“침투한 악성코드의 활동, 보여야 해결할 수 있다.”

(내부망 현황인지를 통한 보안지표 수립)

김혁준 ㈜나루씨큐리티

발표자 소개

• 국방부 조사본부 지정 침해사고대응 자문위원

• 국군 사이버사령부 공식 민간자문위원

• 군 시설파괴 민감정보 유출 사고탐지 원인분석 자문위원

• 미래부 지정 민관합동 조사단 조사위원

• 미래부 지정 사이버보안전문단

• 삼성전자 내부망 타겟공격 탐지/대응 컨설팅 수행

• 외환은행 내부망 타겟공격 탐지/대응 컨설팅 수행

• 2007년 FIRST 국제 정보보호 모범사례 수상

위협현황

정보보호의 시작 - 모리스웜

• 1988년 11월 2일 로버트 모리스에 의해 MIT에서 전파

• 최초의 컴퓨터 웜으로 자기복제 및 네트워크 트래픽 생성

• 당시 인터넷의 10%인 6,000대의 메인프레임 감염

• 감염과정에서 인터넷망의 서비스거부효과 발생

• 이 사고를 통해 DARPA에서 USCERT/CC 창설

정보보호의 시작 - 슬래머

• 2003년 1월 25일 MS-SQL 서버 버퍼오버플로우 취약점 공격

• 미국, 호주에서 공격트래픽이 유입되어 초당 1만~5만개 생성

• 국내에서는 전 세계 11.8%인 8만 8천대 감염

• 주요 DNS 장애를 유발하여 장시간 인터넷 장애 유발

• 이를 계기로 KISC(침해사고대응센터) 설립됨

사이버위협의 진화

고도화되는 침해사고

Operation Orchards(Syria Al Kibar) Stuxnet(Natanz, Iran)

Operation Aurora Special Source Operation

문제점

모든 네트워크는 다르다

Well Controlled Global Network Networks with High DoF

Intermediary Network Closed Network

타겟공격을 탐지하지 못하는 이유

• 가로등 효과는 대표적인 관찰오류에 해당한다.

• 이는 매우 일반적인 오류로 많은 사람들이 이를 모르거나 굳이 알려고 하지 않는다.

• 시그니처 기반의 침입탐지/침입방지 장치, 방화벽 등은 타겟공격을 볼 수 없다.

• 이러한 공격에 대응하기 위해서는 발생하는 위협에 대한 모델링이 필요하다.

• 알 수 없는 위협을 알려진 위협에서 찾을 수 없다.

정밀성과 정확성의 차이

High Precision Low Accuracy

Low Precision High Accuracy

High Precision High Accuracy

• 시그니처 기반 시스템은 높은 정밀성 낮은 정확성을 가진다.

• 내용 기반 시스템은 낮은 정밀성 높은 정확성을 가진다.

• 문제해결을 위해 높은 정밀성 높은 정확성을 필요로 한다.

해결방안

현황인지를 통한 징후탐지

• 내부활동 호스트의 수 및 운영체제 및 호스트 별 사용 운영체제의 수

• 내부망 대역별 활성화된 호스트 분포 및 변화추적

• 활성화된 내부망 서비스 분포 및 변화추적

• 내부망 자산간 통신현황 및 변화 추적

• 지속통신의 수 및 통신접점 변화추적

공격의도 중심의 위협인지

• 알려지지 않은 바이너리파일 다운로드 및 인텔리전스 확인

• 알려지지 않은 지속통신 탐지 및 알려진 지속통신 변화추적

• 지속통신 접점과 연결된 내부망 호스트의 수

• 불법 운영체제, 어플리케이션 및 장치 탐지

• 알려지지 않은 지속적 데이터 유출탐지

명령제어 채널의 형태

내부망 통신연결 상황탐지

• 지속적으로 내부망 호스트간 연결도 및 변화 추적

• 연결시도와, 실연결을 구분하여 이상징후 탐지

• 연결도 변화 시 이를 이상징후로 인지

• 연결도 변화 정도에 따라 차별적인 대응순위 도출

사이버킬체인 기반의 사고추적

• 사이버킬체인 기반의 인과관계(Causality Tracking) 분석

• 누적데이터 분석을 통한 공격자의 움직임 분석

• 기존상태에서 발생한 변화 추적

• 침해사고 대응 우선순위 부여

• 네트워크/호스트 기반의 증적 수집 및 증적 기반 대응

지속적 정보유출 탐지

• 실시간 및 누적시간 정보유출 탐지

• 서버/클라이언트 비율검사를 통한 징후탐지

• 정규프로토콜, 비정규프로토콜 기반의 정보유출

• 내부망 호스트 간 정보흐름 추적

원형 사이버킬체인 모델

사례분석

OO전자 - 2013.07.26~31

• OO전자 사업장 및 공장 내부망 약 10,000대 컴퓨터 네트워크 점검

• HTTP CONNECT 메소드를 이용한 내부 보안통제우회 외부접속 탐지

• masterconn2.qq.com 등 기존방어체계를 우회한 다수의 악성 C2 탐지

OO병원 - 2013.08.13~20

• 병원 네트워크에서 사용자 진료기록 및 X-RAY 정보 등 민감정보 노출 탐지

• 병원 네트워크 내/외부에서 P2P를 이용한 다수의 정보유출 정황 탐지

• 정보보호 정책을 위반한 웹하드 서비스를 이용한 정보유출 사실 탐지

• 비정규 포트를 이용한 외부 SSH 서버 지속접속 및 정보전달 사실 탐지

미국 OO사 - 2014.02.25-03.04

• US 기업 내부망에서 24개의 알려지지 않은 비콘형 명령제어 채널 탐지

• 동일 네트워크에서 104개의 역접속(백도어) 통신 탐지

• 예방체계를 우회한 다수의 알려진 악성명령제어 채널 탐지

OO게임사 - 2014.04.03-09

• OO게임사 유럽 지사 검사결과 총 56개의 알려지지 않은 지속통신 사실 탐지

• 러시아, 세르비아, 우크라이나 등 비즈니스관계가 없는 지역으로 백도어 통신 탐지

• 내부망 대역에서 42개 내부 컴퓨터의 폴란드 특정 네트워크 지속접속 탐지

OO대학교 2014.07.25-08.02

• 77개의 설치된 백신 등의 예방체계를 우회한 알려진 악성 명령제어 채널 탐지

• 탐지된 명령제어 채널에는 총 1,590개의 내부망 컴퓨터가 좀비화되어 연결됨

• 총 50개의 애드웨어에 5,210개의 내부망 컴퓨터가 좀비화되어 연결됨

• 총 85개의 내부망 호스트의 파밍용 악성코드에 감염으로 파밍사이트 연결 탐지

• 총 82개의 알려지지 않은 명령제어 채널에 2,502개의 내부망 호스트 연결 탐지

OOO 국내 대기업 2014.11.3-26

• 국내 OOO 대기업 내부망에서 총 229건의 악성 및 의심 명령제어 및 백도어 트래픽 탐지

• 탐지된 229건의 의심 트래픽 중 1,000여 개의 내부망 호스트가 연결된 39개의 의심 백도어 탐지

• 37개의 목적지는 백신, 파이어아이 등 내부에 방어체계를 우회한 알려진 악성 코드 통신지로 확인

• 60개는 악성으로 판정 된 URL 접속 트래픽이며, 82개는 알려지지 않는 명령 제어 채널 탐지됨

OOO 국내 대기업 2015.04.10-17

• 전문관제 업체에서 파견관제를 받고 있는 국내 OOO 대기업 본사에서 약 일주일 간 내부망 트래픽 점검

• 내부망 PC가 침해되어 영국령 터크스케이커스 제도 및 불가리아에 있는 서버에 지속통신 발생 탐지

• 내부망 PC를 이용하여 미국 및 독일의 대학으로 DNS 플러딩 및 슬로우드립 공격 발생 탐지

• 내부 임원 PC가 침해되어 명령제어 채널이 운영 및 내부망 수평이동 탐지

OOO 국내 대기업 2015.6.30-7.03

• 내부망에서 사용되는 안랩 등 보안관련 서비스에 대한 피싱공격을 통한 통신 하이재킹 탐지

• 포트기반 보안통제를 우회하여 TCP/25 포트를 이용한 비콘형 백도어 탐지 • 포트기반 보안통제를 우회하여 UDP/53 포트를 이용한 비콘형 백도어 탐지 • 내부망 다수의 호스트에서 방화벽 정책을 우회하여 내부망 호스트에 직접

접속이 가능한 프로그램 설치 확인

내부망 보안지표수립

내부망 장기지속통신현황 변화추적

신뢰도기반 지속통신 변화추이

신뢰도 기반 지속통신 분류 및 변화추적

내부망 바이너리 다운로드 변화추적

국가별 내부망 바이너리 다운로드 현황

사이버킬체인 기반 사고추적

감사합니다.