_인터넷진흥원(2분기 합본).indd

Transcription

1 2017 년 2 분기사이버위협동향보고서

2

3 Contents 제 1 장. 2 분기사이버위협동향 1. 언론보도로살펴본사이버위협동향 4 2. 악성코드동향 취약점동향 25 제 2 장. 전문가기고문 1. 안전한서비스인프라구성방안 국내방위산업체공격동향 39 제 3 장. 글로벌사이버위협동향 1. 시만텍社, ISTR(Internet Security Threat Report) 카스퍼스키社, DDOS attacks in Q

4 2017 년 2 분기사이버위협동향보고서

5 제 1 장. 2 분기사이버위협동향

6 제 1 장. 2 분기사이버위협동향 1 언론보도로살펴본사이버위협동향 2017 년 2 분기동안국내 외언론社및보안관련웹사이트에서이슈가된주요사이버위협을아래와같이주간타임라인으로정리하였다. 2 분기주요사이버위협타임라인 4 월 1주 : 국방망해킹, 北선제타격계획 ' 작계 5015' 도유출 (4.06, MBC) 2주 : 인도은행 1천900억원해킹사건 ' 북한배후설 ' 솔솔 (4.11 연합뉴스 ) 3주 : 셰도우브로커스공개 MS 취약점악용 랜섬웨어 출현 (4.19, 보안뉴스 ) 4주 : ' 240억원대이메일사기 ' LG화학, 합의로마무리 (4.22, SBS뉴스 ) 여기어때개인정보 99만건유출 SQL 인젝션공격확인 (4.26, 디지털타임스 ) 5 월 1 주 : 유출된개인정보로불법카드대출 뒷감당은소비자몫 (5.1, 아주경제 ) 중국사드해킹시도했었다 -CNN (5.4, 뉴스 1) 대규모구글지메일해킹발생 (5.4, 디지털타임스 ) 2주 : 모바일돈거래크게느는데보안은뒷전 (5.8, 동아일보 ) 3주 : 워너크라이, 한국피해현황은? IP 4,180개감염 (5.15, 보안뉴스 ) 버스정류장안내판에도 랜섬웨어 경고창떴다 곳곳서신고잇따라 (5.15, 동아일보 ) 4주 : 네이버밴드해킹 내아이디로성인광고올라가 네티즌들피해속출 (5.19, 동아일보 ) 5주 : 인터넷진흥원 " 워너크라이공격주체, 북한이라단정짓기어렵다 " (5.28, 아시아경제 ) 美보안업체 " 랜섬웨어공격, 남중국해커소행가능성 "(5.29, 연합뉴스 ) 6 월 1주 : 99만명개인정보유출 여기어때 해킹일당검거 (6.2, 연합뉴스 ) 2주 : 랜섬웨어때문에회사망한다고? 모바일게임통째로날렸다 (6.3, 보안뉴스 ) 3주 : 서울고속버스터미널전광판 랜섬웨어 감염! 대중교통 비상 (6.9, 보안뉴스 ) 4주 : 나야나, APT+ 리눅스랜섬웨어결합된공격당해 (6.16, 데이터넷 ) 5주 : 국내은행 7곳에 DDoS 공격협박장...' 비트코인내놔라 '( 전자신문, 6.21) 러 유럽정부 기업에동시다발사이버공격 美로확산 (6.28, SBS) 2 분기언론보도를검토한결과, 해커들의사이버공격이성공하여정상적으로운영되던인터넷서비스가종료되거나회사가파산위기에처하는사례가발생하였다. 이것은보안을고려하지않을경우실제비즈니스가성공하기어렵게되었다는증거이기도하다. 1 분기와마찬가지로랜섬웨어, APT 공격, IoT 악성코드및제로데이취약점을이용한해커의공격등다수의사이버위협들이실제사고로이어졌다. 4

7 1) 맞춤형공격을통한호스팅업체랜섬웨어감염 국내사이버환경에서가장크게이슈가되었던사건은 인터넷나야나 호스팅업체의랜섬웨어감염사고이며, 그에대한뒷수습이 6 월말까지도계속진행되었다. 해당사고는그간의동향보고서에언급된다양한사이버위협이복합적으로적용되어발생한사고라고할수있다. 6 월 10 일인터넷나야나업체서버는에레버스 (Erebus) 랜섬웨어에감염되었다. 에레버스랜섬웨어는윈도우를대상으로하는랜섬웨어지만, 이번에는리눅스에서동작하는에레버스변종이사용되어리눅스서버들을감염시켰다. 제 1 장. 2 분기사이버위협동향 [ 그림 1-1] 에레버스랜섬웨어감염화면 랜섬웨어감염당시사용자들은 FTP 서버에서강제로접속이종료되는증상을겪었고, 사이트에다시접속한후랜섬웨어감염사실을확인하였다고알려졌다. 호스팅업체가랜섬웨어에공격당하여실제피해가발생한사고가외부공개된경우는이번이처음이었으며, 특히 1 만여웹사이트가이용하는대형호스팅업체가피해를본이례적인사건이었기에 IT/ 보안관련언론뿐아니라주요일간지와방송, 뉴스에서도관련보도가다수편성되었다. 5

8 제 1 장. 2 분기사이버위협동향 [ 그림 1-2] 웹호스팅업체에대한랜섬웨어공격보도 이중 SBS 8 시뉴스보도에따르면, 이사태로피해를입은사이트는무려 5 천여개에달하는것으로추산된다. 특히다른기관및단체로부터웹사이트제작과관리를대행하는웹에이전시업체들이많이가입되어있으며, 인터넷나야나측에서추산한 2 차피해액은 10 억원에이른다. 이후나야나측의뒷수습과정들이언론을통해상세히보도되었다. [ 그림 1-3] 호스팅업체관련보도 6

9 해당호스팅업체가서비스하는 OOO 당대표 OOO 의원홈페이지및한국 OO 협회등다수의웹페이지동작이멈추었기때문에특히사회적파장이컸으며, 이에인터넷나야나는서버의복구를위해협상을하게된다. 해커들은비트코인을요구하면서대출까지받으라는협박메일을보냈으며해당메일내용은아래와같다. My boss tell me, your buy many machine, give you good price 550 BTC If you do not have enough money, you need make a loan 우리보스가나한테말하길, 너희는기계도많이산다고했다., 550 BTC 면합당한가격이다. 만약돈이없으면대출이라도받아라. 제 1 장. 2 분기사이버위협동향 You company have 40+ employees, every employees's annual salary $30,000 all employees 30,000*40 = $1,200,000 all server 550BTC = $1,620,000 If you can't pay that, you should go bankrupt. But you need to face your childs, wife, customers and employees. Also you will lost your reputation, business. You will get many more lawsuits. < 원문 > 너희회사직원은 40 명도넘고, 직원연봉도평균 3 만달러다. 3 만달러 * 40 명 = 120 만달러모든서버 550 BTC = 162 만달러 만약돈을지불할수없다면, 너넨파산해라. 그런데, 너희애들, 와이프, 고객들, 직원들얼굴볼수있냐. 너는평판과사업을모두다잃고수많은소송에시달리게될거다. < 번역 > [ 그림 1-4] 해커의호스팅업체협박메일 6 월 14 일, 대표이사의이름을건사과문과현황공지가올라왔다. 인터넷나야나에서 4 억의현금및법인매각등으로총 13 억원을지불하여해커와협상을하였다. 인터넷나야나측은이중백업을통해이용자들이업로드한데이터를백업하였다고밝혔으나망분리가제대로이루어지지않아내 외부의백업데이터까지랜섬웨어에감염되었다고밝혔다. 7

10 제 1 장. 2 분기사이버위협동향 [ 그림 1-5] 호스팅업체매각및해커와최종합의에대한보도 해커와의협상이이루어진것에대하여한국업체들이추후해커들의손쉬운목표가될수있다, 혹은어쩔수없는선택이었다는등다양한의견들이있었으나가장중요한점은추후호스팅업체를비롯한국내기업들이보안에더욱힘을써야한다는것이다. 또한인터넷냐야나뿐아니라동일한공격자가진행한유사한공격시도들이다수의호스팅업체들에게발생된사례가확인된다. 이에본보고서 2 장전문가기고문의 1. 안전한서비스인프라구성방안 에서 ISP 나 IDC, 호스팅업체에필요한보안강화방안을다룬다. 8

11 2) 워너크라이랜섬웨어 : 美 NSA 의취약점악용 지난 5 월 12 일에전세계적으로워너크라이랜섬웨어에감염되는사태가발생하였으며, 많은컴퓨터에서심각한피해가있었다. 해당랜섬웨어에감염되면파일들이암호화된후, 몸값으로 $300 를비트코인으로요구하는메시지창이아래화면과같이나타나게된다. 제 1 장. 2 분기사이버위협동향 [ 그림 1-6] 워너크라이랜섬웨어감염결과화면 워너크라이 란이름의유래는 Crypt 와 Cry 의중의적표현을사용하여, 울고싶니? (Do You Wanna Cry?) 와 암호화되고싶니? (Do You Wanna Crypt?) 란의미를가진다. 이랜섬웨어의파일명은 Wana Decrypt0r 로 암호화된것을풀고싶니? 란뜻이다. 워너크라이랜섬웨어는새로운랜섬웨어가아니며, 이번에특별히이슈가되면서피해가컸던이유는해당랜섬웨어가최신취약점을사용하여웜의형태로전파되었기때문이다. 9

12 제 1 장. 2 분기사이버위협동향 [ 그림 1-7] NSA 의공격코드유출에따른언론보도 美 NSA 에서제로데이취약점을통하여전세계다수의 IT 기기를해킹하는것은이미널리알려진공공연한사실이며, NSA 에서는다수의제로데이취약점을외부에공개하지않고보유, 활용하고있다. 이번사건은 NSA 가보유한제로데이취약점이쉐도우브로커스라는해킹그룹에게유출되어발생하였기에이에대한비난도많았다. 워너크라이는부팅시자기자신의자동실행을위해레지스트리를수정하는데, UAC 를회피하고권한상승을통해관리자권한을획득하는기법을사용한다. 워너크라이는윈도우 SMB 취약점을악용하여제작되었으며원격조종을통한권한상승이더큰문제를야기했다. UAC 를끄거나 UAC 가없는 Windows XP 에서는속수무책일수밖에없다. SMB 취약점을이용하게됨에따라웜바이러스와유사하게자기자신을복제해네트워크에흘려보내는것이가능하다. 이는브라우저를열어해킹된광고서버나해킹된사이트에대한접속을시도해야감염될수있었던드라이브바이다운로드 (drive-by download) 방식이나이메일첨부를통한고전적인방식만을사용하던기존랜섬웨어들과다르며, 윈도우 OS 취약점을이용하기때문에인터넷에연결되어있기만해도감염되는차이점이있다. 마이크로소프트는해당취약점에대한보안패치를 2017 년 3 월중순부터제공했지만업데이트를하지않거나업무용프로그램의호환성등을이유로백신, 방화벽윈도우업데이트를꺼놓은업무용 PC, 또는보안패치가끊긴 Windows XP 가설치된 PC 들에서는많은피해가발생했다. 국내통신 3 사는 SMB 에사용되는포트들을원천봉쇄하고있기때문에외부망으로부터의 SMB 공격은불가능하지만, 내부망의 PC 가한대라도감염될경우네트워크전체가공격될수있으므로각각의네트워크내에서 SMB 취약점에대한조치를취해야한다. 10

13 참고 : 해외피해사례 o 독일 : 철도시스템이감염되어일부철도모니터에랜섬웨어감염화면표시 제 1 장. 2 분기사이버위협동향 [ 그림 1-8] 독일철도모니터의랜섬웨어감염화면 o 러시아 : 가장많은피해를입음. 정부기관인내무부컴퓨터까지감염되었으며, 여러공공기관에서피해사례가보고됨. 민간부분에서도상당한피해발생 [ 그림 1-9] 러시아의랜섬웨어감염에대한 CNN 기사 o 일본 : JPCERT/CC 에서는 JR 히가시니혼, 히타치, 이온, 카와사키상하수도국, 오사카시청, 이와테현청등 600 곳의컴퓨터 2000 대이상에서워너크라이랜섬웨어감염확인. 일본거대철도회사인 JR 히가시니혼의경우센다이역열차지연안내판의감염을시작으로, JR 히가시니혼이운영하는전국주요역으로감염확대. 일부역창구에서는일시적으로신칸센등의열차예약시스템이중단되기도함 o 영국 : 잉글랜드와스코틀랜드의국민보건서비스 (NHS) 산하의병원 40 여곳에피해 o 중국 : 공항, 출입국관리국을비롯한각종공기관은물론, 학교공용컴퓨터, ATM 까지감염됨. 중국국영석유회사가소유한 2 만개주유소가타격을받아현금만받기도함 11

14 제 1 장. 2 분기사이버위협동향 참고 : 국내피해사례 o 영화관에서영화예고편상영중랜섬웨어감염화면표시 [ 그림 1-10] 랜섬웨어에감염된영화관전광판 o 버스정류장안내판에랜섬웨어감염화면표시 [ 그림 1-11] 랜섬웨어에감염된버스정류장전광판 12

15 3) 선거시즌에편승한선거관련사이버위협 2 분기에는대선기간이포함되어그에따른다양한선거관련사이버이슈및사고가있었다. 특정후보캠프홈페이지가해커의공격에의해변조되어각당과후보캠프에서긴장하는사고등다양한사이버위협이발생하였다. 제 1 장. 2 분기사이버위협동향 [ 그림 1-12] 정당홈페이지디페이스사건보도 13

16 제 1 장. 2 분기사이버위협동향 또한특정후보를사칭한피싱공격과악성코드가포함된사칭이메일등이발견되기도하였다. [ 그림 1-13] 대선관련피싱및사칭이메일보도 이는주목도높은사회적이슈관련사항의조회빈도가높은것을악용한일시적현상이며, 커뮤니티또는언론사를주요목표로하던평소와달리대선이라는특정키워드를집중적으로활용하는특징을보여주고있다. 14

17 2 악성코드동향 1) 악성코드분석통계 가. 2 분기악성코드통계 한국인터넷진흥원에서 2 분기에수집ㆍ분석한악성코드중가장많이확인된유형은다음표와같이랜섬웨어, 정보탈취, 원격제어순으로나타났다. 랜섬웨어는 1 분기대비 14% 증가하였고정보탈취형은 17% 증가하면서 2 위를기록했다. 랜섬웨어의증가는 4 월과 5 월에발생한대규모랜섬웨어감염사고와연관지을수있는데, 이때발견된랜섬웨어의변종이나타남에따라랜섬웨어비율이증가한것으로보인다. 제 1 장. 2 분기사이버위협동향 또한, APT 와같은표적공격에필요한사전정보수집에사용할정보탈취형악성코드의증가가뒤를이었다. 반면원격제어악성코드는현저하게줄었지만한동안잠잠하던애드웨어가한두건씩발견되고있다. 이는최근수집된악성코드에서다량의애드웨어가포함되어있었기때문이다. 번호 구분 악성코드종류 1 분기 2 분기 1 분기대비증감률 1 랜섬웨어 44% 58.5% 14.5% 2 정보탈취 12.7% 30% 17.3% 3 원격제어 35.7% 8.5% 27.2% 4 애드웨어 0.3% 3% 2.7% 5 파밍 6% 6% 6 DDoS 1.3% 1.3% [ 표 1-1] 이전분기대비종류별악성코드증감률 2017 년상반기악성코드현황 랜섬웨어정보탈취원격제어애드웨어파밍 DDoS 1 분기 2 분기 [ 그림 1-14] 이전분기대비종류별악성코드증감률 15

18 제 1 장. 2 분기사이버위협동향 나. C&C 악용국가현황 2017 년 2 분기에 C&C 로가장많이악용된국가는미국으로나타났다. 이는미국의상용클라우드서비스를악성코드의 C&C 서버로악용하는악성코드가증가함에따른결과이다. 또한 1 분기에유행했던원격제어형악성코드가줄어들면서 C&C 서버로주로사용되던중국 IP 주소의비중이크게줄어들었다. 반면랜섬웨어가 C&C 주소로사용하는러시아의비중이늘어났다 년 2 분기에 C&C 로악용된국가별순위는 미국 러시아 중국 순으로나타났으며기타국가로는호주, 캐나다, 홍콩등이차치했다. 상승 하락 국가미국러시아중국네덜란드한국일본독일프랑스기타 2 분기비율 36% 17% 12% 10% 4% 4% 4% 3% 10% 1 분기비율 12% 2% 67% 4% 10% 0 2% 분기대비증감률 24%p 15%p 55%p 6%p 6%p - 2%p - - [ 표 1-2] 이전분기대비국가별 C&C 악용 IP 증감률 2017 년상반기 C&C 악용국가현황 미국러시아중국네덜란드한국일본독일프랑스 1 분기비율 2 분기비율 [ 그림 1-15] 이전분기대비국가별 C&C 악용 IP 증감률 16

19 2) 2 분기악성코드특징 1 분기때강세를보였던랜섬웨어가 2 분기에도지속되며변종, 신종랜섬웨어가계속해서발견되고있다. 특히, 운영체제의취약점을악용해전파되는웜 * 형랜섬웨어인워너크라이 (WannaCry) 의등장으로 2 분기랜섬웨어감염피해신고건수가급격히증가했다. 또한, 리눅스에서동작하는에레버스 (Erebus) 랜섬웨어는국내웹호스팅업체운용서버의대규모감염사례로보아한동안랜섬웨어의강세가계속될것으로보인다. * 웜 : 네트워크를사용하여자신의복사본을전송할수있는형태의악성코드를일컫는말 가. 취약점을이용한랜섬웨어유포 제 1 장. 2 분기사이버위협동향 `17 년 5 월, 파일및주변장치들을공유하는목적으로사용하는 SMB* 프로토콜의취약점 (CVE ) 을공격하여전파되는워너크라이 (WannaCry)** 랜섬웨어가등장하였다. 이례적으로해당취약점에대해 Microsoft 가서비스지원중지를선언한 WindowsXP 와 Server2003 에대한보안패치를배포할정도로고위험군취약점이었다. * SMB(Server Message Block) : 윈도우에서파일, 디렉터리, 주변장치등을공유하는데사용 ** 워너크라이 (WannaCry) : IP 주소전대역을스캐닝하여해당취약점을패치하지않은취약한 PC 탐색후자기자신을전파하는웜형랜섬웨어 나. 랜섬웨어지속발생 악성코드분석통계표에서볼수있듯이 2017 년 2 분기에가장많이유행한악성코드는랜섬웨어다. 랜섬웨어피해민원접수현황을살펴보면 2 분기는 1 분기 990 건대비약 3.5 배증가한 3,550 건으로집계되었다. 구분 랜섬웨어민원접수 2015 년 2016 년 2017 년 1 분기 2 분기 3 분기 4 분기 1 분기 2 분기 3 분기 4 분기 1 분기 2 분기 ,550 합계 770 1,438 4,540 [ 표 1-3] `15 년 ~ `17 년 2 분기랜섬웨어피해민원접수현황 ( 단위 : 건 ) 17

20 제 1 장. 2 분기사이버위협동향 3) 주요악성코드분석 2 분기는 1 분기와마찬가지로스팸메일또는스피어피싱메일을통해악성코드를유포하는방법도사용됐지만, 스스로전파할수있는최신취약점을이용하거나해킹을통해대상서버에직접악성코드를유포하는등피해규모를키우기위한다양한방법이사용된것이특징이다. 월종류제목 4 월 5 월 6 월 정보유출 원격제어 랜섬웨어 랜섬웨어 원격제어 랜섬웨어 랜섬웨어 랜섬웨어 랜섬웨어 가. 이력서로위장한악성코드 이력서로위장한악성코드 새로운기능이추가된미라이 (Mirai) 변종 인터파크고객정보리스트사칭랜섬웨어 저렴한몸값, 0.1 비트코인요구하는랜섬웨어 페르시라이 (Persirai), IP 카메라취약점노린새로운봇넷 전세계를강타한워너크라이 (WannaCry) 랜섬웨어공격 교통법규위반과태료고지서사칭랜섬웨어 웹호스팅업체서브를감염시킨리눅스랜섬웨어에레버스 (Erebus) SMB 프로토콜취약점을악용한변종페트야 (Petya) 랜섬웨어 [ 표 1-4] 주요악성코드분석현황 해당악성코드는국내대표채용사이트에서발송된것처럼위장한메일로유포되었으며, 메일에는금융권입사지원에대한내용이포함되어있다. 채용사이트로연결을유도하는가짜링크를통해이력서파일이다운로드된다. [ 그림 1-16] 악성코드가삽입된이력서파일실행화면 18

21 다운로드된 문 이력서 파일을실행할경우정상워드문서가실행됨과동시에백그라운드에서악성코드가동작한다. 백그라운드에서동작한악성코드는사용자시스템에설치된웹브라우저 ( 크롬, 파이어폭스, 인터넷익스플로러등 ) 에서접속한사이트정보와저장된비밀번호및네이트온메신저의사용자정보를가로챈다. 또한, 사용자키보드입력값을저장 ( 키로깅 ) 하고공격자서버로전송한다. 나. 새로운기능이추가된미라이 (Mirai) 변종 미라이 (Mirai) 의기본기능인 DDoS 공격뿐아니라비트코인을채굴하는변종이발견됐다. IoT 기기를대상으로동작하는악성코드인만큼사용자가감염사실을인지하지못하는경우가많다. 이점을악용하여미라이 (Mirai) 에비트코인마이닝기능을탑재한것으로보인다. 제 1 장. 2 분기사이버위협동향 [ 그림 1-17] 비트코인마이너가포함된미라이 (Mirai) 악성코드감염국가현황 다. 인터파크고객정보리스트 사칭랜섬웨어 지난해개인정보유출사고를낸인터파크를사칭해랜섬웨어감염을시도하는 ' 개인정보유출관련사과공지및보상정책안내 ' 메일이발견됐다. 이메일에포함된악성파일은 7-zip 포맷으로압축되어있으며해제시 ' 개인정보유출고객리스트. doc', ' 개인정보유출공지.jpg.lnk' 총 2 개의파일이생성된다. 메일수신자가이미지 (.jpg) 로위장된바로가기파일 (.lnk) 을실행할경우비너스락커 (VenusLocker) 변종랜섬웨어가실행되어 PC 에저장된각종파일이암호화된다. [ 그림 1-18] 이메일첨부파일 19

22 제 1 장. 2 분기사이버위협동향 라. 저렴한몸값, 0.1 비트코인요구하는랜섬웨어 기존암호해독비용의 1/10 에불과한 0.1 비트코인을요구하는랜섬웨어가등장했다. 기존비너스락커 (VenusLocker) 방식처럼한글이메일로유포되었지만비너스락커 (VenusLocker) 가아닌오토크립터 (AutoCryptor) 라는새로운랜섬웨어로변경되었다. [ 그림 1-19] 이미지파일로위장한바로가기파일 첨부된도안파일은확장자숨김이기본설정인윈도폴더정책으로인해정상적인이미지 (.jpg) 파일로보이지만실제로는이중확장자로위장된바로가기 (.lnk) 파일이다. 바로가기파일을실행할경우오토크립터 (AutoCryptor) 랜섬웨어에감염되어파일들이암호화된다. 마. 페르시라이, IP 카메라취약점노린새로운봇넷 미라이 (Mirai) 처럼사물인터넷기기만으로구성된새로운봇넷페르시라이 (Persirai) 가발견됐다. 해당봇넷은 1 천종이넘는 IP 카메라모델을겨냥하고있어자칫대규모 DDoS 공격이발생할가능성이있다. [ 그림 1-20] 페르시라이감염흐름 20

23 바. 전세계를강타한워너크라이 (WannaCry) 랜섬웨어공격 윈도우 SMB v2 원격코드실행취약점 (CVE ) 을이용한워너크라이 (WannaCry) 랜섬웨어공격이전세계를강타했다. SMB 취약점에대한보안패치는지난 3 월배포했으며패치를적용하지않은시스템의경우이를악용한랜섬웨어에감염된다. 영국의한보안전문가가확산을방지할수있는 킬스위치 를만들어확산을저지했으나, 이를제거한변종이등장해다시확산되었다. 해당랜섬웨어에감염시 178 개의확장자를갖는파일을암호화한후비트코인을요구한다. 또한, 익명네트워크토르 (Tor) 를활용해추적을피하고있으며, 한글을포함한다국어를지원하고있다. 제 1 장. 2 분기사이버위협동향 사. 교통법규위반과태료고지서사칭랜섬웨어 [ 그림 1-21] 워너크라이 (WannaCry) 감염화면 교통범칙금인터넷납부및교통조사예약시스템인 efine 을사칭한메일에첨부된랜섬웨어가발견되었다. 이전에발견된 수원남부경찰서 를사칭한교통위반고지랜섬웨어와동일한수법을사용한또다른버전으로확인된다. 유포된 [efine] 위반사실통지및과태료부과사전통지서 란이름의해당이메일은 efine 교통범칙금인터넷납부 에서보낸것으로위장하고있다. 이메일의본문내용을보면, 귀하의차량이법규위반한사실이확인되어과태료부과대상이되었기에통지합니다 라는글과함께자세한내용과범칙금금액, 의견진술기한등이기재되어있다. 21

24 제 1 장. 2 분기사이버위협동향 [ 그림 1-22] 이메일내용및악성첨부파일 efine.png 파일과 과태료부과고지서.egg 파일이첨부되어있으며, 압축을풀고실행할경우한글문서 (.hwp) 를포함하여각종문서, 이미지, 동영상파일등 PC 의중요한파일들을암호화하는비너스락커 (VenusLocker) 랜섬웨어에감염된다. 아. 웹호스팅업체서버를감염시킨리눅스용랜섬웨어에레버스 (Erebus) 1 만여개에달하는웹사이트와서버를임대, 관리하는웹호스팅업체의서비스운용서버가에레버스 (Erebus) 랜섬웨어에감염되었다. 에레버스 (Erebus) 랜섬웨어는해당업체의리눅스웹서버 153 대를감염시켜주요파일과백업파일, 호스팅서비스이용고객들의파일까지모두암호화시켰다. 암호화후파일의확장자는.ecrypt 로변경된다. 22

25 제 1 장. 2 분기사이버위협동향 [ 그림 1-23] 에레버스랜섬웨어결제화면 자. SMB 프로토콜취약점을악용한변종페트야 (Petya) 랜섬웨어 워너크라이 (WannaCry) 가사용했던 SMB 취약점 (CVE ) 을탑재한변종페트야 (Petya) 가발견되었다. 기존페트야 (Petya) 는 MBR 변조후부팅불능으로만든후파일을암호화하여비트코인을요구하였지만지난 `17 년 6 월발견된변종에서 SMB 취약점공격기능이새롭게추가되며자체전파기능까지갖췄다. 악성코드에감염되면다음과같은화면을출력하며비트코인을요구한다. [ 그림 1-24] 랜섬웨어감염시화면 23

26 제 1 장. 2 분기사이버위협동향 4) 향후전망 1 분기는스피어피싱메일및바로가기아이콘등지능적위장유포방식이주를이뤘다면 2 분기는 SMB 취약점과같은익스플로잇공격을통해대규모랜섬웨어유포가유행했다. 또한, 2 분기통계자료에따르면정보탈취형악성코드가 1 분기대비약 17% 상승하였다. 이점으로미루어볼때, 3 분기에는취약점공격뿐만아니라 2 분기에많이발견된정보탈취악성코드를이용해수집한정보를바탕으로 APT 공격및악성코드유포가유행할것으로보인다. 또한, 최근웹호스팅서비스업체는랜섬웨어에감염된파일복호화비용으로약 13 억원의비트코인을지불하며전세계적으로해커와협상한이례적인사건으로기록되었다. 이러한선례는 DDoS 공격, 개인정보유출, 시스템파괴협박등다양한미끼를수단으로금전 ( 가상화폐 ) 요구사례의증가원인이될것으로우려된다. 특히페트야 (Petya) 랜섬웨어와같이내부망으로전파되는악성코드에감염되지않도록내부망보안관리 ( 운용중인 S/W 보안성점검, 업데이트및로그서버등의중앙관리 ) 에특별히신경을써야한다. 따라서향후금전적인피해뿐만아니라다양한형태의해킹피해를줄이기위해이에대비할수있는대응및방어훈련을수행하는등사전에예방할수있는방안을다각도로모색해야한다. 또한개인과기업은사용중인운영체제와소프트웨어의보안업데이트를최신으로유지하고주기적으로백업및백업본의보안관리등기본적인피해예방활동노력도필요하다. 24

27 3 취약점동향 1) 벤더별취약점특징 1) 2017년 2분기동안발표된취약점중 CVSS 점수 7.0 이상의고위험취약점은 1110개로, 1분기의 671개와비교해크게늘어난수치이다. 매년 1분기가가장적은취약점이발견되는시기이기는하지만, 2016년 2분기에발견된취약점이 730개였음을감안해도이례적으로많은취약점이발견되었다. 제 1 장. 2 분기사이버위협동향 [ 그림 1-25] 2 분기벤더별취약점분포 벤더별취약점분포의가장큰특징은기타항목의비율이빠른속도로증대되고있는점이다. 인지도가높지않은수십개의벤더들이이에해당하며산업용기기, 전구회사와같은각종하드웨어관련업체들과운영체제에서사용되는작은프로그램들의제조사들도여기에포함된다. 전체취약점분포에서이들이차지하는비중은전년도동일기간에 9% 에불과했으나 2017 년 1 분기에는 35%, 이번 2 분기에는 45% 로계속해서빠르게증가하고있다. 벤더별취약점분포를좀더자세히살펴보면, 가장취약점이많이발견된벤더는구글로전체의 11% 를차지하였다. 그런데총 126 개의구글취약점중안드로이드취약점이 119 개로거의대부분을차지하고있다. 1) CVSS(Common Vulnerability Scoring System) : 보안취약점공동평가시스템이며본문서는 v2 점수체계를기준을따른다. 25

28 제 1 장. 2 분기사이버위협동향 또한 5 위 Linux 취약점 49 개중 11 개, 7 위퀄컴취약점 34 개중 31 개, 9 위 NVIDIA 취약점 20 개중 6 개, 11 위미디어텍취약점 14 개중 13 개, 13 위브로드컴취약점 12 개중 9 개가안드로이드취약점이다. 이를모두합하면메인벤더사취약점 649 개중거의 30% 에달하는 189 개의취약점이안드로이드취약점으로나타난다. 안드로이드취약점은 2016 년 3 분기에폭증하기시작한후계속해서이와비슷한 30% 정도의비율을유지하고있다. [ 그림 1-26] 2 분기벤더별안드로이드취약점분포 구글다음으로많이발견된마이크로소프트취약점은 90 개이며, 주로오피스와 Edge 브라우저취약점이보고되었다. 가장크게이슈가된것은미국 NSA 의해킹도구 EternalBlue 유출로인해공개된 SMB 원격코드실행취약점으로, 이슈가된랜섬웨어워너크라이에서악용되었다. 어도비취약점은 75 개로플래시와어도비리더취약점비중이높았다 년중반까지플래시취약점이대부분이었던것과달리 2016 년말부터는어도비리더취약점의비중이높아졌고, 이후비율이계속유지되고있다. 애플취약점은 1 분기 27 개에서 2 분기 67 개로증가하였으며, 대부분 ios 및 macos 취약점으로과거의비슷한패턴을보였다. 26

29 2) 취약점특이사항 메인벤더취약점에비교하면적은숫자지만, 벤더별취약점 14 위인 Vmware 취약점과더불어각종가상환경및안티바이러스, 샌드박스, Wireshark 등의탐지도구들을타깃으로한취약점들이증가추세이다. 이는사이버범죄자들이탐지및분석을회피하는데더많은관심을기울이고있는것과연관되는사항으로보인다. 각종공유기및네트워크장비취약점이증가한것도특이한부분이다. Netgear, D-Link, TP-Link, Linksys등네트워크장비의취약점들이계속발견되고있으며, Rapid7에서는 3가지가정보안시스템에대한해킹실험을통해여러취약점을발견하여보고하기도했다. 2) 제 1 장. 2 분기사이버위협동향 [ 그림 1-27] 가정용보안카메라해킹시연 국내에서발견수는적지만파급력이컸던취약점벤더로는아파치톰캣과삼바를들수있다. 톰캣의경우 CVE 를비롯한 3 개의취약점, 삼바는 CVE 등의 2 개취약점만이발견되었으나사용량이많아특별히관심을모았다. 또한국내공공기관등에서많이사용되고있는 CROWNIX 리포팅툴의 ActiveX 취약점이발견되어패치전까지이슈가되었다. 2) 27

30 2017 년 2 분기사이버위협동향보고서

31 제 2 장. 전문가기고문

32 제 2 장. 전문가기고문 1 안전한서비스인프라구성방안 씨디네트웍스보안실홍석범이사 ( 제 2 기사이버보안전문단 ) 최근호스팅서비스를제공하는회사의서버들이대량으로랜섬웨어에감염되어수천여개의웹사이트가수일에서길게는수주동안감염되고, 복호화키를받기위해 10 억이넘는비트코인으로공격자와협상하는초유의사태가발생하여전세계를떠들썩하게한일이있다. 사실이번사고는특정보안패치의문제는아니었으며, 중요한것은비단이업체뿐만아니라유사한규모의다른수백여개의유사서비스회사에서도발생할수있다는점이다. 왜냐하면전체적인서비스운영환경그자체에그근본적인문제가있기때문이다. 또한이와유사한취약성을안고있는업체는매우많다. 따라서당장내일이라도제 2 의유사사례가발생되지않도록하기위해서단편적인이야기가아니라좀더큰그림으로 안전한서비스인프라구성방안 " 을살펴보는것이의미가있을것으로보인다. 1) 기본전제조건 서비스인프라구성을디자인하면서고려하고견지해야할몇가지기본전제가있다. 먼저첫번째는 최신패치를적용했다고해서반드시안전한것은아니다 " 라는것이다. 물론 80% 의공격은단순히알려진취약점패치만으로공격을어렵게하거나공격으로부터일정부분안전한것이사실이나, 하루가다르게새롭게나오는취약성과패치를일일이적용하는것은불가능할뿐만아니라그간의사례를보면아직도세상에알려지지않은취약성, 즉 제로데이 취약점이적지않다는것이다. 아래그림은보안업체인시만텍에서공개한통계자료로서 2008 년부터 2 년간알려진 18 건의제로데이취약점을분석해보았더니대부분의취약점들이세상에공개되기 10 개월이전부터, 심지어는 2~3 년전부터도공격에활용되었다는놀라운사실을보여준다. [ 그림 2-1] 제로데이취약점이공개될때까지의소요된시간 ( 월 ) 30

33 이렇듯알려지지않은취약점이나이를활용한공격도적지않은만큼, 단순히알려진취약점만을최신버전으로패치했다고해서안심할수는없을것이다. 두번째는, 나만잘한다고되는것은아니다 " 라는것이다. 자동차운전을아무리잘한다하더라도다른사람이운전을잘못해서사고를내면나역시도사고의피해자가될수있듯이, 보안도나만잘한다고문제가사라지는것은아니다. 이를테면내옆자리의직원 PC 가악성코드에감염되어사무실대역을스캔하여공격할수도있을것이고, PC 에설치된유명프로그램이자동업데이트를하면서악성코드에감염되어자신도모르게좀비 PC 가되는등, 자신의의지와는상관없이여러가지보안이슈에노출될수있는여지가있다는것이다. 이러한두가지기본전제하에, 안전한서비스인프라구성을위해반드시지켜야할기술적방안에대해살펴보도록하자. 2) 반드시지켜야할서비스인프라구성원칙 가. PC 에서서버로의직접접속금지 대부분의업체에서는 IDC 에서버를두고관리나운영상의목적으로, 운영자만이서버에접속할수있도록하기위해사무실내 NAT IP 를허용하거나사무실과 IDC 간에 VPN 을구성하여사무실내 PC 에서만접속할수있도록구성하여운영한다. 그러나나름대로안전하다고생각하는이방식은여러가지심각한문제점이존재한다. 첫번째는, 앞에서도언급한바와같이알려진또는알려지지않은취약성을통해자신도인지하지못하는사이운영자 PC 가악성코드에감염될수있다는점이다. 이를통해키로거 (key logger) 가설치되어입력하는명령어또는암호가실시간으로공격자에게전송될수도있고, 공격자에의해스크린화면이공유되고원격조정을받을수도있을것이다. 두번째는관리, 모니터링의입장에서 IDC 내네트워크혹은각각의서버에접근가능한 ACL 이사무실로한정되었을경우집중모니터링해야할범위가너무방대해진다는문제가있다. 즉, 사무실내모든 PC 가잠재적인보안리스크가되므로보안상의설정문제점은없는지, 어떠한보안이벤트가발생하고있는지등을모니터링할수있어야하는데, 현실적으로쉽지않다는것이다. 또한침해사고가발생하였을때이를테면사무실의 NAT 공인 IP 를통해문제의서버에접속했던로그가발견되었다면, 서버로부터사무실내어떤 PC 또는디바이스를통해접속했던것인지에대한경로역추적이되어야하는데, 더이상경로파악이어려워지게되는문제가있는것이다. 따라서이러한잠재적문제점을해소하기위해서는운영자 PC 에서에지서버로의직접접속을금지하고, 대신중간경유서버 ( 또는게이트웨이, jump server 등 ) 를두어각자산에접근할수있는통로를최소화하고중앙화하여집중관리해야한다. 제 2 장. 전문가기고문 나. 중앙게이트웨이운영 공항에서입국이나출국을하기위해서결격사유나문제는없는지인증을하고심사를받은후심사대를통과해야하는것과같이, 정보자산에접근할수있는통로를일원화하고, 그통로를집중관리하는것이리스크를최소화할수있는효율적인방법이다. 이를테면, 서버관리를위해 SSH 를사용한다면 IDC 내각서버에서는게이트웨이의 IP 만허용하고, 이외 IP 에서의 SSH 접속은모두차단하도록하면된다. 31

34 제 2 장. 전문가기고문 [ 그림 2-2] 게이트웨이구성방안 그런데반대로게이트웨이만확보되면다른에지서버에쉽게접속할수있게되므로게이트웨이자체의보안설정이매우중요하다. 따라서아래의보안설정이필수라할수있다. 1 OTP(One Time Password) 활성화게이트웨이접근시인증을강화하기위해가장먼저고려해야할사항은기존의 ID/PW 또는 Key 기반인증외에 OTP(One Time Password) 를도입하는것이다. OTP 활성화는매우효과적이면서도중요한사항이므로별도로살펴보도록하겠다. 2 AD/LDAP 인증게이트웨이에접근할때에는공용계정을사용해서는안되고, 각운영자를특정할수있는유일한계정을사용하여야한다. 이는모니터링및추후침해사고발생시역추적에도반드시필요한데, 이때각각의계정들은중앙관리를하기위해 AD 나 LDAP 에연동하여인증하도록하는것이좋다. 그렇지않고수작업으로관리할경우운영자가부서이동을하거나퇴사를하였을때에도계정이남아있는등누락될수도있기때문이다. 3 에지서버에쉘접근권한이있다하더라도목적에따라다른권한을부여하는것이좋다. 즉, 실제서버의주요설정을변경하거나재부팅등관리자권한이필요한경우도있지만, 단순모니터링이나설정을살펴보는등유저권한으로도충분한업무가있기때문이다. 4 게이트웨이에서실행가능한명령어를제한한다. 위의사항과관련하여, 게이트웨이는단순히중간경유지이므로최소한의필요한명령어만사용하도록제한하는것이좋다. 이를위해각계정마다사용할수있는명령어를제한하거나접근가능한소스 IP 를제한할수있는데, 특정유저의 SSH Key 파일에아래와같이지정하면해당유저는 과 에서만접근가능하게되고, 로그인후사용할수있는명령어도 limited_sshcmd 에지정한명령어만사용할수있도록제한된다. from=" , ",command="/usr/local/scripts/limited_sshcmd" ssh-dss AAAAB3NzaC1kc3MAAACBAKsw0diHYYA2PnkGYPfYP0NgPJit0suyMwV6AQivckxzj 32

35 5 쉘로그인후입력하는명령어 ( 이벤트 ) 를모니터링하는것도필요하다. 앞에서언급한바와같이게이트웨이는서비스서버에접근가능한유일한통로이기때문에집중모니터링하고관리하는것이중요하다. 이를위해서게이트웨이에접근한운영자가어떠한액션을취했는지, 즉어떠한명령어를입력하였는지로그를남기고모니터링하는것이필요하다. 이를위해서다음과같이기존의 bash 쉘을패치하여각서버에좀더상세한로그를남기도록하는것이효율적이다. 먼저, 사이트를참고하여원래의 bash 소스에패치를적용하여컴파일하도록한다. 패치된 bash 를사용하는유저가로그인후명령어를입력하면다음과같이 /var/log/messages 파일에명령어를실행한경로및명령어등각종입력정보가추가로로그에남게된다. Feb 13 19:55:39 www bash: user: test1 as test1 from ip: :pts/1 execs: 'cd /tmp' 그런데, 만약누군가가로그인후특정스크립트를실행하였을경우실제로이스크립트를통해어떤행위를하였는지는알수없는한계가있다. 이를위해 auditd 나 snoopy logger 모듈 ( github.com/a2o/snoopy) 을이용하면 System call 등매우상세한모니터링이가능하게된다. 또한게이트웨이에 SSH 접속후에지서버에다시 SSH 로접속하면초기에어떤유저로접속했는지에대한정보가유지되지않는문제가있는데, 이를위해서 SSH 내에유저명과 IP 등환경변수를지정하여해당변수를넘겨주면기존의접속정보가남도록할수도있다. 마지막으로, 당연한이야기이지만서버에서서버로의직접접속도차단하도록하고 SSH 접속과같이 critical 한접속은반드시게이트웨이만을통하도록하여야한다. 다. OTP(One Time Password) 운영 기존의전통적인인증방식인 ID/PW 및 PKI Key 방식은나름의장점이있지만여러가지방법으로정보가유출되어악용될수있다는문제점이있었다. 따라서로그인시입력한유저가실제그사람인지에대한확인을위해기존의전통적인인증외에추가적인인증바로 2FA(Factor Authentication) 이필요한때가되었다. 이의개념은이미 알고있는것 (ID/PW 나 Key 등 ) 외에그사람이 가지고있는것 을통해본인임을추가인증할수있는도구로인증하는것을의미하는데, 이를테면최근활발하게활용되고있는지문이나홍채와같은생체인식뿐아니라본인이소유하고있는스마트폰을통한 SMS 문자, 그리고지금부터살펴보려는모바일앱을이용한 OTP(One Time Password, 일회용암호 ) 등이그것이다. 제 2 장. 전문가기고문 OTP 솔루션은예전부터있어왔지만구축이어렵고솔루션의가격이매우고가인등의문제로인해도입에어려움이있었던것이사실이다. 그러나스마트폰의대중화와함께구글에서 Google Authenticator 라는 Time 기반의 Free 앱과소스를제공하고여러응용프로그램에활용되면서사용자가폭발적으로증가하고있다. Google OTP 는 IOS, 안드로이드, 윈도우폰등대부분의모바일장치를지원하며본인의스마트폰에설치한앱을통해일정시간동안만유효한 random 한암호를사용할수있다. 주로시간 (Time) 기반의 T-OTP 로활용하며, 이는시간동기화만잘되어있으면 WIFI 나 LTE 연결에무관하게사용할수있음을의미한다. 특히별도의인증서버가필요하지않아비용투자가필요없다는장점이있다. OTP 의작동 flow 는운영자가먼저 ID/PW 또는 Key 입력을통해 1 차인증을받고, 이후 OTP 인증화면에서자신의스마트폰에등록된앱을실행하여 30 초동안유효한 OTP 코드 (6 자리숫자 ) 를입력하면정상인증이된다. 33

36 제 2 장. 전문가기고문 [ 그림 2-3] Google OTP 인증 flow 그럼, 게이트웨이에 SSH 접속시구글 OTP 를간단히구현해보도록하자. 먼저서버에 Git 또는 yum install google-authenticator 명령어로구글 OTP 를설치한다. ( 참고 : 구글 OTP 홈페이지 다음으로는 OTP 등록시 QR code 를볼수있도록 yum install qrencode 를실행한다. 이제유저들은각자아래명령어로 OTP 설정을초기화하면된다. $ google-authenticator 설정초기화시몇가지질문에답변을하면이후.google_authenticator 라는설정파일이생성되고이파일에환경설정이저장된다. 그리고등록을위한 QR Code 가출력되는데, 앱을실행후스캔하면아래와같이자동으로 OTP 코드가등록된다. [ 그림 2-4] 스마트폰을이용한 OTP 등록 34

37 다음으로는 SSH 서버설정에대해살펴보자. 먼저 /etc/pam.d/sshd 파일에아래설정을추가하여적용한다. authrequired pam_google_authenticator.so 다음으로는 /etc/ssh/sshd_config 파일에아래설정을추가한다. UsePAMyes ChallengeResponseAuthentication yes PasswordAuthentication yes 이후 SSHD 를재가동한후 SSH 접속을해보면아래와같이기존에입력하는 password 외에추가적으로 Verification code, 즉 OTP 를묻는것을볼수있다. $ ssh user1@192, p22 Password: <== 기존에사용중인password 입력 Verification code: xxxxxx <== OTP코드 마지막으로 OTP 사용시주의해야할점이한가지있다. OTP 는반드시접속하는단말 ( 운영자 PC) 과분리된별도의디바이스 ( 예 : 스마트폰 ) 를이용해야한다는점이다. 만약그렇게하지않고게이트웨이에접속하는단말에 Software OTP 를설치하여이용할경우, 서로분리된두개의디바이스를통해인증하는 Multi Factor 인증으로서의장점을활용할수없게되고결국공격자에게악용될수있는여지가생기기때문이다. 라. 망분리 제 2 장. 전문가기고문 망분리 에대해서는다양한의견이있을수있는데, 만약망분리를도입한다면당장물리적망분리를위한추가비용, 논리적망분리를위한솔루션비용, 그리고무엇보다이를운영하는과정에서필연적으로경험하게되는번거로움과불편함등의문제가있는것이사실이다. 그럼에도불구하고, "1) 기본전제조건 " 에서언급했듯이외부망접근에사용하는 PC 는안전하다고장담할수없기에, 안전한인프라유지를위해적극검토할만한확실한솔루션인것은사실이다. 별다른솔루션없이가장단순한방법으로두개의 device 를통해물리적망분리환경을구성한다고할때기본적으로준수해야할원칙을살펴보자. 35

38 제 2 장. 전문가기고문 [ 그림 2-5] 물리적망분리운영 - 각각내부망과외부망에접속하는두 PC 간통신은차단하여야한다. 내부망전용 PC 는외부인터넷접속이차단되어야하며내부서비스망만접속가능해야한다. - 외부망전용 PC 와내부서비스네트워크간의접속은상호차단되어야한다. - 외부에서 VPN 접속시에도동일한원칙이적용되어야한다. 단, 예산상의문제로인해물리적으로분리가불가능하다면논리적으로분리할수도있을것이다. 즉, VPN 을그루핑하여서비스네트워크로접속하기위해 VPN 연결시에는일단인터넷은연결되지않고서비스네트워크에접속하기위한게이트웨이만접속해야할것이다. - 내부망전용 PC 라하더라도방화벽을활성화하여다른장치에서의접근을전면차단하여야한다. 즉, 내부망 PC 는안전하다고생각하고방화벽등보안설정이오히려미비할수있는데, 이러한특성을이용하여파일공유시스템등을통해내부망의 PC 에접근하는경우도있다. - 원칙을준수하도록지속적으로교육해야한다. 아무리기술적으로망분리환경을만들었다하더라도여러가지방법으로이를우회하는경우가발생한다. 따라서, 지속적인보안교육을통해위반사항을최소화해야한다. 36

39 마. 정기적인취약점점검 그동안알려지지않았던크고작은새로운취약점들은하루가멀다하고새롭게공개되곤하는데, 아무리전문적인보안전문가라할지라도방대한취약점정보를분석하고따라가는것이불가능할뿐만아니라자신이운영하는시스템이어떤취약점을가지고있는지알기어려운것이사실이다. 어제까지는안전했을지몰라도오늘은새로운취약점으로인해취약해질수도있기때문이다. 특히한두대의장비가아니라많은장비를운영한다면, 그리고다양한버전과 OS, 서로다른종류의서비스를제공한다면더더욱취약점정보를따라가기어렵게된다. 이러한문제를해소하기위해서는전문적인취약점점검툴또는솔루션을활용하여정기적으로전체시스템, 네트워크에대한점검을하는것이좋다. 이를위한대표적인오픈소스툴로는 OpenVas 나 nmap 과같은툴이유명하다. 최근에는오픈소스또는공개버전이라하더라도예전과달리오탐 (false positive) 이나미탐 (false negative) 이많이개선되어업무에활용하는데큰어려움이없다. 특히호스팅과같이수십 ~ 수백여대의대규모시스템을운영한다면 Nessus 와같은저렴한상용솔루션을이용할수있는데, 큰부담없이도대규모의네트워크나웹사이트에대한취약점스캔이가능하다는장점이있다. 스캔이끝난후에는상세취약점내용및조치방법에대한정보를볼수있고해당내용을 html 이나 pdf 등으로출력도가능하다. 제 2 장. 전문가기고문 [ 그림 2-6] nessus 스캔결과 report 그리고부가기능으로서스케쥴링기능을활용하면정기적으로 (daily/weekly/monthly) 일정시간에스캔을하여어떤부분이취약한지에대한스캔결과를메일로받도록할수도있다. 37

40 제 2 장. 전문가기고문 3) 맺음말 지금까지살펴본내용이외에도지속적으로관심을갖고진행해야할사항들은많이있다. 이를테면 SIEM 이나로그관리솔루션을이용하여주요시스템에서발생하는이벤트를주기적으로모니터링할수있는체계가수립되어야하고, 데이터의백업은 2 차,3 차까지교차로진행하고각각의관리체계를서로다르게가져가는등많은권장항목들이있지만고객의데이터를서비스하는 IT 서비스업체라면앞에서언급한몇가지항목들은반드시인프라구성원칙에적용할것을당부하고싶다. 사실상타깃형공격은이미대상및대상주위를오랜기간동안깊이분석하여작은취약점부터찾아들어가기시작하기때문에방어가쉽지않고 ACL 등단순한방어체계로는대응에한계가있는것이사실이다. 따라서, 내부구간 이라고신뢰하지말고최소한위에서언급한방안들을하나씩적용해나가면 킬체인 의모든단계에서내부에침입한, 또는침입하려는공격자가에지서버에접속할수있는가능성을낮추고결국공격을방어함으로써안전한서비스를유지할수있게될것이다. 1 Reference 1. Hackers Exploit 'Zero-Day' Bugs For 10 Months On Average Before They're Exposed, Forbes, 38

41 2 국내방위산업체대상공격동향 안랩시큐리티대응센터 (ASEC) 분석팀박태환팀장 1) 요약 지난 2010 년부터본격화된국내외방위산업체에대한공격은현재까지꾸준히지속되고있다. 방위산업체는방위산업물자를생산하는업체로단순산업이아니라국가안보와도연관되어있어경쟁국혹은적대국의공격자들이방위산업체의정보를노릴가능성이높다. 국내방위산업체에대한공격도지속적으로확인되고있으며일부공격그룹은방위산업체뿐아니라국내정치, 외교분야에대해서도공격을가하고있다. 공격자는단순산업기밀탈취를넘어국가안보와관련된사항까지노리고있는것으로추정된다. 한편공격자들이특정국가의지원을받고있는지는확인되지않았다. 방위산업체공격사례를분석한결과, 공격자는주로스피어피싱 (Spear Phishing) 이메일을통한악성코드유포와워터링홀 (Watering-hole) 공격방식을사용하였으며국내업체공격의경우중앙관리시스템을해킹해악성코드를유포하기도했다 년이후국내에서는 4 개이상의공격그룹이활동한것으로확인된다. 또한일부그룹에서사용된악성코드와공격에사용된프로그램에서한글이사용된것을미뤄보아, 공격자중에는한국어사용자도존재할것으로추정된다. 일시공격대상공격그룹악성코드설명 제 2 장. 전문가기고문 2013년 9월 주로한국및일본. 한국의방위산업체, 정치, 외교부분등 아이스포그 (Icefog) 한국을노린공격의경우정상한글 (HWP) 파일을보여줘사용자를속임 2015년 11월서울 ADEX 참가업체레드닷 (Red Dot) 과고스트라이플 (Ghost Rifle) Escad, Rifdoor 문서파일을변조해취약점공격을하는형태와오피스내매크로기능을이용한형태로나뉨 2016 년 1 월 국내방위산업체 어나니머스팬텀 (Anonymous Phantom) Phandoor 등 2016 년 6 월 방위산업체와연관된대기업 고스트라이플 (Ghost Rifle) Ghostrat Rifdoor 등 [ 표 2-1] 주요국내방위산업체공격사건 자산관리프로그램취약점을이용한국내방위산업체연관대기업해킹. 해당공격그룹은 2015 년 11 월 ADEX 참관업체와 2016 년초보안업체해킹사건과도연관 방위산업체는산업스파이와적대적국가에서노리는대표적공격대상이다. 현재까지국내외방위산업체에대한다수의공격이발견된가운데, 본보고서에서는국내방위산업체를대상으로한공격사례를분석했다. 39

42 제 2 장. 전문가기고문 2) 현황 국내방위산업체를공격한그룹에서제작한악성코드종류별수는다음과같다. Icefog-NG 는 13 개, Escad A 형 66 개, Escad B 형 12 개, Escad C 형 17 개, Rifdoor 15 개, Phandoor 37 개이다. [ 그림 2-7] 국내방위산업체공격그룹의악성코드종류별수량 2013 년부터 2017 년 5 월까지발견된관련악성코드수는다음과같다. Icefog-NG Escad Rifdoor Phandoor 2013 년 년 년 년 년 5 월까지 3 [ 표 2-2] 년도별악성코드발견수 국내방위산업체를공격한주요그룹의활동기간은다음과같다. [ 그림 2-8] 주요공격그룹활동기간 40

43 주요공격그룹중하나인아이스포그 (Icefog) 그룹은적어도 2011 년부터활동을시작해 2013 년 10 월까지활동이확인되었다. 현재는활동이확인되지않는데악성코드를변경해서활동할가능성도있다. 이스캐드 (Escad) 악성코드를사용한레드닷 (Red Dot) 그룹은 2014 년 6 월부터 2016 년말까지활동했다. 하지만, 초기버전으로보이는악성코드는 2013 년에도발견되었다. 특히이그룹은 2014 년 11 월미국영화사공격에도연관된것으로보인다 년에는방위산업체뿐만아니라다른국내기업에대한공격도진행했다 년등장한고스트라이플 (Ghost Rifle) 그룹은라이프도어 (Rifdoor) 와고스트랫 (Ghostrat) 악성코드를주로사용했다. 레드닷 (Red Dot) 그룹과고스트라이플 (Ghost Rifle) 그룹은 2015 년가을국내방위산업체관련컨퍼런스인 ADEX((Seoul International Aerospace & Defense Exhibition) 참가업체에대한공격을가했다. 고스트라이플 (Ghost Rifle) 그룹은 2016 년초보안업체에대한공격과대기업해킹에도연루되었다고알려졌다 년초등장한어나니머스팬텀 (Anonymous Phantom) 그룹은 2016 년가을이후활동이뜸하다가 2017 년봄에너지관련연구소등에공격이확인되었다. 오퍼레이션레드닷 (Operation Red Dot) 에서사용된 Escad 악성코드의 C&C 서버국가별분포는다음과같다. 제 2 장. 전문가기고문 [ 그림 2-9] Escad C&C 서버국가별분포 총 57 개의 C&C 주소중미국이 14 곳으로가장많으며그다음은브라질 5 곳, 대만 5 곳이다. 아르헨티나, 벨기에, 볼리비아, 브라질, 중국, 체코, 프랑스, 독일, 인도, 인도네시아, 이란, 일본, 쿠웨이트, 멕시코, 파키스탄, 필리핀, 사우디아라비아, 슬로바키아, 스페인, 태국, 우크라이나등세계여러곳에 C&C 서버가존재한다. Escad 악성코드변형에서확인된 C&C 서버주소중한국은없지만 2015 년부터 2016 년까지발견된 Rifdoor 악성코드와 2016 년초부터활동을시작한 Phandoor 악성코드의 C&C 서버주소는대부분한국에위치했으며, 국내대학교시스템을주로이용하고있었다. 41

44 제 2 장. 전문가기고문 3) 공격방식 방위산업체에대한공격방식은다른표적공격과마찬가지로크게스피어피싱 (Spear Phishing) 이메일을통한악성코드유포, 워터링홀 (Watering-hole) 공격, 중앙관리시스템을이용한공격등 3 가지로나뉜다. 가. 스피어피싱 (Spear Phishing) 이메일 공격자는이메일수신자의정보를파악해첨부파일을열어보거나본문내용에포함된링크 (Link) 를누르도록유도한다. 메일의내용은주로업무나사회적으로관심을끄는내용이다. 일반적으로워드, 엑셀, 한글, PDF 등의문서에악성코드를포함시켜, 취약점이존재하는프로그램으로해당문서를열어볼경우취약점을악용해악성코드를감염시킨다. 하지만이처럼취약점을이용한공격방식은해당취약점이해결되면더이상사용할수없고, 패치가나오지않은제로데이 (Zeroday) 취약점을찾는것또한쉽지않다. 따라서공격자는취약점을이용하지않을경우에는실행파일을그대로첨부하는방식을사용한다. 하지만단순실행파일을첨부하는방식은사용자와보안시스템으로부터쉽게의심받을수있기때문에실행파일을문서파일로위장하여첨부파일을보내기도한다. 문서파일로위장하는파일형식으로는 EXE, LNK 파일이대표적이다. 예를들어사용자가 HWP 파일로위장한 LNK 파일을문서파일로착각하여열어보면특정주소로접속을유도해악성코드를다운로드한다. 나. 워터링홀 (Watering hole) 워터링홀 (Watering hole) 은공격자가특정웹사이트를해킹해취약점공격코드를숨겨두고사용자가취약한웹브라우저로접속할경우악성코드를감염시키는공격방식이다. 공격자는자신이원하는공격대상이자주방문할만한사이트를해킹한다. 일부의경우, 특정아이피주소 (IP Address) 에서접속한경우에만악성코드에감염되게하는방식으로더욱한정된대상만을노려, 공격시도를발견하기어렵게한다. 다. 중앙관리시스템 일반적으로회사에서사용하는컴퓨터는관리를위해특정관리시스템에연결되어있다 년국내보안업체와대기업해킹건은모두중앙관리시스템을해킹하여시스템에연결된컴퓨터에악성코드를배포하는방식을사용했다. 공격자는목표대상업체에서사용하는프로그램을미리분석한후해당프로그램의취약점을노려공격에이용하고있다. 42

45 4) 주요공격사례 보안업체와언론사를통해알려진방위산업체에대한주요공격은다음과같다. [ 그림 2-10] 주요방위산업체공격 일시공격대상공격그룹악성코드설명 2011 년 3 월 EMC RSA 와록히드마틴 2011 년 8 월 방산업체를포함한최소 71 개조직 Operation Shady 2011 년 9 월일본미쓰비시중공업 Hupigon EMC RSA 를해킹해 OTP 알고리즘을훔친후미국방산업체인록히드마틴사를해킹해군사정보유출 제 2 장. 전문가기고문 2011 년 10 월미국과영국방위산업체 The Nitro Attacks Poisonivy 화학, 방산분야공격 2012 년 1 월미국방위산업체 Sykipot Sykipot 미국첨단사업분야에전문공격그룹 2013 년 9 월 주로한국및일본. 한국의방위산업체, 정치, 외교부분등 2015 년 11 월서울 ADEX 참가업체 아이스포그 (The Icefog APT) 레드닷 (Red Dot) 과고스트라이플 (Ghost Rifle) Escad, Rifdoor 한국을노린공격의경우정상한글 (HWP) 파일을보여줘사용자를속임 문서파일을변조해취약점공격을하는형태와오피스내매크로기능을이용한형태로나뉨 2016 년 1 월국내방위산업체 어나니머스팬텀 (Anonymous Phantom) Phandoor 등 2016 년 6 월 방위산업체와연관된대기업 고스트라이플 (Ghost Rifle) Ghostrat Rifdoor 등 [ 표 2-3] 주요방위산업체공격사례 자산관리프로그램취약점을이용한국내방위산업체연관대기업해킹. 해당공격그룹은 2015 년 11 월 ADEX 참관업체와 2016 년초보안업체해킹사건과도연관 43

46 제 2 장. 전문가기고문 5) 국내공격사례 국내방위산업체에대한주요공격사례는다음과같다. 가. Icefog-NG 변형 2013년 9월러시아보안업체인카스퍼스키랩 (KasperskyLab) 에서아이스포그 (Icefog) 공격그룹에대한정보를공개했다. 3) 보고서에따르면해당그룹은 2011년부터공격을시작했으며한국과일본의정부기관, 그리고방위산업체가주공격대상이었다. 마이크로소프트오피스취약점 (CVE , CVE ), 자바취약점 (CVE , CVE ), HLP 취약점등이공격에이용되었으며국내공격대상에는한글프로그램의취약점도이용되었다. 공격에사용된악성코드중에는윈도우악성코드뿐만아니라맥악성코드도존재한다. 국내업체의경우자료가유출된정황도확인되었다. 안랩은국내방위산업체등에서해당그룹의악성코드변형을추가확인했다. 분석보고서에따르면마지막으로발견된변형은 Icefog-NG 다. 또한해당보고서에언급되지않은변형도국내방위산업체로부터접수되었다. Icefog-NG 는 2013 년 6 월 19 일최초발견되었으며 10 월까지 ( 제작은 8 월로추정 ) 총 13 개의변형이발견되었다. 국내에서발견된변형인 Icefog-NG 의경우방위산업체뿐아니라정치, 외교분야도공격대상으로포함되었다. Icefog-NG 는변형에따라다른 PDB 정보를가지고있다. PDB 정보 d:\jd\jd(regrun)\release\jd3(reg).pdb e:\jd4\myserver(regrun)\release\jd4(reg).pdb x:\jd(regrun)\release\jd3(reg).pdb [ 표 2-4] Icefog-NG PDB 정보 일부변형은악성코드가실행될때 %TMP%\~AA.tmp 의존재여부를검사한다. 만일존재하면자기자신을 %TMP%\hwp.hwp 로복사한다음 hwp.exe 를종료하고 hwp.hwp 을실행한다. 이는사용자에게정상 HWP 파일내용을보여줘감염사실을알지못하게하기위함으로보인다. 변형별로접속하는 C&C 서버의주소를분석한결과 nprottct.com, boanews.net, hauurri.com 등과같이국내보안사이트와유사한주소가확인되는것으로보아해당샘플은국내를목표로했을가능성이높다. 현재까지안랩에서는이들변형중최소 3 개가국내공격에이용되었음을확인했지만확인되지않은공격대상이더있었을것으로보인다. 이처럼 HWP 한글파일을보여주는기능과국내사이트와유사한 C&C 서버주소를사용한것으로보아 Icefog-NG 는국내를노린악성코드로추정된다. Icefog 공격그룹은 2013 년 10 월이후현재까지활동이확인되지않고있다. 활동이중단된시기는보고서발표시기와비슷하며이들이활동을중단했는지악성코드를변경해새롭게활동하고있는지는확인되지않고있다. 3) 44

47 나. 오퍼레이션레드닷 (Operation Red Dot) 오퍼레이션레드닷은 2014 년봄부터 2017 년 2 월까지계속된공격으로 2014 년말미국영화사해킹과연계된것으로보인다. 안랩은 100 여개의관련 Escad 악성코드변형을발견했으며초기버전으로추정되는변형은 2013 년부터발견되었다 년부터는미국영화사뿐만아니라대북사이트, 방위산업체등에대한공격도확인되었다. 발견된변형사이에는코드유사성을포함해 AbodeArm.exe, msnconf.exe 등과같은파일명에도상당한공통점이존재했다. 국내기관에대한공격은 2014 년 11 월미국영화사해킹이후 2015 년봄부터확인되었다. [ 그림 2-11] 2015 년공격메일첨부파일내용 또한국내방위산업체에대한공격은 2015 년가을부터본격화됐다 년 10 월국내방위산업체를목표로한공격은특정학회를사칭한스피어피싱공격이었다. 제 2 장. 전문가기고문 [ 그림 2-12] 스피어피싱메일 메일에첨부된초청장.hwp 파일을열면한글워드프로세스취약점을이용한백도어 (Backdoor) 가사용자컴퓨터에설치된다 년 11 월에는 서울에어쇼에서전시된 10 대명품무기입니다 라는제목으로전시회참가업체들에게한글문서를첨부한메일을발송했다. 첨부된한글문서를실행하면마찬가지로한글워드프로세스취약점을공격해사용자 PC 를 Escad 악성코드에감염시킨다. 45

48 제 2 장. 전문가기고문 2016 년부터는공격대상이확대되어호스팅업체, 대기업, 언론사등에대해서도공격을수행하였으며악성코드도좀더다양화되었으며윈도우제로데이취약점을이용한공격도진행했다. 최종적으로 2017 년 2 월까지공격이확인되었지만현재까지도공격을지속하고있을가능성이높다. <Escad 악성코드변형 > Escad 악성코드는다수의변형이존재하며 2014 년미국영화사미국영화사공격에사용된악성코드는 Escad A 형과연관된것으로보인다 년에도문자열처리에비슷한코드를사용하는악성코드가발견되었지만연관가능성이있는지판단하기는힘들다 년 5 월에발견된초기버전은 2014 년 11 월미국영화사공격에사용된파일과동일한방식으로 API 를구한다. 차이점은초기버전의파일은상위드롭퍼에의해서비스로등록되어동작한다는점이다. [ 그림 2-13] 2014 년 5 월발견된초기버전 미국영화사공격에사용된악성코드와유사한형태의변형은 2014 년 7 월이후부터발견된다. [ 그림 2-14] 국내발견변형과미국영화사공격샘플비교 46

49 앞서언급된바와같이 Escad 악성코드변형은크게 A 형, B 형, C 형으로나뉜다. 최초기준이된 A 형의주요특징은메인코드에서 2 개의 IP 를설정하는것, XOR 0xA7 을이용하여 DLL 파일의이름을구하는것, 그리고사용할 API 의실제사용을위해서는모두 (space) 와. (dot) 을제거해야한다는점등이있다. 그후백도어명령을받을때는자체디코드루틴을사용하였다. B 형은메인코드에서 2 개의 IP 를설정하는것은동일하나코드형태가변화하였다. DLL 파일의이름과사용할 API 를구할때 (space) 와. (dot) 을제거하는것이아닌 1byte XOR 을통해구하는것으로변경되었다. C 형은서비스로동작하며 A 형, B 형과마찬가지로 2 개의 IP 가설정된다. DLL 파일의이름과사용할 API, 백도어명령어까지자체디코드루틴을사용하여구한다. 백도어코드는 A 형과동일하다 년발견된변형은파일길이가 50 메가바이트 (MB) 가넘는경우도있다. 또한암호화된파일이나리소스영역의메모리에서만동작하는새로운형태의백도어도발견되었다. 제 2 장. 전문가기고문 [ 그림 2-15] Escad 악성코드변형관계도 [ 그림 2-15] 의관계도에서붉은색글씨는변경된부분을의미하고, 회색글씨는사라진방식을의미한다. Type 악성코드 API 구하는방법 A 형미국영화사공격 API 주소에. 이존재 B 형 한글취약점을통해유포 API 주소에서. 가사라지고 XORING 으로변경 (XOR 키는변형마다다름 ) C형 국내정치권공격 자체 Decode 루틴사용 [ 표 2-5] 변형해쉬, API 구하는방법의특징 47

50 제 2 장. 전문가기고문 A 형메인코드 B 형메인코드 [ 표 2-6] A 형과 B 형의메인코드비교 Escad 악성코드변형이감염시스템에서사용한파일은공격대상이해당파일을실행할수있도록주소록, 송금증, 초대장등의문서파일로파일명을위장하고있다. 다. 오퍼레이션고스트라이플 (Operation Ghost Rifle) 오퍼레이션고스트라이플을진행한공격그룹은주로방위산업체를노렸다. 해당그룹은 2016 년초국내보안업체, 2016 년 6 월대기업전산망해킹등에도연관된것으로알려져있다. 방위산업체에대한공격은지속적으로발생하고있으며특히국내업체에는국내환경에맞춘공격이이뤄졌다 년가을, 서울국제항공우주및방위산업전시회 (Seoul International Aerospace & Defence Exibition, ADEX) 참가업체에대한공격이있었다. ADEX 는 1996 년부터격년으로열리는국제방위산업전시회다. 공격자는주최측으로위장하여취약점이포함된한글파일이나악성매크로를포함한엑셀, 워드문서를메일에첨부하는공격방식을사용했다. 메일에첨부된문서는행사관련내용이며첨부파일실행시사용자가 콘텐츠사용 을선택하면악성코드를다운로드한다. 48

51 [ 그림 2-16] ADEX 참가업체공격메일 2015 년 ADEX 참관업체에대한공격에최소 2 개이상의공격그룹이참여했으며한글프로그램취약점파일의경우 Escad 악성코드변형도포함되어있었다. 워드나엑셀파일의경우에는사용자가매크로를실행하면 Rifdoor 악성코드변형에감염된다. 또한동일공격그룹이국내보안업체의 DRM 프로그램으로위장한악성코드를배포한정황도포착되었다 년 1 월국내보안업체공격에사용된변형은주요문자열이암호화되어있다. 제 2 장. 전문가기고문 [ 그림 2-17] 0x0F 로암호화된문자열 2016 년 6 월에는자산관리솔루션을이용한방위산업체관련대기업해킹사건이경찰청에접수되었다. 자산관리솔루션의취약점을이용한것으로파일배포기능을통해악성코드를배포하여대기업해킹을시도한사건이다. 해당공격으로인해설치된고스트랫 (GhostRat) 악성코드로약 4 만여건의문서가유출된것으로확인되었다. 49

52 제 2 장. 전문가기고문 [ 그림 2-18] 중앙관리시스템취약점을이용한악성코드관계도 사건개요를정리하면다음과같다. 특히사건이발생하기 4 년전인 2012 년, 자산관리프로그램취약점테스트정황이확인되고 2014 년 7 월부터해킹을시도한것으로보아공격자는해당대기업에대한공격을장기간준비했음을예상할수있다. 2012년 7월 자산관리프로그램취약점테스트정황 2014년 7월 자산관리프로그램취약점이용한대기업해킹시도시작 2015년 3월 자산관리프로그램을통해백도어프로그램을담은 V3PScan.exe 배포 2015년 11월 모보안프로그램가장악성코드배포 2016년 2월 경찰청사이버안전국관련첩보입수해수사 2016년 3월 자산관리프로그램보안패치발표 2016년 4월 관련정보관계사, 관련당국에공유 [ 표 2-7] 대기업해킹사건타임라인 2012년 7월취약점테스트로추정되는코드에서발견된 PDB 정보는다음과같다. c:\new folder\connecttest\release\connecttest.pdb [ 표 2-8] 취약점테스트추정코드에서발견된 PDB 정보 2015 년 3 월자산관리프로그램을통해실행파일인 V3PScan.exe 를배포할때사용한코드의내용은다음과같다. [ 그림 2-19] 자산관리프로그램을이용한실행파일배포 50

53 Rifdoor 악성코드변형에따른 PDB 정보는다음과같다. < 추가악성코드 > PDB 정보 C:\Users\C8\Desktop\rifle\Release\rifle.pdb E:\Data\My Projects\Troy Source Code\tcp1st\rifle\Release\rifle.pdb [ 표 2-9] Rifdoor 악성코드변형에따른 PDB 정보 오퍼레이션고스트라이플을수행한해당공격그룹은자체제작한 Rifdoor 악성코드이외에도 Ghostrat, Aryan 등이미알려진다른악성코드도이용하고있다. Aryan 악성코드는 Fuck Hack Hound. 와같은특징적문자열을포함하고있다. [ 그림 2-20] 특징적문자열 Aryan 악성코드해킹툴관리프로그램도존재한다. 제 2 장. 전문가기고문 [ 그림 2-21] 해킹툴관리프로그램 또한해당그룹은 Crash.exe, Test.exe 라는이름으로매년 8 월이후 PC 의하드디스크내용을파괴하도록설계된악성코드를제작했다. 하지만, 실제공격에사용되었는지는확인할수없다. 51

54 제 2 장. 전문가기고문 라. 오퍼레이션어나니머스팬텀 (Operation Anonymous Phantom) 2016 년 1 월부터 10 월까지유사악성코드를이용한국내방위산업체에대한공격이확인되었다. 초기공격에사용된파일이름은 Phantom( 유령 ).exe 이며, 악성코드진단명은 Phandoor 이다. 또한통신을할때익명을의미하는 Anonymous 문자열을사용하는것이확인되었다. 안랩은공격에사용된파일이름과통신시사용하는문자열을토대로해당공격을 어나니머스팬텀 (Operation Anonymous Phantom) 으로명명했다. 해당악성코드는 2016 년 1 월최초발견되었지만 2015 년 10 월처음제작된것으로추정된다. 국내방위산업체몇곳이공격대상으로확인된것으로미뤄보아방위산업체를노린공격으로추정된다. 정확한공격방식은확인되지않았다. 현재까지총 37 개의변형이발견되었으며파일의크기는 76,800 바이트에서 95,232 바이트사이다. Phantom.exe 외 F_lps.exe, ahnv3.exe, 12teimong12.exe, Tiemong.exe, v3scan.exe, otuser.exe, v3log.exe 등의파일이름으로도발견되었다. 최근에는 2017 년 4 월더미다 (Themida) 패커로패킹된변형이국내에너지관련연구소에서발견되었으며 2017 년 5 월에는특징적인 Anonymous 문자열이제거된변형도발견되는등현재까지꾸준히활동중이다. < 추가악성코드 > 어나니머스팬텀공격그룹에서사용한 Phandoor 컨트롤프로그램화면은다음과같다. [ 그림 2-22] Phandoor 컨트롤프로그램 중계서버역할을하는것으로보이는 Transponder.exe 도발견되었으며, 변형에따라 443 번, 6000 번, 번포트를 LISTENING 상태로열어둔다. 52

55 6) 국내공격자특징 국내방위산업체에대한공격은여러그룹에의해이뤄졌다. 국내방위산업체를공격대상으로한레드닷 (Red Dot) 그룹, 고스트라이플 (Ghost Rifle) 그룹, 어나니머스팬텀 (Anonymous Phantom) 그룹에서사용한코드와암호화방식의유사성으로미루어볼때이들그룹이동일그룹혹은협력그룹일가능성이있다. 한편국내공격에사용된악성코드를추적해보면다른악성코드도연관되어발견되고있다. 가. 공격그룹연관성 국내방위산업체에대한공격을시도한그룹은다수존재한다 년알려진아이스포그 (Icefog) 그룹은중국그룹으로추정되고있다 년국내방위산업체를공격한레드닷 (Red Dot) 그룹은 2014 년미국영화사를공격한그룹과동일그룹으로보인다. 레드닷 (Red Dot) 그룹과함께 2015 년 ADEX 참가업체공격을시작으로국내방위산업체를공격한고스트라이플 (Ghost Rifle) 그룹은 2016 년국내대기업해킹으로유명해졌다. 어나니머스팬텀 (Anonymous Phantom) 그룹은 2016 년초부터활동을시작하는데기존악성코드와코드에서유사점이있다. Dllbot 은 2007 년부터국내군관련해킹에이용된악성코드다. Dllbot 은여러변형이발견되는데 2012 년에발견된변형에서는문자열에서 S^ 를제거하는코드를포함하는특징이발견되었다. 같은해 Dllbot 의변형인 Xwdoor 에서도동일코드가발견되었다 년발견된 Phandoor 는 Dllbot 와 Xwdoor 와는전반적인코드는다르지만 S^ 를처리하는코드는유사하다. 제 2 장. 전문가기고문 [ 그림 2-23] 공격그룹관계도 Phandoor 변형에서발견된문자열앞에붙어있는 S^ 의경우 2012 년에발견된국내표적공격악성코드에서도발견되었다. 53

56 제 2 장. 전문가기고문 [ 그림 2-24] 2012 년발견된 S^ 를포함한악성코드 Dllbot 주요문자열앞에붙은 S^ 뿐아니라문자열에서 S^ 를제거하는코드또한유사하다. 즉, 동일공격자나관련소스코드를이용해서악성코드를만들고있는것으로추정된다. [ 그림 2-25] S^ 를처리하는유사변환코드 Phandoor 와 Rifdoor 악성코드는유사한암호화방식을사용하고있다. 54

57 [ 그림 2-26] Rifdoor 와 Phandoor 의암호화코드 결론적으로국내방위산업체를공격대상으로한레드닷 (Red Dot) 그룹, 고스트라이플 (Ghost Rifle) 그룹, 어나니머스팬텀 (Anonymous Phantom) 그룹의연관성은명백하지않지만, 코드와암호화방식의유사성으로미루어볼때이들그룹이동일그룹혹은협력그룹일가능성이있다. 7) 결론 제 2 장. 전문가기고문 안랩을포함한국내외보안업체들이분석한바와같이 2011 년이후세계적으로방위산업체에대한공격은더욱고도화되고있다. 방위산업체는국가안보와도밀접하게연관되어있기때문에앞으로도경쟁국, 적대국의공격자들이방위산업체에대한공격을더욱확대할것으로보인다. 국내방위산업체에대한공격또한지속적으로보고되고있다. 특히일부공격그룹은국내방위산업체뿐아니라정치, 외교분야에대한공격도함께진행하고있는것으로보아산업스파이가아닌경쟁국, 적대국의첩보가능성이높다. 이와같은국내방위산업체에대한공격은단순산업기밀유출을넘어국가안보에대한위협이야기되는만큼더욱강력한보안대책과관리를통한예방이필수적이다. 55

58 2017 년 2 분기사이버위협동향보고서

59 제 3 장. 글로벌사이버위협동향

60 제 3 장. 글로벌사이버위협동향 3 장에서는 2017 년 2 분기에발간된해외주요보안업체들의사이버위협동향보고서를살펴본다. < 2 분기글로벌사이버위협보고서 > 1. 시만텍, ISTR(Internet Security Threat Report) 22, 카스퍼스키, DDOS attacks in Q1 2017, 시만텍社, ISTR(Internet Security Threat Report) 22 시만텍은 2016 년주요사이버위협에대한분석을담은인터넷보안위협보고서 (ISTR) 22 호를 4 월에발표하였다. 이보고서에는표적공격, 이메일을통한공격, 웹공격및익스플로잇킷, 사이버범죄, 랜섬웨어, IoT 와모바일및클라우드등 6 개항목에대한주요트랜드분석과세부적인사례들을담고있다. 1) 표적공격 : 정치적목적, 사보타주, 자력형공격 2016년발생한표적공격들의주요특징은다음과같다. 산업스파이목적의공격이감소한대신, 정치적목적으로자신들의존재감을과시하는유형증가 Shamoon과같은디스크삭제악성코드등파괴적성향의악성코드증가 제로데이취약점을이용한공격은감소하고일반적으로악용가능한수단을사용하는자력형 4) 공격증가 2016 년의표적공격은정치적영향력행사를목적으로공공연하게이루어졌다. 지난미국대선과정에서민주당측에가해진해킹공격으로선거에영향을미친사건이대표적인사례다. [ 그림 3-1] 2016 년미국대선과정에서발견된공격타임라인 4) 원문표현은 living off the land 58

61 우크라이나에서는디스크삭제악성코드공격을시작으로사보타주성격의표적공격이활개를쳤다. 사우디아라비아에서는 2012 년이후 5 년만에 Shamoon 악성코드공격이두차례발생했다. 이공격은목표로삼은기관에서사용중인컴퓨터의마스터부트레코드 (MBR) 를삭제한후불타는성조기이미지를남겼던과거공격처럼, 2015 년지중해해안에서시신으로발견된 3 살시리아내전난민아일란쿠르디의사진을남기는등자신들의정치적동기를드러냈다. 또한기존제로데이취약점이나악성코드툴킷을사용하는대신운영체제구성요소, 합법적인툴, 클라우드서비스를활용하여탐지를회피하는자력형공격이대세로등장했다. 보고에따르면시만텍 Blue Coat 악성코드분석샌드박스를통해검출된윈도우파워쉘스크립트의 95% 가악성코드인것으로나타났다. 2) 이메일을통한공격 : 악성코드, 스팸, 피싱 미국대선중발생한해킹사건이나 Shamoon 공격과같은표적공격에는이메일또는 Necurs 봇넷처럼대량의스팸발송을통한악성코드전파방식이사용됐다. 이를통해이메일이일반사용자나기관들의보안을위협하는중요한요소임을확인할수있었다. [ 그림 3-2] 2016 년이메일악성코드검출추이 위그림에서 4 월과 6 월에이메일악성코드검출이감소한원인은사법기관의사이버범죄그룹검거에따른것으로풀이된다. Shamoon 공격에서사용된자력형공격방식은다음의순서로이루어졌다. 목표로삼은기관의일부근무자들에게 MS word나 Excel파일, 혹은그런파일을다운받을수있는악성링크가첨부된스피어피싱이메일발송 파일이열리면매크로가파워쉘스크립트를실행하여공격자가컴퓨터를원격조정할수있게되며, 만약컴퓨터가인터넷에연결되어있을경우악성코드 (Backdoor.Mhretriev) 설치 위의백도어를통한정찰작업후컴퓨터에 Shamoon(W32.Disttrack.B) 을설치하여특정시점에디스크삭제작업명령수행 제 3 장. 글로벌사이버위협동향 59

62 제 3 장. 글로벌사이버위협동향 이메일을통한악성코드유포는꾸준히증가하고있다. 전체발송이메일의 53% 가스팸메일이며이들중의상당수에는악성코드가포함되어있다 년통계에의하면이메일 131 건당 1 건에악성코드가포함된것으로나타났다. 스팸을이용한대량메일링은주로 Locky, Dridex, 그리고 TeslaCrypt 를확산시키는데많이사용되었으며, Necurs 봇넷이배포과정에서가장주요한수단으로사용되었다. 지난몇년간피싱메일은감소하고있는추세이며 2016 년에도동일하였다. 그러나앞서언급한미국민주당선거대책본부장이메일해킹사건처럼특정타깃을대상으로한스피어피싱공격은여전히증가하고있다. [ 그림 3-3] 2016 년피싱메일검출추이 스피어피싱의일종인업무송금유도이메일사기 (BEC scam) 역시증가하고있다. 주로 CEO 나기업대표들에게가짜이메일을보내금전적대가를요구하는방식이다. 지난 3 년간전세계적으로약 22,000 개의기업에서빼낸금액은 30 억달러에이르며, 매일 400 개이상의기업이표적이되고있다. 대다수의이메일공격그룹들은최종적으로랜섬을요구하는페이로드를설치하기위해선제적다운로드가이루어지도록하는방식을사용한다 년초반에는악성매크로가포함된오피스문서를스팸메일에첨부하는경우가많았으나하반기에는자바스크립트다운로더방식도많이사용됐다. 하지만오피스문서다운로드방식도완전히없어지지는않을것이라예상되고있다. 아래그림에서회색실선은오피스문서다운로더, 노란색실선은자바스크립트다운로더의검출추이를나타낸다. [ 그림 3-4] 오피스, 자바스크립트다운로더검출추이 60

63 3) 웹공격, 툴킷그리고온라인취약점익스플로잇 이메일을활용한공격이늘면서웹공격, 익스플로잇킷에의한공격빈도는모두현저히감소했다. 웹공격은전년도대비 32% 가감소했고가장유명세를떨쳤던 Angler 익스플로잇킷관계자들이체포되면서익스플로잇킷을이용한공격도큰폭으로줄었다. 그럼에도불구하고 2016 년에도매일약 229,000 건의웹공격이탐지되었으며 Angler 가사라진자리를대신해 RIG 익스플로잇킷이 2016 년하반기를석권하며 2016 년 12 월에만전체공격의 35% 를차지했다. [ 그림 3-5] 2016 년탐지된월별웹공격횟수추이 2016 년한해동안하루평균 2.4 건의브라우저취약점이발견되었으며이는전년대비소폭하락하였다. 브라우저취약점수가감소한원인은마이크로소프트社의경우작년에새로운버전의익스플로러가발표되지않았고, 윈도우 10 이용자들은보안이한층강화된 Edge 를사용하기때문이었다. 또한 2015 년제로데이취약점의폭발적증가로인한비정상적인상승세가진정되면서다른제조사들의취약점수도평균으로회귀한측면이있다. 게다가 bug bounty 프로그램의증가로많은브라우저취약점이탐지및패치된것도원인이다. 제 3 장. 글로벌사이버위협동향 [ 그림 3-6] 브라우저취약점발견수추이 61

64 제 3 장. 글로벌사이버위협동향 4) 사이버범죄 전통적으로악성코드를배포하는대량판매형사이버범죄는방어노력에도불구하고여전히강세이다. 이들은자바스크립트다운로더나오피스파일의악성매크로를이용하여공격을가하며, 이로인해 2016 년 700 만건의악성코드감염이발생했다. [ 그림 3-7] 2016 년감염이탐지된악성코드 Top10 Necurs 봇넷은 2016 년에악성코드배포에가장많이사용되었으며자바스크립트, VBS, 오피스매크로다운로더를대량의이메일로발송하여악성코드를배포했다. [ 그림 3-8] Necurs 봇넷에서배포한파일유형점유율 62

65 온라인뱅킹등을노리는금융악성코드는사이버범죄의큰부분을차지해왔다. 최근들어관계자들의체포와랜섬웨어열풍으로주춤하고있으나 Ramnit(w32.Ramnit) 의경우 2016 년다시등장하여 1 년내내높은빈도로탐지되었다. 보고에따르면 Ramnit 은주로영국에서이메일을통해유포되며, 자가복제를통한일종의변종을만들어내며널리퍼졌다. [ 그림 3-9] 2016 년금융악성코드감염수 Top10 무차별대량사이버공격이지배적이었던과거와달리 2016 년에는보다정교하고지능적인표적공격이관측되었다. 전통적인온라인금융위협이감소하고국제금융시스템의내부업무를노리는사이버공격이아래와같이두개의공격그룹에의해발생했다. 첫번째사례는 2016 년방글라데시중앙은행의스위프트인증정보시스템을공격해약 8100 만달러를탈취한사건으로, 은행을겨냥한사이버공격중가장대담한시도였다. 공격자들은방글라데시은행의보안취약점을이용해스위프트인증권한을얻은후사기거래를감행했다. 스위프트시스템에대한고도의지식과기술을갖춘이공격은특정국가, 즉북한이배후로알려진해커그룹라자루스의소행으로지목되기도했다. 시만텍은이공격에사용된악성코드 (Trojan.Banswift) 를분석한결과, 그동안라자루스가사용한해킹툴과코드가사용됐음을확인했으며, 2017 년에도라자루스가계속해서금융기관들을위협할것이라전망했다. 두번째사례는 Trojan.Odinaff 가사용된금융기관공격으로, 2016 년전세계적으로탐지되었다. 전문범죄조직에의해정교하게이루어진이공격또한스위프트이용자들을겨냥했다. Banswift 공격과의연관성은찾지못했으나, 시만텍조사에따르면 Odinaff 를사용한캠페인은은행, 증권, 트레이딩및급여지급분야에집중됐다. 한편 Odinaff 공격에사용된툴은 2013 년이래금융공격을계속해온악명높은 Cabanak 그룹의특징들을가지고있다. 제 3 장. 글로벌사이버위협동향 63

66 제 3 장. 글로벌사이버위협동향 그룹간의인프라공유는이례적인일이지만, Odinaff 가 Cabanak 의산하에있다기보다느슨한협력관계에가깝다고추정중이다 년에는많은공격자들이기존의툴과기술을이용하는쪽으로노선을바꿨지만, Odinaff 와 Banswift 사례는여전히대량의금전적이익을위해고도로정교한사이버범죄를수행하는공격그룹들이있음을보여준다. 사이버범죄에의한데이터유출은 2016 년에도꾸준히발생하고있다. 가장이슈가된유출사고는야후에서 10 억건의사용자계정이유출된것이밝혀진사례였으며, 또한국가주도공격에의한결과임이확인되기도하였다. 5) 랜섬웨어 : 기업과소비자를갈취하다 [ 그림 3-10] 지난 3 년간의데이터유출사고수추이 2016 년한해발생한사이버범죄중에서도랜섬웨어는특유의파괴력과확산성으로인해기업과소비자모두에게가장위협적인존재였다. 일평균탐지된랜섬웨어수는전년도대비 36% 나늘어난 1,271 건이었으며, 랜섬웨어로인한피해액수도 266% 폭증해평균 1,077 달러를기록했다. 새롭게등장한랜섬웨어는전년도대비 3 배가늘어나공격자들사이에서가장인기있는수단임이증명됐다. [ 그림 3-11] 최근 3 년간의새로운랜섬웨어발견수 64

67 반면랜섬웨어변종의수는줄어들고있는데이는공격자들이추적을피하기위해기존랜섬웨어를수정하는노력을기울이기보다, 완성도높은새랜섬웨어사용을선호했기때문이다. [ 그림 3-12] 최근 3 년간의랜섬웨어변종발견추이 제 3 장. 글로벌사이버위협동향 65

68 제 3 장. 글로벌사이버위협동향 랜섬웨어의감염경로는여러가지가있으나스팸이메일이가장보편적이며, 2016 년가장널리사용된 Locky(Ransom.Locky) 가이방식을따랐다. 매일수백만건의스팸메일이발송되고봇넷을통해네트워크로연결된수백만대의컴퓨터가감염된다. 대부분의경우영수증이나운송장으로위장된첨부파일로피해자의클릭을유도하는소셜엔지니어링수법을사용했다. 아래그림은주요 3 종랜섬웨어의감염경로를비교한것이다. [ 그림 3-13] 주요 3 종랜섬웨어의감염경로비교 66

69 가장흔한감염경로는자바스크립트다운로더나악성매크로등이숨겨진첨부파일실행, 또는익스플로잇킷공격에의한것이다. 특히사용자가소프트웨어업데이트나패치를하지않으면익스플로잇킷을이용한제로데이취약점공격에가장쉽게노출된다. 시만텍은 2016 년말, 하루 388,000 건의익스플로잇킷공격을막아내기도했다. 스팸메일과익스플로잇킷이랜섬웨어의주요감염경로이지만, 아래와같은다른방식들도존재한다. 2 차감염 : 이미감염된컴퓨터를이용하여랜섬웨어를포함한더많은악성코드를다운받게함 브루트포스패스워드공격 : 서버프로그램접근권한을얻기위해무차별적으로패스워드입력 서버취약점익스플로잇 : 기관네트워크에침입하기위해취약점이있는소프트웨어를목표로삼음. SamSam 랜섬웨어가대표적임 자기복제 : 암호화실행전에스스로를복제하여드라이브전체를감염시켜다른컴퓨터로확산시킴 써드파티앱스토어 : 몇몇모바일랜섬웨어는검증되지않은써드파티앱스토어를통해확산됨 6) 새로운기술과영역 : 플랫폼, IoT, 모바일, 클라우드 지금까지의랜섬웨어공격은무차별적인대규모공격이많았지만공격자들이기관들에대한표적공격에점차흥미를느끼고있다는것은명백하다. 표적공격은상대적으로대량이메일발송공격에비해그수는적지만, 영향을받게되는기관은잠재적으로수백대의컴퓨터가암호화될수있는치명적인위험이있다. 또한기존랜섬웨어가윈도우환경에집중했던것과달리최근엔안드로이드환경을노리는랜섬웨어들이늘어나고있으며, 모바일뿐아니라스마트 TV 도위협대상이되고있다. 많은랜섬웨어변종들이자바스크립트를기반으로만들어지고있어여러플랫폼을감염시킬수도있다. 일례로 2016 년하반기시만텍 IoT 허니팟에가해진 IoT 공격횟수는두배로폭증해시간당 8.8 개의고유 IP 로부터공격이들어왔다. 미라이봇넷활동이절정에다다랐던시기에는 2 분에한번꼴로공격이가해졌다. IoT 기기는 2016 년발생한최악의 DDoS 사태의타깃이되기도했는데, 프랑스호스팅회사 OVH 는미라이봇넷을사용한 DDoS 공격으로최고 1Tbps 라는기록적인트래픽공격을당했다. 가정용공유기와 DVR 등의 IoT 기기들이봇넷공격의표적이되는이유는, 기기제조사들이편의를이유로사용자들이변경할수없는관리자지정패스워드나오픈포트를사용하고자동펌웨어등의방법으로취약점을패치할수없게만들었기때문이다. 또한내장된소프트웨어에대한사후지원에도무관심하여펌웨어업데이트자체를지원하는경우가드물다. 제 3 장. 글로벌사이버위협동향 [ 그림 3-14] 허니팟검출패스워드공격에서사용된디폴트패스워드비율 67

70 제 3 장. 글로벌사이버위협동향 지난해 10 월 21 일에발생한 DNS 제공업체 Dyn 에대한대규모공격으로미라이봇넷은언론의주목을받았으며봇넷공격으로주요웹사이트들이얼마나쉽게무너질수있는지를보여주었다. 미라이는공장출고시기본설정된아이디나패스워드를사용하는 IoT 기기들을끊임없이탐색하여악성코드로감염시키며, 감염된기기들은 DDoS 공격에사용가능한봇으로바뀐다. 미라이의소스코드는 9 월말 Hackforums 에 Anna-senpai 아이디를사용하는유저가공개하였고, 이로인해다른미라이변종들도발생했다. [ 그림 3-15] 미라이사태타임라인 11 월말독일에서발견된미라이변종은약 1 백만대의가정용컴퓨터를감염시켰으며, CPE WAN 관리프로토콜취약점을익스플로잇하여 TCP port 7547 를통해원격으로액세스할수있는여러라우터들을공격했다. 이러한변종들은소스코드가공개된지채 2 달이되지않아서발생한것으로보이지만, 지금까지발견된변종들이빙산의일각에불과할가능성이높다. 위와같은공격을예방하기위해서는 IoT 기기구매전에다음과같은항목에대한보안기능들을점검해야한다. 내장된관리자암호대신어렵고보안성높은 ID와 Wi-Fi 패스워드를사용하고 이나 Password 같은비밀번호사용금지 Telnet 로그인을해제하고가능하면 SSH를사용 출고시설정된개인계정및보안세팅을변경하고, 기본으로탑재된서비스기능중필요하지않은것들을해제 되도록무선보다유선인터넷을사용하고수시로제조사홈페이지펌웨어업데이트확인 안드로이드운영체제는여전히주요공격대상이되고있으나안드로이드아키텍처의보안성향상으로모바일감염의증가추세는점차둔화되고있다 년안드로이드악성앱은전년대비 105% 나늘어났으나, 2015 년에전년대비 152% 증가했던것에비하면증가세가줄어들었다. [ 그림 3-16] 최근 3 년간모바일감염수추이 68

71 모바일플랫폼상에서의안드로이드취약점점유율은 2016 년에전년도에비해큰폭으로증가했다. 아래그림에서볼수있듯이전년도에 ios 취약점이대부분을차지했던것에비해, 2016 년에는 ios 플랫폼의취약점보다안드로이드취약점이더많이발견되고있다. [ 그림 3-17] 최근 3 년간모바일플랫폼취약점수분포추이 이러한취약점들을방어하기위해안드로이드는계속해서아키텍처를수정하여보안성을강화하고있다 년안드로이드 4.0 Jelly Bean 통합으로당시만연했던프리미엄 SMS 트로이목마를약화시켰고, 이에앞서 2011 년안드로이드 3.1 Honycomb 때는자동시작제한기능으로몰래설치된트로이목마들이자동실행되는것을차단했다. 안드로이드 5.0 Lollipop 과 6.0 Marshmallow 가출시되면서모바일뱅킹악성코드배포를더어렵게만들었고, Marshmallow 버전에서는특히랜섬웨어를막기위한조치도시행됐다. 클라우드애플리케이션의광범위한확산과더불어위험요소가다분한사용자들의행위가결합되면, 회사가인식하지못하는사이클라우드기반공격은더확대될수있다 년말, 대기업들은평균적으로 928 개의클라우드앱을사용하고있었으며이전년도에는 841 개였다. 그러나대부분의 CIO( 최고정보관리책임자 ) 들은자신들이고작 30~40 개의클라우드앱을사용중이라고생각하고있다 년 1,2 분기에가장많이사용된클라우드앱은협동작업분야에서는 Office365, SW 개발분야에서는 Salesforce 와 GitHub, 소비자분야에서는 Facebook 이었다. 모든기기들을온라인에연결시키는것이유행인상황에서보안문제는종종뒷전으로밀려난다. Spiral Toys' CloudPets 는인터넷을통해녹음된메시지를부모와아이가주고받을수있게만든아동용장난감이었다. 그러나 Troy Hunt 의연구원은이장난감제조사가보호되지않은 MongoDB 에고객들의데이터를보관하고있는것을발견했다. 80 만명이넘는사람들의고객정보인이메일, 패스워드, 그리고 200 만개가넘는메시지들이노출되었으며, 심지어고객데이터에보안해싱기능인 bcrypt 를사용했지만대다수의패스워드가취약하여쉽게해독이가능했다. 이사례는 IoT 와클라우드의결합이얼마나위험할수있는지를보여준다. 많은 IoT 장치가개인정보를수집하여클라우드에저장하고있으며, 위의사례와같이데이터베이스가적절히보호되지않으면고객개인정보가위험에빠질수있다. 2 Reference 제 3 장. 글로벌사이버위협동향 1. Symantec, ISTR 22,

72 제 3 장. 글로벌사이버위협동향 2 카스퍼스키社, DDOS attacks in Q 카스퍼스키랩이발표한 2017 년 1 분기 DDoS 공격동향보고서에는한국과관련된통계수치가매우높은것이특징이다. 또한 2016 년말미라이로인한 IoT 봇넷활성화이후 DDoS 공격이일상화된점과공격유형이복잡해진점, 윈도우봇넷사용량이증가한점도눈여겨볼부분이다. 1) 분기동향 최근 5 년간의분석결과일반적으로연초에는 DDoS 공격이둔화되었던것과달리 2017 년 1 분기에는 2016 년 1 분기에비해공격이더많이발생하여 DDoS 공격의전체수가증가하고있다. 2017년 1분기의 DDoS공격은다음과같은주요특징을나타내고있다. 단일한서버증폭공격대신증폭없이채널에과부화를주는공격 ( 스푸핑된 IP 주소사용 ) 이지속적으로사용되어증폭공격은효과적이지않은과거의공격방식이되어가고있음 암호화기반공격의수가증가했으며이는작년의예측및현재추세와일치하나아직까지는의미있는성장세라고볼수없음 특히복합공격 ( 애플리케이션레벨공격, HTTPS) 이인기를얻고있다. 모스크바증권거래소의사례와같은복합공격 (SYN+TCP Connect+HTTP-flood+UDP flood) 은상대적으로적은규모 (3Gbps) 로이루어지는희귀한방식이었다. 이에대응하기위해서는복잡한최신보호매커니즘이필요하다. 또다른유형의봇넷공격으로는역방향프록시서버취약점을이용한공격트래픽생성형태가있다. 이형태는포르투갈경찰청사이트공격에사용되었다. 2017년 1분기의주요 DDoS 관련통계수치는다음과같다. 72개국가가 DDoS 공격의대상이됨 ( 전년도 4분기 80개국 ) 중국, 한국, 미국의 DDoS 공격및공격대상수가가장많음 공격대상의 47.78% 가중국에몰려있었는데이는지난분기의 71.60% 보다대폭감소된수치임. 한국은 26.57% 로대폭증가 2017년 1분기에가장길게지속된 DDoS 공격은 120시간으로, 지난분기 292시간보다 59% 감소. 전체공격의 99.8% 가 50시간미만임 TCP, UDP, ICMP를사용한공격의비율은크게증가한반면 SYN DDoS 점유율은 2016년 4분기 75.3% 에서 48% 로감소 Window기반봇넷의활동이처음으로 Linux 기반봇넷을능가하여지난분기 25% 에서 2017년 1분기 59.8% 로증가 70

73 2) 지리적동향 2017 년 1 분기에 DDoS 공격이발생한지역은 72 개국으로좁혀졌으며, 1 위는중국 55.11%( 전분기대비약 21.9% 감소 ), 2 위는한국 22.41%( 전분기대비 15.37% 증가 ), 3 위는미국 11.37%( 전분기대비 4.07% 증가 ) 이다. 공격대상이된국가는중국이 47.78% 로 1 위를차지하였으나, 이전분기의 71.60% 보다크게감소한수치이다. 2 위인한국은 9.42% 에서 26.57% 로비율이대폭증가하였으며, 3 위는미국으로 9.06% 에서 13.80% 로증가하였다. 3) DDoS 공격횟수동향 [ 그림 3-18] 2016 년 4 분기대비 2017 년 1 분기 DDoS 공격횟수분포 2017 년 1 월 1 일의공격건수는일평균 86 ~ 994 건이다. 대부분의공격은 1 월 1 일 (793 건 ), 2 월 18 일 (994 건 ), 2 월 20 일 (771 건 ) 에발생했다. 1 월말에서 2 월중순및 3 월침체기의전반적인공격감소는 Xor.DDoS 봇계열의활동감소때문으로분석된다. [ 그림 3-19] 2017 년 1 분기시간대별 DDoS 공격수추이 제 3 장. 글로벌사이버위협동향 71

74 제 3 장. 글로벌사이버위협동향 4) DDoS 공격유형및기간동향 2017 년 1 분기 TCP DDoS 공격비율은 10.36% 에서 26.62% 로급격히증가하였다. 또한 UDP(2.19% 에서 8.71% 로 ) 및 ICMP(1.41% 에서 8.17% 로 ) 공격비율도증가하였으며, SYN DDoS(75.33% 에서 48.07% 로 ) 및 HTTP(10.71% 에서 8.43% 로 ) 는크게감소하였다. [ 그림 3-20] 2016 년 4 분기대비 2017 년 1 분기 DDoS 공격형태분포 TCP 공격의비율증가는요요 (Yoyo), 드라이브 (Drive) 및니톨 (Nitol) 봇의활동증가때문이며, ICMP 공격비중증가는 Yoyo 와 Darkrai 활동의결과이다. Darkrai 봇은 UDP 공격비율에영향을주었다. 일부 DDoS 공격은 100 시간넘게지속되었으나, 대부분의공격이최대 4 시간을넘지않았으며, 그비율은이전분기에비해 14.79% 상승한 82.21% 이다. [ 그림 3-21] 2016 년 4 분기대비 2017 년 1 분기 DDoS 공격지속시간분포 72

75 5) C&C 서버및봇넷유형동향 1 분기한국에서 C&C 서버가가장많이발견되었다. 한국의점유율은이전분기 59.06% 에서 66.49% 로증가하여 1 위를차지하였으며, 미국이 13.78% 로 2 위, 네덜란드가중국 (1.35%) 을제치고 3 위가되었다. 상위 3 개국이전체 C&C 서버점유율의 83.8% 를차지하고있다. [ 그림 3-22] 2016 년 4 분기대비 2017 년 1 분기봇넷 C&C 서버분포 1 분기에는봇넷이동작하는운영체제의분포가크게바뀌었다. 윈도우기반 DDoS 봇이 59.81% 를차지하면서새롭게유행중이던 IoT 봇을능가하였는데, 이는윈도우용으로개발된 Yoyo, Drive 및 Nitol 봇의사용량이증가했기때문이다 년 1 분기의전체적인특징은윈도우기반 DDoS 봇과, 정교한보호매커니즘으로만방어가능한복합공격의증가이다. 또한단일한증폭공격형태대신암호화기반공격이증가하고있으나, 아직까지중요한의미를가지지는못하고있다. 3 Reference 제 3 장. 글로벌사이버위협동향 1. Kaspersky, DDOS attacks in Q1 2017,

76 memo

77 2017 년 2 분기사이버위협동향보고서 2017 년 7 월인쇄 2017 년 7 월발행 본보고서의내용은한국인터넷진흥원의공식견해와다를수있습니다. - 본보고서의내용에대해진흥원의허가없이무단전재및복사를금합니다.

78 2017 년 2 분기사이버위협동향보고서