인터넷침해사고 동향및분석월보 2011 Vol.12 12
|
|
- 두심 순
- 5 years ago
- Views:
Transcription
1 인터넷침해사고 동향및분석월보 211 Vol.12 12
2 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.
3 Contents 핫이슈, 주요보안권고, 통계요약 1-1. 침해사고증감추이 침해사고통계요약 악성코드통계현황 4 악성코드피해신고건수추이 주요악성코드피해신고현황 1-4. 해킹사고현황 6 해킹사고접수 처리건수추이 피해기관 운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 감염현황 2-1. 악성코드위협분석 15 허니넷에유입되는악성코드분석 악성코드유포지 / 경유지탐지및차단조치 바이러스월탐지악성코드정보 2-2. 국내인터넷망트래픽분석 21 프로토콜및포트추이분석 공격유형및추이분석 2-3. 허니넷트래픽분석 23 전체추이 Top 3 국가별공격유형 해외 국내 국내 국내 < 부록 > 용어정리 52
4 인터넷침해사고동향및분석월보 월간동향요약 이달의핫이슈 최근안드로이드정식마켓및국내인터넷자료실을통한모바일악성코드유포사례가발생하여스마트폰이용자들의주의가요구됨 - New Year 212 Live Wallpaper 라는앱으로위장한해당악성코드는감염되면메일계정, 설치된패키지목록, 단말기ID 등정보유출가능 - 안드로이드스마트폰이용자는모바일백신및보안자가점검앱 (S.S Checker) 등으로점검조치권고 스마트폰보안자가점검앱은안드로이드마켓과국내이통사앱장터에서 S.S Checker 로검색하여다운로드가능 해시테이블구현오류로인한응용프로그램및서비스장애유발취약점이발견되어주의가요구됨 - 공격자는해당취약점에영향받는시스템에특수하게조작된요청을전송할경우, CPU 고갈을통해장애 ( 서비스거부상태 ) 유발가능하므로신속한보안업데이트필요 영향받는시스템 :.NET Framework, PHP, Apache Tomcat 등의취약버전 주요보안권고 곰플레이어, 한글, 안드로이드운영체제등취약점에대한보안업데이트등에따른주의경보발령등총 11 종 권고 제목 Microsoft 보안업데이트 영향받는제품 / 사용자 Windows XP, Vista, 7 Windows Server 23, 28 MS Office, 엑셀, 파워포인트 Internet Explore 6, 7, 8, 9 등 상세버전홈페이지참조 영향력 / 예방및대책 정기보안업데이트 : 보안취약점 13 종 [MS11-87]~[MS11-99] 패치 - Windows Kernel 에서발생하는취약점으로인한권한상승문제 - 엑셀, 파워포인트, 윈도우미디어에서발생하는취약점으로인한원격코드실행문제 - 인터넷익스플로러취약점누적보안패치등 영향받는버전의경우 MS 보안업데이트적용필요 해시테이블구현오류보안업데이트 곰플레이어보안업데이트 -.NET Framework MS11-1 패치이전버전 - PHP 5.3.8, 5.4.RC3 이전버전 - Apache Tomcat 5.534, 6..34, 및이전버전 2,1,35,579 및이전버전 해시테이블구현오류로인한서비스장애유발가능취약점패치 해당취약점에영향받는이용자유형별보안업데이트필요 - 취약한.NET Framework 버전사용자는 MS11-1 업데이트수행 - 취약한 PHP 버전사용자는 PHP 5.3.9, 5.4.RC4 및이상버전으로업데이트수행 - 취약한 Apache Tomcat 버전사용자는 Apache Tomcat , 6..35, 등영향받지않는상위버전으로업데이트수행 국내무료동영상재생프로그램인곰플레이어에버퍼오버플로우취약점패치 - 특수하게조작된 ASX 파일을취약한버전에서실행할경우악성코드에감염 영향받는버전의곰플레이어사용자는최신버전으로업데이트필요 자세한내용은인터넷침해대응센터홈페이지 ( 보안정보 보안공지 ) 참조 침해사고통계분석요약 연간악성코드피해신고건수는총 21,751 건으로전년도 (17,93 건 ) 대비 21.3% 증가하였으며, 주요악성코드로는 OnlineGameHack, Agent, Winsoft 등이많은비중을차지한것으로집계됨 연간해킹사고접수처리건수는총 11,69 건으로전년도 (16,295 건 ) 대비 28.3% 감소하였으며, 각유형별로도스팸릴레이 (28.5%), 피싱경유지 (59.%), 단순침입시도 (28.2%), 해킹 (7.8%), 홈페이지변조 (39.1%) 모두감소하면서전체건수의감소로이어짐 침해사고위협분석요약 연간악성코드유포및경유사이트는총 11,85 건으로전년도 (6,674 건 ) 대비 76.9% 증가하였으며, 기관유형별로는기업 (74.%), 웹서버유형별로는 MS IIS(49.3%) 가가장많은비중을차지함 연간 KISA 허니넷으로유입된전체유해트래픽은약 7,314 만건으로, 그중해외 IP 로부터유발된트래픽이대부분 (87.8%) 을차지했고, 매월중국발 TCP/1433 포트스캔이가장많은비중을차지함
5 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 1-1. 증감추이 ( 전월대비 ) 구분 악성코드피해신고총 1,841 건 : 전월 (1,263 건 ) 통계요약 대비 45.8% 해킹사고접수처리총 1,91 건 : 전월 (94건 ) 대비 16.1% 증가 스팸릴레이 피싱경유지 단순침입시도 해킹 홈페이지변조 악성봇 (Bot) 277건 : 전월 (379건 ) 27건 : 전월 (26건 ) 227건 : 전월 (252건 ) 346건 : 전월 (186건 ) 214건 : 전월 (97건 ) 감염율.6% : 전월 (.6%) 과동일 대비 26.9% 대비 3.8% 대비 9.9% 대비 86.% 대비 12.6% 증가 감소 증가 감소 증가 증가 악성봇감염율 : 전세계악성봇감염추정 PC 대비국내감염추정 PC 의비율 1-2. 침해사고통계요약 [ 표 1] 월간침해사고전체통계 구분 21 년총계 년 년총계 악성코드피해신고해킹사고접수처리 스팸릴레이 피싱경유지 단순침입시도 해킹 홈페이지변조악성봇 (Bot) 17,93 16,295 5, ,126 3,19 3,43.6% 2,92 1, % 1, % 1,566 1, % 2, % 1,786 1, % 1, % 1, % 1,695 1, % 1, % 1, % 1, % 1,841 1, % 21,751 11,69 3, ,961 2,783 1,854.52% 3, 2,5 2, 1,5 1, 5 1, 년 21 년 211 년 21 년 211 년 21 년 , 악성코드피해신고접수건수 스팸릴레이신고처리건수 피싱경유지신고처리건수 211 년 21 년 211 년 21 년 211 년 21 년 1, 2.5% % 1.5% 1.%.5% % 단순침입시도 + 해킹신고처리건수홈페이지변조사고처리건수악성봇감염비율 [ 그림 1] 월별침해사고전체통계그래프
6 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 1-3. 악성코드통계현황 악성코드피해신고건수추이 12월한달간국내주요백신업체로접수된악성코드피해신고건수는총 1,841건으로전월대비 578건 (45.8%) 이증가한것으로나타났다. [ 표 2] 월별국내악성코드피해신고건수 구분 21 년총계 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7 월 8 월 9 월 1 월 11 월 12 월 합계 신고건수 17,93 2,92 1,847 1,566 2,335 1,786 1,763 1,912 1,695 1,724 1,99 1,263 1,841 21,751 악성코드피해신고건수는국내주요백신업체로신고접수된건수임 올한해신고건수는총 21,751건으로, 전년도총건수 (17,93) 대비 3,821건 (21.3%) 이증가하였으며, 월평균신고건수는 1,813건으로집계되었다. - 연간신고건수추이를살펴보면, 지난 1월에가장많은신고건수 (2,92건) 를기록했고 1월에최소건수 (1,99건) 를기록함 ,5 3, 2,5 2, 1,5 1, 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 2] 국내악성코드피해신고추이 12 월들어전월대비 45.8% 가증가하는등증가추세가이어지고있고 11 년도의경우 1 월에가장많은피해신고가 접수되었던점을감안할때, 12 년 1 월에도더욱주의가요구된다.
7 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 주요악성코드피해신고현황 신고된악성코드를살펴보면, 이달에도게임계정탈취목적의 OnlineGameHack(558건 ) 이가장많았고, DDoS 공격등에이용되는 Agent(135건 ) 가그뒤를이었다. - 연간피해신고건수가많았던주요악성코드를살펴보면, 게임계정등키보드의입력값을유출하는 Winsoft, OnlineGameHack 등과 DDoS 공격등에이용되는 Agent가큰비중을차지 [ 표 3] 최근 6개월간국내악성코드피해신고건수 순위 년 명칭건수명칭건수명칭건수명칭건수명칭건수명칭건수 Online GameHack Agent Online GameHack 56 Online GameHack 55 Online GameHack 69 Malware DownLoader Patched WinSoft FakeAV 합계 7 월 ,912 Agent Online GameHack Online GameHack 69 WinSoft DownLoader Online GameHack 55 Online GameHack 56 Injector Malware Kazy 합계 8 월 ,695 Online GameHack Agent Online GameHack 69 DownLoader Jorik Seint Online GameHack 55 Online GameHack 56 RusKill FakeAV 합계 9 월 ,38 1,724 Online GameHack Agent Xema Patcher DownLoader Online GameHack 69 Diple Online GameHack 56 Online GameHack 55 Rootkit 합계 1 월 ,99 Online GameHack Agent Jorik Xema Patcher DownLoader Nbcss Diple Kazy NetSky 합계 11 월 ,263 Online GameHack Agent Nbcss Banker Jorik DownLoader Yankes Jerusalem IVP BanLoad 합계 12 월 ,841 연간주요악성코드의증감추이를살펴보면, WinSoft가가장많은비중을차지하며시작했으나지속적인감소로하반기에는순위권에서벗어났고, OnlineGameHack은 7월최고치를기록하며크게증가하였으나이후감소추세를보이다 12월에다시증가하는등증감의폭이크게나타났으며, Agent는연간비슷한수준에서꾸준히상위권을유지한것으로분석된다 OnlineGameHack Agent DownLoader WinSoft Xema 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 3] 최근 6개월간주요악성코드신고건추이
8 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 1-4. 해킹사고현황 해킹사고접수 처리건수추이 12월한달간접수 처리한해킹사고건수는총 1,91건으로, 전월 (94건) 대비 151건 (16.1%) 증가한것으로나타났다. [ 표 4] 월별해킹사고접수 처리현황 구분 211 년 21 년 1 월 1, 월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월합계 854 1,76 1,2 1, ,468 1,61 1, , ,3 1,115 1, , , ,412 1,91 1,37 11,69 16,295 연간처리건수는총 11,69 건으로전년도 16,295 건대비 28.3% 감소한것으로나타났으며, 월평균건수도전년도 (1,358 건 ) 보다 384 건감소한 974 건으로집계되었다 년 211 년 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 4] 해킹사고접수 처리증감추이 연간처리건을유형별로분류해보면, 스팸릴레이 (3,727건) 유형이가장많은건수를차지했고, 단순침입시도 (2,961), 해킹 (2,783), 홈페이지변조 (1,854), 피싱경유지 (365건) 순으로나타났다. - 전년도대비전체건수감소의영향으로각유형별로도스팸릴레이 (28.5%), 피싱경유지 (59.%), 단순침입시도 (28.2%), 해킹 (7.8%), 홈페이지변조 (39.1%) 등모두감소함 구분 스팸릴레이 피싱경유지 단순침입시도 해킹 홈페이지변조 합계 21 년총계 5, ,126 3,19 3,43 16,295 1 월 ,25 2 월 월 ,2 4 월 월 ,61 6 월 년 7 월 [ 표 5] 해킹사고유형별접수 처리현황 피싱경유지 : KISA 가국외의침해사고대응기관이나사칭대상이된기관, 일반사용자로부터신고받아접수 처리한건수로써실제피싱사고건수가아니라보안이취약한국내시스템이경유지로악용된건수 단순침입시도 : KISA 에서접수 처리한해킹신고중악성코드등으로유발된스캔 ( 침입시도 ) 을신고한건수 해킹 : KISA 에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지건수 8 월 ,115 9 월 월 월 월 ,91 합계 3, ,961 2,783 1,854 11,69
9 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 - 유형별증감추이를살펴보면, 스팸릴레이, 홈페이지변조, 해킹등은증감의변화폭이크게나타났으나, 상대적으로피싱경유지, 단순침입시도유형은큰변화없이연간비슷한추이를보임 스팸릴레이 피싱경유지 단순침입시도해킹홈페이지변조 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 5] 사고유형별증감추이 - 유형별비율을살펴보면스팸릴레이 (31.9%), 단순침입시도 (25.3%), 해킹 (23.8%), 홈페이지변조 (15.9%), 피싱경유지 (3.1%) 순으로집계됨 구분 건수 15.9% 스팸릴레이 3,727 피싱경유지 365 단순침입시도 2,961 해킹 2,783 홈페이지변조 1, % 31.9% 3.1% 스팸릴레이피싱경유지단순침입시도해킹홈페이지변조 총계 11, % [ 그림 6] 연간해킹사고유형별비율
10 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 피해기관 운영체제별분류 피해기관유형별로는이달에도개인이 878 건으로가장많았고전월대비 32.% 증가하였으나, 기업은 26 건으로 전월대비 24.% 감소한것으로나타났다. 구분 개인 기업 대학 비영리 연구소 총계 1 월 2 월 , 월 ,2 4 월 월 ,61 6 월 년 7 월 월 ,115 9 월 월 [ 표 6] 해킹사고피해기관별분류 기관분류기준 : 침해사고관련도메인이나 IP 를기준으로기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 개인 (pe 또는 ISP 에서제공하는유동 IP 사용자 ) 으로분류 연간피해기관유형별증감추이를살펴보면, 개인이증감을반복하며전체적으로증가추세를보인반면 기업유형은전체적으로소폭의감소추세로나타났다. - 악성코드에감염되어포트스캔공격이나스팸발송등에악용된유동 IP 가많이발생한것이개인유형증가의 주요원인으로판단됨 11 월 월 ,91 합계 7,932 3, ,69 1, 개인 기업 대학비영리연구소 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 7] 피해기관유형별증감추이 연간피해기관유형별비율을살펴보면, 개인 (67.9%) 과기업 (3.6%) 이신고건수의대부분 (98.5%) 을차지했으며, 비영리 (.9%), 대학 (.7%) 등으로나타났다..9%.7% 구분건수 개인 7,932 기업 3,575 대학 13 비영리 79 연구소 1 3.6% 67.9% 개인기업대학비영리연구소 총계 11,69 [ 그림 8] 연간피해기관유형별비율
11 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 운영체제별로분류해보면, 윈도우운영체제가매월가장많은건수를기록하며연간총 7,731 건을기록했고, 리눅스운영체제가연간총 1,631 건등의순으로나타났다. [ 표 7] 해킹사고피해운영체제별분류 구분 1 월 2 월 3 월 4 월 5 월 6 월 211년 7월 8 월 9 월 1 월 11 월 12 월 합계 Windows ,731 Linux ,631 Solaris ,315 합계 1, , , , ,91 11,69 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 - 윈도우운영체제는최고치 853 건 (5 월 ) 와최저치 445 건 (1 월 ) 간에 48 건의차이를보이는등증감의폭이 컸으나, 리눅스운영체제는최고치 (229 건 ) 를기록한 7 월을제외하면전체적으로큰변화없이비슷한추이를 보임 1, Windows Linux Solaris 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 9] 피해운영체제별증감추이 연간총건수의운영체제별비율을살펴보면윈도우가 66.1% 를차지했고, (19.8%), 리눅스 (14.%), 솔라리스 (.1%) 등의순으로나타났다. 구분 건수 19.8% Windows 7,731 Linux 1,631 Solaris 13 2,315.1% 14.% 66.1% Windows Linux Solaris 합계 11,69 [ 그림 1] 연간피해운영체제별비율
12 1 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 피싱경유지신고처리현황 12 월한달간접수된피싱경유지신고건수는총 27 건으로, 전월대비 1 건 (4%) 증가한것으로나타났다. [ 표 8] 피싱경유지신고건수 구분 21 년총계 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7 월 8 월 9 월 1 월 11 월 12 월 합계 피싱경유지신고건수 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는보안업체, 일반사용자로부터신고받아처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임 올한해총신고건수는 365 건으로, 전년도총건수 (891) 대비 526 건이감소해 59.% 감소한것으로집계되었다. - 1 년도 3 월이후전체적인감소추세를이어오다 11 년도에는월평균 3.4 건으로연중큰변화없이비슷한 추이를보임 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 11] 피싱경유지신고건수추이 연간총건수를피싱대상기관유형별로분류해보면, 금융기관이총 34 건 (85.8%) 으로대부분을차지했고, 총 3 건 (8.2%), 전자상거래총 22 건 (6.%) 순으로나타났다. 구분 건수 6.% 8.2% 금융기관 313 전자상거래 22 3 합계 % 금융 전자상거래 [ 그림 12] 연간피싱대상기관유형별분류
13 11 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 연간피싱대상금융기관을살펴보면, 미국의전자결재관련기업인 PayPal(9 건 ) 이가장많았고, 스페인 BBVA(18 건 ), 홍콩 HSBC(17 건 ), 영국 NatWest(13 건 ), 미국 WellsFargo(13 건 ) 등의은행들이많은건수를차지했다. 구분 건수 PAYPAL 9 BBVA % PAYPAL BBVA HSBC 17 NatWest 13 WellsFargo 합계 % 5.1% 4.8% 3.7% 3.7% HSBC NatWest WellsFargo [ 그림 13] 연간피싱대상금융기관별비율 연간총신고건수를피싱대상기관이속한국가별로분류해보면, 미국이 Paypal 등의영향으로가장많은건수를 기록했고, 영국, 스페인, 홍콩, 이탈리아등의순으로나타났으며, 그밖에에는캐나다, 브라질, 호주, 멕시코 등다수의국가가포함되었다. 구분미국 건수 27 영국 37 스페인 33 홍콩 16 이탈리아 % 4.4% 9.% 15.6% 1.1% 56.7% 미국 영국 스페인홍콩 이탈리아 합계 365 [ 그림 14] 연간피싱대상기관소속국가별비율 올한해동안피싱경유지로이용된국내사이트를기관유형별로분류해보면, 기업이 29 건으로전체 57.3% 를 차지했고, 개인 / 46 건 (12.6%), 교육 23 건 (6.3%), 비영리 22 건 (6.%) 순으로집계되었다. 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우인 ISP 서비스이용자 유형은 65 건 (17.8%) 으로나타났다. 구분기업 건수 29 비영리 22 개인 / 46 교육 23 ISP서비스이용자 65 합계 % 6.3% 12.6% 6.% 57.3% 기업 비영리 개인교육 ISP 서비스이용 [ 그림 15] 연간피싱경유지사이트기관유형별비율
14 12 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 홈페이지변조사고처리현황 12월에는총 32개시스템 (IP) 의 214개홈페이지에서변조사고가발생하였고, 전월대비피해시스템은 2개 (6.7%) 증가, 피해홈페이지는 117개 (12.6%) 증가한것으로나타났다. - 연간전체처리건수는피해홈페이지 1,854건, 피해시스템 57건으로전년도대비각각 1,189건 (39.1%), 124건 (19.7%) 이감소한것으로집계됨 [ 표 9] 홈페이지변조사고처리현황 구분 21 년총계 1 월 2 월 3 월 4 월 5 월 211 년 6월 7월 8월 9월 1월 11월 12월 합계 피해홈페이지 피해시스템 3, 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해홈페이지수는피해시스템수보다많음 - 월별증감추이를살펴보면, 5 월과 7 월 ~9 월에많은피해홈페이지수가크게증가한데반해피해시스템수는크게 증가하지않은것은같은웹서버에서운영되고있는여러개의홈페이지가대량으로변조된것이주요원인임 , 피해홈페이지수 피해시스템수 (IP) 월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 16] 홈페이지변조사고추이 연간홈페이지변조사고건의피해시스템운영체제를분류해보면, Win23 계열이 56.8%(288 건 ) 으로가장 많았고, Linux 계열이 21.7%(11 건 ), Win2 계열이 14.4%(73 건 ) 등의순으로나타났다. 운영체제 합계 1.% 1.1% LINUX UNIX Win2 Win23 Win28 WinNT % 21.7% 4.9% 14.4% LINUX UNIX Win2 Win23 Win28 WinNT 합계 57 [ 그림 17] 피해시스템운영체제별비율 운영체제의안정성과는상관관계가없으며, 홈페이지변조사고건의처리결과따른통계수치임
15 13 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 악성봇 (Bot) 현황 12월전세계악성봇감염추정 PC 중국내봇감염 PC 비율은약.6% 로전월과동일하였고, 연간평균감염율은.5% 로나타났다. - 9월에국외악성봇감염율이큰폭으로감소하면서상대적으로국내봇감염율이증가하면서.6% 로증가한이후국내감염IP의증감수준이미미하여감염율변화없이지속됨 [ 표 1] 국내악성봇 (Bot) 감염률 구분 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7 월 8 월 9 월 1 월 11 월 12 월 평균 국내비율.5%.5%.4%.4%.5%.5%.5%.5%.6%.6%.6%.6%.5% 전세계악성봇감염추정 PC 중국내악성봇감염 PC 가차지하는비율이며웹사이트를통한전파는제외됨 봇 (Bot) : 운영체제취약점, 비밀번호취약성, 악성코드의백도어등을이용하여전파되며, 명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용가능한프로그램또는실행가능한코드 국내악성봇감염율추이.6%.5%.4%.3%.2%.1% % 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 18] 국내악성봇감염율추이 연간국내외악성봇감염 IP 의월별추이를살펴보면, 국내와국외의전체적인증감추이는비슷한형태를 보였으나국내는 12 월에최고치를기록한반면국외의경우 3 월에최고치를기록해국내에서는 3 월에감염율이 감소해최저치를기록했다. 국내월평균 국외월평균 4, 8, 3,5 7, 3, 6, 2,5 5, 2, 4, 1,5 3, 1, 2, 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 19] 국내외악성봇감염 IP 월평균추이
16 14 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 국내에서악성봇전파에사용된주요포트의월평균비율을살펴보면, TCP/445(47.1%) 가가장많은비중을차지했고, TCP/1433(17.5%), TCP/8(12.8%), TCP/139(12.2%) 등의순으로나타났다. - 증감추이를살펴보면연초부터 TCP/445 포트가하반기까지지속적으로많은비중을차지하다 11월부터급격히감소했고, TCP/1433 포트가중반이후서서히증가하면서 12월에는최고치를기록해대조를이룸 % 월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 7.7% 12.2% 12.8% 17.5% 47.1% [ 그림 2] 연간국내악성봇전파포트별추이및비율 국외악성봇전파에이용되는주요포트의월평균비율로살펴보면, TCP/445(5.7%) 포트가가장많은비중을차지했고, TCP/1433(26.5%), TCP/139(7.9%), TCP/8(5.9%) 등의순으로나타났다. - 연간증감추이로볼때연초에는 TCP/445 포트가큰비중을차지했으나지속적인감소추세가이어진반면 TCP/1433 포트는지속적인증가추세로 8월이후가장큰비중을차지함 % 3.1% % 5.9% 26.5% 5.7% 월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 21] 연간국외악성봇전파포트별추이및비율 - TCP/1433, TCP/445 등의포트스캔이지속적으로발생하고있으므로, 최신보안패치적용및백신프로그램 등을통해외부로부터의공격및악성코드감염예방을위해지속적으로관심을가질필요가있다.
17 15 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 2-1. 악성코드위협분석 허니넷에유입되는악성코드분석 12월한달간허니넷으로유입된전체악성코드샘플수는전월대비큰폭 (38.9%) 으로감소한것으로나타났다. - 연간추이를살펴보면, 4월큰폭의증가로최고치를기록했고, 반대로 5월 ~6월에크게감소하면서최저치를기록하는등전체적으로증감을반복하는형태를보임 7, 6, 5, 4, 3, 2, 1, 1 월 2 월 3 월 4 월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 22] 악성코드샘플수집증감추이 수집샘플은 윈도우네트워크서비스 취약점을악용하여유입된샘플의증감추이만을반영하므로이메일, 웹사이트등다른유형의전파기법을이용하는악성코드의감염활동추이와는무관함 샘플수집은암호설정및보안업데이트를하지않고, 모든포트가열려있는전용선인터넷환경에서 Windows XP SP1(No- Patch) 과 Windows 2 SP4(No-Patch) 2 개군으로분류하여수집 연간수집된주요악성코드의비율을살펴보면, Starman 계열 (49.7%) 이가장많은비율을차지했고, Virut 계열 (8.5%), Allaple 계열 (3.6%) 등의순으로나타났다. 37.4% 49.7% Starman Virut Allaple IRCBot other.8% 3.6% 8.5% [ 그림 23] 연간신규수집된악성코드비율 Virut : 윈도우실행파일을감염시키며변종의경우네트워크의트래픽을유발시킴 Starman : 사용자정보유출등악의적인기능을수행할수있으며네트워크의트래픽을유발시킴 Allaple : 시스템내의 *.HTM, *.HTML 파일을감염시키고, 백도어역할수행으로공격자가원격제어할수있음 IRCBot : 특정 IRC채널에접속시도하며트로이목마를다운받고, 네트워크트래픽과부하, 속도저하를유발시킴
18 16 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 수집된주요악성코드별증감추이를살펴보면, Starman 계열의악성코드가거의매월가장많은비율을차지하며 전체적으로증감의변화가컸던반면, 그밖에 Virut 계열, Allaple 계열등은연간꾸준히비슷한수준으로 수집되었다. 35, Starman Allaple Virut IRCBot MyDoom 3, 25, 2, 15, 1, 5, 1 월 2 월 3 월 4 월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 24] 악성코드신규건수집추이 연간신규수집된악성코드의유포국가별비율을살펴보면, 미국 (25.3%) 로가장많았고, 러시아 (5.5%), 대만 (5.3%), 브라질 (4.1%), 프랑스 (2.5%) 순으로그뒤를이었다. - 미국을제외하면비교적적은규모로다양한국가에서악성코드유입이이뤄져유형의비중이커짐 57.1% 25.3% 5.5% 5.3% 4.1% 2.5% US RU TW BR FR other [ 그림 25] 연간신규악성코드유포국가별비율
19 17 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 악성코드유포지 / 경유지탐지및차단조치 12월한달동안탐지하여대응한악성코드유포및경유사이트는 529건으로, 전월대비 25.6%(182건 ) 감소하였다. - 연간총건수는 11,85건으로전년도대비 76.9% 증가하였는데, 악성코드은닉점검대상사이트확대 (1만개 18만개 ) 및신규악성코드탐지패턴 ( 유포지 ) 에대한지속적인탐지노력으로탐지및차단조치건수가증가함 [ 표 11] 악성코드유포지 / 경유지사고처리건수 구분 21 년총계 211 년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 유포지 1, ,433 경유지 5, ,98 1, , ,372 합계 6, ,17 1,549 1,61 1, ,85 유포지 : 방문자를대상으로악성코드를유포하는웹사이트 경유지 : 인터넷이용자모르게악성코드유포지로연결하는웹사이트 월별증감추이를살펴보면, 경유지는지난 4월 1,98건으로최고치를기록했고이후점차적인감소추세로 12월에최소건수를기록했으며, 유포지는증감의변화를반복하며 11월 (233건) 최고치를기록하는등상승세를보였다. 유포지 경유지 2, 1,8 1,6 1,4 1,2 1, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 26] 악성코드유포지 / 경유지사고처리추이 - 각기관 ( 기업 ) 의웹서버관리자는 KISA에서제작하여보급하는휘슬 (WHISTL, 웹쉘및악성코드은닉사이트탐지프로그램 ) 과캐슬 (CASTLE, 홈페이지보안성강화도구 ) 적용등을통해반드시사전점검및재발방지대책을강구하여야한다. 참고사이트 홈페이지개발자 / 관리자를위한보안도구사이트 : 정보보호시스템관리를위한안내서. 해설서 : 자료실 관계법령 안내서. 해설서 정보보호시스템관리 - 웹서버구축보안점검안내서, 웹어플리케이션보안안내서, 홈페이지개발보안안내서등제공
20 18 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 연간피해사이트의기관유형별로분류해보면, 기업이 8,74 건으로가장많았고, 비영리 (727 건 ), 네트워크 (647 건 ) 등의순으로나타났다. [ 표 12] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 구분 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7월 8 월 9 월 1 월 11 월 12 월 합계 기업 ,495 1, , ,74 대학 비영리 연구소 네트워크 ( 개인 ) ,652 총계 ,17 1,549 1,61 1, ,85 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), (pe, 국외유포지등 ) - 연간피해기관유형별비율을살펴보면기업 (74.%) 로가장많았고, 비영리 (6.2%), 네트워크 (5.5%), 대학 (.3%) 등의순으로나타남 기업 대학 비영리네트워크 ( 개인 ) 1,6 1,4 14.% 1,2 1, %.3% 6.2% 74.% 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 27] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류
21 19 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 연간악성코드유포및경유지로악용된사이트를웹서버별로분류해본결과, MS IIS 웹서버가 5,819 건 (49.3%) 으로 가장많았고, 그밖에 Apache 웹서버가 2,414 건 (2.4%), 유형이 3,572 건 (3.3%) 으로집계되었다. [ 표 13] 악성코드유포지 / 경유지웹서버별분류 구분 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7월 8 월 9 월 1 월 11 월 12 월 합계 MS IIS ,819 Apache , ,572 합계 ,17 1,549 1,61 1, ,85 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미폐쇄되어웹서버를파악하기어려운경우도에포함시켰음 - 유형별증감추이를살펴보면, 4월에연간최고치를기록하며모든유형에서크게증가하는등중반부에는전체적으로상승추세였으나 7월이후하반기에는감소추세가이어짐 MS IIS Apache 1,2 1, 8 3.3% % % 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 28] 악성코드유포지 / 경유지웹서버별분류
22 2 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 바이러스월탐지악성코드정보 12 월한달간 KISA 및민간업체의바이러스월에서탐지된악성코드를분석해본결과, UPX(23.3%) 가가장 많았고, Psyme(16.1%), HLLW(8.4%), Virut(8.4%) 등이많은비율을보였다. 명칭 비율 UPX Psyme HLLW Virut Generic 23.3% 16.1% 8.4% 8.4% 6% 32.7% 23.3% 16.1% UPX Psyme HLLW Virut Genetic PWS 6 7 PWS 합계 5.2% 32.7% 1.1% 5.2% 6.% 8.4% 8.4% [ 그림 29] 바이러스월에서탐지한주요악성코드비율 연간바이러스월에서탐지한주요악성코드로는 PWS, Virut, HLLW 등이대표적으로, 대부분매월상위에오른것으로분석되었다. - 증감추이를살펴보면, 지난 1월 ~2월 (PWS), 6월 (Virut), 8월 (Generic) 에는특정악성코드유형이많은비중을차지했으나그외에는매월비슷한수준으로증감의변화가크지않았음 45% 4% Virut Genric HLLW PWS HLLM 35% 3% 25% 2% 15% 1% 5% 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 3] 바이러스월을통해탐지된주요악성코드 6 개월추이
23 21 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 2-2. 국내인터넷망트래픽분석 프로토콜및포트추이분석 국내 ISP의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의포트별추이를파악한결과, 이미잘알려진 TCP/8 (HTTP), TCP/88(HTTP) 등이주로관찰되었다. TCP/8 TCP/88 TCP/389 TCP/15 TCP/51 8,, 7,, 6,, 5,, 4,, 3,, 2,, 1,, [ 그림 31] 국내인터넷망에유입된포트트래픽일자별추이 TCP/8 을제외한 3 개월간포트추이를분석한결과, TCP/88, TCP/51, TCP/15 포트등에서상대적으로 많은트래픽을발생시키고있는것으로나타났다. 7, TCP/88 TCP/51 TCP/15 TCP/443 TCP/4867 6, 5, 4, 3, 2, 1, [ 그림 32] 국내인터넷망에유입된포트트래픽 3 개월추이
24 22 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 공격유형및추이분석 이번달국내 ISP 의일부구간에서수집된공격유형을분석한결과, DDoS 공격트래픽인 UDP Flooding 과 Host Sweep, UDP Tear Drop 이주로탐지되었다. 14, UDP Flooding Host Sweep UDP Tear Drop ACK Storm FIN Port Scan 12, 1, 8, 6, 4, 2, [ 그림 33] 국내인터넷망에유입된공격유형일자별추이 3 개월간공격트래픽을분석한결과, 1 월초크게증가했던 TCP ACK Flooding 공격트래픽이 11 월이후크게 감소하였고, ACK Storm 공격트래픽도 11 월중순이후크게감소하는등전체적인공격트래픽이감소한것으로 나타났다. 25, UDP Flooding TCP ACK Flooding ACK Storm FIN Port Scan UDP Tear Drop 2, 15, 1, 5, [ 그림 34] 국내인터넷망에유입된공격유형 3 개월추이
25 23 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 2-3. 허니넷트래픽분석 전체추이 12월한달동안 KISA 허니넷에유입된전체유해트래픽은약 456만건으로전월 (733만건) 에비하여 37.8% 감소하였다. - IP 소재별로분류한결과국내소재 IP로부터유발된트래픽은전체의약 9.6% 였으며, 해외소재 IP로부터의트래픽은약 9.4% 를차지한것으로나타났다. 국내소재 IP 해외소재 IP 단위 ( 만 ) 월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 35] 허니넷유입트래픽규모 6 개월추이 허니넷에유입되는트래픽은악성코드, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많으며이러한악성코드의네트워크스캔은유효한네크워크에대한접근효율을높이기위하여, 1 차적으로감염된시스템의 IP 주소의 A, B 클래스를고정하고 C 또는 D 클래스주소를변경하면서스캔하기때문에일반적으로자국에서유발된유해트래픽이해외에서유입된트래픽보다많을수있음 참고 : 허니넷으로유입되는트래픽은초당수백건이상이될수있으므로구체적인건수는큰의미가없으며, 국내외비율및월별증감을참고하기바람 연간 KISA 허니넷에유입된전체유해트래픽은약 7,314 만건으로집계되었고, 이중해외 IP 로부터유발된공격이 87.7% 로대부분을차지했다. 구분 ( 단위 : 만건 ) 건수 12.2% 해외 IP 6,419 국내 IP 895 합계 7,314 국내소재 IP 해외소재 IP 87.8% [ 그림 36] 연간허니넷유입유해트래픽의국내외비율
26 24 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 Top 3 국가별공격유형 12월한달간해외로부터 KISA 허니넷에유입된트래픽을근원지 IP소재국가별로분석한결과중국으로부터유입된트래픽이 52.5% 로가장많았으며다음으로미국 (2.8%), 대만 (4.3%) 순이었다. - 중국으로부터의트래픽은 TCP/1433, TCP/336 포트에대한서비스스캔이가장많은비중을차지함 China U.S.A Taiwan [ 그림 37] 허니넷유입트래픽 TOP3 국가별공격유형 19.7% 25.3% 31.% 4.7% 8.2% 1.2% 57.2% 38.6% 7.4% 13.8% 16.9% 8.7% 9.2% 9.6% 41.5% < 중국 China> TCP/ tcp service scan TCP/336 - tcp service scan TCP/ tcp service scan TCP/22 - tcp service scan < 미국 U.S.A> ping sweep TCP/445 - tcp service scan TCP/ tcp service scan TCP/8 - tcp service scan < 대만 Taiwan> TCP/445 - tcp service scan TCP/23 - tcp service scan TCP/88 - tcp service scan TCP/135- tcp service scan
27 25 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 [ 표 14] 최근 6 개월간허니넷에유입된유해트래픽국가별비율 순위 211 년 7월 8월 9월 1월 11월 12월국가명비율국가명비율국가명비율국가명비율국가명비율국가명비율 1 중국 54.6% 중국 57.2% 중국 69.8% 중국 63.4% 중국 61.9% 중국 52.5% 2 미국 19.6% 미국 14.4% 미국 18.3% 미국 13.9% 미국 16.9% 미국 2.8% 3 대만 5.3% 필리핀 7.1% 대만 2.8% 러시아 3.7% 대만 3.4% 대만 4.3% 4 홍콩 4.6% 대만 3.5% 일본 1.2% 대만 3.1% 인도 2.3% 인도 2.% 5 싱가포르 2.1% 홍콩 3.1% 브라질.9% 인도 2.4% 러시아 2.2% 러시아 1.9% 6 일본 2.% 일본 2.1% 캐나다.7% 필리핀 1.9% 일본 1.8% 일본 1.9% 7 러시아 1.7% 캐나다 1.9% 터키.7% 일본 1.9% 브라질 1.8% 브라질 1.7% 8 브라질 1.6% 브라질 1.4% 인도.6% 브라질 1.3% 독일 1.% 독일 1.1% 9 터키 1.6% 인도 1.1% 러시아.5% 독일.8% 캐나다 1.% 프랑스 1.% 1 필리핀 1.3% 러시아 1.% 독일.5% 프랑스.7% 프랑스.9% 영국.9% 5.6% 7.2% 4.% 6.9% 6.8% 11.9% 연간해외로부터 KISA 허니넷에유입된트래픽의근원지 IP 의국가를살펴보면, 중국이월평균 59.3% 로가장 많은비중을차지했고, 미국이 16.64% 로그뒤를이었다. - 그밖에국가들로는대만, 러시아, 일본, 브라질, 인도등다수의국가들이해당되는것으로분석됨 9% 8% 중국미국대만 러시아 일본 7% 6% 5% 4% 3% 2% 1% 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 38] 허니넷에유입된국가별유해트래픽추이
28 26 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 해외 국내 12월한달동안해외로부터 KISA 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/1433 포트스캔이 35.2% 로가장많았으며, TCP/445(12.7%), ICMP (12.4%) 에대한서비스스캔등의순으로나타났다. [ 표 15] 최근 6개월간해외 국내 ( 허니넷 ) 공격유형탐지현황 211 년 순위 7 월 프로토콜 / 포트번호 8 월 비율프로토콜 / 포트번호 9 월 비율프로토콜 / 포트번호 1 월 비율프로토콜 / 포트번호 11 월 비율프로토콜 / 포트번호 비율 12 월 프로토콜 / 포트번호 비율 1 TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % 2 TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % 3 TCP/ % TCP/22 8.6% TCP/22 6.4% TCP/22 6.6% TCP/22 6.9% ICMP 12.4% 4 TCP/22 6.4% TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % 5 TCP/ % TCP/ % TCP/ % TCP/ % ICMP 5.2% TCP/ % 6 TCP/8 4.5% ICMP 4.9% TCP/ % TCP/8 5.2% TCP/ % TCP/22 5.% 7 ICMP 4.5% TCP/ % ICMP 4.8% ICMP 4.4% TCP/8 3.6% TCP/8 4.3% 8 TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % TCP/135 3.% 9 TCP/ % TCP/ % TCP/ % TCP/ % TCP/88 2.9% TCP/88 2.2% 1 TCP/ % TCP/8 2.2% TCP/8 1.5% TCP/ % TCP/ % TCP/ % 16.9% 13.8% 17.2% 15.3% 12.7% 11.8% 연간해외에서국내 (KISA 허니넷 ) 로유입된공격유형별추이를보면, TCP/1433 서비스스캔이매월전체 트래픽의 3% 이상높은비율을유지하며가장많은비중을차지했고, TCP/445 포트스캔공격도 3 월이후 꾸준히발생하고있는것으로나타났다. 45% 4% 35% 3% 25% 2% 15% 1% 5% 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 39] 해외 국내공격유형별증감추이 TCP/ tcp service scan TCP/445 - tcp service scan TCP/22 - tcp service scan TCP/336- tcp service scan TCP/3389- tcp service scan - MS-SQL(TCP/1433), MS-SMB(TCP/445) 포트에대한서비스스캔이많은비율을차지하고있으므로, 데이터베이스, 윈도우파일공유등에대한접근제어설정, 보안업데이트적용등보안조치가필요함
29 27 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 국내 국내 12월한달동안국내에서 KISA 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/139 포트스캔이 25.9% 로가장많았으며그외 TCP/1433(25.1%), TCP/23 (1.1%) 포트에대한서비스스캔순으로나타났다. [ 표 16] 최근 6개월간국내 국내 ( 허니넷 ) 공격유형탐지현황 211 년 순위 월 프로토콜 / 포트번호 TCP/1433 TCP/336 TCP/139 TCP/3389 TCP/445 TCP/135 ICMP TCP/22 TCP/19287 TCP/88 비율프로토콜 / 포트번호 12.9% 12.5% 6.5% 6.4% 5.3% 3.8% 3.3% 2.9% 1.8% 1.1% TCP/445 TCP/1433 TCP/135 TCP/336 TCP/3389 TCP/139 ICMP TCP/22 TCP/8 TCP/ 월 비율프로토콜 / 포트번호 25.% 17.8% 12.9% 11.5% 5.5% 2.8% 2.8% 2.1% 1.8% 1.% TCP/445 TCP/135 TCP/1433 TCP/7758 TCP/3389 TCP/336 TCP/139 ICMP TCP/22 TCP/8 비율프로토콜 / 포트번호 비율프로토콜 / 포트번호 43.5% 16.8% 19.8% 4.1% 9 월 35.1% 13.4% 1.4% 6.7% 3.7% 3.6% 3.4% 1.5% 1.3% 1.2% TCP/445 TCP/1433 TCP/8 TCP/137 TCP/3389 TCP/135 TCP/139 TCP/22 ICMP TCP/336 1 월 38.3% 24.5% 12.9% 8.7% 6.8% 1.5% 1.1%.8%.7%.6% TCP/8 TCP/1433 TCP/336 TCP/445 TCP/3389 TCP/139 TCP/22 ICMP TCP/135 TCP/ 월 비율 3.5% 18.7% 14.3% 9.% 7.% 4.8% 2.5% 2.4% 2.2% 1.1% 7.5% 프로토콜 / 포트번호 TCP/139 TCP/1433 TCP/23 12 월 TCP/3389 TCP/135 TCP/445 ICMP TCP/8 TCP/22 TCP/4899 비율 25.9% 25.1% 1.1% 8.7% 8.4% 6.3% 3.7% 2.% 1.8% 1.4% 6.6% 연간국내 IP로부터유발된공격유형별추이를분석한결과, 전체적으로는 TCP/1433, TCP/445 포트에대한스캔공격이많은비중을차지했고, 중반에는 TCP/336 포트스캔이크게증가면서연중최고치를기록했다. - 하반기들면서다시 TCP/445와 TCP/1433 포트스캔공격이많은비중을차지하면서전체적으로는증감을반복하는추이로볼수있음 45% 4% 35% 3% 25% 2% 15% 1% 5% 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 4] 국내 국내공격유형별증감추이 TCP/ tcp service scan TCP/445 - tcp service scan TCP/ tcp service scan TCP/336- tcp service scan TCP/135- tcp service scan
30 28 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 211년은정보보호분야에있어그어느해보다다사다난했던한해라할수있다. 3.4 DDoS 공격을비롯, 농협전산망마비, 포털 / 게임사의개인정보대량유출, 선거관리위원회 DDoS 공격등사회적으로큰파장을불러일으킨사고가여러차례발생하였다. 지난한해침해사고동향을정리한후 212년예측되는보안위협을전망하고이에따른대응방안을마련하였다. 1. 침해사고동향 211 년발생한주요침해사고, 악성코드, 보안취약점, 사회적이슈등을정리해보면, 연초부터연말까지거의 매월다양한보안이슈들이출현하여예방및대응활동에분주했던한해였다. 검찰청사칭피싱사고 * 농협전산망해킹 * 현대캐피탈고객정보유출 *SK 컴스회원정보유출 * 공공기관사칭피싱주의보발령 중앙선거관리위원회 DDoS 공격 넥슨 ( 메이플스토리 ) 게임이용자정보유출 北김정일위원장사망에따른주의경보발령 1 월 3 월 4 월 6 월 7 월 8 월 1 월 11 월 12 월 3.4 DDoS 공격 한글취약점악용악성코드유포 아파치웹서버서비스거부공격도구공개 듀큐악성코드출현 KMPlayer 설치파일통한악성코드유포 * 해쉬테이블구현오류로인한취약점 * 국내인터넷자료실통한안드로이드악성코드유포 [ 그림 1] 211 년월별주요보안이슈 1 지능형지속공격 (APT) 으로기업대상침해사고발생 금융기관의전산망마비, 포털업체및게임업체등의개인정보대량유출등특정기업을타겟팅한공격이다수발생했다. 제휴업체서버를해킹하여암호화되지않은로그파일을통해회원정보를유출한사례, 유지보수업체직원의노트북을악성코드에감염시키고원격에서조종하여전산장애를유발한사례, 공개용백신프로그램의업데이트서버를해킹하여특정업체직원PC만을대상으로악성코드를유포하는등의다양한방법이이용되었던것으로밝혀졌다. 2 DDoS 공격은지속발생, 반면공격목적은변화 11년에는다양한목적으로다양한대상이 DDoS 공격을받았다. 대표적으로는, 사회혼란을야기하기위한 3.4 DDoS 공격과정치적목적의중앙선거관리위원회 DDoS 공격을들수있으며, EBS 수능방송, 해양경찰청사이트등도해당되었다. 그밖에인터넷쇼핑몰, 불법적사이트 ( 도박 성인등 ) 를대상으로한협박성공격등기존금품갈취형 DDoS 공격도지속발생하였다.
31 29 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 3 공공기관을사칭한피싱사이트증가 과거에는주로금융, 게임, 포털사이트등을사칭한사례가많았으나, 11년에는대검찰청, 경찰청, 금감원, KISA 등공공기관을사칭한피싱사이트가크게증가하여연간전체신고건수 1,849건중 1,774건 (95.9%) 에달했다. 피싱사이트를개설한뒤공공기관직원을사칭해피해자에게전화를걸어 피해자명의의예금통장이사기사건에연루되었다 는등피싱사이트로유도하고개인정보를입력받아현금인출이나명의도용등개인정보를악용하는사고가지속적으로발생하였고, 이에따라경찰청은 11년 7월, 공공기관사칭피싱주의보를발령한바있다. 4 인기키워드, 사회이슈, 국내인터넷환경등을이용한악성코드유포증가 北김정일위원장사망, 애플의스티브잡스사망, 아나운서출신 A양동영상등사회적으로관심이되는이슈가생기면관련한키워드를악성코드유포에악용하는사례가발생했다. 北김정일위원장사망, 애플의스티브잡스사망, 아나운서출신 A양동영상등사회적으로관심이되는이슈가생기면관련한키워드를악성코드유포에악용하는사례가발생했다. 또한 한글 워드프로그램, KMPlayer, 곰플레이어, 알툴즈등국내에서많이이용되는국산 S/W의취약점및악성코드유포사례도지속적으로발생하고있다. 그밖에도국내보급률이매우높은안드로이드기반스마트기기를대상으로한악성코드가안드로이드마켓및국내인터넷자료실을통해유포되기도하였다.
32 3 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 2. 보안위협전망 KISA 의침해사고대응경험및국내인터넷환경, 국내외주요보안이슈등을종합적으로고려하여 212 년에 예측되는주요보안위협을전망해보았다. 1 국가주요행사를겨냥한사이버공격증가 올한해국내에는 212 서울핵안보정상회의를시작으로, 여수세계박람회, 국회의원선거및대통령선거등국가적차원의행사들이예정되어있다. 이러한행사를겨냥한 DDoS 공격이나사칭사이트, 관련악성코드유포, 스팸메일발송등사이버공격이발생할수있다. 해외에서도미국이나러시아등의대통령선거, 영국런던올림픽등을겨냥한공격이증가할것으로예상된다. 2 웹하드, SNS 를통한악성코드유포증가예상 7.7 DDoS, 3.4 DDoS, 농협전산망해킹사고는모두웹하드사이트를통해악성코드가유포된사례이다. 웹하드전용프로그램이나컨텐츠등을통한악성코드유포가더욱활발해질것으로예상된다. 또한페이스북, 트위터등국내이용자가크게증가하고활성화되면서악성코드유포지나피싱사이트등위험에노출될가능성도커졌다. 단축URL 기능을악용하거나소셜댓글사이트와같이 SNS와연계된홈페이지를통한악성코드유포도증가할수있어주의가요구된다. 3 기업기밀탈취, 개인정보수집목적의 APT 공격지속 특정기업이나기관을겨냥한 APT 공격이계속될것이고, 보다지능적인공격형태로진화할것으로예상된다. 사회공학적기법을활용해악성코드가포함된문서파일을열어보도록하는전통적인 spear-phishing 방식에더불어기업의보안장비나보안정책을우회하여공격목표에접근하기위한보다다양하고지능적인방법들이등장하고복합적으로활용될것이다. 4 모바일악성코드로인한보안위협현실화 지난 11월국내스마트폰이용자가 2천만명을돌파하였는데, 이는경제활동인구의 8% 에해당한다. 그만큼대상자가많아지면이를노리는악성코드의제작도증가할것이고, 악성코드건수의증가와더불어정교하게제작 유포되는소수의악성코드로인한보안위협이더클것으로예상된다. 특히앱에대한보안검증체계가없는안드로이드마켓의개방성을악용하여안드로이드마켓을통한유포사례가더욱증가할것이다. 5 이용자가많은국산 S/W 의취약점활용한공격증가 한글 워드프로그램, 알툴즈, 곰플레이어, 네이트온등국내에서이용도가높은응용프로그램들의취약점을
33 31 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 악용하는공격이지속되고더욱증가할것으로예상된다. 또한제로보드, 그누보드등국내공개웹게시판 프로그램들의취약점을이용한웹해킹공격도지속될것으로보인다. 6 클라우드서비스의보안위협증가 국내에서도 KT, NHN 등클라우드서비스사업자가약 44개사에달하며, 이용자수도 1,3만명을넘어섰으며, GS와포스코등일반기업도클라우드를도입하는등서서히클라우드서비스가본격화되고있다. 이로인해서비스장애나자료유출, 악성코드전파등보안위협도커지고있다. 자원공유, 서비스의집중화, 가상화기술의취약성, 보안책임의불분명등다양한클라우드의특성상취약성해결이쉽지않으나침해사고예방을위한대책마련이필요하다. 7 DNS 서버대상 DDoS 공격증가 211년도에는웹호스팅업체등의 DNS서버를대상으로 DDoS 공격빈도가증가하였고, 호스팅업체의 DNS 서버공격으로 5만개이상의홈페이지접속이불가능하게되는사고도발생하였다. 이처럼일반웹서버를공격하는것보다상대적으로큰파급효과를기대할수있기때문에 DNS 서버를대상으로하는 DDoS 공격시도가더많아질것으로예상된다.
34 32 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 3. 대응방안 지난 211년한해도많은정부, 공공, 기업등에서예산을투자하고정보보호인력을충원하고보안설비를갖추는등침해사고예방및대응을위해노력하였음에도크고작은침해사고가많이발생했다. 212년에도이러한창과방패의싸움은계속될것이자명하다. 212년주요보안위협으로전망한 국가적주요행사를겨냥한사이버공격증가 웹하드, SNS를통한악성코드유포의증가 국가및주요기업정보탈취목적의 APT 공격지속 모바일악성코드로인한보안위협현실화 이용자가많은국산 S/W 취약점공격증가 클라우드서비스의보안위협증가 DNS 서버대상 DDoS 공격증가등에대한대응방안을마련하여중점추진할계획이다. 특히, 올해는서울핵안보정상회의 (3월), 국회의원선거 (4월), 여수세계박람회 (5~8월), 대통령선거 (12월) 등굵직굵직한국가차원의행사들이예정되어있어, 이를겨냥한사이버공격의발생가능성이높기때문에각행사기간동안비상대응체계운영및집중모니터링, 유관기관협력강화등을통해성공적행사개최를지원할예정이다. 또한급증하고있는스마트폰이용자들을보호하기위해안드로이드기반의앱마켓에서악성앱을수집하여분석할수있는시스템을구축할계획이며, 지난해 9월부터보급하고있는 스마트폰보안자가점검앱 (S.S Checker) 의기능을업그레이드하여스마트폰이용자들에게악성코드가포함된앱에대한정보를알려주는서비스를제공하는등보다안전한모바일이용환경조성을위해노력할것이다. 이밖에도국내이용자가많은주요국산 S/W의신규취약점에대한탐지 분석강화, 웹하드를통해유포되는악성코드탐지 조치강화, 인기검색어기반의악성코드유포점검기술의개발 보급, 안전한클라우드서비스기반환경을조성을위한제도적, 기술적방안연구, DNS 대상 DDoS 공격대응기반마련등다양한방안을마련하고중점추진할예정이다. 더불어 APT 형태등더욱지능화된공격에신속대응하기위해 KISA 내부적으로도전문분석인력의확대및 KISC 직원들의기술역량을강화해나갈것이다. 그러나갈수록고도화, 지능화되는사이버공격을예방하기위해서는무엇보다도, 기업의보안관리체계도입및보안투자확대가필요하다. 기업대상보안관리체계확대를위한제도적마련과기업 CEO 및관리자의인식제고를위한노력도지속해나갈것이다. 한편, 대형침해사고의경우도개인이이용하는 PC로부터출발하는경우가많다는점에서개인이용자들의정보보호생활화역시중요한보안요소이다. 수시로악성코드를점검하고최신보안업데이트를설치하며의심스러운파일의실행이나웹페이지접속을자제하는등가정 / 직장에서자신이이용하는단말기 (PC, 스마트폰, 테블릿PC 등 ) 에대한철저한관리가요구되는시점이다.
35 33 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 1. 악성코드경향분석 1-1. 악성코드동향 211년한해동안다양한악성코드신종및변종이출현하여, 많은이용자들에게감염피해를발생시켰다. 정치적목적의공격을위한악성코드감염으로인해 3.4 DDoS, 농협전산망마비사고, 선관위 DDoS 사건등이발생하였고, 특정기업대상타겟공격용악성코드로인해대규모개인정보유출사건이발생하기도하였다. 각종이슈관련사회공학적전파되는악성코드가여전히기승을부렸고, 각종소프트웨어취약점악용한홈페이지유포형악성코드와문서파일유형의악성코드지속적으로유포되었다. 또한지능화된악성코드유포및자기보호기술의적용은향후악성코드위협의대응방향을시사하는새로운이슈였다. 본절에서는 211년국내에서비교적영향력이있었던사례를분류하여악성코드동향을정리하였다. 가. 유선환경에서의악성코드 DDoS 등각종정치적목적의공격을위한악성코드 3.4 DDoS 침해사고는 211년 3월 4일 1:를기해발생한일련의 DDoS 공격이었다. 총 3차에걸쳐국내주요웹사이트를대상으로계획적이고동시다발적으로일어났으며, 이로인해일부사이트의인터넷서비스접속지연이발생하였다. 하지만공격의실효성은거의없었다고봐도무방하며, 3월 6일 시경감염 PC를대상으로스스로하드디스크즉시손상을유발하는악성코드를유포하면서공격이마무리되었다. 지난 4월발생한농협전산망공격의경우 21년 9월경에농협전산망에접속하는유지보수업체직원노트북에악성코드가감염되었고, 약 7개월간지속적으로모니터링을통해정보가유출되었다. 또한최종적으로농협내부망전산서버에대한시스템파괴명령을내려서버 587대중 273대가작동불능상태가되었고복구까지 2주이상소요되었다. 농협해킹사고에사용된악성코드제작방식및전파유형은 7.7 및 3.4 DDoS와유사한것으로파악되었다. 1월에는정치권과온국민들에게큰파장을일으킨선관위 DDoS 사건이발생하였다. 해당악성코드는기존에발생했던 DDoS 악성코드샘플과접속 C&C를제외한모든부분이동일한것으로보아, 중국해킹관련사이트를통해쉽게구할수있는특정악성코드자동생성도구를통해제작되었을것으로추정된다. 2 특정기관, 기업, 시설대상타겟공격용악성코드증가 APT(Advance Persistent Threat) 공격은타겟기관, 기업등을대상으로신규취약점등을악용하여매우은밀하게침입하고지속적으로공격을유지하는것으로, 타겟공격보다발전된개념이지만지능화또는고도화된공격의구분이모호하여타겟공격과혼용하여사용되기도한다. 시만텍에서발간한월간리포트 [1] 에따르면, 11월한달간전세계타겟공격은일일평균약 94건으로 1달전에비해무려 4배가까이증가한것으로나타났다. 실제로 211년에글로벌에너지업체를대상의 Night Dragon 공격, Duqu 악성코드공격, Poison Ivy 악성코드를악용한 EMC/RSA 공격및 Nitro Attacks 등으로인해많은기업의기밀정보가유출되거나기업이미지에타격을받는피해가발생하였다.
36 34 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 국내에서도인터넷기업을노린타겟공격이발생해대규모개인정보유출사고가일어났다. 지난 7월 SK컴즈해킹사고는변조된공개용알집업데이트파일에의해감염된 PC를공격자가원격제어및회원 DB를제어하여발생하였으며, 총 3,5만여명의회원정보가외부경유지서버를통해중국에할당된 IP로유출된사실이확인되었다. 3 악성코드유포및자기보호지능화 211년에는백신의진단을우회하거나치료를까다롭게하는다양한유형의지능화된악성코드가다수발견되었다. 우선 Duqu 악성코드와같이, 인증서개인키를도용한후유효한디지털서명을적용하여정상파일을가장한악성코드가발견되었다. 또한홈페이지를통해배포되는설치파일변조하거나, SK컴즈해킹사고사례와같이업데이트프로그램을변조하여악성코드를유포하는사례도발생하였다. 자기보호및치료를어렵게하기위해시스템의 BIOS 1) 및 MBR 2) 을감염시키는악성코드또한다수발견되었다. BIOS와 MBR은운영체제가시작하기전에동작하는프로그램이기때문에, BIOS나 MBR 영역을근본적으로치료하지않으면아무리감염파일을삭제또는치료를하더라도재감염된다. 특히홈페이지를통해유포된온라인게임계정탈취악성코드에서 MBR 감염기능과함께백신의실행을방해하는기능이일부발견되었다. 지능화된악성코드는치료가까다로운만큼예방에주의를기울여야하겠다. 4 각종이슈관련악성코드의사회공학적전파 211년에도어김없이일본후쿠시마강진 원전사고, 유명연예인의스캔들및오사마빈라덴, 스티브잡스, 김정일등유명인의사망과같은사회적이슈와관련된내용으로위장한스팸메일, SNS 또는검색엔진최적화 (Search Engine Optimization) 를통해악성코드전파된사례가발생했다. 특히메일에첨부되는파일이실행파일 (EXE) 뿐만아니라다양한취약점을악용하는문서파일 (DOC, PDF 등 ) 파일을이용하는경우가많았다. 또한스마트폰의보급이폭발적으로증가하고트위터나페이스북등 SNS 서비스가큰인기를누리면서, SNS 서비스를사회공학적악성코드유포채널로악용하는사례도다수발견되었다. 트위터와페이스북에서보내온내용으로위장한스팸메일의첨부파일이나, 쪽지또는채팅메시지등의링크또는단축 URL을통해악성파일을유포하면서과거에비해악성코드의확산속도가더욱빨라지게되었다. 인터넷이용자는이러한사회적인이슈가공격자들에게는자신들이제작한악성코드전파에매우좋은기회로연결될수있다는사실을염두하고주의를기울여야한다. 1) BIOS(Basic Input Output System) : 운영체제하위에서입출력장치의제어를위한가장기본적인기능을처리하는프로그램 2) MBR(Master Boot Record) : 하드디스크의맨앞에기록되어있는시스템구동을위한영역으로 MBR 의정보가파괴되면 PC 구동이불가능함
37 35 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 [ 그림 2] 김정일사망이슈관련악성코드유포메일 [2] 5 취약점악용한홈페이지유포형악성코드지속유포 국내사용자가많이방문하는일부언론사, 웹하드, 소셜커머스, 인터넷커뮤니티사이트등을통해서주말마다집중적으로악성코드가유포되는현상이지속되었다. Adobe Flash Player, Oracle Java, Microsoft Internet Explorer 등의소프트웨어취약점을악용하는방식으로유포되었고, 주로온라인게임계정탈취를위한악성코드가대다수를차지하였다. 해당악성코드는윈도우의정상시스템파일을악성파일로교체하여동작하는데, 악성코드의버그및중복감염으로인해인터넷이되지않거나, 시스템부팅이되지않는등의추가적인피해가발생 [3] 하기도하였다. 6 문서파일유형의악성코드증가 211년에는각종취약점을공격하여추가악성코드를다운로드하거나생성후실행하는악성문서파일의유포가증가한경향을보였다. 특히 MS1-87 RTF 스택버퍼오버플로취약점 (CVE ) 을악용하는 RTF 포맷의악성파일과 Adobe Flash Player 취약점과관련된악의적인 SWF를포함하는 MS 오피스파일 (DOC, XLS) 과 PDF 파일이다수발견되었다. 또한국내에서는한 / 글프로그램의신규취약점을악용하는 HWP 포맷의악성코드가특정그룹을대상의타겟공격 (spear-phishing) 에사용되기도하였다. 나. 무선환경에서의악성코드 211년한해동안에는전세계적으로안드로이드 OS 탑재스마트폰의보급및이용증가로인해안드로이드폰을대상으로하는악성코드가해외에서급속하게증가하였다. 해외에서발생한스마트폰악성코드는단순히스마트폰의 IMEI값, 통화및 SMS 발송내역등의기본정보를유출하는것에서부터중국, 러시아, 유럽및전세계국가를대상으로정보이용요금을발생시키는과금유발형악성코드까지다양한형태의악성코드가등장하였다. 본절에서는 211년세계적으로비교적영향력이있었던모바일악성코드사례를분류하여정리하였다.
38 36 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 1 봇넷형악성코드의발생 21년 12월말 Geinimi를시작으로, 211년 2~3월 ADRD, PJApps.A~C 등안드로이드 OS 탑재스마트폰을대상으로하는봇넷형모바일악성코드가해외에서연달아발생하였다. 이들은기본적으로해커와암호화통신을하고있으며, 해커로부터명령이하달되면, 암호화된명령어를복호화하고이에맞는악성행위 ( 단말기및개인정보유출, 추가앱설치, 즐겨찾기추가등 ) 를수행후, 그결과를해커에게 SMS 형태로전송하는형태를보이고있다. [ 그림 3] 정상앱으로위장한봇넷형악성앱 (PJApps 변종 ) 화면 note 명령으로 SMS 를이용하여 IMEI 등의정보유출 soft 명령을통해추가어플리케이션설치 [ 그림 4] 악성코드 (PJApps) 주요명령어및기능
39 37 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 2 정상앱으로위장한악성코드의유포 211년도해외에서발생한악성앱들은배경화면변경, 게임, 동영상스트리밍서비스, 모바일백신등정상적인앱에악성코드를삽입 리패키징한후정상앱인것처럼위장하여개인및단말정보유출, SMS 무단발신등의악성행위를하는앱들이대부분이었다. 또한, 이러한악성앱들은앱보안성검증이취약한해외사설블랙마켓등을통해유포되고있어, 스마트폰이용자의각별한주의한필요하다. < 정상앱 ( 왼쪽 ) vs. 악성앱 ( 오른쪽 )> [ 표 1] 정상앱으로위장한봇넷형악성앱 (PJApps 변종 ) 화면 < 정상앱 ( 왼쪽 ) vs. 악성앱 ( 오른쪽 )> 동영상스트리밍을제공하는 NETFLIX 앱으로위장 Kaspersky 모바일백신앱으로위장 3 premium SMS 요금부과악성코드의증가 211년하반기에들어서는정보이용료가부과되는 premium SMS 서비스이용을시도하는악성코드가증가하였다. 이전에도 premium SMS 서비스를통한과금유발형악성앱들이발견되었으나, 대부분중국및러시아의스마트폰이용자를대상으로하였다. 하지만, 최근에는스위스, 벨기에, 독일, 스페인, 영국등다수의유럽국가및더나아가전세계스마트폰이용자를대상으로하는악성앱이발견되었다. premium SMS 서비스를시도하는악성앱들은감염된스마트폰의정보를확인해특정조건과일치할경우미리정의된해당국가별 premium SMS 번호로사용자몰래 SMS를발송해요금을부과한다. 현재망사업자가등록된국가코드정보를확인하여, 해당국가별 ( 프랑스, 스위스, 벨기에, 룩셈부르크, 캐나다, 독일, 스페인, 영국 ) 프리미엄번호로 SMS 발송시도 [ 그림 5] 8 개유럽국가대상 premium SMS 발송코드예
40 38 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 1-2. 악성코드전망 가. 유선환경에서의악성코드 212 년에는타겟공격을위한지능화된악성코드가유포되고, 정치 / 경제 / 종교 / 사회적인목적을달성하기위한 핵티비즘 (Hacktivism) 공격악성코드도증가할것으로예상된다. 또한범죄조직에의한악성코드와 Mac OS 사용자대상악성코드도증가할것으로전망된다. 1 타겟공격을위한지능화된악성코드유포 공격대상기관 / 기업이사용하는특정소프트웨어의알려지지않은신규취약점을활용하거나, 해당소프트웨어의업데이트서버를해킹하여변조된업데이트파일을올려놓는방식으로악성코드유포방식이진화될것으로보인다. 또한지속적인공격이이루어질수있도록보다진화된은폐기술이적용될것으로예상된다. 백신의진단을우회하거나치료를까다롭게하는 BIOS/MBR 감염형악성코드와루트킷이접목된형태의악성코드가타겟공격에사용될것으로전망된다. 더불어 C&C나정보유출관련통신채널이보안관제시탐지되지않도록정상적인트래픽과구분이불가능한형태의네트워크통신을하도록제작될수있다. 공격대상측면에서는 21년이슈가되었던 Stuxnet 악성코드와같이원자력, 발전 송배전시설, 수도, 화학, 철강등국가주요산업기반시설을겨냥한공격을목적으로제작된정교한악성코드들이등장할가능성이있으며, 특정기업 / 기관 / 그룹이아닌특정개인 ( 유명인 ) 을공격대상으로삼는타겟공격도발생할가능성이있다. 2 핵티비즘 (Hacktivism) 공격시도증가에따른악성코드유포가능 정치 / 경제 / 종교 / 사회적목적의달성을위해특정국가 기관 단체의시스템을해킹하거나 DDoS 공격을시도하는활동이 212년국내외에서많이발생할것으로보인다. 컨설팅기관롤란드버거에따르면 212년한해동안전세계 193개국가운데 59개국에서직 간접선거를실시하는데, 특히우리나라의대선 총선및미국과러시아의대선등이큰이슈로작용할수있다. 또한이와맞물려 211년에발생했던중동 북아프리카의자스민혁명, 유로존재정위기, 美월가시위등이확산될수있고, 룰즈섹 (LulzSec) 이나어나니머스 (Anonymous) 등과같은핵티비스트 (Hacktivist) 그룹들이이를지원하면서정보유출, DDoS, 시스템파괴악성코드가유포될가능성이있다. 3 범죄조직에의한악성코드유포증가 악성코드의제작, 유포에서 DDoS, 스팸발송및탈취한개인정보의유통까지사이버범죄가기업화 조직화 분업화되면서금전적인이득을노린범죄조직에의한악성코드유포가증가할것으로예상된다.
41 39 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 우선현금화가능한각종게임서비스의계정정보를유출하는악성코드가내년에도국내에서는지속적으로유포될가능성크고, SpyEye, ZitMo, 제우스 (ZeuS) P2P 버전등으로끊임없이진화하고있는제우스봇이내년에도해외금융권이용자에게는위협이될전망이다. 또한 DDoS나정보유출등을청부하는사이버범죄 (CaaS: Crime as a Service[4]) 와이를위한악성코드유포가기승을부릴것으로예상된다. 4 Mac OS 대상악성코드증가 과거에는주로마이크로소프트의윈도우운영체제에서동작하는악성코드가 PC 악성코드의주류를이루었다면, 212에는 Mac OS 사용자를노리는다양한유형의악성코드가등장할것으로예상된다. 211년에이미 MacDefender, MacSecurity, MacProtector, MacGuard 등과같은이름으로 Mac OS 대상영문허위백신프로그램이유포되어금전적인피해를유발한사례가있었는데, 최근전세계적으로 Mac OS의보급이증가하고있는추세로보아 Mac OS 대상악성코드유포가점차증가할것으로보인다. 또한사이버범죄그룹이새로운수익모델을찾아낸다면허위백신프로그램외에도다양한종류의악성코드가제작될것으로보인다. [ 그림 6] Mac OS 에감염된영문허위백신 Mac Protector[5]
42 4 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 나. 무선환경에서의악성코드 212년에는안드로이드기반스마트모바일기기의보급이날로늘어남에따라, 안드로이드 OS 스마트모바일기기를대상으로하는모바일악성코드수가폭발적으로증가할것으로예상된다. 또한모바일악성코드의주요감염경로는현재의앱보안성검증이취약한블랙마켓이외에도페이스북, 트위터등 SNS상의링크가주요전파수단이될것으로전망된다. 이러한블랙마켓및 SNS를통한악성앱의유통증가는 211년과는달리국내대다수안드로이드기반의스마트기기이용자들에게직접적인위협으로대두될것으로예상된다. 1 안드로이드악성코드수폭발적증가 미국의보안전문업체인 McAfee의 211년 3분기위협보고서 [6] 에따르면, 전세계모바일악성코드는 1,3여종에이르며, 그수는지속적으로증가하고있다고한다. 현재까지발생한악성코드중대부분은노키아社의심비안 OS를대상으로하는모바일악성코드였으나, 최근안드로이드폰의보급율이높아지면서앱보안검증이취약한안드로이드폰을대상으로하는모바일악성코드가매분기급격하게증가하는추세로, 212년에는그수가폭발적으로증가할것으로예상된다. 특히, 국내의경우보급된스마트폰중약 8% 가안드로이드운영체제를탑재하고있어대형침해사고로연계될위험성이높다고할수있다. 출처 : McAfee Threats Report: Third Quarter 211(11.22) [ 그림 7] Mac OS 에감염된영문허위백신 Mac Protector[5] 2 SNS 를통한악성코드유포증가 모바일악성코드의감염및유통경로로 212년에도앱보안성검증이취약한블랙마켓이여전히이용될것으로보인다. 더불어트위터, 페이스북등과같은 SNS를이용한모바일악성코드의감염및유통이급격하게증가할것으로예상된다. SNS는사용자가많은만큼확산이빠르고, 단축 URL 또는 QR코드등을이용한피싱등의사회공학적인공격위협에노출되어있기때문에 SNS를통한모바일악성코드의유포가확연히증가할것으로예상된다. 단축 URL 또는 QR코드는이용자들이클릭또는스캔하기전까지어떤페이지로연결될지검증할수없기때문에, 악성코드가삽입된사이트로쉽게유도할수있어서악용될소지가높다.
43 41 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 3 새로운플랫폼대상악성코드등장 211년전세계적으로안드로이드 OS 탑재스마트기기가대중화되면서안드로이드플랫폼을대상으로개인및단말정보를유출하거나 SMS 부당과금을유발하는모바일악성코드가급격하게증가하였다. 212년에는마이크로소프트社의윈도우폰7 OS를탑재한스마트폰의활성화가예상된다. 마이크로소프트社에서는 MS의마켓플레이스에서만앱 (app) 을다운로드하게하는등아이폰과같은형태로보안을강화하였으나, 윈도우폰7 OS의취약점을이용해스마트폰을루팅할수있는 ChevronWM7, WindowBreak 등의 unlock 툴이이미등장하였고, OEM(Original Equipment Manufacturer) 형태로윈도우폰7 OS를탑재한스마트폰을제조하는제조사에서디버깅용으로제공하고있는애플리케이션들에대한취약점들이이미노출되어있어, 이를이용한악성코드들이등장할것으로보인다. 2. 보안취약점경향분석 2-1. 보안취약점동향 211년한해동안다양한환경및시스템에서신규취약점이발견되었고, 이를악용한침해사고도많이발생하였다. 특히정보시스템이관리하고있는정보의양과중요도가점점높아짐에따라취약점으로인한데이터유출및위 변조삭제등의침해사고는엄청난금전적손실과사회적혼란을야기시킬수있음을한번더확인한해가되었다. 본절에서는 211년발생한취약점현황과주요사례를분류하여취약점동향을정리하였다. 1 보안취약점개수의감소, 영향력은증가 CVE(Common Vulnerabilityes and Exposures)[1] 에 211년한해동안등록된취약점은모두 4,14건으로 21년 (4,64건) 과비교했을때다소하락한수치를보이고있다. 그러나모든취약점발생사례가 CVE에등록되는것이아니기때문에, 해당추이는절대적이지않으며, 실제로정보수집및집계기관별로다른수치및결과를보이고있다. 또한정보시스템의규모증가와취약점악용방식이갈수록지능화됨에따른파급도상승으로인해, 취약점개수의증감과상관없이신규취약점의지속적인출현은인터넷침해사고의강력한위협이되고있다.
44 42 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 7, 6, 5, 4, 3, 2, 1, 27 년 28 년 29 년 21 년 211 년 년도 27 년 28 년 29 년 21 년 211 년 취약점개수 6,514 5,632 5,734 4,64 4,14 [ 그림 8] CVE 등록취약점증감추이 1, 8, 6, 4, 2, 2 사고발생시파급효과증가 [ 그림 9] IBM X-Force 21 보안동향및위협보고서 ( 11.3) 취약점증감추이 과거에비해정보시스템에운용되고있는데이터중요도상승및크기증가로인해, 취약점으로인한침해사고 발생시피해규모가커지고있다. 한예로 211 년 4 월에발생한소니社의플레이스테이션애플리케이션 서버에서발생한취약점으로인해 1 억명이상의고객개인정보유출로인해천문학적인금전손실이발생했으며, 네덜란드인증기관인 DigiNotar 는취약점으로인한해킹으로회사가파산하는사례가발생하였다. 국내의경우, 211 년 4 월 8 일현대캐피탈이웹취약점을노린것으로추정되는해킹을통하여 175 만명의 개인정보가유출되었으며, 7 월 26 일 SK 커뮤니케이션즈의관리자 PC 에설치된이스트소프트社 S 의알툴즈 유틸리티의취약점을이용해악성코드를설치하여, 3,5 만명의개인정보가유출되는사건이발생하였다. 위와같은사례에서알수있듯이취약점으로인한피해파급도는기업의신뢰성회손과금전적인손해로 이어지며, 나아가기업의존폐에영향을미치는단계까지변화하였다.
45 43 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 3 전자문서처리프로그램에서발생하는취약점악용사례증가 211년에는국내에서많이사용되고있는아래한글워드프로세서와 Adobe Reader/Acrobat 제품에서발생하는취약점을이용한문서파일형태의악성코드가지속적으로발생하였다. 취약점을악용하여특수하게제작된문서파일형태의악성코드는아이콘, 확장자등외관상정상문서파일과동일하여유관으로는악성코드여부를파악할수없으며, 실행시악성코드감염행위와동시에정상적인문서를출력하여사용자를속이도록치밀하게제작되었다. 대부분피싱메일을통한정상적인첨부문서로가장하여유포되었으며, 특정대상및조직을목표로삼는 APT(Advanced Persistent Threat) 공격시도를목적으로사용한사례도있었다. 현재해당취약점에대한보안패치가공개되었으며, 업데이트를통하여피해를예방할수있다. [ 그림 1] 아래한글악용하는악성코드개요도
46 44 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 [ 그림 11] 아래한글취약점을이용한악성코드생성 4 웹서비스서비스거부취약점 211년 8월과 12월에는주요웹서비스에서비스거부를일으킬수있는파급도높은취약점이공개되었다. 취약점을이용한서비스거부공격의경우, 일반적으로수많은좀비PC를동원하여공격하는방식과달리, 단 1명의공격자가특수하게조작된소량의패킷전송만으로도서비스장애를유발시킬수있어파급도가매우크다. 지난 8월에공개된아파치웹서버대상 DoS 공격도구의경우전세계적으로가장많이이용되고있는웹서버에대한공격가능성에서웹서버관리자들을긴장하게했고, 특히 12월에발생한취약점의경우, 해시테이블에서발생하는문제로닷넷프레임워크, PHP, 아파치톰캣등주요웹서비스에동일한문제점이발생하였다. 해당취약점으로인해마이크로소프트社의경우매월정기적으로수행하는보안업데이트와별도로긴급보안패치 (MS11-1) 를발표하였으며, 아파치톰캣및 PHP도긴급히보안업데이트를공개하였다.
47 인터넷 침해사고 동향 및 분석월보 45 월간특집_ <첨부> 악성코드, 보안취약점, DDoS 공격 경향 상세분석 [그림 12] 서비스 거부를 유발시키는 특수하게 제작된 공격트래픽 전송 [그림 13] CPU 자원고갈 현상 발생
48 46 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 2-2. 보안취약점전망 212 년에도각종운영체제및어플리케이션등의새로운취약점들이지속적으로출현할것이고, 강력한 보안위협으로작용할것이다. 보안취약점은대부분의침해사고에서공격수단으로악용되는만큼공격유형과 연관하여전망해보았다. 1 보안취약점을이용한 APT(Advanced Persistent Threat) 공격증가 APT공격시, 공격대상자가신뢰하는유틸리티및워드프로세서등에서발생하는취약점과피싱을연계시킬경우, 공격자의입장에서성공확률을매우높일수있기때문에해커의입장에서취약점을이용한 APT공격이늘어날것으로예상된다. 때문에사용자는자신이사용하고있는프로그램은항상최신버전으로업데이트를유지해야하며, 신뢰할수없는출처의파일은열람을자제하는등의주의가필요하다. 2 국산범용소프트웨어대상취약점공격증가 윈도우운영체제와익스플로러, 한글워드프로그램등특정 S/W에의존도가높은국내환경은이러한특정 S/W의취약점을이용한공격에상대적으로더큰피해가야기될수있다. 이러한국내환경에특화된 S/W 대상의취약점이많이발견될것이고, 이를이용한공격도증가할것으로예상된다. 또한해당취약점을악용하기위해기존실행파일 (EXE확장자) 형태의악성코드가아닌, 취약점을악용하도록특수하게제작된전자문서및미디어파일형태의악성코드출현이증가할것으로예상된다. 3 보안취약점을이용한서비스거부공격증가 기존대량의좀비PC를동원한서비스거부공격방식과달리, 취약점을이용한서비스거부공격이증가할것으로예상된다. 취약점을이용한서비스거부공격의경우, 적은공격자원으로많은피해를만들어낼수있어위험도가높다. 제로데이취약점인경우서버관리자는패치가발표될때까지임시조치방안을수행하고보안패치발표시신속하게패치를적용하는등의적극적인대처가필요하다.
49 47 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 3. DDoS 공격경향분석 211년에는 4여개주요사이트를공격대상으로한 3.4 DDoS 공격을비롯해, 선거관리위원회, 해양경찰청, EBS 수능방송등공공기관을대상으로한공격도다수발생하였으며, 전년도에이어올해도영세한쇼핑몰, 도박, 호스팅업체등을대상으로한공격도지속되었다. 본절에서는 KISA가운영하고있는 DDoS 사이버대피소 3) 에서실제대응한사례를바탕으로동향을살펴보기로한다 DDoS 공격동향 최근에발생하는 DDoS 공격은전문 DDoS 공격단체의청부형공격이나키워드광고서비스등특정업종을대상으로한 DDoS 공격을특징으로하며, 대용량트래픽전송공격과웹서버자원고갈형공격을주로사용하고있다. DDoS 사이버대피소에서방어한 DDoS 공격은공격자, 공격대상, 공격유형의관점에서아래와같은특징을 보였다. 1 전문공격단체를이용한청부형 DDoS 공격 ( 공격자관점 ) 211 년 1 월웹호스팅업체에등록된온라인쇼핑몰사이트를대상으로 DDoS 공격이발생하여쇼핑몰서비스가중단되는사건이발생하였다. 사건직후, 빠르게 DDoS 사이버대피소의방어시스템으로적용하였지만이미웹사이트는마비된상태에서공격자는공격을종료한이후였다. 공격징후가없음을판단한후쇼핑몰운영자를통하여협박이있었는지여부를확인한결과해당 DDoS 공격이청부에의한것임을확인할수있었다. < 온라인쇼핑몰담당자로부터확인한협박내용일부 > 공격단체에연락을취하고공격이유와목적에대해물은바동종업계에서의뢰가들어와감행했다는이야기를들었습니다. 또한앞으로공격이더이어질것이라는말도함께자신들은실력이있다고했습니다. 쇼핑몰운영자가전달해준협박내용을통해알수있듯이금번공격은동종업계에서전문 DDoS 공격단체를섭외하여피해대상기업을공격한것이며, 웹서비스를마비시켜쇼핑몰운영에치명적인피해를입히는것을목적으로하고있었다. 211 년 1 월 27 일 15Mbps 이하의소규모 1 차공격 (SYN flooding) 을시작으로 66Gbps 규모의대용량트래픽전송공격, 1Gbps 규모의웹서버부하발생을통한서버마비공격등크고작은 DDoS 공격이 2 월 14 일까지총 3 회정도반복되었다. 특히, 공격자는대피소에의해 DDoS 공격시도가무력화되면다른봇넷을구성또는확보하여다시공격을감행하였다. 일부 C&C 가차단된후다시발생된 Get flooding 공격을분석한결과다른침해사고에서사용되었던패턴과동일한형태의공격임이확인되기도하였다. 3) 국내중소 / 영세기업의 DDoS 공격피해저감을위해 KISA 가 21 년 9 월개소하여운영중이며, 피해웹사이트로향하는공격트래픽을대피소로우회시켜주는서비스를제공
50 48 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 2 유사업종을대상으로하는순차적인 DDoS 공격 ( 공격대상관점 ) 211 년 3 월, 4 월, 6 월에특정업종을대상으로순차적인 DDoS 공격신고와 DDoS 사이버대피소입주신청이발생하였다. 이러한업종중에는인터넷키워드광고를이용한서비스, 소셜경매서비스, 성인쇼핑몰서비스등이포함하고있었다. 즉, 공격자는특정업종을선택하고해당업종내의웹사이트를검색하여나타나는중 소웹사이트를대상으로순차적인 DDoS 공격을감행한것이다. 공격자는해당업체에게웹사이트서비스를내릴것을요구하거나금전적보상을요구하여업체가이를수용하면공격을중지하는패턴을보였다. 특히, 공격자는서비스를제공하지못하면매출에심각한타격을입을만한업체를선택하여맛보기공격과함께금전적요구를병행하였고 DDoS 공격대응능력이없는영세중 소업체는이러한요구를쉽게들어주는악순환이반복되고있었다. 3 대용량트래픽전송공격과웹서버공격의동일비율발생 ( 공격유형관점 ) DDoS 공격은크게공격대상의네트워크대역폭을소진시키는유형과웹서버자원에부하를주는유형으로구분할수있는데, 211년에는 21년과마찬가지로 UDP/ICMP Flooding과같은네트워크대역폭을소진시키는공격과 Connection을증가시킴으로써서버를마비시키는공격이비슷한비율로발생하였다. 네트워크대역폭을소진시키는공격은주로 UDP/ICMP 프로토콜을이용하는 UDP/ICMP Flooding 등이있으며웹서버자원에부하를주는공격은 TCP프로토콜을이용하는 HTTP GET Flooding, SYN Flooding 등이있다. KISA의 DDoS 사이버대피소는대용량트래픽전송공격이나웹서버자원부하공격을지속적으로방어하고있는데지난 1년간의 DDoS 공격발생규모를보면다음그림과같다. 1% 2% 28% 1% 24% 17% 17% 5G 이상 2G~5G 1G~2G 5G~1G 1G~5G 1M~1G 1M 미만 [ 그림 14] 211 년 DDoS 공격량규모 위그림을보면 5Gbps 이상의공격이전체공격의 37% 를차지하고있고 5Gbps 미만의공격은 63% 의비율을보이고있다. 특히, 5Gbps 규모이상의 DDoS 공격은 UDP/ICMP Flooding과 TCP를이용한대역폭소모공격이주를이루었고 5Gbps 미만의공격은 TCP프로토콜을이용한공격이대부분을차지하였다. DDoS 공격형태를살펴보면, DDoS 공격량에서는차이가있지만공격형태측면에서는큰차이가발생하지않았음을볼수있는데다음그림은공격형태별발생규모를나타낸것이다.
51 49 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 7% 2% 1% 3% 23% 38% ICMP/UDP Flooding Syn Flooding Get Flooding HTTP Continuation Posting Flooding [ 그림 15] DDoS 공격유형별빈도 DDoS 공격형태별발생빈도를보면 UDP/ICMP 와 TCP를이용한대역폭소진공격 (ICMP/UDP Flooding, HTTP Continuation) 이 45% 의비율을보였고, TCP 프로토콜을이용한웹서버자원고갈공격 (Syn/Get/ Post Flooding) 은 55% 의비율을보였다. 즉, 위에서언급한그림을종합해보면그동안발생한 DDoS 공격은네트워크대역폭소진공격과웹서버자원고갈형공격이대략 1:1의비율로발생하였음을알수있다 DDoS 공격전망 212 년에도금전적, 정치적, 이념적등다양한목적으로 DDoS 공격은지속될것이다. 특히영세한기업을 대상으로협박성공격을감행함으로써쉽게금전취득이가능한점과이메일 P2P 웹하드등악성코드전파 경로가다양지면서봇넷 (BotNet) 환경구성이용이한점등을요인으로꼽을수있다. 또한금전적협박이나 공격명령이주로해외에서이루어지고있어 DDoS 공격근원지파악및공격자검거가어려운점도간과할수 없는부분이다. 공격자들은효과적인공격을위하여기존대응방안들을우회하는진화된방법으로공격을시도할것이다. 또한공격대상을웹서비스에중점을둠과동시에, 네트워크장비및웹이외의다른주요어플리케이션등 새로운대상에대한공격기법들을개발하고공격에활용할것이다. 현재의 DDoS 공격대응기술 set-cookie 를이용한대응 - 최초 GET 요청시 Set-Cookie: testcookie=test; MaxAge=36; 로서버에서응답후이후 Cookie:testcookie=test 문자열을달고요청할때만 OK 32 Redirect 를이용한대응 - <meta http-equiv='refresh" contents="1; url= HTTP 헤더의특정 string 을이용한대응 - L7 수준에서문자열필터링 ( 예 :Proxy-Connection, Cache-Control) 동일 URI 요청에대한 IP 차단 - 반복적인 URI 요청을하는 IP 에대한차단 (rate-limit) 빠른 GET 요청대한 rate-limit 차단 - 일정시간당지정된회수이상으로많은 GET 접속을하는 IP 에대한차단 (rate-limit) [ 표 2] 현재의 DDoS 공격대응기술과미래의공격시나리오 향후공격예상시나리오 브라우저 Component 를이용하여 set-cookie 를따른다면? 32 Redirect 를따른다면? 불필요한비정상적 HTTP 헤더가없다면? 요청하는 URI 가 / 에한정하지않고 dynamic 하게변경된다면? Slow-attack 과같이적당히느린속도로공격한다면? ( 충분한좀비 PC 를확보한경우 )
52 5 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 1 방어정책을우회하는 DDoS 공격웹사이트공격을차단하는가장보편적인방법은웹사이트서비스가사용하지않는접속프로토콜을차단하는것이다. 즉, 웹사이트접속은보통 TCP 기반의 HTTP 프로토콜을사용하고웹사이트특성에따라 UDP/ICMP 프로토콜을일부사용할수있으므로서비스에영향을미치지않는범위내에서 UDP/ICMP를이용한접속을차단할수있다. 이러한방법은웹서버의상위네트워크에위치한라우터등의네트워크장비의 ACL(Access Control List) 을설정하는것만으로도손쉽게방어가가능하다. 그러나공격자는이러한대용량트래픽전송공격차단을회피하기위해 TCP를이용한대용량트래픽전송공격을사용한다. 공격자는좀비 PC로하여금웹서버와 TCP 세션을맺도록한후에 TCP 페이로드 (Payload) 에의미없는데이터 (Garbage) 로가득채워트래픽을전송하도록하는데, 이와같은공격을 DDoS 사이버대피소에서는 HTTP Continuation 공격이라고명명하고있다. 이러한공격의장점은 UDP/ICMP Flooding과같은성격을가지고있어 DDoS 대응시스템까지도달하기이전구간의네트워크대역폭을잠식할수있어공격방어가불가능해질수있다는점이다. 이러한사례를통해 HTTP Continuation 공격은방어자의정책을우회하기위한방법으로진화한대표적인사례라고할수있다. 2 모바일환경을이용한 DDoS 공격악성어플이설치된스마트폰은 SMS 문자메시지발송만으로, 스마트폰연락처에있는모든사람들에게악성코드가포함된링크의문자메시지를전달함으로서순식간에많은사람들에게악성코드를전파한다. 이때, 사용자는지인을통해아무런의심없이문자메시지를클릭함으로써악성코드에감염되게된다. 악성코드에감염된수많은스마트폰이나테블릿PC 등이좀비PC의역할을하게되어 PC 환경에서와같이 DDoS 공격이가능하다. 3 브라우저와동일한 DDoS 공격 (2ch Tool DDoS 공격 ) 좀비PC의 DDoS 트래픽은날로정교해지고있다. 따라서더이상기존의임계치및특정시그너처 (Signiture) 로차단하는방법으로는공격트래픽을정확히분별해낼수없을것이다. 그중좀비PC가브라우저와거의동일하게동작하여 DDoS트래픽을유발할수있는 Tool은 2ch가있다. 아직 NET봇의형태로 C&C가존재하지않지만, 앞으로많은좀비PC가이와비슷한형태로발전하고개량되어 DDoS공격을할것으로보인다.
53 51 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 [ 참고자료 ] [1] [2] [3] [4] [5] [6] [7] [8] [9] [1] [11]
54 52 인터넷침해사고동향및분석월보 용어정리 구성설정오류공격 바이러스 (Virus) 바이러스월 (Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇 (Bot) 분산서비스거부공격 (DDoS:DistributedDoS) 불법자원사용 불법침입 서비스거부공격 (DoS:Denial of Service) 스파이웨어 (Spyware) 스팸릴레이 (SpamRelay) 허니넷 악성프로그램 악성프로그램공격 애드웨어 (Adware) 웜 (Worm) 운영체제및응용프로그램의설정오류 ( 위험성이있는기본설정의사용, 사용자편의를위한설정조정등 ) 를이용하는해킹기법으로홈페이지위 변조, 불법침입등에주로이용됨컴퓨터프로그램이나메모리에자신또는자신의변형을복사해넣는악의적인명령어들로조합하여불특정다수에게피해를주기위한목적으로제작된모든컴퓨터프로그램또는실행가능한코드네트워크환경내부에인-라인 (In-line) 상태에서 LAN 세그먼트의트래픽을관리하여트래픽상의네트워크바이러스를예방및차단하는시스템메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법운영체제취약점, 비밀번호의취약성, 악성코드의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행가능한코드 DoS 용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게만드는공격형태정당한권한없이특정시스템을스팸릴레이, 피싱사이트개설등에이용하는행위주요정보 자료를수집또는유출하기위하여정당한권한없이시스템에침입하는행위특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격으로서비스를못하도록만드는공격이용자의동의없이정보통신기기에설치되어정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나정상프로그램운용을방해하는기능을수행하는악성프로그램. 즉, 이용자의동의없이, 웹브라우저의홈페이지설정이나검색설정을변경, 정상프로그램의운영을방해 중지또는삭제, 컴퓨터키보드입력내용이나화면표시내용을수집 전송하는등의행위를하는프로그램스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해대응센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 악성코드등을수집사용자의시스템에설치되어백도어를오픈하여정보를유출하거나, 시스템의정상적인동작을방해하는프로그램컴퓨터시스템에악성프로그램을설치하게유도하거나고의로감염시키는해킹기법으로주로백도어등을이용하여상대방의주요정보를빼내기위한목적으로이용함사용자의컴퓨터에광고성팝업창을띄우거나, 초기화면을특정사이트로고정시키는등의사용자가의도하지않는행위를수행하게하는프로그램또는실행가능한코드독립적으로자기복제를실행하여번식하는빠른전파력을가진컴퓨터프로그램또는실행가능한코드
55 53 인터넷침해사고동향및분석월보 용어정리 지역센서취약점정보수집공격침입시도트로이잔 (Trojan) 피싱 (Phishing) 해킹 (Hacking) ASP.NET Botnet DHTMLEditingComponentActiveX 관련공격 Hyperlink 개체라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 공격징후탐지를위하여 KISA 에서주요도시에설치한센서대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam 이라고도함다른사람의컴퓨터나정보시스템에불법침입하거나, 정보시스템의정상적인기능이나데이터에임의적으로간섭하는행위개발자가웹응용프로그램및 XML 웹서비스를구축할수있도록돕는기술로, 정적 HTML 과스크립팅을사용하는일반웹페이지와는달리, 이벤트에기반한동적인 HTML 웹페이지를제공함많은 Bot 감염시스템들이명령을수신할목적으로 IRC 에연결되어있는네트워크인터넷익스플로러가웹메일처럼 HTML 문서를제작할수있도록해주는 ActiveX 컨트롤상대방의시스템에메일서버를설치하여스팸릴레이에악용하거나, 관심을끄는 을보냄으로써상대방이악성프로그램을설치하도록하는해킹기법으로주로스팸릴레이나악성프로그램의설치에이용됨응용프로그램들이 HTML 문서에서사용되는 Hyperlink 처리를위한기능을제공 Korea Computer Emergency Response Team Coordination Center 의약어로, 국내외인터넷침해사고대응업무를수행하는한국대표침해사고대응팀 (CERT/CSIRT) 이며,KISA 인터넷침해대응센터가역할을수행 License Logging Service 의약자로 MS서버제품에대한라이센스를고객이관리할수있도록해주는도구네트워크의기본적인입출력을정의한규약 Object Linking And Embedding, Component Object Model 의약자로 MS의객체기반기술의일종으로서서로다른응용프로그램이나플랫폼이데이터를공유하는데사용 Portable Network Graphics 의약자로 GIF 나 JPEG 처럼그림파일포맷의일종으로, 주로 UNIX/ LINUX 환경에서아이콘등에많이사용 Server Message Block 의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable 한주소로 IP를위조하여 Syn 을보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격많은인원이동시에다양한정보공유와공동문서제작을위한웹사이트를제작하는데필요한서비스윈도우시스템의제반실행환경을제공해주는것으로 explorer.exe 가책임을맡고있음
< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information*****
Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot
More informationÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù
21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132
More information*
Korea Internet & Security Agency 29 12 CONTENTS 1 3 4 5 6 6 7 9 1 13 14 16 18 23 56 59 61 Windows XP SP1 Windows 2 SP4 1 2912 Bot 326 49 2.3 73 73 239 215 11.2% 256 199 28.6% 25 115 117.4% Bot 8,469 46
More informationÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó
Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information21 8 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 33 36 37 2 218 Bot 1,45 1,69 12.7% 1,644 1,3 26.5% 666 556 19.8% 25 66 24.2% 423 44 4.7% 323
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More informationVol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5
6 212 Vol.6 June CONTENTS 2 page 1. 월간동향요약 1-1. 6월보안이슈 2 1-2. 주요보안권고 2 1-3. 침해사고통계분석요약 3 1-4. 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5 2-2. 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.
211 Vol.7 7 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다. Contents 월간동향요약 : 핫이슈, 주요보안권고, 통계요약 2 1. 침해사고통계분석 3 1-1. 침해사고증감추이 3 1-2. 침해사고통계요약 3 1-3. 악성코드통계현황 4 악성코드신고건수추이 주요악성코드현황 1-4.
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information1-1 5 월보안이슈 국내금융기관 ( 은행 ) 웹사이트의파밍 (Pharming) 사례가발생하여이용자들의주의가요구됨 - PC 의 hosts 파일이변조되어정상적인은행홈페이지주소를입력해도해커가만든피싱사이트로접속되고, 보안승급신청화면을가장해주민등록번호, 이체비밀번호, 보안카드
5 212 Vol.5 May CONTENTS 2 page 1. 월간동향요약 1-1. 5월보안이슈 2 1-2. 주요보안권고 2 1-3. 침해사고통계분석요약 3 1-4. 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5 2-2. 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트 15
More informationSecure Programming Lecture1 : Introduction
해킹및침해대응 Lecture2 침해사고동향 보안위협의증대 APT 를기반으로하는기업 / 기관을대상으로하는공격이지속적으로발생 : ADD, MND, 한수원등 DDoS 공격의지속적인발생, 공격목적의변화 서비스거부해제를위한금품요구 사회혼란, 정치적목적 공공기관사칭피싱사이트증가 금융, 게임, 포털 검찰청, 경찰청, 금감원 추가적으로모바일형태의피싱사이트증가 주요인기키워드및사회이슈를활용한악성코드배포
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information유포지탐지동향
월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 2014. 08. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 3. 악성코드은닉사례분석
More information*2월완결
8 November 월간특집 MS8-67을이용하여전파되는악성코드분석 인터넷침해사고동향및분석월보 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터 ] 를명시하여주시기바랍니다. Contents Part Part Part 3 월간동향요약침해사고통계분석 -. 증감추이 ( 전년, 전월대비 ) -. 침해사고통계요약 -3.
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More information<C0CCC8ADC1F82E687770>
분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상
More information인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8
차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote
More informationContents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처
Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황 2. 허니넷 / 트래픽분석 3 2-.
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2
월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황
More informationAhnLab_template
2012 년상반기 악성코드동향과전망 - APT 2012. 10. 10 조시행연구소장 Contents 01 APT 02 최근 APT 공격사례 03 APT 공격형태의특징 04 미래 APT 공격형태 05 APT 공격대응방안 01 APT(Advanced Persistent Threat) 1) 2012 년도악성코드동향리뷰 2012 년 1 분기악성코드유형별피해분포 2012
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationUDP Flooding Attack 공격과 방어
황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707
최근정보보호위협과 침해사고동향 김홍석보안프로그램매니저고객지원부한국마이크로소프트 해킹으로부터안전하고 바이러스걱정도안하고 보안취약점염려도없이 컴퓨터를가장안전하게사용하는 방법은? 컴퓨터를네트워크에연결하지않고 CD, 디스켓, USB 메모리를사용하지않는다 한국정보보호진흥원 (KISA) 2006. 12. * 정보통신부 Dynamic u-korea 정보보호강화사업결과물
More information2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1
악성코드은닉사이트탐지 동향보고서 17 년상반기 1 ` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율
More information*2월완결
34203 March 3 월간특집 도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 인터넷침해사고 동향및분석월보 본보고서내정부승인통계 ( 승인번호제 34203 호, 통계작성기관 : 한국정보보호진흥원 ) 는웜 바이러스피해신고, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률,
More informationCisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2
SDN DDoS (whchoi@cisco.com) Cisco Systems Korea 2008 Cisco Systems, Inc. All rights reserved. 1 Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 Cisco SDN 3.0
More information< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>
DDoS 대응장비보안기능요구사항 2010. 1 IT 보안인증사무국 목차 1. 소개 1 1.1 참고 1 1.2 목적및범위 1 1.3 문서구조 2 2. DDoS 공격유형및대응기술 3 2.1 DDoS 공격유형 3 2.2 DDoS 대응장비구성방식 6 3. DDoS 공격대응을위한보안기능 7 4. DDoS 대응장비시험방법 8 1. 1.1 소개 참조 본요구사항의식별정보는다음과같다.
More information*2월완결
2 May 27 5 인터넷침해사고동향및분석월보 본보고서내정부승인통계는웜 바이러스피해신고건수, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조건수 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률, PC 생존시간, 허니넷통계등은해당되지않습니다. 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터
More information<31305FBEC6C0CCC5DB2E687770>
1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해및안전한관리 - 개인 PC 및스마트폰개인정보보호 - 2012. 12. 12 최윤형 ( 한국정보화진흥원 ) 1 안전한개인 PC 관리방법 목 차 2 안전한스마트폰관리방법 1. 안전한개인 PC 관리방법 정보통신기기의보안위협요인 웜, 바이러스, 악성코드, DDos 공격침입, 네트워크공격 휴대성, 이동성오픈플랫폼 3G, WiFi, Wibro 등 웜,
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More informationDDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS
DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.
More informationF O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아
F O C U S 3 홈페이지를통한악성코드유포및대응방안 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아악성코드유포가용이하다는점때문에해커는최대한많은접속자를악성코드에감염시켜금융정보를탈취하거나, APT공격의전단계로써정보수집을목적으로한다.
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>
스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고
More information컴퓨터관리2번째시간
Company 컴퓨터 관리 참고 자료 PC 운영체제 POST 기능 :, ROM BIOS ( : [F8]) 1. Windows XP Windows XP 사용자 계정 :,,, 강화된 디지털 미디어 지원 기능 : (Windows Movie Maker), CD (Windows Media Player), Windows 홈 네트워크 기능 :, 강화된 시스템 관리 :,
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>
기업정보보호를위한악성코드대응 2009.10.27 27 안철수연구소소프트웨어연구실전성학실장 목 차 1. 악성코드위협의변화 2. 악성코드의보안위협사례 3. 악성코드의주요감염경로 4. 기업의악성코드대응방안 1. 악성코드 위협의 변화 범죄화 금전적 목적/조직적 Targeted 공격 쉽고 빠른 변형 제작 Zero Day 공격 Zero-Day 금전적인 목적 빠른 감염
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More information2
2 About Honeyscreen Copyright All Right Reserved by Buzzvil 3 2013.06 2013.1 2014.03 2014.09 2014.12 2015.01 2015.04 전체 가입자 수 4 7 8 10대 20대 30대 40대 50대 9 52.27 % 42.83 % 38.17 % 33.46 % 10 Why Honeyscreen
More informationWindows 10 General Announcement v1.0-KO
Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows
More information[Brochure] KOR_TunA
LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information제20회_해킹방지워크샵_(이재석)
IoT DDoS DNS (jaeseog@sherpain.net) (www.sherpain.net) DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!
More information사행산업관련통계 2011. 6 Ⅰ 사행산업현황 정의 사행사업관련법규 사행산업규모 조세현황 기금등출연현황 업종별매출및지출구 조 업종별영업장현황 도박중독관련현황 도박중독예방 치유예산 도박중독예방 치유활동 불법사행행위신고센터현황 Ⅰ. 사행산업현황 정의 3 사행산업관련통계 사행산업관련법규 4 Ⅰ. 사행산업현황 사행산업규모 5 사행산업관련통계 6 Ⅰ. 사행산업현황
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2013. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13
More informationC O N T E N T S 1. FDI NEWS 2. GOVERNMENT POLICIES 3. ECONOMY & BUSINESS 4. FDI STATISTICS 5. FDI FOCUS
[FDI FOCUS] World Investment Report 2017 Key Messages (UNCTAD) 2017 년 7 월 17 일 [ 제 134 호 ] C O N T E N T S 1. FDI NEWS 2. GOVERNMENT POLICIES 3. ECONOMY & BUSINESS 4. FDI STATISTICS 5. FDI FOCUS 1. FDI
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More information2 2015 국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을
2015 국가정보보호백서 제1장 정보환경 변화와 정보보호 제2장 사이버 공격 및 위협 동향 2 2015 국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을
More information최종_백서 표지
정보보호 활동 제 제 제 제 제 제 장 장 장 장 장 장 인터넷 침해사고 대응 및 예방 활동 정보통신서비스 제공자 등의 정보보호 주요정보통신기반시설 보호 활동 전자정부 정보보호 활동 개인정보보호 활동 대국민 정보보호 활동 제 장 웹서버 파괴 및 대북 보수단체 홈페이지 14개의 자료가 삭제되는 등의 큰 피해로 이어졌다. 한편 6월 25일부터 정부기관, 언론사,
More informationEDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-
EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More information<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>
목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...
More information슬라이드 1
2010.10.14 조시행상무 (shcho@ahnlab.com) 연구소장 목 차 1. 상반기악성코드동향과보앆위협 2. 악성코드를이용핚 DDoS 공격사례 3. Cloud Service 를이용핚 ACCESS 대응젂략 1. 상반기악성코드동향과보안위협 1. 상반기악성코드동향과보앆위협 1) 악성코드로인핚보앆위협의발젂 느린감염호기심, 자기과시 빠른감염호기심, 자기과시
More informationAhnLab_template
해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web
More informationPowerPoint 프레젠테이션
2015. 06. 10. 0 ( 수 ) I. 악의적행위들에대하여 1. 악성코드의진화 2. 악의적행위의근원, 악성코드 3. APT 공격전략 4. APT 단계별공격방법 II. 기존보안장비의한계에대하여 1. 기존보안장비우회공격 2. 기존보안장비의 APT 대응문제점 3. 망분리운용의문제점 III. APT 방어전략에대하여 1. 악성코드유포흐름도 2. 필요기능 3. 기대효과
More information목 차 정책자료집을 발간하며 5 Ⅰ. 문제제기 7 Ⅱ. 사이버테러의 개념 9 1. 사이버보안 위협과 범죄의 급증 9 2. 사이버테러의 개념 정의 10 Ⅲ. 국내 사이버테러 실태 12 1. 국내 사이버범죄 현황 12 2. 국내 주요 사이버테러 사례 15 Ⅳ. 해외 사이버테러 현황 및 대응체계 23 1. 주요 해외 사이버테러 현황 23 2. 주요 해외국의 대응체계
More informationindex 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D
DoS, DDoS 1012 1705 사이버경찰학과 홍윤기 index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 Definition of DDOS (Distribute
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More informationASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서
Security Trend ASEC REPORT VOL.82 October, 2016 ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /
시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More informationPowerPoint 프레젠테이션
철. 통. 보. 안 악성코드의정의및유형 1. 악성코드의정의및유형 정상적인프로그램이나데이터를파괴하도록특수하게개발된악성프로그램. 높은자기증식력과전염성을가지며, 숙주의작동이나안전성에심각한영향을미치는등작동 / 생존방식에서생물학적바이러스와유사 ex) Trojan, Worm, Backdoor 스파이 (spy) 와소프트웨어 (software) 의합성어로사용자의동의없이컴퓨터에몰래설치되어중요한개인정보를수집하는프로그램들을지칭하며,
More information< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>
IT&Law 상담사례집 - 제 2 권 - IT&Law 상담사례집제2권 - 1 - 제 1 장프로그램저작권일반 - 2 - IT&Law 상담사례집제2권 - 3 - 제 1 장프로그램저작권일반 - 4 - IT&Law 상담사례집제2권 - 5 - 제 1 장프로그램저작권일반 - 6 - IT&Law 상담사례집제2권 - 7 - 제 1 장프로그램저작권일반 - 8 -
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationDoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진
DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진 목차 1. 증상 2. DoS 기술의방법과대응 - Ping of death - SYN Flooding - LAND Attack - SMURF Attack 3. DDoS 공격의예방과대응 서비스거부공격 (DoS, Denial
More information월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜
안랩 온라인 보안 매거진 2016. 02 Mobile Security 월간 2016. 02 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜섬웨어의 모든 것 모바일까지
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More information최종연구보고서 KISA-RP 정보시스템 해킹 바이러스현황및대응
최종연구보고서 KISA-RP-2009-0014 2009 정보시스템 해킹 바이러스현황및대응 2009. 12. 발간사 한국, 일본, 중국등에서음력 7월7일은은하수양쪽둑에있는견우성과직녀 성이 1 년에한번만난다는전설에따라별을제사지내는칠석날입니다. 하지만 2009년 7월 7 일은청와대를비롯한정부기관, 금융기관, 포탈사이트등사회적 파급효과가큰사이트들에 DDoS 침해사고가발생하여보안전문가들만의전문용어
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More informationPowerPoint 프레젠테이션
B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10
More informationMicrosoft PowerPoint - 원유재.ppt
봇넷대응기술동향 2008. 8. 27. 원유재 yjwon@kisa.or.kr 목차 1. 봇넷개요 2. 봇넷의진화 3. 봇넷탐지및대응방안 4. 능동형봇넷탐지및대응방향 2 1. 봇넷개요 봇 (Bot), 봇넷 (Botnet)? 봇넷의특성봇넷을통한공격및피해사례발생현황 3 봇 (Bot), 봇넷 (Botnet)? 봇 (Bot) : 훼손된시스템에서동작하는종속프로세스로써,
More informationPDF_Compass_32호-v3.pdf
Design Compass는 특허청의 디자인맵 웹사이트에서 제공하는 디자인, 브랜드, 기술, 지식재산권에 관한 다양한 콘텐츠를 디자이너들의 입맛에 맞게 엮은 격월간 디자인 지식재산권 웹진입니다. * Design Compass는 저작이용이 허락된 서울서체(서울시)와 나눔글꼴(NHN)을 사용하여 제작되었습니다. 2 4 5 6 7 9 10 11 편집 / 디자인맵
More information<C7D5BABB2DC1A4C3A5C1F620C1A63331B1C72032C8A320C5EBB1C C8A E322E E687770>
독일, 프랑스의음성및데이터트래픽제31권 2호통권 685호 독일, 프랑스의음성및데이터트래픽 12) 진정민 * 1. 개요 전세계적으로기존의유선망을통한음성통화서비스가모바일네트워크를기반으로한음성통화서비스로대체되는추세가나타나고있다. 또한스마트폰 LTE 사용의보편화및대용량트래픽사용서비스가활성화되며데이터트래픽은지속적으로증가하고있으며, 데이터를통한음성통화도증가하고있다. 한편,
More information서현수
Introduction to TIZEN SDK UI Builder S-Core 서현수 2015.10.28 CONTENTS TIZEN APP 이란? TIZEN SDK UI Builder 소개 TIZEN APP 개발방법 UI Builder 기능 UI Builder 사용방법 실전, TIZEN APP 개발시작하기 마침 TIZEN APP? TIZEN APP 이란? Mobile,
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationMOVE TO THE LEFT OF THE KILL CHAIN AND STOP THE BAD GUYS MOVE TO THE RIGHT
지능형보안위협에대한효율적인대응방안 EMC 보안사업본부 RSA 이준희 1 사이버 Kill Chain 대응방안 지능형보안위협대응을위한 RSA Framework 지능형보안위협분석예 2 사이버 Kill Chain 대응방안 3 Cyber Kill Chain 에대한두가지시선 Cyber Kill Chain 을보는관점 공격자의관점 공격을통해중요데이터수집을위한방안구성 방어자의관점
More informationPowerPoint 프레젠테이션
Traffic monitoring for security anomaly detection 바이러스연구실 최원혁 바이러스사례 (1) 2001.07 CodeRed 최초의패킷형바이러스. IIS 의버퍼오버플로어취약점을이용해서바이러스를메모리에상주후, 무작위로 PC 를선별버퍼오버플로어패킷을보내어취약점이존재할경우다시바이러스에감염되는과정을반복함 (2) 2001.08 CodeRed_II
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More information