<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>"

Transcription

1 사이버 침해사고 정보공유 세미나 Conference on Information Sharing of Cyber Incidents 일시 2014년 2월 20일 목요일 14:00 장소 한국인터넷진흥원 대동빌딩 14층 대강당 주최 한국인터넷진흥원

2 주제발표 사이버침해사고정보공유세미나 최근침해사고사례와대응방안 박준형책임연구원

3 최근침해사고사례와대응방안 [ 사이버침해사고정보공유세미나 ] 최근침해사고사례와 대응방안 침해사고조사팀 목차 I. 침해사고조사팀의업무 II. 13년침해사고발생동향 III. 최근침해사고사례와발생원인 IV. IT 및보안관리자들께드리는말씀

4 사이버침해사고정보공유세미나 I-1. 침해사고조사팀의역할 침해사고조사팀의업무 해킹에악용된좀비 PC, 서버 ( 악성코드유포지ㆍ경유지, C&C 서버 ) 등을분석 피해원인, 공격경로, 악성코드등의추출을통한피해확산및재발방지지원 법적근거 ( 정보통신망이용촉진및정보보호등에관한법률 ) 제48조의3( 침해사고의신고등 ) 침해사고가발생하면즉시그사실을미래창조과학부나한국인터넷진흥원에신고하여야한다.( 정보통신서비스제공자, 집적정보통신시설사업자 ) 제48조의2( 침해사고의대응등 ) 한국인터넷진흥원은침해사고에관한정보의수집ㆍ전파, 예보ㆍ경보, 긴급조치를수행한다. I-2. 침해사고조사절차 침해사고분석요청및동의서접수분석및기술지원대응및처리 분석협조요청 좀비 PC 분석동의섭외담당자 분석동의서수신 유관기관 분석동의서수신 협조요청 분석요청접수 확인 서버 - 피해상황 피해시스템 - IP, 계정정보 관련정보전달 - 유관기관출동여부 피해유형 PC 서버 Y 중요침해사고 - DDoS 좀비PC 및 C&C - 악성코드감염 - 해킹경유지 - 악성코드유포지및경유지 - 대량웹변조 - 개인정보유출 - 피싱사이트 - 해킹경유지 - 봇 C&C 분석할당 N 분석담당자 분석자료공유 하드디스크이미지분석 현장출동분석 원격분석 분석결과 PC 서버 PC 프로세스분석레지스트리분석네트워크연결분석악성코드채증및 C&C 확인웹브라우저사용기록분석시스템로그분석웹로그분석시스템설정분석 보안권고 서버 - 보안업데이트등운영체제최신버전으로유지 - 백신엔진최신버전으로유지 - P2P 프로그램사용자제 - 보안업데이트등운영체제최신버전으로유지 - WHISTL 및 CASTLE 설치운용 - 사용하지않는서비스제거 - 서버용백신설치 조치요청 C&C 차단요청 악성코드분석요청

5 최근침해사고사례와대응방안 II-1. 침해사고조사팀의기술지원 개인정보유출등특정목표대상사고지속발생 시스템파괴및동시다발적복합공격발생증가 KrCERT 315 건 313 건 KrCERT/CC 160 건 69 건 72 건 105 건 77 건 91 건 06 년 07 년 08 년 09 년 10 년 11 년 12 년 13 년 [ 13 년침해사고조사팀기술지원건수 ] 5 II-2. 피해기관별분류 광범위한영역에대한무차별공격에서타깃공격으로변화 사회혼란극대화를위해다수기관을대상으로동시공격발생 국회 (0.95%) 비영리단체 (1.90%) 호스팅 (5.06%) 기타 (5.38%) 언론 (6.33%) 정당 (0.63%) 기타 (1.00%) 기업 (22.15%) 비영리단체 (1.27%) 금융기관 (2.22%) 웹하드 (3.49%) 기타 (4.13%) 가정 (10.16%) 공공기관 (1.27%) 기타 (1.26%) 언론 (30.16%) 대학교 (15.19%) 가정 (20.89%) 대학교 (10.16%) 웹하드 (20.57%) 호스팅 (10.48%) 기업 (25.4%) [ 12 년침해사고피해기관 ] [ 13 년침해사고피해기관 ] 6

6 사이버침해사고정보공유세미나 II-3. 피해유형별분류 시스템파괴가포함된복합공격발생증가 단순악성코드감염사고가감소하고타깃공격이증가 개인정보유출 (0.9%) 웹변조 (2.64%) 해킹경유지 (3.52%) 기타해킹 (6.16%) C&C 서버악용 (0.59%) C&C 서버악용 (3.51%) 기타해킹 (5.14%) 악성코드유포지 (6.22%) 해킹경유지 (1.35%) 특이사항없음 (9.38%) 악성코드경유지 (31.96%) 웹변조 (9.46%) 시스템파괴 (27.3%) 악성코드유포지 (14.08%) 악성코드감염 (30.50%) 특이사항없음 (11.89%) 악성코드감염 (15.4%) 악성코드경유지 (19.46%) [ 12 년침해사고피해유형 ] [ 13 년침해사고피해유형 ] 7 II-4. 공격국가별분류 중국발해킹공격발생지속 해킹공격경로다양화 NL(1.43%) HK(1.90%) TR(1.90%) TW(1.90%) JP(2.38%) MK(2.38%) US(5.71%) 기타 (8.10%) CN(43.81%) FR(1.26%) DE(1.47%) ID(1.47%) RU(2.53%) BR(2.95%) UK(3.58%) 기타 (13.89%) CN(41.68%) US(8.63%) KR(30.48%) KR(22.53%) [ 12 년공격국가 ] [ 13 년공격국가 ] 8

7 최근침해사고사례와대응방안 II-5. 최근 3 년간침해사고발생원인 파일업로드취약점과웹셸은서버해킹의필수요소 해커는내부망장악및정보유출등을위해관리자계정을탈취 웹셸생성 악성코드감염 악성코드감염 악성코드감염 악성코드감염 웹셸생성 웹셸생성 웹셸생성 계정유출 계정유출 파일업로드취약점 확인불가 파일업로드취약점 파일업로드취약점 확인불가 계정유출 백도어설치 확인불가 계정유출 파일업로드취약점 SQL 인젝션취약점 백도어설치 백도어설치 시스템취약점 시스템취약점 SQL 인젝션취약점 SSH 데몬변조 루트킷설치 웹어플리케이션취약점 루트킷설치 루트킷설치 백도어설치 파일인클루드취약점 시스템취약점 웹어플리케이션취약점 SQL 인젝션취약점 기타웹어플리케이션취약점기타 2010 년 2011 년 2012 년 웹어플리케이션취약점 2013 년 9 III-1. 악성코드에감염된업무용 PC 상대적으로보안이취약한 PC 는내부망침투를위한해커의거점 월, 악성코드에감염된관리자 PC 를통하여 1,000 여대의사내서버및 PC 가파괴 웹 ( 커뮤니티, 블로그 ) 해커 2. 국내포탈의커뮤니티, 블로그를통해유포 1. 악성코드가내포된콘텐츠게시 사용자 3. 업무용 PC에저장 4. 사내망장악사내주요서버 - 감염원인의대부분은웹접속을통하여발생 < 업무용 PC 를통한악성코드전파 > 시사점 APT 공격발생이지속됨에따라, 업무용 PC 를통한내부망침투시도가증가할것으로예상 주요서버들에비해상대적으로보안이취약한노트북및영업점 PC 들에대한보안강화필요 10

8 사이버침해사고정보공유세미나 III-2. 정상접속자를 DDoS 공격에유도하는웹서버 웹서버에설치된악성스크립트에의하여접속자가 DDoS 공격수행 월, 국내 13 개사이트에접속한정상사용자가국가기관등 8 개사이트를 DDoS 공격 스크립트유포지 2. 홈페이지접속 사용자 3. 스크립트다운로드 1. 침투및자바스크립트삽입 4. 자동접속 해커 타겟서버 < 악성스크립트기반 DDoS 공격개요도 > <DDoS 공격코드일부 > 시사점 취약점또는악성코드감염이아닌정상스크립트를이용한방법으로백신에서탐지가어려움 웹서버에악성스크립트가설치되지않도록소스코드에대한주기적인무결성검사필요 11 III-3. SQL 인젝션공격을이용한계정정보탈취 웹페이지의입력값을검증하지않아 DB 에저장된계정정보등이유출 월, 사고에악용된프로그램을사용하는 190 개사이트중, 80 개사이트가 SQL 인젝션공격에취약 1. SQL 인젝션공격 웹사이트 2. 웹관리자계정정보획득 해커 3. 획득한계정정보를이용하여웹셸업로드 4. 악성코드삽입 <iframe src= < 웹사이트해킹사고개요도 > < 2013 년웹어플리케이션보안위험 Top 10, OWASP > 시사점 SQL 인젝션은오래된웹해킹기법이지만, 웹사이트개발자의보안의식부족으로사고발생지속 웹사이트개발시, SQL 인젝션유발문자열필터링및웹방화벽구축등이필요 12

9 최근침해사고사례와대응방안 III-4. 웹셸업로드에악용되는파일업로드취약점 첨부파일업로드를허용하는게시판에서스크립트파일의업로드를허용할경우웹셸을업로드하여원격에서서버를조작할수있음 월해당취약점을통해 K 사서버를악성코드유포지로악용, 접속 PC 6,541 대감염 K 사서버 해커 1. 파일업로드취약점이용한웹셸업로드 2. 악성코드업로드 3. 악성코드유포 1 업로드페이지내스크립트파일 (.asp,.php 등 ) 필터링부재를이용한웹셸업로드 2 IIS 6 버전이하에서발생가능한 IIS 파일파싱우회취약점을이용한웹셸업로드 < K 사해킹사고 > 시사점 소스코드수정및 IIS 버전 7.0 이상설치를통한파일업로드취약점제거필요 화이트리스트기반의업로드정책구현 ( 업로드가필요한파일만구현하고나머지는모두거부 ) 13 III-5. 해킹경유지로악용된웹서버 취약한웹서버를해킹하여 VPN 서비스설치후해킹경유지로악용 - 국내웹서버가해킹된후해킹공격의경유지로판매되는사례가지속발생 해커 1. 취약한웹서버공격 2. VPN 서비스설치 3. 해킹경유지로악용 웹서버 < 웹서버해킹후 VPN 서비스악용해킹사고 > < 중국온라인쇼핑몰의한국 VPN 서버판매글 > 시사점 국내웹서버의 VPN 서비스를경유지로악용한해킹사고의공격자근원지추적이어려워짐악성코드경유지 / 유포지, VPN 등, 웹서버의악용을방지하기위해취약한웹사이트의보안강화필요 14

10 사이버침해사고정보공유세미나 III-6. Apache Struts2 취약점공격도구유포 Apache Struts2 를사용하여개발된웹서버들이외부공격에노출됨 월해당취약점이공개된이후, 국내다수의서버들에대한공격시도가발견 - 공격자가 action: 이라는매개변수를사용하여공격대상서버를원격제어 < OO 웹서버해킹사고 > < 중국에서유통되는공격도구 > 시사점 새로운취약점이발견되면중국해커들은해당취약점을공유하고, 관련도구를개발하여공격방법이빠르게확산됨 Struts 이하의버전을 이상으로업데이트필요 15 IV-1. IT 및보안관리자들께드리는말씀 최악의비밀번호 주요서버접속정보평문저장 password abc123 qwerty < 안전한비밀번호사용 > < 서버접속정보안전관리 > 보안취약서비스 로그인없는접속 ~]# cat /etc/.rhosts.allow ALL : / ? rlogin??? rcp??? rsh??? < 보안프로토콜사용 > <R- 계열명령어사용금지 > 16

11 최근침해사고사례와대응방안 IV-2. IT 및보안관리자들께드리는말씀 < 주요서버 > < 주요서버접근제어설정 > < 웹셸업로드여부점검 > < 로그저장및주기적점검 > < 사고발생시 KISA 에기술지원요청 > 17 아름다운인터넷, 안전한인터넷세상 한국인터넷진흥원이만들어나가겠습니다.

12

13 주제발표 사이버침해사고정보공유세미나 스피어피싱과 APT 공격 신동은선임연구원

14

15 스피어 피싱과 APT 공격 스피어 피싱과 APT 공격 - 기업 기밀정보를 노리는 악성코드 분석 사례 - 코드분석팀 신동은 선임 1 개요 스피어 피싱과 APT공격 최근 스피어 피싱을 이용한 지능형 지속위협(APT) 공격이 지속적으로 발생 스피어 피싱? 특정인(조직)을 표적으로 잘 아는 지인이 보내는 것처럼 위장한 메일을 통해 악성코드 감염 스피어 피싱은 APT 공격의 대표적인 유형으로, 웹사이트, SNS를 통해 정보 수집 후 피싱 메일 전송 <국내 사례> <해외 사례> <스피어 피싱 공격에 사용되는 단어들 (파이어아이)> 2

16 사이버침해사고정보공유세미나 2 분석사례 사건개요 118 센터민원인신고접수 ( ) A 업체직원메일을통해 B 업체임원에게의심스러운메일이 2 차례발송됨 분석결과, 협력업체직원으로위장하여기업기밀정보를훔치기위한 APT 공격으로드러남 기밀정보 3 3 공격이메일분석 이메일내용 B 업체이씨는 A 업체정씨로부터자사에서판매하고있는제품문의내용메일을수신 - 메일내용 : A 업체에서새사업을추진중인데 B 업체제품을구매할계획, 사업계획은첨부파일참조 메일내용이어색 : 제품자문하기 존경하는 제품획득 저는당신에게 대합 등 1 차이메일발송 ( ) 2 차이메일발송 ( ) 4

17 스피어피싱과 APT 공격 4 공격이메일분석 메일발송지분석 이메일발송용프로그램 : MS 아웃룩 6.0 이메일발신지 : 중국 (1 차, 2 차메일발송지 IP 마지막주소가상이, 메일전송시간이중국시간 ) A 업체메일서버를이용해 B 업체로메일발송 A 업체 B 업체 메일발송프로그램 : 메일발송시간 ( 중국 ): 1 차경유지 : 2 차경유지 : 5 5 악성문서형파일 문서파일취약점정보 영향받는제품 : 한글 2004~2007 영향받는제품 : MS 엑셀 2004, 2007 아래한글 취약점발생위치 : hwpapp.dll 취약점종류 : 포인터조작 엑셀 취약점발생위치 : Excel!ordinal41 취약점종류 : 포인터조작 패치일자 : 패치일자 : 알수없음 6

18 사이버침해사고정보공유세미나 6 문서파일로부터생성되는악성파일 악성코드분석내용 악성코드설치! 파일관계도 로딩디코딩삽입 Mc.exe McUtil.dll McUtil.dll.url 정상프로세스 Svchost.exe 7 7 악성코드제작시점 악성코드제작시점 악성코드제작시점 : 2013 년 12 월 11 일 공격메일발송시점 : 2014 년 1 월 14 일 제작시점에서공격메일발송까지약 1 달간의차이가있음 8

19 스피어피싱과 APT 공격 8 악성코드주요기능분석 악성코드주요기능 명령어 Disk Nethood Netstat Option PortMap Process RegEdit Service Shell SQL Telnet KeyLog 기능디스크정보수집및파일탐색기능등타 PC공유폴도정보수집등네트워크정보수집및변경시스템재시작, 잠금기능등네트워크포트매핑기능프로세스정보수집등레지스트리편집기능서비스조작기능쉘명령수행 SQL 데이터베이스접속조회기능등텔넷관련기능수행사용자키보드입력로깅기능 9 9 시사점 APT 공격예방법 윈도우및프로그램보안패치최신유지! 사내업무망분리! 중요정보 SNS 게재금지! 의심메일은 KISA 118 신고! 메일첨부파일은백신검사후열람! 10

20 사이버침해사고정보공유세미나 감사합니다.

21 주제발표 사이버침해사고정보공유세미나 13 년보안취약점경향및주요사례 윤재병선임연구원

22

23 13 년보안취약점경향및주요사례 13 년보안취약점경향및주요사례 침해사고분석단취약점분석팀윤재병선임연구원 1. 취약점증감추이 - 해외 CVE(Common Vulnerabilities and Exposures) 를통해집계된 2013 년취약점은모두 5,186 건

24 사이버침해사고정보공유세미나 2. 상위 15 개제품취약점 (CVE 기준 ) 운영체제 : 리눅스, 윈도우, IOS 등 브라우저 : 구글크롬, MS IE, 파이어폭스등 Java JRE, JDK IE 취약점악용사례 - 해외 MS Internet Explorer 제로데이취약점을악용한공격 - IE 사용자가홈페이지방문만으로도악성코드감염 - 대중적이지않은홈페이지에제로데이 exploit > 특정대상을목표로한공격 CVE CVE

25 13 년보안취약점경향및주요사례 4. Apache Struts 2 원격코드실행취약점 Apache Struts 2 : 자바웹프로그램구축용프레임워크인 웹서버에 action, redirect, redirectaction 접두여사용해파라미터전송시시스템명령어실행가능 (CVE ) 5. 아래한글취약점악용사례 아래한글취약점 : 문단모양을처리하는모듈에서취약점발생 취약한버전의아래한글에서문서로딩한경우키로깅정보를특정메일로발송하는악성코드가생성되고실행됨 취약한버전의경우 ( 일배포된패치미적용시 ) 월공격에사용된문서 안전한버전의경우 ( 일배포된패치적용 )

26 사이버침해사고정보공유세미나 6. KISA 취약점대응및신고포상제 KISA 의 13 년에대응한취약점은약 300 여건 신규취약점신고포상제 ( 월 ~ ) 통해작년 179 건취약점이신고되어조치됨 국가보안취약점데이터베이스 보안취약점의체계적으로관리, 유관기관과국민에게취약점조치방법을적시에공유 ( 14 년상반기오픈예정 )

27 감사합니다. 13 년보안취약점경향및주요사례

28

29 주제발표 사이버침해사고정보공유세미나 사이버사기대응현황및계획 박용규책임연구원

30

31 사이버사기대응현황및계획 사이버사기대응현황및계획 사이버사기대응팀박용규책임 목차 1. 정부의대응체계및추진현황 2. 사이버사기유형및개요 3. 사이버사기피해현황 4. 사이버사기유형별대책 5. 사이버사기대응현황 6. 향후계획

32 사이버침해사고정보공유세미나 1. 정부의대응체계및추진현황 2012 년 2013 년 2014 년 발신번호변작금지, 사칭문자 통신과금서비스이용자보호 민간사이버사기전담 미래부 차단등피싱방지대책 (10 월 ) 개선대책 (3월) 스마트폰출고시백신기본탑재및자동실행실시 (8월) 조직신설 (1 월 ) 파밍사이트차단시스템 (9 월 ) 피싱탐지시스템 (12 월 ) 고액이체인출지연등보이스 온라인결제보안강화대책 (4 월 ) 금융회사고객정보유출재발 금융위 피싱피해방지종합대책 (1 월 ) 전자금융사기합동대응팀구성 (4월) 전기통신금융사기피해금 방지대책 (1월) 개인정보불법유통, 활용차단 (1월) 환급에관한특별법개정 (7 월 ) 검 경 사이버금융사기특별단속 (8월 ~ 11월 ) 2. 사이버사기유형및개요 ( 피싱 ) 은행, 정부기관등을사칭한가짜사이트구축후, 이메일 또는문자를통해이용자의접속을유도하여금융정보등을탈취 ( 파밍 ) 이용자 PC 를악성코드에감염시켜정상사이트로접속해도 이용자모르게가짜사이트로유도하여금융정보등을탈취 ( 스미싱 ) 악성앱주소가포함돈휴대폰문자를대량으로전송후이용자가악성앱을설치하도록유도하여금융정보등을탈취하는수법 ( 보이스피싱 ) 전화로수사기관, 정부기관, 금융기관등을사칭해돈을송금하게하거나개인정보, 금융정보등을물어보는수법

33 사이버사기대응현황및계획 3. 사이버사기피해현황 4. 사이버사기유형별대책 - 스미싱 이통사 이용자신고 (118) 등으로수집된문자중스미싱문자를분석하여악성앱유포지및명령제어서버차단

34 사이버침해사고정보공유세미나 4. 사이버사기유형별대책 웹사이트피싱 매일신규로생성되는도메인을대상으로피싱사이트여부를확인하여사이버사기악용전차단 4. 사이버사기유형별대책 파밍 국내공공기관및은행등에접속시해외파밍사이트로접속하는 PC 를탐지하여차단

35 사이버사기대응현황및계획 4. 사이버사기유형별대책 보이스피싱 국내공공기관, 금융기관의전화번호를사칭하여해외에서걸려오는보이스피싱전화를차단 5. 사이버사기대응현황

36 사이버침해사고정보공유세미나 6. 향후계획 스미싱피해방지를위한대응효율화 스미싱대응시스템운영, 유포사이트및명령제어서버차단 ( 상시 ) 스마트폰출고시스미싱차단앱기본탑재 (4 월 ), 스미싱문자신고 확인서비스 실시 (5 월 ) 추진 공공 금융기관번호도용문자차단서비스를개인까지확대 (6 월 ), 인터넷발송문자식별문구표시 ([WEB 발신 ]) 제도이통사확대 (6 월 ) 인터넷발송문자서비스의관리강화를위해웹문자발송사업의등록제전환 ( 하반기 ) 보이스피싱 파밍사이트사전차단서비스강화 주요공공 금융기관 (150 개 ) 을사칭하는파밍사이트사전차단 ( 상시 ) 파밍사이트는해외에위치하고있어국내사이트접속시해외로자동으로이동하는트래픽을탐지하여사전차단 ( 13 년 9 만여건접속차단 ) 국내공공 금융기관전화번호사칭해외보이스피싱전화차단대상확대 14.1 월현재 326 개기관 14 년상반기 500 여개기관 아름다운인터넷, 안전한인터넷세상 한국인터넷진흥원이만들어나가겠습니다.

37 주제발표 사이버침해사고정보공유세미나 ISMS 및 PIMS 인증시주요결함사례 강연정선임연구원

38

39 ISMS 및 PIMS 인증시주요결함사례

40 사이버침해사고정보공유세미나 1

41 ISMS 및 PIMS 인증시주요결함사례

42 사이버침해사고정보공유세미나

43 2 ISMS 및 PIMS 인증시주요결함사례

44 사이버침해사고정보공유세미나

45 ISMS 및 PIMS 인증시주요결함사례

46 사이버침해사고정보공유세미나 3

47 ISMS 및 PIMS 인증시주요결함사례

48 사이버침해사고정보공유세미나

49 4 ISMS 및 PIMS 인증시주요결함사례

50 사이버침해사고정보공유세미나

51 ISMS 및 PIMS 인증시주요결함사례

52 사이버침해사고정보공유세미나