<372E20352D342D303620BEC7BCBAC4DAB5E5C0C720C0AFC0D4B0E6B7CE20B9D720C1F6B4C9C7FC28B1B8B9CCBCF7292E687770>

Size: px

Start display at page:

Download "<372E20352D342D303620BEC7BCBAC4DAB5E5C0C720C0AFC0D4B0E6B7CE20B9D720C1F6B4C9C7FC28B1B8B9CCBCF7292E687770>"

선화 경
4 years ago
Views:

1 중소기업융합학회논문지제 5 권제 4 호 pp , 2015 ISSN 악성코드의유입경로및지능형지속공격에대한대응방안 구미숙 1*, 이영진 2 1 충북대학교소프트웨어학과, 2 연변대학교컴퓨터과학과 A Study of Countermeasures for Advanced Persistent Threats attacks by malicious code MiSug Gu 1*, YongZhen Li 2 1 Dept. of Software, Chungbuk University 2 Dept. of Computer Science, Yanbian University in China 요약 ICT의발달로인해다양한공격들이발달되고있고, 활발해지고있다. 최근에악성코드를이용한 APT공격들이빈번하게발생하고있다. 지능형지속위협은해커가다양한보안위협을만들어특정기업이나조직의네트워크에지속적으로공격하는것을의미한다. 악성코드나취약점을이용하여기업이나기관의조직내부직원의 PC를장악한후그 PC를통해내부에서서버나데이터베이스에접근한뒤기밀정보등을빼오거나파괴한다. 본논문에서는 APT 공격과정을통하여 APT 공격에어떻게대응할수있는지방안을제시하였다. 악성코드공격자의공격소요시간을지연시키는방안을모색하고, APT 공격에대한탐지및제거할수있는방안을제시하였다. 키워드 : 지능형지속위협, APT 공격, 악성코드, 제로데이, 루트킷 Abstract Due to the advance of ICT, a variety of attacks have been developing and active. Recently, APT attacks using malicious codes have frequently occurred. Advanced Persistent Threat means that a hacker makes different security threats to attack a certain network of a company or an organization. Exploiting malicious codes or weaknesses, the hacker occupies an insider's PC of the company or the organization and accesses a server or a database through the PC to collect secrets or to destroy them. The paper suggested a countermeasure to cope with APT attacks through an APT attack process. It sought a countermeasure to delay the time to attack taken by the hacker and suggested the countermeasure able to detect and remove APT attacks. Key Words : Advanced Persistent Threats, APT attack, Malicious Code, RootKit, Zero-day 1. 서론 최근 ICT 기술의발달로인해 PC를비롯한모바일단말기사용이급증하고, 단말기를통한금융거래등다양한서비스를제공하고있다. 은행및기업을운영하는많은핵심정보들이컴퓨터시스템에저장되어있 Received Revised Accepted Published * Corresponding author : MiSug Gu(gumisug@gmail.com) 다. 또한, 페이스북, 트위터, 카카오톡등소셜네트워크의발달은공격대상의개인정보수집에용이한시대가되었고, 다양한공격으로발전하였고, 또한고도 화되면서그피해가커지고있다. 그래서더욱전문해커들에게쉬운공격대상이되고있다. APT 공격은점점더다양한목적을가지고있으며공격대상도확 37

중소기업융합학회논문지제 5 권제 4 호 대되고있다. 한국은 2004년부터꾸준히지능형지속위협 (APT, Advanced Persistent Threats) 공격을받고있다. APT 공격을받은기업은시스템핵심데이터파손은물론기업중요정보유출로인하여기업의신뢰성또한하락되어매출감소로까지이어져큰피해가생긴다.

2 중소기업융합학회논문지제 5 권제 4 호 대되고있다. 한국은 2004년부터꾸준히지능형지속위협 (APT, Advanced Persistent Threats) 공격을받고있다. APT 공격을받은기업은시스템핵심데이터파손은물론기업중요정보유출로인하여기업의신뢰성또한하락되어매출감소로까지이어져큰피해가생긴다. APT 대응을위한필요성과인식은높아지고있지만, 솔루션도입이나구체적인보안대책실행은미흡하다. 국내기업의 10곳중 7곳이관련보안솔루션이없는것으로나타났다 [1]. 연구의구성은 2장에는관련연구를살펴본다. 3장에는 APT(Advanced Persistent Threats) 와 APT의공격방법에대하여자세히알아보고, 4장에는 APT 공격에따른대응방안을기술하였다. 마지막으로 5장에서는연구를마무리짓는다. 2.2 멀웨어 (Malware) 멀웨어는악성소프트웨어 (malicious software) 의줄임말로, 사용자의동의없이 PC에설치되는모든소프트웨어를의미한다. 일반적으로알고있는바이러스나웜, 스파이웨어, 애드웨어, 트로이목마등을멀웨어라부른다. 멀웨어가감염된웹사이트의악성링크를클릭하면접속한사용자의 PC에쉽게감염이되며알지못하는사이에멀웨어가설치된다. Fig. 2는멀웨어가설치되는과정을나타낸것이다. 2. 관련연구 2.1 랜섬웨어 (ransomware) 랜섬웨어는 ransom과 ware의합성어로 파일을인질로잡아몸값을요구하는소프트웨어 라는의미이다. 랜섬웨어는 2005~2006년에러시아에서처음확인된공격이고, 한국에는 2011년 SMS 랜섬웨어위협이보고되었다. 랜섬웨어는 PC사용자의동의없이불법적으로 PC에설치되어사용자가생성한문서, 그림파일등에암호화를하여해당파일을열지못하게하는악성프로그램으로, 사용자에게파일을인질로돈을요구한다 [2]. Fig. 1은랜섬웨어의공격시나리오이다. Fig. 1. Ransomware Attack Fig. 2. Malware 전달과정웹사이트의코드를통해멀웨어가배포될수있는경로로악성광고 (Malicious Ads), SEO 중독 (SEO Poisoning), 타이포스쿼팅 (Typosquatting) 및사회공학등이있다. SEO 중독은검색엔진의알고리즘을이용하여악성코드가설치된웹사이트가먼저검색되게하여사용자의접근을유도하는공격이고, 타이포스쿼팅은사용자가 URL 주소를잘못입력할것을기대하고, 비슷한도메인을등록하는것을의미한다. 사회공학은정보접근권한이있는담당자와의신뢰를기반으로정보를취득하는공격이다. 이런공격으로사용자가멀웨어가설치된사이트에접속하게되면익스플로이트키트를통해다운로드가되고공격이활성화되어사용자의컴퓨터를감염시켜컴퓨터를손상시키거나사용자의정보를탈취한다. 오래된멀웨어일지라도시스템의패치가되어있지않거나벡신등이실행되지않을경우에도공격이가능하다. 멀웨어는약간의변형이라도새로운공격이가능하여 4초마다새로운변종이태어나고있고, 지난해새로운멀웨어변종증가율이 77% 로집계되었다 [3]. 멀웨어는한개의사이트를감염시킬경우대규모감염이가능하므로이메일을이용한공격보다쉽다. 38

악성코드의유입경로및지능형지속공격에대한대응방안 3. 악성코드를이용한 APT공격악성코드란악성행위를위해개발된컴퓨터프로그램을말한다. 컴퓨터사용자에게해를끼치는모든코드로바이러스, 웜, 트로이목마, 백도어, 루트킷, 스파이웨어등이여기에해당된다. 3.1 APT(Advanced Persistent Threats) 지능형지속공격은공격대상이눈치채지못하도록은밀하게침투하여오랜시간동안기관과과련있는정보를천천히살펴보면서공격을한다 [4].

3 악성코드의유입경로및지능형지속공격에대한대응방안 3. 악성코드를이용한 APT공격악성코드란악성행위를위해개발된컴퓨터프로그램을말한다. 컴퓨터사용자에게해를끼치는모든코드로바이러스, 웜, 트로이목마, 백도어, 루트킷, 스파이웨어등이여기에해당된다. 3.1 APT(Advanced Persistent Threats) 지능형지속공격은공격대상이눈치채지못하도록은밀하게침투하여오랜시간동안기관과과련있는정보를천천히살펴보면서공격을한다 [4]. 공격자는흔적을남기지않고활동하면서회사내보안서비스를무력화시키고은밀하게정보를유출한다. 공격관련흔적을지우면서정보를탈취하기때문에정보가유출여부를바로확인하기어렵다. 3.2 APT 공격준비사항 APT의공격은제로데이 (Zero-day) 취약점과루트킷 (RootKit) 을이용한 2가지공격유형이있다. 제로데이 (Zero-day) 는특정소프트웨어의취약점이공표되지않았거나공표되었지만보안패치가발표되기도전에공격자가그취약점을이용한공격하는것을의미한다 [5]. 관련사례를보면, 안랩에서 한글 의 제로데이취약점 을이용한악성코드감염시도가 2010년부터국내에서발견되기시작하였다 [6,7]. 루트킷 (RootKit) 은공격자들이사용자의 PC 또는네트워크에침입한사실을숨긴채관리자의접근권한을획득하는데사용하는도구를의미한다. 루트킷을이용하여공격자는시스템에관한관리자수준액세스권한을얻는다. 루트킷은탐지가쉽지않으며, 암호를크랙킹하거나알려진취약점을통하여설치된다. 내부네트워크상에서주고받는수많은패킷들을수집하여아이디와패스워드를빼내고공격자에게루트계정의권한이나특별한접근권한을제공한다 [8]. Fig. 3. APT Attack Processing Step 침투단계 : 공격대상이어떤소프트웨어를사용하고, 소프트웨어의버전은무엇인지, 어떤보안장비를사용하여웹을접속하는지, 그리고자주접속하는웹사이트등세세하게모든부분에대해조사를한다. 조사한내용을토대로취약점을찾아침투를한다. 침투방법에는웹을통한워터링홀 (Watering-Hole) 과스피어피싱 (Spear Phshing) 등이있다. 공격대상이웹페이지접속이나이메일을통해악성파일을다운로드받아실행하게되는데, 이과정을드랍퍼단계라한다. 악성코드실행이되면 C&C 서버로의콜백통신이이루어진다. 즉, 이때부터악성파일을다운로드받은 PC에대한모든제어권은외부에있는해커에게넘어간다. 검색단계 : 해커는감염된 PC를통해조직내부의인프라구조와시스템에대해검색한다. 이를테면 PMS 서버와같은업데이트서버의주소를찾던지, 핵심데이터를가진서버의주소를알아낸다. 그후다음단계를계획한다. 수집단계 : PMS 서버에접근해제어권을획득하고, 그 PMS 서버를통해모든에이전트에게악성코드를배포한다. 결과적으로공격기관의네트워크에대한모든제어권이해커에게로넘어간다. 해커는무력화된시스템상의데이터를수집한다. 유출단계 : 해커가내부에있는데이터를유출시키거나시스템운영을방해하며심한경우에는시스템의핵심데이터를파괴하는행위를한다. 3.3 APT공격시나리오 APT의공격은 Fig 3과같이네가지단계를걸쳐서진행된다. 침투단계, 검색단계, 수집단계, 유출단계가있다. 공격을위해서공격대상을목표로사전조사를한다 [9] APT 침투스피어피싱 (Spear Phishing) 스피어피싱이란 창으로찌르다 는스피어 (Spear) 와 사용자를속이기 를의미하는피싱 (Phishing) 의합성어이다. 개인이나조직을은밀히염탐하고해당개인이 39

중소기업융합학회논문지제 5 권제 4 호 나조직의기밀정보를빼내기위해신뢰할수있는내용으로위장한악성이메일을관련자들에게전송하여다운을유도하여감염시킨다. 감염이후원격제어및데이터탈취등을시도한다. 스피어피싱이메일에는정상파일과이중확장명을가지고있는악성파일이함께포함되어있다. 이중확장명을가진악성파일이실행되면동일경로에정상적인문서파일을생성하고실행한다.

4 중소기업융합학회논문지제 5 권제 4 호 나조직의기밀정보를빼내기위해신뢰할수있는내용으로위장한악성이메일을관련자들에게전송하여다운을유도하여감염시킨다. 감염이후원격제어및데이터탈취등을시도한다. 스피어피싱이메일에는정상파일과이중확장명을가지고있는악성파일이함께포함되어있다. 이중확장명을가진악성파일이실행되면동일경로에정상적인문서파일을생성하고실행한다. 정상적인문서파일을실행함과동시에사용자가알지못하는사이에임시폴더경로에 conhost.exe 추가악성파일을몰래설치하고자동으로실행된다. 해당악성코드는 :80 원격지 (C&C) 주소로접속을하여, 추가적인명령을무한대기하게된다 [10]. 공격자의원격제어및추가명령에따라변종악성코드가추가로설치되거나정보가유출되는피해를입을수있다 [11]. 결을중계함으로써공격자는해당시스템에접근할수있게된다. 이렇듯공격자는치밀한네트워킹기술을보유하고있으며목표대상의네트워크를넘나들면은밀히네트워크를장학하고지속적으로주요기밀정보를유출하고있다. 워터링홀 (Watering-Hole) 공격사자가물웅덩이 (Watering hole) 근처에매복하고있다는의미로사용자가덫에걸리기를기다리고있다. 공격자가타깃으로정한사용자의정보를수집해서주로방문하는사이트에제로데이취약점을사용해해당사이트에악성코드를심어둔다 내부네트워크로확산침투방법등으로기업의내부네트워크에침투에성공하면공격자는공격목표인정보시스템으로공격점을이동하려고한다. 이동과정을 Lateral Movement 라한다. 정보시스템으로이동을위해서는높은권한을가진계정의인증정보가필요하다 [12]. 계정의인증정보는시스템의레지스트리, 메모리내에서얻을수있다. 이때대부분의공격자들은주로 gsecdump, WCE(Windows Credential Editor), mimikatz 등기존의툴을이용하거나공격툴이사용하는 wceaux.dll, sekuralsa.dll 등의 DLL을악성코드에삽입하여이를호출하는방식을사용한다. 위의방법으로획득한도메인관리자계정정보를가지고시스템과네트워크공유를맺은후백도어를복사한다. 원격서비스, 또는작업스케줄러를등록해앞서복사한백도어를실행한후이를시스템권한으로동작하게한다. 이렇게실행된백도어는프록시기능에의해 C&C(Command and Control) 서버와의연 Fig. 4. Internal Diffusion Process 4. 지능형지속위협의대응방안 4.1 피해사례 Kimsuky : 2013년정부및주요기관을타켓으로 Kimsuky Operation 이라는 APT 공격에사용됐던악성코드로 2014년 2월 25일에시행되었다. 2월 25일과 3 월 19일에발견된악성코드는취약한한글문서파일을통해최초감염이이루어졌다 [13]. CyberGate RAT :2014년 3월, 사이버게이트 (CyberGate) RAT 악성코드에의한감염사례는 2013 년 6월한셀문서파일취약점을이용한것과는달리 CyberGate RAT 악성코드는정상파일로위장하여설치되는애드웨어를이용하였다. 이사례는특정기관이아닌불특정다수의일반인을대상으로유포되었다 [14]. Gh0st : 사용자 PC의호스트 (hosts) 파일을변조시키는뱅킹악성코드에 DDoS 공격이가능한 Gh0st 원격제어모듈이같이배포되고있다. 금융정보탈취외에사이버공격을위한봇넷을형성하는목적이있는것으로추정하고있다. 기존 APT 공격에이용되었던악성코드가특정대상이아닌불특정다수의사용자를공격대상으로시도하는사례가많아지고있다 [15]. 40

5 악성코드의유입경로및지능형지속공격에대한대응방안 4.2 APT 보안조치다양한기술을통해서악성코드공격자의공격소요시간을지연시키는방법과공격에대한탐지및제거할수있는방법에대해논의한다. APT 공격자가원하는정보에도달하기까지 1 6 개월정도의시간이필요하다. APT 공격소요시간지연을위한주요보안조치는다음과같다. 시스템보안패치 : 악성코드의공격의성공을낮추어내부시스템점령에많은시간을필요하게한다. 내부인증강화 : OTP, Smart Card 등을이용하여인증내부시스템을강화하여관리자의계정정보획득을어렵게한다. 네트워크망분리 [13] : 네트워크망을분리시키면인터넷으로부터보안위협자체를차단할수있다. 이메일이나매체등허용된경로에대한보안솔루션만도입하여운영해야한다. 중요정보의암호화 : 중요정보에대해암호화를적용하고암호화키를관리한다. 4.3 탐지및제거 APT 공격에대한탐지및제거를할수있는방법으로 3가지를제시한다. 샌드박스 (SandBox) 기술을사용 : 샌드박스를간단히말하면악성코드분석에유용한환경을제공하는프로그램이다. 사용자 PC에다운로드되는파일을샌드박스내에서실행해보고문제가없을경우에만유입될수있게하는기술이다. 행위기반탐지기법 (Behavior Detection Tech): 행위기반탐지는각종파일이나유입된트래픽이내부에서허락되지않은시스템에접근하거나레지스트리를변경하는것을모니터링해서악성코드를탐지한다 [8]. 분석과감지에빅데이터 (BIG DATA) 기술이용 : 로그나패킷을모아서분석해서사이버공격이나데이터유출패턴을찾을수있는데이기술을통하여 APT 공격도막을수있다 [16]. 4.4 논의기존의 APT 공격에대한탐지및제거방법으로공격을완벽하게차단이어렵다. 알려지지않은취약점을이용하여공격이계속적으로시도되고있다. 기관 과기업은보유하고있는솔루션을재검토하고새로운솔루션을마련하고, 지속적인관리가필요하다. 내부보안교육을강화하고보안업데이트는항상최신상태로유지해야한다. PC사용자는자신의컴퓨터에설치된백신은최신업데이트를유지하고, 주기적인바이러스검사가필요하다. 발신인이불분명하거나수상한첨부파일이있는메일을읽지않고삭제할필요가있다. 5. 결론본논문에서는악성코드공격자의공격소요시간을지연시키는방안을모색하고, APT 공격에대한탐지및제거할수있는방안을제시하였다. 바이러스가감염된파일을사용하거나다운받아서악성코드가설치되는시대에서감염된웹사이트접속만으로도악성코드가자동다운및설치가되는시대가되었다. 악성코드를비롯하여지능형지속위협공격의공격유형및방법, 탐지및제거등대응방안에대해살펴보았다. APT 공격은지능적이며지속적으로이루어지기특성때문에공격성공률이높아공격자들은계속적으로 IT 기술안의취약점을찾아공격을다변화하여시도할것이다. 향후연구로는다변화하고지능적이고, 지속적인공격에대응하기위해공격으로전환이가능하다고판단되는많은데이터분석을통해새로운공격유형을찾고, 이를기반으로 APT 공격에대한탐지율을높이고, 공격도구를제거하는연구들이필요하다. REFERENCES [1] Huy Kang Kim, Soo-Kyun Kim, Seok-Hun Kim, Decision Support System for Zero-day Attack Response, An International Journal, Appl. Math. Inf. Sci. 6 No. 1S pp. 221S-241S [2] Luo, Xin ; Liao, Qinyu.Awareness Education as the Key to Ransomware Prevention,Information systems security,vol.16,no.4,pp , [3] [4] Pachghare V.K., Kulkarni P., Nikam D.M. Intrusion Detection System using Self OrganizingMaps, 41

중소기업융합학회논문지제 5 권제 4 호 International Conference on Computing & Processing (Hardware/Software), IEEE, 2009. [5] S. K kim, J. S Jang, B.

com/810 [7] Srinivas Mukkamala, Guadalupe Janoski, Andrew Sung, Intrusion Detection: Support Vector Machines and Neural Networks, IEEE and Proceedings of the 2002 International Joint Conference on

6 중소기업융합학회논문지제 5 권제 4 호 International Conference on Computing & Processing (Hardware/Software), IEEE, [5] S. K kim, J. S Jang, B. J Min, Automated Signature Sharing to Enhance the Coverage of Zero-day Attacks, Journal of KIISE. Information networking. Vol. 37, No.4, pp , [6] ASECBLOG, , [7] Srinivas Mukkamala, Guadalupe Janoski, Andrew Sung, Intrusion Detection: Support Vector Machines and Neural Networks, IEEE and Proceedings of the 2002 International Joint Conference on Neural Networks IJCNN02 Cat No 02 CH3 7290, [8] Meijuan Gao, Jingwen Tian, Network Intrusion Detection Method Based on Improved Simulated Annealing Neural Network, IEEE and also at International Conference on Measur-ing Technology and Mechatronics Automation, [9] Paulo M. Mafra, Vinicius Moll, Joni da Silva Fraga, Octopus-IIDS, An Anomaly Based Intelligent Intrusion Detection System, IEEE, [10] Alyac Blog, [11] Song Guangjun, Zhang Jialin, Sun Zhenlong, The Research of Dynamic Change Learning Rate Strategy in BP Neural Network and Application in Network Intrusion Detection, IEEE and 3rd International Conference on Innovative Computing Information and Control (ICICIC'08), [12] AhnLab, secunews/secunewsview.do?seq=23127 [13] [14] [15] [16] Bhavin Shah, Bhushan H. Trivedi, Artificial Neural Network based Intrusion Detection System, A Survey, International Journal of Computer Applications ( ) Vol. 39, No. 6, 저자소개구미숙 (Gu MiSug) [ 정회원 ] 2005년 2월 : 충북대학교전기전자컴퓨터학과 ( 이학석사 ) 2014년 8월 : 충북대학교전기전자컴퓨터학과 ( 공학박사 ) 2008년 9월 ~ 현재 : 나사렛대학교강사 2014년 9월 ~ 현재 : 충북대학교소프트웨어학과강사 < 관심분야 > : 데이터베이스, 정보검색, XML 데이터마이닝, 안드로이드, 모바일프로그래밍이영진 (YongZhen Li) [ 정회원 ] 1997년 6월 : 중국연변대학교물리학과 ( 이학석사 ) 2007년 2월 : 충북대학교전자계산학과 ( 이학박사 ) 2008년 3월 ~ 현재 : 중국연변대학교교수 < 관심분야 > : 무선네트워크, 암호알고리즘, 네트워크보안, 정보보호, 프라이버시 42

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10