위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/b-2-3.pdf · 현황인지를 통한...
TRANSCRIPT
![Page 1: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/1.jpg)
“침투한 악성코드의 활동, 보여야 해결할 수 있다.”
(내부망 현황인지를 통한 보안지표 수립)
김혁준 ㈜나루씨큐리티
![Page 2: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/2.jpg)
발표자 소개
• 국방부 조사본부 지정 침해사고대응 자문위원
• 국군 사이버사령부 공식 민간자문위원
• 군 시설파괴 민감정보 유출 사고탐지 원인분석 자문위원
• 미래부 지정 민관합동 조사단 조사위원
• 미래부 지정 사이버보안전문단
• 삼성전자 내부망 타겟공격 탐지/대응 컨설팅 수행
• 외환은행 내부망 타겟공격 탐지/대응 컨설팅 수행
• 2007년 FIRST 국제 정보보호 모범사례 수상
![Page 3: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/3.jpg)
위협현황
![Page 4: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/4.jpg)
정보보호의 시작 - 모리스웜
• 1988년 11월 2일 로버트 모리스에 의해 MIT에서 전파
• 최초의 컴퓨터 웜으로 자기복제 및 네트워크 트래픽 생성
• 당시 인터넷의 10%인 6,000대의 메인프레임 감염
• 감염과정에서 인터넷망의 서비스거부효과 발생
• 이 사고를 통해 DARPA에서 USCERT/CC 창설
![Page 5: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/5.jpg)
정보보호의 시작 - 슬래머
• 2003년 1월 25일 MS-SQL 서버 버퍼오버플로우 취약점 공격
• 미국, 호주에서 공격트래픽이 유입되어 초당 1만~5만개 생성
• 국내에서는 전 세계 11.8%인 8만 8천대 감염
• 주요 DNS 장애를 유발하여 장시간 인터넷 장애 유발
• 이를 계기로 KISC(침해사고대응센터) 설립됨
![Page 6: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/6.jpg)
사이버위협의 진화
![Page 7: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/7.jpg)
고도화되는 침해사고
Operation Orchards(Syria Al Kibar) Stuxnet(Natanz, Iran)
Operation Aurora Special Source Operation
![Page 8: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/8.jpg)
문제점
![Page 9: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/9.jpg)
모든 네트워크는 다르다
Well Controlled Global Network Networks with High DoF
Intermediary Network Closed Network
![Page 10: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/10.jpg)
타겟공격을 탐지하지 못하는 이유
• 가로등 효과는 대표적인 관찰오류에 해당한다.
• 이는 매우 일반적인 오류로 많은 사람들이 이를 모르거나 굳이 알려고 하지 않는다.
• 시그니처 기반의 침입탐지/침입방지 장치, 방화벽 등은 타겟공격을 볼 수 없다.
• 이러한 공격에 대응하기 위해서는 발생하는 위협에 대한 모델링이 필요하다.
• 알 수 없는 위협을 알려진 위협에서 찾을 수 없다.
![Page 11: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/11.jpg)
정밀성과 정확성의 차이
High Precision Low Accuracy
Low Precision High Accuracy
High Precision High Accuracy
• 시그니처 기반 시스템은 높은 정밀성 낮은 정확성을 가진다.
• 내용 기반 시스템은 낮은 정밀성 높은 정확성을 가진다.
• 문제해결을 위해 높은 정밀성 높은 정확성을 필요로 한다.
![Page 12: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/12.jpg)
해결방안
![Page 13: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/13.jpg)
현황인지를 통한 징후탐지
• 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용 운영체제의 수
• 내부망 대역별 활성화된 호스트 분포 및 변화추적
• 활성화된 내부망 서비스 분포 및 변화추적
• 내부망 자산간 통신현황 및 변화 추적
• 지속통신의 수 및 통신접점 변화추적
![Page 14: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/14.jpg)
공격의도 중심의 위협인지
• 알려지지 않은 바이너리파일 다운로드 및 인텔리전스 확인
• 알려지지 않은 지속통신 탐지 및 알려진 지속통신 변화추적
• 지속통신 접점과 연결된 내부망 호스트의 수
• 불법 운영체제, 어플리케이션 및 장치 탐지
• 알려지지 않은 지속적 데이터 유출탐지
![Page 15: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/15.jpg)
명령제어 채널의 형태
![Page 16: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/16.jpg)
내부망 통신연결 상황탐지
• 지속적으로 내부망 호스트간 연결도 및 변화 추적
• 연결시도와, 실연결을 구분하여 이상징후 탐지
• 연결도 변화 시 이를 이상징후로 인지
• 연결도 변화 정도에 따라 차별적인 대응순위 도출
![Page 17: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/17.jpg)
사이버킬체인 기반의 사고추적
• 사이버킬체인 기반의 인과관계(Causality Tracking) 분석
• 누적데이터 분석을 통한 공격자의 움직임 분석
• 기존상태에서 발생한 변화 추적
• 침해사고 대응 우선순위 부여
• 네트워크/호스트 기반의 증적 수집 및 증적 기반 대응
![Page 18: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/18.jpg)
지속적 정보유출 탐지
• 실시간 및 누적시간 정보유출 탐지
• 서버/클라이언트 비율검사를 통한 징후탐지
• 정규프로토콜, 비정규프로토콜 기반의 정보유출
• 내부망 호스트 간 정보흐름 추적
![Page 19: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/19.jpg)
원형 사이버킬체인 모델
![Page 20: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/20.jpg)
사례분석
![Page 21: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/21.jpg)
OO전자 - 2013.07.26~31
• OO전자 사업장 및 공장 내부망 약 10,000대 컴퓨터 네트워크 점검
• HTTP CONNECT 메소드를 이용한 내부 보안통제우회 외부접속 탐지
• masterconn2.qq.com 등 기존방어체계를 우회한 다수의 악성 C2 탐지
![Page 22: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/22.jpg)
OO병원 - 2013.08.13~20
• 병원 네트워크에서 사용자 진료기록 및 X-RAY 정보 등 민감정보 노출 탐지
• 병원 네트워크 내/외부에서 P2P를 이용한 다수의 정보유출 정황 탐지
• 정보보호 정책을 위반한 웹하드 서비스를 이용한 정보유출 사실 탐지
• 비정규 포트를 이용한 외부 SSH 서버 지속접속 및 정보전달 사실 탐지
![Page 23: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/23.jpg)
미국 OO사 - 2014.02.25-03.04
• US 기업 내부망에서 24개의 알려지지 않은 비콘형 명령제어 채널 탐지
• 동일 네트워크에서 104개의 역접속(백도어) 통신 탐지
• 예방체계를 우회한 다수의 알려진 악성명령제어 채널 탐지
![Page 24: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/24.jpg)
OO게임사 - 2014.04.03-09
• OO게임사 유럽 지사 검사결과 총 56개의 알려지지 않은 지속통신 사실 탐지
• 러시아, 세르비아, 우크라이나 등 비즈니스관계가 없는 지역으로 백도어 통신 탐지
• 내부망 대역에서 42개 내부 컴퓨터의 폴란드 특정 네트워크 지속접속 탐지
![Page 25: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/25.jpg)
OO대학교 2014.07.25-08.02
• 77개의 설치된 백신 등의 예방체계를 우회한 알려진 악성 명령제어 채널 탐지
• 탐지된 명령제어 채널에는 총 1,590개의 내부망 컴퓨터가 좀비화되어 연결됨
• 총 50개의 애드웨어에 5,210개의 내부망 컴퓨터가 좀비화되어 연결됨
• 총 85개의 내부망 호스트의 파밍용 악성코드에 감염으로 파밍사이트 연결 탐지
• 총 82개의 알려지지 않은 명령제어 채널에 2,502개의 내부망 호스트 연결 탐지
![Page 26: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/26.jpg)
OOO 국내 대기업 2014.11.3-26
• 국내 OOO 대기업 내부망에서 총 229건의 악성 및 의심 명령제어 및 백도어 트래픽 탐지
• 탐지된 229건의 의심 트래픽 중 1,000여 개의 내부망 호스트가 연결된 39개의 의심 백도어 탐지
• 37개의 목적지는 백신, 파이어아이 등 내부에 방어체계를 우회한 알려진 악성 코드 통신지로 확인
• 60개는 악성으로 판정 된 URL 접속 트래픽이며, 82개는 알려지지 않는 명령 제어 채널 탐지됨
![Page 27: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/27.jpg)
OOO 국내 대기업 2015.04.10-17
• 전문관제 업체에서 파견관제를 받고 있는 국내 OOO 대기업 본사에서 약 일주일 간 내부망 트래픽 점검
• 내부망 PC가 침해되어 영국령 터크스케이커스 제도 및 불가리아에 있는 서버에 지속통신 발생 탐지
• 내부망 PC를 이용하여 미국 및 독일의 대학으로 DNS 플러딩 및 슬로우드립 공격 발생 탐지
• 내부 임원 PC가 침해되어 명령제어 채널이 운영 및 내부망 수평이동 탐지
![Page 28: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/28.jpg)
OOO 국내 대기업 2015.6.30-7.03
• 내부망에서 사용되는 안랩 등 보안관련 서비스에 대한 피싱공격을 통한 통신 하이재킹 탐지
• 포트기반 보안통제를 우회하여 TCP/25 포트를 이용한 비콘형 백도어 탐지 • 포트기반 보안통제를 우회하여 UDP/53 포트를 이용한 비콘형 백도어 탐지 • 내부망 다수의 호스트에서 방화벽 정책을 우회하여 내부망 호스트에 직접
접속이 가능한 프로그램 설치 확인
![Page 29: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/29.jpg)
내부망 보안지표수립
![Page 30: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/30.jpg)
내부망 장기지속통신현황 변화추적
![Page 31: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/31.jpg)
신뢰도기반 지속통신 변화추이
![Page 32: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/32.jpg)
신뢰도 기반 지속통신 분류 및 변화추적
![Page 33: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/33.jpg)
내부망 바이너리 다운로드 변화추적
![Page 34: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/34.jpg)
국가별 내부망 바이너리 다운로드 현황
![Page 35: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/35.jpg)
사이버킬체인 기반 사고추적
![Page 36: 위협현황 - concert.or.krconcert.or.kr/suf2015/pdf/B-2-3.pdf · 현황인지를 통한 징후탐지 • 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용](https://reader035.vdocuments.mx/reader035/viewer/2022070909/5f94c6f987c031600721a537/html5/thumbnails/36.jpg)
감사합니다.