12010 인터넷침해사고동향및분석월보 2007 03 ·...
Transcript of 12010 인터넷침해사고동향및분석월보 2007 03 ·...
03March 2007
인터넷침해사고 동향 및 분석 월보
1 20 10
� 본 보고서내 정부승인통계는 웜∙바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도,
기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 한 이해를 돕기 위하여 기술된 악성봇
감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다.
� 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처
[자료 : 한국정보보호진흥원 인터넷침해사고 응지원센터]를 명시하여 주시기 바랍니다.
Contents
월간 동향 요약. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
침해사고 통계 분석
1-1. 증감 추이(전월 비) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1-2. 침해사고 통계 요약 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1-3. 침해사고 통계 현황
�웜∙바이러스 신고건수 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
�주요 웜∙바이러스별 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1-4. 해킹
�해킹 사고 접수∙처리 건수 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
�피해 기관별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
�피해 운 체제별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
�피싱 경유지 신고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
�홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
�악성 봇(Bot) 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
허니넷/트래픽 분석
2-1. PC 생존시간 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2-2.허니넷 트래픽 분석
�전체 추이. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
�Top 3 국가별 공격유형 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
�해외 → 국내. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
�국내 → 국내. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2-3.국내 인터넷망 트래픽 분석. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2-4.바이러스 월 탐지 웜∙바이러스 정보 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
월간특집
UCC 현황과 향후 보안위협. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Part 1
Part 2
Part 3
-Ⅰ-
<별첨> 악성코드 유포지/경유지 조기 탐지 및 차단 조치. . . . . . . . . . . . . . . . . . . . . . . . 28
<부록> 주요포트 별 서비스 및 관련 악성코드. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
<용어정리>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
표 차례
[표 1] 월간 침해사고 전체 통계. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
[표 2] 월별 국내 웜∙바이러스 신고 건수. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
[표 3] 주요 웜∙바이러스 신고현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
[표 4] 해킹사고 처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
[표 5] 해킹사고 피해 기관별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
[표 6] 해킹사고 피해 운 체제별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
[표 7] 피싱 경유지 신고 건수 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
[표 8] 홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
[표 9] 국내 악성 봇(Bot) 감염률 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
[표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간 . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
[표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
[표 13] 해외 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
[표 14] 국내 → 국내(허니넷) 스캔탐지 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
[표 15] 수집된 주요 웜∙바이러스 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
그림 차례
(그림 1) 월별 침해사고 전체 통계 그래프 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
(그림 2) 월별 국내 웜∙바이러스 신고 건수 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
(그림 3) 해킹사고 접수∙처리 건수 유형별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
(그림 4) 해킹사고 피해 기관별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
(그림 5) 월별 피싱 경유지 신고건수. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
(그림 6) 월별 홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
(그림 7) 월별 국내 악성 봇(Bot) 감염률 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
(그림 9) 악성봇 관련 포트 비율(해외) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
(그림 10) 악성봇 관련 포트 비율(국내) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
(그림 11) 월별 평균 생존 가능시간 변동 추이. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
(그림 12) Windows XP SP1 생존시간 분포 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
(그림 13) Windows 2000 SP4 생존시간 분포 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
(그림 14) 월별 허니넷 유입 트래픽 규모. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
(그림 16) 해외 → 국내(허니넷) 스캔탐지 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
(그림 17) 국내 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
(그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
(그림 19) 국내 인터넷망에 유입된 공격유형 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
-Ⅱ-
MS Windows .ani
원격코드실행취약점
으로인한 피해주의
공개웹게시판제로보드
SQL 인젝션 취약점
패치 권고
MSN 메신저 사용시
악성코드감염피해주의
o Windows 2000 SP4
o Windows XP SP2
o Windows Server 2003
o Windows Vista
제로보드 4.1 pl8 및 이전
버전
o MSN 메신저 사용자
- 백신 프로그램 업데이트
- 출처가불분명한이메일과
신뢰되지않은웹사이트 방문주의
- 해당취약점(MS07-017)에 한
윈도우 보안업데이트 실시
- 우측 참고 사이트을 참고하여 취약점이
보완된 프로그램을 설치하거나, 취약한
파일(download.php)을 보완
- 메신저로 전달되는 출처가 불분명한
파일열람 및 실행금지
http://www.microsoft.com/tec
hnet/security/bulletin/MS07-
017.mspx
http://www.nzeo.com/bbs/zbo
ard.php?id=cgi_download2&n
o=55
http://www.krcert.or.kr/→
보안정보 → 보안공지→“MSN 메신
저 사용시 악성코드 감염 피해 주의”
� 보안 공지사항에 한 보다 자세한 내용은 KISA 인터넷침해사고 응지원센터 홈페이지 공지사항 (http://www.krcert.or.kr/
→ 보안정보 → 보안공지)에서 확인할 수 있습니다.
월간 동향 요약
인터넷 침해사고 동향 및 분석 월보1
□MS 윈도우 커서 및 아이콘의 모양변환, 애니메이션기능을 지원하는 파일포맷(.ani) 처리모듈에 원격
코드 실행이 가능한 취약점을 공격하여 사용자 PC를 감염시키는 악성코드 은닉사이트가 발견됨에
따라, 해당 사이트를 긴급 차단조치하고, 추가 은닉사이트를 탐지하는 등 모니터링을 강화하고 있음
- 인터넷이용자는 출처가 불분명한 이메일 열람 및 일반적으로 신뢰되지 않은 웹 사이트 방문시 특히
주의하여야 하며, 백신프로그램을 최신버전으로 업데이트하고 해당 취약점(MS07-017)에 한
보안업데이트를 신속히 적용하여 악성코드 감염피해를 예방하여야 함
□웜∙바이러스 피해신고는 전월에 비하여 47.1% 감소
□해킹신고 처리는 전월 비 2.6% 증가 (스팸릴레이, 단순침입시도는 각각 0.3%, 125% 증가, 피싱
경유지, 기타해킹, 홈페이지변조는 각각 46.1%, 4.4%, 57.4% 감소)
□전 세계 Bot 감염 PC 비 국내 Bot 감염 PC 비율 11.9%로 전월 비 1.1%p 감소
□Windows XP SP1 : 26분45초 (전월 비 9분58초 증가 ↑)
□Windows 2000 SP4 : 32분47초 (전월 비 11분15초 증가 ↑)
제 목 향받는 제품/사용자 향력/예방 및 책 참고 사이트
핫 이슈
주요 취약점, 웜∙바이러스
통계 분석
PC 생존시간
구 분
웜∙바이러스
해킹신고처리
악성 봇(Bot)
�스팸릴레이
�피싱경유지
�단순침입시도
�기타해킹
�홈페이지 변조
통계 요약
총 329건 : 전월( 622건) 비 47.1% 감소
총 2,247건 : 전월(2,189건) 비 2.6% 증가
총 1,477건 : 전월(1,473건) 비 0.3%증가
총 96건 : 전월( 178건) 비 46.1%감소
총 414건 : 전월( 184건) 비 125% 증가
총 197건 : 전월( 206건) 비 4.4%감소
총 63건 : 전월( 148건) 비 57.4%감소
전 세계 Bot감염 추정PC 비 국내감염율은 11.9%로 전월(13.0%) 비 1.1%p 감소
[표 1] 월간 침해사고 전체 통계
구 분2006
총계
2007 2007
총계
웜∙바이러스
해킹신고처리
악성 봇(Bot)
7,789
26,808
14,055
1,266
3,711
4,570
3,206
12.5%
1,469
6,594
4,175
364
925
632
498
12.9%
518
2,158
1,225
90
327
229
287
13.7%
622
2,189
1,473
178
184
206
148
13.0%
329
2,247
1,477
96
414
197
63
11.9%
1 2 3 4 5 6 7 8 9 10 11 12
1-1. 증감 추이(전월 비)
1-2. 침해사고 통계 요약
3293299
611
6311.9%1 .9
1,477
96
웜∙바이러스 신고 접수건수 스팸릴레이 신고 처리건수 피싱 경유지 신고 처리건수
단순침입시도+기타해킹신고 처리 홈페이지 변조사고 처리건수 악성 봇(Bot) 감염비율
1. 침해사고 통계분석
2 2007년 3월호
Part 2 Part 3Part 1 침해사고 통계분석
�스팸릴레이
�피싱경유지
�단순침입시도
�기타해킹
�홈페이지변조
(그림 1) 월별 침해사고 전체 통계 그래프
1,400
1.200
1,000
800
600
400
200
0
2,000
1,500
1,000
500
0
200
160
120
80
40
0
2,000
1,500
1,000
500
0
1,000
800
600
400
200
0
30%
20%
10%
0
[표 2] 월별 국내 웜∙바이러스 신고 건수
구 분2006
총계
2007 2007
총계
신고건수 7,789 1,469518 622 329
1 2 3 4 5 6 7 8 9 10 11 12
1-3. 침해사고 통계 현황
웜∙바이러스 신고건수 추이
인터넷 침해사고 동향 및 분석 월보3
www.krcert.or.kr
� 웜∙바이러스 신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가 공동으로 집계한 결과임
□‘07년 3월에 국내 백신업체와 KISA에 신고된 웜∙바이러스 신고건수는 329건으로 전월(622건)에
비하여 47.1% 감소하 다.
- 이번 달에는 전월에 1위를 차지하 던, 자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판,
자료실 등을 통하여 감염되는 것으로 알려진 AGENT(트로이잔 종류)를 포함한 웜∙바이러스 피해
신고건수가 전반적으로 감소하 다.
329329
(그림 2) 월별 국내 웜∙바이러스 신고 건수
1,400
1,200
1,000
800
600
400
200
0
Part 2 Part 3Part 1 침해사고 통계분석
4 2007년 3월호
[표 3] 주요 웜∙바이러스 신고현황
순 위
2007
1
2
3
4
5
6
7
8
9
10
150
136
32
19
15
15
14
13
13
10
101
518
BAGLE
BAGZ
BANLOAD
DOWNLOADER
IRCBOT
VIKING
PARITE
XEMA
DELLBOY
LINEAGEHACK
기 타
합 계
73
64
45
44
27
26
17
15
14
13
284
622
AGENT
DOWNLOADER
XEMA
HUPIGON
LINEAGEHACK
KORGAMEHACK
QQPASS
GRAYBIRD
BAGLE
IRCBOT
기 타
31
22
16
16
13
11
11
10
9
8
182
329
IRCBOT
DOWNLOADER
XEMA
AGENT
VIKING
BAGLE
LINEAGEHACK
MATORYHACK
KORGAMEHACK
BO
기 타
1 2 3 4 5 6
주요 웜∙바이러스별 현황
□신고된 웜∙바이러스를 명칭별로 분류한 결과 지난달에 1위를 차지하 던 AGENT는 이번달에 피해
신고가 감소하여 4위를 차지하 으며, IRCBOT 변종에 의한 피해신고가 건수는 많지 않으나 이번달
에 1위를 차지하 다.
명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수
인터넷 침해사고 동향 및 분석 월보5
www.krcert.or.kr
1-4. 해킹
스팸릴레이
피싱경유지
단순침입시도
기타해킹
홈페이지변조
합계
14,055
1,266
3,711
4,570
3,206
26,808
1,225
90
327
229
287
2,158
1,473
178
184
206
148
2,189
1,477
96
414
197
63
2,247
4,175
364
925
632
498
6,594
� 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고 응기관이나 위장사이트의 상이 된 기관 또는 업체, 일반사용자로부터 신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수
� 단순침입시도 : KISA에서 접수∙처리한 해킹사고 중 웜∙바이러스 등으로 유발된 스캔(침입시도)을 피해자(관련기관)가 신고한 건수
� 기타해킹 : KISA에서 접수∙처리한 해킹사고 중 스팸릴레이, 피싱 경유지, 단순침입시도를 제외한 나머지 건수
구 분2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
[표 4] 해킹사고 처리 현황
해킹 사고 접수∙처리 건수 추이
(그림 3) 해킹사고 접수∙처리 건수 유형별 분류
□‘07.3월 KISA에서 처리한 해킹사고는 2,247건으로 전월(2,189건) 비 2.6% 증가 하 다.
- 해킹사고 항목별로 전월 비 증감을 파악한 결과, 스팸릴레이, 단순침입시도는 각각 0.3%, 125%
증가하 으며, 피싱경유지, 기타해킹, 홈페이지변조는 각각 46.1%, 4.4%, 57.4% 감소한 것으로
나타났다.
- 항목별로 차지하는 비율은 스팸릴레이(65.7%)가 가장 많았으며, 다음으로 단순침입시도(18.4%),
기타해킹(8.8%) 순이었다.
65.7%4.3%
18.4%
8.8%
2.8%
□ 스팸릴레이
■ 피싱경유지
■ 단순침입시도
■ 기타해킹
■ 홈페이지 변조
Part 2 Part 3Part 1 침해사고 통계분석
개인82.6%
기업8.4%
학7.7%
비 리 1.0%
네트워크 0.3%
6 2007년 3월호
피해 기관별 분류
기업
학
비 리
연구소
네트워크
기타(개인)
합계
[표 5] 해킹사고 피해 기관별 분류
3,689
1,094
714
16
307
20,988
26,808
435
95
46
1
27
1,554
2,158
241
75
33
0
11
1,829
2,189
188
173
23
1
7
1,855
2,247
864
343
102
2
45
5,238
6,594
� 기관 분류기준 : 기업(co, com), 학(ac), 비 리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 또는 ISP에서 제공하는 유동 IP 사용자)
□해킹사고를 피해 기관별 분류한 결과, 기타
(개인), 기업, 학, 비 리의순으로나타났다.
전월과 마찬가지로 기타(개인)으로 분류된
경우가 83%로 가장 많았는데, 침해사고관
련 IP가 주로 ISP에서 제공하는 유동 IP(주
로 개인용 컴퓨터)인 경우를 기타(개인)으로
분류하 다.
기 관2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
(그림 4) 해킹사고 피해 기관별 분류
피해 운 체제별 분류
[표 6] 해킹사고 피해 운 체제별 분류
� 운 체제별 분류 자료는 각 운 체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임
□해킹사고 처리결과를 운 체제별로 분류한 결과는 전월과 마찬가지로 Windows, Linux 운 체제
순이었다. Windows 운 체제가 차지하는 비율은 93.8%로 전월과 마찬가지로 가장 많았다.
Windows
Linux
Unix
기타
합계
22,193
3,616
48
951
26,808
1,868
200
0
90
2,158
1,980
148
2
59
2,189
2,108
90
1
48
2,247
5,956
438
3
197
6,594
운 체제2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
96
인터넷 침해사고 동향 및 분석 월보7
www.krcert.or.kr
피싱 경유지 신고처리 현황
� 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고 응기관이나 위장사이트의 상이 된 기관 또는 업체, 일반사용자로부터 신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임
□이번달 피싱 경유지 신고건수는 총 96건으로, 전월(178건) 비 82건이 감소하 다.
지난 2월에는 미국 WellsFargo은행 피싱사이트 신고건으로 인해 건수가 급증하 으나,
이달에는 월 평균 수준으로 회복되었다.
□피싱 상기관 유형으로는 여전히 금융기관이 전체의 82.3%로 가장 큰 비중을 차지하 다.
기 관
금융기관
전자상거래
기타
합계
건 수
79
17
0
96
(그림 5) 월별 피싱 경유지 신고건수
[표 7] 피싱 경유지 신고 건수
구 분2006
총계
2007 2007
총계피싱경유지신고건수 1,266 36490 178 96
1 2 3 4 5 6 7 8 9 10 11 12
금융기관
82.3%
전자상거래17.7%
200
160
120
80
40
0
Part 2 Part 3Part 1 침해사고 통계분석
8 2007년 3월호
건 수
33
9
7
2
45
96
□피싱 상기관 및 신고건수를 국가별로 분류한 결과, 총 6개국 35개 기관으로 집계되었다. 소속 국가
별로는미국이27개(77.1%)기관, 신고건수85건(88.5%)을차지하여, 이달에도전월과동일하게국내
신고건의 부분을미국이차지하 음을알수있다. 이달에는지난달(22개)에비해13개기관이증가
하 는데, 미국 중소규모의 카드금융기관들이 많이 포함된 것이 특징이다.
□피싱 경유지로 악용된 국내 사이트를 기관유형별로 분류한 결과, 기업 33건(34.4%), 교육 9건
(9.4%), 비 리 7건(7.3%), 개인/기타 2건(2.0%) 등의 순으로 집계되었으며, 홈페이지가 없거나
Whois 정보에 ISP 관리 역으로만 나와 연락처를 확인할 수 없는 경우에 해당되는‘ISP서비스이
용자’유형이 45건(46.9%)으로 나타났다.
□피싱경유지시스템에서이용된포트는이달에도표준HTTP포트인80포트를이용한경우가78건
(81.3%)으로지난달80포트비율(95.0%)에비해약13.7%가감소하 다.
구 분
미국
독일
스페인
캐나다
국
홍콩
총 6개국
기관 분류
금융기관
전자상거래
기타
금융기관
“
“
“
“
-
기관수
25
2
0
2
2
2
1
1
35
67
18
0
4
2
3
1
1
96
신고건수
85
기관유형
기업
교육
비 리
개인/기타
ISP서비스이용자
합계
건 수
78
1
15
1
1
96
포 트
80
82
84
8080
40
합계
ISP 서비스46.9%
기업34.4%
교육9.4%비 리
7.3%개인/기타2.0%
80 포트81.3%
84 포트15.6%□ 80 포트
■ 82 포트
■ 84 포트
■ 8080 포트
■ 40 포트
□ 기업
■ 교육
■ 비 리
■ 개인/기타
■ ISP서비스
인터넷 침해사고 동향 및 분석 월보9
www.krcert.or.kr
홈페이지 변조 사고처리 현황
� 참고 사이트�제로보드 5 다운로드 : www.zeroboard.com�웹 어플리케이션 보안템플릿 : http://www.krcert.or.kr 초기화면 → 왼쪽‘웹어플리케이션보안템플릿’�홈페이지 개발 보안 가이드 : http://www.krcert.or.kr 초기화면 → 왼쪽‘홈페이지 개발 보안 가이드’�ModSecurity를이용한아파치웹서버보안 : http://www.krcert.or.kr →보안정보→기술문서→‘ModSecurity를이용한아파치웹서버보안’�WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr → 보안정보 → 기술문서 →‘WebKnight를 이용한 SQL
Injection 공격 차단’
□이번 달에는 37개 시스템(IP)의 63개 사이트(도메인)에 한 홈페이지 변조가 발생하여 피해 시스템
수는 전월(80개) 비 53.8% 감소하 고, 피해 홈페이지 수도 전월(148개) 비 57.4% 감소한 것으로
나타났다.
- 홈페이지 변조피해 건수는 감소하 으나 여전히 낮은 버전의 무료 웹 게시판 프로그램 운 , 웹
어플리케이션 개발 시 로그인 입력 값 검사 등을 제 로 하지 않아 존재하는SQL Injection 취약점
등으로 인한 웹 해킹 피해가 지속적으로 발생하고 있으므로 웹 서버 관리자들은 참고사이트 자료를
참고하여 보안조치를 강화해야 하겠다.
6337
(그림 6) 월별 홈페이지 변조 사고처리 현황
[표 8] 홈페이지 변조 사고처리 현황
구 분2006
총계
2007 2007
총계
피해홈페이지 수
피해시스템 수
3,206
1,047
498
212
287
95
148
80
63
37
1 2 3 4 5 6 7 8 9 10 11 12
� 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 IP에 수십~수백개의 홈페이지를 운 하는 경우도 있으므로 피해홈페이지 수는피해시스템 수 보다 많을 수 있음
500
400
300
200
100
0
Part 2 Part 3Part 1 침해사고 통계분석
10 2007년 3월호
(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교
[표 9] 국내 악성 봇(Bot) 감염률
구 분2006
평균
2007 2007
평균
국내 비율 12.5% 12.9%13.7% 13.0% 11.9%
1 2 3 4 5 6 7 8 9 10 11 12
악성 봇(Bot) 현황
� 전 세계 Bot 감염 추정 PC 중 국내 Bot 감염 PC가 차지하는 비율임� 봇(Bot) : 운 체제 취약점, 비 번호 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 명령 전달사이트와의 백도어 연결 등을 통하여
스팸메일 전송이나 DDoS 공격에 악용 가능한 프로그램 또는 실행가능한 코드
11.9%11.9%
(그림 7) 월별 국내 악성 봇(Bot) 감염률 추이
25%
20%
15%
10%
5%
0
100,000
80,000
60,000
40,000
20,000
0
17.0%
15.2%
4.6%
23.5%
17.2% 22.5%
17.4%
9.8%
5.1%
32.7%15.6%
19.4%
인터넷 침해사고 동향 및 분석 월보11
www.krcert.or.kr
□전 세계 Bot 감염추정 PC 가운데 국내 감염 PC 비율은 11.9%로 지난달에 비해 1.1%p 감소하 다.
국외IP로부터의 TCP/2967 포트 트래픽이 많았던 것에 비하여 국내 트래픽양은 많지 않아 Bot 감염
률이 감소되었다.
- Bot의 전파에 사용되는 주요 포트는 전월과 같은 NetBIOS 관련 포트인 TCP/445, TCP/139와
웹 관련 TCP/80 포트, MS-SQL 관련 포트인 TCP/1433 외에 Symantec 보안제품의 취약점
공격에 주로 사용되는 것으로 알려진 TCP/2967 포트 트래픽이 증가하 다. (그림 9)
[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록
(그림 9) 악성봇 관련 포트 비율(해외) (그림 10) 악성봇 관련 포트 비율(국내)
포 트
23
80
135
139
143
445
903
1025
1433
관련 취약점 및 웜/악성 Bot
Cisco Telnet
WebDAV, ASN.1-HTTP, Cisco HTTP
DCOM, DCOM2
NetBIOS, ASN.1-NT
IMail
NetBIOS, LSASS, WksSvc, ASN.1-SMB, DCOM
NetDevil
DCOM
MS-SQL
포 트
2967
2745
3127
3140
5000
6101
6129
17300
27347
관련 취약점 및 웜/악성 Bot
Symantec Exploit
Bagle, Bagle2
MyDoom
Optix
UPNP
Veritas Backup Exec
Dameware
Kuang2
Sub7
� 전월 악성 Bot Top5 포트 : TCP/445, TCP/139, TCP/80, TCP/135, TCP/1433
■ TCP/445
■ TCP/80
■ 기타
□ TCP/139
■ TCP/2967
■ TCP/1433
■ TCP/1433
■ TCP/80
■ 기타
□ TCP/139
■ TCP/2967
■ TCP/135
2. 허니넷/트래픽 분석
12 2007년 3월호
[표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간
구 분2007
WindowsXP SP1
1
� 생존시간의 측정은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 Windows XP SP1과Windows 2000 SP4 2개군으로 분류하여 1000 여회를 실시하 다.
� WinXP SP2는 개인방화벽이 기본으로 설치되므로 웜 감염피해를 상당부분 예방할 수 있음� 생존가능시간 : 취약한 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간
□3월 평균생존가능 시간은 Windows XP SP1는 26분45초, Windows2000 SP4는 32분47초로 측정
되었다. 전월에 비하여 WindowsXP SP1는 9분58초 Windows 2000 SP4는 11분15초 증가하 다.
지난 2007년 1월에 생존시간이 큰 폭으로 감소하 으나, 1월 이후에는 계속적으로 상승하는 경향을
보이고 있다. 생존시간의 상승 경향을 미루어 최근 네트워크 서비스취약점을 이용하는 자동 웜 전파
활동이 둔화된 것으로 추정해 볼 수 있으나, 분포분석표(그림12,13)에서 보여지는 바와 같이 감염시간은
예전과 같이 매우 짧은 시간 에 집중되는 경향을 보 다. 사용자는 인터넷 사용 시 반드시 사전패치,
추측하기 어려운 윈도우 암호설정, 백신설치를 하여 감염피해가 발생하지 않도록 사전 예방 할
필요가 있다.
(그림 11) 월별 평균 생존 가능시간 변동 추이
2-1. PC 생존시간 분석
최장
최단
평균
Windows2000 SP4
최장
최단
평균
217’08”
5”
15’19”
317’20”
5”
19’50”
2
418’25”
4”
16’47”
363’41”
8”
21’32”
365’13”
4”
26’45”
454’03”
11”
32’47”
3 4 5 6 7 8 9 10 11 12
60min
50min
40min
30min
20min
10min
0
Part 3Part 1 Part 2 허니넷/트래픽 분석
인터넷 침해사고 동향 및 분석 월보13
(그림 12) WindowsXP SP1 생존시간분포분석
(그림 13) Windows2000 SP4 생존시간분포분석
2.000
1,500
1,000
500
0 5 10 15 20 25Day
Min
2.000
1,500
1,000
500
0 5 10 15 20 25Day
Min
www.krcert.or.kr
14 2007년 3월호
�허니넷에유입되는트래픽은웜∙바이러스, 악성 봇 등에 의한 감염 시도 트래픽(취약점 스캔)이 가장 많으며이러한 악성코드의네트워크스캔은유효한 네크워크에 한 접근효율을 높이기 위하여, 1차적으로 감염된 시스템의 IP주소의 A, B클래스를 고정하고 C또는 D클래스 주소를변경하면서 스캔하는 경우가 부분이기 때문에 일반적으로 자국에서 유발된 유해트래픽이 해외에서 유입된 트래픽보다 많음
1) KISC - Korea Internet Security Center(인터넷침해사고 응지원센터)
□이번 달 KISC1) 허니넷에 유입된 전체 유해 트래픽은 약 1,200만건으로 전월(900만건) 보다 33% 증
가하 다. IP 소재별로 분류한 결과 국내 소재 IP로부터 유발된 트래픽은 전체의 66% 으며, 해외
소재 IP로 부터의 트래픽은 34%를 차지한 것으로 나타났다.
� 참고 : 허니넷으로 유입되는 트래픽은 초당 수백 건 이상이 될 수 있으므로 구체적인 건수는 큰 의미가 없으며, 국내외 비율 및 월별증감을 참고하기 바람
2-2. 허니넷 트래픽 분석
전체 추이
(그림 14) 월별 허니넷 유입 트래픽 규모
1,500 만
1,200 만
900 만
600 만
300 만
0
Part 3Part 1 Part 2 허니넷/트래픽 분석
인터넷 침해사고 동향 및 분석 월보15
□허니넷에 유입된 트래픽의 근원지 IP소재 국가별로 분석한 결과 전월과 동일하게 중국으로부터 유입
된 트래픽이 가장 많았으며, 다음으로 미국, 일본 순이었다. 국가별 가장 많이 이용된 포트도 전월과
동일하여 중국발 트래픽은 TCP/22 포트에 한 서비스 스캔(포트스캔)이 가장 많았으며, 미국발, 일
본발 트래픽은 Nmap, Advanced IP Scanner와 같은 네트워크 스캐너 도구에 의한 ICMP 스캔이 가
장많았던것으로나타났다.
Top 3 국가별 공격 유형
(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형
[표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율
순 위
2007
1
2
3
4
5
6
7
8
9
10
39.5
28.5
5.5
3.8
3.2
2.7
1.5
1.5
1.2
1.0
11.6
중국
미국
일본
유럽연합
만
독일
체코공화국
국
홍콩
이탈리아
기타
47.3
16.6
5.6
2.9
2.6
2.4
2.2
2.1
2.0
1.4
14.9
중국
미국
일본
만
유럽연합
베니수엘라
독일
인도
불가리아
호주
기타
45.5
22.3
4.9
3.5
2.1
1.9
1.8
1.7
1.7
1.3
13.5
중국
미국
일본
유럽연합
만
홍콩
루마니아
국
독일
이탈리아
기타
1 2 3 4 5 6
국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%)
pCHINA
JAPAN
USA
35%
23%
24%
10%
65%11%
29%31%
19%12%
9%
10%
5% 9%
8%
□ TCP/22-tcp service scan
■ TCP/1433-tcp service scan
■ TCP/42-tcp service scan
■ TCP/8080-tcp service scan
■ 기타□ ICMP-icmp ping Nmap scan
■ TCP/445-tcp service scan
■ TCP/22-tcp service scan
■ TCP/139-tcp service scan
■ 기타
□ ICMP-icmp ping Nmap scan
■ UDP/135-udp service scan
■ TCP/22-tcp service scan
■ ICMP-icmp ping Superscan4 scan
■ 기타
www.krcert.or.kr
16 2007년 3월호
□해외로부터 KISC 허니넷에 유입된 트래픽을 국가 구분 없이 포트/공격(스캔)유형별로 분석한 결과
TCP/22번 서비스스캔이 가장 많았으며, Nmap 네크워크 스캔 도구를 이용한 Ping2) 스캔이
다음으로 많았던 것으로 나타났다.
해외 → 국내
[표 13] 해외 → 국내(허니넷) 스캔탐지 현황
순 위1월 2월 3월
1
2
3
4
5
6
7
8
9
10
ICMP
TCP/22
TCP/1433
ICMP
TCP/42
ICMP
TCP/4899
TCP/8080
TCP/2967
UDP/135
기타
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
udp service scan
icmp ping AdvancedIP Scanner v1.4
icmp pingSuperscan4 scan
30.5
18.8
12.3
7.0
3.9
3.5
3.1
2.7
2.3
2.3
13.5
공격유형프로토콜 /포트번호
TCP/22
ICMP
TCP/1433
TCP/42
ICMP
TCP/4899
ICMP
TCP/139
TCP/8080
TCP/10000
기타
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
icmp ping AdvancedIP Scanner v1.4
icmp ping AdvancedIP Scanner v1.4
icmp pingSuperscan4 scan
27.3
21.9
16.1
6.8
4.8
3.0
2.8
2.2
2.1
2.0
11.0
TCP/22
ICMP
TCP/1433
TCP/42
TCP/8080
UDP/135
ICMP
TCP/4899
TCP/445
TCP/80
기타
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
udp service scan
tcp service scan
tcp service scan
tcp service scan
26.7
20.8
11.7
4.6
4.4
4.3
3.9
3.9
2.4
2.2
15.2
공격유형프로토콜 /포트번호 공격유형프로토콜/
포트번호
(그림 16) 해외 → 국내 (허니넷) 스캔탐지 현황
2) Ping - 지정된 IP주소를 사용하는 컴퓨터, 네트워크 장비 등으로의 접속을 확인하기 위한 명령, 상이 되는 장비가 가동하고 있는지, 통신망이 연결되어 있는지의 여부를 확인할 때 이용된다. 통신 규약으로는 인터넷 제어 메시지 프로토콜(ICMP)을 사용한다.
11.7%4.6%
36.2%26.7%
20.8%
■ TCP/42-tcp service scan
■기타
□ TCP/22-tcp service scan
■ ICMP-icmp ping Nmap scan
■ TCP/1433-tcp service scan
비율(%) 비율(%) 비율(%)
Part 3Part 1 Part 2 허니넷/트래픽 분석
인터넷 침해사고 동향 및 분석 월보17
□국내 KISC 허니넷에 유입된 트래픽을 포트/공격(스캔)유형별로 분석한 결과 전월과 동일하게,
TCP/135 스캔이 가장 많았으며, TCP/1433, TCP/139번 포트스캔이 그 뒤를 이었다. 3개 포트 모두
Bot 전파에 이용되는 포트로 악성 봇 감염을 위한 스캔 트래픽으로 보인다.
국내 → 국내
[표 14] 국내 → 국내(허니넷) 스캔탐지 현황
순 위1월 2월 3월
1
2
3
4
5
6
7
8
9
10
TCP/135
TCP/1433
TCP/139
ICMP
TCP/445
TCP/22
TCP/2967
TCP/5900
UDP/500
TCP/8080
기타
tcp service scan
tcp service scan
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
udp service scan
tcp service scan
43.7
13.1
12.7
9.9
5.9
3.4
3.2
0.9
0.7
0.6
6.1
공격유형프로토콜 /포트번호
TCP/135
TCP/139
TCP/1433
ICMP
TCP/445
TCP/22
TCP/1434
TCP/2967
TCP/5900
TCP/8080
기타
tcp service scan
tcp service scan
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
worm slammer
tcp service scan
tcp service scan
tcp service scan
46.3
15.0
13.3
7.9
5.4
3.5
1.5
0.9
0.6
0.6
5.0
TCP/135
TCP/1433
TCP/139
ICMP
TCP/445
TCP/22
TCP/2967
TCP/4899
TCP/5900
TCP/8080
기타
tcp service scan
tcp service scan
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
36.7
24.2
17.4
6.8
5.4
2.4
1.3
1.0
0.9
0.5
3.4
공격유형 비율(%)프로토콜 /포트번호 공격유형 비율프로토콜/
포트번호
(그림 17) 국내 → 국내 (허니넷) 스캔탐지 현황
17.4%
6.8%
14.9%
36.7%
24.2%
■ ICMP-icmp ping Nmap scan
■ 기타
□ TCP/135-tcp service scan
■ TCP/1433-tcp service scan
■ TCP/139-tcp service scan
비율(%)
www.krcert.or.kr
18 2007년 3월호
□국내 ISP의 일부구간(국내 인터넷망)에서 수집된 트래픽 가운데 KISC 허니넷에서 탐지된 Top3
포트의 추이를 파악한 결과 TCP/1433번 포트 트래픽이 가장 많았으며, TCP/139, TCP/135 포
트 순이었다. 특히, MS SQL 데이터베이스 연결포트인 TCP/1433은 최근 데이터베이스 최초 설치시
설정된 초기 비 번호(Default Password)를 통하여 Vanbot과 같은 악성 봇 감염에 많이 이용되는
것으로 파악되었으므로 관리자들의 주의를 요한다.
2-3. 국내 인터넷망 트래픽 분석
(그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이
□이번달국내ISP의일부구간에서수집된공격유형을분석한결과UDP Flooding, TCP SYN Flooding
과같은 DDoS 공격 트래픽이 가장 많이 탐지되었다.
참고로 Worm slammer는 실제 slammer 웜이라기보다는 악성 봇이 감염시도를 위하여 해당 취약점
(TCP/1433)을 공격하는 패킷에 한 탐지패턴 명칭으로 이해하면 되겠다.
(그림 19) 국내 인터넷망에 유입된 공격유형
■ TCP/1433 ■ TCP/139 ■ TCP/135 ISP업계 : 프로토콜 / 포트 추이
ISP업계 : 공격 추이
시간
시간
PPS
6,000
5,000
4,000
3,000
2,000
1,000
0
시도건수
4,000,000
3,600,000
3,200,000
2,800,000
2,400,000
2,000,000
1,600,000
1,200,000
800,000
400,000
0
03
/01
19
:00
03
/02
15
:00
03
/03
11
:00
03
/04
07
:00
03
/05
03
:00
03
/05
23
:00
03
/06
19
:00
03
/07
15
:00
03
/08
11
:00
03
/09
07
:00
03
/10
03
:00
03
/10
23
:00
03
/11
19
:00
03
/12
15
:00
03
/13
11
:00
03
/14
07
:00
03
/15
03
:00
03
/15
23
:00
03
/16
19
:00
03
/17
15
:00
03
/18
11
:00
03
/19
07
:00
03
/20
03
:00
03
/20
23
:00
03
/21
19
:00
03
/22
15
:00
03
/23
11
:00
03
/24
07
:00
03
/25
03
:00
03
/25
23
:00
03
/26
19
:00
03
/27
15
:00
03
/28
11
:00
03
/29
07
:00
03
/30
03
:00
03
/30
23
:00
03
/31
19
:00
03
/01
19
:00
03
/02
15
:00
03
/03
11
:00
03
/04
07
:00
03
/05
03
:00
03
/05
23
:00
03
/06
19
:00
03
/07
15
:00
03
/08
11
:00
03
/09
07
:00
03
/10
03
:00
03
/10
23
:00
03
/11
19
:00
03
/12
15
:00
03
/13
11
:00
03
/14
07
:00
03
/15
03
:00
03
/15
23
:00
03
/16
19
:00
03
/17
15
:00
03
/18
11
:00
03
/19
07
:00
03
/20
03
:00
03
/20
23
:00
03
/21
19
:00
03
/22
15
:00
03
/23
11
:00
03
/24
07
:00
03
/25
03
:00
03
/25
23
:00
03
/26
19
:00
03
/27
15
:00
03
/28
11
:00
03
/29
07
:00
03
/30
03
:00
03
/30
23
:00
03
/31
19
:00
■ UDP Flooding ■ NETBIOS Service swee... ■ SMB Service sweep(tc...
■ worm slammer ■ TCP SYN Flooding
Part 3Part 1 Part 2 허니넷/트래픽 분석
인터넷 침해사고 동향 및 분석 월보19
□KISA 및 2개 기관/업체의 바이러스 월을 통하여 수집된 웜∙바이러스를 파악한 결과 전월과 동일
하게 웹 사이트 등을 통하여 1차 감염된 후 웜∙바이러스, 트로이잔 등 악성코드 본체를 추가로 다
운로드 받는 DOWNLOADER가 가장 많았던 것으로 나타났다.
2-4. 바이러스 월 탐지 웜∙바이러스 정보
[표 15] 수집된 주요 웜∙바이러스 현황
순 위
2007
1
2
3
4
5
6
7
8
9
10
합 계
197,235
142,634
71,417
66,175
58,001
51,208
30,129
30,117
26,618
25,084
445,205
1,143,823
NOTIFIER
PWS
LINEAGE
HLLW
MULDROP
HLLM
PARITE
CLICK
STARTER
기 타
DOWNLOADER
DOWNLOADER 92,238
36,260
30,491
28,394
24,774
22,942
17,439
16,949
16,363
15,304
237,532
538,686
HLLW
PWS
MULDROP
LINEAGE
CASHPACK
PROXY
CLICK
HLLM
PARITE
기 타
DOWNLOADER 69,552
43,434
41,618
38,115
31,731
26,760
26,077
25,959
19,978
15,666
257,708
596,598
HLLW
PWS
LINEAGE
PROXY
HLLM
CASHPACK
NOBRAIN
PARITE
CLICK
기 타
1 2 3 4 5 6
명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수
www.krcert.or.kr
20 2007년 3월호
인터넷 인프라 환경이 발전하고, 디지털 방식을 이용하는 카메라, 캠코더 등의 사용이 일반화되어 감에 따라,
사용자들이 직접 동 상, 사진 등을 제작하여 인터넷에 공유하는 경우가 많아지고 있다. 이러한 사용자들이
제작한 콘텐츠 (UCC)를 서비스 형태로 제공하는 사이트도 매년 늘고 있으며, 향후에 더욱 증가할 것으로
예상된다.
인터넷을 통하여 타인이 제작한 동 상, 사진 등의 콘텐츠들을 쉽고 빠르게 공유할 수 있는 것은 사용자들
에게 큰 편리함과 만족감을 제공해 주지만, 누구나 콘텐츠를 제작하여 많은 사용자들에게 공유할 수 있다는
점을 악용할 경우, UCC가 악성코드 전파 및 해킹을 위한 수단으로 악용될 수 있다. 공격자는 사용자들이
많은 관심을 가지고 있는 Contens를 제작, 악성코드를 삽입하여 UCC 사이트에 공유하는 방식으로 해킹을
시도할 것으로 보인다. UCC에 의한 해킹피해 발생을 사전에 예방하기 위하여 OS 및 웹 브라우져와 사용하고
있는 미디어 플레이어들을 최신으로 패치하고, 백신제품을 설치 및 실시간 감시를 활성화하도록 한다.
(그림) 사용자가 제작한 해외 동 상 공유사이트“YouTube”
1. 개요
3. UCC 현황과 향후 보안위협
2. UCC 소개 및 현황
Part 1 Part 2 Part 3 월간특집
사용자가 금전적인 이익을 목적으로 하지 않고 제작한 콘텐츠를 의미하며, 디지털 카메라 등 정보통신 분야
가 발전함에 따라 일반인의 빠른 정보 생산이 가능해 지면서 최근 급격히 확산되고 있다.
가. UCC (User Created Contents)란?
UCC는 초기에는 단순히 과 사진 위주의 형태 으나, 최근에는 일반인들의 동 상 제작이 용이해지면
서, 동 상 콘텐츠 위주로 발전해 나가고 있다. 또한, UCC에 한 관심이 높아짐에 따라 이러한 서비스형
태로 운 되는 포탈 사이트도 늘어나고 있다.
나. UCC 서비스 현황
인터넷 침해사고 동향 및 분석 월보21
3. UCC와 보안 위협
www.krcert.or.kr
- 사용자가 제작하는 콘텐츠들이 인터넷을 통하여 다수의 이용자들에게 신속히 공유가 될 수 있다는 점은
큰 편리성을 제공하지만, 한편으로는 해킹을 위하여 제작된 공격코드가 삽입되어 있는 콘텐츠 들이 매우
쉽게 다수의 사용자에게 배포될 수 있다는 위험요소를 안고 있다.
- 또한, UCC는 포털사이트, 커뮤니티 사이트 등 인터넷 서비스 제공자가 책임을 지고 만드는 콘텐츠가
아니며, 누구라도 제작하여 배포할 수 있어 해킹에 악용될 소지가 크다.
- 사진, 동 상 등 UCC에서 이용되는 모든 콘텐츠 들은 악의적인 해커에 의하여 악용될 가능성이 있으며,
이러한 경우 UCC가 악성코드 전파를 위한 매개체 역할을 하게 된다.
가. UCC의 위험성
UCC를 통하여 발생할 수 있는 공격 및 피해유형은 여러 가지가 있을 수 있으나 표적으로 예상되는 예를
살펴보면 다음과 같다.
- 공격경로
UCC에 해당되는 모든 콘텐츠 유형은 공격에 악용될 위험성이 있으나, 표적으로 UCC로 많이 공유되
고 있는 동 상과 이미지, 플래쉬 파일등이 주요한 공격수단으로 악용될 것으로 보인다.
- 공격 형태 및 기법 예상
트로이잔 등의 악성코드를 설치하기 위한 악성 사이트를 구성해 놓은 후에, UCC를 통하여 해당 사이트
로 접속을 유도하는 형태의 공격이 많을 것으로 예상된다. (사용자가 UCC를 봄과 동시에 사용자 모르게
악성사이트로 접속이 발생하여 트로이잔 등의 코드가 설치. 설치 후에는 정보 유출) 표적인 공격유형
예를 살펴보면 다음과 같다.
나. 예상되는 UCC 해킹공격 유형
� 참고 : UCC를 이용한 해킹피해 사례국외에서 실제로 악의적인 URL이 삽입되어 있는 동 상이 Myspace, YouTube 등을 통하여 유포되는 피해가 발생함. 또한, 동 상을 볼 수 있도록 하는 코덱 프로그램 설치를 유도하여 스파이웨어를 설치하는 피해사례도 보고됨.
22 2007년 3월호
Part 1 Part 2 Part 3 월간특집
① 공격자는 트로이잔을 다운로드 받을수 있는 웹사이트를 구성함.
⑤ 주요 정보 유출
④ 공격자가 구성해 놓은 악성사이트에사용자 모르게 접속이 발생하고, 트로이잔이 다운로드되어 설치됨
② 공격자가 구성한 악성사이트(서버A)로의 접속을 발생시키는악성코드를 UCC에 삽입 후 해당콘텐츠를 UCC사이트에 올림
공격자가 구성한 악성사이트 (서버A)
공격자 사용자 PC
UCC사이트 (서버B)
③ 사용자가 UCC사이트에 접속하여동 상 다운로드
① 공격자는 트로이잔 등을 다운로드 받을 수 있는 웹사이트를 구성
(트로이잔 다운로드 및 설치를 위한 코드를 올려놓음)
② 동 상,이미지,플래쉬를 제작
해당UCC에는공격자가구성한악성사이트 (서버A)로사용자모르게접속을발생시키는악성코드를삽입함.
완성된 악성콘텐츠를 UCC 공유사이트에 올림
③ 일반사용자가 악의적인 스크립트가 삽입되어 있는 동 상을 다운로드하여 열어볼 경우 공격자가 구성해
놓은 악성사이트 (서버A)에 접속이 발생하게 되며, 해당 서버로부터 트로이잔 등의 악성코드가 다운로드
및 설치되게 됨
⑤ 악성코드 감염에 의하여, 사용자PC의 중요정보가 공격자에게로 유출됨
공격자는 UCC가 사용자 컴퓨터 내에서 악의적인 기능을 수행하도록 하기 위하여 동 상 URL스크립트 삽입
기능, 플레이어 취약점, 플래쉬의 액션스크립트 기능, 이미지 렌더링 취약점 등을 악용할 가능성이 높다.
<악의적인 수법 예>
�동 상에 URL 스크립트 삽입
�동 상 플레이어 취약점등 악용
�이미지 렌더링 취약점 등 악용
�플래쉬 액션스크립트 기능 악용
④
인터넷 침해사고 동향 및 분석 월보23
www.krcert.or.kr
� 동 상에 URL스크립트를 삽입하는 기법
공격자는, 악성사이트(트로이잔 다운로드 사이트)로의 접속을 유도하기 위하여 동 상에 URL스크립트를
삽입할 수 있다.
- Windows Media Player ASF 파일에 URL 삽입하는 예
Media 도구를 이용하여 동 상에 URL스크립트를 삽입하는 경우의 예이다. 아래와 같은 삽입을 통하여
동 상이 시작 된 후, 사용자가 정의한 시간에 사용자가 정의한 특정사이트로의 접속을 발생시킬 수 있다.
(그림) ASF 파일에 URL 스크립트를 삽입하는 예
(그림) URL스크립트 비활성 메뉴 예 [“도구”→“보안”]
� 참고 : 최근의 Windows Media Player 버전에서는 아래와 같이 보안옵션을 통하여 URL 스크립트 기능을 사용하지 않을 수 있도록 선택메뉴를 제공함 (기본설정 값은 OFF 임). 아래와 같은 URL 스크립트 비활성화 메뉴가 없을 경우, Windows Media Player에 한 패치(KB828026)를 실시하여 피해를 예방해야 함.
24 2007년 3월호
Part 1 Part 2 Part 3 월간특집
- QuickTime MOV 파일에 URL스크립트를 삽입하는 예
QuickTime은 컴퓨터에서 디지털미디어를 재생할 수 있는 Apple사의 소프트웨어이다. QuickTime에서도
아래와 같이 동 상에 URL삽입이 가능하다.
① 특정사이트 접속을 위한 스크립트 작성
② 동 상에 URL 스크립트를 삽입
� 미디어 플레이어, 이미지 처리 취약점 등을 공격에 악용
동 상 플레이어, 이미지 처리엔진 등에 취약점이 존재할 경우, 해당 취약점을 공격에 악용할 수 있다.
공격에 이용될 수 있는 취약점을 살펴보면 다음과 같다.
[MS06-078]
[MS06-026]
[MS06-024]
[MS06-022]
[MS06-006]
[MS06-005]
[MS06-001]
[MS05-009]
패치 번호 내 용
Windows Media Format 원격코드 실행 취약점
WMF 그래픽 렌더링 처리문제로 인한 원격 코드 실행 취약점
Windows Media Player의 비트맵 파일을 처리 취약점
ART 이미지 렌더링 취약점
Windows Media Player 플러그인의 취약점으로 인한 원격 코드 실행 문제점
Windows Media Player의 원격 코드 실행 취약점
WMF 그래픽 렌더링 처리문제로 인한 원격 코드 실행 취약점
Windows Media Player 원격 PNG 이미지 포맷 버퍼 오버플러우 취약점
[표] Microsoft Windows Media Player 취약점 / MS 이미지처리 취약점 예
인터넷 침해사고 동향 및 분석 월보25
www.krcert.or.kr
CVE-ID:CVE-2007-0711
번 호 내 용
□ 취약 상 제품 : Windows Vista/XP/2000
□ 취약 내용 :
악의적인 의도로 제작된 3GP파일을 보는 경우 애플리케이션이 작동을 멈추거나 임의의 코드가 실행될
수 있음. QuickTime에서 3GP 비디오파일을 사용하는 중 인티저 오버플로우가 발생함. 사용자에게 악
성비디오를 보내 사용자가 파일을 열 경우 오버플로우를 야기함으로서 애플리케이션의 중단과 임의코드
실행을 유발함
[표] QuickTime 취약점 예
CVE-ID: CVE-2007-0712
□ 취약 상 제품 : Mac OS X v10.3.9 상위 버젼, Windows Vista/XP/2000
□ 취약 내용 :
악의적인 의도로 제작된 MIDI파일을 보는 경우 애플리케이션이 작동을 멈추거나 임의의 코드가 실행될
수 있음. QuickTime에서 MIDI 파일을 사용하는 중 버퍼 오버플로우가 발생함. 사용자에게 악성
MIDI 파일을 보내 사용자가 파일을 열 경우 오버플로우를 야기함 으로서 애플리케이션의 중단과 임의
코드 실행을 유발함
CVE-ID:CVE-2007-0713
□ 취약 상 제품 : Mac OS X v10.3.9 상위 버젼, Windows Vista/XP/2000
□ 취약 내용 :
악의적인 의도로 제작된 Quicktime 파일을 보는 경우 애플리케이션이 작동을 멈추거나 임의의 코드가
실행될 수 있음
QuickTime에서 QuickTime 파일을 사용하는 중 버퍼 오버플로우가 발생함. 사용자에게 악성 비디오
파일을 보내 사용자가 파일을 액세스 할 경우 오버플로우를 야기함으로서 애플리케이션의 중단과 임의
코드 실행을 유발함
CVE-ID:CVE-2007-0714
□ 취약 상 제품 : Mac OS X v10.3.9 and later, Windows Vista/XP/2000
□ 취약 내용 :
악의적인 의도로 제작된 Quicktime 파일을 보는 경우 애플리케이션이 작동을 멈추거나 임의의 코드가
실행될 수 있음. QuickTime에서 비디오 파일의 UDTA 사용 중 인티저 오버플로우가 발생함.
사용자에게 악성 비디오 파일을 보내 사용자가 파일을 액세스 할 경우 오버플로우를 야기함으로서 애플
리케이션의 중단과 임의코드 실행을 유발함
곰플레이어
소프트웨어 명 내 용
스택오버플로우로 인한 원격코드실행 취약점. 비정상적인URI를 포함하는 ASX 파일처리 시 발생
※ 취약점 해결을 위하여 2.1.1버전으로 업데이트 필요
[표] 기타
WinAmp버퍼 오버플로우 취약점
※ 취약점 해결을 위하여 Winamp 5.3.1 버전으로 업데이트 필요
26 2007년 3월호
Part 1 Part 2 Part 3 월간특집
� 악성 플래쉬 파일을 이용한 공격 기법
플래쉬는GIF 기반애니메이션의한계점을극복하기위하여만들어진에니메이션저작도구및플레이어로써,
사운드 추가, 강력한 프로그램 환경인 액션 스크립트 기능추가 등 계속적으로 기능이 개선되어가고 있다.
플래쉬로 제작된 파일은 용량이 작고 웹 브라우져에서 이용이 가능하며, 기타 장점이 많아 사용자가 크게
증가하고 있다.
플래쉬에는 액션 스크립트라고 하는 강력한 프로그램밍 기능이 있는데, 이러한 기능은 공격자에 의하여
악용될소지가있다. 공격자는플래시제작시에 악성코드를설치하기위한악성사이트의URL을액션스크립트
내에 삽입하므로써, 플래쉬 실행 시 사용자 모르게 악성코드 설치를 위한 사이트로 접속하게 할 수 있다.
또한, 이미제작되어진플래쉬파일을역컴파일하여악성사이트로접속이발생하도록변조하는것도가능하다.
□사고예방을 위한 방안
현재, 미디어 소프트웨어들의 패치적용 필요성에 한 일반인들의 인식은 매우 낮다.
UCC로 인한 해킹피해를 사전예방하기 위해서는 미디어 소프트웨어들에 한 최신패치를 적용하는 것이
중요하므로, 반드시 현재의 패치현황을 점검하고, 필요할 경우 신속히 업데이트 하도록 한다. 또한, PC에
백신제품을설치하고, 최신으로패턴을업데이트하며, 실시간감시기능이활성화되어있는지점검할필요가
있다.
� 미디어 소프트웨어에 한 패치현황 점검 및 최신 버전으로 업데이트
� OS 및 웹브라우져 최신패치 적용
� 백신 설치 및 최신 패턴으로 업데이트. 실시간 감시 기능 활성화
� 신뢰되지 않은 파일은 가능한 열어보지 말기
(그림) 일반 플래쉬 파일 액션스크립트어의 역컴파일 예시
인터넷 침해사고 동향 및 분석 월보27
www.krcert.or.kr
- Quicktime 취약점 업데이트 예
“시작”클릭 →“모든 프로그램”클릭 →“Apple Software Update”실행
- Windows OS/ 웹브라우져 및 Windows Media Player 취약점 업데이트 예
“시작”클릭 →“모든 프로그램”클릭 →“Internet Explorer”실행 →“도구 (상단)”클릭 →
“Windows Update”클릭
□결론
UCC를 이용한 악성코드 감염 및 해킹피해 발생 위험성은 최근 UCC의 이용확산과 비례하여 높아지고
있으므로 주의와 관심이 필요하다. UCC는 동 상 및 이미지, 플래쉬 파일 외에도 그 범위가 매우 넓으며,
이러한 모든 유형의 콘텐츠가 공격에 악용될 소지가 있다. 최근 인터넷에는 신뢰할 수 없는 수많은 미디어
파일들이 넘쳐나고 있으며, 부분의 이용자들이 아무런 주의없이 미디어 파일을 접하고 있으므로 위험성은
더 커질 수 있을 것으로 보인다.
향후에, Third-Party 미디어 관련 도구를 공격하는 사례도 증가할 것으로 예상되므로, 이러한 소프트웨어에
한 패치관리에도 관심이 필요하다.
사용자PC가 일단 악성코드에 감염되게 되면 PC내의 모든 중요한 정보가 공격자에게 유출될 수 있으므로,
OS 및 미디어 도구에 한 패치실시, 백신설치, 신뢰되지 않은 파일은 열어보지 말기 등을 통하여 UCC로
인한 피해발생을 사전 예방할 필요가 있다.
28 2007년 3월호
악성코드 유포지/경유지 조기 탐지 및 차단 조치
KISA 인터넷침해사고 응지원센터에서는 국내 웹사이트에 악성코드가 삽입되어 웹사이트 방문자에게 게
임 ID/비 번호를 유출하는 트로이잔을 감염시키는 사례가 발생하여‘05년 6월부터 지속 응하여 왔으며,
’05. 12월부터는 악성코드 은닉사이트 탐지 프로그램을 자체 개발∙적용하여 약 77,000개의 국내 웹 사이
트를 상으로 악성코드 은닉 여부를 탐지 및 차단 조치하고 있다.
악성코드 유포지 및 경유지로 악용된 사이트를 기관별로 분류하면 기업, 기타(개인), 비 리 홈페이지 순이
었으며, 특히 기업으로 분류된 .co.kr, com 도메인이 악성코드 유포지/경유지 사이트로 많이 악용되는 것
으로 나타났다.
□이는 해커가 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포지/경유지 사이트로 악
용하고 있는 것으로 판단된다.
유포지
경유지
합계
993
5,624
6,617
108
372
480
90
307
397
126
349
475
324
1,028
1,352
기 관2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
1. 개요
2. 전체 추이
3. 기관별 분류
별 첨
‘07년 3월 KISA에서 탐지하여 응한 악성코드 유포지 및 경유지 사이트는 475건으로 전월 비 19.6%
(397 → 475건) 증가하 다.
□악성코드 경유지사이트 수는 전월 비 13.7%(307 → 349건) 증가하 고, 유포사이트 수는 전월에
비하여 40.0%(90 → 126건) 증가한 것으로 나타났다.
□각 기관(기업)의 웹 서버 관리자는 웹페이지가 악성코드 유포 및 경유지로 악용되는 피해예방을 위
해 웹서버 해킹에 주로 사용되는 SQL Injection 등의 취약점에 한 보안 책을 마련하는 것이 중
요하다.
� 참고 사이트
ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr 초기화면
→ 왼쪽‘공개 웹 방화벽을 이용한 홈페이지 보안’
WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr 초기화면
→ 왼쪽‘공개 웹 방화벽을 이용한 홈페이지 보안’
홈페이지 개발 보안가이드 : http://www.krcert.or.kr 초기화면 → 왼쪽‘홈페이지 개발 보안가이드’
웹 어플리케이션 보안 템플릿 : http://www.krcert.or.kr 초기화면 → 왼쪽‘웹 어플리케이션 보안 템플릿’
[표] 악성코드 유포지/경유지 사고 처리건수
인터넷 침해사고 동향 및 분석 월보29
www.krcert.or.kr
악성코드 유포지 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 IIS 웹서버가 63.2%, Apache 웹
서버가 2.7%, 기타 34.1%로 분류되었다.
[표] 악성코드 유포지/경유지 사이트 웹서버 별 분류
4. 웹서버별 분류
[표] 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류
기업
학
비 리
연구소
네트워크
기타(개인)
총계
4,274
154
649
24
215
1,301
6,617
296
10
33
0
15
126
480
232
5
27
0
13
120
397
280
1
9
0
14
171
475
808
16
69
0
42
147
1,352
� 기관 분류기준 : 기업(co, com), 학(ac), 비 리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 등)
(그림) 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류
기 관2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
� 웹서버별 구분 자료는 각 운 체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임� 악성코드 유포지/경유지 사이트가 이미 폐쇄되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음
MS IIS
Apache
기타
합계
5,039
151
1,427
6,617
334
4
142
480
244
12
141
397
300
13
162
475
878
29
445
1,352
웹서버2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
기업58.9%
기타(개인)36.0%
네트워크 2.9%
비 리 1.9%연구소 0%
학 0.2%
30 2007년 3월호
프로토콜 관련 악성코드
[trojan] Adore sshd, [trojan] Shaft
Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle,
Yaha,Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor,
Executor, Hooker, RingZero, Seeker, WAN Remote,
Web Server CT, WebDownloader, Zombam
Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv,
Lovgate, Spybot
God Message worm, Netlog, Qaz, Deborms, Moega,
Yaha
Agobot, Deloder, Yaha, Randex, Welchia, Polybot,
Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix,
Zotob, IRCBot, SDBot
Dasher, Remote Storm, ABCHlp, Lala, Keco
MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy
Spida, SQL Snake
SQL Slammer
Bagle
OptixPro, Mockbot
RAdmin Port
Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d,
Bobax, Trojan.Webus
Mockbot.
SSH Remote Login Protocol
World Wide Web, HTTP
DCE endpoint resolution,
MS-RPC
Netbios-ssn
netbios-ds
network blackjack
SOCKS Protocol
Microsoft-SQL-Server
Microsoft-SQL-Server
urbisnet
NetworkLens SSL Event
radmin-port
commplex-main
DameWare
TCP
TCP
TCP/UDP
TCP
TCP
TCP/UDP
TCP/UDP
TCP/UDP
TCP
TCP
TCP/UDP
TCP
TCP/UDP
TCP/UDP
포트번호
22
80
135
139
445
1025
1080
1433
1434
2745
3410
4899
5000
6129
서비스
주요포트별 서비스 및 관련 악성코드
부 록
인터넷 침해사고 동향 및 분석 월보31
용어정리
www.krcert.or.kr
구 분 내 용
구성설정오류 공격
바이러스(Virus)
바이러스 월(Virus Wall)
버퍼오버플로우(Buffer Overflow)
봇(Bot)
분산서비스거부공격(DDoS : Distributed DoS)
불법자원사용
불법침입
서비스거부공격(DoS : Denial of Service)
스파이웨어(Spyware)
스팸릴레이(Spam Relay)
허니넷
악성프로그램
악성프로그램 공격
애드웨어(Adware)
웜(Worm)
운 체제 및 응용프로그램의 설정 오류(위험성이 있는 기본설정의 사용, 사용자 편의를 위한
설정 조정 등)를 이용하는 해킹기법으로 홈페이지 위∙변조, 불법침입 등에 주로 이용됨
컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여
불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드
네트워크 환경 내부에 인-라인(In-line) 상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽 상의
네트워크 바이러스를 예방 및 차단하는 시스템
메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어 으로써 호출 프로그램으로의 복귀오류 등
을 일으켜 정상적인 프로그램의 실행을 방해하는 표적인 공격기법
운 체제 취약점, 비 번호의 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전
달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램
또는 실행 가능한 코드
DoS용 에이전트를 여러 개의 시스템에 설치하고, 이 에이전트를 제어하여 DoS 공격을 함으로써 보
다 강력한 공격을 시도할 수 있으며, 공격자에 한 추적 및 공격트래픽의 차단을 어렵게 만드는 공
격 형태
정당한 권한 없이 특정 시스템을 스팸릴레이, 피싱사이트 개설 등에 이용하는 행위
주요 정보∙자료를 수집 또는 유출하기 위하여 정당한 권한 없이 시스템에 침입하는 행위
특정 네트워크에서 허용하는 역폭을 모두 소모시키거나, 공격 상(victim) 시스템의 자원(CPU, 메
모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 한 공격으로 서비스를
못하도록 만드는 공격
이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템, 데이터 또는 프로그램 등을 훼손∙멸
실∙변경∙위조하거나 정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램. 즉, 이용자
의 동의 없이, 웹브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운 을 방해∙
중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집∙전송하는 등의 행위를 하는
프로그램
스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용
KISA 인터넷침해사고 응지원센터 내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위,
웜∙바이러스 등을 수집
사용자의 시스템에 설치되어 백도어를 오픈하여 정보를 유출하거나, 시스템의 정상적인 동작을 방해
하는 프로그램
컴퓨터 시스템에 악성프로그램을 설치하게 유도하거나 고의로 감염시키는 해킹기법으로 주로 백
도어 등을 이용하여 상 방의 주요 정보를 빼내기 위한 목적으로 이용함
사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가
의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드
독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한
코드
32 2007년 3월호
구 분 내 용
공격징후 탐지를 위하여 KISA에서 전국 45개 주요도시에 설치한 센서
상시스템의운 체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨
시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위
자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도
하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드
정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기
수법으로 Bank Fraud, Scam이라고도 함
다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나, 정보시스템의 정상적인 기능이나 데이터에 임의적
으로 간섭하는 행위
개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과 스크립팅
을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를 제공함
많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크
인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤
상 방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 E-mail을 보냄으로써 상
방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨
응용프로그램들이 HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공
KISA내 침해사고 응팀(CERT)으로서, 국내에서 운 되고 있는 인터넷 망의 침해사고 응 활동을 지원
하고, 전산망 운용기관 등에 해 통일된 협조 체제를 구축하여, 국제적 침해사고 응을 위한 단일창구를
제공하기 위하여 설립됨
License Logging Service의약자로MS서버제품에 한라이센스를고객이관리할수있도록해주는도구
네트워크의 기본적인 입출력을 정의한 규약
Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의 일종
으로서 서로 다른 응용프로그램이나 플랫폼이 데이터를 공유하는데 사용
Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX
환경에서 아이콘 등에 많이 사용
Server Message Block의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜
TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을 보내서
상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격
많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한 서비스
윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있다.
지역센서
취약점정보수집 공격
침입시도
트로이잔(Trojan)
피싱(Phishing)
해킹(Hacking)
ASP.NET
Botnet
DHTML Editing
Component ActiveX
E-mail 관련 공격
Hyperlink 개체 라이브러리
KrCERT/CC
LLS
NetBIOS
OLE/COM
PNG
SMB
TCP Syn Flooding
Windows SharePoint
Services
Windows Shell