대학 사이버 시큐리티 연구센터

– 설명회 –

목 차

I. 사이버 보안 실무업무 개요

II. 세부 실무업무 소개

2

I. 사이버보안 실무업무 개요

번 호 기술명 주요 내용

1 웹취약점 분석

(2개 대학)

- KISA에서 수행중인 영세·중소기업 웹사이트에 대한 웹취약점 점검

및 기술지원

2 취약점 분석

(1개 대학)

- KISA에서 수행중인 주요 컴퓨팅 환경에서 범용 소프트웨어의 신규

취약점 발굴 및 분석

3 악성코드 분석

(1개 대학) - KISA에서 수행중인 악성코드를 상세분석을 수행하고 고유패턴을 도출

4 악성앱 분석

(1개 대학) - KISA에서 수행중인 악성앱을 상세분석을 수행하고 고유패턴을 도출

3

• 사이버보안 실무업무를 KISA와 공동수행함으로써 KISA의 노하우를 자연스럽게 습득하여,

실무를 겸비한 전문인력을 양성할 수 있는 기반을 마련

• 선정된 대학은 사이버 시큐리티 연구센터 설치운영

1. 웹취약점 점검 및 기술지원

II. 세부 실무업무

4

• 영세ㆍ중소기업의 웹사이트 취약점을 점검하고 취약점 보완을 위한 기술지원을 실시

• 웹취약점 점검 기술 지원현황 및 목표

- 목표 : 대학별 연간 1,000개 웹취약점 점검 및 기술지원

II-1. 웹취약점 점검

5

개 요

3,029 3,040 3,070

289

0

500

1000

1500

2000

2500

3000

3500

2011년 2012년 2013년 2014년

웹취약점 점검 통계

웹취약점 점검 건수

• KISA 운영중인 웹취약점 점검 신청 페이지를 통해, 신청한 영세중소기업을 대상으로

점검을 실시 (http://toolbox.krcert.or.kr)

6

점검업무

II-1. 웹취약점 점검

• 점검신청 : 점검대상 홈페이지, 보고서 수신용 이메일 주소 접수

• 적격심사

- 서비스대상 : 웹사이트 보호에 필요한 관리 인력이 없는 중소기업 또는 비영리 단체

- 서비스 제외 대상 : 대기업, 외국계 기업, 금융권, 공공기관, 종합병원 등

7

점검업무

II-1. 웹취약점 점검

•취약점 점검

- 신청한 기업에 대해서, 자동화된 웹취약점 점검으로 점검수행

- 점검중인 홈페이지가 비정상적인 경우, 점검기능 중지 등에 대해 수동 점검수행

(KISA 보유 점검툴 활용)

8

점검업무

II-1. 웹취약점 점검

• 웹취약점 결과보고서 검토 및 기술지원 실시

- 자동화되어 점검된 보고서의 내용에 대해서, 검토

- 결과보고서 신청자에게 전송 및 웹취약점 보완을 위한 기술지원 실시

9

점검업무

II-1. 웹취약점 점검

10

• 필요시 영세·중소기업 대상의 웹취약점 보완을 위한 원격·현장 기술지원 여부

•대학 소재 지역의 웹보안 인식제고를 위한 세미나 계획

• 웹취약점 탐지결과 및 보완을 위한 학술적 발표 여부(학회지·논문지 등)

추가 제안사항

II-1. 웹취약점 점검

II. 세부과제 소개

11

2. 신규 취약점 분석

• 제로데이 취약점을 악용하여 공격을 하는 사례가 지속적으로 발생

• CVE(Common Vulnerabilities and Exposures) 를 통해 집계된 2013년 취약점은 5,186건

• 취약점을 먼저 발굴하여 조치하는 것의 중요성 증가

II-2. 신규 취약점 분석

12

개 요

• 주요 컴퓨팅 환경에서의 신규 취약점 발굴 및 분석방법 연구

• 연구를 통해 주요 컴퓨팅 환경의 보안성 점검 및 개선

• 발굴 대상 (추후 변동 가능)

13

연구 내용

모바일 앱 스마트 기기 금융 보안프로그램 브라우저 확장기능

II-2. 신규 취약점 분석

• 동향 조사

- 주요 컴퓨팅 환경에서의 취약점 분석 환경 및 도구 조사

- 자주 악용되는 취약점 사례 및 동향

•신규 취약점 발굴

- 주요 컴퓨팅 환경에서의 취약점 발굴을 위한 분석 방법 연구

- 제로데이 취약점 발굴 및 익스플로잇 개발

- 공격 시나리오 및 해결방안 연구

14

연구 내용

II-2. 신규 취약점 분석

•연구를 통해 발굴한 신규 취약점에 대한 분석 보고서(분기별)

•연구결과 중간 및 최종 보고서

15

연구 결과물

•취약점 동향 및 분석도구 등 조사

•신규 취약점 분석 방법 제시

•신규 취약점 제시

•해당 취약점을 이용한 공격 방법 시연

<중간보고서> <최종보고서>

II-2. 신규 취약점 분석

II. 세부과제 소개

16

3. 악성코드 분석

• 매년 악성코드는 증가하고 있으며 분석방해기법도 날로 진화하는 추세

- 이에 따라 악성코드 분석 업무를 외부 인력에 위탁하고 연관성 분석 및 분석방해기술

연구 필요

- 대학 정보보안 연구실에는 악성코드 분석 업무를 위탁하여 실무 경험 기회 제공

II-3. 악성코드 분석

17

악성코드 출현 : 13년 종 1,435종(일)→ 14년 8,847종(일) (KISA 수집 : 13년 523,624종 →14년 3,229,336종)

홈페이지를 통한 악성코드 유포 : 13년 35.7건(일) → 14년 48.6건(일) (KISA 탐지·조치 : 13년 13,018건 → 14년 17,750건)

개 요

• 연관성 분석을 위한 악성코드 상세 분석 및 특징점 추출 수행

- 최소 3인 이상 인력을 투입하여 KISA에서 전달한 악성코드 500종을 연간 상세 분석하고

악성코드별 분석보고서 작성

- 암복호화 알고리즘, C&C, MD5, 중복실행 방지 문자열 등 500종 악성코드에 대한 특징점을

추출하여 텍스트 파일(.txt, 야라 파일 등) 형태로 작성

※ 특징점 저장을 위한 데이터 형태(.txt 등)는 과제 진행 과정에서 변경될 수 있음

※ 주요 특징점 : MD5, 분석방해 기법, 개발경로, 악성코드 감염경로(유포지), C&C IP, Port, 중복실행방지 문자열(뮤텍스, 이벤트), 사용된

암호화 기법, 암호화 키, 자체 제작 암호화 모듈 구조, C&C 통신 프로토콜, C&C 명령어 구조, 등록된 서비스 명, 자동실행 방식, PE 파일

리소스 명, 문자 폰트, 기타 문자열, 악성코드 유포에 사용된 취약점 등

18

수행 업무

rule Kaspersky_Email_Send_Malware { meta: description = "This is a malware sending info through email(mail.bg)" strings: $servicename = "DriverManager" $sendmailaddr1 = "lovest000@mail.bg" $sendmailaddr2 = "ennemyman@mail.bg" $sendmailaddr3 = "happylove@mail.bg" $passwd = "5tgb%5EYHN" $recvmailaddr = "iop110112@hotmail.com" $RC4Key = "rsh!@!#" $RSAKey = {06 02 00 00 00 A4 00 00 52 53 41 31 00 04 00 00 01 00 01 00 A1 08 71 ED} condition: $servicename or any of ($sendmailaddr*) or $passwd or $recvmailaddr or $RC4Key or $RSAKey }

II-3. 악성코드 분석

• 연관성 분석을 위한 악성코드 상세 분석 및 특징점 추출 수행

- 분석 진행한 악성코드별 특징점은 KISA 분석관리 시스템 및 신규 구축 예정인 데이터베이스에

수동 입력

- 국내외 보안 뉴스, 블로그 등 모니터링을 통해 악성코드 동향 및 관련 악성코드 분석 보고서

작성(주 1회)

19

수행 업무

II-3. 악성코드 분석

• 향후 사이버 시큐리티 연구센터 설치·운영을 위한 구체적인 마스터 플랜 제시

• 악성코드 분석을 위한 업무 수행 계획 제시

- 연간 악성코드 500종을 분석할 연구원 역량 및 인원 투입 계획

- 악성코드 상세 분석을 위한 분석환경 및 소프트웨어 보유 현황

- 악성코드 상세 분석 및 특징점 추출 관련 연구 실적 제시

- 신종 및 주요 침해사고 관련 악성코드 수집 채널 보유 현황 제시

20

추가 요구사항

II-3. 악성코드 분석

II. 세부과제 소개

21

4. 악성앱 분석

• KISA에서 수행중인 스마트폰 악성앱 고유패턴 추출 사이버보안 실무업무를 대학과 공동수행

- 대학 정보보안 연구실에는 악성앱 분석 업무를 위탁하여 실무 경험 기회 제공

- 신종 스마트폰 악성코드 패턴을 활용, 정식 및 블랙마켓을 통해 유포되는 악성코드 차단 및

피해확산 최소화에 기여

II-4. 악성앱 분석

22

개 요

구글 마켓, 블랙마켓

C&C, 정보유출지 공격자

악성앱 분석시스템

샘플

샘플

악성앱

악성앱

악성앱

스마트폰 이용자

악성앱 다운로드

악성앱 탐지

악성앱 분석및 패턴추출

사이버보안센터 참여대학

• 정상 및 사설 앱 마켓으로부터 수집된 앱에 대한 악성여부 분석 (상시)

• KISA에서 전달된 악성앱에 대한 분석 (상시)

• 분석현황 및 악성 앱 관련 통계 보고서 작성 (월간)

23

연구내용

• 수집 모듈 – 다양한 경로로 앱 수집 • 분석 모듈 – 주기적으로 수집한 앱을 분석 • 웹 모듈 – 사용자 인터페이스 및 연동 API 제공 • 악성 앱 관리 모듈 – 분석에 사용되는 정보를 악성 앱으로부터 추출 • 장애 처리 모듈 – 분석 모듈 및 악성 앱 관리 모듈의 상태 모니터링

악성앱 분석시스템 소개

II-4. 악성앱 분석

• 고유패턴 정보가 포함된 악성앱 분석보고서 (상시)

• 분석결과에 따른 동향 및 통계보고서 (월간)

• 최종발표 및 최종보고서 제출 (12월)

24

연구결과물

정적분석 동적분석 보고서 작성

• JEB 디컴파일러

• AndroGuard

• Apktools+Dex2Jar+JD

• 에뮬레이터, 단말이용

• 로그캣 로그분석

• 네트워크 패킷분석

• API 로그분석

• 한글양식(KISA제공)

악성앱 분석방법

II-4. 악성앱 분석

25

악성앱 패턴등록

악성앱 패턴에 대한 오탐, 미탐등 성능수행!

II-4. 악성앱 분석

26

통계보고서 작성

분석한 스마트폰 앱의 전체통계

분석 후 파악된 악성 앱의 출처별, 유형별 통계

시스템 오탐 비율 파악을 위한 정상 앱 오탐 통계

추출된 악성 앱 패턴에 대한 문서화된 이력관리

II-4. 악성앱 분석

27

실무업무 진행사항 안내

• 사이버 시큐리티 연구센터 설명회 개최 : 2.28(금) 13:00~14:30

• 제안접수 마감 : 3.14(금) 17:00

• 제안평가 : 3.19(수)

• 계약체결 및 연구수행 : 3.24(월)~

향후계획

28

실무업무 진행사항 안내

• (웹취약점·취약점 분석) 국내 5개 지역별 소재한 기업 홈페이지·소프트웨어의 취약점을

점검하고, 필요시 현장지원할 수 있는 구체적 계획 제출

※ 지역(5개) : 수도권, 충청, 경상, 전라(제주), 강원

※ KISA는 5개 지역별로 분석대상 홈페이지·소프트웨어를 분배하고, 신청대학은 5개

지역중 1개를 선택하여 제안

• (악성코드·악성앱 분석) 국내 5개 지역별 악성코드 유형 및 특징을 분석할 수 있는

구체적 계획 제출

※ KISA는 5개 지역별로 발생한 악성코드를 분배하고, 신청대학은 5개 지역중 1개를 선택

• (조직현황) 취약점·악성코드 분석 등 실무업무를 전담할 신규 조직현황 및 구체적

계획 제출

※ 신청대학은 현재 국가에서 지원을 받는 ITRC, BK21 등 사업수행 여부를 명시해야 하며,

국가 지원받지 않은 대학이 ‘사이버 시큐리티 연구센터’를 신규 설치·운영에 대해

장려함

요구사항

29

실무업무 진행사항 안내

제안서 작성요령

1. 사이버 시큐리티 연구센터 설치·운영 의 합리성 ※ 전담조직, 마스터플랜 계획

2. 지역별 기업의 웹취약점(취약점) 및 악성코드 분석 계획의 구체성 ※ 지역별 특성반영 여부, 기술지원사항

3. 실무업무 추진전략의 타당성 ※ 대학의 지원사항, 수행업무 전략

4. 실무업무 산출물 계획의 활용가능성 ※ 산출물 목표, 산출물 활용성

5. 실무업무 투입인력의 전문성

6. 실무업무 관련 연구실적

7. 예산편성의 적정성

감사합니다.