검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'6.25 해킹'통합검색 결과 입니다. (393건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"작가들 권리 보장하라"...해킹조직, 디즈니 내부 데이터 탈취

예술가들에 대한 공정한 보상을 요구하기 위해 디즈니의 내부 데이터를 탈취했다고 주장하는 해킹조직이 나타났다. 15일 해크리드 등 외신에 따르면 해킹조직 널벌지(NullBulge)는 디즈니의 시스템에 침투해 약 1.2TB(테라바이트) 규모의 데이터를 탈취했다는 내용의 게시물을 사이버범죄 및 해커 플랫폼 브리치 포럼에 올렸다. 해킹조직은 개발팀에서 사용 중인 협업도구 슬랙에 저장된 내용을 모두 탈취했다고 주장하고 있다. 탈취한 데이터에는 메시지를 비롯해 작업 중인 파일, 코드, API 등이 포함된 것으로 알려졌다. 널벌지 측은 이번 공격에 대해 작가의 권리를 보호하고 작품에 대한 공정한 보상을 보장하는 것을 목표로 한다고 밝혔다. 최근 디즈니는 지난 수 년 동안 작가들에게 작품에 대한 로열티를 제대로 지급하지 않아 법적분쟁 등에 휘말리며 비판을 받아왔다. 닐 게이먼, 앨런 딘 포스터 등 유명 작가 역시 디즈니가 스타워즈와 에일리언을 비롯해 작품을 영상화하는 과정에서 원작가 등에게 일부 로열티를 지불하지 않았다고 밝힌 바 있다. 이 외에도 해킹사고는 미국을 비롯해 전 세계적으로 급증하는 추세다. AT&T는 1억 1천만 명 이상의 통화 기록과 문자 메시지 로그가 해커에게 탈취당했으며, 라이브네이션은 티켓판매서비스 티켓마스터가 해킹돼 테일러 스위프트의 투어 티켓 44만 장이 유출된 바 있다. 사이버 보안 교육 기업인 vx언더그라운드는 "널벌지가 공개한 정보를 봤을 때 디즈니는 인포스틸러를 통해 시스템이 침투당한 것 같다"며 "유명 기업을 노린 사이버공격이 늘어나고 있는 만큼 기업들의 보다 면밀한 대처가 필요하다"고 트위터를 통해 밝혔다.

2024.07.15 11:44남혁우

"도쿄보다 10배 더"...파리 올림픽, 사이버 범죄 '초긴장'

다가오는 파리올림픽 기간 중 전례 없이 많은 사이버 범죄가 예상됨에 따라 프랑스 보안 당국이 긴장하고 있다. 프랑스 정부는 사이버 범죄 전담 헌병대를 꾸리는 한편 서버 보안에 만전을 기할 전망이다. 13일 보안 업계와 외신에 따르면 프랑스 정부는 가짜 올림픽 티켓 예매 사이트 일제 단속에 나서 338곳을 적발했다. 프랑스는 적발된 가짜 티켓 사이트 338곳 중 51곳을 폐쇄하고 140곳은 사법 당국에 통보했다. 이번 단속 작업에는 200명 이상 규모의 군 헌병대가 동원됐다. 문제는 이번 올림픽 기간 중 45억 건에 달하는 사이버 범죄가 예상된다는 점이다. 파리올림픽 협력 보안 업체 시스코는 이번 올림픽에서 '2020 도쿄 올림픽' 때보다 8~10배 정도 많은 사이버 공격이 예상된다고 전망했다. 시스코의 설명에 따르면 2020 도쿄 올림픽 당시 약 4억5천만 건의 사이버 범죄가 발생했다. 그보다 8년 전인 '2012 런던 올림픽'의 사이버 공격 건수는 약 2억2천500만 건 수준이었다. 이번 올림픽 때는 2012년에 비해 사이버 공격 건수가 20배 가까이 증가할 가능성이 있다는 얘기다. 올림픽 관련 사이버 범죄 피해는 계속해서 늘어나고 있다. '사이버 말베이엉스(Cyber Malveillance)'를 운영하는 프랑스 사이버 범죄 감시 정부 기관 GIP ACYMA은 "이미 가짜 티켓 판매 사이트에서 사기를 당한 사람들이 속출하고 있다"며 "파리 올림픽 티켓은 올림픽 조직위원회가 운영하는 공식 티켓 구매 사이트에서만 구매할 수 있고 이 외의 구매 사이트 및 방법은 모두 가짜"라고 강조했다. 외신들도 문제점을 지적했다. 뉴욕타임스를 비롯한 주요 외신들은 '2018 평창 올림픽' 개막식 때 러시아 발 사이버 공격으로 일부 관객들이 티켓 인쇄에 불편을 겪었던 사례를 언급했다. 당시 평창 올림픽조직위원회는 러시아의 웜 공격으로 인해 수천 대의 컴퓨터 데이터가 사라지며 올림픽 서버 관리에 혼란을 겪었다. 외신들은 이어 파리 올림픽도 QR코드 티켓 등이 표적이 될 우려가 있다고 바라봤다. 프랑스 24는 "경기장 주변 등 특정 지역에 접근하기 위해선 QR코드 형태의 게임 패스가 필요하다"고 보도했다. 올림픽 전후로 주변 교통 등이 통제될 예정이기 때문에 '파리 대중교통 2024 (Transport Public Paris 2024)' 모바일 애플리케이션을 통해 현장 우회 경로를 제공한다는 것이 프랑스 올림픽 기관의 방침이다. 또 페이스북, 인스타그램 등 소셜네트워크서비스(SNS)를 이용한 올림픽 허위 티켓·암표 광고 사례가 많아지며 프랑스 당국은 SNS 이용에 주의를 당부했다. GIP ACYMA 측은 티켓 재판매를 제안 받거나, SNS에서 가짜 게임 등에 당첨됐다고 연락이 오는 경우 개인정보 부정 사용을 의심해 볼 필요가 있다고 조언했다. 다만 프랑스 보안 당국은 사이버 공격 대응에 어떤 대책이 있는지는 구체적으로 말하지 않았다. 프랑스 사이버보안청 빈센트 스투루벨 사무총장은 "이번 올림픽은 큰 사이버 위협에 직면해 있지만 우리는 전례 없는 양의 준비를 해왔고 해커들보다 한 발 더 앞서 있다"고 자신했다.

2024.07.13 08:18양정민

후티 반군, 미사일 이어 사이버공격 감행

후티 반군이 미사일 등 물리적인 테러와 함께 사이버공격을 위해 전문적인 해킹조직을 운영 중인 것으로 나타났다. 11일 더레지스터 등 외신에 따르면 보안전문기업 룩아웃은 후티 반군이 가드주(GuardZoo)라는 스파이웨어를 개발해 운영 중이라고 밝혔다. 후티 반군에서 사용 중인 가드주는 분석결과 안드로이드 기반 단말기를 전문적으로 공격하는 덴드로이드라는 원격접속도구(RAT)를 기반으로 개발됐다. 최신 보안전문기업에서 개발하는 스파이웨어에 비해 단순한 구조로 개발 비용도 낮을 것이란 분석이다. 기존 덴드로이드 RAT 코드 대신 자체 C2 백엔드를 구축했으며, .dex 파일을 다운로드 받아 은밀하게 업데이트할 수 있는 기능도 적용됐다. 해당 스파이웨어는 군사적인 앱으로 위장해 와츠앱 등 메신저나 웹브라우저 다운로드를 통해 확산된 것으로 나타났다. 주로 통신사 신호 없이 현재 위치를 파악할 수 있도록 지원하는 위치 추적 앱을 가장했으며, 가드주가 수집한 데이터도 대부분 지리적 위치와 관련됐다. 이러한 내용을 토대로 룩아웃은 후티 반군이 상대 군대의 움직임을 확인하기 위한 정보를 수집하기 위해 해당 스파이웨어를 사용한 것으로 추측하고 있다. 실제로 조사 결과에 따르면 예멘을 비롯해 사우디아라비아, 이집트, 오만의 군인이 사용하는 하드웨어에서도 가드주가 확인됐다. 알브레히트 연구원은 “가드주는 전문보안기업의 최신 스파이웨어에 비해 성능은 부족하지만 충분히 사진, 문서를 비롯한 주요데이터를 탈취할 수 있다”며 “스파이웨어는 자체 성능보다 결국 누가 어떻게 배포하고 사용하는지가 중요하다”고 설명했다. 이어서 “이러한 스파이웨어는 전 세계 수많은 조직에서 배포하며 급증하고 있는 추세”라며 “하나의 악성코드는 큰 위협이 아닐 수 있지만 수많은 사이버위협과 연계가 될 수 있는 만큼 개인과 기업 모두 주의를 기울일 필요가 있다”고 경고했다.

2024.07.11 15:18남혁우

"中 해커 활개친다"…미국·영국·뉴질랜드 이어 공격 받은 국가는?

미국·영국·뉴질랜드에 이어 호주도 중국 정부와 연계된 해커 집단으로부터 사이버 공격을 받은 것으로 알려졌다. 계속된 의심에 중국은 근거도 없이 모함한다고 반발하는 분위기지만 점차 해킹 사례가 빈번해지고 있어 각국이 사이버 안보를 위한 투자를 대폭 늘려야 한다는 지적이 나온다. 10일 구글 클라우드 맨디언트에 따르면 호주 사이버 보안 담당 기관 호주신호국(ASD)은 지난 9일 중국 정부 지원을 받는 해커 집단이 호주 정부와 민간 네트워크를 지속해서 노리고 있다고 경고했다. 이들은 맨디언트가 'APT40'으로 명명한 공격 그룹인 것으로 밝혀졌다. APT(Advanced Persistent Threat·지능형 지속위협)는 특정 국가나 기관을 장기간에 걸쳐 해킹하는 행위로, 국가가 배후로 의심되는 APT 조직에는 식별을 위해 숫자를 붙인다. APT29는 러시아, APT31과 APT40는 중국 국가안전부와 연계돼 있는 것으로 알려졌다. ASD는 "(APT40이) 호주에서 관심 있는 네트워크에 대한 정찰을 정기적으로 수행하며 표적을 손상할 기회를 찾고 있다"며 "민감한 컴퓨터 네트워크와 연결돼 있지만 오래되고 잘 사용하지 않는 장치들이 표적"이라고 말했다. APT40는 지난 2021년에도 뉴질랜드를 상대로 사이버 공격을 감행한 것으로 드러났다. 뉴질랜드 통신보안국(GCSB)에 따르면 ATP40은 뉴질랜드 의회 자문실과 사무처를 대상으로 공격한 것으로 파악됐다. 다만 해커 집단이 여러 데이터를 검색했으나 민감하거나 전략적인 정보에는 접근하지 못했다. 또 뉴질랜드 국가사이버보안센터(NCSC)가 이들의 활동을 억제하고 차단해 큰 문제가 되진 않았다. 미국, 영국도 중국 정부와 연계된 해커 집단으로부터 사이버 공격을 받은 것으로 파악돼 올 초 관련자들을 제재했다. 특히 미국 국무부는 지난 3월 "중국 방첩 기관인 국가안전부와 연결된 이른바 'APT31'이 사이버 위협 그룹"이라며 "(이들이) 미국 정부 당국자, 정치인, 선거 캠프 관계자, 다양한 미국 경제 및 국방 관련 단체와 당국자 등을 노렸다"고 말했다. 이에 미국 법무부는 니가오빈, 웡밍, 청펑 등 7명을 이번 사건 관련자라며 컴퓨터 사기 혐의로 기소했다. 미국 재무부는 이들을 포함해 우한 샤오루이즈 과학·기술 유한회사를 미국 중요 인프라를 겨냥한 악의적 사이버 활동 혐의로 제재했다. 영국도 이름을 특정하지 않은 중국의 국가 연계 해커 그룹이 2021~2022년 영국 선거관리위원회 해킹의 배후라고 지목했다. 또 이들이 수 백만 명의 선거인 명부 사본에 접근했다고 주장했다. 더불어 이들이 중국에 비판적 입장을 보인 영국 의회 의원들에 대한 정찰 활동을 시도한 것으로 보고 관련자 2명과 1개 기업을 제재했다. 존 헐퀴스트 구글 클라우드 맨디언트 인텔리전스 총괄 애널리스트는 "5년 전 맨디언트가 공식적으로 APT40를 공격 그룹으로 분류하고 명명한 이후로 이들은 지금까지 크게 발전해 왔다"며 "이들은 방어 조직의 탐지를 피하고 아시아, 호주, 미국 및 유럽의 타깃 조직으로부터 정보를 탈취하는 데 도움이 되는 새로운 전술을 채택했다"고 설명했다. 그러면서 "이들은 제로데이 취약점과 해킹된 라우터를 사용해 보안 감시망을 피하며 이러한 그들의 노력은 성과를 거두고 있다"며 "APT40의 공격을 방어하기 위해서는 각국 관련 조직도 이들과 같은 속도로 대응해야 한다"고 덧붙였다.

2024.07.10 16:54장유미

에버스핀, 저축은행중앙회에 해킹방지 솔루션 '에버세이프 웹' 공급

동적표적방어(MTD) 기반 인공지능(AI) 보안기업 에버스핀(대표 하영빈)은 해킹방지 솔루션 '에버세이프 웹'을 저축은행중앙회에 공급했다고 10일 밝혔다. 저축은행중앙회는 최근 불거지는 해킹이슈 전반에 걸쳐 안전한 시스템을 구축하기 위해 에버세이프 웹을 도입했다. 에버세이프 웹은 웹 환경 전반에 보안을 제공하는 솔루션으로 세계에 특허 33건을 등록한 '에버스핀 동적표적방어(MTD·Moving Target Defense)' 기술을 적용했다. MTD는 2009년 오바마 정부 의해 처음 고안된 보안 개념으로 사이버공격 대상을 수시로 변경하거나 특정할 수 없게 하는 개념이다. 에버스핀은 2014년 MTD 기술을 국내 최초로 개발, 상용화에 성공했다. MTD를 적용한 에버세이프 웹은 해킹시도 자체를 무력화한다. 에버스핀 관계자는 “기존 해킹방어 솔루션은 해킹을 어렵고 복잡하게 만드는 방향으로 발전했지만, 아무리 분석하기 어려운 보안모듈이라도 시간만 충분하면 뚫리게 된다”며 “에버세이프 웹은 해킹을 시도하더라도 보안모듈 자체가 바뀌기 때문에 처음부터 다시 해킹을 시도해야 하고 해킹 시도만 무한히 반복하다 실패하게 되는 원리”라고 설명했다. 에버스핀에 따르면 에버세이프 웹은 광범위한 웹 영역을 한 번에 보호할 수 있는 유일한 솔루션이다. 기존 설치형으로 작동하는 솔루션이 사용자 PC환경 보호에 그쳤다면, 에버세이프 웹은 웹 상의 자원·서버·통신데이터·세션 등 모든 웹 환경을 실질적으로 보호한다. 에버스핀은 에버세이프 웹으로 해커의 분석·변조 방지, 파라미터를 위변조한 명의도용범죄 차단, 기업 간 스크래핑 방어, 매크로 방어, 로그포제이(Log4j) 등 예측하기 어려운 공격에 대한 선제 대응 등 유의미한 성과를 내며 전방위적 웹 보호를 실현하고 있다. 에버세이프 웹은 이번 도입된 저축은행중앙회를 비롯해 NH농협은행·SBI저축은행·삼성카드·우리카드·한국투자증권·KB증권·키움증권·메리츠증권 등 주요 금융사가 도입·운용 중이다.

2024.07.10 10:36주문정

"청소년 사이버 공격 비상"…안랩, 초등학생 대상 보안 교육 나섰다

안랩이 급증하는 청소년 대상 사이버공격을 방지하기 위해 보안 교육 지원에 나선다. 안랩은 '사이버 보안 교안: 개인정보 해킹으로부터 살아남기'를 배포했다고 8일 밝혔다. 보안 교안은 최근 청소년층을 노린 사이버 범죄 증가에 따라 출시됐다. 안랩은 효과적인 교안 개발을 위해 내부 보안 전문가의 의견을 바탕으로 초안을 작성했으며 다양한 사이버 범죄 사례에 대한 대응 방안을 담았다. 또 수정청소년수련관, 위례중앙초등학교 등 교육기관에서 정보보안 시범수업을 진행하며 피드백을 반영하고 프로그램을 개선했다. 해당 교안은 사이버 범죄 사례 및 보안 개념 소개, 학습용 게임, 교사 참고용 지도안 등 사이버 보안 교육에 활용할 수 있는 콘텐츠로 구성됐다. 이 중 교사 참고용 지도안은 교육과정의 운영 및 계획에 활용할 수 있다. 안랩 측은 지도안이 지역교육청의 직원, 교사, 학부모 연수에 활용되고 지역사회 연계 교육 계획에 포함될 것으로 기대했다. 안랩은 기존 보안 교안을 지속적으로 업데이트하는 동시에 피싱 및 악성앱 등 다양한 종류의 사이버 위협에 대한 내용을 새롭게 추가해 나갈 예정이다. 인치범 안랩 커뮤니케이션실 상무는 "초등학생 등 저연령층을 노린 사이버 범죄에 대한 예방·대응 교육이 활성화되기를 기대한다"며 "앞으로도 '안전해서 더욱 자유로운 세상'이라는 기업 비전을 실천하기 위해 다양한 노력을 기울일 것"이라고 말했다.

2024.07.08 17:08조이환

2024년 상반기 가상자산 도난...전년 동기대비 2배 이상 증가

2024년 상반기 동안 해커들이 훔친 가상자산 금액이 2023년 상반기보다 두 배 이상 증가했다고 미국 가상자산 매체 디크립트가 6일(현지시간) 보도했다. 블록체인 정보 분석 회사 TRM 랩스(TRM Labs)의 최근 보고서를 인용한 보도에 따르면 지난 6월 24일까지 총 13억 8천만 달러(약 1조 9천56억 원) 상당의 가상자산이 도난당했다. 이는 지난해 상반기에 발생한 피해액 6억5천7백만 달러(약 9천68억 원)보다 두 배 이상 많은 금액이다. 또 올해 발생한 해킹 피해액은 이미 지난해 전체 피해액인 17억 달러(약 2조 3천494억 원)에 근접하고 있다. 올해 발생한 주요 도난 사건 중 다섯 건이 전체 도난 금액의 70%를 차지했다. 가장 큰 사건으로는 5월에 일본 거래소 DMM 비트코인에서 약 4천500 BTC(약 4천146억 원)가 도난당한 사례다. TRM 랩스에 따르면 가상자산 해킹 주요 공격 벡터로 개인 키 및 시드 문구 유출, 스마트 계약 취약점 악용, 플래시 론 공격 등을 꼽았다. 피해액이 늘어난 원인으로는 가상자산 가격이 지난해보다 평균적으로 상승함에 따라 비슷한 횟수의 해킹을 당했음에도 피해액은 증가한 것으로 분석했다.

2024.07.07 10:26김한준

"韓 사이버 공격, 금융업서 가장 많아…VPN·라우터 취약점 노려"

"올해 상반기 금융업을 노린 사이버 공격이 가장 많았습니다. 유형별로는 VPN과 라우터 등 네트워크 장비 취약점을 노린 사고가 빈번했습니다. 국내 산업계는 네트워크 장비를 시급히 보완해야 합니다." SK쉴더스 이재우 전무는 2일 서울 중구 포럼타워서 개최한 간담회에서 올해 상반기 주요 보안 트렌드를 소개하며 이같이 강조했다. 이재우 전무는 국내 화이트해커 그룹 이큐스트가 직접 경험한 해킹 사고 사례와 연구 결과 내용 바탕으로 발표했다. 이 전무는 올해 상반기 가상자산 탈취와 딥페이크 해킹 공격 등이 가장 화제였다고 밝혔다. 올해 1월에는 전세계적으로 사용되는 '아이반티VPN' 솔루션에서 제로제이 취약점이 발견돼 다양한 산업 분야에서 피해 입었다고 설명했다. 2월에는 중국 정부 지원을 받는 것으로 알려진 볼트 타이푼이 미국 주요 인프라 내부망 공격을 했다는 것도 전해졌다. 딥페이크로 구현된 화상회의에 속아 340억원의 거금을 송금한 사례가 있었다. 3월에는 오픈소스 XZ 유틸즈에서 백도어가 발견됐다. 4월에는 거대언어모델(LLM)에 의해 작성된 악성 스크립트를 활용한 악성 메일 공격이 일어났고, 5월에는 블록체인 기반 게임 플랫폼이 해킹돼 300억원 가상자산을 도난 당하는 사건이 발생했다. 국내 금융업 분야 대상 공격 20.6%로 가장 많아 이재우 전무는 국내에서 사이버 공격을 가장 많이 받은 산업을 금융업으로 꼽았다. 금융업 대상으로 한 침해 사고가 20.6%인 것으로 전해졌다. 그는 "비트코인 ETF 승인 등 이슈로 가상 자산 가치가 상승했기 때문"이라며 "이를 노린 해킹 공격이 꾸준히 이어졌다"고 덧붙였다. 유형별 사고 발생 통계로는 취약점 공격이 45%로 가장 빈번했다고 밝혔다. 주로 VPN, 라우터 등 네트워크 장비를 통한 지능형지속위협(APT) 공격이 자주 발생했기 때문이다. 이 외에 사람 심리를 이용해 기밀을 탈취하는 수법인 '소셜 엔지니어링' 공격이 26%로 뒤를 이었다. 이재우 전무는 올해 상반기 네트워크 장비 취약점을 노린 공격이 성행했다고 밝혔다. 이는 지난해 상반기와 비교했을 때 2배 이상 증가한 수치라고 했다. 이 외에도 보안 패치가 발표되긴 했지만 패치를 적용하지 않은 상태를 노린 원데이 취약점을 악용하거나 합법적 도구를 활용한 랜섬웨어 공격이 일어났다는 점도 알렸다. 이재우 전무는 "최근 랜섬웨어 공격자들이 보안 솔루션 탐지를 피하고자 RMM을 타깃하거나 LotL 방식을 사용한다"고 설명했다. RMM은 원격으로 IT 시스템과 네트워크를 모니터링하고 관리하는 기술과 서비스다. LotL은 악성코드 사용을 최소화하고 서버 내 설치된 정상 프로그램을 악의적으로 활용하는 기법이다. 이 전무는 "이에 대한 체계적인 대비가 필요하다"며 "네트워크 장비 보완과 보안 컨설팅 등에 각별히 신경 써야 한다"고 당부했다.

2024.07.02 12:51김미정

마이크로소프트 계정, 해커에 탈탈 털렸다…배후는?

마이크로소프트 시스템에 침투한 러시아 해커들이 고객들의 이메일까지 해킹했다는 사실이 추가로 공개됐다. 특히 이 중에는 미국 정부 기관 이메일 계정도 다수 포함돼 있는 것으로 드러났다. 29일(현지시간) 블룸버그 등 외신에 따르면 마이크로소프트가 지난 1월 해킹 사고 때 텍사스 주 교통부, 노동위원회 등 10여 개 주 기관과 공립대학의 이메일 계정도 해킹당했다고 공개했다. 텍사스 주 사이버보안국 관계자도 이같은 사실을 인정했다고 외신들이 전했다. 마이크로소프트 이메일 시스템 해킹 사건은 지난 1월 처음 공개됐다. 당시 러시아 해킹 단체들이 마이크로소프트 시스템 계정에 침입, 고위 임원들의 이메일을 해킹했다. 그런데 당시 해커들은 마이크로소프트 임원 뿐 아니라 이들과 소통한 고객들의 이메일까지 해킹한 것으로 드러났다. 이날 마이크로소프트가 그 때 해킹당한 피해자 중에 텍사스 주 정부 관계자들도 대거 포함됐다고 공개하면서 러시아발 해킹 사건의 파문이 커지고 있다. 외신들에 따르면 텍사스 주 정부 관계자는 "해킹 당한 계정 중엔 텍사스 주 메일 계정도 포함됐다"고 설명했다. 마이크로소프트는 이번 해킹 사건 배후로 미드나잇 블리자드라는 러시아 정보국 소속 해커 그룹을 지목하고 있다. 이들은 지난 코로나19 팬데믹 당시에도 백신 연구를 해킹한 조직으로 지목됐다. 다만 러시아 해커들이 이 계정에 어떻게 접근했는지 파악하지 못했다. 마이크로소프트 보안팀은 미드나잇 블리자드가 '패스워드 스프레이' 공격 방식을 사용한다고 설명했다. 패스워드 스프레이란 사용자가 사용할 법한 비밀번호 조합을 만들어 최대한 많은 수의 계정을 공격하는 수법이다. 이어 보안팀은 패스워드 스프레이로부터 계정을 보호하기 위해 비밀번호 수시 변경, 마이크로소프트 엔트라 아이디 프로텍션 사용 등을 조언했다.

2024.07.01 16:36양정민

"韓 고객 1천200명 카드정보 탈탈 털렸다"…호텔스컴바인 과징금 얼마?

한국 고객 1천200명 이상의 이름, 카드정보 등을 유출한 호텔 예약 플랫폼 호텔스컴바인이 총 1억원이 넘는 과징금과 과태료를 부과받았다. 개인정보보호위원회는 26일 전체회의를 열고 호텔스컴바인에 과징금 9천450만원, 과태료 1천600만원을 부과하기로 의결했다. 호텔스컴바인은 2013년 호텔예약 플랫폼 개발 당시 '예약정보'만 조회 가능한 접근 권한만으로 '카드정보'까지 조회 가능한 계정을 추가로 생성할 수 있도록 시스템을 잘못 설계한 것으로 드러났다. 이 틈을 노린 해커는 피싱 수법으로 아이디와 비밀번호를 탈취해 호텔스컴바인 시스템에 접속했고 카드정보까지 접근할 수 있는 계정을 생성했다. 그 결과 2019년에 한국 이용자 1천246명의 이름과 이메일주소, 호텔 예약정보, 카드정보가 유출됐다. 당시 적용된 옛 개인정보보호법은 개인정보 유출을 알게 된 후 24시간 이내에 위원회에 신고하고, 이용자에게도 통지해야 한다고 규정했다. 하지만 호텔스컴바인 측은 이 기한을 넘겨 관련 사실을 뒤늦게 신고·통지했다. 개인정보위는 "SQL 인젝션 공격 방지를 위한 입력값 검증 등의 조치를 일부 누락하고 개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영하는 등 안전조치 의무를 준수하지 않은 것으로 밝혀졌다"며 "탈퇴한 회원의 정보를 파기하지 않고 보관한 사실과 개인정보 유출 통지를 지연한 사실도 확인됐다"고 설명했다.

2024.06.27 17:21장유미

랜섬웨어 공격 받은 인도네시아, 정부 서비스 마비로 '대혼란'

인도네시아 국가 데이터센터가 랜섬웨어 공격을 받아 200개 넘는 공공 서비스가 마비됐다. 26일 일간지 콤파스 등 외신에 따르면 인도네시아 정보통신부는 최근 데이터센터가 랜섬웨어 공격을 당해 지난 20일부터 210개 공공 기관의 7천 개가 넘는 서비스가 중단되거나 지연됐다고 밝혔다. 이번 일로 수카르노 하타 국제 공항 등 여러 공항의 이민 정보 시스템이 멈춰 출입국 서비스가 오랫동안 지연됐다. 정부 식수 공급 시스템을 비롯한 위생 인프라 정보 시스템, 지역 재정 관리 정보 시스템 등 각종 공공 플랫폼도 멈추거나 지연되는 사태가 벌어지기도 했다. 이번 공격이 누구 소행인지는 밝혀지지 않았다. 다만 외신은 해커가 러시아인이나 북한인일 가능성이 높다고 분석했다. 해커는 이번 공격에 해커집단 '록빗'의 랜섬웨어용 소프트웨어(SW)를 사용한 것으로 전해졌다. 록빗은 세계 최대 랜섬웨어 공격 집단으로 알려졌다. 이를 통해 인도 데이터센터의 데이터 파일을 암호화하고, 해독법을 제공하는 대가로 800만 달러(약 111억원)를 요구했다. 부디 아리 세티아디 정보통신부 장관은 "정부는 해커 요구를 들어주지 않을 것"이라며 "현재 이민국 등 피해를 본 서비스를 복구하는 데 집중하고 있다"고 밝혔다. 현재 여권과 비자, 자동 게이트, 국경 통과 서비스 등 다수 이민 서비스가 운영을 재개한 상태다. 인도네시아가 사이버 공격을 당한 것은 이번이 처음은 아니다. 2021년에는 보건부의 코로나19 앱이 해킹 당해 130만 명의 개인정보와 건강상태가 노출됐다. 2022년에 중앙은행이 랜섬웨어 공격을 받기도 했다. 프라타마 페르사다 인도네시아 사이버보안연구소 회장은 "이번 공격은 2017년 이후 인도네시아 정부와 기업이 받은 랜섬웨어 중 가장 심각한 수준"이라고 평가했다. 페르사다 회장은 ABC뉴스와의 인터뷰에서 "데이터 센터가 중단되고 시스템을 복구하는 데 며칠이나 걸린다는 것은 이번 랜섬웨어 공격이 치명적이라는 걸 의미한다"며 "사이버 인프라와 서버 시스템이 평소에 제대로 작동하지 않았음을 보여주는 사례"라고 지적했다.

2024.06.26 09:35조수민

내 머릿속에 심은 컴퓨터 칩이 해킹된다면?

“뇌 정보가 해킹당해 내 행동과 사고를 통제하는 날이 올까?” 세계 최초로 뉴럴링크의 칩을 뇌에 이식한 남성이 몸 속 칩의 해킹 문제에 대해 언급했다. IT매체 비즈니스인사이더는 뉴럴링크 칩을 뇌에 이식한 놀런 아르보우가 최근 한 유명 팟캐스트에 출연해 칩 해킹에 대한 자신의 생각을 밝혔다고 최근 보도했다. 놀런 아르보우는 뇌에 칩을 이식해 생각만으로 컴퓨터의 커서를 제어하고 있다. 그는 “엑스(구 트위터)에서 사람들에게 메시지를 보내고, 인스타그램을 사용하고, 이메일에 답장하고, 스포츠를 즐기고, 온라인으로 만화를 읽고, 일본어를 배우는 데 사용하는 사이트에 접근하는 데 그것을 사용해 왔다"며, "뉴럴링크 본사 방문 시 호텔 예약에도 사용했다"고 설명했다. 그는 유명 팟캐스트 조 로건의 팟캐스트에 출연해 “칩이 해킹될 가능성이 있나?'라는 질문에 “그렇다”고 답했다. 조 로건은 이식한 칩이 해킹돼 인간이 사이보그가 될 가능성에 대해 언급했으나 놀런 아르보우는 “적어도 현 시점에서 자신의 뇌 임플란트를 해킹하는 것이 별로 도움이 되지 않을 것”이라고 밝혔다. 그는 해킹을 통해 “뇌 신호 중 일부를 볼 수 있고 뉴럴링크가 수집하는 자료 중 일부를 볼 수 있을 것”이라고 말했다. 또, 자신이 컴퓨터와 연결돼 있는 상태에서 해킹을 당했다면 누군가 그의 마우스 커서를 조종하거나 제어할 수 있고 자신의 컴퓨터에 접속해 메시지와 이메일에 접근할 수 있을 것이라고 덧붙였다. 동전 크기의 뉴럴링크 칩에는 사용자의 뇌 활동을 모니터링하고 자극하는 수천 개의 전극이 포함되어 있고 이 정보들은 디지털 방식으로 뉴럴링크에 전송된다. 뇌와 컴퓨터를 연결하는 과정에서 해커들이 개인의 뇌 활동에 접근해 정보를 도용할 수 있는 위험성은 분명히 존재한다. 하지만 그는 뉴럴링크 프로젝트에 참여하기 전 해킹 등 위험에 대해 경고를 받았지만, 이에 대해큰 걱정을 하지 않는다고 말했다. 일론 머스크는 뉴럴링크 기술이 향후 자폐증, 우울증, 조현병 등 다양한 정신질환을 해결할 수 있을 것이라고 주장하고 있다. 이에 일부 신경 과학자들은 컴퓨터 칩이 특정 조건의 영향을 받는 뇌의 발달 구조를 바꿀 수 없을 것이라며 이의를 제기해 왔다. 하지만, 해당 기술은 놀런 아르보우 같은 마비 환자가 향상된 움직임을 경험하는 데 도움이 될 수 있다. 하지만 향후 뉴럴링크 칩 기술이 더 발전해 주류 기술이 될 가능성에 대비해 해킹에 대한 우려가 더 시급할 수도 있다고 비즈니스인사이더는 전했다.

2024.06.25 16:19이정현

美 자동차 판매 마비시킨 해킹단체, 정체는?

미국 자동차 소프트웨어 제공업체 CDK글로벌 시스템을 공격한 해킹단체가 랜섬웨어 공격조직인 '블랙수트'인 것으로 드러났다. 25일 블룸버그통신 등 외신에 따르면 보안업체 레코디드퓨처 알란 리스카 분석가는 "CDK에 대한 사이버 공격의 배후에는 블랙수트가 있다"고 밝혔다. 블랙수트는 2023년 5월 등장한 랜섬웨어 조직이다. 러시아-우크라이나 전쟁 후 와해된 러시아 사이버 범죄 조직 '콘티'를 계승한 것으로 알려졌다. 이 조직은 데이터 파일을 암호화해 사용할 수 없도록 만들고 암호 해독법을 제공하는 대가로 금전을 요구하는 랜섬웨어 수법을 이용한다. 피해자와의 협상이 결렬될 경우 갈취한 데이터를 유출하는 식이다. 블랙수트는 이달 19일부터 20일까지 CDK를 랜섬웨어 공격해 전산망을 마비시킨 후 수 천만 달러를 요구했다. CDK 관계자는 블룸버그와의 인터뷰에서 "CDK는 요구받은 금전을 지불할 계획"이라고 말했다. 알란 리스카 분석가는 "블랙수트가 사이버 공격 피해자 목록을 업데이트하는 웹사이트에 아직 CDK가 기재되지 않은 것으로 보인다"며 "CDK는 블랙수트와 협상 중이거나 이미 수 천만 달러를 지불했을 것"이라고 예측했다. 블랙수트은 랜섬웨어식 공격을 잇달아 진행했다. 지난 5월 미국 캔자스시 경찰서 시스템을 공격해 금전을 요구한 바 있다. 협상에 실패하자 수사 관련 기밀, 범죄 기록 등 데이터를 유출했다. 지난 4월에는 혈장 기부 회사 옥타파타 플라즈마를 랜섬웨어 공격해 환자, 직원, 재무 등 데이터를 빼내기도 했다. 이에 최근 미국 보건복지부는 "블랙수트를 위협으로 면밀히 감시해야 한다"고 경고했다. 현재 CDK는 랜섬웨어의 여파로 업무 전산망 가동이 중단된 상태다. CDK의 프로그램을 이용하는 약 1만5천 개의 자동차 딜러사도 큰 혼란을 겪고 있다. CDK의 핵심 상품인 대리점 관리 시스템(DMS)는 판매, 부품, 서비스 등 딜러사 운영에 필요한 대부분의 요소에 이용되고 있다. DMS가 제대로 작동하지 않으면 해당 프로그램을 사용하던 딜러의 업무 또한 중단될 수밖에 없다. 딜러사 소닉 오토모티브는 "사이버 공격으로 인한 업무 중단은 시스템이 복구될 때까지 딜러사 운영에 부정적 영향을 미칠 가능성이 높다"고 내다봤다. CDK 리사 피니 대변인은 "앞으로 며칠 내로 서비스를 복구할 예정"이라며 "법 집행 기관과 협력하고 있다"고 밝혔다.

2024.06.25 14:19조수민

금전 이익 노리는 랜섬웨어, 더 빠르고 과감해졌다

“금전적 이익을 노리는 랜섬웨어가 더 많은 이익을 내기 위해 보다 빠르고 과감하게 변하고 있다. 보안이 취약하고 돈을 낼 가능성이 높은 조직을 노려 적극적인 공격을 감행하는 만큼 이에 대한 대응이 필요하다.”” 맨디언트의 심영섭 한국 및 일본 지역 컨설팅 리더는 25일 서울 강남구 강남파이낸스센터에서 개최한 미다어 간담회를 통해 '2024 M-트렌드 연례 리포트'를 브리핑하며 이와 같이 말했다. 올해로 15회를 맞은 M-트렌드 리포트는 2023년에 수행된 사이버 공격 조사 및 대응 결과를 바탕으로 글로벌 보안 현황을 분석한다. 보고서에 따르면, 금전적 이익을 노린 랜섬웨어의 비율이 증가했으며 공격자가 탐지되기 전 시스템에 머무는 공격 지속 시간(드웰타임) 중앙값은 대폭 줄어든 것으로 나타났다. 드웰타임의 경우 2011년 416일에서 2023년 10일로 40분 1 이상 줄어들었다. 심 리더는 드웰타임이 감소된 이유에 대해 전 세계 조직의 보안 역량이 개선됨과 동시에 랜섬웨어 조직의 공격 비율이 줄어들었기 때문으로 분석했다. 그는 “랜섬웨어 조직은 투자 대비 이익을 중요하게 생각하는 만큼 수개월 씩 기다리는 것은 비효율적이라고 판단할 수밖에 없다”며 “그래서 돈을 낼 가능성이 높고 보완 수준이 낮은 기업을 타깃으로 인공지능(AI)나 자동화 도구 등을 사용해 최대한 빨리 공격해 목적을 달성하고 다음 피해자로 이동하는 방식이 주를 이루고 있다”고 설명했다. M-트렌드 리포트에 따르면 일본 및 아시아태평양(JAPAC) 지역이 9일로 가장 드웰타임이 짧았으며 가장 많이 표적이 된 산업은 금융 서비스로 전체 조사의 17%를 차지했다. 이어서 비즈니스/전문 서비스(13%), 하이테크(12%), 소매/서비스업(9%), 의료(8%)가 그 뒤를 이었다. 심영섭 리더는 “지난해에는 정부기관을 대상으로 한 공격이 1위를 차지했지만 러시아-우크라이나전이 장기화되면서 이런 추세가 줄어들고 금전을 노린 공격이 늘고 있다”며 “최근 주요 타깃이 되는 산업은 민감한 데이터를 다루고 있을 뿐 아니라 시스템이 마비될 경우 산업이나 인명에 치명적인 피해가 발생할 우려가 있어 금전을 지불할 가능성이 높다는 공통점이 있다”고 설명했다. 랜섬웨어 공격 비율과 함께 조직 내 공격 탐지 비율도 상승한 것으로 나타났다. 2011년에는 외부에서 침투여부를 발견한 비율이 93%에 달할 정도로 내부 탐지 비율이 낮았지만 2023년에는 내부가 46%, 외부가 54%로 탐지 비율이 10배 이상 늘어난 것으로 나타났다. 사이버공격이 급증한 것을 고려하면 더욱 높은 수치다. 심 리더는 사이버 탐지 기술이 발전했음에도 내부 탐지 비율이 50%를 넘기 어려운 이유는 시스템의 복잡성으로 인한 탐지의 어려움과 사이버 공격자의 기술 발전 때문이라고 설명했다. 시스템을 침투에 쓰이는 악성코드 역시 보안 시스템에 발각되지 않도록 다양한 기술을 사용하고 있을 뿐 아니라 제로데이 공격이나 피싱공격 등 보안 시스템을 우회해 사람을 노린 공격도 수행하고 있기 때문이다 심영섭 리더는 “최근 악성코드들은 보안 시스템에 노출되지 않기 위해 외부 연결없이 내부 서비스를 이용해 핵심 시스템을 장악하는 '시스템 자체도구 악용'(LOTL) 기술 등을 활용하고 있다”며 “이 밖에도 기업의 시스템에 침투하기 위해 생성형AI나 대규모언어모델(LLM) 등도 최신 기술을 적극 활용하고 있다”고 설명했다. 그는 급증하고 빠르게 발전하는 사이버 위협에 대응하기 위해 내부 시스템을 명확하게 파악할 수 있는 가시성을 확보해야 한다고 강조했다. 심 리더는 “수 많은 직원 중 한 명만 피싱 공격에 당해도, 보안패치를 잠시만 늦어도 침투를 허용할 수 있는 것처럼 현 상황에서 사이버 공격을 완전히 막는다는 것은 불가능하다”고 현재 보안 싱태를 설명했다. 이어서 “중요한 것은 침투 후 시스템을 장악하거나 핵심 데이터를 암호화해 유출하기 전에 찾아내고 대응하는 것이 핵심”이라며 “이를 위해서 내부 시스템의 구조와 전체 프로세스의 가시성을 확보하는 것에 힘써야 한다”고 강조했다.

2024.06.25 12:20남혁우

개인정보 유출 없다더니…'대기업 빵집' 영업익 넘은 성심당, 해킹에 곤욕

'대전 명물'로 불리는 빵집 성심당이 온라인 쇼핑몰 해킹 사건으로 사이트에 접속한 고객들의 개인정보를 유출할 뻔한 것으로 나타났다. 당초 개인정보 유출 정황이 없는 것으로 파악했다고 했지만, 수사 결과 사실이 아닌 것으로 파악됐다. 24일 업계에 따르면 성심당은 지난달 3일 오후 10시께 온라인몰 '성심당몰'에서 네이버 로그인 페이지를 사칭하는 피싱 사이트로 이동하는 악성코드가 삽입된 정황이 포착됐다. 성심당은 인터넷진흥원과 사이트 접속 고객의 신고로 해킹 하루 반나절 뒤인 같은 달 5일 오전 9시께부터 해당 쇼핑몰을 폐쇄 조치했다. 당시 성심당 측은 온라인 홈페이지를 통해 "개인정보 유출 정황은 없는 것으로 파악하고 있다"며 "인터넷진흥원의 지원을 받아 해킹 발생 상세 원인을 분석 중"이라고 입장을 밝힌 바 있다. 하지만 대전경찰청 사이버범죄수사대의 수사 결과 '성심당몰'은 해킹 사건으로 개인정보가 유출될 뻔한 것으로 드러났다. 경찰은 해당 홈페이지에서 네이버 로그인을 하면 피싱 사이트로 유도하는 악성코드를 삽입, 이를 통해 개인정보를 빼내려 했던 것으로 보고 있다. 다만 개인정보가 해외 등으로 전송되거나 다운로드된 흔적은 아직 발견하지 못한 것으로 알려졌다. 현재까지 유출 규모는 확인되지 않았다. 경찰은 관계기관들이 유출로 인한 2차 피해가 없도록 조치를 취한 것으로 전해졌다. 아직 관련 피해 신고는 없는 것으로 나타났다. 다만 해킹 정황을 처음으로 포착한 디지털 범죄 대응 기업 라바웨이브 측은 최초 1시간 동안 확인한 네이버 계정 정보 관련 유출 피해자만 190여 명인 것으로 추정했다. 라바웨이브 측은 네이버 로그인 창과 유사한 피싱 사이트에 성심당몰 접속 고객이 실제 네이버 아이디와 비밀번호를 입력하는 방식으로 유출이 이뤄진 것으로 분석했다. 그동안 개인정보 유출 정황은 없다고 밝혀 온 성심당은 유출 여부를 직접 확인하진 않았던 것으로 나타났다. 통상 기업이 해킹 공격을 받으면 자체적으로 개인정보 유출에 관해 확인을 하거나 개인정보보호위원회에 유출 여부에 대한 조사를 의뢰하는 것이 일반적이다. 성심당은 "고객들로부터 개인정보 유출로 인한 피해 신고가 들어오지 않은 점, 인터넷진흥원으로부터 유출 정황은 보이지 않는다는 답변을 받은 점 등을 근거로 유출 정황은 없다고 판단했다"고 입장을 밝혔다. 업계에선 성심당이 해킹 사실을 하루 반나절이 지나 알았다는 점, 온라인몰 폐쇄로 인한 서비스 이용 불편에 대한 사과만 있었을 뿐 웹사이트 해킹에 대한 직접적인 사과가 따로 없었다는 점에서 아쉬움을 드러냈다. 라바웨이브 관계자는 "규모가 큰 기업은 웹사이트 점검을 수시로 하기 때문에 보안 취약점이 잘 발견되지 않지만, 성심당같이 IT 보안 전담 부서를 갖추지 못한 기업들은 웹사이트에 허점이 있을 가능성이 크다"며 "요즘은 디지털 범죄가 고도화되면서 교묘하게 웹사이트를 해킹하는 경우가 많아지기 때문에 기업들은 보안에 더 각별히 신경 써야 한다"고 밝혔다. 일각에선 성심당이 이번 일로 개인정보보호위원회를 통해 과징금이 부과될 지를 두고 예의주시하고 있다. 앞서 골프존은 지난해 11월 랜섬웨어 공격을 받아 221만 명의 고객 개인정보가 유출됐다는 이유로 지난달 과징금 75억원이 부과됐다. 고객의 개인정보 보호 의무를 다하지 않았다고 판단돼서다. 성심당 측은 앞으로 웹사이트 보안이 취약했던 부분을 강화하고 보안 전문 인력도 채용한다는 방침이다. 성심당의 지난해 매출액은 1천243억원으로, 단일 빵집 브랜드 매출이 1천억원을 넘긴 것은 처음이다. 영업이익도 전년 대비 2배 이상 증가한 315억원으로, '파리바게뜨'로 유명한 파리크라상(199억원)과 '뚜레쥬르'를 운영 중인 CJ푸드빌(214억원) 같은 대기업보다 높았다. 업계 관계자는 "성심당의 몸집이 커진 만큼 개인정보 보호에 대한 책임도 다해야 할 것"이라며 "개인정보 보호 문제가 기업의 리스크로 이어지지 않도록 노력해야 할 것"이라고 말했다.

2024.06.24 17:53장유미

'이메일 용량 관리 필요' 메시지=피싱

안랩이 이메일 용량 관리나 바이어 문의 공지 내용으로 위장한 범죄 사례가 늘고 있다며 사용자들에 주의를 당부했다. 안랩은 이메일에 가짜 로그인 링크를 심어 계정 탈취를 시도하는 피싱 수법이 다수 발견됐다고 21일 밝혔다. 가장 큰 문제는 해킹 메일 범행 방식이 고도화 되고 있단 점이다. 이메일 저장용량 관리의 경우 '받은 편지함이 가득 차 저장 공간이 부족하다'며 '중요한 메일을 계속 수신하려면 여유 공간을 확보하라'는 내용으로 사용자에게 버튼 클릭을 유도한다. 이 사이트로 들어가면 보안 코드 인증 화면을 위장한 피싱 페이지가 나오는데 여기서 사용자가 계정 정보를 입력하면 그 내용이 공격자의 서버로 전송되는 구조다. 바이어 문의 공지 허위 위장의 경우 실제로 있는 특정 협회의 마케팅 팀을 사칭해 가짜 메일을 전송한다. 특히 사용자가 의심하지 못하도록 협회 소속 직원 명함을 위장한 이미지까지 첨부한다고 안랩은 말했다. 안랩 측은 "메일은 주로 접수 했던 신규 사업 문의에 대해 지원 받을 수 있는 서비스를 파악하라는 내용으로 온다"며 "이메일 저장용량 수법처럼 해당 사이트에서 로그인을 시도하면 계정 정보가 공격자 서버로 전송된다"고 말했다. 안랩은 "사용자의 의심을 피하기 위해 가짜 보안 코드 인증을 하거나 실존 협회 사칭 등 공격 방식이 고도화 돼 메일 진의 여부를 꼭 확인해야 한다"고 당부했다. 한편 안랩은 해킹 메일로 인한 피해를 예방하기 위해 ▲출처가 불분명한 메일의 발신자 확인 및 첨부파일 실행 금지 ▲백신 최신버전 유지 및 피싱 사이트 차단 기능 활성화 ▲OS 및 인터넷 브라우저, 오피스 SW 등 프로그램 최신 보안패치 적용 ▲계정 별 다른 비밀번호 설정 및 관리 등 기본 보안수칙을 준수하라고 권장했다. 안랩 보안 분석팀 관계자는 "공격자는 사용자의 관심을 유도할만한 내용이라면 어떤 수단이라도 사용하기 때문에 기본 보안수칙 실천이 매우 중요하다"고 강조했다.

2024.06.23 09:18양정민

암호화폐 거래소 보안 '빨간불'…크라켄, 300만 달러 자산 도둑 맞았다

암호화폐 거래소의 취약점을 발견한 보안연구원이 이를 악용해 암호화폐를 탈취하는 사건이 발생했다. 20일 해커뉴스 등 외신에 따르면 암호화폐 거래소 크라켄(Kraken)은 익명의 보안 연구원이 거래소 플랫폼의 '치명적인' 제로데이 결함을 악용해 300만 달러 상당의 디지털 자산을 훔쳤다고 밝혔다. 닉 페코코 크라켄 최고 보안 책임자(CSO)은 "지난 9일 한 보안 연구원이 인위적으로 거래 잔액을 부풀릴 수 있는 취약점을 버그바운티 프로그램을 통해 신고했다"고 말했다. 버그바운티 프로그램은 제품이나 시스템에서 보안 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다. 닉 페코코 CSO는 "보고서를 받은 후 취약점을 바로 해결했다"며 "현재는 이로 인한 문제가 발생하지 않는다"고 밝혔다. 문제는 취약점을 신고한 보안 연구원이 이미 이를 악용해 크라켄 계좌에서 약 300만 달러 상당의 암호화폐를 탈취한 것으로 확인됐다는 점이다. 닉 페코코 CSO는 "해당 연구원이 탈취한 자산은 크라켄의 내부 금고에 있던 것"이라며 "고객 자산에는 영향을 미치지 않는다"고 밝혔다. 이어 "이 보안연구원은 비즈니스 개발팀과 통화를 요구하며 이 취약점을 공개하지 않았을 때 발생할 수 있는 피해 금액을 산정해 보상금액을 제공할 것을 강요했다"며 "만약 비용을 지불하지 않는다면 암호화폐를 반환하지 않을 것이라고 협박했다"고 말했다. 현재 크라켄은 이번 사건을 법 집행 기관에 형사 사건으로 신고하고 해결을 위해 논의 중인 상황이다. 닉 페코코 CSO는 "이것은 화이트해킹이 아닌 갈취"라며 "보안 규칙을 무시하고 회사의 자산을 갈취하면 보안연구원으로서의 해킹 라이센스가 취소되고 범죄자로 신고할 수밖에 없다"고 강조하며 관련 당사자들에게 훔친 자금을 돌려줄 것을 촉구했다.

2024.06.20 09:10남혁우

"韓 보안 제품 노리는 北"…국정원, 사이버 위협 동향 이례적 공유

국정원이 국내 보안 제품을 대상으로 한 신종 소프트웨어(SW) 공급망 공격 사례를 설명하는 자리를 가졌다. 국정원은 지난 17일 판교 기업지원허브에서 한국정보보호산업협회(KISIA) 소속 정보보호업계 관계자들을 초청해 '북한의 사이버 위협 동향 및 공격사례 분석 설명회'를 개최했다고 18일 밝혔다. 국정원은 이 자리에서 국내 보안 제품을 대상으로 한 북한의 해킹 공격 증가 동향을 비롯해 보안업체 서버에 침투해 소스코드를 탈취한 후 취약점을 발굴·공격하는 사례를 안내했다. 또 침해사고 예방조치 및 대응 절차, 인증제품 관리 방법 등도 설명했다. 특히 타깃 기관을 직접 공격하지 않고 개발사나 업데이트 서버를 은밀히 공격해 악성코드를 광범위하게 유포시키는 등 한층 진화된 SW공급망 공격 방식도 공개했다. 또 정보보호업계가 보안제품의 안전성뿐만 아니라 SW공급망 보안 강화에 적극 협조해 줄 것을 당부했다. 국가사이버안보센터장은 "북한의 사이버 공격 기술이 날로 지능화·고도화되면서 민간기업은 물론 국가기관·핵심기반시설에 침투하는 SW공급망 공격이 확대 되고 있다"며 "사이버 보안의 1차 관문을 지키고 있는 보안업체가 우수한 보안 솔루션을 개발·보급하는 것이 매우 중요하다"고 강조했다. 조영철 한국정보보호산업협회 회장은 "국정원이 정보보호업체들을 위해 직접 찾아 설명회를 개최해 준 것은 이례적인 일"이라며 "국정원이 설명한 북한의 최신 공격기법은 업체들이 보다 안전한 제품을 개발하는데 큰 도움이 될 것"이라고 밝혔다.

2024.06.18 14:49장유미

"하루에 한 번만 공격" 보안우회하는 저강도 공격 어떻게 막을까

[필라델피아(미국)=남혁우 기자] 지난해 발생한 북한 해킹조직의 법무부 공격처럼 은밀하고 장기적인 공격이 새로운 위협으로 지목되고 있다. 아마존웹서비스(AWS)는 이러한 치명적인 사이버공격을 보다 효과적으로 탐지하고 대응하기 위해 스플렁크와 협력한다. 12일(현지시간) AWS의 라이언 오르시 클라우드 파운데이션 파트너 글로벌 책임자는 AWS 리인포스 2024에서 스플렁크와의 전략적 협업 이유 및 파트너십 전략을 소개했다. 라이언 오르시 글로벌 책임자는 이번 협력에 대해 '저강도 공격(low and slow attack)'이라고 불리는 기업과 조직에 치명적인 보안위협에 대응하기 위함이라고 설명했다. 저강도 공격은 점차 복잡해지는 조직 내 시스템에 은밀하게 침투해 핵심 데이터를 탈취하거나 주요 기능을 점거하는 공격 방식이다. 기존 보안 서비스의 탐지를 회피하기 위해 정상적인 임직원의 계정처럼 활동하며 여러 단계에 걸쳐 은밀하게 시스템을 잠식해 나간다. 지난해 북한 해킹조직이 법원 전산망에 침투해 개인정보를 대거 탈취한 사건도 2년에 걸쳐 공격이 진행된 것으로 알려졌다. 라이언 오르시는 “기존의 보안 시스템은 주로 실시간으로 발생하는 위협이나 명확한 반응이 있는 공격을 탐지하는 데 초점을 맞추고 있다”며 “하지만 점점 더 정교하고 은밀한 공격이 발전하면서 보안시스템을 우회해 공격하는 기법이 늘어나고 있다”고 설명했다. 이어서 그는 “예를 들어 하루에 단 한 번만 짧게 공격활동을 수행한다면 보안솔루션은 일반 직원의 활동과의 차이점을 파악하기 어렵다”며 “이런 공격이 수개월에서 1년 이상에 걸쳐 진행된다면 기업이나 조직은 아무런 이상도 발견하지 못한 채 막대한 피해를 겪을 수 있다”고 말했다. AWS는 이러한 공격에 대응하기 위해 이번 협력을 통해 기업 내 모든 프로세스와 네트워크 접근의 장기적인 흐름을 파악하고 이상을 감지할 계획이다. 클라우드 환경에서 발생하는 다양한 보안 데이터를 아마존 시큐리티 레이크를 통해 집중한 후 스플렁크의 모니터링 서비스를 통해 분석해 이상 행동 패턴의 식별 및 보안 위협을 확인한다는 전략이다. 라이언 오르시는 “앞서 말한 것처럼 매일 발생하는 소규모 공격만으로 이를 확인하긴 어렵지만 장기적인 활동을 추적하면 이상한 점을 자연스럽게 확인할 수 있다”며 “예를 들어 탈취한 계정을 이용해 시스템에 침투해 활동할 경우 실제 접속위치를 숨기기 위해 사용하는 가상사설망(VPN) 등으로 인해 파악하는 것이 가능해진다”고 설명했다. 예를 들어 VPN을 사용할 경우 사내 네트워크에 접근하는 계정의 접속 국가나 위치가 매번 달라지게 된다. 이를 통해 별도의 활동이 없더라도 계정의 이상함을 자동으로 감지할 수 있고 보안 담당자에게 추가적인 행동 변화 분석을 요청하는 것도 가능하다. 라이언 오르시 파트너 글로벌 책임자는 “사이버공격 기법이 점점 정교하고 은밀해지면서 기존의 보안 시스템만으로는 대응하는 것에 한계에 달하고 있다”며 “이번 파트너십은 이런 치명적인 공격에 효과적으로 대처하고 기업이 비즈니스 연속성을 이어가는데 기여할 수 있을 것으로 기대한다”고 말했다.

2024.06.13 17:18남혁우

"작년 랜섬웨어 변종만 50개 이상"…주요 특징은?

지난해 50개 넘는 랜섬웨어 계열과 변종이 새로 나타났다는 보고서 결과가 나왔다. 또 데이터 유출 사이트 게시물도 75% 가량 증가한 것으로 나타났다. 미국 보안회사 맨디언트는 10일 이 같은 내용을 골자로 하는 '2023년 랜섬웨어 트렌드 분석' 보고서를 공개했다. 이번 보고서는 ▲랜섬웨어 동향 ▲새로운 랜섬웨어 계열·변종 소개 ▲서비스형 랜섬웨어(RaaS) 급성장 과정 ▲코발트 스트라이크 외 공격자가 사용하는 합법적인 툴 내용으로 구성됐다. 보고서에 따르면 지난 해 랜섬웨어 계열과 변종이 50개 이상 등장하는 등 활동이 눈에 띄게 늘어났다.이 중 3분의 1은 이미 알려진 랜섬웨어 계열의 변종이었다. 지난해 랜섬웨어 공격 3분의 1은 공격자가 최초로 시스템에 접근한 후 48시간 이내에 발생했으며, 76%는 업무 시간 외에 일어난 것으로 나타났다. 랜섬웨어 공격은 RaaS 모델을 통해 110개 이상 국가의 조직에 타격을 줬다. 보고서에 따르면, 지난해 가장 많이 활용된 5대 랜섬웨어는 알프파이브(17%), 록빗(17%), 바스타(8%), 레드바이크(6%), 포보스(5%) 순인 것으로 기록됐다. 일부 공격자는 피해 조직을 압박하거나 돈을 받기 위해 허위신고를 했다. 피해자에게 직접 전화를 걸고 정부 규제 기관에 민원을 접수하는 등 새롭고 독특한 방법을 시도하고 있다는 점도 보고서에 포함됐다. 공격자가 피해 조직에 금전적 이익을 갈취할 때 다른 암호화폐보다 모네로 같은 특정 암호화폐를 선호하는 성향도 나타났다. 맨디언트는 "최신 백서를 통해 랜섬웨어 보호 및 차단 전략, 실용적인 지침을 글로벌 조직들에 전달하겠다"며 "랜섬웨어 공격 위험을 완화하고 억제할 수 있도록 지원하겠다"고 밝혔다.

2024.06.10 16:35김미정

Prev 11 12 13 14 15 16 17 18 19 20 Next