목차 I. 인터넷침해사고동향 II. 침해사고동향분석 III. 최근주요공격사례 IV. 결론

2013 년 주요침해사고사례와대응 2013. 12. 4

목차 I. 인터넷침해사고동향 II. 침해사고동향분석 III. 최근주요공격사례 IV. 결론

I-1. 시대별공격변화 바이러스 DDoS 웜 위협수준 개인정보유출 CIH( 98) 아마존, ebay ( 00) 슬래머웜 ( 03) Root DNS DDoS( 02) 코드레드 ( 01) 블래스터웜 ( 03) 게임계정탈취 APT 게임아이템거래사이트 ( 07) 스턱스넷 ( 10) ebay 해킹 ( 08) 7.7( 09) 농협사고 ( 11)` 현대캐피탈 ( 11) GS 칼텍스개인정보유출 ` ( 08) 옥션개인정보유출 ( 08) 피싱사이트 ( 12) SK컴즈 ( 11) 3.4( 11) 2000 2002 2004 2006 2008 2010 2012 3.20 ( 11)` 스미싱 ( 13) 6.25 ( 13) 2013 1988 1998 Morris CIH 1999 Worm Melissa 1986 1992 Brain Michelangelo 2003 Slammer 2004 Cabir 2006 Leap 2007 Storm 2008 Koobface Conficker 2010 2011 Stuxnet Duqu Fakeplayer 2012 Flame

I-2. 국내외주요해킹사고 Operation Aurora 시점 : 2010 년 1 월타깃 : 구글, 다우캐미컬등 30 여개회사피해 : 소스코드등회사기밀자료유출 EU Commission Summit Attack 시점 : 2011 년 3 월타깃 : 벨기에브뤼셀 EU 서버피해 : 미공개 RSA 해킹시점 : 2011 년 4 월타깃 : RSA 피해 : 2 FACTOR 인증정보유출 GhostNet 시점 : 2009 년 3 월타깃 : 세계 103 개국피해 : 대사관, 정부기관등에침투하여정보수집등스파이행위 Operation Shady RAT 시점 : 2006 년 7 월타깃 : 다양한분야 72 개업체피해 : 5 년이상침투공격 Night Dragon 시점 : 2011 년 2 월타깃 : 오일, 가스, 석유화학사웹사이트피해 : 미공개 Stuxnet 2010 년 9 월타깃 : 이란원전 SCADA 등산업시설피해 : 원자력발전소작동방해 Sony PSN Hacking 시점 : 2011 년 4 월타깃 : PSN & Qriocity 피해 : 7,700 만가입자개인정보유출 Epsilon E-mail Breach 시점 : 2011 년 4 월타깃 : 엡실론사고객이메일계정피해 : 시티은행, 디즈니등 50 개기업고객이메일탈취 2006 2007 2008 2009 2010 2011 2012 2013 쇼핑몰해킹시점 : 2008 년 2 월타깃 : 쇼핑몰사이트피해 : 개인정보 1800 만건유출 G20 파일공격시점 : 2011 년 3 월타깃 : G20 관련파일피해 : 150 명이상의외교관컴퓨터공격 OO 포털해킹시점 : 2011 년 7 월타깃 : 포털사내부망피해 : 회원정보 3500 만건유출 3.20 사이버공격시점 : 2012 년 3 월 20~26 일타깃 : 금융, 방송사 ( 홈페이지 ) 피해 : 서버, PC, ATM 등장애 OO 은행전산망해킹시점 : 2011 년 4 월타깃 : 은행내부망피해 : 거래정보유실및거래중단 통신사개인정보해킹시점 : 2012 년 7 월타깃 : 통신사개인정보 DB 피해 : 개인정보 870 만건유출 6.25 사이버공격시점 : 2012 년 6 월 25~7 월 1 일타깃 : 정부, 공공기관등피해 : 홈페이지변조, DDoS 피해

I-3. 피해액비교 2002 년태풍루사 5 조 1,479 억 ( 소방방재청 ) 2003 년 1.25 슬래머웜 약 1,675 억원 ( 한국인터넷진흥원 ) 2009 년 7.7 DDoS 공격 약 544 억원 ( 한국경제연구원 ) 2013 년전세계사이버범죄 약 120 조원 ( 시만텍 )

I-4. 다양한사고경로 홈페이지 메신저 웹하드, P2P SNS 이메일 이동형저장장치

I-5. 주요통계

II-1. KISA 의침해사고분석현황 (1/6) Ø 피해시스템 (2012.1.1~2013.11.23)

II-1. KISA 의침해사고분석현황 (2/6) Ø 피해시스템용도 (2012.1.1~2013.11.23)

II-1. KISA 의침해사고분석현황 (3/6) Ø 사고원인 (2012.1.1~2013.11.23)

II-1. KISA 의침해사고분석현황 (4/6) Ø 업종 (2012.1.1~2013.11.23)

II-1. KISA 의침해사고분석현황 (5/6) Ø 공격국가 (2012.1.1~2013.11.23)

II-1. KISA 의침해사고분석현황 (6/6) Ø 최근 3 년간사고원인 (2010 년 ~2013 년 ) 웹셸생성 악성코드감염 악성코드감염 악성코드감염 악성코드감염 웹셸생성 웹셸생성 웹셸생성 계정유출 계정유출 파일업로드취약점 계정유출 파일업로드취약점 파일업로드취약점 특이사항없음 특이사항없음 백도어설치 특이사항없음 계정유출 파일업로드취약점 SQL 인젝션취약점 백도어설치 백도어설치 시스템취약점 시스템취약점 SQL 인젝션취약점 SSH 데몬변조 루트킷설치 웹어플리케이션취약점 루트킷설치 루트킷설치 백도어설치 파일인클루드취약점 시스템취약점 웹어플리케이션취약점 SQL 인젝션취약점 기타 웹어플리케이션취약점 기타 웹어플리케이션취약점 2010 년 2011 년 2012 년 2013 년

II-2. 주요피해사이트 (1/5) 보안이취약한웹하드사이트는해커들의최대관심사 - 7.7( 09) 및 3.4 ( 11) DDoS 공격과농협전산망장애 ( 11) 도웹하드사이트를통해악성코드를유포 경유지 2. 웹하드업체의취약서버공격 1. IP 를숨기기위해국내서버를경유 웹하드업체 3. 웹셸업로드및동기화프로그램설치 4. 악성코드삽입 - KISA 는총 162 건의웹하드사이트해킹사고탐지 해커 웹서버 < OO 웹하드사이트해킹사고 > 시사점 < 2012 년웹하드사이트사고발생통계, KISA > 관리자가없는주말에웹하드사이트가악용될경우대량의좀비 PC 가빠르게양산해커의웹하드사이트에대한공격시도는지속적으로증가할것으로추정웹하드사이트에대한지속적인모니터링과보안강화필요

II-2. 주요피해사이트 (2/5) Ø 웹하드사이트악성코드경유지악용 ( 13.7~10) 웹하드 7월 8월 9월 10월 합계 TOO 3 4 7 SOO 1 1 HOO 1 1 SOO 2 7 9 DOO 1 3 4 AOO 1 1 BOO 1 7 8 MOO 1 1 JOO 1 1 TOO 1 1 HOO 1 1 COO 1 1 MOO 6 6 AOO 1 1 POO 1 1 SOO 1 1 SOO 1 1 합계 9 1 22 14 46

II-2. 주요피해사이트 (3/5) 방문자가많은언론사는악성코드유포를위한매력적인매체 - 해커는언론사이트를방문하는사용자를악성코드배포사이트로자동접속하도록유도 업무용 PC 2. 접속 기사편집서버 3. 스크립트삽입 일반사용자 6. 감염 1. 해킹 4. 전파 5. 접속 악성코드배포서버 해커 웹서버 < OO 일보해킹사고 > 시사점 < 주요언론사이트방문자수현황 (2.21), rankey.com > 다수사용자가이용하는업무용PC에대한관리강화가필요내부망에연결된관리용 ( 관리자 ) PC에대한해킹시도가지속적으로증가할것으로예상홈페이지를운영하는서버뿐만아니라관리용 ( 관리자 ) PC에대한정기점검이필수 www.kisa.or.kr

II-2. 주요피해사이트 (4/5) Ø 국내언론사홈페이지, 광고대행사배너광고를통한악성코드유포가지속 이용자가홈페이지방문시, IE Java MS XML Flash Player 등다양한취약점을악용하여, 악성코드가 PC에자동으로다운로드 감염PC 정보수집, 추가악성코드다운로드, 게임계정유출등게임관련정보유출 Ø 광고대행사공격 => 배너광고를악용하여언론사홈페이지에노출하는추가피해우려 Ø 효과적인악성코드유포를위해주말기간에악성코드유포

II-2. 주요피해사이트 (5/5) 구분 경유지 탐지횟수 soo.co.kr 1 eoo.co.kr 1 1월 noo.com 1 koo.co.kr 1 moo.co.kr 4 foo.kr 2 3월 NOO.com 1 loo.co.kr 1 ioo.com 2 4월 noo.com 4 foo.kr 1 koo.co.kr 1 koo.co.kr 1 foo.kr 2 hoo.com 1 5월 noo.com 2 yoo.co.kr 1 joo.com 1 joo.ioo.com 4 ioo.com 2 6월 joo.com 9 7월 joo.com 2 ioo.com 1

II-3. 주요피해원인 (1/3) 침해사고의 80% 에서게시판의파일업로드취약점을악용하는웹셸이발견 관리자 PC 가해킹되면모든보안정책및장비는무력화 1. 시스템및사용자정보접근 2. 네트워크통신 3. 파일과 DB 조회및수정등 1. 악성코드감염 2. 서버계정유출 관리자 PC 해커 악성코드삽입 웹서버 예방및점검방법 게시판에대한보안설정점검 ( 보안업데이트 ) 휘슬을이용하여웹셸설치여부확인 예방및점검방법 관리자 PC 는패쇄망에서만사용주기적인보안패치및백신프로그램실행

II-3. 주요피해원인 (2/3) 보안이취약한서버가국내외주요서버공격을위한해킹경유지로악용 취약한보안설정으로운영되는동기화프로그램이주요서버해킹도구로악용 보안취약서버 주요서버 1. 해킹 보안취약서버 인증서버 1. 해킹 2. VPN 실행 6. 공격 5. 접속 해커 4. 동기화 2. rsync 실행 3. 악성코드설치 4. 등록 해커 3. 판매 해커 주요서버 예방및점검방법 VPN 서비스용 1723 포트사용확인및차단 예방및점검방법 동기화프로그램설정파일 (rsync.conf) 점검 tcp 0.0.0.0:1723 0.0.0.0:* LISTEN 11758/pptpd 취약한설정예 : path = / ; uid = root ; gid = root www.kisa.or.kr

II-3. 주요피해원인 (3/3) SSH 변조는해커가가장즐겨사용하는백도어 누구나손쉽게확인이가능한고정키백도어 1. 해킹 2. SSH 변조 - 고정키기능은사용자편의를위해 OS 에서기본적으로제공 해커 3. 특정문자열입력 4. 관리자권한획득 서버 예방및점검방법 strace 명령어를이용한시스템호출추적 ssh, sshd, pam_unix.so 파일문자열검사를통한백도어키존재여부점검 - 해킹된파일예 : (pam_unix.so) -UN*X-PASS KiTrap0DExp!!! à 백도어키 Password: %s :: %s à 키로깅관련문자열 예방및점검 shift key 방법를 5번연속으로누를경우, - 해커가설치한악성코드실행여부확인

II-4. 해킹경유지위치 3 차 IDC? 재임대 국외 2 차 IDC? 국내 임대 1 차 IDC (Hosting) KISA

III-1. 3.20 사이버공격 Ø 사고개요도 해커조종서버 (C&C) 群 방송 / 금융사사내전산망 백신등 S/W 배포서버 원격조종 원격조종 원격조종 내부직원악성코드감염경로 1 악성코드첨부메일전송 2 원격제어악성코드감염 3 디스크파괴용악성코드게시 (3.20 13:49) 서버 4 디스크파괴용악성코드전송 (3.20 14 시이전 ) 이메일 해커 홈페이지 1해킹후악성코드게시 해커조종 PC 또는서버 직원PC 5 감염PC 디스크파괴 (3.20 14시이후 ) ATM 직원 PC / ATM 미확인 확인

III-2. 3.20 사이버공격과기존공격비교 구분 7.7 DDoS 3.4 DDoS 농협 3.20 공격 공격유형 DDoS 공격 DDoS 공격 APT 공격 APT 공격 공격대상 국내외 36개기관국내 40개기관농협방송 금융 6개사웹서버웹서버전산서버업무용 PC 공격준비기간 - - 최소 7개월이상 최소 9개월이상 악성코드감염시스템 좀비 PC (115,044 대 ) 좀비 PC (116,299 대 ) 내부망접근가능한 노트북 내부망백신업데이트 서버및업무 PC (48,700 여대 ) 악성코드 특성감염경로분석방해기술적용 사전확보된내부망사전계획된목표지사전계획된목표지사전계획된목표지접근가능한관리자 PC 서버해킹을통한 DDoS 공격 DDoS 공격를통한서버공격내부망연결PC 공격불특정다수의불특정다수의하드디스크손상하드디스크손상하드디스크손상하드디스크손상 (273대) (48,700여대) (1,466대) (756대) 웹취약점, 이메일등에웹하드취약점이용웹하드취약점이용웹하드취약점이용의한내부PC( 추정 ) 내부망접근가능한일반사용자 PC 일반사용자 PC 또는보안에취약한노트북서버

III-3. 3.20 사이버공격피해원인 Ø 관리자 PC 보안미흡 Ø 관리자 PC에사내서버접속정보보관 Ø 서버접근이관리자 IP 이외도가능 Ø 웹서버보안미흡 ( 웹셸업로드 ) Ø 보안패치미흡 Ø 업데이트파일의무결성검증미흡 Ø 업데이트서버의취약한인증 Ø 서버내방화벽설정에서타서버접근허용 Ø 개발서버가동일망에존재 Ø 디폴트비밀번호사용 Ø 불필요한명령어사용제한없음

III-4. 3.20 사이버공격피해사이트의문제점 Ø 해커는각기관별로가장취약한부분을공격 관리자 PC, 보안관리서버, 웹서버, 영업점 PC, 그룹웨어 종단점 (End Point) 중심의보안관리를전사적차원의모든플랫폼과장치로확장 Ø 자동패치및업데이트시스템은해커의주요공격대상 업데이트서버 A, 업데이트서버 B, 그룹웨어 사내망의주요자원에대한접근제어, 인증, 무결성검증등통제수단마련 Ø 경영진과업무담당자의낮은보안인식

III-5. 3.20 사이버공격이후 Ø Ø 사이버위협대응체계즉응성강화 사이버안보컨트롤타워, 실무총괄등소관분야별대응체계확립 동시상황전파체계구축, 중요사고에대한상호협력및공조강화 유관기관스마트협력체계구축 국가차원의사이버위협정보공유시스템구축 민간부문과의정보제공, 협력을강화 Ø 사이버공간보호대책견고성보강 집적정보통신시설, 의료기관등을포함하여주요정보통신기반시설확대 주요민간기업에대해정보보호관리체계인증대상확대, 중소기업보안취약점점검및교육 지원 Ø 사이버안보창조적기반조성 최정예정보보호전문가양성사업확대및영재교육원설립등인력양성프로그램추진 미래시장선점을위한 10 대정보보호핵심기술선정과연구개발을통해기술경쟁력강화

III-6. 북한제작추정악성코드로인한정보유출 해커 1 정보유출을위한메일계정생성 (iop110112@hotmail.com 등 2 개 ) 4 악성코드감염 3 최초악성코드가이메일등을이용하여최초악성코드유포 2 악성코드추가유포를위한메일계정생성후, 메일함에악성코드를포함한메일생성 (lovest000@mail.bg 등 8 개 ) 8 개의불가리아메일계정포함 id : lovest000 pw : 5tgb%5EYHN 5 불가리아메일계정을통해감염 PC 정보를 hotmail 메일계정으로유포 6 추가악성코드 5 종다운로드 감염 PC 불가리아메일계정 7 불가리아메일계정을통해아래한글문서등을 hotmail 메일계정으로유포 hotmail 메일계정

IV-1. 사이버공격예방과대응 (1/4) Ø APT 공격예방을위한 10 가지방안

IV-1. 사이버공격예방과대응 (2/4) Ø 경영진, 보안담당자 1 조직의핵심자산파악 - 기업이보유하고있는방대한자산을파악하여체계적이고효율적으로관리 - 자산관리정책수립, 자산의조사및식별, 자산의분류및등록등필요 2 경영진부터일반직원까지보안필요성을인식 - 사회공학을이용한악성코드감염등에대비하기위한임직원들에대한주기적인보안교육 3 체계적인보안을위해보안관리체계구축 - 조직의정보보호정책을수립하여체계적인관리및운영을지속 - ISMS, PIMS, ISO27001 등필요한관리체계를구축하고강화 4 CERT 등 IT 보안을위한전담팀구축 - APT 공격에대한침해사고를예방, 대응을위해구축 - 보안총괄책임자 (CSO), 정보보호책임자 ( 보안팀장 ), 정보보호담당자, 보안관제담당자로나뉨

IV-1. 사이버공격예방과대응 (3/4) Ø IT 및보안담당자 6 사용자별접근권한을다르게설정 - APT 공격은취약한단말을경유하여시스템에접근하므로중요정보에대한접근권한관리 7 외부로부터의공격, 내부로부터의정보유출지점파악 - 사전에정보가유출될수있는지점파악 ( 유선, 무선네트워크, USB 등보조기억매체 ) 8 망분리 - 인터넷망과업무망및중요서버망등에대한망분리필요

IV-1. 사이버공격예방과대응 (4/4) Ø 보안담당자, 임직원 5 핵심자산의접근은최소인원만허가하고관리 - 인사정보, 개인정보등주요정보는최소한의허가된자만접근 9 보안업데이트, 최신백신설치등악성코드침투예방 - 보안업데이트, 허가된프로그램사용, 수상한이메일열람금지, 불법 sw 미사용등 10 핵심자산을보호하기위한보안솔루션도입 - 암호화, 데이터유출방지, 외부악성코드유입방지등기능을하는보안솔루션도입 - 다수업체가보안솔루션출시

IV-2. 기본에충실 (1/4) 최소 8 자이상의길이숫자, 문자, 특수문자등최소 3 가지이상조합전화번호, 생일, 주민번호등개인정보사용금지반복되는문자나사전에있는단어금지주기적으로변경 www.kisa.or.kr

IV-2. 기본에충실 (2/4)

IV-2. 기본에충실 (3/4) 스팸, 스미싱차단등을위한보안앱설치 통신사의스팸필터링, 보안앱 폰키퍼, 문자키퍼 알수없는출처로부터앱을설치하지않도록체크해제 부재중전화 ( 원링 ), 知人가장, 호기심자극등의문자 이메일에회신금지

IV-2. 기본에충실 (4/4) 1. password 2. 123456 3. 12345678 4. abc123 5. qwerty 6. monkey 7. letmein 8. dragon 9. 111111 10. baseball 11. iloveyou 12. trustno1 13. 1234567 14. sunshine 15. master 16. 123123 17. welcome 18. shadow 19. ashley 20. football 21. jesus 22. michael 23. ninja 24. mustang 25. password1 출처 : SplashData ( 2012.10.25) 내비밀번호는안전할까? http://howsecureismypassword.net cert1234 => 11minutes qhdks1234 => 7hours

아름다운인터넷, 안전한인터넷세상 한국인터넷진흥원이 만들어나가겠습니다.