05May 2007
인터넷침해사고 동향 및 분석 월보
1 20 10
� 본 보고서내 정부승인통계는 웜∙바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도,
기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 한 이해를 돕기 위하여 기술된 악성봇
감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다.
� 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처
[자료 : 한국정보보호진흥원 인터넷침해사고 응지원센터]를 명시하여 주시기 바랍니다.
Contents
월간 동향 요약. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
침해사고 통계 분석
1-1. 증감 추이(전년, 전월 비) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1-2. 침해사고 통계 요약 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1-3. 침해사고 통계 현황
�웜∙바이러스 신고건수 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
�주요 웜∙바이러스별 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1-4. 해킹
�해킹 사고 접수∙처리 건수 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
�피해 기관별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
�피해 운 체제별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
�피싱 경유지 신고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
�홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
�악성 봇(Bot) 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
허니넷/트래픽 분석
2-1. PC 생존시간 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2-2.허니넷 트래픽 분석
�전체 추이. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
�Top 3 국가별 공격유형 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
�해외 → 국내. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
�국내 → 국내. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2-3.국내 인터넷망 트래픽 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2-4.바이러스 월 탐지 웜∙바이러스 정보 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
월간특집
악성코드를 이용한 피싱 사례 분석. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Part 1
Part 2
Part 3
-Ⅰ-
<별첨> 악성코드 유포지/경유지 조기 탐지 및 차단 조치. . . . . . . . . . . . . . . . . . . . . . . . 30
<부록> 주요포트 별 서비스 및 관련 악성코드. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
<용어정리>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
표 차례
[표 1] 월간 침해사고 전체 통계. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
[표 2] 월별 국내 웜∙바이러스 신고 건수. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
[표 3] 주요 웜∙바이러스 신고현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
[표 4] 해킹사고 처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
[표 5] 해킹사고 피해 기관별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
[표 6] 해킹사고 피해 운 체제별 분류. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
[표 7] 피싱 경유지 신고 건수 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
[표 8] 홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
[표 9] 국내 악성 봇(Bot) 감염률 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
[표 11] Windows XP Pro SP1, Windows 2000 Pro SP4 생존가능시간 . . . . . . . . . . . . . . . . . . . . . . . . . 12
[표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
[표 13] 해외 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
[표 14] 국내 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
[표 15] 수집된 주요 웜∙바이러스 현황. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
그림 차례
(그림 1) 월별 침해사고 전체 통계 그래프 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
(그림 2) 월별 국내 웜∙바이러스 신고 건수 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
(그림 3) 해킹사고 접수∙처리 건수 유형별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
(그림 4) 해킹사고 피해 기관별 분류 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
(그림 5) 월별 피싱 경유지 신고건수. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
(그림 6) 월별 홈페이지 변조 사고처리 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
(그림 7) 월별 국내 악성 봇(Bot) 감염률 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
(그림 9) 악성봇 관련 포트 비율(해외) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
(그림 10) 악성봇 관련 포트 비율(국내) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
(그림 11) 월별 평균 생존 가능시간 변동 추이. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
(그림 12) Windows XP SP1 생존시간 분포 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
(그림 13) Windows 2000 SP4 생존시간 분포 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
(그림 14) 월별 허니넷 유입 트래픽 규모. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
(그림 16) 해외 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
(그림 17) 국내 → 국내(허니넷) 스캔탐지 현황 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
(그림 18) 국내 인터넷망에 유입된 포트트래픽 Top10 일별 추이 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
(그림 19) 국내 인터넷망에 유입된 공격유형 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
-Ⅱ-
[MS 보안업데이트]
2007년 5월 MS 월간
보안 업데이트 권고
o MS Office 제품 다수
(참고사이트 참조) - 최신 보안업데이트 설치
http://www.krcert.or.kr/
→ 보안정보 → 보안공지 →
‘[MS 보안업데이트] 2007년 5월
MS 월간 보안 업데이트 권고’
� 보안 공지사항에 한 보다 자세한 내용은 KISA 인터넷침해사고 응지원센터 홈페이지 보안 공지사항
(http://www.krcert.or.kr/ → 보안정보 → 보안공지) 에서 확인할 수 있습니다.
월간 동향 요약
인터넷 침해사고 동향 및 분석 월보1
□MS Excel, Word 및 MS Exchange(메일서버) 제품의 취약점에 한 보안패치가 발표 되었으므로
해당 제품사용자는 신속히 보안 업데이트를 실시하여 침해사고 피해 사전 예방필요
□웜∙바이러스 피해신고는 전월에 비하여 21.8% 감소
□해킹신고 처리는 전월 비 12.3% 감소 (피싱경유지, 기타해킹, 홈페이지변조는 각각 23.3%, 2.4%,
62.9% 증가, 스팸릴레이, 단순침입시도 는 각각 25.8%, 2.6% 감소)
□전 세계 Bot 감염 PC 비 국내 Bot 감염 PC 비율 10.8%로 전월 비 0.8%p 감소
□Windows XP SP1 : 36분46초 (전월 비 8분59초 증가↑↑)
□Windows 2000 SP4 : 40분23초 (전월 비 8분27초 증가↑↑)
제 목 향받는 제품/사용자 향력/예방 및 책 참고 사이트
핫 이슈
주요 취약점, 웜∙바이러스
통계 분석
PC 생존시간
구 분
웜∙바이러스
해킹신고처리
악성 봇(Bot)
�스팸릴레이
�피싱경유지
�단순침입시도
�기타해킹
�홈페이지 변조
통계 요약
총 309건 : 전월( 395건) 비 21.8% 감소
총 1,946건 : 전월(2,220건) 비 12.3% 감소
총 972건 : 전월(1,310건) 비 25.8% 감소
총 90건 : 전월( 73건) 비 23.3% 증가
총 522건 : 전월( 536건) 비 2.6% 감소
총 217건 : 전월( 212건) 비 2.4% 증가
총 145건 : 전월( 89건) 비 62.9% 증가
전 세계 Bot감염 추정PC 비 국내감염율은 10.8%로 전월(11.6%) 비 0.8%p 감소
[표 1] 월간 침해사고 전체 통계
구 분2006
총계
2007 2007
총계
웜∙바이러스
해킹신고처리
악성 봇(Bot)
7,789
26,808
14,055
1,266
3,711
4,570
3,206
12.5%
2,173
10,760
6,457
527
1,983
1,061
732
12.2%
518
2,158
1,225
90
327
229
287
13.7%
622
2,189
1,473
178
184
206
148
13.0%
329
2,247
1,477
96
414
197
63
11.9%
395
2,220
1,310
73
536
212
89
11.6%
309
1,946
972
90
522
217
145
10.8%
1 2 3 4 5 6 7 8 9 10 11 12
1-1. 증감 추이(전월 비)
1-2. 침해사고 통계 요약
32932993953
3093090
6111748
7397393
63 89989145145
11.91.10.80.
11.611
1,477
1,3101 3101
972729 7373
웜∙바이러스 신고 접수건수 스팸릴레이 신고 처리건수 피싱 경유지 신고 처리건수
단순침입시도+기타해킹신고 처리 홈페이지 변조사고 처리건수 악성 봇(Bot) 감염비율
1. 침해사고 통계분석
2 2007년 5월호
Part 2 Part 3Part 1 침해사고 통계분석
�스팸릴레이
�피싱경유지
�단순침입시도
�기타해킹
�홈페이지변조
(그림 1) 월별 침해사고 전체 통계 그래프
1,400
1.200
1,000
800
600
400
200
0
2,000
1,500
1,000
500
0
200
160
120
80
40
0
2,000
1,500
1,000
500
0
1,000
800
600
400
200
0
30%
20%
10%
0
[표 2] 월별 국내 웜∙바이러스 신고 건수
구 분2006
총계
2007 2007
총계
신고건수 7,789 2,173518 622 329 395 309
1 2 3 4 5 6 7 8 9 10 11 12
1-3. 침해사고 통계 현황
웜∙바이러스 신고건수 추이
인터넷 침해사고 동향 및 분석 월보3
www.krcert.or.kr
� 웜∙바이러스 신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가 공동으로 집계한 결과임
□’07년 5월에 국내 백신업체와 KISA에 신고된 웜∙바이러스 신고건수는 309건으로 전월(395건)에
비하여 21.8% 감소하 다.
- 5월에는 DOWNLOADER를 비롯하여 XEMA 등에 의한 피해가 비교적 고르게 분포되었던
지난달과 달리 NSANTI, XEMA에 의한 피해신고가 많았던 것으로 나타났다. NSANTI, XEMA
모두 자체 전파력이 없는 것으로 보아 보안이 취약한 웹사이트를 통하여 감염되어지는 것으로
보인다.
329329309
395
(그림 2) 월별 국내 웜∙바이러스 신고 건수
1,400
1,200
1,000
800
600
400
200
0
Part 2 Part 3Part 1 침해사고 통계분석
4 2007년 5월호
[표 3] 주요 웜∙바이러스 신고현황
순 위
2007
1
2
3
4
5
6
7
8
9
10
150
136
32
19
15
15
14
13
13
10
101
518
BAGLE
BAGZ
BANLOAD
DOWNLOADER
IRCBOT
VIKING
PARITE
XEMA
DELLBOY
LINEAGEHACK
기 타
합 계
73
64
45
44
27
26
17
15
14
13
284
622
AGENT
DOWNLOADER
XEMA
HUPIGON
LINEAGEHACK
KORGAMEHACK
QQPASS
GRAYBIRD
BAGLE
IRCBOT
기 타
31
22
16
16
13
11
11
10
9
8
182
329
IRCBOT
DOWNLOADER
XEMA
AGENT
VIKING
BAGLE
LINEAGEHACK
MATORYHACK
KORGAMEHACK
BO
기 타
28
26
24
18
18
16
12
10
7
6
230
395
DOWNLOADER
XEMA
KORGAMEHACK
EXPLOIT-ANI
LINEAGEHACK
AGENT
VIRUT
VIKING
ROOTKIT
BAGLE
기 타
51
33
17
17
14
14
13
12
8
8
122
309
NSANTI
XEMA
DOWNLOADER
KORGAMEHACK
VIRUT
EXPLOIT-ANI
VIRTUMONDE
IRCBOT
VIKING
LINEAGEHACK
기 타
1 2 3 4 5 6
주요 웜∙바이러스별 현황
□신고된 웜∙바이러스를 명칭별로 분류한 결과 지난달에 1위를 차지하 던 DOWNLOADER는
이번달에 피해신고가 감소하 으며, 자체 전파 기능 없이 주로 감염된 시스템으로부터 특정 정보를
유출하거나, 시스템을 악용하는 등에 이용되는 것으로 알려진 NSANTI가 1위를 차지하 다.
명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수
인터넷 침해사고 동향 및 분석 월보5
www.krcert.or.kr
1-4. 해킹
스팸릴레이
피싱경유지
단순침입시도
기타해킹
홈페이지변조
합계
14,055
1,266
3,711
4,570
3,206
26,808
1,225
90
327
229
287
2,158
1,473
178
184
206
148
2,189
1,477
96
414
197
63
2,247
1,310
73
536
212
89
2,220
972
90
522
217
145
1,946
6,457
527
1,983
1,061
732
10,760
� 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고 응기관이나 위장사이트의 상이 된 기관 또는 업체, 일반사용자로부터 신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수
� 단순침입시도 : KISA에서 접수∙처리한 해킹사고 중 웜∙바이러스 등으로 유발된 스캔(침입시도)을 피해자(관련기관)가 신고한 건수
� 기타해킹 : KISA에서 접수∙처리한 해킹사고 중 스팸릴레이, 피싱 경유지, 단순침입시도를 제외한 나머지 건수
구 분2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
[표 4] 해킹사고 처리 현황
해킹 사고 접수∙처리 건수 추이
(그림 3) 해킹사고 접수∙처리 건수 유형별 분류
□’07.5월 KISA에서 처리한 해킹사고는 1,946건으로 전월(2,220건) 비 12.3% 감소 하 다.
- 해킹사고 항목별로 전월 비 증감을 파악한 결과, 스팸릴레이, 단순침입시도는 각각 25.8%,
2.6% 감소하 으며, 피싱경유지, 홈페이지변조, 기타해킹은 각각 23.3%, 62.9%, 2.4% 증가한
것으로 나타났다.
- 항목별로 차지하는 비율은 스팸릴레이(49.9%)가 가장 많았으며, 다음으로 단순침입시도(26.8%),
기타해킹(11.2%) 순이었다.
49.9%
4.6%
26.8%
11.2%
7.5%
□ 스팸릴레이
■ 피싱경유지
■ 단순침입시도
■ 기타해킹
■ 홈페이지 변조
Part 2 Part 3Part 1 침해사고 통계분석
개인76.8%
기업14.3% 학
7.1% 네트워크 0.6%
비 리 1.1%
6 2007년 5월호
피해 기관별 분류
기업
학
비 리
연구소
네트워크
기타(개인)
합계
[표 5] 해킹사고 피해 기관별 분류
3,689
1,094
714
16
307
20,988
26,808
435
95
46
1
27
1,554
2,158
241
75
33
0
11
1,829
2,189
188
173
23
1
7
1,855
2,247
277
161
12
0
7
1,763
2,220
278
139
22
0
12
1,495
1,946
1,419
643
136
2
64
8,496
10,760
� 기관 분류기준 : 기업(co, com), 학(ac), 비 리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 또는 ISP에서 제공하는 유동 IP 사용자)
□해킹사고를 피해 기관별 분류한 결과, 기타
(개인), 기업, 학, 비 리의순으로나타났다.
전월과 마찬가지로 기타(개인)으로 분류된
경우가76.8%로가장많았는데, 침해사고관련
IP가 주로 ISP에서 제공하는 유동 IP(주로
개인용 컴퓨터)인 경우에 기타(개인)으로
분류하 다.
기 관2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
(그림 4) 해킹사고 피해 기관별 분류
피해 운 체제별 분류
[표 6] 해킹사고 피해 운 체제별 분류
� 운 체제별 분류 자료는 각 운 체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임
□해킹사고 처리결과를 운 체제별로 분류한 결과는 전월과 마찬가지로 Windows, Linux 운 체제
순이었다. Windows 운 체제가 차지하는 비율은 전월과 마찬가지로 89.4%로 가장 많았다.
Windows
Linux
Unix
기타
합계
22,193
3,616
48
951
26,808
1,868
200
0
90
2,158
1,980
148
2
59
2,189
2,108
90
1
48
2,247
2,053
123
1
43
2,220
1,739
162
3
42
1,946
9,748
723
7
282
10,760
운 체제2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
96
7373
인터넷 침해사고 동향 및 분석 월보7
www.krcert.or.kr
피싱 경유지 신고처리 현황
� 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고 응기관이나 위장사이트의 상이 된 기관 또는 업체, 일반사용자로부터 신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임
□이번달 피싱 경유지 신고건수는 총 90건으로, 전월(73건) 비 17건이 증가하 다.
□피싱 상기관 유형별로는 여전히 금융기관이 68.9%로 가장 큰 비중을 차지하 고, 전자상거래
31.1%로 나타났다. 기관별로는 전자상거래 업체인 eBay(28건)가 가장 많았고 PayPal(23건),
BB&T(4건) 등의 순으로 집계되었다.
기 관
금융기관
전자상거래
기타
합계
건 수
62
28
0
90
(그림 5) 월별 피싱 경유지 신고건수
[표 7] 피싱 경유지 신고 건수
구 분2006
총계
2007 2007
총계피싱경유지신고건수 1,266 52790 178
1 2 3 4 5 6 7 8 9 10 11 12
금융기관
68.9%
전자상거래31.1%
기타 0.0%
200
160
120
80
40
0
96 73 90
□ 금융
■ 전자상거래
■ 기타
□국내 피싱 경유지 사이트의 기관유형별로는 기업 33건(36.7%), 교육 10건(11.1%), 비 리 4건
(4.4%), 개인/기타 1건(1.1%) 순으로 집계되었다. 홈페이지가 없거나 Whois 정보에 ISP 관리 역만
조회되는 경우에 해당되는‘ISP서비스이용자’유형은 42건(46.7%)으로 나타났다.
ISP 서비스이용자46.7%
기업36.7%
교육11.1%
비 리4.4%
개인/기타1.1%
Part 2 Part 3Part 1 침해사고 통계분석
8 2007년 5월호
건 수
33
10
4
1
42
90
□피싱 상기관및신고건수를국가별로분류한결과, 총7개국25개기관으로집계되었다.
소속국가별로는미국이18개(72.2%)기관, 신고건수78건(86.7%)을차지하여, 이달에도전월과동일하게
국내신고건의 부분이미국과관련되었음을알수있다.
□피싱 경유지 시스템에서 이용된 포트는 이달에도 표준 HTTP포트인 80포트를 이용한 경우가 81건
(90.0%)으로 가장 많았고, 84포트 6건(6.7%)으로 그 뒤를 이었다. 그밖에 기타 포트로 87, 2121,
8080 포트가 각각 1건씩 이용된 것으로 나타났다.
구 분
미국
스페인
이탈리아
브라질
국
캐나다
호주
총 7개국
기관 분류
금융기관
전자상거래
기타
금융기관
“
“
“
“
“
-
기관수
17
1
-
2
1
1
1
1
1
25
50
28
-
2
4
3
1
1
1
90
신고건수
78
기관유형
기업
교육
비 리
개인/기타
ISP서비스이용자
합계
건 수
81
6
1
1
1
90
포 트
80
84
87
2121
8080
합계
80 포트90.0%
84 포트6.7%
기타 3.3%
□ 80 포트
■ 84 포트
■ 기타
□ 기업
■ 교육
■ 비 리
■ 개인/기타
■ ISP서비스이용자
인터넷 침해사고 동향 및 분석 월보9
www.krcert.or.kr
홈페이지 변조 사고처리 현황
� 참고 사이트�웹 어플리케이션 보안템플릿 : http://www.krcert.or.kr 초기화면 → 왼쪽‘웹어플리케이션보안템플릿’�홈페이지 개발 보안 가이드 : http://www.krcert.or.kr 초기화면 → 왼쪽‘홈페이지 개발 보안 가이드’�ModSecurity를이용한아파치웹서버보안 : http://www.krcert.or.kr →보안정보→기술문서→‘ModSecurity를이용한아파치웹서버보안’�WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr → 보안정보 → 기술문서 →‘WebKnight를 이용한 SQL
Injection 공격 차단’
□이번 달에는 45개 시스템(IP)의 145개 사이트(도메인)에 한 홈페이지 변조가 발생하여 피해
시스템 수는 전월(29개) 비 55.2% 증가하 으며, 피해홈페이지 수는 전월(89개) 비 62.9%
증가한 것으로 나타났다.
- 이번달에는 특히 낮은 버전의 리눅스 플랫폼에서 아파치 웹서버(1.3.x)로 구동되며, 하나의 시스템
에서 다수의 홈페이지를 운 하는 웹 호스팅 서버의 피해가 발생하여 전월에 비하여 홈페이지
변조피해가 증가한 것으로 나타났다.
- 이처럼낮은버전의웹서버를운 하는업체(기관)의웹서버관리자는빠른시일내에좀더보안성이
강화된 최신버전의 웹서버로 업그레이드함으로써 홈페이지 변조 및 악성코드 은닉 등 추가 침해
사고 피해를 예방하여야 하겠다.
6389
145
4537 29
(그림 6) 월별 홈페이지 변조 사고처리 현황
[표 8] 홈페이지 변조 사고처리 현황
구 분2006
총계
2007 2007
총계
피해홈페이지 수
피해시스템 수
3,206
1,047
732
286
287
95
148
80
63
37
89
29
145
45
1 2 3 4 5 6 7 8 9 10 11 12
� 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 IP에 수십~수백개의 홈페이지를 운 하는 경우도 있으므로 피해홈페이지 수는피해시스템 수 보다 많을 수 있음
500
400
300
200
100
0
Part 2 Part 3Part 1 침해사고 통계분석
10 2007년 5월호
31
(그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교
[표 9] 국내 악성 봇(Bot) 감염률
구 분2006
평균
2007 2007
평균
국내 비율 12.5% 12.2%13.7% 13.0% 11.9% 11.6% 10.8%
1 2 3 4 5 6 7 8 9 10 11 12
악성 봇(Bot) 현황
� 전 세계 Bot 감염 추정 PC 중 국내 Bot 감염 PC가 차지하는 비율임� 봇(Bot) : 운 체제 취약점, 비 번호 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 명령 전달사이트와의 백도어 연결 등을 통하여
스팸메일 전송이나 DDoS 공격에 악용 가능한 프로그램 또는 실행가능한 코드
11.9%11.9%
11.6%
10.8%
(그림 7) 월별 국내 악성 봇(Bot) 감염률 추이
25%
20%
15%
10%
5%
0
100,000
80,000
60,000
40,000
20,000
0
13.7%
10.8%
5.4%
32.6%11.8%
25.8% 16.3%
11.0%
7.0%
27.5%
15.3%
23.0%
인터넷 침해사고 동향 및 분석 월보11
www.krcert.or.kr
□전 세계 Bot 감염추정 PC 중에서 국내 감염 PC 비율은 10.8%로 지난달에 비해 0.8%p 감소하 다.
지난달에 비하여 TCP/2967 포트 트래픽이 국외/국내 모두 감소하 으며, 국내의 경우 TCP/445
포트 트래픽이 많지 않아 Bot 감염률이 소폭 감소하 다.
- Bot의 전파에 사용되는 주요 포트는 NetBIOS 관련 포트인 TCP/445, TCP/139 와 웹 관련
TCP/80 포트, Symantec 보안제품의 취약점 관련 포트인 TCP/2967 포트, MS-SQL 관련
포트인 TCP/1433 순이다. 지난달에 가장 많은 트래픽양을 보 던 TCP/2967 포트 트래픽의
비율은 지난달에 비해 절반 이하로 감소하 다. (그림 9)
[표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록
(그림 9) 악성봇 관련 포트 비율(해외) (그림 10) 악성봇 관련 포트 비율(국내)
포 트
23
80
135
139
143
445
903
1025
1433
관련 취약점 및 웜/악성 Bot
Cisco Telnet
WebDAV, ASN.1-HTTP, Cisco HTTP
DCOM, DCOM2
NetBIOS, ASN.1-NT
IMail
NetBIOS, LSASS, WksSvc, ASN.1-SMB, DCOM
NetDevil
DCOM
MS-SQL
포 트
2967
2745
3127
3140
5000
6101
6129
17300
27347
관련 취약점 및 웜/악성 Bot
Symantec Exploit
Bagle, Bagle2
MyDoom
Optix
UPNP
Veritas Backup Exec
Dameware
Kuang2
Sub7
� 전월 악성 Bot Top5 포트 : TCP/2967, TCP/445, TCP/80, TCP/139, TCP/1433
■ TCP/2967
■ TCP/1433
■ 기타
□ TCP/445
■ TCP/80
■ TCP/139
■ TCP/1433
■ TCP/2967
■ 기타
□ TCP/139
■ TCP/80
■ TCP/135
2. 허니넷/트래픽 분석
12 2007년 5월호
[표 11] Windows XP Pro SP1, Windows 2000 Pro SP4 생존가능시간
구 분2007
WindowsXP SP1
1
� 생존시간의 측정은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 Windows XP SP1과Windows 2000 SP4 2개군으로 분류하여 1000 여회를 실시하 다.
� WinXP SP2는 개인방화벽이 기본으로 설치되므로 웜 감염피해를 상당부분 예방할 수 있음� 생존가능시간 : 취약한 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간
□5월 평균생존가능 시간은 Windows XP SP1는 36분46초, Windows 2000 SP4는 40분23초로 측정
되었다. 전월에 비하여 Windows XP SP1는 8분 59초, Windows 2000 SP4는 8분 27초 증가하 다.
아래의그래프변화추이에서보이는바와같이생존시간은1월이후전반적으로상승하고있으며, 이번달
또한 전월에 비하여 생존시간이 크게 증가하 다. 이러한 추이를 미루어 국내에서 네트워크 서비스
취약점을 이용하는 자동 웜의 전파활동이 1월 이후 감소하는 경향을 보이고 있는 것으로 추정된다.
생존시간이 증가하는 추이를 보이고 있지만 사용자가 패치를 적용하지 않고 인터넷을 사용할 경우,
매우 짧은 시간 내에 웜에 감염되게 되므로 인터넷 사용 시에는 반드시 OS를 최신으로 업데이트 하고
추측하기 어려운 윈도우 암호를 설정 및 백신을 설치하여 악성코드 감염을 예방하도록 해야하겠다.
(그림 11) 월별 평균 생존 가능시간 변동 추이
2-1. PC 생존시간 분석
최장
최단
평균
Windows2000 SP4
최장
최단
평균
217’08”
5”
15’19”
317’20”
5”
19’50”
2
418’25”
4”
16’47”
363’41”
8”
21’32”
365’13”
4”
26’45”
454’03”
11”
32’47”
365’54”
4”
27’47”
261’59”
5”
31’56”
524’29”
4”
36’46”
593’55”
7”
40’23”
3 4 5 6 7 8 9 10 11 12
60min
50min
40min
30min
20min
10min
0
Part 3Part 1 Part 2 허니넷/트래픽 분석
인터넷 침해사고 동향 및 분석 월보13
(그림 12) Windows XP SP1 생존시간분포분석
(그림 13) Windows 2000 SP4 생존시간분포분석
2.000
1,500
1,000
500
0 5 10 15 20 25Day
Min
2.000
1,500
1,000
500
0 5 10 15 20 25Day
Min
www.krcert.or.kr
14 2007년 5월호
�허니넷에유입되는트래픽은웜∙바이러스, 악성 봇 등에 의한 감염 시도 트래픽(취약점 스캔)이 가장 많으며이러한 악성코드의네트워크스캔은유효한 네크워크에 한 접근효율을 높이기 위하여, 1차적으로 감염된 시스템의 IP주소의 A, B클래스를 고정하고 C또는 D클래스 주소를변경하면서 스캔하는 경우가 부분이기 때문에 일반적으로 자국에서 유발된 유해트래픽이 해외에서 유입된 트래픽보다 많음
�KISC - Korea Internet Security Center, KISA (인터넷침해사고 응지원센터)
□이번 달 KISC1) 허니넷에 유입된 전체 유해 트래픽은 약 1,100만건으로 전월과 비슷한 수준을 유지
하 다. IP 소재별로 분류한 결과 국내 소재 IP로부터 유발된 트래픽은 전체의 38.5% 으며, 해외
소재 IP로 부터의 트래픽은 61.5%로 차지한 것으로 나타났다.
� 참고 : 허니넷으로 유입되는 트래픽은 초당 수백 건 이상이 될 수 있으므로 구체적인 건수는 큰 의미가 없으며, 국내외 비율 및 월별증감을 참고하기 바람
2-2. 허니넷 트래픽 분석
전체 추이
(그림 14) 월별 허니넷 유입 트래픽 규모
1,500 만
1,200 만
900 만
600 만
300 만
0
Part 3Part 1 Part 2 허니넷/트래픽 분석
인터넷 침해사고 동향 및 분석 월보15
□허니넷에유입된트래픽의근원지IP소재국가별로분석한결과전월과동일하게중국으로부터유입된
트래픽이 가장 많았으며, 다음으로 미국, 일본 순이었다. 국가별 가장 많이 이용된 포트도 전월과 동일
하여중국발트래픽은전월과마찬가지로TCP/22 포트에 한서비스스캔(포트스캔)이가장많았으며,
미국발 트래픽은 UDP/135 Service Scan이 가장 많았고, 일본발 트래픽은 Nmap과 같은 네트워크
스캐너도구에의한포트스캔이가장많았던것으로나타났다.
Top 3 국가별 공격 유형
(그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형
[표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율
순 위
2007
1
2
3
4
5
6
7
8
9
10
39.5
28.5
5.5
3.8
3.2
2.7
1.5
1.5
1.2
1.0
11.6
중국
미국
일본
유럽연합
만
독일
체코공화국
국
홍콩
이탈리아
기타
47.3
16.6
5.6
2.9
2.6
2.4
2.2
2.1
2.0
1.4
14.9
중국
미국
일본
만
유럽연합
베니수엘라
독일
인도
불가리아
호주
기타
45.5
22.3
4.9
3.5
2.1
1.9
1.8
1.7
1.7
1.3
13.5
중국
미국
일본
유럽연합
만
홍콩
루마니아
국
독일
이탈리아
기타
52.2
18.0
6.6
3.9
3.5
1.7
1.6
1.2
0.9
0.7
9.6
중국
미국
만
일본
홍콩
독일
유럽연합
아일랜드
인도
국
기타
49.4
21.2
3.4
3.4
2.5
2.1
1.9
1.9
1.9
1.5
10.9
중국
미국
일본
국
만
러시아
홍콩
독일
유럽연합
인도
기타
1 2 3 4 5 6
국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%)
CHINA
JAPAN
USA
27%
22%
29%
18%
45%
34%
41%27%
16%13%
3%
6%5%
10%
4%
□ TCP/22-tcp service scan
■ TCP/8080-tcp service scan
■ TCP/1433-tcp service scan
■ TCP/4899-tcp service scan
■ 기타
□ ICMP-icmp ping Nmap scan
■ TCP/22-tcp service scan
■ TCP/139-tcp service scan
■ TCP/445-tcp service scan
■ 기타
□ UDP/135-udp service scan
■ ICMP-icmp ping Nmap scan
■ TCP/22-tcp service scan
■ TCP/1433-tcp service scan
■ 기타
www.krcert.or.kr
16 2007년 5월호
□해외로부터 KISC 허니넷에 유입된 트래픽을 국가 구분 없이 포트/공격(스캔)유형별로 분석한 결과
전월과 마찬가지로 TCP/22번 서비스 스캔이 가장 많았으며, 주로 웹 프락시로 이용되는
TCP/8080 포트에 한 스캔이 그 다음으로 많았다.
해외 → 국내
[표 13] 해외 → 국내(허니넷) 스캔탐지 현황
순 위1월 2월 3월
1
2
3
4
5
6
7
8
9
10
ICMP
TCP/22
TCP/1433
ICMP
TCP/42
ICMP
TCP/4899
TCP/8080
TCP/2967
UDP/135
기타
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
udp service scan
icmp ping AdvancedIP Scanner v1.4
icmp pingSuperscan4 scan
30.5
18.8
12.3
7.0
3.9
3.5
3.1
2.7
2.3
2.3
13.5
공격유형프로토콜 /포트번호
TCP/22
ICMP
TCP/1433
TCP/42
ICMP
TCP/4899
ICMP
TCP/139
TCP/8080
TCP/10000
기타
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
icmp ping AdvancedIP Scanner v1.4
icmp ping AdvancedIP Scanner v1.4
icmp pingSuperscan4 scan
27.3
21.9
16.1
6.8
4.8
3.0
2.8
2.2
2.1
2.0
11.0
TCP/22
ICMP
TCP/1433
TCP/42
TCP/8080
UDP/135
ICMP
TCP/4899
TCP/445
TCP/80
기타
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
udp service scan
tcp service scan
tcp service scan
tcp service scan
26.7
20.8
11.7
4.6
4.4
4.3
3.9
3.9
2.4
2.2
15.2
공격유형프로토콜 /포트번호 공격유형프로토콜/
포트번호비율(%) 비율(%) 비율(%)
순 위4월 5월 6월
1
2
3
4
5
6
7
8
9
10
TCP/22
ICMP
ICMP
TCP/8080
TCP/1433
UDP/135
TCP/4899
TCP/139
TCP/445
TCP/7212
기타
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
udp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
ping AdvancedIP Scanner
21.5
13.9
11.8
11.1
9.3
5.1
3.5
2.1
2.1
1.8
17.8
TCP/22
TCP/8080
ICMP
TCP/1433
UDP/135
ICMP
TCP/4899
TCP/139
TCP/10000
TCP/2967
기타
tcp service scan
tcp service scan
icmp ping Nmap scan
tcp service scan
udp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
24.6
11.5
10.8
10.4
8.7
4.0
3.2
2.5
1.8
1.7
20.9
공격유형프로토콜 /포트번호 공격유형프로토콜 /
포트번호 공격유형프로토콜/포트번호
비율(%) 비율(%) 비율(%)
Part 3Part 1 Part 2 허니넷/트래픽 분석
icmp ping AdvancedIP Scanner v1.4
인터넷 침해사고 동향 및 분석 월보17
(그림 16) 해외 → 국내 (허니넷) 스캔탐지 현황
10.8%10.4%
42.7%
24.6%
11.5%
■ TCP/1433-tcp service scan
■기타
□ TCP/22-tcp service scan
■ TCP/8080-tcp service scan
■ ICMP-icmp ping Nmap scan
www.krcert.or.kr
18 2007년 5월호
Part 3Part 1 Part 2 허니넷/트래픽 분석
□국내에서 KISC 허니넷에 유입된 트래픽을 포트/공격(스캔)유형별로 분석한 결과 전월과 동일하게,
TCP/135 스캔이 가장 많았으며, TCP/1433, TCP/445 포트스캔이 비율은 낮으나 그 다음으로
많았다. 3개 포트 모두 Bot 전파에 이용되는 포트로 악성 봇 감염을 위한 스캔 트래픽으로 보인다.
국내 → 국내
[표 14] 국내 → 국내(허니넷) 스캔탐지 현황
순 위1월 2월 3월
1
2
3
4
5
6
7
8
9
10
TCP/135
TCP/1433
TCP/139
ICMP
TCP/445
TCP/22
TCP/2967
TCP/5900
UDP/500
TCP/8080
기타
tcp service scan
tcp service scan
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
udp service scan
tcp service scan
43.7
13.1
12.7
9.9
5.9
3.4
3.2
0.9
0.7
0.6
6.1
공격유형프로토콜 /포트번호
TCP/135
TCP/139
TCP/1433
ICMP
TCP/445
TCP/22
TCP/1434
TCP/2967
TCP/5900
TCP/8080
기타
tcp service scan
tcp service scan
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
worm slammer
tcp service scan
tcp service scan
tcp service scan
46.3
15.0
13.3
7.9
5.4
3.5
1.5
0.9
0.6
0.6
5.0
TCP/135
TCP/1433
TCP/139
ICMP
TCP/445
TCP/22
TCP/2967
TCP/4899
TCP/5900
TCP/8080
기타
tcp service scan
tcp service scan
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
36.7
24.2
17.4
6.8
5.4
2.4
1.3
1.0
0.9
0.5
3.4
공격유형 비율(%)프로토콜 /포트번호 공격유형 비율프로토콜/
포트번호비율(%)
순 위4월 5월 6월
1
2
3
4
5
6
7
8
9
10
TCP/135
TCP/139
TCP/1433
TCP/445
ICMP
TCP/22
TCP/8080
TCP/111
TCP/4899
TCP/5900
기타
tcp service scan
tcp service scan
tcp service scan
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp flag syn/fin
tcp service scan
tcp service scan
57.5
8.3
7.8
7.5
5.0
4.4
1.5
1.3
1.1
0.9
4.8
TCP/135
TCP/1433
TCP/445
TCP/139
TCP/22
ICMP
TCP/5900
TCP/4899
TCP/3389
TCP/2967
기타
tcp service scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
icmp ping Nmap scan
tcp service scan
tcp service scan
tcp service scan
tcp service scan
66.0
7.3
4.8
3.7
3.4
2.9
1.7
1.3
1.3
1.1
6.5
공격유형프로토콜 /포트번호 공격유형 비율(%)프로토콜 /
포트번호 공격유형 비율프로토콜/포트번호
비율(%)
인터넷 침해사고 동향 및 분석 월보19
www.krcert.or.krwww.krcert.or.kr
(그림 17) 국내 → 국내 (허니넷) 스캔탐지 현황
4.8%
3.7%
18.2%
66.0%7.3%
■ TCP/139-tcp service scan
■ 기타
□ TCP/135-tcp service scan
■ TCP/1433-tcp service scan
■ TCP/445-tcp service scan
20 2007년 5월호
□국내 ISP의 일부구간(국내 인터넷망)에서 수집된 트래픽의 Top10 포트의 추이를 파악한 결과,
이미 잘 알려진 TCP/80(HTTP), TCP/25(메일)외에도 TCP/19101(특정 웹 하드 서비스),
TCP/554(스트리밍 서비스) 포트 트래픽 등이 많이 관찰되었다.
2-3. 국내 인터넷망 트래픽 분석
(그림 18) 국내 인터넷망에 유입된 포트트래픽 Top10 일별 추이
□이번 달 국내 ISP의 일부구간에서 수집된 공격유형을 분석한 결과 TCP SYN Flooding과 UDP
Flooding과 같은 DDoS 공격트래픽이 가장 많이 탐지되었다.
(그림 19) 국내 인터넷망에 유입된 공격유형
▲ TCP/80 ▲ TCP/25 ▲ TCP/19101 ▲ TCP/4662 ▲ TCP/554
▲ UDP/53 ▲ TCP/1606 ▲ TCP/4703 ▲ TCP/443 ▲ TCP/2522
ISP업계 : 프로토콜 / 포트 추이
ISP업계 : 공격 추이
시간
시간
PPS3,600,000
3,300,000
3,000,000
2,700,000
2,400,000
2,100,000
1,800,000
1,500,000
1,200,000
900,000
600,000
300,000
0
시도건수
2,400,000
2,200,000
2,000,000
1,800,000
1,600,000
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
07
/05
/01
07
/05
/02
07
/05
/03
07
/05
/04
07
/05
/05
07
/05
/06
07
/05
/07
07
/05
/08
07
/05
/09
07
/05
/10
07
/05
/11
07
/05
/12
07
/05
/13
07
/05
/14
07
/05
/15
07
/05
/16
07
/05
/17
07
/05
/18
07
/05
/19
07
/05
/20
07
/05
/21
07
/05
/22
07
/05
/23
07
/05
/24
07
/05
/25
07
/05
/26
07
/05
/27
07
/05
/28
07
/05
/29
07
/05
/30
07
/05
/31
07
/05
/01
07
/05
/02
07
/05
/03
07
/05
/04
07
/05
/05
07
/05
/06
07
/05
/07
07
/05
/08
07
/05
/09
07
/05
/10
07
/05
/11
07
/05
/12
07
/05
/13
07
/05
/14
07
/05
/15
07
/05
/16
07
/05
/17
07
/05
/18
07
/05
/19
07
/05
/20
07
/05
/21
07
/05
/22
07
/05
/23
07
/05
/24
07
/05
/25
07
/05
/26
07
/05
/27
07
/05
/28
07
/05
/29
07
/05
/30
07
/05
/31
▲ TCP ACK Flooding ▲ TCP SYN Flooding (DDo... ▲ UDP Flooding
▲ TCP SYN Flooding ▲ NETBIOS Service swee...
Part 3Part 1 Part 2 허니넷/트래픽 분석
인터넷 침해사고 동향 및 분석 월보21
□KISA 및2개기관/업체의바이러스월을통하여수집된웜∙바이러스를파악한결과전체건수는전월과
비슷하 으며, 웹사이트등을통하여1차감염된후웜∙바이러스, 트로이잔등악성코드본체를추가로
다운로드 받는 DOWNLOADER가 가장 많았던 것으로 나타났다.
2-4. 바이러스 월 탐지 웜∙바이러스 정보
[표 15] 수집된 주요 웜∙바이러스 현황
순 위
2007
1
2
3
4
5
6
7
8
9
10
합 계
197,235
142,634
71,417
66,175
58,001
51,208
30,129
30,117
26,618
25,084
445,205
1,143,823
NOTIFIER
PWS
LINEAGE
HLLW
MULDROP
HLLM
PARITE
CLICK
STARTER
기 타
DOWNLOADER
DOWNLOADER 92,238
36,260
30,491
28,394
24,774
22,942
17,439
16,949
16,363
15,304
237,532
538,686
HLLW
PWS
MULDROP
LINEAGE
CASHPACK
PROXY
CLICK
HLLM
PARITE
기 타
DOWNLOADER 69,552
43,434
41,618
38,115
31,731
26,760
26,077
25,959
19,978
15,666
257,708
596,598
HLLW
PWS
LINEAGE
PROXY
HLLM
CASHPACK
NOBRAIN
CLICK
PARITE
기 타
DOWNLOADER
DOWNLOADER 154,529
45,536
35,676
35,312
35,065
29,585
25,669
25,198
20,739
17,900
234,998
660,207
HLLM
VIRUT
LINEAGE
PWS
HLLW
PROXY
CASHPACK
ANIFILE
NOBRAIN
기 타
144,382
39,035
38,241
36,708
35,963
27,509
22,641
20,884
14,853
13,445
225,100
618,761
PWS
HLLM
VIRUT
LINEAGE
HLLW
PROXY
CASHPACK
ANIFILE
NOBRAIN
기 타
1 2 3 4 5 6
명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수
www.krcert.or.kr
이번 달에는 브라질의 특정 은행 사이트를 상으로 악성코드 이용한 피싱시도가 발생하여 피해 사례를 분
석하 다. 악의적인 공격자는 피싱에 이용할 악성코드를 감염시키기 위하여 MDAC취약점을 이용하 으며,
해당 악성코드에 감염 시 가짜 인증정보 입력화면을 띄워 사용자입력을 유도한 후 입력된 정보들은 메일을
통하여 유출하 다. 해외에서 발생한 피해 지만 국내에서 동일한 유형의 피해가 발생할 위험성이 있으므로
주의할 필요가 있다. 이러한 피해를 방지하기 위해서는 윈도우즈 패치를 정기적으로 수행하고, 이메일이나
게시판에 링크된 의심스러운 URL클릭을 가급적 피해야겠다. 또한 개인정보를 입력하기 전에 평소에 접하던
은행 사이트의 화면 구성이 다르지 않은지 주의 깊게 살펴볼 필요가 있다.
22 2007년 5월호
(그림) 공격 과정
1. 개요
3. 악성코드를 이용한 피싱 사례 분석
� 공격과정 개요
공격자는 가짜 피싱 사이트를 구성 후 동적 스크립팅을 지원하는 게시판을 통하여 가짜사이트 URL 클릭을
유도하 다. 접속 시, 사용자PC에 MDAC 취약점이 존재할 경우 악성코드에 감염되며, 감염된 악성코드에
의하여 IE의 URL창이 감시된다. 사용자 접속URL이 특정 브라질 은행사이트의 인터넷뱅킹 페이지일 때,
가짜 인증번호 입력 플래쉬 화면을 사용자에게 출력한다. 사용자가 정보를 입력할 경우, 해당 정보들은
공격자에게 메일로 발송된다.
2. 공격 과정
Part 1 Part 2 Part 3 월간특집
� MDAC (MS06-014)취약점 : Microsoft Data Access Component의 약자로 DataSpace ActiveX 컨트롤을 생성 및 초기화하는 과정에서보안 옵션을 설정하지 않는 점을 악용해 특정 프로그램을 실행시키는 취약점임.
감염 경로
다운로드 방법
다운로드 되는 파일
피싱공격 파일
피싱공격 방법
인증정보 전송 방법
동적 스크립팅을 지원하는 게시판, URL을 링크하는 메일
MDAC취약점 이용
loader.exe: Amor.exe
Amor.exe
플래시 형태의 인증번호 입력 창이 해당 싸이트 위로 겹쳐서 뜸
플래시의 OK아이콘 클릭 시 메일로 인증정보를 메일로 전송
공격자는 가짜피싱 사이트 구성
동적 스크립팅을 지원하는게시판을 통해 가짜 사이트
URL 클릭 유도
가짜 사이트에 입력한인증정보를 공격자에게전송 후 악성코드 전파
악성코드는 사용자가이용중인 익스플로러창의 URL을 감시함
URL값이 특정 은행 사이트의인터넷 뱅킹 페이지일 때
유사한 인터페이스의 인증 번호입력 창을 플래시 형태로
보여줌
입력 창에 사용자가입력한 인증번호는
공격자에게메일로 전송됨
(그림) 공격 흐름도
인터넷 침해사고 동향 및 분석 월보23
� 공격과정 상세
� 단계별 설명
Step 1) 공격자는 피싱을 위한 www.or[생략].com 가짜 사이트 구성
- www.awa[생략].com이라는 무료 웹 호스팅 업체를 통해 가짜 피싱 사이트를 구성함.
www.krcert.or.kr
피해자
공격자
브라질 은행 사이트
유명웹 사이트
awa[생략]웹 서버
(그림) 조작된 웹 페이지
⑨ 사용자 인증 정보는 메일을통해 공격자에게 전송됨
⑤ 사용자가 입력한아이디, 비 번호 전송
⑧ amor.exe는특정 은행 사이트접속시
인증 정보 입력 창 형태의플래시 띄움
⑦ loader.exe는 amor.exe생성
⑥ MDAC 취약점으로 인하여loader.exe가 다운로드 됨
① www.awa[생략].com무료 웹 호스팅 업체를 통해
www.or[생략].com가짜 피싱 사이트 구성
INTERNET
② 공격자는 유명 웹사이트에 자신이구성한 웹 페이지URL링크를 게재
④ 사용자는 가짜 or[생략].com에아이디와 비 번호 입력
③ 피해자는 유명 웹사이트를 통해악성 웹 페이지 접속
24 2007년 5월호
Part 1 Part 2 Part 3 월간특집
(그림) foto.htm파일의 unescape부분
(그림) win.exe명으로 다운로드 된 loader.exe가 autoinfect.exe를 다운로드함.
Step 2) 공격자는 유명 웹 사이트에 자신이 구성한 웹페이지 URL링크를 게재함.
Step 3) 피해자는 유명 웹사이트를 통해 악성 웹 페이지에 접속함.
Step 4) 해당 페이지는 피해자가 입력한 아이디와 비 번호를 공격자에게 전송함.
- http://flogaou.awa[생략].com/fotos.htm으로 접속한 사용자가 입력한 인증번호를
http://www.scrip[생략].com.br/mail/mail.php으로 전송함.
Step 5) MDAC취약점을 악용하여 loader.exe가 다운로드됨.
① loader.exe파일을 win.exe라는 이름으로 피해자 시스템에 다운로드함.
-http://flogaou.a[생략]ce.com/fotos.htm에서 MDAC취약점을 이용한 스크립트와 조작된
or[생략] 페이지의 html은 unescape로 인코딩되어 있음.
② win.exe는 http://flogaou.a[생략].com/에서 autoinfect.exe파일을 다운로드 받아 인터넷
임시 디렉토리에 임시로 저장한 후 lsass.exe라는 이름으로 파일을 C:\Windows디렉토리에
생성함.
-win.exe는 특정 트로이잔을 다운로드하는 트로이잔 다운로더임.
� win.exe파일은 c.91.344a.static.th(생략)t.com에 접속함.
(그림) c.91.344a.the[생략].com에 접속함.
인터넷 침해사고 동향 및 분석 월보25
www.krcert.or.kr
Step 7) Amor.exe는 현재 실행중인 익스플로어의 URL값을 감시함.
- Amor.exe는 (그림)와 같이 여러 경로에서 explorer파일을 찾고 explore
WWW_GetWindowInfo.exe를 실행하여 현재 실행중인 익스플로어의 URL을 감시함.
Step 6) loader.exe는 최종적으로 Amor.exe 생성하고 윈도우 부팅 시 항상 실행되도록 Amor.exe를
레지스트리에 등록함
� 생성 디렉토리: C:\Arquivos de programas
� 등록 레지스트리: HKLM\Software\Microsoft\Windows\CurrentVersion\RUN
� WWW_GetWindowInfo는 현재 실행 중인 익스플로어의 URL을 가져오는 행위를 하기
위한 방법으로 DDE 기술 중 하나임.
� DDE(Daynamic Data Exchange)는 윈도우, OS/2, 그리고 다른 운 체계에서 정보가
공유되도록 하거나 프로그램 간에 통신을 위한 기술.
(그림) 시작 프로그램과 레지스트리에 Amor.exe추가
(그림) WWW_GetWindowInfo로 현재 실행중인 IE의 URL 감시
26 2007년 5월호
Part 1 Part 2 Part 3 월간특집
- (그림)과 같이 주소창에 http://www_getwindowinfo/이 표기된 윈도우가 나타나며 사용자가
해당 윈도우를 종료한 경우에도 Amor.exe가 반복하여 explore WWW_GetWindowInfo.exe을
실행하여 http://www_getwindowinfo/창이 열림.
(그림) http://www_getwindowinfo/창
(그림) 피싱 화면
Step 8) 실행 중인 익스플로어의 URL이 http://www2.(생략)l.com.br/RurallBank/principal.jsp일
경우 Amor.exe는 해당 은행 사이트와 유사한 플래시 형태의 인증 정보 입력 창을 보여줌
특정 은행의 인터넷 뱅킹 페이지
접속 시 플래시를 띄움Amor,exe가
생성한 플래시기존 은행 사이트
웹 페이지
OK클릭 시 인증정보가
메일로 전송됨
인증 정보 입력 후 OK클릭하면
경고 창이 나타나고 확인 클릭시
시스템 종료 화면이 보임
인터넷 침해사고 동향 및 분석 월보27
www.krcert.or.kr
(그림) 피싱 화면
Step 9) 인증 정보 입력 후 OK 클릭 시 해당 인증 정보가 공격자에게 전송됨.
� 최근 악성코드를 이용한 피싱공격 사례가 보고되고 있으므로, 사용자는 사고발생 방지를 위하여 최신
OS패치 적용, 백신설치 등 악성코드에 감염되지 않도록 예방, 주의하는 것이 필요하다.
� 사용자는 은행사이트에서 아이디, 비 번호, 계좌번호와 같은 인증 정보를 입력할 때 평소에 접하던
화면과 비교하여 이상한 점이 없는지 살펴본다.
3. 위험성 / 예방책
28 2007년 5월호
Part 1 Part 2 Part 3 월간특집
� 감염 여부 확인
4. “Amor.exe”악성코드 감염여부 확인 및 치료방법
① 윈도우 폴더에 lsass.exe 파일이 존재하는지 확인한다.
아래와 같은 아이콘 모양의 파일이 존재하면 감염된 것으로 볼 수 있다.
� 치료 방법
① 윈도우를 다시 시작하여 안전 모드로 부팅한다.
(부팅 시 F8을 누른 후 안전모드 선택)
(그림) 감염여부 확인 예
(그림) 안전모드 선택 화면
� 운 체제별 윈도우 폴더 :
- Windows NT/2000 ⇒ C:\Winnt\
- Windows XP ⇒ C:\Windows\
인터넷 침해사고 동향 및 분석 월보29
www.krcert.or.kr
② 도구 → 폴더옵션 → 보기에서‘보호된 운 체제 파일 숨기기’를 해제하고‘숨김 파일 및 폴더 표시’를
선택한다.
③ 시스템에 생성되어 있는 악성파일인‘loader.exe’와‘win.exe’와‘autoinfect.exe’와‘lsass.exe’와
‘Amor.exe’를 삭제한다.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에서c:\Arquivos de programas\Amor.exe삭제
(그림) 숨김 파일 및 폴더 표시 선택 예
④ 악성코드가 생성한 아래 레지스트리 항목 삭제한다.
시작 → 실행 →‘regedit’입력
⑤ 재 부팅 한다.
[표] 악성 코드별 디렉터리 위치
파일명
loader.exe
autoinfect.exe
win.exe
lsass.exe
Amor.exe
위치
C:\Documents and Settings\[계정]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[계정]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[계정]\Local Settings\Temp
C:\Windows
C:\Documents and Settings\All Users\start menu\programs\startup
C:\Arquivos de programas
C:\Documents and Settings\All Users\Menu Inciar\Programas\Inicializar
(그림) win.exe명으로 다운로드 된 loader.exe가 autoinfect.exe를 다운로드함.
30 2007년 5월호
악성코드 유포지/경유지 조기 탐지 및 차단 조치
KISA 인터넷침해사고 응지원센터에서는 국내 웹사이트에 악성코드가 삽입되어 웹사이트 방문자에게 게임
ID/비 번호를 유출하는 트로이잔을 감염시키는 사례가 발생하여 ’05년 6월부터 지속 응하여 왔으며,
’05. 12월부터는 악성코드 은닉사이트 탐지 프로그램을 자체 개발�적용하여 약 77,000개의 국내 웹 사이트를
상으로 악성코드 은닉 여부를 탐지 및 차단 조치하고 있다.
악성코드 유포지 및 경유지로 악용된 사이트를 기관별로 분류하면 기업, 기타(개인), 비 리 홈페이지 순
이었으며, 특히 기업으로 분류된 .co.kr, .com 도메인이 악성코드 유포지/경유지 사이트로 많이 악용되는
것으로 나타났다.
□이는 해커가 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포지/경유지 사이트로 악용
하고 있는 것으로 보인다.
유포지
경유지
합계
993
5,624
6,617
108
372
480
90
307
397
126
349
475
190
315
505
146
283
429
660
1,626
2,286
기 관2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
1. 개요
2. 전체 추이
3. 기관별 분류
별 첨
’07년 5월 KISA에서 탐지하여 응한 악성코드 유포지 및 경유지 사이트는 429건으로 전월 비 15.0%
(505 → 429건) 감소하 다.
□악성코드 경유지사이트 수는 전월 비 10.2%(315 → 283건)감소하 고, 유포사이트 수는 전월에
비하여 23.2%(190 → 146건) 감소한 것으로 나타났다.
□각 기관(기업)의 웹 서버 관리자는 웹페이지가 악성코드 유포 및 경유지로 악용되는 피해예방을 위해
웹서버 해킹에 주로 사용되는 SQL Injection 등의 취약점에 한 보안 책을 마련하는 것이 필요하다.
� 참고 사이트
ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr 초기화면
→ 왼쪽‘공개 웹 방화벽을 이용한 홈페이지 보안’
WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr 초기화면
→ 왼쪽‘공개 웹 방화벽을 이용한 홈페이지 보안’
홈페이지 개발 보안가이드 : http://www.krcert.or.kr 초기화면 → 왼쪽‘홈페이지 개발 보안가이드’
웹 어플리케이션 보안 템플릿 : http://www.krcert.or.kr 초기화면 → 왼쪽‘웹 어플리케이션 보안 템플릿’
[표] 악성코드 유포지/경유지 사고 처리건수
인터넷 침해사고 동향 및 분석 월보31
www.krcert.or.kr
악성코드 유포지 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 IIS 웹서버가 58.5%, Apache 웹
서버가 5.4%, 기타 36.1%로 분류되었다.
[표] 악성코드 유포지/경유지 사이트 웹서버 별 분류
4. 웹서버별 분류
[표] 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류
기업
학
비 리
연구소
네트워크
기타(개인)
총계
4,274
154
649
24
215
1,301
6,617
296
10
33
0
15
126
480
232
5
27
0
13
120
397
280
1
9
0
14
171
475
235
14
26
0
17
213
505
235
12
21
0
9
152
429
1,278
42
116
0
68
782
2,286
� 기관 분류기준 : 기업(co, com), 학(ac), 비 리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 등)
(그림) 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류
기 관2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
� 웹서버별 구분 자료는 각 운 체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임� 악성코드 유포지/경유지 사이트가 이미 폐쇄되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음
MS IIS
Apache
기타
합계
5,039
151
1,427
6,617
334
4
142
480
244
12
141
397
300
13
162
475
281
16
208
505
251
23
155
429
1,410
68
808
2,286
웹서버2007 2007
총계
2006
총계 1 2 3 4 5 6 7 8 9 10 11 12
기업55%
기타(개인)35%
네트워크 2%비 리 5%
학 3%
32 2007년 5월호
프로토콜 관련 악성코드
[trojan] Adore sshd, [trojan] Shaft
Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle,
Yaha,Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor,
Executor, Hooker, RingZero, Seeker, WAN Remote,
Web Server CT, WebDownloader, Zombam
Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv,
Lovgate, Spybot
God Message worm, Netlog, Qaz, Deborms, Moega,
Yaha
Agobot, Deloder, Yaha, Randex, Welchia, Polybot,
Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix,
Zotob, IRCBot, SDBot
Dasher, Remote Storm, ABCHlp, Lala, Keco
MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy
Spida, SQL Snake
SQL Slammer
Bagle
OptixPro, Mockbot
RAdmin Port
Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d,
Bobax, Trojan.Webus
Mockbot.
SSH Remote Login Protocol
World Wide Web, HTTP
DCE endpoint resolution,
MS-RPC
Netbios-ssn
netbios-ds
network blackjack
SOCKS Protocol
Microsoft-SQL-Server
Microsoft-SQL-Server
urbisnet
NetworkLens SSL Event
radmin-port
commplex-main
DameWare
TCP
TCP
TCP/UDP
TCP
TCP
TCP/UDP
TCP/UDP
TCP/UDP
TCP
TCP
TCP/UDP
TCP
TCP/UDP
TCP/UDP
포트번호
22
80
135
139
445
1025
1080
1433
1434
2745
3410
4899
5000
6129
서비스
주요포트별 서비스 및 관련 악성코드
부 록
인터넷 침해사고 동향 및 분석 월보33
용어정리
www.krcert.or.kr
구 분 내 용
구성설정오류 공격
바이러스(Virus)
바이러스 월(Virus Wall)
버퍼오버플로우(Buffer Overflow)
봇(Bot)
분산서비스거부공격(DDoS : Distributed DoS)
불법자원사용
불법침입
서비스거부공격(DoS : Denial of Service)
스파이웨어(Spyware)
스팸릴레이(Spam Relay)
허니넷
악성프로그램
악성프로그램 공격
애드웨어(Adware)
웜(Worm)
운 체제 및 응용프로그램의 설정 오류(위험성이 있는 기본설정의 사용, 사용자 편의를 위한
설정 조정 등)를 이용하는 해킹기법으로 홈페이지 위∙변조, 불법침입 등에 주로 이용됨
컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여
불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드
네트워크 환경 내부에 인-라인(In-line) 상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽 상의
네트워크 바이러스를 예방 및 차단하는 시스템
메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어 으로써 호출 프로그램으로의 복귀오류 등
을 일으켜 정상적인 프로그램의 실행을 방해하는 표적인 공격기법
운 체제 취약점, 비 번호의 취약성, 웜∙바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전
달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램
또는 실행 가능한 코드
DoS용 에이전트를 여러 개의 시스템에 설치하고, 이 에이전트를 제어하여 DoS 공격을 함으로써 보
다 강력한 공격을 시도할 수 있으며, 공격자에 한 추적 및 공격트래픽의 차단을 어렵게 만드는 공
격 형태
정당한 권한 없이 특정 시스템을 스팸릴레이, 피싱사이트 개설 등에 이용하는 행위
주요 정보∙자료를 수집 또는 유출하기 위하여 정당한 권한 없이 시스템에 침입하는 행위
특정 네트워크에서 허용하는 역폭을 모두 소모시키거나, 공격 상(victim) 시스템의 자원(CPU, 메
모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 한 공격으로 서비스를
못하도록 만드는 공격
이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템, 데이터 또는 프로그램 등을 훼손∙멸
실∙변경∙위조하거나 정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램. 즉, 이용자
의 동의 없이, 웹브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운 을 방해∙
중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집∙전송하는 등의 행위를 하는
프로그램
스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용
KISA 인터넷침해사고 응지원센터 내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위,
웜∙바이러스 등을 수집
사용자의 시스템에 설치되어 백도어를 오픈하여 정보를 유출하거나, 시스템의 정상적인 동작을 방해
하는 프로그램
컴퓨터 시스템에 악성프로그램을 설치하게 유도하거나 고의로 감염시키는 해킹기법으로 주로 백
도어 등을 이용하여 상 방의 주요 정보를 빼내기 위한 목적으로 이용함
사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가
의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드
독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한
코드
34 2007년 5월호
구 분 내 용
공격징후 탐지를 위하여 KISA에서 전국 45개 주요도시에 설치한 센서
상시스템의운 체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨
시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위
자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도
하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드
정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기
수법으로 Bank Fraud, Scam이라고도 함
다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나, 정보시스템의 정상적인 기능이나 데이터에 임의적
으로 간섭하는 행위
개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과 스크립팅
을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를 제공함
많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크
인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤
상 방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 E-mail을 보냄으로써 상
방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨
응용프로그램들이 HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공
KISA내 침해사고 응팀(CERT)으로서, 국내에서 운 되고 있는 인터넷 망의 침해사고 응 활동을 지원
하고, 전산망 운용기관 등에 해 통일된 협조 체제를 구축하여, 국제적 침해사고 응을 위한 단일창구를
제공하기 위하여 설립됨
License Logging Service의약자로MS서버제품에 한라이센스를고객이관리할수있도록해주는도구
네트워크의 기본적인 입출력을 정의한 규약
Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의 일종
으로서 서로 다른 응용프로그램이나 플랫폼이 데이터를 공유하는데 사용
Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX
환경에서 아이콘 등에 많이 사용
Server Message Block의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜
TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을 보내서
상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격
많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한 서비스
윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있다.
지역센서
취약점정보수집 공격
침입시도
트로이잔(Trojan)
피싱(Phishing)
해킹(Hacking)
ASP.NET
Botnet
DHTML Editing
Component ActiveX
E-mail 관련 공격
Hyperlink 개체 라이브러리
KrCERT/CC
LLS
NetBIOS
OLE/COM
PNG
SMB
TCP Syn Flooding
Windows SharePoint
Services
Windows Shell