스크립 기반 사이버 공격의

현재와 미래

2013.06.23

임 채 태 팀장(chtim@kisa.or.kr)

목 차

1. 악성 스크립트 기반 사이버 공격 사례 및 방법

2. HTML5 등장에 따른 웹 이용 환경의 변화

3. 대응 기술 및 제품 동향

4. 악성 스크립트 기반 사이버 공격 대응 방안

2 KRnet 2014

3

1. 악성 스크립트 기반 사이버 공격 사례 및 방법 – 전형적인 공격 방법(1/3)

KRnet 2014

피해사이트

정부기관 민간기관

악성코드 감염 PC

악성코드 감염 좀비PC 명령/제어

대량 트래픽 발생 내부정보 유출

사이버 공격 수단 : 악성코드 감염 좀비PC 악용

4

1. 악성 스크립트 기반 사이버 공격 사례 및 방법 – 전형적인 공격 방법(2/3)

KRnet 2014

□ 좀비 PC : 공격자(해커)에 의해 악성코드에 감염되어 공격자의 명령에 따라

PC사용자 의도와 관계없이 각종 악의적인 행위를 수행

해커

유포서버

명령서버

Bot

· · ·

좀비PC

목표 서버

1. 명령 및 유포서버 구축

2. 악성코드 전파

4. 업데이트

및 공격 명령

5. 공격 실행

3. 악성코드 감염

(보안에 취약)

피해

- DDoS 공격

- 기밀정보 유출

- 시스템 파괴

- 스팸 메일 발송

5

1. 악성 스크립트 기반 사이버 공격 사례 및 방법 – 전형적인 공격 방법(3/3)

KRnet 2014

[Hacker]

(2) Case #1

악성코드 감염 사이트 방문

악성

스크립트

악성

스크립트

(3) 악성 스크립트 다운로드

(5) 사용자 미인지의

악성코드 배포서버 자동 접속 (4) 브라우저 또는

플러그인 취약점 공격

(6) 악성코드 다운로드

및 설치

검색 키워드 : 원전

[Hacker]

악성코드

배포 서버

□ 웹 방문시 사용자 인지 없이 악성 코드 감염 (Drive-by-Download)

- 공개된 게시판을 통해 악성코드가 유포

- SQL Injection 등 웹 해킹을 통해 악성코드 유포 사이트 접속 코드 삽입

- 사용자가 게시물 확인시, 사용자 컴퓨터의 취약점을 이용하여 악성코드 감염

- (Case) 공개 게시판의 게시문 변조를 통한 악성 스크립트 은닉

6

1. 악성 스크립트 기반 사이버 공격 사례 및 방법 – 신규 공격 유형(1/3)

KRnet 2014

보안 장비 우회를 위한 신종 스크립트 기반 사이버 공격 출현

- 웹 사이트를 매개로 악성코드 감염, 개인 정보 유출 등을 유발하는 웹 기반 사이버 공격 증가

- 최근 웹 기반 사이버 공격은 보안 장비의 탐지를 우회하기 위해 악성코드 배포·감염 없이 스크

립트만을 이용하는 신종 공격 형태로 진화

※ 네트워크 트래픽 분석을 통한 악성코드 감염 차단 기술 도입으로 웹 사이트를 통한 악성코드 유포가 어려움

- 국외 해커 집단 어나니머스에서 스크립트 기반 DDoS 공격 도구 공개

웹 기반 사이버 공격 증가

스크립트 기반 신종 공격 형태 진화

스크립트 기반 DDoS 공격 도구

7

1. 악성 스크립트 기반 사이버 공격 사례 및 방법 – 신규 공격 유형(2/3)

KRnet 2014

’13년 6월 25일 정부기관을 대상으로 신종 스크립트 기반 DDoS 공격 발생

- 기존 좀비 PC를 이용한 사이버 공격과 달리 일반 사용자들이 해커가 악성 자바 스크립트를

설치해둔 웹 사이트를 방문하면 미리 설정된 웹 사이트로 즉각 공격 트래픽을 발생 시키는 방식

- 국정원, 새누리당 웹 사이트 등이 신종 DDoS 공격에 의해 웹 사이트 접속 장애 발생

① 웹 사이트 변조 (악성 스크립트 삽입)

② 웹 서버 접속 ③ (변조) 웹 페이지 다운로드

④ DDoS 스크립트 실행

해커 웹 서버 (일간베스트)

피해 서버

⑤ DDoS 공격

⑥ 웹 페이지 접속 장애

[6.25 신종 스크립트 기반 DDoS 공격 관련 기사] [6.25 신종 스크립트 기반 DDoS 공격 개요도]

8

1. 악성 스크립트 기반 사이버 공격 사례 및 방법 – 신규 공격 유형(3/3)

KRnet 2014

악성코드 없이 웹 페이지 내에 삽입된 스크립트만으로 피해를 유발하는 공격

- 공격자는 다수의 불특정 사용자들이 방문하는 서버를 해킹하여 악성 스크립트를 삽입

- 불특정 다수의 사용자들이 웹 브라우저를 통해 악성 스크립트가 삽입된 웹 페이지를 방문하면

사용자 PC 상에서 악성 스크립트가 실행

- 기업/개인 정보 유출 및 DDoS 공격, 내부 네트워크 스캐닝 등 다양한 피해 유발 가능

공격자

웹 사이트 변조 (악성 스크립트 삽입)

웹 서버

기 업 망

FW등 보안장비 내부

네트워크

네트워크 스캐닝

악성 스크립트

악성 스크립트

DDoS 공격을 통한 장애 유발

공격 대상

기업 내부 정보 유출

9

1. 악성 스크립트 기반 사이버 공격 사례 및 방법 – 특징

KRnet 2014

구 분 기존 사이버 공격 신종 스크립트 기반 사이버 공격

공격 과정 ① 웹 사이트 해킹 → ② 악성코드 삽입

→ ③ 좀비 PC 확보 → ④ 공격

① 웹 사이트 해킹 → ② 악성 스크립트 삽입

→ ③ 공격

공격 도구 공격 전용 악성 프로그램

(DDoS 공격용 악성코드, 개인정보 탈취용 악성코드 등)

웹 브라우저

(악성코드-less)

공격 경로 추적

좀비 PC의 악성코드

감염 경로 등을 추적

공격 경로 추적이 어려움

(웹 브라우저 종료 시 공격에 관련된 데이터 모두 삭제)

(사용자 모르게 웹 브라우저 실행 가능)

공격 효과 좀비 PC 수에 비례 변조 대상 웹사이트의 규모에 비례

가능 공격 DDoS, 개인정보 탈취, 금전적 피해 등 다양함

현재 DDoS 공격 위주로 발생하고

있지만 HTML5 대중화 이후

개인정보 탈취 등 다양한 공격 발생 예상

10

2. HTML5 등장에 따른 웹 이용 환경의 변화 - 개요

KRnet 2014

HTML5는 Web Form, 리치웹 어플리케이션 API 등 다양한 기능 제공

- 오디오/비디오/그래픽 처리, 위치정보 제공 등 다양한 기능 제공

- 추가적인 플러그인 없이 Rich Web 응용을 가능하도록 하는 API 제공

구 분 기능 설명

Form 구성 변경 Web Form form 태그의 다양한 속성 제공

Rich 웹 어플리케이션

API

Canvas 웹에서 2차원 그래프 및 멀티미디어 제공

SVG XML 기반의 2차원 벡터 그래픽

Video/Audio 비디오, 오디오 스트림을 표현하는 미디어 엘리먼트

다양한 응용

Geolocation 브라우저가 사용자 위치를 찾고 App에서 활용

오프라인 웹 응용 인터넷 연결 없이도 웹 응용 실행

웹 SQL DB 다양한 표준 SQL을 지원하는 DB

Web Storage 쿠키 개선, 클라이언트와 키/쌍, 영구 저장 가능

자원 효율 Web Socket 서버의 웹 페이지와 양방향 통신

Web Workers 웹 응용을 위한 스레드 기능의 API

11

2. HTML5 등장에 따른 웹 이용 환경의 변화 – 공격 시나리오(1/2)

KRnet 2014

웹 소켓 악용 공격

CORS 악용 공격 추가된 속성 및 태그 악용 XSS 공격

피해자 웹 서버

3. 탭내빙 악성코드 실행 – 정상 페이지에서 피싱 페이지로 변경

4. 피싱 페이지에 로그인 정보 입력

공격자

1. 탭내빙(Tabnabbing)을 수행하는 악성코드를

게시판에 삽입

2. 탭내빙이 포함된 게시글의 링크 클릭

5. 로그인 정보 공격자에게 전송

특정 웹 서버(취약)

CORS

피해자 공격자

공격 대상 서버(안전)

1. 개인정보를 유출하는 악성 스크립트 파일 업로드

3. 게시글에서 악성코드 링크 클릭

4. 악성코드 수신 및 실행

5. 개인 정보 전송

2. 악성 스크립트 파일을 링크하는 게시글 등록

내부 네트워크 웹 서버

공격자

1. 내부 네트워크를 스캐닝하는 악성 게시글 업로드

2. 악성 게시글 클릭

4. 스캐닝 결과 전송

3. 내부 네트워크 스캐닝

피해자

DB 서버

12

2. HTML5 등장에 따른 웹 이용 환경의 변화 – 공격 시나리오(2/2)

KRnet 2014

File API 악용 공격 Geo-location 악용 공격

피해자

웹 서버

공격자

1. 취약한 웹의 메인 페이지에 악성스크립트를 삽입

2. 악성스크립트가 삽입된 웹 사이트 접속

4. 위치 정보를 지속적으로 공격자에게 전달

3. 브라우저는 자신의 위치 정보를 확인

피해자

웹 서버

공격자

1. 취약한 웹 서버에 무료 바이러스 탐지 프로그램을 가장한 악성 스크립트 게시

2. 웹사이트에 접속 하여, 악성 스크립트가 포함된 게시글 확인

4. 바이러스 검사를 선택한 디렉토리 내의 모든 파일을 Fiel API를 이용한

악성 스크립트에 의해 공격자에게 전송

3. 무료 바이러스 탐지 프로그램을 실행 후 디렉토리 선택

사용자 비정상 과금 로컬 스토리지 공격

관리자

공격자

사용자 A 로컬 스토리지 사용자A – 관리자 대화 내용 사용자B – 관리자 대화 내용

사용자 B

로컬 스토리지 사용자A – 관리자 대화 내용

로컬 스토리지 사용자B – 관리자 대화 내용

관리자와 대화

2. 관리자의 브라우저는 자신의 로컬 스토리지에 있는 모든 대화 내용을 공격자에게 전송

1. 대화창에 로컬 스토리지의 내용을 탈취하는 악성 스크립트 입력

13

2. HTML5 등장에 따른 웹 이용 환경의 변화 – 공격 위협 전망

KRnet 2014

HTML5의 신규 기능을 악용한 다양한 스크립트 기반 사이버 공격 증가 예상

- 원격 쉘, 봇넷 구성 등 다양한 HTML5 악용 스크립트 기반 사이버 공격 시나리오 공개

- HTML5의 신규 태그/속성 등을 악용한 스크립트 기반 악성코드 출현

- 악성 스크립트를 배포하여 사용자 브라우저에 저장된 개인정보를 탈취하는 공격 시나리오 공개

스크립트 기반 사이버 공격으로부터 사용자를 보호하고, 안정성을 사전 검증할 수 있는 기술 개발 필요

HTML5 기반 사이버 공격 시나리오

HTML5 악용 악성코드 출현

HTML5 악용 개인정보탈취 시나리오

14

3. 대응 기술 및 제품 동향 – 기존 보안기술 한계(1/2)

KRnet 2014

방화벽 악성 스크립트 배포 서버

웹 트래픽 (HTTP Traffic)

침입방지시스템 (IPS)

사용자 PC

암호화된 트래픽

스크립트 난독화

일반적인 스크립트 함수

사용 악성 스크립트

[HTTPS(SSL) 암호 트래픽] [난독화된 자바 스크립트]

[6.25 사이버 공격 스크립트]

네트워크 레벨 웹 컨텐츠 분석 및 악성 스크립트 차단 (대응) 기술 필요

웹 서버

웹 방화벽

백신 SW

실행 파일 형태만 검사

사용자 레벨 스크립트 분석 및 악성 스크립트

탐지·실행 방지기술 필요

기존 네트워크 보안 장비의 스크립트 기반 사이버 공격 대응을 위한 경량 탐지 시그니처 공유 등의 기술 필요

기존 네트워크 및 호스트 기반 보안 기술을 통한 스크립트 기반 사이버 공격 대응 한계

- 정상적인 웹 요청에 대한 응답 메시지에 악의적인 스크립트를 삽입하기 때문에 방화벽, IPS 등과 같은 기존 보안

장비에서 탐지가 어려움

- 또한, 트래픽 암호화, 스크립트 난독화, 일반적인 스크립트 함수 등을 사용하기 때문에 공격을 탐지하는 것이

더욱 어려워지고 있는 상황임

- 백신 등 호스트 기반 대응 솔루션은 실행 가능한 형태의 악성코드만 탐지하기 때문에 대응 불가

15

3. 대응 기술 및 제품 동향 – 기존 보안기술 한계(2/2)

KRnet 2014

[사용자 레벨 대응] [악성 URL 접근 차단 대응] [악성 웹 컨텐츠 차단 대응]

백신을 통한 악성 스크립트 차단

브라우저 Sandbox를 통한 스크립트 사전 실행 및 위험성 검증

악성 스크립트

악성 스크립트 배포 서버

URL 접근 차단 시스템

툴바 등 브라우저 플러그인 소프트웨어에서 악성 URL 접근 차단

악성 스크립트 배포 서버

악성 URL 탐지 시스템

악성 URL 악성 웹 컨텐츠 탐지/차단 시스템

웹 컨텐츠 정밀 분석

악성 스크립트 배포 서버

대응 방식 기 능 한 계

사용자 레벨 대응

(백신, 스크립트 Sandbox)

·(백신) 사용자 웹 응답 메시지 분석, 사용자 메모리

영역 스캐닝을 통해 악성 스크립트 탐지·차단

·(Sandbox) 스크립트 실행을 통해 위험성 등

사전 검증

·(백신) 실행 가능한 형태의 악성코드 탐지 기능만 보유

·(Sandbox) 브라우저 기능 업데이트 또는 Sandbox 지원 브라

우저로 변경 등 사용자 환경 변경 발생으로 실제 적용 어려움

악성 URL 접근 차단 대응 ·사용자의 웹 요청시 접근 웹 사이트 URL을 악성

웹 사이트 리스트와 비교하여 웹 사이트 접근 차단

·악성 웹 사이트 리스트 사전 확보 어려움

·모든 악성 웹 사이트 리스트 확보 불가능

악성 웹 컨텐츠 차단 대응 ·네트워크 단에서 사용자의 웹 요청에 대한 응답

웹 컨텐츠 분석을 통해 악성 스크립트 탐지·차단

·국외 대학교, 글로벌 보안 기업 등에서 연구 중인 단계

·웹 컨텐츠 정밀 분석에 따른 사용자 웹 사이트 접근 지연 발생

16

3. 대응 기술 및 제품 동향 – 연구 및 제품 동향(1/4)

KRnet 2014

웹 사이트 동적 방문을 통한 웹 컨텐츠 분석 기술 (SpyProxy) (출처 : SpyProxy: Execution-based Detection of Malicious Web Content, NDSS 2007, University of Washington)

- 사용자 요청에 응답하여 다운로드 된 웹 컨텐츠를 웹 캐쉬에 저장하여 분석한 뒤, 악의적인

컨텐츠가 없을 경우 해당 컨텐츠를 사용자에게 전달함

- Staged Release 최적화 기술을 적용하여 분석에 따른 사용자 지연을 최소화

※ Staged Release : 다운로드된 컨텐츠에 연결된 오브젝트를 모두 분석하기 전에, 분석된 컨텐츠를 전달하는 기술

[ SpyProxy Framework ] [ Staged Release 최적화 기술 ]

웹 컨텐츠 다운로드

가상환경 컨텐츠 분석

분석 완료 컨텐츠 전달

아직 다운로드 되지 않은 컨텐츠

다운로드 되었으나 사용자에게 전달되지 않은 컨텐츠

전달이 완료된 컨텐츠

17

3. 대응 기술 및 제품 동향 – 연구 및 제품 동향(2/4)

KRnet 2014

브라우저 Sandbox 기반 악성 자바 스크립트 차단 기술 (JSand) (출처 : JSand: Complete Client-Side Sandboxing of Third-Party JavaScript without Browser Modifications, ACSAC 2012,

IBBT-DistriNet (Belgium))

- 자바스크립트 실행 엔진 추가를 통해 웹 사이트 접근 시 동작하는 자바스크립트 코드를 분석

하여 악의적인 스크립트의 실행을 차단하는 기술

웹 컨텐츠 행위 분석 기반 악성 스크립트 탐지 시스템(WebShield) (출처 : WebShield, Enabling Various Web Defense Techniques without Client Side Modifications, NDSS 2011, NEC

Laboratory America)

- 네트워크 트래픽 분석을 통해 수집된 웹 컨텐츠를 가상 브라우저에서 실행하여, 행위 분석을

통한 악성 스크립트 탐지 수행

[ JSand System ] [ WebShield Framework ]

브라우저 Sandbox 기반 악성 자바 스크립트 차단 기술 (JSand) (출처 : JSand: Complete Client-Side Sandboxing of Third-Party JavaScript without Browser Modifications, ACSAC 2012,

IBBT-DistriNet (Belgium))

- 자바스크립트 실행 엔진 추가를 통해 웹 사이트 접근 시 동작하는 자바스크립트 코드를 분석

하여 악의적인 스크립트의 실행을 차단하는 기술

웹 컨텐츠 행위 분석 기반 악성 스크립트 탐지 시스템(WebShield) (출처 : WebShield, Enabling Various Web Defense Techniques without Client Side Modifications, NDSS 2011, NEC

Laboratory America)

- 네트워크 트래픽 분석을 통해 수집된 웹 컨텐츠를 가상 브라우저에서 실행하여, 행위 분석을

통한 악성 스크립트 탐지 수행

[ JSand System ] [ WebShield Framework ]

3. 대응 기술 및 제품 동향 – 연구 및 제품 동향(2/4)

18 KRnet 2014

3. 대응 기술 및 제품 동향 – 연구 및 제품 동향(3/4)

19 KRnet 2014

악성 웹사이트 접근을 차단하는 브라우저 플러그인 형태 툴바 프로그램

- WebCheck (한국인터넷진흥원) : 악성코드 유포 현황 탐지 시스템, MCFinder 등에서 추출한

악성 URL 리스트를 기반으로 악성 URL 접근을 탐지 및 차단

- SiteAdvisor (McAfee) : 자체적인 웹 사이트 방문 및 보안 위협 테스트 시스템을 통해 확보한

악성 URL 리스트를 기반으로 악성 URL 접근을 탐지 및 차단

악성 URL 분석을 통해 접근을 차단하는 웹 보안 게이트웨이

- Web INSIGHT SWG (모니터랩) : 자체적인 악성코드 유포 웹 사이트 탐지 시스템의 악성 URL

리스트를 기반으로 악성 URL 추출을 반으로 접근을 차단

※ 세 제품 모두 악성코드 유포 사이트 대응은 가능하지만, 악성 스크립트 유포 사이트 대응은 어려움

[ Web Check 툴바 ] [ SiteAdvisor 툴바 ] [ Web INSIGHT SWG ]

3. 대응 기술 및 제품 동향 – 연구 및 제품 동향(4/4)

20 KRnet 2014

DCI 기술을 통한 스크립트 기반 사이버 공격 대응 플랫폼 ‘WedgeOS‘

- 웹 컨텐츠 실시간 분석을 통한 스크립트 기반 사이버 공격 대응이 가능한 플랫폼

- 세계적으로 유일하게 HTML5에서의 웹 컨텐츠 분석 기능을 플랫폼으로 구현

- 기업 등에 적용하여 실제 스크립트 기반 사이버 공격을 대응한 사례는 없음

※ DCI (Deep Content Inspection) : 트래픽 수집을 통해 개별 컨텐츠 단위로 분석이 가능한 웹 컨텐츠 분석 기술

[ HTML5에서의 DCI 기술 지원 ] [ DCI 기술을 구현한 악성코드 대응 시스템 ]

Deep Content Inspection

21

4. 악성 스크립트 기반 사이버 공격 대응 방안 – 대응 구조

KRnet 2014

네트워크 단에서 악성스크립트 유입 탐지 및 차단(DCI 기술 기반)

호스트 단에서 악성 스크립트 탐지/실행방지

안전한 인터넷 이용환경 조성을 위해 악성 스크립트 배포 서버 탐지

사내 네트워크

네트워크 레벨 스크립트 기반 사이버 공격 탐지/차단

방화벽

호스트 레벨 악성 스크립트 탐지/실행방지

악성 스크립트 실행 방지 (정보 유출 등)

웹 서버

HTML5 안전성 검증을 위한 문서 서명 및 검증 기술(연구)

시그니처

악성 스크립트

DDoS 공격 등 사이버 공격 유발 악성 스크립트

차단

차단

개인정보 탈취 스크립트 악성코드 등

보안 관리자

스크립트 기반 악성 봇

Internet

악성 스크립트 감염 서버 자주 접속하는

외부 서비스 서버

서비스 서버

외부 서비스 서버 모니터링

악성 스크립트 배포 웹사이트 점검

탐지

22

4. 악성 스크립트 기반 사이버 공격 대응 방안 – R&D 사업(1/2)

KRnet 2014

정적 분석 기반 악성 스크립트 배포 웹 사이트 점검 기술

다중 브라우저 기반 웹 사이트 동적 방문 기술

악성 스크립트 추출 및 공격 대상/행위 자동 분석 기술

가상환경 탐지 등 분석 우회 기술 분석 및 대응 기술

최종 목표 스크립트 기반 사이버 공격 사전 예방 및 대응 기술 개발

개발 기술

네트워크 레벨 스크립트 기반

사이버 공격 차단 기술

호스트 레벨 악성 스크립트

탐지/실행 방지 기술

악성 스크립트 탐지 시그니처 관리 기술

네트워크 레벨 스크립트 기반 사이버 공격 차단 플랫폼 웹 컨텐츠 정밀 분석 및 악성 스크립트 탐지 기술 웹 컨텐츠 정밀 분석 전용 웹 캐싱 기술

시그니처 기반 호스트 PC 메모리 영역 고속 스캔 기술 악성 스크립트 실행 방지 기술 송수신 스크립트 자동 추출 및 Sandbox 기반 악성 스크립트 분석/탐지 기술

기대 효과

신종 스크립트 기반 사이버 공격 차단 기술 조기 확보를 통한 기술 우위 선점 사용자 보호를 위한 웹 컨텐츠 보안 기술 보급 및 활성화로 신규 시장 창출 차세대 웹 표준 HTML5 보안위협에 대한 방어기술개발을 통한 안전한 인터넷 환경 조성

악성 스크립트 배포 웹 사이트 점검 기술

대용량 시그니처 저장/관리 플랫폼 동적 심볼릭 수행 정보 기반 범용 경량 시그니처 생성 기술 변종 악성 스크립트 자동 탐지 및 시그니처 자동 업데이트 기술

23

4. 악성 스크립트 기반 사이버 공격 대응 방안 – R&D 사업(2/2)

KRnet 2014

방화벽

웹 서버

방화벽

네트워크 레벨 스크립트 기반

사이버 공격 탐지 /차단 기술 개발

악성 스크립트 탐지 시그니처 관리 기술

악성 스크립트 배포 웹사이트 점검 기술

호스트 레벨 악성 스크립트 탐지 및 실행 방지 기술

침입 탐지/차단 시스템

웹 서버

기업 네트워크

기업 네트워크

악성 스크립트 배포 서버

악성 스크립트 배포 서버

정상 서버

탐지

DDoS 공격 등 사이버 공격

유발 악성 스크립트

개인정보 탈취, HTML5 기반 스크립트 악성코드 등

악성 스크립트

악성 스크립트 탐지 시그니처

악성 스크립트 탐지 시그니처

악성 스크립트

악성 스크립트 탐지 시그니처

악성 스크립트

악성 스크립트 탐지 시그니처

차단

차단

차단

DDoS 공격 등 사이버 공격

유발 악성 스크립트

차단 차단

[HTML4,5]

감사합니다.