보안 위협 동향과 대응 방안

보안 위협 동향과 대응 방안
2010.10.22
㈜ 안철수연구소
ASEC (AhnLab Security Emergency response Center)
Anti-Virus Researcher, CISSP
장 영 준 선임 연구원

목

차

1. 보안 위협의 발전과 악성코드의 증가
2. 2010년 주요 보안 위협 이슈

3. 보안 관리자로서 보안 위협 대응 방안

Copyright (C) AhnLab, Inc. 1988-2010. All rights reserved.

보안 위협의 발전과 악성코드의 증가



[시대의 흐름과 보안 위협의 발전]
4



5


2010년 주요 보안 위협 이슈


모든 보안 위협의 기본은 사회 공학 기법
고도화 되는 보안 위협 등장 - Stuxnet
허위 백신의 고도화된 감염 기법
진단, 치료가 어렵도록 발전하는 악성코드

보안 위협
제로 데이 취약점은 타켓 공격의 수단
ARP Spoofing을 악용해 악성코드 유포
본격적인 SNS 기반의 보안 위협 양산
다양화되는 스마트폰 보안 위협
7


1) 모든 보안 위협의 기본은 사회 공학 기법
 사회 공학 기법은 현재 발생하는 모든 보안 위협에서 기본적으로 사용되고 있음.
 타켓 공격을 위한 전자 메일은 수신인이 보안 위협에 대한 인식이 어렵도록 작성.
 허위 백신은 감염된 PC의 사용자에게 한국어로 과장된 위협의 정보를 극대화 하여 전달.
 동계 올림픽과 남아공 월드컵 등 사회적인 주요 이슈를 악용해 악성코드 유포.

[ 2월 해외 허위 백신의 한국어 사용]
8

[ 6월 BC카드로 위장해 악성코드 유포]

2) 고도화 되는 보안 위협 등장 - Stuxnet
 2010년 7월 윈도우 운영체제의 제로 데이(Zero-Day) 취약점 악용으로 악성코드 발견
 악성코드 전파를 위해 운영체제의 제로 데이 취약점과 이동형 저장 장치 등 복합적인 감염 경로 사용
 특정 목적으로 SCADA 시스템 노린 악성코드로 사회 기반 시스템을 공격하는 고도화된 보안 위협
 특정 목적으로 특수 용도의 악성코드를 제작하는 APT(Advanced Persistent Threat) 형태 증가 예상

9


3) 허위 백신의 고도화된 감염 기법
 다른 악성코드에 의해 다운로드 되는 방식에서 직접적인 감염 방식으로 변화.
 BlackHat SEO 기법으로 특정 단어 검색시 허위 백신을 설치하는 웹 페이지를 상위권 노출.
 SNS 사이트를 중심으로 더 많은 사람들이 감염 될 수 있는 환경을 지속적으로 찾고 있음.

[ 3월 BlackHat SEO 기법으로 악성코드 유포]
10

[ 5월 트위터 메일로 위장한 허위 백신]

4) 진단, 치료가 어렵도록 발전하는 악성코드
 기술적으로 진단 및 치료가 까다로운 형태의 악성코드가 지속적으로 발견.
 정상 프로세스의 메모리 영역에서만 동작하는 지봇(Zbot) 및 브레도랩(Bredolab) 변형들 유포.
 하드 디스크의 언파티션드(Unpartitioned) 영역에서 동작하는 TDL루트킷(TDLRootkit) 유포.
 윈도우 시스템 관련 파일들을 패치하는 패쳐(Patcher) 변형들 유포.
 뚜렷한 증상이 보이지 않아 PC 사용자들이 감염에 대해 쉽게 인식하기가 어려움.

[2월 세금 고지 메일로 위장한 Zbot 변형] [3월 윈도우 시스템 파일을 패치하는 악성코드]
11


5) 제로 데이 취약점은 타켓 공격의 수단
 2010년 10월까지 악용된 제로 데이 취약점은 총 8건으로 MS 4건, Adobe 4건.
 그 외 8월 애플 퀵 타임 플레이어(Quick Time Player)의 제로 데이 취약점 악용한 악성코드 발견
 제한 된 대상자를 공격하는 타켓 공격 시 보안 제품의 탐지가 어려운 제로 데이 취약점 악용.
제로 데이 취약점을 악용한 타켓 공격은 2건 모두 전자 메일 본문에 악의적인 웹 사이트 링크 포함.

[3월 타켓 공격에 악용된 MS10-018 취약점]
12

[9월 어도비 아크로뱃 리더 취약점 악용]

6) ARP Spoofing을 악용해 악성코드 유포
 2007년, 2008년 시스템 ARP 테이블의 MAC 주소 변조하는 ARP Spoofing 기법으로 악성코드 유
포
 2010년 8월 ARP Spoofing 기법으로 OnlineGameHack 악성코드 유포 재발견
 취약한 웹 사이트로부터 웹 브라우저 취약점들을 악용해 기업 내부 네트워크의 시스템 최초 감염

 ARP Spoofing 기법으로 네트워크에 인접한 다른 시스템으로 OnlineGameHack 악성코드 유포

13


7) 본격적인 SNS 기반의 보안 위협 양산
 신뢰 할 수 있는 사람으로부터 전달 된 흥미로운 내용으로 위장한 사회 공학 기법 통해 빠른 확산.
 140자 제한으로 인해 간략한 머리글에 대한 호기심으로 단축 URL 클릭.
 단축 URL 사용으로 어떠한 웹 사이트로 연결 되는지 쉽게 판단하기 어려움.
 2월, 3월 그리고 9월에는 단축 URL을 이용해 악성코드 유포 및 피싱 웹 사이트 유도 사례 발견.
 5월에는 SNS 웹 사이트를 악성코드 조정을 위한 C&C 시스템으로 악용하는 사례 발견.

[2월 트위터에서 피싱 웹 사이트 단축 URL 유포]
14

[9월 페이스북 쪽지로 악성코드 유포]

8) 다양화되는 모바일 보안 위협
 스마트폰 사용이 증가함과 동시에 모바일 보안 위협 역시 동반 증가.
 2009년 11월 아이폰에 감염되는 악성코드 발견
 2010년 4월 윈도우 모바일에 감염되는 악성코드 발견 및 국내 감염 피해 사례 발생
 2010년 8월과 10월 안드로이드에 감염되는 악성코드 발견

[4월 윈도우 모바일에 감염되는 트레드다이얼]
15

[8월 안드로이드 감염 악성코드]

보안 관리자로서 보안 위협 대응 방안


1) 정보 보호를 위한 적절한 선택
기밀성
우리의 자산을 어떻게 보호할 것인가?
- 정보, 서비스, 시스템 등
보안
원칙
무결성

보호수단

취약점

가용성

기밀성 - 정보의 접근 보호
무결성 - 정보의 변경 보호
가용성 - 정보의 유효성 보호

17

위협

자산


2) 정보 보호를 위한 적절한 대응 수단 선택
정보 보호 계획에 따라 적절한 보안 소프트웨어 및 장비 도입
다단계 보호(Defense in Depth)를 통한 보안 수준 향상 추구

18


3) 정보 보호를 위한 정책적 절차

보안 정책 수립

보안 인식 교육

보안 감사 수행

보안 위반
사례 분석

보안 정책 수립 – 보호 대상이 되는 자산의 효율적인 사용 지침 작성
보안 인식 교육 – 보안 위협에 대한 올바른 인식과 올바른 보안 정책 준수 인식
보안 감사 수행 – 보안 정책 위반에 대한 주기적 점검

보안 위반 사례 분석 – 보안 정책 위반 사례에 대한 검토 및 정책 반영
19


4) 보안 관리자를 위한 정보 보호 지침 (1)
• 사용자 계정 정책
- 모든 시스템의 관리자 계정 사용 제한
- 영어 대소문자, 숫자 그리고 특수 문자를 포함한 조합으로 8자리 이상의 로그인 암호 적용

- 로그인 암호는 일정한 주기에 따른 변경 및 재적용
- 사용하지 않는 계정은 모두 비활성화 설정
- 계정에 대한 모든 권한 부여를 제한하고 필요한 권한만 부여
• 시스템 통제 정책
- 모든 시스템에는 안티 바이러스 및 안티 스피이웨어 프로그램 과 방화벽 (IPS 포함) 설치
- 안티 바이러스 및 안티 스파이웨어 프로그램에 최신 엔진의 자동 적용
- 네트워크 방화벽과 침입 탐지 시스템 설치 및 관리
- 사용자 설정 공유 폴더 및 공유 전산 자원에는 인가된 사용자 계정만 접근
- 공유 폴더 및 공유된 전산 자원을 사용하는 계정들에는 필요한 권한만 부여

- 사용중인 운영체제의 최신 보안 패치 및 서비스팩의 설치
20


• 보안 감사 및 모니터링 수행
- 시스템에 설치되어 있는 안티 바이러스 및 안티 스파이웨어 프로그램을 이용한
주기적인 수동 검사 및 결과 파악
- 주기적인 네트워크 모니터링으로 특정 네트워크 대역에서 발생하는 이상 패킷 파악
- 미션 크리티컬한 시스템에는 무결성 검사를 수행할 수 있는 호스트베이스 IDS 설치로
이상 징후 파악
- 운영체제의 감사 설정으로 시스템 이벤트 로그의 주기적인 분석으로 비인가된 접근 및
이상 징후 파악
- 사용중인 운영체제와 프로그램들에 영향을 미칠 수 있는 새로운 취약점 및 악성코드 정보

들을 주기적으로 확보 및 대응 조치
• 보안 인식 교육
- 컴퓨터 사용자들에 대한 보안 위협에 대한 주기적인 보안 인식 교육 제공
- 인사 부서와 연계한 사내 보안 정책 위반에 따른 인사상 불이익 부여
21


• 안철수연구소의 정보 보호 체크 리스트

http://kr.ahnlab.com/b2b/common/checklist/02.html

http://kr.ahnlab.com/b2b/common/checklist/01.html

http://kr.ahnlab.com/info/common/checklist.html
22


AhnLab

The Joy of Care-Free Your Internet World
ASEC Threat Research Blog
http://blog.ahnlab.com/asec/
ASEC Twitter
twitter.com/ASEC_TFT

AhnLab, the AhnLab logo, and V3 are trademarks or registered trademarks of AhnLab, Inc.,
in Korea and certain other countries. All other trademarks mentioned in this document are the property of their respective owners.

23


보안 위협 동향과 대응 방안

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 보안 위협 동향과 대응 방안

Similar to 보안 위협 동향과 대응 방안 (18)

More from Youngjun Chang

More from Youngjun Chang (10)

Recently uploaded

Recently uploaded (6)

보안 위협 동향과 대응 방안