12010 인터넷침해사고동향및분석월보 2007 03 ·...

03March 2007

인터넷침해사고 동향 및 분석 월보

1 20 10

� 본 보고서내 정부승인통계는 웜∙바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도,

기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 한 이해를 돕기 위하여 기술된 악성봇

감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다.

� 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처

[자료 : 한국정보보호진흥원 인터넷침해사고 응지원센터]를 명시하여 주시기 바랍니다.

Contents

월간 동향 요약. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

침해사고 통계 분석

1-1. 증감 추이(전월 비) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1-2. 침해사고 통계 요약 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1-3. 침해사고 통계 현황

�웜∙바이러스 신고건수 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

�주요 웜∙바이러스별 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1-4. 해킹

�해킹 사고 접수∙처리 건수 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

�피해 기관별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

�피해 운 체제별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

�피싱 경유지 신고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

�홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

�악성 봇(Bot) 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

허니넷/트래픽 분석

2-1. PC 생존시간 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2-2.허니넷 트래픽 분석

�전체 추이. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

�Top 3 국가별 공격유형 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

�해외 → 국내. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

�국내 → 국내. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2-3.국내 인터넷망 트래픽 분석. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2-4.바이러스 월 탐지 웜∙바이러스 정보 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

월간특집

UCC 현황과 향후 보안위협. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Part 1

Part 2

Part 3

-Ⅰ-

<별첨> 악성코드 유포지/경유지 조기 탐지 및 차단 조치. . . . . . . . . . . . . . . . . . . . . . . . 28

<부록> 주요포트 별 서비스 및 관련 악성코드. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

<용어정리>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

표 차례

[표 1] 월간 침해사고 전체 통계. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

[표 2] 월별 국내 웜∙바이러스 신고 건수. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

[표 3] 주요 웜∙바이러스 신고현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

[표 4] 해킹사고 처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

[표 5] 해킹사고 피해 기관별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

[표 6] 해킹사고 피해 운 체제별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

[표 7] 피싱 경유지 신고 건수 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

[표 8] 홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

[표 9] 국내 악성 봇(Bot) 감염률 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

[표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간 . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

[표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

[표 13] 해외 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

[표 14] 국내 → 국내(허니넷) 스캔탐지 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

[표 15] 수집된 주요 웜∙바이러스 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

그림 차례

(그림 1) 월별 침해사고 전체 통계 그래프 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

(그림 2) 월별 국내 웜∙바이러스 신고 건수 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

(그림 3) 해킹사고 접수∙처리 건수 유형별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

(그림 4) 해킹사고 피해 기관별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

(그림 5) 월별 피싱 경유지 신고건수. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

(그림 6) 월별 홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

(그림 7) 월별 국내 악성 봇(Bot) 감염률 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

(그림 9) 악성봇 관련 포트 비율(해외) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

(그림 10) 악성봇 관련 포트 비율(국내) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

(그림 11) 월별 평균 생존 가능시간 변동 추이. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

(그림 12) Windows XP SP1 생존시간 분포 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

(그림 13) Windows 2000 SP4 생존시간 분포 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

(그림 14) 월별 허니넷 유입 트래픽 규모. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

(그림 16) 해외 → 국내(허니넷) 스캔탐지 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

(그림 17) 국내 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

(그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

(그림 19) 국내 인터넷망에 유입된 공격유형 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

-Ⅱ-

MS Windows .ani

원격코드실행취약점

으로인한 피해주의

공개웹게시판제로보드

SQL 인젝션 취약점

패치 권고

MSN 메신저 사용시

악성코드감염피해주의

o Windows 2000 SP4

o Windows XP SP2

o Windows Server 2003

o Windows Vista

제로보드 4.1 pl8 및 이전

버전

o MSN 메신저 사용자

- 백신 프로그램 업데이트

- 출처가불분명한이메일과

신뢰되지않은웹사이트 방문주의

- 해당취약점(MS07-017)에 한

윈도우 보안업데이트 실시

- 우측 참고 사이트을 참고하여 취약점이

보완된 프로그램을 설치하거나, 취약한

파일(download.php)을 보완

- 메신저로 전달되는 출처가 불분명한

파일열람 및 실행금지

http://www.microsoft.com/tec

hnet/security/bulletin/MS07-

017.mspx

http://www.nzeo.com/bbs/zbo

ard.php?id=cgi_download2&n

o=55

http://www.krcert.or.kr/→

보안정보 → 보안공지→“MSN 메신

저 사용시 악성코드 감염 피해 주의”

� 보안 공지사항에 한 보다 자세한 내용은 KISA 인터넷침해사고 응지원센터 홈페이지 공지사항 (http://www.krcert.or.kr/

→ 보안정보 → 보안공지)에서 확인할 수 있습니다.

월간 동향 요약

인터넷 침해사고 동향 및 분석 월보1

□MS 윈도우 커서 및 아이콘의 모양변환, 애니메이션기능을 지원하는 파일포맷(.ani) 처리모듈에 원격

코드 실행이 가능한 취약점을 공격하여 사용자 PC를 감염시키는 악성코드 은닉사이트가 발견됨에

따라, 해당 사이트를 긴급 차단조치하고, 추가 은닉사이트를 탐지하는 등 모니터링을 강화하고 있음

- 인터넷이용자는 출처가 불분명한 이메일 열람 및 일반적으로 신뢰되지 않은 웹 사이트 방문시 특히

주의하여야 하며, 백신프로그램을 최신버전으로 업데이트하고 해당 취약점(MS07-017)에 한

보안업데이트를 신속히 적용하여 악성코드 감염피해를 예방하여야 함

□웜∙바이러스 피해신고는 전월에 비하여 47.1% 감소

□해킹신고 처리는 전월 비 2.6% 증가 (스팸릴레이, 단순침입시도는 각각 0.3%, 125% 증가, 피싱

경유지, 기타해킹, 홈페이지변조는 각각 46.1%, 4.4%, 57.4% 감소)

□전 세계 Bot 감염 PC 비 국내 Bot 감염 PC 비율 11.9%로 전월 비 1.1%p 감소

□Windows XP SP1 : 26분45초 (전월 비 9분58초 증가 ↑)

□Windows 2000 SP4 : 32분47초 (전월 비 11분15초 증가 ↑)

제 목 향받는 제품/사용자 향력/예방 및 책 참고 사이트

핫 이슈

주요 취약점, 웜∙바이러스

통계 분석

PC 생존시간

구 분

웜∙바이러스

해킹신고처리

악성 봇(Bot)

�스팸릴레이

�피싱경유지

�단순침입시도

�기타해킹

�홈페이지 변조

통계 요약

총 329건 : 전월( 622건) 비 47.1% 감소

총 2,247건 : 전월(2,189건) 비 2.6% 증가

총 1,477건 : 전월(1,473건) 비 0.3%증가

총 96건 : 전월( 178건) 비 46.1%감소

총 414건 : 전월( 184건) 비 125% 증가

총 197건 : 전월( 206건) 비 4.4%감소

총 63건 : 전월( 148건) 비 57.4%감소

전 세계 Bot감염 추정PC 비 국내감염율은 11.9%로 전월(13.0%) 비 1.1%p 감소

[표 1] 월간 침해사고 전체 통계

구 분2006

총계

2007 2007

총계

웜∙바이러스

해킹신고처리

악성 봇(Bot)

7,789

26,808

14,055

1,266

3,711

4,570

3,206

12.5%

1,469

6,594

4,175

364

925

632

498

12.9%

518

2,158

1,225

90

327

229

287

13.7%

622

2,189

1,473

178

184

206

148

13.0%

329

2,247

1,477

96

414

197

63

11.9%

1 2 3 4 5 6 7 8 9 10 11 12

1-1. 증감 추이(전월 비)

1-2. 침해사고 통계 요약

3293299

611

6311.9%1 .9

1,477

96

웜∙바이러스 신고 접수건수 스팸릴레이 신고 처리건수 피싱 경유지 신고 처리건수

단순침입시도+기타해킹신고 처리 홈페이지 변조사고 처리건수 악성 봇(Bot) 감염비율

1. 침해사고 통계분석

2 2007년 3월호

Part 2 Part 3Part 1 침해사고 통계분석

�스팸릴레이

�피싱경유지

�단순침입시도

�기타해킹

�홈페이지변조

(그림 1) 월별 침해사고 전체 통계 그래프

1,400

1.200

1,000

800

600

400

200

0

2,000

1,500

1,000

500

0

200

160

120

80

40

0

2,000

1,500

1,000

500

0

1,000

800

600

400

200

0

30%

20%

10%

0

[표 2] 월별 국내 웜∙바이러스 신고 건수

구 분2006

총계

2007 2007

총계

신고건수 7,789 1,469518 622 329

1 2 3 4 5 6 7 8 9 10 11 12

1-3. 침해사고 통계 현황

웜∙바이러스 신고건수 추이


www.krcert.or.kr

� 웜∙바이러스 신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가 공동으로 집계한 결과임

□‘07년 3월에 국내 백신업체와 KISA에 신고된 웜∙바이러스 신고건수는 329건으로 전월(622건)에

비하여 47.1% 감소하 다.

- 이번 달에는 전월에 1위를 차지하 던, 자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판,

자료실 등을 통하여 감염되는 것으로 알려진 AGENT(트로이잔 종류)를 포함한 웜∙바이러스 피해

신고건수가 전반적으로 감소하 다.

329329

(그림 2) 월별 국내 웜∙바이러스 신고 건수

1,400

1,200

1,000

800

600

400

200

0


4 2007년 3월호

[표 3] 주요 웜∙바이러스 신고현황

순 위

2007

1

2

3

4

5

6

7

8

9

10

150

136

32

19

15

15

14

13

13

10

101

518

BAGLE

BAGZ

BANLOAD

DOWNLOADER

IRCBOT

VIKING

PARITE

XEMA

DELLBOY

LINEAGEHACK

기 타

합 계

73

64

45

44

27

26

17

15

14

13

284

622

AGENT

DOWNLOADER

XEMA

HUPIGON

LINEAGEHACK

KORGAMEHACK

QQPASS

GRAYBIRD

BAGLE

IRCBOT

기 타

31

22

16

16

13

11

11

10

9

8

182

329

IRCBOT

DOWNLOADER

XEMA

AGENT

VIKING

BAGLE

LINEAGEHACK

MATORYHACK

KORGAMEHACK

BO

기 타

1 2 3 4 5 6

주요 웜∙바이러스별 현황

□신고된 웜∙바이러스를 명칭별로 분류한 결과 지난달에 1위를 차지하 던 AGENT는 이번달에 피해

신고가 감소하여 4위를 차지하 으며, IRCBOT 변종에 의한 피해신고가 건수는 많지 않으나 이번달

에 1위를 차지하 다.

명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수


www.krcert.or.kr

1-4. 해킹

스팸릴레이

피싱경유지

단순침입시도

기타해킹

홈페이지변조

합계

14,055

1,266

3,711

4,570

3,206

26,808

1,225

90

327

229

287

2,158

1,473

178

184

206

148

2,189

1,477

96

414

197

63

2,247

4,175

364

925

632

498

6,594

� 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고 응기관이나 위장사이트의 상이 된 기관 또는 업체, 일반사용자로부터 신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수

� 단순침입시도 : KISA에서 접수∙처리한 해킹사고 중 웜∙바이러스 등으로 유발된 스캔(침입시도)을 피해자(관련기관)가 신고한 건수

� 기타해킹 : KISA에서 접수∙처리한 해킹사고 중 스팸릴레이, 피싱 경유지, 단순침입시도를 제외한 나머지 건수

구 분2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

[표 4] 해킹사고 처리 현황

해킹 사고 접수∙처리 건수 추이

(그림 3) 해킹사고 접수∙처리 건수 유형별 분류

□‘07.3월 KISA에서 처리한 해킹사고는 2,247건으로 전월(2,189건) 비 2.6% 증가 하 다.

- 해킹사고 항목별로 전월 비 증감을 파악한 결과, 스팸릴레이, 단순침입시도는 각각 0.3%, 125%

증가하 으며, 피싱경유지, 기타해킹, 홈페이지변조는 각각 46.1%, 4.4%, 57.4% 감소한 것으로

나타났다.

- 항목별로 차지하는 비율은 스팸릴레이(65.7%)가 가장 많았으며, 다음으로 단순침입시도(18.4%),

기타해킹(8.8%) 순이었다.

65.7%4.3%

18.4%

8.8%

2.8%

□ 스팸릴레이

■ 피싱경유지

■ 단순침입시도

■ 기타해킹

■ 홈페이지 변조


개인82.6%

기업8.4%

학7.7%

비 리 1.0%

네트워크 0.3%

6 2007년 3월호

피해 기관별 분류

기업

학

비 리

연구소

네트워크

기타(개인)

합계

[표 5] 해킹사고 피해 기관별 분류

3,689

1,094

714

16

307

20,988

26,808

435

95

46

1

27

1,554

2,158

241

75

33

0

11

1,829

2,189

188

173

23

1

7

1,855

2,247

864

343

102

2

45

5,238

6,594

� 기관 분류기준 : 기업(co, com), 학(ac), 비 리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 또는 ISP에서 제공하는 유동 IP 사용자)

□해킹사고를 피해 기관별 분류한 결과, 기타

(개인), 기업, 학, 비 리의순으로나타났다.

전월과 마찬가지로 기타(개인)으로 분류된

경우가 83%로 가장 많았는데, 침해사고관

련 IP가 주로 ISP에서 제공하는 유동 IP(주

로 개인용 컴퓨터)인 경우를 기타(개인)으로

분류하 다.

기 관2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

(그림 4) 해킹사고 피해 기관별 분류

피해 운 체제별 분류

[표 6] 해킹사고 피해 운 체제별 분류

� 운 체제별 분류 자료는 각 운 체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임

□해킹사고 처리결과를 운 체제별로 분류한 결과는 전월과 마찬가지로 Windows, Linux 운 체제

순이었다. Windows 운 체제가 차지하는 비율은 93.8%로 전월과 마찬가지로 가장 많았다.

Windows

Linux

Unix

기타

합계

22,193

3,616

48

951

26,808

1,868

200

0

90

2,158

1,980

148

2

59

2,189

2,108

90

1

48

2,247

5,956

438

3

197

6,594

운 체제2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

96


www.krcert.or.kr

피싱 경유지 신고처리 현황

� 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고 응기관이나 위장사이트의 상이 된 기관 또는 업체, 일반사용자로부터 신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임

□이번달 피싱 경유지 신고건수는 총 96건으로, 전월(178건) 비 82건이 감소하 다.

지난 2월에는 미국 WellsFargo은행 피싱사이트 신고건으로 인해 건수가 급증하 으나,

이달에는 월 평균 수준으로 회복되었다.

□피싱 상기관 유형으로는 여전히 금융기관이 전체의 82.3%로 가장 큰 비중을 차지하 다.

기 관

금융기관

전자상거래

기타

합계

건 수

79

17

0

96

(그림 5) 월별 피싱 경유지 신고건수

[표 7] 피싱 경유지 신고 건수

구 분2006

총계

2007 2007

총계피싱경유지신고건수 1,266 36490 178 96

1 2 3 4 5 6 7 8 9 10 11 12

금융기관

82.3%

전자상거래17.7%

200

160

120

80

40

0


8 2007년 3월호

건 수

33

9

7

2

45

96

□피싱 상기관 및 신고건수를 국가별로 분류한 결과, 총 6개국 35개 기관으로 집계되었다. 소속 국가

별로는미국이27개(77.1%)기관, 신고건수85건(88.5%)을차지하여, 이달에도전월과동일하게국내

신고건의 부분을미국이차지하 음을알수있다. 이달에는지난달(22개)에비해13개기관이증가

하 는데, 미국 중소규모의 카드금융기관들이 많이 포함된 것이 특징이다.

□피싱 경유지로 악용된 국내 사이트를 기관유형별로 분류한 결과, 기업 33건(34.4%), 교육 9건

(9.4%), 비 리 7건(7.3%), 개인/기타 2건(2.0%) 등의 순으로 집계되었으며, 홈페이지가 없거나

Whois 정보에 ISP 관리 역으로만 나와 연락처를 확인할 수 없는 경우에 해당되는‘ISP서비스이

용자’유형이 45건(46.9%)으로 나타났다.

□피싱경유지시스템에서이용된포트는이달에도표준HTTP포트인80포트를이용한경우가78건

(81.3%)으로지난달80포트비율(95.0%)에비해약13.7%가감소하 다.

구 분

미국

독일

스페인

캐나다

국

홍콩

총 6개국

기관 분류

금융기관

전자상거래

기타

금융기관

“

“

“

“

-

기관수

25

2

0

2

2

2

1

1

35

67

18

0

4

2

3

1

1

96

신고건수

85

기관유형

기업

교육

비 리

개인/기타

ISP서비스이용자

합계

건 수

78

1

15

1

1

96

포 트

80

82

84

8080

40

합계

ISP 서비스46.9%

기업34.4%

교육9.4%비 리

7.3%개인/기타2.0%

80 포트81.3%

84 포트15.6%□ 80 포트

■ 82 포트

■ 84 포트

■ 8080 포트

■ 40 포트

□ 기업

■ 교육

■ 비 리

■ 개인/기타

■ ISP서비스


www.krcert.or.kr

홈페이지 변조 사고처리 현황

� 참고 사이트�제로보드 5 다운로드 : www.zeroboard.com�웹 어플리케이션 보안템플릿 : http://www.krcert.or.kr 초기화면 → 왼쪽‘웹어플리케이션보안템플릿’�홈페이지 개발 보안 가이드 : http://www.krcert.or.kr 초기화면 → 왼쪽‘홈페이지 개발 보안 가이드’�ModSecurity를이용한아파치웹서버보안 : http://www.krcert.or.kr →보안정보→기술문서→‘ModSecurity를이용한아파치웹서버보안’�WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr → 보안정보 → 기술문서 →‘WebKnight를 이용한 SQL

Injection 공격 차단’

□이번 달에는 37개 시스템(IP)의 63개 사이트(도메인)에 한 홈페이지 변조가 발생하여 피해 시스템

수는 전월(80개) 비 53.8% 감소하 고, 피해 홈페이지 수도 전월(148개) 비 57.4% 감소한 것으로

나타났다.

- 홈페이지 변조피해 건수는 감소하 으나 여전히 낮은 버전의 무료 웹 게시판 프로그램 운 , 웹

어플리케이션 개발 시 로그인 입력 값 검사 등을 제 로 하지 않아 존재하는SQL Injection 취약점

등으로 인한 웹 해킹 피해가 지속적으로 발생하고 있으므로 웹 서버 관리자들은 참고사이트 자료를

참고하여 보안조치를 강화해야 하겠다.

6337

(그림 6) 월별 홈페이지 변조 사고처리 현황

[표 8] 홈페이지 변조 사고처리 현황

구 분2006

총계

2007 2007

총계

피해홈페이지 수

피해시스템 수

3,206

1,047

498

212

287

95

148

80

63

37

1 2 3 4 5 6 7 8 9 10 11 12

� 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 IP에 수십~수백개의 홈페이지를 운 하는 경우도 있으므로 피해홈페이지 수는피해시스템 수 보다 많을 수 있음

500

400

300

200

100

0


10 2007년 3월호

(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교

[표 9] 국내 악성 봇(Bot) 감염률

구 분2006

평균

2007 2007

평균

국내 비율 12.5% 12.9%13.7% 13.0% 11.9%

1 2 3 4 5 6 7 8 9 10 11 12

악성 봇(Bot) 현황

� 전 세계 Bot 감염 추정 PC 중 국내 Bot 감염 PC가 차지하는 비율임� 봇(Bot) : 운 체제 취약점, 비 번호 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 명령 전달사이트와의 백도어 연결 등을 통하여

스팸메일 전송이나 DDoS 공격에 악용 가능한 프로그램 또는 실행가능한 코드

11.9%11.9%

(그림 7) 월별 국내 악성 봇(Bot) 감염률 추이

25%

20%

15%

10%

5%

0

100,000

80,000

60,000

40,000

20,000

0

17.0%

15.2%

4.6%

23.5%

17.2% 22.5%

17.4%

9.8%

5.1%

32.7%15.6%

19.4%


www.krcert.or.kr

□전 세계 Bot 감염추정 PC 가운데 국내 감염 PC 비율은 11.9%로 지난달에 비해 1.1%p 감소하 다.

국외IP로부터의 TCP/2967 포트 트래픽이 많았던 것에 비하여 국내 트래픽양은 많지 않아 Bot 감염

률이 감소되었다.

- Bot의 전파에 사용되는 주요 포트는 전월과 같은 NetBIOS 관련 포트인 TCP/445, TCP/139와

웹 관련 TCP/80 포트, MS-SQL 관련 포트인 TCP/1433 외에 Symantec 보안제품의 취약점

공격에 주로 사용되는 것으로 알려진 TCP/2967 포트 트래픽이 증가하 다. (그림 9)

[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록

(그림 9) 악성봇 관련 포트 비율(해외) (그림 10) 악성봇 관련 포트 비율(국내)

포 트

23

80

135

139

143

445

903

1025

1433

관련 취약점 및 웜/악성 Bot

Cisco Telnet

WebDAV, ASN.1-HTTP, Cisco HTTP

DCOM, DCOM2

NetBIOS, ASN.1-NT

IMail

NetBIOS, LSASS, WksSvc, ASN.1-SMB, DCOM

NetDevil

DCOM

MS-SQL

포 트

2967

2745

3127

3140

5000

6101

6129

17300

27347

관련 취약점 및 웜/악성 Bot

Symantec Exploit

Bagle, Bagle2

MyDoom

Optix

UPNP

Veritas Backup Exec

Dameware

Kuang2

Sub7

� 전월 악성 Bot Top5 포트 : TCP/445, TCP/139, TCP/80, TCP/135, TCP/1433

■ TCP/445

■ TCP/80

■ 기타

□ TCP/139

■ TCP/2967

■ TCP/1433

■ TCP/1433

■ TCP/80

■ 기타

□ TCP/139

■ TCP/2967

■ TCP/135

2. 허니넷/트래픽 분석

12 2007년 3월호

[표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간

구 분2007

WindowsXP SP1

1

� 생존시간의 측정은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 Windows XP SP1과Windows 2000 SP4 2개군으로 분류하여 1000 여회를 실시하 다.

� WinXP SP2는 개인방화벽이 기본으로 설치되므로 웜 감염피해를 상당부분 예방할 수 있음� 생존가능시간 : 취약한 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간

□3월 평균생존가능 시간은 Windows XP SP1는 26분45초, Windows2000 SP4는 32분47초로 측정

되었다. 전월에 비하여 WindowsXP SP1는 9분58초 Windows 2000 SP4는 11분15초 증가하 다.

지난 2007년 1월에 생존시간이 큰 폭으로 감소하 으나, 1월 이후에는 계속적으로 상승하는 경향을

보이고 있다. 생존시간의 상승 경향을 미루어 최근 네트워크 서비스취약점을 이용하는 자동 웜 전파

활동이 둔화된 것으로 추정해 볼 수 있으나, 분포분석표(그림12,13)에서 보여지는 바와 같이 감염시간은

예전과 같이 매우 짧은 시간 에 집중되는 경향을 보 다. 사용자는 인터넷 사용 시 반드시 사전패치,

추측하기 어려운 윈도우 암호설정, 백신설치를 하여 감염피해가 발생하지 않도록 사전 예방 할

필요가 있다.

(그림 11) 월별 평균 생존 가능시간 변동 추이

2-1. PC 생존시간 분석

최장

최단

평균

Windows2000 SP4

최장

최단

평균

217’08”

5”

15’19”

317’20”

5”

19’50”

2

418’25”

4”

16’47”

363’41”

8”

21’32”

365’13”

4”

26’45”

454’03”

11”

32’47”

3 4 5 6 7 8 9 10 11 12

60min

50min

40min

30min

20min

10min

0

Part 3Part 1 Part 2 허니넷/트래픽 분석


(그림 12) WindowsXP SP1 생존시간분포분석

(그림 13) Windows2000 SP4 생존시간분포분석

2.000

1,500

1,000

500

0 5 10 15 20 25Day

Min

2.000

1,500

1,000

500

0 5 10 15 20 25Day

Min

www.krcert.or.kr

14 2007년 3월호

�허니넷에유입되는트래픽은웜∙바이러스, 악성 봇 등에 의한 감염 시도 트래픽(취약점 스캔)이 가장 많으며이러한 악성코드의네트워크스캔은유효한 네크워크에 한 접근효율을 높이기 위하여, 1차적으로 감염된 시스템의 IP주소의 A, B클래스를 고정하고 C또는 D클래스 주소를변경하면서 스캔하는 경우가 부분이기 때문에 일반적으로 자국에서 유발된 유해트래픽이 해외에서 유입된 트래픽보다 많음

1) KISC - Korea Internet Security Center(인터넷침해사고 응지원센터)

□이번 달 KISC1) 허니넷에 유입된 전체 유해 트래픽은 약 1,200만건으로 전월(900만건) 보다 33% 증

가하 다. IP 소재별로 분류한 결과 국내 소재 IP로부터 유발된 트래픽은 전체의 66% 으며, 해외

소재 IP로 부터의 트래픽은 34%를 차지한 것으로 나타났다.

� 참고 : 허니넷으로 유입되는 트래픽은 초당 수백 건 이상이 될 수 있으므로 구체적인 건수는 큰 의미가 없으며, 국내외 비율 및 월별증감을 참고하기 바람

2-2. 허니넷 트래픽 분석

전체 추이

(그림 14) 월별 허니넷 유입 트래픽 규모

1,500 만

1,200 만

900 만

600 만

300 만

0



□허니넷에 유입된 트래픽의 근원지 IP소재 국가별로 분석한 결과 전월과 동일하게 중국으로부터 유입

된 트래픽이 가장 많았으며, 다음으로 미국, 일본 순이었다. 국가별 가장 많이 이용된 포트도 전월과

동일하여 중국발 트래픽은 TCP/22 포트에 한 서비스 스캔(포트스캔)이 가장 많았으며, 미국발, 일

본발 트래픽은 Nmap, Advanced IP Scanner와 같은 네트워크 스캐너 도구에 의한 ICMP 스캔이 가

장많았던것으로나타났다.

Top 3 국가별 공격 유형

(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형

[표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율

순 위

2007

1

2

3

4

5

6

7

8

9

10

39.5

28.5

5.5

3.8

3.2

2.7

1.5

1.5

1.2

1.0

11.6

중국

미국

일본

유럽연합

만

독일

체코공화국

국

홍콩

이탈리아

기타

47.3

16.6

5.6

2.9

2.6

2.4

2.2

2.1

2.0

1.4

14.9

중국

미국

일본

만

유럽연합

베니수엘라

독일

인도

불가리아

호주

기타

45.5

22.3

4.9

3.5

2.1

1.9

1.8

1.7

1.7

1.3

13.5

중국

미국

일본

유럽연합

만

홍콩

루마니아

국

독일

이탈리아

기타

1 2 3 4 5 6

국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%)

pCHINA

JAPAN

USA

35%

23%

24%

10%

65%11%

29%31%

19%12%

9%

10%

5% 9%

8%

□ TCP/22-tcp service scan

■ TCP/1433-tcp service scan



■ 기타□ ICMP-icmp ping Nmap scan




■ 기타

□ ICMP-icmp ping Nmap scan

■ UDP/135-udp service scan


■ ICMP-icmp ping Superscan4 scan

■ 기타

www.krcert.or.kr

16 2007년 3월호

□해외로부터 KISC 허니넷에 유입된 트래픽을 국가 구분 없이 포트/공격(스캔)유형별로 분석한 결과

TCP/22번 서비스스캔이 가장 많았으며, Nmap 네크워크 스캔 도구를 이용한 Ping2) 스캔이

다음으로 많았던 것으로 나타났다.

해외 → 국내

[표 13] 해외 → 국내(허니넷) 스캔탐지 현황

순 위1월 2월 3월

1

2

3

4

5

6

7

8

9

10

ICMP

TCP/22

TCP/1433

ICMP

TCP/42

ICMP

TCP/4899

TCP/8080

TCP/2967

UDP/135

기타

icmp ping Nmap scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

udp service scan

icmp ping AdvancedIP Scanner v1.4

icmp pingSuperscan4 scan

30.5

18.8

12.3

7.0

3.9

3.5

3.1

2.7

2.3

2.3

13.5

공격유형프로토콜 /포트번호

TCP/22

ICMP

TCP/1433

TCP/42

ICMP

TCP/4899

ICMP

TCP/139

TCP/8080

TCP/10000

기타

tcp service scan

icmp ping Nmap scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan



icmp pingSuperscan4 scan

27.3

21.9

16.1

6.8

4.8

3.0

2.8

2.2

2.1

2.0

11.0

TCP/22

ICMP

TCP/1433

TCP/42

TCP/8080

UDP/135

ICMP

TCP/4899

TCP/445

TCP/80

기타

tcp service scan

icmp ping Nmap scan

tcp service scan

tcp service scan

tcp service scan

udp service scan

tcp service scan

tcp service scan

tcp service scan

26.7

20.8

11.7

4.6

4.4

4.3

3.9

3.9

2.4

2.2

15.2

공격유형프로토콜 /포트번호 공격유형프로토콜/

포트번호

(그림 16) 해외 → 국내 (허니넷) 스캔탐지 현황

2) Ping - 지정된 IP주소를 사용하는 컴퓨터, 네트워크 장비 등으로의 접속을 확인하기 위한 명령, 상이 되는 장비가 가동하고 있는지, 통신망이 연결되어 있는지의 여부를 확인할 때 이용된다. 통신 규약으로는 인터넷 제어 메시지 프로토콜(ICMP)을 사용한다.

11.7%4.6%

36.2%26.7%

20.8%


■기타


■ ICMP-icmp ping Nmap scan


비율(%) 비율(%) 비율(%)



□국내 KISC 허니넷에 유입된 트래픽을 포트/공격(스캔)유형별로 분석한 결과 전월과 동일하게,

TCP/135 스캔이 가장 많았으며, TCP/1433, TCP/139번 포트스캔이 그 뒤를 이었다. 3개 포트 모두

Bot 전파에 이용되는 포트로 악성 봇 감염을 위한 스캔 트래픽으로 보인다.

국내 → 국내

[표 14] 국내 → 국내(허니넷) 스캔탐지 현황

순 위1월 2월 3월

1

2

3

4

5

6

7

8

9

10

TCP/135

TCP/1433

TCP/139

ICMP

TCP/445

TCP/22

TCP/2967

TCP/5900

UDP/500

TCP/8080

기타

tcp service scan

tcp service scan

tcp service scan

icmp ping Nmap scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

udp service scan

tcp service scan

43.7

13.1

12.7

9.9

5.9

3.4

3.2

0.9

0.7

0.6

6.1

공격유형프로토콜 /포트번호

TCP/135

TCP/139

TCP/1433

ICMP

TCP/445

TCP/22

TCP/1434

TCP/2967

TCP/5900

TCP/8080

기타

tcp service scan

tcp service scan

tcp service scan

icmp ping Nmap scan

tcp service scan

tcp service scan

worm slammer

tcp service scan

tcp service scan

tcp service scan

46.3

15.0

13.3

7.9

5.4

3.5

1.5

0.9

0.6

0.6

5.0

TCP/135

TCP/1433

TCP/139

ICMP

TCP/445

TCP/22

TCP/2967

TCP/4899

TCP/5900

TCP/8080

기타

tcp service scan

tcp service scan

tcp service scan

icmp ping Nmap scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

tcp service scan

36.7

24.2

17.4

6.8

5.4

2.4

1.3

1.0

0.9

0.5

3.4

공격유형 비율(%)프로토콜 /포트번호 공격유형 비율프로토콜/

포트번호

(그림 17) 국내 → 국내 (허니넷) 스캔탐지 현황

17.4%

6.8%

14.9%

36.7%

24.2%

■ ICMP-icmp ping Nmap scan

■ 기타




비율(%)

www.krcert.or.kr

18 2007년 3월호

□국내 ISP의 일부구간(국내 인터넷망)에서 수집된 트래픽 가운데 KISC 허니넷에서 탐지된 Top3

포트의 추이를 파악한 결과 TCP/1433번 포트 트래픽이 가장 많았으며, TCP/139, TCP/135 포

트 순이었다. 특히, MS SQL 데이터베이스 연결포트인 TCP/1433은 최근 데이터베이스 최초 설치시

설정된 초기 비 번호(Default Password)를 통하여 Vanbot과 같은 악성 봇 감염에 많이 이용되는

것으로 파악되었으므로 관리자들의 주의를 요한다.

2-3. 국내 인터넷망 트래픽 분석

(그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이

□이번달국내ISP의일부구간에서수집된공격유형을분석한결과UDP Flooding, TCP SYN Flooding

과같은 DDoS 공격 트래픽이 가장 많이 탐지되었다.

참고로 Worm slammer는 실제 slammer 웜이라기보다는 악성 봇이 감염시도를 위하여 해당 취약점

(TCP/1433)을 공격하는 패킷에 한 탐지패턴 명칭으로 이해하면 되겠다.

(그림 19) 국내 인터넷망에 유입된 공격유형

■ TCP/1433 ■ TCP/139 ■ TCP/135 ISP업계 : 프로토콜 / 포트 추이

ISP업계 : 공격 추이

시간

시간

PPS

6,000

5,000

4,000

3,000

2,000

1,000

0

시도건수

4,000,000

3,600,000

3,200,000

2,800,000

2,400,000

2,000,000

1,600,000

1,200,000

800,000

400,000

0

03

/01

19

:00

03

/02

15

:00

03

/03

11

:00

03

/04

07

:00

03

/05

03

:00

03

/05

23

:00

03

/06

19

:00

03

/07

15

:00

03

/08

11

:00

03

/09

07

:00

03

/10

03

:00

03

/10

23

:00

03

/11

19

:00

03

/12

15

:00

03

/13

11

:00

03

/14

07

:00

03

/15

03

:00

03

/15

23

:00

03

/16

19

:00

03

/17

15

:00

03

/18

11

:00

03

/19

07

:00

03

/20

03

:00

03

/20

23

:00

03

/21

19

:00

03

/22

15

:00

03

/23

11

:00

03

/24

07

:00

03

/25

03

:00

03

/25

23

:00

03

/26

19

:00

03

/27

15

:00

03

/28

11

:00

03

/29

07

:00

03

/30

03

:00

03

/30

23

:00

03

/31

19

:00

03

/01

19

:00

03

/02

15

:00

03

/03

11

:00

03

/04

07

:00

03

/05

03

:00

03

/05

23

:00

03

/06

19

:00

03

/07

15

:00

03

/08

11

:00

03

/09

07

:00

03

/10

03

:00

03

/10

23

:00

03

/11

19

:00

03

/12

15

:00

03

/13

11

:00

03

/14

07

:00

03

/15

03

:00

03

/15

23

:00

03

/16

19

:00

03

/17

15

:00

03

/18

11

:00

03

/19

07

:00

03

/20

03

:00

03

/20

23

:00

03

/21

19

:00

03

/22

15

:00

03

/23

11

:00

03

/24

07

:00

03

/25

03

:00

03

/25

23

:00

03

/26

19

:00

03

/27

15

:00

03

/28

11

:00

03

/29

07

:00

03

/30

03

:00

03

/30

23

:00

03

/31

19

:00

■ UDP Flooding ■ NETBIOS Service swee... ■ SMB Service sweep(tc...

■ worm slammer ■ TCP SYN Flooding



□KISA 및 2개 기관/업체의 바이러스 월을 통하여 수집된 웜∙바이러스를 파악한 결과 전월과 동일

하게 웹 사이트 등을 통하여 1차 감염된 후 웜∙바이러스, 트로이잔 등 악성코드 본체를 추가로 다

운로드 받는 DOWNLOADER가 가장 많았던 것으로 나타났다.

2-4. 바이러스 월 탐지 웜∙바이러스 정보

[표 15] 수집된 주요 웜∙바이러스 현황

순 위

2007

1

2

3

4

5

6

7

8

9

10

합 계

197,235

142,634

71,417

66,175

58,001

51,208

30,129

30,117

26,618

25,084

445,205

1,143,823

NOTIFIER

PWS

LINEAGE

HLLW

MULDROP

HLLM

PARITE

CLICK

STARTER

기 타

DOWNLOADER

DOWNLOADER 92,238

36,260

30,491

28,394

24,774

22,942

17,439

16,949

16,363

15,304

237,532

538,686

HLLW

PWS

MULDROP

LINEAGE

CASHPACK

PROXY

CLICK

HLLM

PARITE

기 타

DOWNLOADER 69,552

43,434

41,618

38,115

31,731

26,760

26,077

25,959

19,978

15,666

257,708

596,598

HLLW

PWS

LINEAGE

PROXY

HLLM

CASHPACK

NOBRAIN

PARITE

CLICK

기 타

1 2 3 4 5 6

명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수

www.krcert.or.kr

20 2007년 3월호

인터넷 인프라 환경이 발전하고, 디지털 방식을 이용하는 카메라, 캠코더 등의 사용이 일반화되어 감에 따라,

사용자들이 직접 동 상, 사진 등을 제작하여 인터넷에 공유하는 경우가 많아지고 있다. 이러한 사용자들이

제작한 콘텐츠 (UCC)를 서비스 형태로 제공하는 사이트도 매년 늘고 있으며, 향후에 더욱 증가할 것으로

예상된다.

인터넷을 통하여 타인이 제작한 동 상, 사진 등의 콘텐츠들을 쉽고 빠르게 공유할 수 있는 것은 사용자들

에게 큰 편리함과 만족감을 제공해 주지만, 누구나 콘텐츠를 제작하여 많은 사용자들에게 공유할 수 있다는

점을 악용할 경우, UCC가 악성코드 전파 및 해킹을 위한 수단으로 악용될 수 있다. 공격자는 사용자들이

많은 관심을 가지고 있는 Contens를 제작, 악성코드를 삽입하여 UCC 사이트에 공유하는 방식으로 해킹을

시도할 것으로 보인다. UCC에 의한 해킹피해 발생을 사전에 예방하기 위하여 OS 및 웹 브라우져와 사용하고

있는 미디어 플레이어들을 최신으로 패치하고, 백신제품을 설치 및 실시간 감시를 활성화하도록 한다.

(그림) 사용자가 제작한 해외 동 상 공유사이트“YouTube”

1. 개요

3. UCC 현황과 향후 보안위협

2. UCC 소개 및 현황

Part 1 Part 2 Part 3 월간특집

사용자가 금전적인 이익을 목적으로 하지 않고 제작한 콘텐츠를 의미하며, 디지털 카메라 등 정보통신 분야

가 발전함에 따라 일반인의 빠른 정보 생산이 가능해 지면서 최근 급격히 확산되고 있다.

가. UCC (User Created Contents)란?

UCC는 초기에는 단순히 과 사진 위주의 형태 으나, 최근에는 일반인들의 동 상 제작이 용이해지면

서, 동 상 콘텐츠 위주로 발전해 나가고 있다. 또한, UCC에 한 관심이 높아짐에 따라 이러한 서비스형

태로 운 되는 포탈 사이트도 늘어나고 있다.

나. UCC 서비스 현황


3. UCC와 보안 위협

www.krcert.or.kr

- 사용자가 제작하는 콘텐츠들이 인터넷을 통하여 다수의 이용자들에게 신속히 공유가 될 수 있다는 점은

큰 편리성을 제공하지만, 한편으로는 해킹을 위하여 제작된 공격코드가 삽입되어 있는 콘텐츠 들이 매우

쉽게 다수의 사용자에게 배포될 수 있다는 위험요소를 안고 있다.

- 또한, UCC는 포털사이트, 커뮤니티 사이트 등 인터넷 서비스 제공자가 책임을 지고 만드는 콘텐츠가

아니며, 누구라도 제작하여 배포할 수 있어 해킹에 악용될 소지가 크다.

- 사진, 동 상 등 UCC에서 이용되는 모든 콘텐츠 들은 악의적인 해커에 의하여 악용될 가능성이 있으며,

이러한 경우 UCC가 악성코드 전파를 위한 매개체 역할을 하게 된다.

가. UCC의 위험성

UCC를 통하여 발생할 수 있는 공격 및 피해유형은 여러 가지가 있을 수 있으나 표적으로 예상되는 예를

살펴보면 다음과 같다.

- 공격경로

UCC에 해당되는 모든 콘텐츠 유형은 공격에 악용될 위험성이 있으나, 표적으로 UCC로 많이 공유되

고 있는 동 상과 이미지, 플래쉬 파일등이 주요한 공격수단으로 악용될 것으로 보인다.

- 공격 형태 및 기법 예상

트로이잔 등의 악성코드를 설치하기 위한 악성 사이트를 구성해 놓은 후에, UCC를 통하여 해당 사이트

로 접속을 유도하는 형태의 공격이 많을 것으로 예상된다. (사용자가 UCC를 봄과 동시에 사용자 모르게

악성사이트로 접속이 발생하여 트로이잔 등의 코드가 설치. 설치 후에는 정보 유출) 표적인 공격유형

예를 살펴보면 다음과 같다.

나. 예상되는 UCC 해킹공격 유형

� 참고 : UCC를 이용한 해킹피해 사례국외에서 실제로 악의적인 URL이 삽입되어 있는 동 상이 Myspace, YouTube 등을 통하여 유포되는 피해가 발생함. 또한, 동 상을 볼 수 있도록 하는 코덱 프로그램 설치를 유도하여 스파이웨어를 설치하는 피해사례도 보고됨.

22 2007년 3월호


① 공격자는 트로이잔을 다운로드 받을수 있는 웹사이트를 구성함.

⑤ 주요 정보 유출

④ 공격자가 구성해 놓은 악성사이트에사용자 모르게 접속이 발생하고, 트로이잔이 다운로드되어 설치됨

② 공격자가 구성한 악성사이트(서버A)로의 접속을 발생시키는악성코드를 UCC에 삽입 후 해당콘텐츠를 UCC사이트에 올림

공격자가 구성한 악성사이트 (서버A)

공격자 사용자 PC

UCC사이트 (서버B)

③ 사용자가 UCC사이트에 접속하여동 상 다운로드

① 공격자는 트로이잔 등을 다운로드 받을 수 있는 웹사이트를 구성

(트로이잔 다운로드 및 설치를 위한 코드를 올려놓음)

② 동 상,이미지,플래쉬를 제작

해당UCC에는공격자가구성한악성사이트 (서버A)로사용자모르게접속을발생시키는악성코드를삽입함.

완성된 악성콘텐츠를 UCC 공유사이트에 올림

③ 일반사용자가 악의적인 스크립트가 삽입되어 있는 동 상을 다운로드하여 열어볼 경우 공격자가 구성해

놓은 악성사이트 (서버A)에 접속이 발생하게 되며, 해당 서버로부터 트로이잔 등의 악성코드가 다운로드

및 설치되게 됨

⑤ 악성코드 감염에 의하여, 사용자PC의 중요정보가 공격자에게로 유출됨

공격자는 UCC가 사용자 컴퓨터 내에서 악의적인 기능을 수행하도록 하기 위하여 동 상 URL스크립트 삽입

기능, 플레이어 취약점, 플래쉬의 액션스크립트 기능, 이미지 렌더링 취약점 등을 악용할 가능성이 높다.

<악의적인 수법 예>

�동 상에 URL 스크립트 삽입

�동 상 플레이어 취약점등 악용

�이미지 렌더링 취약점 등 악용

�플래쉬 액션스크립트 기능 악용

④


www.krcert.or.kr

� 동 상에 URL스크립트를 삽입하는 기법

공격자는, 악성사이트(트로이잔 다운로드 사이트)로의 접속을 유도하기 위하여 동 상에 URL스크립트를

삽입할 수 있다.

- Windows Media Player ASF 파일에 URL 삽입하는 예

Media 도구를 이용하여 동 상에 URL스크립트를 삽입하는 경우의 예이다. 아래와 같은 삽입을 통하여

동 상이 시작 된 후, 사용자가 정의한 시간에 사용자가 정의한 특정사이트로의 접속을 발생시킬 수 있다.

(그림) ASF 파일에 URL 스크립트를 삽입하는 예

(그림) URL스크립트 비활성 메뉴 예 [“도구”→“보안”]

� 참고 : 최근의 Windows Media Player 버전에서는 아래와 같이 보안옵션을 통하여 URL 스크립트 기능을 사용하지 않을 수 있도록 선택메뉴를 제공함 (기본설정 값은 OFF 임). 아래와 같은 URL 스크립트 비활성화 메뉴가 없을 경우, Windows Media Player에 한 패치(KB828026)를 실시하여 피해를 예방해야 함.

24 2007년 3월호


- QuickTime MOV 파일에 URL스크립트를 삽입하는 예

QuickTime은 컴퓨터에서 디지털미디어를 재생할 수 있는 Apple사의 소프트웨어이다. QuickTime에서도

아래와 같이 동 상에 URL삽입이 가능하다.

① 특정사이트 접속을 위한 스크립트 작성

② 동 상에 URL 스크립트를 삽입

� 미디어 플레이어, 이미지 처리 취약점 등을 공격에 악용

동 상 플레이어, 이미지 처리엔진 등에 취약점이 존재할 경우, 해당 취약점을 공격에 악용할 수 있다.

공격에 이용될 수 있는 취약점을 살펴보면 다음과 같다.

[MS06-078]

[MS06-026]

[MS06-024]

[MS06-022]

[MS06-006]

[MS06-005]

[MS06-001]

[MS05-009]

패치 번호 내 용

Windows Media Format 원격코드 실행 취약점

WMF 그래픽 렌더링 처리문제로 인한 원격 코드 실행 취약점

Windows Media Player의 비트맵 파일을 처리 취약점

ART 이미지 렌더링 취약점

Windows Media Player 플러그인의 취약점으로 인한 원격 코드 실행 문제점

Windows Media Player의 원격 코드 실행 취약점

WMF 그래픽 렌더링 처리문제로 인한 원격 코드 실행 취약점

Windows Media Player 원격 PNG 이미지 포맷 버퍼 오버플러우 취약점

[표] Microsoft Windows Media Player 취약점 / MS 이미지처리 취약점 예


www.krcert.or.kr

CVE-ID:CVE-2007-0711

번 호 내 용

□ 취약 상 제품 : Windows Vista/XP/2000

□ 취약 내용 :

악의적인 의도로 제작된 3GP파일을 보는 경우 애플리케이션이 작동을 멈추거나 임의의 코드가 실행될

수 있음. QuickTime에서 3GP 비디오파일을 사용하는 중 인티저 오버플로우가 발생함. 사용자에게 악

성비디오를 보내 사용자가 파일을 열 경우 오버플로우를 야기함으로서 애플리케이션의 중단과 임의코드

실행을 유발함

[표] QuickTime 취약점 예

CVE-ID: CVE-2007-0712

□ 취약 상 제품 : Mac OS X v10.3.9 상위 버젼, Windows Vista/XP/2000

□ 취약 내용 :

악의적인 의도로 제작된 MIDI파일을 보는 경우 애플리케이션이 작동을 멈추거나 임의의 코드가 실행될

수 있음. QuickTime에서 MIDI 파일을 사용하는 중 버퍼 오버플로우가 발생함. 사용자에게 악성

MIDI 파일을 보내 사용자가 파일을 열 경우 오버플로우를 야기함 으로서 애플리케이션의 중단과 임의

코드 실행을 유발함


□ 취약 상 제품 : Mac OS X v10.3.9 상위 버젼, Windows Vista/XP/2000

□ 취약 내용 :

악의적인 의도로 제작된 Quicktime 파일을 보는 경우 애플리케이션이 작동을 멈추거나 임의의 코드가

실행될 수 있음

QuickTime에서 QuickTime 파일을 사용하는 중 버퍼 오버플로우가 발생함. 사용자에게 악성 비디오

파일을 보내 사용자가 파일을 액세스 할 경우 오버플로우를 야기함으로서 애플리케이션의 중단과 임의

코드 실행을 유발함


□ 취약 상 제품 : Mac OS X v10.3.9 and later, Windows Vista/XP/2000

□ 취약 내용 :

악의적인 의도로 제작된 Quicktime 파일을 보는 경우 애플리케이션이 작동을 멈추거나 임의의 코드가

실행될 수 있음. QuickTime에서 비디오 파일의 UDTA 사용 중 인티저 오버플로우가 발생함.

사용자에게 악성 비디오 파일을 보내 사용자가 파일을 액세스 할 경우 오버플로우를 야기함으로서 애플

리케이션의 중단과 임의코드 실행을 유발함

곰플레이어

소프트웨어 명 내 용

스택오버플로우로 인한 원격코드실행 취약점. 비정상적인URI를 포함하는 ASX 파일처리 시 발생

※ 취약점 해결을 위하여 2.1.1버전으로 업데이트 필요

[표] 기타

WinAmp버퍼 오버플로우 취약점

※ 취약점 해결을 위하여 Winamp 5.3.1 버전으로 업데이트 필요

26 2007년 3월호


� 악성 플래쉬 파일을 이용한 공격 기법

플래쉬는GIF 기반애니메이션의한계점을극복하기위하여만들어진에니메이션저작도구및플레이어로써,

사운드 추가, 강력한 프로그램 환경인 액션 스크립트 기능추가 등 계속적으로 기능이 개선되어가고 있다.

플래쉬로 제작된 파일은 용량이 작고 웹 브라우져에서 이용이 가능하며, 기타 장점이 많아 사용자가 크게

증가하고 있다.

플래쉬에는 액션 스크립트라고 하는 강력한 프로그램밍 기능이 있는데, 이러한 기능은 공격자에 의하여

악용될소지가있다. 공격자는플래시제작시에 악성코드를설치하기위한악성사이트의URL을액션스크립트

내에 삽입하므로써, 플래쉬 실행 시 사용자 모르게 악성코드 설치를 위한 사이트로 접속하게 할 수 있다.

또한, 이미제작되어진플래쉬파일을역컴파일하여악성사이트로접속이발생하도록변조하는것도가능하다.

□사고예방을 위한 방안

현재, 미디어 소프트웨어들의 패치적용 필요성에 한 일반인들의 인식은 매우 낮다.

UCC로 인한 해킹피해를 사전예방하기 위해서는 미디어 소프트웨어들에 한 최신패치를 적용하는 것이

중요하므로, 반드시 현재의 패치현황을 점검하고, 필요할 경우 신속히 업데이트 하도록 한다. 또한, PC에

백신제품을설치하고, 최신으로패턴을업데이트하며, 실시간감시기능이활성화되어있는지점검할필요가

있다.

� 미디어 소프트웨어에 한 패치현황 점검 및 최신 버전으로 업데이트

� OS 및 웹브라우져 최신패치 적용

� 백신 설치 및 최신 패턴으로 업데이트. 실시간 감시 기능 활성화

� 신뢰되지 않은 파일은 가능한 열어보지 말기

(그림) 일반 플래쉬 파일 액션스크립트어의 역컴파일 예시


www.krcert.or.kr

- Quicktime 취약점 업데이트 예

“시작”클릭 →“모든 프로그램”클릭 →“Apple Software Update”실행

- Windows OS/ 웹브라우져 및 Windows Media Player 취약점 업데이트 예

“시작”클릭 →“모든 프로그램”클릭 →“Internet Explorer”실행 →“도구 (상단)”클릭 →

“Windows Update”클릭

□결론

UCC를 이용한 악성코드 감염 및 해킹피해 발생 위험성은 최근 UCC의 이용확산과 비례하여 높아지고

있으므로 주의와 관심이 필요하다. UCC는 동 상 및 이미지, 플래쉬 파일 외에도 그 범위가 매우 넓으며,

이러한 모든 유형의 콘텐츠가 공격에 악용될 소지가 있다. 최근 인터넷에는 신뢰할 수 없는 수많은 미디어

파일들이 넘쳐나고 있으며, 부분의 이용자들이 아무런 주의없이 미디어 파일을 접하고 있으므로 위험성은

더 커질 수 있을 것으로 보인다.

향후에, Third-Party 미디어 관련 도구를 공격하는 사례도 증가할 것으로 예상되므로, 이러한 소프트웨어에

한 패치관리에도 관심이 필요하다.

사용자PC가 일단 악성코드에 감염되게 되면 PC내의 모든 중요한 정보가 공격자에게 유출될 수 있으므로,

OS 및 미디어 도구에 한 패치실시, 백신설치, 신뢰되지 않은 파일은 열어보지 말기 등을 통하여 UCC로

인한 피해발생을 사전 예방할 필요가 있다.

28 2007년 3월호

악성코드 유포지/경유지 조기 탐지 및 차단 조치

KISA 인터넷침해사고 응지원센터에서는 국내 웹사이트에 악성코드가 삽입되어 웹사이트 방문자에게 게

임 ID/비 번호를 유출하는 트로이잔을 감염시키는 사례가 발생하여‘05년 6월부터 지속 응하여 왔으며,

’05. 12월부터는 악성코드 은닉사이트 탐지 프로그램을 자체 개발∙적용하여 약 77,000개의 국내 웹 사이

트를 상으로 악성코드 은닉 여부를 탐지 및 차단 조치하고 있다.

악성코드 유포지 및 경유지로 악용된 사이트를 기관별로 분류하면 기업, 기타(개인), 비 리 홈페이지 순이

었으며, 특히 기업으로 분류된 .co.kr, com 도메인이 악성코드 유포지/경유지 사이트로 많이 악용되는 것

으로 나타났다.

□이는 해커가 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포지/경유지 사이트로 악

용하고 있는 것으로 판단된다.

유포지

경유지

합계

993

5,624

6,617

108

372

480

90

307

397

126

349

475

324

1,028

1,352

기 관2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

1. 개요

2. 전체 추이

3. 기관별 분류

별 첨

‘07년 3월 KISA에서 탐지하여 응한 악성코드 유포지 및 경유지 사이트는 475건으로 전월 비 19.6%

(397 → 475건) 증가하 다.

□악성코드 경유지사이트 수는 전월 비 13.7%(307 → 349건) 증가하 고, 유포사이트 수는 전월에

비하여 40.0%(90 → 126건) 증가한 것으로 나타났다.

□각 기관(기업)의 웹 서버 관리자는 웹페이지가 악성코드 유포 및 경유지로 악용되는 피해예방을 위

해 웹서버 해킹에 주로 사용되는 SQL Injection 등의 취약점에 한 보안 책을 마련하는 것이 중

요하다.

� 참고 사이트

ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr 초기화면

→ 왼쪽‘공개 웹 방화벽을 이용한 홈페이지 보안’

WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr 초기화면

→ 왼쪽‘공개 웹 방화벽을 이용한 홈페이지 보안’

홈페이지 개발 보안가이드 : http://www.krcert.or.kr 초기화면 → 왼쪽‘홈페이지 개발 보안가이드’

웹 어플리케이션 보안 템플릿 : http://www.krcert.or.kr 초기화면 → 왼쪽‘웹 어플리케이션 보안 템플릿’

[표] 악성코드 유포지/경유지 사고 처리건수


www.krcert.or.kr

악성코드 유포지 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 IIS 웹서버가 63.2%, Apache 웹

서버가 2.7%, 기타 34.1%로 분류되었다.

[표] 악성코드 유포지/경유지 사이트 웹서버 별 분류

4. 웹서버별 분류

[표] 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류

기업

학

비 리

연구소

네트워크

기타(개인)

총계

4,274

154

649

24

215

1,301

6,617

296

10

33

0

15

126

480

232

5

27

0

13

120

397

280

1

9

0

14

171

475

808

16

69

0

42

147

1,352

� 기관 분류기준 : 기업(co, com), 학(ac), 비 리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 등)

(그림) 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류

기 관2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

� 웹서버별 구분 자료는 각 운 체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임� 악성코드 유포지/경유지 사이트가 이미 폐쇄되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음

MS IIS

Apache

기타

합계

5,039

151

1,427

6,617

334

4

142

480

244

12

141

397

300

13

162

475

878

29

445

1,352

웹서버2007 2007

총계

2006

총계 1 2 3 4 5 6 7 8 9 10 11 12

기업58.9%

기타(개인)36.0%

네트워크 2.9%

비 리 1.9%연구소 0%

학 0.2%

30 2007년 3월호

프로토콜 관련 악성코드

[trojan] Adore sshd, [trojan] Shaft

Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle,

Yaha,Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor,

Executor, Hooker, RingZero, Seeker, WAN Remote,

Web Server CT, WebDownloader, Zombam

Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv,

Lovgate, Spybot

God Message worm, Netlog, Qaz, Deborms, Moega,

Yaha

Agobot, Deloder, Yaha, Randex, Welchia, Polybot,

Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix,

Zotob, IRCBot, SDBot

Dasher, Remote Storm, ABCHlp, Lala, Keco

MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy

Spida, SQL Snake

SQL Slammer

Bagle

OptixPro, Mockbot

RAdmin Port

Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d,

Bobax, Trojan.Webus

Mockbot.

SSH Remote Login Protocol

World Wide Web, HTTP

DCE endpoint resolution,

MS-RPC

Netbios-ssn

netbios-ds

network blackjack

SOCKS Protocol

Microsoft-SQL-Server

Microsoft-SQL-Server

urbisnet

NetworkLens SSL Event

radmin-port

commplex-main

DameWare

TCP

TCP

TCP/UDP

TCP

TCP

TCP/UDP

TCP/UDP

TCP/UDP

TCP

TCP

TCP/UDP

TCP

TCP/UDP

TCP/UDP

포트번호

22

80

135

139

445

1025

1080

1433

1434

2745

3410

4899

5000

6129

서비스

주요포트별 서비스 및 관련 악성코드

부 록


용어정리

www.krcert.or.kr

구 분 내 용

구성설정오류 공격

바이러스(Virus)

바이러스 월(Virus Wall)

버퍼오버플로우(Buffer Overflow)

봇(Bot)

분산서비스거부공격(DDoS : Distributed DoS)

불법자원사용

불법침입

서비스거부공격(DoS : Denial of Service)

스파이웨어(Spyware)

스팸릴레이(Spam Relay)

허니넷

악성프로그램

악성프로그램 공격

애드웨어(Adware)

웜(Worm)

운 체제 및 응용프로그램의 설정 오류(위험성이 있는 기본설정의 사용, 사용자 편의를 위한

설정 조정 등)를 이용하는 해킹기법으로 홈페이지 위∙변조, 불법침입 등에 주로 이용됨

컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여

불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드

네트워크 환경 내부에 인-라인(In-line) 상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽 상의

네트워크 바이러스를 예방 및 차단하는 시스템

메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어 으로써 호출 프로그램으로의 복귀오류 등

을 일으켜 정상적인 프로그램의 실행을 방해하는 표적인 공격기법

운 체제 취약점, 비 번호의 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전

달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램

또는 실행 가능한 코드

DoS용 에이전트를 여러 개의 시스템에 설치하고, 이 에이전트를 제어하여 DoS 공격을 함으로써 보

다 강력한 공격을 시도할 수 있으며, 공격자에 한 추적 및 공격트래픽의 차단을 어렵게 만드는 공

격 형태

정당한 권한 없이 특정 시스템을 스팸릴레이, 피싱사이트 개설 등에 이용하는 행위

주요 정보∙자료를 수집 또는 유출하기 위하여 정당한 권한 없이 시스템에 침입하는 행위

특정 네트워크에서 허용하는 역폭을 모두 소모시키거나, 공격 상(victim) 시스템의 자원(CPU, 메

모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 한 공격으로 서비스를

못하도록 만드는 공격

이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템, 데이터 또는 프로그램 등을 훼손∙멸

실∙변경∙위조하거나 정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램. 즉, 이용자

의 동의 없이, 웹브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운 을 방해∙

중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집∙전송하는 등의 행위를 하는

프로그램

스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용

KISA 인터넷침해사고 응지원센터 내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위,

웜∙바이러스 등을 수집

사용자의 시스템에 설치되어 백도어를 오픈하여 정보를 유출하거나, 시스템의 정상적인 동작을 방해

하는 프로그램

컴퓨터 시스템에 악성프로그램을 설치하게 유도하거나 고의로 감염시키는 해킹기법으로 주로 백

도어 등을 이용하여 상 방의 주요 정보를 빼내기 위한 목적으로 이용함

사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가

의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드

독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한

코드

32 2007년 3월호

구 분 내 용

공격징후 탐지를 위하여 KISA에서 전국 45개 주요도시에 설치한 센서

상시스템의운 체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨

시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위

자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도

하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드

정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기

수법으로 Bank Fraud, Scam이라고도 함

다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나, 정보시스템의 정상적인 기능이나 데이터에 임의적

으로 간섭하는 행위

개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과 스크립팅

을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를 제공함

많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크

인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤

상 방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 E-mail을 보냄으로써 상

방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨

응용프로그램들이 HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공

KISA내 침해사고 응팀(CERT)으로서, 국내에서 운 되고 있는 인터넷 망의 침해사고 응 활동을 지원

하고, 전산망 운용기관 등에 해 통일된 협조 체제를 구축하여, 국제적 침해사고 응을 위한 단일창구를

제공하기 위하여 설립됨

License Logging Service의약자로MS서버제품에 한라이센스를고객이관리할수있도록해주는도구

네트워크의 기본적인 입출력을 정의한 규약

Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의 일종

으로서 서로 다른 응용프로그램이나 플랫폼이 데이터를 공유하는데 사용

Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX

환경에서 아이콘 등에 많이 사용

Server Message Block의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜

TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을 보내서

상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격

많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한 서비스

윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있다.

지역센서

취약점정보수집 공격

침입시도

트로이잔(Trojan)

피싱(Phishing)

해킹(Hacking)

ASP.NET

Botnet

DHTML Editing

Component ActiveX

E-mail 관련 공격

Hyperlink 개체 라이브러리

KrCERT/CC

LLS

NetBIOS

OLE/COM

PNG

SMB

TCP Syn Flooding

Windows SharePoint

Services

Windows Shell

12010 인터넷침해사고동향및분석월보 2007 03 ·...

Documents

Transcript of 12010 인터넷침해사고동향및분석월보 2007 03 ·...