자격 증명 도용부터 취약점 활용 증가까지... 진화한 사이버 공격

IBM 엑스포스 보안연구소, ‘2020 IBM 엑스포스 위협 인텔리전스 인덱스’ 보고서 발표

작년 한 해 소프트웨어 취약점 스캐닝 및 취약점 공격 비율 30%로 전년대비 22%p 대폭 증가

2019년 자격 증명 정보 유출 건수, 전년 대비 200% 증가한 85억 건 유출

[보안뉴스 원병철 기자] 2019년 한 해 동안 기존 소프트웨어 취약점과 이미 도용된 자격 증명 정보를 활용한 사이버 범죄가 전체의 60%를 차지했다는 연구결과가 발표됐다. IBM은 연례 보고서인 IBM 엑스포스(X-Force) 보안 연구소 보고서 ‘2020 IBM 엑스포스 위협 인텔리전스 인덱스(IBM X-Force Threat Intelligence Index)’에서 이와 같이 주장했다.

IBM은 2019년 관찰된 보안사고 중 취약점 스캐닝 및 취약점 공격(exploit)은 2018년 대비 22%p 증가한 30%를 기록했다고 밝혔다. 해커는 기존에 알려진 마이크로소프트 오피스(Microsoft Office) 및 윈도우 서버(Windows Server) 메시지 블록의 오래된 취약점을 다수 활용했다. 피싱의 경우, 2018년은 전체 보안 사고의 절반을 차지한 데 비해 2019년에는 31%로 대폭 감소했다. 반대로, 소프트웨어 취약점 스캐닝 및 취약점 공격 비율은 2018년 8%에서 2019년 30%로 크게 증가했다.

​ 

지멘스, 자사 제품에서 발견된 각종 DoS 취약점 패치해

2020년 2월 정기 패치 통해 여러 가지 ‘서비스 마비’ 취약점 해결

인텔 칩과 관련된 BIOS 패치도 개발 중...곧 또 다른 업데이트 발표될 듯

[보안뉴스 문가용 기자] 지멘스가 2020년 2월 정기 패치를 실시했다. 동시에 10개가 넘는 보안 권고문을 새롭게 발표해 자사 제품에서 발견된 여러 가지 취약점들에 대해 설명하며 안전하게 사용하는 방법을 권고하기도 했다. 취약점 대부분은 ‘고위험군’에 속한다고 한다.

먼저 고위험군 서비스 마비(DoS) 취약점이 발견된 제품들은 다음과 같다.

1) SIMATIC PCS 7

2) SIMATIC WinCC

3) SIMATIC NET PC

여기서 발견된 취약점은 암호화 된 통신이 활성화 되어있을 때 발동된다고 한다. 공격자들은 특수하게 조작된 메시지를 전송함으로써 이를 익스플로잇 할 수 있다. 사용자의 개입이나 높은 권한 없이도 공격이 가능하다.

​ 

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr

 [패치 및 업데이트]
 액티브소프트 MyBuilder 보안 조치 권고

□ 개요

 o 액티브소프트社의 MyBuilder 취약점 보안 조치 권고 [1]

 o 영향 받는 버전을 사용 중인 이용자는 해결방안을 참고하여 보안 조치 권고
 

□ 설명

 o ActiveSoft社 마이빌더에서 취약한 암호화 알고리즘(RC4) 사용 시 발생할 수 있는 정보노출 취약점

□ 영향 받는 제품

 o RC4 암호화 알고리즘이 제공되는 모든 마이빌더(MyBuilder) 버전(2009, 2011, plus)

□ 해결 방안

 o 솔루션 내 암호화 방식 변경 [1]

  - MyBuilder를 사용중인 담당자는 액티브소프트의 홈페이지를 참고하여 보안 조치 적용

□ 기타 문의사항

 o 액티브소프트 고객센터 : 02-2203-7030 (Support@activesoft.co.kr)

 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

□ 참고 사이트

[1] http://www.activesoft.co.kr/bbs/bbs/board.php?bo_table=News&wr_id=151

 [최신 바이러스 정보]

Malware/Win32.Generic.C3981204

최초 발견일: 2020-02-13

종    류: 트로이목마, 트로이목마(데이터 파괴)

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​ Malware/Win32.Generic.C3981204는 파일들의 권한을 바꾼 후 암호화 한 뒤 바탕화면으로 암호화가

되었다는것을 알려주는 랜섬웨어다.

  ​

[보안TIP]

2020년 사이버 위협, ‘타깃 공격’과 ‘탐지 회피 공격’에 주목하라

[보안뉴스 원병철 기자] 2020년에는 타깃 공격과 탐지 회피 공격이 증가해 멀웨어와 랜섬웨어 공격이 각각 6%와 9% 줄어들 것이라는 내용의 보고서가 나왔다. 전 세계 100만 여개 네트워크를 보호하고 있는 보안기업 소닉월(지사장 신용훈)은 13일 ‘연간 사이버 위협 보고서’를 발표하고 특정 기업 및 소비자들을 타깃으로 하는 탐지 회피 기법의 사이버 공격이 늘어났다고 밝혔다.

빌 코너(Bill Conner) 소닉월 사장 겸 CEO는 “사이버 범죄자들은 보다 높은 정확도와 샌드박스 기술을 통해 탐지 회피 기능을 강화해 더욱 은밀한 공격을 설계·기획해 배포하는 능력을 갖게 됐다”면서, “이제 기업들은 그 어느 때보다 신속하게 위험을 감지해 대응하지 않으면, 범죄자들이 몸값으로 요구하는 협상안을 받아들일 수밖에 없는 상황에 처할 것”이라고 말했다.

신속한 대응은 사이버 위협으로 인해 시스템, 하드웨어, 운영, 브랜드 평판 등이 손상되지 않도록 하는데 가장 중요한 요소다. 클라우드 샌드박스 서비스인 ‘소닉월 캡쳐 ATP(Capture Advanced Threat Protection)’는 2019년 매일 1,200건에 이르는 총 44만여건의 변종 멀웨어를 발견했으며, 이는 퍼블릭 공개보다 2일 앞서 멀웨어 저장소에 보고된 리포트를 활용해 이루어졌다.

또한, 소닉월은 특허 출원 기술인 ‘실시간 딥 메모리검사(RTDMI)’ 기술을 사용하여 전통적인 샌드박스 기술로는 탐지하기 어려운 15만 3,000개의 변종 멀웨어를 찾아내 전체 액티브 고객 솔루션에 멀웨어 서명을 배포하고 공격을 차단했다. 2020 소닉월 사이버 위협 보고서의 주요 내용은 다음과 같다.

△사이버 범죄자의 멀웨어 접근 방법 변화: 과거 멀웨어 공격의 높은 비중을 차지했던 ‘무작위’ 전술의 빈도가 하락했다. 약한 피해자들을 겨냥하여 더 타깃화 되고 회피할 수 있는 기술이 늘어나고 있기 때문이다. 소닉월 조사 결과 99억 건의 공격이 발견됐으며, 이는 전년대비 6% 하락한 수치이다.

△피해자들에게 심각한 피해를 주는 타깃형 랜섬웨어 공격: 랜섬웨어의 총 발생 건(1억 8,790만 건)은 2019년 9% 감소했으며, 이로 인해 여러 공공기관이 마비되고, 이메일, 웹 사이트, 전화 및 디스패치 서비스까지도 심각한 피해를 입은 것으로 나타났다.

△사이버 범죄자들의 보물상자로 떠오른 사물 인터넷(IoT): 범죄자들은 지속적으로 스마트 TV, 전동 스쿠터, 스마트 스피커 등의 기기는 물론 칫솔, 냉장고, 초인종과 같은 생활 필수 기능에 랜섬웨어를 배포하고 있다. 2019년 소닉월 캡처 랩에 따르면, IoT 멀웨어 공격이 5%가 증가한 3,430만 건을 기록했다.

△지속적으로 흔들리는 크립토재킹: 암호화폐 시장의 불안정한 변화는 크립토재킹 멀웨어를 만들려는 범죄자들에 직접적인 영향을 주고 있다. 2019년 3월 코인하이브(Coinhive)의 해체는 사이버 위협의 동력을 저하시키는 데 주요 역할을 했으며, 후반기 사이버재킹 건수는 78%까지 급감했다.

△마이크로오피스 및 오피스365, PDF 문서를 타깃으로 삼는 파일리스 멀웨어: 사이버 범죄자들은 새로운 코드 난독화, 샌드박스 감지 및 우회 기술 등을 사용하여 다양한 변종을 만들어내는 한편, 전통적인 디스크 페이로드 대신 파일리스 공격을 통해 더 정교한 익스플로잇을 개발하고 있다. 멀웨어는 전 세계적으로 6% 감소했지만 소닉월 조사 결과 가장 신뢰가 높은 파일에서도 탈취를 감행하는 새로운 위협이 지속되는 것으로 나타났다. 실제로 마이크로소프트 오피스(20.3%)와 PDF(17.4%)는 ‘캡처ATP’에서 감지한 새로운 위협의 38%를 차지한다.

△어디에나 만연하는 암호화된 위협: 사이버 범죄자들은 HTTPs 트래픽을 통해 전송된 공격을 탐지, 검사 및 완화할 수 있는 기능이나 처리능력이 없는 방화벽 등의 전통적인 보안 통제 표준을 우회할 수 있는 암호화된 위협을 사용하고 있다. TLS/SSL 트래픽으로 전송되는 멀웨어가 전년 대비 27% 증가했으며, 이 수치는 앞으로도 계속 증가할 것으로 예상하고 있다.

△진화하는 사이드 채널 공격: 이러한 취약성은 향후 보안 기기에서 최종 사용자의 노트북에 이르는 모든 기기와 같이 패치하지 않은 기기에 영향을 줄 수 있다. 위협 행위자는 인증을 우회하거나 악성 소프트웨어에 디지털 서명을 하기 위해 디지털 서명을 발행할 수 있다. 최근 멜트 다운/스펙터(Meltdown/Spectre), 포쉐도우(Foreshadow), 포트스매시(PortSmash), MDS 등의 변종인 TPM-FAIL이 등장하며, 이러한 공격 방법을 무기화하려는 범죄자들의 의도가 수면위로 드러나고 있다.

△무시할 수 없는 비표준 포트를 통한 공격: 올해 보고서에 따르면 멀웨어 공격의 19% 이상이 비표준 포트를 이용했지만 연말에는 그 수가 15% 감소한 것으로 나타났다. 이러한 유형의 전술은 타깃화 된 기업체를 대상으로 탐지되지 않는 페이로드를 배포할 때 사용된다.

2020 소닉월 사이버 위협 보고서는 215개 국가 및 지역에 전략적으로 배치한 110만 개의 센서를 통해 2019년 한 해 동안 수집한 위협 정보를 통해 작성됐다. 소닉월 캡처 랩 위협 연구원들은 매일 14만 건의 멀웨어 샘플을 수집하고 분석했으며, 매일 2,000만 건의 멀웨어 공격을 차단하고 99억 건의 멀웨어 공격을 기록했다. 소닉월 캡처 랩은 공격자들이 더 타깃화되고 업무적으로 더욱 중요한 시스템으로 이동하기 때문에 기업 및 사용자들은 사이버 위협을 미리 감지할 수 있도록 공격 동향을 예의 주시해야 한다고 강조했다.

http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/