ZDNet 검색 페이지

'악성'통합검색 결과 입니다. (33건)

랜섬웨어, 기업 시스템 장악까지 1년…”조기 무력화 가능”

“사이버 공격에 노출된 후 시스템이 장악되기까지 최대 1년이 걸립니다. 이 안에 악성코드를 찾아내고 무력화한다면 랜섬웨어 피해 없이 방어하는 것이 가능합니다.” 김진국 플레인비트 대표와 김혁준 나루씨큐리티 대표가 5일 서울 강남구 인터콘티넨탈 파르나스 호텔에서 공동 기자간담회를 통해 침해평가(CA) 서비스를 공개했다. 침해평가 서비스는 이미 기업내 침투한 악성코드나 멀웨어 등 사이버 위협을 감지하고 파악하는 서비스다. 기업망에 침투한 악성코드가 데이터를 탈취하거나 시스템을 장악하기 전 조기에 발견해 무력화함으로써 기업의 비즈니스 연속성을 보장한다. 나루씨큐리티 이재광 센터장은 “한국인터넷진흥원(KISA)에서 14년간 침해사고 분석 업무를 수행하는 과정에서 랜섬웨어 등으로 인해 수많은 기업들이 돌이킬 수 없는 피해를 겪는 것을 봐왔다”며 “이러한 피해를 막기 위해 내부에 이미 침투한 공격자의 활동을 찾아내고 제거할 수 있는 서비스를 고안하게 됐다”고 소개했다. 이어서 그는 사이버 공격에 노출된 후에도 침해평가를 통해 방어할 수 있는 이유에 대해 설명했다. 악성코드는 대부분 보안 시스템의 사각지대에 놓인 취약점 등을 통해 침투한다. 다만 사각 지대를 통해 진입한 만큼 초기 침투로는 기업에 큰 영향을 미치기 어렵기 때문에 직원 계정 등으로 위장해 서서히 전체 시스템을 장악하거나 주요 데이터의 유출을 진행한다. 사이버 공격자가 원하는 목표를 달성하면 이후 시스템을 장악 후 기업에 알려 몸값을 요구하거나 핵심데이터를 외부에 판매하게 된다. 이재광 센터장은 “이렇게 기업에 침투한 악성코드가 실제로 시스템을 장악하는데 걸리는 시간이 약 1년 정도 소요된다”며 “이 기간 내에 이러한 이상 현상을 파악하고 무력화할 수 있다면 실제 피해로 이어지기 전에 막아내는 것이 가능하다”고 설명했다. 실제로 북한 해킹 그룹이 수행한 법원전산망 개인정보 탈취 역시 2021년 1월 7일 이전부터 2023년 2월 9일까지 2년에 걸쳐 진행된 것으로 나타났다. 그는 이러한 피해를 방지하기 위해선 적어도 6개월에 한 번은 침해평가 서비스를 통해 시스템을 점검할 필요가 있다고 설명했다. 최근 엔드포인트 탐지 및 대응(EDR)이나 확장된 감지 및 대응(XDR) 등 이와 유사한 서비스들이 선보이고 있다. 이에 대해 김진국 플레인비트 대표는 서비스가 감지하는 범위와 특성이 다르다고 설명했다. 김 대표는 “우리는 악성코드를 단순히 발견하는 것이 아니라 기업의 전체 시스템을 분석하며 이상 활동을 감지하고 그것이 어떤 의미를 갖는지 분석해 시각화해 제공한다”고 소개했다. 이어서 “이러한 서비스를 위해선 보안분야에 전문적인 노하우가 요구된다”며 “플레인비트와 나루씨큐리티는 10년 이상의 사고 대응 경험을 보유하고 있으며, 지난 5년 동안 4천 건 이상의 사고를 조사했으며, 국가 차원의 중요 사고 대응을 위해서 민관합동조사단에도 지속 참여하고 있다”고 강조했다. 플레인비트와 나루씨큐리티는 5년 전부터 공조해 IT, 금융, 보험, 도소매, 제약, 제조 등 다양한 영역의 기업을 대상으로 침해평가를 진행해왔다. 향후로도 양사는 검증된 사고 대응 전문가 및 신뢰된 파트너로서 고객의 보안 수준을 제고하는데 적극 협력해 나갈 예정이다. 정확한 침해평가 서비스를 제공하여 기업을 타깃하는 악의적인 공격자의 최종 목적을 무력화하고, 국가 주도형 위협 인텔리전스 업무 및 사고 대응 전문 교육 분야에서도 협력하겠다는 전략이다. 더불어 양사는 최근 급증하는 사이버 공격에 맞춰 보안에 대안 인식을 개선해 기업들이 적극적으로 보안 시스템을 도입하고 보다 안전한 서비스 환경을 마련하는데 주력할 계획이다. 김혁준 나루씨큐리티 대표는 “사이버 위협이 급증하고 다각화되면서 제로트러스트가 중요해지고 있는데 이 말의 의미를 모르는 경우가 많다”며 “기업이 사이버 공격에 침투를 당한 것을 상정한다는 뜻은 더 이상 해킹사고 등이 발생한 것을 어느 누구의 책임으로 몰아가서는 안 된다는 의미”라고 강조했다. 이어서 “이제는 사이버공격을 방지하거나 문제를 해결한 보안 전문가에게 혜택을 제공하는 방식으로 문화가 전환되야 할 시기”라며 “그래야 보안 취약점이 빠르게 공유되고 이를 해결하기 위한 산업도 발전하며 사이버위협에 대한 우려도 줄일 수 있을 것”이라고 말했다.

2024.06.05 15:05남혁우

"어떤 코드를 써야하죠" 사이버공격, 초보 개발자 노린다

인공지능(AI) 열풍으로 크게 늘어난 초보 개발자들을 겨냥한 사이버공격이 확인돼 주의가 요구된다. 해커뉴스 등 외신에 따르면 소프트웨어(SW)공급망 보안 기업 소나타입은 파이썬 패키지용 공개 저장소인 파이썬 패키지 인덱스(pypi)에서 악성코드가 포함된 패키지를 발견했다고 보안 보고서를 통해 밝혔다. 이번 보고서에서 주목한 것은 사이버 범죄자들이 악성 코드가 포함된 패키지를 악용하는 방법이다. 이들은 주요 침투 경로로 코드 배포가 용이한 스택오버플로 등 개발 전문 커뮤니티를 이용한 것으로 확인됐다. 최근 오픈AI의 등장 이후 영향력이 줄었지만 개발 중 막히는 내용에 대한 질문을 게시하거나 답변할 수 있는 스택오버플로는 수 년간 가장 인기있는 개발 커뮤니티로 자리잡아왔다. 사이버범죄자들은 전문 개발자로 위장한 후 스택오버플로에 올라오는 개발관련 질문에 악성 코드가 포함된 패키지를 해결방안으로 제시하며 이를 사용하도록 유도한 것으로 확인됐다. 또한 이들은 상대가 의도를 쉽게 알아차리지 못하도록 그들이 사용을 유도하는 패키지의 경우 인기 패키지 코드를 복사해 기능은 그대로 유지한 채 악성코드를 추가하고 명칭만 일부 수정하는 식으로 처리한 것으로 나타났다. 이와 함께 소나타입은 공격에 쓰인 신종 악성코드 '파이트알레(pytoileur)를 발견했다고 밝혔다. 파이트알레는 가상자산 및 정보 탈취에 특화된 악성코드로 웹 브라우저에 저장된 사용자 데이터를 기반으로 바이넨스나 코인베이스 등 암호화폐 거래사이트에 저장된 가상자산을 탈취하는 것으로 확인됐다. 소나타입의 액스샤르마 보안 연구원은 “스택오버플로에서 이미 악성코드를 제거하기 위해 조치를 취했지만 이미 악성코드가 설치된 경우 상당한 피해가 발생할 수 있는 만큼 검토가 필요하다”며 “특히 스택오버플로는 악의가 섞인 조언에 피해를 당할 수 있는 초보개발자가 많은 만큼 이를 방지하기 위한 대안 마련이 시급하다”고 지적했다.

2024.05.31 13:42남혁우

성인용 게임인 줄 알았는데…설치했더니 '좀비 PC' 된 이유는?

최근 파일공유 사이트에서 게임 관련 프로그램으로 위장한 악성코드 유포 사례가 잇따라 발견돼 사용자들의 주의가 요구된다. 31일 안랩이 최근 발견한 사례에 따르면 공격자는 '게임 에뮬레이터'나 성인 게임 등으로 위장해 악성코드를 유포했다. 게임 에뮬레이터는 특정 게임기에서만 작동하는 게임을 PC에서 가상으로 구현하는 프로그램이다. 이 악성코드는 불법으로 콘텐츠를 다운로드 받으려는 사용자를 노려 주로 파일공유 사이트 등에서 활발하게 유포되고 있어 사용자의 각별한 주의가 필요하다. 안랩은 유명 게임기 에뮬레이터를 배포하는 사이트에서 게임 에뮬레이터로 위장해 유포 중인 악성코드를 발견했다. 현재 사용자가 에뮬레이터 사용을 위해 페이지 우측 '다운로드' 버튼을 클릭하면 프로그램 설치를 위한 압축파일이 다운로드 된다. 사용자가 다운로드한 파일의 압축을 해제하면 설치가이드와 함께 에뮬레이터 설치 프로그램을 위장한 실행파일(installer_x64_v531.exe)이 나타난다. 사용자가 무심코 설치 프로그램을 실행하면 가짜 설치화면이 나오면서 코인 채굴 악성코드가 설치된다. 안랩은 특정 파일 공유사이트에서 성인 게임을 위장해 유포 중인 악성코드도 발견했다. 공격자는 먼저 성인용 게임으로 위장한 압축파일을 특정 파일 공유 사이트에 업로드했다. 사용자가 파일의 압축을 해제하고 'Start.exe'를 실행하면 정상적인 게임 화면으로 위장한 페이지가 나타난다. 페이지의 '게임 플레이(Game Play)!' 버튼을 클릭하면 악성코드가 설치된다. 악성코드에 감염되면 공격자는 감염 PC에서 화면 모니터링, 키보드 입력값 탈취, 추가 악성코드 다운로드 등과 같은 다양한 악성 행위를 수행할 수 있다. 악성코드 설치와 동시에 성인용 게임도 정상적으로 실행되기 때문에 사용자가 악성코드 감염 사실을 알아차리기 어렵다. 현재 안랩 V3는 이 사례들의 악성코드를 모두 진단하고 있다. 사용자는 피해를 예방하기 위해 ▲불법 콘텐츠 다운로드 금지 및 콘텐츠 공식 홈페이지 이용 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 실시간 감시 적용 등 기본 보안 수칙을 준수해야 한다. 두 사례를 분석한 안랩 ASEC(AhnLab SEcurity intelligence Center, 안랩 시큐리티 인텔리전스 센터) 분석팀 이익규 연구원은 "공격자는 음란물이나 게임, 도박 등 사용자가 호기심을 가질만한 소재를 공격에 적극 활용 중"이라며 "불법적인 경로로 게임 등 콘텐츠를 이용하는 경우 위협에 노출될 가능성이 큰 만큼 사용자는 반드시 공식 경로로 제공되는 정식 콘텐츠를 이용해야 한다"고 강조했다.

2024.05.31 09:30장유미

KISA, 정보보호 역량 강화…케이쉴드 교육 실시

한국인터넷진흥원(KISA)이 정보보안 산업계 재직자들을 대상으로 정보보호 역량 강화에 나선다. KISA가 고용노동부, 한국산업인력공단과 함께 정보보안 산업계 재직자를 대상으로 2024년 최정예 정보보호 전문인력 양성(K-Shield, 케이쉴드) 교육을 실시한다고 1일 밝혔다. 케이쉴드는 취약점 및 악성코드 분석, 모의 침투 등 침해사고 대응 기술력 강화를 위한 실무 중심의 교육으로 실시되고 있다. 이를 통해 디지털경제 가속화로 지능화되는 사이버 공격에 대응할 수 있는 고급 수준의 보안 인력을 양성하고 산업계의 인적 경쟁력을 강화하고 있다. 올해 교육은 ▲운영 보안 ▲보안 컨설팅 ▲침해사고 대응 ▲모의해킹 ▲악성코드 분석 ▲디지털 포렌식 ▲클라우드 보안 ▲WEB·SW 개발 보안 과정으로 구분해 총 8개 분야 59개 과정으로 실시한다. 초급(K-Shield Start)부터 최고급(K-Shield Pro+) 과정까지 총 5단계의 수준별 맞춤형 교육으로 전면 개편했다. 특히 K-쉴드 인증서 취득을 위한 특화(K-Shield Special) 과정을 신설했다. 최종 인증서 평가를 통과하면 한국인터넷진흥원장이 인정하는 최정예 사이버보안 전문가(K-Shield) 인증서를 발급한다. 박정환 KISA 보안인재단장은 "안전한 디지털 전환과 정보보호 산업 활성화를 위해서는 정보보호 전문 인력 양성이 매우 중요하다"며 "이번 교육을 통해 산업 현장의 요구에 맞는 최정예 사이버보안 전문가를 양성해 기업의 정보보안을 강화하는데 기여하겠다"고 말했다.

2024.04.01 12:00이한얼

세계 최대 AI 플랫폼, 악성코드 숨긴 AI모델 100개 발견

세계 최대 인공지능(AI) 개발 플랫폼 허깅페이스에서 악성 코드가 숨겨진 AI와 기계학습(ML) 모델이 100개 이상 발견됐다. 자체 AI개발을 위해 해당 AI 모델을 사용할 경우 시스템 제어권을 모두 빼앗길 수 있는 만큼 주의가 요구된다. 4일(현지시간) 해커뉴스 등 외신에 따르면 소프트웨어 공급망 보안 기업 J프로그 아티팩토리는 허깅페이스 오픈소스 저장소 모니터링 리포트를 발표했다. 이번 조사결과 악성코드가 포함된 AI 모델 즉, 악성모델이 약 100개 이상 발견됐다. 악성코드를 숨기기 위해 주로 사용된 모델은 파이토치가 95%로 대다수를 차지했으며 나머지 5%는 텐서플로였다. 악성모델의 절반은 시스템 제어권 탈취를 목표로 했으며, 20%는 외부에서 몰래 접근할 수 있는 백도어를 설치하는 것으로 나타났다. 이 밖에도 특정 파일을 설치거나 파일을 실행하고, 임의코드를 실행하는 등의 기능이 숨겨진 것으로 확인됐다. 이런 기능은 추가적인 데이터 탈취 및 시스템 장악 등을 통해 개인을 넘어 기업이나 조직을 공격하기 위한 기반 작업에 쓰인다. 최근 AI 열풍으로 개인을 비롯해 기업과 조직에서 오픈소스를 활용한 자체 AI구축 등이 활발하게 이뤄지고 있는 추세다. J프로그 아티팩토리 측은 “허깅페이스 등 유명 AI 커뮤니티에도 기업을 노리는 해커들의 위협이 도사리고 있다”며 “AI를 활용하려는 조직은 악성 모델을 사전에 차단하고 AI 생태계의 무결성을 보장하기 위한 보안환경을 구축할 필요가 있다”고 조언했다.

2024.03.05 16:02남혁우

바리스트 AV SDK V6.0, 정보보호제품 성능평가 결과 확인서 획득

데이터 보호 전문 기업 지란지교데이터와 아이슬란드 보안 기업 바리스트(Varist)가 공동개발한 보안 프로그램이 성능을 인정받았다. 양사는 '바리스트 안티 멀웨어(Varist Anti-Malware) SDK V6.0'이 한국인터넷진흥원(KISA)으로부터 정보보호제품 성능평가 결과 확인서를 획득했다고 26일 밝혔다. 지란지교데이터와 바리스트는 성능평가기관인 한국기계전기전자시험연구원(KTC)를 통해 '바리스트 안티 멀웨어 SDK V6.0' 성능 평가를 진행했다. '바리스트 안티 멀웨어(Varist Anti-Malware) SDK V6.0'은 악성코드를 탐지 및 차단하는 안티바이러스 엔진으로 ▲경량화된 엔진 ▲빠른 탐지 속도와 정확한 악성코드 탐지율 ▲매일 40개 이상의 악성코드 패턴 업데이트를 통한 최신 사이버 위협 대응 등이 특징이다. 정보보호제품 성능평가 제도는 '정보보호산업의 진흥에 관한 법률 제17조(성능평가 지원)'에 따라 시행되고 있다. 정보보호제품이 운영환경에서 정상 및 유해 트래픽에 적절히 대응하는지 확인하기 위한 성능평가로 기준 및 절차에 따라 실시해 결과를 공개한다. 유병완 지란지교데이터 대표는 "바리스트의 국내 파트너로서 바리스트 안티 멀웨어 SDK를 통해 더욱 안전한 환경을 구현할 수 있도록 적극적으로 지원하겠다"고 말했다.

2024.02.26 10:24이한얼

北 해킹조직, 국내 해양·조선 연구기관 침투..."사이버위협 빨간불"

북한 해킹조직이 국내 해양·조선 기술 연구 기관에 침투한 정황이 포착됐다. 국가정보원은 북한의 해킹공격이 증가하는 추세라며 각별한 주의를 당부했다. 국정원과 독일 헌법보호청(BfV)은 북한의 방산 분야 사이버공격 피해를 예방하기 위해 이같은 내용을 담은 합동 사이버보안 권고문을 19일 발표했다. 이번 합동 권고문을 통해 국정원은 북한의 대표적인 방산 해킹 사례 2가지에 대해 공격 전략·기술·절차(TTPs) 등을 분석, 공격 주체와 실제 공격 수법을 소개했다. 북한 해킹조직은 지난 2022년말 해양·조선 기술 연구 기관에 침투했다. 북한 해킹조직은 방산기관에 직접 침투하기 보다 보안이 취약한 유지보수 업체를 먼저 해킹, 서버 계정정보를 절취한 후 기관 서버 등에 무단 침투하고, 전 직원을 대상으로 악성코드 유포를 시도했다. 악성코드 배포 전에 발각되자, 해킹조직은 직원들에게 스피어피싱 이메일을 발송하는 등 다양한 추가 공격을 시도했다. 국정원은 "북한 해킹조직은 코로나로 원격 유지보수가 허용된 상황을 틈타 유지보수업체를 이용해 내부서버 침투를 많이 시도했다"며 "국가·공공기관에서 협력업체의 원격 유지 보수가 필요한 경우, 국가정보보안지침 제26조(용역업체 보안)을 참고해 주기 바란다"고 덧붙였다. 또 북한 해킹조직 라자루스는 방산업체에 침투하기 위해 2020년 중반부터 사회공학적 공격수법을 사용해온 것으로 파악됐다. 이들은 먼저 링크드인 등에 채용 담당자로 위장가입해 방산업체 직원에게 접근, 대상자가 관심을 가질만한 사소한 이야기를 나누며 친밀감을 쌓는데 주력했다. 이후 북한 해커는 이직 상담을 핑계로 왓츠앱·텔레그램 등 다른 SNS로 유인하고, 일자리 제안 PDF 발송 등을 통해 악성코드 설치를 유도했다. 양 기관은 북한이 군사력 강화를 정권 우선순위에 두고 전 세계를 대상으로 방산 첨단기술 절취에 주력하면서, 절취 기술을 정찰위성·잠수함 등 전략무기를 개발하는 데 활용하고 있다고 판단하고 있다. 그러면서 "북한의 사회공학적 해킹공격을 예방하기 위해서는 사례교육과 함께 직원들이 의심스러운 상황 발생시 편하게 신고할 수 있는 개방적 문화를 구축하는 것이 중요하다"고 강조했다.

2024.02.19 17:24이한얼

구글, 파일 속 숨겨진 악성코드 AI로 식별한다

구글이 파일 속에 숨겨진 악성코드를 자동으로 식별하는 인공지능(AI) 도구를 오픈소스로 공개했다. 최근 더레지스터 등 외신에 따르면 구글은 깃허브에 기계학습(ML)기반 파일 식별서비스 마기카(Magika)를 공개했다. 마기카는 최적화된 AI 모델과 대규모 훈련 데이터세트를 적용해 약 1메가바이트(MB)의 작은 규모에도 100개 이상의 파일 형식을 분류할 수 있다. 구글에 따르면 100만 개 파일을 대상으로 평가한 결과 기존 파일 검사 도구보다 약 20% 더 나은 성과를 기록했다. 현재 구글은 업무 안전 향상을 위해 G메일, 구글 드라이브, 세이프 브라우징 파일을 적절한 보안 및 콘텐츠 정책 스캐너로 마기카를 사용 중이라고 밝혔다. 이를 통해 매주 평균 수천억 개의 파일을 검사하고 있으며, 이전 시스템에 비해 파일 형식 식별 정확도가 50% 향상됐다고 밝혔다. 또한, 정확도 향상으로 악성 AI 문서를 11% 더 많이 검사할 수 있었으며, 미확인 파일 수를 3%로 줄였다. 구글에서 해당 도구를 공개한 이유는 랜섬웨어 공격을 비롯해 중국, 러시아, 북한 등 국가 산하 해킹조직의 사이버 공격이 급증하고 있기 때문이다. 특히 이들의 주요 공격 수단이 악성코드를 포함한 이메일 등을 악용한 스피어피싱을 주를 이루는 만큼 이를 사전에 방지하기 위함이다. 구글 클라우드의 필 베네블 최고 정보 보안 책임자는 "IT 네트워크 관리자에게 더 나은 자동화 도구를 제공하기 위해 마기카를 오픈소스로 공개했다"며 “악의적인 행위자들이 AI를 악용하려는 지금 보안 문제를 해결해 안전하고 신뢰할 수 있는 디지털 세계를 만들 수 있도록 최선을 다할 것"이라고 말했다.

2024.02.19 11:20남혁우

3세대 악성코드 진단 기술로 패러다임 전환

디지털 전환을 넘어 AI 트랜스포메이션 시대입니다. 디지털 인프라의 근간은 사이버 보안입니다. 급변하는 환경 속에서 언제나 변화해야만 살아남는 방패를 만드는 사람들. 창의적인 아이디어와 기술로 안전한 사이버 세상을 만들고 신뢰 기반을 쌓는 사람들. 사이버 보안 전문가들과 대화에서 최신 기술과 인사이트를 전달합니다. [편집자주] # 인사 담당자는 이력서가 첨부된 이메일을 받는다. 첨부파일을 내려 받아 인적사항을 확인한다. 업무와 관계된 이메일을 읽기만 했을 뿐인데 기업 주요 정보가 유출됐다. 2022년 인기리에 방영됐던 드라마 '이상한 변호사 우영우'에 나오는 에피소드다. 이런 일은 실제 기업에서도 심심찮게 발생한다. 매일 업무를 하면서 가장 많이 쓰는 이메일. 이메일로 커뮤니케이션을 하고 주요 문서를 주고 받는다. 이메일은 주요 정보가 오가는 곳으로 정보를 탈취하거나 새로운 공격을 위한 통로로 활용할 수 있다. 전체 사이버 공격 중 이메일에 첨부된 파일을 통한 위협이 70%에 달한다. 시큐레터는 안전한 전자문서 유통을 지원하는 3세대 악성코드 진단기업이다. 2023년 코스닥 시장에 상장했다. 사이버 보안 시장에서 악성코드 진단은 모든 기업의 숙제다. 어떤 기술로 조직 내 피해가 발생하기 전에 찾아내느냐가 관건이다. 악성코드 진단 기술은 3세대까지 진화했다. 1세대는 악성코드의 시그니처를 기반으로 탐지한다. 피해가 발생한 후 안티바이러스 백신을 업데이트하는 방식이다. 2세대는 행위기반 탐지다. 지능형지속위협(APT) 솔루션은 파일을 먼저 실행시켜 악성인지 여부를 탐지한다. 2세대 기술은 알려지지 않은 악성코드를 진단하며 시장에 패러다임 변화를 가져왔다. 2세대 기술이 나온지 10년이 지났다. 방어자 보다 언제나 창의적인 해커는 행위기반 탐지를 우회한 새로운 공격 수법을 시도한다. 창과 방패의 끝나지 않는 싸움이다. ■3세대 악성코드 진단 시장을 이끈다 시큐레터는 알려지지 않은 악성코드를 빠른 속도로 진단하는 3세대 기업이다. 리버스엔지니어링 기반 비실행형 파일에 숨은 위협을 찾아내는 자동화 솔루션과 서비스를 제공한다. 임차성 대표는 시그니처도 없고 당장 악성행위를 하지 않지만 조직에 위협을 끼치는 '문서'에 주목했다. "악성코드 분석가는 어떤 파일로 인해 해킹 사건이 일어나는지 조사합니다. 시그니처도 없고 행위가 없어도 악성인지 정상인지 여부를 판단해야 합니다." 악성코드 분석가였던 임차성 대표는 기계어 레벨에서 파일을 들여다 보면서 3세대 기술을 개발했다. "지금 당장 악성 행위를 하지 않는 파일이라도 3~4일 후에 어떤 작동을 할지 기계어 레벨에서 보면 분석을 할 수 있습니다. 기계어 단에서 문서 취약점이 발생하는 원리를 찾아냈습니다." 사이버 공격자는 보안 솔루션에 탐지되지 않는 은밀한 공격에 집중한다. 사이버 공격자가 가장 많이 사용하는 통로가 문서다. 시큐레터는 전자문서에 숨겨진 공격을 막는다. ■ 전자문서 안전 지킴이 시큐레터는 이메일과 웹 게시판 등을 통해 유통되는 전자문서의 악성 행위를 진단하고 차단한다. 과거 개인병원이나 국민건강보험공단 등은 진단서를 팩스로 보냈다. 지금은 전자문서 업로드 방식으로 바꿨다. 이 과정에서 악성 전자문서가 게시판에 올라가면 담당자는 사이버 공격에 노출된다. 시큐레터는 웹 게시판에 안전한 전자문서만 업로드하게 지원한다. 또 다른 사업분야는 주요 인프라 시설 내부망에 유통되는 문서 보안이다. 금융권과 공공기관 등은 주요 업무망을 분리해 사용한다. 인터넷이 연결된 PC와 내부망에 있는 PC간 문서 교환이 필요하다. 시큐레터는 망 분리된 구간에 안전한 문서 사용을 돕는다. "망분리 환경 업무자는 행위기반으로 악성코드를 탐지하는데 걸리는 5분 정도의 시간을 기다리기 어렵습니다. 시큐레터는 10초 안에 문서 내 악성코드 여부를 진단할 수 있어 망 분리 구간에 적용이 가능합니다." 임 대표는 "기존 행위 기반 솔루션이 문서의 악성여부를 진단하는데 300초 걸렸는데 시큐레터는 25배로 단축한 12초에 해결한다"고 설명했다. ■ "글로벌 보안 기업으로 성장할 것" 시큐레터는 사우디 RVC에서 투자를 유치하며 중동 시장 개척에 집중하고 있다. 임 대표는 "사우디 국부펀드가 시큐레터에 주목한 건 미국에 없는 서비스이기 때문"이라면서 "중동은 가격이 아닌 성능으로 승부한다"고 말했다. 비슷한 기능으로 가격 경쟁력으로 살아 남을 수 있는 시장이 아니다. "시큐레터는 기존에 없던 완전히 새로운 카테고리의 제품을 만들었습니다. 기업을 설득하고 시장을 개척해야 하지만 국내와 해외에서 커스터마이징 없이 팔 수 있는 제품을 개발했습니다." 임 대표는 올해 사우디에서 가시적인 성과를 기반으로 중동 시장을 이끄는 기업이 되고 싶다고 포부를 밝혔다.

2024.02.15 13:43김인순

조시큐리티, 악성코드 분석 솔루션 '조샌드박스' 최신 버전 공개

악성코드 분석 솔루션 기업인 조시큐리티가 악성코드 정밀 분석 솔루션 '조샌드박스' 최신 버전 V39를 공개했다. 13일 조시큐리티에 따르면 이번 보안 프로그램은 조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro) 및 베이직, OEM 서버가 코드 네임 '루비(Ruby)'로 업그레이드를 완료했다. 기존 사용자는 이메일을 통해 제공된 업데이트 가이드를 통해 온프레미스로 즉시 설치할 수 있고 고객 포털에서도 확인 가능하다. 이번 업데이트 버전엔 287개의 야라(Yara) 및 행위 시그니처(behavior signatures)가 추가됐다. 스펙트럴블러(SpectralBlur), 퓨어랜드 스틸러(PureLand Stealer), 캔디콘 랫(KANDYKORN RAT) 등의 기술도 포함됐다. 조시큐리티 관계자는 "이전 버전인 조샌드박스 V38에서는 애플 칩을 위한 맥OS 분석 기능이 추가된 데 이어 이번 릴리즈에서는 메모리 덤핑이 추가됐다"며 "이를 통해 멀웨어 패밀리 제품군을 보다 폭넓게 탐지할 수 있다"고 밝혔다.

2024.02.13 10:19이한얼

안랩 "도박정보 가장해 접근"...악성코드 유포 주의 당부

안랩이 최근 불법 온라인 도박 정보를 위장해 악성코드를 유포하는 사례를 발견하고 사용자 주의를 당부했다. 7일 안랩에 따르면 공격자는 먼저 'percent.xlsm'이라는 이름의 바로가기 파일(.lnk)을 유포한 것으로 전해졌다. 유포에는 불법 온라인 도박 확률 분석 내용과 함께 불법 도박 사이트를 홍보하는 이메일 등을 이용했을 것으로 추정된다. 사용자가 무심코 해당 파일을 실행하면 불법 도박 배팅 방법이 적힌 엑셀 파일의 본문이 나타나며, 동시에 악성코드가 설치된다. 악성코드에 감염되면 공격자는 감염 PC에서 키로깅 및 사용자 정보 탈취를 시도할 수 있다. 또 공격자의 명령에 따라 추가 악성코드 다운로드 등 다양한 악성 행위를 수행할 수 있다. 현재 안랩 V3는 해당 악성코드를 진단 및 차단하고 있다. 악성코드로 인한 피해 예방을 위해서는 ▲출처가 불분명한 파일 다운로드·실행 금지 ▲오피스 SW, OS(운영체제) 및 인터넷 브라우저(엣지, 크롬, 파이어폭스 등) 프로그램 최신 보안패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 기본 보안수칙을 지켜야 한다. 김예은 안랩 분석팀 주임연구원은 "공격자는 도박, 음란물 등 사용자가 호기심을 가질만한 소재를 공격에 적극적으로 활용하고 있다"며 "특히 휴식을 즐길 수 있는 연휴를 앞두고 유사한 방식이 증가할 것으로 예상되기 때문에 출처를 알 수 없는 파일은 다운로드하거나 실행하지 않는 등 기본 보안수칙을 지켜야 한다"고 말했다.

2024.02.07 10:41이한얼

파수 "국내 기업·기관, 악성메일 모의훈련 주기적 진행"

국내 기업·공공기관의 보안 및 IT 담당자가 보안 인식 향상을 위해 악성메일 모의훈련을 주기적으로 진행하고 있는 것으로 나타났다. 파수가 보안교육 주제로 보안 및 IT 담당자 673명을 대상으로 설문 조사를 진행했다. 이 중 52%는 '300명 이상 규모의 기업 및 기관' 종사자며, 공공 및 국방과 정보통신, 제조, 서비스 등 다양한 산업 종사자로 이뤄졌다. 이중 약 70%는 임직원들의 보안 인식 향상을 위해 악성메일 모의훈련을 진행 중이라고 응답했다. '악성메일 모의훈련을 연 1회 이상 진행하고 있다'는 응답자는 69.5%였다. 이중 '연 1회 진행'은 31.5%, '연 2회'는 21.2%를 차지했다. '연 3회 이상'은 16.8%에 달했다. 반면 '한번도 진행하지 않았다'고 답한 비율은 28.8%를 차지했다. 다수 응답자는 악성메일 모의훈련의 필요성에 대해서 공감하고 있는 것으로 나타났다. 응답자의 54.8%가 '연 1회 이상의 악성메일 훈련이 반드시 필요하다'고 답변했으며 '연 2회 이상이 필요하다'는 답변도 33.6%를 기록했다. 조직 내 임직원 보안교육은 오프라인(27.8%)이나 온라인(21.8%)으로 내부 담당자가 진행하는 경우가 전체의 절반을 차지했다. '외부강사를 초청해 온·오프라인으로 진행'하는 경우는 22.5%였으며, 이 외에 e러닝 업체나 교육 사이트, KISA 온라인 교육 등 온라인 강의를 활용하고 있다고 답했다. 파수 강봉호 서비스사업본부장은 "정기적인 악성메일 모의훈련은 해킹에 대비하기 위해 꼭 필요한 보안 교육으로, 많은 기업과 기관에서 실시 중인 것을 이번 조사를 통해 확인할 수 있었다"며 "파수는 실제 악성메일 감염률을 크게 줄이는 모의훈련과 신고센터 운영, 훈련 결과를 반영한 맞춤 교육으로 구성된 마인드 셋 서비스를 제공, 조직 전체의 보안 역량을 효과적으로 강화한다"고 전했다.

2024.01.22 09:56김미정

파이썬 공식 저장소, 악성코드 패키지 116개 발견

파이썬 패키지용 공개 저장소인 파이썬 패키지 색인(PyPI)에서 악성코드가 포함된 패키지가 발견되어 사용에 주의가 요구된다. 3일(현지시간) 미국 지디넷 등 외신에 따르면 사이버보안기업 EST리서치가 PyPI 조사결과 악성 패키지를 발견했다고 밝혔다. PyPI은 인기 프로그래밍 언어인 파이썬의 공식 저장소로 개발자가 만든 소프트웨어(SW)를 저장하거나 효율적인 배포를 위해 사용된다. 현재 50만4천348개의 프로젝트가 진행 중으로 523만2천687개의 패키지가 릴리즈 되고 있다. 저장소를 이용하는 사용자는 77만 명에 달한다. PyPI은 많은 사용자를 대상으로 SW를 배포하기 위해 개발된 만큼 이를 악용할 경우 많은 개발자 PC나 기업 시스템을 악성코드로 감염시킬 우려가 있다. 특히 제품이나 서비스를 만드는 개발자를 대상으로 하는 만큼 피해는 더욱 확대될 가능성이 크다. 지난 1년간 조사한 결과에 따르면 PyPI에 등록된 53개 프로젝트에서 총 116개의 악성 패키지를 발견했다. 악성 패키지는 하루 약 80건씩 총 1만 회 이상 다운로드가 발생한 것으로 나타났다. 패키지에 포함된 악성코드를 조사한 결과 사이버 스파이 기능을 갖춘 맞춤형 백도어로 윈도와 리눅스를 모두 대상으로 한다. 윈도 타깃 패키지는 백도어가 파이썬으로 구현됐으며 리눅스 백도어는 GO를 사용했다. 악성코드는 원격 명령 실행 및 파일 추출이 가능하며 스크린샷을 촬영하는 기능도 포함됐다. 일부 악성코드는 개인 데이터와 자격 증명을 훔치는 W4SP 스틸러의 변종이나 암호화폐를 훔치는 클립보드 모니터도 확인됐다. 클립보드 모니터는 비트코인, 이더리움, 모네로, 라이트코인을 주로 타깃으로 삼았다. ESET은 확인된 악성 패키지는 현재 PyPI에 의해 서비스가 중단됐다고 밝혔다. 하지만 파이썬이 가장 많이 쓰이는 프로그래밍 언어 중 하나인 만큼 개발 중인 코드에 관련 패키지가 포함되지 않았는지 확인이 필요하다고 지적했다. EST리서치의 마크에티엥 레베이예 연구원은 “우리는 이러한 PyPI을 이용한 사이버공격이 계속될 것으로 예상하고 있다”며 “개발자들은 공개 SW저장서에서 다운로드한 코드를 시스템에 설치하기 전에 점검을 거치는 등 주의를 기울이길 바란다”고 말했다.

2024.01.04 09:47남혁우

지금 뜨는 기사

이시각 헤드라인

테슬라·팔란티어만의 기술 아니다…'버티컬 AI' 전쟁, 韓도 뛰어들었다

대통령실, AI미래기획수석실 설치...수석급 재정기획보좌관 신설

[써보고서] 갤럭시 S25 엣지, 뒷주머니에 넣었더니...한계 넘은 혁신

"엔비디아 비켜"...MS, 11개월 만에 사상 최고가로 시총 1위 탈환

ZDNet Power Center