Transcript 12년 사이버위협 전망 및 대응참고자료(1.29)

'12년 사이버위협 전망과 대응방안
2012. 1. 26
<목차 >
I
II
최근 침해사고 동향 변화
‘11년 동향 요약
III
주요 침해사고 사례
IV
‘12년 사이버위협 전망
V
전망에 따른 대응방안
보호해야 할 CPNT(Contents, Platform, Network, Terminal)의 다양화
민간부문 (전체영역의 95% 이상)
- 인터넷 침해사고는 주로 민간분야에서 출발
온라인 음원
사이트 (멜론)
1,700만명 (‘11.12)
IPTV 가입자
494만(‘11.11)
초고속 인터넷 가입자 스마트폰 이용자
1,775만(‘11.9)
2,137만 (‘11.11)
신규 IT서비스
개인PC
스마트폰
(IPTV, VoIP, 클라우드
등)
SNS 이용자수(‘11.12)
- 페이스북/트위터 계정 : 1,088만
- 미투데이, 요즘 등 계정 : 980만
일반기업
포털
IDC
네트워크(인터넷)
-1-
사이버 공격기법 또한 갈수록 지능화, 복합화
전략적 정보 전쟁
높
음
기반시설,
정교한 데이터 파괴 현시점
악성코드
• 대규모 경제적/정치적 이익 (핵티비즘)
• 은밀하게 공격 (악성코드, 사회공학 기법 등)
• 사이버 테러
의도된 사이버 공격 – 전문적인 해커
• 의도된 금전적 이익 추구
• 불만 세력에 의한 공격
전
문
성
사회혼란
정치적 목적 등
일반적인 사이버 공격 – 초보 해커
• 약간의 금전적 이익
• 불특정 대상에 대한 공격
• 호기심
침입
시도
낮
음
서비스
중단
의도된
DDoS 공격
DoS
시스템
침해
• 일반적인 공격
• 기업 단위 범죄
• 고용된 해커
소규모
호기심 → 금품갈취 →
사회혼란, 핵티비즘 (현재)
• 국가 단위 테러리즘
피해 규모
대규모
은밀하게 공격하며,
파급효과/피해는 더욱 증가
악성코드, 사회공학
기법 등을 복합
-2-
기업/정부기관 대상 DDoS 공격, APT 공격 등 발생 증가
검찰청 사칭
피싱사고
1월
국내
해외
3.4 DDoS 공격
3월
농협전산망 해킹
4월
日 소니사 해킹피해,
7천7백만명 고객 정보 유출
5월
SK컴즈 회원정보 유출
중앙선거관리위원회
DDoS 공격
공공기관 사칭 피싱주의보 발령
6월
美 방위산업체 록히드마틴
해킹으로 전산망 장애
7월
10월
美 애플 아이튠즈(iTunes)
사칭 피싱메일 발견
11월
넥슨(메이플스토리)
게임이용자 정보 유출
12월
日 게임사 스퀘어닉스 해킹피해,
180만 고객 정보유출
지능형 지속공격(APT)으로 기업대상 침해사고 발생
농협 전산망 해킹, 게임사 등 특정기업 대상으로 뚜렷한 목적을 가지고 해킹
DDoS 공격은 지속 발생, 반면 공격목적은 변화
금품갈취 목적 → 사회혼란야기(3.4 DDoS), 정치적 목적(선관위 DDoS) 등으로 다변화
공공기관을 사칭한 피싱사이트 증가
금융, 게임, 포털 사이트 등 사칭 → 검찰청, 경찰청, 금감원 등 공공기관 사칭 증가 (1,849건, ‘11)
인기 키워드, 사회이슈 등을 악용한 악성코드 유포증가
김정일 사망, A양 동영상 등 인기키워드 및 이슈를 악용
-3-
기업/정부기관 대상 3.4 DDoS, 농협전산망 장애, SK 개인정보 유출 등
3.4 DDoS 공격 (‘11.3월)
7개 웹하드업체가 유포한 악성코드에 감염된 좀비PC들이 국내 주요사이트(40개 기관) DDoS
공격 7.7 DDoS 공격이 더욱 진화된 형태 (공격방법이 보다 지능적이고 파괴적으로 변모)
3.4 DDoS 공격은 사이버戰 양상을 보임 (공격대상에 정부기관 포함 등)
주요대응
신속하게 공격대상 파악 피해기관(40개)에 통보
전용백신을 제작하고 사이버치료체계를 통한 신속보급 (1,151만건)
유관기관과 긴밀한 공조로 신속대응
7.7 (’09년)
3.4 (’11년)
좀비PC 규모
115,044대
116,299대
공격대상 사이트
36개
40개
유포·명령사이트 차
단
538개
748개
하드디스크 장애 신
고
1,466건
756건
SK컴즈 개인정보 유출 (‘11.7월)
농협 전산망 장애 (‘11.4월)
국내 최대규모 개인정보 유출
(3,500만)
개인정보에 대한 관리적, 기술적 보호조치
해킹에 의한 농협 전산망 마비로 사회적 혼란 야기
유지보수업체의 허술한관리 ⇒ 노트북 무단 반출
준수의 중요성 확인
네트워크 망관리 미흡 ⇒ 노트북이 외부에서 접근가능
기업 보안관리와 투자가 중요
내부 전문인력 부족
전산망 마비
주요대응
전문요원 파견을 통한 악성코드 분석 지원 등
검찰과 공조
구분
주요대응
전문요원 파견을 통한 사고관련 PC/서버
분석 지원 등 경찰과 공조
-3NH농협
-4-
국내외 보안업체별 전망 비교분석
보안 위협 항목
트랜드
마이크로
 핵티비즘과 해커그룹의 조직적 재편성
 사회공학적기법과 허위백신 증가
 사회공학적기법 이용한 스팸 발송
맥아피
웹센스
√
√
 소셜 미디어 계정 노린 해킹
 SNS 통한 보안위협 증가
블루코트
포브스
√
 스마트폰과 태블릿(특히 안드로이드) 공격증가
 모바일 악성코드의 급속한 증가
 PC수준의 스마트폰 악성코드 등장
√
 클라우드 보안 솔루션 도입 증가
 가상화 및 클라우드 환경 공격 본격화
√
 산업 기반시설에 대한 공격의 증가
 스카다 시스템 감염 피해 증가
 특정 국가 산업/기관 시스템 공격
√
 악성 인증서/인증기관으로 인증체계 혼란
 SSL/TLS 이용증가로 취약점 발생/발견 가능성 증가
√
√
* 기관별 전망가운데 비교적 공통적으로 전망된 항목만 도출하여 표기
√
√
√
√
 애플리케이션 취약점 공격 국지화
 DNS가 네트워크 보안의 새로운 요인으로 등장
√
√
√
√
√
소셜 미디어
√
APT
√
모바일 위협
√
클라우드
√
기반시설
√
√
√
키워드
핵티비즘,
사회공학기법
√
√
 목표달성을 위한 정교한 사이버도구 사용
 개인화된 지능형 타깃 지속공격(APT)
 APT 공격 경로 지능화
안철수
연구소
TLS/SSL 인증
*국내 공인인증체계는
영향미흡
국지화
*이용자 많은 국내S/W
DNS
*국내 DNS 공격 발생
-5-
12년 사이버위협 전망 과정
취약점
① KISA 침해사고 접수/대응 경험,
국내 환경을 고려
```
분석, 전망 도출
2012년 보안위협 전망
② 유관기관 전망 비교분석
-6-
7대 사이버위협 전망
① 국가 주요 행사를 겨냥한 사이버 공격 증가
국내: 핵안보 정상회의, 여수 엑스포, 총선/대선 등
해외: 美 대통령 선거, 런던올림픽 등
공격유형: DDoS, 사칭사이트(피싱), 스팸메일 발송
등
② 웹하드, SNS를 통한 악성코드 유포 증가
웹하드 전용프로그램, 컨텐츠 등을 통한 악성코드
유포
인기검색어 연계, 단축URL 등을 통한 악성코드 유
포
③ 국가/기업/개인 정보탈취 形 APT 공격지속
사람을 속이는 사회공학기법을 활용한 APT 공격
탐지위험을 줄이기 위해, 악성코드/C&C 은닉 지
능화
⑤ 이용자가 많은 국산 S/W 취약점 공격
한글 워드프로그램, 동영상/음악 등 재생프로그램의
보안취약점을 악용하는 악성코드를 제작/유포
⑥ 클라우드 서비스의 보안위협 증가
자원공유, 서비스의 집중화, 가상화 기술의 취약성
등
클라우드 서비스 대상 DDoS, 악성코드 전파
등
⑦ DNS 서버 대상 DDoS 공격 위협 증가
홈페이지 대상 DDoS : 특정 사이트만 접속장애 발
생
DNS 대상 DDoS : 여러 사이트가 동시에 접속장애
발생
④ 모바일 악성코드로 인한 보안위협 현실화
개방된 사설/구글 안드로이드 앱 마켓을 통한 유
포
증가 보다 정교하게 제작된 소수 악성코드가
출현건수
위협적
-7-
① 국가 주요행사 대비 사이버보안 강화
■ 국가 주요행사 대응 계획
 서울 핵안보정상회의(3월), 국회의원 선거(4
월),
 여수 세계박람회(5월~8월), 대통령 선거(12
 행사관련 유관기관과 비상연락망 운영
 침해대응 합동 모의훈련(2월)
 사이버 공격대비 민관합동 대응공조 강화
월)
 행사 관련 사이트 집중 모니터링 및 초동대응
- 홈페이지 접속장애 실시간 모니터링
- 악성코드 은닉여부 조기탐지 및 대응
- DDoS 대응시스템으로 실시간 DDoS 탐지 및 대
응
성공적인 행사 개최를 통한 국가위상 제고
② 웹하드, SNS 악성코드 탐지 강화 (1)
■ 웹하드를 통한 악성코드 탐지 강화
 웹 하드 악성코드 탐지 및 대응 절차
 웹하드 전용프로그램에 대한 변조여부 탐지
(190개 사이트, 2월~)
 웹하드 은닉형 악성코드 탐지 시스템 개발
(~11월)
- 웹하드 대상 악성코드 유포여부를 사전 탐지
- 탐지된 악성코드의 자동 위험도 판별 및 대응
 웹하드 은닉형 악성코드 탐지 시스템
구분
탐지대상
탐지대상
감염 예방
효과
내용
웹하드 사이트
(프로그램, 하위 게시물, 컨텐츠)
운용서버, 게시판,
전용프로그램 등 상세점검
■ 웹하드 사이트 정보보호 강화
 국내 주요 웹하드 업체 방문 실태점검(’11.12월) 결
과를
바탕으로 웹하드 업체 정보보호 강화 (6월~)
- 점검결과, 보안장비를 전혀 갖추지 않는 등 매우
웹하드를 이용하는 전체 PC
취약
- 변조된 컨텐츠를 탐지할 수 있는 점검도구 보급
- 업체별 맞춤형 정보보호 기술지원 실시
-9-
② 웹하드, SNS 악성코드 탐지 강화 (2)
■ 인기 검색어를 통해 유포되는 악성코드 탐지강화
악성 의심 URL
악성 URL 방문/
악성코드 수집
실시간 검색어
사회적 이슈
수집
URL
게시글내 URL
악성코드
인기검색어 (악용)

단축 URL
점검
원본
URL
악성코드 수집
환경 점검
악성코드 자동 수집 시스템
 사회적 이슈 반영 URL 자동 수집
 SNS 기반의 악성코드 자동 수집
 악성코드 수집 환경 최적화 기술 적용
인기검색어를 악용하여 악성코드를 유포하는 URL을 수집/점검 수 있는 기술보급(3월)
- 검색엔진에서 제공하는 실시간 검색어를 악용하여, 해당 검색어와 연계한 악성코드를 유포하는 URL
탐지
- 인기가 많은 SNS 게시글내 포함된 URL(단축URL 포함)의 악성코드 은닉여부를 점검
-10-
③ 지능형 지속위협(APT) 공격에 대한 대응전략
■ 대응 전략
■ APT공격의 특징
기존공격 기법과 새로운 공격기법을 조합하여
특정 목적달성을 위해 은밀하고 지속적인 공격
※ 농협해킹사고 및 SK컴즈 개인정보 유출사고
① 예방측면
- 기업의 APT공격 예방 가이드라인 개발/보급(5월)
※ ‘클라우드서비스 정보보호 안내서’ 마련·보급(’11.10)
- 기업대상 보안관리 체계 도입 확대
※ 민간기업 정보보호관리체계(ISMS) 인증 활성화
※ 개정망법(ISMS의무화 등) 관련 시행령 마련(6월)등
- 기업 CEO 및 관리자의 인식(보안투자, 관리) 제고
② 대응측면
- 지능화된 공격에 신속대응하기 위한 역량 강화
예방
대응
※ 해킹 피해시스템 분석용 시스템 연구 등
※ 은닉회피, 커널감염 등 악성코드 분석기법 연구
알려진 공격기법에 대한
철저한 사전 예방 및 대응
신규 공격기법에 대한
신속한 대응방안 마련
사회공학적 공격기법 대비
내부직원 보안인식 제고
피해확산 방지를 위한
유관기관 간 공조체계 강화
- 국내외 유관기관 공조대응체계 강화
-11-
④ 모바일(스마트폰) 이용자 보호 방안 마련
■ 안드로이드 마켓 內 악성 앱 탐지 / 차단
■ 스마트폰 정보보호 민관합동 대응반 운영
 모바일 악성코드 수집분석 시스템 구축(~9월)
 모바일 악성코드 발생 시 신속한 공조대응 체계 유지
- 안드로이드 마켓(무료)을 통해 유통되는 앱 수집
- 수집한 앱을 분석하여 악성코드 탐지 및 차단
- 스마트폰 이용자에게 악성앱 정보를 실시간 전파
※ 스마트폰 자가점검앱(S.S Checker)을 통한 자동알림
- 이통3사, 단말기 제조사 등 비상연락 유지 및 정보공
유
- 모바일 악성코드 대비 모의훈련 실시(10월)
스마트폰 정보보호 민관합동 대응반
모바일 악성코드 출현 시 민관 신속대응을 통한
피해 최소화
※ 국내 안드로이드 기반 스마트단말 보급률 매우 높음(약
80%)
-12-
⑤ 보안 취약점에 대한 사전조치로 침해예방
■ 보안 취약점 탐지 및 정보공유를 통한 사전 조치강화
 국내 이용자가 많은 S/W 대상 신규 취약점 탐지ㆍ분석
※ 알툴즈(알집, 알씨, 알약), 한글, 곰플레이어, 네이트온, 제로보드
등
 정보공유시스템을 통한 기업간 신속한 취약점정
보 공유
※ 신속한 취약점 해결(패치) 및 대책안내를 통한 피해예
< 보안 취약점
대응 개
방
념>
-13-
⑥ 클라우드 서비스 보안대책 마련
■ 국내외 클라우드 서비스 현황
■ 국내 주요 클라우드서비스 사업자 대상 정보
보호 관리 등급제 활성화
 국내 클라우드 서비스 이용자 1,030만명 이상(΄11.6)
※ NHN750만명, Daum300만명, KT54만명, LGU+50만명 등
 MS, 구글 등 주요 클라우드 서비스의 장애 발생에
따라 정보보호 우려 및 대책요구 증가
- 이용자가 임대하는 IT자산의 정보보호 신뢰성 및
위탁/관리하는 정보처리에 대한 투명성 확보 필요
- 기업이 자체적으로 정보보호관리체계를 향상시키
고 유지
할 수 있는 정보보호 등급제 시행(망법 제47조의5)
■ 클라우드 서비스의 주요 보안위협
주요 보안위협
가상화 취약성
여러 서버를 한대의 물리적 서버에 가상화하는
기술의 취약점을 통해, 전체 가상서버에 대한
해킹 또는 악성 코드 확산 가능성 존재
IT 자원 공유
동일 컴퓨터에 타 이용자의 정보가 혼재되어
인가되지 않은 타 이용자의 정보 접근 가능
정보 집중화
해커의 집중공격 또는 공격 경유지로 악용 우려
증가
이용자가 정보보호 수준을 고려하여 클라우드 서비
스를
선택할 수 있도록 정보 제공
※ 국외 유사제도 : 미국 FedRAMP(΄10), CSA STAR(΄11) 등
클라우드 서비스의 정보보호 인증 관련 프로그램 시행 중
안전한 클라우드 서비스 활성화 기반 환경 조성
국내 클라우드 서비스 사업자의 경쟁력 확보를 위한
보안수준 강화
-14-
⑦ DNS 대상 DDoS 공격 대응기반 마련
■ 추진 내용
 DNS 서비스 업체들이 자체방어체계를 갖추도록 제
도개선
 기존 사이버대피소 운용자원을 활용하여 DNS 대상
DDoS 공격 방어모델 환경구축 및 검증 (3월)
■ DNS 대상 DDoS 공격 대응 과정
① 사업자 DNS 정보를 DNS 대피소(대체 DNS)에 등록
② 공격방어 서비스 (대체 DNS 서비스) 시작
③ DNS 서버 내 DDoS 트래픽 차단
④ 정상 DNS 서비스 제공
 검증결과를 바탕으로 영세업체의 DNS 대상 DDoS
방어 체계를 예산확보 하여 구축예정 (’13년)
 추진 배경
O 최근 DDoS 공격은 웹 페이지가 아닌 인터넷의
핵심 인프라인 DNS를 목표로 공격하여 피해를 유도
※ OOO업체(약60Gbps 규모) 등 DNS 마비 사고 발생
O 상위 5위 DNS 서비스 업체의 경우, 평균 20G ~ 30Gbps
규모의 공격이 빈번히 발생
※ 자체적인 방어체계를 무력화시킬 정도의 대규모 공격 발생
O DNS 서버대상 DDoS 대응 관련 민간시장 부재
-15-