사이버보안에 해당하는글 25



안드로이드 키스토어(Android KeyStore)는 안드로이드OS에서 암호화키와 사용자 계정정보를 보관하는 시스템인데 최근 보안분석가 두 명이 작성한 Breaking Into the KeyStore: A Pratical Forgery Attack Against Android Keystore라는 논문을 통해 취약점이 있다는 점이 밝혀졌다.   키스토어는 키별 할당작업을 수행하여 안드로이드 앱이 자체적인 암호화키를 보관 및 생성할 수 있도록 한다. 키스토어는 키를 격리 보관하여 기기에서 삭제되기 어렵도록 처리한다.


France Telecom Orange Labs에서 재직중인 연구원 Mohamed Sabt와 Jacques Traoré가 작성한 내용에 따르면 안드로이드 키스토어는 데이터 무결성을 보장하지 못하며 따라서 공격자가 들키지 않고 보관된 키를 변경할 수 있다고 한다. 연구진은 위조 공격으로 이러한 취약점을 악용하여 키스토어에 침입하는 과정을 시연했다고 한다. "악성앱이 다른 모바일앱으로 하여금 보안프로토콜을 적용에 취약한 키를 사용하도록 하는 공격이 가능하다.. 공격자가 들키지 않은 채 사용자 보안을 침해할 수 있다는 면에서 이는 명백한 위협이다."


연구진은 또한 어플리케이션이 키스토어에 대칭키를 보관하는 경우의 공격 시나리오를 제시하기도 했다. "예컨대 256비트 HMAC 키를 32비트 수준으로 몰래 변경하여 사용자가 실제 보안수준을 오인하도록 유도할 수 있다. 네트워크를 제어하는 외부자는 이를 악용하여 이렇게 취약한 키를 사용하는 프로토콜을 뚫어버릴 수 있다. 이 공격은 탐지되지 않은 채 진행될 수 있다는 점에서 실질적으로 중대한 위협이 될 수 있다."


연구진은 이번 연구가 보안 문제에서 직관을 믿어서는 안 된다는 중요한 사실에 방점을 찍고 있다고 설명한다. "시스템 설계자는 대체로 암호화방식을 선정할 때 입증된 안전성보다는 간결함을 기준으로 삼는 경향이 있다. 위 연구에서도 나타나듯 이는 시스템 전체에 심각한 결과를 초래할 수 있기 때문에 좋은 선택이 아니다."




VIPRE Security News, Android’s Encryption System Has Gaping Holes, Researchers Claim, 7. 18. 2016.

https://blog.vipreantivirus.com/security-news-room/androids-encryption-system-gaping-holes-researchers-claim/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 20. 13:09

 


ThreatTrack의 지능형맬웨어방지제품 ThreatSecure Network®14회 아메리칸비즈니스어워즈(American Business Awards)에서 2016Silver Stevie 소프트웨어 보안솔루션 부문 올해의 신제품에 선정됐다. 이번 시상에는 다양한 규모와 분야의 기업을 통해 총 3400여 후보가 지명됐으며 세계 각지의 전문가 250여명이 수상자 선정에 참여했다.

  

ThreatTrack Security 사장 Jason Greenwood는 다음과 같이 설명한다. "이번 수상을 통해 오늘날 정교한 사이버공격의 배후가 되는 맬웨어 퇴치를 위해 ThreatTrack이 선보인 혁신의 가치가 입증됐다. ThreatTrack은 기업들이 네트워크를 방어하고 데이터를 보호할 수 있는 능력을 갖추도록 지원한다. 이번 수상은 ThreatSecure 개발팀의 노력과 열정이 인정받은 결과라고 하겠다."

 <참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 <참고: ThreatIQ 맬웨어 데이터베이스>

 

ThreatSecure Neworks는 지능형 맬웨어방지 기능을 제공하여 사이버보안인력이 사이버공격을 식별 및 저지하는 과정을 뒷받침하도록 설계됐다. 발견된 위협 및 네트워크 이상행동에 대한 실시간분석을 토대로 사이버공격의도를 파악하기 위해 기업 네트워크에 대한 높은 가시성을 제공하며 이러한 가시성 제공을 통해 맬웨어감염을 식별하고 네트워크상 전파, 복제, 침투나 진행 중인 공격의 징후를 탐색할 수 있다. ThreatSecure Network의 주요 강점은 다음과 같다.

진행 중인 공격을 탐지하고 행동변화를 식별하여 공격의도 파악

실시간 위협탐지

분석 중 관측된 네트워크활동 연관성 조사

악성URL 관련 세션 차단 및 보고

 

아메리칸비즈니스어워즈는 미국의 일류 기업수상프로그램이다.


아메리칸비즈니스어워즈에 대한 상세정보와 2016년도 Stevie 수상자 명단은 다음 링크 참고. http://www.stevieawards.com/ABA


ThreatTrack 지능형 맬웨어방지솔루션에 대한 상세정보는 다음 링크 참고

https://www.threattrack.com/network-security-threats.aspx

 

 

 

ThreatTrack Security CSO Blog, Another Win for ThreatTrack’s Advanced Malware Protection, 6. 9. 2016.

https://blog.threattrack.com/cso/another-win-threattracks-advanced-malware-protection/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016. 6. 15. 14:30

 

랜섬웨어는 미국을 비롯한 세계 각지의 기업들에게 중대한 온라인보안위협으로 떠올랐다. 이제는 공공기관조차 랜섬웨어 위협에서 자유롭지 못하다. 2015년 미국 매사추세츠 주 경찰은 파일 복호화를 위하 사이버범죄자들에게 500달러를 지불한 적이 있으며 이는 수많은 피해사례 중 하나에 불과하다.

 

랜섬웨어 소개

랜섬웨어는 스팸이나 피싱이메일을 통해 전달되어 사용자가 악성링크를 클릭하도록 유도하며 컴퓨터시스템, 기기, 파일에 대한 접근을 차단하고 이를 인질삼아 접근을 재개시키는 대가를 비트코인이라는 인터넷통화의 형태로 요구한다. ThreatTrack 제품담당수석 Usman Choudhary는 다음과 같이 설명한다. "사이버범죄자들의 이러한 수법이 먹히는 이유는 소비자와 기업이 기업 지적재산에서부터 가족사진에 이르기까지 온갖 데이터를 탈취당하여 돈을 주지 않는 이상 이를 복구할 길이 없는 상황에 대한 대비가 전혀 안 된 상태기 때문이다. 기업 보안전문가들조차 3명에 1명꼴로 탈취되거나 암호화된 데이터를 안전하게 복구하기 위해 돈을 지불할 용의가 있다고 응답했으며 이미 표적이 된 기업에서는 이 비중이 55%까지 올라갔다." 이하에서는 바이퍼(VIPRE) 안티바이러스팀이 개인과 기업이 모두 따를 수 있는 랜섬웨어 대비요령을 소개한다.

 

1. 데이터백업

언제나 데이터사본을 백업해 둬야 한다. 외장 하드드라이브의 경우 공급량이 늘어나고 가격이 떨어지고 있기 때문에 간편하고 저렴한 백업수단이 된다. 또한 각종 클라우드솔루션을 통해 자동으로 외부서버에 백업하는 방법도 있다. Carbonite, CrashPlan, Mozy 등 백업서비스는 클라우드에 데이터를 보관하게 하여 랜섬웨어공격 상황을 복구할 수 있고 또한 화재, 홍수, 토네이도, 지진과 같은 자연재해의 경우에도 보호받을 수 있도록 한다. 이는 랜섬웨어의 협박을 피할 수 있는 가장 좋은 방법이다.

 

2. 데이터백업 주기적으로 실행

데이터백업도 중요하지만 최종백업 시점이 언제인지 기억할 수 정도로 시간이 지난다면 백업의 효과를 거둘 수 없다. 되도록 매일 그리고 적어도 일주일에 한 번 데이터를 백업하도록 해야 한다.

 

3. 종합 맬웨어방지솔루션 사용

랜섬웨어를 차단하고 잡아내기 위해서는 다양한 방어대책을 활용해야 한다. 개인사용자의 경우 바이퍼 솔루션을 최신버전인 9.3 버전으로 무료 업데이트가 가능하며 가장 강력한 제품인 인터넷시큐리티프로(Internet Security Pro)를 사용할 수도 있다. 기업사용자라면 바이퍼 엔드포인트시큐리티(Endpoint Security)에 투자할 필요가 있다. 엔드포인트시큐리티는 종합보안전략에 필요한 각종 신기능을 제공한다. 이메일에 대해서는 파일을 컴퓨터로 유입시킬 수 있는 악성 URL을 검사할 수 있으며 웹브라우저 또한 글로벌 실시간 클라우드서비스를 통해 악성URL을 차단하여 즉시방어가 가능하다. 기기보호기능은 USB와 같은 무허가기기가 컴퓨터환경의 파일에 접근하는 것을 막는다. 그리고 엔드포인트시큐리티의 고유기능인 행동분석은 클라우드보호서비스를 통해 업데이트되며 이를 통해 제로데이 취약점 분석능력을 계속 향상시킬 수 있다.

<참고: 랜섬웨어 차단 AVG 유료안티바이러스>

 

4. 피싱이메일 주의

사용자의 가족 또는 최신 소셜엔지니어링 수법을 익힌 다른 사용자로 인해 악성링크와 첨부물을 클릭하는 결과가 유도된다는 점을 인지해야 한다. 온라인 강의나 보안의식제고 서비스와 같이 도움을 받을 수 있는 방법이 아주 다양하다. 기업사용자는 스팸, 맬웨어, 스피어피싱, 웨일링 등 다양한 해킹수법과 용어에 대해 주기적으로 알림으로써 친구, 직장동료, 온라인매장 등으로 출처를 위장하는 피싱시도를 직원들이 보다 잘 식별해 내도록 해야 한다. 그리고 개인사용자는 바이퍼에 포함된 스팸필터링을 통해 피싱이메일을 피할 수 있으나 그렇다 해도 이메일을 확인할 때마다 주의하는 태도를 가져야 한다.

 

5. 안전한 컴퓨터 사용과 소프트웨어 업데이트

랜섬웨어 제작자들은 주요 소프트웨어 어플리케이션의 취약점을 악용하는 수법도 즐겨 사용한다. 어플리케이션의 업데이트를 항상 최신으로 유지하고 있다면 공격가능성을 대폭 줄일 수 있다. 더욱 좋은 방법은 바로 모든 어플리케이션에 대해 자동업데이트 기능이 있다면 이를 작동시키는 것이다. 어도비리더, 어도비플래시, 자바, 구글크롬, 아이튠즈, 스카이프, 파이어폭스 등이 주요 공격대상이다.

바이퍼 비즈니스프리미엄(Business Premium) 그리고 바이퍼 엔디포인트시큐리티 기업용버전은 패치관리기능이 있으며 VIPRE 인터넷시큐리티 및 인터넷시큐리트 프로 또한 자동패치기능을 제공한다. 자동패치기능이 대시보드에서 켜져 있다면 소프트웨어 업데이트가 새로 나올 때마다 즉시 설치된다. 자동패치에 대한 상세정보는 아래 링크 참고.

https://support.vipreantivirus.com/support/solutions/articles/1000092556-what-is-vipre-auto-patch 


6. 업무데이터와 개인데이터 분리

최근 조사에 따르면 IT보안인력이 임원급의 컴퓨터/기기에 대해 맬웨어 제거요청을 받았을 때 원인이 해당 임원의 가족이 그 기기를 사용했기 때문인 비율이 3분의 1이나 됐다고 한다. 이제 수많은 사람들이 가정에서도 업무를 보며 특히 소기업의 경우 가정에서만 업무가 처리되는 경우도 있기 때문에 업무와 개인생활을 분리하는 게 어려울 수도 있으나 양자를 최대한 분리해야 데이터를 안전하게 지키고 사이버공격의 피해를 최소화할 수 있다.

마지막으로 만약 랜섬웨어에 감염된다면 그 즉시 모든 연결을 차단해야 하며 이는 컴퓨터를 즉시 끄고 네트워크에서 분리해야 함을 의미한다. 이렇게 하면 비록 피해가 발생한다 해도 맬웨어가 다른 시스템과 기기에까지 퍼지는 사태를 막을 수 있다.

 

 

 

VIPRE Security News, Six Tips to Avoid Ransomware, 6. 1. 2016.

https://blog.vipreantivirus.com/featured-article/six-tips-avoid-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 7. 17:27


전문가 진단에 따르면 각급 기업의 사이버범죄 비용이 매년 증가추세에 있으며 글로벌 상거래가 가상공간으로 옮겨가는 현상이 지속됨에 따라 이 비용의 증가는 앞으로도 확실시되고 있다. 2015년 데이터침탈비용 연구(2015 Cosft of Data Breach)에 따르면 데이터침탈을 겪은 기업의 평균비용은 650만 달러로 늘어났다. 다른 연구에 따르면 2019년까지 데이터침탈비용 총액이 2조 달러에 달할 전망이라고 한다.

 

전문가들이 사이버범죄 차단을 위해 다양한 솔루션을 논의하는 가운데 두 가지가 확실시되고 있다. (1) 현재 경계방어기술은 지능형 지속위협 맬웨어를 상대로는 효과적이지 못하며 (2) 맬웨어의 공격력이 보안대책의 효용성보다 빠르게 성장하고 있다는 것이다. 포츈(Fortune) 매거진 선정 100대 기업과 대규모 정부기관에 대한 공격 등 첨단 보안기술과 전문가집단을 동원한 수백 건의 공격 사례로 인해 보안대책에 대한 새로운 접근이 절실해지고 있다.

 

여기에서 소개하는 맬웨어 그리고 네트워크 이상활동을 감지하기 위한 5대 핵심방안은 맬웨어 확산문제를 방지하기 위한 밑그림을 제공한다. 이들 방안은 ThreatAnalyzer(CWSandbox) 샌드박스기술을 활용한 정적 및 동적 맬웨어분석 그리고 지능형 맬웨어 수천 건에 대한 연구를 바탕으로 하고 있다. 이하에 일반적인 맬웨어 문제와 그에 대한 해결방안을 간략히 소개하고 항목별로 세부적인 내용을 기술한다.


맬웨어 행동

해결방안

네트워크활동 폭증

이상행동에 대한 기준 형성

비정상적 시스템활동 발생

맬웨어 행동단서 이해

비정상적 네트워크활동 발생

시간대별 네트워크 트래픽데이터 추적하여 이상 식별

파편화된 기업시스템 운영 악용

모든 이해관계자에게 위협탐지정보를 제공하고 해당 이상행동과 이에 대한 해결방안을 이해하도록 조력제공

보안대책 취약점 노출

다른 기업과의 정보공유 통해 업계와 회사 측 비용 최소화

 



이상행동에 대한 기준 형성

 

기업 차원에서 인간과 기계 모두에 대해 정상적 네트워크 트래픽의 기준을 수립해야 한다. 보안분석가들이 정상의 기준을 이해하고 나면 이를 통해 임계점을 설정할 수 있다. 이러한 임계점은 일반적인 한계나 상한선처럼 향후 분석에 활용될 수 있다. 공격자들은 일단 공격대상 환경에 침투하고 나면 탐지될 위험이 적다고 간주한다. 그러나 위와 같은 기준점을 수립한다면 맬웨어활동이 주목받게 될 가능성을 대폭 높일 수 있다.



맬웨어 행동단서 이해

 

정상 트래픽에 대한 기준이 수립되고 나면 다음 단계로는 맬웨어의 기본적인 행동양상에 대한 이해가 필요하다. 첫 단계에서 설정된 임계점을 돌파하는 네트워크 트래픽이나 행동은 조사개시로 이어진다. 이 조사는 시스템상 맬웨어 의심대상의 최초출현지점과 행동에 초점을 맞춘다. 맬웨어의 기본행동양상에 대한 이해는 공격자의 진로를 예상하고 차단하기 위해 아주 중요하다.

 


시간대별 네트워크 트래픽데이터 추적

 

시스템 및 인간 부문의 기준에 대한 이해가 확립되고 나면 분석가가 시간대별 네트워크트래픽을 열람하여 이상징후 그리고 더욱 중요하게는 침탈의 발생여부 그리고 예상되는 공격진행을 판단할 수 있다. 카네기멜론대학교 소프트웨어공학연구소(The Software Engineering Institute at Carnagie Mellon)에 따르면 이상행동을 추적하는 데 사용된 핵심행과지표(key performance indicator, KPI)에는 바로 사람의 행동, 시스템 및 기술적 오류, 내부프로세스 오류, 외부사건 등이 있다고 한다. 시간대별 네트워크트래픽 추적의 중요성을 보다 자세하게 다룬 내용으로는 다음 링크 참조.

https://blog.threattrack.com/cso/why-tracking-network-traffic-is-important/

 

 

모든 이해관계자에게 위협탐지정보 제공

 

보안대책들이 방화벽, IDS/IPS, 패킷수집기, 엔드포틴트솔루션 등 조직의 다층보안대책을 이루는 각 보안계층에 파편화됨에 따라 의사소통의 간극이 문제로 떠올랐다. 네트워크의 활동 및 보안 현황을 종합적으로 파악하려면 개별 보고서나 분석의 조합이 요구된다. 따라서 효과적인 보안대책을 구축하려면 보안팀이 컨설턴트로 진화하여 핵심 이해관계자에게 투자, 인력, 기술 소요에 대해 알림으로써 최적의 보안방책을 유지해야만 한다. 이에 대한 추가 내용은 다음 링크 참조.

https://blog.threattrack.com/cso/how-to-give-threat-detection-visibility-to-non-it-stakeholders/


 

다른 기업과의 정보공유 통해 전체 위험 감소

 

사이버공격자의 주요 악용대상으로 업계 경쟁자들 사이의 정보공유 실패도 빼놓을 수 없다. 동종 업계에 종사하는 기업들은 서로를 경쟁자로 인식하기 때문에 위협에 대한 정보의 공유를 꺼리게 된다. 그러나 이러한 태도는 근시안적이고 맬웨어가 개별 기업을 효과적으로 각개격파하여 결국 업계 전체에 불이익을 끼치는 결과로 이어질 수 있으며 이는 병원에 대한 랜섬웨어 공격 사례를 통해 입증됐다. 지식이란 힘이며 힘이란 곧 과거 실패에 대한 교훈을 통해 개발된 솔루션이라는 형태로 응용되는 지식을 의미한다.

 

경계보안기술과 다층보안대책에 의존해 온 보안분석가들은 기술이란 결코 완벽할 수 없으며 맬웨어는 결국 어떤 식으로든 기술적 틈을 파고들게 된다는 점을 그 어느때보다도 절감하고 있다. 기준수립, 합리적인 네트워크 및 시스템 임계점 수립, 맬웨어 행동 이해, 회사 핵심이해관계자 및 업계 동업자에 대한 협조적 접근방식 수립을 통해 나날이 증가하는 맬웨어위협에 대한 대응에 큰 도움을 받을 수 있으며 보안분석가의 효용성을 대폭 향상할 수 있다. 네트워크 이상행동 탐지에 대해 보다 상세한 내용으로는 아래 링크의 ThreatTrack 최신 기술백서 참조.

http://land.threattracksecurity.com/5-Key-Ways-to-Dectect-Anomalous-Behavior-on-Your-Network.html#_ga=1.257197451.1084892965.1463641239

 

 

 

Robert Bond, How to Detect Malware and Other Anomalous Behavior, 5. 23. 2016.

https://blog.threattrack.com/cso/detect-malware-anomalous-behavior/


번역: madfox




참고링크 


<ThreatTrack 보안솔루션 제품소개>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 3. 14:51

 

Security Products 매거진과 securitytoday.com에서 ThreatTrack의 지능형 맬웨어방지 플랫폼인 ThreatSecure Network2016Govies Government Security Awards 프로그램의 네트워크보안 분야를 수상했다. 본 프로그램은 다양한 분야에서 뛰어난 성능을 보이는 정부보안제품을 조명한다.

 


 

보안업계에서 선정된 각 패널들이 기능, 혁신성, 사용자편의성, 상호운용성, 품질, 디자인 등 여러 기준을 통해 2016년 항목별 수상제품을 선정했다. ThreatSecure Network는 정부영역에서 널리 쓰이고 있으며 지능형 위협방어를 통해 보안인력이 능동적 사이버공격을 식별 및 차단할 수 있도록 한다. 주요 기능은 다음과 같다.

 

지능형 공격과정을 탐지하고 행동변화를 식별하여 악성행동 탐지

실시간 위협탐지

분석 간 관측된 네트워크활동 연관성 판단

악성URL에 관련된 세션 차단 및 보고

 

ThreatTrack 사장 John Lyons는 다음과 같이 설명한다. "본 수상을 통해 ThreatTrack이 정부기관에 제공하는 고급 보안솔루션의 성능 그리고 네트워크보안분야에서 ThreatTrack의 선도적 위치가 다시금 확인됐다. 기관들은 공격과정을 빨리 식별할수록 위해를 최소화할 가능성을 높일 수 있다. ThreatSecure Network는 위협이 식별된 전후에 활동을 모니터링 및 추적하며 이를 통해 위협을 훨씬 상세하게 파헤칠 수 있다."

 

분야별 수상제품은 아래 링크 확인

https://securitytoday.com/pages/govies

 

ThreatSecure Network가 정부기관들에게 널리 채택되는 이유에 대해서는 아래 링크 확인

https://www.threattrack.com/network-security-threats.aspx#_ga=1.230539932.1084892965.1463641239

 

 

 

ThreatTrack Security CSO Blog, ThreatSecure Network Named Winner of Govies Government Security Award, 4. 17. 2016.

https://blog.threattrack.com/cso/threatsecure-network-named-winner-2016-govies-government-security-awards/

 

번역: madfox




참고링크 


<ThreatTrack 보안솔루션 제품소개>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016. 6. 3. 14:45


해킹이 일어나는 이유는 무엇인가. 달리 구하기 어려워서 굳이 해킹을 해야 얻을 수 있는 것이 무엇인가. 이러한 질문은 회사의 규모를 막론하고 늘 나오게 된다. 대부분의 경우 회사가 보유한 제조방법이나 유행전망 등의 정보는 이를 보유한 회사 혹은 그 경쟁사가 아닌 이들에게는 큰 가치가 없다. 하지만 개인식별정보(personally identifiable information), 보건정보(protected health information, PHI), 카드정보 등의 고객정보는 상당한 가치를 가지고 있으며 쉽게 매각할 수 있다. 회사의 규모에 관계없이 고객정보 또는 직원에 대한 정보를 컴퓨터에 저장하고 있다면 해킹표적이 된다. 그렇다면 해커가 이러한 정보에 대한 해킹을 통해 얻을 수 있는 건 무엇인가.

 

신용/직불카드 정보

기본 계좌정보 및 만료일자는 건당 5달러에 거래되는데 몇몇 해킹사레의 경우 이런 정보가 수십만 건 탈취된다는 사실을 생각한다면 이는 결코 우습게 될 액수가 아니다. 지속적으로 거래하는 고객에 대한 우편주소, CVV2 번호, 주민등록번호 등 데이터베이스 보관 정보는 미국에서는 건당 30달러 그리고 유럽에서는 건당 45달러까지 올라갈 수 있다. 반경 10km 정도에 대해서만 영업을 하는 작은 업체라 해도 해킹시도가치가 있을 정도의 정보를 보유하고 있을 공산이 높다.

 

페이팔(PayPal) 계좌

페이팔(또는 유사서비스) 계좌에 대한 정보는 그 계좌의 잔액에 따라 건당 50달러에서 300달러까지 올라갈 수 있다. 페이팔 계좌가 대체로 체크카드계좌 또는 예금계좌와 이어져 있음을 생각한다면 이는 섬뜩한 일이다.

 

기프트카드

기프트카드는 직접 절취된 경우든 위조된 경우든 표시금액의 50~65% 정도에 해당하는 가치를 가진다. 개인의 경우 기프트카드 도난시 그 금액을 되찾을 길이 없기 때문에 특히 위험하다.

 

여권스캔

스마트태그(radio frequency identification, RFID) 보호케이스는 쓸데없는 물건이 아니다. 공항에서 가방에 스캐너만 담고 있다면 보안검색대를 거치는 일 없이 건당 2달러의 정보를 찰취할 수 있으며 이는 개인카드를 보호케이스로 가려야 하는 이유로 충분하다.

 

티켓

기차표나 비행기표 등 티켓의 경우 장당 10달러의 가치를 가지고 있으며 온라인 이미지를 통해 손쉽게 복제될 수 있다. 인스타그램에 티켓을 올리는 일은 자칫 후회할지도 모르는 결과로 이어질 수 있으므로 재고해야 한다.

 

호텔 마일리지프로그램

인기 호텔브랜드의 마일리지프로그램 정보는 건당 5~20달러 정도의 가치를 가진다. 이 정보를 적립포인트를 선물하거나 다른 사람의 예약을 대신 할 수 있으며 사람들이 대체로 평소에 자신의 월별 포인트적립내역에 크게 신경을 쓰지 않는다는 점을 생각한다면 타인이 그 적립포인트를 사용해 버려도 본인이 직접 호텔을 예약하기 전까지 이를 알지 못하는 경우가 생길 수도 있다.

 

이메일계정

탈취된 이메일계정에 대한 거래시장은 붕괴된 상태다. 2007년 기준으로 이메일계정은 건당 30달러에 거래됐다. 현재는 1000건당 많아도 10달러 정도밖에 못 받는다. 사람들이 링크를 클릭하여 맬웨어를 다운받고 이를 통해 그들의 시스템에서 스팸이 발송되도록 유도하는 일이 쉽게 때문에 계정을 직접 탈취할 이점이 크지 않다.

 

게임계정

게임에서 허술한 비밀번호를 사용하여 도난당한 계정은 건당 10~15당 달러에 팔릴 수 있다. 때로는 계정에 있는 아이템들까지 팔려 버려서 사용자의 캐릭터가 거지꼴이 되는 일도 생긴다.

 

인프라서비스(infrastructure as a service, IaaS) 클라우드계정

공격자는 클라우드를 통해 서버구축, 공격실행, 맬웨어호스팅, 온라인보관데이터 접근 등을 할 수 있다. IaaS 서비스에 대한 관리자 계정은 건당 7~8달러에 거래될 수 있다. 그러므로 관리자계정에 대해서는 언제나 다중인증방식을 취해야 한다. 이 분야의 모든 서비스가 이미 MFA를 옵션으로 제공하기도 한다.

 

인기 케이블채널 구독계정

인기 케이블채널 스트리밍서비스 계정은 건당 10달러 정도에 거래된다. 인기 드라마가 있다면 이 가격은 도욱 올라갈 수 있다.

 

스포츠네트워크 스트리밍서비스 계정

온라인으로 스포츠경기를 볼 수 있는 온라인스트리밍서비스 계정은 스포츠 종류에 따라 다르지만 건당 15달러 가량에 거래된다. 몇몇 국가에서는 스포츠스트리밍 서비스가 제공되지 않기 때문에 경기를 볼 목적으로 해킹과 같은 방법을 사람들도 있다 하겠다.

 

그렇다면 해커들은 이들 정보를 어떻게 파는가. 흔히 말하는 다크웹(dark web)에서부터 보다 규모가 크거나 조직적인 범죄집단에 직접 넘기는 방법까지 아주 다양한 방식으로 정보가 거래된다. 러시아, 중국, 브라질이 이러한 거래가 비교적 쉬운 국가로 알려져 있으나 온라인에서 토르(Tor)와 같은 서비스를 사용한다면 익명으로 해킹한 정보를 팔 수 있는 장소는 어렵지 않게 찾을 수 있다. 경우에 따라서는 믿을 수 있는 자에 의한 신원보증이 필요하지만 정해진 수량의 계정을 거래수수료로 "지불"하면 족하기도 하다(이 경우 자신이 경찰 등이 아닌 실제 해킹주체라는 믿음을 줄 수 있다). 이상과 같이 회사가 보유한 데이터는 암거래시장에서 분명한 가치를 지니고 있기 때문에 어떤 회사든 해킹표적이 될 수 있다. 패치작업이 귀찮아지거나 신규 보안소프트웨어 예산을 승인받을 때 이 사실을 기억해야 하겠다.


<참고>유료안티바이러스 http://storefarm.naver.com/softmate 




Casper Manes, How much does your stolen data go for?, 5. 10. 2016.

http://www.gfi.com/blog/how-much-does-your-stolen-data-go-for/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 5. 19. 15:58

 

짐작할 수 있듯 랜섬웨어에 대해 가장 많은 질문은 바로 "이제 어쩌지?". 무엇을 할 수 있었는지 그리고 했어야 하는지에 대한 온갖 지식은 랜섬웨어에 감염되고 나서야 밀려온다. "매크로 설정"을 사용하라는 설명을 무시했을 수도 있고 문제의 이메일을 애초에 그냥 지워 버렸을 수도 있으며 최근에 할인행사를 하던 USB 백업드라이브를 구매했어야 한다는 식이다.

 

그러나 모든 파일이 암호화되고 공격자 측에서 이 소중한 파일을 복호화하는 키를 제공하는 대가로 비트코인 300달러어치를 요구하고 있는 최악의 상황이 닥치면 어떻게 해야 할까. 이 때 오프라인 백업도 없고 보존하려는 파일은 죄다 사용 불가능한 상태로 하드디스크에 갇혀 있는 상황이라고 가정한다. 이 경우 돈을 내지 않고도 파일을 복구할 수 있는가. IT 문제가 다 그렇듯 이에 대한 대답은 "경우에 따라 다르다"가 된다.

 

피해복구방법: 지름길

 

랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 하게 되는데 이 경우 무료복구가 가능한 지름길이 생기게 된다. 예를 들어 최초의 랜섬웨어 공격이 발생했던 1989/1990년 사례를 보면 공격자가 파나마의 정해진 주소로 378달러의 은행수표를 보내도록 요구한 적이 있다. 그런데 이 공격자는 모든 컴퓨터에 적용되는 암호화키를 사용하는 간편한 방법을 택했으며 그 결과 AIDS Information Trojan이라는 이름의 해당 맬웨어를 해제할 수 있는 무료툴이 금방 등장하게 됐다. 최근 리눅스기반 랜섬웨어의 사례도 이와 유사한데 이 사례에서는 프로그래머가 공격대상이 되는 여러 서버에 대해 모두 다른 암호화키를 사용했으며 이는 동일한 파일 사본도 다르게 암호화되는 결과로 이어졌다. 하지만 이들은 유사난수생성(pseudo-random number generator, PRNG)이라고 알려진 알고리즘을 통해 암호화키를 생성했는데 이 알고리즘은 최초 암호화대상의 타임스탬프(시점기록, timestamp)를 통해 작동하는 방식을 취했다. 이렇게 보면 복호화키 또한 공격대상 측에서 만들어내는 게 가능했다.

 

일반적인 오프라인 백업 없이도 분리 디스크나 클라우드를 통해 암호화된 데이터의 전부 또는 일부를 복구할 수 있는 길도 있다. 예를 들어 윈도의 경우 파일의 숨은 사본을 만들 수 있는데 이는 일종의 온라인 백업으로 파일의 과거 버전을 간편하게 관리할 수 있는 수단이기도 하다. 숨은 사본은 이름이 지정된 볼륨스냅샷서비스(Volume Snapshot Service, VSS) 파일로 저장된다. VSS 파일은 일부 랜섬웨어에 대해 빠른 복구대책이 될 수 있으나 요즘은 대부분의 랜섬웨어가 데이터 암호화를 실행하기 전에 시스템명령 조작을 통해 VSS 파일을 삭제하기 때문에 이렇게 복구가 가능해지는 경우는 거의 없다.

 

결국 랜섬웨어 공격이 발생했을 경우 해당 맬웨어를 식별할 수 있다면 일단 돈을 지불하지 않고도 복구를 할 수 있는 지름길이 있을지에 대해 알아볼 필요는 있다. 하지만 솔직히 말하자면 "요즘은 그런 간편한 해결은 거의 불가능하기 때문에 최악의 상황을 예상해야 할 것이다."

 

피해복구방법: 돌아가는 길

 

정상적인 프로그램이 기존 파일을 수정할 경우 우선은 해당 파일의 사본을 생성한 다음에 그 사본을 수정하고 나서 원래 파일을 삭제하는 과정을 거친다. 이 원리를 활용한다면 프로그램이 파일을 처리하는 중에 작동 중단될 경우 해당 파일을 복구하는 데 도움을 받을 수 있다.

 

만약 공격자가 이러한 과정을 거쳐 파일을 암호화한다면 공격대상 운영체제의 일반적인 파일삭제 기능을 사용한다는 가정 하에 기존 파일 중 일부를 삭제하지 않는 경우가 있을 수도 있다. 이는 대부분의 운영체제가 삭제된 파일에 곧바로 덮어쓰지 않기 때문이다. 운영체제 대부분은 덮어쓰기에 소요되는 시간을 줄이기 위해 삭제된 기존 파일이 차지하던 디스크공간을 "재사용 가능"으로 표시하며 따라서 일정기간 동안은 삭제된 기존 파일의 복구가 가능한 경우가 많다.

 

하지만 파일삭제 누락은 복불복의 성격이 강하다. 이 방법을 제대로 거치려면 데이터포렌식 전문가를 동원하여 돈과 시간을 들여야 하며 이 경우에도 실망스러운 결과만 남을 수도 있다. 사실 포렌식 전문가의 고용은 살인사건 수사와 같이 아주 중요한 경우에나 있을 법한 일이다. 그리고 랜섬웨어 공격이 발생하고 나면 공격자가 요구하는 금액보다 데이터복구비용이 더욱 많이 나올 수도 있음을 염두에 둬야 한다.

 

물론 랜섬웨어 공격자 역시 피해자가 돈을 안 내고 파일을 복구하는 결과를 원치 않으며 따라서 코딩에 그렇게 심혈을 기울이지는 않는다. 랜섬웨어는 대체로 기존 파일에 그대로 덮어쓰며 이를 통해 기존 데이터가 남아 있을 여지를 최대한 없앤다. 그러나 이론적으로 생각한다면 기존 파일에 덮어쓴다고 해도 실제로는 기존 데이터가 있던 디스크 영역에 덮어쓰지 않는 경우일 수도 있다. 몇몇 운영체제와 일부 디스크의 경우 이른바 wear levelling이라고 하여 디스크 작성영역을 임의로 변경한다. 플래시메모리를 사용하는 고체(solid state) 디스크는 전자 수준에서서의 마모로 인해 성능이 저하될 수 있으며 따라서 동일한 메모리 셀에만 계속 작성할 경우 기기 수명이 줄어들 수 있다. 이를 완화하는 대책이 바로 wear levelling이다. 따라서 디스크영역 수준이나 심지어 디스크 펌웨어 수준으로 파고들어가서 논리적으로는 덮어씌워졌으나 물리적으로는 보존된 상태의 데이터를 찾아내는 방법은 기술적으로 분명 가능한 일이다.

 

그러나 다시 말하지만 이 방법은 자존심을 죽이고 공격자에게 돈을 지불하는 방법보다 훨씬 불확실하고 아주 많은 비용을 지출할 수도 있음을 상기해야 한다.

 

암호화 해제

 

랜섬웨어 공격을 무력화시킬 마지막 방법으로 공격자가 사용한 암호화 자체를 해제하는 방법이 있다. 앞서 언급했듯 랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 저지르거나 약한 암호화를 사용하거나 혹은 강한 암호화라도 잘못 사용함에 따라 암호분석학적인 틈(backdoor)을 남겨놓는 경우가 있다. 물론 이들이 정상적으로 암호화를 적용했다면 이를 해제하는 건 사실상 불가능하며 그 이유는 다음과 같다.

 

CryptoWall이나 Locky와 같은 대부분의 랜섬웨어는 다음과 같은 수법으로 작동한다.

공격자가 운영하는 서버에 접속하여 공격대상 컴퓨터에 고유한 RSA 공개키를 다운로드

각 파일에 대한 임의의 AES 키를 생성하고 해당 파일을 암호화

해당 AES 키를 RSA 공개키로 암호화하고 공격대상 파일과 암호화된 복호화키를 함께 저장

 

위 내용이 단번에 이해가 안 된다고 염려할 필요는 없다. 이 수법은 RSA 암호화 알고리즘이 두 개의 키를 가지고 작동한다는 데 착안하고 있다. 공개키로 데이터를 암호화하기 때문에 오로지 개인키만이 해당 데이터를 복호화할 수 있다. 바꿔 말하자면 만약 공격자가 클라우드에서 RSA 공개-개인키 쌍을 각 컴퓨터별로 생성하고 공개키만 배포하게 된다면 피해자 파일을 암호화한 AES 키를 복호화하기 위해 필요한 고유의 개인키는 오로지 공격자만이 보유하게 된다.

 

그렇다면 RSA 공개키로 곧바로 암호화를 하지 않고 어째서 굳이 AES 키를 다시 사용하는가. 이는 RSA 키의 작동속도가 느리기 때문에 AES처럼 훨씬 빠른 알고리즘을 사용하는 임의의 키와 같은 소량의 데이터를 암호화할 경우에 적합하기 때문이다. 한편 파일마다 다른 키를 사용하는 이유는 무엇인가. 이는 모든 파일의 암호화가 다를 경우 컨텐츠가 동일하다 해도 하나의 파일에 사용된 복호화 단서를 다른 파일에 적용할 수 없기 때문이다.

 

이 말인즉 돈을 내지 않고 피해파일을 모두 복구하는 일은 다음과 같다.

RSA 공개-개인키 알고리즘을 해체하여 각 파일에 대한 AES 키 복구

각 파일에 대한 AES 암호화 알고리즘을 일일이 해체

 

이렇게 어렵고 불확실한 과정을 거치기보다는 차라리 그냥 돈을 지불하는 방법이 속이 편할 수도 있다.

 

최종 선택지

 

여기까지의 내용만을 본다면 그냥 돈을 지불하는 게 낫다는 식으로 보일 수도 있다. 하지만 돈을 지불할 경우 이는 범죄자를 먹여살리는 셈이 되기 때문에 돈을 지불하지 않는 길을 권고한다. 사실 랜섬웨어 공격을 당하고 나서 모든 파일을 없애고 처음부터 다시 시작한다는 결정을 내린다면 이는 "힘내라"는 말과 함께 격려를 받을 만한 결단이다. 이 글의 요지는 암호화된 파일이 정말로 필요하고 백업과 같은 예비대책을 전혀 세우지 않은 상태라면 돈을 지불하는 외에 달리 선택지는 없다는 데 있다.. 물론 이 글에서는 여전히 돈을 지불하지 않는 길이 낫다는 논지를 유지하나 각자의 결정을 존중할 수밖에 없는 일이다(데이터의 존폐가 경각에 걸린 상황에서 자존심을 세우기란 어렵다). 그런 상황이 오지 않는 게 가장 바람직하지만 비교적 타협의 여지가 없다는 식으로 설명한다면 경각심 측면에서 도움이 될 수 있다는 판단에 따라 글의 흐름이 위와 같이 전개됐다. 결국 "예방이 치료보다 낫다"는 말이다.

 

랜섬웨어 예방요령

 

주기적으로 백업하고 최신 백업사본을 격리하여 보관. 파일이 갑자기 사라질 수 있는 원인으로는 랜섬웨어 외에도 화재, 홍수, 절도, 기기고장, 실수에 의한 삭제 등 수많은 요인이 있을 수 있기 때문이다. 백업사본을 암호화한다면 백업기기가 탈취되는 경우에도 염려할 필요가 없다.

이메일로 수신된 문서 첨부물에 대한 매크로 적용 해제. 수많은 맬웨어는 문서첨부물을 통해 침입하며 사용자로 하여금 매크로(내장된 문서스크립트)를 설정하도록 유도한다. 그냥 안 하면 된다. 마이크로소프트의 경우 이미 수년 전 보안조치로 매크로 자동실행 해제를 기본설정으로 적용했다.

마이크로소프트 오피스 뷰어 설치. 뷰어 어플리케이션을 사용하면 워드나 엑셀을 직접 사용하지 않고도 문서파일을 살펴볼 수 있다. 특히 뷰어는 매크로를 전혀 지원하지 않기 때문에 실수로 매크로를 작동시킬 염려도 없다.

요청하지 않은 첨부물 주의. 문서파일을 통해 맬웨어를 보내는 공격자는 사용자가 확신할 수 있기 전에는 파일을 열어서는 안 되는 동시에 확신을 하려면 그 파일을 열 수밖에 없다는 딜레마를 악용한다. 의심의 여지가 있다면 그 파일은 그냥 버려야 한다.

필요 이상의 로그인 권한을 부여하지 말 것. 가장 중요한 부분은 바로 관리자권한 로그인상태를 필요 이상으로 방치하지 말아야 한다는 점이며 관리자권한을 보유한 상태에서는 브라우징, 문서 열기를 비롯한 "통상적 작업" 활동을 피해야 한다.

신속히 그리고 자주 패치 확인. 문서 매크로를 통해 침투하지 않는 맬웨어는 대체로 오피스, 웹브라우저, 플래시 등 인기 어플리케이션의 보안허점을 악용한다. 패치가 빠르게 이루어질수록 공격자가 악용할 수 있는 허점도 줄어들게 된다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Paul Ducklin, Got Ransomware? What Are Your Options?, 3. 3. 2016.

https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 4. 26. 14:46



 

사이버범죄자들에 대해 확실한 건 바로 이들이 끈질기다는 사실입니다. 이들은 어떤 수법을 발견하게 되면 그 수법이 완전히 막힐 때까지 끊임없이 활용하고 또 개량할 겁니다. 피해자의 파일을 해킹하고 해독 불가능하게 암호화시켜버리는 랜섬웨어는 상당히 성공적이었으며 개인사용자와 기업 모두에게 중대한 위협으로 떠올랐습니다. 예방대책이 없는 상태에서 랜섬웨어 공격을 당하게 되면 어떤 식으로든 그 대가를 치를 수밖에 없습니다.

 

최근 등장한 새로운 랜섬웨어를 보면 이 문제가 금방 해결되지는 않으리라 여겨집니다. Locky라는 랜섬웨어는 악성 이메일첨부물을 통해 윈도컴퓨터를 감염시키고 있습니다. 또한 안드로이드, 리눅스, 맥을 표적으로 하는 랜섬웨어도 나오고 있습니다.

 

랜섬웨어라는 현재진행형의 문제와 관련하여 소포스가 랜섬웨어 대비대책을 세울 수 있는 새로운 리소스를 마련했습니다. 이 리소스는 쉽게 따라갈 수 있는 가이드로 데이터 안전관리를 위한 보안설정, 인력교육, 파일백업 등 실천사항을 알려 줍니다.

 

본 가이드의 내용은 다음과 같습니다.

랜섬웨어의 공격원리

종래 보안대책이 있음에도 랜섬웨어 감염이 퍼지는 이유

랜섬웨어 대비를 위한 장단기 조치사항

랜섬웨어 대비를 위한 소포스솔루션 최적설정방법

 

본 기술백서를 통해 현재 그리고 장래의 랜섬웨어 위협을 어떻게 방지할 수 있는지 알 수 있습니다. 본 자료는 공개컨텐츠로 별도의 등록이 요구되지 않습니다.

 

소셜미디어를 통해 소포스를 팔로잉하고 소포스 블로그를 구독하면 진화하는 위협에 대한 최신정보를 제공받고 소포스 전문가들의 보안자문도 받을 수 있습니다. 또한 수상경력을 자랑하는 Naked Security 블로그를 방문하여 랜섬웨어위협 방지에 대해 다음과 같은 최신 연구결과와 인기 보안지침을 확인할 수 있습니다.


랜섬웨어 필수이해사항 

https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/


보안과 편의성: 스팸으로 퍼지는 랜섬웨어 

https://nakedsecurity.sophos.com/2016/03/14/security-vs-convenience-the-story-of-ransomware-spread-by-spam-email/


랜섬웨어 감염시 선택지는? 

https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/

 

아울러 소포스 전문가인 Chester WisniewskiPaul Ducklin이 랜섬웨어 작동원리와 대비대책에 대해 설명하는 소포스 TechKnow 팟캐스트를 통해 랜섬웨어에 대한 속성교육을 받을 수 있습니다.

소포스 TechKnow 팟캐스트: 

https://soundcloud.com/sophossecurity/sophos-techknow-dealing-with-ransomware

 

 

 

John Zorabedian, How to stay protected against ransomware, 3. 18. 2016.

https://blogs.sophos.com/2016/03/18/how-to-stay-protected-against-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

'IT, 보안 소식&팁' 카테고리의 다른 글

애플, 윈도 퀵타임 지원 중단  (0) 2016.04.27
랜섬웨어 감염시 선택지는?  (0) 2016.04.26
랜섬웨어 방지요령  (0) 2016.04.26
랜섬웨어 재조명: 방지대책은?  (0) 2016.04.05
간편한 랜섬웨어 방지대책  (0) 2016.04.05
미국정부 vs 애플  (0) 2016.03.16

COMMENT : 0 TRACKBACK : 0

날짜

2016. 4. 26. 14:43

위로가기