제 2 회 CISO Workshop 최신위협동향과기업보안관리방안 신종회, Ph.D Microsoft CISO joshin@microsoft.com
목차 최근사이버침해사고현황 MS 위협동향분석결과 불법SW와악성코드 사이버사고주요원인 침해사고대응방안
최근사이버침해사고현황
최근사이버침해사고현황 한수원 (??) 한수원 (??) [ 출처 : 한국인터넷진흥원 ]
3.20 사이버테러 2013 년 3 월 20 일, 악성코드에의하여 KBS, MBC, YTN 등방송사와 신한은행, 제주은행, NH 농협은행등금융기관의전산망마비발생 3.20 사이버대란개요 2013 년 3 월 20 일, 오후 2 시를기점으로 KBS, MBC, YTN, 신한은행, 제주은행, 농협을대상으로사이버공격발생 기업내부에있는 AhnLab, 하우리의업데이트서버에악성코드를심어두어전체 PC 를감염시킨것으로추정됨 농협업데이트서버에침입한 IP 분석결과중국 IP 와국내 IP 두곳에서침입한것으로파악됨 지능형타깃지속공격 (APT) 을이용한공격으로회혼란유발목적의사이버테러로추정됨 이와동시에 LG U+ 의그룹웨어도변조공격을받아 LG U+ 와이그룹웨어를사용하는다른기업들역시서비스접속장애를겪음 사 3.20 사이버대란에따른피해 6 개기관, 3 만 2 천여대의 PC 가악성코드에감염되었으며, 이들 PC 는부팅영역 (MBR) 을비롯하여하드디스크내부의데이터가파괴됨 PC 사용이불가능해짐에따라방송사는기사송고지연에따른혼란을겪었으며, 은행은모든금융거래가중단되었으며해당계좌에연동된신용카드결제지연되는등피해와혼란이발생 악성코드에의하여감염된하드디스크는포맷이필요하며추정되며, 피해가심각한경우하드디스크혹은 PC 전체에대한교체가필요할것으로추정 피해시스템복구까지 5 일이상사용불가및복구에따른업무공백발생 YTN 은 3 월 26 일, 리눅스서버를대상으로추가공격을받아 75 대의서버중 58 대의서버마비
6.25 사이버테러
카드사개인정보유출 1 3 개카드사 (KB, 농협, 롯데 ), 외부파견직원을통해개인정보 1 억건유출 ( 14.1 월 ) 외부인의 USB 사용차단및고객정보암호화조치미비, 시스템개발용역테스트에실제이용자정보사용금지의무위반 ( 12.12~ 13.12 월 ) 유출정보항목 (18 개 ) o 식별정보 (9) : 성명, 주민번호, 여권번호, 이메일, 전화번호, 주소, 직장, 결혼여부, 자가용보유여부 o 신용정보 (9) : 카드발급정보, 카드번호, 유효기간, 결제계좌, 신용한도금액, 이용실적, 연소득, 연체금액, 타사카드보유현황 유출된개인정보사용경로 1 시스템개발용역수행 2 USB 를통해정보유출 3 일부정보판매 대출광고업자 A 3 일부정보판매 KCB 파견직원 [ 카드사고객정보시스템 ] 대출모집인 B
카드사개인정보유출 2
한수원사이버해킹 14.12월15일한수원도면등내부자료공개, 이후최근까지모두 6차례원전도면과한수원직원개인정보등공개, 최근원전도면을외부에팔겠다고협박 해커는한수원직원 3천5백명에게악성코드가담긴이메일전송, 8대의컴퓨터를감염 합수단은북한해커조직소행결론, 1) 공격에사용된악성코드와, 북한해커조직의악성코드, ' 킴수키 (kimsuky)' 의코드가유사, 2) 협박글을올리는데사용된 IP 주소 12 자리가운데 9자리가북한이악성코드를뿌릴때쓰는주소와일치
사이버테러의단계별피해 최악의상황은오지않았다. 최악의상황 : 은행이붕괴, 상수도오염, 방송장악 출처 : 조선닷컴인포그래픽스
침해사고통계 공격경로추이 파일업로드취약점과웹셸은서버해킹의필수요소 해커는내부망장악및정보유출등을위해관리자계정을탈취 웹셸생성 악성코드감염 악성코드감염 악성코드감염 악성코드감염 웹셸생성 웹셸생성 웹셸생성 계정유출 계정유출 파일업로드취약점 확인불가 파일업로드취약점 파일업로드취약점 확인불가 계정유출 백도어설치 확인불가 계정유출 파일업로드취약점 SQL 인젝션취약점 백도어설치 백도어설치 시스템취약점 시스템취약점 SQL 인젝션취약점 SSH 데몬변조 루트킷설치 웹어플리케이션취약점 루트킷설치 루트킷설치 백도어설치 파일인클루드취약점 시스템취약점 웹어플리케이션취약점 SQL 인젝션취약점 기타 웹어플리케이션취약점 기타 웹어플리케이션취약점 2010 년 2011 년 2012 년 [ 출처 : 한국인터넷진흥원 ] 2013 년
침해사고통계 공격국가별분류 중국발해킹공격발생지속 해킹공격경로다양화 [ 12 년공격국가 ] [ 13 년공격국가 ] [ 출처 : 한국인터넷진흥원 ]
MS 위협동향분석결과 (SIR v18, Jul.~Dec. 2014)
Microsoft Security Intelligence Report www.microsoft.com/sir
On average, about 19.2 percent of reporting computers worldwide encountered malware over the past four quarters. At the same time, the MSRT removed malware from about 9.1 out of every 1,000 computers, or 0.91 percent.
Win32/Obfuscator is a generic detection for programs that have had their purpose disguised to hinder analysis or detection by antivirus scanners. Such programs commonly employ a combination of methods, including encryption, compression, anti-debugging and anti-emulation techniques.
Win32/Onescan : A Korean-language rogue security software family distributed under the names One Scan, Siren114, EnPrivacy, PC Trouble, Smart Vaccine, and many others.
불법 SW 와악성코드
불법 SW 를사용한신규 PC 에서의악성코드감염율 OF THE 203 COMPUTERS PURCHASED IN 11 COUNTRIES WITH PIRATED SOFTWARE ON THEM, 61% WERE INFECTED WITH DANGEROUS MALWARE. New PCs sold with pirated software infected with malware 100% 85% 84% 58% 63% 53% 47% 31% 56% 65% 35%
출처가불분명한곳으로부터의 PC 구매 PCs FROM SUSPECT SOURCES The best way to avoid malware is to buy only from name brand com puter vendors or national retail ch ains and demand and use genuin e software. However, 65% of cons umers and 30% of enterprise cust omers buy from suspect sources. Percent Not Buying PCs Directly From Name Brand Vendors or National Stores User Response IT Manager Response 68% 62% 65% 59% 53% 48% 23% 26% 29% 33% 29% 30% NA WE LATAM AP CEE World
범죄조직과의연계 CRIMINAL ORGANIZATIONS WREAK HAVOC ON ENTERPRISES ALMOST TWO-THIRDS OF THESE ENTERPRISE LOSSES, OR $315 BILLION, WILL BE THE RESULT OF THE ACTIVITY OF CRIMINAL ORGANIZATIONS. $ Billions of Direct Costs Dealing With Infected Pirated Software and Data Loss Costs Attributable to Criminal Organizations - Projected for 2014 Worldwide total: $315 billion $315.2 $137.7 $70.5 $39.4 $18.2 $31.7 $17.7 NA WE LATAM AP CEE MEA WORLD N = 951 consumers, 450 CIOs/IT managers Source: IDC, 2014
최근사이버사고주요원인
최근대형사이버사고의주요원인 Unknown Attack 기존에대비하고있는알려진중요정보침해에비해 Impact 가큰알려지지 않은중요정보침해에대한관리가필요함 알려진공격 VS 알려지지않은공격 알려진공격 (Known attack) 알려진공격은백신으로치료가능한악성코드, 유해웹사이트및응용, 툴에의한해킹등과같이잘알려지고빈번히일어나는정보침해공격을말함 알려지지않은공격 (Unknown attack) 알려지고기록되지않은취약점을타겟으로일어나는공격으로이러한유형의공격을막기위해서는비정상행위탐지 (behaviorbased anomaly detection) 를사용함 구분알려진공격 IMPACT 알려지지않은공격 특징차단가능차단불가 대응 보안투자 백신, F/W, IDS, 암호화등 기존투자의대부분을차지 상시적인보안관리체계구축, 비정상행위에관한지속적인모니터링 비정상행위탐지에대한투자일부진행 가시적이며관리할수있는 공격은빙산의일각처럼매우 제한적이다
위험은어디에있는가? 현재의인력및기술로는신종 ( 변종 ) 공격패턴출현시즉각적인대응이곤란 공격발생구간 Attack Zero Day 공격 양적 Risk Targeting( 정부, 군대등 ) 공격가능 일반적 ( 불특정다수 ) 공격가능 Impact 매우강함 신종 ( 변종 ) 공격패턴출현 취약점 Patch 제공 취약점안정화 Time Defense?? 숙련된전문가의지속적모니터링 기존보안시스템 (ESM 등 ) 을통한방어
침해사고대응방안
침해사고대응방안 예방 (Protect) 이가장중요 Protect Detect Respond Recover
보안위협과보안관리요소
1 지금까지의대응 외부공격차단을위한망분리, 예측가능한 (Predictable) 공격을차단하는포인트솔루션위주로방어체계구축 백신 방화벽 IDS 설치등으로예측가능한공격에대한대응체계는양호 내부자 / 협력업체의보안정책위반, 신규악성코드감염등예측할수없는공격 (Unpredictable) 대해서는한계점발생 예측할수없는공격은특정솔루션만으로대응불가능, 철저한보안정책적용과이를시스템적으로지원해주는탄탄한보안관리체계구축필요 PC, 노트북, 서버등업무환경에대한기본보안관리가체계가미흡하면예측할수없는해킹, 디도스, 자료유출공격에사각지대에놓이게됨 미정부는 USGCB (U.S. Government Configuration Baseline) 보안정책가이드를개발하여정부 PC에의무적용
침해사고대응방안 ( 일반적측면 )
침해사고대응방안 ( 조직적측면 )
침해사고대응방안 ( 조직적측면 )
침해사고대응방안 ( 조직적측면 ) 1 단계솔루션개요및장점 2 3 4
잠재적보안위험성 PC 보안강화
Windows Operating Systems Over 96% of these Critical Windows vulnerabilities could be mitigated by the removal of admin rights. Internet Explorer 100% of these IE vulnerabilities could be mitigated by the removal of user admin rights.
http://usgcb.nist.gov/
결언 : Unmanaged to Managed 과도한음주, 흡연피하라 매일 30 분이상걷기 정기적인건강검진을받으라 "
감사합니다.