침해사고 원인
- 악성코드: 일반적으로 DDoS, 정보유출, 시스템 파괴, 원격조종 등 악의적인 목적으로 이용하는 컴퓨터 프로그램을 총칭한다.
- 종류: 바이러스, 웜, 트로이 목마, 악성 봇, 백도어 등 매우 다양한 종류로 분류된다.
- 바이러스: 스스로 독립된 형태가 아니라, 숙주 파일을 감염시키는 형태이다.
- 웜 : 숙주 파일 없이 자신 스스로 복제하여 전파한다.
- 트로이 목마 : 정상적인 파일에 포함되어 함께 설치된다.
침해 동향
- 동기: 호기심, 자기과시 -> 사회 혼란, 사이버 테러
- 기법: 수동 -> 자동 및 은닉화 -> 조직적, 지능화
- 피해: 개별 시스템 -> 대규모 네트워크 -> 사회 기반 시설, 국가
감염 경로
-
다양화
-
짧은 시간 대량의 PC 감염을 위해 악성코드 유포에 다양한 경로를 활용
-
최근 이슈화된 사회적 사건, 사용자간 신뢰 관계 등을 악용하는 수법 증가
-
홈페이지 방문
-
사용자도 모르게 감염(Drive by Download)
-
윈도우 운영체제 등 프로그램을 업데이트 하지 않은 경우 감염
-
웹하드, P2P
-
전용 프로그램에 의한 감염
-
해커가 웹 하드 전용 프로그램을 변경 -> 사용자 이용 시 감염
-
이메일
-
첨부파일 또는 본문에 링크된 사이트 접속에 의한 감염
-
제목과 본문 내용을 지능적으로 작성하여 클릭 유도
-
메신저
-
계정을 탈취, 등록 친구들에게 악성코드 전파
-
대화창의 파일 공유, 쪽지 전송으로 감염 유도
-
피싱
-
파밍: 악성코드 -> 정상 경로를 가짜 경로로 유도 -> 개인 금융 정보 탈취
-
스미싱: 메시지를 이용하여 악성앱 설치 -> 정보 유출 -> 정보 취득 -> 결제 시도 -> 결제 완료
-
SQL 삽입
-
SQL Injection 취약점 악용을 통한 인증 우회 후 악성코드 삽입
악성코드의 발전
-
APT 공격 범람
-
지능형 지속 위협(APT: Advanced Persistent Threat)
-
정부 또는 특정 조직의 취약점을 대상으로 지속적으로 해킹 공격을 시도하는 행위
-
상당히 오랫동안 공격이 진행됨에도 불구하고, 직접적인 피해가 발생할 때까지 인지하기 어려움
-
인기 검색어 활용
-
이슈가 반영된 인기 검색어를 악용한 악성코드 증가
-
랜섬웨어 증가
-
중요 파일을 암호화하여 암호를 풀어주는 대가로 금품을 요구하는 악성코드
-
Drive by Download 로 유포될 경우 웹 노출로도 감염 가능
-
분석 방해 기술 적용의 보편화
-
악성코드 분석을 어렵게 하는 난독화 기법 사용증가
-
실행중인 정상 프로세스에 기생하여 악성코드 노출을 숨기는 은닉화 기법 증가
-
세부기능의 모듈화 및 분업화
-
업데이트, 스팸 발송 등 각각의 기능을 전담하는 모듈로 분리
-
각 모듈들이 유기적으로 협력하는 악성코드 형태
-
APT 공격 절차
-
침투 -> 검색 -> 수집 -> 유출
예방 및 대응
- 악성코드 수집: 허니팟, 클라이언트 허니팟, 스팸트랩
- 주요 홈페이지 점검