PowerPoint 프레젠테이션

시스템 보안 8장: 최신 보안이슈 건국대학교 정보통신대학원 2015년 2학기 강의자료 남기효 1

1. 랜섬웨어 2. 금융이상거래탐지시스템(FDS) 3. 클라우드 보안 남기효 2

1. 랜섬웨어-1 랜섬웨어 개요 Ransom(몸값)+Ware(제품)의 합성어 사용자 컴퓨터의 화면을 잠그거나 문서 등을 암호화 후 복호화의 대가로 금전적인 보 상을 요구하는 악성코드 이메일, SNS, 웹하드, 웹사이트 방문 등으로 감염 기존 악성코드와의 차이점 정보를 유출하지 않는 대신에 정보에 대한 접근을 차단 공격자가 자신의 존재를 숨기려고 하지 않고, 금전적인 대가를 요구 악성코드 생성이 상대적으로 용이(강력하고 이미 공개되어 있는 암호화 알고리즘 사용) 랜섬웨어의 종류 Locker Ransomware: 사용자의 접근을 차단(예:화면잠금) Crypto Ransomware: 파일 암호화 남기효 3

1. 랜섬웨어-2 최초의 랜섬웨어 1989년 12월 8일~12일 PC 사이보그사의 에이즈 정보 디스켓으로 유포 하드디스크의 루트 디렉토리 정보를 암호화하는 트로이목마 남기효 4

1. 랜섬웨어-3 랜섬웨어 현황 1 국내 웹사이트를 통해 한글버전 랜섬웨어(크립토락커) 유포 발견 전세계적으로 2013년 410만에서 2014년 880만으로 2배 이상 증가 스마트폰 랜섬웨어의 출현 화면잠금에서 SD 카드의 문서, 이미지 암호화 남기효 5

1. 랜섬웨어-4 랜섬웨어 현황 2 모바일 랜섬웨어 Android Defender 2013년 초 시만텍이 발견한 랜섬웨어로 가짜 백신행세를 하며 파일 암호화가 아닌 단순히 화면을 잠그는 타 입의 lockscreen 수행 모바일 백신을 사용하지 않는 사용자는 제거가 쉽지 않으며, 안전모드로 부팅하여 치료 2013년 5월 소포스는 lockscreen 기능이 없고 암호화 기능만 있는 Android Defender 발견 모바일 랜섬웨어 Simplocker 2014년 슬로바키아에 본사를 둔 보안업체 ESET가 발견한 안드로이드용 랜섬웨어로 파일을 암호화한 후 사 용자에게 돈을 요구 SD 카드의 각종 문서파일, 이미지 파일, 워드파일을 스캔하고 AES를 사용하여 암호화 이전의 Windows 랜섬웨어와는 다르게 토르(TOR)라는 익명 네트워크에 호스팅되어 있는 등 공격자를 보 고하는 기술이 다양함 암호화는 기초적인 AES를 사용하여 다중암호화를 사용한 Crypto와 비교했을 때 미진한 수준으로 아직 미 완성일 것이라고 츠측 남기효 6

1. 랜섬웨어-5 랜섬웨어 현황 3 남기효 7

1. 랜섬웨어-6 2015년 출현한 새로운 랜섬웨어 1 Crypto Locker Copycat : PClock, Crypto Locker2015 XOR Encryption 사용 해당 키는 파일 안에 존재 하지만 사람들은 겁을 먹고 돈을 지불 남기효 8

1. 랜섬웨어-7 2015년 출현한 새로운 랜섬웨어 2 VIRLOCK(CIRus + Ransom Lock) National Security Bureau(국가안보국)을 사칭하여 사용자에게 금전 요구 문서, 그림, 실행파일들은 인코딩하여 실행 압축형태로 저장함. V3를 통해 복구 가능 남기효 9

1. 랜섬웨어-8 2015년 출현한 새로운 랜섬웨어 3 TeslaCrypt 게임 데이터를 목표로 하는 랜섬웨어 사용자가 유료로 구입하여 시스템 내에 저장되어 있는 게임 데이터를 목표로 함. User profile data, saved games, maps, 185 종류의 파일을 대상으로 함 AES로 암호화되어 관련 키파일(key.dat)은 시스템 내에 저장되었으나, RSA-2048로 암호화 되었다고 사기침. 남기효 10

1. 랜섬웨어-9 2015년 출현한 새로운 랜섬웨어 4 정보탈취 기능이 추가된 랜섬웨어 파일 암호화 후, Browser Password Dump를 다운로드하여 웹 브라우저의 패스워드 정보 탈취 암호화 도구(GnuPG) 및 완전 삭제 도구(sDelete)의 이름을 변경해서 사용 남기효 11

1. 랜섬웨어-10 2015년 출현한 새로운 랜섬웨어 5 Windows 10 무료 업데이트를 가장한 Fake E-mail 을 통해서 감염 CTB-Locker, Cryptolocker 등 남기효 12

1. 랜섬웨어-11 2015년 출현한 새로운 랜섬웨어 6 Ransomware-as-a-Service 랜섬웨어 제작 및 기반 인프라 판매 이미 봇넷을 가지고 있는 그룹에게 판매 수입의 20%는 제작자에게 남기효 13

1. 랜섬웨어-12 국내 유포중인 랜섬웨어 1-CTB Locker 2015년 1월~2월, 국내 기업들을 대상으로 유포됨. 유포방식.scr 로 된 downloader 파일이 메일에 첨부 사용자다 해당 파일을 클릭하면 wordpad를 실행하여 RTF 문서를 띄운 후, CTB Locker를 다운로드하여 실행 남기효 14

1. 랜섬웨어-13 국내 유포중인 랜섬웨어 2-Crypt0L0cker 2015년 4월 21일, 국내 유명 커뮤니티 사이트들에 링크된 광고를 통해 유포됨. 기존의 스피어피싱 기법과 다르게 Drive by Download 로 유포 방식 사용 각 국가별 지역코드에 따라 안내문의 언어가 달라짐. 한국, 일본 등 아시아 국가들이 추가됨. 남기효 15

1. 랜섬웨어-14 랜섬웨어에 의한 공격 1 남기효 16

1. 랜섬웨어-15 랜섬웨어에 의한 공격 2 남기효 17

1. 랜섬웨어-16 랜섬웨어의 암호화 RSA 2048, AES 256, ECC 등의 암호 알고리즘 이용 초기 화면잠금, 파일명 변환 등의 단순한 방법에서 높은 강도의 암호 알고리즘을 이용한 방식으로 진화하고 있으므로 예방이 중요 복호화 사이트 파이어아이, 카스퍼스키 등 글로벌 보안업체의 경우 랜섬웨어 복호화 사이트 운영 중(해당 악성코드에 대한 키를 확보한 경우에만 해당) 복구 가능성 데이터 복구 프로그램 이용(랜섬웨어가 파일을 겹쳐쓰지 않은 경우) 사용자 파일 백업 및 복원 기능(문서 및 사진 등이 백업된 경우) 복구 사이트 이용(복호화키가 확보된 경우) 남기효 18

1. 랜섬웨어-17 랜섬웨어 보안대책(감염 전) 소프트웨어 제한 정책: 특정 경로에서 파일이 실행되는 것을 차단하는 것을 보안정책 으로 설정 암호실행 차단을 수행하는 랜섬웨어 실행 차단 프로그램 운영 스팸성 이메일 실행 자제 앱은 공식 마켓에서 확인 후 다운로드 문자/SNS 내 URL 실행 자제 SW 및 OS는 최신 버전으로 업데이트 및 패치 중요파일 권한은 읽기 전용으로 변경 네트워크 폴더 사용자 접근권환 변경 윈도우 시점 복구 기능 사용(단, 문서, 사진 등의 파일은 해당 안됨) 사용자 파일 백업 및 복원 기능 사용(별도 백업 프로그램 이용) 남기효 19

1. 랜섬웨어-18 랜섬웨어 대응방안(감염 후) 1 Volume Shadow Copy를 통한 복구 특정 날짜의 상태로 시스템 상태 복원 Windows Backup 기능 사용 사용자가 미리 생성해 놓은 디스크 백업으로 복 구 파일 복구 도구 사용 CryptoWall, CTB Locker, CoinVault의 경우, 원본 파일을 복사하고 복사한 파일을 암호화(원 본 파일을 삭제함) 삭제된 원본 파일을 파일 복구 프로그램을 통해 복구(CryptoWall2는 원본 파일을 완전 삭제) 남기효 20

1. 랜섬웨어-19 랜섬웨어 대응방안(감염 후) 2 DropBox 폴더 복구 드라이브 맵핑 기능을 Dropbox 에서 사용하고 있었다면 이전 버전 기능을 통해 복구 클라우드 컴퓨팅 기반 파일 동기화 및 공유 서비스 CryptoLocker 감염 파일 복구 Operation Torva 수행 중에 CryptoLocker Decryption key들이 발견됨 FireEye, FoxIT가 합작하여 복구 서비스 제공(https://www.decryptcryptlocker.com) 남기효 21

1. 랜섬웨어-20 랜섬웨어 대응방안(감염 후) 3 CoinVault 감염 파일 복구 방안 최근 NHTCU(National High Tech Crime Unit of Netherland s police), Netherland s National Prosecutors Office, Kaspersky가 공동으로 수사하여 CoinVault C&C 서버를 확보하고 Private Key 획득 카스퍼스키에서 복호화 도구 제공 남기효 22

1. 랜섬웨어-21 랜섬웨어 대응방안(감염 후) 4 CryptorBit 감염 파일 복구 방안 이 랜섬웨어는 헤더의 첫 512bit만 암호화함 해당 파일 포멧의 원래 헤더를 복구해주면 파일 복원 가능 복구 프로그램:DecrypterFixer(http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip) 남기효 23

1. 랜섬웨어-22 랜섬웨어 대응방안(감염 후) 5 CryptoDefense 감염 파일 복구 방안 2014년 4월 1일 이전 버전에서는 암호화 시 사용되는 Private Key가 남아있음. 이 버전은 시스템에 남아있는 Private Key를 이용해 파일 복호화 가능 복구 프로그램: Emsisoft Decrypter(http://tmp.emsisoft.com/fw/decrypt_cryptodefense.zip) 남기효 24

1. 랜섬웨어-23 랜섬웨어 대응방안(감염 후) 6 TeslaCrypt 감염 파일 복구 방안 AES 알고리즘(CBC mode)로 파일 암호화(RSA-2048로 암호화했다고 사기침) %APPDATA% 경로에 키 파일(key.dat) 파일 생성 Key.dat 파일 내 0x177~0x197 데이터를 SHA256 연산한 값이 AES 키 값임. IV값은 감염된 파일의 첫 16바이트 남기효 25

1. 랜섬웨어-24 남기효 26

2. 이상금융거래탐지시스템(FDS)-1 FDS(Fraud Detection System) 개요 AS-IS: 신용카드 승인 시 부정사용 의심거래의 실시간 분석 탐지 시스템 TO-BE: 기존의 FDS 운영기관을 은행, 증권사 등 전 금융기관으로 확대하여 운영하 고, 자체 탐지한 이상 금융거래 정보를 전 금융권과 공유하도록 운영하는 시스템 FDS 배경 남기효 27

2. 이상금융거래탐지시스템(FDS)-2 기존 이상금융거래시스템 운영 프로세스와 한계 남기효 28

2. 이상금융거래탐지시스템(FDS)-3 FDS 구성 및 주요 기능 FDS는 다양하게 수집된 정보를 종합적으로 분석하여 이상금융거래 유무를 판별하는 복합적인 시스템 정보 수집, 분석 및 탐지, 대응, 관리/운영 및 감사 등 4가지 기능으로 이루어져야 하 며, 각 기능은 상호 호환 또는 연동되도록 구성 남기효 29

2. 이상금융거래탐지시스템(FDS)-4 FDS의 기능(정보수집 기능) 수집 원칙 금융 서비스 특성을 고려하여 유일성을 보장하 는 최소한의 정보가 수집되어야 함. 수집 방법 플러그인 기반 또는 별도 수집 프로그램 이용 순수 웹 어플리케이션 제공 기능 이용 남기효 30

2. 이상금융거래탐지시스템(FDS)-5 FDS의 기능(분석 및 탐지 기능) 오용탐지모델(블랙리스트 기반) 패턴 탐지 모델: 과거 사고정보를 이용하여 패턴 생성 상태 전이 모델: 정상정인 거래 절차 및 유형을 벗어나는 경우를 패턴화 (예: 1 2 3 4가 정상적인 거래절차 인 경우 1 3 4로 수행되면 탐지) 이상탐지모델(화이트리스트 기반) 통계 모델: 과거의 정상적인 금융거래 유형정보를 바탕으로 이용자 프로파일을 생성 하고 이를 바탕으로 이상탐지 데이터 마이닝 모델: 정형화되지 않은 대량의 데이터를 분석하고 이를 통해 규칙을 발견하기 위해 학습모형 등 다양한 알고리즘을 기반으로 인공지능 기법을 통해 이상 탐지(예: 신경망) 남기효 31

2. 이상금융거래탐지시스템(FDS)-6 FDS의 기능(대응 기능) 남기효 32

3. 클라우드 보안-1 클라우드 서비스의 개념 가상화된 IT 자원을 서비스로 제공 IT 자원을 필요한 만큼 빌려서 사용 IT 자원을 사용한 만큼 비용 지불 남기효 33

3. 클라우드 보안-2 클라우드 서비스 종류 SaaS형 보안솔루션: 클라우드 서비스로 제공되는 보안서비스로 보안 소프트웨어를 클라우드 가상화 환경에서 제공 남기효 34

3. 클라우드 보안-3 클라우드 서비스 종류별 관리 범위 남기효 35

3. 클라우드 보안-4 클라우드 서비스 보안 위협-1 오늘날 전산 센터 미래의 클라우드 컴퓨팅 환경??? 통제할 수 있다. 자산들은 특정 위치에 있고. 서버의 수량과 종류를 알고 있다. 주기적인 백업과 관리자에 의해 접근 통제를 수행한다. 가동 시간은 충분하며, 보안팀을 운영하고, 정해진 기간에 감사를 받는다.??? 누가 통제하는가? 우리의 정보가 어디에 있고? 어디에 저장되며? 누가 백업하고? 누가 접근하며? 어떻게 서비스 지속성을 확보하고? 어떻게 감사하며? 어떻게 우리 보안팀이 관여할 것인가? 남기효 36

3. 클라우드 보안-5 클라우드 서비스 보안 위협-2 남기효 37

3. 클라우드 보안-6 클라우드 서비스 보안 위협-3 통제 많은 기업과 공공 기관들은 그들의 정보를 통제하지 않는 시스템 상에 위치시키는 것을 원하지 않는다. 서비스 제공자는 반드시 고객들이 신뢰할 수 있도록 높은 수준의 보안 투명성을 제시해야만 합니다. 컴플라이언스 국내외 법과 규제에 대한 적용과 일부 데이터에 대해서는 클라우드 서비스의 사용이 금지될 수 있습니다. 의존성 높은 의존성은 중요한 이슈가 될 것입니다. IT 부서들은 서비스의 손실이 비즈니스의 단절로 이어질 것을 우려한다. 가용성에 대한 강력한 보증없이 미션 크리티컬한 어플리케이션을 클라우드 환경 내에서 운영하지 않는다. 데이터 공유된 네트워크와 컴퓨팅 인프라에서 워크로드를 이전하는 것은 권한없는 이용자들에게 정보가 노출될 수 있는 가능성을 증가시킨다. 인증과 접근 제어, 암호화 및 안전한 데이터 전송 기술의 중요성이 증가됩니다. 보안 관리 간단한 작업도 누군가에 의해 수행되거나, 추상화된 계층 뒤에 존재하게 될 것이다. 이해할 수 있는 감사 능력이 필수적입니다. 서비스 제공자는 어플리케이션과 런타임 환경을 위한 보안 구성을 관리할 수 있는 쉬운 통제를 제공해야만 한다. 남기효 38

3. 클라우드 보안-7 클라우드 서비스 보안 위협-4 서비스 모델 SaaS 클라우드 서비스 공급자 측면 - 서비스 모델 중 공급자의 보안 책임이 가장 큼. - SaaS 형태로 제공하는 소프트웨어의 안전하지 않은 개발로 인한 보안 결함. - (가상화된 혹은 공급 받은) 미들웨어, 네트워크, 운영 체제 상의 보안 취약점과 패치 적용이 용이하지 않고, 접근 통제가 실패할 수 있음. - 네트워크 간 암호화되지 않은 중요 정보 전달 등. 클라우드 서비스 이용자 측면 - 이용자가 필요한 보안 통제 및 관리 적용 어려움. - 내부 어플리케이션 연계를 위한SaaS 상의 소프트웨어와의 인터페이스를 통한 악의적인 공격 - 중요 데이터와 개인정보에 대한 실제 암호화 및 접근 통제 여부에 대한 확인 어려우며, 기업 및 이용자 표준 암호화 알고리즘 적용 및 변경 어려움. - 감사 및 모니터링 등 보증 활동을 위한 데이터를 제공받기 어려움. - 가용성 확보가 용이하지 않은 높은 서비스 의존성 PaaS - (가상화된 혹은 공급 받은) 미들웨어, 네트워크, 운영 체제 상의 보안 취약점과 접근 통제가 실 패할 수 있음. - 네트워크 간 암호화되지 않은 중요 정보 전달 등. - PaaS 상에서 개발하는 소프트웨어와 인터페이스의 안전 하지 않은 개발로 인한 보안 결함 - 개발 소스에 대한 보호가 용이하지 않거나, 원하는 보안 기능 구현이 어려울 수 있음. - 개발 플랫폼과 서비스 플랫폼 사이의 차이로 인한 보안 결함 IaaS - (가상화된) 네트워크 및 운영 체제 상의 보안 취약 점 - (가상화된) 네트워크 간 암호화되지 않은 중요 정보 전달 등. - 서비스 모델 중 이용자의 보안 책임이 가장 큼. - 이용자의 활용 방식에 따라 다양한 보안 취약점 존재 남기효 39

3. 클라우드 보안-8 클라우드 서비스 보안 위협-5 Gartner: Top Risks (2008) Privileged user access Regulatory compliance Data location Data segregation Recovery Investigative support Long-term viability [Heiser 09] CSA: Top Threats (2010) Abuse and nefarious use of cloud Insecure interfaces and APIs Malicious insiders Shared technology issues Data loss or leakage Account or service hijacking Unknown risk profile ENISA: Top Security Risks (2009) Loss of governance Lock-in Isolation failure Compliance risks Management interface compromise Data protection Insecure or incomplete data deletion Malicious insider [ENISA 09/a] Top Threats and Risks in Cloud Computing, IBM Process/VM Isolation, data segregation, multi-tenancy Malicious insiders (co-tenants, cloud provider) Management (incl. self-service) interface compromise Insecure interfaces and APIs Uncertainty over data location Data protection and security Data recovery, resiliency Insecure or incomplete data deletion Account or service hijacking Abuse of cloud services (extrusion) Compliance risks 클라우드 환경에서 보안 위협/위험 Data 분리 및 Privacy 악의적 내부 사용자에 의한 특권 남용 클라우드 관리 시스템 공격 에 의한 피해 확산 인터페이스, API의 보안성 부족 데이터 저장 위치에 대한 불확실성 데이터 보호 및 보안 데이터 복구 및 resiliency 데이터 삭제의 불완정성 계정 혹은 서비스 Hijacking 가상화 인프라의 보안 취약 점 클라우드 서비스의 남용 준거성 (Compliance) 부재 거버넌스 부재 ENISA : European Network and Information Security Agency, CSA: Cloud Security Alliance 남기효 40

3. 클라우드 보안-9 클라우드 서비스 보안 요구사항 남기효 41

3. 클라우드 보안-10 클라우드 가상화 환경에서의 보안위협 1 새로운 위협: VM VM VM VM VM간 무단 통신 현재 응용 프로그램 업무 A 응용 프로그램 업무 B 응용 프로그램 業 務 C アプリケーション 가상 환경 내부에서 감염 활동을 수행 Windows 2008 Windows 2000 Windows 2000 OS OS NT 4.0 하이퍼 바이저 관리자 하이퍼 바이저 하드웨어 전통적인 위협:OS어플리케 이션에 대한 공격 웜에 감염된 PC의 공격 남기효 42

3. 클라우드 보안-11 클라우드 가상화 환경에서의 보안위협 2 공격이 성공 공격자 공격자가 제어하는 가상 머신 공격자 가상 머신 사이 Rootkit이 포함됨 VM VM VM 애플 리케이션 애플 리케이션 애플 리케이션 OS OS OS Rootkit 하이퍼바이저 VM VM VM 애플리케이션 애플리케이션 애플리케이션 OS OS OS 하이퍼바이저 Rootkit 의 내장 공격자가 제어하는 가상 머신에서부터 다른 가상 머신과 하이퍼 바이저 등에 대한 공격이 매우 큰 위험이 됨 하드웨어 하드웨어 rootkit 은 침입자가 지속적으로 시스템 액세스를 가능하게하는 소프트웨어 세트 등 남기효 43

3. 클라우드 보안-12 클라우드 가상화 환경에서의 보안위협 3 쉽게 VM을 구축 가상화 이전 관리자 권한의 범위 가상화 후에 관리자 권한의 범위 애플리케이션 애플리케이션 애플리케이션 OS 하드웨어 OS 하드웨어 OS 하드웨어 서버 관리자 권한 하이퍼 바이저 관리자 하이퍼 바이저 관리 서버 VM 애플리케이션 애플리케이션 애플리케이션 OS VM OS 가상 네트워크 하이퍼 바이저 VM OS 서버 관리자 권한 네트워크 관리자 권한 서버 부문 네트워크 관리자 권한 하드웨어 하드웨어 관리자가 컨트롤해야 하는 관리 범위가 확대됨 남기효 44

3. 클라우드 보안-13 클라우드 서비스 보안 기술 동향 1 클라우드 서비스 멀티 가상머신 기반 지능형 보안스캐너(1) 클라우드 컴퓨팅 환경 기존 보안 스캐너 탐지 영역 가상머신 제안 보안 스캐너 탐지 영역 App 호스트 OS App 게스트 OS App 게스트 OS 하이퍼 바이져 App 게스트 OS 가상머신 물리자원 남기효 45

3. 클라우드 보안-14 클라우드 서비스 보안 기술 동향 1 클라우드 서비스 멀티 가상머신 기반 지능형 보안스캐너(2) 1차년도 가상화 영역 보안 취약점 탐지 기술 연구 멀티 OS 기반 보안 스캐너 개발 2차년도 App Host OS App Guest OS App Guest OS App Host OS App Guest OS App Guest OS 가상머신 유형별 보안 취약점 탐지 기술 연구 멀티 가상머신 보안 스캐너 개발 3차년도 분산 탐지 기반 보안 취약점 탐지 및 통합관리 기술 개발 서비스 가용성 보장을 위한 성능 제어형 보안 스캐너 개발 App Host OS Hypervisor(Xen) App Guest OS Hypervisor(VMware) App Guest OS App Host OS Hypervisor(Hyper-V) App Guest OS Hypervisor(VirtualBox) App Guest OS 지능형 통합 관리시스템 남기효 46

3. 클라우드 보안-15 클라우드 서비스 보안 기술 동향 2 클라우드 서비스 보안통제 브로커(1) Cloud Service Provider (Server) Saas Application Cloud Service Platform CASB (Cloud Access Security Broker) Security Functionalities Cloud Service Consumer (User) 남기효 47

3. 클라우드 보안-16 클라우드 서비스 보안 기술 동향 2 클라우드 서비스 보안통제 브로커(2) Saas Application Cloud Service Platform Anomaly Detection Audit Security Policy Access Control Data Loss Prevention Logging 남기효 48

3. 클라우드 보안-17 클라우드 서비스 보안 기술 동향 2 클라우드 서비스 보안통제 브로커(3) 남기효 49

3. 클라우드 보안-18 클라우드 서비스 보안 vs. 클라우드 기반 보안 서비스 클라우드 서비스 보안 다양한 클라우드 서비스에 대한 보안 기능을 제공하는 것 가상화 영역의 보안 기능 등이 포함 클라우드 기반 보안 서비스 기존의 어플라이언스 형태의 보안 서비스를 클라우드 서비스로 제공하는 것 현재 DRM, DLP 등의 분야에서 보안서비스 제공 중 남기효 50

남기효 51