You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
▣ 개요뉴질랜드, 정부통신보안국의 개인정보감시기능 확대를 위한 법안통과○ 뉴질랜드의 정보기관 중 하나인 정부통신보안국(GCSB : Government Communications<strong>Security</strong> Bureau)의 개인정보 감시기능을 확대하는 법안이 결국 통과되면서, 개인 자유침해의 역기능에도 불구하고 국가안보를 위해 정보기관의 기능 강화에 전 세계적인 이목이 집중됨- 마이크로소프트, 구글, 페이스북 등의 거대 IT기업들은 정부통신보안국의 감시 권한 강화는 궁극적으로 시민 자유의 침해와 경제성장에 방해요소가 될 것이라고 우려를 표함▣ 시사점○ 전 CIA요원 에드워드 스노든의 폭로 사건 등으로 드러난 국가의 감시기능에 대해 큰논란이 되는 가운데, 국가감시기능의 강화를 위한 법의 통과는 다른 국가들의 향후 행보에 큰 파장을 야기할 수 있음○ 국가안보를 위해서 정보수집기능을 강화하면 이에 비례해서 국민 자유가 제한될 가능성은 증가하기 때문에, 국가차원에서 역기능 방지 장치의 마련이 필요함Ⅰ. 월간 이슈▣ 주요개요○ 뉴질랜드에서 정부통신보안국의 개인정보 감시활동 기능을 확대하는 법안이 결국 통과되어 전 세계적으로 논란이 되고 있음- 정부통신보안국의 감시대상은 외국인으로 한정되어 있었으나, 이번 법안의 통과로 뉴질랜드 영주권자와 시민권자에 대한 개인정보 감시활동도 합법화됨[출처]1.Naked<strong>Security</strong>, nakedsecurity.sophos.com, “New Zealand narrowly passes domestic spying legislation”,2013.8.232.Zdnet, www.zdnet.com, “Spy law passed in New Zealand”, 2013.8.213.New Zealand Herald, www.nzherald.co.nz, “GCSB bill passes after final reading“, 2013.8.21○ 이번 법안의 발의는 불법파일공유사이트를 운영하는 독일계 외국인 Kim Dotcom에 대한 수사행위 불법논란에 기인함- Kim Dotcom은 해적판의 온라인판매, 저작권 침해, 돈세탁 등의 불법행위 혐의로 압수수사를 받았지만, 뉴질랜드 영주권을 소유한 외국인이어서 감시행위의 불법여부가 논란이 됨- 뉴질랜드 대법원은 2012년 1월에 발부된 수사영장은 정당하지 않고 압수물품은 혐의 내용과 관련성이적은 것으로 판결을 내렸음- 그러나, 이번 개정법의 통과는 정부통신보안국의 감시활동 범위 확대로 정부에게 유리한 방향으로 바뀌게 됨- John Key 뉴질랜드 총리는 법안 개정 이후, 지금까지 과소평가해왔던 위협들로부터 국민들을 보호하기 위한 목적이라고 개정 취지를 발표함○ 법조계, 거대 IT기업, 인권단체들은 정부의 개인정보 감시시스템 강화를 알리는 계기가된 사건이라고 언급하며, 법안 도입을 반대함- 이번 법안은 단순한 자국민 감시의 허용이 아니라, 모든 다양한 형태의 개인 데이터에 대한 감시의 가능성을 정부에게 열어주는 근간이 되는 법안이기에 반대의견이 강함08 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향Ⅰ. 월간 이슈 09
▣ 개요FBI, 사이버 공격 전문 포털 개설○ 미국 연방수사국인 FBI가 자국 내 기업들을 대상으로 한 사이버 위협 발생에 더욱 신속하게 대응하기 위해 전문 포털 사이트인 ‘아이가디언(iGuardian)’의 시범 운영을 개시- 민간 기업들, 사이버 공격 발생 사실을 온라인 포털을 통해 FBI에 보고- 아이가디언은 민간 기업들이 사이버 공격 및 위협 발생 사실을 인지한 즉시 온라인을 통해 보고할 수 있도록 하는 한편, 관련 정보 및 향후 대응책 등을 지원하기 위해 개발- 이번 시범 운영에는 약 5만 8,000개의 기업이 참여▣ 주요내용○ 보고된 정보는 19개 관련 공공기관들로 구성된 국가 사이버 조사 합동 태스크포스(Natioanl <strong>Cyber</strong> Investigative Joint Taskforce, NCI-JFT)팀이 접수- NCI-JFT는 접수된 정보를 기반으로 사이버 위협의 원인과 발생 경로를 추적하고, 해커들이 추후 공격가능한 취약점을 분석해 보완책 도출을 지원○ 아이가디언은 테러와 관련된 사이버 활동을 추적하기 위해 2009년부터 운영해왔던‘e가디언(eGuardian)’에서 파생- e가디언은 국방부(Department of Defense, DoD)와 연방정부, 주정부, 지자체 내 관련 기관들이공동으로 운영해 왔던 테러 관련 정보 저장소- 새롭게 구축된 포털을 통해 FIB는 더욱 상세한 공격 정보 및 패턴 파악이 가능해질 것으로 기대- 또한 FBI가 공격을 받은 기업명을 밝히지 않고도 사이버 공격 관련 분석 정보를 제공하는 것도 가능해질 전망○ 아울러 FBI는 아이가디언에 멀웨어 관련 정보 수집 및 분석 툴을 추가해 민간 부문에서활용할 수 있도록 할 예정- 아이가디언은 사이버 보안 사고 발생에 대한 보고 체계 표준화에도 기여- 맥필리 국장에 따르면 아이가디언의 보고 방식은 기존의 경찰 보고와 같이 사건 발생 경위와 시기를 중심으로 보고- 맥필리 국장은 기존에는 사이버 보안 침해 사고에 대한 정보는 기업이 임의적으로 FBI에 제공하거나FBI가 직접 조사를 통해 정보를 수집하는 방식이었기 때문에 통일된 정보 및 데이터 수집에 어려움이있었다고 설명- 그러나 아이가디언을 통해 FBI는 발생 경위 등이 동일한 형태로 구성된 사건 보고 및 정보를 획득할 수있다는 것- 맥필리 국장은 수많은 기업들은 각각 사이버 보안 관련 조직을 운영하고 있는 가운데, 아이가디언의 통합된 인터페이스를 통해 모든 산업 분야를 포괄하는 정보 공유 체계를 마련할 수 있을 것이라고 강조○ 아이가디언의 운영은 FBI와 민간 부문 간 협력과 의사 소통을 향상시키기 위한 통로로서도 큰 의미를 갖는 시도- 맥필리 국장은 FBI는 특히 사이버 보안과 관련해 민간 기업들과 좋은 파트너십을 형성하기 어려웠다는점을 시인- 이전에는 FBI 측에서 먼저 공격 사실을 발견하고 기업의 네트워크를 조사해 피해 사실을 기업 측에 알리는 수순으로 진행- 그러나 방법론이나 정보원 등 공개하기 민감한 사안들 때문에 피해자들에게 상세하게 정보를 제공할 수없었고, 민간 기업 차원에서는 FBI를 경계하는 경우가 많았다고 설명- 아이가디언은 FBI가 민간 부문과의 관계 개선 방안을 연구해 온 결과물로써, 민간과 정보 및 지식을 공유함으로써 사이버 위협으로부터 네트워크 보호 체계의 강화를 도모○ 한편, 민간 부문에서도 정보 공유를 통한 사이버 위협 대응 체계 강화의 중요성을 인지- 카네기멜론대학(Carnegie Mellon University) 소프트웨어 엔지니어부의 트로이 매턴(TroyMattern) 기술 부장은 최근 업계에서는 이러한 방식의 정보 공유 체계를 받아들이고 있는 양상이라고지적- 트로이 부장은 한쪽에서 특정 사건에 대한 발생 정황 정보를 제공하면 다른 한쪽이 문제 발생 원인 등을면밀히 분석하는 방식을 ‘분석적 공동 연구(analytic collaboration)’라고 일컫는데 민간 부문에서 이에 대한 관심이 높다고 설명Ⅰ. 월간 이슈- FBI의 범죄, 사이버, 대응 서비스국(Criminal, <strong>Cyber</strong>, Response Services Branch)의 릭 맥필리(Rick McFeely) 국장은 FBI는 이미 내부적으로 악성코드 분석력을 갖추고 있으며 이를 향후 2년 내에민간 부문에도 적용할 수 있도록 하기 위한 테스트 과정에 있음을 언급○ 공공 및 민간 부문에서 사이버 위협에 대한 보고 체계 표준화와 정보 공유의 중요성 대두[출처]1. FCW, “FBI launches cyber threat info-sharing platform”, 2013.7.302. Federal News Radio, “FBI launches iGuardian to standardize cyber threat data sharing”, 2013.7.313. Federal Times, “FBI launches cyberattack reporting portal for industry”, 2013.7.3010 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향Ⅰ. 월간 이슈 11
▣ 개요NIST, 대통령 행정명령에 따른 사이버보안 프레임워크 초안 공개○ 대통령 행정명령에 따라 사이버보안 프레임워크 구축 작업을 진행 중인 미국 표준기술연구소(National Institute of Standards and Technology, NIST)가 해당 프레임워크의 초안을 공개○ 각각의 기능에 따라 세부 항목이 제시되고, 이는 다시 하위 항목으로 구체화- 항목별로 필요한 정보 레퍼런스는 물론 표준, 실행안, 가이드라인 등도 함께 제시될 예정- 핵심 인프라 시스템 및 IT 재원 운영을 담당하는 조직 내에서도 각기 다른 지위 또는 부문을 3가지로 구분해 적용토록 지시- 즉, 프레임워크는 조직 내 고위 경영진, 비즈니스 프로세스 담당자, 운영 담당자 별로 다른 역할과 책임을 부여하는 것- 프레임워크의 구현은 각 부문 별로 3단계에 걸쳐 실행해 나가도록 제시Ⅰ. 월간 이슈- 지난 2월에 발표한 국가 핵심 인프라의 사이버보안 향상에 관한 행정명령에 사이버보안 네트워크 강화를 위한 프레임워크 작성이 핵심 내용으로 포함프레임워크 항목 구체화 작업 구조 및 구현 단계▣ 주요내용○ 행정명령에 의거해 미국 정부가 NIST에 사이버보안 프레임워크 개발을 요청함에 따라,NIST는 관련 이해 진영들과의 협조 아래 핵심 인프라 시설의 보호를 도모하기 위한 표준, 가이드라인, 최상의 실행안 등을 담은 프레임워크를 개발 중- 프레임워크 초안은 사이버보안 프레임워크의 전반적인 구조를 정의하고 프레임워크 적용 가이드라인을제시- 프레임워크의 구조는 ▲개괄(Executive Overview), ▲요약(Document Summary), ▲프레임워크활용 방법, ▲프레임워크의 위험 관리적 접근법, ▲프레임워크 전개 과정, ▲결론 등으로 구성- 그러나 프레임워크 초안은 NIST가 개발 중인 프레임워크의 구조와 틀을 공개함으로써 부족한 정보가무엇인지를 파악하기 위한 과정이기 때문에 표준이나 가이드라인 등의 상세 내용은 배제되어 있는 상황※ 출처 : NIST○ 이번 초안에서는 프레임워크를 통해 핵심 인프라 관련 조직 경영자들의 적극적인 참여와 관심을 이끌어내는데 초점을 맞춰야 한다고 강조- NIST에 따르면, 그 간 워크숍을 통해 사이버보안 프레임워크가 더욱 효과적으로 조직에 도입 및 활용되기 위해서는 핵심 인프라 관련 조직 경영자들의 적극적인 참여가 요구된다는 의견이 지속적으로 제기- NIST는 발표될 프레임워크의 도입부에서 인프라 관련 조직의 경영진들에게 사이버보안 프레임워크의목적, 필요성, 적용 등을 환기시키고, 관련 내용은 향후 프레임워크와는 별도로 구조화 작업을 걸쳐 독립적인 보고서 형태로 제공할 예정- 프레임워크는 사이버보안에 대한 조직의 접근법을 핵심적 기능(Functions)에 초점을 맞추도록 함으로써 고차원적이고 총체적인 관점에서 조직의 사이버보안 위협을 관리할 수 있는 툴을 제공- 초안에서 제시하고 있는 사이버보안의 핵심 기능으로 인지(Know), 예방(Prevent), 감지(Detect), 대응(Respond), 복구(Recover)를 제시▣ 향후 계획○ 프레임워크 구체화를 위해 관련 전문가들로부터 꾸준히 의견 수렴하여 2014년 초 최종완료○ NIST는 프레임워크 개발을 위해 정부, 산업, 학계 등 관련 이해 진영은 물론 일반 국민들로부터 피드백을 수용- 피드백 수용을 위해 먼저 NIST는 정보요청서(Request for Information, RFI)를 활용해 각 이해 진영의 수요 및 요구 사항, 관심 영역 등을 파악- RFI를 기반으로, NIST는 기존의 사이버보안 표준, 가이드라인, 프레임워크, 구체적 실행안 가운데 핵심 인프라 부문의 사이버보안 향상에 적용 가능한 항목이 무엇인지를 선별하고, 기존 프레임워크 대비개선점을 구체화하며, 실천을 위한 액션 플랜을 개발12 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향Ⅰ. 월간 이슈 13
- 또한 워크샵 개최를 통해 추진 상황을 공개하고 그에 대한 개선점이나 요구 사항 등을 수집하고 이를 프레임워크 개발 과정에서 적극 반영II. 인터넷 보안 동향○ 이번 프레임워크 초안을 토대로 추가 개선 사항 수렴을 위한 4번째 최종 워크샵을 오는 9월에 개최할 예정이며, 10월에는 프레임워크 예비 버전을 공개할 계획[출처]1. NIST, “DRAFT Outline - Preliminary Framework to Reduce <strong>Cyber</strong> Risks to Critical Infrastructure”, 2013.7.12. Fierce Government IT, “NIST releases draft outline of cybersecurity framework”, 2013.7.3>해킹그룹 ‘시리아 전자부대’ 트위터, 뉴욕타임즈 공격II. 인터넷 보안 동향▣ 개요○ 해킹그룹 시리아 전자부대에 의해 트위터 도메인 DNS 권한을 획득, 뉴욕타임즈 웹사이트를 다운시키는 해킹공격 발생※ 시리아 전자부대(SEA : Syrian Electronic Army) : 시리아 대통령 ‘바샤르 알 아사드’ 관련된 친정부 해커조직으로 정치적 목적에 의해 서양의 언론사, 인권단체에 디도스공격, 웹변조 등 사이버공격 감행▣ 주요 내용○ 시리아 전자부대는 8.27(화) 트위터 후이즈 정보에 소유자 이메일 주소를 domains@twitter.com에서 sea@sea.sy 로 변경하는 해킹공격 발생시킴< 시리아 전자부대에 의한 트위터 도메인 소유자 변경내용 >14 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향II. 인터넷 보안 동향 15
- 시리아 전자부대는 자신들의 공식 트위터(@Official_SEA16)를 통해, 트위터 도메인 권한을 획득했음을 밝힘토르(Tor) 네트워크로 Firefox 취약점을 악용한 정보 탈취 공격▣ 개요< 시리아 전자부대 공식 트위터 >○ 토르(Tor) 네트워크를 통해 호스트 되고 있는 웹사이트들이 Firefox 브라우저의 취약점을 악용한 악성 스크립트를 유포하는 것이 발견됨○ 8.27(화) 오후에 뉴욕타임즈는 외부공격에 의해 다운되었고 시리아 전자부대에 의한 것으로 추정됨을 밝힘- 뉴욕타임즈는 최초 사이버공격이 도메인 네임 등록기관을 통해서 발생했으며, 직원들에게 중요한 이메일을 보내지 않도록 조치했음을 보도함- 뉴욕타임즈에는 ‘미군의 시리아 공격’ 관련 기사가 있었으며, nytimes.com 뉴욕타임즈 DNS 서버가공격을 당해, sea.sy 주소로 리다이렉션 되도록 변경함- 뉴욕타임스에 접속하면 ‘SEA가 해킹했다(Hacked by SEA)’라는 문구와 함께 칼과 월계수 등을 조합한 이미지로 변조함※ 토르 네트워크(Tor Network) : 온라인 공간에서 개인 정보보호, 표현의 자유를 위한 익명성을 제공해 주는 가상 컴퓨터 네트워크▣주요 내용○ 악성코드를 유포하는 웹사이트들은 토르(Tor) 네트워크를 이용하여 호스팅 서비스를제공하는 업체인 Freedom Hosting을 통해 유포가 이루어 졌으며, 발견된 악성코드는Firefox ESR-17 버전을 사용하는 토르 브라우저 번들의 Firefox 브라우저 취약점(CVE-2013-1690)을 이용함II. 인터넷 보안 동향○ 취약한 서버에 호스팅 되고 있는 웹사이트에는 iframe을 생성하는 악성 자바스크립트가 있으며, 자바스크립트는 사용자들의 컴퓨터에 고유 ID를 가진 쿠키 파일을 생성< 뉴욕타임즈 홈페이지 변조 >- 시리아 전자부대는 수개월동안 톰슨 로이터, BBC, 60 Minutes 등 유명 언론사의 웹사이트 및 소셜네트워크 계정을 공격한 전력이 있었음[출처]1. Cnet, “Syrian Electronic Army implicated in Twitter, New York Times attacks”, 2013.08.27< 토르(Tor) 네트워크를 이용한 공격 흐름도 >○ 웹사이트에서 자바스크립트를 통해 만들어진 iframe은 공격자의 서버로부터 HTML 파일에 대한 요청을 전달하며, 전달된 HTML 파일은 Firefox 브라우저의 취약점을 악용하며 페이로드를 실행함16 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 17
○ 공격이 이루어지면, 감염된 컴퓨터의 로컬 호스트 이름과 네트워크 카드 고유의 MAC어드레스 정보를 탈취해 공격자 서버로 전송함마이크로소프트 社 시타델(Citadel) 봇넷 대부분 제거GET /05cea4de-951d-4037-bf8f-f69055b279bb HTTP/1.1Host: PXE306141 (로컬 호스트 이름)Cookie: ID=0019B909D908 (실제 MAC 어드레스)Connection: keep-aliveAccept: */*Accept-Encoding: gzip< 실제 전송되는 정보 >○ 공격자는 네트워크 고유의 MAC 어드레스, 로컬 호스트 이름, 쿠키 정보들을 통해 공격과 관련한 시스템들의 위치를 찾아내는데 도움을 받을 수 있으며, 이 방법이 법적으로인정받는다면 네트워크 카드의 구매이력 등을 통하여 해당 시스템을 추적하는 것이가능[출처]1. http://www.symantec.com/connect/blogs/tor-anonymity-comes-under-attack▣ 개요○ 금융정보를 노리는 시타델(Citadel) 악성코드 봇넷의 88%가 美 FBI와 마이크로소프트 社 ,금융서비스회사 등의 공동작전으로 제거됨※ ‘시타델(Citadel)’ : 전세계 200만대의 PC를 감염시켜 은행계좌 접속정보 등을 빼돌리고 금융기관에서 돈까지 빼낸악성코드로 ’제우스(Zeus)‘ 봇넷의 진화형이며, 세계 최대의 사이버 범죄사건 중 하나를 일으킴 - 약 5억 달러(약 5천652억원) 손실 추정▣ 주요내용○ 지난 6월 5일부터 美 FBI와 마이크로소프트 社 , 기술회사, 금융서비스회사가 공조하여시작된 작전명 ‘시타델(Citadel) 봇넷 소탕작전’으로 봇넷의 88%가 소탕됨II. 인터넷 보안 동향○ 또한 마이크로소프트 디지털범죄대응단(DCU, Digital Crime Unit)의 부 법무자문위원인리차드 도밍고스 보스코비치는 시타델 봇넷에 감염된 PC를 확인·치료를 위해 공격자가 사용한 명령제어서버를 확보하여 MS의 “싱크홀” 시스템으로 변경함※ DNS 싱크홀 : 봇에 감염된 PC가 해커와 연결을 시도할 때 해커의 시스템 대신 싱크홀서버로 연결하도록 해 더 이상해커로부터 악용당하지 않도록 해주는 시스템○ 싱크홀 시스템을 통해 악성코드에 감염된 약 1300만개의 단일 IP를 확보했으며, 쉐도우서버 단체와 같은 안티-맬웨어 기관과 다른 연구원들과의 적극적인 대응으로 현재 약40% 감염 PC를 치료함- 국가별 시타델(Citadel)에 감염 통계(’13.6.2 ~ 7.21)를 확인한 1위는 독일, 2위 대만, 3위 이탈리아순이었으며, 한국은 Top 10 순위에 포함되지 않았음< 시타델에 감염된 국가별 IP 현황 - ’13.6.2 ~ 7.21 >18 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 19
○ 하지만 최근 일부 보안 전문가들은 마이크로소프트 社 가 봇넷 소탕 작전 중 명령제어서버로 접속하는 감염된 PC를 마이크로소프트의 싱크홀로 접속 변경하게 하는 과정에서감염PC 소유자의 동의 없이 설정 파일을 PC에 강제 전송함에 따라 권한 남용을 우려하며, 너무 광범위한 활동을 한다고 비판함▣ 개요Apache Webserver를 타겟으로 하는 신종 백도어 악성코드 출현○ 이에 보스코비치는 마이크로소프트는 법원으로부터 감염된 PC에 대한 명령제어서버차단해제의 권한을 획득했기에 아무 문제가 없다고 밝힘○ 웹 서비스용으로 가장 많이 사용되는 서버 프로그램 중 하나인 ‘Apache Webserver’를대상으로 하는 신종 위협 출현 (7.26)[출처]1. http://www.computerworld.com/s/article/9241117/FBI_Microsoft_takedown_program_blunts_most_Citadel_botnets?taxonomyId=172. http://blogs.technet.com/b/microsoft_on_the_issues/archive/2013/07/25/public-private-partnershipsessential-to-fighting-cybercriminals.aspx?Redirected=true※ 해당 내용은 해외 보안업체 ESET과 Sucruri의 전문가들에 의해 밝혀짐○ 해당 위협은 고도화된 숨기기능이 포함된 백도어이며 이로 인해 서버로 전달되는 트래픽이 ‘Blackhole exploit’ 팩이 적용된 악성 웹 사이트로 유도되어 추가 피해 발생 가능※ ‘Blackhole Exploit Pack’ : Drive-By-Download 공격에 주로 이용되는 취약점 공격 도구II. 인터넷 보안 동향▣ 주요내용○ 보안 전문가들은 해당 백도어를 ‘Linux/Cdorked.A’라고 명명하고 있으며 현재까지 나온 Apache 백도어 중 가장 정교하게 제작된 것으로 분석※ 현재까지 확인된 바로는 윈도우즈 Apache webserver를 타겟으로 하는 공격은 발견되지 않음○ 해당 백도어 악성코드는 서버상의 공유 메모리에 동작에 필요한 정보를 저장하고 있어탐지와 분석이 어려운 것으로 조사됨※ 특히, Apache 데몬을 변경하는 것은 물론 하드 디스크 상에 어떠한 흔적도 남기지 않음○ 더불어, 백도어는 공격자로부터 암호화된 HTTP 요청을 통해 설정파일을 수신하며 해당 정보는 확인 불가함은 물론 Apache 서버에 의해 로깅조차 되지 않음< 해커가 감염된 Apache 웹서버로 전송하는 명령 - ESET 분석내용 인용 >※ 수신된 정보는 메모리상에 저장되어 있어 C&C 추적과 서버 포렌식으로 탐지하기 어려움20 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 21
○ 감염된 Apache 웹 서버는 해커가 보낸 특별한 HTTP GET 요청에 의해 연결 및 명령을수행하도록 유도할 수 있으며 분석결과 총 23가지의 명령 존재※ ‘DU’, ‘ST’, ‘T1’, ‘L1’, ‘D1’, ‘L2’, ‘D2’, ‘L3’, ‘D3’, ‘L4’, ‘D4’, ‘L5’, ‘D5’, ‘L6’, ‘D6’, ‘L7’, ‘D7’, ‘L8’, ‘D8’,‘L9’, ‘D9’, ‘LA’, ‘DA’.○ ESET 보안업체에서는 모니터링 결과 수백대의 웹 서버가 해당 백도어에 의해 장악된것으로 이로 인해 수천명 이상의 접속자가 악의적인 사이트로 유도된 것으로 분석○ 암호화된 HTTP 요청과 숨김 기능으로 인해 탐지가 어려운 점을 감안하여 ESET에서는 공유 메모리상에서 해커에 의해 전송된 설정파일을 덤프할 수 있는 도구를 배포 중 [출처 2][출처]※ 수신된 설정파일은 메모리상에 저장되어 있어 C&C 추적과 서버 포렌식으로 탐지 어려움1. http://www.computerweekly.com/news/2240182904/Hackers-open-malware-backdoor-in-Apachewebservers2.http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdoor-in-the-wild-servesblackhole/▣ 개요아버네트웍스, CMS 웹사이트를 공격하는 FORT DISCO 봇넷발견○ 아버네트웍스는 CMS를 사용하는 웹사이트를 타겟으로 공격하는 Fort Disco 봇넷에 의해 788개의 CMS 웹서버 해킹 및 2만 5천 여대의 PC가 감염 되었다고 발표함 (8.7)※ CMS(Content Management System) : 게시판, 블로그 등과 같은 웹사이트를 제작할 수 있는 설치형 패키지 프로그램▣ 주요 내용○ 아버네트웍스 SERT(<strong>Security</strong> Engineering & Response Team)는 2013 3월 말부터 현재까지 Fort Disco 봇넷을 분석한 결과, C&C 6개 및 감염된 윈도우 PC 2,500대를 확인○ 봇넷의 악성코드 PE 파일 속성 필드에 남아있는 File Description에 ‘Fort Disco MildFore Mend Beeps’ 이라는 문구가 확인 되어 ‘Fort Disco’ 봇넷이라 명명II. 인터넷 보안 동향○ Joomla, WordPress, Datalife 엔진이 설치된 6,000여개의 웹서버 대한 관리자의 아이디/패스워드 추측 공격을 시도함- 세 개의 CMS가 공격 대상이며, 각각의 URL 경로는 아래과 같음공격 대상 CMS명JoomlaWordPressDatalife Engine공격 URL 경로/administrator/index.php/wp-login.php/admin.php※ Joomla : PHP로 작성된 오픈 소스 콘텐츠 관리 시스템으로, MySQL 데이터베이스를 이용해 웹상에서 다양한 컨텐츠를 관리, 보관, 출판할 수 있는 기능※ WordPress : 세계 최대의 오픈 소스 콘텐츠 관리 시스템으로, HTML, PHP 코드를 수정하지 않고 웹 환경에서 다양한 테마 설치하여 쉽게 사용할수 있음※ Datalife Engine: 러시아에서 인기 있는 자바 기반의 콘텐츠 관리시스템- 공격 대상 및 아이디/패스워드 리스트 6,000여개를 CMS 별로 분류한 결과, Joomla가 54.9% 가장많았으며, WordPress가 41.1%, Datalife Enge이 4%로 나타남22 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 23
○ 공격자가 선택한 공격 대상의 도메인 TOP 5을 분석한 결과, RU 도메인이 1위를 차지했으며, .COM 도메인이 2위, UA 도메인이 3위로 나타남▣ 시사점○ 홈페이지 및 블로그로 널리 사용되는 CMS는 해커의 주요 공격 대상이 되므로 CMS를사용하는 웹사이트 관리자는 아이디 패스워드 추측 공격에 대한 탐지 및 차단 필요[출처]1. http://www.zdnet.com/fort-disco-the-new-brute-force-botnet-7000019126/2. http://www.arbornetworks.com/asert/2013/08/fort-disco-bruteforce-campaign/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+asert+%28DDoS+and+<strong>Security</strong>+Reports+%7C+Arbor+Networks+<strong>Security</strong>+Blog%29&utm_content=FeedBurner+user+viewII. 인터넷 보안 동향- 대상 사이트의 대부분은 러시아 또는 우크라이나에 있는 것으로 확인순위 공격 대상 도메인 유형 도메인 개수1 RU 2,5822 COM 1,6013 UA 3484 NET 3295 ORG 254○ 공격에 사용된 패스워드의 TOP 5를 분석한 결과, Admin, 연속된 숫자, 도메인명이 상위를 차지했으며, 그 외에 pass, 숫자와 문자 조합(abc123) 등이 다수를 차지함순위 패스워드 사용된 횟수1 admin 8932 123456 5883 123123 3714 12345 3605 {domain} 248○ 패스워드 추측 공격에 성공한 788개의 사이트에는 “FilesMan”PHP 백도어가 설치됨- 백도어는 패스워드로 보호되어 있으며, 공격자는 해당 서버의 파일 시스템을 탐색하고, 파일을 업로드,다운로드 및 임의의 명령 실행 가능24 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 25
유심카드의 취약점을 통한 휴대전화 해킹 가능※ AES(Advanced Encryption Standard) : 고급 암호화 표준으로 이전의 DES를 대체하며, 미국 표준 기술 연구소(NIST)가 5년의 표준화 과정을 거쳐 2001년 11월 26일에 연방 정보 처리 표준▣ 개요○ 카로스텐 놀(Karsten Nohl) 연구원은 블랙 햇 보안 컨퍼런스에서 오래되고 약한 암호화기술의 유심카드(SIM card) 취약점을 통하여 수십 억의 모바일 장치가 해킹 될 수 있다고 발표※ 카로노텐 놀(Karsten Nohl) : 독일의 보안 업체 시큐리티리서치랩의 암호 보안 전문가블랙 햇(Black Hat) : 매년 7월 말경 전 세계의 언더그라운드 해커들과 정보보호업계 종사자들이 라스베이거스에 모여컨퍼런스 개최▣ 주요내용○ 카르스텐 놀 연구원은 2013 블랙 햇 컨퍼런스에서 유심카드의 취약점을 발표○ 유심카드 현황 및 조사- 서비스 제공자는 서비스제공에 속하는 서버와 통신 할 수 있도록 특정 관리 프로토콜이 내장된 유심카드들을 소비자에게 판매- 유심카드와 서비스 제공자간의 통신은 기본적인 텍스트 메시지이며, 단말기 화면에 표시되지 않을 뿐유심카드에 직접 전달- 전 세계의 모든 휴대전화는 사용자의 인지 없이 메시지 송수신 기능을 포함한 유심카드를 사용- 약 3년 동안 연구에서 OTA(over-the-air)와 통신을 완전히 무시한 휴대전화는 한 개 밖에 없었다고 발표※ OTA(over-the-air) : 무선 통신 시스템에서 시스템 등록에 관한 정보를 송수신하기 위한 표준- 무차별 공격을 통해 유심카드와 사업자간의 통신을 가로챌 수 있으나, 시간과 비용이 많이 소비※ 1998년에 전자 프론티어 재단(EFF)에서는 56시간 안에 암호를 해독하는 무차별 대입 공격 하드웨어를 만들었으며,1999년에는 22시간 15분 안에 해독하는 하드웨어를 만듬- 유심카드는 오류메시지를 전달 할 경우에 DES키를 포함한 암호화한 장치서명을 응답하며, 이 취약점을 이용하여 조작된 OTA업데이트 메시지를 전송하였을 경우 DES키를 획득할 수 있음○ 획득한 DES 키를 이용하였을 경우 많은 문제점이 발생 할 수 있음- 암호화 된 56비트의 DES OTA 키를 해독하여 제어권을 획득- 키를 획득한 공격자는 악성코드 설치 통해 SMS 사기를 저지를 수 있으며, 발신번호를 숨기거나, 보이스 메일 조작, 전화 문자메시지 등을 리다이렉션 할 수 있고, 결제 시스템을 남용할 수 있음○ 발표자는 비용절감의 이유로 무선통신 사업자의 미흡한 기술지원에 대해 비판○ 네트워크 사업자들은 사전에 발표한 취약점에 대해서는 조치를 취함○ 발표자는 데이터 접근이 가능한 경우에 유심카드 복제 및 2G,3G,4G의 트래픽을 해독할 수 있으며, NFC 또한 복제가 가능하다는 것을 제기 하며, 유심카드 및 운영체제에대한 패치의 필요성을 주장[출처]1. http://threatpost.com/weak-encryption-enables-sim-card-root-attack/1015572. http://news.cnet.com/8301-1009_3-57594754-83/sim-card-flaw-said-to-allow-hijacking-of-millionsof-phones/II. 인터넷 보안 동향○ 유심카드의 자바애플릿 통신을 이용한 취약점에 초점- 공간 절약을 위해 DES암호 알고리즘을 기반으로 하는 유심카드는 OTA서버와 동일한 키를 사용※ DES(Data Encryption Standard) : 블록 암호의 일종으로 미국 NBS에서 국가 표준으로 정한 암호이고 대칭키암호이며, 56비트의 키를 사용- 대부분의 카드는 다양한 목적을 위해 사용되는 여러 개의 키가 있는 반면, 유심카드의 대부분은 여전히하나의 DES키를 사용함- 일부 제조업체는 3DES 및 AES로 업그레이드되고 있지만, 이도 일부에 지나지 않으며, 최근에 생산된유심카드임※ 3DES(Triple-DES) : DES를 세 번 반복해서 사용하여 DES에 비해 안전한 것으로 알려짐26 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 27
윈도우 로그인 계정정보를 변경하는 신종 랜섬웨어○ 악성코드 제작자 메신저 아이디 프로필에는 “약 20위안(약 4천원)을 입금하면 로그인할 수 있는 패스워드 전달”이라는 메시지가 존재▣ 개요○ 랜섬웨어에 감염된 PC 사용자가 취할 수 있는 조치는 아래와 같음○ 미국 보안업체 시만텍은 패스워드를 포함한 윈도우 계정 정보를 변경하여 PC 사용자가 정상적으로 로그인할 수 없도록 하는 중국어 버전의 신종 랜섬웨어를 발견함※ 랜섬웨어 : PC 내부 문서를 암호화 한 후 현금을 지불해야 패스워드를 알려주는 사기에 이용되는 악성코드로 랜섬(ransom:몸값)과 웨어(ware)의 합성어▣ 주요내용○ 해커들의 돈벌이로 자주 이용되는 랜섬웨어가 전 세계적으로 문제가 되고 있는 가운데, 중국어 버전의 새로운 랜섬기법이 적용된 악성코드를 발견했다고 미국 보안업체시만텍이 밝힘▶ 패스워드 “tan123456789”를 입력하여 로그인 후 새로운 패스워드로 재설정(단, 패스워드는 악성코드 제작자에 의해 언제든지 바뀔 가능성이 있음)▶ 미리 생성된 다른 관리자 계정으로 로그인 후 악성코드에 의해 변경된 패스워드 재설정▶ 안전모드로 부팅 후 최고 관리자 계정으로 로그인 후 패스워드 재설정▶ 윈도우 복구 디스크를 이용하여 패스워드 재설정[출처]1. http://www.symantec.com/connect/blogs/chinese-ransomlock-malware-changes-windows-logincredentialsII. 인터넷 보안 동향- 발견된 신종 랜섬웨어는 중국으로부터 유포된 것으로 분석됐으며 PC 사용자로부터 현금을 갈취하기 위해 새로운 랜섬기법을 적용○ 중국 인터넷 메신저를 통해 유포되고 있으며 감염 시 패스워드를 포함한 윈도우 로그인계정정보를 변경 후 강제로 재시작 하여 사용자가 PC를 정상적으로 이용할 수 없도록 함- 변경된 로그인 계정명은 악성코드 제작자의 인터넷 메신저 아이디 정보로 변경되며 악성코드 제작에게돈을 지불 후 전달된 패스워드를 입력해야 로그인할 수 있도록 함※ 변경된 로그인 계정명 : “패스워드를 알고 싶으면 연락바람[메신저 아이디]”(한국어 번역)※ 악성코드 내부 분석결과 패스워드가 “tan123456789“로 하드코딩 되어 있었음< 신종 랜섬웨어 감염 PC 화면 >28 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 29
○ 의료장비의 수요자인 병원에서도 의료기기에 탑재된 소프트웨어를 사용자가 변경할수 없도록 하는 방법에 대해 고민하기 시작했으며, 의료기기 제조사에 이를 요청하기도 함▣ 시사점▣ 개요의료 장비의 취약점에 대한 조치 강화 필요○ 보안 전문가 및 연방 정부의 압력에도 불구하고 미국의 의료기기 제조사가 제품에 대한 보안 업데이트를 개발하는 기간이 매우 오래 걸림○ 의료 시스템 전산화로 인하여 의료기기도 의료정보 송수신을 위해 인터넷에 연결됨에따라 악성코드 감염에 대한 가능성이 높아짐○ 의료기기의 경우 악용될 경우 파급력이 매우 크기 때문에 의료기기에 탑재되는 소프트웨어는 개발 단계부터 보안개발 절차를 도입해야함[출처]1. http://www.darkreading.com/vulnerability/medical-device-flaws-will-take-time-to-h/24015957II. 인터넷 보안 동향○ ’13년 8월 블랙햇 컨퍼런스에서 보안 컨설턴트가 의료기기 취약점에 대한 발표를 하였으며, 의료기기의 전력소모를 기반으로 악성코드 감염 여부를 탐지하는 논문도 발표예정▣ 주요내용○ 미국 식품의약국(U.S. Food and Drug Administration, FDA)의 의료기기 제조사에 대한제품의 취약점 점검 및 조치 지침에도 불구하고 아직 의료장비 회사의 보안에 대한 인식은 매우 부족함※ FDA, 의료기기 및 병원 네트워크를 위한 사이버 보안 지침 발표 (’13. 6. 13)○ FDA는 의료장비 자체에 대한 보안뿐만 아니라, 의료장비가 정상적인 상태에서 작동될수 있도록 의료기기가 포함된 네트워크에 대한 안전성 확보에 대해 권고 하고 있음○ 의료장비의 경우 일반적인 보안과 다른 접근방식이 필요한데, 인슐린 펌프와 같이 신체에 이식되는 장비의 경우 미세한 오작동에도 생명에 영향일 끼칠 수 있기 때문임※ 당뇨병 환자에게 사용되는 인슐린 펌프가 의사에게 무선으로 혈당 정보를 제공하는 기능이 있는 경우 장비의 취약점이 더 쉽게 이용될 수 있음○ 의료장비의 보안을 강화하는 것은 우주왕복선을 제작하는 것처럼 엄격함이 필요하기때문에 이에 많은 비용이 소요될 것이며 이를 줄이기 위해서는 마이크로소프트에서 실시하는 보안 개발 라이프 사이클과 같은 보안 개발 절차를 채택할 것이 권고됨30 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 31
▣ 개요아키텔로스 社 , 악성 도메인 현황에 대한 보고서 발표○ 도메인 관련 컨설팅을 제공하는 기업인 아키텔로스(Architelos)가 최초로 전체 DNS 차원에서 피싱 유도, 악성코드 유포 목적의 악성 도메인을 총괄적으로 검토하는 ‘네임센트리(NameSentry) 보고서’를 발간○ 현재 서비스 중인 최상위도메인의 보안 및 안정성 현황을 검토함으로써, 신규 일반최상위도메인(gTLD, general Top Level Domain) 서비스 개시 이후 보안 및 안정성 변화 방향 예측○ 아키텔로스 社 자체 데이터베이스인 ‘네임센트리 감지 및 완화 서비스’의 결과를 분석※ 아키텔로스(architelos) : 도메인네임시스템(DNS) 고객(국가·일반최상위도메인 레지스트리 운영 기관)을 대상으로 전략적컨설팅 서비스를 제공하는 기업. LA 리스버그, 토론토와 더블린에 본사가 있으며, 토론토와 LA에 데이터센터 보유- 인터넷 상 도메인 100만개 중 4000개(0.4%)가 악성 도메인인 것으로 추산- 악성도메인으로 파악된 이유는 스팸 유포와 악성코드가 각각 90%, 6%로 대부분이었으며, 그 외에도피싱 사이트가 1년 동안 150,000건 정도 발견○ 최상위 도메인 중 약 30%는 도메인 100만 건 당 악성 도메인이 1,000건 이상- 전체 도메인의 99% 이상을 차지하는 최상위 도메인 97개를 대상으로, 도메인 100만 건 당 피싱 유도,악성코드 유포 등에 사용되는 악성 도메인 비율을 측정- 비율을 등급화하여 각 최상위 도메인을 매우 좋음, 좋음, 경고, 위험 네 단계로 분류- 각 등급에 속한 최상위 도메인의 개수는 각각 15개, 36개, 14개, 32개최상위 도메인 분류 기준 및 분류 결과II. 인터넷 보안 동향※ 네임센트리 감지 및 완화 서비스(NameSentry Abuse Detection and Mitigating Service) : 최상위도메인 내악성도메인 현황정보를 제공하는 8개 업체(Internet Identity, SURBL, Spamhaus, MalwareURL 등)의 자료를2012년 11월부터 취합한 데이터베이스▣ 주요내용○ 2012년 12월부터 2013년 5월, 6개월 간 악성 도메인 비율이 증가- 2012년 12월부터 2013년 5월까지 악성 도메인은 약 25% 증가했으며, 이에 보고서는 인터넷 주소 공간의 질이 전반적으로 떨어졌다고 결론2012년 12월 ~ 2013년 5월간 악성도메인 증가 추이※ 출처 : Architelos, the Name Sentry Report- 보고서는 악성 도메인 사용을 감지하고 줄이기 위해 최상위 도메인 레지스트라가 얼마나 노력하는지에따라 차이점이 발생한다고 지적- 도메인의 가격이 낮거나, 관리 대행자가 허술하거나, 정책 불이행이 잦은 레지스트라의 최상위 도메인의 경우 악성 도메인이 많은 것으로 분석됨○ 국가 최상위 도메인이 일반 최상위 도메인보다 일반적으로 더 안전한 경향- 도메인 정책 관련 기사를 다루는 웹사이트인 ‘닷넥스트’는 .tel, .xxx, .cn, .ru 등의 예외적인 경우를포함, ‘국가 최상위 도메인’의 경우 전체 국가 최상위 도메인의 79%가 상위 두 범주에 속한 반면, ‘일반최상위 도메인’은 73%가 하위 두 카테고리에 속한 점을 언급-‘닷넥스트(Dot-nxt)’는 아키텔로스의 보고서 외, 국제인터넷주소기구(ICANN)의 정부자문위원회(GAC)의 ‘안전장치(safeguard) 권고’ 및 현재 최대 레지스트라인 베리사인(Verisign) 관계자의 말을언급하며 신규 일반 최상위 도메인 도입에 따라 보안 및 안정성 문제가 악화될 가능성 지적※ .kr도메인은 백만 건 당 남용건수 132건으로, ‘좋음’ 카테고리로 분류※ 상위권 일반최상위도메인 중 .tel은 웹사이트를 호스팅하지 못하며, .xxx는 IP 보호로 정확한 수치 파악 힘듦※ 하위권 국가도메인의 경우, 최근 서비스를 시작하거나(.ru, .me), 최근 도메인 정책이 바뀜(.cn, .pw)- 매달 악성도메인으로 파악되어 지워진 도메인보다 신규로 파악되는 도메인이 많으며, 지워진 도메인의경우 악성 도메인으로 파악되어 차단된 이후 지워지는 경우가 대다수[출처]1. Dot-nxt, “gTLDs *are* going to make the Internet less safe” By .Nxt, 2013.7.132. Architelos, the Name Sentry Report, 2013.732 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 33
마이크로소프트, 지원 종료 예정인 윈도우 XP 이용에 대한 위험성경고2012년 4분기 운영체제별 시스템 악성코드 감염률▣ 개요○ 마이크로소프트(Microsoft)가 윈도우 XP(Windows XP)에 대한 지원을 2014년 4월 이후부터 중단하기로 결정한 가운데, 윈도우 XP에 대한 보안 위협이 증가할 것이라는 우려제기- 2014년 4월 8일부터 마이크로소프트는 윈도우 XP와 관련된 심각한 보안 취약점이나 기능 상 결함이발견되더라도 별도의 조치를 취하지 않을 계획- 이에 따라 마이크로소프트는 자사 블로그를 통해 서비스 지원 만료 이후에도 윈도우 XP를 계속 사용할경우 심각한 보안 위협에 처할 수 있다고 경고(’13.8.15)▣ 주요 내용※ 출처 : Microsoft(2013.8.15)○ 윈도우 XP 업그레이드, 비용 및 애플리케이션 호환 문제로 지지부진- 시장조사업체 넷 애플리케이션(Net Applications)에 따르면 윈도우 XP는 여전히 데스크톱 PC 운영체제 시장에서 높은 점유율을 차지※ 2013년 7월 기준 윈도우 XP는 37% 이상의 데스크톱 PC OS 시장 점유율을 기록II. 인터넷 보안 동향○ 윈도우 XP 사용자는 2013년 4월 이후 이른바 ‘제로데이(zero-day)’ 공격에 영원히 노출된다는 것- 마이크로소프트는 보다 강력한 보안 기능 및 지속적인 업데이트를 제공하는 윈도우 7(Windows 7)이나 윈도우 8(Windows 8)으로의 운영체제 업그레이드가 조속한 시일 내에 이루어져야 한다고 강조- 윈도우 XP는 발매된 지 12년이 넘었으나 여전히 보안 취약점이 발견되고 있는 상황- 2012년 7월부터 2013년 7월 까지 1년간 마이크로소프트가 발표한 윈도우 XP 관련 보안 취약점만 45건에 육박○ 이에 덧붙여, 마이크로소프트는 윈도우 XP에 포함된 보안 서비스가 더 이상 최신 공격에 충분히 대항할 수 없는 수준이라고 지적- 2012년 4분기 기준 윈도우 XP의 CCM은 11.3으로 같은 기간 여타 운영체제 대비 평균 2배 이상을 기록※ CCM(Computers Cleaned per Mille) : 시스템 1,000대당 악성코드 감염률을 나타내는 수치- 마이크로소프트는 윈도우 XP의 보안 시스템 구조가 상당 부분 노출됐으며, 이를 회피하는 공격 방식이이미 보편화됐다고 지적2013년 7월 기준 OS별 시장 점유율구분 윈도우 7윈도우XP윈도우 8윈도우비스타맥 OS X10.8기타2013.1 44.48% 39.51% 2.26% 5.24% 2.44% 6.06%2013.2 44.55% 38.99% 2.67% 5.17% 2.61% 6.01%2013.3 44.73% 38.73% 3.17% 4.99% 2.65% 5.73%2013.4 44.72% 38.31% 3.82% 4.75% 2.82% 5.59%2013.5 44.85% 37.74% 4.27% 4.51% 2.97% 5.67%2013.6 44.37% 37.17% 5.10% 4.62% 3.14% 5.60%2013.7 44.49% 37.19% 5.40% 4.24% 3.28% 5.40%※ 출처 : Net Application(2013.8.1)○ 윈도우 XP가 여전히 활발히 사용됨에 따라 일각에서는 마이크로소프트의 서비스 지원중단 시점인 4월 이후 사이버 보안 대란이 일어날 것이라는 의견을 피력- 보안 SW 개발 업체 ESET은 사이버 공격자들이 윈도우 XP의 알려지지 않은 취약점을 이용하는 다종·대량의 악성코드를 4월 이후 유포시킬 가능성이 높다고 지적- ESET은 실제 윈도우 XP의 미공개 취약점에 대한 거래 가격이 최근 기존의 두 배 이상 상승34 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 35
안드로이드 환경에서의 악성코드 위협 급증▣ 개요○ Trend Micro 社 는 최근 발표한 보고서에서 악성코드가 포함된 안드로이드 앱이 급증함에 따라 향후 온라인 뱅킹 등 모바일 위협이 증대할 것이라고 경고< 안드로이드 운영체제 버전별 사용률 >○ 미국 국토안보부와 연방수사국(FBI)에서 분석한 결과 악성코드로 인한 주요 위협은SMS 트로잔, 루트킷, 가짜 구글 플레이로 조사 됨▣ 주요 내용○ 구글의 안드로이드 운영체제가 세계 스마트폰 시장에서 높은 점유율을 차지함과 동시에, 악성코드가 포함된 안드로이드 앱을 통한 모바일 위협이 지난 분기 대비 급증II. 인터넷 보안 동향- 안드로이드 구버전 운영체제를 사용하는 사람 중 악성코드에 감염된 피해자를 분석한 결과 절반 정도가SMS 트로잔에 감염되어 있는 것으로 조사 됨- SMS 트로잔은 유료 백신 앱 또는 인터넷에서 무료로 제공하는 백신을 설치하여도 탐지 및 치료가 가능함- 루트킷은 수백만 대의 모바일 단말에서 발견이 되고 있음- 루트킷은 Carrier IQ Test 등과 같은 무료로 제공하는 정보 유출 탐지 앱 설치를 통하여 탐지 및 삭제가 가능- 가짜 구글 플레이는 운영체제 업데이트 및 백신 업데이트를 통하여 탐지 및 삭제가 가능※ SMS Trojans : 사용자 모르게 유료 번호 등 지정된 번호로 문자 메시지를 전송하여 과금을 유발※ 루트킷(Rootkits) : 사용자 위치 정보, 키 입력 정보, 사용자 비밀번호 등의 정보 유출을 수행※ 가짜 구글 플레이 : 구글에서 제공하는 정식 마켓인 구글 플레이 앱인 것처럼 속여서 사용자의 민감한 정보들을 유출- 악성 앱의 대다수는 인기 앱에 트로이안 목마 등이 포함되어, 악성 앱의 44%가 이용자가 값비싼 서비스를이용 하도록 현혹하고 24%는 이용자의 데이터 절도, 17%는 애드웨어가 포함되어 이용자에게 피해를 입힘- 안드로이드 기기의 대부분에서 마스터 키(master key)의 취약점이 발견되었고, 이것은 이용자의 동의 없이 해커가 모바일 기기에 설치된 앱을 변경시킬 수 있음- OBAD라는 악성코드는 단말기 명령자 권한(administrator privileges)을 요청하여 감염된 기기의 전체통제권을 확보, FAKEBANK라는 악성코드는 자신이 정상적인 은행 앱으로 보이도록 이용자를 현혹※ OBAD : ANDROIDOS_OBAD.A[출처]1. Threat Post “DHS warns fire, police departments about Android threats”, 2013.08.272. DHS “Threats to Mobile Devices Using the Android Operating System”, 2013.08.233. Andorid “Android Platform Versions”, 2013.08.14. McAfee “McAfee Threats Report: Second Quarter 2013”, 2013.08.21○ 온라인 뱅킹에 대한 공격은 지난 분기 대비 29%가 증가하여 146,000 건을 기록, 국가별로는 미국이 28%로 전체의 약 1/3을 차지하고 브라질이 그 뒤를 이음- 브라질에서는 “Adobe® Flash® Player” 업데이트를 가장한 악성코드가 가장 많이 피해자를 현혹- 사이버 범죄자는 악성코드 배포방식을 발전시키거나 현존 하는 툴의 강화를 꾀함※ PIZZER worm과 같이 일정기간 보존 대상 파일(archived file)에 자신을 복제하고 퍼트리는 방식 활용※ ZeuS, SpyEye 등과 같이 악성코드 툴 가격이 지속적으로 하락되어 거의 무료로 이용38 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 39
- 사이버 범죄자들이 악성코드를 유포함에 따라 스팸과 봇넷의 증가에 기여사용자 시스템에 원격코드 실행이 가능한 USB 인터넷 모뎀의취약점 발견▣ 개요▣ 시사점○ 안드로이드 운영체제에 대한 악성코드의 증가추세는 가속화 될 것으로 예상되어, 안드로이드 이용자는 스마트 폰 등 모든 기기에 모바일 백신 설치 및 최신 버전으로 지속적인 업데이트 필요○ 인도 보안 연구원 Rahul Sasi는 CanSecWest와 Nullcon 컨퍼런스를 통해 GSM/CDMAUSB 인터넷 모뎀을 통해 사용 장비에 원격코드 실행 및 디도스 공격을 할 수 있는 취약점을 공개II. 인터넷 보안 동향- BYOD 활용 증가 등으로 안전하지 않은 스마트폰 앱 활용은 기업 보안 근간을 약화시킬 수 있어, 이용자는출처가 의심되는 파일이나 경로를 통해 안드로이드 앱을 다운받지 말아야 함- 악성코드에 감염된 컴퓨터의 호스트 파일을 변형하여 은행 고객들을 피싱 사이트로 이동하도록 하는 등 온라인 뱅킹을 위협하는 악성코드가 있어, 이용자의 주의 요구※ 미국 시장조사업체 IDC에 따르면 안드로이드 운영체제 점유율은 2분기에 전 세계에서 80%에 이름(’13.8.8. 경향신문)▣ 주요 내용< USB 인터넷 모뎀 >[출처]1. ZDNeT, www.zdnet.com, “Android app malware rates jump 40 percent“, 2013.8.72. FOX BUSINESS, www.foxbusiness.com, “<strong>Cyber</strong> Hackers on Course for One Million Malware Apps”,2013.8.73. TRENDMICRO, http://www.trendmicro.co.uk, “Mobile Threats Go Full Throttle“○ Rahul Sasi는 USB 인터넷 모뎀에 할당된 번호로 악의적인 문자메시지를 보낼 경우, 이를 통해 사용자 시스템에 악의적인 코드를 실행할 수 있거나 해당 시스템을 마비시키는 DDoS 공격을 할 수 있다고 발표- USB 인터넷 모뎀 드라이버를 설치할 때 자동으로 설치되는 다이얼러 소프트웨어를 통해, 사용자 시스템에서 USB 인터넷 모뎀에 할당된 번호로 오는 문자메시지를 송수신 할 수 있음- 문자메시지가 모뎀에 수신되면, 문자메시지의 데이터를 파싱하여 관리자권한으로 시스템 내 로컬 데이터베이스에 저장하는 데 이 때 공격자에 의해 악성코드가 실행될 수 있음○ 이 공격은 피해 시스템과는 어떤 상호작용을 하지 않아도 되고 보안장비를 우회할 수있는 장점이 있다고 밝힘- 공격할 시스템에 문자를 보내는 것만으로도 악성코드가 자동으로 실행되며, 문자 특성상 송신자의 신원확인이 어렵기 때문에 공격자의 익명성을 유지할 수 있음- 피해 시스템에 직접 연결된 GSM/CDMA 네트워크를 통해 SMS이 수신되기 때문에 방화벽이나 보안장비가 악성코드를 확인 할 수 없음40 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 41
○ 인도 내에 있는 USB 인터넷 모뎀 제조사의 모든 제품들은 이 취약점에 노출되어 있으며, 사용자를 위한 보완패치가 제공되지 않으면 해당 제품을 사용하는 수백만대의 시스템이 사이버 공격에 악용될 수 있다고 밝힘[출처]1. http://thehackernews.com/2013/08/vulnerability-in-usb-internet-modems.html2. http://www.garage4hackers.com/blogs/8/sms-shell-fuzzing-usb-internet-modems-analysisautoupdate-features-1083/▣ 개요독일 정부, Windows 8 운영체제의 트로이목마 설치 가능성 경고○ 독일 연방의 보안전문가들은 Microsoft(이하 MS)의 Windows 8 운영체제에서 숨겨진취약점을 발견했다고 주장- 독일 연방정부는 MS의 Windows 8 운영체제에서 실행되는 MS의 새로운 보안기술 때문에 보안 위협이발생 할 수 있다고 경고▣ 주요 내용○ 독일 연방 보안전문가들이 Windows 8에서 사용자 정보 및 시스템의 주요 정보를 빼돌리는 숨겨진 트로이목마를 발견했으며, 전문가들은 이 트로이목마가 MS의 트러스티드컴퓨팅(Trusted Computing)이라 불리는 새로운 보안기술인 TPM 때문에 발생한다고 주장II. 인터넷 보안 동향※ TPM : MS와 Intel, Cisco, AMD 등이 합작으로 만든 ‘트러스티드 컴퓨팅 그룹(TCG)’이라는 산업 컨소시엄에서PC와 휴대폰 등에 사용될 보안 규격 `트러스티드 플랫폼 모듈(TPM)`을 제안했으며, TPM은 특수한 암호키를PC에 내장한 칩에 저장해 데이터를 보호함○ 전문가들은 이 트로이목마를 사용해 MS가 원격에서 PC를 조종하는 것은 물론이고 미국가안보국(NSA)에서 수행하는 정보 수집을 도왔을 것이라고 주장○ 독일 연방정보보안청(BSI)은 21일(현지시간) 자체 웹사이트에 게재한 성명에서 연방정부 기관과 중요 기반시설 사업자는 이 위험에 특히 주의해야 한다고 밝혔으며, 윈도8컴퓨터에 내장된 TPM(신뢰할 수 있는 플랫폼 모듈) 또는 TPM 2.0로 알려진 컴퓨터 칩의 사용을 문제로 지적○ 독일 연방정보보안청(BSI)은 “결과적으로, 사용자 특히 연방정부 기관과 주요 기반시설의 컴퓨터 사용자에게 추가 위험이 발생할 수 있다”며 “제3자가 컴퓨터에 사용되는 이새 메커니즘을 컴퓨터 고의파괴 공격을 위해 이용할 수도 있어 이 위험 문제를 해결해야 한다”고 밝힘○ MS는 BSI의 성명에 대한 언급을 거부 했으며, 자체 성명을 통해 TPM 칩의 경우 컴퓨터 제조업체가 이 칩을 끄는 것을 선택할 수 있어 소비자가 기능이 해제된 TPM 칩을내장한 컴퓨터를 살 수 있다고만 밝힘42 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 43
○ TCG 또한 BSI가 제기한 문제에 관해 언급은 거부하면서 TCG는 컴퓨터 제조업체와 사용자에게 겪을 수 있는 위험을 예방하기 위해 최선의 보안 방법에 대해 조언을 많이 한다고 밝힘[출처]1. http://www.itpro.co.uk/data-protection/20457/windows-8-could-be-nsa-trojan-german-governmentwarns▣ 개요카스퍼스키, 2013년 2분기 ‘IT 위협 진화’ 보고서 발표○ 러시아의 보안 및 위협 관리 솔루션 업체인 카스퍼스키(Kaspersky Lab)는 2013년 2분기 주요 보안 동향과 위협 통계를 분석한 ‘IT 보안 위협’ 보고서를 발표함▣ 주요 내용○ 사이버 첩보활동(<strong>Cyber</strong> Espionage)과 표적 공격 활발- (NetTraveler) 2010년 부터 최근까지 APT공격자들에 의해 가장 활발하게 이용되고 있는 악성코드로,지난 8년 동안 40개국 350개 이상의 인지도 높은 기관이나 기업을 대상으로 공격※ 공격대상 : 정부기관, 석유 및 가스산업, 연구기관, 군수업체 등 공공 및 민간분야 전반※ 주요 감염국 : 몽골(29%), 러시아(19%), 인도(11%) 등을 비롯 중국(3%), 한국(2%)등도 해당II. 인터넷 보안 동향- (NetTraveler) MS오피스 취약점(CVE-2012-0158 및 CVE-2010-3333)을 악용해 감염시키고 감염된 시스템에서는 시스템 리스트 파일, 키로그, PDF, 엑셀, 워드 파일 등을 수집하며, 추가적인 악성코드의 설치와 민감한 정보를 유출해 내기에 최적화되어 설계된 악성코드임- (Winnti) 2009년부터 온라인 게임업체를 대상으로 개발업체의 디지털 서명과 게임 소스코드 등을 유출하는 사이버 범죄 조직으로, 30여개 게임업체가 공격을 받았던 것으로 알려짐※ 공격대상 : 동남아시아 업체가 주요 대상이며 독일, 미국, 일본, 중국, 러시아 등도 해당○ 모바일 악성코드의 양적, 질적, 다양성 측면에서 지속적으로 증가하고 있으며, ’13년 2분기에는 지금까지 나온 안드로이드용 악성코드 중 가장 정교한 트로이목마 Obad.a발견< 샘플 수집건수 추이 및 유형분류 >44 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 45
○ ’13년 2분기 동안 ‘카스퍼스키의 시큐리티 네트워크(KSN)’와 솔루션들을 통해 악성코드감염 정보 등을 수집하고 분석한 통계 결과 발표윈도우의 ‘바로가기’기능을 이용한 악성코드 유포방식 등장※ Kaspersky <strong>Security</strong> Network(KSN) : 전세계에 있는 수 백만 명의 카스퍼스키 사용자와 연결되어 있는 글로벌보안위협 대응 클라우드 지능망▣ 개요- 세계 도처로부터 시작된 공격을 총 577,159,385회 탐지했으며, 온라인에서 탐지 가능한 위협으로는Malicious URL이 전체 중 91.52%로 대부분을 차지함- 악성코드 유포사이트가 위치해 있는 주요 국가로는 미국(24.4%), 러시아(20.7%), 독일(14.5%) 등의 순으로 나타났고, 전체 중 83%가 Top10 국가에 해당○ 8월 30일 Symantec 社 는 Anti-Virus의 탐지 우회 목적으로 윈도우의 ‘바로가기’기능을이용하여, 2개의 파일을 병합, 악성코드로 생성하여 감염시키는 방식이 등장했다고 발표함[1]▣ 주요 내용○ 이메일 등에 첨부형태로 유포되며, 해당파일(압축파일)을 열게되면, Summit-Report1폴더(실제폴더)와 함께 폴더의 바로가기인 Summit-Report2가 생성되며, Summit-Report1폴더에는 확장자가 dat인 파일 2개와 문서파일이 들어 있음II. 인터넷 보안 동향< 악성코드 유포사이트 주요 국가 >[출처]1. 카스퍼스키, “IT Threat Evolution in Q2 2013 http://www.securelist.com/en/analysis/204792299/IT_Threat_Evolution_Q2_2013< 첨부된 압축파일 내부 >< 실제 Summit-Report1폴더에 들어 있는 파일들 >○ 바로가기인 Summit-Report2의 Target(대상)에 Summit-Report1폴더에 있는 ~$1.dat파일과 ~$2.dat파일을 하나의 파일로 병합, 이후 실행하도록 하는 명령어가 삽입되어 있음※ 윈도우의 ‘바로가기’ 중 Target(대상) 입력창에 파일 실행을 위한 특정 명령어 삽입이 가능함46 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 47
○ 이와 같이 악성코드가 유포 될 경우 분리된 파일은 깨진 파일로 인식할 확률이 높고,바로가기는 정상적인 윈도우의 기능을 악용하는 방법이기 때문에 바로가기 자체를 악성스크립트로 진단하기는 어려움○ 윈도우7의 경우 UAC기능으로 악성코드가 실행될 시 실행여부확인으로 사용자의 주의가 가능하지만, 윈도우XP는 사용자 실행여부 확인 없이 바로 실행이 가능하여 감염의위험성이 더 높음※ UAC(User Account Control) : 설치프로그램 등 컴퓨터의 설정을 변경(파일생성, 삭제 등)하는 파일을 실행할 경우 사용자에게 실행여부를 확인하도록 하는 윈도우의 사용자 보안기능(윈도우 비스타, 7에 적용됨)II. 인터넷 보안 동향< Summit-Report2 바로가기 속성 >○ Summit-Report2을 클릭할 경우 COPY명령어를 이용하여 ~$1.dat파일과 ~$2.dat파일을 하나의 악성코드로 병합한 후 실행되며, 이로 인해 해당 PC는 감염됨.< 윈도우 비스타&7의 UAC기능 >< ~$1.dat파일 내용 >[출처]1. http://www.symantec.com/connect/blogs/targeted-attacks-deliver-disassembled-malware< ~$1.dat파일 내용 >< ~$1.dat파일 내용 >48 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 49
▣ 개요>CSIS, 사이버 범죄 피해를 경제적 가치로 계량화○ 미국의 싱크탱크인 국제전략문제연구소(Center for Strategic and International Studies,CSIS)가 사이버 범죄나 스파이 행위에 따른 경제적 피해를 분석※ ‘사이버 범죄 및 스파이 행위 비용 추산(Estimating the Cost of <strong>Cyber</strong>crime and <strong>Cyber</strong> Espionage)’이라는 제목의 보고서는 CSIS와 미국 보안 전문 업체인 맥아피(McAfee)의 공동 연구 결과- 동 보고서는 악의적인 사이버 활동에 따른 피해를 실질적인 경제적 가치로 수치화하는 분석 모델을 적용했다는 점에서 의의▣ 주요 내용○ 맥아피의 최고기술관리자(CTO)인 마이크 페이(Mike Fey)는 대략적인 추정에 의존해왔던 지금까지의 사이버 범죄 피해 분석과는 달리 치밀한 분석 기법을 적용했다고 설명- 그는 정책 입안자나 경영자 및 기타 관련 사업자들이 사이버 보안의 중요성을 인식하고 본격적으로 대응하기 위해서는 이와 같은 정확한 정보 제공이 필요하다고 강조○ 각종 재정적 피해와 기회 비용을 반영해 사이버 피해 규모를 산출- 동 보고서에서는 재정적 비용 이외에 다양한 사업적 가치 손실도 포함해서 사이버 범죄에 대한 피해 규모를산출- 지적재산의 탈취는 기업의 매출이나 라이선싱 등 장기적인 핵심 가치 창출 수단에 영향을 미친다는 점에서사이버 범죄 피해 추산의 핵심 요인으로 꼽히지만 정확한 피해 규모를 가늠하기는 어려운 상황- 사업적 기밀 정보는 기업 차원에서 민감한 협상 데이터나 주식 거래 정보 등도 포함되는 경우가 많아, 유출시 실질적인 재정적 손해를 유발할 가능성이 높은 부분- 일반 소비자들을 대상으로 한 사이버 범죄는 금융, 전자상거래, 개인정보 도용 등을 통해 매년 10억 달러이상의 막대한 금전적 피해를 유발※ 유엔마약범죄사무국(UNODC)에 따르면 사이버 상에서의 개인정보 도용에 따른 피해액은 약 7억 8,000만 달러, 금융 정보의 유출에 따른 피해액은 3억~5억 달러에 달하는 것으로 추정※ 시장조사기관 가트너는 피싱(Phishing)으로 매년 발생되는 손실액이 약 20억 달러 가량으로 추산 보고※ 온라인 유통 사업자들을 대상으로 한 설문 조사 결과, 2012년 기준 전자상거래를 통한 사기에 따른 손실 비용은 약35억 달러 수준으로 추정- 기업을 대상으로 한 해킹 등 사이버 공격 피해 사실이 알려질 경우에는 해당 기업의 주가가 최소 1%에서최대 5%까지 하락하는 등 기업 평판에도 부정적인 영향을 야기- 사이버 공격에 대한 피해를 예방하기 위해 기업들이 지출하는 사이버 보안 및 강화 비용도 증가하고 있는추세로, 전 세계 정부 및 기업들이 사이버 보안용 소프트웨어에 투자하는 비용은 매년 8%씩 증가해 2012년 기준 약 600억 달러에 달하는 것으로 보고※ 미국 OMB(US Office of Management and Budget)는 2012년 연방 기관들의 사이버 보안 관련 프로젝트 소요비용을 약 150억 달러로 집계했는데, 이는 미국 정부 전체 IT 예산의 20%에 해당하는 수치- 이 외에 사이버 범죄 발생에 따른 온라인 거래 신뢰도 하락 및 피해 복구 비용 등의 각종 기회 비용도 피해범위에 포함II. 인터넷 보안 동향○ 보고서에서는 먼저 이전의 사이버 범죄 관련 추정 연구들을 기반으로 미국의 대략적인피해 규모를 추산한 결과 대략 1,000억 달러에 달하는 것으로 추정- 독일 기업보안협회가 2010년 사이버 범죄에 의한 자국의 지적재산 피해액을 약 240억 달러로 산정한 바있는데, 이를 미국의 경제 규모로 환산하면 약 1,200억 달러에 달하는 수치- 영국의 경우에는 그 피해액이 영국 GDP의 2%에 달하는 약 270억 달러로 보고된 바 있는데, 이 역시 미국의 경제 규모로 환산하면 무려 약 2,800억 달러에 달하는 것- 전 세계적으로는 사이버 범죄에 따른 피해액이 글로벌 GDP의 0.4~1% 사이로 알려진 가운데, 2011년기준 글로벌 GDP가 70조 달러라는 점을 반영하면 피해액 규모는 최소 3,000억 달러에서 최대 1조 달러사이에 달하는 것으로 추산 가능※ 글로벌 GDP 규모는 세계은행(World Bank)이 발표한 수치를 참고○ CSIS는 이처럼 사이버 범죄에 따른 피해 범위와 발생된 피해액 범위를 분석한 결과, 전체 피해 규모의 상한선은 국가 GDP의 0.5%~1%에 해당되는 약 700억 달러에서 1,400억 달러 수준이며, 하한선은 200억 달러에서 250억 달러 수준으로 추정○ 아울러 CSIS는 사이버 범죄 피해는 노동 시장에도 부정적인 영향을 미치고 있다고 보고- 10억 달러로 약 5,080개의 일자리를 창출할 수 있다는 미국 상무부 국제무역청의 자료를 기반으로1,000억 달러로 추정되는 사이버 범죄 피해 규모를 노동 시장에 대입할 경우 약 50만 8,000여 개의 일자리가 사라지는 것으로 추정- 뿐만 아니라 집단에 고용된 해커나 스파이들은 정상적인 직업을 갖지 못하는 경우가 많기 때문에 국가 노동인력 확보 차원에서도 손실임을 지적50 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 51
○ CSIS와 맥아피 측은 지금까지의 연구를 바탕으로, 사이버 범죄 및 스파이 행위에 따른경제적 피해 규모를 보다 세분화하는 작업을 진행 중일본 IPA, 표적형 메일 공격 대책을 위한 시스템 설계 가이드 공개- 이들은 사이버 범죄와 관련된 각종 사회적 비용과 혁신 저해 정도 등을 구체화한 보고서를 추후 발간할 계획▣ 개요[출처]1. Center for Strategic and International Studies, “The Economic Impact of <strong>Cyber</strong>crime and <strong>Cyber</strong> Espionage”,2013.7.132. Financial Times, “<strong>Cyber</strong>crime costs US $100bn a year, report says”, 2013.7.23○ 일본 IPA는 표적형 메일 공격을 7단계로 분류하고 각 단계별 공격자의 목적, 패턴을 분석하여 전체 대책을 위한 시스템 설계 가이드를 공개함※ 표적형 메일 공격 : 시스템 파괴 등 공격이나 기밀정보 누설 등을 목적으로 기업이나 개인에게 이메일을 보내 눈치 채이지 않고 침입하는 사이버 공격▣ 주요 내용○ 표적형 메일 공격을 다음과 같이 7단계로 분류, 기존 3단계에서의 대책을 실시하던 것에 이어, 4~6단계에서의 시스템 설계 과정을 설명함II. 인터넷 보안 동향단계1계획단계,2공격 준비 단계내용침입을 목적으로 공격 대상(기업 혹은 개인)을 예비 조사하고 공격 대상과 관련된 특정 기업및 단체 등으로 위장 가능한 메일의 내용과 대상의 주소를 획득, 악성 코드 첨부 위장 메일준비, 원격 작업 환경 등을 준비3초기 침입 단계4기반 구축 단계5침입 경로 확대단계6목적 수행 단계공격 대상과 관련된 특정 기업 및 단체 등이 보내는 메일로 위장하여 악성 코드를 첨부한메일을 공격 대상에게 전송, 이러한 악성 코드는 목표 시스템 내부에 침투하기 위해 원격제어를 실시하기 위한 단계공격자가 공격 대상의 시스템에 내부적으로 침입하여 추후 침입 기반을 조성하는 단계(지속적으로침입이 가능한 루트를 구축하기 위해 공격 대상 터미널의 ID와 암호 해시를 획득)공격의 핵심 단계 이며, 외부에서 원격 제어 할 수 있는 여러 개의 터미널을 확보하고 거점,기반 확대 용, 잠복 용, 정보 수집/전송 용 등의 역할을 할 터미널을 정해서 공격 기반을 구축수집한 정보를 외부에 전송하거나 공격 대상의 시스템을 파괴하는 등 실질적인 공격을시행하는 단계7다시 침입 단계목표 시스템에 지속적으로 다시 침입하여 시스템 내의 탐색을 계속 시도하여 새로운 거점 및원격 제어 통신 경로를 확보하기 위해 동일 혹은 유사한 대상에게 악성 코드를 첨부한 위장메일을 계속하여 전송52 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 53
▣ 시사점○ 본 가이드의 주요 목적은 원격 제어나 공격자가 침입하여 자료를 수집하는 등의 행위를 탐지하여 차단하는 것과 2차 공격으로의 공격 범위 확대를 최대한 방지하기 위함임○ 본 가이드에서는 침입 탐지의 관점에서 모니터링 강화 방안, 침입 방지의 관점에서 차단 방안을 설계- 모니터링 강화 방안은 공격자가 시스템 내부에 침입 탐지를 강화, 트랩을 이용하여 감지 시스템을 보호 하고관리자가 재빨리 침입 사실을 인지하는 것을 주 목적으로 설계○ 기업이나 개인 등의 자료수집이나 시스템 파괴를 목적으로 이루어지는 표적형 메일 공격을 효과적으로 예방하기 위해서는 시스템 설계도 중요하지만, 불확실한 메일은 함부로 열지 않는 등 시스템 사용자의 보안인식이 가장 중요함- 따라서, 기업 등에서는 직원들의 보안인식 제고를 위해 보안교육을 실시하고, 특히 서버의 관리자 권한을 엄중하게 관리하는 것이 중요[출처]1. http://www.ipa.go.jp/security/vuln/newattack.htmlII. 인터넷 보안 동향- 차단 방안은 통신 서버 해킹/ 암호 탈취 등의 공격을 회피하는 것을 주 목적으로 설계분류 대책 대상 시스템·FW네트워크의 통신 경로를 설계하여 방화벽으로의 무단 접근 차단·프록시 서버차단 방안프록시 서버의 접근 제어를 활용한 연결 차단·프록시 서버프록시 서버의 인증 기능을 활용한 연결 차단·프록시 서버프록시 서버의 인증 로그 모니터링 및 분석·프록시 서버모니터링 강화 프록시 서버를 통한 침입 탐지·프록시 서버방안브라우저 통신 특징의 차이를 분석하여 http 통신 감지 기능 설계 ·프록시 서버미사용 IP 주소 모니터링 강화·네트워크< 기반구축 단계에서의 시스템 설계 대책 >분류 대책 대상 시스템운영자 / 사용자 장비와의 네트워크 망분리·사용자 장비·운영자 장비차단 방안 네트워크 망분리 설계 및 접근 제어·네트워크 장비관리자 계정 캐시 금지·사용자 장비사용자 장비 간의 파일 공유 금지·사용자 장비모니터링 강화공격자의 로그인 시도를 유도하도록 하는 트랩 계정을 생성하여 인증 로그모니터링 및 분석·사용자 장비·인증 서버방안Listen 포트 모니터링·서버미사용 IP 주소 모니터링 강화·서버< 침입 경로 확대 단계에서의 시스템 설계 대책 >54 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 55
▣ 개요페이스북, 버그 발견자들에게 총 100만 달러 지급○ 페이스북(Facebook)은 지난 2011년부터 사용자를 통해 서비스 취약점을 발견하고 이를 통해 자사 서비스 보안 수준을 대폭 개선하기 위한 목적으로 ‘버그 현상금 프로그램(Bug bounty program)’을 운영- 현상금 지급 액수는 발견된 오류가 서비스에 미치는 영향, 오류 보고의 정확성, 서비스와의 직접적인 연관성,해당 오류로 인한 파생적 피해 가능성 등을 기준으로 차별화- 현상금의 상한액 기준은 존재하지 않으며 건 당 최소 500달러(약 56만 원) 이상의 현상금이 버그 발견자에게지급▣ 주요 내용○ 페이스북은 지난 2년간 버그 현상금 프로그램 운영을 통해 총 329명에게 100만 달러(약 11억 원)의 현상금을 지급했다고 발표(’13.8.2)- 이들 329명의 사용자들은 전 세계 51개국에 분포되어 있으며, 현상금 수령자의 20%만이 미국 내 거주자인것으로 확인- 현상금 수령자가 가장 많은 상위 5개 국가는 미국, 인도, 영국, 터키, 독일인 것으로 나타났으며, 수령자 수가 가장 빠르게 증가한 상위 10개 국가는 미국, 인도, 터키, 이스라엘, 캐나다, 독일, 파키스탄, 이집트, 브라질, 스웨덴인 것으로 확인- 가장 높은 현상금 액수는 2만 달러(약 2,300만 원)인 것으로 나타났으며, 버그 현상금 프로그램을 통해 최대10만 달러(약 1억 원)의 수익을 올린 단일 참여자도 존재- 최연소 현상금 수령자의 나이는 13세인 것으로 나타났으며, 포상금 수령자 중 2명은 페이스북의 보안 팀 직원인 것으로 확인○ IT 업계, 버그 현상금 프로그램 운영 확산 추세- 페이스북을 비롯한 IT 업계 내 주요 사업자들 역시 버그 현상금 프로그램을 도입하거나 이미 도입- 마이크로소프트(Microsoft)는 지난 6월 자사 OS인 윈도우(Windows) 최신 버전의 취약점을 발견해내는 사람이라면 누구에게나 최대 10만 달러(약 1억 원)까지 현상금을 지급하겠다고 발표- 백신 업체 어베스트(Avast) 역시 2013년 1월부터 자사 소프트웨어의 보안 취약점을 발견한 사용자에 보안위협 정도에 따라 최소 200달러(약 22만 원)에서 최대 5,000달러(약 560만 원) 이상을 지급○ IT 업계 내 ‘버그 현상금 제도’ 도입이 가속화됨에 따라 버그 현상금 프로그램 관련 서비스를 제공하는 사업자까지 등장- 버그크라우드(Bugcrowd), 버그울프(Bugwolf) 등과 같은 사업자들은 버그 접수부터 현상금 지급까지 일체의 과정을 관리해주는 버그 현상금 프로그램을 구축·제공○ IT 업계 내 버그 현상금 프로그램 도입 붐이 일고 있는 이유는 일반적인 보안 정책 대비비용 면에서 훨씬 효율적이기 때문- 미국 캘리포니아 대학은 현재 구글과 모질라(Mozilla)가 운영 중인 버그 현상금 프로그램을 대상으로 연구를 실시하고, 그 결과를 ‘취약성 보상금 제도에 대한 실증적 연구(An Empirical Study of VulnerabilityReward Programs)’란 보고서를 통해 발표(‘13.1.10)- 해당 보고서에 따르면 2009년부터 3년간 구글은 자사 웹브라우저 ‘크롬 (Chrome)’에 대한 버그 현상금 제도를 통해 약 58만 달러(약 6억 5,000만 원)를 지불하고, 총 501개의 취약점을 발견- 모질라 역시 자사 웹 브라우저인 파이어폭스(FireFox)에 대한 버그 현상금 프로그램을 통해 총 190개의 취약점에 대한 약 57만 달러(약 6억 4,000만 원)의 현상금을 지급- 캘리포니아 대학의 연구진은 구글과 모질라가 보상금 제도를 통해 발견된 동일한 수의 취약점을 찾기 위해 보안 전문가를 고용할 경우, 관련 비용이 최대 100배 이상 증가할 것으로 추정○ 버그 현상금 프로그램 제공 사업자 버그크라우드 역시 비용 면에서 자사 보안 상품이강점을 보유하고 있다고 설명II. 인터넷 보안 동향○ 페이스북의 콜린 그린(Collin Greene) 보안 엔지니어는 자사의 버그 현상금 프로그램이기대 이상의 성과를 거두고 있다고 자평- 버그 현상금 프로그램을 통해 다양한 배경과 지역적인 특성을 지닌 사용자들의 관점 및 재능이 발휘되어 페이스북의 서비스가 개선되었다는 것- 한편, 페이스북은 버그 현상금 프로그램을 지속적으로 확대해 나갈 것이라고 밝혔으나, 구체적인 내용은 아직공개하지 않은 상황- 버그크라우드의 케이시 엘리스(Casey Ellis) CEO는 버그 현상금 프로그램이 모의 침투 테스트를 시행하거나 컨설턴트의 조언을 받는 것 보다 비용 면에서 훨씬 저렴하다고 지적- 현재까지 자사 프로그램의 이용 추이를 살펴볼 때 동일 비용 기준 여타 보안 프로그램 대비 버그 현상금 프로그램이 최대 5배 정도 많은 보안 취약점을 발견할 수 있었다고 부연해 설명56 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 57
○ 버그 현상금 프로그램 활성화로 인해 IT 업계 내 보안 취약점에 대한 거래는 양성화되고 있는 추세범죄 목적으로 거래되는 트위터 계정 구매를 통한 스팸 대응- 언론 매체 뉴욕타임즈(New York Times)는 과거 음성적으로 거래 되었던 보안 취약점을 공개적으로 판매하는 해커들이 증가하고 있음을 지적(‘13.7.13)- 또한 일정 수수료를 받고 해커와 사업자를 연계시켜주는 중개 사업자까지 등장하면서 보안 취약점 거래가 새로운 비즈니스 모델로 떠오르고 있다고 설명- 뉴욕타임즈는 지난 3년 간 보안 취약점에 대한 거래량이 3배 이상 증가했으며, 건당 최대 16만 달러(약 1억8,000만 원)에 보안 취약점이 거래되고 있다고 강조[출처]1. Avast! Blog, “Introducing the New Avast Bug Bounty Program”, 2013.1.252. Computerworld, “How Bug Bounty Programs Bring Big Savings and Better <strong>Security</strong>”, 2013.7.233. New York Times, “Nations Buying as Hackers Sell Flaws in Computer Code”, 2013.7.134. <strong>Security</strong> Week, “Bug Bounty Programs More Cost-Effective Than Hiring <strong>Security</strong> Experts: Study”, 2013.7.105. The Next Web, “Two years in, Facebook has paid 329 security researchers over $1 million as part of its BugBounty program”, 2013.8.2▣ 개요○ 미국의 한 연구팀은 스팸 등의 목적으로 암시장에서 대량의 트위터 계정이 거래되는원리를 파악하여 연구결과를 “USENIX security conference”에서 지난 주 발표※ USENIX security conference : 보안 분야 학술단체에서 매년 개최하는 컨퍼런스▣ 주요내용○ 트위터의 성공은 범죄 행위 목적으로 자동 생성된 트위터 계정이 거래되는 암시장을창출하여, 스팸 발송이나 악성코드 유포 및 피싱 공격에 악용하는 사례가 만연- 트위터는 계정의 자동 생성과 판매를 금지하고, 정책에 위반되는 계정생성은 중지 시킴II. 인터넷 보안 동향○ 연구팀은 트위터 계정이 오용되기 전, 자동 생성된 계정을 탐지하여 이용정지 하는 방법을 찾기 위해, 작년에 트위터 계정을 구매할 수 있는 자격을 트위터로부터 승인받음- 이에 따라, 연구팀은 지난 10개월간 약 27명의 판매자로부터 약 120,000개의 트위터 계정을 구매하는데 약$5,000를 지출, 가격대는 1,000개의 계정 당 약 $10 ~ $200에 상당- 트위터 계정은 생성 시기와 계정이 지속되는 것 간의 상관관계는 명확하지 않지만 일반적으로 판매자들에게계정의 생성 시기는 중요한 판매 포인트이며, 페이팔 등을 통한 신용카드 거래도 가능< 실제 가짜 트위터 계정 등이 유통되는 온라인 마켓 >○ 연구팀은 대부분의 범죄 목적의 트위터 계정 판매자들이 트위터가 트위터 계정의 자동생성을 막기 위해 도입한 일련의 기술적 조치를 회피하기 위해 다양한 방법을 이용함을 확인58 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 59
- 판매자들은 CAPTCHA를 해결하기 위해 중국, 인도, 동유럽 등 저임금의 근로자를 고용하는 한편, 계정 등록 시 전자우편 검증을 위해 핫메일 등 자동 생성된 무료 웹 메일 계정 이용※ CAPTCHA(회원 자동가입 방지 기술) : 프로그램이 구분할 수 없는 특수한 형태의 이미지나 문자를 입력하도록 하여 사람인지 컴퓨터인지 식별하는 회원 자동가입 방지 기술III. 국내 보안뉴스 클리핑- 또한, 트위터의 IP주소 차단을 피하기 위해 다양한 지역에 걸쳐 수천개의 IP주소를 이용하거나 일부 판매자는봇넷을 활용하기도 함< 가짜 트위터 계정 등록 시 이용되는 IP주소의 지역 분포 > < 가짜 트위터 계정 등록 시 검증에 활용되는 웹메일 서비스 순위 >○ 연구팀은 등록 시기, 계정의 이름, 브라우저나 컴퓨터의 특성 등 범죄 목적의 트위터 계정을 취급하는 판매자들의 특징을 응용하여 의심스러운 방법으로 생성된 계정을 찾아내는 방법 개발- 이를 통해 연구팀은 약 14,000개의 트위터 계정을 신규 구매했을 때 90%의 계정이 이용정지 되었음을 확인- 트위터는 범죄 목적으로 자동 생성된 계정의 오용을 막기 위해 실시간 탐지방법을 도입하려고 노력 중이나,새로운 판매자가 나타남에 따라 기존 분석방법에 한계를 보이는 등 어려움 있음[출처]1. Krebson<strong>Security</strong>, http://krebsonsecurity.com, “Buying Battles in the War on Twitter Spam”, 2013.8.132. tech2, http://tech2.in.com, “Researchers pose as scammers to curb spam on Twitter“, 2013. 8. 193. MIT Technology Review, http://www.technologyreview.com, “Buying 120,000 Twitter Accounts RevealsNew Way to Block Spam“, 2013. 8. 19날짜 출처 주요 내용 요약디도스 공격, 규모는 커지고 지속 시간은 준다·아버네트웍스는 20기가 이상의 대규모 디도스 공격이 지난해보다 두 배 이상 늘었으며,8/1공격의 86%는 1시간 이내로 공격 시간은 짧았다고 밝힘전자·이는 해커들이 보안 장치를 피하기 위해 대규모 트래픽으로 짧은 시간에 여러번 공격을신문수행하거나 방어 장치를 피하기 위해 여러 타깃을 공격하는 방식이 늘어났기 때문이라고설명함http://www.etnews.com/news/international/2808085_1496.html스마트TV 뚫렸다…해킹 방지법은?·CNN머니에 따르면 미국 온라인 보안업체 iSEC파트너스는 삼성전자의 2012년형8/2데일 스마트TV에서 내장 카메라가 원격 해킹에 취약한 것으로 확인됐다고 최근리안 라스베이거스에서 열린 ‘블랙햇’ 사이버보안컨퍼런스에서 공개·삼성전자는 문제가 불거지자 곧바로 소프트웨어 업데이트를 실시http://www.dailian.co.kr/news/view/367155/?sc=naver‘클릭하면 감염’ PC 10만대 좀비로 만든 20대 구속·서울 강남경찰서는 악성코드가 담긴 글을 인터넷 게시판에 올린 혐의로 김모씨를 구속8/2·김씨는 지난해 11월 15일 인터넷 사이트 ‘오늘의 유머’ 게시판에 ‘19’라는 제목의연합악성코드가 깔린 글 3천500개를 게시뉴스·경찰은 당시 이 글을 열어 봤다가 악성코드에 감염된 피해자가 사흘간 10만 명에 달한것으로 추정http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=102&oid=001&aid=0006407374II. 인터넷 보안 동향8/2 MBC8/3 데일리시큐‘공짜 쿠폰’ 문자로 스미싱 사기…수억 원 챙겨·경기지방경찰청 사이버수사대는 지난해 11월부터 올해 5월까지 할인쿠폰등을가장한 미끼문자를 유포해 돈을 가로채는 이른바 ‘스미싱’ 수법을 이용하여3억여원(피해자2천여명)을 챙긴혐의로 33살 장모씨등 4명을 구속하고 2명을 불구속 입건http://imnews.imbc.com/replay/nw1800/article/3319160_5794.html일반인 대상 APT공격용 악성문서 파일 유포돼!·하우리는 8월1일 일반사용자를 대상으로한 한글 악성문서가 발견되었다며사용자의주의를당부함http://dailysecu.com/news_view.php?article_id=495860 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 II. 인터넷 보안 동향 61
날짜 출처 주요 내용 요약8/3 뉴스토마토FBI, 안드로이드 스마트폰 해킹해 ‘정보 수집’ 논란·3일 월스트리트저널(WSJ)은 FBI내부고발자의 주장을 근거로 “FBI가 안드로이드휴대폰이나 노트북의 마이크를 작동시켜 대화를 외부에서 녹음가능”하다며FBI는 각종해킹프로그램을 이용하여 용의자의 컴퓨터를 수시로 해킹 했다고 주장http://www.newstomato.com/ReadNews.aspx?no=3884758/4 지디넷코리아와이파이 보안 취약점 심각...56개 새로 발견·해킹 컨퍼런스인 데프콘21에서 인디펜던트 시큐리티 이벨류에이터의 제이크홀콤연구원은 와이파이 접속용 무선AP에 대한 56개의 새로운 취약점을 공개함.·무선AP의 경우 설치된 이후 펌웨어 업데이트등의 관리가 제대로 이뤄지고 있지않아 더취약하다고 밝힘http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130804125954&type=xml8/4 MBC이코노미2분기 스팸메일 전분기 대비 11.8% 증가·지란지교소프트가 국내 200여개 회사의 이메일 데이터를 분석한 ‘2013년2분기 스팸메일 동향 분석 보고서’에 따르면 올해 2분기 집계된 스팸메일은15억7천1만6천799건으로 약11.8%늘어남·특히 피싱메일은 총8천26만7천202건으로 지난 분기대비 40.25%로 크게증가했고,온라인 결제와 전자팩스, 주식등 다양한 형태의 비즈니스 메일을 가장한스팸메일이 증가했다면서 주의를당부http://mbceconomy.com/detail.php?number=5555&thread=26r068/6 전자신문‘모바일 해킹’도 서비스형 범죄 사업으로 진화·네트워크월드는 블랙햇2013에서 러시아를 중심으로 위장 앱과 문자를 악용한 소액결제 과금형범죄가 활개를 치고 있으며, 그 배후에는 10여 곳의 기업형 해킹 조직이 도사리고 있다고 발표·모바일 보안 업체인 룩아웃은 모바일 악성코드로 인한 피해를 입지 않도록 앱을 내려받거나 모르는 문자를 클릭할 때 주의해야 한다고 경고http://www.etnews.com/news/international/2809876_1496.html中 해커, 美 수자원 시설 해킹하려다 덜미·트렌드마이크로의 연구원이 허니팟을 구축한 뒤 악성 소프트웨어를 숨긴 워드 문서 파일을8/6해커가 열게 해 그들의 위치를 추적한 내용을 글로벌 해킹 컨퍼런스 블랙햇2013에서지디넷발표코리아·허니팟에 대한 핵심적인 공격의 대부분은 중국에서 일어났으며, 독일, 영국, 프랑스,팔레스타인, 일본 등에서도 공격 시도가 있었던 것으로 확인됨http://www.zdnet.co.kr/news/news_view.asp?artice_id=201308060911068/7 보안뉴스악성코드로 바로가기? 지능형 표적 공격 진행중!·잉카인터넷 측은 지난 7월 중순경부터 8월초까지 일본과 한국의 특정기관을 타깃으로바로가기(.LNK) 파일 형식을 가장한 지능형 표적공격 정향을 포착했다고 밝힘http://www.boannews.com/media/view.asp?idx=37224&page=1&kind=1&search=title&find=날짜 출처 주요 내용 요약8/8 아이뉴스24KISA 맥아피와 사이버보안 위협 탐지 협력·한국인터넷진흥원이 맥아피와 사이버보안 위협의 탐지정보 공유 및 대응 협력을 위한양해각서(MOU)를 체결했으며, 협력에 따라 맥아피의 보안 위협 탐지 정보를 KISA에도입하고 네트워크에서 수집한 데이터를 기반으로 파일, 웹, 이메일 등을 포함한 위협요소를 점검해 실시간 사이버 위협 탐지 강화http://news.inews24.com/php/news_view.php?g_serial=764302&g_menu=020200&rrf=nv8/8 보안뉴스한글 악성파일 계속 발견...표적공격 주의해야·한글과컴퓨터 사의 한글(HWP) 문서파일의 취약점을 이용하는 악성파일이 지속적으로발견되고 있어 주의·사용자들은 보안취약점에 노출되지 않도록 응용프로그램을 최신버전으로 업데이트 해야함http://www.boannews.com/media/view.asp?idx=37250&page=1&kind=1&search=title&find=#8/8 아이뉴스24미래부 “악성코드 은닉 모바일 게임 앱, 주의”·미래창조과학부는 최근 악성코드가 은닉된 모바일 게임 앱이 사설 앱스토어(일명블랙마켓)에서 유포되고 있어 스마트폰 사용자들의 주의가 필요하다고 발표http://news.inews24.com/php/news_view.php?g_serial=764435&g_menu=020310&rrf=nv8/9 노컷뉴스北 , “정찰총국 해커부대 2천명 규모로 확대”·북한의 해커부대가 500명의 대대규모에서 2000여명의 여단급 규모로 승격됐다고 탈북자학술단체인 ‘NK지식인연대’가 내부 소식통을 인용해 밝힘http://www.nocutnews.co.kr/Show.asp?IDX=25809186.25 사이버공격에 사용된 악성코드 또 다시 발견·하우리는 지난 6.25사이버공격에 사용된 악성코드와 비슷한 악성코드를 발견했다고8/12발표.익명 네트워크인 토르(Tor)기반의 명령제어(C&C)를 사용하며, 악성코드의디지털인스톨러와 코드구조가 유사한 것으로나타남.데일리·현재 해당 악성코드가 광범위하게 뿌려진 것은 아니며 초기 토르C&C봇넷을 구축하기위한 사전단계인 것으로 추정http://www.ddaily.co.kr/news/news_view.php?uid=1076858/12 아시아경제국방부·국정원 일반인 대상 첫 해킹대회·국방부와 국가정보원이 일반인 대상 첫 해킹대회(‘2013년 대한민국 화이트햇콘테스트(2013 KOREA WhiteHat Contest, KWCon)’를 개최한다고밝힘.·수상자는 국군사이버사령부 입대 및 국정원 채용지원시 우대혜택을 받으며 또한국인터넷진흥원 주관으로 실시하는 ‘최정예 사이버 보안인력 양성 프로그램’ 참가자격이 부여http://view.asiae.co.kr/news/view.htm?idxno=2013081210320651121&nvr=YIII. 국내 보안뉴스 클리핑62 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 III. 국내 보안뉴스 클리핑 63
날짜 출처 주요 내용 요약8/12 보안뉴스2분기 온라인 뱅킹 멀웨어 증가...안드로이드 보안 문제 심각·트렌드마이크로가 발표한 2분기 위협보고서에 따르면 안드로이드 보안취약성이온라인뱅킹 위협을 증가시키고 있으며, 저렴한 멀웨어 툴킷의 보급이 급증하면서멀웨어공격에 의한 온라인뱅킹 위협이 더욱 심각한 것으로 나타남http://www.boannews.com/media/view.asp?idx=37269&kind=08/12 보안뉴스익명성 보장된 ‘토르 네트워크’도 이용자 추적 가능·시만텍은 파이어폭스의 취약점을 악용해 익명성이 보장된 토르 이용자들의 신원을 확인할수 있는 악성코드를 발견했다고 밝힘http://www.boannews.com/media/view.asp?idx=37270&kind=1#8/13 디지털데일리올 상반기 온라인 게임 해킹 툴 기승·13일 안랩은 올해 상반기에만 온라인 게임 플레이를 불공정하게 이끄는 해킹 툴이795개가 발견됐다고 발표, 해킹 툴 종류 별 비중은 메모리 조작(65%), 그래픽 핵(24%),오토플레이(7.4%) 순으로 확인http://news.inews24.com/php/news_view.php?g_serial=765352&g_menu=020500&rrf=nv8/13 보안뉴스2분기 온라인 뱅킹 멀웨어 증가...안드로이드 보안 문제 심각·트렌드마이크로가 발표한 2분기 위협 보고서에 따르면 안드로이드 보안 취약성이 온라인뱅킹 위협을 증가시키고 있음·또한, 저렴한 멀웨어 툴킷의 보급이 급증하면서 멀웨어 공격에 의한 온라인 뱅킹 위협이더욱 심각한 것으로 나타남http://www.boannews.com/media/view.asp?idx=37269&kind=0광복절 앞두고 한일 사이버세계에 긴장감 ‘팽팽’·최근 일본정부의 군사 대국화 준비 및 독도 여론조사를 통한 역사왜곡 등으로 반일 감정이8/14고조되고 있는 가운데 오는 15일 광복절을 앞두고 韓 - 日 네티즌 사이에 사이버전이 예상아주·한국인터넷진흥원(KISA)은 공격이 집중될 것으로 예상되는 독도관련 사이트(반크,경제독도수호대 등)에 대한 모니터링 강화 및 일본 컴퓨터침해사고대응반(CERT) 등과핫라인을 개설하여 사이버 공격에 대응할 계획http://www.ajunews.com/kor/view.jsp?newsId=201308130004208/15 보안뉴스기업에 대한 표적 공격 피해 규모 약 27억원·카스퍼스키랩(보안업체)과 B2B International(시장 조사기관)은 최근 수행한 글로벌 IT보안 위험 조사를 통해 대기업을 상대로 한 표적 공격이 성공했을 경우, 그 피해액이 최대27억원에 이른다고 발표·이 중 24여억원은 기밀 데이터 유출, 사업 중단, 소송, 복구에 따른 직접 비용이고,나머지 3여억원은 재발 방지를 위한 직원 채용, 교육, 시스템 업데이트 비용이라고 설명http://www.boannews.com/media/view.asp?idx=37311&kind=1#날짜 출처 주요 내용 요약8/15 전자신문“개발 단계서부터 악성코드 은닉”…서플라이체인어택 경계·임종인 고려대 정보보호대학원 교수는 소프트웨어(SW)나 하드웨어(HW) 제조 단계에서악성코드를 유입하는 공급망 공격 ‘서플라이체인어텍’을 주의해야한다고 발표·중국 기업들이 국내 공공기관 입찰에서 가격 경쟁력을 앞세워 다수의 공급권을 따낸후 재하청 발주 시 북한 SW회사들이 덤핑 수주하여 자신들의 SW를 넣는 과정에서악성코드가 설치되도 검수단계에서 이를 알 수 없다고 주장http://www.etnews.com/news/computing/security/2814034_1477.html8/16 아주경제게임사이트 카드 결제시 공인인증·휴대폰인증 모두 받아야·KB국민카드와 비씨카드는 최근 안전결제(ISP)를 이용해 게임 사이트에서 거래를 할경우, 공인인증서와 휴대전화 문자메시지 인증을 모두 거치도록 의무화·모바일 보안 업체인 룩아웃은 모바일 악성코드로 인한 피해를 입지 않도록 앱을 내려받거나 모르는 문자를 클릭할 때 주의해야 한다고 경고http://www.ajunews.com/kor/view.jsp?newsId=20130816000062구글, 4억명 사용하는 지메일로 개인정보 수집해와·구글이 전세계 4억명이 사용하는 G메일을 통해 개인정보를 수집해왔다고 인정한 사실이8/16뒤늦게 밝혀져 논란아시아·구글은 타깃 광고를 위해 사용자 이메일을 확인해 온 것으로 알려짐경제※ 타깃 광고 : 메일 내용이나 검색 습관 등을 자동 분석해 이용자에게 적합한 광고를제공하는 서비스http://www.asiae.co.kr/news/view.htm?idxno=2013081607220034412애플 앱스토어도 악성앱 못 걸러내·조지아연구대학 연구소는 애플 앱스토어에서도 악성코드가 유통될 수 있다는 것을 확인·연구진은 뉴스리더를 사칭하여 원격에서 스마트폰의 환경설정이 가능한 악성앱을8/17앱스토어에 등록하는 실험결과, 악성앱이 애플의 보안 심사과정을 통과하여 앱스토어에지디넷등록됨코리아·애플은 앱스토어 보안 심사과정을 면밀히 검토할 계획이며 문제시 보안 심사 방식을변경할 예정http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130817113827&type=xml8/18 서울경제중국, 미국 3대 IT기업(IBM, 오라클, EMC) 보안조사·중국 정부는 美 IBM, 오라클, EMC 社 제품들의 잠재적인 보안 위험성을 이유로 업체보안조사를 실시하고 있으며, 문제가 있을 경우 중국 내에서 관련사 제품 사용 제한의가능성이 있다고 밝힘·업계에서는 갑작스런 보안조사에 대해 미국과 영국 등 정부들이 일부 중국 IT 제품에 대한제한 움직임을 견제하기 위한 전략으로 해석http://economy.hankooki.com/lpage/worldecono/201308/e2013081817040769760.htmIII. 국내 보안뉴스 클리핑64 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 III. 국내 보안뉴스 클리핑 65
날짜 출처 주요 내용 요약안랩 “올 상반기 모바일 보안 위협 급증..한국 타겟한 악성코드도 활발”·보안업체 안랩이 19일 발표한 ASEC 리포트에 따르면 2013년 상반기 안랩의 모바일8/19백신 “V3 모바일”에 진단이 추가된 모바일 악성코드는 총 67만여건으로 지난해파이낸셜26만건에 비해 2배 급증뉴스·특히 정보 유출이나 소액의 금액을 빼가는 악성코드인 트로이목마가 가장 많이 발견됨http://www.fnnews.com/view?ra=Sent0901m_View&corp=fnnews&arcid=201308190100166360009176&cDateYear=2013&cDateMonth=08&cDateDay=198/19 전자신문‘페이스북 취약점 발견’ 보안팀이 무시하자 저커버그 담벼락 해킹·비즈니스인사이더는 페이스북 담벼락 보안 취약점을 찾아낸 한 사용자가 회사에 제보했다무시당하자 저커버그 담벼락을 해킹해 직접 알렸다고 보도·친구를 맺지 않은 다른 사용자 담벼락에 글을 마음대로 올릴 수 있는 보안 취약점이며,페이스북 보안팀은 지난 15일 이 취약점을 수정http://www.etnews.com/news/international/2815484_1496.html8/20 보안뉴스을지프리덤가디언연습 中 , 6.25 사이버테러조직 디도스 악성코드 유포!·하우리는 지난 7일 한·미 합동군사훈련인 을지프리덤가디언(UFG) 연습을 앞두고 6.25사이버테러를 수행한 동일 조직이 익명네트워크인 토르(Tor) 기반의 C&C(명령제어 서버)봇넷을 구축하고 있음을 최초로 확인·20일 오전 9시 23분 19초에 6개의 Tor C&C 서버 중 1대가 오픈됐으며, 해당C&C 서버를 통해 11시 13분 37초에 체코에 위치한 서버로부터 디도스 악성코드를다운로드한 것을 발견함http://www.boannews.com/media/view.asp?idx=37355&kind=18/20 전자신문사회공학적 기법 활용한 해킹 공격, 국가 안보 위협?·20일 한국해킹보안협회 주관으로 국회 대회의실에서 열린 ‘시큐어코리아 2013’에서발표자들은 앞으로 “물리적 망분리 등 네트워크 보안투자가 점점 강화되면서 특정인 대상사회공학적 기법을 활용한 해킹 공격이 사이버 안전망을 위협할 것이고 잇따라 발표http://www.etnews.com/news/computing/security/2816003_1477.html8/21 아주경제전 세계 모바일 악성코드 10만개 이상 발견·카스퍼스키 랩은 ‘2013년 2분기 IT 위협 분석 리포트’를 통해 지난 6월말까지 전 세계모바일 악성코드가 10만개 이상 발견됐으며 이는 지난해 연말 약 4만6445개에 비하면급격히 증가한 수치라고 발표·2분기에 발견된 악성코드 유형으로는 백도어가 32.3%의 점유율로 가장 많은 유형을 차지했고,뒤이어 SMS-트로이목마(27.7%), 기타 일반 트로이목마(23.2 %)의 순서로 나타남http://www.ajunews.com/kor/view.jsp?newsId=20130821000246모 대학 LG전자 시스템에어컨 관리자 페이지 그대로 노출!8/22·모 J 대학의 LG 전자 시스템에어콘 관리자 페이지가 구글 검색만으로도 확인이 가능하며데일리관리자 계정이 초기 패스워드를 사용하고 있고 있고 외부에서 접속이 가능하므로 패스워드시큐변경 조치가 필요함http://www.dailysecu.com/news_view.php?article_id=5105날짜 출처 주요 내용 요약‘메모리 상주 악성코드’에 의한 해킹 주의8/23경제 ·미래창조과학부는 최근 PC메모리에 악성코드를 상주시켜 개인정보 및 금융정보를투데이 탈취하는 해킹공격이 빈발해 주의가 요구된다고 밝힘http://www.eto.co.kr/news/outview.asp?Code=20130823191719103&ts=2130568/23 데이터넷3·20 사고 이후 백신 설치 늘어·이스트소프트가 알약 사용자를 대상으로 ‘3·20 전산대란 이후 보안 인식 변화’ 설문조사를진행한 결과, 3·20 사고 이후 추가적으로 실천하는 보안 항목으로 ‘PC와 모바일 백신설치’가 1위를 기록·3·20 사고 이후 ‘보안 관련 인식과 노력에 대한 변화’를 묻는 문항에서도 ‘조금씩노력하고 있다’ 54.4%, ‘큰 변화가 있다’ 29.1%가 응답http://www.datanet.co.kr/news/articleView.html?idxno=680558/23 한국경제금융선진국 美 , 26년 만에 전산사고…나스닥 3시간 ‘먹통’·미국 뉴욕증시의 나스닥시장이 22일(현지시간) 전산 장애로 3시간 넘게 거래가 중단됨·자연재해와 같은 외부 충격이 아닌 이유로 이 같은 사태가 벌어진 건 1987년 ‘블랙먼데이’ 이후 26년 만에 처음·나스닥시장을 관할하는 나스닥OMX그룹은 “거래 중단 당시 주식 호가 접수 관련 전산프로그램에 문제가 발생했다”며 “사이버 테러의 흔적은 없었다”고 밝힘http://www.hankyung.com/news/app/newsview.php?aid=20130823398918/25 연합뉴스中 ‘해커공격’에 주요사이트 온종일 마비·25일 중국에서 해커공격으로 추정되는 원인에 의해 주요 인터넷사이트의 접속이느려지거나 접속이 안되는 현상이 발생·중국인터넷정보센터(CNNIC)은 국가도메인 네임서버 시스템이 DDoS공격을 받아 ‘.cn’을사용하는 인터넷사이트가 접속이 안되는 현상이 발생하였으나 점차 정상화 되고 있다고 발표http://www.yonhapnews.co.kr/bulletin/2013/08/25/0200000000AKR20130825074500083.HTML안랩, V3모바일 설치 위장 스미싱 주의보·보안기업 안랩의 스마트폰 백신인 ‘V3 모바일’의 설치 안내를 위장하여, 개인정보(주소록,8/26통화기록, 문자 메시지) 유출 악성앱 설치를 유도하는 스미싱 메시지가 발견되어 사용자의지디넷주의가 요구됨코리아·사용자는 피해를 줄이기 위해 문자 메시지에 포함된 링크 주소 실행을 자제하고, 스마트폰환경설정에서 ‘보안→알 수 없는 출처(소스)’의 허용 체크를 해지를 하는 것이 좋음http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130826125157&type=xml8/27 한국경제‘돌잔치 초대장’이라 해서 눌렀는데…스미싱 문자 대량 발송·경찰간부의 휴대전화번호를 발신번호로 악용한 스미싱(사기) 문자메시지가 대량 발송돼경찰이 수사·이 메시지에는 “모바일 돌잔치 초대장을 보내드렸습니다. 참석하여 주시기 바랍니다”는문장과 함께 ‘oa.to/PJazb’라는 주소로 접속을 유도http://www.hankyung.com/news/app/newsview.php?aid=201308273592gIII. 국내 보안뉴스 클리핑66 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 III. 국내 보안뉴스 클리핑 67
날짜 출처 주요 내용 요약8/27 보안뉴스2013 상반기 모바일 기반의 악성코드 30% 증가·네트워크 보안 솔루션 업체인 포티넷은 1월부터 6월까지 조사한 모바일 보안 위협 동향보고서를 발표·6월에는 하루에 1,300여개의 새로운 모바일 악성코드가 발견되어 1월과 비교하여 약30% 증가http://www.boannews.com/media/view.asp?idx=37429&kind=1NYT, 해킹 공격에 인터넷 서비스 중단8/28·27일 CNBC 등 외신에 따르면 뉴욕타임즈의 웹사이트가 해킹 공격을 받아 서비스가아시아중단됨경제·뉴욕타임스는 도메인네임시스템이(DNS) 공격을 받고 있는 것으로 파악http://view.asiae.co.kr/news/view.htm?idxno=2013082808365938916&nvr=Y날짜 출처 주요 내용 요약2년간 해킹사고로 개인정보 6천만건 유출·최재천 민주통합당 의원이 30일 방송통신위원회와 금융감독원으로부터 받은 자료를8/30분석한 결과, 지난 2011년부터 2012년까지 해킹으로 인해 누출된 개인정보 규모는경제6,341만 여건에 달함투데이·업체별 개인정보 유출 규모는 SK컴즈 3,500만건, 넥슨 1,320만건, KT 873만건,EBS 420만건 등으로 나타남http://www.eto.co.kr/news/outview.asp?Code=20130830085530937&ts=212641모바일 해킹 위협…‘안드로이드폰 79% vs 아이폰 0.7%’·28일 미국 국토부와 법무부가 공동으로 발표한 발표에 의하면 지난해 발생한 모바일악성코드 위협 중 안드로이드에서 발생한 비율이 전체 운영체제(OS)의 79%를 차지하고8/288/29아시아경제아시아경제있으며 안드로이드 사용자의 44%는 2011년 출시된 진저브레드 버전을 사용하고 있어악성코드 위협에 특히 취약하다고 발표·애플 iOS에서 발생한 악성코드 위협은 전체 OS의 0.7%로 지난해 글로벌 스마트폰 시장점유율 19.4%의 2위 제조사인 것을 고려하면 악성코드 위협이 현저히 낮음http://view.asiae.co.kr/news/view.htm?idxno=2013082807183997087&nvr=Y정부, “신·변종 전자금융사기 빈발… 합동경보 발령”·29일 미래부, 금융위, 금감원, 경찰청 4개 기관은 “최근 새로운 유형이나 기존 수법을변형한 피싱, 파밍, 스미싱 피해가 반복적으로 발생하고, 이에 대국민 유의사항 전파가필요해 지난 3월 이후 두 번째로 ‘신,변종 전자금융사기 합동 경보’를 발령·정부는 경보 발령된 유의사항에 대해 가용 전파매체를 모두 활용해 국민들의 주의를III. 국내 보안뉴스 클리핑촉구하기로 했으며, 11월 19일까지 특별단속을 전개하기로 함http://view.asiae.co.kr/news/view.htm?idxno=2013082909115105661&nvr=Y8/29 연합뉴스“시리아, 서방 공습시 ‘사이버 반격’ 가능성”·미국 온라인매체 허핑턴포스트는 서방의 시리아공격이 단행되면 시리아전자군(SEA)이미국 기관을 상대로 사이버공격을 저지를 가능성이 있다고 29일 보도http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=102&oid=001&aid=000645570268 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향 III. 국내 보안뉴스 클리핑 69
월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」8월 동향2013년 9월 인쇄2013년 9월 발행·발행인 | 이 기 주·발행처 |서울특별시 송파구 중대로 109 대동빌딩TEL : 02-405-4118FAX : 02-405-5119- 본 보고서의 내용은 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.- 본 보고서의 내용에 대해 진흥원의 허가 없이 무단전재 및 복사를 금합니다.
Change language