.gif)
랜섬웨어 등 신종 범죄 치고 올라오지만 익스플로잇 킷 굳건한 1위
패치 자동화와 첩보 활용, IP 명성 서비스 가입 등 조치법 다양
▲ 꾸준한 1등! 잘났다, 익스플로잇 킷
[보안뉴스 문가용] 최근 인포블록스(Infoblox)라는 보안 전문업체에서 조사한 바에 따르면 지난 1사분기 동안 랜섬웨어가 35배나 증가했지만 거의 2년 동안 가장 위험한 공격 유형은 익스플로잇 킷라고 한다. 익스플로잇 킷란 웹 서버에서 작동하는 소프트웨어의 일종으로 클라이언트 기계의 취약점을 겨냥해 악성 코드를 업로드시키는 기능을 가지고 있다.
“2012년부터는 전 세계의 익스플로잇 킷 대부분이 어도비 플래시의 취약점을 겨냥하기 시작했습니다.” 보안 업체인 솔루셔너리(Solutionary)의 첩보통신팀장인 존루이스 헤이멀(Jon-Louis Heimerl)의 설명이다. “2015년에 특히 급증했죠.”
2015년 한 해에만 발견된 어도비 플래시 취약점이 314개다. “28시간 마다 취약점이 1개씩 발견된 꼴입니다. 올해는 어떨까요? 현재까지 105개 찾았습니다. 33시간마다 하나 꼴인데, 이걸 발전이라고 하면 웃기는 일이죠.” 하지만 당장에 해결책을 기대하기도 어렵다. 지구상에 있는 대부분의 운영시스템에 플래시가 설치되기 때문이다.
“보안 담당자로서 플래시를 설치하지 말라고 권장합니다. 이미 설치되어 있다면 언인스톨하라고 하고요. 정말 그렇게 하고 싶다면, adobe.com으로 들어가서 Flash uninstaller를 다운로드 받아 사용하는 편이 좋습니다.” 하지만 플래시를 여전히 사용하고자 하는 사람들이 더 많다는 사실 또한 그는 알고 있다. “플래시를 설치하고 싶다고 해도 adobe.com으로 들어가서 제대로 된 플래시 설치 파일을 받으세요. 아무데서나 막 다운로드 받지 말고요.”
그 외에 익스플로잇 킷으로부터 조금이라도 자신을 안전하게 지킬 수 있는 방법엔 뭐가 있을까? 솔루셔너리의 도움을 받았다.
1. 패치 관리는 실용적으로
일단 먼저 지금 사용하고 있는 브라우저가 최신 버전인지 확인하라. 아니면 제일 먼저 이것부터 업데이트해야 한다. 보안 담당자라면 사내의 모든 컴퓨터의 모든 브라우저를 점검하고 최신화해야 하는데, 큰 조직의 경우 이는 불가능한 일이 될 수도 있다. 브라우저 업데이트 정도는 자동으로 되도록 설정해놓을 필요가 있다. 결국 익스플로잇 킷을 악용하는 해커들은 취약점이 발견되고 조치가 취해지는 그 사이의 타이밍을 노리는 것임을 기억해야 한다.
2. 위협 첩보를 적극 활용하라
금융, 의료, 도매 산업에 있는 보안 담당자들은 ‘항시 공격받고 있다’는 사실을 인지하고 업무를 한다. 정부 기관에 근무하는 공무원들도 마찬가지다. 특히 국방 및 사법기관들은 날이 곤두서있다. (혹은 그래야 한다.) 이런 사람들에게 첩보란 매우 중요한 단서가 되고, 방어의 날을 효율적으로 세울 수 있게 해주는 도구다. 첩보 역시 일종의 패치처럼 다뤄야 한다. 패치가 기술적인 보안 구멍을 메워준다면, 첩보는 ‘경계 태세’에 있는 구멍을 메워준다.
3. 소셜미디어 사용법과 피싱 대응법은 교육해야 한다
익스플로잇 킷이 극성이고, 플래시가 설치된 시스템이 특히 위험하다는 소리는 일반 사용자들에게 아무런 의미도 전달하지 못한다. 무슨 말인지 알아들어야 의미가 생기는데 익스플로잇 킷은커녕 플래시가 뭔지도 잘 모르는 게 일반인이니 말이다. 그러니 사실 직시와 지켜야 할 항목만 건조하게 전달하는 건 나중에 ‘책임을 지울’ 근거를 만드는 것 외에는 아무런 의미도 없고 도움도 되지 않는다. 그러므로 무슨 말인지 이해를 시켜야 한다.
특히나 소셜 엔지니어링이나 피싱 기법에 많은 사람들이 당하는 만큼, SNS 안전하게 사용하는 방법이라든가 이메일의 수상한 링크 판별하는 법 등은 충분히 교육으로서 금방 효과를 볼 수 있는 부분이다. 다 알 거라고 생각하지 말고, 알려주는 데에 인색하지 않아야 한다.
4. 광고 블록 소프트웨어도 사용하라
공격자들은 웹 사이트의 팝업 광고를 주요 통로로 활용한다. 특히 멀버타이징 기법으로 피해자들을 꼬드겨 익스플로잇 킷을 설치하는 데에 성공한다. 그렇다고 보안 담당자가 직원들의 모든 웹 브라우징 습관을 모니터링 할 수도 없고 광고를 클릭하지 말라고 할 수도 없다. 차라리 광고를 차단하는 솔루션을 사용하는 편이 잡음도 나지 않고 깔끔하게 멀버타이징 공격 성공률을 낮출 수 있다.
5. IP 명성 서비스라는 것도 있다
어떤 IP에서 익스플로잇 킷이 호스팅 되고 있는지 알려주는 IP 명성 서비스라는 게 시중에 이미 나와 있다. 돈을 내고서라도 적극 활용하되, 너무 여기에만 의존해서는 안 된다. 이는 결국 화이트리스트/블랙리스트 작업의 일부이며, 보안 담당자가 조직 내에서 해야 하는 이런 리스팅 작업의 효율성을 높여주는 도구라고 생각해야 한다. 또한 익스플로잇 킷은 항상 성질과 위치가 바뀐다는 것도 염두에 두어야 한다. IP 명성 서비스의 업데이트 주기가 매우 중요하다는 뜻이다.
6. 강력한 엔드포인트 통제
최근 들어 백신의 존재가 하찮게 여겨지고 있는데, 그런 추세가 더 위험하다. 모든 해킹 범죄가 천재들의 최신식 기술과 번뜩이는 아이디어로만 성립되는 게 아니다. 현실에서도 그렇듯 잡범, 초범, 우발범 등이 사이버 공간에도 공존하고 있다. 범죄를 줄이려면 잡범과 초범의 수준 낮은 공격에는 최소한 당하지 말아야 하지 않겠는가. 그런 의미에서 백신은 훌륭한 기본 방어툴이라고 볼 수 있다. 최소 현재까지 알려진 취약점의 50%는 시장에 나와 있는 백신으로 막을 수 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
패치 자동화와 첩보 활용, IP 명성 서비스 가입 등 조치법 다양
▲ 꾸준한 1등! 잘났다, 익스플로잇 킷
[보안뉴스 문가용] 최근 인포블록스(Infoblox)라는 보안 전문업체에서 조사한 바에 따르면 지난 1사분기 동안 랜섬웨어가 35배나 증가했지만 거의 2년 동안 가장 위험한 공격 유형은 익스플로잇 킷라고 한다. 익스플로잇 킷란 웹 서버에서 작동하는 소프트웨어의 일종으로 클라이언트 기계의 취약점을 겨냥해 악성 코드를 업로드시키는 기능을 가지고 있다.
“2012년부터는 전 세계의 익스플로잇 킷 대부분이 어도비 플래시의 취약점을 겨냥하기 시작했습니다.” 보안 업체인 솔루셔너리(Solutionary)의 첩보통신팀장인 존루이스 헤이멀(Jon-Louis Heimerl)의 설명이다. “2015년에 특히 급증했죠.”
2015년 한 해에만 발견된 어도비 플래시 취약점이 314개다. “28시간 마다 취약점이 1개씩 발견된 꼴입니다. 올해는 어떨까요? 현재까지 105개 찾았습니다. 33시간마다 하나 꼴인데, 이걸 발전이라고 하면 웃기는 일이죠.” 하지만 당장에 해결책을 기대하기도 어렵다. 지구상에 있는 대부분의 운영시스템에 플래시가 설치되기 때문이다.
“보안 담당자로서 플래시를 설치하지 말라고 권장합니다. 이미 설치되어 있다면 언인스톨하라고 하고요. 정말 그렇게 하고 싶다면, adobe.com으로 들어가서 Flash uninstaller를 다운로드 받아 사용하는 편이 좋습니다.” 하지만 플래시를 여전히 사용하고자 하는 사람들이 더 많다는 사실 또한 그는 알고 있다. “플래시를 설치하고 싶다고 해도 adobe.com으로 들어가서 제대로 된 플래시 설치 파일을 받으세요. 아무데서나 막 다운로드 받지 말고요.”
그 외에 익스플로잇 킷으로부터 조금이라도 자신을 안전하게 지킬 수 있는 방법엔 뭐가 있을까? 솔루셔너리의 도움을 받았다.
1. 패치 관리는 실용적으로
일단 먼저 지금 사용하고 있는 브라우저가 최신 버전인지 확인하라. 아니면 제일 먼저 이것부터 업데이트해야 한다. 보안 담당자라면 사내의 모든 컴퓨터의 모든 브라우저를 점검하고 최신화해야 하는데, 큰 조직의 경우 이는 불가능한 일이 될 수도 있다. 브라우저 업데이트 정도는 자동으로 되도록 설정해놓을 필요가 있다. 결국 익스플로잇 킷을 악용하는 해커들은 취약점이 발견되고 조치가 취해지는 그 사이의 타이밍을 노리는 것임을 기억해야 한다.
2. 위협 첩보를 적극 활용하라
금융, 의료, 도매 산업에 있는 보안 담당자들은 ‘항시 공격받고 있다’는 사실을 인지하고 업무를 한다. 정부 기관에 근무하는 공무원들도 마찬가지다. 특히 국방 및 사법기관들은 날이 곤두서있다. (혹은 그래야 한다.) 이런 사람들에게 첩보란 매우 중요한 단서가 되고, 방어의 날을 효율적으로 세울 수 있게 해주는 도구다. 첩보 역시 일종의 패치처럼 다뤄야 한다. 패치가 기술적인 보안 구멍을 메워준다면, 첩보는 ‘경계 태세’에 있는 구멍을 메워준다.
3. 소셜미디어 사용법과 피싱 대응법은 교육해야 한다
익스플로잇 킷이 극성이고, 플래시가 설치된 시스템이 특히 위험하다는 소리는 일반 사용자들에게 아무런 의미도 전달하지 못한다. 무슨 말인지 알아들어야 의미가 생기는데 익스플로잇 킷은커녕 플래시가 뭔지도 잘 모르는 게 일반인이니 말이다. 그러니 사실 직시와 지켜야 할 항목만 건조하게 전달하는 건 나중에 ‘책임을 지울’ 근거를 만드는 것 외에는 아무런 의미도 없고 도움도 되지 않는다. 그러므로 무슨 말인지 이해를 시켜야 한다.
특히나 소셜 엔지니어링이나 피싱 기법에 많은 사람들이 당하는 만큼, SNS 안전하게 사용하는 방법이라든가 이메일의 수상한 링크 판별하는 법 등은 충분히 교육으로서 금방 효과를 볼 수 있는 부분이다. 다 알 거라고 생각하지 말고, 알려주는 데에 인색하지 않아야 한다.
4. 광고 블록 소프트웨어도 사용하라
공격자들은 웹 사이트의 팝업 광고를 주요 통로로 활용한다. 특히 멀버타이징 기법으로 피해자들을 꼬드겨 익스플로잇 킷을 설치하는 데에 성공한다. 그렇다고 보안 담당자가 직원들의 모든 웹 브라우징 습관을 모니터링 할 수도 없고 광고를 클릭하지 말라고 할 수도 없다. 차라리 광고를 차단하는 솔루션을 사용하는 편이 잡음도 나지 않고 깔끔하게 멀버타이징 공격 성공률을 낮출 수 있다.
5. IP 명성 서비스라는 것도 있다
어떤 IP에서 익스플로잇 킷이 호스팅 되고 있는지 알려주는 IP 명성 서비스라는 게 시중에 이미 나와 있다. 돈을 내고서라도 적극 활용하되, 너무 여기에만 의존해서는 안 된다. 이는 결국 화이트리스트/블랙리스트 작업의 일부이며, 보안 담당자가 조직 내에서 해야 하는 이런 리스팅 작업의 효율성을 높여주는 도구라고 생각해야 한다. 또한 익스플로잇 킷은 항상 성질과 위치가 바뀐다는 것도 염두에 두어야 한다. IP 명성 서비스의 업데이트 주기가 매우 중요하다는 뜻이다.
6. 강력한 엔드포인트 통제
최근 들어 백신의 존재가 하찮게 여겨지고 있는데, 그런 추세가 더 위험하다. 모든 해킹 범죄가 천재들의 최신식 기술과 번뜩이는 아이디어로만 성립되는 게 아니다. 현실에서도 그렇듯 잡범, 초범, 우발범 등이 사이버 공간에도 공존하고 있다. 범죄를 줄이려면 잡범과 초범의 수준 낮은 공격에는 최소한 당하지 말아야 하지 않겠는가. 그런 의미에서 백신은 훌륭한 기본 방어툴이라고 볼 수 있다. 최소 현재까지 알려진 취약점의 50%는 시장에 나와 있는 백신으로 막을 수 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
