Contents 03 Introduction 04 17년보안사고사례관리서버의취약점을이용한 APT 공격 Apache Struts2 취약점을이용한사고급증다양한랜섬웨어악성코드가상화폐마이너 (Miner) 악성코드원격관리 S/W 해킹사고지속발생보안솔루션우회기법의고도화 S/W 공

insight A N N U A L R E P O R T 2017 년보안이슈및 2018 년보안전망

Contents 03 Introduction 04 17년보안사고사례관리서버의취약점을이용한 APT 공격 Apache Struts2 취약점을이용한사고급증다양한랜섬웨어악성코드가상화폐마이너 (Miner) 악성코드원격관리 S/W 해킹사고지속발생보안솔루션우회기법의고도화 S/W 공급망구조적취약점공격 17 18 년보안전망 5 대보안위협전망 SK 인포섹 5 대위협대응전략 25 Resources

Introduction 작년한해를뒤돌아보면다양한해킹사고가많이발생하였고, EQST 그룹침해사고대응팀도매우바쁘게보냈던것으로기억합니다. 이번 EQST insight Annual Report 는 2017년에발생했던주요사고및위협데이터를기반으로발간하게되었습니다. 작년에발생한해킹공격중에서주의깊게볼사건들은 Struts 취약점, 나야나 IDC 사고, 워너크라이공격, 여행사개인정보유출사고등이있습니다. 공격의배후에는 EQST 그룹이지속적으로추적하고있는여러공격자그룹이있습니다. 이들은끊임없이신규취약점을찾고, 범용성이높은소프트웨어를공격대상으로삼았습니다. 공격효과를높이기위해관리서버소프트웨어를이용하거나, 전파기능을담은악성코드를이용하는등공격수법도날로교묘해지고있습니다. 또한, 제로데이취약점을이용하는것이좀더신속해졌고, 원포인트 (One Point) 취약점을깊숙하게파고드는것이예년대비크게달라진공격양상이라고할수있습니다. EQST insight Annual Report 는이같은해킹공격을대응하며쌓은지식과시큐디움인텔리전스 (Secudium Intelligence) 데이터베이스, 통합보안관제센터에서수집된위협을기반으로기술되어있습니다. 지능형사이버위협에대한대응전략을세우는데에도도움을드리고자합니다. EQST 그룹은앞으로도주요공격에대한스페셜보고서, 신규취약점보고서, 반기 연간보고서등다양한보고서발간을통해지능형위협의피해를줄여나가는데앞장서도록하겠습니다. EQST 그룹에서제공하는위협분석보고서가보다신속하고정교해진공격을대응하는데도움이되길바라며, 2018년은보안사고가발생하지않는한해가되길바랍니다. EQST 그룹장이재우

17 년보안사고사례 17 년 EQST 에서살펴본해킹주요위협경로는하기 7 가지경우로파악된다. 1. 관리서버의취약점을이용한 APT 공격 2. Apache Struts2 취약점을이용한사고급증 3. 다양한랜섬웨어악성코드 4. 가상화폐마이너 (Miner) 악성코드 5. 원격관리 S/W 해킹사고지속발생 6. 보안솔루션우회기법의고도화 7. S/W 공급망구조적취약점공격 공격자가위협경로를통해목표시스템및 PC에접근후개인및기업의중요정보를유출하려는해킹시도가가장많았고, 랜섬웨어와같은협박형악성코드를설치하고사용자에게서금전을획득하려는방식이두번째로많이시도되었다. 또한, 백신및보안솔루션을우회하기위한파워쉘 (PowerShell) 을활용한파일리스 (Fileless) 악성코드의설치공격기법이최근급증하였다. 파워쉘악성코드는시스템에파일로존재하지않고레지스트리 (Registry) 에삽입된악성스크립트에의해동작하며, 파워쉘사용시기존보안장비에서는탐지가매우어렵다. 이런고도화된해킹공격은단일솔루션만으로는대응하기매우어렵기때문에 EQST는기존서비스및솔루션영역에대한고도화와취약점연구활동에집중하고있다. 이를통해 SK인포섹은다양한보안이슈에대응할수있는차별화되고종합적인전략을수립하여고객들에게제시하고있으며, 국내를대표하는보안전문가로서의역할을지속적으로강화해나가고자한다. 4 EQST insight Annual REPORT

1. 관리서버의취약점을이용한 APT 공격 Hacker 내부인터넷가능악성코드 PC 장악 내부망 서버망 D N S 8.8.8.8(Google DNS) 168.126.63.1(KT DNS) WWW 악성코드감염 PC 관리자 PC 장악 관리자 PC 배포가능중앙백신서버 MGMT 서버장악 중앙백신서버 악성코드배포 공격자도메인 xx.xxxxxxxxx.net xx.xxxxxxxxxxxx.com xx.xxxxxxxxx.xxx 악성코드배포 MGMT 서버 DB 변조수행 공격자는서버접근권한이있는관리자 PC를장악하기위해 PC 관리서버의취약점을파악하여침투하고 IT 부서나개발부서에악성코드를대량으로유포한다. 관리서버는상대적으로신뢰도가높아취약점을이용하여공격할경우, 피해상황을인지하기매우어렵다. 또한공격자는정상적인통신으로인지시키기위해 DNS 터널링, 우회적인 C2 통신연결을시도한다. 심지어, 최근에는관리서버의신규취약점을연구하여침투하기때문에탐지가어려울뿐만아니라, 공격을탐지한이후에도해당취약점을확인하지못해초기원인파악에어려움을겪고있다. 관리서버 APT 공격 TTP Tactics 관리서버권한획득하고중요정보유출후가상화폐요구 Technics 관리서버신규취약점, 백신우회악성코드 Procedures 1 Target 기업 PC 권한획득 2 운영자 PC 권한획득 3 배포서버권한획득 4 내부 PC, 서버악성코드배포 5 자료유출 6 금전협박 EQST insight Annual REPORT 5

2. Apache Struts2 취약점을이용한사고급증 한국사드배치 사드보복중국해커결집 Struts 취약점 PoC 발표 불특정한국취약점기업타깃 기업들피해발생 판다정보국 (PIB) 1937cN 홍커연맹 Struts2 자동화툴공유 일반사용자 한국의사드 (THAAD) 배치결정이후발표된 Apache Struts2 취약점을통해국내불특정기업들을대상으로한침해사고가동시다발적으로발생하였다. 실제사드배치에반대하는중국해커들이대거결집하였고, Apache Struts2 취약점을이용하여대규모공격을진행한것이다. 중국해커들은취약점정식발표이전부터취약점자동화공격도구를개발하여공격에사용하였고, 조작법이매우간단하기때문에기초해킹지식을가진초급해커들도해당툴을이용하여공격을시도할수있었다. 이런이유로, 단시간에많은기업들이 Apache Struts2 취약점을이용한해킹공격을당했다. 또한, 웹쉘 (Webshell) 과같은공격을통해시스템에침투하여기밀정보를유출하고악성코드를설치하는등추가공격들을진행하여한국기업에많은피해를입혔다. ( 단위 : 천건 ) 100 CVE-2017-5638 취약점발표 80 60 CVE-2017-9791 취약점발표 CVE-2017-7525 취약점발표 40 20 0 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ Secudium Intelligence 통계 - 17 년 Apache Struts2 취약점 ] 6 EQST insight Annual REPORT

17년에는 Apache Struts2 취약점이총 3번발표되었다. SK인포섹의 Secudium Intelligence 데이터를분석한결과, 취약점발표가이루어진 3월, 10월, 12월에가장많은이벤트가발생하였다. 그중 3월에발표된 CVE-2017-5638 취약점의경우 91,638건을차지하였으며, 10월발표된 CVE- 2017-9791 취약점의경우 60,385건, 12월발표된 CVE-2017-7525 취약점의경우 62,347건의위협공격이발생하였다. Apache Struts2 취약점 TTP Tactics Technics 기밀정보유출및 DDoS 봇넷 (Botnet) 활용 OSS 웹애플리케이션프레임워크취약점을이용한서버권한획득 Procedures 1 취약대상목표설정 2 취약점공격 3 권한획득 4 정보유출 or DDoS 봇넷활용 [ 취약점용어설명 ] CVE-2017-5638: 자카르타플러그인을이용하여파일업로드처리시원격에서악의적인코드실행이가능한취약점 CVE-2017-9791: ActionMessages Class를통해 Input 데이터에대한값을처리할때원격에서악의적인코드실행이가능한취약점 CVE-2017-7525: Jackson-databind에서직렬화결함이발생하여 ObjectMapper의 readvalue 메소드에특수하게조작된페이로드전송시악의적인코드실행이가능한취약점 EQST insight Annual REPORT 7

3. 다양한랜섬웨어악성코드 B 호스팅업체 관리자 PC 1 탈취한계정정보이용 게이트웨이서버 ( 백도어설치 ) 1 랜섬웨어등악성코드업로드 2 게이트웨이서버를통한 153 대에접속 4 백업삭제실행 피해서버 (153 대 ) 호스팅사업부웹서버 3 랜섬웨어다운및설치 (6.5~6.9) 5 6.10 1 시정각랜섬웨어동작 백업서버 IDC( 호스팅서비스 ) 지난해호스팅업체 B가운영하고있는 IDC 전체서버가랜섬웨어에감염되어서비스가중단되는사고가발생하였다. 이사고로약 153대의운영서버가중단되었고해커는관리자의 PC를탈취후내부특정웹서버에악성코드를업로드하여배포지로활용하였다. 또한추가적으로랜섬웨어감염전백업데이터를삭제하여감염이후복구를위한백업업무를수행하지못하게했다. 이후관리자 PC 를통해모든서버에접근이가능한게이트웨이 (Gateway) 서버에접속했고, 특정시간에랜섬웨어를동작시키는스케줄명령을통해 153대를동시에감염시켰다. 해커는파일복호화키제공을조건으로비트코인 28억원을요구하였으며, 피해 IDC 업체는해커에게 13억을제공하고서비스를정상화시켰다. 기업이랜섬웨어공격에합의금을주는사례가발생함에따라해커들이한국을타깃으로하여집중공격할수있는계기가되었으며이사고를기점으로협박형공격이더욱증가하였다. 8 EQST insight Annual REPORT

도메인등록확산중지명령 http://www.iuqerfaodp9ifjaposdfjhgosurijaewrwergwea.com http://www.ifferfsodp0ifjaposdfjhgosurijfaewrwergwea.com 특정도메인 도메인의접속가능여부로 WannaCry 동작 / 중지명령 SMB(Server Message Block) 취약점 (MS17-010) 이용네트워크전파 특정도메인접속시도 특정도메인접속시도 C:\Intel\[Rand]\tasksche.exe 감염대상 C:\ProgramData\[Rand]\tasksche.exe 감염대상 감염대상 도메인접속가능동작중지 도메인접속실패웜형식동작 SMB 접속 감염대상 감염대상 감염대상 감염대상 랜섬웨어악성코드로알려진워너크라이의경우 MS-SMB 취약점을이용하여악성코드를전파한다. 1차시스템이감염되면해당시스템은네트워크대역스캐닝을통해 MS 취약점이존재하는시스템을찾아악성코드를추가로전파한다. 감염대상시스템은특정도메인접속실패시에는전파기능을수행하지만, 접속가능시에는동작이중지되는킬스위치 (Kill Switch) 방식으로구성되어있다. 영국보안전문가가해당킬스위치를찾아해당도메인을등록시켜큰피해를막을수있었다. 이워너크라이사고로전세계 150개국의 30만대이상의컴퓨터가피해를입었으며한국도 21여개의기업들이감염되어업무중단이발생하였다. 다행히, 한국기업의경우취약점전파포트인 TCP/445를대부분차단하고있어해외에비해대규모감염이슈는발생하지않았다. ( 단위 : 천건 ) 80 72,948 60 Locky Ransomware 재등장 54,494 40 38,810 27,861 20 11,657 3,074 0 7 월 8 월 9 월 10 월 11 월 12 월 [ Secudium Intelligence 통계 - 랜섬웨어유입 ] EQST insight Annual REPORT 9

17 년 9 월에는록키랜섬웨어의재등장으로, 전월에비해랜섬웨어유입이 4.6 배증가하였다. 공격자 들은가상화폐획득을목적으로랜섬웨어를지속적으로유포하고있으며파워쉘, WMI 등을이용한 기술이적용된랜섬웨어도공격에이용하고있다. 랜섬웨어악성코드 TTP Tactics Technics 랜섬웨어감염을통한가상화폐요구 MS-SMB 신규취약점, 관리서버 APT 공격 Procedures 1. IDC 서버랜섬웨어감염 1 내부 PC 권한획득 2 게이트웨이서버권한획득 3 내부호스팅서버악성코드배포 4 서버파일암호화 5 공격자의가상화폐요구 2. 워너크라이랜섬웨어감염 1 취약전파를위한스캐닝 2 Open Port 에대한 MS-SMB 익스플로잇공격 3 랜섬웨어설치후파일암호화 [ 취약점용어설명 ] MS17-010: 공격자가윈도우 SMBv1 서버에특수제작된악성메시지를보낼경우원격코드실행을허용하는취약점 4. 가상화폐마이너 (Miner) 악성코드 1 원격관리포트 Open 취약점 2 가상화폐 Miner 설치 Internet 3 채굴한가상화폐개인 Wallet 으로전송 유형 오픈소스취약점 (Redis/apache struts) 무차별대입공격 (RDP/SSH) DB 취약점 Exploit(Oracle/Weblogic) 10 EQST insight Annual REPORT

가상화폐가격이상승함에따라채굴을위한마이너설치공격이증가하고있다. 해커는원격관리포트및 OSS 취약점툴을사전제작하고지속적으로스캐닝하여공격대상및해당취약점에부합하는공격이이뤄지면권한탈취후가상화폐마이너를설치한다. 마이너가설치되면가상화폐를채굴하기위한작업으로높은시스템자원을소모하고, 채굴수행후공격자개인지갑 (Wallet) 으로가상화폐를전송한다. 최근에는탐지우회를위해자원임계치를조정하거나, 자원사용률이적은시간에동작하는마이너변종파일이발견되기도하였다. ( 단위 : %) 35 30 25 20 26 31 28 15 10 5 0 9 5 1 7월 8월 9월 10월 11월 12월 [ Secudium Intelligence 통계 - 가상화폐마이너유입 ] 17 년하반기가상화폐의급격한가치상승으로, 가상화폐채굴을목적으로하는해킹공격이 10 월부 터급속도로증가했다. 대부분의공격자들은공격한이후에비트코인채굴악성코드를설치하고있으 며, 최근에는가상화폐모네로를채굴하는악성코드도조금씩증가하는추세에있다. 가상화폐마이너악성코드 TTP Tactics PC, 서버시스템자원을이용한가상화폐채굴 Technics 무차별대입공격, OSS, 범용 S/W 취약점을통한권한획득 Procedures 1 취약점 Port 무작위스캐닝 2 Open Port 에대한익스플로잇시도 3 가상화폐채굴기설치 4 채굴후해커지갑전송 EQST insight Annual REPORT 11

5. 원격관리 S/W 해킹사고지속발생 4 원격제어프로그램 ID/PW 유출 3 정상원격지접속 Internet 5 ID/PW 획득 공용인터넷망 인터넷망 인터넷망 2 정상사용자 원격지접속 1 PC 악성코드설치 회사 PC 개인 PC 정상사용자들 7 개인정보및기업정보유출 Internet 6 정상사용자위장접속 공격자가사전원격제어프로그램이설치되어있는 PC를공격하여기업내부망으로침투할수있는추가접속정보를획득하고, 그정보를기반으로 2차침투를시도하여개인정보및기업중요정보를유출하는해킹기법이최근증가하고있다. 원격제어프로그램은기업에서 IT 관리자들이장애대응및운영편의성을목적으로많이사용하고있으며, 해커는이런보안홀을정확히타깃으로하여공격을수행하는것으로보인다. 특히, 패스워드복잡성을지키지않은경우에는 5분안에시스템이해킹될정도로해당홀의위험도는매우높다. 대표적으로악용되는원격제어프로그램으로는팀뷰어 (TeamViewer), 알뷰 (Rview), VNC 등이있고최근해당원격제어프로그램을이용하여내부망침투에성공한해킹사례도있어주의가요구된다. ( 단위 : 십만건 ) ( 단위 : 십만건 ) 800 80 600 60 400 40 200 20 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 0 VNC Port TeamViewer Port [ Secudium 통계 - VNC Port 와 TeamViewer Port 이용 ] 12 EQST insight Annual REPORT

17 년전반적으로 VNC 및팀뷰어접근이다량발생하였으며하반기에 VNC 접근은대폭감소, 팀뷰 어접근은대폭증가했다. 이는공격자들의관심이 VNC 원격제어프로그램에서팀뷰어를이용한해 킹시도로변화된것임을확인할수있다. 원격제어 S/W 이용한해킹사고 TTP Tactics Technics 원격제어프로그램권한획득을통한정보유출 ID/PW 획득, 키로거 (Keylogger) Procedures 1 PC 원격제어프로그램공격 2 회사내부망 PC 접근 3 개인정보및기업정보유출 4 유출된정보를기반으로비트코인이체협박 6. 보안솔루션우회기법의고도화 공격자 C2 서버 Internet 1 악성코드첨부된메일전달 4 Shellcode Data 다운로드 내부망 2 메일에첨부된악성파일실행 3 PowerShell을통한명령전달을통한악성 URL 접근 5 위협생성을통한메모리영역에 Shellcode 실행 6 추가명령하달을통한악의적인행위수행 최근해커들은백신및보안장비등의보안솔루션을우회하기위해파워쉘악성코드및파워쉘을이용한공격기법을사용하는것으로확인된다. 해당공격에사용되는악성파일은파일형태로디스크에저장되어실행되는것이아니라실행후파일은삭제하고메모리영역에서만동작하거나, 레지스트리영역에악성스크립트를삽입후파워쉘을이용하여악성명령어를실행하는형태로동작한다. 파워쉘을사용한추가명령실행시설정변경없이는로깅 (Logging) 기록이존재하지않아해당공격이증가하는추세다. EQST insight Annual REPORT 13

( 단위 : 건 ) 3,000 2,500 2,000 1,500 1,000 500 0 7 월 8 월 9 월 10 월 11 월 12 월 [ Secudium Intelligence 통계 - 파워쉘활용악성코드유입 ] 파워쉘을통해명령을실행할때 AV를우회하기위해인코딩 (Encoding), 난독화 (Obfuscation) 등다양한기법들을사용한다. 해커들은 Base64로명령구문자체를인코딩하거나특정명령만인코딩하여 AV를우회할수있고명령어에대한난독화를통해보안담당자의분석을어렵게하는기법을많이사용하고있다. 보안솔루션우회기법고도화 TTP Tactics Technics 다양한경로를통한파워쉘악성코드실행 파워쉘, WMI, 은닉기법 Procedures 1 다양한경로로악성코드유입 2 파워쉘악성코드실행 3 파워쉘을이용한악의적인명령어실행 14 EQST insight Annual REPORT

7. S/W 공급망구조적취약점공격 1 S/W 개발업체해킹 Internet 3 악성파일업데이트 4 S/W 사용업체정보유출 공격자 S/W 공급업체 S/W 사용업체 A 사 S/W 업데이트서버 2 정상업데이트파일을악성파일로변조 B 사 C 사 최근 S/W 공급업체에서개발버전업데이트를위해배포된파일이해커에의해악성파일로변조되어이를사용하는보안업체에심각한위협이발생했던사건이있었다. 해당 S/W는 OS를관리하는용도로사용되며권한을가진사용자를타깃으로하여 2차공격을시도했다. 또다른사례로는 ERP 업체를해킹하여악성파일로배포했던사고가있었고해당사고는한국에서발생하는여러해킹사고와도연관이있는것으로파악되었다. 해커는직접타깃대상의시스템공격을수행하기도하지만, 낮은보안수준을유지하고있는제3의공급자를노려타깃한회사의높은보안시스템을우회하는것으로판단된다. 특히 S/W 공급망은매우복잡하고킬체인 (Kill Chain) 을하기매우어려운구조이기때문에 S/W 보안관리체계수립및해당 S/W의변조에대한지속적인확인을할수있는체계가필요하다. EQST에서확인한해킹사고와연관있는 C2 IP정보 17년국내고객을공격한해킹그룹의 C2 정보를이용해위협데이터를분석한결과, 해당그룹은배포서버해킹, 원격제어프로그램, 웹취약점등을이용하여해킹에성공한후개인정보, 임직원정보를탈취하고가상화폐를요구한다. 이해킹그룹은공격타깃이 S/W 공급업체인경우 S/W 사용업체로악성코드를전파하여정보를유출한다. 데이터분석에활용한 IOC 정보 : 144.217.x.x ( 캐나다 IP), 86.106.x.x ( 독일 IP) EQST insight Annual REPORT 15

S/W 공급망구조적취약점공격 TTP Tactics Technics 정상업데이트파일로위장한악성파일전파를통한 2 차공격 S/W 공급망에대한구조파악, 업데이트서버의취약점 Procedures 1 S/W 업데이트서버해킹 2 업데이트파일변조 3 악성코드대규모전파 4 악성코드이용한 2 차공격진행 16 EQST insight Annual REPORT

18 년보안전망 EQST는 17년의사고사례를통해 18년의공격위협을예측해보았다. 관리서버의취약점을이용한 APT 공격지속, 취약점자동화공격툴제로데이 (Zero Day) 화, 범용 S/W 자동화공격위협, S/W공급망홀 (Hole) 에대한공격, 대규모랜섬웨어감염을위한구조적취약점공격등크게 5가지로전망할수있다. 이러한공격위협에대응하기위한전략으로 MSS2.0 - 통합 SOC를통한관제서비스고도화, 사이버위협인텔리전스기반탐지대응, EQST Lab 활동을통한취약점연구활동, 엔드포인트위협탐지확대, 다크웹정보수집및분석등 5가지로선정했다. 이를통해최근한층고도화된해킹공격을효과적으로탐지하고대응할수있을것으로예상된다. 17 년보안이슈 18 년 5 대보안위협 18 년 5 대위협대응전략 1 관리서버의취약점을이용한 APT 공격 관리서버의신규취약점을이용한 APT 공격지속 MSS2.0 - 통합 SOC 를통한관제서비스고도화 2 3 Apache Struts2 취약점을이용한공격 다양한랜섬웨어악성코드 취약점자동화공격툴제로데이화 사이버위협인텔리전스기반탐지대응 4 가상화폐마이너악성코드 범용 S/W 자동화공격위협 EQST Lab 활동을통한취약점연구활동 5 6 원격관리프로그램을악용한해킹공격 보안솔루션우회기법의고도화 S/W 공급망홀에대한공격 엔드포인트위협탐지확대 7 S/W 공급망구조적취약점공격 대규모랜섬웨어감염을위한구조적취약점공격 다크웹정보수집및분석 EQST insight Annual REPORT 17

5 대보안위협 1. 관리서버의신규취약점을이용한 APT 공격지속해커가관리서버를공격하여내부망에대한악성코드를전파하려는시도는 11년부터지속적으로증가하고있다. 배포서버가 APT 공격에끊임없이사용되는이유는배포서버에포함되어있는기능을통해일괄적으로파일을배포하고실행할수있기때문이다. 배포서버는일반적으로패치및자산관리등의업무에사용되기때문에, 해커는이기능을이용하여악성파일을배포하고 PC를장악할수있으며, 해당기업부서의역할을확인하여관리자를타깃으로하기용이하다. 최근몇년동안해커는관리서버의신규취약점을연구하여해당서버를공격하고있으며, 신규취약점을이용하여침투하게되면관리자가사후에발견하더라도어떤취약점을이용해서공격했는지알수가없기때문에추가적인조치를하는데어려움이매우크다. 또한이런관리서버를개발하는국내대부분의벤더들의개발및경영환경이매우어렵기때문에취약점을사전에발견하더라도패치에장시간소요되는경우들이있다. 이런특징때문에 18년에도관리서버에대한제로데이성신규취약점공격이지속적으로증가할것으로예상된다. 2. 취약점자동화공격툴 Zero Day( 제로데이 ) 화신규취약점이발표되면보안장비패턴업데이트까지소요되는시간은평균일주일정도다. 이전에는신규취약점이발표된후약 2~3일후에자동화공격툴이만들어졌지만, 최근에는취약점발표전에자동화공격툴이발견되는사례가증가하고있다. 제로데이취약점공격과자동화공격툴이동시에제작되어공유될경우피해규모가매우커지며대응하기어려운상황들이발생하게된다. 때문에공격자입장에서는작은노력으로큰효과를볼수있는제로데이패키지화공격을지속적으로시도할것으로예상된다. 3. 범용 S/W 자동화공격위협범용 S/W는불특정다수가많이사용한다는특징을가지고있으며, 취약점성공시그파급효과가매우높아공격자들이해당취약점에대한연구를지속적으로시도할것으로보인다. 최근공격자들은외부에공개되어있는범용 S/W에대한스캐닝을통해취약점을확인하고익스플로잇공격을수행한다. 취약한계정및패스워드를사용하는시스템에부르트포스 (BruteForce) 공격후권한을탈취하여마이너를설치하는해킹행위도지속적으로하고있다. 또한, 범용 S/W뿐만아니라최근사용빈도가점점증가하는오픈소스 S/W의취약점을타깃으로하여마이너를설치하는사례도증가추세를보이고있다. SK인포섹의 EQST Lab이별도망에취약한오픈소스 S/W를설치하고서비스 18 EQST insight Annual REPORT

오픈테스트를자체적으로수행한결과, 외부해커에의한마이너가 5시간도되지않아설치되는것을확인했다. 다수가많이사용하고있어타깃으로할수있는대상이많고, 자동화시보다효과적으로공격할수있기때문에해커들의좋은공격기법이라고할수있다. 따라서 18년에보다큰위협이될것으로전망하고있다. 4. S/W 공급망홀 (Hole) 에대한공격 S/W 공급망은개발사, 총판, 리셀러, 협력업체, 구매회사로배포되는매우복잡한구조를가지고있다. S/W는유통구조가매우복잡하기때문에취약한연결고리가반드시존재하며해커는이구조적인취약점을공격하여악성코드를삽입하거나원본파일을악성코드로변경하는공격을진행한다. 최종타깃이되는회사에서는이런악성코드로변경된 S/W의파일악성유무를확인하기가매우어렵다. 보안수준이높은회사라하더라도이런공격은확인이나탐지가어렵기때문에해커들이 S/W 공급망에대한공격을지속적으로시도할것으로예상된다. 5. 대규모랜섬웨어감염을위한구조적취약점공격랜섬웨어에감염된후높은가상화폐를요구하려면중요한데이터를암호화하거나, 대규모시스템이감염되어야만가능하다. 이런이유로해커는클라우드상에서사용되는파일공유기능이나파일서버를공격하여대규모랜섬웨어를감염시키려는시도를하고있다. 특히파일배포기능이있는관리서버나자원을공유해서사용하는서버환경의경우대규모감염위험이높다. 17년에있었던사고중 VDI 서버내 VM 전체가랜섬웨어에감염되어존 (zone) 전체를초기화했던사고가있었고 18년에도이런구조적취약점을이용한공격이발생할것으로예상된다. EQST insight Annual REPORT 19

SK 인포섹 5 대위협대응전략 1. MSS2.0 - 통합 SOC를통한관제서비스고도화 SK인포섹은침해자동탐지와자동대응이가능하도록 MSS2.0 수준의통합 SOC를구현하여대응시간을현저히단축함으로써 18년전망하고있는보안위협에적극대응하고자한다. 통합 SOC 구현을위해 A.I, SA&O(Security Automation and Orchestration), Surveillance 관련기술수준을한단계업그레이드하였으며, 관제영역을물리보안및 ICS까지확장하여 IT와 OT 영역에대한통합관제가가능한서비스를제공해나갈예정이다. 목적 관제대상 MSS 센터 vs 통합 SOC MSS 사이버침해공격예방, 분석및대응 정보유출방지및정보자산보호 정보보안장비 - N/W 보안, 엔드포인트 - Application 보안 통합 SOC 사이버침해공격상향평준화대응 물리 /OT 영역확대에대한침해대응시너지 정보보안장비 물리보안장비 - 영상, 출입통제 시설 / 관리센서 Safety Surveillance A&O A.I. Threat Intelligence Big Data 통합모니터링 통합 SOC Architecture SOC 관제업무 Coverage 관제기술성숙도 MSS 원격관제 MSS 파견관제 통합 SOC Digital Security 관제 인터넷 Cloud OA 망서비스망물리보안 ICS 관제영역확장 Dashboard Ticketing 내부자유출 외부 Threat Data 공격탐지 취약점관리 Policy 위반 Threat Intelligence 상관분석 보안동향 통합시나리오탐지 A.I 기반 ML 해킹이벤트분석 / 조회 내부자유출분석 A&O 단일탐지 시나리오탐지 Policy 위반 Risk Rating Play Book Rule 생성 악성코드탐지 Traffic 탐지 유출탐지 상관탐지 Process 관리 Open API 실시간처리 A.I Data 수집 정규화 T.I Connector CEP 엔진 Hadoop 통합 SOC를구현하기위한주요기술은머신러닝 (Machine Learning) 을통한자동탐지기술과자동대응을위한 SA&O 기술, 취약점에대한관리및대응을할수있는영역으로구분된다. SK인포섹은올해 A.I 기반의탐지체계를구축하여 APT 공격, 제로데이성공격들을대응하고, 알려진취약점에대해탐지 / 대응을시스템기반으로조치하며신속한공격대응을위해자동탐지 / 대응기술을 Secudium Platform에반영하고자한다. 20 EQST insight Annual REPORT

Prevent Detect Respond Websrv Filter Vul Autoscan Vul Autopatch Advanced Predictive Analytics Machine Learning Anomaly Identification Playbook Orch. Response Tracking Heuristic Analysis Threat Intel Management/Scoring/Report Generation Remediate/Mitigate Pen Testing Cloud Filter Mobile Device Mgt Cloud Monitor App/DB Monitor Phys Sec Monitor Baselining Sandbox Graph Analysis Triage Foundational Email Filter Network Traffic Filter Endpoint Filter Log Management Email Investigate Network Investigate Endpoint Investigate Inventory Mgt Vul. Scanning Patch Mgt Email Monitor Network Monitor Endpoint Monitor Alert/Case Management [ 통합 SOC 기술정의 ] 2. 사이버위협인텔리전스기반탐지대응 대상장비 Threat Feeds Threat 연관성분석 Threat Intelligence 탐지결과 로컬수집 IDS WAF Web악성코드 Email 악성코드 APT장비 NetFlow 유포지 IP, URL 악성코드 Hash C&C서버 IP, URL 추가분석기 Sandbox Crawler 수집 [A 공격 ] 취약점공격 [B 공격 ] Malware Payload IP Hash File IP Hash AV 정보 Date 연관성분석 Tool 공격유형 IP IP Hash AV 정보 Grouping Set 유포지 IP, URL 독립 Set 유포지 IP, URL 유포지 IP, URL 유포지 IP, URL 악성코드 Hash 악성코드 Hash 악성코드 Hash 악성코드 Hash C&C서버 IP, URL C&C서버 IP, URL C&C서버 IP, URL C&C서버 IP, URL 동일공격유형 Group 평균일일 Unknown 공격탐지 570 건이상탐지 40% 이상탐지개선 Unknown 공격 Coverage Global수집 Sandbox 보안시스템 CTA Private Virus total Exploit Checker Google SNS 분석알고리즘개발 Human Intelligence 분석가활동 공격자정보공격자정보공격자공격자의도정보공격자의도공격방식공격자의도공격방식악성코드공격방식 set 악성코드 set C&C서버악성코드 set set C&C서버 set C&C서버 set expansion DDos RAT Bot Miner ETC 공격자식별 Group EQST insight Annual REPORT 21

사이버보안위협상황에선제적으로대응하고기업자산을안전하게보호하기위해서는해킹공격에활용된것으로의심되는악성 IP, URL, 파일등의데이터를수집하고분석하여공격자의 TTPs(Tactics, Techniques, Procedures) 를파악해야한다. 그리고위협정보데이터의연관관계분석을통해각위협데이터의정보를프로파일링해야한다. 위협데이터를이용하여공격자를가려내고그에따른대응전략을마련하는기술이필요할것으로예상된다. SK인포섹은한국을타깃으로하고주요공격자그룹을식별하고공격자그룹이사용하는 TTP를분석하여 Secudium Intelligence에반영하는노력을지속하고있다. 실제 Secudium Platform의관제데이터에 Secudium Intelligence 를적용한결과 APT 공격에대한탐지가 40% 이상개선된것을확인할수있었다. 3. EQST Lab 활동을통한취약점연구활동 침해사고대응팀 해킹흔적 신규취약점연구 신규발표된취약점연구 신규취약점발견및 Patch 모의해킹팀 공격정보 공격탐지연구 공격탐지정책 방어대책연구 취약점진단팀 취약점정보 최신 Threat 제공 위협동향보고서제공 최신 IoC 제공 Threat Intelligence 팀 Threat Data 공격자기법 공격자그룹식별 그룹별주요공격기법 SK인포섹의 EQST 그룹은국내최대, 최고기술전문가집단으로침해사고대응, 취약점진단, 모의해킹, Threat Intelligence 등의업무를기반으로팀이구성되어있다. 올해에는제로데이취약점에대한대응활동의일환으로사내버그바운티 (Bug Bounty) 제도를만들고취약점을연구하는활동을진행한다. 이에대한연구활동을통해신규취약점들을발견하고대응활동을강화할예정이다. 22 EQST insight Annual REPORT

4. 엔드포인트 (Endpoint) 위협탐지확대 탐지로직 Victim Host Agent Install Dropper 1 Bot Agent 2 Sometimes Deleted Commands & Data 3 1 백그라운드로임의의파일설치행위탐지 2 커맨드명령의파일삭제 3 해쉬값변경행위탐지 위협행위에대한연관자동추적 탐지사례 - PID 및프로세스이미지경로 - 삭제 or 변경된파일 / 레지스트리 - 사용자계정및사용자의 SID - 전과정에대한 Relation Graph 제공 보안장비를우회하는기법들의발전과암호화통신의증가로네트워크단에서탐지가매우어려워짐에따라공격타깃이되는엔드포인트에대한필요성이중요하게대두되고있다. 17년대규모해킹사고가발생하여 EDR 솔루션기반으로대응을진행한결과, 사고대응시해커의모든행위를 CCTV처럼탐지하여단시간내에사고가종료될수있었다. 18년에는악성코드의난독화, 다단계패킹기법, 백신우회등악성코드의진화가예상되고, 샌드박스 (Sandbox) 우회, SSL암호화통신등기존보안솔루션을우회하는기법들로발전하고있어엔드포인트에대한보안솔루션이더욱필요할것으로예상된다. 더이상기존솔루션으로는대응하기어려운것이현실이기에, PC에설치해야하는환경적인제약이있지만, 공격의가시성확보, 우회공격에대한탐지를위해엔드포인트보안솔루션도입에대한적극적인검토가필요하다. EQST insight Annual REPORT 23

5. 다크웹 (Dark Web) 정보수집및분석 Feed Site 해킹도구 Zero-Day Exploit Ransomware Bot-Net RAT Malware Dark Web Crawler Feed Site 최신해킹정보 취약사이트판매 취약점정보 해킹된 Site Dark Web Crawler Tor Onion Site Dark Web Crawler Feed Site 개인정보 주소, 전화번호 E-Mail 주소 ID/PW Feed Site 기타정보 동향정보 유해도구판매 미래위협에대해전망하고대응하기위해기존웹에서는발견할수없는데이터를수집할필요성이생겨났다. 이에최근글로벌보안기업은사이버범죄에대한거래나신규취약점에대한판매등다크웹에대한정보를수집하고분석하기시작했다. EQST도다크웹에대한데이터를수집하고분석하여산업군별보안이슈및사이버범죄에대해신속하게대응할계획이다. Secudium Intelligence 와연계하여보안위협에대한예측을보다능동적으로진행할예정이며현재개발은마무리단계로상반기말서비스출시를계획하고있다. 24 EQST insight Annual REPORT

Resources EQST insight Annual Report에서예측한 2018년주요위협은국내 2,000여곳의기업들을대상으로관제서비스를제공하며수집한위협정보를비롯해, 자체분석 축적한위협인텔리전스데이터베이스, 글로벌사이버위협연합 (CTA) 과공유하는위협정보, EQST 그룹이실제해킹사고대응에서축적한지식등방대한데이터를기반으로작성되었다. 이처럼신뢰할수있는방대한데이터를분석한결과, 주요공격자그룹과이들이사용하는공격기법등이올해도여전히큰위협이될것으로전망하고있다. 올해상반기부터는다크웹 (Darkweb), 유수보안회사등위협정보의수집범위를확대해위협예측에대한정확도를더욱더높일예정이다. 해킹사고대응업무수행 외부사고에대한분석 취약점연구활동 보안관제 Data 수집 1 Day 3TB 6,000 여개보안장비 전체산업군 Data CTA Global Alliance 자체수집 / 분석 Sensor Profiling 기법 About EQST EQST( 이큐스트 ) 는 Experts, Qualified Security Team 이라는뜻으로사이버위협분석및연구분야에서검증된최고수준의보안전문가그룹이다. SK인포섹의보안전문가조직으로서 Secudium Intelligence를기반으로데이터를분석하고보안기술연구, 전략해킹, 취약점진단, 침해사고대응등을수행하고있다. EQST insight Annual REPORT 25

insight A N N U A L R E P O R T 2018. 01 경기도성남시분당구판교동 255 번길 46 4 층 www.skinfosec.com 발행인 : EQST Group 제작 : Communication팀 c 2018. SK infosec All rights reserved. 본저작물은 SK인포섹의 EQST Group에서작성한콘텐츠로어떤부분도 SK인포섹의서면동의없이사용될수없습니다.