Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 8월 8일] 주요 보안 이슈
작성일 2018-08-08 조회 818

1. [기사] Health Care Data of 2 Million People in Mexico Exposed Online
[https://www.bleepingcomputer.com/news/security/health-care-data-of-2-million-people-in-mexico-exposed-online/]
멕시코에서 2백만명의 환자들에 대한 의료 정보가 포함된 MongoDB의 데이터베이스가 온라인 상에서 노출되었다. 이 데이터에는 이름, 성별, 생년월일, 보험 정보, 장애 상태 및 집 주소 등의 정보가 포함되어 있다. 이 데이터베이스는 보안 연구원인 Bob Diachenko에 의해 발견되었다. 이는 웹 서버가 아닌 모든 인터넷 연결 장치를 검색하는 엔진인 Shodan을 통해 검색되었으며, 연구원이 발견하였을 때 해당 데이터베이스는 완전히 노출되어 누구든 암호 없이 액세스하고 편집할 수 있는 상태였다.
건강 기록, 관리 계정이 노출되어 있는 것을 확인한 Diachenko는 데이터를 발견한 당일 해당 데이터베이스를 사용하는 Hova Health 회사와 접촉하였다. 그에 Hova Health는 이후 3시간동안 데이터베이스에 보안 조치를 취했으며, 현재까지 침해된 사례는 없는지를 체크하고 이후에 같은 사고가 발생하지 않도록 인프라를 점검하고 있다고 밝혔다.
Diachenko는 노출된 데이터베이스에 관한 글을 작성하면서 MongoDB에 대한 문제가 2013년 3월 이후 널리 알려졌음을 이야기했다. Shodan에 따르면 이 회사는 소프트웨어에 보안 패치를 수행했으며, 이후 보안 지침을 발표했다고 한다. 하지만 5년이 지난 지금까지도 보안 업데이트를 하지 않은 데이터베이스는 여전히 널리 사용되고 있으며, 현재도 54000여개의 데이터베이스에 접근이 가능하다고 밝혔다.

 


2. [기사] TSMC Chip Maker confirms its facilities were infected with WannaCry ransomware
[https://securityaffairs.co/wordpress/75164/malware/tsmc-wannacry-infection.html]
8월 초, TSMC의 공장이 악성 코드에 감염되었다. 해당 공장은 Apple 및 Qualcomm을 포함하여 거대 기업들을 상대로 칩을 공급하는 세계 최대의 칩 공급 업체이다. 이 회사는 주말동안 발생한 '컴퓨터 바이러스 감염'에 대해 자세한 내용을 공유하고, 공장을 감염시킨 악성 코드가 2017년 5월에 150개국 20만대의 컴퓨터를 공격한 악명 높은 워너크라이 랜섬웨어 변종이었음을 밝혔다. 이 감염으로 인해 중단되었던 Apple의 다음 iPhone에서 쓰일 칩 제조를 다시 시작했지만, 이 사건으로 인해 TSMC의 매출에 미치게 될 전반적인 영향을 2억 5천만 달러에 이를 것으로 추정된다. CFO인 Lora Ho는 이 감염이 TSMC의 2018년 이익에 약간의 영향을 미칠 것임을 이야기했지만, 더 자세한 내용에 대해서는 설명하지 않았다.
제조업체에 따르면 해당 바이러스는 표적 공격이 아니었으며, 시스템은 TSMC의 네트워크에 '바이러스 검사 없이, 감염된 소프트웨어를 설치했을 때' 시스템에 감염되었다. 이후 이 악성 코드는 회사 네트워크 내에서 급속도로 확산되어 일부 회사의 생산 공장에서 1만대 이상의 기기를 감염시켰다. 현재 TSMC는 고객사들에게 연락을 취하고 있으며, 이번 사태로 인한 고객사의 피해를 최소화하기 위해 여러 절차들을 밟고 있다고 설명했다. 이 사건에 대해 외신들은 “워너크라이 사태 때 모든 기업들이 랜섬웨어의 기본적인 대처법에 대해 배운 줄 알았는데 TSMC는 아니었나보다”라며 비판하는 목소리를 높히고 있다.

 


3. [기사] How to Hack WiFi Password Easily Using New Attack On WPA/WPA2
[https://thehackernews.com/2018/08/how-to-hack-wifi-password.html]
최근, 보안 연구원은 해커가 최신 라우터의 WiFi 암호를 쉽게 해독할 수 있는 새로운 WiFi 해킹 기술을 공개했다. 인기있는 암호 해독 툴인 Hashcat의 개발자가 발견한 이 새로운 WiFi 해킹은 Pairwise Master Key Identifier(PMKID) 기반 로밍 기능을 사용하는 WPA/WPA2 무선 네트워크 프로토콜에서 작동한다. 이 기법은 새롭게 출시된 WPA3 보안 표준을 분석하는 동안 발견된 것이다. 이 새로운 해킹 방법은 공격자가 PSK(사전 공유 키)의 로그인 암호를 복구하여 Wi-Fi 네트워크를 해킹하고 인터넷 통신을 도청할 수 있게 만든다. hcxdumptool과 hashcat만을 이용해서 공격할 수 있는 이 해킹 방법은 해당 무선 네트워크 암호의 길이와 복잡성에 따라 암호 취득에 걸리는 시간이 달라질 수 있다.
Steube는 현재 이 기술이 작동하는 라우터나 벤더에 대해서는 알지 못하지만, 로밍 기능이 있는 모든 803.11i/p/q/r 네트워크들, 즉 대부분의 최신 라우터들에서는 작동 할 것이라 밝혔다. 이 새로운 WiFi 해킹은 로밍 기능이 활성화된 네트워크에서만 작동하며, 공격자가 암호를 무차별적으로 공격하기 때문에 사용자는 해독하기 어려운 길고 복잡한 암호로 WiFi 네트워크를 보호하는 것을 권장했다. 다행히 이 WiFi 해킹은 새로운 프로토콜에서는 동시 인증(SAE)이라는 캐 설정 프로토콜 때문에 공격하기가 더 어려워지기 때문에, 차세대 무선 보안 프로토콜인 WPA3에 대해서는 작동하지 않는다고 밝혔다.

 


4. [기사] Github’ Password Checking Security Tool Will Check Your Password For Breaches
[https://latesthackingnews.com/2018/08/07/github-password-checking-security-tool-will-check-your-password-for-breaches/]
복잡하고, 어려운 암호를 사용하는 것은 온라인 상에서 계정의 보안을 유지하는 방법 중 하나다. 하지만 때로는 우리가 강력한 암호라고 생각하는 것이 해커에게는 해독하기 쉬운 암호일 수도 있다. 하지만 그러한 사실을 우리는 여태까지 알 수 없었다. 이에 Github는 암호가 해커가 탈취한 적이 있는 암호와 일치하는지를 확인하는 암호 검사 보안 도구 서비스를 제공하기 시작하였다. 이 암호 검사 보안 도구는 암호가 해독되었는지를 알려준다.
이 기능을 제공하기 위해 Github는 인기 사이트 HavelBeenPwned와 공동 작업을 수행하였다. 손상된 암호를 사용하는 사람들은 로그인, 등록 또는 암호를 바꿀 때 다른 암호를 선택하라는 메세지가 표시된다. 이 때 사용자의 암호는 데이터베이스의 암호 해시 기능인 bcrypt로 보호되는만큼 사용자의 암호가 손상되었는지 여부를 확인하는 용도 이외로는 사용되지 않을 것임을 명시했다.
이러한 암호 보안 도구 외에도 Github는 이중 인증을 제공하기로 했으며, 사용자에게 이 기능을 사용할 것을 권장하였다. 휴대전화를 분실하거나 도난당하는 등 문제가 발생했을 대 클라우드 백업 기능을 제공하는 기능이다. 뿐 아니라 Github는 사용자가 독특하고 강력한 암호를 설정하고, 계정 보안을 강화하기 위해 하드웨어 보안 키 사용에서 암호 관리자를 사용하도록 권장하였다. 이들은 또한 사용자로 하여금 HIBP에 가입할 것을 제안하고 있다. Github의 보안 도구는 Github 계정에만 적용할 수 있지만, HIBP 데이터를 이용해 누구나 자신의 웹 사이트에 유사한 기능을 도입할 수 있도록 만든 것이다. HIBP는 누구든지 무료로 해당 데이터를 다운로드할 수 있도록 Torrent 또는 Cloudflare에 전체 데이터를 업로드하였다. 사용자들은 누구든지 해당 목록을 시스템에 통합시켜, 시스템이 사용자에게 해당 암호가 위험함을 경고하거나 위험한 암호를 완전히 차단할 수 있도록 이전에 유출된 암호인지를 확인시켜줄 수 있다.

 


5. [기사] PowerGhost: new fileless crypto-miner targeting corporate networks
[https://www.enterpriseinnovation.net/article/powerghost-new-fileless-crypto-miner-targeting-corporate-networks-784195270]
카스퍼스키랩에서 기업 네트워크를 공격하는 신종 암호 화폐 채굴 악성 코드인 PowerGhost를 발견했다. 카스퍼스키랩 측은 "사이버범죄자들이 표적형 공격에 채굴 악성 코드를 활용하는 추세가 늘어나는 가운데 PowerGhost는 가장 최근에 발견된 사례"라며 "이러한 추세가 계속되면 기업은 또 다른 종류의 위험에 처할 것이다. 채굴 악성 코드의 공격으로 기업의 컴퓨터 네트워크 속도가 느려지고 전반적인 비즈니스 프로세스가 피해를 입기 때문이다. 물론 그 과정에서 범죄자들은 큰 돈을 번다"고 우려를 표했다. 이러한 Crypto-currency miners는 오늘날 사이버 보안 분야에서 이슈가 되고 있다. 위와 같은 전문 채굴 프로그램이 표적으로 삼은 대상 PC 및 모바일 장치의 자원을 소모하여 암호화폐를 채굴하고 있기 때문이다.
특히 PowerGhost는 회사 내트워크 내에 분산되어 있어, 워크스테이션과 서버를 모두 감염시켜 암호화폐 채굴에 이용하고 있다. 이 공격의 주요 희생자는 현재까지 브라질, 콜롬비아, 인도 및 터키의 기업 사용자들이었다. 이 때 PowerGhost는 채굴 프로그램이 하드디스크에 저장되지 않고 실행되며, 프로그램은 자동적으로 업데이트되고, 네트워크 내에서 확산되며 암호화 마이닝 프로세스를 시작할 수 있도록 준비한다. 이에 사이버 범죄자들은 이제 개인 사용자들 뿐 아니라 기업에도 관심을 돌리고 있으며, 이에 카스퍼스키랩에서는 이러한 마이닝 프로그램에 감염되지 않도록 몇가지 보안 수칙을 발표하였다. 모든 장치들에서 소프트웨어를 업데이트할 것과, 대기열 관리 시스템, POS 터미널과 같은 장비 또한 마이닝 악성 코드에 감염될 수 있다는 것을 명심할 것, 그리고 응용프로그램의 의심스러운 동장을 모니터링하고 제어, 감지하는 전용 보안 솔루션을 사용해야 한다는 것이다. 이들은 기업 환경을 보호하기 위해서는 IT 팀은 물론 일반 직원들에게도 보안 교육을 실시하고 중요한 데이터는 분리해서 보관하며 접근을 제한해야 함을 명시하였다.

 

첨부파일 첨부파일이 없습니다.
태그 데이터베이스  악성코드  해킹  암호