- 1 -

기술지원연구 99-3

’99 정보시스템 해킹ㆍ바이러스 현황 및

대응

1999. 12

- 2 -

발 간 사

’96년에 최초에 발간된 “정보시스템 해킹현황 및 대응”은 국내 정보통신망운영 및 이용

기관의 실무자들에게 해킹대응에 작은 역할을 수행해 왔으며, 특히 인터넷 등 정보통신

망의 발전에 따른 해킹, 바이러스 등 각종 정보범죄의역기능을 대처할 수 있는 지침서로

서 발전해 왔습니다. 특히 1999년에는 바이러스 대응부분도 포함하여 발간하게 되었습니

다.

최근에는 해외 해커들이 국내 침입하는 사례가 매우 급격하게 증가하였으며, 해킹 발생

건수 전년도에 비해 3배 이상 증가하였습니다. 대량의 호스트의 취약점을 손쉽게 알아내

는 해킹도구를 이용하거나, 네트워크의 정상적인 동작을 방해하는 해킹수법 등 보다 지

능적이고 자동화된 해킹기법을 이용하는 양상을 보였습니다. 이에 따라 한국정보보호센

터에서는 침해사고 대응지원팀을 중심으로 해킹사고의 예방을 위한 각종 기술문서의 발

간, 국제 해킹사고에 대비하기 위한 해의 대응팀과의 협력, 사이버금융 및 쇼핑몰 등 이

슈가 되는 주제로 기술세미나 개최와 CONCERT를 통한 국내 기관들의 공동 대응 등

많은 노력을 한 바 있습니다.

또한 새천년 전환시점전후에 이용한 Y2K관련 해킹 및 바이러스 사고를 신속히 대응할

수 있는 체계를 정부, 민간 등과 공동으로 구축하여 대국민 홍보, 국내 정보통신망 이용

기관에 대한 무료 보안취약점 점검서비스, Y2K관련 바이러스 예보 및 경보 및 스캔공격

탐지 S/W를 무료로 보급하는 등 다양한 대응체제를 준비하여 대비하였습니다.

매년 발간되는 본 보고서는 한국정보보호센터의 해킹 및 바이러스 대응관련 1999년을 결

산하는 자료로서 해킹 및 바이러스 방지를 위해 노력하는 실무자들에게 실질적인 해킹

및 바이러스 방지 분석지침서로서의 역할을 하게 되리라고 믿습니다. 아무쪼록 여러분들

의 많은 격려와 협력을 기대하면서 새천년에도 한국정보보호센터와 함께 한국의 해킹 및

바이러스 방지를 위해 공동으로 더욱 노력할 것을 바라마지 않습니다.

1999 년 12 월

한국정보보호센터

원 장 이 철 수

- 3 -

이 보고서는 기술개발사업의 일환으로 기술개발부 기술지원팀의 연구원들이 참여하여 작

성하였으며, 한국정보보호센터 전문가들의 많은 조언이 있었습니다.

1999년12월

사업책임자 :

연구책임자 :

참여연구원 :

부 장 이홍섭

팀 장 임채호

선임연구원 김재성

선임연구원 최운호

선임연구원 김진원

선임연구원 박정현

연 구 원 정윤종

연 구 원 정현철

연 구 원 이현우

연 구 원 김상철

연 구 원 이상엽

연 구 원 조용상

위촉연구원 차수현

위촉연구원 박유리

위촉연구원 서효남

- 4 -

목 차

제 1 장 개요

제 2 장 해킹 . 바이러스 현황 분석

제 1 절 국내의 해킹 현황 및 사례 분석

1. 국내 해킹현황 및 사례분석

2. 국외 해킹현황 및 사례분석

제 2 절 바이러스 국내ㆍ외 현황

1. 국내 바이러스 현황

2. 국외 바이러스 현황

제 3 절 바이러스 국내ㆍ외 사례분석

1. Melissa 바이러스

2. CIH 바이러스 피해사례

3. Worm. ExploreZip 국내ㆍ외 피해사례

4. W97M/Ths.A 국내ㆍ외 피해사례

5. Worm/PretttyPark.B

6. EcoKys 국내ㆍ외 피해사례

7. W97/Prilissa(Melissa.w) 국내ㆍ외 피해사례

8. W32/Fix(Fix2001) 국내ㆍ외 피해사례

9. W32/NewApt 국내ㆍ외 피해사례

10. Win32/MyPics 국내ㆍ외 피해현황

제 3 장 최근 해킹ㆍ바이러스 대응방안

제 1 절 최신 해킹기법 동향 및 대응

1. 분산 환경에서의 서비스거부 공격

2. Millennium Internet Worm 공격

3. RPC 관련 보안 취약점 및 대책

4. 트로이 목마와 백도어 분석 및 대책

5. 윈도우 시스템 해킹과 대책

- 5 -

제 2 절 최근 바이러스 동향 및 대응

1. ’99년 주요 바이러스 분석

2. 최근 바이러스 대응책

제 3 절 국내 해킹ㆍ바이러스 대응 활동현황

1. 국내외 침해사고 대응팀 활동현황

제 4 장 Y2K관련 바이러스 및 해킹 대응 활동현황

제 1 절 개 요

제 2 절 Y2K관련 바이러스 대응활동

1. Y2K 관련 출현 가능한 컴퓨터바이러스 유형분석

2. Y2K 문제와 바이러스ㆍ해킹문제 구별지침 보급

3. Y2K관련 바이러스해킹 비상대응 체계 구축ㆍ운영

제 3 절 RTSD, K-COPS 현황

1. RTSD 현황

2. K-COPS(해킹취약점 점검서비스) 현황

제 5 장 정보보호 상담 및 기술봉사반 활동현황

제 1 절 개요

제 2 절 정보보호 상담실 활동

1. 정보보호상담실 목적

2. 정보보호 상담분야

3. ’99년도 정보보호 상담 현황

4. 활동결과 분석

참고문헌

부록 A. CONCERT 회원기관 및 연락처

A1. 운영위원회

A2. 일반회원

A3. 개인회원

- 6 -

부록 B. FIRSTㆍAPSIRC 회원기관 및 연락처

Bl. FIRST 회원기관 및 연락처

B2. APSIRC 회원기관 및 연락처

부록 C. 바이러스 대응기관 연락처

C1. 한국정보보호센터 컴퓨터바이러스 전담반

C2. 바이러스ㆍ해킹사고 등 컴퓨터 범죄 수사 연락처

C3. 백신제작업체 연락처

C4. 데이터 백업 및 복구 기술지원 연락처

C5. 방역서비스 긴급연락처

부록 D. 한국정보보호 산업 협회 회원사 목록

부록 E. 국내의 정보보호관련 URL 목록

E1. 국내 URL

E2. 국외 URL

부록 F. 정보보호 관련 공개 S/W 현황

F1. Packet Filtering & 접근제어 도구

F2. 보안 취약점 Scanner

F3. Scanning 역탐지 도구

F4. 네트웍 모니터링 도구

F5. 시스템 내부 취약점 점검도구

F6. 패스워드 & 인증 관련 보안도구

F7. 암호화 체크섬(Checksum) 도구

F8. 보안강화용 대체프로그램

F9. Windows95/NT 보안 도구

- 7 -

부록 G. 운영체제별 '99년도 보안취약점 및 패치 URL 목록

G1. Linux

G2. AIX

G3. Digital

G4. IRIX

G5. HPUX

G6. Solaris/Sun

G7. WindowsNT

부록 H. '99 해킹방지 기술권고문 현황

H1. CERTCC-KR 보안권고문

H2. 미국 CERT/CC 보안권고문

H3. 미국 CIAC 보안권고문

H4. 호주 AUSCERT 보안권고문

부록 I. '99 바이러스 예보 및 경보 현황

부록 J.'99 정보보호관련 기술이전 현황

J1. 기술이전 현황

J2. 이전기술 소개

부록 K. 해킹 및 바이러스 언론보도

K1. 경향신문

K2. 국민일보

K3. 대한매일

K4. 동아일보

K5. 매일경제

K6. 서울경제

K7. 연합뉴스

- 8 -

K8. 전자신문

K9. 조선일보

K10. 중앙일보

K11. 한겨레신문

K12. 한국경제

K13. 한국일보

- 9 -

표 목 차

[표 2-1] 기관별 해킹 피해 건수

[표 2-2] 국내 국제간의 피해관계

[표 2-3] 국외 협력 현황

[표 2-4] 해킹기법별 발생현황

[표 2-5] 연도별 해킹사고 변화

[표 2-6] 연도별 국외 해킹사고 발생현황

[표 2-7] '99년 연도별 바이러스 현황

[표 2-8] '99년도 바이러스 종류별 현황

[표 2-9] '99년 출처별 바이러스 현황

[표 2-10] 외국 CIH 국가별 피해 현황

[표 3-1] trinoo 공격 예(1)

[표 3-2] trinoo 공격 예(2)

[표 3-3] TFN 데몬 실행결과

[표 3-4] 네트워크에서 탐지된 trinoo 공격

[표 3-5] 포트 스캔을 통한 탐지 trinoo공격

[표 3-6] mworm 공격 패턴

[표 3-7] mworm 공격 스크립트

[표 3-8] mworm 쉘 스크립트

[표 3-9] mworm의 myrand()

[표 3-10] mwd-mount 스크립트

[표 3-11] mworm 공격패턴

[표 3-12] rps.statd 공격프로그램 일부

[표 3-13] rstatd 데몬 스캔 형태

[표 3-14] automountd 취약점 공격

[표 3-15] 대표적인 트로이목마와 뒷문 프로그램 사례

[표 3-16] 트로이목마와 뒷문 프로그램

[표 4-1] Y2K문제와 바이러스ㆍ해킹문제 구별방법

[표 4-2] Y2K관련 바이러스ㆍ해킹 비상대응반 참여기관 현황

[표 4-3] 비상대응상황실 대응활동 실적

[표 4-4] 바이러스 신고접수 현황

[표 4-5] RTSD 스캔공격 탐지현황

- 10 -

[표 4-6] 기관별 K-COPS 신청 건수

[표 4-7] 신청기간별 서비스 현황

[표 4-8] 취약점 점검 건수

[표 4-9] 신청기관별 취약점 점검 건수

[표 5-1] 월별상담 현황

[표 5-2] 정보보호 분야별 상담현황

[표 5-3] 기관별 정보보호 상담현황

[표 I-1] '99년 주요 바이러스와 대응 현황

[표 I-2] Y2K관련 신종 컴퓨터바이러스 경보 현황

[표 J-1] 침입탐지시스템 분류

[표 J-2] 침입탐지시스템 비교

[표 J-3] 감사기록 수집기의 기능

[표 J-4] 침입분석기의 분류

[표 J-5] OLID시스템 개발환경

[표 J-6] 탐지모듈 생성기의 Yacc 문법

[표 J-7] 대표적인 보안 관리, 점검 도구

[표 J-8] 취약점 복구 유형별 세부 복구 방법 예

[표 J-9] 패스워드 그룹의 세부 정책 구성

[표 J-10] 파일전송 그룹의 세부 정책 구성

[표 J-11] 사용자 환경 그룹의 세부 정책 구성

[표 J-12] 관리자 환경 그룹의 세부 정책 구성

[표 J-13] 네트워크 그룹의 세부 정책 구성

[표 J-13(계속)] 네트워크 그룹의 세부 정책 구성

- 11 -

그 림 목 차

(그림 1-1) 해킹기법 변천 과정

(그림 2-1) 월별 해킹사고 접수현황

(그림 2-2) 기관별 해킹사고 접수현황

(그림 2-3) 연도별 해킹사고 변화

(그림 2-4) 백오리피스 화면

(그림 2-5) 해킹당한 H 대학의 홈페이지

(그림 2-6) 미 상원의원 홈페이지와 해킹으로 변조된 화면

(그림 2-7) '99년 연도별 바이러스 현황

(그림 2-8) '99년도 바이러스 종류별 현황

(그림 2-9) 연도별 국의 바이러스 증가 추이

(그림 2-10) 바이러스 확산 경로

(그림 2-11) 연도별 바이러스 감염원인 변화추이

(그림 3-1) trinoo 공격 개념도

(그림 3-2) tripwire 동작개념

(그림 3-3) 백오리피스 메인화면

(그림 3-4) 백오리피스를 이용한 파일유출

(그림 3-5) 백오리피스 설치확인

(그림 3-6) 레지트리 편집기에서 확인된 백오리피스

(그림 3-7) Deep Throat 초기화면

(그림 3-8) Netbus 다운로드화면

(그림 3-9) Sub 7 초기화면

(그림 3-10) 백오리피스 전용 탐지 도구

(그림 3-11) 백오리피스 2000 전용 탐지 도구

(그림 3-12) 트리이목마 탐색 도구화면(1)

(그림 3-13) 트리이목마 탐색 도구화면(2)

(그림 3-14) Window Spawner 공격

(그림 3-15) Java Applet Killer

(그림 3-16) 전자메일을 통한 자료 유출

(그림 3-17) Frame Spoofing 공격 화면

(그림 3-18) Netscape Web Browser보안 설정

(그림 3-19) Internet Explorer Web Browser보안 설정

- 12 -

(그림 3-20) mIRC의 웹 바이러스 방지 설정

(그림 3-21) nuke 공격프로그램

(그림 3-22) WinGenocide 프로그램

(그림 3-23) mIRC의 웜 바이러스 방지 설정

(그림 3-24) Netscape의 자바 보안 설정

(그림 3-25) Explore의 자바 보안 설정

(그림 4-1) Y2K관련 바이러스ㆍ해킹 비상대응체계도

(그림 4-2) 비상대응상황실 관련 홈페이지 화면

(그림 4-3) 비상대응상황실 대응업무 절차

(그림 4-4) 전체 시스템 개요

(그림 4-5) RTSD Agent/RTSD Manager 구성도

(그림 4-6) K-COPS 화면

(그림 4-7) K-COPS 기관별 신청현황

(그림 4-8) 발견된 취약점별 비율

(그림 5-1) 월별상담 실적 변화

(그림 5-2) 기관별 상담 비율

(그림 J-1) 네트워크 침입탐지시스템 개념도

(그림 J-2) OLID시스템 구성

(그림 J-3) 침입탐지 분석 구성요소

(그림 J-4) Oversize ICMP 공격 탐지

(그림 J-5) OLID시스템 구조

(그림 J-6) 쓰기 제한된 파일/디렉토리에 대한 침입행위 탐지

(그림 J-7) OLID시스템 초기화면

(그림 J-8) 침입탐지 규칙설정(Address & Prot Probing)

(그림 J-9) 침입탐지 규칙설정(DOS & Vulnerable port Probing)

(그림 J-10) 침입탐지 규칙설정(Input Command Pattern)

(그림 J-11) 침입탐지 동작화면

(그림 J-12) 침입상태 설명 및 침입 통계현황 화면

(그림 J-13) 실시간 침입탐지시스템의 태동

(그림 J-14) 침입탐지시스템의 탐지영역

(그림 J-15) 호스트기반 침입 탐지시스템 의 전체 구조

(그림 J-16) 침입탐지시스템 구조

(그림 J-17) audit trail에 기록되는 token 종류

- 13 -

(그림 J-18) 패턴의 Petri-Net 구성과 자료구조 표현

(그림 J-19) 침입상황표시기 화면

(그림 J-20) 보안취약점 자동복구 시스템 전체 구성도

(그림 J-21) 보안취약성 자동 패치 시스템 구조

(그림 J-22) 사용자 인증 화면

(그림 J-23) 시스템의 초기화면

(그림 J-24) 점검수행 결과화면

(그림 J-25) 복구정책 설정화면

(그림 J-26) 복구완료 확인화면

- 14 -

제 1 장 개요

- 15 -

제 1 장 개요

’96년부터 시작한 「해킹현황 및 대응」보고서는 매년 발간하여 올해로써 4회째를 맞이

하게 되었다. 그 동안 이 보고서는 매년 그 해 동안의 해킹 등 침해사고에 대한 총정리

와 분석자료를 제공함으로써 국내 정책수립과 정보보호산업체들의 마케팅 자료 등에 이

용되기도 하였고 해킹에 대한 문외한들이 현황과 기본적인 개념을 이해하는데 도움을 주

기도 하였다.

1980년대 중반부터 시작된 해킹과 바이러스는 세기말이 되기까지 그 패러다임의 변화가

매우 변하여 왔으며 해킹기법도 상상하지 못할 수준으로 발전되어 왔다. 이는 인터넷의

상업화에 따르는 비약적인 팽창과 정보시스템 기술과 정보보호기술의 변화에도 영향을

받은 것이라고 볼 수 있다. 유닉스가 인터넷 서버로 주종을 이루고 있을 때 시스템에 대

한 직접적인 해킹침투는 윈도우 혹은 NT서버, 익스플로러 등 마이크로소프트사의 제품

과 리눅스 기종 등 인터넷에서 많이 활용되는 기종과 제품들이 해커들의 목표가 되고 있

는 경향을 보이고 있다. 특히 일반인이 많이 이용하고 있는 윈도우PC를 겨냥한 바이러

스 공격은 웜(Worm)바이러스, 트로이 목마형 바이러스 등 해킹기법을 응용한 기법들이

주류를 이루어가고 있어 바이러스와 해킹의 경계가 모호해지는 경향을 보이고 있다. 그

리고 시스템과 네트워크 파괴를 노리는 서비스 거부공격은 인터넷 이용 기관 뿐 아니라

국내 인터넷 전체의 혼란을 가져올 정도로 막강한 기법들이 출현하고 있는 실정이다.

(그림 1-1) 해킹기법 변천 과정

- 16 -

또한 '99년 들어 해킹과 바이러스 건수도 가파른 증가추세를 보여주고 있으며 이러한 증

가 추세는 비단 국내 뿐 아니라 전 세계적으로도 공통된 현상이므로 새천년을 맞이하는

마음가짐이 달라야 할 것이다.

'99년 해킹바이러스 등 침해사고의 특징은 다음과 같이 요약할 수 있다.

o 해킹사고의 급격한 증가

'98년 158건이던 해킹사고 보고가 '99년 572건으로 3.5배 증가하였다는 사실이다. mscsn,

sscan 등 보다 뛰어난 해킹취약점 분석도구의 개발로 누구나 해킹이 손쉬워졌다는 점에

기인한 것이다. 뿐만 아니라 KISA의 침해사고 대응팀의 존재가 국내의 널리 알려진 점

도 한 몫을 하였을 것이다.

o 해킹취약점탐지공격 및 버퍼오버플로우 해킹기법이 가장 많아

해커들이 이용한 해킹수법 중 가장 많은 방법으로서 해킹을 시도하기 전에 우선 대상시

스템의 취약요소를 파악하려 한 것이다. 그리고 '99년부터 시도되기 시작한 원격지에서

의 버퍼오버플로우 공격은 관리자권한을 손쉽게 빼낼 수 있는 방법으로서 SUN Solaris

가 주된 표적이 되고 있다.

o 해외 해커들의 국내 해킹이 가장 많아

'98년과 마찬가지로 해외 해커들의 국내기관 해킹 경우가 가장 많은 건수를 차지하고 있

다. 국내 해커가 해외로 공격한 24건까지 포함한 전체 596건 중 해외 해커의 침입이

46%를 차지하고 있으며 기록 미비로 확인이 어려운 경우 41.9%의 많은 부분이 해외 해

커의 침입일 것으로 추정되므로 70%이상이 될 것으로 보인다.

o 대학, 초ㆍ중ㆍ고등학교 등 교육기관과 중소기업이 많은 피해

교육기관이 가장 많은 피해를 보았으며 그밖에 웹 호스팅 등 소규모 인터넷사업을 하는

업체들의 해킹피해도 많은 것으로 나타났다.

o 윈도우PC 및 리눅스 해킹사고의 증가

'99년 중반에 발표된 백오리피스2000(BO2K) 경우는 전 세계 누구나 개인이 소지한 PC

를 제어할 수 있는 해킹기법으로써 자리 잡게 되었고 개인이 해킹피해를 신고하는 경우

도 증가하고 있다. 또한 리눅스가 많은 인터넷서버로 활용되면서 리눅스도 해킹대상이

되고 있다.

- 17 -

o 악성바이러스의 증가

윈도우용 악성바이러스는 주로 전자우편 첨부로 전달되는 웹 바이러스가 주류를 이루고

있으며 또한 Ecokys처럼 트로이 목마 형태도 주류를 이루어가고 있다.

새천년에는 99년도에 뉴밀레니엄을 겨냥하여 출몰하였던 새로운 해킹기법과 더불어 다음

과 같은 특징적인 해킹 및 바이러스기법들이 출몰할 것으로 보인다.

ㅇ 대규모 혼란과 파괴를 노리는 분산 집중 서비스거부공격 해킹

ㅇ 윈도우2000과 리눅스의 해킹취약점을 노리는 해킹이나 바이러스

ㅇ 해킹기법을 응용한 것 보다 자동전파가능 웹 바이러스 및 유닉스용 바이러스

ㅇ 자바스크립트, 쿠키, 액티브액스 등 웹 기반 악성코드에 의한 개인정보 유출 등

ㅇ 신종응용프로그램의 해킹 취약점에 대한 끊임없는 공격시도

※ 인간이 제작하는 응용프로그램은 항상 버그와 취약점이 존재

그 밖에도 더 나아가 특정 하드웨어 플랫홈에 상관없는 지능형 해킹 및 침투로봇 등도

예측될 수 있다.

지금까지 해킹과 바이러스는 호기심과 영웅심리 등에 의한 학생들의 해킹(Recrational

Hacker)이 주종을 이루었고, 일부 행동주의자가 해키비스트(Hackvist)로서 물의를 일으

키기도 하였다. 하지만 새천년부터는 범죄적인 해킹이 눈에 띄게 나타날 것이다. 인터넷

금융시스템에 대한 해킹시도, 전자상거래 운영기관 등에 대한 해킹으로 금전적인 이익을

추구하는 경우가 많아질 것이며 대기업 등에 침입하여 기업기밀정보를 빼가는 행위들도

많아질 것이다. 이러한 이윤 추구형 해킹은 일반사회생활에서 보이는 범죄와 다를 바 없

는 상황이 될 것이다.

하지만 무엇보다도 우려되는 해커들의 동기로서는 국가간의 사이버공격이 될 것이다. 모

든 국가가 컴퓨터에 의한 중요기간시설과 정보시스템제어가 이루어지고 있는 상태에서

이제 인터넷을 이용한 정보교환이 필수적으로 되고 있으므로 다른 국가가 마음만 먹는다

면 파괴와 혼란을 불러일으킬 수 있는 것이다.

- 18 -

여기에는 은밀한 침투, 서비스거부공격에 의한 시스템과 네트워크의 마비, 성능저하를 목

적으로 한 사이버공격이 있다. 물론 이러한 공격은 국가의 정보기관, 국방기관들이 직접

문제를 일으킬 수도 있으나 해커집단을 사주하여 공격할 수도 있다.

해킹과 바이러스 공격에 제대로 대응하기 위해서는 한 두 개의 전문기관이나 정부기관이

나서서는 되지 않는다. 국가적 차원에서 보다 우수한 정보보호시스템과 기술개발을 지원

하여야 하며, 전 사회적으로 적용할 수 있는 법과 제도의 정비가 필요하며 또한 정보통

신망운영기관들이 최소한의 정보보호 예산을 마련할 수 있도록 하여야 한다. 또한 각 업

체들이 제작하는 시스템도 해킹이나 바이러스에 의한 침해가 발생하지 않도록 안전한 개

발체제를 갖추어야 할 것이다. 그리고 무엇보다도 중요하게 국가가 추진하여야 할 사항

은 실무자들의 재교육과 정보보호산업에서 요구되는 전문인력 양성이다. 새천년에도 정

보보호가 최대의 화두가 될 것이고 각국들이 경쟁적으로 사이버공격에 대한 대비책 마련

에 서두르고 있다는 점을 볼 때 기업과 공공기관에서 근무하는 정보통신 담당자들을 정

보보호 전문가도 재교육할 수 있는 교육 여건 마련과 체계 마련이 시급한 실정이다. 또

한 대학에서도 정보보호산업체와 정보통신망운영기관에서 필요로 하는 전문가들을 배출

할 수 있도록 전문교육을 실시하여야할 것이다.

한국정보보호센터의 기술지원팀은 지금까지 해킹대응과 바이러스 대응, 기술봉사반 등을

침해사고대응지원팀(CERTCC-KR) 이름으로 국내의 지원과 협력을 진행하였다. 이러한

기능을 더욱 활성화하고 구체적인 기술지원과 봉사를 위하여 기술 봉사팀으로 이름을 개

정하고 해킹 및 바이러스 대응, 기술자문 및 상담 등으로 업무 체계를 단순화하고 역량

을 집중하여 보다 전문적이고 선도적인 기술력 향상과 함께 활발한 대의 사업을 추진할

예정이다. 특히 봉사팀 전원이 모든 문제를 해결하고 대응할 수 있도록 체계를 마련하고

적극적인 기술지원을 할 것이다. 여기에는 정부공공기관에 대한 전문적인 컨설팅과 기술

협력을 마련해 나갈 것이며, 민간 기업 등 대학을 위해서는 자체적인 기술력 향상을 도

모할 수 있도록 침해사고대응지원팀(CONCERT)의 자체 협력 체계를 보다 강화할 것이

다. 그리고 무엇보다도 국내 해커들을 선도하여 보다 건전하게 민간에 대한 기술지원과

봉사로 보람을 가질 수 있도록 선도하기 위하여 해킹 막는 해커들의 봉사단을 결성하고

지원할 예정이다.

- 19 -

이러한 기술지원 체계는 최근 Y2K관련 바이러스ㆍ해킹 대응체계 운영 경험과 지원활동

을 연장하여 보다 효과적으로 지원할 수 있는 방안을 모색하고자 한다. 그리고 이러한

대의 자문상담 및 지원체계는 CONCERT 활동 체계 내에서 국내 정보보호컨설팅전문업

체 등과도 연계하여 공동으로 기술력 역량을 구축할 수 있는 포럼을 구성할 예정이다.

여기에는 해킹 막는 해커들의 봉사단 등과 공개적으로 해킹과 바이러스 기법 등을 토의

하는 장도 만들어 갈 것이다. 기술 봉사팀이 고려하는 자문상담 등 대외 지원에는 정보

보호전문기술교육과정 운영도 빼놓을 수 없는 부분이다. 지금까지 정보보호센터가 운영

하여 오던 일반적인 실무자 교육과정은 지양하고 2주 과정 등 OJT(On the Job

Training) 교육과정에 초점을 맞추어 실습을 겸한 과정으로 개편하고 전문 해킹 기법과

방지기술 교육도 개설하고자 한다.

이 보고서를 통하여 '99년 해킹 및 바이러스 사고의 통계, 분석 등과 국내외대응 현황,

각종 기술적인 자료를 보이고자 한다.

- 20 -

제 2 장 해킹ㆍ바이러스 현황 분석

- 21 -

제 2 장 해킹ㆍ바이러스 현황 분석

제 1 절 국내외 해킹 현황 및 사례 분석

1. 국내 해킹현황 및 사례분석

가. 국내 해킹현황

본 절에서는 국내의 해킹 피해기관 및 국외 CERT팀들로부터 CERTCC-KR에 접수된

해킹사고를 근거로 월별 해킹사고현황, 기관별 해킹사고현황, 국내ㆍ국제간의 피해관계

그리고 해킹기법 등을 분석하였다.

(1) 월별 해킹사고 발생현황

(그림 2-1)은 '99년 월별 국내 해킹사고 접수현황이다.

(그림 2-1) 월별 해킹사고 접수현황

'99년 초반기에는 약 2～30건의 해킹사고가 접수되었으며 중반기에 약 40여건의 해킹사

고가 접수되었고, 연말경에는 약 100여건으로 해킹사고가 급속히 증가하였음을 보여주고

있다. 매년 해킹사고가 꾸준히 증가하고 있는데 '99년 한 해 동안도 역시 이러한 증가추

세가 멈추지 않았음을 알 수 있다.

11월에 해킹사고가 116건으로 급격하게 증가한 것은 미국 에너지성 산하의 CERT팀인

CIAC1)의 해킹사고 접수에 기인한다.

1) CIAC(Computer Incident Advisory Capability) : 미국 에너지성(Department of Energy) 산하 기관들의 해킹사고 지원을 위한 대응팀

- 22 -

CIAC에서는 미 에너지성 시스템을 공격한 한 해커를 검거하여 수사하는 과정에서 지난

6월～11월 동안 59개 기관 179개의 국내 시스템이 해킹 당하였을 가능성이 있다고

CERTCC-KR에 보고하였다. 실제 이들 시스템들 중 일부를 분석해 본 결과 미국 등지

로부터 해킹을 당하여 이미 시스템 관리자 권한을 도용당한 상태였다.

12월에는 CIAC에서의 사고보고 등 특별한 사건이 없었음에도 불구하고 96건이라는 엄

청난 수의 해킹사고가 접수되었는데 이는 연말을 기해 인터넷의 정상적인 서비스를 할

수 없도록 방해하기 위한 해커들이 갖가지 도구를 이용하여 해킹시도를 하였기 때문으로

분석된다. 12월경에 바이러스와 마찬가지로 자기복제 능력을 가진 밀레니엄 인터넷 웜이

국내 피해시스템에서 발견되기도 하였으며 대규모의 피해시스템을 이용하여 특정 시스템

을 공격하는 서비스 거부 공격도구가 발견되기도 하였다.

다음 [표 2-1]은 월별 해킹피해 기관을 나타내고 있다.

12월에 지역 도메인에 대한 해킹사고가 다수 접수되었는데 이들은 대부분 초ㆍ중등학교

의 리눅스 서버로 방학기간동안 시스템 관리자의 관리 소홀로 인해 지속적으로 공격을

당하였다.

[표 2-1] 기관별 해킹 피해건수

- 23 -

(2) 기관별 피해현황

기관별 해킹 피해 접수현황((그림 2-2) 참조)을 살펴보면 대학이 262건(45.8%)로 가장

많은 해킹사고가 접수되었으며 일반기업이 248건(43.4%)로 두번째로 많은 사고가 접수되

었고, 지역 등의 기타가 29건(5.1%), 비영리기관이 22건(3.8%), 연구소가 11건(1.9%) 순

으로 접수되었다.

(그림 2-2) 기관별 해킹사고 접수현황

대학과 일반기업이 89.2%로 대부분의 해킹사고가 발생하고 있는 이유는 다음과 같이 분

석할 수 있다.

우선 가장 많은 해킹사고가 발생된 대학의 경우 시스템 및 네트워크 규모가 방대하며 사

용자 또한 교수, 교직원, 학생 등 대단히 다양하여 보안정책을 세우기가 쉽지 않다. 또

대부분의 대학 해킹사고는 대학의 주요서버이기 보다는 각 연구실에서 운영하고 있는 리

눅스 서버가 해킹피해가 심각한 것으로 나타났다.

일반기업의 경우도 대부분의 해킹사고는 보안에 대한 대책을 세울만한 여력이 없는 중소

업체 또는 웹 호스팅 업체에서 발생하였다. 반면에 대기업의 경우최근 침입차단시스템

등 보안도구를 활용하여 보안을 강화하고 있어 해킹사고피해가 적은 것으로 분석되고 있

다.

(3) 국내ㆍ국제간의 피해관계

국내ㆍ국제간의 피해관계([표 2-2] 참조)를 살펴보면 국내에서 국외로의 해킹시도 및 공

격은 24건(4.0%)인데 반해 국외에서 국내 시스템에 대한 해킹시도 및 공격은 모두 274건

(46.0%)에 달하고 있다.

- 24 -

[표 2-2] 국내 국제간의 피해관계

피해 경로를 분석할 수 없는 경우는 공격자가 추적을 피하기 위해 로그를 삭제하거나 피

해기관에서 자체적으로 분석한 경우로써 이들 중에서도 많은 부분이 국외에서의 침입이

있을 것이라고 보고 있다. 국외 공격자의 경우 국내시스템에 침입하여 홈페이지 변조, 시

스템 파괴, 중요정보 유출 등 시스템에 심각한 피해를 입히는 경우도 있으나, 대부분 국

내 시스템을 타 기관 침입을 위한 중간 경유지로 이용하고 있다. 하지만 이러한 경우도

공격자가 이미 시스템 관리자 권한을 도용한 상태이므로 언제든 시스템에 막대한 피해를

입힐 수도 있다.

국내에서 국내 시스템에 대한 공격은 48건(8.1%) 발생하였으며 이들은 대부분 백오리피

스 등 윈도우즈 시스템에 대한 공격이었다.

또한 CERTCC-KR과 국의 CERT 팀 등과 활발한 정보교환이 이루어졌는데 올 한 해

동안 국외에서 접수된 해킹사고 건수는 다음 표와 같다.

[표 2-3] 국외 협력 현황

국가 기관 건수

미국

DOD CERT 11

ORNL 59

CIAC 27

NASA 2

유럽 EuroCERT 6

영국 JANET-CERT 40

독일 DFN-CERT 17

프랑스 CERT-RENATER 25

네덜란드 CERT-NL 7

호주 AUSCERT 27

핀란드 FunetCERT 4

스페인 IRIS-CERT 7

슬로베니아 SI-CERT 1

일본 JPCERT 5

기타 122

계 360

- 25 -

이처럼 CERTCC-KR에 접수되는 사고 중 절반이 넘는 수의 사고가 국외로부터 접수되

고 있으며, 국내에서도 피해시스템을 분석하는 과정에서 발견되는 국외 관련 정보는 관

련 기관 및 CERT팀에 제공함으로써 협력체제를 구축하고 있다.

(4) 해킹기법에 따른 분류

보통 해킹기법을 분류하는 방법은 국제적으로 다양한 방법들이 알려져 있다. 단순히 해

킹을 당할 수 있는 시스템의 취약점 위주로 분류하는 방법이 있으며 해킹으로 인한 영

향, 위험성 등에 의해서도 분류하는 방법이 있다. 침입차단시스템(Firewall) 공개 SW를

최초로 개발한 Marcus J. Ranum 은 해커들이 이용하는 방법에 따라 일반적으로 분류한

방법을 소개하였으며 한국정보보호 CERTCC-KR에서도 이 분류 방법을 일부 확장하여

다음 10가지로 분류하였다.

ㅇ 사용자 도용(Impersonation) : 보통 가장 일반적인 해킹방법으로 알려져 있는데 다른

일반 사용자의 ID 및 패스워드를 도용하는 방법으로서 sniffer 등을 이용하여 정보를 알

아낸 후 시도하게 된다.

ㅇ SW 보안오류(SW Vulnerability) : 컴퓨터내의 시스템 SW나 응용소프트웨어의 버그

등을 이용한 공격방법이다.

ㅇ 버퍼오버플로우 취약점(Buffer Overflow) : 최근 많이 이용되고 있는 방법으로서 소

프트웨어 변수관리상의 문제인 오버플로우버그를 이용하여 불법으로 명령어를 실행하고

나 권한을 가지는 방법이다.

ㅇ 구성설정오류(Configuration Vulnerability) : 시스템 SW의 설치나 운영상에 오류를

이용한 공격방법이다.

ㅇ 악성프로그램(Malicious Codes) : 바이러스, 웜 등의 공격이나 침입 후 설치하는 뒷문

프로그램, 트로이목마 등이다.

ㅇ 프로토콜취약점(Protocol Infrastructure Error) : 인터넷의 통신프로토콜인 TCP/IP 의

설계 취약점을 이용한 구조적인 공격기법이다.

ㅇ 서비스거부공격(Denial of Service Attack) : 시스템이나 네트워크의 정상적인 동작과

서비스를 방해하거나 정지시키는 공격이다.

ㅇ E-Mai1 관련 공격(Email Vulnerability) : 전자우편 폭탄, 스팸메일 공격이다.

ㅇ 취약점 정보수집(Vulnerabilties Probing) : 어떤 시스템을 공격하기 전에 시스템의 취

약점을 알아내고자 하는 스캔공격이다.

- 26 -

ㅇ 사회공학(Social Engineering) : 관리자를 속여 패스워드를 알아내거나 권한을 얻어내

는 방법이다.

이러한 분류법에 의해 '99년 한 해 동안 접수된 해킹사고에서 사용된 해킹기법은 [표

2-4]와 같다. 이 표에서 밝히고 있는 해킹기법별 건수는 한 해킹사고에 중복된 해킹기법

이 사용될 수도 있으며, 해킹기법이 정확히 밝혀지지 않은 사고도 존재할 수 있으므로

해킹사고 접수 건수와 일치하지 않는다.

[표 2-4] 해킹기법별 발생현황

분류 공격 방법 횟수 비고

사용자 도용(68)

sniffer 38네트워크 모니터링에 의한 사용자 ID 및 패스워드 도용

brute force 4 사전공격(dictionary attack) 등

crack 6 패스워드 크랙킹

디폴트 계정 도움 2 SGI 디폴트계정 도용

기타 18 PC 통신 ID 도용 등

S/W 보안오류 이용(3)

phf-CGI 3phf 취약점 이용 패스워드 파일 유출 등

버퍼오버플로우 취약점(214)

popd 19

imapd 22

mountd 45

named 16

amd 23

ftpd 32

rpc.statd ＆ automountd

20

rpc.ttdbserver 2

rpc.cmsd 6

ufsrestore 1

기타 28 기타 RPC 취약점 이용 등

구성ㆍ설정 오류(2)

신뢰관계 이용 1 .rhosts 설정 오류 이용

기타 1

악성 프로그램(58)

Back Orifice 25

NetBus 1

rootkit 27

백도어 3

인터넷웜 1 밀레니엄 인터넷 웜

기타 1

프로토콜 취약점(0)

- 27 -

분류 공격 방법 횟수 비고

서비스거부공격(16)

smurf 9

trinoo 3

ping flooding 1

SYN flooding 1

nuke 1

기타 1

E-mail 관련 공격(20)

spam mail 19 스팸릴레이 공격

mail bomb 1

취약점 정보수집(272)

mscan 41

sscan 5

imapd scan(143 port)

21

popd scan(110 port)

9

named scan(53 port)

3

ftpd scan(21 port)

24

CGI scan(80 port)

1

SUN RPC scan(111 port)

60

백오리피스 scan(31337 port)

5 31337 port 스캔

Net Bus scan(12345 port)

4 12345 port 스캔

port scan 89

기타 10

시회공학(4)

패스워드 노출 등 4

우의 결과에서 볼 수 있는 것과 같이 취약점 정보수집 공격이 272건 발생하여 가장 많은

공격이 이루어진 것을 알 수 있다. 취약점 정보수집 공격은 시스템에 불법적인 침입을

하기 위한 사전 준비단계로서 해킹 가능한 보안취약점을 찾기 위한 공격이다. 지난 '98

년에 발표된 mscan, '99년 1월에 발표된 sscan 등 해킹 가능한 보안취약점을 자동으로

탐색하여 주는 많은 스캔공격 도구들이 공개되었으며, 해커들이 침입에 앞서 취약한 시

스템들을 찾기 위해 이러한 도구들을 많이 활용하고 있음을 알 수 있다. 또한 최근 rpc

관련 서비스들에 취약점이 발견되어 공격의 목표가 되고 있는데 역시 이들 취약한 rpc

서비스를 찾고자 하는 RPC 스캔 공격이 60건으로 많이 발생하였다.

- 28 -

버퍼오버플로우 취약점을 이용한 공격은 214건 발생하였는데 이는 실제 시스템에 불법적

인 침입을 위해서 사용되고 있다. '99년 한 해 동안 시스템에 불법적인 침입은 대부분

이러한 버퍼오버플로우 버그로 인해 발생되었다는 것을 알 수 있다. 특히, 버그가 알려진

RPC 서비스들이 주요 공격의 목표가 되었다. 리눅스 레드헷 5.x 버전의 경우 mountd에

의해 많은 공격을 당하였고(CIAC에서 보고 된 많은 피해예상 시스템들도 mountd에 의

한 공격을 받았었음), 레드헷 6.x 버전의 경우 amd 취약점에 의해 많은 공격을 당하였

다. 또, 지난 '98년과는 달리 '99년도에는 리눅스 서버뿐만 아니라 중형 시스템인 솔라리

스도 피해 접수가 많이 되었다. 솔라리스 시스템의 해킹에 사용된 기술은 rpc.cmsd,

rpc.ttdbserve, rpc.statd & automountd, rpc.sadmind 등이었다.

사용자도용 공격에서는 sniffer를 이용한 사용자 도용이 38건으로 가장 많이 발생하였는

데 이는 공격자들이 시스템을 공격한 후 동일 네트워크의 패킷을 모니터링 하여 쉽게 타

시스템에 침입할 수 있기 때문에 해커들 사이에서 많이 사용되고 있음을 알 수 있다.

관리자의 실수 또는 부주의에 기인할 수 있는 구성ㆍ설정상의 오류를 이용한 공격은 신

뢰관계설정 오류 등 2건만이 발견되었지만 이러한 오류를 이용한 성격상 탐지가 힘들므

로 실제 더 많은 공격이 있을 수 있다고 볼 수 있다.

악성프로그램을 이용한 공격은 윈도우즈 시스템에서 백오리피스 공격이 25건, NetBus

공격이 1건 발생하였다. 백오리피스는 윈도우즈 시스템 공격에 가장 많이 사용되고 있으

며 일반 사용자들도 NOBO 등 백오리피스 탐지 시스템을 설치하여 모니터링하고 있어

침입시도시 즉시 신고함으로써 사고접수 건수가 많은 것으로 분석된다. 유닉스 시스템에

서는 rootkit에 의한 공격이 27건으로 가장 많았는데 공격자가 시스템 공격 후 rootkit을

이용하여 재 침입 또는 추적을 피하기 위한 목적으로 각종 시스템파일을 트로이버전으로

바꾸고 있음을 알 수 있다.

서비스 거부공격에서 가장 많이 발생된 것이 smurf 공격으로 9건이 접수되었다. smurf

공격을 포함하여 대부분의 서비스 거부 공격이 공격 출처를 속이고 있기 때문에 추적이

어렵다.

- 29 -

서비스 거부공격의 일종이라고 할 수 있는 E-mai1 관련 공격의 대부분은 스팸메일 공격

으로써 국내 메일서버들이 스팸 릴레이를 의부에 허용함으로써 인해 발생되고 있다. 모

두 19건이 접수되었는데 실제 스팸메일은 흔히 해킹이라고 생각하고 있지 않으므로 신고

를 하지 않는 것을 감안할 때 훨씬 많은 수의 사고가 발생하고 있을 것으로 예상하고 있

다.

(5) 해킹사고의 연도별 변화

한국정보보호센터가 출범한 '96년의 해킹사고 통계는 언론 등에 보도된 내용을 포함한

것으로 CERTCC-KR에 의한 실질적인 통계는 '97년부터 이루어져 왔다고 할 수 있다.

[표 2-5]과 같이 '97년 64건, '98년 158건, '99년 572건의 해킹사고가 접수되어 매년

300% 정도로 급격히 증가하고 있음을 알 수 있다.

[표 2-5] 연도별 해킹사고 변화

(그림 2-3) 연도별 해킹사고 변화

해킹사고가 이처럼 급속히 증가하는 데는 다음과 같이 몇 가지 원인으로 분석할 수 있

다.

첫째, 정보시스템의 활용도가 높아졌으며, 인터넷 등 네트워크를 통하여 서로 연결되어

가고 있다. 최근 각 정보시스템들이 내부적으로는 LAN에 의해 연결되어 있고, 또한 인

터넷에 연동되어 전 세계의 어디든지 시간과 공간의 구애를 받지 않고 정보를 교환하고,

각종 서비스를 제공받을 수 있도록 되어 있다.

- 30 -

반면에 네트워킹화에 따라 내부 사용자뿐 아니라 전 세계의 어느 사용자라 할지라도 내

부 시스템에 불법적으로 접근할 가능성이 높아졌다. 실제 국내 정보시스템 침해사고의

상당부분이 국외 해커에 의해 이루어졌다.

둘째, 해커들간의 자유로운 정보의 교환이다.

해커들은 자신들의 웹 페이지를 만들어서 해킹기술을 인터넷에 자유로이 공개하고 있어

누구나 해킹 정보를 쉽게 구할 수 있다. 예전에는 인터넷을 이용하는 국내 몇몇 대학들

의 전유물로 여겨지던 네트워크 침입 등의 해킹이, PC 통신과 인터넷이 연동되고 일반

전국의 대학들이 인터넷에 대대적으로 연동됨에 따라 침해사고로 인한 피해건수와 해커

의 수가 절대적으로 늘어나고 있는 실정이다.

셋째, 정보시스템 관리자의 시간적ㆍ기술적 역량 부족을 들 수 있다.

정보시스템을 공격하려고 하는 수많은 해커들은 공격 기술에 심취해서 정보시스템을 공

격하려고 하고 있지만, 정보시스템의 관리자는 기관의 수많은 시스템을 관리하여야 하며,

고유 업무에 많은 시간을 빼앗겨 정보보호에 신경을 쓰기가 쉽지 않다. 최근에는 정보보

호에 대한 인식이 많이 확산되어 관리자들이 정보보호를 위해 대처하려고 하지만 막상

정보보호에 대한 지식의 결여로 인해 실천에 옮기기는 쉽지 않은 실정이다.

나. 국내 해킹사래

한국정보보호센터 침해사고대응지원팀에 접수된 해킹사고의 사례를 소개함으로써 이와

유사한 해킹사고를 미연에 방지할 수 있도록 도움을 줄 수 있으면 한다. 단, 피해기관을

보호하기 위해 이미 언론 등에 알려진 경우 의에는 실제 기관명을 사용하지 않기로 한

다.

(1) 백오리피스를 이용한 주요자료 유출 사건

□ 사건 경위

'99년 3월 서울 모대학교 L군은 과기대의 네트워크를 대상으로 개인 PC의 해킹프로램인

백오리피스가 설치되어 있는 시스템을 점검한 후, 백오리피스를 이용하여 시스템 내 “우

리별 3호” 대한 정보 등 주요 정보를 탈취하였다.

- 31 -

L군은 평소 해킹에 관심이 많은 학생으로 자신의 홈페이지에 해킹하는 방법 등 해킹 관

련 자료들을 게시하였다. 또한 과기대로부터 탈취한 “우리별 3호” 등의 자료를 “자유 게

시판”에 게시하기도 하였다. 이 사건은 피해기관 네트워크담당자의 의뢰로 경찰청 컴퓨

터 범죄 수사대에 신고 되어 침입행위를 한 L군은 불구속 입건되었다.

과기대 해킹사고 이외에도 백오리피스를 이용한 해킹사고는 지속적으로 접수되고 있다.

특히, 다수의 사용자들이 사용하는 PC방에서 백오리피스를 이용하여 외부에서 시스템을

파괴하거나, 수행중인 프로그램들(스타크래프트, 웹브라우저 등)을 강제로 종료시켜 어떻

게 대처해야 하는지에 대한 문의도 많이 들어오고 있다.

최근 PC방에서 게임뿐만 아니라 직장인들이 점심시간을 이용하여 PC 뱅킹이나 주식거

래를 많이 하고 있다. 하지만, 여기에 자신이 입력하고 있는 개인정보가 해커에 의해 유

출될 수 있다는 생각은 가지고 있지 않을 것이다. 충분히 현실성 있는 다음의 가상 시나

리오를 생각해 보자.

악의적인 해커 X는 PC방의 한 시스템에 백오리피스를 몰래 설치하고 이 PC에서 입력되

는 모든 내용이 특정한 파일에 저장되도록 한다. 이 사실을 알지 못하는 직장인 A씨는

점심시간을 이용하여 한 은행의 인터넷 뱅킹 사이트에 접속하여 자신의 계좌번호, 사용

자 ID, 비밀번호를 입력한다. 해커 X는 자신의 방에서 백오리피스가 설치된 PC방의 시

스템에 접속하여 A씨의 계좌번호, 사용자 ID, 비밀번호가 들어 있는 파일을 가져와서 이

를 이용하여 불법적으로 자신의 구좌로 계좌이체를 시킨다.

이는 가상의 시나리오이지만 얼마든지 일어날 수 있는 일이다.

□ 사건 분석 및 대응

그러면 백오리피스는 어떤 해킹도구이고 어떻게 막을 수 있는지 알아보도록 하자.

백오리피스(Back Orifice)는 CDC(Cult of the Dead Cow)라는 해킹그룹의 Sir Dystic이

만든 윈도우즈 95/98에 대한 해킹 도구로 파일시스템의 모든 파일들에 대하여 접근이 가

능하고, 프로세스의 생성/삭제도 원격 조정할 수 있다. 그리고 시스템 패스워드 유출, 키

보드 모니터링, 네트워크자원의 공유지정, 네트워크접속 재지정, 파일조작, 레지스트리조

작도 가능하다. 이의에도 여러 가지 기능을 이용하여 원격사용자는 마치 자신의 시스템

처럼 백오리피스에 감염된 시스템을 사용할 수 있다.

- 32 -

(그림 2-4) 백오리피스 화면

윈도우즈 시스템에 대한 백오리피스의 심각성이 너무나 잘 알려져 있어 최근 바이러스

백신 업체에서도 이들을 진단하고 제거할 수 있는 기능을 가지고 있다. 따라서, 개인 PC

사용자들은 최신 백신을 이용하여 주기적으로 점검함으로써 백오리피스를 탐지하고 제거

할 수 있다.

이외에 다음과 같은 방법으로 수동점검이 가능하다.

ㅇ 백오리피스가 기본적으로 사용하는 31337 포트를 모니터링 하여 백오리피스 공격을

탐지할 수 있다. NOBO와 같은 공개 소프트웨어는 마치 자신이 백오리피스에 감염된 서

버인 것처럼 공격자를 속여 공격자의 행위를 모니터링 할 수 있는 도구이다.

ㅇ 백오리피스 설치시 c:＼windows＼system 아래에 windll.dll 이란 이름의 파일을 생성

한다. 공격자가 파일명을 조작할 수도 있으므로 8,192 바이트 크기의 파일을 점검한다.

ㅇ 백오리피스 설치시 c:＼windows＼system 아래에 “.exe” 이름의 파일을 생성한다. 공

격자가 파일명을 조작할 수도 있으므로 약 122K 크기의 파일을 점검한다.

ㅇ HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion

＼RunServices＼Default의 값을 regedit 명령으로 확인하여 Blank가 아니고 특정값이 들

어있으면 백도어가 있다고 판단하여 해당 값을 삭제한 후 시스템을 재부팅 시킨다.

- 33 -

(2) H 대학의 홈페이지 해킹 사건

□ 사건 경위

’99년 6월 H 대학교의 컴퓨터공학과 홈페이지가 국외 해커에 의해 변조되었다.

(그림 2-5) 해킹 당한 H 대학의 홈페이지

공격자는 벨기에와 캐나다에서 침입한 “chOjin” 밝힌 해커로 “gh(글로벌 헬)”가 미국의

FBI에 의해 수사를 받고 있는 것에 항의하는 내용으로 홈페이지를 변경하였다.

글로벌 헬은 지난 5월 백악관의 웹사이트가 부분 정지되는 사고가 발생하여 이를 수사하

는 과정에서 범인으로 지목된 해커 그룹으로, 대대적인 단속을 시작하면서 FBI와 사이버

전쟁이 시작되었다. 현재 연방수사국의 발표에 의하면, 이와 관련해 글로벌 헬 소속 해커

인 에릭 번스(19ㆍ사이버 이름은 자이클론)가 1년 전에 정부기관 컴퓨터를 3차례 공격한

혐의로 연방수사국에 체포돼, 버지니아 대배심에 의해 기소되었으며, 글로벌 헬 소속 해

커들 가운데 최소한8명이 연방수사국에 쫓기고 있다고 한다.

이를 항의하기 위해 해커들의 미 연방수사국의 사이트(www.fbi.gov)에 접근이 쇄도하자

연방수사국에서는 네트워크를 차단하는 조치를 취하였으며, 보안조치를 강화한 후 재 가

동할 계획의 발표가 있었다.

- 34 -

□ 사건 분석 및 대응

H 대학의 해킹 당한 시스템을 분석한 결과 웹서버의 /cgi-bin/phf를 이용하여 사용자 패

스워드 파일(/etc/passwd)가 유출되었으며, 이중 일부 사용자 계정(unix, shanta)을 도용

하여 시스템에 불법 접근하였다. 시스템의 관리자 권한을 획득하기 위해 “ping" 버퍼 오

버플로우 공격을 이용하였으며, 관리자 권한을 획득한 후에는 홈페이지 내용을 수정하는

행위만을 하였다.

H 대학의 불법침입 및 홈페이지 변조에 사용된 해킹 기법은 3가지이다.

첫째, /cgi-bin/phf 프로그램 자체의 오류를 이용한 비밀번호 파일(/etc/passwd) 유출이

다.

phf는 웹서버에서 사용되는 CGI 프로그램으로서 사용자 입력을 해석하는 부분에서의 오

류로 인해 원격지에서 임의의 명령을 수행시킬 수 있다. phf 공격을 받았을 경우 아래와

같은 로그가 남는다. 아래의 로그는 123.45.67.89 시스템으로부터 phf 취약점을 이용하여

패스워드 파일을 유출하려는 시도를 나타내고 있다.

둘째, 공격자는 phf 공격으로부터 획득한 패스워드 파일에서 사용자들의 패스워드를 알

아내기 위해 Crack이라는 해킹프로그램을 사용하였다.

일반적으로 패스워드 파일의 사용자 비밀번호는 암호화되어 저장되기 때문에 패스워드

파일을 가져간다고 하더라도 사용자들의 비밀번호를 바로 알아낼 수 없다. 하지만 공격

자들은 Crack이라는 패스워드 해킹 프로그램을 이용하여 단어사전에 등록된 단어와 같

은 쉬운 패스워드를 사용하는 사용자를 알아낼 수 있다.

패스워드는 일반적으로 시스템에 접근하기 위하여 사용자를 인증하는 도구로 대단히 중

요하지만 사용자들의 무관심으로 패스워드를 사용하지 않거나 타인에 의해 도용당할 수

있는 쉬운 패스워드를 사용하는 경우가 많다. 해킹 당한 시스템의 unix, shanta라는 계정

도 이러한 쉬운 패스워드를 사용함으로 인해 공격을 당할 수 있었다.

셋째, Crack에 의해 취득한 사용자들의 패스워드를 이용하여 시스템에 침입한 후 공격자

는 시스템관리자 권한을 획득하기 위해 “ping" 취약점을 이용하였다.

오래된 “ping" 프로그램은 버퍼오버플로우 취약점이 있어 일반사용자가 시스템 관리자

권한을 획득할 수 있다. 뿐만 아니라 최근의 많은 공격이 이러한 버퍼오버플로우 공격으

로 인해 발생되고 있는데 여기에 대한 가장 손쉬운 대책은 보안 패치를 꾸준히 하는 것

이다.

- 35 -

이러한 과정을 거쳐 시스템관리자 권한까지 획득한 공격자는 홈페이지의 내용을 쉽게 바

꿀 수 있었다.

(3) K 대학 침입 후 18만여 사이트 취약점 수집

□ 사건 경위

'99년 11월 4일 영국의 대학망과 연구망의 보안을 담당하는 JANET-CERT로부터 국내

의 K 대학에서 영국의 대학들을 상대로 보안취약점을 스캔하고 있다는 보고를 받았다.

공격을 시도하는 IP 주소를 추적한 결과 해당 시스템은 K 대학의 한 연구실에서 운영하

는 리눅스 서버로 이 시스템 역시 에스파니아로부터 해킹을 당한 것으로 나타났다.

공격자는 K 대학의 시스템을 해킹한 후 영국, 캐나다, 대만, 미국 대학들, 미국 기업들

등 모두 186,547 사이트를 대상으로 해킹 가능한 보안 취약점 정보를 수집하였다. 또한

보안취약점이 발견된 사이트에 대해서는 실제 해킹도구를 이용하여 해킹을 시도한 것으

로 보인다.

□ 사건 분석 및 대응

이 사건은 국외에서 국내 시스템을 해킹한 후 다시 국외 기관을 공격한 경우이다. 실제

국내에서 올 10월까지 접수된 360건의 해킹사고 가운데 147건(40.8%)이 국외에서 국내

시스템을 해킹한 후 다시 국외를 공격한 사건으로 국내 시스템들이 해킹 경유지로 많이

사용되고 있음을 알 수 있다.

해당 시스템을 분석한 결과 공격자의 공격과정은 다음과 같았다.

① mountd를 이용한 시스템 침입

이 피해시스템은 mountd라는 프로그램의 버퍼오버플로우 취약점을 이용하여 원격지에서

불법적으로 침입 당하였다.

mountd는 최근 RPC(Remote Procedure Call) 서비스의 일종으로 rpc.statd,rpc.cmsd,

rpc.ttdbserve 등과 함께 시스템의 해킹에 많이 이용되고 있다.

- 36 -

일반적으로 관리자들이 이들 서비스들이 불필요함에도 불구하고 서비스를 해주는 경우가

많은데 /etc/inetd.conf 등에서 해당 서비스들을 코맨트 처리하는 등의 조치가 필요하다.

② 해킹 프로그램 설치 및 운영

공격자는 침입 후 숨겨진 디렉토리(/dev/./,/dev/ssddaa6699/./)에 각종 해킹 프로그램들

을 설치하고, 영국, 캐나다. 미국 대학들, 미국 기업들, 대만 등을 대상으로 해킹시도를

하였다. 공격자가 실제 공격에 앞서 가장 먼저 하는 행위가 해킹 가능한 보안취약점을

찾는 것이다. 지난 '98년 6월에 발표된 mscan이라는 대규모 네트워크 스캔 도구와 함께

최근 여러 가지 취약점 스캔도구들이 해킹에 사용되고 있다. 아래 파일들은 공격자가 설

치한 공격 프로그램들과 국의 시스템의 보안취약점을 스캔한 결과물들이다.

③ 네트워크 도청

공격자는 해킹한 시스템에 sniffer라는 네트워크 도청 도구를 설치하여 K 대학의 네트워

크를 도청하였다. 한 시스템에 해킹 공격 후 네트워크 도청은 해커들의 일반적인 행위로

이를 통해 해킹한 시스템뿐만 아니라 다른 시스템의 사용자 ID와 패스워드까지도 알아

낼 수 있다. 따라서, 해킹 당한 시스템으로 인해 해당 기관의 네트워크 전체가 공격을 당

할 수 있다. 해당 시스템이 sniffer 등에 의해 모니터링 당하고 있는지를 확인하기 위해

서는 ‘ifconfig'라는 명령어를 사용하거나 ifstatus, CPM(Check Promicuous Mode)등의

공개 도구를 이용하여 점검할 수 있다.

④ 재침입을 위한 백도어 설치

최초 시스템을 공격하기 위해서 mountd 취약점을 이용하였지만, 차후에 쉽게 그리고 발

견되지 않고 침입하기 위해서 백도어를 설치하였다.

- 37 -

해당 시스템의 login, in.telnetd 등을 변경하여 “rewt"라는 계정으로 들어올 경우 시스템

관리자 권한을 부여하도록 하였으며, inetd 환경을 변경하여 6969번 포트로 접근할 경우

역시 시스템 관리자 권한의 쉘을 부여하도록 하였다.

이러한 백도어 설치도 역시 해커들의 일반적인 행위로 차후 재침입과 침입사실을 발견되

지 않기 위해 사용하고 있다. 백도어 설치를 위한 대표적인 해킹도구는 루트킷(Rootkit)

으로 시스템의 각종 프로그램들을 트로이버전으로 변경하므로 루트킷 공격을 받으면 시

스템을 다시 설치하여야만 한다.

2. 국외 해킹현황 및 사례분석

가. 국외 해킹현황

국내의 해킹사고는 매년 3배 가까운 증가세를 보이고 있으며, 이러한 해킹사고의 증가율

은 국외의 경우도 마찬가지이다.

[표 2-6]는 미국, 영국, 일본의 해킹사고 접수 현황을 나타내고 있다.

[표 2-6] 연도별 국외 해킹사고 발생현황

각 국에서 발생되고 있는 시스템 해킹 현황은 그 나라의 호스트 및 네트워크의 규모에

비례함을 알 수 있다. 미국의 경우도 97년 2,134건, '98년 3,734건, 그리고 '99년 8,268건

의 해킹사고가 접수되어 꾸준히 해킹이 증가하고 있다.

나. 국외 해킹사례

▷ '99년 8월 2일, 세계적 컴퓨터 바이러스 백신 및 보안업체인 시만텍(Symantec Corp.)

사의 웹사이트가 해커들의 공격을 받았다.

- 38 -

해커들은 전자우편을 통해 웜을 유포하여 회사를 해체하라는 내용의 메시지를 남겼으며

시만텍 관계자는 보안 취약성에 대한 문제점은 표현하지는 않았으나 FBI에 보고하였다

고 밝혔다.(Infowar.com, 8/5/99)

▷ '99년 7월 30일, 캐나다 ISP 업체 두 곳이 중국 정부 크래커들에 의해 정치적인 목적

으로 공격을 받았다고 발표하였다. 이 해킹 시도의 출발점이 중국 정부 기관인 것으로

추적되었다고 말했다. 침해당한 ISP은 중국에서 금지된 종교 단체의 웹사이트를 호스팅

하고 있어 서비스 거부공격을 유발한 계기가 된 것으로 추정하고 있다.(ZD Net,

30.Ju1.99)

▷ '99년 7월 27일, Interactive Connection사에서 퇴사한 두 명의 직원들이 이 회사의 컴

퓨터 시스템에 침입하여 비밀 사업계획을 빼낸 혐의로 체포되었다. 29세의 Ira Lee와 31

세의 Zissis Trabaris로 알려진 이들은 소프트웨어 개발자로 근무했었으며 유죄로 판결

된다면 각각 불법 컴퓨터 침입으로 최대 5년 형에 처해질 것으로 알려졌다. (Reuters,

27.Jul.99)

▷ '99년 5월 미 상원의 공식 웹사이트가 MOD라고 하는 해커집단에 의해 침입 당한 것

으로 알려졌으며 FBI도 해커들에 의해 웹사이트를 폐쇄하였다. 이들은 최근 벌어지고 있

는 FBI의 해커사냥에 대한 항의로 이와 같은 행위를 한 것으로 알려졌으며, 상원 사이트

에 그들의 주장을 남겨두었다. MOD는 국방 정보 시스템 센터 네트워크(DISA, DISN)를

불법 침입한 것으로 알려져 있는 집단이다. (AntiOnline, May 27,1999)

(그림 2-6) 미 상원의원 홈페이지와 해킹으로 변조된 화면

- 39 -

제 2 절 바이러스 국내ㆍ외 현황

1. 국내 바이러스 현황

가. 개요

일반 PC사용자들의 가장 큰 보안 위협으로 인식되고 있는 바이러스는 빠른 네트워크 환

경과 인터넷 인구의 증가로 그 피해가 더욱 증가하고 있다. ’99년에도 바이러스는 전년에

비하여 증가하였으며, 바이러스들이 점점 네트워크를 통한 E-메일, IRC 등으로 전파되어

그 확산 속도가 빠르고 파괴적인 특징을 갖게 되었다. CIH 바이러스로 대표되는 ’99년의

바이러스는 그 다양성 면에서도 많은 변화가 이루어졌으며, 진보된 형태의 바이러스가

많이 나타났다.

'99년에 주요 바이러스로는 Worm/Happy99, W97M/Mellissa, W95/CIH,

Worm/ExploreZip, Worm/PrettyPark.B, Y2KCount, EcoKys, VBS/BubbleBoy, W32/Fix,

Worm/MyPics, W95/Babylonia, W32/NewApt, W95/Love 등을 들 수 있다.

’99년에 국내에 출현한 주요 바이러스들을 바이러스 유형 별로 나누어 다음과 같이 살펴

볼 수 있다.

(1) 웜 바이러스

'99년에 발견된 신종 바이러스 유형 중 가장 큰 특징은 웜 바이러스 유형이 새로이 등장

하여 큰 피해와 함께 확산되었다는 것이다. Worm/Happy99 바이러스를 시작으로 하여

Worm/ExploreZip, Worm/PrettyPark.B, Worm/MyPics 등의 많은 바이러스들이 국내에

도 많이 전파된 웜 바이러스들이다. 이 자체적인 E-메일과 IRC로의 전파 기능을 갖는

이러한 웜 바이러스들은 2000년에도 계속 확산될 것으로 보인다.

⑵ 매크로 바이러스

'98년에 이어 '99년에도 많은 매크로 바이러스들이 발견되었으며, 그 증상이 파괴적인

것들이 많아 국외에서 많은 피해를 주었다. 대표적으로 W97M/Mellissa,

W97M/JulyKiller 등이 있다.

- 40 -

(3) 윈도우 95/98 바이러스

윈도우 95/98의 바이러스의 경우에도 계속적으로 증가하고 있다. CIH로 대표되는 윈도우

전용 바이러스는 W95/Love, W95/Babylonia, W32/fix 등이 있었으며, 이러한 바이러스들

은 메모리 상주형이나 스스로 업데이트가 가능한 등의 많은 다양한 특성을 갖는 바이러

스로 문제가 되었다.

(4) 트로이 목마

또한 '99년에는 Y2KCount, Back Orifice 2000, Ecokys 등의 사용자 정보 유출 및 원격

시스템 감시가 가능한 트로이 목마 프로그램들이 많이 발견되어 2차적인 공격의 위협과

개인정보보호라는 문제를 부각시켰다.

(5) Y2K 관련 바이러스

’99년 말에는 Y2K관련 바이러스들이 등장하여 Y2K 자체 오류와 함께 또 다른 위협의

존재가 되었다. Y2KCount, W32/Fix(Fix2001), W32/NewApt, W32/MyPics,

Trojan/Y2Kaos 등의 바이러스가 등장하여 Y2K 전환시점에 많은 위협이 되었으나 걱정

과는 달리 실제적으로는 Y2K관련 바이러스들에 의한 피해는 적었다.

(6) 기타

Visual Basic Script를 이용한 VBS/FreeLink, VBS/ Bubb1eBoy, VBS/TUNE과 같은 바

이러스들이 등장하였으며, Java Script를 이용한 HTML에 감염되는 바이러스들(The

Fly, W32/Mix.2048)도 국외에서 많이 전파되었다.

나. '99년 국내 바이러스 발생 현황 통계

W97M/Mellissa, W95/CIH, Worm/ExploreZip, Worm/MyPics, W95/Love 등으로 대표되

는 '99년의 많은 바이러스들의 국내 발생으로 실제적으로 큰 피해와 함께 대국민에게 바

이러스에 대한 경각심을 일깨우는 계기가 되었다.

- 41 -

다음의 국내 바이러스 현황은 국내 백신업체(안철수바이러스연구소, 하우리)와 한국정보

보호센터의 컴퓨터바이러스전담반이 공동으로 집계한 국내 바이러스 현황 통계자료이다.

(1) 연도별 바이러스 현황

[표 2-7] ’99년 연도별 바이러스 현황

'99년에 국내에서 발견된 신종 바이러스는 모두 326종으로, '98년의 276종 보다 많이 증

가하였으며, 매년 계속적으로 증가하고 있는 추세이다. 하지만 '98년까지의 우위에 있던

국산 바이러스가 '99년에는 특징적으로 줄어들고 외산 바이러스가 증가했다. 이것은 '99

년 초에 많은 수의 국내 바이러스 제작자들이 검찰에 검거되었으며, 남은 소수의 제작자

들에게도 악성 바이러스 제작을 하지 않도록 선도한 결과로 추정된다. 외산 바이러스의

경우 새로운 형태와 특징을 갖는 바이러스들이 많이 발견이 되었으며, 이들의 변종들도

많이 발생되어 많은 증가를 나타내었다.

'90년대 중반 이후 바이러스는 계속적으로 많은 증가를 나타내고 있으며, 매크로 바이러

스와 윈도우 바이러스, 그리고 최근의 웜 바이러스 등의 바이러스 제작 기술의 향상으로

양적인 증가와 함께 그 위험성도 많이 증가하였다. 그리고 해킹 기술을 응용한 트로이

목마 프로그램도 많은 변종과 함께 발견되어 악성 프로그램의 위협이 이제는 정보 유출

과 정보 변조까지 미치고 있어 그 대응이 점점 어려워지고 있다.

- 42 -

(그림 2-7) ’99년도 연도별 바이러스 현황

(2) 종류별 바이러스 현황

바이러스 종류별 현황을 살펴보면 '98년에 이어 '99년에도 매크로 바이러스와 윈도우 바

이러스가 증가하고 있음을 알 수 있다. 또한 악의적인 트로이 목마형 바이러스와 빠른

전파력을 갖는 웜 바이러스가 특징적으로 많이 출현하고 있는 것을 알 수 있다.

[표 2-8] ’99년도 바이러스 종류별 현황

- 43 -

(그림 2-8) ’99년도 바이러스 종류별 현황

(3) 출처별 바이러스 현황

[표 2-9] ’99년 출처별 바이러스 현황

2. 국외 바이러스 현황

'99년에는 아래 그림과 같이 국외에서도 많은 바이러스가 새로이 출현하였으며, 그 증가

추세가 1998년에 비하여 2배 정도에 가까운 많은 증가가 이루어졌다. 또한 바이러스 형

태로 '90년대 초의 부트 바이러스 유형에서 '90년대 중반의 매크로 바이러스 그리고 후

반의 Internet/E-mai1을 통한 바이러스 유형으로 바뀌어 가고 있다.

※ 국외 바이러스 현황 자료 제공 : 트렌드 코리아 ('99년 10월까지 자료임)

- 44 -

(그림 2-9) 연도별 국외 바이러스 증가 추이

바이러스 확산 경로를 살펴보면 (그림 2-10)와 같이 최근에는 메일 첨부 파일에 의한 감

염이 압도적인 원인이 되고 있다. 상대적으로 기존의 부트 바이러스나 파일 바이러스의

감염 원인이었던 디스켓에 의한 감염이 줄어들고 있다.

(그림 2-10) 바이러스 확산 경로

- 45 -

아래 그림에서는 연도별 바이러스 감염원인 변화추이를 잘 보여주고 있다. 1997년에 비

하여 1999년에는 첨부파일에 의한 감염 증가율이 대단히 높다는 것을 알 수 있다.

(그림 2-11) 연도별 바이러스 감염원인 변화 추이

- 46 -

제 3 절 바이러스 국내ㆍ외 사례분석

1. Melissa 바이러스

▶ 국외의 경우

'99년 3월 주요 오피스 문서를 파괴하는 E-메일을 통한 자체 전파 기능을 갖는 웜 바이

러스인 “Melissa"가 국외의 약 50,000대의 PC 시스템과 100개의 기업체를 감염시킨 사례

가 발생하였다.

2. CIH 바이러스 피해 사례

▶ 국내의 경우

'99. 4. 26일 정통부는 국내 PC 보급대수 8백만 대 중 4% 안팎인 30여만 대 피해를 입

은 것으로 추정하였으며 이와 함께 한국정보보호센터 내에 컴퓨터 바이러스 전담팀을 구

성해 전문인력을 보강하고 국내의 바이러스 동향 분석과 차세대백신프로그램 연구개발을

지원하기로 하였다.

- BIOS손상 및 HDD데이터 손실(4만건), HDD데이터손실(EPROM BIOS 파괴안됨, 16만

건) 등 21억원 가량의 피해액 추정됨

※ '99.5.10, 정보통신부 집계현황

▶ 국외의 경우

중국에서는 4월 26일의 CIH 체르노빌 바이러스에 36만대의 컴퓨터가 감염돼 10억위앤

(元) 상당의 경제적 손실이 발생했다고 관영 신화(新華)통신이 한 조사 결과를 인용 보

도했다.

- 외국 국가별 피해상황 집계표 참조(’99.4.26 GMT 현재)

※ 출처 : http://www.datafellows.com/cih/damage.htm

- 47 -

[표 2-10] 외국 CIH 국가별 피해 현황

3. Worm.ExploreZip 국내ㆍ외 피해사례

▶ 국내의 경우

'99.6.11일 국내에 유입되어 총 79건의 피해사례가 접수되었다

※ 주요 민간기업 39건 개인 40건 피해 접수됨(’99. 6. 14 집계현황)

▶ 국외의 경우

시카고의 커먼웰스 에디슨사(社) 모기업의 경우 지난 10일 웜 바이러스가 나타난 이후

e-메일 시스템을 꺼버려 1만여 명에 달하는 직원들이 평소와 달리 사무실간 통신을 위

해 전화와 팩스 등을 사용할 수 밖에 없는 불편을 겪었다. 또한 GE, 보잉사(社) 등과 같

은 일부 다국적 기업들의 전산망에 침투, 수천 대의 개인용 PC에 있는 파일 내용을 삭

제했을 뿐 아니라 기업들의 귀중한 컴퓨터 파일까지 파괴되었다.

4. W97M/Ths.A 국내ㆍ외 피해사례

▶ 국외의 경우

'99. 8. 26, 미국과 유럽의 금융기관 컴퓨터 시스템에서 주로 발견되고 있으며 폴란드, 라

트비아, 영국, 독일, 오스트리아, 스위스, 프랑스 등지로 급속히 전파되어 5,000대 정도의

컴퓨터가 감염되는 피해 발생

- 48 -

5. Worm/PrettyPark.B

▶ 국내의 경우

'99. 9. 9. E메일을 사용자의 주소록에 있는 모든 주소로 30분마다 동일한 내용의 E메일

이 동시에 발송되게 하는 컴퓨터 바이러스의 변종인 ‘Worm/PrettyPark.B웜’이 국내에

출현하여 피해가 수백 건 발생하였다. 또한 이 웜 바이러스는 사용자의 컴퓨터 이름과 E

메일 주소, 사용자 비밀번호 등을 웜 제작자에게 보내는 기능을 포함하여 2차적인 공격

의 위험성과 개인정보 보호에 대한 문제도 제기시켰다.

6. EcoKys 국내ㆍ외 피해사례

▶ 국내의 경우

'99년 11.18 EcoKys 트로이 목마 프로그램을 이용해서 남의 통장에서 현금을 인출하는

피해사례가 발생하였다. 범인 황씨는 이 트로이목마를 수정하여 PC 통신 가입자들에게

E-메일에 첨부하여 보낸 뒤 부주의한 사용자가 첨부 파일을 실행하여 감염된 시스템으

로부터 이 트로이 목마의 Keylog기능을 이용하여 PC뱅킹 계좌번호 등을 빼내는 방법을

사용하여 한 피해자의 PC뱅킹 계좌에서 140만원을 계좌이체 시킨 후 현금으로 빼냈다

경찰에 꼬리를 잡히는 사건 발생

'영상으로 보내는 편지'라는 제목의 E-메일을 받은 후 첨부된 파일을 실행했었는데, 이

후 자신이 발송한 적이 없는 메일을 받았다는 400여 명의 사용자들로부터 항의 메일을

받은 피해사례

7. W97/Prilissa(Melissa.w) 국내ㆍ외 피해사례

▶ 국외의 경우

'99. 11. 20 Fortune 500대 기업 중 10개 기업의 시스템이 감염되는 피해사례 발생

- 49 -

8. W32/Fix(Fix2001) 국내ㆍ외 피해사례

▶ 국내의 경우

'99. 11. 24 바이러스 전담반의 바이러스 신고센터로 피해신고가 최초로 접수되었으며,

피해가 속출하였다. 이 바이러스는 'Internet problem year2000'이라는 제목의 E-메일을

통하여 전파되는 Y2K 오류 해결 프로그램 가장 바이러스로 재부팅시 시스템 데이터를

삭제하는 큰 피해를 주었다.

9. W32/NewApt 국내ㆍ외 피해사례

▶ 국내의 경우

'99. 12. 20 한국정보보호센터 Y2K 비상대응상황실로 한 PC통신 이용자로부터 새해 축

하메시지 프로그램으로 위장한 웜 형태의 Y2K 관련 신종 바이러스(Worm

Win32.NewApt)를 국내 최초로 신고하였으며 총 12건의 신고가 접수되었다.

10. Win32/MyPics 국내ㆍ외 피해현황

▶ 국내의 경우

'99년 12월 6일에 이미 한국정보보호센터 컴퓨터바이러스 전담반에 의해 경보되었던

MyPics 바이러스가 국내에 2000년 1월 3일에 74건이나 출현하여 많은 PC를 파괴하는

사례가 발생되었다. 이 MyPics 바이러스는 감염되면 재부팅 시에 Y2K 오류 메시지를

가상으로 출력하며 시스템을 파괴하는 악성 바이러스로 그 피해가 매우 컸다.

- 50 -

제 3 장 최근 해킹ㆍ바이러스 대응방안

- 51 -

제 3 장 최근 해킹ㆍ바이러스 대응방안

제 1 절 최신 해킹기법 동향 및 대응

1. 분산 환경에서의 서비스 거부 공격

가. 개요

최근 분산환경에서의 서비스 공격 도구들이 많은 시스템에 불법적으로 설치되고 있다.

이 해킹도구들은 대규모 네트워크의 많은 호스트에 설치되어 서로 통합된 형태로 패킷을

범람시켜 심각한 네트워크 성능저하 및 시스템 마비를 유발할 수 있다. 이 서비스거부

공격 도구들은 해킹공격을 당한 솔라리스 2.x 시스템들에서 실행파일 형태로 발견되고

있는데, 이 시스템들은 대부분 rpc.statd, rpc.cmsd, rpc.ttdbserver, automountd 등의

RPC 버퍼오버플로우 취약점으로 인해 공격을 당한 서버들이었다. 국내에서도 올해 RPC

버퍼오버플로우 취약점으로 인해 수많은 솔라리스 시스템들의 해킹사고가 접수되었는데

이들을 분석하는 과정에서 본 고에서 소개하고 있는 서비스거부용 해킹도구들이 설치되

어 있는 것을 확인할 수 있었다. 지금도 마치 시한폭탄과 같이 시스템관리자들이 눈치채

지 못하게 서버들에 설치되어 언제든 공격에 이용되거나 시스템이 마비될 수 있을지 모

른다. 특히, 이는 공격자의 명령에 의해 공격도구가 설치된 대량의 서버들을 제어하여 공

격 목표 시스템에 대한 치명적인 서비스거부 공격을 할 수 있어 Y2K를 맞아 전세계의

인터넷을 교란하려는 해커들에 의해 악용될 수 있다. 최근에 발견되고 있는 이러한 분산

환경에서의 서비스거부 공격 도구는 trinoo(혹은 trin00)와 tribe flood network(TFN)가

대표적이다.

나. Trinoo

Trinoo는 많은 소스로부터 통합된 UDP flood 서비스거부 공격을 유발하는데 사용되는

도구이다. trinoo 공격은 몇 개의 서버들(혹은 마스터들)과 많은 수의 클라이언트들(데몬

들)로 이루어진다. 공격자는 trinoo 마스터에 접속하여 master에게 하나 혹은 여러개의

IP 주소를 대상으로 서비스 거부공격을 수행하라고 명령을 내린다. 그러면 trinoo 마스터

는 특정한 기간으로 하나 혹은 여러 개의 IP 주소를 공격하도록 데몬들과 통신을 한다.

- 52 -

trinoo 데몬의 실행파일은 하나 혹은 그 이상의 trinoo 마스터의 주소를 가지고 있다.

trinoo 데몬이 실행될 때, 그 데몬은 “*HELLO*"라는 스트링을 포함하는 UDP 패킷을

trinoo 마스터의 IP주소에 보냄으로써 실행 가능함을 알린다.

데몬들 -------> 마스터; 31335/udp 포트

trinoo 마스터는 마스터 실행파일이 있는 디렉토리 안에 “...”라는 이름의 파일에 암호화

된 형태로 알려진 데몬들의 목록을 저장한다. trinoo 마스터는 실행가능하다고 확인된 모

든 데몬들에게 브로드캐스트 주소로 요청을 보낼 것을 명령할 수 있다. 브로드캐스트를

수신한 데몬들은 "PONG"이라는 스트링을 포함하는 UDP 패킷을 마스트에게 보내어 응

답한다.

① 공격자 -------> 마스터; 27665/tcp 포트

② 마스터 -------> 데몬들; 27444/udp 포트

③ 데몬들 -------> 마스터; 31335/udp 포트

- 53 -

공격자가 마스터에 공격 명령을 내릴 때 27665/tcp 포트를 사용하고 이때 패스워드를 요

구하며, 마스터 실행파일에 암호화된 형태로 저장되어 있다.

[표 3-1] trinoo 공격 예(1)

trinoo 마스터가 데몬들에게 보내는 명령어들 중에서도 패스워드가 필요한 것들이 있는

데 이 패스워드는 평문 형태로 전송된다. 디폴트 패스워드는 다음과 같다.

"144adsl" trinoo daemon password

"gOrave" trinoo master server startup ("??" prompt)

"betaalmostdone" trinoo master remote interface password

"killme" trinoo master password to control "mdie" command

trinoo에 의해 생성된 UDP flood 공격의 소스 IP 주소는 위장되지 않았지만 앞으로 위장

된 IP 주소를 사용하는 도구가 나올 수도 있다. trinoo 데몬들은 자신을 숨기기 위해 다

양한 이름으로 설치되고 있는데 지금까지 알려진 이름은 다음과 같다.

ns, http, rpc.trinoo, rpc.listen, trinix, rpc.irix, irix

데몬들과 마스터의 실행파일을 strings라는 유닉스 명령을 실행시켜 확인하면 다음과 같

은 결과들을 볼 수 있다.

- 54 -

[표 3-2] trinoo 공격 예(2)

- 55 -

보통 trinoo 데몬은 주기적으로 실행시키기 위해서 crontab에 등록시켜 놓는 경우가 많

다. 다음은 매분마다 데몬을 실행시키도록 한 crontab의 예이다.

*****/usr/sbin/rpc.listen

다. Tribe Flood Network

TFN은 trinoo와 거의 유사한 분산 도구로 많은 소스에서 하나 혹은 여러 개의 목표 시

스템에 대해 서비스거부 공격을 수행한다. TFN은 UDP flood 공격을 할 수 있을 뿐만

아니라 TCP SYN flood 공격, ICMP echo 요청 공격, ICMP 브로드캐스트 공격(smurf

공격)을 할 수도 있다. TFN 서비스 거부공격은 공격자가 클라이언트(혹은 마스터) 프로

그램이 공격명령을 일련의 TFN 서버들(혹은 데몬들)에게 보냄으로써 이루어진다. 그러

면 데몬은 특정형태의 서비스거부 공격을 하나 혹은 여러 개의 목표 IP 주소를 대상으로

수행한다. 소스 IP 주소와 소스 포트는 임의로 주어지고, 패킷의 사이즈도 바꿀 수 있다.

TFN 마스터는 명령어라인에서 TFN 데몬에 명령을 보낸다. TFN 마스터는 ID필드와 패

킷의 위치 인수를 가진 16비트 바이너리 값의 ICMP echo reply 패킷을 사용하여 데몬과

통신을 한다. TFN 마스터는 공격자가 제공한 데몬들의 IP 주소목록이 필요하다. 최근에

보고된 일부 버전의 TFN 마스터는 이 IP 주소들을 숨기기 위해 암호를 사용하기도 한

다. 또한 어떤 TFN은 rcp와 같은 원격파일 복사 기능을 가지고 있어 자동으로 새로운

TFN 데몬을 생성하거나 기존의 TFN을 업데이트하는데 사용하고 있다. td라는 파일이

름으로 시스템에 설치되기도 하는데 strings라는 명령을 통해 TFN 데몬의 실행파일을

확인하면 다음과 같은 내용을 볼 수 있다.

- 56 -

[표 3-3] TFN 데몬 실행결과

라. 국내 사례

trinoo는 국내에서 8월 10일 처음으로 발견되었으며 이후의 침해사고 처리과정에서 대규

모적으로 발견되고 있다. 국내 모 대학의 경우 50여 호스트에 trinoo 마스터 및 데몬이

설치된 사건이 발견되기도 하였다.

① 국내 A 기관 사례(1999. 8)

ㅇ A기관의 시스템 관리자가 비인가 된 사이트에서 불법적인 접속을 발견하고 신고

ㅇ 침입자는 솔라리스 rpc 관련 취약점올 이용하여 관리자 권한 획득

ㅇ 시스템 조사결과 cron을 이용하여 “tsolnmb"라는 trinoo 데몬 실행

ㅇ 위의 161.53.xx.yy 사이트에 조사요청을 보내 결과를 보고 받은 결과 “tserver1900"

이라는 trinoo 마스터 발견

② 국내 B 대학 사례(1999. 9)

ㅇ 영국으로부터 국내 모 대학의 20여개 시스템 해킹사고 통보

- 57 -

ㅇ 솔라리스 rpc 관련 취약점을 이용하여 시스템 침입

ㅇ trinoo가 사용하는 포트와 rpc 공격에 사용되는 포트에 대하여 모 대학네트워크를 스

캔하여 전체 60여 침해 호스트 발견

ㅇ 시스템 침입 후 trinoo master/deamon인 rpc.listen/httpd라는 프로그램설치 후 실행

ㅇ 해킹당한 호스트를 이용하여 국외 특정 호스트로 UDP flooding 공격

ㅇ 네트워크 과부하 발생

ㅇ 네트워크 과부하 현상 제거 : 라우터에서 UDP 31335, 27444 포트 차단

마. trinoo 탐지 및 제거 방법

① 네트워크 감시

trinoo 공격에 이용되거나 직접 공격을 받게 되면 네트워크 트래픽 양이 급속하게 증가

한다. 네트워크 트래픽 성능저하가 급격하게 발생할 경우 snoop이나 tcpdump 명령을 이

용하여 UDP 패킷, ICMP 패킷, 또는 TCP 패킷 등이 증가하는가를 검사한다. tcpdump를

이용하여 trinoo 공격을 탐지한 예는 다음과 같다.

[표 3-4] 네트워크에서 탐지된 trinoo 공격

② 포트 스캔을 통한 trinoo 탐지

trinoo가 디폴트로 사용하는 포트를 검색하여 trinoo master 또는 deamon이 설치되어 있

는지 검사할 수 있다. “nmap" 도구를 이용하여 다음과 같이 각 각의 포트에 대하여 자

신의 네트워크를 스캔하도록 한다.

- 58 -

# nmap -PI -sT -p 27665 -m logfile your.subnet

suhlet은 C class인 경우 xxx.xxx.xxx.xxx/24, B class인 경우 xxx.xxx.xxx.xxx/16과 같

이 표현하면 된다. 또 다른 방법으로는 xxx.xxx.xxx.1-254 와 같이 표현할 수 있다.

# nmap -PI -sT -p 27665 -m 2766.log xxx.xxx.xxx.1-254

# nmap -PI -sT -p 31335 -m 31335.log xxx.xxx.xxx.1-254

# nmap -PI -sT -p 27444 -m 27444.log xxx.xxx.xxx.1-254

[표 3-5] 포트 스캔을 통한 탐지 trinoo 공격

또한 trinoo 공격은 일반적으로 rpc 관련 공격을 이용하여 설치하거나 공격당한 기관을

찾아 설치하는 경우가 많으므로 다음과 같이 rpc 관련 공격을 당했을 경우 나타나는 증

상을 스캔하여 검사해 보아야 한다.

# nmap -PI -sT -p 1524 -m 1524.log xxx.xxx.xxx.1-254

# nmap -PI -sT -p 600 -m 600.log xxx.xxx.xxx.1-254

※ 기술문서 “CERTCC-KR-TR-99-008 RPC 관련 보안 취약점 및 대책” 참조

http://www.certcc.or.kr/paper/tr1999/1999008/tr1999008.html

nmap 프로그램은 http://www.insecure.org/nmap/에서 다운로드 할 수 있다.

③ trinoo 제거

네트워크 스캔을 통하여 trinoo를 탐지한 후 시스템에서 이 프로그램을 발견하고 제거하

여야 한다.

- 59 -

대부분의 경우 디폴트 이름을 사용하지만 루트킷이 설치되어 있거나 프로그램 이름을 바

꿀 경우 찾아내기가 힘들게 된다. 하지만 다음과 같은 방법을 이용하여 trinoo를 찾아낼

수 있다.

ㅇ 먼저 일반적으로 사용되는 trinoo 프로그램의 이름을 찾아본다. 이러한 프로그램은 일

반적으로 사용하지 않는 디렉토리에 저장된다.

※ master : tserver1900

※ deamon : tsolnmb, ns, httpd, rpc.trinoo, rpc.listen, trinix, rpc.irix, irix

ㅇ crontab에서 trinoo의 위치를 찾는다.

# more/var/spool/cron/crontabs/root

* * * * * /dev/isdn/.subsys/tsolnmb > /dev/null 2>＆1

ㅇ netstat 명령과 ps 명령을 이용하여 찾을 수 있다.

# netstat -a

UDP

Local Address State

----------- -----

...

*:31335 ldle

또는

*:27444 ldle

...

또는

TCP

Local Address Remote Address Swind Send-Q Rwind Recv-Q State

...

*:27665 *:* ... Listen

ㅇ lsof 프로그램 사용

netstat 명령이나 ps 명령을 이용하여 trinoo의 존재를 찾은 경우 다음과 같이 프로세스

를 추적할 수 있는 lsof 프로그램을 이용하여 trinoo의 위치를 찾아내 제거할 수 있다.

- 60 -

2. Millennium Internet Worm 공격

가. 개요

최근 바이러스와 같이 빠른 전파력을 갖는 웜(worm) 형태와 원격에서 시스템을 공격하

고 조작할 수 있는 해킹기술을 이용한 새로운 형태의 해킹 기술인 “Millennium Internet

worm"이 보안 위협의 대상이 되고 있다. Millennium Internet Worm은 리눅스 시스템의

일반적인 원격 공격 취약성�