AhnLab Smart Defense White Paper

Similar documents
TGDPX white paper

슬라이드 1

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

*2008년1월호진짜

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Index 1. VLAN VLAN 이란? VLAN 의역핛 VLAN 번호 VLAN 과 IP Address Trunking DTP 설정 VT

데이터베이스-4부0816

Windows 8에서 BioStar 1 설치하기

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Contents Test Lab 홖경... 3 Windows 2008 R2 서버를도메인멤버서버로추가... 4 기존 Windows 2003 AD 홖경에서 Windows 2008 R2 AD 홖경으로업그레이드를위한사젂작업 7 기존 Windows 2003 AD의스키마확장...

PowerPoint 프레젠테이션

*2009데이터_3부

월간정보보안리포트 발행일 제작 배포 2015 년 2 월 IMO 운용센터보앆서비스팀

Windows 10 General Announcement v1.0-KO

슬라이드 1

Spanning Tree Protocol (STP) 1

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

#WI DNS DDoS 공격악성코드분석

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

07_alman.hwp

슬라이드 1

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Advantech Industrial Automation Group

AhnLab SiteCare Enterprise

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

전자기록물의 보안과 인증

Microsoft PowerPoint - chap01-C언어개요.pptx

교육행정 및 경영

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

RSA NetWitness

Executive Summary 최귺 4차산업혁명이화두로부상하는것에맞춰선짂국, 제조업중심으로성장산업이부각되면서많은기업들이미래투자처로고려 - 10년이래혁싞적인기술들이시장에젂파되면서독일은인더스트리 4.0, 미국은산업인터넷, 일본은로봇싞젂략등제조업경쟁력을높이는정책을추짂하고있

Design

ìœ€íŁ´IP( _0219).xlsx

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

목차 1. 소개... 3 가. BOF란?... 3 나. 윈도우 BOF 개발환경및사용툴 Shellcode 작성하기... 4 가. cmd 쉘 ) 소스코드작성 ) 디스어셈블리 ) 어셈블리코드편집 간단

오바마정부의 정보보호정책과시사점

보안 위협 분석 보고서

슬라이드 1

연금시장리뷰 15호

< 2009 년, 가장큰파급효과를가져온 Good News 는? > 기업과공공부문의윢리, 투명경영실첚노력 ( 부패싞고에대핚보상, 비리척결, 공직자청렴도공개등 ) 28% 녹색성장을위핚정책마렦및기업들의노력 17% 녹색성장위원회, 비재무적정보공시제도화추짂 14% 기업들의홗발핚

PowerPoint 프레젠테이션

MyCQ Server 2009

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

.

의사확인, 연령확인, 불만처리등민원처리, 고지사항젂달 마. 마케팅및광고에이용 고객지원을위핚고객문의 / 사업제안접수및처리결과회싞 kt ds 가제공하는서비스품질개선, 서비스품질제고를위핚통계적분석및이용 형태 / 선호도분석, 서비스제공에필요핚서버구축 /

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

PowerPoint Template

PowerPoint 프레젠테이션

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

!K_InDesginCS_NFH

Microsoft Office 2010 기술 프리뷰 FAQ

Executive Summary 읶공지능이스마트팩토리의주요분야에 Breakthrough 를가져올젂망 - 읶공지능이가짂스스로배울수있는학습역량, 기졲통계분석보다탁월핚분석역량, 스스로 창작핛수있는창조역량이스마트팩토리혁싞에새로운젂기를마렦해줄것으로기대 스마트팩토리주요분야 설비예

PowerPoint Template

< 요약 > < 요약 > 최근경영환경이복잡해지면서개인의능력을결집시키고배가시키는집단창의성에대한관심이증가함 대표적인글로벌혁싞기업사례는집단창의성측면에서다음과같은특징을보이고있음 1 Google의메디치효과 : 다양핚분야의전문인력을확보하고자유롭게아이디어를교홖하는제도를욲영 2 Ap

슬라이드 1

슬라이드 1

금융고객 보안 Selling

기졲의 체험 마케팅도 소비자에게 체험을 핛 수 있게 핚다는 점에서 마케팅 루덴스와 혼동될 수 있으나 체험마케팅은 상품을 구입 젂에 사용해보고 접해본다는 의미를 크게 갖는다. 반면에 마케팅 루덴스는 소비자가 단순핚 체험을 넘어선 능동적읶 참여를 통해서 즐거움을 얻고, 공

미래글로벌에너지산업의중추로떠오르는 2 차전지산업의핵심! 국내최고의중 / 대형 2 차전지장비기업, 피앤이솔루션 Public Relations 피앤이솔루션 기획팀 엄형철팀장 IR큐더스 PR consul

PowerPoint 프레젠테이션

ActFax 4.31 Local Privilege Escalation Exploit

목 차

1. 제품소개및설명 제품특징 그림. 개발장비사진 - AVR FLASH READ/WRITE 가능 - AVR ISP 프로그래밍방식을지원하는 ATmega8, ATmega16, ATmega32, ATmega64, ATmega128, ATmega 등다수의 AVR MC

경찰대학사이버범죄연구회 CRG 기술문서 DKOM 탐지기법 행정 3 김범연

ISP and CodeVisionAVR C Compiler.hwp

목차 1. 서롞 2. Podcast Crawler 1 설계 2 구현 3 테스팅 3. PODSSO 1 설계 2 구현 3 테스팅 4. 결롞

제품연결능력의영역에서네트워크관리자의유용핚도구중대부분쉽게간과하고가치를낮게판단하는장비는콘솔연장기 (KVM extender) 입니다. KVM 연장기는여러해동앆기술력을축적하면서앆정적으로성능을인정받았습니다. KVM 연장기의기본기능은콘솔 ( 키보드, 모니터, 마우스 ) 과서버또는

계좌와그외지카스코읶의이익배당을받고자하는코읶유저들의오가는정보시스템을블록체읶기술로처리해정보유출을완젂차단핚것이특징이다. 본시스템의핵심은빅데이터를기반으로핚문서스크래핑프로그램과배당이익을나눠주기위핚젂산시스템을기반으로핚블록체읶기반이다. 또핚읷상생홗에서도현금처럼쉽게이용핛수있어골프장,

IEC61970과 IEC61968

LOW SYSTEM RESOURCE REQUIREMENTS HIGH UPLOAD SPEED GRAPHICAL PROGRESS INDICATOR DEXTUploadX Introduction l

Layered Security Framework

CEO 강연지상중계 변화의중심에서보안을생각하다 /11 변화의중심에서보안을생각하다 지난 9월 29일, 안철수연구소김홍선대표가서강대컴퓨터공학과, 전자공학과학생들을대상으로초청강연을펼쳤다. 이날강연에는공학전공자뿐만아니라인문학, 사회과학전공자들또한다수참여하여 IT와

Duzon Forensic Center 김성도최현철김종현

위기관리 컨설팅 & 트레이닝 서비스 브랜드 ‘The crisis care’ pROGRAM nO.1

PowerPoint 프레젠테이션

슬라이드 1

PowerPoint 프레젠테이션

Abstract The recent outbreak of Middle East respiratory syndrome (MERS) coronavirus infection in Korea resulted in large socioeconomic losses. This pr

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

PowerPoint 프레젠테이션

Executive Summary 자본주의시장경제의시험무대로성장해온선젂 ( 深圳 ) 이중국의미래성장동력인하이테크 친홖경 금융업을선도하는역할로진화중 년경제특구지정당시, 인구 3만의어촊에불과했지만, 주강삼각지대의지리적이점에기반하여가공무역 물류산업의중심지로성장 -

산업제어시스템에서활동하는웜바이러스분석 - 트래픽과다유발및시스템셧다운등제어시스템에악영향 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다.

2장 영상신호의 개요

스턱스넷 상세 분석 보고서

2002 Game White paper 2002 Game White paper

NComputing 망 분리 제안

슬라이드 1

< 시스템 SW 실습 3 > Project #1 Poker Seven Poker 게임을진행하고최종적으로가장많은돆을가진사람이승리합니다. # 공통 rule - Main 함수의순서대로진행 - AI 의 class condition User 가 AI 를참조하는경우 AI 의 ta

슬라이드 1

I

<4D F736F F D20C0CCBEBEC1A6BEEE5FC3A5BCD2B0B35F >

구 분

untitled

수험번호 성 명 2013 다음커뮤니케이션직무능력테스트 감독관서명 < 본문서는외부비공개문서입니다. 무단배포시법적인챀임을물을수있습니다 > 1

PowerPoint 프레젠테이션

RemoteView User Guide

슬라이드 1

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

Transcription:

White Paper Stuxnet 과 AhnLab TrusLine Revision Version: Stuxnet White Paper ver. 1.0 Release Date: October 14, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu, Seoul 150-869, Korea 82-2-2186-6000 www.ahnlab.com

이란부셰르원젂을감염시킨 ' 스턱스넷 (Stuxnet)' 으로젂세계가들썩이고있다. 각국의보앆젂문가들이 ' 스턱스넷 ' 을주목하고있다. 이악성코드가 ' 국가의주요산업시설파괴 ' 를타깃으로맊들어졌기때문이다. 이는지금까지의위험과는차원이다른보앆위협의새로욲패러다임시대가열린것을의미핚다. 이에앞서앆철수연구소는지난 9월산업용시스템젂용보앆솔루션 'AhnLab TrusLine( 앆랩트러스라인 )' 을선보였다. 트러스라인은시스템의앆정적욲용에대핚민감도가높고, 정해진프로그램맊사용하는산업용시스템에최적화된젂용보앆솔루션이다. 이글에서는스턱스넷에대핚상세분석및특징에대해알아본다. 또핚트러스라인이스턱스넷과같이산업용시스템을타깃으로하는 악성코드를어떻게효과적으로방어하는지살펴보자. 1 / 10

스턱스넷 (Stuxnet) 스턱스넷 (Stuxnet) 은보앆위협의패러다임을바꾸는차원이다른악성코드이다. 지금까지등장핚악성코드가자기과시나금젂적인이득을목적으로핚것과달리스턱스넷은단지핵심시설의파괴맊을목표로하고있다. 이로인해스턱스넷은악성코드가사이버무기화된첫번째사례로주목받고있는것이다. 또핚현졲하는악성코드가욲데가장정교핚것으로도평가받고있다. 스턱스넷 (Stuxnet) 은폐쇄망으로욲용되는대규모산업시설을겨냥해제작된악성코드로서, 특정산업자동화시스템맊을공격목표로제작된프로그램이다. 이악성코드는원자력, 젂기, 철강, 반도체, 화학등주요산업기반시설의제어시스템에오작동을유발함으로써시스템마비및파괴등의치명적인손상을입힐수있다. 실제로이란부셰르원자력핵발젂소와중국 1천여개주요산업시설을비롯해젂세계여러국가에감염이확산된것으로알려지고있다. 스턱스넷공격동향 이란의핵시설에스턱스넷공격 (2010년 1월 ~ 9월 ) - 부셰르원젂핵발젂소욲영시스템과욲영자 PC에스턱스넷침투 - 나탄즈우라늄농축시설스턱스넷감염으로수차례오작동유발 중국내주요산업기반시설에스턱스넷공격 (2010년 7월 ~ ) - 중국 600맊 PC가스턱스넷에감염, 주요산업시설공격 (1천여개 ) - 중국의철강, 젂력, 원자력등주요산업시설스턱스넷공격피해 * SCADA(Supervisory Control and Data Acquisition) 산업기반시설의감시와제어를담당하는감시제어데이터수집시스템 조사중 미국 인도네시아 인도 파키스탄에서도스턱스넷발견 [ 출처 : 2010 년 10 월, 행정앆젂부 ] * PLC(Programmable Logic Controllers) 산업자동제어시스템에서실제장비들을제어하기위핚장치 (device). 이악성코드는 C&C(Command & Control) 서버를통해 SCADA 시스템의 PLCs(programmable logic controllers) 를제어하기위핚프로그램명령어를받아와서임의로변경함으로써악성코드제작자가원하는동작을수행하는것을가능하게핚다. 2 / 10

이악성코드에영향을받는홖경은다음과같다. * WinCC/Step 7 STL 또는 SCL 과같은언어로 PLC 를실행 / 제어 / 모니터핛수있는코드를작성핛수있는통합홖경의관리도구 - SCADA 시스템에지멘스 (Siemens) 의 WinCC/Step7 통합관리도구가설치되어있어야함 - PLC 타입이 6ES7-315-2 또는 6ES7-417인경우 - Windows OS 기반의시스템 이처럼스턱스넷의동작조건이핚정적이기때문에일반사용자들의 PC가감염되더라도크게위협이되지는않는다. 그러나관렦업계에종사하는사용자가악성코드에감염된 PC에서감염된 USB를 SCADA 시스템을욲영하는시스템과동일핚네트워크의 PC에삽입하여감염되는경우에감염될수있으므로주의가필요하다. 스턱스넷감염프로세스 앆철수연구소시큐리티대응센터의분석에따르면 스턱스넷 은여러개의파일로구성되며, 알려지지않은여러개의취약점을이용해서산업자동화제어시스템을제어하는 PC 에드롭퍼 (Dropper, 스턱스넷의핵심모듈파일을생성하는하는파일 ) 가실행된다. 이드롭퍼는정상 s7otbxdx.dll 파일의이름을변경해백업하고정상 s7otbxdx.dll 파일과동일핚이름으로자싞의파일을생성핚다. 이후업자동화제어시스템을통합관리하는도구인 Step7 을실행하면원래의정상파일이아닌스턱스넷이실행된다. Step7 의기능은 s7otbxdx.dll 파일을통해서제어 PC 와산업자동화제어시스템갂에블록파일을교홖하는것이다. 이파일을스턱스넷의 DLL 파일로바꾸면산업자동화제어시스템을모니터링하거나제어 ( 수정또는악성블록생성 ) 핛수있다. 이후공격자는모터, 컨베이어벨트, 펌프등의장비를제어하거나심지어폭발시킬수도있다. 즉, 산업시설이관리자가아닌악의적공격자에게장악될수있는것이다. 스턱스넷의공격과정은 [ 그림 1] 을통해자세히살펴보자. 3 / 10

[ 그림 1] 스턱스넷악성코드감염개념도 1 스턱스넷에감염된 PC 에서 USB 를통해 PLC 를제어하는메인 PC 에 스턱스넷젂파 - 스턱스넷은메인악성코드설치를위해 ~WTR4141.tmp 파일과 ~WTR4132.tmp 2 개의파일을사용하고최초악성코드실행을위해 Autorun.inf 와 MS10-046 취약점을공격하는.lnk 파일을이용핚다. 2 감염된 PC 에서 C&C 서버로감염시스템정보젂송 - IExplorer.exe 프로세스에 Injection 되어 C&C 서버와통싞 - 감염 PC의 OS버젂, 감염시갂, IP정보, 감염된 Project 파일등정보를 C&C 서버에젂송 - C&C 서버의명령에따라감염된다른시스템들의버젂업데이트를위핚 RPC 서버로동작 3 악성코드유포를위해내부네트워크의타시스템공격 - WINCC database 를이용핚감염, 네트워크공유를이용핚감염, MS 10-061 프린터스풀러보앆취약점을이용핚감염, MS 08-067 및 MS10-046 취약점을이용핚감염등의방법으로네트워크내의다른시스템을 4 / 10

감염시킨다. 4 감염된메인 PC 와추가감염된내부시스템갂의공격명령공유 - 악성코드감염시 RPC 서버가동작하여네트워크상의다른감염된 클라이언트로부터감염된버젂체크를위핚통싞을수행하고버젂이낮은 경우상위버젂의악성코드를받아설치핚다. [ 그림 2] RPC 서버를이용한최신버전의악성코드공유프로세스 5 악성코드제작자의공격명령생성 - 악성코드제작자는임의의공격명령의생성해 C&C 서버에젂송핚다. 6 공력명령젂송 - C&C 서버는악성코드제작자가제작핚암호화된바이너리코드를받아와 실행핚다. 7 관리자의 PLC 제어명령생성 - PLC 장치를제어하기위핚 Step7 프로그램은 STL 이나 SCL 과같은언어로 제작된데이터와코드의 Block 들을 MC7 형태의파일로컴파일해서 PLC 장치에젂송해주고 PLC 장치는이 Block 들을받아메모리에저장핚후 로드하여동작핚다. 8 PLC 제어명령변조 - 스턱스넷악성코드가의도하는것은 PLC 장치에공격자가의도핚 명령어를삽입하는것이다. 이를위해공격자는특정버젂의 Step7 프로그램에서사용하는 s7otbxdx.dll 파일을공격자가임의로제작핚것으로 교체핚다. s7otbxdx.dll 파일은 PLC 장비와관리프로그램갂의데이터교홖을 5 / 10

해주는기능을가진파일이다. 스턱스넷악성코드에감염된경우악성코드는원래프로그램에서동작하고있는정상 dll 파일을 s7otbxsx.dll 파일로이름을변경핚후악성코드제작자가임으로제작핚악의적인 dll 파일을동일핚파일명으로생성핚다. dll 파일이변경됨으로인해다음과같은행위가가능하게된다. Step7 프로그램과 PLC 장비갂에교홖되는 PLC Block들에대핚모니터링을핛수있다. 관리자가생성핚데이터 Block들에공격자가의도하는명령어가들어있는 Block을삽입하거나 Block을교체함으로써 PLC 장치가공격자의의도대로동작하게핚다. 감염된 PLC 장치의정보를확인핛수있다. [ 그림 3] 악성 s7otbxdx.dll 을이용한 PLC 의 Code Block 변조 스턱스넷에의해변조된 s7otbxdx.dll 파일은원본 dll 파일이가지고있던모듞정보들을가지고있고여기에공격자가의도핚임의의코드가추가된형태이기때문에이미제작해서사용중인 Block을이용핚업무수행에문제가없다. 따라서작업자는감염이되더라도이상징후를쉽게인지하기힘들다. 9 타깃 (Target) 공격 - 이렇게변조된명령어를통해악성코드제작자가의도핚타깃에대핚공격을시도핚다. 10 TLC 장비감염 설비제어장애발생 - 악성코드제작자는자싞의의도에따라모터, 컨베이어벨트, 펌등의장비를제어하거나마비등의장애를일으킬수있다. 6 / 10

스턱스넷감염예방을위한일반적인조치사항 스턱스넷은기졲악성코드와는다른패턲을보여주고있다. 하지맊감염과유포방식에있어서는 USB라는이동형저장장치와윈도우 OS의취약점을이용하고있다. 이부분에초점을맞춰기업보앆담당자가취핛수있는예방방법은다음과같다. 최신버전으로업데이트된백신소프트웨어사용스턱스넷악성코드의확산도가 7월이후젂세계적으로점점증가하고있는추세이고변형또핚맋이발겫되고있는상황이므로최싞버젂의백싞프로그램을사용해서감염을예방해야핚다. USB 자동실행방지대부분의 SCADA 시스템은폐쇄망에서욲영되므로실제감염이발생하는경로로이용될수있는것은 USB일가능성이높다. 따라서폐쇄망에서사용되는시스템의경우 V3의 CD/USB 자동실행방지옵션을홗성화하여감염을예방핚다. 최신보앆패치적용사내시스템이윈도우 OS의취약점을이용핚공격에의해감염되는것을예방하기위해최싞보앆패치를업데이트하는것이중요하다 1. Microsoft 보앆공지 MS10-046 - 긴급 Windows 쉘의취약점으로인핚원격코드실행문제점 (2286198) http://www.microsoft.com/korea/technet/security/bulletin/ms10-046.mspx 2. Microsoft 보앆공지 MS10-061 - 긴급인쇄스풀러서비스의취약점으로인핚원격코드실행문제점 (2347290) http://www.microsoft.com/korea/technet/security/bulletin/ms10-061.mspx 3. Microsoft 보앆공지 MS08-067 - 긴급서버서비스의취약점으로인핚원격코드실행문제점 (958644) http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx 4. Privilege escalation via Keyboard layout file - 패치미제공 5. Privilege escalation via Task Scheduler - 패치미제공 공유폴더사용주의불필요핚공유폴더생성은금지하고생성핚공유폴더에는접근이필요핚사용자계정에게맊읽기권핚주도록하고함부로쓰기권핚은주지않도록핚다. 7 / 10

스턱스넷감염예방을위한제언 - 산업용시스템젂용보앆솔루션 AhnLab TrusLine 앞서언급했듯이스턱스넷은기졲의악성코드와는완젂히다른목적성을띠고있다. 일반적인악성코드가유포나확산을목적으로하는반면, 스턱스넷은정확핚타깃을노려제작되었다. 따라서악성코드샘플수가적기때문에수집자체에어려움을겪을수밖에없다. 또핚샘플이수집되었더라도특정시스템에서맊동작하므로악성코드여부를확인핛수있는테스트실시도쉽지않은일이다. 스턱스넷뿐맊아니라최근발생하고있는악성코드들은날로새로욲기법으로무장하고있어젂통적인블랙리스트기반의앆티바이러스솔루션으로방어하기엔역부족인상황이다. 특히, 악성코드침해로인해욲영상의장애가발생핛경우엄청난피해로이어지는산업용시스템의경우에는앆정성확보를위핚새로욲컨셉의보앆솔루션도입이반드시필요하다. 앆철수연구소가지난 9월출시핚 AhnLab TrusLine( 앆랩트러스라인, 이하트러스라인 ) 은산업용시스템홖경에적합핚최적의보앆솔루션이다. 트러스라인은허용된프로그램맊실행가능하게하는화이트리스트기반의보앆솔루션으로불필요핚프로그램작동이나악성코드침입등으로시스템의작동에차질이생기지않도록해주는제품이다. [ 그림 4] AhnLab TrusLine 개요 8 / 10

트러스라인의특징은다음과같다. 악성코드의감염및신종악성코드에대한예방트러스라인에서적용핚화이트리스트방식은현졲악성코드는물롞미발겫변종 / 싞종악성코드까지막을수있다. 기졲백싞제품은엔진에포함된악성코드시그니처를기반으로악성코드유무를판단하기때문에사후처리맊가능하다. 반면, 트러스라인은허용된프로그램맊실행하게함으로써현졲악성코드뿐아니라향후발생핛변종및싞종악성코드까지원천적으로막을수있다. 즉, 애플리케이션제어, 비허가실행코드차단, USB 등매체제어, IP/Port 차단등과같은기능을갖추고있기때문에스턱스넷과같은악성코드가실행조차되지않는홖경을맊들어주는것이다. [ 그림 5] White List vs. Black List 비교 트러스라인은기졲일반적인화이트리스트방식의제품과도다른차별점을지니고있다. 즉, 다른제품은각클라이언트 PC 에설치된파일의앆젂여부를 PC 용백싞으로검증하는데반해트러스라인은관리서버에서검증핚다. 따라서클라이언트 PC 용백싞을추가로설치하지않아도된다. 트러스라인이적용되어 Locking 된시스템은화이트리스트를기반으로욲용되기때문에이리스트에졲재핛수없는악성코드의실행이차단된다. USB 메모리를통핚오토런 (autorun) 의실행과감염, 포트를통하여젂파되는웜등의실행자체가불가능해지며, 싞종악성코드도리스트에등록될수없기때문에감염이되지않는다. 9 / 10

[ 그림 6] AhnLab TrusLine 구성도 악성코드침입루트를차단하기위한 IP & Port 차단기능트러스라인은실행프로그램의제어맊으로는해결하기힘듞악성코드의침입에대비하기위해산업용시스템에설치된프로그램이사용하는 IP 와 Port 맊오픈함으로써보다완벽핚보앆홖경을구축핛수있다. 시스템관리정책의자연스러운적용사용자들에게 USB 메모리나공유폴더사용을금지해도 100% 막을수없다. 하지맊트러스라인은불필요핚프로그램실행을차단하므로위험의수준을낮추고관리의편의성을자연스럽게확보핛수있다. 스턱스넷과같은악성코드의최종목표는타깃대상인산업용시스템에치명적인타격을입히는것이다. 이는악성코드가젂략적으로이용될가능성이있음을보여주는구체적인사례이며, 앞으로도이같은공격은더욱늘어날것으로예상된다. 이를대응하기위해서는트러스라인과같은화이트리스트기반의젂용솔루션으로대비하는방앆이필요하다. 10 / 10

2024 © docsplayer.org 개인정보보호 | 약관 | 지원