사회기반시설 공격 동향 분석보고서 차민석 20161029_레몬 정보보호 세미나

현실화 되는 Die Hard 4.0
2016.10.29 (v1.1) - 레몬 정보보호 세미나 발표판
안랩 시큐리티대응센터(ASEC) 분석팀
차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원
사회기반시설 공격 현황

© AhnLab, Inc. All rights reserved. 2
:~$whoami
• 책
-보안에미쳐라(2016)
* Source:http://www.yes24.com/24/goods/29333992

시작하기 전에
• 보안이 완벽한 시스템은 이 세상에 없어
- MatthewBroderick주연위험한게임(WarGames)
* Source:WarGames(1983)

Wrap up
• 사회기반 시설 공격 증가
- 사이버공격자에핵티비스트,테러리스트추가
• 공격 대상
-주로에너지,교통,금융,방송분야공격에집중
-앞으로의료및헬스케어공격가능성
• 대응 문제
- 보안담당자부족,보안의식부족,망분리맹신,구형시스템,협력업체관리필요,보안이슈협력

Contents
01
02
03
04
05
06
07
사이버 공격의 변화
사회기반시설
사회기반시설 공격 사례
공격 방식
주요 사회기반시설 공격 사례 분석
사회기반시설의 보안 위협 요인
맺음말

가까운 미래…
• 소설
-

가까운 미래…
• 다이하드 4.0
-

© AhnLab, Inc. All rights reserved.
최근 악성코드 특징
최근
악성코드
특징
명확한제작
목적
(돈 & 정보)
조직화와
기업화
명확한
공격 대상
해킹 기술과
결합
공격
대상의확대
유사 변형
양산과
지역화

공격 주체

Terrorist
• 테러 단체 사이버 공격
-
* Source:http://www.dailymail.co.uk/news/article-2912280/Death-France-Death-Charlie-Pro-ISIS-hackers-launched-unprecedented-wave-cyber-
attacks-19-000-French-websites.html

사회기반시설
• 사회기반시설 관련 국내 법 조항
*Source:http://www.law.go.kr/lsInfoP.do?urlMode=lsInfoP&lsId=009294
[국토의 계획 및 이용에 관한 법률 2조 6항]
‘기반시설’이란 다음 각목의 시설로서 대통령령으로 정하는 시설을 말한다.
가. 도로·철도·항만·공항·주차장 등교통시설
나. 광장·공원·녹지 등 공간시설
다. 유통업무설비, 수도·전기·가스공급설비, 방송·통신시설, 공동구역 등 유통·공급시설
라. 학교·운동장·공공청사·문화시설 및 공공필요성이 인정되는 체육시설 등 공공·문화체
육시설
마. 하천·유수지(遊水池)·방화설비 등 방재시설
바. 화장시설·공동묘지·봉안시설 등 보건위생시설
사. 하수도·폐기물 처리시설 등 환경기초시설

사회기반시설
• 주요 사회기반시설
-DHS분류
* Source:https://www.hsdl.org/?view&did=754033

03
사회기반시설 공격 사례

과거 정치 메시지 담은 악성코드
• 정치적 메시지 담은 악성코드
- Bloody,November_30th.B,No_Import_Rice,VBS/Staple,VBS/VBSWG.Z등

Timeline
Estonia
DDoS 공격
2001 2007 2009 2010 2011 2012 2013 2014 2015
Georgia
공격
Iran
Stuxnet
발견
사우디
Aramco
공격
병원
랜섬웨어
감염
한국
3.20전산망
장애
일본
원전
공격
France
TV5Monde
장애
2016
미국
댐
해킹
시도
한국
특정 은행
전산망
장애
한국
6.25
사이버
공격
Havex
한국
수력
원자력
자료 유출
우크라이나
발전소장애
및 정전
CodeRed
1.25
인터넷대란
(Slammer)
Bangladesh
중앙은행
해킹
7.7
DDoS
공격
3.4
DDoS
공격
원자력
발전소
공격 증가

Timeline
• 주요 공격 사례
-

Energy 분야 - Stuxnet
• Stuxnet
* Source:https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=16852

Energy 분야 - Stuxnet
• The NewYork Times,미국 정부 제작 보도
- 코드명OlympicGames
*source:http://www.nytimes.com/2012/06/01/world/middleeast/Obama-ordered-wave-of-cyberattacks-against-
iran.html?_r=1&pagewanted=all

Energy 분야 - Ukraine Blackout
• Ukraine정전 발생
-12월23일우크라이나 Ivano-Frankivsk지역등3곳에서정전발생
-사이버공격가능성보도
*Source:http://ru.tsn.ua/ukrayina/iz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406.html

• CyberAttack가능성 알려짐
-
*Source:http://www.sbu.gov.ua/sbu/control/uk/publish/article?art_id=170951&cat_id=39574

• 의심 악성코드 발견
-
* Source:http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry&
http://www.symantec.com/connect/blogs/destructive-disakil-malware-linked-ukraine-power-outages-also-used-against-media-
organizations?om_ext_cid=hho_ext_social__Sym_UPowerGrid_TWITTER_Connect%20Blog&linkId=20140284

• US DHS사이버 공격 확인
-
* Source:http://www.ibtimes.com/us-confirms-blackenergy-malware-used-ukrainian-power-plant-hack-2263008&https://ics-cert.us-cert.gov/alerts/IR-
ALERT-H-16-056-01

교통 (도로, 철도, 공항) 분야
• 도로와 관련 된 사례
- 2009년 오스틴(Austin) 도로 표지를 해킹해 ‘CAUTION! ZOMBIES! AHEAD!!!’를 표시한 사례
- 2015년 브라질 버스정류장 정보 시스템 해킹 당해 성인 영화가 방영한 사례
- 2016년 4월 26일 한국 여수 버스정류장에서 밤 10시경 약 40 분간 음란 동영상이 재생 된 사례
• 가능한 시나리오
- 대부분의 도로는 실시간 신호제어 시스템이 적용되어 있어, 수집된 차량 통행량을 바
탕으로 교통신호 시스템을 운영
- 교통신호등과 중앙제어시스템간의 교통신호등과 중앙제어시스템간의 통신 프토로
콜을 알아내어 통신 정보를 조작해 임의제어
- 중앙제어 시스템에 대한 직접적 공격

• 교통 안내 시스템 해킹
-
* Source:GIZMODO&http://www.politico.com/story/2016/05/trump-hacked-road-sign-223718

• 교통 안내 시스템 해킹
-
* Source:SecurityWeek&http://news.mtn.co.kr/newscenter/news_viewer.mtn?gidx=2016042616081
264980

• 폴란드 항공사 LOT 시스템 장애
- 1,400passengers영향,10편취소및12편지연발생
* Source:http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html

• DDoS공격으로 확인
-
* Source:http://www.theregister.co.uk/2015/06/23/planegrounding_airport_attack_revealed_to_be_ddos/

• 서울 메트로 해킹
-
* Source:http://news.chosun.com/site/data/html_dir/2015/10/05/2015100500286.html

통신 분야
• 통신분야와 관련 된 공격 사례
- 첫 번째 통신망에 대한 사고사례는 2003년 슬래머 웜에 의한 1.25 인터넷 대란
- 2014년에는 인터넷 공유기 악성코드의 DDoS 공격으로 특정 ISP 인터넷 장애
• 개인정보 유출(국내)
- 2012년 3월 통신사 협력사 직원이 20만 명의 고객정보를 유출
- 7월에는 또 다른 통신사에서 870 만 명의 고객정보가 유출
- 2014년 3월에는 국내 3개 이동통신사에서 모두에서 약 1,230만 명의 고객정보가 유출
• 개인정보 유출(해외)
- T모바일(T-mobile)의 경우 2013년 9월부터 2년간 개인정보 1500만 건이 유출 되는 사고
- 프랑스 이동통신사 오렌지(Orange)의 경우 2014년 1월 16일 웹사이트가 해킹 당해 80만 명의 개
인정보가 유출
- 버라이즌(Verizon)은 2016년 3월 25일 해커의 공격을 받아 150만 명의 고객 데이터가 유출

금융 분야
• 금융분야와 관련 된 사례
- 2011년 4월 12일 한 금융사의 전산 시스템 중 계정과 카드사/ATM/창구를 연결해주는 시스템의
자료가 삭제되어 3일 정도 고객 서비스 중지
- 2013년 3월 20일 3.20 전산망 장애로 금융권 시스템에 문제가 생겨 창구거래, ATM 거래가 중단
- 2016년 2월 미 연준에 둔 방글라데시 중앙은행 계좌가 해킹되어 8,100 만 달러 (약 966 억 원)가
이체되어 사라짐
- 2016년 4월 26일 콰타르중앙은행 (QNB) 해킹으로 자료 유출
- 2016년 5월 UAE(United Arab Emirates) 투자 은행도 해킹 당해 유출 된 정보 공개

방송 분야
• 방송분야와 관련 된 사례
- 2013년 3.20 전산망 장애
:당시 국내 주요 방송사와 언론사가 공격대상에 포함
- 2015년 4월 8일 밤 프랑스 떼베생몽드(TV5 Monde) 방송국 해킹 및 방송 중단 사태
- 2016년 3월 11일에는 이스라엘 방송국이 해킹되어 TV화면에는 하마스(HAMAS) 라는 팔레스타
인 독립 단체 이미지가 띄워졌으며 “우리나라에서 나가”라는 메시지가 방영

방송 분야
• FranceTV5Monde해킹
-
* Source:http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-islamiste_4612099_4408996.html

의료 및 헬스케어 분야
• 의료 및 헬스케어와 관련 된 사례
- 미국건강보험업체인앤섬(Anthem)이8천만명에달하는정보가해킹을통해유출된사례
- 병원은생명을다루며환자의민감한정보를보관
- 중요성에비해대부분의병원은사이버공격대응인력이없거나소수의인원만존재

주요 공격 방식

05
주요 사회기반시설 공격 사례 분석

SaudiAramco 사례
• 사우디 아라비아 SaudiAramco에 대한 공격
- 2012년8월15일SaudiAramco약3만5천대시스템이공격당해데이터삭제및부팅불가발생
-
*source:http://www.reuters.com/article/us-aramco-virus-idUSBRE87E18S20120815

SaudiAramco 사례
• CuttingSword of Justice
-
*source:http://pastebin.com/HqAgaQRj

SaudiAramco 사례
• 추가 공격 예고
-2012년8월25일21시00(GMT)추가공격예고
*source:http://pastebin.com/WKSk3pmp

SaudiAramco 사례
• 8월 30일 카타르 RasGas공격 사실 보도
-세계에서두번째로큰카타르 액화천연가스생산업체침해사고발생
*source:http://www.pipelinecommunity.com/Oil-News/breaking-rasgas-it-network-black-out.html

SaudiAramco 사례
• Wiper
-

SaudiAramco 사례
• Wiper
Dropper
Wiper dropper
Reporter
64 bit Dropper
Wiper dropper Reporter

SaudiAramco 사례
• PDB정보
- C:ShamoonArabianGulfwiperreleasewiper.pdb

Ukraine 정전 사례
• Macro 포함한 문서 파일로 공격
-

• Macro 코드
- %temp%vba_macro.exe생성

•
Rundll32.exe
FONTCACHE.DAT
lnk
plugin
vba_macro.exe

• {6D60EB0B-A059-4F8E-83BB-F0105070C2CC}.LNK파일 생성
-

• FONTCACHE.DAT
- packet.dll로위장

• rundll32.exe로#1 (PacketAllocatePacket)실행
-

• 조사 결과
-
* Source:https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf

• 공격 방식
-
* Source:https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf

06
사회기반시설의 보안 위협 요인

현재 상황
사회기반시설
보안 문제
보안 담당자
부족
보안 의식
부족
협력 업체
관리 필요
구형 시스템
운영
보안 이슈
협력 필요
망분리
맹신

현실
• 악성코드 감염 막을 수 없다TT
-

현실
• 영국 Railcontrolcentre 로그인 정보
- 방송내용중Login정보노출
* Source:https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed

현실
• TV5 Monde방송 내용에 password공개 됨
-
* Source:https://twitter.com/pent0thal

도시철도 감사 결과
• 보안 지적
- 열차운행제어컴퓨터(TCC)악성코드감염방치및관제센터보안문제
* Source:http://gov.seoul.go.kr/files/2016/02/56b44ae5bbcfa8.55745107.pdf

협력사 보안 강화
• 협력사 자료 유출 통제
- 협력회사의자료전송에대한보안관리시스템을구축
* Source:http://www.diodeo.com/news/view/1461316

Wrap up
• 사회기반 시설 공격 증가
- 사이버공격자에핵티비스트,테러리스트추가
• 공격 대상
-주로에너지,교통,금융,방송분야공격에집중
-앞으로의료및헬스케어공격가능성
• 대응 문제
- 보안담당자부족,보안의식부족,망분리맹신,구형시스템,협력업체관리필요,보안이슈협력

Wrap up
사회기반시설
보안 문제
보안 담당자
부족
보안 의식
부족
협력 업체
관리 필요
구형 시스템
운영
보안 이슈
협력 필요
망분리
맹신

Q&A
email : minseok.cha@ahnlab.com / mstoned7@gmail.com
http://xcoolcat7.tistory.com
https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

사회기반시설 공격 동향 분석보고서 차민석 20161029_레몬 정보보호 세미나

사회기반시설 공격 동향 분석보고서 차민석 20161029_레몬 정보보호 세미나

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (6)

En vedette

En vedette (9)

사회기반시설 공격 동향 분석보고서 차민석 20161029_레몬 정보보호 세미나