이스트시큐리티 시큐리티대응센터(ESRC)가 국내 항공사의 전자 항공권 티켓(e-티켓) 확인증으로 위장한 해킹 이메일이 다수 유포되고 있어, 각별한 주의와 보안 강화가 필요하다고 강조했다. ESRC는 이번 공격이 정교한 한국어로 작성된 ‘**항공 e-티켓 확인증입니다’ 제목의 이메일에 악성 파일을 첨부해 사용자를 현혹하고 있다고 밝혔다. 첨부파일에는 'e-ticket 확인증_(랜덤숫자).iso' 파일명의 압축파일을 첨부했다. 이메일 내용 본문에서도 정교한 한국어를 사용하여, 메일 수신자로 하여금 첨부파일을 열어보도록 유도한다. 'e-ticket 확인증_66016630.pdf.scr' 파일은 닷넷 기반으로 제작된 악성코드다. C2 서버를 통해 추가 페이로드를 다운로드 역할을 수행한다. 사용자가 파일 확인을 위해 압축 파일을 해제하는 순간 악성파일을 내려받게 된다.  ‘e-Ticket 확인증_95291015.iso’ 파일 압축을 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 ‘e-Ticket 확인증_66016630.pdf.scr’ 파일이 나타나면서 컴퓨터를 감염시킨다. 이메일에 첨부됐던...

한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 발견됐다. 이스트시큐리티는 한국인 개발자가 제작한 것으로 보이는 새로운 형태의 랜섬웨어가 발견됐다고 11월13일 밝혔다. 새롭게 발견된 랜섬웨어는 해외에서 교육용으로 공개된 오픈소스 랜섬웨어인 '히든 티어'를 활용해 닷넷 기반으로 제작된 것으로 보인다. 제작자가 '블랙리스트CP'(BlackListCP)라고 명명한 이 랜섬웨어는 금전 갈취를 목적으로 하는 기존 랜섬웨어와 달리 비트코인 등을 요구하지 않는다. 하지만 문서, 사진 등 PC에 저장된 파일을 암호화시키는 악성 동작은 다른 랜섬웨어와 똑같이 수행한다. 해당 랜섬웨어는 사용자의 착각을 불러일으키기 위해 PDF 문서 아이콘으로 위장하고 있다. 하지만 실제로는 윈도우 OS 실행 파일인 'EXE' 확장자를 가지고 있으며, 사용자가 아이콘을 실행하면 DOC, PPTX 등 흔히 사용되는 158종의 확장자를 가진 파일을 암호화시킨다. 또...

글로벌 배송 업체 페덱스(FedEx) 배송팀을 사칭한 랜섬웨어의 일종 ‘오토크립터’가 국내에 다량 유포되고 있다. 이스트시큐리티는 5월26일 페덱스 해외 배송 안내 이메일로 위장한 오토크립터가 급속도로 확산되고 있어 주의가 필요하다고 발표했다. 이스트시큐리티가 발견한 이메일은 ‘leemoonjung1211@gmail.com’이라는 계정이다. ‘FedEx Support Team’을 사칭해 피해자들에게 발송됐다. 해당 이메일의 본문에는 ‘고객님의 물품을 부득이하게 전달해드릴 수 없으니 첨부된 영수증과 배송장을 출력해 가까운 FedEx 사무실에 방문해 물품을 전달받으라’는 내용이 있어 마치 일반적인 배송 물품 안내처럼 위장됐다. 이 이메일은 수신자가 이메일에 첨부된 첨부파일을 실행하도록 위장한다. 이메일에 첨부된 압축파일 ‘HBDIN_386572.egg’ 내부에는 바로가기 파일로 위장한 ‘배송장.jpg’, ‘영수증.jpg’ 파일과 '페덱스지점안내.doc’이라는 문서 파일 확장자로 위장한 랜섬웨어 기능의 실행파일(.exe)로 구성돼 있다. 수신자가 이미지(.jpg) 파일로 위장된 바로가기...

‘워너크라이(WannaCry)’ 랜섬웨어 공격은 북한 소행일까? 단숨에 전세계 150여개국 수십만대의 컴퓨터를 감염시켜 큰 피해를 입힌 ‘워너크라이’ 랜섬웨어 공격 배후세력으로 북한이 지목됐다. 구글, 카스퍼스키랩, 시만텍 등 글로벌 업체들과 국내 보안 전문가들은 기존에 북한이 사이버공격에 사용한 것으로 분석된 악성코드와 공격 방식이 유사하거나 연관성이 있다는 점을 들어 북한 배후 가능성을 잇달아 제기하고 있다. 하지만 대부분 ‘워너크라이’ 공격 주체나 배후세력을 추적할 실마리에 해당하는 연관성이 발견됐다는 것을 전제로 달면서 추가 조사가 필요하다고 언급하고 있다. 파이어아이를 비롯해 국내 보안업계 일각에서는 유사성이 충분치 않고 객관적 근거도 부족하다는 이유로 현 시점에서 공격 주체나 배후세력을 단정짓는 것은 시기상조라고 선을 그었다. 북한 소행이라는 여러 정황과 증거가 충분하다는 국내 사이버위협 전문가도 있는...

전세계를 강타한 ‘워너크라이(WannaCry)’ 랜섬웨어 국내 감염 피해 확산을 방지하기 위해 정부와 민간 보안기업들이 공조해 분주한 대응을 이어나가고 있다. 지난 5월12일부터 해외에서 확산돼 100여개국에 큰 피해를 입힌 ‘워너크라이’ 랜섬웨어 감염 확산을 방지하기 위해 13일부터 한국인터넷진흥원(KISA)과 미래창조과학부는 잇단 보안공지를 내놓고 주의 권고와 윈도우 보안 패치, 백신 업데이트 등 피해예방법을 내놨다. 14일에는 랜섬웨어 방지 대국민 행동 요령을 배포하기도 했다. 북한의 미사일 발사와 랜섬웨어 공격이 맞물리면서 정부는 14일 오후 6시부로 국가 사이버위기 경보단계를 ‘관심’에서 ‘주의’로 상향 조정했다. 청와대도 직접 나섰다. 윤영찬 국민소통수석은 15일 청와대 춘추관에서 브리핑을 열고 “랜섬웨어 초동 대응과 피해 확산 방지를 위해 국가안보실이 각 정부 관련부처에 여러 조치와 지시를 내렸다”고 밝혔다. 윤...

통합 보안 기업 이스트시큐리티가 '워너크라이'(WannaCry) 랜섬웨어 감염을 예방해주는 '알약 워너크라이 예방 조치툴'을 무료로 배포한다고 5월15일 밝혔다. 알약 워너크라이 예방 조치툴은 사용자가 PC에 워너크라이 랜섬웨어가 작용하는 윈도우 OS 취약점이 존재하는지를 확인하고, 만약 취약점이 발견된다면 공격을 위해 사용하는 특정 프로토콜 포트 등을 비활성화해 랜섬웨어 감염 경로를 차단한다. 사용자는 해당 프로그램을 내려받고 '점검시작' 버튼을 클릭하면, 간단히 워너크라이 랜섬웨어가 악용하는 취약점 존재 여부를 확인하고 긴급 조치를 취해 PC를 보호할 수 있다. 김준섭 이스트시큐리티 부사장은 “지난 금, 토 이틀간 알약을 통해서만 국내에서 2천건 이상의 워너크라이 랜섬웨어 공격이 탐지됐고, 어제인 일요일 하루에만 3천건 이상의 공격이 탐지되는 등 국내 위협 수위가 갈수록 높아지고 다”라며 “본격적인 업무가 시작되는...

“컴퓨터를 켜기 전에 먼저 인터넷 연결을 차단하고 방화벽 설정을 변경해 파일공유 기능을 해제하라.” 전세계를 강타한 랜섬웨어 ‘워너크라이(WannaCry)’ 감염 피해를 막기 위해서는 윈도우 보안 업데이트가 필수적이다. 하지만 감염 우려가 있다면 컴퓨터를 부팅하기 전에 먼저 랜선을 뽑거나 와이파이 기능을 꺼 인터넷 연결을 차단해야 한다. 그 다음 윈도우 방화벽 설정에서 감염 경로가 되는 SMB(Server Msessage Block) 포트를 차단, 파일공유 기능을 해제한 뒤 인터넷에 연결해 윈도우 보안패치와 백신 업데이트를 실시해야 한다. (보호나라 보안 공지 참조) 새로운 한 주가 시작되는 월요일(5월15일)을 앞두고 국내에서도 ‘워너크라이’ 랜섬웨어 감염 확산 우려가 커지고 있다. 13-14일 주말 동안 꺼져 있었던 PC가 일제히 켜지면서 랜섬웨어 피해가 빠르게 확산될 수 있어 주의가...

프린터가 해킹이 됐다는 영문 메시지가 출력되는 사이버공격이 등장했다. 이스트시큐리티는 별다른 인쇄 명령을 하지 않아도 연결된 프린터를 통해 해킹됐다는 영문 메시지가 자동으로 출력되는 사이버공격 피해 사례가 국내에서 속속 보고되고 있어 각별한 주의가 필요하다고 2월6일 밝혔다. 해당 피해 사례는 지난 2일 해외 이용자를 중심으로 발생되기 시작해 다음날인 3일부터 국내에서도 동일한 피해가 보고되고 있다. 이번 공격은 프린터 기기의 다양한 온라인 기능 중 무선으로 인쇄 명령을 내리거나 특정 이메일 주소로 인쇄 정보를 전송하는 기능을 활용했다. 각 프린터 제조사는 컴퓨터의 응용프로그램에서 프린터기기를 제어하기 위해 PCL(Printer Command Language), PJL(Printer Job Language) 등의 통신 언어를 사용하고 있다. 이번 공격은 이 통신 언어를 악용해 인터넷에 연결된 특정 프린터로...

증강현실(AR) 모바일 게임 ‘포켓몬고’가 인기를 끌면서 GPS 조작, 자동 사냥 등 게임 변칙을 지원하는 불법·악성 프로그램이 활개를 치고 있다. 검증되지 않은 프로그램을 사용해 편하게 게임을 즐기려다 자칫 개인정보를 유출하거나 악성코드에 감염될 위험이 있다. 보안업체도 경고에 나섰다. 이스트시큐리티(대표 정상원)는 3일 모바일 게임 ‘포켓몬고’와 관련 자동 사냥 기능의 ‘오토봇’이 비공식 경로를 통해 배포되고 있어 사용에 주의가 필요하다고 2월3일 밝혔다. 이 회사 시큐리티대응센터는 “포켓몬고의 인기가 치솟으며, 주로 PC 기반 MMORPG(다중접속역할수행) 장르의 인기 게임에서 공공연하게 이뤄지던 아이템 및 불법 프로그램 거래가 모바일 게임에서도 나타나고 있다”며, “GPS 좌표 조작, 자동 사냥 등 검증되지 않은 게임 핵(Hack) 프로그램을 사용하면 예기치 못한 피해를 입을 수 있다”라고 강조했다. 실제로 해외에서는 11억원 상당의 계정 판매까지 등장할 정도로 ‘포켓몬고’의 아이템 암거래 시장이...

지난해 10월 미국 동부 지역 인터넷 마비 사태를 일으킨 디도스(DDoS) 공격의 근원으로 지목된 ‘미라이(Mirai)’ 악성코드가 국내 상륙했다. 이스트시큐리티는 1월25일, ‘미라이’ 악성파일이 국내에서도 다수 발견돼 기업 전산 담당자 등 관련 분야 관리자들의 주의가 필요하다고 당부했다. ‘미라이’는 사물인터넷(IoT) 기기를 좀비로 만들어 네트워크상에서 해커가 마음대로 제어할 수 있게 하는 봇넷의 일종으로 알려져 있다. 미라이 악성 파일은 주로 보안이 취약한 IoT 기기들을 감염시켜 디도스 공격 거점으로 활용한다. 지난해 하반기 해외 인터넷 도메인 서비스 업체 딘(Dyn)을 공격해 미국 동부 지역 인터넷을 마비시킨 사상 최대 디도스 공격의 주범이다. 그런데 국내에서는 ‘미라이’ 악성파일이 특정 웹서버에서 다수 발견됐다. 국내에서 발견된 미라이 악성 파일은 IoT 기기가 아닌 특정 웹사이트를 해킹해 은밀히 숨겨져 있었다. 향후...