2018. 12.
Agenda I. 보안서비스개념 1. 보안서비스에대하여 2. Changing Threat Environment II. APT 공격에대하여 1. APT 의개념과공격개요 / 프로세스및시나리오 2. Drive By Download Attack III. 기존보안시스템의이슈 1. 전통적 APT 대응활동 2. 문제점 3. APT 방어솔루션도입의필요성 IV. 제품소개 V. 참고 1. Web Shield Pro 2. URL 및 URI 기반서비스의장단점
I. 보안서비스에대하여
보안서비스에대하여 보안전문가모두가동의하는사실이하나있다면, 한가지방어책에의존하는것은위험하다는것임. 한가지 방어툴은해커의도구에의해깨질수있음. 네트워크는선이나점이아니라영토에해당하며, 만약공격자가 그중일부에침투했다해도적절한방어전략을짰다면여전히전열을가다듬어적을쫓아낼여지있음. 정보보안의특성 정보보안은 100% 완벽하게달성할수없음. >>> 예측가능성평가가어려움 정보보안대책의설치시필요성을확신할수없음. >>> 당장에필요성을체감하기어려움 정보보안대책의효과성은실패율에의해측정됨. >>> 침해확률의평가 2가지이상의대책을동시에사용하면위험을더줄일수있음. >>> 보안침해확률의감소 결론 : 보안침해확률을낮추는정책과정책실행을위한운영도구와절차가필요함.
피해범위 / 정교함 Changing Threat Environment 보안공격의변화요약 금전적이득을위한사이버범죄비즈니스기반에막대한위협초래정교함 / 피해범위 / 공격의속도가급격히증가 Advanced Persistent Threats (APTs) Significant impact on business b ottom line Targeted malware APTs Rootkits Hybrid Worms Web-application attacks Coordinated attacks Service/resource Disruption Botnets DoS/DDoS Worms Spyware Spam Financial Backdoor Trojans Viruses Phishing Minor Annoyance Hobby-based malware Cyber vandalism 공격동기 Financially motivated cyber crime
II. APT 공격에대하여
APT 란? 지능형지속공격 (Advanced Persistent Threat;APT) 공격자가특징기관혹은조직의기밀정보를획득또는금전적이익을추구하기위해장기간동안은밀하게진행하는 컴퓨터보안공격형태 주요특징 특정조직에최적화된공격수행 충분한시간과비용을투자 ( 가능한모든수단을동원 ) 조직및구성원개인에대한충분한정보수집 ( 사회공학적인방법이용 ) 탐지회피 low and slow 전략 알려지지않은악성코드 (Zero-Day Attack) 사용이상징후를파악하지못하도록장기간에걸쳐은밀한활동 다양한방향으로공격, 사용자및 Endpoint 에집중
APT (Advanced Persistent Threat) 공격개요 APT 공격의특징 : 지능적 : Zero-Day 취약점, 루트킷과같은고도의지능적인보안위협기술을동시에이용하여, 목표에침투하여, 은밀히정보를빼돌리는킬체인 (Kill Chain) 을생성. 랜섬웨어, 파밍등의악성코드유포. 지속적 : 보안탐지를회피하기위하여은밀하고매우천천히공격을수행. 동기 : 정보유출뿐만아니라, 시스템운영을방해 ( 예,DDoS 공격등 ) 하거나물리적인타격도시도. 목적성 : 공격자는시스템과네트워크내 / 외부에숨어있으며, 탐지하기어려움. 해킹계획 악성코드배포 ( 침투 ) Command & Control 잠복, 정보수집대상식별공격을통한정보취득 후퇴 ( 흔적삭제 ) [ APT 공격자관점의공격흐름도 ]
APT 공격프로세스 접속페이지내사용자접근 사용자단말감염 공격자 취약서버 ( 뉴스, 쇼핑몰, 기관홈페이지등 ) 감염 URI 구성작업 Drive By Download 정상페이지 위장페이지정상페이지에서취약점페이지접근사용자인식불가한경우많음 취약점랜딩페이지 전체 APT 공격프로세스가 1 개월에서 6 개월정도소요
APT 공격시나리오
Drive By Download Attack 드라이브바이다운로드 (Drive - by Download ; DBD) 공격은사용자시스템의보안취약점을이용하여불특정다수에게악성코드를유포하는방법중하나. 공격자는보안이취약한홈페이지를변조하여악성코드를심어놓고사용자의시스템의취약점을통해악성코드감염을유발. 이렇게감염된사용자들은자신이악성코드에감염된사실을인지하지못함. 그이유는자신이실제어떠한프로그램을다운받거나첨부파일을열어본행위를기억할수없기때문. DBD 공격은보안취약점이있는사용자의경우웹서핑만으로도악성코드에감염될수있기때문에더욱위험함. 주로웹사이트를방문하거나이메일메시지를볼때또는클릭을유도하는팝업윈도우나링크를눌렀을때발생함. 이러한경우 " 제공자 는비록사용자가인지하지못했더라도다운로드에 동의 " 하였다고주장하기도함. 일반적으로윈도우메타파일취약점이익스플로잇된웹사이트들이이러한유형의 DBD를제공하기도함.
Drive By Download Sites DBD 공격집중도가높은주요지역으로는 Microsoft 의 Bing 이추적한 1,000 개의 URL 마다 6.4 개의 DBD 를보이는대만, 1.4 개의 이란, 1.3 개의 DBD 연결을보이는아랍에미리트연합 (UAE) 등이있음. 한국도높은수준의 DBD 공격대상국가중하나. DBD Per 1000 Sites Jan 17 Jan 18.5-1000.1 -.5.05 -.01.01 -.05.00001 -.01 Figure : Monthly average number of drive-by download pages indexed by Bing from January 2017 to January 2018, per 1,000 URLs in each country/region Source : Microsoft Security Intelligence Report Vol. 23
APT 공격과랜섬웨어 (Ransomware) 최근에는 APT 공격을통한랜섬웨어의결합이빈번히나타나고있으며, 사전에치밀한 APT 공격방식을통한랜섬웨어를감염하는하이브리드접근법이나타남. 예 ] DynA-Crypt 공격 인터넷나야나, APT 공격 으로랜섬웨어감염
III 기존보안시스템의이슈
전통적 APT 대응활동 시기활동내용 위험발생이전 ( 시큐리티대응센터 ) 위험예방전략수립 보안관제수행 위험분석수행 보안전략유효성분석 위험발생이전 ( 시큐리티대응센터 ) 악성코드유입최소화 보안인식교육수행 지속적보안업데이트관리 위험발생이후 ( 침해사고대응센터 ) 위험발생이후 ( 침해사고대응센터 ) 악성코드감염예방 데이터유출예방 보안소프트웨어설치및운영어플리케이션화이트리스트접근권한의최소화네트워크접근제한및분리신원확인및접근권한관리중요데이터보호중요데이터유출예방 위험발생이후 ( 침해사고대응센터 ) 위험탐지와대응 호스트및네트워크이상징후탐지 침해사고대응프로세스수행 침해사고포렌식프로세스수행
악성코드를탐지하는 APT 솔루션 ( 기존제품 ) 네트워크제품의장단점은? 네트워크인프라앞단에 Appliance가설치되는방식이기때문에구축이간편하고관리가수월하다는장점이있음. 또의심되는파일을가상환경에서돌려봄으로써본래시스템에대한피해를최소화할수있음. 단점으로는물리저장매체등을통해전염된악성코드에대한탐지와치료가불가능하다는점이있음. 아울러최근등장한 가상머신상황을인지해악성행위를하지않는악성코드 에대한탐지를할수없으며, 일부솔루션의경우실행파일 (Execution File) 만차단할수있는한계점도있음. 일반적으로가상화머신방식의장비는고가이며, 분석에많은리소스가투입됨. 엔드포인트제품의장단점은? 엔드포인트제품은실제사용자 PC에감염된악성파일의행위를기반으로차단, 치료하기때문에제대로구축될경우가장안전한방식이될수있다는장점이있음. 그리고가상머신에서탐지되지않는악성코드, 가상사설망이나시큐어소켓레이어 (SSL) 로암호화돼유입된파일등도결국악성행위를위해사용자 PC에서복호화되는데, 이때일망타진하는방식으로네트워크제품보다저렴하고다른솔루션과연동이수월하다는장점도있음. 단점으로는개별분산된서비스관리의어려움을꼽을수있음. 또한악성행위에대한정의가완벽하지않을경우악성코드를제대로잡아내지못할수있다는단점도가지고있고. 오탐으로이어지거나악성코드가시스템전체로확산될수있음. [Source: [ 시큐리티 Q&A] APT 공격유형과대응방안, 2015-01-26, 보안뉴스 ]
문제점 : 기존보안시스템우회 전통적인보안제품은포괄적인범위보다한분야에집중 Firewall 대부분의 Firewall 은외부에서내부로의접속을제어 내부에서외부로의연결이허용된포트사용일반적으로 HTTP (80) 포트를사용하여내부에서외부에있는원격조종서버로연결 IDS/IPS 및 Anti-Virus IDS/IPS 및 Anti-Virus 는알려진악성코드에대한 Sig nature 기반탐지 지능형지속공격 (APT) 에서는알려지지않은신종 / 변종악성코드사용 보안관제원하는정보를얻기까지장기간에걸친은밀한활동 일반적인 Worm 및공격탐지패턴에발각되지않음 사후추적에도움이되나, 예방에는도움이되지않음.
APT 방어솔루션도입의필요성 APT 방어를위해서는결과론적보안서비스접근보다, 원천적인 Zero-Day 공격에대한보안사고와정보유출사고발생위험최소화를위한방어솔루션의도입이우선해야함. 보안사고에대한방어는해커의관점에서전통적방어방식에벗어나, 사용자가접근가능한컨텐츠및서비스에대한제어를통한통제기술을사용한보안사고확률의감소를목표로운영되어야함. 개별기업 / 기관에서글로벌한인터넷공격경로정보를획득하기어려우므로, 전문업체의공격경로차단데이터와기업 / 기관내부의차단기술을병행활용할필요성이높음.
IV. 제품소개
Web Shield Pro 소개 Web Shield Pro 솔루션은 APT 공격경로를회피하는기술적용을통해조직내서버및사용자 단말에서위험한 URI 및유해코드에대한접근을원천차단 >>> 보안침해사고의위험도를획기 적으로낮춤. Web Shield Pro 에적용된빛스캔의 PCDS 엔진은국내최대 / 최신의악성 URI DB 를사용함. Web Shield Pro 도입을통하여해커의 APT 및랜섬웨어보안공격을사전에차단 / 예방함으로써 조직의보안수준을높임.
Web Shield Pro 도입의필요성 전통적인보안솔루션의악성코드방어한계와위험성극복을위한 Web Shield Pro 기존보안솔루션의 Zero-Day 방어한계점 Web Shield Pro 의장점 수동적인정책기반방어 자동업데이트에의한즉시대응처리 이미알려진패턴의악성코드만방어 한국에특화된위협정보를적용하며 의심 URI 및 C&C 서버에대한즉각대응 업데이트및배포에의한차단지연 탐지후즉각적인업데이트처리 수천가지의변종에대한오탐또는미탐 오탐 & 미탐방지를위한 빛스캔 PCDS 엔진의시스템적연동대응
Web Shield Pro 연계구성도 C&C 서버접근 PC 국내외웹사이트 SQL Injection XSS Exploit Kit 웹사이트 C&C 서버경유지배포지 방화벽 L3 스위치 경유지접근 Mobile Mirroring 구성 배포지접근 Server Pre-Crime Detect Satellite Engine(PCDS) 유해 URI DB 정상접근 PC 유해 URI 감시 / 차단 정상접근 PC 빛스캔연구소모니터링및분석 수시 DB 업데이트 정상접근 Mobile 빛스캔 PCDS 총등록된 DB 5 만 2 천여건악성 URI 및랜섬웨어 URI 일평균 400 여건신규등록 정상접근 PC
Web Shield Pro 구성방식 WSP 는 Out-of-Path (mirroring) 구성방식을지원하며메인네트워크트래픽구간외부에설치하여미러구성한다. 네트워크트래픽흐름에영향을주지않는장점 전송지연, 장애등의문제로부터자유로움 스위치장비또는 TAP( 패킷복제 ) 장비를통한 Mirroring 구성 방화벽 L3 스위치 PC 방화벽 TAP 장비 L3 스위치 PC Mirroring Send Mirroring Send 유해 URI 감시 / 차단 유해 URI 감시 / 차단 [ 스위치미러구성예시 ] [ TAP 장비미러구성예시 ]
빛스캔 PCDS (Pre-Crime Detective Satellite) 의데이터수집특징 * PCDS 엔진은국내 250 만개, 해외 200 만개등약 450 만개이상의웹사이트를주기적으로모니터링하여, 경유지및유포지를탐지.
Web Shield Pro 사용자정의 URI 등록기능 Web Shield Pro 솔루션은관리자가 사용자 정의 URI 를등록하는기능을제공하여, 고객사 의강화된사용자보안환경을구축할수있음. 등록개수에제한없음 등록형식 URI 형식 (ex) www.malicious.com/board/aaaa.html 등록즉시시스템적용
Web Shield Pro 도입효과 01 02 03 04 Zero-Day 공격에대한보안사고와정보유출사고발생위험최소화 보안관리자의업무부하를최소화하여, 여타보안업무에집중가능 빛스캔 PCDS 엔진및연구소의유해 URI DB 를활용함으로써악성코드분석을위한별도의분석가없이도비용대비효과적인보안관리가가능 구글, 마이크로소프트의웹사이트차단기능과다르게, 100% 악성 URI 만차단하여사용자불편없이감염을예방
URL 및 URI 기반서비스의장단점 URL 기반서비스는우측화면과같이 Microsoft, Google의웹브라우저회사또는보안 Appliance 제품에서감염된서비스전체에대한접근을막는형식을취함 잘알려진해킹사이트에대한대응에는주효함 지능화된 APT 공격은일반사용자들이자주접속하는사이트의특정페이지를통해공격하므로, URL 기반서비스는사용자서비스사용에불편을제공함. URI 기반서비스는자주접속하는서비스사이트접속에장애없이문제가발생한유해페이지에대한접속만차단하여, 사용자의서비스사용에문제가없음. 일반적보안제품들은공격수단인특정페이지에대한정보획득이어려워 URI DB 가매우빈약한현실. 수시로공격 URI가변경되므로적시성높은 URI DB의필요성증가. Web Shield Pro는국내최대의유해 URI 정보서비스를제공하는빛스캔사의 DB를사용한솔루션임.