Monthly 사이버시큐리티cfs5.tistory.com/upload_control/download.blog?fhandle=...CYBER 특별기고 정보위험사회의통합적위험관리기술로의 정보보호패러다임변화

사이버 시큐리티

MMoonntthhllyy

2008년1월호

Jan

uar

y

1111111111111111111111111111111111

특별기고 …………………………………………………………………………… 1

정보위험사회의 통합적 위험관리 기술로의 정보보호 패러다임 변화 ………… 2

2007년도 사이버위협 분석 및 향후 전망 ……………………………………… 20

월간사이버위협동향및 응활동 ………………………………… 33

1. 월간 공공분야 공격시도 탐지 현황 …………………………………………… 34

2. 월간 공공분야 사이버 침해사고 현황 ………………………………………… 38

3. 국내∙외 주요 취약점 발표 동향 ……………………………………………… 45

4. 사고사례 …………………………………………………………………………… 54

○○학교, Webmin 취약점을 이용한 홈페이지 변조 사고

2008 NO.472008 NO.47

� CONTENTS��

CYBER

특별기고

정보위험사회의 통합적 위험관리 기술로의정보보호 패러다임 변화

2007년도 사이버위협 분석 및 향후 전망

특별기고

MMoonntthhllyy 사이버시큐리티2

1. 정보위험사회화의 심화와 통합적 위험관리 기술로의 정보보호 패러

다임 변화

위험사회(Risk Society)란 독일의 사회학자인 울리히 벡(Ulrich

Beck)이 제시한 개념으로 과학기술의 발전으로 사회가 풍요로워질수록

예 측 불 가 능 한 위 험 이 증 가 하 는 사 회 를 말 한 다 . 정 보 위 험 사 회

(Information Risk Society)란 특히 컴퓨터와 네트워크와 같은 정보기술

의 발전에 따라 중들이 많은 혜택을 누리면서도 정보기술에 의해 등장한

다양한 역기능들과 같은 새로운 위험들에 노출되어 있는 사회를 말한다.

유비쿼터스 환경으로의 변화와 Web2.0, SOA(서비스지향아키텍처) 등

신기술 패러다임의 잇따른 등장은 정부, 기업, 개인들에게 예측 불가능한

위험을 증가시키는 정보위험사회로의 진입을 더욱 촉진하고 있다. 곳곳에

산재한 컴퓨터를 시간과 장소에 상관없이 자유롭게 이용함으로써 편리하

고 쾌적한 정보이용환경을 구현하게 해주는 유비쿼터스 사회(Ubiquitous

임종인 고려 학교 정보경 공학전문 학원 교수([email protected])

정정보보위위험험사사회회의의통합적 위험관리 기술로의정보보호 패러다임 변화

정보위험사회의 통합적 위험관리 기술로의 정보보호 패러다임 변화 ■■■

wwwwww..nnccsscc..ggoo..kkrr 3

Society)는 동시에 예측 불가능한 위험이 곳곳에 산재한‘고도화된 정보

위험사회’로의 진입을 의미한다. 고도화되고 복잡해진 정보기술이 사회시

스템의 핵심 기반으로 자리 잡고 정보기술들 간의 컨버전스가 확 되면서,

특정 기술의 약한 고리에서 발생한 위험이 도미노 현상을 일으켜 전 사회

를 총체적 위기로 몰아 갈 수 있는 잠재적 가능성이 상존하게 되는 것이다.

정보위험사회의 진전은 네트워크와 정보기술 발달의 복잡도와 인류사회의

정보기술에의 의존성 및 결합도 심화에 기인하고 있다. 정보기술 발달에

의한 복잡도의 증가는 IT 기술 자체의 복잡도(complexity)와 IT 환경의

복잡도 증가로 구분되는데, IT 기술의 복잡도는 기반 기술의 알고리즘의

복잡도 증가, 미디어 컨버전스 및 디바이스 통합 등으로 인한 복잡도 증가

를 들 수 있으며, IT 환경의 복잡도는 노드의 증가 및 네트워크 경계의 불

투명성 증가 등을 들 수 있다. 특히 MIT 연구결과에 따르면 앞으로 인터넷

에 연결될 노드의 수는 1조개가 넘을 것으로 예상하고 있을 정도이며, 유

비쿼터스 환경과 BcN(광 역통합망)에 의해 다양한 개인 모바일 단말기

기들이 IP 네트워크에 결합되면 그 복잡도의 증가폭이 엄청날 것임을 쉽게

짐작해 볼 수 있다.

새로운 정보기술의 등장과 디지털 기술들 간의 컨버전스 현상은 정보위험

의 예측불가능성을 높인다. 전세계적으로 하루에도 셀 수 없을 정도로 많

은 새로운 정보 상품 및 서비스가 등장하고 있지만 충분한 보안성 검토 없

이 출시되거나 이용되기 때문에 중들은 새로운 정보기술에 의한 예측 불

가능한 잠재적 위험에 노출된다. 특히 유비쿼터스 사회의 근본 핵심기술이

라고 할 수 있는 RFID, USN, VoIP, BcN, Wibro, Telematics 등의 잠재

적 보안 취약성과 개인정보보호 침해가능성은 다양한 잠재적 리스크들을

내포하고 있다. 하루가 멀다 하고 전세계적으로 수많은 개인정보침해 사

고가 발생하고 있으며, Zero-Day Attack 이라는 용어에서 볼 수 있듯이

인류/정부/기업/개인들은 디지털 환경의 일상화된 정보 위험에 노출되어

있다.

특별기고

‘인류의 재앙’이라고까지 불렸었던 2000년 레니엄 버그(Millenium

Bug) 위기는 정보기술의 예측 불가능한 잠재적 위험성에 한 전 인류의

인식을 일깨우는 계기가 되었다. 2003년 1월 25일 국내에서 발생했던 인

터넷 란 사태는 정보기술의 위험이 현실화됨으로써 사회에 미칠 수 있는

파국적 향력과 금융거래 중단 등으로 이어지는 네트워크 도미노 현상을

보여줌으로써 표적인 정보화 강국으로서의 한국 사회 도처에 내재한 정

보위험의 존재를 각인시켜 주었다. 가장 최근 사례로, e-Stonia로 불리기

까지 했던 인터넷 강국 에스토니아에서 사이버테러로 2007년 5월에 3주

간 주요 전자정부 사이트와 은행을 포함하여 부분의 사회시스템이 심각

하게 마비되는 일이 발생하여 표적 정보위험으로서의 사이버테러의 경

각심을 높인 바 있다. 또한 최근 들어 <다이하드 4>를 포함하여 많은 화

들이 사이버테러와 같은 디지털 위험사회의 문제점을 사회적 재앙의 일종

으로 본격적으로 다루고 있는 점을 보아도 우리 사회가 이미 심각한 디지

털 위험사회로 진입해 있음을 간접적으로 느낄 수 있다. 사회의 기반시설

이 디지털화되고 사람들의 생활세계가 온라인화된 사회에서 파이어 세일

이라는 국가 전체 구조에 한 체계화된 3단계 공격으로 첨단 디지털 사회

를 순식간에 원시사회 수준으로 퇴보시킬 수 있는 <다이하드 4>속 위험이

이미 우리사회에 내재되어 있는 것이다.

국지적으로 발생하는 자연재해와 같은 위험들과 달리 정보위험사회에서의

위험은 전 사회가 개방형 구조를 가지고 네트워크화되어 전세계적으로 연

결되어있기 때문에 정보사회 이전의 사회에서는 경험하지 못했던 위험발

생 공간의 확장을 일으키게 되며, 어느 한 곳의 네트워크가 흔들리면 전체

의 네트워크에 파장을 미치고 우리의 삶 한 부분에 한정되지 않고 삶 전체

를 위험에 처하게 만드는 네트워크 도미노 현상을 일으킬 수 있다는 점에

서 더욱 심각한 문제라고 할 수 있다. 복잡계(complexity system) 이론

가들은 인터넷이 발달한 사회에서 이런 네트워크 도미노 현상이 발생할 경

우 사회 전체에 치명적인 혼란을 일으킬 수 있다고 경고하고 있다. 특히 정

보화가 많이 진행되고 사회의 네트워크화가 더 진전된 국가일수록 정보위

험에 의한 피해는 상 적으로 더욱 높아진다. 예를 들어 2003년 슬래머 웜



에 의한 인터넷 란 당시 정보화 인프라 수준이 높았던 한국은 일본의 7

배, 중국의 2배에 이르는 피해를 입었다. 또한 사회의 모든 시스템이 디지

털화되면서 기존 위험들이 정보위험화하거나 정보위험이 다른 위험들을

촉발하거나 확 시키는 결과를 낳게 된다. 중들의 모든 트랜잭션 및 생

활 세계가 디지털화되고 인터넷에서 이루어지게 됨에 따라 저작권 침해나

명예훼손, 개인정보 침해 등 기존 위험들이 정보위험의 주요 요소로 자리

잡게 되었다. 이처럼 모든 위험요소들의 기술적 기반이자 네트워크를 디지

털 기술이 형성하게 되어 정보위험은 거의 모든 위험 및 위기와 직∙간접

적으로 연관된다.

정보기술에 의해 발생하는 예측 불가능한 정보위험은 로벌/국가/기업/개

인의 전사회적 차원에서 발생한다. 디지털 네트워크 사회에서는 이러한 각

각의 차원들이 네트워크를 통해 긴 하게 다층적으로 결합되어 있으므로

각 차원의 위험들은 서로 간에 향을 끼칠 수밖에 없게 된다. 예를 들어

미국의 엔론 사태는 한 기업의 디지털 회계 부정으로 인한 위기가 국가 차

원의 경제 시스템의 위기와 국민들의 정신적 공황상태와 같은 개인적 위기

로 이어질 수 있다는 위험성을 보여준 바 있다. 정보위험을 로벌/국가/기

업/개인 차원으로 구분하여 살펴보면 다음과 같다.

가. 로벌 정보위험(Global Risk)

일반적으로 고도 정보화 사회 이전의 로벌 리스크는 환경위험과 핵 위험

으로 표되는데, 환경과 핵발전소 및 핵무기 시스템도 기본적으로 IT기술

과 접하게 결합되면서 정보위험의 성격을 가지게 되었다. 특히 핵기술과

IT기술의 결합은 IT기술의 보안실패로 인한 전 인류의 위험과 직결될 수

있다는 점에서 그 심각성이 매우 높다고 할 수 있다. 이미 감염시킬 상의

국적을 따지지 않는 인터넷 웜이나 바이러스는 로벌 리스크로서의 정보

위험의 특징을 잘 보여준 바 있다. 인터넷을 통해 전세계가 긴 하게 연결

되고 국가 간 전자상거래(cross-border EC)와 기타 트랜잭션들이 빈번

www.ncsc.go.kr 5

특별기고

해지면서 일국에서 발생한 위험은 여러 국가에게 쉽게 향을 미치게 된

다. 특히 미국에서 발생한 국제적 신용카드사의 개인정보 유출 사고의 경

우와 같이 다국적 기업의 개인정보침해사고와 같은 보안사고로 인해 여러

국가의 국민들이 직접적으로 피해가 발생하는 사례가 늘어나고 있으며, 최

근 많은 해킹 공격들이 특정 국가들을 경유하여 이루어지는 경우가 많아서

국가 간 법적 분쟁으로 불거지기도 하는 등 로벌화된 경제시스템 속에서

의 정보위험은 국가 간의 주요한 갈등요소로 자리 잡고 있다. 또한 2006년

12월 만 지진으로 해저케이블이 크게 손상되면서 발생했던 국내 통신∙

금융 업무의 마비사태는 전세계가 물리적∙논리적으로 연결되고 네트워크

화 됨에 따라 일국의 통신망 위험이 어떻게 로벌 위험으로 확 될 수 있

는지를 명확히 보여준 사례이다.

나. 정부의 정보위험(National/Governmental Risk)

<다이하드 4>를 포함한 여러 화들에서 보여주고 있는 것처럼 네트워크

화된 국가 기반시설에 한 사이버테러와 해킹 공격 등으로 인해 정부의

기능이 마비되고 사회적 혼란이 야기될 위험이 높다. 전자정부 시스템의

보안 취약성으로 피해를 입은 국민들로부터 받는 소송으로 인한 시간적∙

금전적 손해를 입을 수도 있으며, 전자정부 시스템에서 발생하는 다양한

위험들을 효과적으로 관리하지 못해 국민들의 정부에 한 신뢰에 심각한

금이 가게 된다면 현존 정부의 지속성에도 타격을 입게 될 수도 있다. 특히

교육행정정보시스템(NEIS)이나 전자주민증과 같은 프라이버시 침해 우

려가 높은 정부 IT 프로젝트의 경우 국민들의 반 때문에 무산되거나 지

체됨으로 인해 세금 낭비와 국민과의 갈등해결을 위한 비용 지출이 발생할

수 있다. 국가적으로는 해킹의 주요 경유지로서의 국제적 오명과 보안 무

법천지라는 불명예를 안게 되는 피해를 안게 될 수도 있으며, 국가의 이미

지 하락과 국내 IT기술의 신뢰도 하락을 통한 정보기술 산업 위축 및 국가

경쟁력 하락과 같은 리스크를 안게 될 수 있다.



다. 기업의 정보위험(Enterprise/Corporate Risk)

기업의 경우 최근 비즈니스 환경 및 법제도 그리고 IT환경의 변

화에 따라 보안위험이 증가하고 있다. 먼저 비즈니스 환경

의 변화를 살펴보면 실시간 기업 개념에서 볼 수 있

는 것처럼 전통적인 의미의 기업 경계가 무너

지고 확장되고 있으며, 기업 비즈니스

에서 정보기술이 차지하는 비중

이 높아졌으며, 기업의 윤리

와 투명경 에 한 요구

및 사회적 책임이 증가

했고 지역적으로 프라

이버시 라운드와 시큐

리티 라운드화가 진행

되면서 기업이 일상적인

비즈니스를 수행하는 과정에도 심각한 위험에 노출될 수 있게 되었다. 법

제도적으로는 제조물책임법, eDiscovery 등 새로운 법적 요구들과 각종

IT컴플라이언스 요구조건들이 증가하고 있고, 개인정보보호관련 소송 증

가 및 법제 강화에 직면하고 있으며, 집단소송제나 징벌적 손해배상 등 소

비자들의 권리보호를 위한 강력한 법적 조치들에 한 도입이 검토되고 저

작권 침해 및 개인정보 침해로 인한 기업의 법적 책임이 커지면서 기업의

위험을 가중시키고 있다. 이 때문에 기업의 경우 정보기술에 의해 고객의

피해가 발생하거나 SOX, HIPAA, GLBA, Basel Ⅱ 등 IT 컴플라이언스들

을 준수하지 못했을 경우 심각한 법적∙경제적 피해와 함께 주가 하락, 벌

금 및 규제당국의 직∙간접적인 간섭, 비윤리적 기업이라는 낙인과 같은

기업 이미지와 신뢰도 하락 및 고객 이탈로 인한 기업경쟁력 하락 및 비즈

니스 기회상실이라는 리스크를 안게 될 수 있다. 특히 SOX 법(Sarbanes-

Oxely Act)의 경우 이러한 컴플라이언스 미준수로 인한 법적 책임을 기업

경 진에게 직접 묻고 있는 상황이다. 최악의 경우 정보보호 실패로 기업

의 비즈니스 연속성이 더 이상 유지되지 못하고 파산하는 경우가 발생하기

www.ncsc.go.kr 7

특별기고

도 하는 등 최근 IT 비즈니스 환경은 기업의 존폐가 걸린 심각한 리스크에

노출되어 있다. RFID 기술의 도입 초기 발생했던 프라이버시 침해 위험에

한 국제적 항의사례는 새로운 정보기술이 기업에 미칠 수 있는 심각한

리스크의 사례를 보여준다. 2004년 개인정보보호법을 제정했던 일본은 법

제정 이후 개인정보 침해사고로 인한 법적 경제적 책임 때문에 많은 기업

들이 문을 닫게 되어‘기업 돌연사’라는 신조어가 생겼으며, 유럽에서는

기업이 개인정보 유출에 따른 소송으로 파산할 수 있음을 경고한 바 있다.

이처럼 기업의 리스크가 증가하는 원인 중의 하나는 기업의 사회적 의미가

변화하면서 기업의 사회적 책임이 증가하고 있기 때문이라고 할 수 있다.

기업의 국민 경제와 로벌 경제에서 차지하는 비중과 사회적 의미와 향

력이 커지면서 그에 상응하는 사회적 책임을 지도록 요구되고 있기 때문이

다. 따라서 기업은 저작권자의 지적재산권 보호, 소비자의 프라이버시 보

호책임, 지역사회의 환경보호 책임, 주주 재산권보호 책임과 같은 사회적

책임이 요구되고 있으며, 윤리경 , 투명경 , 지속가능경 을 통해 사회

적 가치와 기업의 가치를 일치시키도록 노력할 것을 요구하고 있으며, 이

러한 가치를 실현시킬 수 있는 합리적 수준의 기술적 장치를 마련할 것을

요구하고 있다.

라. 개인의 정보위험(Personal Risk)

인터넷 등 정보기술을 통한 개인정보 침해와 명예훼손 등의 역기능은 개인

의 정신과 육체에 심각한 리스크를 입힐 수 있다. 온라인에서의 ID Theft

에 이은 개인정보 도용으로 하루아침에 자신도 모르는 사이에 신용불량자

로 전락하거나 악성 루머로 인해 개인의 이미지가 추락해버릴 수도 있으

며, 개인정보 유출과 악성 리플로 인한 여중생의 자살사건 및 위치추적 기

능을 이용하여 사람을 찾아가 살해한 사건 등은 디지털 기술에 의해 개인

의 신체적 리스크에까지 심각한 향을 줄 수 있음을 보여준다. P2P 또는

UCC 사이트 등에 의해 개인의 사소한 부주의나 나쁜 의도 없이 음악이나

사진과 같은 멀티미디어 파일을 다운로드 받거나 타인의 개인정보가 포함



된 파일을 올리게 된 경우 타인의 개인정보 및 지적재산권을 침해한 범죄

자로 전락할 수 있는 위험도 높아지고 있다. 유비쿼터스 사회는 물리적 공

간과 디지털 공간이 융합되면서 물리적 공간에 존재하는 사물과 사람에

한 직접적인 통제가 가능하고, 사이버공간과는 달리 육체적인 통제 및

향이 가능하다는 특징 때문에 디지털 위험이 쉽게 개인의 신체까지도 위협

할 수 있는 리스크가 발생할 확률이 높아지게 된다. 특히 표적인 유비쿼

터스 서비스라고 할 수 있는 U-의료의 경우 신체와 정보기술의 결합도와

의존도가 높아지면서 정보기술의 취약점과 오류로 인하여 직접적으로 개

인의 신체적 위험으로 발전할 수 있다.

선진화된 디지털 네트워크 환경을 가지고 있는 우리 사회에서는 정보위험

이 빠르게 증가하고 있는데, 이러한 정보위험 증가 요인을 몇 가지 살펴보

면 다음과 같다.

첫째, 신기술과 신제품 개발 시 서비스와 보안에 한 인식의 불균형을 둘

수 있다. 부분의 정보기술제품 개발 시 이용의 편리함과 서비스에만 중

점을 두고 보안에는 신경을 쓰지 않고 있다. 비즈니스 환경과 기술 변화속

도가 빨라지고 있는 환경 속에서 경쟁우위를 달성하기 위해 안정성의 제공

보다는 경쟁적으로 신기술의 빠른 도입 및 신속한 서비스 제공에만 집중하

고 있기 때문이다. 앞서 살펴 본 로 RFID, USN, BcN 등 새로운 정보기

술은 부분 편리한 서비스와 비즈니스 요구사항 충족을 우선시하고 있으

며 보안은 상 적으로 고려하지 않았기 때문에 잠재적인 위험성이 상존하

고 있다.

둘째, 독특한 한국적 관행도 한 몫을 하고 있다. 압축적 고속성장을 중요시

하는 성장 중심주의와 세계 최초를 중시하는 업적 중심주의, 관리당국의

도덕적 해이 및 형식주의, 위험에 한 불감증과 같은 한국적 특수성과 관

행이 존재하며, 이러한 우리 사회의 전근 적 관행들이 우리 사회 탈근

적 최첨단 네트워크의 정보위험을 증폭시키고 있다. 반면 미국과 유럽연

합, 일본 등 선진국들은 상 적으로 정보기술개발에 있어 신속성보다는 안

www.ncsc.go.kr 9

특별기고

전을 중시하며 더디 가도 안전하게 가자는 신중한 입장을 취하고 있으며,

합의회의제도 등과 같은 다양한 장치와 절차들을 마련하고 있다.

셋째는 사전적 보안조치에 한 간과를 들 수 있다. 사전적 보안조치보다

는 사후적 응에 집중해왔던 기존의 정보보호 패러다임과 사회적 합의 과

정에 한 무시는 결과적으로 우리 사회를 장기적인 정보위험에 노출시켰

다. 미국은 IT시스템 구축 시 사전 향평가를 하고 정보보호 및 프라이버

시 조치를 동시에 진행할 것을 의무화하고 있으며, OECD는 2001년 발표

한 정보보호 관련 주요 항목에서 정보화 사업을 평가할 때 정보보호 수준

을 사후적으로 평가하는 것을 절 금하고 있고, 최소한 동시에 고려해서

추진해야 함을 권고하고 있다. 국내는 아직까지 사후적 응에 집중하고

있는 상황으로 이러한 사후적 응만으로는 예측 불가능한 리스크에 효과

적으로 응할 수 없다. 국내의 NEIS, 행정정보공유제도 추진과정은 사전

향평가와 같은 사전적 조치와 사회적 합의 과정의 중요성을 보여주는 단

적인 예다. 최근 들어 기술 향평가, 개인정보보호 향평가 제도 등을 도

입하고 있지만 실제 운 상에 많은 문제점을 노출하고 있고 제도적 미비

등으로 아직 사회적으로 활성화되고 있지 못한 상황이다.

넷째, 위험관리를 위한 기술적∙법적 시스템의 미비를 들 수 있다. 사회적

으로 정부/기업/개인의 리스크들을 효과적으로 처리할 수 있는 기술적∙법

적 시스템이 미비한 실정이다. 개인정보보호와 관련해서는 개인정보보호

기본법이 부재한 상황이며, 정보보호와 위기관리에 한 법률들은 여러 개

의 개별법들에 산재해있고, 집행기관도 나뉘어져있는 상황이라 심각한 국

가적 정보위험 상황 발생 시 효과적인 집행을 하는데 어려움이 있다. 기술

적인 부분도 아직은 네트워크나 시스템 등의 개별 IT자원들을 보호하는 기

술에 집중되어 있을 뿐 정부/기업/개인 차원에 적합한 효과적인 리스크 관

리 툴이나 기술들은 충분하지 못한 상황이다.

앞서 살펴보았듯 사회에서 IT가 차지하는 비중이 높아지고 데이터의 디지

털화로 인해 사회의 전체 위험에서 IT 위험이 차지하는 비중이 높아지고



있다. 사회의 모든 시스템이 정보기술에 한 의존도가 높아지면서 기존

위험들이 정보위험과 더욱 접하게 연관됨에 따라 위험관리로서의 정보

보호가 가지는 역할과 중요도가 높아지고 있다. 또한 IT 컴플라이언스 등

IT 시스템 통제를 통한 규제가 증가하고 지적재산권 침해, 프라이버시 침

해, 회계 부정 등 종래의 비-IT적 위험들 부분이 IT 위험 역으로 포괄

되면서 정보보호가 담당해야 할 역 및 역할이 확장함에 따라 통합적 위

험관리로서의 정보보호 역할이 재설정되고 확장될 필요성이 두되고 있

다. 최근 정보보호 패러다임은 실제로도 IT 시스템 보호에서 데이터 보호

로, 경계선 보안에서 내부 보안으로, 사후 응에서 사전 조치로, 수동적

모니터링에서 능동적 예방 응으로, 단발적 응에서 지속적 관리로, 요소

보안에서 통합보안으로 변해가고 있으며, 이러한 변화상을 비추어보아도

정보보호가 정부/기업/개인의 모든 위험요소들에 해 지속적인 통합관리

를 수행하는 통합적, 총체적 위험관리 패러다임으로 변화해가고 있음을 알

수 있다. 이제 정보보호는 개별 보안 솔루션이나 특정 요소에 한 보호기

술이 아니라 정부/기업/개인의 다양한 위험들을 감소시키기 위한 일련의

과정으로 이해되어야 한다. 위험 관리의 관점을 통해 사전적 검토와 정기

적 감사와 지속적 관리가 이루어져야 새로운 정보기술과 서비스의 역기능

을 최소화하고 정부/기업/개인의 신뢰를 바탕으로 안전한 U-Korea 세상

을 열어갈 수 있을 것이다. 이번에는 이러한 위험관리로서의 정보보호를

효과적으로 수행하기 위해 필요한 당면과제들에 해 구체적으로 알아보

도록 하겠다.

www.ncsc.go.kr 11

특별기고

2. 위험관리로의 성공적인 정보보호 패러다임 전환을 위한 당면 과제

가. 새로운 정보기술에 한 향평가 활성화 방안 연구

신기술 및 새로운 서비스에 한 사전 향평가의 활성화 및 향평가의 위

험관리 도구로서의 실효성을 보장할 수 있는 책에 한 연구가 필요하

다. 새로운 정보기술이 가져올 예측 불가능한 잠재적 위험이 높기 때문에

사전 보안성 검토 및 정보기술 향평가는 사회적 위험관리의 기본적이고

핵심적인 기술이라고 할 수 있다. 정보기술에 한 적절한 사회적 통제가

이루어져야 하며, 모든 IT 기술은 적절한 사전 위험분석을 통한 사회적 합

의를 통해 그 사용여부 및 발전 여부가 결정되어야 한다. 현재 개인정보

향평가제도가 제한적으로 실시되고 있지만 그 수행범위나 법적 근거의 부

재와 평가 상 선정 및 수행 방식 등의 문제 때문에 위험관리수단으로서

의 사전 향평가제도의 실효성이 의문시되고 있는 상황이다. 합의회의제

도 등 해외의 향평가 제도 및 국내 환경 향평가 등 다른 향평가제도

에 한 벤치마킹을 통해 정보기술 향평가 등 새로운 정보기술에 한 사

전위험평가제도들의 효과성을 제고하고 활성화할 수 있는 방안에 한 연

구의 수행이 필요하다.

나. 웹 2.0 환경에 맞는 위험관리방법론의 개발 : 참여∙공유∙개방적 위험

관리방법론

기존의 위험관리는 분산된 자원들과 다양한 위험들에 해 효과적으로 모

니터링으로 수행하고 발생한 위험들에 신속히 처하기 위해서는 관리와

집행을 집중화하는 것이 주요 흐름이었다고 할 수 있다. 하지만, 이러한 중

앙 집중적 위험관리는 급변하는 비즈니스 환경과 기술의 변화, 그리고 기

하급수적으로 증가하는 접속노드의 증가와 데이터양의 폭발적 증가 앞에

서는 많은 한계점을 노출하고 있다. 따라서 집중적 위험관리와 함께 이를



보충할 수 있는 분산화된 위험관리들을 활성화시키고 이를 통합할 수 있는

방법론에 한 연구가 요청된다. 이를 위해서 최근 새롭게 등장한 웹2.0의

참여, 공유, 개방성이라는 긍정적 특징과 RSS, AJAX와 같은 기술, 그리고

블로그와 소셜 네트워크라는 시스템을 위험관리로서의 정보보호에 활용할

수 있는 방안에 한 연구가 요구된다. 정부나 기업은 신제품 개발이나 프

로젝트 개발 시 웹2.0 기술을 이용하여 소비자 및 시민들을 개발과정에 참

여시킴으로써 다양한 추가적 취약점과 창조적 응방안을 발견하는 등 새

로운 정보보호 가치를 창출할 수 있으며, 사전에 사회적 합의를 이룸으로

써 보이코트 등 추가적 갈등 위험을 최소화시키고 캠페인 비용의 감소효과

를 거둘 수 있게 된다. 이를 위해 정부는 웹2.0을 단순히 전자정부의 개인

화 서비스로 한정짓거나 국민들을 단순한 캠페인의 상으로 삼기보다는 정

보기술의 리스크라는 공동의 위험을 최소화하기 위해 공동 처하는 파트너

로 인정하는 것이 우선되어야 한다. 웹2.0을 통한 집단지성의 활용을 정보보

호의 활성화와 저변확 를 위한 필수적인 요소로 인식해야 하며, 정보보호

과정에 자발적으로 참여시킬 수 있는 다양한 방법들을 모색되어야 한다.

다. 사회적 안전망으로서의 공적 정보보호 서비스 제공에 한 연구 : 정보

보호 격차 제거

정보화 과정에서 주요 문제점의 하나가 정보격차(Digital Divide) 다면

정보위험사회에서 주요 문제점으로 정보보호격차(Security Divide)가 등

장할 수 있다. 기술적, 금전적 이유로 (개인)정보보호 서비스에서 소외되

어 위험에 무방비로 노출되는 계층이 등장하는 것을 정보보호격차라고 할

수 있는데, 정부는 위험관리 차원에서 이러한 정보보호격차가 발생하지 않

도록 방안을 마련해야 한다. 이는 정보보호서비스가 사회적 보호망으로 작

동해야 함을 의미하는 것으로, 단순히 약자를 보호한다는 차원의 사회적

보호망이 아니라, 전체 공동체의 내부적인 위험과 위기를 방지하기 위한

위험관리라는 차원에서 사회적 보호망으로서의 정보보호 서비스 개념이

요구된다. 위험이라는 차원에서 보면 한 사회의 정보보호 수준이 최고의

www.ncsc.go.kr 13

특별기고

정보보호 서비스 수준이나 평균적인 정보보호 서비스의 수준보다는 최저

의 정보보호 수준으로 맞춰지며 부분의 공격이 약한 고리들을 통해 모든

공격이 시작된다는 점에서 이러한 공공재로서의 정보보호 서비스의 역할

은 더욱 중요하다. 위험은 이러한 약한 고리들을 통해서 시작되어 도미노

현상을 일으킬 수 있으므로, 사회적으로 볼 때 이러한 약한 고리를 최소화

하는 것이 위험관리의 주요한 목표가 된다. 정부의 경우, 전반적인 정보보

호 산업의 규모와는 상관없이 개인 PC들의 정보보호 실패로 인해 DDoS

공격의 경유지로 사용됨으로써 국가적 이미지 손실과 국내 IT 제품들에

한 평가 절하 등의 피해를 당할 수 있으므로, 위험에 적극적으로 처하여

약한 고리를 제거하기 위한 노력을 기울여야 한다. 위험관리 차원에서 약

한 고리를 최소화하면서 국민들의 정보보호격차를 해소하기 위해 기본적

으로 제공되어야 하는 공공재로서의 정보보호 서비스의 수준과 그 효과에

해서 연구가 이루어져야 할 것이다.

라. 사이버 침해 사고 고지 의무화 도입 검토

효과적인 위험 응을 위해서는 정확한 위험분석이 선행되어야 하는데 이

를 위해서는 기존 위험들에 한 충분한 데이터의 양과 정확도가 필요하

다. 많은 경우 기업들과 기관들은 사고 발생에 하여 공개하지 않고 무마

하고 있기 때문에 유의미한 통계치가 나올 수 있는 사건의 수집이 어려울

수 있다. 효과적인 위험관리를 위해 위험분석의 정확성을 보장하고 추가적

인 사고를 방지하기 위해 사이버 침해사고 발생 시 기업에게 그 사실을 피

해자들에게 고지하도록 의무화하는 제도 도입을 검토해야 한다. 미국

California주의 SB1386의 경우 사이버 침해 사고가 발생했을 경우, 기업

이나 기관이 피해자들에게 직접적인 피해 사실에 해 고지할 것을 의무화

하고 있으며, SB1386 이후 미국의 20여개 주에서 사이버 침해 사고에

해 피해 사실을 고지할 것을 의무화하는 법률을 제정했다. 미국 모 은행에

서 직원 실수로 인해 300만명의 개인정보가 유출된 사건의 경우 개인정보

유출피해자 개개인에게 직접 통보할 것을 의무화하고 있는 법률에 의해 통



보 업무를 수행하는데 총 1억 8천만 불을 지불해야 했다. 사후 책 및 추

가 위험의 사전 조치로서의 사이버 침해 고지는 최근 많은 사이버 공격들

이 ID Theft 등으로 개인정보를 확보한 후 2,3차적인 공격에 의한 추가적

인 위험을 사전 방지할 수 있고, 개인정보 수집을 억제하는 부수적인 효과

도 거둘 수 있다. 침해 사고 고지를 의무화하는 법안 도입에 한 검토와 함

께, 합리적인 수준으로 피해 고지의 비용을 최소화함으로써 피해 고지를 활

성화할 수 있는 비용효과적인 침해 고지 수단의 개발도 연구되어야 한다.

마. 취약점 공개 인센티브제도 연구

새로운 위험은 새로운 시스템과 서비스의 내부 취약점에 한 외부 위협이

현실화되었을 때 발생하게 되는데, 시스템의 취약점에 한 정확한 파악도

정확한 위험분석 및 효과적인 위험관리를 위해 필수적이다. 많은 조직의 경

우 자신들의 제품이나 서비스의 취약점에 해 공개하기를 꺼려하여 보안

패치 등 적절한 응 시기를 놓쳐 버림으로써 많은 사람들을 위험에 처하게

하는 경우가 발생하는 등 사회적 위험관리를 어렵게 하는 경우가 비일비재

하므로, 취약점 공개를 촉진할 수 있는 방안이 모색되어야 한다. 취약점을

발견했을 경우 혹은 취약점에 한 신속한 자발적 공개 및 조치를 취했을 경

우 법적 책임을 경감시키는 등 취약점 제보자나 자발적 취약점 공개 조직에

게 인센티브를 줄 수 있는 상벌시스템에 한 연구가 필요하다. 각 기업이나

조직에 취약점을 신고할 수 있는 공식적인 통로 마련을 의무화하거나 사전 취

약점 발견 및 공지했을 경우 실제 이러한 취약점에 의한 사고 발생 시 재해복구

및 법적 해결에 있어 인센티브를 제공할 수 있는 시스템이 고려되어야 한다.

바. 위험관리 기술 개발 및 활성화 방안 마련

유비쿼터스 환경에서 도처에 산재한 다양한 디바이스와 정보들에서 발생

할 수 있는 다양한 위험들을 효과적으로 억제하고 관리할 수 있는 위험관

www.ncsc.go.kr 15

특별기고

리기술에 한 연구가 필요하다. 정부/기업/개인이 자신들의 정보위험을 효

과적으로 관리할 수 있게 해주는 위험관리기술이 각각 개발되어야 한다. 현

재 기업의 효과적인 위험관리를 도와주는 RMS, TMS, SIM, ILM 등 기업

용 솔루션들은 존재하지만 개인의 위험을 효과적으로 관리해줄 수 있는 전

용 툴은 존재하지 않거나 개발이 미진한 상황이다. 정보기술의 발전에 의해

개인 신체와 정보기술의 결합도가 높아지고 디지털화된 개인정보 침해에

의한 위험이 높아졌음에도 불구하고 개인이 능동적으로 자신의 위험을 관

리할 수 있는 기술적인 책은 부재한 실정이다. 개인들이 정보기술에 의해

발생할 수 있는 위험들을 관리할 수 있는 효과적이고 비용효율적인 기술들

이 연구∙개발되어야 한다. 이를 위해서는 핵심적 위험관리 도구로서의 디

지털 포렌식 기술 개발 지원 및 핵심적인 개인정보 위험관리 기술로서의 프

라이버시강화기술(PET : Privacy Enhancing Technology)의 연구개발

지원이 필요하다. 디지털 포렌식은 SOX나 HIPAA, E-Discovery 등 다양

한 컴플라이언스의 의무를 준수할 수 있게 해줌과 동시에 위험들을 보다 정

확하게 진단할 수 있게 해주는 도구로서 조직의 위험관리의 기본적이면서

핵심적인 도구이다. 디지털 포렌식 기술 개발을 위한 지원 및 디지털 포렌

식 기술 사용을 활성화하기 위한 법적 환경 조성에 한 연구가 필요하다.

PET는 최근 가장 심각한 위험으로 두되고 있는 개인정보침해위험을 관

리하기 위한 핵심기술로 각국의 다양한 프라이버시 법제들 및 컴플라이언

스를 효과적으로 준수할 수 있게 해준다. PET에 한 연구개발 지원 및

PET 활성화를 위한 개인정보보호법안 통과 등 법적 환경이 조성되어야 한다.

사. 국제적 IT 컴플라이언스 응 환경 조성

개인정보보호법들과 SOX, HIPAA, GLBA, E-discovery와 같은 국제적

IT 컴플라이언스들이 억지로 지켜야 하는 번거로운 규제가 아니라 예측 불

가능한 정보 위험들을 사전에 억제하고 관리할 수 있는 사회적 안전장치이

자 위험관리 도구로 인식시키기 위한 교육 및 홍보가 수행되어야 한다. 세

계시장에 진출해 있는 국내기업들이 적절한 컴플라이언스 준수 실패로 인



해 기업의 국제경쟁력과 국가경쟁력을 잃게 하지 않기 위해 현재 국제적으

로 운용중인 수많은 IT 컴플라이언스에 해 모니터링하고 기업들에게 IT

컴플라이언스 정보와 합리적인 응방향을 제시해줄 수 있는 국가차원의

‘컴플라이언스 정보센터’의 운용이 필요하다. 국제적인 컴플라이언스와의

비교분석을 통해 국내 법제도적 위험관리 수준을 평가하고, 국제적으로 요

구되는 수준의 국내 IT 컴플라이언스 법제도 환경을 조성하기 위한 법제정

및 개정 노력을 기울여야 한다. 또한 기업들이나 조직들이 컴플라이언스들

을 자발적으로 준수하 을 때 적절한 사회적 인센티브를 제공하고, 준수하

지 못했을 경우 사회적 불이익과 제재를 받을 수 있도록 함으로써 IT 컴플

라이언스 준수를 유도할 수 있는 활성화 방안이 검토되어야 한다.

아. 정보위험사회 정보보호 아젠다 개발

정보위험사회의 위험관리에 적합한 새로운 정보보호 아젠다 개발이 필요

하다. ‘따뜻한 유비쿼터스 세상’과 같은 모호한 추상성을 뛰어넘어, 정보

위험에 한 인류 공동의 문제의식을 제기하고 전인류/정부/기업/개인의

사회적 책임감 및 윤리성, 참여의식을 고취할 수 있는 차세 정보보호 아

젠다가 개발되어야 한다. 이를 위해 로벌 환경 아젠다인‘지속가능한 개

발(sustainable development)'에 한 벤치마킹이 필요하며, 새로운 위

험관리 정보보호 아젠다에 따른 실천을 활성화시키기 위한 다양한 전략들

이 모색되어야 한다. 다우존스 지속가능성 지수(DJSI)나 사회적 책임에

관한 ISO26000처럼 아젠다에 따른 기업의 능동적인 실천이 기업의 가치

증진과 경쟁력 향상에 이바지해 긍정적 실천의 선순환을 이루도록 하는 것

과 같은 가치평가 제도 개발이 필요하다. 또한 일회성 캠페인이 아니라 새

로운 아젠다에 기반해서 사회적 정보위험관리 과정에 개인들이 능동적으

로 참여할 수 있는 문화운동 조성이 필요한데, 이를 위해 환경위기에 한

‘지속가능한 개발’아젠다 하의 LOHAS (Lifecycle of Health and

Sustainability)와 같은 윤리적 생활양식이나 문화운동의 사례와 그 동력

에 관한 연구 수행이 진행되어야 한다.

www.ncsc.go.kr 17

특별기고

자. 위험관리 시 에 적합한 보안 인력 양성

최근의 위험은 디지털 저작권 문제나 개인정보보호 문제 등 단순히 기술적

인 문제로는 해결할 수 없는 복합적인 경우가 많다. 이 때문에 정보보호 위

험관리자는 복합적인 문제를 해결할 수 있는 능력을 배양해야 한다. 새로운

보안 인력은 급변하는 정보기술 환경과 새롭게 등장하는 IT 기술에 해

적절하고 합리적인 기술정책을 생산하고 이에 따른 위험을 효과적으로 통

제할 수 있는 능력을 갖추고 있어야 한다. 국가와 기업의 리스크에 효과적

으로 처하기 위해서는 기존의 보안기술에 한 지식뿐만 아니라, 총체적

인 시각을 갖추고 지속적으로 리스크를 관리할 수 있는 능력을 갖춘 보안인

력을 확충함으로써 보안인력의 양뿐만 아니라 새로운 환경에 부합하는 질

도 겸비할 수 있는 인적자산 교육 및 운용 정책을 수립해야 한다. 이를 위해

새로운 보안 인력은 수학, 법학, 전산학, 경제학, 경 학 등 다양한 학문적

식견을 갖추고 있어야 하며, 다양한 학문을 아우르면서 적절한 정책적∙기

술적 능력을 갖춘 인재를 양성할 수 있는 교육프로그램이 개발되어야 한다.

또한 조직적 차원에서도 정보위험사회의 통합적 위험관리 조직로서의 정보

보호 조직의 변화에 한 연구가 진행되어야 하며, 기업 및 기관에 효과적

인 위험 관리를 위한 CRO(Chief Risk Officer), CCO(Chief Compliance

Officer) 등 도입을 검토해야 한다.

차. 사이버 위험관리를 위한 법률 환경 및 집행체제 개선

정보위험사회에서 정보위험이 차지하는 중요성을 반 하여 사이버테러와

같은 사이버 위기를 국가 위기에 포함시켜 주요 국가 위기상황으로 관리할

수 있는 법률제정이 필요하다. 현재 위기 응 관련 법제들은 개별 법률로

의 분산 및 법제간의 충돌로 인해 비효율성이 증가되고 위기 응 관련 집

행기구들 또한 분산 및 역할 중첩과 혼선으로 인한 갈등이 증가되어 효율

적인 통합위험관리가 어려운 실정이다. 위기관리 관련법들과 집행체제도

업무의 중복성과 지휘체계의 혼란 등을 피하고 효과적인 위기관리체제를

구축하기 위해 통합되어야 할 필요가 있다. 현재 위기 응 관련법들은 다



양한 개별법들로 분산되어 있으며 집행기구도 분산되어 있는 상황으로, 새

로운 리스크들과 국가적 디지털 위기상황에 효과적으로 응하기 위해서

는 위기 응 관련 조항들을 단일법으로 통합하여 법적용의 혼선을 줄이고

법집행기구도 단일화하는 등 체계화함으로써 집행의 효율성을 높여야 한

다. 또한 새로운 위험들과 국가적 디지털 위기상황에 효과적으로 비하기

위해서 위기관리를 효과적으로 추진 및 집행할 수 있는 정부 내에 총괄기

관을 지정하여야 할 것이다. 이와함께 정부가 독립적인 전자정부위원회를

두고 강력한 추진을 통해 전자정부를 성공적으로 발전시켜온 것처럼 총괄

기관에 위기 응 예산에서부터 기획, 집행에 이르는 실제적인 주도권을 제

공함으로써 국가의 정보위험관리 의지를 보여주고 효과적인 통합위험관리

체계를 마련해 나가야 할 것이다.

3. 맺음말

지금까지 살펴본 것처럼 최근 전세계적으로 정보위험사회화가 심화되고

있으며 이에 따라 정보보호 패러다임이 통합적 위험관리로 변화하고 있다.

특히 IT 선진국으로서의 우리나라는 가장 심각하게 고도의 정보위험에 노

출되어 있다고 할 수 있을 것이다. 급변하는 국제 비즈니스 환경과 IT환경

에서 얼마나 효과적으로 잠재적인 위험에 신속하고 능동적으로 처할 수

있는지가 정부와 기업의 가장 핵심적인 경쟁력이 되어가고 있다. 정부와

기업들은 효과적인 통합위험관리체제 구축을 통해 국가와 기업의 경쟁력

을 향상시키고 전인류/정부/기업/개인들이 함께 안전하게 편리한 유비쿼터

스 세상을 위해 나가기 위해 위에서 제시한 9가지의 정보보호 당면과제

들을 우선적으로 해결하기 위해 최선의 노력을 기울여야 할 것이다.

www.ncsc.go.kr 19

본본 원원고고는는 국국가가사사이이버버안안전전센센터터의의 편편집집방방향향과과 일일치치하하지지 않않을을 수수 있있습습니니다다..

특별기고

1. 서 론

사회 전반적으로 인터넷 의존도가 증가함에 따라 국가기관∙첨단기업

중요자료 절취, 개인정보 유출, 프라이버시 침해, 금전적 갈취 등의 정보화

역기능이 지속적으로 확산되고 있는 상황이다. 특히, 2007년도는 웹 2.0

도입과 UCC(User Created Contents) 중화로 인하여 인터넷의 새로운

패러다임이 도래하 으며, 이에 한 사회적인 역기능도 부각되었다. 이

외에도 Windows Vista의 출현, 이동형 저장장치를 통한 악성코드의 전파,

인터넷 뱅킹에 한 메모리 해킹, 디지털 포렌식 기술의 사회 이슈화, 기

정보 유출사고에 응하기 위한 내부자 보안의 중요성 재부각 등이 2007

년도의 주요 사이버위협 이슈라고 할 수 있다.

향후에는 국가 간의 사이버 스파이, 자동화 공격수법, DDoS 공격의 계속

된 위협, UCC 및 Web 2.0 기반의 악성코드 증가, 홈페이지 해킹을 통한

악성코드 유포시도 지속, 지능화 된 3세 피싱 출현 등이 이슈가 될 것으

로 전망된다. 이에 본 문서에서는 2007년도 사이버위협 이슈들을 분석하

고, 향후에 사이버위협 이슈가 될 사항들을 전망하고자 한다.


한국전자통신연구원(ETRI) 부설연구소

22000077년년도도사이버위협 분석 및

향후 전망

2007년도 사이버위협 분석 및 향후 전망 ■■■

2. 2007년도 사이버위협 분석

가. Web 2.0 보안 고려 필요성 두

Web 2.0 환경에서는 정보 소비의 주체로만 여겨졌던 이용자가 정보 생성

의 참여자로, 적극적으로 의견을 제시하고 타인과 연계해 전문가 수준의

향력을 갖게 된다. 이는 사용자의 정보 접근성과 편의성이 높아지고, 정

보에 해 능동적으로 이용하게 되었음을 의미한다. 또한 정보 자체 측면

에서 볼 때 다양성과 품질이 향상되는 특성도 보이고 있다. 결국 인터넷 업

계에서는 Web 2.0이 하나의 트랜드이자 새로운 비즈니스 모델로 자리잡

아 가고 있다고 볼 수 있다.

하지만 Web 2.0 기술을 도입하고자 할 때 보안을 고려해야 하는데, 사용

자의 참여가 높은 개방성의 특징을 갖는 환경이므로 기존 웹이 가지고 있

는 취약점보다 더 많은 보안 취약점이 존재하게 된다. 또한 Web 2.0에서

는 검증되지 않은 정보의 공개로 인하여 개인 프라이버시 침해의 문제가

발생될 수 있다. 얼마전 Web 2.0 환경의 미국 MySpace에서 동 상 재생

을 위해 사용하고 있는 Apple 의 Quick Time 동 상에 악성 자바 스크

립트를 삽입해 동 상을 플레이하면 피싱 사이트로 변경되어 사용자의 계

정 정보를 유출하려는 시도가 있었다. 따라서 Web 2.0 환경에서는 보안을

더욱 중요하게 고려하여야 하며 발생 가능한 보안 위협에 하여 철저한

응이 필요할 것이다.

나. Windows Vista 보안취약점 본격 출현

2007년 초에 MS 는 새로운 개념의 운 체제로 Windows Vista를 출시

하 다. Windows Vista의 모든 사용자는 관리자 그룹에 속해 있더라도

일반 사용자의 권한으로만 프로세스를 생성할 수 있으며, 관리 업무가 필

www.ncsc.go.kr 21

특별기고

요할 때에는 반드시 사용자 및 관리자의 허가를 득하도록 제제를 가하고

있다. 또한 과거 해커들의 주공격 상이 되어 왔던 서비스와 커널 모듈에

한 보호 정책을 통해 인증되지 않은 사용자 프로세스는 높은 권한의 프

로세스 및 파일에 접근이 불가능하도록 되어 있다. 이렇듯 Windows

Vista 보안기능의 기본은“ 부분의 사용자는 관리자 권한으로 모든 프로

그램을 구동 및 개발할 필요가 없다”이다.

2007년도부터 Windows Vista가 본격 사용됨에 따라 아래 [표 1]과 같이

보안취약점들이 많이 발견되었다. Windows XP에 비해서는 발견 건수가

적지만 계속적으로 보안취약점이 발견되고 있으므로 계속적인 주의가 필

요하다.

위의 [표1]은 ZDNet.co.uk의 발표자료를 참조한 것이며, http://www.microsoft.com/

technet/security/current.aspx 사이트를 통하여 확인한 결과, 발표된

Windows Vista 보안 취약점은 22개로 확인할 수 있다.

2007년도에 Windows Vista의 출현으로 갑작스럽게 강화된 보안 기능들

로 인해 Windows XP/2000 등의 기존 운 체제 개발자가 빠른 적응을 보

이지 못해 어려웠던 점도 있었으며, 오히려 이러한 호환성 컴포넌트가 새로

운 보안 위협 요소로 작용할 가능성도 배제할 수 없다는 분석이다. 현재까지

는 Windows Vista 사용자가 급격히 증가하지는 못한 상황이다. Windows


[[표표 11]] 22000077년년도도 WWiinnddoowwss 운운 체체제제 보보안안취취약약점점 발발견견 건건수수(출처 : ZDNet.co.uk)

극도로 심각한 취약점 발견 건수 3 1

심각한 취약점 발견 건수 19 12

중간 수준의 취약점 발견 건수 2 1

심각도가 낮은 취약점 발견 건수 3 1

취약점 발견 전체 건수 34 20

순순위위 WWiinnddoowwss XXPPWWiinnddoowwss VViissttaa


Vista는 부분의 주요 보안 관련 결정을 사용자에게 전가시키고 있다는 분

석도 있지만, 보안성을 향상시키는 효과는 가지고 있다고 본다.

향후에는 Windows Vista 사용자가 증가하면서 관련 보안취약성 및 보안

사고가 더욱 이슈가 될 것으로 전망된다.

다. USB메모리 감염 악성코드 폭증

최근 USB메모리를 비롯한 이동식디스크를 상으로 하는 악성코드가 증

가하고 있다. 심지어는 PC를 지키기 위한 보안USB도 감염이 가능한 것으

로 드러났다. 특히 지난 6월 이후 USB를 이용하는 악성코드가 많이 출현

하고 있다.

이들 악성코드는 평상시에는 정상적인 윈도우즈 운 체제 구성파일

(autorun.inf)인 것처럼 숨겨져 있다가 이동식디스크가 연결되는 순간 자

동으로 실행된다. 따라서 USB 메모리 안에 autorun.inf 파일이나 휴지통

이 생성되어 있다면 악성코드에 감염되었을 가능성이 높다. 이 악성코드는

autorun.inf 파일을 이용해 해당 드라이브를 열려고 시도하면 연결된 악성

파일이 자동 실행돼 이동식 디스크를 포함한 모든 디스크드라이브를 감염

시키는 행위를 수행한다.

따라서 사용자들은 USB메모리를 PC에 연결할 때 반드시 해당 드라이브

를 백신 프로그램을 이용하여 검사하여야 한다. 또한, 사이버안전센터 홈

페이지를 통해 배포중인‘usbguard'를 PC에 내려받아 수행하면, 이후부

www.ncsc.go.kr 23

[[표표 22]] 22000077년년도도 UUSSBB를를 이이용용한한 악악성성코코드드 발발견견 건건수수(출처 : 뉴테크웨이브)

월월 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월

건건수수 5 3 14 30 64 276 290 276 235 188 268

특별기고

터는 autorun.inf 파일의 자동실행 차단으로 USB메모리 바이러스도 실행

이 차단된다. 앞으로도 이와 같은 USB를 통한 악성코드는 다양하게 출현

할 것으로 예상된다.

라. 메모리 해킹수법의 사회 이슈화

메모리 해킹이란 램(RAM : Random Access Memory)이라고 불리는 주

기억장치에 저장되는 데이터를 절취하거나 이를 조작하는 해킹 기법이다.

기존의 피싱과 파밍 등의 해킹 수법들이 메일이나 전화 등 외부수단을 이

용해 사용자의 계좌와 비 번호 등의 금융정보를 빼내는 것과 PC 해킹을

통해 백도어 프로그램을 설치한 뒤 전용 툴을 통해 메모리상의 데이터를

절취하고 변조한다는 점에서 차이가 있다. 이러한 메모리 해킹을 통한 인

터넷뱅킹의 실질적인 피해는 아직 보고된 바 없지만 메모리 해킹 방식이

범죄에 악용될 경우 인터넷뱅킹 자체의 신뢰성과 안전성에 큰 위협이 된

다는 점에서 최근 금융권과 정보보호업계에서 이슈로 떠오르고 있다. 또

한 메모리 해킹의 경우 근본적인 해결책을 마련하기가 쉽지 않다는 특징이

있다.

마. 내부자 보안의 중요성 증

최근에는 보안의 패러다임이 네트워크 보안에서 컨텐츠 보안으로 변화하

고 있다. 기 정보 유출에 따른 기업의 경제적 손실이 증가하고 있으며, 고

객의 개인정보나 기업의 기 정보 등이 이메일, 인스턴트 메시징 서비스,

P2P 등을 통하여 무분별하게 유출될 수 있는 위험에 노출되어 있다. 실제

로 미국 CSI/FBI 보고서에 따르면, 2002년 미국에서 발생한 정보유출 사

고 중에 약 80%가 내부자에 의한 것으로 파악되었다. 우리나라의 경우, 국

가정보원 산업기 보호센터는 2003년도부터 2006년도까지 산업기 유

출 적발사건이 92건에 이르며 총 피해예상 금액은 95조 9천억원에 달한다



고 밝혔다. 이러한 정보유출의 문제가 산업기 이나 행정 또는 군사에 관

한 국가기 정보를 상으로 발생한다면 국가차원의 매우 중 한 피해가

아닐 수 없다. 그동안 보안이라 하면, 외부의 공격으로부터 내부의 자원을

안전하게 지키고자 하는 측면에 집중되어 왔다. 하지만 앞으로는 내부자로

부터 내부자원을 안전하게 지키는 것도 보안의 역에서 큰 비중을 차지하

는 방향으로 그 패러다임이 변화하고 있다. 따라서 내부자 위협에 효과적

으로 응하기 위한 기술뿐만 아니라 관리 및 운 측면에서의 접근도 동

시에 이루어져야 할 것이다.

바. 중국발 악성코드 전파 및 해킹 증가

중국은 1990년 중반부터 시스템 및 네트워크에 한 연구를 통하여 중

국 특유의 언더그라운드 해커 문화를 형성하 다. 1990년 후반 중국 해

커들의 기술은 외국에서 개발된 프로그램을 이용하는 수준이었지만 차차

해커들 스스로 트로이목마 프로그램이나 해킹 프로그램을 제작하기 시작

하 으며, 최근에는 국내 국가∙공공기관의 시스템을 해킹하여 주요 자료

를 빼내가거나 웹서버 해킹을 통하여 우리나라 국민의 개인정보를 빼내가

는 수준에 이르고 있다.

중국발 해킹은 우리나라뿐만 아니라 미국 등도 목표가 되고 있어 최근 미

육군에서는 주요 PC를 매킨토시로 교체하는 작업까지 수행하고 있는 상황

이다. 그만큼 중국발 해킹은 전 세계적으로 큰 위협으로 자리 잡고 있다.

중국발 해킹에서 개인정보를 유출해가는 절차를 보면, 우선 접속자가 많은

유명사이트의 웹서버를 해킹하고, 자신이 만들거나 인터넷으로 다운받은

해킹 프로그램으로 악성코드를 이식한 뒤, 보안패치나 백신이 없는 일반

접속자의 PC로 악성코드를 번식시키고, 접속자 PC에 상주하여 주민등록

번호, 각종 사이트 아이디 및 비 번호를 추출함으로써 마지막으로 추출된

개인정보를 해커 컴퓨터로 이동시키는 방법을 이용하고 있다.

www.ncsc.go.kr 25

특별기고

한국정보보호진흥원에 따르면 외국의 국내 사이트 해킹 시도 중 중국의 비

중이 2007년 8월 69.6%, 9월 65.9%, 10월 42.9%에 해당하여 국가단위

로는 1등이라고 발표하 다. 심지어는 중국 내에서 한국의 웹서버를 해킹

하는 방법이나 한국인의 개인정보를 취득하는 해킹기법에 한 자세한 설

명과 도구가 담겨져 있는 잡지가 시중에 유통되고 있는 상황이다. 하지만

국가차원에서 중국발 해킹에 한 근원지를 조사하는 과정에서 중국 내 IP

가 근원지로 확인되면 중국의 협조 미비로 인하여 자세한 근원지 조사에

어려움을 격고 있다.

향후에도 이러한 중국발 해킹 및 악성코드의 전파는 계속적으로 증가할 것

으로 예상된다. 따라서 중국발 해킹 및 악성코드에 응하기 위하여 서버

담당자부터 일반사용자에 이르기까지 보안패치의 설치 및 백신프로그램의

운용의 기본적인 정보보호활동에 충실하여야 할 것이다.

3. 향후 사이버위협 전망

가. 국제적인 사이버 스파이 활동 증

최근 보안전문회사인 맥아피에서 공개한 보고서에 따르면 2008년도 보안

분야의 가장 큰 위협은 국제적인 사이버 스파이 활동을 통한 타국 상 사

이버공격이라고 밝히고 있다. 이번 조사 결과 이미 전 세계적으로 사이버

범죄와 관련된 지하 경제가 활성화되어 금융 정보를 빼낼 수 있는 트로이

목마 프로그램이 경매 사이트를 통해 판매되고 있으며, 스팸 형태의 광고

또한 등장한 것으로 확인되었다. 악성코드를 이용한 사이버 스파이 활동은

2008년도 이후 전 세계적인 사이버 범죄의 근원이 될 것으로 전망된다.

특히 그 동안의 사이버범죄가 부분 개인적인 호기심에서 시작되었던 것



과 달리 2008년도부터

는 재정 및 조직적인 면

에서 체계화된 스파이 조

직에 의한 사이버 공격이

폭 늘어날 것이다. 또한

그 상은 전력, 교통, 금

융시장 및 국가의 주요 컴

퓨터 네트워크 등을 상

으로 할 것이며, 현재에도

120여개 국가에서는 인터

넷을 통하여 이러한 사이버

스파이 활동이 이루어지고 있

다. 특히 이러한 사이버 스파이 활동은 중국에서 시작될 것이고, 최신의 악

성코드 기법이 사용되게 될 것으로 예상된다. 따라서 이러한 차원의 사이

버 스파이 활동에 응하기 위한 시급한 책 마련이 필요하다.

나. 공격∙방어기술 자동화 적용 심화

최근에 발견되고 있는 악성코드들은 자동으로 다운로드되고 업데이트되는

방식으로 유포되고 있어 이에 처할 수 있는 자동화 기법이 향후 정보보

호 시장의 키워드가 될 것으로 전망되고 있다. 기존의 안티바이러스 솔루

션들도 시그너처 기반의 탐지에서 점차 다기능 다계층 보호를 제공하는 방

향으로 발전되고 있다. 특히, 자동화된 데이터베이스 업데이트, 휴리스틱

기법 등을 이용한 사전행동분석 및 실시간 행동분석 기법 등이 이러한 노

력에 해당된다. 또한 최근 한국전자통신연구원 정보보호연구단에서 발표

한 ZASMIN 프로젝트의 경우에도 제로데이 공격에 응하기 위하여 하드

웨어 기반의 고성능 시그너처 자동생성 기법을 연구 및 개발하고 있다. 이

와 같이 향후에는 새롭게 변화하는 악성코드에 실시간적으로 응하기 위

하여 침입탐지시스템 및 백신프로그램과 같은 보안제품에 자동으로 탐지

www.ncsc.go.kr 27

특별기고

패턴을 추가하는 기술에 해 계속적인 연구개발이 이루어지게 될 것이다.

또한 더 나아가서 공격이 탐지되었을 때 해당 공격에 한 응을 위하여

라우터 및 침입차단시스템에 자동으로 정책을 설정해주는 기술도 필요하

게 될 것이다.

다. DDoS 공격의 위험성 상존

DDoS(Distributed Denial of Service) 공격은 네트워크 내에 수많은 시

스템들을 해킹하여 마스터 프로그램 및 에이전트 프로그램을 설치하여 공

격자가 목표 시스템으로 공격시에 활용하는 공격 기법이다. 이 공격은 일

반적인 해킹과 달리 목표 시스템의 관리자 권한을 획득하는 등 고도의 기

술이나 전문지식이 필요하지 않다. 단순히 해당 시스템에 무수히 많은 접

속을 시도하는 간단한 방법으로 시스템을 마비시킬 수 있어 공격자 입장에

서는 너무나도 매력적인 공격 기법이다. DDoS 공격은 규모와 피해면에서 더

욱 커지면서 이를 탐지하고 완화하는 것도 더욱 어려워지고 있는 실정이며,

그 상이 데이터베이스 서버, 어플리케이션 서버, 웹 서버, DNS(Domain

Name System) 서버, 메일 서버, 라우터 및 침입차단시스템 등으로 다양

하다.

또한 최근에 발생한 게임 아이템 중개사이트에 한 DDoS 공격의 경우,

과거에 비해 그 강도가 전례를 찾아볼 수 없을 정도의 규모로 수십G에 해

당되는 공격이었다고 한다. 이 정도 용량의 공격은 ISP 및 금융관련 사이

트도 일순간에 마비시킬 수 있는 규모에 해당된다. 이렇듯 DDoS 공격은

데이터나 정보를 훔치는 다른 공격과는 달리 몇 일 또는 몇 주 동안 비즈니

스를 중단시키는 결과를 초래할 수 있는 주요 위협으로 향후에도 발생 가

능하다.

문제는 이러한 DDoS 공격이 국가 간의 분쟁 시 이용이 가능하다는 점이

며, 최근에 발견되고 있는 봇넷들이 DDoS 공격의 중간 마스터 및 에이전



트 시스템으로 활용이 가능하다는 점이다. 따라서 개인 사용자들은 최신

윈도우즈 보안패치를 설치하고, 백신프로그램을 이용하여 자신의 시스템

을 주기적으로 점검 및 치료하는 노력을 기울여야 할 것이다.

라. UCC를 이용하는 악성코드의 증가

UCC는 일반 사용자들이 컨텐

츠를 만들고 공유할 수 있다

는 점을 이용해 누구나 흥

미를 가질만한 내용의 컨

텐츠를 작성하고 해당 컨

텐츠에 보안 취약점을 이용

하여 애드웨어나 스파이웨어

또는 바이러스를 설치하는 코드

를 삽입해 이를 보는 사용자를 공격하

는 방법으로 사용될 가능성이 매우 높다. 실제로 얼마전 국내 애드웨어 제

작사의 경우 보안 취약점(MS06-014)을 이용해 자사의 애드웨어를 배포

하는 사례가 발견되었다. 따라서 수익을 극 화하기 위한 애드웨어 제작사

와 배포자가 이를 이용할 가능성이 높아졌다. 특히 보안패치가 발표되기

이전에 해당 취약점을 이용하는 제로데이 공격이 성행하고 있는 요즘 그

위험성은 더욱 높아지고 있다.

UCC를 이용하는 공격은 부분 윈도우즈 운 체제나 응용 프로그램의 취

약점을 이용하게 되는데 사용자의 보안패치 설치 미숙이나 새로운 취약점

을 이용하는 제로데이 공격에 해서는 속수무책일 수밖에 없는 실정이다.

얼마전 MySpace에서 동 상 재생을 위해 사용하고 있는 Apple 의

Quick Time 동 상에 악성 자바 스크립트를 삽입해 동 상을 플레이하면

피싱 사이트로 변경되어 사용자의 계정 정보를 유출하려는 시도가 있었다.

이러한 사고는 해당 서비스를 제공하는 회사에서 사용자가 입력하거나 업

www.ncsc.go.kr 29

특별기고

로드하는 컨텐츠 데이터의 이상 유무를 확인해 문제가 될 수 있는 부분을

사전에 필터링해야 하는 부분을 처리하지 않는 등 보안의 중요한 요소를

간과하고 있기 때문에 발생한 것이라고 볼 수 있다.

이렇듯 이러한 사고는 서비스 제공 회사에서 지속적인 모니터링과 관리가

있어야 예방이 가능한 부분이라고 생각된다. 향후에도 이러한 UCC를 이용

하여 악성코드를 전파하려는 시도가 증가할 것이며, 사용자가 직접 만들어

서 배포하는 소프트웨어인 UCS(User Created Software) 또한 UCC와

같이 새로운 악성코드 전파의 방법으로 증가할 것으로 예상된다.

마. 홈페이지 해킹을 통한 악성코드 유포시도 지속

홈페이지를 상으로 하는 해킹은 웹 프로그램 개발 단계에서 보안에 한

고려가 없이 개발을 하 거나, 웹서버에 한 원격 관리를 위한 서비스를

오픈하여 이용하는 부분에서 취약점이 이용되는 경우가 많다. 아직까지도

SQL Injection 등 많이 알려져 있는 취약점이 존재하여 해킹 공격을 당하

는 보안사고가 많이 발생되고 있다.

이와 같이 국내 웹사이트를 해킹한 뒤 트로이목마를 유포시키는 경유지로

악용하는 사고는 향우에도 계속적으로 발생될 것으로 전망된다. 특히, 공

격 상 사이트로 국내 인터넷 사용자들의 접속이 많은 국내 웹사이트들이

주로 이용될 것이며, SQL Injection 등의 취약점이 계속적으로 많이 이용

될 것으로 전망된다. 따라서 각 기관에서는 웹 프로그램 개발 시 취약점이

될 수 있는 코드들이 삽입되지 않도록 주의하여야 하며, 시스템 운 시 보

안 관리에 만전을 기해야 한다.

바. 지능화된 3세 피싱 출현

피싱(Phishing)은 개인정보(Private Data)와 낚시(Fishing)의 합성어로



서, 낚시 수법으로 일반인의 개인정보를 빼내간다는 의미의 합성어다. 은

행과 같은 유명기관을 사칭해서 개인에게 이메일을 보낸 뒤 사람들이 이메

일을 통해 위장 홈페이지에 접속하면, 개인정보를 입력하도록 유도하여 개

인정보를 몰래 빼내가는 것이 일반적인 방법이다. 올해 초에만 해도 국내

유명 은행의 인터넷뱅킹 사이트를 모방한 가짜 홈페이지에 접속한 이용자

5,000여 명이 개인정보와 보안카드 비 번호를 의심없이 입력하여 이들의

공인인증서가 유출되는 해킹사고가 발생하 다.

피싱의 초기 형태는 사회공학적 방법을 이용한 사용자의 ID와 패스워드를

탈취하는 것이었으나 시간이 지날수록 계정정보까지도 도용하여 금융정보

에 불법적으로 접근하거나 파밍 사이트를 이용하여 인터넷 이용자를 유인

하는 기법으로 진화하고 있다. 최근에는 악성코드를 활용하여 이용자 컴퓨

터를 공격하는 수법이 등장하 다. 트로이목마를 통한 정보수집, 웜이나

바이러스를 이용하여 호스트파일을 변경하고 전송 경로를 재설정하여 사

이트 접속시 피싱사이트로 접속되도록 유도하는 방법, 키로거 등의 스파이

웨어를 통하여 ID와 패스워드를 수집하는 방법 등으로 발전하고 있다. 향

후에도 기존의 사회공학적기법과 악성코드를 이용하는 침투기법이 합세한

3세 피싱 공격이 새롭게 출현할 것으로 전망된다.

4. 결 론

본 문서에서는 2007년도에 이슈가 되었던 사이버위협들을 분석하고, 향후

의 사이버위협 전망에 하여 기술하 다. 물론 본 문서에서 언급하지 못

한 2007년도 사이버위협 이슈들도 존재하며, 향후 전망에서 언급하지 못

한 사항도 있을 수 있다. 하지만 2008년도를 맞이하면서 2007년도 사이

버위협 현황을 분석하고, 향후를 전망하는 것만으로도 사이버위협 예측 및

응활동에 도움이 될 것으로 사료된다. 또한 본 문서에서 분석하고 전망

www.ncsc.go.kr 31

특별기고


참고문헌

[1] 김태정, “USB를 통한 악성코드 활개”, ZDNet Korea, 2007.12.04.

[2] 이순형, “지능화 되는 3세 피싱 주목하라”, ZDNet Korea, 2007.06.20.

[3] 이홍석, “ 로벌 보안시장 키워드는 자동화”, 디지털타임즈, 2007.11.28.

[4] 김태형, “2008년도 최 보안 이슈는 사이버 스파이”, 보안뉴스, 2007.12.03.

[5] 이홍석, “사이버스파이 활동 내년 최 이슈”, 디지털타임즈, 2007.12.03.

[6] 서소정, “통합보안관리 시장 열린다.”, 아이뉴스24, 2007.12.07.

[7] 길민권, “10G 이상 DDoS 공격엔 금융 사이트도 마비”, 보안뉴스, 2007.11.12.

[8] 길민권, “DDoS 공격, 최 의 위협으로 다가오고 있다!”, 보안뉴스, 2007.11.08.

[9] 이홍석, “신정아 연서 복구한 디지털 포렌식 기술 이란”, 디지털타임즈,

2007.09.12.

[10] 김인순, “메모리 해킹을 봉쇄하라”, 전자신문, 2007.09.11.

[11] 이홍석, “메모리해킹에 한 오해와 진실”, 디지털타임즈, 2007.09.07.

[12] 김인순, “USB 저장장치 덜덜”, 전자신문, 2007.09.03.

[13] http://www.microsoft.com/technet/security/current.aspx

본본 원원고고는는 국국가가사사이이버버안안전전센센터터의의 편편집집방방향향과과 일일치치하하지지 않않을을 수수 있있습습니니다다..

하 듯이 앞으로는 국가 간의 사이버 스파이 활동이 증가할 것으로 전망된

다. 따라서 국가사이버안전센터를 주축으로 하는 국가∙공공기관의 정보

보호 활동이 더욱 중요시될 것으로 전망되며, 빠르게 고도화∙지능화되는

사이버위협에 적절히 응할 수 있도록 정보보호기술에 한 연구개발에

도 박차를 가해야 할 것이다.

사이버위협동향및 응활동

CYBER

� 월간 공공분야 공격시도 탐지 현황

� 월간 공공분야 사이버 침해사고 현황

� 국내∙외 주요 취약점 발표 동향

� 사고사례

○○학교, Webmin 취약점을 이용한 홈페이지변조 사고

월간사이버위협동향및 응활동


January

트래픽 동향

12월 일일 평균 트래픽1)은 3.8% 감소, 유해 트래픽은 17.1% 증가하 다.

이는 통령선거 및 크리스마스 연휴 동안 인터넷 사용량이 감소하여 전체

트래픽은 조금 감소하 으나, 연말 연시를 틈타 개인정보 절취를 위한 홈

페이지 해킹 및 정보유출형 웜ㆍ바이러스의 감염시도 유해 트래픽이 소폭

증가한 데 따른 것이다.

1

1) 14G 백본망에서 수집한 데이터를 분석한 자료로 국가 전체 트래픽 현황을 의미하지는 않음

사이버위협동동향향및및 응응활활동동

월간 공공분야공격시도 탐지 현황

[[표표 11]] 일일일일 평평균균 전전체체트트래래픽픽 // 유유해해트트래래픽픽 발발생생

트트 래래 픽픽 유유해해트트래래픽픽

평 균 576,586G 599,362G 40,716M 34,770M

최 709,131G 674,079G 8,806,057M 3,273,627M

(단위 : bits)

기 간 12월 11월 12월 11월

월간 공공분야 공격시도 탐지 현황 ●●●

www.ncsc.go.kr 35

공격탐지 동향

12월 공격유형 탐지 건수는 일일 평균 95만 4천여건으로 전월 평균 93만

여건 비 약 2.6% 증가한 것으로 나타났다.([표 2] 참조)

지난달에 비해 베이 (Beagle) 및 웰치아(Welchia) 웜ㆍ바이러스 관련

이벤트가 각각 31.9%, 21.3% 감소하 고, 해킹 경유지나 악성코드 유포

지로 악용하기 위한 홈페이지 해킹시도와 특정 온라인 게임계정을 절취하

려는 정보유출형 웜ㆍ바이러스가 꾸준히 발생하 다.

이외에 SNMP 에이전트에 의한 시스템 네트워크 인터페이스의 정보를 절취

하려는 이벤트(SNMP show interface)가 27.7% 증가하여 공격순위 2위

를 차지하 으나, 다행히 국가ㆍ공공기관 전산망을 상으로 한 피해는 발

생하지 않았다.

2

wwwwww..nnccsscc..ggoo..kkrr

[[표표 22]] 공공격격 유유형형별별 발발생생 건건수수(단위 : 건/일)

1 TCP service scan 94,013 99,511(１)

2 SNMP show interface 67,554 52,886(－)

3 Attack-web-0102-iFrame 54,156 51,379(４)

4 Worm w32.beagle.b backdoor communication 48,436 71,189(２)

5 ICMP ping Shadow Security scan 41,663 52,943(３)

기타 UDP port scan 등 649,113

합계 954,935

순순위위 건건수수 1111월월((순순위위))이이벤벤트트

602,984

930,892


탐지 후속조치 사례

안전센터는 12월 29일 22시경 ○○과학원에서 ○○전산망으로 22번 포

트에 한 해킹(SSH Brute Force2))을 시도하는 트래픽, TCP service

scan 이벤트 24만 여건을 탐지하 다.

확인결과, 공격자는 ○○과학원 업무용 서버의 SSH 취약점을 이용하여 관

리자 권한을 획득하 으며, 이후 루트킷(Rootkit : 해커가 컴퓨터에 침입

한 사실을 숨긴 후 관리자용 접근권한을 획득하는데 사용하는 해킹도구)

및 타 전산망 공격을 위한 SSH Brute Force 스캔 해킹도구를 설치하여

경유지로 악용하고 있었다.([그림 1] 참조)

이에 안전센터는 발견된 해킹도구를 즉시 삭제하고 관리자 계정을 변경토

록 하 고 추가 해킹피해를 방지하기 위해 SSH 접속 가능한 네트워크

역을 제한하고 기본 사용포트를 22번이 아닌 다른 포트로 변경하여 무작

위 스캔 공격을 방어토록 하 다.

3

00:00 12:00 00:0012/29 12/30

(단위 : k건)6

4

2

0

[[그그림림 11]] TTCCPP sseerrvviiccee ssccaann 이이벤벤트트 탐탐지지 현현황황

2) SSH Brute Force 공격 또는 SSH Dictionary 공격이라고 불리는 이 공격은 임의의 계정(주로 test,

root, admin) 등에 해 미리 지정한 패스워드를 입하여 취약한 패스워드를 가진 계정을 발견해 서

버에 침입을 시도하는 공격을 말한다.

월간사이버위협동향및 응활동 January

www.ncsc.go.kr 37wwwwww..nnccsscc..ggoo..kkrr

그밖에 USB메모리를 비롯한 이동형 저장장치 사용이 보편화되면서 이를

통해 전파되는 웜ㆍ바이러스 피해가 최근 증가하고 있다.

웜ㆍ바이러스는 다른 악성코드와 유사하게 이메일, 메신저, UCC 등 다

양한 경로를 통해 PC가 감염된 후 PC에 연결되어 있는 이동형 저장장치

또는 하드디스크 드라이브에 해‘Autorun.inf’파일과 악성코드를 복사

함으로써 감염시킨다.

또한, 악성코드에 감염된 USB메모리를 PC에 연결하면‘Autorun.inf’파

일에 의해 사용자는 인지할 수 없지만 악성코드가 자동 실행되면서 해당

PC가 감염되게 된다.

이에 사이버안전센터는 관련 탐지기법 2종을 개발하여 보안관제를 강화하

는 한편, 이러한 웜ㆍ바이러스가 이동형 저장장치에서 자동으로 실행되는

것을 차단하기 위한 프로그램을 제작하여 각급기관 보안관리자에 배포하

다.

따라서 보안관리자들은 최신 버전의 백신프로그램으로 실시간 감시기능과

함께 이동형 저장장치 사용전에 웜ㆍ바이러스 검사를 수행하여 사전에 감

염피해를 예방토록 하여야 한다. 자세한 내용은 국가사이버안전센터 홈페

이지 보안권고문3)을 참조하여 보안 책을 강구할 것을 당부한다.

3) http://www.ncsc.go.kr → 보안정보 → 보안권고문 →‘USB 메모리 감염 바이러스 실행차단 프로그

램 배포’문서

월간 공공분야 공격시도 탐지 현황 ●●●


침해사고 주요동향

12월은 온라인게임 정보유출 목적으로 제작된 리니지핵1)의 감염사고 등

이 전월 비 큰 폭으로 감소하면서 총 사고건수는 지난 9월 이후의 증가

세가 감소세로 반전되었다. 사고유형별로는 경유지 악용을 제외한 악성코

드 감염, 홈페이지 변조, 자료훼손 및 유출 사고가 모두 감소하 다.

PC에서 주로 발생하는 악성코드와 서버에서 주로 발생하는 홈페이지 변조

사고가 모두 감소한 것은 각급기관의 보안담당자들이 업무용 PC와 서버

모두에 한 주기적 취약점 제거를 통해 사고를 예방하 기 때문인 것으로

분석된다.

1

1) 우리나라 온라인게임 사용자 PC를 해킹, 회원정보 및 사이버머니 절취를 위해 해커가 제작한 악성프

로그램으로 사용자정보(ID)와 패스워드 등 개인정보를 해커에게 전송, 정보절취용으로 악용

월간 공공분야사이버 침해사고 현황


www.ncsc.go.kr 39

사고발생 현황

12월 총 사고 발생건수는 524건으로 전월(599건)에 비해 12.5% 감소하

다. 사고유형별로는 전월 비 악성코드와 홈페이지변조가 각각 7.1%,

43.4% 감소하 고, 경유지 악용이 13.8% 증가하 다. 사고기관별로는 국

가기관과 지자체가 48.1%. 17.4% 감소한 반면, 산하기관이 35.1% 증가

하 다.

2

[[표표 11]] 1122월월 사사고고발발생생 현현황황

※ ( )안은 전월 비 주요 변동수치이며, 웜∙바이러스 감염은 악성코드 감염에 포함

악악성성코코드드감감염염

경경유유지지악악용용

홈홈페페이이지지변변조조

자자료료훼훼손손및및 유유출출

기기타타 합합 계계기기관관

유유형형

사고유형별로는 악성코드 감염, 경유지 악용2), 홈페이지 변조, 자료훼손 및

유출 순이며, 사고기관별로는 지자체, 교육기관, 산하기관, 국가기관, 연구

기관 순으로 나타났다.

2) 해커가 보안에 취약한 시스템을 해킹한 뒤, 이를 이용하여 전산망을 스캐닝하거나 피싱사이트, 해

킹파일 유포사이트 등을 무단 개설하는 수법

국가기관 22(▼21) 0 3 3(▼3) 0 28(▼26)

지 자 체 230(▼51) 13 8 1 0 252(▼53)

연구기관 14 3 0 0(▼5) 0 17(▼5)

교육기관 128(▲30) 37 6(▼13) 0 0 171(▲5)

산하기관 25(▲10) 11(▲8) 13(▼5) 1 0 50(▲13)

기 타 1 2 0 3(▼4) 0 6(▼9)

합 계 420(▼32) 66(▲8) 30(▼23) 8(▼14) 0(▼14) 524(▼75)

월간 공공분야 사이버 침해사고 현황 ●●●


주요 유형별 동향 분석

가. 월별 침해사고 추이 특징

침해사고는 지난달보다 12.5%가 감소하여, 9월 이후의 증가세가 감소세

로 반전되었는데, 이는 주로 악성코드 감염과 홈페이지 변조사고가 감소한

데 기인한다.

3

악성코드 감염80.2%

경유지악용12.6%

[[그그림림 11]] 유유형형별별 분분포포

홈페이지변조5.7%

국가기관5.4%

산하기관9.5%

교육기관32.6%

연구기관3.2%

지자체48.1%

[[그그림림 22]] 기기관관별별 분분포포

기타1.2%

자료훼손및유출1.5%

[[그그림림 33]] 22000077년년 월월별별 사사이이버버 침침해해사사고고 발발생생 추추이이

07.1 07.2 07.3 07.4 07.5 07.6 07.7 07.8 07.9 07.10 07.11 07.12

1400

1200

1000

800

600

400

200

0

1270

701622

551 605

505 523 573 531

584평균 632 599 524


www.ncsc.go.kr 41

나. 악성코드 감염사고 동향

금월의 악성코드 감염사고는 420건으로 10월 이후의 증가세가 감소세로 반

전하 는데 이는 지자체 악성코드 감염사고가 감소(18.1%)함에 기인한다.

악성코드 감염사고의 기관별

발생비율을 살펴보면, 지자

체가 전체 악성코드 감염사

고의 54.8%를 차지하 다.

이는 지난달 지자체의 악성

코드 비율인 62.2%보다 감

소된 수치로 해당 기관에

한 지속적인 악성코드 감염

예방 조치에 기인한 것으로

보인다.[[그그림림 55]] 악악성성코코드드 감감염염기기관관 분분포포

지자체54.8%교육기관

30.5%

산하기관6.0%

국가기관5.2%

연구기관3.3%

기타0.2%

[[그그림림 44]] 22000077년년 월월별별 악악성성코코드드 감감염염사사고고 발발생생 추추이이

07.1 07.2 07.3 07.4 07.5 07.6 07.7 07.8 07.9 07.10 07.11 07.12

1200

1000

800

600

400

200

0

1132

628

417443

405

470

530

평균 516

399

532393 452 420



11월에 출현한 UCC(User Created Contents)바이러스3) 감염사고가 금

월에도 지속적으로 발생하여 악성코드감염사고 중 가장 큰 비율을 차지했

다. 따라서 개인사용자들은 안정성이 확인되지 않은 UCC 동 상 재생에

주의가 필요하며, PC에 해 최신 윈도 보안업데이트 및 백신이 적용되고

있는지 주기적으로 확인하여야 한다.

크리스마스를 맞아 유포된 바이러스 감염도 수 차례 보고되었다. 표적인

것으로 크리스마스카드 전자우편을 가장한 xmas-stripshow 바이러스4)

가 있다. 전자우편으로 유포되는 본 바이러스의 경우, 악성코드를 실행시

키기 위해 첨부파일이나 특정링크를 클릭하도록 제작되었으므로 확인되지

않은 전자우편의 첨부파일이나 링크 클릭시 각별한 주의가 필요하다.

또한, 일반 악성코드와 같이 전자우편

또는 P2P, 악성사이트를 통해 감염

된 후, USB 메모리 등 이동형 저장

장치에 상주하면서 전파 및 자료유

출의 악성행위를 수행하는 바이러스

가 지속적으로 증가하고 있다. 이와 관련

하여 국가사이버안전센터에서는 USB 메모리를

PC에 접속시 자동 실행되지 않도록 권고문을 배포하

으니 각급기관은 PC 보안설정에 반 할 것을 권고한다.

3) 해커가 악성코드를 삽입한 동 상을 홈페이지에 게재, 사용자가 이를 열람하도록 유도하여 개인정보

를 절취하거나 결재를 요구하는 악성프로그램

4) 산타 복장을 한 여성이 동 상 다운로드 클릭을 유도한 후 악성코드를 설치하는 바이러스


www.ncsc.go.kr 43wwwwww..nnccsscc..ggoo..kkrr

다. 홈페이지 변조사고 동향

12월 홈페이지 변조사고는 지난달에 비해 23건 급감한 30건을 기록하 다.

홈페이지 변조사고는 다른 유형의 사고들과 달리 해커들이 자신의 실력을

과시하기 위해 변조한 내용을 인터넷에 공개하고 있는데, 2007년 6월 이후

공공기관의 사고가 증가추세에 있었으나, 10월부터 산하기관 등에서 집중

적으로 홈페이지 취약점을 제거하여 연간 평균수준 아래로 감소하 다.

해커들이 홈페이지를 변조하는 방법은 변조된 페이지를 삽입하는 방식과

게시물 제목이나 내용을 변조5)하는 방식으로 이루어지는데, 위 두가지 방

식 모두 홈페이지 보안설정이 부실하여 발생하는 것이다.

[[그그림림 66]] 22000077년년 월월별별 악악성성코코드드 감감염염사사고고 발발생생 추추이이

07.1 07.2 07.3 07.4 07.5 07.6 07.7 07.8 07.9 07.10 07.11 07.12

26

38

52

109

1913

평균 31.6

7

158 9

120

100

80

60

40

20

0

53

30

5) 홈페이지 변조사고에 포함되는 게시 무단변조는 공지사항 등 관리자 권한의 게시물을 변조하는 경우

만포함하고일반Q&A나게시판등에게재되는스팸성 은해당사고에서제외함


이와 관련, 국가사이버안전센터는 홈페이지를 통해 보안권고문을 배포하여

최근 홈페이지 해킹수법인 SQL Injection, 파일 업로드, PHP Injection6)

취약점에 한 자체 보안재점검을 강조하고 있다. 상세내용7)은 국가사이

버안전센터 홈페이지에서 참조하기 바란다.


6) 해커가 PHP(홈페이지 실행파일의 일종)의 보안취약점을 이용, 홈페이지 주소창에 해킹코드를 실행

하여 관리자 권한을 획득하거나 자료를 절취, 변경할 수 있는 공격기법

7) 홈페이지 변조사고관련 권고문 : 국가사이버안전센터(http://www.ncsc.go.kr) → 보안정보 → 보안

권고문 →‘국가기관홈페이지 해킹사고증가에 따른 보안재점검 요망’참조


www.ncsc.go.kr 45

이번호는 인터넷에 접속하는 필수 어플리케이션인 웹브라우저의 취약점에

관해 알아보고자 한다. 어떤 유명 해커는 지금까지 개발된 최고의 해킹툴은

MS Internet Explorer라고 말할 정도로 Explorer는 해킹에 자주 악용되

는 어플리케이션이다. 웹브라우저에 인터넷 검색 등 웹 서비스 업체의 다양

한 기능 등을 담은 툴바를 비즈니스 측면에서 배포하고 있는데 최근 이 툴

바의 취약점이 속속 보고되고 있다. 따라서 인터넷 이용자들은 검증되지 않

은 웹 서비스 업체의 툴바, Active X 등의 사용에 유의해야 할 것이다.

Google 툴바 다이얼로그 스푸핑 취약점

가. 개요

Google 툴바는 사용자가 임의 설정 가능한 웹 브라우저용 툴바인데 이 툴

바에서 다이얼로그-스푸핑 취약점이 발견되었다. 이 취약점을 악용, 사용

1

국내·외주요취약점발표동향

국내∙외 주요 취약점 발표 동향 ●●●


자 정의 버튼을 Google 툴바로 설치할 때 공격자가‘downloaded from’

과‘Privacy considerations’섹션의 콘텐츠를 스푸핑할 수 있다.

공격자는‘Open redirector’를 포함하는 특별히 제작된 URI를 만들어 악

용할 수 있다. 이 URI는 악성 데이터를 포함하는 XML 파일을 가리킨다. 공

격에 성공하면 공격자가 임의의 툴바 사용자들에게 악성행위를 할 수 있는

버튼을 자신의 툴바에 설치하도록 할 수 있게 되며, 이 공격을 통해 사용

자들을 속여 피싱 공격에 악용하는 등 기타 다양한 공격에 이용 가능하다.

나. 취약 시스템

Google Toolbar 4

Google Toolbar 5 beta.

다. 공격 시나리오

1. 악성 XML 파일을 가리키는 URI를 제작한다.

2. 이메일, 메신저, 또는 다른 방법을 활용하여 임의의 사용자가 해당 링크

를 방문하도록 유도한다.

3. 해당 사용자가 이 URI를 클릭할 때, 스푸핑된‘downloaded from’과

‘Privacy considerations’섹션을 포함하는 다이얼로그 박스가 오픈

된다.

4. 피해자가 내용을 수락하고 악성 버튼을 설치한다.

본 취약점을 성공적으로 이용하면 사용자들을 속여 피싱 공격에 악용할 수

도 있다.

라. 예방

출처를 잘 알지 못하거나 신뢰할 수 없는 링크는 따라가지 않는다. 공격에



성공하기 위해서는 피해자가 링크를 방문해야 하므로 예상하지 못했거나

신뢰할 수 없는 의심스러운 링크를 방문하지 않는다.

마. 패치

http://aviv.raffon.net/2007/12/18/GoogleToolbarDialogSpoofingVul

nerability.aspx

http://toolbar.google.com/

Yahoo! Toolbar YShortcut.dl ActiveX 컨트롤 원격 버퍼오버플로우 취약점

가. 개요

Yahoo! Toolbar YShortcut ActiveX 컨트롤은 사용자가 URI 주소를‘바

로 가기’로 추가할 수 있게 해준다. YShortcut에서 버퍼 오버플로우 취약

점이 발견되었는데 이 취약점은 사용자의 입력값에 한 길이체크를 적절

하게 수행하지 않아 발생한다.

이 취약점은 CLSID가‘67CE97C5-ABE6-429A-B6BD-3BD1333A0825’

인 ActiveX 컨트롤 라이브러리‘YShortcut.dll’의‘IsTaggedBM()’메

소드에 향을 주는데 이 함수에 3K 바이트 이상의 데이터가 전달되면

Internet Explorer(IE)의 최 URL 길이(2083 바이트)를 초과하기 때

문에 버퍼 오버플로우가 발생된다. 이 함수는 IE 주소창에 데이터가 입력

될 때마다 호출된다.

공격자는 이 취약점을 이용해 취약한 ActiveX 컨트롤을 사용 중인 애플리

케이션(주로 IE)의 컨텍스트에서 임의의 코드를 실행할 수 있다. 또한 실

2

www.ncsc.go.kr 47

패할 경우에도 서비스 거부 상태가 발생된다.


Yahoo! Toolbar 1.4.1.


1. 이 취약점을 이용한 악성 HTML 문서를 제작한다. 체 메모리 주소들

과 NOP 명령 그리고 악성코드가 포함된다.

2. 원격으로 액세스할 수 있는 위치에 호스팅하거나 혹은 메일이나 다른

방법을 통해 악성 페이지를 전파한 후, 사용자로 하여금 해당 페이지를

보도록 유도한다.

3. 해당 페이지가 처리될 때, 공격자의 코드가 실행된다.

공격에 성공하면 취약한 애플리케이션과 해당 컴퓨터를 장악할 수 있다.

실패할 경우에는 서비스 거부상태가 발생될 것이다.

라. 예방

네트워크 기반의 침입탐지시스템에서 NOP 명령이나 알 수 없는 내부

또는 외부로 향하는 트래픽이 포함된 요청과 같은 비정상적이거나 수상

한 네트워크 트래픽을 모니터링한다. 이러한 네트워크 트래픽은 공격

시도나 성공적인 공격으로 인해 발생하는 것을 포함한다.

모든 소프트웨어를 동작에 필요한 최소한의 권한만 부여된 비특권 사용

자 계정으로 실행한다.

출처를 신뢰할 수 없는 링크나 웹 사이트는 방문하지 않도록 하고 의심

스러운 파일은 열지 않도록 한다.

이 취약점을 공격하려면 웹 클라이언트들에서 악성 스크립트 코드를 실



행해야 하므로 클라이언트의 브라우저상에서 스크립트 코드 및 액티브

콘텐츠를 실행하지 못하도록 설정함으로써 공격을 차단할 수 있다. 그

러나 이러한 예방 조치로 인해 스크립트 코드에 기반하여 실행되는 웹

사이트들이 정상적으로 동작하지 않을 수도 있음을 유의해야 한다.

마. 패치

http://support.microsoft.com/kb/240797

http://toolbar.yahoo.com/

SiteBar 다수의 입력 검증 취약점

가. 개요

SiteBar는 PHP로 구현된 즐겨찾기 관리 애플리케이션으로 사용자로부터

제공되는 입력 값을 제 로 검사하지 않기 때문에 다수의 취약점이 존재한다.

‘gtranslator.php’스크립트의‘dir’매개변수에 향을 주는 로컬파일

포함 취약점

다음 스크립트와 매개변수들에 향을 주는 다수의 임의의 스크립트 코

드 실행 취약점

3

www.ncsc.go.kr 49


translator.php edit, value

integrator.php lang

command.php token, nid_acl, uid

index.php target

취취약약 스스크크립립트트 취취약약 매매개개변변수수

‘command.php’스크립트의‘forward’매개변수에 향을 주는 URI

리디렉션 취약점으로 공격자가 이 취약점을 이용하여 중요 정보에 접근

하고 웹서버 프로세스의 컨텍스트에서 임의의 악성코드를 실행할 수 있

으며, 쿠키 인증정보를 가로채거나 사용자를 악성 웹 페이지로 강제 리

디렉트시킬 수 있다.


SiteBar SiteBar 3.3.8과 이전 버전


이 취약점들은 브라우저를 사용해 공격할 수 있다.

다음 PoC(Proof of Concept) URI들이 발표되었다:

Tim Brown 2007-10-18 00:00:00Z (http://downloads.securityfocus.com

/vulnerabilities/exploits/ 26126.html)

라. 예방

외부로 서비스를 제공할 필요가 없는 경우 네트워크 경계에서 외부로부

터의 액세스를 차단한다. 외부로 서비스를 제공할 필요가 없으면, 네트

워크 경계에서 향을 받는 컴퓨터에 한 액세스를 필터링한다. 신뢰

할 수 있는 컴퓨터와 네트워크에만 액세스를 허용하여, 공격이 발생할

가능성을 크게 감소시킬 수 있다.

네트워크 기반의 침입탐지시스템을 사용하여 의심스러운 일련의 URI

가 포함된 요청과 같은 악의적인 네트워크 트래픽을 모니터링한다. 웹

서버도 이런 요청들을 로그에 남기므로 정기적으로 웹 서버의 로그 파

일들을 감사한다.

모든 소프트웨어를 최소 권한만 허용된 비특권 사용자로 실행한다. 즉,



서버 프로세스를 chroot 또는 jail과 같은 도구들을 사용해 제한된 환경

에서 실행하면, 공격으로 인한 피해를 제한할 수 있을 것이다.

출처를 잘 알지 못하거나 신뢰할 수 없는 링크는 실행하지 않는다. 웹

사용자들은 출처를 잘 알지 못하는 곳에서 제공된 링크를 방문할 때도

주의를 기울이도록 한다. 메일에서 HTML 코드를 필터링하면, 사용자

에게 악성 링크가 전달될 수 있는 경로를 제거하는데 도움이 될 것이다.

웹 브라우저의 보안 설정상 스크립트 코드 또는 액티브 콘텐츠 실행 기

능을 해제한다. 이 취약점들을 성공적으로 공격하면, 웹 클라이언트에

서 악성 스크립트 코드가 실행될 수 있으므로 클라이언트 브라우저에서

스크립트 코드 및 액티브 콘텐츠의 실행을 지원하지 않도록 한다. 그러

나 이 예방 조치로 인해 브라우저 기반에서 스크립트 코드를 실행하는

웹 사이트들이 정상적으로 동작하지 않을 수도 있음을 유의한다.

마. 패치

http://security.debian.org/pool/updates/main/s/sitebar/sitebar_

3.2.6-7.1sarge1_all.deb

http://downloads.sourceforge.net/sitebar/SiteBar-3.3.9.tar.bz2?

modtime=1192322139&big_mirror=0

Microsoft Internet Explorer 및 Mozilla Firefox URI핸들러 명령 삽입 취약점

가. 개요

Microsoft Internet Explorer(IE), Mozilla Firefox, 그리고 Netscape

Navigator에서 공격자가 프로토콜 핸들러‘firefoxurl’및‘navigatorurl’

을 통해 명령을 삽입할 수 있는 취약점이 발견되었다. 이 취약점은 원격의

4

www.ncsc.go.kr 51


공 격 자 가 ‘ firefoxurl’ 및 ‘ navigatorurl’ 핸 들 러 를 사 용 하 여

‘firefox.exe’및‘navigator.exe’프로세스를 통해 임의의 명령과 인수

들을 전달해 실행할 수 있다.

이 취약점들은 입력검증 오류로 인해 발생되는데 동일한 컴퓨터에 IE와

Firefox 또는 Navigator 9가 함께 설치되었을 때 발생된다. Firefox와

Navigator를 각각 설치시‘firefoxurl’과‘navigatorurl’이라는 이름의

URL 프로토콜 핸들러가 등록된다. 이 핸들러들은 HTML 코드를 처리할

수 있는 다른 애플리케이션들이 Firefox나 Navigator를 실행할 수 있도록

해준다. 이 취약점은 IE가 URL에 제공된 사용자의 문자열을 이 프로토콜

핸들러에 전달할 때 발생된다.

또한 공격자는 이 취약점들을 이용해‘-chrome’인수를 사용함으로써 브

라우저 간 스크립팅 공격을 수행할 수도 있다. 이를 통해, 공격자가 신뢰된

Chrome 컨텍스트의 권한으로 JavaScript 코드를 실행하여 Firefox나

Navigator의 리소스들에 한 모든 액세스 권한을 획득할 수 있다.

한편, 이 취약점들을 이용하면 원격의 공격자가‘firefoxurl’및‘navigatorurl’

핸들러를 통해 호출할 수 있는 명령 옵션들에 향을 줌으로써 취약한 애

플리케이션을 실행 중인 해당 사용자의 권한으로 명령 및 스크립트 코드를

실행할 수 있다. 공격에 성공하면 인가되지 않은 원격 액세스를 허용하는

등 다양한 피해가 발생될 수 있다.

나. 취약하지 않은 시스템

Mozilla Camino 1.5.1

Mozilla Firefox 2.0.0 .5

Mozilla SeaMonkey 1.1.4

Mozilla Thunderbird 2.0.0 .5

Mozilla Thunderbird 1.5.0 .14.




1. URI가 로드될 때 실행되는 다른 애플리케이션에 한 명령-행 매개변

수들에 향을 줄 수 있는 악성 HTML을 제작한다.

2. 악성 HTML 코드를 웹 페이지에 포함시키거나 혹은 HTML 메일을 통

해 전송한다.

3. 악성 코드는 페이지 또는 HTML 메일이 렌더링될 때 자동으로 로드되

며 사용자가 악성 사이트를 가리키는 링크를 따라가거나 혹은 악성 메

일을 열어야 한다.

라. 예방

출처를 잘 알지 못하거나 신뢰할 수 없는 링크는 실행하지 않는다.

HTML 메일은 여러 취약점에 한 공격 경로를 제공할 수 있기 때문에

불필요한 HTML 메일은 열거나 수락하지 않는다. HTML 메일을 필터

링하거나 혹은 클라이언트에서 HTML 메일을 지원하지 않도록 한다.

모든 소프트웨어를 최소 권한만 허용된 비특권 사용자로 실행한다.

마. 패치

http://download.mozilla.org/?product=camino-1.5.1&os=osx&lang=

en-US

ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/2.0.0.5

www.ncsc.go.kr 53



개 요

국가사이버안전센터는 ○○학교 홈페이지가 해외 해커에 의해 변조되었다

는 신고를 받고 사고조사를 실시하 다. 확인 결과, [그림 1]과 같이 공격자

는 구 검색엔진을 이용하여 Webmin1)이 설치된 ○○학교 웹서버를 검색

한 후 Webmin 1.070 이전 버전에 해 원격지에서 Session ID(SID)를

속여 ROOT 권한을 얻을 수 있는 취약점을 이용하여 관리자 권한으로 접속

한 후 [그림 2]와 같이 홈페이지를 변조하 다.

1

○○학교, Webmin 취약점을 이용한 홈페이지변조 사고

사고사례

1) Webmin은 웹 브라우저를 통해서 시스템의 계정 및 패스워드 변경, 아파치∙DNS 서버의 구성 변경,

파일공유 설정 등이 가능한 Unix와 Linux 운 체제용 웹 기반의 시스템 관리 도구


www.ncsc.go.kr 55

[[그그림림 11]] WWeebbmmiinn을을 악악용용한한 홈홈페페이이지지 변변조조 시시나나리리오오

[[공공격격자자]]

[[사사용용자자]]

홈홈페페이이지지 변변조조

③ 홈페이지 접속

본 사례를 통해 웹서버의 관리를 편리하게 하기 위해 사용되는 관리 프로

그램이 공격자에 의해 악용될 경우, 심각한 취약점이 될 수 있다는 점을 보

여주고자 한다. 이와 관련 보안담당자들은 최고 권한으로 운 되는 관리프

로그램에 해 세심한 보안설정을 적용하여야 하겠다.

① webmin 구 검색

② Root 권한절취후홈페이지변조

[[그그림림 22]] OOOO학학교교의의 변변조조된된 홈홈페페이이지지

사고사례 ●●●


공격기법 분석

가. 구 검색을 통한 Webmin 관리자 페이지 검색

공격자는 먼저 [그림 3]과 같이 구 검색(inurl:“:○○○”intext:webmin)

을 통해 [그림 4]와 같은 ○○학교 웹서버에 설치된 Webmin의 관리자 페

이지를 알아낸 것으로 추정된다.

2

[[그그림림 33]] 구구 검검색색으으로로 WWeebbmmiinn 이이용용하하는는 홈홈페페이이지지 탐탐색색

[[그그림림 44]] OOOO학학교교 WWeebbmmiinn 관관리리자자 페페이이지지


www.ncsc.go.kr 57

나. Webmin 취약점 분석

Webmin은 웹기반의 시스템 관리 프로그램이며, [그림 5]와 같이 시스템

의 계정 및 패스워드 변경, Apache 설정 관리, DNS 서버 구성 변경, 파일

공유 설정 등 시스템 관리자의 편의성을 증 시키는 장점을 가진 프로그램

이지만 보안 업그레이드와 철저한 관리가 이루어지지 않는다면 공격자에

의해 해킹 수단으로 악용될 수 있다. 본 사고 시스템에 설치된 Webmin 역

시 관리자가 0.990 버전으로 설치2)하고, 업그레이드를 미수행하여 공격자

에 의해 시스템이 장악되었다.

[[그그림림 55]] WWeebbmmiinn의의 시시스스템템 및및 서서버버 관관리리 기기능능

로그인!

2) Webmin 1.070 이전 버전에는 원격지 공격자가 Session ID (SID)를 속여 관리자 권한을 얻어낼 수

있는 취약점이 존재



접속기록 분석 결과 공격자는 [그림 6], [그림 7]과 같이 Webmin에 로그

인하지 않고 /etc/passwd 파일과 history 파일을 열어보았음을 확인할 수

있었다.

[[그그림림 66]] 공공격격자자가가 열열람람한한 //eettcc//ppaasssswwdd

[[그그림림 77]] 공공격격자자가가 열열람람한한 시시스스템템 bbaassgg__hhiissttoorryy 파파일일


www.ncsc.go.kr 59

재해 방지 책

본 사고 원인은 취약한 버전의 프로그램을 최신 버전으로 업그레이드하지

않아 발생한 것으로 다음에 소개하는 간단한 보안 설정만으로도 충분히 예

방할 수 있다.

가. Webmin 업그레이드

Webmin 웹 사이트3)를 통해 최신 버전으로 업그레이드하거나 [그림 8]과

같이 Webmin Configuration 메뉴에서 로컬 파일, 업로드한 파일 또는 최

신버전의 파일을 설치하여야 한다.

3

3) http://www.webmin.com/webmin/

[[그그림림 88]] WWeebbmmiinn 업업그그레레이이드드



나. Webmin 접속 포트 변경

Webmin은 기본적으로 10000번 포트를 사용하므로 구 검색엔진을 이

용하지 않아도 IP를 조합하여 포트 10000을 열어보고 패스워드를 무작위

로 입하여 관리자 권한을 획득할 수 있다. 따라서 [그림 9]와 같이 포트

를 10000이 아닌 다른 포트 번호로 변경해준다.

다. 자동 로그인 설정 해제

Webmin에서 원격 서버들이 자동 로그인으로 설정되어 있다면 로컬 사용

자는 이러한 원격 서버들에 한 로그인 ID와 패스워드를 읽을 수도 있다.

따라서 [그림 10]과 같이 자동 로그인 설정을 반드시 해제하여야 한다.

[[그그림림 99]] WWeebbmmiinn 관관리리자자 포포트트 변변경경


www.ncsc.go.kr 61

라. IP 접근 제어

보안을 위해 Webmin에 접근할 수 있는 IP 주소를 제한할 수 있다. 즉 특

정 IP 주소의 Webmin 서버 접근을 거부하거나 [그림 11]과 같이 특정 IP

만 접근을 허용하도록 설정하는 것이다. 이를 통해 패스워드를 유추하여

침입하는 것을 차단할 수 있다.

[[그그림림 1100]] WWeebbmmiinn 자자동동 로로그그인인 설설정정 해해제제

[[그그림림 1111]] IIPP 접접근근 제제한한



마. 인증 강화

Webmin 인증 시에 패스워드 입력 기시간 초과, 실패 횟수 등 보안설정

을 적용하도록 하여 Webmin 서버에 한 Password Brute Force 공격

을 막을 수 있다. [그림 12]와 같이 일정 횟수이상 패스워드를 잘못 입력하

면 해당 계정의 접속을 차단함으로써 보안을 강화할 수 있다.

바. 기타

구 등 웹 검색엔진은 검색 로봇 배제 기준을 따르고 있다. 로봇 배제 기준

은 로봇이 자신의 홈페이지 특정 부분을 가져가지 못하게 하는 것이다. 사용

방법은 검색엔진에서 피하고 싶은 설정을 robots.txt에 작성한 후 해당 파

일을 홈페이지의 루트 디렉토리에 저장하면 된다. 파일작성에 한 상세 내

용은 http://www. robotstxt.org/사이트를 참고하기 바란다.

robots.txt 프로토콜 또는 로봇 제외 표준이라고 불리는 이것은, 웹 스파이

더나 웹 로봇 등으로부터 웹사이트 전부 혹은 특정부분 접근을 제한한다.

robots.txt가 효력을 가지기 위해서는 URL의 최상위 공간에 위치해야 한다. 만

[[그그림림 1122]] WWeebbmmiinn 접접속속 횟횟수수 제제한한 설설정정


www.ncsc.go.kr 63

약 관리하는 웹사이트에 모든 접근을 허용할 시에는 간단히 robot.txt에 아무것

도 쓰지 않으면 된다. 본 robots.txt의 내부 기능은 다음과 같다.

● User-agent : 수집하는 주체의 범위를 정한다. *으로 설정할 경우 모

든 봇의 접근이 차단된다. ‘User-agent : *’와 같은 꼴로 사용한다.

● Allow : 뜻 그 로 허락할 디렉토리를 설정한다.

● Disallow : 검색을 불허할 홈페이지 디렉토리를 설정한다.

‘Disallow:’뒤에 아무것도 표시하지 않을 경우에도 모든 접근을 허락

하는 것이다. 만약 모든 디렉토리의 접근을 막고 싶다면‘Disallow: /’

와 같이 쓰면 된다.

User-agent: *

Disallow : /image/ <- 이미지 폴더 검색 금지로 설정하는 경우

[[그그림림 1133]] RRoobboottss..ttxxtt를를 이이용용한한 웹웹 검검색색엔엔진진으으로로 부부터터의의 접접속속 차차단단

결 론

금번 사고는 관리자가 웹서버를 종합 관리하는 Webmin 프로그램을 설치

하 으나 이에 한 적절한 보안관리 미흡으로 공격자에게 악용된 사고이

다. 따라서 위와 같은 사고를 예방하기 위해서는 위에서 언급한 조치사항

들을 참고해야하며, 향후 보안에 한 관리자의 지속적인 관심과 노력이

필요하다.

그리고 보안 관리자는 국가사이버안전센터 홈페이지를 수시 방문하여 최

신 사이버 위협정보를 입수하거나 국가사이버안전센터에서 발간한‘홈페

이지 보안관리 매뉴얼’등을 참조하여 해당 기관 홈페이지 보안점검을 철

저히 수행하는 등 적절한 보안 책을 강구하여야 할 것이다.

4


1. 응모 주제 분야

가. 정보보호 제도 및 정책 관련 기고

▶ 국내 정보보호 정책에 관한 제언

▶ 국내외 정보보호 관련 제도비교 및 향후 발전방향

▶ 해외 유사기관과의 비교를 통한 국가사이버안전센터의 발전방향 제시

나. 웜∙바이러스, 해킹 및 취약성 분석보고서

▶ 신종 웜∙바이러스 분석보고서 ▶ 신종 해킹, 취약점 및 응방법 ▶ 중요한 피해사례 및 피해현황

다. 기타 국가안보 차원의 사이버위협 관련 분석자료 등

2. 제출 형식 및 작성 방법

▶ 제출 형식은 자유 형식으로 작성하시되 발행되는‘Monthly 사이버시큐리티’를 참고하여 작성하여

주시기 바랍니다. ※ 홈페이지(www.ncsc.go.kr) → 보안정보 → 동향분석정보란 참조

▶ 제출한 분석보고서는 다른 곳에 발표가 되지 않은 독창성을 지녀야 합니다.

▶ 각종 인용자료 및 참고문헌을 밝혀주시고 자세한 설명은 각주를 이용하시기 바랍니다.

▶ 정책제언은 A4기준 5~10P 이내, 분석보고서는 15P 내외로 작성하여 주시고 1인당 응모편수는

제한이 없습니다.

3. 제출 방법 및 기타 사항

▶ 제출방법 : E-mail([email protected])

▶ 제출된 기고문 및 보고서는 반환하지 않으며 당선작은 소정의 원고료를 지급하고‘Monthly 사이버

시큐리티’책자에 게재됩니다.

▶ 당선된 자료를 추후에 다른 곳에 인용시는 반드시‘Monthly 사이버시큐리티’○○년 ○월호를

명시하여 주시기 바랍니다.

▶ 기타 문의사항은 국가사이버안전센터로 문의 바랍니다.

(E-mail : [email protected], 전화 : 02-3432-0462)

국가사이버안전센터는 건전한 사이버문화를 선도하고 향후 유비쿼터스 등

정보화 사회에서의 정보보호에 한 중요성을 제고하고자 정보보호 관련

국내외 제도 및 정책에 관한 제언, 웜∙바이러스 분석, 신종 해킹 및 응방

법 등 사이버공간의 안전과 관련된 각종 기고문 및 분석보고서를 공모하오

니 정보보호에 관심 있는 많은 분들의 적극적인 참여를 바랍니다.

MMoonntthhllyy 사이버 시큐리티 기고문 공모

본내용은국가사이버안전센터홈페이지에서열람가능합니다.

독자 여러분의의견을홈페이지에서받습니다.

본 내용과 관련된문의는아래로연락주시기바랍니다.

�홈페이지 : www.ncsc.go.kr, www.nis.go.kr(국정원)

� 표전화 : 02-3432-0462, (국번없이)111

�팩 스 : 02-3432-0463

�전자우편 : [email protected]

MMoonntthhllyy 사이버 시큐리티 2008년 1월호

�통권 제47호�

■발행일자 : 2008년 1월 10일

■발행기관 : 국가사이버안전센터

( 비매품 )

�

Documents

Monthly 사이버시큐리티cfs5.tistory.com/upload_control/download.blog?fhandle=...CYBER 특별기고 정보위험사회의통합적위험관리기술로의 정보보호패러다임변화