FOC

US

15

** 한국인터넷진흥원 종합상황대응팀 책임연구원(yhy@kisa.or.kr)

** 한국인터넷진흥원 종합상황대응팀 팀장(ydy@kisa.or.kr)

FO

CU

S

2

유학용*, 유동영**

Ⅰ. 서론

Ⅱ. 사이버공격 유형

1. 홈페이지 악성코드 유포

2. 홈페이지 변조

3. 디도스

4. 피싱

5. 파밍

6. 스미싱

Ⅲ. 결론

1. 사이버공격 유형별 매트릭스

2. 사이버공격 대응 기본 매트릭스 적용

3. 시사점

사이버공격 대응 기본 매트릭스

국내에서 많이 발생하는 사이버공격 유형을 알아보고, 이러한 사이버공격 유형을 세분화하여

구조적으로 표현할 수 있는 사이버공격 대응 기본 매트릭스를 제시한다.

16 INTERNET & SECURITY FOCUS June 2014

Ⅰ. 서론

인터넷생태계는 소프트웨어 업체와 장비 제조사, 소프트웨어와 장비를 이용하여 서비스를

제공하는 회사, 그리고 이 서비스를 이용하는 이용자들로 구성된 거대 환경이다. PC, 서버,

네트워크장비, 스마트폰 등의 기기가 유선과 무선으로 다양하게 연결되어 있다. 우리가 알고

있는 것보다 훨씬 더 복잡하고, 때로는 예상치도 못했던 장비가 인터넷에 연결되어 있어서

사이버공격이 발생한다. 대학교 건물의 냉난방종합관리 장비에서 디도스 공격이 발생한다든지,

우리 가정에서 흔히 볼 수 있는 가정용 유무선공유기도 해킹공격에 취약하여 정보유출 등의

피해를 볼 수 있다. 유출되는 정보가 만일 금융정보라면 차곡차곡 쌓아 놓은 은행 잔고가

바닥을 드러 낼 수도 있다. 이제는 전혀 생소한 기기들이(시계, 안경) 인간의 신체에 부착되어

인터넷에 연결되고 곧 대중화 되려고 한다. 새로운 형태의 기기가 다양하게, 대량으로 인터넷에

연결되면서 사이버생태계는 더욱 복잡해지고, 변화속도가 빠르다. 언제 어디서나 편리하고

쉬운 인터넷 환경으로 바뀌어 가기 때문에, 사이버공격 수법도 빠르게 변화하고 있다. 공격자는

효율 높은 사이버 공격수법을 계속해서 개발하고 있으며, 이런 공격수법이 효과적으로 성공

하고 반복되어지면 일상적으로 듣는 노래의 한 쟝르처럼 낯설지 않은 사이버공격 명칭으로

불리우게된다. 마치 스미싱과 같은 단어가 일상적으로 사용되는 것처럼 말이다. 본고에서는

국내에서 빈번하게 발생하고 있는 종래의 홈페이지 악성코드 유포, 홈페이지 변조, 디도스

등의 사이버공격 유형과 최근에 국내에서 자주 발생하는 피싱, 파밍, 스미싱 등의 사이버

공격 유형을 알아본다. 또한 공격대상 장비와 공격자의 공격행위를 파악하고 세밀하게 기록

하는 용도의 사이버공격 대응 기본 매트릭스를 제시한다.

Ⅱ. 사이버공격 유형

1. 홈페이지 악성코드 유포

1) 정의

홈페이지 악성코드 유포는 이용자가 많은 홈페이지 서버에 악성코드 혹은 악성스크립트를

은닉하여 홈페이지 접속자에게 악성코드를 유포하는 사이버공격 유형이다. 홈페이지에서

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 17

악성코드 유포에 악용되는 서버는 2가지로 구분될 수 있다. 홈페이지에 악성코드 유포 주소가

은닉된 경우를 악성코드 경유지, 홈페이지에서 직접 실행파일 악성코드를 유포하면 악성

코드 유포지라 한다. 또한 다수의 경유지에 1개의 악성코드 유포지가 연결되는 경우가 많다.

악성코드는 크게 보아서 홈페이지, 이메일, USB 등을 통하여 다양하게 유포될 수 있는데,

본고에서는 홈페이지 접속으로 이용자 PC가 악성코드에 감염되는 ‘홈페이지 악성코드 유포’

만을 거론하고 있다.

2) 공격대상

(1) 홈페이지 서버

공격자는 악성코드를 유포하기 위해 매우 다양한 방법으로 홈페이지 서버에 침투하여 악성

코드를 유포한다. 홈페이지에서 운영되는 소프트웨어의 취약점은 공격자에 의해 악용될

가능성이 높다. 공격자에 의해 가장 많이 사용되는 침투수법은 RFI공격１과 SQL인젝션２

이다. 이 2가지 침투수법이 자주 악용되는 이유는, 바다건너에 공격자가 위치해 있더라도

공격이 성공할 수 있는 원격에서 실행 가능하다는 것, 또 하나는 공격방법이 널리 알려져서

공격자가 의무적으로 사용하는 공격수법이 되어 버렸기 때문이다. RFI공격은 PC에 미리

작성해둔 악성코드를 실행하여 공격자의 명령도구 웹셸３을 홈페이지 게시판에 업로드할 수

있는 공격이다. 이후 공격자는 홈페이지 서버에서 원하는 악성행위를 마음대로 수행 가능하다.

따라서 홈페이지 관리자는 공격으로 인한 피해를 입지 않도록 취약점이 존재하는 게시판에

대하여 보완업데이트를 해야 한다. SQL인젝션은 데이타베이스 질의문을 조작하여 공격한다는

１ 원격의 공격자가 스크립트를 웹서버에 실행하여 공격자 명령도구를(웹셸) 삽입하는 공격

２ 웹서버와 데이타베이스가 통신하는 쿼리과정의 취약점을 악용하여, 원격의 공격자가 명령 실행 가능한 공격

３ 원격에 있는 공격자가 웹서버에서 명령(파일이동, 삭제, 변경) 수행이 가능한 도구

[그림1] 홈페이지 악성코드 유포 개요도

18 INTERNET & SECURITY FOCUS June 2014

점에서만 RFI공격과 다를뿐, 이 공격도 성공하면 공격자의 명령 전달 도구인 웹셸을 홈페이지

서버에 업로드 할 수 있거나, 관리자 권한탈취도 가능하다. 이러한 공격을 방어하기 위해서는

공격자가 입력하는 특정문구를 필터링 하도록 홈페이지 소스코드를 작성해야 한다. 웹서버

관리자는 공격자의 침투를 막기 위해 게시판취약점이나, SQL인젝션 취약점을 미리 보안

조치하여 피해를 예방해야 한다.

이외에도 웹서버 관리자가 유심히 살펴봐야 할 점은 홈페이지에서 서비스 되고 있는 광고배너

페이지도 유심히 살펴봐야 한다. 광고배너 회사와 홈페이지 관리 회사가 서로 다르기 때문에

보안관리에 소홀할 수 있는 보안사각지역이 발생할 수 있다. 홈페이지 관리자는 타사에서

작성하여 제공한 광고배너 페이지의 보안 점검을 생각하지 못하는 경우가 많다. 그래서 공격자는

광고배너 페이지를 악성코드 유포에 자주 악용한다. 동일한 광고배너에 다수의 홈페이지가

연결된 경우 연결된 모든 홈페이지가 악성코드 경유지로 악용되는 부수적 효과도 있다. 일단

사이버공격이 발생하면 홈페이지 파일 수정시간과 접속 로그인 기록 등을 유심히 살펴보고,

공격원인 규명을 해야한다.

(2) 이용자 PC

홈페이지가 서비스 되기 시작한 초기단계에는 기본적인 문자등이 보여지는 단순한 서비스만

가능했었다. 시간이 지나자 대중은 홈페이지에서 동영상, 플래시 등의 화려한 멀티미디어

컨텐츠가 서비스되기를 원했고, 홈페이지의 동영상, 플래시 파일４도 서비스되기 시작했는데,

이용자 PC의 프로그램이 실행되어야만 재생 가능하다. 문제는 바로 여기서 발생한다.

텍스트만 가능했던 홈페이지의 내용이 멀티미디어 컨텐츠로 점점 다양해지고 화려해지자,

４ swf 확장자의 에니메이션 동영상 파일이며 어도비 회사의 어도비 플래시 플레이어로 재생된다.

[그림 2] 광고배너 (검정색 영역)

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 19

이런 홈페이지를 읽을 수 있도록 이용자 PC에는 더 많은 소프트웨어를 필요로 했다. 하지만

바램과는 다르게 소프트웨어 취약점은 계속해서 발견되어 왔고 줄어들지 않고 있다. 이런

이유로 악성코드 경유지 혹은 유포지에 이용자PC가 접속할 경우 멀티미디어 콘텐츠(동영상,

애니메이션)를 재생하기 위한 소프트웨어가 호출된다. 실행되는 프로그램의 취약점은 함수

혹은 기능에 존재하는데, 이때 입력값에 적절한 검증단계가 없는 경우 공격자가 제작한 원격의

악성코드가 지정되어 PC에서 실행 되는 것이다. 이용자 PC에서 실행되는 악성코드는 정보

유출, 데이타파괴, 사용불가 등의 다양한 피해를 초래할 수 있다.

공격자는 보통 취약한 소프트웨어를 최대한 많이 호출하는 악성스크립트를 홈페이지 서버에

삽입하기 때문에, 홈페이지를 접속하는 PC에 한 개라도 취약한 버전의 소프트웨어가 존재한

다면 악성코드 감염 피해를 입을 수 있다. 공격자는 소프트웨어의 공격 방법이 많이 알려져

있는 아래 3社의 취약점을 순차적으로 공략하는 스크립트를 많이 사용하기 때문이다.

•마이크로소프트 회사의 인터넷 익스플로러, 윈도우 미디어 플레이어, 실버라이트５

•어도비 회사의 플래시 플레이어,６ 어도비 리더７ 등

•오라클 회사의 Java JRE８

５ 홈페이지의 애니메이션, 오디오, 비디오 재생을 하는 마이크로소프트사의 소프트웨어

６ 홈페이지의 플래시(에니메이션)파일을 재생 할 수 있는 어도비회사의 소프트웨어

７ PDF 확장자 타입의 문서파일을 읽을 수 있는 어도비회사의 소프트웨어

８ 자바 언어로 개발된 소프트웨어를 구동 및 실행하기 위해 필요한 오라클사의 소프트웨어

[그림3] ① 플래시콘텐츠(검정색영역)를 읽기 위해서 이용자PC의 어도비 플래시플레이어가 호출 ② 플래시플레이어는 PC관리자 권한으로 실행되므로 취약점 악용시 악성코드가 관리자권한으로 설치

20 INTERNET & SECURITY FOCUS June 2014

상기 소프트웨어는 웹페이지, 문서, 동영상 등을 읽을 때 실행되며 PC설치 소프트웨어이기

때문에 취약점 존재 시 PC이용자가 피해를 입는다. 보완업데이트를 미적하고 악성코드

유포사이트에 접속하는 PC이용자는 데이터파괴, 정보유출(문서, 공인인증서) 등의 피해를

입을 수 있다. 이러한 이유 때문에 소프트웨어 제조사가 발표하는 보완업데이트를 신속하게

적용해야 한다.

3) 추이

홈페이지를 통한 악성코드 유포는 2006년부터 한국인터넷진흥원이 통계 집계를 하였다.

최근에도 계속해서 증가추세이며 주로 금전갈취를 노린 악성코드가 많이 유포되고 있다.

[그림4]는 한국인터넷진흥원이 직접 탐지하거나 신고접수된 악성코드경유지 및 유포지의

년도별 건수이다.

2. 홈페이지 변조

1) 정의

홈페이지 서버를 공격하여 홈페이지에서 보여지는 화면을 공격자의 이미지로 변조하는 사이버

공격이다. 이와 같은 유형의 사이버공격은 웹서버에 공격자의 주장이 담긴 이미지를 삽입함

으로서 주장을 전달하거나, 해커그룹의 이미지를 삽입(변조)함으로서 기술력을 과시하려는

목적, 공격 대상 홈페이지의 신뢰성을 훼손시키려는 목적이 있다.

[그림 4] 홈페이지 악성코드 유포 탐지 건수

2006년 2007년 2008년 2009년 2010년 2011년 2012년 2013년

0

5,000

10,000

15,000

20,000

6,617 5,551

8,978 7,352 6,674

11,805 13,018

17,750

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 21

2) 공격 대상

(1) 홈페이지 서버

아래 [그림6]은 메인페이지를 해커그룹 이미지로 교체한 것이고, [그림7]는 홈페이지의 메인

화면은 그대로 놔둔 채 추가로 해커그룹의 이미지를 삽입한 것이다. 차이점은 왼쪽 [그림6]은

이용자나 관리자가 홈페이지 변조 공격을 금방 인지할 수 있고, [그림7]은 최초 접속하는

홈페이지 메인화면은 변조되지 않았으므로 세심히 살피지 않으면 변조공격 사실을 쉽게

인지하기 어렵다. 홈페이지가 변조된 서버는 취약점이 존재하는 것이고 또 다른 공격자들의

표적이 되므로, 인지 즉시 추가적인 피해를 입지 않도록 보안조치를 확실히 해야 한다. 특히

호스팅업체의 웹서버는 경제성을 고려하여 보통 100~200개의 각기 다른 회사의 홈페이지가

1대의 웹서버에 운영되고 있는데, 공격자가 1대의 호스팅 웹서버 침투만으로 100~200개의

홈페이지가 대량 변조 될 수 있다. 이 경우 홈페이지와 컨텐츠는 서비스 이용자, 웹서버는

(OS, 네트워크 등) 호스팅 회사에서 관리하는 경우가 많은데, 관리 영역이 나뉘어져서 보안

사각지역이 발생한다. 영세한 사업구조 또한 호스팅업체가 공격에 취약한 또다른 이유다.

서버 침투 방법은 ‘홈페이지 악성코드 유포’에서 기술한 방법과 동일하다.

[그림 6] 메인화면 변조

[그림 5] 홈페이지 변조 개요도

[그림 7] 변조화면(fkpz1.htm) 삽입

22 INTERNET & SECURITY FOCUS June 2014

3) 추이

한국인터넷진흥원은 2004년부터 홈페이지 변조 통계를 집계하였다. 2005년 1~3월에는

해외 해커그룹들이 국내 수천 개의 홈페이지를 변조하였는데 제로보드 웹 게시판의 취약점이

해외 보안사이트에 알려지면서 공격을 받았기 때문이다. 2013년은 전년도와 비교하여

홈페이지 변조 탐지건수가 46% 감소하였다.

3. 디도스

1) 정의

디도스는 공격자가 감염시킨 수많은 좀비PC９를 이용해 다량의 패킷을 웹서버나 DNS서버１０

등의 특정 시스템으로 송신하여 서비스를 마비시키는 분산서비스공격(이하 디도스)이다.

공격자는 악성코드에 감염되어 공격자의 명령을 수행하는 좀비PC에 디도스 공격명령을 전달

하여 시스템에 다량의 트래픽을 전송하면 웹서버 등을 서비스 접속불가 상태로 만들 수 있다.

９ 악성코드에 감염되어 원격의 공격자 명령을 전달받아 그대로 수행하는 PC

１０ 홈페이지 접속을 위해 인터넷주소를 IP주소로 바꿔주는 시스템

[그림 8] 홈페이지 변조 탐지 건수

0

5,000

10,000

15,000

20,000

2004년 2005년 2006년 2007년 2008년 2009년 2010년 2011년 2012년 2013년

4,812

16,692

3,206 2,293 2,204

4,320

3,043 1,854

3,157

1,700

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 23

2) 공격대상

(1) 서버

디도스 공격은 크게 네트워크 대역폭 잠식 공격과 시스템 자원고갈 공격으로 구분할 수 있다.

네트워크 대역폭 잠식공격은 시스템에 연결된 네트워크 회선을 가득채우거나 정상적인 트래픽

전송을 방해하는 공격이다. 시스템 자원 고갈공격은 서버나, 네트워크 장비 에서 처리할 수

있는 시스템자원의(CPU, 메모리) 가용량을 넘어선 정보를 요청하여 시스템이 응답하지 못하

도록 하는 공격이다. 디도스 공격은 주로 웹서버, DNS서버의 서비스를 대상으로 발생하는데,

디도스 공격이 발생하였을 경우에는 공격패킷을 덤프하여 공격패턴을 확인해 볼 필요가 있다.

어떤 서비스에서 디도스 공격이 발생하는지 확인하고, 같은 IP에서 공격이 반복되는지, 패킷의

사이즈는 일정한지 등의 패턴이 확인되면, 기업의 보안장비에서 효과적으로 방어가 가능

하다.

(2) 좀비PC (공격장비)

최근의 디도스 공격 사례는 주목해 볼 필요가 있다. 2014년 2월 미국의 보안업체 클라우드플

레어의 유럽 소재 고객사를 대상으로 NTP１１ 취약점을 이용한 역대 최대 규모인 400Gbps의

디도스 공격이 발생(이하 NTP 디도스 공격)한 바 있으며, 국내에서도 최근 동일한 취약점을

악용한 공격이 발견되는 등 전 세계적으로 대규모 디도스 공격이 새로운 위협으로 부상하고

있다. 주목할 점은 NTP 디도스 공격에 동원된 장비를 조사해보니, 대학교나 병원에서 중앙

１１ 클라이언트PC 시간을 NTP서버의 시간과 동기화 해주는 서비스

[그림 9] 디도스 공격 개요도

24 INTERNET & SECURITY FOCUS June 2014

집중 냉난방관리를 위한 제어 시스템이 공격에 동원된 것으로 확인되었다. 컴퓨터의 외관과는

완전히 다른 모습의 냉난방관리 시스템이 인터넷에 연결되어 공격에 악용된 것이다.

또한 글로벌 보안 기업인 Akamai社에 의하면 올해 4월부터 SNMP１２ 프로토콜 취약점을

악용한 디도스 공격이 급증하고 있다고 밝혔다. SNMP 디도스 공격툴이 공개된 것을 급증의

이유로 꼽았으며, SNMP ver.2는 취약점이 존재하고, SNMP ver.3는 안전하다. SNMP

프로토콜은 주로 네트워크장비가 정상 작동하고 있는지 확인하는 헬스체크를 위해 사용되는

프로토콜이다. 현재까지 알려진 프로토콜 취약점을 악용한 디도스 공격에 대해 <표1>에서

정리했다.

<표 1> 프로토콜 취약점 디도스 공격

구분 DNS 취약점 디도스 NTP 취약점 디도스 SNMP 취약점 디도스

출발지 IP 변조 UDP 프로토콜 UDP 프로토콜 UDP 프로토콜

패킷 증폭 취약점 DNS 프로토콜 NTP 프로토콜 SNMP 프로토콜

이론적 패킷 증폭배율 8배 10배 650배

인증 여부 없 음 없 음 필 요

몇 가지 특징을 확인할 수 있다. 3개의 공격유형 모두 출발지IP가 변조되기 때문에 발생하는

공격유형이며, 원격에서 각 서비스(DNS, NTP, SNMP)에 대한 질문을 요청하고, 질문에 대한

응답이 올 때는 데이터 크기가 공격종류 별로 8배, 10배, 650배로 증폭되는데, 위조된 IP로

１２ 네트워크 장비를 관리하기 위한 프로토콜로 프린터, 라우터, 방화벽 등 다양한 장비에서 광범위하게 사용

[그림 10] NTP 디도스 공격 개요도

NTP 서버 ① 소스 IP를 공격대상 IP로위조

② NTP 질의전송 공격대상

③ 질의가 10배 증폭되어

④ 공격대상 IP로 NTP응답

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 25

응답이 송신된다는 점이다. SNMP 디도스 공격이 그나마 다행인 것은 인증절차가 있어, 아무

장비나 응답요청을 보낼 수 없기 때문에 상대적으로 덜 취약하다. 또하나의 특징은 DNS서버,

NTP서버, SNMP서버가 악성코드 감염없이 마치 좀비 PC처럼 디도스 공격이 가능하다는 점

이다. 처음에는 DNS 서비스의 취약점을 발견해서 디도스 공격에 활용한 방법이 알려지고,

힌트를 얻은 공격자는 NTP 서비스와 SNMP 서비스에서 비슷한 취약점을 발견하여 공격에

악용하고 있다. 이처럼 최근의 디도스 공격은 새로운 공격방법이 계속해서 발견되고 있고

한국에서 미국에 소재한 서버를 공격할 수도 있기 때문에 국제공조까지 필요하다.

3) 추이

디도스 공격은 2006년부터 한국인터넷진흥원에 신고 접수되기 시작하였다. 2008년과 2009년

에는 공격자가 게임아이템회사, 성인사이트 등을 대상으로 디도스 공격을 하여 서비스를

불가능하게 하고 금전을 요구하는 경우가 많았지만 최근에는 드물다. 2014년에는 감염PC를

동원한 디도스 공격에서 서비스 프로토콜 취약점 공격까지 수법이 다양해졌다.

4. 피싱

1) 정의

피싱１３은 지인 또는 유명기업을 사칭한 메시지를 이메일, 메신저, 문자 등 다양한 서비스를

통하여 공격대상자에게 전송한다. 메시지를 받은 이용자는 지인 혹은 신뢰된 기업으로부터

온 메시지로 오인하여 가짜사이트에 접속을 하는 것이다. 주로 신뢰된 금융기관에서 보안

１３ 가짜 홈페이지에 접속유도하여 입력된 정보를 유출하는 수법

[그림 11] 디도스 신고 접수 건수

2006년 2007년 2008년 2009년 2010년 2011년 2012년 2013년

0

20

40

60

80

100

4

47 53

42

53 63

91

53

26 INTERNET & SECURITY FOCUS June 2014

인증 절차를 수행하라고 권유하는 식으로 속여서 이용자가 자신의 금융정보(계좌번호, 비밀

번호, 보안카드, 공인인증서 등)를 직접 입력하도록 유도 한다. 공격자가 의도한대로 자신의

금융정보를 입력한다면 금전 피해로도 이어질 수 있다.

2) 공격대상

(1) 이용자 PC

피싱 메시지를 전달받은 이용자는 금융사이트 및 포탈사이트 도메인 주소를 유심히 확인하여

피해를 입지 않도록 주의해야 한다. 피싱 사이트의 도메인주소는 진짜 주소와 매우 비슷하기

때문이다. 다른 유형의 사이버공격과 달리 악성코드 감염을 통한 사이버공격이 아니다. 아래

[그림13]과 [그림14]의 검정색 영역은 신뢰된 공공기관 접속주소랑 비슷하게 만든 가짜 도메인

이다. 피싱공격은 주로 문자, 메신저 등의 서비스로 가짜홈페이지 주소가 전달된다.

[그림 13] 금융민원센터 사칭 피싱 [그림 14] 대검찰청 사칭 피싱

[그림 12] 피싱 개요도

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 27

3) 추이

피싱은 2011년부터 국내 뱅킹이용자의 돈을

노리고 국내은행을 사칭하여 많이 발생하기

시작하였는데 다른 나라에서는 그 이전부터

피싱공격이 빈번하였다. 2013년부터는 파밍

공격이 두드러지자 피싱공격은 감소추세에

있다. [그림15]는 국내은행을 사칭한 국외 소재

피싱사이트(가짜홈페이지) 접속차단 통계이다.

5. 파밍

1) 정의

파밍１４공격 피해는 이용자PC가 악성코드에 감염되어 발생한다. 대부분은 악성코드 유포

홈페이지에 접속할 때 이용자PC가 파밍 악성코드에 감염된다. 이미 앞에서 홈페이지 악성코드

유포에 관한 내용을 언급했기 때문에, 파밍은 이용자 PC의 악성코드 감염 및 금전피해 관점

으로 서술한다. 파밍은 홈페이지의 주소를 정확히 입력하더라도 공격자가 만든 가짜 사이트로

접속하게 되는 사이버공격이다. 이유는 이용자 PC가 악성코드에 감염되어 호스트파일１５에

정상 도메인주소에 가짜IP가 연결되도록 강제 지정을 해놓았기 때문이다.

１４ 호스트파일 변조로 인해 정확한 주소를 입력해도 가짜 홈페이지에 접속되어 개인정보를 훔치는 수법

１５ 이용자가 웹브라우저에서 특정 도메인을 입력하여 웹사이트 접속 시 해당 도메인의 실제 IP주소를 DNS 에 질의하지 않고

호스트 파일에 입력한 IP로 접속하도록 지정한 파일

0

2,000

4,000

6,000

8,000

2011년 2012년 2013년

1,849

6,834

5,019

[그림 15] 피싱사이트 접속 차단 통계

[그림 16] 파밍 개요도

28 INTERNET & SECURITY FOCUS June 2014

2) 공격대상

(1) 이용자PC

파밍악성코드감염이 의심될 경우 [그림17]처럼 윈도우즈의 C:\Windows\system32\

drivers\etc 경로에 있는 호스트 파일의 ‘수정한날짜’ 등을 유심히 확인해본다. 이 파일을

메모장으로 열어봤을 때 [그림18]처럼 수상한 숫자(2034364917)가 나오면 파밍 악성코드

감염을 의심할 수 있다. 이 경우는 공격자가 호스트파일 변조내용을 이용자가 인지하기 어렵

도록 IP주소를 다른 형식으로 변환해 놓은 경우이다. 이처럼 공격자는 교묘한 방법을 사용하

여 금융정보 갈취 확률을 높히려 한다.

호스트 파일뿐만이 아니라 이와 유사한 hosts.ics 파일도 유심히 확인해 봐야 한다. hosts.

ics 파일은 윈도우즈의 인터넷연결공유１６ 기능을 활성화 했을 때 도메인을 특정 IP로 지정하여

접속하는 기능의 파일이다. 공격자는 이용자가 감염 사실을 알아차리지 못하도록 일반적으로

잘 사용하지 않는 인터넷연결공유 기능을 켜고 hosts.ics 파일을 수정했다. 호스트 파일을

메모장으로 열어봤을 때 [그림20]처럼 스크롤 화면을 맨 밑으로 내리면 가짜 은행사이트에

접속하도록 변조된 내용을 비로소 볼 수 있다. 이용자 눈에 잘 안 띄도록 hosts.ics 파일의

맨 끝에 변조된 내용을 입력한 경우이다.

１６ 비공인IP의 PC를 공인IP PC에 연결하여 인터넷접속이 가능하도록 할 수 있는 기능

[그림 17] 호스트파일 위치 [그림 18] 변조된 호스트파일 내용

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 29

악성코드에 의해 호스트 파일이 변조된 PC에서는 정상 도메인의 주소를 입력했을 지라도,

도메인주소가 호스트파일에 지정된 가짜 IP로 지정되기 때문에 아래 [그림21]처럼 가짜 사이트로

접속하게 된다. [그림21]은 이용자PC가 포탈 홈페이지(가짜)에 접속하였는데, 금융권 인증

절차로 위장하여 정보입력 유도를 하고 있다. 공격자는 많이 접속하고 대중에게 신뢰된

홈페이지로 인식된 포탈사이트를 파밍공격에 악용하여 금융정보 갈취를 노린 것이다.

더욱이 2014년 4월에는 패스워드가 설정되지 않은 가정용 유무선공유기의 DNS 설정을 변조

하여, 가짜사이트에 접속유도 하고 금융정보를 갈취하는 새로운 유형의 사이버공격도 발생하고

있다. 이 경우 공격자는 가짜 DNS 서버와 가짜 홈페이지(포탈, 금융)사이트를 미리 만들어

두는 등 치밀하게 공격을 준비하였고, 공유기에 접속하여 악성사이트로 접속되도록 공유기

DNS 설정값을 바꾸었다. 이렇게 되면 공유기에 연결된 PC와 스마트폰에서 가짜사이트에

연결될 수 있고 금전피해로도 이어질 수 있다. 일명 ‘공유기 파밍’ 공격도 출현한 상태다.

[그림 19] 호스트파일 위치 [그림 20] 변조된 호스트파일 내용

[그림 21] 금융정보 입력 유도

30 INTERNET & SECURITY FOCUS June 2014

금융감독원도 2014년 6월 4일 유무선공유기 DNS변조 해킹으로 가짜 금융사이트 접속을 유도

하여 금전피해로 이어질 수 있음을 알리며 이용자 주의를 당부하고 ‘소비자경보’ 를 발령했다.

3) 추이

최근에는 피싱보다는 PC 호스트 파일을 변조

하는 파밍 공격이 급증 하고 있다. 2013년

에는 전년도에 비해 약 27배 증가하였는데

공격자들이 피싱보다 파밍이 금전탈취에 더

효과적인 것을 깨닫고, 파밍수법으로 PC

이용자를 공격하는 추세이다. [그림22]은

국내은행을 사칭하여 접속 차단한 국외 파밍

사이트(가짜홈페이지) 통계이다.

6. 스미싱

1) 정의

스미싱１７은 주로 안드로이드 스마트폰 이용자를 대상으로 문자메시지 전송을 이용한 공격이다.

공격자는 [그림23]과 같이 지인, 공공기관, 유명기업 등을 사칭하여 접속주소가 포함된 문자

메시지를 스마트폰 이용자에게 발송한다.

１７ 문자메세지에 악성앱 다운로드 주소를 보내어 스마트폰 이용자가 악성앱 설치 시 정보를 유출하는 수법

0

500

1,000

1,500

2,000

2,500

3,000

2011년 2012년 2013년

0 110

2,980

[그림 22] 파밍사이트 접속 차단 통계

한국인터넷진흥원은 보안이 취약한 유무선공유기에서 스마트폰을 이용해 인터넷 접속 시 KISA보안앱 사칭

악성 앱 유포 현상 발견. 공격자가 공유기 DNS 주소를 악성사이트로 접속되도록 변조했기 때문이며, 관리자

암호설정 및 원격 접속기능 비활성화 권고

- 아주경제, 2014년 4월 27일 -

[뉴스] 제목 : KISA 사칭 악성앱 유포 발견

[그림 23] 스미싱 문자유형

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 31

이를 수신한 이용자가 문자메세지 內의 주소 클릭 시 공격자가 제작한 악성앱１８을 다운로드

하고 실행하면 피해를 입을 수 있는 공격유형이다. 악성앱이 스마트폰에 설치되면 스마트폰

정보가 공격자에게 유출된다.

2) 공격대상

(1) 스마트폰

스마트폰 사용자가 문자메세지내의 주소를 클릭하고 설치를 하면, 악성앱을 다운로드하고

실행하게 된다. [그림25] 같이 안랩 백신, 경찰청, 또는 우체국 등을 사칭한 악성앱이 설치된다.

１８ 스마트폰에서 실행되는 악성코드를 악성앱이라 부르며, 안드로이드폰에서 실행 가능한 악성앱이 많음

[그림 24] 스미싱 개요도

[그림 25] 안랩 모바일 백신 위장 [그림 26] 경찰청 사칭 [그림 27] 우체국 택배 사칭

32 INTERNET & SECURITY FOCUS June 2014

이때 감염자 스마트폰의 기기 정보(전화번호, 모델명 등)와 주소록, 문자메세지 등이 공격자의

메일계정이나 해외 서버로 유출되고, 외부 사이트에서 가짜 금융앱을 추가 다운로드한다.

추가적으로 가짜 금융앱이 다운로드되면 정상급융앱 아이콘을 가짜 금융앱 아이콘으로 교체

하고 전자금융사기 예방서비스 가입을 권유하는 알람을 띄워 금융정보(공인인증서, 인증서

비밀번호, 보안카드 등)를 입력하도록 유도한다. 이때 이용자가 주의해야 할 점은 악성앱이

설치될 때 바로 알람을 띄우는 것이 아니라, 일정시간이 지나거나 스마트폰을 재부팅할 때

뱅킹앱 업데이트나 사기예방 서비스 가입 권유 알람을 띄우는 등 공격방법이 정교해 이용자가

공격사실을 인지하기가 더욱 어렵다. 만일 이용자가 이 정보를 입력한다면 공격자가 이용자의

모든 금융정보를 손아귀에 넣고 금전을 인출할 수 있게 되는 것이다.

스미싱은 문자로 악성앱을 유포하는 경우를 말한다. 그런데 악성앱 유포는 문자로만 가능한

것은 아니고 홈페이지에서도 스마트폰 이용자를 겨냥한 악성앱을 유포하고 있는데 횟수가

많지는 않다. 그 이유는 스마트폰 이용자가 악성앱 유포 홈페이지 접속시에는 스마트폰 이용자

동의 없이 악성앱 설치가 안되기 때문이다. PC에서는 취약점을 악용하여 악성코드 자동설치가

가능한데, 스마트폰에서는 아직까지는 이러한 공격이 통하지 않는다. 향후 스마트폰에서

드라이브 바이 다운로드１９ 공격이 발견될 시에는 인터넷이용자 모두의 주의가 필요하다.

１９ 소프트웨어 보안취약점을 악용하여 공격자의 악성코드가 사용자 허가 없이 실행되는 것

[그림 28] 정상 금융앱으로 위장 [그림 29] 금융정보 입력유도 [그림 30] 공인인증서 입력유도

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 33

3) 추이

[그림31]는 한국인터넷진흥원이 신고 접수한

스미싱문자로 전달된 악성앱 통계이다. 2012년

부터 통계를 시작하였다. 2013년에 발견된

악성앱 건수는 전년도에 비해 매우 큰폭으로

증가하였고 2014년에도 증가추세는 이어지고

있다.

Ⅲ. 결론

1) 사이버공격 유형별 매트릭스

여기까지 한국인터넷진흥원에서 대응하는 6개의 주요 사이버공격 유형에 대하여 알아봤다.

각각의 사이버 공격유형에 대하여 공격대상을 [그림32]로 표현하였다.

[그림 32] 사이버공격 유형별 공격대상

홈페이지 악성코드 유 포

홈페이지 변 조

디 도 스

피 싱

사이버 공 격

스 미 싱

파 밍

① 공 격 대 상 스 마 트 폰

② 공 격 대 상 -

① 공 격 대 상 P C 이 용 자

② 공 격 대 상 -

① 공 격 대 상 P C 이 용 자

② 공 격 대 상 홈페이지서버

① 공 격 대 상 홈페이지서버

② 공 격 대 상 -

① 공 격 대 상 웹 / D N S

② 공 격 대 상 좀 비 P C

① 공 격 대 상 P C 이 용 자

② 공 격 대 상 -

0

500

1,000

1,500

2,000

2,500

2012년 2013년

15

2,312

[그림 31] 스미싱 악성앱 신고 건수

34 INTERNET & SECURITY FOCUS June 2014

위에서 종합한 사이버 공격대상을 사이버 공격 유형별 매트릭스<표2> 가로축에 표시하였다.

가로축 : 공격에 악용된 역할(경유지, 유포지, 명령조정지, 감염PC) 혹은 장비(서버, PC,

스마트폰, 공유기, 모뎀)별로 나열 가능

기본 매트릭스의 세로축은 공격행위를 표현한 것인데 기본 매트릭스 이용자에 따라서 세로

항목을 자유롭게 수정하여 가변적으로 활용가능하다. 공격자의 인터넷 연결환경, 취약점

악용, 침투행위, 내부행위, 피해내용, 공격의도를 표시하였다. 한마디로 공격자가 걸어온 길을

확인하는 내용이고, 마지막 ‘상황전파’는 공격자가 걸어온 길을 공격피해자에게 알려서 피해를

최소화하는 항목이다.

세로축 : ①연결환경, ②취약점, ③침투행위, ④내부행위, ⑤피해내용, ⑥공격의도, ⑦상황전파

① 연결환경은 유선과, 무선영역으로 구분하였다. Wi-Fi는 무선 AP접속 영역을 의미한다.

건물내 혹은 이웃건물 정도 범위의 무선연결이 허용된 영역에서의 공격을 표현 할 때 해당

될 수 있다. 커피숍에서 Wi-Fi연결 노트북 사용자를 노린 패킷데이타 도청이 대표적이다.

② 취약점은 프로토콜, 운영체제, 응용프로그램과 관리적 문제 등의 항목으로 구성하였다.

③ 침투행위는 악성코드 전파수단(메일, 웹, USB)이 있었는지? 정보시스템에 침투하기 위한

명령문, 도구, 악성코드 등을 기술하는 항목이다. 침투행위 악성코드는 원격에서 실행하고,

취약점을 악용할 수 있다.

④ 내부행위는 시스템 내에서 공격자가 수행한 명령어, 도구, 악성코드를 구체적으로 자유롭게

기술하는 항목이다. 시스템내에서 실행된 악성코드의 기능으로 표현 가능하다.

⑤ 피해내용은 악성행위로 인한 결과이며, 정보유출, 정보변조/파괴, 시스템 사용불가의

항목으로 이루어졌다. 어떠한 정보가 유출되고, 파괴되었는지 기술하는 항목이다.

⑥ 공격의도는 최근의 사이버공격이 사회적 관심사를 이용하는 경향이 뚜렷하여 이를 표현

하였다. 일반 대중을 의도로 한 공격(올림픽, 재난사고)과 특정조직을 대상(조직 기밀정보)

으로 한 공격, 금전갈취 등으로 구분하였다.

⑦ 상황전파는 공격대상장비의 사용자에게 보완업데이트, 백신실행 등의 조치 방법 등을

전달하는 항목이다.

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 35

<표2> 사이버공격 유형별 매트릭스 ( ◯ : 일반적으로 해당 있음, ― 표시 : 확인 불가 )

분 류

사이버공격 유형 웹 악성코드유포 웹변조 디도스 피싱 파밍 스미싱

공격대상

공격행위서버 PC 서버 서버 좀비PC PC PC 스마트폰

연 결

환 경

①

유선 ◯ ◯ ◯ ◯ ◯ ◯ ◯ -

무선 - - - - - - - ◯

Wi-Fi - - - - - - - -

기타 - - - - - - - -

취약점

②

프로토콜 - - - - ◯ - - -

운영체제 ◯ ◯ ◯ - ◯ - ◯ -

응용프로그램 ◯ ◯ ◯ - ◯ - ◯ -

관리적문제 - - - - - - - -

기타 - - - - - - - -

침 투

행 위

③

정보수집 - - - - - - - -

전파수단(웹/메일) - ◯ - - ◯ ◯ ◯ ◯

명령어/도구 ◯ - ◯ - - - - -

악성코드(원격/취약점) ◯ ◯ ◯ - ◯ - ◯ -

기타 - - - - - - - -

내 부

행 위

④

명령어/도구 ◯ - ◯ - - - - -

악성코드(시스템) - ◯ - - ◯ - ◯ ◯

기타 - - - - - - - -

피 해

내 용

⑤

정보유출 ◯ ◯ ◯ - ◯ ◯ ◯ ◯

정보변조/정보파괴 ◯ - ◯ - - - - -

서비스불가 - - - ◯ - - - -

기타 - - - - - - - -

공 격

의 도

⑥

일반대중 - ◯ - - - ◯ ◯ ◯

특정조직 - - - - - - - -

금전갈취 - - - - - ◯ ◯ ◯

기타 - - - - - - - -

상 황

전 파

⑦

연결분리/차단 - - - - - - - -

설정변경/업데이트 ◯ ◯ ◯ - ◯ - ◯ ◯

백신실행 ◯ ◯ ◯ - ◯ - ◯ ◯

기타 - - - - - - - -

36 INTERNET & SECURITY FOCUS June 2014

2) 사이버공격 대응 기본 매트릭스 적용

별난악성코드가 유포되어 100만 대 PC가 감염되는 가상 사이버공격을 위와 같이 꾸며보았다.

이 사고를 참조하여 별난 악성코드 사이버공격 대응 매트릭스를 아래와 같이 적용 가능하다.

•별난 악성코드로 인해 전세계적으로 100만 대 PC 감염 및 이용자PC의 금융정보를 가로채어 1천억 피해 발생

•웹서버 악성코드 유포지에 접속한 이용자 PC 감염, 송장 이메일(계산서 가장)의 첨부파일 클릭 시 감염

•좀비 제어가 가능한 봇넷을 거느리고 있으며, C&C통신 (통신암호화)

•별난 악성코드는 데이타 암호화 랜섬웨어를 다운로드하여 추가 설치

(가상스토리) 별난 악성코드유포 대응 요약

<표3> 사이버공격 대응 기본 매트릭스 ( ◯ : 해당 있음, ― 표시 : 확인 불가 )

분 류

사이버공격 별난 악성코드 유포 대응

공격대상

공격행위C&C(10대) 유포지(100대) 감염PC (100만 대)

연 결

환 경

유선 유선 유선 유선

무선 - - -

기타 - - -

취약점

프로토콜 - - -

운영체제 - - -

응용프로그램 - 게시판 취약점 문서편집기(한글) 취약점

침 투

행 위

정보수집 - - -

전파수단 - 웹방문시 별난악성코드유포 웹서버접속 / 메일전송

명령어/도구 - 웹프락시(파로스) 도구 사용 -

악성코드(원격/취약점) - 게시판취약점 RFI공격코드 자바취약점 / 한글취약점문서

내 부

행 위

명령어/도구 - 웹셸 명령어 수행 -

악성

코드

기능

감염경로 - - 웹서버접속 및 한글문서클릭

암호화통신 C&C와 감염PC 통신암호화 - C&C와 감염PC 통신암호화

C&C 좀비PC명령/좀비리스트확보 - C&C (211.*.*.*)

중간자공격 - - 금융정보유출

추가다운로드 - - 랜섬웨어 추가설치

피 해

내 용

정보유출 - - 정보유출

정보 변조/파괴 - - 정보 암호화하여 사용불가

서비스/사용불가 - - -

공 격

의 도

일반대중 - - 송장가장 메일 무차별 발송

특정조직 - - -

금전갈취 - - 1,000억

상 황

전 파

연결분리/차단 랜선 연결분리 - -

설정변경/업데이트 - 게시판취약점 보완업데이트 자바 및 한글 보완업데이트

백신실행 - - 백신실행/전용백신제공

FOC

US

FOCUS 2 사이버공격 대응 기본 매트릭스 37

3) 시사점

주로 해외에서 유행하던 피싱이, 2011년도부터 국내에 상륙하였고, 피싱의 뒤를 이어서 공격

효율이 좋은 파밍과 스미싱이 2013년부터 뚜렷하게 자주 발생하고 있다. 편리한 서비스가

공격자에게 악용되고 전자금융거래의 허점을 공격하는 방법이 많이 알려지자 이 수법을 배운

공격자들이 PC와 스마트폰 사용자의 공인인증서와 금융정보를 탈취하고 있다. 사이버공격에

있어서 국경의 경계는 무의미하며, 사이버공격유형 또한 서로간에 연관 관계가 있고 사회적

현상까지 이용하고 있다. 사물인터넷시대에는 다양한 기기들이 인터넷에 연결되기 때문에

사이버공격을 더 세밀하게 규정할 수 있어야 정교한 대응을 할 수 있다. 정교한 대응을 위해

본고에서는 사이버공격을 매트릭스로 표현하는 방법을 제시했다. 사이버공격을 방어하기 위한

고민과 연구는 비슷한 주제일지라도 끊임없이 계속되어야한다.

※ 스미싱통계는 스미싱에서 유포하는 악성앱 건수 통계 (동일한 악성앱 제외)

[그림 33] 최근 5년간 사이버공격 유형별 통계

17,750

1,700

53

5,019

2,980

2,312웹악성코드유포

웹변조디도스

피싱파밍

스미싱

2009

2010

2011

2012

2013

38 INTERNET & SECURITY FOCUS June 2014

참고문헌

이한선, “KISA 사칭 악성앱 유포 발견”, 아주경제, 2014. 4. 27 <http://kr.ajunews.com/view/

20140427155436769>

김현정, “금감원, 공유기 통한 금융정보 해킹에 ‘소비자경보’ 발령”, 메트로, 2014. 6. 4<http://www.

metroseoul.co.kr/news/newsview?newscd=2014060400129>

한국인터넷진흥원, 진화하는 악성코드…피싱·큐싱 결합해 PC·스마트폰 동시공격, 2014. 6월

한국인터넷진흥원, 대규모 악성코드 유포 동향 분석, 2014. 3월

한국인터넷진흥원, DDoS 공격대응 가이드, 2012. 10월

한국인터넷진흥원, KrCERT 분석월보 통계 2004년 ~ 2013년 <http://www.krcert.or.kr/>

International Takedown Wounds Gameover Zeus Cybercrime Network (2014. 6. 8 방문)

<http://www.symantec.com/connect/blogs/international-takedown-wounds-

gameover-zeus-cybercrime-network>

Akamai: PLXsert Warns of Threat from SNMP Reflection DDoS Attacks (2014. 6. 8 방문)

<http://www.prolexic.com/news-events-pr-prolexic-ddos-threat-advisory-snmp-

reflector-attacks.html>

클라우드플레어 : Understanding and mitigating NTP-based DDoS attacks (2014. 6. 19 방문)

<http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-

attacks>