<BEC7BCBAC4DAB5E55FC0AFBBE75FB9D75FBAAFC1BE5FC0AFC7FC5FBFB9C3F8B9E6B9FD5FBFACB1B85FC0A7C5B9BAB8B0EDBCAD2E687770>

Size: px
Start display at page:

Download "<BEC7BCBAC4DAB5E55FC0AFBBE75FB9D75FBAAFC1BE5FC0AFC7FC5FBFB9C3F8B9E6B9FD5FBFACB1B85FC0A7C5B9BAB8B0EDBCAD2E687770>"

Transcription

1 최종연구보고서 KISA-WP 악성코드 유사 및 변종 유형 예측방법 연구 A study on the prediction method for similar types and variants of malware. 수탁기관 : 성균관대학교 산학협력단

2 제 출 문 한국인터넷진흥원 원장 귀하 본 보고서를 악성코드 유사 및 변종 유형 예측방법 연구 의 최종 연구개발 결과보고서로 제출합니다 년 11월 27일 수탁 기관 : 성균관대학교 산학협력단 연구책임자 : 교 수 정태명 (성균관대학교 정보통신공학부) 참여연구원 : 연 구 원 박민우 (성균관대학교 전자전기컴퓨터공학과) 연 구 원 강동민 (성균관대학교 전자전기컴퓨터공학과) 연 구 원 장성수 (성균관대학교 전자전기컴퓨터공학과) 연 구 원 민재원 (성균관대학교 전자전기컴퓨터공학과)

3 요 약 문 1. 제목 악성코드 유사 및 변종 유형 예측방법 연구 2. 연구개발의 목적 및 중요성 각종 산업들과 IT 산업이 융합되면서 사회를 구성하는 많은 부분들이 전산에 의존적으로 변화하였다. 그에 따라 악성코드의 공격 표적이 다양 해지고 그 규모 또한 증가하면서 악성코드의 탐지와 치료를 위한 연구가 활발하게 이루어지고 있다. 하지만 악성코드에 대한 연구는 정부, 기업, 연구기관 각각 다른 목적을 갖고 진행되어 왔으며, 기업 내에서도 분석 을 위한 명확한 기준이 없어 독자적인 형태로 진행되고 있다. 그 결과 악성코드 분석 결과들 사이에 접점이 존재하지 않아 연구 공조가 어려운 상황이다. 각 기관의 분석 결과 항목이 서로 상이하며 동일한 항목에 대 해서도 표기 방법이 서로 달라 쉽게 혼란이 일어난다. 악성코드의 생성과 악성코드 전파로 인한 피해 확산을 막고 효과적인 연구 공조를 위해서는 통일된 악성코드 분류 기준이 필요하다. 따라서 본 보고서에서는 악성코드를 정의 분류할 수 있는 연관성 정보 구조를 만든다. 그 결과 연관성 정보 구조를 이용하여 효과적인 악성코드 분석

4 환경을 만들기 위해 필요한 요소들을 도출할 수 있으며, 악성코드 분석 환경을 통해 신속하고 정확한 악성코드 분석 체계를 수립을 통해 보다 안전하고 건전한 인터넷 환경 구축이 가능하다. 3. 연구개발의 내용 및 범위 o 악성코드 진화 동향 조사 - 악성코드 전망 예측 및 대응을 위해 기존 악성코드의 동향 파악 시만텍 연구 보고서 분석 카스퍼스키 랩 연구 보고서 분석 안철수 연구소 연구 보고서 분석 - 악성코드 공격기술의 진화 - 악성코드 전파방법의 진화 o 악성코드 기능에 따른 연관성 정보 추출 방법 모색 - 악성코드의 공격기술 및 전파방법 분석을 통해 악성코드를 정의 분류할 수 있는 기준 도출 - 악성코드 정의 분류 기준 간의 연관성 정보 추출 o 연관성 정보 구조 구축 - 악성코드 정의 분류를 위한 연관성 정보 구조 구축 - 연관성 정보를 통해 악성코드의 위험 수준 평가 - 새로운 매체에 대한 확장을 위한 방법론 제시 o 악성코드 유사 및 변종 유형 예측방법 연구 - 연관성 정보 및 최근 기술 정보를 기반으로 기존 악성코드 및 신 변종 악성코드 모델링 방안 연구 4. 연구결과

5 o 악성코드 개요 - 연관성 정보 구조 구축을 위해 악성코드의 정의, 역사, 종류 등을 조사함으로써 악성코드에 대해 바르게 이해하며 분석을 통해 연관 성 정보 구조를 위한 기준 도출 - 악성코드 동향 등 조사 및 분석을 통해 국내외 현황 파악 및 위험 수준을 정의하기 위한 정보 수집 o 악성코드 공격 방법 - 악성코드의 공격 기술 및 그에 대한 대응전략을 분석함으로써 악 성코드 연관성 정보 구조의 기준 도출 o 악성코드 전파 방법 - 악성코드의 전파 기술 및 그에 대한 대응전략을 분석함으로써 악 - 성코드 연관성 정보 구조의 기준 도출 o 연관성 정보 구조 - 악성코드의 동향, 공격기술 전파기술 분석 등을 통해 연관성 정보 구조 구축을 위한 기준 정의 - 기준에 따라 연관성 정보 구조 형성 - 각 기준의 배타적 성격과 종속적 성격 분석 - 연관성 정보 구조 정의 o 연관성 정보 구조 확장 및 활용 - 새로운 매체에 대한 확장을 위해 매체특징 도출을 위한 분석 수행 - 연관성 정보 구조 확장 방안 제시 - 악성코드의 위험 수준 판단 기준 제시 5. 활용에 대한 건의 o 악성코드 분석을 위한 기반 자료로 활용 가능

6 o 악성코드 관련 대응 정책을 수립하기 위한 지침 o 악성코드 탐지 및 예방 도구 제작에 적용할 수 있는 방법론으로 활 용 가능 6. 기대효과 o 악성코드 연관성 정보 구조는 악성코드 분석 결과를 정리하여 모든 악성코드들에 대해 동일한 형태의 분석 결과를 유도할 수 있다. o 악성코드 분석 결과의 통일화는 악성코드 분석들 간에 분석자료 공 유를 용이하게 만들 수 있으며, 그 결과 연구 과정의 동조가 가능해 진다. o 그 결과 악성코드를 이용한 각종 사이버 범죄를 줄일 수 있으며, 이 는 IT 산업 뿐만 아니라 IT와 융합된 많은 산업들의 발전에 긍정적 인 효과를 보일 것으로 기대됨

7 SUMMARY 1. Title A study on the prediction method for similar types and variants of malware. 2. Purpose of the study First we grasp the industrial trend and standardization trend of Attack technique and Propagation technique of the malwares. Then we suggest the requirements for the criteria of the malwares. Finally we propose The Relationship Information of Malicious Codes what is used for defining and classifying the malwares. 3. Contents and scope ointroduction - Background and Need of the study - Purpose of the study

8 othe Malware - Outline of the malwares Definition of the malwares The brief history of the malwares Kind of the malwares Status of the malwares - Attack technique of the malwares Attack technique of the malwares Status of Attack technique of the malwares Coping strategy of the malwares' attack technique - Propagation technique of the malwares Propagation technique of the malwares Coping strategy of the malwares' Propagation technique o The Architecture of The Relationship Information of Malicious Codes - Outline of The Relationship Information of Malicious Codes Definition of The Relationship Information of Malicious Codes Need of The Relationship Information of Malicious Codes - The Relationship Information of Malicious Codes - Expandability of The Relationship Information of Malicious Codes - Utilization of The Relationship Information of Malicious Codes Conclusion 4. Results of the study

9 The Relationship Information of Malicious Codes can be used for the criteria for sharing studies of the malwares among governments, businesses and research institutes. 5. Expected effects and applications o We can analyze malicious codes using same architecture. o We can easily share the result about malicious codes among governments, businesses and research institutes. o As a result, We can reduce cyber crimes through collaborative research about malicious codes among governments, businesses and research institutes.

10 목 차 제 1 장 서론 1 제 1 절 연구 배경 및 필요성 1 제 2 절 연구 목표 및 내용 2 1. 연구 목표 2 2. 연구 내용 2 제 2 장 악성코드 4 제 1 절 악성코드 개요 4 1. 악성코드 정의 4 2. 악성코드의 역사 6 3. 악성코드 종류 악성코드 동향 20 제 2 절 악성코드 공격 방법 악성코드 공격기술 최근 악성코드 공격 기술 동향 악성코드 대응전략 50 제 3 절 악성코드 전파 방법 악성코드 전파경로 전파경로별 대응전략 72 제 4 절 레지스트리 악용 방법 레지스트리 개요 레지스트리 악용 방법 77

11 제 3 장 연관성 정보 구조 105 제 1 절 연관성 정보 구조 개요 연관성 정보 구조 정의 연관성 정보 구조 필요성 105 제 2 절 연관성 정보 구조 감염경로 실행주체 공격대상 공격행위 가중치 176 제 3 절 연관성 정보 구조 확장성 신종 변종 악성코드에 대한 확장성 검토 및 적용 새로운 매체 분석 및 적용 197 제 4 절 연관성 정보 구조 활용방안 연관성 정보 구조 위험 지수 악성코드 그룹 별 위험 지수 분포 변종 악성코드 예측 241 제 5 절 연관성 정보 구조 예시 특정 온라인 게임계정 탈취 악성코드(트로이목마) 악성봇(웜) DDoS 악성코드 악성코드 위험지수 도출 결과 253 제 4 장 결론 256 참고문헌 258 부록 260

12 그림 목차 (그림 2-1) Elk Cloner가 출력하는 텍스트 7 (그림 2-2) 년 동안 발견된 누적 악성코드 수 20 (그림 2-3) 맥아피가 보유한 시그니쳐 수 21 (그림 2-4) 국내 인터넷 이용률 및 이용자 수 현황 22 (그림 2-5) 년 월별 국내 악성코드 발생건수 추이 22 (그림 2-6) 년 월별 국외 악성코드 발생건수 추이 23 (그림 2-7) 년 국외 웹 기반 공격 평균 횟수 26 (그림 2-8) 년 국내 악성코드 감염 도메인 수 27 (그림 2-9) 국내 악성 봇 감염 PC 수 28 (그림 2-10) 컨픽커(Conficker) 악성코드 31 (그림 2-11) 웨일덱(Waledac) 악성코드 32 (그림 2-12) IRC봇(IRCBot) 33 (그림 2-13) 네이트온(NateOn) 악성코드 33 (그림 2-14) 조커(Joker) 악성코드 34 (그림 2-15) 클램피(Clampi) 악성코드 34 (그림 2-16) 델프(Delf) 악성코드 35 (그림 2-17) 지봇(Zbot) 악성코드 35 (그림 2-18) 허위 보안툴(SecurityTool) 36 (그림 2-19) AntiVirus XP (그림 2-20) 스턱스넷(Stuxnet) 37 (그림 2-21) Palevo 37 (그림 2-22) 일반적인 컴파일과 난독화 컴파일 과정 39 (그림 2-23) 악성코드 대량삽입 흐름도 45 (그림 2-24) 기능별로 모듈화를 사용하는 쿱페이스(Koobface) 구성

13 도 46 (그림 2-25) Ring 보안 모델 47 (그림 2-26) 현재 AV industry의 모습 (출처 : IKARUS) 55 (그림 2-27) 악성코드 전파 방법의 유형 57 (그림 2-28) 레지스트리 구조 75 (그림 3-1) 악성코드 동작 과정 106 (그림 3-2) 새로운 매체 발생할 경우 분석 및 적용 과정 198 (그림 3-3) 감염대상의 연관성 정보 구조 적용과정 200 (그림 3-4) 악성코드 전파의 연관성 정보 구조 적용과정 201 (그림 3-5) 서비스에 의해 발생하는 정보의 연관성 정보 구조 적용 과정 203 (그림 3-6) 서비스와 직접연관이 없는 사용자 재산의 205 (그림 3-7) 서비스 방해의 연관성 정보 구조 적용과정 206 (그림 3-8) 혼란 초래의 연관성 정보 구조 적용과정 207 (그림 3-9) 위험 지수 기본 공식 218 (그림 3-10) 악성코드 위험지수 f(x) 218 (그림 3-11) 악성행위별 위험지수 계산 식] 218 (그림 3-12) 연관성 정보구조 변수 219 (그림 3-13) 확산력 219 (그림 3-14) 악성코드 그룹 별 위험 지수 분포 229 (그림 3-15) 변종 악성코드의 목적 그룹 일치률 243 (그림 3-16) 악성코드 변종 예측 246 (그림 3-17) 70% 이상의 일치률을 가지는 경우 변종 예측 247 (그림 A-1) MTAS: 메인 이미지 260 (그림 A-2) MTAS: 감염경로 262 (그림 A-3) MTAS: 실행주체 262

14 (그림 A-4) MTAS: 공격대상 263 (그림 A-5) MTAS: 공격행위 263 (그림 A-6) MTAS: 전파경로 264 (그림 A-7) MTAS: 자가보호 264 (그림 A-8) MTAS: 목표대상 265 (그림 A-9) MTAS: 출력결과 (그림 A-10) MTAS: 출력결과 2 266

15 표 목차 [표 2-1] 악성코드에 의한 증상 5 [표 2-2] 누적 악성코드 수 추정치 9 [표 2-3] 악성코드의 주요 사건 10 [표 2-5] 코드 난독화 기법 40 [표 2-6] 패킹 툴 목록 41 [표 2-7] 악성코드 탐지 및 대응 기술 구분 50 [표 2-8] 저장매체를 이용하여 전파하는 사례 68 [표 2-9] 네트워크를 이용하여 전파하는 사례 68 [표 2-10] 다운로드를 통해 전파하는 사례 69 [표 2-11] 전자우편을 이용하여 전파하는 사례 69 [표 2-12] 취약성을 이용하여 전파하는 사례 70 [표 2-13] 인스턴트 메시징 프로그램을 이용하여 전파하는 사례 71 [표 2-14] 새로운 방식을 이용하여 전파하는 사례 71 [표 2-15] 서비스 등록을 위해 악용되는 레지스트리 78 [표 2-16] 자동 실행을 위해 악용되는 레지스트리 85 [표 2-17] 파일 확장자를 연결하는 레지스트리 92 [표 2-18] 윈도우 탐색기 관련 행위에 악용되는 레지스트리 94 [표 2-19] 인터넷 익스플로러 관련 설정을 악용하는 레지스트리 98 [표 2-20] 윈도우 설정을 악용하는 레지스트리 100 [표 2-21] 네트워크 설정을 악용하는 레지스트리 102 [표 2-22] 악성코드가 존재 여부를 확인하는 레지스트리 103 [표 2-23] 메일주소와 서버 주소를 가져오는 레지스트리 103 [표 2-24] 키값을 참조하는 레지스트리 104 [표 3-1] 연관성 정보 구조 1 단계 정의 107

16 [표 3-2] 감염경로의 2 단계 109 [표 3-3] [감염경로]의 감염 이용 매체 110 [표 3-4] 감염경로의 감염 유형 116 [표 3-5] 감염경로의 사용자 의존도 117 [표 3-6] 실행주체의 2 단계 119 [표 3-7] 사용자 실행의 의미 120 [표 3-8] 운영체제 실행의 의미 122 [표 3-9] 운영체제 자동 실행의 하위 단계 124 [표 3-10] 운영체제 실행파일 감염의 하위 단계 125 [표 3-11] 웹브라우저 실행의 의미 125 [표 3-12] 다른 응용프로그램 실행의 의미 128 [표 3-13] 공격대상의 하위 분류 131 [표 3-14] 시스템의 하위 단계 132 [표 3-15] 시스템 장치 제어의 하위 단계 132 [표 3-16] 시스템 서비스 제어의 하위 단계 134 [표 3-17] 시스템 설정 제어의 하위 단계 135 [표 3-18] 사용자 정보의 하위 단계 137 [표 3-19] 사용자 입력 정보의 하위 단계 138 [표 3-20] 사용자 저장 정보의 하위 단계 139 [표 3-21] 사용자 시스템 정보의 하위 단계 141 [표 3-22] 사용자 시스템 사용 이력의 하위 단계 143 [표 3-23] 시스템 사용자의 하위 단계 145 [표 3-24] 이용 방해의 하위 단계 146 [표 3-25] 혼란 초래의 하위 단계 147 [표 3-26] 외부 장치의 하위 단계 148 [표 3-27] 서비스 서버의 하위 단계 149

17 [표 3-28] 로컬 네트워크의 하위 단계 150 [표 3-29] 공격행위의 2 단계 151 [표 3-30] 공격행위의 네트워크 152 [표 3-31] 유출 정보의 종류 153 [표 3-32] 서버 접속의 목적 157 [표 3-33] 대량 트래픽의 생성 목적 158 [표 3-34] 스팸의 종류 160 [표 3-35] 공격행위의 시스템 161 [표 3-36] 강제 시스템 제어 162 [표 3-37] 자원 관리 하위 단계 164 [표 3-38] 네트워크 설정 변경 하위 단계 165 [표 3-39] 시스템 설정 변경 하위 단계 167 [표 3-40] 디스플레이 설정 변경 하위 단계 170 [표 3-41] 파일시스템 하위 단계 171 [표 3-42] 파일생성 종류 171 [표 3-43] 파일파괴 종류 172 [표 3-44] 파일변조 종류 173 [표 3-45] 입출력장치 오작동 종류 174 [표 3-46] 프로세스 하위 단계 175 [표 3-47] 전파경로의 2 단계 177 [표 3-48] [전파경로]의 전파 이용 매체 178 [표 3-49] 전파경로의 사용자 의존도 179 [표 3-50] 악성코드 자가보호 종류 179 [표 3-51] 난독화의 종류 180 [표 3-52] 패킹의 종류 181 [표 3-53] 분석도구 종류 182

18 [표 3-54] 분석도구 탐지에 사용 가능한 API 183 [표 3-55] 분석 도구 탐지를 위한 프로세스 상태 확인 184 [표 3-56] 분석 도구 탐지를 위한 프로세스 상태 확인 185 [표 3-57] 루트킷의 종류 186 [표 3-58] Hooking의 종류 187 [표 3-59] 시스템 변조 종류 189 [표 3-60] Injection의 종류 190 [표 3-61] 목표대상 공격목표 190 [표 3-62] 잠재위험 위험지수 가중치 193 [표 3-63] 신 변종 악성코드 확장성 검토 및 적용 196 [표 3-64] 감염 대상 및 예시 199 [표 3-65] 감염 목적 및 예시 200 [표 3-66] 악성코드 전파의 일반화 201 [표 3-67] 서비스에 의해 발생하는 정보에서 정보보관의 일반화 202 [표 3-68] 서비스에 의해 발생하는 정보에서 접근경로의 일반화 203 과정 203 [표 3-69] 서비스와 직접 연관이 없는 사용자 재산의 일반화 204 [표 3-70] 서비스 방해의 일반화 206 [표 3-71] 혼란 초래의 일반화 207 [표 3-72] 전자투표에서 가능한 악성행위 209 [표 3-73] 전자투표에서 매체의 일반화 적용 210 [표 3-74] U-health에서 가능한 악성행위 211 [표 3-75] U-health에서 매체의 일반화 적용 212 [표 3-76] VANET을 이용하여 가능한 악성행위 213 [표 3-77] VANET에서 매체의 일반화 적용 214

19 [표 3-78] VANET을 이용하여 가능한 악성행위 215 [표 3-79] ATM에서 매체의 일반화 적용 216 [표 3-80] 연관성 정보 구조 : 감염경로 220 [표 3-81] 연관성 정보 구조 : 실행주체 222 [표 3-82] 연관성 정보 구조 : 공격대상 223 [표 3-83] 연관성 정보 구조 : 공격행위 224 [표 3-84] 연관성 정보 구조 : 전파경로 225 [표 3-85] 연관성 정보 구조 : 자가보호 226 [표 3-86] 목표대상 위험지수 가중치 227 [표 3-87] 잠재위험 위험지수 가중치 228 [표 3-88] 악성코드 그룹 229 [표 3-89] 연관성 구조 제외 항목 : 트로이 목마 231 [표 3-90] 연관성 구조 포함 항목 : 트로이 목마 231 [표 3-91] 위험 지수 : 트로이 목마 232 [표 3-92] 연관성 구조 제외 항목 : 바이러스 232 [표 3-93] 연관성 정보 구조 포함 항목 : 바이러스 233 [표 3-94] 위험 지수 : 바이러스 233 [표 3-95] 연관성 정보 구조 포함 항목 : 웜 233 [표 3-96] 위험 지수 : 웜 233 [표 3-97] 연관성 구조 제외 항목 : 웜 234 [표 3-98] 연관성 구조 제외 항목 : 조크, 혹스 235 [표 3-99] 연관성 정보 구조 포함 항목 : 조크, 혹스 236 [표 3-100] 위험 지수 : 조크, 혹스 236 [표 3-101] 연관성 정보 구조 제외 항목 : 스파이웨어, 애드웨어 236 [표 3-102] 연관성 구조 포함 항목 : 스파이웨어, 애드웨어 238

20 [표 3-103] 위험 지수 : 스파이웨어, 애드웨어 238 [표 3-104] 연관성 정보 구조 제외 항목 : DDoS 봇 238 [표 3-105] 연관성 정보 구조 포함 항목 : DDoS 봇 239 [표 3-106] 위험 지수 : DDoS 봇 239 [표 3-107] 연관성 정보 구조 제외 항목 : APT 240 [표 3-108] 연관성 정보 구조 포함 항목 : APT 241 [표 3-109] 위험 지수 : APT 241 [표 3-110] 악성코드 분류 그룹 242 [표 3-111] 연관성 정보 구조와 분류 그룹 연관관계 : 공격대상 244 [표 3-112] 연관성 정보 구조와 분류 그룹 연관관계 : 공격행위 244 [표 3-113] 3.4 DDoS 악성코드 248 [표 3-114] 목적 그룹과의 일치률 249 [표 3-115] 시스템파괴형 악성행위 항목 249 [표 3-116] 악성코드 위험지수 도출 예시 : 트로이목마 251 [표 3-117] 악성코드 위험지수 도출 예시 : IRC봇(웜) 252 [표 3-118] 악성코드 위험지수 도출 예시 : 3.4 DDoS 253 [표 3-119] 악성코드 위험지수 도출 결과 254 [표 3-120] 변종 악성행위 목록 254 [표 A-1] mtas.php 소스코드 267 [표 A-2] create_xml.php 소스코드 275

21 Contents Chapter 1 Introduction 1 Section 1 Background and Need of the study 1 Section 2 Purpose of the study 2 Chapter 2 The Malware 4 Section 1 Outline of The Malwares 4 1. Definition of Malware 4 2. The Brief History of Malware 6 3. The Sorts of Malware The Status of Malware 20 Section 2 Attack Technique of The Malwares Attack Technique of The Malwares Status of Attack Technique of The Malwares Coping Strategy for the Attack Techniques of Malware 50 Section 3 Propagation Technique of The Malwares Propagation Technique of The Malwares Coping Strategy for Propagation Techniques of Malware 72 Section 4 Abusing Techniques of The Registries Outline of the Registries Abusing Techniques of the Registries 77

22 Chapter 3 The Architecture of Relationship Information of Malicious Codes 105 Section 1 Outline of Relationship Information of Malicious Codes Definition of Relationship Information of Malicious Codes The Necessity of Relationship Information of Malicious Codes 105 Section 2 Relationship Information of Malicious Codes The Infection Route The Practice Subject The Target of Attack The Offensive Action The Weight 176 Section 3 Expandability of Relationship Information of Malicious Codes New types and Variants of the Malware Analysis and Implementation about the New Medium 197 Section 4 Utilization of Relationship Information of Malicious Codes Threat Index of The Relationship Information Malicious Codes Distribution of Threat Index by Malicious Codes Group Prediction of The Mutant Malware 241

23 Section 5 Example of The Relationship Information of Malicious Codes Game Account Hijacked Malware(Trojan Horse) Malicious Bot(Worm) DDoS Malware The Result of Threat Index 253 Chapter 4 Conclusion 256 References 258 Appendix 256

24 제 1 장 서론 제 1 절 연구 배경 및 필요성 자가복제가 가능한 바이러스가 처음 발견된 이 후 다양한 악성행위와 전파경로를 갖는 악성코드들이 발견되고 있다. 악성코드를 만들 수 있는 툴킷이 발달하면서 전문적인 지식이 없는 일반인도 쉽게 복잡한 악성코 드들을 만들 수 있게 되면서 최근에는 하루에도 수천 개의 악성코드들이 만들어져 네트워크에 쏟아져 나오고 있다. 각종 산업들이 IT 산업과 융 합되면서 많은 종류의 이로운 서비스들이 가능해졌지만 반대로 악성코드 에 의한 피해대상이 IT 산업과 융합된 다른 산업으로 확대되면서 악성코 드에 의한 피해규모가 크게 증가하였다. 악성코드로 인한 피해를 최소화 하기 위해 정부와 기업과 연구기관 사이에서 악성코드를 분석하기 위한 많은 활동이 이루어지고 있다. 하지만 세 기관의 연구결과가 제대로 공유되지 않아 동일한 악성코드 를 다르게 정의하거나, 중복된 연구 수행을 통해 연구효율이 크게 떨어 지고 있다. 이러한 현상의 원인은 각 기관들의 연구목적 및 연구방법의 차이에서 나온다. 또한, 동일한 목적으로 악성코드에 대해 연구하는 기관 들 사이에서도 분석결과물의 형태는 크게 다른 모습을 보이고 있다. 이 는 현재 악성코드의 정의 및 분류에 대한 명확한 기준점이 없어 분류 기 준 및 정의가 즉흥적으로 이루어지고 있기 때문이다. 최근 악성코드에 감염되어 피해를 입는 사례가 늘어나고 있다. 올해 상반기에만 발견된 악성코드 수가 15만개에 달하며, 악성코드의 위협은 해가 갈수록 증가하고 있고, 기술적으로도 치명적이고 위협적으로 변하 여 사용자 혹은 사회에 불안요소를 가지게 만든다. 악성코드의 목적이 비교적 단순하고 제작되는 수가 적었던 과거 시절과는 달리 하루에도 수 천개의 악성코드가 쏟아져 나오는 오늘 각 연구기관의 독립적인 연구활 - 1 -

25 동으로는 시간 내에 충분한 연구결과를 얻어내기 어려워졌다. 이러한 문 제점을 타개하기 위해서는 연구기관 간에 연구결과의 활발한 공유와 공 동연구가 필요하게 되었다. 이를 위해서는 현재 판이하게 다른 악성코드 정의 및 분류 과정에 대해 하나의 새로운 기준이 필요하다. 또한, 악성코드를 효과적으로 방어하기 위해서는 기존의 악성코드들을 바탕으로 방어만 하는 방법을 고수하기 보다는 기존에 존재하던 악성코 드를 통해 신종 악성코드를 효율적으로 방어할 수 있는 악성코드 유사 및 변종 유형을 예측하는 방법을 연구하는 것이 도움이 될 것으로 기대 된다. 제 2 절 연구 목표 및 내용 1. 연구 목표 악성코드 기능에 따른 연관성 정보 및 최근 기술 정보를 기반으로 기 존 악성코드에서 파생 가능한 신 변종 악성코드 모델링 방법을 제시 2. 연구 내용 가. 악성코드 진화에 따른 공격 기술 및 전파 방법 동향 조사 악성코드의 향후 전망을 예측하고 이에 대응하기 위해서는 기존의 악 성코드의 동향 파악에 대한 조사 분석이 이루어져야 한다. 악성코드의 진화에 따른 공격 기술 및 전파 방법 동향 파악을 위해서 는 기존 악성코드들을 조사 분석한다. 조사 분석 대상으로는 시만텍 (Symantec), 맥아피(McAfee), 트렌드 마이크로(Trend Micro), 카스퍼스키 랩(Kaspersky Lab) 등의 인지도가 높은 주요 세계 안티 바이러스 및 보 - 2 -

26 안 기업의 보안 보고서를 기반으로 동향 조사 분석한다. 기존의 악성코 드와 이슈가 되는 악성코드에 악용 가능한 최근 기술까지 대상으로 한 다. 나. 악성코드 기능에 따른 연관성 정보 추출 방법 연구 악성코드의 공격 기술 및 전파 방법을 기준으로 악성코드 간의 연관성 정보를 추출하는 방법을 도출하기 위해 악성코드들의 특성을 분류하여 각 악성코드들 간 유사한 특징들을 고려하여 취합하여 악성코드를 기능 에 따라 분류하여 연관성 정보를 추출할 수 있는 방법을 연구한다. 다. 악성코드 유사 및 변종 유형 예측방법 연구 지속적으로 발전하고 변형되는 악성코드의 기법들로부터 보유 자원을 안전하게 지키기 위해 악성코드 연관성 정보 및 최근 기술 정보를 기반 으로 기존 악성코드 및 신 변종 악성코드 모델링 방법을 연구한다. 또한 신규 악성코드가 발생했을 경우 모델 검증을 하고, 악성코드의 위험성을 평가하는 방법에 대해 연구한다. 추가로 악성코드 유사 및 변종 유형 예 측 방법에 대한 연구결과를 검증할 수 있는 소프트웨어를 설계하고 구현 한다

27 제 2 장 악성코드 제 1 절 악성코드 개요 1. 악성코드 정의 멀웨어(Malware)는 악성 소프트웨어(Malicious Software)의 줄임말로, 악의적인 목적을 가지고 제작되어 컴퓨터에 악영향을 끼치는 모든 소프 트웨어를 칭한다. 이러한 소프트웨어는 사용자의 명령이나 승인 없이 설 치되거나 실행되며 시스템의 성능 저하 또는 개인 정보 유출 등의 악의 적인 행위를 수행한다. 국내에서는 멀웨어를 악성코드 로 총칭하고 있 으며 컴퓨터 바이러스(Virus), 웜(Worm), 트로이목마(Trojan Horse), 스 파이웨어(Spyware), 루트킷(Rootkit) 등이 모두 악성코드에 속한다. 악성코드로 인한 피해가 사회적인 문제로 대두되면서 이를 해소하기 위한 연구가 활발히 진행되고 있다. 이를 위해 수많은 회사들이 샘플들 을 수집하여 분석하고 안티바이러스 제품들을 출시하고 있으며 악성코드 동향 보고서를 주기적으로 배포하고 있다. 세계적인 보안 회사 시만텍은 악성코드의 증가율이 정상 프로그램의 증가율보다 높을 수도 있다고 예 상을 했고, 2010년에는 중국의 사오잉(Shaoxing)을 세계 악성코드의 중심 지로 선정하기도 했다. 악성코드의 전파는 초기 플로피 디스크와 같은 저장매체를 통해 이루 어졌으나 최근 인터넷 사용이 일반화되면서 네트워크를 통한 악성코드 전파가 보다 보편적인 요인이 되었다. 이는 보안이 취약한 사이트접속, 전자우편, 메신저 등 네트워크를 통해 서비스되는 다양한 매체들을 통해 악성코드가 전파됨을 의미한다. 또한 다양한 산업들이 IT 산업과 융합되 고 인터넷을 통해 많은 컴퓨팅 장치들이 연결되면서 악성코드의 제작 및 유포 목적이 점점 구체화되고 있다. 이에 따라 악성코드에 의한 피해규 - 4 -

28 모가 크게 증가하였으며, 피해대상이 다양해졌다. 현재의 악성코드는 단 순히 시스템을 파괴하는 것뿐만 아니라 사용자의 의도와는 상관없는 스 팸 메일 발송, 원격제어, 그리고 광고 팝업 등의 피해를 주기도 한다. 컴 퓨터가 악성코드에 감염되었다면 다음과 같은 증상이 있을 수 있다. [표 2-1] 악성코드에 의한 증상 증상 시스템 정보 변경 FAT 파괴 CMOS 변경 기본 메모리 감소 시스템 속도 저하 프로그램 자동 실행 프로세스 종료 시스템 재부팅 전자우편 발송 정보 유출 네트워크 속도 저하 메시지 전송 특정 포트 오픈 하드 드라이브 파일 생성 파일 삭제 파일 손상 화면 출력 특정음 발생 메시지 출력 실행 가능한 코드 시스템사용이력 저장 네트워크 트래픽 저장 세부내용 레지스트리 키 값 변경 FAT 유형 파일 시스템 파괴 CMOS 변경으로 인한 부팅 장애 유발 시스템의 기본 메모리 감소로 인한 성능 저하 시스템의 처리 속도 저하 부팅 시 악성코드가 실행되도록 설정 변경 특정 프로세스를 강제 종료 시스템을 강제로 재부팅 특정 사용자들에게 전자우편을 발송 사용자 정보를 네트워크를 통해서 유출 감염된 PC의 네트워크 속도가 감소 다른 PC로 메시지를 전송 특정 백도어 포트를 개방 저장장치 포맷 또는 접근 장애 유발 사용이력, 정보저장, 쓰레기파일 생성 등 다양 시스템파일, 사용자파일 삭제 파일의 일부 변경을 통한 파일 손상 특정 내용이 파일에 출력 비트음이나 스피커를 통해 소리 발생 화면에 특정 메시지를 출력 매크로나 스크립터 언어로 짜인 코드 실행 방문한 홈페이지, 실행한 프로세스 등 사용자 가 시스템을 사용하면서 발생하는 정보 저장 네트워크 장치를 통해 이동된 트래픽 저장 - 5 -

29 2. 악성코드의 역사 가. 악성코드 발전 과정 컴퓨터 바이러스의 가능성은 컴퓨터 초창기부터 대두 되었다. 폰노이 만(Von Neumann)은 1949년 자신의 논문인 Theory and Organization of Complicated Automata 를 통해 자기복제 코드의 이론적인 존재 가능 성을 언급하였다. 1950년대 후반, 영국 수학자 Lionel Penrose는 Self-Reproducing Machines"라는 리포트를 발표하였다. 리포트는 자신을 복제하고 변화하 며, 컴퓨터 시스템을 공격하는 단순한 2차원 모델에 대한 개략적인 내용 이었다. 해당 모델은 Frederick G. Stahl에 의해서 IBM 650 시스템에 포 팅 되었다. 당시 과학자들과 연구원들은 인공 지능과 로봇 공학에 관심 을 가지고 있었다. 몇 년 후, 벨 연구소에서 Darwin이라는 게임을 통해 다음과 같은 실 험을 하였다. 게임 내용은 다음과 같다. 각각 플레이어는 게임 안에서 정 의된 함수들을 이용해서 프로그램을 만든다. 만들어진 프로그램은 메모 리 영역을 검사하여 다른 플레이어의 프로그램이 사용하고 있는 메모리 영역을 찾으며, 이를 발견하면 해당 프로그램을 종료시키고 자신의 프로 그램을 복사해서 최종적으로 자신의 프로그램만 메모리에 존재하도록 만 든다. 게임은 악의적인 목적으로 작성된 것은 아니었지만 기존과는 다른 새로운 목적의 자기 복제 소프트웨어의 시초로 여겨진다. 1970년대 초반, ARPANET에 TENEX 시스템을 겨냥한 최초의 크리퍼 웜(Creeper worm)이 등장하게 된다. 이 웜은 모뎀을 통해서 원격 시스 템을 감염시켰다. 크리퍼는 ARPANET 내부에서 만들어졌고 실험 목적 이었기 때문에 악의적인 행동은 하지 않았다. 하지만 단시간 내에 모든 TENEX 네트워크를 감염시켰다. 크리퍼를 삭제하기 위해 익명의 프로그 래머가 리퍼(Reaper)라는 바이러스를 만들었는데, 리퍼는 크리퍼와 마찬 가지로 네트워크 내부를 이동하면서 크리퍼를 찾아서 삭제를 했다. 리퍼 - 6 -

30 는 최초로 발견된 바이러스이며, 최초의 안티바이러스 프로그램으로서 악성코드 역사에 있어서 중요한 사건으로 여겨진다. 1974년 래빗(Rabbit) 이라는 새로운 바이러스가 등장했다. 래빗은 빠른 속도로 자신을 복제하고 전파되는 특징을 가지고 있었고 과거 발견된 악 성코드와는 다르게 시스템의 성능을 크게 감소시켰고 결과적으로 시스템 을 다운시켰다. 현재 이 바이러스가 실제로 악의적인 행동을 위해서 만 들어졌는지 아니면 실험 용도로 만들었다가 통제를 벗어난 것인지 알려 지지 않았다. 1981년 Apple II 컴퓨터에서 개인용 컴퓨터에선 최초로 악성코드가 발 견되었다. 이는 엘크 클로너(Elk Cloner)란 부트 섹터 바이러스로 당시 고등학생이었던 리처드 스크렌타(Richard Skrenta)가 제작한 바이러스이 다. 이 바이러스는 플로피 디스크를 통해 전파되는데 엘크 클로너에 감 염된 컴퓨터에 플로피 디스크를 삽입 할 경우 해당 플로피 디스크에 바 이러스의 복사본을 만드는 형태로 전파된다. (그림 2-1) Elk Cloner가 출력하는 텍스트 1980년대 중반부터 최초의 MS-DOS 바이러스인 브레인 바이러스 - 7 -

31 (Brain virus)를 시작으로 변종 바이러스의 모방이 유행하기 시작했다. 본격적인 악성코드들이 제작, 전파되어 세계각지에서 악성코드에 의한 피해가 속출하기 시작했다. 그와 함께 바이러스를 진단하는 프로그램도 제작되기 시작했는데, 초기에는 대부분 공개 소프트웨어나 셰어웨어 (Shareware)로 제공됐다. 1990년대에는 안티바이러스 프로그램이 만들어지면서 바이러스를 탐 지 치료하기 위한 움직임이 활발해지면서 이에 대응하여 악성코드 작성 자들은 자신들만의 커뮤니티를 형성하기 시작하였다. 안티바이러스 프로 그램으로부터 악성코드들을 지키기 위해 코드의 일부를 암호화하는 기술 이 가장 처음으로 제안되었다. 이는 당시 문자열 검색을 기반으로 악성 코드를 탐지하는 안티바이러스 프로그램의 탐지 과정을 무력화 할 수 있 는 방법이었다. 이 후 안티바이러스 프로그램들이 암 복호화 알고리즘 자체를 탐지 대상으로 이용하면서 새로운 자가보호 기법이 필요하게 되 었다. 이에 따라 1990년에 최초로 다형성 기법을 사용한 바이러스가 등 장하였다. 최초의 다형성 기법을 이용한 바이러스는 V2PX이다. 다형성 기법을 사용한 바이러스들은 시스템을 감염시킬 때마다 자신의 암호화 부분을 변경하여 백신 프로그램의 탐지를 피해간다. 이후 다형성 바이러 스들은 지금까지도 악성코드 제작자들이 백신프로그램의 탐지를 피하기 위해 사용하는 방법이며 이 밖에도 여러 가지 방법이 동원되고 있다. 1994년에 광학디스크의 일종인 CD의 사용이 증가하면서 저장매체를 이용한 악성코드 전파가 활발히 진행되었다. 당시 비교적 큰 용량을 가 진 이동식 저장매체인 CD는 시스템 간 데이터를 이동에 적극 사용되었 다. 이에 따라 악성코드에 감염된 파일들 또한 CD를 통해 전파되기 시 작하였는데, 읽기전용 저장매체인 CD의 특성상 악성코드가 발견되더라 도 치료할 수 없다는 점 때문에 크게 문제가 되었다. 2005년 무렵부터는 악성코드 제작 목적이 불순해져 금전적인 이익을 위해 악성코드가 제작되기 시작한다. 이에 따라 시스템을 손상시키거나 데이터를 삭제하는 등 악성행위가 발생하는 즉시 사용자가 인식할 수 있 는 유형의 악성코드들의 비중이 줄어들고, 시스템내에 숨어들어 사용자 - 8 -

32 가 인식하지 못하도록 정보 유출을 수행하는 종류의 악성코드들이 늘어 나기 시작했다. 안철수 연구소에서 조사한 1986년 이후 누적 악성코드 수의 추정치를 그래프로 나타나면 다음 [표 2-2]와 같다. [표 2-2] 누적 악성코드 수 추정치 구분 누적 악성코드 수 구분 누적 악성코드 수 1986년 1개 1998년 1만6천~4만개 1987년 3개 1999년 4만4천개 1988년 6~10개 2000년 4만8천개 1989년 30~140개 2001년 5만5천개 1990년 100~500개 2002년 5만5천~6만2천개 1991년 360~1,100개 2003년 7만개 1992년 1,100~2,400개 2004년 12만개 1993년 2,400~3,600개 2005년 14만~20만개 1994년 3,600~5,600개 2006년 22만~36만개 1995년 5,500~7,700개 2007년 50만~600만개 1996년 7,700~11,000개 2008년 150만~1500만개 1997년 1만~1만6천개 2009년 300만~3000만개 나. 악성코드 주요 사건 브레인 바이러스의 출현 이후, 악성코드의 증가 및 진화와 함께 사람 들의 큰 주목을 모았던 사건들이 존재해왔다. 이 중에는 새로운 유형의 악성코드가 발견된 사건도 있고, 슬래머(SQL Slammer) 웜과 같이 전 세 계적으로 막대한 피해를 끼친 사건도 있다. 다음의 [표 2-3]은 1986년 이 후의 악성코드 관련 주요 사건들을 시간 순서대로 나타낸 것이다

33 [표 2-3] 악성코드의 주요 사건 연도 1986년 1987년 1988년 1990년 1991년 1992년 1995년 1998년 1999년 2000년 2001년 2003년 2004년 주요 사건 최초의 MS-DOS 바이러스 브레인(Brain) 출현 비엔나 바이러스 등 초기 바이러스 등장 브레인 바이러스가 전 세계에 전파 최초의 인터넷 웜인 모리스(Morris) 웜 출현 최초의 다형성 기법 사용 바이러스 V2PX 발견 연결형 바이러스 Dir-II 바이러스 발견 미켈란젤로 바이러스 발견 MS 오피스를 이용한 매크로 바이러스 발견 윈도우 운영체제의 백도어인 백 오리피스 (Back Orifice) 등장 I-Worm/Happy 등 메일로 전파되는 웜 등장 Visual Basic 스크립트를 이용한 VBS/Love_Letter 바이러스 전파 코드레드 웜의 전파 슬래머 웜에 의한 1.25 인터넷 대란 악성 IRC봇 변형의 대량 양산 (1) 1986년 최초의 MS-DOS 바이러스 브레인(Brain)' 출현 파키스탄의 앰자드 알비, 배시트 알비 형제가 자신들이 만든 프로그램 이 불법복제 되는 것을 막기 위해 제작한 최초의 MS-DOS 바이러스, 브 레인 바이러스가 출현하였다. 이 바이러스는 알비 형제가 만든 소프트웨 어를 불법 복제하는 경우 5.25인치 플로피 디스크의 볼륨라벨을 (c)brain 으로 바꿔버리는 기능이 있다. 브레인 바이러스는 한국에서도 최초로 발견된 바이러스이다. (2) 1987년 세계 각지에서 바이러스가 발견되기 시작 비엔나(Vienna) 바이러스, 예루살렘(Jerusalem) 바이러스 등이 세계 각

34 지에서 발견 되었다. 이 당시 도스에서 활동하는 바이러스만 10여종이었 다. (3) 1988년 Brain 바이러스의 전 세계 전파, 모리스(Morris) 웜 출현 브레인 바이러스가 전 세계로 퍼지고, 일반 사용자에게도 바이러스의 존재가 알려졌다. 그와 함께 여러 나라에서 바이러스를 탐지하고 치료할 수 있는 프로그램들을 제작하기 시작했다. 11월에는 인터넷을 통해 퍼진 최초의 웜인 모리스 웜이 출현하였다. 이 웜의 제작자인 로버트 모리스(Robert T. Morris Jr)는 코넬대학에서 이 웜을 만들어 MIT에서 11월 2일에 배포하였다. 모리스 웜은 자동으로 정부의 ARPANET에 연결된 모든 시스템에 복제되는 기능을 가지고 있 었다. 약 6000대의 유닉스 시스템이 이 웜에 감염 되었으며 이 웜에 감 염되면 기계가 느려져 결국 사용할 수 없는 상태가 되었다. 이 웜의 영 향으로 컴퓨터 통신망을 해커로부터 보호하기 위해 결성된 통신보안 전 문가 그룹인 CERT가 조직되었고 로버트 모리스는 법적인 처분을 당하 게 된다. 현재 로버트 모리스는 MIT에서 교수로 재직 중이다. (4) 1990년 다형성 기법의 바이러스 등장 1990년 1월 최초로 다형성 바이러스인 V2PX 바이러스가 발견되었다. 다형성 바이러스는 감염될 때마다 자신의 모습을 변형시키는 바이러스로 이전의 단순한 암호화 바이러스의 단점을 보완하여 악성코드의 탐지를 보다 어렵게 만든 악성코드이다. 기존의 암호화 바이러스는 암호화된 코 드를 복호화 하기 위한 암 복호화 알고리즘이 일정한 형태를 보여 이를 이용한 악성코드 탐지가 가능하였다. 하지만 다형성 기법을 적용한 악성 코드의 경우 암 복호화 알고리즘 또한 감염 시마다 변형시켜 안티바이러 스 프로그램으로 진단하기 어렵다

35 (5) 1991년 연결형 바이러스 Dir-II 발견 불가리아에서 제작한 최초의 연결형 바이러스인 Dir-II 바이러스가 발 견되었다. 연결형 바이러스는 컴퓨터 내의 프로그램의 위치 정보를 수정 하여 바이러스에 감염된 실행파일의 경로로 교체하여 사용자가 원하는 프로그램을 실행하더라도 바이러스에 감염된 실행파일을 실행하도록 유 도하는 유형의 바이러스를 의미한다. (6) 1992년 미켈란젤로(Michelangelo) 바이러스 발견 1992년 1월 미켈란젤로 바이러스가 처음 발견되었다. 이 바이러스는 3 월 6일이 동작하도록 설계되어 있으며 이 날이 되면 해당 바이러스에 감 염된 시스템의 하드디스크를 파괴하는 유형의 악성코드이다. 미켈란젤로 바이러스에 의한 파일 파괴에 대한 우려가 확산되면서 언론을 통해 대대 적으로 알려져 미켈란젤로 바이러스 신드롬 이라는 말이 생기기도 하였 다. 적극적인 홍보와 이를 탐지 치료 가능한 안티바이러스 프로그램의 배포로 실제 미켈란젤로 바이러스에 의한 피해는 크지 않았다. 하지만 바이러스에 의해 개인이나 기업이 지닌 정보들의 파괴로 인해 위험성에 대해 사람들이 인지하게 되는 계기가 되었다 (7) 1995년 매크로 바이러스 출현 매크로 바이러스 또는 스크립트 바이러스는 실행 가능한 스크립트 언 어를 이용하여 만들어진 바이러스이다. 스크립트 언어로 만들어진 바이 러스는 주로 이를 실행할 수 있는 다른 응용프로그램을 이용하여 실행되 는데, 대표적인 응용프로그램이 마이크로소프트사의 오피스 프로그램 들 이다. 이러한 매크로 바이러스는 응용프로그램의 데이터 파일에 저장되 어 있으며 이를 실행하는 순간 자동적으로 실행된다. 이러한 매크로 바 이러스는 1997년부터 전 세계적으로 유포되었다

36 (8) 1996년 최초의 엑셀 매크로 바이러스 라루 바이러스(Laroux virus) 발견 1996년 7월, 윈도우 환경에서 동작하는 최초의 엑셀 매크로 바이러스 인 라루 바이러스(Laroux virus) 가 발견되었다. 라루 바이러스는 워드 베이직이 아닌 엑셀의 VBA(Visual Basic for Application)로 작성되어 전 세계에 매크로 바이러스의 심각성을 인식시키게 되었다. 워드 베이직은 각 나라 언어별로 명령어가 달랐다. 그래서 스페인어로 작성된 바이러스 는 우리나라에서 동작하지 않는 특징이 있었다. 하지만 VBA로 작성된 바이러스는 언어가 다른 오피스에서도 활동이 가능했기 때문에 전 세계 로 퍼져나가게 되었다. (9) 1998년 백 오리피스(Back Orifice) 등장 백 오리피스는 백도어 악성코드의 대표적인 사례이다. 해커그룹 Cult Of The Dead Cow가 만든 백 오리피스는 윈도우 운영체제를 공격 대상 으로 한다. 백 오리피스는 마이크로소프트사의 윈도우 운영체제 시스템 을 원격에서 조절할 수 있게 만드는 악성코드이다. 이 프로그램을 이용 하면 윈도우 운영체제 환경의 시스템의 중요 정보를 조작하거나 파괴할 수 있게 된다. (10) 1999년 전자우편으로 전파되는 웜 등장 I-Worm/Happy, I-Worm/ExploreZip 등의 웜이 1999년 등장하였는데, 이 들은 전자우편을 통해 전파될 수 있었다. 악성코드가 전자우편을 통 해 전파되면서 기존의 악성코드에 비해 전파시간이 혁신적으로 짧아졌으 며 전파 범위도 광범위해졌다. 연말에 보고가 된 버블보이 웜은 전자우 편을 읽는 것만으로도 시스템을 감염시킬 수가 있었다. 이 경우 사용자

37 가 전자우편에 첨부된 파일을 실행시키는 등 2 차적인 행위를 요구하지 않기 때문에 높은 전파력을 갖는다. (11) 2000년 비주얼 베이직 스크립트를 이용한 바이러스 전파 5월 4일, 일명 Love Bug로 알려진 VBS/Love_Letter 바이러스가 전 세 계에 퍼졌다. 이 바이러스는 비주얼 베이직 스크립트로 만들어졌으며, 전 자우편을 통해 전파되는 웜의 일종으로 전자우편 주소록에 등록된 모든 사용자에게 바이러스가 감염된 전자우편을 보내기 때문에 전파 속도가 빠르다. 이 바이러스는 빠른 시간에 전 세계에 퍼졌고, 이후 비주얼 베이 직 스크립트로 작성된 수많은 변형 바이러스가 등장하였다. (12) 2001년 코드레드(Codered) 웜의 전파 코드레드 웜은 마이크로소프트사의 윈도우 운영체제를 사용하는 인터 넷 서버를 감염대상으로 한다. 코드레드 웜은 목표 시스템을 감염시킨 이후 일정 시간동안 잠복해 있다. 이 후 정해진 시간이 되면 공격행위를 수행한다. 이 때 감염된 서버는 속도가 느려지거나 작동이 멈추는 등 비 정상적으로 동작한다. 2001년 7월 첫 발생 후 8시간 만에 25만대 이상의 컴퓨터를 감염시켰다. 공격 대상 된 백악관은 2001년 7월 19일 인터넷 주소를 변경하고, 사이트를 폐쇄하는 조치를 취하기도 했다. (13) 2003년 슬래머(SQL Slammer) 웜에 의한 1.25 인터넷 대란 윈도우 2000의 SQL 서버 취약점을 이용한 슬래머 웜은 2003년 1월 25 일 국내를 비롯하여 전 세계의 인터넷을 마비시켜 엄청난 피해를 입혔 다. 슬래머 웜은 감염된 호스트를 이용하여 초당 1만 ~ 5만개의 UDP 패 킷을 생성하여 인터넷으로 전송하였다. 또한 적극적으로 악성코드를 전 파하여 추가적인 감염 시스템을 양산하였다. 그 과정에서 슬래머 웜에

38 감염된 호스트들은 과부하를 일으켰으며, 그로 인해 결과적으로 서비스 방해(DoS, Denial of Service) 현상을 겪게 된다. (14) 2004년 악성 IRC봇 변형의 대량 양산 IRC봇은 IRC 서비스를 이용한 악성코드로 악성코드의 행위가 정해진 알고리즘에 따라 정적으로 이루어지기 보다는 공격자의 입력에 따라 동 적으로 동작하는 유형의 악성코드이다. 악성코드가 설치될 경우 해당 악 성코드는 미리 정해진 IRC 서버의 특정 대화방에 접속하여 공격자의 명 령을 기다린다. 공격자는 IRC 서버를 이용하여 개별 IRC봇에게 명령을 내려 각종 악성행위를 수행한다. 주로 애드웨어 설치와 스팸메일 발송, 그리고 분산 서비스 방해 공격(DDos)등을 수행한다. (15) 2005년 소니 BMG의 DRM 관련 루트킷 이용한 브레프리봇 (Win-Trojan/Breplibot) 트로이목마 발견 소니 BMG는 불법 복제를 방지하기 위해 음반 CD에 DRM(Digital Rights Management)을 함께 담아 판매했다. 해당 DRM은 커널모드 루 트킷을 사용하여 자신이 실행중인 것을 숨기는 기능을 사용했다. 사용자 도 모르게 사용자의 시스템에서 수행되는 DRM 기능이 알려지면서 소니 는 큰 논쟁이 휩싸이게 된다. 11월, 소니 음반 DRM에서 보호하는 파일 명으로 위장한 브레프리봇(Win-Trojan/Breplibot) 트로이 목마가 소니 DRM 루트킷 사건이 알려진지 얼마 되지 않은 시점에서 발견됐다. (16) 2008년 MBR에 감염되는 새로운 형태의 악성코드인 트로이목마 Win-Trojan/Mbrookit이 발견 2007년 12월과 2008년 1월에 마스터 부트 레코드(Master Boot Record) 를 감염시키는 새로운 형태의 트로이 목마인 Win-Trojan/Mbrookit이 발

39 견됐다. (17) 2010년 스턱스넷(Stuxnet)이 알려짐 특정 원격감시제어(SCADA, Supervisory Control and Data Acquisition) 시스템을 대상으로 공격을 수행하는 스턱스넷이 출현하면서 발전소 등 국가기반시설에 대한 사이버위협이 현실화 되었다. 스턱스넷 은 독일 지멘스사의 PCS7 시스템상의 PLC 코드를 변경하여 오작동을 유도함으로써 관련 원격감시제어 시스템에 대한 공격과 파괴를 유발하는 악성코드이다. 스턱스넷의 등장은 악성코드의 새로운 패러다임 시대의 개막을 의미한다. 즉, 자기 과시나 금전적인 이득을 목적으로 악성코드가 제작되었던 지금까지의 패러다임에서 이제는 사회 핵심 시설의 파괴만을 목표로 제작하는 패러다임으로 바뀐 첫 사례로 볼 수 있다. 3. 악성코드 종류 악성코드는 자기 복제 능력과 감염 방법, 혹은 증상에 따라 바이러스, 웜, 트로이목마 등으로 분류된다. 악성코드의 종류는 아래와 같다. 가. 컴퓨터 바이러스(Computer virus) 컴퓨터 바이러스는 컴퓨터 시스템에 침투하여 숙주 컴퓨터의 프로그램 이나 파일을 변형시키고, 자기 자신 또는 자신의 변형을 복사하여 또 다 른 대상을 감염시킴으로써 컴퓨터 시스템과 파일을 파괴하는 프로그램이 다. 주로 전자메일, 매크로, 인터넷 웹페이지, 그리고 USB 메모리 등을 통해서 전파된다. 컴퓨터 바이러스는 컴퓨터의 비정상적인 동작을 유발하고, 시스템의 성능 저하 등에 영향을 미친다. 대표적인 사례로는 브레인 바이러스, 미 켈란젤로 바이러스 등이 있다

40 나. 웜(Worm) 프로그램 코드 자체를 스스로 복제할 수 있는 컴퓨터 프로그램이다. 자기복제가 가능하다는 점에서는 바이러스와 비슷하지만 바이러스가 다 른 파일을 공격해서 거기에 붙어 다니는데 비하여 웜은 파일과는 독립적 으로 실행되며 다른 프로그램을 필요로 하지 않는다는 점에 다르다. 또 한 웜은 사용자와의 상호작용 없이 컴퓨터 시스템의 취약점을 공격하여 그 자체만으로도 네트워크를 통해 전파될 수 있다. 따라서 웜은 거의 30 분 내로 전 세계의 컴퓨터를 감염시킬 수 있다. 컴퓨터 바이러스와 마찬가지로 컴퓨터 자체의 성능에도 영향을 미치지 만 네트워크를 손상시킬 수도 있다. 웜의 대표적인 사례로는 모리스 웜, 코드레드 웜, 그리고 슬래머 웜 등이 있다. 다. 트로이목마(Trojan horse) 그리스 신화의 트로이 전쟁에서 사용된 목마처럼 트로이 목마 프로그 램은 겉보기에는 유용한 프로그램처럼 보이지만 실제로는 해킹 기능을 가진 악성 프로그램을 말한다. 트로이 목마는 사용자 몰래 컴퓨터의 정 보를 외부로 유출하거나 원격제어가 가능하도록 만든다. 트로이 목마는 바이러스나 웜처럼 복사 기능은 없기 때문에 스스로 다른 파일이나 컴퓨 터를 감염시키지는 못하고 주로 사용자가 인터넷에서 다운로드한 파일을 통해 전파되어 사용자가 실행시키도록 유도한다. 사용자의 개인 정보 유출 등의 피해뿐 아니라 시스템 파일을 변경하거 나 파괴할 수 있다. 심각한 경우 시스템이 마비되기도 한다. 대표적인 트 로이목마 프로그램으로는 Setiri, Hydan 등이 있다. 라. 백도어(Backdoor)

41 백도어는 원래 시스템의 유지 보수나 유사시의 문제 해결을 위하여 시 스템 관리자가 보안설정을 우회하여 시스템에 접근할 수 있도록 만든 도 구이다. 하지만 최근에는 악의적인 목적을 갖는 공격자들이 시스템에 재 침입이 용이하도록 이용하는 도구를 의미한다. 백도어 프로그램은 비( 非 ) 인가된 접근을 허용하는 프로그램으로 공격자가 이후 사용자 인증 과정 등 정상적인 절차를 거치지 않고 프로그램이나 시스템에 접근할 수 있도 록 지원한다. 공격자는 시스템에 침입한 이후 재접속을 위해 백도어를 설치하기도 하지만, 프로그래머가 관리 목적으로 만들었다가 제거하지 않은 백도어를 찾아 악용하기도 한다. 백도어는 특정 포트를 오픈하여 공격자가 침입할 수 있도록 백그라운 드로 실행되며 트로이목마 같은 악성코드를 통해 감염될 수 있다. 대표 적으로 백 오리피스가 있다. 마. 스파이웨어/애드웨어(Spyware/Adware) 원래는 미국의 광고회사인 라디에이트(Radiate)가 광고를 보고 있는지 를 알아보기 위해 개발한 도구였다. 하지만 최근에는 그 목적이 변질되 어 사용자를 특정 사이트에 접속하도록 유도하거나 사용자의 개인 정보 를 유출하기 위한 목적으로 설치된다. 보통 인터넷에서 무료로 공개되는 소프트웨어를 다운받거나 특정 웹사이트를 접속할 때 함께 설치된다. 주기적으로 특정 사이트에 접속하게 하거나 홍보 배너 출력하며 심한 경우에는 사용자 컴퓨터의 입출력 내용까지도 수집하여 전송하기도 한 다. 다른 악성코드들에 비해 시스템에 치명적인 영향을 주지 않지만 악 의적인 목적으로 악용될 가능성이 존재한다. 바. 악성 봇(Malicious Bot) 악성 봇은 감염된 컴퓨터에서 일반 프로세스처럼 존재하지만 스스로 움직이지 않고 공격자가 원격으로 제어할 수 있게 만드는 악성코드이다

42 공격자의 명령에 따라 스팸 메일을 전송하게 하거나 분산 서비스 방해 공격(DDoS), 또는 정보 유출을 수행한다. 전자메일이나 웹페이지, 악성코드를 통해 감염이 되며, 대표적인 악성 봇으로는 Bagle, MyDoom 등이 있다. 사. 루트킷 (Rootkit) 루트킷은 전통적인 UNIX 시스템에서 관리자 계정을 뜻하는 root와 소 프트웨어 컴포넌트를 뜻하는 kit의 합성어로서, 컴퓨터의 관리자 권한을 유지하고 자신의 존재를 운영체제 또는 다른 프로그램으로부터 숨기는 악성코드 유형을 의미한다. 공격자는 대상 시스템의 관리자 권한을 획득한 이 후 루트킷 설치를 통해 해당 시스템에 악성코드가 관리자 권한을 유지할 수 있도록 만든 다. 루트킷은 펌웨어 또는 커널 등을 목표로 하여 운영체제의 구동 전에 특정 기능이 활성화 되는 특징을 갖는다. 즉, 루트킷의 경우 운영체제 보 다 먼저 실행되거나 운영체제의 기능을 일부 제한할 수 있어 안티바이러 스 프로그램이나 기타 다른 탐지 도구를 통해 자기 자신을 검사하는 것 을 저지할 수 있다. 특히 루트킷이 커널 내부에 위치하고 있는 경우, 루 트킷의 제거가 거의 불가능하다. 따라서 치료가 불가능하여 운영체제의 재설치가 필요하다.[5] 아. 크라임웨어 (Crimeware) 크라임웨어는 사이버범죄를 목적으로 만들어진 악성코드를 뜻한다. 크 라임웨어는 사용자의 금융정보를 유출하여 현금 계좌 인출 또는 계좌 이 체 등을 수행하거나 메신저 등을 이용한 피싱 행위를 위한 악성코드이 다. 크라임웨어는 공격자의 금전적 이익을 위해 동작한다는 점에서 스파 이웨어, 애드웨어, 등 다른 악성코드와 차이가 있다

43 4. 악성코드 동향 가. 악성코드 피해 동향 최근 악성코드는 공격 기술과 전파 기술이 고도화, 지능화, 자동화되어 인터넷 사용자들을 위협하고 있다. 예전에는 악성코드 개발자가 호기심 혹은 자기 과시를 목적으로 악성코드를 제작하였으나 최근에는 금전적 이득 및 정치적인 목적을 달성하기 위해 악성코드를 제작하는 경우가 많 아 졌다. 그 결과 악성코드로 인한 피해의 규모가 광범위해지고 있다. 악 성코드의 개체 수는 시간이 지남에 따라 기하급수적으로 늘어나고 있으 며, 다양한 기술들을 접목하여 악성코드 탐지를 우회하거나 악성코드 분 석을 방해 혹은 지연할 수 있는 악성코드가 늘어나고 있다. 안티바이러스 프로그램들을 테스트하는 독일의 AV-test는 자사의 2010 년 보고서를 통해 지난 1984년부터 2010년까지의 발견된 악성코드 개수 가 약 4,400만 개라고 발표하였다. AV-test에서는 지난 2009년 7월 보고 서에 누적 악성코드의 수는 약 2천100만 개라고 보고하였으며, 이듬해인 2010년 4월에는 누적 악성코드가 3천만 개를 돌파하였다고 밝혔다[26]. (그림 2-2) 년 동안 발견된 누적 악성코드 수

44 급격히 증가하는 새로운 악성코드로 인해 악성코드 검출을 위한 시그 니쳐의 수도 크게 증가하고 있다. 미국의 안티바이러스 회사인 맥아피의 분기 보고서 McAfee Threats Report : Fourth Quarter 2010 에 따르면 맥아피가 소유한 악성코드 시그니쳐의 수는 약 5,500만 개라고 발표하였 다[10]. 안티바이러스 회사인 시만텍은 이러한 악성코드가 급증하는 원인 으로 악성코드 제작을 위한 사전지식이 없는 일반 사용자들도 악성코드 제작 툴을 사용하여 변종의 악성코드를 손쉽게 제작할 수 있기 때문이라 고 분석하고 있다. 아래 (그림 2-3)는 맥아피가 보유하고 있는 악성코드 판별을 위한 시그니쳐의 수를 나타내고 있다. (그림 2-3) 맥아피가 보유한 시그니쳐 수 (1) 국내 악성코드 피해 동향 국내 인터넷은 1982년 SDN(TCP/IP)구축을 시작으로 다양한 정책을 통하여 빠른 성장을 거듭해 왔다. 1994년 사용 ISP(Internet Service Provider)의 등장과 1997년 전용회선 서비스의 시작으로 1999년 인터넷 이용자수가 1,000만 명이 넘었으며, 2009년에는 ITU 정보통신발전지수

45 (ICT-Development Index)가 세계 2위를 기록하였다 국가정보화백 서 에 따르면 만 3세 이상 인터넷 이용자 수는 약 3,600만 명으로 이는 만 3세 이상 국내 인구의 77.2%에 달하는 수치이다. (그림 2-4) 국내 인터넷 이용률 및 이용자 수 현황 (그림 2-5) 년 월별 국내 악성코드 발생건수 추이

46 국내 인터넷 이용률이 증가함에 따라 악성코드의 위협 또한 비례하게 증가하고 있다. 한국인터넷진흥원(KISA)의 인터넷 침해사고 동향 및 분 석월보 에 따르면 2010년 웜 바이러스의 신고 건수는 17,930건으로 전년 대비(10,395) 약 72%의 증가율을 보였다. 아래 (그림 2-5)는 2009년, 2010 년 동안 국내에서 발생한 악성코드 발생건수를 나타내고 있다. 국내의 경우 인터넷 이용자들의 인터넷 사용목적인 인터넷 구매 및 판매, 게임, 커뮤니티 와 같이 사용빈도가 높은 환경에서 작용하는 악 성코드들이 대량으로 유포되고 있다. 국내 안티바이러스 회사 안철수 연 구소의 보고서 ASEC report 에 따르면 국내에서 많은 사용률을 보이는 ActiveX의 취약점을 이용한 악성코드인 JS/Agent가 2010년 감염보고 건 수가 가장 많았으며 USB 저장매체를 통해 전파되는 악성코드인 TextImage/Autorun이 감염보고가 2위, 그리고 게임 의 정보를 탈취하기 위한 악성코드인 Win-Trojan/Onlinegamehack이 감염보고 건수가 3위를 기록했다[26]. (그림 2-6) 년 월별 국외 악성코드 발생건수 추이

47 (2) 국외 악성코드 피해 동향 국외 안티바이러스 업체 G Data의 보고서 Half-yearly report July-December 2010 에 따르면 2010년 하반기동안 새로 발견된 악성코 드의 수는 약 100만개로 일평균 약 5,800개씩 발견되고 있다고 보고하고 있다. 또한 2010년 새로 발견된 악성코드의 수는 약 200만 개로 2009년 대비 32%증가하였으며 해당 수치는 2006년 대비 약 52배 증가한 악성코 드의 발견이라고 보고하고 있다. 새로운 악성코드의 유포에 따라 악성코 드의 위협 또한 증가하는 모습을 볼 수 있다. 2010년 하반기 악성코드 감염 비율은 2009년 2분기에 비하여 16% 증가한 수치이며 2010년 상반 기에 비해서는 6% 증가한 수치이다. 이처럼 국외 악성코드의 증가 수치는 변종 악성코드의 유포 속도가 증 가하고 있음을 나타내고 있으며, 악성코드의 위협이 국내에서만 국한된 것이 아니라 세계적인 문제인 것으로 나타난다. 이에 따라 국제간 악성 코드 분석을 위한 협력이 거론되고 있으나 악성코드 분석에 관한 표준안 이 없어 협력 환경 구축이 아직 미흡한 단계에 머물러 있는 수준이다. 나. 악성코드 관련 동향 근래의 악성코드들은 다양한 사회공학적 기법을 사용하여 보안이 취약 한 시스템을 감염시키고 있다. 또한 사용자들이 다수 사용하는 웹하드, 금융 웹사이트 등을 해킹하여 악성코드를 업로드 하는 방식으로 사용자 들은 URL을 통해 접근하는 것만으로도 악성코드에 쉽게 감염되고 있다. 또한 악성코드의 제작목적이 금전적 이득의 목적을 넘어 정부기관, 금융 기관등 공신력 있는 홈페이지에 대해 서비스 방해 공격(DDoS) 공격 및 악성코드 삽입, 표적 공격(targeted attack) 등을 수행하여 사회적 혼란을 야기하는 목적으로 변형되고 있다. 최근에는 스마트폰이 발달하면서 모 바일 악성코드가 증가하고 있다[4]

48 (1) 사회공학적 기법을 이용한 공격 사회적인 이슈, 가십이 되는 사회공학적 기법을 이용한 공격이 증가하 고 있다. 2009년 마이클 잭슨 죽음 관련, 2010년 폴란드 대통령 탑승 비 행기 추락사고 관련, 유명 스포츠인 김연아 동영상 관련 등 악성코드 유 포 시점을 기준으로 최신 이슈 및 가십을 이용한 공격이 증가하고 있다. 이러한 이슈들은 악성코드를 전파시키는 전파경로로 활용될 수 있으며 단시간에 많은 사용자들을 감염시킬 수 있어 빠른 서비스 방해 공격 (DDoS)이 가능해 진다. 최근에는 SNS(Social Network Service)의 이용이 증가하면서 페이스북, 트위터 등의 서비스를 통해서 사회공학적 기법을 사용하고 있는 추세이다. (2) 사용자 유도 방식 정보보안의 관심이 높아지는 가운데, 이를 악용하는 방식이 늘고 있다. 허위 안티바이러스 프로그램을 설치 시, 정상 PC를 감염 PC로 허위 경 고 창을 출력하여 결제를 유도하는 방식, 시스템을 진단하는 시스템 진 단 유틸리티를 가장하여 해당 시스템이 현재 문제점이 있는 것으로 위장 하여 결제를 유도하는 프로그램 등이 대표적이다. 2011년에는 허위 안티 바이러스 프로그램을 대량으로 유포하여 사용자에게 월 자동결제를 유도 하여 40억 원을 가로챈 일당이 검거되기도 하였다. 이처럼 시스템의 취 약점이 아닌 사용자들의 관심 및 신뢰를 이용한 공격방식이 증가하고 있 다. (3) 웹사이트를 통한 악성코드 삽입 정상적인 서비스를 제공하는 웹사이트가 해킹에 의해 악성코드 유포 사이트로 변질될 수 있다. 이용자가 많은 웹사이트를 공격할 경우 손쉽 게 대량의 사용자에게 악성코드를 유포할 수 있어 단시간에 수많은 감염

49 PC를 양산할 수 있다. 국외 안티바이러스 회사인 시만텍의 보고서 Symantec Internet Security Threat Report Trend for 2010 에 따르면 웹 기반 공격 평균 횟수는 2009년에 비교하여 93%증가하였다고 발표하 였다[3]. 국내 안티바이러스 업체 안철수 연구소에서 발간하는 ASEC report 에 따르면 년 월별 악성코드가 발견된 도메인의 경우 아래 (그림 2-8)과 같다. 2010년 악성코드의 감염 도메인의 수는 2009년 9336 건 대비 113% 수준인 10,528건으로 집계되었다. (그림 2-7) 년 국외 웹 기반 공격 평균 횟수 위의 두 보고서에 따르면 해킹당하여 해당 수정이 가해진 웹사이트는 악성코드를 유포하는 주요 경로로 사용되고 있음을 알 수 있다. 이처럼 악성코드의 전파경로가 접속이 많은 웹사이트를 통하여 전파된다면 단시 간에 많은 감염PC를 만들 수 있으며, 또한 감염PC는 악성코드 전파에 중간노드 역할을 하기 때문에 피해가 상당할 것으로 추측된다

50 (그림 2-8) 년 국내 악성코드 감염 도메인 수 (4) DDoS(Distributed Denial of Service) 공격 [표 2-4] 7 7 DDoS와 3 4 DDoS의 피해 규모 구분 7 7 DDoS 3 4 DDoS 악성코드 유포 웹하드 업체 웹하드 업체 악성코드 기능 DDoS, 파괴 DDoS, 파괴 추정 공격 목적 사회 혼란 야기 사회 혼란 야기 하드디스크 파괴 규모 1,466건 756건 유포, 명령사이트 차단 건수 538건 749건 악성 봇 규모 115,044대 116,299대 2009년 7월 7일에 발생한 7 7 DDoS 공격과 2011년 3 4 DDoS 공격 등 국내 유명 포털 회사 및 정부기관 금융기관을 대상으로 이루어진 동시

51 다발적인 DDoS 공격으로 인하여 사회적인 불안감을 조성하는 사태가 일고 있다. 또한 DDoS에 사용된 악성코드들은 점점 진화하여 탐지가 어 려워지며 악성 행위가 복잡해지고 있다. (5) 대량의 악성 봇(bot)감염 악성코드들은 때론 PC를 감염시켜 악성 봇을 만들어 제 2의 공격에 악용하고 있다. 악성 봇이 된 PC들은 좀비 PC라고 불린다. 좀비 PC는 시스템의 정보를 외부로 유출하거나 DDoS 공격과 같은 2차적인 공격에 참여한다. 아래 (그림 2-9)는 전 세계 PC중 악성 봇이라고 추정되는 PC 대비 국내 감염률을 나타내고 있다. (그림 2-9) 국내 악성 봇 감염 PC 수 (6) 제로데이(Zero-day)공격 프로그램의 취약점이 발견된 이 후, 해당 프로그램에 대한 보안 패치 가 이루어지기 이전에 해당 취약점을 이용하여 공격을 수행하는 악성코 드들 제로데이 취약점을 이용한 악성코드로 분류한다. 과거 제로데이 공

52 격은 국내 웹사이트에서 사용하는 ActiveX와 인터넷 익스플로러가 주요 타깃이었다면, 최근 제로데이 공격은 대중적으로 사용하는 마이크로소프 트사의 오피스 제품군과 플래시 플레이어 등으로 옮겨져 악성코드의 감 염경로가 더욱 다양해 졌다. (7) 표적 공격(Targeted Attack) 불특정 다수를 대상으로 하는 일반 악성코드와 다르게 표적 공격은 특 정 기관의 정해진 정보 탈취 및 제어를 목적으로 하기 때문에 불필요한 시스템 파괴나 이상행위를 일으키지 않는다. 따라서 사용자는 자신의 시 스템의 악성코드 감염 사실을 알아차리기 어렵다. 기밀 정보 탈취하거나 물리적으로 단절된 네트워크 내에서 동작하기 위해 표적 공격에 사용되 는 악성코드는 높은 수준의 컴퓨터 지식을 가지고 제작될 가능성이 높 다. 표적 공격이 성공적으로 이루어지기 위해서는 제로데이 취약점을 이 용하거나 알려지지 않은 보안 취약점을 이용해야 하기 때문이다. 대표적 인 예로 스턱스넷 같은 경우는 5 가지 제로데이 취약점을 이용한 공격 기술이 사용된 것으로 보고되었다. 이처럼 정교하고 공개되지 않은 공격 기술을 사용하기 위해선 보통 장기간의 시간이 필요하다. (8) 모바일 악성코드 모바일 악성코드는 전파 방법 그리고 행위에서 기존 PC 기반 악성코 드와 차이점이 있다. 주로 블루투스(Bluetooth)나 멀티미디어 메시지 (MMS) 등을 통하여 감염되고 감염된 모바일 디바이스에서는 시스템 파 괴, 가용성 저하, 금전적 피해 또는 개인 정보 유출 등이 일어날 수 있 다. (9) Advanced Persistent Threat (APT)

53 악성코드를 사용해서 정보를 훔치는 그룹을 Advanced Persistent Threat 라고 한다. 보통 해커 개인을 APT라고 지칭하지 않는다. APT 공 격을 수행하기 위해서는 높은 수준의 공격 기술과 지속적인 공격행위를 진행할 수 있는 행동력이 필요하기 때문이다. APT 공격은 주로 특정 목 표를 지속적으로 공격하는 형태로 이루어진다. 따라서 정치적 목적을 지 니고 정부 기관이나 대형 기업을 대상으로 기밀문서 유출, 기간산업 방 해 등을 수행한다[6]. APT는 특정 목적을 수행하기 위해 복합적인 공격 형태를 갖는다. 공 격 대상이 되는 조직의 네트워크 접근을 위해 사회공학적인 공격을 통해 이용 가능한 공격 대상을 선정하고 일차적으로 대상 시스템을 감염 시켜 대상의 저장매체나 전자우편 계정, 홈페이지 등 각종 매체를 이용하여 목표한 표적에 접근한다. 이처럼 APT 공격은 전반적인 과정에서 정형화 된 정적인 프로세스에 의지하기 보다는 다양한 기술들을 바탕으로 순간 에 필요한 행위를 수행하는 동적은 공격 방법이다. 제 2 절 악성코드 공격 방법 1. 악성코드 공격기술 개발자의 공명심, 호기심에 의해 제작되던 과거의 악성코드와 달리 최 근 악성코드가 경제적 정치적 목적으로 제작 유포되면서 사회적 혼란을 초래하고 경제적 피해를 유발하면서 악성코드에 대한 사회 관심이 고조 되고 있다. 2009년 발생한 7 7 DDoS 공격과 3 3 DDoS 공격, 허위 안티 바이러스 프로그램을 위장한 결제 유도 악성코드, 금융 사이트를 위장한 피싱사이트, 증가하는 홈페이지 은닉형 악성코드, 제로데이 취약점 이용 한 악성코드의 증가 등 점점 발달하는 악성코드 공격 기술과 그로 인한 위협으로 인해 일반 사용자뿐만 아니라, 보안업계, 정부 또한 악성코드

54 탐지 기술에 많은 관심을 쏟게 되었다[22]. 가. 컨픽커(Conficker) (그림 2-10) 컨픽커(Conficker) 악성코드 컨픽커(Conficker)는 2008년에 최초로 알려졌으며 다양한 형태의 변종 악성코드가 존재하는 악성코드이다. 윈도우 보안취약점, USB와 같은 이 동식 저장매체, 취약한 암호를 가진 공유 폴더 등을 통하여 전파되며, 감 염 플랫폼에서 특정 웹사이트를 접속하도록 만드는 악성코드이다. 컨픽 커는 감염 플랫폼이 자신을 치료하지 못하도록 만들기 위해 DNS 정보 중 안티바이러스 업체 또는 마이크로소프트와 같은 특정 문자열이 들어 간 홈페이지 접속을 차단하여 치료를 방해한다. 나. 웨일덱(Waledac) 전자우편을 통해 전파되며, 감염된 시스템에서 스팸메일을 대량으로

55 발송하여 네트워크 트래픽을 증가시키는 악성코드이다. 2월 14일 발견되 기 시작했으며, 밸런타인데이에 관련 문구가 삽입된 메일제목을 사용하 여 클릭을 유도 후 설치되는 특성이 있어 밸런타인데이 웜 이라고도 불 린다. 변종 웨일덱(Waledac) 웜의 경우 밸런타인데이뿐만 아니라 다양한 사회적 이슈와 관련된 문구를 이용하여 메일 클릭을 유도한다. (그림 2-11) 웨일덱(Waledac) 악성코드 다. IRC봇(IRCBot) 윈도우 취약점, 네트워크 공유 폴더, 이동식 저장매체 등을 통하여 전 파되며 시스템 날짜를 변경하는 악성코드이다. 시스템의 날짜를 변경함 으로써 정상적인 서비스를 제공받을 수 없게 되며, 특정 IRC서버에 접속 하여 백도어를 설치하기도 한다. 시스템 날짜를 2090년으로 바꾸는 2090 바이러스 의 변종으로, 감염 시스템의 날짜를 2070년으로 변경해서 2070 바이러스 라고도 불린다

56 (그림 2-12) IRC봇(IRCBot) 라. 네이트온(NateOn) (그림 2-13) 네이트온(NateOn) 악성코드 2001년 유행하였던 'MSN 바이러스 와 유사한 형태의 악성코드로서, 국내에서 많이 사용되는 'NateOn' 메신저를 통해 전파되는 악성코드 이 다. 변종 유형에 따라 여러 종류의 사진을 보여주거나, 유명 온라인 게임 의 게임 정보를 외부로 유출시킨다. 마. 조커(Joker) 엑셀 파일을 실행할 때마다, 다른 엑셀 문서를 감염시키는 악성코드로, 특정 시간에 파일을 삭제한 것처럼 속이는 메시지를 송출, 사용자가 메 시지 클릭할 경우 뻥임 이라는 문자를 송출하는 악성코드이다. 변종 유

57 형에 따라 문서를 삭제하기도 한다. (그림 2-14) 조커(Joker) 악성코드 바. 클램피(Clampi) (그림 2-15) 클램피(Clampi) 악성코드 주로 SNS나 메신저를 통해 전파되는 악성코드로서 영어권 사용 국가 의 은행을 타깃으로 하는 악성코드이다. 감염 플랫폼이 금융 사이트에 접속하여 금융정보 입력 시 해당 금융정보를 외부로 전송하는 기능을 한 다. 사. 델프(Delf) 어도비(Adobe) 제품의 취약점을 이용한 악성코드로, 허위 PDF파일을 만들어 감염시킨다. 감염된 PC는 검은 화면에 마우스만 나타나는 등 부 팅 장애를 일으킨다. 다오놀(Daonol)로 불리기도 하며, 계속해서 변종 바 이러스가 발생하고 있다

58 (그림 2-16) 델프(Delf) 악성코드 아. 지봇(Zbot) (그림 2-17) 지봇(Zbot) 악성코드 스팸메일 또는 해킹 사이트를 통하여 전파되는 악성코드로 어도비 (Adobe)사 제품의 취약점을 통해 허위 PDF파일을 만들어 PC를 감염시 킨다. 또한 추가로 다른 악성코드를 다운로드 한다. 자. 허위 보안툴(SecurityTool) 허위 안티바이러스 프로그램으로 위장한 악성코드로 시스템의 주요 파 일을 패치한 뒤 사용자에게 요금 결제를 유도하는 악성코드이다. 변종에 따라 바탕화면의 아이콘을 보이지 않게 하거나, 블루스크린과 비슷한 화 면을 보여주고 재부팅시키는 경우도 있다

59 (그림 2-18) 허위 보안툴(SecurityTool) 차. AntiVirus XP 2010 (그림 2-19) AntiVirus XP 2010 안티바이러스 프로그램으로 위장한 악성코드로 실행 시 윈도우업데이 트를 가장한 허위 업데이트를 실시하며 지속적인 트레이창을 팝업 하여 치명적인 악성코드에 감염된 것처럼 사용자를 속여 결제를 유도한다. 카. 스턱스넷(Stuxnet) 스턱스넷은 특정 프로그램을 타깃으로 하는 악성코드로서 독일 지멘스 의 산업 자동화 시스템인 WinCC SCADA 시스템에서 작동하는 나타나 는 악성코드 이다. 과거 악성코드의 목표가 개인 PC 또는 특정 서버에 국한되었지만, 최근에는 스턱스넷처럼 특정 프로그램을 겨냥한 악성코드 가 발견되고 있다

60 (그림 2-20) 스턱스넷(Stuxnet) 타. 팔레보(Palevo) 팔레보는 좀비PC를 만들어내는 대표적인 웜의 한가지로 꼽히는 웜으 로서, 버터플라이(ButterFly)라는 악성코드 생성 툴에 의해 자동으로 만 들어진다. 주로 USB 등의 이동식 저장장치를 이용하여 감염이 되며, 메 모리 진단 및 치료를 하지 않으면 계속해서 사용자 시스템에 피해를 끼 치는 특성이 있다. (그림 2-21) Palevo 2. 최근 악성코드 공격 기술 동향 가. 분석 방해 지연 기술

61 악성코드들은 스팸메일 발송, 개인정보 탈취, 감염 플랫폼 손상, 서비 스 방해 공격(DDoS) 등의 목적으로 다양한 전파방식을 통하여 네트워크 전역으로 퍼져나가, 보안이 취약한 플랫폼을 감염시킨다. 이후 악성코드 들은 감염사실을 숨기기 위하여 루트킷과 같은 다양한 분석 방해 지연 기법을 사용하여 감염 플랫폼에서의 잔존 시간을 늘려 더욱 많은 정보를 외부로 유출시킨다. 대표적인 분석 방해 지연 기법으로는 생성되는 프로 세스의 정보를 숨기는 방식이 있다. 악성코드는 자신의 프로세스 정보를 숨기기 위하여 프로세스 정보를 조회하기 위한 결과 값에서 자신의 프로 세스 정보를 숨기거나 커널 레벨 구조체의 정보를 수정하는 방식 등을 사용하여 악성코드의 프로세스 정보를 숨길 수 있다. 다양한 은닉화 기술을 통해 악성코드 감염여부를 진단하지 못한다면, 감염된 플랫폼은 사용자의 개인정보를 지속적으로 악성코드 유포자에게 전송할 수 있으며 DDoS의 좀비 PC가 되어 제 2차 공격에 악용될 수 있 다. 또한 다른 플랫폼을 감염시킬 수 있는 중간 노드의 역할을 수행하게 되므로 악성코드의 분석 방해 지연 기법을 우회하거나 무력화시키는 다 양한 분석 기술들이 요구되고 있다. 악성코드 분석 방해 지연(은닉화) 기 술로는 난독화, 패킹(Packing), 안티-디버거(Anti-Debugger), 안티-가상화 (Anti-VM), 시한폭탄 등이 존재한다[24]. (1) 난독화(Obfuscation) 코드 난독화란 프로그램 코드의 일부 또는 전체를 변경하는 방법 중 하나로, 프로그래밍 언어로 작성된 코드에 대해 가독성을 떨어뜨려 읽기 어렵게 만드는 작업을 말한다. 일반적으로 소프트웨어를 분석하려는 역 공학에 대한 대비책으로 프로그램에서 사용되는 알고리즘이나 아이디어 를 숨기기 위해 사용된다. 코드 난독화는 기술을 무단으로 복제하는 것 을 방지하는데 사용되거나 불법으로 침입하는 프로그램을 막기 위해 사 용된다[19]

62 (그림 2-22) 일반적인 컴파일과 난독화 컴파일 과정 난독화 기술은 코드를 완벽하게 보호하지는 못하지만 원래 코드가 더 복잡한 형태를 갖도록 만든다. 난독화 작업은 들어가는 비용에 비해 코 드를 보호하는 효과가 크기 때문에 최근 악성코드 제작자들이 안티바이 러스 프로그램에 의해 악성코드가 탐지되지 않게 하기 위해 난독화 기술 을 사용한다. [표 2-5]는 코드 난독화 기법을 분류해 놓은 것이다

63 [표 2-5] 코드 난독화 기법 구분 Layout Obfuscation Data Obfuscation Control Obfuscation Preventive Transformation 설명 소스 코드의 포맷이나, 변수 이름, comments와 같은 응용의 layout을 대상으로 하는 방법 프로그램이 사용하는 데이터 구조를 대상으로 하는 방법 Storage Encoding Aggregation Ordering 메모리에 데이터가 저장되는 방법을 변경 예) 지역 변수를 전역 변수로 변경 저장된 데이터가 해석되는 방법을 변 경 예) 변수 i를 c1*i+c2로 변경 데이터의 그룹을 변경 예) 하나의 배열을 여러 개의 하위 배 열들로 분할 데이터의 순서를 변경 예) 배열을 reordering 하는 것, i번째 값이 특정한 함수 f에 의해 f(i)번째로 변경 프로그램의 제어 순서를 대상으로 하는 방법 Aggregation Ordering Computatio n 문장들의 그룹을 변경하는 방법 예) Inlining의 경우 함수 콜을 함수 코드 자체로 변경 문장들의 실행 순서를 변경 예) 루프의 진행 순서를 반대로 변경 프로그램의 제어 흐름을 변경 예) 실행되지 않는 코드를 추가하거나 불필요한 코드를 추가 deobfuscator들이 코드 자체를 break하기 어렵게 함 Targeted Inherent 자동 obfuscation 기술 적용을 어렵게 함 deobfuscator들의 약점을 이용 (2) 패킹(Packing, 실행파일 압축) 패킹(Packing)이란 PE(Portable executable)형식으로 배포되는 프로그램 들을 프로그래머가 자신의 프로그램이 리버서로부터 리버싱이 어렵게 하 거나, 프로그램 용량을 줄이기 위해 사용하는 방식을 말한다. 악성코드

64 개발자는 자신이 개발한 악성코드가 안티바이러스 프로그램으로부터 쉽 게 탐지되는 것을 방지하기 위해 악성코드를 패킹하여 유포할 수 있다. 패킹된 악성코드를 분석하기 위해서는 압축된 PE파일을 본래의 PE파일 로 되돌리는 언패커(unpacker)가 필요하다. 언패커는 패킹되는 방식에 따라서 알맞은 언패킹 과정을 수행하게 되는데, 만약 악성코드를 패킹 때 알려지지 않은 방식으로 패킹하거나 여러 패킹방식을 복합적으로 사 용하여 다중 패킹 할 경우, 시그니쳐 기반의 악성코드 분석기술을 우회 하거나 어렵게 만들 수 있다. [표 2-6]은 현재 개발된 패킹 툴들의 목록이다. [표 2-6] 패킹 툴 목록 Armadillo ASPack ASprotect BatExe Bat2ex.BDTmp Batlite BitArts.Fusion CryptFF CryptFF.b Crypter CryptZ DebugScript DBPE DoomPack Exeshield Eagle Embedded CAB Exe2Dll ExeStealth FlySFX JDPack MEW Mmpo NDrop PEncrypt PE_Patch.AvSpoof PECRC PCPEC Pex PE-Crypt.Negn PECrc32 PEBundle PE-Crypt.Moo PE-Crypt.UC PE-Crypt.Wonk PE-Pack PE_Patch.Aklay PE_Patch.Ardurik PE_Patch.Elka Pingvin PE_Patch.ZiPack PE_Patch.Upolyx Polyene Stxe telock Teso Yoda Crypter ZiPack (3) 안티-디버거(Anti-Debugger) 악성코드를 분석하는 방식으로는 디버깅이 오랫동안 사용되고 있다. 악성코드들은 안티바이러스 프로그램이 자신을 분석하는 것을 방해하기

65 위해서 디버깅이 수행되지 못하도록 디버거가 실행될 때 이를 탐지하여 다른 행위를 하거나 디버거의 실행을 종료시키는 등 다양한 방식을 사용 할 수 있다. 다음의 함수들은 악성코드가 디버거의 실행여부를 탐지할 수 있는 함수들에 대한 설명이다. o IsDebuggerPresent() IsDebuggerPresent()함수는 디버거의 정보를 확인하여 디버거가 진행 중이면 1 을, 그렇지 않으면 0 을 리턴하는 함수이다. 악성코드는 해당 리턴 값을 확인하여 디버깅이 진행 중인지 확인할 수 있다. 하지만 IsDebuggerPresent()는 커널 레벨의 디버거는 탐지하지 못하며 사용자모 드 디버거만 탐지 할 수 있다. o CheckRemoteDebuggerPresent() CheckRemoteDebuggerPresent()함수는 디버거가 프로세스에 접근하는 것을 확인할 수 있는 함수이다. 이 함수는 2개의 파라미터를 받아들이는 데, 첫 번째 파라미터는 프로세스 핸들이며, 두 번째 파라미터는 부울 변 수의 포인터다. 만약 프로세스가 디버그 중일 경우 부울 변수는 참 (TRUE) 값을 갖게 된다. o NtQueryInformationProcess() NtQueryInformationProcess()는 커널 구조체인 EPROCESS의 디버그포 트(DebugPort)의 표식(Flag)을 체크하여 디버거가 수행되는지를 탐지할 수 있다. 이 함수는 5개의 파라미터를 가지는데, 디버거를 탐지하기 위하 여 ProcessInformationClass는 ProcessDebugPort(7)을 설정한다. 즉, 유저 모드의 디버거가 프로세스를 디버깅 중일 때는 DebugPort 필드에 0 이 아닌 값이 나타난다. 이 경우에 ProcessInformation의 값은 0xFFFFFFFF

66 가 되고, 그렇지 않은 경우에는 0 이 된다. (4) 안티-가상화(Anti-VM) 가상머신 환경은 사용자 또는 관리자가 호스트 운영체제 내에 게스트 운영체제를 추가로 설치할 수 있도록 가상의 환경을 제공한다. 설치된 게스트 운영체제 내에서 악성코드 분석 시 시스템이 손상되더라도 본래 의 호스트 운영체제와는 독립적이므로 게스트 OS만을 복구하여도 시스 템이 손상되기 이전의 상태로 복원할 수 있다. 이러한 가상머신의 종류 로는 VMware, Xen, VirtualPC등이 있다. 안티-가상화는 악성코드 분석 기법중 하나인 가상환경에서의 악성코드 분석 기술을 우회하는 방식이다. 안티-가상화는 가상머신 환경을 구축함 으로써 나타나는 특징을 탐색하여 악성코드가 수행할 플랫폼이 가상머신 환경인지 판단할 수 있다. 다음은 가상머신 환경을 탐지하는 3가지 방법 이다. o 프로세스, 파일시스템, 레지스트리 요소 탐지 : 안티-가상화는 가상 머신 환경 구축 시 수반하는 특정 프로세스, 레지스트리, 디렉터리, 파일등을 탐지하여 가상머신 환경을 판단할 수 있다. o 메모리 요소 탐지 : 가상머신 내에서 구동되는 게스트 운영체제에서 사용하는 메모리 맵은 호스트 운영체제에서 사용하는 일반적인 메모 리 맵과의 차이를 보인다. 악성코드는 게스트 운영체제와 호스트 운 영체제의 메모리맵 차이를 탐지하여 가상머신 환경을 판단할 수 있 다. o 가상 하드웨어 주변장치 : 가상머신 환경에서는 주변장치(마우스, USB 컨트롤러, VGA 등)를 사용하기 위하여 주변장치도 가상화 한 다. 악성코드는 가상화 된 주변장치를 탐지하여 가상머신 환경을 판 단할 수 있다. (5) 시한폭탄 방식 웹사이트를 해킹하여 악성코드의 유포지로 사용할 경우 이에 대한 효

67 과적인 대처방안은 클라이언트 허니팟(Client Honeypot)과 크롤러 (crawler)와 같은 자동화된 악성코드 탐지기술이다. 자동화된 악성코드 탐지기술은 웹브라우저를 통해 의심되는 웹서버를 직접 방문한 후 시스 템에 허가되지 않은 변화(파일 시스템의 변화, 레지스트리 변경, 프로세 스 생성 등)를 관찰하여 해당 홈페이지의 악성코드 감염 여부를 판단한 다. 하지만 클라이언트 허니팟과 웹크롤러와 같이 자동적으로 웹사이트 를 방문하여 악성코드 감염 여부를 판단하는 기술들은 검사하는 웹사이 트에 특정시간동안 머물러야 하는 단점이 있다. 또한 이런 단점을 이용 하는 시한폭탄 기반의 악성코드가 존재한다. 시한폭탄 기반의 악성코드 의 경우 자동화된 악성코드 탐지 기술을 회피하기 위하여 웹사이트 방문 시 특정 시간 이후에 악성코드가 실행되게 하여 자동화된 악성코드 수집 프로그램을 우회할 수 있다. 나. 악성코드 대량 삽입 기술 웹사이트의 취약점을 이용하여 웹사이트에 악성코드를 삽입하는 방식 은 악성코드를 대량으로 유포하기에 적합한 방법이기에 공격자는 악성코 드의 전파경로로 웹사이트를 주로 사용한다. 웹사이트에 악성코드를 삽입하는 경우는 대부분 SQL 삽입(Injection) 취약점으로 인해 발생하게 된다. SQL 삽입 공격은 홈페이지와 데이터베 이스가 상호 데이터 교환 시 데이터에 대한 검증을 수행하지 않아 공격 자가 삽입한 SQL 명령어가 수행되면서 발생하는 문제점이다[23]. 최근, 공격자는 SQL 명령어를 특정 웹사이트에 주입하는 것을 넘어 SQL 명령어를 대량으로 삽입하기 위하여 데이터베이스의 문자형 칼럼의 자료값 모두에 악성코드 유포지 URL을 삽입하여 대량의 악성코드를 유 포하는 기술을 사용하고 있다. 다음의 (그림 2-23)는 데이터베이스에 악 성코드 유포지 URL 스크립트를 삽입하는 과정이다

68 (그림 2-23) 악성코드 대량삽입 흐름도 다. 악성코드의 모듈화 과거 악성코드의 경우 다양한 악성행위를 수행하는 악성코드라도 모든 기능을 하나의 파일로 만들어 유포되었다. 하지만 악성행위의 다양화와 감염 PC에 오랫동안 상주하기 위한 분석방해 기법들을 적용한 악성코드 들은 부피가 커져 하나의 파일로 모든 악성행위를 수행하는데 어려움이 있었다. 이에 악성코드 유포자들은 악성행위별로 악성코드들을 모듈화 하여 유포하고 있다. 사용자가 악성코드에 감염되었을 시 해당 악성코드 는 다른 기능을 수행하는 악성코드들을 다운로드 하는 역할만을 수행한 다. 이렇게 악성코드들을 기능별로 모듈화 할 시 수행하는 기능을 제한 하여 악성코드로 판단하는 기준을 충족하지 못하여 안티바이러스 프로그

69 램을 회피할 수 있다[21]. (그림 2-24) 기능별로 모듈화를 사용하는 쿱페이스(Koobface) 구성도 라. 악성코드의 은닉화 자기 자신을 은닉시키는 악성코드의 대표적인 예는 루트킷이다. 루트 킷은 시스템 내부에 침투해 시스템에게 잘못된 정보를 전달하거나 민감 한 데이터를 적에게 유출한다. 다른 악성코드와 다르게 루트킷은 시스템 관리자에게 발각되지 않는 것이 주목적이다. 아래 (그림 2-25)에서 루트 킷은 ring 0에 존재한다. Ring 0 는 커널 레벨로서 제일 높은 권한을 가 지고 있기 때문에, 루트킷 역시 커널과 동일한 권한으로 동작한다[7]

70 (그림 2-25) Ring 보안 모델 루트킷은 다양한 방법을 통해서 시스템으로부터 은닉한다. 백신 프로 그램 역시 시스템 서비스를 사용하기 때문에 루트킷을 탐지하기가 매우 어렵다. 루트킷의 한 종류인 부트킷(bootkit)은 MBR 영역을 감염시키기 때문에 백신 프로그램의 탐지 자체가 애초에 불가능하다. 다음은 대표적 인 은닉 기술 들이다. o Hooking : 원래 함수의 코드를 수정하여 다른 명령어를 수행하게 하거나 함수 테이블을 엔트리를 다른 주소 값으로 변경한다. o 시스템 프로그램의 변조 : 시스템 프로그램을 변조하여 시스템이 정 상인 것처럼 결과를 반환한다. o 커널 데이터 조작 : 커널에서 사용하는 데이터 값을 수정하여 루트 킷을 은닉할 수 있다. o 디바이스 드라이버 사용 : Layered Device Driver (kernel 모듈이 다 른 장치에 접근할 때 사용)을 이용하면 keyboard, file system 또는 network I/O를 intercept 할 수 있다

71 o 레지스터 변조 : debug register를 이용해서 특정 메모리 접근 또는 실행이 특정 부분으로 이동했을 때 실행을 제어할 수 있다. 또 다른 레지스터인 Model Specific Registers (MSRs)를 사용하면 특정 명령 어 (예를 들면 SYSENTER)가 실행되었을 때 제어를 할 수 있다. ocallback 함수 사용 : 운영체제 API를 이용해서 특정 이벤트 발생 시 호출되는 call back 함수를 등록해서 실행 흐름을 제어한다. 루트킷은 악의적인 목적으로만 사용하는 것은 아니다. 국가 정보기관 에서도 루트킷 기술들을 사용한다. 실제로 FBI에서는 매직 랜턴(Magic Lantern)이라는 프로그램을 개발해서 범인을 추적하는데 사용하였다. 세 계적인 기업 소니는 자사 제품의 불법 복제를 막기 위해서 루트킷을 사 용하였다. 소니의 루트킷은 CD 플레이어에 설치되어 이름이 $SYS$ 으 로 시작되는 파일, 폴더, 레지스트리 키 등을 숨기고 회사에 플레이어 ID, 사용자 컴퓨터의 IP 주소 등을 전송하였다. 하지만 시스캔(SysScan) 의 Mark Russinovich가 자신의 블로그에 이와 같은 내용을 업로드하면 서 언론의 주목을 받고 소니는 법정에 서게 되었다. 마. 안티-포렌식(Anti-Forensic) (1) 데이터 디스트럭션(Data Destruction) 포렌식을 통한 악성코드에 대한 분석을 어렵게 하기 위한 가장 기본적 인 방법은 포렌식에 이용되는 정보를 최소화하는 것이다. 즉 안티-포렌 식의 데이터 드스트럭션은 분석에 이용될 수 있는 각종 변수값, 메모리 버퍼의 값들을 안전하게 삭제하는 기술을 의미한다. 이러한 방법으로 데 이터를 삭제하거나 난수 값으로 채우는 방법이 있다. (2) 데이터 하이딩(Data Hiding) 데이터 하이딩은 포렌식에 이용될 수 있는 결정적인 정보들을 처음부

72 터 발견하기 어려운 위치에 저장하여 사용하는 방법을 의미한다. 일반적 으로 사용하지 않는 파일 시스템의 메타 데이터나 리저브드(reserved) 디 스크 섹터에 정보를 저장함으로써 해당 정보들이 분석에 이용되는 확률 을 줄이는 기술이다. (3) 데이터 변환(Data Transformation) 데이터를 어떤 알고리즘을 통해서 그 의미를 모호하게 만드는 것을 데 이터 변환이라고 한다. 스테가노그래피 또는 환자 전치 암호가 대표적인 예이다. (4) 데이터 칸트러셉션(Data Contraception) "The grugq"라고 불리는 보안 연구원은 데이터를 분석이 불가능한 곳 에 데이터를 저장해서 포렌식 증거물의 양을 줄이는 아이디어를 냈다. 디스크에 데이터를 쓰는 것을 예방하여 포렌식 툴이 분석가에게 노출이 되는 것을 막는다. (5) 데이터 패브리케이션(Data Fabrication) 데이터 패브리케이션의 목표는 분석가에게 잘못된 정보를 제공해서 분 석가들이 잘못된 방향으로 흘러가게 유도하는 것이다. 예를 들어, 만약 분석가가 체크섬을 확인한다면, 최대한 많은 파일을 수정하여 포렌식 분 석에 소요되는 시간을 증가시키는 것이다. (6) 파일 시스템 공격(File System Attack) 파일 시스템이 사용하는 자료 구조를 훼손해서 포렌식 분석을 막는 방 법이다. 예를 들어, 파일 시스템의 부트 섹터 또는 마스터 파일 테이블을

73 훼손하면 포렌식 도구가 파일 시스템을 정상적으로 분석 못하는 결과가 발생할 수 있다. 3. 악성코드 대응전략 가. 대응 기술 구분 [표 2-7] 악성코드 탐지 및 대응 기술 구분 호스트 기반 네트워크 기반 시그니쳐 기반 o 분석된 악성코드의 패 턴을 이용하여 탐지 o 알려지지 않은 악성코 드 탐지가 어려움 o 보유 비정상 트래픽 패 턴을 이용 o 패턴을 벗어나는 경우 탐지가 불가능 행위 기반 o 악성코드의 이상 행위를 기 반으로 탐지 o 탐지/분석 회피기술을 사용 o 오탐의 소지가 있음 o 네트워크 트래픽 분석으로 비정상 봇넷 트래픽 탐지 o 오탐의 소지가 있고 탐지율 이 매우 낮음 악성코드 탐지 및 대응 기술은 기술을 적용하는 대상에 따라 호스트 기반 탐지 기술과 네트워크 기반 탐지 기술로 구분될 수 있으며, 해당 기술의 동작 특성에 따라 시그니쳐 기반과 행위 기반으로 구분될 수 있 다. 호스트 기반 악성코드 탐지 기술은 각 호스트에 설치된 악성코드 탐 지 프로그램을 사용하여 파일 혹은 시스템의 악성코드를 검사하는 방법 이다. 이와 달리 네트워크 기반 악성코드 탐지 기술은 네트워크의 경계 에서 각 호스트로 전달되는 네트워크 트래픽을 수집하고 검사함으로써 악성코드를 탐지하는 방법이다. 또한 시그니쳐 기반 악성코드 탐지 기술 은 파일의 특정 부분 또는 고유한 부분을 대상으로 하여 이미 알려진 악 성코드의 패턴과의 일치 여부를 검사하는 기법이며, 행위 기반 악성코드 탐지 기술은 시스템 내에서 일어나는 다양한 행동을 분석하여 악성코드

74 의심 파일을 탐지해내는 방법이다. [표 2-7]은 이와 같은 악성코드 탐지 및 대응 기술을 호스트-시그니쳐 기반, 호스트-행위 기반, 네트워크-시그 니쳐 기반, 네트워크-행위 기반의 4가지로 구분해 놓은 것이다[20]. (1) 호스트-시그니쳐 기반 호스트-시그니쳐 기반 악성코드 탐지 기법은 호스트의 파일 시스템을 대상으로 알려진 악성코드의 패턴을 이용하여 탐지하는 기술이다. 대부 분의 안티바이러스 소프트웨어는 호스트에서 파일 기반의 탐지 기법을 사용하여 악성코드를 검사한다. 데이터베이스에 악성코드의 시그니쳐 정 보를 최신으로 유지하는 경우 높은 탐지율을 갖는 특징이 있으나, 알려 지지 않은 새로운 패턴의 악성코드 또는 시그니쳐의 일부를 변경한 악성 코드의 탐지에는 취약하다는 단점이 있다. (2) 호스트-행위 기반 호스트-행위 기반 악성코드 탐지 기법은 실행파일이 실행될 때 시스템 내에서 일어나는 행동을 관찰하여 악성코드로 의심되는 파일을 탐지해 내는 기법이다. 동적 분석 도구, 샌드박스 등 프로그램의 실행을 모니터 함으로써 악성코드를 검출하는 분석 기법들이 호스트-행위 기반 악성코 드 탐지 기법에 포함된다. 전통적인 시그니쳐 기반 악성코드 탐지 기법 과 달리 최근 대두되는 악성코드 분석 기법을 우회하는 신종 악성코드 또한 검출해 낼 수 있다. 그러나, 정상 파일을 악성코드로 잘못 판단하는 오탐(false-positive)의 가능성이 있다는 단점이 있다. (3) 네트워크-시그니쳐 기반 네트워크-시그니쳐 기반 악성코드 탐지 기법은 네트워크 패킷을 감시 하여 악성코드로 추정되는 트래픽 패턴을 감지하는 기법이다. 알려진 공

75 격 시그니쳐를 감시하고 의심스러운 네트워크 활동을 탐지하며, 침입 탐 지 시스템(IDS), 침입 방지 시스템(IPS) 등에서 사용된다. 호스트-시그니 쳐 기반 탐지 기법과 마찬가지로 알려지지 않은 패턴의 악성코드의 탐지 에 취약하다는 단점이 있다. 최근에는 미탐(false-negative)률을 낮추기 위한 노력의 일환으로 비정상 행위 탐지 기법과 함께 사용되는 경우가 많다. (4) 네트워크-행위 기반 네트워크-행위 기반 악성코드 탐지 기법은 네트워크 패킷을 감시하여 미리 정의된 룰셋(rule set)이나 정상 행동을 벗어나는 행위를 하는 트래 픽을 공격으로 간주하여 탐지하는 방법이다. 실시간 패킷 처리, 변형 공 격의 탐지 등 실시간으로 각 상황에 맞는 대응을 할 수 있는 기술이며, 학습을 통해 정상/비정상 행위의 구분을 스스로 배워간다. 그러나 아직 까지는 탐지율이 낮아 오탐의 가능성이 매우 크다. 나. 국내 외 기술 현황 (1) 국내 기술 현황 다음은 안철수 연구소, 하우리 등 국내의 주요 안티바이러스 업체들의 기술 및 제품에 관한 최근 현황이다. o 넷시큐어: 안전한 인터넷 서비스 제공을 위한 신종 봇넷 대응 기술 개발을 위해 한국정보보호진흥원과 신종 봇넷 능동형 탐지 및 대응 기술 개발 공동연구 협약을 체결하였다. (2009) o 소프트시큐리티: 스마트폰용 통합보안솔루션 터치앤세이프 를 개발 하였다. 터치앤세이프는 한국정보통신기술협회(TTA) 소프트웨어 기 능 시험을 통과했다. (2010) o 시큐아이닷컴: 코스콤 증권분야 통합관제시스템 구축사업에 삼성전

76 자의 기가급 L2 보안스위치 ies4200 시리즈'를 공급했다. ies4200 시리즈는 IP 스푸핑을 통한 도 감청을 차단하고 웜이나 봇에 의한 유해트래픽 발산을 통제하는 보안 기능을 수행한다. (2010) o 안철수 연구소: 좀비PC 대응용 네트워크 보안 장비 '트러스와처 (AhnLab TrusWatcher)'를 출시하였다. 트러스와처는 클라우드 기반 악성코드 분석 시스템인 AhnLab Smart Defense를 활용, 좀비PC를 만드는 악성코드를 차단함으로써 내부 PC의 좀비화를 방지한다. (2011) o 어울림정보기술: 네트워크 통합보안제품 시큐어웍스 제품군이 EAL4 국제공통평가기준(CC) 인증을 획득하였다. 고성능 방화 벽 VPN 전용 솔루션 기반 위에 통합보안 기술력과 IPv6 환경을 지 원함으로써 긴급 대응 인프라가 유기적으로 결합된 네트워크 보안 솔루션을 제공한다. (2011) o 에어큐브: 스마트워크 보안에 초점을 둔 '패킷 기반 네트워크 접근 제어 솔루션'을 개발하였다. 악성코드에 감염된 단말기의 패킷을 분 석해 회사 네트워크와 격리하는 솔루션을 제공한다. (2011) o 윈스테크넷: 좀비PC 대응시스템 '스나이퍼BPS' 출시와 함께 EAL3 등급의 정보보호제품 공통평가기준(CC)을 획득하였다. 스나이퍼BPS 를 통해 DDoS 대응시스템, 침입 방지 시스템, 방화벽 등의 공격 차 단 장비와 연동하는 능동적인 DDoS 예방 대응이 가능하다. (2011) o 이글루시큐리티: 전자우편 첨부파일 악성코드 탐지 및 차단 시스템 제품인 에스코트(e-Scort) 가 IT보안인증사무국으로부터 CC인증을 획득하였다. (2010) o 하우리: 통합보안 중앙관리 솔루션인 바이로봇 매니지먼트 시스템 이 한국정보통신기술협회로부터 GS인증을 획득하였다. 바이로봇 매 니지먼트 시스템은 모니터링 센터, 악성코드 의심 파일 자동수집 시 스템, NAC(네트워크 접근제어) 기반의 관리 프로그램 설치 유도 기 능 등을 제공한다. (2011) o 한국전자통신연구원: 네트워크를 통해 유입되는 바이러스, 웜, 트로 이목마 등 악성 변종 코드를 실시간으로 탐지, 분석하고 관리함으로 써 네트워크 공격을 원천 방지할 수 있는 신 변종 악성코드 탐지 기 술을 개발하였다. (2008) (2) 국외 기술 현황 다음은 맥아피, 시만텍 등 국외의 주요 안티바이러스 업체들의 기술 및 제품에 관한 최근 현황이다

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

TGDPX white paper

TGDPX white paper White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상 Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는

More information

회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제

회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제 회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제 KR000****4 설 * 환 KR000****4 송 * 애 김 * 수 KR000****4

More information

ActFax 4.31 Local Privilege Escalation Exploit

ActFax 4.31 Local Privilege Escalation Exploit NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

2. 4. 1. 업무에 활용 가능한 플러그인 QGIS의 큰 들을 찾 아서 특징 설치 마 폰 은 스 트 그 8 하 이 업무에 필요한 기능 메뉴 TM f K 플러그인 호출 와 TM f K < 림 > TM f K 종항 그 중에서 그 설치 듯 할 수 있는 플러그인이 많이 제공된다는 것이다. < 림 > 다. 에서 어플을 다운받아 S or 8, 9 의 S or OREA

More information

SIGIL 완벽입문

SIGIL 완벽입문 누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS

More information

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷 인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS

More information

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN

More information

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

개인정보보호의  이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호- 개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro

More information

<C0CCC8ADC1F82E687770>

<C0CCC8ADC1F82E687770> 분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상

More information

춤추는시민을기록하다_최종본 웹용

춤추는시민을기록하다_최종본 웹용 몸이란? 자 기 반 성 유 형 밀 당 유 형 유 레 카 유 형 동 양 철 학 유 형 그 리 스 자 연 철 학 유 형 춤이란? 물 아 일 체 유 형 무 아 지 경 유 형 댄 스 본 능 유 형 명 상 수 련 유 형 바 디 랭 귀 지 유 형 비 타 민 유 형 #1

More information

wtu05_ÃÖÁ¾

wtu05_ÃÖÁ¾ 한 눈에 보는 이달의 주요 글로벌 IT 트렌드 IDG World Tech Update May C o n t e n t s Cover Story 아이패드, 태블릿 컴퓨팅 시대를 열다 Monthly News Brief 이달의 주요 글로벌 IT 뉴스 IDG Insight 개발자 관점에서 본 윈도우 폰 7 vs. 아이폰 클라우드 컴퓨팅, 불만 검증 단계 돌입 기업의

More information

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로

More information

04 Çмú_±â¼ú±â»ç

04 Çмú_±â¼ú±â»ç 42 s p x f p (x) f (x) VOL. 46 NO. 12 2013. 12 43 p j (x) r j n c f max f min v max, j j c j (x) j f (x) v j (x) f (x) v(x) f d (x) f (x) f (x) v(x) v(x) r f 44 r f X(x) Y (x) (x, y) (x, y) f (x, y) VOL.

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file

More information

Microsoft PowerPoint - ch06_악성 코드 [호환 모드]

Microsoft PowerPoint - ch06_악성 코드 [호환 모드] 정보 보안 개론 6장 이 장에서 다룰 내용 1 2 3 2 4 악성 코드의 종류와 그 특성을 알아본다. 바이러스의 동작 원리를 이해한다. 웜의 동작 원리를 이해한다. 기타 악성 코드의 종류를 알아본다. Section 01 악성 코드의 역사와 분류 v 악성 코드의 정의 제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든 악의적 목적을 가진 프로그램 및 매크로,

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

RHEV 2.2 인증서 만료 확인 및 갱신

RHEV 2.2 인증서 만료 확인 및 갱신 2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_

More information

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770> 여 48.6% 남 51.4% 40대 10.7% 50대 이 상 6.0% 10대 0.9% 20대 34.5% 30대 47.9% 초등졸 이하 대학원생 이 0.6% 중졸 이하 상 0.7% 2.7% 고졸 이하 34.2% 대졸 이하 61.9% 직장 1.9% e-mail 주소 2.8% 핸드폰 번호 8.2% 전화번호 4.5% 학교 0.9% 주소 2.0% 기타 0.4% 이름

More information

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드] 리눅스 설치 Vmware를 이용한 Fedora Core 8 설치 소프트웨어실습 1 Contents 가상 머신 실습 환경 구축 Fedora Core 8 설치 가상 머신 가상 머신 가상 머신의 개념 VMware의 설치 VMware : 가상 머신 생성 VMware의 특징 실습 환경 구축 실습 환경 구축 Fedora Core 8 설치 가상 머신의 개념 가상 머신 (Virtual

More information

ThinkVantage Fingerprint Software

ThinkVantage Fingerprint Software ThinkVantage 지문 인식 소프트웨어 First Edition (August 2005) Copyright Lenovo 2005. Portions Copyright International Business Machines Corporation 2005. All rights reserved. U.S. GOVERNMENT USERS RESTRICTED RIGHTS:

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

- 2 -

- 2 - - 1 - - 2 - - - - 4 - - 5 - - 6 - - 7 - - 8 - 4) 민원담당공무원 대상 설문조사의 결과와 함의 국민신문고가 업무와 통합된 지식경영시스템으로 실제 운영되고 있는지, 국민신문 고의 효율 알 성 제고 등 성과향상에 기여한다고 평가할 수 있는지를 치 메 국민신문고를 접해본 중앙부처 및 지방자 였 조사를 시행하 였 해 진행하 월 다.

More information

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

PathEye 공식 블로그 다운로드 받으세요!!   지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye Mobile Ver. 0.71b 2009. 3. 17 By PathEye 공식 블로그 다운로드 받으세요!! http://blog.patheye.com 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye 설치 1/3 최종 배포 버전을 다 운로드 받습니다. 다운로드된 파일은 CAB 파일입니다. CAB 파일에는

More information

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L 1,000 AP 20,000 ZoneDirector 5000. IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. WLAN LAN Ruckus Wireless (ZD5000),, WLAN. 20,000 2,048 WLAN ZD5000 1,000 ZoneFlex

More information

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3 CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정

More information

H3250_Wi-Fi_E.book

H3250_Wi-Fi_E.book 무선 LAN 기능으로 할 수 있는 것 2 무선 LAN 기능으로 할 수 있는 것 z q l D w 3 Wi-Fi 기능 플로우차트 z q l D 4 Wi-Fi 기능 플로우차트 w 5 본 사용 설명서의 기호 설명 6 각 장별 목차 1 2 3 4 5 6 7 8 9 10 11 12 13 14 7 목차 1 2 3 4 8 목차 5 6 7 8 9 9 목차 10 11 12

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서 커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드

More information

컴퓨터관리2번째시간

컴퓨터관리2번째시간 Company 컴퓨터 관리 참고 자료 PC 운영체제 POST 기능 :, ROM BIOS ( : [F8]) 1. Windows XP Windows XP 사용자 계정 :,,, 강화된 디지털 미디어 지원 기능 : (Windows Movie Maker), CD (Windows Media Player), Windows 홈 네트워크 기능 :, 강화된 시스템 관리 :,

More information

Chapter ...

Chapter ... Chapter 4 프로세서 (4.9절, 4.12절, 4.13절) Contents 4.1 소개 4.2 논리 설계 기초 4.3 데이터패스 설계 4.4 단순한 구현 방법 4.5 파이프라이닝 개요*** 4.6 파이프라이닝 데이터패스 및 제어*** 4.7 데이터 해저드: 포워딩 vs. 스톨링*** 4.8 제어 해저드*** 4.9 예외 처리*** 4.10 명령어 수준

More information

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집 Modern Modern www.office.com ( ) 892 5 : 1577-9700 : http://www.microsoft.com/korea Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와

More information

2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법

More information

<C3E6B3B2B1B3C0B0313832C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

<C3E6B3B2B1B3C0B0313832C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466> 11-8140242-000001-08 2013-927 2013 182 2013 182 Contents 02 16 08 10 12 18 53 25 32 63 Summer 2 0 1 3 68 40 51 57 65 72 81 90 97 103 109 94 116 123 130 140 144 148 118 154 158 163 1 2 3 4 5 8 SUMMER

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction 해킹및침해대응 Lecture2 침해사고동향 보안위협의증대 APT 를기반으로하는기업 / 기관을대상으로하는공격이지속적으로발생 : ADD, MND, 한수원등 DDoS 공격의지속적인발생, 공격목적의변화 서비스거부해제를위한금품요구 사회혼란, 정치적목적 공공기관사칭피싱사이트증가 금융, 게임, 포털 검찰청, 경찰청, 금감원 추가적으로모바일형태의피싱사이트증가 주요인기키워드및사회이슈를활용한악성코드배포

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

라우터

라우터 네트워크 라우터 네트워크연결 라우터의 포지셔닝 맵 예전에는 소규모 환경에서도 스위치 무선 액세스 포인트 가속 어플라이언스 등 다양한 디바이스를 설치해야만 했습니다 은 이런 여러 디바이스에서 제공되는 네트워크 서비스를 하나의 플랫폼에 통합할 수 있는 슈퍼 라우터 입니다 이런 라우터들은 여러 서비스를 통합할 수 있을 뿐 아니라 라이선스 활성화 및 또는 확장 모듈

More information

<5BB0EDB3ADB5B55D32303131B3E2B4EBBAF12DB0ED312D312DC1DFB0A32DC0B6C7D5B0FAC7D02D28312E28322920BAF2B9F0B0FA20BFF8C0DAC0C720C7FCBCBA2D3031292D3135B9AEC7D72E687770>

<5BB0EDB3ADB5B55D32303131B3E2B4EBBAF12DB0ED312D312DC1DFB0A32DC0B6C7D5B0FAC7D02D28312E28322920BAF2B9F0B0FA20BFF8C0DAC0C720C7FCBCBA2D3031292D3135B9AEC7D72E687770> 고1 융합 과학 2011년도 1학기 중간고사 대비 다음 글을 읽고 물음에 답하시오. 1 빅뱅 우주론에서 수소와 헬륨 의 형성에 대한 설명으로 옳은 것을 보기에서 모두 고른 것은? 4 서술형 다음 그림은 수소와 헬륨의 동위 원 소의 을 모형으로 나타낸 것이. 우주에서 생성된 수소와 헬륨 의 질량비 는 약 3:1 이. (+)전하를 띠는 양성자와 전기적 중성인 중성자

More information

<352831292E5FBBEABEF7C1DFBAD0B7F9BAB02C5FC1B6C1F7C7FCC5C25FB9D75FB5BFBAB05FBBE7BEF7C3BCBCF65FA1A4C1BEBBE7C0DABCF62E786C73>

<352831292E5FBBEABEF7C1DFBAD0B7F9BAB02C5FC1B6C1F7C7FCC5C25FB9D75FB5BFBAB05FBBE7BEF7C3BCBCF65FA1A4C1BEBBE7C0DABCF62E786C73> 5. 산업중분류, 조직형태 및 동별 사업체수, 종사자수 단위 : 개, 명 금정구 서1동 서2동 서3동 Geumjeong-gu Seo 1(il)-dong Seo 2(i)-dong Seo 3(sam)-dong TT전 산 업 17 763 74 873 537 1 493 859 2 482 495 1 506 15 519 35 740 520 978 815 1 666 462

More information

View Licenses and Services (customer)

View Licenses and Services (customer) 빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차

More information

피해자식별PDF용 0502

피해자식별PDF용 0502 국제이주기구(International IOM 인신매매 방지 교육 지침서 시리즈는 인신매매 피해자 Organization for Migration, IOM) 에 대한 지원 서비스를 향상시키려는 노력의 일환으로 개발 는 전 세계 곳곳에서 인신매매 방지 되었다. IOM의 풍부한 현장 경험을 기반으로 하여 실무자에 활동에 참여하고 있는 비정부기구, 정 게 도움이 될

More information

Microsoft Word - kis7.0.MASTER.doc

Microsoft Word - kis7.0.MASTER.doc KASPERSKY LAB 카스퍼스키 인터넷 시큐리티 7.0 사용자 설명서 KASPERSKY INTERNET SECURITY 7.0 사용자 설명서 Kaspersky Lab http://www.kaspersky.co.kr 목 차 1.장 컴퓨터보안 위협... 11 1.1. 위협 요소... 11 1.2. 위협의 확산... 12 1.3. 위협 유형... 14 1.4.

More information

2

2 2 About Honeyscreen Copyright All Right Reserved by Buzzvil 3 2013.06 2013.1 2014.03 2014.09 2014.12 2015.01 2015.04 전체 가입자 수 4 7 8 10대 20대 30대 40대 50대 9 52.27 % 42.83 % 38.17 % 33.46 % 10 Why Honeyscreen

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

......

...... Introduction to Computers 3 4 5 6 01 7 02 8 03 9 04 05 10 06 11 07 12 08 13 09 10 14 11 15 12 16 13 17 14 15 18 19 01 48 Introduction to Computers 임들을 많이 볼 수 있다. 과거에는 주로 컴퓨터

More information

내지(교사용) 4-6부

내지(교사용) 4-6부 Chapter5 140 141 142 143 144 145 146 147 148 01 02 03 04 05 06 07 08 149 활 / 동 / 지 2 01 즐겨 찾는 사이트와 찾는 이유는? 사이트: 이유: 02 아래는 어느 외국계 사이트의 회원가입 화면이다. 국내의 일반적인 회원가입보다 절차가 간소하거나 기입하지 않아도 되는 개인정보 항목이 있다면 무엇인지

More information

MF Driver Installation Guide

MF Driver Installation Guide Korean MF 드라이버 설치설명서 사용자 소프트웨어 CD-ROM... 드라이버 및 소프트웨어 정보...1 지원되는 운영 체제...1 MF 드라이버 및 MF Toolbox 설치... [쉬운 설치]를 사용한 설치...2 [사용자 정의 설치]를 사용한 설치...10 USB 케이블 연결(USB를 이용해 연결하는 경우만)...20 설치 결과 확인...21 온라인

More information

Xcovery 사용설명서

Xcovery 사용설명서 ㄱ 센티리온 프리미엄 사용설명서 목 차 Chapter 1 프로그램 소개 및 기본개념 1) 시스템 복구 2) 시스템백업 3) 시스템 백업 및 시스템 복구 활용하기 4) 폴더보호 Chapter 2 프로그램 설치하기 1) 프로그램 설치 방법 2) Centillion 설치 소프트웨어 사용권 계약서 3) 제품 인증 키 입력 4) Centillion 폴더보호 5) Windows

More information

exp

exp exp exp exp exp exp exp exp exp exp exp exp log 第 卷 第 號 39 4 2011 4 투영법을 이용한 터빈 블레이드의 크리프 특성 분석 329 성을 평가하였다 이를 위해 결정계수값인 값 을 비교하였으며 크리프 시험 결과를 곡선 접합 한 결과와 비선형 최소자승법으로 예측한 결과 사 이 결정계수간 정도의 오차가 발생하였고

More information

41-4....

41-4.... ISSN 1016-9288 제41권 4호 2014년 4월호 제 4 1 권 제 4 호 ( ) 2 0 1 4 년 4 월 차 세 대 컴 퓨 팅 보 안 기 술 The Magazine of the IEIE 차세대 컴퓨팅 보안기술 vol.41. no.4 새롭게 진화하는 위협의 패러다임 - 지능형 지속 위협(APT) 인터넷을 통해 유포되는 악성 프로그램 대응전략 차세대

More information

CR2006-41.hwp

CR2006-41.hwp 연구책임자 가나다 순 머 리 말 2006년 12월 한국교육학술정보원 원장 - i - - ii - - iii - 평가 영역 1. 교육계획 2. 수업 3. 인적자원 4. 물적자원 5. 경영과 행정 6. 교육성과 평가 부문 부문 배점 비율(%) 점수(점) 영역 배점 1.1 교육목표 3 15 45점 1.2 교육과정 6 30 (9%) 2.1 수업설계 6 30 2.2

More information

나하나로 5호

나하나로 5호 Vol 3, No. 1, June, 2009 Korean Association of CardioPulmonary Resuscitation Korean Association of CardioPulmonary Resuscitation(KACPR) Newsletter 01 02 03 04 05 2 3 4 대한심폐소생협회 소식 교육위원회 소식 일반인(초등학생/가족)을

More information

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074> SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......

More information

User Guide

User Guide HP ThinUpdate 관리자 설명서 Copyright 2016 HP Development Company, L.P. Windows는 미국 및/또는 기타 국가에서 Microsoft Corporation의 등록 상표 또는 상표입 니다. 기밀 컴퓨터 소프트웨어. 소유, 사용 또는 복사 에 필요한 유효한 사용권을 HP로부터 취득했 습니다. FAR 12.211 및

More information

슬라이드 1

슬라이드 1 ment Perspective (주)아임굿은 빅데이터 기술력, 반응형웹 제작, 온라인마케팅 노하우를 겸비한 IT 솔루션개발 및 마케팅 전문 기업입니다. 웹 정보를 수집하는 크롟링 시스템과 대량의 데이터를 처리하는 빅데이터 기술을 통해 쉽게 지나칠 수 있는 정보를 좀 더 가치있고 흥미로운 결과물로 변화하여 고객에게 제공하고 있습니다. 또한 최근 관심이 높아지고

More information

안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정]------------------------------------------------- 2 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규

안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정]------------------------------------------------- 2 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규 발행일 : 2013년 7월 25일 안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정]------------------------------------------------- 2 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규정]--------------------------------------------

More information

© Rohde & Schwarz; R&S®CDS Campus Dashboard Software

© Rohde & Schwarz; R&S®CDS Campus Dashboard Software Product Brochure Version 03.00 R&S CDS Campus Dashboard Software 멀티 유저 실험, 실습실을 위한 교육용 소프트웨어 CDS_bro_ko_3607-9308-16_v0300.indd 1 18.02.2019 10:28:33 R&S CDS Campus Dashboard Software 개요 R&S CDS Campus

More information

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707 최근정보보호위협과 침해사고동향 김홍석보안프로그램매니저고객지원부한국마이크로소프트 해킹으로부터안전하고 바이러스걱정도안하고 보안취약점염려도없이 컴퓨터를가장안전하게사용하는 방법은? 컴퓨터를네트워크에연결하지않고 CD, 디스켓, USB 메모리를사용하지않는다 한국정보보호진흥원 (KISA) 2006. 12. * 정보통신부 Dynamic u-korea 정보보호강화사업결과물

More information

helpU 1.0

helpU 1.0 helpu May I help You 고품격 저비용 합리적인 원격지원 헬프유 목차 1. 제안 배경 2. 헬프유 개요 3. 파격 제안 4. 경쟁사 비교 5. 안전성 검증 6. 주요 기능 7. 도입 효과 기존 고객지원의 문제점 및 환경요인 > IT 기반의 Customer Service 수준 향상 추진 필요 노후한 고객지원 환경 전화를 통한 고객응대 시간 지체로

More information

목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격..

목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격.. 취약점 분석 보고서 [ Adobe Flash Player 11.3 Kern Table Parsing Integer Overflow - CVE-2012-1535 ] 2012-08-23 RedAlert Team 안상환 목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리...

More information

*****

***** Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot

More information

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770> 스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고

More information

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

ePapyrus PDF Document

ePapyrus PDF Document 공학기술특집 사이버 위협 대응의 최일선 현장에서 전 길 수 한국인터넷진흥원 침해사고대응단장 kschun@kisa.or.kr 인터넷침해대응센터 침해사고대응단장 관심분야: 해킹사고분석, 모바일보안, 암호 흔들리는 정보화 강국 방송 및 금융 6개사에 대한 대규모 사이버 공격 발생 2013년 3월 20일 오후 14시 05분, 한국인터넷진흥원 종합상황실은 모방송사의

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대 Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지 PX-8000 SYSTEM 8 x 8 Audio Matrix with Local Control 2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지역에

More information

Microsoft PowerPoint - 권장 사양

Microsoft PowerPoint - 권장 사양 Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home

More information

노트북 IT / 모바일 데스크탑 34 올인원PC 35 PC 소프트웨어 포터블SSD / SSD / 메모리카드 36 태블릿 37 휴대폰 39 PC 솔루션 IT / 모바일 IT / 모바일 노트북 29 삼성전자는 Windows 를 권장합니다. 삼성전자만의 편리하고 다양한 소프트웨어를 통해 초보자도 보다 쉽고 빠르게 이용 가능합니다. Easy Settings 삼성 패스트

More information

IRISCard Anywhere 5

IRISCard Anywhere 5 이 빠른 사용자 가이드는 IRISCard Anywhere 5 및 IRISCard Corporate 5 스캐너의 설치와 시작을 도와 드립니다. 이 스캐너와 함께 제공되는 소프트웨어는: - Cardiris Pro 5 및 Cardiris Corporate 5 for CRM (Windows 용) - Cardiris Pro 4 (Mac OS 용) Cardiris 의

More information

그 리 고 꼭 같은 내 용 의 녹 권 이 변 사 펠 사한 깃과 꽉활자로 인 출 한 갓이 있 디. 편 사 - 한 갓도 fj-. i

More information

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형 AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형 언어 변환 1.4. 기대 효과 4.4. 프로그램 Restructuring 4.5. 소스 모듈 관리 2. SeeMAGMA 적용 전략 2.1. SeeMAGMA

More information

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차 Art & Technology #5: 3D 프린팅 새로운 기술, 새로운 가능성 미래를 바꿔놓을 기술 이 무엇인 것 같으냐고 묻는다면 어떻게 대답해야 할까요? 답은 한 마치 한 쌍(pair)과도 같은 3D 스캐닝-프린팅 산업이 빠른 속도로 진화하고 있는 이유입니 가지는 아닐 것이나 그 대표적인 기술로 3D 스캐닝 과 3D 프린팅 을 들 수 있을 것입니 다. 카메라의

More information

온라인등록용 메뉴얼

온라인등록용 메뉴얼 WIZPLAT Corporation User Manual Gigabit LAN Port + USB3.0 HUB 사용자 설명서 이번에는 Gigabit LAN Port + USB3.0 HUB 를 구입해 주셔서 대단히 감사합니다. 이 사용설명서에는 중요한 주의 사항과 제품의 취급방법이 설명되어 있습니다. 사용하기 전에 설명서를 잘 읽어 보신 후 본 제품을 바르고

More information

01Àå

01Àå 01장 2009.6.26 6:48 PM 페이지1 CHAPTER 001 refine-4도 2540DPI 175LPI 1 사용 W 개요 자 경험을 성공적으로 측정하는 강력한 툴로써 유저빌리티 매트릭스가 가 지고 있는 가능성을 보여주는 것이 바로 이 책의 목적이다. 유저빌리티 매 트릭스라고 하면 대부분 복잡한 수식이나 고도의 통계 방법론, 현실과 동떨어진 리서 치를

More information

특허청구의 범위 청구항 1 고유한 USB-ID를 가지며, 강제 포맷이나 프로그램 삭제가 불가능한 CD영역과 데이터의 읽기, 쓰기가 가능한 일 반영역으로 분할되어 있고 상기 CD영역에 임산부 도우미 프로그램이 임산부 PC(200)에 연결되면 자동 설치 및 실행되게 탑재된

특허청구의 범위 청구항 1 고유한 USB-ID를 가지며, 강제 포맷이나 프로그램 삭제가 불가능한 CD영역과 데이터의 읽기, 쓰기가 가능한 일 반영역으로 분할되어 있고 상기 CD영역에 임산부 도우미 프로그램이 임산부 PC(200)에 연결되면 자동 설치 및 실행되게 탑재된 (19) 대한민국특허청(KR) (12) 공개특허공보(A) (11) 공개번호 10-2010-0042502 (43) 공개일자 2010년04월26일 (51) Int. Cl. G06Q 50/00 (2006.01) (21) 출원번호 10-2008-0101675 (22) 출원일자 2008년10월16일 심사청구일자 전체 청구항 수 : 총 13 항 2008년10월16일 (71)

More information

Straight Through Communication

Straight Through Communication 중소-중견 기업을 위한 데이터 관리 및 1-2차 백업 통합 시스템 구축 제안 V1.0 제안 배경 및 도입 장점 제안 배경 중소-중견 기업의 IT 환경에서 데이터 관리 및 백업, 모바일 오피스 및 클라우드 환경 구축을 위해 소프트웨어와 이를 구동할 서버, 스토리지, 운영체제, 보안까지 모든 것을 구축하려면 비용과 관리의 부담이 클 수 밖에 없습니다. 따라서 대부분의

More information

PDF_Compass_32호-v3.pdf

PDF_Compass_32호-v3.pdf Design Compass는 특허청의 디자인맵 웹사이트에서 제공하는 디자인, 브랜드, 기술, 지식재산권에 관한 다양한 콘텐츠를 디자이너들의 입맛에 맞게 엮은 격월간 디자인 지식재산권 웹진입니다. * Design Compass는 저작이용이 허락된 서울서체(서울시)와 나눔글꼴(NHN)을 사용하여 제작되었습니다. 2 4 5 6 7 9 10 11 편집 / 디자인맵

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

특허청구의 범위 청구항 1 삭제 청구항 2 단일 개의 운영체제를 갖는 클라이언트 단말에 있어서, 제1 운영체제와, 상기 제1 운영체제 하에서 사용되는 파일을 저장하는 메모리; 및 상기 메모리에 저장된 파일을 운영체제 제공장치로 전송하고 상기 메모리를 포맷하며, 상기 운

특허청구의 범위 청구항 1 삭제 청구항 2 단일 개의 운영체제를 갖는 클라이언트 단말에 있어서, 제1 운영체제와, 상기 제1 운영체제 하에서 사용되는 파일을 저장하는 메모리; 및 상기 메모리에 저장된 파일을 운영체제 제공장치로 전송하고 상기 메모리를 포맷하며, 상기 운 (19) 대한민국특허청(KR) (12) 등록특허공보(B1) (51) 국제특허분류(Int. Cl.) G06F 9/22 (2006.01) (21) 출원번호 10-2012-0020563 (22) 출원일자 2012년02월28일 심사청구일자 2012년02월28일 (65) 공개번호 10-2013-0098775 (43) 공개일자 2013년09월05일 (56) 선행기술조사문헌

More information

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1 디지털 사진 프린터 P-S100 프린터 드라이버 설치 가이드 사용하는 컴퓨터에 따라 제공된 프린터 드라이버를 설치합니다. 설치 절차 에 대한 자세한 내용은 CD-ROM의 Readme 파일을 참조하십시오. 작동 환경 Windows 호환 모델: IBM PC/AT 및 호환품 운영 체제: Windows 98 SE/Me/2000/XP (Windows 98 SE/Me/2000/XP

More information

< C6520B1B8C1B6BFCD20BEF0C6D0C5B7C0C720BFF8B8AE2E687770>

< C6520B1B8C1B6BFCD20BEF0C6D0C5B7C0C720BFF8B8AE2E687770> PE FILE 구조와 언패킹의원리 지선호 kissmefox@gmail.com - 1 - < PE FILE 이란 > -win32 운영체제에서이용되는파일형식 ( 현재사용되는대부분의 OS) -Portable executable, : exe, dll, ocx 이식가능한실행파일형식 - 윈도우의바이너리를분석하기위한가장기본이되는지식 : unpacking, API Hooking,

More information

Cover Story 01 20 Oracle Big Data Vision 01_Big Data의 배경 02_Big Data의 정의 03_Big Data의 활용 방안 04_Big Data의 가치

Cover Story 01 20 Oracle Big Data Vision 01_Big Data의 배경 02_Big Data의 정의 03_Big Data의 활용 방안 04_Big Data의 가치 Oracle Big Data 오라클 빅 데이터 이야기 Cover Story 01 20 Oracle Big Data Vision 01_Big Data의 배경 02_Big Data의 정의 03_Big Data의 활용 방안 04_Big Data의 가치 최근 빅 데이터에 대한 관심이 커지고 있는데, 그 배경이 무엇일까요? 정말 다양한 소스로부터 엄청난 데이터들이 쏟아져

More information

³»Áö_10-6

³»Áö_10-6 역사 속에서 찾은 청렴 이야기 이 책에서는 단순히 가난한 관리들의 이야기보다는 국가와 백성을 위하여 사심 없이 헌신한 옛 공직자들의 사례들을 발굴하여 수록하였습니다. 공과 사를 엄정히 구분하고, 외부의 압력에 흔들리지 않고 소신껏 공무를 처리한 사례, 역사 속에서 찾은 청렴 이야기 관아의 오동나무는 나라의 것이다 관아의 오동나무는 나라의 것이다 최부, 송흠

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 목차 1. AirSCAN 제안배경 2. AirSCAN 소개 3. AirSCAN 레퍼런스 4. AirSCAN Case Study AirSCAN 제안배경 무선을 통한 해킹의 급증 스마트기기의 증가 = 무선 보안 Hole의 증가 비인가 스마트폰 테더링을 통한 악성코드 감염 스마트폰 테더링을 통한 핵심기술 정보 유출 AirSCAN 제안배경 정부차원의 무선보안 가이드라인

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

온습도 판넬미터(JTH-05) 사양서V1.0

온습도 판넬미터(JTH-05)  사양서V1.0 온습도 조절기 Model:JTH-05 1. 제품 사양. [제품 구분] JTH-05A(입력 전원 AC), JTH-05D(입력 전원 DC) [전원 사양] JTH-05A 입력 전압 출력 전원 소비 전력 JTH-05D AC 90~240V DC 10~36V 12Vdc / Max.170mA Max.2W [본체 사이즈] ~ 온/습도 범위(본체): 사용 [0 ~ 50, 85%RH

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information