1. 거래처 이메일을 사칭하여 사기 범행을 벌이는 스피어 피싱
- 기업체 임직원 계정 해킹 후 모니터링을 통해 대금 변경 메일 등을 발송하며, 일명 나이지리아 스캠으로도 불림
> 2018년 이후 감소 추세를 보이며, 이는 In-Put 대비 낮은 Out-Put 때문임
- 해킹(스피어 피싱 등) > 모니터링 > 메일 발송 확인(기업체 간 정상 거래 메일) > 계좌 변경 등 악성 메일 발송 > 자금 세탁
> 기업체 간 정생 거래 메일 송수신이 확인될 경우 계좌, 거래 대금 등을 변경한 메일을 전송
- 발신자 확인, 출처가 불분명한 파일 다운 금지, 최신 업데이트 적용 등을 통해 예방
2. 2024년 상반기 침해사고 피해지원 주요 사례
- 24년 상반기 매월 약 80건(~5월)의 침해사고가 발생
> 해킹 경유지 21%, 문자 무단 발송 12%, 피싱 12%, 랜섬웨어 12%, 웹 취약점 9%, 기타 33%
| 구분 | 설명 |
| 해킹 경유지 | - 공격자는 취약하게 운영되는 서버를 통해 타 서버를 침투하거나 악성코드를 배포하는데 활용 - 공격자는 최초 침투 후 정상 사용자로 보이는 계정을 생성해 공격 탐지 회피 시도 > 분석 시 경유지로 사용된 서버의 경우 여러 서버 해킹 흔적 및 성공 흔적을 확인할 수 있었음 |
| 문자 무단 발송 | - 문자 발송이 가능한 취약한 웹 페이지를 통해 해당 서버에 저장된 개인정보를 활용하여 문자 무단 발송 - 문자 발송 시 해당 서버에 저장된 개인정보와 이미 보유한 개인정보를 활용해 불특정 다수에게 전송 - 문자 무단 발송을 위한 자체 악성 페이지를 개발하여 활용 > 1천 건 ~ 5만 건에 이르기까지 다양하게 발송 > 불법 사이트 홍보를 위한 문자가 주를 이룸 |
| 피싱 | - 취약하게 관리되고 있는 웹 페이지를 통해 자격증명 탈취 후 소스코드에 스크립트를 추가 및 수정하여 팝업 창이 실행되도록 함 - 다른 공격과 달리 주요 정보를 입력하도록 유도하며, 공격자 서버로 데이터가 전송되도록 설계 > 정상적인 서비스와 구분이 어려움 > 주요 정보: 계좌, 개인정보, ID/PW 등 |
| 랜섬웨어 | - 주요 침투 경로는 이메일, 부주의에 의한 파일 다운로드, 시스템 취약점, 자격증명 유출/탈취 등 - 주로 DB 서버 또는 웹 서버, NAS가 랜섬웨어에 감염 - 윈도우 정상 서비스 BitLocker 기능을 통해 암호화 수행하기도 함 > 복구를 빌미로 금전을 요구 |
| 웹 취약점 | - 관리자 페이지 노출 및 자격증명 탈취를 통한 웹쉘 업로드, 취약한 웹 에디터 사용, 파일 업로드 검증 프로세스 누락으로 대부분 발생 - 웹 서버에 웹쉘이 업로드 될 경우 커맨드 라인 또는 원격에서 파일 수정 및 생성으로 악성 파일 업로드 가능 > 이후 시스템의 주요 정보를 외부로 유출하거나 삭제 등 악성 행위 수행 |
- 대부분의 피해 업종은 중소기업으로 보안 인력과 보안 솔루션을 구비하는데 어려움 존재
> 대부분 외부 호스팅 업체에 위탁하거나, 자체 개발 인력을 통해 운영 중
> 따라서, 업체 규모 및 운영 상황에 맞춰 쉽게 대응할 수 있는 방안이 필요
| 구분 | 설명 |
| 일반적인 대응방안 | - 관리자 페이지 접근 제어 강화 - 관리자 계정 관리(비밀번호, 변경 주기 등) - 사용중인 웹 에디터 점검(취약여부) - 의심스러운 메일 열람 금지(악성코드 실행) - SSH, FTP 사용 시 접근제어 설정 강화 - DB 서버 접근제어 설정 강화 - 물리적으로 분리된 저장매체에 주기적 데이터 백업 - 단말기에 저장된 자격증명 점검 |
| 오픈소스 활용 | - 오픈소스 기반 및 쉽게 설치할 수 있는 솔루션 활용 - Web: ModSecurity를 통한 웹 취약점 대응 > 오픈 소스 기반 > 실시간 웹 애플리케이션 보호 > 포괄적인 트래픽 로깅 > 다양한 웹 서버 지원 > 광범위한 공격 패턴 탐지 - System: Sysmon을 통한 로깅 강화 > MS에서 제공하는 로그 강화 솔루션 > 프로세스 생성 및 종료 모니터링 > 파일 생성 시간 변경 > 파일 생성 및 삭제 모니터링 > 네트워크 연결 모니터링 > 레지스트리 이벤트 모니터링 > DLL 로드 모니터링 > WMI 이벤트 모니터링 > 상세한 이벤트 로깅 - Network: Wazuh를 통한 접근제어 강화 > 로그 데이터 수집 및 분석 > 침입 탐지 시스템(IDS) > 규정 준수 감사 > 취약성 탐지 > 파일 무결성 모니터링(FIM, File Integrity Monitoring) |
3. AI 기반의 악성 URL 탐지 방법 및 기술
- PhaaS(Phishing-as-a-Service) 기법 확산으로 인한 피싱, 스미싱 공격자의 대중화
> 피싱을 대행해주는 집단으로 피싱에 필요한 모든 프로세스를 단계별로 세분화해 의뢰자의 요구에 따라 구독기반으로 제공 (Ex. Caffeine)
> 타이포스쿼딩, 특정 타겟 대상, 사용자 흥미/취미 이용 등
- 피싱 URL의 짧은 생명주기로 인해 대응하는데 어려움 존재
> AI 이용 컨텐츠 추출, 이미지 캡쳐 등을 이용한 URL 분석 서비스 Askurl
4. 해킹사고 여부 원클릭으로 확인하는 '해킹진단도구'
- 보안이 취약한 영세, 중소 기업들은 인력 및 예산 부족으로 해킹 피해 인지가 어려움
> KISA, 침해사고 조사기법을 적용해 사전 탐지할 수 있도록 원클릭으로 해킹 여부를 진단하는 도구 개발
> 탐지 룰은 MITRE ATT&CK의 전술과 기법을 활용하여 개발
> 보호나라 > 정보보호 서비스 > 주요사업 소개 > 기업 서비스 > 해킹진단도구를 통해 서비스 신청 가능
- 기업 스스로 초기에 해킹 여부를 진단 할 수 있도록 함
| 기능 | 설명 |
| 수집 | - 침해사고 증거데이터 자동 수집 > 기업 운영 시스템 內 다양한 증거 데이터를 원클릭으로 수집 > 원격접속기록, 프로그램 설치 및 실행, 계정 생성, 시작 프로그램 등록, 로그 삭제, 백신탐지기록 등 |
| 진단 | - 수집된 로그 등에 대해 해킹여부 탐지룰 기반 분석, 진단 > 비정상적으로 생성된 사용(관리자) 탐지 > 원격 관리도구 설치 여부 분석 > 윈도우 시스템 이벤트 로그 삭제 여부 > 비정상 IP로 원격관리프로그램(RDP) 접속 여부 분석 |
| 결과 | - 분석 결과 리포팅 > 사용자가 시스템의 해킹여부를 직관적으로 판단할 수 있도록 3단계(심각: 빨강, 위험: 주황, 정상: 녹색) 결과 제공 > 담당자가 쉽게 이해할 수 있는 점검결과 보고서 제공 > 분석결과에 따라 침해사고 신고 자동 안내 |
5. 침해사고 조사 및 대응 절차
- 침해사고 대응역량 향상을 위한 제언
| 구분 | 설명 |
| 상급/지원 조직 | 채증 도구, 절차/가이드 개발 및 배포, 현장 방문 지원, 중앙집중화 서비스 제공 등 |
| 인력/예산 | 전담인력 확충, 정보보호 장비 예산 할당 |
| 관리체계 구축 | 정보보호에 대한 따른 기술적, 물리적, 관리적 보호 체계 확립 |
| 주기적인 보안점검 지원 | 국정원 실태평가, 국방부 중앙보안감사, 사이버보안 기관평가 사례 |
| 조직 자체 대응 방안 수립 | 조치 담당자(역할-책임), 초기 대응(네트워크 차단, 채증, 신고 조직 등) 절차 수립 |
6. 최근 사이버공격 트랜드와 예방전략
- AI를 통해 예측할 수 없는 공격 시나리오 구성
> 특정 대상을 타겟팅하여 AI를 통해 짜여진 시나리오대로 다양한 방식으로 공격 수행
> CaaS(Crime-as-a-Service)가 23년 이후의 최신 트렌드로 자리매김
※ CaaS(Crime-as-a-Service): 사이버 범죄 조직이 직접 개발, 판매, 유통, 마케팅까지 하는 종합적 공격 서비스
- 조직 내 침해사고 발생 주요 원인: 가장 큰 비중은 의심스러운 메일, 사이트, 파일 실행
| 구분 | 설명 |
| 의심스러운 메일 | - 피싱 URL이 삽입된 메일을 전송해 계정 정보 입력을 유도 및 탈취 - 메일 제목 확인, 계정 정보 입력 시 계정 정보 변경, 첨부파일 실행 시 랜선 제거 등 조치 |
| 의심스러운 사이트 | - 취약한 사이트에 악성코드 삽입 후 사용자가 해당 사이트 접근 시 악성코드 감염 - 크롬 또는 엣지 브라우저 사용, 랜섬웨어 감염 시 랜선 제거 등 조치 |
| 의심스러운 파일 | - 악성코드가 삽입된 파일을 첨부한 메일을 전송 및 사용자 실행 시 악성코드 감염 - 숨김 파일 및 파일 확장자 모두 표시, 파일명/확장자/아이콘이 이상할 경우 실행 금지 등 조치 |
- AV, EPP, EDR 간단한 설명
> EDR은 앤드포인트에서 다양한 정보를 수집하여 직관적인 가시성을 제공하고, 이를 기반으로 행위분석 및 AI/ML을 활용하여 알려진 및 알려지지 않은 위협을 탐지 및 대응하는 솔루션
| 구분 | 설명 |
| AV (Anti-Virus) | - 단순 시그니처 매핑을 통한 악성파일 탐지 |
| EPP (Endpoin Protection Platform) | - 시그니처 매핑 + 단순 프로세스 동작 분석을 통한 악성파일 탐지 |
| EDR (Endpoint Detection&Response) | - 단말 장치의 행위를 종합적으로 분석하여 악성파일을 탐지하고, 단말 장치의 모든 활동 기록을 분석하고 검색함으로써 보안 위협을 식별 |
'대외활동' 카테고리의 다른 글
| 제13회 정보보호의 날 기념식 (0) | 2024.07.11 |
|---|---|
| RSAC2024 글로벌보안트렌드 (0) | 2024.06.13 |
| 네이버 프라이버시 세미나 - 2023 네이버 프라이버시 백서 주제 발표 (0) | 2024.02.01 |
| 소프트웨이브 2023 (0) | 2023.11.30 |
| 제로트러스트 가이드라인과 성공적 구현 방안 (0) | 2023.10.12 |