원본 기사

https://www.boannews.com/media/view.asp?idx=97456 

 

오래된 프로토콜 득실거리는 기업 환경, 공격자들은 즐거운 비명

기업 10곳 당 1곳에는 오래되어 취약한 프로토콜을 사용하는 장비가 존재한다는 연구 결과가 나왔다. 특히 MS의 SMB v1 프로토콜이 무시 못할 수준으로 사용되고 있다고 한다. 공격자들을 위한 침

www.boannews.com

"기업 10곳 당 1곳에는 오래되어 취약한 프로토콜을 사용하는 장비가 존재한다. 공격자들을 위한 침투 경로가 지천에 널려 있다는 것이다." 기사 中

기사에서는 SMB 프로토콜에 대해 상세히 설명하면서 해당 프로토콜을 사용하는 기업들이 많다고 언급하고 있다. 하지만 실제로 기업에서는 해당 프로토콜 이외에도 다양한 오래된 프로토콜들이 존재한다. 단적인 예로, 필자도 경험한 사례가 있었는데, 내부망이긴 하지만 윈도우XP를 사용하는 PC도 다수 존재했고, 대부분의 PC들이 서비스가 종료된 윈도우 7을 사용했다. 이는 기사에서도 언급하고 잇는데, 많은 조직들이 몇년간 취약한 프로토콜들을 제거하려고 노력해 왔지만, 내부망에서의 프로토콜들에는 상당히 무감각하다고 언급하고 있다.

또한 기사에서는 고급 해커들의 기술들에 대해서도 언급하고 있다. 그들은 누구도 다룰 수 없는 최신식 기술을 사용하는 것이 아니라, 조직 내에서 취약한 부분을 잘 찾아내기 때문이라고 하고 있는데, 워너크라이 랜섬웨어 사태에서만 봐도, 오래된 프로토콜인 SMB에서 발생했는데, 지금도 여전히 SMB는 널리 사용되고 있다.

기업 내부에서는 이보다 더 많은 프로토콜이 사용되고 있을 것이다. 그리고 그중에는 이미 취약점이 충분히 발견되었으나, 기업의 사정에 의해 업그레이드 할 수 없는 프로토콜들도 존재할 것이다. 이러한 프로토콜이 존재할 수 있다. 하지만 이를 아는 것과 모르는 것은 천지차이이다. 기업 내부에서 어떤 프로토콜이 실행되고 있는지 파악하고, 가시성을 확보하여 위험에 대비하는 것이 급선무인 것이다.

실제로 기사에서도 해당 내용을 언급하고 있다. 기업 내부에서 어떤 프로토콜이 실행되고 있는지 모르는 경우가 대다수였고, 이를 은둔의 IT라고 부르기도 했다. 오래된 프로토콜 역시 같은 맥락이라고 볼 수 있다.

기업 내부의 프로그램이 파악된다면, 파악된 정보들을 토대로 회사 내에서 꼭 필요한 프로토콜이 아닌 이상 업그레이드하거나, 프로토콜을 사용하지 않는 등의 조치가 필요하다. 하지만 회사 내에서 꼭 필요한 경우, 다른 프로토콜로 교체를 검토하거나, 보안 대책을 추가로 세우는 등의 방법을 통해 위험을 감소시킬 수도 있고, 온프레미스가 아닌 클라우드 환경을 사용하는 등 위험 전가 대책을 세울 수도 있다. 하지만 모든 위험 대책의 첫번째는 자원의 파악이다. 현재 어떤 식으로 기업의 IT 환경이 돌아가고 있는지 파악하는 것이 우선시 되어야 할 것이다.

반응형

원본기사

www.boannews.com/media/view.asp?idx=97149

 

블록체인 기반 DID 기술 적용한 디지털 신분증, 어떤 장점 있을까

우리 사회 전반에서 디지털화가 가속화되고 있다. 모바일 기기 보급이 확대되고, 인증 등과 관련한 기술이 발전하면서 이제는 단순한 쇼핑뿐만 아니라 민간 인증서를 통한 본인 확인, 모바일 카

www.boannews.com

"우리 사회 전반에서 디지털화가 가속화되고 있다. 종이나 카드 같은 실물로 가능하던 일들이 이제는 스마트폰을 통해 이뤄지고 있다." (본문 中)

기사에서 말한 것과 같이, 디지털 뉴딜 정책의 일환으로 진행되는 '디지털 신분증' 구축사업도 이와 같은 맥락이다. 실물 실분증의 분실, 위/변조 및 도용 문제 등 고질적인 문제점을 해결하고, 온/오프라인을 아우르는 신원증명 수단의 필요성에 따라 이를 추진했다. 실제로 최근 모바일 공무원증을 필두로 각종 모바일 신분증들이 운영을 시작하고 있다.

정부가 지원하고 있는 디지털 신분증 사업은 정부가 발급하여 공신력을 부여하고, 블록체인을 기반으로 하는 DID 기술을 적용하여 디지털 신분증 사용 및 검증을 수행하고 있다. 탈중앙화를 통하여 신원을 증명하고, 해당 신원증명 정보를 블록체인에 공유하여 사용 및 검증에 있어서 타인이나 기관이 개입할 수 없도록 하고 있다.

DID 개요 (출처 : 금융보안원)

DID 기술이란 분산 ID 신뢰 저장소를 통하여 운영되는 ID 서비스를 의미하는데, 기존 기관의 자체 데이터베이스, 또는 OAuth를 이용하여 타 인터넷 서비스 기업들의 데이터베이스를 사용하여 ID 서비스를 제공했다면, 이제는 블록체인을 통하여 신뢰 저장소를 구축, ID서비스를 제공하는 기술을 의미한다. 블록체인의 특성을 통하여 개인의 데이터 주권을 실현하고, 위/변조를 검증할 수 있다는 점을 이용하여 ID 서비스로의 활용성을 더욱 높이고 있다.

신기술의 도입은 양날의 검이다. 신기술의 발전에 따라 더 편한 서비스를 제공할 수도 있지만, 어떤 문제점이 발생할지는 아무도 모르는 것이다. 하지만 반대쪽 날을 잘 다스릴 수만 있다면, 검 없이 싸우는 것보다는 나을 것이다. 또다른 문제로, 양날의 검을 다스리기 위해 날을 모두 없애 버린다면 그 검을 사용하는 의미 또한 없어질 것이다.

신기술을 통해 지속적으로 개인정보 서비스도 발전해가고 있는데, 적절한 규제를 통해 안전한 서비스를 제공해야 하겠지만, 너무 과도한 제재로 인해 기술의 의미가 없어지는 것도 좋지 않은 상황일 것이다. 그 적절한 균형을 맞추는 것이 중요하다.

반응형

원본 기사

www.boannews.com/media/view.asp?idx=97016&skind=D

 

어도비, 머신러닝 기반 로그 데이터 분석 도구 오픈소스로 풀어

어도비가 보안 로그 데이터에서 이상 현상을 탐지하게 해 주는 도구를 오픈소스로 전환했다. 이 도구의 이름은 오사스(OSAS)로, 목적에 따라 개조하기도, 활용하기도 쉽다고 어도비는 설명한다.

www.boannews.com

 

어도비에서 "원스톱 어노말리 숍(One-Stop Anomaly Shop)", 줄여서 OSAS라는 오픈소수 도구를 개발하여 공개하였다. 해당 도구는 머신러닝을 기반으로 하고 있고, 데이터 셋에서 이상한 점을 발견하게 해 주는 기능을 갖고 있다. 데이터 유형별 레이블을 생성함으로써, 로그 데이터에 새로운 구조를 추가해 주는 머신러닝 도구라고 볼 수 있다.

OSAS를 사용할 경우, 특정 데이터 셋에서 어떤 변수, 또는 변수의 조합이 가장 좋은 결과를 가져다 줄 지 빠르게 알 수 있다고 기사에서 설명하고 있다. 컴퓨터 연산에서 이상 현상을 잡아내는 것과 데이터 셋의 맥락에서 이상한 이유를 밝혀내고 설명하는 것은 또 다른 의미이기 때문에, 후자의 부분에서 OSAS가 유용하게 사용될 수 있다고 설명하고 있다.

OSAS는 ELK Stack을 기반으로 만들어져 있으며, 도커 이미지를 통해 배포되고 있다. 또한 머신러닝 부분은 파이썬으로 작성되어 있다. 배포 가이드는 공식 깃허브를 통해 확인할 수 있다.(https://github.com/adobe/OSAS)

어도비 외에도 다양한 소프트웨어 개발 업체들이 머신런이 관련 도구들을 무료로 풀어나가고 있다. 이번달 초에도 마이크로소프트에서 MITRE의 ATT&CK 프레임워크를 이용하여 자사의 공격 트래픽 데이터를 결합한 머신 러닝 모델을 공개한 적이 있었는데, 이처럼 거대한 기업에서 오픈 소스 생태계에 기여하는 것은 좋은 영향력을 행사할 수 있을 것으로 보인다.

보안에서 오픈소스란 양날의 검이다. 오픈 소스 생태계를 통해 여러가지 좋은 보안 솔루션 또는 소프트웨어들을 무료로 사용할 수 있어 비용적인 측면에서 긍정적이지만, 소스가 공개되어 있는 만큼, 공격자들의 화이트박스 테스트를 통한 공격이 가능하기 때문이다. 과거에는 이러한 문제 때문에 오픈소스 기여를 잘 안하는 경우가 많았지만, 최근 보안 생태계에서도 ELK, Snort 등을 기반으로 한 오픈소스 도구들이 늘어가는 추세이다.

이러한 오픈소스 도구들이 늘어나면서, 단순히 오픈소스를 그 자체로 사용하는 것이 아니라, 여타 프로그램에 응용해서 사용하는 경우도 많이 있었는데, 최근 보안 시스템 구축 실습 과제를 진행하면서 사용했던 Wazuh도 그 중 하나이다. 해당 프로그램 역시 ELK Stack을 기반으로 운영되고 있으며, Kibana App 형태로 서버를 운영할 수 있도록 구축되어 있다.

보안도 점차 오픈소스 생태계에 적응해 나가는 만큼, 오픈소스에 대한 투자와 지원도 이루어져야 할 것이다. 단순히 사용하는 것만 아니라, 꾸준한 기여를 통해 오픈소스 생태계에서의 한 가닥으로 나아가는 것은 어떨까.

반응형

원본 기사

www.boannews.com/media/view.asp?idx=96830

 

솔라윈즈 오리온 통한 또 다른 공격자 발견! 이번엔 중국?

한 APT 그룹이 원격에서 근무하고 있는 직원인 것처럼 가장해 한 미국 조직의 네트워크에 침투하는 데 성공해 슈퍼노바(Supernova)라는 백도어를 심었다는 사실이 공개됐다. 이 공격자들이 슈퍼노

www.boannews.com

"최근 솔라윈즈 오리온 사태에 관련된 새로운 소식이 나왔다. 누군가 솔라윈즈 오리온 서버에 팀주하여 슈퍼토바라는 멀웨어를 심고 1년동안 정찰했다는 것이다. 아직 공격자는 밝혀지지ㅛ 않았는데, 중국의 스파이럴이 의심되고 있다." 기사 中

2020년 3월부터 2021년 2월까지 솔라윈즈 오리온 서버를 통해 해당 조직의 네트워크에 머무르며 정보를 빼돌렸던 사건이 있었다. 이는 누군가 솔라윈즈 오리온 서버에 슈퍼노바라는 백도어를 심어두고 1년 동안 정찰해 왔다는 것이 최근 밝혀졌으며, 공격자는 현재 비공개 상태이지만 일각에서는 중국의 스파이럴이라는 말이 나오고 있다.

이러한 문제들이 어떻게 1년 동안이나 방치되었던 것인가? 이는 결국 취약한 보안 대응 때문이다. 이번 슈퍼노바 캠페인은 고도로 표적화 된 공격이었으며, 피해 조직의 수가 적었다고 한다. 즉, APT 공격의 일환이었던 것이다. 이처럼 모든 기업들은 APT 공격의 위협에 노출되어 있다. 결국 모든 기업들이 노출되어 있지만, 그 피해를 최소화하기 위해서는 결국 보안 대책이 중요하다.

기사에서는 “하지만 이를 통해 공격자들이 다른 공격자들이 악용했던 취약점과 사건들을 적극적으로 조사해서 공격한다는 사실을 다시 한 번 알 수 있습니다. 남이 했던 것이니까 우리는 안 한다는 식의 사고방식은 찾아볼 수 없습니다.” 라고 설명하고 있고, “공동의 대응이 필요한 건 이 때문입니다. 특별히 대단한 연합체를 만들자는 게 아닙니다. 공격에 대한 정보를 서로 공유함으로써 2차, 3차 피해자를 줄이거나 막을 수 있다는 겁니다. 그들은 공격 정보를 기회로 삼는데 저희는 그러질 못해요."라고 말하고 있다. 이처럼 공격 정보에 대한 공유와 같이, 일종의 대응을 시도하는 것으로도 APT 공격에 대한 위협이 줄어들 수 있다.

또한 기사에서는 공격에 활용된 IP 주소는 총 3개였고, VPN에 접속하기 위해 정상적인 사용자 계정을 여럿 활용했는데, 이 계정들 중 다중인증 시스템으로 보호된 건 하나도 없었다고 밝혔다. 이처럼, 이중화 보안의 적용만으로도 단순하게 막을 수 있는 공격이었지만, 실패했던 것이다.

결국 보안에 대한 관심이 궁극적인 보안을 가져올 수 있다.

 

반응형

기사원문

www.boannews.com/media/view.asp?idx=96508

 

억 대 넘는 사물인터넷 장비를 위험에 노출시키는 취약점 9개 발굴

수많은 사물인터넷 장비들이 원격 코드 실행 및 디도스 공격에 노출되어 있다는 연구 결과가 나왔다. IoT 장비들에 내재되어 있는 TCP/IP 스택들에서 DNS 관련 취약점들이 다량으로 발견됐기 때문

www.boannews.com

 

"수많은 사물인터넷 장비들이 원격 코드 실행 및 디도스 공격에 노출되어 있다는 연구 결과가 나왔다. IoT 장비들에 내재되어 있는 TCP/IP 스택들에서 DNS 관련 취약점들이 다량으로 발견됐기 때문이다. 보안 업체 포스카웃(Forescout)과 제이소프(JSOF)가 공동으로 연구해 발표한 내용이다." - 기사 中...

 

4차 산업혁명 시대에 살아가면서, IoT 장비들이 증가하고 있다. IoT 장비들은 점차 우리 삶에 스며들어 가고 있고, 그 수는 점차 증가하고 있다.

따라서 사물인터넷에 발생하는 취약점은 그만큼 더 위험하다. 우리 삶에 밀접하게 다가가 있는 장비인 만큼, 프라이버시와 중요한 정보의 침해 가능성이 농후하기 때문이다. 그런 와중에 최근 포스카웃과 제이소프의 공동 연구에서, 9개의 취약점을 발견해 냈다. 이는 TCP/IP 스택 모든 부분에서 발견되고 있고, 이는 사물인터넷 생태계에서 광범위하게 사용되고 있기 때문에 문제가 심각하다고 경고했다.

해당 취약점들은 네임렉이라는 이름으로 통칭되었다. 익스플로잇에 성공할 경우, 공격자는 장비의 데이터를 훔치거나 기능을 정지시키는 공격이 가능하게 된다. 현재 다양한 분야의 기관들이 위험에 노출된 상태이고, 패치가 배포되고 있다.

하지만 사물인터넷의 특성상 패치를 적용하는 것이 어렵고, 해당 오류들을 공격자들이 얼마나 광범위하게 예측하기 어려울 수밖에 없다. 

필자는 이제는 사물인터넷이 삶에 밀접하게 다가온 만큼, 사물인터넷 장비에도 별도의 패치 관련 규정이 필요하다고 생각한다. 결국 보안은 아직까지는 규제산업이기 때문에, 아직은 규제 없이는 제조사가 성실하게 취약점을 패치하는 것이 어렵다. 결국 그 위험들은 사용자들에 전가되게 된다.

이는 곧 다시 보안 문화에 대한 생각으로 귀결된다. 단순히 보안을 규제로 보고, 투자 대비 수익이 돌아오지 않는 분야이기 때문에 투자가 줄어드는 것이다. 하지만, 보안성을 통해 해당 회사에 가져다주는 신뢰성, 보안 덕분에 유출되지 않은 정보들은 결국 수익으로 돌아오기 마련이다. 결국 기업들이 이처럼 생각하는 문화를 길러야 한다.

반응형

기사 원문

www.boannews.com/media/view.asp?idx=96296

 

다크웹에서 입소문 나고 있는 악성 문서 생성 서비스, 에터사일런트

다크웹에서 새로운 범죄 서비스가 발견됐다. 악성 마이크로소프트 워드 문서를 제작해 주는 것으로, 공격자들이 여전히 오피스 소프트웨어의 매크로를 적극 활용하고 있다는 사실을 보여준다.

www.boannews.com

 

"다크웹에서 새로 생겨 입소문이 퍼지고 있는 서비스가 있다. 악성 매크로가 심겨진 워드 문서를 만들어주는 서비스로, 효과 좋고 가격도 낮아 인기가 점점 높아지고 있다. 이건 단순히 이 서비스 하나의 문제가 아니다. 다크웹이 범죄자들이 살 만한 곳으로 변하고 있다는 뜻이다." - 기사 中...

 

기사에서는 최근 다크웹에서 발견된 새로운 범죄 서비스에 대해서 이야기하고 있다. 워드 문서를 만들어 주는 서비스인데, 내부에 매크로를 사용하여 악성 문서를 제작하는 사이트이다. 보안 업체인 인텔 471에서 해당 보고서를 발표하였다. 이 서비스의 이름은 애터사일런트라고 하는데, 도큐사인 문서인 것처럼 보이지만, 악성 매크로를 내포하거나 이미 공개된 취약점에 대한 익스플로잇이 감춰져 있는 형태로 악성 문서가 제작된다고 기사에서 밝히고 있다.

다행스럽게도 많은 조직에서 매크로를 금지하고 있지만, 이러한 서비스 성행의 이유는 결국 당하는 사람이 존재하기 때문이다. 실제로 필자가 군에서 업무를 볼 때도 사무 자동화를 위하여 VBA, VBS를 이용한 매크로 서비스를 자주 사용하였고, 만약 해당 PC에 악성 매크로 파일이 잠입한다면 거대한 문제를 일으킬 수 있었을 것이다.

하지만 이러한 자동화 도구 자체를 금지할 수는 없는 노릇이다. 해당 문제점을 어떻게 해결해야 할까? 소프트웨어 개발사 역시 해당 기능들의 약용 가능성에 대해 알고 있기 때문에 나름대로의 보안 설정을 통해 매크로 기능이 바로 실행되지 않도록 방지하고 있다. 또한, 매크로 프로그램 역시 일종의 프로그램으로 판단해야 하고, 내부에서 제작하거나 외부에서 매크로를 만들어서 들여올 경우에도 보안성 검토를 필히 받아야 한다.

기사에서는 에터사일런스가 시그니처 기반 탐지 기술을 회피할 수 있도록 다양한 변종 제작도 가능하다는 것을 언급하고 있다. 또한 해당 서비스는 사이버 범죄 산업 내에서 해킹 도구, 공격 도구가 얼마나 흔히 거래되는지를 보여주기도 한다. 따라서 사이버 범죄는 더욱 활성화 될 것이고, 이러한 상황 속에서, 보안에 대한 투자는 필수적이다.

아무리 단단한 벽을 세우더라도, 빈틈이 존재한다면 해당 빈틈을 뚫고 공격할 수 있다. 따라서 단기간의 투자가 아닌, 장기적인 관점에서 꾸준히 모니터링하고, 지속적인 관심을 보이는, 보안에 대한 새로운 문화가 정착해야 한다.

반응형

+ Recent posts