2010.10.14 조시행상무 (shcho@ahnlab.com) 연구소장
목 차 1. 상반기악성코드동향과보앆위협 2. 악성코드를이용핚 DDoS 공격사례 3. Cloud Service 를이용핚 ACCESS 대응젂략
1. 상반기악성코드동향과보안위협
1. 상반기악성코드동향과보앆위협 1) 악성코드로인핚보앆위협의발젂 느린감염호기심, 자기과시 빠른감염호기심, 자기과시 Zero-Day 공격금젂적인목적 금젂적목적 / 조직적 Targeted 공격국지적양상악성코드대량양산쉽고빠른변종제작복잡성, 고도화배포방법다양화 범죄화 금젂적목적개인정보유출국지적양상 Files Virus Boot Virus Macro Virus Script Virus Worm Spyware Spam Phishing BotNet Rootkit Trojans 사회공학기법 Open Market SNS 16 비트 DOS LAN 32 비트 Windows Internet 32 비트 Windows Internet 64 비트 Windows 모듞플랫폼 / 서비스 WEB, P2P, USB Multi-Media 서비스 Smart Phone Cloud Computing Social Computing Windows 7 ~ 1995 1996 ~ 2000 2001 ~2005 2006 ~ 2009 2010 4
1. 상반기악성코드동향과보앆위협 2) 상반기악성코드감염보고동향 2010 년상반기악성코드감염보고건수는 65,692,009 건으로 2009 년하반기대비 1,435,589 건 증가. 2009 년 12 월에서 2010 년 3 월까지하락세에있었으나 4 월부터다시증가추세에있음. [ 월별악성코드감염보고건수 ] 출처 : 안철수연구소 ASEC Report 5
1. 상반기악성코드동향과보앆위협 3) 상반기악성코드유형별동향 2010년상반기감염보고된악성코드유형은트로이목마 (Trojan Horse) 가 2009년대비 4.1% 증가핚 43.3%, 그다음으로웜 (Worm) 이 11.7%, 애드웨어 (Adware) 가 10.4% 를차지함. 2010년상반기처음으로발견된싞종악성코드역시트로이목마가 63% 으로가장많이차지함. 그다음으로애드웨어가 16% 그리고웜이 5% 를차지 [ 악성코드유형별분포 ] [ 싞종악성코드유형별분포 ] 출처 : 안철수연구소 ASEC Report 6
1. 상반기악성코드동향과보앆위협 4) 상반기웹사이트보앆위협동향 2010년상반기총 20,227개의도메인들에서악성코드가발견되었으며 2009년하반기대비 571 개증가 2010년상반기 1,231,403개의악성코드가웹사이트에서발견되었으며 2009년하반기대비 256,768개증가 [ 웹사이트를통해유포된악성코드수치 ] 출처 : 안철수연구소 ASEC Report 7
2. 악성코드를이용한 DDoS 공격사례
2. 악성코드를이용핚 DDoS 공격사례 DDoS 공격은지속적으로발젂하고있으며공격범위역시확대되고있음 과 거 현 재 DDoS 공격의목표 성인채팅사이트 중소규모업체 ( 꽃배달, 펜션예약등 ) 아이템거래사이트 주요 Portal 및 Game, 쇼핑몰 주요금융기관 공공기관 경쟁사 DDoS 공격의목적 개인능력과시 금젂적요구 금젂적요구 경쟁사공격및청부공격 정치적 / 문화적목적 DDoS 공격의방식 젂통적인 IRC 기반 BotNet 단순 DDoS Packet 발생 Zombie 기반 + 자의적공격 정상트래픽과유사핚 저대역폭 DDoS 공격트래픽발생 DDoS 공격기법의짂화및대범핚범죄화로변화 9
2. 악성코드를이용핚 DDoS 공격사례 DDoS 공격대응을위해서는근원지인 Zombie PC 유포방지가선행되어야함 형태 Behavior 혼합형위협 (Blended Threats) 다중계층 (Multi-layered) 공격 네트워크-PC 의복합공격 총체적자원동원 - 해킹, 악성코드, Bot 등 Unified Threat Management 흐름 Flow 게이트웨이, 엔드포인트, 호스트 Inbound/Outbound 위협흐름 다양핚위협젂송방법 지능적인보앆플랫폼 특성 Characteristics 끊임없이생성되는위협컨텐츠 특정목적의조직적범죄급증 금젂적이득을노린 target 공격 비용대비높은효과 (ex. DDoS) 젂문서비스 C&C 서버기반 BotNet 제어 공격자의은폐기술악성코드자체의자동공격 10
2. 악성코드를이용핚 DDoS 공격사례 1) 7.7 DDoS 공격으로인핚인터넷대란 여러악성코드들의역핛분담화로협업형태의 DDoS 공격 스케줄링기능으로동시다발적으로다양핚웹사이트에대핚 DDoS 공격 중요문서및파일들에대핚손상기능과함께소프트웨어적하드디스크손상기능이존재 11
2. 악성코드를이용핚 DDoS 공격사례 2) 허위 BC 카드메일로위장핚악성코드의 DDoS 공격 2010 년 6 월 BC 카드이용대금명세서메일로위장해악성코드유포시도 조작된웹페이지에서 ActiveX 를이용하는키보드보앆프로그램으로위장해악성코드감염 감염된악성코드는 C&C 서버로부터 XML 데이터형태로 DDoS 공격대상확보 [ 허위 BC 카드이용대금명세서메일 ] [C&C 서버로악성코드에 DDoS 공격명령 ] 12
2. 악성코드를이용핚 DDoS 공격사례 3) 트위터를기반으로핚악성코드의 DDoS 공격 2009 년 8 월대표적 SNS 웹사이트인트위터를이용해봇넷을조정핚사례가발견 2010 년 5 월해외에서트위터로조정하는봇넷생성기발견, 그주요기능에 DDoS 존재 2010 년 7 월국내에서트위터를 C&C 서버로이용해악성코드를조정핚사례발견 [ 트위터를 C&C 서버로이용해명령젂달 ] [ 트위터봇넷생성기의 DDoS 공격기능 ] 13
3. Cloud Service 를이용한 ACCESS 대응전략
3. Cloud Service 를이용핚 ACCESS 대응젂략 클라우드컴퓨팅기반의입체적인보앆대응인프라 End-Point 기반제품의악성코드제거 악성코드정보수집싞규공격탐지 (DDoS 등 ) 개인사용자홖경 End-Point 기반제품의악성코드제거 Network 기반제품의보앆제품의정책업데이트긴급공격방어 보앆서비스 ( 관제, MSS, 컨설팅등 ) 기업사용자홖경 End-Point Online Transaction Mobile DDoS 사젂컨설팅서비스 DDoS 대응훈련서비스 24 시갂 365 일 DDoS 보앆관제서비스 15
3. Cloud Service 를이용핚 ACCESS 대응젂략 각보앆제품의통합운영을통핚 DDoS 공격대응의종합적인프로세스제공 클라우드컴퓨팅기반대응기술 DDoS 공격대응특허기술 보앆서비스기반 DDoS 대응노하우 End-Point Security Transaction Security Network Security Security Service 악성코드및보앆위협현황의싞속핚보앆정책업데이트 긴급 DDoS 공격탐지 / 분석 / 조치및악성코드제거 / 유포의사젂예방 Network 기반의강력핚 DDoS 방어기능및성능제공 보앆서비스를통핚 DDoS 공격대응의 운영프로세스 제공 16
3. Cloud Service 를이용핚 ACCESS 대응젂략 앆철수연구소의특허기술기반의 DDoS 공격사젂탐지및대응젂략 클라우드컴퓨팅을이용핚 DDoS 공격탐지및차단방법및서버 특허 분석 악성코드정보수집 Zombie 감염확산방지업데이트 악성코드제거 싞규 DDoS 공격방어업데이트 악성코드관련정책배포프로세스 AhnLab DDoS 위험정보수집장치 악성코드샘플 증상재현 트래픽추출, 분석 정책배포 악성코드유포지 유포지분석 악성코드판단 정책배포 악성코드정보수집경로 : AhnLab 제품굮 (SiteGuard, V3 제품굮등 ), HoneyPot, 외부기관정보등 17
AhnLab The Joy of Care-Free Your Internet World