또 개발자 플랫폼 피격! 스택 오버플로우 플랫폼 해킹당하다

매달 5천만 명 방문하는 개발자들의 인기 플랫폼에서 해커들 정보 빼가

스택 익스체인지 고객 일부가 당한 듯...개발자 노리는 위협 갈수록 늘어

[보안뉴스 문가용 기자] 개발자들의 인기 플랫폼인 스택 오버플로우(Stack Overflow, https://stackoverflow.com/)가 1주일 동안 침해를 받았고, 그 동안 공격자들이 수많은 사용자 정보에 접근한 사실이 드러났다.

스택 오버플로우 측은 이 같은 사실을 5월 16일에 사용자들에게 알렸다. 누군가 허가 없이 생산 시스템에 접근했다는 내용이었다. 그러면서 아직까지 사용자나 고객의 데이터가 악용된 흔적은 찾아낼 수 없었다고 덧붙였다. 세부적인 내용은 없었다.

하지만 바로 다음 날인 5월 17일, 스택 오버플로우의 부회장인 메리 퍼거슨(Mary Ferguson)은 “공격자들이 5월 5일에 최초 침투에 성공한 것으로 보이며, 플랫폼 내 사용자들 중 개발자 등급을 받은 사람들의 정보에 접근할 수 있었다”는 설명을 추가했다. “저희가 오늘 사용한 빌드에서 버그를 발견했습니다. 해커들과 관련이 있는 것으로 보입니다. 해커들은 이를 통해 권한을 상승시켰으리라 생각합니다.”

​ 

마이크로소프트의 윈도우 10 패치, 재시동 시 문제 일으켜

또 다시 나타난 업데이트의 문제...시스템 드라이버들에서 문제 발생

복구 모드로 들어가 문제 완화시키는 것 가능해...MS가 상세히 공개해

[보안뉴스 문가용 기자] 마이크로소프트가 윈도우 10에서 버그가 있음을 발표했다. 시스템 복구(System Restore) 기능을 사용하고 나서 컴퓨터가 멈추게 하는 버그라고 한다. 일부 사용자들이 윈도우 10을 업데이트 하고 새롭게 시스템을 시작하다가 발견한 현상으로, MS는 문제를 완화시키는 방법을 함께 공개했다.

“이 버그가 발동되는 경우, 시스템은 R1 복구 지점으로 제대로 부팅되지 않습니다. 대신 0xc000021a 오류가 발생하죠. 이 때 컴퓨터를 재시작하면 기존의 데스크톱 화면으로 돌아갈 수가 없게 됩니다.” 마이크로소프트의 설명이다. “윈도우 .sys 드라이버들이 버전마다 리부트 과정에서 복구되는 방식이 다른데, 이 때문에 나타나는 현상입니다.”

장비가 윈도우 OS와 호환이 되기 위해서 갖춰야 할 소프트웨어 요소들이 있다. 그리고 이 소프트웨어 요소들이 전부 들어있는 걸 드라이버 패키지라고 부른다. 시스템이 복구된다는 건, 사용되고 있는 파일들을 윈도우가 일시적으로 복구시키는 것을 뜻한다. 그리고 그 정보를 레지스트리에 등록시킨다. 이를 바탕으로 컴퓨터가 재시작됐을 때 다시 작동이 가능하게 된다. 하지만 마이크로소프트는 다음과 같이 발표했다.

​ 

참조사이트  

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 [패치 및 업데이트]

금일 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

​

 Trojan/Win32.NJRat.C3253214
최초 발견일: 2019-05-21
종    류: 트로이목마(원격제어)
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.NJRat.C3253214는 감염된 PC의 시스템 정보 및 키 입력 정보를 수집하며 원격제어를 통해 공격자의 명령을 수행하는 악성코드이다.

Trojan/Win32.Razy.C3252230
최초 발견일: 2019-05-21
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.Razy.C3252230는 감염된 PC에 피싱 링크를 제공하거나 마이닝 행위를 하기위해 웹 브라우저에 악의적인 확장기능을 설치하는 악성코드이다.

Trojan/Win32.Tepfer.C3252773
최초 발견일: 2019-05-21
종    류: 트로이목마(정보유출)
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.Tepfer.C3252773는 주로 사용자 정보 및 설치된 프로그램 정보를 탈취할 목적으로 사용되는 트로이목마이다.

  ​

[보안TIP]

KB국민은행·넥슨·롯데카드의 랜섬웨어 대응법 3社3色

[보안뉴스 원병철 기자] 올해 2월 기업의 윈도우 서버를 공격한 후 랜섬웨어를 유포시킨 사건이 발생한 적이 있다. 주로 기업의 중앙전산자원 관리서버(AD서버)를 노렸으며, 클롭(CLOP) 랜섬웨어를 감염시켰다. 당시 한국인터넷진흥원(KISA)은 이례적으로 2월 22일과 3월 4일 두 차례에 걸쳐 주의 권고를 할 정도로 상황이 심각했으며, 정부에서는 인터넷 침해사고 경보단계를 한 단계 상향할지 여부도 논의한 것으로 알려졌다.

다행스럽게도 당시에는 더 이상 사건이 커지지 않고 지나갔지만, 랜섬웨어는 기업 운영에 있어 가장 큰 문제 중 하나로 떠올랐다. 물론 랜섬웨어에 대한 경각심은 CISO 혹은 보안담당자라면 누구나 갖고 있는 것이지만, 일반 직원들은 그렇지 못하다는 사실은 CISO로 하여금 더욱 노심초사하게 만드는 요인이 된다.

그렇다면 실제 기업들은 랜섬웨어에 대해 어떤 대비책을 마련하고 있을까? 21일 열린 ‘한국CISO협의회 93차 CISO포럼’에서 KB국민은행과 넥슨, 롯데카드의 CISO들은 자사의 랜섬웨어 대응방안을 소개하고 함께 고민하는 자리를 마련했다.

KB국민은행, 랜섬웨어 대응은 결국 사람이 중요하다

첫 발표는 KB국민은행의 권혁운 CISO가 맡았다. 권혁운 CISO는 “보안위협 대응은 기술로 할 수 있는 것은 26%에 불과하고, 나머지 74%는 사람과 정책으로 해결해야 한다”는 말이 있다면서, 랜섬웨어는 특히 사람이 중요하다고 강조했다.

물론 KB국민은행은 대응할 수 있는 방안은 모두 구축 완료했다. 외부로 유입되는 악성코드는 네트워크 단계별로 탐지·차단 솔루션을 적용해 예방하고, 감염 시에도 즉시 복구 가능한 심층적 방어 인프라를 구축했다는 것. 이와 함께 망분리, 사용자 PC와 문서의 중앙관리, 보안 업데이트를 통해 랜섬웨어 감염 위협을 원천적으로 차단했다. 특히, KB국민은행은 악성메일 훈련 시스템 도입을 통해 임직원 정보보호 인식 제고와 훈련 효율성을 향상시켰다,

하지만 권 CISO가 주장한 것처럼 보안, 그중에서도 랜섬웨어는 결국 사람이 중요하기 때문에 임직원 교육과 훈련에 가장 많은 정성을 쏟는다고 설명했다. KB국민은행은 4회에 걸쳐 자체 악성메일 대응훈련을 실시하고 있으며, 금융보안원과 KISA 등 외부기관이 주관하는 악성메일 훈련도 연 3회 실시한다. 해외법인을 포함한 KB금융그룹 전 계열사를 대상으로 진행하며, 자동화된 솔루션을 바탕으로 고도화된 훈련을 실시한다. 아울러 반복 위반자 경고 및 부서 KPI를 반영해 상벌체계를 강화했다.

넥슨, 외부 해킹팀 고용해 실전 같은 훈련

국내 최대 게임업체 넥슨도 주요 유입경로에 대한 다단계 방어를 구축했다. 스팸과 스피어피싱에 대해서는 △스팸 게이트웨이 △이메일 악성코드 탐지 △O365 멀워어 디텍션 △안티바이러스 △EDR 등으로 보안을 강화했고, 웹브라우저의 경우 감염사이트/멀버타이징, 파일공유와 관련해서는 △URL 필터, △세션 수집 △NMAS △안티 바이러스 △EDR 등으로 무장했다.

특히, 넥슨이 자체적으로 개발한 악성 분석 플랫폼 ‘NMWS(NEXON Malware Analysis System)’는 URL/IP/Hash/File의 평판정보와 샌드박스를 기반으로 악성 유무를 실시간으로 검증해주는 시스템으로, 전 세계에서 운영되는 56개의 안티 바이러스 솔루션의 평판정보를 확인할 수 있다.

정찬규 넥슨 CISO는 이메일 모의훈련을 자체적으로 상시 진행하는 것은 물론 외부 해커팀을 고용해 실전같은 훈련을 하고 있다고 설명했다. 특히, 외부 해커팀이 다크웹이나 구글링을 통해 회사와 임직원의 정보(메일 등)를 수집해 실제 계정과 PC 정보 탈취를 목표로 멀웨어를 제작하고 접속 유도 및 메일을 발송하는 훈련을 실시한다고 설명했다. 아울러 외부 해커팀이 내부 보안 솔루션 진단을 우회하는 방법까지 연구토록 함으로써 관제 및 대응체계를 한층 했다는 것. 그리고 훈련 과정에서 얻어지는 정보를 계속 내재화해 기존 보안 시스템을 강화하는 데 노력했다고 정 CISO는 설명했다.

롯데카드, 지속적인 훈련으로 임직원의 보안인식 바꿔

롯데는 그룹 정보보호위원회가 그룹사 전체에 대한 훈련을 실시한다. 지난 2월 말부터 3월말까지 약 한달간 전사 직원 4,200여명이 훈련 대상으로 ‘임직원 카드 혜택 변경 안내’ 등 사회공학적 공격을 실시해 평가를 하기도 했다. 이와 관련 최동근 롯데카드 CISO는 “사실 기업에서 어떤 평가를 진행한 후, 평가 결과라는 이름으로 훈련 메일을 보내면 누구나 걸릴 수밖에 없다”며, “임직원의 보안인식이 무엇보다 중요한 만큼 지속적인 훈련이 선결돼야 한다”고 말했다.

롯데카드 역시 기술적으로 패치관리 솔루션(PMS)이나 메일 보안 솔루션, 악성 사이트 차단 및 악성파일 차단 솔루션 등을 구축했지만, 꾸준한 훈련을 우선시하고 있다는 설명이다. 기업의 보안문화 조성은 최소 3년은 꾸준히 진행해야 어느 정도 성과를 볼 수 있다는 최 CISO는 KISA의 무료 점검 등을 활용해 임직원들의 인식을 바꾸는 것이 필요하다고 강조했다.

http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/