. 조사에 따르면, 미국 중소기업의 약 65%는 랜섬웨어에 대비한 보안 솔루션을 도입하지 않은 것으로 밝혀졌습니다. 또한, 다층보안설계에 따른 보안 시스템을 구축하고 있다고 하더라도, 파트너사, 벤더, 직원 등의 신뢰할 만한 출처로부터 오는 위협으로 인해 기업 네트워크가 침해 당할 위험이 있습니다. 이러한 상황을 살펴보았을 때, 동작 모니터링과 애플리케이션 컨트롤 기능이 가능한 엔드포인트 솔루션은 기업 랜섬웨어 방어의 최전방이라고 할 수 있습니다.

그림1. 랜섬웨어 공격 종류와 전용 솔루션


동작 모니터링 기능의 이해

트렌드마이크로 오피스스캔 및 Worry-Free 비즈니스 시큐리티와 같은 솔루션에서 제공하는 동작 모니터링 기능은 “이례적”이거나 정상적이지 않은 시스템의 동작 또는 변경을 추적하고 차단합니다. 해당 기능은 암호화, 작업 변경, 파일 드롭, C&C서버 커뮤니케이션 등에 기반하여 랜섬웨어와 크립토랜섬웨어 변종의 알려진 또는 알려지지 않은 공격의 실행을 차단할 수 있습니다. 또한 정보 탈취 랜섬웨어인 RAA 랜섬웨어와 MIRCOP 변종을 차단할 수 있습니다. 동작 모니터링 툴은 시스템 내 저장된 특정 파일을 암호화 하려는 모든 프로그램을 종료시킬 수 있습니다. 실행되는 프로그램이 화이트 리스트에 포함되지 않거나, 랜섬웨어 공격과 관련된 것으로 판정되면, 해당 프로세스의 실행을 즉시 중지합니다.

그림 2. 랜섬웨어가 암호화하는 파일 종류가 나열된 스크린샷


이메일 스캐너를 우회하기 위해 스크립트로 디자인된 Locky, TeslaCrypt 4.0(탐지명 CRYPTESLA), CryptoWall 3.0(탐지명 CRYPTWALL)r과 같은 랜섬웨어 또한 동작 모니터링으로 탐지가 가능합니다. 당사의 동작 모니터링 기술은 VBScript를 사용하는 랜섬웨어(Cerber 및 Locky 변종)와 Jscript 랜섬웨어(RAA)를 탐지 및 차단합니다.

섀도우 복사본을 삭제하는 랜섬웨어 그룹도 존재하는데, 이러한 행동이 특정 OS에서는 일반적인 프로세스로 분류되기 때문에 곧바로 차단되지 않는 경우도 있습니다. 하지만 동작 모니터링 기술로 랜섬웨어 감염의 가능성이 있다고 판단할 수 있습니다.

랜섬웨어 변종 중에는 정식 프로그램, 서비스, 프레임워크 등을 악용하여 시스템이 악성코드를 감치 및 제거하는 것을 우회하기도 한다. 예시로, PowerWare는 윈도우 PowerShell을 악용한다. 동작 모니터링 툴은 정식 프로그램, 서비스, 프레임워크가 악성으로 활용되거나, 정식 프로그램이 암호화에 이용될 경우와 같은 특정 이벤트를 감시하고 방지할 수 있습니다.

그림 3. PowerShell을 악용하는 PowerWare 코드


일반 사용자들의 경우, 랜섬웨어 악성코드가 일반적인 정식 프로그램에 의해 실행될 경우 크게 주의 깊게 살펴보지 않을 수도 있습니다. 하지만, 동작 모니터링 툴이 있다면, 랜섬웨어의 침투 경로와 후킹 등과 같은 행위를 저지하고 차단할 수 있습니다.


애플리케이션 컨트롤 기능의 이해

동작 모니터링 이외에 엔드포인트 솔루션에서 실행할 수 있는 좋은 대응 기능은 바로 애플리케이션 컨트롤 입니다. 화이트 리스팅(White Listing)이라고도 알려진 해당 기능은, 랜섬웨어의 실행을 방지하여 백업 파괴 등의 더 큰 피해를 방지할 수 있는 기능입니다. 애플리케이션 컨트롤은 비악성 경로, 파일, 프로세스만이 시스템에서 실행하도록 합니다.

그림 4. 트렌드마이크로의 애플리케이션 컨트롤이 JIGSAW 실행 방지


IT 관리자들은 애플리케이션 컨트롤을 통해 시스템에서 실행할 수 있는 프로그램, 파일, 프로세스를 결정할 수 있습니다. 엔드포인트에서 카테고리, 벤더, 앱, 또는 기타 역학적 평가 가치들로 목록을 만들 수 있습니다. 앱이 허용될 경우, 해당 앱의 업그레이드 버전 또는 업데이트 버전도 사용할 수 있습니다. IT 관리자는 시스템 파일, 데스트탑 앱, 모바일 앱 등의 안전 앱 디폴트 목록을 사용할 수 있다.

앱을 화이트 리스팅 하는 것 이외에도 애플리케이션 컨트롤은 특정 파일 경로에서 프로그램, 파일, 프로세스가 실행하는 것을 방지합니다. IT 관리자들은 특정 디렉토리에 관한 블로킹 룰(Blocking Rule)을 생성할 수 있습니다. 랜섬웨어 변종 중에는 일반적으로 %Temp% 또는 %User Temp% 디렉토리에 복사본을 다운로드 합니다. 해당 경로는 일반적으로 대다수의 악성코드가 사용하는 것입니다. JIGSAW와 같은 랜섬웨어는 %Application Data% 과 %AppDataLocal%의 파일 경로를 사용합니다. IT 관리자들은 특정 변종이 일반적으로 사용하는 경로를 알아내서, 해당에 대한 블로킹 룰을 생성할 수 있습니다.

그림 5. 트렌드마이크로 애플리케이션 컨트롤이 차단할 수 있는 특정 경로


트렌드마이크로의 대책

랜섬웨어가 시스템에 침투할 수 있는 방법은 무궁무진하기 때문에, 조직에서는 다층의 방어막으로 엔드포인트, 네트워크와 서버를 지켜야 합니다. 동작 모니터링과 애플리케이션 컨트롤은 랜섬웨어가 게이트웨이를 통과했을 때를 대비한 부가적인 방어막입니다. 위협이 엔드포인트까지 도달하여 기업의 중요 데이터를 포함한 기업 파일을 암호화하기 시작하면 복구가 어렵습니다. 랜섬웨어가 섀도우 복사본을 삭제하거나 암호화보다 더 악의적인 행동을 하게 된다면, 기업 입장에서는 돈을 내고 복구하는 방법 밖엔는 없습니다.

트렌드마이크로 Deep Discovery Email Inspector는 랜섬웨어가 포함된 스피어피싱 이메일을 탐지하여 사용자 수신함에 도달하기 전 사전에 예방할 수 있습니다. 맞춤형 샌드박스 기술로 악성 마크로를 사용하는 랜섬웨어 또한 발견이 가능합니다.

네트워크 보호를 위한 트렌드마이크로 Deep Discovery Inspector는 맞춤형 샌드박스를 이용하여 네트웨크 레벨에서 랜섬웨어를 발견합니다. 이 솔루션은 암호화 행위, 백업 자료의 변경 및 다량의 파일 변경 등을 탐지합니다. 또한 스크립트 애뮬레이션 (script emulation), 제로 데이 공격, 랜섬웨어에 흔히 발견되는 비밀번호가 설정된 악성파일 등을 찾아낼 수 있습니다. 트렌드마이크로 Deep Security는 랜섬웨어가 익스플로잇 킷을 악용하여 시스템과 서버의 취약점을 통한 침투를 방지하여 물리/가상/클라우드 형태로 존재하는 기업 서버에 접근하는 것을 방지합니다.

중소기업의 경우, 트렌드마이크로 Worry-Free 비즈니스 시큐리티 프로그램을 활용하여 랜섬웨어의 탐지 및 차단을 위한 동작 모니터링과 웹 평판 기술을 제공합니다.

트렌드마이크로에서 제공하는 무료 툴인, 트렌드마이크로 화면잠금형 랜섬웨어 툴과 크립토 랜섬웨어 툴을 활용하여 랜섬웨어 감염의 피해를 복구할 수 있습니다.

원문: How Endpoint Solutions Can Protect Businesses Against Ransomware




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


엔드포인트 솔루션을 활용하여 랜섬웨어의 위협으로부터 기업 데이터 보호하기

https://www.trendmicro.co.kr/kr/blog/how-endpoint-solutions-can-protect-businesses-against-ransomware/index.html




참고링크 


<유료안티바이러스 제품비교>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.09 14:21



질문


어떤 컴퓨터 전문가에 따르면 전문가 아닌 사람들도 인터넷에 올라온 가이드 그리고 특수 소프트웨어(Kali Linux 등)만 가지고 가정용 라우터의 보안을 뚫을 수 있다고 한다. 네트워크 및 라우터 비밀번호가 잘 갖춰지고 네트워크가 숨김상태로 돼 있으며 MAC 필터링이 적용된 경우 이러한 보안대책이 어떻게 뚫릴 수 있는지 궁금하다. 그리고 만약 이러한 가정이 사실이라면 가정용 네트워크의 보안을 개선할 수 있는 조치는 무엇인가.



답변 1


우선 와이파이 비밀번호와 관련하여 와이파이 암호화에는 WEP, WPA, WPA2라는 표준이 있다. WEP의 경우 이미 취약하다는 점이 밝혀졌기 때문에 해당 표준을 채택했다면 비밀번호 자체가 잘 짜여 있어도 어렵지 않게 뚫릴 수 있다. WPA, WPA2 표준은 해킹이 훨씬 어렵지만 WPS(wireless protected setup) 관련 보안문제가 있을 수 있으며 또한 이들 표준을 따르는 경우에도 브루트포스(brute force: 비밀번호를 일일이 찾아나가는 과정) 수법으로 비밀번호를 뚫는 게 가능하다. 예를 들어 Moxy Marlispike라는 유명 해커는 클라우드컴퓨팅을 이용한 브루트포스 해킹 서비스를 30달러 가격에 제공한다고 하며 다만 언제나 성공이 보장되지는 않는다고 한다.


한편 라우터 비밀번호의 경우 와이파이 측에서 라이터를 통해 데이터를 전송하는 것을 방지할 수는 없기 때문에 의미가 없다. 네트워크 숨김(hidden network)이란 허황된 발상에 불과하다. 어떤 네트워크가 웹사이트 목록에서 나타지지 않게 할 수는 있지만 클라이언트가 와이파이 라우터에 자신의 존재를알리기 때문에 네트워크가 숨김 상태로라 해도 결국은 발견될 수밖에 없다. MAC 필터링 또한 대부분의 화이파이 기기가 기존 MAC 주소를 복사하여 MAC 필터링을 통과하도록 프로그래밍될 수 있기 때문에 실질적인 대책이 되지 못한다.


만약 와이파이 네트워크의 보안을 제대로 강화하고자 한다면 네트워크 자체는 운반경로으로만 판단하고 해당 경로를 통과하는 모든 데이터를 암호화 및 필터링하는 방법이 있다. 구체적으로는 라우터가 지정된 VPN 서버로만 접속하도록 하고 각 클라이언트가 해당 VPN에 대해 인증을 거치도록 할 수 있다. 이 경우 와이파이 보안이 뚫려도 VPN 보안대책이 건재하므로 데이터침탈은 훨씬 어려워진다. 이는 일반인이 사용하기에는 약간 과도한 면이 있지만 기업환경에서는 흔하게 채택하는 방식이다.


와이파이 자체를 버리고 유선으로만 네트워크를 사용하면 가정용 네트워크 보안을 보다 간단하게 개선할 수 있지만 이 방법은 휴대폰이나 태블릿을 사용하는 경우에는 실용적이지 못하다. 라우터의 신호강도를 줄임으로써 위협을 제거하지는 못해도 감소시킬 수는 있다. 또한 방이나 가택에 알루미늄 막 등을 씌워서 주파수 유출을 줄이는 방법도 있지만 이 방법 또한 휴대폰 사용에 방해가 된다. 한편 일부 라우터의 경우 네트워크를 경유하는 모든 패킷을 기록하도록 할 수 있다. 다양한 인터페이스에서 바이트 용량 기준으로만 이상징후를 모니터링해도 상당히 좋은 보안대책이 된다.


네트워크 보안은 복잡한 분야지만 기본적으로는 보안대책이 다층적으로 마련되어 일부 대책이 무너져도 전체 보안을 유지할 수 있게 된다. 어떤 시스템이든 충분한 시간, 자원, 지식만 있으면 뚫릴 수 있으며 따라서 보안에서 '해킹이 가능한가'라는 질문은 의미가 없고 '해킹에 시간이 얼마나 소요되는가'가 중요한 문제가 된다. 그런 면에서 본다면 WPS 표준과 우수한 비밀번호는 일반인에 의한 해킹을 저지할 수 있는 정도의 수준이라고 하겠다. 결국 관심을 가져야 할 주안점은 '해킹의 가능성'이 아니라 '해킹에 시간을 소요할 만한 가치를 줄이는 방법' 혹은 '네트워크가 침탈된 경우의 실질적인 비용'이 돼야 한다.



답변 2


네트워크 숨김, 즉 SSID 숨김은 보안대책으로는 의미가 없다. SSID 중계가 없는 경우에도 사용자 네트워크 자신의 존재를 알리며 다만 여기에 SSID를 포함시키지 않을 뿐이기 때문에  기본적으로 윈도8 네트워크 목록에 잡히게 된다. MAC 필터링 또한 WEP 해킹 등을 늦출 수는 있지만 기본적으로 정상적인 MAC 주소를 복제할 수 있기 때문에 실질적인 대책이 될 수 있다.  


와이파이 암호화 측면에서 우선 WEP 표준은 비밀번호 수준에 관계없이 누구나 소프트웨어를 다운로드하여 해킹할 수 있을 정도로 취약하다. WPA의 경우 조금 낫긴 하지만 이 역시 툴을 제대로 사용한다면 해킹이 어렵지 않다. WPA2 표준에 AES 암호화가 조합된다면 상당히 안전한 편이며 우수한 비밀번호를 사용한다면 이를 단시간에 뚫기는 어렵다. 다만 이는 어디까지나 해킹의 비용이 높다는 의미일 뿐이며 충분한 시간과 자원이 주어진다면 WPA2라고 해서 영구적인 안전을 보장할 수는 없다. 한편 WPS는 불필요하며 해롭기만 하므로 어떤 암호화표준을 사용하든 해제해야 한다.


보안의 실질적인 쟁점은 '해킹가능성' 자체보다는 '일정한 역량을 가졌을 때 해킹에 얼마나 소요되는가'에 있다. 이와 관련하여 보안대책을 여러 겹으로 구비하는 다층보안은 상당히 중요한 대책이 된다. 보안이 요구되는 통신내용의 경우 AES와 같은 강력한 암호화 알고리즘을 따르며 TLS나 PKI와 같은 보안대책을 동반하게 된다. 이메일이라든지 기밀정보를 수반하는 웹트래픽이 암호화되도록 하고 파일 또는 프린터 공유를 할 경우에는 우선 적절한 인증체계를 마련해야 한다.




Akemi Iwaya, Is it Really Possible for Most Enthusiasts to Hack Wi-Fi Networks?, 3. 25. 2014.

http://www.howtogeek.com/185526/is-it-really-possible-for-most-enthusiasts-to-hack-wi-fi-networks/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.27 15:57



게시일: 2016-07-21 l 작성자: Trend Micro

기업에서 클라우드 서비스 이용을 확장시킴 따라, 사이버 범죄자들 역시 이를 악용하여 멀웨어를 호스트하고 전달하는 도구로 사용을 확대해나가고 있습니다. 사이버 범죄자는 많은 기업들이 클라우드 기반 생산성 플랫폼을 사용하여 민감한 기업 데이터를 관리하는 것을 주목하고, 이러한 클라우드 상의 정보에 접근할 수 없을 경우 기업 운영에 심각한 영향을 미칠 것을 예상하고 있습니다.

위와 같은 상황의 구체적인 예시가 바로 CERBER 크립토 랜섬웨어입니다. 최근 트렌드마이크로에서 탐지한 CERBER의 변종RANSOM_CERBER.CAD는 개인 및 기업 Office 365 사용자를 타겟으로 하고 있는 것을 발견했습니다.

20160712cerber1ransom

그림1. CERBER 최신 변종의 4가지 랜섬노트: 랜섬노트 음성 버전의 VBS 파일, 웹 브라우저 기본 설정을 결제사이트로 연결하는 .url 및 위 그림의 .html과 .txt 파일


2016년 3월 확인된 CERBER 랜섬웨어군은 서비스거부공격(denial-of-service, DDos) 등의 기능을 추가하며 지속적으로 발전하고 있습니다. 또한 이중 압축된 윈도우 스크립트 파일(Windows Script File, 확장자 .wsf)을 활용하여 동작 감지에 의한 공격 탐지 및 스팸 메일 필터링 우회 기능이 가능합니다. 컴퓨터 기계 음성으로 랜섬노트를 재생하는 독특성을 가진 크립토 랜섬웨어 중 하나이기도 합니다. CERBER의 소스코드는 러시아 지하시장에서 ‘서비스형 랜섬웨어(Ransomware-as-a service)’로 거래되고 있어, 사이버 범죄활동의 이익이 확대에 일조하고 있습니다. 해당 랜섬웨어는 초기 뉴클리어 익스플로익 킷을 이용한 악성광고에 의해 확산되었습니다.

Sample of Cerber-carrying spam email

그림 2. 청구서로 위장한 악성파일(매크로 워드 서식파일)이 첨부된 스팸메일의 예

Sample of Cerber-carrying spam email

그림 3. 차용증서로 위장한 악성파일(매크로 워드 서식파일)이 첨부된 스팸메일의 예


CERBER의 최신 변종은 Office 365 고객을 타겟하여 매크로가 조작된 악성 파일을 첨부한 스팸메일 형태로 전송합니다. 마이크로소프트는 PC에 설치된 Office 365 및 기타 Office 소프트웨어에 대한 보안 대책을 실시하고 있으며, 이러한 대책의 일환으로 매크로를 이용하는 악성 프로그램 감정을 방지하기 위해 ‘매크로 사용 안 함’이 기본으로 설정되어 있습니다. 그러나 다른 여러 랜섬웨어와 마찬가지로 CERBER 또한 사회공학적 기법 등을 이용하여 사용자가 이러한 보안 대책을 스스로 해제하여 파일에 내장된 매크로를 수동으로 활성화하도록 유도합니다.

문서(W2KM_CERBER.CAD)의 매크로를 활성화 할 경우, VBS 코딩된 트로이목마 다운로더(VBS_CERBER.CAD)가 생성되며, 해당 다운로더는 다음의 URL에서 RANSOM_CERBER.CAD를 다운로드 합니다.

  • hxxp://92[.]222[.]104[.]182/mhtr.jpg
  • hxxp://solidaritedproximite[.]org/mhtr.jpg

해당 CERBER 변종은 AAES-265와RSA를 조합하여 442 파일 형식을 암호화하는 기능을 제공합니다. PC의 ‘IE(Internet Explorer)’의 시간대 설정을 변경하고, 섀도 복사본 제거, 윈도우 시동 복구 기능 비활성화, ‘아웃룩’ 또는 ‘Bat!’, ‘Thunderbird’와 같은 메일 프로그램 프로세스 및 MS워드 프로세스를 종료합니다. 그리고 감염된 PC가 위치한 국가가 독립국가연합 중 하나인 경우에는 악성활동을 종료합니다.

* 독립국가연합: 아제르바이잔, 아르메니아, 우크라이나, 우즈베키스탄, 카자흐스탄, 키르키즈스탄, 타지키스탄, 투르크메니스탄, 벨라루스, 몰도바, 러시아

Sample of Cerber-carrying spam email

그림4. 악성 매크로의 복호화 과정 일부, 트로이목마 VBS_CERBER.CAD생성명령, %Application Data%\{random file name}.vbs. The trojan saves the files it downloads using the name, %Application Data%\{random file name}.tmp.


트렌드마이크로는 2016년 5월부터 CERBER 랜섬웨어를 전송하는 스팸메일을 탐지하고 있습니다. 2016년 6월 눈에 띄는 급증이 발견되었습니다. 5월 스팸메일 탐지수가 800건 정도였던 것에 비해, 6월에는 12,000건 이상이 확인되었습니다. 최다를 기록한 2016년 6월 22일에는 9,000건 이상의 CERBER 확산 스팸메일이 확인되었습니다. 기타 제로데이 취약점을 이용하여 리그(Rig) 익스플로잇 킷과 마그니튜드(Magnitude) 익스플로잇 킷에 의해 확산되는 새로운 CERBER 변종도 확인되고 있습니다.

CERBER와 같은 크립토랜섬웨어의 작성자는 멀웨어 배포를 확장시키기 위한 여러 새로운 방법을 지속적으로 개발할 것입니다. 이번 경우 개인과 기업 사용자를 공격하기 위해 클라우드 기반 플랫폼을 이용했습니다. 해당 프로그램의 보안 대책이 적절하였음에도 불구하고, 사회공학적기법으로 속이기 때문에, 사용자들은 오피스 프로그램의 매크로를 비활성화 하고 수신인이 불명확한 이메일의 첨부파일을 실행할 때는 특히 더 주의해야 합니다. 백업 전략을 가지고 있는 것 또한 랜섬웨어에 대응하는 효과적인 방어입니다.


트렌드마이크로 솔루션

클라우드 기반 비즈니스 애플리케이션의 보안을 향상시키는 트렌드마이크로 클라우드 앱 시큐리티 (Cloud App Security, CAS)는 당사의 핵심 기술인 샌드박스와 평판 기술을 클라우드 기반 비즈니스 애플리케이션에서 활용할 수 있도록 기능을 구현하고, Office 365에 포함된 Exchange Online, SharePoint Online, OneDrive for Business 및 Box, Dropbox등에 높은 수준의 보안을 실현합니다. 네트워크 동작 모니터링 솔루션인 트렌드마이크로 Deep Discovery는 문서 취약점 공격 코드를 탐지하는 엔진 (Advanced Threat Scan Engine, ATSE) 등을 통해 랜섬웨어의 위협을 경고합니다.

기업 사용자는 이러한 위협에 따른 보안 위험을 줄이기 위해 다층적이고 단계적인 조치를 취해야 합니다. 이메일 공격 방지 제품 Deep Discovery Email Inspector는 이메일을 통해 유입되는 랜섬웨어를 감지하고 차단합니다. 오피스스캔과 같은 엔드포인트 제품은 동작 모니터링 기능 (무단 변경 모니터링 기능) 강화 및 애플리케이션 제어 및 취약점 패치 기능을 통해 위협을 최소화 할 수 있습니다. 서버 및 클라우드 보안 제품 Deep Security는 가상화, 클라우드, 물리적 서버 환경에서 랜섬웨어의 침입을 방지합니다. 트렌드마이크로의 개인용 솔루션 맥시멈 시큐리티 10은 악성 웹사이트, 이메일 및 기타 문서를 차단하여 랜섬웨어 및 기타 멀웨어의 공격에 대한 통합적인 보안을 제공합니다.

원문: Cerber: A Case in Point of Ransomware Leveraging Cloud Platforms




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


CERBER 변종, 클라우드 기반 서비스를 노린다

https://www.trendmicro.co.kr/kr/blog/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.22 11:37



게시일: 2016-06-20 l 작성자: Ryan Flores (Threat Research Manager)

범죄의 목적으로 기업 최고경영자(CEO) 또는 대표이사, 사장 등 고위 간부을 사칭한 이메일 범죄의 증가는 놀라운 일이 아닙니다. 고위 간부의 요청사항을 거절하기 쉽지 않기 때문입니다. 부자연스러운 문법 표현, 복권 당첨, 타국가 왕족의 편지와 같은 비현실적인 이메일을 범죄에 활용하는 시대는 지나갔습니다. 오늘날 범죄에 이용하는 이메일은 업무 이메일 해킹으로 이루어지는 ‘허위 송금 이메일(Business Email Compromise, BEC)’ 입니다. 기업의 간부로 교묘하게 위장하여 타겟 기업의 최고 재무책임자(CFO) 등 재무 관계 책임과 업무를 담당하는 직원을 대상으로 하고 있습니다.

BEC 공격 캠페인은 중소중견 및 대기업 등 기업의 규모와 무관하게 모든 기업이 피해를 입을 수 있는 위험한 사이버 범죄 중 하나로 손 꼽히고 있습니다. 우선, 보안 소프트웨어 등으로 감지되지 않는 사회공학적 수법을 구사하기 때문이며, 또한 재무 부문을 특정 타겟으로 하여 상급 직권에 따를 수 밖에 없는 상황을 악용하기 때문입니다. 이는 바로, 기업의 맹점을 찌르는 공격 수법이라고 할 수 있습니다.

트렌드마이크로는 지난 2년 동안 발생한 BEC 공격 및 피해 사례에 대한 조사를 실시했습니다. 당사의 조사 결과, BEC 공격에는 일정한 패턴을 확인했으며, 추후 기업에서 실시해야 할 보안 대책을 파악할 수 있습니다.

  • BEC 공격의 40%는 CFO를 타겟으로 한다.
  • BEC 공격의 31%가 CEO를 사칭한다.
  • BEC 공격에서 가장 많이 사용되는 이메일 제목은 “Transfer(송금)”, “Request(요청)”, “Urgent(긴급)” 등의 간단하고 직접적인 표현이다.

다양한 수법

기업 간부로 위장하여 송금을 지시하는 “CEO 사기” 수법 이외에도, 다양한 송금 사기 수법이 활용되고 있습니다. 게다가, 저렴한 비용으로 가능합니다. BEC 공격 캔페인에 사용되는 멀웨어는 온라인에서 50 달러에 구매 가능하며, 무료로 사용할 수 있는 멀웨어도 존재합니다. 또 다른 경우, 단순한 이메일 스푸핑을 넘어서는 수법도 있습니다. 사이버 범죄자는 정상적인 이메일 계정을 해킹하여 계정 소유자를 사칭하여 허위 계좌로 송금을 요청합니다. 피싱 또는 키로거(keylogger)를 사용하여 직원 계정 정보를 탈취한 후 이를 이용하여 송금을 요청합니다. 경우에 따라, 계약 성립 전화 등을 꾸며내기도 합니다. 특히, 해외와 거래하는 업체들은 송금내역 수정 등의 수법을 활용한 BEC의 주요 타겟이 되고 있습니다.


직원 대처의 중요성

BEC의 수법은 여러 조사에 의해 대부분 알려져 있습니다. 하지만 미연방수사국(FBI)에 다르면 최근 조사 결과, 2013년 10월부터 2016년 5월까지 피해액이 약 31억 달러에 이릅니다. 이러한 피해 규모를 고려해 보았을 때, BEC 공격 캠페인의 수법을 정확히 파악하여 이에 대처할 수 있도록 직원을 교육하는 것이 중요합니다.

BEC 공격은 교묘하고 은밀하게 이루어지기 때문에 기본적인 주의사항 또는 보안 대책만으로 충분하지 않습니다. BEC 공격 캠페인은, 기업과 조직의 자산을 보호하기 위해 직원의 역할이 얼마나 중요한지 보여줍니다. 직원 개인의 보안 의식 증진은 거액의 송금을 요구하는 BEC 공격 수법에 대응할 수 있는 중요한 방어 요소라고 할 수 있습니다.


트렌드마이크로의 대책

트렌드마이크로는 중소중견 및 대기업이 사회공학적 기법을 이용한 공격인 BEC의 수법에 대응하기 위한 방어책을 보유하고 있습니다. 엔드포인트 보안인 Worry-Free 비즈니스 시큐리티와 오피스스캔은 이상 파일 또는 스팸메일을 감지하고 악성 URL 차단을 통해 위협으로부터 보호합니다. Deep Discovery는 관련 악성 프로그램을 감지하고 시스템의 감염 및 정보 탈취를 방지합니다. 또한, Deep Discovery Email Inspector는 악성 첨부파일과 악성 URL을 차단하여 기업을 보호합니다.

관련 링크


원문: Company CFOs Targeted The Most By BEC Schemes




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


기업 CFO를 노리는 허위 송금 이메일, BEC

https://www.trendmicro.co.kr/kr/blog/company-cfos-targeted-bec-schemes/index.html



참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.21 13:50


사례: 사용자는 자신이 구입하려고 한 물품에 대한 .pdf 형식 주문서가 첨부된 이메일을 확인한다. 해당 이메일은 스팸 필터링에 걸리지 않았으며 첨부물에 대한 검사결과도 이상이 없었다. pdf 본문에는 httx://www.mesaimeerclub.com/templates/invest/just라는 링크가 있었다. 이 링크를 클릭한 결과 Gmail 로그인 페이지처럼 보이는 웹페이지로 이동했으며 이에 따라 사용자가 Gmail 아이디와 비밀번호를 입력했다. 입력 이후 몇 분이 지나고 나서 다시 구글 로그인을 시도한 결과 비밀번호가 변경된 상태였고 비밀번호 복구 옵션도 작동하지 않았다.






하루에 수신하는 소셜네트워크 업데이트, 주문확인, 업무상 연락 등 보통 사람이 하루에 수신하는 이메일의 양은 엄청나게 많다. 경우에 따라 이들 이메일은 그 사용자가 실제로 하는 일과 관련이 있기도 하다. 그렇기 때문에 사용자들이 별도의 교육 없이 피싱공격을 일일이 구별해 내기란 번거롭고 어려운 일이다. 특히 몇몇 피싱이메일의 내용은 그 진위를 밝혀내기가 어렵기도 하다. 사용자가 이메일을 열고 악성코드를 실행하도록 유도하는 일은 어렵지 않다. 특히 위 사례의 경우 문법적 오류도 거의 없었으며 악성웹사이트의 외관도 정상적으로 보였다.


이렇게 사용자들로 하여금 링크 클릭, 스크립트 열기, 악성웹사이트 방문 등을 하도록 유도하려는 시도는 아주 다양한데 이는 사용자의 데이터가 그만큼 가치가 크기 때문이다. 특히 사용자 정보를 암호화시키거나 위 사례처럼 계정을 잠가 버리고 복구의 대가로 사용자에게 돈을 요구하는 랜섬웨어도 생각할 수 있다.


랜섬웨어 제작자들은 나날이 지능적이고 교묘하게 진화하고 있으며 사용자의 돈을 뜯기 위해 언제나 새로운 수법을 모색하고 있다. 2014년에 배포된 랜섬웨어는 데이터 복호화의 대가로 0.5비트코인(미화 325달러) 정도를 요구했지만 오늘날의 랜섬웨어 변종은 24시간 내에 8비트코인을 지불하도록 요구하며 기한이 지나면 그 두배의 액수를 요구한다. 랜섬웨어는 일반사용자 외에 기업과 IT관리자까지 노리는데 이들의 인프라 내 권한이 승격된 상태임을 이용하고자 하기 때문이다.


여기에서는 기업 내 모든 사용자들에게 공통적으로 적용될 수 있는 몇 가지 유의사항을 소개하려 한다. IT관리자의 경우라면 랜섬웨어와 같은 사이버공격에 대한 대비는 이미 상당히 갖춰진 상태지겠지만 일반사용자는 아무런 대책이 없을 수 있다.


• 음성메일, 구매주문, 배송알림 등을 받았지만 그러한 수신이 본래 업무상 예정된 경우가 아니라면 발신자의 신원이 분명한지 그리고 그 발신자가 해당 내용을 실제로 보냈는지 확인한다. 발신자 신원이 불명확하거나 혹은 수상해 보인다면 해당 이메일은 삭제가 바람직하다. 만약 동기 혹은 상사로부터 문서를 받았고 본문에 첨부물을 반드시 열도록 쓰여 있는 경우에도 일단은 그 동기나 상사에게 직접 연락하여 해당 첨부물을 실제로 보냈는지 확인한다.


• 이메일 첨부물이 있을 때 일단은 그 첨부물을 열지 말고 해당 이메일의 발신자가 자신이 아는 사람이라도 그 발신자가 보통 그러한 첨부물을 보내지는 않는 경우라면 발신자에게 직접 연락하여 해당 첨부물을 그 발신자가 보냈는지 확인한다.


• 어떤 첨부물이든 스크립트 해제 혹은 편집 해제로 인해 링크 클릭을 요구한다면 해당 기능을 절대로 켜서는 안 된다. 특히 데이터가 뒤섞여 보이는 경우라면 이는 사용자의 데이터 전체를 암호화하기 위한 미끼임이 거의 확실하다.


• 회사 기기에서 개인 이메일을 열지 않아야 하며 반대로 개인 기기에서 업무 이메일을 열어서도 안 된다. 랜섬웨어가 주로 기업을 목표로 하며 사용자가 해당 랜섬웨어가 들어간  이메일을 열어서 감염된다면 단순히 파일이 잠기는 데 그치지 않고 업무에 지장을 초래할 수 있어서 훨씬 더 좋지 못한 결과로 이어질 수 있다.

• 마이크로소프트, 에너지업체,우편업체 등은 절대로 사용자에게 설정복원, 주문접수, 음성메일 등을 구실삼아 어떤 웹사이트를 열도록 요청하지 않는다. 이는 순전히 공격자가 사용자 기기에 접근하기 위해 사용하는 기만수법일 뿐이다.


다만 이상의 모든 경우의 수를 다 막아낼 수 있는 만능수단은 존재하지 않는다. 다층보안(layered security)을 통해 최대한 위험을 완화시키는 것이 최선의 방향이다. 악성이메일을 아무리 잘 막아낸다 해도 일부는 필터링을 뚫고 들어올 수도 있으며 악성광고 또한 보안대책에도 불구하고 여전히 나타날 수 있다. 보안대책의 마지막 단계에 해당하는 사용자 측에서는 악성코드가 실행될 경우 어떤 결과가 발생할 수 있는지 알고 이에 대비해야 한다. 아울러 백업솔루션 또는 재난복구대책을 준비하여 보안사고로부터 복구하기 위해 필요한 대책을 마련해 두는 것도 아주 중요하다.




Bjorn Leenen, Hacked by a purchase order. How it can happen, 7. 14. 2016.

http://www.gfi.com/blog/hacked-by-a-purchase-order/


번역요약madfox



참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.19 16:07



게시일: 2016-06-22 l 작성자: Trend Micro

“IoT”라는 단어를 신문 또는 방송에서 접할 기회가 많아지고 있습니다. “IoT”는 Internet of Things(사물인터넷)의 약자로, 우리를 둘러싸고 있는 모든 사물이 인터넷에 연결되어 있는 상태를 말합니다. 편리함이라는 큰 장점을 바탕으로, IoT의 증가가 가속화 되고 있는 가운데, 꼭 고려되어야 할 중요한 것이 바로 무단 액세스 또는 정보 유출 등의 보안 문제입니다.

IoT 시대에 필요한 3가지 보안 대책

Wi-Fi 라우터 보안 설정

스마트 가전을 포함한 IoT 기기가 인터넷과 통신하는 것은 바로 Wi-Fi 라우터 입니다. Wi-Fi 라우터의 보안이 적절히 이루어지지 않을 경우, IoT 기기의 부정 조작 또는 통신 내용 해킹이 이루어질 수 있습니다. 라우터 침입의 위험성을 줄이기 위해, 관리자 계정의 초기 설정 값을 사용자화 하고, 펌웨어 자동 업데이트를 설정합니다.

IoT 기기에 적절한 보안 설정

자체적 보안 설계가 되어 있는 IoT 기기를 사용합니다. 또한 취급 설명서를 확인하고 ‘인증 ID/비밀번호 초기값 변경’, ‘펌웨어 자동 업데이트’ 등의 보안 설정이 필요합니다.

IoT 기기에서 수집하는 정보 파악

IoT 기기를 네트워크에 연결하여 사용할 경우, 생활 패턴, 행동 반경, 건강 상태 등 다양한 개인 정보가 인터넷 상으로 전달됩니다. 사용 중인 IoT 기기에서 수집하는 정보의 종류와 목적을 알아두어야 하며, 각 IoT 기기의 인터넷 연결 여부 등을 확인하여 정보 유출의 위험을 최소화하여야 합니다.

인터넷으로 연결되는 IoT 기기가 증가하면서, 앞으로 더 많은 영역의 보안에 주의를 기울여야 합니다. 보안을 항상 중요하게 여기는 가운데 안전한 가정 IT화를 진행시켜야 합니다.


원문: 進む家庭のIT化で気をつけたいセキュリティ




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


IoT 가속화 시대, 보안은 어떻게 구성하고 계신가요?

https://www.trendmicro.co.kr/kr/blog/three-security-policy-for-iot/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.18 13:56



게시일: 2016-06-23 l 작성자: Trend Micro


보안 소프트웨어 및 솔루션의 글로벌 리더 트렌드마이크로는 급증하는 랜섬웨어에 대비하여 기업 고객과 개인 사용자를 보호하기 위한 랜섬웨어 캠페인을 시작하였습니다.

트렌드마이크로는 지난 6개월 간 약 1억 건 이상의 랜섬웨어 공격을 방지했으며, 그 중 99%는 웹과 이메일을 통한 공격으로 분석하였습니다. 당사는 랜섬웨어 공격의 증가와 그 영향력을 인지하며, 고객들이 이에 적극적인 보안 조치를 취할 수 있도록 다음과 같은 포괄적인 랜섬웨어 방어 대책을 구성하였습니다.

  • 랜섬웨어 방어 대책: 기업 규모와 무관하게 기업의 보안 취약점을 조사하여 알맞은 보안 대처를 제안
  • 랜섬웨어 복구 툴: 랜섬웨어에 감염된 개인 및 고객이 데이터를 복구할 수 있도록 복구 툴 제공
  • 제품 기능 향상: 4단계의 다층 보안을 적용하여 랜섬웨어를 방어하고, 전사적인 랜섬웨어 가시성 제공

에바 첸(Eva Chen) 트렌드마이크로 CEO는 “트렌드마이크로는 랜섬웨어 위협을 분석하고 이에 맞서 싸우기 위한 노력을 지속하고 있습니다” 라고 전했습니다. “이러한 사이버 공격이 사회에 만연할 경우, 기업 생산성이 저하되며, 기업 가치 하락과 비용 부담을 초래한다는 것을 알고 있습니다. 트렌드마이크로의 기업 및 개인 보안 제품은 랜섬웨어에 최적화된 방어를 구성합니다. 당사 랜섬웨어 복구 툴과 핫라인은 트렌드마이크로 위협 전문가들의 상시 지원을 통해 고객이 랜섬웨어 공격에 대응하고, 감염 시 빠르게 대처할 수 있습니다.”


대기업을 위한 랜섬웨어 보안

랜섬웨어에 대한 100% 방어는 보장할 수 없습니다. 하지만 최대의 방어를 구사하기 위해 트렌드마이크로는 4단계의 다층 보안을 제안합니다.

  • 이메일: 트렌드마이크로는 랜섬웨어를 운반하는 가장 대중적인 방법인 스피어피싱 이메일과 메일에 포함된 첨부파일, URL을 검사하여 기존 이메일 게이트웨이보다 심화된 이메일 보안을 제공합니다.
  • 엔드포인트: 트렌드마이크로는 랜섬웨어 감지와 차단을 위한 차세대 엔드포인트 보안을 제공합니다. 패치 되지 않은 취약점 보호, 애플리케이션 관리, 동작 모니터링 등의 기능을 통해 다량 파일의 빠른 암호화와 같은 랜섬웨어 특유의 행동을 파악하고 감지 및 차단합니다.
  • 네트워크: 트렌드마이크로는 네트워크 전방위적 모니터링, 모든 트래픽, 포트, 프로토콜에 대한 커스텀 샌드박스를 통해 랜섬웨어의 침투와 확산을 방지합니다.
  • 서버: 트렌드마이크로는 의심스러운 행위 탐지 및 방지, 알려진 서버 소프트웨어의 취약점 공격 방지를 위한 가상 패치 기능, 그리고 랜섬웨어가 다른 서버에 확산하지 못하도록 측면이동 탐지를 통해 물리〮가상〮클라우드 서버를 랜섬웨어로부터 보호합니다.

“트렌드마이크로는 업계 리더십을 발휘하여 더 강력한 솔루션으로 랜섬웨어에 대응하기 위한 새로운 도약을 하고 있다. 랜섬웨어와 싸우고 있는 기업과 개인 고객을 위한 통합적인 솔루션, 고객 핫라인, 그리고 제품 기능 향상을 통해 전세계 고객들에게 심화된 보안을 제공하고 있다.”라고 RNDC IT 인프라 국장 존 딕슨 (John Dickson)은 전했습니다.

트렌드마이크로는 기업의 이메일, 악성 URL, 네트워크 또는 서버 침투를 통해 공격하는 랜섬웨어에 대한 중앙집중적 가시성을 제공합니다. 따라서, 보안 취약점을 빠르게 찾아내서 해결할 수 있으며 기업의 전반적인 보안을 향상시킬 수 있습니다.

“가장 중요한 것은, 다층 보안을 설계하는 것입니다.” 라고 ESG 사이버보안 전문 분석연구가 더그 카힐 (Doug Cahill)은 전했습니다.” 트렌드마이크로는 확장된 보안 관리를 통해 기업이 랜섬웨어에 가시성을 확보하고 어떤 영향을 주고 있는지 확인할 수 있습니다. 이를 통해 기업은 보안이 취약한 부분을 파악하여 보완할 수 있습니다. 랜섬웨어 공격의 복합성과 교묘함에 대한 심도 깊은 이해를 통해 지속적인 위협에 대처할 수 있는 전문성을 갖추었습니다.”


중소기업을 위한 랜섬웨어 보안

기업의 규모가 작더라도 랜섬웨어의 위협에서 안전하지 않습니다. 트렌드마이크로의 Worry-Free 비즈니스 시큐리티 서비스는 다음과 같은 기능으로 랜섬웨어를 방어합니다.

  • 이메일: 멀웨어 스캐닝(Malware Scanning), 웹 검증, 샌드박스 분석을 통해 악성 이메일, 첨부파일, URL을 감지하여 차단합니다.
  • 엔드포인트: 대량 파일의 빠른 암호화와 같은 랜섬웨어 특유의 행동을 파악하는 동작 모니터링 등의 랜섬웨어에 최적화된 엔드포인트 보안을 제공합니다.

Worry-Free 비즈니스 시큐리티 서비스는 중소기업을 위한 클라우드 기반 솔루션으로서, 간편하지만 운용이 편리합니다.


개인 사용자를 위한 랜섬웨어 보안

악성 웹사이트, 스팸 메일, 기타 멀웨어를 통해 소중한 파일과 사진이 랜섬웨어에 감염될 수 있습니다. 트렌드마이크로 맥시멈 시큐리티 10 또는 인터넷 시큐리티 10은 개인 또는 가정 사용자를 위한 최적의 랜섬웨어 방어를 구현합니다.


트렌드마이크로 회사 소개

트렌드마이크로는 글로벌 보안 소프트웨어 리더로써, 디지털 정보 교환이 안전하게 이루어지는 세상을 지향합니다. 27년의 역사를 지닌 트렌드마이크로는, 개인고객과 기업 및 정부 기관의 모바일 기기, 엔드포인트, 게이트웨이, 서버, 그리고 클라우드의 정보를 보호하기 위한 다층 데이터 보안을 제공하고 있습니다. 정보 보호를 위한 스마트 보호(Smart Protection)과 혁신적인 보안 기술을 끊임없이 발전시키고 있는 트렌드마이크로의 제품은 간편하고 편리한 운용을 자랑합니다. 당사의 모든 솔루션은 클라우드 기반 글로벌 위협 인텔리전스인 ‘트렌드마이크로 클라우드 보안센터(Trend Micro Smart Protection Network)’ 인프라를 구축하였으며, 전 세계 1,200명 이상의 전문가가 지원하고 있습니다. 더 많은 정보는 trendmicro.co.kr 홈페이지를 방문해보세요.


참고 사이트
트렌드마이크로 랜섬웨어 대응센터




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


트렌드마이크로 랜섬웨어 대응 캠페인

https://www.trendmicro.co.kr/kr/blog/ransomware_campaign/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.15 14:45


방화벽은 외부에서 유입되는 네트워크 트래픽이 컴퓨터에 들어오지 못하도록 차단한다. 방화벽의 중요성을 알려주는 단적인 사례로 20038월 패치하지 않은 윈도 XP 운영체제에서 방화벽 없이 인터넷에 연결하면 윈도 XP 네트워크 서비스 취약점을 악용하는 Blaster 웜이 몇 분 안에 시스템을 감염시킬 수 있었던 경우를 들 수 있다.

 

이러한 방화벽에는 하드웨어 방화벽과 소프트웨어 방화벽이 있으며 라우터는 하드웨어 방화벽의 역할을 하는 반면 소프트웨어 방화벽의 경우 윈도 운영체제에 기본으로 내장돼 있으며 제3자 솔루션을 사용할 수도 있다. 그런데 라우터를 통해 하드웨어 방화벽이 이미 구비돼 있다면 별도의 소프트웨어 방화벽이 필요한지가 문제된다.

 

 

라우터의 하드웨어 방화벽 기능

 

가정용 라우터는 네트워크주소변환(network address translation, NAT)을 통해 인터넷서비스제공자(internet service provider, ISP)가 부여한 단일 IP주소를 가정 내 여러 컴퓨터에서 공유 사용할 수 있도록 한다. 이 때 인터넷에서 유입되는 외부 트래픽이 라우터에 도달하면 라우터는 해당 트래픽을 어떤 컴퓨터로 보내야 하는지 모르기 때문에 그 트래픽을 폐기한다. 결과적으로 NAT는 외부 요청이 컴퓨터에 도달하지 못하도록 차단하는 역할을 하는 셈이다.

 

라우터에 따라서는 설정변경을 통해 특정한 유형의 트래픽이 나가지 못하도록 할 수 있다. 또한 포트포워딩(port-forwarding)을 통해 라우터가 일부 트래픽의 유입을 허용하도록 하거나 외부트래픽 전체를 DMZ(안전지대, demilitarized zone)에 유입되도록 설정하여 그 DMZ가 모든 트래픽을 특정 컴퓨터로 전달하도록 할 수도 있다.


 

 

소프트웨어 방화벽

 

소프트웨어 방화벽은 컴퓨터 내에서 작동하면서 외부 트래픽을 차단하고 일부 트래픽은 통과시키는 문지기 역할을 한다. 윈도 운영체제는 윈도 XP 서비스팩2(SP2)부터 소프트웨어 방화벽을 기본 내장하게 됐다. 소프트웨어 방화벽은 컴퓨터 내부에서 구동되므로 어플리케이션의 인터넷 접근을 모니터링할 수 있으며 어플리케이션별로 트래픽 통과 허용여부를 결정할 수 있다. 라우터 없이 컴퓨터를 인터넷에 직접 연결시킬 경우 소프트웨어 방화벽이 있어야 하는데 윈도 운영체제의 경우 방화벽이 기본적으로 내장돼 있으므로 따로 염려할 필요는 없다.


 

 

하드웨어 방화벽과 소프트웨어 방화벽의 장단점

 

하드웨어 방화벽과 소프트웨어 방화벽의 중요 공통점은 다음과 같다.

요청하지 않은 외부 트래픽을 기본적으로 차단하여 네트워크 서비스를 보호

특정 유형의 내부 트래픽을 차단(일부 라우터 제외)

 

소프트웨어 방화벽의 장점은 다음과 같다.

하드웨어 방화벽은 컴퓨터와 인터넷 사이에 위치하는 반면 소프트웨어 방화벽은 컴퓨터와 네트워크 사이에 위치한다. 이 경우 네트워크 내부의 다른 컴퓨터가 감염된다 해도 소프트웨어 방화벽은 그 위협을 차단할 수 있다.

소프트웨어 방화벽은 어플리케이션 단위로 네트워크접근을 손쉽게 제어할 수 있다. 어떤 어플리케이션이 인터넷에 접근하려 할 경우 이를 사용자에게 알려 그 어플리케이션의 네트워크 접속을 막도록 할 수 있다. 3자 방화벽은 이 기능을 간편하게 사용할 수 있도록 구비하고 있으며 물론 윈도 방화벽을 통해서도 어플리케이션의 인터넷 연결을 차단할 수 있다.

 

하드웨어 방화벽의 장점은 다음과 같다.

하드웨어 방화벽은 컴퓨터와 분리되기 때문에 예컨대 웜이 컴퓨터를 감염시켜 소프트웨어 방화벽을 작동 중지시킨다 해도 하드웨어 방화벽에는 관여할 수 없다.

하드웨어 방화벽을 통해 네트워크를 중앙 제어할 수 있으며 특히 대규모 네트워크의 경우 하나의 기기를 통해 방화벽 설정을 전체 적용할 수 있다는 점이 편리하다. 이는 개별 사용자들이 컴퓨터에서 방화벽 설정을 변경할 수 없도록 방지하는 역할도 한다.

 

 

이와 같은 하드웨어 방화벽과 소프트웨어 방화벽은 각자 나름의 장단점이 있으며 둘 다 사용한다면 더욱 좋다. 라우터를 이미 사용하고 있는 경우 윈도 방화벽을 기본 설정대로 작동시킨다면 별도의 비용 없이 이중으로 방화벽을 사용하는 효과를 누릴 수 있으며 다만 방화벽에 관련된 다양한 기능을 사용하고 싶다면 윈도 방화벽이 아닌 제3자 방화벽을 사용하는 것도 하나의 방법이다.

 

 

 

Chris Hoffman, HTG Explains: I Have a Router, Do I Need a Firewall?, 8. 19. 2012.

http://www.howtogeek.com/122065/htg-explains-i-have-a-router-do-i-need-a-firewall/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.14 14:15

위로가기