security에 해당하는글 16



게시일: 2016-06-22 l 작성자: Trend Micro

“IoT”라는 단어를 신문 또는 방송에서 접할 기회가 많아지고 있습니다. “IoT”는 Internet of Things(사물인터넷)의 약자로, 우리를 둘러싸고 있는 모든 사물이 인터넷에 연결되어 있는 상태를 말합니다. 편리함이라는 큰 장점을 바탕으로, IoT의 증가가 가속화 되고 있는 가운데, 꼭 고려되어야 할 중요한 것이 바로 무단 액세스 또는 정보 유출 등의 보안 문제입니다.

IoT 시대에 필요한 3가지 보안 대책

Wi-Fi 라우터 보안 설정

스마트 가전을 포함한 IoT 기기가 인터넷과 통신하는 것은 바로 Wi-Fi 라우터 입니다. Wi-Fi 라우터의 보안이 적절히 이루어지지 않을 경우, IoT 기기의 부정 조작 또는 통신 내용 해킹이 이루어질 수 있습니다. 라우터 침입의 위험성을 줄이기 위해, 관리자 계정의 초기 설정 값을 사용자화 하고, 펌웨어 자동 업데이트를 설정합니다.

IoT 기기에 적절한 보안 설정

자체적 보안 설계가 되어 있는 IoT 기기를 사용합니다. 또한 취급 설명서를 확인하고 ‘인증 ID/비밀번호 초기값 변경’, ‘펌웨어 자동 업데이트’ 등의 보안 설정이 필요합니다.

IoT 기기에서 수집하는 정보 파악

IoT 기기를 네트워크에 연결하여 사용할 경우, 생활 패턴, 행동 반경, 건강 상태 등 다양한 개인 정보가 인터넷 상으로 전달됩니다. 사용 중인 IoT 기기에서 수집하는 정보의 종류와 목적을 알아두어야 하며, 각 IoT 기기의 인터넷 연결 여부 등을 확인하여 정보 유출의 위험을 최소화하여야 합니다.

인터넷으로 연결되는 IoT 기기가 증가하면서, 앞으로 더 많은 영역의 보안에 주의를 기울여야 합니다. 보안을 항상 중요하게 여기는 가운데 안전한 가정 IT화를 진행시켜야 합니다.


원문: 進む家庭のIT化で気をつけたいセキュリティ




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


IoT 가속화 시대, 보안은 어떻게 구성하고 계신가요?

https://www.trendmicro.co.kr/kr/blog/three-security-policy-for-iot/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.18 13:56



게시일: 2016-06-23 l 작성자: Trend Micro


보안 소프트웨어 및 솔루션의 글로벌 리더 트렌드마이크로는 급증하는 랜섬웨어에 대비하여 기업 고객과 개인 사용자를 보호하기 위한 랜섬웨어 캠페인을 시작하였습니다.

트렌드마이크로는 지난 6개월 간 약 1억 건 이상의 랜섬웨어 공격을 방지했으며, 그 중 99%는 웹과 이메일을 통한 공격으로 분석하였습니다. 당사는 랜섬웨어 공격의 증가와 그 영향력을 인지하며, 고객들이 이에 적극적인 보안 조치를 취할 수 있도록 다음과 같은 포괄적인 랜섬웨어 방어 대책을 구성하였습니다.

  • 랜섬웨어 방어 대책: 기업 규모와 무관하게 기업의 보안 취약점을 조사하여 알맞은 보안 대처를 제안
  • 랜섬웨어 복구 툴: 랜섬웨어에 감염된 개인 및 고객이 데이터를 복구할 수 있도록 복구 툴 제공
  • 제품 기능 향상: 4단계의 다층 보안을 적용하여 랜섬웨어를 방어하고, 전사적인 랜섬웨어 가시성 제공

에바 첸(Eva Chen) 트렌드마이크로 CEO는 “트렌드마이크로는 랜섬웨어 위협을 분석하고 이에 맞서 싸우기 위한 노력을 지속하고 있습니다” 라고 전했습니다. “이러한 사이버 공격이 사회에 만연할 경우, 기업 생산성이 저하되며, 기업 가치 하락과 비용 부담을 초래한다는 것을 알고 있습니다. 트렌드마이크로의 기업 및 개인 보안 제품은 랜섬웨어에 최적화된 방어를 구성합니다. 당사 랜섬웨어 복구 툴과 핫라인은 트렌드마이크로 위협 전문가들의 상시 지원을 통해 고객이 랜섬웨어 공격에 대응하고, 감염 시 빠르게 대처할 수 있습니다.”


대기업을 위한 랜섬웨어 보안

랜섬웨어에 대한 100% 방어는 보장할 수 없습니다. 하지만 최대의 방어를 구사하기 위해 트렌드마이크로는 4단계의 다층 보안을 제안합니다.

  • 이메일: 트렌드마이크로는 랜섬웨어를 운반하는 가장 대중적인 방법인 스피어피싱 이메일과 메일에 포함된 첨부파일, URL을 검사하여 기존 이메일 게이트웨이보다 심화된 이메일 보안을 제공합니다.
  • 엔드포인트: 트렌드마이크로는 랜섬웨어 감지와 차단을 위한 차세대 엔드포인트 보안을 제공합니다. 패치 되지 않은 취약점 보호, 애플리케이션 관리, 동작 모니터링 등의 기능을 통해 다량 파일의 빠른 암호화와 같은 랜섬웨어 특유의 행동을 파악하고 감지 및 차단합니다.
  • 네트워크: 트렌드마이크로는 네트워크 전방위적 모니터링, 모든 트래픽, 포트, 프로토콜에 대한 커스텀 샌드박스를 통해 랜섬웨어의 침투와 확산을 방지합니다.
  • 서버: 트렌드마이크로는 의심스러운 행위 탐지 및 방지, 알려진 서버 소프트웨어의 취약점 공격 방지를 위한 가상 패치 기능, 그리고 랜섬웨어가 다른 서버에 확산하지 못하도록 측면이동 탐지를 통해 물리〮가상〮클라우드 서버를 랜섬웨어로부터 보호합니다.

“트렌드마이크로는 업계 리더십을 발휘하여 더 강력한 솔루션으로 랜섬웨어에 대응하기 위한 새로운 도약을 하고 있다. 랜섬웨어와 싸우고 있는 기업과 개인 고객을 위한 통합적인 솔루션, 고객 핫라인, 그리고 제품 기능 향상을 통해 전세계 고객들에게 심화된 보안을 제공하고 있다.”라고 RNDC IT 인프라 국장 존 딕슨 (John Dickson)은 전했습니다.

트렌드마이크로는 기업의 이메일, 악성 URL, 네트워크 또는 서버 침투를 통해 공격하는 랜섬웨어에 대한 중앙집중적 가시성을 제공합니다. 따라서, 보안 취약점을 빠르게 찾아내서 해결할 수 있으며 기업의 전반적인 보안을 향상시킬 수 있습니다.

“가장 중요한 것은, 다층 보안을 설계하는 것입니다.” 라고 ESG 사이버보안 전문 분석연구가 더그 카힐 (Doug Cahill)은 전했습니다.” 트렌드마이크로는 확장된 보안 관리를 통해 기업이 랜섬웨어에 가시성을 확보하고 어떤 영향을 주고 있는지 확인할 수 있습니다. 이를 통해 기업은 보안이 취약한 부분을 파악하여 보완할 수 있습니다. 랜섬웨어 공격의 복합성과 교묘함에 대한 심도 깊은 이해를 통해 지속적인 위협에 대처할 수 있는 전문성을 갖추었습니다.”


중소기업을 위한 랜섬웨어 보안

기업의 규모가 작더라도 랜섬웨어의 위협에서 안전하지 않습니다. 트렌드마이크로의 Worry-Free 비즈니스 시큐리티 서비스는 다음과 같은 기능으로 랜섬웨어를 방어합니다.

  • 이메일: 멀웨어 스캐닝(Malware Scanning), 웹 검증, 샌드박스 분석을 통해 악성 이메일, 첨부파일, URL을 감지하여 차단합니다.
  • 엔드포인트: 대량 파일의 빠른 암호화와 같은 랜섬웨어 특유의 행동을 파악하는 동작 모니터링 등의 랜섬웨어에 최적화된 엔드포인트 보안을 제공합니다.

Worry-Free 비즈니스 시큐리티 서비스는 중소기업을 위한 클라우드 기반 솔루션으로서, 간편하지만 운용이 편리합니다.


개인 사용자를 위한 랜섬웨어 보안

악성 웹사이트, 스팸 메일, 기타 멀웨어를 통해 소중한 파일과 사진이 랜섬웨어에 감염될 수 있습니다. 트렌드마이크로 맥시멈 시큐리티 10 또는 인터넷 시큐리티 10은 개인 또는 가정 사용자를 위한 최적의 랜섬웨어 방어를 구현합니다.


트렌드마이크로 회사 소개

트렌드마이크로는 글로벌 보안 소프트웨어 리더로써, 디지털 정보 교환이 안전하게 이루어지는 세상을 지향합니다. 27년의 역사를 지닌 트렌드마이크로는, 개인고객과 기업 및 정부 기관의 모바일 기기, 엔드포인트, 게이트웨이, 서버, 그리고 클라우드의 정보를 보호하기 위한 다층 데이터 보안을 제공하고 있습니다. 정보 보호를 위한 스마트 보호(Smart Protection)과 혁신적인 보안 기술을 끊임없이 발전시키고 있는 트렌드마이크로의 제품은 간편하고 편리한 운용을 자랑합니다. 당사의 모든 솔루션은 클라우드 기반 글로벌 위협 인텔리전스인 ‘트렌드마이크로 클라우드 보안센터(Trend Micro Smart Protection Network)’ 인프라를 구축하였으며, 전 세계 1,200명 이상의 전문가가 지원하고 있습니다. 더 많은 정보는 trendmicro.co.kr 홈페이지를 방문해보세요.


참고 사이트
트렌드마이크로 랜섬웨어 대응센터




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


트렌드마이크로 랜섬웨어 대응 캠페인

https://www.trendmicro.co.kr/kr/blog/ransomware_campaign/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.15 14:45


방화벽은 외부에서 유입되는 네트워크 트래픽이 컴퓨터에 들어오지 못하도록 차단한다. 방화벽의 중요성을 알려주는 단적인 사례로 20038월 패치하지 않은 윈도 XP 운영체제에서 방화벽 없이 인터넷에 연결하면 윈도 XP 네트워크 서비스 취약점을 악용하는 Blaster 웜이 몇 분 안에 시스템을 감염시킬 수 있었던 경우를 들 수 있다.

 

이러한 방화벽에는 하드웨어 방화벽과 소프트웨어 방화벽이 있으며 라우터는 하드웨어 방화벽의 역할을 하는 반면 소프트웨어 방화벽의 경우 윈도 운영체제에 기본으로 내장돼 있으며 제3자 솔루션을 사용할 수도 있다. 그런데 라우터를 통해 하드웨어 방화벽이 이미 구비돼 있다면 별도의 소프트웨어 방화벽이 필요한지가 문제된다.

 

 

라우터의 하드웨어 방화벽 기능

 

가정용 라우터는 네트워크주소변환(network address translation, NAT)을 통해 인터넷서비스제공자(internet service provider, ISP)가 부여한 단일 IP주소를 가정 내 여러 컴퓨터에서 공유 사용할 수 있도록 한다. 이 때 인터넷에서 유입되는 외부 트래픽이 라우터에 도달하면 라우터는 해당 트래픽을 어떤 컴퓨터로 보내야 하는지 모르기 때문에 그 트래픽을 폐기한다. 결과적으로 NAT는 외부 요청이 컴퓨터에 도달하지 못하도록 차단하는 역할을 하는 셈이다.

 

라우터에 따라서는 설정변경을 통해 특정한 유형의 트래픽이 나가지 못하도록 할 수 있다. 또한 포트포워딩(port-forwarding)을 통해 라우터가 일부 트래픽의 유입을 허용하도록 하거나 외부트래픽 전체를 DMZ(안전지대, demilitarized zone)에 유입되도록 설정하여 그 DMZ가 모든 트래픽을 특정 컴퓨터로 전달하도록 할 수도 있다.


 

 

소프트웨어 방화벽

 

소프트웨어 방화벽은 컴퓨터 내에서 작동하면서 외부 트래픽을 차단하고 일부 트래픽은 통과시키는 문지기 역할을 한다. 윈도 운영체제는 윈도 XP 서비스팩2(SP2)부터 소프트웨어 방화벽을 기본 내장하게 됐다. 소프트웨어 방화벽은 컴퓨터 내부에서 구동되므로 어플리케이션의 인터넷 접근을 모니터링할 수 있으며 어플리케이션별로 트래픽 통과 허용여부를 결정할 수 있다. 라우터 없이 컴퓨터를 인터넷에 직접 연결시킬 경우 소프트웨어 방화벽이 있어야 하는데 윈도 운영체제의 경우 방화벽이 기본적으로 내장돼 있으므로 따로 염려할 필요는 없다.


 

 

하드웨어 방화벽과 소프트웨어 방화벽의 장단점

 

하드웨어 방화벽과 소프트웨어 방화벽의 중요 공통점은 다음과 같다.

요청하지 않은 외부 트래픽을 기본적으로 차단하여 네트워크 서비스를 보호

특정 유형의 내부 트래픽을 차단(일부 라우터 제외)

 

소프트웨어 방화벽의 장점은 다음과 같다.

하드웨어 방화벽은 컴퓨터와 인터넷 사이에 위치하는 반면 소프트웨어 방화벽은 컴퓨터와 네트워크 사이에 위치한다. 이 경우 네트워크 내부의 다른 컴퓨터가 감염된다 해도 소프트웨어 방화벽은 그 위협을 차단할 수 있다.

소프트웨어 방화벽은 어플리케이션 단위로 네트워크접근을 손쉽게 제어할 수 있다. 어떤 어플리케이션이 인터넷에 접근하려 할 경우 이를 사용자에게 알려 그 어플리케이션의 네트워크 접속을 막도록 할 수 있다. 3자 방화벽은 이 기능을 간편하게 사용할 수 있도록 구비하고 있으며 물론 윈도 방화벽을 통해서도 어플리케이션의 인터넷 연결을 차단할 수 있다.

 

하드웨어 방화벽의 장점은 다음과 같다.

하드웨어 방화벽은 컴퓨터와 분리되기 때문에 예컨대 웜이 컴퓨터를 감염시켜 소프트웨어 방화벽을 작동 중지시킨다 해도 하드웨어 방화벽에는 관여할 수 없다.

하드웨어 방화벽을 통해 네트워크를 중앙 제어할 수 있으며 특히 대규모 네트워크의 경우 하나의 기기를 통해 방화벽 설정을 전체 적용할 수 있다는 점이 편리하다. 이는 개별 사용자들이 컴퓨터에서 방화벽 설정을 변경할 수 없도록 방지하는 역할도 한다.

 

 

이와 같은 하드웨어 방화벽과 소프트웨어 방화벽은 각자 나름의 장단점이 있으며 둘 다 사용한다면 더욱 좋다. 라우터를 이미 사용하고 있는 경우 윈도 방화벽을 기본 설정대로 작동시킨다면 별도의 비용 없이 이중으로 방화벽을 사용하는 효과를 누릴 수 있으며 다만 방화벽에 관련된 다양한 기능을 사용하고 싶다면 윈도 방화벽이 아닌 제3자 방화벽을 사용하는 것도 하나의 방법이다.

 

 

 

Chris Hoffman, HTG Explains: I Have a Router, Do I Need a Firewall?, 8. 19. 2012.

http://www.howtogeek.com/122065/htg-explains-i-have-a-router-do-i-need-a-firewall/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.14 14:15


AVG 기업용 제품군이 2016ChannelPro 리더스초이스 선정 결과 안티바이러스,

보안소프트웨어, 원격 모니터링&관리 솔루션 부문에서 금상과 은상을 수상했다.

 

AVG는 이번 수상을 통해 ChannelPro 수상의 보안소프트웨어 부문에서 3년 연속 수상실적을 올리게 됐다.

 

ChannelPro 리더스초이스는 ChannelPro 매거진 중소기업 채널 구독자들의 투표와 피드백을 통해 선정된다. 재판매업체(VAR), 관리서비스업체(MSP), 통합서비스업체(integrator), 시스템구축업체, IT컨설턴트 등 500여 업체가 다양한 수상항목에 대한 금상, 은상, 동상에 투표한다. 구독자들은 중소기업 및 파트너에 가장 유익한 제품, 기술, 서비스, 프로그램을 제공하는 업체에 투표하고 또한 현재 채널 최고의 전문기관에도 투표했다. IT 전문가들 역시 중소규모 기업 고객의 독특한 업무소요, 업무스타일, 예산에 가장 부합하며 제휴기관의 소요에 가장 잘 맞는 항목을 선정했다.

 

이번 수상실적은 AVG 기업제품 포트폴리오의 품질, 성능, 간결함과 더불어 AVG의 우수한 제휴프로그램을 잘 알려주는 소식으로 AVG 파트너들이 클라이언트에게 전달할 수 있는 좋은 홍보자료가 된다고 하겠다.

 

ChannelPro-SMB 수석에디터 Cecilia Galvin은 이번 수상을 두고 다음과 같이 설명한다. "우리는 이토록 많은 구독자들이 조사에 응해 중소기업 보안시장 그리고 그들과 제휴관계에 있는 업체와 전문기관에 대한 관심과 이해를 적극 개진한 데 감사를 표한다. 이번 수상결과는 오늘날 중소기업 채널 최고의 IT 제품서비스 업체들이 인정을 받은 결과라고 하겠다."

 

AVG 솔루션 수상항목은 다음과 같다.


안티바이러스 부문 최우수 (Gold)

http://www.channelpronetwork.com/best-anti-virus-vendor/2016-readers-choice-awards

<참고: 랜섬웨어 차단 AVG 안티바이러스>


보안소프트웨어 부문 우수 (Silver)

http://www.channelpronetwork.com/best-security-software-suite-vendor/2016-readers-choice-awards


원격 모니터링&관리 솔루션 부문 우수 (Silver)

http://www.channelpronetwork.com/best-remote-monitoring-and-management-vendor/2016-readers-choice-awards

 

 


Fred Gerritse, AVG Wins Three 2016 ChannelPro Readers’ Choice Awards, 7. 6. 2016.

http://now.avg.com/avg-wins-three-2016-channelpro-readers-choice-awards/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.08 13:28



게시일: 2016-03-25 l 작성자: Rhena Inocencio (Threat Response Engineert)


Attention! Attention! Attention!" (주의!주의!주의!)

"Your documents, photos, databases and other important files have been encrypted!"(당신의 문서, 사진, 데이터베이스와 기타 중요한 파일이 암호화 되었습니다!)

랜섬웨어에 의해 PC에서 중요한 파일 모두가 암호화 된 경우를 상상해보십시오. 잠시 후 '몸값'을 요구하는 메시지를 수신하고 거기에 몸값을 지불하기 전까지 암호화 된 파일은 해독되지 않는다고 써 있습니다.

"RANSOM_CERBER.A"가 나타나기 전에는 소리로 피해자에게 몸값지불을 재촉하는 랜섬웨어는 존재하지 않았습니다. 이 "RANSOM_CERBER.A"는 컴퓨터 합성 음성으로 메시지를 재생합니다.

암호화된 랜섬웨어는 일반적으로 몸값 지불 방법과 파일의 복구 방법에 대한 지침을 이미지로 표시합니다. 이 방법은 REVETON 변종이 떠오르게 합니다. 경찰을 가장한 랜섬웨어 REVETON도 사용자의 위치에 따른 언어로 "이야기"할 수 있는 악성 프로그램으로 알려져 있습니다.

트렌드마이크로의 조사에서는 CERBER는 영어만 사용합니다. 그러나 사용자가 익명 통신 시스템 "Tor"의 브라우저를 통해 링크를 클릭하면 언어 선택 페이지로 유도됩니다. 그 페이지에는 다양한 언어를 선택할 수 있도록 되어 있지만, 2016 년 3월 6일 시점에서는 영어만 볼 수 있습니다. CERBER를 조종하는 사이버 범죄자는 사용자에게 우선 1.24 비트 코인의 지불을 요구한 후 7 일 후에는 2.48 비트 코인까지 요구액을 인상합니다.

지불 요청 메시지의 샘플

그림 1 : 지불 요청 메시지의 샘플

언어 선택을 요청하는 페이지

그림 2 : 언어 선택을 요청하는 페이지

트렌드마이크로는 또한 CERBER의 구성 파일이 확장자 .json을 이용하고 있는 것을 확인했습니다. (이 파일 형식은 일반적으로 속성 값에 정의 된 데이터의 전송 및 저장시 사용되는 형식입니다. ) 구성 파일의 내용을 분석한 결과, 이 랜섬웨어는 매우 쉽게 사용자 정의가 가능하다는 것을 발견하였고 공격자가 블랙리스트 국가는 물론 협박문 등을 쉽게 변경할 수 있음을 확인하였습니다. 이는 CERBER가 금전 목적의 사이버 범죄자의 목적에 따라 설계된 것임을 나타냅니다.

CERBER의 Config 파일 코드

그림 3 : CERBER의 Config 파일 코드

CERBER의 Config 파일 코드

그림 4 : CERBER의 Config 파일 코드

트렌드마이크로의 클라우드형 보안 기반 "Trend Micro Smart Protection Network"에 따르면, Nuclear Exploit Kit 가 "Malvertisement (부정 광고)"을 이용하여 이 악성 프로그램을 유포하고 있는 것으로 확인됩니다. "Nuclear Exploit Kit"는 악명 높은 Angler Exploit Kit에 이어 오늘 가장 널리 이용되는 것 중 하나입니다.

현재 이러한 불법 광고를 호스팅하는 서버는 모든 액세스 할 수 없습니다. 보도에 따르면, CERBER는 러시아 지하시장에서 "Ransomware as a service (RaaS)", 즉 서비스로서의 랜섬웨어로 판매되고 있는 것 같습니다. 이는 위에서 기술한 Config 파일 코드에 대한 추측을 뒷받침뿐만 아니라 가까운 미래에 더 많은 CERBER의 출현을 예상할 수 있습니다.


■ 백업의 습관화

랜섬웨어 위협이 어떤 구조로 움직이는가를 아는 것은 사용자의 개인 정보나 기업의 기밀 정보를 보호하는 데 도움이 됩니다. 적어도 평소 정기적으로 중요한 파일을 백업해 두는 것이 좋습니다. 또한 중요한 점은 사이버 범죄자에 굴복하여 몸값을 지불해 버리면, 당신을 지불 능력이 있는 것으로 간주하여 다시 표적이 될 수도 있음을 명심해야 합니다. 그리고 랜섬웨어로부터 자신을 보호하기 위해 사용하는 PC를 항상 최신 상태로 유지하는 것도 중요합니다.


■ 트렌드마이크로의 대책

트렌드마이크로의 엔드 포인트 보안 제품 'Trend Micro Maximum Security' 는 이번 사례와 관련된 랜섬웨어의 변종을 탐지 및 삭제하며 악성 Web 사이트에 대한 액세스를 차단합니다.






본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


러시아의 지하시장에서 거래되는 말하는 랜섬웨어 'CERBER'

http://www.trendmicro.co.kr/kr/support/blog/four-steps-to-an-effective-targeted-attack-response/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.07 15:00



최근 미 연방거래위원회(Federal Trade Commission, FTC)가 사물인터넷 실태를 분석하여 6월 초 상무부에 관련 보고서를 제출했다. (연방거래위 사물인터넷 보고서 원문) 사물인터넷이란 일상 사물을 인터넷에 연결시켜 데이터를 주고받을 수 있도록 하는 체계를 의미하며 기기의 효율성과 기능성을 향상하고 사용자 편의를 개선하는 데 그 목적이 있다. 일반적인 소비자를 대상으로 하는 사물인터넷 기기에는 스마트폰, 태블릿, 카메라, 가전기기, 웨어러블 보건기기 등이 있으며 애플의 스마트워치와 TV, 구글 크롬캐스트(Chromecast) 아마존 에코(Echo) 등을 예로 들 수 있다.

 

연방거래위는 사물인터넷의 장점과 문제점을 분석하면서 수많은 사물인터넷 기기들이 사용자에게 여러 이점을 제공하지만 개인정보 탈취 및 사기행각의 새로운 기회를 유발한다고도 지적한다. 구체적으로는 스마트 미터기, 커넥티드차량, 커넥티드 보건기기 등이 편의성을 비롯한 장점을 제공하는 기기로 언급된 한편 모든 사물인터넷 기기는 프라이버시 및 보안 측면에서 위험을 안고 있다고도 한다.

 

연방거래위 보고서는 다음과 같이 설명한다. "비록 전통적인 컴퓨터 및 네트워크에도 이와 유사한 문제가 존재하기는 하지만 사물인터넷에서는 그 문제가 더욱 부각될 수 있는데 이에 대해서는 회로부품이 상대적으로 저렴하고 소모적이며 기기를 신제품으로 교체할 수 있는 주기가 짧다는 사물인터넷의 특성이 부분적인 원인이 될 수 있다. 제품교체주기가 짧기 때문에 사물인터넷기기 제조업체 측에서는 기기의 최대수명 기간 동안 소프트웨어 업데이트를 제공할 이점이 사라지게 되며 이로 인해 사용자의 기기는 위험에 노출된 상태로 방치될 수 있다. 또한 몇몇 기기의 경우 업데이트 적용이 어렵거나 불가능하기도 하다."

 

사물인터넷기기의 보안상 허점은 데스크탑 또는 노트북과 마찬가지로 해커가 기기에서 수집하거나 보관 중인 개인정보에 접근하고 이를 악용할 수 있는 기회를 유발한다. "사물인터넷기기는 사용자가 자신의 일상적인 활동을 모니터링하고 컨텐츠에 접근하는 한편 네트워크를 통해 세상과 상호작용할 수 있는 기회를 제공하지만 한편으로는 권한 없는 사람이 취약점을 악용하여 개인정보를 탈취하고 사기행각을 저지를 수 있는 기회를 만들기도 한다."

 

연방거래위는 또한 사물인터넷이 야기하는 프라이버시 문제도 언급했다. 수많은 사물인터넷기기는 기기사용, 환경, 사용자에 대한 데이터를 수집하는데 기기 제조업체들이 이 데이터를 다양한 목적으로 활용할 수 있다. "연방거래위 분석에 따르면 사물인터넷 보건 및 피트니스 웨어러블기기에 연동된 외부 앱이 아주 많다는 사실이 밝혀지기도 했다. 이들 외부앱은 사용자 개인식별정보와 더불어 사용자의 운동패턴, 식습관, 보행시간, 의료검색기록, 우편번호, 성별, 위치정보 등의 데이터를 수집한다."

 

"이 분석에서 알 수 있듯 사물인터넷기기는 사용자의 신체나 습관에 관련된 고도의 기밀정보를 수집, 전달, 공유할 수 있다. 사용자 보건패턴, 식습관, 의료검색 정보가 오프라인 출처와 그리고 기기 간에 조합된다면 이러한 프라이버시 문제가 더욱 커질 수 있다." 이러한 방대한 데이터수집은 대부분 사용자 동의 없이 이루어지며 프라이버시와 보안 측면에서 우려를 발생시키고 있는 가장 큰 문제다. 보고서는 아울러 "사물인터넷기기가 수집한 대량의 상세정보에 접근할 수 있는 사람들은 이보다 적은 데이터로는 수행하기 어려운 분석을 행할 수 있다."라고도 언급했다.

 

이는 곧 스마트기기의 편리함을 누림에 주의가 필요하며 데이터를 보호할 보안 및 프라이버시 툴이 갖춰져야 함을 의미한다. 이를 위해 안티바이러스와 안티맬웨어 솔루션을 사용하고 온라인보안을 점검해야 하겠다.

 

 


VIPRE Security News, FTC Exposes Security and Privacy Flaws of Internet of Things, 6. 24. 2016.

https://blog.vipreantivirus.com/security-news-room/ftc-exposes-security-privacy-flaws-internet-things/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.27 15:22



윈도 플랫폼이 맬웨어에 가장 많이 시달리는 플랫폼이라는 사실은 잘 알려져 있다. 여기에는 물론 윈도가 가장 널리 쓰이는 데스크톱 운영체제라는 점도 작용하지만 이것이 유일한 이유는 아니다. 윈도는 처음 개발될 당시 구조적으로 바이러스 등 맬웨어에 취약한 특성을 가지고 있었으며 이는 리눅스에 안티바이러스가 크게 필요하지 않다는 점과 상통하기도 한다. 여기에서는 윈도가 어째서 맬웨어에 많이 노출되는지의 이유를 짐작할 수 있는 윈도 운영체제의 특성을 소개한다.

 

 

광범위한 사용자층

 

윈도는 세계적으로 대부분의 데스크톱 컴퓨터와 노트북에 깔려 있기 때문에 사이버공격의 1순위 표적이 된다. 만약 사이버공격자가 사용자의 키보드 입력을 수집하여 카드번호 등 개인정보를 탈취할 목표를 세우고 있다면 사용자가 가장 많은 윈도를 우선 노리게 된다고 할 수 있다. 이는 윈도가 맬웨어 공격에 많이 노출되는 이유로 가장 많이 제시되는 논거기도 하며 이 주장은 실제로도 타당하다.

 

 

초창기 윈도플랫폼의 보안취약성

 

연혁적으로 보면 윈도는 애초에 보안을 염두에 두고 개발되지 않았다. 리눅스 그리고 애플이 유닉스를 토대로 개발한 맥OS는 당초부터 다수 사용자를 상정하여 사용자들이 제한된 권한을 가진 계정으로 로그인하도록 제작됐다. 반면 윈도의 경우 초기 버전은 이렇게 사용자가 복수인 경우를 고려하지 않았으며 단일사용자 운영체제인 도스(DOS)를 토대로 제작됐다. 윈도 3.1, 95, 98은 당시 최첨단의 운영체제로 보였음에도 실상은 도스를 토대로 구동되는 운영체제였다. 도스는 사용자 계정과 파일에 대한 권한승인 등 사용자 활동을 보안상 제한하는 기능을 보유하지 않았다.

 

윈도 NT 그리고 이를 토대로 개발된 윈도 2000, XP, 비스타(Vista), 7, 8은 이를 개선한 현대적인 운영체제로 다수 사용자를 고려한 구조를 가지게 됐으며 사용자권한 승인 및 제한 등 핵심적인 보안설정을 지원한다. 하지만 윈도 운영체제에서 개인용 버전에서 본격적으로 보안을 고려한 시점은 윈도 XP SP2부터라고 할 수 있으며 윈도 XP는 아직 근본적인 보안상 취약점을 실질적으로 해결하지 못한 상태였다.


 


윈도 XP 자체는 권한이 제한되는 복수 사용자계정 기능을 지원했으나 실제로는 관리자 계정으로 로그인하는 경우가 일반적이었으며 권한이 제한된 계정에서는 상당수 소프트웨어가 작동하지 않는 문제가 있었다. 윈도 XP는 또한 자체 방화벽을 탑재하지 않았으며 따라서 네트워크 서비스가 인터넷에 직접 노출됐기 때문에 웜에게 손쉬운 표적이 되기도 했다. SANS Internet Storm Center 조사에 따르면 정상적인 패치가 이루어지지 않은 윈도 XP는 인터넷에 직접 연결할 경우 Blaster와 같은 웜으로 인해 4분 내에 감염될 수 있다도고 한다.

 

또한 윈도 XP의 자동실행(autorun) 기능은 컴퓨터에 연결된 미디어기기의 어플리케이션을 자동으로 실행한다. Sony가 이 기능을 악용하여 자사 오디오CD에 룻킷을 탑재하고 이를 윈도 운영체제에 설치하는 사례가 있었으며 사이버공격자들은 공격대상 회사 근처에 감염된 USB 기기를 흘리는 식의 수법을 사용하기도 했다. 이렇게 감염된 USB를 연결하면 연결된 컴퓨터는 감염되는데 사용자 대부분이 관리자 권한으로 접속된 상태여서 맬웨어 또한 관리자 권한을 가지고 컴퓨터를 완전히 장악할 수 있다는 문제까지 있었다.

 

아울러 마이크로소프트가 윈도 업데이트를 통해 Windows Genuine Advantage라는 이름의 해적판방지 시스템을 설치시킨 결과 복제판 사용자들이 자동 업데이트 기능을 중지시킨 것도 윈도 XP의 보안을 취약하게 만드는 또 다른 요인이 되기도 했다.

 

 

윈도 운영체제의 보안 강화

 

마이크로소프트는 윈도 XP SP2에 방화벽을 비롯하여 사용자에게 안티바이러스를 설치하도록 권장하는 보안센터 등 각종 보안기능을 추가하면서 보안개선에 나서기 시작했다. 윈도 비스타는 사용자계정관리(User Account Control) 기능이 추가되어 사용자들이 제한된 권한으로 접속하도록 개발됐다. 현재의 윈도 운영체제는 제한된 권한을 기본 설정으로 지원하고 방화벽을 갖추고 있으며 자동실행 기능도 사라진 상태다. 게다가 윈도 8의 경우 자체적인 안티바이러스를 비롯한 여러 보안기능을 갖추고 있다. 이 외에도 마이크로소프트는 윈도의 보안을 개선하기 위해 여러 노력을 기울였으며 그 결과 최신 윈도플랫폼은 윈도 98 및 초창기 윈도 XP 시절보다 보안이 대폭 개선됐다고 할 수 있다.


 

 

웹사이트에서 프로그램 다운로드

 

안드로이드와 리눅스 운영체제는 예외는 있으나 대부분의 경우 신뢰할 수 있는 중앙 소프트웨어 배포채널을 통해 소프트웨어를 다운받게 된다. 앱스토어 또는 패키지매니저를 실행하여 프로그램을 검색하고 설치하는 식이다.

 

반면 데스크톱 윈도 운영체제의 경우 브라우저를 실행하여 웹 검색을 통해 웹사이트에서 어플리케이션을 다운받아 이를 수동 설치하는 방식이 일반적이다. 이 경우 보안에 익숙하지 못한 사용자는 위험한 소프트웨어를 다운받거나 가짜 다운로드 버튼을 클릭하여 맬웨어 감염을 야기하는 결과에 직면할 수 있다. 또한 화면보호기 파일처럼 실행코드가 포함되어 시스템을 감염시킬 위험성이 있는 유형의 파일을 다운받아 실행하게 되기도 한다. 특히 출처가 불확실한 웹사이트에서 해적판 소프트웨어를 다운받아 사용할 경우 컴퓨터가 감염될 가능성이 아주 높다.

 

안드로이드나 리눅스처럼 신뢰할 수 있는 어플리케이션 배포채널을 통해 프로그램을 검색하고 설치할 수 있다면 보안 측면에서 상대적으로 안전해진다. 마이크로소프트는 윈도 8에 이르러 이 부분을 개선할 수 있었지만 정작 윈도 스토어(Windows Store)는 데스크톱 어플리케이션의 설치를 관리하지 않는다.


 

 


Chris Hoffman, HTG Explains: Why Windows Has the Most Viruses, 3. 29. 2013.

http://www.howtogeek.com/141944/htg-explains-why-windows-has-the-most-viruses/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.27 13:30



일반적인 회사는 매일 엄청나게 많은 사이버보안 경고에 시달리며 사이버공격을 통해 목표 시스템에 대한 맬웨어 침투의 성공가능성도 결코 작지 않다. 이렇게 보면 지능형 사이버공격 대응에는 왕도가 없다고 할 만하다. 최근 EMA 보고에 따르면 응답자의 88%가 하루에 받는 중요 사이버보안 경고는 최대 500건에 달하며 이들 중 80%는 이러한 경고를 일일 11~25건밖에 조사하지 못한다고 한다. 위협의 대부분이 조사조차 받지 않은 채 시스템에 머무를 수 있다는 의미다. IT부서에 수많은 인력을 투입해도 조사해야 할 위협의 양은 줄어들지 않으며 이는 잠재적 위협을 사전에 예상하기 위해 필요한 정보를 얻기가 대단히 곤란함을 뜻한다.

 

맬웨어가 시스템에 침투하는 과정은 이하의 세 가지 방법을 통해 진행된다.

파일기반 공격은 기존 파일을 변경하거나 또는 종래 탐지수단으로는 탐지되지 않는 위치로 옮김으로써 맬웨어를 숨긴다.

파일 없는 공격은 맬웨어 배포 또는 실행 과정에서 파일에 의존하지 않고 메모리에 머무르기 때문에 탐지가 더욱 어렵다.

맬웨어 없는 공격은 침탈된 계정정보를 활용하여 시스템에 접속하기 때문에 정상적인 사용자와 잠재적 공격을 분리해서 판단하는 데 어려움이 따른다.

 

 

파일기반 공격(File-based Attacks)

 

사이버공격의 대부분은 파일에 의존하는 방법을 사용하며 시그내쳐(signature) 탐지 엔진의 한계를 활용한다. 소프트웨어 패킹, 코드 다중변형, 코드 드롭/다운로드와 같은 지능형 수법의 경우 탐지코드의 신속한 변환을 방지할 수 있다. 이러한 공격이 통하는 이유는 침투대상의 보안전략에 사각지대가 존재하기 때문이다. 이렇게 시그내쳐 탐지를 우회할 수 있는 공격에 대해서는 행동기반 솔루션에 의한 실시간 탐지가 요구된다. 이 경우 다층방어대책이 큰 효과를 발휘할 수 있다.

 


파일 없는 공격(File-less Attacks)

 

파일 없는 공격은 기존 프로세스와 승인된 어플리케이션을 활용하여 공격을 실행한다. 파일 없는 공격은 별도로 파일을 유포하거나 기존 파일의 변경에 의존하지 않는 지능적 방식을 취하기 때문에 일반적인 엔드포인트 솔루션의 탐지를 피할 수 있다. 동적 맬웨어분석은 이러한 파일 없는 공격에 대한 방어를 강화할 수 있는 좋은 방법이다. 샌드박스를 사용한다면 행동관찰을 통해 탐지 및 예방을 동시에 챙길 수 있다. 하지만 고도로 지능화된 공격의 경우 가상화된 공간과 샌드박스를 탐지해 낼 수 있어서 이러한 동적 맬웨어분석을 회피해 버릴 수 있다. 이 경우 커널에서 구동되고 시스템 자체(네이티브)에서 작동하여 정교한 맬웨어와 VM탐지가능 코드의 탐지를 피할 수 있는 샌드박스가 가장 좋은 방법이다.


 

맬웨어 없는 공격(Malware-less Attacks)

 

차세대 맬웨어는 시스템 사이를 수평적으로 이동할 수 있기 때문에 가장 탐지하기 어렵다. 공격자는 침탈된 계정과 기존의 관계를 활용하여 탐지되지 않은 채 네트워크 내부에 침투할 수 있으며 계정정보와 툴을 조사, 판단, 수집하기 위해 자동수법과 수동수법을 모두 사용하게 된다. 대체로 공격자가 이 정도 단계에 이르고 나면 공격대상 환경에서 높은 수준의 자유도를 확보할 수 있기 때문에 기존 방법으로는 탐지가 대단히 어렵다.

 

이 경우 이상적인 해법은 기존 방어대책의 사각지대를 해소할 수 있는 실시간 행동양상 탐지에 있다. 발견된 위협과 네트워크 이상활동의 연관성을 식별 및 판단할 수 있는 지능형솔루션은 위와 같은 공격의 수평이동을 밝혀내는 데 도움이 된다. 완전한 네트워크 가시성은 지능형 공격 방지를 위해 필수적이며 방화벽 안쪽에서 은신하는 맬웨어를 잡아낼 수 있는 유일한 방법이다.


 

언제나 그렇듯 공격 탐지의 주안점은 정보를 최대한 많이 확보하는 데 있으며 이론적으로 생각하면 보안운영자는 이를 통해 유리한 고지를 선점할 수 있다. 하지만 현실적으로는 최대한 많은 정보의 수집은 지나치게 많은 정보로 이어진다. 하루에 주어진 시간도 제한될 뿐더러 보안인력도 제한되기 때문에 이렇게 많은 정보를 그대로 처리해서는 네트워크의 정확한 상황을 파악하기 곤란하다. 실제로 ThreatTrack에서 201510월 조사한 내용에 따르면 응답자의 44%는 기업보안에서 가장 어려운 부분으로 보안운영의 복잡성을 꼽았으며 또한 61%는 위협이 나날이 정교해짐으로 인해 기업의 공격에 노출될 위험이 늘어나고 있다고 응답했다.

 

이렇게 공격자에게 끌려가는 판세를 바꾸는 길은 바로 올바른 정보를 획득하고 상황의 종합적 이해를 구함으로써 패러다임을 전환하는 데 있으며 이는 신속한 탐지와 우선순위에 따른 대응이 예방만큼 중요하다는 사실을 인지함으로써 실현될 수 있다. 이러한 패러다임 전환을 도와줄 수 있는 내용은 다음과 같다.

사건을 단순히 알리는 데 그치지 않고 이들을 서로 연관시키는 서비스중심 관점을 채택한다.

커널기반 샌드박스를 사용하여 맬웨어 공격을 파악하고 지능형맬웨어에 의한 역탐지를 방지한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스>


지능형공격의 네트워크 내 수평이동을 탐지할 수 있는 보안전략을 수립한다. 발견된 위협과 네트워크 이상활동의 관련성을 판단하여 가시성과 맥락정보를 확보한다.

지능형 보안솔루션을 평가하거나 또는 맥락정보와 반응시간 연장을 제공할 수 있는 솔루션 추가도입을 고려한다.

 

보안전략에서 어떤 단계에 있든 패러다임 전환은 어려운 일이지만 빠를수록 바람직하다는 점은 분명하다. 사이버공격의 가능성은 상존하며 나날이 지능화되는 사이버공격을 방지하기 위해서는 회사보안에 빈틈이 없어야 한다. 맥락정보를 많이 확보할수록 공격위험을 보다 빠르고 효과적으로 판단할 수 있으며 반응시간을 연장할 수 있고 현재 혹은 장래의 사건을 예상할 수 있다.

 

 


ThreatTrack Security CSO Blog, Advanced Attacks and How to Stop Them, 6. 8. 2016.

https://blog.threattrack.com/cso/advanced-attack-methods-stop/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.22 14:13

위로가기