통합검색
'' 검색결과는 총 129 건 입니다.
연도별 디도스 공격 신고 건수유형별 침해사고 신고 현황디도스 공격, 2024년에도 여전히 위협적인 존재2023년은 디도스(DDoS) 공격과 관련하여 특히 눈에 띄는 해였습니다. 이 해에는 디도스 공격에 대한 신고가 크게 증가했으며, 이는 여러 보안 보고서와 데이터 분석에서 명확하게 드러났습니다. '연도별 디도스 공격 신고 건수'의 동향을 살펴보면, 2023년 국내에서만 디도스 공격에 대한 신고가 213건에 달하는 것을 확인할 수 있으며, 이는 2022년 대비 무려 74.6%나 증가한 수치입니다. 이러한 증가율은 디도스 공격이 얼마나 심각한 문제로 대두되고 있는지를 잘 보여줍니다. 특히, 디도스 공격은 침해사고 유형 중에서도 전체의 20.2%를 차지하며, 서버 해킹(47.8%)과 악성코드 감염(28.2%)에 이어 세 번째로 높은 비율을 기록했습니다.2024년에 들어서도 디도스 공격의 위협은 계속되고 있습니다. 특히 주목할 만한 사건은 2월, 3월 계속 지속되는 인터넷 방송인과 국내 e스포츠 리그, LCK 경기를 대상으로한 디도스 공격입니다. 이 공격은 국내뿐만 아니라 전 세계 e스포츠 팬들에게도 큰 충격과 혼란을 안겨주었습니다.LCK 디도스 공격에 대한 공지(출처 : LCK 페이스북)LCK 디도스 공격 사건2024 LCK 스프링 시즌은 대회 초기까지는 디도스 공격과 같은 문제가 발생하지않아 안전하다고 여겨졌습니다. 대회가 시작된 후, 2월 25일 전까지는 모든 경기가문제 없이 진행되었으나, 2월 25일 경기 중 네 시간 동안 여덟 번의 게임 중단(퍼즈)이 발생했습니다. 처음 발생한 여덟 번의 퍼즈는 네 시간에 걸쳐 발생했으며, 이는 선수들의 핑 문제로 인한 것으로 추정되었습니다. 그러나 이러한 문제가 반복되어, 다섯 번의 퍼즈가 더 발생하자, LCK 사무국은 공식적으로 대회가 디도스 공격을 받고 있다고 발표했습니다. LCK는 경기를 비공개 녹화 중계로 전환했습니다. 이 결정은 공격자들이 경기 시간을 예측할 수 없게 함으로써, 추가적인 디도스 공격을 방지하기 위한 선제적인 조치였습니다. 그러나 디도스 공격의 위협은 남아 있으며, 심지어 한 선수는 경기 후 랙이 심각하다고 언급하기도 했습니다. 이 사건은e스포츠 대회까지 디도스 공격의 타겟이 되고 있음을 보여주며, 문제의 심각성을다시 한번 강조하고 있습니다.3월 인터넷 방송인을 대상으로 한 디도스 피해내용인터넷 방송인을 대상으로 한 디도스 공격 사건최근 인터넷 방송 BJ들과 게임 업계가 대규모 디도스 공격으로 인해 큰 피해를 입었습니다. 이러한 공격은 방송 중단과 게임 플레이에 심각한 지장을 겪었습니다. OBS 문제와의 혼동 사례도 있으나, 대체로 디도스 공격이 주된 원인으로 지목되고 있습니다. 특히 2023년 말부터 2024년 초까지의 기간 동안 더욱 빈번하게 발생하고 있습니다. 이에 따라 방송 플랫폼과 BJ들은 새로운 대응책 마련의 필요성을 느끼고 있으며, 커뮤니티 내에서도 큰 논란이 되고 있습니다.올해 3월 한달 간 리그 오브 레전드(LoL), 배틀그라운드, 로스트아크 등 다양한 게임이디도스 공격의 대상이 되었습니다. 이로 인해 여러 인터넷 방송과 e스포츠 대회들이 방송 중단이나 전략 변경을 겪어야 했으며, 아프리카TV, 치지직, 트위치 등 여러 방송 플랫폼에서 활동하는 인터넷 방송인들이 디도스 공격으로 인해 방송 중단 및 게임 플레이에 큰 지장을 겪었습니다.결론이번 DDoS 공격은 배후에 디스코드 ‘스위스나이프’ 채널1)을 운용하는 곳에서 배포하는 툴로 추정이긴 하나 정황상 한국의 IP 를수집하여 공격했다는 것을 주의해야 하며, 앞으로는 이러한 공격을 막기 위해서는 DDoS 공격을 효율적으로 예방하거나 사이버 대피소 같은 곳을 이용하여 대피하는 것이 중요합니다.1) 스위스나이프 : 디지털데일리 기사에서 추측성 기사 원문을 읽고 쓴 결론으로 해커의목적을 모르기 때문에 추측성 기사글이 난무하게 되어 이런식으로 결론을 맺고자 함.디도스 피해 예방 방법 • 인터넷 대역폭을 확보하는 방법 : 인터넷 대역폭을늘려주는 것이 중요하며, 이로 인해 대량의 트래픽에도견고하게 대응할 수 있게 됩니다.• 주요 콘텐츠나 데이터베이스를분산해서 배치하는 방법 : 가용성을 위해 이중화를 진행을 추진하거나 망분리를 통해 전체 시스템에 대한 영향을 분산 시켜 피해 확산을 줄이는 것이 중요합니다.• 인터넷 트래픽을 실시간 모니터링해 디도스 공격이 발생할 경우 즉각 대응할 수 있도록 하는 방법 : 이러한 방법은 비용과 인력을 필요로 하기에 관제요원을 투입하여 즉각 적으로 대응 하는 것이 효과적입니다.• 정부(KISA)에서디도스 사이버대피소를운영하는 것을 이용 : 첫 번째와 세 번째를 함께 사용한다는 것이 특징이며, 이 방법을 통해 DDoS 공격을 효과적으로 대처할 수 있 고, 중소‧영세기업도효율적으로 이용할수 있습니다.디도스 사이버대피소 절차(출처 : KISA) 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
악성 PDF 파일 내용 (출처: FORTINET)PDF 파일에 삽입된 URL (출처: FORTINET)뱅킹 트로이 목마 최근 3월, 브라질 은행 사용자를 대상으로 하는 CHAVECLOAK라는 심각도가높은 트로이 목마가 발견 되었습니다. 뱅킹 트로이 목마는 주로 온라인 금융 시스템을 표적으로 삼아 정교하게 제작된 소프트웨어 프로그램을 위협하고 있으며, 사용자로부터 민감한 금융 정보를 훔치는 것을 목표로 하고 있습니다. 이러한 트로이 목마는 일반적으로 은밀하게 작동하여 피싱 이메일, 손상된 소프트웨어 또는 악성 웹 사이트와 같은 다양한 벡터를 통해 컴퓨터에 침투합니다.이 트로이 목마가 피해자의 장치에 침투하게 되면 키 입력 정보를 모니터링 및기록하거나 스크린 샷을 캡처하고, 웹 세션을 조작할 수 있는 능력을 가지게 됩니다. 그 결과로 로그인 자격 증명을 가로채어 사용자의 개인 정보나 금융 정보가 유출되어 금융 계좌에 대한 무단 액세스 및 사기 거래가 발생하는 경우로 이어집니다.CHAVECLOAK 공격 흐름도 CHAVECLOAK 공격 흐름CHAVECLOAK 공격 흐름이 공격은 PDF 파일을 포함한 피싱 메일을 통해 전파됩니다. 사용자를 속여PDF 파일인 문서를 열면 내용 안에 전자 서명이 가능한 버튼이 있습니다. 실제로 버튼을 클릭하면 Goo.su URL 단축 서비스를 사용하여 원격 링크에서설치 파일을 검색을 합니다. 설치 파일 내에 존재하는 Lightshot.exe라는 실행 파일은 DLL 사이드 로딩을 활용하여 중요한 정보의 도난을 가능하게 하는CHAVE CLOAK 악성코드인 Lightshot.dll을 로드합니다. 이 악성코드는 시스템 메타데이터를 수집하고 브라질에 있는 손상된 시스템을 확인하기 위해 시스템을 검사합니다. 또한, victim 창을 모니터링하여 은행과 관련된 문자열을비교하고, 일치하면 C2 서버와 연결되어 다양한 종류의 정보를 수집하고 금융기관에 따라 서버의 고유한 해커 서버로 유출합니다. 이를 통해 운영자가 피해자의 화면을 차단하고, 키 입력을 기록하고, 사기성 팝업 창을 표시하도록 허용하는 등 피해자의 자격 증명을 훔치기 위한 다양한 전술을 사용합니다.결론CHAVECLOAK 뱅킹 트로이 목마는 SMS, 이메일 피싱, 손상된 웹사이트를 통해 PDF, ZIP 파일 다운로드, DLL 사이드로딩 및 사기성 팝업을 활용하여 전파되는 심각한 사이버 위협입니다. 이 트로이 목마는 브라질의 금융 시장을 특히 목표로 하며, 개인정보 훔치기, 시스템 정보 스캔, 키스트로크 로깅 등을 통해 사용자의 은행 계정에 심각한 피해를 주고있습니다. 이러한 유사한 뱅킹 트로이 목마로부터 보호하기 위해 주의 깊은 행동 방침을 따르는 것이 중요합니다.뱅킹 트로이 목마에 대한 보안 권장 사항• 사용자는 의심스러운 이메일 또는 신뢰할 수 없는 출처에서 보낸 이메일 내에 링크 클릭이나 첨부 파일을 다운로드 수락 또는 실행해서는 안됩니다.• 웹사이트 URL에 오타나 사소한 변형이 있는지 확인하고, 2단계 인증(2FA)을 활성화 하여 강력한 비밀번호를 사용해야합니다.• 운영체제, 웹 브라우저 및 보안 소프트웨어를 정기적으로 업데이트하여 새롭게 발견되는 악성코드로부터 보호할 수 있습니다.• 바이러스 백신 소프트웨어를 최신 상태로 유지해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2024년 1월 악성코드 유형별 진단 수 비교상위 10개의 랜섬웨어 제품군(출처:Bitdefender)Faust 랜섬웨어2018년 12월에 처음 발견된 포보스(Phobos) 랜섬웨어는 주로 소규모 기업을 대상으 로 하는 사이버 위협이며, 상위 10개의 랜섬웨어 제품군 중 하나이기도 합니다. Faust 랜섬웨어는 2019년 이후에 등장했으며, 피해자의 컴퓨터에 있는 파일을 암호화하도록 설계된 악성 소프트웨어 그룹, 포보스 랜섬웨어의 변종입니다. 최근 Faust 랜섬웨어를 전파하는 것을 목표로 하는 VBA 스크립트가 포함된 오피스 문서가 발견되어 이슈가 되 기도 했습니다.Faust 랜섬웨어는 주로 감염되는 컴퓨터에 저장된 파일 유형을 대상으로 삼고 암호화 알고리즘을 사용해 파일을 잠그면서 진행되며, 피해자는 잠겨진 문서, 이미지, 데이터베 이스 및 기타 여러 파일에 액세스할 수 없어지고, 사용할 수 없게 됩니다. 그런 다음 Faust 랜섬웨어 운영자는 암호 해독 키를 제공하겠다고 약속하며 피해자에게 금전적 요구 하는 방식으로 이득을 취하게 됩니다.암호화 제외 리스트(출처:포티넷)Faust 랜섬웨어 감염 과정 암호화 초반 과정Faust 랜섬웨어는 사회 공학적 전술을 이용하여 가짜 이메일, 메시지로 사람들 을 속여 중요한 정보를 공개하거나 악성 콘텐츠를 다운로드하도록 합니다. 그런 다음, 일반적으로 손상되고 취약한 RDP(원격 데스크톱 프로토콜) 연결을 악용 하여 시스템에 대한 무단으로 접근할 수 있는 권한을 얻습니다. 시스템을 감염 시키면 Faust는 강력한 암호화 알고리즘을 사용하여 감염된 컴퓨터나 네트워 크의 여러 파일을 암호화합니다.암호화 제외 리스트Faust 랜섬웨어는 몇가지 파일 확장자, 경로, 파일명을 제외하고 암호화합니다. 포보스 이외의 랜섬웨어에 감염됐을 경우 이중으로 암호화 될 수도 있고 시스템 을 파괴하거나 랜섬 정보를 암호화하는 것을 방지하기 위함으로 보입니다.암호화된 파일 이름(출처:PCrisk) Info.txt(출처:PCrisk)암호화된 파일 이름 변경암호화된 파일은 이름이 변경됩니다. Faust 랜섬웨어는 각 피해자의 고유 ID인 고유 식별자를 파일 이름에 추가합니다. 또한 파일 이름에는 공격자의 이메일 주 소(gardex_recofast@zohomail.eu)가 포함되어 있습니다. 이러한 암호화된 파일을 구별하기 위해 새 파일 확장자 ‘faust’를 추가하고 디렉터리 내에서 info.txt 및 info.hta를 생성합니다. 이 파일들은 협상을 위해 공격자와 연락을 취하는 수단으로 사용됩니다.암호 해독 방법 전달Faust 랜섬웨어는 암호화 과정을 거쳐 info.txt, info.hta 두 개의 랜섬 노트를 전달하여 피해자가 공격에 대해 알 수 있도록 합니다. 랜섬노트에서 Faust 랜섬 웨어는 암호 해독 키의 대가로 비트코인 지불을 요구합니다. 구체적인 금액은 피 해자가 공격자와 얼마나 빨리 접촉을 하는지에 따라 다릅니다. 결론Faust 랜섬웨어 같은 새로운 변종이 등장한 것처럼, 랜섬웨어 환경은 계속해서 진화하고 있습니다. 진화하는 랜섬웨어를 예방하기 위해 안전한 보안 환경을 계속해서 유지해야 할 것이며, 소프트웨어를 최신 상태로 유지하고, 데이터를 백업하는 등의 개인적인 노력도 필요합 니다. 또한 공격이 발생하면 신속하고 결단력 있는 조치가 필요합니다. 감염된 시스템을 격리하고, 랜섬웨어 변종을 식별하고, 관련 기관 에 사고를 보고해야 하는 것도 명심하시길 바랍니다.Faust 랜섬웨어 예방 방법 • 소프트웨어를 최신 상태로 유지 : 운영 체제와 프로그램을 정기적으로 업데이트하여 소프트웨어의 취약점을 지속적으로 점검하고 새로 탐지된 위협으로부터 보안 상태를 유지하기 위해 보안 기준을 패치하도록 합니다.• 평판이 좋은 바이러스 백신 소프트웨어 사용 : 평판이 좋은 바이러스 백신 소프트웨어를 사용하여 멀웨어에 대한 보호를 크게 강화하고 정기적으로 업데이트 되는지 확인합니다.• 의심스러운 이메일 주의 : 피싱 이메일은 사이버 공격자가 사용하는 가장 일반적인 공격 방법 중 하나이므로 의심스러운 이메일 내의 파일을 열거나 링크를 클릭 하지 말아야 합니다.•데이터 백업 : 랜섬웨어 공격 시 데이터가 완전히 손실되지 않도록 외장하드나 클라우드에 정기적으로 데이터를 백업해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
CVE-2023-29360, CVE-2023-36802 타임라인 (출처:checkpoint)라즈베리 로빈 라즈베리 로빈(Raspberry Robin)은 2021년 Red Canary이 처음 식별된 웜으로, 주로 USB 드라이브와 같은 이동식 저장 장치를 통해 확산되어 감염된 시스템에 발판을 마련하고 추가 페이로드를 쉽게 배포할 수 있습니다. 그러나 라즈베리 로빈의 최신 버전은 더욱 은밀하고 취약한 시스템에만 배포되는 사이드로딩 공격, 0-day 취약점 공격 등을 구현합니다. 사이드로딩 공격은 합법적인 프로그램을 악용하여 악성 DLL 파일을 로딩을 하는 기법입니다. 최근에는 OleView.exe 파일을 악용하는 사례가 있었으며, 0-day 취약점 공격은 알려지지 않는 0-day 취약점을 악용하여 시스템 권한 상승(CVE-2023-36802 및 CVE-2023-29360)을 시켜 라즈베리 로빈을 설치합니다. 이러한 공격의 최종 목표는 데이터 도난, 암호화 랜섬웨어 공격, CVE-2023-29360, CVE-2023-36802 타임라인 (출처:checkpoint) 기타 악성 활동 등 다양한 악영향을 가져올 수 있습니다.Raspberry Robin 공격 흐름Discord를 이용한 라즈베리 로빈 공격 흐름 최근 Discord 플랫폼을 이용하여 공격 대상자에게 링크를 이메일로 보낸 후 악성 압축 파일을 업로드하여 이루어지는 공격입니다. 파일은 File.Chapter-1.rar와 유사한 이름을 가지고 있지만, 위장을 위해 다른 이름으로 변형될 수 있습니다. 공격자는 다양한 방법을 사용하여 피해자를 속여 해당 파일을 다운로드하고 실행하도록 유도합니다. 파일을 실행하면, OleViw.exe라는 정상적인 Microsoft 실행 파일이 실행되면서 압축된 악성 Raspberry Robin DLL 파일을 로딩을 합니다. 이 DLL 파일은 외부적으로는 정상적인 Microsoft 서명을 가진 것 처럼 보이지만, 실제로는 유효하지 않습니다. 로딩된 DLL 파일은 시스템 내의 취약점을 악용하여 권한 상승을 시도합니다. 최근의 공격에서는 알려지지 않은 0-day 취약점을 이용한 것으로 알려져 있으며, 권한 상승에 성공하면 공격자는 네트워크 내의 다른 시스템으로 이동하고 악성 코드를 설치하여 지속적인 접근을 유지합니다.Raspberry Robin 변종에서 볼 수 있는 시스템(출처:checkpoint)결론라즈베리 로빈(Raspberry Robin)은 최근 급속하게 성장한 멀웨어이며, 복잡한 공격의 단계를 간단히 해결해주고 권한 상승이라는 취약점 공격이 꾸준히 추가되면 그 이후에도 여러 유형의 공격을 쉽게 시작 할 수 있기 때문에 Evil Corp나 TA 505와 같은 악명 높은 사이버 범죄 집단들이 라즈베리 로빈을 즐겨 사용하는 것으로 알려져 있습니다. 라즈베리 로빈의 예전 버전은 주로 USB 드라이브로 배포를 했다면, 최근에는 디스코드 RAR 파일을 통해 배포를 합니다. 또한, 이전 버전에 업데이트를 하여 추가적인 기능 몇가지가 포함 되어있으며 공격에 당하면 데이터 도난, 암호화 랜섬웨어 공격, 기타 악성 활동 등 다양한 악영향을 가져올 수 있기 때문에 주의를 해야합니다.사용자는 출처가 분명하지 않은 파일을 다운로드 수락 또는 실행해서는 안되며, 알 수 없거나 신뢰할 수 없는 출처에서 제공한 웹사이트를 방문하거나 링크를클릭하지 않아야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
라자루스 공격 그룹의 공격 타임라인(출처:트랜드 마이크로)Lazarus라자루스(Lazarus)는 국가차원의 지원을 받는 것으로 알려진 공격 그룹으로 2009 년부터 악성 활동을 본격적으로 시작한 것으로 알려져 있습니다. 이 조직이 잘 알려지게 된 계기는 2014년 소니픽쳐스를 공격한 Operation Blockbuster 사건부터 였습니다. 또한, Operation Flame, Operation Troy, DarkSeoul 등 수많은 공격을 수행해 왔습니다. 하위 조직으로는 블루노르프로 알려진 APT38, 안다리엘 등이 존재하는 것으로 알려져 있습니다. 라자루스의 공격은 기존의 인프라 해킹과 같은 기술 기반의 공격, 인프라 시스템의 보안이 점점 강화되자 비교적 보안이 취약한 사람을 대상으로 한 사회공학적 공격 기법 등까지 다양한 방식으로 이루어집니다. 또한, 이들은 새로운 제로데이 취약점 공격 코드 등도 지속적으로 개발하고 있습니다.피싱 공격 프로세스라자루스가 CoinsPaid 를 공격한 프로세스(출처:CoinsPaid)스피어 피싱 피싱 공격 프로세스 스피어 피싱(Spear-Phishing) 공격이란? 스피어 피싱이란 피해자를 속여 중요 정보를 공유하도록 하는 공격인 피싱과 창(Spear)의 합성어로 기업, 개인 등 단일 대상 목표로 피싱 공격을 수행하는 공격 방식입니다.라자루스의 스피어 피싱 공격 라자루스는 개인들이 많이 사용하는 보안 소프트웨어의 제로데이 취약점을 활용 하기 위해 보안 소프트웨어 개발사를 대상으로 하거나 암호화폐 탈취를 위해 암호화폐 기업의 직원을 대상으로 하는 등 다양한 대상을 공격하고 있습니다. 그들의 주요 공격 방식은 뉴스레터로 위장하여 메일에 첨부된 URL을 클릭하게 유도하거나 취업 담당관으로 속여 면접 제안 메일을 보내 URL을 클릭하거나 악성코드가 심어진 애플리케이션을 설치하게 하는 등의 방식으로 대상을 특정한 스피어 피싱 공격을 시도 하고 있습니다.워터링 홀 공격 기법 프로세스(출처:트랜드마이크로) 라자루스의 워터링홀 공격 기법 프로세스워터링 홀 침투 방법워터링 홀(Watering Hole) 공격 기법이란? 워터링 홀의 어원은 물웅덩이 근처에 매복하여 먹잇감을 노리는 사자의 모습에서 가져온 것입니다. 해커가 공격할 대상에 대한 정보를 미리 수집하여, 자주 방문하는 웹 사이트를 알아낸 뒤 해당 사이트의 제로데이 취약점을 공격해 접속하는 사용자에게 악성코드를 뿌리는 방식의 사이버 공격입니다.라자루스의 워터링 홀 공격 라자루스는 특정 대상이 없는 무차별적인 공격보다는 특정 대상을 선정하고, 세밀한 공격을 수행 합니다. 정찰 과정을 통해 대상 기업이 사용하는 솔루션, IP 주소 대역, 업무 담당자 등의 사전정보를 확보합니다. 그 후 공격 대상이 업무상 목적으로 접근하거나 흔히 접근하는 웹사이트를 해킹하여 트리거 사이트를 준비해 놓습니다. 공격 준비가 완료 되면, 대상의 IP 주소 대역으로 필터링 해 공격 대상이 홈 페이지 접근 시 취약점 공격 코드가 존재하는 다른 사이트로 리다이렉팅 하는 방 식으로 공격을 수행합니다.결론라자루스(Lazarus) 공격 그룹은 워터링 홀 기법이나 스피어 피싱 등의 공격 기법을 주로 사용하며, 국내의 보안 소프트웨어 개발사나 암호화폐 결제 서비스 업체 등 다양한 대상을 상대로 공격을 펼쳐 왔습니다. 작년에 있었던 소프트웨어 공급망 공격이 올해에도 발생할 수 있으며, 꾸준한 제로데이 취약점 공격 코드 개발을 통해 기존에 진행했던 공격으로 예측 할 수 없는 공격을 가해올 수 도 있어 각별한 주의가 필요한 공격 그룹입니다.스피어 피싱과 워터링 홀 대응 방법라자루스의 대표적인 공격 기법인 스피어 피싱 공격이나 워터링 홀 공격 기법은 사회공학적 공격 기법으로 소프트웨어나 시스템의 취약 점이 아닌 사람의 실수를 공격에 이용하는 공격이기에 침입이나 위협을 판단하는 것이 어렵습니다. 하지만, 사회공학적 공격 기법은 사용자 개인의 분별력 제고 및 보안의식 수준에 크게 영향을 받습니다. 따라서, 평소 악성 메일 모의 훈련을 통해 경각심을 심어 주거나, 사회공학적 공격 기법을 방지하기 위한 지속적인 교육을 통해서 보안 의식을 향상 시키는 것으로 방지해 나가야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
조심하세요, 낮은 성공 확률로 벌어지는 크리덴셜 스터핑
국내 악성 봇 감염자의 접속 사이트 순위 (출처:로그프레소)크리텐셜 스터핑 피해 결과 그래프크리덴셜 스터핑크리덴셜 스터핑(Credential Stuffing)은 최근 온라인 보안에 큰 위협으로 부상하고 있는 방법 중 하나입니다. 이는 다크웹 등 다양한 온라인 플랫폼에서 유출된 아이디와 패스워드를 악의적인 목적으로 활용하여 무차별 대입을 자동화 시킨 악성 봇을 이용한 공격 기술입니다.작년 11월 한 달 동안 국내에서 탐지된 악성 봇 감염이 전월대비 54.62% 증가했으며, 전 세계 통계 43.04%보다 11.58%p 높습니다. 이를 통해 자격증명 탈취로 유출된 개인정보를 이용하여 최근, 인터파크(78만 여건)와 워크넷(23만 여건) 그리고 한국장학재단(3만 2천여 건)을 포함한 여러 기관 및 기업에서 수많은 피해 결과가 나왔습니다. 이러한 사례들은 크리덴셜 스터핑을 이용한 계정 탈취 공격의 심각성을 환기 시켜 주고 있습니다. 기술 환경의 발전과 함께 이러한 공격은 점차 더 정교해지고 있으며, 크리덴셜 스터핑을 탐지하고 예방하기가 점점 더 어려워지고 있다는 것을 의미합니다.크리덴셜 스터핑의 작동 원리크리덴셜 스터핑 공격 분석 크리덴셜 스터핑 공격은 악성 공격자가 대상 웹 사이트나 앱 그리고 다크웹에 유출된 아이디와 비밀번호 등의 개인 정보 데이터를 대량으로 구매하거나 수집합니다. 획득한 개인정보를 컴파일해 크리텐셜 목록을 생성합니다. 보통 이러한 목록을 이용해 자동화된 스크립트를 제작, 자동화된 봇을 통해 수많은 범용 사이트에 로그인 시도를 하게 됩니다. 이 과정을 스터핑이라고 부르며, 사용자 중 일부는 여러 사이트에서 동일한 아이디나 비밀번호를 사용하는 경향이 있어 일부 시도가 성공할 수 있습니다. 공격자가 계정 로그인에 성공하게 된다면 계정 정보를 통해 개인정보를 훔치거나 가상자산 정보를 악용해 금전적 이익을 취할 수도 있습니다. 또한, 불법적으로 검증된 인증 정보를 다크웹에서 다른 범죄자에게 판매할 수도 있습니다. 그리고 이 과정에서 획득한 정보를 기반으로 피싱, 스피어 피싱 등의 추가적인 공격을 시도할 수도 있습니다. 이러한 공격들은 개인의 프라이버시와 보안뿐만 아니라 해당 개인이 속한 기업의 보안도 위협하는 심각한 위험을 초래할 수 있습니다.결론크리덴셜 스터핑은 개인 정보 유출로부터 대량의 아이디와 비밀번호를 획득하여 계정을 탈취하는 공격으로, 자동화된 봇 사용이 활발해지며 공격 횟수가 늘어나고 있습니다. 한번 유출된 정보는 다른 유형의 범죄에도 악용되어 개인과 기업의 보안에 심각한 위협을 초래할 수 있습니다크리덴셜 스터핑 방지 방법 • 로그인 인증 시 MFA을 사용하여 추가적인 인증 단계를 통해 공격자가 도용한 계정 정보로 접근하지 못하게 해야합니다. • 봇을 방지하는 CAPTCHA 로그인 기능이 구현을 하여 다수의 웹사이트 로그인 폼에 대입하는 시도를 방지 해야합니다. • 비밀번호 설정은 복잡하고 길게 설정하여 사이트 마다 다르게 암호로 설정하며, 주기적으로 변경을 해야합니다. • 사용자들에게 보안의 중요성을 교육하고, 피싱 공격이나 악성 소프트웨어에 대한 인식을 높입니다. • 자주 사용되는 취약한 암호나 이전 유출된 정보를 포함한 암호를 블랙리스트에 등록하여 비밀번호 설정이 안되게 해야합니다. • 털린 내 정보 찾기 서비스로 자신의 계정정보 유출 여부를 확인 후 변경해 2차적인 피해를 예방할 수 있습니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
최근 3년간 탐지된 스미싱 문자 현황스미싱 스미싱은 문자메시지인 SMS와 피싱의 Pishing의 합성어로, 악성 앱 주소가 포함된 문자 메시지를 대량으로 전송하여 사용자를 속이고 개인정보를 탈취하거나 악성 앱을 설치시키는 사기 수법을 의미합니다. 스미싱은 주로 문자메시지를 통해 이뤄지며, 악성 앱을 설치시키기 위한 인터넷 주소가 문자메시지에 포함되어 있습니다. 인터넷 주소 링크를 클릭하면 앱 설치 파일인 APK로 연결되어 악성 앱이 설치가 됩니다. 이를 통해 소액결제를 유도하거나 개인정보를 빼내게 되어 금융 피해를 입을 수 있습니다. 공격은 해마다 꾸준히 증가하고 있으며, 일상생활이나 사회적 이슈와 관련된 주제는 넘치기 때문에 시기에 맞는 그럴듯한 메시지만 있으면 준비는 끝납니다. 특히 명절이나, 종합 소득세 신고 기관과 같은 특정 기간에 피해 사례가 증가하는 경향을 보이고 있습니다. 명절 기간에는 택배로 선물을 주고받는 빈도와 물량이 늘어나 택배가 지연됨에 따라 배송 일정을 궁금해하는 고객들의 심리를 악용한 사례가 많고, 직장인 연말정산 조회 기간은 보통 설 명절 전후여서 3월 급여에 포함되는 금액을 미리 확인해 보고자 하는 직장인의 심리를 악용한 사례가 많습니다.스미싱 공격의 흐름스미싱 공격 분석공격자는 광범위한 전화번호 목록을 사용하여 무작위로 선택하거나, 이전 침해에서 얻은 데이터 또는 다크웹에서 판매된 정보들을 기반으로 스미싱 문자를 보낼 대상을 정합니다. 공격자는 긴급성, 두려움, 호기심과 같은 특정 감정이나 반응을 불러일으키는 사기성 문자 메시지를 만듭니다. 메시지 내용 안에는 링크 클릭, 연락 바람 등과 같은 유도문이 포함됩니다. 공격자는 SMS 게이트웨이, 스푸핑으로 감염된 장치 등을 사용하여 대상에게 스미싱 메시지를 보냅니다. 피해자는 메시지를 받고 공격자가 바라는 대로 메시지 내용에 포함된 링크를 클릭하거나 공격자에게 전화를 걸게 될 경우 여러가지 결과가 발생 할 수 있습니다. 피해자는 개인 또는 금융 데이터를 입력하는 사기성 웹 사이트를 방문하거나, 장치에 악성 소프트웨어를 다운로드 할 수도 있습니다. 특정 번호로 전화를 걸 경우 공격자는 피해자에게 정보 제공을 요청하거나 요금을 부과하도록 속일 수 있습니다. 원하는 정보를 손에 넣으면 공격자는 신원 도용, 무단 거래, 다크웹에서 데이터 판매, 또는 얻은 데이터를 통해 추가적인 공격을 할 수 있습니다.스미싱 문자 사례(출처 : 과기정통부)연말정산 환급금 관련 스미싱(출처 : 중부일보)설날을 노린 스미싱명절 기간에는 주소가 확인되지 않아 반송되니 확인을 바란다는 문자와 송장 번호 주소 불일치로 물품을 보관 중이라는 문자, 미수령 택배가 있으니 확인하라는 문자 등 택배 회사를 사칭하는 스미싱 공격이 많습니다. 그리고 백화점과 마트에서 할인 행사와 이벤트를 많이 열어 이런 특징을 활용한 명절 선물로 모바일 상품권을 보내드리니 확인 바란다는 문자와 명절 선물 할인쿠폰 지급이 되었으니 확인 바란다는 문자 등의 스미싱 공격이 있습니다연말정산을 노린 스미싱발신자를 국세청으로 속여 연말정산 관련 문자를 전송하였으니 첨부한 인터넷 주소를 확인하라는 내용으로 인터넷 주소는 국세청을 사칭하는 피싱 사이트 주소이고 해당 사이트에서 공제 대상 조회를 목적으로 개인정보를 입력하라고 유도하는데, 이때 공격자는 사용자의 개인정보를 빼앗습니다. 관련 스미싱 종류로는 연말정산 모바일 앱 사칭, 누락된 국세청 연말정산 환급금 결과 조회 사칭, 연말정산세금 절약 노하우 사칭 등의 스미싱 공격이 있습니다결론스미싱 피해는 자신 뿐만 아니라 자신의 주소록에 있는 사람들에게 까지 2차적인 피해를 입힐 수 있기 때문에 주의하여야 합니다. 전화 목소리를 통해 접근하는 보이스 피싱과는 달리 스미싱은 문자로만 진행되는 사기 수법이고, 피해자의 방심과 무지에서 비롯되어 공격에 대비하기 위해서는 일상에서도 의심을 가지고 메시지를 처리하고 수신자의 보안 의식 수준을 높이는 꾸준한 교육과 훈련이 필요합니다. 스미싱으로부터 보호하는 방법• 출처가 불명확한 URL 또는 전화번호를 클릭하지 않습니다.• 앱 다운로드는 링크로 받지 않고, 출처를 알 수 없는 앱이 함부로 설치되지 않도록 스마트폰의 보안설정을 강화 합니다.• 백신프로그램을 설치하여 업데이트 및 실시간 감시 상태를 유지합니다.• 개인정보 및 금융정보를 요구하는 경우, 입력하거나 알려주지 않습니다.• 상대방이 개인 및 금융정보, 금전, 앱 설치 요구 시 반드시 전화와 영상통화 등으로 상대방을 정확히 확인합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
KimsukyKimsuky는 북한 정부의 지원을 받는 해커 그룹으로 알려졌으며 2013년부터 활동해왔습니다. 주로 국방, 방산, 언론, 외교, 국가기관 등을 대상으로 스피어 피싱 공격을 가하며, 조직 내부의 정보와 기술을 훔치는 것을 목표로 합니다. 초기에는 남한의 북한 관련 연구소를 공격하였고 후에는 해외 국가를 대상으로도 공격을 하는 모습이 관찰 되었습니다.AppleSeedAppleSeed는 Kimsuky가 운영하는 핵심인 원격 시스템 제어를 용이하게 하는 백도어 악성코드 입니다, AppleSeed의 유포는 2021년부터 시작되었으며, C&C 서버에서 수신한 명령을 실행하여 키로깅, 스크린샷, 사용자 시스템에서 파일을 수집하여 전송해 정보를 탈취하는 등 여러 기능을 제공합니다.AlphaSeedKimsuky의 새로운 악성코드인 AlphaSeed는 명령 실행, 정보 탈취 등 AppleSeed와 유사한 기능을 가졌습니다. 기존 AppleSeed 악성 코드의 Go 언어 버전으로 추정이되며,해당 악성코드 안의 경로 명인 E:/Go_Project/src/alpha/naver_crawl_spy/라는 경로에 alpha가 포함되어 있다는 점에서 AlphaSeed라고 명명했습니다.AlphaSeed 실행 프로세스Cookie값과 ChromeDP를 이용한 메일 통신 프로세스AlphaSeed의 실행 및 통신 프로세스regsvr32,exe를 통해 악성코드가 실행이되며, %USERPROFILE%\ 경로에 작업 디렉토리.edge를 생성하고 powermgmt.dat 파일로 자기자신을 복사, regsvr32.exe로 로드합니다. 이후 재부팅 후에도 자동으로 악성코드가 실행이 될 수 있도록 MS_SecSvc라는 이름으로 레지스트리에 등록을 합니다. 자가삭제 기능을 수행하기 위해 BAT파일을 생성하는데, 원본 DLL 파일을 삭제하는 BAT파일 과, 이 BAT파일을 삭제하는 BAT파일, 총 2개의 BAT파일을 생성합니다. 실행된 원본 파일이 powermgmt.dat인지 확인하고, 아닐 경우에는 regsvr32.exe를 통해 로드 후 종료합니다.AlphaSeed는 로그인에 필요한 아이디와 패스워드 대신, Cookie값을 이용하여 로그인 합니다. 로그인에 성공하면 메일 서비스의 내게 쓴 메일함에 접근하여 정보 탈취 및 명령 전달을 수행합니다. 메일과 상호작용을 수행하기 위해 패킷 통신이 아닌, Chromedp를 이용하여 스크립트를 실행하는 방식을 사용합니다.암호화 복호화 프로세스AlphaSeed의 암호화, 복호화 알고리즘과 주요 기능 탈취한 파일에 대해 암호화를 수행하거나, 공격자 메일로 부터 받은 명령을 복호화 할때 RC4 RSA 알고리즘이 사용됩니다. 악성코드는 랜덤한 RC4 Key를 생성하고, 내부에 존재하는 ParsePKC1Publickey함수를 통해 암호화를 위한 Public Key를 생성합니다. 다음으로 Public Key를 통해 RC4 Key를 암호화합니다. 공격자 메일로부터 받은 명령 또한 암호화 되어있는데, 이 데이터는 악성코드 내부에 별도로 존재하는 Private Key를 통해 RSA를 복호화하여 RC4 Key를 획득하고, 이후 획득한 RC4 Key로 데이터를 복호화 합니다. 감염된 시스템의 정보를 탈취하기 위해서 키로깅, 스크린샷, 재시작과 같은 기능을 수행할 수 있는데, 이는 GoRoutine을 통해 함수를 호출하여 수행할 수 있습니다. goKeylog 함수에서는 감염된 시스템에 입력되는 키 입력 데이터를 작업 디렉토리 하위에 cache_w.db 파일로 저장하고 파일을 암호화한 뒤, 네이버 메일을 통해 전송합니다. goSshot에서는 감염된 시스템의 현재 데스크탑 화면을 캡쳐하여 파일로 저장합니다. rtRestrart 함수는 프로세스 재시작을 수행합니다.결론Go언어를 통해 악성코드를 업데이트하고 있는 Kimsuky의 위협은 사이버 보안의 중요성과 경계심을 강조하며, Kimsuky의 적응과 발전은 이에 대한 방어도 마찬가지라는 것을 보여줍니다.AplphaSeed에 대한 보안 권장 사항피싱 이메일과 악성 첨부 파일을 인식 할 수 있도록 직원을 정기적으로 교육하여 스피어 피싱 이메일의 위험에 대해 사용자를 교육하는 것이 중요합니다.알려진 취약점이 패치되도록 모든 소프트웨어를 정기적으로 업데이트하여 Kimsuky가 무단 액세스를 얻을 경로를 줄이고, 맬웨어 및 기타 악의적인 활동을 탐지 하고 차단할 수 있는 강력한 보안 소프트웨어를 사용하여 네트워크와 시스템을 모니터링 합니다.다른 조직 및 정부 기관과 협력하여 방어를 위한 위협 및 모범 사례에 대한 정보를 공유하고, 침해 발생 시 사고에 대응하기 위한 계획을 마련하여 보안사고에 대응합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
[시행 2024.1.2.] [기획재정부공고 제2023-241 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024.1.2.] [기획재정부공고 제2023-244 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024.1.2.] [기획재정부공고 제2023-245 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024.1.2.] [기획재정부공고 제2023-243 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.2점 / 28명 참여