연준

[보안뉴스 김영명 기자] 지금까지 윈도 도움말 파일(.chm), 마이크로소프트 원노트(OneNote) 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것이 확인됐다. 해당 악성코드에서 사용된 단어 및 실행되는 스크립트 코드가 이전에 분석한 코드와 유사한 것으로 보아 북한 해킹그룹 김수키(Kimsuky)에서 제작한 것으로 추정되고 있다. 출처: https://m.boannews.com/html/detail.html?tab_type=1&idx=119246 한글 문서 파일 위장 악성코드 유포... 김수키 해킹그룹 공격 추정 지금까지 윈도 도움말 파일(.chm), 마이크로소프트 원노트(OneNote) 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것이 확인됐다..

이번 처분대상은 △인터파크 △리본즈 △팍스넷 등 3개 사업자이다. 위 사업자들은 개인정보 보호에 필요한 안전조치를 소홀히 하거나, 개인정보 유출통지·신고를 지연시키면서 개인정보보호 법규를 위반한 사실이 드러나 각 위반 조항에 따른 과징금·과태료를 부과했다. 출처: https://m.boannews.com/html/detail.html?idx=119136 느낀 점: 누구나 알만한 인터파크에서 개인정보보호법을 위반했다고 한다. 인터파크에 계정을 만들어 놓았는데 한 번 확인해야 되겠다. 인터파크는 여행과 쇼핑 분야 온라인 중개 플랫폼을 운영한다. 해커가 앱 서비스에 유출된 로그인 정보로 접속을 시도하는 크리덴셜 스터핑이라는 공격을 시도했지만, 비정상적인 접속 시도에 대응할 차단 정책을 적용하지 않아 약 78만..

[보안뉴스 문가용 기자] 두 개의 최상위 도메인 이름이 최근 추가됐는데, 이 때문에 보안 전문가들 사이에서 경고의 소리가 나오는 중이다. 이 도메인 이름은 구글이 5월 초에 발표한 것으로, .zip과 .mov다. 보안 전문가들은 이 이름을 이용해 피싱 공격을 하게 되면 아무리 보안에 예민한 사람이라도 쉽게 속을 수 있다고 주장하고 있다. 비판의 목소리는 계속해서 높아지는 중이다. 출처: https://m.boannews.com/html/detail.html?tab_type=1&idx=118489 느낀 점: 구글이 최상위 도메인 이름인 .zip와 .mov를 추가했다고 한다. 내 생각은 .zip 도메인은 왜 만들었는지 잘 모르겠다. zip는 보통 압축파일이라 exe 파일처럼 경각심을 느끼지 않았었다. 하지만..

국정원 관계자는 “국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은 결국 북한이 우리 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻”이라며 “기존 북한의 주요 해킹 타깃이었던 전·현직 외교안보 분야 관계자 이외에 대학교수와 교사, 학생 및 회사원 등도 해킹 피해를 입고 있다”고 했다. 북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 특히 ‘발신자명’과 ‘메일 제목’을 교묘하게 변형하고 있다는 것이 국정원의 설명이다. 먼저 북한은 메일 사용자들이 메일 발송자를 확인할 때 주로 ‘발신자명’을 보는 점에 착안해 해킹메일 유포 시 네이버·카카오(다음) 등 국내 포털사이트를 사칭하는 비율이 전체 사칭 해킹메일의 68%를 차지하고 있었다. 출처: https://m.boa..

BEC 공격자들이 탐지 기술을 회피하는 새로운 방법을 터득했다. 근처 지역에서 생성된 IP 주소를 구매해서 자신들의 로그인 시도를 감추는 것이다. 이렇게 했을 때 MS의 보안 기능 중 하나인 ‘불가능한 이동(impossible travel)’ 경고 신호가 뜨지 않게 된다. MS가 이러한 공격 전술을 발견해 세상에 알리며 경고했다. ‘불가능한 이동’ 경고는 말 그대로 현재 접속하려는 자가 물리적으로 불가능한 공간 이동을 감행했다고 알리는 것을 말한다. 접속을 시도하려는 사용자의 마지막 접속 위치와, 현재 접속 시도가 이뤄지고 있는 위치 사이의 시간과 거리를 계산해 지금 말이 되는 일이 일어나고 있는 건지 아닌지를 판단해주는 것이다. 예를 들어 A라는 사용자가 항상 9시경에 서울 마포에서 접속을 하는데, 어..

새롭게 발견된 랜섬웨어 그룹 하나가 공격의 수위를 높이고 있다. 이름은 RA그룹(RA Group)이라고 하며, 얼마 전 소스코드가 유출된 바북(Babuk) 랜섬웨어를 자신들만의 것으로 개조해 미국과 한국의 조직들을 공략하는 중이다. 시스코의 탈로스 팀이 분석해 발표한 바에 의하면 이 RA그룹은 4월 22일부터 활동을 시작했으며, 지금까지 빠르게 활동 규모를 넓히는 중이라고 한다. 주로 한국과 미국의 제조사, 자산 관리사, 보험사, 제약사가 표적인 것으로 보인다고 탈로스 팀은 경고했다. RA그룹에 대해 이야기를 하려면 먼저 바북에 대해 알아야 한다. 바북은 일종의 랜섬웨어로 2021년 9월 소스코드 전부가 온라인에 유출된 바 있다. 그 후 여러 공격 단체들이 이 소스코드를 바탕으로 자신들만의 독창적인 ‘바..

최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 반도체 기업과 AI를 활용한 스마트 제조기업 등 두 곳이다. 안랩 ASEC 분석팀에 따르면, 이번에 해킹 공격을 수행한 공격그룹에서는 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인돼 올해 초 전면적인 한국 공격을 퍼부었던 샤오치잉(Dawn Cavalry)과 달빗(Dalbit)과 같이 중국 해킹그룹으로 추정하고 있다. 공격자 서버 및 유출 정보를 확인했을 때 현재 확인된 공격자의 서버는 FRP 관리 서버와 파일 서버 등 두 개의 서버가 확인됐다. 먼저, FRP 관리 서버에서 공격자는 피해 기업 서버에 FRP를 설치했다. 따라서 해당 페이..

챗GPT를 통해 깜짝 놀랄 만한 답변을 듣기 위해 사람들은 더욱 과감한 자세로 각종 정보를 입력하고 있다. 그러면서 평소 같았으면 조심스럽게 데이터를 다뤘을 것이 분명한 이들조차 아무 데이터를 마구 타이핑한다. 이 도구의 이름은 프라이빗GPT(PrivateGPT)로, 오픈AI(OpenAI)의 챗GPT를 기반으로 하고 있으며, 50가지가 넘는 유형의 개인 식별 정보를 자동으로 찾아내 실시간으로 삭제한다고 한다. 여기서 ‘실시간’이란 사용자가 챗GPT에 요청문을 입력하는 타이밍을 얘기한다. 프라이버시 침해 가능성과 챗GPT 사용자가 데이터를 챗GPT 창에 입력할 때, 그 데이터는 챗GPT의 기반이 되는 대형 언어 모델(LLM)의 데이터셋에 포함된다. 이 데이터는 차세대 챗GPT 혹은 다른 인공지능 알고리즘을..

수천 개의 레지스트리를 통해 수억 개가 넘는 아티팩트와 소프트웨어 구성 요소들이 고스란히 노출되어 있다. 이는 공격자들이 기뻐할 만한 소식이다. 노출된 정보에 접근하는 것만으로 큰 이득을 볼 수 있기 때문이다. 아쿠아시큐리티가 최근 조사를 진행했을 때 인터넷을 통해 접근이 가능한 레지스트리와 리포지터리 수천 개에 다음과 같은 요소들이 아무런 보호 장치 없이 노출되어 있었다고 한다. 1) 소프트웨어 아티팩트 2억 5천만여 개 2) 컨테이너 이미지 6만 5천여 개 3) 비밀, 키, 비밀번호 등과 같은 민감 데이터에 대한 접근을 허용하고 있는 호스트가 1천 4백여 개 이러한 자원들은 공격자들이 공급망 공격을 실시할 때 매우 유용하다고 한다. 광범위하게 노출된 레지스트리 치명적으로 잘못 설정된 레지스트리는 57..

스캠이 진화를 거듭하면서 최근에는 대화형 스캠이 빠르게 증가하고 있다. 스캠(Scam)은 원래 도박에서 상대를 속이는 것을 말하며, 이후 금융과 무역 등 산업 분야에서 상대를 속여 돈을 갈취하는 범죄 용어로 자리 잡았다. 2016~2017년 사이 계좌 정보를 변경했다며 다른 계좌로 돈을 요구하는 무역사기 스캠이 성행했다. 한편, 개인을 노린 범죄에도 사용됐는데, 우리가 잘 아는 ‘로맨스 스캠(Romance Scam)’도 2014년부터 증가하기 시작했다. 대화형 스캠(Conversational Scam)은 피해자의 신뢰를 얻어낼 때까지 친분을 쌓기 위한 사전 작업이 지속된다는 점에서 대화형 피싱이나 멀웨어 공격과는 다르다. 프루프포인트에 따르면, 신종 수법인 대화형 스캠은 신고 건수 기준으로 12배나 증가..