수달정보보호

오늘 8월 12일부터 22일까지 KISA가 국내 기업 등을 대상으로 사이버 위기 대응 모의훈련과 대국민 보안수칙 홍보를 시작한다. 을지라는 단어를 군대에서만 보다가 오래간만에 보니 괜히 반갑다. 사이버 위기 대응 모의훈련은 118개 기업 26,828명의 임직원이 참여 의사를 밝혔다고 한다. 훈련 내용으로는 ① 해킹 메일 대응 ② DDoS 공격 및 대응 점검 ③ 주요 취약점 공격에 대한 탐지 · 대응 능력 점검으로, 결과에 따라 조치안을 받아볼 수 있다. 너무나 통상적인 훈련이면서, 그러면서도 너무나 필요한 훈련이기도 하다. 컨설팅을 하면서 느낀 게 하나 있는데, 사업 내용에 모의해킹 같은 훈련 및 교육 내용이 있다고 한들, 실질적으로 하기 어렵다는 것이다. 예를 들어, NAVER에서 보낸 것처럼 가장을 ..

국정원이 사이버 안보를 위해 추진하는 정책 4가지에 대해 알아보도록 한다. 1. 국가망 보안 정책국가망 보안 정책에 변화가 필요하다는 목소리는 지속적으로 존재했다. AI, 빅데이터를 비롯한 신기술이 도입되면서 공공데이터의 할용 필요성이 증가했기 때문이다. 이에 국정원은 업무 중요도에 따른 보안체계를 차등 적용하는 '다층 보안체계'를 목표로 개선할 방침이라고 한다. 업무의 중요도에 따라 기밀성(C), 민감성(S), 공개성(O) 등급으로 분류가 될 것이라고 한다. 기밀성은 안보·국방·외교·수사 등의 기밀정보, 국민생활, 생명·안전과 직결된 정보이고, 민감성은 민감정보 등으로 해킹 차단 대책을 강구해야 할 정보이며, 공개성은 비식별화된 민감정보·행정정보 및 기타 공개정보 등의 기준으로 분류할 것이라고 한다. ..

사이버 공격자들이 취약점의 개념 증명용 익스플로잇이 공개된 후 이를 무기로 전환시키는 데 걸리는 시간이 빠르면 22분에 불과하다고 한다. CVE를 부여하고 따로 관리하는 취약점들이 사실상 공개가 되자마자 공격에 활용될 수 있다는 것이다. 즉, 이 상징적인 시간 22분만에 각 기업의 담당자들이 방어를 실시하지 않으면, 이는 실질적인 제로데이 공격이 되는 것이다. 아래의 취약점들이 특히 공격자들 사이에서 인기가 높았는데, 물론 이것에만 집중해서는 안 된다.  1) CVE-2023-50164 : 아파치(Apache) 소프트웨어 2) CVE-2022-33891 : 아파치 소프트웨어 3) CVE-2023-29298 : 콜드퓨전(Coldfusion) 4) CVE-2023-38203 : 콜드퓨전 5) CVE-2023..

차세대 이동통신인 6G는 5세대 이동통신인 5G의 다음 기술로, 2029, 2030년 즈음에 상용화될 것으로 예상되는 기술이다. 6G는 ① 위성 통신 시스템 도입 ② 1테라비트급 전송속도 ③ 더욱 짧아진 레이턴시 ④ 더욱 넓어진 서비스 거리 ⑤ 높은 신뢰성의 특징을 지닐 것으로 보인다.  그리고 언제나 신기술이 등장하면 그에 따른 위협, 위험도 찾아오기 마련이다. 순천향대학교 염흥열 교수는 국제 정보보호 컨퍼런스를 통해 6G AI/ML 위협 및 공격 유형 7가지로 ① API 기반 공격 ② 포이즈닝 공격 ③ 모델 회피 공격 ④ 물리 계층 공격 ⑤ 모델 인버전 공격 ⑥ AI 미들웨어 공격 ⑦ 모델 도난 공격을 선정했다. 그리고 이 7가지를 방어하기 위한 보안 이슈로는 가시성, 윤리성, 윤리적/법적 제도 확보..

가상자산 추적도구 개발기업 TRM Labs의 분석 보고서에 따르면, 해커들이 24년 1월 1일부터 6월 24일까지 총 13억 8천만 달러, 한화로 약 1조 9,100억에 달하는 금액을 훔쳤다고 한다. 이는 지난해 상반기 피해액인 9,100억에 비하면 2.1배 가량 증가한 수치다. 규모는 커졌으나, 작년과 공격의 양상은 비슷했다. 공격의 다수를 차지한 것은 소수 공격자의 대규모 공격이었다. 상위 5개 해킹 그룹의 공격과 익스플로잇 공격으로 인해 도난당한 금액이 전체의 70% 정도를 차지하니 말이다. 일본의 암호화폐 거래소 DMM 비트코인은 올해 5월 전세계적으로 가장 큰 사이버 공격을 받았는데, 4,500개의 BTC를 도난당했다고 한다. 현재 기준으로 3,550억 가량의 피해가 발생한 것이다. 이 공격의 ..

새 봇넷 멀웨어가 등장했다. 저그에카(Zergeca)라는 멀웨어로, Go 언어로 작성되었으며, DDoS 공격을 위해 만들어진 것으로 의심되고 있다. 이 멀웨어의 C&C 서버에는 ootheca라는 문자열이 있는 것으로 밝혀졌는데, ootheca는 곤충의 알주머니를 뜻한다. 사실 나도 저그에카라는 단어를 보자마자 스타크래프트..? 하고 해당 게임을 떠올렸는데, 실제 거기에서 이름을 따왔다고 한다. Zerg + ootheca = Zergeca인 것이다. 이 저그에카는 단순 DDoS 봇넷이라고 치부할 수 없다. 기존 봇넷 멀웨어들이 지니고 있지 않은 기능들을 포함하고 있기 때문이다. ① 6가지 유형의 DDoS 공격(http 플러드, 신플러드, 액플러드, 푸시플러드, 레스트플러드, 푸시OVH플러드) ② 프록시 ③..

최근 10년 간 사이버공격에서 빼놓을 수 없는 것들이 바로 랜섬웨어와 APT다. 우리는 그것을 각각 조심해야 하는 치명적인 공격으로 간주하고 있다. 그런데 그것들이 이제는 하나로 더해져서 위협으로 찾아오고 있다. 그러니까 APT 공격을 하는 단체가 일부러 랜섬웨어로 가장을 실시하는 것인데, APT 공격을 실시하면서, 공격이 들키면 랜섬웨어인 것처럼 하는 것이다. 그렇게 되면 피해자는 '아 랜섬웨어구나' 하면서 랜섬웨어 공격에 따른 회사의 대응 지침을 따를 것이다. 랜섬웨어가 워낙 유명한 공격이기도 하니 돈을 줘서 해결해야겠구나 하는 생각으로 끝날 수 있을 것이다. 그런데 랜섬웨어는 그저 가면일 뿐인 것이다. 공격자들의 진의는 정보 탈취이기 때문에 랜섬웨어로 가장하여 시간을 벌면서 계속 정보 탈취를 시도하..

최근 카카오톡에서 다른 이용자 계정을 탈취하여 그간 주고받은 메시지를 확인할 수 있는 보안 취약점이 발견돼 패치가 이뤄졌다. 그런데, 그 취약점을 발견한 사람이 한국인이 아니라는 이유로 보상을 받지 못했다고 한다. D. Schmidt라는 보안연구원은 원클릭 익스플로잇을 발견했고, 이는 카카오톡 10.4.3 버전의 딥링크 유효성 검사 문제로 인해 원격 공격자가 웹뷰에서 임의의 자바스크립트를 실행, HTTP 요청 헤더의 엑세스 토큰을 유출할 수 있는 문제였다. 이 토큰을 공격자의 기기에 등록함으로써 다른 계정을 탈취하여 채팅을 확인할 수 있던 것이었다. 이 취약점은 CVE-2023-51219로 지정됐다. D. Schmidt는 2023년 12월에 개최한 버그바운티에서 해당 취약점을 발견해 신고했고, 카카오톡은..

보안 담당자들의 관심사는 언제나 핵심적인 것 하나가 있다. 무언가의 합격을 위한 보안, 인증을 위한 인증에서 벗어나, 실질적인 보안 강화를 꿈꾸는 것이다. A인증에서 100점으로 합격하고 사고 1번 발생하는 것보다는 A인증에서 80점을 받는다 해도 사고가 발생하지 않는 것이 좋은 건 당연지사다. 사실 많은 담당자들은 진단을 맡겼을 때 점수가 너무 높은 걸 꺼리기도 한다. 아무튼 각설하고, 담당자들은 사건사고를 0으로 줄이기 위한, 실제 환경에서 적용 가능한 방안을 원하는데, 그렇다면 담당자가 알아야 할 것 4가지는 무엇이 있을까?1. 제로트러스트몇 년 전부터 꾸준히 어디서나 들을 수 있는 용어고, 앞으로도 계속 들어야 할 용어다. 대한민국 주도로 제로트러스트가 25년~28년 동안 연구될 예정이며, 연구를..

이른바 씨습이라 불리는, CISSP 국제 공인 정보시스템 보안전문가 자격 시험이 한국에서 철수했다고 한다. 이유는 간단다하다. 응시율이 낮으니, 수익성이 떨어지는 사업인 것이다. 이제 CISSP 응시를 하기 위해서는 가까운 일본으로 가야 한다. 근데 뭐.. 사실 이런 자격증이 흔치 않은 건 아니다. 당장 해킹 쪽에선 시험을 응시하기 위해 일정 단계가 되면 캘리포니아로 가야만 하기도 하는 상황도 있고.. 하니 말이다. 그나저나 씨습도 언젠가는 응시를 해야겠구나 생각만 하던 찰나에 이런 상황이 벌어졌다. 자격증을 그렇게나 좋아하는 한국인들이 씨습에 대한 의지가 떨어지는 건 사실 간단하다. Associate를 딸 수 있다고 할지언정, 응시료부터 수십만원이니 부담스러운 것이다. 유지 비용도 내야 하고 말이다. ..