<31305FBEC6C0CCC5DB2E687770>

Similar documents
*2008년1월호진짜

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

TGDPX white paper

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

07_alman.hwp

08_spam.hwp

untitled

#WI DNS DDoS 공격악성코드분석

Microsoft Word - src.doc

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

ActFax 4.31 Local Privilege Escalation Exploit


월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

제20회_해킹방지워크샵_(이재석)

게시판 스팸 실시간 차단 시스템

6강.hwp

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

PowerPoint 프레젠테이션

1

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

UDP Flooding Attack 공격과 방어

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

유포지탐지동향

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

Microsoft Word - NAT_1_.doc

슬라이드 1

5th-KOR-SANGFOR NGAF(CC)

슬라이드 1

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft PowerPoint - thesis_rone.ppt

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Secure Programming Lecture1 : Introduction

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

ìœ€íŁ´IP( _0219).xlsx

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

Windows 8에서 BioStar 1 설치하기

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

Windows Server 2012

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

소프트웨어설치 1. 소프트웨어설치및제거 ( 소스코드 ) 소스코드컴파일을이용한 S/W 설치 1. 소스코드다운로드 - 예 ) httpd tar.gz - 압축해제 : #tar xzvf httpd tar.gz - INSTALL 또는 README파일참조

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1

슬라이드 1

*****

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

신종파밍악성코드분석 Bolaven

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Vol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

목록 1. DoS/DDoS attack? 2. Dos와 DDoS의차이점 3. DoS공격으로의심할수있는증상 4. DoS 공격유형 5. DDoS 공격유형 6. 주요 DDoS 공격피해사례 7. DoS와 DDoS 공격에대한대응책 8. 알게된사실 9. 참고사이트

문서의 제목 나눔고딕B, 54pt

Windows Server NTP 설정가이드 Author 이종하 (lovemind.tistory.com) 1

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

컴퓨터관리2번째시간

PowerPoint Template

The Pocket Guide to TCP/IP Sockets: C Version

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

유해트래픽통합관리시스템_MetroWall

부서: 기획감사실 정책: 지방행정 역량 강화 단위: 군정운영 및 의회협력 행정협의회 분담금 20,000,000원*1식 20, 행사운영비 2,000 2,000 0 행정협의회 지원 2,000,000원*1식 2,000 의원상해 지원 36,000 36,

Windows 10 General Announcement v1.0-KO

PowerPoint 프레젠테이션

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

5. 바이러스 - 다양한방법으로네트워크전반에걸쳐자신을복제하는컴퓨터바이러스로특정시스템을상대로하지않지만, 그중불운한시스템이피해를볼수있다. 6. 물리적기반공격 - 누군가광케이블을훼손하는것이다. 재빨리트래픽을다른쪽으로우회시켜처리할수있다. DoS 공격특징 1 루트권한을획득하는공

< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

<4D F736F F F696E74202D20C1A4C0E7C8C6202D F5320BCBCB9CCB3AA20B9DFC7A5C0DAB7E128B9E6C5EBC0A7295FC3D6C1BE205BC0D0B1E220C0FCBFEB5D205BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>

PowerPoint 프레젠테이션

AhnLab_template

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

Red Alert Malware Report

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Transcription:

1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다. KISA 인터넷침해사고대응지원센터에서는피해사고접수이후, 사고확산방지를위하여신속하게원인을추적, 분석및대응조치함으로써피해를최소화시킬수있었다. 공격트래픽을발생시켰던 PC를추적하여확인한결과, 해당PC는분산서비스거부공격 (DDoS) 기능이구현되어있는악성코드 Anti.exe 및 Down(1).exe 에감염되어있었다. 사용자PC는악성웹사이트및기타인터넷경로를통하여감염되었던것으로추정된다. 공격자는감염PC에원격으로명령을전달하는방식으로공격대상사이트를지정, 분산서비스거부공격 (DDoS) 을수행하였으며, 악성코드에는분산서비스거부공격 (DDoS) 기능외에도정보유출등의기능이구현되어있는것으로확인되었다. 인터넷이용자는사용PC가분산서비스거부공격 (DDoS) 을위한 Agent로악용되는것을방지하기위하여 OS를최신으로패치하고, 백신을설치하는등악성코드에감염되지않도록주의하는것이필요하다. 또한, 네트워크담당자는스푸핑트래픽차단설정등예방조치를취하여피해를최소화할필요가있다. 2. 게임아이템거래업체에대한 DDoS 공격기법분석 o 일반인터넷사용자 PC를악용한 DDoS 수행공격자는일반인터넷이용자 PC를공격에악용하기위하여우선다수의 PC를악성코드에감염시킨후, 원격에서공격명령을전달하는방법으로특정사이트에대한분산서비스거부공격 (DDoS) 을수행하였다. < 인터넷사용자PC를이용한분산서비스거부공격 >

o 악용된악성코드분산서비스거부공격트래픽을발생시켰던 PC를추적하여, 확인한결과, anti.exe에감염되어있었으며일부pc는 Down(1).exe 파일명의악성코드도감염되어있었다. 해당악성코드들은모두분산서비스거부공격을위한기능이구현되어있는것으로확인되었다. o 악성코드유포방법공격자는 Anti.exe 악성코드감염을위하여, 웹사이트또는 P2P등을이용하였을것으로추정된다. 악성코드가설치되어있는 PC에서실제로아래와같은 Anti.exe 악성코드설치를위한 2.vbs 파일이발견되었다. 해당 vbs을실행하면 [ 생략 ].com/joker1415/k.exe 로부터 k.exe를다운로드받는다. 다운로드된파일은실행되어시스템폴더에 Anti.exe 파일을생성한다. <2.vbs 파일예 > <2.vbs 내용 decoding 결과 > < 감염시 [ 생략 ].com/joker1415/k.exe 에접속하여악성코드를다운로드및실행함 > < 다운로드된파일에의하여 Anti.exe 가생성됨 >

3. DDoS 에악용된공격코드 Anti.exe 분석 Anti.exe 악성코드는원격명령전달을통하여분산서비스거부공격 (DDoS) 을수행할수있는것으로확인되었으며, 기타정보유출및원격통제기능도확인되었다. 특히, 공격자는추적을피하기위하여특정웹서버를이용하여원격명령전달을위한서버 IP주소를주기적으로변경하는것으로확인되었다. o 감염PC 원격통제기법 - 공격자는아래와같이웹서버를활용하여원격명령전달서버IP 주소를주기적으로바꾸어가며감염PC들을통제하였다. 자세한방법및절차를정리하면다음과같다. 1 공격자는 http://[ 생략 ].co.kr/ip.txt 에감염PC를통제할공격자PC 주소를올려놓는다 2 감염이되면 Anti.exe는 http://[ 생략 ].co.kr/ip.txt에접속하여아래와같은원격공격자의 IP주소와포트정보를받아온다 <ip.txt 에의하여전달되는정보예 > - k[ 생략 ]8.17:200kid

3 Anti.exe 는수신한사이트주소를확인후해당주소로접속하여공격자의원격통제를받는다 < 공격자가구성한서버로의접속시도예 > 인터넷침해사고대응지원센터에서피해예방을위하여해당주소의 ip.txt 파일을제거조치함 o Anti.exe의주요악성기능사용자의 PC가감염될경우, 공격자는원격통제를통하여분산서비스거부공격 (DDoS) 수행등감염PC에서다양한악의적인행위를할수있다. 분산서비스거부공격 (DDoS) 수행외에감염 PC내의파일유출, 시스템주요정보파악, 프로세스통제, 레지스트리수정등의기능이구현되어있는것으로확인되었다. 주요악성기능을정리해보면다음과같다. - TCP,UDP, ICMP DoS 공격기능 - 감염 PC의파일시스템통제 ( 파일열람, 변경, 삭제 ) - 공격자가지정하는특정사이트로부터의파일다운로드및실행 - 감염 PC 시스템정보확인 - 웹브라우져시작페이지변경 - 감염 PC 프로세스관리 - 감염 PC 레지스트리생성, 변경, 삭제 - 윈도우화면캡쳐 - 감염PC의서비스생성, 삭제, 수정 분산서비스거부공격 (DDoS) 기능 Anti.exe 악성코드에는 TCP, UDP, ICMP 프로토콜에대한공격기능이구현되어있음. <dos 패킷발생루틴예 >

감염 PC의파일시스템통제 ( 파일열람, 변경, 삭제 ) 공격자는감염PC 내의파일을열람하거나변경, 삭제할수있음. 원격네트워크로부터파일다운로드및실행 공격자는감염 PC 에공격자가원하는임의의파일을다운로드하여실행시킬수있음. 웹브라우져시작페이지변경공격자는웹브라우져의시작페이지를변경할수있음. 레지스트리생성및삭제레지스트리값을열람하거나생성, 삭제, 변경하는것이가능함.

프로세스생성및종료공격자는새로운프로세스를생성하거나종료시킬수있음. 감염PC 화면캡쳐공격자는원격에서감염PC의윈도우화면을캡쳐할수있음. 감염PC의서비스생성, 삭제, 수정감염PC 내에윈도우서비스를추가하거나, 삭제, 변경이가능함. 시스템정보파악현재의사용자계정확인, 프로세스정보, 디스크가용용량등시스템정보를확인할수있음.

4. DDoS 에악용된공격코드 Down(1).exe 분석 분산서비스공격트래픽을유발시켰던일부PC에서는 Anti.exe 외에도추가적으로 Down(1).exe 악성파일이발견되었다. 이코드도분산서비스거부공격기능이구현되어있는것으로확인되었으며, 자기전파기능이없는것으로보아, Anti.exe 악성코드에의하여추가적으로설치되었거나, 웹사이트등을통하여유포되었을것으로추정된다. o 분산서비스거부공격기능분석 - 원격통제기법이악성코드는 http 프로토콜을통하여특정웹사이트로부터공격대상사이트, 공격방법등에대한정보를전달받은후공격을시작한다. <Down(1).exe 에의한분산서비스거부 (DDoS) 공격 > 1 해당프로그램은공격자가구성한공격명령전달을위한웹사이트 (http://[ 생략 ]/config.txt) 로부터공격명령이포함된설정파일을다운로드한다 2 Down(1).exe 는다운로드받은공격명령을확인하여명령파일에기록된주소로대량의패킷을발송한다. - 공격대상및방법변경

Down(1).exe는 http://[ 생략 ]/config.txt 의 config.txt 파일내에기입되어있는주소와프로토콜을확인하여공격을진행하하므로, 공격자는해당내용을변경해가며, 공격대상및프로토콜을바꿀수있다. 공격대상주소변경예아래내용은공격자가 config.txt 를통하여공격대상을변경한예이다. 공격대상주소가 [ 생략 ].tk:80 에서 [ 생략 ].com:80 로변경. < 공격대상주소변경예 > [ 생략 ].tk:80 icmp 30 [ 생략 ].com:80 icmp 30 공격프로토콜변경공격명령파일에서두번째행의 icmp 부분은공격에사용되는프로토콜유형을나타낸다. 분산서비스거부공격 (DDoS) 테스트환경을구성하여공격명령파일내의 icmp 를 udp 로변경한경우아래와같이 UDP패킷을이용한공격형태가관찰되었다. <UDP로변경된공격프로토콜예 > < 공격패킷의내용예 > - 트래픽발생률분석감염된 PC에서공격프로토콜에따라다음과같은트래픽이관찰되었다. 아래악성트래픽발생수치는명령전달내용및환경에따라서달라질수있음. ICMP UDP TCP 4.0 Mbps 2.07 Mbps 1.87 Mbps

< 공격트래픽예 > < 공격패킷내용예 > < 악성코드에포함된 Garbage 문자열 (3,943 bytes) 일부 > o 기타기능 - 재부팅시계속적인활동을위한시스템등록악성코드는재부팅시에도계속적으로활동하기위하여시스템에자신을등록한다. 파일생성악성코드감염시, 감염파일을 %system% 폴더에 Down(1).exe이름으로이동시킨다. < 시스템디렉토리로이동시키는코드 >

%SYSTEM% 디렉토리 * Windows 2000 : C:\WinNT\System32 * Windows XP, 2003 : C:\Windows\System3 서비스등록프로그램은재부팅후지속적인활동을위하여이동한파일을서비스로등록시킨다. * 서비스이름 : Windows Catalog * 표시이름 : Internet Explorer * 실행파일경로 : C:\WINDOWS\system32\Down(1).exe - 서비스중단및삭제 공격자는 http://[ 생략 ]/config.txt 의 config.txt 파일내용에아래와같은명령을기입하여악성코드가생성한서비스를삭제하거나중단할수있다. remove icmp 30 stop icmp 30 remove인경우 1 원격지에서공격명령파일을다운로드한후파싱 2 파싱한내용이 "remove" 인경우바로아래의서비스제어코드를수행

3 등록된 "Windows Catalog" 서비스및레지스트리를삭제 서비스삭제시 %SYSTEM% 디렉토리로이동된프로그램은삭제하지않음 stop인경우 1 원격지에서공격명령파일을다운로드한후파싱 2 파싱한내용이 "remove" 가아닌경우 3으로분기하여 stop" 인지를비교 3 stop" 인경우 "Windows Catalog" 서비스를중지 5. DDoS 공격대응조치 피해를예방하기위하여는분산서비스거부공격 (DDoS) 에악용되는악성코드의추가적인유포를차단하며, 이미감염된 PC에공격자가공격명령을전달하지못하도록조치하는것이중요하다. 인터넷침해사고대응지원센터에서는 DDoS에악용된악성코드의유포사이트와 DDoS을위하여접속하는명령전달서버를신속하게분석및추적하여차단 / 대응조치하였다. DDoS 공격에대한대응조치 - 국외명령전달서버및악성코드유포사이트에대한차단실시 - 국내악성코드유포사이트에대한조치및삭제실시등 (Anti.exe, down[1].exe 변종악성코드등 ) 6. 결론 인터넷통신망환경이데이터위주에서음성 (VoIP), 인터넷 TV(IPTV) 등통신과방송의융합이가능한 BcN(Broadband Convergence Network) 으로진화되고, 또한 PC성능이크게향상됨에따라, 최근일반PC를이용한분산서비스거부공격 (DDoS) 이인터넷망의안정성에커다란위협이되고있다. 국내의초고속인터넷환경은이미가입자단의속도가 100 Mbps를지원하는광 LAN 등이활성화되어있어서, DDoS 공격에악용될경우많은량의공격트래픽을발생시킬수있다. 인터넷침해사고가운데 DDoS 공격은그특성상, 효율적으로방어하기가매우어렵다. 최근 DDoS 공격은원격조종기능을가진특정악성 Code나악성 Bot으로인터넷이용자의 PC를감염시켜 Zombie PC로만들고해커가원격에서이를조종하는형태이다. 보안이취약한개별 PC에서발생된공격트래픽은마치개울물 시냇물 강물 바닷물이되는것처럼, 어느한곳에집중되었을때는이미감당하기어려울정도로발전하기때문에 바닷물 이되기전에 개울물 단계에서발생을차단하는것이가장효과적이라고할수있다. 이를위해서 개울물 을유발할수있는인터넷이용자의 PC를최신보안업데이트상태로유지하는것이무엇보다도중요하며, 각주체별로다음과같은예방및대응조치가필요하다. 첫째, 인터넷사용자는 PC를항상최신보안업데이트상태로유지하고 ( 가장중요 ), 백신 S/W, 개인방화벽 S/W를설치 운영함으로써, 자신의 PC가자신도모르는상태에서원격조종자의

지시에따라특정기업의서버를대상으로 DDoS 공격을발생, 개인정보유출, 스팸릴레이발송등침해사고에악용되지않도록주의해야한다. 또한 P2P 사이트등에서내려받은파일은설치된백신프로그램을사용하여안전성검사를반드시실시하여야한다. 둘째, ISP/IDC 및기업네트워크운용자는평시유효하지않은 IP주소 (Bogon IP) 및악성봇명령제어 / 서버도메인등에대한사전필터링조치로 DDoS 공격을발신지부터제거하는노력이필요하다. 또한 DDoS 공격발생시정보통신부, KISA 등유관기관에적극신고및협조하여 DDoS 공격의근원지및원격조종자 PC를찾아내어조치하는등신속히대응하여야하겠다. 셋째, IDC, 웹호스팅업체, 기업, 개인등웹서버운영자는이번아이템거래사이트에대한 DDoS 사례에서도보았듯이자신이운영하는웹서버가해킹되어악성코드를유포하거나 DDoS 공격관련스크립트전달경유지로악용되지않도록웹방화벽설치, 웹서버및운영체제에대한최신보안업데이트설치, 주기적인로그분석등을실시하여야하겠다. 마지막으로, 피해기업의네트워크및웹서버운영자는운용하는서버에서허용되지않는서비스를차단하기위한방화벽, 침입시도를탐지 차단하는침입방지시스템및 DDoS 차단시스템등을설치하여 DDoS 공격및침입시도에대한대응도필요하다. 아울러금품요구등협박이있을경우, 범인의계좌번호, 메신저 ID 등관련수사에도움이되는정보가있을것이므로반드시수사기관에신고하여범인검거에협조하는것도매우중요하다고하겠다.