Microsoft PowerPoint _03

Size: px

Start display at page:

Download "Microsoft PowerPoint _03"

지나 탁
5 years ago
Views:

1 정보보호와통합관리

2 목 차 1. 관련용어 2. IT 및보안동향 3. 보안사고및공격사례 4. 보안모델링 5. 보안솔루션정리및구성방안 6. 정보유출방지방안 7. 침해사고대응및보안통합관리 8. 맺음말

3 인터넷대란 3.2 주요국가기관해킹사건 3.3 중국중홍련사이버테러 3.4 B대학웹사이트해킹사건 사이트해킹사건 3.6 인터넷민원발급시스템보안사고 3.7 보안사고 Trend 요약

4 인터넷대란 [1.25 인터넷대란 ] 바이러스에허무하게무너진 IT 강국 이번 "1.25 인터넷대란 " 은세계최고수준을자랑하는국내인터넷인프라에엄청난허점이있다는것을깨닫게해준사례다. 허술한보안의식과대비가일거에국가신경망을초토화했다. 25 일오후 2 시 10 분, 사용자들의인터넷접속건수 ( 트래픽 ) 가순간적으로 2 3 배증가하면서처리시간이수십배로늘어날만큼접속속도가느려졌다. ISP 업체케이알라인에서도특정포트 (1433, 1434 udp 포트 ) 를통한데이터송수신량이급증하는것을발견했다. 드림라인측은한국정보보호진흥원에보고했고진흥원측은즉시 CERT[Computer Emergency Response Team/ 컴퓨터비상사고대응팀 ] 를소집해원인을분석했다. 2 시 45 분경 KT 가운영하는국제관문국인서울혜화전화국의 DNS 서버가밀려드는트래픽을이기지못하고처리속도가급격히떨어졌다. 서울강남구논현동 KIDC 등데이콤과한국전산원이운영하는국제관문국의 DNS 서버와업체별서버도영향을받아처리속도가급격히느려지며, ISP 업체와각인터넷쇼핑몰업체에는고객들의민원이빗발치기시작했고, 인터넷망을이용해지점간결제시스템을운영하는외식업체유통업체들도큰불편을겪었다. 전국 PC 방들은이때부터손님이 10 분의 1 로줄어들었고, 온라인게임업체들도업체당수천만원의잠재수익을놓치기시작했다. SK 텔레콤 KTF 등의무선인터넷망도영향을받아마비상태에빠져들었다. 3 시 45 분경, KT 가혜화전화국으로몰려드는트래픽을구로전화국으로우회시키는등통신사업자들은트래픽분산을시도했다. 그러나한번에 2000 개의트래픽을처리할수있는서버의용량보다무려 50 배이상많은 10 만개이상의트래픽이몰려들자다른서버들역시다운되기시작했다. 오후 4 시, 정보보호진흥원의 CERT 는마이크로소프트 (MS) 사의데이터베이스 (DB) 관리운영체제인 MS-SQL 서버에허점이있었음을발견했다. 모종의웜이 MS-SQL 의결함으로인해서버의특정포트 (1433, 1434) 를통해다른사람의 PC 나서버에무한정정보를보내고있었던것. 사태발생직후긴급대책반을구성한정보통신부는 이미국내에많이퍼져있는스피타웜의변종으로보이지만해킹일가능성도있다고발표했다. 비슷한시간, 안철수연구소등보안업체에서는웜의정체를파악하기시작했고이날저녁백신을개발했다. 안철수연구소는엄청난양의트래픽을발생시키는웜의성격을따이웜바이러스를 SQL 오버플로 (overflow) 로명명했다. 이날처음발견된 SQL 오버플로는서버의메모리에상주하면서스스로자신을복제, 256 개의다른서버에복제된자신을전송하는특징을갖고있다. 복제된웜을전송하기전에인터넷상에서웜을전송받을적당한컴퓨터를검색하는데, 이과정에서컴퓨터들이서로를감염시키고감염된컴퓨터들도각자 256 개의컴퓨터를대상으로스캐닝을하면서 개의트래픽을일으킨것이다. 오후 11 시가넘자대부분의 DNS 서버가복구됐으나 26 일오후까지도미처복구가되지않은서버가남아있어일부인터넷사이트는접속이되지않았다. [ 공종식 kong@donga.com]

5 3.2 주요국가기관해킹사건 국가기관 10 곳해킹당해 중국발 악성프로그램 의공격으로국회와한국국방연구원, 국방과학연구소, 공군대학, 원자력연구소등 10 개주요국가기관이잇따라뚫렸다. 전. 현직국회의원과국회사무처직원등 122 명의아이디는아예도용당한것으로밝혀졌다. 국가정보원과경찰청은지난 6 월이후악성프로그램 변종 Peep 와 변종 Revacc 에국가주요기관과민간기업등 278 대의컴퓨터가해킹당했다고 13 일밝혔다. 변종 Peep 는트로이목마바이러스의일종으로일단감염되면멀리떨어진곳에서도해당컴퓨터를마음대로조종할수있다. 자료를꺼내볼수있는것은물론수정과삭제등거의모든권한을행사할수있다. 또 변종 Revacc 은사용자를특정사이트로접속하도록해바이러스감염을유도하는프로그램이다. 변종핍의경우차단조치를피해해커가원할경우다시접속할수있는특성이있으며, 기술적으로상당한수준의변종리박은일반적인사용자들이알수없도록작업중에만작동되는특성이있는것으로알려졌다. 또이변종리박은국내외어느백신프로그램에도탐지가되지않았던것으로드러났다. 또이들이사용한 변종핍 (Peep) 이나 변종리박 (Revacc) 프로그램의경우메일이나게시판을통해첨부파일이있는글을올리는수법은일반해킹및바이러스프로그램과비슷하지만방화벽을우회해침입하는등의특징이있는것으로나타났다. 경찰은 해킹을당한모의원실의경우대학생명의로 질문이있다 는내용의글을게시판에남겨직원이아무의심없이첨부파일을열기도했다 며 한글을자유자재로쓰는것을볼때해커들중한국어를전공한사람이끼어있는것으로보고있다 고말했다. 해킹당한컴퓨터는해양경찰청 77 대, 국회 69 대, 원자력연구소 50 대, 한국국방연구원 9 대, 국방과학연구소와공군대학, 해양수산부, 중소기업청, 통일교육원, 천문연구원각 1 대등국가기관것만 211 대다. 일부파일은이미유출된흔적도발견됐다. 지난달 19 일 6 개국가기관 64 대와민간분야 52 대등모두 116 대의컴퓨터가해킹당했다고국정원이중간발표했을때보다 2 배가량늘어난수치다. 특히국회는개인이메일의비밀번호관리를소홀히하여전 현직국회의원및국회사무처직원등모두 122 명의아이디가도용됐다. 민간부문에서는기업과대학, 언론사등의보안망도무너져 67 대의컴퓨터가피해를입었으며, 몇몇언론사기자의이메일아이디가도용되기도했다고국정원은밝혔다. [ 서울신문 / 국민일보 최정욱기자 jwchoi@kmib.co.kr]

3.3 중국중홍련사이버테러 중국중국홍객연맹 ( 中國紅客聯盟 중홍련 ) 에의해 8 월 15 일일본내반중국사이트공격을위해한국이경유지로활용하기위한공격시도공격을자동화한 Attack tool 을배포하여다수의 Script Kid 들도공격이참여할수있도록제작및배포 주로이용한공격기법 SQL

6 3.3 중국중홍련사이버테러 중국중국홍객연맹 ( 中國紅客聯盟 중홍련 ) 에의해 8 월 15 일일본내반중국사이트공격을위해한국이경유지로활용하기위한공격시도공격을자동화한 Attack tool 을배포하여다수의 Script Kid 들도공격이참여할수있도록제작및배포 주로이용한공격기법 SQL Injection Openssh Windows Terminal Service MSSQL Password bluteforce Attack File Upload & Execute PC 공격 : URL phishing, ActiveX 를이용공격, <META>, <IFRAME> Tag 공격

7 3.4 B 대학웹사이트해킹 B학교의정시모집최종합격자발표사이트해킹 지난해 1월에는 B학교의 2003 학년도정시모집최종합격자발표인터넷사이트가해킹을당해수험생과학부모의항의가잇따랐다. B 학교는이날오후조사를위해사이트를폐쇄, 자정이지나도록합격여부확인이일시적으로불가능했다. 합격자발표를시작한오후 7시이후일반전형합격자발표사이트가몇분간격으로해킹을당해 ' 합격자공지사항 ' 에는 " 방법당했다 " 는내용과함께 " 축하해용 " 이라는농담글이게재됐다. 학교측은이조롱조의글이외부에서해킹을통해삽입된것으로드러났고, 다행히합격자명단은훼손되지않았다고밝혔다. 초보자수준의해커였기에단순히게시판변조에그쳤지만, 그로인한학교이미지손상과학생, 학부모의항의등피해가컸으며, 만약숙련된해커가합격자명단을변조했다면? 그로인한학교이미지손상과파장은상당히클것임 B 학교상반기해킹 / 바이러스 / 스팸메일발생수및처리수 해킹발생수해킹처리수바이러스발생수바이러스처리수스팸메일발생수스팸메일처리수 1월 2월 3월 4월 5월 6월 7월 해킹, 웜 / 바이러스로인한정보유출 / 변조 / 유실및네트워크마비로인한서비스장애등침해로부터보호하기위한종합적대책이필요

8 사이트해킹 웹서버의취약점 (Sql-Injecton) 을이용하여 DB 서버에계정을생성하고백도어를 Uploading - DB 서버의테이블조사시중국 Sql-Injection 자동화툴을사용할때생성되는테이블 (D99_CMD, jiaozhu, NB_TmpTable 등 ) 이생성되어있었으며해당공격은공격하기전정보획득을위해생성되는테이블임 - 웹로그조사시 Sql-Injection 공격을이용하여 DB 서버에백도어를업로딩한흔적탐지 - DB 시스템에서 3389.exe 파일발견 Sql Injection DB 정보열람 A 웹관리자권한획득 B 웹관리자권한획득 A B C D 관리자, 사용자 Id/passwd

9 3.6 인터넷민원발급시스템보안사고 (*) Source : 동아일보기사

10 3.7 보안사고 Trend 요약 해킹기술과바이러스기술의통합화 System Attack-> Network Attack -> Service Attack 으로변모 멀티미디어 Contents 에대한침해증가 Worm & DDoS Attack, Infrastructure Attack 시도, Wireless Hacking 등장 CSIRT Issues Windows Attack Trojan(BO) Common Issues Windows Attack Trojan(BO) Anti-Virus Issues Sniffer IP Spoofing Hijacking Advanced Scan tools Denial Of Service Automatic Scan Attack Mellisa Internet Worm Widespread DDOS Agent Distributed Attack Tool Trojan Horse Wide Spread Propagation Of Malicious Code Mellisa Macro Virus 미켈란젤로 Stone (c)brain Source: KISA

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%