웹 호스팅 서비스 타깃 랜섬웨어 공격, 어떻게 막아야 할까

웹과 DB의 망분리, 서버 접속시 OTP 사용 등 보안대책 제시

국내 웹 호스팅 서비스 업계, 랜섬웨어 공격 대응책 마련 부심

[보안뉴스 권 준 기자] 최근 국내 웹 호스팅 업체가 랜섬웨어에 감염돼 큰 피해를 입고, 해외 유명 웹 호스팅 서비스 플랫폼 ‘스마터ASP’가 랜섬웨어 공격을 당하기도 했다. 이렇듯 웹 호스팅 서비스를 타깃으로 한 랜섬웨어 공격 ‘경고등’이 다시금 켜진 가운데 이에 대한 방어대책을 논의하는 자리가 마련돼 관심이 모아졌다.

국내 웹 호스팅 서비스 업체들로 구성된 한국호스팅도메인협회(회장 신중현)가 주최한 이번 보안 세미나는 ‘웹 호스팅 서비스 랜섬웨어 공격 방어 howto’와 ‘호스팅 서비스 사업자를 위한 정보보호 고찰’이라는 2가지 주제의 강연과 참석자들의 질의응답이 진행됐다.

​ 

국제사면위원회, 구글과 페이스북을 일컬어 ‘인권 침해 조직’

서비스 사용하려면 개인정보 내줘야 하는 사업 모델에 대한 강력한 비판

페이스북 측은 “모든 게 자발적으로 이뤄진다”고 반박...구글은 아직 조용

[보안뉴스 문가용 기자] 국제사면위원회(Amnesty Insternational)가 구글과 페이스북을 ‘인권 침해 조직’이라고 강력히 비판하며 기소장을 제출했다. 위원회의 표현을 빌리자면 “감시에 기반을 둔 사업 모델”을 즉각 금지시켜야 한다는 내용이 담겨져 있었다.

이런 주장을 담고 있는 기소장은 총 60 페이지에 달하며, 이 두 조직을 “감시하는 거인(Surveillance Giants)”이라고 표현할 정도로 비판적이다. 그러면서 “구글과 페이스북이 보유하고 있는 사업 모델은 그 본질상 인권과 프라이버시를 침해할 수밖에 없다”고 주장했다. 국제사면위원회는 구글과 페이스북이 특히 침해하는 인권으로 표현의 자유, 평등권, 비차별권을 꼽았다.

​ 

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr


 [패치 및 업데이트]
 금일 최신 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

Trojan/Win32.RL_FCN.C3577341

최초 발견일: 2019-11-21

종    류: 트로이목마

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​Trojan/Win32.RL_FCN.C3577341은 정상 파일명의 악성 프로세스를 생성하여 사용자 정보를 탈취하는 트로이목마이다.

  ​

[보안TIP]

사이버 범죄자들, 이제 다중 인증도 뚫어내기 시작한다

[보안뉴스 문가용 기자] 다중 인증이 조금씩 확산되기 시작하면서 이에 대한 공격자들의 관심이 높아지고 있다. 그러면서 다중 인증 시스템에 대한 공격도 조금씩 늘어나고 있는 추세다. FBI도 최근 사이버 공격자들이 다중 인증을 회피하기 위한 여러 가지 방법을 개발해 활용하고 있다고 공식 경고한 바 있을 정도다. 그러면서 범죄자들의 주요 전략 세 가지를 거론했다.

그 중 하나는 비교적 널리 알려져 있는, 심카드 스와핑(SIM card swapping) 공격이다. 전화 통화가 가능한 모든 모바일 장비들에는 심카드라는 것이 심겨져 있고, 이 심카드를 통해 사용자의 통신사 계정과 전화번호가 서로 연동된다. 공격자가 심카드의 정보를 조작해 제3의 심카드에 피해자의 정보를 심고, 그 심카드를 자기가 가지고 있는 장비에 심으면 해당 장비가 피해자의 장비인 것처럼 인식된다. 이렇게 하면 문자를 통해 날아오는 1회용 비밀번호를 가로챌 수 있게 되며 다중 인증이 풀리게 된다.

심스와핑은 다른 사람을 믿으려 하는 인간의 본능을 악용하는 공격이기도 하다. 공격은 보통 다음과 같은 과정을 통해 이뤄진다.

1) 공격자가 피해자가 가입된 통신사에 전화를 건다.

2) 마치 긴급한 상황인 것처럼 통신사 직원과 통화를 한다.

3) 현재 등록된 전화번호를 새로운 장비의 새 심카드로 옮겨달라고 요청한다.

4) 대응하는 직원은 고객의 불만 사항이나 위급한 상황을 빨리 해결해주고자 이에 응한다.

5) 이제 공격자의 손에는 피해자의 전화가 들려 있다.

6) 피해자의 진짜 전화는 통화가 불가능한 상태로 만들어져 있다.

이렇게 심스와핑에 성공했을 때 어떤 일이 발생할 수 있을까? 위에도 언급했다시피 다중 인증의 일부로 전송되는 1회용 비밀번호를 가로챌 수 있게 된다. 사용자가 설정한 원래의 크리덴셜도 ‘비밀번호를 잊어버렸어요’와 같은 도움 기능을 통해 탈취할 수 있게 된다. 더 정확히 말하면, 크리덴셜을 공격자 마음대로 바꿀 수 있다. 통신사에 피해자인 척 연락해 비싼 서비스에 가입할 수도 있고, 전화번호 인증만 있으면 통과되는 여러 서비스를 이용할 수도 있게 된다. 이러는 동안 피해자는 전화나 자기 계정에 접속도 못하는 상황이다.

FBI가 언급한 두 번째 방법은 안전하지 않은 웹사이트를 활용하는 것이다. 실제로 사이버 공격자들이 한 은행의 엉성한 웹사이트를 통해 다중 인증을 뚫어낸 사례가 있다. 당시 공격자들은 자신들이 생성한 명령 문자열을 주소창에 주입함으로써 다중 인증 시스템을 통과했었다고 한다(정확히 말하면, 다중 인증 단계를 건너 뛸 수 있었다). 그런 후 정상적인 고객으로서 접속에 성공했고, 해당 계정에서 공격에 필요한 거의 모든 일을 마음껏 할 수 있었다.

마지막 공격법은 피싱 공격이다. 피싱 공격은 정보를 훔치려는 공격자들 모두가 꾸준히 사용하고 있는 기법이기도 하다. 예를 들어 피해자가 거래하는 은행에서 보낸 것처럼 이메일을 가짜로 만들어 전송하면, 피해자들은 의심하지 않는 게 보통이다. 그러면서 자연스럽게 로그인을 유도하면, 간단하게 사용자의 크리덴셜을 훔칠 수 있게 된다. 혹은 악성 링크를 걸어놔도 이미 은행에서 보낸 메일인 것으로 이해하고 있는 피해자들은 거르지 않는다. 이 클릭 한 번으로 공격자들은 광고 사기, 추적, 멀웨어 감염 등에 노출될 수 있다.

실제 은행 사이트를 통해 인증을 유도할 수도 있다. 이러면 피해자 보기에는 더 진짜 같다. 진짜 은행 사이트를 통해 피해자가 로그인을 마치면, 해당 세션 쿠키를 훔쳐내거나 캡쳐함으로써 공격자들은 피해자의 계정에 대해 높은 권한을 가질 수 있게 된다. 이러한 공격 방법을 채널재킹(channel-jacking)이라고 부른다.

채널재킹은 다중 인증을 우회하는 데 꽤나 높은 효과를 보이지만, 그만큼 실행하기가 어렵다. FBI에 따르면 리버스 프록시 웹 서버 설정에 꽤나 깊은 지식이 있어야 한다고 한다. 그러나 이런 부분을 쉽게 해주는 도구들이 등장하고 있다는 것에 주목해야 한다고 FBI는 강조했다. “무래나(Muraena)와 네크로브라우저(NecroBrowser) 등이 특히 요즘 많이 사용되고 있습니다. 공격을 자동화시켜주는 툴들과 합해져서요. 그렇기에 앞으로 다중 인증을 뚫어내려는 공격이 보다 과감하게, 자주 일어날 것으로 예상됩니다.”

http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/