• 검색 결과가 없습니다.

1. 10월 종합 분석

○ 10월 침해사고 분석

- 2015년 10월 유해 트래픽은 [그림 3]과 같이 61.5Gb로 전월 대비 37.7Gb 증가하 여, 2015년 내 가장 높은 수치를 보였다.

[그림 3] 10월 유해트래픽 추이

- 2015년 10월 침해시도 건수는 [표 1]와 같이 총 6건으로 전월 대비 4건 증가하였다.

구분 2014년 2015년

10월 11월 12월 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 침해

시도 현황

6 14 4 7 6 3 6 8 16 8 4 2 6

[표 1] 10월 침해 시도 현황

6

-[그림 4] 10월 침해시도 건수 추이

- 침해유형별로 살펴보면 [표 2]와 같이 웜․바이러스에 의한 침해시도가 6건으로 대부분 웹 서비스(TCP 80) 이용 중 발생한 것으로 파악된다.

구분 웜․

바이러스 자료훼손

및 유출 홈페이지 위․변조

경유지 악용

서비스 거부

단순 침입시도 합계

건수 6 0 0 0 0 0 6

[표 2] 10월 침해 위협 유형별 분석

- 시스템별(OS)로는 [그림 5]과 같이 윈도우즈 시스템을 통한 사고가 6건으로 모든 사고가 윈도우 시스템을 통해 발생하였다.

[그림 5] 10월 시스템별(OS) 사고 건수

- 부서별로는 [그림 6]과 같이 첨단정보융합본부가 3건으로 가장 많았고, 그 뒤로 슈퍼컴퓨팅본부가 2건 발생하였으며, 용역업체가 1건 발생하였다.

[그림 6] 10월 부서별 사고 건수

○ 10월 보안 이슈 및 향후 계획

- 표준 HTTP 포트인 TCP/80포트를 이용한 침해시도는 올해 초부터 꾸준히 발생하고 있다. 주로 웜․바이러스 및 악성 프로그램 감염(추정)으로 인하여 경유지로 시스템 정보를 전송하는 행위가 많이 발생하였다.

- 이에 대한 예방책으로 웹사이트 방문 시 의심스러운 프로그램(ActiveX)의 설치를 금하며, 출처 및 의심스러운 이메일은 열람하지 않도록 주의가 요구된다. 또한 업무용 PC가 DDoS 공격 및 해킹 공격을 유발하는 좀비 PC가 되지 않도록 윈도우 운영체제의 보안 및 백신을 최신 버전으로 업데이트 하는 등 신규 취약점에 대한 대비가 요구된다.

9

-[그림 7] 11월 유해트래픽 추이

2. 11월 종합 분석

○ 11월 침해사고 분석

- 2015년 11월의 유해 트래픽은 [그림 7]과 같이 48.Gb로 전월대비 13.5Gb 감소하 였다.

- 2015년 11월 침해시도 건수는 [표 3]과 같이 총 4건으로 전월보다 2건 적은 수치를 보였다.

구분 2014년 2015년

11월 12월 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 침해

시도 현황

14 4 7 6 3 6 8 16 8 4 2 6 4

[표 3] 11월 침해 시도 현황

10

-[그림 8] 11월 침해시도 건수 추이

- 침해유형별로 살펴보면 [표 4]와 같이 웜․바이러스에 의한 침해시도가 4건으로 모든 사고가 웜․바이러스에 의해 발생 하였다.

구분 웜․

바이러스 자료훼손

및 유출 홈페이지 위․변조

경유지 악용

서비스 거부

단순 침입시도 합계

건수 4 0 0 0 0 0 4

[표 4] 11월 침해 위협 유형별 분석

- 시스템별(OS)로는 [그림 9]와 같이 윈도우즈 시스템을 통한 사고와 무선AP를 통한 사고가 각각 2건으로 발생하였다.

[그림 9] 11월 시스템별(OS) 사고 건수

- 부서별로는 [그림 10]과 같이 첨단정보융합본부와 기타(무선AP)가 각각 2건씩 발생하였다.

[그림 10] 11월 부서별 사고 건수

○ 11월 보안 이슈 및 향후 계획

- 기존 랜섬웨어와는 조금 다른 방식으로 사용자들을 협박하는 새로운 랜섬웨어 변종인

‘키메라(Chimera)’가 등장했다. 키메라 랜섬웨어는 일반적인 파일 암호화 작업에 스퀘어웨어(Scareware) 방식이 결합된 형태를 말하며, 스케어웨어는 사용자를 협박해 불안감을 조성하는 악성코드를 말한다.

- 키메라 랜섬웨어는 일반적인 랜섬웨어처럼 파일을 암호화해 사용자를 협박하는 것은 똑같지만 협박 방식이 일반 랜섬웨어와 차이가 난다. 일반적인 랜섬웨어는 ‘너의 소중한 파일을 돌려받고 싶으면 돈을 내라’고 하지만 키메라는 ‘돈을 내지 않으면 너의 소중한 파일을 인터넷에 공개하겠다’고 협박하는 방식이다.

- 사람의 심리를 이용하는 악성코드로 이를 예방하기 위해서는 주기적인 백업 및 소프트웨어 업데이트가 요구된다. 또한, 의심스러운 링크나 첨부파일을 열지 않도록 주의해야 한다.

13

-3. 12월 종합 분석

○ 12월 분석

- 2015년 12월 유해 트래픽은 [그림 11]와 같이 20.5Gb로 전월 대비 27.5Gb 감소하였다.

[그림 11] 12월 유해트래픽 추이

- 2015년 12월 침해시도 건수는 [표 5]와 같이 총 2건으로 전월 대비 2건 적 은 수치를 보였고 10월 이후 꾸준히 감소하고 있다.

구분 2014년 2015년

12월 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 침해

시도 현황

4 7 6 3 6 8 16 8 4 2 6 4 2

[표 5] 12월 침해 시도 현황

14

-[그림 12] 12월 침해시도 건수 추이

- 침해유형별로 살펴보면 [표 6]과 같이 웜․바이러스에 의한 침해시도가 1건, 자료 훼손 및 유출에 의한 침해가 1건 발생하였다.

구분 웜․

바이러스 자료훼손

및 유출 홈페이지 위․변조

경유지 악용

서비스 거부

단순 침입시도 합계

건수 1 1 0 0 0 0 2

[표 6] 12월 침해 위협 유형별 분석

- 시스템별(OS)로는 [그림 13]과 같이 리눅스 시스템을 통한 사고가 2건으로 모두 리눅스를 통하여 사고가 발생하였다.

[그림 13] 12월 시스템별(OS) 사고 건수

- 부서별로는 [그림 14]와 같이 직할부서 및 기타(무선AP)가 각각 1건씩 발생하였다.

[그림 14] 12월 부서별 사고 건수

○ 12월 보안 이슈 및 향후 계획

- 한국어 페이지를 제공하는 두 번째 랜섬웨어 라다만트(Radamant)가 발견 되었다. 라다만트는 12월 25일 경 한국에서 처음 발견되어 크립토락커 (Crypt0Locker) 이후 두 번째로 한국어 페이지를 제공하는 랜섬웨어다.

다른 랜섬웨어들과 마찬가지로 악성코드를 생성하고, 웹 브라우저 및 웹 브라우저 플러그인 취약점을 이용해 악성코드를 유포하는 DBD(Drive-By Download) 방식으로 유포된다. 한국을 공격대상 중 하나로 삼았기 때문에 앞으로 더 자주 등장할 랜섬웨어로 예상되는 만큼 예방에 힘써야 할 것이다.

- DNS 서비스를 위해 주로 사용하는 BIND DNS에 원격에서 서비스 거부를 발생시킬 수 있는 취약점이 발견됐다. 해당 취약점은 잘못된 클래스 속성 데이터를 응답 패킷에서 처리할 때 발생하는 서비스 거부 취약점 (CVE-2015-8000)이다. 영향 받는 버전은 BIND 9.0.x버전부터 9.9.8버전까지, BIND 9.10.0버전부터 9.10.3버전까지이지만, 우리 기관은 지난 8월 BIND 버전 업그레이드를 하여 취약점에 영향이 없다.

17

관련 문서