6 212 Vol.6 June CONTENTS 2 page 1. 월간동향요약 1-1. 6월보안이슈 2 1-2. 주요보안권고 2 1-3. 침해사고통계분석요약 3 1-4. 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5 2-2. 해킹사고접수처리통계분석 7 15 page 3. 침해사고위협분석 3-1. 악성코드은닉사이트 15 3-2. 허니넷유입악성코드 17 3-3. 허니넷유입유해트래픽 19 3-4. 국내인터넷망트래픽 24 26page 26 page 월간특집 인터넷연동구간 DDoS 공격현황및대응방안 38 page 부록 : 용어정리
1-1 6 월보안이슈 6 월에는대형언론사의홈페이지가해킹을당해홈페이지변조및악성코드유포에이용되는사고발생 - 한대형언론사의舊홈페이지초기화면이변조되고, 내부전산정보및직원정보등유출된데이터가인터넷사이트에공개되어이슈가됨 해당홈페이지는舊홈페이지주소로접속하는이용자들을변경된신규홈페이지로연결시켜주는역할을하고있었음 - 한편, 또다른대형언론사의홈페이지도악성코드유포경유지로악용되어보안이취약한 PC 이용자는메인화면에만접속해도악성코드를유포하는사이트에서악성코드가다운로드되어감염되므로, 보안강화가요구됨 국내에이용자가많은프로그램의제로데이취약점을이용한악성코드유포사례가발견되고있어보안업데이트실시등이용자들의주의가요구됨 - 한글 프로그램제로데이취약점악용사례 : 212 년통일정책토론회 ( 통일정책실주관 ) 이라는제목의이메일에조작된 HWP 첨부파일을송부하여취약한버전에서열어볼경우악성코드에감염 - MS 제로데이취약점악용사례 : 국내대형언론사, 연예기획사홈페이지에해당취약점을악용하는악성스크립트파일을은닉시켜놓아영향받는버전의윈도우이용자가홈페이지방문시악성코드에감염 1-2 주요보안권고 MS 의정기보안업데이트와 XML 취약점을비롯해, 한글프로그램, BIND, Oracle Java 등의취약점과관련한보안업데이트를인터넷침해대응센터홈페이지를통해권고 ( 총 11 종 ) 구분영향받는대상취약점내용및대책 Microsoft 한글 PHP 기반의국내공개웹게시판 BIND - Windows XP, Vista, 7 - Windows Server 23, 28 등 - MS-Office 23, 27, 21, Mac 용 28, 211 - MS Lync 21 등 상세버전홈페이지참조 - Windows XP, Vista, 7 - Windows Server 23, 28 등 - MS-Office 23, 27 등 상세버전홈페이지참조 한글 22, 24, 25, 27, 21 그누보드 4.36. 및이전버전 비비샵 4.5.1 및이전버전 9..x, 9.4-ESV, 9.6-ESV, 9.7., 9.8., 9.9. MS 정기보안업데이트 : [MS12-36]~[MS12-43] 총 8 종 ( 긴급 3, 중요 5) - 원격데스크톱에서발생하는취약점으로인한원격코드실행및관리자권한획득문제 - Internet Explorer 에서발생하는원격코드실행가능한취약점들누적패치 -.NET Framework 에서발생하는취약점으로인한원격코드실행및관리자권한획득문제등 영향받는버전의경우최신 MS 보안업데이트필요 XML Core Services(3.~6.) 에서발생하는취약점으로인한원격코드실행이나서비스 거부공격문제 영향받는버전의경우 MS 홈페이지에서 Fix it 5897 다운로드및설치또는 7월정기보안업데이트적용필요 특수하게조작된문서를열어볼경우코드실행취약점으로인해악성코드감염가능 영향받는버전의경우최신버전으로업데이트필요 자동업데이트 : 시작 모든프로그램 한글과컴퓨터 한컴자동업데이트 XSS(Cross Site Scripting) 취약점으로인한홈페이지관리자계정탈취가능 영향받는버전의경우최신버전으로업데이트필요 파일업로드취약점으로인해웹쉘을이용한웹서버해킹발생가능 영향받는버전의경우비비샵최신버전으로업그레이드후 htmlarea 디렉토리삭제 디렉토리위치 : [ 비비샵설치디렉토리 ]/admin/htmlarea DNS resource records 처리시발생되는취약점으로인해 DNS 서버가서비스거부를일으키거나일부메모리내용을노출시킬수있는문제 영향받는버전의경우운영되는서버버전에맞게업그레이드필요 자세한내용은인터넷침해대응센터홈페이지 (http://www.krcert.or.kr/ 보안정보 보안공지 ) 참조
1-3 침해사고통계분석요약 월별침해사고접수처리통계 구분 211 년총계 212 년 1 2 3 4 5 6 7 8 9 1 11 12 합계 악성코드피해신고 21,751 1,443 1,186 1,685 2,164 2,138 2,394 11,1 해킹사고접수처리 11,69 1,51 1,21 1,72 1,419 1,534 2,174 9,549 스팸릴레이 3,727 429 395 474 621 693 598 3,21 피싱경유지 단순침입시도 365 2,961 36 22 37 184 38 159 39 16 37 26 34 394 221 1,251 기타해킹 2,783 233 37 415 515 488 796 2,754 홈페이지변조 1,854 61 287 616 138 11 352 2,113 악성봇 (Bot) 감염율.52%.6%.6%.6%.7%.7%.7%.65% 전월대비증감추이 이달의악성코드피해신고건수는총 2,394 건으로전월 (2,138 건 ) 대비 12.% 증가하였으며, 주요악성코드로는이달에도게임계정탈취목적의 OnlineGameHack(33.8%) 이가장많은비율을보임 이달의해킹사고접수처리건수는총 2,174 건으로전월 (1,534 건 ) 대비 41.7% 증가하였으며, 유형별로는홈페이지변조 (22.%) 와단순침입시도 (94.3%) 등이큰폭으로증가하면서전체건수증가에영향을미침 구분 금월 전월대비증감추이 악성코드피해신고 2,394 건 전월 2,138건대비 12.% 증가 해킹사고접수처리 2,174 건 전월 1,534건대비 41.7% 증가 스팸릴레이 598 건 전월 693건대비 13.7% 감소 피싱경유지 34 건 전월 37건대비 8.1% 감소 단순침입시도 394 건 전월 26건대비 91.3% 증가 기타해킹 796 건 전월 488건대비 63.1% 감소 홈페이지변조 352 건 전월 11건대비 22.% 증가 악성봇 (Bot) 감염율.7% 전월 (.7%) 과동일 악성봇감염율 : 전세계악성봇감염추정 IP대비국내감염추정 IP의비율 3,5 3, 212 년 211 년 2,5 2, 212 년 211 년 2,5 2, 1,5 1,5 1, 1, 5 5 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 < 악성코드피해신고접수건수 > < 해킹사고접수처리건수 > [ 그림 1 ] 월별침해사고전체통계그래프 11 월 12 월
1-4 침해사고위협분석요약 악성코드은닉사이트 이달에탐지조치한악성코드은닉사이트는총 1,678 건으로, 전월 (436 건 ) 대비 284.9%(1,242 건 ) 증가함 - 악성코드가은닉된홈페이지를기관유형별로분류해보면기업이 1,356 건 (8.8%) 으로가장많았고, 웹서버유형별로는 MS IIS 가 945 건 (56.3%) 으로가장많은비중을차지함 구분 은닉사이트탐지조치건수 211 년총계 212 년 1 2 3 4 5 6 7 8 9 1 11 12 11,85 27 433 387 912 436 1,678 4,53 합계 허니넷유입악성코드 KISA 허니넷으로유입된전체악성코드샘플은전월대비 23.% 증가하였고, 악성코드별로는 Starman 계열 (58.8%) 이가장많은비중을차지했고, Virut 계열 (15.3%), Allaple 계열 (5.6%) 등의순으로나타남 신규수집된악성코드의유포국가별로는미국 (28.2%) 이가장많은비중을차지했고, 대만 (7.3%), 아르헨티나 (5.4%), 일본 (4.6%), 중국 (4.5%) 등의순으로나타남 허니넷유입유해트래픽 KISA 허니넷에유입된전체유해트래픽은약 46 만건으로전월 (525 만건 ) 에비해 22.7% 감소하였고, 해외 IP 로부터유발된트래픽이 91.9% 로대부분을차지함 - 해외로부터 KISA 허니넷에유입된유해트래픽은중국에서유발된 TCP/1433 포트스캔이가장많은비중을차지함 국내인터넷망트래픽 국내 ISP 일부구간에서수집된포트별트래픽양은전월에비해소폭감소했고, TCP/8 을제외하면 UDP/53, TCP/443 포트등에서상대적으로많은트래픽이발생한것으로나타남 국내 ISP 일부구간에서수집된공격유형별트래픽추이를살펴보면, 전월까지많이수집되던 ACK Port Scan 은크게감소한반면 DoS 공격트래픽인 Open Tear 트래픽이상대적으로많이발생한것으로나타남
2-1 악성코드피해신고통계분석 악성코드피해신고현황 6 월한달간국내주요백신업체로접수된악성코드피해신고건수는총 2,394 건으로전월 (2,138 건 ) 대비 256 건 (12.%) 증가한것으로나타났다. - 올상반기월평균피해신고건수는 1,835 건으로전년도 (1,812 건 ) 와비슷한수준을보임 구분 212년 211년 [ 표 1 ] 월별국내악성코드피해신고건수 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 1,443 1,186 1,685 2,164 2,138 2,394 11,1 2,92 1,847 1,566 2,335 1,786 1,763 1,912 1,695 1,724 1,99 1,263 1,841 21,751 악성코드피해신고건수는국내주요백신업체로신고접수된건수임 3,5 3, 2,92 212 년 211 년 2,5 2, 1,5 1,443 2,335 2,394 2,164 2,138 1,847 1,786 1,685 1,566 1,763 1,912 1,695 1,724 1,263 1,841 1, 1,186 1,99 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 2 ] 국내악성코드피해신고추이 주요악성코드 신고된주요악성코드를살펴보면, 이달에도게임계정탈취목적의 OnlineGameHack(89 건 ) 으로가장많았고, DDoS 공격등에이용되는 Agent(29 건 ) 가그뒤를이었다. - 전월에는상위에없던 Hupe(76 건 ), Downloader(51 건 ), Flamer(28 건 ) 등이신규로등장하여추이를지켜볼필요가있을것으로보임 한편, 키보드입력값을유출하기위한트로이목마나키로거유형의악성코드 (CSON, Jorik, HUPE 등 ) 및백신을강제종료시키는악성코드 (AVKiller 유형 ) 가지속적으로상위에올라개인 PC 이용자들의주의가요구된다.
피해신고된악성코드의비율을살펴보면, OnlineGameHack(33.8%), Agent(8.7%), HUPE(3.2%), AVKiller (3.1%), Banker(2.2%) 등의순으로나타나상위 5 개악성코드가 51.% 를차지했다. - OnlineGameHack 은전월 (42.2%) 보다 8.4% 감소하였고, Agent 도전월 (9.5%) 보다.8% 감소하였으나, 그밖에다양한악성코드들이소규모로많이신고접수되면서기타유형이증가함 순위 1 2 3 4 5 6 7 8 9 1 합계 명칭 OnlineGameHack Agent HUPE AVKiller Banker Downloader CSON Jorik FakeAV Flamer 기타 건수 89 29 76 75 52 51 5 48 38 28 958 2,394 49.% OnlineGameHack Agent HUPE AVKiller Banker 기타 3.2% 2.2% 3.1% 8.7% 33.8% [ 그림 3 ] 피해신고된주요악성코드별비율 최근 6 개월간주요악성코드의증감추이를살펴보면, OnlineGameHack 유형은년초에비해신고건수가크게증가해상반기가장많은신고건을차지했고, Agent 유형은전반적으로소폭의증가추세가지속되면서뒤를이었다. - 그밖에 Rootkit, AVKiller, Downloader 등도많은신고건수를차지했으나상대적으로건수의증감이적어비슷한수준을유지함 1, 9 8 7 6 5 4 3 2 1 OnlineGameHack Agent AVKiller DownLoader CSON 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 4 ] 최근 6 개월간주요악성코드신고건추이
2-2 해킹사고접수처리통계분석 해킹사고접수 처리현황 6 월한달간접수 처리한해킹사고건수는총 2,174 건으로, 전월 (1,534 건 ) 대비 64 건 (41.7%) 증가한것으로나타났다. - 올상반기월평균피해신고건수는 1,592 건으로전년도월평균 (974 건 ) 보다 63.4% 증가함 구분 212년 211년 표 2 월별해킹사고접수 처리현황 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 1,51 1,21 1,72 1,419 1,534 2,174 9,549 1,25 854 1,2 999 1,61 957 956 1,115 897 793 94 1,91 11,69 2,5 212 년 211 년 2,174 2, 1,72 1,5 1,51 1,21 1,419 1,534 1, 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 5 ] 해킹사고접수 처리증감추이 해킹사고를유형별로분류해보면, 기타해킹 (796 건 ) 이가장많은건수를차지했고, 스팸릴레이 (598 건 ), 단순침입시도 (394 건 ) 등의순으로나타났다. - 전월대비단순침입시도 (91.3%), 기타해킹 (63.1%), 홈페이지변조 (22.%) 등은증가했고, 스팸릴레이 (13.7%), 피싱경유지 (8.1%) 등은감소함 [ 표 3 ] 해킹사고유형별접수 처리현황 구분 211 년총계 212년 1 2 3 4 5 6 7 8 9 1 11 12 합계 스팸릴레이 3,727 429 395 474 621 693 598 3,21 피싱경유지 365 36 37 38 39 37 34 221 단순침입시도 2,961 22 184 159 16 26 394 1,251 기타해킹 2,783 233 37 415 515 488 796 2,754 홈페이지변조 1,854 61 287 616 138 11 352 2,113 합계 11,69 1,51 1,21 1,72 1,419 1,534 2,174 9,549 피싱경유지 : KISA가국외의침해사고대응기관이나사칭대상이된기관, 일반사용자로부터신고받아접수 처리한건수로써실제피싱사고건수가아니라보안이취약한국내시스템이경유지로악용된건수 단순침입시도 : KISA에서접수 처리한해킹신고중악성코드등으로유발된스캔 ( 침입시도 ) 을신고한건수 기타해킹 : KISA에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지건수
유형별비율을살펴보면, 기타해킹 (36.6%) 이가장많은비중을차지했고, 스팸릴레이 (27.5%), 단순침입시도 (18.1%) 등이뒤를이었다. - 전월가장많은비중을차지했던스팸릴레이는감소 (45.2% 27.5%) 했고, 기타해킹, 단순침입시도유형및홈페이지변조유형은증가함 16.2% 구분스팸릴레이피싱경유지단순침입시도기타해킹홈페이지변조합계 건수 598 34 394 796 352 2,174 36.6% 스팸릴레이피싱경유지단순침입시도기타해킹홈페이지변조 27.5% 18.1% 1.6% [ 그림 7 ] 해킹사고유형별비율 유형별증감추이를살펴보면, 연초부터스팸릴레이와기타해킹유형의증가추세가이어지고있으며, 홈페이지변조유형은큰폭의증감을반복해오고있다. - 올상반기에는전년도하반기에비해단순침입시도를제외한대부분의유형에서신고건수가증가함 85 8 75 7 65 6 55 5 45 4 35 3 25 2 15 1 5 7월 8월 9월 1월 11월 12월 12년 1월 2월 스팸릴레이피싱경유지단순침입시도기타해킹홈페이지변조 3 월 4 월 5 월 6 월 [ 그림 6 ] 해킹사고유형별증감추이
피해기관별분류 피해기관유형별로분류해보면이달에도개인유형이 1,555 건으로가장많았으며전월 (1,37 건 ) 대비 5.% 증가했고, 기업유형은 59 건으로전월 (487 건 ) 대비 21.1% 증가하였다. - 그밖에비영리, 대학, 연구소등의유형도전월대비증가하였으나신고건수가미미한수준에그침 [ 표 4 ] 해킹사고피해기관별분류 구분 211년총계 212년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 개인 7,932 673 73 887 921 1,37 1,555 5,776 기업 3,575 646 458 748 479 487 59 3,48 대학 13 2 4 4 4 3 4 21 비영리 79 147 1 45 11 7 23 243 연구소 1 1 2 3 네트워크 - 41 35 18 4 98 합계 11,69 1,51 1,21 1,72 1,419 1,534 2,174 9,549 기관분류기준 : 침해사고관련도메인이나 IP를기준으로기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (net), 개인 (pe 또는 ISP에서제공하는유동 IP 사용자 ) 으로분류 피해기관유형별비율을살펴보면, 개인유형이 71.5% 를차지했고, 기업유형은 27.1% 을차지해신고건수의대부분 (98.6%) 을차지했다. 1.1%.2%.1% 구분개인기업대학비영리연구소합계 건수 1,555 59 4 23 2 2,174 27.1% 개인기업대학비영리연구소 71.5% [ 그림 8 ] 해킹사고피해기관유형별비율
운영체제별분류 접수처리한해킹사고관련시스템들의운영체제를분류해보면, 이달에도윈도우운영체제가 952 건으로가장많았고전월 (859 건 ) 대비 1.8% 증가하였고, 리눅스운영체제도 527 건으로전월 (191 건 ) 대비 175.9% 증가한것으로나타났다. [ 표 5 ] 해킹사고피해시스템의운영체제별분류 구분 211년 212년총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 Windows Linux Unix 기타합계 7,731 1,631 13 2,315 11,69 712 493 6 299 1,51 643 175 392 1,21 875 346 481 1,72 785 176 458 1,419 859 191 484 1,534 952 527 695 2,174 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 합계 4,826 1,98 6 2,89 9,549 운영체제별비율을살펴보면, 윈도우운영체제는 43.8% 로전월대비 12.2% 감소한반면리눅스운영체제는 24.2% 로전월대비 11.7% 증가한것으로집계되었다. 구분 Windows Linux Unix 기타합계 건수 952 527 695 2,174 32.% Windows Linux Unix 기타 43.8% 24.2% [ 그림 9 ] 해킹사고피해시스템운영체제별비율 1
피싱경유지접수처리현황 6 월한달간접수된피싱경유지신고건수는총 34 건으로, 전월대비 3 건 (1.1%) 감소한것으로나타났다. - 올상반기월평균신고건수는 36.8 건으로전년도월평균 (3.4 건 ) 보다 21.1% 증가함 구분 피싱경유지접수처리건수 [ 표 6 ] 피싱경유지접수처리건수 211년 212년 총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 365 36 37 38 39 37 34 합계 221 피싱 (Phishing) 경유지접수처리건수는보안이취약한국내시스템이해킹을당하여, 해외유명기관등을사칭한홈페이지로 악용된사고를 KISA 가신고받아조치한건수임 6 212 년 211 년 5 4 3 2 3 36 37 25 38 38 39 24 37 29 34 22 31 39 36 38 26 27 1 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 1 ] 피싱경유지접수처리건수추이 피싱대상기관유형별로분류해보면, 금융기관 27 건 (79.4%) 로가장많았고, 기타 6 건 (17.6%), 전자상거래 1 건 (2.9%) 으로나타났다. 17.6% 기관유형금융기관기타전자상거래합계 건수 27 6 1 34 2.9% 금융기타전자상거래 79.4% [ 그림 11 ] 피상대상기관유형별비율 11
피싱대상기관별로살펴보면금융기관유형에는 PayPal, WellsFargo, ABSA Bank 등이등이해당되었고, 전자상거래기관유형에는 ebay, 기타에는검색포털 Yahoo, TAM Airlines 등이포함된것으로나타났다. 피싱대상기관및신고건수를국가별로분류한결과, 총 11 개국 23 개기관으로집계되었고, 미국 (8 개기관, 16 건 ), 스페인 (2 개기관, 4 건 ), 영국 (3 개기관, 3 건 ) 등이대부분을차지했다. - 그밖에브라질과호주가각각 2 개기관 2 건씩, 기타에는이탈리아, 남아프리카공화국, 덴마크, 중국, 캐나다, 포르투칼등이해당되었음 3 미국브라질영국스페인이탈리아 국가 기관수 신고건수 25 미국 8 16 2 스페인영국 2 3 4 3 15 브라질호주 2 2 2 2 1 기타 6 7 5 합계 23 34 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2월 3월 4월 5월 6월 [ 그림 12 ] 피싱대상기관소속주요국가별추이 피싱경유지로이용된국내사이트들을기관유형별로분류해보면, 기업이 19 건 (55.9%), 교육 3 건 (8.8%), 비영리 3 건 (8.8%), 개인 / 기타 2 건 (5.9%) 순으로집계되었고, 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우인 ISP 서비스이용자 유형은 7 건 (2.6%) 으로나타났다. 2.6% 구분기업교육비영리개인 / 기타 건수 19 3 3 2 5.9% 8.8% 기업교육비영리개인 / 기타 ISP 서비스이용자 55.9% ISP 서비스이용자 7 합계 34 8.8% [ 그림 13 ] 피상대상기관유형별비율 12
홈페이지변조사고처리현황 이달에는총 352 개의홈페이지에서변조사고가발생하여전월 (11 개 ) 대비 22.% 증가한것으로나타났고, 피해시스템은총 39 개로전월 (28 개 ) 보다 39.3% 증가하였다. 구분 피해홈페이지피해시스템 211년총계 1,854 57 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해 홈페이지수는피해시스템수보다많음 [ 표 7 ] 홈페이지변조사고처리현황 212년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 61 287 616 138 11 352 38 13 79 21 28 39 합계 2,113 578 - 올상반기에는연초 (1 월,3 월 ) 에발생한대량홈페이지변조사고가다수발생하면서크게증가해월평균 352.1 건으로전년도월평균 (154.5 건 ) 대비 127.8% 증가함 7 212 년 211 년 6 5 4 3 2 1 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 14 ] 홈페이지변조사고추이 피해시스템의운영체제를분류해보면, Linux 유형과 Win23 유형이각각 16 건 (41.%) 을차지했고, Win2 유형은 7 건 (17.9%) 로집계되었다. 운영체제 Linux Win 2 Win 23 건수 16 7 16 41.% Linux Win 2 Win 23 41.% 합계 39 17.9% [ 그림 15 ] 피해시스템운영체제별비율 운영체제의안정성과는상관관계가없으며, 홈페이지변조사고건의처리결과따른통계수치임 13
악성봇 (Bot) 현황 6 월한달간전세계악성봇감염추정 PC 중국내봇감염 PC 비율은약.7% 로전월과동일하게나타났다. [ 표 8 ] 국내악성봇 (Bot) 감염률 211년 212년구분총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월국내비율.5%.6%.6%.6%.7%.7%.7% 전세계악성봇감염추정 IP 중국내악성봇감염 IP가차지하는비율이며웹사이트를통한전파는제외됨 평균.65% 6 월평균국내악성봇감염 IP 수는전월대비 3.% 증가하였으나최근 3 개월동안소폭의감소추세가이어지고있다. - 악성봇전파를위해스캔한주요포트를살펴보면, TCP/8 포트 (8.2%) 가대부분을차지했고, TCP/1433 포트 (11.1%), TCP/445(4.4%) 등의순으로나타남 6, 국내월평균 3.% 1.3% 4.4% 5, 11.1% 4, 3, 2, 8 1433 445 139 기타 1, 8.2% 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 16 ] 국내악성봇감염 IP 추이및포트별비율 6 월평균국외악성봇감염 IP 수는전월대비 4.5% 감소하였고, 국외의경우에도국내와유사한추이를보이고있다. - 악성봇전파를위해스캔한주요포트를살펴보면, TCP/1433 포트 (58.6%) 가가장많은비중을차지했고, TCP/445(23.2%), TCP/8(5.3%) 등의순으로나타남 8, 7, 6, 국외월평균 4.7% 5.3% 8.2% 5, 4, 3, 23.2% 1433 445 8 139 기타 58.6% 2, 1, 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 17 ] 국외악성봇감염 IP 추이및포트별비율 14
3-1 악성코드은닉사이트 악성코드은닉사이트탐지 조치현황 6 월한달동안탐지하여대응한악성코드은닉사이트는총 1,678 건으로, 전월 (436 건 ) 대비 284.9%(1,242 건 ) 증가하였다. - 악성코드유포사이트수는전월대비 117.6%(85 건 185 건 ) 증가하였고, 경유사이트수는전월대비 325.4%(351 건 1,493 건 ) 증가한것으로나타남 [ 표 9 ] 악성코드은닉사이트탐지 조치현황 구분 211년총계 212년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 유포지 1,433 53 68 18 2 85 185 699 경유지 1,372 154 365 279 712 351 1,493 3,354 합계 11,85 27 433 387 912 436 1,678 4,53 유포지 : 악성코드를유포하는웹사이트 경유지 : 방문시유포지로연결시키는웹사이트 악성코드은닉사이트 : 악성코드유포지와경유지를통칭 악성코드은닉사이트의월별추이를살펴보면, 5 월에감소추세를보이다가, 6 월에는급격한증가추세를보이고있다. 2,5 212 년 211 년 2, 1,5 1, 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 18 ] 악성코드유포지 / 경유지추이 - 악성코드유포에악용되는웹사이트가증가하고있는만큼각기관 ( 기업 ) 의웹서버관리자는보안강화를위해사전점검및보안도구 ( 휘슬, 캐슬등 ) 적용등적절한보안관리가요구됨 참고사이트 홈페이지개발자 / 관리자를위한보안도구사이트 : http://toolbox.krcert.or.kr/ - 휘슬 (WHISTL) : 웹쉘및악성코드은닉사이트탐지프로그램 - 캐슬 (CASTLE) : 홈페이지의보안성을강화하는웹방화벽프로그램 정보보호시스템관리를위한안내서. 해설서 http://www.kisa.or.kr/ 자료실 관계법령 안내서. 해설서 정보보호시스템관리 ( 웹서버구축보안점검안내서, 웹어플리케이션보안안내서, 홈페이지개발보안안내서등제공 ) 15
기관유형 웹서버별분류 피해사이트를기관유형별로분류해보면, 기업 (1,356 건 ) 이가장많았고, 기타 (29 건 ), 비영리 (82 건 ), 네트워크 (24 건 ), 연구소 (6 건 ), 대학 (1 건 ) 등의순으로나타났다. - 기관유형별비율로는이달에도기업 (8.8%) 이가장많은비중을차지했고, 기타 (12.5%), 비영리 (4.9%), 네트워크 (1.4%), 연구소 (.4%), 대학 (.1%) 등의순으로나타남 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe, 국외유포지등 ) 구분기업대학비영리연구소네트워크기타합계 건수 1,356 1 82 6 24 29 1,678 1.4%.4% 4.9%.1% 12.5% 기업대학비영리연구소네트워크기타 8.8% [ 그림 19 ] 악성코드유포지 / 경유지피해사이트기관별분류 악성코드유포및경유지로악용된사이트를웹서버별로분류해본결과, MS IIS 웹서버가 945 건 (56.3%), Apache 웹서버가 45 건 (26.8%), 그밖에기타유형이 283 건 (16.9%) 으로집계되었다. 16.9% 구분 MS IIS Apache 기타합계 건수 945 45 283 1,678 26.8% MS IIS Apache 기타 56.3% [ 그림 2 ] 악성코드유포지 / 경유지웹서버별분류 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미폐쇄되어웹서버를파악하기어려운경우도기타에포함시켰음 16
3-2 허니넷유입악성코드 허니넷유입악성코드추이및유형별분류 6 월한달간 KISA 허니넷으로유입된전체악성코드샘플수는전월대비 23.% 증가했고, 지난해 9 월이후증감을반복하는추세가지속되고있다. - 전월대비 Allaple 악성코드유형이크게증가했고, Starman, IRC Bot 등전체적으로증가함 8, 7, 월별전체수집 월별신규수집 6, 5, 4, 3, 2, 1, 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 21 ] 월별수집샘플증감추이 수집된악성코드샘플은윈도우보안취약점을통해네트워크로자동전파되는유형으로, 이메일이나웹사이트를통해전파되는 악성코드의추이와는다를수있음 악성코드별비율을살펴보면, Starman 계열 (58.8%) 이가장많은비중을차지했고, Virut 계열 (15.3%), Allaple 계열 (5.6%), IRCBot(.8%) 등의순으로나타났다..8% 15.3% 19.5% 5.6% Starman Allaple Virut IRCBot other [ 그림 22 ] 신규수집된악성코드비율 58.8% Virut : 윈도우실행파일을감염시키며변종의경우네트워크의트래픽을유발시키는악성코드 Starman : 사용자정보유출등악의적인기능을수행할수있으며네트워크의트래픽을유발시키는악성코드 Allaple : 시스템내의 *.HTM, *.HTML 파일을감염시키고, 백도어역할수행으로공격자가원격제어할수있는악성코드 IRCBot : 특정 IRC채널에접속시도하며트로이목마를다운받고, 네트워크트래픽과부하, 속도저하를유발시키는악성코드 17
수집된주요악성코드별증감추이를살펴보면, 최근 12 개월간 Starman 계열이전체적으로가장많이수집되고있으며, Virut 계열도주기적으로증감을반복하는추이를보이고있다. - 그밖에 IRCBot 계열과 MyDoom 계열은증감의변화가거의없이유사한수준에서수집되고있음 4, Starman Allaple Viruit IRCBot MyDoom 35, 3, 25, 2, 15, 1, 5, 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 [ 그림 23 ] 악성코드신규건수집추이 2 월 3 월 4 월 5 월 6 월 이달에신규수집된악성코드의유포국가별비율을살펴보면, 전월에이어미국 (28.2%), 대만 (7.3%) 등이지속적으로상위권을유지했다. - 그밖에는아르헨티나 (5.4%), 일본 (4.6%), 중국 (4.5%) 등의순서로나타났고, 다양한국가들로부터소규모로수집된악성코드가다수를차지하면서기타비율이높아짐 5.% 미국대만아르헨티나일본중국기타 28.2% 7.3% 5.4% 4.6% 4.5% [ 그림 24 ] 신규악성코드유포국가별비율 18
3-3 허니넷유입유해트래픽 허니넷유입유해트래픽추이 6 월한달동안 KISC 허니넷에유입된전체유해트래픽은약 46 만건으로전월 (525 만건 ) 에비하여 22.7% 감소하였다. ( 단위 : 만건 ) 9 전체해외국내 8 7 6 5 4 3 2 1 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 [ 그림 25 ] 허니넷유입유해트래픽추이 2 월 3 월 4 월 5 월 6 월 KISA 허니넷에유입되는트래픽은악성코드, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많음 트래픽유발 IP 의해외 / 국내소재별로분류한결과, 해외소재 IP 로부터의트래픽은약 91.9% 로전월대비.1% 감소 (92.% 91.9%) 한것으로나타났다. 8.1% 국내 IP 유발국외 IP 유발 91.9% [ 그림 26 ] 유해트래픽유발 IP 의국내외비율 19
주요국가별공격유형 해외로부터 KISA 허니넷에유입된트래픽을근원지 IP 소재국가별로분석한결과중국으로부터유입된트래픽이 5.6% 로가장많았으며다음으로미국 (21.6%), 대만 (3.%) 순이었다. - 중국으로부터의트래픽은 TCP/1433, TCP/3389 포트에대한서비스스캔이가장많은비중을차지한것으로나타났다. China U.S.A Taiwan [ 그림 27 ] 허니넷유입트래픽 TOP3 국가별공격유형 6.8% 25.4% 7.8% 중국 China 1.3% 18.% TCP/1433 - tcp service scan 49.7% 4.5% 미국 U.S.A 6.5% 8.8% 6.2% Ping Sweep 32.6% 11.6% 7.% 27.5% 7.% 8.4% 1.9% 대만 Taiwan 17.7% 14.8% TCP/445 - tcp service scan 39.4% TCP/3389 - tcp service scan TCP/445 - tcp service scan TCP/23 - tcp service scan TCP/336 - tcp service scan TCP/4899 - tcp service scan TCP/25 - tcp service scan TCP/22 - tcp service scan TCP/22 - tcp service scan TCP/18 - tcp service scan 기타 기타 기타 2
해외로부터 KISA 허니넷으로유입된트래픽의근원지 IP 의국가를살펴보면, 중국 (5.6%) 로가장많은비중을차지했으나전월대비 1.2% 감소하였고, 미국 (21.6%) 은전월대비 1.% 증가한것으로분석되었다. - 그밖에국가로는대만 (3.%), 브라질 (2.6%), 루마니아 (2.3%) 등의순이며, 기타에는일본, 캐나다, 러시아, 브라질등이해당됨 19.9% 순위 1 2 3 4 5 6 국가명중국미국대만브라질루마니아기타합계 비율 5.6% 21.6% 3.% 2.6% 2.3% 19.9% 1% 2.3% 2.6% 3.% 21.6% 중국미국대만브라질루마니아기타 5.6% [ 그림 28 ] 허니넷에유입된유해트래픽의국가별비율 주요국가별추이를살펴보면, 중국이차지하는비율은지난달에비해소폭감소한반면, 미국은소폭증가하였으며, 그밖의다른국가들은상대적으로증감의변화없이비슷한수준을보이고있다. 8% 중국미국대만러시아일본 7% 6% 5% 4% 3% 2% 1% % 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 29 ] 허니넷에유입된유해트래픽의국가별추이 21
해외 국내 이달에해외로부터 KISC 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/1433 포트에대한서비스스캔이 27.2% 로가장많았고, ICMP(15.%), TCP/445(1.8%) 등의순으로나타났다. 순위 1 2 3 4 5 6 포트 TCP/1433 ICMP TCP/445 TCP/22 TCP/3389 기타합계 비율 27.2% 15.% 1.8% 7.5% 7.1% 32.4% 1 32.4% 7.1% TCP/1433 - tcp service scan ICMP TCP/445- tcp service scan TCP/22 - tcp service scan TCP/3389- tcp service scan 기타 27.2% 15.% 7.5% 1.8% [ 그림 3 ] 해외 국내 ( 허니넷 ) 공격유형별비율 공격유형별추이를살펴보면, 가장많은비중을차지하는 TCP/1433 포트에대한서비스스캔을비롯해주요유형에서모두소폭의증가추세를보였다. - 전월대비 TCP/1433(.2%), ICMP(.6%), TCP/445(1.7%), TCP/22(2.3%),TCP/3389(.4%) 증가함 45% TCP/1433 - tcp service scan ICMP PingSweep TCP/445- tcp service scan TCP/22 - tcp service scan TCP/3389 tcp service scan 4% 35% 3% 25% 2% 15% 1% 5% % 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 31 ] 해외 국내 ( 허니넷 ) 공격유형별증감추이 - MS-SQL(TCP/1433), SSH(TCP/22) 포트에대한서비스스캔이많은비율을차지하고있으므로, 데이터베이스, 원격접속등에대한접근제어설정, 보안업데이트적용등보안조치가필요함 22
국내 국내 국내에서 KISC 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/8 를통한서비스스캔이 45.7% 로가장많았고, ICMP(2.3%), TCP/139(13.7%) 등의순으로나타났다. 순위 1 2 3 4 5 1 국가명 TCP/8 ICMP TCP/139 TCP/1433 TCP/3389 기타합계 비율 45.7% 2.3% 13.7% 6.3% 3.9% 1.1% 1 6.3% 13.7% 3.9% 1.1% TCP/8 - tcp service scan ICMP TCP/139 - tcp service scan TCP/1433 - tcp service scan TCP/3389 - tcp service scan 기타 45.7% 2.3% [ 그림 32 ] 국내 국내 ( 허니넷 ) 공격유형별비율 주요포트별증감추이를살펴보면, TCP/8 포트에대한스캔공격은큰폭으로증가하였고, ICMP, TCP/139 포트와 TCP/1433 포트는감소하였다. - 주요포트별증감추이를살펴보면 TCP/8 포트는 44.6% 증가, ICMP Ping Sweep 은 5.3% 감소, TCP/139 포트는 9.1% 감소하였음 5% 45% TCP/8-tcp service scan ICMP-Ping Sweep TCP/139-tcp service scan TCP/1433-tcp service scan TCP/3389-tcp service scan 4% 35% 3% 25% 2% 15% 1% 5% % 7 월 8 월 9 월 1 월 11 월 12 월 12 년 1 월 2 월 3 월 4 월 5 월 6 월 [ 그림 33 ] 국내 국내 ( 허니넷 ) 공격유형별증감추이 23
3-4 국내인터넷망트래픽분석 프로토콜및포트추이분석 국내 ISP 의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의포트별추이를파악한결과, TCP/8(HTTP) 트래픽이가장많았고, UDP/53, TCP/443 등이주로관찰되었다. 6,, 5,, 4,, 3,, 2,, 1,, 21261 21262 21263 21264 21265 21266 21267 21268 21269 21261 212611 212612 212613 212614 212615 212616 212617 212618 212619 21262 212621 212622 212623 212624 212625 212626 212627 212628 212629 21263 [ 그림 34 ] 국내인터넷망에유입된포트별트래픽일자별추이 TCP/8 UDP/53 TCP/443 UDP/22 TCP/88 수집된트래픽중 TCP/8 을제외한나머지트래픽에대한 3 개월간포트별추이를살펴보면, 꾸준히증가추세를보이던 UDP/22 포트가 6 월중순이후크게감소한반면, UDP/53 포트는 5 월부터간헐적으로큰폭의증감을반복하고있으며 TCP/443 도소폭의증가추세를보였다. 1,6, UDP/53 1,4, TCP/88 TCP/443 1,2, TCP/51 UDP/22 1,, 8, 6, 4, 2, 21241 21244 21247 21241 212413 212416 212419 212422 212425 212428 21251 21254 21257 21251 212513 212516 212519 212522 212525 212528 21261 21264 21267 21261 212613 212616 212619 212622 212625 212628 [ 그림 35 ] 국내인터넷망에유입된포트별트래픽 3 개월추이 24
공격유형및추이분석 이번달국내 ISP 의일부구간에서수집된공격트래픽을분석한결과, DDoS 공격트래픽인 Open Tear 유형과 TCP ACK Flooding 유형의트래픽이자주수집되었다. - 전월까지상대적으로많은트래픽이수집되었던 ACK Port Scan 유형이크게감소한반면, 순위에없던 Ping Flooding 유형이상위에올라추이를지켜볼필요가있음 12, TCP ACK Flooding Open Tear 1, 8, UDP Tear Drop Ping Flooding TCP DR DOS Attack 6, 4, 2, 21261 21262 21263 21264 21265 21266 21267 21268 21269 21261 212611 212612 212613 212614 212615 212616 212617 212618 212619 21262 212621 212622 212623 212624 212625 212626 212627 212628 212629 21263 212631 [ 그림 36 ] 국내인터넷망에유입된공격유형일자별추이 최근 3 개월간공격트래픽추이를살펴보면, 5 월중순까지 ACK Port Scan 트래픽이자주수집되었으나 5 월말이후크게감소한반면, OpenTear 공격트래픽을비롯해 UDP Tear Drop, TCP ACK Flooding 유형등은소폭증가하였다. 14, ACK Port Scan(F/W Scan) 12, UDP Tear Drop TCP ACK Flooding 1, Open Tear TCP Connect DOS 8, 6, 4, 2, 21241 21244 21247 21241 212413 212416 212419 212422 212425 212428 21251 21254 21257 21251 212513 212516 212519 212522 212525 212528 21261 21264 21267 21261 212613 212616 212619 212622 212625 212628 [ 그림 37 ] 국내인터넷망에유입된공격유형 3 개월추이 25
인터넷연동구간 DDoS 공격현황및대응방안 DDoS 공격은공격자가악성코드에감염된다수의좀비 PC 를이용하여대량의유해트래픽을특정시스템에전송하여정상적인서비스를방해하는공격이다. 최근금전적이익을목적으로협박성 DDoS 가꾸준히발생하고있으며, 9 년 7.7 DDoS, 11 년 3.4 DDoS 및중앙선관위 DDoS 공격처럼국가의주요홈페이지를공격하여사회적, 정치적혼란을야기하는형태등으로변화를보이고있다. 이처럼 DDoS 공격으로인한위협이지속적으로증가하고있는가운데 DDoS 대응체계강화를위한방안으로 ISP 사이를연결하는인터넷연동구간에 DDoS 대응시스템을구축 운영해오고있다. 본문서에서는인터넷연동구간에서발생하는 DDoS 공격현황을분석하고, 이를바탕으로주요 DDoS 공격방법과효과적인대응방안을살펴보고자한다. 1 인터넷연동구간 DDoS 대응시스템현황 DDoS 공격은다수의 ISP 망에서복합적으로관계되어발생하는경우가많다. 예를들어 A ISP 에서발생한 DDoS 공격트래픽이 B ISP 로유입되거나, B ISP 에서발생한공격트래픽이 A ISP 로유입될수있다. 이경우 A ISP 와 B ISP 는자사망을보호하기위해서가아니라상호타사망을보호하기위하여공격트래픽을차단해주어야하는상황이발생한다. 그러나각 ISP 는자사망에대한보호가우선이므로타 ISP 망을보호하기위한대책은미온적일수밖에없다. 이처럼 ISP 상호간에인터넷트래픽을교환하는노드인인터넷연동구간 (IX) 은보안의사각지대가될수있다. 따라서인터넷연동구간일부에 DDoS 대응시스템을정부주도로구축 운영함으로써각 ISP 상호간에발생하는 DDoS 공격트래픽에대해서효과적으로대응하고있다. [ 그림 1] 인터넷연동구간 DDoS 대응시스템구축배경 인터넷연동구간 DDoS 대응시스템은평시에는설치된연동구간의 DDoS 공격을상시모니터링을하고, 공격이발생하면 DDoS 대응시스템으로공격트래픽을우회및차단하여정상트래픽만연동구간으로재전송하는형태로운영된다. 26
인터넷연동구간 DDoS 공격현황및대응방안 [ 그림 2] 인터넷연동구간 DDoS 대응시스템운영도 DDoS 대응시스템은 8 년 ~ 11 년까지 12 개의주요 ISP/SO 연동구간에총 16 식이구축되었으며, 올해도 LG U+ 와티브로드의인터넷연동구간에 2 식이추가구축될예정이다. 가. 인터넷연동구간 DDoS 대응시스템탐지및대응현황 인터넷연동구간에구축된 DDoS 대응시스템은정부, 공공, 금융, 정당, 언론및포털등분야별주요사이트를상시모니터링하고있으며, 어나니머스루트 DNS 공격이나 212 여수세계박람회등사회적이슈관련사이트를해당기간동안집중모니터링하고있다. 이와같은지속적모니터링의성과로 7.7 DDoS, 3.4 DDoS, 1.26 중앙선관위 DDoS 공격등을포함하여총 75 건 ( 9. 7 ~ 12. 6 기준 ) 의 DDoS 공격을탐지하였으며, 공격 IP 목록을확보하여악성코드치료유도및 ISP 및사이트운영자에게즉각적인대응조치를요청하였다. 단위 ( 건 ) 3 29 25 239 2 168 15 1 5 53 29년 (7월 ~ ) 21년 211년 212년 ( ~6월 ) [ 그림 3] 인터넷연동구간 DDoS 대응시스템탐지 대응현황 27
인터넷연동구간 DDoS 공격현황및대응방안 나. 탐지된공격유형분석 인터넷연동구간에서탐지된 DDoS 공격을공격유형측면에서살펴보자면, 총 75 건 ( 9. 7 ~ 12.6 기준 ) 중네트워크트래픽과부하를유발해대역폭을소진시키는네트워크공격이 623 건으로전체공격의 83% 를차지했다. 그리고서버에과도한접속연결또는서비스부하로서버의 CPU 자원을소모시키는어플리케이션공격이 41 건으로전체공격형태의 5.5% 를차지했다. 최근 DDoS 공격은여러공격유형을복합적으로사용하는공격형태가두드러지는경향이있으며, 인터넷연동구간에서도복합적공격유형이탐지된전체공격형태의 1% 를차지했다. 단위 ( 건 ) 8 7 6 5 ETC 14% IP 8% 4 3 2 TCP 9% ICMP 11% UDP 58% 1 네트워크공격의프로토콜분석 네트워크공격어플리케이션공격복합적공격기타 [ 그림 4] 인터넷연동구간에서탐지된 DDoS 공격현황 2 DDoS 공격유형과대응방안 1. 네트워크공격 인터넷연동구간에서주로탐지된네트워크공격기법인 UDP Flooding 의공격트래픽생성, 탐지및차단방법에대해살펴보고자한다. UDP Flooding 공격은공격자가다량의 UDP 패킷을서버로전송하여서버가보유한네트워크대역폭을가득채워다른정상적인클라이언트의접속을원활하지못하도록유발시키는공격방법이다. 이공격은 UDP 프로토콜을이용하기때문에상대적으로 TCP 프로토콜을이용한공격보다공격트래픽생성및변조가용이하며, 높은 pps 공격이가능하다. 가. 공격트래픽생성 UDP Flooding 공격의경우공격자가다량의패킷을발생시켜공격대상의네트워크대역폭을잠식시켜야하므로다수의좀비 PC 를이용하여공격을수행하는것이효과적이다. 이절에서는명령제어서버를통해좀비 PC 에게명령을내려 DDoS 공격을수행하는대표적인공격도구를이용하여, 1.1.1.2 서버를대상으로 UDP Flooding 공격트래픽을생성해보았다. 28
인터넷연동구간 DDoS 공격현황및대응방안 [ 그림 5] 공격도구로 UDP Flooding 공격트래픽생성사례 나. 공격트래픽탐지 1 Wireshark 이용 네트워크패킷수집및분석도구인 Wireshark 을이용하여웹서버앞단에서공격트래픽을탐지한결과를살펴보자. 실제공격도구에서설정한대로, 탐지된공격트래픽의목적지는 1.1.1.2 이고, 공격목적지포트는 8 인 http 이며, 프로토콜의종류는 UDP 임을확인할수있다. [ 그림 6] Wireshark 으로공격트래픽탐지 2 PRTG 이용 네트워크대역폭사용률을모니터링하는윈도우기반의간편한소프트웨어인 PRTG 를통해서도공격 29
인터넷연동구간 DDoS 공격현황및대응방안 트래픽을탐지할수있다. 실제 SNMP 1) 를통해웹서버앞에설치된라우터로유입되는공격트래픽을살펴보았을때공격도구로좀비 PC 1 여대를이용하여 UDP Flooding 공격을실행할경우약 4 ~ 5Gbyte 의공격트래픽이발생하는것을탐지할수있다. 참고로발생하는공격트래픽의양은좀비 PC 의성능과네트워크상태에따라가변적이다. 3 DDoS 대응시스템이용 [ 그림 7] PRTG 로공격트래픽탐지 DDoS 대응시스템을이용한 UDP Flooding 공격탐지설정방안을살펴보도록하자. DDoS 대응시스템에서는다음 [ 그림 8] 과같이탐지정책설정메뉴에서 UDP Flooding 공격에대해 4 초간 512 회의공격이발생하면 DDoS 공격이라고탐지하겠다고설정가능하다. [ 그림 8] DDoS 대응시스템탐지정책설정 실제 설정된탐지정책에따라탐지된 UDP Flooding 공격은탐지내역메뉴에서확인가능하다. 탐지 내역에서는공격명, 공격자와공격대상자의 IP 주소및포트정보, 공격데이터크기및시도횟수등의 정보도알수있다. [ 그림 9] DDoS 대응시스템탐지내역 1) SNMP(Simple Network Management Protocol): IP 기반의네트워크에서각호스트들의정보를정기적으로수집하여네트워크를 관리하기위한프로토콜. PRTG 에서대역폭과네트워크사용률관련데이터를수집하기위한방법의일환으로사용. 3
인터넷연동구간 DDoS 공격현황및대응방안 다. 공격트래픽대응 이절에서는 UDP Flooding 공격에대응하기위해라우터, DDoS 대응시스템등네트워크장비별대응방안에대해살펴보고자한다. 1 라우터를활용한대응방안 ( 방안 1) ACL 적용 ACL(Access Control List) 은접근제어목록을뜻하는것으로, Cisco 라우터에서는 Standard ACL 과 Extended ACL 등여러종류의 ACL 기능을제공하고있다. Standard ACL 은공격 Source IP 주소기반으로의차단이적용가능하며, Extended ACL 은공격 Soruce IP 주소, Destination IP 주소, Protocol 기반으로의차단이적용가능하다. UDP Flooding 공격의경우다수의좀비 PC 를이용하여여러 Source IP 주소대역에서공격트래픽이유입되므로, Source IP 주소기반으로접근제어를적용하는 Standard ACL 로는공격트래픽차단에어려움이있을수있다. 따라서웹서버에서 UDP 프로토콜관련서비스를제공하지않는다면프로토콜기반으로접근제어를적용하는 Extended ACL 을사용하여공격트래픽을차단하는것이효과적이다. [ 표 1] ACL 적용방법 (CISCO 라우터기준 ) 목적명령어문법 access-list number 범위예제예제결과목적명령어문법 access-list number 범위예제예제결과 Standard ACL Source IP 주소를이용한허용 / 거부목록생성 access-list access-list-number {permit deny} {host source source-wildcard any} 1~99, 13~1999(Cisco IOS Software Release 12..1부터적용 ) router#conf t router(config)#access-list 1 deny 192.168.1....255 router(config)#interface f/1 router(config-if)#ip access-group 1 in 192.168.1./24에서유입되는패킷차단 Extended ACL Source, Destination IP 주소, protocol, option을이용한허용 / 거부목록생성 access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] 11~199, 2~2699(Cisco IOS Software Release 12..1부터적용 ) router#conf t router(config)#access-list 11 deny udp any any router(config)#access-list 11 permit ip any any router(config)#interface f/1 router(config-if)#ip access-group 11 in 라우터로유입되는전체 UDP protocol 패킷차단 출처 : www.cisco.com - TechNotes(Configuring IP Access Lists) 31
인터넷연동구간 DDoS 공격현황및대응방안 ( 방안 2) Rate-limit 적용 ACL 은공격이유발되는네트워크대역이나프로토콜을차단하는반면, Rate-limit 는일정수준의트래픽만허용하고나머지는차단하는방법이다. 즉, 서버가감당할수있는트래픽의임계치를설정하는방법이다. Rate-limit 방법은네트워크관리자가내부로유입되는트래픽의양을결정할수있는장점이있으며, 지속적인 DoS 공격으로부터네트워크자원을보호할수있기때문에대부분의서버에서많이사용되고있는방법이다. Cisco 라우터에서는 CAR(Committed Access Rate) 이름의 Rate-limit 방법을제공하고있다. [ 표 2] Rate-limit 적용방법 (CISCO 라우터기준 ) 목적명령어문법예제예제결과 CAL(Committed Access Rate) 임계치를설정하여트래픽양제한 rate-limit {input output} [access-group [rate-limit] acl-index] bps burst-normal burst-max conform-action action exceed-action action router#conf t router(config)#interface f/1 router(config)#rate-limit input 8 16 24 conform-action transit exceed-action drop 서버가감당할수있는트래픽의임계치는 8Mbps로, burst normal은 16byte로, burst maximum은 24byte로지정네트워크트래픽이해당조건을만족하면전송되고, 만족하지못한경우는 drop 되도록지정 출처 : www.cisco.com - TechNotes(Configuring IP Access Lists) ( 방안 3) ACL, Rate-limit 동시적용 ACL 의경우공격자의트래픽만차단하는것이아니라, 공격자와같은네트워크내의정상사용자의트래픽도차단하는문제점이있다. Rate-limit 의경우임계치를설정하여트래픽양을제한하므로공격자의트래픽도서버에도달하는문제점이있다. 따라서공격트래픽의접근을막고정상트래픽의접근을허용하기위해 ACL 과 Rate-limit 를동시에적용하는것이바람직하다. 2 DDoS 대응시스템을활용한대응방안 DDoS 공격트래픽대응을위해라우터상에서는 Rate-limit 방법을명령어로입력하였으나, DDoS 대응시스템에서는간단한차단임계치설정으로동일한효과를이끌어낼수있다. 다음그림과같이 UDP Flooding 공격에대해탐지및방어를선택하면, 4 초간 512 회의공격이발생하였을때공격으로탐지및차단이가능하다. [ 그림 1] DDoS 대응시스템공격대응 32
인터넷연동구간 DDoS 공격현황및대응방안 2. 네트워크공격 이절에서는어플리케이션공격중 11 년 12 월 Chaos Communication Congress 에서발표되어최근이슈가된공격기법인 HashDoS 의공격트래픽생성, 탐지및차단방법에대해살펴보고자한다. 웹서버는 HTTP Request 요청시 GET, POST 방식으로전송되는변수를해시테이블을이용하여관리한다. HashDoS 공격은 HTTP POST 메시지에다수의변수를전달하여웹서버해시테이블의인덱스정보가중복되게하여, 기저장된정보조회시많은 CPU 자원을소모하도록유도하는공격방법이다. 가. 공격트래픽생성 이절에서는공격도구를이용하여, 1.1.1.24 서버를대상으로 HashDoS 공격트래픽을생성해보았다. 공격도구는다음그림과같이명령어쉘기반의 UI 를가지며, Target 부분에웹서버의 URL 만입력해주면공격실행이가능하다. [ 그림 11] DDoS 대응시스템공격대응 나. 공격트래픽탐지 1 Wireshark 이용 웹서버앞단에서 Wireshark 을이용하여공격트래픽을탐지한결과를살펴보자. 실제공격도구에서설정한대로, 탐지된공격트래픽의목적지는 1.1.1.24 이고, TCP SYN 패킷을보내 TCP 세션연결을맺은후, HTTP POST 요청을보내는것을확인할수있다. 33
인터넷연동구간 DDoS 공격현황및대응방안 [ 그림 12] Wireshark 으로공격트래픽탐지 Wireshark 의 Follow TCP Stream 기능을이용하여 HashDoS 공격패킷의내용을살펴보면다음 [ 그림 13] 과같이 HTTP POST 요청에다수의매개변수를전송하고있는것을확인할수있다. [ 그림 13] HashDoS 공격트래픽분석 34
인터넷연동구간 DDoS 공격현황및대응방안 2 DDoS 대응시스템이용 DDoS 대응시스템을이용한 HashDoS 공격탐지설정방안을살펴보도록하자. HashDoS 의경우 HTTP POST 요청을보내기위해, TCP SYN 패킷을먼저보내므로 DDoS 대응시스템에서 TCP SYN 패킷에대한임계치를설정함으로써 TCP SYN Flooding 공격유형으로 HashDoS 공격을탐지가능하다. [ 그림 14] DDoS 대응시스템탐지정책설정 실제 설정된탐지정책에따라탐지된 TCP SYN Flooding 공격은탐지내역메뉴에서확인가능하다. 탐지 내역에서는공격명, 공격자와공격대상자의 IP 주소및포트정보, 공격데이터크기등의정보도알수 있다. [ 그림 15] DDoS 대응시스템탐지내역 다. 공격트래픽대응 HashDoS 공격에대응하는방법으로 DDoS 대응시스템을이용여공격트래픽을차단하는방법과웹서버를이용하여공격트래픽에대응하는방법에대해살펴보고자한다. 1 DDoS 대응시스템을활용한대응방안 이절에서는 DDoS 대응시스템을활용하여 HashDoS 공격에이용가능한여러가지방어기제를살펴고자한다. 어플리케이션공격유형의경우네트워크공격유형과달리특정공격지주소나프로토콜에의한차단뿐아니라, 별도의인증과정이나패킷의컨텐츠를검사하여공격트래픽을차단할수있다. 35
인터넷연동구간 DDoS 공격현황및대응방안 ( 방안 1) Rate-limit 적용 HashDoS 공격의경우 HTTP POST 요청을보내기전에, 다수의 TCP 세션을연결하기때문에 DDoS 대응시스템의 Zombie Removal 기능을사용하여임계치를설정하여공격트래픽을차단할수있다. Zombie Removal 은사용자가 pps 나 bps 임계치를설정하여특정호스트에서임계치를초과하는트래픽이 1 분이상발생되면, 해당호스트를블랙리스트에등록하여트래픽을차단하는기능이다. 그리고트래픽발생량이임계치이하로내려간상태로 1 분이상지속되면자동으로차단이해제된다. 아래그림에서와같이 Zombie Removal 기능은모든호스트에대해적용할수도있지만, Zombie Filter 옵션으로특정호스트나포트등에국한하여적용할수도있다. [ 그림 16] DDoS 대응시스템공격대응 ( 방안 2) TCP SYN/HTTP 인증 TCP SYN 인증기능은 DDoS 대응시스템에서 TCP SYN 패킷에대해서특정 sequence number 로 SYN-ACK 로응답하여호스트가 sequence number +1 로 ACK 응답을하는지확인하여공격패킷인지검증하는기능이다. HTTP 인증기능은 HTTP GET 이나 HEAD 요청패킷에대해 DDoS 대응시스템에서수정된 URI 로 HTTP Redirection 로응답하여해당호스트에서수정된 URI 로재접속으로하는지확인하여공격패킷인지검증하는기능이다. 공격도구는 PC 상의웹브라우저처럼 TCP SYN 인증이나 HTTP Redirection 에적절히대응할수없으므로공격패킷으로판단되어차단된다. ( 방안 3) 컨텐츠필터링 DDoS 대응시스템에서는패킷의컨텐츠를검사하여특정문자열이있는경우트래픽을차단할수있는 Payload Regular Expression 기능을제공하고있다. 따라서 HashDoS 처럼특정문자열의반복이많은경우 Payload 기능을이용하여공격트래픽을차단할수있다. 2 웹서버단의대응방법 Tomcat, PHP, Rudy 등최신버전에서는 HTTP POST 변수의개수를제한할수있는기능이추가되었으므로버전업데이트를통하여 HashDoS 공격에대응할수있다. Tomcat 의경우 - ( 변수개수제한 ) TOMCAT_HOME/conf/server.xml 의 Connector 부분을다음과같이설정 <Connector port= 89 protocol= AJP/1.3 maxparametercount= xxx./> 적용가능버전 : Tomcat 5.5.35, 6..35, 7..23 36
인터넷연동구간 DDoS 공격현황및대응방안 - (POST 메시지크기제한 ) 사이즈를제한하는것이서비스에문제가없는경우적용하며, TOMCAT_ HOME/conf/server.xml 의 Connector 부분을다음과같이설정 <Connector port= 89 protocol= AJP/1.3 maxpostsize= xxx./> PHP 의경우 - PHP 5.4. RC4 로업데이트한후, php.ini 파일에서 max_input_var 에서최대 HTTP POST Parameter 개수를설정 - PHP 5.4. RC4 이하인경우, PHP Source 에서소스변경부분을수동으로설정하고 http://svn.php.net/ viewvc?view=revision&revision=3213 에서수정된소스를다운받아재빌드하여적용 소스 : PHP_5_4/main/main.c, PHP_5_4/main/php_globas.h, PHP_5_4/main/php_variables.c - 소스빌드가어려운경우, php.ini 에서 max_input_time 을이용하여스레드당최대동작시간을지정 RUDY 의경우 - ruby 1.8.7-p357 이상의최신버전으로업데이트 출처 : Denial of service attack was found for Ruby s Hash algorithm (CVE-211-4815) Microsoft IIS 의경우 - Microsoft Security Bulletin MS11-1 로패치 출처 : http://technet.microsoft.com/en-us/security/bulletin/ms11-1 3 결론 지금까지인터넷연동구간에서발생하는주요 DDoS 공격유형과대응방안을살펴보았다. DDoS 공격의특징은좀비 PC 를통한과도한접속으로네트워크대역폭이나어플리케이션자원을소모시켜사용자가정상적인서비스의이용을불가능하게한다는점이다. 과거 DDoS 공격의대응방안은네트워크대역폭을늘리거나네트워크장비의성능을고도화거나 DDoS 공격발생시공격하는 IP 를상위네트워크에서차단시키는등네트워크측면에서의방어기법이대부분이었다. 그러나 7.7 DDoS, 3.4 DDoS 공격에서도나타났듯이공격방법이기존 DDoS 공격과달리명령 제어서버가존재하지않고악성코드를업데이트하는서버만존재하였으며공격방법도명령 제어서버를통한실시간공격제어를통하지않고스케줄링을통한순차적공격을시도하였다. 때문에기존의네트워크중심의대응아닌사용자중심의대응방법을통해서겨우그공격을멈출수있었다. 즉감염된 PC 를백신으로치료하여악성코드를제거함으로써 DDoS 공격을멈추게하였다. 그러므로 DDoS 공격대응을위해앞서살펴본라우터, DDoS 대응시스템등의네트워크장비단이나웹서버등의어플리케이션단의단계별적절한공격대응및일반사용자의 PC 보안강화가요구된다. 무엇보다중요한것은파급효과는크지만보안의취약지대인 ISP 사이를연결하는인터넷연동구간에정부주도로 DDoS 대응체계를구축하여 DDoS 공격이집중되기전연동구간에서공격을차단하여 1 차방어의역할을하는것이다. DDoS 공격은언제어디서발생할지예측불가능하다. 이런잠재적 DDoS 공격위협에대비하여인터넷연동구간에 DDoS 대응체계를구축하였기때문에 3.4 DDoS, 1.26 중앙선관위 DDoS 공격당시신속하게 DDoS 공격을탐지및차단하여효과적으로대응할수있었다. 따라서인터넷연동구간 DDoS 대응체계확대구축을통해시간이경과될수록파급효과가커지는 DDoS 공격의피해범위를최소화해야할것이다. 37
취약점정보수집공격 침입시도 트로이잔 (Trojan) 피싱 (Phishing) 스팸릴레이 (SpamRelay) 허니넷 버퍼오버플로우 (Buffer Overflow) 봇 (Bot) 봇넷 (Botnet) 권한상승 분산서비스거부공격 (DDoS:DistributedDoS) 서비스거부공격 (DoS:Denial of Service) 제로데이공격 (Zeroday Attack) 스캔 (Scan) 웹쉘 (WebShell) SQL 인젝션 (SQL Injection) 대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨 시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위 자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드 정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam 이라고도함 스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해대응센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 악성코드등을수집 메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법 운영체제취약점, 비밀번호의취약성, 악성코드의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행가능한코드 봇에감염된좀비PC 들을모아놓은네트워크 ( 그룹 ) 으로, 해커의명령제어서버 (C&C) 를중심으로다수의봇으로이루어진악성코드집합체를의미 시스템사용에있어제한없이자유자재로사용하기위해시스템에서허용하는권한을상승시키는행위를의미함 예를들면, 해커가일반사용자권한을획득한후 관리자권한 (Root) 을획득하여시스템사용권한을상승 DoS 용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게만드는공격형태 특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격으로서비스를못하도록만드는공격 새로운보안취약점이발견되었을때보안패치가발표되기전에해당취약점을이용한공격이발생하는것을의미하며, 이는취약점에대한공격의신속성이나대처방법이없다는위험성을표현하기도함 공격대상시스템의특성을파악하기위한행위로, 운영체제나서비스중인포트와버전정보등보안취약점을찾아내기위해주로이용 원격에서웹서버를제어할수있도록제작된웹서버공격에가장유용한공격도구로, 웹서버가가지고있는취약점을악용해웹쉘을업로드시켜웹서버를해킹하는데이용하거나, 해킹한웹서버를관리하기위한목적으로설치하기도함 다양한응용프로그램에 S/W 개발자가생각지못한입력및조작으로인해발생하는오류로써, 해커는이를악용하여인증우회, 정보유출, 시스템장애등의다양한공격가능 사례 : 웹프로그램제작시입력값에대한 ( 아이디, 비밀번호등 ) SQL 명령문삽입체크기능을구현하지않은경우, 공격자가임의의악성명령을삽입하여공격성공가능 38
Teardrop Attack Open Tear Attack TCP DRDOS Attack UDP Flooding ICMP Flooding Attack GET Flooding CC Attack (Cache-Control Attack) TCP Syn Flooding 데이터를송수신하기위해서는단편화및재조합과정을거치게되는데, 공격자가데이터를과도하게여러조각으로나누거나헤더의필드에비정상적인값을입력하여전송함으로써공격대상시스템이재조합과정에서오류를발생시키도록하는서비스거부공격 단편화 (fragmentation) : 데이터의크기가커서한번에전송할수없을경우패킷을여러개로나누어전송하는것을의미함 재조합 (reassembly) : 데이터를수신한시스템에서단편화 (fragmentation) 된패킷을순서에맞게원래모양대로조합하는것을의미함 일반적인 Teardrop 공격과달리패킷을전송할때데이터가단편화되어있다는신호만보내고실제데이터는전송하지않음으로써공격대상시스템이재조합과정에서오류를발생시키도록하는서비스거부공격 공격자는출발지 IP를공격대상의 IP로위조하여 syn 패킷을다수의반사서버로전송하고, 이들반사서버에서응답하는 syn-ack 패킷이공격대상서버로몰려서비스가거부상태가되는공격 DRDoS : Distributed Reflection Denial of Service 반사서버 (reflection server): DRDoS 에이용되는라우터또는서버 ( 주로웹, DNS 등 ) icmp 프로토콜의 echo request 와 response 를이용하여동일한형태의공격도가능함 UDP 프로토콜을이용하는패킷을대량으로전송하여웹서버의네트워크대역폭을고갈시키는 DDoS 공격 UDP(User Datagram Protocol) : 인터넷상의컴퓨터들사이에서데이터를메시지의형태로보내기위해사용되는프로토콜로, 데이터가목적지로정확히전달되었는지보장하지않음 ICMP 프로토콜을이용하는패킷을대량으로전송하여웹서버의네트워크대역폭을고갈시키는 DDoS 공격 ICMP(Internet Control Message Protocol) : 호스트와서버사이에서메시지를제어하고에러발생을알려주는프로토콜 HTTP 프로토콜의 GET method 를대량으로전송하여웹서버자원을고갈시키는 DDoS 공격 GET method : 특정홈페이지에접속할때화면을접속자의웹브라우저에보여주기위해필요한파일을웹서버로부터받아오기위해사용하는 HTTP 지시자 서버에과부하를일으켜시스템을다운시키는형태의공격으로, HTTP 의 user-agent 속성에 cache-control 부분을임의로수정하여서버로부터받은데이터를 client cache 에저장하지않고계속적으로요청하여웹서버와 DB 등에부하를주는공격 cache-control : 웹브라우저나웹서버캐시의동작을조종하는 HTTP 헤더항목 9 년 7.7 DDoS 가대표적인사례, 좀비PC 1대가초당 6~1 여회요청해과부하발생 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable 한주소로 IP 를위조하여 Syn 을 보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격 39