사회기반시설 공격 동향 분석보고서 차민석 20161029_레몬 정보보호 세미나

현실화되는Die Hard 4.0

2016.10.29 (v1.1) - 레몬 정보보호 세미나 발표판

안랩 시큐리티대응센터(ASEC) 분석팀

차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원

사회기반시설공격현황

© AhnLab, Inc. All rights reserved. 2

:~$whoami

•책

-보안에미쳐라 (2016)

* Source : http://www.yes24.com/24/goods/29333992


시작하기전에

•보안이완벽한시스템은이세상에없어

- Matthew Broderick 주연위험한게임 (War Games)

* Source : War Games (1983)


Wrap up

•사회기반시설공격증가

- 사이버공격자에핵티비스트, 테러리스트추가

•공격대상

-주로에너지, 교통, 금융, 방송분야공격에집중

-앞으로의료및헬스케어공격가능성

•대응문제

- 보안담당자부족, 보안의식부족, 망분리맹신, 구형시스템, 협력업체관리필요, 보안이슈협력

Contents

01

02

03

04

05

06

07

사이버 공격의 변화

사회기반시설

사회기반시설 공격 사례

공격 방식

주요 사회기반시설 공격 사례 분석

사회기반시설의 보안 위협 요인

맺음말


가까운미래…

•소설

-


가까운미래…

•다이하드 4.0

-

01

사이버공격의변화

© AhnLab, Inc. All rights reserved.

최근악성코드특징

최근악성코드

특징

명확한제작목적

(돈 & 정보)

조직화와기업화

명확한공격대상

해킹기술과결합

공격대상의확대

유사변형양산과지역화


공격주체


Terrorist

•테러단체사이버공격

-

* Source : http://www.dailymail.co.uk/news/article-2912280/Death-France-Death-Charlie-Pro-ISIS-hackers-launched-unprecedented-wave-cyber-

attacks-19-000-French-websites.html

02

사회기반시설


사회기반시설

• 사회기반시설관련국내법조항

* Source : http://www.law.go.kr/lsInfoP.do?urlMode=lsInfoP&lsId=009294

[국토의 계획 및 이용에 관한 법률 2조 6항]

‘기반시설’이란 다음 각목의 시설로서 대통령령으로 정하는 시설을 말한다.가. 도로·철도·항만·공항·주차장 등교통시설나. 광장·공원·녹지 등 공간시설다. 유통업무설비, 수도·전기·가스공급설비, 방송·통신시설, 공동구역 등 유통·공급시설라. 학교·운동장·공공청사·문화시설 및 공공필요성이 인정되는 체육시설 등 공공·문화체육시설마. 하천·유수지(遊水池)·방화설비 등 방재시설바. 화장시설·공동묘지·봉안시설 등 보건위생시설사. 하수도·폐기물 처리시설 등 환경기초시설


사회기반시설

•주요사회기반시설

-DHS 분류

* Source : https://www.hsdl.org/?view&did=754033

03

사회기반시설공격사례


과거정치메시지담은악성코드

•정치적메시지담은악성코드

- Bloody, November_30th.B, No_Import_Rice, VBS/Staple, VBS/VBSWG.Z 등


Timeline

Estonia

DDoS 공격

2001 2007 2009 2010 2011 2012 2013 2014 2015

Georgia

공격

Iran

Stuxnet

발견

사우디Aramco

공격

병원랜섬웨어감염

한국3.20 전산망장애

일본원전공격

France

TV5Monde

장애

2016

미국댐해킹시도

한국특정은행전산망장애

한국6.25

사이버공격

Havex

한국수력원자력자료유출

우크라이나발전소장애및 정전

CodeRed

1.25

인터넷대란(Slammer)

Bangladesh

중앙은행해킹

7.7

DDoS

공격

3.4

DDoS

공격

원자력발전소공격증가


Timeline

•주요공격사례

-


Energy 분야 - Stuxnet

• Stuxnet

* Source : https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=16852


Energy 분야 - Stuxnet

• The New York Times, 미국정부제작보도

- 코드명Olympic Games

* source : http://www.nytimes.com/2012/06/01/world/middleeast/Obama-ordered-wave-of-cyberattacks-against-

iran.html?_r=1&pagewanted=all


Energy 분야 - Ukraine Blackout

• Ukraine 정전발생

-12월23일우크라이나 Ivano-Frankivsk 지역등3곳에서정전발생

-사이버공격가능성보도

* Source : http://ru.tsn.ua/ukrayina/iz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406.html



• Cyber Attack 가능성알려짐

-

* Source : http://www.sbu.gov.ua/sbu/control/uk/publish/article?art_id=170951&cat_id=39574



•의심악성코드발견

-

* Source : http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry&

http://www.symantec.com/connect/blogs/destructive-disakil-malware-linked-ukraine-power-outages-also-used-against-media-

organizations?om_ext_cid=hho_ext_social__Sym_UPowerGrid_TWITTER_Connect%20Blog&linkId=20140284



• US DHS 사이버공격확인

-

* Source : http://www.ibtimes.com/us-confirms-blackenergy-malware-used-ukrainian-power-plant-hack-2263008& https://ics-cert.us-cert.gov/alerts/IR-

ALERT-H-16-056-01


교통 (도로, 철도, 공항) 분야

•도로와관련된사례

- 2009년 오스틴(Austin) 도로 표지를 해킹해 ‘CAUTION! ZOMBIES! AHEAD!!!’를 표시한 사례

- 2015년 브라질 버스정류장 정보 시스템 해킹 당해 성인 영화가 방영한 사례

- 2016년 4월 26일 한국 여수 버스정류장에서 밤 10시경 약 40 분간 음란 동영상이 재생 된 사례

•가능한시나리오

- 대부분의 도로는 실시간 신호제어 시스템이 적용되어 있어, 수집된 차량 통행량을 바

탕으로 교통신호 시스템을 운영

- 교통신호등과 중앙제어시스템간의 교통신호등과 중앙제어시스템간의 통신 프토로

콜을 알아내어 통신 정보를 조작해 임의제어

- 중앙제어 시스템에 대한 직접적 공격



•교통안내시스템해킹

-

* Source : GIZMODO & http://www.politico.com/story/2016/05/trump-hacked-road-sign-223718



•교통안내시스템해킹

-

* Source : SecurityWeek& http://news.mtn.co.kr/newscenter/news_viewer.mtn?gidx=2016042616081

264980



•폴란드항공사 LOT 시스템장애

- 1,400 passengers 영향, 10 편취소및12 편지연발생

* Source : http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html



• DDoS공격으로확인

-

* Source : http://www.theregister.co.uk/2015/06/23/planegrounding_airport_attack_revealed_to_be_ddos/



•서울메트로해킹

-

* Source : http://news.chosun.com/site/data/html_dir/2015/10/05/2015100500286.html


통신분야

•통신분야와관련된공격사례

- 첫 번째 통신망에 대한 사고사례는 2003년 슬래머 웜에 의한 1.25 인터넷 대란

- 2014년에는 인터넷 공유기 악성코드의 DDoS 공격으로 특정 ISP 인터넷 장애

•개인정보유출(국내)

- 2012년 3월 통신사 협력사 직원이 20만 명의 고객정보를 유출

- 7월에는 또 다른 통신사에서 870 만 명의 고객정보가 유출

- 2014년 3월에는 국내 3개 이동통신사에서 모두에서 약 1,230만 명의 고객정보가 유출

•개인정보유출(해외)

- T모바일(T-mobile)의 경우 2013년 9월부터 2년간 개인정보 1500만 건이 유출 되는 사고

- 프랑스 이동통신사 오렌지(Orange)의 경우 2014년 1월 16일 웹사이트가 해킹 당해 80만 명의 개

인정보가 유출

- 버라이즌(Verizon)은 2016년 3월 25일 해커의 공격을 받아 150만 명의 고객 데이터가 유출


금융분야

•금융분야와관련된사례

- 2011년 4월 12일 한 금융사의 전산 시스템 중 계정과 카드사/ATM/창구를 연결해주는 시스템의

자료가 삭제되어 3일 정도 고객 서비스 중지

- 2013년 3월 20일 3.20 전산망 장애로 금융권 시스템에 문제가 생겨 창구거래, ATM 거래가 중단

- 2016년 2월 미 연준에 둔 방글라데시 중앙은행 계좌가 해킹되어 8,100 만 달러 (약 966 억 원)가

이체되어 사라짐

- 2016년 4월 26일 콰타르중앙은행 (QNB) 해킹으로 자료 유출

- 2016년 5월 UAE(United Arab Emirates) 투자 은행도 해킹 당해 유출 된 정보 공개


방송분야

•방송분야와관련된사례

- 2013년 3.20 전산망 장애

: 당시 국내 주요 방송사와 언론사가 공격대상에 포함

- 2015년 4월 8일 밤 프랑스 떼베생몽드(TV5 Monde) 방송국 해킹 및 방송 중단 사태

- 2016년 3월 11일에는 이스라엘 방송국이 해킹되어 TV화면에는 하마스(HAMAS) 라는 팔레스타

인 독립 단체 이미지가 띄워졌으며 “우리나라에서 나가”라는 메시지가 방영


방송분야

• France TV5Monde 해킹

-

* Source : http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-islamiste_4612099_4408996.html


의료및헬스케어분야

•의료및헬스케어와관련된사례

- 미국건강보험업체인앤섬(Anthem)이8 천만명에달하는정보가해킹을통해유출된사례

- 병원은생명을다루며환자의민감한정보를보관

- 중요성에비해대부분의병원은사이버공격대응인력이없거나소수의인원만존재

04

공격방식


주요공격방식

05

주요사회기반시설공격사례분석


Saudi Aramco 사례

•사우디아라비아 Saudi Aramco에대한공격

- 2012년8월15일Saudi Aramco 약3만5천대시스템이공격당해데이터삭제및부팅불가발생

-

* source : http://www.reuters.com/article/us-aramco-virus-idUSBRE87E18S20120815


Saudi Aramco 사례

• Cutting Sword of Justice

-

* source : http://pastebin.com/HqAgaQRj


Saudi Aramco 사례

•추가공격예고

-2012년8월25일21시00 (GMT) 추가공격예고

* source : http://pastebin.com/WKSk3pmp


Saudi Aramco 사례

• 8월 30일카타르 RasGas공격사실보도

-세계에서두번째로큰카타르 액화천연가스생산업체침해사고발생

* source : http://www.pipelinecommunity.com/Oil-News/breaking-rasgas-it-network-black-out.html


Saudi Aramco 사례

• Wiper

-


Saudi Aramco 사례

• Wiper

Dropper

Wiper dropper

Reporter

64 bit Dropper

Wiper dropper Reporter


Saudi Aramco 사례

• PDB 정보

- C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb


Ukraine 정전사례

• Macro 포함한문서파일로공격

-



• Macro 코드

- %temp%\vba_macro.exe 생성



•

Rundll32.exe

FONTCACHE.DAT

lnk

plugin

vba_macro.exe



• {6D60EB0B-A059-4F8E-83BB-F0105070C2CC}.LNK 파일생성

-



• FONTCACHE.DAT

- packet.dll로위장



• rundll32.exe로#1 (PacketAllocatePacket) 실행

-



•조사결과

-

* Source : https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf



•공격방식

-

* Source : https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf

06

사회기반시설의보안위협요인


현재상황

사회기반시설보안 문제

보안담당자부족

보안의식부족

협력업체관리필요

구형시스템운영

보안이슈협력필요

망분리맹신


현실

•악성코드감염막을수없다TT

-


현실

•영국 Rail control centre로그인정보

- 방송내용중Login 정보노출

* Source : https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed


현실

• TV5 Monde 방송내용에password 공개됨

-

* Source : https://twitter.com/pent0thal


도시철도감사결과

•보안지적

- 열차운행제어컴퓨터 (TCC) 악성코드감염방치및관제센터보안문제

* Source : http://gov.seoul.go.kr/files/2016/02/56b44ae5bbcfa8.55745107.pdf


협력사보안강화

•협력사자료유출통제

- 협력회사의자료전송에대한보안관리시스템을구축

* Source : http://www.diodeo.com/news/view/1461316

07

맺음말


Wrap up

•사회기반시설공격증가

- 사이버공격자에핵티비스트, 테러리스트추가

•공격대상

-주로에너지, 교통, 금융, 방송분야공격에집중

-앞으로의료및헬스케어공격가능성

•대응문제

- 보안담당자부족, 보안의식부족, 망분리맹신, 구형시스템, 협력업체관리필요, 보안이슈협력


Wrap up

사회기반시설보안 문제

보안담당자부족

보안의식부족

협력업체관리필요

구형시스템운영

보안이슈협력필요

망분리맹신


Q&A

email : [email protected] / [email protected]

http://xcoolcat7.tistory.com

https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

사회기반시설 공격 동향 분석보고서 차민석 20161029_레몬 정보보호 세미나

Technology