MCS2



Similar documents
Windows 8에서 BioStar 1 설치하기

*2008년1월호진짜

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-


SBR-100S User Manual

wtu05_ÃÖÁ¾

SIGIL 완벽입문

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

1

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

H3250_Wi-Fi_E.book

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

TGDPX white paper

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

RHEV 2.2 인증서 만료 확인 및 갱신

<C0CCC8ADC1F82E687770>

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

Microsoft PowerPoint - chap01-C언어개요.pptx

- 2 -

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

¾ç¼ºÄÀ-2

Xcovery 사용설명서

Web Scraper in 30 Minutes 강철

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

PDF_Compass_32호-v3.pdf

ActFax 4.31 Local Privilege Escalation Exploit

5th-KOR-SANGFOR NGAF(CC)

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

USC HIPAA AUTHORIZATION FOR

컴퓨터관리2번째시간

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아


목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

System Recovery 사용자 매뉴얼

SH100_V1.4


ThinkVantage Fingerprint Software

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

MF Driver Installation Guide

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

µ¶¸³Á¤½Å45È£

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

온라인등록용 메뉴얼

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

PowerPoint Template

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

**09콘텐츠산업백서_1 2

내지(교사용) 4-6부

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

Level 학습 성과 내용 1수준 (이해) 1. 기본적인 Unix 이용법(명령어 또는 tool 활용)을 습득한다. 2. Unix 운영체계 설치을 익힌다. 모듈 학습성과 2수준 (응용) 1. Unix 가상화 및 이중화 개념을 이해한다. 2. 하드디스크의 논리적 구성 능력

ìœ€íŁ´IP( _0219).xlsx

PowerPoint Presentation

특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

È޴ϵåA4±â¼Û

IP Cam DDNS 설정설명서(MJPEG) hwp

60

untitled

메뉴얼41페이지-2

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

암호내지

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리


Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Windows 10 General Announcement v1.0-KO

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

helpU 1.0

View Licenses and Services (customer)

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

특허청구의 범위 청구항 1 삭제 청구항 2 단일 개의 운영체제를 갖는 클라이언트 단말에 있어서, 제1 운영체제와, 상기 제1 운영체제 하에서 사용되는 파일을 저장하는 메모리; 및 상기 메모리에 저장된 파일을 운영체제 제공장치로 전송하고 상기 메모리를 포맷하며, 상기 운

소식지수정본-1

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

Frequently Asked Question 버전 변경 날짜 변경 내용 v /07/22 최초 작성

<BFA9BCBABFACB1B8BAB8B0EDBCAD28C6EDC1FD292E687770>


안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정] 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규

Cloud Friendly System Architecture

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Transcription:

NCSC-TR050010

최원혁 (주)하우리 엔진개발실장 Ⅰ 서론 기업이 많은 연구개발비를 투자해 획득한 기술 관련 정보, 생산에서 판매까지의 전략 등 각종 기업정보를 제3자가 부정한 방법으로 얻는 경우, 또는 정당한 방법으로 이를 획득 했다 해도 자신의 이익을 위해 유용하는 경우나 혹은 남에게 피해를 주기 위해 부정하게 유출시키는 경우에는 문제가 된다. 물론 이 정보(비밀)는 공공에 알려져 있지 않고 독 립된 경제적 가치를 가지는 것으로 상당한 노력에 의해 비밀로 유지된 생산방법, 판매방 법, 기타 영업활동에 유용한 기술상 또는 경영상 정보 를 의미한다. 1 컴퓨팅 환경이 발달하기 전에는 기업의 모든 정보는 튼튼한 금고 속에 깔금하게 철이 된 문서로 고이고이 모셔져 있었다. 하지만, 지금과 같이 컴퓨팅 환경이 발달하면서 점점 그러한 문서들은 중앙 서버에 모여지게 되었고 이들 정보에 접근하는 것도 특정인들만 이 몇몇 보안 단계를 거쳐서 정보를 열람하고 나오는 방식으로 바뀌어지게 되었다. 더군 다나 예전에는 경제적 가치로 인정받지 못했던 기업정보가 정보 화산업 발달로 그 중요성이 높아지게 되고 이를 지키고자 하는 자와 빼내고자 하는 자 사이의 치열한 공방이 벌 어지게 되었다. 결국 기업정보를 노리는 산업스파 이들은 이런 정보를 빼내기 위해 해킹을 시도하 기도 하고 그 조직에 잠입을 시도하여 그 정 보에 근접하려고 노력을 하게 되었다. 결국 이런 이유로 기업은 보안관리자를 두고 각 부서별로 각각의 정보 접근권한을 부여함으 로써 기업정보의 유출을 방지하고 있다. 1 윤선희, 기업비밀 중요성, 전자신문-벤처포럼, 2002. 7.11 www.ncsc.go.kr 2

Ⅱ 기업정보 유출 주체 오늘날 기업정보 유출의 주체자를 외부자(해커)보다는 내부자로 보는 경우가 많아지고 있는데 이는 인터넷 시대에 이르러 더 심각한 수준에 이르렀다. 이것은 인터넷이 가지고 있는 즉각성과 개방성에 기인한다. 이메일과 메신저로 정보를 내보내는 것은 외부에서 들어와서 정보를 가지고 가는 것보다 몇 배는 쉽기 때문이다. 따라서 국내 보안산업의 패러다임이 외부자보다는 내부자에 의한 정보유출을 막는 방향으로 확대되고 있다 실제로 FBI가 2001년에 실시한 기업의 기밀정보 유출실태조사 에 따르면 기업정보 유출이 외부해커에 의해서라기보다는 내부직원에 의해 일어나고 있음을 알 수 있다. 2 또한, 정보통신부 산하 한국정보통신수출진흥센터(ICA)가 2004년 6월 1일부터 7월 20일까지 771개 기업을 대상으로 조사한 IT기술 해외유출 방지 실태조사 보고서 에 따르면, 유출을 시도하는 사람은 [표 1]과 같이 내부자중 퇴직사원에 의한 것이 70%에 육박, 기업체 인사관리의 취약성이 드러나기도 했다. 3 대한상공회의소가 2003년 국내 243개 기업을 대상으로 실시한 국내기업의 정보보안 위기관리에 대한 실태조사 에 따르면 과거에 경험했던 정보보안 위기의 유형에 대해서 는 41.4%가 바이러스에 의한 사내전산망 감염을 꼽았으며, 다음으로 해커의 공격에 의한 사내 서버침투(17.8%) 고객정보 데이터베이스 손실(11.8%) 현직사원에 의 한 사내 중요문서 외부유출(9.1%) 퇴직자에 의한 기업비밀 유출(7.8%) 순으로 나타 났다. 이같은 결과는 기업들 사이에서 인터넷 사용이 보편화되면서 온라인상의 정보보 안 피해가 오프라인보다 더욱 심각해지는 양상을 보이고 있는 것으로 풀이된다. 4 2 최성호, 사내정보유출 문 제점과 해결책, Ahnlab s CEO Report : Market Place, 2003.8.29 3 IT기업 45%, 산업보안 위 협, 디지털타임스, 2004. 7.21 17% 14% 69% 퇴직사원 현직사원 기 타 12.1% 7.8% 9.1% 11.8% 17.8% 41.4% 바이러스 해 커 고객DB유실 현직사원 퇴직사원 기 타 4 국내기업 70%, 정보보안 무방비, 머니투데이, 2003. 6.18 [표 1] 내부자 자료유출 비율 [표 2] 과거 정보보안 위기 유형 3 Monthly 사이버 시큐리티

[표 1]은 2004년을 기준으로 하였고 [표 2]는 2003년을 기준으로 하였는 바 1년 사이에 퇴직사원에 의한 기업정보 유출피해가 급증한 것을 알 수 있는데, 통상 퇴직사원들은 현 직시절 스카우트제의를 받은 후 이직을 전제조건으로 자신이 참여한 프로젝트나 접근 가능한 회사기밀 등을 수집하게 된다. Ⅲ 온라인을 통한 기업정보 유출 유형 1. 내부자 영국의 보안리서치 전문기관인 BISS의 통계를 보면 기업기밀정보유출의 80%가 이메 일을 통해서 일어나고 있다. 이라크전이 임박했던 2003년 3월 미군은 기밀 유출을 우 려해 병사들의 이메일을 단속하기 시작했다. 일부 병사들이 부대의 안전을 해칠지 모 를 디지털 이미지 등 민감한 정보를 이메일을 통해서 가족에게 보내는 일이 잦아지자 이를 단속하고 차단하기 시작한 것이다. 5 물론, 기업도 마찬가지이다. 또한, 메신저는 이메일로 발송하기 어려운 용량의 문서도 전달이 가능하고 어떤 대화든 실시간으로 할 수 있기 때문에 기업정보 유출의 단속 대상이 되었다. 이런 이유로 지난해 10월에는 서 울시 공무원들에게도 메신저 금지령이 내려졌는데 근무시간내 메신저를 이용한 채팅 을 비롯 유해 인터넷 사이트 이용을 금지시킨바 있다. 6, 7 2. 외부자 가. 해킹 내부자가 아닌 외부자에 의해서 기업정보가 유출되는 경우라면 쉽게 산업스파이를 생 각하게 된다. 이들이 기업의 내부가 아닌 외부에서 기업정보를 유출하는 방법으로 해킹 을 시도하게 된다. 해킹은 불특정 다수의 시스템을 공격하는 웜 바이러스와는 달리 해 커가 목표로 하는 시스템만을 공격하게 된다. 5 미군, 병사들 e-메일 단 속, YTN, 2003.3.12 6 메신저 못하는게 없다, 제일경제, 2004.4.18 7 서울시 공무원에 메신저 금지령, 연합뉴스, 2004. 10.22 www.ncsc.go.kr 4

3 1 2 기업정보 온라인유출 유형 및 사례 분석 1) 패스워드 공격 가장 쉽게 공격대상 시스템에 접근하는 방법은 해당 시스템의 계정과 패스워드를 알아 내는 것이다. 물론 내부자라면 해당 시스템의 계정과 패스워드를 획득하는 것이 쉬운 일 이지만, 외부자의 경우 이를 알아내는 방법은 그렇게 쉽지만은 않다. 또한 해당 시스템 을 외부에서 찾아내기도 쉽지가 않다. 결국 해커는 외부에서 공격대상 시스템을 알아내 기 위해 그 시스템의 IP 주소를 알아내는 것이 가장 중요하게 된다. 먼저 해당 시스템의 IP를 알아내기 위해서는 인터넷 게시판을 활용하는 방법과 알고 있는 이메일을 활용하 는 방법을 생각할 수 있다. 해커는 해킹하고자 하는 시스템의 소유자에게 이메일을 보낸 다. 첨부파일을 포함해서 백도어 등을 보낼 수도 있겠지만, 최근 웜 바이러스의 대표적 인 방법과 유사해 쉽게 사용자들이 첨부파일을 실행하지 않는다는 것을 이해해야 한다. 따라서 접속을 유도할 만한 광고로 사용자를 웹사이트로 끌어들여 접속한 사용자 시스 템의 IP 주소를 획득하면 된다. 메일 확인 후 웹서버 접속 웹서버 4 공격대상 시스템 IP 주소 획득 해킹 대상 시스템 메일 발송 메일 전달 메일 서버 [그림 1] 웹서버를 활용한 IP 주소 획득 과정도 8 Backdoor.Win32.Peep Viewer 바이러스 정보, 하 우리, 2004.6.19 이메일을 통한 해커의 접근은 방화벽 및 침입탐지시스템(IDS)에서 조차 발견하지 못하 는데, 이는 지극히 정상적인 인터넷 사용으로 보기 때문이다. 지난해 6월에 발생했던 국 가 공공기관 해킹사건이 대표적인 예라고 할 수 있다. 이때 해킹당한 시스템들은 국회, 해양경찰청, 원자력연구소, 국방연구원 등 국가기밀을 취급하는 주요 기관의 사용자 컴 퓨터들이었으며 사용된 백도어는 Backdoor.Win32.PeepViewer였다. PeepViewer는 대만인이 제작하여 인터넷에 공개되면서 해커들이 사용하기 시작한 원격제어 프로그램 이지만 이메일이나 네트워크로 확산되지는 않는다. 8 그러나 이들 시스템이 감염될 수 5 Monthly 사이버 시큐리티

있었던 것은 바로 국가 공공기관의 이메일 주소로 세미나 안내 메일 및 설문조사 또는 안부 메일 등을 보내어 수신자가 이를 확인하였기 때문이다. 물론 국적미상의 해커가 보 내긴 했지만 메일의 내용은 한국어로 되어 있었기 때문에 피해를 본 시스템의 사용자들 은 PeepViewer가 첨부된 이메일을 아무 거리낌 없이 받아들였다. 공격대상 시스템의 IP 주소를 알아냈다면 이제 계정과 패스워드 공격을 시도할 차례다. 대부분의 사용자가 OS의 Administrator 또는 Admin 등의 계정을 기본적으로 사용하는 경우가 많기 때문에 해커는 패스워드를 찾아내기 위해 노력한다. 사용자 대부분이 간단 한 패스워드를 사용하는 것을 이용해 [표 3]과 같은 취약 패스워드 대입법을 통해 시스 템을 해킹하게 된다. 9!@#$!@#$%!@#$%^!@#$%^&!@#$%^&* 000000 00000000 111 11111111 12 123 1234 12345 123456 1234567 12345678 123456789 123asd 123qwe 2004 devil dick dude erik fanny feds fish fool freak fucked Gast gay george Guest hax home idiot Internet Inviter rooted SERVER server share sql stacey stacy Standard stefan steve steven student super sybase SYSTEM teacher TEMP temp TEST Test tim tom UNIX user User Verwalter wh0re whore win windows2k windows98 windowsme WindowsXP windoze wwwadmin xp xyz [표 3] 취약 패스워드 2) 원격 제어 프로그램 이용 인터넷이 보편화되면서 가장 큰 문제점중 하나가 해킹에 관련된 자료를 마음만 먹으면 쉽게 구할 수 있다는것이다. 원격제어 프로그램을 구했다면 해커는 이 프로그램을 공격 9 PC속의 개인정보 누군가 엿보고 있다, 동아일보, 2004.7.19 www.ncsc.go.kr 6

대상 시스템에 보내게 된다. 이는 앞서 패스워드 공격때와 동일한 방법 즉, 이메일 및 웹 게시판을 통해서 배포할 수 있게 된다. 단, 웹 게시판을 통해서 배포할 때에는 대부분 보 안 경고창이 나타나지만, 사용자의 인테넷 익스플로어의 옵션 설정에 문제가 있거나 사 용자가 보안 경고창에서 [예]을 선택할 경우 자칫 원격제어 프로그램이 설치될 수 있다. 자신이 소유한 시스템의 인터넷 익스플로어 옵션 설정에 문제가 있는지를 체크하려면 [도구] [인터넷 옵션] [보안] [인터넷] [사용자 지정 수준] [ActiveX 컨트롤 및 플러그 인]에서 아래내용을 확인하면 된다. 서명 안 된 ActiveX 컨트롤 다운로드 : 사용안함 서명된 ActiveX 컨트롤 다운로드 : 확인 안전하지 않는 것으로 표시된 ActiveX 컨트롤 초기화 및 스크립트 : 사용안함 안전한 것으로 표시된 ActiveX 컨트롤 스크립트 : 사용 ActiveX 컨트롤 및 플러그 인 실행 : 관리자 승인 보안 경고창이 뜰 때 주의해서 보아야 할 사항은 바로 발급자이다. 발급 대상은 누구나 될 수 있지만 발급자는 대부분 정해져 있기 때문이다. [그림 2] 보안 경고창 [그림 3] 발급자 정보 [그림 2]에서와 같이 보안 경고창에서 파란색의 하이퍼링크(Hyper Link)를 선택하면 [그림 3]과 같은 인증서 화면에 발급자의 정보가 나타나며, 우측하단에 발급자 설명을 통해서 어떤 발급자에 의해서 발급 대상자가 인증되었는지 자세하게 알 수 있다. 7 Monthly 사이버 시큐리티

[그림 4] 신뢰할 수 없는 발급 대상임을 경고하는 보안 경고창 [그림 5] 발급자 정보를 찾아볼 수 없는 인증서 [그림 2], [그림 3]과는 달리 [그림 4]의 보안 경고창은 이미 신뢰할 수 없는 발급 대상 자임을 경고한다. 또한 하이퍼링크를 선택하여 자세한 발급자 정보를 찾아볼 수 없다. [그림 5]의 우측하단에 발급자 설명 버튼이 비활성화 되어 있을 뿐 아니라, 일반적인 발 급자들이 제공하는 인증서의 유효 기간은 통상 1년인데 반해 [그림 5]에는 약 40년간의 유효 기간을 가지고 있다. 3) OS 취약점 이용 OS(운영체제)도 하나의 프로그램이다. 프로그램이라는 것은 사람에 의해서 개발되었 고 언제나 버그가 존재할 가능성이 있다는 것을 의미한다. 조그만한 프로그램을 개발하 더라도 수많은 버그가 존재하는데 하물며 커다란 OS를 설계하고 프로그램하는데 얼마 나 많은 버그가 존재하겠는가? 따라서 MS는 항상 보안전문가들이 지적한 윈도우의 취 약점을 제거하기 위해 노력하고 있으며 보안 취약점을 해결할 수 있는 패치 프로그램을 인터넷에 공개하여 윈도우 사용자들 누구나 다운로드하고 패치하여 보안에 안전한 최 상의 윈도우 OS 환경을 만들고 있다. (http://windowsupdate.microsoft.com) 하지만, 아무리 MS사에서 보안 패치를 매번 내놓더라도 이를 사용자들이 제때에 설치 하지 않는다는데 문제가 있다. 다소 귀찮고 대부분의 보안 패치 실행 이후 재부팅을 해 야하기 때문에 웹서버, 메일서버 등 서비스가 중단되어서는 안될 시스템들은 보안관리 자가 보안 패치를 강조하더라도 실제 서버 책임자는 패치를 하지않기도 한다. 결국 이런 www.ncsc.go.kr 8

이유로 해커는 보안 취약점을 스캐닝하는 툴을 활용해 쉽게 OS의 관리자 권한을 획득 하려고 한다. 보안 취약점을 스캐닝하는 도구의 대부분은 해킹이 주목적이 아닌 보안 관리자가 많은 시스템을 일일이 살피지 않고 한꺼번에 보안 취약점들을 알아내어 위기 관리를 하기 위 한 목적으로 사용하는것이다. 하지만, 일부 해커에 의해서 이런 프로그램들이 해킹도구 로 전락되면서 오히려 해당 프로그램 개발자들이 더 좋은 기능의 관리도구 개발을 중단 하게 만드는 이유를 제공하기도 한다. [그림 6] 보안 취약점을 스캐닝하는 도구 [그림 7] 보안 취약점을 스캐닝하는 도구가 발견한 보안 취약점 [그림 6]은 보안 취약점 스캐닝 도구가 172.1.1. 211 시스템의 보안 취약점을 스캐닝하 는 장면이고, [그림 7]은 최종 스캐닝한 시스템에 대한 보안 취약점 분석 보고서이다. 이 결과에 따르면 172.1.1.211 시스템에는 FTP에 보안 취약점이 존재하며, 계정이 anonymous이면서 패스워드가 111이라고 지적하고 있다. 나. 웜 바이러스 10 Worm.Win32.Agobot 바이 러스 정보, 하우리, 2004. 9.16 웜 바이러스를 통해 해킹을 하고자 하는 해커는 특별히 해킹하고자 하는 특정 시스템 이 존재하지 않는 경우가 많다. 즉, 해커는 불특정 다수를 대상으로 해킹을 하여 기업 또 는 개인의 정보를 유출하려고 하는 경우 웜 바이러스를 활용하게 된다. 10 9 Monthly 사이버 시큐리티

1) Bot을 이용한 공격 Bot(봇)은 로봇 의 준말로, 사용자나 다른 프로그램 또는 사람의 행동을 흉내내는 대 리자로 동작하는 프로그램을 의미한다. 인터넷상에서 가장 보편적으로 존재하는 봇들 은 스파이더, 크로울러 라고 불리는 프로그램들로써, 웹사이트를 주기적으로 방문하 여 검색엔진의 색인을 위한 콘텐츠를 모아오는 일을 한다. 11 하지만, 최근 이 Bot의 기능 을 이용해 불특정 시스템의 보안 취약점을 분석하고 분석된 결과를 통해 시스템에 침투 하여 해커가 관리자 권한을 얻는다. 가장 대표적인 Bot으로 IRC Bot을 예로 들수 있다. IRC(Internet Relay Chatting)는 일 종의 채팅 서비스이며 대화를 위해서는 IRC 서버에 접속해야 한다. IRC 서버에 접속하 는 프로그램은 IRC 클라이언트라 부르며 윈도우에서는 mirc가 가장 널리 사용된다. 보 통 IRC 클라이언트에는 스크립트를 처리할 수 있는 기능이 있고 mirc 클라이언트에도 막강한 스크립트 기능을 포함하고 있다. 악성 IRC Bot에 감염된 시스템은 보통 이름이 변경되거나 실행 압축된 mirc 클라이언트가 설치되며, 윈도우 시작 시 자동으로 실행 되어 사용자들에게 들키지 않고 실행 중인 프로세스를 숨기는 프로그램 등으로 자신을 숨긴 후 사용자 모르게 IRC 서버의 특정 방(채널)에 접속한다. 이후 [그림 8]과같이해 당방(채널)에 접속한 시스템들은 운영자(해커)가 내리는 다양한 명령어에 의해 IRC Bot들은 동작하게 된다. 이들 명령어 중에는 시스템의 정보를 획득하는가 하면, 중요 문 서들을 유출할 수 있다. 명령어 전달 해커 IRC Bot에 의해 접속된 시스템1 IRC 서버 IRC Bot에 의해 접속된 시스템2 IRC Bot에 의해 접속된 시스템4 [그림 8] IRC Bot의 명령어 전달 IRC Bot에 의해 접속된 시스템3 11 Bot: 봇의 정의, http:// www.terms.co.kr/bot.htm www.ncsc.go.kr 10

물론 IRC Bot들은 웜 바이러스로 간주되기 때문에 Anti-Virus 프로그램들에 의해 진 단되고 치료되어지게 된다. 하지만, 해커는 IRC 서버의 특정방(채널)에 접속한 시스템 은 Anti-Virus 프로그램이 실행되지 않은 시스템으로 생각할 수 있고 그 방(채널)에 접 속한 시스템의 숫자가 급격히 줄어들게 되면 Anti-Virus 프로그램에 의해 자신이 배 포한 IRC Bot이 진단/치료된다고 간주하여 새롭게 설계한 IRC Bot 변종을 다시 감염된 시스템에게 업그레이드 하도록 명령을 내리고 다시 IRC Bot은 감염되지 않은 시스템을 찾아내어 감염시켜 IRC 서버의 특정방(채널)에 접속하게 하여 해커에게 정보 유출의 발 판을 마련하게 한다. 따라서 최근 IRC Bot의 변종이 많이 등장하는 것도 이 때문이다. IRC Bot이 가지는 주요 기능은 다음과 같다. 12 특정한 IRC 서버 및 채널로 재 접속 트로이 목마가 설치된 시스템의 IP 대역의 회선속도 확인 트로이 목마가 설치된 시스템의 트로이 목마 환경 재설정 트로이 목마가 설치된 시스템을 찾기 위해 임의의 IP 대역을 스캔 트로이 목마가 설치된 시스템의 트로이 목마의 버전확인 트로이 목마가 설치된 시스템의 프로세스 중지 및 삭제 트로이 목마가 설치된 시스템의 정보(H/W, S/W) 확인 트로이 목마가 설치된 시스템에서 rconnect.exe를 이용하여 FTP 서버 기능 on/off 트로이 목마가 설치된 시스템에서 mirc Web 서버 추가 기능을 이용, Web 서버기능 on/off 트로이 목마가 설치된 시스템의 파일복사기능 또는 Dropper 파일 복사, 삭제기능 트로이 목마가 설치된 시스템들을 이용하여 DDoS 또는 ICMP 패킷 공격기능 트로이 목마가 설치된 시스템에서 다른 버전의 트로이 목마를 다운 받을 수 있는 기능 트로이 목마가 설치된 시스템의 임의의 포트 Open/Closed 기능 트로이 목마가 설치된 시스템에서 자신을 삭제하는 기능 그 외 mirc 기본적인 기능들.. 12 차민석, 악성 IRC봇의 의 미와 동작원리 : 보안/바이 러스정보, 안철수 연구소, 2003.12.3 2) P2P를 활용한 공유 공격 초기에 P2P 서비스는 단순하게 음악 파일(주로 MP3)이나 동영상, 그림 파일 등을 주고 받는 데 사용되었지만, 최근 들어 실행 파일뿐만 아니라 모든 파일을 공유할 수 있는 방 식으로 발전하고 있다. 이는 자신이 원하지 않는 파일이 공유되거나 다른 사람에게 받는 파일의 안전성이 떨어질 수 있다는 것을 의미한다. 실제로 P2P가 실행 파일을 포함한 11 Monthly 사이버 시큐리티

모든 파일에 대한 공유가 가능해짐으로써, P2P 프로그램의 설정을 변경해 C드라이브 전체나 기밀문서 폴더 등이 공유될 수 있으며, 이는 곧바로 사용자가 원하지 않는 정보 의 외부 유출로 이어질 수 있다. 악성코드가 많이 퍼지는 메일의 경우 많은 메일 서비스 에서 메일에 대하여 백신으로 안전성을 검사해주지만 P2P는 이러한 부분이 모두 개인 에 맡겨지므로 사용자 부주의에 의한 악성 코드 공유가 문제시 되는 것이다. 다행히 메 일에 비해 아직 사용자 수가 적고 단시간에 악성코드가 전파되는 경우는 없어 피해는 적 은 편이다. 하지만, 앞으로 P2P 서비스가 더욱 대중화되고 사용자 수가 늘어난다면 문제 가 커질 수 있다. 특히 최근 발견되고 있는 웜은 메일, 공유 폴더, 메신저에 이어 P2P 서 비스를 자신의 전파에 활용하고 있는 추세이기 때문에 P2P 서비스에 대한 안전 문제를 더 이상 간과할 수 없는 것이다. 13 국내에서 많이 사용하는 P2P 프로그램은 소리바다, 구루구루, 당나귀 등을 들 수 있다. [그림 9] P2P 프로그램으로 검색한 화면 [그림 9]는 P2P 프로그램으로 xls 문서를 검색해본 화면이다. 여기에 검색된 것들 중에 는 기업의 정보가 담겨있는 문서로 추측되는 것들이 다수가 포함되어 있다. 웜 바이러스는 실행되면 시스템에서 사용하고 있는 P2P 프로그램을 검색하고 P2P 프 로그램이 공유하는 폴더에 웜 바이러스를 복사하여 누구나 접근할 만한 파일명으로 변환하여 다른 사용자로 하여금 다운로드 받게 한다. 다음은 P2P 프로그램을 이용하여 확산되는 Worm.Win32.Doep가 사용하는 파일명의 일부로 게임패치나 시디키생성기 등을 가장하고 있다. 13 차민석, Peer to Peer(P2P) 와 악성 코드 : 보안/바이러 스정보, 안철수 연구소, 2002.7.23 www.ncsc.go.kr 12

Starcraft BroodWar LAST Official Patch.zip Diablo KeyGen.zip The Sims 2 Full Downloader.zip Baldurs Gate 2 KeyGen.zip 물론 현재까지 P2P를 활용하여 정보를 유출하는 웜 바이러스의 예가 아직 보고된 바 없다. 하지만, P2P 프로그램이 가지고 있는 공유의 범위만 변경하는 웜 바이러스가 등 장한다면 이는 어려운 일이 아니다. 예를 든다면, 앞서 사용했던 프루나 P2P 프로그램 의경우[그림 10]에서 보는 바와 같이 옵션 항목을 선택하면 공유의 범위를 지정하는 곳을볼수있다. 만약웜 바이러스가 이 같은 설정을 전체 공유로 변경하게 된다면 누 구나 사용자의 자료를 가져 갈 수 있게 된다. [그림 10] P2P 공유의 범위를 지정하는 옵션 창 14 I-Worm.Win32.Sircam 바 이러스 정보, 하우리, 2001. 7.19 15 서캠바이러스, 코드레드 보다 잠재위험성 더 커, 매 일경제, 2001.8.3 3) 메일 확산시 정보 유출 공격 흔히 웜 바이러스가 메일로 확산될 때는 웜 바이러스 본체만 확산된다. 하지만, 이메 일 웜으로 대표적인 I-Worm.Win32.Sircam은 감염된 PC에 존재하는 DOC, XLS, ZIP 파일중 하나를 웜 파일 끝부분에 붙여 자체적으로 내장되어있는 SMTP를 이용하여 메 일을 보내는 특징을 갖고 있다. 14 즉, I-Worm.Win32.Sircam 웜의 끝부분에 붙는 파일 이 대체로 문서 파일들이기 때문에 정보 유출 가능성이 크다. I-Worm.Win32.Sircam에 의해 정보가 유출된 대표적인 사례로 우크라이나 정부의 비밀 문서가 인터넷 사이트인 www.for-ua.com을 통해 누출된 사건을 들 수가 있다. 15 물론 현재 알려진 것은 우크라 13 Monthly 사이버 시큐리티

이나 정부뿐이지만 분명 수 많은 기업들의 비밀 문서가 같이 누출되었음에 의심의 여지 가 없다. 정보를 중요시 하는 요즘 이런 유형의 웜 바이러스는 계속적으로 나올 가능성 이 크다. 다. 스파이웨어/애드웨어 스파이(spy)와 소프트웨어의 합성어로, 본래는 어떤 사람이나 조직에 관한 정보를 수집 하는 데 도움을 주는 기술을 뜻한다. 광고나 마케팅을 목적으로 배포하는 게 대부분이어 서 애드웨어(adware)라고도 불린다. 그러나 최근에는 다른 사람의 컴퓨터에 몰래 숨어 들어가 있다가 중요한 개인정보를 빼가는 프로그램을 지칭한다. 대개 인터넷이나 PC통 신에서 무료로 공개되는 소프트웨어를 다운로드 받을 때 함께 설치된다. 비교적 유용한 소프트웨어를 무료로 제공하므로 일반 해킹프로그램과는 성격이 다르다. 미국의 인터 넷 광고전문회사인 라디에이트(Radiate)에서 개인 사용자의 취향을 파악하기 위하여 처음 개발되었다. 처음에는 사용자의 컴퓨터에 번호를 매겨 몇 명의 사용자가 광고를 보 고 있는지를 알기 위한 단순한 것이었다. 그러나 최근에는 사용자 이름은 물론 IP주소와 즐겨찾는 URL, 개인 아이디, 패스워드까지 알아낼 수 있게 발전되어 악의적으로 사용될 소지가 많다. 문제는 사용자가 동의 절차에 민감하지 않는데 있다. 대부분 사용자들은 [그림 11]과 같이 프로그램을 설치할 때 보여지는 동의절차에 별 생각 없이 [예]를 클릭 하는데 있다. 물론 영문일 경우 더 관심 있게 보지 않는다. [그림 11] 프로그램설치동의절차화면 www.ncsc.go.kr 14

대부분 자신이 받고 있는 스팸(spam) 메일이 스파이웨어와 애드웨어에 의해 자신의 정 보가 광고업체에 노출되었다고 할 수 있다. 라. 검색엔진에 의한 정보 유출 인터넷 검색엔진은 방대한 정보를 쉽게 찾을 수 있도록 하는 나침반임은 분명하다. 하지 만, 인터넷 검색엔진의 대부분은 방대한 정보를 사람이 직접 인터넷을 돌아 다니며, 정 보를 가공/분류하는 것은 아니다. 이때 사용되는 것이 웹봇(WebBot)이다. 웹봇은 자동 으로 인터넷을 돌아다니며 정보를 가공/분류한다. 최근에는 정보의 가공/분류 기술이 발 전하여 웹페이지 뿐만 아니라 pdf, doc, xls, hwp 등 문서 파일을 가공 분류하기에 이르 렀다. 그런 이유로 검색엔진에서는 적절한 검색어만으로 기업의 정보를 유출할 수가 있 다. 다음은 간단한 예로 최근 가장 많은 사용자가 사용하고 있다는 구글(www.google.co.kr) 에서 주민등록번호중 앞부분에 해당하는 생년월일만 임의적으로 입력해본 것이다. [그림 12]에서 보는 바와 같이 쉽게 개인 정보로 추측되는 문서를 발견하였고 이를 통해 획득한 개인의 정보가 실명인지를 확인하고 있다. 인터넷에 문서를 잠시동안만이라도 올릴 때에는 해당 문서를 압축하여 암호를 설정해두는 것이 좋을 것이다. 그렇지 않다면 금방 웹봇이 지나가면서 해당 문서를 검색엔진에 정보로써 등록될 것이다. [그림 12] 검색엔진에서 발견한 이름과 주민등록번호 [그림 13] [그림12]에서 얻은 정보로 실명 인증 15 Monthly 사이버 시큐리티

Ⅳ 대안책 지금까지 기업정보 유출 유형 및 간단한 사례들을 살펴 보았다. 그렇다면 기업정보 유출 을 막을 수 있는 최소한의 방법은 어떠한 것들이 있는가 알아보자. 1. 내부자 방어 내부자의 정보 유출이 외부자보다 위험한 것이 사실이지만, 내부자는 특별한 해킹 기술 을 요하지 않고 쉽게 정보 유출이 가능함을 앞서 살펴보았다. 이런 내부자의 경우 그룹 을 두어 정보에 접근하는 권한을 단계별로 설정해 둘 필요가 있다. 가. Secure OS 정보의 접근을 운영체제에서부터 조절하여 사용자별 권한을 두는 방안을 제시하는 운 영체제이다. 운영체제 자체가 지원하면 좋겠지만, 현재의 운영체제보다 보안이 강화된 운영체제 플러그인 같은 프로그램을 구입, 설치해야지만 가능해진다. 보안이 강화된 운 영체제는 사용자의 권한을 계속적으로 승계하여 작업하므로 부적절한 접근을 미연에 막아주기 때문에 내부자 보안에 효과적이라 하겠다. 나. DRM DRM(Digital Rights Management)은 디지털 저작권 관리 를 의미한다. 즉, 기업에서는 문서에 저작권을 부여하여 읽기가 허용된 사람에게만 문서가 공개되는 구조이다. 즉, 개 발실에서 만들어진 프로그램 소스를 영업부에서 참조할 상황은 거의 없을 것이다. 따라 서 이 프로그램 소스에 읽기 권한은 개발실로 한정한다는 의미이다. 물론 읽기 권한 뿐 만 아니라 쓰기 권한, 프린터 권한 등 세세한 권한 부여가 가능하며, 회사에서 인가한 시 스템에서만 해당 문서에 대한 권한을 가지게도 할 수 있다. 즉, 문서를 회사에서 인가한 시스템이 외부로 문서를 유출하여 문서 읽기를 시도할 경우 문서가 읽혀지지 않는다. 다. 메일 보안 메일은 업무에 있어서 상당히 중요한 부분을 차지한다. 따라서 메일을 사용하지 못하게 www.ncsc.go.kr 16

막을 수는 없겠지만, 첨부 파일에 대해서 적절히 조치를 취함으로써 기업정보 유출을 막을 수 있겠다. 이런 경우 동료간의 문서 교환은 메일이 힘들 수 있겠으나, 메일 서버 의 적절한 셋팅을 통해 내부 메일 계정은 첨부파일을 허용하는 등의 방법을 사용하면 될 것이다. 라. 메신저 보안 메신저의 경우 가장 외부와 쉽게 연락이 되는 통신수단이다. 따라서 보안 관리자에게 민 감하게 받아들여진다. 이 경우 공개된 메신저가 아닌 기업내 사설메신저를 도입하는 방 법을 고려하는 것이 좋을 것이다. 이렇게 되면 기업내 동료간에 대해서만 메신저가 허용 되므로 외부로 나갈 수 있는 정보 유출을 막을 수 있다. 마. 별도의 내부자 교육 기업정보 유출은 아무리 기술적인 측면에서 막더라도 내부자가 마음만 먹으면 얼마든 지 가능한 일이 될 수도 있다. 따라서 기술적인 측면만을 고려하여 기업정보 유출을 막 는 것에 무조건적으로 의지하기 보다는 내부자의 윤리 교육 등을 통해 처음부터 기업정 보 보호에 대한 경각심을 갖도록 하는 것이 중요하다. 2. 외부자 가. 윈도우 보안 업데이트 해킹, 웜 바이러스는 제일 먼저 보안 취약점을 이용해 시스템 접근을 시도한다. 따라서 윈도우 보안 업데이트는 외부자에 대한 가장 기초적인 보안점검 사항 중 하나다. 윈도우 보안 업데이트에 접속하여 항상 보안 패치 프로그램을 확인하는 것이 가장 좋으며, 적용 할 보안 패치가 없는 상태를 만들도록 노력해야 한다. 나. 최신 Anti-Virus 프로그램 사용 웜 바이러스를 가장 확실하게 차단할 수 있는 것은Anti-Virus 프로그램뿐이다. 따라 서 항상 최신 버전을 유지하는 것이 무엇보다도 중요하다. 최근에는 하루에도 몇십개의 17 Monthly 사이버 시큐리티

웜 바이러스가 등장하기 때문에 출퇴근에 맞춰 Anti-Virus 프로그램을 업데이트 하게 끔 스케줄 기능을 활용하는 것도 좋은 방법이다. 다. 개인 방화벽 사용 임의적으로 해킹 시도를 차단하기 위해서 개인 방화벽 사용을 권장한다. 최근에는 Anti-Virus 프로그램의 일부 기능으로 개인 방화벽을 탑재하는 경우도 있기 때문에 개 인 방화벽 기능이 탑재된 Anti-Virus 프로그램을 활용하는 것이 효과적이겠다. 지금까지 기업정보 유출의 유형 및 사례를 통해 적절한 기업정보 유출의 대안책을 살펴 보았다. 물론 여기에서 제시한 대안책은 아주 일부분에 해당하는 것으로 이 밖에도 많은 대안책들이 존재하며, 더 좋은 기술적 접근을 통해 기업정보 유출을 막을 수 있을 것이 다. 하지만, 앞서에서도 밝혔듯이 분명 기술적인 접근이 아무리 좋다고 하더라도 내부자 의 보안의식 향상이 가장 중요하므로 수시 교육을 통해 이를 제고하여 기업정보 유출을 막는 방법이 제일 확실하다. www.ncsc.go.kr 18

19 Monthly 사이버 시큐리티