최근 사이버침해 유형 및 대응방안 정보기반과

목차  1. 최근 사이버테러 동향 최근 정보보호 동향 최근 정보보호 동향 최근 침해사고동향 최근 침해사고동향 최근 사이버테러 공격의 특징 최근 사이버테러 공격의 특징  2. 사이버 테러 공격 단계 및 유형  3. 사이버 테러 대응 방안

1. 최근 사이버 테러 동향 최근 정보보호 동향 최근 침해사고 동향 최근 사이버테러 공격의 특징

최근 정보보호동향  2010 년 정보보호 주요이슈는 목표대상이 명확한 조직적 범죄, 소셜네트워크 서비스 위협, 악성 프로그램 및 가짜백신 증가를 뽑을 수 있다.  2011 년 전세계적으로 스마트폰과 태블릿 등 모바일 기기 이용 급증에 따라 모바일관련 위협 증가 예상된다.

최근 침해사고 동향  한국인터넷진흥원의 월간침해사고 통계에 의하면, 2010 년 정보보 호동향에서 예측된 주요 이슈들이 거의 현실화된 통계를 보인다. 출처 : KrCERT 월간침해사고 전체 통계 악성코드의 경우 공격대상에 최적화된 악성프로그램의 양적 증가를 통한 사이버 침해사고에서 가장 큰 비중을 차지

최근 사이버 테러 공격의 특징 - 1  다기능 악성코드 출현 바이러스 + 자기복제 + 트로이목마 + 발신지제거 기능 포함 바이러스 + 자기복제 + 트로이목마 + 발신지제거 기능 포함 웜과 바이러스간의 경계파괴 웜과 바이러스간의 경계파괴  웜 바이러스 전파속도 고속화 기존의 단일전파 방식 (TCP) 에서 다양한 전파 방식 (TCP, UDP, P2P, etc) 채택 기존의 단일전파 방식 (TCP) 에서 다양한 전파 방식 (TCP, UDP, P2P, etc) 채택 취약점을 공격하여 유포하는 전파방식의 자동화 채택 취약점을 공격하여 유포하는 전파방식의 자동화 채택  스팸 메일의 지능화 스팸 메일 전송용 백도어 또는 프락시 설치 스팸 메일 전송용 백도어 또는 프락시 설치 자체 메일 송신 프로그램을 내장 자체 메일 송신 프로그램을 내장

최근 사이버 테러 공격의 특징 - 2  공격도구 자동화 및 신속성 증가 개별적인 침입시도 → 지동화된 공격 개별적인 침입시도 → 지동화된 공격  공격 도구 다양화 및 지능화 침입차단 시스템의 기능 무력화 (IPP, WebDAV) 침입차단 시스템의 기능 무력화 (IPP, WebDAV) IDS 우회, 게시판공격 등 IDS 우회, 게시판공격 등  시스템의 취약점을 이용한 공격 증가 매년 2 배 이상씩 증가되는 취약점 매년 2 배 이상씩 증가되는 취약점 0-Day 증가 0-Day 증가  기간망에 대한 공격 증가 컴퓨터에 대한 공격 → 네트워크에 대한 공격 컴퓨터에 대한 공격 → 네트워크에 대한 공격 서비스거부 공격, 웜 공격, DNS 공격, 라우터 공격 서비스거부 공격, 웜 공격, DNS 공격, 라우터 공격

2. 사이버 테러 공격 단계 및 유형 최근 정보보호 동향 최근 침해사고 동향 최근 사이버테러 공격의 특징

사이버 테러 공격 단계  1 단계 : 정보 수집 단계 대상 시스템이 제공하는 서비스의 종류와 버전, 취약점 파악 대상 시스템이 제공하는 서비스의 종류와 버전, 취약점 파악  2 단계 : 불법 접근 단계 해킹 방법을 이용한 불법접근 시도 해킹 방법을 이용한 불법접근 시도 관리자 권한 획득 시도 관리자 권한 획득 시도  3 단계 : 정보 수집 도구 설치 Sniffing 도구, 악성 프로그램, 백도어, 루트킷 등 설치 Sniffing 도구, 악성 프로그램, 백도어, 루트킷 등 설치  4 단계 : 불법 행위 수행 정보 유출, 시스템 파괴 등의 불법 행위 수행 정보 유출, 시스템 파괴 등의 불법 행위 수행  5 단계 : 침입 흔적 제거 로그 파일 변조 등 로그 파일 변조 등

공격유형 1 - 정보수집  Scan 무작위 IP 등을 대상으로 동작하고 있는 시스템 구별 무작위 IP 등을 대상으로 동작하고 있는 시스템 구별 특정 IP 에서 동작하고 있는 서비스 및 열린 포트 탐색 특정 IP 에서 동작하고 있는 서비스 및 열린 포트 탐색  Netbios 시스템에서 사용하는 공유 폴더를 알아내기 위함 시스템에서 사용하는 공유 폴더를 알아내기 위함  Network Sniff 원격지에서 시스템의 ID, Password 등을 알아내기 위해 사용 원격지에서 시스템의 ID, Password 등을 알아내기 위해 사용  Social Engineering 관리자와의 친분 관계 또는 사회 공학적인 방법으로 시스템에 접근할 수 있는 접근 권한 획득 관리자와의 친분 관계 또는 사회 공학적인 방법으로 시스템에 접근할 수 있는 접근 권한 획득 Network Sniffer 의 사용 예

공격유형 2 - 패스워드 크래킹  송수신 데이터를 도청하여 패스워드를 추출  대상 컴퓨터에 침입하여 패스워드 파일을 크랙 Host (Victim) password file Cracking tool cracked password cracked password cracked password (1)Target host 의 패스워드 파일 획득 (2)Crack 도구로 clean-text 패스워드 획득 (3) 공격 대상 시스템에 침입하여 패스워드를 변경 하거나 침입 시 사용

공격유형 3 – 공격도구 의한 공격  신종 취약점을 이용한 무작위 목표 공격 Workstation 2. 취약점파악, scan 3. 공격 및 복제 7. 변형 공격 1. 무작위 공격대상 선정 4. 숨기, 트로이목마 설치 5. 불법행위 ( 변조, 자료유출 ) 공격자 ( 감염자 ) 피해자 6. FeedBack 1 부터 다시 시작

공격유형 4 – 웜 바이러스  메일을 통하여 웜이나 바이러스가 전달되어 시스템을 공격 Servers Workstation 인터넷 메일서버 악성코드 인터넷 웜 버이러스 악성코드전달 파괴 웜 또는 바이러스 유포 악성 코드에 의한 공격

공격유형 5 – 서비스거부공격  공격대상 컴퓨터로 동시에 메시지가 몰려들어 서비스를 수행할 수 없도록 하는 공격 (1) 발신주소를 Host B 로 설정 후 Broadcasting 으로 ICMP echo 요청 Router (2) (1) 에 의한 응답 ICMP 메시지들 PC Host A (attacker) Servers PC Workstation Host B (victim) Printer Workstation

공격유형 6 – 분산 서비스 거부 공격  다수의 컴퓨터가 특정 시스템을 정해진 시각에 동시에 공격 Intruder Master DDDDDDDD Victim 제어용 공격용 27665/tcp M-> D : 27444/udp D->M : 31335/udp Randomized ports

공격 유형 7 – 트로이목마  다른 기능을 하는 것처럼 가장하면서 사용자가 원하지 않는 악의적 인 기능을 몰래 수행하는 프로그램 일반적으로 트랩도어 / 백도어를 생성 일반적으로 트랩도어 / 백도어를 생성 원격에서 컴퓨터 제어 가능 원격에서 컴퓨터 제어 가능 !) 페이지에 트로이목마 설치 Internet 2) 웹페이지 방문 4) 사용자의 정보나 메일 리스트 등을 유출 해커 !) 트로이목마가 담긴 전달 2) 확인 3) 트로이목마 자동 설치

3. 사이버 테러 대응방안 최근 정보보호 동향 최근 침해사고 동향 최근 사이버테러 공격의 특징

사이버테러 대응 방안 - 1  사이버테러에 대한 지속적인 관심 개인별 기본적인 보안 도구 설치 개인별 기본적인 보안 도구 설치 각 운영체계별 보안 패치 설치 확인 각 운영체계별 보안 패치 설치 확인 정기적인 백신 업데이트 정기적인 백신 업데이트 지속적인 보안 교육 실시 지속적인 보안 교육 실시  정보보호용 제품 사용 IDS, IPS, VPN, 방화벽 등의 정보보호제품 활용 IDS, IPS, VPN, 방화벽 등의 정보보호제품 활용 SecureOS 등을 사용하여 시스템 파일 변조 예방 SecureOS 등을 사용하여 시스템 파일 변조 예방 IDS, 방화벽 등을 설치하여 외부 해커에 의한 백도어 접근 차단 IDS, 방화벽 등을 설치하여 외부 해커에 의한 백도어 접근 차단 방화벽을 Load Sharing, Load Balancing 할 수 있는 Dual 로 구성 하여 서비스 거부 공격에 대비 방화벽을 Load Sharing, Load Balancing 할 수 있는 Dual 로 구성 하여 서비스 거부 공격에 대비  업무상 필요하고 검증된 소프트웨어만 사용 많은 악성 코드가 프리웨어 또는 불법 복사제품을 통해 전달 많은 악성 코드가 프리웨어 또는 불법 복사제품을 통해 전달

사이버테러 대응 방안 - 2  내부정보의 유출 방지책 강구 망의 구성을 NAT 등을 사용하여 사설 형태로 구성 망의 구성을 NAT 등을 사용하여 사설 형태로 구성 시스템에 불필요한 서비스 포트 삭제 시스템에 불필요한 서비스 포트 삭제 업무상 필요한 계정에 한하여 서비스 제공 업무상 필요한 계정에 한하여 서비스 제공 외부 통신시 검증된 암호 통신 사용 외부 통신시 검증된 암호 통신 사용 시스템에 백도어 등이 설치되어 있는가를 주기적으로 검사 시스템에 백도어 등이 설치되어 있는가를 주기적으로 검사  이메일 주의 첨부 파일을 열기 전에 하드디스크에 저장하여 백신 프로그램으 로 검사 첨부 파일을 열기 전에 하드디스크에 저장하여 백신 프로그램으 로 검사 송신처가 불분명한 메일 삭제 송신처가 불분명한 메일 삭제 이메일 서버에 서버용 백신 프로그램 설치 및 주기적 업데이트 수행 이메일 서버에 서버용 백신 프로그램 설치 및 주기적 업데이트 수행  ID 와 패스워드 관리 철저 불필요한 사용자 계정 삭제 불필요한 사용자 계정 삭제 추측 어려운 ID 와 패스워드 사용 추측 어려운 ID 와 패스워드 사용

감사합니다