12010 인터넷침해사고동향및분석월보 2007 01인터넷침해사고동향및분석월보...

01January 2007

인터넷침해사고동향및분석월보

1 20 10

� 본 보고서내 정부승인통계는 웜∙바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도,

기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 한 이해를 돕기 위하여 기술된 악성봇

감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다.

� 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처

[자료:한국정보보호진흥원 인터넷침해사고 응지원센터]를 명시하여 주시기 바랍니다.

Contents

월간 동향 요약. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

침해사고 통계 분석

1-1. 증감 추이(전년, 전월 비) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1-2. 침해사고 통계 요약 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1-3. 침해사고 통계 현황

�웜∙바이러스 신고건수 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

�주요 웜∙바이러스별 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1-4. 해킹

�해킹 사고 접수∙처리 건수 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

�피해 기관별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

�피해 운 체제별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

�피싱 경유지 신고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

�홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

�악성 봇(Bot) 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

허니넷/트래픽 분석

2-1. PC 생존시간 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2-2.허니넷 트래픽 분석

�전체 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

�Top 3 국가별 공격유형 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

�해외 → 국내. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

�국내 → 국내 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2-3.국내 인터넷망 트래픽 분석. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2-4.바이러스 월 탐지 웜∙바이러스 정보 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

월간특집

윈도우즈 비스타(Vista)의 주요 보안이슈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

<별첨> 악성코드 유포지/경유지 조기 탐지 및 차단 조치. . . . . . . . . . . . . . . . . . . 40

<부록> 주요포트 별 서비스 및 관련 악성코드. . . . . . . . . . . . . . . . . . . . . . . . . . . 42

<용어정리>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Part 1

Part 2

Part 3

-Ⅰ-

표 차례

[표 1] 월간 침해사고 전체 통계. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

[표 2] 월별 국내 웜∙바이러스 신고 건수. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

[표 3] 주요 웜∙바이러스 신고현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

[표 4] 해킹사고 처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

[표 5] 해킹사고 피해 기관별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

[표 6] 해킹사고 피해 운 체제별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

[표 7] 피싱 경유지 신고 건수 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

[표 8] 홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

[표 9] 국내 악성 봇(Bot) 감염률 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

[표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간 . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

[표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

[표 13] 해외 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

[표 14] 국내 → 국내(허니넷) 스캔탐지 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

[표 15] 수집된 주요 웜∙바이러스 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

그림 차례

(그림 1) 월별 침해사고 전체 통계 그래프 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

(그림 2) 월별 국내 웜∙바이러스 신고 건수 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

(그림 3) 해킹사고 접수∙처리 건수 유형별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

(그림 4) 해킹사고 피해 기관별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

(그림 5) 월별 피싱 경유지 신고건수. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

(그림 6) 월별 홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

(그림 7) 월별 국내 악성 봇(Bot) 감염률 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

(그림 9) 악성봇 관련 포트 비율(해외) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

(그림 10) 악성봇 관련 포트 비율(국내) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

(그림 11) 월별 평균 생존 가능시간 변동 추이. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

(그림 12) Windows XP SP1 생존시간 분포 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

(그림 13) Windows 2000 SP4 생존시간 분포 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

(그림 14) 월별 허니넷 유입 트래픽 규모. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

(그림 16) 해외 → 국내(허니넷) 스캔탐지 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

(그림 17) 국내 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

(그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

(그림 19) 국내 인터넷망에 유입된 공격유형 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

-Ⅱ-

인터넷 침해사고 동향 및 분석 월보1

□인터넷사용자가 특정 금융기관 홈페이지 접속 시도 시 피싱사이트로 연결을 유도하고, 공인인증서,

계좌번호 등 금융정보를 갈취하는 악성코드가 출현하여, 신속히 차단조치 하 으나, 인터넷 사용자

는 악성코드에 감염되지 않도록 최신 보안업데이트를 적용하고, 인터넷뱅킹시에는 현재 접속하고 있

는 사이트 주소가 당초 접속하고자 했던 홈페이지 주소와 맞는지 꼼꼼히 체크하는 습관이 필요

□“윈도우즈 비스타 (Vista)의 주요 보안이슈”(월간특집 참고)

제 목

MS Word 2000의 신규

취약점으로 인한 피해 주

의(보안패치 발표 안됨)

Oracle 제품에 한 다중

취약점 패치 권고

Vector Markup

Language 취약점

(MS07-004) 즉시 패치

MS Word 2000

Oracle Database

8i,9i,10g 등

MS 윈도우 2000 SP4,

XP SP2 등

향받는 제품/사용자

- 출처가 불분명한 이메일과 메신저로

첨부되는 Word파일에 한 열람 자제

- 백신프로그램의 최신 업데이트 및 실

시간 감시기능을 활성화시킴

- 가능하면 벤더사 및 유지보수업체와 협

의/검토 후 패치적용 요망

- 공격자가 향 받는 시스템에 해

권한 획득 가능

- 최신 윈도우 보안업데이트 적용

향력/예방 및 책

http://www.microsoft.com/t

echnet/security/advisory/93

2114.mspx

http://www.oracle.com/tech

nology/deploy/security/criti

cal-patch-updates/cpujan

2007.html

http://www.microsoft.com/k

orea/technet/security/bullet

in/MS07-004.mspx

참고 사이트

� 보안 공지사항에 한 보다 자세한 내용은 KISA 인터넷침해사고 응지원센터 홈페이지 공지사항 (http://www.krcert.or.kr/

→ 보안정보 → 보안공지) 에서 확인할 수 있습니다.

□웜∙바이러스 신고접수는 전월에 비하여 12.5% 감소

□해킹신고 처리는 전월 비 11.8% 증가 (스팸릴레이, 단순침입시도, 홈페이지변조는 각각 1.6%,

67.7%, 147.4% 증가, 피싱경유지, 기타해킹은 각각 10.0%, 26.8% 감소)

- 특히, 홈페이지 변조는 낮은 버전의 무료 웹 게시판 S/W(제로보드)를 운 하는 웹 호스팅업체의홈페이지 변조사고가 많아서 전월에 비하여 증가함

□전 세계 Bot 감염 PC 비 국내 Bot 감염 PC 비율 13.7%로 전월 비 0.5%p 증가

□Windows XP SP1 : 15분19초 (전월 비 13분17초 감소 ↓)

□Windows 2000 SP4: 19분50초 (전월 비 14분34초 감소 ↓)

월간 동향 요약

핫 이슈

주요 취약점, 웜∙바이러스

통계 분석

PC 생존시간

구 분

웜∙바이러스

해킹신고처리

악성 봇(Bot)

�스팸릴레이

�피싱경유지

�단순침입시도

�기타해킹

�홈페이지 변조

통계 요약

총 518건 : 전월 ( 592건) 비 12.5% 감소

총2,158건 : 전월 (1,930건) 비 11.8% 증가

총 1,225건 : 전월 (1,206건) 비 1.6% 증가

총 90건 : 전월 ( 100건) 비10.0% 감소

총 327건 : 전월 ( 195건) 비 67.7% 증가

총 229건 : 전월 ( 313건) 비26.8% 감소

총 287건 : 전월 ( 116건) 비147.4% 증가

전 세계 Bot감염 추정PC 비 국내감염율은 13.7%로 전월 (13.2%) 비 0.5%p 증가

[표 1] 월간 침해사고 전체 통계

구 분2006

총계

2007 2007

총계

웜∙바이러스

해킹신고처리

봇(Bot)

7,789

26,808

14,055

1,266

3,711

4,570

3,206

12.5%

518

2,158

1,225

90

327

229

287

13.7%

518

2,158

1,225

90

327

229

287

13.7%

1 2 3 4 5 6 7 8 9 10 11 12

1-1. 증감 추이(전년, 전월 비)

1-2. 침해사고 통계 요약

웜∙바이러스 신고 접수건수 스팸릴레이 신고 처리건수 피싱 경유지 신고 처리건수

단순침입시도+기타해킹신고 처리 홈페이지 변조사고 처리건수 악성 Bot 감염비율

1. 침해사고 통계분석

Part 2 Part 3

2 2007년 1월호

Part 1 침해사고 통계분석

�스팸릴레이

�피싱경유지

�단순침입시도

�기타해킹

�홈페이지변조

(그림 1) 월별 침해사고 전체 통계 그래프

1,400

1.200

1,000

800

600

400

200

0

2,000

1,500

1,000

500

0

200

160

120

80

40

0

2,000

1,500

1,000

500

0

1,000

800

600

400

200

0

30%

20%

10%

0

[표 2] 월별 국내 웜∙바이러스 신고 건수

구 분2006

총계

2007 2007

총계

신고건수 7,789 518518

1 2 3 4 5 6 7 8 9 10 11 12

1-3. 침해사고 통계 현황

웜∙바이러스 신고건수 추이


www.krcert.or.kr

� 웜∙바이러스 신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가 공동으로 집계한 결과임

□’07년 1월에 국내 백신업체와 KISA에 신고된 웜∙바이러스 신고건수는 518건으로 전월(592건)

에 비하여 12.5% 감소하 다.

- 이번달에도전월과마찬가지로BAGLE 변종웜∙바이러스에의한피해가많았으나, 전월에117건의피해가 신고 되어 2위를 차지하 던 PARITE 바이러스에 의한 피해가 감소하여 전체 신고건수는감소한 것으로 나타났다.

(그림 2) 월별 국내 웜∙바이러스 신고 건수

1,400

1,200

1,000

800

600

400

200

0

4 2007년 1월호

Part 2 Part 3

[표 3] 주요 웜∙바이러스 신고현황

순 위

2007

1

2

3

4

5

6

7

8

9

10

150

136

32

19

15

15

14

13

13

10

101

518

BAGLE

BAGZ

BANLOAD

DOWNLOADER

IRCBOT

VIKING

PARITE

XEMA

DELLBOY

LINEAGEHACK

기 타

합 계

1 2 3 4 5 6

주요 웜∙바이러스별 현황

□’07년 1월에 신고된 웜∙바이러스를 이름별로 분류한 결과 BAGLE 변종 웜∙바이러스에 의한

피해가 가장 많았던 것으로 나타났으며, 다음으로 BAGZ, BANLOAD 변종 웜∙바이러스에 의

한 피해가 많았던 것으로 나타났다.

- 참고로 2위를 차지한 BAGZ 웜∙바이러스는 이메일 및 확장자가 (*.zip, *.exe)인 첨부파일로

전파되며, 감염될경우주요보안 사이트로의 접속을 방해하는 것으로 알려져 있다.

명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수



www.krcert.or.kr

1-4. 해킹

스팸릴레이

피싱경유지

단순침입시도

기타해킹

홈페이지변조

합계

14,055

1,266

3,711

4,570

3,206

26,808

1,225

90

327

229

287

2,158

1,225

90

327

229

287

2,158

� 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고 응기관이나 위장사이트의 상이 된 기관 또는 업체, 일반사용자로부터 신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임

구 분2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

[표 4] 해킹사고 처리 현황

해킹 사고 접수∙처리 건수 추이

□’07.1월 KISA에서 처리한 해킹사고는 2,158건으로 전월(1,930건) 비 11.8% 증가 하 다.

- 해킹사고의 항목별 증감을 파악한 결과 스팸릴레이, 단순침입시도, 홈페이지변조는 각각 1.6%,

67.7%, 147.4% 증가, 피싱경유지, 기타해킹은각각10.0%, 26.8% 감소한것으로나타났다.

- 스팸릴레이가 차지하는 비율이 전월과 마찬가지로 가장 많았으며, 특히 이번 달에는, 취약한 버

전의 무료 웹 게시판 S/W(제로보드) 사용으로 인하여 홈페이지 변조가 전월에 보다 증가하 다.

56.8%

4.2%

15.2%

10.6%

13.3%

□ 스팸릴레이

■ 피싱경유지

■ 단순침입시도

■ 기타해킹

■ 홈페이지 변조

(그림 3) 해킹사고 접수∙처리 건수 유형별 분류

개인 73%

기업 20%

학 4%

비 리 2%

6 2007년 1월호

Part 2 Part 3

피해 기관별 분류

기업

학

비 리

연구소

네트워크

기타(개인)

합계

[표 5] 해킹사고 피해 기관별 분류

3,689

1,094

714

16

307

20,988

26,808

435

95

46

1

27

1,554

2,158

435

95

46

1

27

1,554

2,158

� 기관 분류기준 : 기업(co, com), 학(ac), 비 리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 또는 ISP에서 제공하는 유동 IP 사용자)

□피해 기관별로 분류한 결과, 기타(개인),

기업, 학, 비 리의 순으로 나타났다.

침해사고관련 IP가 주로 ISP에서 제공하는

유동 IP(주로 개인용 컴퓨터)인 경우에 해당

되는 기타(개인)의 비율은 전체의 72.0%로

가장 많았다.

기 관2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

(그림 4) 해킹사고 피해 기관별 분류

피해 운 체제별 분류

[표 6] 해킹사고 피해 운 체제별 분류

� 운 체제별 분류 자료는 각 운 체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임

□해킹신고 처리결과를 운 체제별로 분류한 결과 전월과 마찬가지로 Windows, Linux 운 체제 순

이었다. Windows 운 체제가 차지하는 비율은 86.6%로 으며, Linux는 9.3% 는데 Linux의

경우 홈페이지 변조피해가 부분이었는데 운 체제 자체 취약점 보다는 해당 운 체제위에 구동

중인 웹 어플리케이션 취약점에 의한 피해에 의한 것으로 파악되었다.

Windows

Linux

Unix

기타

합계

22,193

3,616

48

951

26,808

1,868

200

0

90

2,158

1,868

200

0

90

2,158

운 체제2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12



피싱 경유지 신고처리 현황

� 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고 응기관이나 위장사이트의 상이 된 기관 또는 업체, 일반사용자로부터 신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임

□이번달 피싱 경유지 신고건수는 총 90건으로, 전월(100건) 비 10% 감소하 다.

□피싱 상기관 유형으로는 금융기관이 큰 비중을 차지하 으나, 기관별로는 전자상거래 유형인

eBay 사칭건이 24건으로 가장 많았다. 그밖에 PayPal(15건), Bank of America(12건)등의

순으로 나타났다.

기 관

금융기관

전자상거래

기타

합계

건 수

64

26

0

90

(그림 5) 월별 피싱 경유지 신고건수

[표 7] 피싱 경유지 신고 건수

구 분2006

총계

2007 2007

총계피싱경유지신고건수 1,266 9090

1 2 3 4 5 6 7 8 9 10 11 12

금융기관 71.1%

전자상거래28.9%

www.krcert.or.kr

200

160

120

80

40

0

8 2007년 1월호

Part 2 Part 3

건 수

33

13

3

4

37

90

□피싱 상기관 및 신고건수를 국가별로 분류한 결과, 총 6개국 25개 기관으로 집계되었다. 미국이

17개(68.0%)기관, 신고건수79건(87.8%)을차지하여, 이달에도국내신고건의 부분을미국이차지

하 음을 알 수 있다.

□피싱 경유지로 악용된 국내 사이트를 기관유형별로 분류한 결과, 기업 33건(36.7%), 교육 13건

(14.4%), 기타/개인 4건(4.4%), 비 리 3건(3.3%) 등의 순으로 집계되었으며, 홈페이지에 기관정보가

없고 Whois 정보에도 ISP 관리 역으로만 나와 연락처를 확인할 수 없는 경우에 해당되는‘ISP서비스

이용자’유형이37건(41.1%)으로나타났다.

□피싱경유지시스템에서이용된포트는표준HTTP포트인TCP/80포트외에도TCP/84 등이있었다.

구 분

미국

스위스

독일

국

말레이시아

멕시코

미확인

총 6개국

기관 분류

금융기관

전자상거래

기타

금융기관

“

“

“

“

-

-

기관수

14

3

0

1

2

1

1

1

2

25

53

26

0

3

2

2

1

1

2

90

신고건수

79

기관유형

기업

교육

비 리

개인/기타

ISP서비스이용자

합계

건 수

77

9

2

1

1

90

포 트

80

84

443

82

2006

합계

ISP 서비스41.1%

기업36.7%

교육14.4%

비 리 3.3%

개인/기타4.4%

80 포트85.6%

84 포트10.0%

□ 80 포트

■ 84 포트

■ 443 포트

■ 82 포트

■ 2006 포트



홈페이지 변조 사고처리 현황

� 참고 사이트�제로보드 5 다운로드 : www.zeroboard.com�웹 어플리케이션 보안템플릿 : http://www.krcert.or.kr 초기화면 → 왼쪽‘웹어플리케이션보안템플릿’�ModSecurity를이용한아파치웹서버보안 : http://www.krcert.or.kr →보안정보→기술문서→‘ModSecurity를이용한아파치웹서버보안’�WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr → 보안정보 → 기술문서 →‘WebKnight를 이용한 SQL

Injection 공격 차단’

□이번 달에는 95개 시스템(IP)의 287개 사이트(도메인)에 한 홈페이지 변조가 발생 하여 피해

시스템 수는 전월에 비해 크게 증가한 것으로 나타났다.

- 이번달에도 전월과 마찬가지로 낮은 버전(ver 4.1 pl8 이하)의 무료 웹 게시판 S/W(제로보드)를

운 하는 웹 호스팅업체의 피해가 전월보다 증가하 다. 해당 게시판 S/W를 구동중인 웹

사이트 관리자들은 최신버전(제로보드 5)으로 업그레이드하기를 권장한다.

(그림 6) 월별 홈페이지 변조 사고처리 현황

[표 8] 홈페이지 변조 사고처리 현황

구 분2006

총계

2007 2007

총계

피해홈페이지 수

피해시스템 수

3,206

1,047

287

95

287

95

1 2 3 4 5 6 7 8 9 10 11 12

� 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 IP에 수십~수백 개의 홈페이지를 운 하는 경우도 있으므로 피해홈페이지 수는피해시스템 수 보다 많을 수 있음

www.krcert.or.kr

500

400

300

200

100

0

Part 2 Part 3

10 2007년 1월호

(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교� 내부 작업으로 KISC 허니넷 데이터는 1.25~27일 데이터는 제외됨

[표 9] 국내 악성 봇(Bot) 감염률

구 분2006

평균

2007 2007

평균

국내 비율 12.5% 13.7%13.7%

1 2 3 4 5 6 7 8 9 10 11 12

악성 봇(Bot) 현황

� 전 세계 Bot 감염 추정 PC 중 국내 Bot 감염 PC가 차지하는 비율임� 봇(Bot) : 운 체제 취약점, 비 번호 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 명령 전달사이트와의 백도어 연결 등을 통하여

스팸메일 전송이나 DDoS 공격에 악용 가능한 프로그램 또는 실행가능한코드

(그림 7) 월별 국내 악성 봇(Bot) 감염률 추이

25%

20%

15%

10%

5%

0

100,000

80,000

60,000

40,000

20,000

0


17.2%

5.6%3.3%

43.5%

10.9%

18.7%

16.5%

11.0%

3.6%

35.9%11.0%

20.5%


□전 세계 Bot 감염추정 PC 중에서 국내 감염 PC 비율은 12.6%로 지난달에 비해 4.3%p 감소하 다.

지난달에 감염 시도 트래픽이 많았던 TCP/139, TCP/80, TCP/135 포트 트래픽이 감소하여 Bot

감염률이 감소되었다.

- Bot의 전파에 사용되는 주요 포트는 NetBIOS 관련 포트인 TCP/445, TCP/139, TCP/135 와 웹

관련 TCP/80 포트, MS-SQL 관련 포트인 TCP/1433 등으로 지난달 Top5를 차지한 포트들이 그

로 주요 포트로 사용되고 있다.(그림 11)

[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록

(그림 9) 악성봇 관련 포트 비율(해외) (그림 10) 악성봇 관련 포트 비율(국내)

포 트

23

80

135

139

143

445

903

1025

1433

관련 취약점 및 웜/악성 Bot

Cisco Telnet

WebDAV, ASN.1-HTTP, Cisco HTTP

DCOM, DCOM2

NetBIOS, ASN.1-NT

IMail

NetBIOS, LSASS, WksSvc, ASN.1-SMB, DCOM

NetDevil

DCOM

MS-SQL

포 트

2967

2745

3127

3140

5000

6101

6129

17300

27347

관련 취약점 및 웜/악성 Bot

Symantec Exploit

Bagle, Bagle2

MyDoom

Optix

UPNP

Veritas Backup Exec

Dameware

Kuang2

Sub7

� 전월 악성 Bot Top5 포트 : TCP/445, TCP/139, TCP/80, TCP/135, TCP/1433

■ TCP/2967

■ TCP/1433

■ TCP/135

■ 기타

□ TCP/445

■ TCP/80

■ TCP/139

■ TCP/2967

■ TCP/1433

■ TCP/445

■ 기타

□ TCP/139

■ TCP/80

■ TCP/135

www.krcert.or.kr

2. 허니넷/트래픽 분석

Part 3

12 2007년 1월호

[표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간

구 분2007

WindowsXP SP1

1

� 생존시간의 측정은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 Windows XP SP1과Windows 2000 SP4 2개군으로 분류하여 1000 여회를 실시하 다.

� 생존가능시간 : 취약한 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간

□1월 평균 생존가능시간은 WindowsXP SP1는 15분19초, Windows2000 SP4는 19분50초로 측정되

어, 전월에 비하여 WindowsXP SP1는 13분17초 Windows 2000 SP4는 14분34초 감소하 다.

이번달 생존시간 감소추이로 볼 때 Windows 네트워크 서비스 상의 취약점을 이용하는 웜 전파

활동이 지난달에 비하여 증가했던 것으로 추정된다.

- 1월 초반에 일일 평균이 20분 를 유지하 으나 중반 이후에는 체로 10분 로 감소하는 경향을

보 다. 윈도우사용자는자동전파 웜의 감염을 예방하기 위하여 추측하기 어려운 윈도우 암호를

설정하고 사전에 패치를 적용하여야겠다.

(그림 11) 월별 평균 생존 가능시간 변동 추이

2-1. PC 생존시간 분석

최장

최단

평균

Windows2000 SP4

최장

최단

평균

217’08”

5”

15’19”

317’20”

5”

19’50”

2 3 4 5 6 7 8 9 10 11 12

Part 1

60min

50min

40min

30min

20min

10min

0

Part 2 허니넷/트래픽 분석


(그림 12) WindowsXP SP1 생존시간분포분석

2.000

1,500

1,000

500

0 5 10 15 20 25Day

Min

(그림 13) Windows2000 SP4 생존시간분포분석

2.000

1,500

1,000

500

0 5 10 15 20 25Day

Min

www.krcert.or.kr

Part 1 Part 3

14 2007년 1월호

� 허니넷에 유입되는 트래픽은 웜∙바이러스, 악성 봇 등에 의한 감염 시도 트래픽(취약점 스캔)이 가장 많으며 이러한 악성코드의 네트워크스캔은 유효한 네크워크에 한 접근효율을 높이기 위하여, 1차적으로 감염된 시스템의 IP주소의 A, B클래스를 고정하고 C또는 D클래스 주소를 변경하면서 스캔하는 경우가 부분이기 때문에 일반적으로 자국에서 유발된 유해트래픽이 해외에서 유입된 트래픽보다 많음

1) KISC - Korea Internet Security Center(인터넷침해사고 응지원센터)

□이번달KISC1) 허니넷에유입된전체유해트래픽은약960만건이었으며, 이를IP 소재별로분류한

결과 국내 소재 IP로부터 유발된 트래픽은 전체의 62% 으며, 해외 소재 IP로부터의 트래픽은

38%를 차지한 것으로 나타났다.

� 참고 : 허니넷으로 유입되는 트래픽은 초당 수백 건 이상이 될 수 있으므로 구체적인 건수는 큰 의미가 없으며, 국내외 비율 및 월별증감을 참고하기 바람

2-2. 허니넷 트래픽 분석

전체 추이

(그림 14) 월별 허니넷 유입 트래픽 규모

1,500 만

1,200 만

900 만

600 만

300 만

0



□허니넷에유입된트래픽의근원지IP소재국가별로분석한결과중국으로부터유입된트래픽이가장

많았으며, 다음으로미국, 일본순이었다. 중국발트래픽은TCP/22, TCP/1433, TCP/42번포트에

한서비스스캔(포트스캔)이가장많았으며, 미국발트래픽은Nmap, Advanced IP Scanner와같

은네트워크스캐너도구에의한ICMP 스캔이가장많았던것으로나타났다.

Top 3 국가별 공격 유형

(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형

[표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율

순 위

2007

1

2

3

4

5

6

7

8

9

10

39.5

28.5

5.5

3.8

3.2

2.7

1.5

1.5

1.2

1.0

11.6

중국

미국

일본

유럽연합

만

독일

체코공화국

국

홍콩

이탈리아

기타

1 2 3 4 5 6

국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%)

CHINA

JAPAN

USA

www.krcert.or.kr

28%

28%

28%

10%

74%

8%

40%18%

22%

12%

8%

6%

3%

9%

6%

□ TCP/22-tcp service scan

■ TCP/1433-tcp service scan



■ 기타□ ICMP-icmp ping Nmap scan


■ ICMP-icmp ping Advanced IP Scanner v1.4


■ 기타

□ ICMP-icmp ping Nmap scan

■ ICMP-icmp ping Advanced IP Scanner v1.4

■ ICMP-icmp ping Superscan4 scan

■ UDP/135-udp service scan

■ 기타

Part 1 Part 3

16 2007년 1월호

□해외로부터 KISC 허니넷에 유입된 트래픽을 국가 구분없이 포트/공격(스캔)유형별로 분석한 결과

Nmap 네크워크 스캔 도구를 이용한 Ping2) 스캔이 가장 많았으며, 다음으로 TCP/22 번 서비스스

캔이 많았던 것으로 나타났다.

해외 → 국내

[표 13] 해외 → 국내(허니넷) 스캔탐지 현황

순 위1월 2월 3월

1

2

3

4

5

6

7

8

9

10

ICMP

TCP/22

TCP/1433

ICMP

TCP/42

ICMP

TCP/4899

TCP/8080

TCP/2967

UDP/135

기타

icmp ping Nmap scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

udp service scan

icmp ping AdvancedIP Scanner v1.4

icmp pingSuperscan4 scan

30.5

18.8

12.3

7.0

3.9

3.5

3.1

2.7

2.3

2.3

13.5

공격유형프로토콜 /포트번호 공격유형프로토콜 /

포트번호 공격유형프로토콜/포트번호

(그림 16) 해외 → 국내 (허니넷) 스캔탐지 현황

2) Ping - 특정 네트워크로 접근가능한지를 시험하는데 사용되는 ICMP 프로토콜을 이용한 네트워크 서비스

12.3%

7.0%

31.3% 30.5%

18.8%


■기타


■ ICMP-icmp ping Nmap scan


비율(%) 비율(%) 비율(%)



□국내에서 KISC 허니넷에 유입된 트래픽을 포트/공격(스캔)유형별로 분석한 결과 TCP/135,

TCP/1433, TCP/139번 포트스캔이 가장 많았는데 해당포트는 악성 Bot 감염 시도 시 사용되는 포

트인 것으로 보아 악성 Bot 감염 시도 트래픽으로 보인다.

국내 → 국내

[표 14] 국내 → 국내(허니넷) 스캔탐지 현황

순 위1월 2월 3월

1

2

3

4

5

6

7

8

9

10

TCP/135

TCP/1433

TCP/139

ICMP

TCP/445

TCP/22

TCP/2967

TCP/5900

UDP/500

TCP/8080

기타

tcp service scan

tcp service scan

tcp service scan

icmp ping Nmap scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

udp service scan

tcp service scan

43.7

13.1

12.7

9.9

5.9

3.4

3.2

0.9

0.7

0.6

6.1

공격유형프로토콜 /포트번호 공격유형 비율(%)프로토콜 /

포트번호 공격유형 비율프로토콜/포트번호

(그림 17) 국내 → 국내 (허니넷) 스캔탐지 현황

12.7%

9.9%

20.8%

43.7%

13.1%

■ ICMP-icmp ping Nmap scan

■ 기타




www.krcert.or.kr

비율(%)

Part 1 Part 3

18 2007년 1월호

□KISC 허니넷에서 탐지된 Top3 포트 비율을 국내 ISP의 일부구간에서 수집된 트래픽에서 파악한

결과 TCP/139번 포트관련 트래픽이 가장 많았으며, TCP/1433, TCP/135번 포트에 한 트래픽

순으로 나타났다.

2-3. 국내 인터넷망 트래픽 분석

(그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이

□이번 달 국내 ISP의 일부구간에서 수집된 공격유형을 분석한 결과 TCP/139 포트스캔에 해당되는

NETBIOS Service sweep이가장많았으며, TCP SYN Flooding, UDP Flooding과같은DDoS 공격

트래픽이탐지되었다.

(그림 19) 국내 인터넷망에 유입된 공격유형

■ TCP/139 ■ TCP/1433 ■ TCP/135 ISP업계 : 프로토콜 / 포트 추이

ISP업계 : 공격 추이

시간

시간

PPS4,800

4,400

4,000

3,600

3,200

2,800

2,400

2,000

1,600

1,200

800

400

0

시도건수

800,000

700,000

600,000

500,000

400,000

300,000

200,000

100,000

0

01

/02

00

:00

01

/02

20

:00

01

/03

16

:00

01

/04

12

:00

01

/05

08

:00

01

/06

04

:00

01

/07

00

:00

01

/07

20

:00

01

/08

16

:00

01

/09

12

:00

01

/10

08

:00

01

/11

04

:00

01

/12

00

:00

01

/12

20

:00

01

/13

16

:00

01

/14

12

:00

01

/15

08

:00

01

/16

04

:00

01

/17

00

:00

01

/17

20

:00

01

/18

16

:00

01

/19

12

:00

01

/20

08

:00

01

/21

04

:00

01

/22

00

:00

01

/22

20

:00

01

/23

16

:00

01

/24

12

:00

01

/25

08

:00

01

/26

04

:00

01

/27

00

:00

01

/27

20

:00

01

/28

16

:00

01

/29

12

:00

01

/30

08

:00

01

/31

04

:00

07

/01

/01

07

/01

/02

07

/01

/03

07

/01

/04

07

/01

/05

07

/01

/06

07

/01

/07

07

/01

/08

07

/01

/09

07

/01

/10

07

/01

/11

07

/01

/12

07

/01

/13

07

/01

/14

07

/01

/15

07

/01

/16

07

/01

/17

07

/01

/18

07

/01

/19

07

/01

/20

07

/01

/21

07

/01

/22

07

/01

/23

07

/01

/24

07

/01

/25

07

/01

/26

07

/01

/27

07

/01

/28

07

/01

/29

07

/01

/30

07

/01

/31

■ NETBIOS Service swee... ■ TCP SYN Flooding(Ddo... ■ TCP SYN Flooding

■ UDP Flooding ■ TCP Check Sum Error



□KISA 및 2개 기관/업체의 바이러스 월을 통하여 수집된 웜∙바이러스 를 파악한 결과 다음과 같

이 웹 사이트 등을 통하여 1차 감염된 후 웜∙바이러스, 트로이잔 등 악성코드 본체를 추가로 다운

로드 받는 Downloader가 가장 많았던 것으로 파악되었다.

2-4. 바이러스 월 탐지 웜∙바이러스 정보

[표 15] 수집된 주요 웜∙바이러스 현황

순 위

2007

1

2

3

4

5

6

7

8

9

10

합 계

197,235

142,634

71,417

66,175

58,001

51,208

30,129

30,117

26,618

25,084

445,205

1,143,823

NOTIFIER

PWS

LINEAGE

HLLW

MULDROP

HLLM

PARITE

CLICK

STARTER

기 타

DOWNLOADER

1 2 3 4 5 6

명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수

www.krcert.or.kr

마이크로소프트(MS)의 윈도우 비스타(Vista, 이하 비스타)는 윈도우 XP의 뒤를 잇는 버전으로 지난 11월말

기업용이 출시되었고 2007년 1월 31일 개인사용자용이 출시되었다. 비스타는 사용 용도에 따라 일반사용자

용과 기업사용자용으로 구분되며 5가지 제품으로 출시된다. 일반사용자용은 HDTV 지원 기능 등 부분의

일반사용자들이 가정에서 활용하는 기능들을 중심으로 구성되어 있으며, 기업용은 기업정보 유출을 방지하

기 위한 데이터암호화 기능, 인터넷정보서비스(IIS)등의 기능 등 기업환경에서 활용하기 위한 기능들을 강화

하여 구성된다. 또한 윈도우 비스타는 32비트 버전 이외에 최근의 하드웨어 발전을 반 하여 64비트 버전

도 함께 발표되었다.

비스타는 이전 버전인 윈도우 XP에 비하여 화면 표시 효과가 개선되고 또한 한층 강화된 보안기능을 탑재

하고 있어 인터넷 사용시 악성코드 감염 등의 위험이 많이 줄어들 것으로 예측되고 있다. 그러나 보안성이

강화되면 사용자 편의성은 줄어들게 마련이므로 XP에서 문제없이 실행되던 소프트웨어가 비스타에서 제

로 실행되지 않는 등의 호환성 문제가 나타날 수 있다. 만약 자신이 사용하는 프로그램이 비스타에서 호환

되는지 확인하여 보려면 정보통신부와 KISA 홈페이지, SecureNet 홈페이지에 있는 호환성 확보 프로그램

목록을 참조하면 된다. (http://www.securenet.or.kr 공지사항 참조)

국내에 출시되는 비스타는 버전별로 5가지로 출시되며 크게 가정용과 기업용으로 구분된다. 국내에서는 출

시되지 않지만 이밖에 개발도상국에 보급되는 스타터 에디션도 존재한다.

20 2007년 1월호

Part 1 Part 2

1. 개요3)

윈도우즈 비스타(Vista)의 주요 보안이슈

월간 특집

3) 이보고서는윈도우비스타32비트버전을중심으로작성되었음

(그림) 윈도우비스타에 추가된 사용자 환경인 Aero Flip 3D

Part 3 월간특집

이 보고서에서는 비스타의 강화된 각종 보안기능에 하여 알아보고, 이에 따른 호환성 문제에 하여 기술

하고자 한다.

2.1 사용자 계정 컨트롤(UAC)

비스타를 처음 사용하는 사용자들이 가장 먼저 느끼게 될 변화는 사용자 계정 컨트롤(UAC : User

Account Control)이다. 사용자 계정 컨트롤이란 사용자를 관리자 권한을 가진 사용자와 표준사용자로

구분하여 권한을 부여하는 것이다. 또한 관리자 계정이라 할지라도 안전을 위하여 표준사용자로 권한

을 줄여 사용하도록 한다.

그러므로 가정에서 컴퓨터를 혼자 사용하여 로그인 계정이 하나여도4) 권한이 제한된 표준사용자로 간

주되며, 디스크 상의 C:\, C:\Windows, C:\Program Files 등 관리자 권한이 필요한 디렉토리에 파

일 생성, 삭제 등을 할 수 없다.

표준사용자가 관리자 권한이 필요한 작업을 수행하여야 하는 경우 관리자 권한으로 권한상승이 필요하

고, 권한상승을 요청하는 요청창은 로그인한 사용자의 계정에 따라 다른 모양을 갖는다. 따라서 관리자

계정으로 로그인한 경우에는 확인창이, 표준사용자 계정으로 로그인한 경우에는 관리자의 패스워드를

묻는 창이 나타난다.


www.krcert.or.kr

2. 비스타의 강화된 주요 보안 기능

4) 윈도우운 체제에서는사용자계정이한개이면그사용자가관리자의권한을가짐

[표] 비스타 버전별 특징

구분 제품명 비고제품별 주요 특징

일반

사용자용

기업

사용자용

홈 베이직

에디션

● 윈도우 비스타의 강화된 보안 및 성능 향상 기능

● 기본적인 가정용 컴퓨터에 이상적, 인터넷 검색, 전자메일

사용, 사진 열람 등의 작업에 적합

● HDTV지원 기능과 윈도우 DVD메이커, 각종게임과 태블릿

PC 지원기능및미디어센터, Aero 사용자환경이포함되어있음

● 가정에서 주로 활용되는 기능 위주

●홈프리미엄에디션과엔터프라이즈에디션의모든기능을포함

●하드코어게이머나멀티미디어전문가, PC전문가를위한에디션

●윈도우 XP프로페셔널 버전에 응하는 버전으로 홈 프리미엄

에디션에 포함되어 있는 미디어센터 기능은 제외

● 인터넷 정보 서비스(IIS), 원격 데스크톱

● 비즈니스 에디션에 포함된 기능에 데이터를 암호화할 수 있

는 비트록커(BitLocker) 암호화 기능, 가상 PC(Virtual PC)

기능 등을 포함

홈 프리미엄

에디션

가장 많은 사용자가

이용할 것으로 예상

개인사업자 및 중소기업

사용자에게 적합

개인이 직접 구입할 수 없고,

MS와 볼륨 라이센스 계약을

맺은 기업에서만 사용가능

얼티메이트

에디션

비지니스

에디션

엔터프라이즈

에디션

22 2007년 1월호

Part 1 Part 2

관리자권한이 필요한 기능은 제어판 등에서 아이콘 모양으로 확인할 수 있으며, 관리자권한 기능에는 방패

아이콘( )이 표시되어 있어 해당 기능 수행시 관리자 권한이 필요하다는 것을 식별할 수 있다.

(그림) 관리자권한 요청 창

(그림) 관리자로 로그인한 경우

(그림) 표준사용자로 로그인한 경우

Part 3 월간특집


(그림) 관리자권한이 필요한 기능이 표시된 비스타의 제어판

(그림) 사용자 계정 컨트롤 확인창이 표시될 때 나타나는 SecureDesktop

www.krcert.or.kr

이러한 관리자권한이 필요한 행위를 사용자가 요청하면 관리자권한을 요청하는 창이 뜨게 된다. 이때에는

SecureDesktop이 사용되는데, SecureDesktop이란 관리자권한상승 요청창을 제외한 나머지를 모두 음

처리하여 경고함으로써 관리자 권한을 남용하는 것을 방지하는 기능이다.

비스타의 사용자 계정 컨트롤은 관리자 계정이라 할지라도 로그인시 표준사용자 권한만을 사용하도록 권한

을 제한하여 악성 프로그램이 사용자의 동의 없이 시스템 디렉토리에 파일을 쓰거나 프로그램을 설치하는

행위(악성코드 감염시도)를 방지한다. XP에서도 관리자 계정과 표준사용자 계정을 나누어 사용하는 것이 가

능했지만, XP의 표준사용자는 ActiveX 컨트롤 설치가 불가능할 뿐 아니라 시간설정, 프린터/네트워크 구성

과도 같은 기능도 동작하지 않아 부분의 사용자가 관리자 계정으로 사용하고 있었다. 그러나 비스타에서

는 표준사용자 계정으로도 일반적인 컴퓨터 사용이 가능하고 관리자권한이 필요한 기능의 경우에만 권한상

승을 통해 이용할 수 있어 더 안전하게 사용할 수 있다.

24 2007년 1월호

Part 1 Part 2

그러나 이와 같은 비스타의 동작이 불편하다고 느껴질 경우 사용자는 사용자 계정 컨트롤을 사용하지 않을

수 있으며 기존 XP와 동일하게 관리자 권한으로 PC를 사용할 수 있다. 그러나 이 방법은 비스타의 장점인

보안성 강화부분을 포기하는 것이므로 MS에서는 권고하지 않고 있다.

(그림) 사용자 계정 컨트롤 확인창이 표시될 때 나타나는 SecureDesktop

(그림) 제어판에서의 사용자 계정 컨트롤

(그림) 사용자 계정 컨트롤 사용 안함

Part 3 월간특집


www.krcert.or.kr

또한, 비스타에서 강화된 사용자 계정 컨트롤 등을 사용하지 않고 기존 XP의 관리자처럼 로그인하여 사용

하고 싶다면 기본적으로 사용하지 않도록 되어 있는 관리자 계정을 사용할 수도 있다. 이는 사용자 계정

관리 부분에 관리자 권한 계정인“Administrator”계정이“계정 사용 안 함”으로 되어 있는 것을 풀어 관리자

권한 계정을 사용하는 것으로 역시 MS에서는 권고하지 않고 있다.

이러한 사용자 계정 컨트롤은 이전 윈도우 XP등에 비해서 관리자 권한을 제한하는 것으로 보안성을 높

는데, 이로 인하여 국내 인터넷 환경에 변화가 필요하게 되었다. 특히 ActiveX를 많이 사용하는 사이트의

경우, 설치 및 동작에 있어 관리자 권한을 기본적으로 요구했던 부분들을 수정하여 사용자 계정 컨트롤에서

사용자에게 권한상승을 물어보는 횟수를 줄이는 등의 수정작업을 통해 사용자의 불편을 최소화 하는것이

필요하다.

(그림) Administrator 계정 사용 안함 상태

2.2 인터넷 익스플로러 7(IE7)의 보호모드

비스타 인터넷 익스플로러(Internet Explorer) 7.0 에서는 사용자 계정 컨트롤에 보호모드라는 개념이

추가되어 보안이 더욱 강화되었다. 보호모드는 IE에서 프로그램이 설치되거나 실행되는 것을 제어함으

로써 PC를 안전하게 보호하려는 의도이며, 비스타는 보호모드의 구현을 위하여 무결성 매커니즘이라

는 개념을 도입하 는데, 이는 무결성 수준이 낮은 프로세스가 무결성 수준이 높은 프로세스나 보안

개체(시스템 디렉토리, 시스템 레지스트리 등)에 쓰기 권한을 제한하는 기능이다. 비스타에서의 무결성

수준은 3단계로 구분되며 무결성 수준이 높을수록 권한이 많이 주어진다.

26 2007년 1월호

Part 1 Part 2

인터넷 익스플로러의 보호모드는 인터넷 익스플로러가 실행될 때 이 세가지 무결성 수준 중 가장 낮은 무결

성 수준에서 동작되도록 하여 인터넷 환경에서 인터넷 익스플로러를 통한 악성코드 설치나 윈도우 시스템

변경을 방지하도록 하 다. 따라서 인터넷에서 다운로드 되는 ActiveX 컨트롤 등은 기본적으로 가장 낮은

무결성 수준에서 실행되므로 윈도우 XP처럼 C:\Program Files 폴더 등 무결성 수준이 높은 폴더에 쓰기

를 할 수 없으며, 또한 무결성 수준이 높은 프로세스와 메시지를 주고 받는 등의 행위를 할 수 없어 IE를 통

한 프로그램의 설치 등 시스템 변경을 방지하여 준다.

이러한 인터넷 익스플로러에서의 보호모드는 사용자가 원할 경우 사용 해제할 수 있으며 이러한 경우에는

표준사용자 권한으로 보안등급이 한단계 높아진다.

윈도우 비스타에서의 무결성 수준

(그림) IE7의 보호모드 사용 설정 창

비고무결성 액세스 수준 시스템 권한

높음

보통

낮음

관리자

표준사용자

보호모드

관리자(프로세스에서 Program File 폴더에 파일을 설치하고

HKEY_LOCAL_MACHINE 같은 중요한 레지스트리 역에 기록할 수 있음)

사용자(프로세스에서사용자의문서폴더에파일을만들고수정하며HKEY_

CURRENT _USER 같은 레지스트리의 사용자 관련 역에 기록할 수 있음)

신뢰 안함 (프로세스에서 Temporary Internet Files\Low 폴더 또는 HKEY_

CURRENT_USER\Software\LowRegistry 키처럼 무결성 수준이 낮은 위치에만

기록할 수 있음)

Part 3 월간특집


www.krcert.or.kr

보호모드가 해제되면 아래와 같이 익스플로러 하단의 상태표시줄에 보호모드가 해제되었다고 표시된다.

필요한 경우 보안설정을 한단계 더 높여서 관리자 권한에서 익스플로러를 실행할 수도 있다. 실행방법은 마

우스 오른쪽 클릭하여 나타나는 메뉴에서“관리자 권한으로 실행”을 클릭하면 되고, 이는 익스플로러뿐 아

니라 모든 응용프로그램에 해당하는 사항으로 기존 XP에서 사용하던 응용프로그램이 정상적으로 동작하지

않는 경우 이러한 방법을 시도해 볼 수 있다. 실행파일의 속성에서 관리자권한으로 실행을 기본으로 설정하

거나 이전 윈도우 XP 등과의 호환 모드에서의 실행도 가능하다. 그러나 이러한 방법으로 프로그램 설치나

실행에 성공했다 할지라도 완전한 호환성을 확보하 다고 보기는 힘들며 궁극적으로는 프로그램 제조사에

서 호환성에 맞는 프로그램 업그레이드나 신제품 출시가 필요하다.

인터넷 익스플로러에는“보안 상태 표시줄”이라는 기능이 추가되었는데 이는 SSL을 이용하여 보안 접속한

경우 사이트 인증서의 유효성을 검증하여 신뢰여부를 주소표시줄에 색깔로 표시하는 기능이다. SSL을 사용

하는(https://) 사이트의 경우 금색 자물쇠 표시가 주소표시줄 옆에 나타나고 이를 클릭할 경우 인증서의 정

보를 표시하여 준다.

(그림) 관리자 권한으로 실행 (그림) 호환성 등 설정

→

28 2007년 1월호

Part 1 Part 2

(그림) 인증서 신뢰성 확인 창

(그림) 향상된 인증서의 경우

비스타에서 새롭게 추가된 향상된 인증서가 검증되는 경우(왼쪽 그림)는 주소표시줄이 초록색으로 바뀌고

자물쇠 모양의 아이콘 클릭시 신뢰할 수 있는 사이트라는 메시지를 보여준다. 그러나 인증서의 유효성을 검

증할 수 없거나 인증서가 신뢰할만한 인증기관으로부터 발급된 것이 아니면 주소표시줄이 빨간색으로 바뀌

고 인증서를 신뢰할 수 없다는 경고 메시지가 나타나게 된다.

특히 기존에 SSL 연결시 인증서 검증 오류가 발생하더라도 간단한 오류메세지창만 표시해주던것과는 달리,

오류가 있음에도 연결할 것인지를 물어보고 연결하더라도 계속적으로 주소표시줄을 빨간색으로 바꿔 경고

하므로 사용자로 하여금 사이트 이용에 경각심을 지속적으로 느낄 수 있도록 하 다. 따라서 SSL을 이용하

는 사이트 들은 인증서 유효기간 만료 등 오류발생시 신속히 처리하여야 할 것으로 보인다.

Part 3 월간특집


www.krcert.or.kr

(그림) 인증서를 신뢰할 수 없는 경우

인터넷 익스플로러 7에서의 ActiveX 컨트롤 사용 제한을 위하여 ActiveX Opt-In 매커니즘도 포함되어 있

다. ActiveX Opt-In 메카니즘이란 모든 ActiveX 컨트롤 사용시 사용자에게 허락을 받고, 기존에 이미 설

치되어 있던 ActiveX 컨트롤이라 하더라도 비스타에서 처음 사용하게 되면 사용자에게 허용여부를 물어보

는 기능이다. 이러한 기능은 기존에 ActiveX 컨트롤이 해커에 의해 악의적인 목적으로 사용자 몰래 설치되

는 경우가 있었기 때문에 이러한 피해를 방지하기 위해 추가된 기능이다.

MS의 인터넷 익스플로러 버전별 ActiveX 정책을 살펴보면 이미 윈도우 XP SP2부터 ActiveX의 설치에

하여 제한을 두고 있었음을 알 수 있는데, 이는 ActiveX 의 특성상 사용자 PC의 파일을 변경하거나 생

성할 수 있기 때문에 보안상 취약하다는 판단을 내린 것으로 보인다. 실제로 많은 ActiveX 관련 취약점들

이 기술자체의 취약점이라기 보다는 ActiveX가 사용자 PC의 모든 자원에 접근이 가능하기 때문인 경우가

많았다. 따라서 비스타에서 ActiveX 사용시에도 ActiveX 컨트롤의 용도에 한 세부 정보를 확인하는 등의

주의가 필요하다.

[표] 인터넷 익스플로러 버전별 ActiveX 정책

시나리오 IE6 IE6 XP SP2 IE7 XP SP2 IE7 Vista

서명되지 않은 ActiveX

컨트롤 다운로드차단됨 차단됨 차단됨 차단됨

서명된 ActiveX

컨트롤 다운로드알림

차단되어 주소표시줄

아래에 표시


아래에 표시


아래에 표시

이미 설치되어있던

ActiveX 컨트롤실행됨 실행되나 관리가능


아래에 표시


아래에 표시

ActiveX 컨트롤의

제거관리자 계정으로 제거 관리자 계정으로 제거 관리자 계정으로 제거 제거 제한

30 2007년 1월호

Part 1 Part 2

2.3 피싱 필터(Phishing Filter)

피싱은 최근들어 인터넷에서 심각한 위협이 되고 있으며 국내에서도 피싱을 이용한 사기 사건이 발생

하고 있다. 비스타에서는 이러한 피싱 피해를 방지하기 위하여 알려진 피싱 사이트에 한 목록을 확

보하고 사용자가 접속하고자 하는 사이트가 피싱사이트인지를 점검하여 피싱 사이트인 경우 경고 메시

지를 출력한다.

MS의 피싱필터는 MS에 보고된 피싱사이트 목록 및 피싱사이트에서 흔히 사용되는 URL 형태를 참조

하여 동작하며, 피싱사이트로 판단되는 경우에는 주소표시줄을 빨간색으로 표시하여 사용자에게 경고

하고 계속 진행할 것인지를 묻는다. 이때 계속 탐색을 하면 홈페이지 내용을 확인 할 수 있으며 확인

결과 피싱 사이트가 아닌 경우나 경고문구는 나오지 않았지만 피싱사이트로 판단되는 경우에는 MS에

알려 피싱사이트 목록에 추가하도록 할수도 있다.

또한 IE에서 팝업창을 보여주는 경우에도 주소표시줄을 반드시 표시하도록 하고, 윈도우 창의 크기를

일정크기 이상으로 유지하도록 함으로써 주소를 속이는 피싱이나, 보이지 않는 창을 띄워 개인정보 등

을 유출하려는 해킹시도를 줄이는 기능도 추가되었다. 이로 인해 사용자는 항상 자신이 접속하고 있는

사이트의 주소를 확인하고 접속할 수 있다.

(그림) 비스타의 피싱사이트 차단 기능

Part 3 월간특집


www.krcert.or.kr

(그림) 윈도우 XP의 IE6 팝업창 (그림) 윈도우 비스타의 IE7 팝업창

2.4 Windows 방화벽

Windows 방화벽은 인터넷 연결을 제어할 수 있는 기능으로 윈도우 2000부터 사용되어 왔지만, 윈도

우 XP/SP2에서 보안센터라는 기능이 도입되면서 일반적으로 널리 알려지고 사용하게 되었다. 비스타

에서도 XP/SP2의 보안 센터 및 방화벽과 같은 기능이 제공되며 기능이 좀 더 추가 되었다. 특히 기존

XP/SP2의 방화벽이 외부에서 유입되는(인바운드) 연결을 제어하는 기능만 있었던 것에 비하여, 비스

타의 방화벽은 내부에서 외부로 나가는(아웃바운드) 연결도 제어가 가능하다.

이는 기존에 제공되었던 외부로부터의 웜/바이러스 감염이나 악성코드 설치 등의 위협을 막는 기능과

더불어, 사용자가 모르는 사이에 사용자의 PC에서 정보가 유출되거나 웜바이러스 감염 후 주변의 다

른 사용자에게 웜/바이러스를 확산시키는 것을 방지하고자 추가된 기능이다. 사용자는 이 기능을 사용

하여 자신의 미디어 플레이어를 로컬 컴퓨터에서 음악이나 비디오 재생에는 사용할 수 있지만 인터넷

을 통한 멀티미디어 컨텐츠에는 접속하지 못하도록 설정하는 등 내부에서 외부로 접속하는 것을 제어

할 수 있다. 기본적인 방화벽 설정은 인바운드 연결은 제한하고 아웃바운드 연결은 허용하는 형태이며,

규칙 추가 등의 설정을 통해 다양한 방법으로 설정이 가능하지만 기본적으로 사용자의 네트워크에

한 이해가 필요하다.

32 2007년 1월호

Part 1 Part 2

또한 비스타에는 XP/SP2에서 제공하던 윈도우 디펜더가 제공되며 이 기능을 이용하면 주요 스파이웨

어와 악성프로그램에 한 기본적인 보호를 할 수 있고, 자신의 PC에서 현재 실행중인 프로그램 목록

이나, 네트워크에 연결된 프로그램 목록을 확인하여 악성코드에 감염되어 정보가 유출되고 있는지를

진단할 수 있다. 또한 이 기능을 사용하여 스파이넷에 가입하면 검출된 스파이웨어를 마이크로소프트

에 전송하여 윈도우 디펜더의 검출 능력을 향상시키는데 기여할 수 있도록 하고 있다. 윈도우 디펜더

가 스파이웨어에 한 실시간 진단과 제거 기능을 제공하지만 정 한 악성코드 응을 위해서는 안티

바이러스 소프트웨어를 사용하는 것이 좋다.

Part 3 월간특집


www.krcert.or.kr

인터넷뱅킹 등에서 사용되는 악성코드 탐지 프로그램이나 개인방화벽 프로그램과 비교하여 볼 때 윈도

우디펜더는 주로 스파이웨어를 차단하는데 비해 악성코드 탐지 프로그램은 웜/바이러스 및 해킹 프로

그램에 한 탐지가 가능하고, 윈도우즈 방화벽은 OS 차원에서 정책을 설정하고 사용할 수 있으며, 개

인방화벽은 특정 사이트를 이용할 때 한시적으로 사용할 수 있다.

(그림) 윈도우디펜더를 사용한 스파이웨어 점검

윈도우즈 방화벽 기능 윈도우 XP/SP2 윈도우 비스타

기능의 활성화

인바운트 트래픽 제어

응용프로그램별

아웃바운드 트래픽 제어

그룹 보안 정책의 지원

○

X

X

○

○

○

제어판-보안센터 제어판-보안센터

34 2007년 1월호

Part 1 Part 2

Bitlocker 기능은 크게 HDD 볼륨 암호화 기능과 무결성 검사 기능으로 나눌 수 있으며, 암호화 기능

은 Windows OS가 설치된 OS 파티션을 암호화 하는 기능으로 H/W에 내장된 TPM칩을 이용해 파티

션의 모든 사용자 파일과 시스템 파일 내용을 암호화시킨다.

무결성 검사 기능은 초기 부팅 시 암호화된 드라이브가 본래의 시스템에 있는 것을 확인한 후 볼륨의

훼손여부 확인을 통해 데이터 암호 해독을 진행하는 기능으로, 변경으로 인해 접근이 제한될 경우 사용

자가 설정한 PIN(개인 ID 번호) 또는 키관련 내용이 저장된 USB 삽입을 통해 해제를 진행할 수 있다.

(그림) BitLocker 암호화 기능

Part 3 월간특집

2.5 BitLocker 드라이브 암호화

BitLocker는 하드드라이브를 암호화 하는 기능으로 비스타 버전 중 Enterprise 버전과, Ultimate 버

전에서 제공되는 기능이다. 이 기능은 하드웨어 암호화를 위한 TPM(신뢰할 수 있는 플랫폼 모듈) 칩

이 내장된 PC에서만 사용할 수 있다. BitLocker 기능은 윈도우 XP에서 제공하던 암호화파일 (EFS,

Encrypted File)이 파일이나 폴더 단위로 암호화하는데 비하여 디스크 자체를 암호화할 수 있도록 하

다. 이 기능을 사용하여 하드드라이브를 암호화 하면 사용자가 분실하거나 도난당한 컴퓨터에서 데

이터 절취를 위하여 무단으로 디스크에 접근할 수 없도록 한다. 또한 BitLocker가 적용된 경우 하드디

스크를 PC에서 분리하여 다른 PC에 부착하여도 암호화키가 없으면 디스크의 내용이 나타나지 않는다.


www.krcert.or.kr

BitLocker는 기본적으로 윈도우가 설치된 파티션에 해서만 설정이 가능하며 BitLocker로 암호화시

사용된 암호화키는 USB 장치 등에 보관할 수도 있고 Text 형태나 인쇄하여 보관할 수도 있다. 이렇게

암호화된 하드디스크는 다른 컴퓨터에서도 암호화키만 있으면 인식시킬 수 있으나, 자신의 암호화키를

분실하는 경우 복구할 수 있는 방법이 없으므로 주의하여야 한다.

(그림) BitLocker 암호화 기능 (그림) PIN과 USB저장장치를 이용한 암호화

36 2007년 1월호

Part 1 Part 2

(그림) 자녀 보호기능에 의하여 작성된 보고서

자녀보호 기능은 기존의 XP에서도 수동으로 찾아보고자 하면 가능했던 기능이지만, 이를 편리하게 자

동으로 보고서 생성할 수 있도록 하여 별도의 기능으로 제공하고 있다. 자녀보호 기능이 켜져있는 경

우에는 자녀보호 기능이 켜져있다는 알림 메시지를 통하여 자녀 모르게 이 기능을 사용하는것은 방지

하고있다.

Part 3 월간특집

2.6 자녀 보호 기능

자녀보호 기능은 자녀가 컴퓨터로 접할 수 있는 내용을 제어하는 포괄적 통제기능으로 자녀가 컴퓨터

를 사용할 수 있는 시간과 기간의 제한이 가능하며, 방문할 수 있는 웹사이트, 사용할 수 있는 응용 프

로그램에 한 제한도 가능하다. 또한 게임 소프트웨어의 등급에 따라 실행을 제한시킬수도 있으며, 추

후 자녀가 사용한 응용프로그램이나 접속한 사이트 등을 보고서 형태로 볼 수 있다.


www.krcert.or.kr

(그림) ActiveX를 관리자 권한으로 실행하는 방법

3.1 ActiveX 컨트롤 설치/실행 문제

국내의 웹사이트 등에서는 사용편의를 위해 ActiveX로 부가 서비스를 제공하는 경우가 많다. 특히 인

터넷 뱅킹에서는 기본적으로 인증서관리 프로그램, 키보드해킹방지 프로그램, 방화벽 프로그램이

ActiveX 형태로 설치되고 있다. 기존 XP에서는 부분 관리자 계정으로 사용하여 왔기 때문에

ActiveX 컨트롤의 설치/사용이 용이하 으나 비스타에서는 관리자 계정으로 로그인하더라도 표준사용

자 권한이 기본이기 때문에 사용자 계정 컨트롤 및 인터넷 익스플로러 7의 보호모드 기능으로 인하여

ActiveX의 설치/실행이 잘 되지 않는 경우가 발견되었다.

특히 ActiveX 컨트롤과 설치된 응용프로그램 사이에 무결성 수준이 맞지 않는 상태에서 데이터를 주

고받거나, 관리자 권한이 필요한 행위를 보호모드 상에서 수행하는 경우 등에서 문제점이 나타났다. 이

러한 문제점은 MS에서 권고하는 Marking된 실행파일 형태나 COM DLL 형태로 바꾸면 해결이 가능

하나, 개발업체에 따라서 개발량이 상당히 많을 수 있어 모든 ActiveX 프로그램에 적용하기에는 시일

이 걸릴 것으로 보인다.

향후 ActiveX 컨트롤에 한 MS의 정책은 첫째, 신뢰할 수 있는 공급자 또는 웹 사이트에서만

ActiveX 컨트롤을 추가하고 둘째, 설치할 ActiveX 컨트롤의 용도에 한 세부 정보가 없는 경우에는

해당 컨트롤을 설치하지 말 것이며 셋째, 개발자들은 지나친 ActiveX 컨트롤에 의존적인 서비스 방식

을 지양 하고, 반드시 필요한 ActiveX 컨트롤을 제외 하고는 부분별로 암호화된 SSL 웹서버 인증방식

이나 AJAX 등을 활용하도록 권고하는 것이라고 한다.

그럼에도 불구하고 관리자 권한이 필요한 ActiveX 컨트롤이 필요하다면 개발자는 Marking된 실행파

일 형태나 COM DLL 형태로 소스코드를 수정하여야 한다. 이렇게 하면 ActiveX 실행시 관리자 권한

으로 실행되도록 할 수 있어 사용자 계정 컨트롤로 인한 문제점을 많이 해결할 수 있다.

3. 비스타에서의 호환성 등 문제점

38 2007년 1월호

Part 1 Part 2

(그림) IE7의 탭 브라우징, 여러개의 사이트를 동시에 방문할 수 있음

(그림) 보안설정에서 신뢰할 수 있는 사이트를 추가하기

3.3 인트라넷 전용 소프트웨어(그룹웨어 등) 호환성

기업에서 많이 사용하는 그룹웨어는 중적으로 많이 사용하는 워드프로세서 등과 같은 응용 프로그램

에 비해 상 적으로 사용 범위가 기업 내부로 한정되어 호환성 문제가 많이 논의되지는 않았지만, 역

시 ActiveX가 많이 사용되고 있어 문제가 있을 수 있다. 특히 사내 메일 등을 위해 별도로 시스템을

구축한 경우 MS의 DHTML 컨트롤을 사용하고 있는 경우라면 주의가 필요하다.

기존에 HTML 형태의 메일을 발송하기 위하여 많이 사용되었던 이 컨트롤은 비스타에서는 보안 문제

로 인하여 기능이 삭제되었다. 따라서 이 컨트롤을 이용하여 개발된 프로그램은 다른 HTML 컨트롤을

사용하도록 변경하여야 한다. 또한 서명하지 않은 ActiveX 컨트롤을 사용해온 경우 사용시 확인창이

빈번하게 표시되거나 사용하지 못하게 될 수 있으므로 원활한 사용을 위해서는 서명을 하거나 신뢰할

수 있는 사이트에 추가하는 등 추가적인 고려가 필요하다.

Part 3 월간특집

3.2 인터넷 익스플로러 7의 변화된 환경에서의 호환성

비스타에서는 운 체제 자체뿐 아니라 인터넷 익스플로러도 많은 기능이 변경되었다. 사용자 계정 컨

트롤과 더불어 보호모드 환경도 고려하여야 하는데, 비스타의 인터넷 익스플로러 7은 물론이고 기존

XP에서 수행되는 인터넷 익스플로러 7의 호환성도 확인하여야 한다. 예를 들어 IE7에서 새롭게 추가

된 TAB 브라우징의 경우 하나의 인터넷 익스플로러에서 여러개의 사이트를 방문할 수 있기 때문에 각

각의 사이트에서 각각의 ActiveX 프로그램을 사용할 경우 예기치 않은 문제가 발생할 수 있다.


www.krcert.or.kr

3.4 웹사이트 개발자 입장에서 고려할 점

국내에서는 웹사이트를 구축할 때 웹사이트에 다양한 효과를 표현하기 위하여 ActiveX를 많이 사용하

다. 그러나 비스타에서는 ActiveX가 가질 수 있는 보안상의 문제점 때문에 ActiveX를 사용하는데

많은 제한을 가하 다. 그러므로 신규로 웹사이트를 구축하는 경우 사용자의 불편을 최소화하기 위하

여 최 한 표준 HTML 등을 사용하여 사이트를 구축하는 것이 필요하다. 또한 어쩔 수 없이 ActiveX

를 사용하여 시스템을 구축하여야 하는 경우에는 보안상 위협이 없는지 확인하고, 안전한 프로그램 개

발에 한 가이드를 참고하여 개발하여야 한다.

또한, 인터넷 익스플로러 7에서는 기존에 해킹 등에 악용되어 문제시되었던 크로스도메인 스크립팅 금

지 기능이 보다 강화되었다. 따라서 하나의 페이지에 여러개의 사이트로부터 데이터를 보여주는 방식

으로 구현된 홈페이지의 경우 오류가 발생할 수 있으므로 이를 체할 수 있는 표준 기법을 사용하는

것이 필요하다.

윈도우비스타는 이전의 윈도우 운 체제에 비하여 강화된 보안기능을 가지고 있으며, 설계단계부터 보

안성을 고려하여 개발되었다. 이렇게 강화된 보안기능은 사용자들이 웜/바이러스, 트로이전 등의 악성

코드 위협으로부터 보호될 수 있는 장치로 사용될 수 있으므로 이런 기능들을 적절히 활용하면 사용자

PC가 해킹에 악용되는 것을 방지할 수 있을 것으로 기 된다.

비스타에서는 보안성을 강화하기도 하 지만 사용자가 원하는 경우 보안장치를 사용하지 않는 방법도

제공하 다. 그러나 이와 같은 보안장치를 사용하지 않는 것은 비스타의 강점인 보안성을 포기하는 것

이므로 새로운 운 체제를 채택하는 의미를 없게 하는 것이다. 그러므로 약간의 편의성을 포기하고 비

스타의 보안기능을 최 한 활용하여 웜바이러스 감염 등으로 인한 피해를 방지하는 것이 좋을 것으로

보여진다.

또한 이와 같이 보안성이 강화된 만큼 사용자는 불편을 느낄 수 있고, 또한 현재 기존에 사용하던 소프

트웨어나 웹사이트의 호환성이 문제가 되고 있어서, 정보보호진흥원은 관련 기관과 협력하여 문제를

해결하기 위한 노력을 하고 있다. 정보통신부와 KISA, SecureNet 홈페이지에는 윈도우 비스타 호환

성을 확보한 주요 소프트웨어 목록이 게시되어 있으며 주기적으로 업데이트 할 예정이므로 자신이 사

용하는 소프트웨어가 비스타에서 호환되지 않을 경우 홈페이지를 방문하면 언제쯤 호환성이 확보될지

확인하여 볼 수 있다.

� 참고 사이트

[1] The Windows Vista Product Guide

[2] Internet Explorer 7 보호 모드의 이해 및 작업,

http://www.microsoft.com/korea/windows/ie/ie7/technology/default.mspx

[3] 최소권한부여 환경에서 어플리케이션 개발자를 위한 모범사례 및 지침,


[4] 인터넷 익스플로러 7.0 호환성 문제 분석 및 응방안,


[5] Windows Vista IE7의 새로운 보안하에서 ActiveX 컨트롤 개발,


[6] BitLocker Drive Encryption: Technical Overview,

http://technet.microsoft.com/en-us/windowsvista/aa906017.aspx

[7] http://msbeta.co.kr/

4. 맺음말

40 2007년 1월호

Part 1 Part 2

악성코드 유포지/경유지 조기 탐지 및 차단 조치

KISA 인터넷침해사고 응지원센터에서는 국내 웹사이트에 악성코드가 삽입되어 웹사이트 방문자에게 게

임 ID/비 번호를 유출하는 트로이잔을 감염시키는 사례가 발생하여‘05년 6월부터 지속 응하여 왔으며,

’05. 12월부터는 악성코드 은닉사이트 탐지 프로그램을 자체 개발∙적용하여 약 77,000개의 국내 웹 사이

트를 상으로 악성코드 은닉 여부를 탐지 및 차단 조치하고 있다.

’07년 1월 KISA에서 탐지하여 응한 악성코드 유포지 및 경유지 사이트는 480건으로 전월 비

29.5% (681 → 480건) 감소하 다.

□악성코드 경유지사이트 수는 전월 비 37.1%(591 → 372건) 감소하 고, 유포사이트 수는 전월에

비하여 20.0%(90 → 108건) 증가한 것으로 나타났다.

□각 기관(기업)의 웹 서버 관리자는 웹페이지가 악성코드 유포 및 경유지로 악용되는 피해예방을 위

해 웹서버 해킹에 주로 사용되는 SQL Injection 등의 취약점에 한 보안 책을 마련하는 것이 중

요하다.

� 참고 사이트

ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr 초기화면→ 왼쪽‘공개 웹 방화벽을 이용한 홈페이지 보안’

WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr 초기화면→ 왼쪽‘공개 웹 방화벽을 이용한 홈페이지 보안’

홈페이지 개발 보안가이드 : http://www.krcert.or.kr 초기화면 → 왼쪽‘홈페이지 개발 보안가이드’

[표] 악성코드 유포지/경유지 사고 처리건수

악성코드 유포지 및 경유지로 악용된 사이트를 기관별로 분류하면 기업, 기타(개인), 비 리 홈페이지 순이

었으며, 특히 기업으로 분류된 .co.kr, com 도메인이 악성코드 유포지/경유지 사이트로 많이 악용되는 것

으로 나타났다.

□이는 해커가 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포지/경유지 사이트로 악

용하고 있는 것으로 판단된다.

유포지

경유지

합계

993

5,624

6,617

108

372

480

108

372

480

기 관2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

1. 개요

2. 전체 추이

3. 기관별 분류

별 첨

Part 3 월간특집


www.krcert.or.kr

악성코드 유포지 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 IIS 웹서버가 72.7%, Apache 웹

서버가 1.9%, 기타 25.4%로 분류되었다.

[표] 악성코드 유포지/경유지 사이트 웹서버 별 분류

4. 웹서버별 분류

[표] 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류

기업

학

비 리

연구소

네트워크

기타(개인)

총계

4,274

154

649

24

215

1,301

6,617

296

10

33

0

15

126

480

296

10

33

0

15

126

480

� 기관 분류기준 : 기업(co, com), 학(ac), 비 리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 등)

(그림) 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류

기 관2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

� 웹서버별 구분 자료는 각 운 체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임� 악성코드 유포지/경유지 사이트가 이미 패쇄 되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음

MS IIS

Apache

기타

합계

5,039

151

1,427

6,617

334

4

142

480

334

4

142

480

웹서버2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

기업62%

기타(개인) 26%

네트워크 3%

연구소 0%

비 리 7%

학 2%

42 2007년 1월호

주요포트별 서비스 및 관련 악성코드

Part 1 Part 2

프로토콜 관련 악성코드

[trojan] Adore sshd, [trojan] Shaft

Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle,

Yaha,Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor,

Executor, Hooker, RingZero, Seeker, WAN Remote,

Web Server CT, WebDownloader, Zombam

Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv,

Lovgate, Spybot

God Message worm, Netlog, Qaz, Deborms, Moega,

Yaha

Agobot, Deloder, Yaha, Randex, Welchia, Polybot,

Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix,

Zotob, IRCBot, SDBot

Dasher, Remote Storm, ABCHlp, Lala, Keco

MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy

Spida, SQL Snake

SQL Slammer

Bagle

OptixPro, Mockbot

RAdmin Port

Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d,

Bobax, Trojan.Webus

Mockbot.

SSH Remote Login Protocol

World Wide Web, HTTP

DCE endpoint resolution,

MS-RPC

Netbios-ssn

netbios-ds

network blackjack

SOCKS Protocol

Microsoft-SQL-Server

Microsoft-SQL-Server

urbisnet

NetworkLens SSL Event

radmin-port

commplex-main

DameWare

TCP

TCP

TCP/UDP

TCP

TCP

TCP/UDP

TCP/UDP

TCP/UDP

TCP

TCP

TCP/UDP

TCP

TCP/UDP

TCP/UDP

포트번호

22

80

135

139

445

1025

1080

1433

1434

2745

3410

4899

5000

6129

서비스

부 록

Part 3 월간특집


www.krcert.or.kr

구 분 내 용

구성설정오류 공격

바이러스(Virus)

바이러스 월(Virus Wall)

버퍼오버플로우(Buffer Overflow)

봇(Bot)

분산서비스거부공격(DDoS : Distributed DoS)

불법자원사용

불법침입

서비스거부공격(DoS : Denial of Service)

스파이웨어(Spyware)

스팸릴레이(Spam Relay)

허니넷

악성프로그램

악성프로그램 공격

애드웨어(Adware)

웜(Worm)

운 체제 및 응용프로그램의 설정 오류(위험성이 있는 기본설정의 사용, 사용자 편의를 위한 설정

조정 등)를 이용하는 해킹기법으로 홈페이지 위∙변조, 불법침입 등에 주로 이용됨

컴퓨터 프로그램이나 메모리에 자신또는자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여

불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드

네트워크 환경 내부에 인-라인(In-line) 상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽 상의

네트워크 바이러스를 예방 및 차단하는 시스템

메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어 으로써 호출 프로그램으로의 복귀오류 등

을 일으켜 정상적인 프로그램의 실행을 방해하는 표적인 공격기법

운 체제 취약점, 비 번호의 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전

달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램

또는 실행 가능한 코드

DoS용 에이전트를 여러 개의 시스템에 설치하고, 이 에이전트를 제어하여 DoS 공격을 함으로써 보

다 강력한 공격을 시도할 수 있으며, 공격자에 한 추적 및 공격트래픽의 차단을 어렵게 만드는 공

격 형태

정당한 권한 없이 특정 시스템을 스팸릴레이, 피싱사이트 개설 등에 이용하는 행위

주요 정보∙자료를 수집 또는 유출하기 위하여 정당한 권한 없이 시스템에 침입하는 행위

특정 네트워크에서 허용하는 역폭을 모두 소모시키거나, 공격 상(victim) 시스템의 자원(CPU, 메

모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 한 공격으로 서비스를

못하도록 만드는 공격

이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템, 데이터 또는 프로그램 등을 훼손∙멸

실∙변경∙위조하거나 정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램. 즉, 이용자

의 동의 없이, 웹브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운 을 방해∙

중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집∙전송하는 등의 행위를 하는

프로그램

스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용

KISA 인터넷침해사고 응지원센터 내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위,

웜∙바이러스 등을 수집

사용자의 시스템에 설치되어 백도어를 오픈하여 정보를 유출하거나, 시스템의 정상적인 동작을 방해

하는 프로그램

컴퓨터 시스템에 악성프로그램을 설치하게 유도하거나 고의로 감염시키는 해킹기법으로 주로 백

도어 등을 이용하여 상 방의 주요 정보를 빼내기 위한 목적으로 이용함

사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가

의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드

독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한

코드

용어정리

44 2007년 1월호

Part 1 Part 2

구 분 내 용

공격징후 탐지를 위하여 KISA에서 전국 45개 주요도시에 설치한 센서

상시스템의운 체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨

시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위

자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도

하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드

정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기

수법으로 Bank Fraud, Scam이라고도 함

다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나, 정보시스템의 정상적인 기능이나 데이터에 임의적

으로 간섭하는 행위

개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과 스크립팅

을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를 제공함

많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크

인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤

상 방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 E-mail을 보냄으로써 상

방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨

응용프로그램들이 HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공

KISA내 침해사고 응팀(CERT)으로서, 국내에서 운 되고 있는 인터넷 망의 침해사고 응 활동을 지원

하고, 전산망 운용기관 등에 해 통일된 협조 체제를 구축하여, 국제적 침해사고 응을 위한 단일창구를

제공하기 위하여 설립됨

License Logging Service의약자로MS서버제품에 한라이센스를고객이관리할수있도록해주는도구

네트워크의 기본적인 입출력을 정의한 규약

Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의 일종

으로서 서로 다른 응용프로그램이나 플랫폼이 데이터를 공유하는데 사용

Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX

환경에서 아이콘 등에 많이 사용

Server Message Block의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜

TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을 보내서

상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격

많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한 서비스

윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있다.

지역센서

취약점정보수집 공격

침입시도

트로이잔(Trojan)

피싱(Phishing)

해킹(Hacking)

ASP.NET

Botnet

DHTML Editing

Component ActiveX

E-mail 관련 공격

Hyperlink 개체 라이브러리

KrCERT/CC

LLS

NetBIOS

OLE/COM

PNG

SMB

TCP Syn Flooding

Windows SharePoint

Services

Windows Shell

Part 3 월간특집

12010 인터넷침해사고동향및분석월보 2007 01인터넷침해사고동향및분석월보...

Documents

Transcript of 12010 인터넷침해사고동향및분석월보 2007 01인터넷침해사고동향및분석월보...