'사이버테러'에 해당되는 글 3건

  1. 2016.06.13 북한 추정 사이버테러 선제 대응…피해 막아
  2. 2014.04.04 ‘사이버 공격’ 실시간 지도 공개
  3. 2013.04.09 3.20 사이버테러 내부 침입경로 수수께끼 풀렸다!
2016.06.13 19:46

북한 추정 사이버테러 선제 대응…피해 막아

뉴스원문: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20160613155653


북한이 최근 국내 160여개사가 사용하는 전산망을 대상으로 대규모 해킹 공격을 시도했지만 SK그룹 내 IT계열사인 SK주식회사 C&C가 선제적으로 위협에 대응해 피해를 입지 않은 것으로 나타났다.

침해사고 대응팀은 수 일 내에 해당 해킹이 상용 소프트웨어인 TCO!Stream의 결함으로 발생했다는 사실을 밝혀냈다. 이를 통해 SK그룹 내 계열사 뿐 아니라 소프트웨어 일괄 설치, 제어 솔루션인TCO!Stream를 사용하는 160여개의 정부기관 및 기업의 피해를 예방했다.

이번 공격은 지난 2013년 3.20사태와 유사한 지능형 지속공격 해킹(APT, Advanced Persistent Threat)이다.

APT 공격은 해킹 패턴(악성 코드 패턴)을 바꿔가며 진행해 공격상황을 바로 알아내기가 매우 어렵다. 얼마나 빨리 파악하고 대응하느냐가 중요하다. 정상적인 루트로 들어와서 정상적인 소프트웨어의 기능을 활용한 해킹은 공격으로 탐지되지 않는다.


보안업계 전문가들은 이번 사이버 해킹 테러 방지와 관련해 APT 공격은 더욱 정교해 질 것이고 이의 대응은 점점 더 힘들어 질 것” 이라며 “이번 사례처럼 경찰의 지속적인 사이버 테러 감시와 기업의 높은 보안 대응 역량을 결합한 총체적 대응 체제를 갖춰야 한다”고 말했다

경찰이 지속적인 북한의 해킹 시도를 추적해 북한의 해킹 공격 징후를 사전에 탐지하지 못했다면 그 피해는 상상하기조차 어렵다. 지난 2013년 3.20 방송 금융 전산망 사이버테러 사건의 피해 규모는 약 8천823억원이다.



출처 : ZDNet Korea




Trackback 0 Comment 0
2014.04.04 16:27

‘사이버 공격’ 실시간 지도 공개


전세계 사이버테러를 실시간으로 본다…이색 지도 눈길

http://nownews.seoul.co.kr/news/newsView.php?id=20140403601030



한편 이 지도는 카스퍼스키가 자체 제작한 웹사이트(cybermap.kaspersky.com)를 통해 무료로 이용할 수 있다.

사진=카스퍼스키랩(http://cybermap.kaspersky.com)


Trackback 0 Comment 0
2013.04.09 10:55

3.20 사이버테러 내부 침입경로 수수께끼 풀렸다!

국내 웹 ActiveX 모듈 통해 침입...보안 취약성 여실히 드러내

최초 악성코드와 통신하는 1차 C&C 서버로 공개 웹 게시판 악용


[보안뉴스 특별취재팀] 3.20 전산망 사이버테러의 공격주체와 공격수법이 드러나면서 그간 수수께끼로 남아있던 내부 침입경로에 대한 의문점도 풀렸다.


그간에는 백신 업체가 피해기업에 제공한 백신 중앙관리 솔루션의 취약점을 통해 악성코드가 내부 직원 PC로 한꺼번에 유포됐다는 내부 유포경로만 밝혀졌을 뿐 악성코드가 어떤 방법으로 피해기업 내부에 침투했는지는 여전히 풀지 못한 숙제로 남아있었다. 



▲ 작전명 ‘Operation 1Mission’으로 명명된 3.20 전산망 사이버테러의 공격개요 및 흐름도
*이미지를 클릭하시면 더욱 상세한 버전의 그림을 볼 수 있습니다.


그러나 악성코드 전문 추적그룹인 ‘이슈메이커스랩’의 분석결과를 본지가 확인한 결과 이번에 드러난 해커조직이 피해기업의 내부 직원 PC를 감염시키는 데는 국내 특정 소프트웨어의 웹 ActiveX 모듈의 업데이트 기능을 이용해 업데이트 파일 경로를 변조시키는 방법 등을 활용했던 것으로 밝혀졌다.


일반적으로 국내에 유포되는 악성코드들은 MS의 인터넷 익스플로러, 어도비 플래시, 오라클 자바 등 주로 해외 소프트웨어의 취약점을 이용해 유포하는 것이 대부분이다. 그러나 해당조직은 오래 전부터 보안 소프트웨어를 포함해 국내의 소프트웨어를 상세히 연구·분석해 취약점을 찾아내고, 이를 악성코드 유포에 활용했던 것으로 조사됐다. 


특히, 피해기관 내부에 최초로 침투하기 위해서 주로 웹사이트 방문만으로 악성코드를 감염시킬 수 있는 ActiveX 취약점 등을 사용했다. 해당 취약점은 ActiveX의 모듈 업데이트 기능을 이용해 업데이트 파일경로를 해커가 올려놓은 악성코드 파일의 경로로 변조해 특정 웹사이트 방문시 정상파일이 아닌 악성코드 파일이 설치되도록 한 것이다. 


이후 내부 PC에서 여러 다른 PC들에게 전파하기 위해 일반 PC들에 설치된 에이전트들을 제어 및 관리하는 중앙관리 솔루션의 취약점을 이용했다. PC내 설치된 에이전트들을 업데이트하는 파일을 변조해 모든 에이전트에 악성코드를 설치하는 방법을 활용했던 것이다.


결국 해커조직은 최대한 많은 내부 직원 PC를 악성코드에 감염시켜 하드디스크를 파괴하기 위해 내부 모든 PC의 백신 업데이트 등을 제어·관리하는 중앙관리 솔루션의 취약점을 악용했던 셈이다. 

  

더욱이 악성코드에 감염된 피해기업의 내부 PC와 통신하며 명령을 내리는 역할을 한 1차 C&C(명령제어) 서버의 경우 제로보드, 그누보드, 알지보드, K보드 등의 국내 공개 웹 게시판의 취약점을 악용했던 것으로 드러났다. 


이렇듯 방송국과 금융권의 내부 PC로 악성코드가 침입된 경로가 국내 소프트웨어의 ActiveX 모듈로 드러나면서 ActiveX 모듈의 취약한 보안성 문제로 확대될 것으로 보인다. 또한, 1차 C&C 서버로 국내 공개 웹 게시판이 악용된 것으로 드러나 공개 웹게시판의 허술한 보안이 또 다시 도마 위에 오를 것으로 예상된다. 

이와 관련 이슈메이커스랩의 리더 Simon Choi 씨는 “이번 전산망 테러를 일으킨 해커조직은 이번 사건뿐만 아니라 오래 전부터 주로 국내 소프트웨어의 취약점을 속속들이 분석해 이를 악성코드 유포경로로 활용하고 있어 국내를 타깃으로 하는 최적화된 작전을 수행하고 있다”며, “이렇듯 실제 우리나라에서 사이버전을 수행하고 있는 해당조직이 있는 만큼 이들을 꾸준히 추적 및 관리할 수 있는 전문가들의 필요성이 높아지고 있으며, 그 역할을 수행하는 데 있어 이슈메이커스랩이 앞장설 것”이라고 말했다. 

[보안뉴스 특별취재팀(editor@boannews.com)]


출처 : 보안뉴스


Trackback 0 Comment 0