인터넷침해사고 동향및분석월보 2011 Vol.12 12

인터넷침해사고 동향및분석월보 211 Vol.12 12

본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.

Contents 핫이슈, 주요보안권고, 통계요약 1-1. 침해사고증감추이 3 1-2. 침해사고통계요약 3 1-3. 악성코드통계현황 4 악성코드피해신고건수추이 주요악성코드피해신고현황 1-4. 해킹사고현황 6 해킹사고접수 처리건수추이 피해기관 운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 감염현황 2-1. 악성코드위협분석 15 허니넷에유입되는악성코드분석 악성코드유포지 / 경유지탐지및차단조치 바이러스월탐지악성코드정보 2-2. 국내인터넷망트래픽분석 21 프로토콜및포트추이분석 공격유형및추이분석 2-3. 허니넷트래픽분석 23 전체추이 Top 3 국가별공격유형 해외 국내 국내 국내 < 부록 > 용어정리 52

인터넷침해사고동향및분석월보 월간동향요약 이달의핫이슈 최근안드로이드정식마켓및국내인터넷자료실을통한모바일악성코드유포사례가발생하여스마트폰이용자들의주의가요구됨 - New Year 212 Live Wallpaper 라는앱으로위장한해당악성코드는감염되면메일계정, 설치된패키지목록, 단말기ID 등정보유출가능 - 안드로이드스마트폰이용자는모바일백신및보안자가점검앱 (S.S Checker) 등으로점검조치권고 스마트폰보안자가점검앱은안드로이드마켓과국내이통사앱장터에서 S.S Checker 로검색하여다운로드가능 해시테이블구현오류로인한응용프로그램및서비스장애유발취약점이발견되어주의가요구됨 - 공격자는해당취약점에영향받는시스템에특수하게조작된요청을전송할경우, CPU 고갈을통해장애 ( 서비스거부상태 ) 유발가능하므로신속한보안업데이트필요 영향받는시스템 :.NET Framework, PHP, Apache Tomcat 등의취약버전 주요보안권고 곰플레이어, 한글, 안드로이드운영체제등취약점에대한보안업데이트등에따른주의경보발령등총 11 종 권고 제목 Microsoft 보안업데이트 영향받는제품 / 사용자 Windows XP, Vista, 7 Windows Server 23, 28 MS Office, 엑셀, 파워포인트 Internet Explore 6, 7, 8, 9 등 상세버전홈페이지참조 영향력 / 예방및대책 정기보안업데이트 : 보안취약점 13 종 [MS11-87]~[MS11-99] 패치 - Windows Kernel 에서발생하는취약점으로인한권한상승문제 - 엑셀, 파워포인트, 윈도우미디어에서발생하는취약점으로인한원격코드실행문제 - 인터넷익스플로러취약점누적보안패치등 영향받는버전의경우 MS 보안업데이트적용필요 해시테이블구현오류보안업데이트 곰플레이어보안업데이트 -.NET Framework MS11-1 패치이전버전 - PHP 5.3.8, 5.4.RC3 이전버전 - Apache Tomcat 5.534, 6..34, 7..22 및이전버전 2,1,35,579 및이전버전 해시테이블구현오류로인한서비스장애유발가능취약점패치 해당취약점에영향받는이용자유형별보안업데이트필요 - 취약한.NET Framework 버전사용자는 MS11-1 업데이트수행 - 취약한 PHP 버전사용자는 PHP 5.3.9, 5.4.RC4 및이상버전으로업데이트수행 - 취약한 Apache Tomcat 버전사용자는 Apache Tomcat 5.5.35, 6..35, 7..23 등영향받지않는상위버전으로업데이트수행 국내무료동영상재생프로그램인곰플레이어에버퍼오버플로우취약점패치 - 특수하게조작된 ASX 파일을취약한버전에서실행할경우악성코드에감염 영향받는버전의곰플레이어사용자는최신버전으로업데이트필요 자세한내용은인터넷침해대응센터홈페이지 (http://www.krcert.or.kr/ 보안정보 보안공지 ) 참조 침해사고통계분석요약 연간악성코드피해신고건수는총 21,751 건으로전년도 (17,93 건 ) 대비 21.3% 증가하였으며, 주요악성코드로는 OnlineGameHack, Agent, Winsoft 등이많은비중을차지한것으로집계됨 연간해킹사고접수처리건수는총 11,69 건으로전년도 (16,295 건 ) 대비 28.3% 감소하였으며, 각유형별로도스팸릴레이 (28.5%), 피싱경유지 (59.%), 단순침입시도 (28.2%), 해킹 (7.8%), 홈페이지변조 (39.1%) 모두감소하면서전체건수의감소로이어짐 침해사고위협분석요약 연간악성코드유포및경유사이트는총 11,85 건으로전년도 (6,674 건 ) 대비 76.9% 증가하였으며, 기관유형별로는기업 (74.%), 웹서버유형별로는 MS IIS(49.3%) 가가장많은비중을차지함 연간 KISA 허니넷으로유입된전체유해트래픽은약 7,314 만건으로, 그중해외 IP 로부터유발된트래픽이대부분 (87.8%) 을차지했고, 매월중국발 TCP/1433 포트스캔이가장많은비중을차지함

인터넷침해사고동향및분석월보 1_ 침해사고통계분석 1-1. 증감추이 ( 전월대비 ) 구분 악성코드피해신고총 1,841 건 : 전월 (1,263 건 ) 통계요약 대비 45.8% 해킹사고접수처리총 1,91 건 : 전월 (94건 ) 대비 16.1% 증가 스팸릴레이 피싱경유지 단순침입시도 해킹 홈페이지변조 악성봇 (Bot) 277건 : 전월 (379건 ) 27건 : 전월 (26건 ) 227건 : 전월 (252건 ) 346건 : 전월 (186건 ) 214건 : 전월 (97건 ) 감염율.6% : 전월 (.6%) 과동일 대비 26.9% 대비 3.8% 대비 9.9% 대비 86.% 대비 12.6% 증가 감소 증가 감소 증가 증가 악성봇감염율 : 전세계악성봇감염추정 PC 대비국내감염추정 PC 의비율 1-2. 침해사고통계요약 [ 표 1] 월간침해사고전체통계 구분 21 년총계 1 211 년 2 3 4 5 6 7 8 9 1 11 12 211 년총계 악성코드피해신고해킹사고접수처리 스팸릴레이 피싱경유지 단순침입시도 해킹 홈페이지변조악성봇 (Bot) 17,93 16,295 5,216 891 4,126 3,19 3,43.6% 2,92 1,25 174 3 322 358 141.5% 1,847 854 256 25 231 239 13.5% 1,566 1,2 48 38 272 155 129.4% 2,335 999 443 24 243 179 11.4% 1,786 1,61 448 29 257 121 26.5% 1,763 957 453 22 214 222 46.5% 1,912 956 272 31 224 245 184.5% 1,695 1,115 189 39 28 281 326.5% 1,724 897 186 36 26 23 239.6% 1,99 793 242 38 233 221 59.6% 1,263 94 379 26 252 186 97.6% 1,841 1,91 277 27 227 346 214.6% 21,751 11,69 3,727 365 2,961 2,783 1,854.52% 3, 2,5 2, 1,5 1, 5 1, 8 6 4 2 211 년 21 년 211 년 21 년 211 년 21 년 1 2 3 4 5 6 7 8 9 1 11 12 1, 8 6 4 2 1 2 3 4 5 6 7 8 9 1 11 12 25 2 15 1 5 1 2 3 4 5 6 7 8 9 1 11 12 악성코드피해신고접수건수 스팸릴레이신고처리건수 피싱경유지신고처리건수 211 년 21 년 211 년 21 년 211 년 21 년 1, 2.5% 8 6 4 2 1 2 3 4 5 6 7 8 9 1 11 12 1 2 3 4 5 6 7 8 9 1 11 12 2.% 1.5% 1.%.5% % 1 2 3 4 5 6 7 8 9 1 11 12 단순침입시도 + 해킹신고처리건수홈페이지변조사고처리건수악성봇감염비율 [ 그림 1] 월별침해사고전체통계그래프

인터넷침해사고동향및분석월보 1_ 침해사고통계분석 1-3. 악성코드통계현황 악성코드피해신고건수추이 12월한달간국내주요백신업체로접수된악성코드피해신고건수는총 1,841건으로전월대비 578건 (45.8%) 이증가한것으로나타났다. [ 표 2] 월별국내악성코드피해신고건수 구분 21 년총계 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7 월 8 월 9 월 1 월 11 월 12 월 합계 신고건수 17,93 2,92 1,847 1,566 2,335 1,786 1,763 1,912 1,695 1,724 1,99 1,263 1,841 21,751 악성코드피해신고건수는국내주요백신업체로신고접수된건수임 올한해신고건수는총 21,751건으로, 전년도총건수 (17,93) 대비 3,821건 (21.3%) 이증가하였으며, 월평균신고건수는 1,813건으로집계되었다. - 연간신고건수추이를살펴보면, 지난 1월에가장많은신고건수 (2,92건) 를기록했고 1월에최소건수 (1,99건) 를기록함 21 211 3,5 3, 2,5 2, 1,5 1, 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 2] 국내악성코드피해신고추이 12 월들어전월대비 45.8% 가증가하는등증가추세가이어지고있고 11 년도의경우 1 월에가장많은피해신고가 접수되었던점을감안할때, 12 년 1 월에도더욱주의가요구된다.

인터넷침해사고동향및분석월보 1_ 침해사고통계분석 주요악성코드피해신고현황 신고된악성코드를살펴보면, 이달에도게임계정탈취목적의 OnlineGameHack(558건 ) 이가장많았고, DDoS 공격등에이용되는 Agent(135건 ) 가그뒤를이었다. - 연간피해신고건수가많았던주요악성코드를살펴보면, 게임계정등키보드의입력값을유출하는 Winsoft, OnlineGameHack 등과 DDoS 공격등에이용되는 Agent가큰비중을차지 [ 표 3] 최근 6개월간국내악성코드피해신고건수 순위 1 2 3 4 5 6 7 8 9 1 211 년 명칭건수명칭건수명칭건수명칭건수명칭건수명칭건수 Online GameHack Agent Online GameHack 56 Online GameHack 55 Online GameHack 69 Malware DownLoader Patched WinSoft FakeAV 합계 7 월 28 211 13 129 11 94 8 63 36 35 744 1,912 Agent Online GameHack Online GameHack 69 WinSoft DownLoader Online GameHack 55 Online GameHack 56 Injector Malware Kazy 합계 8 월 222 181 92 82 62 6 59 56 45 44 792 1,695 Online GameHack Agent Online GameHack 69 DownLoader Jorik Seint Online GameHack 55 Online GameHack 56 RusKill FakeAV 합계 9 월 16 148 6 55 53 52 43 43 38 34 1,38 1,724 Online GameHack Agent Xema Patcher DownLoader Online GameHack 69 Diple Online GameHack 56 Online GameHack 55 Rootkit 합계 1 월 16 96 41 28 28 26 25 25 25 19 68 1,99 Online GameHack Agent Jorik Xema Patcher DownLoader Nbcss Diple Kazy NetSky 합계 11 월 154 18 43 35 35 33 27 22 2 2 766 1,263 Online GameHack Agent Nbcss Banker Jorik DownLoader Yankes Jerusalem IVP BanLoad 합계 12 월 558 135 75 58 54 51 3 3 27 26 797 1,841 연간주요악성코드의증감추이를살펴보면, WinSoft가가장많은비중을차지하며시작했으나지속적인감소로하반기에는순위권에서벗어났고, OnlineGameHack은 7월최고치를기록하며크게증가하였으나이후감소추세를보이다 12월에다시증가하는등증감의폭이크게나타났으며, Agent는연간비슷한수준에서꾸준히상위권을유지한것으로분석된다. 8 7 6 5 4 3 2 1 OnlineGameHack Agent DownLoader WinSoft Xema 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 3] 최근 6개월간주요악성코드신고건추이

인터넷침해사고동향및분석월보 1_ 침해사고통계분석 1-4. 해킹사고현황 해킹사고접수 처리건수추이 12월한달간접수 처리한해킹사고건수는총 1,91건으로, 전월 (94건) 대비 151건 (16.1%) 증가한것으로나타났다. [ 표 4] 월별해킹사고접수 처리현황 구분 211 년 21 년 1 월 1,25 898 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월합계 854 1,76 1,2 1,53 999 1,468 1,61 1,62 957 1,16 956 1,3 1,115 1,644 897 2,183 793 1,732 94 1,412 1,91 1,37 11,69 16,295 연간처리건수는총 11,69 건으로전년도 16,295 건대비 28.3% 감소한것으로나타났으며, 월평균건수도전년도 (1,358 건 ) 보다 384 건감소한 974 건으로집계되었다. 25 2 15 1 5 21 년 211 년 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 4] 해킹사고접수 처리증감추이 연간처리건을유형별로분류해보면, 스팸릴레이 (3,727건) 유형이가장많은건수를차지했고, 단순침입시도 (2,961), 해킹 (2,783), 홈페이지변조 (1,854), 피싱경유지 (365건) 순으로나타났다. - 전년도대비전체건수감소의영향으로각유형별로도스팸릴레이 (28.5%), 피싱경유지 (59.%), 단순침입시도 (28.2%), 해킹 (7.8%), 홈페이지변조 (39.1%) 등모두감소함 구분 스팸릴레이 피싱경유지 단순침입시도 해킹 홈페이지변조 합계 21 년총계 5,216 891 4,126 3,19 3,43 16,295 1 월 174 3 322 358 141 1,25 2 월 256 25 231 239 13 854 3 월 48 38 272 155 129 1,2 4 월 443 24 243 179 11 999 5 월 448 29 257 121 26 1,61 6 월 453 22 214 222 46 957 211 년 7 월 272 31 224 245 184 956 [ 표 5] 해킹사고유형별접수 처리현황 피싱경유지 : KISA 가국외의침해사고대응기관이나사칭대상이된기관, 일반사용자로부터신고받아접수 처리한건수로써실제피싱사고건수가아니라보안이취약한국내시스템이경유지로악용된건수 단순침입시도 : KISA 에서접수 처리한해킹신고중악성코드등으로유발된스캔 ( 침입시도 ) 을신고한건수 해킹 : KISA 에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지건수 8 월 189 39 28 281 326 1,115 9 월 186 36 26 23 239 897 1 월 242 38 233 221 59 793 11 월 379 26 252 186 97 94 12 월 277 27 227 346 214 1,91 합계 3,727 365 2,961 2,783 1,854 11,69

인터넷침해사고동향및분석월보 1_ 침해사고통계분석 - 유형별증감추이를살펴보면, 스팸릴레이, 홈페이지변조, 해킹등은증감의변화폭이크게나타났으나, 상대적으로피싱경유지, 단순침입시도유형은큰변화없이연간비슷한추이를보임 스팸릴레이 피싱경유지 단순침입시도해킹홈페이지변조 5 4 3 2 1 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 5] 사고유형별증감추이 - 유형별비율을살펴보면스팸릴레이 (31.9%), 단순침입시도 (25.3%), 해킹 (23.8%), 홈페이지변조 (15.9%), 피싱경유지 (3.1%) 순으로집계됨 구분 건수 15.9% 스팸릴레이 3,727 피싱경유지 365 단순침입시도 2,961 해킹 2,783 홈페이지변조 1,854 23.8% 31.9% 3.1% 스팸릴레이피싱경유지단순침입시도해킹홈페이지변조 총계 11,69 25.3% [ 그림 6] 연간해킹사고유형별비율

인터넷침해사고동향및분석월보 1_ 침해사고통계분석 피해기관 운영체제별분류 피해기관유형별로는이달에도개인이 878 건으로가장많았고전월대비 32.% 증가하였으나, 기업은 26 건으로 전월대비 24.% 감소한것으로나타났다. 구분 개인 기업 대학 비영리 연구소 총계 1 월 2 월 615 392 8 1 1,25 48 358 8 8 854 3 월 619 356 21 6 1,2 4 월 641 338 15 5 999 5 월 78 328 24 1 1,61 6 월 588 343 21 4 1 957 211 년 7 월 699 254 3 956 8 월 852 256 3 4 1,115 9 월 685 24 1 7 897 1 월 52 269 1 21 793 [ 표 6] 해킹사고피해기관별분류 기관분류기준 : 침해사고관련도메인이나 IP 를기준으로기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 개인 (pe 또는 ISP 에서제공하는유동 IP 사용자 ) 으로분류 연간피해기관유형별증감추이를살펴보면, 개인이증감을반복하며전체적으로증가추세를보인반면 기업유형은전체적으로소폭의감소추세로나타났다. - 악성코드에감염되어포트스캔공격이나스팸발송등에악용된유동 IP 가많이발생한것이개인유형증가의 주요원인으로판단됨 11 월 665 271 4 94 12 월 878 26 1 6 1,91 합계 7,932 3,575 13 79 1 11,69 1, 개인 기업 대학비영리연구소 8 6 4 2 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 7] 피해기관유형별증감추이 연간피해기관유형별비율을살펴보면, 개인 (67.9%) 과기업 (3.6%) 이신고건수의대부분 (98.5%) 을차지했으며, 비영리 (.9%), 대학 (.7%) 등으로나타났다..9%.7% 구분건수 개인 7,932 기업 3,575 대학 13 비영리 79 연구소 1 3.6% 67.9% 개인기업대학비영리연구소 총계 11,69 [ 그림 8] 연간피해기관유형별비율

인터넷침해사고동향및분석월보 1_ 침해사고통계분석 운영체제별로분류해보면, 윈도우운영체제가매월가장많은건수를기록하며연간총 7,731 건을기록했고, 리눅스운영체제가연간총 1,631 건등의순으로나타났다. [ 표 7] 해킹사고피해운영체제별분류 구분 1 월 2 월 3 월 4 월 5 월 6 월 211년 7월 8 월 9 월 1 월 11 월 12 월 합계 Windows 733 62 711 734 853 678 51 658 575 445 66 635 7,731 Linux 167 136 133 89 85 85 229 195 11 139 146 117 1,631 Solaris 2 11 13 123 116 147 176 123 194 226 262 212 29 188 339 2,315 합계 1,25 854 1,2 999 1,61 957 956 1,115 897 793 94 1,91 11,69 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 - 윈도우운영체제는최고치 853 건 (5 월 ) 와최저치 445 건 (1 월 ) 간에 48 건의차이를보이는등증감의폭이 컸으나, 리눅스운영체제는최고치 (229 건 ) 를기록한 7 월을제외하면전체적으로큰변화없이비슷한추이를 보임 1, 8 6 4 2 Windows Linux Solaris 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 9] 피해운영체제별증감추이 연간총건수의운영체제별비율을살펴보면윈도우가 66.1% 를차지했고, (19.8%), 리눅스 (14.%), 솔라리스 (.1%) 등의순으로나타났다. 구분 건수 19.8% Windows 7,731 Linux 1,631 Solaris 13 2,315.1% 14.% 66.1% Windows Linux Solaris 합계 11,69 [ 그림 1] 연간피해운영체제별비율

1 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 피싱경유지신고처리현황 12 월한달간접수된피싱경유지신고건수는총 27 건으로, 전월대비 1 건 (4%) 증가한것으로나타났다. [ 표 8] 피싱경유지신고건수 구분 21 년총계 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7 월 8 월 9 월 1 월 11 월 12 월 합계 피싱경유지신고건수 891 3 25 38 24 29 22 31 39 36 38 26 27 365 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는보안업체, 일반사용자로부터신고받아처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임 올한해총신고건수는 365 건으로, 전년도총건수 (891) 대비 526 건이감소해 59.% 감소한것으로집계되었다. - 1 년도 3 월이후전체적인감소추세를이어오다 11 년도에는월평균 3.4 건으로연중큰변화없이비슷한 추이를보임 12 211 21 1 8 6 4 2 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 11] 피싱경유지신고건수추이 연간총건수를피싱대상기관유형별로분류해보면, 금융기관이총 34 건 (85.8%) 으로대부분을차지했고, 총 3 건 (8.2%), 전자상거래총 22 건 (6.%) 순으로나타났다. 구분 건수 6.% 8.2% 금융기관 313 전자상거래 22 3 합계 365 85.8% 금융 전자상거래 [ 그림 12] 연간피싱대상기관유형별분류

11 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 연간피싱대상금융기관을살펴보면, 미국의전자결재관련기업인 PayPal(9 건 ) 이가장많았고, 스페인 BBVA(18 건 ), 홍콩 HSBC(17 건 ), 영국 NatWest(13 건 ), 미국 WellsFargo(13 건 ) 등의은행들이많은건수를차지했다. 구분 건수 PAYPAL 9 BBVA 18 25.3% PAYPAL BBVA HSBC 17 NatWest 13 WellsFargo 13 214 합계 365 57.6% 5.1% 4.8% 3.7% 3.7% HSBC NatWest WellsFargo [ 그림 13] 연간피싱대상금융기관별비율 연간총신고건수를피싱대상기관이속한국가별로분류해보면, 미국이 Paypal 등의영향으로가장많은건수를 기록했고, 영국, 스페인, 홍콩, 이탈리아등의순으로나타났으며, 그밖에에는캐나다, 브라질, 호주, 멕시코 등다수의국가가포함되었다. 구분미국 건수 27 영국 37 스페인 33 홍콩 16 이탈리아 15 57 4.1% 4.4% 9.% 15.6% 1.1% 56.7% 미국 영국 스페인홍콩 이탈리아 합계 365 [ 그림 14] 연간피싱대상기관소속국가별비율 올한해동안피싱경유지로이용된국내사이트를기관유형별로분류해보면, 기업이 29 건으로전체 57.3% 를 차지했고, 개인 / 46 건 (12.6%), 교육 23 건 (6.3%), 비영리 22 건 (6.%) 순으로집계되었다. 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우인 ISP 서비스이용자 유형은 65 건 (17.8%) 으로나타났다. 구분기업 건수 29 비영리 22 개인 / 46 교육 23 ISP서비스이용자 65 합계 365 17.8% 6.3% 12.6% 6.% 57.3% 기업 비영리 개인교육 ISP 서비스이용 [ 그림 15] 연간피싱경유지사이트기관유형별비율

12 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 홈페이지변조사고처리현황 12월에는총 32개시스템 (IP) 의 214개홈페이지에서변조사고가발생하였고, 전월대비피해시스템은 2개 (6.7%) 증가, 피해홈페이지는 117개 (12.6%) 증가한것으로나타났다. - 연간전체처리건수는피해홈페이지 1,854건, 피해시스템 57건으로전년도대비각각 1,189건 (39.1%), 124건 (19.7%) 이감소한것으로집계됨 [ 표 9] 홈페이지변조사고처리현황 구분 21 년총계 1 월 2 월 3 월 4 월 5 월 211 년 6월 7월 8월 9월 1월 11월 12월 합계 피해홈페이지 피해시스템 3,43 631 141 45 13 46 129 62 11 51 26 4 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해홈페이지수는피해시스템수보다많음 - 월별증감추이를살펴보면, 5 월과 7 월 ~9 월에많은피해홈페이지수가크게증가한데반해피해시스템수는크게 증가하지않은것은같은웹서버에서운영되고있는여러개의홈페이지가대량으로변조된것이주요원인임 46 31 184 5 326 59 239 3 59 31 97 3 214 32 1,854 57 피해홈페이지수 피해시스템수 (IP) 3 2 1 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 16] 홈페이지변조사고추이 연간홈페이지변조사고건의피해시스템운영체제를분류해보면, Win23 계열이 56.8%(288 건 ) 으로가장 많았고, Linux 계열이 21.7%(11 건 ), Win2 계열이 14.4%(73 건 ) 등의순으로나타났다. 운영체제 합계 1.% 1.1% LINUX UNIX Win2 Win23 Win28 WinNT 11 25 73 288 5 6 56.8% 21.7% 4.9% 14.4% LINUX UNIX Win2 Win23 Win28 WinNT 합계 57 [ 그림 17] 피해시스템운영체제별비율 운영체제의안정성과는상관관계가없으며, 홈페이지변조사고건의처리결과따른통계수치임

13 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 악성봇 (Bot) 현황 12월전세계악성봇감염추정 PC 중국내봇감염 PC 비율은약.6% 로전월과동일하였고, 연간평균감염율은.5% 로나타났다. - 9월에국외악성봇감염율이큰폭으로감소하면서상대적으로국내봇감염율이증가하면서.6% 로증가한이후국내감염IP의증감수준이미미하여감염율변화없이지속됨 [ 표 1] 국내악성봇 (Bot) 감염률 구분 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7 월 8 월 9 월 1 월 11 월 12 월 평균 국내비율.5%.5%.4%.4%.5%.5%.5%.5%.6%.6%.6%.6%.5% 전세계악성봇감염추정 PC 중국내악성봇감염 PC 가차지하는비율이며웹사이트를통한전파는제외됨 봇 (Bot) : 운영체제취약점, 비밀번호취약성, 악성코드의백도어등을이용하여전파되며, 명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용가능한프로그램또는실행가능한코드 국내악성봇감염율추이.6%.5%.4%.3%.2%.1% % 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 18] 국내악성봇감염율추이 연간국내외악성봇감염 IP 의월별추이를살펴보면, 국내와국외의전체적인증감추이는비슷한형태를 보였으나국내는 12 월에최고치를기록한반면국외의경우 3 월에최고치를기록해국내에서는 3 월에감염율이 감소해최저치를기록했다. 국내월평균 국외월평균 4, 8, 3,5 7, 3, 6, 2,5 5, 2, 4, 1,5 3, 1, 2, 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 19] 국내외악성봇감염 IP 월평균추이

14 인터넷침해사고동향및분석월보 1_ 침해사고통계분석 국내에서악성봇전파에사용된주요포트의월평균비율을살펴보면, TCP/445(47.1%) 가가장많은비중을차지했고, TCP/1433(17.5%), TCP/8(12.8%), TCP/139(12.2%) 등의순으로나타났다. - 증감추이를살펴보면연초부터 TCP/445 포트가하반기까지지속적으로많은비중을차지하다 11월부터급격히감소했고, TCP/1433 포트가중반이후서서히증가하면서 12월에는최고치를기록해대조를이룸 7 445 1433 8 139 135 2.7% 6 5 4 3 2 1 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 7.7% 12.2% 12.8% 17.5% 47.1% 445 1433 8 139 135 [ 그림 2] 연간국내악성봇전파포트별추이및비율 국외악성봇전파에이용되는주요포트의월평균비율로살펴보면, TCP/445(5.7%) 포트가가장많은비중을차지했고, TCP/1433(26.5%), TCP/139(7.9%), TCP/8(5.9%) 등의순으로나타났다. - 연간증감추이로볼때연초에는 TCP/445 포트가큰비중을차지했으나지속적인감소추세가이어진반면 TCP/1433 포트는지속적인증가추세로 8월이후가장큰비중을차지함 1 445 1433 8 139 135 3.9% 3.1% 9 8 3 2 1 7.9% 5.9% 26.5% 5.7% 445 1433 8 139 135 1 월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 21] 연간국외악성봇전파포트별추이및비율 - TCP/1433, TCP/445 등의포트스캔이지속적으로발생하고있으므로, 최신보안패치적용및백신프로그램 등을통해외부로부터의공격및악성코드감염예방을위해지속적으로관심을가질필요가있다.

15 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 2-1. 악성코드위협분석 허니넷에유입되는악성코드분석 12월한달간허니넷으로유입된전체악성코드샘플수는전월대비큰폭 (38.9%) 으로감소한것으로나타났다. - 연간추이를살펴보면, 4월큰폭의증가로최고치를기록했고, 반대로 5월 ~6월에크게감소하면서최저치를기록하는등전체적으로증감을반복하는형태를보임 7, 6, 5, 4, 3, 2, 1, 1 월 2 월 3 월 4 월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 22] 악성코드샘플수집증감추이 수집샘플은 윈도우네트워크서비스 취약점을악용하여유입된샘플의증감추이만을반영하므로이메일, 웹사이트등다른유형의전파기법을이용하는악성코드의감염활동추이와는무관함 샘플수집은암호설정및보안업데이트를하지않고, 모든포트가열려있는전용선인터넷환경에서 Windows XP SP1(No- Patch) 과 Windows 2 SP4(No-Patch) 2 개군으로분류하여수집 연간수집된주요악성코드의비율을살펴보면, Starman 계열 (49.7%) 이가장많은비율을차지했고, Virut 계열 (8.5%), Allaple 계열 (3.6%) 등의순으로나타났다. 37.4% 49.7% Starman Virut Allaple IRCBot other.8% 3.6% 8.5% [ 그림 23] 연간신규수집된악성코드비율 Virut : 윈도우실행파일을감염시키며변종의경우네트워크의트래픽을유발시킴 Starman : 사용자정보유출등악의적인기능을수행할수있으며네트워크의트래픽을유발시킴 Allaple : 시스템내의 *.HTM, *.HTML 파일을감염시키고, 백도어역할수행으로공격자가원격제어할수있음 IRCBot : 특정 IRC채널에접속시도하며트로이목마를다운받고, 네트워크트래픽과부하, 속도저하를유발시킴

16 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 수집된주요악성코드별증감추이를살펴보면, Starman 계열의악성코드가거의매월가장많은비율을차지하며 전체적으로증감의변화가컸던반면, 그밖에 Virut 계열, Allaple 계열등은연간꾸준히비슷한수준으로 수집되었다. 35, Starman Allaple Virut IRCBot MyDoom 3, 25, 2, 15, 1, 5, 1 월 2 월 3 월 4 월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 24] 악성코드신규건수집추이 연간신규수집된악성코드의유포국가별비율을살펴보면, 미국 (25.3%) 로가장많았고, 러시아 (5.5%), 대만 (5.3%), 브라질 (4.1%), 프랑스 (2.5%) 순으로그뒤를이었다. - 미국을제외하면비교적적은규모로다양한국가에서악성코드유입이이뤄져유형의비중이커짐 57.1% 25.3% 5.5% 5.3% 4.1% 2.5% US RU TW BR FR other [ 그림 25] 연간신규악성코드유포국가별비율

17 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 악성코드유포지 / 경유지탐지및차단조치 12월한달동안탐지하여대응한악성코드유포및경유사이트는 529건으로, 전월대비 25.6%(182건 ) 감소하였다. - 연간총건수는 11,85건으로전년도대비 76.9% 증가하였는데, 악성코드은닉점검대상사이트확대 (1만개 18만개 ) 및신규악성코드탐지패턴 ( 유포지 ) 에대한지속적인탐지노력으로탐지및차단조치건수가증가함 [ 표 11] 악성코드유포지 / 경유지사고처리건수 구분 21 년총계 211 년 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 합계 유포지 1,434 163 71 66 19 53 78 18 56 93 15 233 226 1,433 경유지 5,24 73 625 76 1,98 1,496 983 1,49 842 476 416 478 33 1,372 합계 6,674 893 696 772 2,17 1,549 1,61 1,589 898 569 521 711 529 11,85 유포지 : 방문자를대상으로악성코드를유포하는웹사이트 경유지 : 인터넷이용자모르게악성코드유포지로연결하는웹사이트 월별증감추이를살펴보면, 경유지는지난 4월 1,98건으로최고치를기록했고이후점차적인감소추세로 12월에최소건수를기록했으며, 유포지는증감의변화를반복하며 11월 (233건) 최고치를기록하는등상승세를보였다. 유포지 경유지 2, 1,8 1,6 1,4 1,2 1, 8 6 4 2 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 26] 악성코드유포지 / 경유지사고처리추이 - 각기관 ( 기업 ) 의웹서버관리자는 KISA에서제작하여보급하는휘슬 (WHISTL, 웹쉘및악성코드은닉사이트탐지프로그램 ) 과캐슬 (CASTLE, 홈페이지보안성강화도구 ) 적용등을통해반드시사전점검및재발방지대책을강구하여야한다. 참고사이트 홈페이지개발자 / 관리자를위한보안도구사이트 : http://toolbox.krcert.or.kr/ 정보보호시스템관리를위한안내서. 해설서 : http://www.kisa.or.kr/ 자료실 관계법령 안내서. 해설서 정보보호시스템관리 - 웹서버구축보안점검안내서, 웹어플리케이션보안안내서, 홈페이지개발보안안내서등제공

18 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 연간피해사이트의기관유형별로분류해보면, 기업이 8,74 건으로가장많았고, 비영리 (727 건 ), 네트워크 (647 건 ) 등의순으로나타났다. [ 표 12] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 구분 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7월 8 월 9 월 1 월 11 월 12 월 합계 기업 612 517 511 1,495 1,22 91 1,212 775 433 38 47 277 8,74 대학 3 8 4 1 5 8 1 39 비영리 71 62 123 182 129 15 97 12 11 9 1 6 727 연구소 네트워크 31 2 48 179 114 6 6 47 23 22 27 16 647 ( 개인 ) 176 89 86 151 81 85 212 63 12 11 267 23 1,652 총계 893 696 772 2,17 1,549 1,61 1,589 898 569 521 711 529 11,85 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), (pe, 국외유포지등 ) - 연간피해기관유형별비율을살펴보면기업 (74.%) 로가장많았고, 비영리 (6.2%), 네트워크 (5.5%), 대학 (.3%) 등의순으로나타남 기업 대학 비영리네트워크 ( 개인 ) 1,6 1,4 14.% 1,2 1, 8 6 4 2 5.5%.3% 6.2% 74.% 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 27] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류

19 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 연간악성코드유포및경유지로악용된사이트를웹서버별로분류해본결과, MS IIS 웹서버가 5,819 건 (49.3%) 으로 가장많았고, 그밖에 Apache 웹서버가 2,414 건 (2.4%), 유형이 3,572 건 (3.3%) 으로집계되었다. [ 표 13] 악성코드유포지 / 경유지웹서버별분류 구분 1 월 2 월 3 월 4 월 5 월 6 월 211 년 7월 8 월 9 월 1 월 11 월 12 월 합계 MS IIS 443 42 29 869 622 729 843 596 37 255 36 139 5,819 Apache 173 148 297 584 329 145 21 148 94 83 87 125 2,414 277 128 185 564 598 187 545 154 168 183 318 265 3,572 합계 893 696 772 2,17 1,549 1,61 1,589 898 569 521 711 529 11,85 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미폐쇄되어웹서버를파악하기어려운경우도에포함시켰음 - 유형별증감추이를살펴보면, 4월에연간최고치를기록하며모든유형에서크게증가하는등중반부에는전체적으로상승추세였으나 7월이후하반기에는감소추세가이어짐 MS IIS Apache 1,2 1, 8 3.3% 6 49.3% 4 2 2.4% 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 [ 그림 28] 악성코드유포지 / 경유지웹서버별분류

2 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 바이러스월탐지악성코드정보 12 월한달간 KISA 및민간업체의바이러스월에서탐지된악성코드를분석해본결과, UPX(23.3%) 가가장 많았고, Psyme(16.1%), HLLW(8.4%), Virut(8.4%) 등이많은비율을보였다. 명칭 비율 1 2 3 4 5 UPX Psyme HLLW Virut Generic 23.3% 16.1% 8.4% 8.4% 6% 32.7% 23.3% 16.1% UPX Psyme HLLW Virut Genetic PWS 6 7 PWS 합계 5.2% 32.7% 1.1% 5.2% 6.% 8.4% 8.4% [ 그림 29] 바이러스월에서탐지한주요악성코드비율 연간바이러스월에서탐지한주요악성코드로는 PWS, Virut, HLLW 등이대표적으로, 대부분매월상위에오른것으로분석되었다. - 증감추이를살펴보면, 지난 1월 ~2월 (PWS), 6월 (Virut), 8월 (Generic) 에는특정악성코드유형이많은비중을차지했으나그외에는매월비슷한수준으로증감의변화가크지않았음 45% 4% Virut Genric HLLW PWS HLLM 35% 3% 25% 2% 15% 1% 5% 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 3] 바이러스월을통해탐지된주요악성코드 6 개월추이

21 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 2-2. 국내인터넷망트래픽분석 프로토콜및포트추이분석 국내 ISP의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의포트별추이를파악한결과, 이미잘알려진 TCP/8 (HTTP), TCP/88(HTTP) 등이주로관찰되었다. TCP/8 TCP/88 TCP/389 TCP/15 TCP/51 8,, 7,, 6,, 5,, 4,, 3,, 2,, 1,, 211121 211122 211123 211124 211125 211126 211127 211128 211129 211121 2111211 2111212 2111213 2111214 2111215 2111216 2111217 2111218 2111219 211122 2111221 2111222 2111223 2111224 2111225 2111227 2111226 2111228 2111229 2111231 211123 [ 그림 31] 국내인터넷망에유입된포트트래픽일자별추이 TCP/8 을제외한 3 개월간포트추이를분석한결과, TCP/88, TCP/51, TCP/15 포트등에서상대적으로 많은트래픽을발생시키고있는것으로나타났다. 7, TCP/88 TCP/51 TCP/15 TCP/443 TCP/4867 6, 5, 4, 3, 2, 1, 21111 21114 21117 21111 211113 211116 211119 211122 211125 211128 211111 211114 211117 211111 2111113 2111116 2111119 2111122 2111125 2111128 211121 211124 211127 211121 2111213 2111216 2111219 2111222 2111225 2111228 [ 그림 32] 국내인터넷망에유입된포트트래픽 3 개월추이

22 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 공격유형및추이분석 이번달국내 ISP 의일부구간에서수집된공격유형을분석한결과, DDoS 공격트래픽인 UDP Flooding 과 Host Sweep, UDP Tear Drop 이주로탐지되었다. 14, UDP Flooding Host Sweep UDP Tear Drop ACK Storm FIN Port Scan 12, 1, 8, 6, 4, 2, 211121 211122 211123 211124 211125 211126 211127 211128 211129 211121 2111211 2111212 2111213 2111214 2111215 2111216 2111217 2111218 2111219 211122 2111221 2111222 2111223 2111224 2111225 2111227 2111226 2111228 2111229 2111231 211123 [ 그림 33] 국내인터넷망에유입된공격유형일자별추이 3 개월간공격트래픽을분석한결과, 1 월초크게증가했던 TCP ACK Flooding 공격트래픽이 11 월이후크게 감소하였고, ACK Storm 공격트래픽도 11 월중순이후크게감소하는등전체적인공격트래픽이감소한것으로 나타났다. 25, UDP Flooding TCP ACK Flooding ACK Storm FIN Port Scan UDP Tear Drop 2, 15, 1, 5, 21111 21114 21117 21111 211113 211116 211119 211122 211125 211128 211111 211114 211117 211111 2111113 2111116 2111119 2111122 2111125 2111128 211121 211124 211127 211121 2111213 2111216 2111219 2111222 2111225 2111228 [ 그림 34] 국내인터넷망에유입된공격유형 3 개월추이

23 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 2-3. 허니넷트래픽분석 전체추이 12월한달동안 KISA 허니넷에유입된전체유해트래픽은약 456만건으로전월 (733만건) 에비하여 37.8% 감소하였다. - IP 소재별로분류한결과국내소재 IP로부터유발된트래픽은전체의약 9.6% 였으며, 해외소재 IP로부터의트래픽은약 9.4% 를차지한것으로나타났다. 국내소재 IP 해외소재 IP 단위 ( 만 ) 7 6 5 4 3 2 1 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 35] 허니넷유입트래픽규모 6 개월추이 허니넷에유입되는트래픽은악성코드, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많으며이러한악성코드의네트워크스캔은유효한네크워크에대한접근효율을높이기위하여, 1 차적으로감염된시스템의 IP 주소의 A, B 클래스를고정하고 C 또는 D 클래스주소를변경하면서스캔하기때문에일반적으로자국에서유발된유해트래픽이해외에서유입된트래픽보다많을수있음 참고 : 허니넷으로유입되는트래픽은초당수백건이상이될수있으므로구체적인건수는큰의미가없으며, 국내외비율및월별증감을참고하기바람 연간 KISA 허니넷에유입된전체유해트래픽은약 7,314 만건으로집계되었고, 이중해외 IP 로부터유발된공격이 87.7% 로대부분을차지했다. 구분 ( 단위 : 만건 ) 건수 12.2% 해외 IP 6,419 국내 IP 895 합계 7,314 국내소재 IP 해외소재 IP 87.8% [ 그림 36] 연간허니넷유입유해트래픽의국내외비율

24 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 Top 3 국가별공격유형 12월한달간해외로부터 KISA 허니넷에유입된트래픽을근원지 IP소재국가별로분석한결과중국으로부터유입된트래픽이 52.5% 로가장많았으며다음으로미국 (2.8%), 대만 (4.3%) 순이었다. - 중국으로부터의트래픽은 TCP/1433, TCP/336 포트에대한서비스스캔이가장많은비중을차지함 China U.S.A Taiwan [ 그림 37] 허니넷유입트래픽 TOP3 국가별공격유형 19.7% 25.3% 31.% 4.7% 8.2% 1.2% 57.2% 38.6% 7.4% 13.8% 16.9% 8.7% 9.2% 9.6% 41.5% < 중국 China> TCP/1433 - tcp service scan TCP/336 - tcp service scan TCP/3389 - tcp service scan TCP/22 - tcp service scan < 미국 U.S.A> ping sweep TCP/445 - tcp service scan TCP/1433 - tcp service scan TCP/8 - tcp service scan < 대만 Taiwan> TCP/445 - tcp service scan TCP/23 - tcp service scan TCP/88 - tcp service scan TCP/135- tcp service scan

25 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 [ 표 14] 최근 6 개월간허니넷에유입된유해트래픽국가별비율 순위 211 년 7월 8월 9월 1월 11월 12월국가명비율국가명비율국가명비율국가명비율국가명비율국가명비율 1 중국 54.6% 중국 57.2% 중국 69.8% 중국 63.4% 중국 61.9% 중국 52.5% 2 미국 19.6% 미국 14.4% 미국 18.3% 미국 13.9% 미국 16.9% 미국 2.8% 3 대만 5.3% 필리핀 7.1% 대만 2.8% 러시아 3.7% 대만 3.4% 대만 4.3% 4 홍콩 4.6% 대만 3.5% 일본 1.2% 대만 3.1% 인도 2.3% 인도 2.% 5 싱가포르 2.1% 홍콩 3.1% 브라질.9% 인도 2.4% 러시아 2.2% 러시아 1.9% 6 일본 2.% 일본 2.1% 캐나다.7% 필리핀 1.9% 일본 1.8% 일본 1.9% 7 러시아 1.7% 캐나다 1.9% 터키.7% 일본 1.9% 브라질 1.8% 브라질 1.7% 8 브라질 1.6% 브라질 1.4% 인도.6% 브라질 1.3% 독일 1.% 독일 1.1% 9 터키 1.6% 인도 1.1% 러시아.5% 독일.8% 캐나다 1.% 프랑스 1.% 1 필리핀 1.3% 러시아 1.% 독일.5% 프랑스.7% 프랑스.9% 영국.9% 5.6% 7.2% 4.% 6.9% 6.8% 11.9% 연간해외로부터 KISA 허니넷에유입된트래픽의근원지 IP 의국가를살펴보면, 중국이월평균 59.3% 로가장 많은비중을차지했고, 미국이 16.64% 로그뒤를이었다. - 그밖에국가들로는대만, 러시아, 일본, 브라질, 인도등다수의국가들이해당되는것으로분석됨 9% 8% 중국미국대만 러시아 일본 7% 6% 5% 4% 3% 2% 1% 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 38] 허니넷에유입된국가별유해트래픽추이

26 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 해외 국내 12월한달동안해외로부터 KISA 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/1433 포트스캔이 35.2% 로가장많았으며, TCP/445(12.7%), ICMP (12.4%) 에대한서비스스캔등의순으로나타났다. [ 표 15] 최근 6개월간해외 국내 ( 허니넷 ) 공격유형탐지현황 211 년 순위 7 월 프로토콜 / 포트번호 8 월 비율프로토콜 / 포트번호 9 월 비율프로토콜 / 포트번호 1 월 비율프로토콜 / 포트번호 11 월 비율프로토콜 / 포트번호 비율 12 월 프로토콜 / 포트번호 비율 1 TCP/1433 34.8% TCP/1433 38.3% TCP/1433 35.% TCP/1433 36.2% TCP/1433 39.7% TCP/1433 35.2% 2 TCP/336 9.2% TCP/145 9.8% TCP/445 12.3% TCP/445 12.3% TCP/445 11.5% TCP/445 12.7% 3 TCP/445 9.1% TCP/22 8.6% TCP/22 6.4% TCP/22 6.6% TCP/22 6.9% ICMP 12.4% 4 TCP/22 6.4% TCP/336 5.8% TCP/139 6.4% TCP/336 5.3% TCP/336 6.8% TCP/336 5.7% 5 TCP/139 4.6% TCP/3389 5.% TCP/336 5.9% TCP/139 5.3% ICMP 5.2% TCP/3389 5.6% 6 TCP/8 4.5% ICMP 4.9% TCP/3389 4.8% TCP/8 5.2% TCP/3389 4.7% TCP/22 5.% 7 ICMP 4.5% TCP/135 4.9% ICMP 4.8% ICMP 4.4% TCP/8 3.6% TCP/8 4.3% 8 TCP/3389 4.% TCP/139 4.4% TCP/135 3.4% TCP/3389 3.6% TCP/139 3.6% TCP/135 3.% 9 TCP/135 3.7% TCP/4899 2.3% TCP/4899 2.4% TCP/4899 3.5% TCP/88 2.9% TCP/88 2.2% 1 TCP/4899 2.2% TCP/8 2.2% TCP/8 1.5% TCP/135 2.3% TCP/135 2.4% TCP/139 2.1% 16.9% 13.8% 17.2% 15.3% 12.7% 11.8% 연간해외에서국내 (KISA 허니넷 ) 로유입된공격유형별추이를보면, TCP/1433 서비스스캔이매월전체 트래픽의 3% 이상높은비율을유지하며가장많은비중을차지했고, TCP/445 포트스캔공격도 3 월이후 꾸준히발생하고있는것으로나타났다. 45% 4% 35% 3% 25% 2% 15% 1% 5% 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 39] 해외 국내공격유형별증감추이 TCP/1433 - tcp service scan TCP/445 - tcp service scan TCP/22 - tcp service scan TCP/336- tcp service scan TCP/3389- tcp service scan - MS-SQL(TCP/1433), MS-SMB(TCP/445) 포트에대한서비스스캔이많은비율을차지하고있으므로, 데이터베이스, 윈도우파일공유등에대한접근제어설정, 보안업데이트적용등보안조치가필요함

27 인터넷침해사고동향및분석월보 2_ 침해사고위협분석 국내 국내 12월한달동안국내에서 KISA 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/139 포트스캔이 25.9% 로가장많았으며그외 TCP/1433(25.1%), TCP/23 (1.1%) 포트에대한서비스스캔순으로나타났다. [ 표 16] 최근 6개월간국내 국내 ( 허니넷 ) 공격유형탐지현황 211 년 순위 1 2 3 4 5 6 7 8 9 1 7 월 프로토콜 / 포트번호 TCP/1433 TCP/336 TCP/139 TCP/3389 TCP/445 TCP/135 ICMP TCP/22 TCP/19287 TCP/88 비율프로토콜 / 포트번호 12.9% 12.5% 6.5% 6.4% 5.3% 3.8% 3.3% 2.9% 1.8% 1.1% TCP/445 TCP/1433 TCP/135 TCP/336 TCP/3389 TCP/139 ICMP TCP/22 TCP/8 TCP/19287 8 월 비율프로토콜 / 포트번호 25.% 17.8% 12.9% 11.5% 5.5% 2.8% 2.8% 2.1% 1.8% 1.% TCP/445 TCP/135 TCP/1433 TCP/7758 TCP/3389 TCP/336 TCP/139 ICMP TCP/22 TCP/8 비율프로토콜 / 포트번호 비율프로토콜 / 포트번호 43.5% 16.8% 19.8% 4.1% 9 월 35.1% 13.4% 1.4% 6.7% 3.7% 3.6% 3.4% 1.5% 1.3% 1.2% TCP/445 TCP/1433 TCP/8 TCP/137 TCP/3389 TCP/135 TCP/139 TCP/22 ICMP TCP/336 1 월 38.3% 24.5% 12.9% 8.7% 6.8% 1.5% 1.1%.8%.7%.6% TCP/8 TCP/1433 TCP/336 TCP/445 TCP/3389 TCP/139 TCP/22 ICMP TCP/135 TCP/4899 11 월 비율 3.5% 18.7% 14.3% 9.% 7.% 4.8% 2.5% 2.4% 2.2% 1.1% 7.5% 프로토콜 / 포트번호 TCP/139 TCP/1433 TCP/23 12 월 TCP/3389 TCP/135 TCP/445 ICMP TCP/8 TCP/22 TCP/4899 비율 25.9% 25.1% 1.1% 8.7% 8.4% 6.3% 3.7% 2.% 1.8% 1.4% 6.6% 연간국내 IP로부터유발된공격유형별추이를분석한결과, 전체적으로는 TCP/1433, TCP/445 포트에대한스캔공격이많은비중을차지했고, 중반에는 TCP/336 포트스캔이크게증가면서연중최고치를기록했다. - 하반기들면서다시 TCP/445와 TCP/1433 포트스캔공격이많은비중을차지하면서전체적으로는증감을반복하는추이로볼수있음 45% 4% 35% 3% 25% 2% 15% 1% 5% 1월 2월 3월 4월 5월 6월 7월 8월 9월 1월 11월 12월 [ 그림 4] 국내 국내공격유형별증감추이 TCP/1433 - tcp service scan TCP/445 - tcp service scan TCP/3389 - tcp service scan TCP/336- tcp service scan TCP/135- tcp service scan

28 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 211년은정보보호분야에있어그어느해보다다사다난했던한해라할수있다. 3.4 DDoS 공격을비롯, 농협전산망마비, 포털 / 게임사의개인정보대량유출, 선거관리위원회 DDoS 공격등사회적으로큰파장을불러일으킨사고가여러차례발생하였다. 지난한해침해사고동향을정리한후 212년예측되는보안위협을전망하고이에따른대응방안을마련하였다. 1. 침해사고동향 211 년발생한주요침해사고, 악성코드, 보안취약점, 사회적이슈등을정리해보면, 연초부터연말까지거의 매월다양한보안이슈들이출현하여예방및대응활동에분주했던한해였다. 검찰청사칭피싱사고 * 농협전산망해킹 * 현대캐피탈고객정보유출 *SK 컴스회원정보유출 * 공공기관사칭피싱주의보발령 중앙선거관리위원회 DDoS 공격 넥슨 ( 메이플스토리 ) 게임이용자정보유출 北김정일위원장사망에따른주의경보발령 1 월 3 월 4 월 6 월 7 월 8 월 1 월 11 월 12 월 3.4 DDoS 공격 한글취약점악용악성코드유포 아파치웹서버서비스거부공격도구공개 듀큐악성코드출현 KMPlayer 설치파일통한악성코드유포 * 해쉬테이블구현오류로인한취약점 * 국내인터넷자료실통한안드로이드악성코드유포 [ 그림 1] 211 년월별주요보안이슈 1 지능형지속공격 (APT) 으로기업대상침해사고발생 금융기관의전산망마비, 포털업체및게임업체등의개인정보대량유출등특정기업을타겟팅한공격이다수발생했다. 제휴업체서버를해킹하여암호화되지않은로그파일을통해회원정보를유출한사례, 유지보수업체직원의노트북을악성코드에감염시키고원격에서조종하여전산장애를유발한사례, 공개용백신프로그램의업데이트서버를해킹하여특정업체직원PC만을대상으로악성코드를유포하는등의다양한방법이이용되었던것으로밝혀졌다. 2 DDoS 공격은지속발생, 반면공격목적은변화 11년에는다양한목적으로다양한대상이 DDoS 공격을받았다. 대표적으로는, 사회혼란을야기하기위한 3.4 DDoS 공격과정치적목적의중앙선거관리위원회 DDoS 공격을들수있으며, EBS 수능방송, 해양경찰청사이트등도해당되었다. 그밖에인터넷쇼핑몰, 불법적사이트 ( 도박 성인등 ) 를대상으로한협박성공격등기존금품갈취형 DDoS 공격도지속발생하였다.

29 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 3 공공기관을사칭한피싱사이트증가 과거에는주로금융, 게임, 포털사이트등을사칭한사례가많았으나, 11년에는대검찰청, 경찰청, 금감원, KISA 등공공기관을사칭한피싱사이트가크게증가하여연간전체신고건수 1,849건중 1,774건 (95.9%) 에달했다. 피싱사이트를개설한뒤공공기관직원을사칭해피해자에게전화를걸어 피해자명의의예금통장이사기사건에연루되었다 는등피싱사이트로유도하고개인정보를입력받아현금인출이나명의도용등개인정보를악용하는사고가지속적으로발생하였고, 이에따라경찰청은 11년 7월, 공공기관사칭피싱주의보를발령한바있다. 4 인기키워드, 사회이슈, 국내인터넷환경등을이용한악성코드유포증가 北김정일위원장사망, 애플의스티브잡스사망, 아나운서출신 A양동영상등사회적으로관심이되는이슈가생기면관련한키워드를악성코드유포에악용하는사례가발생했다. 北김정일위원장사망, 애플의스티브잡스사망, 아나운서출신 A양동영상등사회적으로관심이되는이슈가생기면관련한키워드를악성코드유포에악용하는사례가발생했다. 또한 한글 워드프로그램, KMPlayer, 곰플레이어, 알툴즈등국내에서많이이용되는국산 S/W의취약점및악성코드유포사례도지속적으로발생하고있다. 그밖에도국내보급률이매우높은안드로이드기반스마트기기를대상으로한악성코드가안드로이드마켓및국내인터넷자료실을통해유포되기도하였다.

3 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 2. 보안위협전망 KISA 의침해사고대응경험및국내인터넷환경, 국내외주요보안이슈등을종합적으로고려하여 212 년에 예측되는주요보안위협을전망해보았다. 1 국가주요행사를겨냥한사이버공격증가 올한해국내에는 212 서울핵안보정상회의를시작으로, 여수세계박람회, 국회의원선거및대통령선거등국가적차원의행사들이예정되어있다. 이러한행사를겨냥한 DDoS 공격이나사칭사이트, 관련악성코드유포, 스팸메일발송등사이버공격이발생할수있다. 해외에서도미국이나러시아등의대통령선거, 영국런던올림픽등을겨냥한공격이증가할것으로예상된다. 2 웹하드, SNS 를통한악성코드유포증가예상 7.7 DDoS, 3.4 DDoS, 농협전산망해킹사고는모두웹하드사이트를통해악성코드가유포된사례이다. 웹하드전용프로그램이나컨텐츠등을통한악성코드유포가더욱활발해질것으로예상된다. 또한페이스북, 트위터등국내이용자가크게증가하고활성화되면서악성코드유포지나피싱사이트등위험에노출될가능성도커졌다. 단축URL 기능을악용하거나소셜댓글사이트와같이 SNS와연계된홈페이지를통한악성코드유포도증가할수있어주의가요구된다. 3 기업기밀탈취, 개인정보수집목적의 APT 공격지속 특정기업이나기관을겨냥한 APT 공격이계속될것이고, 보다지능적인공격형태로진화할것으로예상된다. 사회공학적기법을활용해악성코드가포함된문서파일을열어보도록하는전통적인 spear-phishing 방식에더불어기업의보안장비나보안정책을우회하여공격목표에접근하기위한보다다양하고지능적인방법들이등장하고복합적으로활용될것이다. 4 모바일악성코드로인한보안위협현실화 지난 11월국내스마트폰이용자가 2천만명을돌파하였는데, 이는경제활동인구의 8% 에해당한다. 그만큼대상자가많아지면이를노리는악성코드의제작도증가할것이고, 악성코드건수의증가와더불어정교하게제작 유포되는소수의악성코드로인한보안위협이더클것으로예상된다. 특히앱에대한보안검증체계가없는안드로이드마켓의개방성을악용하여안드로이드마켓을통한유포사례가더욱증가할것이다. 5 이용자가많은국산 S/W 의취약점활용한공격증가 한글 워드프로그램, 알툴즈, 곰플레이어, 네이트온등국내에서이용도가높은응용프로그램들의취약점을

31 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 악용하는공격이지속되고더욱증가할것으로예상된다. 또한제로보드, 그누보드등국내공개웹게시판 프로그램들의취약점을이용한웹해킹공격도지속될것으로보인다. 6 클라우드서비스의보안위협증가 국내에서도 KT, NHN 등클라우드서비스사업자가약 44개사에달하며, 이용자수도 1,3만명을넘어섰으며, GS와포스코등일반기업도클라우드를도입하는등서서히클라우드서비스가본격화되고있다. 이로인해서비스장애나자료유출, 악성코드전파등보안위협도커지고있다. 자원공유, 서비스의집중화, 가상화기술의취약성, 보안책임의불분명등다양한클라우드의특성상취약성해결이쉽지않으나침해사고예방을위한대책마련이필요하다. 7 DNS 서버대상 DDoS 공격증가 211년도에는웹호스팅업체등의 DNS서버를대상으로 DDoS 공격빈도가증가하였고, 호스팅업체의 DNS 서버공격으로 5만개이상의홈페이지접속이불가능하게되는사고도발생하였다. 이처럼일반웹서버를공격하는것보다상대적으로큰파급효과를기대할수있기때문에 DNS 서버를대상으로하는 DDoS 공격시도가더많아질것으로예상된다.

32 인터넷침해사고동향및분석월보 월간특집 _ 11 년침해사고동향및 12 년보안위협전망 3. 대응방안 지난 211년한해도많은정부, 공공, 기업등에서예산을투자하고정보보호인력을충원하고보안설비를갖추는등침해사고예방및대응을위해노력하였음에도크고작은침해사고가많이발생했다. 212년에도이러한창과방패의싸움은계속될것이자명하다. 212년주요보안위협으로전망한 국가적주요행사를겨냥한사이버공격증가 웹하드, SNS를통한악성코드유포의증가 국가및주요기업정보탈취목적의 APT 공격지속 모바일악성코드로인한보안위협현실화 이용자가많은국산 S/W 취약점공격증가 클라우드서비스의보안위협증가 DNS 서버대상 DDoS 공격증가등에대한대응방안을마련하여중점추진할계획이다. 특히, 올해는서울핵안보정상회의 (3월), 국회의원선거 (4월), 여수세계박람회 (5~8월), 대통령선거 (12월) 등굵직굵직한국가차원의행사들이예정되어있어, 이를겨냥한사이버공격의발생가능성이높기때문에각행사기간동안비상대응체계운영및집중모니터링, 유관기관협력강화등을통해성공적행사개최를지원할예정이다. 또한급증하고있는스마트폰이용자들을보호하기위해안드로이드기반의앱마켓에서악성앱을수집하여분석할수있는시스템을구축할계획이며, 지난해 9월부터보급하고있는 스마트폰보안자가점검앱 (S.S Checker) 의기능을업그레이드하여스마트폰이용자들에게악성코드가포함된앱에대한정보를알려주는서비스를제공하는등보다안전한모바일이용환경조성을위해노력할것이다. 이밖에도국내이용자가많은주요국산 S/W의신규취약점에대한탐지 분석강화, 웹하드를통해유포되는악성코드탐지 조치강화, 인기검색어기반의악성코드유포점검기술의개발 보급, 안전한클라우드서비스기반환경을조성을위한제도적, 기술적방안연구, DNS 대상 DDoS 공격대응기반마련등다양한방안을마련하고중점추진할예정이다. 더불어 APT 형태등더욱지능화된공격에신속대응하기위해 KISA 내부적으로도전문분석인력의확대및 KISC 직원들의기술역량을강화해나갈것이다. 그러나갈수록고도화, 지능화되는사이버공격을예방하기위해서는무엇보다도, 기업의보안관리체계도입및보안투자확대가필요하다. 기업대상보안관리체계확대를위한제도적마련과기업 CEO 및관리자의인식제고를위한노력도지속해나갈것이다. 한편, 대형침해사고의경우도개인이이용하는 PC로부터출발하는경우가많다는점에서개인이용자들의정보보호생활화역시중요한보안요소이다. 수시로악성코드를점검하고최신보안업데이트를설치하며의심스러운파일의실행이나웹페이지접속을자제하는등가정 / 직장에서자신이이용하는단말기 (PC, 스마트폰, 테블릿PC 등 ) 에대한철저한관리가요구되는시점이다.

33 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 1. 악성코드경향분석 1-1. 악성코드동향 211년한해동안다양한악성코드신종및변종이출현하여, 많은이용자들에게감염피해를발생시켰다. 정치적목적의공격을위한악성코드감염으로인해 3.4 DDoS, 농협전산망마비사고, 선관위 DDoS 사건등이발생하였고, 특정기업대상타겟공격용악성코드로인해대규모개인정보유출사건이발생하기도하였다. 각종이슈관련사회공학적전파되는악성코드가여전히기승을부렸고, 각종소프트웨어취약점악용한홈페이지유포형악성코드와문서파일유형의악성코드지속적으로유포되었다. 또한지능화된악성코드유포및자기보호기술의적용은향후악성코드위협의대응방향을시사하는새로운이슈였다. 본절에서는 211년국내에서비교적영향력이있었던사례를분류하여악성코드동향을정리하였다. 가. 유선환경에서의악성코드 1 3.4 DDoS 등각종정치적목적의공격을위한악성코드 3.4 DDoS 침해사고는 211년 3월 4일 1:를기해발생한일련의 DDoS 공격이었다. 총 3차에걸쳐국내주요웹사이트를대상으로계획적이고동시다발적으로일어났으며, 이로인해일부사이트의인터넷서비스접속지연이발생하였다. 하지만공격의실효성은거의없었다고봐도무방하며, 3월 6일 시경감염 PC를대상으로스스로하드디스크즉시손상을유발하는악성코드를유포하면서공격이마무리되었다. 지난 4월발생한농협전산망공격의경우 21년 9월경에농협전산망에접속하는유지보수업체직원노트북에악성코드가감염되었고, 약 7개월간지속적으로모니터링을통해정보가유출되었다. 또한최종적으로농협내부망전산서버에대한시스템파괴명령을내려서버 587대중 273대가작동불능상태가되었고복구까지 2주이상소요되었다. 농협해킹사고에사용된악성코드제작방식및전파유형은 7.7 및 3.4 DDoS와유사한것으로파악되었다. 1월에는정치권과온국민들에게큰파장을일으킨선관위 DDoS 사건이발생하였다. 해당악성코드는기존에발생했던 DDoS 악성코드샘플과접속 C&C를제외한모든부분이동일한것으로보아, 중국해킹관련사이트를통해쉽게구할수있는특정악성코드자동생성도구를통해제작되었을것으로추정된다. 2 특정기관, 기업, 시설대상타겟공격용악성코드증가 APT(Advance Persistent Threat) 공격은타겟기관, 기업등을대상으로신규취약점등을악용하여매우은밀하게침입하고지속적으로공격을유지하는것으로, 타겟공격보다발전된개념이지만지능화또는고도화된공격의구분이모호하여타겟공격과혼용하여사용되기도한다. 시만텍에서발간한월간리포트 [1] 에따르면, 11월한달간전세계타겟공격은일일평균약 94건으로 1달전에비해무려 4배가까이증가한것으로나타났다. 실제로 211년에글로벌에너지업체를대상의 Night Dragon 공격, Duqu 악성코드공격, Poison Ivy 악성코드를악용한 EMC/RSA 공격및 Nitro Attacks 등으로인해많은기업의기밀정보가유출되거나기업이미지에타격을받는피해가발생하였다.

34 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 국내에서도인터넷기업을노린타겟공격이발생해대규모개인정보유출사고가일어났다. 지난 7월 SK컴즈해킹사고는변조된공개용알집업데이트파일에의해감염된 PC를공격자가원격제어및회원 DB를제어하여발생하였으며, 총 3,5만여명의회원정보가외부경유지서버를통해중국에할당된 IP로유출된사실이확인되었다. 3 악성코드유포및자기보호지능화 211년에는백신의진단을우회하거나치료를까다롭게하는다양한유형의지능화된악성코드가다수발견되었다. 우선 Duqu 악성코드와같이, 인증서개인키를도용한후유효한디지털서명을적용하여정상파일을가장한악성코드가발견되었다. 또한홈페이지를통해배포되는설치파일변조하거나, SK컴즈해킹사고사례와같이업데이트프로그램을변조하여악성코드를유포하는사례도발생하였다. 자기보호및치료를어렵게하기위해시스템의 BIOS 1) 및 MBR 2) 을감염시키는악성코드또한다수발견되었다. BIOS와 MBR은운영체제가시작하기전에동작하는프로그램이기때문에, BIOS나 MBR 영역을근본적으로치료하지않으면아무리감염파일을삭제또는치료를하더라도재감염된다. 특히홈페이지를통해유포된온라인게임계정탈취악성코드에서 MBR 감염기능과함께백신의실행을방해하는기능이일부발견되었다. 지능화된악성코드는치료가까다로운만큼예방에주의를기울여야하겠다. 4 각종이슈관련악성코드의사회공학적전파 211년에도어김없이일본후쿠시마강진 원전사고, 유명연예인의스캔들및오사마빈라덴, 스티브잡스, 김정일등유명인의사망과같은사회적이슈와관련된내용으로위장한스팸메일, SNS 또는검색엔진최적화 (Search Engine Optimization) 를통해악성코드전파된사례가발생했다. 특히메일에첨부되는파일이실행파일 (EXE) 뿐만아니라다양한취약점을악용하는문서파일 (DOC, PDF 등 ) 파일을이용하는경우가많았다. 또한스마트폰의보급이폭발적으로증가하고트위터나페이스북등 SNS 서비스가큰인기를누리면서, SNS 서비스를사회공학적악성코드유포채널로악용하는사례도다수발견되었다. 트위터와페이스북에서보내온내용으로위장한스팸메일의첨부파일이나, 쪽지또는채팅메시지등의링크또는단축 URL을통해악성파일을유포하면서과거에비해악성코드의확산속도가더욱빨라지게되었다. 인터넷이용자는이러한사회적인이슈가공격자들에게는자신들이제작한악성코드전파에매우좋은기회로연결될수있다는사실을염두하고주의를기울여야한다. 1) BIOS(Basic Input Output System) : 운영체제하위에서입출력장치의제어를위한가장기본적인기능을처리하는프로그램 2) MBR(Master Boot Record) : 하드디스크의맨앞에기록되어있는시스템구동을위한영역으로 MBR 의정보가파괴되면 PC 구동이불가능함

35 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 [ 그림 2] 김정일사망이슈관련악성코드유포메일 [2] 5 취약점악용한홈페이지유포형악성코드지속유포 국내사용자가많이방문하는일부언론사, 웹하드, 소셜커머스, 인터넷커뮤니티사이트등을통해서주말마다집중적으로악성코드가유포되는현상이지속되었다. Adobe Flash Player, Oracle Java, Microsoft Internet Explorer 등의소프트웨어취약점을악용하는방식으로유포되었고, 주로온라인게임계정탈취를위한악성코드가대다수를차지하였다. 해당악성코드는윈도우의정상시스템파일을악성파일로교체하여동작하는데, 악성코드의버그및중복감염으로인해인터넷이되지않거나, 시스템부팅이되지않는등의추가적인피해가발생 [3] 하기도하였다. 6 문서파일유형의악성코드증가 211년에는각종취약점을공격하여추가악성코드를다운로드하거나생성후실행하는악성문서파일의유포가증가한경향을보였다. 특히 MS1-87 RTF 스택버퍼오버플로취약점 (CVE-21-3333) 을악용하는 RTF 포맷의악성파일과 Adobe Flash Player 취약점과관련된악의적인 SWF를포함하는 MS 오피스파일 (DOC, XLS) 과 PDF 파일이다수발견되었다. 또한국내에서는한 / 글프로그램의신규취약점을악용하는 HWP 포맷의악성코드가특정그룹을대상의타겟공격 (spear-phishing) 에사용되기도하였다. 나. 무선환경에서의악성코드 211년한해동안에는전세계적으로안드로이드 OS 탑재스마트폰의보급및이용증가로인해안드로이드폰을대상으로하는악성코드가해외에서급속하게증가하였다. 해외에서발생한스마트폰악성코드는단순히스마트폰의 IMEI값, 통화및 SMS 발송내역등의기본정보를유출하는것에서부터중국, 러시아, 유럽및전세계국가를대상으로정보이용요금을발생시키는과금유발형악성코드까지다양한형태의악성코드가등장하였다. 본절에서는 211년세계적으로비교적영향력이있었던모바일악성코드사례를분류하여정리하였다.

36 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 1 봇넷형악성코드의발생 21년 12월말 Geinimi를시작으로, 211년 2~3월 ADRD, PJApps.A~C 등안드로이드 OS 탑재스마트폰을대상으로하는봇넷형모바일악성코드가해외에서연달아발생하였다. 이들은기본적으로해커와암호화통신을하고있으며, 해커로부터명령이하달되면, 암호화된명령어를복호화하고이에맞는악성행위 ( 단말기및개인정보유출, 추가앱설치, 즐겨찾기추가등 ) 를수행후, 그결과를해커에게 SMS 형태로전송하는형태를보이고있다. [ 그림 3] 정상앱으로위장한봇넷형악성앱 (PJApps 변종 ) 화면 note 명령으로 SMS 를이용하여 IMEI 등의정보유출 soft 명령을통해추가어플리케이션설치 [ 그림 4] 악성코드 (PJApps) 주요명령어및기능

37 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 2 정상앱으로위장한악성코드의유포 211년도해외에서발생한악성앱들은배경화면변경, 게임, 동영상스트리밍서비스, 모바일백신등정상적인앱에악성코드를삽입 리패키징한후정상앱인것처럼위장하여개인및단말정보유출, SMS 무단발신등의악성행위를하는앱들이대부분이었다. 또한, 이러한악성앱들은앱보안성검증이취약한해외사설블랙마켓등을통해유포되고있어, 스마트폰이용자의각별한주의한필요하다. < 정상앱 ( 왼쪽 ) vs. 악성앱 ( 오른쪽 )> [ 표 1] 정상앱으로위장한봇넷형악성앱 (PJApps 변종 ) 화면 < 정상앱 ( 왼쪽 ) vs. 악성앱 ( 오른쪽 )> 동영상스트리밍을제공하는 NETFLIX 앱으로위장 Kaspersky 모바일백신앱으로위장 3 premium SMS 요금부과악성코드의증가 211년하반기에들어서는정보이용료가부과되는 premium SMS 서비스이용을시도하는악성코드가증가하였다. 이전에도 premium SMS 서비스를통한과금유발형악성앱들이발견되었으나, 대부분중국및러시아의스마트폰이용자를대상으로하였다. 하지만, 최근에는스위스, 벨기에, 독일, 스페인, 영국등다수의유럽국가및더나아가전세계스마트폰이용자를대상으로하는악성앱이발견되었다. premium SMS 서비스를시도하는악성앱들은감염된스마트폰의정보를확인해특정조건과일치할경우미리정의된해당국가별 premium SMS 번호로사용자몰래 SMS를발송해요금을부과한다. 현재망사업자가등록된국가코드정보를확인하여, 해당국가별 ( 프랑스, 스위스, 벨기에, 룩셈부르크, 캐나다, 독일, 스페인, 영국 ) 프리미엄번호로 SMS 발송시도 [ 그림 5] 8 개유럽국가대상 premium SMS 발송코드예

38 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 1-2. 악성코드전망 가. 유선환경에서의악성코드 212 년에는타겟공격을위한지능화된악성코드가유포되고, 정치 / 경제 / 종교 / 사회적인목적을달성하기위한 핵티비즘 (Hacktivism) 공격악성코드도증가할것으로예상된다. 또한범죄조직에의한악성코드와 Mac OS 사용자대상악성코드도증가할것으로전망된다. 1 타겟공격을위한지능화된악성코드유포 공격대상기관 / 기업이사용하는특정소프트웨어의알려지지않은신규취약점을활용하거나, 해당소프트웨어의업데이트서버를해킹하여변조된업데이트파일을올려놓는방식으로악성코드유포방식이진화될것으로보인다. 또한지속적인공격이이루어질수있도록보다진화된은폐기술이적용될것으로예상된다. 백신의진단을우회하거나치료를까다롭게하는 BIOS/MBR 감염형악성코드와루트킷이접목된형태의악성코드가타겟공격에사용될것으로전망된다. 더불어 C&C나정보유출관련통신채널이보안관제시탐지되지않도록정상적인트래픽과구분이불가능한형태의네트워크통신을하도록제작될수있다. 공격대상측면에서는 21년이슈가되었던 Stuxnet 악성코드와같이원자력, 발전 송배전시설, 수도, 화학, 철강등국가주요산업기반시설을겨냥한공격을목적으로제작된정교한악성코드들이등장할가능성이있으며, 특정기업 / 기관 / 그룹이아닌특정개인 ( 유명인 ) 을공격대상으로삼는타겟공격도발생할가능성이있다. 2 핵티비즘 (Hacktivism) 공격시도증가에따른악성코드유포가능 정치 / 경제 / 종교 / 사회적목적의달성을위해특정국가 기관 단체의시스템을해킹하거나 DDoS 공격을시도하는활동이 212년국내외에서많이발생할것으로보인다. 컨설팅기관롤란드버거에따르면 212년한해동안전세계 193개국가운데 59개국에서직 간접선거를실시하는데, 특히우리나라의대선 총선및미국과러시아의대선등이큰이슈로작용할수있다. 또한이와맞물려 211년에발생했던중동 북아프리카의자스민혁명, 유로존재정위기, 美월가시위등이확산될수있고, 룰즈섹 (LulzSec) 이나어나니머스 (Anonymous) 등과같은핵티비스트 (Hacktivist) 그룹들이이를지원하면서정보유출, DDoS, 시스템파괴악성코드가유포될가능성이있다. 3 범죄조직에의한악성코드유포증가 악성코드의제작, 유포에서 DDoS, 스팸발송및탈취한개인정보의유통까지사이버범죄가기업화 조직화 분업화되면서금전적인이득을노린범죄조직에의한악성코드유포가증가할것으로예상된다.

39 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 우선현금화가능한각종게임서비스의계정정보를유출하는악성코드가내년에도국내에서는지속적으로유포될가능성크고, SpyEye, ZitMo, 제우스 (ZeuS) P2P 버전등으로끊임없이진화하고있는제우스봇이내년에도해외금융권이용자에게는위협이될전망이다. 또한 DDoS나정보유출등을청부하는사이버범죄 (CaaS: Crime as a Service[4]) 와이를위한악성코드유포가기승을부릴것으로예상된다. 4 Mac OS 대상악성코드증가 과거에는주로마이크로소프트의윈도우운영체제에서동작하는악성코드가 PC 악성코드의주류를이루었다면, 212에는 Mac OS 사용자를노리는다양한유형의악성코드가등장할것으로예상된다. 211년에이미 MacDefender, MacSecurity, MacProtector, MacGuard 등과같은이름으로 Mac OS 대상영문허위백신프로그램이유포되어금전적인피해를유발한사례가있었는데, 최근전세계적으로 Mac OS의보급이증가하고있는추세로보아 Mac OS 대상악성코드유포가점차증가할것으로보인다. 또한사이버범죄그룹이새로운수익모델을찾아낸다면허위백신프로그램외에도다양한종류의악성코드가제작될것으로보인다. [ 그림 6] Mac OS 에감염된영문허위백신 Mac Protector[5]

4 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 나. 무선환경에서의악성코드 212년에는안드로이드기반스마트모바일기기의보급이날로늘어남에따라, 안드로이드 OS 스마트모바일기기를대상으로하는모바일악성코드수가폭발적으로증가할것으로예상된다. 또한모바일악성코드의주요감염경로는현재의앱보안성검증이취약한블랙마켓이외에도페이스북, 트위터등 SNS상의링크가주요전파수단이될것으로전망된다. 이러한블랙마켓및 SNS를통한악성앱의유통증가는 211년과는달리국내대다수안드로이드기반의스마트기기이용자들에게직접적인위협으로대두될것으로예상된다. 1 안드로이드악성코드수폭발적증가 미국의보안전문업체인 McAfee의 211년 3분기위협보고서 [6] 에따르면, 전세계모바일악성코드는 1,3여종에이르며, 그수는지속적으로증가하고있다고한다. 현재까지발생한악성코드중대부분은노키아社의심비안 OS를대상으로하는모바일악성코드였으나, 최근안드로이드폰의보급율이높아지면서앱보안검증이취약한안드로이드폰을대상으로하는모바일악성코드가매분기급격하게증가하는추세로, 212년에는그수가폭발적으로증가할것으로예상된다. 특히, 국내의경우보급된스마트폰중약 8% 가안드로이드운영체제를탑재하고있어대형침해사고로연계될위험성이높다고할수있다. 출처 : McAfee Threats Report: Third Quarter 211(11.22) [ 그림 7] Mac OS 에감염된영문허위백신 Mac Protector[5] 2 SNS 를통한악성코드유포증가 모바일악성코드의감염및유통경로로 212년에도앱보안성검증이취약한블랙마켓이여전히이용될것으로보인다. 더불어트위터, 페이스북등과같은 SNS를이용한모바일악성코드의감염및유통이급격하게증가할것으로예상된다. SNS는사용자가많은만큼확산이빠르고, 단축 URL 또는 QR코드등을이용한피싱등의사회공학적인공격위협에노출되어있기때문에 SNS를통한모바일악성코드의유포가확연히증가할것으로예상된다. 단축 URL 또는 QR코드는이용자들이클릭또는스캔하기전까지어떤페이지로연결될지검증할수없기때문에, 악성코드가삽입된사이트로쉽게유도할수있어서악용될소지가높다.

41 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 3 새로운플랫폼대상악성코드등장 211년전세계적으로안드로이드 OS 탑재스마트기기가대중화되면서안드로이드플랫폼을대상으로개인및단말정보를유출하거나 SMS 부당과금을유발하는모바일악성코드가급격하게증가하였다. 212년에는마이크로소프트社의윈도우폰7 OS를탑재한스마트폰의활성화가예상된다. 마이크로소프트社에서는 MS의마켓플레이스에서만앱 (app) 을다운로드하게하는등아이폰과같은형태로보안을강화하였으나, 윈도우폰7 OS의취약점을이용해스마트폰을루팅할수있는 ChevronWM7, WindowBreak 등의 unlock 툴이이미등장하였고, OEM(Original Equipment Manufacturer) 형태로윈도우폰7 OS를탑재한스마트폰을제조하는제조사에서디버깅용으로제공하고있는애플리케이션들에대한취약점들이이미노출되어있어, 이를이용한악성코드들이등장할것으로보인다. 2. 보안취약점경향분석 2-1. 보안취약점동향 211년한해동안다양한환경및시스템에서신규취약점이발견되었고, 이를악용한침해사고도많이발생하였다. 특히정보시스템이관리하고있는정보의양과중요도가점점높아짐에따라취약점으로인한데이터유출및위 변조삭제등의침해사고는엄청난금전적손실과사회적혼란을야기시킬수있음을한번더확인한해가되었다. 본절에서는 211년발생한취약점현황과주요사례를분류하여취약점동향을정리하였다. 1 보안취약점개수의감소, 영향력은증가 CVE(Common Vulnerabilityes and Exposures)[1] 에 211년한해동안등록된취약점은모두 4,14건으로 21년 (4,64건) 과비교했을때다소하락한수치를보이고있다. 그러나모든취약점발생사례가 CVE에등록되는것이아니기때문에, 해당추이는절대적이지않으며, 실제로정보수집및집계기관별로다른수치및결과를보이고있다. 또한정보시스템의규모증가와취약점악용방식이갈수록지능화됨에따른파급도상승으로인해, 취약점개수의증감과상관없이신규취약점의지속적인출현은인터넷침해사고의강력한위협이되고있다.

42 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 7, 6, 5, 4, 3, 2, 1, 27 년 28 년 29 년 21 년 211 년 년도 27 년 28 년 29 년 21 년 211 년 취약점개수 6,514 5,632 5,734 4,64 4,14 [ 그림 8] CVE 등록취약점증감추이 1, 8, 6, 4, 2, 2 사고발생시파급효과증가 1996 1997 1998 1999 2 21 22 23 24 25 26 27 28 29 21 [ 그림 9] IBM X-Force 21 보안동향및위협보고서 ( 11.3) 취약점증감추이 과거에비해정보시스템에운용되고있는데이터중요도상승및크기증가로인해, 취약점으로인한침해사고 발생시피해규모가커지고있다. 한예로 211 년 4 월에발생한소니社의플레이스테이션애플리케이션 서버에서발생한취약점으로인해 1 억명이상의고객개인정보유출로인해천문학적인금전손실이발생했으며, 네덜란드인증기관인 DigiNotar 는취약점으로인한해킹으로회사가파산하는사례가발생하였다. 국내의경우, 211 년 4 월 8 일현대캐피탈이웹취약점을노린것으로추정되는해킹을통하여 175 만명의 개인정보가유출되었으며, 7 월 26 일 SK 커뮤니케이션즈의관리자 PC 에설치된이스트소프트社 S 의알툴즈 유틸리티의취약점을이용해악성코드를설치하여, 3,5 만명의개인정보가유출되는사건이발생하였다. 위와같은사례에서알수있듯이취약점으로인한피해파급도는기업의신뢰성회손과금전적인손해로 이어지며, 나아가기업의존폐에영향을미치는단계까지변화하였다.

43 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 3 전자문서처리프로그램에서발생하는취약점악용사례증가 211년에는국내에서많이사용되고있는아래한글워드프로세서와 Adobe Reader/Acrobat 제품에서발생하는취약점을이용한문서파일형태의악성코드가지속적으로발생하였다. 취약점을악용하여특수하게제작된문서파일형태의악성코드는아이콘, 확장자등외관상정상문서파일과동일하여유관으로는악성코드여부를파악할수없으며, 실행시악성코드감염행위와동시에정상적인문서를출력하여사용자를속이도록치밀하게제작되었다. 대부분피싱메일을통한정상적인첨부문서로가장하여유포되었으며, 특정대상및조직을목표로삼는 APT(Advanced Persistent Threat) 공격시도를목적으로사용한사례도있었다. 현재해당취약점에대한보안패치가공개되었으며, 업데이트를통하여피해를예방할수있다. [ 그림 1] 아래한글악용하는악성코드개요도

44 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 [ 그림 11] 아래한글취약점을이용한악성코드생성 4 웹서비스서비스거부취약점 211년 8월과 12월에는주요웹서비스에서비스거부를일으킬수있는파급도높은취약점이공개되었다. 취약점을이용한서비스거부공격의경우, 일반적으로수많은좀비PC를동원하여공격하는방식과달리, 단 1명의공격자가특수하게조작된소량의패킷전송만으로도서비스장애를유발시킬수있어파급도가매우크다. 지난 8월에공개된아파치웹서버대상 DoS 공격도구의경우전세계적으로가장많이이용되고있는웹서버에대한공격가능성에서웹서버관리자들을긴장하게했고, 특히 12월에발생한취약점의경우, 해시테이블에서발생하는문제로닷넷프레임워크, PHP, 아파치톰캣등주요웹서비스에동일한문제점이발생하였다. 해당취약점으로인해마이크로소프트社의경우매월정기적으로수행하는보안업데이트와별도로긴급보안패치 (MS11-1) 를발표하였으며, 아파치톰캣및 PHP도긴급히보안업데이트를공개하였다.

인터넷 침해사고 동향 및 분석월보 45 월간특집_ <첨부> 악성코드, 보안취약점, DDoS 공격 경향 상세분석 [그림 12] 서비스 거부를 유발시키는 특수하게 제작된 공격트래픽 전송 [그림 13] CPU 자원고갈 현상 발생

46 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 2-2. 보안취약점전망 212 년에도각종운영체제및어플리케이션등의새로운취약점들이지속적으로출현할것이고, 강력한 보안위협으로작용할것이다. 보안취약점은대부분의침해사고에서공격수단으로악용되는만큼공격유형과 연관하여전망해보았다. 1 보안취약점을이용한 APT(Advanced Persistent Threat) 공격증가 APT공격시, 공격대상자가신뢰하는유틸리티및워드프로세서등에서발생하는취약점과피싱을연계시킬경우, 공격자의입장에서성공확률을매우높일수있기때문에해커의입장에서취약점을이용한 APT공격이늘어날것으로예상된다. 때문에사용자는자신이사용하고있는프로그램은항상최신버전으로업데이트를유지해야하며, 신뢰할수없는출처의파일은열람을자제하는등의주의가필요하다. 2 국산범용소프트웨어대상취약점공격증가 윈도우운영체제와익스플로러, 한글워드프로그램등특정 S/W에의존도가높은국내환경은이러한특정 S/W의취약점을이용한공격에상대적으로더큰피해가야기될수있다. 이러한국내환경에특화된 S/W 대상의취약점이많이발견될것이고, 이를이용한공격도증가할것으로예상된다. 또한해당취약점을악용하기위해기존실행파일 (EXE확장자) 형태의악성코드가아닌, 취약점을악용하도록특수하게제작된전자문서및미디어파일형태의악성코드출현이증가할것으로예상된다. 3 보안취약점을이용한서비스거부공격증가 기존대량의좀비PC를동원한서비스거부공격방식과달리, 취약점을이용한서비스거부공격이증가할것으로예상된다. 취약점을이용한서비스거부공격의경우, 적은공격자원으로많은피해를만들어낼수있어위험도가높다. 제로데이취약점인경우서버관리자는패치가발표될때까지임시조치방안을수행하고보안패치발표시신속하게패치를적용하는등의적극적인대처가필요하다.

47 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 3. DDoS 공격경향분석 211년에는 4여개주요사이트를공격대상으로한 3.4 DDoS 공격을비롯해, 선거관리위원회, 해양경찰청, EBS 수능방송등공공기관을대상으로한공격도다수발생하였으며, 전년도에이어올해도영세한쇼핑몰, 도박, 호스팅업체등을대상으로한공격도지속되었다. 본절에서는 KISA가운영하고있는 DDoS 사이버대피소 3) 에서실제대응한사례를바탕으로동향을살펴보기로한다. 3-1. DDoS 공격동향 최근에발생하는 DDoS 공격은전문 DDoS 공격단체의청부형공격이나키워드광고서비스등특정업종을대상으로한 DDoS 공격을특징으로하며, 대용량트래픽전송공격과웹서버자원고갈형공격을주로사용하고있다. DDoS 사이버대피소에서방어한 DDoS 공격은공격자, 공격대상, 공격유형의관점에서아래와같은특징을 보였다. 1 전문공격단체를이용한청부형 DDoS 공격 ( 공격자관점 ) 211 년 1 월웹호스팅업체에등록된온라인쇼핑몰사이트를대상으로 DDoS 공격이발생하여쇼핑몰서비스가중단되는사건이발생하였다. 사건직후, 빠르게 DDoS 사이버대피소의방어시스템으로적용하였지만이미웹사이트는마비된상태에서공격자는공격을종료한이후였다. 공격징후가없음을판단한후쇼핑몰운영자를통하여협박이있었는지여부를확인한결과해당 DDoS 공격이청부에의한것임을확인할수있었다. < 온라인쇼핑몰담당자로부터확인한협박내용일부 > 공격단체에연락을취하고공격이유와목적에대해물은바동종업계에서의뢰가들어와감행했다는이야기를들었습니다. 또한앞으로공격이더이어질것이라는말도함께자신들은실력이있다고했습니다. 쇼핑몰운영자가전달해준협박내용을통해알수있듯이금번공격은동종업계에서전문 DDoS 공격단체를섭외하여피해대상기업을공격한것이며, 웹서비스를마비시켜쇼핑몰운영에치명적인피해를입히는것을목적으로하고있었다. 211 년 1 월 27 일 15Mbps 이하의소규모 1 차공격 (SYN flooding) 을시작으로 66Gbps 규모의대용량트래픽전송공격, 1Gbps 규모의웹서버부하발생을통한서버마비공격등크고작은 DDoS 공격이 2 월 14 일까지총 3 회정도반복되었다. 특히, 공격자는대피소에의해 DDoS 공격시도가무력화되면다른봇넷을구성또는확보하여다시공격을감행하였다. 일부 C&C 가차단된후다시발생된 Get flooding 공격을분석한결과다른침해사고에서사용되었던패턴과동일한형태의공격임이확인되기도하였다. 3) 국내중소 / 영세기업의 DDoS 공격피해저감을위해 KISA 가 21 년 9 월개소하여운영중이며, 피해웹사이트로향하는공격트래픽을대피소로우회시켜주는서비스를제공

48 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 2 유사업종을대상으로하는순차적인 DDoS 공격 ( 공격대상관점 ) 211 년 3 월, 4 월, 6 월에특정업종을대상으로순차적인 DDoS 공격신고와 DDoS 사이버대피소입주신청이발생하였다. 이러한업종중에는인터넷키워드광고를이용한서비스, 소셜경매서비스, 성인쇼핑몰서비스등이포함하고있었다. 즉, 공격자는특정업종을선택하고해당업종내의웹사이트를검색하여나타나는중 소웹사이트를대상으로순차적인 DDoS 공격을감행한것이다. 공격자는해당업체에게웹사이트서비스를내릴것을요구하거나금전적보상을요구하여업체가이를수용하면공격을중지하는패턴을보였다. 특히, 공격자는서비스를제공하지못하면매출에심각한타격을입을만한업체를선택하여맛보기공격과함께금전적요구를병행하였고 DDoS 공격대응능력이없는영세중 소업체는이러한요구를쉽게들어주는악순환이반복되고있었다. 3 대용량트래픽전송공격과웹서버공격의동일비율발생 ( 공격유형관점 ) DDoS 공격은크게공격대상의네트워크대역폭을소진시키는유형과웹서버자원에부하를주는유형으로구분할수있는데, 211년에는 21년과마찬가지로 UDP/ICMP Flooding과같은네트워크대역폭을소진시키는공격과 Connection을증가시킴으로써서버를마비시키는공격이비슷한비율로발생하였다. 네트워크대역폭을소진시키는공격은주로 UDP/ICMP 프로토콜을이용하는 UDP/ICMP Flooding 등이있으며웹서버자원에부하를주는공격은 TCP프로토콜을이용하는 HTTP GET Flooding, SYN Flooding 등이있다. KISA의 DDoS 사이버대피소는대용량트래픽전송공격이나웹서버자원부하공격을지속적으로방어하고있는데지난 1년간의 DDoS 공격발생규모를보면다음그림과같다. 1% 2% 28% 1% 24% 17% 17% 5G 이상 2G~5G 1G~2G 5G~1G 1G~5G 1M~1G 1M 미만 [ 그림 14] 211 년 DDoS 공격량규모 위그림을보면 5Gbps 이상의공격이전체공격의 37% 를차지하고있고 5Gbps 미만의공격은 63% 의비율을보이고있다. 특히, 5Gbps 규모이상의 DDoS 공격은 UDP/ICMP Flooding과 TCP를이용한대역폭소모공격이주를이루었고 5Gbps 미만의공격은 TCP프로토콜을이용한공격이대부분을차지하였다. DDoS 공격형태를살펴보면, DDoS 공격량에서는차이가있지만공격형태측면에서는큰차이가발생하지않았음을볼수있는데다음그림은공격형태별발생규모를나타낸것이다.

49 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 7% 2% 1% 3% 23% 38% ICMP/UDP Flooding Syn Flooding Get Flooding HTTP Continuation Posting Flooding [ 그림 15] DDoS 공격유형별빈도 DDoS 공격형태별발생빈도를보면 UDP/ICMP 와 TCP를이용한대역폭소진공격 (ICMP/UDP Flooding, HTTP Continuation) 이 45% 의비율을보였고, TCP 프로토콜을이용한웹서버자원고갈공격 (Syn/Get/ Post Flooding) 은 55% 의비율을보였다. 즉, 위에서언급한그림을종합해보면그동안발생한 DDoS 공격은네트워크대역폭소진공격과웹서버자원고갈형공격이대략 1:1의비율로발생하였음을알수있다. 3-2. DDoS 공격전망 212 년에도금전적, 정치적, 이념적등다양한목적으로 DDoS 공격은지속될것이다. 특히영세한기업을 대상으로협박성공격을감행함으로써쉽게금전취득이가능한점과이메일 P2P 웹하드등악성코드전파 경로가다양지면서봇넷 (BotNet) 환경구성이용이한점등을요인으로꼽을수있다. 또한금전적협박이나 공격명령이주로해외에서이루어지고있어 DDoS 공격근원지파악및공격자검거가어려운점도간과할수 없는부분이다. 공격자들은효과적인공격을위하여기존대응방안들을우회하는진화된방법으로공격을시도할것이다. 또한공격대상을웹서비스에중점을둠과동시에, 네트워크장비및웹이외의다른주요어플리케이션등 새로운대상에대한공격기법들을개발하고공격에활용할것이다. 현재의 DDoS 공격대응기술 set-cookie 를이용한대응 - 최초 GET 요청시 Set-Cookie: testcookie=test; MaxAge=36; 로서버에서응답후이후 Cookie:testcookie=test 문자열을달고요청할때만 OK 32 Redirect 를이용한대응 - <meta http-equiv='refresh" contents="1; url=http://www2.domain.com/"> HTTP 헤더의특정 string 을이용한대응 - L7 수준에서문자열필터링 ( 예 :Proxy-Connection, Cache-Control) 동일 URI 요청에대한 IP 차단 - 반복적인 URI 요청을하는 IP 에대한차단 (rate-limit) 빠른 GET 요청대한 rate-limit 차단 - 일정시간당지정된회수이상으로많은 GET 접속을하는 IP 에대한차단 (rate-limit) [ 표 2] 현재의 DDoS 공격대응기술과미래의공격시나리오 향후공격예상시나리오 브라우저 Component 를이용하여 set-cookie 를따른다면? 32 Redirect 를따른다면? 불필요한비정상적 HTTP 헤더가없다면? 요청하는 URI 가 / 에한정하지않고 dynamic 하게변경된다면? Slow-attack 과같이적당히느린속도로공격한다면? ( 충분한좀비 PC 를확보한경우 )

5 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 1 방어정책을우회하는 DDoS 공격웹사이트공격을차단하는가장보편적인방법은웹사이트서비스가사용하지않는접속프로토콜을차단하는것이다. 즉, 웹사이트접속은보통 TCP 기반의 HTTP 프로토콜을사용하고웹사이트특성에따라 UDP/ICMP 프로토콜을일부사용할수있으므로서비스에영향을미치지않는범위내에서 UDP/ICMP를이용한접속을차단할수있다. 이러한방법은웹서버의상위네트워크에위치한라우터등의네트워크장비의 ACL(Access Control List) 을설정하는것만으로도손쉽게방어가가능하다. 그러나공격자는이러한대용량트래픽전송공격차단을회피하기위해 TCP를이용한대용량트래픽전송공격을사용한다. 공격자는좀비 PC로하여금웹서버와 TCP 세션을맺도록한후에 TCP 페이로드 (Payload) 에의미없는데이터 (Garbage) 로가득채워트래픽을전송하도록하는데, 이와같은공격을 DDoS 사이버대피소에서는 HTTP Continuation 공격이라고명명하고있다. 이러한공격의장점은 UDP/ICMP Flooding과같은성격을가지고있어 DDoS 대응시스템까지도달하기이전구간의네트워크대역폭을잠식할수있어공격방어가불가능해질수있다는점이다. 이러한사례를통해 HTTP Continuation 공격은방어자의정책을우회하기위한방법으로진화한대표적인사례라고할수있다. 2 모바일환경을이용한 DDoS 공격악성어플이설치된스마트폰은 SMS 문자메시지발송만으로, 스마트폰연락처에있는모든사람들에게악성코드가포함된링크의문자메시지를전달함으로서순식간에많은사람들에게악성코드를전파한다. 이때, 사용자는지인을통해아무런의심없이문자메시지를클릭함으로써악성코드에감염되게된다. 악성코드에감염된수많은스마트폰이나테블릿PC 등이좀비PC의역할을하게되어 PC 환경에서와같이 DDoS 공격이가능하다. 3 브라우저와동일한 DDoS 공격 (2ch Tool DDoS 공격 ) 좀비PC의 DDoS 트래픽은날로정교해지고있다. 따라서더이상기존의임계치및특정시그너처 (Signiture) 로차단하는방법으로는공격트래픽을정확히분별해낼수없을것이다. 그중좀비PC가브라우저와거의동일하게동작하여 DDoS트래픽을유발할수있는 Tool은 2ch가있다. 아직 NET봇의형태로 C&C가존재하지않지만, 앞으로많은좀비PC가이와비슷한형태로발전하고개량되어 DDoS공격을할것으로보인다.

51 인터넷침해사고동향및분석월보 월간특집 _ < 첨부 > 악성코드, 보안취약점, DDoS 공격경향상세분석 [ 참고자료 ] [1] http://www.symantec.com/content/en/us/enterprise/other_resources/b-intelligence_report_11-211.en-us.pdf [2] http://blog.trendmicro.com/kim-jong-il-malicious-spam-found [3] http://www.krcert.or.kr/securenoticeview.do?num=624&seq=-1 [4] http://blog.fortinet.com/adaptive-crime-services/ [5] http://blogs.mcafee.com/mcafee-labs/mac-protector-another-fake-alert-in-disguise [6] http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q3-211.pdf [7] http://cve.mitre.org [8] http://kr.trendmicro.com/kr/support/threat-reports/211/tr18/index.html [9] http://www.mcafee.com/us/resources/reports/rp-threat-predictions-212.pdf [1] http://blog.ahnlab.com [11] http://www.boannews.com

52 인터넷침해사고동향및분석월보 용어정리 구성설정오류공격 바이러스 (Virus) 바이러스월 (Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇 (Bot) 분산서비스거부공격 (DDoS:DistributedDoS) 불법자원사용 불법침입 서비스거부공격 (DoS:Denial of Service) 스파이웨어 (Spyware) 스팸릴레이 (SpamRelay) 허니넷 악성프로그램 악성프로그램공격 애드웨어 (Adware) 웜 (Worm) 운영체제및응용프로그램의설정오류 ( 위험성이있는기본설정의사용, 사용자편의를위한설정조정등 ) 를이용하는해킹기법으로홈페이지위 변조, 불법침입등에주로이용됨컴퓨터프로그램이나메모리에자신또는자신의변형을복사해넣는악의적인명령어들로조합하여불특정다수에게피해를주기위한목적으로제작된모든컴퓨터프로그램또는실행가능한코드네트워크환경내부에인-라인 (In-line) 상태에서 LAN 세그먼트의트래픽을관리하여트래픽상의네트워크바이러스를예방및차단하는시스템메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법운영체제취약점, 비밀번호의취약성, 악성코드의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행가능한코드 DoS 용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게만드는공격형태정당한권한없이특정시스템을스팸릴레이, 피싱사이트개설등에이용하는행위주요정보 자료를수집또는유출하기위하여정당한권한없이시스템에침입하는행위특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격으로서비스를못하도록만드는공격이용자의동의없이정보통신기기에설치되어정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나정상프로그램운용을방해하는기능을수행하는악성프로그램. 즉, 이용자의동의없이, 웹브라우저의홈페이지설정이나검색설정을변경, 정상프로그램의운영을방해 중지또는삭제, 컴퓨터키보드입력내용이나화면표시내용을수집 전송하는등의행위를하는프로그램스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해대응센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 악성코드등을수집사용자의시스템에설치되어백도어를오픈하여정보를유출하거나, 시스템의정상적인동작을방해하는프로그램컴퓨터시스템에악성프로그램을설치하게유도하거나고의로감염시키는해킹기법으로주로백도어등을이용하여상대방의주요정보를빼내기위한목적으로이용함사용자의컴퓨터에광고성팝업창을띄우거나, 초기화면을특정사이트로고정시키는등의사용자가의도하지않는행위를수행하게하는프로그램또는실행가능한코드독립적으로자기복제를실행하여번식하는빠른전파력을가진컴퓨터프로그램또는실행가능한코드

53 인터넷침해사고동향및분석월보 용어정리 지역센서취약점정보수집공격침입시도트로이잔 (Trojan) 피싱 (Phishing) 해킹 (Hacking) ASP.NET Botnet DHTMLEditingComponentActiveX E-mail 관련공격 Hyperlink 개체라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 공격징후탐지를위하여 KISA 에서주요도시에설치한센서대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam 이라고도함다른사람의컴퓨터나정보시스템에불법침입하거나, 정보시스템의정상적인기능이나데이터에임의적으로간섭하는행위개발자가웹응용프로그램및 XML 웹서비스를구축할수있도록돕는기술로, 정적 HTML 과스크립팅을사용하는일반웹페이지와는달리, 이벤트에기반한동적인 HTML 웹페이지를제공함많은 Bot 감염시스템들이명령을수신할목적으로 IRC 에연결되어있는네트워크인터넷익스플로러가웹메일처럼 HTML 문서를제작할수있도록해주는 ActiveX 컨트롤상대방의시스템에메일서버를설치하여스팸릴레이에악용하거나, 관심을끄는 E-mail 을보냄으로써상대방이악성프로그램을설치하도록하는해킹기법으로주로스팸릴레이나악성프로그램의설치에이용됨응용프로그램들이 HTML 문서에서사용되는 Hyperlink 처리를위한기능을제공 Korea Computer Emergency Response Team Coordination Center 의약어로, 국내외인터넷침해사고대응업무를수행하는한국대표침해사고대응팀 (CERT/CSIRT) 이며,KISA 인터넷침해대응센터가역할을수행 License Logging Service 의약자로 MS서버제품에대한라이센스를고객이관리할수있도록해주는도구네트워크의기본적인입출력을정의한규약 Object Linking And Embedding, Component Object Model 의약자로 MS의객체기반기술의일종으로서서로다른응용프로그램이나플랫폼이데이터를공유하는데사용 Portable Network Graphics 의약자로 GIF 나 JPEG 처럼그림파일포맷의일종으로, 주로 UNIX/ LINUX 환경에서아이콘등에많이사용 Server Message Block 의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable 한주소로 IP를위조하여 Syn 을보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격많은인원이동시에다양한정보공유와공동문서제작을위한웹사이트를제작하는데필요한서비스윈도우시스템의제반실행환경을제공해주는것으로 explorer.exe 가책임을맡고있음