침해사고 원인
- 악성코드: 일반적으로 DDoS, 정보유출, 시스템 파괴, 원격조종 등 악의적인 목적으로 이용하는 컴퓨터 프로그램을 총칭한다.
- 종류: 바이러스, 웜, 트로이 목마, 악성 봇, 백도어 등 매우 다양한 종류로 분류된다.
- 바이러스: 스스로 독립된 형태가 아니라, 숙주 파일을 감염시키는 형태이다.
- 웜 : 숙주 파일 없이 자신 스스로 복제하여 전파한다.
- 트로이 목마 : 정상적인 파일에 포함되어 함께 설치된다.
침해 동향
- 동기: 호기심, 자기과시 -> 사회 혼란, 사이버 테러
- 기법: 수동 -> 자동 및 은닉화 -> 조직적, 지능화
- 피해: 개별 시스템 -> 대규모 네트워크 -> 사회 기반 시설, 국가
감염 경로
다양화
짧은 시간 대량의 PC 감염을 위해 악성코드 유포에 다양한 경로를 활용
최근 이슈화된 사회적 사건, 사용자간 신뢰 관계 등을 악용하는 수법 증가
홈페이지 방문
사용자도 모르게 감염(Drive by Download)
윈도우 운영체제 등 프로그램을 업데이트 하지 않은 경우 감염
웹하드, P2P
전용 프로그램에 의한 감염
해커가 웹 하드 전용 프로그램을 변경 -> 사용자 이용 시 감염
이메일
첨부파일 또는 본문에 링크된 사이트 접속에 의한 감염
제목과 본문 내용을 지능적으로 작성하여 클릭 유도
메신저
계정을 탈취, 등록 친구들에게 악성코드 전파
대화창의 파일 공유, 쪽지 전송으로 감염 유도
피싱
파밍: 악성코드 -> 정상 경로를 가짜 경로로 유도 -> 개인 금융 정보 탈취
스미싱: 메시지를 이용하여 악성앱 설치 -> 정보 유출 -> 정보 취득 -> 결제 시도 -> 결제 완료
SQL 삽입
SQL Injection 취약점 악용을 통한 인증 우회 후 악성코드 삽입
악성코드의 발전
APT 공격 범람
지능형 지속 위협(APT: Advanced Persistent Threat)
정부 또는 특정 조직의 취약점을 대상으로 지속적으로 해킹 공격을 시도하는 행위
상당히 오랫동안 공격이 진행됨에도 불구하고, 직접적인 피해가 발생할 때까지 인지하기 어려움
인기 검색어 활용
이슈가 반영된 인기 검색어를 악용한 악성코드 증가
랜섬웨어 증가
중요 파일을 암호화하여 암호를 풀어주는 대가로 금품을 요구하는 악성코드
Drive by Download 로 유포될 경우 웹 노출로도 감염 가능
분석 방해 기술 적용의 보편화
악성코드 분석을 어렵게 하는 난독화 기법 사용증가
실행중인 정상 프로세스에 기생하여 악성코드 노출을 숨기는 은닉화 기법 증가
세부기능의 모듈화 및 분업화
업데이트, 스팸 발송 등 각각의 기능을 전담하는 모듈로 분리
각 모듈들이 유기적으로 협력하는 악성코드 형태
APT 공격 절차
침투 -> 검색 -> 수집 -> 유출
예방 및 대응
- 악성코드 수집: 허니팟, 클라이언트 허니팟, 스팸트랩
- 주요 홈페이지 점검