NSHC, 9일 ‘세이프 스퀘어 : 스페셜티’ 주제로 컨퍼런스 : 매년 7월 9일 ‘보안친구데이’로 지정해 정기적인 행사 개최
정보보안 전문기업인 NSHC는 9일 로얄호텔서울(명동)에서 ‘세이프 스퀘어 : 스페셜티’를 주제로 정보보안 컨퍼런스를 개최합니다.
‘SAFE SQUARE’ 는 NSHC에서 다양한 분야의 고객분들을 초청하여 감사의 마음을 전하고 1년간의 기술적 발전 성과를 선보이는 보안 컨퍼런스입니다.
최근 정부의 클라우드 규제완화에 발 맞추어 엔터프라이즈 및 금융/공공분야를 중심으로 클라우드 산업이 본격적으로 시도될 전망입니다.
이에 “글로벌 보안 트렌드 및 금융권 클라우드 보안의 중요성”에 대하여 아카마이 코리아(Akamai Korea)에서 키노트 발표를 시작으로 “스페셜티 모바일 보안”과 “스페셜티 인텔리전스 : 금융권 외부 위협 정보 탐지”에 대한 발표를 준비하였습니다.
자세한 내용은 아래 링크를 통해 확인하실 수 있습니다.
2019년 4월 26일(금) NetSec-KR 2019 개회식에서 정보보호 우수기업 대표와 우수연구자에 대한 표창수여식이 진행됐다. 과학기술정보통신부 장관상에는 숭실대학교 이정현 교수와 유엠로직스 권환우 대표, 행정안전부 장관상에는 순천향대학교 임강빈 교수와 NSHC 허영일 대표가 선정됐다.
 |
정보보안 전문기업 NSHC(대표 허영일)는 오는 5월 8일부터 3일간 양재 엘타워에서 국내 정부 기관 및 민간, 사이버 범죄 수사 기관을 대상으로 하는 OSINT(Open Source Intelligence, 공개 정보를 이용한 정보활동) 전문가 과정 교육을 진행한다고 밝혔다.
최근 OSINT를 활용한 정부 및 기업의 우수 활용 사례들이 속속 발표되며, OSINT 기술에 대한 관심이 증가하고 있다. OSINT를 활용하면 게임 및 금융, 쇼핑 분야에서의 부정사용은 물론 악성코드 및 해킹 등 보안 위협에 대한 효율적인 탐지 및 예방, 마약 거래 및 비트코인 탈취/세탁 등에 대한 모니터링, 물리적 테러를 감행 또는 모의한 테러 용의자 추적 등 다양한 방면에서 효율적인 추적 성과를 기대할 수 있다.
그래서 이번 과정은 지난 1,2,3차 교육생들의 다양한 요구사항을 반영하여 이론과 실습을 통한 실무 능력 중심의 심도있는 내용을 다루며, 사이버 범죄 수사 및 위협 정보 관제 업무 등 현장에서 활용 가능한 기술을 전수한다. 특히 아시아에 진행했던 다양한 사례를 소개하며, Maltego와 같은 전문화된 위협 분석 도구를 이용해 보안성을 강화하기 위한 방법 등을 제공한다.
주요 교육 내용은 ▲OSINT에 대한 이해 ▲블랙마켓과 딥웹에 대한 모니터링 방법 ▲사이버 범죄자 추적을 위한 Maltego 도구 활용법 ▲Yara 도구를 통한 사이버 보안위협 추적 활용법 ▲침해 사고 분석시 활용할 수 있는 다양한 분석 방법 ▲최신 위협 정보를 활용한 해외의 범죄 수사 활용 사례 분석 및 실습 ▲OSINT 빅데이터를 활용한 효율적인 시각화 방법 ▲Data mining and machine learning 활용 등이다.
수강생은 이번 과정을 통해 실제 공개 정보를 이용한 기업내 위협 정보를 모니터링하고, 필요시 사이버 범죄자를 추적하고 분석할 수 있는 능력을 향상시키고, 침해 사고 발생시 관련 기술을 사용하여 침해 사고에 대한 피해를 최소화 할수 있다. 또한 다양한 사례를 통해서 기업과 기관들의 정보 보호 인프라 운영 환경을 구축하기 위해서 위협 정보를 활용할 수 있는 기반 지식을 습득 할 수 있다.
NSHC는 국내 금융 기관의 중요 정보에 대한 기밀 정보 유출과 현황을 모니터링 하고 있으며, 국내의 중요 기반시설에 대한 위협 모니터링 현황 및 연구 내용등을 꾸준히 발표하고 있다. 또한, 작년 방산 보안 컨퍼런스에서 국내 방산 업체에 대한 보안 현황에 대한 조사등을 실시하여, 관련 기관에 위협 정보를 제공하고 있다.
허영일 NSHC 대표는 “지속적으로 늘고 있는 사이버 범죄에 대응하기 위해서는 관련 분야에 특화된 정보 보호 전문 인력 양성이 시급하다. 현장에 즉시 활용 가능한 기술을 전수하고, 관련 분야의 전문 인력을 확보하는 등 보안 인력 육성에 박차를 가할 계획이다.”라고 말했다. 또한 “이번 교육을 통해서 아직까지 알려지지 않은 중국, 러시아 및 북한의 사이버 테러 집단의 주요 활동과, 위협 정보 등을 소개할 예정이다”라고 덧붙였다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=47620&page=&total=
 |
| ▲ 최병규 NSHC 본부장. 2019년 매출 목표는 80억. 해외시장 매출 확대와 블록체인 보안시장, 사이버위협인텔리전스 시장 확대에 주력하겠다고 밝혔다. |
언더그라운드 해커들이 모여 2004년 설립한 NSHC(허영일 대표)는 지난해 매출 65억을 기록하며 국내 모바일 보안 시장에서 입지를 굳건히 하고 있고 레드알럿(Red Alert)팀을 필두로 오펜시브리서치와 트레이닝 사업을 국내외에서 활발히 전개해 나가고 있다. 이들의 목표 키워드는 ‘아시아 No.1 보안 기업’이 되는 것이다.
얼마전 가산 사무실에 만난 최병규 NSHC 본부장은 “2018년 매출액은 65억 수준이다. 이중 모바일 사업에서 45억이며 금융권 매출이 좀 줄었고 대신 엔터프라이즈 매출이 늘고 있다”며 “금융권은 난독화 사업이 대부분 완료된 상태라 국내 금융 모바일앱 보안 시장은 크게 늘어날 여지가 없다고 본다. 국내 모바일앱보안 시장 전체를 300억 규모로 보고 있으며 현재 포화상태라 해외 시장 확대와 사업의 다각화가 NSHC의 비즈니스 이슈다”라고 설명했다.
NSHC 솔루션을 살펴보면, △금융 APP 전문 보호 서비스 FxShield △모바일 게임 APP 보호 서비스 GxShield △강력한 이중 난독화 솔루션 Duo Shield △애플리케이션 위변조 방지솔루션 APP Protect △모바일 환경에 최적화된 안드로이드 전용 안티 바이러스 솔루션 Droid-X △iOS 전용 앱보호 솔루션 ixShield(iOS 해킹방지솔루션) 등이 있다.
또 △국내 은행, 카드, 증권사에서 가장 널리 사용되고 있는 스마트폰 키 입력 보안 솔루션 nFilter △모든 OS, 모든 웹브라우저(모바일 웹 포함)에 적용 가능한 가상보안키패드 Open Web nFilter △nOTP는 기존의 취약점을 극복한 스마트폰용 Time Base OTP다. 투-채널 인증이 필요한 모든 스마트워크 환경에서 사용이 가능하다. △nSafer는 KCMVP 인증을 받은 NSHC 암호모듈로 대칭키 암호 알고리즘, 공개키 암호 알고리즘, 메시지 인증코드, 메시지 축약 등의 암호기능을 제공한다.
◇국내 시장 한계…해외 시장 확대에 주력
오펜시브리서치 분야는 국내 탑리서처들이 포진한 RED ALERT팀에서 최신 보안 이슈, 공격 및 방어기술에 대한 정보, 악성코드와 취약점에 대한 분석 보고서 및 기술 정보를 제공하고 있다. 또 트레이닝 분야는 △ICS/SCADA Security △Malware Analysis △OSINT △IoT Exploitation △Penetration Test 분야를 중점 교육하고 있으며 국내 뿐만 아니라 해외에서도 인지도를 높여가고 있다. 더불어 NSHC 모의해킹 서비스는 각 분야별 최고 화이트 해커로 구성되어 있으며 10여 년 간 공공, 기업, 금융, 게임 등 다양한 분야의 모의해킹 노하우를 통해 최적의 보안 서비스를 제공하고 있다.
최병규 본부장은 “국내 모바일 앱보안 시장은 시장 규모도 작고 저가경쟁이 심화되고 있어 성장에 한계가 있다. 해외 시장 확대가 답이다. 지난해 일본시장에서 성과가 올라오고 있다. Droid-X와 GxShield로 4억5천만원의 매출이 발생했다. 일본 등 해외 시장을 중심으로 모바일 보안과 레드얼랏 서비스 매출을 차근차근 끌어 올릴 계획이다”라며 “해외 사업은 허영일 대표가 주도하고 있다. 솔루션 사업 뿐만 아니라 오펜시브리서치 서비스와 교육사업도 활발히 진행중이다. 해외 자동차, 항공, 조선, 항만 등 기반시설 관련 교육 수주가 늘고 있고 올해는 사이버위협인텔리전스 사업에 주력할 계획이다”라고 밝혔다.
◇SIEM 관련 신규 솔루션 출시 계획…블록체인 보안사업도 본격화
NSHC는 허영일 대표를 중심으로 5년째 글로벌 10개국에서 사이버위협인텔리전스 사업을 꾸준히 확대해 나가고 있다. 국내보다 해외에서 기반시설 보안에 대한 니즈가 크고 인텔리전스 서비스에 대한 인식이 자리 잡혀 있기 때문이다.
최 본부장은 마지막으로 “2019년 매출 목표는 80억이다. 해외 사업에서 매출이 증가할 것으로 예상한다. 또 SIEM팀을 구축해 올해 상반기에 관련 솔루션 출시도 준비하고 있으며 해외시장까지 생각하고 솔루션을 개발하고 있다. 더불어 블록체인 보안 관련해서도 지난해 여러 암호화폐 거래소 컨설팅을 진행해 온 경험이 있기 때문에 거래소 종합 컨설팅 사업도 준비하고 있다. 국내 뿐 아니라 일본이나 싱가포르에서도 요청이 들어오고 있다. 올해 블록체인 보안 사업에도 집중할 계획이다”라고 전했다.
NSHC는 올해 법인설립 11년, 해외진출 6년차가 된다. 해커들이 만든 기업중 국내에서 이제 몇 남지 않은 기업이다. 국내 오펜시브리서치 기업들이 타기업에 합병되거나 인수 되는 등 비즈니스에 한계를 드러내고 있는 가운데 기술력과 경쟁력있는 솔루션 개발 그리고 해커마인드로 사이버위협인텔리전스 사업까지 그들의 역량을 펼쳐나가고 있는 NSHC. 2019년 NSHC의 비상을 기대해 본다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=46204&page=&total=
1. 서론 : 그래도 시간은 흘러간다….
캄보디아 앙코르왓을 둘러싼 ‘해자’넘어를 나무그늘 아래서 바라본 풍경, (지금 섭씨37도.)
시간이 강물처럼 흐른다는 표현이 있다.
강가에서 흐르는 강물을 지켜보다 보면 물이 흐르고 있는 것인지, 내가 반대방향으로 움직이고 있는 것인지 헷갈릴 때가 있다.
그런데 분명한 것은 눈앞에 물은 흐르고 있고, 그 안에 뛰어 들어 수영을 하던지 카야킹을 하던지 뭐라도 물의 흐름을 타고 무언가 하는 것 말고는 내가 흐르는 강물을 막아서거나 어쩔 수 없다는 사실이다.
매년 캄보디아를 찾아 ‘열병’을 앓아내듯 10년을 오고 갔던 캄보디아의 오늘을 지켜보며 시엠립 최초의 스타벅스에 앉아 감회에 젖는다.
2. 10년의 시간이 흘러…
10년이라나 세월을 지금 이야기하는 것은, 우리 회사(NSHC)의 명품 CSR 프로젝트인, “재능기부웍샵”의 일환으로 매년 이곳 시엠립을 찾은 것이 올해가 8년째인 셈이고,
그 전에 개인적으로 어떤 교회의 비전트립을 따라 이곳에 오게 되어 안타까운 마음을 갖게 된 것이 2010년 무렵이였다.
당시 대안학교를 다니던 아들(태근)하고 같이 청년부 수련회를 따라 이곳에 오게 되었었는데…이번에는 그 꼬마가 장성하여 팀멤버로 참여를 하여 그 역할을 잘 감당하는 모습을 보니 이번에는 아버지로서 느낌이 남달랐다.
3. 해프닝도 함께 흘러가고…
회사에서 이 곳을 꾸준히 찾아 하다 보니 어떤 직원들은 이부사장이 그곳(시엠립)에 연고가 있어 매년 시엠립을 찾고 있다는 소문이 돌아, 어떤 직원이 이곳에 팀원으로 와서 현지에서 우리를 돕는 김계숙 선생님에게 “부사장(나)와 혹시 어떤 가족 관계냐고?” 진지하게 물었다는 코믹한 히스토리도 있다.
회사에서 8년째 이 프로젝트를 운영하고 발전시켜 오면서, 신입 직원들에게 이 프로젝트가 본부장(부사장) 프로젝트로 인식 되고 있는 현실이 조금 불편한 것은 사실이다.
그러나 어쩌랴? ‘불편’하다고 포기할 ‘일’이 아닌 것을….
4. 우리가 “CSR 프로그램”한다고 ?
‘CSR프로그램’은 대기업이나 하는 것으로 알고 있었다.
우리의 “재능기부웍샵 프로젝트”는 한 회사가 CSR(기업의 사회적책임)프로그램을 진행하면서 “1회성 형식”에 그치는 많은 전례들을 탈피하기 위해 한 지역을 중심으로 ‘지속성’을 담보로 ‘책임을 지는’ CSR 프로그램을 실천하기 위한 노력 이였다고 자신 있게 말할 수 있다.
이제는 그 노력의 결과에 대하여 정리를 할 때가 된 듯하여 귀국 전 시간을 내어 정리를 하고 있다.
(마침 발견한 시엠립의 첫 ‘스타벅스’에게 감사를….^^)
5. 기업의 CSR 프로그램은 과연 무엇이 목적이 되어야 할까?
워딩의 의미에 따라 “기업이 번 돈을 사회의 발전을 위해 사용한다”면 그것이 당연히 ‘목적’이 되어야 할 것이다.
그러나 이런 마음을 가진 기업의 눈앞에 놓인 현실은 그렇게 간단하지 않다.
일단 현지에서 무언가 일을 벌이기 위해서는 열악한 현지의 특성상 회계처리의 불편함을 감수해야 한다.
회사의 입장에서는 그냥 NGO에게 현금을 기부하고 영수증을 받는 것(?)이 ‘가장 쉬운 선택’일 것이다.
그러나 우리 NSHC의 선택은 ‘쉬운 길’이 아니였고, 우리가 주목한 것은
” 우리의 전문성을 최대한 살려 지역사회에 도움이 되는 길을 찾고, 그것을 통해 우리가 투입한 재화의 가치를 극대화 하는 데 관심을 가지고 있었다.”
이런 관점에서 시작한 것이 현지의 열악한 물과 전기 사정을 개선하기 위한 기술적 ‘방법론’에 대한 관심 이였고,
올해 8년차에 접어들면서 꾸준한 실험과 도전으로 이 분야에서는 어느 정도 ‘기술표준화’(?)가 가능한 솔루션(해법)에 접근을 하게 된 듯하다. (올해 현지에 ‘사회적 기업’의 모델을 통한 지속성을 가진 환경개선 작업에 실험을 시작한다.)
적은 돈으로 어떻게 현지에서 큰 가치를 만들어 낼 수 있을까…?
늘 그 것이 변치 않는 우리의 목표였다.
6. NSHC “재능기부웍샵” 프로젝트 소개
‘적정기술’이라는 것이 대단한 Technology는 아니지만 현지에서는 상당한 가치를 발휘할 수 있는 특징이 있다.
이런 이유로 현지의 열악한 전기 사정을 해결하기 위한 대안으로서 “가정용 Solar System”에 관심을 갖게 되었고, 안전한 식수의 저렴한 공급을 위해 지속 가능한 “정수키트”를 고안하게 이른다.
이것이 시초가 되어 시작한 프로젝트가 “Solar Home(캄보디아형 가정용 태양전지 키트)”, “Clean Water(캄보디아형 ‘영구필터’ 정수키트)” 프로젝트이다.
그밖에 크지 않은 예산으로 지역에 있는 주민들이나 아이들에게 행복을 선사 해줄 수 있는 아이디어로 매년 구체화 되어 온 것이 바로 주민들에게 가족사진을 찍어주는 “Happy Photo 행사”나 “Sopoong 프로젝트”였다.
“Happy Photo 행사”는 함께 직은 가족 사진 한 장 집에 있기 어려운 생활형편인 마을을 방문해 사진을 찍고 사진용지에 프린터로 출력을 해서 코팅까지 해서 전달해 주는 프로젝트인데, 지역주민들의 호응이 매우 뜨거운 프로젝트이다.
사진을 찍겠다고 미리 광고를 하고 마을에 접어들면 집에서 가장 말끔한(?) 옷으로 갈아입고 기대감으로 우리를 바라보는 눈망울에서 사진 한 장, 한 장을 찍을 때 긴장을 놓을 수 없게 되기도 한다.
“Sopoong 프로젝트”는 발음 그대로 캄보디아 어린이들하고 소풍을 가는 프로젝트이다.
캄보디아에 태어나 앙코르왓을 한번도 가본적이 없는 어린아이들을 시엠립으로 초청을 해서 1박2일의 “무료수학여행”을 시켜주는 프로젝트이다.
바깥세상과 캄보디아의 국가적 상징인 앙코르왓에 대한 방문경험은 자부심과 함께 오지 아이들의 얼굴에 미소를 찾아주고, 미래의 꿈을 일깨워 주는 효과가 있다.
대원들의 입장에서는 빡센 3일간의 봉사활동 후에 하루 정도 쉼을 가질만한 시간에 아이들 인솔봉사에 나서는 일이 그리 달가운 일이 아닐 수 있으나 힘든 만큼 보람을 찾을 수 있는 일이기에 매년 계속 되고 있다.
7. 2019년 “재능기부웍샵” 정리를 마치며…
인간이 ‘노력’을 한다지만,
그 일을 이루어지는 것은 ‘하늘의 뜻’이라는 것이 나이를 들어가며 깨닫는 ‘세상의 이치’이다.
이번 봉사팀의 구성과 진행 역시 너무 ‘다이나믹’(?) 하였어서 지금 와서 돌아보면 이제 끝났구나…. 하는 생각에
그냥 휴~하고 한숨이 나온다.
Miracle #1 : 올해 프로젝트 준비를 시작하던 1월 중순 무렵, 갑자기 허리통증 때문에 무거운 짐을 들 수가 없었다. 큰 행사를 앞두고 난감한 상황….ㅜㅜ 결국 필라테스 다니던 딸이 가르쳐준 스트레칭으로 꾸준히 노력해 출발 전 극적으로 통증을 ‘극복’ 할 수 있었다.
Miracle #2: 올해 초, 2019년 재능기부웍샵 팀원을 사내에서 모집하려는 타이밍에 캄보디아에서 봉사중인 한국인 이 사망하는 사고가 국내 뉴스를 탔다. 실제와 관계없는 막연한 두려움이 무거운 사내 분위기를 불러왔고, 가뜩이나 바쁜 연초의 회사 일로인해 재능기부웍샵 신청자들은 급감…ㅜㅜ
억지로 회사가 등떠밀어(?) 가는 행사가 아니였던 만큼 난감한 상황이 이어져갔다.
게다가 부서별 지원자중 젊은 직원 한 명은 출발 일을 하루 앞두고 아버님의 뇌출혈 수술로 아버님 곁을 떠날 수 없는 형편이 되어 동행을 못하게 되고, 티케팅, 숙박 예약까지 모든 비용을 한번에 버리게 된 상황 발생…ㅜㅜ
결국 ‘비상대책’으로 방학이 끝나 중국으로 떠나려던 아들(태근)을 급히 불러 빈자리를 메꾸는 선택이 “신의 한 수”가 될 줄은…!^^
(짐꾼에, 사진사에, 엔지니어까지…^^)
Miracle #3: 이런 상황 속에 최소의 인원으로 출발한 2019년 원정 팀은 모두가 ‘한 팀’이 되어 함께 작업을 진행 할 수밖에 없는 상황 이였고, 일정상 제한된 시간 내에 모든 과업을 마치기엔 역부족… 그런데 놀라운 일이 발생.
가장 손이 많이 가는 Solar Home 플젝의 경우 현지 인력 1명 포함, 6명의 구성원이 각각 “솔라패널팀”, “콘트롤러, 배터리”, “LED, 스위치배선팀”, 세개의 분야로 나뉘어 속도전을 수행함으로 인해 설치시간을 현격하게 끌어올리게 되었다.
마지막에는 거의 ‘한 시간’ 내에 한 가정에 솔라 시스템을 설치하게 된 것…!
단연 “팀웍의 승리”였다고 이야기 할 수 있겠다.
이번 2019년 재능기부웍샵,
“환상의 팀”에 합류해준 정원혁, 장주현, 정희경, 이태근, 우혁진, 요한씨, 그리고 말없이 잘 동행하며 호응해준 두 꼬마 숙녀님들에게 감사를 전합니다.
“당신들이 진정한 ‘챔피언’입니다…!”
 |
| ▲ 장영준 NSHC 수석연구원이 ‘OPERATION KITTY PHSIHING’을 주제로 SFIS 2019에서 강연을 진행하고 있다. |
데일리시큐와 머니투데이가 공동 주최한 제6회 스마트 금융&정보보호페어 SFIS 209가 2월 20일 소공동 롯데호텔 2층 크리스탈볼룸에서 200여 명의 금융기관 정보보호 실무자들이 참석한 가운데 성황리에 개최됐다.
이 자리에서 장영준 NSHC 수석연구원은 ‘OPERATION KITTY PHSIHING’을 주제로 강연을 진행했다.
NSHC의 RedAlert 연구소 ThreatRecon팀은 Cyber Threat Intelligence 서비스를 담당하고 있으며 현재 인텔리전스 및 악성코드 분석 업무로 한국과 싱가포르에서 팀을 운영 중이다.
장영준 수석은 “동아시아, 동남 아시아 및 중동 지역을 대상으로 한 APT 그룹들의 해킹 활동을 추적했다. ThreatRecon팀은 현재 11개 섹터(Sector)의 57개 해킹그룹 관련 인텔리전스를 보유 중이다. 현재 총 792건의 인텔리전스 이벤트와 총 3만1천397개의 그룹 특성 데이터 보유 중”이라고 설명하고 “SectorA의 해킹 그룹은 전 세계를 대상으로 해킹 활동을 수행 중이다. SectorA의 해킹 그룹 중 SectorA01 그룹은 전 세계를 대상으로 금융 범죄 목적의 해킹을 수행하고 있다. SectorA02와 SectorA05 그룹은 동아시아 지역 중심의 정보 수집 목적 해킹을 하고 있다”고 설명했다.
 |
| ▲ SFIS 2019 장영준 NSHC 수석 발표현장. |
이어 ‘SectorA’ 관련 해킹 그룹의 해킹 기법에 대해 설명을 이어갔다. 이 그룹은 해킹 대상에게 악성코드가 첨부된 스피어 피싱(Spear Phishing) 이메일 전송을 주로 한다. 현재는 이메일 계정과 암호 정보 탈취 목적의 피싱(Phishing)을 공격을 한다. 한글 파일 형태의 악성코드에서 MS 오피스(Office) 파일 형태의 악성코드 활용으로 변화하고 있다.
SectorA05 그룹의 해킹활동은 2018년부터 다시 활발하게 동아시아 지역 대상으로 정보 수집 목적의 해킹 활동을 수행 중이다. 2018년 한 해 동안 총 31건의 인텔리전스 이벤트 생성중, 총 19건이 동아시아 지역 관련 활동으로 조사됐다.
장 수석은 “Operation Kitty Phishing은 2019년 1월 발견된 SectroA05 그룹의 해킹 활동 중 하나다. 동아시아 지역 국가 정부 활동과 관련된 고급 정보 수집 목적의 해킹활동이다. 해킹 기법은 악성코드가 첨부된 스피어 피싱을 활용했다”고 밝혔다.
스피어 피싱 이메일의 첨부 파일은 암호가 설정된 압축 파일(ZIP)이 존재하며 압축 파일 내부에는 2개의 정상 파일과 1개의 한글 파일로 위장한 실행 파일(RARSfx)이 존재한다. 실행 파일 내부에는 1개의 정상 한글 파일과 2개의 스크립트(Script) 파일이 존재한다. 공통적으로 1차 C2 서버로 구글 드라이브(Google Drive)를 활용했다.
실행 파일을 해킹 대상이 실행하게 되면 정상 한글 파일 열람과 동시 스크립트 파일을 실행한다. 1개의 스크립트 파일은 C2 서버에서 DLL 파일 형태의 백도어를 다운로드 및 실행한다. 다른 1개의 스크립트 파일은 백도어 기능을 수행하도록 제작됐다.
한편 SectorA05 그룹은 해킹 대상이 가상 화폐를 가지고 있는지 확인하고 추가적으로 화면 캡쳐, 키로깅 및 크롬 브라우저 정보 탈취를 한다. 가상화폐 관련 정보들을 수집해 C2 서버로 전송한다.
또 ‘Operation Kitty Phishing’이라고 명하는 이유에 대해서는 스크립트를 이용해 해킹 대상을 Kitty(적립금)로 부르며 개인별 관리를 하고, 해킹 대상에 대한 개인별 맞춤형으로 제작한 악성코드를 추가 다운로드 및 실행한 이유 때문이라고 전했다.
  |
| ▲ 장영준 수석 발표자료. NSHC 제공. |
장 수석은 이어 사이버 위협 인텔리전스 활용에 대해서도 언급했다. 단계별로 △전술적 인텔리전스(Tactical Threat Intelligence) △운영적 인텔리전스(Operational Threat Intelligence) △전략적 인텔리전스(Strategic Threat Intelligence)에 대해 설명했다.
전술적 인텔리전스 단계는 위협 정보와 데이터 수집으로 지표(Indicators)를 생성하고 해킹 그룹이 활용하는 지표는 실제 공격을 탐지 및 차단이 가능하다.
다음 운영적 인텔리전스 단계는 내부 IT 환경의 공격 접점(Attack Surface) 분석으로 공격 발생 과정을 분석(Kill Chain, Diamond Model, Cyber Campaign Modelling)하고 조직 내부 IT 환경에 대한 인텔리전스 및 조직 외부 위협 인텔리전스 확보로 신규 공격 접점 확인이 가능하다. 중간 관리자 대상단계다.
최종 전략적 인텔리전스 단계는 전략적인 큰 그림으로 위협의 동향과 범위 등을 다루며, C레벨(CEO, CISO, CSO) 대상이다. TTP(Tactic, Technic, Procedure)에 대한 이해로 조직의 보안 전략, 정책, 보안 및 IT 환경 구성에 변화가 가능한 단계다.
장영준 수석은 “해외 기업 보안담당자들과 미팅을 해 보면 내부에 인텔리전스팀을 구축하고 이를 통한 보안체계를 만들어가는 기업들을 자주 볼 수 있었다. 한국도 사이버 위협 인텔리전스(CTI)를 활용한 방어 체계 구축에 보다 적극적인 투자가 필요하다. 또 CTI와 기존 보안장비의 연결을 통해 더 큰 시너지를 낼 수 있을 것”이라고 강조했다.
장영준 수석의 SFIS 2019 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=45852&page=&total=
 |
| ▲ NSHC 보고서 이미지 |
NSHC(허영일 대표) RedAlert, ThreatRecon팀이 지난 1월 초, 한국 통일부 취재기자 77명을 대상으로 유포된 악성코드에 대해 분석 리포트를 30일 공개했다.
ThreatRecon팀은 보고서를 통해 “이번 공격은 특정 정부가 지원하는 해킹그룹 SectorA05 조직의 하위 그룹으로 추정된다. 해당 악성코드를 기점으로 과거 활동을 추적한 결과 이들은 일본 IP를 사용하는 한국 도메인의 특정 C2서버를 최소 27개월 이상 지속적으로 사용하며 활동한 것”이라며 “또 이메일을 통해 악성코드를 유포하는 공격뿐만 아니라 이메일 계정 정보를 탈취하기 위한 피싱 공격도 함께 하고 있다. 주로 중앙정부, 통일, 외교 영역과 국방 영역 등 한국 정부 인사 등을 해킹 대상으로 삼았다. 최근에는 가상화폐 거래소 및 사용자들을 대상으로 확대해 금전적 이득도 주요 목적으로 하고 있다”고 설명했다.
이어 팀은 이들 공격 활동을 ‘Operation Kitty Phishing’이라고 명명했다. 이들의 공격은 현재까지도 매일 이루어지고 있으며 지금까지 발견된 공격은 빙산의 일각이라고 강조했다.
보고서에는 이번 공격자들의 이메일 계정 탈취 공격, 악성코드 배포 공격 등에 대한 상세한 분석 내용이 포함돼 있다.
◇SectorA05의 공격 방법 분석
보고서에 따르면, 공격조직 SectorA05의 최초 공격 유입 방식은 2가지 방식이다. 먼저 타깃의 이메일 계정의 패스워드를 탈취하기 위한 피싱 공격과 타깃 PC의 정보들을 탈취하기 위한 악성코드를 이메일을 통해 배포하는 공격이다.
공격자들은 타깃을 사용하고 있는 이메일 서비스와 동일한 피싱 사이트를 만들고 타깃에게 발송한다. 그들은 주로 비밀번호 재설정 요청 등 보안과 관련해 문제가 발생한 것으로 오인하도록 해 타깃이 패스워드를 입력하도록 유도한다.
악성코드는 이메일의 첨부파일을 통해 전달하는 방식을 사용한다. 이들은 이메일의 첨부파일로 다양한 방법들을 사용한다. 스크립트 파일을 전달하는 방법, 한글(HWP) 문서의 취약점을 이용한 방법, ‘EXE’ 실행 파일을 문서처럼 보이게 하는 속임수 방법 등을 사용한다. 이러한 파일들은 주로 압축 파일 형태로 전달된다.
◇공격조직의 코인탈취
 |
한편 ThreatRecon팀은 SectorA05의 암호화폐 관련 코인 탈취 행위를 수행하고 있는 다는 것도 확인했다.
SectorA05 해킹그룹은 전통적으로 한국 및 주변 국각에서 각종 기밀 정보들을 탈취하는 행위를 주요 목적으로 하고 있는 조직이다. 그러나 최근 암호화폐 관련 코인을 탈취하기 위한 해킹 시도에도 많은 시간을 할애하고 있다는 것을 확인했다.
한편 해당 그룹이 정부 배후의 스파이 활동을 하는 역할에서 암호화폐 탈취를 통한 외화벌이까지 목적이 확대된 것인지 아니면 그들 중 일부가 자신들의 사익을 위해 일탈 행위로 코인을 노리고 있는지 명확하지 않다.
그러나 명확한 사실은 그들이 일부 형태의 해킹 대상으로부터 활발하게 암호화폐 관련 코인을 탈취하기 위한 활동을 지속적으로 하고 있다는 점이다. 암호화폐 거래소 임직원 및 개인 암호화폐 사용자들과 코인 관련 개발자 등이 그들의 주요 해킹 목표다. ThreatRecon팀은 실제로 공격자들의 암호화폐 지갑과 개인키가 위치한 디렉토리까지 확인했다.
◇왜 ‘Operation Kitty Phishing’인가
 |
ThreatRecon팀은 SectorA05 해킹조직을 지속적으로 추적하는 과정 중에 그들이 피해자들을 관리하기 위해 사용하는 관리 스크립트를 발견했다. 그들은 피해자들을 키티(Kitty, 적립금이라는 의미의 영어)라 칭하면서 관리하고 있었다. 이것에서 착안해 그들의 작전을 ThreatRecon팀은 ‘Operation Kitty Phishing’이라고 명명한다고 밝혔다.
◇ SectorA05 해킹조직, 쉬지 않고 해킹 공격 시도
한편 ThreatRecon팀은 그들을 추적하면서 그들의 열정적인 해킹 활동에 놀랐다고 밝혔다.
팀은 “그들은 쉬지 않고 공격 대상들에게 피싱 메일을 유포했으며 악성코드 또한 지속 유포했다. 올해 초 통일부 기자들을 대상으로 악성코드를 유포한 이후에도 그들은 잠재적 암호화폐 사용자들을 대상으로 악성코드를 유포했다. 그리고 감염된 피해자들의 PC를 검색해 코인과 관련된 파일들이 있을 경우 추가적 악성코드를 개인별 맞춤으로 제작해 배포했다. 또 개별 사용자들 맞춤으로 코인 탈취를 위한 악성코드를 제작하고 실시간으로 배포했다”고 설명했다.
보고서 말미에 ThreatRecon팀은 “SectorA05의 지속적인 공격활동을 추적하며 그들의 활동이 생각보다 오래되었다는 점을 확인하고 놀라움을 느꼈다. 기존에 이메일 계정 탈취를 수행하는 피싱 조직과 악성코드를 유포하는 조직이 동일한 조직인지에 대해 판단하는 것이 매우 어려웠지만 이번 추적을 통해 그들이 동일한 조직이며 모두 동시에 수행하고 있음을 확인했다”고 밝혔다.
또 “특정 C2 서버를 무려 27개월 이상 사용하고 있음에도 그동안 이들의 활동을 제대로 막지 못한 점에 대해 매우 아쉽게 생각한다. 하지만 이제 그들의 활동이 우리를 통해 많이 드러난 만큼 앞으로 그들의 활동은 계속 감시할 것이다. 지금도 그들은 활동하고 있다. 우리는 여전히 그들을 계속 추적할 것”이라고 강조했다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=45053&page=&total=
 |
NSHC(허영일 대표)에서 2018년 10월 21일부터 11월 20일까지 한 달간 수집한 데이터와 정보를 바탕으로 국가 지원 해킹 그룹들의 활동을 요약 정리한 보고서를 12일 발표했다.
보고서는 지난 한 달 간 발견된 특정 정부 지원 해킹 그룹들의 활동과 관련 이슈를 정리했으며 이와 관련 특정 기업의 침해사고 정보와 알려지지 않은 침해지표도 포함하고 있다. 다음은 보고서를 발췌한 내용이다.
◇북한 정부 지원 해킹그룹의 활동
북한 정부의 지원을 받고 있는 섹터A그룹들 중 11월에는 총 4개 해킹그룹이 활동한 것이 발견됐다. 특히 섹터A05 그룹은 새로운 악성코드 변형들을 10월 말에서 11월 말까지 지속적으로 제작할 정도로 단기간에 왕성한 활동을 보여주었다.
이 외에 발견된 다른 해킹 그룹의 활동은 현실세계에서 재화로 변환이 가능한 금융정보 탈취를 목적으로 한국과 아르헨티나를 포함한 남미 지역의 금융권을 대상으로 했다.
이 중 한국의 경우에는 암호화폐 거래소와 함께 암호화폐를 보유하고 직접 거래를 진행하는 개인 거래자도 해킹의 대상으로 포함한 것으로 판단된다.
해킹 활동에서 사용하는 기법은 악성코드가 첨부된 스피어 피싱(Spear Phishing) 이메일을 공격 대상에게 전달하는 기법을 활용하고 있어 해킹 기법면에서는 큰 변화가 없다.
이번 11 월에도 총 3 종류의 새로운 한글(HWP) 파일 형태의 악성코드가 발견되었으나, 과거에 활용되었던 악성코드에서 일부 코드만 수정해 다시 활용한 형태로 판단된다.
그러나 섹터A05 그룹에서는 상용 원격 제어 소프트웨어인 팀뷰어(TeamViewer)의 소스코드를 기반으로 제작한 새로운 악성코드가 발견되었으며, 그 동작 방식 역시 팀뷰어 소프트웨어와 동일한 형태로 동작하는 것이 확인 되었다.
이러한 사항을 고려 할 때 방어 전략 차원에서 조직 내부에서 상용 원격 제어 소프트웨어의 활용과 사용 이력을 다시 검토할 필요가 있을 것으로 판단된다고 밝혔다.
이외에도 보고서는 중국 정부 지원 해킹그룹, 러시아 정부 지원 해킹그룹, 인도 정부 지원 해킹그룹, 베트남 정부, 터키 정부 지원 해킹그룹 등에 대해서도 분석 내용을 전달하고 있다.
더불어 라자루스로 알려진 북한 정부 지원 해킹그룹의 최근 국내 활동 현황에 대해서도 리포트하고 있다.
보고서요약본은 데일리시큐 자료실에서 다운로드 가능하며 실제보고서는 NSHC Threat Recon 서비스를 신청하면 받을 수 있다.
 |
NSHC(대표 허영일)는 15일 한국원자력연구원에서 진행된 원자력시설 컴퓨터 시스템 보안성 평가 이행에 관한 기술회의(IAEA Technical Meeting on Conducting Cyber Security Assessment)에 국내 정보보안 기업으로는 유일하게 참여했다고 밝혔다.
이번 행사에는 30여개국의 다양한 정보보안 연구원들이 참여하여 해당 기술에 관해 발표하고 논의하는 자리이다. NSHC에서는 이승준 매니저가 참석해 발표하고 패널 토의에 참여했다.
발표내용으로는 그동안 NSHC의 제어시스템 보안 연구팀이 국내/외에서 연구한 제어 시스템 해킹 기술과 폐쇠망 우회 공격기법들을 선보였다.
이승준 NSHC 매니저는 “이번 행사를 통해서 원자력 현장에 즉시 활용 가능한 기술을 공유하고, 관련 분야의 전문가들의 다양한 의견을 들을 수 있었던 좋은 기회였다. 앞으로도 중요 기반 시설 및 제어 시스템 보안에 대한 지속적인 연구로 국제 무대에서 한국의 기술을 선보일 예정이다”라고 말했다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=41441&page=&total=
 |
NSHC (대표 허영일)는 국가보안기술연구소 주최 2018 국가암호공모전에서 양자내성암호 관련 기술로 최우수상을 수상했다고 15일 밝혔다. 수상 논문 제목은 ‘On The Use of Edwards Curve in Isogeny-based Cryptosystems’이다.
‘양자내성암호’란 향후 양자컴퓨터가 개발되더라도 안전하게 사용할 수 있는 암호를 뜻한다. 양자컴퓨터가 개발되면 금융을 비롯해서 군사보안에 이르기까지 현재 널리 사용되고 있는 암호 알고리즘들이 쉽게 해독되어 IT 보안이 혼란상태에 빠지게 될 것으로 예상되고 있다.
요즘 주목 받고 있는 암호화폐에 사용되는 서명 알고리즘들 역시 직접적으로 위협을 받게 되어 선제적 대응이 필요할 것으로 보인다. 현재 구글, IBM, 마이크로소프트 등 유수의 IT기업들이 양자컴퓨터 기술 개발에 박차를 가하고 있으며 미국 국립표준기술연구소(NIST)는 이에 대응해 2016년 말부터 양자내성 알고리즘을 공모하여 이미 접수를 마친 상태다.
NSHC는 2016년부터 양자내성 암호기술에 관한 연구를 시작했으며 세종사이버대학교 정보보호학과 박영호교수 연구팀, 고려대학교 암호알고리즘 연구팀과 공동으로 타원곡선 아이소제니 기반 양자내성 암호 기술 개발에 노력을 기울여 왔다.
수상 기술은 타원곡선 아이소제니 기반 양자내성 암호를 에드워즈 곡선을 이용해 구현하는 기술로서 NSHC를 비롯한 해당 연구팀들은 이 분야에서 경쟁력 있는 연구력을 보유하고 있다.
NSHC는 이미 2017년 자사 모바일 보안제품인 nFilter에 아이소제니 기반 PQC 모듈을 탑재하기도 했는데, 이것은 국내 최초의 상용 양자내성암호 사용 사례로서 눈길을 끌었다. 또한 NSHC는 에드워즈 곡선의 아이소제니 계산 기술에 대한 특허들을 출원 중이어서 향후 그 활용이 기대된다.
박영호 세종 사이버대학교 교수는 “양자내성 암호들은 파라미터 사이즈가 크지만 대체로 성능이 좋은 편이다. 현재 금융거래등에 널리 사용되고 있는 RSA와 같은 암호 알고리즘들이 개발 초기에 가용성을 의심받았던데 비하면 양자내성 암호의 확산은 훨씬 낙관적일 것으로 보이며 멀지 않은 미래에 현재의 알고리즘들을 대체할 것으로 보인다. 한국도 이런 국제적 추세에 맞추어 양자내성 암호 알고리즘들을 개발하는 데 많은 노력을 기울여야 할 것”이라고 말했다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=41433&page=&total=
