ì¸í°ë·ì¹¨í´ì¬ê³

12010 

2008 

September9월간특집 

Remote File Inclusion 

취약점 분석 및 대책 

인터넷침해사고 

동향및분석월보

◉ 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 

[자료 : 한국정보보호진흥원 인터넷침해사고대응지원센터]를 명시하여 주시기 바랍니다.

Contents 

Part 1 

Part 2 

Part 3 

월간 동향 요약 

침해사고 통계 분석 

1-1. 증감 추이(전년, 전월대비) 

1-2. 침해사고 통계 요약 

1-3. 침해사고 통계 현황 

웜바이러스 신고건수 추이 

주요 웜바이러스별 현황 

1-4. 해킹 

해킹 사고 접수처리 건수 추이 

피해 기관별 분류 

피해 운영체제별 분류 

피싱 경유지 신고처리 현황 

홈페이지 변조 사고처리 현황 

악성 봇(Bot) 현황 

허니넷/트래픽 분석 

2-1. PC 생존시간 분석 

2-2. 허니넷 트래픽 분석 

전체 추이 

Top 3 국가별 공격유형 

해외 → 국내 

국내 → 국내 

2-3. 국내 인터넷망 트래픽 분석 

2-4. 바이러스 월 탐지 웜바이러스 정보 

월간특집 

Remote File Inclusion 취약점 분석 및 대책 

악성코드 유포지 / 경유지 조기 탐지 및 차단 조치 

주요포트별 서비스 및 관련 악성코드 

 

1 

2 

2 

3 

4 

5 

6 

6 

7 

9 

10 

12 

14 

14 

16 

18 

20 

21 

22 

30 

33 

34 

-Ⅰ-

표차례 

[표 1] 월간 침해사고 전체 통계 ........................................................................................................................2 

[표 2] 월별 국내 웜바이러스 신고 건수............................................................................................................3 

[표 3] 주요 웜바이러스 신고현황 ....................................................................................................................4 

[표 4] 해킹사고 처리 현황................................................................................................................................5 

[표 5] 해킹사고 피해 기관별 분류.....................................................................................................................6 

[표 6] 해킹사고 피해 운영체제별 분류 ..............................................................................................................6 

[표 7] 피싱 경유지 신고 건수 ...........................................................................................................................7 

[표 8] 홈페이지 변조 사고처리 현황 .................................................................................................................9 

[표 9] 국내악성봇(Bot) 감염률 .....................................................................................................................10 

[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록 .........................................................................................11 

[표 11] Windows XP Pro SP1, Windows 2000 Pro SP4 생존가능시간............................................................13 

[표 12] 허니넷에 유입된 유해 트래픽 국가별 비율 ............................................................................................15 

[표 13] 해외 → 국내(허니넷) 공격유형 탐지현황...............................................................................................16 

[표 14] 국내 → 국내(허니넷) 공격유형 탐지현황 ..............................................................................................18 

[표 15] 수집된 주요 웜바이러스 현황 .............................................................................................................21 

그림 차례 

(그림 1) 월별 침해사고 전체 통계 그래프...........................................................................................................2 

(그림 2) 월별 국내 웜바이러스 신고 건수.........................................................................................................3 

(그림 3) 해킹사고 접수처리 건수 유형별 분류 ..................................................................................................5 

(그림 4) 해킹사고 피해 기관별 분류..................................................................................................................6 

(그림 5) 월별 피싱 경유지 신고건수..................................................................................................................7 

(그림 6) 월별 홈페이지 변조 사고처리 현황.......................................................................................................9 

(그림 7) 월별국내악성봇(Bot) 감염률 추이...................................................................................................10 

(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교 ..................................................................10 

(그림 9) 악성봇 관련 포트 비율(해외) ...............................................................................................................11 

(그림 10) 악성봇 관련 포트 비율(국내)..............................................................................................................11 

(그림 11) 월별 평균 생존 가능시간 변동 추이 ...................................................................................................12 

(그림 12) Windows XP SP1 생존시간 분포 분석..............................................................................................13 

(그림 13) Windows 2000 SP4 생존시간 분포 분석..........................................................................................13 

(그림 14) 월별 허니넷 유입 트래픽 규모 ..........................................................................................................14 

(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형 .......................................................................................14 

(그림 16) 해외 → 국내 (허니넷) 공격유형 탐지현황...........................................................................................17 

(그림 17) 국내 → 국내 (허니넷) 공격유형 탐지현황 ..........................................................................................19 

(그림 18) 국내 인터넷망에 유입된 포트트래픽 Top10 일별 추이 .......................................................................20 

(그림 19) 국내 인터넷망에 유입된 공격유형 ....................................................................................................20 

-Ⅱ-

월간 동향 요약 

핫이슈 

■ 최신 보안패치를 적용하지 않은 PC로 조작된 그림ㆍ오디오 파일, 링크 등을 포함한 웹사이트를 방문 

하거나 이메일 등을 열람 또는 링크를 클릭할 경우 악의적 코드가 실행되어 개인정보가 유출되거나 

분산서비스거부공격의 근원지로 악용되는 등 피해가 발생할 수 있으므로 인터넷이용자는 반드시 

최신 윈도우 보안업데이트를 설치하고 백신 S/W를 사용하는 등의 예방조치가 필요함 

주요 취약점, 웜바이러스 

제 목 

영향받는 제품 / 사용자 

영향력 / 예방 및 대책 

참고 사이트 

[MS 보안 

업데이트] 

2008년 9월 

MS 월간 보안 

업데이트 권고 

o MS Windows XP, 

Vista, MS Office, 

Media Encoder 9 등 

(참고 사이트 참조) 

- 최신 MS 보안업데이트 설치 

ㆍ[MS08-052] GDI+ 취약점으로 인한 

원격코드실행 문제 

ㆍ[MS08-053] Windows Media Encoder 9 

취약점으로인한원격코드실행문제등 

http://www.krcert.or.kr/→ 

보안정보 → 보안공지 →‘[MS 

보안업데이트] 2008년 9월 MS 

월간 보안업데이트 권고’ 

테크노트7 file 

inclusion 취약점 

피해주의 

o TECHNOTE 7.2 이하 

- 테크노트 7의 일부 구성파일 취약점으로 

인해 임의코드 실행 가능 

- php 및 Apache의 설정파일 수정, 

보안 취약점이 존재하는 소스 수정 또는 

보안패치 적용 

http://www.krcert.or.kr/→ 

보안정보 → 보안공지 →‘테크노트7 

file inclusion 취약점 피해주의’ 

※ 보안 공지사항에 대한 보다 자세한 내용은 KISA 인터넷침해사고대응지원센터 홈페이지 보안 공지사항 

(http://www.krcert.or.kr/ → 보안정보 → 보안공지)에서 확인할 수 있습니다. 

통계 분석 

■ 웜∙바이러스 피해신고는 전월에 비하여 1.7% 증가 

■ 해킹신고 처리는 전월대비 10.2% 증가 (스팸릴레이, 피싱경유지, 기타해킹은 각각 49.2%, 79.0%, 

3.6% 증가하였으며, 단순침입시도, 홈페이지변조는 각각 15.8%, 43.3% 감소) 

■ 전 세계 악성 Bot 감염 추정 PC 대비 국내 감염률은 7.2%로 전월(9.7%)대비 2.5%P 감소 

PC 생존시간 

■ Windows XP SP1 : 평균 127분 9초 (전월대비 48분 20초 증가 ) 

■ Windows 2000 SP4 : 평균 98분52초 (전월대비 27분 34초 증가 ) 

1 

2008년 9월호

1. 침해사고 통계분석 

1-1. 증감 추이(전월대비) 

구분 

웜바이러스 

해킹신고처리 

스팸릴레이 

피싱경유지 

총 486 건 : 전월 ( 478 건) 대비 

총1,311 

건 : 전월 ( 1,190건) 

대비 

631 건 : 전월 ( 

111 건 : 전월 ( 

423 건) 대비 

62 건) 대비 

통계요약 

1.7% 

증가 

10.2% 

증가 

49.2% 

증가 

79.0% 

증가 

단순침입시도 

202 건 : 전월 ( 

240 건) 대비 

15.8% 

감소 

기타해킹 

228 건 : 전월 ( 

220 건) 대비 

3.6% 

증가 

홈페이지 변조 

악성 봇(Bot) 

139 건 : 전월 ( 245 건) 대비 43.3% 

감소 

전세계악성Bot감염 추정PC 대비 국내 감염률은 7.2%로전월( 9.7%) 대비 2.5%p 감소 

1-2. 침해사고 통계 요약 

[표 1] 월간 침해사고 전체 통계 

구분 

2007 

total 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

2008 

total 

웜바이러스 

5,996 

793 

653 

966 

840 

811 

802 

903 

478 

486 

6,732 

해킹신고처리 21,732 

1,352 

1,516 

1,360 

1,262 

1,470 

1,518 

1,136 

1,190 

1,311 

12,115 


11,668 

592 

597 

530 

565 

636 

574 

464 

423 

631 

5,012 


1,095 

88 

117 

110 

94 

116 

131 

76 

62 

111 

905 


4,316 

386 

289 

350 

291 

206 

226 

247 

240 

202 

2,437 

기타해킹 

2,360 

239 

226 

235 

227 

231 

218 

242 

220 

228 

2,066 

홈페이지변조 

2,293 

47 

287 

135 

85 

281 

369 

107 

245 

139 

1,695 

악성 봇(Bot) 

11.3% 10.7% 13.0% 

9.6% 

9.6% 

7.8% 

8.9% 11.7% 

9.7% 

7.2% 

9.8% 

[웜바이러스 신고 접수건수] 

[스팸릴레이 신고 처리건수] 

[피싱 경유지 신고 처리건수] 

[단순침입시도+기타해킹신고 처리] [홈페이지 변조사고 처리건수] [악성 봇(Bot) 감염비율] 

(그림 1) 월별 침해사고 전체 통계 그래프 

인터넷 침해사고 동향 및 분석 월보 

2

http://www.krcert.or.kr 

1-3. 침해사고 통계 현황 

■ 웜바이러스 신고건수 추이 

[표 2] 월별 국내 웜바이러스 신고 건수 

구분 

2007 

total 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

2008 

total 

신고건수 5,996 793 653 966 840 811 802 903 478 486 

6,732 

※ 웜바이러스 신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가 공동으로 집계한 결과임 

(그림 2) 월별 국내 웜바이러스 신고 건수 

’08년 9월 국내 백신업체와 KISA에 신고된 웜∙바이러스 신고건수는 486건으로 전월(478건)에 비하여 

1.7% 증가하였다. 특정 온라인 게임의 계정을 탈취하는 것으로 알려진 ONLINEGAMEHACK에 

의한 피해신고가 전월에 이어 감소 추세이나 허위 광고나 경고 메시지 등을 통해 사용자의 클릭을 

유도하는 FAKEALERT 및 FAKEAV의 피해신고로 전체 피해신고건수는 전월에 비해 소폭 증가하였다. 

Part 1 침해사고 통계분석 

3 2008년 9월호


■ 주요 웜바이러스별 현황 

순위 

1 

2 

3 

4 

5 

6 

7 

8 

9 

10 

합계 

1 

명칭 

건수 

명칭 

AGENT 

ONLINE 

GAMEHACK 

220 

96 

AGENT 

ONLINE 

GAMEHACK 

HIDD 

DOWNLOADER 

86 AUTORUN 

42 DOWNLOADER 

XPACK 

LMIRHACK 

QQPASS 

41 

29 

22 

HIDD 

QQPASS 

IRCBOT 

AUTORUN 22 MALPACKED 

IRCBOT 

KOREA 

GAMEHACK 

기타 

16 

16 

203 

793 

EASY 

XEMA 

기타 

2 

[표 3] 주요 웜바이러스 신고현황 

3 

2008 

4 

건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 

171 

ONLINE 

GAMEHACK 301 

ONLINE 

GAMEHACK 238 

ONLINE 

GAMEHACK 303 

ONLINE 

GAMEHACK 273 

77 AGENT 113 AUTORUN 59 AGENT 69 AGENT 102 

39 XEMA 69 AGENT 57 XEMA 53 XEMA 66 

38 AUTORUN 36 XEMA 54 ROOTKIT 33 ARPSPOOFER 54 

25 DOWNLOADER 34 DOWNLOADER 32 MALPACKED 32 DOWNLOADER 31 

14 ROOTKIT 27 ROOTKIT 27 DOWNLOADER 31 AUTORUN 20 

13 MALPACKED 27 MALPACKED 25 AUTORUN 29 ROOTKIT 19 

12 IRCBOT 20 IRCBOT 17 IRCBOT 18 MALPACKED 13 

11 ZLOB 17 SOLOW 12 SOLOW 17 QHOST 10 

11 DISKGEN 17 QQPASS 12 BHO 9 XPACK 10 

242 기타 305 기타 307 기타 217 기타 204 

653 

966 

840 

811 

802 

5 

6 

2008 

순위 

7 

8 

9 

10 

11 

12 

1 

2 

3 

4 

명칭 

ONLINE 

GAMEHACK 

ARPSPOOFER 

AGENT 

XEMA 

건수 

205 

141 

108 

72 

명칭 

AGENT 

ONLINE 

GAMEHACK 

XEMA 

ROOTKIT 

건수 

79 

63 

38 

27 

명칭 

AGENT 

ROOTKIT 

ONLINE 

GAMEHACK 

XEMA 

건수 

79 

47 

46 

35 

명칭 

건수 

명칭 

건수 

명칭 

건수 

5 

DOWNLOADER 

40 DOWNLOADER 

26 

DOWNLOADER 

25 

6 

7 

8 

9 

10 

합계 

AUTODELETE 

AUTORUN 

VIRUT 

ARPSPOOFER 

VAKLIK 

기타 

30 AUTORUN 

22 BAGLE 

18 VIRUT 

18 ANTIPACK 

15 HACKTOOL 

234 기타 

903 

24 FAKEALERT 

14 VIRUT 

13 BAGLE 

12 FAKEAV 

10 IRCBOT 

172 기타 

478 

18 

15 

11 

11 

10 

189 

486 

신고된 웜∙바이러스를 명칭별로 분류한 결과 특정 웹 사이트를 통하여 1차적으로 감염된 후 추가적인 

악성코드를 다운로드하는데 이용되는 AGENT에 의한 피해신고가 전월에 이어 가장 많았으며, 레지스트리, 

프로세스 등에서 자신을 숨기는 은폐 기능을 가지고 악의적인 행위를 수행하는 ROOTKIT의 신고가 

증가해 2위를 차지하였다. 

- 특히 이번 달에는 허위 광고나 경고 메시지 등을 통해 사용자의 클릭 및 결재 등을 유도하는 FAKEALERT 및 

FAKEAV의 피해가 신고 되었으므로 일반 인터넷 이용자는 반드시 최신 보안업데이트 적용 및 백신 

S/W의 사용을 생활화하고 특히 신뢰할 수 없는 사이트를 통하여 신용카드 번호 등 개인정보를 제공하지 

않도록 주의가 필요하다. 


4


1-4. 해킹 

■ 해킹 사고 접수처리 건수 추이 

[표 4] 해킹사고 처리 현황 

구분 

2007 

total 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

2008 

total 


11,668 

592 

597 

530 

565 

636 

574 

464 

423 

631 

5,012 


1,095 

88 

117 

110 

94 

116 

131 

76 

62 

111 

905 


4,316 

386 

289 

350 

291 

206 

226 

247 

240 

202 

2,437 

기타해킹 

2,360 

239 

226 

235 

227 

231 

218 

242 

220 

228 

2,066 

홈페이지 변조 

2,293 

47 

287 

135 

85 

281 

369 

107 

245 

139 

1,695 

합계 

21,732 

1,352 

1,516 

1,360 

1,262 

1,470 

1,518 

1,136 

1,190 

1,311 

12,115 

※ 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반 

사용자로부터 신고 받아 처리한 건수로써 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 

경유지로 악용되어 신고된 건수 

※ 단순침입시도: KISA에서 접수처리한 해킹신고 중 웜∙바이러스 등으로 유발된 스캔(침입시도)을 피해자(관련기관)가 신고한 건수 

※ 기타해킹: KISA에서 접수처리한 해킹사고 중 스팸릴레이, 피싱 경유지, 단순침입시도를 제외한 나머지 건수 

10.6% 

17.4% 

15.4% 

8.5% 

48.1% 

○ 스팸릴레이 

● 피싱경유지 

● 단순침입시도 

● 기타해킹 

● 홈페이지 변조 

(그림 3) 해킹사고 접수처리 건수 유형별 분류 

’08년 9월 KISA에서 처리한 해킹사고는 1,311건으로 전월(1,190건)에 비하여 10.2% 증가하였다. 

- 해킹사고 항목별로 전월대비 증감을 파악한 결과, 스팸릴레이, 피싱경유지, 기타해킹은 각각 49.2%, 

79.0%, 3.6% 증가하였으며, 단순침입시도, 홈페이지변조는 각각 15.8%, 43.3% 감소한 것으로 나타났다. 

- 스팸릴레이(48.1%)가 차지하는 비율이 가장 많았고 기타해킹(17.4%), 단순침입시도(15.4%), 홈페이지 

변조(10.6%) 및 피싱경유지(8.5%) 순이었다. 


5 2008년 9월호


■ 피해 기관별 분류 

[표 5] 해킹사고 피해 기관별 분류 

기관 

2007 

total 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

2008 

total 

기업 

3,039 

305 

291 

274 

228 

249 

285 

242 

259 

273 

2,406 

대학 

1,121 

55 

42 

78 

84 

59 

30 

47 

25 

45 

465 

비영리 

273 

18 

15 

20 

5 

8 

17 

16 

13 

18 

130 

연구소 

5 

0 

0 

0 

0 

0 

0 

0 

0 

1 

1 

네트워크 

133 

0 

0 

0 

0 

0 

0 

0 

0 

0 

0 

기타(개인) 

17,161 

974 

1,168 

988 

945 

1,154 

1,186 

831 

893 

974 

9,113 

합계 

21,732 

1,352 

1,516 

1,360 

1,262 

1,470 

1,518 

1,136 

1,190 

1,311 

12,115 

※ 기관 분류기준: 침해사고 관련 도메인 이나 IP를 기준으로 기업(co,com), 대학(ac), 비영리(or,org), 연구소(re), 네트워크 

(ne,net), 기타(pe 또는 ISP에서 제공하는 유동 IP 사용자)으로 분류 

해킹사고를 피해 기관별 분류한 결과, 기타(개인), 

기업, 대학, 비영리의 순으로 나타났다. 기관별로 

분류한 결과 기타(개인)이 차지하는 비율이 74.3%로 

가장 높았으며 뒤를 이어 기업이 차지하는 비율이 

20.8%로 나타났다. 

※ 침해사고관련 IP가 ISP의 유동 IP(주로 개인용 컴퓨터)인 

경우는 기타(개인)로 분류함 

기업 

20.8% 

비영리 1.4% 

대학 

3.4% 


74.3% 

(그림 4) 해킹사고 피해 기관별 분류 

■ 피해 운영체제별 분류 

[표 6] 해킹사고 피해 운영체제별 분류 

운영체제 2007 

total 

Windows 19,128 

Linux 2,063 

Unix 27 

기타 514 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

1,039 1,070 

135 274 

14 5 

164 167 

996 

170 

3 

191 

938 

158 

8 

158 

929 

402 

0 

139 

982 

281 

58 

197 

775 

185 

16 

160 

747 

230 

49 

164 

908 

230 

15 

158 

2008 

total 

8,384 

2,065 

168 

1,498 

합계 

21,732 

1,352 

1,516 

1,360 

1,262 

1,470 

1,518 

1,136 

1,190 

1,311 

12,115 

※ 운영체제별 분류 자료는 각 운영체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임 

해킹사고 처리결과를 운영체제별로 분류한 결과, 전월과 마찬가지로 Windows, Linux 운영체제 

순이었다. Windows 운영체제가 차지하는 비율은 69.3%로 전월(62.8%)에 비하여 소폭 증가하였다. 


6


■ 피싱 경유지 신고처리 현황 

[표 7] 피싱 경유지 신고 건수 

구분 


신고건수 

2007 

total 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

2008 

total 

1,095 88 117 110 94 116 131 76 62 111 

905 

※ 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반 

사용자로부터 신고받아 처리한 건수로서 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 

사이트 경유지로 악용되어 신고된 건수임 

(그림 5) 월별 피싱 경유지 신고건수 

이번달 피싱 경유지 신고건수는 총 111건으로, 전월(62건)대비 49건이 증가하였다. 전월에 비해 

PayPal(12건), WellsFargo(9건) 사칭 사고건의 증가 및 그 밖의 사칭대상 기관별 사고건수가 전체적으로 

소폭 상승한 것이 원인으로 보인다. 

피싱 대상기관 유형별로는 금융기관이 97건(87.4%)로 가장 많았으며, 전자상거래 유형이 7건(6.3%), 

정부기관이나 검색사이트, 미확인건 등을 포함한 기타유형이 7건(6.3%)으로 나타났다. 기관별로는 

금융기관인 PayPal(23건), WellsFargo(12건) 등의 순으로 집계되었다. 

기 관유형 

건수 

전자상거래 

6.3% 

기타 

6.3% 

금융기관 


기타 

합계 

97 

7 

7 

111 

금융기관 

87.4% 


7 2008년 9월호


피싱 대상기관 및 신고건수를 국가별로 분류한 결과, 총 9개국 38개 기관으로 집계되었고 이달에도 

미국기관(23개 기관 80건)이 사칭사고건의 대부분을 차지하였다. 

국가 

기관분류 

기관수 

신고건수 

국가 

기관분류 

기관수 

신고건수 

금융기관 

18 

66 

이탈리아 

금융기관 

2 

3 

미국 


2 

7 

80 

브라질 

금융기관 

1 

2 

기타 

3 

7 

터키 

금융기관 

1 

1 

영국 

금융기관 

6 

14 

스페인 

금융기관 

1 

1 

홍콩 

금융기관 

1 

6 

남아프리카공화국 

금융기관 

1 

1 

캐나다 

금융기관 

2 

3 

합계 

- 

38 

111 

국내 피싱 경유지 사이트의 기관유형별로는 기업 62건(55.9%), 비영리 14건(12.6%), 교육 6건 

(5.4%), 개인/기타 6건(5.4%) 순으로 집계되었다. 홈페이지가 없거나 Whois 정보에 ISP 관리대역만 

조회되는 경우에 해당되는‘ISP서비스이용자’유형은 23건(20.7%)으로 나타났다. 

기관유형 

건수 

개인/기타 

교육 

5.4% 

5.4% 

기업 

교육 

비영리 

개인/기타 

ISP서비스이용자 

62 

6 

14 

6 

23 

비영리 

12.6% 

ISP 서비스 

이용자 

20.7% 

기업 

55.9% 

합계 

111 

피싱 경유지 시스템에서 이용된 포트는 이달에도 표준 HTTP 포트인 TCP/80포트가 107건 

(96.4%)으로 대부분을 차지했고, 기타포트로는 TCP/81, TCP/82, TCP/84, TCP/8080 포트 등이 

이용되었다. 

기타 

3.6% 

프로토콜/포 트 건수 

TCP/80 107 

TCP/81 

1 

TCP/82 

1 

TCP/84 

TCP/8080 

합계 

1 

1 

111 

TCP/80 

96.4% 


8


■ 홈페이지 변조 사고처리 현황 

[표 8] 홈페이지 변조 사고처리 현황 

구분 

피해 

홈페이지 수 

피해 

시스템 수 

2007 

total 

2,293 

828 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

47 287 135 85 281 369 107 245 

27 102 68 51 78 102 50 69 

139 

57 

2008 

total 

1,695 

604 

※ 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 시스템에 수십~수백개의 홈페이지를 운영하는 경우도 

있으므로 피해홈페이지 수는 피해시스템 수 보다 많음 

(그림 6) 월별 홈페이지 변조 사고처리 현황 

이번 달에는 57개 시스템(IP)의 139개 사이트(도메인)에 대한 홈페이지 변조가 발생하여 피해 

홈페이지 수는 전월(245개)에 비하여 43.3% 감소한 것으로 나타났다. 

- 이번 달에는 단일 시스템에서 구동되는 웹호스팅 업체서버의 다수 홈페이지에서 File Inclusion 

취약점을 이용한 국내 웹게시판 S/W(테크노트) 사용으로 인한 피해만 42건이 발생하였으나 전월 

대비 홈페이지 변조 건수는 감소하였다. 

- 보안이 취약한 홈페이지는 운영하는 홈페이지의 해킹피해를 입을 뿐만 아니라 악성코드 은닉, 개인 

정보 유출 등 추가 침해사고를 유발할 수 있으므로 홈페이지 관리자는 아래 사이트 정보를 참고하여 

운영하는 서버의 보안에 최선을 다해야 하겠다. 

※ 참고 사이트 

테크노트 : http://www.technote.co.kr 

웹 어플리케이션 취약점에 대한 해킹기법 및 보안대책 : http://www.krcert.or.kr 초기화면 → 왼쪽‘웹보안 4종 가이드’ 

기본적인 웹 해킹을 차단할 수 있는 공개 웹방화벽(ModSecurity, WebKnight) : http://www.krcert.or.kr 초기화면 → 왼쪽 

‘공개 웹 방화벽을 이용한 홈페이지 보안’ 

공개 웹방화벽(ModSecurity, WebKnight)을 활용한 웹서버 보안 강화 가이드 : http://www.krcert.or.kr/ → 보안정보 

→ 기술문서[문서번호 : TR2008003, TR2008004] 


9 2008년 9월호


■ 악성 봇(Bot) 현황 

[표 9] 국내 악성 봇(Bot) 감염률 

구분 

2007 

total 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

2008 

total 

국내 비율(%) 11.3 10.7 13.0 9.6 9.6 7.8 8.9 11.7 9.7 7.2 

9.8 

※ 전 세계 Bot 감염 추정 PC 중 국내 Bot 감염 PC가 차지하는 비율임 

※ 봇(Bot): 운영체제 취약점, 비밀번호 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 명령 전달사이트와의 

백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용 가능한 프로그램 또는 실행가능한 코드 

(그림 7) 월별 국내 악성 봇(Bot) 감염률 추이 

(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교 


10


전 세계 악성 Bot 감염추정 PC 중에서 국내 감염 PC 비율은 7.2%로 지난달에 비해 2.5%P 감소 

하였다. 이번 달에는 TCP/1433 트래픽이 국외/국내에서 모두 증가하였다. 이는 MS-SQL 서버의 

취약점을 이용하여 악성 Bot을 전파하려는 시도가 여전히 많이 있음을 보여주는 것으로, 윈도우즈에서 

MS-SQL을 DB로 이용하고 있는 서버 관리자의 주의가 필요하다. 

- 악성 Bot의 전파에 사용되는 주요 포트는 NetBIOS 관련 포트인 TCP/445, 웹 관련 TCP/80 포트, 

MS-SQL 관련 TCP/1433, NetBIOS 관련 TCP/139, DCOM 관련 포트인 TCP/135 순이다. 

- 국외의 경우 TCP/445 포트 트래픽이 가장 많은 비율을 보이고 있으며, 국내의 경우에는 

TCP/80 포트가 가장 많은 트래픽량을 보이고 있다. 

※ 전월 악성 Bot Top5 포트 : TCP/80, TCP/445, TCP/139, TCP/23, TCP/135 

○ TCP/445 

● TCP/1433 

● TCP/135 

● TCP/80 

● TCP/139 

● 기타 

○ TCP/80 

● TCP/139 

● TCP/445 

● TCP/135 

● TCP/1433 

● 기타 

2.9%1.9% 

1.3% 

13.8% 

9.4% 3.4% 

9.9% 

40.3% 

21.4% 

42.2% 

31.2% 

22.4% 

(그림 9) 악성봇 관련 포트 비율(해외) 

(그림 10) 악성봇 관련 포트 비율(국내) 

[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록 

포트 

관련 취약점 및 웜/악성 Bot 

포트 

관련 취약점 및 웜/악성 Bot 

23 

Cisco Telnet 

2967 

Symantec Exploit 

80 

WebDAV, ASN.1-HTTP, Cisco HTTP 

2745 

Bagle, Bagle2 

135 

DCOM, DCOM2 

3127 

MyDoom 

139 

NetBIOS, ASN.1-NT 

3140 

Optix 

143 

445 

903 

1025 

1433 

IMail 

NetBIOS, LSASS, WksSvc, ASN.1-SMB, DCOM 

NetDevil 

DCOM 

MS-SQL 

5000 

6101 

6129 

17300 

27347 

UPNP 

Veritas Backup Exec 

Dameware 

Kuang2 

Sub7 


11 2008년 9월호

2. 허니넷/트래픽 분석 

2-1. PC 생존시간 분석 

윈도우의 네트워크서비스 취약점을 악용하는 자동 확산 웜의 전파활동 증감 추이분석을 위하여 

보안이 취약한 PC(Windows XP SP1, Windows 2000 SP4)를 고의로 인터넷에 연결시켜 감염에 

소요되는 생존시간을 측정하였다. 

9월의 취약한 Windows XP(SP1-No-Patch)의 평균 생존가능시간은 127분 9초, Windows 2000 

(SP4-No-Patch)은 98분 52초로써 전월에 비하여 Windows XP SP1은 48분 20초 증가하였고, 

Windows 2000 SP4는 27분 34초 증가하였다. 

이번 달 생존시간은 크게 상승하는 추이를 보였다. 금년의 전반적인 추이 또한 지속적으로 상승하는 

경향을 보이고 있다. 생존시간의 증가는 윈도우의 네트워크 서비스 취약점을 악용하는 웜 전파활동의 

감소를 의미한다. 윈도우의 개인방화벽 사용증가로 인하여, 윈도우의 네트워크 서비스 취약점을 

공격경로로 악용하는 전파유형은 크게 감소하고 있는 것으로 보인다. 

생존시간이 증가하는 경향을 보이고 있지만, 취약한 PC의 경우 5분 내의 짧은 시간 내에 웜에 감염 

되는 경우도 빈번히 관찰되었으므로, 사용자는 감염피해를 사전에 예방하기 위하여, 개인방화벽 활용 

여부를 확인하고, OS를 최신으로 업데이트 및 백신을 설치하도록 해야겠다. 

※ 윈도우네트워크 서비스: 윈도우OS에서 네트워크를 통하여 외부호스트를 대상으로 제공되는 서비스 

(ex. RPC, LSASS 등) 

※ 생존시간의 측정은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 

Windows XP SP1과 Windows 2000 SP4 2개 군으로 분류하여 1000 여회를 실시 

※ Windows XP SP2, Vista는 개인방화벽이 기본으로 설치되므로‘윈도우의네트워크서비스 취약점’을 악용하는 자동 

전파 웜들에 대한 감염피해를 예방할 수 있음 

※ 생존가능 시간: 취약한 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간 

(그림 11) 월별 평균 생존 가능시간 변동 추이 

※ 생존시간은“윈도우 네트워크서비스 취약점”을 악용하는 유형의 전파활동 증감 추이만을 반영하므로 이메일 악성코드 등 

다른 유형의 전파기법을 이용하는 악성코드 감염활동 추이동향과는 무관함 


12


Windows 

XP SP1 

구분 

Windows 

2000 SP4 

최장 

최단 

평균 

최장 

최단 

평균 

[표 11] Windows XP Pro SP1, Windows 2000 Pro SP4 생존가능시간 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

934’28” 587’17” 523’35” 563’7” 1595’32” 1186’21” 546’55” 700’31” 865’52” 

4” 

60’39” 

4” 5” 4” 4” 

57’33” 52’25” 56’44” 74’18” 

794’22” 514’18” 496’17” 526’50” 875’02” 504’59” 583’48” 803’27” 933’36” 

10” 14” 16” 12” 6” 

54’03” 52’8” 48’07” 51’44” 72’26” 

5” 4” 3” 5” 

93’54” 69’45” 78’49” 127’09” 

17” 15” 27” 4” 

70’55” 68’20” 71’18” 98’52” 

1000 

900 

800 

700 

600 

500 

400 

300 

200 

min 

min 

1000 

900 

800 

700 

600 

500 

400 

300 

200 

100 

100 

0 

2008년 

0 

2008년 

0901 0906 0911 0916 0921 0926 0901 0906 0911 0916 0921 0926 

(그림 12) Windows XP SP1 생존시간 분포 분석 (그림 13) Windows 2000 SP4 생존시간 분포 분석 

Part 2 허니넷/트래픽 분석 

13 2008년 9월호


2-2. 허니넷 트래픽 분석 

■ 전체 추이 

이번 달 KISC 허니넷에 유입된 전체 유해 트래픽은 약 1,917만 건으로 전월(1,850만 건)에 비하여 

3.6% 소폭 증가하였다. IP 소재별로 분류한 결과 국내 소재 IP로부터 유발된 트래픽은 전체의 

27.1%였으며, 해외 소재 IP로 부터의 트래픽은 72.9%를 차지한 것으로 나타났다. 

※ 허니넷에 유입되는 트래픽은 웜∙바이러스, 악성 봇등에의한감염시도트래픽(취약점스캔)이가장많으며이러한 

악성코드의 네트워크스캔은 유효한 네크워크에 대한 접근효율을 높이기 위하여, 1차적으로 감염된 시스템의 IP주소의 

A, B클래스를 고정하고 C또는 D클래스 주소를 변경하면서 스캔 하기 때문에 일반적으로 자국에서 유발된 유해트래픽이 

해외에서 유입된 트래픽보다 많을 수 있음 

(그림14) 월별 허니넷 유입 트래픽 규모 

※참고: 허니넷으로 유입 

되는 트래픽은 초당 수백 건 

이상이 될 수 있으므로 

구체적인 건수는 큰 의미가 

없으며, 국내외 비율 및 

월별증감을 참고하기 바람 

■ Top 3 국가별 공격 유형 

해외로부터 KISC 허니넷에 유입된 트래픽을 근원지 IP소재 국가별로 분석한 결과 중국으로부터 

유입된 트래픽이 63.5%로 가장 많았으며 다음으로 미국(13.9%), 일본(2.9%) 순이었다. 중국으로부터의 

트래픽은 TCP/1433(MS-SQL) 및 TCP/2967(Symantec Exploit) 포트에 대한 Service Scan이 가장 많은 

비중을 차지하였으며, 미국과 일본은 Microsoft Windows LSASS Buffer Overrun 취약성을 스캔하는 

것으로 보이는 TCP/445 - netbios smb client to lsasrv request가 가장 많았던 것으로 나타났다. 

CHINA 

20% 

9% 43% 

13% 

15% 

○ TCP/1433-tcp service scan 

● TCP/2967-tcp service scan 


● UDP/1026-udp service scan 

● 기타 

JAPAN 

27% 

USA 

9% 

11% 18% 

35% 

34% 33% 

15% 18% 

○ TCP/445-netbios smb client to lsasrv request 

● TCP/445-netbios lsass buffer overflow2 


● 기타 

○ TCP/445-netbios smb client 

to lsasrv request 

● ICMP-icmp ping Nmap scan 


● ICMP-icmp ping Advanced 

IP Scanner v1.4 

● 기타 

(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형 


14


[표 12] 허니넷에 유입된 유해 트래픽 국가별 비율 

순위 

1 

2 

3 

4 

5 

6 

7 

8 

9 

10 

2008 

1 2 3 4 5 6 

국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 

중국 

미국 

유럽연합 

일본 

대만 

브라질 

독일 

영국 

인도 

싱가포르 

기타 

33.6 

19.4 

4.9 

4.8 

4.2 

3.6 

2.5 

2.3 

1.9 

1.7 

21.2 

중국 

미국 

일본 

대만 

독일 

브라질 

스페인 

러시아 

유럽연합 

인도 

기타 

39.2 

19.6 

5.0 

3.6 

3.0 

2.5 

2.0 

1.9 

1.9 

1.8 

19.5 

중국 

미국 

일본 

브라질 

대만 

독일 

유럽연합 

인도 

캐나다 

영국 

기타 

53.6 

14.3 

5.2 

4.9 

2.7 

2.1 

1.5 

1.5 

1.4 

1.3 

11.5 

중국 

미국 

일본 

대만 

독일 

인도 

스페인 

캐나다 

브라질 

유럽연합 

기타 

53.9 

14.7 

4.1 

2.5 

2.1 

1.9 

1.6 

1.5 

1.4 

1.4 

15.1 

중국 

미국 

일본 

대만 

유럽연합 

독일 

홍콩 

인도 

브라질 

스페인 

기타 

56.4 

15.2 

4.6 

2.5 

2.0 

1.6 

1.4 

1.3 

1.3 

1.0 

12.8 

중국 60.8 

미국 13.4 

일본 3.9 

대만 2.0 

브라질 1.7 

독일 1.5 

홍콩 1.4 

인도 1.4 

유럽연합 1.3 

영국 1.0 

기타 11.4 

순위 

1 

2 

3 

4 

5 

6 

7 

8 

9 

10 

2008 

7 8 9 10 11 12 

국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 

중국 67.5 중국 66.2 중국 63.5 

미국 12.3 미국 10.8 미국 13.9 

일본 2.7 일본 3.1 일본 2.9 

대만 2.1 유럽연합 2.9 대만 2.9 

캐나다 1.1 대만 2.4 독일 1.8 

홍콩 1.0 영국 1.8 영국 1.3 

독일 1.0 인도 1.3 인도 1.2 

이탈리아 1.0 독일 1.1 브라질 1.0 

영국 0.8 홍콩 1.0 홍콩 1.0 

브라질 0.8 브라질 0.8 캐나다 0.9 

기타 9.7 기타 8.7 기타 9.7 


15 2008년 9월호


■ 해외→국내 

해외로부터 KISC 허니넷에 유입된 트래픽을 국가구분 없이 포트/공격(스캔)유형별로 분석한 결과 

TCP/1433 포트에 대한 Service Scan이 28.4%로 가장 많았으며, TCP/22(Service Scan) 및 

TCP/445(netbios smb client to lsasrv request)가 그 뒤를 이었다. 

[표 13] 해외 → 국내(허니넷) 공격유형 탐지현황 

순위 

1 

2 

3 

4 

5 

6 

7 

8 

9 

10 

4월 5월 6월 

프로토콜 / 



포트번호 공격유형 비율(%) 



TCP/1433 tcp service scan 30.0 TCP/1433 tcp service scan 33.0 TCP/1433 tcp service scan 31.6 

TCP/22 

TCP/445 

ICMP 

tcp service scan 

netbios smb client 


icmp ping Nmap scan 

16.7 

14.8 

8.8 

TCP/22 

ICMP 

TCP/445 





19.1 

14.3 

10.4 

TCP/22 

TCP/445 

ICMP 





19.0 

10.0 

9.4 

TCP/2967 

TCP/445 

TCP/4899 


worm esbot.a 


7.3 

3.6 

2.6 

TCP/2967 

TCP/445 

TCP/4899 


worm esbot.a 


6.3 TCP/2967 

2.7 TCP/4899 

2.4 TCP/8080 




7.6 

3.3 

2.7 

TCP/10000 tcp service scan 1.8 TCP/10000 tcp service scan 1.7 TCP/445 worm esbot.a 2.5 

UDP/1026 udp service scan 1.2 UDP/1026 udp service scan 0.7 TCP/80 tcp service scan 2.5 


기타 

12.3 기타 

8.7 기타 

9.4 

순위 

1 

2 

3 

4 

5 

6 

7 

8 

9 

10 

7월 8월 9월 









TCP/445 


to lsasrv request 8.4 TCP/445 


to lsasrv request 8.2 TCP/445 


to lsasrv request 12.7 

TCP/2967 tcp service scan 7.2 ICMP icmp ping Nmap scan 7.0 TCP/2967 tcp service scan 10.0 

TCP/8080 tcp service scan 7.2 TCP/2967 tcp service scan 7.0 UDP/1026 udp service scan 5.7 

ICMP icmp ping Nmap scan 4.3 UDP/1026 udp service scan 6.2 ICMP icmp ping Nmap scan 4.6 


TCP/445 worm esbot.a 2.5 TCP/445 worm esbot.a 2.4 TCP/445 worm esbot.a 2.0 


TCP/10000 tcp service scan 

기타 

1.5 

13.2 

TCP/3389 

기타 

tcp service scan 1.9 

14.0 

ICMP 

기타 

icmp ping Advanced 

IP Scanner v1.4 1.9 

16.9 


16


○ TCP/1433-tcp service scan ● TCP/22-tcp service scan 

● TCP/445-netbios smb client to lsasrv request 

● TCP/2967-tcp service scan ● 기타 

35.2% 28.4% 

10.0% 

12.7% 

13.7% 

(그림 16) 해외 → 국내 (허니넷) 공격유형 탐지현황 


17 2008년 9월호

■ 국내→국내 

국내에서 KISC 허니넷에 유입된 트래픽을 포트/공격(스캔)유형별로 분석한 결과, TCP/135 포트에 

대한 서비스 및 취약점 스캔이 53.6%로 가장 많은 비율을 보이고 있는 것으로 나타났다. 

[표 14] 국내 → 국내(허니넷) 공격유형 탐지현황 

순위 

1 

2 

3 

4 

5 

6 

7 

8 

9 

10 

4월 5월 6월 







TCP/135 

netbios dcerpc 

invalid bind 28.3 TCP/135 


invalid bind 30.1 TCP/135 tcp service scan 24.9 

TCP/135 tcp service scan 25.6 TCP/135 tcp service scan 13.9 TCP/135 


invalid bind 24.1 

TCP/135 

rpc dcom interface 

overflow exploit 15.3 TCP/135 


overflow exploit 13.8 TCP/1433 tcp service scan 10.6 

TCP/1433 tcp service scan 8.1 TCP/1433 tcp service scan 11.5 TCP/135 


overflow exploit 9.9 

TCP/4899 tcp service scan 6.9 UDP/1434 worm slammer 5.4 TCP/445 


to lsasrv request 6.0 

TCP/22 

TCP/445 




4.6 

2.7 

TCP/22 

TCP/445 




4.6 

4.4 

TCP/445 

TCP/22 

netbios Isass buffer 

overflow 2 


5.8 

5.1 

TCP/445 


overflow 2 1.9 TCP/4899 tcp service scan 4.3 TCP/4899 tcp service scan 4.7 

ICMP icmp ping Nmap scan 1.8 TCP/445 netbios Isass buffer 

overflow 2 4.2 ICMP icmp ping Nmap scan 1.6 

TCP/3389 tcp service scan 0.5 ICMP icmp ping Nmap scan 1.9 TCP/3389 tcp service scan 0.8 

기타 

4.3 기타 

5.9 기타 

6.3 

순위 

1 

2 

3 

4 

5 

6 

7 

8 

9 

10 

7월 8월 9월 







TCP/135 

TCP/135 


invalid bind 


42.0 

16.1 

TCP/1433 

TCP/135 



17.7 

16.6 

TCP/135 

TCP/135 


invalid bind 


overflow exploit 

31.8 

14.0 



TCP/135 overflow exploit 15.1 TCP/135 invalid bind 16.2 TCP/1433 tcp service scan 11.5 

ICMP icmp ping Nmap scan 4.4 ICMP icmp ping Nmap scan 12.5 TCP/135 tcp service scan 7.8 



TCP/1433 tcp service scan 3.9 TCP/135 overflow exploit 7.0 TCP/445 to lsasrv request 




TCP/445 to lsasrv request 3.9 TCP/445 to lsasrv request 3.5 TCP/445 overflow 2 

6.9 

6.7 

TCP/445 


overflow 2 3.6 TCP/4899 tcp service scan 3.5 TCP/22 tcp service scan 4.7 

TCP/22 

TCP/4899 

TCP/8080 




3.0 

2.2 

1.1 

TCP/22 

TCP/445 

TCP/1089 



overflow 2 


3.5 TCP/1089 

3.5 TCP/4899 

2.1 TCP/1433 



mssql sa 

no password login 

3.6 

2.0 

1.2 

기타 

4.7 기타 

13.8 기타 

9.8 


18


○ TCP/135-netbios dcerpc invalid bind 

● TCP/1433-rpc dcom interface overflow exploit 

● 기타 



34.9% 31.8% 

7.8% 

11.5% 

14.0% 

(그림 17) 국내 → 국내 (허니넷) 공격유형 탐지현황 


19 2008년 9월호


2-3. 국내 인터넷망 트래픽 분석 

국내 ISP의 일부구간(국내 인터넷망)에서 수집된 트래픽의 Top10 포트의 추이를 파악한 결과, 이미 

잘 알려진 TCP/80(HTTP), TCP/25(메일) 외에 TCP/554(스트리밍 서비스), TCP/5004(NateOn) 포트 

등에 대한 트래픽이 많이 관찰되었다. 

PPS 

■ TCP/80 ■ TCP/554 ■ TCP/25 ■ TCP/5004 ■ TCP/1702 

■ UDP/9155 ■ TCP/1524 ■ TCP/1703 ■ TCP/2004 ■ TCP/19101 

11,000,000 

ISP업계 : 프로토콜 / 포트 추이 

10,000,000 

9,000,000 

8,000,000 

7,000,000 

6,000,000 

5,000,000 

4,000,000 

3,000,000 

2,000,000 

1,000,000 

0 

09/01 

09/02 

09/03 

09/04 

09/05 

09/06 

09/07 

09/08 

09/09 

09/10 

09/11 

09/12 

09/13 

09/14 

09/15 

09/16 

09/17 

09/18 

09/19 

09/20 

09/21 

09/22 

09/23 

09/24 

09/25 

09/26 

09/27 

09/28 

09/29 

09/30 

(그림18) 국내 인터넷망에 유입된 포트트래픽 Top10 일별 추이 

날짜 

이번 달 국내 ISP의 일부구간에서 수집된 공격 유형을 분석한 결과, TCP ACK Flooding과 같은 

DDoS 공격 트래픽 및 실질적인 공격을 수행하기 전에 각종 정보를 수집하기 위한 Host Sweep 

스캔 등이 많이 탐지되었다. 

시도건수 

1,800,000 

1,600,000 

■ TCP ACK Flooding ■ Host Sweep ■ UDP Flooding ■ Ping Sweep ■ O ICMP ■ TCP SYN 

Flooding(DDoS) ■ UDP Port Scan ■ UDP Tear Drop ■ TCP Connect DOS ■ ICMP Redirect DoS 

ISP업계 : 공격 추이 

1,400,000 

1,200,000 

1,000,000 

800,000 

600,000 

400,000 

200,000 

0 

09/01 

09/02 

09/03 

09/04 

09/05 

09/06 

09/07 

09/08 

09/09 

09/10 

09/11 

09/12 

09/13 

09/14 

09/15 

09/16 

09/17 

09/18 

09/19 

09/20 

09/21 

09/22 

09/23 

09/24 

09/25 

09/26 

09/27 

09/28 

09/29 

09/30 

(그림19) 국내 인터넷망에 유입된 공격유형 

날짜 


20


2-4. 바이러스 월 탐지 웜바이러스 정보 

KISA 및 2개 기관/업체의 바이러스 월을 통하여 수집된 웜∙바이러스를 파악한 결과, 전체적으로 개별 

항목별 수집 건수가 증가한 가운데 다른 악성코드나 이동식디스크 등을 통해 전파되어 개인정보 등을 

유출하는 GENERIC이 가장 많았고, 악의적 웹사이트 또는 다른 악성코드 등을 통해 전파되는 

MEREDROP 및 이를 통해 생성되어 금융정보 탈취를 목적으로 하는 것으로 알려진 GOLDUN 등이 

많이 파악되었다. 

순위 

1 

2 

3 

4 

5 

6 

7 

8 

9 

10 

합계 

[표 15] 수집된 주요 웜바이러스 현황 

2008 

1 

2 

3 

4 

5 

명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 

DOWNLOADER 2,294 AUTORUN 1,345 XEMA 2,425 HLLW 2,866 VIKING 

VIRUT 2,162 VIRUT 1,288 AUTORUN 1,424 AUTORUN 2,334 VIRUT 

VIKING 1,441 DOWNLOADER 985 VIRUT 1,223 VIRUT 2,202 DOWNLOADER 

CASHBACK 1,232 HLLM 747 HLLW 1,079 HLLM 2,136 HLLW 

AUTORUN 1,156 HLLW 703 WEBSEARCH 949 GENERIC 1,725 HLLM 

HLLW 1,046 CASHBACK 650 DOWNLOADER 910 DOWNLOADER 1,645 SASAN 

HLLM 

XEMA 

CASHON 

NSANTI 

기타 

782 

693 

631 

565 

9,480 

21,482 

SASAN 

NSANTI 

XEMA 

CDN 

기타 

540 HLLM 849 NSANTI 1,010 GENERIC 

535 SASAN 816 XEMA 902 NSANTI 

438 SOLOW 748WEBSEARCH 

763 XEMA 

396 GENERIC 659 PWS 609 CDN 

6,171 

13,798 

기타 9,318 

20,400 

기타 13,496 

29,688 

기타 

6 

건수 명칭 건수 

1,254 

1,044 

HLLW 

VIRUT 

7,025 

6,229 

578 GENERIC 5,870 

551 HLLM 4,588 

499 DOWNLOADER 3,517 

386 

341 

334 

279 

NSANTI 

PWS 

PARITE 

PSYME 

3,407 

3,366 

1,381 

1,257 

276 POLIPOS 1,247 

3,777 

9,319 

기타 25,553 

63,440 

2008 

순위 

7 

8 

9 

10 

11 

12 

명칭 

건수 

명칭 

건수 

명칭 

건수 

명칭 

건수 

명칭 

건수 

명칭 

건수 

1 

VIRUT 

754 

HLLW 

1,556 GENERIC 

9,308 

2 

HLLW 

491 

NSANTI 

1,550 MEREDROP 3,734 

3 

NSANTI 

408 

PWS 

1,241 

GOLDUN 

2,213 

4 

GENERIC 

288 GENERIC 

896 

HLLW 

1,585 

5 

PWS 

247 

VIRUT 

862 

PWS 

1,402 

6 

DOWNLOADER 

136 

HLLM 

289 

VIRUT 

1,298 

7 

MYDOCM 

124 DOWNLOADER 

280 

NSANTI 

1,001 

8 

9 

10 

합계 

HLLM 

PARITE 

MONSH 

기타 

86 PARITE 184 PARITE 279 

71 MONSH 176 MYDOOM 252 

67 RECYCLE 150 DOWNLOADER 248 

1,301 

3,973 

기타 3,675 

10,859 

기타 3,936 

25,256 


21 2008년 9월호

Remote File Inclusion 취약점 분석 및 대책 

1. 개요 

전통적인 인터넷 침해사고에서는 특정 공개 소프트웨어에 대한 취약점이 공개되면서부터 공격이 시작 

되었다. 일단 공격자가 취약점 정보를 입수하게 되면, 이 취약점을 가지고 있는 버전의 서버를 찾아 수동 

으로 하나씩값을 대입해보면서공격가능성을확인하는패턴을 보여 왔었다. 이러한전통적인공격은 사이트 

초기페이지를 공격자가 임의적으로 조작하여 자신의 실력을 과시하거나 정치적인 의미를 전달하고자 

주로 이용되어 왔었다. 하지만 최근 공격자들은 공개된 취약점에 대한 공격뿐 아니라 스스로 연구하여 

개발자도 미처 생각하지 못한 오류를 찾아내어 공격하고, 발견된 공격에 대해서는 일련의 공격패턴을 성립 

하여 자동화 툴을 이용하는 등 좀 더 세밀한 공격이 이뤄지고 있다. 

이렇게 발전하는 공격의 대상이 되지 않기 위해서는 개발하는 모든 코드들이 정확한 요청과 목적에 

의해서만 동작되도록 작성해야 되나, 모든 경우의 수를 고민하고 작성하기에는 결코 쉬운 일이 아니다. 

아무리 많은 비용과 노력을 들이더라도 사소한 실수로 인해 치명적인 사고로 이어질 수 있기 때문에 

주기적으로 웹로그를 확인하는 등의 꾸준한 관리자의 관심이 절대적으로 필요하다. 

본 보고서에서는 최근 대량 웹 변조를 일으킨 취약점으로 미처 프로그래머가 예상하지 못한 요청으로 

인하여 공격자가 원하는 스크립트가 동작하도록 하는 Remote File Inclusion 공격에 대한 심각성을 살펴보고, 

운영되는 홈페이지 내에서 취약점을 찾는 방법과 대처하는 방법에 대하여 설명한다. 

2. Remote File Inclusion 보안 취약성 분석 

Remote File Inclusion 취약점을 이용한 공격은 공격자가 악의적인 코드를 실제 서버에 전달하여 취약한 

페이지를 통하여 악성코드(스크립트)를 실행하는 형식이다. 아래 그림은 최근 사고에서 발견된 전형적인 

Remote File Inclusion 취약점이 있는 코드이다. 실제 홈페이지 메인으로 사용되는“index.php3”파일은 

“in_url”의 값을 인자로 넘겨받는다. 인자로 넘어오는 값을 변수화 시키는 특징을 갖는 PHP는 인자로 

넘어오는“in_url”의 값을“$in_url”변수 값으로 설정하고, 이에 지정된 값을 그대로“index.php3”에 

포함하여 PHP 스크립를 실행하는 구조를 가지고 있다. 

 

(그림)“Remote File Inclusion 취약점”에 취약한 코드 


22


이러한 취약한 코드의 문제점은 인자로 넘어오는“in_url”의 값이 항상 정상적일 경우만을 생각하고 작성된 

코드에서 비롯된 것으로, “$in_url”에 의하여“include”되는 파일에 대한 검증 작업을 하지 않는 것에 있다. 

이보다 더 큰 문제점은 이런 취약점을 가진 코드들이 보편적으로 널리 사용하는 공개용 게시판에 존재한다는 

것이다. 지난 9월 중순에 발생한 대량 웹변조 사고가 그 대표적인 예라고 할 수 있겠다. 이는 T사에서 배포 

하는 공개용 게시판으로 취약점들을 게시하는 해외 커뮤니티 사이트에서 해당 취약점을 공개하면서 이를 

이용하는 국내의 많은 홈페이지들이 변조되는 사고가 발생했었다. 공격자는 취약점을 발견하면 바로 자동화 

도구를 만들어 손쉽게 공격대상을 찾을 뿐 아니라, 공격 대상 목록을 별도로 관리하여 언제든지 다양한 

공격을 할 수 있다. 이 문서를 통하여 반드시 취약점에 대한 위협을 인지하고 반드시 해당 코드를 수정하기를 

바란다. 

3. Remote File Inclusion 취약점을 이용한 공격 사례 분석 

가. 취약한 웹서버의 정보수집 

공격자는 항상 공격대상을 찾는 일과 공격대상에 실제 공격을 수행하는 취약한 서버와 PC를 찾는다. 

검색된 서버와 PC들은 별도의 데이터베이스로 구축되어 실제 공격대상이 발생하였을 때 언제든지 공격이 

가능하도록 취약한 서버들을 주기적으로 관리ㆍ점검한다. 서버들의 상태들을 점검하는 방법으로 

Remote File Inclusion 취약점을 이용하면 쉽게 확인이 가능하다. 최근에 사고 분석한 웹서버에서도 

Remote File Inclusion 취약점을 이용하여 취약한 서버에 대한 정보를 얻어가는 것을 확인할 수 있다. 

(그림) “Remote File Inclusion 취약점”을 이용해 서버 정보를 획득했던 로그 

위 그림의 웹로그를 살펴보면 로그의 User-Agent의 값이“libwww-perl/5.811”인 것으로 보아 일반적인 

사용자가 접근하는 웹브라우져가 아닌“perl 스크립트”를 이용한 취약점 전용 공격툴에 의한 접근 

이었음을 추정할 수 있다. 

Part 3 월간특집 

23 2008년 9월호


※웹로그에서 Remote File Inclusion 취약점을 접근한 흔적 찾기 

1. 웹서버의 로그 위치 확인 

o Windows - IIS 

컴퓨터 관리(compmgmt.msc)해당 웹사이트 등록정보웹사이트 - 로깅사용- 등록정보일반 

속성 - 로그파일 디렉터리 

파일위치는“%WinDir%\System32\LogFiles\W3SVC4\”안에 날짜별로 기록이 되어 있다. 

o Linux - 아파치 

httpd.conf 파일 

510 # 

511 # For a single logfile with access, agent, and referer information 

512 # (Combined Logfile Format), use the following directive: 

513 # 

514 CustomLog logs/access_log combined 

파일위치는 /var/log/httpd/access_log 또는 아파치가 설치된 디렉토리의 logs폴더에 웹로그 파일 존재 

2. 문자열을 이용한 Remote File Inclusion 공격 흔적 찾기 

해당 디렉토리에서 다음과 같은 명령어를 통하여 요청되는 페이지의 인자값이“=http://”또는 

“=http%3A%2F%2F”로 설정되어 있는 것을 찾아, 이에 해당하는 페이지들이 실제로 취약점이 존 

재하는지를 점검하기 바란다. 

findstr “=http://” *.log 

find . -name “=http://” access_log* 

< Windows > < Linux > 


24


사고분석 로그에서 확인할 수 있듯이 취약한 서버의 정보를 알기 위해 특정 서버에 정보를 획득할 수 있는 

스크립트 파일을 업로드 하고, 이 파일의 URL을 인자값으로 설정하여 페이지를요청한다. 지정하는파일들은 

“.html”, “.txt”등 다양한 형태로 존재하며, “.jpg”, “.gif”같은 확장자만 이미지 파일형태를 갖는 경우도 살펴볼 수 

있었다. 인자값으로 설정된 URL들의 내용을 살펴 본 결과, 주로 다음과 같은 항목들을 확인하는 스크립트로 

구성되었다. 

o 서버의 OS 및 업데이트 정보 

o 서버 도메인 및 IP 정보 

o 서버의 하드웨어 정보 

o 웹어플리케이션의 종류 

o 웹서버 경로 

o 웹 스크립트 버전 및 모듈 정보 

웹서버관리자는웹로그를주기적으로확인함으로써위와같은정보들을공격자에게노출하지않아야한다. 

(그림) Remote File Inclusion 취약점을 이용한 웹서버 정보 확인 


25 2008년 9월호


나. IRC 좀비 클라이언트 

공격자는 일단“Remote File Inclusion 취약점”을 확인하면 웹쉘들을 이용하여 웹서버의 모든 파일들을 

수정∙삭제 할 수 있으며 악성코드를 업로드해서 실행할 수 있다. 하지만 웹쉘을 이용하여 추가적인 

공격을 진행하는 것은 기존에 많이 설명이 되었으므로, 본 장에서는 IRC(Internet Relay Chat) 좀비 클라이언트 

프로그램이 구동되는 현상을 살펴보기로 한다. 

(그림) 웹쉘 구동 화면 

웹 스크립트 또한 네트워크 프로그램이 가능하므로 얼마든지 서버-클라이언트 형태의 IRC 프로그램이 

가능하다. 실행되는 IRC 좀비 클라이언트 프로그램은 특정 IRC서버를 접근하여 공격자의 명령을 대기 

하다가 공격자에 의해 임의의 공격명령을 전달받으면 이에 맞는 공격이 수행되는 형태를 지니고 있다. 

사고분석 당시“Remote File Inclusion 취약점”을 이용해 실행되는 코드는 다음 그림과 같다. 수행되는 

행위를 살펴보면, “/tmp”에 특정 URL로부터 IRC 클라이언트 프로그램을 다운받아 실행시킨 동시에 해당 

파일을 삭제 한다. 

(그림) IRC 클라이언트 실행 스크립트 

이렇게 되면“/tmp”밑에 생성되는“l”파일은 생성과 동시에 실행되어 메모리에 적제되고 바로 삭제가 

되므로 서버 관리자는 직접 실행되고 있는 악성 코드를 확인할 수는 없지만, 아래 그림처럼 어딘가로 

네트워크 통신을 시도하는 흔적을 발견할 수가 있다. 

(그림) IRC 클라이언트가 구동된 이후 네트워크 상태 정보 


26


위 그림에서 살펴보듯이 현재는 IRC 서버가 구동되지 않아 접속을 시도하는 상태인“SYN_SENT”에서 

머물러 있지만, 만약에 서버가 구동이 된다면 특정 Channel에 접속하여 공격자의 제어 및 조정을 받아 

임의의 동작을 실행할 수 있도록 작성되어 있었다. 

(그림) IRC 클라이언트 프로그램 소스 중 일부 

4. 대 책 

가. PHP 환경 설정 

본 문서에서 설명한“Remote File Inclusion 취약점”은 PHP 환경설정만으로도 취약점을 해결할 수 있다. 

PHP 환경 설정은 기본적으로“php.ini”파일에서 한다. 

Version 4.x 이하 

allow_url_fopen = Off 

PHP Version 4.x이하에서는 위와 같이“allow_url_fopen”이 기본적으로“On”으로 설정되어있어 

“Remote File Inclusion 취약점”공격이 가능하다. 이 값을“Off”로 설정하면 취약점을 차단 할 수 있다. 


27 2008년 9월호


Version 5.x 이상 

PHP Version 5.x이상에서는 fopen API등을 이용한 원격 파일 열기와 include, require을 이용하여 

원격 파일 여는 것을 나누어 설정하게 되어있다. 이는 아래와 같이 기본적으로 설정되어 있으며, 이러한 

기본 설정으로 관리자가 특별한 설정없이도“Remote File Inclusion취약점”을막을수있다. 

allow_url_fopen = On 

allow_url_include = Off 

나. 아파치 환경설정 (httpd.conf) 

아파치의 환경설정파일인 httpd.conf에 아래와 같이 추가함으로서도 취약점을 해결할 수 있다. 

php_admin_flag allow_url_fopen off 

하지만 지금까지 설명한 서버상의 설정은 기존에 서버에서 운영되고 있은 모든 페이지들이 영향을 받으므로, 

인위적으로 외부의 파일을 접근하는 스크립트들은 문제를 유발시킬수 있으므로 쉽게 적용하기에는 쉬운 

일이 아니다. 이러한 관리자라면 다음에서 설명하는 직접 코드를 수정하여 취약점을 해결하길 바란다. 

다. “Remote File Inclusion 취약점”발견하여 소스 수정 

웹서버를 운영하는 개인이나 웹호스팅 업체에서는 서버상에 수많은 페이지들이 연동하여 운영되고 

있으므로 취약점이 존재하는지를 하나씩 살펴보는 것에는 한계가 있다. 이를 해결할 수 있는 가장 좋은 

방법으로 웹로그를 확인하여 기존에 공격시도가 있었던 페이지를 우선으로 통보하여 점검하고, 나아가 

“include”나“require”라는 키워드를 사용하는 파일을 추출하여 실제 홈페이지 제작자와 조율을 통해서 

수정/보완해야 한다. 코드를 수정하여 취약점을 해결하는 방법에는 다양한 방법이 있을 수 있겠지만, 

본 장에서는 아래와 같은 방법을 통하여 취약점 해결을 제안해 본다. 

 

 

 

 

 

 

 

 


28


이는 임시적인 처리이며, 완벽한 조치가 이뤄지기 위해서는 넘어오는 인자값이 서비스상으로 꼭 필요한 

페이지로만 설정되었는지 확인하는 것이다. 추가적으로 코드를 위와같이 설정하게 되었을때는 잘못된 

접근일 경우 경고(Warning)가 띄게 되는데, 이 또한 공격자에게 정보를 제공하는 것이므로 특별히 디버깅 

하는 기간이 아니라면“php.ini”의내용중“display_errors”의값을“Off”로설정하길바란다. 

display_errors = Off 

5. 결 론 

지금까지“Remote File Inclusion 취약점”에 대해서 살펴보고, 이에 대한 해결점에 대해서 살펴보았다. 

기존의 악성코드(바이러스, 봇넷)들의 명령 채널들은 IRC와같이 특정 포트를 이용하여 채널을 형성 

하였으므로 이에 대한 탐지가 비교적 쉬웠으나, 최근 들어 웹(HTTP)을 통하여 공격 명령을 하달하거나 

감염된 서버/PC들의 정보를 수집하는 사례들이 발견되고 있으나 이에 대한 탐지가 매우 힘든 실정이다. 

웹을 이용한 공격 채널 형성이 많아지면서 웹취약점에 대한 관심이 더욱 높아져 관리자들 또한 운영되는 

시스템에 대한 보안패치나 업데이트에 항상 관심을 가져야 하겠다. 또한 주기적으로 웹로그를 확인하여 

미발표된 공격이나 자신의 서비스에 특화된 취약점에 대해서도 미리 방지할 수 있도록 해야 할 것이다. 


29 2008년 9월호

별첨 

악성코드 유포지/경유지 조기 탐지 및 차단 조치 

■ 개요 

KISA 인터넷침해사고대응지원센터에서는 홈페이지를 악성코드 전파의 매개지로 악용하여 방문자에게 

악성코드를 감염시키는 사례가 발생함에 따라 ’05년 6월부터 지속 대응하여 왔으며, ’05년 12월부터는 

사용자 피해신고 이전에 사전 탐지를 통한 능동적 대응을 위해 악성코드 은닉사이트 자동탐지시스템을 

자체 개발 ● 적용하여 현재 약 120,000여개의 국내 주요 웹사이트를 대상으로 악성코드 은닉여부 탐지 및 

차단 등 감염피해 예방활동을 수행하고 있다. 

■ 전체 추이 

’08년 9월 KISA에서 탐지하여 대응한 악성코드 유포 및 경유사이트는 416건으로 전월 대비 

14.6%(487 → 416건) 감소하였다. 

- 악성코드 경유사이트 수는 전월대비 10.2%(371 → 333건) 감소하였고, 유포사이트 수는 전월에 

비하여 28.4%(116 → 83건) 감소한 것으로 나타났다. 

- 각 기관(기업)의 웹 서버 관리자는 근본적인 원인파악 및 조치 없이 단순히 악성코드만 삭제하는 것은 

임시조치일 뿐 언제든지 재 악용될 수 있음을 인지하고, 웹서버 해킹에 주로 사용되는 SQL Injection, 파일 

업로드 취약점 등에 대한 보안대책 마련 등 반드시 재발 방지 대책을 강구하여야 한다. 

※ 참고 사이트 

웹 어플리케이션 취약점에 대한 해킹기법 및 보안대책 : http://www.krcert.or.kr 초기화면 → 왼쪽‘웹보안 4종 가이드’ 

기본적인 웹 해킹을 차단할 수 있는 공개 웹방화벽(ModSecurity, WebKnight) : http://www.krcert.or.kr 초기화면 → 

왼쪽‘공개 웹 방화벽을 이용한 홈페이지 보안’ 

공개 웹방화벽(ModSecurity, WebKnight)을 활용한 웹서버 보안 강화 가이드 : http://www.krcert.or.kr/ → 보안정보 

→ 기술문서[문서번호 : TR2008003, TR2008004] 

[표] 악성코드 유포지/경유지 사고 처리건수 

구분 

2007 

total 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

2008 

total 

유포지 

1,619 

107 

80 

117 

97 

164 

96 

218 

116 

83 

1,078 

경유지 

3,932 

483 

233 

718 

744 

1,031 

571 

513 

371 

333 

4,997 

합계 

5,551 

590 

313 

835 

841 

1,195 

667 

731 

487 

416 

6,075 

416 

(그림) 월별 악성코드 유포지/경유지 사고 처리건수 


30


■ 기관별 분류 

악성코드 유포 및 경유지로 악용된 사이트를 기관별로 분류하면 기업(70.7%), 기타(개인)(20.9%), 

비영리(4.3%) 홈페이지 순이었으며, 특히 기업으로 분류된 co.kr, com 도메인이 악성코드 유포 및 

경유사이트로 많이 악용되는 것으로 나타났다. 

- 이는 해커가 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포 및 경유사이트로 악용 

하고 있는 것으로 판단된다. 

[표] 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 

기관 

2007 

2008 

total 1 2 3 4 5 6 7 8 9 10 11 12 

기업 3,122 373 175 536 617 826 466 433 299 294 

대학 112 14 6 9 11 19 15 7 6 1 

비영리 288 45 27 56 55 94 51 37 43 18 

연구소 11 0 0 0 2 4 2 3 0 0 

네트워크 200 36 11 97 53 77 24 21 17 16 

기타(개인) 1,818 122 94 137 103 175 109 230 122 87 

총계 5,551 590 313 835 841 1,195 667 731 487 416 

※ 기관 분류기준 : 기업(co,com), 대학(ac), 비영리(or,org), 연구소(re), 네트워크(ne,net), 기타(pe 등) 

2008 

total 

4,019 

88 

426 

11 

352 

1,179 

6,075 

네트워크3.8% 

비영리4.3% 

대학0.2% 


20.9% 

기업 

70.7% 

(그림) 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 


31 2008년 9월호


■ 웹서버별 분류 

악성코드 유포 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 MS IIS 웹서버가 274건 

(65.9%), Apache 웹서버가 33건(7.9%), 기타 109건(26.2%)로 분류되었다. 

[표] 악성코드 유포지/경유지 사이트 웹서버 별 분류 

웹서버 2007 

total 

2008 

1 2 3 4 5 6 7 8 9 10 11 12 

2008 

total 

MS IIS 

3,226 

415 

159 

525 

555 

749 

361 

279 

300 

274 

3,617 

Apache 

304 

32 

49 

63 

67 

31 

31 

83 

22 

33 

411 

기타 

2,021 

143 

105 

247 

219 

415 

275 

369 

165 

109 

2,047 

합계 

5,551 

590 

313 

835 

841 1,195 

667 

731 

487 

416 

6,075 

※ 웹서버별 구분 자료는 각 운영체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임 

※ 악성코드 유포지/경유지 사이트가 이미 패쇄 되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음 


32

부록 

주요 포트별 서비스 및 관련 악성코드 


포트번호 

프로토콜 

서비스 

관련 악성코드 

22 

TCP 

SSH Remote Login Protocol 

[trojan] Adore sshd, [trojan] Shaft 

Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, 

80 

TCP 

World Wide Web, HTTP 

Yaha,Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor, 

Executor, Hooker, RingZero, Seeker, WAN Remote, 

Web Server CT, WebDownloader, Zombam 

135 

TCP/UDP 

DCE endpoint resolution, 

MS-RPC 

Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, 

Lovgate, Spybot 

139 

TCP 

Netbios-ssn 

God Message worm, Netlog, Qaz, Deborms, Moega, 

Yaha 

Agobot, Deloder, Yaha, Randex, Welchia, Polybot, 

445 

TCP 

netbios-ds 

Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, 

Zotob, IRCBot, SDBot 

1025 

TCP/UDP 

network blackjack 

Dasher, Remote Storm, ABCHlp, Lala, Keco 

1080 

TCP/UDP 

SOCKS Protocol 

MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 

1433 

TCP/UDP 

Microsoft-SQL-Server 

Spida, SQL Snake 

1434 

TCP 

Microsoft-SQL-Server 

SQL Slammer 

2745 

TCP 

urbisnet 

Bagle 

3410 

TCP/UDP 

NetworkLens SSL Event 

OptixPro, Mockbot 

4899 

TCP 

radmin-port 

RAdmin Port 

5000 

TCP/UDP 

commplex-main 

Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, 

Bobax, Trojan.Webus 

6129 

TCP/UDP 

DameWare 

Mockbot. 

33 2008년 9월호


용어정리 

구분 

구성설정오류 공격 

바이러스(Virus) 

바이러스 월(Virus Wall) 

버퍼오버플로우 

(Buffer Overflow) 

봇(Bot) 

분산서비스거부공격 

(DDoS : Distributed DoS) 

불법자원사용 

불법침입 

서비스거부공격 

(DoS : Denial of Service) 

스파이웨어(Spyware) 

스팸릴레이(Spam Relay) 

허니넷 

악성프로그램 

악성프로그램 공격 

애드웨어(Adware) 

웜(Worm) 

내용 

운영체제 및 응용프로그램의 설정 오류(위험성이 있는 기본설정의 사용, 사용자 편의를 위한 

설정 조정 등)를 이용하는 해킹기법으로 홈페이지 위∙변조, 불법침입 등에 주로 이용됨 

컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여 

불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드 

네트워크 환경 내부에 인-라인(In-line) 상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽 상의 

네트워크 바이러스를 예방 및 차단하는 시스템 

메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어씀으로써 호출 프로그램으로의 복귀오류 등 

을 일으켜 정상적인 프로그램의 실행을 방해하는 대표적인 공격기법 

운영체제 취약점, 비밀번호의 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전 

달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램 

또는 실행 가능한 코드 

DoS용 에이전트를 여러 개의 시스템에 설치하고, 이 에이전트를 제어하여 DoS 공격을 함으로써 보 

다 강력한 공격을 시도할 수 있으며, 공격자에 대한 추적 및 공격트래픽의 차단을 어렵게 만드는 공 

격형태 

정당한 권한 없이 특정 시스템을 스팸릴레이, 피싱사이트 개설 등에 이용하는 행위 

주요 정보∙자료를 수집 또는 유출하기 위하여 정당한 권한 없이 시스템에 침입하는 행위 

특정 네트워크에서 허용하는 대역폭을 모두 소모시키거나, 공격대상(victim) 시스템의 자원(CPU, 메 

모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 대한 공격으로 서비스를 

못하도록 만드는 공격 

이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템, 데이터 또는 프로그램 등을 훼손∙멸 

실∙변경∙위조하거나 정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램. 즉, 이용자 

의 동의 없이, 웹브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운영을 방해∙ 

중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집∙전송하는 등의 행위를 하는 

프로그램 

스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용 

KISA 인터넷침해사고대응지원센터 내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위, 

웜∙바이러스 등을 수집 

사용자의 시스템에 설치되어 백도어를 오픈하여 정보를 유출하거나, 시스템의 정상적인 동작을 방해 

하는 프로그램 

컴퓨터 시스템에 악성프로그램을 설치하게 유도하거나 고의로 감염시키는 해킹기법으로 주로 백 

도어 등을 이용하여 상대방의 주요 정보를 빼내기 위한 목적으로 이용함 

사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가 

의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드 

독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한 

코드 


34


구분 

취약점정보수집 공격 

침입시도 

트로이잔(Trojan) 

피싱(Phishing) 

해킹(Hacking) 

ASP.NET 

Botnet 

DHTML Editing 

Component ActiveX 

E-mail 관련 공격 

Hyperlink 개체 라이브러리 

KrCERT/CC 

LLS 

NetBIOS 

OLE/COM 

PNG 

SMB 

TCP Syn Flooding 

Windows SharePoint 

Services 

Windows Shell 

내용 

대상시스템의 운영체제, 설정 등을 알아보기 위하여 스캔하는 등의 행위로 주로 해킹의 사전단계로 이용됨 

시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위 

자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도 

하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드 

정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기 

수법으로 Bank Fraud, Scam이라고도 함 

다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나, 정보시스템의 정상적인 기능이나 데이터에 임의적 

으로 간섭하는 행위 

개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과 스크립팅 

을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를 제공함 

많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크 

인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤 

상대방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 E-mail을 보냄으로써 상 

대방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨 

응용프로그램들이 HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공 

KISA내 침해사고대응팀(CERT)으로서, 국내에서 운영되고 있는 인터넷 망의 침해사고 대응 활동을 지원 

하고, 전산망 운용기관 등에 대해 통일된 협조 체제를 구축하여, 국제적 침해사고 대응을 위한 단일창구를 

제공하기 위하여 설립됨 

License Logging Service의 약자로 MS서버제품에 대한 라이센스를 고객이 관리할 수 있도록 해주는 도구 

네트워크의 기본적인 입출력을 정의한 규약 

Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의 일종 

으로서 서로 다른 응용프로그램이나 플랫폼이 데이터를 공유하는데 사용 

Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX 

환경에서 아이콘 등에 많이 사용 

Server Message Block의 약자로 파일이나 네트워크 폴더 및 프린터 공유 등에 사용되는 프로토콜 

TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을 보내서 대 

상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격 

많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한 서비스 

윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있다. 

35 2008년 9월호

ì¸í°ë·ì¹¨í´ì¬ê³

Create successful ePaper yourself

Delete template?

Save as template?

ì¸í°ë·ì¹¨í´ì¬ê³