'보안'에 해당되는 글 10/94

개인정보유출에 이어 사용자 기망하는 아프리카TV
구글과 에버노트 애용하는 당신, 보안을 위해 OTP를 써보라
웹트러스트 인증 무용지물?…모질라, KISA 인증서 탑재 보류
기업 내부정보 쌓여가는 ‘바이러스토탈’
우리나라 산업제어시스템(ICS)이 위험하다
구글은 언제까지 안드로이드를 방치할 것인가
안드로이드 악성 앱을 분해해보자
공격자들은 어떻게 APT를 감행했을까
“SIEM으로는 부족하다”…트래픽 분석의 필요성 대두
빅데이터 분석 품은 보안정보이벤트관리(SIEM) 솔루션
사용자 삽입 이미지
아프리카TV가 개인정보유출 이후의 대응 태도가 도마에 오르고 있다. 당초 유출 사실을 번복한 것도 모자라 유출 내용을 알리는 노력도 제대로 이행하지 않고 있다는 지적이다.


지난 11일 아프리카TV는 외부 공격에 의해 일부 가입자의 개인정보가 유출됐다고 밝혔다.


유출된 개인정보는 2002년 12월 17일 이전에 아프리카TV에 가입한 회원 중 일부 회원의 ▲아이디 ▲이름 ▲가입일 ▲암호화된 비밀번호 ▲생년월일 ▲이메일 주소 ▲휴대전화 번호 등이 포함됐다.

최근 발생한 카드사와 이동통신사의 개인정보유출 사고에 비하면 유출 정보와 규모는 매우 작은 규모로 유추된다. 하지만 소규모의 사고라고 이를 제대로 알리지 않는다는 것은 문제가 있어 보인다.

지금껏 개인정보유출 사고를 겪은 회사들은 홈페이지 첫 화면에 해킹사고에 대한 공지와 피해를 확인할 수 있는 페이지를 개설했다. 사용자들에게 개인정보유출 사실을 제대로 알리기 위해서다.

하지만 아프리카TV는 개인정보유출 피해를 입은 사용자들에게만 이메일을 통해 유출사실을 통지하는데 그쳤다.
사용자 삽입 이미지

출처 http://hummingbird.tistory.com/5462


이와 관련 아프리카TV 관계자는 “홈페이지 공지는 선택사항이다. 우리는 해킹 사실을 인지하자마자 피해자들에게 안내 메일을 보냈다”고 전했다.

물론 아프리카TV의 주장은 사실이다. 이메일로 피해 사실을 알릴 경우 홈페이지 공고는 생략할 수 있다.

근거 법령은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제14조의2다.

이 조문에 의하면 사업자는 개인정보유출 사실을 인지했을 때 사용자에게 ▲유출된 개인정보 항목 ▲유출 시점 ▲이용자가 취할 수 있는 조치 ▲사업자의 대응 조치 ▲상담 연락처 등을 포함해 이메일, 서면, 전화 등을 통해 알려야한다.

아프리카TV측은 이메일을 통해 사용자들에게 피해 사실을 알렸고, 이에 대한 신고도 제때 했기 때문에 문제가 없다는 주장이다.

하지만 상식적으로 생각해보자. 12년 전에 쓰던 메일주소를 아직까지 쓰는 사용자가 얼마나 될 것인가. 메일 서비스가 없어진 경우도 있을 것이며, 변심에 의해 메일주소를 변경한 사람도 있을 것이다.

정보통신망법 시행령에 명시돼 있는 ‘유출사실 통지’ 부분은 피해자들에게 유출 사실을 모두 알려야 한다는 내용을 전제로 하고 있다. 피해자들이 피해 사실을 인지하지 못한다는 것은 사업자의 기망행위로 인한 결과라고 볼 수 있다.

아프리카TV는 개인정보유출 사고가 발생한 이후에도 규모에 대해서 전혀 언급하지 않고 있다. 특히 유출된 DB가 언제 생성된 것(2002년 12월 17일 이전)인지를 스스로 인지하고 있는 상황에서 유출 규모를 밝히지 않는다는 것은 단순히 ‘수사 중이기 때문에 밝히지 못한다’는 것과는 의미가 다르다.

회사측도 이를 인정했다. 이 회사 관계자는 “유출 건수는 매우 적다. 회사 방침에 따라 규모는 공개하지 않기로 했다”고 전했다.
사용자 삽입 이미지

이 뿐만 아니다. 지난 1일 보낸 사과문에는 방송통신위원회에 피해 사실을 즉각 신고했다고 명시했으나, 실제 방통위가 사고를 접수한 날짜는 지난 7일이었으며, 그 다음날인 8일에 조사에 착수했다는 방통위 개인정보보호과의 발언도 확인했다.

아프리카TV는 더 이상 사용자를 기망하는 행위를 멈추길 바란다.
2014/07/13 13:43 2014/07/13 13:43
사용자 삽입 이미지

오늘날 개인 사용자들에게 있어 가장 치명적인 보안사고는 인터넷서비스 계정의 탈취라고 봐도 무방하다.

개인정보유출 사고야 개인이 막을 수도 없고, 당장 피해가 발생하진 않지만 계정정보의 유출은 자신의 사생활이 고스란히 노출될 수 있기 때문이다.

특히 구글이나 에버노트, 페이스북처럼 개인의 사생활이 집약된 서비스에 대한 계정 정보가 외부로 유출될 경우 그 피해는 상상하기 힘들다.


사실 많은 보안전문가들은 인터넷을 사용하는 사람이라면 언제든지 계정정보가 탈취될 수 있음을 인지해야 된다고 지적한다.

워터링 홀(Watering Hole), 드라이브 바이 다운로드(Drive by Download)와 같은 신종 악성코드 유포 방법으로 인해 인터넷 브라우징만 하더라도 악성코드에 감염될 수 있고, 당신이 입력하는 키 값이 고스란히 공격자의 손으로 넘어갈 수 있다.

그렇다면 이러한 피해를 막을 수 있는 방법을 찾아보자.

우선 아이디와 비밀번호가 공공재라고 가정하자. 이 상황에서 자신의 계정 정보를 지키기 위한 방법은 무엇이 있을까. 국산 온라인게임을 즐겨하는 사용자라면 쉽게 답이 떠오를 것이다. 2차 비밀번호를 사용하면 된다.

이미 금융권에선 비밀번호, 보안카드, 공인인증서 키 값 등을 활용하는 멀티팩터 인증 체계를 사용하고 있다. 온라인게임에서도 로그인 시 2차 비밀번호를 입력해야 정상적으로 서비스가 가능하도록 하고 있다.

물론 2차 비밀번호도 1차 비밀번호 처럼 변경하지 않고 무심하게 사용한다면 유출될 가능성이 높다. 만약 금융권에서 사용되는 일회용비밀번호(OTP) 생성기를 쓴다면 그 위험성은 보다 낮아지지 않을까?

이러한 수요에 맞춰 구글은 모바일용 OTP생성기를 애플리케이션(앱)의 형태로 제공하고 있다. 구글 안드로이드와 애플 아이오에스(iOS), 블랙베리 용으로 존재한다.
사용자 삽입 이미지

사용은 간단하다. 제일 먼저 ‘구글 계정-보안’ 영역에서 2단계 인증을 설정한 뒤 모바일 기기에 대한 인증을 받으면 구글 계정에 대한 OTP 목록이 생성된다.
사용자 삽입 이미지

그 뒤는 일사천리다. 페이스북, 에버노트, 드롭박스 등도 구글 OTP생성기를 지원하기 때문에 보안 영역에서 2단계 인증만 활성화하면 즉시 사용이 가능하다.
사용자 삽입 이미지

이를 설정하면 매번 로그인할 때마다 비밀번호와 OTP번호를 입력해야 하는 번거로움이 발생하지만, 혹여나 있을 계정 정보 탈취에 비하면 이정도는 극복할 수 있는 수준이 아닐까.

구글 OTP생성기에 대한 자세한 내용은 여기에서(https://support.google.com/accounts/answer/1066447?hl=ko) 확인할 수 있다.
2014/07/10 17:29 2014/07/10 17:29
사용자 삽입 이미지
지난 1월 한국인터넷진흥원(KISA)은
웹트러스트(Webtrust) 인증을 받았지만 반년이 지난 지금도 모질라 파이어폭스에는 KISA의 루트 인증서가 미탑재된 상태다.

사용자 삽입 이미지
이로 인해 여전히 KISA나 KISA 하위기관이 발급한 인증서를 사용하는 웹사이트들은 ‘신뢰할 수 없는 인증기관에서 발급한 인증서이기 때문에 접속하지 않기를 권장합니다’라는 메시지를 뿜어내고 있다.



KISA의 웹트러스트 인증 획득 목적은 루트 인증서를 파이어폭스에서 사용할 수 있도록 하기 위해서였다. 하지만 모질라측에서 루트 인증서 탑재를 보류함에 따라 KISA만 답답해진 형국이다.
모질라는 웹트러스트 인증을 받은 공인인증기관의 인증서만 탑재해주는 방식을 고수하고 있다. 신뢰할 수 있는 사업자만 들어와야 소비자들의 피해가 줄어들 것이라고 판단했기 때문이다.


충분히 이해할 수 있는 조치다. 하지만 정작 웹트러스트 인증을 받은 KISA의 인증서 탑재가 보류되고 있었는데, 그 이유를 알아봤다.

한국모질라재단과 KISA 취재결과 모질라가 KISA의 루트 인증서 탑재를 보류하고 있는 이유는 KISA 하위에 있는 5개의 공인인증기관이 웹트러스트 인증을 받지 않았기 때문으로 보인다.

코모도(Comodo), 베리사인(Verisign) 등과 같은 해외 인증기관들은 하위 인증기관을 따로 두고있지 않다. 자신들이 인증서와 같은 모든 업무를 관장하기 때문에 탑재에도 문제가 없다.

하지만 KISA는 루트 인증기관으로의 역할만 수행하고 실제 인증서 발급과 같은 기능은 하위 인증기관인 금융결제원, 한국정보인증, 한국전자인증, 한국증권전산, 한국전산원, 한국무역정보통신 등에서 수행하고 있다.

(이 중 한국전자인증만 웹트러스트 인증을 보유하고 있다.)


KISA측은 최상위 인증기관인 자신들이 웹트러스트 인증을 획득했으므로 모든 하위 인증기관들도 이를 적용시켜줘야 한다고 주장하고 있다.

모질라측은 KISA가 웹트러스트 인증을 보유하고 있는 것은 인정하나, 이 인증을 하위 인증기관까지 적용해도 될지 여부를 논의 중인 것으로 알려졌다.

윤석찬 한국모질라재단 리더(제주대 교수)는 “하위 인증기관에 대한 해석을 놓고 KISA와 모질라간의 의견차가 있는 것 같다”고 전했다.

이에 대해 임진수 KISA 전자인증팀장은 “모질라측에서 하위 인증기관에 대한 논의가 필요하다는 지적을 전해왔다”며 “모질라가 이에 대해 동의해주지 않는 한 파이어폭스에서 ‘유효하지 않은 인증서’와 관련된 메시지는 노출될 수 밖에 없다”고 전했다.

한편 웹트러스트는 기업이나 기관의 개인정보보호, 트랜잭션 무결성 등 전반적인 보안상태를 점검하고, 그 상태가 일정 수준 이상일 경우 부여되는 인증이다. 이를 획득할 경우 신뢰성 확보와 더불러 다양한 인증서 발급사업을 추진할 수 있다.

KISA는 지난해 9월 딜로이트 안진회계법인과 계약을 맺고 인증 획득을 추진했으며 지난 1월 인증 획득을 완료했다.
2014/07/08 09:07 2014/07/08 09:07

악성코드 분석가를 비롯해 악성코드에 대해 공부를 하는 사람들이라면 ‘바이러스토탈(VirusTotal)’을 자주 이용하고 있을 것이다.

바이러스토탈은 구글이 2002년 9월에 인수한 악성코드, 악성URL 분석 서비스다. 최대 53개의 안티바이러스(백신)을 사용해 해당 파일이 악성코드에 감염됐는지를 분석해준다.

카스퍼스키랩, 맥아피, 시만텍 노턴 등 외산 백신을 비롯해 국내 백신의 시그니처도 등록돼 있기 때문에 편리하게 악성코드 유무를 확인할 수 있는 장점이 있다.

수 초내에 악성파일 여부를 파악할 수 있다는 장점으로 인해 바이러스토탈은 이메일 첨부파일용 백신으로 활용하는 사람도 많다고 한다.

(물론 잉카인터넷, 안랩 등에 재직 중인 악성코드 분석가들은 바이러스토탈의 결과를 무조건적으로 신뢰하지 말라고 주의를 준다.)

익명을 요구한 보안업계 관계자에 따르면 “최근 지능형지속가능위협(APT) 공격의 초기 단계인 스피어피싱에 대응하기 위해 이메일로 받은 첨부파일을 로컬에서 열기 전 바이러스토탈을 통해 검사하는 사용자들이 많아진 것 같다”며 “문제는 순수하게 기업 내부정보일 수 있는 파일을 아무런 고민없이 클라우드(바이러스토탈)에 던지는 것이다. 그럴리는 없겠지만 바이러스토탈이 클라우드에 저장된 파일들을 다른 용도로 사용하거나, 외부 공격에 의해 유출될 가능성도 고민해봐야 할 것”이라고 전했다.

실제로 얼마전에는 한 인터넷기업의 자산정보 내역 파일로 유추되는 파일이 바이러스토탈에 업로드되기도 했다. 이는 엄연히 내부정보유출이 될 수 있다.
사용자 삽입 이미지

스피어피싱과 같은 해킹 공격에 대응하기 위한 방법을 강구하고 실천한다는 것은 바람직한 일이지만, 그 이후에 발생할 수 있는 사안에 대한 문제도 고민해봐야 할 것이다.
2014/07/03 13:56 2014/07/03 13:56
사용자 삽입 이미지

특정 국가의 치명적인 혼란을 꾀하는 공격자는 어떤 영역을 공격할 것으로 예상하는가. 사람에 따라 생각이 조금씩 다를 수 있겠지만 대부분은 전력, 교통, 통신 등 국가 기반 인프라를 공격할 것이라고 답할 것이다.

만약 우리가 사는 동네에 전기 공급이 끊기는 상황을 가정해보자. 장기간의 단전이 지속된다면 정상적인 삶은 불가능해질 것이다.

국방의 의무를 지고 나온 우리나라 남성이라면 전쟁 발발 시 적국이 가장 먼저 발전소나 기지국 등을 노린다는 것을 배운 기억을 다시 한번 되새겨보자.

이런 가능성을 고려한다면 많은 공격자들이 국가의 기반 인프라를 공격하는 것이 새삼스럽지 않다. 이미 스턱스넷(Stuxnet), 플레임(Flame), 듀큐(Duqu) 등의 공격이 있었다.

2011년, 사이버공격 증가할 듯…‘스턱스넷’ 등장 큰 위협 - 2010.11.25
(http://www.ddaily.co.kr/news/article.html?no=71236)


스턱스넷과 유사한 사이버 표적공격 ‘듀큐’ 발견 - 2011.10.20
http://www.ddaily.co.kr/news/article.html?no=83576


“새로운 악성코드 플레임, 국가단위 해킹 가능성 높다” - 2012.06.05
http://www.ddaily.co.kr/news/article.html?no=91564

이러한 공격 중 국가 전력시스템을 노린 공격이 등장했다.

지난 1일 시만텍은 서방 에너지회사들의 산업제어시스템(ICS)을 노리는 공격 ‘드래곤플라이(Dragonfly)’를 포착했다고 밝혔다.

드래곤플라이의 가장 큰 특징은 ICS 장비 공급업자들의 시스템에 침투해 트로이목마를 감염시킨다는 점이다. 이 의미는 발전소 등에서 운영하고 있는 ICS 장비에 악성코드가 탑재된 소프트웨어를 업데이트의 명목으로 보낼 수 있다는 점이다.

망분리가 돼 있더라도 이러한 악성코드에 감염된다면 원격지에서 조정이 가능해지고, 이는 대형 사고로 이어질 수 있게 된다.

이와 관련 윤광택 시만텍코리아 이사는 “이번에 발견된 드래곤플라이는 공격을 시도하는 도중에 포착이 됐기 때문에 어느정도의 파괴력을 지녔는지는 파악할 수 없다”며 “하지만 특정 기반산업을 공격한다는 특징으로 인해 주목해야 할 부분”이라고 설명했다.


만약 드래곤플라이를 사전에 탐지하지 못했다면 큰 사고가 발생했을 수 있다. 드래곤플라이 등장에 대해 외신들은 에너지산업의 위협이란 주제로 기사를 송고하고 있다.

드래곤플라이는 우리나라를 공격할 가능성도 있다. 우선 특정 산업 기기에 대해 영향력을 끼칠 수 있는 서버를 점령하므로 해당 서버를 통해 업데이트를 받는 기기가 모두 공격 대상이 될 수 있다.

우리나라 역시 해외와 유사하게 지멘스나 ABB, 쿠카 등에서 생산된 기기를 운영하고 있다. 이때문에 우리나라도 드래곤플라이와 같은 공격에서 자유로울 수 없다.

특히 우리나라는 ICS에 대한 보호조치를 제대로 하고 있는 곳이 많지 않다. 여전히 지원이 종료된 윈도XP를 사용하고 있는 곳이 많으며, 망분리가 돼 있다는 이유로 이에 대한 유지보수를 이행하지 않는 곳도 있다.

더 큰 문제는 ICS를 노리는 공격은 사전에 탐지하거나 분석하기가 매우 어렵다. ICS 특성상 기기로부터 얻을 수 있는 로그가 매우 제한적이며, 이조차도 없는 경우가 많기 때문이다.

글로벌 보험 중개사 윌리스(Willis)의 2014년 보고서에 따르면 국가 전력 시설을 담당하는 ICS 기기들은 단 한번이라도 꺼지면 안되기 때문에 이에 대한 유지관리가 힘들며, 이를 노린 공격이 다수 발생한다고 지적하고 있다.

이를 대비하기 위해서는 기반시설에 대한 투자를 확대해 관제, 컨설팅도 보다 디테일하게 실시하고, 새로운 위협에 대응할 수 있는 솔루션 도입에도 나서야 할 것이다.
2014/07/02 10:47 2014/07/02 10:47
사용자 삽입 이미지

구글은 지난달 25일 미국 샌프란시스코 모스콘센터에서 구글 개발자행사(I/O)를 개최하고 웨어러블(Wearable) 운영체제(OS)인 ‘안드로이드 웨어’를 선보였다.

‘안드로이드 웨어’ 역시 웨어러블이란 목적에 최적화돼 있으나 본질적으로는 안드로이드를 기반으로 하고 있다. 이날 구글은 또 ‘안드로이드 오토’라고 불리는 차량용 플랫폼도 내놨다.
사용자 삽입 이미지

via forbes


이번 행사에서는 구글이 안드로이드로 세계 재패를 꿈꾸고 있다는 사실을 다시 한번 확인할 수 있었다.

하지만 원초적인 사안으로 돌아가 보자. 안드로이드의 확산이 마냥 반가운 일일까?


안드로이드에는 ‘보안’에 있어서 절대 자유롭지 못하다. 하루가 멀다하고 등장하는 수십개의 악성 애플리케이션이 이를 뒷받침 한다.

물론 악성 앱이 많다는 것이 안드로이드OS 자체가 보안에 취약하다는 의미는 아니다. 사용자가 어떻게 쓰느냐에 따라 보안이 취약해질 수 있다는 뜻으로 해석하는 것이 옳다.

안드로이드의 개방성을 다시 한번 짚어보자.


구글은 슈퍼유저(SU) 권한을 얻을 수 있는 루팅(rooting)이나 서드파티 앱의 설치가 자유롭다는 것이 개방성이라고 주장한다.


하지만 개방성보다 안전성을 중요시하는 사용자들에게는 선택의 권한도 주지 않는다. 그나마 스마트폰 제조사에서 관련된 기능을 삽입하곤 한다.
사용자 삽입 이미지


안랩의 통계자료에 따르면(http://www.ddaily.co.kr/news/article.html?no=117957) 올해 1분기에 총 43만5122개의 안드로이드 기반 악성코드 샘플이 수집됐다.

이는 지난해 동기 20만6628개 대비 2배 가량 증가한 수치다. 이는 2012년 1분기 1만1923개 대비 36배 증가한 것이며, 2012년 전체 악성코드 진단 건수(26만2699개) 보다 약 1.7배 가량 증가한 수치다.

현재 안드로이드의 가장 큰 장점이자 단점은 서드파티 앱의 설치가 자유롭다는 점이다. 단지 ‘*.apk 파일’을 내려받고 설치했는데 스마트폰에 저장된 공인인증서가 유출되고, 연락처 정보와 문자메시지 정보가 외부로 빠져나간다.

사용자의 부주의일 수도 있으나 본질적인 문제는 안드로이드가 가지고 있다. 안드로이드가 타 모바일OS에 비해 좋지 않다라고 주장하는 것은 아니다.

현재 상황을 근거로 했을 때 스마트폰에만 한정돼 있던 안드로이드의 문제점이 웨어러블이나 차량으로까지 확산될 수 있다는 가능성을 고민해봐야 한다.

구글 플레이(옛 안드로이드 마켓)에 올라간 앱들의 검증을 보다 철저히 하고, ‘알 수 없는 출처에서 설치’ 항목을 기존 영역에서 개발자 도구 영역으로 옮기거나, 아예 삭제해 서드파티 앱을 터미널 등으로만 설치할 수 있도록 한다면 보다 안전해질 것으로 기대한다.
2014/07/01 10:25 2014/07/01 10:25
연일 스미싱에 대한 뉴스가 지면을 장식하고 있다.

‘애플리케이션을 설치만 했을 뿐인데 30만원의 소액결제 피해가 발생했다’, ‘문자가 와서 클릭만 했는데 소액결제로 돈이 빠져나갔다’ 등 피해를 호소하는 사례가 늘고 있다.

이에 정부와 이동통신사도 스미싱 피해 방지를 위한 대책마련에 나서고 있으나 피해는 좀처럼 줄지 않고 있다.

최근에는 카카오톡을 인증을 악용한 스미싱 공격도 등장했다고 하니 점차 지능화되는 공격에 혀를 내두를 수 밖에 없다.

그런데 스미싱 앱이 어떤 권한을 가지고 있는지, 왜 피해를 입을 수 밖에 없는지 궁금증이 생긴다. 왜 앱을 설치하기만 했는데 금전적인 피해를 입을까.

이런 호기심이 많은 사람들을 위한 서비스가 있다. 스위스 보안업체 조시큐리티(Joe Security)가 제공하는 ‘조의 샌드박스(Joe’s Sandbox)’는 사용자가 업로드하는 앱 패키지 파일(.apk)을 실시간으로 분석해주는 서비스다.


이 서비스는 업로드 한 앱이 어떤 권한을 가지고 있는지, 어디에 위치한 서버로 데이터를 보내는지, 어떤 체계로 구성돼 있는지 등 다양한 정보를 보여준다.

기자는 최근 입수한 스미싱 앱 ‘giro114.apk’ 파일을 서비스에 업로드 했다. 약 10분 뒤 결과(http://goo.gl/gjFWJA)가 나왔는데 흥미로운 항목이 있었다.


리포트에는 ‘민감한 정보 탈취(Stealing of Sensitive Information)’ 항목의 위험도가 높은 것으로 나타났다. 보다 정확한 분석을 위해 권한을 살펴봤다.


이미지에서 알 수 있듯이 giro114 앱은 네트워크, 위치, 폰의 상태에서부터 연락처 읽고 쓰기, 문자메시지 읽고 쓰기 등의 개인정보와 관련 강력한 권한을 모두 가지고 있다.

특히 주목할 것은 문자메시지를 읽고 쓸 수 있다는 점이다. 모바일메신저 등에서 인증번호를 파싱(Pharsing) 하기 위해 문자메시지를 읽는 권한은 가질 수 있으나 문자를 보내는 권한은 없다.

하지만 이 앱은 문자메시지를 보낼 수 있는 권한을 가졌다. 즉, 문자가 들어오면 이를 그대로 재전송할 수 있는 권한을 가졌다고 볼 수 있다. 스미싱의 절차 중 ‘인증문자 요청 – 인증문자 탈취’가 이 권한에 의해 이뤄지게 되는 것이다.

또 얼마 전 등장한 주소록에 있는 모든 지인에게 스미싱 문자를 보내는 것 역시 ‘연락처를 읽는(READ_CONTACTS)’ 권한을 가지고 있었기 때문이다.

결국 권한에 대한 이해도를 높이면 스미싱 피해를 예방할 수 있다. 앱을 설치할 때 요구하는 권한을 하나하나 살펴보는 것도 좋은 습관이다.

스미싱을 예방하는 가장 좋은 방법은 구글 플레이가 아닌 다른 경로에서 앱을 설치하지 못하도록 ‘알 수 없는 앱 설치’ 기능을 비활성화 해두는 것이며, 혹여나 구글 플레이에서 내려받은 앱을 설치할 때에도 평판과 권한을 살펴보는 것이 피해를 예방할 수 있다.

한편 조의 샌드박스는 여기에서(apk-analyzer.net) 사용해볼 수 있다.

2013/11/15 09:51 2013/11/15 09:51
사이버 공격은 네트워크 방어를 우회하기 위한 시도를 계속하며 끊임없이 진화하고 있습니다. 이미 탐지된 동일 위협으로는 지속적인 목적 달성이 어렵기 때문에, 기존에 알려진 악성코드를 변종으로 재탄생시켜 보다 정교화된 위협을 가하고 있는 것이죠.

가령 공격자들이 지속적으로 위협 행위를 성공시킨다면 그들은 공격 방식과 기술을 재구성하거나 업데이트할 필요가 없습니다. 공격자가 전술을 새롭게 짤 경우 악성코드 재생산, 인프라 업데이트, 새로운 프로세스에 대한 교육 등 상당한 노력이 수반되기 때문입니다.

이를 근거로 파이어아이는 이러한 위협에 대응하기 위해 새롭게 등장하거나 또는 변종된 악성코드의 공격 방식과 우회 전술을 탐지한 뒤, 공격자가 이러한 변종을 시도한 의도를 알아내는 것이 지능형지속가능위협(APT) 공격에 대응할 수 있다고 지적합니다.

그래야만 향후 또 다른 악성코드가 변종 될 경우 공격 양상을 예측할 수 있다는 주장이죠.

여기에 대해 박성수 파이어아이 악성코드 전문가는 “네트워크 보안망을 뚫고 공격에 성공한 기술들은 더 널리 전파되고 실패한 전술은 버려지기 마련입니다. 최근 파이어아이에 의해 분석된 최신의 APT 사례를 살펴보면, 악성코드가 최초 탐지된 후 상당 기간이 흘렀지만 여전히 변종된 형태로 활발하게 사용되고 있다는 점과 보통 스피어 피싱으로 네트워크에 침투되고 있다는 점이 공통된 특성으로 보입니다”라고 설명했습니다.

이번에는 파이어아이가 발간한 보고서를 바탕으로 전세계서 발생한 지능형지속가능위협(APT) 공격 사례 중 일부를 소개하려고 합니다.


◆야후 블로그를 활용한 타이도어(Taidoor) 변종 악성코드

타이도어(Taidoor)는 2008년부터 현재까지 지속적으로 APT 공격에 사용되고 있는 악성코드로, 주로 스피어 피싱 이메일을 통해 사이버 스파이 활동에 이용돼 왔습니다.

파이어아이는 타이도어를 이용한 공격방식에 있어 2011년과 2012년 사이 기술적인 변화를 밝혀냈는데, 기존 방식이 악성 이메일 첨부파일 실행 시 타이도어가 직접 드롭(drop)되는 방식이었다면, 새로 발견된 방식은 ‘downloader’를 드롭시킨 뒤 기존 타이도어 악성코드를 인터넷상에 다운로드하는 방식으로 알려졌습니다.

공격자들은 기존의 타이도어 악성코드를 C&C 서버로부터 다운로드 하는 대신, 특정 야후 블로그의 포스트에서 암호화된 텍스트를 다운로드 합니다. 암호가 풀린 텍스트는 DLL 파일로 기존 타이도어 악성코드의 변형 버전입니다. 즉, 타이도어 악성코드를 다운로드하는 메커니즘으로 야후 블로그를 악용한 사례라고 볼 수 있을 것 같습니다.

자료출처 : http://www.fireeye.com/blog/technical/2013/09/evasive-tactics-taidoor-3.html


◆악성코드 포이즌 아이비(PIVY) 변종을 이용한 몰레츠(Molerats) 공격 

몰레츠는 원격제어(RAT) 악성코드인 ‘포이즌 아이비(PIVY)’ 역시 8년 째 APT 공격에 이용돼 오고 있는 악성코드입니다.

2013년 여름 중동과 미국 내 몰레츠 해커집단이 C&C 인프라와 연결되는 포이즌 아이비 악성코드를 이용한 공격이 탐지됩니다. 몰레츠는 타겟 호스트를 감염시키기 위해 제로데이 취약점을 이용한 스피어 피싱을 이용했는데, 타깃 대상이 악의적인 파일을 열도록 유도하기 위해 현재 이집트 및 동유럽 전역에 걸친 위기 상황과 관련된 아라비아어로 된 콘텐츠를 활용한 것이 특징입니다.

몰레츠 공격은 본래 이스라엘과 팔레스타인 조직에만 초점을 맞춘 것으로 보였지만 다른 아랍권 국가나 미국 등 세계적인 공격을 감행하고 있어 보다 주의가 요구됩니다.

특히 그간 포이즌 아이비 악성코드는 대부분 중국 해커집단과 연관되어 있다고 여겨져 왔으나 변종 버전이 사용됨에 따라 그 배후에 대해서도 더욱 주의를 기울여야 한다고 합니다.

자료출처 http://www.fireeye.com/blog/technical/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html


◆IE의 제로데이 취약점(cve-2013-3893)을 악용한 ‘오퍼레이션 디퓨티도그(Operation DeputyDog)’

오퍼레이션 디퓨티도그는 가장 최근의 발견한 공격입니다. 올해 8월 17일 등장해 19일에 공격을 시작했습니다.

일본 내 기업들을 표적으로 한 이 공격은 해커들이 정보를 송수신하기 위한 C&C서버를 한국에 심어두기도 한 것으로 밝혀져 보안업계에서 회자가 됐습니다.(국내에서는 10월 9일 마이크로소프트가 10월 정기 보안업데이트를 실시하면서 알려졌습니다.)

파이어아이는 자사의 동적 위협 분석 클라우드 서비스(DTI)에 기반해 이번 악성코드 캠페인과 연관된 위협 활동을 지속적으로 모니터링한 결과, 이번 공격이 지난 2월 비트9(Bit9)을 공격했던 위협요소와 일치한다는 것을 발견했습니다.

특히 cve-2013-3893 취약점은 암호화된 JPG 확장자 형태의 파일로 알려졌는데, 이는 기존 시그니처 기반의 보안 솔루션을 우회할 수 있습니다.

출처 : http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

앞서 3개의 사례에서처럼 공격자들은 이전에 알려지지 않은 제로데이(Zero-day) 취약점을 활용하고 보다 강력한 악성 코드를 만들어 내고 있습니다. 여기에 대비하기 위해서는 보안 위협을 실시간으로 모니터링하고 분석할 수 있는 대책마련이 필요할 것으로 보입니다.


2013/11/03 18:30 2013/11/03 18:30

네트워크, 보안 장비들과 보안정보이벤트관리(SIEM) 솔루션만으로 모든 보안 위협에 대응할 수 있을까?

일반적으로 보안정보이벤트관리(SIEM)는 보안 솔루션들이 내놓는 정보를 취합해 유의미한 데이터를 뽑아내는 것에 주력한다.

방화벽, 침입방지시스템(IPS)와 같은 네트워크 보안 어플라이언스에서부터 네트워크접근관리(NAC), 백신(AV) 등이 탑지한 위협요소를 분석해 대응하는 역할을 담당한다.

하지만 보안 장비들이 걸러내지 못하는 위협은 분명 있다. 지능형지속가능위협(APT) 공격이나 제로데이 공격 등은 일반적으로 알려지지 않은 공격이기 때문에 보안 솔루션들이 탐지하기가 어려운 것이 사실이다.

이러한 이유 때문에 최근에는 SIEM과 트래픽 분석을 결합하는 움직임이 나타나고 있다. 이는 SIEM 솔루션을 기보유한 업체들로부터 시작되고 있는데 EMC 보안사업부인 RSA와 이글루시큐리티가 시장에 선수를 쳤다.

트래픽 분석 솔루션은 빅데이터와도 연관이 있다. 매초 수천건이 쏟아져나오는 패킷을 모두 수집해 빠른 시간내에 분석하기 위해서는 빅데이터 처리 능력이 필요하기 때문이다.

EMC 보안사업부 RSA는 네트워크 트래픽 전수조사 솔루션인 넷위트니스를 보유하고 있다. 넷위트니스는 국내에서 APT 대응솔루션으로 널리 알려졌는데 이는 내부로 들어오는 모든 트래픽을 분석해 알려지지 않은 위협에 대응할 수 있었기 때문이다.

RSA는 넷위트니스에 SIEM과 빅데이터 플랫폼을 결합한 제품을 출시했다. ‘시큐리티 애널리틱스’라고 불리는 이 솔루션은 로그와 트래픽을 한번에 처리할 수 있다.

박범중 한국EMC RSA 차장은 “SIEM은 룰(Rule) 기반으로 동작하기 때문에 룰이 만들어놓은 시나리오에서 조금만 벗어나더라도 이를 탐지할 수 없다. 그러나 최근 해킹사고를 보면 알 수 있을테지만 예측이 불가능한 공격이 감행되고 있다”고 말했다.

시나리오에 없는 공격을 탐지하기 위해서는 트래픽과 로그를 전수조사하는 수 밖에 없다. 하지만 전수조사는 말처럼 쉽지 않다. 수천, 수만건의 로그와 트래픽을 수초내에 분석해서 적용해야만 유의미하기 때문이다.

박 차장은 “전수조사에는 빅데이터를 활용해야 한다. 수 초 이내에 쿼리를 내놓고 판단할 수 있어야 하기 때문이다”라며 “테라바이트(TB) 급의 패킷을 수초내에 해결할 수 있는 것은 하둡과 같은 빅데이터 플랫폼이다. 하둡의 분산처리 시스템은 이를 가능케 한다”고 강조했다.

RSA는 보안·네트워크 장비들이 쏟아내는 로그와 패킷을 ‘시큐리티 애널리틱스 웨어하우스’에서 모두 수집해 처리한다.

시큐리티 애널리틱스 웨어하우스는 빅데이터 분석을 통해 유의미한 데이터를 도출해내고 최종적으로 ‘예측모델’을 만들어낸다. 통계적 추론에 의한 결과값으로 보안위협에 선제적인 대응을 하겠다는 취지다.

박 차장은 “모든 SIEM 솔루션 업체들도 조만간 트래픽 분석에 대한 필요성을 인지하고 시장에 진입할 것이며 ‘예측모델’의 발전 가능성 역시 무궁무진하다”고 말했다.

이글루큐리티는 SIEM에 비정상트래픽을 분석할 수 있는 솔루션(IS-ATRA)을 내놨다.

이 제품은 RSA의 ‘시큐리티 애널리틱스’와 유사한 모델이다. 단 트래픽 전수조사 대신 비정상 트래픽을 탐지하고, 학습을 통한 성능 향상, 그리고 관제에 대한 효율성 향상이 주 목적이다.

임형준 이글루시큐리티 ATRA팀장은 “알려지지 않은 공격 위협을 탐지하기 위해서는 네트워크 흐름(Flow)을 기반으로 한 비정상트래픽을 파악할 필요가 있다. 유입 트래픽에 대한 지속적인 모니터링과 학습을 통하여 유입된 트래픽이 내부 시스템 및 장비에 미치는 영향과 상태에 대해 파악하고 이를 종합해 알려지지 않은 공격 위협, 유입된 비정상트래픽, 내부현황 그리고 그에 따른 대처방안을 알려준다”

RSA 제품과 이글루시큐리티의 트래픽 분석 솔루션은 빅데이터를 기반으로 평상시 네트워크 특성과는 다른 이상징후를 검출해 내는 것에 주력을 하고 있다.

RSA(시큐리티 애널리틱스)는 이를 트래픽, 로그 전수조사를 통해 SIEM과 통합하고, 이글루시큐리티는 이상 트래픽을 탐지해 이를 SIEM과 결합했다.

데이터 처리능력이나 확장성은 RSA가 보다 높지만 이글루시큐리티의 솔루션은 학습 능력을 갖춰 지속적으로 잠재적 위협요소에 대한 판단력을 높인다는 것에 의의를 둘 수 있을 것으로 보인다.
2013/10/02 09:16 2013/10/02 09:16
최근 보안시장에서는 지능형지속가능위협(APT)와 같은 고도화된 위협이 증가함에 따라 빅데이터 분석을 보안과 결합하고자 하는 요구가 많아지고 있다.
APT에 대한 선제적인 방어와 공격과 위험을 예상하고 감지하기 위해 기업은 방대한 양의 데이터를 빠른 속도로 취급, 처리해 네트워크 내외부에서 발생하는 모든 정형·비정형 데이터를 분석할 수 있는 인프라가 필요하기 때문이다.

또한 기업은 클라우드, 모바일, 가상 환경을 아우르는 모든 컴퓨팅 환경을 모니터링해야 하며 실제 보안 문제가 발생했을 시 자동적인 조치가 취해져야 한다.

여기서 보안정보이벤트관리(SIEM)과 빅데이터 분석의 결합이 대두됐다. 보안 어플라이언스들이 쏟아내는 수많은 데이터를 분석해 가장 적합한 조치를 취할 수 있는 것이 목표다.

IBM, HP, EMC 등 글로벌 업체들은 일찍부터 자사의 SIEM에 빅데이터 분석 기능을 탑재하기 위해 힘써왔으며, 현재는 구현 방식은 조금씩 다르나 ‘실시간분석’, ‘예측분석’이라는 목표 달성을 위해 솔루션을 고도화하고 있다.

국내 업체 중에서는 이글루시큐리티, KCC시큐리티도 빅데이터 분석으로 보안위협 대응에 나선 상황이다.

◆빅데이터 분석을 통해 ‘시큐리티 인텔리전스’ 전략 펼치는 한국IBM

‘시큐리티 인텔리전스’는 IBM의 보안 솔루션과 예측할 수 있는 방법을 통해 외부 위협에 적절히 대응하는 전략이자 시스템을 의미한다.

박형근 한국IBM 보안사업부장은 “시큐리티 인텔리전스에서 무엇보다 중요한 것은 바로 실시간으로 다양한 정보간의 상관 관계를 파악할 수 있다는 점”이라며 “IBM의 시큐리티 인텔리전스는 기업에서 일어나는 모든 IT활동을 수집하고 실시간 이벤트 및 히스토리컬 이벤트에 대해 종합적인 상관관계 분석을 수행함으로써 가장 정확한 인시던트(Offence)를 찾아낸다”고 설명한다.

예를 들어 네트워크 커뮤니케이션이 제대로 적절히 이뤄지고 있는지 확인할 수 있으며, 혹시라도 정상적이지 않은 서비스가 있는지, 이상한 프로그램은 없는지, 예상치 않았던 로그인이나 실패 사례, 그리고 예상치 못한 변화는 없는지, 그리고 새로운 서비스가 IT관리자들도 알지 못하는 사이에 설치됐는지 등에 대한 인사이트를 갖게 되는 것이다.

또 한가지 시큐리티 인텔리전스에서 중요한 것은 바로 예방과 감지이다. 시큐리티 인텔리전스를 적용하면 다양한 공격과 사고가 발생하기 전에 예방이 가능하다. 실제 보안사고가 발생할 경우 얼마나 발 빠르게 대응할 수 있는가 하는 것이 가장 중요하고, 현재의 기업들이 시큐리티 인텔리전스 적용이 필요한 이유다.

IBM은 큐레이더(IBM QRadar Security Intelligence Platform)로 APT와 같은 보안위협에 대응한다.

큐레이더는 단순한 로그 수집, 분석에 그치지 않고, 네트워크 트래픽 정보, 취약점 스캔 결과 등을 수집한다. 또 네트워크, 데이터 센터, 어플라이언스 등에 어떤 일이 벌어지고 있는지를 파악할 수 있도록 사용자에게 가시성을 제공한다.

◆노란코끼리(하둡)와 함께 가는 HP

올해 초 한국HP는 자사의 SIEM 솔루션 아크사이트에 의미기반 분석엔진을 탑재하고, 대용량데이터 분석을 강화하기 위해 하둡을 지원한다고 밝혔다.

박진성 한국HP 엔터프라이즈 시큐리티 프로덕트(ESP) 이사는 아크사이트와 의미기반 분석엔진을 통합한 것에 대해 “콘텐츠 분석과 실시간 데이터 분석의 통합”이라는 문장으로 표현했다.

‘아크사이트 클라우드 커넥터 프레임워크(HP ArcSight Cloud Connector Framework)’라고 불리는 이 프레임워크는 아크사이트와 의미기반 분석 엔진인 HP 오토노미 아이돌(HP Autonomy IDOL)을 통합해 유저로부터 발생하는 모든 데이터에 대한 내용, 콘셉트, 의견, 사용 패턴을 자동적으로 인식한다.

이는 가공되지 않은 보안관련 데이터(raw security data)의 분석을 지원한다. 또한 행동패턴을 포함한 유저의 감성과 관련된 데이터의 자동적 인식 및 분석을 통해 더욱 신속하게 정보 보안 위협을 실시간으로 감지해 대응할 수 있다.

로우데이터는 기본적으로 크기가 크다. 가공되지 않은 데이터이기 때문이다. 이를 처리하기 위해 HP는 아크사이트와 하둡을 연계시켜주는 플러그인을 개발했다.

박 이사는 “HP 아크사이트·하둡 통합 유틸리티는 HP 아크사이트의 리포팅, 검색, 상관관계를 분석하는 성능과 하둡의 거대한 중앙 스토리지와의 연계를 통해 기업이 페타바이트(Petabytes) 데이터를 처리하는데 필요한 스토리지 역량을 제공할 수 있다. 이러한 오픈소스 기반의 기계 학습 알고리즘(machine-learning algorithms), 통계 분석, 이상 감지, 예측 분석은 수집된 데이터와 접목돼 보안 이슈에 대한 더욱 넓은 통찰력과 해결방안을 지원할 수 있을 것”이라고 설명했다.

IBM과 HP는 빅데이터를 처리하는 방식은 다르지만(자체-하둡), 수많은 데이터(로그)에서 유의미한 데이터를 추출, 분석하는 것은 크게 다르지 않다는 것을 알 수 있다.


2013/10/02 09:16 2013/10/02 09:16