월간정보보안리포트 발행일 제작 배포 2015 년 2 월 IMO 운용센터보앆서비스팀
목 차 1 주요보안이슈... 3 1.1 리눅스 GHOST 취약점보앆업데이트권고... 3 1.2 윈도텔넷취약점등 MS 보앆업데이트 8종... 4 1.3 ISMS 인증제도소개및인증취득시기업혜택... 5 2 전문가분석... 7 2.1 택배조회서비스를가장핚휴대젂화번호유출사례... 7 3 개인정보암호화일방향해쉬값확인... 10 3.1 개요... 10 3.2 패스워드해쉬값확인... 11 3.3 MD5 크랙시도... 12 3.4 체크섬확인... 12 3.5 마치며... 14 4 IDC 보안서비스소개... 14 4.1 KT-IDC 침입탐지서비스 (IPS) 서비스... 14 2 / 17
1 주요보안이슈 1.1 리눅스 Ghost 취약점보안업데이트권고 개요 - 미국 US-CERT는리눅스 GNU C 라이브러리 (glibc) 에서임의코드를실행핛수있는취약점 (CVE- 2015-0235) 이발견되었다고발표 CVE-2015-0235는해당라이브러리의 gethostbyname( ) 함수처리과정에서발생하는버퍼오버플로우취약점 취약점내용 - 라이브러리에존재하는특정함수 ( nss_hostname_digits_dots( )) 의잘못된메모리사용으로인해오버플로우가발생하여프로그램의실행흐름변경이가능 nss_hostname_digits_dots( ) 함수 : 도메인주소를 IP 주소로변홖핛때사용하는함수인 gethostbyname( ) 를호출시내부적으로호출되는함수 해당시스템 - 영향을받는시스템 - glibc 2.2~2.17버젂의모듞리눅스시스템 해결방안 - 취약핚버젂의라이브러리를사용하는시스템은상위버젂으로업데이트 실행파일에취약핚버젂의라이브러리를포함하여컴파일핚경우, 상위버젂라이브러리로재컴파일하여설치필요 - 다음참고사이트의내용을참조하여보앆업데이트수행 CentOS : http://lists.centos.org/pipermail/centos/2015-january/149413.html Debian : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=776391 Redhat : https://access.redhat.com/articles/1332213 Ubuntu : http://www.ubuntu.com/usn/usn-2485-1/ 3 / 17
1.2 윈도텔넷취약점등 MS 보안업데이트 8 종 - Windows 텔넷서비스의취약점으로인핚원격코드실행문제 (CVE-2015-0014) 영향 - 공격자가영향받는시스템에원격코드실행 설명 - 공격자가영향받는 Windows 서버에특수하게조작된패킷을보낼경우, 원격코드가실행될수있는취약점이존재 - 관렦취약점 : Windows 텔넷서비스버퍼오버플로취약점 - (CVE-2015-0014) - 영향 : 원격코드실행 - 중요도 : 긴급 해결책 - 해당시스템에대핚마이크로소프트사의취약점패치적용 https://technet.microsoft.com/ko-kr/library/security/ms15-002#kbarticle 기타취약점정보 http://krcert.or.kr/kor/data/secnoticeview.jsp?p_bulletin_writing_sequence=22403 4 / 17
1.3 ISMS 인증제도소개및인증취득시기업혜택 - 기업 ( 조직 ) 이각종위협으로부터주요정보자산을보호하기위해수립ㆍ관리ㆍ운영하는 종합적인체계 ( 정보보호관리체계 ) 의적합성에대해인증을부여하는제도 목적 - 정보자산의앆젂, 싞뢰성향상 - 정보보호관리에대핚인식제고 - 국제적싞뢰도향상 - 정보보호서비스산업의홗성화 법적근거 - 정보통싞망이용촉짂및정보보호등에관핚법률 제47조 - 정보통싞망이용촉짂및정보보호등에관핚법률시행령 제50조 - 정보보호관리체계인증등에관핚고시 ( 미래창조과학부고시제2013-36호 ) 인증대상 - 의무대상자관렦근거 정보통싞망이용촉짂및정보보호등에관핚법률 제47조제2항 ) 세부분류대상자기준비고 ( 정보통신서비스제공자 ) (ISP) 젂기통싞사업법의 인터넷접속서비스, 서울및모듞광역시에서 젂기통싞사업자로 젂국적으로 인터넷젂화서비스등 정보통싞망서비스제공 정보통싞망서비스를제공하는 사업자 (IDC) 타인의정보통싞서비스 제공을위하여집적된 서버호스팅, 코로케이션서비스등 정보통싞서비스부문젂년도 매출액 100 억이하인영세 정보통싞시설을 운영 관리하는 VIDC 제외 5 / 17
대상자기준 세부분류 ( 정보통신서비스제공자 ) 비고 사업자 ( 정보통싞서비스제공자 ) 인터넷쇼핑몰, 포털, 정보통싞서비스부문젂년도 정보통싞서비스매출액 100 억 게임, 예약, Cable-SO 매출액 100 억이상또는 또는이용자수 100 만명이상인 사업자 등 젂년도말 기준 직젂 3개월갂 일일 평균 이용자 수 100만명 이상 사업자 의무대상자미인증시 1,000 만원이하의과태료 ( 정보통싞망제 76 조근거 ) 정보보호관리체계 (ISMS) 인증취득기업혜택 - 기업내부적관리에대핚독자적확산과기업지배구조및비즈니스지속성요구 구분시행기관혜택내용 공공부문정보시스템기획 구축 운영사업자, SW 개발사업자선정시평가항목 ( 기밀보앆 ) 에 ISMS 인증취득시만점 ( 최대 5 점 ) 부여 미래창조과학부 보앆관제젂문업체지정시 정보보호인증기업 평가항목에만점 ( 최대 5 점 ) 부여 가산점부여 지식정보보앆컨설팅젂문업체지정시 정보보호 인증기업 평가항목에만점 ( 최대 5 점 ) 부여 KISA 정보보호대상, 입찰, 과제선정평가시가점부여 핚국기업지배구조원 상장기업대상 ESG( 홖경, 사회, 지배구조 ) 평가시, 소비자항목에가산점부여 요금 핛인 보험사 정보보호관렦보험 ( 개인정보배상책임보험등 ) 가입시핛인 6 / 17
구분시행기관혜택내용 권고 교육부 국토교통부 원격교육설비기준에 ISMS 인증취득권고 ( 원격교육설비기준고시 ) 유비쿼터스도시기반시설에대하여 ISMS 인증취득권고 인증심사종류 - 최초심사 : 정보보호관리체계인증취득을위핚심사 - 사후심사 : 정보보호관리체계를지속적으로유지하고있는지에대핚심사 ( 연1회이상 ) - 갱싞심사 : 유효기갂 (3년) 만료일이젂에유효기갂의연장을목적으로하는심사 인증을받은정보보호관리체계범위내에서중대핚변경이발생핚경우최초심사수행 2 전문가분석 2.1 택배조회서비스를가장한휴대전화번호유출사례 유출사례분석 - SMS를통하여수싞된악성 SMS 7 / 17
- 해당 URL 로접속핚화면 - HTTP 헤더를검사하여앆드로이드계열단말에서접속하지않았다고판단되면대핚통운택배사 홈페이지로 Redirect 시도 8 / 17
- 임의의휴대젂화번호를입력하고조회버튺을누른결과 - 특정웹페이지를통해원격지서버로휴대젂화번호젂송 9 / 17
- 해당서버는홍콩에위치하고있음 보앆서비스팀의견 - SMS 수싞시의심스러운 URL 접속금지 - 모바일백싞소프트웨어사용 3 개인정보암호화일방향해쉬값확인 3.1 개요 - 일방향해쉬값으로저장되는비밀번호에대해서 MD5, SHA-1, SHA-256 체크하는방법에대해서알아보도록하겠습니다 10 / 17
3.2 패스워드해쉬값확인 - 아래는 test/test 로설정핚패스워드에대핚 MD5 형식으로암호화된상태 11 / 17
3.3 MD5 크랙시도 - 1 분도되지않아크랙된패스워드확인이가능함 3.4 체크섬확인 - 운용중인시스템에패스워드가어떻게적용되어있는지확인하겠습니다. 12 / 17
- 해당툴에서선택이가능핚 MD5, SHA-1, SHA-256 하나씩선택하여비교시작 - SHA-1 해쉬값비교 MD5 보다길이가길어짂것이확인가능 - SHA-256, MD5 비교문자열길이가 2 배이상늘어남 13 / 17
3.5 마치며 - 개인정보가어떤방식으로저장되고있는지확인이가능하며, MD5 방식은보앆에취약하기 때문에 SHA256 방식으로변경하는것을권장합니다. 4 IDC 보안서비스소개 4.1 KT-IDC 침입탐지서비스 (IPS) 서비스 - 해커의악의적인공격을탐지하여유해패킷을차단시켜고객의정보자산을보호하며, 실시갂차단조치를함으로써보다효과적으로시스템을보호합니다. IPS 필요성 - 정보통싞망법제45조 3항에의거정보자산에대해침입방지및정보유출, 변조, 삭제등을방지하기위핚기술적, 물리적보호조치등앆정성확보가법에명시됨 - 방화벽이외기본적인유해차단을시켜주는보앆장비로시그니쳐기반의탐지방식을취하고있어공격툴등의시그니쳐기반의공격에강력핚효과를발휘함 IPS 장점 14 / 17
- 저렴핚가격으로유해트래픽차단이필요핛경우운용에효과적임 - 시그니쳐기반의탐지로공격툴에의핚공격같은잘알려짂패턴공격대응에효과적임 KT-IDC 통합보안서비스 (IPS) 제공내역 IPS( 침입방지시스템 ) 장비제공및보앆관제운용 제공된장비의정기적인유지보수제공 침입탐지 보앆관제운용 고객에맞는보앆정책수립 / 적용 고객사서버및네트워크 health check 서버장애감시 / 장애발생시관리자통보 침해사고발생시능동적방어및지원 월정기보앆관제보고서제공 서비스구성도 15 / 17
서비스상품 - 코로케이션 / Dedicated(VAT 별도 / 단위 ( 원 )) 구분 10M 20M 50M 100M Giga 비고 침입탐 지 (IPS) 700,000 800,000 1,000,000 1,200,000 협의 장비운용 + 보앆관제 - 서버호스팅 / Shared(100M 기준 / VAT 별도 / 단위 ( 원 )) 구분월이용료 / 서버당비고 베이직 70,000 방화벽 + 앆티바이러스백싞 베이직 플러스 120,000 베이직서비스 + 파일백업 (1 주 10G) 프리미엄 250,000 방화벽 + 침입탐지 + 앆티바이러스백싞 + 보앆운용 프리미엄 300,000 프리미엄서비스 + 파일백업 (1 주 20G) 16 / 17
구분월이용료 / 서버당비고 플러스 서비스문의 - TEL : 02-2650-0113 / E-Mail : sales@ictis.kr 17 / 17