5 212 Vol.5 May CONTENTS 2 page 1. 월간동향요약 1-1. 5월보안이슈 2 1-2. 주요보안권고 2 1-3. 침해사고통계분석요약 3 1-4. 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5 2-2. 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트 15 3-2. 허니넷유입악성코드 17 3-3. 허니넷유입유해트래픽 19 3-4. 국내인터넷망트래픽 24 26page 26 page 월간특집 국제침해사고대응팀협의회 (FIRST) 소개및가입절차 42 page 부록 : 용어정리
1-1 5 월보안이슈 국내금융기관 ( 은행 ) 웹사이트의파밍 (Pharming) 사례가발생하여이용자들의주의가요구됨 - PC 의 hosts 파일이변조되어정상적인은행홈페이지주소를입력해도해커가만든피싱사이트로접속되고, 보안승급신청화면을가장해주민등록번호, 이체비밀번호, 보안카드번호등금융정보를입력받아정보를유출한사고 파밍 (Pharming) : 해커가 DNS 서버나 PC 의호스트파일변조등을통해공격대상사이트 URL 을피싱사이트 IP 로변환시켜 브라우저에는이용자가입력한 URL 이표시되지만실제로는피싱사이트로연결되는침해사고 피싱사이트로의심될경우해당은행콜센터나한국인터넷진흥원 ( 118) 로상담및신고 한글 프로그램의취약점을악용한악성코드가메일을통해유포되어이용자들의주의가요구됨 - 한국정보보호학회 논문지투고규정 이라는제목의메일에첨부된 HWP 파일을취약점이있는 한글 버전에서열어볼경우악성코드에감염되어해커의조종을받는사례발생 - 한글 프로그램이용자들은보안업데이트를통해최신버전을유지하고, 메일의첨부파일은백신점검후열람권고 1-2 주요보안권고 MS 정기보안업데이트를포함하여, Adobe 社, Oracle 社제품관련취약점, PHP, ios, 국내공개웹게시판취약점등에대한보안업데이트를인터넷침해대응센터홈페이지를통해권고 ( 총 8 종 ) 구분영향받는대상취약점내용및대책 Microsoft - Windows XP, Vista, 7 - Windows Server 23, 28 - MS-Office 23, 27, 21, Mac 용 28, 211 - Visio Viewer 21 등 상세버전홈페이지참조 MS 정기보안업데이트 : [MS12-29]~[MS12-35] 총 7 종 ( 긴급 3, 중요 4) - MS Word 에서발생하는취약점으로인한원격코드실행문제 - TCP/IP 에서발생하는취약점으로인한권한상승문제 -.NET Framework 에서발생하는취약점으로인한원격코드실행문제등 영향받는버전의경우최신 MS 보안업데이트필요 국내공개용게시판 그누보드 4.34.26 및이전버전 익스프레스엔진 1.5.2.4 및이전버전 SQL Injection 취약점으로인한홈페이지데이터베이스계정정보유출가능문제 영향받는버전의경우업데이트가적용된상위버전으로업그레이드 - 다운로드 : http://sir.co.kr/bbs/board.php?bo_table=g4_pds 웹쉘코드삽입취약점및 Cross Site Scripting 취약점등으로인한권한획득으로웹서버 원격제어, 홈페이지변조, 데이터베이스정보유출등의피해발생가능 영향받는버전의경우업데이트가적용된상위버전으로업그레이드 - 다운로드 : http://www.xpressengine.com/download Adobe - 윈도우, 리눅스, 매킨토시등환경 Flash Player 11.2.22.233 및이전버전 - 안드로이드 4.x 환경 Flash Player 11.1.115.7 및이전버전 - 안드로이드 3.x, 2.x 환경 Flash Player 11.1.111.8 및이전버전 이용자가특수하게조작된플래시파일을 Adobe Flash Player 를통해실행할때발생하는 취약점으로인해악성코드감염가능 영향받는버전의경우최신버전으로업데이트필요 - 다운로드 :(http://get.adobe.com/kr/flashplayer/ 업데이트버전설치또는 [ 메뉴 ] [ 도움말 ] [ 업데이트확인 ] 이용업그레이드 자세한내용은인터넷침해대응센터홈페이지 (http://www.krcert.or.kr/ 보안정보 보안공지 ) 참조
1-3 침해사고통계분석요약 월별침해사고접수처리통계 구분 211 년총계 212 년 1 2 3 4 5 6 7 8 9 1 11 12 합계 악성코드피해신고 21,751 1,443 1,186 1,685 2,164 2,138 8,616 해킹사고접수처리 11,69 1,51 1,21 1,72 1,419 1,534 7,375 스팸릴레이 3,727 429 395 474 621 693 2,612 피싱경유지 단순침입시도 365 2,961 36 22 37 184 38 159 39 16 37 26 187 857 기타해킹 2,783 233 37 415 515 488 1,958 홈페이지변조 1,854 61 287 616 138 11 1,761 악성봇 (Bot) 감염율.52%.6%.6%.6%.7%.7%.64% 전월대비증감추이 이달의악성코드피해신고건수는총 2,138 건으로전월 (2,164 건 ) 대비 1.2% 감소하였으며, 주요악성코드로는이달에도게임계정탈취목적의 OnlineGameHack(42.2%) 이가장많은비율을보임 이달의해킹사고접수처리건수는총 1,534 건으로전월 (1,419 건 ) 대비 8.1% 증가하였으며, 유형별로는단순침입시도 (94.3%) 와스팸릴레이 (11.6%) 등이증가한반면홈페이지변조 (2.3%), 기타해킹 (5.2%) 등은감소함 구분 금월 전월대비증감추이 악성코드피해신고 2,138 건 전월 2,164건대비 1.2% 감소 해킹사고접수처리 1,534 건 전월 1,419건대비 8.1% 증가 스팸릴레이 693 건 전월 621건대비 11.6% 증가 피싱경유지 37 건 전월 39건대비 5.1% 감소 단순침입시도 26 건 전월 16건대비 94.3% 증가 기타해킹 448 건 전월 515건대비 5.2% 감소 홈페이지변조 11 건 전월 138건대비 2.3% 감소 악성봇 (Bot) 감염율.7% 전월 (.7%) 과동일 악성봇감염율 : 전세계악성봇감염추정 IP 대비국내감염추정 IP 의비율 3,5 3, 2,5 2, 1,5 1, 5 212년 211년 212년 211년 1,8 1,6 1,4 1,2 1, 8 6 4 2 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 < 악성코드피해신고접수건수 > < 해킹사고접수처리건수 > [ 그림 1 ] 월별침해사고전체통계그래프
1-4 침해사고위협분석요약 악성코드은닉사이트 이달에탐지조치한악성코드은닉사이트는총 436 건으로, 전월 (912 건 ) 대비 52.2%(476 건 ) 감소하였음 - 악성코드가은닉된홈페이지를기관유형별로분류해보면기업이 294 건 (67.4%) 으로가장많았고, 웹서버유형별로는 MS IIS 가 23 건 (52.8%) 으로가장많은비중을차지함 구분 은닉사이트탐지조치건수 211 년총계 212 년 1 2 3 4 5 6 7 8 9 1 11 12 11,85 27 433 387 912 436 2,375 합계 허니넷유입악성코드 KISA 허니넷으로유입된전체악성코드샘플은전월대비 38.1% 증가하였고, 악성코드별로는 Starman(62.5%) 계열이가장많았으며, Virut(16.8%), Allaple(2.5%) 등의순으로나타남 신규수집된악성코드의유포국가별로는미국 (2.9%) 이가장많은비중을차지했고, 대만 (6.6%), 일본 (5.%) 등의순으로나타났으며, 폴란드 (3.3%), 이탈리아 (3.%) 등이신규로상위에등장함 허니넷유입유해트래픽 KISA 허니넷에유입된전체유해트래픽은약 525 만건으로전월 (819 만건 ) 에비해 35.9% 감소하였고, 해외 IP 로부터유발된트래픽이 92.% 로대부분을차지함 해외로부터 KISA 허니넷에유입된유해트래픽은중국 (51.4%) 에서유발된 TCP/1433 포트스캔이가장많은비중을차지함 국내인터넷망트래픽 국내 ISP 일부구간에서수집된포트별트래픽양은전월보다소폭증가하였고, TCP/8 을제외하면 UDP/22, UDP/53, TCP/88, TCP/443 포트등에서상대적으로많은트래픽이발생한것으로나타남 국내 ISP 일부구간에서수집된공격유형별트래픽을살펴보면, 목적지포트가열려있는지알아보기위한 ACK Port Scan 과 DoS 공격트래픽인 Open Tear 트래픽이상대적으로많이발생한것으로나타남
2-1 악성코드피해신고통계분석 악성코드피해신고현황 5 월한달간국내주요백신업체로접수된악성코드피해신고건수는총 2,138 건으로전월 (2,164 건 ) 대비 26 건 (1.2%) 감소한것으로나타났다. 구분 212 년 211 년 [ 표 1 ] 월별국내악성코드피해신고건수 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 1,443 1,186 1,685 2,164 2,138 8,616 2,92 1,847 1,566 2,335 1,786 1,763 1,912 1,695 1,724 1,99 1,263 1,841 21,751 악성코드피해신고건수는국내주요백신업체로신고접수된건수임 3,5 3, 2,92 212 년 211 년 2,5 2,335 2, 1,5 1,443 1,847 2,164 2,138 1,786 1,685 1,566 1,763 1,912 1,695 1,724 1,263 1,841 1, 1,186 1,99 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 2 ] 국내악성코드피해신고추이 주요악성코드 신고된주요악성코드를살펴보면, 이달에도게임계정탈취목적의 OnlineGameHack(93 건 ) 으로가장많았고, DDoS 공격등에이용되는 Agent(23 건 ) 가그뒤를이었다. - 전월상위에올랐던악성코드들중 Agent 가 77 건증가한것을제외하면, OnlineGameHack, AVKiller, Rootkit 등상위의다른악성코드들은전체적으로감소함 한편, 키보드입력값을유출하기위한트로이목마나키로거유형의악성코드 (CSON, Jorik 등 ) 들이전월대비증가하며상위에올라개인 PC 이용자들의주의가요구된다.
이달에피해신고된악성코드의비율로살펴보면, OnlineGameHack(42.2%), Agent(9.5%), CSON(2.4%), Rootkit(2.%), Jorik(1.9%) 등의순으로나타났다. - OnlineGameHack 은전월 (43.4%) 과비슷한수준을보였고 Agnet 는전월 (5.8%) 보다 3.7% 증가하였으나, 그밖에는다양한악성코드들이소규모로많이신고접수되었음 순위 1 2 3 4 5 6 7 8 9 1 합계 명칭 OnlineGameHack Agent CSON Rootkit Jorik AVKiller Injectior Banker Patched KORAD 기타 건수 93 23 52 42 41 41 37 35 33 32 719 2,138 42.% OnlineGameHack Agent CSON Rootkit Jorik 기타 9.5% 1.9% 2.% 2.4% 42.2% [ 그림 3 ] 피해신고된주요악성코드별비율 최근 6 개월간주요악성코드의증감추이를살펴보면, 증가추세를보이던 OnlineGameHack 유형이이달들어감소하였고, Agent 유형은소폭증가추세를보였다. - 한편 CSON, Jorik 등은지난 2 월부터소폭의증가추세가지속되면서이달에는상위에올랐으나상대적으로건수가적어비슷한수준을보임 1, 9 8 7 6 5 4 3 2 1 OnlineGameHack Agent Jorik CSON Rootkit 12 월 12 년 1 월 2 월 3 월 4 월 5 월 [ 그림 4 ] 최근 6 개월간주요악성코드신고건추이
2-2 해킹사고접수처리통계분석 해킹사고접수 처리현황 5 월한달간접수 처리한해킹사고건수는총 1,534 건으로, 전월 (1,419 건 ) 대비 115 건 (8.1%) 증가한것으로나타났다. 구분 212 년 211 년 표 2 월별해킹사고접수 처리현황 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월합계 1,51 1,21 1,72 1,419 1,534 1,25 854 1,2 999 1,61 957 956 1,115 897 793 94 1,91 7,375 11,69 2, 212 년 211 년 1,5 1, 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 5 ] 해킹사고접수 처리증감추이 해킹사고를유형별로분류해보면, 스팸릴레이 (693 건 ) 가가장많은건수를차지했고기타해킹 (488 건 ), 단순침입시도 (26 건 ) 등의순으로나타났다. - 전월대비단순침입시도 (94.3%), 스팸릴레이 (11.6%) 유형은증가했고, 홈페이지변조 (2.3%), 기타해킹 (5.2%), 피싱경유지 (5.1%) 등은감소함 [ 표 3 ] 해킹사고유형별접수 처리현황 구분 211 년총계 212년 1 2 3 4 5 6 7 8 9 1 11 12 합계 스팸릴레이 3,727 429 395 474 621 693 2,612 피싱경유지 365 36 37 38 39 37 187 단순침입시도 2,961 22 184 159 16 26 857 기타해킹 2,783 233 37 415 515 488 1,958 홈페이지변조 1,854 61 287 616 138 11 1,761 합계 11,69 1,51 1,21 1,72 1,419 1,534 7,375 피싱경유지 : KISA가국외의침해사고대응기관이나사칭대상이된기관, 일반사용자로부터신고받아접수 처리한건수로써실제피싱사고건수가아니라보안이취약한국내시스템이경유지로악용된건수 단순침입시도 : KISA에서접수 처리한해킹신고중악성코드등으로유발된스캔 ( 침입시도 ) 을신고한건수 기타해킹 : KISA에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지건수
유형별증감추이를살펴보면, 스팸릴레이유형은최근증가추세가계속되고있으며, 홈페이지변조유형은큰폭의증감을반복해오다이달에는소폭감소하는데그쳤다. - 그밖에증가추세를이어오던기타해킹유형은이달들어소폭감소하였고, 감소추세가지속되던단순침입시도유형은이달들어소폭증가함 7 65 6 55 5 45 4 35 3 25 2 15 1 5 스팸릴레이피싱경유지단순침입시도기타해킹홈페이지변조 6월 7월 8월 9월 1월 11월 12월 12년 1월 2월 3 월 4 월 5 월 [ 그림 6 ] 해킹사고유형별증감추이 - 유형별비율을살펴보면, 스팸릴레이 (45.2%) 가가장많은비중을차지했고, 기타해킹 (31.8%), 단순침입시도 (13.4%), 홈페이지변조 (7.2%), 피싱경유지 (2.4%) 등의순으로집계됨 7.2% 구분스팸릴레이피싱경유지단순침입시도기타해킹홈페이지변조합계 건수 693 37 26 488 11 1,534 31.8% 스팸릴레이피싱경유지단순침입시도기타해킹홈페이지변조 45.2% 13.4% 2.4% [ 그림 7 ] 해킹사고유형별비율
피해기관별분류 피해기관유형별로분류해보면이달에도개인유형이 1,37 건으로가장많았으며전월 (921 건 ) 대비 12.6% 증가했고, 기업유형은 487 건으로전월 (479 건 ) 대비 1.7% 증가한반면, 대학, 비영리, 네트워크등다른유형들은모두감소한것으로나타났다. [ 표 4 ] 해킹사고피해기관별분류 구분 211년총계 212년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 개인 7,932 673 73 887 921 1,37 4,221 기업 3,575 646 458 748 479 487 2,818 대학 13 2 4 4 4 3 17 비영리 79 147 1 45 11 7 22 연구소 1 1 1 네트워크 - 41 35 18 4 98 합계 11,69 1,51 1,21 1,72 1,419 1,534 7,375 기관분류기준 : 침해사고관련도메인이나 IP 를기준으로기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (net), 개인 (pe 또는 ISP 에서제공하는유동 IP 사용자 ) 으로분류 피해기관유형별비율을살펴보면, 개인 (67.6%), 기업 (31.7%) 이신고건수의 97.3% 로대부분을차지했고, 그밖에비영리 (.5%), 대학 (.2%) 등의순으로나타났다..2%.5% 구분개인기업대학비영리연구소네트워크합계 건수 1,37 487 3 7 1,534 31.7% 개인기업대학비영리연구소네트워크 67.6% [ 그림 8 ] 해킹사고피해기관유형별비율
운영체제별분류 접수처리한해킹사고관련시스템들의운영체제를분류해보면, 이달에도윈도우운영체제가 859 건으로가장많았고전월 (785 건 ) 대비 9.4% 증가하였고, 리눅스운영체제도 191 건으로전월 (176 건 ) 대비 8.5% 증가한것으로나타났다. [ 표 5 ] 해킹사고피해시스템의운영체제별분류 구분 211년 212년총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 Windows Linux Unix 기타합계 7,731 1,631 13 2,315 11,69 712 493 6 299 1,51 643 175 392 1,21 875 346 481 1,72 785 176 458 1,419 859 191 484 1,534 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 합계 3,874 1,381 6 2,114 7,375 운영체제별비율을살펴보면, 윈도우운영체제는 56.% 로전월대비.7% 증가하였고, 리눅스운영체제는 12.5% 로전월대비.1% 증가하는데그쳐전월과유사한비율을보였다. 구분 Windows Linux Unix 기타합계 건수 859 191 484 1,534 31.6% Windows Linux Unix 기타 56.% 12.5% [ 그림 9 ] 해킹사고피해시스템운영체제별비율 1
피싱경유지접수처리현황 5 월한달간피싱경유지접수처리건수는총 37 건으로, 전월대비 2 건 (5.1%) 감소한것으로나타났다. 구분 피싱경유지접수처리건수 [ 표 6 ] 피싱경유지접수처리건수 211년 212년 총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 365 36 37 38 39 37 합계 187 피싱 (Phishing) 경유지접수처리건수는보안이취약한국내시스템이해킹을당하여, 해외유명기관등을사칭한홈페이지로 악용된사고를 KISA 가신고받아조치한건수임 6 212 년 211 년 5 4 3 2 3 36 37 25 38 38 39 24 37 29 22 31 39 36 38 26 27 1 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 1 ] 피싱경유지접수처리건수추이 피싱대상기관유형별로분류해보면, 금융기관 3 건 (83.3%) 로가장많았고, 기타 5 건 (13.9%), 전자상거래 1 건 (2.8%) 순으로나타났다. 16.2% 기관유형금융기관전자상거래기타합계 건수 3 1 6 37 2.7% 금융전자상거래기타 81.1% [ 그림 11 ] 피상대상기관유형별비율 11
피싱대상기관별로살펴보면금융기관유형에는 PayPal, WellsFargo, Bank of America 등이해당되었고, 전자상거래기관유형에는 ebay, 기타에는검색포털유형의 Yahoo 등이포함된것으로나타났다. 피싱대상기관및신고건수를국가별로분류한결과, 총 1 개국 19 개기관으로집계되었고, 미국 (6 개기관, 19 건 ), 영국 (5 개기관, 7 건 ) 등이대부분을차지했다. - 그밖에브라질 (2 개기관, 2 건 ), 남아프리카공화국 (1 개기관, 3 건 ), 이탈리아 (1 개기관, 2 건 ) 등이해당되었고, 기타에는말레이시아, 스페인, 일본, 홍콩등이해당됨 3 미국브라질영국스페인이탈리아 국가 기관수 신고건수 25 미국 6 19 2 영국브라질 5 2 7 2 15 남아프리카공화국이탈리아 1 1 3 2 1 기타 4 4 5 합계 19 37 6 월 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2월 3월 4월 5월 [ 그림 12 ] 피싱대상기관소속주요국가별추이 피싱경유지로이용된국내사이트들을기관유형별로분류해보면, 기업이 24 건 (64.9%) 으로가장많은비중을차지했고, 교육 1 건 (2.7%), 비영리 1 건 (2.7%), 개인 / 기타 1 건 (2.7%) 순으로집계되었다. 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우인 ISP 서비스이용자 유형은 1 건 (27.%) 으로나타났다. 27.% 구분기업교육비영리개인 / 기타 ISP서비스이용자 건수 24 1 1 1 1 2.7% 2.7% 2.7% 기업교육비영리개인 / 기타 ISP 서비스이용자 64.9% 합계 37 [ 그림 13 ] 피상대상기관유형별비율 12
홈페이지변조사고처리현황 이달에는총 11 개의홈페이지에서변조사고가발생하여전월 (138 개 ) 대비 2.3% 감소한것으로나타났으나, 피해시스템은총 28 개로전월 (21 개 ) 보다 33.3% 증가하였다. 구분 피해홈페이지 피해시스템 211 년 총계 1,854 57 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해 홈페이지수는피해시스템수보다많음 [ 표 7 ] 홈페이지변조사고처리현황 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 61 38 287 13 616 79 138 21 11 28 212 년 - 연초 (1 월,3 월 ) 에는단일시스템의여러홈페이지가한꺼번에변조되는대량홈페이지변조사고가다수발생하면서크게증가했으나, 4 월부터는대량홈페이지변조사고가줄면서피해홈페이지는감소추세를보이고있음 합계 1,761 539 7 212 년 211 년 6 5 4 3 2 1 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 14 ] 홈페이지변조사고추이 피해시스템의운영체제를분류해보면, Linux 유형이 15 건 (53.6%) 으로가장많았고, Win23 유형은 11 건 (39.3%), Win2 유형은 2 건 (7.1%) 씩으로집계되었다. 운영체제 Linux Win 2 Win 23 건수 15 2 11 39.3% Linux Win 2 Win 23 53.6% 합계 28 7.1% [ 그림 15 ] 피해시스템운영체제별비율 운영체제의안정성과는상관관계가없으며, 홈페이지변조사고건의처리결과따른통계수치임 13
악성봇 (Bot) 현황 5 월한달간전세계악성봇감염추정 IP 중국내봇감염 IP 의비율은약.7% 로전월과동일하게나타났다. [ 표 8 ] 국내악성봇 (Bot) 감염률 211년 212년구분총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월국내비율.5%.6%.6%.6%.7%.7% 전세계악성봇감염추정 IP 중국내악성봇감염 IP가차지하는비율이며웹사이트를통한전파는제외됨 합계.64% 5 월평균국내악성봇감염 IP 수는전월대비 9.9% 감소하였다. - 악성봇전파에사용된주요포트를살펴보면, TCP/1433 포트 (62.5%) 가대부분을차지했고, TCP/139 포트 (14.5%), TCP/445(1.6%) 등의순으로나타남 6, 5, 4, 3, 2, 국내월평균 1.6% 14.5% 6.2% 6.2% 1433 445 139 23 기타 62.5% 1, 6 월 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 [ 그림 16 ] 국내악성봇감염 IP 추이및포트별비율 5 월평균국외악성봇감염 IP 수는전월대비 8.3% 감소하였고, 국외의경우에도국내와유사한추이를보이고있다. - 악성봇전파에사용된주요포트를살펴보면, TCP/1433 포트 (6.3%) 가가장많은비중을차지했고, TCP/445(2.3%), TCP/8(6.6%) 등의순으로나타남 8, 7, 6, 국외월평균 6.6% 5.% 7.8% 5, 4, 3, 2.3% 1433 445 139 23 기타 6.3% 2, 1, 6 월 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 [ 그림 17 ] 국외악성봇감염 IP 추이및포트별비율 14
3-1 악성코드은닉사이트 악성코드은닉사이트탐지 조치현황 5 월한달동안탐지하여대응한악성코드은닉사이트는총 436 건으로, 전월 (912 건 ) 대비 52.2%(476 건 ) 감소하였다. - 악성코드유포사이트수는전월대비 57.5%(2 건 85 건 ) 감소하였고, 경유사이트수는전월대비 5.7%(712 건 351 건 ) 감소한것으로나타남 [ 표 9 ] 악성코드은닉사이트탐지 조치현황 구분 211년총계 212년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 유포지 1,433 53 68 18 2 85 514 경유지 1,372 154 365 279 712 351 1,861 합계 11,85 27 433 387 912 436 2,375 유포지 : 악성코드를유포하는웹사이트 경유지 : 방문시유포지로연결시키는웹사이트 악성코드은닉사이트 : 악성코드유포지와경유지를통칭 - 악성코드은닉사이트의월별추이를살펴보면, 연초부터증가추세를이어오다이달들어감소함 2,5 212 년 211 년 2, 1,5 1, 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 18 ] 악성코드유포지 / 경유지추이 - 악성코드유포에악용되는웹사이트가증가하고있는만큼각기관 ( 기업 ) 의웹서버관리자는보안강화를위해사전점검및보안도구 ( 휘슬, 캐슬등 ) 적용등적절한보안관리가요구됨 참고사이트 홈페이지개발자 / 관리자를위한보안도구사이트 : http://toolbox.krcert.or.kr/ - 휘슬 (WHISTL) : 웹쉘및악성코드은닉사이트탐지프로그램 - 캐슬 (CASTLE) : 홈페이지의보안성을강화하는웹방화벽프로그램 정보보호시스템관리를위한안내서. 해설서 http://www.kisa.or.kr/ 자료실 관계법령 안내서. 해설서 정보보호시스템관리 ( 웹서버구축보안점검안내서, 웹어플리케이션보안안내서, 홈페이지개발보안안내서등제공 ) 15
기관유형 웹서버별분류 피해사이트를기관유형별로분류해보면, 기업 (294 건 ) 이가장많았고, 기타 (91 건 ), 비영리 (37 건 ), 네트워크 (1 건 ) 등의순으로나타났다. - 기관유형별비율로는이달에도기업 (67.4%) 이가장많은비중을차지했고, 기타 (2.9%), 비영리 (8.5%), 네트워크 (2.3%) 등의순으로나타남 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe, 국외유포지등 ) 구분기업대학비영리연구소네트워크기타합계 건수 294 3 37 1 1 91 436 2.3%.2% 8.5%.7% 2.9% 기업대학비영리연구소네트워크기타 67.4% [ 그림 19 ] 악성코드유포지 / 경유지피해사이트기관별분류 악성코드유포및경유지로악용된사이트를웹서버별로분류해본결과, MS IIS 웹서버가 23 건 (52.8%), Apache 웹서버가 98 건 (22.5%), 그밖에기타유형이 18 건 (24.8%) 으로집계되었다. 24.8% 구분 MS IIS Apache 기타합계 건수 23 98 18 436 MS IIS Apache 기타 52.8% 22.5% [ 그림 2 ] 악성코드유포지 / 경유지웹서버별분류 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미폐쇄되어웹서버를파악하기어려운경우도기타에포함시켰음 16
3-2 허니넷유입악성코드 허니넷유입악성코드추이및유형별분류 5 월한달간 KISA 허니넷으로유입된전체악성코드샘플수는전월대비 38.1% 증가했고, 지난해 9 월이후증감을반복하는추세가지속되고있다. - 전월대비 Starman, Virut 등많은건수를차지하는유형들이증가하면서전체건수증가로이어짐 8, 7, 월별전체수집 월별신규수집 6, 5, 4, 3, 2, 1, 6 월 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 [ 그림 21 ] 월별수집샘플증감추이 2 월 3 월 4 월 5 월 수집된악성코드샘플은윈도우보안취약점을통해네트워크로자동전파되는유형으로, 이메일이나웹사이트를통해전파되는 악성코드의추이와는다를수있음 악성코드별비율을살펴보면, Starman 계열 (62.5%) 로가장많은비중을차지했고, Virut 계열 (16.8%), Allaple 계열 (2.5%), IRCBot(.7%) 등의순으로나타났다. 17.5% Virut : 윈도우실행파일을감염시키며변종의경우네트워크의트래픽을유발시키는악성코드.7% 16.8% Starman Allaple Virut IRCBot other 62.5% Starman : 사용자정보유출등악의적인기능을수행할수있으며네트워크의트래픽을유발시키는악성코드 Allaple : 시스템내의 *.HTM, *.HTML 파일을감염시키고, 백도어역할수행으로공격자가원격제어할수있는악성코드 2.5% [ 그림 22 ] 신규수집된악성코드비율 IRCBot : 특정 IRC 채널에접속시도하며트로이목마를 다운받고, 네트워크트래픽과부하, 속도저하를유발 시키는악성코드 17
수집된주요악성코드별증감추이를살펴보면, 최근 12 개월간 Starman 계열이전체적으로가장많이수집되고있는가운데, Virut 계열이전년도하반기부터주기적으로증감을반복하는형태를보이고있다. - Virut 계열의악성코드가다량수집되는달에는 Starman 계열이상대적으로크게감소하며지난해 4 월과 9 월, 올해 2 월에는 Virut 계열이가장많은건수를기록함 4, Starman Allaple Viruit IRCBot MyDoom 35, 3, 25, 2, 15, 1, 5, 6 월 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 [ 그림 23 ] 악성코드신규건수집추이 2 월 3 월 4 월 5 월 이달에신규수집된악성코드의유포국가별비율을살펴보면, 전월에이어미국 (2.9%), 대만 (6.6%) 등이지속적으로상위권을유지했다. - 그밖에일본, 폴란드, 이탈리아등은이달에새로등장했으며, 다양한국가들로부터악성코드가수집되면서기타비율이높아짐 2.9% 61.2% 미국대만일본폴란드이탈리아기타 6.6% 5.% 3.3% 3.% [ 그림 24 ] 신규악성코드유포국가별비율 18
3-3 허니넷유입유해트래픽 허니넷유입유해트래픽추이 5 월한달동안 KISA 허니넷으로유입된전체유해트래픽은약 525 만건으로전월 (819 만건 ) 대비 35.9% 감소하였다. ( 단위 : 만건 ) 9 전체해외국내 8 7 6 5 4 3 2 1 6 월 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 [ 그림 25 ] 허니넷유입유해트래픽추이 2 월 3 월 4 월 5 월 KISA 허니넷에유입되는트래픽은악성코드, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많음 유해트래픽을유발한 IP 를해외 / 국내소재별로분류한결과, 해외소재 IP 로부터의트래픽은약 92.%, 국내소재 IP 로부터유발된트래픽은약 8.% 로전월에비해국외비율이 3.5% 감소한것으로나타났다. 8.% 국내 IP 유발국외 IP 유발 92.% [ 그림 26 ] 유해트래픽유발 IP 의국내외비율 19
주요국가별공격유형 해외로부터 KISA 허니넷에유입된트래픽을근원지 IP 소재국가별로분석한결과중국으로부터유입된트래픽이 51.4% 로가장많았으며다음으로미국 (2.6%), 루마니아 (3.9%) 순이었다. - 중국으로부터유입된트래픽은 TCP/1433(45.5%) 이가장많았고, 미국으로부터유입된트래픽은 Ping Sweep(26.6%) 이가장많은비중을차지함 Romania China U.S.A [ 그림 27 ] 허니넷유입트래픽 TOP3 국가별공격유형 4.9% 9.9% 21.7% TCP/1433 - tcp service scan TCP/336 - tcp service scan TCP/3389 - tcp service scan TCP/22 - tcp service scan 기타 18.% 중국 China 45.5% 21.6% 26.6% 36.5% 49.8% 미국 16.2% 루마니아 U.S.A 1.4% Romania 7.% 1.9% 14.8% 6.2% Ping Sweep TCP/445 - tcp service scan TCP/4899 - tcp service scan TCP/1433 - tcp service scan 기타 Ping Sweep TCP/22 - tcp service scan TCP/445 - tcp service scan TCP/139 - tcp service scan 기타 2
해외로부터 KISA 허니넷으로유입된트래픽의근원지 IP 의국가를살펴보면, 중국 (51.4%) 로가장많은비중을차지하며전월대비 1.9% 증가하였고, 미국 (2.6%) 은전월대비 5% 감소한것으로분석되었다. - 그밖에국가로는루마니아 (3.9%), 대만 (3.%), 독일 (2.%) 등의순이며, 기타에는일본, 캐나다, 러시아, 브라질등이해당 순위 1 2 3 4 5 6 국가명중국미국루마니아대만독일기타합계 비율 51.4% 2.6% 3.9% 3.% 2.% 19.1% 1% 2.% 3.% 3.9% 19.1% 2.6% 중국미국루마니아대만독일기타 51.4% [ 그림 28 ] 허니넷에유입된유해트래픽의국가별비율 주요국가별추이를살펴보면, 중국이차지하는비율은최근 6 개월간비슷한비율을보였고, 그밖의다른국가들도상대적으로증감의변화없이비슷한수준을보이고있다. 8% 중국미국대만러시아일본 7% 6% 5% 4% 3% 2% 1% % 6 월 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 [ 그림 29 ] 허니넷에유입된유해트래픽의국가별추이 21
해외 국내 이달에해외로부터 KISA 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/1433 포트에대한서비스스캔이 27.% 로가장많았고, ICMP(14.4%), TCP/336(1.%) 등의순으로나타났다. 순위 1 2 3 4 5 6 포트 TCP/1433 ICMP TCP/336 TCP/445 TCP/3389 기타합계 비율 27.% 14.4% 1.% 9.1% 6.7% 32.8% 1% 32.8% 6.7% TCP/1433 - tcp service scan ICMP PingSweep TCP/336- tcp service scan TCP/445 - tcp service scan TCP/3389- tcp service scan 기타 27.% 14.4% 9.1% 1.% [ 그림 3 ] 해외 국내 ( 허니넷 ) 공격유형별비율 공격유형별추이를보면, 가장많은비중을차지하는 TCP/1433 포트에대한서비스스캔은감소한반면, ICMP Ping Sweep 은전월대비증가하였다. - 주요포트별증감추이를살펴보면, ICMP(4.9%), TCP/336(5.6%) 등은증가했고, TCP/1433(2.8%), TCP/445(1.8%) 등은감소함 45% TCP/1433 - tcp service scan ICMP PingSweep TCP/336- tcp service scan TCP/445 - tcp service scan TCP/3389 tcp service scan 4% 35% 3% 25% 2% 15% 1% 5% % 6 월 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 [ 그림 31 ] 해외 국내 ( 허니넷 ) 공격유형별증감추이 22
국내 국내 국내에서 KISA 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, ICMP 를통한서비스스캔이 25.6% 로가장많았고, TCP/139(22.8%), TCP/1433(22.2%) 등의순으로나타났다. 16.6% 순위 1 2 3 4 5 1 국가명 ICMP TCP/139 TCP/1433 TCP/3389 TCP/445 기타합계 비율 25.6% 22.8% 22.2% 8.9% 3.9% 16.6% 1% 3.9% 8.9% 22.2% ICMP Ping Sweep TCP/139 - tcp service scan TCP/1433 - tcp service scan TCP/3389 - tcp service scan TCP/445 - tcp service scan 기타 25.6% 22.8% [ 그림 32 ] 국내 국내 ( 허니넷 ) 공격유형별비율 주요포트별증감추이를살펴보면, ICMP, TCP/139 에대한스캔공격은증가추세를보였고, TCP/1433 포트와 TCP/3389 포트는감소추세를보였다. - 주요포트별증감추이를살펴보면 ICMP Ping Sweep(7.6%), TCP/139(4.9%) 증가한반면, TCP/3389, TCP/445 포트등은감소함 45% TCP/139-tcp service scan TCP/3389-tcp service scan TCP/445-tcp service scan 4% 35% 3% 25% 2% 15% 1% 5% % 6 월 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 [ 그림 33 ] 국내 국내 ( 허니넷 ) 공격유형별증감추이 23
3-4 국내인터넷망트래픽분석 프로토콜및포트추이분석 국내 ISP 의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의포트별추이를파악한결과, TCP/8(HTTP) 트래픽이가장많았고, UDP/22, UDP/53, TCP/443 등이주로관찰되었다. 7,, 6,, 5,, TCP/8 UDP/22 UDP/53 TCP/443 TCP/88 4,, 3,, 2,, 1,, 21251 21252 21253 21254 21255 21256 21257 21258 21259 21251 212511 212512 212513 212514 212515 212516 212517 212518 212519 21252 212521 212522 212523 212524 212525 212526 212527 212528 212529 21253 212531 [ 그림 34 ] 국내인터넷망에유입된포트별트래픽일자별추이 수집된트래픽중 TCP/8 을제외한나머지트래픽에대한 3 개월간포트추이를살펴보면, UDP/22 포트가증가추세를이어오다이달들어큰폭으로증가하면서가장많은비중을차지했다. - 그밖에 TCP/443, TCP/88, UDP/53 등도최근 2 개월간비슷한수준을유지하다이달들어일시적인증가세를보였고, TCP/51 은상대적으로비슷한수준을유지하고있음 8, UDP/22 7, TCP/88 TCP/443 6, TCP/51 UDP53 5, 4, 3, 2, 1, 21231 21234 21237 21231 212313 212316 212319 212322 212325 212328 21241 21244 21247 21241 212413 212416 212419 212422 212425 212428 21251 21254 21257 21251 212513 212516 212519 212522 212525 212528 [ 그림 35 ] 국내인터넷망에유입된포트별트래픽 3 개월추이 24
공격유형및추이분석 이번달국내 ISP 의일부구간에서수집된공격트래픽을분석한결과, 목적지포트가열려있는지알아보기위한 ACK Port Scan 트래픽과 DoS 공격트래픽인 Open Tear 트래픽이자주탐지된것으로나타났다. 12, 1, 8, ACK Port Scan(F/W Scan) Open Tear TCP ACK Flooding UDP Tear Drop TCP Connect DOS 6, 4, 2, 21251 21252 21253 21254 21255 21256 21257 21258 21259 21251 212511 212512 212513 212514 212515 212516 212517 212518 212519 21252 212521 212522 212523 212524 212525 212526 212527 212528 212529 21253 212531 [ 그림 36 ] 국내인터넷망에유입된공격유형일자별추이 최근 3 개월간공격트래픽추이를분석한결과, 3 월에는수집되는공격트래픽규모가크게감소하여미미한수준에그쳤으나지난달부터 ACK Port Scan 트래픽과 UDP Tear Drop 등을중심으로공격트래픽이자주유발되고있어추이를지켜볼필요가있다. 14, ACK Port Scan(F/W Scan) 12, Open Tear TCP ACK Flooding 1, UDP Tear Drop TCP Connect DOS 8, 6, 4, 2, 21231 21234 21237 21231 212313 212316 212319 212322 212325 212328 21241 21244 21247 21241 212413 212416 212419 212422 212425 212428 21251 21254 21257 21251 212513 212516 212519 212522 212525 212528 [ 그림 37 ] 국내인터넷망에유입된공격유형 3 개월추이 25
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 1 FIRST 소개 국가간침해사고가많아지고이로인한피해가증가하고하고있다. 해외침해사고대응팀 (Computer Emergency Response Team, CERT) 과의활발한정보교류, 공동대응방안논의등국제협력의필요성과중요성이더욱커지고있는것이다. 국제침해사고대응팀협의회 (Forum of Incident Response and Security Teams, FIRST) 는전세계 CERT 들이참여하는글로벌침해사고대응커뮤니티로, 미국, 유럽중심의커뮤니티로시작하였지만, 현재는아시아, 아프리카등의국가의 CERT 들도활발하게참여하고있다. 국외침해사고업무를수행하는조직은정회원으로가입할것을추천한다. FIRST 는, 대규모침해사고발생시 CERT 간의원활한의사소통과조정활동이신속하고효과적인대응에주요성공요인임을인식하고 199 년에미국및유럽내의 CERT 를중심으로설립되었다. FIRST 는현재세계최대 CERT 협의체로써정보보호전문가그룹으로사이버보안관련국제사회에큰영향을미치고있다. FIRST 의경우, 각국정부가대표인국제연합 (UN) 과는달리민간기업에근무하는보안전문가들이 FIRST 의실질적인운영주체인운영위원회 (Steering Committee) 에참여하고있다. 212 년 5 월말현재, FIRST 에는 55 개국 26 개팀이정회원으로활동하고있다. FIRST 에는 CERT 뿐만아니라, 보안업체, 사법기관등의다양한분야의기관과정보보호전문가들이참여하고있다. 우리나라에서는 KrCERT/ CC 를포함한 7 개기관 ( 안철수연구소 ASEC, 교육사이버안전센터 ECSC, SK 인포섹 INFOSEC-CERT, 금융결제원 KF/ISAC, 금융보안연구원 KFCERT, 국가사이버안전센터 KNCERT) 이정회원으로활동하고있다. 현재활동중인국내 6 개기관은 KrCERT/CC 의후원을받아 FIRST 에가입하였다. [ 그림 1] FIRST 회원현황세계지도 ( 출처 : http://www.first.org) 26
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 이번달특집은국내 CERT 가 FIRST 정회원으로가입하기위한전체과정과요구사항등을상세히설명함으로써 FIRST 가입을고려중인국내 CERT 들에게도움을주고자한다. 현장실사시에확인하는요구항목, FIRST 가입시가입신청기관이거치게되는과정, FIRST 정회원요구항목등을세부적으로설명한다. FIRST 정회원요구항목은 CERT 구축 운영에관한국제적으로통용되는최소한의기준으로 CERT 구축시에참고자료로활용가능하다. 2 FIRST 정회원가입절차 침해사고국제협력에관심이있고, FIRST 가입의사가있는 CERT 팀은우선 FIRST 웹사이트 (http://www.first. org) 를방문하게될것이다. 내용이너무방대하여 FIRST 를빠른시간내에파악하기란쉽지않다. 기존 FIRST 회원기관을방문하거나 6 월에개최되는 FIRST 연례총회및컨퍼런스를참석해볼것을권한다. 1 2개기존 FIRST정회원기관에후원요청 2 FIRST 사무국에가입의사통보 3 가입절차및정회원요구사항세부설명 4 후원기관의현장실사 5 결과보고서작성및추가요구자료제공 6 FIRST 사무국에가입신청서류제출 7 운영위원회투표로가입승인 8 연회비및가입비용지불 [ 그림 2] FIRST 가입프로세스 27
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 1. 가입절차 가입절차는다음의 8 개단계로요약할수있다. 2 단계 FIRST 사무국에가입의사통보 의경우, 생략가능하다. 즉, 후원기관을사전에결정하고현장실사결과보고서를포함한가입신청서류전체를 FIRST 사무국에제출하면서가입신청의사를밝혀도무방하다. 1.1 2 개기존 FIRST 회원에후원요청 FIRST 가입절차는가입전체과정을가이드해줄후원기관 (sponsor) 을찾아서후원을요청하고수락하면서시작된다. FIRST 는후원기관의요건을 2 개기존정회원으로정하고있다. 이것에는두가지의미가있다. 첫째는신규가입신청 CERT 가기존 FIRST 와전체가입신청과정을진행하는경험을갖도록하여, FIRST 에친숙해줄수있는기회를제공한다는것이다. 후원기관은가입신청기관의가입뿐만아니라, 가입후에도정회원으로잘활동할수있도록지원할의무를가진다. 둘째는 FIRST 사무국이모든가입신청기관을방문하여자격요건을만족하는지를하는것이현실적으로불가능하여, FIRST 의전문가커뮤니티 (community) 성격과신뢰확산을위하여기존정회원이신규가입신청기관에대한현장실사등의가입신청에관한전반적인과정을관리하도록하고있다. 또한 2 개기관의후원을요구하는것은한기관이후원하는경우발생할수있는문제를협의를통해해결할수있도록하고있다. 국내 FIRST 가입기관의경우, 현재까지 KrCERT/CC 에서후원을해오고있지만이제부터국내다른정회원기관도후원기관으로적극적으로활동하기를기대한다. 1.2 FIRST 사무국에가입의사통보 공식적인 FIRST 가입절차는가입신청팀이 FIRST 사무국에가입의사를이메일 (first-sec@first.org) 로통보함으로써시작된다. 모든가입과정이 6 개월이내에완료되어야하며, 6 개월내에가입승인이되지않을경우, 가입과정을처음부터다시시작해야한다. 가입신청기관이 2 개후원기관을찾지못한경우에는 FIRST 사무국에후원기관지정을요청할수있으며, 지리적근접성, 후원경험등을고려하여 FIRST 사무국은가장적합한후원기관을추천한다. 전체가입과정을도와줄하나의후원기관이결정된경우에는다른후원기관요청을상의하여도된다. 1.3 가입절차및정회원요구항목세부설명 후원기관은가입신청기관에전체적인가입절차와현장실사요구항목을전반적으로설명하고가입신청기관의질문에답변하는 FIRST 에관한이해를높이는시간을갖게된다. 이과정은가입신청기관과후원기관간의 FIRST 문화를이해하고서로의신뢰를구축하고하는시간이다. 후원기관은가입과정뿐만아니라가입후정회원활동시에도조언을제공하는후견인역할을한다. FIRST 정회원요구항목은웹사이트상에게시되어있는 FIRST 현장실사요구항목및평가 (FIRST Site Visit Requirement and Assessment) 문서를참고하면된다. 28
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 1.4 후원기관의현장실사 현장실사는후원기관이정회원자격요건만족여부확인을위해 1 개이상의후원기관이실제로가입신청기관에방문하여확인하는절차이다. 현장실사는크게사전준비단계, 실제현장실사단계, 결과보고서작성및검토의 3 단계로구분할수있다. 사전준비단계는 1.3 가입절차및정회원요구항목세부설명단계에해달하며, 결과보고서작성및검토단계는 1.5. 결과보고서작성및추가요구자료제공단계에해당한다. 1.4.1 사전준비단계 사전준비단계는후원기관에서현장실사요구항목을포함한 FIRST 가입절차에대한전반적인프로세스와개별항목의요구항목을설명을한다. 가입신청기관은개별항목의요구항목의만족여부를확인하면서항목별자체현장실사준비보고서를작성한다. 필요시내부정책변경및 S/W 구매등의현장실사에대비한준비작업을수행한다. 가입신청기관과후원기관의담당자간의충분한논의를통해신뢰구축및대부분의현장실사준비보고서가준비되면현장실사를실시한다. 1.4.2 실제현장실사단계 현장실사는 1 개이상의후원기관이가입신청기관을실제로방문하여현장실사요구항목의만족여부를항목별로하나씩확인한다. 이때후원기관은확인에필요한서류 ( 내부결재문서, 정책서등 ) 의열람을요구할수있으며, 가입신청기관은성실히협조하여야한다. 정회원요구항목을만족시키지못할경우에이유에관해서명확히설명을청취하고관련내용을결과보고서에반영해야한다. 1.4.3 결과보고서작성및검토 현장실사보고서는현장실사시에확인한항목을기반으로부록 A 와추가적으로제공받은문서들을기반으로후원기관에서작성한다. 현장실사를한후원기관에서작성한보고서는 2 개후원기관간의검토와필요시후원기관에추가적으로요청하여보완한다. 1.5 결과보고서작성및추가요구자료제공 현장실사과정에서확인한가입신청기관의정회원자격만족여부를보고서형태로정리하는단계로, 후원기관이작성하는결과보고서는 FIRST 전체회원이가입신청기관에대한평가를내리는기본자료이다. 보고서는현장실사에서확인한사실에기초하여객관적으로작성되어야한다. 현장실사에는많은경우 1 개후원기관만참여하기때문에, 다른후원기관은결과보고서작성후에검토및수정단계에서가입신청기관의세부항목을접하게되는경우가발생하게되며, 세부적인항목에대한추가적인자료를요청할수있으므로, 성실히제공하여야한다. 또한보고서작성과정에서현장실사시에가입신청기관에서제출하지못한서류를추가적으로제출할수있다. 29
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 1.6 FIRST 사무국에가입신청서류제출 현장실사등전체가입과정을지원한후원기관이가입관련서류를모두취합하여 FIRST 사무국에이메일로제출하게한다. FIRST 사무국은제출된서류를검토하여회원자격위원회 (Membership Committee, MC) 에검토를요청한다. 회원자격위원회는가입신청기관의적정성을현장실사보고서등제출된서류를근거로검토한다. 회원자격위원회의검토를통과한신청서류는 1 개월단위로전체정회원에의견을수렴하는기간을가진다. 후원기관은회원자격위원회나다른 FIRST 회원이제기하는질문과문제에대해서답변할의무가있다. 1.7 운영위원회투표로가입승인 가입신청은최종적으로운영위원회 (Steering Committee, SC) 에서검토된다. 가입에대한결정은 SC 위원의투표로결정되며, 2/3 이상의찬성으로가입이승인된다. 1.8 연회비및가입비지불 운영위원회에서강비승인되면, FIRST 사무국은연회비와가입비를청구한다. 사무국은가입비 ( 미화 8 달러 ) 와연회비 ( 연회비 가입승인월을포함한잔여월수 /12) 를납부요청하는청구서를발송한다. 연회비는매년조금씩오르고있으며, 212 년의경우미 2, 달러이다. 2. 가입신청서류 FIRST 사무국에제출하는신청서류는가입신청기관이작성하는서류와후원기관이작성하는서류로구분할수있다. 가입신청기관이작성하는서류는가입신청편지, 부록 A(appendix A), PGP 공개키블록이며, 후원기관이작성하는서류는가입승인요청편지, 현장실사결과보고서이다. 2.1 가입신청기관작성서류 2.1.1 가입신청편지 (application letter) 가입신청기관이 FIRST 정회원이되고자하는의사를표명하는편지형태의공식문서이다. 본문서에는가입신청기관에대한자기소개뿐만아니라, FIRST 회원들에게가입의타당성을설명하기위한 FIRST 에가입하고자하는이유와가입시 FIRST 에제공할이익도포함되어야한다. 2.1.2 부록 A(appendix A) 부록 A 는정회원가입신청기관이작성 제출하는문서이고, FIRST 측에서가입신청기관의성격을파악하는기본문서이다. 모든항목을성실하고솔직하게작성해야한다. 부록 A 에포함되는정보는대부분현장실사시에후원기관이다시확인하게되며, 부록 A 와현장실사보고서상의정보는일치해야한다. 3
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 공식팀명칭 1. 팀명칭 팀명칭약어소속조직국가설립일자 고객형태 2. 고객 고객설명고객인터넷도메인 /IP 고객이속한국가 일반전화번호 긴급전화번호 이메일주소 웹사이트주소 부록 A 3. 팀연락정보 보안페이지주소팩시밀리번호기타통신수단청구서발송주소 FIRST 메일링리스트 (ML) 주소 FIRST 후원기관 다른 CERT 와의협력기록 팀대표자이름및연락정보 4. 팀연락정보 팀부대표자이름및연락정보대표고객연락정보소속조직대표인연락정보 5. 팀구성원팀구성원이름, 연락정보, PGP 키 6. 레퍼런스 FIRST 후원기관 다른 CERT 와의협력기록 7. 서비스 8. 업무시간 대응서비스능동서비스보안품질관리서비스세부업무시간업무시간외연락절차 9. 전문기술 31
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 2.1.3 PGP 공개키블록 FIRST 내에서민감한정보공유시에는 PGP 기반암호화된형태로공유한다. FIRST 가입시 PGP 사용능력을검증하게된다. FIRST 메일링리스트메일을수신할팀메일링리스트이메일주소 (first-team@ yourorg.org) 와 FIRST 팀대표자 이메일주소 (first-rep@yourorg.org) 에대한 PGP 공개키블록 (PGP public key block) 을제공한다. 이공개키블록들은두후원기관의 FIRST 팀대표자와팀의 PGP 키로서명되어야한다. 2.2 후원기관작성서류 2.2.1 가입승인요청편지 두후원기관은각각가입승인요청편지 (nomination letter) 를작성하고, FIRST 팀대표자가서명한다. 가입신청기관이 FIRST 정회원으로충분한자격이있으며, FIRST 커뮤니티발전에큰도움이될수있다는등의내용으로작성한다. 2.2.2 현장실사결과보고서 현장실사결과보고서는 FIRST 현장실사요구항목및평가 (FIRST Site Visit Requirement and Assessment) 문서에서요구하는정회원요구항목의만족여부에관한결과보고서이다. 결과보고서는 FIRST 사무국에제출되기전에보고서의적절성에대해서두후원기관이협의하여내용을최종적으로수정한다. 현장실사에서확인하는항목인 3 장현장실사요구항목에서자세하게설명한다. 32
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 3 현장실사요구항목 현장실사시에다음과같이 6 개분야 (1 일반항목 : 7 개항목, 2 정책 : 11 개항목, 3 업무공간및환경 : 6 개항목, 4 침해사고처리 : 3 개항목, 5 연락정보및정보배분 : 1 개항목, 6 전문성개발 : 2 개항목 ), 3 개항목에대해 FIRST 정회원으로서의자격요건을만족시키는지에대해서확인한다. 거의모든항목은필수 (mandatory) 항목으로, FIRST 측에서요구하는항목을만족시켜야한다. FIRST 측은통계적으로 75% 이상의항목을만족시킨경우에회원가입이승인된다고밝히고있다. 1. 일반항목 1.1. 정의된고객 ( 필수 ) 1.2. 사명기술서또는헌장 ( 필수 ) 1.3. 설립, 운영, 발표문서 ( 필수 ) 1.4. 고객에제공되는서비스 ( 필수 ) 1.5. 운영중인재무모델 ( 필수 ) 1.6. 조직내위치 ( 필수 ) 1.7. 팀조직 ( 선택 ) 현장실사요구사항 2. 정책 3. 업무공간및환경 4. 침해사고처리 2.1. 정보분류 ( 필수 ) 2.1. 정보보호 ( 필수 ) 2.3. 기록보존 ( 필수 ) 2.4. 기록파괴 ( 필수 ) 2.5. 정보배포 ( 필수 ) 2.6. 정보접근 ( 필수 ) 2.7. CSIRT 시스템의적절할활용 ( 필수 ) 2.8. 컴퓨터보안이벤트및침해사고의정의 ( 필수 ) 2.9. 침해사고처리정책 ( 필수 ) 2.1. 다른팀과의협력 ( 필수 ) 2.11. 기타정책 3.1. 물리보안및시설 ( 필수 ) 3.2. 장비 ( 필수 ) 3.3. 저장장치 ( 필수 ) 3.4. 침해사고생성 / 트래킹 ( 필수 ) 3.5. 네트워크기반 3.6. PGP 사용 ( 필수 ) 4.1. 침해사고신고방법 ( 필수 ) 4.2. 침해사고처리프로세스 ( 필수 ) 4.3. 신고접수통보 ( 선택적이지만권고 ) 5. 연락정보및정보배분 5.1. 내부대외부 ( 필수 ) 6. 전문성개발 6.1. 훈련 ( 필수 ) 6.2. 컨퍼런스 33
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 1. 일반항목 일반항목이확인하는항목들은조직목표, 고객, 예산등 CERT 의조직관리및전략적방향설정관련항목들로구성되어있다. 1. 일반항목 1.1. 정의된고객 ( 필수 ) 1.2. 사명기술서또는헌장 ( 필수 ) 1.3. 설립, 운영, 발표문서 ( 필수 ) 1.4. 고객에제공되는서비스 ( 필수 ) 1.5. 운영중인재무모델 ( 필수 ) 1.6. 조직내위치 ( 필수 ) 1.7. 팀조직 ( 운영 ) 1.1 정의된고객 ( 필수항목 ) 고객을정의하면 CERT 가누구를위해서일할지, 만족시킬요구항목, 보호대상자산의범위, 다른 CERT 와의의사소통방법등을결정한다. 현장실사팀은가입신청기관이고객의범위를명확하게이해하고정의하고있는지에대해서검증한다. 고객은형태는내부고객 (internal), 외부고객 (external) 또는혼합형태 (mixed) 고객으로나눌수있다. 조직내부의보안사고에대응하기위한 CERT 의고객은내부고객이고, 제품, 서비스를구매한고객의보안사고에대응하기위한 CERT 의고객은외부고객이다. 고객의분야는교육, 정부, 비영리, 기반시설, 군사, 상업, 기타등으로구분할수있다. 1.2 사명기술서또는헌장 ( 필수항목 ) 사명기술서 (mission statement) 에는 CERT 의목적과기능을명확하게설명해야한다. 따는핵심목표와팀의목적을전반적으로제시할수있어야한다. 1.3 설립, 운영, 발표문서 ( 필수항목 ) CERT 가공식설립시점과운영관련승인과권한을명시한공식문서로관련항목을확인하다. CERT 는고객과긴밀하게의사소통하고협력방법을적절한방식으로알려야한다. 내부고객을대상으로는그룹웨어상의공지또는메일로, 외부고객에는보도자료등을통해서알릴수있다. 1.4 고객에제공되는서비스 ( 필수항목 ) CERT 는고객대상서비스종류와서비스수준을정의해야한다. CERT 가제공하는고객대상서비스를웹사이트, 브로셔등에기재하여고객이쉽게알수있도록해야한다. 서비스목록은 CERT 가제공하는서비스와제공하지않는서비스을명확히알게하고, CERT 역할과책임에대한일정한기대를갖도록한다. 1.5 활용중인예산확보모델 ( 필수항목 ) 현장실사팀은 CERT 가지속적으로운영될수있는지를재무적관점에서장기적안정성을확인한다. 즉, CERT 고객대상서비스제공을위한 CERT 구축비용뿐만아니라, 운영, 인력및시설비용이안정적이고 34
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 지속적으로확보될수있는지에대해서확인한다. 예산확보는연간조직예산, 고객서비스비용등다양한형태로이루어질수있다. 1.6 조직내위치 ( 필수항목 ) CERT 가어떤조직소속이며, 조직내의위치를파악하는항목이다. CERT 의조직내위치는조직의환경, 상황등에따라서달라질수있다. 조직내위치는조직도 (organizational chart) 나인사명령등으로확인할수있다. 1.7 팀조직 ( 운영항목 ) 팀조직항목은 CERT 조직구성원이어떻게구성되고, 각자의역할과책임및전체조직에서의상대적위치등을설명한다. 본항목은 CERT 책임자와핵심스탭등을설명해야한다. CERT 조직구조는 CERT 조직도로검증할수있다. 2. 정책 CERT 가내부적으로운영중인침해사고대응과관련된다양한정책문서들에대해서검토한다. 본정책항목은침해사고, 취약점, 악성코드및사이트정보등을안전하게보호하기위하여조직차원에서정책과절차로공식화하고, 실제업무에적용하고있는지를검증한다. 정책문서의검증뿐만아니라, CERT 직원의인터뷰를통하여실제로정책이조직내에서활용되고있는지를검증할수있다. 2. 정책 2.1. 정보분류 ( 필수 ) 2.2. 정보보호 ( 필수 ) 2.3. 기록보존 ( 필수 ) 2.4. 기록파괴 ( 필수 ) 2.5. 정보배포 ( 필수 ) 2.6. 정보접근 ( 필수 ) 2.7. CSIRT 시스템의적절할활용 ( 필수 ) 2.8. 컴퓨터보안이벤트및침해사고의정의 ( 필수 ) 2.9. 침해사고처리정책 ( 필수 ) 2.1. 다른팀과의협력 ( 필수 ) 2.11. 기타정책 2.1 정보분류 ( 필수항목 ) 정보분류정책은물리적, 전자적정보의분류체계및등급 ( 기밀, 민감, 공개 ) 뿐만아니라정보의저장, 전송, 접근등활용방법을제시해야한다. 이와함께, 가입신청기관은 FIRST 로부터수신하는정보를어떻게분류할지를설명하여한다. 35
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 2.2 정보보호 ( 필수항목 ) 정보보호정책은 CERT 취급정보의등급별저장 / 보호관련절차및방법을상세히기술한다. 노트북, 스마트폰등이동형장비에서의정보처리규정과기밀정보는암호화등의보안조치없이이동형장비에전송, 저장할수없다는규정등이포함되어야한다. 또한기밀, 민감정보의경우, 비인가인원과의공유및논의금지및민감정보의경우보안조치가되지않은장비에서는논의할수없다는규정이포함되어야한다. FIRST 정보가 CERT 및조직전체차원에서어떻게처리, 보호, 공유되는지방법이포함되어야한다. 2.3 기록유지 ( 필수항목 ) 기록유지정책에서 CERT 가전자적및문서정보를저장 / 유지기간을지정한다. 본정책에서는백업주기를포함한정보저장 / 보호방법에대해서도설명하여야한다. 2.4 기록파괴 ( 필수항목 ) 기록파괴정책은전자및문서정보를어떤방식으로로파괴하는지설명한다. 본정책의목적은하드디스크, USB 드라이브등저장매체가적절한방식으로파괴하여민감한정보가허가받지않은사람에게유출되거나접근되지않게하기위한것이다. 또한문서정보의경우, 쇄절책임자와방법도지정되어야한다. 본정책은사전승인된인원이기밀, 민감정보를파괴한다는규정을설명해야한다. 또한회복할수없는방법을정보가파괴된다는것을명시해야한다. 본정책에서는전자적정보뿐만아니라문서정보에대한파괴방법에대해서설명하여야한다. 2.5 정보배포 ( 필수항목 ) 정보배포정책은다양한내 외부이해당사자들에게배포가능한정보의형태와배포방식을설명한다. 본정책은내 외부이해당사자에게공개할수있는정보를지정할뿐만아니라, 공개금지정보형태와어떤정보를기밀또는민감정보로지정하는기준을제시한다. CERT 는신뢰 (trust) 를기반으로운영되는조직이기때문에매우중요하다. 모든 CERT 구성원은누구에게어떤이야기를할수있는지정보공개가이드라인을숙지하고있어야한다. 고객또한 CERT 에침해사고또는공격을신고할때어떤수준의비밀유지가가능한지사전에미리알고있을필요가있다. 본정책은소속기관별로 CERT 에부과되는정보공개의무 ( 예를들면, 외부감사에대한법적의무항목 ) 를고려해야한다. 예를들어, 침해사고신고항목이바로사법기관에신고될것인가? 특정상황에서는 CERT 가사법기관이나법원에연락정보를포함한민감정보를제출해야하는경우도존재한다. 본정책은또한다양한이해당사자에게정보배포형식및주기등을포함한정보배포방식을설명하여야한다. 2.6 정보에의접근 ( 필수항목 ) 정보에의접근정책은특정정보에접근할수있는사람들의범위를지정하고, 특정등급의정보에접근하기위해서는어떤내부승인을받아야하는지를설명한다. 또한접근승인권한자와접근프로세스책임자도명시하여야한다. 36
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 2.7 CSIRT 시스템의적절한사용 ( 필수항목 ) 본정책은 CERT 담당자에게지급되는장비및시스템을 CERT 업무를위해서만사용해야한다는것이다. 시스템의개인목적의사용을금지하고, CERT 시스템내에접근금지사이트목록이존재하는지, CERT 시스템에개인소프트웨어설치등을막고있는지등 CERT 시스템을개인적목적이아닌업무를위해서사용하도록강제하는정책이다. 정책위반시의징계규정도포함되어야한다. 2.8 컴퓨터보안이벤트및침해사고정의 ( 필수항목 ) CERT 는신고접수에침해사고로결정, 분류를위한내부기준이있어야한다. 정의관련이슈로는신고평가기준, 우선순위존재여부및상관관계및통합추적등이있다. 2.9 침해사고처리정책 ( 필수항목 ) 침해사고처리정책은신고로부터시작되는분석, 대응등의침해사고대응프로세스별세부활동및담당자별책임과역할등을정의한다. 본정책에는시간대별대응활동, 전달방법, 특별통지및부서간의의사소통, 침해사고추적및기록방법, 침해사고종료시기및방법, 추가지원요청방법등이포함되어야한다. 본정책은 3.4. 침해사고생성 / 추적 과 4.2. 침해사고처리프로세스 항목과연관된항목으로, 검토시에함께고려되어야한다. 2.1 다른기관과의협력 ( 필수항목 ) 다른 CERT 과공식적, 비공식적인협력을수행하기위해서따라야하는프로세스를정의한다. 다른기관과의양해각서 (MoU), 비공개협약 (NDA), 서비스수준협약 (SLA) 등의체결여부와공유되는정보의형태를설명하여야한다. 본책책은다른 CERT 와공유하는정보를명시한정보배포정책을지원해야한다. 본정책에는다른 CERT 와공식적으로소통 / 협력하는방법뿐만아니라, 연락처 (POC), 협력프로토콜및데이터공유포맷등이포함되어야한다. 2.11 기타정책 CERT 운영및 FIRST 회원자격에영향을미칠수있는모든기타정책에대해서검토해야한다. 37
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 3. 업무공간및환경 효율적이고효과적으로업무를수행하기위해서는 CERT 은적절한기반을갖추고있어야한다. 현장실사팀은 CERT 이사용하고다음의항목들의최소보안표준을만족시키는지를확인해야한다. 이것은직접관찰이나설명문서를검토하여확인할수있다. 3. 업무공간및환경 3.1. 물리보안및시설 ( 필수 ) 3.2. 장비 ( 필수 ) 3.3. 저장장치 ( 필수 ) 3.4. 침해사고생성 / 트래킹 ( 필수 ) 3.5. 네트워크기반 3.6. PGP 사용 ( 필수 ) 3.1 물리적보안및시설 ( 필수항목 ) 물리보안은방문자관리정책, 팀원간의대화도청, CERT 문서보관소접근 ( 전자적및물리적 ) 등이포함된다. CERT 시설, 네트워크및통신기반시설들은 CERT 가수집하는민감한자료뿐만아니라 CERT 스탭을보호할수있도록설계되어야한다. CERT 정보및 CERT 인력이근무하는공간은인터넷데이터센터 (IDC) 수준으로보안이강화되어야한다. 3.2 장비 - 컴퓨터 ( 필수항목 ) CERT 은일상적인업무를수행하기위해서컴퓨터를운영해야한다. - 전화 ( 필수항목 ) 다른팀과의원활한연락을위해서최소한일반 PSTN 전화를운영해야한다. 침해사고팀팀원들은전화의기술적제약항목과특정기기를활용시가능한대화의종류를이해하고있어야한다. - 팩스팩스기기는선택적인기기이다. CERT 자체의전용팩스가있을경우, 모든문서를송 수신할수있다. - 세절기및기타파괴메카니즘 ( 필수항목 ) 최소한종이세절기를겸비하고있어야한다. 세절을아웃소싱할경우, 외부유출을막기위해서서비스에대한감사를할수있어야한다. 3.3 저장장비 ( 필수항목 ) CERT 내에는문서, 책, 하드디스크, 컴퓨터등의다양한물건들을저장하게된다. 현장실사팀은본항목과관련하여, 정보가비인가접근및사고에의한파괴및재난으로부터안전하게보호되고있는지를확인해야한다. 38
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 3.4 침해사고생성 / 추적 ( 필수항목 ) CERT 는침해사고및기타이벤트들은저장형태와상관없이추적할수있어야한다. 이항목은침해사고처리시스템에대한현장실사팀은 FIRST 자료가침해사고추적시스템에저장될수있기때문에시스템을이해하여야한다. 보고서에는 FIRST 정보가추적시스템에저장되는방식, 추적시스템에접근권한을가진사람 ( 특히외부인력에대한접근을허용하는경우 ), 신고접수후에침해사고할당되는시점, 침해사고고유식별번호여부및번호부여형식, 침해사고병합 / 연결방식, 상태변경방법, 상태종료방법및침해사고종료후저장장소등을설명하여야한다. 3.5. 네트워크기반시설 - CERT LAN 분리 ( 선택적이지만권고항목 ) CERT 는일반부서와분린된개별근거리통신망 (LAN) 을운영해야한다. 이것은팀관련트래픽이스니핑당하는위험을최소화기위한것이다. 네트워크분리는물리적 ( 선호되는방법 ) 이나논리적으로될수있다. - 테스트네트워크 ( 필수항목 ) CERT 는미확인소프트웨어를시험하기위한테스트네트워크를운영해야한다. 테스트는일반운영네트워크에서수행해서는안된다. - 기반시설운영 ( 필수항목 ) DNS, 메일, FTP, 웹서버, 데이터백업및백업미디어처리등 CERT 네트워크기반시설을운영하는팀을운영해야한다. 목적은정보유출이발생할수있는네트워크상의취약한지점을파악하기위한것이다. - 안전한통신활용 ( 필수항목 ) CERT 는안전한통신및파일의저장을위한통신을요구사항이있어야한다. 외부에서내부시스템접근을가상사설망 (VPN) 을통해서만허용하는등의안전한통신을보장하기위한정책을세울수있다. 3.6 PGP 활용 ( 필수항목 ) FIRST 정회원이되기위해서는 PGP 암호화활용이필수이기때문에, 실사기관은 PGP 를어떻게활용되고있는지확인해야한다. PGP(Pretty Good Prvicy) 암호화는비대칭암호화기법으로, 개인키와공개키로분리하여암호화복호화하고있다. FIRST 는가입과정에서팀전체및팀대표자의메일링리스트주소에대한공개키의최소두가지 PGP 키를요구한다. 가입신청기관은상용 PGP 프로그램을구매하거나공개용 GPG 프로그램을활용하여, 키생성, 암호화, 복호화등을사전에해볼필요가있다. 39
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 4. 침해사고처리 현장실사팀은침해사고처리를위하여 CERT 이활용하는방법, 프로세스및기술등을살펴본다. 목적은 CERT 의데이터를보호하고, 효율적인처리를가능케하는공식화된절차를확보하기위한것이다. 4. 침해사고처리 4.1. 침해사고신고방법 ( 필수 ) 4.2. 침해사고처리프로세스 ( 필수 ) 4.3. 신고접수통보 ( 선택적이지만권고 ) 4.1 침해사고신고방법 ( 필수항목 ) CERT 가보안이벤트와침해사고를인지하는방법이있어야하며, 고객들은 CERT 과질문, 침해사고신고, 피드백및조언을얻기위해 CERT 과연락할방법이확보되어야한다. 가장일반적인방법은이메일, 전화및팩스이다. 사고신고가이드라인 (incident reporting guideline) 은고객이어떤형태의침해사고를어떤방식으로신고해야하는지를설명한다. 사고신고가이드라인에는고객의침해사고정의, 개인또는그룹이침해사고활동을신고해야하는이유에대한설명, 신고방법, 신고항목및신고시기에대한설명등이포함된다. 침해사고신고에포함되어야할항목은연락정보, 신고일시, 침해사고활동관련일시, 피해시스템 (OS 버전, 패치수준, 목적 ), 문제 / 활동의간략한기술, 신고제출의시간관련요구항목, 기타 CERT 관련특징등이있다. 4.2 침해사고처리프로세스 ( 필수항목 ) 현장실사팀은 CERT 이침해사고신고를접수하고대응하는프로세스를검토하게된다. 처리프로세스는할당, 분석, 전달, 종료및경험검토등으로구분할수있다. 현장실사팀은본항목을 2.9. 침해사고처리정책과연계하여검토할필요가있다. 4.3 신고접수통보 ( 선택적이지만권고항목 ) 고객과 CERT 간에서비스수준계약 (SLA) 체결되어있을경우에, CERT 가침해사고신고를접수했음을통보하게된다. 세부계약조건에따라서접수통보종류와횟수를다르게정의할수있다. 4
국제침해사고대응팀협의회 (FIRST) 소개및가입절차 5. 연락정보및정보배포 5.1 내부대외부 ( 필수항목 ) 고객은 CERT 와연락하고의사소통할필요가있다. 이와관련하여 CERT 연락정보는적절히내부외부적으로공개되어야하지만, 외부적으로공개하지않는경우도존재한다. 연락정보는소개자료, 직원업무자료, 웹사이트상의연락정보를검토하여검증할수있다. 6. 전문성개발 6.1 훈련 ( 필수항목 ) 침해사고관리분야는변화가많은분야로, 계속적으로새로운지식을획득해야한다. 훈련계획이충분하지않다면, 사람들이훈련받고배울수있는시간과기회를제공하여야한다. 6.2 컨퍼런스 컨퍼런스참가는새로운지식획득과다른 CERT 와친교를맺기위한필수적인요소이다. 활동적인 CERT 로간주하기위해서는, 최소한 1 회이상 CERT 관련컨퍼런스에참여하여야한다. 3 결론 FIRST 정회원으로가입하면기존국내중심협력이전세계 FIRST 회원대상침해사고정보공유, 악성코드삭제등협력의범위가확대된다. FIRST 가제공하는 CERT 네트워크는 FIRST 회원기관에한정되는것이아니라, FIRST 회원기관이알고있는각국가내의인적네트워크와전문지식도포함될수있다. 특정국가나역에한개팀만이 FIRST 정회원으로활동하고있을경우그팀에한정되는것이아니라, 그국가의언어와환경등다양한측면에대해서도움을받을수있음을의미한다. 처음부터모든 FIRST 회원들과친밀한협력관계를구축할수는없지만, 지속적인관심과신뢰구축을통해 FIRST 커뮤니티내에서신뢰할수있는팀으로인식될경우, 인적네트워크를통해서일반에공개되지않는악성코드및분석보고서등침해사고관련정보를개별적으로공유한다. FIRST 는강력한중앙집중형조직이아니라, 필요에따라새로운것을만드는자유로운형태로발전하고해가고있다. FIRST 는자율성을중심으로지속적으로발전하고있어급속하게발전하고있는사이버보안및침해사고대응분야의전문가집단으로그영향력이더욱확대될것이다. 41
바이러스월 (Virus Wall) 버퍼오버플로우 (Buffer Overflow) 네트워크환경내부에인-라인 (In-line) 상태에서 LAN 세그먼트의트래픽을관리하여트래픽상의네트워크바이러스를예방및차단하는시스템메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법 운영체제취약점, 비밀번호의취약성, 악성코드의백도어등을이용하여전파되며, 해킹명령 봇 (Bot) 분산서비스거부공격 (DDoS:DistributedDoS) 서비스거부공격 (DoS:Denial of Service) Teardrop Attack Open Tear Attack TCP DRDOS Attack 전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한 프로그램또는실행가능한코드 DoS 용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써 보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게 만드는공격형태 특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격 으로서비스를못하도록만드는공격 데이터를송수신하기위해서는단편화및재조합과정을거치게되는데, 공격자가 데이터를과도하게여러조각으로나누거나헤더의필드에비정상적인값을입력하여 전송함으로써공격대상시스템이재조합과정에서오류를발생시키도록하는서비스거부 공격 단편화 (fragmentation) : 데이터의크기가커서한번에전송할수없을경우패킷을여러개로나누어전송하는것을의미함 재조합 (reassembly) : 데이터를수신한시스템에서단편화 (fragmentation) 된패킷을순서에맞게원래모양대로조합하는것을의미함 일반적인 Teardrop 공격과달리패킷을전송할때데이터가단편화되어있다는신호만 보내고실제데이터는전송하지않음으로써공격대상시스템이재조합과정에서오류를 발생시키도록하는서비스거부공격 공격자는출발지 IP 를공격대상의 IP 로위조하여 syn 패킷을다수의반사서버로전송 하고, 이들반사서버에서응답하는 syn-ack 패킷이공격대상서버로몰려서비스가거부 상태가되는공격 DRDoS : Distributed Reflection Denial of Service 반사서버 (reflection server): DRDoS 에이용되는라우터또는서버 ( 주로웹, DNS 등 ) icmp 프로토콜의 echo request 와 response 를이용하여동일한형태의공격도가능함 이용자의동의없이정보통신기기에설치되어정보통신시스템, 데이터또는프로그램등을 훼손 멸실 변경 위조하거나정상프로그램운용을방해하는기능을수행하는악성프로그램. 스파이웨어 (Spyware) 스팸릴레이 (SpamRelay) 허니넷애드웨어 (Adware) 웜 (Worm) 즉, 이용자의동의없이, 웹브라우저의홈페이지설정이나검색설정을변경, 정상프로그램의운영을방해 중지또는삭제, 컴퓨터키보드입력내용이나화면표시내용을수집 전송하는등의행위를하는프로그램스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해대응센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 악성코드등을수집사용자의컴퓨터에광고성팝업창을띄우거나, 초기화면을특정사이트로고정시키는등의사용자가의도하지않는행위를수행하게하는프로그램또는실행가능한코드독립적으로자기복제를실행하여번식하는빠른전파력을가진컴퓨터프로그램또는실행가능한코드 42
지역센서취약점정보수집공격침입시도트로이잔 (Trojan) 피싱 (Phishing) 해킹 (Hacking) ASP.NET Botnet DHTMLEditingComponentActiveX E-mail 관련공격 Hyperlink 개체라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 공격징후탐지를위하여 KISA 에서주요도시에설치한센서대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam 이라고도함다른사람의컴퓨터나정보시스템에불법침입하거나, 정보시스템의정상적인기능이나데이터에임의적으로간섭하는행위개발자가웹응용프로그램및 XML 웹서비스를구축할수있도록돕는기술로, 정적 HTML 과스크립팅을사용하는일반웹페이지와는달리, 이벤트에기반한동적인 HTML 웹페이지를제공함많은 Bot 감염시스템들이명령을수신할목적으로 IRC 에연결되어있는네트워크인터넷익스플로러가웹메일처럼 HTML 문서를제작할수있도록해주는 ActiveX 컨트롤상대방의시스템에메일서버를설치하여스팸릴레이에악용하거나, 관심을끄는 E-mail 을보냄으로써상대방이악성프로그램을설치하도록하는해킹기법으로주로스팸릴레이나악성프로그램의설치에이용됨응용프로그램들이 HTML 문서에서사용되는 Hyperlink 처리를위한기능을제공 Korea Computer Emergency Response Team Coordination Center 의약어로, 국내외인터넷침해사고대응업무를수행하는한국대표침해사고대응팀 (CERT/CSIRT) 이며,KISA 인터넷침해대응센터가역할을수행 License Logging Service 의약자로 MS서버제품에대한라이센스를고객이관리할수있도록해주는도구네트워크의기본적인입출력을정의한규약 Object Linking And Embedding, Component Object Model 의약자로 MS의객체기반기술의일종으로서서로다른응용프로그램이나플랫폼이데이터를공유하는데사용 Portable Network Graphics 의약자로 GIF 나 JPEG 처럼그림파일포맷의일종으로, 주로 UNIX/ LINUX 환경에서아이콘등에많이사용 Server Message Block 의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable 한주소로 IP를위조하여 Syn 을보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격많은인원이동시에다양한정보공유와공동문서제작을위한웹사이트를제작하는데필요한서비스윈도우시스템의제반실행환경을제공해주는것으로 explorer.exe 가책임을맡고있음 43