반응형
SMALL

'보안동향'에 해당되는 글 7건

반응형
LIST
반응형
SMALL

보안 및 소프트웨어(SW) 기업들이 사물인터넷(IoT)을 새로운 먹거리로 삼고 있다.

시장조사업체 IDC에 따르면 IoT 산업은 2020년을 기점으로 폭발적으로 성장할 전망이다. IoT 모바일 기기만 150억개에 달할 것으로 예상된다고 한다. 실제로 가전제품을 인터넷과 연결해 모니터링하고 제어하는 '스마트 홈', 공장 설비에 센서를 부착하고 데이터를 수집해 공정의 효율화를 높이는 '스마트 팩토리' 등 IoT 환경이 급속히 확대되고 있다. 



보안 및 SW기업들도 이를 겨냥 IoT 시장에 잇달아 진출하는 등 본격적인 사업화로 신성장 동력 마련에 적극적으로 나서고 있다.


◆보안·SW 기업들 "올해 IoT 사업 본격 추진"

펜타시큐리티는 올해 IoT 사업부를 신설하고 IoT 보안 사업을 본격적으로 추진하고 나섰다. 앞서 IoT융합보안연구소에서 8년여간 관련 기술 연구 개발에 매진했다.
그 결과 지난 2015년 스마트카 보안 솔루션 '아우토크립트'를 출시했으며, 최근 스마트 팩토리 보안 솔루션 '펜타 스마트 팩토리 시큐리티'를 선보였다. IoT 보안은 크게 4가지 영역(기기, 게이트웨이, 서버, 인프라)으로 이뤄져 있는데, 4가지 영역에서의 보안 항목을 준수하고 구축 사례를 만들어가고 있다. 앞으로 펜타시큐리티는 스마트미터링(AMI)보안, 스마트 홈 등으로 IoT 보안 사업을 확대 추진한다. 이를 위해 관련 산업 분야 전문 기업들과 파트너십을 확대하고 산업에 특화된 보안을 제공한다는 목표다.



김덕수 펜타시큐리티 전무는 "IoT 보안은 통신환경에서 네트워크 공격을 방어하고 안전한 인증수단을 제공하는 등 기술에 있어 공통점이 많지만, 각 산업 분야에 특화된 이해가 필요하다"며 "기존 파트너 업체 외에 각 산업 분야 전문 기업과 파트너십을 확대하고 차별화된 보안 서비스를 제공할 것"이라고 말했다. IT 서비스 모니터링 분야에 전문성을 지닌 엔키아는 IoT 사업과 관련해 올해 스마트 팩토리 사업에 드라이브를 건다. 이를 위해 연구개발(R&D) 연구소에서 기술 개발에 집중해왔으며, 최근 산업용 IoT 데이터 시각화 프레임워크 '폴스타 IIoT'를 선보였다. 폴스타 IIoT는 산업 IoT 데이터를 실시간으로 수집하고 머신러닝 기반 엔진으로 처리·분석한다. 이를 통해 산업 데이터가 지닌 이슈를 분석하고 대시보드를 통해 사용자가 상황을 직관적으로 파악할 수 있도록 돕는다. 빅데이터 분석 등으로 장애 예측도 지원한다. SGA임베디드는 IoT 유관 사업으로 스마트택배 사업, 초미세먼지·온습도 측정 사업을 추진한다. 또한 판매시점관리시스템(POS), 현금인출기(ATM) 등 임베디드 전용기기의 보안을 강화하는 보안 솔루션도 제공한다. 스마트택배는 IoT 기술을 활용해 스마트폰으로 택배함에 물건을 맡기고 찾아가는 무인택배 중계서비스를 말한다. SGA임베디드는 스마트택배함을 제작해 판매 또는 임대하고, 모바일 애플리케이션(앱)과 연동된 서비스를 제공한다. 센서로 초미세먼지·온습도를 측정하고 데이터를 분석해 경보 알람 서비스 등을 제공하는 '에어프로'를 지난해 출시했으며, 현재 경상도 지역 교육기관 20여곳을 대상으로 서비스하고 있다.  그룹사의 보안 기반 기술을 활용해 특수목적 기기 내에서 허락된 앱만 실행되도록 하는 임베디드 시스템 전용 보안 솔루션 'IES(IoT & Embedded Security)'도 제공하고 있다.


<출저: 네이버 보안 뉴스>



반응형
LIST
블로그 이미지

만년필석사

,
반응형
SMALL

1. 또 다시 등장한 스파이멜 바이러스 

<사진출저: 보안뉴스>



14년쯤엔가 한번 유행했던 트로이목마종류 바이러스인데 17년 1월에 또 다시 나타났다. 해커들은 윈도우 os를 공격하기 위해 이메일에다 악성스크립트 파일을 첨부해서 보낸다. 사용자들은 아무생각없이 열어볼 수 있고 파일을 다운받자마자 윈도우 os에 삽시간에 퍼져 작업관리자 프로세스 관리도구등의 어플리케이션을 탐지한다. 더 재밌는 사실은 스파이멜 바이러스는 알약등과 같은 악성코드를 잡아낼 수 있는 앱이 실행되지 못하도록 막는다. 한마디로 보안프로그램 자체를 동작 못하게 해서 정보를 빼낸다는 이야기다. 어플리케이션을 탐지하는 과정에서 인증서등을 탈취해서 마치 '합법적인'소프트웨어인거마냥 둔갑하는 바이러스가 바로 스파이멜 바이러스이다. 이런식으로 악성코드에 대항하는 앱이 실행되지 못하게 만들어 놓고 인증서를 탈취하고 C&C서버와 통신하면서 사용자의 정보, 하고있는 활동등을 전송시킨다.


2. 스파이멜 바이러스의 위협


앞서서도 말했지만 스파이멜 바이러스의 특징은 바로 인증서를 탈취한다는 것이다. 특히 디지털인증서를 노리는데 디지털인증서만 탈취하게 되면 굳이 보안프로그램을 우회하는 기법을 개발하지 않고도 쉽게쉽게 사용자컴퓨터에 접근할 수 있다. 스파이멜이 갖추고 있는 인증서는 SBO 인베스트(SBO Invest)라는 기관에서 발행한 인증서인데 SBO인베스트도 이와 같은 스파이멜 바이러스때문에 주기적으로 업데이트 작업을 해주면서 예방하려고는 노력하는데 스파이멜 해커들도 이에 대응해서 계속 업데이트를 하면서 SBO 인베스트의 또 다른 인증서를 탈취해 사용한다. 인증서의 취약점을 노려 인증서를 탈취해서 사용자 정보를 빼내면 비용도 저렴하고 시간도 절약되서 많은 해커들이 스파이멜바이러스를 만들어 사용하고 있다. 인증서를 발급할때 철저한 절차대로 해야하지만 그렇지 못하기 때문에도 이와 같이 취약점을 노려 가짜인증서를 만들거나 합법적인 인증서를 훔쳐가지고 사용자 정보를 빼내 전송시킬 수 있는 것이다. 공인인증서에 대한 철저한 보안과 발급절차의 강화가 필요한 시점인 것 같다. 


반응형
LIST
블로그 이미지

만년필석사

,
반응형
SMALL



1. 미라이 바이러스?


이스트시큐리티가 국내 최초로 IOT(사물인터넷)을 좀비로 만드는 DDOS 트로이목마 미라이 바이러스를 발견했다. IOT가 보안이 취약하다는 점을 악용해서 미라이 바이러스를 유포해 좀비로 만든 것이다. 이렇게 좀비로 만들어서 DDOS 공격자원으로 쓴다. 실제로 해외 도메인 서비스 업체 "딘"을 공격해서 미국 동부지역 인터넷을 전부 마비시켜버릴 정도로 무서운 바이러스였다. 일부 디바이스는 치료는 되는데 대다수의 디바이스는 감염된상태로 남게 되고 영구적인 감염 디바이스로 남게 된다. 감염을 치료한 디바이스라 해도 다른 감염된 디바이스에 대해 면역상태가 됐다고 볼수도 없다. 감염된 디바이스들이 감염을 제거하기 위해 업데이트를 해주지 않고 방치되서 그대로 남아있는 상황이 빈번하기 때문에 정말 심각한 문제다. 이를 신경쓰는 사람들도 없어 그 유포는 더욱 빠르게 확산되고 있다.


2. 미라이바이러스의 예방책은 없는 것일까?


이렇게 되면 처음부터 감염이 안되는게 중요한데 몇가지 예방 방책이 있다. 피해 예방을 위해 제시한 첫 번째 방법은 ‘명령 및 제어 서버 제거’다. 미라이의 약점은 새롭게 감염된 디바이스가 명령 및 제어 서버를 통해 등록한 뒤 지침을 다운로드 해야 한다는 점에 있다. 감염된 디바이스가 아니라 감염된 서버를 필요로 하므로, 명령 및 제어 서버를 제거하면 바이러스의 확산을 제한할 수 있다. 두 번째는 타깃 보호다. 최근의 IOT DDoS 공격에 대응해 한 보안 사이트는 공격을 피할 목적으로 호스팅 회사를 변경했다. DDoS 공격은 웹 서버 관리자라면 알 정도로 새로운 것이 아니고 대응방안이 있다. 이처럼 대응해 위험을 완화할 수 있다.  현재 이 바이러스는 랜섬웨어와 마찬가지로 급격하게 퍼지고 있으며 특히 웹 개발자, 웹서버 관리자에겐 각별히 이 바이러스에 대해 주의가 필요하다고 한다. 특히 IOT에 대한 보안강화가 필요한 시점이다. 


3. 디바이스의 면역력 강화를 위해 제시한 사항들


현재 우리나라 업체 윈드리버에서 디바이스 면역력 강화를 위해 제시한 사항들은 다음과 같다.


- 감염된 실행 코드로부터의 보호를 위한 안전한 부팅(Secure boot) 및 초기화

- 인증 정보와 기타 민감한 정보를 보호하기 위한 유휴 데이터 암호화

- 위조 엔드포인트와 악성 연결 시도로부터의 보호를 위한 양방향 인증

- 민감한 정보를 보호하기 위한 통신 암호화

- 권한 에스컬레이션을 방지하기 위한 OS 기능 강화

- 예상하지 못한 외부 액세스와 외부 세상으로의 연결을 차단하는 방화벽

- 인증된 변경 내용을 그대로 지원하면서 변화하는 멀웨어를 차단하기 위한 보안 업   데이트


IOT가 도래되는 시대는 어쩌면 편할수도 있지만 이렇게 바이러스에 감염되 조종당하면 인간을 공격할 수 있기때문에 무서운거다. IOT보안에 대한 인식을 좀 더 생각 할 수 있는 계기가 되었으면 좋겠다.


<사진참조: 네이버 보안 동향 뉴스>



반응형
LIST
블로그 이미지

만년필석사

,
반응형
SMALL


17년에 들어와서 랜섬웨어 주의경보가 발령됐다. 미국에서 처음 발견된 이 소프트웨어 악성코드는 전 세계로 뻗어나가고 있다. 이 바이러스에 감염되면 위와 같은 메시지가 뜨면서 컴퓨터에 있는 모든 문서가 암호화가 걸리고 해커들은 암호를 풀어준다는 대가로 돈을 요구하는 수법으로 사용자들이 많은 피해를 보고 있다. 사우디아라비아쪽에서도 랜섬웨어와 전쟁을 벌이고 있으며 우리나라도 예외는 없다. 이로 인해 당장 업무 정상화가 필요한 기업들은 해커가 요구하는 사이버머니를 지불하고 문제를 해결하는 사례도 빈번히 발생하고 있다 지금 현재로썬 딱히 치료프로그램도 없어서 더 애를 먹고 있다. 그나마 알약이 어느정도 방어를 해주고는 있는데 완벽하게 랜섬웨어를 방어해주진 못하는게 현실이다. 랜섬웨어를 이용해서 사업을 하는 사람들까지 생겨난다고 하니 문제는 더 심각하다. 


한국 벤처기업 CIDISK의 조성곤 대표가 랜섬웨어의 피해 사례에 대해 설명하고 있다.


현재 우리나라 벤처기업인 CDISK 조성곤 대표가 "중요 문서를 백업하는 방식으로 USB나 CD, DVD 등의 외장하드 이용 방법과 클라우드 저장 방식이 이용되고 있다"며"하지만, 어느 것도 백업을 하는 동안의 감염까지는 막을 수 없는 한계가 있다"고 말했다. 랜섬웨어는 치료프로그램이 개발되고 있는 중이어서 철저한 예방을 할 수 밖에 없는게 현실이다. 이어서 CDISK가 개발한 신기술을 발표했는데 스텔스영역을 활용했다는게 핵심이었다. USB나 외장하드의 디스크에 바이러스가 감지할 수 없는 스텔스 영역을 만들고, 중요 문서를 보내 저장하는 방식이다. 스텔스 영역은 바이러스가 인식할 수 없는 네임 스페이스이기 때문에 격리된 구역이고, 이 곳에서는 저장과 편집도 할 수 있다. 현재 실리콘밸리 미국 보안 전문가들도 인정하고 있는 기술이라고 한다. 하루빨리 랜섬웨어를 방어할 수 있는 프로그램이 나와 더이상 기업들이 문서암호화로 인해 피해를 보는 경우가 없으면 하는 바램이며 사용자들이 철저한 예방으로 랜섬웨어를 최대한 방어를 해야한다.


<사진출저: 네이버지식in, 한국경제>

반응형
LIST
블로그 이미지

만년필석사

,
반응형
SMALL



최근 한글문서 취약점을 이용해 정보를 탈취하는 악성코드가 유포돼 국내 사용자들의 주의가 필요하다고 했다. 이번에 발견된 한글문서 악성코드는 ‘북한민주화와 민주주의적 전략.hwp’의 파일명으로 이메일을 통해 유포됐다. 해당 문서를 열람할 경우 정보탈취 악성코드에 감염되어 PC 내의 정보들이 외부로 전송된다. 유포된 한글문서는 취약점을 이용해서 정상 프로그램인 '윈도우스크립트호스트' 프로그램을 실행시키며 이후에 해당 프로세스에 정보탈취 악성코드를 인입시키는 방식으로 동작하고 탈취돈 정보를 국내의 한 쇼핑몰 서버로 전송시킨다. 해당 악성코드는 감염된 PC의 정보 및 PC 화면을 캡처한 이미지 파일을 서버로 전송한다. 또한 추가로 악성코드를 다운로드하는 기능이 포함돼 있어 해커가 추가로 악성 행위를 수행하는 악성코드를 유포해 동작시킬 수 있다. 다행히 백신은 있어서 '바이로봇 에이피트 쉴드'를 통해 사전차단 할 수 있고 바이로봇 백신제품에서도 탐지하고 치료가 가능하다고 한다. 트로이목마바이러스 유포과정과 약간 흡사해서 함부로 이상한파일을 열지 않는게 좋을 것 같다. 16년 9월부터 17년 1월까지의 동향을 보면 이메일을 이용해서 파일을 전송시켜 악성코드를 유포하는 수법이 많이 등장하고 있는 것 같다. 공격형태도 매우 지능적이고 교묘해서 사용자들에 대한 각별한 주의가 필요할 것 같다.

<2017.01.27> 네이버 뉴스 보안 동향 참조

반응형
LIST
블로그 이미지

만년필석사

,
반응형
SMALL

이번시간엔 웜바이러스에 대해서 포스팅해보려고한다. 사실 웜바이러스는 현존하는 바이러스 중 정말 무서운 바이러스다. 컴퓨터바이러스 대부분은 자기 자신을 복제하지 못하는데 웜바이러스는 그게 가능하다. 웜바이러스 하나만 퍼뜨려도 무한증식이 가능해서 네트워크 전체로 자기자신을 복제하며 퍼져 나간다는 것이다. 


⊙ 웜바이러스 창시자 모리스 웜

로버트
지금으로부터 26년전 그는 당시 매사츄세츠 공과대학(MIT) 인공지능 연구실에 있던 'VAX서버'에 침투하려고 했다. 자신의 존재가 노출되지 않도록 MIT 내의 PC를 사용했다. MIT 시스템에 침투한 모리스웜은 해당 프로그램을 차단하지 못하도록 막는 기능을 가졌다. 해당 프로그램이 작동되지 못하도록 할 때 마다 7번씩 자신을 복제해 전파되는 구조였다.​ 모리스는 이 웜이 유포되는 것을 통제할 수 있다고 믿었으나 해당 웜이 가진 자체 버그 때문에 썬 OS 시스템 등을 포함해 많은 시스템을 마비시켰다. 그당시 모리스웜은 박사과정중인 대학원생이었다. 이러한 모리스웜의 웜바이러스는 사회적으로도 큰 파장이 일었다. 위에서 말했듯 자기증식이 가능하기 때문에 네트워크나 인터넷으로 퍼지는것이 순식간이었기 때문에 미국의 많은 네트워크와 인터넷을 마비시켰다. 결국 모리스웜은 컴퓨터 보안법위반으로 구속되서 징역 3년형을 살았다. 하지만 지금은  현재 자신이 공격했던 MIT 내 인공지능연구소(CSAIL) 소속 병렬 및 분산 운영체제(PDOS) 그룹 담당 교수로 근무 중이다. 사회적으로 파란이 많았던 사람이지만 아마 바이러스를 만드는 방법을 알기때문에 어떻게 보안을 해야하는지도 잘 알기 때문에 그런 여러가지 공로를 인정받아 지금의 교수가 되지 않았나 생각이든다. 그리고 웜의 또하나의 중요한 특징은 정상파일을 감염시키지는 않는다는 것이다. 웜은 그냥 자신을 복제해서 퍼뜨리는 역할만 한다는 것이다. 웜의 경우는 그냥 삭제만 잘해주면 큰 문제는 없다. 치료프로그램에서 웜이라고 감지된파일을 삭제를 잘해주기만 하면 큰 문제는 없을 것이다.



대표적인 웜

Win32/Blaster.worm 
Win32/IRCBot.worm 
Win32/Bagle.worm

반응형
LIST

'보안동향 > 컴퓨터 바이러스 ' 카테고리의 다른 글

트로이목마바이러스  (1) 2016.08.16
블로그 이미지

만년필석사

,
반응형
SMALL

이번 포스팅은 트로이목마바이러스에 대해 써보려고 한다. 현재 전 세계는 컴퓨터,IT가 너무나도 많이 발달해서 이것들이 없는 삶은 생각지도 못하게 되었다. 문명의 발달이 너무 빠르다고 해야할까? 산업혁명 이후 현재시대는 대부분이 IT하고 연관이 깊다. 이번에 이세돌이 알파고하고 바둑세기의 대결을 했을때도 마찬가지고 이제 로봇의 시대가 오는 길도 그렇게 크게 멀어보이지만은 않다. 이렇게 살기가 편해지고 발달한 세대여도 골칫거리들이 생기기 마련이다. 컴퓨터 하면 또하나가 뭐가 떠오르는가? 바로 컴퓨터 바이러스다. 모든게 컴퓨터로 통한다고 말해도 과언이 아닐정도로 많이 이용하고 있기때문에 그만큼 정보도 많다. 그러기때문에 호시탐탐 해커들은 바이러스를 침투시켜 정보를 빼내기 위해 안간힘을 쓴다. 제일 많이 이슈화가 되고 있는것도 바로 컴퓨터보안이다. 컴퓨터 보안이 더 발달해야 하는 이유도 다 앞서 말한 점에 있다. 그럼 트로이목마바이러스는 뭘까?





1. 트로이 목마 바이러스



그리스 트로이목마를 보면 무엇이 떠오르는가? 그리스가 트로이를 무너뜨릴때 썼었다. 그리스가 항복의 표시로 트로이에게 목마를 선물을 했고 트로이는 그를 받아들여 술에 완전히 취해서 놀던중 갑자기 목마에서 그리스 병사들이 덮쳐서 트로이를 크게 무찔렀다. 겉으로 보기에는 그냥 나무로 만든 목마처럼 보였으나 그 안엔 그리스 병사들이 숨어있었던 것이다. 컴퓨터바이러스도 마찬가지다. 트로이목마 바이러스는 아무렇지도 않게 정상인 파일인 척하면서 이메일, 다운로딩 파일등에 숨어있는다. 하지만 그 파일들은 모두 바이러스가 숨어져있다. 바로 이런 점이 유사했기 때문에 트로이목마 바이러스라고 이름이 붙여졌다. 이메일이나 이런곳에서 함부로 모르는 파일 열어보지 말라는 것도 모두 트로이목마 바이러스가 숨어져있기 때문이다. 정상파일인척하면서 몰래 사용자 컴퓨터에 들어와 모든 걸 감염시키고 망가뜨려놓는다. 이런점이 트로이목마의 무서운 점이다. 처음 80년대에는 백도어방식으로 네트워크에 접근했었다. 그 당시엔 기술도 없어 네트워크로 트로이목마 바이러스 침투 시키는건 어렵지 않은 일이었다. 하지만 90년대, 2000년대에 들어와서는 방화벽이라고 하는 프로그램도 만들어지고 여러가지 보안프로그램이 만들어지면서 점점 네트워크로 침입하기는 힘들어졌다. 그래서 해커들은 리버스커넥션 방법으로 트로이목마 바이러스를 심기 시작했다. 리버스 커넥션 방법이란 방화벽을 우회해서 공격하는 기법을 말한다. 그 전에 만들어진 보안프로그램들은(최근에 만들어진것도 좀  포함되는듯) 내부에서 외부로 인터넷접속을 시도하는 방법을 모두 통과시켜 놓게 만들어놨다고 한다. 이래서 해커들은 주로 우회해서 공격하는 기법을 많이 사용한다고 한다. 보안 프로그램을 우회하기 위한 방법도 5가지 이상이 있다. 프로세스를 강제종료시키는 방법, 보안프로그램 윈도우 비활성화 등등.. 진짜 많다. 이렇게 우회해서 공격을 하니 정말 공격대응 방법은 수도 없이 많아질 수 밖에 없는 구조이다. 그래도 요즘은 이러한 점을 알기때문에 우회하지 못하도록 하는 프로그램도 개발되고 있다는데 앞으로도 트로이목마 바이러스는 웜바이러스 같이 자기 복제가 가능한 바이러스로 진화가 될 수 있다고도 한다.  그렇게 되지 않도록 트로이목마바이러스를 막기위한 연구 활동은 계속 되어야 할 것이다.

반응형
LIST

'보안동향 > 컴퓨터 바이러스 ' 카테고리의 다른 글

웜바이러스  (0) 2016.08.23
블로그 이미지

만년필석사

,