사용자 삽입 이미지
IBM이 글로벌 보안 시장 재편을 노린다. 적극적인 인수합병(M&A)와 보안 사업 강화를 통해 당초 2018년까지 보안 시장 1위를 석권하겠다는 목표를 앞당긴다는 계획이다.


IBM은 지난 2011년 보안정보이벤트관리(SIEM) 솔루션 업체 Q1랩을 인수한 이후 보안 사업 강화를 꾀했다. Q1랩 인수 이후에도 IBM은 파이버링크, 트러스티어 등을 추가로 인수했으며, 최근에는 크로스아이디어와 라이트하우스를 추가로 인수하며 광범위한 보안 포트폴리오를 완성했다.



라이트하우스 인수 관련 공식 보도자료(영문)

크로스아이디어 인수 관련 공식 보도자료(영문)


IBM이 초점을 잡고 있는 부분은 ‘시큐리티 인텔리전스’다. IBM의 시큐리티 인텔리전스는 IBM의 보안 솔루션과 예측할 수 있는 방법을 통해 외부위협에 적절히 대응하는 전략이자 시스템을 의미한다. 외부위협에 적절하게 대응할 수 있도록 IBM이 설계한 것은 ‘실시간 분석’이다.

시큐리티 인텔리전스에서 무엇보다 중요한 것은 바로 실시간으로 다양한 정보간의 상관관계를 파악할 수 있어야 한다. 보다 많은 정보를 수집하고 이를 위협 대응에 반영하는 것에 초점을 두고 있다.

이미 IBM은 ▲시큐리티 인텔리전스(Q1랩, 2011년 인수) ▲데이터보호(가디엄, 2009년 인수) ▲애플리케이션(워치파이어, 2007년 인수) ▲인프라(Network XGS)로 구성된 보안 프레임워크를 갖추고 있으며, 지난해 트러스티어를 인수하며 사기예방, 이상행위탐지와 같은 세그먼트를 추가하게 됐다.

이번에 IBM이 이수한 크로스아이디어와 라이트하우스는 레거시와 클라우드 기반 계정접근관리(IAM) 솔루션을 가진 업체다.

IAM 솔루션은 각 정보시스템 사용자(직원, 고객, 계약자 등)를 식별하고, 정의된 사용자 권한에 의해 정보시스템에서 제공하는 자원에 대한 접근을 제어한다. 핵심 역할은 식별된 사용자(Identity)가 권한을 가진 IT자원에 접근(access)할 수 있도록 통제하는 것이다.

식별된 사용자가 IT자원에 접근할 수 있도록 통제한다. 이 기능만 생각하더라도 응용분야가 대폭 확대된다.

일반적으로 클라우드 기반 인프라에서 사용자 식별을 위해 IAM 솔루션을 활용할 수 있으며, 궁극적으로는 사물인터넷에도 IAM 솔루션을 적용할 수 있다.

사물인터넷 시대의 도래로 과거와 달리 지금은 사용자가 쓰는 모든 디바이스, 애플리케이션, 서버 등이 인터넷과 연결돼 있다. 기업들은 광범위하게 늘어난 인프라로 인해 많은 정보를 습득할 수 있지만, 그만큼 보안에 대한 위협도 커진 상황이다.

기업과 개인이 관리하는 수많은 디바이스와 데이터는 결국 계정이라는 영역으로 귀결되고, 이는 IAM 솔루션의 중요성으로 이어질 수 밖에 없다.

크로스아이디어와 라이트하우스 인수로 IBM은 클라우드 보안을 비롯해 사물인터넷 보안까지 영역을 확대하게 됐으며, 그들이 주장하는 ‘보안시장 1위 탈환’이 허무맹랑한 이야기가 아니게됐다.

한편 가트너의 글로벌 보안시장 마켓쉐어 보고서는 아래 표를 참고하면 되며, 주목할 것은 최근 3년간 IBM의 보안사업 매출성장률이다.
사용자 삽입 이미지

2014/08/13 08:52 2014/08/13 08:52
사용자 삽입 이미지

지난주 미국 라스베이거스에서 열린 블랙핵2014에서는 자동차, 위성 등 평소에는 생각하지도 못한 기기들이 해킹당하는 사례가 발표돼 많은 이들의 시선을 끌었다.

이와 함께 스마트폰, 이동식저장장치 등 평소에 우리가 쉽게 접하는 기기에 대한 새로운 해킹 수법도 공개됐으며, 임베디드 소프트웨어, 즉 사물인터넷용 기기들도 쉽게 침투될 수 있다는 발표로 인해 좌중들이 충격받기도 했다.
사용자 삽입 이미지

◆하드코딩된 위성통신장비 시스템, 보안에 취약


블랙햇 첫날 루벤 산타마르타 IO액티브 연구원은 비행기에서 사용할 수 있는 무선랜(Wi-Fi) 서비스를 악용해 비행기와 위성간 통신 서비스 취약점을 소개했다.

산타마르타 연구원은 블랙햇2012에서 삼성전자의 공조시스템과 슈나이더의 전자계량기, 지멘스의 네트워크 장비에 대한 취약점을 공개해 이목을 한 몸에 받기도 했다.

그는 올해에는 주요 항공사들이 채택해 사용하고 있는 코브햄, 휴즈네트워크, 해리스, 이리듐 커뮤니케이션, 재팬라디오 등 5개의 비행 위성통신장비 시스템에서 발견한 취약점을 공개했다.

산타마르타 연구원은 “해당 장비들을 역공학(리버스 엔지니어링)한 결과 제대로 된 보안장치가 없어 손쉽게 시스템 탈취가 가능했다”고 지적했다.

역공학을 위해 산타마르타 연구원은 비행기내에서 제공되는 와이파이 서비스에 접속한 뒤, 위성통신장비 시스템까지 접근했다. 이는 위성통신장비 시스템에서 와이파이 서비스를 통제하기 때문이다. 공개 와이파이에 접속한 공격자가 관리자설정 페이지까지 진입한 것이라고 생각하면 이해가 빠를 것이다.

산타마르타 연구원은 “위성통신장비 시스템들은 공장출하시 설정된 아이디와 비밀번호를 쓰도록 설정돼 있다. 이는 해킹에 아주 무방비한 상황을 뜻한다”며 “이에 대한 대책 마련이 시급하다. 항공사와 위성통신장비 시스템 업체들의 적극적인 개입이 필요하다”고 강조했다.
사용자 삽입 이미지

◆자동차도 해킹에서 자유롭지 않다


자동차도 해킹에서 자유롭지 않은 것으로 나타났다. 지난 2013블랙햇에서 처음 공개된 자동차 해킹 기법이 올해는 더 확대돼 소개됐다.

이번 블랙햇2014에서 크라이슬러 ‘지프 체로키’, 캐딜락 ‘에스컬레이드’, 도요타 ‘프리우스’는 해킹에 가장 취약한 자동차 리스트에 이름을 올렸다. 이들은 디지털 모듈을 다수 채택한 최신 모델이란 공통점을 가지고 있다.

지난해 블랙햇에서 도요타 프리우스를 해킹해 세간의 주목을 받았던 찰리 밀러(트위터 보안 엔지니어)와 크리스 밸러섹(IO액티브) 연구원은 “자동화된 요소가 많을수록 외부의 공격에 취약하다”며 “취약점을 악용할 경우 자동차의 계기판을 마음대로 조작하는 것에 이어, 스티어링 휠을 돌리거나 브레이크, 가속페달의 조작도 가능하게 된다”고 설명했다.

하지만 모든 자동차가 이러한 취약점을 가지고 있는 것은 아니며, 이러한 취약점에 대해 자동차 제조사들은 적극 대응하고 있다고 밀러 연구원은 설명했다.

밀러 연구원은 “자동차 제조사마다 설계하는 방식과 아키텍처가 다르기 때문에 해킹에 대한 위협을 일반화해선 안된다”고 전했다.

한편 가장 해킹에 안전한 자동차들로는 닷지 바이퍼, 아우디 A8, 혼다 어코드 등이 꼽혔다.

이외에도 블랙햇에선 펌웨어 해킹을 통해 임베디드된 기기의 임의조작(USB, 사물인터넷 기기) 사례가 다수 발표됐으며, 랜섬웨어를 구제해줄 수 있는 서비스도 소개됐다.


2014/08/11 14:36 2014/08/11 14:36
사용자 삽입 이미지
오는 7일부터 주민번호 수집 법정주의가 시행된다.


주민번호 수집 법정주의란 법령에서 구체적으로 주민번호 처리를 요구, 허용하는 경우나 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 보호를 위해 명백히 필요한 경우 등을 제외하고는 주민번호 수집과 활용을 해서는 안된다는 규정이다.

주민번호 수집 법정주의 시행에 앞서 주요 기업들은 주민번호를 사용하지 않고 서비스를 제공할 수 있는 방법을 마련하고 있으나 아직까지 제대로 준비를 하지 못하고 있는 상황이다.

특히 대기업 계열사나 프렌차이즈가 아닌 소상공인의 경우 제도에 대한 이해가 떨어져 여전히 주민번호를 수집·활용하고 있어 추후 문제가 될 것으로 보인다.


반대로 주민번호 수집 금지 조치로 인해 문제를 겪는 사업자들도 있었다.

아래에 소개하는 세가지 사례는 최근 기자가 직접 경험한 것이다.

#1.최근 기자는 기아자동차에서 출시한 올뉴프라이드를 중고로 구매했다. 정기점검을 받기 위해 기아자동차 멤버십 서비스에 가입하려고 했으나, 온라인으로는 불가능하고 오토큐에 직접 방문을 해야 가입이 가능했다.

기자는 오토큐에 방문해 담당직원에게 ‘멤버십 서비스 가입을 하고 싶다’는 의향을 전달했는데, 그 순간 직원의 낯빛이 어두워졌다.

주민번호 수집 법정주의 시행으로 멤버십 가입 서류가 완전히 바뀌었는데 이를 어떻게 처리할지 교육을 받지 못했다는 것이었다.

실제로 서류에는 주민번호 기재란이 사라지고 마이핀을 기입하는 공간과 휴대전화 인증을 통한 본인확인 영역이 새롭게 생겼다. 마이핀을 알고 있는 사용자는 즉시 가입이 가능하고, 마이핀을 모를 경우에는 휴대전화 인증을 통해 본인확인을 하는 시스템으로 보인다.

기자는 아직 마이핀을 발급받지 않았기 때문에 휴대전화 인증으로 본인확인을 하겠다고 했다. 하지만 수차례 시도를 했으나 본인확인 절차가 이뤄지지 않아 멤버십 가입은 하지 못했다.

#2.대부분의 아파트 관리사무소에서는 주민들의 자동차를 등록해 관리를 한다. 기자가 살고 있는 아파트 역시 다르지 않았기에 자동차 등록을 위해 관리사무소를 방문했다.

관리사무소에서 내놓은 아파트단지 자동차 등록 서류에는 자동차등록증 사본과 함께 세대주의 인적사항을 기재하도록 돼 있었다. 기재를 요구하는 인적사항에는 주민번호도 포함돼 있었다. 물론 자동차등록증 사본에도 주민번호가 별도의 마스킹 처리 없이 그대로 복사돼 있었다.

관리사무소 담당직원에게 “7일부터 주민번호 수집하면 안되고, 기존에 수집한 정보도 2년내에 파기해야 되는거 알고 계신가요?”라고 질의를 했지만 그 직원은 멀뚱멀뚱 쳐다보기만 할 뿐이었다.

#3.하루는 출력해야 할 서류가 있어 근처 PC방을 찾았다. 그 PC방은 회원가입을 하면 사용요금의 20%를 할인해준다고 해 가입을 시도했다. 우려했던 것과 달리 주민번호를 요구하지 않았으며 생년월일과 성명, 전화번호, 이메일 등만 요구했다.

볼 일을 마치고 계산을 하면서 PC방 사장에게 “앞으로 주민번호 받으면 안되는데 벌써 조치를 취하셨군요?”라고 질문을 하자 그 사장은 한숨부터 쉬었다.

그는 “주민번호를 통해 성인을 확인하고 있었는데 갑자기 생년월일로 변경되는 바람에 성인인척 하는 청소년들이 늘어났다”고 토로했다.

회원가입시에 본인인증을 하는 프로세스를 추가하면 되지 않겠냐는 기자의 말에 사장은 “애초에 PC방 관리 프로그램에 그 기능이 들어가지 않았고, 휴대전화를 통한 본인확인을 도입한다고 해도 그 비용을 부담하기란 쉽지 않다”고 전했다.

이처럼 제도 시행이 코 앞임에도 불구하고 시행착오가 곳곳에서 발생하고 있다. 새로운 제도가 자리를 잡기 위해서는 이러한 과정이 필요한 것은 인정한다. 하지만 국민의 불편이 최소화되도록 노력하는 정부의 모습을 보고싶다.

2014/08/06 07:25 2014/08/06 07:25
사용자 삽입 이미지

본격적인 휴가철을 맞이하면서 많은 사람들이 산과 바다로 떠나고 있다. 올해는 특히 태풍의 영향권에서 많이 벗어나 국내 휴양지로 휴가를 떠나는 사람이 많다고 한다.

사람들은 휴가를 떠나기전 자동차나 여행용품에는 문제가 없는지 재차 확인한다. 휴가 도중 문제가 생기면 그 슬픔은 누가 달래 줄 것인가.

보안도 마찬가지다. 휴가를 떠나기전에 자신이 쓰는 PC, 스마트폰에 대한 보안을 다시한번 점검해보는 시간을 갖도록 하자.

안랩(대표 권치중, www.ahnlab.com)은 본격적인 여름 휴가철을 맞아 개인 및 조직의 중요 정보를 각종 보안위협으로부터 안전하게 보호하고, 보안사고 발생 시 피해를 최소화할 수 있는 ‘명량 보안수칙’을 발표했다.

안랩은 이순신 장군이 전선 12~13척으로 수백 척의 일본 수군을 물리쳐 승리한 ‘명량해전’처럼 최소한의 보안수칙 실천을 통해 큰 피해를 막을 수 있다는 의미를 담아 이번 ‘명량 보안수칙’을 정했으며, PC 및 스마트폰 사용자, 기업/기관 등 대표적인 3대 보안 계층이 유의해야 할 중요 수칙을 세가지씩 선정했다.

◆개인 PC사용자의 ‘명량 보안수칙’

장기적인 경기 불황으로 인해 더 알뜰한 휴가를 즐기려는 이들이 증가하고 있다. 이에 합리적인 가격대의 여행지, 숙소, 맛집 등 최대한의 정보를 모으고, 사전 예약을 위한 여행객들의 인터넷 사용량이 급증할 것으로 예상된다.

이러한 점을 공격자들은 교묘하게 이용하기 때문에 ‘유명 팬션 특가’ 등 이메일 제목이 자극적이거나 출처가 불분명한 메일 및 SNS에 첨부된 파일이나 링크는 실행을 자제하고, 파일공유 사이트에서 불법 파일을 다운로드 받는 것을 피하는 것이 안전하다.

또한 OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 버전을 최신으로 유지하고, 각 SW 제작사에서 제공하는 보안 패치를 적용하는 것이 좋다. 이와 함께 보안의 기본 제품인 백신 프로그램을 설치하고 자동업데이트 및 실시간 감시 기능을 실행해야 한다.

◆스마트폰 사용자의 ‘명량 보안수칙’

스마트폰 사용자들을 노리는 여름 휴가 관련 스미싱이 증가할 것으로 예상되므로 문자 메시지나 SNS등에 포함된 URL 실행을 자제해야 한다.

만약 수상한 URL을 실행하고 앱을 설치 했을 시에는 모바일 전용 보안 프로그램을 통해 스마트폰을 검사하는 것이 필수다. 또한 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고 자동업데이트 등으로 항상 최신 엔진을 유지한다. 또한, 보안 앱으로 주기적으로 스마트폰을 검사하는 것이 좋다.

공식 마켓 이외의 출처의 앱 설치 방지를 위해 ‘알 수 없는 출처[소스]’의 허용 금지 설정을 하고, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 반드시 확인해야 한다.

◆기업 보안 담당자를 위한 ‘명량 보안수칙’

기업이나 기관 보안 담당자가 자리를 비운 틈을 타, 해커가 공격을 할 가능성도 있다. 보안 담당자는 휴가를 떠나기 전에 사내 모든 PC및 서버의 OS(운영체제), 웹 페이지, 응용소프트웨어의 보안 상황을 점검하고, 보안 조치를 해야 한다.

휴가 기간 동안 서비스하지 않는 시스템의 경우 조직 내 네트워크로부터 차단될 수 있도록 정책을 변경하고 장기간 사용하지 않는 PC는 전원을 끄고 네트워크에서 분리해 둔다. 또한 보안 담당자들은 비상 연락 체계를 구축하고 유관부서와 공유해야 한다.

안랩은 이번 여름 휴가 기간 동안에도 평상시와 같이 24시간 근무 체제를 가동한다. 국내외 시큐리티대응센터(ASEC)와 침해사고대응센터(CERT)의 악성코드 모니터링/분석 연구원과 침해 사고 대응 전문가들이 상시 대응한다.

한창규 안랩 시큐리티대응센터장은 “최소한의 보안수칙만 지켜도 각종 보안사고를 미리 예방할 수 있다는 점은 아무리 강조해도 지나치지 않다”라며, “특히 여름 휴가 기간을 노린 스미싱, 개인정보 유출 등 다양한 보안 사고가 발생할 수 있어, 개인은 물론 기업이나 공공기관에서도 기본적인 보안수칙을 지켜 위협에 철저히 대비해야 한다”라고 강조했다.
2014/07/30 15:22 2014/07/30 15:22
via SK브로드밴드 블로그

올해 초 인터넷 공유기의 취약점을 악용해 사용자들을 피싱 사이트로 유도하고, 파밍 애플리케이션을 설치하도록 하는 수법이 등장한 이후 지속적인 피해 사례가 발견돼 주의가 필요하다.

이 수법은 공격자가 관리자 암호가 설정돼 있지 않은 공유기에 접속해 공유기의 DNS 주소를 특정 IP주소로 변경하는 방식이다.

DNS 주소가 변경될 경우 주소를 제대로 입력하더라도 공격자가 의도한 웹사이트로 이동이 된다. 마이크로소프트(MS) 윈도에서 호스트파일을 변경하는 것과 같은 효과를 볼 수 있다.


PC방이나 카페 등에서 마케팅을 위해 사용되던 이 방법이 이제는 파밍 공격을 위한 획기적인 방법으로 떠오르고 있는 것이다.

공격자는 공개돼 있는 공유기에 접속한 뒤 설정을 변경한다. 이들은 효과를 극대화하기 위해 카페나 도서관 등 사용자가 몰리는 장소에 설치된 공유기를 주된 타깃으로 삼고 있는 것으로 보이며, 대학가 등 유동인구가 많은 지역에서도 피해사례가 보고되고 있다.

공유기 해킹에 대한 피해는 크게 두가지로 나뉘어진다. 먼저 PC의 경우 파밍용 홈페이지에 접속을 유도한 뒤 악성코드를 설치, 개인정보와 금융정보를 탈취하는 방식이다.

특정 사이트에 접속만 하더라도 악성코드를 내려받을 수 있는 ‘드라이브 바이 다운로드(Drive by Download)’ 수법이 악용된다.

스마트폰도 자유롭지 못하다. 특히 서드파티 애플리케이션 설치가 자유로운 안드로이드폰이 피해를 입을 수 있다.
 스마트폰을 통해 네이버, 다음과 같은 포털사이트에 접속하면 ‘네이버를 사칭한 변조사이트’라는 메시지를 노출하며, 이를 차단할 수 있는 앱을 설치하라고 요구한다.

즐겨찾기를 통해 접속하거나 사용자가 직접 주소를 입력해서 접속하더라도 DNS 서버가 변경된 이후이기 때문에 원치않는 사이트로 접속되는 것이다.

지난 5월에는 네이버와 다음 등 포털사 앱의 업데이트를 가장한 악성 앱이 배포됐으나 최근에는 한국인터넷진흥원(KISA)이나 경찰청을 사칭한 악성 앱도 발견되고 있다.

이 공격은  팝업의 형태로 메시지가 노출되기 때문에 많은 사용자들이 이를 설치하는 경향이 높은 것으로 알려졌다.

사용자가 악성 앱을 받아 설치할 경우 문자메시지, 주소록 등의 정보가 유출되며, 또 다른 악성 앱이 추가로 설치 될 가능성도 높아져 피해가 확산될 수 있다.


이와 같은 메시지를 확인하면 취소를 선택하고 해당 와이파이를 사용하지 않는 것이 좋다. 이미 확인을 통해 내려 받았다면 신속히 삭제해야 한다.

공유기 DNS 주소가 변경된 상황이라면 노트북 등을 사용해 포털사이트에 접속할 경우에도 동일한 상황이 발생될 수 있다. 공격자는 웹브라우저의 헤더값을 분석한 뒤 PC와 모바일을 구분하는 식으로 공격한다는 사례도 보고된 바 있다.

이러한 문제를 근본적으로 해결하기 위해서는 공유기 설정을 변경해야 한다. 엔드포인트에서 DNS 서버가 변경된 공유기를 쓰는 한, 공격자의 손바닥 위에 있기 때문이다.

설정을 변경하기 위해서는 공유기의 관리자 페이지에 접속한 뒤 변경된 DNS 서버 주소를 원상태로 복구해야 하며 관리자 암호 등를 설정해 외부의 접근을 사전에 차단해야 한다.

KT, SK브로드밴드 등 국내 인터넷서비스업체들은 DNS 주소를 자동으로 설정해주므로 수동으로 돼 있는 체크박스를 변경해주면 해결된다.

자세한 해결 방법은 자신이 사용하고 있는 공유기의 제조사를 확인한 뒤 아래 링크를 통해 알아볼 수 있다.

- 네티스코리아

http://www.netiskorea.com/atboard_view.php?grp1=news&grp2=notice&uid=8156


- 넷기어
http://www.netgear-support.co.kr/Support/at_SingleBoard/support_faq_list.asp -> 각 공유기 모델별 “ 공유기 암호 및 원격관리 매뉴얼” 참고


- 넷탑씨앤씨(NTP)
http://www.nettop.co.kr/ -> 공지사항 -> “공유기를 이용한 파밍 공격 대처 요령” 참고


- 다보링크
http://www.davolink.co.kr/board/board.asp?chrBType=NOTICE&pageMode=READ&bIndex=5914&menuSeq=22


- 디링크
http://mydlink.co.kr/2013/notice/notice_detail.php?no=63&code=mydlink_notice_2009


- 디지털존(WeVo)
http://www.iwevo.co.kr/board.php?BID=board01&GID=root&mode=view&adminmode=&UID=55&CURRENT_PAGE=1&BOARD_NO=37&SEARCHTITLE=&searchkeyword=&category=


- 블레스정보통신(ZIO)
http://myzio.net/zio/pds/notice_security.pdf


- 애니게이트앤씨(ANYGATE)
http://www.anygate.co.kr/pub/bbs/content.asp?table=bbs_01&multi=bbs_notice&idx=529&visited=1425&page=1&startpage=1&search_1=&keyword_1=&list_pagesize=20&list_file=/pub/bbs/default.asp


- 유니콘
http://www.eunicorn.co.kr/kimsboard7/bbs..php?table=unicorn_faq&query=view&uid=1036


- EFM(ipTIME)
http://www.iptime.co.kr/~iptime/bbs/view.php?id=faq_setup&page=1&ffid=&fsid=&dffid=&dfsid=&dftid=&sn1=&divpage=1&dis_comp=&sn=off&ss=on&sc=on&keyword=계정&select_arrange=headnum&desc=asc&dis_comp=&ng_value=&x_value=&no=583


- 이지넷유비쿼터스(NEXT)
http://www.ez-net.co.kr/new_2012/customer/userguide_view.php?cid=&sid=&goods=&cate=&q=&seq=75&PHPSESSID=b7cbd945f0fbf81cc44542f84c4a6d53


- 티피링크
http://www.tplink.com/kr/article/?faqid=666


- 파테크(Axler)
https://www.axler.co.kr/ -> 공지사항 -> “[공지]파밍사이트(금강원) 및 무선 보안 임의 설정 관련” 참고

(출처 : 한국인터넷진흥원 인터넷침해대응센터)
2014/07/28 08:27 2014/07/28 08:27
최근 안드로이드 환경에서는 백그라운드에서 구동되며 원격접속도구(RAT)로 조종되는 서비스를 가장한 의심스러운 안드로이드 앱이 많이 발견되고 있다.

23일 파이어아이 모바일 보안 연구원들은 ‘구글 서비스 프레임워크’를 가장한 멀웨어 앱이 안티 바이러스 애플리케이션의 구동을 멈추고 해킹을 시도하는 사례를 발견했다.

과거에 발견된 안드로이드 멀웨어는 개인정보 유출이나 금융 정보 탈취, 원격 접속 등 한가지 목적으로 수행했으나. 이번에 발견된 애플리케이션은 이러한 활동을 모두 한번에 수행하는 진화된 형태로 나타났다.

파이어아이는 가까운 시일 내에 이러한 프레임워크가 완성되면 새로운 은행 애플리케이션을 단 30분만에 해킹할 수 있는 정도의 대규모 금융정보 탈취로 이어질 수 있다고 경고했다. 또한 IP 주소만으로는 해커의 정체를 알아낼 순 없었지만, 한국시장을 목표로 하고 있다는 것을 발견했다.

‘com.ll’이라는 패키지 이름의 새로운 RAT 멀웨어는 ‘구글 서비스 프레임워크(Google Service Framework)’라는 안드로이드 기본 앱 아이콘으로 나타나며 안드로이드 사용자는 관리자 모드 환경설정에서 비활성화시키지않는 한 삭제할수도 없다.

사용자 삽입 이미지
지금까지 샘플에 대한 바이러스토탈 스코어는 54개의 백신업체에서 나온 바이러스 탐지 앱 중 5개만이 탐지해냈다. 이 새로운 멀웨어는 해커가 사용하는 C&C 서버에 의해 빠르게 변화하고 있다.
사용자 삽입 이미지

의심스러운 애플리케이션이 설치된 직후 ‘구글 서비스’ 아이콘이 홈스크린에 나타난다. 아이콘을 클릭하면 애플리케이션은 관리자 권한을 요구한다. 한번 활성화되면 삭제 옵션은 사용할 수 없으며 새로운 ‘GS’라는 서비스가 아래 그림과 같이 시작된다. 아이콘을 한번 더 클릭하면 ‘앱이 설치되지 않았습니다’라는 메시지가 나오며 홈스크린에서 아예 사라지게 된다.

멀웨어의 백그라운드 실행

멀웨어의 백그라운드 실행


이 멀웨어는 아래와 같이 RAT의 명령을 실행하며 의심스러운 활동을 시작한다.
사용자 삽입 이미지


몇 분 이내로, 이 앱은 C%C 서버와 접속해 악성활동을 시작한다.

사용자 삽입 이미지

이 콘텐츠는 Base64 RFC 2045로 암호화돼 있다. 서버 IP는 홍콩에 위치한 것으로 나타났으나 해커의 IP인지 우회 IP를 이용한 것 인지는 확실하지 않다.
사용자 삽입 이미지

악성 활동 리스트의 첫번째 실행은 ‘Uplod Phone Detail'로 실행되면 전화번호, 디바이스ID, 연락처 등 사용자의 개인정보가 해커의 서버로 전송된다.
사용자 삽입 이미지

1. The red part:
사용자 삽입 이미지

2. The blue part:
사용자 삽입 이미지

만약 유저가 은행 애플리케이션을 설치할 경우 멀웨어가 스캔해서 연락처가 위험에 노출된다.

테스트 디바이스에서 파이어아이는 한국의 은행 애플리케이션 8개를 설치했다.
8개의 은행 애플리케이션

8개의 은행 애플리케이션




설치 후  패킷 캡쳐(PCap) 내 은행 리스트를 살펴보니 아래와 같이 은행 앱들이 약자로 표시돼 있는 것을 발견했다.
사용자 삽입 이미지

설치된 8개의 은행 애플리케이션의 약자와 패키지 네임으로 맵이 형성된 것이다.
사용자 삽입 이미지

이는 데이터베이스로 저장돼 CNC 서버의 악성 활동에 활용된다.

- “팝윈도우”

이러한 해커들의 활동 중 CNC 서버는 기존 앱을 가짜 앱으로 바꿔치기하는 명령을 보낸다. 8개의 은행 앱은 com.ahnlab.v3mobileplus 설치가 요구되지만 바이러스 탐지를 방해하기 위해 멀웨어는 은행 앱에서 안티 바이러스 애플리케이션의 활동을 막아버린다. 아래 코드와 같이 Conf.LV로 com.ahnlab.v3mobileplus가 비활성화됐다.  


사용자 삽입 이미지



그 후 악성 앱은 안드로이드 디바이스에 설치된 은행 앱을 분석하고 데이터베이스 /data/data/com.ll/database/simple_pref.에 저장한다. 아래 빨간 네모로 표시한 곳이다.


사용자 삽입 이미지




RAT으로 대응 명령이 보내지면 resolvePopWindow() 방법으로 디바이스는 “새로운버전이 출시됐습니다. 재설치 후 이용하시기 바랍니다.”라는 메시지를 띄운다.


사용자 삽입 이미지


그 후 멀웨어는 업데이트를 통해 CNC 서버로부터 실제 앱을 삭제하고 가짜 앱을 설치한다.


사용자 삽입 이미지


가짜 설치파일(APK)는 CNC 서버로부터 다운되는 것으로 나타났다.

- “UPDATE”

RAT에 의해 “update” 명령이 전송되면 CNC 서버로부터 “update.apk”라는 유사한 애플리케이션이 안드로이드에 설치된다.

사용자 삽입 이미지


- “UPLOAD SMS”

또한 RAT으로부터 SMS를 업로드하라는 명령을 받으면 안드로이드 폰의 SMS가 CNC 서버로 전송되며 데이터베이스로 저장된다.



사용자 삽입 이미지


- “SEND SMS”

비슷하게 SMS 보내기 명령을 통해 저장된 연락처에 SMS도 보낼 수 있다.
사용자 삽입 이미지


- “BANK HIJACK”

“은행 하이재킹”으로 명명된 이 해킹 방법은 악성코드가 예를 들어 NH 등의 짧은 은행 이름을 스캔한 후 CNC 서버로부터 보안 업데이트가 될 때까지 가짜 애플리케이션을 설치하는 방법이다.
사용자 삽입 이미지

 
지금까지 가짜 앱의 설치 이후 활동은 포착되지 않았다. 파이어아이는 해킹 수법진행중 막힌 부분이 있었을 것으로 파악된다.

위와 같이 해커는 한번 하이재킹이 끝난 이후 CNC 서버로부터 더 많은 악성 명령을 내릴 수 있도록 설계하고 준비했다. 이 앱의 독특한 특성으로 인해 모바일 뱅킹의 보안 위험성이 한층 더 위협받고 있음이 나타났다.


원문정보


Attacks  The Service You Can’t Refuse: A Secluded HijackRAT

http://www.fireeye.com/blog/technical/malware-research/2014/07/the-service-you-cant-refuse-a-secluded-hijackrat.html

2014/07/23 12:09 2014/07/23 12:09
사용자 삽입 이미지

국내 1800명의 보안인의 커뮤니티 보안대첩이 오는 21일부터 비즈니스 인턴십을 실시해 보안업계의 눈길을 끌고있다. 커뮤니티가 인턴십 프로그램까지 진행하는 것은 이례적이다.

인턴십은 ‘보안대첩 비즈니스 대시!’라는 이름으로 6주간 진행되며, 보안대첩의 파트너사인 지니네트웍스, KTB솔루션, 컬쳐메이커스와 함께한다.

인턴십은 보안업계의 업무에 대한 이해도 향상과 더불어 ‘소통’에 주된 목적을 두고 있다.

지난 16일 종로 토즈에서 열린 인턴십 사전모임에서 김요셉 보안대첩 반장은 “기존의 인턴제도를 보완해 소셜네트워크를 기반으로 중소기업의 인턴 운영을 지원할 계획”이라며 “인턴들을 대상으로 한 멘토링도 매주 실시할 계획이며, 특히 업계 선배들과의 자연스런 의사소통을 위한 ‘보스와 치맥(치킨+맥주)’ 등과 같은 프로그램을 진행할 것”이라고 전했다.

인턴십 합격자는 총 4명(유미영, 전다정, 이재욱, 장성찬)으로 모두 정보보호와 관련된 커뮤니티나 그룹에서 활동한 이력을 갖추고 있다.

인턴십 합격과 더불어 KTB솔루션 신입사원으로 선발된 유미영 씨(34)는 모 사이버보안연구소에서 2년동안 업무를 수행해왔다. 유 씨는 신입사원으로 선발돼 사전모임에서도 기쁜 마음을 숨김없이 드러냈다.

유 씨는 “보안대첩 인턴십이 인생의 터닝포인트가 될 수 있을 것이라 기대하고 있다”며 “늦은 감도 있지만 도전정신을 갖고 보안 업무를 열심히 해보겠다”고 전했다.

김태봉 KTB솔루션 대표는 “이번 인턴십은 중소기업에게 부족할 수 있는 인재 모집과 육성을 보완하고 소중한 동료를 찾을 수 있는 기회”라며 “새로운 사업을 준비하는 과정에서 유 씨의 능력이 상호 도움이 될 것이라고 생각했다”며 기대감을 나타냈다.

전다정 학생(조선대 4년)은 대학 정보보안 연합 커뮤니티 ‘SUA’의 호남지부장을 맡고 있다. 전 양은 평소에도 보안에 관심이 많았다고 한다.

전 양은 “학교에서는 졸업을 앞 둔 고학년이지만, 사회에서는 이제 발을 딛은 초년생”이라며 “기술적인 것을 배운다기 보다는 앞으로 내가 나아갈 방향에 대해 배우고 싶다”고 포부를 밝혔다.

이재욱 씨(26)는 IT정보보안 연구팀인 포운앤플레이(Pwn&Play)에서 연구원으로 활동하고 있다. 포운앤플레이는 웹 취약점과 악성코드 분석, 게임보안 등을 주력으로 하는 보안 연구 그룹이다.

이 씨는 “지금까지 보안공부를 꾸준히 해왔지만 한 분야에 대한 공부는 제대로 해본 적이 없는 것 같다. 그래서 진로에 고민이 생겼고 헤매고 있었다”며 “이번 기회를 통해 내가 할 수 있는 분야를 찾을 수 있으리라 기대한다”고 전했다.

전 양과 이 씨는 다음주 월요일부터 지니네트웍스에서 인턴십을 시작한다. 단순한 업무에서부터 커뮤니케이션, 네트워크 보안과 같은 실무도 배우게 된다.

허광진 지니네트웍스 전무는 “스펙의 차이는 회사 생활에 있어서 큰 차이가 나지 않는다. 가장 중요한 것은 인간성”이라며 “자기 생각을 잘 표현하고 타인의 의견을 잘 받아들이는 방법을 갖춰야 한다. 이를 갖춘 친구들이라면 어디를 가더라도 잘 할 수 있을 것”이라고 강조했다.

장성찬 학생(아주대 3년)은 보안교육 전문업체 컬쳐메이커스에서 6주간 인턴십을 진행한다.

장 군은 “수능을 치고 일본 드라마 ‘블러디 먼데이’를 보고 보안에 관심을 갖게 됐다”며 “대학교에서도 꾸준히 보안공부를 하다가 육군 해킹사고대응반(CERT)에서 근무하기도 했다. 이번 인턴십을 잘 끝마쳐 한단계 더 성장하고 싶다”고 전했다. 블러디 먼데이는 악성코드 테러로부터 일본을 구하는 해커의 이야기를 담고 있다.

끝으로 김 반장은 “보안영역이 전문적인 영역으로만 치부되는 현상을 벗어나 소통하며, 자신의 역량을 차곡차곡 쌓아갈 수 있도록 지원하겠다”며 “이번 인턴십이 균형잡힌 인재 양성의 발전적인 모델이 되길 기대한다”고 재차 강조했다.

한편 보안대첩은 페이스북 페이지에서 시작된 국내 보안인들의 커뮤니티로 현재 1800여명이 활동하고 있다.
2014/07/18 06:47 2014/07/18 06:47
사용자 삽입 이미지

아드리안 루드비히(Adrian Ludwig) 구글 안드로이드 보안 총괄 엔지니어는 최근 언론과의 인터뷰를 통해 “안드로이드 사용자의 99%는 안티바이러스(백신)를 사용할 필요가 없다. 보통의 사용자는 우리가 제공하는 보안 기능만으로도 충분하다”고 발언한 바 있다.

그의 발언은 보안업체인 어베스트(Avast)와 에프시큐어(F-Secure)의 보안보고서를 정면으로 반박하고 있다. 먼저 어베스트의 보고서를 살펴보자.

https://blog.avast.com/2014/07/09/android-foreniscs-pt-2-how-we-recovered-erased-data/

자로미어 호레제아이(JAROMÍR HOREJSI) 어베스트 연구원은 “안드로이드의 공장초기화(factory reset) 기능이 제대로 구현돼 있지 않기 때문에 초기화를 하더라도 약간의 조작만 한다면 과거에 저장된 데이터를 복구할 수 있다”며 “고도의 기술이 아닌 낮은 수준의 기술만으로도 복구가 가능했다”고 지적했다.

실제 어베스트의 포스트에 따르면 디지털포렌식 도구인 ‘FTK Imager’를 사용한 결과 20대의 중고폰(이베이에서 테스트용으로 구매)에서 4만건의 사진, 750개의 이메일과 문자메시지, 250개의 연락처를 복원했다. 이처럼 복원이 쉬운 것은 암호화를 하지 않았기 때문이다.

이번엔 에프시큐어의 보고서를 보자.


http://www.f-secure.com/static/doc/labs_global/Research/Mobile_Threat_Report_Q3_2013.pdf

이 보고서에 따르면 모바일 악성코드의 99%가 안드로이드를 노리고 있다. 이러한 악성코드는 문자메시지 탈취, 금융정보나 개인정보 탈취를 위한 목적으로 만들어져 구글플레이나 서드파티 앱스토어에서 유포되고 있는 상황이다.

이에 대해 루드비히 총괄 엔지니어는 “보안업체들은 발생할 확률이 매우 낮은 문제를 확대해 사람들에게 전파한다. 걸어다니다가 총에 맞을 수 있지만 그렇다고 일상에서 방탄복을 입고 다니는 사람은 없다. 안드로이드 백신도 이와 같다”며 “일반적인 사용자는 악성코드를 내려받을 가능성이 매우 낮으며, 악성코드를 예방하기 위해 설치하는 백신도 그 역할을 제대로 하지 못한다”고 지적했다.

하지만 루드비히 총괄 엔지니어의 발언에 동의하긴 힘들다. 그가 우리나라의 상황을 인지하고 있다면 자신의 발언이 실언이었음을 인정할 것이다.

우리나라 경찰청 통계에 따르면 지난해 스미싱 피해는 신고된 것만 2만8469건, 피해액은 약 54억원에 달하고 있다. 사용자 대비 피해자 비율을 따져보면 0.1%에 불과하지만 앞으로 더 늘어날 가능성도 배제할 수 없다.

특히 금전적인 피해를 입은 사용자가 이정도에 달하는데 집계되지 않는 단순한 스파이 앱등으로 인한 개인정보유출까지 고려한다면 그 수치는 더 높아질 수 있다.

모바일 운영체제가 안전하다면 구글의 말처럼 백신은 필요없을 수 있다. 하지만 오픈플랫폼을 주창하는 구글이 아무런 조치를 취하지 않고 ‘안전하다’고 주장하는 것은 오만이다.
2014/07/16 16:47 2014/07/16 16:47
사용자 삽입 이미지
아프리카TV가 개인정보유출 이후의 대응 태도가 도마에 오르고 있다. 당초 유출 사실을 번복한 것도 모자라 유출 내용을 알리는 노력도 제대로 이행하지 않고 있다는 지적이다.


지난 11일 아프리카TV는 외부 공격에 의해 일부 가입자의 개인정보가 유출됐다고 밝혔다.


유출된 개인정보는 2002년 12월 17일 이전에 아프리카TV에 가입한 회원 중 일부 회원의 ▲아이디 ▲이름 ▲가입일 ▲암호화된 비밀번호 ▲생년월일 ▲이메일 주소 ▲휴대전화 번호 등이 포함됐다.

최근 발생한 카드사와 이동통신사의 개인정보유출 사고에 비하면 유출 정보와 규모는 매우 작은 규모로 유추된다. 하지만 소규모의 사고라고 이를 제대로 알리지 않는다는 것은 문제가 있어 보인다.

지금껏 개인정보유출 사고를 겪은 회사들은 홈페이지 첫 화면에 해킹사고에 대한 공지와 피해를 확인할 수 있는 페이지를 개설했다. 사용자들에게 개인정보유출 사실을 제대로 알리기 위해서다.

하지만 아프리카TV는 개인정보유출 피해를 입은 사용자들에게만 이메일을 통해 유출사실을 통지하는데 그쳤다.
사용자 삽입 이미지

출처 http://hummingbird.tistory.com/5462


이와 관련 아프리카TV 관계자는 “홈페이지 공지는 선택사항이다. 우리는 해킹 사실을 인지하자마자 피해자들에게 안내 메일을 보냈다”고 전했다.

물론 아프리카TV의 주장은 사실이다. 이메일로 피해 사실을 알릴 경우 홈페이지 공고는 생략할 수 있다.

근거 법령은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제14조의2다.

이 조문에 의하면 사업자는 개인정보유출 사실을 인지했을 때 사용자에게 ▲유출된 개인정보 항목 ▲유출 시점 ▲이용자가 취할 수 있는 조치 ▲사업자의 대응 조치 ▲상담 연락처 등을 포함해 이메일, 서면, 전화 등을 통해 알려야한다.

아프리카TV측은 이메일을 통해 사용자들에게 피해 사실을 알렸고, 이에 대한 신고도 제때 했기 때문에 문제가 없다는 주장이다.

하지만 상식적으로 생각해보자. 12년 전에 쓰던 메일주소를 아직까지 쓰는 사용자가 얼마나 될 것인가. 메일 서비스가 없어진 경우도 있을 것이며, 변심에 의해 메일주소를 변경한 사람도 있을 것이다.

정보통신망법 시행령에 명시돼 있는 ‘유출사실 통지’ 부분은 피해자들에게 유출 사실을 모두 알려야 한다는 내용을 전제로 하고 있다. 피해자들이 피해 사실을 인지하지 못한다는 것은 사업자의 기망행위로 인한 결과라고 볼 수 있다.

아프리카TV는 개인정보유출 사고가 발생한 이후에도 규모에 대해서 전혀 언급하지 않고 있다. 특히 유출된 DB가 언제 생성된 것(2002년 12월 17일 이전)인지를 스스로 인지하고 있는 상황에서 유출 규모를 밝히지 않는다는 것은 단순히 ‘수사 중이기 때문에 밝히지 못한다’는 것과는 의미가 다르다.

회사측도 이를 인정했다. 이 회사 관계자는 “유출 건수는 매우 적다. 회사 방침에 따라 규모는 공개하지 않기로 했다”고 전했다.
사용자 삽입 이미지

이 뿐만 아니다. 지난 1일 보낸 사과문에는 방송통신위원회에 피해 사실을 즉각 신고했다고 명시했으나, 실제 방통위가 사고를 접수한 날짜는 지난 7일이었으며, 그 다음날인 8일에 조사에 착수했다는 방통위 개인정보보호과의 발언도 확인했다.

아프리카TV는 더 이상 사용자를 기망하는 행위를 멈추길 바란다.
2014/07/13 13:43 2014/07/13 13:43
사용자 삽입 이미지

오늘날 개인 사용자들에게 있어 가장 치명적인 보안사고는 인터넷서비스 계정의 탈취라고 봐도 무방하다.

개인정보유출 사고야 개인이 막을 수도 없고, 당장 피해가 발생하진 않지만 계정정보의 유출은 자신의 사생활이 고스란히 노출될 수 있기 때문이다.

특히 구글이나 에버노트, 페이스북처럼 개인의 사생활이 집약된 서비스에 대한 계정 정보가 외부로 유출될 경우 그 피해는 상상하기 힘들다.


사실 많은 보안전문가들은 인터넷을 사용하는 사람이라면 언제든지 계정정보가 탈취될 수 있음을 인지해야 된다고 지적한다.

워터링 홀(Watering Hole), 드라이브 바이 다운로드(Drive by Download)와 같은 신종 악성코드 유포 방법으로 인해 인터넷 브라우징만 하더라도 악성코드에 감염될 수 있고, 당신이 입력하는 키 값이 고스란히 공격자의 손으로 넘어갈 수 있다.

그렇다면 이러한 피해를 막을 수 있는 방법을 찾아보자.

우선 아이디와 비밀번호가 공공재라고 가정하자. 이 상황에서 자신의 계정 정보를 지키기 위한 방법은 무엇이 있을까. 국산 온라인게임을 즐겨하는 사용자라면 쉽게 답이 떠오를 것이다. 2차 비밀번호를 사용하면 된다.

이미 금융권에선 비밀번호, 보안카드, 공인인증서 키 값 등을 활용하는 멀티팩터 인증 체계를 사용하고 있다. 온라인게임에서도 로그인 시 2차 비밀번호를 입력해야 정상적으로 서비스가 가능하도록 하고 있다.

물론 2차 비밀번호도 1차 비밀번호 처럼 변경하지 않고 무심하게 사용한다면 유출될 가능성이 높다. 만약 금융권에서 사용되는 일회용비밀번호(OTP) 생성기를 쓴다면 그 위험성은 보다 낮아지지 않을까?

이러한 수요에 맞춰 구글은 모바일용 OTP생성기를 애플리케이션(앱)의 형태로 제공하고 있다. 구글 안드로이드와 애플 아이오에스(iOS), 블랙베리 용으로 존재한다.
사용자 삽입 이미지

사용은 간단하다. 제일 먼저 ‘구글 계정-보안’ 영역에서 2단계 인증을 설정한 뒤 모바일 기기에 대한 인증을 받으면 구글 계정에 대한 OTP 목록이 생성된다.
사용자 삽입 이미지

그 뒤는 일사천리다. 페이스북, 에버노트, 드롭박스 등도 구글 OTP생성기를 지원하기 때문에 보안 영역에서 2단계 인증만 활성화하면 즉시 사용이 가능하다.
사용자 삽입 이미지

이를 설정하면 매번 로그인할 때마다 비밀번호와 OTP번호를 입력해야 하는 번거로움이 발생하지만, 혹여나 있을 계정 정보 탈취에 비하면 이정도는 극복할 수 있는 수준이 아닐까.

구글 OTP생성기에 대한 자세한 내용은 여기에서(https://support.google.com/accounts/answer/1066447?hl=ko) 확인할 수 있다.
2014/07/10 17:29 2014/07/10 17:29