통합검색
'' 검색결과는 총 104 건 입니다.
※ 본 저작물은 ㈜SK쉴더스에서 작성한 콘텐츠로 어떤 부분도 서면 동의 없이 사용될 수 없습니다. COPY RIGHT @ 2025 SK SHIELDUS, ALL RIGHT RESERVED
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
※ 본 저작물은 ㈜SK쉴더스에서 작성한 콘텐츠로 어떤 부분도 서면 동의 없이 사용될 수 없습니다. COPY RIGHT @ 2025 SK SHIELDUS, ALL RIGHT RESERVED
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
중소기업 침해사고 피해지원서비스 동향보고서 (2024년 3분기)
분기별 침해사고 신고 통계랜섬웨어 LockBit의 다크웹 데이터 유출 사이트(출처 : KISA)2024년 3분기 중소기업 침해사고 통계2024년 1분기부터 3분기까지 KISA의 중소기업 침해사고 피해지원 서비스에 접수된 주요 사고에서 가장 많이 발생한 침해사고 유형은 해킹 경유지이며, 이어서 랜섬웨어, 포털사이트 피싱, 웹페이지변조 순으로 접수되었습니다.그중 랜섬웨어 사고의 비율이 1분기 12.3%, 2분기 14.3%, 3분기 19.6%로 꾸준히 증가하고 있으며, 2분기 대비 5.2% 증가율을 보입니다. 개인정보유출과 악성 사이트유도 유형도 상승 폭이 컸으나, 랜섬웨어는 전체 사고 유형 중에서 꾸준히 높은 비중을 차지했으며, 3분기에는 가장 많은 비중을 차지했습니다.반면, 해킹경유지는 1분기 뿐만 아니라 전체 사고 유형중에서도 가장 많이 발생하였으나, 지속적으로 감소하는 추세를 보이고 있습니다.BitLocker의 랜섬 노트(출처: 블리핑컴퓨터)Mallox 랜섬웨어의 공격자와 피해자가 협상하기 위한 웹사이트(출처: 팔로알토 네트웍스)2024년 주요 랜섬웨어 유형랜섬웨어는 단순한 데이터 암호화에 그치지 않고 다각화된 공격 방식을 채택하는 등 점점 정교해지고 있습니다.과거에는 특정 기업이나 조직을 목표로 한 제한적인 공격이 주를 이루었으나, 현재는 공격대상이 광범위해지고 공격 기법 또한 다양해진 상황입니다.특히, Ransomware-as-a-Service (RaaS) 모델의 등장으로 누구나 랜섬웨어를 쉽게 배포할 수 있고, 다운받아서 사용할 수 있게 되었으며, 이를 통해서 공격이 더욱 조직적이고 빠르게 확산되고 있습니다.최근 랜섬웨어 공격은 파일 암호화 뿐 아니라, 기업의 핵심 시스템 마비, 백업 데이터 삭제 등 다양한 방법으로 지속적인 피해를 유발하고 있습니다. 2024년 KISA의 중소기업 침해사고 피해 지원 서비스에 접수된 사고 중 가장 많이 이용되는 랜섬웨어 유형으로는 Phobos, LockBit, BitLocker, Mallox 순으로 확인되었습니다.Phobos 랜섬웨어의 랜섬 노트 예시 (출처: CISCO Talos 블로그) Phobos Phobos 랜섬웨어는 서비스형 랜섬웨어(RaaS,, Ransomware-as-a-Service) 로 2017년 10월 처음 발견됐습니다. 이 랜섬웨어에 감염되면 파일들이 “파일명. 기존확장자.id[감염 PC의 VSN-고정 4자리 숫자].[공격자 메일주소].랜섬웨어 확장자” 와 같이 암호화됩니다. 암호화에 사용되는 알고리즘은 대칭키 암호화 알고리 즘인 AES 알고리즘입니다.Phobos가 감염을 시작하면, 지속성 유지를 위해 LOCALAPPDATA 경로에 악성 코드를 복사하고, Run키에 등록해 재부팅 이후에도 재실행 될 수 있도록 하며, 이 미 Phobos의 확장자나 다른 랜섬웨어의 확장자로 암호화 되어있는 경우나 특정 언어환경에선 암호화를 수행하지 않고 있습니다. 또한, Phobos는 방화벽을 비활 성화 하고, 복구 방지를 위해 볼륨의 셰도우 복사본을 삭제해 차단을 방지하고 복 구를 방해합니다.Phobos는 피싱 메일이나 외부에 노출된 보안이 취약한 RDP 서비스를 대상으로 공격하여 하여 유포되는 특징을 가지고 있으며, 사용자의 수동 조작으로 실행되는 특성을 가지고 있습니다. 또한, 다양한 변종으로 발전하고 있어 주의가 필요한 랜 섬웨어입니다.결론2024년 1분기부터 3분기까지 KISA의 중소기업 침해사고 피해지원 서비스에 접수된 주요 사고에서 주목해야 할 사고 유형은 랜섬웨어에 의한 사고입니다. 랜섬웨어에 의한 사고는 분기마다 지속적으로 증가하고 있으며, Phobos, LockBit, BitLocker, Mallox 순으로 사고가 자주 발생하고 있습니다. 이중 Phobos 랜섬웨어는 많은 변종을 가지고 있으며, 서비스형 랜섬웨어로 이를 구매한 공격자가 목표에 맞게 특성화 하여 공격을 수행할 수 있는 특징을 가지고 있어 주의가 필요합니다.랜섬웨어 예방 방안 • 운영체제 및 소프트웨어 업데이트 • 백신 소프트웨어 사용 및 최신 버전 유지 • 취약점 관리 및 패치 • 스팸 메일 차단 • 망 분리 및 접근 통제 강화 • 안전한 브라우저 사용 • 관리자 계정 암호 설정 강화 • PC내 중요 자료 정기적 백업 및 주기적인 볼륨 스냅샷 관리 • 스냅샷 보호를 위한 보안 솔루션 적용중소기업 랜섬웨어 대응 지원(출처 : KISA)
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Grafana 소개Grafana 접속 화면Grafana 취약점 노출Grafana는 통합된 차트와 그래프를 여러 대시보드에 나타내 사용자가 데이터를 더욱 쉽게 해석하고 이해하는 데 도움을 주는 오픈소스 인터랙티브 데이터 시각화 플랫폼입 니다. 2024년 10월 18일에 공개된 CVE-2024-9264 취약점은 Grafana 서버 시스템 에 원격 명령을 실행하거나 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 9.9라는 위험도 높은 점수를 부여 받았습니다. Viewer 이상의 권한이 있는 모든 사용자는 서버 에 임의적인 명령을 실행하거나 특정 파일 내용을 확인하는 등 취약점을 악용하여 정보 를 탈취할 수 있습니다.Grafana v11.x 버전이 설치된 환경에서 DuckDB가 환경 변수를 통해 접근이 가능한 경우 취약점 공격 대상입니다. 최근 버전부터 취약점을 유발하는 기능이 포함되어있으 며, DuckDB 설치라는 전제 조건이 존재하기 때문에 실제 취약점에 노출된 서버는 많 지 않을 것으로 예상되지만, 원격 명령 실행 및 파일 탈취가 가능하며 PoC 코드가 공개 되어 있기에 공격 가능성에 대한 주의가 필요합니다.국내 Grafana 서버 취약점 노출 현황(출처: ASEC)국내 Grafana 서버 현황국내에서 운용 중인 Grafana 서버가 2285개이며, 이 중 2168개 서버 정보가 확인되었습니다. 취약점 대상 버전 및 이하 버전을 사용 중인 서 버는 2147개(99%)로, 장기간 최신 업데이트를 진행하지 않고 운용 중 인 것으로 나타났습니다. CVE-2024-9264 취약점 대상 버전인 v11.x 를 사용 중인 서버는 674개(31%)로 확인되었습니다. 국내 기업 상당수 가 Grafana 서버를 운용하고 있으며 대학교와 대학원에서도 다수 확인 되었습니다.CVE-2024-9264 취약점CVE-2024-9264는 Grafana의 SQL 표현식 기능에 존재하는 DuckDB SQL 취약점입니다. 인증된 모든 사용자는 Grafana 대시 보드에서 표현식을 수정하여 임의의 DuckDB SQL 쿼리를 실행할 수 있습니다.Grafana v11.0.0 버전부터 제공된 SQL 표현식을 실행할 수 있는 기능에서 SQL 쿼리를 적절히 필터링하지 않아 DuckDB CLI에 사용자 입력 데이터가 포함된 명령이 전달되며, 명령에 대한 실행 결과를 얻을 수 있습니다. read_text, read_csv 등 SQL 쿼리를 통 해 로컬 파일의 내용을 읽어 공격자가 시스템의 중요 파일들을 읽을 수 있습니다. 또한 시스템에 원하는 내용의 파일을 생성하여 쉘 명령을 작성하고 파일을 읽어 임의 명령을 실행하는 방식 등을 통해 지속적인 정보 탈취가 이루어질 수 있습니다. 이 취약점은 매우 심각하지만, 악용 가능 여부에 대해서는 DuckDB 바이너리가 Grafana 서버에 설치되어 있는지에 따라 달라집니다. 이 취약점을 악용하기 위해서는 Grafana 서버 $PATH에 DuckDB가 설치되어 있어야 합니다. DuckDB가 없으면 SQL 주입 취약점 을 악용할 수 없습니다.결론CVE-2024-9264 취약점은 임의 명령이 실행되거나 중요한 파일이 유출될 수 있어 큰 피해가 발생할 것으로 예상됩니다. 취약한 버전을 가진 Grafana 서버 운용 시 공격 대상이 될 수 있으므로 지속적인 관심을 가지고 최신 패치 버전을 다운로드하여 관리하고 예방하여야 합니다. 이번 사례를 통해 앞으로도 지속적인 보안 업데이트와 취약점 모니터링의 중요성을 인식하고, 사용 중인 모든 서비스를 항상 최신 버전으로 관리 및 유지하는 것이 중요합니다.대응방안 • 패치된 최신 버전 다운로드 (GrafanaLabs) - 11.0.5+security-01,11.1.6+security-01,11.2.1+security-01 - 11.0.6+security-01,11.1.7+security-01,11.2.2+security-01• DuckDB 제거 - DuckDB 실행파일을 제거하거나 환경 변수 경로에서 제외• SQL Expressions기능 비활성화
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
확인된 취약 Jenkins 서버 예시 (출처: ASEC)국내 Jenkins 서버 취약점 노출 현황국내 Jenkins 서버 대다수 취약점 노출올해 초 공개된 CVE-2024-23897 취약점은 인증되지 않은 사용자가 Jenkins 서버 시스템의 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 9.8의 위험도가 매우 높은 취약점입니다. 최근 해당 취약점이 실제 공격에 악용되고 있다는 보고가 있으며, 해외 언론에서는 특정 기업이 해당 취약점을 악용한 공격으로 피해를 입었다고 합니다. 해당 취약점으로 대상 버전의 모든 Jenkins 서버에 공격이 가능할 것으로 파악됩니다.최근 공개된 CVE-2024-43044 취약점 또한 기본 라이브러리의 특정 기능을 악용하 여 Agent 접근 권한을 가진 공격자가 서버의 임의 파일을 읽을 수 있는 취약점으로 CVSS 점수 8.8의 위험도가 높은 취약점입니다.두 취약점 모두 PoC 코드가 GitHub, 블로그 등지에 공개되어 쉽게 찾을 수 있어 언제 든 공격에 악용될 수 있으므로 주의해야 합니다파일 일부를 읽을 수 있는 명령어 사용 예시※ 별다른 설정을 하지 않은 환경인 기본 권한 상태에서는 취약점으로 탈취 가능한 파일 내용이 일부 라인 으로 제한되나, SSH Key, Jenkins 암호화 키 등의 라인 구분이 없는 주요 파일은 전체 내용을 출력할 수 있습니다.CVE-2024-23897이 취약점은 Jenkins-CLI 툴을 통해 원격지에서 명령어와 인자를 전달받아 CLI 명령을 분석하는 과정에서 발생합니다. 명령 분석에 사용하는 Args4j 라이브러리에 ‘@’ 식별자 이후 문자열 경로의 파일을 읽어 인자로 설정하는 기능(expandAtFiles)이 있습니다. 명령에 대한 유효한 인자가 아닌 경우 에러가 발생하는데, 이 에러 메시지에 인자로 사용했던 문자열, 즉 파일 내용이 노출되는 취약점입니다.파일 전체를 읽을 수 있는 명령어 사용 예시※ 특정 설정 환경 - 익명 연결 기능을 사용한 경우- 모든 사용자에 읽기 권한을 부여했을 경우- 사용자 가입을 허용했을 경우- Lagacy 모드를 사용할 경우분석 결과, 취약점에 활용 가능한 에러 메시지를 출력하는 명령어는 일부 라인을 읽을 수 있는 명령어와 전체 라인을 읽을 수 있는 명령어로 나뉩니다. 인자를 사용 하지 않거나 제한된 개수의 인자를 사용하는 명령어의 경우 파일의 특정 라인을 읽 을 수 있는 반면, 인자 개수 제한이 없는 명령어의 경우 파일 라인 전체를 읽을 수 있습니다. 또한 권한에 따라 사용 가능한 명령어가 제한되는데, 모든 라인을 읽을 수 있는 명령어는 특정 설정 환경에서만 동작됩니다.해당 경로가 디렉토리일 경우 디렉토리 내부 파일 목록해당 경로가 파일일 경우 파일 내용CVE-2024-43044Jenkins 설치 시 기본으로 설치되는 Remoting 라이브러리에 대한 취약점입니다. 라 이브러리 자체는 기본으로 설치되지만, Jenkins에 Agent가 등록되어 있고 공격자가 Agent 접근 권한을 가질 경우 취약점을 사용할 수 있습니다.해당 라이브러리는 Jenkins 서버와 Agent의 통신 기능을 구현하며, Agent가 서버에 요청한 JAVA 클래스를 실행할 수 있는 기능을 포함합니다. 서버 URL의 JAR 파일을 실행하는 목적으로 구현된 것으로 파악되지만, 파일 경로 및 타입을 검사하지 않기 때 문에 서버 시스템의 임의 파일을 읽어 Agent로 전송할 수 있습니다. 이 취약점을 통해 디렉토리 리스팅 및 임의 파일 읽기가 가능합니다.분석 결과 RemoteClassLoader 클래스의 특정 메소드에 코드를 추가하는 것으로 취 약점을 구현할 수 있습니다. 파일 경로가 디렉토리일 경우 디렉토리 리스트를 응답하며, 파일일 경우 파일 내용 전체를 응답합니다.결론CVE-2024-23897은 공개된 사이트에 다수의 PoC 코드가 존재하며, PoC 코드가 아니더라도 Jenkins 패키지에 기본으로 포함 된 CLI 접속 도구로 취약점 구현이 가능하기 때문에 누구든지 즉시 공격이 가능합니다. 해당 취약점의 대상 버전 사용자는 확인 즉 시 완화 버전으로 패치할 것을 권고하고 있습니다.CVE-2024-43044도 마찬가지로 위험도 높은 취약점으로 설명되고 있으며, 제조사에서는 즉시 업데이트가 어려울 경우를 위해 문제가 되는 fetchJar 메소드 자체를 사용하지 못하도록 패치하는 프로그램을 제공하고 있습니다.두 취약점은 구현 난이도가 낮고 서버의 중요한 파일 내용이 유출될 수 있으므로 악용될 경우 큰 피해가 예상됩니다. 취약한 버전으 로 지속 운영 시 공격 대상으로 노출될 수 있으므로, 피해 예방을 위하여 즉시 최신 패치를 적용해야 합니다.해당 사례 외에도 공격자는 여러 유명 제품의 알려진 취약점을 악용하여 공격을 시도합니다. 사용 중인 서비스를 항상 최신 버전으 로 유지해야 하며 각종 보안 설정을 통해 공격자의 취약점 스캐닝 및 공격을 방어해야 합니다. 또한 국내외 보안 권고를 상시 확인 하여 대상 서비스를 운용 중인 경우 신속한 조치와 함께 피해 여부를 점검해야 합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
악성 CrowdStrike 도메인 분석: 영향을 받는 대상과 향후 발생할 수 있는 문제
악성피싱사이트(출처: akamai.com)서론 2024년 7월 19일 금요일, 최근 CrowdStrike Falcon 콘텐츠 업데이트 이후 디바이스 대부분에서 블루스크린이 나타나는 현상으로 전 세계가 떠들썩했습니 다. 이 업데이트로 인해 WIndows 호스트에서 버그 검사가 트리거되어 전세계 적으로 BSOD(Blue Screens Of Death)가 발생했고, 여러 지역에서 수십억 건의 시스템 중단이 발생했습니다.전세계적으로 850만 대의 디바이스가 영향을 받은 이번 서비스 중단으로 항공, 정부, 헬스케어 같은 중요 서비스를 포함한 거의 모든 업계가 타격을 입었으며, 일부는 인시던트 발생 후 며칠이 지난 후에도 실제적인 영향을 미쳤습니다. 뉴스에 보도될 만한 사건의 경우 종종 그렇듯이, 공격자들은 업데이트로 인한 광범위한 혼돈과 혼란에 편승해 상황을 악용하려고 즉시 시도했습니다. 서비스 중단의 규모와 이를 둘러싼 뉴스의 보도 범위로 인해 당황한 많은 사용자가 어 디서든 답을 찾을 수 있는 정보를 찾게 되었습니다.CrowdStrike지원과관련이있다고주장하는상위악성 도메인현황악용하는 공격자전 세계 엣지 네트워크에서 수집한 데이터를 분석해 이 인시던트와 관련된 사기 에 가장 많이 사용된 악성 도메인을 확인했습니다. 이미 확인된 위협은 와이퍼, 스틸러, 원격 접속 툴(RAT) 등 여러 분야에 걸쳐 있습니다.이러한 상위 도메인의 시장 점유율은 거의 비슷했습니다. 이러한 도메인의 대부 분은 [.]com 최상위 도메인을 가지고 있으며, 이는 어디에나 있기 때문에 미묘 한 정상성을 가지고 있습니다. 여러 도메인에서 ‘bsod’ 및 ‘Microsoft’와 같은 일반적인 키워드가 발견되는데, 이러한 키워드는 지식에 굶주린 피해자가 정보 수집을 위해 자주 사용하느 부수적인 검색어입니다.업계별공격데이터분석모두가 잠재적 공격대상 공격 데이터 전반에 걸쳐 업계에 집중되어 있지 않은 것을 보면 이 인시던트의 광범위한 스펙트럼을 가장 잘 알 수 있습니다. 이 번 인시던트로 큰 피해를 입은 일부 업계, 특히 교육과 공공 부문은 사이버 공격의 표적이 되지 않는 경우가 많 다는 사실이 놀라웠습니다.비영리 및 교육:안타까운 표적첨단 기술과 금융 서비스가 제로데이 공격의 가장 큰 피해자가 되는 것은 익숙 한 일이지만 29% 이상을 차지하는 비영리 및 교육 부문과 공공 부문이 눈에 띕 니다. 이 업계는 문제 해결 측면에서도 큰 영향을 받습니다. 단일 캠퍼스의 학새 용 관리 디바이스 수는 교육기관의 규모에 따라 수천대에 달할 수 있기 때문입 니다.CrowdStrike 에 따른 악성 도메인 등장가짜 IT 서비스 • 이러한 종류의 사기 사이트는 빠른 복구를 도와줄 수 있는 IT 전문 인력인 것처럼 가장하고 목소리 톤도 마찬가지로 긴 박합니다. 이러한 긴급한 상황은 방문자가 개인정보를 제공하도록 유도할 수 있으며, 이는 피싱의 일반적인 특징입니 다. 피싱의 목표는 사용자 입력에서 직접 민감한 정보를 훔치는 것입니다. 가짜 솔루션 • 사람의 도움 없이 빠른 해결책을 찾고 있는 피해자를 위해 가짜 솔루션 캠페인이 있습니다. 이러한 캠페인은 클릭 한 번으로 다운로드할 수 있는 가짜 복구 스크립트나 실행 파일을 통해 빠른 해결책을 제공하는 데 중점을 둡니다.가짜 법률 지원• 모든 악성 캠페인이 기술적인 측면에만 초점을 맞춘 것은 아니며, 일부는 소송을 제기하기도 했습니다. 이러한 캠페인 은 CrowdStrike 중단과 관련된 법률 지원을 제공하는 것처럼 위장해 사용자의 개인정보를 수집하려고 시도했습니다.결론모든 디바이스가 수정되는 시점 이후에도 이 문제와 관련된 피싱 시도가 더 많이 발생할 가능성이 높습니다. 공격자는 소셜 미디어 를 간단히 스크롤하는 것만으로도 어떤 브랜드가 가장 사람들의 감정을 자극하고 어떤 브랜드가 악의적인 이득을 위해 사칭하기에 적합한지 파악할 수 있습니다.이것이 바로 공격자가 하는 일이며, 이를 기억하는 것이 중요합니다.기업을 위한 지침• 측면 이동 간극 분석 또는 공격자 에뮬레이션을 수행하세요. 금전적 이득 을 노리는 공격자는 랜섬웨어를 환경에 유포할 기회를 더 많이 찾을 것입 니다. 악용할 CVE는 아니지만 보안 스택의 중요한 부분을 알고 있는 공 격자로부터 잠재적인 기술적 영향을 받을 수 있습니다.• 알려진 IOC와 관련 IOC를 차단하세요. 이 캠페인과 관련된 알려진 IOC 에 대한 신뢰할 수 있는 정보 출처는 여러 가지가 있습니다. 이 목록이 자 체 리스크 관리 분석과 일치하는 경우 해당 도메인을 완전히 차단하거나 DNS 싱크홀을 통해 악성 도메인과의 통신을 차단하세요.개인을 위한 지침• 도메인의 인증서 및 발급자를 확인• 민감한 정보를 요청하는 도메인은 불법 도메인일 가능성이 높으므로 주의• 오직 CrowdStrike에서직접 제공하는 복구 정보만 따르기• 문제를 해결할 수 있다고 주장하는 이메일 첨부 파일을 열지 말 것
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
침해사고신고현황(출처: KISA 2024년상반기사이버위협동향보고서)유형별침해사고신고현황(출처: KISA 2024년 상반기사이버위협동향보고서)2024년 상반기 사이버 위협 동향 보고서한국인터넷진흥원에서 발표한 연도별 침해사고 신고 건수에 따르면 2024년 상반기 침해사고 신고 건수는 899건으로 2023년 상반기 대비 35% 증가하였습니다. 이는 Web shell 및 악성 URL 삽입, DDoS 공격 등이 크게 증가했기 때문입니다.2024년 상반기 유형별 침해사고 신고 통계를 보면 서버 해킹이 전년 상반기 대비 58%가 증가한 504건으로 가장 많이 증가했습니다. 이는 상대적으로 보안관리가 취약한 중소기업 등을 대상으로 홈페이지 웹 취약점을 악용한 Web shell 공격 등이 증가한 것으로 보입니다. 그 다음으로는 DDoS 공격이 153건으로 전년 상반기 대비 23% 증가했습니다.웹쉘공격의흐름도Web Shell 공격의 흐름도 • 파일 업로드 시도 파일 업로드 기능을 가진 피해자의 웹 페이지에 Web shell 파일 업로드 시도 • 피해 서버에 파일 저장 피해자 웹 페이지에 업로드 요청된 Web shell 파일이 업로드에 성공한다면, 서버에 해당 Web shell 파일이 저장 • 업로드 된 Web shell 파일에 접근 공격자는 서버에 업로드 된 Web shell 파일에 접근하여 공격명령어를전달 • 공격 수행 명령어를 전달 받은 Web shell 파일은 공격자가 유도하는 악의적인행위를 수행Web shell 공격으로 인한 피해 최근 웹 해킹에서 자주 사용되는 기법이 Web shell 공격입니다. 기본적인 Web shell 공격은 피해 웹사이트의 파일 업로드 기능을 악용 하여 수행됩니다. Web shell 이 서버에 상주하게 되면 서버의 모든 권한을 장악하고 그 이후 동일 네트워크의 다른 서버에 2차 공격을 가하거나 멀웨어를 업로드해 서버 상에 큰 피해를 입힐 수 있습니다.KISA의 2024년 상반기 사이버 위협 동향 보고서를 살펴 보면 전년 상반기 대비 가장 많이 증가한 공격이 바로 서버 해킹이었습니다. 이런 서버 해킹의 다수가 상대적으로 보안관리가 취약한 중소기업 등을 상대로 Web shell 을 사용한 웹취약점 공격 시도인 것으로 분석 되었습니다.Web shell 은 JSP, ASP, PHP등과 같은 스크립트로 작성 되어 있으며, 다양한 취약점 공격에 활용되고 있습니다. 지난4월엔 국내 기업의 ERP 서버가 MS-SQL 서비스를 공격 당해 Web shell 이 설치 되었고, 이후 Web shell 을 이용해지속성을 유지하며 감염 시스템들이 제어 되었으며, 감염 시스템을 VPN 서버로 활용한 정황까지 밝혀진바 있습니다.결론Web shell 공격은 Web shell 파일이 서버에 업로드 되면 서버의 모든 권한을 장악할 수 있고, 웹 서버 내 모든 자료를 열람할 수있을 뿐만 아니라 웹 페이지 변환, 추가 악성코드 업로드 등 치명적인 피해를 입힐 수 있습니다. 더 나아가 동일 네트워크의 모든 서버들 까지 위협하는 등 한번의 공격으로 끝나는 것이 아니라 2차, 3차 피해까지 발생할 수 있는 치명적인 위협입니다. 그렇기에Web shell 공격을 사전 예방에 서버를 보하는 것이 중요합니다.Web shell 공격 예방법• 홈페이지 중 파일 업로드가 불필요한 게시판은 업로드 기능을 완전히 제거, 파일 업로드가 필요한 게시판의 경우 파일의 확장자(asp, cgi, php, jsp 등의 확장자 차단) 검증을 수행해야 합니다.• 파일 업로드 폴더의 실행 제한이 필요합니다. 웹 서버 상에서 파일 업로드 폴더를 따로 만들고 해당 폴더에서 스크립트 파일 실행을 제한해 파일 업로드 폴더에선파일이 실행되지않도록 방지합니다.• SQL Injection 방지 또한 필요합니다. Web shell 은 파일 업로드 취약점 뿐만 아니라 SQL Injection을 이용한 공격도 가능하므로 DB 쿼리 관련된특수 문자들을 필터링 하도록 설정, 해당 특수 문자들이 입력 값에 포함되어 있으면 에러를 발생시켜 악의 쿼리가 실행되지 않도록 방지해 예방 할 수있습니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
중소기업 침해사고 피해지원서비스 동향 (2024년 1분기)
침해사고통계피해업체의관리자페이지(출처: KISA)2024년 1분기 침해사고 통계 침해사고통계 옆의 표는 침해사고 신고 중 중소기업 침해사고 피해지원서비스에서 기술지원했던 사고유형 Top 10 이다. 2024년 1분기 가장 많았던 사고유형은 해킹 경유지가 32.55%로 가장 높은 비중을 차지하고 있으며 문자 무단발송, 피싱, 랜섬웨어, 정보유출 순으로 나타났다.해킹 경유지는 침해사고를 분석하다 발견된 피해서버 내 웹쉘에 접근하거나 추가 피해서버로 확인된 서버를 말한다. 2024년 1분기 해킹 경유지가 많이 차지한 이유는 침해사고 분석 중 발견한 해킹 경유지가 많아 자체섭외된 피해기업이많기 때문이다.1분기 내내 높은 비중을 차지한 사고유형은 문자 무단발송이다. 문자 무단발송의 경우 2023년 12월 말 부터 꾸준하게 신고 및 기술지원한 사고유형이다. 문자 무단발송 침해사고의 경우 피해기업 홈페이지에 문자발송 시스템을 해킹하여 스미싱, 스팸문자를 발송한다.문자무단발송공격을수행하는공격자의행위공격자의 행위 흐름• 최초 침투(Initial Access) 무차별대입 공격, 사전대입 공격을 통한 취약한 관리자 계정 정보 탈취 파일 업로드 취약점을 악용한 웹쉘파일 업로드 • 지속(Persistence) 웹쉘을 사용한 공격 수행 • 수집(Collection) 데이터베이스 접근을 통한 사용자 계정 정보 수집 • 영향(Impact) 불특정 다수에게 스팸 메시지(SMS) 발송으로 금전피해 발생 문자 발송 시스템 오류로 사용 가용성 침해문자 무단발송 침해사고문자 메시지는 우리 일상 속에서 빼놓을 수 없는 통신 수단 중 하나이다. 간단한 일상 대화부터 중요한 경조사 소식을 나눈 데까지 널리 사용된다. 하지만, 이러한 편리한 서비스가 때때로 악의적인 목적으로 변질 되기도 한다. 바로 불법적인광고를 목적으로 한 스팸 메시지가 그 예이다. 우리는 일상 속에서 스팸 메시지에 직면하며, 이로 인한 불편함과 함께 보안 위협을 경험한다.2024년 1분기 문자 무단발송 신고는 전체 침해사고의 15%를 차지하고 있으며, 문자 발송 서비스를 지원하는 업체는 증가하는 추세이다. 문자 무단발송 침해사고는 문자발송 서비스와 연동하여 운영되는 ERP 솔루션의 취약점을 악용하여 침투 후 데이터 베이스에 저장된 사용자 연락처를 수집해 대량의 스팸문자를 발송한 사고로 확인된다.서비스 사용자 관점의 대응방안 • 메시지 내 링크 연결 주의 – 메시지 내용이 발신자와 관련 없거나 의심스러운 경우 사용자는 각별한 주의를 기울여야 한다.• 사칭 스팸 문자 해당 기관에 문의 – 반드시 문자에 기재되어 있는 기업, 은행 등에 직접 문의해 해당 사실을 확인해야 한다.• 통신사에서 제공하는 스팸 차단 서비스 신청 – 받고 싶지 않은 번호나 문구를 직접 추가하여 차단할 수도 있다.서비스 제공자 관점의 대응방안• 관리자 페이지 및 계정 관리 강화 복잡한 아이디와 비밀번호 사용 다단계 인증 도입 접근제어 목록(IP화이트 리스트) 로그인 시도 제한 주기적 비밀번호 변경• 파일 업로드 보안 강화• 웹 로그 주기적 점검 및 백업• 웹 로그 설정• 주기적인 악성 파일 점검 및 제거• 한국인터넷진흥원정보보호 서비스 활용스미싱위협주의안내(출처: KISA)
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
세계 최대 사이버 보안 컨퍼런스 RSAC 2024 2부 트랙 세션, 엑스포 총정리
※ 본 저작물은 ㈜SK쉴더스에서 작성한 콘텐츠로 어떤 부분도 서면 동의 없이 사용될 수 없습니다. COPY RIGHT @ 2025 SK SHIELDUS, ALL RIGHT RESERVED
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
XZ-Utils 백도어 악성코드 분석(CVE-2024-3094)
※ 본 저작물은 ㈜SK쉴더스에서 작성한 콘텐츠로 어떤 부분도 서면 동의 없이 사용될 수 없습니다. COPY RIGHT @ 2024 SK SHIELDUS, ALL RIGHT RESERVED
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2024년 3월 진단명별 데이터 유출 현황2024년 3월 국가별 데이터 유출 비율2024년 3월 랜섬웨어 록빗과 플레이로 가장 큰 피해2024년 3월(1일~31일까지 집계)에 집계한 랜섬웨어 공격은 록빗과 플레이로 가장 큰피해를 입은 달이 아니였나 싶습니다. 3월 집계한 결과로 보았을 때 진단명별로 데이터유출 현황을 보면, 록빗과 플레이가 가장 많은 공격을 한 사례가 되었으며, 전 세계 데이터 유출 건을 국가별로 비교했을 때 미국이 54%로 가장 높았고, 캐나다가 9%로 그 뒤를 이었다. 다음으로 독일(6%), 영국(6%), 스웨덴(2%), 이탈리아(2%), 기타(20%) 등이었습니다.3월 한 달간 랜섬웨어 동향을 조사한 결과, 스코틀랜드의 국립 보건 서비스가 "INCRansom“ 조직의 공격으로 데이터가 유출된 정황이 발견되었습니다. 또한, 스위스 정부와 일본의 자동차 제조 업체 Nissan에서 각각 “Play”와 “Akira” 랜섬웨어의 영향으로 유출된 데이터 정보를 공개했습니다. 한편, 미국의 콜로라도주 국선 변호인실과 온타리오주 해밀턴시 행정 기관은 지난 2월에 발생한 랜섬웨어 공격의 복구 작업을 진행 중인 소식이 전해졌습니다.국내/외 랜섬웨어 피해 타임라인스위스 정부, Play 랜섬웨어 피해 사례 3월 초, 스위스 정부에서 “Play”랜섬웨어 공격의 영향으로 유출된 데이터의 분석결과를 발표했다. “Play” 측은 작년에 스위스 정보통신 업체를 공격해 탈취한 데이터를 유출 사이트에 공개했다. 당시 스위스 정부는 피해 업체가 여러 정부 기관에서비스를 제공하고 있어 공격의 영향을 받을 우려가 있다고 언급했다. 이후 진행된사건 조사에서 유출된 데이터 중 약 65,000개가 정부의 것임을 확인했다고 전했다. 여기에는 기술 정보와 기밀 정보 외에도 이름과 주소 등의 개인정보가 포함됐다고덧붙였다. 피해 정부 측은 3월 말까지 행정 조사를 마무리할 예정이라고 공지했으며 이후 추가된 내용은 없는 것으로 확인된다.미국 콜로라도주 국선 변호인실, 랜섬웨어 피해 사례 미국의 콜로라도주 국선 변호인실이 랜섬웨어 공격으로 개인정보가 유출된 정황을 공지했다. 피해 기관은 2월초 내부 시스템이 공격받아 암호화돼 운영을 제한한다고 발표했다. 이후 사건 경위를 조사하면서 홈페이지를 통해 피해 복구 현황을 업데이트했다. 한편, 조사 과정에서 이름, 사회보장번호 및 의료 정보 등이 저장된 파일이 유출된 사실을 발견했다고 언급했다. 이에 따라 개인에게 신원 도용 및 사기 사건에 대한 경계심을 유지할 것을 권고했다.미국 온타리오주 해밀턴시 행정 기관, 랜섬웨어 피해 사례3월 말, 미국 온타리오주에 위치한 해밀턴시의 행정 기관에서 랜섬웨어 피해 복구 현황을 공지했다. 피해 기관은 지난 2월 말에 발생한랜섬웨어 공격으로 일부 시스템의 운영이 중단되는 사태가 발생했음을 알렸다. 이에 대해 중단된 서비스는 직원이 수동으로 대응하며, 대중교통과 응급 서비스 등의 주요 서비스는 정상적으로 운영한다고 전했다. 이후, 피해 확산 방지를 위한 격리 조치가 완료돼 시스템 복구와 재건축에 중점을 두고 작업 중이라고 발표했다. 이번 사건에 대한 배후자는 알려진 바가 없으며, 피해 기관의 홈페이지에서 복구 현황을 확인할 수 있다.결론랜섬웨어는 국가 핵심 인프라 시설과 기업을 대상으로 대규모 공격을 지속하였으며, 파일을 암호화하는 것 뿐만 아니라 기업의 기밀 정보를 유출함으로써 2차 피해 우려를 낳고 있습니다. 때문에 세계 각국에서는 랜섬웨어를 대응 및 예방하고자 다양한 지침을 발표하였고, 국내‧외에서 발생한 랜섬웨어 사건‧사고에 대해 알아보고 랜섬웨어에 대응해야 하겠습니다.랜섬웨어 피해 예방 방법• 정기적인 데이터 백업: 중요한 데이터를정기적으로 백업하고최소한 한 개 이상의 전체 백업을오프라인으로 유지하세요.• 소프트웨어업데이트: 운영 체제와 응용 프로그램을 최신버전으로 유지하고보안 패치를 적용하세요.• 신뢰할 수 있는 백신 소프트웨어설치: 랜섬웨어를 예방하기 위해 신뢰할 수 있는 백신 프로그램을설치하고 최신 버전으로 업데이트하세요.• 의심스러운이메일과 URL 조심: 출처가 불분명한이메일과 URL 링크를 실행하지 않도록 주의하세요.• 파일 확장자 확인: 알려진 랜섬웨어확장자를 확인하고 의심스러운 파일을 열지 않도록 합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.1점 / 36명 참여