Untitled

1-1 2월 보안이슈● 이달에는 유명 정치인들과 정당의 홈페이지가 해킹당하거나 게시판 등에 스팸성 광고글이 도배되는 등 침해사고가 발생하였고, 국회의원 선거가 가까워짐에 따라 사회적으로도 관심을 모음- 통합진보당 홈페이지의 초기화면에 ‘통합XX당’으로 명칭을 바꾸고 北 인공기를 바탕화면으로 변경시키는등 홈페이지 변조 사고가 발생하였음- 국회의원의 개인 홈페이지 게시판이 스팸성 광고글로 도배되거나, 해킹을 당해 데이터가 모두 삭제되는등의 사례가 발생하였음● APCERT(Asia-Pacific Computer Emergency Response Team) 주관 아·태지역 국제공동 모의훈련 실시(’12. 2. 14)- 이번 훈련은 APT(Advanced Persistent Threat) 공격을 주제로, 시나리오를 비공개하고 실시함으로써참여 기관들은 실제와 유사한 환경에서 대응능력을 시험할 수 있었으며, 2005년 첫 훈련 이래 가장 많은총 18개국 22개 CERT팀이 참여하였음※ 국내 ISP 및 백신업체도 악성코드 유포지와 봇넷 C&C서버 차단, 전용백신 제작 등 주요 훈련과정에 참여하였음1-2 주요 보안권고● MS 정기보안 업데이트를 포함하여, 다음(Daum) 팟플레이어, PHP, 한글, HTC 안드로이드폰 등 관련 보안취약점에 대해 인터넷침해대응센터 홈페이지를 통하여 보안업데이트 권고(9종)구분 영향받는 대상 취약점 내용 및 대책MicrosoftMS WindowsInternet ExploreMS Office.Net Framework, SilverlightMS Server Software※ 상세 버전 홈페이지 참조● MS 정기보안업데이트 : [MS12-008]~[MS12-015] 패치 총 9종(긴급4, 중요5)- 윈도우 커널모드 드라이버의 취약점으로 인한 원격코드 실행문제- C 런타임 라이브러리 취약점으로 인한 원격 코드 실행문제- 인터넷익스플로러 누적보안업데이트 등● 영향받는 버전의 경우 최신 MS 보안업데이트 필요한글PHP한글 2005 6.7.10.1071 및 이전버전한글 2007 7.5.12.629 및 이전버전한글 2010 8.5.6.1133 및 이전버전PHP 5.3.9 버전● ‘한글’ 워드프로그램에서 코드실행 취약점 발견- 공격자가 특수하게 조작한 한글파일을 취약한 버전에서 실행할 경우 악성코드에 감염 가능● 영향받는 버전의 경우 보안업데이트 또는 최신버전으로 업데이트 설치* http://www.hancom.co.kr/downLoad.downPU.do?mcd=005* 자동업데이트 : 시작 → 모든 프로그램 → 한글과컴퓨터 → 한컴 자동 업데이트● “php_register_variable_ex()”함수에서 구현오류로 인해 원격코드실행 가능- 공격자는 해당 취약점에 영향 받는 시스템에 특수하게 조작된 요청을 전송 할 경우,영향받는 시스템에 원격코드를 실행시킬 수 있음● PHP 5.3.10 이상버전으로 업데이트 필요다음팟플레이어 1.5.31934 및 이전 버전● 공격자가 특수하게 조작한 동영상 파일을 취약한 버전의 팟플레이어로 열어볼 경우, 임의의코드 실행이 가능해 악성코드에 감염될 수 있음● 낮은 버전의 팟플레이어 사용자는 악성코드 감염에 취약할 수 있으므로 최신버전 설치 또는업데이트 필요* 홈페이지 http://tvpot.daum.net/application/PotPlayer.do* 자동업데이트 : 시작 → 모든 프로그램 → DAUM → 팟플레이어 실행→ 업데이트 확인※ 자세한 내용은 인터넷침해대응센터 홈페이지 (http://www.krcert.or.kr/ → 보안정보 → 보안공지) 참조0

1-3 침해사고 통계 분석 요약■ 월별 침해사고 접수처리 통계구 분악성코드 피해신고해킹사고 접수처리● 스팸릴레이● 피싱 경유지● 단순침입시도● 기타해킹● 홈페이지 변조악성봇(Bot) 감염율2011년총계21,75111,6903,7273652,9612,7831,8540.52%2012년1 2 3 4 5 6 7 8 9 10 11 121,443 1,1861,510 1,210429 39536 37202 184233 307610 2870.6% 0.6%합계2,6292,720824733865408970.6%■ 전월대비 증감추이● 이달의 악성코드 피해신고 건수는 총 1,186건으로 전월(1,443건) 대비 17.8% 감소하였으며, 주요 악성코드로는 이달에도 게임계정 탈취목적의 OnlineGameHack(26.3%)이 가장 많은 비율을 보였고, 그밖에는Agent(8.6%), Patched(2.9%) 등의 순으로 집계됨● 이달의 해킹사고 접수처리 건수는 총 1,210건으로 전월(1,510건) 대비 19.9% 감소하였으며, 많은 건수를차지한 홈페이지 변조(53.0%), 스팸릴레이(19.9%) 유형 등이 감소하면서 전체 건수의 감소에 영향을미침구분금월전월대비 증감추이악성코드 피해신고1,186건 전월 1,443건 대비 17.8% 감소 ↓해킹사고 접수처리1,210건 전월 1,510건 대비 19.9% 감소 ↓● 스팸릴레이395건 전월 429건 대비 7.9% 감소 ↓● 피싱 경유지37건 전월 36건 대비 2.8% 증가 ↑2012년 2011년3,500● 단순침입시도184건 전월3,000202건 대비 8.9% 감소 ↓● 기타해킹307건 전월 2,500 233건 대비 31.8% 증가 ↑2,000● 홈페이지 변조287건 전월1,500610건 대비 53.0% 감소 ↓악성봇(Bot) 감염율0.6%전월(0.6%)과 1,000 동일※ 500 악성봇 감염율 : 전 세계 악성봇 감염 추청 IP대비 국내 감염 추청 IP의 비율01월 2월 3월 4월 5월 6월 7월 8월 9월 10월11월12월3,5003,0002,5002,0001,5001,00050002012년1월 2월 3월 4월 5월 6월 7월 8월 9월 10월2011년11월 12월1,6001,4001,2001,00080060040020002012년1월 2월 3월 4월 5월 6월 7월 8월 9월 10월11월2011년12월1,6001,4001,2001,00080060040020002012년2011년[ 그림 1 ] 월별 침해사고 전체 통계 그래프0

1-4 침해사고 위협 분석 요약■ 악성코드 유포지/경유지 탐지 및 차단 조치● 탐지조치한 악성코드 유포 및 경유사이트는 총 433건으로 전월(207건) 대비 109.2%로 크게 증가하였고,기관 유형별로는 기업이 312건(72.1%), 웹서버 유형별로는 MS IIS가 289건(66.7%)으로 가장 많은 비중을차지함구 분유포지/경유지탐지조치 건수2011년총계2012년1 2 3 4 5 6 7 8 9 10 11 1211,805 207 433640합계■ 허니넷 유입 악성코드● KISA 허니넷으로 유입된 전체 악성코드 샘플은 전월대비 35.4% 감소하였고, 악성코드별 비율로는 Virut계열(35.8%), Starman계열(15.8%), Allaple계열(2.0%) 등의 순으로 나타남- 지난해 9월 이후 큰 폭의 증가세를 이어가던 Starman계열이 이달 들어 크게 감소한 반면, Virut계열은증가하면서 가장 많은 비중을 차지함※ Virut, Starman, Allaple 등 관련 악성코드의 상세 설명은 17쪽 참조● 신규 수집된 악성코드의 유포국가별 비율은 미국(28.4%)이 가장 많은 비중을 차지했고, 인도네시아(10.9%), 이탈리아(10.3%), 헝가리(8.1%) 등의 순으로 나타남■ 허니넷 유입 유해트래픽● KISA 허니넷에 유입된 전체 유해 트래픽은 약 568만 건으로 전월(361만건)에 비해 57.3% 증가하였고,해외IP로부터 유발된 트래픽이 86.8%, 국내IP로부터 유발된 트래픽이 13.2%를 차지함● 해외로부터 KISA 허니넷에 유입된 트래픽을 유발IP 국가별로 분석한 결과 중국(45.8%)이 가장 많은비중을 차지했고, 미국(27.0%), 대만(4.3%), 러시아(3.7%) 등의 순으로 나타남- 지난해 9월 이후 중국은 감소추세가 지속되는 반면, 미국은 소폭의 상승추세가 이어지고 있음● 공격유형별로 분류해보면, 해외→KISA 허니넷의 경우 TCP/1433(27.3%), ICMP(19.8%) 포트에 대한스캔이 많았고, 국내→ KISA 허니넷의 경우 TCP/139(36.0%), TCP/23(20.7%) 포트에 대한 스캔이 많았던것으로 분석됨■ 국내 인터넷망 트래픽● 국내 ISP 일부구간에서 수집된 트래픽 정보를 살펴보면, 이달 들어 수집된 전체 트래픽 양이 크게 감소한것으로 나타났다.- 포트별로는 TCP/80(HTTP)로부터 유발되는 트래픽이 매월 가장 많으나 2월 중순이후 크게 감소하였고,TCP/80을 제외하면 최근 3개월간 TCP/8080, TCP/443, TCP/8443 포트 등에서 상대적으로 많은 트래픽을발생시키고 있음- 공격유형별로는 DoS 공격트래픽인 Open Tear 트래픽이 상대적으로 크게 유발되었고, UDP Tear Drop도작은 규모로 자주 발생하였으나, 최근 3개월간 추이를 보면 전체적으로는 공격 트래픽이 크게 감소함0

2-1 악성코드 피해신고 통계 분석■ 악성코드 피해신고 현황● 2월 한 달간 국내 주요 백신업체로 접수된 악성코드 피해신고 건수는 총 1,186건으로 전월대비 257건(17.8%) 감소한 것으로 나타났다.구 분2012년2011년[ 표 1 ] 월별 국내 악성코드 피해신고 건수1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 합계1,443 1,1862,6292,920 1,847 1,566 2,335 1,786 1,763 1,912 1,695 1,724 1,099 1,263 1,841 21,751※ 악성코드 피해 신고건수는 국내 주요 백신업체로 신고접수 된 건수임3,5002012년2011년3,0002,9202,5002,3352,0001,8471,7861,9121,7241,8411,5001,0001,4431,1861,5661,7631,6951,0991,26350001월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월[ 그림 2 ] 국내 악성코드 피해신고 추이■ 주요 악성코드● 신고된 주요 악성코드를 살펴보면, 이달에도 게임계정 탈취 목적의 OnlineGameHack(312건)이 가장많았고, DDoS공격 등에 이용되는 Agent(102건)가 그 뒤를 이었다.- 전월대비 OnlineGameHack이 296건 감소한 것을 비롯, Agent 29건 감소, DownLoader 13건 감소 등상위에 오른 악성코드들이 전체적으로 감소함● 그밖에 ZBot(23건), VB(17건), HDC(17건), ZAccess(15건)등의 악성코드들이 신규로 순위권에 등장하여추이를 지켜볼 필요가 있을 것으로 판단된다.0

2-2 해킹사고 접수처리 통계 분석■ 해킹사고 접수·처리 현황● 2월 한 달간 접수·처리한 해킹사고 건수는 총 1,210건으로, 전월(1,510건) 대비 300건(19.9%) 감소한것으로 나타났다.구 분2012년2011년| 표 2 | 월별 해킹사고 접수·처리 현황1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 합계1,510 1,2102,7201,025 854 1,002 999 1,061 957 956 1,115 897 793 940 1,091 11,690※ 악성코드 피해 신고건수는 국내 주요 백신업체로 신고접수 된 건수임2,0002012년2011년1,5001,00050001월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월[ 그림 5 ] 해킹사고 접수·처리 증감추이● 해킹사고를 유형별로 분류해 보면, 스팸릴레이 유형이 395건으로 가장 많은 건수를 차지했고, 기타해킹유형이 307건으로 그 뒤를 이었다.- 전월 대비 피싱경유지(2.8%), 기타해킹(31.8%) 유형은 증가했으나, 스팸릴레이(7.9%), 단순침입시도(8.9%), 홈페이지 변조(53.0%) 유형은 감소하면서 전체 건수의 감소로 이어짐[ 표 3 ] 해킹사고 유형별 접수·처리 현황구 분2011년총계2012년1 2 3 4 5 6 7 8 9 10 11 12합계스팸릴레이3,727429395824피싱 경유지365363773단순침입시도2,961202184386기타해킹2,783233307540홈페이지 변조1,854610287897합 계11,6901,5101,2102,720※ 피싱 경유지 : KISA가 국외의 침해사고대응기관이나 사칭대상이 된 기관, 일반사용자로부터 신고 받아 접수·처리한 건수로써 실제피싱 사고건수가 아니라 보안이 취약한 국내 시스템이 경유지로 악용된 건수※ 단순침입시도: KISA에서 접수·처리한 해킹신고 중 악성코드 등으로 유발된 스캔(침입시도)을 신고한 건수※ 기타해킹 : KISA에서 접수·처리한 해킹사고 중 스팸릴레이, 피싱 경유지, 단순침입시도를 제외한 나머지 건수0

- 유형별 증감추이를 살펴보면, 최근 스팸릴레이와 기타해킹 유형이 증감을 반복하는 추세를 보이고있으며, 홈페이지 변조 유형은 작년 중반이후 부터 큰폭의 증감을 반복하는 형태를 보임650600550500450400350300250200150100500스팸릴레이 피싱 경유지 단순침입시도 기타해킹 홈페이지 변조3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ’12년 1월 2월[ 그림 6 ] 해킹사고 유형별 증감추이- 유형별 비율을 살펴보면 스팸릴레이(32.6%), 기타해킹(25.4%), 홈페이지 변조(23.7%)를 차지했고,단순침입시도(15.2%), 피싱 경유지(3.1%) 등의 순으로 집계됨구분스팸릴레이피싱 경유지단순침입시도기타해킹홈페이지 변조총계건수395371843072871,21023.7%25.4%스팸릴레이피싱경유지단순침입시도기타해킹홈페이지 변조15.2%32.6%3.1%[ 그림 7 ] 해킹사고 유형별 비율0

■ 피해기관별 분류● 피해기관 유형별로 분류해보면 개인유형이 703건으로 가장 많았고 전월(673건) 대비 4.5% 증가하였으나,그밖의 다른 유형들은 대부분 전월대비 감소하였다.- 기업과 비영리 기관 유형의 증감에 큰 영향을 미치는 홈페이지 변조사고가 전월대비 53.0% 감소하면서,기업은 458건으로 전월(646건) 대비 29.1% 감소하였고, 비영리 유형도 전월(147건)에 비해 93.2% 감소한 것으로 나타남[ 표 4 ] 해킹사고 피해기관별 분류구 분2011년총계2012년1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월합계개인7,9326737031,376기업3,5756464581,104대학103246비영리7914710157연구소1101네트워크-413576총계11,6901,5101,2102,720※ 기관 분류기준 : 침해사고 관련 도메인이나 IP를 기준으로 기업(co,com), 대학(ac), 비영리(or,org), 연구소(re), 네트워크(net), 개인(pe 또는 ISP에서 제공하는 유동 IP 사용자)으로 분류● 이달의 피해기관 유형별 비율을 살펴보면, 개인(58.1%), 기업(37.9%)이 신고건수의 96.0%로 대부분을차지했고, 그밖의 네트워크(2.9%), 비영리(0.8%), 대학(0.3%) 등의 순으로 나타났다.0.3% 0.8% 2.9%구분개인기업대학비영리연구소네트워크총계건수7034584100351,21037.9%개인기업대학비영리연구소네트워크58.1%[ 그림 8 ] 해킹사고 피해기관 유형별 비율0

■ 운영체제별 분류● 접수처리한 해킹사고 시스템의 운영체제를 분류해보면, 이달에도 윈도우 운영체제가 643건으로 가장 많은건수를 기록하며 전월(712건) 대비 9.7% 감소했고, 리눅스 운영체제도 175건으로 전월(493건) 대비 64.5%감소한 것으로 나타났다.[ 표 5 ] 해킹사고 피해 시스템의 운영체제별 분류구 분2011년2012년총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월WindowsLinuxSolaris기타합계7,7311,631132,31511,69071249362991,51064317503921,210※ 운영체제별 분류 자료는 각 운영체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임합계1,35566866912,720● 운영체제별 비율로 살펴보면 윈도우가 53.1%로 전월(47.2%) 대비 5.9% 증가하고, 기타 운영체제도 전월(19.8%)에 비해 12.6% 증가 반면, 리눅스 운영체제는 14.5%로 전월(32.6%) 대비 18.1% 감소한 것으로나타났다.구분WindowsLinuxSolaris기타합계건수64317503921,2100.0%32.4%WindowsLinuxSolaris기타53.1%14.5%[ 그림 9 ] 해킹사고 피해 시스템 운영체제별 비율010

■ 피싱 경유지 신고처리 현황● 2월 한 달간 접수된 피싱 경유지 신고건수는 총 37건으로, 전월 대비 1건(2.7%) 증가한 것으로 나타났다.구 분피싱경유지신고건수[ 표 6 ] 피싱 경유지 신고 건수2011년2012년총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월365 36 37합계73※ 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 보안업체, 일반사용자로부터 신고 받아 처리한 건수로써 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트경유지로 악용되어 신고 된 건수임602012년2011년504030203036 37253824292231 39363826271001월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월[ 그림 10 ] 피싱 경유지 신고건수 추이● 피싱 대상기관 유형별로 분류해 보면, 28건(75.7%)로 가장 많았고, 전자상거래 4건(10.8%), 기타 5건(13.5%)으로 나타났다.13.5%기관유형금융전자상거래기타합계건수28453710.8%금융전자상거래기타75.7%[ 그림 11 ] 피상 대상 기관 유형별 비율011

● 피싱 대상 기관별로 살펴보면 금융기관 유형에는 PayPal, WellsFargo, Bank of America, Bradesco 등이해당 되었고, 전자상거래기관 유형에는 Amazon, eBay, 기타로는 Yahoo 등이 포함된 것으로 집계되었다.● 피싱 대상기관 및 신고건수를 국가별로 분류한 결과, 총 7개국 16개 기관으로 집계 되었고, 미국(8개 기관,26건), 브라질(2개 기관, 4건), 스페인(1개 기관, 2건), 영국(2개 기관, 2건) 등이 대부분을 차지했고,그밖에 캐나다, 이탈리아, 뉴질랜드가 각각 1개 기관 1건씩이 해당되었다.30미국 브라질 영국 스페인 캐나다국가기관수신고건수25미국82620브라질스페인214215영국캐나다212110기타225합계163703월4월 5월 6월 7월 8월 9월 10월 11월 12월 ’12년 1월2월[ 그림 12 ] 피싱 대상기관 소속 주요 국가별 추이● 피싱 경유지로 이용된 국내 사이트들을 기관유형별로 분류해 보면, 기업이 22건(59.5%), 비영리 3건(8.1%), 개인/기타 3건(8.1%), 교육 3건(8.1%) 순으로 집계되었다. 홈페이지가 없거나 Whois 정보에 ISP관리대역만 조회되는 경우인 ‘ISP서비스이용자’ 유형은 6건(16.2%)으로 나타났다.16.2%구분건수기업비영리개인/기타교육ISP서비스 이용자2233368.1%8.1%기업비영리개인/기타교육ISP서비스 이용자59.5%합계378.1%[ 그림 13 ] 피상 대상 기관 유형별 비율012

■ 홈페이지 변조 사고처리 현황● 이달에는 총 103개 시스템(IP)의 287개 홈페이지에서 변조 사고가 발생하여 전월 대비 205개 시스템, 323개홈페이지가 감소한 것으로 집계되었다.[ 표 7 ] 홈페이지 변조 사고처리 현황구 분2011년2012년총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월합계피해 홈페이지 1,854 610 287897피해 시스템 507 308 103411※ 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 시스템에 수십~수백 개의 홈페이지를 운영하는 경우도 있으므로 피해홈페이지 수는 피해 시스템 수 보다 많음● 월별 증감 추이를 살펴보면, 일반적으로 단일 시스템의 여러 홈페이지가 대량으로 변조되는 경우가 많아피해 홈페이지의 증감과 피해 시스템의 증감 간에 연관성이 크지 않았으나, 전월과 이달에는 동반 상승 및감소추세를 보였다.700피해 홈페이지수피해 시스템수(IP)60050040030020010003월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ’12년 1월 2월[ 그림 14 ] 홈페이지 변조 사고 추이● 피해시스템의 운영체제를 분류해보면, Linux 계열이 34건(33.0%)로 가장 많았고, Win2000 32건(31.1%),Win2003 18건(17.5%), Unix 17건(16.5%), Win2008 2건(1.9%) 등의 순으로 나타났다.1.9%운영체제LinuxUnixWin2000Win2003Win2008합계건수34173218210331.1%17.5%LinuxUnixWin2000Win2003Win200833.0%16.5%[ 그림 15 ] 피해시스템 운영체제별 비율※ 운영체제의 안정성과는 상관관계가 없으며, 홈페이지 변조 사고건의 처리결과 따른 통계수치임013

■ 악성봇(Bot) 현황● 2월 한 달간 전 세계 악성봇 감염추정 IP 중 국내 봇 감염 IP 비율은 약 0.6%로 전월과 동일하였다[ 표 8 ] 국내 악성봇(Bot) 감염률2011년2012년구 분총계 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월국내 비율 0.5% 0.6% 0.6%※ 전 세계 악성봇 감염 추정 IP 중 국내 악성봇 감염 IP가 차지하는 비율이며 웹사이트를 통한 전파는 제외됨합계0.6%● 2월 평균 국내 악성봇 감염 IP수는 전월 대비 17.5% 증가하였고, 지난 12월 이후 증가추세를 지속하고있다.- 악성봇 전파에 사용된 주요 포트를 살펴보면, TCP/23포트(53.5%)와 TCP/1433포트(20.9%)가 대부분을차지했으며, TCP/139(11.0%) 등의 순으로 나타남6,000국내 월평균8.3%5,0006.3%6.6%4,0003,0002,0001,0006,000국내 월평균11.0%20.9%231433139445기타53.5%8.4%16.6%05,0003월 4월 5월 6월 7월 8월 9월 10월 11월 12월’12년1월2월800,000 4,000700,0003,000600,0002,000500,000300,0000200,000100,000 800,000700,0000600,000500,000400,000300,000200,000100,000[ 그림 16 ] 국내 악성봇 감염 IP 추이 및 포트별 비율3월 4월 5월 6월 7월 8월 9월 10월 11월 12월국외 월평균● 2월 평균 국외 악성봇 감염IP 수는 전월 대비 7.4% 증가하였고, 국외의 경우에도 국내와 유사한 추이를 보이고 있다.400,000 - 1,000 악성봇 전파에 사용된 주요 포트를 살펴보면, 국내와 달리 TCP/1433포트(58.0%)가 가장 많은 비중을차지했고, TCP/445(16.6%), TCP/22(8.4%) 등의 순으로 나타났다.3월 4월 5월 6월 7월 8월 9월 10월 11월 12월11.0%6.3%20.9%8.3%231433139445기타53.5%’12년1월국외 월평균’12년1월2월2월8.4%6.6%16.6%10.4%143344523139기타58.0%03월 4월 5월 6월 7월 8월 9월 10월 11월 12월’12년1월2월[ 그림 17 ] 국외 악성봇 감염 IP 추이 및 포트별 비율014

■ 기관 유형·웹서버 별 분류● 피해 사이트를 기관 유형별로 분류해 보면, 기업이 312건으로 가장 많았고, 기타(77건), 네트워크(22건),비영리(21건), 대학(1건) 등의 순으로 나타났다.- 기관 유형별 비율로는 기업(72.1%)이 가장 많았고, 그밖에 기타(17.8%), 네트워크(5.1%), 비영리(4.8%),대학(0.2%) 홈페이지 등의 순으로 나타남※ 기관 분류기준 : 기업(co,com), 대학(ac), 비영리(or,org), 연구소(re), 네트워크(ne,net), 기타(pe, 국외 유포지 등)구분기업대학비영리연구소네트워크기타총계건수312121022774335.1%4.8%0.2%17.8%기업대학비영리연구소네트워크기타72.1%9.0%24.3%[ 그림 19 ] 악성코드 유포지/경유지 피해사이트 기관별 분류● 악성코드 유포 및 경유지로 악용된 사이트를 웹서버 별로 분류해 본 결과, MS IIS 웹서버가 289건(66.7%),Apache 웹서버가 39건(9.0%), 그밖에 기타 유형이 105건(24.3%)으로 집계되었다17.8%24.3%5.1%4.8%0.2%기업구분대학MS IIS비영리Apache 연구소네트워크 기타기타합계건수2893972.1%1054339.0%MS IISApache기타66.7%[ 그림 20 ] 악성코드 유포지/경유지 웹서버 별 분류※ 웹서버별 구분 자료는 각 운영체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임※ 악성코드 유포지/경유지 사이트가 이미 폐쇄 되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음016

3-2 허니넷 유입 악성코드 분석■ 허니넷 유입 악성코드 추이 및 유형별 분류● 2월 한 달간 KISA 허니넷으로 유입된 전체 악성코드 샘플수는 전월대비 35.4% 감소했고, 지난해 9월 이후증감을 반복하는 추세를 보이고 있다.- 악성코드 샘플 유형 대부분이 감소 추세를 보였으며, 특히 많은 비중을 차지했던 ‘Starman’계열이 크게감소하면서 주요 원인으로 작용함80,00070,000월별 전체수집월별 신규수집60,00050,00040,00030,00020,00010,00003월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ’12년 1월[ 그림 21 ] 월별 수집 샘플 증감추이2월※ 수집 샘플은 “윈도우 네트워크 서비스” 취약점을 악용하여 유입된 샘플의 증감 추이만을 반영하므로 이메일, 웹사이트 등 다른유형의 전파기법을 이용하는 악성코드의 감염활동 추이와는 무관함※ 샘플 수집은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 Windows XP SP1(No-Patch)과Windows 2000 SP4(No-Patch) 2개 군으로 분류하여 수집● 악성코드별 비율을 살펴보면, Virut 계열(35.8%), Starman 계열(15.8%), Allaple 계열(2.0%) 등의 순으로많은 비율을 차지했다.46.3%VirutStarmanAllapleIRCBotother15.8%0.1% 2.0%[ 그림 22 ] 신규 수집된 악성코드 비율35.8%※ Virut : 윈도우 실행파일을 감염시키며 변종의 경우네트워크의 트래픽을 유발시킴※ Starman : 사용자 정보유출 등 악의적인 기능을 수행할수 있으며 네트워크의 트래픽을 유발시킴※ Allaple : 시스템내의 *.HTM, *.HTML 파일을 감염시키고, 백도어 역할 수행으로 공격자가 원격제어 할 수있음※ IRCBot : 특정 IRC채널에 접속 시도하며 트로이목마를다운받고, 네트워크 트래픽 과부하, 속도저하를 유발시킴017

● 수집된 주요 악성코드별 증감추이를 살펴보면, 지난달 최고치를 기록했던 Starman은 전월대비 84.5%감소하였고, Allaple도 전월대비 83.1% 감소한 반면, Virut는 전월대비 425.4% 증가하면서 2월에 수집된악성코드 샘플 중 가장 많은 비중을 차지하였다.40,000Srarman Allaple Viruit IRCBot MyDoom35,00030,00025,00020,00015,00010,0005,00003월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ’12년 1월[ 그림 23 ] 악성코드 신규건 수집 추이2월● 이달에 신규 수집된 악성코드의 유포 국가별 비율을 살펴보면, 전월에 이어 미국(28.4%)이 가장 많은비율을 보였고, 인도네시아(10.9%), 이탈리아(10.3%) 등이 상위권을 유지했으며, 헝가리(8.1%), 대만(7.9%) 등의 순으로 나타났다.34.4%7.9%8.1%USIDITHUTWOther10.3%28.4%10.9%[ 그림 24 ] 연간 신규 악성코드 유포 국가별 비율018

3-3 허니넷 유입 유해트래픽 분석■ 허니넷 유입 유해트래픽 추이● 2월 한 달 동안 KISC 허니넷에 유입된 전체 유해 트래픽은 약 568만 건으로 전월(361만 건)에 비하여57.3% 증가하였다.(단위 : 만건)전체 해외 국내80070060050040030020010003월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ’12년 1월[ 그림 25 ] 허니넷 유입 유해트래픽 추이2월※ 허니넷에 유입되는 트래픽은 악성코드, 악성봇 등에 의한 감염 시도 트래픽(취약점 스캔)이 가장 많으며 이러한 악성코드의 네트워크스캔은 유효한 네크워크에 대한 접근효율을 높이기 위하여, 1차적으로 감염된 시스템의 IP주소의 A, B클래스를 고정하고 C또는D클래스 주소를 변경하면서 스캔 하기 때문에 일반적으로 자국에서 유발된 유해트래픽이 해외에서 유입된 트래픽보다 많을 수 있음※ 참고: 허니넷으로 유입되는 트래픽은 초당 수백 건 이상이 될 수 있으므로 구체적인 건수는 큰 의미가 없으며, 국내외 비율 및 월별증감을 참고하기 바람● 트래픽 유발 IP의 해외/국내 소재별로 분류한 결과, 해외 소재 IP로 부터의 트래픽은 약 86.8%, 국내 소재IP로부터 유발된 트래픽은 약 13.2%로 전월에 비해 국내 비율이 1.6%증가한 것으로 나타났다.13.2%국내 IP유발국외 IP유발86.8%[ 그림 26 ] 유해 트래픽 유발 IP의 국내외 비율019

■ 주요 국가별 공격 유형● 해외로부터 KISA 허니넷에 유입된 트래픽을 근원지 IP소재 국가별로 분석한 결과 중국으로부터 유입된트래픽이 45.8%로 가장 많았으며, 그밖에 미국(27.0%), 대만(4.3%) 순으로 나타났다.- 중국으로부터의 트래픽은 TCP/1433, TCP/3306 포트에 대한 서비스 스캔이 가장 많은 비중을 차지함ChinaTaiwanU.S.A[ 그림 27 ] 허니넷 유입 트래픽 TOP3 국가별 공격유형18.2%30.9%22.1%9.1%9.8%10.6%중국China52.3%40.4%8.5%미국U.S.A9.4%10.8%6.1%6.2%대만Taiwan25.1%40.5%TCP/1433 - tcp service scanTCP/3306 - tcp service scanTCP/3389 - tcp service scanTCP/22 - tcp service scan기 타Ping SweepTCP/1433 - tcp service scanTCP/445 - tcp service scanTCP/1234 - tcp service scan기 타TCP/23 - tcp service scanTCP/445 - tcp service scanTCP/22 - tcp service scanTCP/139 - tcp service scan기타020

● 해외로부터 KISA 허니넷으로 유입된 트래픽의 근원지 IP의 국가를 살펴보면, 중국(45.8%)로 가장 많은비중을 차지했으나 전월대비 5.7% 감소하였고, 미국은 미국(27.0%)로 전월대비 6.4% 증가한 것으로분석되었다.- 그밖에 국가로는 대만(4.3%), 러시아(3.7%), 폴란드(2.5%) 등의 순이며, 기타에는 일본, 루마니아,독일, 인도, 브라질 등이 해당순위123456국가명중국미국대만러시아폴란드기타합계비율45.8%27.0%4.3%3.7%2.5%16.7%100%2.5%3.7%4.3%16.7%27.0%중국미국대만러시아폴란드기타45.8%[ 그림 28 ] 허니넷에 유입된 유해 트래픽의 국가별 비율● 주요 국가별 추이를 살펴보면, 중국이 차지하는 비율이 작년 9월 이후 소폭의 감소추세가 지속되고 있는반면, 미국은 소폭 상승추세를 이어가고 있으며, 그밖의 다른 국가들은 상대적으로 증감의 변화 없이 비슷한 수준을 보이고 있다.80%중국 미국 대만 러시아 일본70%60%50%40%30%20%10%0%3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ’12년 1월2월[ 그림 29 ] 허니넷에 유입된 유해 트래픽의 국가별 추이021

■ 해외 → 국내● 해외로부터 KISC 허니넷에 유입된 트래픽을 국가구분 없이 포트/공격(스캔)유형별로 분석한 결과,TCP/1433 포트에 대한 서비스 스캔이 27.3%로 가장 많았고, ICMP(19.8%), TCP/22(8.4%) 등의 순으로나타났다.순위123456포트TCP/1433ICMPTCP/22TCP/445TCP/3389기타합계비율27.3%19.8%8.4%7.8%5.9%30.8%100%30.8%5.9%7.8%TCP/1433 - tcp service scanICMP PingSweepTCP/22 - tcp service scanTCP/445 - tcp service scanTCP/3389 - tcp service scan기타8.4%27.3%19.8%[ 그림 30 ] 해외 → 국내(허니넷) 공격유형별 비율● 공격 유형별 추이를 보면, 가장 많은 비중을 차지하는 TCP/1433 포트에 대한 서비스 스캔은 감소 추세인반면, ICMP PingSweep은 연말이후 꾸준한 증가추세를 보이고 있다.- 주요 포트별 증감추이를 살펴보면, TCP/1433포트는 전월 보다 7.2% 감소, TCP/445포트도 3%가감소한 반면, ICMP는 2.8%가 증가하였고, TCP/22포트도 2% 증가함45%TCP/1433 - tcp service scan ICMP PingSweep TCP/445 - tcp service scan TCP/22 - tcp service scan TCP/3389 tcp service scan40%35%30%25%20%15%10%5%0%3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ’12년 1월2월[ 그림 31 ] 해외 → 국내(허니넷) 공격유형별 증감추이- MS-SQL(TCP/1433), MS-SMB(TCP/22) 포트에 대한 서비스 스캔이 많은 비율을 차지하고 있으므로,데이터베이스, SSH 서비스 등에 대한 접근제어 설정, 보안 업데이트 적용 등 보안 조치가 필요함022

■ 국내 → 국내● 국내에서 KISC 허니넷에 유입된 트래픽을 포트/공격(스캔)유형별로 분석한 결과, TCP/139 포트 스캔이36.0%로 가장 많았으며 그 외 TCP/23(20.7%), TCP/22(11.9%) 포트에 대한 서비스 스캔 순으로 나타났다.16.4%순위1234510국가명TCP/139TCP/23TCP/22TCP/1433ICMP기타합계비율36.0%20.7%11.9%8.2%6.8%16.4%100%6.8%8.2%11.9%TCP/139 - tcp service scanTCP/23 - tcp service scanTCP/22 - tcp service scanTCP/1433 - tcp service scanICMP Ping Sweep기타20.7%36.0%[ 그림 32 ] 국내 → 국내(허니넷) 공격유형별 비율● 주요 포트별 증감추이를 살펴보면, TCP/139 포트와 TCP/22포트 등에 대한 스캔공격은 증가추세를보였고, TCP/23포트와 TCP/1433포트는 감소추세를 보였다.- 지난해 11월 이후 지속적으로 증가세를 보이는 TCP/139포트는 전월(32.9%) 보다 3.1% 증가하였고,지난달 큰폭의 증가세를 보였던 급증하던 TCP/23 포트는 전월(30.7%)보다 10% 감소하였음45%TCP/139 - tcp service scan TCP/23 - tcp service scan TCP/22 - tcp service scan TCP/1433 - tcp service scan ICMP - Ping Sweep40%35%30%25%20%15%10%5%0%3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 ’12년 1월[ 그림 33 ] 국내 → 국내(허니넷) 공격유형별 증감추이2월023

TCP/8080TCP/8443TCP/443TCP/15213-4 국내 인터넷망 트래픽 분석■ 포트별 트래픽 증감추이 분석● 국내 ISP의 일부구간(국내 인터넷망)에서 수집된 트래픽의 포트별 추이를 파악한 결과, TCP/80(HTTP)트래픽이 주로 관찰되었고 이달 중순부터는 수집되는 트래픽 양이 크게 감소한 것으로 나타났다.600,000500,000400,000TCP/80TCP/8080TCP/443TCP/50001TCP/6710300,000200,000100,00002012020120120202201202032012020420120205201202062012020720120208201202092012021020120211201202122012021320120214201202152012021620120217201202182012021920120220201202212012022220120223201202242012022520120226201202272012022820120229[ 그림 34 ] 국내 인터넷망에 유입된 포트별 트래픽 일자별 추이● 수집된 트래픽 중 TCP/80을 제외한 나머지 트래픽에 대한 3개월간 포트별 추이를 살펴보면, TCP/8080,TCP/443, TCP/8443 포트 등에서 상대적으로 많은 트래픽을 발생시키고 있는 것으로 나타났다.450,000400,000350,000300,000TCP/8080TCP/443TCP/8443TCP/50001TCP/6710250,000200,000150,000100,00050,0000201112012011120420111207201112102011121320111216201112192011122220111225201112282012010120120104201201072012011020120113201201162012011920120122201101252012012820120201201202042012020720120110201202132012021620120219201202222011022520120228[ 그림 35 ] 국내 인터넷망에 유입된 포트별 트래픽 3개월 추이024

TCP/1521■ 공격유형별 트래픽 증감추이 분석● 이번 달 국내 ISP의 일부구간에서 수집된 공격 유형을 분석한 결과, DoS 공격 트래픽인 Open Tear 트래픽이크게 유발되었고, UDP Tear Drop도 작은 규모로 자주 탐지되었다.60,00050,00040,00030,00020,00010,000020120201201202022012020320120204201202052012020620120207201202082012020920120210201202112012021220120213201202142012021520120216201202172012021820120219201202202012022120120222201202232012022420120225[ 그림 36 ] 국내 인터넷망에 유입된 공격유형 일자별 추이20120226201202272012022820120229● 최근 3개월간 공격 트래픽을 분석한 결과, 지난 12월 UDP Flooding 공격이 많이 발생했던 이후로는전체적으로 공격트래픽이 감소한 것으로 나타났다.- 최근에는 UDP Tear Drop 공격과 TCP DRDOS Attack 등의 공격트래픽이 소규모로 탐지됨120,000100,00080,000UDP FloodingOpen TearUDP Tear Drop(63072)TCP DRDOS AttackACK Port Scan(F/W Scan)UDP FloodingUDP Tear Drop(63072)Host SweepTCP DRDOS AttackAck StromTCP/80TCP/8080TCP/8443TCP/443TCP/152160,00040,00020,00002012020120120202201202032012020420120205201202062012020720120208201202092012021020120211201202122012021320120214201202152012021620120217201202182012021920120220201202212012022220120223201202242012022520120226201202272012022820120229[ 그림 37 ] 국내 인터넷망에 유입된 공격유형 3개월 추이025

DDoS 공격은 과도한 트래픽을 동시다발적으로 특정 기관의 서버나 네트워크로 발송함으로써 공격대상이정상적인 서비스를 하지 못하도록 하는데 그 목적을 두고 있다. 그래서 DDoS 공격은 웹 서비스를 제공하는기관이라면 누구나 공통적으로 가지게 되는 보안위협이라 할 수 있다.일정한 규모 이상의 기업들은 자체적으로 DDoS 대응 체계를 갖추거나, 업체가 제공하는 DDoS 방어서비스를활용함으로써 침해사고에 대응하고 있으나 국내에는 이러한 자체적인 대응이 어려운 영세한 기업들이 더많이 존재한다.본 문서에서는 별도의 보안조직이 없는 중소기업이나 영세 웹서버 관리자들이 효과적으로 DDoS 공격을차단하는데 도움이 될 수 있도록 DDoS 공격 대응절차를 안내하고자 한다.1 DDoS 공격 발생 현황지난 2011년 한 해에는 정부, 금융, 포털 등 국내 주요기관 40개 사이트를 대상으로 한 3.4 DDoS 공격을 비롯해,EBS 수능방송 사이트, 해양경찰청 사이트, 웹하드 사이트 등 다양한 대상이 다양한 목적에 의해 공격을 받았다.또한 소규모 인터넷 쇼핑몰이나 불법적 사이트(도박·성인 등)를 대상으로 금품 갈취 목적의 협박성 공격,동종업계의 경쟁사간에 영업을 방해할 목적으로 공격하는 청부형 공격, 유명포털이나 게임사이트 등을대상으로 하는 공격 등 DDoS 공격이 지속적으로 발생하고 있다.KISA 인터넷침해대응센터 종합상황실로 신고접수 된 DDoS 공격건수는 2011년 한해 총 63건으로, 경찰청으로신고하거나 아예 신고하지 않은 경우를 포함하면 실제로는 더 많은 DDoS 공격이 발생했다고 볼 수 있다. 또한신고접수 건수와 별도로 KISA가 운영하고 있는 DDoS 사이버대피소를 통해서도 지난 한해 동안 총 60건의 영세/중소기업 대상 DDoS 공격을 방어한 바 있다.· DDoS 사이버대피소란- 한국인터넷진흥원(KISA)가 중소/영세기업의 DDoS 공격피해를 최소화하기 위해 무료로 운영하는 DDoS 공격방어 서비스- 공격대상 웹사이트로 향하는 공격 트래픽을 대피소로 우회시켜 정화함으로써 일반 사용자는 불편함 없이 정상적으로 웹사이트를이용할 수 있도록 해 줌※ 우회된 이후 웹사이트로 접속하는 모든 트래픽은 공격 대응을 위해 일정기간 대피소에 수집됨※ 서비스 신청 및 자세한 내용은 KISA 인터넷침해대응센터 홈페이지(http://www.krcert.or.kr) 참고026

실제로, 해외 네트워크 서비스 업체인 아카마이(www.akamai.com) 社 가 최근 발표한 2011년 3분기 ‘인터넷 현황(The State of the Internet)’ 보고서에 따르면, 지난 3년간 전세계 분산서비스거부(DDoS) 공격이 약 20배증가했으며, DDoS 공격트래픽이 유발된 총 195개국 중 우리나라가 3.8%(7위)로 상위 10개국에 포함된 것으로나타났다.[ 표 10 ] 2011년 3분기 DDoS 공격트래픽 유발 국가 순위순위12345678910-국가인도네시아(Indonesia)태국(Taiwan)중국(China)미국(United States)러시아(Russia)브라질(Brazil)한국(South Korea)인도(India)이집트(Egypt)루마니아(Romania)기타(Other)3사 분기14.0%11.0%8.6%7.3%7.2%5.5%3.8%3.7%3.3%2.4%33.0%DDoS 사이버대피소에서 방어한 공격들을 중심으로 국내 DDoS 공격 형태를 분석해보면, 트래픽 과부하유발형인 ICMP/UDP Flooding 1) , SYN Flooding 2) 과 서버자원 고갈형인 GET Flooding 3) 이 전체 공격의 90%를차지한 것으로 나타났다.한편 DDoS 공격 트래픽의 규모를 기준으로 분류해 보면 1Gbps 미만이 41%, 1~5Gbps가 30% 5Gbps 이상이29%로 분포하였다. 특히, 10Gbps 이상의 대규모 DDoS 공격 트래픽의 비중은 7%로 2010년에 45%를 차지했던것에 비해 크게 감소한 것으로 나타났다. 이는 DDoS 대응 솔루션들의 과부하 정책을 회피하기 위해 특정 공격대상에 대해 소규모로 정밀하게 공격하는 정교한 공격형태로 진화한 것으로 볼 수 있다.1) ICMP/UDP Flooding : ICMP/UDP프로토콜을 이용하는 DDoS 공격으로 대용량 트래픽을 전송하여 회선 대역폭을 마비시키는공격2) SYN Flooding : TCP 프로토콜의 SYN 패킷을 대량으로 전송하여 웹서버 자원 또는 회선 대역폭을 고갈시키는 공격3) GET Flooding : HTTP 프로토콜의 GET method를 대량으로 전송하여 웹서버 자원을 고갈시키는 공격027

2 DDoS 공격 대응 매뉴얼의 필요성DDoS 공격을 효과적으로 차단하기 위한 방법은 공격자와 방어자간의 가용성 확보 싸움으로 좁혀볼 수 있다.방어자는 자신이 관리하고 있는 웹 서버 및 방어시스템 자원의 한계점을 명확히 알고 있어야 한다. 이러한 자원에는 네트워크 대역폭, 웹 서버의 성능 등 물리적인 요소뿐만 아니라 웹서버와 DB가 효율적으로 연동되어 있는지 등에 대한 논리적인 요소들도 포함해야 한다.또한, 운영 장비의 자원 현황에 대한 모니터링과 끊임없는 차단정책 개선 없이 단순히 장비에만 의존하여 공격을 대응하는 것에는 한계가 있음을 인식해야 한다. 공격자는 방어가 이루어질수록 더욱 많은 봇들을 동원하여다양한 형태의 공격을 수행하기 때문에 장비가 가지는 정적 차단 정책을 쉽게 우회할 수 있기 때문이다.즉, 보호하기 위한 시스템과 방어를 위해 사용하는 자원을 항시 모니터링하고 발생하는 DDoS 공격유형에 따른차단정책을 찾고 적용하는 것이 무엇보다 중요하며, 신속하고 효과적인 대응을 위해서는 자신이 보유하고 있는자원에 맞는 세분화 된 DDoS 공격 대응 매뉴얼을 마련할 필요가 있다.DDoS 공격 대응의 단계는 아래와 같이 크게 4단계로 구분할 수 있으며, 효과적인 대응을 위해서는 각 단계별로 세부 대응절차를 구성해야 한다.1단계2단계3단계4단계공격인지를 위한체크포인트 정의DDoS공격유형파악유형에 따른차단정책 정의및 대응공격대응 후,사후조치· 1단계 : 공격 인지를 위한 체크포인트 정의- 웹서비스 관련 이벤트 발생 시 해당 원인이 DDoS 공격으로 인한 것인지에 대한 명확한 판단이 필요· 2단계 : DDoS 공격 유형 파악- DDoS 공격 유형을 명확히 파악하여 차단정책 설정을 위한 근거로 활용· 3단계 : 공격유형에 따른 차단정책 정의 및 대응- 공격의 유형과 목적을 명확히 판단하여 차단정책을 설정함으로써 웹서비스의 가용성 확보· 4단계 : 공격 대응 후, 사후조치- 공격트래픽 분석을 통해 공격 내용을 상세히 규명함으로써 추가 발생할 수 있는 공격 대비를 위해 정책을 업데이트하고 좀비PC IP를확보028

3 DDoS 공격 대응 절차다양하게 발생하는 DDoS 공격에 대해 어떻게 인지하고 분류하여 대응하고 사후조치 하게 되는지 단계별로 세부적인 내용을 살펴보자.■ 공격의 인지 - 공격여부 Check Point● 유입 트래픽 크기 (Incoming Traffic Volume)- 방화벽, IDS 등의 네트워크 장비를 통해 웹서비스 운영 망으로 유입되는 트래픽의 BPS와 PPS 규모를확인하여 평시와 비교※ BPS(Bit Per Second)와 PPS(Packet Per Second)는 네트워크 트래픽 규모를 파악하기 위한 기본 단위로 10Mbps =15,000PPS 임- 유입 트래픽의 크기가 비정상적인 증감을 나타내는 경우, 공격 발생 여부를 의심할 수 있음※ 증감기준(임계치)은 특정 값으로 정의할 수 없음. 즉, 방어하고자하는 웹사이트의 하드웨어 성능, 네트워크 대역폭 등을감안하여 임계치를 정의해야 함● 웹서버 접속 로그 (WebServer Access Log)- 서버의 접속 로그를 확인하여 비정상 접속 증가여부 확인※ 일반적인 DDoS 공격은 특정 페이지(예: 메인페이지, 특정 값 요청페이지 등)만을 지속적으로 요청하기 때문에 웹서버 접속로그를 분석하여 비정상 접속 증가 여부를 확인[ 표 11 ] 웹서버 로그 확보 방법구분로그 파일 경로로그 파일명파일경로 설정방법Windows 계열(IIS 기준)Default 경로Windows\System32\LogFiles\inetpub\logs\LogFiles(웹서버 설정에 따라 다름)u_ex110802.log제어판의 관리 도구를 클릭하여 Internet Service Manager항목을 열어 경로를 변경하고자 하는 웹 서비스의 속성(property)을 클릭하여 log에 대한 경로를 설정 enablelogging이 되어 있어야 함(로그를 남길지에 대한 여부를 선택 안하셨다면, 로그가남지 않음)Linux 계열(Apache 기준)Default 경로/usr/local/apache/conf/var/log/httpd(httpd.conf 설정에 따라 다름)access_loghttpd.conf 파일에서 CustomLog로 되어 있는 부분을 수정CustomLog “logs/access_log” common(httpd.conf 파일의 위치는 Apache 설치시 경로 설정에따라 다름)● 동시접속 정보 (Concurrent Connection)- 웹서버와 클라이언트가 유지하고 있는 연결(Connection) 규모를 확인하여 평시대비 증감률 비교※ 웹서버의 연결 규모는 웹서버가 관련 기능을 이용(제공하는 경우)하거나 방화벽, IDS, L7 등 네트워크 장비를 통해 확인● 유입 트래픽 샘플링 (Incoming Traffic Sampling Capture)- 웹서버 운영망으로 유입되는 트래픽을 적절히 샘플링하여 실제 트래픽을 분석하여 DDoS 공격 여부를검증※ 순간 발생하는 대규모 DDoS 공격 트래픽을 모두 분석하는 데는 한계가 있음※ DDoS 공격 발생 시 Sampling Capture 만으로도 비정상 여부를 확인할 수 있는 경우가 많이 있음029

·-r file : 패킷들을 ‘-w’옵션으로 만들어진 파일로 부터읽어 들인다.·-s length: 패킷들로부터 추출하는 샘플을 default값인68Byte외의 값으로 설정할 때 사용·-T type : 조건식에 의해 선택된 패킷들을 명시된 형식으로 표시·-S : TCP sequence번호를 상대적인 번호가 아닌 절대적인 번호로 출력·-v : 좀 더 많은 정보들을 출력·-vv : ‘-v’보다 좀 더 많은 정보들을 출력·-w : 캡춰한 패킷들을 분석해서 출력하는 대신에 그대로파일에 저장ex)#tcpdump host 192.168.2.165192.168.2.165 IP 주소를 가지고 있는 프레임#tcpdump host 192.168.2.165 and port 23특정 IP 주소와 지정된 포트를 가지고 있는 프레임만 출력#tcpdump -i eth0 host 192.0.0.1eth0 인터페이스에서 흐르는 패킷 중 192.0.0.1IP주소를 가지고 있는 패킷만 출력2. Filter 조건·Protocol:사용 가능한 값: ether, fddi, ip, arp, rarp, decnet, lat,sca, moprc, mopdl, tcp and udp.·Direction:사용 가능한 값: src, dst, src and dst, src or dst·Logical Operations:사용 가능한 값: not, and, or. 부정 연산(“not”)ex)·src host 10.7.2.12 and not dst net 10.200.0.0/16출발지 IP 주소가 10.7.2.12이면서, 목적지 IP 네트워크가 10.200.0.0/16이 아닌 패킷·ip.src != 10.1.2.3 and ip.dst != 10.4.5.6출발지 IP 주소가 10.1.2.3이 아니면서, 동시에 목적지IP 주소가 10.4.5.6이 아닌 패킷● 확보된 트래픽 분석(Analysis)- DDoS 공격 특징을 파악하기 위해서는 프로토콜 정보, HTTP 헤더 정보, 연결 정보를 확인해야 함분석 도구tcpdstatngrep, httpryargus설명수집된 트래픽의 프로토콜 종류 등에 관한 정보 확인http header에 관한 정보 확인concurrent connection에 관한 정보 확인· 분석도구 기능 및 설치 방법- 상기 표시된 모든 도구의 필수 패키지패키지의 의존성 때문에 libpcap 은 필수적으로 설치되어 있어야 함031

- tcpdstat :캡처된 pcap 파일의 정보 조회 및 프로토콜별 사용량 확인이 가능하고 파일 내에서의 평균 트래픽과 최대 트래픽 등의 정보를 제공,rpm을 이용하여 설치- ngrep :실시간 패킷 확인하고 옵션 설정으로 사용자가 필요한 내용만 필터링 가능, Header와 data의 확인 가능, yum을 이용하여 설치- httpry :http protocol(80port)를 사용하는 패킷을 캡처하고 호출되는 콘텐츠의 Method별 확인 가능, source file을 이용하여 설치- argus :네트워크 패킷을 모니터링 하는 툴이며 bps, pps, cps, rps 정보 생성source file 및 rpm 을 이용하여 설치, http://www.qosient.com/argus/index.shtml· 분석도구 사용 시 주요 확인 사항- tcpdstat :평균/최대 트래픽, 사용 중인 프로토콜 종류, 프로토콜별 사용량032

- ngrep :Header 및 데이터 확인(Method, User-agent, Host, Referrer)- httpry(SRC IP, DST IP, Method, URL)● 시나리오 기반(Scenario Drawn)의 공격유형 파악- 대역폭 소진공격, DB 부하 유발공격, 웹서버 자원 공격 등 대표적인 DDoS 공격 유형을 파악분석 도구tcpdstatngrep, httpryargus파악 유형- 대역폭 소진 공격 유형 분석을 위해 UDP/ICMP Flooding 여부 등 프로토콜별 분포와 트래픽 규모 확인- Get Flooding 등 DB Connection 부하유발 공격 유형 확인- 접속자의 요청 페이지(Request Page)에 대한 통계와 특정 시간동안 발생되는 요청 횟수에 대한 통계를확인- Syn Flooding 등 웹서버 자원 부하유발 공격 유형 확인- 특정시간동안 연결된 Connection 규모를 확인033

· 분석도구별 공격유형을 파악하기 위한 분석 기준- tcpdstat :UDP/ICMP의 사용량을 확인하여 대역폭 소진 공격 유형 및 규모 확인034

- ngrep :Header의 내용 중 특정 문자열을 검색하여 호출 횟수가 많은 URL에 대한 분석Header의 내용 중 특정 문자열을 검색하여 연결 횟수가 많은 IP에 대한 행위 분석- httpry :연결 횟수가 많은 IP에 대한 행위 분석나. 기타 방법을 이용한 DDoS 공격 유형 파악● 웹서버 접속 로그 (WebServer Access Log)- 서버 접속로그를 확인하여 접속자의 요청 페이지에 대한 통계와 특정 시간동안 발생되는 요청 횟수에대한 통계를 확인※ 1단계의 ‘웹서버 접속 로그‘ 부분 참조035

■ 공격유형에 따른 차단정책 정의 및 대응● 대역폭 소진 공격 대응 방안- 공격 유형 : UDP Flooding, ICMP Flooding- 대응 방안 : 웹서버 망을 보호하는 방화벽이나 웹서버망 상단에 위치한 라우터에서 해당 프로토콜을차단하도록 ACL 설정※ 단, 상단 라우터에서 ACL을 적용하기 위해서는 ISP의 협력이 필요하며, 보호대상 웹사이트의 UDP, ICMP 서비스 제공필요여부 확인해야 함· UDP, ICMP Protocol 전체를 차단하는 ACL 설정(CISCO 장비 기준)router(config)#access-list 100 deny udp any anyrouter(config)#access-list 100 deny icmp any anyrouter(config)#access-list 100 permit ip any anyrouter(config)#interface g0/0/0router(config-if)#ip access-group 100 in● 대역폭 소진 공격 대응 방안- 공격 유형 : TCP Flooding- 대응 방안 : 대용량 TCP Flooding 공격은 프로토콜 기준으로 차단하는데 한계가 있어 소스 IP(SourceIP)별로 pps 임계치를 설정※ 임계치 기준은 대상 사이트의 특성을 고려하여 PPS 또는 Connection Count를 활용할 수 있음. 이 경우 획일화된 임계치기준은 없으므로 사전에 사이트에 대한 특성 고려 필요· 차단방법1) L7 Switch장비를 운영하는 경우, 설정방법- 대용량 TCP 트래픽 발생 시 HTTP Header Size를 설정하여 차단할 수 있으며, 이 때 공격 트래픽은 Origin Server로 흐르지 않음2) Anti-DDoS 장비를 사용하는 경우, 설정방법- pps 임계치를 설정할 대역폭을 선택한 후 Flooding 방어 설정에서 pps 임계치 적용, 사이트 및 공격 특성에 따라 pps 값을 적용1) L7 Switch장비를 운영하는 경우, 설정방법- 대용량 TCP 트래픽 발생 시 HTTP Header Size를 설정하여 차단할 수 있으며, 이 때 공격 트래픽은 Origin Server로 흐르지 않음2) Anti-DDoS 장비를 사용하는 경우, 설정방법- pps 임계치를 설정할 대역폭을 선택한 후 Flooding 방어 설정에서 pps 임계치 적용, 사이트 및 공격 특성에 따라 pps 값을 적용● 웹서버 자원 소모 공격 대응 방안- 공격 유형 : Syn(Ack/Fin) Flooding- 대응 방안 : 웹서버 OS의 TCP 스택(Stack) 자원을 소모하는 특징이 있으므로 1소스 IP별로 PPS 임계치를 설정하거나 2패킷 헤더 검사를 통해 정상적인 옵션 필드값을 가지지 않는 비정상 패킷 차단036

· 차단방법 예 : Anti-DDoS 장비 설정- Flooding 방어 설정에서 사이트 및 공격 특성에 따라 pps 값을 적용● DB Connection 부하유발 공격 대응 방안- 공격 유형 : Get Flooding, Post Flooding- 대응 방안 : 다량의 HTTP 요청으로 웹서버와 DB 연동에 부하를 유발시키는 것이 특징으로 1클라이언트로부터의 요청 수에 대한 임계치를 설정하여 임계치를 초과하는 소스 IP의 접속 차단하거나 2HTTP헤더를 확인하여 HTTP 표준에 맞지 않는 필드 값을 차단 시그너처(Signature)로 설정· 차단방법Get Flooding, Post Flooding은 L7 Switch의 iRule로 차단가능하며, 3초 동안 30회 이상 동일한 URI 요청 시 300초 동안 차단 함, 설정값은 조절 가능when RULE_INIT {array unset ::userarray set ::user { }array set ::blocklist { }set ::attacktime 3set ::maxquery 30set ::holdtime 300}when HTTP_REQUEST {if { [HTTP::uri] matches_regex {[^jpg|gif|swf|css|png|bmp|js]$}} {if { [ info exists ::blocklist([IP::remote_addr]) ] } {if {$::holdtime > [ expr [clock seconds] - $::blocklist([IP::remote_addr]) ] } {drop# log local5. “[IP::remote_addr] is HOLD”return} else {unset ::blocklist([IP::remote_addr])# log local5. “[IP::remote_addr] is released”}}if { [info exists ::user([IP::remote_addr],count)] } {if { $::attacktime > [expr [clock seconds] - $::user([IP::remote_addr],duration)]} {if {$::user([IP::remote_addr],count) > $::maxquery } {set ::blocklist([IP::remote_addr]) [clock seconds]log local5. “[IP::remote_addr] is blocked”dropreturn} else {incr ::user([IP::remote_addr],count) 1return}} else {unset ::user([IP::remote_addr],count)unset ::user([IP::remote_addr],duration)}} else {if { 20000 < [array size ::user] } {array unset ::userarray set ::user { }}set ::user([IP::remote_addr],count) 1set ::user([IP::remote_addr],duration) [clock seconds]}}}037

● 웹서버 자원 소모 공격 대응 방안- 공격 유형 : Slow Header Flooding, Slow Data Flooding- 대응 방안 : 완료되지 않은 연결(Connection) 상태를 지속적으로 유지하는 공격이므로 하나의 요청에대한 연결 타임아웃을 설정하여 특정 타임아웃이 지나면 연결을 종료시켜 차단● 봇 vs 브라우저 식별 대응 방안- 대응 방안 : 일반적인 봇은 브라우저와 달리 웹서버의 응답코드에 반응하여 행동하지 않으므로 웹서버에서 ‘302 moved temporary’와 같은 코드로 응답하여 봇이 발생시키는 요청을 차단■ 공격 대응 후, 사후조치● 공격 시점의 BPS, PPS, CPS 변화 추이 확인- 공격 규모를 확인하여 웹서버의 가용성이 침해될 수 있는 지점을 확인하여 정확한 분석정보가 반영된차단정책 업데이트● 공격 유형 확인- 프로토콜에 대한 통계, 패킷 크기에 대한 통계, 요청 형태에 대한 통계를 상세히 확인하여 시간에 따른공격 유형의 변경 여부 또는 복합공격 여부를 확인하여 차단정책 업데이트● HTTP 요청 패킷 형태 확인- 1특정 시간대의 HTTP 요청 횟수(Count)를 확인하여 비정상적인 행위 여부를 규명하고 2HTTP헤더의 각 필드 정보를 조사하여, HTTP 표준을 준수하지 않는 비정상 메시지를 차단할 수 있도록 차단정책 업데이트● 좀비PC IP 확보- TCP 기반의 웹서버 가용성 마비 공격은 TCP 3중 연결(3-Way HandShaking) 완료와 함께 시작하므로실제 공격 IP를 확보하여 차단하도록 조치※ 웹서버 가용성 마비 공격에는 GET(POST) Flooding, Slow header(data) Flooding이 있음※ 대역폭 소진 공격의 경우, 공격자는 대부분 Source IP를 위조하므로 IP 위변조 여부를 반드시 확인해야 함]■ DNS공격 대응 방안● DNS 공격방어를 위한 방어시스템 자원 보유- DNS는 일반적으로 UDP Protocol을 이용하여 요청/응답을 하는 구조로 백본에서 UDP Protocol을차단하지 못함- DNS 정보 또는 IP변경 시 일정시간이 소요되기 때문에 즉각적인 IP변경이 어렵고, 또한 UDPProtocol의 특성 상 Source IP를 변경할 수 있어 공격 IP에 대한 구별이 어려움- DNS 공격은 대역폭 소진 공격의 특징을 가지므로 대역폭 공격에 대한 방어 자원을 충분히 보유하는것이 중요함038

· DNS공격 시 대응 방안1) 대역폭 공격 발생- Switch에서 차단· Switch에서 PBR를 통해 최대 UDP Size인 512bytes 이상의 패킷을 차단· PBR적용 시 CPU증가로 현실적으로 사용 불가Router(config)# access-list 111 remark “DNS PBR”Router(config)# access-list 111 permit udp any host dns.ip.addr eq 53Router(config)# route-map dnsddos permit 10Router(config-route-map)# match ip address 111Router(config-route-map)# match length 512 1500Router(config-route-map)# set interface Null 0Router(config-if)# ip route-cache policyRouter(config-if)# ip policy route-map dnsddos- DNS장비에서 차단· 공격양이 크지 않을 경우 DNS서버에서 명령어를 통해 차단iptables -A INPUT -p udp --dport 53 -m length --length 512: -j DROP2) Query 증가- iptable를 이용 rate-limit 설정으로 공격 패킷 차단· 5초 동안 5번 query 발생시 해당 패킷 차단ptables -A INPUT -p udp --dport 53 -m recent --name ddos2 --setiptables -A INPUT -p udp --dport 53 -m recent --name ddos2 --update --seconds 5 --hitcount 5 -j DROP3) 기타- 다량의 DNS서버 구축· 도메인에 대한 NS는 최대 13개까지 등록이 가능하므로 다량의 DNS서버를 구축하여 트래픽 분산 처리- Anycast 기반의 DNS 구축· Anycast로 DNS서버를 구축하여 공격 트래픽을 분산, 공격 차단039

4 결론올 한해도 금전적, 정치적 등 다양한 목적으로 DDoS 공격이 발생하고 있으며, 앞으로도 지속될 것으로예상된다. 특히 영세한 기업을 대상으로 협박성 공격을 감행함으로써 쉽게 금전 취득이 가능한 점과홈페이지·P2P·웹하드 등 악성코드 전파 경로가 다양지면서 봇넷(BotNet) 환경 구성이 용이한 점 등을요인으로 꼽을 수 있다. 한편 금전적 협박이나 공격 명령이 주로 해외에서 이루어지고 있어 DDoS 공격 근원지파악 및 공격자 검거가 어려운 점도 간과할 수 없는 부분이기도 하다.공격자는 공격 대상에 따라 다양한 공격방법을 사용하며, 기존 대응 방안들을 우회하는 진화된 공격기법으로공격을 시도할 것이기 때문에 한번 DDoS 대응 환경을 구축했다 하더라도 다양한 DDoS 공격을 모두 방어하기는 어렵다. 반면, 현실적으로 많은 웹 서비스 업체들은 DDoS 공격 대응을 위해 무작정 보안장비나 서비스비용을 늘려갈 수만은 없다.그러므로, 이를 극복하기 위해서는 지속적으로 자신이 관리하는 시스템, 어플리케이션 등 공격대상이 될 수있는 자산과 DDoS 공격유형을 파악하여 정확한 대응 방안을 도출해야한다. 이때 본 문서에서 제시하는 가이드라인을 참고하여 보유하고 있는 자원에 맞는 DDoS 공격 대응 매뉴얼을 마련한다면 사고발생시 신속하고효과적으로 대응하는데 도움이 될 것이다.만약 DDoS 대응장비를 구축할 수 없는 영세·중소기업 및 개인사업자라면 KISA에서 제공하는 DDoS 사이버대피소를 적극 이용할 것을 권장한다.040

바이러스 월(Virus Wall)버퍼오버플로우(Buffer Overflow)네트워크 환경 내부에 인-라인(In-line)상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽상의 네트워크 바이러스를 예방 및 차단하는 시스템메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어씀으로써호출 프로그램으로의복귀오류등을 일으켜 정상적인 프로그램의 실행을 방해하는 대표적인 공격기법운영체제 취약점, 비밀번호의 취약성, 악성코드의 백도어 등을 이용하여 전파되며, 해킹명령봇(Bot)분산서비스거부공격(DDoS:DistributedDoS)서비스거부공격(DoS:Denial of Service)Teardrop AttackOpen Tear AttackTCP DRDOS Attack전달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한프로그램 또는 실행 가능한 코드DoS용 에이전트를여러 개의 시스템에설치하고,이 에이전트를제어하여DoS 공격을함으로써보다 강력한 공격을 시도할 수 있으며, 공격자에 대한 추적 및 공격트래픽의 차단을 어렵게만드는 공격 형태특정 네트워크에서 허용하는 대역폭을 모두 소모시키거나, 공격대상(victim)시스템의 자원(CPU, 메모리 등)을 고갈시키거나,시스템 상에서 동작하는 응용프로그램의오류에 대한 공격으로 서비스를 못하도록 만드는 공격데이터를 송수신하기 위해서는 단편화 및 재조합 과정을 거치게 되는데, 공격자가데이터를 과도하게 여러 조각으로 나누거나 헤더의 필드에 비정상적인 값을 입력하여전송함으로써 공격대상 시스템이 재조합 과정에서 오류를 발생시키도록 하는 서비스 거부공격※ 단편화(fragmentation) : 데이터의 크기가 커서 한 번에 전송할 수 없을 경우 패킷을 여러개로 나누어전송하는 것을 의미함※ 재조합(reassembly) : 데이터를 수신한 시스템에서 단편화(fragmentation)된 패킷을 순서에 맞게 원래모양대로 조합하는 것을 의미함일반적인 Teardrop 공격과 달리 패킷을 전송할 때 데이터가 단편화되어 있다는 신호만보내고 실제 데이터는 전송하지 않음으로써 공격대상 시스템이 재조합 과정에서 오류를발생시키도록 하는 서비스 거부 공격공격자는 출발지 IP를 공격대상의 IP로 위조하여 syn 패킷을 다수의 반사서버로 전송하고, 이들 반사서버에서 응답하는 syn-ack 패킷이 공격대상 서버로 몰려 서비스가 거부상태가 되는 공격※ DRDoS : Distributed Reflection Denial of Service※ 반사서버(reflection server): DRDoS에 이용되는 라우터 또는 서버(주로 웹, DNS 등)※ icmp프로토콜의 echo request와 response를 이용하여 동일한 형태의 공격도 가능함이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템,데이터 또는 프로그램 등을훼손·멸실·변경·위조하거나정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램.스파이웨어(Spyware)스팸릴레이(SpamRelay)허니넷애드웨어(Adware)웜(Worm)즉, 이용자의 동의 없이, 웹브라우저의홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의운영을 방해·중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집·전송하는 등의 행위를 하는 프로그램스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용KISA 인터넷침해대응센터내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위, 악성코드 등을 수집사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의사용자가 의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행가능한 코드041

지역센서취약점정보수집 공격침입시도트로이잔(Trojan)피싱(Phishing)해킹(Hacking)ASP.NETBotnetDHTMLEditingComponentActiveXE-mail 관련 공격Hyperlink 개체 라이브러리KrCERT/CCLLSNetBIOSOLE/COMPNGSMBTCP Syn FloodingWindows SharePoint ServicesWindows Shell공격징후 탐지를 위하여 KISA에서 주요도시에 설치한 센서대상시스템의 운영체제, 설정 등을 알아보기 위하여 스캔하는 등의 행위로 주로 해킹의 사전단계로 이용됨시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드정상적인 웹서버를 해킹하여 위장사이트를개설한 후, 인터넷 이용자들의금융정보 등을 빼내는신종사기수법으로Bank Fraud, Scam이라고도 함다른 사람의 컴퓨터나정보시스템에불법 침입하거나,정보시스템의정상적인기능이나데이터에임의적으로 간섭하는 행위개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과스크립팅을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를제공함많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤상대방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 E-mail을보냄으로써 상대방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨응용프로그램들이HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공Korea Computer Emergency Response Team Coordination Center의 약어로, 국내외 인터넷침해사고 대응업무를 수행하는 한국 대표 침해사고대응팀(CERT/CSIRT)이며,KISA 인터넷침해대응센터가 역할을 수행License Logging Service의 약자로 MS서버제품에 대한 라이센스를 고객이 관리할 수 있도록해주는 도구네트워크의 기본적인 입출력을 정의한 규약Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의일종으로서 서로 다른 응용프로그램이나플랫폼이 데이터를 공유하는데 사용Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX 환경에서 아이콘 등에 많이 사용Server Message Block의 약자로 파일이나 네트워크 폴더 및 프린터 공유 등에 사용되는프로토콜TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을보내서 대상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한서비스윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있음042