통합검색
'' 검색결과는 총 133 건 입니다.
AXLocker 랜섬웨어랜섬웨어는 사용자의 동의 여부와 무관하게 사용자의 장치에 설치되어 암호화된 파일의 이름을 변경하거나, 파일에 확장자를 추가합니다.그러나 최근에 발견된 AXLocker는 암호화 된 파일의 파일 이름을 변경하지 않고 원본 파일명과 원본 아이콘을 그대로 사용하여 공격을하였습니다.또한 이중 갈취 기술을 사용하여 피해자의 장치에서 중요한 데이터를 빼낸 후 파일의 속성을 변경, 육안으로 발견되지 않게하거나 암호화가 완료된 후 팝업 창에 랜섬 노트를 표시하여 대가를 요구하는 등의 방법도 사용하고 있습니다.이처럼 이번에 새롭게 발견된 AXLocker는 컴퓨터 이름, 사용자 이름, 시스템 IP 주소, 시스템 UUID 및 Discord 토큰과 같은 데이터를 수집하여감염된 피해자의 디스코드 계정까지 도용하는 등 기존 랜섬웨어 보다 지능적이고 발전된 공격 방법을 가지고 있어 각별한 주의가 필요합니다.AXLocker는 자체 속성을 이용하여 자신을 숨길 수 있습니다. 다음으로 AXLocker 호출 startencryption() 함수로 타겟 디렉토리인 C드라이브로 들어가 콘텐츠를 암호화 합니다. 함수 내에는 디렉토리를 열거하여 파일을 검색하는 코드가 포함되어 있습니다.ProcessDirecory() 함수는 모든 C드라이브 에서 사용 가능한 디렉토리를 열거하여 파일을 검색하는 코드 입니다. 리스트에 있는 특정 디렉토리를 무시하고 건너뛸 수 있습니다.ProcessFile() 함수는 리스트에 등록된 파일 확장자와 비교하는 함수입니다. 리스트에 등록된 특정 파일 확장자를 대상으로 암호화를 진행합니다.Encryptfile() 함수는 안에 있는 AESEncrypt() 함수는 AES-256-CBC 암호화 알고리즘을 사용하여 파일을 암호화 합니다. 암호화 된 파일의 수가 계산되고 나중에 서버로 전송이 됩니다.EncryptionFIle 매서드 안에서 볼 수 있는 이 새로운 암호화 루틴 은 SHA4 알고리즘을 사용해서 해시된 변수 password에 저장된 문자열을 가지고 옵니다. 이것과 처음 8바이트로 초기화된 솔트 를 사용하여 AES-256으로 파일을 암호화 하는데 사용할 256비트키를 만듭니다.공격자가 이러한 유형의 대칭 암호화를 사용하는 경우 일반적으로 임의의 암호 솔트를 생성하면 공격자만이 암호화에 사용되는 키를 알 수 있습니다.사용자가 데이터베이스를 열 때 만들어지는 파일인 확장자가 ldb인 파일을 검색하고, 이러한 파일에서 특정 정보를 검색하여 목록에 저장합니다.디스코드 토큰 외에도 사용자 이름, IP 주소, 및 시스템 UUID 등 더 많은 정보를 찾아 디스코드에서 제공하는 웹훅 기능을 악용하여 사용자의 PC에서 수집한 정보들을 공격자가 운영하는 디스코드 채팅 방으로 전송합니다.AXLocker에는 랜섬 노트가 포함된 팝업 창을 피해자에게 표시합니다. 랜섬 노트에는 48시간의 타이머가 포함되어 있고, 피해자가 돈을 지불할 때 까지 시간은 줄어듭니다. 보통의 공격자는 금전을 요구하며 요즘에는 비트코인 같은 가상 화폐로 거래를 하는 것으로 알려졌습니다.공격자에게 연락할 수 있도록 공격자의 고유ID와 탐지를 피하기 위해 익명의 이메일 제공업체 이메일 주소가 적혀 있습니다. 하지만 공격자에게 돈을 지불한 후에도 암호 해독 도구를 제공하지 않을 수 있으므로 공격자와 통신을 하는 것을 권장하지 않습니다.■ 결론랜섬웨어 AXLocker는 개인과 개인 Discord 계정을 대상으로 많은 공격을 시도하고 있습니다. 이러한 공격으로부터 발 생되는 피해를 최소화 할 수 있는 가장 좋은 방법은 일반 네트워크와 다른 물리적 오프라인 위치에 저장된 모든 데이터를 정기적으로 백업하고, 소프트웨어를 최신 상태로 유지하는 것입니다.또한 정기적으로 패치를 적용하고, 바이러 스 백신 소프트웨어를 사용하여 장치에 악성 소프트웨어가 있는지 감지할 수 있어야 합니다. AXLocker가 감염된 후에는 랜섬웨어가 훔친 디스코드 토큰을 악용하여 도난당한 Discord 계정의 소유자를 사칭하고 연락처에 대출을 요청하거나 멀웨어를 확산시키는 등의 2차 피해가 발생할 수 있기 때문에 디스코드 암호를 변경하여 추가 피해를 막아야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
"엄마 게임하게 주민번호 좀" 무심코 알려줬다 싹 털렸다, 무슨 일?
3세~16세 어린이에게 가장 인기 있는 온라인 게임과 관련된 위협을 보여주는 통계입니다. 2021년에는 450만 건의 공격이 있었으며, 2022년에는 700만 건 이상 의 공격을 탐지하였고 이는 어린이를 노리는 공격이 전년도 보다 증가한 수치를 보여주었습니다.2022년에는 232,735명의 어린이가 이용하는 게임을 가장한 40,000개의 악성 파일을 발견하였습니다. 2021년과 2022년 사이에 사이버 범죄자들이 악용하는 가 장 인기 있는 게임의 타이틀은 Minecraft와 Roblox입니다. 이 두가지 게임은 어린이들에게 인기있는 게임입니다. 2022년에 Minecraft 플레이어를 가장 많이 표 적으로 삼았으며 약 140,515명의 사용자에게 영향을 미쳤습니다. 공격자는 또한 38,850명의 Roblox 사용자와 27,503명의 Among Us 게이머에게 영향을 미쳤습니다. Minecraft는 수년 동안 Mod를 공유하는 커뮤니티를 가지고 있었습니다. 이 게임은 물건과, 세계를 만드는 게임이며 특히, 많은 어린이들이 설치하는 게임 중 하나입니다. 하지만, Mod를 설치하는데 영향을 받는 플랫폼들에 악성 프로그램이 숨겨져 있을 수 있습니다.최근, Minecraft Mod를 설치하는데 사용되는 두 개의 유명한 플랫폼인 CurseForge와 Bukkit가 공격자의 표적이 되었습니다. 이러한 플랫폼의 API는 게이머가 설치한 Mod가 업데이트되면 자동으로 게임을 자동으로 업데이트 하므로 감염된 Mod를 다운로드하지 않은 사람도 영향을 받을 수 있습니다. 공격자는 Mod 개발자의 계정을 표적으로 정해 개발자의 계정을 해킹하여 Mod의 업데이트 버전에 악성 파일을 업데이트 하는 방식으로 공격하였습니다. 어린이들을 대상으로 하는 가장 일반적인 사회 공학 기술 중 하나는 게임 안에서의 화폐를 무료로 생성하여 주겠다는 제안입니다. 피싱 사이트 사이버 범죄자들은 어린 플레이어들을 표적으로 삼기 위해서 어린이들이 주로 플레이하는 게임의 페이지를 모방하여 만들었습니다. 게임 내 화폐는 어린이들이 하는 게임 세계에서 매우 인기가 많아 무료 화폐를 받고 싶어합니다. 이러한 부분을 이용하는 것이 사이버 범죄자들이 어린이들을 표적으로 사용하는 전략입니다.게임 사용자 이름을 입력하고 원하는 게임 통화 금액을 선택하라는 요청으로 시작되어 정말로 화폐를 지급해 줄 것처럼 꾸밉니다. 다음으로, 사이버 범죄자들은 사용자에게 개인정보를 입력할 것을 요구합니다. 개인정보를 입력한 사용자는 더 이상 정보를 얻을 수 없으며, 링크 클릭 유도를 통해 악성코드를 전송합니다. 대부분의 어린이들은 사이버 보안에 대해 개념이 없기 때문에 공격자는 치밀한 계획을 세우지 않습니다. 인기 있는 어린이 게임인 브롤스타즈의 통화인 보석을 생성하는 한 피싱 사이트에서 사용자는 원하는 만큼 보석을 얻기 위해 네 가지 질문에 답해야 합니다.원하는 보석 수와 게임 내 이름뿐만 아니라 사용자는 온라인 게임 스토어에 연결된 이메일 주소와 비밀번호를 적어야 합니다. 어린이들이 이 데이터를 공유해야 하는 이유를 사이트 제작자는 설명하지 않습니다. 피해자의 이메일과 비밀번호를 소유한 공격자는 스토어 계정에 로그인하고 암호를 변경하여 탈취할 수 있습니다. 피싱 사이버 범죄자들은 어린 플레이어들을 표적으로 삼기 위해서 어린이들이 주로 플레이하는 게임의 페이지를 모방하여 만들었습니다. 사이버 범죄 트릭을 구분 하기 어려운 아이들에게는 Minecraft 또는 Roblox로 위장한 멀웨어는 성인용 게임보다 3-4배 더 자주 설치되었습니다.이러한 어린이들을 대상으로 하는 공격은 사회공학 기술을 활용합니다.사회공학 기술 중 하나는 게임의 치트 및 Mod 설치 페이지를 만들어 아이들을 유도하고, 아이들에게 파일을 설치하기 전에 바이러스 백신을 비활성화를 하지 않으면 완벽하게 설치되지 않는다고 속여 감염된 소프트웨어가 탐지되지 않도록 합니다.다운로드 받은 파일은 압축파일로 되어있으며, 실행 파일은 피해자의 컴퓨터에 대한 전체 액세스 권한을 얻을 수 있도록 관리자 권한으로 실행을 유도합니다.피해자의 바이러스 백신이 비활성화 된 기간이 길어질수록 공격자는 많은 정보를 수집 할 수 있습니다. 자녀가 개인 컴퓨터를 사용하고 있다면 피해가 크지 않겠지만, 공인인증서와, 가족과 공유하는 컴퓨터라면 큰 피해를 입게 됩니다.■ 어린이를 온라인에서 안전하게 보호하는 방법 사이버 범죄자들은 공격 대상의 연령을 제한하지 않고 부모의 장치를 사용할 가능성이 있는 어린이들까지 공격합니다. 어린이들은 사이버 범죄와 같은 경험이나 지식이 거의 없고 가장 기본적인 속임수에도 쉽게 넘어갈 수 있습니다.부모는 자녀가 다운로드 하는 앱이 무엇인지, 기기에 신뢰할 수 있는 보안 장치가 있는지, 그리고 자녀에게 공식 웹 사이트에서 정식으로 돈을 주고 구매하지 않고 무료로 인기있는 게임을 내려 받으려고 할 때, 크랙된 소프트웨어 및 불법 프로그램을 설치할 때 피해자의 장치에서 로그인 정보나 암호와 같은 민감한 데이터를 수집할 수 있는 악성 소프트웨어에 노출이 될 수 있어 사이버 보안에 대해서 교육을 해야 할 필요가 있습니다.또한, 가족이 공유하는 컴퓨터라면 보안 소프트웨어를 최신으로 유지하여 취약점에 노출 되지 않게 하여야 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
HTML Smuggling이란?HTML Smuggling은 특수한 형식의 HTML 주석이나 HTML 태그 내에 악의적인 코드를 숨기고, 자바스크립트의 동적으로 실행되는 특성과 HTML5의 다양한 콘텐츠 형식을 지원하는 특성을 이용해 유저가 특정 HTML 페이지를 방문 시 자동으로 파일을 다운 받도록 하는 기법입니다.HTML Smuggling의 사용 목적보통 멀웨어와 같은 특정파일을 유포할 경우, 파일이나 문서를 첨부하여 사용자에게 실행을 유도하지만, 파일을 다운로드할 때 트래픽이나 특정 솔루션에 의해 탐지될 가능성이 있습니다. 하지만 HTML Smuggling은 파일의 내용을 직접 HTML 코드 안에 포함시킬 수 있으며, 자바스크립트를 이용하여 웹 애플리케이션 내에서 파일을 조립하고 바로 다운로드하는 방식을 사용합니다. 이는 탐지 시스템이 네트워크 트래픽을 검사하여 악성 파일을 탐지하기 어렵게 만듭니다. 그래서 악성코드 유포자들의 HTML Smuggling 사용 목적 중 제일 큰 이유는 솔루션에서 탐지가 어렵다는 특징과, 사회공학 기법을 이용하여 사용자가 다운로드 된 파일을 실행하도록 성공할 확률이 높기 때문인 것으로 보입니다.HTML Smuggling을 활용한 멀웨어HTML Smuggling을 활용한 대표적인 멀웨어로 Qakbot과 코발트 IcedID가 있습니다. QakbotQakbot은 악성코드의 일종으로, 주로 금융 정보를 탈취하기 위해 사용되는 트로이목마입니다. 주로 피싱 메일이나 스팸메일, 악성 URL, 컴퓨터 취약점 등을 통해 유포되고 있으며 피해자의 컴퓨터에서 정보를 수집하고 기록하여 사용자의 민감한 정보를 탈취하기 위해 키로깅(key logging)과 같은 기능을 사용합니다. 이 악성 소프트웨어는 또한 백도어(back door) 기능을 가 지고 있어, 해커가 원격으로 감염된 컴퓨터에 접속하고 제어할 수 있습니다. 이를 통해 해커는 시스템을 제어하여 다른 악성 활동을 수행하거나 악성 파일을 설치할 수 있습니다.Qakbot과 같은 상업용 악성코드들이 MS 오피스 매크로 대신 원노트를 이용하여 실행되는 사례와, 기존 정상 메일을 가로채 악성 파일을 첨부해 회신한 형태인 이메일 하이재킹 방식이 증가하고 있습니다.IcedIDBokBot 으로도 불리는 IcedID 악성코드는 주로 피싱 이메일, 악성 첨부 파일 등을 통해 사용자의 시스템에 침투합니다. 사용자가 이러한 링크를 클릭하거나 악성 첨부 파일을 열면, IcedID는 사용자의 컴퓨터에 설치되어 백도어 기능을 수행합니다. 이를 통해 해커는 피해자의 시스템을 원격으로 제어하고, 금융정보와 인증정보를 탈취하는 등의 악성 활동을 수 행할 수 있습니다. 주로 뱅킹 트로이목마로 알려져 있으며, 사용자의 은행 계정 정보 및 기타 민감한 정보를 탈취하는 것을 목표로 합니다. 또한, 이 악성 코드는 원격 Command and Control (C2) 서버와 연결하여 해커에게 제어 및 지시를 받습니다. 이를 통해 해커는 추가적인 페이로드를 배포할 수 있으며, 랜섬웨어나 "hands-on-keyboard" 공격과 같은 다른 악성 코드들을 시스템에 설치할 수도 있습니다. 또한, 크리덴셜(인증 정보)을 탈취하여 다양한 서비스나 시스템에 대한 액세스 권한을 얻으려고 시도하기도 합니다.뿐만 아니라, IcedID는 취약한 네트워크에서 측면 이동(lateral movement) 기능을 포함하고 있습니다. 이는 악성 코드가 한 시스템에서 다른 시스템으로 확산되는 능력을 의미합니다. 이를 통해 IcedID는 네트워크 내에서 퍼져 다른 시스템을 감염시키고, 추가적인 탈취 및 공격 활동을 수행할 수 있습니다.결론HTML을 활용하는 멀웨어 전달 방법 중 하나인 HTML Smuggling은 공격자가 HTML 콘텐츠를 악성 코드로 가려서 전달하는 기법 입니다. 이때, 일반적인 보안 검사에서는 주로 HTML 첨부 파일만 확인되고, 내부에 숨겨진 악성 코드는 탐지되기 어려울 수 있습니다. 이렇게 악성 코드가 HTML Smuggling을 통해 전달되면, 공격자는 디스크 이미지 데이터를 획득하여 초기 엑세스 권한을 얻을 수 있습니다. 신뢰할 수 없는 이메일은 열지 않고 메일에 첨부된 URL 또는 첨부 파일을 클릭하지 않는 습관을 가지도록 정기적인 보안 교육을 통해 경각심을 가져야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
국가정보원이 공개한 자료에 따르면 최근 3년간 (2020~2022년)간 발생한 북한의 해킹 수법 중 해킹 조직으로부터의 사이버 공격으로 보안 프로그램의 약점을 뚫는 '취약점 악용(20%)' 이나 특정 사이트 접속 시 악성코드가 설치되는 '워터링 홀(3%)' 수법 등이 있었고, 포털사이트 관리자가 보낸 것처럼 가장한 이메일을 발송하여 이것을 클릭한 사람의 컴퓨터에 악성 코드를 심거나 계정의 정보를 빼내는 방식으로 사이버 공격을 하는 '이메일을 이용한 해킹공격(74%)' 이 가장 큰 비중을 차지하였습니다.주로 해킹메일에서 가장 많이 사칭한 기관은 네이버(45%), 카카오(23%), 금융·기업·방송언론(12%), 외교·안보(6%)순서 였습니다.북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 메일 송신자를 ‘네이버’, ‘NAVER 고객센터’, ‘Daum 게임담당자’ 등 ‘포털사이트 관리자’ 인 것처럼 위장했고 발신자 메일주소 또한 naver를 'navor'로, daum을 'daurn'로 표기하는 등 ‘송신자’와 ‘메일 제목’을 교묘하게 변형해 전송하였습니다. 또한, 사용자들을 속이기 위해 ‘새로운 환경에서 로그인 되었습니다’, ‘[중요] 회원님의 계정이 이용 제한되었습니다’ , ‘해외 로그인 차단 기능이 실행되었습니다’, ‘회원님의 본인확인 이메일 주소가 변경되었습니다’ , ‘알림 없이 로그인하는 기기로 등록되었습니다’ 등 계정에 보안 문제가 생긴 것 처럼 느낄 수 있는 제목으로 해킹 메일을 발송하였습니다. 이렇게 공격당한 시스템에서는 개인정보 및 자료유출, 금전적 피해 등을 일으킬 수 있는 만큼, 보안인식 제고를 통해 악성 메일을 판별하고 이로 인한 피해를 줄일 수 있어야 합니다.■ 해킹메일 식별 방법 1. 아이콘 확인 발신자 이름이 똑같이 ‘네이버’ 및 ‘Daum 게임담당자’이지만 정상메일과 해킹 메일의 아이콘은 서로 다르기 때문에 아이콘을 확인해야 합니다. 2. 보낸 사람 메일 주소를 확인 해킹 메일 발신자의 메일 주소를 확인해 보면, 포털 공식메일로 오인할 수 있는 주소를 사용하고 있어 보낸사람 메일 주소를 확인해야 합니다.3. 링크 주소 확인 피싱 메일 본문의 링크에 마우스를 올려보면 브라우저 왼쪽 아래에서 수상한 링크를 확인할 수 있습니다.4. 로그인 화면 주소를 확인 보안접속일 때는 ‘https://...’로 시작되며, 로그인 접속 URL은 “nid.naver.com/...”(네이버)과 “accounts.akako.com/...”(카카오(다음))이기 때문에 로그인 화면 주소를 확인해야 합니다. 5. 공식 로고 확인 주소창 왼쪽 끝에 자물쇠 마크 또는 접속 계정의 공식 로고가 있는지 확인해야 합니다.■ 이메일 보안 관리 수칙• 포털관리자·업무관계자 또는 지인이 발신한 메일도 신중히 열람• 정부기관 발신 메일도 발신자에게 전화 확인 등 신중히 열람• 수발신 e메일은 활용 즉시 삭제(임시보관함·휴지통 포함)• 주요 내용은 첨부 파일로 수·발신하고, 첨부 파일은 암호 설정• 해외 로그인 차단, 국가·지역별 로그인 허용 등 보안기능 활용• 업무용·개인용 메일은 엄격히 분리 사용(비밀번호 다르게 설정)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
타이탄스틸러(Titan Stealer)작년 말, 윈도우 기기에서 브라우저 데이터와 암호 지갑 정보, FTP 클라이언트 세부 정보, 스크린샷, 시스템 정보, 캡처된 파일 등 다양한 정보를 훔칠 수 있는 타이탄스틸러(Titan Stealer)라는 이름의 새로운 악성코드가 발견되었습니다. 해당 악성코드는 Go언어로 작성됐으며, 시스템 정보 및 액세스할 수 있는 모든 파일을 포함하여 Windows 컴퓨터에 침투해 여러 가지 정보를 훔쳐가는 기능을 가지고 있습니다.타이탄스틸러의 위협적인 능력타이탄스틸러는 보안 소프트웨어로 탐지하기 더 어려운 작은 이진 파일을 만들 수 있고, 언어의 사용 용이성 덕분에 많은 시간을 소비하지 않고도 악성코드를 신속하게 배포할 수 있는 Go언어를 사용합니다. Go는 단순성, 효율성이 좋기로 유명하므로 Windows, Linux 및 macOS와 같은 여러 운영 체제에서 실행될 수 있는 교차 플랫폼 악성코드를 생성하려는 공격자에게 이상적인 선택입니다공격자는 판매자가 제공하는 빌더를 사용해 탈취할 파일 확장자와 대상 도메인 등을 지정한 "Titan"악성코드를 생성합니다. "Titan"은 실행 이후, 피해자 PC에서 브라우저 세션 쿠키와 암호, 설치된 프로그램 목록 및 스크린샷 등의 정보를 수집하고, 탈취한 암호 화폐 지갑의 자격 증명과 함께 공격자 C&C 서버로 전송하고, 이를 통해 특정 위협 목적과 얻고자 하는 정확한 정보 유형에 맞게 위협의 바이너리를 조정할 수 있습니다.타이탄스틸러(Titan Stealer) 공격 대처법 1. 스팸 메일의 URL 또는 첨부 파일을 클릭하지 않아야 합니다.많은 바이러스가 스팸 메일 메시지에 첨부되고, 첨부 파일을 열자마자 퍼집니다. 따라서 예상하는 첨부 파일이 아니라면 열지 않는 것이 가장 좋습니다. 2. 최신 Windows 업데이트로 유지해야합니다. Microsoft에서는 PC를 보호할 수 있는 특별한 보안 업데이트를 정기적으로 발표합니다. 이러한 업데이트로 가능한 보안 허점을 차단하여 타이탄스틸러 공격을 막을 수 있습니다. 3. 악성코드를 제거하기 위해 컴퓨터의 운영 체제를 다시 설치하는 것이 좋습니다. 운영 체제를 다시 설치하면 대부분의 악성코드는 제거할 수 있지만, 일부 특별히 정교하게 설계된 악성코드는 존재할 수 있습니다. 감염된 날 이후의 파일로 다시 설치 하는 것은 컴퓨터를 다시 감염시킬 수 있기 때문에 언제 컴퓨터가 감염되었는지 알고 있다면, 감염된 날 이전의 파일을 다시 설치해야 합니다. 4. 맬웨어 방지 앱을 사용합니다. 맬웨어 방지 앱을 설치하고 최신 상태로 유지하면 바이러스 및 기타 맬웨어(악성 소프트웨어)로부터 PC를 방어하는 데 도움이 될 수 있습니다. 하지만 여러 맬웨어 방지 앱을 동시에 실행하면 시스템이 느리거나 불안정해질 수 있어 주의가 필요합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
대세 컨테이너 오케스트레이션 플랫폼 쿠버네티스를 겨냥한 사이버공격 증가
최근 오픈소스의 운영 주체가 기존 개발자에서 빅테크 기업으로 전환되면서 빅테크들이 주도하는 ‘인공지능‘, '블록체인‘, '메타버스' 등의 차세대 기술이 오픈소스 생태계 속 시드 기술로 활용되고 성장하고 있습니다. 빅테크 기업 중 쿠버네티스는 컨테이너화된 애플리케이션을 배포, 관리, 확장할 때 수반되는 다수의 수동 프로세스를 자동화하는 오픈소스 컨테이너 오케스트레이션 플랫폼으로 최근 기업의 핵심 소프트웨어 인프라로 자리잡고 수익모델로 주목받으면서 쿠버네티스를 겨냥한 사이버공격이 계속 증가하고 있는 만큼 보안취약점의 위험성도 커지고 있습니다. '2022 쿠버네티스 보안 상태 보고서'에 의하면, 조사 대상자 93%가 쿠버네티스 환경에 영향을 미치는 사건을 최소 한번 이상 보고했습니다.보고된 전체 보안 사고의 53%는 잘못된 구성 , 38%는 취약성 악용으로, 공격 표면 증가와 취약성 관리 복잡성으로 인한 취약성 증가를 보여줍니다. 2022년 쿠버네티스 보안 취약점은 2019년 급증해 증가추세로 작년 연간 40건을 넘어섰습니다. 주로 발견된 취약점은 서비스거부, 권한 에스컬레이션, 우회, 버퍼 오버플로, 임의코드실행, 디렉토리 또는 파일 통과였습니다.대표적인 취약점을 통한 사이버 공격 사례는 2017년 타이포스쿼팅 공격, 2018년 플랫맵 스트림 패키지에 악성코드 삽입, 2019년 헤로쿠와 트래비스 CI에 발급된 오쓰(OAuth) 사용자 토큰 탈취 후 손상된 아마존웹서비스 액세스 키로 접근 권한을 상승시킨 공격 등이 있습니다.쿠버네티스의 대표적인 보안 취약점 ■ 컨테이너 이스케이프 취약점(CVE-2022-0811) 작년 주요 취약점 중 컨테이너 이스케이프는 가장 일반적인 공격 수단이었습니다. 쿠버네티스 컨테이너 런타임인 CRI-O의 컨테이너 이스케이프 취약점은 CVE점수 9.0(심각)으로 액세스 권한을 획득한 악의적 행위자가 쿠버네티스 클러스터에 팟(POD)을 생성해 호스트에서 임의의 커널 매개변수를 설정할 수 있습니다. 해커는 쿠버네티스 컨테이너를 벗어나 호스트의 루트 접근 권한을 획득할 수 있고, 이를 통해 악성코드 배포나 데이터 유출, 클러스터 이동 등을 수행할 수 있습니다. ■ execSync 요청을 통한 메모리 고갈 방식의 노드 DOS(CVE-2022-1708) CRI-O 컨테이너 런타임의 취약성으로 CVE 점수는 7.5(높음)를 받은 execSync 요청을 통한 메모리 고갈 방식의 노드 DOS취약점은 노드에서 메모리나 디스크 공간 고갈을 유발해 시스템 가용성에 영향을 미칩니다. 쿠버네티스 API 접근권한을 가진 사람 누구나 명령을 실행하거나 컨테이너에서 동기식으로 로그를 가져오는 execSync를 호출할 수 있고 출력이 크면 메모리나 디스크 공간을 가득 채워 노드나 공동 호스팅 서비스를 사용불가능하게 만드는 것이 특징 입니다.■ 아르고CD 우회(CVE-2022-29165)CVE 점수 최고점인 10점을 받은 아르고CD 우회 취약점은 쿠버네티스 클러스터에 애플리케이션을 배포하는데 널리 쓰이는 CICD 도구 '아르고CD(ArgoCD)'에서 발견됐습니다. 인증되지 않은 사용자가 익명의 접근권한을 획득할 수 있고, 특수 제작된 JSON웹토큰을 전송해 관리자를 포함한 다른 사용자로 가장할 수 있다는 것이 큰 특징 입니다. 공격자는 아르고CD 계정이 필요없어 악용하기 매우 쉽습니다. 아르고CD 서비스 계정은 관리자 역할을 가지므로 쿠버네티스 클러스터에 대한 전체 접근 권한을 공격자에게 넘겨줄 수 있습니다■ 어떻게 보안을 높여야 하나1) 서비스 계정 및 사용자에게 역할 및 권한을 할당할 때 최소 권한 원칙을 따름으로써, 공격자가 클러스터에 침투하더라도 과도한 권한을 얻을 가능성을 줄여야 합니다.2) 큐브스케이프에서 RBAC 시각화 도우미를 활용해 불필요한 권한을 가진 역할 및 행위자를 감지하여 예방 및 대응해야 합니다.3) 악의적인 행위자가 측면 이동을 달성하고 데이터를 유출하는 것을 더 어렵게 하기 위해 심층 방어 기술을 사용해야 합니다.4) 쿠버네티스 매니페스트 파일, 코드 저장소 및 클러스터를 자주 지속적으로 스캔하여 예방해야 합니다.5) 취약점 공개 직후 해커가 패치되지 않은 대상을 겨냥하는 경우를 대비하기 위해 쿠버네티스 클러스터에서 소프트웨어 패키지를 정기적으로 업데이트하는 프로세스를 설정하여 최신화 해야합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
과학기술정보통신부는 지난1월 31일 민간기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증인 클라우드컴퓨팅 서비스 보안인증(CSAP[1]) 일부 개정안을 고시했으며, 현재 시행 중에 있다. 이는 2016년 4월에 「클라우드컴퓨팅서비스 정보보호에 관한 기준」이 고시된 이후 7년이 되어가는 시점에서의 개정이다.[1] CSAP: 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 이번 개정안의 주요 내용은 공공부문 클라우드 보안인증 체계를 시스템 중요도에 따라 상·중·하 등급으로 나눠 각기 다른 보안 규제를 하겠다는 것이다. 특히 ‘하’ 등급은 물리적 망분리 이외에 논리적 망분리까지 허용하는 것으로 보안 규제를 완화한다. 더욱이 오는 2025년까지 추진될 행정·공공기관 정보시스템 클라우드 전환 사업이 상대적으로 덜 민감한 업무인 ‘하’ 등급부터 시작될 것으로 보여, 국내와 해외 클라우드 서비스 사업자(CSP[2]) 간의 희비가 교차하고 있는 상황이다. 보안규제 완화가 제한된 공공 영역을 개방해 클라우드 시장 전반을 활성화하고 공공 서비스를 혁신하기 위한 결정이라지만, 해외CSP에 비해 상대적으로 경쟁력이 부족한 국내 CSP가 경쟁에서 밀릴 수 있다는 우려도 제기되는 상황이다.[2] CSP(Cloud Service Provider): 공공 클라우드 인프라, 플랫폼 서비스를 제공하는 업체를 의미한다. CSP는 자체 데이터센터를 구축해 다수의 물리 서버를 가상화해 제공하며 네트워크, 스토리지, 전력 등 서버 운영에 필요한 모든 것을 지원하고 있다. 대표적으로 아마존의 ‘AWS’, 마이크로소프트의 ‘Azure’, 구글의 ‘GCP’ 등이며, 국내기업으로는 네이버클라우드, NHN클라우드, KT클라우드 등이 있다. 이번 헤드라인에서는 클라우드 서비스 보안인증제도가 개정된 배경과 국내/해외 클라우드 사업자(CSP)의 상황, 그리고 이번 개정안으로 변경된 관리/물리/기술적 보호조치 내용에 대해 살펴보고자 한다.■ 클라우드 서비스 보안인증제도(CSAP) 개편 배경 및 경과그간 아마존웹서비스(AWS)나 마이크로소프트(MS), 구글 클라우드 등 해외CSP는 한국 시장 진입을 위해 클라우드 서비스 보안인증제도(CSAP)의 규제완화를 꾸준히 요청해왔다. 지난 2022년 5월 조 바이든 미국 대통령이 방한 후 주한미국상공회의소에서 과학기술정보통신부에 클라우드 서비스의 보안인증제도(CSAP) 와 논리적 망분리 허용에 관한 내용이 담긴 공문을 보냈다는 소식이 전해지기도 했다. 이후 국가정보원이 국내 CSP로부터 클라우드 서비스 보안인증제도(CSAP)완화에 대한 의견을 마련하면서, 규제완화에 대한 세부내용이 발표되기 시작했다. 2022년 6월 과학기술정보통신부에서 ‘SW산업의 질적 도약을 위한 국내 SW 기업의 성장 및 해외 진출 지원방안’ 간담회를 열고 클라우드 서비스 보안인증제도(CSAP) 완화·개편 지시와 3분기 내 보안인증제를 완화 계획을 알렸으며, 7월에는 과학기술정보통신부에서 보안인증을 상·중·하 등급으로 세분화한 계획을 발표, 8월에는 보안인증제 등급 및 완화 차등 적용을 공식화했다. 같은 해 11월 과학기술정보통신부는 클라우드 보안인증 개편안 설명회를 개최하며 클라우드 보안인증 평가기관 지정계획, 인증평가 수수료의 부과 및 지원계획 등 고시 개정에 따른 주요 변경사항과 함께 기존의 보안인증 과정에서 기업이 부담을 호소했던 인증 평가 방식에 대한 개선 계획을 안내했다. 이러한 과정 중 보안인증과 관련하여 국내 CSP와 회의를 진행하려 했지만 대다수의 업체들이 불참하였고, 도리어 국내 CSP는 국정감사에서 정부가 추진하는 클라우드 서비스 보안인증제도 개편에 대해 ‘글로벌 추세 역행’이라고 비판하며 제도적 보완을 요구하기도 했다. 이후 2022년 12월 과학기술정보통신부는 「클라우드컴퓨팅 서비스 보안인증에 관한 고시」일부 개정안 행정예고를 2023년 1월 18일까지 하였고, 최종으로 2023년 1월 31일에「클라우드컴퓨팅 서비스 보안인증에 관한 고시」(과학기술정보통신부 고시 제 2023-3호)를 일부 개정하여 고시했다. 과학기술정보통신부가 밝힌 개정 이유는 “공공부문의 민간 클라우드 이용 활성화를 위해 국가기관 등의 시스템을 3등급으로 구분하고 등급별로 차등화 된 보안인증기준을 적용하는 클라우드 보안인증 등급제 도입을 위해 필요한 사항을 정하기 위함”이라고 전했다. ■ 클라우드 서비스 보안인증제도(CSAP) 개정 사항2023년 1월 31일에 고시된 주요 개정내용은 크게 3가지로 구분된다. 가. 기존 클라우드 보안인증의 등급제 신설(제14조 개정) - 클라우드컴퓨팅 서비스의 정보보호 수준에 따라 보안인증 기준을 차등화해 적용하는 등급제(상등급, 중등급, 하등급) 시행 근거 마련 나. 보안인증 유형 및 등급에 따른 세부 점검항목을 공개(제15조 개정) - 클라우드 보안인증 유형 및 등급에 따라 보안인증기준 내에서 세부 점검항목을 공개할 수 있는 근거 마련 다. 클라우드 보안인증의 등급화에 따른 보안조치 개정(별표 1, 2, 3, 4, 7) - 관리적, 물리적, 기술적, 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치 개정 개정된 클라우드 서비스 보안인증제도(CSAP)를 살펴보면첫 번째, 「클라우드컴퓨팅 서비스 보안인증에 관한 고시」 제14조(보안인증 유형 및 등급)의 내용을 보면 클라우드컴퓨팅 서비스 보안인증 유형 4가지와 3개의 등급으로 나눈다. 보안인증의 유형은 다음과 같다.위 보안인증의 유형에 따라 보안인증 등급은 기존 IaaS, SaaS(표준등급), SasS(간편등급), PaaS에서 개정 후 상, 중, 하로 구분한다.2016년부터 2023년 2월까지 클라우드 서비스 보안인증을 받아 국가기관에서 사용 가능한 시스템은 82개로 IaaS 9개, SaaS 표준 22개, SaaS 간편 48개, DaaS 3개다.두 번째, 제15조(보안인증기준)는 클라우드컴퓨팅 서비스 보안인증제도(CSAP) 항목을 14개 통제항목과 117개 평가항목으로 분류했다. 관리적/물리적/기술적 보호조치(별표 1∼3)를 위한 14개 통제항목과 106개 평가항목을 적용한다.또한, 행정기관 및 공공기관에게 클라우드컴퓨팅 서비스를 제공하려는 경우 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치(별표 4)는 1개 분야 11개 평가항목을 적용하는 것이다.마지막으로 클라우드 보안인증의 등급화에 따른 관리적/물리적/기술적 보호조치를 위한 평가항목이 일부 변경됐다. 특히, 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치와 관련하여, 물리적 보호조치 내 물리적 위치 및 영역 분리 통제항목에 상·중·하 등급이 모두 적용되는 부분에 가장 논란이 많다. 클라우드 시스템, 백업 시스템 및 데이터와 이를 위한 관리·운영 인력의 물리적 위치 기준 충족을 위해서는 데이터센터가 국내에 위치해야 하고, CC인증은 국가정보원이 주관하는 공통평가기준을 통과해야 한다. 망분리는 기존에 적용했던 물리적 망분리를 상·중등급에 적용하고, 하등급만 적용하도록 하여 일반 이용자용 클라우드컴퓨팅 서비스 영역과 물리적 또는 논리적 망분리가 가능하다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
북한의 해킹 조직'김수키'그룹에 대해김수키그룹은 2012년 북한 정부가 한국, 미국 등 전 세계를 대상으로정보수집 및 사이버 공격을 목적으로 만든북한의 해킹 조직입니다.이들은 대학교, 방송국, 언론사, 반도체, 싱크탱크 등 한국 내 다양한산업분야에 지속적으로 공격을 시도하고 있습니다.김수키그룹이 2021년까지 실시한 공격으로는 사례비 명목의 금전과관련된 내용과 악성파일 메일을 함께 보내는 경우가 많았으나,2022년부터는 특정 프로그램으로 위장하거나, 자문 요청과 약력 요청등에 대한 내용이 많았으며, 새로운 악성코드를 사용하거나 비교적 최신취약점을 공격에 사용하려는 시도도 확인되었습니다.이들이 주로 사용하는 악성코드는 사용자의 키보드 입력을 훔쳐보는키로거 악성코드와 사용자의 보안을 우회하여 무단 접근하는 백도어형악성코드가 있습니다.김수키그룹은 현재도 끊임없이 해킹 공격을 시도하고 있으며, 이들은백신을 통한 탐지를 회피하기 위해 국내웹 사이트나 블로그를 경유지로사용하여 악성코드를 배포하는 등 공격 방식에 점차 변화를 주고 있습니다.공격방식 또한 악성 첨부파일을 포함하지 않고 정상적인 소프트웨어나운영체제에 내장된 소프트웨어를 통해 악성행위를 수행하는 형태로진화하고 있어 이에 대한 보안 강화 대책 마련이 필요합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
웹 취약점과 해킹 매커니즘#7 XSS(Cross-Site Scripting)
■ 개요XSS(Cross-Site Scripting, 크로스사이트 스크립팅)은 공격자가 입력한 악성스크립트가 사용자 측에서 응답하는 취약점으로, 사용자 입력값에 대한 검증이 미흡하거나 출력 시 필터링 되지 않을 경우 발생한다. 쿠키 값 또는 세션 등 사용자의 정보를 탈취하거나 피싱 사이트로의 접근 유도 등 사용자에게 직접적인 피해를 줄 수 있다.이번 Special Report에서는 사용자 입력값 검증이 미흡하여 악성스크립트를 삽입할 수 있는 공격인 XSS에 대해 알아보고, 세 가지 종류의 XSS 공격 동작 과정을 다루며 보안대책을 살펴보고자 한다.■ 환경 구성취약점 테스트는 실습을 위해 구축한 웹 서버에서 진행된다. XSS 취약점이 존재하는 해당 웹 사이트는 특정 단어를 검색하면 데이터베이스에서 결과를 불러와 화면에 출력해 주는 검색 기능을 가지고 있다. 또한 글쓰기를 통해 게시물 작성이 가능하며 작성한 게시물은 누구나 열람 가능하다.[XSS 취약점이 있는 게시판]※ 실제 운영 중인 서버에 테스트 또는 공격을 하는 행위는 법적인 책임이 따르므로 개인용 테스트 서버 구축 또는 bWAPP, DVWA, WebGoat 등과 같은 웹 취약점 테스트 환경 구축을 통해 테스트하는 것을 권장한다.※ 본 Special Report는 JSP와 Oracle Database 11gR2의 환경에서 실습을 진행한다.■ XSS(Cross-Site Scripting)XSS 취약점은 서버 측의 입력값 검증이 미흡할 경우 발생할 수 있는 취약점으로, 공격자가 게시물 또는 URL을 통해 삽입한 악성스크립트가 사용자의 요청에 의해 사용자 측에서 응답하게 되어 발생한다.[XSS 동작 과정]사용자의 입력값을 받는 모든 곳에서 발생할 수 있으며, 웹 서버 사용자에게 직접적인 영향을 미칠 수 있는 공격 기법이다. 또한 게시물 또는 URL에 포함된 악성스크립트가 동작하여 발생하는 취약점이기 때문에 불특정 다수를 대상으로 공격을 시도할 수 있다.발생할 수 있는 피해는 스크립트 구문에 따라 사용자 쿠키 값 탈취를 통한 권한 도용과 세션 토큰 탈취, keylogger 스크립트를 삽입하여 키보드 입력값 탈취 등이 가능하다. 또한 피싱 사이트와 같은 악성 사이트로의 접근 유도가 가능하며 사용자에게 직접적인 피해를 줄 수 있다.■ 공격 유형에 따른 분류공격자가 삽입한 악성스크립트가 사용자 측에서 어떻게 동작하는지에 따라 크게 세 가지로 분류할 수 있으며 각각의 개념과 동작 과정은 다음과 같다.Stored XSS (저장형 크로스사이트 스크립팅)공격자의 악성스크립트가 데이터베이스에 저장되고 이 값을 출력하는 페이지에서 피해가 발생하는 취약점이다.공격자는 악성스크립트가 포함된 게시물을 작성하여 게시판 등 사용자가 접근할 수 있는 페이지에 업로드한다. 이때 사용자가 악성스크립트가 포함된 게시물을 요청하면, 공격자가 삽입한 악성스크립트가 사용자 측에서 동작하게 된다.공격자의 악성스크립트가 서버에 저장되어 불특정 다수를 대상으로 공격에 이용될 수 있어 Reflected XSS보다 공격 대상의 범위가 훨씬 크다.[Stored XSS]Stored XSS 공격 과정은 다음을 통해 확인할 수 있다.[Stored XSS 공격 과정]Reflected XSS (반사형 크로스사이트 스크립팅)사용자가 요청한 악성스크립트가 사용자 측에서 반사(Reflected)되어 동작하는 취약점으로, 공격자의 악성스크립트가 데이터베이스와 같은 저장소에 별도로 저장되지 않고 사용자의 화면에 즉시 출력되면서 피해가 발생한다.공격자는 악성스크립트가 포함된 URL을 이메일, 메신저 등을 통해 사용자가 클릭할 수 있도록 유도한다. 사용자가 악성스크립트가 삽입된 URL을 클릭하거나 공격자에 의해 악의적으로 조작된 게시물을 클릭했을 때 사용자의 브라우저에서 악성스크립트가 실행된다.[Reflected XSS]Reflected XSS 공격 과정은 다음을 통해 확인할 수 있다.[Reflected XSS 공격 과정]DOM Based XSS (DOM 기반 크로스사이트 스크립팅)공격자의 악성스크립트가 DOM 영역에서 실행됨으로써 서버와의 상호작용 없이 브라우저 자체에서 악성스크립트가 실행되는 취약점이다. DOM 영역에 변화가 생기면 브라우저는 서버로 패킷을 보내지 않고 DOM 영역에서 페이지를 변환시킨다. 따라서 DOM의 일부로 실행되기 때문에 브라우저 자체에서 악성스크립트가 실행된다.• DOM(Document Object Model, 문서 객체 모델) 이란?브라우저가 웹 페이지를 렌더링 하는데 사용하는 모델로 HTML 및 XML 문서에 접근하기 위한 인터페이스이다. 브라우저는 HTML 문서를 읽고 해석한 결과를 DOM 형태로 재구성하여 사용자에게 제공한다.[DOM Based XSS]DOM Based XSS 공격 과정은 다음을 통해 확인할 수 있다.[DOM Based XSS 공격 과정]Stored XSS과 Reflected XSS는 서버에서 악성스크립트가 실행되고 공격이 이뤄지는 반면에 DOM Based XSS는 서버와 상호작용 없이 브라우저에서 악성스크립트가 실행되고 공격이 이뤄진다.■ 보안대책XSS 취약점은 공격자가 삽입한 악성스크립트로 인해 발생하기 때문에 입력값 검증을 통해 악성스크립트가 삽입되는 것을 방지해야 하며, 악성스크립트가 입력되어도 동작하지 않도록 출력값을 무효화해야 한다.입력값 필터링의 경우 데이터베이스에 악성스크립트가 저장되는 것을 원천적으로 차단해야 한다. 또한 악성스크립트가 삽입되어도 동작하지 않도록 출력값을 검증하여 스크립트에 사용되는 특수문자를 HTML Entity로 치환하여 응답하도록 한다.아래와 같이 <, >, ', " 등 스크립트에 쓰이는 문자가 입력될 경우 스크립트로 동작하여 XSS 공격이 가능할 수 있으므로 의미가 없는 일반 문자로 치환해야 한다.문자 : < > ' " ( )Entity : < > " ' ( )치환 함수인 replaceAll()를 사용하여 외부 입력값으로 받은 스크립트에 쓰이는 문자열을 필터링하여 공격자가 입력한 악성스크립트가 동작하지 않도록 한다.…String searchWord = request.getParameter("searchWord");if (searchWord != null) {searchWord = searchWord.replaceAll("<","<");searchWord = searchWord.replaceAll(">",">");searchWord = searchWord.replaceAll("(","(");searchWord = searchWord.replaceAll(")",")");}위와 같이 문자열 치환을 적용하면 <script>는 <script> 로 치환되어 일반 문자 처리되어 스크립트로 실행되지 않는다.게시판과 같이 HTML 태그 사용이 필요한 경우에는 WhiteList Filter를 통해 허용할 태그를 선정하여 해당 태그만 허용하는 방식을 적용해야 한다.searchWord = searchWord.replaceAll("<p>","<p>");searchWord = searchWord.replaceAll("<br>","<br>");searchWord = searchWord.replaceAll("<P>","<P>");searchWord = searchWord.replaceAll("<BR>","<BR>");허용할 태그 목록 선정이 어려울 경우에는 javascript, document, alert 등과 같이 공격에 사용될 가능성이 있는 모든 문자열을 차단하는 BlackList Filter 방법을 사용할 수 있다. 하지만 모든 태그를 차단하는 것은 현실적으로 어려움이 있고 위험이 존재한다. 부득이하게 사용해야 하는 경우에는 태그마다 적용 가능한 이벤트 핸들러가 다르다는 것을 고려하여 적용하면 된다.추가적으로 알려진 XSS 필터 관련 외부 라이브러리를 활용하는 방법도 있다.• Lucy-XSS-Filter: WhiteList 방식으로 XSS 공격을 방어하는 Java 기반의 오픈 소스 라이브러리https://github.com/naver/lucy-xss-filter• OWASP ESAPI: OWASP에서 제공하는 무료 오픈 소스 라이브러리로 JAVA, PHP 등 다양한 언어 지원https://github.com/ESAPI/esapi-java-legacy■ 맺음말지금까지 사용자 입력값 검증 미흡으로 인해 발생하는 취약점인 XSS(Cross-Site Scripting)에 대한 기본 개념을 살펴보았다. 공격자가 삽입한 악성스크립트가 사용자 측에서 동작하여 계정 탈취 등의 피해가 발생할 수 있으므로 보안대책을 통해 방지해야 한다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2022 SK SHIELDUS. All Rights Reserved.[출처] 웹 취약점과 해킹 매커니즘#7 XSS(Cross-Site Scripting) - ① 개념|작성자 SK쉴더스
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
사이버보안 위협 대응을 위한 접근권한 제어 7 가지 전략
■ 개요코로나 팬데믹으로 인해 일상 생활의 많은 변화가 일어났다. 특히 IT분야에서는 오랜 시간 전통처럼 유지됐던 사무업무 환경이 변화해 불편함을 초래했다. 원격 업무 트렌드는 점차 가속화되어 확대되었으며, 현재는 지속가능한 하이브리드(혼합형)환경으로 자리를 잡아가고 있다.하이브리드형 환경은 IT기술을 적극적으로 사용할 때 구현된다. 비대면 업무를 위한 도구로 다양한 원격 회의 및 채팅 프로그램이 사용되고 있으며, 클라우드 기술을 이용한 협업도 이뤄지고 있다.즉, 접속 채널이 많아 복잡한 하이브리드 환경은 뉴 노멀(새로운 기준)이 필요해짐을 의미한다. 사용자가 네트워크에 접속하는 방법, 사용자-장비 간의 다양한 구성에 대응하는 보안 정책 숙지, 변화하는 환경에 적절하게 통제하는 방법 등 새로운 엔드포인트 보안 전략이 필요한 시점이다.■ WFA로 인한 뉴 노멀(New Normal) 시대하이브리드 업무 환경은 WFA(Work-From-Anywhere), 어디서나 근무할 수 있음을 의미하며 WFA 시대의 보안은 움직이는 데이터들을 보호할 수 있어야 한다. 공격자가 기업 데이터와 자산 탈취를 위해 주로 노리는 POLR도 변화하고 있어 보안팀의 IT 위험관리 우선 순위도 바뀌어야 한다.기존 IT업계의 보안은 바이러스 백신과 방화벽을 최우선순위로 반영해 보안 환경을 구성했다. 그러나 바이러스 백신은 전체 사이버 공격의 60% 정도를 탐지하지 못하고, IoT 및OT(Operation Technology) 환경에서는 백신 소프트웨어 설치조차 어려운 환경이다. 또한, 방화벽 정책 역시 늘어나는 클라우드 및 분산 컴퓨팅 환경으로 인하여 자주 무력화되거나 제 역할을 다하지 못하고 있는 상황이다.또한, WFA 환경 구축에 있어 가장 까다로운 문제는 엔드포인트의 보안 문제다. 보통의 기업 네트워크 시스템에서는 방화벽을 활용해 외부에서 내부로 들어오는 접근을 차단하는 역할을 한다. 그러나, 저장된 데이터와 계정의 유출로 엔드포인트가 악성코드에 감염되어 있는 상황에서 사용자가 VPN을 연결할 경우, 악성코드는 방화벽을 거치지 않고 내부 시스템으로 유입되어 네트워크까지 감염시킬 수 있다.따라서, WFA 환경에서는 기존 보안 정책으로 외부 공격을 막기가 어려워지고 있으며, 다양한 보안 위협에 대비하기 위한 정책과 솔루션 구축이 요구되고 있다.■ 접근 권한 제어 기반의 7가지 보안 전략디지털 환경을 구축한 조직은 보안 격차를 해결하고 능동적으로 위협 요소를 관리해야 한다. 최근 IT보안은 새롭게 등장하고 있는 사이버 위협으로부터 대응하기 위해 네트워크 보안 전략으로 아이덴티티(Identity)를 기반으로 하는 ‘제로 트러스트(Zero Trust)’라는 핵심 보안 솔루션 모델을 제안하고 있다.제로트러스트란(Zero Trust), ‘아무것도 신뢰하지 않는다'는 것을 전제로 한 사이버 보안 모델로, 사용자 또는 기기가 접근을 요청할 때 철저한 검증을 실시하고, 그 검증 과정에서 최소한의 권한만 부여해 접근을 허용하는 방식기업이 제로 트러스트(Zero Trust)의 핵심 아키텍처 구성 요소를 구축하기 위해서는 PAM(Privileged Access Management)이라고 불리는 ‘특권 접근 관리’가 필수적이다. 권한 있는 액세스 관리 솔루션은 기업의 핵심인 가장 중요한 시스템과 자산을 보호하도록 설계되어 액세스 정책을 최적화할 수 있다.사이버보안 생존 가이드 2022 (2022 Cybersecurity Survival Guide)[1] 에서 급변하는 사무·업무 패러다임, 증가하는 위협 상황, 치밀한 사이버 범죄 전술 등 최신 보안 위협에 더 효과적으로 대응하기 위한 권한 제어 기반의 7가지 보안 전략을 제시하고 있다.위의 7가지 보안 전략이 필요한 보안 사고의 가장 큰 원인은 내부 사용자의 무분별한 권한 남용과 업무 PC의 랜섬웨어 감염이다. 이를 대응하기 위해 사용자 환경, 엔드포인트 권한을 제어해 보안을 강화해야 한다.사용자 환경인 엔드포인트의 최소권한 환경구축은 ‘언제’, ‘어디서’, ‘누가’, ‘무엇을’과 같은 세밀한 항목을 정의하고, 이를 토대로 사용자 환경에 대하여 관리자 권한을 제거하는 등 업무 목적 및 권한 등에 적합한 명령어, 애플리케이션 실행 제어를 목표로 한다. 엔드포인트 권한 관리 적용은 이와 같은 목표 달성을 위한 필수 보안 툴이며 임의 실행되는 환경, 특히 랜섬웨어 실행 환경 차단에 효과적이므로 보안의 최우선이 되어야 한다■ 제로트러스트(Zero Trust) 원칙의 실용적인 구현앞서 제시한 7가지 보안 전략을 충족하기 위해서는 NIST SP 800-207에서 정의하는 제로트러스트 원칙을 스마트하고 실용적으로 지향하고, 복원 및 변화에 대응이 가능한 상태를 유지해야 한다. 또한, 원격 작업 및 디지털 전환에 필요한 보안 환경 구현을 위한 완벽한 특권 접속 관리 플랫폼(Privileged Access Management Platform)이 제공되어야 한다.<표1> NIST SP 800-207에서 정의하는 제로트러스트(Zero Trust) 원칙제로트러스트(Zero Trust) 아키텍처란, 제로트러스트(Zero Trust) 개념을 사용한 기업 사이버 보안 계획이며, 컴포넌트간 관계, 워크플로우 설계, 액세스 정책이 포함된다. 또한, 제로트러스트(Zero Trust) 엔터프라이즈란 이러한 제로트러스트(Zero Trust) 아키텍처를 실행함으로써 기업에 존재하는 네트워크 인프라스트럭처(물리∙가상) 및 정책을 의미한다.* 출처: 미국 NIST, "제로 트러스트 아키텍처", 2020[2][2] https://csrc.nist.gov/publications/detail/sp/800-207/final이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2022 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
소중한 정보를 위협하는 해킹메일! 유형부터 판별 기준, 예방법까지 알아보기
최근 해킹 메일 관련 피해가 늘고 있습니다. 메일을 열람하는 것만으로도 많은 정보가 유출될 수 있어 각별한 주의가 필요한데요. 우리의 소중한 정보를 지키기 위해, 해킹 메일의 유형부터 판별 기준, 예방 방법까지 함께 알아보겠습니다.| 1/ 모르면 쉽게 당하기 쉬운 ‘해킹메일’ 유형 4가지!해킹 메일의 대표적인 유형은 바로 포털 사이트의 고객센터를 사칭한 메일입니다. 로그인 이력, 비밀번호가 유출되었다는 사칭 메일을 통해, 계정 정보를 입력하도록 유도하는 것이죠.최근에는 공공기관, 기업, 지인으로 가장한 업무 메일을 통해, 해킹 사이트로 접속을 유도하는 사례도 늘고 있는데요. 특히 코로나19 관련 확진자 동선, 재난 지원금 관련 메일이 많아지면서, 악용 사례가 급격히 증가했습니다.이 외에도 메일 본문에 첨부파일로 위장한 링크를 첨부하거나 해킹 메일을 보안메일로 위장하는 경우도 있습니다. 해킹 피해를 막기 위해 보안메일을 사용한다는 점을 역으로 악용한 것인데요. 이와 같은 해킹 메일은 메일 제목만으로는 구별이 어렵기 때문에 판별법을 미리 숙지하는 것이 필요합니다.| 2/ 제목만 보면 알 수 없는 해킹 메일, 어떻게 판별할 수 있을까?먼저, 발신 메일 주소가 정상적인지 확인해야 합니다. 해킹 메일은 대중화된 메일 주소를 교묘하게 변경해 보내는 경우가 많기 때문인데요. @naver.com 대신 @naver-com.cc와 같이, 메일 주소를 눈속임하는 것이 이에 해당합니다. 모르는 주소로 전송된 광고성 메일은 해킹메일일 가능성이 높으므로 열람하지 않는 것이 좋습니다.모르는 메일로 온 첨부파일을 열었을 때 매크로 사용을 위한 ‘콘텐츠 사용’ 클릭을 유도하는 등 보안 경고가 나타나면 해킹 메일일 가능성이 높습니다. 대표적으로 첨부파일 클릭 시 파일이 다운로드 되지 않고 계정 정보 입력을 요구하는 경우가 있죠.이 외에도 경찰 출석요구서, 국내·외 정세 자료, 정책 자료 등의 내용이 사전 안내 없이 발송됐다면, 해당 기관에 연락해 메일 발송 여부를 먼저 확인해 보는 것을 권장합니다.| 3/ 소중한 정보를 지키기 위한 길! 해킹메일 예방법 알아보기해킹 메일 예방법의 기본은 컴퓨터와 계정의 보안을 강화하는 것인데요. 이를 위해 바이러스 백신 소프트웨어는 반드시 설치해 두고, 지속적인 업데이트를 통해 최신 버전을 유지해야 합니다.계정 로그인 시에는 메일 비밀번호를 주기적으로 변경하거나 문자, 모바일 OTP 등 2단계 인증 로그인 설정을 통해 보안을 강화해야 하는데요. ‘로그인 이력 조회’를 통해 비정상적인 접근이 있었는지 수시로 점검하는 것이 좋습니다. 네이버 계정의 경우 ‘보안 설정 > 로그인 관리’에서 로그인 목록을 확인할 수 있으며, 구글 계정 사용자라면 Gmail 우측 하단 ‘세부정보’를 클릭해 Gmail계정이 사용된 이력과 계정에 엑세스 한 IP 주소를 볼 수 있습니다..스스로 관리하는 것이 번거롭다면, 인포섹이 제공하는 ‘해킹 사고 분석 서비스’를 이용하는 방법도 있습니다. 해킹 사고 분석 서비스는 해킹의 원인을 분석하고 보안 대책을 마련해, 안전하고 믿을 수 있는 정보 보안 환경을 제공하는데요. 보다 전문적으로 해킹 메일을 예방하고 싶은 분들께 추천합니다!지금까지 소중한 정보를 앗아가는 해킹 메일의 유형부터 판별법, 예방법까지 알아봤습니다. 해당 내용을 잘 숙지해, 소중한 정보를 보호하시길 바랍니다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
[5대 사이버 보안 위협]안랩에서는 ‘월간安’을 통해 2023년 5대 사이버 보안 위협을 아래와 같이 예측하고 있다.1. 랜섬웨어 조직, ‘양보다 질‘ 전략 추구최근 신규 랜섬웨어의 등장이 주춤한 가운데, 향후 렌섬웨어 조직은 최소한의 공격으로 최대한 의 수익과 효과를 노리는 ‘양보다 질‘ 전략을 추구할 것으로 예상된다. 이를 위해 기업의 핵심 인프라를 장악 후 정보유출부터 랜섬웨어 감염, 디도스 공격까지 가하는 ‘다중 협박’ 으로 하나의 표적을 집요하게 노릴 것이다.2. 기업의 핵심 정보를 장기간 유출하는 ‘기생형‘ 공격 대세공격자의 투자 대비 효과를 중요시 하는 경향을 감안할 때, 주요 기관 및 기업의 핵심 기술과 자산 탈취 시도는 계속될 것이다. 특히 인프라를 장악한 후 장기간에 걸쳐 핵심 기술 또는 민감 정보를 유출하는 ‘기생형‘ 공격이 주를 이룰 것인 바, 통합 보안 체계 구축이 필요하다.3. 파급 효과가 큰 ‘잭팟‘ 취약점 발굴 및 지속적인 악용PC부터 모바일, 클라우드, 운영기술 환경을 가리지 않고 파급 효과가 큰 ‘잭팟‘ 취약점을 공격에 활용할 것으로 전망하며, 이에 대응하기 위한 방안으로 주기적인 보안 패치 적용 및 미 사용 프로그램의 삭제가 필요하다.4. 모바일 환경으로 공격 확대최근 모바일을 통한 금전 거래와 개인정보 활용이 활발해 지면서 공격이 모바일 환경으로 확대되고 있다. 공격자는 정상적인 앱 마켓에 등록할 수 있는 제작사, 제작 툴을 해킹하여 앱 제작 초기 단계부터 침투하는 수법을 사용할 것으로 보이며, 모바일 앱 배포 또는 업데이트 단계에서 악성코드 주입 시도 및 탈취한 정상 모바일 앱 인증서를 앱 제작 및 배포에 활용할 수도 있다.5. 개인의 가상 지갑을 노린 공격 심화대형 암호 화폐 거래소, 주요 블록체인 서비스에 대한 해킹 공격의 발생으로 코인 등의 가상 자산을 개인 지갑으로 옮기는 사용자가 증가함에 따라 개인의 가상 자산 지갑을 노린 공격이 심화 될 것으로 예상된다. 공격자는 ‘니모닉’ 키 정보와 지갑 계정 정보를 탈취하기 위해 정보 유출 악성코드 또는 유명 가상 자산 지급을 사칭한 피싱 웹사이트, 앱 유포를 확대할 것이다. 개인 지갑 사용자는 시드 구문 및 ‘니모닉’ 키를 안전하게 보관하고, 키 분실 위험으로부터 안전한 지갑을 사용해야 할 것이다.이 콘텐츠의 저작권은 ㈜안랩에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2023 AhnLab. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
[2022년 주요 사이버보안 사고]올해 1월에는, 2021년 12월 말 취약점이 발견되어 큰 이슈가 된 Log4j 의 추가 취약점들이 공개되었다. Java 로깅 라이브러리인 Log4j 에서 발생하는 취약점으로 사용 범위가 넓어 파급력 또한 높기 때문에 사용자들의 각별한 주의가 필요하다. Log4j 취약점 최초 발견 이후, 관련 취약점이 꾸준히 제보되고, 위험도 높은 제로데이 취약점이 연달아 발견되면서 국내외로 큰 이슈가 되었다.또한, 국내 최대 규모 DeFi(Decentralized Finance, 탈중앙화 금융) 서비스인 KLAYswap1에서 22억 규모의 가상자산이 탈취되는 해킹이 발생했다. 가상자산 탈취에 사용된 해킹 기법은 BGP Hijacking으로, BGP 프로토콜을 악용하여 공격자가 설정한 라우팅 테이블로 네트워크 흐름을 조작한 후 정상 SDK 파일로 위장한 악성코드를 다운로드하는 방식이다. 악성코드가 설치된 피해자가 가상자산 거래를 이용할 경우, 공격자의 지갑으로 가상자산이 전송되는 형태로 공격이 이루어졌다.3월에는 국제적인 해킹그룹인 랩서스(Lapsus$)의 글로벌 IT 기업 및 제조업을 대상으로 한공격이 발생했다. 국내 S 社에서는 190GB 의 소스코드가 유출되었으며, L 社에서는 임직원 이메일 계정 및 비밀번호 약 9만 건이 탈취되었다. 또한 국외에서는 반도체 기업인 N 社의 시스템이 해킹 당해 회로도, 펌웨어 등 기밀 데이터 1TB 가 탈취되었다. 랩서스는 다크웹 및 피싱 메일을 통해 임직원의 계정 정보를 획득하여 내부 시스템에 침투, 내부 정보를 탈취하는 방식으로 공격을 진행했다.또한, 블록체인 비디오 게임 ‘엑시 인피니티’에서 7,700 억 원 규모의 가상자산이 도난당하는 사건이 발생했다. 탈취한 7,700억 원 중 1,100억 원가량이 북한 소속의 해킹 그룹 ‘라자루스’의 가상자산 지갑으로 이동한 것이 확인되었다.5~6월에도 북한의 가상자산 탈취는 계속 이어졌다. 미국의 블록체인 기술 개발 기업인 ‘Harmony’에서 1억 달러(약 1,300억 원)의 암호화폐가 도난당하는 사고가 발생했으며, 1억 달러의 암호화폐 중 41%를 거래 추적을 숨기는 서비스인 ‘토네이도 캐시 믹서’로 보낸 것이 확인되었다. 사이버 보안 업체 ‘Trellix’의 발표에 의하면 북한은 외화 탈취를 위해 신종 랜섬웨어 4종을 유포하는 등 많은 나라의 다양한 기업에 대한 가상자산 탈취를 꾸준히 이어오고 있다고 한다.또한, 국내 구독형 플랫폼 M 社에서 13,182명에 달하는 회원들의 개인정보가 해킹으로 유출되는 사고가 발생했다. 유출된 정보는 이메일 주소와 암호화된 전화번호 및 비밀번호이며, 회원마다 유출된 정보는 다른 것으로 밝혀졌다.7월에는 서비스 및 의료업 등 국내 기업을 타깃으로 한 귀신(GWISIN) 랜섬웨어의 공격이 성행했다. 국내 기업 맞춤형 공격을 하는 귀신(GWISIN) 랜섬웨어는 국내 기업 내부에서 사용하는 통합 관리 솔루션을 악용하거나 국내의 보안 정책, 보안 솔루션 취약점을 악용하는 등 국내 보안 현황에 대한 인식이 뛰어난 것으로 파악된다. 또한 랜섬웨어 복호화, 중요 정보 유출 및 추가 공격 협박을 하는 등 3 중 협박을 통해 피해를 증가시키고 있으며, 고도화된 탐지 회피 등 지능적으로 변화하고 있다.이 외에도, 국내 의료 기관에서 사용 중인 영상 정보 관리 시스템, PACS(Picture Archiving and Communication System)의 취약한 서버를 대상으로 한 공격이 발견되었다. PACS는 다양한 의료 장비로부터 받은 환자의 진료 영상 정보를 디지털로 관리 및 전송하는 시스템으로 현재 많은 병원에서 사용 중이다. 공격자는 취약한 PACS서버를 대상으로 악성코드를 유포하는 공격을 감행했다. 많은 병원에서 널리 사용되고 있는 만큼, 취약한 버전을 사용하고 있다면 최신 버전으로 패치해야 하며 보안 솔루션을 설치해 안전하게 관리해야 한다.9월에는 서비스형 랜섬웨어(RaaS)인 LockBit 3.0이 국내 대기업 S社에서 탈취한 2TB 가량의 자료를 자신들의 홈페이지에 업로드하는 사건이 발생했다. 탈취한 데이터인 S 社 임직원 PC의 폴더 캡처, 품의문 등 내부 문서를 자신들의 홈페이지에 공개했으며, 이 파일들은 다운로드도 가능했다. LockBit 3.0 은 2022 년 가장 많은 활동을 하며 피해를 입힌 랜섬웨어로, 북한과 관련 있는 것으로 알려진 비너스락커(VenusLocker) 랜섬웨어 그룹이 사용하는 것으로 알려져 있다. 최근에는 입사지원서를 위장한 한글(HWP) 파일의 형태로 유포되 있어 개인 및 기업의 각별한 주의가 요구된다.또한, 서비스형 피싱 공격 플랫폼인 ‘Caffeine’이 발견되었다. Caffeine 은 다크웹을 통해 활발히 거래되었으며, 서비스형 피싱 공격을 제공하는 플랫폼으로 PhaaS(Phishing-as-aService)라고 불린다. 직관적인 인터페이스를 가지고 있으며 정교한 수법을 사용하여 맞춤형 피싱 키트를 제작할 수 있다. 누구나 검색 엔진을 통해 쉽게 접근 가능하며, 서비스 이용에 이메일만 요구되고 있어 피싱에 대한 진입 장벽이 낮아지고 있음을 알 수 있다.11월에는 국내 최대 포털사이트의 인기 블로그 계정 500여 개를 해킹하여 판매한 일당이 검거되었다. 이들은 메일의 도메인 주소를 일부 변경한 후 사용자에게 해당 포털 사이트를 사칭하는 피싱 메일을 전송해 인기 블로그 사용자의 비밀번호를 탈취했다. 탈취한 계정을 1개당 1,000 ~ 1,500만 원에 마케팅 업자에게 판매해 2억 원의 범죄 수익금을 획득한 것으로 알려졌다. 이외에도 나라사랑 포털에서 로그인 정보를 비롯한 사용자의 웹 브라우저 정보, 웹캠을 통해 촬영한 사용자의 사진 등 개인정보 1,000여 건이 유출되어 다크웹을 통해 거래되는 사건도 있었다. 해커가 탈취한 중요정보가 일정 금액으로 판매되거나, 다크웹을 통해 활발히 거래되고 있는 것을 알 수 있다.또한, 최근 불특정 다수를 대상으로 울진 산불, 코로나 19, 국내 K 社 서비스 장애 등 사회적 이슈를 악용한 해킹 메일 및 피싱 공격이 활발히 일어났다. 특히 지난 10월 국내 기업 K 社의 서비스 장애 사태를 악용하는 공격이 발생했다. 북한 업계 종사자 및 탈북민을 대상으로 발생했으며, K 社에서 배포하는 업데이트 설치 파일로 위장해 악성 프로그램 설치를 유도하는 형태로 이루어졌다. 기존의 피싱 공격보다 더 많은 대상을 타깃으로 하여 성공률을 높이기 위해 사회적 이슈를 악용하는 사례가 점차 증가하고 있기 때문에 개인 및 기업의 주의가 요구된다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2022 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
편리한 만큼 취약할 수 있다! 안전한 개발 환경을 위한 오픈소스 보안 꿀팁
소프트웨어 프로그램 개발 과정에서 누구나 자유롭게 확인, 수정, 배포할 수 있어 많은 개발자들에게 유용한 도구 역할을 하고 있는 오픈소스. 편리한 만큼 보안에 취약해 몇 가지 주의해야 할 점들이 있는데요. 오픈소스와 관련된 보안 꿀팁을 보안툰으로 알아보겠습니다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.2점 / 30명 참여