기획시리즈 기획시리즈 정보보안 윈도보안도구라이브러리 (K-Toolbox) 소개 이택현 LG 유플러스과장 futp@naver.com 이정형 SK 브로드밴드 1. 서론 2. 악성행위특징 3. 보안도구라이브러리 4. 결론 1. 서론세계경제포럼 (World Economic Forum) 에서발간하는 글로벌리스크 2014 보고서에의하면전지구적으로발생가능성이높은위험으로 사이버공격 (5 위 ) 을언급하였다. 글로벌보안회사시멘텍의 2013 NORTON CYBERCRIME REPORT 보고서에의하면 2014 년전세계사이버범죄피해액으로 1 인당평균 29(USD) 달러, 전체 1,130 억 (USD) 달러의막대한피해가발생한것으로발표하였다 [12],[14]. 국내의경우, 한국인터넷진흥원에접수된해킹신고는 2013 년 10,398 건, 2014 년 12,847 건이며, 국내주요백신업체에서개인이용자를대상으로파악하는악성코드감염률은 2013 년 2,415,046 건, 2014 년 685,035 건으로조사되었다. 또한, 국내홈페이지에서악성코드유포및해킹경유지로이용된피해는 2013 년 17,750 건, 2014 년 15,035 건으로조사되었으며, 글로벌보안 < 표 1> 국내해킹피해현황 ( 해킹신고 / 악성코드탐지 / 유포경유 ) 구분 2013 년 2014 년해킹신고 10,398 건 12,847 건악성코드탐지 2,415,046 건 631,490 건악성코드유포및경유지 17,750 건 15,035 건 < 자료 >: KISA 10 월인터넷침해사고대응통계, 한국인터넷진흥원, 2014. * 본내용과관련된사항은한국인터넷진흥원 (KISA) 주관 최정예사이버보안인력 (K-Shield) 인증생연구반의산출물로서자세한내용은 LG 유플러스, 이택현과장 (Email: futp@naver.com) 에게문의하시기바랍니다 ** 본내용은필자의주관적인의견이며 IITP 의공식적인입장이아님을밝힙니다. 정보통신기술진흥센터 13
주간기술동향 2015. 6. 24. < 표 2> 데스크탑운영체제점유율 구분 2011 년 2012 년 2013 년 2014 년 윈도 93.06% 92.02% 91.34% 91.3% Mac OS X 5.87% 6.81% 7.27% 7.27% Linux 1.06% 1.16% 1.38% 1.60% < 자료 >: NetMarketShare, http://www.netmarketshare.com/ 업체인트렌드마이크로에서는한국을세계 3 위의 C&C 서버및좀비 PC 보유국가로분류하고있다 [10]. 이를통해최근사이버공격으로인해정보유출및침해사고에의한피해가지속적으로발생하는것을알수있다 [1]. 데스크탑시장점유율정보를제공하는넷애플리케이션 (Net Application) 에의하면마이크로소프트윈도운영체제의시장점유율은최근 3 년간 90% 이상을유지하고있다. 최근모바일디바이스의사용이증가하는추세이지만데스크탑에서의윈도운영체제점유율이상당한규모에있는것으로판단할수있다 [13]. 기존의보안사고대응가이드는사고대응절차와단편적인보안도구활용방법을소개하고, 현장에서다양한항목을신속하게점검할수있는보안도구프레임워크제시는미비한편이다. 본고에서는기존에알려진악성행위특징과침해사고대응가이드의내용을살펴보고, 대중적으로사용하는윈도운영체제환경에서신속하게침해사고를분석하고대응할수있는 윈도보안도구라이브러리 (K-Toolbox) 를제안한다. 본고는제 2 장악성행위특징, 제 3 장보안도구라이브러리, 제 4 장결론의순서로구성되어있다. 본고의결과가기업과개인의환경에최적화되어활용되고, 보안사고를신속하게분석하고대응하는과정에서실무적인도움이될수있기를기대한다. 2. 악성행위특징신규로제작되거나변형된악성코드는기존의정보보호체계를우회하여다양한응용해킹과사이버보안위협의기본수단으로활용된다 [3],[4],[7]. 독일의보안전문업체인 AV-Test 에의하면신종악성코드는 2012 년 350 만건, 2014 년 970 만건으로약 2.5 배증가하였으며, 이에대한위협이지속해서증가하는것을추정할수있다 [11]. 본장에서는보안사고대응과정에서발견되는대표적인악성코드특징을알아보고자한다. 14 www.iitp.kr
기획시리즈 정보보안 가. 파일은닉시스템경로에파일을생성하고파일속성을숨김속성으로설정하여파일을은닉한다. ( 그림 1) 은 c:\windows\system32 폴더에 bbb88ijk.exe 파일을생성하고숨김속성으로은닉한화면이다. ( 그림 1) 파일속성숨김 나. 휴지통파일생성악성코드를윈도운영체제휴지통경로에생성하여파일을은닉하고, 윈도운영체제의서비스에등록하여자동실행을유도한다. ( 그림 2) 는악성코드를은닉하기위해서휴지통에파일을복사생성한화면이다. ( 그림 2) 휴지통파일생성다. ADS 영역데이터숨김 NTFS 파일시스템의 ADS(Alternate Data Stream) 영역에악성코드를삽입하여데이터은닉용도로활용할수있다. ( 그림 3) 은 backdoor.exe 파일을윈도계산기파일인 notepad.exe 에숨기는예시이다. ( 그림 3) ADS 스트림악용 정보통신기술진흥센터 15
주간기술동향 2015. 6. 24. 라. 서비스등록악성코드를자동실행서비스에등록하여지속적으로실행하거나, 오동작을유도한다. ( 그림 4) 는 bbb88ij 서비스를생성하여재부팅과정에서 c:\windows\system32\bbb 88ijk.exe 프로그램이자동실행하도록설정한예시이다. ( 그림 4) 시작서비스등록 마. 문자열정보저장악성코드에포함되어있는문자열정보에는공격과관련된정보를포함할수있다. 단, 파일이패킹되어보호되는경우에는문자열정보의확인이어려울수있다. ( 그림 5) 는악성코드에서 DDoS 공격 (SynFlood, ICMP Flood, UDPSmall Flood 등 ) 을추정할수있는문자열정보를확인한예시이다. 바. 외부네트워크접속 ( 그림 5) DDoS 추정문자열 악성코드에감염되면자신의감염사실을악성코드제작자에게알려주거나, 추가적인공 16 www.iitp.kr
기획시리즈 정보보안 ( 그림 6) 악성코드접속시도 격정보를수신하기위해서네트워크통신을수행한다. ( 그림 6) 은네트워크통신예시이다. 사. 네트워크트래픽유발악성코드는과다한네트워크트래픽을유발하여특정타깃에서정상적인서비스를제공하지못하도록서비스거부공격을수행한다. ( 그림 7) 은악성코드가과다트래픽을유발하여타깃을공격하는예시이다. ( 그림 7) 트래픽유발아. 안티디버깅악성코드제작자는악성코드분석을방해하기위해서안티디버깅 (Anti-Debugging) 기술을활용한다. 안티디버깅은실행압축기법, 암호화기법, 명령어치환기법등이있으며, 내부알고리즘과데이터의노출을예방하는데목적이있다. ( 그림 8) 은 WinAPI 기반으로안티디버깅함수가적용된예시이다. 자. 중복실행방지 ( 그림 8) 안티디버깅 악성코드는중복실행을방지하기위해서뮤텍스를사용한다. ( 그림 9) 는뮤텍스 정보통신기술진흥센터 17
주간기술동향 2015. 6. 24. ( 그림 9) 뮤텍스생성 (will.servemp3.com:88) 를생성하여중복실행을예방하는코드예시이다. 차. 패킹적용공격자는악성코드를빠르게전파하거나파일을보호하기위해패킹기술을적용한다. 패킹은데이터파일의크기를줄이는일반적인패커와안티리버싱기능이적용된프로텍터로구분한다. 대표적인패커는 UPX, ASPROTECT, ASPACK, FSG 등이있고, ( 그림 10) 은패킹기술이적용되어있는악성코드예시이다 [5],[6]. ( 그림 10) ASprotect 패킹카. DLL 삽입공격악성코드는다른프로세스 (explorer.exe, winlogon.exe, services.exe, svchost.exe, lsass.exe 등 ) 에악의적인 DLL 파일을강제로삽입하여시스템및네트워크에대한해킹을수행한다. ( 그림 11) 은정상적인프로세스에악성 DLL 파일을삽입한예시이다 ( 그림 11) DLL 삽입공격 18 www.iitp.kr
기획시리즈 정보보안 3. 보안도구라이브러리 앞선연구에서는지속해서증가하는사이버보안위협동향과윈도기반운영체제에서 의대표적인침해사고특징을살펴보았다. 이러한침해사고의대응과정을지원하기위해 서국내의경우한국인터넷진흥원에서 2012 년 침해사고조치가이드, 2010 년 침해사고 분석절차안내서 를발간하여제공하지만, 일반적인절차와개별적인보안도구의설명을 < 표 3> 침해사고분석항목비교 대구분 증거수집 시스템분석 애플리케이션분석 네트워크분석 보조도구 소구분 침해사고분석절차안내서 (2010 년 ) 침해사고조치가이드 (2012 년 ) K-Toolbox 증거노트 X X O 화면캡처 X X O 메모리덤프 X X O 디스크이미징 X X O 시스템스냅샷 O X O 압축도구 X X O 유저정보 O O O 디스크상태 X X O 메모리 O X O 프로세스확인 O X O 레지스트리분석 O X O 예약서비스분석 O X O 루트킷분석 O O O 시스템로그분석 O O O PE 분석 X X O HEX 분석 X X O 디스어셈블 X X O 바이너리디버깅 X X O 웹로그분석 O X O ARP 스푸핑탐지 X X O 포트분석 O O O 네트워크추적 O O O 무선네트워크 X X O 패킷덤프 X X O 원격접속도구 (SSH/FTP/DBMS) O X O 암호분석도구 X X O < 자료 >: 2012 년침해사고대응가이드, 2010 년침해사고분석절차안내서, 인터넷진흥원. 정보통신기술진흥센터 19
주간기술동향 2015. 6. 24. 다루고있다 [8],[9]. 지속적으로증가하는보안사고를신속하게분석하고효과적으로대응하기위해서는다양한침해사고환경을포함하는보안도구패키지가필요하다. 본고에서는보안실무자가휴대하면서보안도구를최적화하여활용할수있는포터블형태의보안도구라이브러리 (K-Toolbox) 를제안한다. < 표 3> 은한국인터넷에서제공하는가이드를참고하여보안사고대응과정에서확인이필요한점검항목을대구분 5 개, 소구분 25 개로분류하였으며, 본고에서제안하는보안도구라이브러리 (K-Toolbox) 의구성항목이한국인터넷진흥원에서제공하는가이드의세부점검항목을포함하는것을확인한내용이다. K-Toolbox 는증거수집, 침해사고정보수집및분석, 악성코드분석, 포트스캐닝점검, 원격접근등대분류 22 개, 보안도구 243 개의항목으로구성되어있으며, 대부분실무자가 USB 등이동저장매체에휴대하면서활용할수있는공개된무료소프트웨어이다. ( 그림 12) 는 K-Toolbox 에대한기본적인인터페이스화면이다. ( 그림 12) 보안도구라이브러리 (K-Toolbox) 인터페이스화면 < 표 4> 는 K-Toolbox 에포함되어있는보안도구를정리한내용이다. 알려진보안도구를휴대할수있는포터블형태로구성하였으며, 일부도구는스크립트로구현하여어렵지않게실행하고결과를확인할수있도록구성하였다. 20 www.iitp.kr
기획시리즈 정보보안 < 표 4> 보안도구라이브러리 (K-Toolbox) 대분류 ( 개수 ) 도구설명 비고 App-Note(3) 증거기록 notepad++,pnotes, freemind 등 App- 보조도구 (17) 다양한보조도구 파일복사 (Bart), 웹서버 (HFS) 등 App- 화면캡쳐 (2) 증거화면캡처 OpenCautre, FSCapture 등 App- 파일관리 (3) 파일관리 NexusFile, A43, CMD 등 App- 원격접속 (11) 원격접속 (SSH, FTP, RDP, DB 등 ) Putty, VNC, FileZilla, WinSCP 등 App- 웹브라우저 (5) 웹브라우저 Chrome, Firefox, IE, Tor Browser 등 App- 문서편집기 (9) TXT 문서, PDF 문서열람 FlexHEX, HxD, OpenOffice 등 Net- 압축도구 (2) 파일압축, 압축해제 7-zip 등 Net- 정보수집 (2) IP 정보수집, 자신 IP 조회 IPNetInfo, IP2 Net-Wireless(2) 무선인터넷, Bluethooth 조회 BluetoothView, WirelessNetView Net-Trace(5) 인터넷구간점검 Tracert, tcping, iperf 등 Net- 포트스캐너 (2) 서비스포트점검 Nmap, Superscan 등 Sys- 종합분석 (60) 시스템, 네트워크, WEB, DB 분석 Wireshark, Multimon, Autorun 등 Sys- 최적화도구 (3) 윈도운영체제 PC 최적화 이지클린, CClearner 등 Sys-Antivirus(1) 바이러스검사 알약 Ana-Forensic(34) 포렌식분석 Volality, moonsols, 등 Ana-Rootkit(8) 루트킷분석 GMER, ICESword, DeepMonitor 등 Ana-Reversing(43) PE 분석, 언패킹, 모바일분석등 Pestudio, ollydbg, malzilla 등 Ana-Crypt(15) 암호화적용, 암호화해독 CrypWin, John the Ripper 등 스크립트 (5) 윈도운영체제정보확인 레지스트리정보수집스크립트 Developer(9) 개발도구 Eclips, Splunk, Python, UCINET 등 Manual(2) 도구모임사용매뉴얼 사용매뉴얼 4. 결론본고에서는윈도기반운영체제에서침해사고분석에실무적으로활용할수있는다양한보안도구를제시하였다. 기업의보안실무자가연구결과물을활용하여신속하고효율적으로침해사고를대응할수있기를기대한다. 또한, 정보보호공부를시작하는미래정보보호전문가인력들이어렵지않게보안도구에접근하고역량을강화할수있기를기대한다. 향후연구에서는시나리오기반의침해사고상황에서의보안도구를활용한대응방법을연구하고자한다. 정보통신기술진흥센터 21
주간기술동향 2015. 6. 24. < 참고문헌 > [1] 국가정보보호백서, 국가정보원, 2014. [2] 강태우, 조재익, 정만현, 문종섭, APIcall 의단계별복합분석을통한악성코드탐지, 정보보호학회논문지제 17 권, 제 6 호, 2007, pp.89-98. [3] 강부중, Malware Classification using Dynamic Analysis with Mnemonic Frequencies and Major Blocks, 한양대학교, 2013. [4] 배철민, 김병익, 이태진외, Hybrid 악성코드수집기술기반 Unknown 악성코드선별방안연구, 한국인터넷진흥원, 가을학술발표논문집제 39 권, 제 2 호, 2012, pp.135-137. [5] 이상철, 악성코드그리고분석가들, 지앤선, 2011. [6] 이호동, Windows 시스템실행파일의구조와원리, 한빛출판사, 2005, pp.1-30. [7] 이택현, 소형악성실행파일의식별방법에관한연구, 서울과학기술대학교, 2014. [8] 침해사고분석절차안내서, 한국인터넷진흥원, 해킹대응팀, 2010. [9] 침해사고조치가이드, 한국인터넷진흥원, 인터넷침해사고대응지원센터, 2012. [10] KISA 10 월인터넷침해사고대응통계, 한국인터넷진흥원, 2014. [11] AV-TEST, http://www.av-test.org. [12] Marian Merritt, Kevin Haley, Norton cybercrime report 2013, Norton by Symantec, 2013. [13] NetMarketShare, http://www.netmarketshare.com/ [14] Global Risks 2014 Ninth Edition, http://www.weforum.org/reports/global-risks-2014-report, World Economic Forum. 22 www.iitp.kr