회사소개

제품

안내

고객지원

Company

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

mainslide-img01

APT Defense No.1 Leader

네트워크 및 엔드포인트 보안 전문기업

npcore-main02

APT Defense No.1 Leader

네트워크 및 엔드포인트 보안 전문기업

npcore-main03

APT Defense No.1 Leader

네트워크 및 엔드포인트 보안 전문기업

npcore-main04

APT Defense No.1 Leader

네트워크 및 엔드포인트 보안 전문기업

mainslide-img01

APT Defense No.1 Leader

네트워크 및 엔드포인트 보안 전문기업

npcore-main02

APT Defense No.1 Leader

네트워크 및 엔드포인트 보안 전문기업

npcore-main03

APT Defense No.1 Leader

네트워크 및 엔드포인트 보안 전문기업

npcore-main04

APT Defense No.1 Leader

네트워크 및 엔드포인트 보안 전문기업

News & Notice more +

제목 작성일
랜섬웨어 피해 상반기에만 4천540건…작년치 무려 3배

인터넷진흥원 동향보고서…악성코드 58%가 랜섬웨어

나야나 13억원 지불 계기로 하반기 금전 요구 해커 증가 우려

▲ 사진은 '페트야(PETYA)'로 알려진 랜섬웨어 감염 사례가 발견됐던 지난 6월 28일 오후 서울 송파구 인터넷침해대응센터 종합상황실 모습. 올해 상반기 한국인터넷진흥원(KISA)에 접수된 랜섬웨어 피해 건수가 4천540건으로 지난해 전체의 3배가 넘는 것으로 조사됐다. 랜섬웨어는 중요 파일을 암호화한 뒤 이를 복구하는 대가로 금전을 요구하는 악성코드다. 19일 한국인터넷진흥원의 '2분기 사이버 위협 동향 보고서'에 따르면 랜섬웨어 피해 접수는 1분기 990건에서 2분기 3천550건으로 3.6배 급증했다. 상반기 접수된 피해 건수는 총 4천540건으로 지난해 전체 1천438건의 3.2배에 달했다. 2015년에는 770건이었다. 워너크라이 등 강력한 랜섬웨어가 기승을 부린 영향이 컸다. 2분기 수집된 악성코드 436개 가운데 255개는 랜섬웨어였다. 랜섬웨어 비중은 58.5%로 지난 1분기(44%)보다 14.5%포인트 늘었다. 이어 정보탈취형 악성코드가 전 분기보다 17.3%포인트 증가한 30%(130개)를 차지해 두 번째로 많았다. 정보탈취형 악성코드는 APT(지능형 지속 위협) 등 특정 대상을 노린 공격의 사전 정보 수집에 주로 활용된다. ▲ 자료 한국인터넷진흥원 1분기에 스피어(타깃형) 피싱 메일과 바로가기 아이콘 등을 통한 지능적 위장 방식이 악성코드 유포에 많이 활용됐다면 2분기에는 윈도 취약점(SMB)을 이용한 대규모 유포가 성행했다. 공격자들은 최신 취약점을 이용해 스스로 전파되는 악성코드를 유포하거나 서버를 직접 공격하는 등 다양한 침투 방법을 활용했다. 한편 2분기 해커의 명령 제어(C&C) 서버가 가장 많은 국가는 미국으로 나타났다. 해커들이 미국의 상용 클라우드를 C&C 서버로 활용했기 때문으로 풀이된다. 미국에 이어 러시아, 중국 순이었다. 2분기 확인된 고위험 취약점은 1천110개로 1분기 671개의 배에 육박했다. 취약점이 가장 많이 발견된 업체는 구글로 전체의 11%를 차지했다. 구글 취약점 126개 가운데 모바일 운영체제 안드로이드 관련이 119개에 달했다. 구글에 이어 마이크로소프트(8%), 어도비(7%), 애플(6%) 순으로 취약점이 많았다. 한국인터넷진흥원은 2분기 정보탈취형 악성코드가 급증한 점을 토대로 3분기에는 정보탈취형 악성코드가 수집한 정보를 바탕으로 APT 공격과 악성코드 유포가 성행할 것으로 예상했다. 랜섬웨어 피해를 본 웹호스팅 업체 나야나가 해커에게 13억원을 지불한 사례를 계기로 해커가 금전을 요구하는 경우도 늘어날 것으로 우려했다. 한국인터넷진흥원은 "페트야 랜섬웨어와 같이 내부망으로 전파되는 악성코드에 감염되지 않도록 내부망 보안관리에 특별히 신경을 써야 한다"며 "운영체제와 소프트웨어의 보안업데이트를 최신으로 유지하고 주기적으로 백업해야 한다"고 당부했다. [ 출처 : 연합뉴스 고현실 기자 okko@yna.co.kr | 2017.07.19 | http://www.yonhapnews.co.kr/bulletin/2017/07/19/0200000000AKR20170719176300017.HTML ]
2017.07.19
국내에서 제작된 '직소 랜섬웨어 변종' 발견...RaaS 유포 가능
공포 영화 '쏘우'에 등장한 광대 마스크 이미지를 화면에 출력하며 일정 시간이 지날때마다 암호화된 파일을 삭제하며 사용자에게 비트코인을 요구하는 '직소 랜섬웨어 변종'이 발견됐다. 이번에 발견된 직소 랜섬웨어 변종은 한국인 개발자가 제작한 것으로 추정되는만큼, 국내 IT환경에 특화된 RaaS(서비스형 랜섬웨어) 유포에 주의가 필요하다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 19일 발견한 이번 직소 랜섬웨어 변종은 광대 마스크 이미지 노출을 제외한 대부분의 특성이 기존 직소 랜섬웨어와 흡사한 것으로 나타났다. 109293_157435_2632.jpg ▲ 한글로 작성된 안내문 (자료=이스트시큐리티) ESRC에 따르면 이번 랜섬웨어에 감염되면 영화 쏘우의 범인이 TV를 통해 문장을 보여주며 인질을 협박했던 장면과 유사하게, PC 화면에 창을 띄우고 한글로 된 대화 형태의 안내문을 한 줄씩 순차적으로 보여주며 암호 해제(복호화)를 위해 비트코인 결제를 하도록 협박한다. 또한 이 랜섬웨어는 '헤... 게임을 시작해 볼까요?'라는 문장을 띄우고, 48시간이 지날 때마다 백 개의 파일이 반복적으로 삭제된다고 협박하는 등 인질과 탈출을 걸고 게임을 벌인 영화의 내용을 모방한 특성도 동일하게 가지고 있다. 109293_157434_2632.jpg ▲ 소스코드에 포함된 한글 (자료=이스트시큐리티) ESRC는 사용된 한글 안내문이 감탄사, 이모티콘을 적절히 사용하는 등 원어민 수준에 가까운 완벽한 구어체로 작성돼 있고 소스코드 분석 결과 주석, 폴더 경로 등에서 다량의 한글이 발견된 정황을 통해 한국인 개발자가 직접 개발에 참여한 것으로 추정하고 있다. 다만, 해당 랜섬웨어를 분석하던 시점까지는 실제 파일 암호화가 진행되지 않았으며 각종 제작상 오류(버그)도 발견되는 등 이번 변종은 테스트용으로 제작한 샘플일 가능성이 있는 것으로 보여진다. 김준섭 이스트시큐리티 부사장은 "랜섬웨어가 사이버 공격자들의 새로운 수익원으로 자리 잡으며, 인터넷 보급률 세계 최상위권인 한국을 대상으로 하는 랜섬웨어 공격이 날로 증가하고 있다"라며 "이번 직소 랜섬웨의 변종을 통해 국내 사정에 정통한 한국인 개발자까지 랜섬웨어 공격에 뛰어든 것으로 추정되기 때문에 앞으로 국내 사용자의 심리와 특성을 정교히 활용한 더욱 진화된 공격이 나타날 수 있다"며 우려를 나타냈다. 현재 통합 백신 알약에서는 이번 랜섬웨어를 탐지명 'Trojan.Ransom.Jigsaw'으로 진단 후 차단하고 있다. [ 출처 : 키뉴스 박근모 기자  suhor@kinews.net | 2017.07.19 | http://www.kinews.net/news/articleView.html?idxno=109293 ]
2017.07.19
엔피코어, 코어인프라와 기술총판 계약 체결
▲ 한승철 엔피코어 대표(왼쪽)와 김정훈 코어인프라 대표가 기술총판 계약을 체결한 후 기념촬영하고 있다. 정보보안 기업인 엔피코어(대표이사 한승철)는 통신장비 컨설팅 및 유지보수 기업인 코어인프라(대표이사 김정훈)와 지난 14일 기술총판 계약을 체결했다. 코어인프라는 이번 총판 계약으로 엔피코어가 개발한 행위기반 APT/랜섬웨어 이중방어 솔루션인 좀비제로(Zombie ZERO)에 대한 컨설팅 및 기술지원을 제공할 예정이다. 엔피코어는 2008년에 설립된 정보보안 솔루션 전문업체로 네트워크와 엔드포인트 PC에 대한 APT 및 랜섬웨어 공격방어 솔루션을 공급하고 있다. 기존의 보안 솔루션(시그니처 기반 Anti-virus)로는 APT(타겟방식으로 공격하는 악성코드) 및 워너크라이나 페트야 같은 신/변종 랜섬웨어를 대응하는 것이 불가능하고, 전통적 Sandbox기술은 가상머신 우회 악성코드, 신변종 랜섬웨어, 암호화 구간(SSL 통신)을 통한 공격 등에 취약하다. 이러한 한계를 뛰어넘기 위해 EDR (EndPoint Detection & Response) 기술의 중요성이 부각되고 있다. 이에 발맞춰 엔피코어는 최근 엔드포인트용 보안 제품 4가지 (▲좀비제로 EDR for APT, ▲좀비제로 EDR for Ransomware, ▲좀비제로 SECaaS (Security as a Service), ▲ 좀비제로 EDR for Server)를 새롭게 출시하여 APT 및 랜섬웨어 공격에 대한 네트워크단 보안 솔루션 외에도 엔드포인트에서의 보안 솔루션, 클라우드 방식의 보안 솔루션, 서버에서의 보안 솔루션 등을 제공하고 있다. 김정훈 코어인프라 대표는 “이번 기술총판 계약을 통해 좀비제로가 코어인프라의 APT와 랜섬웨어 공격에 대응하는 사이버보안 비즈니스의 한 축이 되어주기를 바란다‘며 좀비제로가 코어인프라의 컨설팅 및 기술지원 서비스와 결합해 좋은 시너지 효과를 낼 것으로 기대한다”고 말했다.
2017.07.18
엔피코어가 RSA APJ 2017에 귀하를 초대합니다! (참관안내)

엔피코어가 RSA APJ 2017에 귀하를 초대합니다!

이번에 엔피코어가 7월 26~28일 싱가폴 마리나베이샌즈에서 개최되는 RSA APJ 2017 전시회에 APT&랜섬웨어 방어 제품을 가지고 부스전시로 참가하게 됐습니다. 마침 이 전시회를 참관할 예정인 담당자님께서는, 아래 전시회장 평면배치도를 참고하여 E67 부스를 들러주시면 정말 감사하겠습니다. RSA APJ 2017 사전 무료 참관 등록절차 (Free Visitor Pass) 를 안내해드리기 위해 매뉴얼을 첨부드립니다. 문의사항이 있으신 경우, 언제든 연락부탁드립니다.
2017.07.13
WannaCry와 유사한 Petya 랜섬웨어가 또다시 유럽을 비롯한 전세계를 강타!

윈도 운영체제 취약점 이용해 전파…"최신 버전 업데이트해야"

28hack1-master768.jpg ▲ Petya 랜섬웨어의 공격을 받은 업체들 (좌측부터 러시아의 거대 에너지 회사인 Rosneft, 미국의 거대 제약 회사인 Merck, 덴마크의 해운 대기업인 Maersk) 우크라이나에서 미국에 이르는 컴퓨터 시스템은 화요일 국제적인 사이버공격을 받았다. 전세계의 수만대 컴퓨터를 손상시킨 최근의 워너크라이 랜섬웨어 공격과 유사하다. 우크라이나의 수도 키에프에서는 ATM이 작동을 멈췄다. 약 80마일 떨어진 구 체르노빌 원자력 발전소에서는 컴퓨터가 고장나 근무자들이 방사선을 수동으로 모니터해야 했다. 덴마크의 해운 대기업인 Maersk에서부터 미국의 거대 제약회사 인 Merck에 이르기까지 전세계 기업의 기술 관리자들이 대응에 나섰다. 심지어 초콜릿으로 유명한 제과 대기업 Cadbury의 호주 공장도 공격 받았다. 이 사이버공격의 배후가 누군지 확실하지 않으며 피해규모를 측정하기가 17일 화요일까지도 여전히 어려웠다. 우크라이나 정부와 업무 컴퓨터 시스템에 대한 공격으로 시작되었고 우크라이나 정부가 소련에서 해체된 후 1996년 최초의 헌법을 채택한 기념 공휴일 전날에 공격을 의도한 것으로 보인다. 공격은 거기서 퍼져 전세계에 부수적인 피해를 입혔다. 지난 4월 국가안보국(National Security Agency)에서 쉐도우 브로커(Shadow Brokers)라는 그룹에 의해 도난당한 수십가지 해킹 툴을 사용한 일련의 공격 중 최신의 가장 정교한 공격이었다. 지난 5월의 WannaCry 공격처럼 최신 글로벌 해킹은 컴퓨터를 장악해 사용자로부터 디지털 랜섬(파일복구 대가, =비트코인)을 요구했다. Symantec의 연구원에 따르면, 새로운 공격은 WannaCry 사건에 사용된 이터널블루(Eternal Blue)라는 NSA 해킹툴 외에도 확산을 촉진하는 두가지 방법을 사용했다. Petya Ransomware는 MBR(Master Boot Record) 영역을 암호화하여 몇 분안에 시스템 강제 재부팅되어 PC 사용 자체가 불가능하다는 특성을 가진다. 카스퍼스키랩에 따르면 기존 Petya는 주문형 랜섬웨어를 제공하면 여러 유통자가 이를 확산하고 수익을 나눠 갖는 구조로 운영됐다. Petya 개발자는 랜섬웨어 내부에 특정 보호 매커니즘을 입력해 무단 사용을 막았다. 하지만 올해 초 보호 매커니즘을 깨고 페트야 랜섬웨어를 사용하는 방법이 발견됐다. 미국 국가안보국(National Security Agency)은 WannaCry나 다른 공격에서 이터널블루가 사용된 것을 인정하지 않았다. 그러나 사이버보안 전문가들은 나머지 국가들의 Petya Ransomware 공격 방어를 도울 것을 NSA에 요구하고있다. IDT의 global CIO인 Golan Ben-Oni는 "NSA는 애플 및 MS 같은 보안 및 OS 플랫폼 공급사와 긴밀히 협력하여 리더십을 발휘하여 그들이 촉발한 위기에 대처해야 한다. Newark에 위치한 대기업은 4월에 이터널블루를 사용한 별도의 공격을 받았다. Ben-Oni 씨는 연방 당국자들에게 더 심각한 공격이 있을 것이라고 경고했다. Eternal Blue가 사용한 Windows 소프트웨어의 취약점은 3월 Microsoft에 의해 패치됐지만 WannaCry 사건에서처럼, 전세계 수십만 그룹이 패치를 설치하지 못했다. Radware의 보안 부사장 Carl Herberger는 "패치를 배포했다고 해서 곧바로 모두 적용되지는 않는다. 조직이 관료적일수록 더 많은 소프트웨어가 업데이트 되지 않을 것"이라고 말했다. 핀란드의 사이버보안 회사 F-Secure 연구원에 따르면, Ransomware를 화요일에 확산시키기 위해 최소 두 가지 방법을 사용했기 때문에 (피해자 신분증 도용을 포함하여) Microsoft 패치를 사용하는 사람들조차도 추후 공격에 취약하고 잠재적 공격 대상이 될 수 있다. MS 대변인은 회사의 최신 백신 소프트웨어가 이번 공격을 막지 못한 것을 이번 사고 확대의 원인으로 지목했다. 우크라이나 정부는 여러 부처, 지방 은행 및 지하철 시스템 뿐 아니라, 러시아의 거대 에너지 회사인 Rosneft, 프랑스 건축 자재 회사 Saint-Gobain, 영국의 광고 대행사인 WPP를 포함한 다수의 유럽 회사들도 공격 받았다고 말했다. 러시아 기업들도 공격 받았지만 우크라이나 공직자들은 러시아를 비난했다. RBC 뉴스 웹사이트에 따르면, 러시아의 50대 대출기관 중 하나인 Home Credit bank가 마비되어 모든 사무실이 폐쇄됐으며, 약 8만명을 고용하는 철강/제조/광업 회사 Evraz 또한 공격 받았다고 보도했다. 미국에서는 다국적 로펌 DLA Piper도 타격을 입었다고 보도됐다. 펜실베이니아 의료진인 Heritage Valley Health Systems과 펜실베이니아주 Beaver와 Sewickley의 병원, 그리고 주 전역의 위성에 있는 컴퓨터들이 공격 당한 후, 펜실베이니아의 병원들은 수술을 취소해야 했다. Ransomware는 또한 국제 기업의 호주 지사를 공격했다. DLA Piper의 호주 지사는 고객에게 "심각한 세계적 사이버 사고”을 겪고 있으며 사전 예방 조치로 이메일을 사용하지 않도록 경고했다. 현지 언론 보도에 따르면 화요일 저녁 Tasmania의 Hobart에서 Mondelez International이 소유한 Cadbury 초콜릿 공장의 컴퓨터에 비트코인으로 300달러를 요구하는 Ransomware 메시지가 나타났다. Qantas Airways의 예약 시스템은 화요일에 한동안 멈췄지만, 관련없는 하드웨어 문제가 장애의 원인이라고 밝혔다. 호주 정부는 업체들에게 보안 업데이트를 설치하고 감염된 컴퓨터를 네트워크에서 격리하도록 촉구했다. NSA 대변인은 미국 국토안보부에 대한 공격에 의문을 제기했다. 국토안보부 대변인 Scott McConnell은 "국토안보부는 여러 글로벌 기업에 영향을 미치는 사이버 공격에 대한 보고서를 모니터링하고 국제 및 국내 사이버 협력사와 상의하고 있다"고 성명을 발표했다. 컴퓨터 전문가들은 이번 Ransomware가 작년에 발생한 Petya라 불렸던 바이러스와 매우 유사하다고 말했다. Petya는 러시아어로 "Little Peter"라는 뜻으로, Sergei Prokofiev의 1936년 교향곡 "Peter and the Wolf"의 늑대를 잡은 소년에서 따온 이름으로 추측된다. 이번 Ransomware가 Petya의 변종이었다는 보고는 공격자릉 추적하기 어렵다는 것을 뜻한다. Petya는 소위 dark web을 통해 판매됐으며, dark web 창업자는 "Ransomware as a Service"(인터넷을 통해 소프트웨어를 제공하는 실리콘밸리 용어)를 구현했다. 즉 누구나 버튼 클릭만으로 Ransomware를 배포해 다른 사람의 시스템을 암호화하고 복원의 대가로 돈을 요구할 수 있다. 희생자가 그 돈을 지불하면, 스스로를 Janus Cybercrime Solutions으로 부르는 Petya Ransomware 유포자들은 몫을 나눠가진다. 이러한 분배방식은 이번 공격의 책임자 색출이 어려울 수 있음을 의미한다. 공격을 중단시킨 kill switch를 만들어 WannaCry Ransomware의 확산을 막아준 보안연구원 Matthieu Suiche가 “이 공격은 WannaCry의 개선된, 치명적인 버전이다. 지난 일주일 동안 WannaCry는 80,000개의 기관을 추가로 공격하려 했지만 kill switch로 인해 공격 코드 실행이 차단됐다. Petya는 kill switch가 없다.” 라고 말했다. Petya를 유포한 해커들은 피해자의 파일 복원 대가로 사이버화폐인 Bitcoin (300달러의 금액)을 요구했다. 온라인 기록에 따르면 화요일 오후까지 30명의 희생자가 그 금액을 지불했음을 알 수 있었지만 파일이 복구됐는지 여부는 명확하지 않았다. 독일 이메일 서비스 업체 Posteo가 해커의 이메일 계정을 폐쇄해서 다른 희생자가 운이 나빴던 것일 수 있다. 페티야 랜섬웨어 감염 화면 ▲ 페티야 랜섬웨어 감염 화면 28hack2-master675.png ▲ 26일 전세계 시스템을 공격한 랜섬웨어로 보이는 스크린샷. 우크라이나 정부는 공식 페이스북 페이지에 이 사진을 올렸다. 우크라이나에서는 우체국, ATM, 공항에서 사람들이 빈 컴퓨터 화면이나 폐쇄 표지만을 대면해야 했다. 키예프의 중앙 우체국에서는 고객들이 소포와 편지를 들고 "기술적인 이유로 휴관"이라는 표지판을 보며 모여 있었다. 컴퓨터 네트워킹 회사 Cisco Talos의 보안팀 연구원에 따르면, 해커들은 정부기관과 은행을 포함한 다양한 산업에서 의무적으로 사용되는 우크라이나 회계 소프트웨어를 공격했다. 이로써 다른 국가에서도 사용된 소프트웨어가 업데이트 되면, Ransomware를 공개할 수 있게 됐다. 한 키예프 거주자 Tetiana Vasylieva는 4대의 ATM에서 돈을 인출하지 못한 후 친척에게 돈을 빌려야했다. 오스트리아 은행 Raiffeisen의 우크라이나 지점에 속한 키예프의 한 ATM에서 화면 메시지에 기계가 작동하지 않는다고 표시됐다. 인프라 사업부 장관 Velodymyr Omelyan은 “우크라이나의 인프라 사업부, 우체국, 국영 철도사, 그리고 우크라이나 최대 통신사 Ukrtelecom이 공격 받았다.”고 페이스북에 포스트를 올렸다. 키예프의 지하철 시스템 관리자는 “카드 지불이 작동하지 않는다.”고 말했다. 언론사 Interfax-Ukraine에 따르면 전력 회사 Kievenergo는 자사의 모든 컴퓨터를 꺼야했지만 곧 정상화됐다. 도매 식료품을 운영하는 독일 회사 Metro Group은 우크라이나에서 공격 받았다고 전했다. 체르노빌 공장에서 방사능 수치에 대한 데이터를 수집하는 컴퓨터가 공격받아, 모든 원자로가 폐쇄됐지만 방사성 폐기물의 막대한 양이 남아있는 현장의 산업 시스템과 연결되지 않았다. 담당자는 방사선 모니터링이 수동으로 진행되고 있다고 말했다. 사이버 공격과의 전쟁이 치열 해짐에 따라 전세계의 사이버 보안 시장은 올해 약 1,200 억 달러(10년 전의 30배 이상)에 달하는 것으로 추산된다. [출처 : 뉴욕타임즈  NICOLE PERLROTH, MARK SCOTT, SHEERA FRENKEL | 2017년 06월 27일] Petya Ransomware 감염을 막는 보다 확실한 방어책은 행위기반으로 신종/변종 랜섬웨어에 대응하는 좀비제로를 설치하는 것입니다. 시그니처 없이 신종/변종 랜섬웨어에 대응하여 제3의 Petya Ransomware를 방어할 수 있습니다. 기존의 안티바이러스로는 변종 악성코드인 Petya Ransomware를 막을 수 없습니다. 자세한 사항은 1544-5317로 제품 문의하시거나 www.npcore.com 사이트를 참조해주세요. 엔드포인트의 랜섬웨어 대응 솔루션 : 좀비제로 EDR for Ransomware 바로가기
2017.06.28

실시간 행위기반 탐지리포트more +