1. 국내 버그바운티 프로그램 업데이트
NAVER
https://bugbounty.naver.com/
삼성모바일
https://security.samsungmobile.com/rewardsProgram.smsb
NAVER 그리고 삼성모바일의 버그헌팅 보상 프로그램이 새롭게 업데이트 및 개발되었다.
자세한 내용은 링크를 참조하시길 ..
각 기업에서 기준으로 제시한 조건을 잘 확인하고 진행해야 한다.
국내에 버그헌팅 프로그램이 많지는 않은 것으로 알고 있는데 최근에 활발히 운영되고 있어서 좋은 것 같다.
앞으로도 더 많은 프로그램들이 체계적으로 운영되어 많은 기회가 생기게 되면 상호 긍정적인 효과를 기대할 수 있을 것이다.
쉽지 않은 도전이지만 많은 국내의 보안인들이 도전해서 좋은 결과를 얻으면 좋겠다.
물론 나도 ...
2. 확장 프로그램 설치로 인한 악성코드 사례 증가
https://reasonlabs.com/research/new-widespread-extension-trojan-malware-campaign
웹 브라우저 확장 프로그램은 단순한 틈새 소프트웨어에서 인터넷 산업의 완전한 하위 경제로 성장했다.
확장 프로그램은 Microsoft Edge와 Google Chrome을 포함한 대부분의 브라우저에서 지원되며, 둘 다 Chrome 웹스토어와 Microsoft Edge 애드온에서 수십만 개의 확장 프로그램을 제공한다. 확장 프로그램의 인기가 높아짐에 따라 비교적 새로운 맬웨어 공격 벡터를 정확히 파악한 악의적인 행위자가 만든 악성 확장 프로그램도 증가했다.
ReasonLabs 연구팀이 엔드포인트에 확장 프로그램을 강제로 설치하는 새로운 광범위한 다형성 맬웨어 캠페인을 확인했다. 이 맬웨어에는 검색을 하이재킹하는 간단한 애드웨어 확장 프로그램부터 개인 데이터를 훔치고 다양한 명령을 실행하기 위해 로컬 확장 프로그램을 제공하는 보다 정교한 악성 스크립트에 이르기까지 다양한 제공물이 포함되어 있다.
글을 쓰는 시점에서 대부분의 AV 엔진은 설치 프로그램과 확장 프로그램을 감지하지 못한다. 웹에서 수많은 사용자가 제거할 수 없는 확장 프로그램에 대해 불평하고 있으며, 심지어 Chrome이나 Edge 스토어의 확장 프로그램 페이지에 불만을 게시하기도 한다. 제거할 수 없는 바이러스이고, 어떻게 나타났는지 알 수 없으며, 제거하려고 시도한 후에도 계속 돌아온다고 말한다.
구글 확장 프로그램을 편리하게 활용하고 있기도 하고 직접 제작해본 적도 있어서 평소에 좋은 기능이라고만 생각해왔는데 이 역시도 취약점이 있음을 간과했다.
다운로드 사이트를 모방하여 악성 확장 프로그램을 강제 설치하는 악성코드 사례가 증가하고 있는 것이다.
역시 무엇이든 다운로드 받을 때는 한번 더 확인을 하고 진행해야겠다.
링크에서 상세하게 악성코드를 분석한 내용이 담겨져 있는데 역시 지금 이해하기는 무리다 ..
3. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안
: 해킹 등 침해사고 인지 후 24시간 내 신고, 미이행 시 3천만원 이하 과태료
https://v.daum.net/v/20240813165714958?from=newsbot&botref=KN&botevent=a
13일 과학기술정보통신부는 사이버 침해사고 발생 시 신속한 대응과 재발 방지 조치의 실행력 제고를 위해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 개정안을 14일 시행한다고 밝혔다.
그간 사이버 침해사고 대응 체계에서는 신고 시기에 대한 명확한 기준이 없어 침해사고 미신고, 지연 신고 등 문제가 발생해 신속한 현장 지원에 어려움이 있었다.
이에 따라 개정안에서는 침해사고가 발생한 정보통신서비스 제공자가 사고를 인지한 후 24시간 이내에 피해 내용, 원인, 대응 현황 등에 대해 파악한 사항을 우선 신고하고, 신고 이후 사고와 관련해 추가로 확인된 사항은 확인된 시점으로부터 24시간 이내에 보완 신고하도록 규정했다.
그동안은 과기정통부가 재발 방지 조치를 정보통신서비스 제공자에게 '권고'하는 일만 가능해 후속 대응 실효성이 떨어지는 문제가 있었지만 14일부터는 시정을 명령할 수 있고 이를 이행하지 않은 경우 3천만원 이하의 과태료를 부과할 수 있다.
후속 조치를 위해 빠른 신고하기 위한 방법으로는 효과적일 것 같지만 촉박한 시간 제한과 과태료 부담을 피해자에게 지는게 맞는지 의문이 들긴했다.
시간 제한이 너무 짧은 것 같은데 .. 보안 담당자는 타임어택에 피눈물을 흘릴 것 같다 ....
시간을 좀만 더 줘도 ...
아무튼 신고 시기에 대한 명확한 기준이 생겼으니 통계자료에서 더 정확도 높은 피해 규모 및 현황을 알게될 수 있고 빠른 피해 복구도 기대해볼 수 있을 듯하다.
4. 올림픽 티켓 판매 사칭으로 피싱 공격이 빠른 속도로 확산
https://m.boannews.com/html/detail.html?tab_type=1&idx=131964
7월 후반기부터 파리 올림픽 티켓 판매를 사칭하는 피싱 공격이 빠른 속도로 확산했던 것으로 파악됐다.
AI 보안업체 에이아이스페라(AI스페라)는 최근 무려 708개의 사칭 도메인에서 러시아 국적 사용자들을 주 대상으로 한 2024 파리 올림픽 관련 대규모 티켓 판매 사기와 피싱 공격이 보고됐다고 소개했다.
육안으로 피싱 사이트 여부를 구별하기가 어려웠으며 원가 3배에서 10배까지 사기 거래가 일어났다.
AI 기반 피싱 탐지 도구인 Criminal IP의 Domain Search로 실시간 검사했더니
- 위조 파비콘 사용 : 공식 사이트가 위조 파비콘을 사용할 가능성은 극히 낮기 때문에 이 웹사이트는 높은 확률로 파리 올림픽 티켓 판매 사칭 피싱사이트가 맞다고 판단할 수 있다.
- 실제 파리 올림픽 티켓 구매 사이트라면 전 세계적으로 상당한 트래픽 유입이 있어야 하는데, 사이트 평판이 불분명하다.
- HTTPS 서버는 자가 서명된 기본 인증서가 사용 : 국제적인 행사인 올림픽과 같은 경우, 공식 웹사이트의 보안을 철저하게 하기 위해 주로 검증된 인증서 발급기관의 인증서를 사용한다. 그러나 이처럼 자가 서명된 기본 인증서를 사용한 것은 해당 사이트가 올림픽 공식 웹사이트가 아니라는 점을 시사한다.
-> 피싱 공격의 위조된 사이트를 구별하는 법과 피싱 예방법을 안내했는데 전에 진행했던 프로젝트에서 피싱 사이트 탐지 프로그램을 개발했던 내용과 겹쳐져서 정리해보았다.
프로젝트 진행할 때 피싱사이트 여부를 판별하는 기준으로 파비콘과 https 서버 검증이 있었는데 한번 접했던 내용이 나오니 이해가 쉽게 되었고 이 외의 판별 기준도 알게 되었다. 피싱사이트 판별 기준은 너무나 광범위하고 예외도 많기에 정확한 예측이 쉽지 않아도 이러한 피해 사례를 보니 경각심을 가지게 되었다. 크롬 확장프로그램으로 탐지 프로그램을 개발했었는데 보완하여 정확도 높은 프로그램이 되어 널리 사용되면 피싱 예방에 도움이 될 것 같다.