Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처

Transcription

1

2 Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황 2. 허니넷 / 트래픽분석 윈도우네트워크서비스취약점을이용하는웜전파활동추이 허니넷트래픽분석 4 전체추이 Top 3 국가별공격유형 해외 국내 국내 국내 2-3. 국내인터넷망트래픽분석 바이러스월탐지웜 바이러스정보 22 월간특집 23 I. 200년주요취약점 / 웜 바이러스, 해외동향 23 II. 200년악성코드동향및 20년전망 24 III. 200년악성봇동향및 20년전망 37 IV. 200년 DDoS 공격동향및 20년전망 4 < 별첨 > 악성코드유포지 / 경유지조기탐지및차단조치 46 < 부록 > 주요포트별서비스및관련악성코드 50 용어정리 5 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.

3 인터넷침해사고동향및분석월보 월간동향요약 핫이슈이번달에는 MS에서공식패치가발표되지않은 IE의신규취약점이발표되어이를악용한악성코드유포가우려되므로해당 S/W 사용자의각별한주의가필요 인터넷사용자는자신의 PC가사이버공격에악용되지않도록최신 MS 보안업데이트, 백신 S/W 실시간감시기능활성화등사용자의적극적인예방노력이필요함 주요취약점, 웜 바이러스 제목 영향받는제품 / 사용자 영향력 / 예방및대책 MS Internet Explorer 신규원격코드실행 취약점주의 모든 MS 운영체제의 Internet Explorer 6, 7, 8 IE 의 mshtml.dll 라이브러리가웹페이지의특정함수를호출하는과정에서 원격코드실행취약점발생 mshtml.dll: HTML, CSS 등을처리하는 IE 핵심모듈 해당취약점에대한피해예방을위해신뢰되지않는웹사이트의방문 및출처가불분명한이메일의링크클릭자제요함 EMET 설치후 Internet Explorer 를 EMET 설정추가등임시조치 EMET(Enhanced Mitigation Experience Toolkit): 소프트웨어의취약점을악용하지못하도록방지하는유틸리티 국내공개웹게시판 ( 제로보드 ) 취약점주의 제로보드 4 버전, 제로보드 XE 이하버전 국내 PHP 기반의공개웹게시판제로보드에서홈페이지변조및원격실행가능한 XSS, CSRF 및 RFI 취약점이발견 취약한버전의제로보드사용자는업데이트가적용된상위버전으로업그레이드요함 [MS 보안업데이트 ] 200 년 2 월 MS 정기 보안업데이트권고 Microsoft Office XP SP3, 2003 SP3, 2007 SP2 등 (KrCERT/CC 보안공지참조 ) 최신 MS 보안업데이트설치 [MS0-090] Internet Explorer 누적보안업데이트 [MS0-092] Task Scheduler 취약점으로인한권한상승문제 [MS0-093] Movie Maker 취약점으로인한원격코드실행문제 [MS0-094] Media Encoder 취약점으로인한원격코드실행문제등 보안공지사항에대한보다자세한내용은 KISA 인터넷침해대응센터홈페이지보안공지사항 ( 보안정보 보안공지 ) 에서확인할수있습니다. 통계분석 웜 바이러스피해신고는전월에비하여 4.% 증가 해킹신고처리는전월대비 7.4% 감소 ( 스팸릴레이, 피싱경유지는각각 30.%, 43.% 감소, 단순침입시도, 해킹, 홈페이지변조는 6.6%, 4.7%, 8.4% 증가 ) 전세계악성 Bot 감염추정 PC 대비국내감염률은 0.5% 로전월 (0.4%) 대비 0.% 증가

4 인터넷침해사고동향및분석월보 _ 침해사고통계분석 -. 증감추이 ( 전월대비 ) 구분 통계요약 웜 바이러스 총,987건 : 전월 (,742건) 대비 4.% 증가 해킹신고처리 총,307건 : 전월 (,42건) 대비 7.4% 감소 스팸릴레이 384건 : 전월 (549건) 대비 30.% 감소 피싱경유지 33건 : 전월 (58건) 대비 43.% 감소 단순침입시도 380건 : 전월 (326건) 대비 6.6% 증가 해킹 265건 : 전월 (253건) 대비 4.7% 증가 홈페이지변조 245건 : 전월 (226건) 대비 8.4% 증가 악성봇 (Bot) 전세계악성 Bot감염추정 PC 대비국내감염률은 0.5% 로전월 (0.4%) 대비 0.% 증가 -2. 침해사고통계요약 구분 2009 년총계 200 년 [ 표 ] 월간침해사고전체통계 년총계 웜 바이러스 0, ,302,085,35,75,674,609,405,507,62,742,987 7,930 해킹신고처리 2, ,076,053,468,062,60,300,644 2,83,732,42,307 6,295 스팸릴레이 0, ,26 피싱경유지 단순침입시도 2, ,26 해킹 3, ,09 홈페이지변조 4, ,043 악성봇 (Bot).0% 0.6% 0.6% 0.7% 0.9% 0.8% 0.6% 0.5% 0.4% 0.4% 0.4% 0.4% 0.5% 0.6% 2,000,600, , 년 2009년 200년 2009년 200년 2009년, , 웜 바이러스신고접수건수스팸릴레이신고처리건수피싱경유지신고처리건수 200년 2009년 200년 2009년 200년 2009년, % % 600.5% 400.0% % % 단순침입시도 + 해킹신고처리홈페이지변조사고처리건수악성 Bot 감염비율 [ 그림 ] 월별침해사고전체통계그래프

5 인터넷침해사고동향및분석월보 _ 침해사고통계분석 -3. 침해사고통계현황 웜 바이러스신고건수추이 구분 신고건수 2009 년총계 200 년 웜 바이러스신고건수는 KISA, 안철수연구소, 하우리가공동으로집계한결과임 [ 표 2] 월별국내웜 바이러스신고건수 년총계 0, ,302,085,35,75,674,609,405,507,62,742,987 7,930 [ 그림 2] 월별국내웜 바이러스신고건수 ,302,085,35,75,674,609,405,507,62,742,987 0 년 2 월국내백신업체와 KISA 에신고된웜 바이러스신고건수는,987 건으로전월 (,742 건 ) 에비하여 4.% 증가하여 8 월이후증가세를이어갔다.

6 인터넷침해사고동향및분석월보 _ 침해사고통계분석 주요웜 바이러스별현황 [ 표 3] 월별국내웜 바이러스신고건수 200 년 순위 월 2 월 3 월 4 월 5 월 6 월 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 ONLINE GAMEHACK AGENT MALWARE XEMA DOWNLOADER AUTORUN FAKEAV BAGLE BREDOLAB INDUC 합계 AGENT BREDOLAB AUTORUN PALEVO MALWARE ONLINE GAMEHACK DOWNLOADER FAKESYS XEMA BIFROSE ,302 ONLINE GAMEHACK AGENT PALEVO AUTORUN FAKEAV DOWNLOADER XEMA LMIRHACK MALWARE DAONOL ,085 ONLINE GAMEHACK AGENT AUTORUN MALWARE DOWNLOADER KILLAV FAKEAV XEMA PALEVO DAONOL ,35 ONLINE GAMEHACK MALWARE AGENT FAKEAV AUTORUN DOWNLOADER SECURISK VIRUT PATCHED XEMA ,75 ONLINE GAMEHACK AGENT AUTORUN DOWNLOADER FAKEAV MALWARE XEMA REDIRECT INFOSTEALER PATCHED , 년 순위 7 월 8 월 9 월 0 월 월 2 월 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 ONLINE GAMEHACK AGENT DOWNLOADER AUTORUN MALWARE PATCHED INFOSTEALER FAKEAV PCCLIENT BREDOLAB 합계 ,609 AGENT ONLINE GAMEHACK MALWARE FAKEAV INJECTOR DOWNLOADER ZBOT PATCHED XEMA SEINT ,405 ONLINE GAMEHACK AGENT MALWARE ADLOAD DOWNLOADER FAKEAV INJECTOR SECURISK PALEVO EXPLOIT ,507 ONLINE GAMEHACK INJECTOR FAKEAV AGENT MALWARE PALEVO DOWNLOADER WINSOFT JERUSALEM XEMA ,62 ONLINE GAMEHACK WINSOFT MALWARE AGENT ADLOAD INJECTOR SECURISK FAKEAV WINSOFT4 DOWNLOADER ,742 WINSOFT ONLINE GAMEHACK AGENT ADLOAD MALWARE DOWNLOADER FAKEAV OVERTLS PALEVO INJECTOR ,987 신고된웜 바이러스를명칭별로분류한결과 PC 사용자의개인정보및키보드입력값을유출하는악성코드로알려진 WINSOFT가전달에비해 8.% 증가한 24건으로가장많았고, 다음으로특정온라인게임의계정을탈취하는것으로알려진 ONLINEGAMEHACK이 2위를차지하였다. - 인터넷이용자는자신이사용하는윈도우의최신보안업데이트를적용하고공인된백신 S/W 설치및주기적으로점검등적극적인피해예방노력이필요하다.

7 인터넷침해사고동향및분석월보 _ 침해사고통계분석 -4. 해킹 해킹사고접수 처리건수추이 구분 스팸릴레이 피싱경유지 단순침입시도 해킹 홈페이지변조 총계 2009 년총계 200 년 [ 표 4] 해킹사고처리현황 년총계 0, , , ,26 3, ,09 4, ,043 2, ,076,053,468,062,60,300,644 2,83,732,42,307 6,295 피싱 (Phishing) 경유지신고건수는 KISA가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수 단순침입시도 : KISA에서접수 처리한해킹신고중웜 바이러스등으로유발된스캔 ( 침입시도 ) 을피해자 ( 관련기관 ) 가신고한건수 해킹 : KISA에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지건수 20.3% 8.7% 29.% 29.4% 2.5% [ 그림 3] 해킹사고접수 처리건수유형별분류 스팸릴레이 29.4% 피싱경유지 2.5% 단순침입시도 29.% 해킹 20.3% 홈페이지변조 8.7% 0년 2월 KISA에서처리한해킹사고는,307건으로전월 (,42건) 에비하여 7.4% 감소하였다. - 해킹사고항목별로전월대비증감을파악한결과, 스팸릴레이, 피싱경유지는각각 30.%, 43.% 감소하였으나, 단순침입시도, 해킹, 홈페이지변조는 6.6%, 4.7%, 8.4% 증가한것으로나타났다. - 스팸릴레이 (29.4%) 가차지하는비율이가장많았으며, 단순침입시도 (29.%), 해킹 (20.3%), 홈페이지변조 (8.7%), 피싱경유지 (2.5%) 순이었다.

8 인터넷침해사고동향및분석월보 _ 침해사고통계분석 피해기관별분류 기관 기업 대학 비영리 연구소 네트워크 ( 개인 ) 총계 2009 년총계 200 년 [ 표 5] 해킹사고피해기관별분류 년총계 4, , , ,006,49, ,208 2, ,076,053,468,062,60,300,644 2,83,732,42,307 6,295 기관분류기준 : 침해사고관련도메인이나 IP 를기준으로기업 (co, com), 대학 (ac), 비영리 (or, org), 연구소 (re), 네트워크 (ne, net), (pe 또는 ISP 에서제공하는유동 IP 사용자 ) 로분류 해킹사고를피해기관별분류한결과, ( 개인 ), 기업, 대학, 비영리순으로나타났다. 기관별로분류한결과 ( 개인 ) 가차지하는비율이 6.2% 로가장높았으며뒤를이어기업이차지하는비율이 37.6% 로나타났다. 37.6% 0.7% 6.2% 0.5% [ 그림 4] 해킹사고피해기관별분류 ( 개인 ) 6.2% 기업 37.6% 비영리 0.7% 대학 0.5% 침해사고관련 IP 가 ISP 의유동 IP( 주로개인용컴퓨터 ) 인경우는 ( 개인 ) 로분류함 피해운영체제별분류 운영체제 Windows Linux Solaris 합계 2009 년총계 200 년 [ 표 6] 해킹사고피해운영체제별분류 년총계 4, ,227,536, ,638 4, , , ,076 2, ,076,053,468,062,60,60,644 2,83,732,42,307 6,295 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 해킹사고처리결과를운영체제별로분류한결과, Windows, 리눅스, 운영체제순이었다. Windows 운영 체제가차지하는비율은 63.8% 로전월 (66.2%) 에비하여감소하였다.

9 인터넷침해사고동향및분석월보 _ 침해사고통계분석 피싱경유지신고처리현황 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아 처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임 구분 피싱경유지신고건수 2009 년총계 200 년 [ 표 7] 피싱경유지신고건수 년총계 [ 그림 5] 월별피싱경유지신고건수 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 0 월 월 2 월 이번달피싱경유지신고건수는총 33건으로, 전월 (58건) 대비 25건이감소하였다. 피싱대상기관유형별로는금융기관이 30건 (86.3%) 로가장많았고정부기관이나검색사이트, 미확인건등을포함한유형이 3건 (0.3%) 으로나타났다. 기관별로는금융기관인 PAYPAL(6건 ), HSBC(4건 ), Santander bank(2건 ) 등의순으로집계되었다. 기관유형 ( 건수 ) 9% 금융기관 30 3 합계 33 9%

10 인터넷침해사고동향및분석월보 _ 침해사고통계분석 피싱대상기관및신고건수를국가별로분류한결과, 총 9 개국 2 개기관으로집계되었고이달에도미국기관 (6 개기관, 2 건 ) 이사칭사고건의대부분을차지하였다. 국가기관분류기관수신고건수 미국영국브라질스페인루마니아홍콩캐나다이탈리아남아프리카공화국 금융기관 N/A N/A 합계 국내피싱경유지사이트의기관유형별로는기업 7 건 (5.5%), 비영리 7 건 (2.2%), 개인 / 6 건 (8.2%) 순으로집계되었다. 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우인 ISP 서비스이용자 유형은 3 건 (9.%) 으로나타났다. 8.2% 2.2% 9.% 5.5% 기관유형 ( 기관유형 ) 기업 7 비영리 7 개인 / 6 ISP서비스이용자 3 합계 33 피싱경유지시스템에서이용된포트는이달에도표준 HTTP 포트인 TCP/80 포트가 33 건 (00%) 으로 80 포트만 사용되었다. 포트 ( 건수 ) TCP/80 33 합계 33 00%

11 0 인터넷침해사고동향및분석월보 _ 침해사고통계분석 홈페이지변조사고처리현황 구분 피해홈페이지수 피해시스템수 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해홈페이지수는 피해시스템수보다많음 2009 년총계 200 년 [ 표 8] 홈페이지변조사고처리현황 년총계 4, ,043, [ 그림 6] 월별홈페이지변조사고처리현황 피해홈페이지수 피해시스템수 (IP) 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 0 월 월 2 월 이번달에는 52개시스템 (IP) 의 245개사이트 ( 도메인 ) 에대한홈페이지변조가발생하여피해홈페이지수는전월 (226개) 에비하여 8.4% 증가하였다. - 이번달에도다수의홈페이지를운영하는단일웹서버에서파일업로드취약점을가지고있는게시판이해킹되어 70개의홈페이지변조가발생하였다. - 보안이취약한하나의홈페이지는자신의홈페이지의해킹피해뿐만아니라웹쉘업로드등을통해웹서버내의다른홈페이지도피해를입을수있으므로홈페이지관리자는아래사이트정보를참고하여운영하는서버의보안에최선을다해야하겠다. 참고사이트 - 보안정보 보안공지 국내공개웹게시판 ( 제로보드 ) 보안업데이트권고 - 홈페이지보안강화도구 : 초기화면 공지사항 홈페이지보안강화도구 (CASTLE) 보급안내 - 웹어플리케이션취약점에대한해킹기법및보안대책 : 초기화면 왼쪽 웹보안 4종가이드 - 기본적인웹해킹을차단할수있는공개웹방화벽 (ModSecurity, WebKnight): 초기화면 왼쪽 공개웹방화벽을이용한홈페이지보안 - 공개웹방화벽 (ModSecurity, WebKnight) 을활용한웹서버보안강화가이드 : 보안정보 기술문서 [ 문서번호 : TR , TR ]

12 인터넷침해사고동향및분석월보 _ 침해사고통계분석 악성봇 (Bot) 현황 구분 국내비율 2009 년평균 200 년 [ 표 9] 국내악성봇 (Bot) 감염률 년평균.0% 0.6% 0.6% 0.7% 0.9% 0.8% 0.6% 0.5% 0.4% 0.4% 0.4% 0.4% 0.5% 0.6% [ 그림 7] 월별국내악성봇감염률추이 % 2.0%.5%.0% 0.5% 0.6% 0.6% 0.7% 0.9% 0.8% 0.6% 0.5% 0.4% 0.4% 0.4% 0.4% 0.5% 0% 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 0 월 월 2 월 [ 그림 8] 전세계악성봇감염 IP 수와국내감염 IP 수의비교 900, , , , , ,000 국외 국내 5,000 4,000 3,000 2,000,

13 2 인터넷침해사고동향및분석월보 _ 침해사고통계분석 0년 2월전세계악성봇감염추정 PC 중에서국내봇감염 PC 비율은 0.5% 로지난달과비교하여소폭상승한비율을보였다. 계속적으로감염된 PC에의하여악성코드전파를목적으로하는 TCP/445 및 TCP/39포트에대한스캔비율이계속적으로높은수준을유지하고있는것이확인되고있다. 사용자들은최신 MS 보안패치 ) 및 PC 자동보안업데이트 2) 를활용하여외부로부터의공격및악성코드감염예방을위한지속적인주의및관심을가져야하겠다. - 악성봇전파에사용되는국내의주요포트순위는 TCP/445, TCP/39, TCP/80, TCP/35, TCP/433 순이었으며, 국외의경우는 TCP/445, TCP/80, TCP/39, TCP/23, TCP/35 순위를기록하였다. 0.6%.% 0.3% 2.% 0.3% 0.2% 20.4% 5.% 9.0% 55.3% 22.3% 83.3% [ 그림 9] 악성봇관련포트비율 ( 국내 ) [ 그림 0] 악성봇관련포트비율 ( 국외 ) [ 표 0] 악성봇의전파에이용되는주요포트목록 포트관련취약점및웜 / 악성봇포트 관련취약점및웜 / 악성봇 23 Telnet 2967 Symantec Exploit 80 WebDAV, ASN.-HTTP, Cisco HTTP 2745 Bagle, Bagle2 35 DCOM, DCOM2 327 MyDoom 39 NetBIOS, ASN.-NT 340 Optix 43 IMail 5000 UPNP 445 NetBIOS, LSASS, WksSvc, ASN.-SMB, DCOM RPC 60 Veritas Backup Exec 903 NetDevil 629 Dameware 025 DCOM 7300 Kuang2 433 MS-SQL Sub7 ) 2)

14 3 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 2-. 윈도우네트워크서비스취약점을이용하는웜전파활동추이 2월에수집되었던샘플들을확인한결과, Win32.Allaple 등으로알려져있는변종악성코드가유포되어다양한형태의공격 (DDoS, 시스템정보유출등 ) 과피해를유발시키고있어주의할필요가있다. 월대비신규수집은소폭증가한것으로파악되었다. 인터넷사용자는 OS의최신패치적용및백신설치개인방화벽사용여부확인등을통하여피해를사전에예방할수있도록해야겠다. 윈도우네트워크서비스란? 윈도우OS에서네트워크를통하여외부호스트를대상으로제공되는서비스 (ex. RPC, LSASS 등 ) 샘플수집은암호설정및보안업데이트를하지않고, 모든포트가열려있는전용선인터넷환경에서 Windows XP SP(No-Patch) 과 Windows 2000 SP4(No-Patch) 2개군으로분류하여수집 [ 그림 ] 월별수집전체샘플추이 월별전체수집 ( 왼쪽기준 ) 월별신규수집 ( 오른쪽기준 ) 전체 00,000 0,000, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 0 월 월 2 월 신규 40,000 35,000 30,000 25,000 20,000 5,000 0,000 5,000 0 [ 그림 2] 월별일일수집샘플변동추이 신규수집 3,000 2,500 2,000,500, 위수집샘플은 윈도우네트워크서비스취약점 을악용하여유입된샘플의증감추이만을반영하므로이메일악성코드등다른유형의전파기법을 이용하는악성코드감염활동추이동향과는무관함

15 4 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 2-2. 허니넷트래픽분석 전체추이이번달 KISC 3) 허니넷에유입된전체유해트래픽은약 664만건으로전월 (888만건 ) 에비하여 25.2% 감소하였다. IP 소재별로분류한결과국내소재 IP로부터유발된트래픽은전체의약 25.% 였으며, 해외소재 IP로부터의트래픽은약 74.9% 를차지한것으로나타났다. 허니넷에유입되는트래픽은웜 바이러스, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많으며이러한악성코드의네트워크스캔은유효한네트워크에대한접근효율을높이기위하여, 차적으로감염된시스템의 IP주소의 A, B클래스를고정하고 C또는 D클래스주소를변경하면서스캔하기때문에일반적으로자국에서유발된유해트래픽이해외에서유입된트래픽보다많을수있음 [ 그림 3] 월별허니넷유입트래픽규모 해외소재 IP 국내소재 IP 참고 : 허니넷으로유입되는트래픽은초당수백건이상이될수있으므로구체적인건수는큰의미가없으며, 국내외비율및월별증감을참고 하기바람 3) KISC - Korea Internet Security Center, KISA 인터넷침해대응센터

16 5 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 Top 3 국가별공격유형해외로부터 KISC 허니넷에유입된트래픽을근원지 IP소재국가별로분석한결과중국으로부터유입된트래픽이 75.7% 로가장많았으며다음으로미국 (5.2%), 싱가포르 (3.3%) 순이었다. 중국으로부터의트래픽은 TCP/433 포트에대한서비스스캔이가장많은비중을차지하였으며, 미국은 TCP/22 포트에대한서비스스캔이가장많았던것으로나타났다. China U.S.A Singapore [ 그림 4] 허니넷유입트래픽 Top3 국가별공격유형 % %% 30% 34% 32% 3% 0% 0% 6% % 3% 3% 97% 중국 China TCP/433 - TCP/ TCP/22 - TCP/ % 미국 U.S.A TCP/22 - TCP/35 - rpc dcom interface overflow exploit TCP/433 - ICMP - icmp ping Advanced IP Scanner v.4-32% 싱가포르 Singapore UDP/54 - udp flooding TCP/22 - TCP/35 - TCP/ %

17 6 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 중국미국아일랜드대만일본독일프랑스러시아인도캐나다순위국가명비율 월국가명 2 월국가명비율 3 월국가명비율 4 월국가명비율 5 월국가명비율 6 월비율중국미국대만일본인도이스라엘캐나다영국호주독일중국미국캐나다대만러시아일본독일영국우크라이나말레이시아중국미국대만이탈리아일본독일이스라엘러시아영국인도중국미국태국대만일본프랑스독일영국터키인도중국미국대만태국캐나다일본프랑스러시아인도네시아홍콩 63.6% 8.9% 7.% 5.5% 2.2%.4%.2%.0% 0.9% 0.9% 7.4% 43.7% 6.4% 0.8% 6.% 3.4% 2.3%.9%.9%.7%.4% 0.4% 59.4% 2.2% 8.4% 3.3% 2.3%.6%.6%.% 0.9% 0.8% 8.4% 52.6%.4% 9.8% 6.2% 3.%.8%.8%.3% 0.6% 0.5% 0.9% 83.9% 3.3% 2.8% 2.3%.3% 0.8% 0.6% 0.5% 0.5% 0.5% 3.7% 88.% 3.0%.6%.5% 0.7% 0.6% 0.6% 0.4% 0.3% 0.3% 2.9% [ 표 ] 허니넷에유입된유해트래픽국가별비율 중국대만미국일본모로코캐나다프랑스아일랜드태국인도순위국가명비율 7 월국가명 8 월국가명비율 9 월국가명비율 0 월국가명비율 월국가명비율 2 월비율중국대만미국일본캐나다태국프랑스러시아인도아일랜드중국미국대만일본태국프랑스베트남독일인도러시아중국미국대만태국독일프랑스이탈리아네덜란드홍콩일본중국미국태국대만홍콩독일이탈리아네덜란드일본영국중국미국싱가포르말레이시아대만영국일본프랑스인도태국 64.0% 2.8% 7.8% 6.0% 2.9% 0.8% 0.7% 0.5% 0.5% 0.4% 3.6% 69.3% 9.9% 7.% 4.0%.7%.5%.0% 0.6% 0.6% 0.6% 3.7% 80.4% 8.4% 2.3%.3%.2% 0.9% 0.6% 0.5% 0.5% 0.4% 3.5% 84.7% 4.8% 3.3%.3% 0.7% 0.6% 0.6% 0.5% 0.5% 0.4% 2.6% 89.2% 2.9% 0.9% 0.9% 0.8% 0.6% 0.6% 0.5% 0.4% 0.4% 2.9% 75.7% 5.2% 3.3% 2.5% 2.2%.4%.% 0.9% 0.9% 0.8% 6.0%

18 7 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 해외 국내해외로부터 KISC 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과 TCP/433 포트에대한서비스스캔이 27.6% 로가장많았으며, TCP/22, TCP/3306 포트에대한서비스스캔등의순으로나타났다. 순위프로토콜 / 포트번호 TCP/433 TCP/2967 TCP/22 TCP/445 TCP/080 TCP/52 TCP/3306 TCP/80 TCP/39 TCP/8080 월 공격유형 netbios smb client to lsasrv request worm esbot.a 비율프로토콜 / 포트번호 25.3% 6.7% 0.4% 8.4% 8.% 2.8% 2.5% 2.3% 2.2% 2.% TCP/433 TCP/445 TCP/445 TCP/22 ICMP ICMP TCP/080 TCP/0000 TCP/3306 TCP/8080 netbios lsass buffer overflow 2 netbios smb client to lsasrv request icmp ping Advanced IP Scanner v.4 icmp ping X-scan scan 22.7% 0.4% 9.2% 26.2% 9.4% 8.8% 4.7% 4.5% 4% 3.3% 3.2% 3% [ 표 2] 해외 국내 ( 허니넷 ) 공격유형탐지현황 2 월 3 월 공격유형비율프로토콜 / 포트번호 TCP/445 TCP/433 TCP/2967 UDP/53 TCP/22 TCP/8080 TCP/8088 TCP/8090 TCP/8089 TCP/80 공격유형 netbios smb client to lsasrv request udp service scan 비율 8.8% 8% 3.3% 7.4% 7.% 3.5% 3.2% 3.2% 2.9% 2.8% 9.7% 순위프로토콜 / 포트번호 TCP/433 TCP/22 TCP/445 TCP/2967 UDP/53 TCP/8080 TCP/80 TCP/8088 TCP/3306 TCP/080 4 월 공격유형 netbios smb client to lsasrv request udp service scan 비율프로토콜 / 포트번호 20.6% 6.2%.0% 8.9% 7.2% 4.% 3.5% 3.2% 2.3% 2.% TCP/433 TCP/52 TCP/22 TCP/2967 TCP/945 TCP/3389 ICMP TCP/3306 TCP/445 TCP/ 월 6 월 공격유형비율프로토콜 / 포트번호 icmp ping X-scan scan 42.5% 20.9% 2.9% 8.8% 8.2% 7.3% 5.8% 5.4% 2.9% 2.% 2.% 2.0% TCP/433 TCP/2967 TCP/3306 TCP/3389 TCP/22 TCP/945 TCP/52 TCP/39 ICMP TCP/8080 공격유형 icmp ping X-scan scan 비율 35.0% 4.7% 0.6% 8.8% 7.5% 5.% 2.5%.8%.4%.2%.4%

19 8 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 순위프로토콜 / 포트번호 TCP/433 TCP/35 TCP/35 TCP/2967 TCP/3389 TCP/22 TCP/3306 TCP/945 ICMP TCP/080 7 월 공격유형 netbios dcerpc invalid bind rpc dcom interface overflow exploit icmp ping Advanced IP Scanner v.4 비율 26.4% 6.2% 9.6% 9.5% 5.3% 5.3% 5.% 4.0% 3.% 2.2% 프로토콜 / 포트번호 TCP/433 TCP/35 TCP/945 TCP/35 TCP/2967 TCP/22 TCP/3389 TCP/52 TCP/3306 TCP/080 8 월 9 월 공격유형 netbios dcerpc invalid bind rpc dcom interface overflow exploit 3.2% 20.5% 비율 2.9% 9.9% 8.4% 7.9% 7.8% 6.4% 5.3% 4.6% 4.5% 2.7% 프로토콜 / 포트번호 TCP/433 TCP/3306 TCP/945 TCP/22 TCP/3389 TCP/35 TCP/2967 TCP/445 TCP/52 TCP/35 공격유형 netbios smb c$ unicode rpc dcom interface overflow exploit 비율 9.4% 3.0% 2.% 9.6% 8.4% 8.0% 4.% 3.3% 3.% 2.9% 6.% 0 월 월 2 월 TCP/3306 TCP/433 TCP/945 TCP/22 TCP/35 TCP/ % 7.5%.% 8.5% 7.9% 5.4% TCP/3306 TCP/433 TCP/22 TCP/945 TCP/3389 TCP/ % 4.8% 7.3% 3.6% 3.5% 3.% TCP/433 TCP/22 TCP/3306 TCP/945 TCP/3389 TCP/ % 2.9% 2.4% 7.2% 6.4% 5.5% 7 TCP/ % TCP/ % ICMP icmp ping Advanced IP Scanner v.4 4.8% 8 TCP/52.9% TCP/80.% TCP/54 udp flooding 3.2% 9 TCP/2967.8% TCP/35 rpc dcom interface overflow exploit.% UDP/80 2.7% 0 TCP/80.4% TCP/52 8.% 7.% 0.8% TCP/35 2.7% 4.6% 27.6% [ 그림 5] 해외 국내 ( 허니넷 ) 공격유형탐지현황 39.9% TCP/433 TCP/22 2.9% TCP/3306 TCP/ % 2.4%

20 9 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 국내 국내국내에서 KISC 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/3389 포트에대한서비스스캔이 29.2% 로가장많았으며그외 TCP/433 포트에대한서비스스캔, TCP/35 포트에대한서비스스캔순으로나타났다. [ 표 3] 국내 국내 ( 허니넷 ) 공격유형탐지현황 순위프로토콜 / 포트번호 TCP/35 TCP/35 TCP/4899 TCP/433 TCP/35 TCP/22 UDP/434 UDP/53 TCP/2967 TCP/5900 월 공격유형 netbios dcerpc invalid bind rpc dcom interface overflow exploit worm slammer backdoor famous botnet ddns dns query 비율 9.% 2.0% 0.3% 9.0% 7.7% 7.0% 6.9% 4.8% 2.8% 2.7% 프로토콜 / 포트번호 TCP/35 TCP/35 UDP/53 TCP/35 TCP/4899 TCP/3389 TCP/433 UDP/434 TCP/52 TCP/39 2 월 3 월 공격유형비율프로토콜 / 포트번호 netbios dcerpc invalid bind rpc dcom interface overflow exploit backdoor famous botnet ddns dns query worm slammer microsoft windows pnp overflow exploit - suspicious zotob 47.9% 37.4% 7.7%.2% 8.0% 2.9% 0.9% 0.5% 0.4% 0.4% 0.3% 0.2% TCP/4899 TCP/35 UDP/434 TCP/089 TCP/433 TCP/35 TCP/35 UDP/53 TCP/22 TCP/3389 공격유형 netbios dcerpc invalid bind worm slammer rpc dcom interface overflow exploit backdoor famous botnet ddns dns query 비율 2.3% 7.5% 5.3% 0.5% 9.5% 5.4% 4.7% 4.0% 2.5%.6% 7.9% 4 월 5 월 6 월 2 TCP/35 UDP/53 netbios dcerpc invalid bind backdoor famous botnet ddns dns query 9.5% 4.8% TCP/35 TCP/ % 3.9% TCP/433 TCP/ % 20.% 3 4 TCP/4899 TCP/35 rpc dcom interface overflow exploit.% 9.8% UDP/53 TCP/433 backdoor famous botnet ddns dns query 2.7%.7% TCP/4899 UDP/53 backdoor famous botnet ddns dns query 7.7% 0.3% UDP/434 TCP/433 TCP/52 worm slammer 8.3% 6.4% 6.2% TCP/35 TCP/22 TCP/35 netbios dcerpc invalid bind rpc dcom interface overflow exploit 8.% 3.% 2.7% TCP/22 TCP/35 TCP/39 netbios dcerpc invalid bind 4.6% 4.3% 3.5% 8 TCP/22 4.5% TCP/39 2.5% TCP/ % 9 TCP/445 netbios lsass buffer overflow2 2.7% TCP/0338.9% TCP/5900.2% 0 TCP/35.% TCP/433 mssql xp_cmdshell.8% TCP/3389.% 5.6% 8.4% 8.3%

21 20 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 7 월 8 월 9 월 순위 프로토콜 / 포트번호 공격유형비율프로토콜 / 포트번호 공격유형비율프로토콜 / 포트번호 공격유형 비율 TCP/ % TCP/ % TCP/ % 2 TCP/ % TCP/ % UDP/53 backdoor famous botnet ddns dns query 20.4% 3 UDP/53 backdoor famous botnet ddns dns query 3.4% UDP/53 backdoor famous botnet ddns dns query.0% TCP/ % 4 5 TCP/2967 TCP/22 6.2% 4.2% TCP/2967 TCP/ % 5.8% TCP/22 TCP/ % 4.0% TCP/8080 TCP/3389 TCP/39 TCP/80 3.6% 2.8% 2.6% 2.3% TCP/22 TCP/8080 TCP/4899 TCP/433 mssql xp_cmdshell 4.6% 3.9% 3.0% 2.3% TCP/35 TCP/3306 TCP/8080 TCP/39 3.9% 3.5% 2.% 2.% 0 TCP/35 netbios dcerpc invalid bind.7% TCP/39 2.2% TCP/433 mssql xp_cmdshell.9% 3.7%.0% 6.4% 0 월 월 2 월 TCP/ % TCP/ % TCP/ % 2 UDP/53 backdoor famous botnet ddns dns query 4.9% TCP/ % TCP/ % 3 TCP/3389.9% TCP/35 9.5% TCP/35 5.6% 4 ICMP icmp ping Susperscan4 scan 7.7% UDP/53 backdoor famous botnet ddns dns query.3% UDP/35 backdoor famous botnet ddns dns query 9.8% 5 TCP/22 4.3% TCP39 2.7% TCP/22 4.6% 6 TCP/39 3.7% TCP/22 2.6% ICMP icmp ping Susperscan4 scan 2.9% 7 TCP/ % TCP/8080.9% TCP/ % 8 TCP/35.9% TCP/80.4% TCP/80.7% 9 TCP/52.3% TCP/4899.4% TCP/433 mssql xp_cmdshell.6% 0 TCP/8080.2% TCP/52 0.5% TCP/39.% 9.0% 2.7% 6.2% 9.8% 20.6% 5.6% 29.2% 24.8% [ 그림 6] 국내 국내 ( 허니넷 ) 공격유형탐지현황 TCP/3389 TCP/433 TCP/35 UDP/53 backdoor famous botnet ddns dns query

22 2 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 2-3. 국내인터넷망트래픽분석 국내 ISP의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의 Top0 포트의추이를파악한결과, 이미잘알려진 TCP/ 80(HTTP), TCP/445(SMB), TCP/8080(HTTP-alt), TCP/443(HTTPS), 등외에 UDP/5060(Unassigned), TCP/2000(Unassigned) 포트등에대한트래픽이많이관찰되었다. ISP 업계 : 프로토콜 / 포트추이 (PPS) TCP/80 TCP/445 TCP/8080 TCP/443 TCP/5060 TCP/2000 UDP/53 TCP/6788 TCP/5000 TCP/52 [ 그림 7] 국내인터넷망에유입된포트트래픽 Top0 일별추이 이번달국내 ISP 의일부구간에서수집된공격유형을분석한결과, SMB(Server Message Block) 서비스를스캔 하는트래픽인 SMB Service sweep 이가장많았으며, SMB 서비스공격트래픽인 SMB Service connect 이 두번째로많이탐지되었다. ISP업계 : 공격추이 SMB Service sweep(tcp-445) SMB Service connect(tcp-445) TCP ACK Flooding FIN Port Scan Ping Sweep UDP Flooding TCP DRDOS Attack Host Sweep UDP Tear Drop TCP Connect DOS [ 그림 8] 국내인터넷망에유입된공격유형

23 22 인터넷침해사고동향및분석월보 _ 허니넷 / 트래픽분석 2-4. 바이러스월탐지웜 바이러스정보 KISA 및 개업체의바이러스월을통하여수집된웜 바이러스를파악한결과, 다른악성코드등을통해해당 시스템내개인정보를유출하는것으로알려진 PWS 가가장많이파악되었다. [ 표 4] 수집된주요웜 바이러스현황 200 년 순위 월 2 월 3 월 4 월 5 월 6 월 명칭 비율 명칭 비율 명칭 비율 명칭 비율 명칭 비율 명칭 비율 PWS HLLW GENERIC VIRUT HLLM DOWNLOADER PARITE NSANTI PESTUB MLLDROP 4.5% 3.2% 9.8% 7.4% 6.9% 5.8% 5.8% 2.5%.9%.8% 30.4% PWS HLLW GENERIC BREDLAB HLLM PARITE VIRUT DOWNLOADER POLIPOS ACADAP 6.3% 2.7% 8.8% 8.4% 6.5% 6.2% 5.6% 4% 3.2% 2.2% 26.% PWS HLLW GENERIC HLLM VIRUT PARITE NSANTI ACADAP DOWNLOADER PESTUB 6.7% 6% 0.9% 7.% 6.2% 4.2% 2.9% 2.8% 2.6% 2.3% 28.3% PWS HLLW GENERIC HLLM VIRUT UPX ACADAP PARITE PESTUB NSANTI 2.0% 6.9% 0.4% 5.9% 5.5% 4.4% 3.4% 3.3% 2.2% 2% 25.0% PWS HLLW ACADAP VIRUT GENERIC BURSTED HLLM UPX PSYME NSANTI 25.4% 2.8%.% 0.8% 5.2% 2.9% 2.8% 2.4% 2.% 2% 22.5% PWS HLLW GENERIC HLLM VIRUT PSYME DOWNLOADER NSANTI ACADAP UPX 2.4% 6.7% 9.3% 8% 7.8% 5.7% 2.8% 2.2% 2% 2% 22.% 합계 00% 00% 00% 00% 00% 00% 200 년 순위 7 월 8 월 9 월 0 월 월 2 월 합계 명칭 PWS HLLW GENERIC DOWNLOADER UPX HLLM PESTUB VIRUT PARITE PSYME 비율 22.0% 6.%.6% 5.9% 3.9% 3.9% 3.5% 3.3% 3.3% 3.0% 23.5% 00% 명칭 PWS HLLW GENERIC DOWNLOADER VIRUT PSYME PARITE HLLM NSANTI UPX 비율 2.0% 6.9% 4.2% 5.5% 4.0% 3.0% 2.5% 2.3%.7%.6% 27.3% 00% 명칭 PWS GENERIC HLLW VIRUT UPX PARITE DOWNLOADER HLLM FAKEAV BESSO 비율 2.7% 4.0%.7% 6.5% 4.5% 4.3% 3.0% 2.7% 2.%.9% 27.6% 00% 명칭 PWS PARITE HLLW GENERIC VIRUT DOWNLOADER HLLM UPX BESSO NSANTI 비율 23.0% 2.8% 2.% 0.6% 6.4% 4.8% 3.7% 2.4%.6%.6% 2.0% 00% 명칭 PWS GENERIC HLLW PARITE PSYME VIRUT HLLM PESTUB UPX MOFEI 비율 24.3% 2.% 9.8% 8.5% 7.6% 5.% 3.7%.8%.7%.5% 23.9% 00% 명칭 PWS PSYME GENERIC HLLW PARITE HLLM VIRUT NSANTI MYDOOM HANSPY 비율 24.9% 4.6% 0.5% 0.2% 6.7% 5.5% 4.2%.8%.7%.6% 8.3% 00%

24 23 인터넷침해사고동향및분석월보 _ 월간특집 I I. 200 년주요취약점 / 웜 바이러스, 해외동향 구분 월 2월 3월 4월 5월 6월 7월 8월 9월 0월 월 2월 국내 포털메일로전파되는악성코드은닉메일열람주의 IE 관련 MS 비정기긴급보안패치공지 Adobe Reader/Acrobat 취약점보안업데이트권고 Adobe Acrobat/Reader/Flash Player 보안업데이트권고 iphone OS 3..3 소프트웨어업데이트권고 MS Internet Explorer 정보유출취약점주의 IE 관련 MS 비정기보안업데이트권고 국내공개웹게시판 ( 제로보드 XE) 보안업데이트권고 MS VBScript 원격코드실행취약점보안공지 국내공개웹게시판 ( 제로보드 XE) 보안업데이트권고 Adobe Acrobat/Reader 보안업데이트권고 최근백신사및다양한업체를발신인으로위장하여악성코드를유포하는메일이확산 천안함관련사이버공격대비 관심 경보발령 MS 윈도우디스플레이드라이버취약점주의 Adobe Reader/Acrobat/AIR /Flash Player 다중취약점보안업데이트권고 애플 ISO 최신업데이트권고 지난해 7.7 DDoS 공격당시활동했다가치료되지않은좀비 PC 에의해 7 월 7 일부 MS 윈도우쉘바로가기 (.lnk) 취약점주의 PDF Reader 의보안위협에따른권고 애플퀵타임플레이어원격코드실행취약점주의 DLL 하이재킹취약점으로인한악성코드감염주의 Adobe Flash Player 원격코드실행취약점주의 Adobe Reader/Acrobat 신규원격코드실행취약점주의 Adobe Flash Player 비정기보안업데이트권고 Adobe 제품관련신규원격코드실행취약점주의 Adobe Shockwave Player 신규취약점주의 Adobe Reader/Acrobat 다중취약점보안업데이트권고 MS Internet Explorer 신규원격코드실행취약점주의 G20 정상회의관련사이버공격대비 관심 경보발령 北, 연평도포격관련사이버공격대비 관심 경보발령 국내공개웹게시판 ( 제로보드 ) 취약점주의 MS Internet Explorer 신규원격코드실행취약점주의 해외 미국, 백악관은새로운사이버보안관 ( 하워드슈미트 ) 임명등사이버보안강화의지 푸시두 (Pushdo) 봇넷, 보안프로토콜 (SSL) 을위장하여유명웹사이트공격 미국, 사이버보안관련연구의진흥, 기술표준개발및관련교육촉진을위한 사이버보안증진법안 하원통과 MS 윈도우취약점을공격하는컨피커웜 (Conficker Worm) 변종확산 브레도랩 (Bredolab) 악성코드새로운변종을내놓으며급격히재확산 페이스북관리자를사칭하여사용자계정을탈취하는피싱메일경고 중국발쉐도우네트워크 (shadow network) 의사이버공격으로인해인도정부, UN, NATO 등내부문서유출 UN 은사이버범죄에 EU 에서사용중인부다페스트조약을확장해서적용할것인지에대하여논의 ATM( 자동현금지급기 ) 를겨냥한해킹도구가보안전문가 Barnaby Jack 에의해공개 구글, 전세계와이파이망에서개인정보불법수집 페이스북에개인정보유출을목적으로하는피싱동영상 (hilarious video) 급속히확산 미국, 국가안보를위해대통령에게인터넷통제권을부여하는 국유자산으로서사이버공간보호법안 (PCCNAA) 발의 미국 NSA, 사이버공격감시계획 Perfect Citizen 발표 시만텍에따르면 Malware 스팸 2% 증가 무선보안업체 (AirTight Networks) 는안전하다고알려진무선랜보안프로토콜 WPA2 의취약점발견 안드로이드월페이퍼애플리케이션개인정보유출 지멘스 (Siemens) 의 WinCC SCADA 시스템을타겟으로공격하는악성코드발생 독일, 스팸을발송하는억제를위한봇넷대응프로그램발표 페이스북등소셜네트워크서비스 (SNS) 의회원들에게피해를입히고있는 클릭재킹 에대한경고 일본, 잇단사이버범죄로 바이러스작성죄 제정논의 미국최대 ISP 업체인 Comcast 社는인터넷가입자를대상으로봇넷감염통보서비스확대시행 소셜미디어사용자행동패턴, 정보훔치는멀웨어출현 안드로이드커널취약점발견 (88 개고위험결함 ) 중국휴대전화 00 만대모바일악성코드감염 카스퍼스키는감염컴퓨터의데이터를손상시키는신종랜섬웨어악성코드가발견되었다고발표 온라인광고제공업체 DoubleClick 과 Microsoft Ad Networks 를통한악성코드유포사고발생

25 24 인터넷침해사고동향및분석월보 _ 월간특집 II II. 200 년악성코드 취약점동향및 20 년전망. 개요 200년에도개인정보유출, 스팸발송, 분산서비스거부공격 (DDoS) 등과같은다양한유형의침해사고와관련된악성코드가출현하여개인과기업에피해를주었다. 특히 0년에는국내스마트폰보급확산으로대중화되면서국내최초모바일악성코드가발견되었고, SCADA(Supervisory Control and Data Acquisition) 시스템과같은주요산업기반시설을공격목표로하는악성코드인 Stuxnet이발견되는등의새로운이슈가있었다. 또한전자문서나멀티미디어관련응용프로그램및웹브라우저취약점이다수공개되어이를자동화하여악성코드를유포하는사례가많았다. 20년역시전년도와마찬가지로악성코드가지속적으로증가할것으로전망되며, SNS를통해악성코드가유포되는사례가급증할것으로예상된다. 더불어모바일환경발달로다양한플랫폼대상의악성코드가등장하고, 응용프로그램의제로데이취약점을통한악성코드감염 / 전파및이를이용한특정목적또는목표를대상으로한공격이예상되어정보보호관련자들의철저한대비와인터넷이용자들의보안인식제고가요구된다.

26 25 인터넷침해사고동향및분석월보 _ 월간특집 II 년악성코드및취약점동향 2. 악성코드 200년한해동안다양한신종및변종악성코드가출현하여, 많은이용자들에게피해를입혔다. 각종 DDoS 사건이지속적으로발생하였고, 대량의악성코드유포지생성을위한자동화된공격사례가발견되었다. 09년에이어금전취득목적의악성코드가지속적으로유포되고있으며, 각종사회적이슈를이용한악성코드전파사례가여전히기승을부렸다. 또한국가주요기반시설공격용악성코드등장이현실화되고스마트폰악성코드위협이본격적으로확산하기시작한것은새로운이슈이다. 본절에서는 0년국내에서비교적영향력이있었던대응사례를분류하여악성코드동향을정리하였다. 가. 각종 DDoS 사건관련악성코드 200년에도각종 DDoS 사건이끊이지않고일어났다. 매년일어나는삼일절과광복절의한-일네티즌상호간에 DDoS 공격이올해도어김없이발생하였으며전문지식이없는네티즌도쉽게이용할수있도록제작된도구가사용되었다. 0년상반기에는기존의악성도메인차단대응프로세스를지능적으로우회할수있도록제작된악성코드로인한유사한유형의 DDoS 공격이자주발생하였다. 6월에는국내유명신용카드사의이용대금명세서로위장하여유포된악성코드로인한 DDoS 사건이발생하였다. 0년 7월 7일에는 09년 7.7 DDoS 침해사고당시치료되지않고남아있던소수의좀비 PC가다시활동을시작하는사례가있었다. 국내거의모든백신이해당악성코드를치료할수있음에도불구하고 년이지난시점까지악성코드가치료되지않고남아있었다는점은인터넷이용자들의적극적인협조가없이는좀비 PC를완전히제거하는것이매우어렵다는것을보여준다. [ 그림 ] 신용카드피싱을통한 DDoS 개요도

27 26 인터넷침해사고동향및분석월보 _ 월간특집 II 나. 자동화된악성코드유포사례 200년에는동일한유형의악성코드가대량으로유포되는사례가지속적으로발생하였다. 이러한자동화대량유포의대표적인사례로 ARP 스푸핑악성코드와 Gumblar가있다. ARP 스푸핑공격악성코드는 08년이후로잠잠했다가 0년 9월들어서다시발견되었다. 동일네트워크의가짜게이트웨이역할을수행하면서웹브라우징 PC의 HTTP 응답에한줄짜리악성스크립트를삽입하는데, 변종이지속적으로출현하고있는것으로보아삽입악성스크립트및 C&C URL 등의업데이트가자동화되어공격이이루어지는것으로추정된다. Gumblar 악성코드의특이한점은악성코드의경유 / 유포및봇넷형성을다음과같은과정을통해자동화했다는점이다. FTP 계정유출 유출된계정을통해서버의 HTML 과 PHP 파일에공격스크립트코드를삽입 이용자 PC 감염 FTP 계정유출 다. 국가주요기반시설공격용악성코드발견 200년하반기에단연이슈로등장하였던키워드는 Stuxnet 이었다. Stuxnet은독일지멘스 (Siemens) 社의산업자동화제어솔루션을채용한 SCADA 시스템을공격대상으로하는데, 이란, 중국등의핵 산업시설등의시스템에대한공격이언론보도되었다. SCADA 시스템은일반적으로폐쇄망을운영함으로해커가직접적으로침투하기가매우어렵다. 따라서, Stuxnet 은 MS 취약점및 USB 이동형저장매체등을통해우회하여감염 전파하는방법을선택하였다. 침투후에는 SCADA 제어시스템을감염시켜기반설비 ( 밸브, 펌프등 ) 제어기능을방해또는마비하도록설계되어있다. 라. 금전취득목적의악성코드증가전년도에이어 200년에도금전취득을목적으로하는악성코드가많이발견되었다. 악성코드의제작, 유포에서탈취한개인정보의유통까지사이버범죄가기업화가되면서가속화된현상으로추정된다. 게임머니나아이템등의음성적인거래로현금화가이루어지게되면서, 각종국내게임서비스의계정정보를유출하는악성코드가해마다증가하고있는추세도이를반영한다. 또한사용자의온라인뱅킹계정정보를탈취하기위한 ZeuS 봇도꾸준히유입되고있는데, 현재까지는영문스팸메일을기반으로유포되고있고공격의주요목표도해외은행의인터넷뱅킹계정을탈취하기위한것이라서국내의위협은상대적으로적었다.

28 27 인터넷침해사고동향및분석월보 _ 월간특집 II 마. SNS 관련악성코드유포 200년스마트폰의보급이폭발적으로증가함에따라국내에서도마이크로블로그를제공하는트위터등 SNS 서비스가큰인기를누리고있다. 또한페이스북과같이전세계적으로유행하고있는 SNS 서비스도국내에서점유율이높아지고있다. SNS 사용자가많아짐에따라이를악성코드 C&C 또는유포채널로악용하는사례가발견되고있다. 상반기에발견된트윗봇은 SNS를 C&C로악용한대표적인사례이다. 공격자는특정트위터계정페이지에악의적인명령어를트윗하는것만으로트윗봇감염좀비 PC를실시간으로조종할수있다. 트위터와페이스북에서보내온내용으로위장한스팸메일의첨부파일이나, 쪽지또는채팅메시지등의링크또는단축 URL을통해악성파일을유포한사례도다수발견되었다. [ 그림 2] DDOS 명령트윗

29 28 인터넷침해사고동향및분석월보 _ 월간특집 II 바. 각종이슈관련악성코드의사회공학적전파 200년에도천안함, G20 정상회의, 北연평도도발, 위키리크스, 남아공월드컵, 아시안게임등국내외굵직굵직한이슈가많았고, 어김없이이러한사회적이슈와관련된내용으로위장한스팸메일또는검색엔진최적화 (Search Engine Optimization) 를통한악성코드전파사례가다수발생하였다. 악성코드제작자및사이버범죄자들은이러한사회적이슈를악성코드전파에매우좋은기회로악용하고있어인터넷이용자들은이러한이슈가발생했을때특히주의를기울여야한다. [ 그림 3] G20 이슈악용스팸메일

30 29 인터넷침해사고동향및분석월보 _ 월간특집 II 사. 국내최초모바일악성코드등장 200년 4월에는국내최초로윈도우모바일스마트폰을사용자를대상으로한모바일악성코드 WinCE/Ter- Dial이발생하였다. WinCE/TerDial 은 3D Anti Terrorist Action 이라는게임에트로이목마형태로악성코드가숨겨져서게임이설치되는시점에스마트폰을감염시킨다. 악성코드가설치되고나면자동으로해외프리미엄요금번호 (premium-rate number: 퀴즈쇼, 투표등에사용되는번호로분당과금을취하는전화서비스 ) 에국제전화를시도하여과금을부과시킨다. 국내일부윈도우모바일스마트폰사용자중 WinCE/TerDial 감염이확인되었으나, 국제전화발신으로인한과금피해는발생하지않았다. [ 그림 4] WinCE/TerDial 악성코드가설치되어국제전화무단발신

31 30 인터넷침해사고동향및분석월보 _ 월간특집 II 2.2 취약점 CVE(Common Vulnerabilities and Exposures)[] 에 200년한해동안등록된취약점은모두 4,640건으로 09년(5,734건) 과비교했을때다소하락한것으로나타났다. 06년이후하락세를나타내던취약점이 09년에약간의상승세를보였다가 0년들어다시하락세를나타내고있어, 취약점에있어서는물량보다는취약점의영향도가더중요한변수가되고있는것으로분석된다. 년도 2006 년 2007 년 2008 년 2009 년 200 년 취약점개수 6,608 6,54 5,632 5,733 4,640 [ 그림 ] 취약점증가추이 (2) 취약점개수 7,000 6,000 5,000 4,000 3,000 2,000, 년 2007 년 2008 년 2009 년 200 년

32 3 인터넷침해사고동향및분석월보 _ 월간특집 II 가. 취약점공격근원지의변화취약점에대한공격이발생될수있는지점 ( 취약점공격근원지 ) 에대한기준은원격지네트워크 (Remote Network), 인접네트워크 (Local Network), 로컬시스템 (Local System) 으로분류할수있으며, 이는취약점에대한공격이어느위치에서이루어질수있으며시스템에어떠한영향을가할수있는지에대한척도가된다. 0년한해 CVE에등록된보안취약점들을근원지에따라분류해본결과원격지네트워크 (Remote Network) 는 4,4건 (88.66%) 으로작년의 5,27건 (9.93%) 과비교하여약 3.27% 감소하였다. 최근 3년동안의취약점공격근원지추이를살펴보면원격지네트워크 (Remote Network) 를통한취약점공격이비록비중이감소하긴하였으나여전히대부분을차지하고있다. [ 그림 2] 공격근원지추이 (2) 200 년 2009 년 2008 년 0,000 2,000 3,000 4,000 5,000 6, 년 2009 년 200 년 원격지 로컬네트워크 로컬시스템

33 32 인터넷침해사고동향및분석월보 _ 월간특집 II 나. 취약점공격영향력의변화 CVE에서분류하고있는심각성의기준은총 3단계로 7점에서 0점사이의취약점은 High로 4점에서 6점사이의취약점은 Medium으로 0점에서 3점사이의취약점은 Low로구분되어있다. 아래도표에서볼수있듯이 08년 5% 를차지하던 High 레벨의취약점은 09년을기점으로감소하기시작하여 0년에는 45% 까지감소한것을볼수있으나, 여전히고위험도취약점이높은비중을차지하고있음을확인할수있다. [ 그림 3] 취약점공격영향력추이 (2) 3% 2008 년 46% 5% High 5% Meduum 46% Low 3% 4% 49% 47% 2009년 High 47% Meduum 49% Low 4% 6% 49% 45% 200년 High 45% Meduum 49% Low 6%

34 33 인터넷침해사고동향및분석월보 _ 월간특집 II 다. 취약점공격대상의변화 200년 IBM 보안위협중간보고서 ( IBM Internet Security Systems X-Force 200 Mid-Year Trend and Risk Report )[3] 에따르면 08년을기점으로브라우저나운영체제의취약점수는급격히줄어들고있는반면, 전자문서나멀티미디어관련응용프로그램의취약점수는 09년을기점으로꾸준히증가하고있는것을확인할수있다. 최근인터넷을통한전자문서교류나멀티미디어콘텐츠사용이급증하면서해커들이관련응용프로그램들의취약점을주요공략대상으로하고있기때문인것으로추정된다. [ 그림 4] 취약점공격대상변화추이 (3) Browser Multimedia Document Reader or Editor OS 특히, 전자문서관련취약점중에서 MS Office 포맷관련취약점은점차감소하고있는반면대표적인전자 문서인 PDF 관련취약점수는계속증가하여 09 년을기점으로 Office 포맷취약점수를넘어서 0 년에도여전히 높은비율을나타내는것으로확인되었다. [ 그림 5] 전자문서포맷관련취약점변화추이 (3) Portables Document Format(PDF) Office Formats

35 34 인터넷침해사고동향및분석월보 _ 월간특집 II 전자문서및멀티미디어관련응용프로그램의취약점이크게증가하고있으나, 전체취약점에서차지하는비율을기준으로했을때, 여전히웹브라우저관련취약점이사용자들에게는가장큰위협이되고있다. 특히, 아래그림에서와같이 ActiveX 관련취약점은지속적인감소추세를나타내고있으나여전히가장큰비중을차지하고있다. ActiveX 관련취약점이지속적으로감소하고있는이유는안전한프로그래밍기법보급확산과 ActiveX 컨트롤의취약점을찾는도구 ( 퍼징기법을이용하는도구, Fuzzer) 의사용이보편화되어, 예전보다취약점의발견및조치가사전에이루어졌기때문인것으로추정된다. [ 그림 6] 웹브라우저관련취약점추이 (3) ActiveX Firefox Internet Exploer Other Safari

36 35 인터넷침해사고동향및분석월보 _ 월간특집 II 3. 20년악성코드및취약점전망 3. 악성코드 20년에는악성코드수가폭발적으로증가하고, SNS를통해악성코드가유포되는사례도더많이발생할것으로예상된다. 또한 200년의 Stuxnet과위키리크스관련 DDoS 사건등과같이특정목표또는목적의사이버공격이증가하고, 모바일환경의다양한플랫폼을공격대상으로하는악성코드가등장할것으로전망된다. 가. 악성코드수폭발적증가판다시큐리티의자료 [4] 에따르면 0년발견된전세계악성코드의 34% 가최근 0개월동안만들어졌으며, 하루평균발견되는악성코드수도 5만 5,000개에서 6만 3,000개로증가했다고한다, 이러한추세는 20년에도이어질것으로전망되며또한악성코드의생명주기도점차짧아질것으로예상된다. 폭발적으로증가하는악성코드에대응하기위해주요백신업체들은클라우드컴퓨팅기술등을도입하고있지만, 패턴매칭방식으로는악성코드변종의속도와양을따라잡기가점점어려워질것으로예상된다. 나. SNS를통한악성코드유포증가 SNS는사용자가많은만큼확산이빠르고피싱등사회공학적인공격에악용되기쉽기때문에, 20년에는 SNS를통해유포되는더많고다양한악성코드가등장할것으로예상된다. 특히트위터같은사이트에서주로사용하는단축 URL을통해이용자들이클릭하기전까지어떤페이지로연결될지검증할수없기때문에, 악성코드가삽입된사이트로쉽게유도할수있어서악용될소지가높다. 다. 특정목표또는목적의사이버공격증가 200년이슈가되었던 Stuxnet 과같이원자력, 발전 송배전시설, 수도, 화학, 철강등국가주요산업기반시설을제어하는 SCADA 시스템과같이특정목표를겨냥하여제작된정교한악성코드들이보다많이등장할것으로전망된다. 또한최근의위키리크스사건에따른 DDoS 공격사례처럼정치적, 사회혼란목적의사이버공격이증가할것이라고예상된다. 라. 다양한플랫폼대상악성코드등장 200년에는안드로이드스마트폰보급이급격하게증가하면서안드로이드플랫폼을대상으로한개인정보유출, 부당과금유발등다양한유형의모바일악성코드가발견되었다. 년에는스마트모바일환경이더욱발전할것으로예상되면서, 스마트폰뿐만아니라태블릿PC, 스마트TV 등개방형스마트운영체제를사용하는다양한형태의단말기가보급될것으로예상된다. 따라서해당플랫폼이나서비스의취약점을공격하는악성코드가다수등장할것으로보인다. 또한하나의플랫폼에서만동작하는악성코드가아니라, 이기종단말기와운영체제의경계를넘나들며감염이되는크로스오버플랫폼형악성코드도등장할것으로전망된다.

37 36 인터넷침해사고동향및분석월보 _ 월간특집 II 3.2 취약점 0년까지추세를살펴보면발견되는취약점수는다소감소할것으로예상되나, 20년에는스마트환경이전세계적으로확산되면서취약점이노출되는대상이증가할것으로예상되어취약점증가의변수로작용할수있을것으로전망된다. 가. 응용프로그램대상취약점공격증가지속적인보안업데이트로인하여운영체제및웹브라우저관련취약점수는줄어드는반면, Adobe Reader/ Flash Player 와같은전자문서및동영상관련응용프로그램을대상으로하는취약점공격은늘어날것으로예상된다. 또한, 국내인터넷환경에서의 ActiveX 사용비중이여전히높고악성코드유포목적으로악용되기쉽기때문에개발자및관리자들의주의와지속적인점검등이필요하다. 나. 모바일플랫폼및응용프로그램취약점공격증가기존의 PC 및시스템관련취약점증가세가정체또는감소를나타내는가운데, 스마트폰및타블랫 PC 등의사용이급증하고다양한종류의응용프로그램들이시장으로쏟아져나오고있는상황에서이들취약점을악용하는공격이증가할것으로예상된다. 특히, 사이버범죄자들은스마트폰을이용한금융거래에사용되는응용프로그램취약점을집중적으로노릴것으로전망된다. 다. 특정목표를겨냥한취약점공격증가주요기반시설을공격대상으로하는 Stuxnet 등장이후, 사이버범죄자들은특정목표를겨냥한공격에악용하기위한취약점찾기에혈안이될것으로예상된다. 일반적인악성코드의경우잘알려진응용프로그램의취약점을악용하여전파를시도하기때문에쉽게노출될수있는반면, 이용도가낮은특정시설에서사용하는응용프로그램등을공격목표로하는경우사전에발견하기가쉽지않을것으로예상된다. [ 참조 ] [] [2] [3] [4] months-of-200/#utm_campaign=rrss&utm_medium=link&utm_source=twitter&utm_content=pressmalware

38 37 인터넷침해사고동향및분석월보 _ 월간특집 III III. 200 년악성봇동향및 20 년전망. 개요사이버공간에는많은위협이있지만 DDoS 공격, 대량스팸메일발송, 개인정보유출등대부분의악위적행위가봇넷을통해이루어지므로인터넷상에서가장위협적인것이봇넷이라고할수있다. 또한이러한봇넷의전파는운영체제나응용프로그램의취약점을공격하는전통적인감염방식에서모바일기기와사회공학기법이결합한 SNS를통한방법으로변화하고있다. 이렇듯악성봇은최신인터넷환경의변화에맞추어진화하고있으며인터넷침해대응센터에서는이에대응하기위해노력하고있다. 특히금년도에는사회기반시설을공격하는 Stuxnet의발견및최대규모를자랑하는제우스 (Zeus) 봇등봇넷에의한위협이더욱두드러졌던한해이다. 본글에서는 200년두드러졌던봇넷관련이슈및 20년전망에대해살펴보고자한다 년악성봇동향가. 악성봇감염현황 KISC 허니넷트래픽을통해산출한 200년평균감염률은 0.57% 로통계산출을시작한 05년 8.8% 이후 09년부터 % 대로떨어지면서현저히낮아졌으며근래에는 0.4~0.5% 대의수치를보이고있다. 년도 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 0 월 월 2 월평균 % 0.6% 0.7% 0.9% 0.8% 0.6% 0.5% 0.4% 0.4% 0.4% 0.4% 0.5% 0.57% 위통계는봇에감염된시스템에서악성봇전파를위해허니넷으로트래픽을발산할때탐지되는비율을측정 한다. 하지만근래에는사회공학적기법이나웹페이지를이용한전파방법등을주로이용하기때문에취약점을 통한자동전파와같은기존방식은감소하는추세이다.

39 38 인터넷침해사고동향및분석월보 _ 월간특집 III 나. 200년악성봇동향 IRC 프로토콜기반봇비중감소 2009년유행하였던넷봇과같이기존봇넷의경우명령제어서버의확인이용이하고봇의제어를위해주로 IRC 프로토콜을사용하였으나근래에는 HTTP프로토콜을사용하는봇넷이꾸준히증가하고있다. 시만텍인터넷위협보고서 (ISTR) 에의하면 IRC 봇의비중이 08년도 43% 에서 09년도에는 3% 로점차감소하고있음을확인할수있다 ). HTTP 프로토콜을사용할경우많은사용자가인터넷을사용하므로이상트래픽탐지가어렵고방화벽을쉽게통과할수있으며또한 SNS 사이트나정상서비스중인웹사이트의특정경로를이용할경우차단조치가어려운실정이다. 계정탈취목적의제우스봇의유행국내에서봇넷은 DDoS 공격을계기로일반사용자에게까지널리알려지게되었으나 DDoS 공격외에도다양한면에서상당히위협적이다. 그중올한해널리퍼졌던봇중하나인제우스봇은 Netwitness 사에서확인된수치로만 74,000대의 PC가감염된것으로나타났으며 75G에달하는대량의탈취된데이터에는 68,000여개의기업계정과이메일, 온라인뱅킹, SNS 계정등이포함되었다 2). 제우스봇은계정을탈취하기위하여단순히키로거기능외에사용자의웹브라우저를변조하는등보다정교하게제작되었으며국내서비스를타겟으로할경우더욱위협적일수있다. 또한유출된개인정보의악용으로금전적인피해를비롯한추가적인피해가발생할수있다. 제우스봇은넷봇과마찬가지로자동화도구에의해생성되는봇의일종으로봇생성이매우용이하며봇넷의규모파악이상대적으로어렵다. SNS( 트위터 ) 를통한봇넷제어사례발생 SNS 사용이급증하고있는만큼 200년에는이를악용한봇넷이출현하였다. 2009년 8월 Arbor의 SERT에따르면트위터를통하여봇넷을제어하는사례가발견되었으며이는트위터에 Base64 로인코딩된메시지를게시하여접속시새로운명령이전달되는형태로트위터를 C&C 서버로악용한사례이다 3). 또한 200년 8월안철수연구소 ASEC에따르면트위터를통해자동으로악성봇을생성하는도구가발견되었으며명령을내릴트위터의계정명만입력하면이를통해봇제어가가능하다고밝혔다 4). 이와같이 SNS를사용하여봇을제어할경우계정자체를막지않는한차단하기어려우며 HTTP 프로토콜을사용하므로 IDS등보안장비를통한이상징후발견이어렵고방화벽차단이불가능하다. ) 2) NetWitness 社, THE KNEBER BOTNET A ZEUS DISCOVERY AND ANALYSIS, 3) 4)

40 39 인터넷침해사고동향및분석월보 _ 월간특집 III 3. 20년악성봇전망모바일에서의사이버위협에대해서는꾸준히문제점이제기되어왔으나최근까지도명성만큼위협적인사례는거의없었다. 그러나중국신경보에의해보고된사례에따르면휴대폰으로발송된광고메시지를열람시악성코드에감염되어사용자가원치않는문자메시지를발송하게되는악성코드가등장하였다. 이는 9월첫주에만 00만대이상의휴대폰이감염되었으며피해액이 200만위안 (3억 3천 400만원 ) 에달한다 5). 또한 2월 29일모바일보안업체인 Lookout에따르면휴대폰내개인정보를유출하고외부서버로부터명령을전달받아수행하는기능을포함하는악성코드가발견되었다 6). 이는처음으로보고된안드로이드기반의봇넷형태의악성코드이다. 이렇듯모바일기기에감염되는악성봇이출현하고있으며스마트폰의사용자는 20년에도더욱증가할전망이므로모바일기기에서의봇넷위협또한증가할것이다. 자동트위터봇생성기와같이 SNS가봇넷제어를위한수단으로도사용된사례처럼 20년에는 SNS를악용하는사례가더욱증가할것으로보인다. SNS의사용자가급격이증가함에따라 7) 악성코드의전파경로, 스팸, 피싱, 계정도용등다양한형태의피해유형으로나타날것이다. 특히 bit.ly와같은축소url 사용등은악성행위의은폐에활용되기좋다. [ 표 } 2009 년 7 월 vs 200 년 7 월 SNS 사용자증감현황 국가 2009 년 7 월 200 년 7 월변경 % 국가 2009 년 7 월 200 년 7 월변경 % 전세계 770, ,040 23% 브라질 23,966 35,22 47% 미국 3,088 74,429 33% 영국 30,587 35,53 5% 중국 N/A 97,5 N/A 인도 23,255 33,58 43% 독일 25,743 37,938 47% 프랑스 25,2 32,744 30% 러시아 20,245 35,306 74% 일본 23,69 3,957 35% 대한민국 5,90 24,962 57% 5) 연합뉴스 , 中휴대전화 00 만대 좀비악성코드 감염 6) 7)

41 40 인터넷침해사고동향및분석월보 _ 월간특집 III Facebook이나 Twitter와같은외산 SNS 외에도 Me2day나 CLog 등국산 SNS 사용자또한꾸준히증가하고있으며해외 SNS에서보고된위협은국산 SNS에서도똑같이재현될수있다. 20년에는 SNS 사용자가더욱증가할것으로보이며따라서이러한위협또한더욱증가할예정이다. IRC 봇의비율이감소하고 HTTP 봇등이증가하는것이외에도악성봇에대한탐지와우회기법들이계속적으로진화하여대응기술에대한연구가필요할것이다. C&C 서버를이용하지않아탐지및대응이어려운 P2P 봇을비롯하여스케줄이저장된파일에따라동작하는봇넷등과같이 C&C 서버탐지및차단을회피하기위한방법등은지속적으로증가하고발달할것이다. 4. 결론 200년한해는스마트폰보급확대및 SNS 사용자급증등인터넷환경에서많은변화가있었다. 그와더불어악성봇을비롯한악성코드도변화된환경에발맞추어발전하고있으며대응방법또한전통적인방법에서진화가필요하다. 또한악성봇이상대적으로보안이강화된서버를목표로하는것이아니라스마트폰이나개인 PC를사용하는일반사용자를목표로하며금전적인이득등추가적인목적달성을위해더욱은밀하게활동하기때문에개인의보안의식이무엇보다중요한시기이다. 따라서 SNS를이용하거나인터넷서핑시발생할수있는위협에대해인지하고안전한사용을습관화하는것이필요하다. 인터넷침해대응센터에서도악성봇감염 PC들의악성행위를차단하는싱크홀의기능확대등을통해끊이지않는사이버상의위협에대비함과동시에사용자들의인식제고를위한홍보및교육을위해노력할것이다.

42 4 인터넷침해사고동향및분석월보 _ 월간특집 IV IV. 200 년 DDoS 공격동향및 20 년전망. 개요 200년이전 3년간한국인터넷진흥원에신고된 DDoS 공격통계를보면 0Gbps 이상의공격은 2% 정도에불과하였으며대부분의공격은 UDP ICMP 프로토콜을이용한단순 Flooding 공격이주를이루었다. 200년을기점으로 DDoS 공격은 0G 이상의공격이 40% 를차지할정도로공격규모가현저히증가하였으며이중일부는공격규모가 40Gbps~50Gbps 에달하였다. 다만, 200년이후에도여전히 UDP ICMP Flooding 과같은네트워크대역폭을소진시키는공격이여전히주를이루었고, Connection 을증가시킴으로써서버를마비시키는공격빈도가증가한것이특징이라고할수있다. 올한해한국인터넷진흥원에신고된 DDoS 공격통계와 200년 9월부터개시된 DDoS 사이버대피소의실제공격대응사례를통해국내에서발생한 DDoS 공격의동향및유형을분석하며, 20년도 DDoS 공격유형을간략히전망해본다. ISP를대상으로하는대용량 DDoS 공격발생 키워드광고이용업체를대상으로하는순차적인 DDoS 공격발생 발신지위조트래픽을이용한 DDoS 공격지속발생 SYN 과 HTTP의 Data 사이즈를증가시켜대역폭을채우는공격발생 년 DDoS 공격사례가. ISP를대상으로하는대용량 DDoS 공격발생 200년 5월두시간가량국내 ISP에 DDoS 공격이발생하였다. 이공격은 7.7 DDoS 침해사고에나타났던웹서버의부하를발생시키는 HTTP Get 공격과는달리 UDP 프로토콜을이용해네트워크대역폭을잠식하는대용량 Flooding 공격이었다. 좀비PC에서이용하는네트워크와 PC성능이빠른속도로발전되면서네트워크대역폭공격에대한우려는더욱커지고있다. 네트워크속도가느린 ADSL 기준으로봤을때 00Gbps 공격을만들려면 0만개의좀비 PC가필요한반면최근보급되고있는광랜은업로드속도가 50M를상회하기때문에수천대의좀비 PC만있다면 00Gbps의공격이가능하다. 인터넷속도가증가함에따라홈페이지서비스를운영하는기업은네트워크대역폭잠식공격에대한대비가필요하며준비부족시에는홈페이지서비스다운을각오해야할것이다.

43 42 인터넷침해사고동향및분석월보 _ 월간특집 IV 나. 키워드광고업체를대상으로하는순차적인 DDoS 공격발생 200년에는키워드광고이용업체를대상으로하는공격이빈번하였다. 특히 200년 0월 DDoS 사이버대피소서비스를이용하는업체중유사한성격의웹사이트 3곳은하루동안순차적인 DDoS 공격이발생하였다. 공격자는키워드광고로검색되는웹사이트를대상으로 UDP ICMP 프로토콜을이용한대용량 Flooding 공격을감행하였다. 공격자는첫번째웹사이트에공격을감행한후대상을다른사이트로순차적으로변경하면서 3곳모두를공격하였고, 3번째공격대상웹사이트에는시간간격을두고 2차례의추가공격을감행하는형태를보였다. 이외에도호스팅업체를통해 DDoS 공격동향을확인한결과키워드광고이용업체를대상으로공격을감행한후피해업체가광고를내릴경우공격을중지하는사례가빈번하였다. 다. 발신지위조트래픽을이용한 DDoS 공격지속발생 200년한국인터넷진흥원에신고된 DDoS 공격중 40% 가 0Gbps 이상의대용량트래픽을이용하여네트워크대역폭을잠식하는형태를보였다. 특히일부공격은 00Gbps를초과하기도하였다. 실제 DDoS 사이버대피소에서대응한사례를통해보아도 0Gbps 이상의트래픽을유발하는공격빈도가 40% 를상위한다. 이러한대용량트래픽유발 DDoS 공격은발신지를위조하여발생된다. 공격자가아래그림과같이발신지의주소를사설망 IP(RFC98) 또는 Bogon IP(IANA 에의해테스트또는실험목적을위해예약된 IP) 등으로위조하여공격을감행하게되면공격명령제어서버 (C&C) 를추적하는것이사실상불가능하게된다. 이러한발신지위조트래픽을이용한 DDoS 공격을예방하기위해서는트래픽이인입되는지점에서의필터링이반드시필요하다.

44 43 인터넷침해사고동향및분석월보 _ 월간특집 IV 라. SYN과 HTTP의 Data 사이즈를증가시켜대역폭을채우는공격발생 DDoS 공격통계를보면 200년발생한 DDoS 공격유형중 SYN Flooding은 30% 정도를차지하였고 HTTP Get Flooding 은 5% 정도를차지하였다. 특이한점은기존의 SYN과 HTTP Get을이용한공격은서버의백로그큐고갈및웹서버의 DB커넥션부하를유발하는것이목적이었다면아래에소개되는공격은 data 부분에의미없는값을추가하여패킷사이즈를최대로증가함으로써대역폭을소진시키는공격이라는점이다. 대피소에서공격을방어한사례로아래그림을보면 SYN 패킷의 Data 길이가 365byte인공격유형과 HTTP Get 공격시 Data 부분을 Null 값으로채운공격유형을확인할수있다. 두공격유형은대역폭소진공격을차단하기위해 UDP 또는 ICMP 프로토콜에대한차단정책이설정되어있는경우에대역폭소진공격을감행할수있는형태의공격방법이다. 일반적으로웹사이트운영환경에서 SYN 패킷은정상적인세션연결을위해허용하는경우가많고, HTTP Get 패킷또한요청횟수에대한임계치기반과메소드기반으로공격을탐지및방어하는경우가많다. 그러나아래그림과같이정상패킷에 Data 사이즈를크게하여대역폭을소진시키는공격유형도발생하고있으므로이에대해서관리자의주의가필요하다.

45 44 인터넷침해사고동향및분석월보 _ 월간특집 IV 3. 20년도 DDoS 공격전망가. 대용량트래픽을발생시키는 DDoS 공격지속네트워크와 PC의성능은빠른속도로발전하겠지만인터넷망모니터링수준및필터링정책설정수준은그에미치지못하기때문에대용량트래픽을발생시키는 DDoS 공격은꾸준히지속될전망이다. 대용량트래픽발생공격은네트워크대역폭을쉽게잠식시키며대부분변조된 IP를이용하므로추적이사실상불가능한경우가많다. 이에따라인터넷망의엔드단에서라우팅가능한 IP 대역에대한필터링정책설정이수반되지않는다면피해는지속될것이다. 나. slow HTTP POST DDoS 공격을중심으로한 Layer 7 DDoS 공격증가 OWASP 200 Application Security Conference 에서는 slow HTTP POST DDoS 공격이소개되었다. 이공격은공격자가전송될데이터의길이필드값이정상적으로세팅된 POST header를웹서버에전송한후실제전송될데이터는커넥션이고갈될정도로느린속도로전송함으로써웹서버의자원을고갈시키게된다. 이러한 Layer 7 DDoS 공격은정상적인 HTTP 트래픽과악의적인 HTTP 트래픽구분이어렵고, slow HTTP POST DDoS 공격은 Slowloris 공격유형과는달리 IIS와아파치서버모두영향을받으므로주의가요구된다. 다. SNS를통한좀비PC 확대최근 SNS 서비스는가입자수가기하급수적으로늘고있는반면보안상태는취약하여 악성코드지뢰밭 이라는오명이붙을정도이다. SNS가악성코드유포지로활용될경우실시간으로의사소통이이루어지는서비스특성상좀비 PC가양산되는속도는급속도로증가하게된다. 결국 20년에는 SNS와결합된 DDoS 공격이활발해질것으로보이며이는공격자관점에서는봇넷구성이용이해짐으로비연결성공격과연결성공격을복합적으로구성한형태가주를이룰것으로보인다.

46 45 인터넷침해사고동향및분석월보 _ 월간특집 IV 라. 소셜커머스를대상으로한 DDoS 공격증가소셜커머스는소셜미디어와온라인미디어를활용하는전자상거래의일종으로서최근크게각광을받으며한꺼번에많은업체가등장하고있다. 이들소셜커머스같은상용서비스는접속장애가곧금전적피해로이어지므로 20년도에는소셜커머스서비스들이 DDoS 공격의주요타깃이될것으로보인다. 4. 결론공격자는 DDoS 공격을감행하기위해사전에봇넷과공격명령서버인 C&C를구성한다. 현재공격을대응하는관점에서는공격대응시확보되는공격 IP를기반으로좀비 PC를섭외하여악성코드를추출한후 C&C를차단하는것이필수적이다. 그러나앞으로는 SNS의활성화및가상화기술의발전으로공격자입장에서더욱용이하게봇넷을구성할수있게되어공격명령제어서버 (C&C) 차단이공격자에게는큰타격이아닐수있게되었고, 공격자가클라우드컴퓨팅을필두로하는가상화기술을이용하여여러대의 C&C 서버를구축해봇넷을효율적으로관리할수있게된다면공격대응속도는현저히떨어질수있게된다. 불행하게도공격자에게유용한새로운기술들은나날이발전하고있으므로공격자의관점에서다양한공격기법을분석하는것은한계가있고대응이느리기마련이다. 그러므로새로이등장하는서비스에대한보안취약점연구와함께서비스를사용하는사용자스스로가보안업데이트를생활화하고, 백신프로그램을설치하여주기적으로검사하는등의노력이반드시필요하다. 마지막으로, 한국인터넷진흥원은자체적으로 DDoS 공격대응체계를구축하기어려운영세기업을지원하기위해 DDoS 사이버대피소를구축하여서비스를운영하고있다. 사이버대피소는다단계방어정책을통해공격트래픽을걸러내고정상적인트래픽만을보호대상웹사이트로전달함으로써 DDoS 공격시에도보호대상업체웹사이트의물리적인변경없이대피소에서정상적으로기존서비스제공이가능하다. 200년 9월서비스를개소한이후기업및쇼핑몰웹사이트등에발생한다양한형태의 DDoS 공격을성공적으로방어하고있으며 20년도에는더욱많은영세업체들이사이버대피소를이용할전망이다.

47 46 인터넷침해사고동향및분석월보 별첨 < 별첨 > 악성코드유포지 / 경유지조기탐지및차단조치 개요 KISA 인터넷침해대응센터에서는홈페이지를악성코드전파의매개지로악용하여방문자에게악성코드를감염시키는사례가발생함에따라 05년 6월부터지속대응하여왔으며, 05년 2월부터는사용자피해신고이전에사전탐지를통한능동적대응을위해악성코드은닉사이트자동탐지시스템을자체개발 적용하여현재약 00만개의국내주요홈페이지를대상으로악성코드은닉여부탐지및차단등감염피해예방활동을수행하고있다. 전체추이 0년 2월 KISA에서탐지하여대응한악성코드유포및경유사이트는,832건으로전월대비 255.0% (56건,832건 ) 증가하였다. - 악성코드경유사이트수는전월대비 304.0%(427 건,725건 ) 증가하였고, 유포사이트수는전월에비하여 20.2%(89건 07건 ) 증가한것으로나타났다. - 각기관 ( 기업 ) 의웹서버관리자는근본적인원인파악및조치없이단순히악성코드만삭제하는것은임시조치일뿐언제든지재악용될수있음을인지하고, KISA에서제작하여보급하는휘슬 (WHISTL, 웹쉘탐지프로그램 ) 과캐슬 (CASTLE, 홈페이지보안성강화도구 ) 적용등을통해반드시사전점검및재발방지대책을강구하여야한다. 참고사이트 홈페이지개발자 / 관리자를위한보안도구사이트 : - 웹취약점점검서비스, 웹보안강화도구 (CASTLE), 웹쉘탐지프로그램 (WHISTL), 공개웹방화벽 (WebKnight, ModSecurity) 보급및안내 정보보호시스템관리를위한안내서. 해설서 : 자료실 관계법령 안내서. 해설서 정보보호시스템관리 - 웹서버구축보안점검안내서, 웹어플리케이션보안안내서, 홈페이지개발보안안내서등제공 [ 표 ] 악성코드유포지 / 경유지사고처리건수 구분 2009 년총계 200 년 년총계 유포지, ,434 경유지 5, ,725 5,240 합계 7, , ,832 6,674

48 47 인터넷침해사고동향및분석월보 별첨 [ 그림 ] 월별악성코드유포지 / 경유지사고처리건수 ,800,600,400,200, ,832, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 0 월 월 2 월

49 48 인터넷침해사고동향및분석월보 별첨 기관별분류악성코드유포및경유지로악용된사이트를기관별로분류하면기업 (67.3%), 비영리 (3.3%), ( 개인 ) (0.3%), 네트워크 (7.2%) 홈페이지순이었으며, 국외유포지사이트탐지로부분이증가하였으며, 국내경유지의경우는기업으로분류된 co.kr, com 도메인이악성코드경유사이트로많이악용되는것으로나타났다. - 이는해커가일반이용자의접속이많은기업사이트를주로악성코드경유사이트로악용하고있는것으로판단된다. [ 표 ] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 기관 2009 년총계 200 년 년총계 기업 4, ,233 4,22 대학 비영리 연구소 네트워크 ( 개인 ) ,604 총계 7, , ,832 6,674 기관분류기준 : 기업 (co, com), 대학 (ac), 비영리 (or, org), 연구소 (re), 네트워크 (ne, net), (pe, 국외유포지등 ) 0.3% 7.2% 3.3%.9% 67.3% [ 그림 ] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 기업 67.3% 대학.9% 비영리 3.3% 네트워크 7.2% ( 개인 ) 0.3%

50 49 인터넷침해사고동향및분석월보 별첨 웹서버별분류 악성코드유포및경유지로악용된사이트를웹서버별로분류한결과 MS IIS 웹서버가 209 건 (.4%), Apache 웹서버가 557 건 (30.4%),,066 건 (58.2%) 로분류되었다. [ 표 ] 악성코드유포지 / 경유지사이트웹서버별분류 웹서버 2009 년총계 200 년 년총계 MS IIS 2, ,840 Apache, ,64 3, ,066 3,220 합계 7, , ,832 6,674 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미폐쇄되어웹서버를파악하기어려운경우도에포함시켰음

51 50 인터넷침해사고동향및분석월보 부록 < 부록 > 주요포트별서비스및관련악성코드 포트번호 프로토콜서비스관련악성코드 22 TCP SSH Remote Login Protocol [trojan] Adore sshd, [trojan] Shaft Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, Yaha, Spybot, Back Orifice 2k Plug-Ins, CGI 80 TCP World Wide Web, HTTP Backdoor, Executor, Hooker, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader, Zombam 35 TCP/UDP DCE endpoint resolution, MS-RPC Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, Lovgate, Spybot 39 TCP Netbios-ssn God Message worm, Netlog, Qaz, Deborms, Moega, Yaha Agobot, Deloder, Yaha, Randex, Welchia, Poly- 445 TCP netbios-ds bot, Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, Zotob, IRCBot, SDBot 025 TCP/UDP network blackjack Dasher, Remote Storm, ABCHlp, Lala, Keco 080 TCP/UDP SOCKS Protocol MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 433 TCP/UDP Microsoft-SQL-Server Spida, SQL Snake 434 TCP Microsoft-SQL-Server SQL Slammer 2745 TCP urbisnet Bagle 340 TCP/UDP NetworkLens SSL Event OptixPro, Mockbot 5000 TCP/UDP commplex-main Back Door Setup, Blazer5, Bubbel, ICKiller, Rad, Bobax, Trojan.Webus 629 TCP/UDP DameWare Mockbot TCP/UDP HTTP Alternate RingZero, Brown Orifice, Backdoor.Haxdoor.E, Backdoor, W32.Spybot.OBB

52 5 인터넷침해사고동향및분석월보 용어정리 용어정리 구성설정오류공격 바이러스 (Virus) 바이러스월 (Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇 (Bot) 분산서비스거부공격 (DDoS:Distributed DoS) 불법자원사용 불법침입 서비스거부공격 (DoS:Denial of Service) 스파이웨어 (Spyware) 스팸릴레이 (Spam Relay) 허니넷 악성프로그램 악성프로그램공격 애드웨어 (Adware) 웜 (Worm) 운영체제및응용프로그램의설정오류 ( 위험성이있는기본설정의사용, 사용자편의를위한설정조정등 ) 를이용하는해킹기법으로홈페이지위 변조, 불법침입등에주로이용됨컴퓨터프로그램이나메모리에자신또는자신의변형을복사해넣는악의적인명령어들로조합하여불특정다수에게피해를주기위한목적으로제작된모든컴퓨터프로그램또는실행가능한코드네트워크환경내부에인-라인 (In-line) 상태에서 LAN 세그먼트의트래픽을관리하여트래픽상의네트워크바이러스를예방및차단하는시스템메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법운영체제취약점, 비밀번호의취약성, 웜 바이러스의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행가능한코드 DoS용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게만드는공격형태정당한권한없이특정시스템을스팸릴레이, 피싱사이트개설등에이용하는행위주요정보 자료를수집또는유출하기위하여정당한권한없이시스템에침입하는행위특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격으로서비스를못하도록만드는공격이용자의동의없이정보통신기기에설치되어정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나정상프로그램운용을방해하는기능을수행하는악성프로그램. 즉, 이용자의동의없이, 웹브라우저의홈페이지설정이나검색설정을변경, 정상프로그램의운영을방해 중지또는삭제, 컴퓨터키보드입력내용이나화면표시내용을수집 전송하는등의행위를하는프로그램스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해대응센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 웜 바이러스등을수집사용자의시스템에설치되어백도어를오픈하여정보를유출하거나, 시스템의정상적인동작을방해하는프로그램컴퓨터시스템에악성프로그램을설치하게유도하거나고의로감염시키는해킹기법으로주로백도어등을이용하여상대방의주요정보를빼내기위한목적으로이용함사용자의컴퓨터에광고성팝업창을띄우거나, 초기화면을특정사이트로고정시키는등의사용자가의도하지않는행위를수행하게하는프로그램또는실행가능한코드독립적으로자기복제를실행하여번식하는빠른전파력을가진컴퓨터프로그램또는실행가능한코드

53 52 인터넷침해사고동향및분석월보 용어정리 지역센서취약점정보수집공격침입시도트로이잔 (Trojan) 피싱 (Phishing) 해킹 (Hacking) ASP.NET Botnet DHTML Editing Component ActiveX 관련공격 Hyperlink 개체라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 공격징후탐지를위하여 KISA에서전국 45개주요도시에설치한센서대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam이라고도함다른사람의컴퓨터나정보시스템에불법침입하거나, 정보시스템의정상적인기능이나데이터에임의적으로간섭하는행위개발자가웹응용프로그램및 XML 웹서비스를구축할수있도록돕는기술로, 정적 HTML과스크립팅을사용하는일반웹페이지와는달리, 이벤트에기반한동적인 HTML 웹페이지를제공함많은 Bot 감염시스템들이명령을수신할목적으로 IRC에연결되어있는네트워크인터넷익스플로러가웹메일처럼 HTML문서를제작할수있도록해주는 ActiveX 컨트롤상대방의시스템에메일서버를설치하여스팸릴레이에악용하거나, 관심을끄는 을보냄으로써상대방이악성프로그램을설치하도록하는해킹기법으로주로스팸릴레이나악성프로그램의설치에이용됨응용프로그램들이 HTML 문서에서사용되는 Hyperlink 처리를위한기능을제공 Korea Computer Emergency Response Team Coordination Center의약어로, 국내외인터넷침해사고대응업무를수행하는한국대표침해사고대응팀 (CERT/CSIRT) 이며, KISA 인터넷침해대응센터가역할을수행 License Logging Service의약자로 MS서버제품에대한라이센스를고객이관리할수있도록해주는도구네트워크의기본적인입출력을정의한규약 Object Linking And Embedding, Component Object Model의약자로 MS의객체기반기술의일종으로서서로다른응용프로그램이나플랫폼이데이터를공유하는데사용 Portable Network Graphics의약자로 GIF나 JPEG처럼그림파일포맷의일종으로, 주로 UNIX/ LINUX 환경에서아이콘등에많이사용 Server Message Block의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable한주소로 IP를위조하여 Syn을보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격많은인원이동시에다양한정보공유와공동문서제작을위한웹사이트를제작하는데필요한서비스윈도우시스템의제반실행환경을제공해주는것으로 explorer.exe가책임을맡고있음

54