검색 - IT세상을 바꾸는 힘 지디넷코리아

"통일부·산하기관 대상 사이버 공격 200% 급증"

국회 외교통일위원회 소속 차지호 국회의원(더불어민주당)이 통일부로부터 제출받은 국정감사 자료를 분석한 결과 올해 8개월 간 통일부와 산하기관 대상으로 한 사이버 공격 시도만 총 2천313건에 이른다고 밝혔다. 지난 2022년 1천255건에 불과했던 사이버 공격 시도가 불과 2년여 만에 약 200% 수준으로 급격하게 증가한 것이다. 차지호 의원이 통일부로부터 제출받은 자료에 따르면, 통일부에는 2020년부터 2024년 8월까지 총 2천332건의 사이버 공격 시도가 있었고, 산하기관인 북한이탈주민지원재단과 남북교류협력지원협회의 경우 같은 기간 각각 1천483건과 3천974건의 공격 시도가 발생했다. 세 기관 중 가장 많은 사이버 공격을 받은 기관은 남북교류협력지원협회로 2020년부터 사이버 공격 시도 건수가 꾸준히 증가하고 있다. 특히 올해 발생한 공격 시도 건수는 1천316건으로, 이는 2020년과 비교했을 때 약 600% 가까이 증가한 수치다. 올해 8월까지 집계된 것을 감안했을 때 앞으로 더 많은 사이버 공격이 예상된다. 올해 1월부터 8월까지 발생한 사이버 공격을 유형별로 분석해 보면 '웹 해킹 시도'가 1천357건으로 전체의 절반 이상을 차지했고, 이어서 시스템 정보수집(865건), 해킹 메일(72건), 악성코드(14건) 등의 순으로 나타나고 있다. 과거 악성 코드와 해킹 메일이 주를 이뤘던 사이버 공격이 갈수록 고도화되고 있음을 보여준다. 차 의원은 “기술 발달로 사이버 공격은 더욱 지능적이고 정교해지고 있고 IP 주소 경유 같은 우회 기술로 과거의 정보보안 시스템으로는 모든 사이버 공격을 막아내기에는 한계가 있다”면서 “국가안보에 밀접한 역할을 수행하고 있는 통일부와 산하기관이 더 높은 수준의 보안 역량을 갖춰야 한다”고 말했다.

2024.09.24 12:05박수형

한전, 11월 13·14일 에너지 분야 실전형 사이버공격 방어훈련 개최

한국전력(대표 김동철)은 사이버보안 전문인력 양성과 에너지분야 협력체계 강화를 위해 국가정보원 지부와 공동으로 2024년 실전형 사이버공격 방어훈련(ELECCON 2024·일렉콘)을 개최한다. 참가자는 19일부터 10월 2일까지 참가자를 온라인으로 모집한다. 한전이 2021년부터 매년 시행해 올해 4회째를 맞이하는 일렉콘은 에너지 기관·대학부·고등부 3개 부문으로 나눠 시행한다. 많은 학생에게 참가 기회를 제공하기 위해 온라인으로 신청 참가자를 모집해 예선과 본선으로 나눠 진행한다. 예선은 참가자들이 10월 8일 지정된 인터넷 사이트를 접속해 진행한다. 한전은 성적순으로 부문별 8개팀을 선정할 계획이다. 예선을 통과한 팀은 11월 13일과 14일 이틀에 걸쳐 전남 나주시에 위치한 한전 본사에서 본선을 치른다. 본선에 오른 3개 부문별 8개팀은 24개 방어팀으로 구성된다. 주최 측의 공격 1개팀, 운영 1개팀과 함께 실제 에너지 시스템과 유사하게 구축된 가상 환경에서 공격팀과 방어팀으로 나눠 실시간 공방 방식으로 훈련을 진행한다. 공격팀은 시나리오에 따라 다양한 사이버공격을 전개하고 방어팀은 이를 탐지·차단해 취약점을 제거하는 등 피해복구를 통해 운영설비 가용성을 유지하는 형태로 진행된다. 오중선 한전 정보보안실장은 “이번 훈련은 실제와 유사한 환경에서 이뤄지는 실전형 공방 훈련인 만큼 참가자의 사이버 보안 역량을 키우는데 좋은 기회가 될 것”이라며 “우수한 학생들의 많은 지원을 바란다”고 밝혔다. 신청양식 등 참가자 모집과 관련한 자세한 사항은 일렉콘 공식 홈페이지 나 한전 홈페이지에서 확인할 수 있다.

2024.09.19 13:37주문정

"美 인프라 털릴 뻔"…FBI, 中 해킹 공격 막고 기기 수천대 복구

미국이 중국 해킹 그룹 '플랙스 타이푼' 사이버 공격을 막고 감염된 기기 수천 대를 복구한 것으로 전해졌다. 19일 CNN 등 외신에 따르면 미국 연방수사국(FBI) 크리스토퍼 레이 국장은 이날 워싱턴서 열린 사이버 보안 컨퍼런스에서 이 사건을 해결했다고 발표했다. 플랙스 타이푼은 중국서 두 번째로 큰 규모를 가진 해킹 그룹이다. 중국 기업 인테그리티 테크놀로지 그룹 후원을 받고 있다. 이 기업은 각국 기밀을 수집해 중국 정부에 제공하는 역할을 해 왔다. 플랙스 타이푼은 지난주 '봇넷' 수법으로 사이버 공격을 수행한 것으로 알려졌다. 봇넷은 감염된 카메라·디지털 저장 장치의 네트워크로 다른 기기를 공격하는 방식이다. 이를 통해 미국 주요 인프라 시설뿐 아니라 기업, 미디어 조직, 대학, 정부 기관을 표적으로 삼았다. 현재 FBI는 플랙스 타이푼 공격을 막고 감염된 컴퓨터와 기기를 원상으로 복구한 상태다. 앞서 지난해 FBI는 비슷한 수법을 가진 해커 그룹 '볼트 타이푼'을 포착한 바 있다. 이 그룹도 플랙스 타이푼처럼 미국 내 인프라 시설 침투를 시도한 바 있다. 당시 FBI는 이 단체가 중국 지원을 받는 단체라는 의혹을 내비쳤고, 중국은 단순 랜섬웨어 조직이라고 일관했다. 워싱턴 주재 중국 대사관은 "중국은 모든 형태의 사이버 공격을 단속 중"이라며 "미국 당국이 부당한 결론을 내리고 중국에 대해 근거 없이 비난하고 있다"고 밝혔다.

2024.09.19 09:37김미정

北 해커, 암호화폐·금융인 링크드인에 악성코드 배포

북한발 사이버 공격이 거세지고 있는 가운데 최근 북한 해커 그룹이 전 세계 암호화폐·금융업 종사자 소셜미디어 계정에 악성 소프트웨어(SW) 배포를 시도한 정황이 포착됐다. 17일 미국 해커뉴스에 따르면 미국 잼프 위협 연구소가 북한 해커의 이런 사이버 공격 실태를 발표했다. 수법은 전형적인 사회공학적 방식과 멀웨어 유포를 결합한 형태인 것으로 전해졌다. 사람 심리와 취약점을 이용해 정보를 탈취·불법적 행동을 유도하는 식이다. 연구소 발표 내용에 따르면 북한 해커 그룹은 링크드인에서 합법적인 암호화폐 거래소(DEX) 기업 관계자를 사칭해 암호화폐·금융업 종사자 링크드인 계정에 접근했다. 관계자들과 링크드인을 통해 지속적인 연락을 주고받았다. 이후 해커는 관련 종사자들에게 코딩 작업과 테스트를 진행해 달라는 메시지를 보낸다. 이때 회사에서 사용하는 기기나 네트워크에 접근할 수 있는 컴퓨터에서 특정 코드 실행을 유도한다. 북한 사이버 공격자는 '사전 고용 테스트'나 '디버깅 수행'을 빌미로 피해자에게 평소 사용되지 않거나 의심스러운 프로그래밍 패키지, 스크립트, 깃허브 코드를 실행하도록 요청하기도 했다. 이를 통해 사이버 공격자는 피해자 기기에 악성코드를 설치해 회사 네트워크나 시스템에 접근해 정보 탈취나 시스템 공격을 진행할 수 있었다. 잼프 위협 연구소는 "북한 해커 그룹은 최근 암호화폐나 금융업에 종사하는 사람을 노리기 시작했다"며 "회사는 개발자를 포함한 직원들이 이런 속임수에 넘어가지 않도록 교육하는 것이 중요해졌다"고 설명했다.

2024.09.17 15:50김미정

獨, 사이버 공격으로 약 400조원 가까이 피해 봤다

독일 기업이 지난해 폭증한 사이버 공격으로 400조원 가까운 피해를 입은 것으로 알려졌다. 올해 파리 올림픽, 유로2024 등 주요 이벤트가 있었던 가운데 유럽 연합(EU) 전체가 사이버 공격으로 몸살을 앓는 분위기다. 29일 로이터 등 외신에 따르면 독일 산업협회 비트콤이 독일 내 1천여 개의 회사를 조사한 결과 사이버 공격으로 인해 기업들은 도합 2천670억 유로(약 398조원)의 피해를 봤다. 지난해 대비 피해액이 29% 증가한 것이다. 또 81%의 회사가 고객 데이터·비밀번호·특허 등 지적 재산권 도난을 겪었다고 응답했다. 이는 지난해 72.8%에서 8%포인트 이상 증가한 수치다. 독일 기업들은 사이버 공격 증가에 따라 보안 예산을 늘리고 있다. 조사 결과 기업들은 IT 예산 중 17%를 보안에 배정해 지난해 14%에서 3%포인트 늘어난 것으로 알려졌다. 이어 90% 이상의 기업들은 향후 1년간 사이버 공격이 더 늘어날 것이라 예상했다. 다만 외신들은 보안 사고 등 비상 계획을 가지고 있다고 답한 기업은 37%에 불과했다고 보도했다. 사이버 공격에 준비돼 있다고 답한 기업은 절반을 조금 넘는 53%였다. 피해 기업들은 해킹의 주체를 추적한 결과 중국이 45%, 러시아가 39%라고 추정했다. 사이버 공격 증가로 EU 등 유럽 국가들은 보안에 무게를 두고 있다. 스위스는 정부 주도로 지난 21일 유럽 사이버 보안 기구(ECSO)에 가입했다. 프랑스는 파리 올림픽을 앞두고 약 45억 건에 달하는 사이버 범죄가 일어날 것이라 예상하고 보안 군사경찰단을 조직한 바 있다. 랄프 윈터거스트 비트콤 사장은 "독일 경제에 대한 위협 상황이 외부 공격으로 악화되고 있다"며 "기업들이 사이버 보호 조치를 강화해야 한다"고 말했다.

2024.08.29 10:22양정민

中 해커 그룹 '볼트 타이푼' 글로벌 인터넷 기업 해킹

중국 해커 그룹이 해외 인터넷 기업들에 대규모 공격을 감행한 가운데 시스템 보안 업데이트의 필요성이 강조되고 있다. 29일 외신에 따르면 중국 해커 그룹 볼트 타이푼(Volt Typhoon)이 네트워크 보안 솔루션 기업 버사 네트워크의 소프트웨어 플랫폼을 사용하는 인터넷 기업을 대상으로 해킹 공격을 감행했다. 이번 공격은 소프트웨어에서 발견된 취약점을 이용한 것으로 밝혀졌다. 이번 해킹의 목적은 고객에 대한 정보를 수집하고 감시 활동을 벌이기 위한 것으로 추정된다. 최소 4개의 미국 기업과 1개의 인도 기업이 피해를 봤으며 이중에는 인터넷 서비스 제공업체도 포함된 것으로 전해졌다. 버사 네트워크는 해당 소프트웨어의 취약점을 인정하며 이를 해결하기 위한 보안 패치를 신속히 배포했다. 또 고객들에게 가능한 한 빨리 시스템 업데이트를 실시할 것을 권장했다. 볼트 타이푼은 중국 정부와 연계된 해커 그룹으로, 이전에도 미국의 주요 인프라를 표적으로 사이버 공격을 감행한 바 있다. 그럼에도 불구하고 중국 정부는 이번 사건과 자신들의 연관성을 부인하며 미국 정보기관이 사이버 보안 업체들과 협력해 중국의 사이버 위협을 과장하고 있다고 주장했다. 크리스토퍼 레이 미 연방수사국(FBI) 국장은 중국의 목적이 "원하는 시기에 미국의 주요 인프라를 물리적으로 파괴할 수 있는 능력"이라며 "공황을 유발하기 위해 민간 인프라에 타격을 가하고자 계획한다"고 말했다.

2024.08.29 10:19조이환

동서발전, 부산·울산 지역 화이트해커 양성 추진

한국동서발전(대표 김영문)은 국가정보원 지부·울산정보보호지원센터(UISC)와 함께 '부산·울산 지역 화이트해커 양성 지원사업' 발대식을 했다고 8일 밝혔다. 동서발전은 부산·울산지역 대학 정보보안동아리 대상으로 30명을 모집해 사내 사이버보안 관제센터를 견학했다. 오는 9월까지 정보보안 전문기술 교육과 평가를 통해 화이트해커 집중지원 대상을 선발할 예정이다. 올해 연말까지 ▲취약점 진단 실습 ▲사이버공격 대응훈련 참가 ▲신재생발전 산업 분야 교육 ▲사이버공격 기술/시나리오 연구 활동을 지원할 계획이다. 동서발전은 지난 2020년부터 지역인재 양성을 위해 국정원 지부와 함께 총 144명을 대상으로 정보보안 전문기술을 교육하며 화이트해커로서의 역량을 갖추기 위한 활동을 지원했다. 올해는 동남권 정보보호 클러스터와 연계로 울산정보보호지원센터가 함께 참여해 학생에게 더욱 수준 높은 교육을 제공하고 사업 종료 후에도 취업과 연구 활동을 위한 자문 등 지속적인 지원을 이어나갈 예정이다.

2024.07.08 17:37주문정

랜섬웨어 공격 받은 인도네시아, 정부 서비스 마비로 '대혼란'

인도네시아 국가 데이터센터가 랜섬웨어 공격을 받아 200개 넘는 공공 서비스가 마비됐다. 26일 일간지 콤파스 등 외신에 따르면 인도네시아 정보통신부는 최근 데이터센터가 랜섬웨어 공격을 당해 지난 20일부터 210개 공공 기관의 7천 개가 넘는 서비스가 중단되거나 지연됐다고 밝혔다. 이번 일로 수카르노 하타 국제 공항 등 여러 공항의 이민 정보 시스템이 멈춰 출입국 서비스가 오랫동안 지연됐다. 정부 식수 공급 시스템을 비롯한 위생 인프라 정보 시스템, 지역 재정 관리 정보 시스템 등 각종 공공 플랫폼도 멈추거나 지연되는 사태가 벌어지기도 했다. 이번 공격이 누구 소행인지는 밝혀지지 않았다. 다만 외신은 해커가 러시아인이나 북한인일 가능성이 높다고 분석했다. 해커는 이번 공격에 해커집단 '록빗'의 랜섬웨어용 소프트웨어(SW)를 사용한 것으로 전해졌다. 록빗은 세계 최대 랜섬웨어 공격 집단으로 알려졌다. 이를 통해 인도 데이터센터의 데이터 파일을 암호화하고, 해독법을 제공하는 대가로 800만 달러(약 111억원)를 요구했다. 부디 아리 세티아디 정보통신부 장관은 "정부는 해커 요구를 들어주지 않을 것"이라며 "현재 이민국 등 피해를 본 서비스를 복구하는 데 집중하고 있다"고 밝혔다. 현재 여권과 비자, 자동 게이트, 국경 통과 서비스 등 다수 이민 서비스가 운영을 재개한 상태다. 인도네시아가 사이버 공격을 당한 것은 이번이 처음은 아니다. 2021년에는 보건부의 코로나19 앱이 해킹 당해 130만 명의 개인정보와 건강상태가 노출됐다. 2022년에 중앙은행이 랜섬웨어 공격을 받기도 했다. 프라타마 페르사다 인도네시아 사이버보안연구소 회장은 "이번 공격은 2017년 이후 인도네시아 정부와 기업이 받은 랜섬웨어 중 가장 심각한 수준"이라고 평가했다. 페르사다 회장은 ABC뉴스와의 인터뷰에서 "데이터 센터가 중단되고 시스템을 복구하는 데 며칠이나 걸린다는 것은 이번 랜섬웨어 공격이 치명적이라는 걸 의미한다"며 "사이버 인프라와 서버 시스템이 평소에 제대로 작동하지 않았음을 보여주는 사례"라고 지적했다.

2024.06.26 09:35조수민

금전 이익 노리는 랜섬웨어, 더 빠르고 과감해졌다

“금전적 이익을 노리는 랜섬웨어가 더 많은 이익을 내기 위해 보다 빠르고 과감하게 변하고 있다. 보안이 취약하고 돈을 낼 가능성이 높은 조직을 노려 적극적인 공격을 감행하는 만큼 이에 대한 대응이 필요하다.”” 맨디언트의 심영섭 한국 및 일본 지역 컨설팅 리더는 25일 서울 강남구 강남파이낸스센터에서 개최한 미다어 간담회를 통해 '2024 M-트렌드 연례 리포트'를 브리핑하며 이와 같이 말했다. 올해로 15회를 맞은 M-트렌드 리포트는 2023년에 수행된 사이버 공격 조사 및 대응 결과를 바탕으로 글로벌 보안 현황을 분석한다. 보고서에 따르면, 금전적 이익을 노린 랜섬웨어의 비율이 증가했으며 공격자가 탐지되기 전 시스템에 머무는 공격 지속 시간(드웰타임) 중앙값은 대폭 줄어든 것으로 나타났다. 드웰타임의 경우 2011년 416일에서 2023년 10일로 40분 1 이상 줄어들었다. 심 리더는 드웰타임이 감소된 이유에 대해 전 세계 조직의 보안 역량이 개선됨과 동시에 랜섬웨어 조직의 공격 비율이 줄어들었기 때문으로 분석했다. 그는 “랜섬웨어 조직은 투자 대비 이익을 중요하게 생각하는 만큼 수개월 씩 기다리는 것은 비효율적이라고 판단할 수밖에 없다”며 “그래서 돈을 낼 가능성이 높고 보완 수준이 낮은 기업을 타깃으로 인공지능(AI)나 자동화 도구 등을 사용해 최대한 빨리 공격해 목적을 달성하고 다음 피해자로 이동하는 방식이 주를 이루고 있다”고 설명했다. M-트렌드 리포트에 따르면 일본 및 아시아태평양(JAPAC) 지역이 9일로 가장 드웰타임이 짧았으며 가장 많이 표적이 된 산업은 금융 서비스로 전체 조사의 17%를 차지했다. 이어서 비즈니스/전문 서비스(13%), 하이테크(12%), 소매/서비스업(9%), 의료(8%)가 그 뒤를 이었다. 심영섭 리더는 “지난해에는 정부기관을 대상으로 한 공격이 1위를 차지했지만 러시아-우크라이나전이 장기화되면서 이런 추세가 줄어들고 금전을 노린 공격이 늘고 있다”며 “최근 주요 타깃이 되는 산업은 민감한 데이터를 다루고 있을 뿐 아니라 시스템이 마비될 경우 산업이나 인명에 치명적인 피해가 발생할 우려가 있어 금전을 지불할 가능성이 높다는 공통점이 있다”고 설명했다. 랜섬웨어 공격 비율과 함께 조직 내 공격 탐지 비율도 상승한 것으로 나타났다. 2011년에는 외부에서 침투여부를 발견한 비율이 93%에 달할 정도로 내부 탐지 비율이 낮았지만 2023년에는 내부가 46%, 외부가 54%로 탐지 비율이 10배 이상 늘어난 것으로 나타났다. 사이버공격이 급증한 것을 고려하면 더욱 높은 수치다. 심 리더는 사이버 탐지 기술이 발전했음에도 내부 탐지 비율이 50%를 넘기 어려운 이유는 시스템의 복잡성으로 인한 탐지의 어려움과 사이버 공격자의 기술 발전 때문이라고 설명했다. 시스템을 침투에 쓰이는 악성코드 역시 보안 시스템에 발각되지 않도록 다양한 기술을 사용하고 있을 뿐 아니라 제로데이 공격이나 피싱공격 등 보안 시스템을 우회해 사람을 노린 공격도 수행하고 있기 때문이다 심영섭 리더는 “최근 악성코드들은 보안 시스템에 노출되지 않기 위해 외부 연결없이 내부 서비스를 이용해 핵심 시스템을 장악하는 '시스템 자체도구 악용'(LOTL) 기술 등을 활용하고 있다”며 “이 밖에도 기업의 시스템에 침투하기 위해 생성형AI나 대규모언어모델(LLM) 등도 최신 기술을 적극 활용하고 있다”고 설명했다. 그는 급증하고 빠르게 발전하는 사이버 위협에 대응하기 위해 내부 시스템을 명확하게 파악할 수 있는 가시성을 확보해야 한다고 강조했다. 심 리더는 “수 많은 직원 중 한 명만 피싱 공격에 당해도, 보안패치를 잠시만 늦어도 침투를 허용할 수 있는 것처럼 현 상황에서 사이버 공격을 완전히 막는다는 것은 불가능하다”고 현재 보안 싱태를 설명했다. 이어서 “중요한 것은 침투 후 시스템을 장악하거나 핵심 데이터를 암호화해 유출하기 전에 찾아내고 대응하는 것이 핵심”이라며 “이를 위해서 내부 시스템의 구조와 전체 프로세스의 가시성을 확보하는 것에 힘써야 한다”고 강조했다.

2024.06.25 12:20남혁우

사이버 공격 받은 CDK글로벌 "시스템 복구에 수일 걸려"

미국 자동차 소프트웨어(SW) 제공업체 CDK글로벌이 사이버 공격을 받은 후 1만5천개 지점 시스템 복구 작업을 시작한 것으로 전해졌다. 24일(현지시간) 로이터 등 외신은 CDK가 시스템을 원상복구하는 데 수일 걸릴 수 있다고 보도했다. 앞서 CDK는 지난 19일부터 이틀 동안 랜섬웨어 공격을 받았다. 해커 그룹은 CDK에 사이버 공격을 하지 않을 대가로 수백만 달러를 요구했다. CDK는 1차 공격 이후 모든 시스템을 종료했다고 발표했다. 당시 디지털 리테일링 솔루션과 딜러 관리 시스템을 복구했다. 회사는 2차 공격 이후 시스템을 다시 종료한 것으로 전해졌다. 관계자는 "추가 공격으로 인해 시스템 복구를 위한 시간이 며칠 더 걸릴 것"이라고 밝혔다. 이번 사태로 CDK 고객사도 피해를 입었다. 자동차에 SW를 탑재하지 못하자, 차량 인도 시기가 연장됐기 때문이다. 현재 SW 정비도 제때 진행하지 못하는 고객 사례까지 속출했다. 소닉 오토모티브와 펜스키 오토모티브는 21일 "CDK의 시스템 중단으로 인해 기업 운영에 큰 타격을 입었다"고 지적했다.

2024.06.24 14:00김미정

"하루에 한 번만 공격" 보안우회하는 저강도 공격 어떻게 막을까

[필라델피아(미국)=남혁우 기자] 지난해 발생한 북한 해킹조직의 법무부 공격처럼 은밀하고 장기적인 공격이 새로운 위협으로 지목되고 있다. 아마존웹서비스(AWS)는 이러한 치명적인 사이버공격을 보다 효과적으로 탐지하고 대응하기 위해 스플렁크와 협력한다. 12일(현지시간) AWS의 라이언 오르시 클라우드 파운데이션 파트너 글로벌 책임자는 AWS 리인포스 2024에서 스플렁크와의 전략적 협업 이유 및 파트너십 전략을 소개했다. 라이언 오르시 글로벌 책임자는 이번 협력에 대해 '저강도 공격(low and slow attack)'이라고 불리는 기업과 조직에 치명적인 보안위협에 대응하기 위함이라고 설명했다. 저강도 공격은 점차 복잡해지는 조직 내 시스템에 은밀하게 침투해 핵심 데이터를 탈취하거나 주요 기능을 점거하는 공격 방식이다. 기존 보안 서비스의 탐지를 회피하기 위해 정상적인 임직원의 계정처럼 활동하며 여러 단계에 걸쳐 은밀하게 시스템을 잠식해 나간다. 지난해 북한 해킹조직이 법원 전산망에 침투해 개인정보를 대거 탈취한 사건도 2년에 걸쳐 공격이 진행된 것으로 알려졌다. 라이언 오르시는 “기존의 보안 시스템은 주로 실시간으로 발생하는 위협이나 명확한 반응이 있는 공격을 탐지하는 데 초점을 맞추고 있다”며 “하지만 점점 더 정교하고 은밀한 공격이 발전하면서 보안시스템을 우회해 공격하는 기법이 늘어나고 있다”고 설명했다. 이어서 그는 “예를 들어 하루에 단 한 번만 짧게 공격활동을 수행한다면 보안솔루션은 일반 직원의 활동과의 차이점을 파악하기 어렵다”며 “이런 공격이 수개월에서 1년 이상에 걸쳐 진행된다면 기업이나 조직은 아무런 이상도 발견하지 못한 채 막대한 피해를 겪을 수 있다”고 말했다. AWS는 이러한 공격에 대응하기 위해 이번 협력을 통해 기업 내 모든 프로세스와 네트워크 접근의 장기적인 흐름을 파악하고 이상을 감지할 계획이다. 클라우드 환경에서 발생하는 다양한 보안 데이터를 아마존 시큐리티 레이크를 통해 집중한 후 스플렁크의 모니터링 서비스를 통해 분석해 이상 행동 패턴의 식별 및 보안 위협을 확인한다는 전략이다. 라이언 오르시는 “앞서 말한 것처럼 매일 발생하는 소규모 공격만으로 이를 확인하긴 어렵지만 장기적인 활동을 추적하면 이상한 점을 자연스럽게 확인할 수 있다”며 “예를 들어 탈취한 계정을 이용해 시스템에 침투해 활동할 경우 실제 접속위치를 숨기기 위해 사용하는 가상사설망(VPN) 등으로 인해 파악하는 것이 가능해진다”고 설명했다. 예를 들어 VPN을 사용할 경우 사내 네트워크에 접근하는 계정의 접속 국가나 위치가 매번 달라지게 된다. 이를 통해 별도의 활동이 없더라도 계정의 이상함을 자동으로 감지할 수 있고 보안 담당자에게 추가적인 행동 변화 분석을 요청하는 것도 가능하다. 라이언 오르시 파트너 글로벌 책임자는 “사이버공격 기법이 점점 정교하고 은밀해지면서 기존의 보안 시스템만으로는 대응하는 것에 한계에 달하고 있다”며 “이번 파트너십은 이런 치명적인 공격에 효과적으로 대처하고 기업이 비즈니스 연속성을 이어가는데 기여할 수 있을 것으로 기대한다”고 말했다.

2024.06.13 17:18남혁우

美 FBI, 락빗 랜섬웨어 암호화 해독 키 무료 제공

미국 연방수사국(FBI)이 악명 높은 랜섬웨어 집단 '락빗(LockBit)'의 피해자 데이터 복구 지원을 본격화한다. 7일 실리콘앵글 등 외신에 따르면 FBI 브라이언 본드란 사이버 부서 부국장은 2024 보스턴 사이버 보안 회의 기조연설에서 락빗으로부터 압수한 암호 해독 키를 공개한다고 밝혔다. FBI는 락빗 피해자들이 무료로 해독 키를 이용할 수 있도록 웹사이트와 헬프 데스크를 운영하며 인터넷 범죄 불만 센터(IC3)와 직접 연결을 통한 지원도 제공한다. 이번 조치는 미국을 비롯해 전 세계 수백 개 기관과 기업에게도 지원될 전망이다. 브라이언 본드란 부국장은 "지속적인 락빗 중단 작전으로 이제 7천 개가 넘는 암호 해독 키를 보유하게 됐다"며 "우리는 락빗 피해자에게 연락하고 피해자라고 의심되는 사람은 인터넷 범죄 신고 센터를 방문할 것을 권장하고 있다"고 말했다. 락빗 지난 몇 년간 글로벌 랜섬웨어 공격에서 가장 활발히 활동하는 조직 중 하나로, 주로 금융 서비스, 보건 의료, 제조, 교육 및 정부 기관을 타겟으로 활동해 왔다. 이들은 전 세계적으로 2천400회 이상의 공격을 실행했으며, 이로 인한 피해는 수십억 달러에 달한다. 이러한 락빗의 활동을 저지하기 위해 지난 3월 11개국의 수사조직이 참여한 국제 공조 수사가 진행됐다. 이를 통해 락빗이 랜섬웨어 공격을 위해 사용해 온 기본 플랫폼과 중요 인프라를 중단시키거나 압수했으며 암호키도 확보한 것으로 알려졌다. 브라이언 본드란 부국장은 "락빗과 관련 조직을 제압하는 과정에서 그들이 삭제했다고 주장했던 데이터들을 여전히 보유하고 있다는 것을 확인했다"며 "이번 해독 키의 제공은 피해자들이 데이터를 되찾고 정상적인 운영으로 돌아갈 수 있도록 돕기 위한 것"이라고 설명했다. 이어서 "이번 조치는 사이버 범죄에 맞서 싸우는 지속적인 노력의 일부로 앞으로도 피해자 지원과 사이버 범죄와의 싸움을 강화할 것"이라며 "사이버 보안은 커뮤니티와의 협력이 필수적인 만큼 공격을 예방하고 대응하는 데 있어서 공동의 노력이 중요하다"고 강조했다.

2024.06.07 10:35남혁우

금융보안원, '락드쉴즈 2024' 참가…국제 사이버戰서 역량 뽐내

금융보안원이 지난 22일부터 북대서양조약기구(NATO)가 개최한 '락드쉴즈 2024'에서 높은 수준의 사이버 공격 역량을 뽐냈다. 금융보안원은 '락드쉴즈 2024'에 3년 연속 참여해 유의미한 성과를 얻었다고 29일 밝혔다. 락드쉴즈 훈련은 나토 회원국 간의 사이버 위기 대응 능력을 강화하기 위해 매년 개최하고 있다. 우리나라는 올해 국가정보원을 중심으로 금융보안원을 포함한 국방부·한국전력공사 등 민·관·군 11개 기관, 80여 명이 훈련에 참여했다. 금융보안원은 이번 훈련 참여를 위해 사이버공격 방어 전문가로 구성된 17명의 최정예 직원을 선발해 참가했다. 이번 훈련에서는 공세적 방어 전략에 방점을 둬 최정예 화이트해커로 구성된 RED IRIS 소속 직원들이 취약점을 찾아 선제적으로 대응했다. 또 디지털 포렌식 챌린지 등 공격 경로 및 방식 등을 살펴 다양하게 시도된 사이버 공격에 대해서 주도적으로 방어했다. 공격팀으로부터 가상의 디지털정부플랫폼 등 주요 민간 인프라를 대상으로 홈페이지 위변조, 악성코드 전파 공격 등을 실시간으로 대응했다. 침해지표 등을 활용해 위협대상을 식별하는 등 전문적인 사이버공격 방어 역량을 선보였다.

2024.04.29 11:45이한얼

한전, NATO 국제 사이버보안 합동훈련 참가

한국전력(대표 김동철)은 22일부터 26일까지 북대서양조약기구(NATO) 사이버방위센터가 주관하는 국제 사이버공격방어훈련인 '락드쉴즈(Locked Shields) 24'에 대한민국·아일랜드 연합훈련팀으로 참가한다고 밝혔다. 락드쉴즈는 NATO 사이버방위센터가 회원국 간 사이버 방어 협력체제 마련과 종합적인 사이버 위기상황 해결을 위해 매년 에스토니아 탈린에서 실시하는 훈련으로 세계 40개국 보안전문가 3천명 이상이 참가한다. 국내에서는 한전을 포함한 국정원·국가보안기술연구소 등 11개 기관 80여 명 규모로 한국 대표팀을 구성해 4년 연속으로 합동훈련에 참가하고 있다. 올해는 40개 국가 18개 팀이 경합한다. 훈련은 공격팀과 방어팀으로 나눠 실시간 사이버 공방 방식의 온라인으로 진행한다. 한국은 아일랜드 대표팀과 연합해 사이버공격 방어팀으로 참가한다. 훈련은 기술적 방어 역량뿐만 아니라 사이버 대응과 관련한 상황별 언론대응, 법률전략 등 다양한 정책적 요소에 대한 대응 과정도 종합 평가한다. 한전은 보안 경진대회 입상자 위주로 구성된 사내 정보보안 우수인력 8명이 에너지 분야 방어팀 일원으로 참가하며, 가상의 에너지시스템에 대한 NATO 사이버 공격팀의 전산망 침투 시도를 방어하는 역할을 담당한다. 가상의 에너지시스템은 기반시설이 포함된 내부 폐쇄 네트워크망과 공개망 시스템 등으로 구성된다. 한전은 기반시설 사이버 공격을 방어하고, 공격상황 종합감시와 위협 분석업무를 담당한다. 한전은 이번 훈련을 통해 해외 선진국이 가지고 있는 우수한 사이버 침해대응 능력과 노하우를 습득함으로써, 사이버 보안 대응체계를 점검하고 역량을 강화하는 한편, 국내 유관기관과 사이버 보안분야 협력 관계를 강화하는 계기가 될 것으로 기대했다. 한전은 앞으로도 전력설비의 안전한 운영을 위한 사이버 보안 대응체계를 강화하고, 안정적인 전력공급과 국가 에너지 안보 강화를 위해 지속해서 노력한다는 계획이다.

2024.04.23 10:19주문정

테르텐, 해커 최신 공격 기법 총망라...'마이터 어택' 분석서 발간

국가 전략 산업에 침투한 실제 사이버 공격 사례를 분석하고 공격 목표와 기술 관점을 정교하게 풀어낸 보안 지침서가 나왔다. 사이버 보안 전문 기업인 테르텐은 '마이터 어택'(MITRE ATT&CK) 분석서'를 출간했다고 15일 밝혔다. 마이터어택 프레임워크는 비영리 연구개발 단체인 마이터(MITRE)가 미국 연방정부의 지원을 받아 국가안보, 항공, 교통, 국토보안 등 다양한 분야에서의 실제 사이버 공격 사례를 관찰한 결과물이다. 공격자가 사용한 악의적 행위를 공격 목표와 기술의 관점으로 분석했다. 보안 담당자들이 실 업무 환경에 마이터어택 프레임워크를 구축하거나 적용하는데 어려움을 겪고 있는 상황에서 위 분석서를 통해 해커들이 사용하는 공격 패턴을 더 명확하게 파악할 수 있을 것으로 기대된다. 김대근 테르텐 사이버보안센터장은 "이 분석서는 예상치 못한 보안 사고 발생 가능성을 줄이는 데 이바지할 수 있을 것으로 기대한다"고 밝혔다.

2024.03.15 10:16이한얼

IBM "작년 해커의 신원 정보 탈취 71% 급증"

IBM은 최근 발표한 '2024 엑스포스 위협 인텔리전스 인덱스 보고서(이하 엑스포스 인덱스)'를 통해 사이버 공격자가 해킹 대신 유효한 자격 증명을 사용해 단순히 '로그인'해 공격하는 건수가 전년 대비 71% 증가했다고 11일 밝혔다. IBM 엑스포스는 IBM 컨설팅의 사이버 공격 및 방어 보안 서비스 부문으로, 엑스포스 인덱스는 130여 개국에서 매일 1천500억 건 이상의 보안 이벤트를 모니터링해 얻은 인사이트와 관찰 결과를 기반으로 한다. 올해 보고서는 IBM 엑스포스 위협 인텔리전스, 사고 대응, 엑스포스 레드팀, IBM 관리형 보안 서비스 등 IBM 내 여러 소스와 레드햇 인사이트 및 인테저에서 데이터를 수집 및 분석한 내용을 담았다. 오늘날 다크 웹에서 수십억 개의 유출된 인증정보에 접근할 수 있다. 사용자의 유효 계정을 악용하는 것은 사이버 공격자의 가장 쉬운 접근 경로다. 작년 이메일, 소셜 미디어 및 메시징 앱 인증정보, 은행 정보, 암호화폐 지갑 데이터 등과 같은 개인 식별 정보를 탈취하게 설계한 인포스틸링 멀웨어가 266% 증가했다. 공격자가 사용자의 신원을 확보하기 위한 작업에 점점 더 많은 투자를 하고 있는 것이다. 문제는 공격자들에게는 침투하기 쉬운 진입 경로가 기업들에게는 탐지하기 어려운 부분이라는 것이다. 엑스포스에 따르면 유효한 계정을 사용한 침해 사고는 일반적인 침해 사고보다 보안 팀의 대응 조치가 약 200% 더 복잡했다. IBM의 "2023 데이터 유출 비용 연구 보고서"에 따르면 탈취되거나 유출된 인증정보로 인한 침해 사고를 탐지하고 복구하는 데 약 11개월이 소요되어 침해 사고 중 대응 주기가 가장 긴 것으로 나타났다. 이는 곧 기업의 대응 비용이 더욱 높아진다는 것을 의미한다. 앞으로 공격자들이 공격을 최적화하기 위해 생성형 인공지능(AI)을 활용할 것으로 예상되기에 신원 기반 위협은 계속 증가할 것이다. 이미 작년에 다크 웹 포럼에서 AI와 GPT에 관한 80만 개 이상의 게시물이 관찰되었고 이러한 신기술이 사이버 공격자들의 관심을 끌고 있다는 점이 확인됐다. 전세계적으로 엑스포스가 대응한 공격의 약 70%가 주요 인프라 조직에 대한 공격이었다. 핵심 인프라 조직은 시스템 가동 시간이 중요하기 때문에 공격자들이 표적으로 삼고 있는 것이다. 안타깝게도 주요 인프라 부문에 대한 공격의 약 85%에서는 패치, 다중 인증 또는 최소 권한 원칙 등 보안 업계가 지금까지 '기본적인 수준의 보안'이라고 정의한 것만 지켜졌어도 피해를 완화할 수 있었던 것으로 파악됐다. 생성형 AI에 대한 공격은 아직 투자수익률이 높지 않다는 분석이다. 사이버 공격자들이 공격으로 투자 대비 효과를 보려면 공격 대상이 되는 기술이 전 세계 대부분의 조직에서 보편화돼야 한다. 엑스포스는 단일 기술이 시장 점유율 50%에 근접하거나 시장이 3개 이하 기술로 통합되는 등 특정 생성형 AI의 시장 지배력이 확립되면 새로운 툴에 대한 사이버 공격자들의 추가 투자를 유도해 AI가 공격 대상이 될 가능성이 더욱 높아질 것으로 평가한다. 다만, 기업은 생성형 AI가 현재 대중화 전 단계에 있어도 사이버 공격자들이 공격 활동을 확대하기 전에 AI 모델을 보호해야 한다. 기존에 구축되어 있는 기본 인프라에 대한 공격은 새로운 방식이 개발될 필요가 없기 때문에, 기본 인프라가 AI 모델에 대한 공격의 관문으로 작용할 수 있기 때문이다. 이에 생성형 AI 시대에는 보안에 대한 총체적인 접근 방식이 필요하다. 한국IBM 컨설팅 사이버보안 서비스 사업 총괄 및 최고운영책임자(COO) 배수진 전무는 “보안 기본 원칙은 AI란 키워드만큼 많은 관심을 받고 있지는 않지만, 아시아태평양 지역의 가장 큰 보안 과제는 패치되지 않은 알려진 취약점”이라며 “특히 신원은 계속해서 악용되고 있으며, 공격자들이 전술을 최적화하기 위해 AI와 같은 신무기를 사용하게 되면서 이 문제는 더욱 악화될 것이므로 기업들의 선제적인 대응 준비가 중요”하다고 강조했다.

2024.03.11 11:12김우용

국정원, 국제 사이버훈련 종합 우승

국가정보원이 세계적인 사이버 방어 훈련에서 월등한 기량으로 정상을 차지했다. 국정원은 육군 사이버작전센터, 국가보안기술연구소와 대한민국을 대표해 참가한 국제 사이버방어훈련 'DCM(Defence Cyber Marvel)'에서 종합우승을 했다고 21일 밝혔다. DCM은 영국군 사이버협회(Army Cyber Association)가 주관하는 행사다. 2022년 자국군 훈련으로 시작돼 지난해부터 국제 훈련으로 격상됐다. 대한민국은 지난해 11월 한영 정상 다우닝가 합의에 따라 체결된 '한영 전략적 파트너십' 일환으로 올해 처음 훈련에 참가했다. 영국군 제16통신여단(16th signal regiment)과 '합동방어팀'을 구성했다. 이번 훈련에는 일본·독일·프랑스 등 17개국 46개팀이 치열하게 경쟁했다. 한영 합동방어팀은 설 연휴 기간 중 팀워크 형성 및 전략수립 등 준비 단계를 거쳐, 본 훈련에서 군·위성·의료·정부 네트워크에 대한 가상의 사이버공격을 효율적으로 방어해 종합우승을 차지했다. 국정원 및 육군 관계자는 "이번 국제 훈련을 통해 고도화되고 있는 사이버공격에 대한 대응역량을 키우고, 영국과 사이버안보 협력을 더욱 강화할 수 있었다"고 밝혔다.

2024.02.21 15:08이한얼

노드VPN, 로그 기록 남기지 않는 '노 로그 정책' 준수

글로벌 인터넷 보안 업체 노드VPN이 최근 네 번째 노-로그 정책(No-Log Policy) 검증 절차를 성공적으로 마쳤다고 25일 밝혔다. 이번 검증은 세계 빅4 회계 법인인 딜로이트(Deloitte)를 통해 독립적으로 진행됐다. 노드 VPN은 지난해에 이어 사용자들의 로그 기록을 남기지 않는 '노-로그 정책'을 준수하고 있는 것으로 확인되었다. 딜로이트는 검증을 위해 노드VPN의 실무자들을 직접 인터뷰하고, 서버 인프라와 서버 구성, 기술 로그를 심층 분석했다. 또, 개인 정보와 관련하여 난독화 서버, 더블VPN, 표준VPN은 물론 어니언 오버 VPN과 P2P 서버의 구성 설정 및 절차를 전반적으로 검토했다. 이 밖에도, 2023년 11월 30일부터 12월 7일까지 노드VPN 서비스에 접속하여 그 특정 기간에 관찰된 모든 내용을 면밀히 점검했다고 밝혔다. 그 결과 노드VPN이 사용자의 로그 정보를 일체 보관하지 않는 노-로그 정책이 철저히 지켜지고 있음을 발표했다. 조성우 노드VPN 한국 지사장은 “고객들에게 노드VPN이 약속한대로 브라우징 트래픽을 추적하거나 활동 내역을 기록하지 않는다고 확신을 주는 것은 매우 중요하기 때문에, 매년 독립되고 신뢰할만한 기관을 통해 철저한 검증을 받고 있다”고 말하며, “노드VPN은 철저하게 노-로그 정책을 준수하고 있으며, 따라서 안심하고 사용하셔도 된다”고 밝혔다.

2024.01.25 17:33남혁우

자율운항 선박 시대 '사이버 보안' 협력 체계 나왔다

자율운항과 스마트 선박이 늘어나는 가운데 해사 사이버 안전을 강화하는 산학 협력체계가 마련됐다. 고려대학교 해양사이버보안연구센터(센터장 이동훈)와 해상법연구센터(센터장 김인현), 싸이터(대표 조용현), 아비커스(대표 임도형)는 선박에 대한 사이버 공격를 대응하는 협력을 시작했다고 밝혔다. 4개 기관은 해양수산부 해사 사이버안전 관리지침, 국제해사기구(IMO)와 국제선급협회(IACS)의 해양 사이버보안 규정 및 다양한 사이버보안 규제에 대응하는 정책적, 기술적 연구에 협력한다. 이들 기관은 연구를 통해 선박 사이버 보안 관련 글로벌 리더십을 확보할 계획이다. 해사 사이버안전 분야는 국제법적인 특성과 안보에 영향을 받는다. 이번 협력은 민수 분야에서는 자율운항선박과 스마트선박, 방산 분야에서는 한국형 위험관리체계(K-RMF), 함정 유무인복합체계 사이버보안 등 넓은 연구 범위다. 국내 선사, 조선소, 선박 기자재 업체가 글로벌 경쟁력을 높이는 구심점이 될 전망이다. 고려대 해양사이버보안연구센터는 자율항만자율운항선박·스마트 선박 등 해양 모빌리티 사이버보안 전문 연구센터다. 전임교수 9명과 한국해양대학교 교수 등 외부 연구위원 3명으로 설립됐다. 2018년 1회 해양사이버보안 세미나를 시작으로 2023년 6회 워크숍까지 약 1500여명과 22개 기관 및 기업이 참석한 다양한 국내외 네트워크와 협력채널을 형성했다. 고려대 해상법연구센터는 해운, 물류, 조선, 선박금융, 수산 분야를 아우르는 법정책을 연구한다. 센터는 바다 공부모임을 주최하고 바다최고위과정 운영, 해상전문변호사 양성한다. 선장 출신 김인현 센터장(고려대 법전원 교수)을 중심으로 선박금융 전공인 이동해 부소장와 보험법 박사인 김원각 연구교수 등 해운, 물류, 조선, 선박금융, 수산 분야 전문가 포진했다. 김인현 센터장은 "선박 전 분야에 걸친 탈탄소화, 디지털화, 자율운항선박화는 지속·추진돼야 한다"고 말했다. 싸이터는 자율운항선박, 스마트선박, 스마트함정 등 해양 모빌리티 사이버보안 분야 선도기업이다. 조용현 싸이터 대표는 "선박 사이버 공격으로 인해 선박, 화물, 인명, 환경에 심각한 피해가 발생할 수 있다. 선박 체계를 보호하기 위해 다각적인 협력과 대응 체계가 필요하다. 스마트 선박의 설계-건조-시운전-운항 등 수명주기와 상선·특수선에 특화된 사이버 보안 기술 개발에 앞서 명확한 도메인 지식을 통한 기술 기획이 요구된다"고 말했다. 이어 "해사 사이버보안 법제도와 보안기술 분야의 협력을 통해 새로운 형태의 해양 모빌리티 시장 환경에 적합한 보안기술을 개발할 수 있다"고 강조했다. 아비커스는 HD현대 그룹의 자율운항 전문회사다. 세계최초 자율운항 태평양 횡단, 자율운항 제어 솔루션 최다 판매 등 자율운항 선박의 상용화를 주도하고 있다. 임도형 아비커스 대표는 "이번 협력이 원격 자율운항 선박의 사이버 공격에 대한 우려를 해소해 자율 운항 기술의 상용화를 촉진할 수 있기를 기대한다"면서 "자율항해 기술 뿐만아니라 자율운항 선박의 핵심인 사이버 보안 기술도 같이 선점해야 한다" 고 말했다.

2024.01.23 13:35김인순

깃허브 노린 사이버공격 급증, 기업 피해 주의

오픈소스 공유 플랫폼 깃허브를 이용하는 데 있어 보안 위협에 주의해야 한다는 목소리가 높아지고 있다. 다양한 소스코드를 공유한다는 플랫폼 특성을 노려 악성코드를 유포하거나 플랫폼 내 이용자들이 취약점에 노출되는 사례가 급증한다는 지적이다. 최근 해커뉴스 등 외신에 따르면 사이버 보안기업 레코디드 퓨처는 사이버 위헙 분석 보고서를 발표했다. 보고서에 따르면 사이버 범죄자들은 페이로드 배포, 코드 데드 드롭 리졸버, 명령 및 제어, 데이터 유출 등 공격의 핵심 공격 경로로 깃허브를 악용하는 것으로 나타났다. 사이버범죄자들은 깃허브의 공개저장소를 통해 노출된 클라우드 정보를 통해 자격증명을 탈취하거나 악성 코드를 소스코드 배포해 이를 사용한 개발자를 통해 기업에 침투하는 것으로 확인됐다. 깃허브는 소스코드를 공유하거나 공동 프로젝트 등을 추진하기 위해 전세계 개발자들이 적극적으로 활용하는 플랫폼이다. 특히, 챗GPT 출시 후 사용자가 더욱 증가해 지난해 3월 실제 활동하는 사용자 수가 1억 명을 넘어섰다. 레코디드 퓨처는 "기업이나 조직에서 깃허브에 의존하는 경향이 커지면서 이를 노린 사이버범죄자들의 공격시도가 급증하고 있다”며 “악용가능성이 있거나 안정성이 확인되지 않은 프로젝트는 사전에 차단하고 침투에 대비한 방안을 마련해야 한다”고 강조했다.

2024.01.17 09:41남혁우

ZDNet 검색 페이지

'사이버 공격'통합검색 결과 입니다. (42건)