'해커'에 해당되는 글 6건

  1. 2015.02.26 사물인터넷의 구글인 쇼단(Shodan) 검색엔진 (1)
  2. 2013.07.29 언론사·포털 등 40곳 관리자 계정정보 노린 악성코드 출현
  3. 2012.05.29 “타깃화된 공격의 절반 이상이 금융사기 유발”
2015.02.26 09:58

사물인터넷의 구글인 쇼단(Shodan) 검색엔진

사물인터넷의 구글인 쇼단, 취약점 노출로 인해 해커와 테러리스트의 놀이터가 되다

http://www.itworld.co.kr/news/91437



쇼단(Shodan) 검색엔진을 이용하면 백도어가 노출된 라우터, 안전하지 못한 웹캠, 기본값 비밀번호를 사용하는 산업 제어 시스템 등을 찾을 수 있다.

쇼단은 사물인터넷을 위한 '구글'이자, 해커와 테러리스트의 놀이터이며, (어쩌면) 기업들이 자신의 환경을 잠글 때 유용하게 이용할 수 있는 툴이다.

쇼단의 창업자인 존 메테리는 5년 전, 기업들에게 제품이 사용되는 장소와 방법에 대한 정보를 제공하는 시장 정보 툴(Market intelligence tool)로 이 검색엔진을 발표했다.

메테리는 "물론 실증적 데이터를 이용, 경쟁 업체의 시장 포지셔닝을 더 잘 이해할 수 있는 정보를 질의해 얻을 수도 있다"고 설명했다.

그러나 발표 이후 이 검색엔진은 '스스로의 삶'을 살기 시작했다.

이에 대해 메테리는 "보안 전문가들이 인터넷을 더 잘 이해하는데 유용한 툴이 됐다"고 말했다.

공개 웹사이트는 쇼단이 검색할 수 있는 많은 것 가운데 일부에 불과하다. 기업 고객들은 수집하는 데이터 일체에 대한 실시간 액세스를 구입할 수 있다. 예를 들어, 쇼단을 이용해 기업 내부 네트워크를 검색할 수 있다.

메테리는 "대기업에는 도급업체나 협력업체가 제대로 설정하지 못한 상태에서 온라인에 연결된 자동화 시스템이나 텔넷이 실행되는 컴퓨터들이 있다. 게다가 클라우드 컴퓨팅이 증가하면서, 인증 체계가 없어 콘텐츠가 인터넷에 유출될 수 있는 클라우드 서버가 크게 증가하고 있다"고 말했다.

기업들은 또 쇼단을 이용해 함께 사업을 할 계획을 갖고 있거나, 인수를 하고자 하는 회사의 보안을 점검할 수도 있다.

그리고 범죄자들이 이용하는 악성코드 C&C 서버(Command and Control Server)를 발견할 수도 있다. 이 작업은 통상적으로 집중적인 시간 투자가 필요한 프로세스다. 메테리는 "그러나 쇼단을 이용하면 아주 쉽게 파악할 수 있다"고 설명했다.

미국 미네아폴리스에 본사를 둔 매니지드 보안 서비스 공급업체인 넷시큐리스(Netsecuris Inc.) 대표이자 CEO 레오나르드 제이콥스는 "쇼단이 위협이 된다고 생각하지는 않는다. 우리는 쇼단을 고객들에게 유용한 도구로 활용한다. 다른 기법을 통해 발견한 것을 확인하는데 쇼단을 이용하고 있다"고 말했다.

원칙적으로, 기업은 인터넷에 노출된 장치와 시스템을 전부 파악해야 한다. 그러나 편리함을 추구하느라 이런 원칙을 무시하는 경우가 있다. 제이콥스는 "실제 사례를 보면 놀랄 것이다"고 말했다.

쇼단, 악의 축?
공격자들 또한 쇼단을 통해 특정 장비나 특정 소프트웨어를 재빨리 발견할 수 있다.
캐나다의 보안 컨설팅 업체인 택티컬 인텔리전스(Tactical Intelligence Inc.)의 파트너 쉐인 맥두갈은 "예를 들어, 해커들은 전체 인터넷을 뒤지지 않아도, 쇼단에서 특정 시그내처를 찾아 웹에 연결된 모든 퍼비(Furby)를 재빨리 발견할 수 있다"고 말했다.

바르엘은 "쇼단은 단지 취약점을 알려줄 뿐이다. 물론 해킹 공격에서 취약한 노드를 감지하는 것이 중요하다는 점에는 이견이 있을 수 없다. 그러나 해커들은 쇼단이 개발되기 훨씬 이전부터 자동화된 크롤러(Crawlers)로 이를 수행할 수 있었다"고 말했다.

또한 대다수 보안 전문가들은 취약점을 발견하고 난 이후에는 이를 숨기기보다 공개하는 것이 낫다는 점에 동의했다.

바르엘은 "취약한 시스템을 이용하는 사람들은 이런 취약점을 알 권리를 갖고 있다"고 강조했다. 그래야만 취약한 시스템을 제공한 개발업체를 교체하는 등 조치를 취할 수 있기 때문이다.

바르엘은 "상용 제품에서 발견된 취약점을 공개하는 것은 개발업체들이 이를 고치도록 유도할 수 있는 효과적인 방법이 된다"고 덧붙였다. 또한 "개발업체들이 제품의 보안 문제를 몇 달 또는 몇 년 동안 무시했다가, 공개가 되고 난 이후에야 이를 바로잡았던 사례가 많았다. 사실 해결되지 않은 취약점은 시한폭탄이나 다름없다"고 덧붙였다.

쇼단의 메테리는 "범죄자들은 이미 가용한 툴들을 보유하고 있다"고 말했다. 쇼단 웹사이트는 사용자가 계정을 등록하도록 요구하고 있다. 또한 첫 검색만 무료다.




출처 : itworld.co.kr


Trackback 0 Comment 1
  1. Favicon of https://blogger.pe.kr Tae-Ho 2015.02.27 10:37 신고 address edit & del reply

    사물인터넷 기기의 보안도 이슈가 되니 공부할게 점점 많아지네요. 이젠 임베디드 OS까지 봐야하는건지.. ^^ 정보보안기사를 1회 때 붙으셨다니.. 대단하십니다~

2013.07.29 19:40

언론사·포털 등 40곳 관리자 계정정보 노린 악성코드 출현

21개 언론사 및 포털·게임·통신 업체 등의 직원·관리자 계정 위험! 

3.20 및 6.25 사이버테러 이은 제3의 사이버테러 준비 가능성  

실제 내부망 침투까지 완료된 기업도 상당수일듯...수사 필요성 제기
  

[보안뉴스 권 준] 지상파 방송사, 유력신문사, 뉴스통신사를 포함한 21개 언론사와 포털, 쇼핑몰, 게임사, 국가기간망사업자, 통신사, 광고업체, 보안업체 등을 포함한 40개 업체의 관리자 및 내부직원의 계정정보를 노린 악성코드가 발견돼 충격을 주고 있다.


▲  해커가 지정한 언론사 및 기업 40개 업체의 관리자 및 내부망 로그인 페이지를 통해 관리자 계정정보가 유출되는 과정을 도식화한 그림. [출처 : 최상명 하우리 선행연구팀장]


이번 악성코드를 처음 발견해 추적한 최상명 하우리 선행연구팀장에 따르면 악성코드 제작자는 40개 언론사·기업의 직원 및 관리자가 악성코드에 감염될 수 있도록 광범위하게 악성코드를 유포하는 것으로 드러났다.


이를 통해 40여개 업체 직원 및 관리자가 악성코드에 감염될 경우 해당 업체의 로그인이 필요한 웹 서비스에 접속해 로그인 시 아이디 및 패스워드 정보가 해커가 준비해놓은 1차 C&C 서버로 유출되는데, 현재까지 아이디 및 패스워드 정보를 전송받는 C&C 서버가 작동 중인 것으로 알려졌다. 

40여개 직원 및 관리자가 로그인 시 계정정보를 절취하는 웹 서비스는 다음과 같다. 특히, 개인정보를 수집하기 위한 웹서비스에는 해당업체 내부에서만 접속 가능한 도메인 및 내부망 IP도 포함돼 있다.


- 내부 직원용 메일 웹서비스

- 내부 인트라넷 웹 서비스

- 웹서비스 관리자 로그인 웹 페이지

- ERP(전사적 자원관리), CRM(고객관리), SCM(공급망관리), NMS(네트워크 관리 시스템), KMS(지식관리시스템), EIP(기업정보포탈) 등과 같은 관리 솔루션 웹 페이지

- 통합보안 장비, VPN 장비, 웹로그 관리 등 보안 솔루션 관리자 웹페이지


해커조직이 노리는 40여개 업체는 크게 언론사, 광고사, 통신사, 게임사, 기간망사업자, 관리 솔루션 업체, 보안장비 솔루션 업체로 구분된다. 40여개 업체 가운데는 지상파 방송국 다수를 비롯해 유력신문사, 통신사, 대형 포털사이트, 온라인 광고업체, 게임사, 국가기간망사업자, 통신사, 쇼핑몰, 그리고  국내 대표적인 보안업체가 판매하는 보안솔루션 관리자 페이지(해당 제품을 사용하는 기업)를 망라하고 있어 더욱 심각한 상황이다.  

우선 언론사의 경우 언론사 내부정보를 수집하거나 언론사를 통해 악성코드를 유포함으로써 뉴스를 구독하는 사용자 PC를 대상으로 대규모 좀비 PC를 양산해낼 수 있다. 

또한, 광고사의 경우 온라인 신문 등 광고가 삽입되는 모든 웹페이지를 통해 대량의 악성코드를 유포할 수 있으며, 철도·통신 등 국가기간산업을 관장하는 기업의 관리자 계정이 탈취될 경우 해당 기업 침투 등으로 잠재적으로 철도사고 및 통신장애 등 심각한 사고를 유발시킬 수도 있다. 


이와 함께 전사적 자원관리 및 기업·고객관리 솔루션 업체의 경우 해당 기업에 침투해 기밀정보 및 고객정보 유출이 가능하며, 보안 솔루션 업체의 경우 보안장비 관리자 권한을 획득해 보안 솔루션을 운용 중인 기업의 보안상태를 무력화시킬 수 있어 매우 심각하다.


이번에 발견된 악성코드는 네트워크 API 후킹을 통해 특정 웹서비스 로그인 시 계정정보를 탈취하며, 루트킷 기능으로 악성코드를 은폐할 수 있는 것으로 알려졌다. 여기서 말하는 네트워크 API 후킹은 네트워크 통신을 가로채는 방법의 하나로 계정정보가 입력될때 그 내용을 해커한테도 전송하는 방법이라고 할 수 있다.

 

특히, 해당 업체의 내부 직원 및 관리자가 해당 웹페이지에 접속 시 별도의 추가 악성코드를 설치해 해당 업체의 직원임을 식별할 수 있는 정보를 2차 C&C 서버로 전송하는 것으로 나타났다. 이는 추후 해당 관리자 및 직원 PC를 통해 해당 기업 내부망 침투용으로 사용하기 위한 거점을 마련하려는 것으로 추정된다.


악성코드 제작자의 특징과 관련해 하우리 최상명 선행연구팀장은 “40개 업체의 관리자 웹 서비스를 사전에 모두 조사하여 해당 웹사이트 주소를 인지하고 있으며, 해당 업체 내부에서만 접속되는 도메인 및 내부망 IP까지 확보하고 있는 것으로 보인다”며, “상당기간 해당 업체들에 대한 조사를 수행했으며, 일부 업체는 이미 내부망 침투까지 성공한 것으로 추정된다”고 밝혔다.


덧붙여 그는 “아무래도 ERP, CRM 등과 같은 기업관리 솔루션이나 보안 솔루션 페이지의 관리자 계정이 유출되면 기업 기밀정보는 물론 2차적으로 고객정보 탈취나 해당기업 보안체계가 무력화 될 수 있다. 또한, 언론사나 광고 솔루션 업체가 당하면 대규모 악성코드 유포가 가능해서 국민 대다수 PC가 좀비 PC화돼 6.25 사이버공격과 같은 대규모 사이버테러도 다시 발생할 수 있는 등 사회혼란이 야기될 수 있다”며, “특히, 많은 국민들이 찾는 언론사와 광고 솔루션 업체에서는 긴급점검과 함께 향후 보안투자를 대폭 늘려야 한다”고 강조했다.


현재 관리자 계정정보가 타깃이 되고 있는 40여개 언론사·기업에서는 관리자나 직원 PC가 악성코드에 감염되지 않도록 대대적인 보안점검과 함께 보안패치에 각별한 주의를 기울여야 할 것으로 보인다. 

본지는 단독 입수한 40여개 언론사 및 기업 리스트를 바탕으로 경찰청 사이버테러대응센터 및 한국인터넷진흥원을 통해 이번 건에 대한 수사와 함께 대대적인 보안조치가 이루어질 수 있도록 적극 협조할 방침이다. 이와 함께 이번 사건의 진행상황에 따라 일반 국민들의 피해를 최소화하기 위해 해당 언론사 및 기업 공개를 포함한 후속기사를 준비할 예정이다.       
[권 준 기자(editor@boannews.com)]



출처 : 보안뉴스


Trackback 0 Comment 0
2012.05.29 18:57

“타깃화된 공격의 절반 이상이 금융사기 유발”

체크포인트 보안 설문조사 결과, ‘디도스·봇넷 공격’ 증가



[보안뉴스 김태형]  보안공격을 당한 기업들 중 65%가 금융사기를 목적으로 한 해커들에 의해 사업방해나 지적재산권, 영업 기밀과 같은 중요 정보유출 등의 피해를 겪은 것으로 조사됐다.

체크포인트가 발표한 ‘사이버범죄가 기업에 미치는 영향’에 따르면 기업들은 일주일 평균 66 차례의 새로운 보안 공격을 당하며 이 공격이 성공할 경우 10만 달러에서 30만 달러 상당의 피해가 발생한다고 밝혔다. 기업들에게 가장 큰 위험을 안겨준 주요 공격 유형은 ‘디도스 공격’이 꼽혔다.


최근 사이버범죄자들은 멀웨어, 봇, 기타 여러 유형의 첨단공격을 이용하여 지속적으로 증가하고 있으며 경제적 이득이나 기업운영 방해에서부터 데이터 탈취나 정치적 목적 등 다양한 이유로 기업들을 공격하고 있다.


공격 이유와 상관없이 멀웨어의 새로운 변형들이 매일 생겨나고 있으며 여러 사이트와 기업을 동시에 공격한다. 이 멀웨어 변형들은 공격의 초기 성공률과 기업 전체에 위협을 퍼뜨릴 가능성을 증가시킨다.


체크포인트코리아 우청하 지사장은 “사이버범죄자들은 더 이상 고립된 비전문가가 아니다. 그들은 잘 구성된 조직을 갖추고 있으며 공격을 실행하기 위해 기술력이 높은 해커들을 고용하기도 한다. 이렇게 고용된 많은 해커들은 공격의 성격과 지역에 따라 상당한 액수의 보수를 받는다”고 말했다.


또한 “사이버범죄는 하나의 비즈니스가 되고 있다. 요즘 거래되는 해커들의 봇 툴킷는 500달러에 불과하지만 이것은 사람들에게 큰 위험을 주며 중요한 자산의 보안을 위한 예방의 중요성을 일깨워준다”고 말했다.


이번 설문조사에 따르면, SQL 감염이 지난 2년간 발생한 기업공격 중 가장 심각한 유형으로 꼽히며 응답자 중 1/3 이상이 지능형지속위협(APT), 봇넷 감염과 디도스 공격을 당했다고 밝혔다. 타깃화된 공격들에 대한 조사에서 응답자들은 사업 방해이나 지적재산권, 영업비밀과 같은 중요정보유출 등이 공격 후에 따르는 가장 큰 피해라고 말했다.


“대부분 공격자들의 목표는 가치 있는 정보를 얻는 것이다. 오늘날에는 신용카드정보, 직원기록, 페이스북, 이메일 등이 제로데이 공격을 통해 유출되어 가상 해킹장터에서 10만 달러에서 50만 달러 사이에 사고 팔리는 등의 행태가 벌어지고 있다”고 우청하 지사장은 덧붙였다.


또한 그는 “불행하게도 사이버범죄는 비즈니스 시장이 웹2.0시대와 모바일 컴퓨팅의 정점에 서면서 점차 증가 추세를 보이고 있다. 이들은 해커들에게 커뮤니케이션 채널을 열어주고 네트워크에 접근할 수 있는 중요한 진입점을 부여하고 있다”고 말했다.


이어서 그는 “앞으로 기업들은 점차 기업 내/외부 정보를 위협하는 새롭고 값비싼 보안 위험들에 직면하게 될 것이다. 다양한 공격의 등장과 보안에 대한 기업들의 깊은 우려로 인해 우리의 보안인식이 높아진 것은 불행 중 다행이다. 전반적으로 기업 경영진들은 보안공격에 대한 깊은 우려를 보이고 있으며 보안공격의 위험을 완화시킬 기술과 교육시스템을 마련하는 등 보안 예방책 실행 계획을 가지고 있다”고 말했다.


타깃화된 공격의 주요 원인 - 사이버 공격에 대한 조사에 따르면, 응답자 중의 절반 이상인 65%가 금융 사기가 주요 원인이라고 답했다. 다음으로는 경영활동을 방해하기 위한 의도(45%), 고객 정보 탈취(45%) 등의 원인이 존재한다고 응답했다. 약 5%의 보안 공격은 정치나 이데올로기적 목적으로 발생한다고 밝혔다.


다양한 사이버범죄의 모양과 형태 - SQL 조사의 보고에 따르면, 응답자들은 지난 2년 내 심각한 보안 공격을 경험했다. 세 명 중의 한 명 이상이 지능형지속위협(35%), 봇넷 감염(33%), 디도스 공격(32%)을 당했다고 응답했다.


값비싼 타깃화된 공격 - 단독공격이나 타깃화된 공격에 당하면 평균 21만 4천 달러의 비용이 들며 독일의 응답자들은 사고 당 30만 달러 이상의 비용이 들것이라고 답했다. 브라질은 이보다 낮은 10만 달러의 비용이 발생한다고 나타났다. 이 비용은 기술이나 브랜드 회복을 위한 투자, 법정 조사와 같은 변수까지 포함한 것이다.


가장 일반적인 위협 요인들 - 기업들은 가장 위험할 수 있는 직원들의 활동으로 스마트폰이나 태블릿PC와 같은 모바일 기기의 사용이라고 만장일치로 답했으며 가장 큰 우려는 소셜네트워크나 USB와 같은 이동식 미디어에 의한 것이라고 조사됐다.


최신 보안기술에 관한 투자 - 과반수의 회사들이 방화벽이나 침입방지(IPS)와 같은 중요한 보안 장치를 보유하고 있으며 절반 이하의 회사들이 봇넷이나 지능형지속위협(APT) 퇴치를 위해 진화된 방어책을 갖추고 있다고 조사됐다. 하지만 독일이나 미국의 과반수가 넘는 기업들은 안티봇이 어플리케이션 컨트롤이나 위협 정보 시스템과 같은 더욱 정교해진 사이버 위험을 막을 수 있는 솔루션을 구축을 시작하고 있다고 답했다.


보안 교육과 인식 - 응답자 중 64%의 회사가 보안 교육과 인식에 관한 프로그램을 실시하고 있다고 답했다.


이번 ‘사이버범죄가 기업에 미치는 영향’ 조사는 미국, 캐나다, 영국, 독일, 홍콩, 브라질 에 위치한 2,618명의 IT 및 보안 전문가를 대상으로 실시되었으며 금융, 제조, 국방, 유통, 헬스, 교육 등 다양한 산업과 다양한 규모의 조직을 대상으로 진행되었다.  

[김태형 기자(boan@boannews.com)]


출처 : 보안뉴스  


Trackback 0 Comment 0