해킹바이러스 대응체계의

새로운전략

정현철 연구원

hcjung@{kisa. certcc} .or.kr

CERTCC-KRlKISA Korea CERT Coordination Center

→=그

한국정보보효센터 κOtM. InIonn.1on S.CUriIY ~

해킹 바이러스 사고의 변화

·자동화&지능화

- Automated scan & attack

- 광범위한 시스템/네트워크 침입 및 파괴

- Internet Worm의 증가

• ADMWorm

• Millenium Internet Worm

• etc.

•• .....

해킹 바이러스 사고의 변화

·대중화

- 해킹관련 정보의 손쉬운 취득

- 증가하는 정보시스텀

- 펀리한 사용자(7) 환경

- 해커 영웅시 풍조

- Windows Trojan 공 격 증 가 “ -

• BackOrifice, NetBus , DeepBO, ...

,“ ••

목 차

• 해킹 바이러스 사고의 변화

·국내의 대응체계 현실

• CERTCC-KR & Cyber118

• 대응체계의 새로운 전략

해킹 바이러스 사고의 변화

• 대규모&분산화

-450-

- 동시에 다수의 서버 공격

'ffi비tiple scan - mscan. sscan. velescan.

sscanew . ..

- 다수의 서버에서 욕표시스템/

네트워크공격

• DDOS - T끼n∞， TFN, TFN2K.

Stacheldraht, mstream . ...

해킹 바이러스 사고의 변화

• 범죄적인 성향

-전자상거래 환경에서의 금전적 이익

-기업 산업정보 노리는 해킹

- 정치적이고 무정부적인 Hackvisit 공격

-국가간 중요정보기반 공격

해킹 바이러스 사고의 변화 국내 대응체계 현실

·기업해킹 피해 즈 () 그

닙

·민터넷 기업 증가

·웹호스팅 업체 .IDC • CIAC 해킹경고에 대한 C그 E므 C나

I c) 1::::1

|업대학 .기업 口비영리 口연구소 .키타 |

- ‘99.11 , 미 에너지성의 CIAC에서 국내 179개 해킹

피해예상시스템 보고

- CERTCC-KR에서 국내 40개대학 159개시스템의

해킹 가능성 경고 및 분석의뢰

- 단 1 개 대학만이 결과 분석 후 홍보

국내 대응체계 현실 • Korea (again)

- 국내 모 대학에서의 국외 스캔 공력으로 일생

- 국외 유명 보안 forumOlI 서 한국 보안상태에 대한 1 개월여 동안의 토를

국내 대응체계 현실

• Korea (again)

-넷 힐‘· 최 . .i Will

;..:. '- ι

! ; : , ,. ’ 》버;:a

••• 01

내 월:: ’l ” ’i “ 11; n

‘ ”“’

흩팔z ... .. “-".‘'"" ‘ k “ . ;dt ..... _ .’~ ， - .• ’ .. " u ....

‘ i ‘ --

-외국인들의 반응 • 누구 Korea로부터 abuse report에 대한 답변 받은 사람 있나요? • 한국민들은 영어도 읽을줄 모르거U 아니면 보안에 전혀 신경올 쓰지 않거나 둘중에 하나다

Korea에 있는 시스템들이 솜쉬운 티켓이 되능것은 확싫 ðl 운제이다

• 그들이 답장을 하지 않을지 딪르지만 그들의 networ1<.OIl 관한 문제의 싱 각성을 알릴 필요가 있다‘

• 한국 를용| 교육기관이 전세계의 cracker들에게 사싫상 올려져 있다

•

국내 대응체계 현실

• Korea was the first target - ph33r the b33r라고 압힌 해커의 국내 흩메이지 연쇄 해킹

- 2000년 4월 30잃 이후 한딜여간 12개 국내 흥떼이지 연조

국내 대응체계 현실

.ISP들의 보안의식

- 국내 개인 PC 해킹사고에 대한 ISP들의 대응 미흘 • 2000년 5월 .40건의 사고에 대해 ISP에 처리의립하였으나

6건만용답

- 공격 호스트 보호=피해 호스트 방치

Why do we hack korean sites? Because, simp1y in 1ainmans terms

We are taking over the wor1d Korea was the fiπt target,

and we are still deciding on the next So far we hacked over 15+ korean sites,

still have a billion more korean shells Hence why we recruil

• ISP들의 문제점

-보안전당인력 부족

-보안의식 부족?

- 451-

APSIRC CERTCιKR JPCERT/CC ~ngCERT MyCERT CERT-PH CERCERT(Ch삐) CERT-’D(1r얘。.-1.) CERT-H에Hor、gK찌찌 CERT-1W(Trw.,,)

및 PC일반사항

해킹상담 :PC방관련

바이러스 : CIH 바이러스， LOVE바이러스등

문의

주요 해킹문제는 CERTCC-KR에서 처리 118 흑수번호 상담체계

118(서울 국번없이 118, 지방은 02-118) 온라인 자문상담체계

http://www.cyber118.or.kr cyber118@cyber118.or.kr

백오리피스관련등

5.27)

C그 -r 용해사고 접수 및 상당자문， 초등대융 홈해사고 분석 및 원격/현장 지원

힘해사고 예방 및 방지를 위한 상당자문

피해확산밤지를 위한 대국민 경보/훌보

유관기관 협력 처|계 운영

UK JANET.CERT. CCTA. Oefen‘. O.t. N.twork

Germ ... y DFN깅ERT. GISA

CfOltil. PoIand, NorduNet. ”‘ '1. F'r.,c., Nethert.,d, Spain, OK-“CERT, UniCERT EuroCERT

1.,.‘” Mia~Blt Viru. Cen‘-. Froo8S0

~

일반상당:바이러스관련

00 .4.24

- 24 Hours/365 Days

AT&T. B빼Cα. ， BCERT, C1RT, EOS, TRW. MCI. Spñnl, JP M<<g." W •• lin~ω”

CERT/CC. CIAC. NIST. ASSIST‘ AFCERT. NAVCERT, NASA, NCSA, Vet.r.,.…

Cyberl18

Cyberl18

OhlioU. Sten'ordU. PurdueU, MIT NorthwestemU, PenSt.t‘

·상담내용

g여신저 l.!... C그 i을 -,

갖1 ..，.‘^~ c.~ t::::I -r ζ:> c그

App~. 5un, 18M, 501. CISC。

DEC‘ HP, Tl5 , Slemens

•

• •

Mexico. C .. a<t.

。|C그

--

-

•

•

•

452--

쭈요국기정무기잉

겁 g엉/서이버얻힐후시이

국기정보윈l정보보인’ 19

전용회선(HoUine)

g보를잉‘~ I헝보보g축

이 겁lIt !l 1힘g터4시과

국민/민간기업톨

FIRST/APSIRC AVARlEICARIIPA

극앙부/정보를부

국무조정잉

홈페이지

서I 0 I 나

-

Center

R기1!! " @

주g 서잉

녁!I@서

~ " .‘ ••••••• ••

다| =-=

연락

작성， 기술몽사반， 교육

r >OOt‘ I :.,..i ' ) " !f션r센;υL !

테펀1;」

꽉L」 | iitr · s “ - “ ’ε ’‘

1“、 y‘ -‘ l

• Þ*~ ，.ι‘ .':' ~’ t ‘ 1 ‘ I ，J'.~ 끼 ‘ l. 'i~ ~:r'~‘* -

Korea CERT Coordination

·해킹바이러스상담센터

대 외 g a「반

상호

상담지원센터장

으 ( ]대

E르 M ‘..!- -, f

빼tI ~I 이 러

~억엉 "'-DB

":1't~‘ ，γ，、'/:':'.1:1.’:ot:~ .~

--3iιk;·3SJexcr: lιh'!1 ’ _ \4'11 11 r , &Yu ,,'!! U~따1>희l‘ !!~ i~’” 익‘M"

. ~ι‘""， .. ,'u enμ

.JIe’“ ‘Mr!.I !.V1.'.~;.，.!.ι， ‘

. 1!Hi 1l .J:r~ÎI\iM.~.’ i q!; ι씨 t~외U:!! ., Hf!I'죄‘)j J1 5%j8!S!1 1

t !Jrmqn. 1J !i; s;;얻.!J.. "'" !IMHi 1‘ '"‘~-“.~‘ 1 1fJ:l ' t ~I !.II 2“Ml'l ' 1I!

• M:R .f! ~. r.m.f!!(!f.~.'!M:.λ'.1!‘ .i.?J.l$..!.9

.~~Jt.~l!..，.’ι.~.~M.tIQl~~ .t ‘ ’

."!_l!I“=、 1_'.Tr! ‘”‘• • • t fl "l l!!!’ r’‘1'Il1'I~ '"' 11 '011 ! I’”!!l.‘” 잔;5;%r‘t"~얻o .. ~썩~~

긴급대옹 지원반

워」

지

구

보 「

다! == ^~ ιk t=I -r ,

CERTCC-KR

침해사고 예방

‘~~" ij 기걷〉 ~ 5!' I!H! @ 리 언eι

므호그 8""죠g껴e ι 1믿엉웃 i1l 61 ~ .• H! El 기Ð ~ a <<8 기톨

브서 '-'- .....,

상 당 접 수 반

닙~+ E르 .....,

칭해사고

침해사고

침해사고

Cyberl18

Cyberl18

권고문

운영현황

‘96년

g ‘ ..... ‘ .•

• • . ‘’ ‘ . • ’ , .

• , “ ‘ v .. , . ... . . ,. .

’ ‘ ,. .. " ’ •

•

•

g걱 ÃI ~ ， 얻정지

·운

-

훌￥ ag

&훌 였훌

•

대응체계의 새로운 전략

·보고체계 정립

- 각급 기관의 침해사고 보고 메일 계정 보유

- RFC 2142: MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS

MAILBOX AREA USAGE

pp_________ -----_P .. -._---

ABUSE Customer Relations lnappropriate public behaviour

SECURITY Network Security Security bulletins or queries

’

대응체계의 새로운 전략

• 중앙 모니터링

- 대규모 공격에 대한 신속한 탐지 및 대응 필요

- RTSD(Real-Time Scan Detector) 활용 예

• 2000. 5. 국내 A기업에서 대규모 스랜시도 탐지

• A기업 분석결과 국외해커의 해킹 경유지로 이용

• 국내 해킹 피해 예상 사이트 정보 보유

- 인터넷관련기업 등 99개 기관 104개 흥스트

- inetd 액 도 어 설 치 (2222, 1524 port)

- 유관기관공동대응

•

- 453-

대응체계의 새로운 전략

• 앙질의 정보제공

- 물고기를 잡아주지 알고 잡눈 법을 가르쳐라 .

• III 해 시스템판리자의 자체 분석 기술 양성

- CERTCC-KR의 해킹기법 및 방어기법의 심도있는 연

구 및 DB구축

- 해킹 바이러스 정보 교류

• 메일링리스트훌성화

• sec-info@certcc.or.kr

대응체계의 새로운 전략

·유관사업 -민간기술봉사단 구성 및 협력

-정보분석DB구축 및 공유

-대학전산보안 우수동아리 지원사업

-해킹방지전문가 육성을 위한 해킹대응 기술 훈련장구축사업

-사이버테러(해킹) 방J: I 기술개발 사업 • 취약점분석 및 침입시도 탐지기술 개발

• 서비스거부공격 대응기술 개발

• 사고대응 및 복구 기술 개발