<372E20352D342D303620BEC7BCBAC4DAB5E5C0C720C0AFC0D4B0E6B7CE20B9D720C1F6B4C9C7FC28B1B8B9CCBCF7292E687770>

Similar documents
< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B


< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

5th-KOR-SANGFOR NGAF(CC)

#WI DNS DDoS 공격악성코드분석

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Secure Programming Lecture1 : Introduction

지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., KOSPI200.,. * 지능정보연구제 16 권제 1 호 2010 년 3 월

TGDPX white paper

*2008년1월호진짜

untitled

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

슬라이드 1

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

DBPIA-NURIMEDIA

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Windows 8에서 BioStar 1 설치하기

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

AhnLab_template

디지털포렌식학회 논문양식

인문사회과학기술융합학회

정보기술응용학회 발표

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<31362DB1E8C7FDBFF82DC0FABFB9BBEA20B5B6B8B3BFB5C8ADC0C720B1B8C0FC20B8B6C4C9C6C32E687770>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 29(2), IS

PowerPoint 프레젠테이션

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

<333820B1E8C8AFBFEB2D5A B8A620C0CCBFEBC7D120BDC7BFDC20C0A7C4A1C3DFC1A42E687770>

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

03-서연옥.hwp

DBPIA-NURIMEDIA

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

PowerPoint 프레젠테이션

DBPIA-NURIMEDIA

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

DBPIA-NURIMEDIA

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

PowerPoint 프레젠테이션

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

07변성우_ok.hwp

09권오설_ok.hwp

ActFax 4.31 Local Privilege Escalation Exploit

09오충원(613~623)

Red Alert Malware Report


SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

PowerPoint Presentation

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: A Study on Organizi

<35335FBCDBC7D1C1A42DB8E2B8AEBDBAC5CDC0C720C0FCB1E2C0FB20C6AFBCBA20BAD0BCAE2E687770>

PowerPoint Template

<C0CCC8ADC1F82E687770>

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

PowerPoint Presentation

슬라이드 1

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Sep.; 30(9),

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 6, Jun Rate). STAP(Space-Time Adaptive Processing)., -

Secure Programming Lecture1 : Introduction

(JBE Vol. 21, No. 1, January 2016) (Regular Paper) 21 1, (JBE Vol. 21, No. 1, January 2016) ISSN 228

보안공학연구회

05( ) CPLV12-04.hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

3. CS4SMB-IT-2014-June-01.hwp

Security Trend ASEC Report VOL.56 August, 2014

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

20(53?)_???_O2O(Online to Offline)??? ???? ??.hwp

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 27(12),

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Journal of Educational Innovation Research 2018, Vol. 28, No. 2, pp DOI: IPA * Analysis of Perc

PowerPoint 프레젠테이션

°í¼®ÁÖ Ãâ·Â

PowerPoint 프레젠테이션

04 최진규.hwp

<332E20BAF2B5A5C0CCC5CDB8A620C0CCBFEBC7D B0F8B0DDBDC3B5B5BFA120B4EBC7D120C8BFB0FAC0FBC0CE20B4EBC0C020B9E6BEC82E687770>

I

À±½Â¿í Ãâ·Â

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

DBPIA-NURIMEDIA

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

Microsoft Word - src.doc

<312DBACFC7D1BBE7C0CCB9F6C0FCB7C22DC0D3C1BEC0CEBFDC2E687770>

untitled

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

Journal of Educational Innovation Research 2017, Vol. 27, No. 3, pp DOI: (NCS) Method of Con

Microsoft PowerPoint - G3-2-박재우.pptx

고객 사례 | Enterprise Threat Protector | Akamai

유포지탐지동향

Transcription:

중소기업융합학회논문지제 5 권제 4 호 pp. 37-42, 2015 ISSN 2234-4438 악성코드의유입경로및지능형지속공격에대한대응방안 구미숙 1*, 이영진 2 1 충북대학교소프트웨어학과, 2 연변대학교컴퓨터과학과 A Study of Countermeasures for Advanced Persistent Threats attacks by malicious code MiSug Gu 1*, YongZhen Li 2 1 Dept. of Software, Chungbuk University 2 Dept. of Computer Science, Yanbian University in China 요약 ICT의발달로인해다양한공격들이발달되고있고, 활발해지고있다. 최근에악성코드를이용한 APT공격들이빈번하게발생하고있다. 지능형지속위협은해커가다양한보안위협을만들어특정기업이나조직의네트워크에지속적으로공격하는것을의미한다. 악성코드나취약점을이용하여기업이나기관의조직내부직원의 PC를장악한후그 PC를통해내부에서서버나데이터베이스에접근한뒤기밀정보등을빼오거나파괴한다. 본논문에서는 APT 공격과정을통하여 APT 공격에어떻게대응할수있는지방안을제시하였다. 악성코드공격자의공격소요시간을지연시키는방안을모색하고, APT 공격에대한탐지및제거할수있는방안을제시하였다. 키워드 : 지능형지속위협, APT 공격, 악성코드, 제로데이, 루트킷 Abstract Due to the advance of ICT, a variety of attacks have been developing and active. Recently, APT attacks using malicious codes have frequently occurred. Advanced Persistent Threat means that a hacker makes different security threats to attack a certain network of a company or an organization. Exploiting malicious codes or weaknesses, the hacker occupies an insider's PC of the company or the organization and accesses a server or a database through the PC to collect secrets or to destroy them. The paper suggested a countermeasure to cope with APT attacks through an APT attack process. It sought a countermeasure to delay the time to attack taken by the hacker and suggested the countermeasure able to detect and remove APT attacks. Key Words : Advanced Persistent Threats, APT attack, Malicious Code, RootKit, Zero-day 1. 서론 최근 ICT 기술의발달로인해 PC를비롯한모바일단말기사용이급증하고, 단말기를통한금융거래등다양한서비스를제공하고있다. 은행및기업을운영하는많은핵심정보들이컴퓨터시스템에저장되어있 Received 2015-11-25 Revised 2015-12-15 Accepted 2015-12-20 Published 2015-12-31 * Corresponding author : MiSug Gu(gumisug@gmail.com) 다. 또한, 페이스북, 트위터, 카카오톡등소셜네트워크의발달은공격대상의개인정보수집에용이한시대가되었고, 다양한공격으로발전하였고, 또한고도 화되면서그피해가커지고있다. 그래서더욱전문해커들에게쉬운공격대상이되고있다. APT 공격은점점더다양한목적을가지고있으며공격대상도확 37

중소기업융합학회논문지제 5 권제 4 호 대되고있다. 한국은 2004년부터꾸준히지능형지속위협 (APT, Advanced Persistent Threats) 공격을받고있다. APT 공격을받은기업은시스템핵심데이터파손은물론기업중요정보유출로인하여기업의신뢰성또한하락되어매출감소로까지이어져큰피해가생긴다. APT 대응을위한필요성과인식은높아지고있지만, 솔루션도입이나구체적인보안대책실행은미흡하다. 국내기업의 10곳중 7곳이관련보안솔루션이없는것으로나타났다 [1]. 연구의구성은 2장에는관련연구를살펴본다. 3장에는 APT(Advanced Persistent Threats) 와 APT의공격방법에대하여자세히알아보고, 4장에는 APT 공격에따른대응방안을기술하였다. 마지막으로 5장에서는연구를마무리짓는다. 2.2 멀웨어 (Malware) 멀웨어는악성소프트웨어 (malicious software) 의줄임말로, 사용자의동의없이 PC에설치되는모든소프트웨어를의미한다. 일반적으로알고있는바이러스나웜, 스파이웨어, 애드웨어, 트로이목마등을멀웨어라부른다. 멀웨어가감염된웹사이트의악성링크를클릭하면접속한사용자의 PC에쉽게감염이되며알지못하는사이에멀웨어가설치된다. Fig. 2는멀웨어가설치되는과정을나타낸것이다. 2. 관련연구 2.1 랜섬웨어 (ransomware) 랜섬웨어는 ransom과 ware의합성어로 파일을인질로잡아몸값을요구하는소프트웨어 라는의미이다. 랜섬웨어는 2005~2006년에러시아에서처음확인된공격이고, 한국에는 2011년 SMS 랜섬웨어위협이보고되었다. 랜섬웨어는 PC사용자의동의없이불법적으로 PC에설치되어사용자가생성한문서, 그림파일등에암호화를하여해당파일을열지못하게하는악성프로그램으로, 사용자에게파일을인질로돈을요구한다 [2]. Fig. 1은랜섬웨어의공격시나리오이다. Fig. 1. Ransomware Attack Fig. 2. Malware 전달과정웹사이트의코드를통해멀웨어가배포될수있는경로로악성광고 (Malicious Ads), SEO 중독 (SEO Poisoning), 타이포스쿼팅 (Typosquatting) 및사회공학등이있다. SEO 중독은검색엔진의알고리즘을이용하여악성코드가설치된웹사이트가먼저검색되게하여사용자의접근을유도하는공격이고, 타이포스쿼팅은사용자가 URL 주소를잘못입력할것을기대하고, 비슷한도메인을등록하는것을의미한다. 사회공학은정보접근권한이있는담당자와의신뢰를기반으로정보를취득하는공격이다. 이런공격으로사용자가멀웨어가설치된사이트에접속하게되면익스플로이트키트를통해다운로드가되고공격이활성화되어사용자의컴퓨터를감염시켜컴퓨터를손상시키거나사용자의정보를탈취한다. 오래된멀웨어일지라도시스템의패치가되어있지않거나벡신등이실행되지않을경우에도공격이가능하다. 멀웨어는약간의변형이라도새로운공격이가능하여 4초마다새로운변종이태어나고있고, 지난해새로운멀웨어변종증가율이 77% 로집계되었다 [3]. 멀웨어는한개의사이트를감염시킬경우대규모감염이가능하므로이메일을이용한공격보다쉽다. 38

악성코드의유입경로및지능형지속공격에대한대응방안 3. 악성코드를이용한 APT공격악성코드란악성행위를위해개발된컴퓨터프로그램을말한다. 컴퓨터사용자에게해를끼치는모든코드로바이러스, 웜, 트로이목마, 백도어, 루트킷, 스파이웨어등이여기에해당된다. 3.1 APT(Advanced Persistent Threats) 지능형지속공격은공격대상이눈치채지못하도록은밀하게침투하여오랜시간동안기관과과련있는정보를천천히살펴보면서공격을한다 [4]. 공격자는흔적을남기지않고활동하면서회사내보안서비스를무력화시키고은밀하게정보를유출한다. 공격관련흔적을지우면서정보를탈취하기때문에정보가유출여부를바로확인하기어렵다. 3.2 APT 공격준비사항 APT의공격은제로데이 (Zero-day) 취약점과루트킷 (RootKit) 을이용한 2가지공격유형이있다. 제로데이 (Zero-day) 는특정소프트웨어의취약점이공표되지않았거나공표되었지만보안패치가발표되기도전에공격자가그취약점을이용한공격하는것을의미한다 [5]. 관련사례를보면, 안랩에서 한글 의 제로데이취약점 을이용한악성코드감염시도가 2010년부터국내에서발견되기시작하였다 [6,7]. 루트킷 (RootKit) 은공격자들이사용자의 PC 또는네트워크에침입한사실을숨긴채관리자의접근권한을획득하는데사용하는도구를의미한다. 루트킷을이용하여공격자는시스템에관한관리자수준액세스권한을얻는다. 루트킷은탐지가쉽지않으며, 암호를크랙킹하거나알려진취약점을통하여설치된다. 내부네트워크상에서주고받는수많은패킷들을수집하여아이디와패스워드를빼내고공격자에게루트계정의권한이나특별한접근권한을제공한다 [8]. Fig. 3. APT Attack Processing Step 침투단계 : 공격대상이어떤소프트웨어를사용하고, 소프트웨어의버전은무엇인지, 어떤보안장비를사용하여웹을접속하는지, 그리고자주접속하는웹사이트등세세하게모든부분에대해조사를한다. 조사한내용을토대로취약점을찾아침투를한다. 침투방법에는웹을통한워터링홀 (Watering-Hole) 과스피어피싱 (Spear Phshing) 등이있다. 공격대상이웹페이지접속이나이메일을통해악성파일을다운로드받아실행하게되는데, 이과정을드랍퍼단계라한다. 악성코드실행이되면 C&C 서버로의콜백통신이이루어진다. 즉, 이때부터악성파일을다운로드받은 PC에대한모든제어권은외부에있는해커에게넘어간다. 검색단계 : 해커는감염된 PC를통해조직내부의인프라구조와시스템에대해검색한다. 이를테면 PMS 서버와같은업데이트서버의주소를찾던지, 핵심데이터를가진서버의주소를알아낸다. 그후다음단계를계획한다. 수집단계 : PMS 서버에접근해제어권을획득하고, 그 PMS 서버를통해모든에이전트에게악성코드를배포한다. 결과적으로공격기관의네트워크에대한모든제어권이해커에게로넘어간다. 해커는무력화된시스템상의데이터를수집한다. 유출단계 : 해커가내부에있는데이터를유출시키거나시스템운영을방해하며심한경우에는시스템의핵심데이터를파괴하는행위를한다. 3.3 APT공격시나리오 APT의공격은 Fig 3과같이네가지단계를걸쳐서진행된다. 침투단계, 검색단계, 수집단계, 유출단계가있다. 공격을위해서공격대상을목표로사전조사를한다 [9]. 3.3.1. APT 침투스피어피싱 (Spear Phishing) 스피어피싱이란 창으로찌르다 는스피어 (Spear) 와 사용자를속이기 를의미하는피싱 (Phishing) 의합성어이다. 개인이나조직을은밀히염탐하고해당개인이 39

중소기업융합학회논문지제 5 권제 4 호 나조직의기밀정보를빼내기위해신뢰할수있는내용으로위장한악성이메일을관련자들에게전송하여다운을유도하여감염시킨다. 감염이후원격제어및데이터탈취등을시도한다. 스피어피싱이메일에는정상파일과이중확장명을가지고있는악성파일이함께포함되어있다. 이중확장명을가진악성파일이실행되면동일경로에정상적인문서파일을생성하고실행한다. 정상적인문서파일을실행함과동시에사용자가알지못하는사이에임시폴더경로에 conhost.exe 추가악성파일을몰래설치하고자동으로실행된다. 해당악성코드는 184.164.81.5:80 원격지 (C&C) 주소로접속을하여, 추가적인명령을무한대기하게된다 [10]. 공격자의원격제어및추가명령에따라변종악성코드가추가로설치되거나정보가유출되는피해를입을수있다 [11]. 결을중계함으로써공격자는해당시스템에접근할수있게된다. 이렇듯공격자는치밀한네트워킹기술을보유하고있으며목표대상의네트워크를넘나들면은밀히네트워크를장학하고지속적으로주요기밀정보를유출하고있다. 워터링홀 (Watering-Hole) 공격사자가물웅덩이 (Watering hole) 근처에매복하고있다는의미로사용자가덫에걸리기를기다리고있다. 공격자가타깃으로정한사용자의정보를수집해서주로방문하는사이트에제로데이취약점을사용해해당사이트에악성코드를심어둔다. 3.3.2. 내부네트워크로확산침투방법등으로기업의내부네트워크에침투에성공하면공격자는공격목표인정보시스템으로공격점을이동하려고한다. 이동과정을 Lateral Movement 라한다. 정보시스템으로이동을위해서는높은권한을가진계정의인증정보가필요하다 [12]. 계정의인증정보는시스템의레지스트리, 메모리내에서얻을수있다. 이때대부분의공격자들은주로 gsecdump, WCE(Windows Credential Editor), mimikatz 등기존의툴을이용하거나공격툴이사용하는 wceaux.dll, sekuralsa.dll 등의 DLL을악성코드에삽입하여이를호출하는방식을사용한다. 위의방법으로획득한도메인관리자계정정보를가지고시스템과네트워크공유를맺은후백도어를복사한다. 원격서비스, 또는작업스케줄러를등록해앞서복사한백도어를실행한후이를시스템권한으로동작하게한다. 이렇게실행된백도어는프록시기능에의해 C&C(Command and Control) 서버와의연 Fig. 4. Internal Diffusion Process 4. 지능형지속위협의대응방안 4.1 피해사례 Kimsuky : 2013년정부및주요기관을타켓으로 Kimsuky Operation 이라는 APT 공격에사용됐던악성코드로 2014년 2월 25일에시행되었다. 2월 25일과 3 월 19일에발견된악성코드는취약한한글문서파일을통해최초감염이이루어졌다 [13]. CyberGate RAT :2014년 3월, 사이버게이트 (CyberGate) RAT 악성코드에의한감염사례는 2013 년 6월한셀문서파일취약점을이용한것과는달리 CyberGate RAT 악성코드는정상파일로위장하여설치되는애드웨어를이용하였다. 이사례는특정기관이아닌불특정다수의일반인을대상으로유포되었다 [14]. Gh0st : 사용자 PC의호스트 (hosts) 파일을변조시키는뱅킹악성코드에 DDoS 공격이가능한 Gh0st 원격제어모듈이같이배포되고있다. 금융정보탈취외에사이버공격을위한봇넷을형성하는목적이있는것으로추정하고있다. 기존 APT 공격에이용되었던악성코드가특정대상이아닌불특정다수의사용자를공격대상으로시도하는사례가많아지고있다 [15]. 40

악성코드의유입경로및지능형지속공격에대한대응방안 4.2 APT 보안조치다양한기술을통해서악성코드공격자의공격소요시간을지연시키는방법과공격에대한탐지및제거할수있는방법에대해논의한다. APT 공격자가원하는정보에도달하기까지 1 6 개월정도의시간이필요하다. APT 공격소요시간지연을위한주요보안조치는다음과같다. 시스템보안패치 : 악성코드의공격의성공을낮추어내부시스템점령에많은시간을필요하게한다. 내부인증강화 : OTP, Smart Card 등을이용하여인증내부시스템을강화하여관리자의계정정보획득을어렵게한다. 네트워크망분리 [13] : 네트워크망을분리시키면인터넷으로부터보안위협자체를차단할수있다. 이메일이나매체등허용된경로에대한보안솔루션만도입하여운영해야한다. 중요정보의암호화 : 중요정보에대해암호화를적용하고암호화키를관리한다. 4.3 탐지및제거 APT 공격에대한탐지및제거를할수있는방법으로 3가지를제시한다. 샌드박스 (SandBox) 기술을사용 : 샌드박스를간단히말하면악성코드분석에유용한환경을제공하는프로그램이다. 사용자 PC에다운로드되는파일을샌드박스내에서실행해보고문제가없을경우에만유입될수있게하는기술이다. 행위기반탐지기법 (Behavior Detection Tech): 행위기반탐지는각종파일이나유입된트래픽이내부에서허락되지않은시스템에접근하거나레지스트리를변경하는것을모니터링해서악성코드를탐지한다 [8]. 분석과감지에빅데이터 (BIG DATA) 기술이용 : 로그나패킷을모아서분석해서사이버공격이나데이터유출패턴을찾을수있는데이기술을통하여 APT 공격도막을수있다 [16]. 4.4 논의기존의 APT 공격에대한탐지및제거방법으로공격을완벽하게차단이어렵다. 알려지지않은취약점을이용하여공격이계속적으로시도되고있다. 기관 과기업은보유하고있는솔루션을재검토하고새로운솔루션을마련하고, 지속적인관리가필요하다. 내부보안교육을강화하고보안업데이트는항상최신상태로유지해야한다. PC사용자는자신의컴퓨터에설치된백신은최신업데이트를유지하고, 주기적인바이러스검사가필요하다. 발신인이불분명하거나수상한첨부파일이있는메일을읽지않고삭제할필요가있다. 5. 결론본논문에서는악성코드공격자의공격소요시간을지연시키는방안을모색하고, APT 공격에대한탐지및제거할수있는방안을제시하였다. 바이러스가감염된파일을사용하거나다운받아서악성코드가설치되는시대에서감염된웹사이트접속만으로도악성코드가자동다운및설치가되는시대가되었다. 악성코드를비롯하여지능형지속위협공격의공격유형및방법, 탐지및제거등대응방안에대해살펴보았다. APT 공격은지능적이며지속적으로이루어지기특성때문에공격성공률이높아공격자들은계속적으로 IT 기술안의취약점을찾아공격을다변화하여시도할것이다. 향후연구로는다변화하고지능적이고, 지속적인공격에대응하기위해공격으로전환이가능하다고판단되는많은데이터분석을통해새로운공격유형을찾고, 이를기반으로 APT 공격에대한탐지율을높이고, 공격도구를제거하는연구들이필요하다. REFERENCES [1] Huy Kang Kim, Soo-Kyun Kim, Seok-Hun Kim, Decision Support System for Zero-day Attack Response, An International Journal, Appl. Math. Inf. Sci. 6 No. 1S pp. 221S-241S. 2012. [2] Luo, Xin ; Liao, Qinyu.Awareness Education as the Key to Ransomware Prevention,Information systems security,vol.16,no.4,pp.195-202, 2007. [3] http://www.isssource.com/mobile-malware-up-77-in-14/ [4] Pachghare V.K., Kulkarni P., Nikam D.M. Intrusion Detection System using Self OrganizingMaps, 41

중소기업융합학회논문지제 5 권제 4 호 International Conference on Computing & Processing (Hardware/Software), IEEE, 2009. [5] S. K kim, J. S Jang, B. J Min, Automated Signature Sharing to Enhance the Coverage of Zero-day Attacks, Journal of KIISE. Information networking. Vol. 37, No.4, pp.255-262, 2010. [6] ASECBLOG, 2012.6.15., http://asec.ahnlab.com/810 [7] Srinivas Mukkamala, Guadalupe Janoski, Andrew Sung, Intrusion Detection: Support Vector Machines and Neural Networks, IEEE and Proceedings of the 2002 International Joint Conference on Neural Networks IJCNN02 Cat No 02 CH3 7290, 2002. [8] Meijuan Gao, Jingwen Tian, Network Intrusion Detection Method Based on Improved Simulated Annealing Neural Network, IEEE and also at International Conference on Measur-ing Technology and Mechatronics Automation, 2009. [9] Paulo M. Mafra, Vinicius Moll, Joni da Silva Fraga, Octopus-IIDS, An Anomaly Based Intelligent Intrusion Detection System, IEEE, 2010. [10] Alyac Blog, http://blog.alyac.co.kr/163 [11] Song Guangjun, Zhang Jialin, Sun Zhenlong, The Research of Dynamic Change Learning Rate Strategy in BP Neural Network and Application in Network Intrusion Detection, IEEE and 3rd International Conference on Innovative Computing Information and Control (ICICIC'08), 2008. [12] AhnLab, http://www.ahnlab.com/kr/site/securityinfo/ secunews/secunewsview.do?seq=23127 [13] http://asec.ahnlab.com/993 [14] http://asec.ahnlab.com/994 [15] http://asec.ahnlab.com/995 [16] Bhavin Shah, Bhushan H. Trivedi, Artificial Neural Network based Intrusion Detection System, A Survey, International Journal of Computer Applications (0975 8887) Vol. 39, No. 6, 2012. 저자소개구미숙 (Gu MiSug) [ 정회원 ] 2005년 2월 : 충북대학교전기전자컴퓨터학과 ( 이학석사 ) 2014년 8월 : 충북대학교전기전자컴퓨터학과 ( 공학박사 ) 2008년 9월 ~ 현재 : 나사렛대학교강사 2014년 9월 ~ 현재 : 충북대학교소프트웨어학과강사 < 관심분야 > : 데이터베이스, 정보검색, XML 데이터마이닝, 안드로이드, 모바일프로그래밍이영진 (YongZhen Li) [ 정회원 ] 1997년 6월 : 중국연변대학교물리학과 ( 이학석사 ) 2007년 2월 : 충북대학교전자계산학과 ( 이학박사 ) 2008년 3월 ~ 현재 : 중국연변대학교교수 < 관심분야 > : 무선네트워크, 암호알고리즘, 네트워크보안, 정보보호, 프라이버시 42

2024 © docsplayer.org 개인정보보호 | 약관 | 지원