보안이슈 짧은 요약 1) 미국의 암호화폐 거래소 Gemini에서 고객의 개인정보가 유출 2) 해킹포럼에서 570만 사용자의 전화번호, 이메일주소가 포함된 데이터베이스를 판매하겠다는 게시글이 올라옴. 3) 해당 거래소 고객들은 피싱 캠페인의 표적이 됨 4) Gemini의 계정 정보와 시스템은 영향을 받지 않았다고 발표 5) 또한 Gemini계정과 연결된 이메일 주소를 변경하고, 2FA 활성화/하드웨어 보안 키 사용을 권고 해당 기사 링크 (BleepingComputer)

미국 CISA가 Veeam의 백업 제품에서 발견된 취약점을 KEV에 추가함. ＃CISA: Cybersecurity and Infrastructure Security Agency ＃KEV: Known Exploited Vulnerabilities 해당 취약점은 CVE-2022-26500 및 CVE-2022-26501. 익스플로잇에 성공 시, 인증되지 않은 공격자가 원격에서 임의 코드 실행을 할 수 있으며, 초고위험도 수준이라고 평가됨. Veeam은 3월에 해당 보안 패치를 배포했으나, 패치를 적용하지 않은 사용자들이 다수. 영향받은 제품은 폭스바겐(Volkswagen), 지멘스(Siemens), 딜로이트(Deloitte), 셸(Shell), 푸마(Puma) 등 많은 기업이 사용하고 있다고 함. 특히나 익스..

- 최근 EDR 등의 솔루션 이용하여 엔드포인트 보안을 강화하는 기업이 증가 - 현재 멀웨어 위주의 공격환경에서 새로운 유형으로 공격을 확대할 것으로 예상. - 그래도 엔드포인트 보호 기술은 걸음마 단계이기에, 멀웨어 사용한 공격도 지속될 것으로 보임. 2023년 해킹 공격 전망 1. 멀웨어의 발전 - EDR 기술이 진화한다고 해서 멀웨어어를 포기하지는 않을 것임. 멀웨어도 함께 진화하여 EDR을 우회하려 할 것. - 실제로 해킹포럼에서 EDR 탐지 원리를 분석하고 우회하기 위한 연구가 진행되고 있음. 2. 공급망 공격 - 프로그램을 직접 개발해 사용하지 않고 타 회사의 프로그램을 사용하는 경우, 프로그램의 소스코드를 검증할 수 없는 위험이 발생 - 프로그램 제조사를 해킹한 후 업데이트/설치파일에 멀웨어..

EDR 및 AV 소프트웨어의 데이터 삭제 기능을 악용하여 데이터 와이퍼로 활용하는 방법이 발견됨. 해당 SW들의 데이터 삭제는 보안 솔루션으로서의 정상적인 기능이기에, 탐지를 우회하기에 효과적임. ＃데이터 와이퍼: 감염된 시스템 데이터를 의도적으로 지우거나 손상시키고, 피해자가 데이터를 복구할 수 없도록 만드는 특수한 유형의 파괴적인 멀웨어. [정상적인 기능] - 컴퓨터의 파일 시스템에서 악성 파일을 지속적으로 검색, 탐지 시 해당 파일 검역/삭제 - 실시간 보호 활성화 시 파일이 생성될 때 자동으로 검색되어 파일의 악성 여부 확인, 악의적인 경우 검역/삭제 악성 파일 발견 시 발생하는 두 이벤트의 공통적인 특징을 악용할 수 있다면, 공격자가 특정한 데이터를 삭제하도록 방향을 유도할 수 있을 것. >>t..

기업 환경에서 DNS를 구축하는 방법 중 몇가지가 침투 시 악용될 수 있다는 연구결과 발표됨. 중요한 데이터를 망에서 분리하여 별도로 보관하고 있지만, 그 망이 DNS 서버에 연결되어 있다면 침해될 수 있음. [보안 업체 펜테라(Pentera)의 연구결과] - 공격자들은 DNS를 C&C 채널로 활용 가능 - DNS 서버가 인터넷과 연결되어 있다면, 다른 네트워크와 통신 가능 - 즉, DNS가 분리된 망들의 허브 역할을 한다는 것 - 철저히 망을 분리하더라도 DNS가 있으면 아무런 소용이 없음 주로 중요한 데이터를 보관할 때 에어갭 네트워크를 이용. ＃에어갭(air gap): 공용 인터넷 등 안전하지 않은 네트워크와 물리적으로 격리하기 위해 사용되는 네트워크 보안 수단 그러나 에어갭 네트워크에는 DNS 서..

클라우드 업체 랙스페이스 테크놀로지에서 랜섬웨어 감염 사고가 발생함. 해당 클라우드를 사용하는 많은 중소기업들이 피해를 입음. 그런데도 랙스페이스의 대응이 미흡하여 많은 고객들이 이탈, 소송까지 이어짐. 이 사건으로 클라우드 업체에 보안사고 발생 시 얼마나 큰 피해릉 입을 수 있는지 확인 가능함. 랙스페이스는 문제 발생 이후 즉시 공지를 하지 않고, 하루 후에나 보안사고가 발생했음을 공개함. 그리고 이로부터 4일 이 지난 후에 랜섬웨어 공격이 있었음을 밝힘. 게다가 어떤 고객사가 어떤 영향을 받았는지, 랜섬웨어 공격자로부터 어떤 요구를 받았는지, 금액 지불 여부, 공격자가 누구로 추정되는지 등.. 아무것도 공개하지 않고 있음. 고객들은 랙스페이스의 이러한 대응과 기술적인 지원이 모두 부족하다며 분노 중...

많은 기업들이 머신러닝을 사용하는 추세임. 그러나 머신러닝 알고리즘을 자체적으로 개발할 수 있는 회사가 많지 않기 때문에 오픈소스 알고리즘을 사용 → 오픈소스 알고리즘 감염 위험. → 공개된 저장소에 멀웨어가 은밀히 업로드 되는 이슈들이 인공지능 생태계에서도 발생 가능. → 머신러닝 공급망 공격 그런데 위협 행위자들이 머신러닝 모델을 가로채고, 멀웨어 유포에 활용 가능하다는 사실이 발견됨. 모델들이 널리 공개된 것들이기에.. 이를 통해 악성 행위를 가능. 즉, 공개된 머신러닝 알고리즘을 사용할 때 위험할 수 있음. 인공지능 업체 히든레이어(HiddenLayer) 曰 머신러닝이 공유되는 저장소는 보안장치가 없는 경우가 많음. 누군가 머신러닝 알고리즘을 멋대로 조작하더라도 방지하거나, 알아낼 방법이 없음. ..

1. 12월 5일 기사 1) 간편결제서 서비스인 페이코(PAYCO)에서 서명키가 유출됨 ＃서명키: 구글플레이에서 사용자 기기로 전달되는 APK 서명에 사용되는 키 2) 보안 솔루션 기업 에버스핀에서 페이코 서명키 유출로 인한 악성 어플리케이션 제작 및 유포를 주의하라고 하면서 해당 사건이 알려짐. 3) 구글스토어를 통해 정상적으로 페이코 앱을 다운받은 경우, 개인정보 및 결제정보 유출은 전혀 없다. 4) 서명키 유출은 4개월 동안 이어짐(8월 1일 ~ 11월 30일) 5) 해당 서명키를 통해 생성된 악성코드는 5,144건이며, 유출경로는 미확인 상태임 2. 12월 7일 기사 1) 페이코는 12월 6일자로 신규 서명키를 적용한 업데이트 완료 2) 직접적인 피해사례는 없는 것으로 확인됨. 구글 서명키는 앱 ..