최근 사이버 공격 동향 및 방어기술

schmitz.nick25

최근 사이버 공격 동향 및 방어기술

최근 사이버 공격 동향


방어기술

시큐아이닷컴


I. 사이버 공격 동향

2


0. 사이버 공격의 변화

사이버 공격의 목적 및 동기가 개인에서

조직/국가로 확산

공격의 범위가 단일 App, 시스템에서 광범위한

대상으로 확대

시기 목적/동기 비고

70년대 이전 학구적 탐구(알고리즘) 기술적 호기심

80년대

90년대~

2000년대 초

2000년대 ~

현재

오늘

개인적 이익(전화, 게임)

불법 침입(자료열람, 자료유출)

정치적 의도, 경제적 이익획득

(국가기밀, 금융, 회사기밀)

정보전(시스템 파괴)

사이버 테러

시스템 불법 사용

(전화, Pay TV 등)

타인 보유 정보에 대한 호기


인터넷, 전자상거래 이용

불법이용, 도청, 위조, 사기 등

정부 및 군사시스템 파괴

국가사회 기반 시설 및 개인

정보 단말기 등 범위 확대

3


1. Cyber Terror 그룹의 등장

정치적 이유로 기업, 정부, 개인을 목적으로 해킹을

시도하는 조직화된 해커 그룹의 등장

Anonymous, LulzSec 이 대표적 사례

• 해킹 사례

- CIA, FBI, 상원 홈페이지 등 미 공공기관 해킹 주장

- Fox News Channel

- 영국 ATM 로그유출

- Sony PSN 등

2011.6월 기사 中

4


2. 정치적 목적을 위한 해킹

Hactivism(핵티비즘)의 이슈화

- 역사 왜곡 또는 국가간 이슈 발생 시 국가간

해킹 사고의 증가

- 중국, 미국간 정치, 경제적 이슈 발생 시 양국 간

사이버 전쟁 양상으로 해킹 사고 발생

중, 미국 인공위성 해킹

• 최근, 국내 이슈에서도 서로 다른 정치적, 경제적

신념이 다른 조직 간 해킹 사고 발생

- 선거 방해를 목적으로 홈페이지 해킹

∙ 서울 시장 선거방해를 목적으로 선관위

홈페이지를 해킹한 사건 발생

∙ 러시아 하원 선거를 방해할 목적으로

시민 단체 및 야당성향 방송국 해킹

러, 선거단체 해킹

5


3. 사회 기반시설에 대한 공격

해킹의 영향이 홈페이지 시스템의 변조 또는 마비

뿐만 아니라 실 생활에 위협을 줄 수 있음

미 상수도 시설 해킹

- 외국의 해커에 의하여 미 Illinois 상수도

시스템 해킹

- SCADA 소프트웨어 회사를 해킹하여 계정,

비밀번호 획득 후 공격

- 상수도 시설의 펌프시설 장애발생 시킴

6


4. Cyber War 로의 진화(1)

해킹으로 인한 피해의 위협을 국가가 인지하고

이를 대응하기 위한 국가 사이버 전력 양성 시작

미국, 중국, 이스라엘 등 각국이 사이버 戰 을

대비한 인력을 양성, 보유하고 있음

- 방어형이 아닌 공격형 전력

- 실전에 사용할 수 있는, 알려지지 않은

해킹기법을 개발

- 미 펜타곤은 사이버 공격도 전쟁으로 간주하고

대응 검토

7


4. Cyber War 로의 진화(2)

국가 차원에서 사이버 미사일이라 불리는

악성코드인 ‘Stuxnet’ 을 개발 배포

미국, 이스라엘이 이란의 핵개발 저지를 위하여

실제 사용

- 이란의 핵 확장을 저지하기 위하여,

- 미국, 이스라엘 공조 하에 이란의 핵 시설

파괴를 위한 Stuxnet 공격

- 실전에 사용할 수 있도록 테스트 후 배포

- 실제 이란 핵시설 가동중단 사태 발생

8


4. Cyber War 로의 진화(3)

Stuxnet

- 현존하는 가장 정교하며 복잡한 악성코드

- 기술 집약형 악성코드

- SCADA 시스템을 공격하는데 목적

- APT(Advanced Persistent Threat, 지능형

타깃 지속 공격)공격의 일정

- 국가간 사이버전으로 발전 가능

변종(Duqu)의 등장

- 탐지 및 조치가 어려움

- 스마트그리드, 클라우드컴퓨팅, IP USN

(Ubiquitous Sensor Network), ITS

(Intelligence Transport Systems), IT

Convergence 등 영향 예상

9


4. Cyber War 로의 진화(3)

미국 CIA의 무인 정찰기 Dron 의 추락

- 이란이 무인 정찰기 시스템 해킹을 통하여

Control을 획득(주장)

해킹이 실제 군사적 목적에도 사용될 가능성이

존재함을 보여줌

10


5. 지속적이고 목적을 가진 공격의 중가

APT 공격(Advanced Persistent Threat)

특정 목적을 위하여 일정한 대상을 지속적으로

공격

- 피해자들은 감염 사실을 인식하지 못하며

- 기존의 보안 툴로도 탐지가 어려움

- 준비기간에서 시행까지 장시간 소요되나, 공격

성공 시 대상에 막대한 피해를 끼침

목표달성을 위하여 다양한 공격기법 활용

- 하나의 공격이 실패하면 다른 공격을 시도

- 대응 방법이 발견되기 이전의 Zero-day

Attack을 사용하기도 함

공격대상 선정 기초정보 수집(Blog, 기사, SNS

사이트 등) 악성코드 침투 기밀정보 유출

또는 특정 시스템 파괴

’11년 평균 일별 차단 APT 공격 수(Symantec, 11월)

11


6. 개인 정보의 유출 증가

사이버 공격을 통한 개인 정보의 유출

- 인터넷 포털, 대형 금융사, 게임사 등

다수의 개인정보 보유 사이트가 해킹을 통해

개인정보 외부 유출됨

현대캐피탈 4월 175만

네이트 7월 3500만

한국엡손 8월 36만

넥슨 11월 1320만

[’11년 개인정보 유출사건 사례]

모바일 장치를 통한 개인정보의 유출

- 모바일 장치의 증가에 따라, 모바일 장치에

저장된 개인 정보의 유출 사례 증가

- 사용자가 인식하지 못하는 사이 정보의 유출

및 오/남용됨

- 모바일 장치가 업무에 사용됨에 따라, 조직의

주요 정보 유출 가능성 증가

유출된 개인정보가 ‘보이스피싱’등에 사용되어

경제적 피해 등 2차 피해 예상

12


II.

방어기술

13


1. ATP 방어(1)

APT 공격은 지속적이고, 가능한 다양한 공격기법을 사용하기 때문에, APT 공격 방어를 위해서는

취약한 모든 부분의 종합적인 보호대책이 필요하며, Supply Chain 상의 취약점까지도 조치가 필요

APT 공격은 목표의 취약한 부분을 찾아내 공격함

단 하나의 취약점으로 인하여 전체 시스템이

공격을 받을 수 있음

Security is as strong as its weakest link

목표와 관련된 Supply Chain 상의 취약점도 APT

공격에 사용됨

- 설비에 사용되는 시스템의 취약점을 이용한

공격사례 존재

시스템에 사용되는 설비, 프로그램의 개발

단계부터의 보안성 검토가 새롭게 요구되고 있음

14


1. ATP 방어(2)

원칙 방향 기술

보호대상의 선정

• 보호해야 할 정보의 저장위치

• 보호 현황의 파악

• 정보보호 프로세스 수립

• 정보보호 관리체계 컨설팅

(ISMS, ISO27001)

보안 위협 모니터링

악성코드 침투 대응

END POINT 보안

접근권한 관리

• 조직 내부정보, 구성원 통제

• 보안 위협징후 모니터링

• 소프트웨어 관리, 악성코드 검사

• 네트워크 대역 분리

• Bot 트래픽 차단

• 인터넷, 이메일, 메싞져, P2P,

USB 통제

• 접근권한 최소화 및 세분화

• Multifactor 인증

• 권한 사용 기록 및 점검

• Log 분석 시스템

• 바이러스 백싞

• 망분리 솔루션(물리적/논리적)

• Bot 탐지, 차단 솔루션

• N/W DLP

• PC DLP

• EAM

• Log 분석 시스템

중요 정보 암호화 • 정보 유출 시 홗용 통제 • e-DRM

Supply Chain 보호 • 시스템 젂 단계의 보안성 확보

• 도입 시스템 보안성 검토

• 개발 단계 소스코드 보안

정보 소유자의 보안교육 • 정보 소유자의 보안교육 • 정보 소유자의 보안교육

15


2. DDoS 방어

대규모 트래픽에 의한 DDoS 방어대책으로, DDoS 공격 전용 방어 솔루션 및 DDoS 공격을 방어해 주는

DDoS 대피소 서비스를 활용

회선 규모에 맞는 DDoS 전용 장비의 활용

KISA를 비롯한 DDoS 대피소를 제공하는 서비스의

활용

16


3. Stuxnet 방어(1)

Stuxnet 은 주로 폐쇄망, 무중단 시스템, 독자 프로토콜을 사용하기 때문에 기존의 정형화된 기술로는 통제

및 발견이 어려움

원칙

주기적 모니터링

방향

기술

• 비 인가 장치 통제 • PC 보안 솔루션

수동적 탐지도구 활용

• 악성코드 감염 차단

• VirusWall

• Bot 탐지, 차단 솔루션

• 불필요 공유 제거 • PC 보안 솔루션

• OS 업데이트 최싞화

• 백싞 업데이트 최싞화

• PMS(Patch Management

System)

• 백싞 업데이트 서버

• 사용자 보안 교육

• 사용자 보안 교육

• 재해복구 젃차 수립

• 백업 솔루션, 재해복구 훈련 등

17


3. Stuxnet 방어(2)

설비 시스템의 통신 프로토콜 취약점을 공격하는 Stuxnet의 특징을 사전에 차단하여 보호하는 기술의 적용

을 통한 설비 및 시스템의 보호

기존의 보호대책의 적용과 더불어,

관리 시스템과 PLC/DCS 등 시설장비에 직접

사용되는 통신의 특성을 파악

양 장비간 사용되는 통신의 규칙을 파악하고, 이에

해당하지 않는 Traffic은 차단하여 공격을

예방하는 솔루션의 적용

18


4. 개인정보 유출 대응(1)

개인 정보에 대한 접근을 제한하고, 유출된 정보가 사용될 수 없도록 DB에 저장된 정보를 암호화하여 유출

시에도 활용이 불가능하도록 함

네트워크 접근제어부터 암호화 까지 다단계

보호대책의 수립

인가되지 않은 사용자는 획득한 정보를 사용할 수

없도록 조치

DB

외부로의 유출 차단

DB 암호화

DB 접근제어

내부로 접근 차단

OS 보안(Secure OS)

비정상 행위/Traffic 차단(IPS/IDS)

비인가자

해킹 차단(Firewall)

19


4. 개인정보 유출 대응(1)

원칙

개인정보 암호화

암호화

• 개인식별 정보, 금융정보 등

민감 정보 대상

접근

제어

• 개인정보 DB에 대한 접근 가능

사용자 지정

개인정보 접근통제

• DB 내 저장정보 암호화

• DB 저장 정보에 대한 선택적 접

근 허용

• DB 구조 변경 없이 암/복호화

• 사용 기록에 대한 로깅 및 모니

터링

• 응용 프로그램과 다양한 인터페

이스 제공

• 사용자에 대한 투명한 접근홖경

제공

법규

• 개인정보보호법(‘11.9.30), 정보통싞망 이용촉짂 및 정보보호 등에 관한 법률, 싞

용 정보보호법 등 다수의 법률로 보호대책 정의

20


4. 개인정보 유출 대응(2)

개인 정보를 포함한 중요 정보가 들어있는 모바일 단말기에 대하여 중앙 관리를 통한 보안 정책의 적용 및

Mobile Application에 대한 보안성 확보

Mobile 통합관리 솔루션을 통한 보안관리

- 중앙 집중형 관리

- 단말기 원격 잠금, 자료 삭제

- 저장 자료, 개인 정보의 암호화

- 통신구간 암호화, 방화벽

- 백신 등 자동/강제 배포

Mobile Application 보안관리

- 개발 단계의 보안관리

- 소스코드 단계의 보안수준 확보를 통한

개발되는 APP의 취약점 사전 제거

- 마켓 등록되는 APP의 보안성 확보

21


III. Cyber 공격의 향후 전망

22


○ 향후 전망

2016년 까지 사이버 범죄 피해 매년 10% 증가, 가트너

복합적

&

광범위한

대상에 대한

공격

기존의 웹 사이트 해킹, DDoS 등 지속적 발생

Botnet 을 통한 소규모, 정교화된 공격의 증가

SCADA는 물론, 네트워크에 연결된 모든 장비에 대한 공격 시도

SNS 로 인한 개인정보의 노출 개별적인 공격, 금융 사기 증가

APT 공격의 지속적 증가

BYOD(Bring Your Own Device, 개인소유단말기) 보안사고의 증가

장비의 취약성을 이용한 합법적인 모바일 앱에서의 보안사고 증가

23

More magazines by this user
Similar magazines