English | Join | Login | Contact us
가장 위험한 새로운 공격기법 7가지 SANS배너
아래 내용은 'RSA 2017' (2월 15일) 보안 컨퍼런스에서 SANS 연구소의 에드 스쿠디스, 마이클 어쌘트 및 조핸 울리치 교수진이 "가장 위험한 새로운 사이버공격 7가지"라는 주제로 공격기법 및 완화기법을 발표한 내용입니다.

1. 랜섬웨어 공격 확산
2. 사물인터넷(IoT) 공격 진화
3. 랜섬웨어와 IoT 충돌
4. 산업제어시스템(ICS) 공격으로 정전 발생 및 복구 어려워
5. 취약한 난수 생성기
6. 소프트웨어 컴포넌트로서의 웹 서비스에 대한 의존성
7. NoSQL 데이터베이스에 대한 위협


랜섬웨어 공격 확산

RSA 컨퍼런스는 암호기술을 통해 상업, 커뮤니케이션 및 프라이버시를 향상시킬 수 방법을 논의하기 위해 설립되었습니다. 그러나 몸값을 지불하기 위해 암호화된 디지털통화와 결합된 랜섬웨어는 암호기술을 사용하여 악의적인 사람들에게 이익을 주고 있습니다. 랜섬웨어는 공격자가 명령 및 제어 채널(C&C)을 필요로 하지 않고, 데이터 유출도 없고, 공격자와 접촉이 없으므로 공격자에게 매우 효율적입니다. 대신, 랜섬웨어 "고객"은 감염된 데이터를 복구할 수 있도록 "도움"을 받기위해 공격자에게 손을 내밀고 있습니다. 우리는 엄청나게 증가하는 랜섬웨어 공격과 개인, 기업에 미치는 경제적 영향을 목격하고 있습니다. 최근 랜섬웨어는 네트워크 파일서버, 백업 및 대형 데이터베이스를 대상으로 점차적으로 기업에 미치는 영향이 확대되고 있습니다.

사물인터넷(IoT) 공격 진화

지난 몇 년 동안 전구, 온도 조절기, 웹캠 등 IoT를 구성하는 스마트 기기가 공격대상이 된 것을 봐왔습니다. 스마트 기기를 통해 공격자는 기기들을 켜거나 끌 수 있어 소비자에게 영향을 주고 있습니다. 그러나 IoT는 단순한 공격대상이 아니라 공격 플랫폼으로 진화하고 있습니다. 수천만 대의 IoT 장치로 전파되는 미라이(mirai)와 같은 대규모 오픈 소스 웜을 사용하면 공격자는 이러한 시스템을 활용하여, 대량의 트래픽을 만들어 거의 모든 조직의 인터넷을 못 쓰게 만들 수 있습니다. 이러한 광범위한 퍼진 IoT 공격 플랫폼을 이용하면, 서비스 거부 공격뿐만 아니라 정보유출 및 암호 해독과 같은 공격이 가능합니다.

랜섬웨어와 IoT 충돌

범죄 조직은 랜섬웨어에서 막대한 돈을 벌고 있으며 공격을 보다 강력하고 만들고 확산시켜 영향력을 확대하기 위해 이익의 일부를 투자하고 있습니다. 공격자는 랜섬웨어 위협과 IoT를 결합하여 서비스 거부 공격보다 훨씬 더 많은 영향을 미칠 수 있습니다. 환경설정을 암호화하고 인프라를 제어함으로써 공격자는 온도 제어 장치, 조명 인프라 또는 심지어 자동차를 몸값으로 확보 할 수 있습니다. 만약이 우리가 자동차 시동을 켜거나 조명을 켜려면, 몸값을 지불해야 하거나, 장치의 모든 펌웨어를 다시 구성해야합니다. 이러한 위협은 산업 사물인터넷(IIoT)에서 더욱 두드러지게 나타나는데, 랜섬웨어 위협을 기반으로 공장의 생산능력 또는 기반시설 서비스 능력이 인질로 잡혀있을 수 있습니다.

산업제어시스템(ICS) 공격으로 정전 발생 및 복구 어려워

ICS에 대한 공격이 전환점을 맞고 있습니다. 중요한 인프라의 취약한 핵심 운영기능이 공격 받고 있습니다. 최근의 공격은 전력과 같은 필수 공공 서비스 공급을 방해했을뿐만 아니라 복구 및 원활한 작동을 가능하게하는 자동화 시스템을 손상시킴으로써 영향력이 커지고 있습니다. 2015년과 2016년 우크라이나에서 정전을 초래한 공격이 섬세하게 계획되고 실행되었습니다. 공격자는 자동화 시스템을 하이재킹하여 워크 스테이션, 서버 및 임베드 장치에 일련의 공격 페이로드를 통해 정전을 발생시켰습니다. 이 공격은 자동화를 사용하지 못하도록 하고, 사용자가 성능이 저하된 수동 상태에서 작동하도록 하였습니다.

중요한 이유: 미래 공격은 정전 및 시설 파괴로 부터 복구하는 것이 매우 어려울 수 있습니다. 이러한 유형의 공격으로 인프라 운영 기관은 공격을 받는 동안 어떻게 운영 할 것인지를 고려하고, 지능형 시스템으로 운영하거나, 아니면 셧 다운할 지에 대해서 모순적인 결정을 내려야 하는 상황에 내몰립니다. 마지막으로 이러한 공격은 극단적으로 위험한 기상조건이 있는 계절에 민간 인프라를 대상으로 시행되었기 때문에, 사이버 갈등을 확인하지 않은 상태로 만들 수 있는 위험을 증가시켰습니다.

취약한 난수 생성기

안전한 난수를 만드는 것은 어려운 문제입니다. 소형 기기들은 난수 생성에 사용되는 알고리즘을 초기화하기위해 충분한 무작위 이벤트를 수집하는 것이 어렵습니다. 최근의 연구에 따르면 이러한 방법을 이용해서 WPA2 암호화를 깰 수 있는 방법을 증명했습니다. 그러나 문제는 와이파이 WPA2만의 문제가 아닙니다. 안전한 난수 생성이 보장되지 않는 암호기술은 광범위하게 사용되는 보안 알고리즘을 위험에 빠뜨릴 수 있습니다.

중요한 이유: 와이파이뿐만 아니라 대부분의 무선 프로토콜은 안전한 난수를 사용하여 연결을 암호화합니다. 안전한 난수가 없으면 무선 연결은 안전하지 않습니다.

소프트웨어 컴포넌트로서의 웹 서비스에 대한 의존성

작년에 우리는 안전하지 못한 소프트웨어 구성 요소가 소프트웨어를 위험에 빠뜨리게하는 방법에 대해 이야기했습니다. 개발자가 사용하는 라이브러리를 추적하고 라이브러리를 패치하는 일이 중요합니다. 그러나 개발자는 더 이상 다운로드하여 설치 한 라이브러리와 같은 구성 요소를 사용하는 데 제한되지 않습니다. 대신 다운로드한 소프트웨어 라이브러리 대신 원격 웹 서비스에 점점 더 의존하고 있습니다. 컨테이너 및 서버가 없는 클라우드 컴퓨팅과 같은 새로운 기술은 사용되는 동안에만 존재할 수 있는 서비스를 가능하게 합니다. 원격 서비스에 대한 의존도는 소프트웨어를 새로운 위험에 노출시킵니다. 서비스는 신중하게 인증되어야하며 수신 된 데이터의 유효성 검사가 필요합니다. 애드 혹 서비스는 관리가 어렵고, 보안 스캐닝을 통해 서비스가 필요할 때만 시작되어야 한다는 점을 고려해야합니다.

중요한 이유: 소프트웨어 개발자의 상당수가 중요한 기능을 위해 라이브러리 대신 원격 네트워크 서비스를 사용합니다. 특히 모바일 애플리케이션은 네트워크 서비스에 크게 의존하고 있습니다. 이러한 서비스를 적절히 검증하지 않고 서비스를 테스트하고 모니터링하지 않으면 이러한 응용 프로그램의 위험이 증가합니다.

NoSQL 데이터베이스에 대한 위협

보안에 대한 인식이 있는 개발자는 오랜 세월 동안 기존 SQL 데이터베이스를 잘 알고, 위협을 완화시켜 왔습니다. 그들은 사용자 계정에 대해서 준비된 스테이트먼트와 올바른 구성을 적용해 왔습니다. 그러나 MongoDB 나 Elastic Search와 같은 새로운 NoSQL 데이터베이스의 경우 이러한 옵션 중 일부가 존재하지 않거나 새로운 위협을 고려해야합니다. JSON 및 XML과 같은 복잡한 데이터 유형으로 인해 새로운 비 직렬화 위협이 발생하고, 개발자 및 시스템 관리자는 일반적으로 이러한 데이터베이스를 안전하게 유지하고 데이터를 안전하게 전달하기 위한 지식이 부족합니다.

중요한 이유: 100 만 개 이상의 살아있는 IP 주소에서 수신 된 트래픽을 보고하는 SANS 인터넷스톰센터(ISC)의 DShield 센서 네트워크는 취약한 "NoSql" 데이터베이스에 대한 지속적인 스캔하여 관찰합니다. 수천 개의 NoSql 데이터베이스가 이미 해킹되었거나 삭제되었습니다. NoSql 데이터베이스의 취약한 인스턴스는 인터넷에 노출 된 지 몇 시간 내에 발견됩니다.

업데이트 일자: 2017년 2월 17일
최근 트위터 @ITLKorea
사이버보안 표준자료
CWE/SANS 가장 위험한 25大 소프트웨어 오류
효과적인 사이버 방어를 위한 20개 핵심 통제항목
자동차ISAC 사이버보안 모범사례
NICE 프레임워크
포켓 참고가이드
벤더
스폰서쉽
파트너쉽
연락
공지사항
문의
채용정보
공인강사지원
English
| 개인정보 취급 방침 | 통신판매업신고번호 : 제2010-경기성남-0367호 | ⓒ2011 - 2019 ITL Secure Institute, All Rights Reserved.
본 사이트에 게재되어 있는 회사명, 단체명, 제품명은 각 회사 및 단체의 등록상표입니다.