February NO.36 CONTENTS 특별기고 1 금융보안연구원현황소개 2 월간사이버위협동향및대응활동 월간공공분야공격시도탐지현황 월간공공분야사이버침해사고현황 국내 외주요취약점발표동향 사고사례 33 기관내부망문

Monthly 사이버시큐리티 2007 년 2 월호

February 2 2007 NO.36 CONTENTS 특별기고 1 금융보안연구원현황소개 2 월간사이버위협동향및대응활동 11 1. 월간공공분야공격시도탐지현황 12 2. 월간공공분야사이버침해사고현황 18 3. 국내 외주요취약점발표동향 24 4. 사고사례 33 기관내부망문서, 인터넷유출사고발생

특별기고 금융보안연구원현황소개

금융보안연구원현황소개 성재모 금융보안연구원보안기술팀장 1. 설립추진배경 2005년 5월국내최초로발생한인터넷뱅킹해킹사고를계기로국민들이안심하고전자금융거래를할수있도록정보통신부, 산업자원부, 금융감독위원회 ( 원 ) 가공동으로수립한 전자금융거래안전성강화종합대책 이발표되었다. 경제정책조정회의보고내용 (2005.9.16) 금융부문해킹대응을위한전담조직설립검토 일회용비밀번호발생기공통사용을위한통합인증센터기능 국가사이버안전센터, 한국정보보호진흥원등으로부터제공되는해킹프로그램에대한적용, 테스트및대응방안수립 시행 금융부문정보보호제품성능등에대한적합성시험 2 Monthly 사이버시큐리티

금융보안연구원현황소개 이에따라, 전자금융거래의안전성및신뢰성을제고하기위해전자금융거래전반에걸친전자적침해대응업무를수행하고, 특히 2005년발생한인터넷뱅킹사고와같이금융기관과이용자사이에발생하는보안문제, 이용자 PC 등에사용되는보안모듈의점검과안전성강화에주력하기위해금융권공동의보안전담기구설립을추진하게되었다. 2. 설립추진경과 보안전담기구설립추진방안마련 (2005.12) 보안전담기구 설립추진위원회 와 실무추진반 구성 운영 (2006.1.16) 설립추진위원회회의개최 2006.1.16(1차 ), 2006.2.13(2차 ), 2006.4.3(3차 ), 2006.5.3(4차 ), 2006.6.13(5차 ) 금융기관실무담당자업무협의및의견수렴 은행, 증권, 보험, 비은행금정협실무협의회개최 ( 총 8회 ) 사단법인 금융보안연구원 설립을위한창립총회개최 (2006.6.14) 금융감독위원회허가 ( 은행감독과-1396, 금감위의결 2006.9.29) 및금융보안연구원설립등기 (2006.10.4) www.ncsc.go.kr 3

특별기고 금융보안연구원임시총회및이사회개최 (2006.10.23) 145개금융기관대상사업추진방향및업무설명회 (2006.11.7) 금융보안연구원개원식 (2006.12.21) 윤증현금융감독위원회위원장, 국가사이버안전센터 (NCSC) 센터장, 한국정보보호진흥원 (KISA) 원장등외빈 70여명참석 [ 그림 1] 금융보안연구원개원식 4 Monthly 사이버시큐리티

금융보안연구원현황소개 3. 조직구성 총회 의장 : 연구원장 구성 : 원장및회원 감사 이사회 구성 : 상임임원및비상임이사 7 인 기능 : 기구운영에관한최고의사결정 원장 금융보안및 OTP 통합업무총괄 경영관리팀 * 보안기술팀 인증관리팀 대외협력팀 전체시설관리 조직 인력관리 해킹프로그램테스트 대응 정보보호제품적합성테스트 정보보호, 금융 I T 정책연구 개발 금융정보보호협의회업무지원 OTP** 통합인증센터관리 OTP 활용기술개발 OTP 업체관리 대외업무협력 회원기관간관계조정등 이해 * 대외협력팀장이경영관리팀장겸임 ( 금감원부국장파견 ) ** 일회용비밀번호 (One Time Password) [ 그림 2] 조직구성도 www.ncsc.go.kr 5

특별기고 4. 주요수행사업 금융보안연구원의주요수행사업은다음과같다. 첫째, 전자금융신규보안취약점, 위협에대한신속하고상시적인분석및대응을수행하고있다. 이를위하여인터넷침해사고전문기관인국가사이버안전센터 (NCSC), 한국정보보호진흥원 (KISA) 등이제공하는위협요소를활용하여금융기관의안전성을점검하고이에대한대응방안을수립하고있다. 둘째, 급속히발전하는금융 IT환경에적용되는보안제품에대한적합성테스트를수행하고있다. 마지막으로, 고객의편의성을높이고금융기관의중복투자를제거하기위해금융기관 OTP 통합인증센터를구축하여운영중에있다. 금융보안연구원정관에정의된주요사업 1. 금융IT 및정보보호에관한정책연구 개발 2. 금융부문정보보호제품개발및적합성테스트 3. 해킹, 피싱등금융부문전자적침해에대한대응조치및방안수립 4. 금융기관 OTP 통합인증센터운영및관리 5. 국내 외정보보호유관기관과협력채널구성 6. 금융부문정보보호에대한홍보교육기술지원및자문 7. 기타연구원의목적달성에필요한사업 6 Monthly 사이버시큐리티

금융보안연구원현황소개 5. 2007년도업무추진계획금융보안연구원은최근주요이슈가되고있는윈도우비스타에대한국내보안제품의호환성을확보하는데심혈을기울이고있다. 2007년 1월 MS사의지원을받아금융기관을대상으로 전자금융거래윈도우비스타호환성대응방안교육 을개최하였으며, 86개금융기관에서총 180여명이참석한바있다. 전자금융거래윈도우비스타호환성대응방안교육 (2007.1.9) 86개금융기관 180여명참석 ( 장소 : 전경련대회의실 ) 주요내용 비스타환경에서의전자금융거래테스트사례 인터넷익스플로러 7.0 및윈도우비스타호환성이슈 테스트방법소개및시연 [ 그림 3] 전자금융거래윈도우비스타호환성대응방안교육 www.ncsc.go.kr 7

특별기고 금융보안연구원에서계획중인 2007년도주요업무를소개하자면, 첫째, 금융부문전자적침해대응조치및방안수립을위해최신악성코드및취약점정보를수집하고피싱대응방안을수립하여적절한조치를취할계획이다. 또한, 은행, 증권, 보험, 카드등금융권역별로제공하는전자금융서비스에대한보안취약점점검을수행하고대응방안을수립하여회원사에도움을제공할것이다. 둘째, 금융IT 및정보보호에관한대책지원을위해국내 외금융IT 보안동향을분석하여주요보안이슈정보를회원사에제공하고있다. 또한, 금융분야에운영중인정보보호인력, 제품등에관한보안현황을상세하게파악하고분석하여금융기관의보안관리자및전자금융거래이용자를위한보안가이드라인을개발할예정에있다. 셋째, 금융분야보안제품에대한적합성시험을수행하기위해보안적합성시험절차와방법을개발하고있다. 8 Monthly 사이버시큐리티

금융보안연구원현황소개 마지막으로, 2007년상반기까지 OTP 통합인증센터구축을목표로운영위원회구성 운영, OTP 업체선정등을체계적으로준비하고있다. OTP 통합인증센터구축시기대효과 피싱, 스파이웨어등인터넷해킹위험에대비하여전자금융거래의안전성강화 금융기관이개별적으로 OTP 구축시개인별 2~3개의 OTP를휴대함으로써예상되는고객불편사항사전방지 금융기관은고객에게발급된 OTP 기기를공동사용하며, OTP 인증센터를통합적으로운영함으로써비용절감 6. 국내 외정보보호협력추진방안 금융보안연구원 (www.fsa.or.kr) 은금융부문의전자적침해에대한공동대응을위해국내유관기관과협력을강화하고있다. 원활한정보공유및상호교류를위해국가사이버안전센터에서주관하는 국가침해사고대응전문기관협의회 에참여할예정이며, 한국정보보호진흥원, 검찰청, 경찰청, 금융ISAC 등과도공조를강화하는데노력하고있다. 한편한국침해사고대응팀협의회인 CONCERT에도가입하여국내 CERT기관들과의정보교류와공동대응이가능하도록협력체계를구축할예정이다. 또한피싱 해킹등의해외동향파악을위해 FIRST(Forum of Incident Response and Security Teams), APWG(Anti-Phishing Working Group), BITS Security Lab 등과국제협력채널을구축하고있다. www.ncsc.go.kr 9

특별기고 APWG는 2007년 1월 17일에가입을완료하였으며, 금융분야보안적합성시험을위해미국의 BITS Security Lab을벤치마킹할예정이다. 금융보안연구원은피싱 해킹등금융부문침해에대한신속하고상시적인분석및대응, 금융기관 OTP 통합인증센터구축등을수행하는동시에, 국내 외유관기관과의체계적인대응을통해모든국민들이전자금융거래를안전하게이용할수있도록최선을다할것이다. 10 Monthly 사이버시큐리티

사이버위협동향및대응활동 월간공공분야공격시도탐지현황 월간공공분야사이버침해사고현황 국내 외주요취약점발표동향 사고사례 기관내부망문서, 인터넷유출사고발생

사이버위협동향및대응활동 1 트래픽동향 1월일일평균트래픽 1) 은전월대비 9.13% 증가하였고, 유해트래픽또한 12.77% 증가한것으로나타났다. 이는해외로부터웰치아웜트래픽과홈페이지취약점을이용한공격시도등전반적인사이버위협이증가한데기인한것이다. [ 표 1] 1월일일평균전체트래픽 / 유해트래픽발생 ( 단위 : bits) 트래픽 유해트래픽 기간 1월 12월 1월 12월 평균 384,949G 352,744G 16,171M 14,340M 최대 636,053G 663,800G 742,954M 707,575M 1) 8G 백본망에서수집한데이터를분석한자료로국가전체트래픽현황을의미하지는않음 12 Monthly 사이버시큐리티

February 월간공공분야공격시도탐지현황 2 공격탐지동향 1월일일평균공격탐지건수는 71만여건으로지난달 69만여건대비 2.89% 증가하였다. 해외로부터유입된웰치아웜관련이벤트인 icmp ping webtrends scanner(69% ) 와 icmp host scanning(65% ) 이벤트그리고 MS사 IIS 웹서버의디렉토리목록을검색하는 http iis webdav search(298% ) 이벤트는대폭증가한반면 tcp service scan 등사전정보수집을위한공격시도는감소한것으로나타났다. [ 표 2] 1 월공격유형별발생건수 ( 단위 : 건 / 일 ) 순위이벤트건수 12월 ( 순위 ) 1 Tcp service scan 71,610 117,077 (1) 2 snmp show interface 60,777 65,157 (4) 3 icmp ping webtrends scanner 51,512 30,345(-) 4 http iis webdav search 47,222 28,451(-) 5 icmp host scanning 47,183 11,849(-) 기타 icmp ping reply webtrends scanner 등기타 440,481 443,780 합계 718,785 695,659 그밖에윈도우운영체제의취약점을이용한시스템권한획득공격인 microsoft windows ssl pct buffer overflow 이벤트가일평균 3,983건에서 6,338건으로약 59% 증가하였다. 이는개인 PC 內중요자료를절취하고자하는해커들이윈도우운영체제의취약점을악용하는사례가증가한데따른것으로최신보안패치설치및실시간백신운영등주기적인보안관리를통해 공격을사전에방지할수있다. www.ncsc.go.kr 13

월간사이버위협동향및대응활동 February 3 사이버위협동향 MS사가 1월 10일윈도우및인터넷익스플로러 (IE) 에원격코드실행으로관리자권한탈취가가능한신규보안취약점 (4건) 을발표하였다. 주요특징으로 MS사오피스프로그램인엑셀에서파일구문분석을처리하는과정에악성코드등임의의코드를실행시킬수있는취약점이존재한다는점등이있었다. 이러한오피스프로그램에대한사이버위협이날로증가하는추세에있어사용자들의각별한 PC 보안관리가요구된다. 또한해킹피해가우려되는 MS사의윈도우탐색기를이용한서비스거부공격및 Adobe사 Acrobat 플러그인 (PDF 리더 ) 취약점에대해서는탐지기법을개발하여관제시스템에적용하고모니터링을실시하였으나현재까지이를악용하려는공격징후는발견되지않았다. 이외에 긴급날씨속보 등의제목으로이메일열람을유도하여악성코드를감염시키는스톰 (Storm) 2) 웜 바이러스가 1월 20일이후확산되고있다. 웜 바이러스에감염되면 UDP/4000, 7871포트를통해암호화된 P2P 통신채널을맺는특징이있으므로, 보안관리자는 포트에대한모니터링을강화하고내부사용자들이출처가분명하지않은메일은삭제토록권고하는등이메일관리에신경써야할것이다. 사이버안전센터는 1월 24일탐지기법 6종을신속히개발하여적용한결과 [ 그림 1] 과같이 5,356건이탐지되어대응하였으나실제감염피 2) Storm : 2007년 1월출현한스팸발송트로이목마로다양한제목의동영상파일을첨부하여이메일을통해확산되며감염시분당 3,500개의스팸메일발송 14 Monthly 사이버시큐리티

월간공공분야공격시도탐지현황 해사고는발생하지않았다. 그러나 1월 25일이후해외로부터 웜바이러스확산시도는꾸준히증가되고있는것을확인할수있다. ( 단위 : 건 ) 400 now max 200 min 0 last 00:00 12:00 00:00 12:00 00:00 12:00 00:00 12:00 01/20 01/23 01/26 01/29 [ 그림 1] 1 월 Storm 웜탐지건수 4 대응활동 1월 20일해커가피싱관련악성코드를유포하여동악성코드에감염된 PC사용자가국내특정금융기관인터넷뱅킹이용시위장홈페이지로접속시켜다량의개인금융정보를절취하는사이버공격이발생하였다. 최근이러한피싱 (Phishing) 은개인의금융정보를탈취하기위한수법일뿐만아니라악성코드를유포하는방법으로도활용되고있으므로사용자들은아래의피싱대응요령을숙지하여피해가발생되지않도록주의를당부한다. www.ncsc.go.kr 15

월간사이버위협동향및대응활동 February 피싱대응요령 윈도우최신보안패치, 백신소프트웨어설치및실시간감시기능사용 인터넷뱅킹등금융거래홈페이지로이동시전자우편, 메신저, 홈페이지링크를통해이동하지말고가급적주소를직접입력해서방문 금융기관홈페이지이동시이동할곳의홈페이지주소 (URL) 확인 인터넷민원발급및금융거래를위한공인인증서는개인PC에저장하지말고휴대용저장장치 (USB 메모리등 ) 에저장해서사용 링크를통해이동한사이트에서금융개인정보입력을유도하면피싱으로의심하고국가사이버안전센터 (www.ncsc.go.kr) 에신고할것 사이버안전센터는이와관련하여악성코드방지를위해탐지기법 7종을개발하여관제활동을강화한결과아래 [ 그림 2] 와같이 7,891건을탐지하였으나국가 공공기관피해는발생하지않았다. ( 단위 : 건 ) 400 300 now max 200 100 0 03:50 03:50 03:50 03:50 01/01 last [ 그림 2] 1 월피싱탐지건수 16 Monthly 사이버시큐리티

월간공공분야공격시도탐지현황 한편보안관리가미흡한국내홈페이지를피싱사이트로악용하는사고는 2006년 11월 19건, 12월 48건에서 2007년 1월 60건 ([ 그림 3] 참조 ) 으로지속적으로늘어남에따라, 사이버안전센터는각급기관에관련탐지기법을지원하고보안관제활동을강화하고있다. 6 5 4 3 2 1 0 1.1 1.3 1.5 1.7 1.9 1.11 1.13 1.15 1.17 1.19 1.21 1.23 1.25 1.27 1.29 1.31 [ 그림 3] 1 월피싱사이트악용사고현황 www.ncsc.go.kr 17

February 1 침해사고주요동향 1월은정보유출목적으로제작된리니지핵등의악성코드감염사고가지속적인증가추이를보였다. 특히, 모든기관에걸쳐악성코드감염사고건수가증가하고있는데, 이는국내백신에서탐지못하는변종이하루에도 5개이상씩발생하는이유도있지만악성코드유포경유지로악용되는홈페이지들의보안관리부실과개인 PC의최신보안패치적용미흡에기인하기도한다. 사고유형별로는악성코드감염사고와더불어피싱등경유지악용사고가대폭증가하였고홈페이지변조, 자료훼손및유출사고도소폭증가하였다. 18 Monthly 사이버시큐리티

월간공공분야사이버침해사고현황 대다수기관의침해사고가증가하는것과달리연구기관은감소하고있는데이는 과학기술정보보호센터 및관련기관의사이버보안대응체제가정착단계에이르는등전반적인보안수준이강화됨에따른것이다. 2 사고발생현황 전월에비해 420건 (49%) 이증가한 1,270건으로지난해 10월이후가파른증가추세를보이고있다. 사고유형별로는악성코드감염사고가전월대비 51%, 사고기관별로는국가기관이 74% 급증하였다. 기관 유형 악성코드감염 경유지악용 홈페이지변조 ( ) 안은전월대비주요변동의증감수치이며, 웜 바이러스감염은악성코드감염에포함함 [ 그림 1] 1 월사고발생현황 자료훼손및유출기타합계 국가기관 152( 64) 3 2 1 0 158( 67) 지자체 607( 230) 8 3 2 0 620( 230) 연구기관 3 2 1 3 0 9 교육기관 241( 50) 79( 24) 10 1 1 332( 74) 산하기관 129( 44) 13 3 2 0 147( 48) 기타 0 1 0 3 0 4 합계 1132( 380) 106( 30) 19 12 1 1270( 420) 사고유형별로보면악성코드감염, 경유지악용 1), 홈페이지변조, 자료훼손 유출순으로, 사고기관별로는지자체, 교육기관, 국가기관, 산하기관, 연구기관순으로나타났다. 1) 경유지악용 : 해커가보안에취약한시스템을해킹한뒤, 이를이용하여 전산망을스캐닝하거나피싱사이트, 해킹파일유포사이트등을무단개설하는수법 www.ncsc.go.kr 19

월간사이버위협동향및대응활동 February 홈페이지변조 1% 자료훼손및유출 1% 경유지악용 8% 악성코드감염 90% 국가기관 12% 교육기관 26% 산하기관 12% 지자체 49% 연구기관 1% [ 그림 2] 1 월사고유형별분포 [ 그림 3] 1 월사고기관별분포 3 주요동향별세부현황 가. 월별침해사고추이특징 침해사고는 6개월째증가추세가이어지고있는데이는정보절취목적의악성코드변종이지속증가되고있을뿐만아니라탐지기술이고도화됨에따라악성코드감염탐지건수가증가함에기인한다. 1400 1200 1270 1000 800 600 400 200 283 319 244 294 275 269 280 287 544 356 850 평균 439 0 06.2 06.3 06.4 06.5 06.6 06.7 06.8 06.9 06.10 06.11 06.12 07.1 [ 그림 4] 최근 1 년간월별사이버침해사고발생추이 20 Monthly 사이버시큐리티

월간공공분야사이버침해사고현황 나. 연구기관침해사고 2005 년 7 월이후최저치기록 연구기관의침해사고는지난 1년 6개월간 10건이상이발생되었고 2006년 5월 54건의최고치를기록하기도하였으나 2005년하반기에개소한 과학기술정보보호센터 의 24시간관제체제돌입과기관의적극적인사이버보안개선노력에따라점차사고가감소하여금월은 9건으로 2005년 7월이후최저치를기록하였다. 국가사이버안전센터는행자 국방 정통부등각급기관별 11개부문관제센터와신종해킹수법탐지기술및유해 IP를공유하는등국내사이버침해사고예방업무에주력하고있다. 앞으로정부주요분야별자체보안관제센터가활성화되면체계적인국내사이버보안대응체제가마련될것으로기대된다. 60 54 50 40 30 20 10 17 16 25 28 16 20 14 20 11 11 9 0 06.2 06.3 06.4 06.5 06.6 06.7 06.8 06.9 06.10 06.11 06.12 07.1 [ 그림 5] 최근 1 년간월별연구기관침해사고발생추이 www.ncsc.go.kr 21

월간사이버위협동향및대응활동 February 다. 악성코드감염사고의급증 악성코드감염사고는지난해 4월이후지속증가하여금월에는 1,132건으로 1천건을넘어섰다. 1200 1000 800 600 400 200 0 114 148 75 82 413 115 130 144 182 247 752 1132 06.2 06.3 06.4 06.5 06.6 06.7 06.8 06.9 06.10 06.11 06.12 07.1 [ 그림 6] 최근 1 년간월별악성코드감염사고발생추이 악성코드감염사고기관비율은지자체가여전히전체악성코드감염사고의 55% 를차지하며, 피해가많은기관으로분류되고있다. 다른기관들역시, 악성코드감염사고가각각 100건을넘어서고있어그피해가매우심각한형편이다. 교육기관 21% 산하기관 11% 국가기관 13% 지자체 55% 22 Monthly 사이버시큐리티

월간공공분야사이버침해사고현황 악성코드주요유형은리니지핵 2) 등온라인게임인증정보 주민등록번호등개인정보를절취하려는목적으로제작된프로그램이대부분이다. 최근이러한악성코드의주감염경로는 SQL-Injection 해킹수법 3) 에취약한 IIS기반홈페이지가원인인데, 해커는취약한홈페이지에침투한뒤해킹프로그램을은닉, 방문자에게무차별살포하는방법으로개인정보를절취하고있다. 따라서개인PC 사용자는신뢰할수없는사이트로의방문을자제하여야하고평소최신보안패치를적용해야피해를예방할수있다. 기관정보보안담당자는소속홈페이지가해킹경유지로악용되지않도록국가사이버안전센터의홈페이지보안관리매뉴얼을참조하여주기적으로취약점존재유무를점검하고보안에취약한홈페이지를개편하는한편, 중 장기적으로는웹방화벽설치를검토할필요가있다. 그밖에이번달에는해외에많은피해를입힌스톰웜 (Storm Worm) 이공개되었으나국내에서는큰피해를입히지못하였다. 그리고, 월말부터제로보드 4) 취약점을악용한해킹시도가증가하고있으므로각급기관에서는해당프로그램의최신버전적용등보안관리에더욱주의하여야겠다. 2) 리니지핵 (Lineage Hack) : 우리나라온라인게임사용자 PC를해킹, 회원정보및사이버머니탈취를위해해커가제작한악성프로그램으로사용자정보 (ID) 와패스워드등개인정보를해커에게전송, 정보절취용으로악용 3) SQL-Injection 해킹 : 웹주소창에서 SQL문에사용되는문자기호의입력을적절히검증하지않아조작된 SQL 문으로데이터베이스에무단접근, 자료를유출 변조할수있는취약점으로최근에는자동해킹도구가유포되어피해가심각 4) 제로보드 : 2,000년국내에서개발된무료홈페이지게시판프로그램으로 2005년 1월보안취약점이공개되어다수의국내홈페이지가변조피해를입은바있음 www.ncsc.go.kr 23

February 1 MS Windows 보안업데이트 (MS07-01~04) MS 는 1월 10일윈도우및인터넷익스플로러에서발생하는원격코드실행등이가능한 4건 ( 긴급3, 중요1) 의보안취약점에대한정기보안업데이트를발표하였으므로각급기관은해당시스템에대한보안업데이트를조속히설치하여야한다. 1) Microsoft Office 2003 포르투갈어 ( 브라질 ) 문법검사의취약점으로인한원격코드실행문제점 ( 중요, 921585) Office 2003에서포르투갈어 ( 브라질 ) 문법검사과정에원격코드실행취약점이존재하여동취약점을이용한악의적인문서를열람할경우공격자의임의의코드가실행되어시스템이장악될수있다. 24 Monthly 사이버시큐리티

국 내외주요취약점발표동향 관련취약점 : Office 2003 포르투갈어 ( 브라질 ) 문법검사취약점 (CVE-2006-5574) 2) Microsoft Excel 의취약점으로인한원격코드실행문제점 ( 긴급, 927198) Excel에서파일구문분석, IMDATA 레코드, 색상표레코드등을처리하는과정에취약점이존재하여공격자는사용자에게조작된문서를열람토록유도, 악성코드등임의의코드를실행실행시킬수있다. 관련취약점은다음과같다, Excel 조작된 IMDATA 레코드취약점 (CVE-2007-0027) Excel 조작된레코드취약점 (CVE-2007-0028) Excel 조작된문자열취약점 (CVE-2007-0029) Excel 조작된색상표레코드취약점 (CVE-2007-0031) 3) Microsoft Outlook 의취약점으로인한원격코드실행문제점 ( 긴급, 925938) Excel에서구문분석, 메일헤더정보등을처리시원격코드및서비스거부공격이가능한취약점이존재하여공격자는사용자에게악의적으로조작된메일메시지를열람토록유도하여시스템장악이가능하다. 관련취약점은다음과같다. Microsoft Outlook VEVENT 취약점 (CVE-2007-0033) Microsoft Outlook 서비스거부취약점 (CVE-2006-1305) Microsoft Outlook 상세하게찾기취약점 (CVE-2007-0034) 4) 벡터표시언어의취약점으로인한원격코드실행문제점 ( 긴급, 929969) VML 에버퍼오버플로우가가능한취약점이존재하여공격자에의해악 www.ncsc.go.kr 25

월간사이버위협동향및대응활동 February 의적으로제작된웹페이지를방문할경우악성코드등임의의코드실행이가능하다. VML(Vector Markup Language) : xml 태그를이용하여간단하게웹페이지에그림을그릴수있도록하는벡터그래픽구현기술 관련취약점 : VML 버퍼오버런취약점 (CVE-2007-0024) 취약점제거를위한보안패치는다음사이트에서다운받을수있다. http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko 이번취약점과관련된기술자료문서 http://download.microsoft.com 2 Microsoft Word 2003 알려지지않은코드실행취약성 Microsoft Word 2003에서메모리손상취약성으로인해발생되는원격코드실행취약성이 1월 31일발견되었다. 현재이취약성의정확한원인은알수없으나, 완전히패치된 Windows XP 시스템에설치된 Word 2003에서코드실행이가능한것으로확인되었다. 현재이취약성에대한연구가진행중이다. 분석이완료되면, 추가적인정보가제공될예정이며, 아직확인되지는않았으나, 다른버전의 Microsoft Word/Office도이취약성에영향을받을수있다. 공격자는피해사용자에게악성 Word 파일을열도록유도하는방법으로이취약성을공격할수있을것이다. 공격에성공하면, 현재로그인 26 Monthly 사이버시큐리티

국 내외주요취약점발표동향 된사용자의컨텍스트에서임의의코드를실행할수있을것이다. 참고로, 이취약성은 BID 22225(Microsoft Word 2000 알려지지않은코드실행취약성 ), BID 21589(Microsoft Word 코드실행취약성 ), BID 21451(Microsoft Word 알려지지않은원격코드실행취약성 ), 그리고 BID 21518(Microsoft Word 알려지지않은코드실행취약성 ) 에설명된취약성과는다른취약성이다. 공격자는이취약성을이용하도록설계된악성 Word 파일을제작한후피해사용자에게이파일을배포하거나혹은웹상에올려놓은후, 사용자가해당파일을열도록유도한다. 피해사용자가이파일을열때, 공격자가제공한코드가실행되면공격자가취약한애플리케이션을실행중인해당사용자의컨텍스트에서임의의코드를실행할수있다. 현재이취약점과관련된보안패치가발표되지않고있으므로각기관담당자는의심이되는파일실행시주의가필요하다. 이번취약점과관련된기술자료문서 http://www.symantec.com/enterprise/security_response/ writeup.jsp?docid=2007-013010-5422-99 http://www.symantec.com/enterprise/security_response/ weblog/2007/01/multiple_organizations_targett.html 3 Microsoft Word 2000 알려지지않은코드실행취약성 Microsoft Word 2000에서메모리손상에의해원격코드실행이가능한알려지지않은취약성이 1월 25일발견되었다. 현재이취약성의정확한원인은알려져있지않으나, Word 2000에서는코드실행이, Word 2003/XP에서는서비스거부가발생하는것으로확인되었다. 현재이 www.ncsc.go.kr 27

월간사이버위협동향및대응활동 February 취약성에대한연구가진행중이며, 분석이완료되는대로자세한내용이발표될예정이다. 공격자가피해사용자로하여금악성 Word 파일을열어보게유도하는방법으로이취약성을공격할수있을것이다. 공격에성공하면, 현재로그인된해당사용자의컨텍스트에서임의의코드를실행할수있다. Word 2003/XP에대해공격을시도하면, CPU 리소스를모두이용하게됨에따라서비스거부가발생되며, 결국정상사용자들에대한서비스가거부되게된다. 현재이취약점과관련된보안패치가발표되지않고있으므로각기관담당자는의심이되는파일실행시주의가필요하다. 이번취약점과관련된기술자료문서 http://office.microsoft.com/en-us/fx010857991033.aspx http://www.uscert.gov/current/current_activity.html#mswddrpr0d 4 다수의 VOIP 폰 Aredfox PA168 칩셋세션가로채기취약성 Aredfox PA168은프로그래밍이가능한 VOIP-기반장치용칩이다. Aredfox PA168 칩셋을사용하는다수의 VOIP 폰에서설계오류로인한세션-가로채기취약성이발견되었다. 특히, 이취약성은취약한장치의펌웨어에내장된웹서버에존재한다. 이웹서버는사용자의세션을적절히처리하지못해, 공격자가 Active 세션들에액세스할수있다. 정상사용자가인증받을때세션이 Active 되며, 사용자와서버간에 HTTP 메시지가교환될때아무런세션토큰이나비밀번호정보도사용되지않는다. 이취약성은웹서버가 Active-Session 상태인장치들에 HTTP 요청을보내는방법으로공격할수있을것이다. 공격자는이취약성을이용해, 취약한 28 Monthly 사이버시큐리티

국 내외주요취약점발표동향 장치에서실행중인웹서버를관리자권한으로액세스할수있다. 이를통해, 공격자가취약한장치를완전히장악할수있을것이다. SIP Firmware V1.42 및 1.54가설치된 Aredfox PA168 칩셋을사용하는 VOIP 폰들이취약하다. 공격자는이취약성을이용한공격을하기위해서우선네트워크를통해액세스할수있는취약한장치에서실행중인웹서버를발견한후유효한사용자가인증을획득해유효한세션이맺어지기를기다린다. 다음으로취약한장치에 HTTP 요청을보내, 인증을우회하고공격에성공하면, 원격의공격자가사용자의세션을가로챌수있다. 이취약성도보안패치가아직발표되지않았다. 이번취약점과관련된기술자료문서 http://www.aredfox.com/eindex.htm http://www.soyogroup.com/products/proddesc.php?id=307 5 Oracle 2007 년 1 월보안업데이트다수의취약성 여러 Oracle 제품에서다수의취약성이보고되었다. 패치들이발표되었다. 일부취약성은취약한컴퓨터를완전히장악하는데이용될수있으며, 다른취약성들은대상컴퓨터의가용성, 기밀성, 혹은무결성에부분적으로영향을미친다. 원격공격과로컬공격모두가능하다. Oracle Database Server에서발견된 17개취약점중중요취약점은다음과같다. www.ncsc.go.kr 29

월간사이버위협동향및대응활동 February DB01 : 이취약성은 Advanced Queuing 컴포넌트에영향을주며, Oracle Net 액세스가요구된다. 이취약성을공격하려면, 성공적인인증이요구된다. 공격에성공하면, 서버의기밀성과무결성을손상시킬수있다. 이취약성은 SYS.DBMS_AQ_INV 패키지의 SQL 삽입취약성이다. DB02 : 이취약성은 Change Data Capture 컴포넌트에영향을주며, Oracle Net 액세스가요구된다. 이취약성을공격하려면, 성공적인인증이요구된다. 공격에성공하면, 서버의기밀성과무결성을손상시킬수있다. DB03 : 이취약성은 Data Guard 컴포넌트에영향을주며, Oracle Net 액세스가요구된다. 이취약성을공격하려면, 성공적인인증이요구된다. 공격에성공하면, 서버의무결성과가용성을손상시킬수있다. 이취약성은 SYS.DBMS_DRS 의 GET- PROPERTY 함수에영향을주며, 버퍼오버플로우가발생될수있다. DB04 : 이취약성은 Log Miner 컴포넌트에영향을주며, Oracle Net 액세스가요구된다. 이취약성을공격하려면, 성공적인인증이요구된다. 공격에성공하면, 서버의무결성과가용성을손상시킬수있다. 특히, DBMS_LOGMNR 패키지의 ADD_LOGFILE 프로시저가버퍼오버플로우취약성에취약하며, 이로인해임의의코드가실행될수있다. DB05 : 이취약성은 Oracle Spatial 컴포넌트의 MDSYS.MD 패키지에영향을주며, Oracle Net 액세스가요구된다. 이취약성을공격하려면, 성공적인인증이요구된다. 공격에성공하면, 서버의무결성과가용성을손상시킬수있다. 공격자가이취약성을이용하여임의의코드를실행하거나서비스거부공격을수행할수있다. 30 Monthly 사이버시큐리티

국 내외주요취약점발표동향 OWF01 : 이취약성은 Oracle Workflow Cartridge 컴포넌트에영향을주며, HTTP 액세스가요구된다. 이취약성을공격하려면, 성공적인인증이요구된다. 공격에성공하면, 서버의무결성을손상시킬수있다. 취약점제거를위한보안패치는다음사이트에서다운받을수있다. http://www.oracle.com/technology/deploy/security/criticalpatch-updates/cpujan2007.html 이번취약점과관련된기술자료문서 http://www.securityfocus.com/archive/1/004401c744db$ 8c67fbe0$0d01a8c0@MyBabies http://www.securityfocus.com/archive/1/45ae6fd2.8010702 @isecauditors.com 6 Cisco IOS IPv6 소스라우팅원격메모리손상취약성 Cisco IOS에서원격메모리손상취약성이 1월 24일최초발견되었으며패치도발표되었다. Cisco IOS가비정상적인 IPv6 소스라우팅헤더를제대로처리하지못하여원격메모리손상취약성이존재한다. 이취약성은취약한라우터가특수하게제작된 Type 0 라우팅헤더들이포함된 IPv6 패킷을처리할때발생한다. 이헤더들은소스라우팅을지정하는데사용된다. IPv6를사용할수있도록설정되어있으면, 라우터에의해이헤더들이처리될수있다. Mobile IPv6 구현에사용되는 Type 2 라우팅헤더들은이취약성에영향을받지않는다. 영향을받는패킷의특성상, IP 소스주소가위조될수있으며, 공격자가이를이용하여자신의출처를알수없게하거나네트워크 ACL을우회할 www.ncsc.go.kr 31

월간사이버위협동향및대응활동 February 수있다. 악성패킷의수신지주소는대상라우터에정의된주소중하나이어야한다. 이주소에는 Global, Loopback, 또는 Link-Local 주소가포함된다. 공격에성공하면, 원격의공격자가취약한장비의메모리를손상시킬수있다. 이를통해, 공격자가제공한기계어코드를실행할수있다. 공격에실패할경우, IOS-기반장비의작동이중단될것이다. 공격자가공격을하기위해서는원격에서접속이가능하며, 취약한소프트웨어를실행중인네트워크장비를발견해야하며, 이장비는 IPv6 를사용하도록설정되어있어야한다. 다음으로공격자는 Type 0 라우팅헤더가포함된비정상적인 IPv6 패킷을제작한다. 이패킷에는실행가능한기계어코드및대체메모리주소가포함되게제작한후대상장비에악성패킷을전송한다. 장비가비정상적인패킷을처리하려고할때취약성이발생하게되고, 공격에성공하면취약한장비를원격에장악할수있다. 실패할경우, 장비의작동이중단되어정상사용자들에대한서비스가거부될수있다. 취약점제거를위한보안패치는다음사이트에서다운받을수있다. http://www.cisco.com/warp/public/707/cisco-sa- 20070124-IOS-IPv6.shtml 이번취약점과관련된기술자료문서 http://www.securityfocus.com/advisories/11855 http://www.kb.cert.org/vuls/id/274760 32 Monthly 사이버시큐리티

사고사례 OO 기관내부망문서, 인터넷유출사고발생 1 개요 국가사이버안전센터는 기관의내부문서자료가인터넷 P2P(Peer to Peer) 사이트에서검색된다는신고를받고사고조사를실시하였다. 해당기관은인터넷 PC와업무용 PC가분리된 [ 그림 1] 과같은업무망분리기관으로확인되었기때문에, 업무용 PC의자료가인터넷상에서검색된다는것은 USB등의휴대용저장장치에내부문서를보관하다가인터넷 PC에연결, 사용하면서유출되었을것으로추정되었다. www.ncsc.go.kr 33

월간사이버위협동향및대응활동 February 인터넷 인터넷망 내부폐쇄망 방화벽 인터넷서버 업무망서버 인터넷 PC 인터넷 PC 내부업무망 PC 내부업무망 PC [ 그림 1] 업무망분리개념도 조사결과, 해당인터넷 P2P에접속된시스템이업무용 PC 자체로밝혀졌는데, 사용자는인터넷 PC가고장나자업무용 PC에인터넷랜선을연결하여임시로 P2P 프로그램을사용하던중 PC에저장되어있던다량의내부문서가유출된것으로확인되었다. 본사례와같이패쇄된내부망의업무자료가인터넷에유출될수있다는것을통해, 정보보안은기술적보안조치이외에직원의보안교육등의관리적보안도중요함을알리고자한다. 34 Monthly 사이버시큐리티

사고사례 2 사고경위분석 가. 내부업무망 PC 에서의인터넷연결 기관은 [ 그림 2] 와같은업무망분리기관이었으나사용자가임의로인터넷네트워크라인을내부업무용 PC에연결하여인터넷을이용하였다. 인터넷 인터넷망 내부폐쇄망 방화벽 업무망서버 인터넷통로 인터넷 PC 인터넷 PC 내부업무망 PC 내부업무망 PC [ 그림 2] 내부패쇄망에서의인터넷사용사고발생 www.ncsc.go.kr 35

월간사이버위협동향및대응활동 February 나. P2P 공유설정부주의로인한내부문서유출 P2P는 [ 그림 3] 과같이인터넷에서개인과개인이직접연결하여파일을공유하는것을말한다. 이는개인컴퓨터끼리직접연결하고검색함으로써서비스제공서버의부하를줄이고자하는방식이다. [ 그림 4] 는국내외 P2P 프로그램예제이다.([ 그림 4] 의관련프로그램은해당사고와관련없음 ) [ 그림 3] P2P 프로그램의동작구조 36 Monthly 사이버시큐리티

사고사례 [ 그림 4] P2P 프로그램예제 P2P 서비스는본인이다른사람의 PC를검색하고, 자신의 PC에있는자료를공유할수있는데, P2P 접속자들이다운로드할수있는기능이있다. 본사고관련자는자신의문서폴더전체를공유 ([ 그림 5]) 하는과실을범함으로써 P2P 사용자들에게내부문건수천건이인터넷상에노출된것이다. www.ncsc.go.kr 37

월간사이버위협동향및대응활동 February [ 그림 5] 부주의한공유폴더설정예제 다행히유출된문건에는민감자료가없었지만자칫기관의중요문건이유출되었을경우, 돌이킬수없는보안사고로이어질뻔한사고였다. 3 유사사고재발방지를위한고려사항 유사사고재발방지를위해서는업무망을인터넷망과분리한기관일지라도아래의사항을유의해야한다. 업무용 PC 무단용도변경사용을방지토록직원교육강화 휴대용저장장치 (USB 등 ) 를이용한인터넷 PC로의자료유출방지 업무망분리시업무용 PC에서인터넷연결을차단할수있는보안기술등 38 Monthly 사이버시큐리티

사고사례 4 결론 금번사고는해킹에의한사고가아닌사용자부주의에기인한사고이다. 내부업무용 PC에인터넷랜선을연결한후인터넷공유프로그램을사용하다부지불식간에 PC에보관중이자료가인터넷으로유출되었다. 본사례에서보안은기술적보안이외에도직원들의보안의식도중요하다는것을보여준다. 따라서각기관들은사소한부주의에의해서도민감한내부문건이유출될수있음을인지하여주기적으로직원들에대한보안교육을실시하여야한다. 또한, 국가사이버안전센터홈페이지에게시된사이버침해사고사례등을참고하여유사사고가발생하지않도록각기관들이보안조치를강구할것을권고한다. www.ncsc.go.kr 39

CSI NetSec 06 참관기 Monthly 사이버시큐리티기고문공모 국가사이버안전센터는건전한사이버문화를선도하고향후유비쿼터스등정보화사회에서의정보보호에대한중요성을제고하고자정보보호관련국내외제도및정책에관한제언, 웜 바이러스분석, 신종해킹및대응방법등사이버공간의안전과관련된각종기고문및분석보고서를공모하오니정보보호에관심있는많은분들의적극적인참여를바랍니다. 1. 응모주제분야 가. 정보보호제도및정책관련기고 국내정보보호정책에관한제언 국내외정보보호관련제도비교및향후발전방향 해외유사기관과의비교를통한국가사이버안전센터의발전방향제시 나. 웜 바이러스, 해킹및취약성분석보고서 신종웜 바이러스분석보고서 신종해킹, 취약점및대응방법 중요한피해사례및피해현황 다. 기타국가안보차원의사이버위협관련분석자료등 2. 제출형식및작성방법 제출형식은자유형식으로작성하시되발행되는 Monthly 사이버시큐리티 를참고하여작성하여주시기바랍니다. 홈페이지 (www.ncsc.go.kr) 보안정보 동향분석정보란참조 제출한분석보고서는다른곳에발표가되지않은독창성을지녀야합니다. 각종인용자료및참고문헌을밝혀주시고자세한설명은각주를이용하시기바랍니다. 정책제언은 A4기준 5~10P 이내, 분석보고서는 15P 내외로작성하여주시고 1인당응모편수는제한이없습니다. 3. 제출방법및기타사항 제출방법 : E-mail(analysis@ncsc.go.kr) 제출된기고문및보고서는반환하지않으며당선작은소정의원고료를지급하고 Monthly 사이버시큐리티 책자에게재됩니다. 당선된자료를추후에다른곳에인용시는반드시 Monthly 사이버시큐리티 년 월호를명시하여주시기바랍니다. 기타문의사항은국가사이버안전센터로문의바랍니다. (E-mail : analysis@ncsc.go.kr, 전화 : 02-557-0181) 40 Monthly 사이버시큐리티

Monthly 사이버시큐리티 2007 년 2 월호 통권제36호 발행일자 : 2007년 2월 12일 발행기관 : 국가사이버안전센터 본내용은국가사이버안전센터홈페이지에서열람가능합니다. 독자여러분의의견을홈페이지에서받습니다. 본내용과관련된문의는아래로연락주시기바랍니다. 홈페이지 : www.ncsc.go.kr, www.nis.go.kr( 국정원 ) 대표전화 : 02-3432-0462, 02-557-0716, ( 국번없이 )111 팩스 : 02-3432-0463 전자우편 : info@ncsc.go.kr ( 비매품 )