이렇게 겉으로 드러난 국가간 해킹 피해도 큰데, 드러나지 않은 피해는 어마어마 할 것이다.
Ⅱ. 본문
1. 최근 정보보안 사고
우리나라에서 정보보안에 대하여 중요하게 각인되었던 사건이 있었다.
바로 웹호스팅 업체가 랜섬웨어에 감염된 사건이다.
웹호스팅이란 사이트를 연결할 수 있는 인터넷 주소를 제공하는 업체로, 이 곳이 감염된다면,
이와 관련된 모든 사이트가 마비된다.
웹호스팅 업체 랜섬웨어 감염 (인터넷 나야나 감염사태)
2017년 6월, 대한민국의 웹 호스팅 업체인 인터넷나야나의 웹 서버 및 백업 서버 153대가 랜섬웨어의 일종인 에레버스(Erebus)의 리눅스용 변종에 일제히 감염된 사건이다.
대한민국에서 호스팅 업체가 랜섬웨어에 감염된 것은 인터넷나야나가 최초이다.
다수의 이용자가 입주한 호스팅 서버가 감염된 만큼 피해가 상당히 컸으며, 인터넷나야나 측의 안일한 대처와 이용자들을 무시하는 태도로 인해 피해가 더욱 커졌다.
결국 나야나 측에서 해커가 요구한 금액을 지불하는 방식으로 마무리되었다.
에레버스를 상세 분석한 결과 공격지는 브라질로 추정된다..
자세한 진행사항은 위키트리에서 제공한 내용을 발췌하여 아래와 같이 인용하였다.
6월 10일 토요일 새벽, 나야나의 서버에 에레버스(Erebus) 랜섬웨어가 감염되었다. 에레버스는 윈도우를 타깃으로 한 랜섬웨어이나 나야나는 리눅스 서버를 사용하고 있어 리눅스를 대상으로 한 변종으로 알려졌다.
[1] 랜섬웨어 감염 당시 이용자들은 FTP 서버에서 강제로 접속이 종료되는 증상을 겪었고 사이트에 접속하고 나서 랜섬웨어 감염 사실을 확인하였다.
나야나 측에서 이 사실을 인지한 것은 6월 10일 01시 30분경이었고, 웹 사이트 공지를 통해 이용자들에게 알린 것은 03시경이었다. 첫 공지에서 회사 측은 복구 여부에 대해서는 즉답이 어려우며 고객이 직접 개인적으로 백업한 데이터가 있을 경우 복구해 주겠다는 입장을 밝혔다.
[2] 호스팅 업체가 랜섬웨어에 무방비로 공격당하여 실제 피해가 발생한 것은 이번이 처음이었으며 특히 1만여 웹 사이트가 이용하는 대형 업체가 피해를 본 이례적인 사건이었기에 IT/보안 관련 언론 뿐만 아니라 주요 일간지와 방송 뉴스에서도 관련 보도를 편성하였다.
[3] 이 중 SBS 8 뉴스 의 보도에 따르면 이 사태로 피해를 입은 사이트는 무려 5천여 개에 달하는 것으로 추산되었다. 특히 다른 기관/단체로부터 웹 사이트 제작과 관리를 대행하는 웹 에이전시 업체들이 많이 가입되어 있어 나야나 측에서 추산한 2차 피해액은 10억 원에 다다른다.
[4] 6월 11일 18시, 나야나는 3차 공지를 발표하였다. 나야나는 공격자들이 서버 1대당 5.4 비트코인 (17,550,000원)을 요구하고 있다고 밝혔다. 감염된 서버가 153대이므로 총 액수는 26억여 원에 달한다.
[5] 나야나의 2015년 매출이 30억여 원, 순이익 1억여 원인 것
[6] 을 감안할 때 이 액수는 나야나가 감당하기는 어려운 액수이다.
사태에 직접적인 책임을 지닌 나야나는 세 차례의 공지를 하고 사태 발생 이틀이 되었음에도 사태 해결과 데이터 복구에 대해 구체적인 답을 내놓지 못하였다. 나야나는 인터넷진흥원 및 사이버수사대와 공조하겠으니 동요하지 말고 믿고 기다려달라는 무의미한 약속만을 이용자들에게 던졌다. 게다가 랜섬웨어 감염을 단순 '시스템 장애'로 지칭하는 등 사태를 제대로 인식하지 못하거나 의도적으로 축소하려는 태도를 보여 이용자들의 분노를 샀다.
[7] 게다가 이 공지가 올라온 후인 6월 12일에도 나야나 자유 게시판에 올라온 글에 따르면, FTP를 이용한 서버 상에서 랜섬웨어에 의한 암호화가 이루어지고 있다.
6월 12일 16시경 올라온 나야나의 공지 에 의하면, 해킹된 페이지의 파킹 처리(공사 중 등의 페이지처럼 안내문을 띄우는 것), 협상 비용 마련을 진행 중이라고 한다. 또한 해커와의 협상 내용 또한 공개하였는데, 해커는 대출, 파산, 회사 규모와 연봉, 그리고 가족까지 구체적으로 언급하면서 협박했다.
출처 : 위키트리
MS, 국내 제조업 노린 악성메일 공격
국내 제조업을 노린 악성메일 공격 또한 유심히 봐야하는 사고 중 하나이다.
이는 이메일 뿐만 아니라 문자메세지로 진화되고 있고,
각종 피싱 등의 범죄 수단으로 진화되고 있다.
이러한 머신러닝을 이용한 공격 탐지가 중요하기 때문에, 이러한 피싱메일이 온다면, 각별히 유의해야하며,
신고를 해야 이후 진화하는 범죄에도 대응할 수 있다고 생각한다.
마이크로소프트(MS)가 코로나19 확산세를 악용하는 악성 메일 공격들을 탐지했다.
이 중에 국내 제조업을 노린 공격 시도도 포착됐다.
MS는 자사 머신러닝 기반 위협 탐지 모델을 이용해 지난 주 다수의 국가와 업종을 노린 악성 메일 공격들을 포착했다고 4일 트위터에 밝혔다.
공격을 위해 유포된 메일에는 압축파일(ISO) 또는 가상 이미지 파일(IMG)이 첨부됐다.
파일을 열면 원격접근트로이목마(RAT) '렘코스(Remcos)'에 감염돼 해커의 제어를 받게 된다.
MS는 ISO, IMG 파일을 사용하는 공격은 흔치 않은 편이라고 분석했다.
국내 제조업 분야 기업을 노린 공격의 경우 미국 질병통제예방센터(CDC)를 사칭한 악성 메일이 유포됐다.
해당 메일에는 렘코스에 감염될 수 있는 ISO 파일이 첨부됐다.
재난 대출을 받으려는 미국 중소 기업을 노린 공격도 포착됐다.
이 경우 해커는 미국 중소기업청(SBA)을 사칭한 메일을 유포했다. 메일에는 악성 IMG 파일을 첨부했다.
미국공인회계사협회(AICPA) 회원을 노린 공격도 발견됐다.
해커는 이들을 대상으로 '코로나19 관련 업데이트(COVID-19 related updates)'라는 제목의 악성 메일을 유포했다.
이 메일에는 국내 제조 기업에 유포된 메일에 담긴 파일과 동일한 파일이 첨부됐다.
MS 보안 연구소장인 탄마이 가나차리아는 이번 공격 사례를 언급하면서 머신러닝을 이용한 공격 탐지가 중요하다고 강조했다.
그에 따르면 파일이 감염될 때마다 형태가 변형되는 다형성 맬웨어와, 파일 생성 없이 메모리에서 실행되는 파일리스 맬웨어를 사용하는 공격이 전세계에서 발견되는 공격 중 96% 이상이다.
존재가 확인된 악성 파일을 탐지하는 방식의 백신은 이런 악성 파일에 대응하기 어렵다는 것.
가나차리아는 머신러닝 기술을 사용해 자사 백신 프로그램 '윈도 디펜더'가 기기에서 발생하는 의심스러운 동작을 감지하고,
