암호화폐 현안 메일로 위장한 APT 공격 주의!

작성자 : DSSa / 날짜 : 2018. 2. 8. 19:29 / 카테고리 : 사일런스 프로텍트


정부 규제 여파로 급등락을 반복하며 이슈가 되고 있는 암호화폐 시장에서 투자자들의 가장 큰 관심 중의 하나는 바로 정부 현안을 미리 파악하는 일입니다. 최근, 이를 노린 회의원실 암호화폐 현안 사칭 메일이 돌고 있어 주의가 요망되고 있습니다.


* KISA에서 공개한 국회의원실 사칭 스피어피싱 메일


이와 같은 메일을 스피어피싱 메일이라고 합니다. 이번에 스피어피싱 메일로 사용된 내용은 국회의원이 가상화폐, 암호화폐 거래소 관련된 규제와 방침에 대한 내용으로 위장하고 클릭률을 높인 사칭 메일입니다. 해당 메일에는 첨부파일이나 링크를 통해서 해킹을 당하도록 유도하고 있습니다. 해당 메일의 첨부파일이나 링크를 누르게 되며 악성코드를 감염시키는 형태로 작업합니다.




특히, 스피어피싱은 공격이 되는 타겟의 정보를 수집하고 메일을 보내기 때문에 해당 수신자의 관심도, 흥미에 따라서 메일을 정확하게 보냅니다. 그러므로 성공률이 굉장히 높은 APT 공격(Advance Persistent Threat · 지능형 지속 공격)으로 분류됩니다.




요즘 일어나는 거래소 해킹사건 같은 경우도 이와 같은 APT 공격이 원인인 경우가 많습니다. 국내 최대 거래소 였던 빗썸의 경우에는 최근 개인정보유출로 인해서 압수수색을 당했습니다. 암호화 미준수에 대한 이슈여부도 있지만, 그보다 중요한 것 중 하나는 빗썸 거래소가 해킹된 경로 및 원인입니다.


빗썸 거래소 같은 경우에는 빗썸 임직원의 메일로 피싱메일을 보내, 이를 통해 감염된 임직원의 PC에서 빗썸 내부로 침투하여 전산망과 내부 직원 PC에 보관되어 있던 개인정보가 유출된 APT 공격이 원인이라고 할 수 있습니다. 이를 막기 위해서는 24시간 돌아가는 거래소 특성상 24/7 모니터링과 대응이 가능한 보안 솔루션을 도입하는 것이 중요합니다.



사람의 힘으로는 더 이상 24/7 이루어지는 보안 위협에 대응할 수 없습니다. 그리고 고도화되는 악성코드 기법은 기존의 데이터베이스 기반의 보안솔루션인 시그니처, 룰 방식으로는 대처가 불가능한 수준에 이르렀습니다. 기존 악성코드의 데이터를 패턴화하여 머신러닝으로 보안 솔루션이 학습하여, 이상 징후를 스스로 판단, 대응할 수 있어야 합니다.


사일런스 프로텍트 (Cylance Protect) 보안 솔루션은 이러한 기법이 적용된 보안 솔루션으로 기존의 데이터베이스 방식에서 대응할 수 없었던 신종, 악성코드와 특수한 상황에 사전 대응할 수 있습니다.



사일런스 프로텍트는 기존의 시그니처 기반 AV (Anti-Virus) 솔루션들이 대응할 수 없는 랜섬웨어와 APT 공격을 막을 수 없다는 점에 착안하여 개발한 머신러닝 기술을 접목한 악성코드 탐지 솔루션입니다.


머신러닝 기반 악성코드 탐지 솔루션은 기존의 수집된 악성코드의 데이터를 분석하여 머신러닝 알고리즘을 통해서 이 학습데이터를 기반으로 새로운, 변종의 악성코드를 분류해 낼 수 있는 인공지능 기술을 탑재하였습니다.


미국 보안제품 테스트 기관인 Miercom 2016 보고서에 따르면 시그니처 기반의 평균 악성코드 탐지율은 83.5%이고 머신러닝 기반의 평균 악성코드 탐지율은 98% 이상입니다.



사일런스 프로텍트는 머신러닝 기술에 기반한 보안 솔루션이며 최대 10페타바이트가 넘는 악성코드 데이터를 학습한 인공지능 엔진을 탑재하고 있습니다. 사일런스 프로텍트의 인공지능은 헤더정보, 서명, 각종 스트링과 임포트, 섹션권한, 패커, 컴파일러 등에 이르기까지 700만개 이상의 파일 특징을 0.1초 이내에 종합하여 파일의 DNA를 분석하여 그 의도를 명확하게 분석하고 파악할 수 있습니다.


이를 통해서 해당 파일이 악성코드인지 아닌지를 명확하게 판별할 수 있습니다.


사일런스 프로텍트 (Cylance PROTECT) 솔루션 특장점


1. 알려지지 않는 악성코드 탐지 기술

머신러닝 기반으로 시그니처 없이 신종 악성코드를 탐지할 수 있습니다. 일례로 2016년 1월 버전의 CylancePROTECT로 2017년 5월 전세계를 강타한 워너크라이(WannaCry)랜섬웨어와 페티야(Petya) 랜섬웨어를 모두 탐지하는 효과를 거두었습니다.


2. 빠른 처리 속도

파일당 평균 분석시간은 0.1초 이하로 실시간으로 악성여부 결정 및 차단이 가능합니다.


3. 최소한의 리소스 소모

파일 분석시 소모되는 메모리량은 평균 30MB, CPU량은 1% 미만 수준으로 PC, 서버 등 엔드포인트 성능에 전혀 부담을 주지 않습니다. 또한, 사용자가 전혀 인지하지 못하도록 사일런트 모드로 동작할 수 있습니다.


4. 안정성

현재까지 어떠한 다른 엔드포인트 솔루션 에이전트와 충돌이 보고된 적이 없어 안정성이 매우 높습니다.


5. 일일 업데이트 불필요

매일 업데이트를 해줘야하는 시그니처 기반의 안티바이러스 제품과는 다르게 연간 평균 2회만 인공지능을 업데이트하면 되기 때문에 패치서버를 운영하는 부담이 크게 줄어 듭니다. 또한, 패치서버에 연결 되어 있지 않더라도 최고의 보호상태를 계속 유지하며 USB 등을 통해 유입될 수 있는 신종악성코드를 방어 할 수 있습니다.


분석된 악성코드 위협정보는 사일런스 프로텍트의 Threat Visualization 관리 콘솔을 통해서 시각화하여 보여줍니다. 수집된 각종 위협정보와 차단 정보 및 사고분석 정보를 제공하여 전문적인 지식을 가진 보안 분석가 아니러더라도 위협을 직관적으로 인지하고 분석할 수 있도록 도와줍니다.





(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

방문자 통계

  • 전체 : 386,910
  • 오늘 : 0
  • 어제 : 74
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.