> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
국내 기업 정보 탈취 위한 공급망 공격 발견
원격지원 솔루션 기업 업데이트 서버 통해 악성코드 유포…타깃 조직 DB 관리 권한 탈취 시도
2018년 08월 22일 09:51:23 김선애 기자 iyamm@datanet.co.kr

국내 원격지원 솔루션 기업의 업데이트 서버를 이용한 공급망 공격이 발견돼 기업들의 각별한 주의가 요구된다. 트렌드마이크로와 한국의 보안 기업 이슈메이커스랩이 추적하는 ‘오퍼레이션 레드 시그니처(Operation Red Signature)’는 타깃 조직의 데이터베이스 서버 관리 권한을 탈취하기 위해 원격지원 솔루션 기업의 업데이트 서버를 장악하고자 했다.

이 공격은 업데이트 프로세스를 통해 ‘9002 RAT’이라 불리는 정보탈취용 악성코드를 고객에게 전달했다. 멀웨어를 탈취된 인증서에 서명하는 데 사용했으며, 공격대상 기업의 IP 주소 범위에 있는 경우에만 멀웨어를 전송하도록 업데이트 서버를 조작, 작동 시간을 2주 이내로 제한하는 등 맞춤형 공격을 시도한 것으로 드러났다.

   
▲오퍼레이션 레드 시그니처 공격 방법

다행히 원격지원 소룰션 기업의 보안 담당자가 ‘연계 위협 방어 시스템(Connected Threat Defense)’을 빠르게 작동해 침해에 대한 내부 프로세스를 업데이트해 큰 피해를 막을 수 있었다.

이와 같은 공급망 공격 피해를 막기 위해 트렌드마이크로는 기업 내에 설치된 패치 서버, 인증 프로세스의 보안을 유지하는 것 외에도 다른 회사 제품의 응용프로그램 보안 통제를 적용해야 한다고 강조했다. 또한 공급망 공격은 타깃형 공격으로 기업은 타사 공급 업체와 관련된 위험을 완전히 이해하고 관리하고 모니터링 할 수 있어야 한다고 조언했다.

더불어 방화벽, 침입 탐지 및 방지 시스템과 같은 네트워크 기반 위협 방어 시스템을 구축하고, 네트워크 세분화, 데이터 분류, 시스템 관리 도구 제한, 애플리케이션 제어로 네트워크상의 멀웨어 이동을 방지하고 노출되는 데이터를 최소화해야 한다고 밝혔다

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  공급망 공격, 업데이트, 패치, APT, 타깃 공격, 오퍼레이션 레드 시그니처
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr