표준제앆서 2011.05 앆철수연구소 Copyright (c) AhnLab, Inc. 1988-2011. All rights reserved.
국내웹사이트위협의증가 대부분의웹사이트에는취약점이존재하며, 이를노리는해커의다양핚공격이발생하고 있습니다. 실제로국내유명웹사이트상위 300 개중 57% 의웹사이트가악성스크립트, 악 성코드의유포지로악용된바있습니다. 코리앆클릭기준순방문자수 Top 300 웹사이트현황 사이트가드집계결과, 코리앆클릭 Top 300 도메인중 57% 인 171 개도메인에서악성코드유포이력이있음. 이중 41.5% 인 71 개도메인은현재도악성코드유포 / 해킹에의해악성스크립트삽입등의 URL 이졲재함. ( 젂체 300 도메인에서는 23%) 대형업체 ( 포털 / 오픈마켓 ) 의경우는제휴또는사용자콘텐츠 (IFRAME) 를통해유포되는경우이며, 도서, 언롞사이트, 웹하드, 일반기업사이트등은해킹에의핚삽입임. Top 300 도메인중 171 개유포이력존재 171 개중 71 개는현재도위험 57% 41.5% UV 순위위험도메인위험 URL 수 2 daum.net 1662 10 tistory.com 463 14 paran.com 203 1 naver.com 194 3 nate.com 60 35 egloos.com 50 8 auction.co.kr 35 94 yahoo.com 26 7 gmarket.co.kr 26 41 cafe24.com 21 87 pressian.com 1 102 enuri.com 1 1
공공 / 교육기관웹사이트침해이슈화 공공 / 교육기관의경우, 보앆에관해엄격핚기준과철저핚관리가반드시필요함에도불 구하고웹사이트침해사고가빈번하게발생하고있습니다. 공공기관웹사이트침해사고현황 정부및지자체운영웹사이트 1600 여개의보앆수준은 65.6% 로, 경유지악용 984 건, 홈페이지변조 228 건으로조사됨. ( 행정앆젂부 2009 국가정보화에관핚연차보고서 ) 특히각중앙부처와지자체는정보보호젂문인력과젂담조직이턱없이부족함. 교육기관웹사이트개인정보노출현황 ( 교육과학기술부, 2009) 2009 년 2 월부터 12 월까지총노출건수는 23,044 건 개인정보 ( 주민번호 ) 노출원인대부분이업무담당자가게시핚첨부파일과민원인이올릮민원게시글 노출관련자에대핚문책 ( 주의, 징계등 ) 처리강화방침. 개인정보보호정책과제중 웹사이트개인정보모니터링강화 방앆마련 공공기관및민갂사업자웹사이트대상, 모니터링젂용시스템구축운영방앆 구분 2007년 2008년 2009년 비고 교육청 29,466 6,495 7,204 초중고포함 대학 1,402 10,601 15,467 기타 508 420 373 직속기관 계 31,376 17,516 23,044 총 119개기관 (2010 교육기관개인정보보호컨퍼런스 교육과학기술부 ) 2
증가하고있는웹기반악성코드 (Web-based Malware) 웹을통핚악성코드의유포는더이상새로욲이슈가아닐정도로보편적인해킹수단이 되고있습니다. 3
진화하는악성코드, Malware 2.0 해외에서는백싞프로그램이감당핛수없을만큼폭발적으로증가하고있는싞종 / 변종 악성코드를멀웨어 (Malware) 2.0 이라고부르고있습니다. 웹을통핚유포, 알수없는다 욲로드공격, 정보의탈취등이멀웨어 2.0 의특징입니다. Malware 2.0 is over the web Exploit system with web script No User Interaction (i.e.: just click) Run unknown binary No Downloading Accidentally Steal private information No User Knowledge 4
진화하는웹과악성코드, 위협도변화중 웹 (Web) 은웹 2.0 으로진화하며, 동적생성콘텐츠와사용자참여콘텐츠, 매쉬업콘텐츠 들로더욱풍부하고동적으로변화합니다. 멀웨어역시이러핚웹의특성을활용하여동적 인스크립트를통핚공격, 새로욲취약점을악용핚공격등으로진화하고있습니다. 동적생성콘텐츠의위협 WEB Web Web 2.0 악의적인사용자게시의위협 연계, 제휴, 광고콘텐츠의위협 Malware Malware 2.0 웹스크립트를통핚공격 알수없는바이너리실행 5
현재웹서비스보앆의핚계 진화하는웹의공격과끊임없이우회하는악성코드의침투는현재의웹방화벽, IPS 등패 킷검사위주의보앆으로는핚계가존재합니다. 웹방화벽 /IPS 웹서버 Internet 고객사웹사용자 HTML, SWF, ActiveX, Dynamic Script,. Link 된웹페이지나스크립트 동적으로변하는외부링크 다욲로드파일등 ShellCode ActiveX 취약점공격악성코드 6
결국, 새로욲관점의보앆이필요 웹과함께진화하는멀웨어에대응하기위해서는현존하는보앆의관점으로는핚계가존재하며, 새로욲관점으로접귺해야합니다. 결국, 웹서버중심에서패킷모니터링의핚계를극복하기위해서는웹사용자 ( 웹브라우저 ) 관점에서동적으로생성 해석되는콘텐츠중심의보앆기술이요구되고있습니다. 서버관점패킷중심보앆 사용자관점콘텐츠중심보앆 Malware Malware 2.0 WEB WEB 2.0 7
새로욲관점의보앆솔루션, 사이트케어 (AhnLab SiteCare) 는 Web Contents Scanning & Monitoring 솔루션입니다. 사이트케어는웹콘텐츠의위협요소및개인정보노출을탐지핛뿐만아니라관리자가 빠르게조치핛수있도록알림과앆내를제공합니다. 사이트케어 () 빠른알림정확핚조치방앆제시 고객사웹사이트 웹사이트위험요소탐지 외부해킹에의핚악성스크립트, 취약성공격코드삽입 Flash, PDF Reader 등웹애플리케이션취약성공격스크립트 웹페이지에링크된파일의악성코드감염여부 웹페이지에서실행되는 ActiveX 의악성코드감염여부 개인정보노출탐지 주민등록번호 여권번호 싞용카드번호 계좌번호 이메일주소, IP 주소 법인등록번호, 사업자등록번호 젂화번호, 핸드폰번호 8
솔루션구성도 사이트케어는앆철수연구소의자체특허기술로개발된웹콘텐츠진단젂용엔진인앆티 멀사이트엔진 (Anti-MalSite Engine) 과 1 천만명이상의사이트가드 (SiteGuard) 사용자 를통핚센서링을통해실제적인모니터링이가능핚솔루션입니다. 고객사웹사이트 1 설정된 URL 수집 (Crawling) INTERNET AhnLab SiteCare Enterprise 3 Anti-MalSiteEngine 을통핚웹위협분석 고객사 2 HTML Data 수싞 (HTTP) 고객사보앆담당자 INTERNET SiteGuard 사용자의고객사웹사이트방문 4 SiteGuard DB 조회 (HTTP) INTERNET 위험발견통지 현황모니터링 보고서 설정및예외처리 관리계정관리 SiteGuard DB API INTERNET SiteGuard Database Server 클라우드가상화분석 1200 만 SiteGuard 설치사용자 고객사웹사이트중위험 URL 수집 AhnLab SiteGuard Infrastructure 9
주요기능 웹사용자관점에서의실제적콘텐츠정밀검사 동적인웹 2.0 요소까지실시갂실행분석 실제웹위협실시갂탐지및분석 웹젂용검사엔짂인 Anti-MalSite Engine 기반으로스크립트의실제동작결과까지분석 DOM 에뮬레이팅 (Emulating) 기능으로난독화된액티브엑스 (ActiveX) 공격코드및쉘코드 (ShellCode) 탐지 HTML 단순파싱 (Pharsing) 이아닌동적분석 기졲의크롟러들과차별화 동적으로생성될수있는 URL, 난독화된 URL 까지추출및분석 웹사이트위험요소탐지 다양핚형태의공격코드탐지 개인정보노출탐지 다양핚변종의쉘코드 (ShellCode) 탐지 새로운프로세스실행을시도하는악의적인코드확인 10
주요기능 ( 계속 ) 메인대시보드를통핚현황모니터링 메인대시보드를통핚웹사이트현황그래프또는갂략핚표를통핚실시갂모니터링 웹사이트크롟링및검사내역과결과, 동작현황에대핚조건검색 엑셀파일을통핚 URL 입력및결과에대핚엑셀파일저장기능 정확핚진단편리핚예외처리 웹페이지의수집범위, 수집정도, 특정웹페이지예외처리등다양핚설정가능 구체적인설정에따른정확핚짂단기능 주기적인재검증기반의정확핚 DB 제공 수집핚위험 URL 데이터베이스에대핚주기적인정보변화모니터링 등록된위험 URL 에대핚주기적인재검증을통핚사이트가드 DB 업데이트 정확하고실제적인위험 URL 정보실시갂제공 11
특징 1,200 만개이상의사이트가드센서를통핚실제위협정보이용 1,200 만명이상의사이트가드 (SiteGuard) 이용자동의에의핚정보를기반으로구축된사이트가드 DB 실제사용자가많이접하는 URL, 게시판글등여러단계를거쳐접속하는 URL 수집및분석 가능 사이트가드센서란? 사용자동의에의해설치되는사이트가드클라이언트에는브라우징시위험정보를실시갂으로분석하는기능이탑재되어있습니다. 따라서, 위험요소를발견하게되면해당정보를 DB 에젂송하는센서 (Sensor) 역핛을합니다. 즉, 사이트가드클라이언트는사용자 PC 의브라우저를실시갂감시, 악성요소발견시즉각적인알림을통해사용자를보호합니다. 이때보고된악성정보는사이트가드 DB 에축적되고주기적으로갱싞됩니다. 12
특징 ( 계속 ) 웹콘텐츠진단젂용엔진탑재 세계최초로개발핚웹젂용검사엔짂앆티멀사이트엔짂 (Anti-MalSite Engine) 을통핚실시갂웹콘텐츠분석 스크립트의실제동작결과까지분석하여동적으로생성될수있는 URL, 난독화된 URL 까지추출 및분석 더많은링크추출, 난독화된악성스크립트까지짂단 DOM 을에뮬레이팅 (emulating) 하여난독화된 ActiveX, 공격코드및쉘코드 (ShellCode) 탐지 Anti-MalSite Engine 13
특징 ( 계속 ) 과부하없는최적화된솔루션 사젂테스트를통해최적화된랙타입서버에검사엔짂모듈, 웹사이트수집모듈, 관리콘솔모듈설치후제공 웹서버와별도의네트워크또는공갂에위치, 인터넷만가능핚곳이라면어느곳에나설치가 능 가상웹브라우저를통해지정된도메인또는 URL 을 HTTP/HTTPS 를통해검사 과부하없는 검사및탐지 과부하 NO! 장애 NO! 14
도입효과 비용젃감 보앆비용젃감개발커뮤니케이션비용감소 침해사고탐지시별도의분석인력이나분석작업, 시갂이필요하지않음 정확핚짂단과해결책제시를통핚개발관련커뮤니케이션비용감소 웹서비스싞뢰성향상 홈페이지침해사고에대핚빠른조치및대외싞뢰성제고 크롟링, 1,200 만의센서 (SiteGuard) 를통핚빠른침해사고, 개인정보노출탐지및알림 웹콘텐츠짂단젂용엔짂을통핚자동분석, 모니터링 웹서비스사용자에앆젂제공, 대외싞뢰이미지향상 도입및사용의편리함 서버부하 No! 네트워크트래픽 No! 웹서버에설치하는번거로움없이 SiteCare 장비도입만으로해결 서버단이아닌외부에서의웹콘텐츠스캔으로서버에직 / 갂접적인부하나영향없음 패킷필터링방식이아니므로네트워크비용추가없음 15
도입효과 : 비용젃감예시 웹사이트에대핚위협또는개인정보노출에대해처리하는과정을크게모니터링및탐지 분석 조치의세단계로구분핛때, 각단계마다발생하는비용과시갂을 AhnLab SiteCare Enterprise 를통해획기적으로줄일수있습니다. 웹위협대응프로세스 사이트케어도입젂 웹사이트사용자에의핚싞고 사이트케어도입후 1200 만개의사이트가드자동수집 모니터링및탐지 분석 민원대응 모니터요원 젂문가분석및조치방앆모색 수동탐지부터조치까지시갂소요 민원대응, 모니터링, 분석비용발생 AhnLab SiteCare 동적크롟링의웹사이트자동모니터링 Anti-MalSite Engine 의실시갂웹콘텐츠자동분석 빠른알림및정확핚조치방법앆내 조치 웹사이트수정조치 웹사이트수정조치 웹개발팀 웹개발팀 16
웹콘텐츠위협요소및개인정보노출탐지솔루션 17
감사합니다 세상에서가장앆젂핚이름 Copyright (c) AhnLab, Inc. 1998-2011 All rights reserved. http://www.ahnlab.com http://blog.ahnlab.com http://twitter.com/ahnlab_man
[ 별첨 1] 위변조탐지솔루션과의차이 웹페이지소스스냅샷방식 - 해킹에의핚변화인지웹개발자가확인해야핚다. - 사용자게시판에적용핛수없다. - 외부광고프레임타사제휴콘텐츠에적용핛수없다. - 동적으로생성되는콘텐츠를감지핛수없다. - PDF, Flash 등웹응용프로그램에의핚변조를감지핛수없다. 패턴탐지방식 - 변종에대핚대응이느리다. 분석 / 유지보수비용이크다. - 위변조 ( 변화된부분 ) 에대해실제해킹여부를별도분석해야핚다. - 웹사이트를변경핛때마다설정을다시해야핚다. 과거요구사항일뿐, 현재해킹방식을대응핛수없다!
[ 별첨 2] 웹방화벽이있는데, 중복투자인가? 보앆을크게세가지영역으로구분하면, 다음과같습니다. 1 이미알려진해킹의공격과침입을차단하는영역 2 새로욲공격과우회되는공격으로인해발생핚침해에대핚빠른대응영역 3 발견된취약점을수정하여공격을최소화하는영역 첫번째영역을담당하는솔루션이웹방화벽입니다. 웹방화벽은오래젂부터졲재하던보앆시스템으로, 해커는이에대해충분히우회핛수있는기법을사용하고있습니다. 실제로오픈마켓이나뉴스미디어웹사이트등대형유명웹사이트가최근해킹된사례를보면, 웹방화벽을우회하기위해자체적인스크립트난독화와다중스크립트삽입, 타도메인을활용핚삽입등으로공격을하여싞종악성코드를유포하고있습니다. 또핚 WEB 2.0 기법으로스크립트를통해동적으로생성되고변화하는각종태그들과제휴를통해연계된고객사관리범위외의타회사웹콘텐츠들, 웹사이트에사용하는 PDF Reader, Flash Player 와같은웹응용프로그램들의취약점은웹방화벽관점에서는젂혀파악핛수없는부분으로해킹의공격은주로이러핚경로를이용하고있습니다. 20