검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'사이버 해킹'통합검색 결과 입니다. (106건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

2600억 규모 사이버범죄 조직 1천명, 아프리카서 체포

전 세계 기업과 조직, 개인을 대상으로 사이버범죄를 일으킨 1천 명 이상의 용의자를 아프리카에서 체포했다. 28일 인터폴은 아프리카 경찰(AFRIPOL) 및 보안전문 기업들과 수행한 세렝게티 작전 결과를 발표했다. 발표 내용에 따르면 이번 작전을 통해 1천6명의 용의자를 체포하고 13만4천89개의 악성 인프라와 네트워크를 해체하는 성과를 기록했다. 지난 9월 2일부터 10월 31일까지 진행된 세렝게티 작전은 아프리카 지역에서 발생한 랜섬웨어, 비즈니스 이메일 침해(BEC), 디지털 협박 및 온라인 사기를 저지르는 범죄를 대상으로 진행됐다. 발생 지역은 아프리카지만 실제 범죄는 미국, 캐나다, 유럽 등 전 세계 기업과 조직을 대상으로 이뤄졌다. 체포된 용의자들은 온라인 신용카드 사기에서부터 폰지 사기, 투자 및 다단계 마케팅 사기, 온라인 카지노 사기 등 다양한 사기 수법을 사용한 것으로 나타났다. 이로 인해 전 세계적으로 3만5천 명 이상의 피해자가 발생했으며 재정적 손실 규모는 약 1억9천300만 달러(약 2천688억원)에 달했다. 또 카메룬 등 일부 지역에선 다단계 마케팅 사기를 실행하기 위해 피해자를 인신매매한 혐의를 받는 집단이 체포되기도 했다. 피해자들은 생존이 어려운 취약계층이 대부분으로 이들은 취업 기회나 교육을 제공한다는 약속을 받고 회원비 지불 후 카메룬으로 이동했다. 하지만 현지에서 구속된 후 해킹 조직에게 팔려가 다단계 사기 등에 강제로 동원된 것으로 알려졌다. 이번 작전에는 인터폴을 비롯해 알제리, 앙골라, 베냉, 카메룬 등 19개 아프리카 경잘조직 연합인 아프리폴(AFRIPOL)이 공조해 진행됐다. 포티넷, 그룹-IB, 카스퍼스키, 트렌드마이크로 등 보안 전문기업과 영국 외무부, 영연방 및 개발부, 독일 연방 외무부, 유럽 위원회에서 관련 기술 및 자금을 지원했다. 인터폴 발데시 우르키자 사무총장은 "세렝게티 작전은 우리가 협력한 결과 수많은 잠재적인 피해자와 재정적 고통을 방지할 수 있다는 것을 보여준다"며 "다만 이번 결과는 전체 사이버범죄에 비해 빙산의 일각에 불과하다는 것을 알고 있기 때문에 앞으로 전 세계적으로 범죄 집단을 계속 추적할 것"이라고 강조했다. 아프리폴의 야렐 첼바 전무이사는 "우리는 세렝게티 작전을 통해 아프리카 연합 회원국의 법 집행 지원을 크게 강화했다"며 "이번 작전으로 AI 기반 맬웨어 및 고급 공격 기술과 같은 사이버 범죄 추세에 대한 통찰력을 확보한 만큼 더욱 철저하게 사이버범죄에 대응할 것"이라고 밝혔다.

2024.11.28 09:26남혁우

韓 금융권 노리는 北·中·러 해커, AI 기술로 '암호화폐' 노린다

최근 북한 배후 위협그룹의 암호화폐 탈취 사건이 밝혀진 가운데 우리나라 금융권을 타깃으로 한 공격이 점차 늘어나고 있어 기업들의 보안 강화를 요구하는 목소리가 높아지고 있다. 26일 S2W가 발표한 '4차 금융 보안 보고서'에 따르면 북한, 중국, 러시아 등 국가를 배후로 둔 APT(Advanced Persistent Threat) 그룹이 금융기관과 조직을 상대로 사이버 공격을 강화하고 있는 것으로 나타났다. 특히 북한 배후 APT 그룹의 암호화폐 탈취 시도를 포착해 분석한 결과, 북한 배후 APT 그룹 라자루스(Lazarus)와 안다리엘(Andariel)의 프로파일링이 포함돼 주목된다. 이들은 경찰청 국가수사본부가 지난 2019년 국내의 한 암호화폐 거래소에서 발생한 580억원 규모의 암호화폐 해킹 사건의 배후로 지목한 바 있다. 또 이미 잘 알려진 라자루스, 안다리엘 외에도 S2W가 최초 명명한 puNK-003 그룹이 탈세 제보 자료로 위장한 악성 코드를 만든 것으로 나타났다. S2W는 해당 악성코드 분석을 통해 또 다른 북한 배후의 공격 그룹인 코니(KONNI) 그룹과의 연관성을 제시했다. S2W는 "이처럼 다양해지는 공격 패턴에 대응하기 위해 AI와 지식그래프 기술을 결합했다"며 "방대한 다크웹 및 히든채널의 빅데이터를 체계적으로 분석하고 금융권이 직면한 사이버 위협에 맞는 명확한 정보를 적시에 제공하고 있다"고 설명했다. S2W는 보고서를 통해 APT 그룹의 해킹 시도를 대비하고 금융권 보안을 강화하기 위한 세 가지 주요 대응 방안을 제시했다. 먼저 북한과 러시아 등 APT 그룹의 글로벌 위협 활동을 지속적으로 모니터링하고 이들의 공격 패턴을 분석해 사전에 대비해야 한다. 또 다크웹과 숨겨진 채널에서 민감한 데이터가 유출되거나 거래되는 사례가 증가하고 있는 만큼, 이를 탐지할 수 있는 모니터링 체계를 구축해야 한다. 더불어 최근 부각되는 AI 및 거대언어모델(LLM) 기술 악용 사례에 대비해 데이터 중독 공격과 허위 정보 생성 등의 위협을 차단할 수 있는 보안 통제 체계도 마련해야 한다. S2W 금융보안 TF 김재기 센터장은 "이번 4차 보고서 분석 결과 국가 배후 해킹조직이 금융권을 타깃으로 한 사례도 확인했으며 다크웹, LLM 등을 적극 활용해 공격 방식이 더욱 빠르고 다양하게 변화하고 있는 것을 알 수 있었다"며 "이번 보고서를 통해 금융권 기업이 다각적인 접근을 통해 점차 고도화되는 사이버 위협에 효과적으로 대응할 수 있도록 인사이트를 얻을 수 있을 것"이라고 밝혔다.

2024.11.26 16:55장유미

이상운 금결원 CISO "망분리 개선에 맞춘 新정보보호체계 만든다"

"금융보안 규제 선진화와 망분리 개선 등 정보보호 컨플라이언스가 변화하는 시점입니다. 금융보안 규제가 기존 열거형 방식에서 목표와 원칙 중심으로 바뀌면서 스스로 보안을 강화하는 노력에 집중합니다. 금융결제원은 '新정보보호체계'를 만들고 있습니다." 금융당국이 금융산업 디지털 혁신을 촉진하기 위해 10년 된 금융권 망분리 규제를 개선하고 나섰다. 망분리 개선이 시작되면서 가장 분주해진 업무가 사이버보안 영역이다. 금융과 핀테크 등의 핵심 인프라의 보안을 총괄하고 있는 금융결제원 이상운 최고정보보호책임자(CISO)는 자율보안체계 수립에 집중한다. CISO의 역할이 그 어느 때보다 강조되는 시점이다. 체크리스트에 기반한 수동적인 보안에서 능동적인 보안 시대로 넘어간다. 이상운 CISO는 "금융공동망을 운영하는 금융결제원은 디지털 금융 시대 중요한 인프라를 책임지고 있다"면서 "망분리 규제 개선으로 외부와 연결 접점이 생기면 진화한 사이버 보안 위협에 노출되는 공격 표면이 늘어난다"고 말했다. 그는 "시스템 구축과 운영에서 망분리 규제 개선에 따른 장점을 취하면서도 보안성은 확보하는 정보보호체계가 핵심 경쟁력이 될 것"이라고 말했다. 금결원은 대내외 환경변화에 대응하고 중장기 정보보호 업무 방향 설정을 위해 미래 환경 변화에 적합한 新정보보호체계를 마련한다. 이 CISO는 "핵심과제인 다층적 보호 체계를 만들기 위해 제로 트러스트 기반 보안 플랫폼 구축과 안정화에 자원을 투입한다"고 설명했다. '절대 믿지 말고(Never Trust), 항상 검증하라(Always Vertify)'란 제로 트러스트 원칙에 기반한다. 이 CISO는 “제로 트러스트는 전통적인 경계 기반 보안을 무력화하는 최신 사이버 위협에 대응할 수 있다”면서 “망분리 규제 개선의 핵심 보안 요소인 다층적 보호 체계 구현의 근간이 된다”고 말했다. 금결원은 지난 10월 과기정통부와 KISA가 주관하는 '제로트러스트 도입전환 컨설팅' 사업에서 민간분야 지원 대상기업으로 선정됐다. 이 CISO는 “금결원 내 제로 트러스트 관련 현황 분석과 성숙도 평가, 보안모델, 로드맵 수립 등을 수행할 예정”이라며 “생성형AI와 클라우드 등을 활용할 수 있는 개방형 개발 및 테스트 환경에 적합한 제로 트러스트 보안 모델 설계가 목표”라고 밝혔다. 금결원은 규제 준수를 위한 모의해킹에 머무르지 않고 선제적으로 보안 취약점을 찾는데도 집중하고 있다. 그는 “디지털 전환 가속화와 신기술 의존이 높아지면서 외부 개방과 연결이 증가할 수 밖에 없다”면서 “사이버 공격 표면 확장은 피할 수 없다”고 말했다. 이 CISO는 “오펜시브 보안 전문기업과 함께 공격자 관점에서 대외 서비스에 대한 취약점 점검을 확대하고 있다”면서 “올해는 전년 보다 2배 가량 모의해킹 기간을 늘려 점검했다”고 강조했다. 금결원 보안팀은 이를 통해 공격과 침투 시나리오 이해하고 사고 인지와 초기 대응절차를 보강하는 성과를 달성했다. 이 CISO는 “규제에 맞춰 주어진 보안을 하던 시대는 끝났다”면서 “각 기업이 자체 시스템과 데이터에 가장 적합한 보안 체계를 만들고 운영해야 한다”고 말했다. 이어 “특정 기간을 넘어 지속적인 침투 테스트를 통해 변화하는 IT환경에서 사이버 복원력을 유지할 것”이라고 덧붙였다.

2024.11.25 11:08김인순

견적 요청에 무심코 '클릭'…업무 메일에 정보 탈탈 털렸다

최근 업무 관련 메일로 위장한 신규 악성코드 유포 사례가 다수 발견돼 사용자들의 각별한 주의가 요구된다. 21일 안랩에 따르면 최근 공격자들은 클라우드 기반 그룹웨어의 대용량 첨부파일 URL이나 저작권 위반 안내 메일을 가장해 악성코드를 유포하고 있는 것으로 나타났다. 특히 사용자들의 긴급성을 자극하거나 신뢰를 얻기 쉬운 방식을 활용해 악성 파일 다운로드를 유도한 것으로 밝혀졌다. 안랩은 클라우드 그룹웨어의 첨부파일 기능을 악용한 사례에서 '견적 요청'과 같은 제목으로 악성 URL을 포함한 메일이 발송됐다고 설명했다. 사용자가 URL을 클릭하면 정보탈취형 악성코드가 다운로드돼 PC 내부 정보가 공격자 서버로 전송된다. 또 공격자들은 저작권 위반 안내를 사칭한 메일 형태로 실행파일과 DLL 파일이 포함된 압축파일을 다운로드 하도록 유도하고 있다. 특히 실행파일 확장자를 '.pdf'로 위장하고 공백을 삽입해 사용자가 'exe' 파일임을 알아채기 어렵게 만들었다. 이러한 악성 해킹 사례에 대응해 안랩은 자사 'V3' 제품군과 안랩 'MDS' 솔루션에서 해당 악성코드와 URL에 대한 탐지 및 실행 차단 기능을 제공 중이다. 또 위협 인텔리전스 플랫폼인 '안랩 TIP'을 통해 최신 위협 정보를 실시간으로 제공하고 있다. 안랩 관계자는 "조직 계정 정보 유출은 추가적인 피해로 이어질 가능성이 높다"며 "사용자들이 보안 수칙을 철저히 지키는 것이 중요하다"고 강조했다.

2024.11.21 17:28조이환

K-방산 지속 성장 위해 '사이버 보안' 강화가 필수

지정학적 위기감이 고조되며 글로벌 방산 시장이 주목받는 가운데 관련 기술 보호가 이슈로 떠올랐다. K-방산의 지속 성장을 위해 핵심 기술 보호가 시급하다. 앤앤에스피(대표 김일용)는 19일 AT센터에서 열린 제 10회 방산기술보호 및 보안 워크숍에 참여, K-방산 핵심 기술 보호 대응전략을 발표했다. 한국방위산업진흥회와 한국방위산업학회, 한국정보보학회는 '방산4강 도약을 위한 방산안보'를 주제로 보안 워크숍을 개최했다. 김기현 앤앤에스피 부사장은 '방산무기 체계와 대응 세션'에서 망분리 정책 변화에 따른 대응법을 발표했다. 러시아-우크라이나 전쟁과 이스라엘-팔레스타인 분쟁 등 글로벌 지정학적 위기가 끊이지 않으며 각국의 자주 국방 기조가 거세다. 이에 따라 K방산 수출 규모는 더욱 증가할 전망이다. K 방산 수출이 늘면서 관련 기업을 노린 사이버 공격도 늘었다. 북한과 러시아 등 해커조직은 방산업체와 협력업체를 표적해 첨단기술과 기밀정보 탈취에 열을 올리고 있다. 방산 분야 전반에 걸쳐 디지털 전환이 가속화되면서 사이버 보안 중요성이 높아지고 있다. 김 부사장은 “방산업체를 노린 공격이 급증하고 있는 가운데 내부의 중요 정보를 등급에 맞춰 안전하게 보호하는 정책이 시행된다”면서 “대기업은 물론이고 협력업체도 등급에 맞춰 체계적인 보안 대책을 마련해야 한다”고 말했다. 이어 “방산 관련 소프트웨어 공급망 보안은 물론 보안이 다른 네트워크 간에 안전한 데이터 이동에 신경써야 한다”고 덧붙였다.

2024.11.20 13:38김인순

"아마존 아니었어?"…'블프' 앞두고 직구족 노린 가짜 쇼핑몰 판친다

연말 최대 쇼핑 성수기인 블랙프라이데이, 사이버먼데이 등의 행사를 앞두고 개인정보 해킹과 사이버 피싱이 빈번할 것으로 보여 소비자들의 주의가 요구된다. 20일 노드VPN에 따르면 해커들은 이달 말부터 시작되는 블랙프라이데이를 전후해 '다크웹'에서 소비자들을 겨냥해 사기 키트, 피싱 도구를 배치한다. 이곳에선 가짜 쇼핑몰 웹사이트와 사기 운영 방법에 대한 튜토리얼까지 제공될 만큼 사이버 범죄를 위한 철저한 준비가 이루어진다. 가짜 쇼핑몰 웹사이트는 가장 간단하고 전통적인 사기 수법으로, 가장 성공률이 높은 온라인 사기 중 하나로 꼽힌다. 노드VPN의 최신 연구에 따르면 9월 대비 10월에 가짜 쇼핑몰을 방문한 시도가 990만 건에서 1천340만 건으로 35%나 증가한 것으로 나타났다. 이런 가짜 사이트들은 다크웹에서 쉽게 구할 수 있는 도구로 제작되며 실제 쇼핑몰과 비슷한 레이아웃과 로고를 사용해 소비자들을 속이고 있다. 가짜 사이트를 만들기 위해 필요한 피싱 키트는 다크웹에서 피싱 키트는 주로 무료로, 가짜 웹사이트 레이아웃은 단돈 50달러에서 시작한다. 또 악성코드 구독 서비스는 월 150달러에 판매되고 있다. 가짜 사이트는 정품 쇼핑몰을 흉내 내 비즈니스나 서비스를 모방한다. 로고와 디자인을 복제하고 URL에 한 글자만 교묘하게 바꾸는 방식으로 소비자를 속인다. 이를 더욱 그럴듯하게 만들기 위해 범죄자들은 URL에서 '아마존(Amazon)'을 '아르나손(Arnason)'으로 바꾸는 것과 같은 타이포그래피 트릭을 사용하기도 한다. 이처럼 교묘한 속임수에 넘어가 가짜 쇼핑몰에 접속하게 된 사용자 중 84%는 사이트를 실제로 이용했다. 또 이들 중 절반 가까이가 금전적 피해를 입은 것으로 나타나 주의가 필요하다. 쿠키 그래버 페이지도 다크 웹에서 발견되는 가장 고가의 온라인 사기 키트 중 하나로 꼽힌다. 이러한 페이지는 사용자의 브라우저나 소셜 미디어 플랫폼에서 쿠키를 수집하도록 특별히 설계됐다. 해커들은 이를 구매해 범죄에 악용한다. 해커가 다크웹과 같은 경로를 통해 활성 쿠키를 얻으면 로그인 자격 증명, 비밀번호, 심지어 다중 인증 절차조차 필요 없이 쉽게 계정에 접근할 수 있기 때문에 매우 위험하다. 쿠키에서 가장 흔히 도난당하는 개인 정보는 이름, 이메일 주소, 도시, 비밀번호, 주소 등 치명적인 것들이 포함된다. 이에 노드VPN은 ▲철저한 웹사이트 주소 확인 ▲과도하게 좋은 가격 조건은 의심하기 ▲특이한 결제 방법은 피하기 ▲정기적인 쿠키 삭제 ▲보안 도구의 사용 등 연말 시즌을 맞아 금융 피해를 당하지 않도록 주의를 당부했다. 아드리아누스 바르멘호벤 노드VPN 사이버 보안 고문은 "이제 해커들은 전통적 방식에서 벗어나 가짜 사이트 구축에 AI 기반 기술까지 동원하는 등 빠르게 진화하고 있다"며 "소비자 개인의 인식과 노력을 기반으로 신뢰할 만한 보안 프로그램을 사용해 미리 피해를 방지하는 것이 중요하다"고 말했다.

2024.11.20 10:33장유미

구글, '제미나이'에 메모리 기능 추가…개인화 서비스 '강화'

구글이 '제미나이'가 장기 기억력을 가지게 되면서 인공지능(AI) 개인화 분야에서 한 단계 더 진일보했다. 20일 테크크런치에 따르면 구글 딥마인드는 최근 '제미나이' 챗봇에 '메모리' 기능을 탑재해 챗봇이 사용자의 특정 정보를 기억하게 만들었다. 이에 따라 사용자는 자신의 선호도를 기반으로 '제미나이'와 대화를 이어가거나 정보를 제공받게 됐다. 구글은 '메모리' 기능을 자사 프리미엄 서비스인 '구글 원 AI 프리미엄 플랜' 가입자에게 우선 제공하며 현재는 웹 클라이언트에서만 사용할 수 있도록 했다. 향후 iOS와 안드로이드 앱에도 적용될 가능성이 있지만 구체적인 일정은 알려지지 않았다. '메모리' 기능은 직접 켜고 끌 수 있어 사용자가 원하는 정보만을 저장하게 한다. 또 요청 시 언제든지 특정 정보를 삭제할 수 있어 데이터 관리의 유연성을 제공한다. 구글은 이같이 저장된 정보가 모델 훈련에 사용되지 않는다는 점을 강조했다. 사용자의 개인 정보는 외부에 공유되지 않고 AI 기능 개선을 위한 학습에도 활용되지 않는다는 것이다. 그럼에도 불구하고 이러한 '메모리' 기능이 보안 문제를 낳을 가능성도 제기되고 있다. 이 기능을 악용해 사용자의 데이터를 지속적으로 탈취하는 해킹 방법을 발견한 사례가 있기 때문이다. 테크크런치는 "'챗GPT'와 '제미나이'의 메모리 기능은 적절한 안전장치 없이 설계될 경우 악용될 가능성이 있다"며 "올해 초 한 보안 전문가가 이러한 서비스에 가짜 메모리를 은밀히 심어 사용자의 데이터를 지속적으로 훔치는 방법을 발견한 바 있다"고 분석했다.

2024.11.20 09:17조이환

美법무부 "韓에 감사"…국내서 체포한 랜섬웨어 범죄자 미국 인도

러시아 국적의 사이버 범죄자가 한국에서 체포 후 미국으로 송환됐다. 그는 랜섬웨어를 개발해 1천건 이상의 공격에 참여하며 1천600만 달러(약 223억원) 규모의 몸값을 탈취한 것으로 알려졌다. 범죄자를 인도받은 미국 법무부는 공조 수사에 협력한 한국 측에 감사의 뜻을 표했다. 18일 비핑컴퓨터 등 외신에 따르면 미국 법무부(DOJ)는 러시아 국적의 42세 예브게니 프티친을 한국에서 인도받았다고 밝혔다. 지난 4일 한국에서 송환된 예브게니 프티친은 메릴랜드 지방 법원에 출두해 혐의에 대한 인정 여부를 묻는 절차를 진행했다. 현재 전신 사기 공모, 전신 사기, 고의적 컴퓨터 손상, 해킹 관련 강탈 등 총 13건 항목으로 기소됐다. 해당 항목에 대해 모두 유죄 판결을 받을 경우 최대 35년 이상의 징역형을 받을 수 있을 전망이다. 이 과정에서 그는 포보스(Phobos) 랜섬웨어 개발에 참여했을 뿐 아니라 다크웹을 통해 판매하거나 이를 이용한 공격을 지원한 것으로 나타났다. 이를 통해 피해자의 시스템을 장악하거나 데이터를 탈취한 후 피해자들에게 암호화폐로 몸값을 요구했다. 그가 유통한 포보스 랜섬웨어는 미국을 비롯한 수많은 국가에서 1천개가 넘는 공공 및 민간 기관에서 피해를 발생시켰으며 이 과정에서 약 223억원 규모의 몸값도 갈취했다. 법무부 국제부서는 한국 법무부의 국제형사과와 협력해 프티친의 인도를 진행했으며 현재 FBI 볼티모어 지부에서 조사하고 있다고 밝혔다. 더불어 미국 법무부 측은 이번 랜섬웨어 조사에 협조한 한국과 영국, 일본, 스페인, 벨기에, 폴란드, 체코, 프랑스, 루마니아의 국제 사법 및 법 집행 파트너 등에 감사를 표했다. 리사 모나코 부검찰총장은 "예브게니 프티친 기소 후 체포 및 인도까지 이르는 과정은 랜섬웨어라는 국제적 재앙에 맞서 싸우는 데 앞장서겠다는 의지를 반영한 것"이라며 "특히 한국 같은 국내 및 해외 법 집행 파트너의 협력은 현재 직면한 가장 심각한 사이버 범죄 위협을 방해하고 억제하는 데 필수적"이라며 감사의 뜻을 표했다. 이에 한국 법무부 관계자는 "초국가적 범죄를 척결하기 위한 정부의 강한 의지를 국제사회에 알린 사례" 라며 "앞으로도 국제협력 네트워크를 더욱 강화하고 유관기관과 긴밀하게 협력해 사법정의 실현을 위해 최선의 노력을 다하겠다"고 말했다.

2024.11.19 09:29남혁우

베리타스, 사이버 장애 진단부터 복구까지 통합 지원

베리타스테크놀로지스가 기업 보안 시스템 전체를 파악할 수 있는 서비스를 출시해 갈수록 늘어나는 사이버 공격 대비에 본격 나섰다. 베리타스테크놀로지스는 사이버 장애 사전 진단부터 대비, 복구, 사후 관리까지 포괄적으로 제공하는 '사이버 레질리언스 컨설팅 서비스'를 국내 출시했다고 18일 밝혔다. 사이버 레질리언스 컨설팅 서비스는 랜섬웨어, 해킹 등 사이버 환경에서의 문제 상황을 사전에 진단·대비하고, 장애 발생 시 신속하게 데이터를 복구하고 비즈니스를 정상화할 수 있게 돕는 컨설팅 서비스다. 이 서비스는 고객 데이터 관리 상황을 확인하고 모니터링하는 진단 서비스와 문제 발생 시 데이터를 복구하고 추후 상황을 대비할 수 있는 복구 지원 서비스로 이뤄졌다. 기존 백업 복구 서비스는 사고 이후 복구에만 초점 맞췄다. 반면 이 서비스는 기업 데이터·백업 환경 진단뿐 아니라 실제 사이버 공격 발생 대응 방안과 사례를 포함한 모의 훈련이 가능한 플레이북까지 제공한다. 보안 규정·컴플라이언스 준수 관련 사항도 체크한다. 또 복구 지원 서비스는 단순 시스템·데이터 복구뿐 아니라 백업 데이터 오염 여부까지 점검한다. 사이버 공격 발생 후에도 이상 징후 모니터링과 악성코드 스캔 진행, 백업 정책 검토·개선, 암호화·네트워크 분할 구현, 접근 통제 강화를 위한 다중 인증(MFA) 및 다중 관계자 인증(MPA) 도입 등 사이버 레질리언스 최적화를 위한 포괄적인 컨설팅을 통해 기업이 더 안전하게 자산을 보호·복구할 수 있도록 돕는다. 이상훈 베리타스테크놀로지스 한국 지사장은 "랜섬웨어 등 사이버 공격과 위협은 상시적이고 날로 고도화되고 있다"며 "기존보다 고객 니즈에 맞춘 체계적이고 전문적인 컨설팅 서비스로 기업들의 사이버 대응 역량·레질리언스 강화를 지원할 것"이라고 강조했다.

2024.11.18 16:25김미정

아마존, 직원 데이터 일부 유출…사이버범죄 포럼 게시

아마존에서 유출된 직원 데이터 일부가 사이버범죄 포럼을 통해 공개됐다. 12일 404미디어 등 외신에 따르면 한 해커가 아마존의 기업데이터 일부를 탈취했다며 해당 내용 중 일부를 사이버범죄 포럼인 브리치포럼(Breach Forums)에 게시했다. 게시된 내용에 따르면 유출된 데이터는 총 280만 줄에 달하며 이 중에는 일부 직원의 이름, 업무 연락처 정보, 근무 위치도 포함하고 있다. 게시물을 올린 해커는 클라우드 데이터 관리 도구인 '무브잇(MOVEit)을 통해 해당 데이터를 확보한 것이라고 주장했다. 이에 대해 아마존 측은 통해 게시된 데이터가 실제 아마존의 것이라고 밝혔다. 다만 이번 탈취는 파트너사에서 발생한 것으로, 유출된 직원 정보는 기업내 정보로 제한돼 아마존 내부의 보안사고는 아니라고 일축했다. 사이버범죄 포럼은 사이버범죄자들이 탈취한 데이터나 해킹 도구 등을 공유하거나 거래하는 사이트다. 수사망을 회피하기 위해 다크웹을 통해 운영된다. 이번 아마존의 탈취된 데이터가 게시된 브리치포럼의 경우 미국 연방수사국(FBI)과 사업부의 공조로 폐지됐으나 최근 재개한 것으로 알려졌다. 아마존 대변인은 "최근 자산 관리 공급업체 중 한 곳에서 보안 사고가 발생해 아마존을 포함한 여러 기업에 피해가 발생했다는 보고를 받았다"며 "유출된 정보는 업무 이메일 주소, 내선 번호, 건물 위치 등 업무 관련 정보에 한정된다"고 설명했다. 이어 "이번 위협에서 사회보장번호나 정부 신분증, 금융 데이터 등 민감한 데이터에는 접근하지 못한 것을 확인했다"며 "더불어 유출 사고가 발생한 파트너사는 이런 사고를 방지하기 위해 보안 취약점을 근본적으로 수정했다"고 덧붙였다.

2024.11.12 10:06남혁우

법원 홈페이지 일시 중단…러시아 디도스 공격 '의심'

전국 법원 홈페이지가 디도스(DDoS) 공격으로 의심되는 사이버 공격을 받아 접속 불통 사태가 발생했다. 이는 최근 국방부와 합동참모본부 등 정부 기관에 대한 디도스 공격과 유사한 양상을 보여 러시아 배후 가능성이 제기되고 있다. 7일 업계에 따르면 서울, 대전, 광주 등 전국 법원 홈페이지가 일시적으로 마비되면서 사건 검색 등 대국민 서비스가 중단돼 불편이 이어지고 있다. 실제로 외부 이용자가 접속을 시도할 경우 서버가 다운돼 '사이트에 연결할 수 없다'는 안내 문구가 표시되고 있다. 법원행정처는 이러한 장애의 원인이 외부에서 유입된 대량의 트래픽으로 인해 발생했다고 지목했다. 이에 따라 선제적인 접속 차단 조치를 취해 대응하고 있는 것으로 알려졌다. 다만 전자소송 시스템과 법원 내부망에는 문제가 발생하지 않았다. 이에 따라 재판과 사법 기능은 직접적인 영향 없이 정상적으로 운영되고 있다. 법원행정처와 국정원은 현재 원인 파악을 진행 중으로, 기자의 확인 요청에 '확인 중'이라는 입장을 밝혔다. 이번 법원 홈페이지 접속 장애는 지난 5일 국방부와 합동참모본부를 비롯해 환경부, 국가정보자원관리원, 국민의힘 홈페이지 등 여러 국내 주요 기관이 디도스 공격을 받은 것과 유사한 양상을 보이고 있다. 당시 공격으로 인해 해당 웹사이트들은 일시적으로 마비되거나 접속 속도가 느려지는 등 장애를 겪었다. 업계 전문가들은 이러한 공격들의 배후에 러시아 해킹 그룹이 있다고 진단한다. 한국의 우크라이나 지원에 대한 반발로 러시아 측이 보복성 사이버 공격을 감행하고 있다는 분석으로, 이번 법원 홈페이지 장애 역시 같은 배후에 의한 공격일 가능성이 높다는 것이다. 최근 한국인터넷진흥원(KISA) 관계자는 "북한의 러시아 파병 등으로 인해 사이버 위협이 커지고 있다"며 "러시아 해킹 그룹 등에 의한 디도스 공격에 대비해야 한다"고 권고했다.

2024.11.07 16:57조이환

"글로벌 범죄와의 전쟁"…인터폴, 공조수사로 사이버범죄자 41명 체포

국제형사기구(인터폴)가 글로벌 공조 작전으로 사이버범죄자 41명을 체포했다. 한 사이버범죄에 악용된 것으로 보이는 악성 IP 주소도 2만2천 개 이상 차단하고 피싱 및 뱅킹 악성코드와 관련된 데이터 역시 확보해 분석 중이다. 7일 해커뉴스 등 외신에 따르면 인터폴은 올해 상반기 실시한 '시너지아2 작전(Operation Synergia II)'에 대한 성과를 발표했다. 시너지아 2 작전은 지난 4월 1일부터 8월 31일까지 수행한 글로벌 공조 수사 프로젝트다. 피싱, 랜섬웨어, 정보 도용자를 표적으로 인터폴을 비롯해 회원국 95개국의 법 집행기관과 민간보안기업이 참여했다. 작전 기간 동안 인터폴은 파트너인 그룹IB, 트렌드마이크로, 카스퍼스키, 팀 컴리(Team Cymru)와 협력해 사이버범죄를 추적하고 이에 악용된 악성 서버를 식별했다. 식별된 정보는 각 지역별 법 집행 기관과 공유했다. 각 기관은 예비 조사 수행 후 주택 수색, 악성 사이버 활동 중단, 서버 및 전자 기기 합법적 압수를 포함한 일련의 조치를 취했다. 인터폴은 해당 작전을 통해 확인된 약 3만 개의 의심스러운 IP 주소 중 76%를 차단하고 59개의 서버를 압수했다고 밝혔다. 또 노트북, 휴대전화, 하드 디스크를 포함한 43개의 전자기기도 압수하고 관계자 41명을 체포했다. 더불어 현재 이와 관련된 65명을 수사 중이라고 덧붙였다. 이번 작전은 각 국가별 집행기관들과의 공조가 주효했다. 홍콩은 악성 서비스와 연결된 1천37개 이상의 서버를 차단했으며 몽골은 불법 사이버 활동과 관련된 93명의 개인을 식별하는데 성공했다. 또 에스토니아는 80GB가 넘는 서버 데이터를 압수 후 인터폴과 협력해 피싱 및 뱅킹 악성코드와 관련된 데이터에 대한 추가 분석을 실시하고 있다. 인터폴 사이버범죄국장인 닐 제튼은 "이번 작전은 국제적 사이버범죄의 위협 확대에 대한 대응책"이라며 "전 세계적으로 개인과 기업을 보호하기 위해 세 가지 주요 사이버범죄 유형을 우선시했다"고 밝혔다. 이어 "이번 작전에서 드러났듯 사이버범죄는 글로벌 대응을 필요로 하다"며 "끊임없이 진화하는 이 위협에 맞서 싸우고 우리 세계를 더 안전한 곳으로 만들기 위해 다양한 회원국 팀을 하나로 모을 수 있어 자랑스럽게 생각한다"고 말했다.

2024.11.07 09:42남혁우

"국방부 홈페이지도 버벅"…北 손잡은 러시아, 韓 사이버 공격 강도 높이나

북한군의 우크라이나 전쟁 참전을 기점으로 우리나라 안보도 불안한 모습을 보이는 가운데 러시아가 국내 기관 및 기업을 대상으로 사이버 위협 강도를 높이고 있어 우려가 커지고 있다. 6일 업계에 따르면 러시아 해커집단은 최근 김용현 국방부 장관과 로이드 오스틴 미국 국방부 장관이 북한과 러시아의 군사협력 심화를 규탄하는 공동 성명을 채택한 것을 빌미로 한국을 겨냥해 분산서비스거부(DDoS·디도스) 공격에 적극 나서고 있다. 실제 국방부는 전날(5일) 오후 5시 30분쯤부터 인터넷 홈페이지에 대한 디도스 공격이 이어지면서 접속이 제대로 이뤄지지 않았다. 국방부 홈페이지와 비슷한 기반을 사용하는 합동참모본부 홈페이지도 같은 현상이 일어났다. 이 현상은 이날 오전에도 이어지면서 국방부 홈페이지 접속 속도가 느려지거나 일부 내용이 열리지 않는 등 큰 불편을 야기했다. 합동참모본부 홈페이지 역시 일부 접속이 불안정한 모습을 보였다. 다만 내부망인 국방망은 문제가 없는 것으로 알려졌다. 디도스는 특정 서버를 대상으로 지속적이고 많은 양의 트래픽을 일으켜 정상적인 서비스 제공이 불가능해지도록 만드는 해킹 수법이다. 이번 일을 두고 군 안팎에서는 이번 디도스 공격의 배후가 북한이나 러시아일 가능성을 높게 두고 있다. 북·러 양국이 북한군의 러시아 파병과 북측 신형 대륙간탄도미사일(ICBM) '화성-19형' 시험발사에 대한 한국군의 반발에 대응해 사이버 공격을 감행했을 것으로 봤다. 일각에선 우리 정부가 우크라이나에 살상무기를 지원할 수도 있다고 발표한 데다 우크라이나에 참관단이나 모니터링단을 보내는 방안을 추진하고 있다는 점 때문에 러시아가 디도스 공격을 한 것으로 분석했다. 국방부는 누가 디도스 공격을 시도했는지 아직 파악하지 못한 상태다. 다만 한국인터넷진흥원(KISA)이 지난 1일 국제 해킹 그룹 등의 디도스 공격에 대비해 국내 기관과 기업의 보안 강화를 요청한 바 있어 러시아 쪽 소행일 가능성이 제기된다. 지난달 29일에는 러시아 해커들이 한국의 우크라이나 지원을 빌미로 9~10월 한국 정부기관과 금융회사에 디도스 공격 등 해킹을 시도했다는 사실이 알려지기도 했다. 이처럼 러시아, 북한을 중심으로 사이버 공격이 빈번해지면서 각 기관·기업들도 긴장하는 분위기다. KISA는 홈페이지와 주요 IT 시스템을 모니터링하고 보안 대응을 강화하는 한편, 중요 파일과 문서를 정기적으로 오프라인 백업할 필요가 있다고 조언했다. KISA는 "북한국의 러시아 파병 등으로 인해 사이버 위협이 커지고 있다"며 "러시아 해킹 그룹 등에 의한 디도스 공격에 대비해야 한다"고 권고했다.

2024.11.06 15:25장유미

"C·C++ 프로그램 보안 취약"…美 CISA, 기업 내 SW 보안 악습 3가지 제시

미국 사이버 보안 및 인프라 보안국(CISA)이 사이버위협에 대한 방지를 위해 기업에서 반드시 피해야 할 보안의 악습(Bad Practices)에 대한 지침을 발표했다. 이 가이드라인은 중요한 인프라를 지원하는 시스템과 서비스의 보안 취약성을 줄이고 안전한 디지털 환경을 조성하는 데 중점을 두고 있다. 특히 C와 C++ 기반으로 작성된 중요 소프트웨어(SW)의 경우 2026년까지 메모리안전언어로 전환할 것을 강하게 권고했다. 5일 더뉴스택 등 외신에 따르면 CISA는 '제품 보안의 나쁜 관행(Product Security Bad Practices)'이라는 보안 지침을 발표했다. CISA는 사이버 공격이 점차 정교해지고 빈번해지면서 금융, 의료, 공공 안전 등 주요 산업 분야에 대한 공격으로 인한 피해를 사전에 방지하기 위해 이번 지침을 마련했다. 해당 지침은 시스템 보호를 비롯해 기업 평판과 고객 데이터 보호를 위한 기준 제시를 목표로 한다. CISA는 보안 취약점을 초래하는 대표적인 악습으로 제품 속성 정보 노출, 지원 종료된 제품 사용, 부족한 보안 절차 등 세 가지를 강조했다: 지침에 따르면 많은 기업에서 SW의 버전과 디버깅 정보, 개발 환경 세부사항 등 민감한 속성 정보를 노출하는 경우가 있다. 이러한 정보는 공격자에게 제품의 내부 구조나 잠재적 취약점을 노출시키며 이를 악용해 시스템을 침해할 수 있는 근거가 된다. 특히 CISA는 C와 C++로 작성된 프로그램의 경우 지속적으로 발생하는 메모리 버그 등으로 인해 보안 취약점이 발생하기 쉬운 점을 지적하며 메모리 안전성이 높은 언어로 전환하거나 메모리 안전 로드맵을 구성할 것을 권했다. 메모리 안전 로드맵은 메모리 오류로 인한 보안 취약점을 줄이고 코드의 안정성과 신뢰성을 높이기 위한 전략과 계획을 말한다. 기술 지원이 종료된 SW는 더 이상 보안 업데이트가 제공되지 않으므로 외부에 노출된 보안 취약점에 대한 대비가 이뤄지지 못한다. 해커 등 외부 공격자들이 이런 부분을 노려 시스템에 침투할 가능성이 높은 만큼 항상 SW 제품은 최신 버전을 유지하거나 보안 패치를 최대한 빠르게 적용해야 한다. 많은 기업에서 설치 시 제공되는 사용자명과 비밀번호를 변경하지 않고 그대로 사용할 수 있는 것으로 알려졌다. 이는 사이버공격에 쉽게 노출될 수 있는 위험 요소로 시스템 설치와 함께 변경해 보안을 강화해야 한다. CISA는 중요한 정보가 포함된 시스템의 경우 최신 암호화 표준을 적용해 데이터를 보호해야 하며 구식 암호화 알고리즘은 지양할 것을 권했다. 이와 함께 중요 인프라나 서비스의 경우 생체인증 등 다중 요소 인증(MFA)을 적용해 안전하게 시스템을 보호할 수 있는 환경을 마련해야 한다고 조언했다. CISA 측은 "주요 기업들이 2026년 초까지 사이버위협에 대한 대비 계획을 마련해야 한다"며 "일찍 준비할수록 중요한 SW 자산을 보장하기 위해 더울 나은 수단을 찾을 수 있는 시간을 더 많이 확보할 수 있다"고 강조했다.

2024.11.05 09:44남혁우

"트럼프 캠프 통화 내용까지 유출"…中 해커, 美 통신망 침투

중국과 연계된 해커들이 미국 대선 캠프 인사들의 통화 내용을 감청하면서 미국 안보 당국에 비상이 걸렸다. 29일 로이터 통신에 따르면 중국 정부와 관련된 해커들이 트럼프 캠프 고문을 비롯한 미국 정치권 주요 인사들의 통신을 감청했다는 의혹이 제기돼 미국 연방수사국(FBI)과 사이버보안 및 인프라 보안국(CISA)이 즉각적인 조사에 착수했다. 수사당국은 해커들이 암호화되지 않은 통화와 문자 메시지에 접근했으며 도널드 트럼프 대선 후보와 그의 러닝메이트 JD 밴스가 표적에 포함됐다고 밝혔다. 또 이번 해킹은 민주당 인사들 역시 표적으로 삼은 것으로 확인됐다. 특히 카멀라 해리스 민주당 대선 후보의 캠프 인사들도 이번 공격 대상에 포함된 것으로 알려져 미국 정치권은 대선을 앞두고 사이버 보안 강화를 촉구하고 있다. 해커들은 미국 주요 통신사인 버라이즌 네트워크에 침투해 트럼프 캠프 인사들의 통화를 감청한 것으로 알려졌다. 이에 버라이즌은 자사 네트워크가 공격을 받았음을 인지하고 현재 법 집행기관과 긴밀히 협력 중이다. 미국 의회는 이번 사건과 관련해 AT&T, 버라이즌, 루멘 테크놀로지스 등 주요 통신사에 대한 조사에 나섰다. 이는 중국 해커들이 미국 주요 통신망을 활용해 대선 정보를 수집하려 했을 가능성을 파악하기 위해서다. 트럼프 캠프는 올해 초에도 이란 혁명수비대와 연관된 해커들의 공격을 받은 바 있다. 이번 사건은 중국 해커가 연관된 것으로 추정되면서 미국 대선에 대한 사이버 위협의 범위가 확대되는 양상이다. 주미 중국 대사관 관계자는 "이번 사건의 구체적인 내용을 알지 못한다"며 "중국 정부는 모든 형태의 사이버 공격을 반대한다"고 강조했다.

2024.10.29 08:44조이환

맨디언트 "미확인 해킹 그룹이 전 세계 50개 기업 노렸다"

구글 클라우드의 보안 기업 맨디언트가 전 세계 50개 이상 기업들이 정체불명의 해킹 그룹 'UNC5820'의 공격을 받았다고 발표했다. 지난 24일 맨디언트가 발간한 '포티매니저(FortiManager) 제로데이 공격 (CVE-2024-47575) 조사'에 따르면 해커들이 포티넷 네트워크 관리 솔루션인 '포티매니저'의 제로데이 취약점을 악용한 공격을 글로벌 기업들을 대상으로 수행하고 있다. 보고서는 최근 발생한 일련의 사이버 공격들은 미확인 해킹 그룹 'UNC5820'에 의해 주도된 것이라고 발표했다. 이 그룹은 포티매니저의 취약점을 활용해 포티게이트(FortiGate) 장치로 수평 이동해 50개 이상의 전 세계 기업 네트워크에 침투했다. 해커들은 포티매니저를 장악한 후 관리 장치의 구성 데이터, 사용자 정보, 암호 해시 값 등을 유출했다. 이러한 정보는 기업의 핵심 시스템에 대한 접근을 가능하게 해 추가적인 피해를 유발할 수 있다. 첫 번째 악용 시도는 지난 6월에 관찰됐다. 당시 공격자들은 특정 IP 주소를 통해 포티매니저에 접근 한 후 중요한 구성 파일들을 임시저장파일 경로에서 압축파일 아카이브로 저장했다. 두 번째 공격은 지난 9월에 발생했다. 이 공격도 유사한 방식으로 데이터를 수집해 또다른 IP 주소로 전송하는 등 첫 해킹과 유사한 패턴이 나타나 동일한 그룹의 소행으로 추정된다. 특히 공격자들은 가짜 장치 ID와 임시 이메일 주소를 사용해 흔적을 감추려 했다. 이러한 기술적 지표는 보안 담당자들이 위협을 식별하는 데 중요한 단서가 된다. 맨디언트는 "현재까지 공격자의 정확한 동기나 위치는 파악되지 않았다"며 "그럼에도 이들이 유출한 정보의 민감성을 고려할 때 추가적인 공격 가능성을 배제할 수 없다"고 경고했다. 또 맨디언트는 공격자들이 유출한 데이터를 활용해 추가적인 측면 이동(lateral movement)이나 기업 환경의 추가 손상을 시도할 수 있음을 지적했다. 이번 공격에서 사용된 취약점은 인증되지 않은 공격자가 포티매니저 장치에서 임의의 코드나 명령을 실행할 수 있게 해주는 심각한 보안 허점이다. 이를 통해 공격자는 포티매니저를 통제한 후 관리되는 포티게이트 장치로 이동해 더 광범위한 네트워크 침투를 시도할 수 있다. 구글 클라우드는 자사 고객 중 영향을 받을 수 있는 조직을 파악해 사전 경고를 전달하고 보안 탐지 규칙을 업데이트하는 등 추가 피해를 최소화하고 있다. 또 포티넷은 맨디언트와의 협력을 통해 취약점에 대한 패치를 진행 중이며 고객들에게 최신 버전으로의 업데이트를 촉구하고 있다. 구글 클라우드와 맨디언트에 따르면 기업들은 포티매니저가 인터넷에 노출되지 않도록 네트워크 설정을 재검토하고 승인된 내부 IP 주소만 접근할 수 있도록 제한해야 한다. 또 알 수 없는 포티게이트 장치의 연결을 거부하는 등의 보안 설정을 강화해야 한다. 기업 뿐만 아니라 모든 포티매니저 사용자들은 즉각 시스템 점검과 함께 불필요한 외부 노출을 제한하는 등 보안 강화에 나서야 할 것으로 보인다. 특히 맨디언트는 취약점을 패치할 때까지 '장치 추가' 및 '장치 수정'과 같은 로그 활동을 주의 깊게 모니터링할 것을 권고했다. 맨디언트는 "추가적인 조사 결과가 나오는 대로 관련 정보를 공개할 예정"이라며 "기업들은 공식 채널을 통해 최신 보안 동향을 확인하고 필요한 조치를 취해야 한다"고 강조했다.

2024.10.27 09:39조이환

SK쉴더스 "글로벌 무대서 사이버보안 기술력 입증할 것"

SK쉴더스가 자사 화이트해커 그룹의 기술력과 연구 역량을 해외서 인정 받은 것을 앞세워 사이버보안 인재 양성과 지속가능경영(ESG) 활동에 박차를 가한다. SK쉴더스는 자사 화이트해커 그룹 이큐스트(EQST)가 지난 22일부터 나흘간 룩셈부르크에서 열리는 글로벌 사이버보안 컨퍼런스인 '핵.엘유(hack.lu) 2024'에 참가한다고 23일 밝혔다. 이번 컨퍼런스는 전 세계 사이버보안 전문가들이 모여 최신 보안 기술을 공유하는 자리로, 이호석 EQST 랩 팀장은 '자바스크립트 엔진 V8 취약점'을 주제로 발표를 진행한다. 'V8 엔진'은 구글 크롬과 같은 다양한 애플리케이션에서 사용되며 취약점 발생 시 원격 명령 실행과 같은 치명적인 공격에 악용될 수 있다. 이번 발표를 통해 SK쉴더스는 V8 엔진의 구조와 동작 방식, 디버깅 방법, 익스플로잇 수행에 대한 심도 있는 분석을 제기할 예정이다. 특히 이 팀장은 초보자도 V8의 잠재적 결함을 찾고 분석할 수 있도록 단계별 교육을 제공할 예정이다. 이를 통해 V8의 보안 취약점을 활용한 해킹 기술을 학습할 수 있는 기회를 제공하는 것이 목표다. SK쉴더스는 행사 참가를 통해 글로벌 보안 커뮤니티에서 자사의 기술력을 검증받고 국내외 사이버보안 인재 양성에도 기여할 계획이다. 이곳은 이미 모의해킹 교육 프로그램인 '이큐스트 엘엠에스(EQST LMS)'를 통해 체계적인 보안 교육을 제공하며 ESG 활동의 일환으로 기술 공유와 교육에 힘쓰고 있는 것으로 알려졌다. 김병무 SK쉴더스 정보보안사업부장은 "컨퍼런스 참가로 글로벌 수준의 기술력과 연구 역량을 인정받게 돼 기쁘다"며 "앞으로도 사이버보안 인재 양성과 ESG 활동을 강화해 나갈 것"이라고 말했다.

2024.10.23 09:54조이환

"화이트해커 나선다"…금융보안원, 제2금융권 사이버 보안 강화 훈련 돌입

금융보안원이 진화하는 사이버 위협에 대응해 제2금융권의 사이버 보안 역량을 강화하기 위해 나섰다. 금융보안원은 오는 28일부터 다음달 8일까지 '블라인드 사이버 모의해킹(공격‧방어) 훈련'을 진행한다고 22일 밝혔다. 증권·보험·카드사 등 제2금융권을 대상으로 한 이번 훈련은 해킹 공격에 대한 금융권의 실질적인 대응 능력을 강화하기 위해 기획됐다. 사전 협의 없이 불시에 진행돼 금융회사는 해킹 일정에 대해 미리 통보받지 않는다. 이번 훈련에서는 금융보안원의 레드 아이리스(RED IRIS)팀이 가상의 공격자로 나서 서버 해킹과 디도스(DDoS) 공격을 시도하고 금융회사는 공격 탐지 및 방어 활동을 통해 대응 역량을 점검한다. 동시에 금융회사들이 가상의 디도스 공격을 탐지한 후 비상대응센터로 트래픽을 전환하는 훈련도 진행할 예정이다. 이 훈련을 통해 금융권은 비상 상황에서 금융 서비스의 연속성을 보장하는데 필요한 역량을 기를 수 있다. 또 이번 훈련에는 최근 발표된 '금융분야 망분리 개선 로드맵'에 포함된 생성 AI 관련 보안 대책 점검도 포함된다. 이는 신기술 도입으로 발생할 수 있는 사이버 위협에 대비해 금융 IT 환경의 안전성을 확보하려는 목적이다. 훈련을 통해 금융감독원과 금융보안원은 금융회사의 사이버 보안 시스템의 취약점을 파악하고 필요한 대응 절차를 개선할 예정이다. 특히 금융보안원은 훈련 이후 이행 점검을 통해 개선 사항을 지속적으로 모니터링할 계획이다. 김철웅 금융보안원장은 "디지털 시대의 금융 안전성은 철저한 사이버 보안 대비에서 시작된다"며 "이번 블라인드 모의해킹 훈련은 금융권의 사이버 복원력을 한층 더 강화하는 계기가 될 것"이라고 밝혔다.

2024.10.22 16:13조이환

韓 향한 사이버공격 '빈번'…10건 중 8건은 北 소행

최근 우리나라를 대상으로 한 사이버공격이 빈번해진 가운데 10건 중 8건이 북한의 소행인 것으로 파악됐다. 22일 로그프레소가 아홉 번째 발간한 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence) 리포트에 따르면 국가정보원은 지난해 우리나라 공공기관을 대상으로 한 사이버공격이 일평균 162만 건 정도 발생한 것으로 파악했다. 이 중 80% 정도를 북한발 해킹으로 분류했다. 로그프레소는 북한발 사이버 공격 사례와 실제 해커의 이메일 정보를 분석해 실제 북한의 소행인지 이번에 분석했다. 현재 북한은 아시아 태평양 네트워크 정보센터(APNIC, Asia-Pacific Network Information Centre)에서 공식적으로 할당받은 IP 대역과 러시아 및 중국 통신사가 제공하는 IP 대역을 사용 중이다. 북한에서도 인터넷을 이용하고 있으나 극히 제한적인 사용자만 외부 인터넷에 접속할 수 있다. 로그프레소는 전 세계에서 수집한 OSINT(Open Source Intelligence)를 활용해 공격자에 대한 분석을 시행했다. 과거 한국의 주요 공공기관을 공격했던 악성코드를 분석한 결과, 사이버 공격자가 북한과 직접적으로 연관된 특정 이메일 계정과 IP 대역을 이용했음을 확인할 수 있었다. 또 로그프레소는 미국 연방수사국(FBI)이 공소장에 공개한 북한 해커 박진혁의 이메일 주소를 확보해 이를 분석했다. 해당 정보를 근간으로 실제 북한 해커들이 사용했던 이메일 계정과 패스워드를 확인했으며 북한에 할당된 IP 대역을 통해 공격한 사실을 공개했다. 과거에는 악성코드를 분석해 공격 그룹을 조사했으며 C2 서버 관련 계정, IP 및 도메인 등을 활용해 추가 공격을 방어했다. 그러나 최근 들어 공격자들이 악성코드 정보에 다른 사람이나 집단의 정보를 사칭하는 위장 전술을 사용하면서 공격 그룹을 특정하기 위해서는 다각적인 분석 방법이 필요해지고 있다. 장상근 로그프레소 연구소장은 "사이버 공격이 첨예화되면서 이에 대응하기 위한 분석 기술 또한 고도화되고 있다"며 "사이버 공격과 공격자 집단을 효과적으로 연구하기 위해서는 OSINT 관점도 활용해야 할 것"이라고 말했다. 이번 CTI 리포트에서는 최근 발생했던 국내 대학교의 개인정보 유출 사고 사례도 함께 다뤘다. 대다수 기업과 기관들이 담당자를 채용해 보안관리 업무를 수행하고 있음에도 불구하고 즉각적인 조치가 어려운 이유와 기존 보안솔루션의 한계를 개선하기 위한 방안을 함께 소개했다. 로그프레소 관계자는 "근무 시간 외에 주말과 새벽, 공휴일 등에 이루어지는 공격에도 효과적으로 대응하기 위해서는 SOAR(Security Orchestration, Automation and Response) 도입을 추천한다"며 "보안 운영 업무를 자동화하고 표준화해 사이버 공격에 대응하는 평균 시간 'MTTR(Mean Time To Respond)'을 줄이는 것이 핵심"이라고 설명했다.

2024.10.22 16:07장유미

금융보안원, 금융권 사이버 침해 방지 앞장선다

금융보안원이 금융회사들의 사이버 침해 위협을 방지하기 위해 팔을 걷어 부쳤다. 금융보안원은 금융권에서 발생한 사이버 침해사고 사례를 종합·분석한 금융권 침해대응 인텔리전스 플랫폼 구축 완료해 전 사원기관을 대상으로 본격적인 서비스를 시작했다고 21일 밝혔다. 인텔리전스 플랫폼은 금융보안원이 직접 조사한 침해사고 사례를 분석해 상호 통신, URL-IP 연결 등 침해지표 간의 관계를 시각적으로 제공한다. 침해지표(IoC)는 공격그룹, 악성코드, IP, URL 등으로 구성되며 각 지표 간 연관성을 분석하여 사내 보안정책 등에 적용할 수 있다. 이를 통해 보안담당자가 보안정책 및 대응체계를 강화할 수 있도록 기관별로 맞춤형 인사이트를 제시함으로써 유사 사고를 미리 예방하고 신속하게 대응할 수 있다. 데이터베이스화된 침해지표 등 모든 데이터는 STIX(Structured Threat Information expression) 표준 방식으로 관리되고 사고와 관련된 구체적인 정보는 모두 비식별화돼 참여하는 누구든 활용할 수 있다. 플랫폼 서비스는 그간 설명회와 시범운영을 통해 현장 의견을 적극 수렴해 기능을 최적화하는 과정을 거쳤다. 또 다양한 오픈소스를 활용해 금융권에 적합하게끔 신속하게 구축됐다. 금융보안원은 최신 위협에 대응하기 위해 플랫폼 서비스를 지속적으로 업데이트할 예정이다. 김철웅 금융보안원장은 "금융회사들이 인텔리전스 플랫폼을 적극 활용하면 사이버 침해 위협 발생 시 보다 용이하고 신속하게 대응할 수 있을 것"이라며 "앞으로 침해위협에 대한 분석을 국내외로 확장해 국가배후 해킹조직에 의한 고도화·지능화된 금융권 사이버 위협에도 선제적으로 대응하도록 만전을 기하겠다"고 밝혔다.

2024.10.21 16:39장유미

Prev 1 2 3 4 5 6 Next