20.11.18 ( 보안사고 대응전략 피해 감소에 집중, 온라인 데이팅 서비스 서비스 범블 1억명 사용자 정보 노출, '뉴 노멀' 노린 사이버공격 성행 )

1. 보안사고 대응전략, 피해감소에 집중

 

최근 대형 침해사고로 이어지는 공격들은 특정 타깃을 오랜 기간 관찰해 정보를 획득하고, 스피어 피싱과 같은 타깃형 공격을 이용해 내부 네트워크로 침투하는 전략이 주로 사용된다고 합니다.😀

 

타깃형 공격에 대응하기 위해 공격 타깃의 업무특성 및 보유자산으로 인한 피해 분석과 추가 발생 가능한 공격에 대한 예측이 필요하다고 합니다.

 

따라서 자사의 위협 노출에 대해 구체적으로 문제점을 파악하고 관리적기술적 대응방안을 마련해야 하며, 이를 위해 공격 타깃과 공격 기법에 따른 기존 사고 사례 분석이 수반되어야 한다고 합니다.😁

 

최근 TTPs(Tactics, Techniques, Procedures) 단위로 공격자 혹은 공격그룹을 프로파일링하는 트렌드가 유행하고 있는데, 이는 IoCs(Indicators of Compromise) 단위의 단발성 대응이 아닌 TTPs 분석을 통해 지속적으로 공격을 대응할 수 있기 때문이라고 합니다.

 

하지만 공격자 관점의 분석과는 다른 관점인 방어자 관점에서 피해 발생 가능한 유형을 구분하고, 방어 전략을 마련할 수 있는 연구는 미진한 실정이라고 하네요.🤨

 

이러한 문제를 해결하기 위해 KISA 침해대응센터는 방어자가 구체적인 방어 전략을 수립할 수 있도록 공격 타깃별 발생 가능한 침해사고 시나리오 분석과 공격도구가 어떠한 기능을  사용하는지 소개하는 "스피어피싱 공격 타깃별 피해 시나리오 분석(악성행위에 사용되는 도구를 중심으로" 기술보고서를 업데이트했다고 합니다.😁

 

보고서는 타깃이 보유하고 있는 자산으로 인해 기업에게 미치는 피해를 분석하고, 최종적으로 감염된 악성코드가 어떻게 동작하는지 설명하고 있다고  합니다.

 

이를 위해 침해사고에서 보편적으로 이용되는 악성코드가 어떤 기능을 갖고 있으며, 쉽게 이용가능한지 소개하고 있다고 합니다.

 

또한, 시나리오를 구현 및 검증함으로써, 제안하는 시나리오가 실제로 발생할 수 있는 현실이고 자사에 발생할 수 있는 실질적 위협임을 인식토록하는 것이 목적이라고 합니다.😀

 

보고서를 한번 읽어보고 공부해보는 것이 좋을 것 같다는 생각이 드네요!😁

 

 

 

2. 온라인 데이팅 서비스 범블, 1억 명 사용자 정보 노출

 

온라인 데이팅 서비스 범블(Bumble)에서 사용자의 민감 정보가 대량으로 유출되었다고 합니다.😮

 

이번 사건은 API 취약점들에 기인했다고 합니다. 이를 발견한 보안전문가인 산자나 사르다는 이 API 취약점들을 익스플로잇하여 범블의 유료 서비스를 공짜로 이용하고 다른 사용자의 개인정보에도 접근했다고 합니다.

 

사르다는 "이 취약점은 무척 찾기 쉽다. 서비스 개설자 입장에서 좀 더 꼼꼼하게 기본 확인 사항만 검사했어도 없을 문제이다. 취약점을 처음 발견하는데 걸린 시간은 딱 이틀이었습니다. 그리고 다시 이틀만에 개념증명용 익스플로잇을 개발했습니다. API 취약점은 널리 알려지지 않았지만 현재 IT 인프라에서 API는 꽤나 위험할 수 있는 요소입니다." 라고 언급했다고 합니다.

 

사르다는 범블 API에 대한 리버스 엔지니어링을 했다고 합니다. 이를 통해 서버가 확인하지 않은 행동들을 처리하는 엔드포인트가 존재하고 있음을 알아냈다고 합니다. 유료 서비스 이용자들에게 제한된 서비스를 이용할 방법이 존재한다는 의미이며, 확인해 보니 일부 유료 사용자들처럼 '상대에게 관심이 있다'는 표현을 무료 사용자도 무한정 사용할 수 있었다고 합니다.

 

이뿐만 아니라 server_get_user 엔드포인트에 접근해 범블 사용자 전체의 목록을 확인하는데도 성공했다고 합니다. 이를 통해 사용자들의 페이스북 데이터와 '소원' 데이터를 확보할 수 있었다고 합니다. 이를 통해 프로파일 정보, 성적 취향 등 민감 정보를 취득할 수 있다고 합니다.

 

사르다는 이 모든 내용을 범블 측에만 알렸다고 합니다. 하지만 225일이 지나도록 범블 측에서는 아무런 답장이 없었다고 합니다. 그래서 범블이 해커원을 통해 버그바운티를 진행하고 있다는 것을 알게되었고 사르다는 '공개'를 언급하고 나서야 답장을 받았다고 합니다. 그것도 해커원이 "범블 측은 취약점 공개를 원치 않는다"고 대신 보낸 서신 뿐이었다고 합니다.🤨

 

그 후 해커원이 앞장서서 범블의 취약점을 해결하고 위협 요소들을 완화시키려고 했다고 합니다. 하지만 아직 문제가 다 해결되지는 않았다고 합니다.

 

 

 

3. 2021년 사이버 보안 전망, '뉴 노멀' 노린 사이버공격 성행

 

2021년에도 코로나19로 인한 비대면 일상이 이어지면서 이를 위협하는 보안 공격이 증가할 것으로 예상되며, 기업은 선제적인 대응을 위해 보안 자동화 및 효율성 향상을 위한 보안 기술에 높은 관심을 가질 전망이라고 합니다.😀

 

디지서트(DigiCert)가 발표한 '2021년 사이버 보안 전망'을 알아보겠습니다.😁

 

(1) '뉴 노멀'이 공격 받을 것

 

2021년에는 개인과 기업 모두 코로나19 이후 나타난 새로운 일상(뉴 노멀)에 적응할 것으로 예상된다고 합니다. 뉴 노멀은 여행 증가, 사무실 근무 복귀를 가져올 것으로 보인다고 합니다. 뉴 노멀을 악용하려는 공격자는 알뜰여행 상품을 찾는 사람들을 표적으로 삼을 것이며, 주로 피싱 공격을 활용할 것으로 예상된다고 합니다.

 

또한, 근로자가 재택근무에서 사무실로 복귀하게되면 사무실 적응을 돕는다고 속인 악성 앱이 증가할 것으로 전망된다고 합니다. 가령 업무 집중에 도움이 되는 백색 소음 앱을 위장해 악성코드를 유표할 수 있다고 합니다. 또한, 사회공학적 공격 뿐만 아니라 재택 및 사무실 근무를 병행하는 근로자의 개인용 기기를 통해 기업으로까지 침투할 수 있다고 합니다.😀

 

(2) 보안 자동화 및 효율성 향상 솔루션이 확대될 것

 

2020년에는 기업이 적은 자원으로 더 많은 일을 할 수 있는 기술에 대한 관심이 높아지면서 자동화가 큰 역할을 담당할 것으로 예상된다고 합니다.

 

기업들이 이용하는 보안 벤더의 수를 줄이려고 하면서 보안 벤더 간의 통합이 일어날 것으로도 보인다고 합니다. 글로벌 시장선도 기술을 갖추고 현지 직원이 가능한 벤더가 높은 평가를 받게 될 것이며, 보안 업무 자동화에 집중하게 될 것으로 전망된다고 합니다.😀

 

더불어 보아 투자가 즉각적인 가치 제공에 초점이 맞춰지면서 양자 컴퓨팅은 발전을 계속할 것으로 보인다고 합니다.

 

(3) 5G는 PKI 배포를 가속화할 것

 

5G 지원 기기가 보편화되면서 2021년 5G로의 전환이 가속화되고, 클라우드 네이티브 보안 솔루션 도입도 가속화될 전망이라고 합니다. 이에 공개키 기반 구조(PKI)를 통한 본인인증이 늘어나고 최신 자동화 솔루션에 대한 수요도 증가할 것으로 보인다고 합니다.

 

(4) 비대면 활동 증가로 온라인 상에서의 보안이 더욱 중요해질 것

 

온라인을 통한 비대면 활동이 확대됨에 따라 개인 데이터에 대한 권한 및 제어에 대한 신원 확인과 사용자 책임이 중요해지면서 온라인 상에서의 보안과 연결 장치 내 보안 유지가 더욱 중요해질 것으로 보인다고 합니다.

 

(5) 원격의료 위한 데이터 보안 강화 더욱 중요해질 것

 

코로나19 발생 전 원격의료는 전체 진료의 작은 부분에 불과했다고 합니다. 하지만 지금은 원격의료를 시행중인 국가들은 원격의료의 범위나 수준을 확대하고 있다고 합니다. 원격의료를 활발히 도입중인 미국은 2020년 3월부터 연방 정부가 원격의료에 대한 미국 건강보험 정보 이전 및 책임에 관한 법(HIPAA)을 한시적으로 완화함에 따라 진료의 상당부분이 빠르게 원격의료 모델로 전환되었다고 합니다. 이렇게 의료 기록의 가치가 높아짐에 따라 점차 이를 이용하려는 공격의 표적이 될 것으로 전망된다고 합니다.😀

 

(6) 사회공학적 공격이 더욱 복잡해질 것

 

공격자들은 현재의 비대면 상황을 전례 없는 수준으로 이용하여 사회공학적 공격을 할것이라고 예상하고 있다고 합니다.

 

새해에 공격자들은 코로나19 무료 진단검사를 적극적으로 사이버 범죄에 이용할 것이라고 합니다. 이는 공격자들은 사회공학적 기법을 이용하여 무료 코로나 검사를 해주겠다며 먼저 자격 확인을 위한 소정의 비용을 청구하는 용도로 우편주소, 전화번호, 카드번호 등 사용자 정보를 요구해 탈취할 것으로 우려된다고 합니다.😀

 

 

 

 

 

 

 

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29693&key=&dir_group_dist=&dir_code=&searchDate=

보안사고 대응전략, 성공•실패 이분법 탈피…피해 감소에 집중

www.boannews.com/media/view.asp?idx=92653&page=1&mkind=1&kind=1

온라인 데이팅 서비스 범블, 1억 명 사용자 정보 노출

www.boannews.com/media/view.asp?idx=92654&page=1&mkind=1&kind=3

2021년 사이버 보안 전망... ‘뉴 노멀’ 노린 사이버공격 성행