회사소개

제품

안내

고객지원

Company

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

공지사항

제목 작성일
엔피코어 ‘ISEC 2017’에 참가… ‘좀비제로 EDR for 서버’ 첫 선보이고 시연
[사진설명 : 엔피코어는 9월 5~6일 코엑스에서 개최된 ‘ISEC 2017’에 참가해 신제품인 ‘좀비제로 EDR for 서버’를 선보였다. 엔피코어 영업담당 이건웅 차장이 데모시연 영상을 보며 정부기관 주요 담당자들인 VIP 대상으로 신제품에 대해 설명하고 있다.]
최근 국내 호스팅 업체의 서버가 변종 랜섬웨어에 공격을 받았던 국내 사상 최대 규모의 보안 사고로 랜섬웨어에 대한 위기감이 고조되면서, 공공기관과 기업의 보안강화 조치 및 보안의식이 한층 강화된 가운데, 이번에 코엑스에서 9월 5~6일에 개최된 ‘제 11회 국제 사이버 보안 컨퍼런스 (Information Security Conference, ISEC 2017)’에서 엔피코어(대표 한승철)는 새로 출시한 서버용 보안제품 ‘좀비제로 EDR for 서버’를 첫 선보였다.
올해 11회째를 맞는 ISEC 은 국내 최대의 정보 보안 컨퍼런스 행사이다. 엔피코어는 이번 행사에서 총판사인 닉스테크, 시큐센, 코어인프라와 함께 정부기관과 기업의 보안 관계자들을 대상으로 서버에 설치되는 화이트리스 기반의 APT / 랜섬웨어 대응 솔루션 ‘좀비제로 EDR for 서버’를 선보이고 시연을 펼쳤다. 엔피코어는 APT 및 랜섬웨어 공격방어 솔루션 전문기업으로 네트워크와 엔드포인트에 행위기반 기술로 이중방어를 제공한다. 기존의 보안 솔루션(시그니처 기반 Anti-virus)로는 APT(타겟방식으로 공격하는 악성코드) 및 워너크라이나 페트야 같은 신/변종 랜섬웨어를 대응하는 것이 불가능하고, 전통적 Sandbox기술은 가상머신 우회 악성코드, 신변종 랜섬웨어, 암호화 구간(SSL 통신)을 통한 공격 등에 취약하다. 이러한 한계를 뛰어넘기 위해 EDR (EndPoint Detection & Response) 기술의 중요성이 부각되고 있다. 이에 발맞춰 엔피코어는 엔드포인트용 보안 제품 3가지 (▲좀비제로 EDR for APT- 엔드포인트용 APT 보안, ▲좀비제로 EDR for Ransomware - 엔드포인트용 랜섬웨어 보안, ▲좀비제로 SECaaS (Security as a Service) - 클라우드 방식의 보안) 를 잇따라 출시했고, 최근 발생한 사상 최대규모의 서버 보안사고로 인해 ‘좀비제로 EDR for Server’도 최근에 출시하여 OO 종편 방송국에 첫 납품되었다. '좀비제로 EDR for 서버' 는 윈도우 서버에 설치되어 화이트리스트를 기반으로한 실행보류 기능을 통하여 신/변종 악성코드의 실행을 실시간으로 차단하고, 중앙의 분석장비 (Inspector)를 통하여 알려지지 않은 악성코드까지 분석/탐지하여, 안전한 파일만 실행할 수 있도록 하여 보안을 강화한 소프트웨어 제품이다.
[‘좀비제로 EDR for 서버’ 의 작동순서] 1) 서버접근 → 화이트리스트 등록되지 않은 프로세스 실행차단 2) 실행파일 분석 : 악성파일 - 블랙리스트에 등록 후 격리 / 정상파일 - 화이트리스트에 추가 3) 분석결과 정상 파일 시 파일 실행되고 악성파일은 EDR에서 실행이 차단됨. 정상으로 다운로드 받은 파일 확인 가능
[사진설명 : 엔피코어 김무정 상무가 9월 5일 코엑스의 컨퍼런스룸 A에서 ‘샌드박스의 장점을 살린 엔드포인트 중심의 APT 및 랜섬웨어 방어체계 구축’ 이란 주제로 강연을 진행하고 있다.]
컨퍼런스 첫 날인 5일에는 엔피코어 김무정 상무의 강연도 함께 진행됐다. ‘샌드박스의 장점을 살린 엔드포인트 중심의 APT 및 랜섬웨어 방어체계 구축’ 이란 주제로 진행된 강연에서 김 상무는  랜섬웨어 차단기술이 나아가야할 방향을 제시했고및 페이스북 실시간 Q&A가 진행됐다. 강연 후에는 많은 관계자들이 한꺼번에 바로 전시부스를 찾아와 여러 추가 질문을 쏟아냈다. 워너크라이 랜섬웨어 차단 데모 영상 및 시연도 진행하며 호응을 이끌었다. 한승철 엔피코어 대표는 “정부기관, 군, 언론사, SI 업체 등 다양한 성격의 관계자들이 상담을 통해 추후 방문 제안을 요청해오는 등 EDR 제품에 대한 긍정적인 반응을 확인하고 기대이상의 비즈니스 성과를 거뒀다.”라고 전했다.
2017.09.09

WannaCry와 유사한 Petya 랜섬웨어가 또다시 유럽을 비롯한 전세계를 강타!

작성자
admin
작성일
2017-06-28 11:52
조회
363

윈도 운영체제 취약점 이용해 전파…"최신 버전 업데이트해야"


28hack1-master768.jpg
▲ Petya 랜섬웨어의 공격을 받은 업체들 (좌측부터 러시아의 거대 에너지 회사인 Rosneft, 미국의 거대 제약 회사인 Merck, 덴마크의 해운 대기업인 Maersk)


우크라이나에서 미국에 이르는 컴퓨터 시스템은 화요일 국제적인 사이버공격을 받았다. 전세계의 수만대 컴퓨터를 손상시킨 최근의 워너크라이 랜섬웨어 공격과 유사하다.
우크라이나의 수도 키에프에서는 ATM이 작동을 멈췄다. 약 80마일 떨어진 구 체르노빌 원자력 발전소에서는 컴퓨터가 고장나 근무자들이 방사선을 수동으로 모니터해야 했다. 덴마크의 해운 대기업인 Maersk에서부터 미국의 거대 제약회사 인 Merck에 이르기까지 전세계 기업의 기술 관리자들이 대응에 나섰다. 심지어 초콜릿으로 유명한 제과 대기업 Cadbury의 호주 공장도 공격 받았다.

이 사이버공격의 배후가 누군지 확실하지 않으며 피해규모를 측정하기가 17일 화요일까지도 여전히 어려웠다. 우크라이나 정부와 업무 컴퓨터 시스템에 대한 공격으로 시작되었고 우크라이나 정부가 소련에서 해체된 후 1996년 최초의 헌법을 채택한 기념 공휴일 전날에 공격을 의도한 것으로 보인다. 공격은 거기서 퍼져 전세계에 부수적인 피해를 입혔다.

지난 4월 국가안보국(National Security Agency)에서 쉐도우 브로커(Shadow Brokers)라는 그룹에 의해 도난당한 수십가지 해킹 툴을 사용한 일련의 공격 중 최신의 가장 정교한 공격이었다.
지난 5월의 WannaCry 공격처럼 최신 글로벌 해킹은 컴퓨터를 장악해 사용자로부터 디지털 랜섬(파일복구 대가, =비트코인)을 요구했다. Symantec의 연구원에 따르면, 새로운 공격은 WannaCry 사건에 사용된 이터널블루(Eternal Blue)라는 NSA 해킹툴 외에도 확산을 촉진하는 두가지 방법을 사용했다.
Petya Ransomware는 MBR(Master Boot Record) 영역을 암호화하여 몇 분안에 시스템 강제 재부팅되어 PC 사용 자체가 불가능하다는 특성을 가진다.
카스퍼스키랩에 따르면 기존 Petya는 주문형 랜섬웨어를 제공하면 여러 유통자가 이를 확산하고 수익을 나눠 갖는 구조로 운영됐다. Petya 개발자는 랜섬웨어 내부에 특정 보호 매커니즘을 입력해 무단 사용을 막았다. 하지만 올해 초 보호 매커니즘을 깨고 페트야 랜섬웨어를 사용하는 방법이 발견됐다.


미국 국가안보국(National Security Agency)은 WannaCry나 다른 공격에서 이터널블루가 사용된 것을 인정하지 않았다. 그러나 사이버보안 전문가들은 나머지 국가들의 Petya Ransomware 공격 방어를 도울 것을 NSA에 요구하고있다.
IDT의 global CIO인 Golan Ben-Oni는 "NSA는 애플 및 MS 같은 보안 및 OS 플랫폼 공급사와 긴밀히 협력하여 리더십을 발휘하여 그들이 촉발한 위기에 대처해야 한다. Newark에 위치한 대기업은 4월에 이터널블루를 사용한 별도의 공격을 받았다. Ben-Oni 씨는 연방 당국자들에게 더 심각한 공격이 있을 것이라고 경고했다.

Eternal Blue가 사용한 Windows 소프트웨어의 취약점은 3월 Microsoft에 의해 패치됐지만 WannaCry 사건에서처럼, 전세계 수십만 그룹이 패치를 설치하지 못했다. Radware의 보안 부사장 Carl Herberger는 "패치를 배포했다고 해서 곧바로 모두 적용되지는 않는다. 조직이 관료적일수록 더 많은 소프트웨어가 업데이트 되지 않을 것"이라고 말했다.

핀란드의 사이버보안 회사 F-Secure 연구원에 따르면, Ransomware를 화요일에 확산시키기 위해 최소 두 가지 방법을 사용했기 때문에 (피해자 신분증 도용을 포함하여) Microsoft 패치를 사용하는 사람들조차도 추후 공격에 취약하고 잠재적 공격 대상이 될 수 있다.
MS 대변인은 회사의 최신 백신 소프트웨어가 이번 공격을 막지 못한 것을 이번 사고 확대의 원인으로 지목했다.

우크라이나 정부는 여러 부처, 지방 은행 및 지하철 시스템 뿐 아니라, 러시아의 거대 에너지 회사인 Rosneft, 프랑스 건축 자재 회사 Saint-Gobain, 영국의 광고 대행사인 WPP를 포함한 다수의 유럽 회사들도 공격 받았다고 말했다.
러시아 기업들도 공격 받았지만 우크라이나 공직자들은 러시아를 비난했다. RBC 뉴스 웹사이트에 따르면, 러시아의 50대 대출기관 중 하나인 Home Credit bank가 마비되어 모든 사무실이 폐쇄됐으며, 약 8만명을 고용하는 철강/제조/광업 회사 Evraz 또한 공격 받았다고 보도했다.

미국에서는 다국적 로펌 DLA Piper도 타격을 입었다고 보도됐다. 펜실베이니아 의료진인 Heritage Valley Health Systems과 펜실베이니아주 Beaver와 Sewickley의 병원, 그리고 주 전역의 위성에 있는 컴퓨터들이 공격 당한 후, 펜실베이니아의 병원들은 수술을 취소해야 했다.
Ransomware는 또한 국제 기업의 호주 지사를 공격했다. DLA Piper의 호주 지사는 고객에게 "심각한 세계적 사이버 사고”을 겪고 있으며 사전 예방 조치로 이메일을 사용하지 않도록 경고했다. 현지 언론 보도에 따르면 화요일 저녁 Tasmania의 Hobart에서 Mondelez International이 소유한 Cadbury 초콜릿 공장의 컴퓨터에 비트코인으로 300달러를 요구하는 Ransomware 메시지가 나타났다.

Qantas Airways의 예약 시스템은 화요일에 한동안 멈췄지만, 관련없는 하드웨어 문제가 장애의 원인이라고 밝혔다.
호주 정부는 업체들에게 보안 업데이트를 설치하고 감염된 컴퓨터를 네트워크에서 격리하도록 촉구했다.
NSA 대변인은 미국 국토안보부에 대한 공격에 의문을 제기했다. 국토안보부 대변인 Scott McConnell은 "국토안보부는 여러 글로벌 기업에 영향을 미치는 사이버 공격에 대한 보고서를 모니터링하고 국제 및 국내 사이버 협력사와 상의하고 있다"고 성명을 발표했다.

컴퓨터 전문가들은 이번 Ransomware가 작년에 발생한 Petya라 불렸던 바이러스와 매우 유사하다고 말했다. Petya는 러시아어로 "Little Peter"라는 뜻으로, Sergei Prokofiev의 1936년 교향곡 "Peter and the Wolf"의 늑대를 잡은 소년에서 따온 이름으로 추측된다.

이번 Ransomware가 Petya의 변종이었다는 보고는 공격자릉 추적하기 어렵다는 것을 뜻한다. Petya는 소위 dark web을 통해 판매됐으며, dark web 창업자는 "Ransomware as a Service"(인터넷을 통해 소프트웨어를 제공하는 실리콘밸리 용어)를 구현했다.
즉 누구나 버튼 클릭만으로 Ransomware를 배포해 다른 사람의 시스템을 암호화하고 복원의 대가로 돈을 요구할 수 있다. 희생자가 그 돈을 지불하면, 스스로를 Janus Cybercrime Solutions으로 부르는 Petya Ransomware 유포자들은 몫을 나눠가진다. 이러한 분배방식은 이번 공격의 책임자 색출이 어려울 수 있음을 의미한다.

공격을 중단시킨 kill switch를 만들어 WannaCry Ransomware의 확산을 막아준 보안연구원 Matthieu Suiche가 “이 공격은 WannaCry의 개선된, 치명적인 버전이다. 지난 일주일 동안 WannaCry는 80,000개의 기관을 추가로 공격하려 했지만 kill switch로 인해 공격 코드 실행이 차단됐다. Petya는 kill switch가 없다.” 라고 말했다.
Petya를 유포한 해커들은 피해자의 파일 복원 대가로 사이버화폐인 Bitcoin (300달러의 금액)을 요구했다. 온라인 기록에 따르면 화요일 오후까지 30명의 희생자가 그 금액을 지불했음을 알 수 있었지만 파일이 복구됐는지 여부는 명확하지 않았다. 독일 이메일 서비스 업체 Posteo가 해커의 이메일 계정을 폐쇄해서 다른 희생자가 운이 나빴던 것일 수 있다.


페티야 랜섬웨어 감염 화면
▲ 페티야 랜섬웨어 감염 화면


28hack2-master675.png
▲ 26일 전세계 시스템을 공격한 랜섬웨어로 보이는 스크린샷. 우크라이나 정부는 공식 페이스북 페이지에 이 사진을 올렸다.


우크라이나에서는 우체국, ATM, 공항에서 사람들이 빈 컴퓨터 화면이나 폐쇄 표지만을 대면해야 했다. 키예프의 중앙 우체국에서는 고객들이 소포와 편지를 들고 "기술적인 이유로 휴관"이라는 표지판을 보며 모여 있었다.
컴퓨터 네트워킹 회사 Cisco Talos의 보안팀 연구원에 따르면, 해커들은 정부기관과 은행을 포함한 다양한 산업에서 의무적으로 사용되는 우크라이나 회계 소프트웨어를 공격했다. 이로써 다른 국가에서도 사용된 소프트웨어가 업데이트 되면, Ransomware를 공개할 수 있게 됐다.
한 키예프 거주자 Tetiana Vasylieva는 4대의 ATM에서 돈을 인출하지 못한 후 친척에게 돈을 빌려야했다. 오스트리아 은행 Raiffeisen의 우크라이나 지점에 속한 키예프의 한 ATM에서 화면 메시지에 기계가 작동하지 않는다고 표시됐다.

인프라 사업부 장관 Velodymyr Omelyan은 “우크라이나의 인프라 사업부, 우체국, 국영 철도사, 그리고 우크라이나 최대 통신사 Ukrtelecom이 공격 받았다.”고 페이스북에 포스트를 올렸다.
키예프의 지하철 시스템 관리자는 “카드 지불이 작동하지 않는다.”고 말했다. 언론사 Interfax-Ukraine에 따르면 전력 회사 Kievenergo는 자사의 모든 컴퓨터를 꺼야했지만 곧 정상화됐다. 도매 식료품을 운영하는 독일 회사 Metro Group은 우크라이나에서 공격 받았다고 전했다.
체르노빌 공장에서 방사능 수치에 대한 데이터를 수집하는 컴퓨터가 공격받아, 모든 원자로가 폐쇄됐지만 방사성 폐기물의 막대한 양이 남아있는 현장의 산업 시스템과 연결되지 않았다. 담당자는 방사선 모니터링이 수동으로 진행되고 있다고 말했다.

사이버 공격과의 전쟁이 치열 해짐에 따라 전세계의 사이버 보안 시장은 올해 약 1,200 억 달러(10년 전의 30배 이상)에 달하는 것으로 추산된다.

[출처 : 뉴욕타임즈  NICOLE PERLROTH, MARK SCOTT, SHEERA FRENKEL | 2017년 06월 27일]

Petya Ransomware 감염을 막는 보다 확실한 방어책은 행위기반으로 신종/변종 랜섬웨어에 대응하는 좀비제로를 설치하는 것입니다.
시그니처 없이 신종/변종 랜섬웨어에 대응하여 제3의 Petya Ransomware를 방어할 수 있습니다.
기존의 안티바이러스로는 변종 악성코드인 Petya Ransomware를 막을 수 없습니다.

자세한 사항은 1544-5317로 제품 문의하시거나 www.npcore.com 사이트를 참조해주세요.

엔드포인트의 랜섬웨어 대응 솔루션 : 좀비제로 EDR for Ransomware 바로가기