해킹에 해당하는글 19



오늘날에는 AirBnB, Homeaway 등 단기임대 중개서비스가 널리 알려져 있다. 수많은 사람들이 임대인 그리고 임차인으로서 이들 서비스를 이용했거나 이용 중이다. 이러한 서비스의 비즈니스모델은 종래 관광산업에 변동을 일으키고 있으며 친구 또는 가족 단위의 여행객들에게 편리하고 유용한 서비스로 인기를 끌고 있다. 필자는 몇몇 임대인의 경우 와이파이 등 개인 물품 및 서비스에 대한 접근을 아주 쉽게 한다는 점을 흥미롭게 생각했다.


최근 사이버보안 컨퍼런스 Black Hat에서 AirBnBeware: Short Term Rentals, Long Term Pwnage라는 발표를 들은 적이 있다. 발표자였던 Jeremy Galloway는 친구들과 여행할 당시 숙소 라우터를 해킹하여 그들의 웹브라우징을 어지럽힌 적이 있다는 경험을 소개했다. 그는 원래 해킹에 몇 시간이 소요되리라고 짐작했으나 라우터가 눈에 뻔히 보이는 위치에 있었고 따라서 컴퓨터를 직접 연결시킬 수 있었기 때문에 실제로는 금방 해킹에 성공했다고 한다.


AirBnB 연간 이용객은 6천만 명이 넘으며 숙소로 등록된 장소는 2백만 곳에 달한다. 다른 단기임대 서비스를 고려할 필요도 없이 이는 그 자체로도 엄청난 숫자로 정말 많은 사람들이 다양한 장소를 오고감을 알 수 있다. 사이버보안 측면에서는 이러한 숙소에 단 하루만 투숙하는 사람도 보안상 위험에 노출될 수 있다.


카스퍼스키는 이미 무료 와이파이를 피해야 하는 이유 그리고 가정용 네트워크의 보안을 개선하는 방법에 대해 소개한 바 있다. 이러한 일상 생활이 아닌 여행에서도 보안은 중요하며 타인의 와이파이를 사용할 때 그 와이파이에 누가 있었는지 그리고 누가 아직도 잔류하고 있는지 알 길이 없다는 점에 유의해야 한다. 위에서 소개한 발표에서는 와이파이 보안과 관련하여 임대인과 임차인이 유의해야 할 사항도 소개됐으며 그 내용은 다음과 같다.


임차인 주의사항

1. 여행 중에도 와이파이가 반드시 필요한지 아니면 모바일네트워크와 숙소 TV만으로도 충분한지 생각한다.

2. 만약 와이파이가 반드시 필요하다면 자신의 휴대전화를 핫스팟으로 사용하는 방법을 고려한다. 이 경우 여행을 위해 구매한 데이터플랜이 사용됨에 유의하고 사용량과 다운로드에 주의하도록 한다. 안전한 접속을 원한다면 VPN을 사용할 수 있다.

3. 온라인뱅킹이 필요하다면 접속을 인증할 수 있는 은행 공식앱을 사용한다.

4. 여행 중에는 언제나 자신을 둘러싼 물리적 및 전자적 사물에 주의해야 한다. 조금이라도 수상한 부분이 있다면 조심해야 한다.


임대인 주의사항

1. 가정용 네트워크에 대한 접속은 허용하지 않는다. 투숙객을 위해서는 별도의 게스트 네트워크를 설치함으로써 투숙객에게 와이파이 서비스를 제공하는 동시에 자신의 개인 네트워크를 안전하게 보호할 수 있다.

2. 라우터의 기본 비밀번호를 변경한다. 대부분의 라우터는 기본 비밀번호가 admin이나 password 등으로 지정돼 있기 때문에 개인 네트워크를  보호하기 위해서는 우선 이 기본 비밀번호를 변경해야 한다.

3. 라우터는 옷장이나 서랍에 보관하고 가능하다면 별도의 잠금장치를 마련하여 혹시라도 생길지 모르는 해킹가능성을 줄여야 한다.

4. 임대를 자주 하는 경우라면 몇 달마다 주기적으로 라우터를 백업하고 재설정하는 게 좋다.

5. 단기임대인들은 대체로 투숙객 안내문에 관광지 추천 등의 팁을 제공하는데 여기에 보안상 유의사항을 추가하여 이를 따르도록 요청한다.




Jeffrey Esposito, Rental Wi-Fi? Think Twice, 8. 9. 2016.

https://usblog.kaspersky.com/short-term-rental-wifi/7499/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.10 16:45



문자메시지를 통한 이중인증은 은행들이 많이 사용하는 방식이다. 이중인증은 물론 암호만 확인하는 방식보다는 안전하지만 결코 무적은 아니며 보안전문가 그리고 맬웨어제작자들은 10년 전 이중인증이 널리 채택되기 시작할 당시에 이미 이를 어떻게 속일 수 있는지 간파해 냈다. 그렇기 때문에 트로이목마 제작자들은 일회용 문자메시지 인증을 어렵지 않게 뚫을 수 있으며 그 과정은 다음과 같다.

1. 사용자가 스마트폰에서 정상적인 뱅킹 앱을 실행한다.

2. 트로이목마가 뱅킹 앱을 탐지하고 해당 앱의 인터페이스를 복사하여 자신을 위장한다. 이 경우 가짜 화면과 원래 화면과 동일하게 보인다.

3. 사용자가 가짜 앱에 로그인 아이디와 비밀번호를 입력한다.

4. 트로이목마가 범죄자 측에 로그인 정보를 전송하면 범죄자가 이 정보를 이용하여 사용자의 뱅킹 앱에 접속한다.

5. 범죄자가 자신의 계좌로 돈을 이체하는 과정을 개시한다.

6. 원래 사용자의 스마트폰에 일회용 인증번호가 문자메시지로 전송된다.

7. 트로이목마가 문자메시지에서 비밀번호를 추출하여 범죄자 측에 전송한다.

8. 트로이목마는 해당 문자메시지를 사용자가 확인하지 못하도록 한다. 따라서 원래 사용자는 실제로 계좌이체내역을 확인하기 전까지는 트로이목마의 해킹과정을 알지 못한다.

9. 범죄자는 전송받은 인증번호를 통해 이체를 완료하고 돈을 챙긴다.


오늘날의 뱅킹 트로이목마라면 하나같이 문자메시지 이중인증을 속일 수 있다는 말은 결코 과장이 아니다. 사실 맬웨어제작자들은 은행들이 이중인증과 같은 방어대책을 채택하는 데 적응하는 것일 뿐이다.


사실 위와 같은 해킹이 가능한 악성앱은 결코 적지 않다. 카스퍼스키 연구진은 최근 몇 개월에 걸쳐 3종의 맬웨어에 대한 상세 소개글을 작성한 바 있으며 이를 간략히 요약하면 다음과 같다.

1. Asacub: 본래 스파이앱이었으나 트로이목마로 개량된 후 모바일뱅킹에서 돈을 빼돌릴 수 있다.

2. Acecard: 30종에 달하는 뱅킹앱 인터페이스를 복제할 수 있는 강력한 트로이목마로 현재 모바일맬웨어는 Acecard의 방식을 따르는 추세에 있다. 예전 트로이목마가 하나의 정해진 은행이나 결제서비스를 표적으로 삼았다면 오늘날의 트로이목마는 여러 앱을 동시에 위조할 수 있다.

3. Banloader: 브라질에서 만들어진 트로이목마로 컴퓨터와 스마트폰에서 동시에 실행될 수 있다.


결국 오늘날의 뱅킹트로이목마를 막기에 이중인증은 역부족이다. 이는 사실 몇 년 전부터  이미 존재했던 문제며 앞으로도 이 상황이 변하지는 않을 것으로 보인다. 그렇기 때문에 추가적인 보안대책이 필요하다. 우선 공식 채널을 통해서만 앱을 설치하도록 해야 하지만 구글 플레이스토어나 애플 앱스토어에 트로이목마가 침투한 사례가 있기 때문에 이 방법도 완전히 신뢰할 수는 없다. 따라서 카스퍼스키 솔루션과 같은 우수한 모바일 안티바이러스를 설치하여 사용할 필요가 있다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, How banking Trojans bypass two-factor authentication, 3. 11. 2016.

https://usblog.kaspersky.com/banking-trojans-bypass-2fa/6849/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.08 13:03


바이러스 등 악성코드가 컴퓨터 하드웨어에 물리적인 손상을 가할 수 있는가. 이는 정보보안 분야에서 가장 널리 퍼진 동시에 터무니없다고 여겨지는 미신으로 이러한 이중적 속성으로 인해 오래도록 지속되고 있다. 20세기 후반에는 바이러스로 인해 CRT 모니터에 잘못된 신호가 전송되어 컴퓨터의 하드웨어가 구성요소가 타 버렸다든지 또는 맬웨어로 인해 하드디스크 드라이브가 격하게 진동하여 드라이브가 결국 파괴됐다든지 아니면 플로피 드라이브에 오버클럭이 걸려 과열이 발생했다든지 하는 식의 이야기가 퍼졌던 적이 있다. 이런 미신들은 안티바이러스 업체들에 의해 해체됐다. 물론 이들 중 몇몇의 경우 이론적으로는 나름 일리가 없진 않으나 컴퓨터에 내장된 보호기능으로 인해 이러한 사고는 발생할 여지가 없다.


하지만 하드웨어를 물리적으로 손상시키는 경우에 준하는 사례도 없진 않으며 그 사례로 1999년의 이른바 체르노빌 악성코드로 알려진 Win95.CIH 바이러스를 생각할 수 있다. Win95.CIH는 수천 대의 기기를 감염시켰으며 하드드라이브와 마더보드 BIOS 칩의 데이터를 손상시켰으며 이에 따라 일부 감염 기기들은 부팅 프로그램 손상으로 인해 작동 자체가 불가능해졌다. 이는 결국 BIOS 칩을 교체하고 데이터를 다시 입력해야 하는 결과로 이어지기도 했다. 사실 이 사례는 컴퓨터에 대한 물리적 타격은 아니다. 이러한 감염이 발생한 경우 마더보드는 몇 차례 조작을 가하고 나면 다시 사용 가능한 상태로 되돌릴 수 있다. 물론 이 문제는 가정에서 간단히 해결할 수 있는 수준은 아니며 별도의 특수 장비를 필요로 한다. 그렇지만 오늘날에는 문제가 훨씬 복잡한데 그 이유는 다음과 같다.


우선 오늘날 모든 독립 하드웨어는 재작성 가능한 마이크로프로그램과 함께 제작되며 이러한 프로그램은 둘 이상인 경우도 있다. 이들 마이크로프로그램은 수 년에 걸쳐 진화하여 오늘날에는 상당히 복잡한 소프트웨어가 됐으며 이는 결과적으로 공격가능성을 발생시켰다. 이 때 공격이 성공한다면 그 결과는 복구 불가능한 경우도 있다. 카스퍼스키 연구진은 Equation 사이버스파이 캠페인을 분석하는 과정에서 다양한 하드드라이브 모델의 마이크로프로그램 코드에 주입된 스파이웨어 모듈을 조사한 바 있다. 이들 맬웨어는 감염대상 디스크를 완전히 장악하는 데 사용됐으며 포맷으로도 제거 불가능했다.


실제로 펌웨어는 일반적인 툴로는 변경이 어려우며 그 자체로 업데이트하는 속성을 가지고 있다. 펌웨어를 본래 위치에서 변경시키려면 상당한 노력이 필요하다. 물론 특수 장비가 구비된 상태라면 어떤 마이크로프로그램이든 변경할 수 있지만 실제로는 이 정도 수준으로 드라이브라면 비용 측면에서 그냥 폐기하는 게 합리적이다. 이를 과연 물리적 피해로 볼 수 있을지에 대해서는 논란이 있을 수 있지만 하드웨어기반 취약점에 대한 사례가 계속하여 발생하고 있음은 분명하다.


그리고 '컴퓨터'의 정의 자체도 이제는 애매해졌다. 예컨대 현대 자동차는 어떤 면에서는 컴퓨터에 해당하며 본질적으로 바퀴 달린 커넥티드 컴퓨터라고 할 수 있다. 따라서 원격 해킹이나 침투에 노출될 수 있으며 실제로 Cherokee Jeep 차량에 대한 원격 해킹과정을 공개 시연된 바 있다. 물론 이 해킹에 어떤 바이러스가 사용되지는 않았으나 이는 자동차가 도로를 벗어나도록 하는 해킹 공격도 가능함을 의미한다. 이 또한 어떻게 보면 물리적 타격이라고 할 수 있겠다.


결국 바이러스가 컴퓨터 하드웨어를 물리적으로 손상시킬 수 있는지에 대한 대답은 '그렇다'라고 할 수 있겠으나 이는 '손상', '바이러스', '컴퓨터' 등의 용어를 어떻게 정의하느냐에 따라 달라지는 문제라고 할 수 있겠다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Vladislav Biryukov, Fact or Fiction: can a virus actually damage PC hardware?, 9. 15. 2015.

https://usblog.kaspersky.com/fact-or-fiction-virus-damaging-hardware/5976/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.04 16:29



ATM 염탐(skimming)이란 ATM에 각종 장치를 설치하여 카드정보를 탈취하는 범죄수법을 의미한다. 이를 방지하기 위해서는 ATM에 어떤 수상한 물체가 부착되지 않았는지 확인해야 한다. 그런데 이제는 맨눈으로 전혀 알아볼 수 없는 수법을 통한 ATM 정보탈취가 가능해지고 있다.


카스퍼스키 글로벌 연구분석팀과 해킹테스트팀이 최근 ATM Infector라는 사이버범죄그룹의 사례를 통해 밝혀낸 내용에 따르면 ATM에 별도의 기기를 부착하지 않고 ATM 자체를 정보탈취수단으로 탈바꿈시킬 수 있다. Skimer라는 이름의 맬웨어를 ATM에 심으면 ATM 자체 카드판독기와 핀 패드를 통해 은행카드정보를 탈취할 수 있게 된다. 이 경우 카드판독기와 핀 패드를 제어하는 데서 나아가 현금지급장치까지 제어할 수 있으며 따라서 카드정보 탈취에 그치지 않고 실제로 현금을 인출하기까지 할 수 있다. 이는 일종의 이중수법으로 현금 인출의 경우 쉽게 의심을 사고 자칫 대규모 수사로 이어질 수 있기 때문에 평소에는 맬웨어만 조용히 작동시키면서 카드정보를 탈취하고 현금 인출은 향후 선택방안으로 남겨 두는 것이다.


ATM 보안은 물리적 측면에서는 상당히 강력하지만 사이버공간에서는 취약점이 적지 않다. 이번 사례의 경우 ATM 감염은 물리적 접속 또는 은행 내부네트워크를 통해 이루어졌다. Skimer 맬웨어가 ATM에 설치되고 컴퓨터 부분을 감염시키면 공격자가 ATM을 제어할 수 있게 되며 기기 자체를 정보탈취수단으로 사용할 수 있다. Skimer 맬웨어는 공격자가 기기를 제어하기 전까지 정숙 상태를 유지한다. 공격자가 맬웨어를 다시 작동시키려면 마그네틱 부위에 정해진 정보가 기록된 카드를 사용하고 Skmier는 이 정보를 읽어들여 하드코딩된 명령을 실행하거나 카드가 작동시킨 메뉴를 통해 명령에 응답하게 된다. 공격자가 카드를 꺼내고 나서 60초 내에 핀 패드를 통해 정해진 키를 입력하면 화면에 Skimer의 그래픽인터페이스를 표시할 수 있다. 이를 통해 공격자는 21종의 명령을 실행할 수 있으며 그 내용은 다음과 같다.

• 현금인출(카드별 금액 지정)

• 카드정보 수집

• 자체 삭제

• 삽입카드에 내장된 최신코드 통한 자체 업데이트

• 카드 및 핀 데이터를 삽입카드에 파일로 저장

• 수집된 카드정보를 ATM 영수증에 출력



방지요령


카스퍼스키 연구진은 위 맬웨어의 활동을 적발하기 위해 은행들이 내부 시스템에서 어떤 파일을 검색해야 되는지에 대한 정보를 제공했다. https://securelist.com/blog/research/74772/atm-infector/


한편 ATM Infector 활동경과에 대한 상세정보는 수사기관, CERT, 금융기관, 카스퍼스키 고객진에 대해 비공개로 제공됐다.


ATM Infector는 ATM의 컴퓨터를 직접 검사해 보기 전에는 감염 여부를 전혀 알 수 없다는 점에서 일반인이 보기에도 섬뜩한 면이 있다. 은행은 대체로 PUN 입력내역으로 정상적인 카드소유자의 거래실행이 입증된다고 보고 핀 입력이 잘못된 경우에도 이를 고객 잘못으로 판단하는 경향이 있으며 이 경우 은행의 판단결과를 뒤집기는 어려우며 돈을 돌려받을 가능성도 높지 않다. 결국 ATM Infector의 피해를 완전히 막기는 어렵지만 다음 요령을 통해 적어도 피애금액을 크게 줄일 수는 있다.


1. 감염된 ATM을 완벽히 식별해 낼 순 없지만 적어도 ATM 사용 위치를 고려할 수는 있다. 은행지점에 위치한 ATM의 경우 감염이 어렵고 은행 기술팀에 의한 조사빈도도 높기 때문에 상대적으로 안전하다고 할 수 있다.


2. 카드 입출금내역을 주기적으로 확인하는 게 좋으며 SMS 알림이 가장 좋은 방법이다.


3. 실행한 적 없는 거래내역이 확인된다면 이를 은행에 알리고 해당 카드를 즉시 정지시켜야 한다. 대응이 신속할수록 피해액을 최대한 줄일 수 있다.




Alex Drozhzhin, Invisible skimmers at the ATMs, 5. 17. 2016.

https://usblog.kaspersky.com/invisible-skimmer-at-atm/7151/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.03 14:21



현금자동지급기(automated teller machine, ATM)는 줄곧 범죄자들의 공격대상이었으며 이제는 옛날처럼 폭약이나 절삭기를 사용하는 방법이 아닌 해킹의 표적이 되고 있다. 카스퍼스키 해킹테스트 전문가 Olga Kochetova는 2016 SAS 컨퍼런스에서 'Malware and non-malware ways for ATM jackpotting'이라는 발표를 통해 ATM의 해킹 취약성을 설명했으며 그 내용은 다음과 같다.


1. ATM은 기본적으로 컴퓨터에 해당하며 산업용 컨트롤러 등 각종 하위시스템을 포함하기는 하지만 중앙시스템은 일반적으로 볼 수 있는 PC로 구성된다.


2. 이러한 중앙 PC는 윈도XP와 같은 구형 운영체제를 사용할 가능성이 대단히 높다. 윈도XP는 마이크로소프트 지원이 중단된 상태기 때문에 지원종료 이후 발견되는 취약점은 향후 영구히 보완될 수 없는 제로데이 취약점이 되며 이러한 취약점은 상당히 많을 수 있다.



3. ATM 시스템을 구동하는 소프트웨어에도 취약점이 다수 존재할 가능성이 높다. 이러한 취약 소프트웨어는 9000여 종의 버그가 있다고 알려진 구형 플래시 플레이어에소부터 원격지원 툴까지 아주 다양하다.




4. ATM 제조자 측에서는 ATM이 언제나 정상적인 여건에서 작동되며 달리 돌발상황은 없다고 가정하는 경향이 있다. 따라서 소프트웨어 무결성 제어, 안티바이러스 솔루션, 현금지급명령을 내리는 어플리케이션에 대한 인증 등 보안대책도 전무하다.



5. ATM의 현금보관 및 현금지급 부분에 대해서는 안전에 많은 주의가 기울여지는 반면 컴퓨터 부분은 어렵지 않게 접근 가능하다. 컴퓨터 부분 외벽 재질은 플라스틱이나 얇은 금속이 고작이며 잠금장치 또한 안전을 담보하기에는 너무 단순하다. ATM 제조자는 돈이 들어있지 않다면 크게 안전하지 않아도 된다는 식으로 생각하는 경향이 있다.


6. ATM의 각 모듈은 COM 및 USB 포트와 같은 표준 인터페이스로 연결돼 있다. 그런데 이들 인터페이스는 외부에서 접속 가능한 경우도 있으며 그렇지 않다 해도 위에서 언급한 물리적 보안의 허술함을 잊어서는 안 된다.


7, ATM은 작동원리상 반드시 네트워크에 연결돼 있어야 하며 인터넷이라는 가장 값싼 통신수단이 존재하기 때문에 ATM은 인터넷을 통해 프로세스 센터와 연결된다. 실제로 Shodan 검색엔진을 사용하면 인터넷을 통해 ATM에 접속할 수 있다.


이상의 문제를 고려한다면 ATM 범죄기회는 아주 다양하게 창출될 수 있다. 예를 들어 맬웨어를 ATM 시스템에 설치하여 돈을 빼돌릴 수 있으며 실제로 ATM에 특화된 트로이목마 사례가 종종 등장한다. 카스퍼스키는 2014년 Tyupkin이라는된이름의 ATM 악성코드를 포착한 바 있다.

ATM에서 카드 없이 현금을 인출하는 장면 https://www.youtube.com/watch?v=QZvdPM_h2o8


한편 ATM의 USB 포트에 연결 가능한 하드웨어를 사용하는 방법도 있다. 위 발표에서 Olga Kochetova와 Alexey Osipov는 와이파이 어댑터와 배터리가 부착된 싱글보드 컴퓨터 라즈베리파이(Raspberry Pi)를 통해 ATM 해킹과정을 시연했다. 인터넷을 통한 공격은 더욱 치명적일 수 있다. 해커가 가짜 프로세스센터를 구현하거나 원래 프로세스센터를 해킹한다면 물리적 접근 없이 수많은 ATM을 해킹할 수 있다. Carbanak 그룹의 10억 달러 해킹사례를 보면 은행 네트워크의 중요 PC를 장악하여 ATM으로 직접 명령을 전송할 수 있었다.

라즈베리파이 통한 ATM 해킹 https://www.youtube.com/watch?v=ksEmXuV324I


따라서 은행과 ATM 제조자는 금융 기기의 보안에 더욱 주의를 기울여야 한다. 소프트웨어와 하드웨어 양 측면에서 보안조치를 재검토하고 네트워크 인프라의 보안을 강화하는 등의 조치가 필요하다. 또한 위협에 대한 신속한 대응 그리고 수사기관 및 보안업체와 긴밀히 협조도 중요하다.




Alex Drozhzhin, 7 reasons why it’s oh so easy for bad guys to hack an ATM, 2. 17. 2016.

https://usblog.kaspersky.com/7-reasons-why-its-oh-so-easy-for-bad-guys-to-hack-an-atm/6711/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.03 14:16



질문


어떤 컴퓨터 전문가에 따르면 전문가 아닌 사람들도 인터넷에 올라온 가이드 그리고 특수 소프트웨어(Kali Linux 등)만 가지고 가정용 라우터의 보안을 뚫을 수 있다고 한다. 네트워크 및 라우터 비밀번호가 잘 갖춰지고 네트워크가 숨김상태로 돼 있으며 MAC 필터링이 적용된 경우 이러한 보안대책이 어떻게 뚫릴 수 있는지 궁금하다. 그리고 만약 이러한 가정이 사실이라면 가정용 네트워크의 보안을 개선할 수 있는 조치는 무엇인가.



답변 1


우선 와이파이 비밀번호와 관련하여 와이파이 암호화에는 WEP, WPA, WPA2라는 표준이 있다. WEP의 경우 이미 취약하다는 점이 밝혀졌기 때문에 해당 표준을 채택했다면 비밀번호 자체가 잘 짜여 있어도 어렵지 않게 뚫릴 수 있다. WPA, WPA2 표준은 해킹이 훨씬 어렵지만 WPS(wireless protected setup) 관련 보안문제가 있을 수 있으며 또한 이들 표준을 따르는 경우에도 브루트포스(brute force: 비밀번호를 일일이 찾아나가는 과정) 수법으로 비밀번호를 뚫는 게 가능하다. 예를 들어 Moxy Marlispike라는 유명 해커는 클라우드컴퓨팅을 이용한 브루트포스 해킹 서비스를 30달러 가격에 제공한다고 하며 다만 언제나 성공이 보장되지는 않는다고 한다.


한편 라우터 비밀번호의 경우 와이파이 측에서 라이터를 통해 데이터를 전송하는 것을 방지할 수는 없기 때문에 의미가 없다. 네트워크 숨김(hidden network)이란 허황된 발상에 불과하다. 어떤 네트워크가 웹사이트 목록에서 나타지지 않게 할 수는 있지만 클라이언트가 와이파이 라우터에 자신의 존재를알리기 때문에 네트워크가 숨김 상태로라 해도 결국은 발견될 수밖에 없다. MAC 필터링 또한 대부분의 화이파이 기기가 기존 MAC 주소를 복사하여 MAC 필터링을 통과하도록 프로그래밍될 수 있기 때문에 실질적인 대책이 되지 못한다.


만약 와이파이 네트워크의 보안을 제대로 강화하고자 한다면 네트워크 자체는 운반경로으로만 판단하고 해당 경로를 통과하는 모든 데이터를 암호화 및 필터링하는 방법이 있다. 구체적으로는 라우터가 지정된 VPN 서버로만 접속하도록 하고 각 클라이언트가 해당 VPN에 대해 인증을 거치도록 할 수 있다. 이 경우 와이파이 보안이 뚫려도 VPN 보안대책이 건재하므로 데이터침탈은 훨씬 어려워진다. 이는 일반인이 사용하기에는 약간 과도한 면이 있지만 기업환경에서는 흔하게 채택하는 방식이다.


와이파이 자체를 버리고 유선으로만 네트워크를 사용하면 가정용 네트워크 보안을 보다 간단하게 개선할 수 있지만 이 방법은 휴대폰이나 태블릿을 사용하는 경우에는 실용적이지 못하다. 라우터의 신호강도를 줄임으로써 위협을 제거하지는 못해도 감소시킬 수는 있다. 또한 방이나 가택에 알루미늄 막 등을 씌워서 주파수 유출을 줄이는 방법도 있지만 이 방법 또한 휴대폰 사용에 방해가 된다. 한편 일부 라우터의 경우 네트워크를 경유하는 모든 패킷을 기록하도록 할 수 있다. 다양한 인터페이스에서 바이트 용량 기준으로만 이상징후를 모니터링해도 상당히 좋은 보안대책이 된다.


네트워크 보안은 복잡한 분야지만 기본적으로는 보안대책이 다층적으로 마련되어 일부 대책이 무너져도 전체 보안을 유지할 수 있게 된다. 어떤 시스템이든 충분한 시간, 자원, 지식만 있으면 뚫릴 수 있으며 따라서 보안에서 '해킹이 가능한가'라는 질문은 의미가 없고 '해킹에 시간이 얼마나 소요되는가'가 중요한 문제가 된다. 그런 면에서 본다면 WPS 표준과 우수한 비밀번호는 일반인에 의한 해킹을 저지할 수 있는 정도의 수준이라고 하겠다. 결국 관심을 가져야 할 주안점은 '해킹의 가능성'이 아니라 '해킹에 시간을 소요할 만한 가치를 줄이는 방법' 혹은 '네트워크가 침탈된 경우의 실질적인 비용'이 돼야 한다.



답변 2


네트워크 숨김, 즉 SSID 숨김은 보안대책으로는 의미가 없다. SSID 중계가 없는 경우에도 사용자 네트워크 자신의 존재를 알리며 다만 여기에 SSID를 포함시키지 않을 뿐이기 때문에  기본적으로 윈도8 네트워크 목록에 잡히게 된다. MAC 필터링 또한 WEP 해킹 등을 늦출 수는 있지만 기본적으로 정상적인 MAC 주소를 복제할 수 있기 때문에 실질적인 대책이 될 수 있다.  


와이파이 암호화 측면에서 우선 WEP 표준은 비밀번호 수준에 관계없이 누구나 소프트웨어를 다운로드하여 해킹할 수 있을 정도로 취약하다. WPA의 경우 조금 낫긴 하지만 이 역시 툴을 제대로 사용한다면 해킹이 어렵지 않다. WPA2 표준에 AES 암호화가 조합된다면 상당히 안전한 편이며 우수한 비밀번호를 사용한다면 이를 단시간에 뚫기는 어렵다. 다만 이는 어디까지나 해킹의 비용이 높다는 의미일 뿐이며 충분한 시간과 자원이 주어진다면 WPA2라고 해서 영구적인 안전을 보장할 수는 없다. 한편 WPS는 불필요하며 해롭기만 하므로 어떤 암호화표준을 사용하든 해제해야 한다.


보안의 실질적인 쟁점은 '해킹가능성' 자체보다는 '일정한 역량을 가졌을 때 해킹에 얼마나 소요되는가'에 있다. 이와 관련하여 보안대책을 여러 겹으로 구비하는 다층보안은 상당히 중요한 대책이 된다. 보안이 요구되는 통신내용의 경우 AES와 같은 강력한 암호화 알고리즘을 따르며 TLS나 PKI와 같은 보안대책을 동반하게 된다. 이메일이라든지 기밀정보를 수반하는 웹트래픽이 암호화되도록 하고 파일 또는 프린터 공유를 할 경우에는 우선 적절한 인증체계를 마련해야 한다.




Akemi Iwaya, Is it Really Possible for Most Enthusiasts to Hack Wi-Fi Networks?, 3. 25. 2014.

http://www.howtogeek.com/185526/is-it-really-possible-for-most-enthusiasts-to-hack-wi-fi-networks/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.27 15:57



보안연구자들이 최근 숨은 음성명령을 통해 기기를 해킹할 수 있는 방법을 찾아냈다. 사용자가 노트북, 데스크탑, 스마트TV, 스마트폰, 태블릿으로 특수 조작된 유투브 영상을 청취할 경우 구글 나우(Google Now)나 애플 시리(Apple Siri)와 같은 음성인식 프로그램이 숨은 음성명령의 기만에 빠져 공격자의 의도대로 행동할 수 있다.


캘리포니아대학교, 버클리대학교, 조지타운대학교 소속 연구진은 프로젝트 페이지를 통해 숨겨진 음성명령을 두고 "사람은 청취할 수 없지만 기기는 이를 명령으로 인식한다"고 설명하고 있다.

[참고]프로젝트 페이지: http://www.hiddenvoicecommands.com/


연구진이 논문에서도 밝힌 내용에 따르면 대부분의 사용자들이 언제든 음성명령을 인식시킬 수 있도록 기기를 상시로 켜진 상태로 두며 이를 통해 휴대전화 해킹이 가능했다고 한다.

[참고]논문: https://security.cs.georgetown.edu/~tavish/hvc_usenix.pdf


아래 링크를 통해 연구진이 음성해킹을 시연하는 과정을 영상으로 볼 수 ㅇ있으며 여기에서 해당 음성명령도 들어볼 수 있다. 이 영상을 보면 먼저 음성인식 어플리케이션이 명령을 해독하여 그 내용대로 행동하는 장면을  볼 수 있다. 만약 기기 사용자 측에서 명령을 듣는다면 이를 취소해 버리면 그만이다. 연구진은 이에 착안하여 명령을 숨기고 기기만이 인식할 수 있도록 했으며 인간은 이 명령을 이해할 수 없고 심지어 알아채기도 어렵다.

[참고]시연영상 https://www.youtube.com/watch?v=HvZAZFztlO0


연구진은 시연을 통해 xhcd.com이라는 사이트를 열도록 하는 명령을 내렸다. 이는 휴대전화가 맬웨어 감염 사이트에 접속하도록 지시를 내릴 수 있음을 의미한다. 또한 숨은 명령이 행사장의 고음 스피커나 인기 유투브 영상에 삽입될 경우 이러한 공격의 효과가 훨씬 커질 수 있다고도 한다.


연구진은 이러한 공격가능성의 대비책으로 음성명령 인식사실에 대한 사용자 알림, 음성에 의한 challenge -response 프로토콜 적용, 기계학습 등을 제시하고 있으며 이들 방법은 100%에 가까운 정확도를 가진다고 한다.




VIPRE Security News, Smart Phones Hacked Through Hidden Voice Commands, 7. 21. 2016.

https://blog.vipreantivirus.com/important-news/smart-phones-hacked-hidden-voice-commands/


번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.22 15:35



게시일: 2016-06-20 l 작성자: Ryan Flores (Threat Research Manager)

범죄의 목적으로 기업 최고경영자(CEO) 또는 대표이사, 사장 등 고위 간부을 사칭한 이메일 범죄의 증가는 놀라운 일이 아닙니다. 고위 간부의 요청사항을 거절하기 쉽지 않기 때문입니다. 부자연스러운 문법 표현, 복권 당첨, 타국가 왕족의 편지와 같은 비현실적인 이메일을 범죄에 활용하는 시대는 지나갔습니다. 오늘날 범죄에 이용하는 이메일은 업무 이메일 해킹으로 이루어지는 ‘허위 송금 이메일(Business Email Compromise, BEC)’ 입니다. 기업의 간부로 교묘하게 위장하여 타겟 기업의 최고 재무책임자(CFO) 등 재무 관계 책임과 업무를 담당하는 직원을 대상으로 하고 있습니다.

BEC 공격 캠페인은 중소중견 및 대기업 등 기업의 규모와 무관하게 모든 기업이 피해를 입을 수 있는 위험한 사이버 범죄 중 하나로 손 꼽히고 있습니다. 우선, 보안 소프트웨어 등으로 감지되지 않는 사회공학적 수법을 구사하기 때문이며, 또한 재무 부문을 특정 타겟으로 하여 상급 직권에 따를 수 밖에 없는 상황을 악용하기 때문입니다. 이는 바로, 기업의 맹점을 찌르는 공격 수법이라고 할 수 있습니다.

트렌드마이크로는 지난 2년 동안 발생한 BEC 공격 및 피해 사례에 대한 조사를 실시했습니다. 당사의 조사 결과, BEC 공격에는 일정한 패턴을 확인했으며, 추후 기업에서 실시해야 할 보안 대책을 파악할 수 있습니다.

  • BEC 공격의 40%는 CFO를 타겟으로 한다.
  • BEC 공격의 31%가 CEO를 사칭한다.
  • BEC 공격에서 가장 많이 사용되는 이메일 제목은 “Transfer(송금)”, “Request(요청)”, “Urgent(긴급)” 등의 간단하고 직접적인 표현이다.

다양한 수법

기업 간부로 위장하여 송금을 지시하는 “CEO 사기” 수법 이외에도, 다양한 송금 사기 수법이 활용되고 있습니다. 게다가, 저렴한 비용으로 가능합니다. BEC 공격 캔페인에 사용되는 멀웨어는 온라인에서 50 달러에 구매 가능하며, 무료로 사용할 수 있는 멀웨어도 존재합니다. 또 다른 경우, 단순한 이메일 스푸핑을 넘어서는 수법도 있습니다. 사이버 범죄자는 정상적인 이메일 계정을 해킹하여 계정 소유자를 사칭하여 허위 계좌로 송금을 요청합니다. 피싱 또는 키로거(keylogger)를 사용하여 직원 계정 정보를 탈취한 후 이를 이용하여 송금을 요청합니다. 경우에 따라, 계약 성립 전화 등을 꾸며내기도 합니다. 특히, 해외와 거래하는 업체들은 송금내역 수정 등의 수법을 활용한 BEC의 주요 타겟이 되고 있습니다.


직원 대처의 중요성

BEC의 수법은 여러 조사에 의해 대부분 알려져 있습니다. 하지만 미연방수사국(FBI)에 다르면 최근 조사 결과, 2013년 10월부터 2016년 5월까지 피해액이 약 31억 달러에 이릅니다. 이러한 피해 규모를 고려해 보았을 때, BEC 공격 캠페인의 수법을 정확히 파악하여 이에 대처할 수 있도록 직원을 교육하는 것이 중요합니다.

BEC 공격은 교묘하고 은밀하게 이루어지기 때문에 기본적인 주의사항 또는 보안 대책만으로 충분하지 않습니다. BEC 공격 캠페인은, 기업과 조직의 자산을 보호하기 위해 직원의 역할이 얼마나 중요한지 보여줍니다. 직원 개인의 보안 의식 증진은 거액의 송금을 요구하는 BEC 공격 수법에 대응할 수 있는 중요한 방어 요소라고 할 수 있습니다.


트렌드마이크로의 대책

트렌드마이크로는 중소중견 및 대기업이 사회공학적 기법을 이용한 공격인 BEC의 수법에 대응하기 위한 방어책을 보유하고 있습니다. 엔드포인트 보안인 Worry-Free 비즈니스 시큐리티와 오피스스캔은 이상 파일 또는 스팸메일을 감지하고 악성 URL 차단을 통해 위협으로부터 보호합니다. Deep Discovery는 관련 악성 프로그램을 감지하고 시스템의 감염 및 정보 탈취를 방지합니다. 또한, Deep Discovery Email Inspector는 악성 첨부파일과 악성 URL을 차단하여 기업을 보호합니다.

관련 링크


원문: Company CFOs Targeted The Most By BEC Schemes




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


기업 CFO를 노리는 허위 송금 이메일, BEC

https://www.trendmicro.co.kr/kr/blog/company-cfos-targeted-bec-schemes/index.html



참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.21 13:50

위로가기