PowerPoint 프레젠테이션

Size: px

Start display at page:

Download "PowerPoint 프레젠테이션"

인화 설
9 years ago
Views:

1 APT(AdvancedPersistentThreat) 공격의현재와대응방안 장영준책임 Senior Security Engineer, CISSP, CHFI 삼성전자, 시스템기술팀, 정보전략그룹

2 Contents 01APT(Advanced Persistent Threat) 1) APT (Advanced PersistentThreat) 2) 과거 APT(Advanced PersistentThreat) 공격사례

3 Contents 02 주요 APT(Advanced Persistent Threat) 공격사례 1) 농협침해사고 2) SK 커뮤니케이션즈침해사고 3) 이란원자력발전소의 Stuxnet 감염 4) Google 침해사고 5) EMC/RSA 침해사고 6) 시리아정부관련악성코드유포 7) 2013 년주요 APT(Advanced PersistentThreat) 공격사례

4 Contents 03APT(Advanced Persistent Threat) 공격형태의특징 1) APT(Advanced PersistentThreat) 공격형태의증가 2) APT(Advanced PersistentThreat) 공격대상의확장 3) 고도화된사회공학기법 (SocialEngineering) 개발과적용 4) 악성코드및취약점관련기술의발전 5) APT(Advanced PersistentThreat) 공격기법의다변화

5 Contents 04APT(Advanced Persistent Threat) 공격대응방안 1) APT(Advanced PersistentThreat) 공격 Lifecycle 2) APT(Advanced PersistentThreat) 공격 Timeline 3) APT(Advanced PersistentThreat) 통합대응전략 4) APT(Advanced PersistentThreat) 공격예방적 System Hardening 5) APT(Advanced PersistentThreat) 공격탐지적 NetworkControl

6 01APT(Advanced Persistent Threat)

7 1)APT(Advanced Persistent Threat) APT는 2006년무렵미국공군사령부에서사용하였던군사통신용어 미국공군사령부에서는미국국방부와통신시확인된특정보안위협형태를지칭 2010년무렵 APT라는용어가민간부분으로전달되며의미가확장 현재민간부분에서는일반적으로 APT를다음과같이정의 다양한보안위협들을양산하여특정대상에게지속적으로가하는일련의행위 미국공군사령부와미국국방부문장

8 2) 과거 APT(Advanced Persistent Threat) 공격사례 2004년 6월국내정부및민간기관들을대상으로 PeepViewer 트로이목마유포 국정원에서는 6개공공기관의 PC 64대와민간분야 PC 52대감염 보고 이메일의첨부파일로 워크샵내용과일정.MDB 전송후악성코드감염시도 정부및민간기관을대상으로정부기밀탈취목적의 APT 공격사례 PeepViewer 트로이목마의리버스커넥션동작

9 02 주요 APT(AdvancedPersistentThreat) 공격사례

10 1) 농협전산망마비사고 2011 년 4 월농협전산망이외부공격으로인한시스템손상으로모든업무마비 외주직원노트북에감염된악성코드를이용해내부시스템침입 공격자는 P2P 프로그램으로악성코드유포이후 7 개월동안감시후공격진행 4 DB 서버의데이터삭제 1 P2P 프로그램 2 악성코드감염 외주직원노트북 악성코드유포 3 원격제어 Attacker 내부시스템 농협에서발생한침해사고

11 2) SK 커뮤니케이션즈침해사고 2011 년 7 월 SK 커뮤니케이션즈침해사고로 3500 만명고객개인정보유출 무료소프트웨어업데이트서버해킹후정상파일을악성코드로변경후유포 공격자는 8 일만에 DB 관리자권한획득후 DB 데이터를분할압축후외부유출 1 악성코드유포 무료소프트웨어업데이트서버 2 악성코드감염 3 원격제어 4 DB 서버접속 공격자 6 데이터전송 다른피해서버 5 외부서버로데이터전송 DB 서버 SK 커뮤니케이션즈에서발생한침해사고

12 3) 이란원자력발전소 Stuxnet 감염 2010 년 7 월이란원자력발전소시스템파괴목적의 Stuxnet 발견 MS 윈도우의알려진취약점 3 개와 0-Day 취약점 2 개를악용해유포 2011 년발견된 Duqu 와 2012 년발견된 Flame 모두이란원자력발전소관련정보수집목적으로유포 스턱스넷악성코드의감염과동작원리

13 4) 오퍼레이션오로라 (OperationAurora) 침해사고 2011년 1월 Google 기업기밀정보탈취목적의침해사고발생 해당침해사고는 Google 외에첨단 IT 기업 34개도공격의대상 공격은 Microsoft Internet Explorer의 0-Day 취약점악용 이메일과메신저로악의적인웹사이트로접속하는링크전달 1 공격자 이메일과메신저로웹사이트링크전달 2 기업내부직원링크클릭으로악성코드감염 3 원격제어 4 내부시스템접근 0-Day 취약점악용 C&C 서버 첨단 IT 기업대상 OperationAurora 침해사고 내부시스템

14 5) EMC/RSA 침해사고 2011 년 3 월 EMC/RSA 의 OTP(One Time Password) 관련기업기밀정보탈취시도 공격대상선정을위해 Social Network 로내부직원개인정보확보 이메일첨부파일은 Adobe Flash 0-Day 취약점악용 사회공학기법 (Social Engineering) 으로 내부직원의악성코드감염유도 EMC/RSA 에서발생한침해사고

15 6) 시리아정부관련악성코드유포 2012년 2월 CNN은시리아정부가반정부인사감시를위한악성코드유포를폭로 이메일첨부파일, 허위 YouTube 페이지그리고 Skype로악성코드유포 언더그라운드에공개된 DarkComet RAT 악성코드생성기로악성코드제작 감염 PC의국가별분포는시리아, 이스라엘, 사우디아라비아와레바논이다수 1 공격자 이메일첨부파일과스카이프이용악성코드유포 2 시리아반정부인사첨부파일및링크클릭으로악성코드감염 C&C 서버 3 원격제어및모니터링 시리아정부의반정부인사감시를위한악성코드유포 내부시스템

7) 2013 년주요 APT(Advanced Persistent Threat) 공격사례 2013 년 01 월 Operation "Red October 동유럽및중앙아시아국가기관해킹 2013 년 03 월 Operation Hangover 인도정부기관해킹 2013 년 04 월 Winnti 온라인게임업체해킹 2013 년 09 월 Icefog (Hidden

16 7) 2013 년주요 APT(Advanced Persistent Threat) 공격사례 2013 년 01 월 Operation "Red October 동유럽및중앙아시아국가기관해킹 2013 년 03 월 Operation Hangover 인도정부기관해킹 2013 년 04 월 Winnti 온라인게임업체해킹 2013 년 09 월 Icefog (Hidden Lynx) 한국과일본정부, 민간기관해킹 2013 년주요 APT(Advanced Persistent Threat) 공격사례 2013 년 02 월뉴욕타임즈해킹중국배후의 APT1 해킹 2013 년 03 월한국 3.20 침해사고 2013 년 06 월 NetTraveler 40 개국 350 개기관해킹 2013 년 12 월 Operation Ke3chang 유럽외교통상부해킹

17 03APT(Advanced Persistent Threat) 공격형태의특징

18 1)APT(Advanced Persistent Threat) 공격형태의증가 인터넷과컴퓨터의발달로정부기관및각기업체에서업무자동화시스템도입 모든업무및기밀문서역시전자문서와같은데이터형태로파일서버에보관 공격목적의다양화로 APT 형태의 Targeted Attack 이과거에비해증가 Symantec 에서공개한 TargetedAttack 증가수치

19 2)APT(Advanced Persistent Threat) 공격대상의확장 (1) 공격목적이과거에비해확대됨으로공격대상역시확대 과거정부및군사기관만이공격대상이었으나현재는민간기업으로까지확대 정부기관 정부기관기밀문서탈취군사기밀문서탈취 사회 산업 기간 시설 사이버테러리즘활동사회기간산업시스템동작불능 정보통신기업 첨단원천 기술기술 자산관련 탈취기밀탈취 제조업종기업 기업기업 지적영업 자산비밀 탈취탈취 금융업종기업 사회기업 금융금융 시스템의동작불능자산정보탈취

20 2)APT(Advanced Persistent Threat) 공격대상의확장 (2) 경제적고부가데이터를보유한첨단기업들이주요대상 한국과일본은금융기관, 언론사및온라인게임업종기업등이주요대상 Symantec 에서공개한 2013 년 TargetedAttack 발생산업군및기업규모

21 3) 고도화된사회공학기법 (Social Engineering) 개발과적용 Web 과 Social Network 발달은공격대상의개인정보수집용이 수집한개인정보들로공격대상에게최적화된사회공학기법 (Social Engineering) 개발및적용 EMC/RSA 침해사고의경우내부직원들에게채용정보관련메일로위장 청첩장과입사지원서로위장한취약한전자문서파일들

보안제품무력화등다수의개별기능을가진파일들의조합 취약점은다양한일반소프트웨어의알려진취약점또는

22 4) 악성코드및취약점관련기술의발전 악성코드제작및취약점개발기술들의발전은보안제품탐지우회와 APT 공격의성공률을높이는데기여 악성코드는 Self-Update, 보안제품무력화등다수의개별기능을가진파일들의조합 취약점은다양한일반소프트웨어의알려진취약점또는 0-Day 취약점들을악용 DarkComet RAT 의보안기능무력화옵션 MS 워드취약점악성코드생성기

23 5)APT(Advanced Persistent Threat) 공격기법의다변화 현재까지 APT 공격의주요공격기법은이메일의첨부파일을이용하는형태 과거첨부파일이실행가능한파일이었으나최근에는전자문서형태로변경 한국의경우무료소프트웨어의자동업데이트기능과한국산 P2P 프로그램악용 취약한 PDF 파일이첨부된이메일 취약한한글 (HWP) 파일이첨부된이메일

24 04APT(Advanced Persistent Threat) 공격대응방안

25 1)APT(Advanced Persistent Threat) 공격 Lifecycle 공격대상정의 잠복또는흔적제거 악성코드제작또는구매 데이터탈취 공격대상연구 내부시스템탐색 악성코드진단테스트 거점확보 공격대상내부감염

26 2)APT(Advanced Persistent Threat) 공격 Timeline 유포지획득 - 제 3 의시스템해킹후악성코드업로드 악성코드유입및감염 사회공학기법 (Social Engineering) 을 Attack 진행 이용한 Targeted 공격자와연결 역접속 (Reverse Connection) 으로 C&C 서버연결 공격명령 - C&C 서버를통해원격제어및공격명령지시

27 3)APT(Advanced Persistent Threat) 통합대응전략 보안위협대응을위해 Risk Management 기반의기업보안정책수립 Attack Surface 축소와공격탐지의효율을위해 Defense in Depth 전략수립 새로운보안위협에대한신속한대응을위해 Security Intelligence 확보 보안위협의출발점이내부임직원임으로주기적인보안인식교육제공 APT 공격에대응하기위한보안전략

28 4)APT(Advanced Persistent Threat) 공격예방적 System Hardening 모든운영체제와 Web Application 및관련 Server 는최신버전과보안패치적용 WSUS(Windows Server Update Services) 로최신보안패치배포및설치 모든 System 에는 Anti-Virus Software 설치후 Anti-Virus Management Server 에서 Monitoring 모든운영체제에존재하는사용하지않는사용자계정비활성화또는삭제 HSM(Host Security Monitoring, HIPS) 설치후 Monitoring 및주기적분석 Terminal Server 에는공용계정삭제후저장된계정정보및암호모두삭제 Terminal Server 에는업무목적별로개별계정생성후 Login Log 생성및관리 Database 의 xp_cmdshell Procedure 삭제및관련파일 xplog70.dll 삭제 Database 정보는암호화관리하되, Web Server 에서암호화하여 Database 로전송 Web Server 에는 SSL(Secure Socket Layer) 활성화 윈도우 Event Log 및 IIS Web Log 는통합후 Log Management Server 에서관리

29 5)APT(Advanced Persistent Threat) 공격탐지적 Network Control Backbone Switch에서는 Whitelist 및 Blacklist 이중정책설정및관리 기업외부 Network에서기업내부로접속시 IPSec VPN 또는 SSL VPN 이용 IPSec VPN 또는 SSL VPN 연결마다발생하는모든 VPN Log 별도관리 VPN 계정은업무목적별로생성하고, 권한역시구분하여적용 기업내부 Outbound Packet 에대한 Filtering 적용 기업내부 HTTP 통신은모두 Web Proxy를거치도록운영및관리 기업내부에서는파일공유서비스대신 SFTP 또는 SCP(Secure Copy) 만사용 NIDS와같은 NSM(Network Security Monitoring) 247 운영및관리 NIDS Event 및전체 Session Data와 Full Packet 저장및분석 업무영역별로 Network 분리후각업무영역마다 Firewall 운영및관리 System, Network 및 Database 등 IT 관리부서는일반업무영역과별도구분

30 Thank you.

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.