국내외 침해사고 대응 정책 동향

2009. 10.

충남대학교 정보통신공학부

류 재 철

목 차

11 사이버 공격 동향

22 국외 침해사고 대응 동향

33 7 7 DDoS와 국내 대응

44 결론

2

1. 사이버 공격 동향

위협

악성 BOT

위협수준

바이러스

피싱

DDoS

스파이

웜

스파이웨어

2000 2002 2004 2005 2008

공격기법 수동 공격자동화,

대규모화

은닉화/지능화사회공학적공격 가미

특정 네트워크피해 범위 개별 시스템 대규모 네트워크

특정 네트워크기업/국가

해킹 동기호기심

자기과시형금전적/정치적/군사적 목적

기존 범죄조직과 연계

3

(KISA, 2009. 8)

7% 5%

2007년 2008년

클라이언트 취약점

이용

서버 취약점 이용

클라이언트 취약점을 이용한공격 증가

93% 95%

봇 감염 컴퓨터 증가

4

Top countries by bot-infected computers(시만텍, 2007)

에스토니아

2007년 4월 정부 정보망에 DDoS 공격에스토니아 정부 러시아를 고발

그루지아

2008년 러시아 해커들이 정부, 은행 공격ID 도용후 DDoS 공격

그루지아

2009년 7월 DDoS 공격

한국, 미국

2007년 8월 국가정보원 정보망에 중국

인도미국

감염 PC의 HDD 및 중요 문서 파괴

독일

발 해킹정부 고위인사 e-mail 주소 탈취(200여개)

호주 뉴질랜드

2007년 6월 국방부 컴퓨터 해킹 발생미국측은 중국 군부를 배후로 지목

2007년 8월 총리실과 3개 부처 시스템해킹중국을 배후로 지목(중국은 부인)

2007년 9월 중국 해커들이 정부망 침투시도아시아 퍼시픽 ‘군사 기밀 노렸다’

호주, 뉴질랜드

5

(한국경제신문, 2007. 11. 30, http://www.hankyung.com/news/app/newsview.php?aid=2007113078561)

에스토니아

2007년 4월 ~ 5월(3주)

유럽의 주요 정보 기반구조 계획을 재점검하는

계기를 제공하게 됨

우리나라와 같은• 미국, 유럽, 이스라엘 등의 전

문가가 방어에 참여• 에스토니아 해커는 러시아 사

이트(기념비 지지)를 공격하는것으로 대응

우리나라와 같은인터넷 강국

것으로 대응• 에스토니아 정부는 러시아 정

부를 고발

정치적인 목적(구 소련 군인 기념비철거 반대)에 의한

6

(전자신문, 2007년 6월 4일)

사이버 공격(DDoS공격)

사이버전 수행 가능 국가(약 20개국, 미국 국방부)

러시아 중국 북한 이라크 리비아 쿠바 이란

(주간조선, 2009.6)

프랑스 영국 미국 이스라엘

사이버 무기: $300 ~ $5만

스텔스 폭격기 1대: $20억

스텔스 전투기 1대: $1.2억

7

크루즈 미사일 1기: $200만

북, 해킹 능력은 미국 CIA 수준

군에 대한 사이버 공격: 일일 평균 9만5천여건 (기무사)

11%

89%

단 위협 사정 절취단순 위협 군사정보 절취

북한 연간 100명의 전문 해커 양성

인민군 총참모부, “평양 자동화 대학” 설립

암호 기술 및 해킹 정보 전자전 장교 양성암호 기술 및 해킹 정보 전자전 장교 양성

(2009 국방정보보호 컨퍼런스)

8

(시사저널 2009.06.24)

중국 스파이망: 고스트넷

지속적인 감시

인터넷 티베트(주타겟)

스파이(해커)

고스트넷고스트넷악성코드 그외

2년간, 103개국 1,295개컴퓨터 시스템 해킹

정보전감시기구(캐나다, 토론토) 발표, 2009

컴퓨터의 카메라, 녹음 기능도 활용

9

2. 국외 침해사고 대응 동향: 미 국

PCCIP (Presidential Commission on Critical Infrastructure Protection)정보화 시대의 취약점에 대한 첫 국가적 노력관련된 모든 정부부처와 민간의 대표가 포함HSPD 7(H l d S it P id ti l Di ti 7)에 의해 기능 재조정

1996HSPD-7(Homeland Security Presidential Directive-7)에 의해 기능 재조정

PDD-63 (Presidential Decision Directives-63)PCCIP의 건의로 클린턴 행정부 발표정부가 운영중인 기반구조 보호를 위한 계획 수립 요구정부 및 민간에 NIAP(National Infrastructure Assurance Plan) 개발 요구

1998정부 및 민간에 NIAP(National Infrastructure Assurance Plan) 개발 요구

National Plan for Information Systems ProtectionCII(Critical Information Infrastructure) 보호를 위한 첫 국가적 계획CII의 사이버 구성요소 보호에 중점CIIP가 보호에 있어서 정부와 민간의 책임 공유 인식 강화

2000

Homeland Security Executive OrdersOffice of Homeland Security와 Homeland Security Council 설립President’s Critical Infrastructure Protection Board 설립NIAC(National Infrastructure Advisory Council) 설립

미국

2001

HSPD-7PDD-63을 승계모든 연방부처가 CI를 정의, 우선순위 결정, 보호대책 수립 및 진행CI 보호활동을 DHS(Dept. of Homeland Security)에서 주도하도록 정의

NIPP (N ti l I f t t P t ti Pl )

미국9 11 이후

전통적 테러대책과CIIP 통합

2003

NIPP (National Infrastructure Protection Plan)DHS에서 발표CI 보호를 위한 현재/미래의 대책 제공직접적인 CIIP 활동은 연방부처에 할당하고 DHS는 Control Tower 역할 수행공공/민간간 정보 공유 강조

2006

10

Cyberspace Policy오바마 정부의 정보보호 정책 프레임 발표정보통신 인프라의 신뢰성 및 복원력 보장이 핵심최상의 리더쉽 발휘, 사이버 보안 책임 공유, 디지털 국가 역량 구축, 혁신 촉진

2009

오바마 정부의 정보보호 정책

• 정부와 민간의 긴밀한 파트너쉽• 국제사회와의 효율적 협력 관계

사이버 보안 책임 공유

• 전국민 사이버 보안 인식 향상• 사이버 보안 교육 시스템 혁신• 연방정부의 인적 자원 양성

디지털 국가 역량 구축

] • 국가 사이버 보안전략 수립• 백안관내 사이버보안정책관 임명• 국정 우선과제로 설정

사이버 보안 책임 공유디지털 국가 역량 구축

정보통신 인프라 보안 분야 정부의 최고 정책 협의체인 ICI IPC 의장직 수행

최상의 리더쉽 발휘

• 침해 탐지/예방/대응프레임 구

고 정책 협의체인 ICI-IPC 의장직 수행사이버 보안 정책간의 우선순위 조정

• 신속한 혁신기술 및 연구결과 보급• 연방정부의 R&D 전략체계 구축• 국가 차원의 ID 관리시스템 구축

혁신 촉진

침해 탐지/예방/대응프레임 구축

• 효과적 침해대응 정보 공유• 국가 주요 인프라 보안성 제고

효과적 정보 공유 및 사고 대응

11

혁신 촉진과적 정 공유 및 사 대응

(人@Internet 7/8월호, KISA)(IPC-IPC: Information and Communications Infrastructure Interagency Policy Committee)

사이버 침해사고에 대한 사후 대응 전략에서 사전 예방 중심으로 변환

CNCI (Comprehensive National Cybersecurity Initiative), 2009.3

사이버 침해사고에 대한 사후 대응 전략에서 사전 예방 중심으로 변환12개 핵심전략으로 구성되었으며, 비밀로 분류된 국가 안보에 관한 대통령 명령 23(NSPD54/HSPD23)을 근거로 하고 있고 내용의일부만 공개

FDCC(Federal Desktop Core Configuration): 연방기관내 업무용 데스트탑 PC 및 노트북 보안 강화

핵심기술

TIC(Trusted Internet Connection): 연방기관간 인터넷 경로 보안체제 강화

Einstein 프로그램: 연방기관간 인터넷 통신 감시체제 구축

교통부 Einstein 센서

연방기관과외부와의 모든트래픽을 점검

TIC

교통부

FDCC 적용

연방정부의모든 PC의 보안성 검토

Einstein 센서

인터넷TIC

국무부

FDCC 적용

이상징후

재무부12

국토안보부이상징후TIC

4,300여 개의 외부 인터넷과의연결점을 100개 미만으로 축소

사이버전 대비

2009년 10월, ‘사이버 사령부’ 출범

사이버 전쟁의

오바마 정부의 시급한 문제로 對중국, 對러시아 사이버 안보 대두(5개년 램 승인 약 170억 달러 확대 지원)

미국내 사이버 침투

사이버 전쟁의능동적 수행

내부 데이터 보호

(5개년 프로그램 승인, 약 170억 달러 확대 지원)미국내 사이버 침투

8만 정부기관사기업개인

4만

6만

컴퓨터 칩에 몰래 설치된 ‘봇’을 이용한 선제공격 가능 2006년 2007년 2008년

2만

13

컴퓨터 칩에 몰래 설치된 봇 을 이용한 선제공격 가능(사이버 무기 개발 관련 사항은 기밀로 분류하여 언급 회피) (미국 국토안보부)

유럽연합

유럽 집행위원회(EC: European Commission)

EPCIP

유럽 관 민 협조체제(EP3R)

유럽 네트워크 정보 보안처(ENISA)

전유럽 CERT(EGC)

국가별 관 민 협조체제 국가별 기반구조국가별 CERT

국가별 관 민 협 체제(PPP)

국가별 기반구보호 관리 기관

국가별 CERT

각 회원국

EPCIP: European Programme for Critical Infrastructure Protection, 주요 기반구조 보호를 위한 유럽 프로그램ENISA: European Network and Information Security Agency)

14

ENISA: European Network and Information Security Agency)EP3R: European Public Private Partnership for ResiliencePPP: Public Private PartnershipEGC: European Governmental CERTs GroupCERT: Computer Emergency Response Team

EPCIP 정책 목표 및 로드맵

주요 기반구조 보호 및 복구에 대한 국가간 정책 차이 최소화

EPCIP

주 기반구 및 복구에 대한 국가간 정책 차이 최 화

주요 기반구조 보호 및 복구에 대한 EU의 관리 능력 향상

유럽의 침해 사 대응 능력 강화유럽의 침해 사고 대응 능력 강화

국제적인 보호 및 복구 능력 향상

준비 및 예방

주요 기반구조 보호에 대한 EU 차원의 표준 개발 (2010년)EU 모든 회원국 내에 국가/정부 차원의 CERT 설치 (2011년)유럽 관민 협조체제(EP3R) 수립 (2010년)

탐지 및 대응

유럽 정보 공유 및 경보 시스템(EISAS: European Information Sharing and Alert System) 설립 (2010년)

모든 회원국에서 국가 CERT 중심의 모의 훈련 실시 전유럽 차원의 모의 훈련 실시(2010년)

완화 및 복구

모든 회원국에서 국가 CERT 중심의 모의 훈련 실시, 전유럽 차원의 모의 훈련 실시(2010년)EGC 회원국 확대 (2010년)

주요 기반구조에 대한 EU 차원의 우선 순위 결정 (2010년)국제 공조를 위한 EU의 기반구조 보호 안내서 발간 (2010년)OECD 등과의 공조 체제 강화

15

국제 공조 OECD 등과의 공조 체제 강화

EU의 기반구조 보호 주요 활동

통신 관련 법안 정비통신망 운영자의 보안 서비스 구축 의무 강화 (특히 네트워크 가용성 확보 관련)보안 사고 발생시 국가기관에 신고 의무화보안 사고 또는 개인정보 유출 사고 발생시 가입자에게 통지 의무화

사이버 범죄 대응ID 도용에 대한 법률 제정회원국 간의 법률 조율법 집행 능력 강화

악성코드 대응개인정보 보호를 위한 법안 발의 및 사이버 보안 정책 발표 (2007년)스팸, 스파이웨어 등 악성코드 대응을 위한 제3세계 국가와의 협약 체결

안전 인터넷 프로그램불법 콘텐트 및 유해정보 차단안전 인터넷에 대한 일반인의 인식 제고 활동안전 인터넷 램 안전 인터넷에 대한 일반인의 인식 제 활동관련 데이터베이스 구축

국제 협력네트워크 보안 관련 제도 정비국가 연합 긴급 대응 훈련 방안 수립

정보보호 전략 수립“정보보호 수준 제고 전략” 수립 (2007년)국가기관 및 업계에서 “PET(Privacy Enhancing Technology)” 공동 개발

16

일본

Telecommunication Business/Service Unauthorized Computer Access Law/Law

p(2000년)

Protecting personal information

Protecting ISP rights for recompense

Authorizing wiretaps in investigations involving organized crime

(Security Today, Ruri Hiromi, 2004)

17

The First National Strategy on Information Security (2007년 ~ 2009년)( 년 년)

정부 기반구조 기업 국민

목표 (2009년)목표 (2009년) 정보보호 체계 수립정보 기술 관련오류 최소화

세계 최고 수준의정보보호 기술 확보

정보보호 인식 제고(정보보호는 불편하지 않목표 ( 년)목표 ( 년) 정 체계 수립

오류 최소화 정보보호 기술 확보 (정 는 불편하지 않다)

정보보호 표준에 의한 평가 시행

CEPTOAR 개발민관 공동 사이버 공

바이러스 대응 프레임워크 강화

정보보호 인식 제고정보보호 교육 강화

주요 정책주요 정책한 평가 시행사이버 공격에 대한대응 능력 향상

민관 공동 사이버 공격 대응 훈련 실시민관 공동 사이버 공격 분석 실시

임워크 강화정부기관 구매 절차확립3자에 의한 평가

정보보호 교육 강화

사이버 범죄 대응 및 복구 수단 개발

CEPTOAR: Capabilities for Engineering of Protection Technical Operations Analyses and Response

사이버 범죄 대응 및 복구 수단 개발인적 자원 개발

정보보호 기술 개발 지원국제 공조 체계 확보

18

CEPTOAR: Capabilities for Engineering of Protection, Technical Operations, Analyses, and Response

봇넷 대응 기술 개발

3 감염 PC의 트래픽 특성 보고4 감염 PC 식별

5 백신 설치 권고/배포

ISP

CCC(Cyber Clean Center)

ISPSuperHoney

Pot

2웜/바이러스 분석백신 개발

웜/바이러스 (http://www.ccc.go.jp)

ISP 1 웜/바이러스 수집

6 백신 배포

19

포털 사이트

IETF Security Area 최근 동향

btnsBetter-Than-Nothing Security익명 키 교환을 위한 IPsec의 확장

dkimDomain Keys Identified Mail E mail에서 도메인 인증

emuEAP Method Update인증 프레임워크 확장 (EAP-TLS, EAP-GSPK 등)

hokeyHandover KeyingEAP에서 단말이 핸드오버 할 때 키 관리 dkim E-mail에서 도메인 인증

공개키 기반의 도메인 인증

ipsecmeIP Security Maintenance and ExtensionsIPsec 확장 및 유지

pkixPublic-Key Infrastructure (X.509)TA 관리, PKI 자원 발견 프로토콜Simple Authentication and Security Layer

hokey EAP에서 단말이 핸드오버 할 때 키 관리EAP/AAA 서버에서 마스터 키를 배포하는 구조

krb-wgKerberosKerberos 확장 (ECC 적용 등)

Kitten (GSS API Next Generation)

saslSimple Authentication and Security LayerIMAP, POP, XMPP 등을 위한 보안 프로토콜

smimeS/MIME Mail SecurityS/MIME v3.2

tlsTransport Layer SecurityTLS v1.2

인증서버

인증

Secure Communications

kittenKitten (GSS-API Next Generation)GSS-API version 2

보안 관리

관리서버

보안 관리

ltansLong-Term Archive and Notary Services전자서명 데이터의 장기보관 모델SCVP를 활용한 데이터의 신뢰성 보장(e-witness)

neaNetwork Endpoint AssessmentServer에서 다수 단말의 보안 상태 관리

관리서버

keyprov

Multicast Security

syslogSecurity Issues in Network Event LoggingSyslog 메시지의 안전한 전송Provisioning of Symmetric Keys대칭키 관리 및 전달 프로토콜클라이언트/서버 구조의 대칭키 초기화 모델

TA: Trust AnchorIMAP: Internet Message Access ProtocolPOP: Post Office ProtocolXMPP: Extensible Messaging and Presence ProtocolSCVP S b d C ifi i V lid i P l

20isms

Integrated Security Model for SNMPSNMP Security ProtocolRADIUS 서버를 이용한 인증 구조

msecy

Secure Group Communication정책서버/그룹키 서버를 이용한 정책 및 키 관리

SCVP: Serve-based Certification Validation ProtocolRADIUS: Remote Authentication Dial In User ServiceEAP: Extensible Authentication ProtocolAAA: Authentication, Authorization and Accounting

Network Endpoint Assessment

NEA Cli t NEA Server보안 상태

보안 상태정보 보고

보안 정책 대비보안 상태 점검

NetworkEnd Point

NEA Client

NetworkInfrastructure

(Validation Server)보안 상태정보 수집

대응 조치지시

NEA Client

21

NetworkEnd Point

IETF NEA(Network Endpoint Assessment)

EnterpriseNetwork

서버

1 휴가에서 복귀

2 회사 네트워크 접근 요청

3 보안상태 점검 요청

클라이언 NEA 서버NEA 클라이언트4 보안 상태 정보 전송: 패치 정보, 방화벽 정보, 안티 바이러스 정보

5점검: 최신보안 패치미적용 발견

6 점검 결과 전송 & 네트워크 접근 제한

Restricted Network

7 최신 패치 다운로드 & 설치 IETF NEA 작업반 개요

의장사: 주니퍼네트웍스, 시스코패치 서버

8 회사 네트워크 접근 재요청 & 성공

의장사: 주니퍼네트웍스, 시스코2006년 7월 조직1개 RFC (informational)2개 드래프트Trusted Computing Group의TNC(Trusted Network Connect)와 연계

22

3. 7 7 DDoS 와 국내 대응

악성코드 유포지 웹하드 이용자(11만 5천대)1 전용 프로그램 설치

서울 웹하드사이트

부산 웹하드

2 프로그램 구동시2 자동 업데이트

4 악성코드 설치

3 웹 사이트 해킹업데이트 프로그램을악성코드로 바꿔치기

DoS공격DoS공격

피해 사이트 (총35개)(국내: 21, 해외: 14)

좀비 PC 하드디스크

부산 웹하사이트 4 악성코드 설치악성코드로 바꿔치기 (국내 , 해외 )

비 관리서버 비 파괴 서버

정보 유출 파괴

구분 공격대상 일자

1차- 국내(12), 국외(14) 대상 DDoS 공격- 24시간 동안 접속 장애 발생

7.7

좀비 PC 관리서버(6개국 9대:

독일(3), 미국(2), 캐나다중국, 태국,오스트리아)

좀비 PC 파괴 서버(6대: 대만, 과테말라, 미국,

파키스타, 터키, 멕시코)좀비 PC파일목록일부유출

DDoS공격 수행

2차 - 국내 15개 사이트에 접속장애 발생 7.8

3차- 국내 7개 사이트 대상 공격 시도- 알려진 피해는 없음

7.9

HDD감염 PC의 HDD 및 중요 문서 파괴 7 10

파일정보 수집서버(59개국 416대(한국 15대))

악성코드공급서버

(1대 미국)

재유출 서버(3대: 캐나다, 베네수엘라, 이스라엘)

파괴- 감염 PC의 HDD 및 중요 문서 파괴 7.10

23

(한국: 15대)) (1대: 미국)

네트워크형 C&C (Command & Control) 서버

좀비 PC 분석

Pa per install에서 거래 거절Pay-per-install에서 거래 거절러시아 공격자들이 자국 PC에 대한해킹을 최소화함으로써 러시아 당국의 해커 단속을 완화하려는 의도가있음

공격 피해 작음(네트워크 대역폭, 언어 문제 등)

공격 피해 큼

5년전 애드웨어 전문 거래로 시작최근 악성코드를 얻는 가장 주요한

국내 개인 사용자의백신 설치률: 92%윈도우 보안패치 35%

악성코드 설치 가격 ($/1000대)(www.pay-per-install.org)

미국 140

최근 악성코드를 얻는 가장 주요한사이트온라인 화폐 주로 활용최근에는 악성코드 유포 및 개인정보를 수집하는 가짜 백신이 주목 받고있음

윈도우 보안패치: 35%주기적 검사 비율: 46%

(출처: AhnLab)

미국 140

영국 110

네덜란드 30

프랑스 30

폴란 20

24

폴란드 20

호주 55

아시아 6

악성 프로그램 확산 방지법 (좀비 PC 방지법)

컴퓨터 보안 프로그램 설치 및 최신 업데이트

컴퓨터 보안프로그램 개발사

우수 보안프로그램 추천에 참여보안프로그램 긴급 배포에 협조

트S/W 보안 패치악성프로그램 삭제 요청 및 접속제한 명령수용침해사고 원인분석을 위한 컴퓨터 접속 동의

PC이용자S/W 사업자

보안패치 제작/통보/1월내 2회 이상 공지중대한 보안 취약점에 대한 1월내 개선

좀비 PC 피해 사이트공격자 악성코드공격자 악성코드유포지

홈페이지운영자

이용자에게 보안 프로그램 및 최신 업데이트를 제공악성프로그램 정기점검/삭제악성프로그램 삭제 명령 수용

이용자에게 보안 프로그램 및 최신 업데이트를제공백신 설치/업데이트가 안된 PC의 인터넷 접속제한 의견 재

C&C 서버ISP

제한 : 의견 존재감염PC 인지 및 악성프로그램 삭제 요청/기술지원삭제 거부시 접속경로 차단 또는 접속제한긴급 접속제한 명령/DNS sinkhole 적용 수용방통위 명령에 따라 악성프로그램 삭제/접속제

침해사고 예방조치 및 지원 : 정보통신서비스제공자 및 이용자침해사고 상황전파 및 대응훈련 : 언론사, 이통사, 포털사업자,ISP컴퓨터 보안프로그램 개발 및 보급 지원 : 악성코드 분석 센터 방통위 명령에 따라 악성프로 램 삭제/접속제

한 조치를 취하여 이용자에게 손해를 발생시킨경우 고의 또는 중과실을 제외하고 손해배상책임 감경정부

컴퓨터 보안프로그램 개발 및 보급 지원 : 악성코드 분석 센터사이버 방역체계 도입을 위한 사전 시범사업 실시우수 보안프로그램 추천/장려 : 컴퓨터 보안프로그램 개발자S/W 보안 취약점 점검/보안패치 제작, 배포 요청/기술 지원/제공 중지 명령악성프로그램 삭제 명령긴급 접속제한 명령/ DNS i kh l 적용

25

긴급 접속제한 명령/ DNS sinkhole 적용침해사고 원인분석을 위한 컴퓨터 접속요청권보안프로그램 긴급 배포침해사고 신고 접수 및 포상금 지급

125개 ISP&

6개 주요 포털

543만 호스트….

26

2,700만 PC

3,536만 사용자

관리/감독

지원: 통신 요금 IP 관리와 연계지원: 통신 요금, IP 관리와 연계

다양한 보안 서비스 제공

기관별네트워크

기관별네트워크

기관별네트워크 ISP

집행

다양한 보안 서비스 제공(비즈니스로서의 보안 서비스)

- 요금에 따른 차별적 보안 서비스 (편리성, 안전성, 성능 등)

- 직접방문 서비스- 우수 보안프로그램 추천

PC 보안 관리 접속제어

우수 보안프로그램 추천- 보안성지표를 통한 홍보

주요 기반시설 및 안전진단 대상 기관의 PC(자체 기관에서 접속 차단 가능, 일정 규모 이상의 홈페이지 운영자)

모든 인터넷 PC 및 홈페이지 운영자

27

1단계 2단계단계적 추진:

4. 결론

서버 네트워크 중심의보안기술

방어적기술 개발

PC 중심의보안기술

공격 기술 개발을 통한방어 능력 향상

관(감독/관리) 민(집행) 기술 법/제도 운용 등관(감독/관리) 민(집행)협력체제 강화

기술 법/제도 운용 등통합적 보안 관리

솔루션 적용 위주의정부 중심 체제

솔루션 적용 위주의개별적 보안 관리

28