산업부

이후섭

기자

보안 따라잡기

  • [보안 따라잡기]급여명세서인줄 알고 잘못 눌렀다간
    급여명세서인줄 알고 잘못 눌렀다간
    이후섭 기자 2020.10.17
    급여명세서로 위장한 악성 메일(자료=안랩 ASEC 블로그 캡처)[이데일리 이후섭 기자] 최근 견적의뢰, 채용 관련 문서로 위장하는 등 기업 담당자를 노린 악성 메일이 기승을 부리는 가운데 급여명세서까지 사칭한 악성코드 공격도 발견돼 각별한 주의가 요구된다.17일 안랩(053800)에 따르면 최근 급여명세서를 위장해 칵봇(QakBot)을 다운로드하는 문서 파일이 국내에 지속적으로 유포되고 있다. 뱅킹형 악성코드로 알려진 QakBot은 지난 2008년부터 존재했던 오래된 악성코드로, 올해부터 유포량이 급증해 해외에서 자주 발견됐으며 지난 8월부터는 국내 사용자를 대상으로 유포되고 있다.지난 8월 국내에서 발견된 문서에는 악성 매크로가 포함됐으며, 매크로 실행시 추가 악성 파일을 다운로드하게 된다. 해당 파일을 실행하면 `보호된 콘텐츠를 보기 위해 아래 동작을 수행하라는 내용`의 문구로 사용자의 호기심을 유발해 `매크로 사용 버튼`을 클릭하게끔 한다. 또 문구에 `휴대폰이나 태블릿에서는 보호된 문서를 볼 수 없기 때문에 데스크탑이나 노트북에서 사용하라`는 내용도 담겨있어 악성코드가 정상적으로 동작할 수 있도록 사용자를 유도하고 있다.최근에 발견된 악성 메일에서는 다운로드 방식이 기존의 비주얼 베이직 스크립트(Visual Basic Script)가 아니라 수식 매크로(Excel 4.0 Macro)를 사용하고 있다. 수식 매크로(Excel 4.0 Macro)는 문서 바이러스가 유행했던 옛날 방식이지만, 최근에 다시 유행하면서 다른 악성코드에서도 자주 사용되고 있는 방식이라는 설명이다.메일 본문에는 `급여명세서를 발송해 드리오니 첨부파일을 통해 확인하라`는 내용의 문구로 악성 파일을 내려받도록 유도하고 있다. 특히 건강보험, 국민연금 등에 관한 내용을 언급하고 있고, 명세서가 열리지 않는 경우의 처리 방식도 설명하면서 사용자를 현혹시키고 있다. 해당 메일에 속아 첨부파일을 내려받게 되면 압축파일 내부에 다운로더 기능을 가지고 있는 악성 문서가 존재한다.최근 유포되고 있는 QakBot의 공통적 특징은 정상 파일로 위장하기 위해 정상 파일 정보를 사용하고 있으며, 디지털 서명(인증서)을 사용하고 있다. 그러나 서명 이름은 무작위로 기입돼 있다. QakBot 악성코드에 감염되면 △사용자 계정 및 금융 정보 탈취 △이메일 정보 수집 △업데이트 및 모듈 다운로드 기능 △해킹도구인 미미캣츠(mimikatz) 다운로드 및 실행 △웹 브라우저 인젝션 등의 공격에 노출된다.안랩 측은 “사용자들은 출처가 불분명한 메일 열람시 주의가 필요하며 최대한 첨부 파일을 실행하지 않도록 해야 한다”고 당부했다.
  • [보안 따라잡기]추석 앞두고 울리는 해킹·스미싱 주의보
    추석 앞두고 울리는 해킹·스미싱 주의보
    이후섭 기자 2020.09.26
    과학기술정보통신부, 보건복지부, 교육부, 고용노동부, 중소벤처기업부는 4차 추가경정예산 관련 통신비, 고용지원금 지원 등을 사칭한 스미싱이 증가할 것으로 예상된다며 이용자들의 주의를 당부했다.(자료=과학기술정보통신부 제공)[이데일리 이후섭 기자] 추석 연휴를 앞두고 악성 이메일 공격이나 스미싱 문자를 주의해야 한다는 우려의 목소리가 높다. 올해 추석에는 코로나19로 인해 이동제한을 권고하는 상황이라 혼자서 추석을 보내는 `혼추족`들이 많을 것으로 예상되는 만큼 이들을 노린 사이버 공격도 기승을 부릴 전망이다. 출처가 불분명한 이메일이나 파일은 절대 열어보지 말고, 통신비·소상공인 지원 등을 사칭한 문자에 주의해야 한다는 당부다.26일 보안 업계에 따르면 올 추석연휴에는 각종 사이버 범죄 및 디지털 성범죄 등이 급증할 것으로 예상된다. 고향 방문을 자제하면서 긴 연휴를 혼자 지내기에 자연스럽게 PC나 스마트폰 이용량이 늘어날 수 밖에 없고 그만큼 위험에 노출될 가능성도 더 높아질 수 있다.◇“통신비·소상공인 지원 등 문자에 `링크`는 클릭하지 마세요”특히 직접 보지 못하는 대신 문자메시지나 메신저 등으로 안부인사를 전하는 이들이 많을 것으로 예상되는데, 가족 구성원을 사칭하거나 안부 인사로 위장한 메시지로 악성 앱 설치나 금융정보 탈취를 시도하는 공격이 많아질 것으로 우려된다.또 정부가 추석 연휴를 앞두고 통신비, 고용지원금 지원 등을 위한 문자메시지 안내에 나섰는데, 이를 위장한 스미싱 문자도 발견됐다. 스미싱(smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 악성 앱 주소가 포함된 휴대폰 문자(SMS)를 대량 전송 후 이용자가 악성 앱을 설치하거나 전화를 하도록 유도해 금융정보·개인정보 등을 탈취하는 수법이다.올 들어 지난 8월까지 스미싱 탐지 건수는 70만783건으로 전년동기대비 378% 급증했고, 코로나19 관련 긴급재난지원금을 사칭한 스미싱은 10만753건에 달했다. 최근에는 `(국세청) 2차 재난지원금 신속지급 즉시확인`이라는 내용에 악성 인터넷주소(URL)를 포함한 스미싱 문자메시지가 발견되기도 했다.이에 정부는 4차 추가경정예산 관련 지원대상이 아닌 이용자가 문자를 받은 경우는 클릭하지 말고 바로 삭제하고, 지원 대상자는 스미싱 문자인지 여부 확인 등 URL 클릭에 세심한 주의가 필요하다고 당부하고 나섰다. 과기정통부가 보내는 통신비(2만원) 지원은 16세~34세 및 65세 이상을 대상으로 하고 있으며, 아동양육한시지원은 미취학(보건복지부) 및 초·중학교 연령 아동(교육부) 670만명을 지원한다. 고용노동부는 고용유지지원금의 경우 지원 사업장 3만여개를 대상으로, 청년특별구직지원금은 저소득 미취업 청년 20만명에게 보낼 예정이다. 중소벤처기업부는 소상공인(240만명)에 새희망자금을, 폐업 소상공인(20만명)에게는 폐업점포 재도전 장려금 문자를 발송하게 된다.라바웨이브는 최근 새로운 형태의 APK파일을 사용하는 몸캠피싱 앱을 발견했다. 해당 앱의 개발업체가 다크웹에 올린 광고글(자료=라바웨이브 제공)◇카메라도 제어하는 몸캠피싱 앱 등장…“잘 모르는 파일 열지 말아야”카메라 제어, 실시간 녹음 기능까지 탑재한 몸캠피싱 앱까지 등장해 경각심을 더욱 높일 필요가 있다. 몸캠피싱은 영상채팅 과정에서 피해자의 알몸이나 신체 일부가 드러난 영상을 확보한 뒤 퍼뜨리겠다고 협박해 금품을 요구하는 범죄를 말한다. 협박범들은 영상채팅 과정에서 APK파일 같은 해킹파일을 보내 피해자가 설치하도록 하는데 ,이를 통해 필요한 연락처를 확보하고 녹화된 영상을 유포하겠다고 협박하며 금전을 요구한다. 디지털성범죄 대응 전문 기업 라바웨이브에 따르면 최근 새로운 형태의 APK파일을 사용하는 몸캠피싱 앱이 발견됐다. 해당 파일은 실행시 권한허용 선택이 아예 없고 출처를 알 수 없는 앱 설치를 비활성화해도 무시하고 설치가 된다. 또 전화번호부, 문자내역, 통화기록, 사진첩 뿐만 아니라 앞뒤 카메라 제어, 실시간 녹음, 강제발신, 발신전환 등 지금까지는 보기 힘들었던 기능마저 탑재했다. 해당 개발업체는 몸캠피싱 범죄단체들의 구매를 부추기고 있다.김태원 라바웨이브 전략기획팀장은 “몸캠피싱 피해를 당했다면 바로 경찰에 신고하고 전문 보안업체를 찾아 영상이 유포되거나 금품을 빼앗기는 피해를 막아야 한다”며 “잘 모르는 상대가 보낸 파일은 악성코드가 깔려 있을 가능성이 높기 때문에 절대로 열어보거나 깔면 안된다”고 강조했다.
  • [보안 따라잡기]지난주 가장 많이 유포된 악성코드는 무엇
    지난주 가장 많이 유포된 악성코드는 무엇
    이후섭 기자 2020.09.19
    (그래픽=안랩 블로그 캡처)[이데일리 이후섭 기자] 최근 재택근무 환경을 노린 악성메일 공격이 다시 기승을 부리고 있다. 견적 의뢰 업무를 가장한 악성메일이 유포될 뿐만 아니라 국내 유명 포털사의 고객센터를 사칭하고, 하반기 채용시즌을 노린 공격도 나오고 있다. 해당 메일에 속아 자칫 첨부파일을 실행하기라도 하면 악성코드에 감염돼 사용자 정보가 유출될 수 있다. 최근 가장 많이 유포되고 있는 악성코드는 어떤 것일까.19일 안랩(053800) 시큐리티대응센터(ASEC)에 따르면 지난주(9월 7~13일) 가장 많이 유포된 악성코드 유형은 정보탈취형(인포스틸러)으로 56.6%를 차지했다. 암호화폐 채굴(Coin Miner) 악성코드와 원격관리 툴(RAT)도 각각 22.5%, 10.4%로 집계됐다. 이어 랜섬웨어(4.0%), 다운로더 악성코드(3.5%), 뱅킹 악성코드(2.9%) 순으로 뒤를 이었다. ASEC 분석팀에서는 자동 분석시스템 `RAPIT`를 활용해 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다.정보탈취형 중에서도 `에이전트 악성코드(AgentTesla)`가 26%로 1위를 차지했다. 에이전트 악성코드는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 악성코드다. 지난 2월 전 세계적으로 코로나19가 확산되면서 세계보건기구(WHO)를 사칭한 악성메일이 유포됐고, 첨부 파일을 실행할 경우 에이전트 악성코드에 감염되는 사례가 발견됐다.지난 7월에도 `코로나19로 업무 메일을 확인할 수 없는 사람들에게 지불됐던 자금이 반송됐다`는 내용의 메일에 첨부된 파워포인트를 통해 에이전트 악성코드가 유포됐다. ASEC 분석팀은 “에이전트 악성코드는 `주간 악성코드 통계`의 5위권 안에서 꾸준히 확인될 정도로 국내에서 아주 활발히 유포 중인 악성코드”라고 설명했다.첨부된 파워포인트를 실행하면 매크로 코드가 실행되는데, 주로 기존에는 파일이 열리면 악성 기능을 수행하는 코드가 동작되던 것과 달리 이번에 발견된 악성코드는 파워포인트 파일을 종료하면 악의적인 코드가 실행되도록 만들어졌다. 파워포인트 본문에는 아무 내용도 작성돼 있지 않아 파일을 열어본 사용자가 아무 내용도 없는 것을 확인하고 파일을 종료하면 악성코드가 동작하기 때문에 감염 사실 자체를 인지하기 어렵다.에이전트 악성코드는 코로나19 이슈 뿐만 아니라 최근에는 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(Purchase Order) 등으로 위장한 악성메일을 통해서도 유포되고 있다. 첨부파일도 파워포인트 뿐만 아니라 PDF, 엑셀 파일이나 오토캐드(Auto CAD) 도면 파일로 위장한 것들도 다수 존재해 각별한 주의가 요구된다.보안업계 관계자는 “공격자는 사용자들을 미리 파악한 후 메일 내용을 그럴듯하게 꾸며 타겟팅할 수 있기 때문에 첨부된 파일을 실행하는 것을 주의해야 한다”며 “확인되지 않은 메일은 반드시 주의해야 하며 백신의 주기적인 업데이트가 필요하다”고 당부했다.
  • [보안 따라잡기]포털 고객센터까지 사칭해 노리는 내 아이디 무사할까
    포털 고객센터까지 사칭해 노리는 내 아이디 무사할까
    이후섭 기자 2020.09.12
    포털사 이메일 공지 사칭 화면과 가짜 로그인 화면.(자료=이스트시큐리티 제공)[이데일리 이후섭 기자] 언택트(비대면) 시대 각종 지능적인 수법을 통한 사이버 공격이 끊이지 않고 있다. 재택근무를 노리고 업무를 가장한 악성메일이 유포될 뿐만 아니라 국내 유명 포털사의 고객센터를 사칭해 사용자의 계정정보를 탈취하려는 시도가 이어지고 있다. 내 PC 혹은 내가 쓰고 있는 포털 등의 계정은 무사한 걸까. 12일 보안 전문기업 이스트시큐리티에 따르면 국내 유명 포털사의 고객센터가 보낸 것처럼 위장한 이메일 피싱 공격 징후를 포착했다. 이번 공격은 국내 유명 포털의 보안 서비스 중 하나인 `새로운 기기 로그인 알림 기능`이 해제됐다는 이메일 공지를 사칭하고 있다. 메일 내용에는 새로운 기기 로그인 알림 기능이 해제돼 다시 설정이 필요하다는 안내와 함께 `새로운 기기 로그인 알림 설정 바로가기` 버튼을 클릭하도록 유도하고 있다.해당 버튼을 클릭하면 안전한 사용을 위해 사용자 계정의 비밀번호를 다시 한번 입력하도록 요구하는 창이 나타나며, 이때 사용자가 스스로 계정 정보를 입력하게 되면 그 정보는 고스란히 해커에게 넘어가는 전형적인 피싱 공격이다. 이번 공격에 사용된 메일 화면은 실제 포털사에서 사용하는 고객센터 공지 이메일과 디자인이 동일해 메일 수신자가 해킹 이메일로 판단하기에 어려움이 있을 것으로 예상된다. 이스트시큐리티는 이번 공격의 배후로 특정 정부가 연계된 것으로 알려진 해킹 조직인 `탈륨(Thallium)`을 지목했다. 앞서 안랩(053800)도 견적 의뢰 메일로 위장해 사용자의 계정 정보를 노리는 악성코드 유포 사례를 발견하는 등 사용자 PC 메일·메신저, 웹 브라우저 등에 저장된 계정정보를 탈취하려는 위협에 계속 노출되고 있다. 한 보안업계 관계자는 “국내 대형 포털의 아이디, 비밀번호 뿐만 아니라 사용자 이름, 주민등록번호까지 털린 정보가 중국 보이스피싱 조직 등에 건당 2000원에 팔리고 있다는 얘기가 돌고 있을 정도”라고 말했다.그렇다면 내 아이디와 비밀번호도 이미 해킹 조직에 노출된 걸까. 사용자의 PC 혹은 스마트폰이 악성코드에 감염된 적이 없었다 해도 안심할 수 없는 상황이다. 포털 등의 로그인 목록에서 IP주소 확인을 통해 외부에서 접속했는지 여부를 간단하게 확인할 수 있다.국내 보안업체에 근무하는 한 화이트해커는 “사용자가 주로 사용하는 노트북 혹은 PC, 스마트폰으로 접속한 IP주소는 동일하게 표시되므로 이외에 새로운 IP주소가 로그인 목록에 남아있다면 의심해 볼 필요가 있다”며 “특히 IP주소에 국적도 표시되므로 중국 IP주소가 나와있다면 계정정보가 탈취됐을 확률이 높다”고 설명했다. 실제 네이버의 경우 `내정보`→`보안설정`→`로그인 관리` 탭으로 들어가 로그인 목록을 보면 로그인 기기와 로그인 IP주소를 확인할 수 있다.개인PC의 경우 과학기술정보통신부에서 무료로 원격 보안점검해주는 `내PC 돌보미` 서비스를 이용할 수 있다. 내PC 돌보미는 63명의 보안전문가가 1대 1 맞춤형으로 보안컨설팅과 다양한 보안점검 서비스를 제공해 주는 것으로, 지난 10일부터 본격 서비스가 실시됐다. △PC 운영체제(현재는 윈도우만 가능) 및 소프트웨어 보안업데이트 △백신설치 및 치료 방법 안내 △해킹 프로그램 유무 점검 및 조치 △미사용 액티브-X 제거 △안전한 암호설정 방법 안내 △백신 미탐지 악성코드(바이러스) 제거 △일반 국민이 가정에서 인터넷과 연결해 이용하는 정보통신기기(IoT 기기) 취약점 점검·조치 등의 서비스를 제공받을 수 있다. 평일(8시~22시) 뿐만 아니라 토·공휴일(9시~18시)까지 점검받을 수 있으므로 보호나라 홈페이지에 접속해 원하는 날짜와 시간을 선택해 신청하면 된다.
  • [보안 따라잡기]`이건 또 뭐야` 새롭게 등장한 北 해킹조직 탈륨
    `이건 또 뭐야` 새롭게 등장한 北 해킹조직 탈륨
    이후섭 기자 2020.09.05
    [이데일리 이후섭 기자] 최근 북한 정부를 배후로 둔 것으로 추정되는 해킹 조직의 사이버 공격이 기승을 부리는 가운데 `탈륨` 조직의 활동이 눈에 띈다. 국내 대북 대북 분야 활동가들을 대상으로 악성 메일을 유포할 뿐만 아니라 최근에는 개성공단 근무자 관계 연구, 아태지역 연구논문 투고 규정으로 사칭한 공격도 발견돼 주의가 요구된다.5일 보안 업계에 따르면 탈륨 조직은 지나해 12월 12월 미국 마이크로소프트(MS)가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직이다. 지난 8월 26일 MS는 탈륨 피고인이 출석하지 않은 공석 상태로 진행하는 궐석 재판을 요청했고, 이들이 사용한 이메일 주소에 수차례 소환장을 보냈다고 밝힌 바 있다.국내 보안 전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 탈륨 조직을 북한 배후로 추정되는 `김수키` 조직의 연장선으로 분석하고 있다. MS가 소환장을 보낸 이메일 중 일부는 이미 ESRC에서 지난해 김수키 및 코니 조직의 공격을 분석한 내용의 계정과 정확히 일치한다.탈륨 조직은 국내 방위산업체를 포함해 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 집중 공격하고 있다. 문종현 ESRC센터장은 “탈륨 조직은 거의 매일 사이버 첩보전을 수행하고 있다 해도 전혀 과언이 아닐 정도로 위협이 고조되고 있다”며 “대부분의 기관이나 기업에서 공식적으로 발표를 못하는 상황일 뿐이지, 공개되지 않은 공격은 너무 많다”고 설명했다.탈륨 조직의 지능형지속위협(APT) 공격 수법이 갈수록 다양화·고도화되는 추세이기에 보다 각별한 주의가 요구된다. 지난달에 보고된 공격 사례는 이메일 서비스 보안팀이 계정 오류 확인 요청으로 보낸 공식 내용처럼 위장했으며, 본인 확인을 유도해 암호를 탈취시도하는 수법을 활용했다.또 국내 대기업에서 제공하는 클라우드 갤러리 서비스를 사칭해 정교하게 꾸며진 악성 이메일을 특정 대북 분야 종사자에게 발송하기도 했다. 이메일 본문에는 특정 클라우드 서비스의 갤러리 사용이 확인됐다는 안내와 함께, 메일 수신자의 궁금증을 유발할 수 있도록 강조된 글씨체로 `자주 묻는 질문`을 보여준다. 해당 문구를 클릭하면 공격자가 사전에 설정해둔 악성 인터넷주소(URL)로 연결되도록 했다.이달 들어서는 개성공단 근무자 관계 연구 내용을 담은 문서와 아태지역 연구 논문 투고서류처럼 위장한 파일이 발견됐다. 지금까지 탈륨 조직은 hwp·docx 문서 파일에 악성코드를 교묘히 삽입해 이메일 첨부 파일로 전송하는 일명 `스피어 피싱` 공격 수법을 사용했으나, 이번에 새롭게 발견된 악성 파일은 EXE 실행 파일을 그대로 사용하며, 아이콘이나 파일 확장자만 문서처럼 눈속임해 파일을 실행하도록 유도하는 수법을 활용했다.ESRC는 이번 공격에 활용된 미끼 문서들과 연관된 분야의 연구원이나 종사자들이 주요 APT 표적에 노출됐을 가능성을 높게 보고 있다. 이들을 대상으로 한 공격이 앞으로도 끊이지 않으면서 공격기법이 점점 고도화될 것으로 예상돼 체계적인 대응이 필요해 보인다. ESRC는 탈륨 조직이 수행 중인 APT 캠페인을 보다 상세히 관찰 추적 중이며, 민관이 함께 공격에 대응할 수 있는 조직 체계를 갖출 필요가 있다고 강조한다.탈륨 조직이 제작한 악성파일 내부에 숨겨진 문서파일 화면(자료=이스트시큐리티 제공)
  • [보안 따라잡기]`코로나 재확산`에 다시 재택근무로…보안 주의할 점은
    `코로나 재확산`에 다시 재택근무로…보안 주의할 점은
    이후섭 기자 2020.08.29
    (자료=이스트시큐리티 제공)[이데일리 이후섭 기자] 코로나19의 2차 대유행 위험이 커지면서 정보기술(IT) 기업들을 비롯해 대다수 기업들이 다시 재택근무로 전환하고 있다. 재택근무가 일상화되는 환경에서 기업의 보안 담당자들은 어떠한 점을 점검해야 하고, 또 임직원들이 주의해야 할 점은 무엇일까.◇원격근무지침 마련하고, 30분 부재시에는 네트워크 차단 설정29일 보안 업계에 따르면 갑작스레 도입된 원격·재택근무로 인한 혼란을 막기 위해 기업은 우선 기본적인 업무에 대한 원격근무지침을 마련하는 것이 필요하다는 진단이다. 근태관리, 보고체계, 업무관리 프로세스, 응급상황 발생 대응방안 등의 기본 내용을 바탕으로 원격근무 보안 수칙을 정립해야 한다는 것이다.앞서 한국인터넷진흥원(KISA)에서 발표한 `재택근무시 지켜야 할 정보보호 6대 실천 수칙`을 참고할 필요가 있다. KISA는 보안관리자의 실천 수칙으로 △가상사설망(VPN) 사용 권장 △재택근무자 대상 보안지침 마련 및 보안인식 제고 △재택근무자의 사용자 계정 및 접근 권한 관리 △일정 시간 부재 시 네트워크 차단 △원격 접속 모니터링 강화 △개인정보, 기업정보 등 데이터 보안(랜섬웨어 감염 주의) 등을 제시했다.VPN을 이용하면 회사 내부 인트라넷이나 데이터베이스(DB) 등에 접근할 수 있어 업무의 연속성을 위해 사내 보안정책에 따른 VPN 사용을 권장하고 있다. 하지만 VPN을 이용해 사내 네트워크에 접속한 후 장시간 방치할 경우 백도어의 위험성이 있어 자리를 비우거나 업무를 종료하는 경우에는 자동으로 네트워크가 차단되도록 설정하는 것이 좋다. 보안 업계에서는 10~30분 동안 부재시에는 차단하도록 권장하고 있다.재택근무자의 디바이스 및 사용자 계정, 접근 권한도 관리해야 한다. 보안 전문업체 이스트시큐리티가 지난 7월 실시한 설문조사 결과에 따르면 원격근무 시 개인 PC 등의 개인 디바이스를 이용한다는 응답이 83%에 달하는 것으로 나타났다. 이스트시큐리티 관계자는 “개인 디바이스는 상대적으로 기업의 디바이스보다 보안에 취약한 것이 사실”이라며 “원격근무에는 기업에서 전사 보안정책을 일괄적으로 적용할 수 있도록 기업용 디바이스를 활용하는 것이 좋다”고 조언했다.◇접근권한은 최소로…DRM 등 내부 유출방지 체계도 마련해야또 개인 PC를 통해 기업의 내부망에 접근하려는 사이버 공격이 계속 발생하므로 재택근무자의 사용자 계정과 접근 권한을 상시적으로 점검하고, 업무상 굳이 필요하지 않은 경우에는 계정에 최소화된 권한을 주는 방안을 마련해야 한다. 사용자 계정의 비밀번호를 주기적으로 바꾸고, 원격근무시스템 접근시 비밀번호 이외 OTP 등 2차 인증수단을 적용할 필요도 있다. 재택근무자의 작업 파일을 내부로 반입할 경우에는 파일 검사를 통해 랜섬웨어 감염 여부를 확인하는 것이 좋다.외부 공격에 대응할 뿐만 아니라 내부 유출 방지 체계도 마련할 필요가 있다. 보안 담당자는 재택근무자의 사내 네트워크 접속 현황 관리 및 우회 접속에 대한 집중 모니터링을 실시하고, 데이터를 외부로 유출할 경우에는 관리자의 승인 절차 등을 거치도록 해야 한다. 더불어 인가되지 않은 사용자가 업무 파일을 열람하거나 외부로 반출할 수 없도록 문서암호화(DRM), 정보유출방지(DLP), 문서중앙화 솔루션 등을 활용할 필요도 있다. ◇개인 보안수칙도 철저히…“근무환경 다시 점검해 볼 필요 있어”재택근무를 실시하는 임직원 입장에서도 사용하고 있는 디바이스의 보안 업데이트와 백신 프로그램을 최신 버전으로 유지하고, 공공장소나 공용 와이파이 사용을 금지하는 등 개인 보안 수칙을 준수해야 한다. 불필요한 웹사이트 이용을 자제하고, 개인 메일 부주의로 최근 기승을 부리고 있는 랜섬웨어 공격에 노출될 수 있는 만큼 되도록이면 회사에서 제공하는 메일서비스를 사용하는 것이 좋다.보안업계 관계자는 “코로나19로 인해 업무 환경이 빠르게 변화하면서 새로운 취약점이 발생하고, 이를 노린 사이버 공격이 기승을 부리고 있는 만큼 기업에서는 재택근무 환경을 다시 한번 점검할 필요가 있다”고 당부했다.
  • [보안 따라잡기]대세는 클라우드 보안…`시장 선점` 갈길 바쁜 업계
    대세는 클라우드 보안…`시장 선점` 갈길 바쁜 업계
    이후섭 기자 2020.08.22
    (그래픽=이데일리 이동훈 기자)[이데일리 이후섭 기자] 보안 업계가 클라우드 보안 사업 확대에 열을 올리고 있다. 각자의 보안 솔루션을 클라우드 버전으로 확대해 새로운 제품을 내놓거나 다른 IT 업체와의 협력을 통해 경쟁력 강화에 나서고 있다.◇각자의 솔루션 클라우드 버전으로 확장…“중소기업 등 고객사 넓혀”22일 보안 업계에 따르면 파수(150900)는 최근 `랩소디 에코 클라우드` 서비스를 론칭했으며, 아톤(158430)도 클라우드 기반의 인증 서비스 `트러스트인(trustin)`을 선보였다. 파수는 문서공유, 협업, 버전관리, 보안을 한 곳에서 제공하는 기존의 외부 협업 플랫폼 `랩소디 에코`를 클라우드 상에서도 제공할 수 있도록 서비스를 만들었으며, 재택근무가 확산되면서 새로운 협업 툴 및 보안체계를 구축하고자 하는 기업들을 공략할 계획이다. 아톤의 트러스트인은 서비스형 소프트웨어(SaaS) 인증 서비스로, 기존에 금융기관 및 통신사에 제공한 구축형 인증 솔루션을 클라우드 서버를 활용해 서비스 제공 방식을 확장한 것이다. 별도의 시스템 구축 또는 설치가 필요 없어 중소형 기업이나 다양한 기관에서 쉽게 적용할 수 있고, 기업이 사용한 만큼 지불하는 구독형 모델이라 비용 부담을 줄이고 효율적으로 인증 체계를 구축할 수 있을 것으로 기대된다.안랩(053800)은 클라우드 보안 컨설팅 및 보안관제 서비스 사업을 잇따라 수주했다. 지난 5월 국내 대형 금융사를 대상으로 클라우드를 도입할 때 전자금융 감독규정에 따라 필수적으로 실행해야 하는 안전성 점섬 컨설팅을 완료했다. 자체 제작한 `안랩 클라우드 보안 백서`를 활용해 정보처리시스템의 보안환경을 분석하고 기술 취약점 진단 및 보안 위험분석, 점검 결과 보고서 작성 등의 서비스를 수행했다.또 지난 6월 출시한 `AWS WAF 관제서비스’를 국내 주요 방송사에 제공하기로 했다. 아마존웹서비스(AWS)에서 이용자에게 제공하는 SaaS형 웹방화벽 서비스를 안랩의 전문인력이 관리해주는 것으로, △실시간 침해 위협 분석 및 대응 △보안 정책 관리 △공격자 IP 차단 등의 서비스를 제공한다. ◇전문기업과 경쟁력 강화 `맞손`…“시장선점 경쟁 더욱 치열해질 것” 클라우드 보안 경쟁력을 강화하기 위해 아예 클라우드 전문 플랫폼과 손을 잡고 시장 확대에 나서는 기업들도 있다. 이글루시큐리티(067920)는 최근 마이크로소프트(MS) 애저(Azure) 파트너 계약을 체결하고, MS 애저 환경에 최적화된 클라우드 기반 통합보안관제(SIEM) 솔루션을 개발·공급하기로 했다. 하이브리드 및 멀티 클라우드 환경의 요구 사항을 충족하고 SaaS 형태로도 제공 가능한 SIEM 솔루션을 선보일 계획이다. 또 클라우드 환경에 대한 모니터링 및 장애·성능 관제 서비스 제공을 위한 클라우드 통합 모니터링시스템 구축도 추진한다. 이글류시큐리티의 인공지능(AI) 보안관제 솔루션을 활용해 MS 애저 고객을 위한 클라우드 보안관제 서비스 제공도 확대한다. 지니언스(263860)는 클라우드 서비스 전문기업 디딤365와 전략적 제휴를 체결하고, 시장 확대에 나섰다. 클라우드 운영 비용과 보안 이슈로 도입을 망설이는 중소기업들에게 디딤365와 같이 월 과금 형태로 사용한 만큼 지불하는 클라우드 기반 보안서비스를 제공하기로 한 것이다. 보안업계 관계자는 “대다수 업체들은 자사의 솔루션을 클라우드 기반으로 확대해 제품을 내놓고 있는 추세”라며 “클라우드 보안에 대한 고객의 니즈가 다양해지면서 앞으로 시장을 선점하기 위한 경쟁은 더욱 치열해질 것”이라고 내다봤다.
  • [보안 따라잡기]언택트시대, 새로운 성장기회 모색…`협력`이 필수다
    언택트시대, 새로운 성장기회 모색…`협력`이 필수다
    이후섭 기자 2020.08.08
    김대연(오른쪽) 윈스 대표와 남상철 SK브로드밴드 정보보호담당(CISO)이 지난 4일 100기가급 침입방지시스템(IPS) 개발 협력에 관한 양해각서(MOU)를 체결하고 기념촬영을 하고 있다.(사진=윈스 제공)[이데일리 이후섭 기자] “언택트 시대, 협력을 통해 보안산업 성장 기회를 만들어야 한다.” 지난 7월 `제9회 정보보호의 날` 기념식 행사에서 기조연설에 나선 이용환 SK인포섹 대표가 강조한 말이다. 디지털 전환으로 사이버 보안 중요성이 부각되고 있는 상황에서 보안 업계에서도 다른 업계와의 `콜라보`를 통해 각자의 사업영역을 확고히 하거나 새로운 사업을 확대하려는 추세를 보이고 있다. 보안 업계 내에서의 협력 사례도 늘어나고 있다.◇`콜라보` 확대로 사업영역 공고히…새로운 시장 선점에도 나서8일 보안 업계에 따르면 윈스(136540)는 최근 SK브로드밴드와 100G급 침입방지시스템(IPS)개발협력에 관한 양해각서(MOU)를 체결했다. 지난 2월 LG유플러스·인텔과 5세대(5G) 이동통신 보안 및 트래픽 관리를 위한 네트워크보호용 100G IPS를 국내 최초로 개발했던 윈스는 SK브로드밴드와도 IPS 처리용량을 기존 40G에서 100G급으로 늘린 차세대 보안솔루션 개발에 협력하기로 했다.윈스는 올해 상반기 공공 및 기업의 5G 이동통신망 인프라 투자확대와 일본 수출 호조 등으로 역대 최대 실적 행진을 이어가고 있다. 하반기에도 LG유플러스에 100G IPS 공급을 시작으로 다른 통신사 및 인터넷서비스공급업체(ISP)로 공급을 확대해 나갈 방침이다. 이에 더해 SK브로드밴드와도 100G IPS 개발 등 협력에 나서기로 하면서 국내 IPS 시장점유율 1위를 공고히 해 나갈 것으로 보인다.지니언스(263860)는 클라우드 서비스 전문기업 디딤365와 전략적 제휴를 체결하고, 시장 확대에 나섰다. 클라우드 운영 비용과 보안 이슈로 도입을 망설이는 중소기업들에게 디딤365와 같이 월 과금 형태로 사용한 만큼 지불하는 클라우드 기반 보안서비스를 제공하기로 한 것이다. 지니언스는 이번 제휴를 필두로 자사의 NAC 솔루션과 연계된 클라우드 매니지드 서비스 비즈니스, EDR 솔루션을 통한 클라우드 보안 서비스 영역까지 협력 범위를 확대한다는 방침이다. 정부의 디지털 뉴딜 정책에 따라 클라우드 활성화에 적극적으로 나서면서 클라우드 보안 관련 시장이 본격적으로 성장할 것으로 예상되는 만큼 시장 선점을 위한 경쟁에 나서는 것으로 보인다.망연계 전문기업 한싹시스템은 지난달 신도리코와 `망연계 보안 출력 솔루션`을 공동으로 개발 및 판매하기 위한 업무협약을 맺었다. 망연계 구간에서 출력할 파일에 대한 보안 전송을 위한 솔루션을 구축하는 것으로, 양사는 △신규 서비스 공동 개발 및 사업화 추진 △신도리코 전용 보안 출력용 망연계 어플라이언스 제품 출시 △온·오프라인 영업 채널 공유 및 공동 마케팅 진행에 합의했다. ◇보안업계 내 협력도 활발…손잡고 해외 공동 마케팅도보안 업계 내에서의 협력도 활발히 이뤄지고 있다. SK인포섹은 이스트시큐리티와 엔터프라이즈(기업)용 알약 백신 총판 계약을 체결하고, 알약 백신 솔루션을 기업 시장에 공급하고 있다. 양사는 공공, 기업, 금융 등 일정 규모 이상의 주요 기업 시장에서 제품 점유율을 확대할 수 있을 것으로 기대하고 있다. 향후 알약뿐만 아니라 위협 인텔리전스 솔루션 `쓰렛인사이드`, `알약 EDR` 등도 기업 시장에 공급할 수 있도록 협력할 방침이다.또 코로나19로 해외 진출이 어려워지면서 국내 보안기업 4곳이 손을 잡고 온라인 공동 마케팅을 추진하기도 했다. 지니언스·파수·넷앤드·소만사는 서로의 파트너사를 공유해 공동 마케팅 행사를 개최함으로써 어려운 시기 새로운 고객사 확보를 통해 동남아 시장을 확대해 나가고 있다. 향후 파트너사를 넘어 서로의 고객사 정보를 공유하고, 솔루션 통합 제안 등도 가능할 것으로 기대된다.
  • [보안 따라잡기]다시 울리는 `이모텟 주의보`…첨부파일 클릭 주의
    다시 울리는 `이모텟 주의보`…첨부파일 클릭 주의
    이후섭 기자 2020.08.01
    최근 국내에 유입된 이모텟 악성 이메일 화면(자료=이스트시큐리티 알약 블로그 캡처)[이데일리 이후섭 기자] 연초 기승을 부리다가 한동안 국내에서 자취를 감췄던 `이모텟(Emotet)` 악성코드가 최근 다시 국내에 유입돼 각별한 주의가 요구된다. 이메일에 첨부된 파일이나 본문의 인터넷주소(URL) 링크를 함부로 열어보지 말아야 한다는 조언이다. 1일 보안 전문기업 이스트시큐리티에 따르면 한동안 해외에서만 발견되고, 국내 보고가 소강상태였던 이모텟 악성메일이 지난 7월 말부터 다시 국내에 유입되고 있다.지난 2014년 유럽에서 처음 발견된 이모텟 악성코드는 주로 악성메일을 통해 사용자 PC를 감염시켜 개인의 금융정보를 탈취하는 악성코드다. 이모텟은 기존에는 뱅킹 트로이목마나 다른 악성코드를 배포하는 `배달부` 역할로 주로 사용됐지만, 2018년 상반기부터 사용자의 이메일을 훔치는 모듈을 추가해 직접 정보를 탈취해 가기 시작했다. 2018년부터 국내에서도 대량 유포되기 시작했던 이모텟 악성코드는 지난해말 극성을 부렸다. 지난해 11월 국내 유입이 전월대비 300% 이상 증가했고, 연말에는 업무 지원요청, 청구서, 견적서 등의 형태로 기업 담당자들을 노린 공격이 계속됐다. 올 들어서도 국내 이동통신사를 사칭하고, 어설픈 한국어로 작성돼 사용자의 사적인 데이터와 재무 데이터를 탈취했다며 금전적인 요구를 하는 협박 메일의 형태로 공격이 이어졌다. 코로나19가 전 세계적으로 확산되면서 코로나19 관련 안내문을 사칭한 악성메일이 유포되기도 했다. 이에 한국인터넷진흥원(KISA)은 지난 3월 아·태침해사고대응팀협의회(APCERT)와 이모텟 악성코드 유포에 대응하기 위한 국제 공동 모의훈련을 실시하기도 했다. 정상적인 기업을 사칭한 피싱 메일을 배포한 후 이모텟 악성코드 감염 여부를 확인해 대응하는 등 국가 간 핫라인 및 협력체계를 점검하는 방식의 훈련을 진행했다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근에 발견된 이모텟 악성코드도 기존 유형과 큰 차이는 없는 것으로 분석됐다. 이메일에는 영문 표현으로 첨부된 파일을 확인하도록 현혹하는 내용을 담고 있으며, 첨부된 워드 문서에는 마치 오피스365 영문 안내 내용처럼 조작된 가짜 문구를 보여주고 악성 매크로 실행을 위해 `콘텐츠 사용` 버튼을 클릭하도록 유도한다. 해당 버튼을 누를 경우 내부에 설정된 악성 매크로 코드가 작동하게 된다. 추가로 다운로드되는 악성파일 감염으로 인해 로컬 컴퓨터의 정보가 탈취되거나 여타 악성 행위가 진행될 수 있다.이모텟 악성코드로 인한 피해를 막기 위해서는 출처가 불분명한 이메일은 함부로 열어보지 말고, 검증되지 않은 파일을 실행하기 전에는 신뢰할 수 있는 백신 프로그램을 활용해 악성 여부를 확인할 필요가 있다.ESRC 측은 “악성 문서의 첫 화면에는 `러시아어` 언어가 설정된 모습을 볼 수 있어 제작자가 러시아어 환경에서 제작했을 가능성을 예상해 볼 수 있다”며 “이런 유사 위협에 피해를 입지 않도록 워드 문서가 첨부된 이메일 중에 `콘텐츠 사용` 버튼 클릭을 유도할 경우 십중팔구 악성 파일이라는 점을 명심해야 한다”고 강조했다.이모텟 악성메일에 첨부된 워드 문서 실행 후 보여지는 화면(자료=이스트시큐리티 알약 블로그 캡처)

더보기

이데일리

  • 04517 서울시 중구 통일로 92 케이지타워 18F, 19F 이데일리
  • 대표전화 02-3772-0114 I 이메일 webmaster@edaily.co.kr
  • 등록번호 서울 아 00090 I 등록일자 2005.10.25 I 발행인 곽재선 I 편집인 이익원
  • ⓒ 이데일리. All rights reserved.