랜섬웨어 예방 및 사이버 보안의 첫 걸음

 

< 랜섬웨어 예방 및 사이버 보안의 첫 걸음 >

 

 

■ 1차시 : 악성코드의 종류와 해킹의 방법

 

1. 악성코드의 종류와 역사

- Creeper Virus : 1972년에 처음 발견된 악성코드

 

- 악성코드란?

① 악의적인 + 소프트웨어의 합성어

② 컴퓨터 시스템을 파괴하거나 정보를 유출하거나 허가 없이 시스템에 접속하는 행위등의 역할 수행

③ 바이러스, 랜섬웨어, 웜, 트로이 목마, 루트킷, 스파이웨어, 애드웨어 등과 같이 용도에

따라서 다양한 종류를 가지고 있음

▶ 바이러스(Virus) 설명

① 정상 파일 변조, 숙주 역할의 파일이 필요

② 정상 파일에 악의적인 코드 삽입

▶ 웜(Worm) 설명

① 자기 자신을 복사하는 형태의 악성코드

② 전파수단 : Network, e-mail, USB, SNS...

▶ 트로이목마(Trojan horse) 설명

① 자기 복제 기능 없음

② 정상적인 프로그램으로 위장하고 있으나 사용자 모르게 악의적인 행위를 수행

③ 가장 종류가 다양

▶ 백도어(Backdoor) 설명

① 사용자 모르게 감염 PC에 원격으로 접속

② 원격에서 명령 전달 및 수행

▶ 애드웨어(Adware) 설명

① 광고 목적의 소프트웨어

② 사용자의 입력값에 맞게 광고창 생성 및 검색 결과 조작

③ 국내의 경우 악성코드의 유포 경로로 자주 사용

 

 

 

 

 

 

 

■ 2차시 : 왜 해커는 개인과 기업을 노리나요?

 

1. 우리 회사는 안전할까?

 

- 왜 방화벽으로는 해킹을 막지 못할까요?

▶ 방화벽 : 방화벽의 기본 역할은 신뢰 수준이 다른 네트워크 구간들 사이에 놓여서 신뢰수준이 낮은 네트워크로부터 오는 해로운 트래픽이 신뢰 수준이 높은 네트워크로 오지 못하게 막는 것

 

- 사이버 공격에 있어서 개인도 안전하지 않은 이유

▶ 금전적 이유

① 랜섬웨어 : 파일을 암호화한 이후에 풀어주는 대가로 금전을 요구

② 신용카드 등 개인의 금전 정보 갈취

▶ 다른 목적을 이루기 위한 용도

① 개인 PC를 해킹하여서 ‘좀비 PC'로 만든 이후에 다른 기업이나 개인을 해킹하거나 공격하는데 사용

② 기업내에 있는 개인의 정보를 빼낸 이후에 해당 기업을 협박하는 형태

 

- 공격자는 가장 약한 고리를 노립니다.

▶ 사이버 보안에 대한 투자나 관심이 없는 기업이나 개인

▶ 쉬운 방법과 노력만으로도 원하는 것을 얻을 수가 있음

▶ 가장 약한 고리를 공격하여서 실제 원하는 목적을 이루기도 함

▶ 개인의 정보와 사이버 보안에 대한 대비는 지속적인 관심이 필요

▶ 기업에서는 사이버 보안을 ‘필수적인 요소’로 생각하고 투자 및 관리해야 함

 

- 사이버 공격자에 목표가 되는 이유

▶ 잘못된 투자 우선순위(투자 우선 순위가 낮다고 판단하는 기업)

▶ 잘못된 기술 이해

▶ 부족한 보안 인력

 

 

■ 3차시 : 해킹을 방어하기 위한 기술? 패턴 기반의 방어 방법

 

1. 패턴 기반의 사이버 공격 방어 기법

- 침입방어시스템(IPS)

- 스팸 필터링

- 차세대 방화벽

- 웹프록시(Web Proxy)

- 안티바이러스(=백신, AV)

 

2. 패턴 기반 탐지 방식

- 발견된(알려진) 악성코드나 악성정보등에 기반하여서 악성파일, 악성 통신등을 탐지 하는 기술

- 패턴 기반의 탐지 방식을 사용하기 때문에 바이러스 백신 소프트웨어는 알려지지 않은 새로운 형태의 악성코드를 예측하여 탐지 및 차단할 수 없음.

 

3. 패턴 기반 보안 솔루션

보안사고 발생 → 악성코드 분석 → 악성코드내에서 유니크한 특징 추출 → 사용자 업데이트

 

▶ 침입방지시스템(IPS)

① 안티바이러스(백신) 솔루션이 파일로 저장된 형태의 악성코드를 탐지하는 솔루션

② 침입방지시스템은 파일로 저장되기 이전의 네트워크 통신상에서 이상 징후를 탐지하는 솔루션

③ 마찬가지로, 기존에 알려진 패턴을 기반으로해 서 탐지

▶ 웹프락시(Web Proxy)

① 인터넷을 통해서 웹 사이트에 접속할 때, 개별적인 웹 사이트에 대한 접속 여부 허가/차단

② 기존에 악성코드를 유포한 이력이 있거나, 현재 악성코드를 유포하는 것으로 알려진 웹사이트의 경우 웹프락시 솔루션에 의해서 사전 차단

③ 꼭 악성코드와 관련된 웹 사이트가 아니더라도 회사의 정책에 맞지않는 웹 사이트의 경우 차단이 가능(도박사이트, 포르노 사이트 등)

▶ 스팸필터링

① 이메일로 유입되는 악성코드를 사전에 탐지하고 차단

② 악성코드 이외에도 상업적인 스팸메일, 광고메일 등을 차단하는 기능도 수행

▶ 차세대 방화벽

① 사용자가 이용하는 각종 어플리케이션을 인식, 사용자 프로파일에 근거해서 사용자 인식

② 인식된 사용자를 기반으로 해서, 어플리케이션 기반의 보안 정책을 적용 가능

 

- 백신 소프트웨어가 설치되어 있는데도 보안 사고가 계속 발생하는 이유

· 매일같이 새롭게 발견되는 악성코드에 모두 대응하는 것이 불가능

· 사고가 난 이후에 사후 대응 및 업데이트의 성격이 강함

· 선제적인 대응이나 조치가 아니라 수동적인 대응의 성격

 

 

 

 

 

 

 

 

■ 4차시 : 해킹을 방어하기 위한 기술? 샌드박스와 머신러닝 기법

 

1. 차세대 보안의 출현

 

▶ 샌드박스 탐지 기술

① 사용자의 PC환경과 거의 유사하게 ‘가상의 PC'환경을 구현

② 사용자에게 파일이나 트래픽이 전달되기 이전에 ‘가상의 PC'에서 먼저 실행

③ 나타나는 행위를 살펴보고 악성 여부를 판단

 

▶ 머신러닝 탐지 기술

① 이제까지 발견되었던 수천만개 이상의 악성코드의 데이터를 기반

② 기계학습을 수행

③ 기존에 발견되었던 악성코드에서의 일반화된 내용을 기반으로 앞으로 나올 악성코드 예측 및 대응

 

▶ 샌드박스 솔루션

- 가상머신 탐지 솔루션이라고도 함

- 안전한 환경에서 의심되는 파일을 실행한 이후에 나타나는 ‘행위’를 기반으로 탐지

- 현재까지 가장 진보된 탐지 방법 중 하나

 

▶ 샌드박스 회피 기술에 사용되는 방법 → 다양한 샌드박스 회피기술

- 실행되고 있는 프로세스를 통한 확인

- 사용자의 움직임을 통한 확인 : 마우스 움직임, 키보드 입력, 네트워크 트래픽

- 잠복기를 통한 방법

 

▶ 샌드박스 기반 솔루션 도입시 고려 사항

- 수백개의 파일분석

- 분석 가능한 파일 사이즈(평균 파일 사이즈)

- 다양한 프로그램 지원

 

▶ 머신러닝 기반 솔루션

① 과거에 발견 되었던 수천만개 이상의 악성파일을 일반화 시킴

② 여기에서 나오는 공통점을 기반으로 하여서 기계학습을 시킴

③ 이를 통해서 향후 발생하는 위협에 대처하고자 함

 

▶ Machine-Iearning 기술이 해결책이 될 수 있을까요?

① 바둑을 두거나 얼굴을 인식하는 것과 ‘사이버 공격’에 대응 하는 것은 커다란 차이가 있음

② 정규화된 규칙과 변하지 않는 일관성 있는 것에 대해서 머신러닝의 학습 속도와 정확성은 뛰어남

 

 

▶ 머신러닝에 대한 보완 장치 필요

- 하나의 기술로 모든 사이버 보안을 해결할 수는 없음

- 다양한 기술의 조화와 연동이 필요함

- 가장 중요한 것은 보안에 대한 지속적인 관심

 

 

 

■ 5차시 : 백신의 진화 - 차세대 백신

 

1. 현재 백신 위주 방어 체계의 문제점

- 오래된 방식의 비효율적인 엔드포인트 솔루션에 의존 : 대부분 안티바이러스를 도입하였지만 지속적인 침해사고 발생(시그니처 기반의 방어 솔루션, 기타 엔드포인트 솔루션)

 

2. 어떻게 진화해야 하는가?

- 응답자의 81%는 자신의 조직이 현재 또는 향후 2년 내에 ‘차단’에만 초점을 맞춘 보안 조직에서, “탐지 및 대응”을 수행 할 것이라고 말했다.

 

3. 해킹의 과정에서 악성코드 과정

정찰 → 초기침투 → 거점확보 → 권한상승 → 내부정찰 → 목적달성

 

4. 차세대 백신 - EPP+EDR

- EPP (Endpoint Protection Platform)

: 기존 백신이 가지고 있는 한계를 극복 / 머신러닝, 행위기반 탐지, 인텔리전스 탐지 등을 추가하여서 백신이 탐지하지 못하던 부분 커버

→ 시그니쳐 기반 : Anti Virus, Host Firewall, Host IPS

- EDR (Endpoint Detection & Response)

: 악성코드 이후의 단계를 탐지 및 대응 / 단순 탐지가 아니라, 취약한 부분이 어디 인지 실시간 포렌식 조사를 통해서 확인 가능

→ Gartner(글로벌 시장 조사 기관)의 예측 : “EDR솔루션을 통해서 기존의 엔드포 인트가 가지고 있던 문제점들을 극복할 수 있을것.”

 

5. 차세대 백신의 조건

① 실시간 탐지와 차단 기능

② 조직 내부에 대한 가시성과 인텔리전스 정보 제공

③ 공격자의 행위에 대한 선제적 대응

 

 

 

 

6. 차세대 백신에 포함되는 기능

- 기존의 백신 기술을 토대로 탐지력은 보완 및 발전 시킴

- 악성코드가 아닌 행위에 대한 탐지 및 대응

- 행위기반, 머신러닝 등의 첨단 기술 적용

- 실시간 침해 조사 기능 제공, 렌섬웨어 방어 기능 제공

 

 

 

■ 6차시 : 마술같은 해킹 기법? 워터링홀

 

1. 사이버 공격의 경로

- 이메일 / 웹서핑 / 모바일 / USB / 파일공유 = 다양한 경로를 통한 공격 시도가 이루어짐

 

2. 인터넷 서핑을 통한 사이버 공격 방법

- 악성 유포사이트를 통해서 감염 / 어플리케이션 혹은 OS의 취약점을 공격하는 Exploit / 악성 유포지로부터 악성코드 다운로드 / C&C서버로의 접속

→ 사용자가 해킹된 웹사이트에 접속만 하더라도, 해커에 의해서 공격 받을 수 있음

 

3. 취약점과 익스플로잇

- 소프트웨어에 잠재되어 있는 취약점(Vulnerability) → 취약점을 이용하여서, 악의적인 행위를 하는 코드를 생성(익스플로잇). 이때 해커가 제조사보다 먼저 취약점을 발견하여서 이를 익스플로잇으로 만들어서 사이버 공격에 사용하는 경우에 제로데이 공격이라고 부른다.

- 이스트소프트에서 제공하는 익스플로잇 전용 툴은 ‘익스플로잇 쉴드’로 개인에게 무료로 제공됨

- 취약점(Vulnerability)에 해당 되는 것

① MS Office 소프트웨어에 대한 취약점

② 한컴 오피스에 대한 취약점

③ 브라우져에 잠재되어 있는 취약점

 

4. 워터링홀 공격 6가지

① 해커에 의해서 악성 URL 삽입됨

② 사용자는 ‘정상 웹사이트’에 접속

③ 사용자는 ‘악성코드 유포지’로 자동 리다이렉트 됨

④ ‘악성코드 유포지’에서는 난독화된 형태의 Exploit 코드를 보내서 사용자 시스템의 취약점을 공격

⑤ 다운로드된 악성코드는 ‘사용자 동의’없이 시스템에 설치됨(백신 우회)

⑥ 악성코드는 해커가 만들어 놓은 C&C서버로 접속하여서 추가 명령을 받거나 정보를 유출함

- 안전하다고 생각되는 물웅덩이에서 악어가 사냥을 하는것에 비유

- 정상이라고 생각하는 웹사이트에 익스플로잇을 설치해 두고, 사용자를 감염시키고 해킹 공격하는 방식

 

5. 워터링홀 공격에 대한 방어가 어려운 이유

- 기술적 필요성

① 사용자가 접속하는 모든 웹사이트에 대한 검증이 필요

② 해당 트래픽에 대한 검사는 실시간으로 이루어져야 함

③ 웹트래픽에 대한 분석은 패턴이나 평판 기반이 아닌 방법을 통해서, 악성 유포를 탐지할 수 있어야 함

 

 

 

■ 7차시 : 워터링홀 공격의 피해를 막는 방법

 

1. 워터링홀 공격의 수행(진행) 과정

- 해커에 의해 정상으로 분류된 웹사이트 해킹(익스플로잇 코드) → 해킹된 웹사이트에서 익스플로잇에 의한 악성코드 유포 및 실행 → 감염된 PC에서 해커의 명령제어 서버로 접속(콜백)

- 정상 웹사이트(익스플로잇 코드) → 악성코드 다운로드 및 실행 → 해커의 서버로 접속(콜백)

 

2. 워터링홀 공격의 시작점

▶익스플로잇

Exploit이 포함된 해킹된 정상웹사이트 / Exploit은 웹페이지의 어떤부분에도 존재가능 = Exploit은 악성실행코드와 같은 것이 아님!!

① Exploit 오브젝트가 취약성을 가지고 있는 S/W에 의해서 실행됨

② Exploit은 실행중인 메모리에 코드를 삽입함

③ Exploit에 의해서 제어권이 넘어감

 

3. 소프트웨어의 최신 패치 적용

- 대부분의 익스플로잇 공격은 ‘제로데이’가 아니라 ‘알려진 취약점’을 이용

- 사용자는 대부분 게으르다 → 해커는 바로 이점을 노린다

- 윈도우즈, 오피스, 한컴, 플래시, 자바, 어도비등 범용적으로 사용되는 소프트웨어는 항상 최신 버전으로 유지해야 함

 

4. 바이러스 토탈

- 바이러스 토탈은 google이 운영하는 전세계 최대의 무료 보안 검사 및 공유 사이트

- 바이러스 토탈에는 전세계 59개의 백신 엔진과 65개의 웹사이트 검사 엔진을 무료로 제공

- 의심스러운 웹사이트에는 접속하기 이전에 바이러스 토탈등에서 검사 후에 안전성 여부를 확인 후에 접속하는 것이 좋음

 

5. 구글 세이프 브라우징

① 구글의 크롬 브라우저에서 기본적으로 제공하는 보안 기능

② 구글이 가지고 있는 악성 웹사이트에 대한 정보를 기반으로 해서 사용자에게 경고창을 띄워줌

 

6. 워터링홀에 대응하는 기업의 사이버 보안 - 하지말아야 할 일

- 방화벽으로 워터링홀 공격을 막을 수 있다는 생각

- 기존 백신 소프트웨어로 워터링홀 공격을 막을 수 있다는 생각

- 인터넷을 다 막아버리겠다는 생각

- 개인에 대한 공격에는 대부분 ‘알려진 취약점’을 통한 익스플로잇이 사용

- 기업을 대상으로 하는 공격에는 ‘알려지지 않은 취약점’을 이용한 제로데이 익스플로잇 사용

- 정확한 기술을 이해해야만 기업의 보안을 유지할 수 있음

 

7. 그렇다면 기업에 필요한 방법 - 명심해야 할 것

- 직원들이 사용하는 소프트웨어를 최신의 상태로 유지하는 것

- 의심스러운 웹사이트는 접속하지 않도록 유도하는 것

- 기존에 기업에서 운영중인 보안 솔루션이 가지고 있는 빈틈을 이해하고 이를 보완하기 위한 투자를 진행하는 것

 

8. 워터링홀 공격이 방어하기 어려운 이유

- 제로데이 및 알려지지 않은 취약점 탐지의 어려움

- 사용자 트래픽의 전수 수집의 어려움

- 사용자 트래픽의 실시간 검사의 어려움

 

9. 워터링홀 공격을 막기 위한 방법

- 소프트웨어 최신설치

- 의심스러운 웹사이트 접속 제한

- 샌드박스/머신러닝 등의 최신 기술 도입

 

10. 익스플로잇 공격에 대한 방어

※ 공격자가 가장 약한 고리를 노리는 이유: 쉬운 방법과 노력만으로 원하는 것을 얻으려 함

- 소프트웨어 최신설치

- 의심되는 URL 바이러스 토탈로 확인

- 샌드박스 머신러닝등 최신 기술 이용

 

 

 

■ 8차시 : 이메일을 통한 해킹 기법 - 스피어피싱 공격

 

1. 이메일을 이용한 해킹은 가장 널리 사용되는 방식

- 정보 유출형 사이버 공격에서 가장 많이 사용되는 공격 방식 : 이메일을 이용한 방법(이메일 첨부파일)

- 이메일과 웹접속을 이용한 익스플로잇이 혼합된 공격 형태도 증가

- 이메일 본문내의 URL 링크를 이용하는 방법도 지속적으로 증가 추세

2. 갈수록 정교해지는 이메일을 이용한 공격 기법

- 사회공학적 기법 / 표적의 세분화 / 타겟별 맞춤형 공격 / 신뢰 관계의 송신자로 위장

 

3. 개인의 이메일 정보 유출

- 인터넷 서핑(구글링)이나 소셜미디어를 통해서 이메일 주소를 쉽게 획득 가능

- 추가적인 툴을 이용하면 특정 기업에 대한 이메일 주소등을 몇 번의 클릭만으로 획득 가능

 

4. 고도화 되어 가는 이메일 해킹 공격

- 기존에 사용자들이 보유하고 있는 백신, 스팸 필터링 장비 등에서는 차단이 어려움

- 대부분의 대규모 해킹 사건은 이메일을 통해서 많이 발생함

- 이메일의 첨부파일이나 본문에 삽입된 링크를 클릭하도록 유도

- 대부분 인터넷이나 SNS등으로 목표에 대한 정보를 획득

 

5. 스피어피싱 공격

- 목표가 되는 사용자에 대한 자세한 정보를 기반으로 사회공학적 기법을 적용하여서 공격을 수행하기 때문에 점점 더 방어가 어려워지고 있다.

 

 

 

■ 9차시 : 스피어피싱 공격의 피해를 막는 방법

 

1. 이메일을 이용한 스피어 피싱 공격

- 스피어피싱 : 이메일의 첨부파일, 이메일 본문내 악성 URL 삽입

 

2. 스피어 피싱 방어하기 위한 기본적인 주의 사항

① 의심되는 이메일의 첨부파일은 절대 열어 보지말 것

② 이메일에 포함되어 있는 URL을 클릭할 때 주의할 것

③ 사용하는 PC 소프트웨어와 운영체제는 항상 최신 버전으로 유지할 것

④ 백시 소프트웨어의 자동 검사 기능을 항상 사용할 것

 

3. 개인이 사용 가능한 방법

▶ 바이러스 토탈 : 바이러스 토탈은 운영하는 전세계 최대의 무료 보안 검사 및 공유 사이트

- 바이러스 토탈에는 전세계 59개의 백신 엔진과 65개의 웹사이트 검사엔진을 무료로 제공

- 의심스러운 웹사이트에는 접속하기 이전에 바이러스 토탈등에서 검사 후에 안전성 여부를 확인 후에 접속하는 것이 좋음

 

4. 개인이 사용 가능한 방법 : 웹메일을 통한 필터링

- 각각의 웹메일은 각기 다른 악성코드 탐지 엔진을 사용하기 때문에 이를 조합해서 사용하면 매우 유용함

- 네이버, 구글 지메일, 마이크로 소프트 아웃룩 웹 등과 같은 웹메일 솔루션은 기본적으로 악성코드 탐지 기능을 제공함

 

5. 중소기업 사용 가능한 방법 : 클라우드 기반의 스피어피싱 이메일 방어 솔루션

- 클라우드 기반의 서비스로 스팸 필터링과 이메일 악성코드 탐지 기능

- 차단 서비스를 함께 제공하는 서비스

- 1인당 연간 백신 소프트웨어와 비슷한 수준의 가격 책정

- 클라우드 기반의 구현을 통해 합리적인 가격 제공하는 것이 장점

 

6. 스피어 피싱의 방어 전략

- 이메일은 대규모 해킹 공격에 가장 많이 사용되는 방법

- 또한, 랜섬웨어 유포 공격에도 많이 사용

- 개인 또한 자신의 정보와 자신이 속한 조직의 보호를 위해서 개인 웹메일을 통한 보안 관리에 신경 써야 함

- 중소기업은 클라우드 기반의 이메일 보안 솔루션의 검토 및 도입의 검토 필요

- 대기업과 전문 기관은 전용 솔루션의 도입이 필요

 

7. 스피어피싱 예방법

- 개인은 여러 개의 웹메일을 통해 필터링 후 사용

- 스팸 필터링과 이메일 악성코드 탐지/차단 서비스를 함께 제공하는 클라우드 기반 이메일 서비스는 중소기업에 적합한 방법

- 백신소프트웨어의 자동검사기능은 항상 사용

- 대기업의 경우 피싱에 의한 피해가 막대할 수 있기에 무료로 제공되는 바이러스토탈의 서비스 보다는 별도의 이메일 보안 솔루션을 활용하여 방어

 

 

 

■ 10차시 : 웹사이트를 마비시키는 분산 서비스 공격(DDoS)

 

1. DDOS 공격 (DDoS = Distributed Denial of Service)

- 서비스 거부 공격은 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이요을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다 : 위키피디아

 

2. 분산 서비스거부 공격(DDOS 공격의 형태)

※ 디도스(DDOS)로 인해 생기는 피해 : 사이트 접속 불가, 외부 서비스 불가, 비즈니스의 금전적 손해

- 해커가 좀비 PC들을 동작 시킴 → 네트워크 인프라 공격 → 대역폭 공격 → 서비스불가

3. DDOS 공격과 악성코드의 연관성

- 해커는 악성코드를 유포 시켜서 다수 사용자의 PC를 감염 시킴

- 이때 감염된 PC들은 좀비 PC가 됨

- 해커는 가능한 많은 수의 좀비 PC를 확보한 이후에 명령제어서버(C&C)를 통해서 원하는 목표로 공격 명령을 내림

- 수많은 좀비 PC들이 한번에 표적으로 공격을 수행함

- 결국 악성코드에 의한 좀비 PC감염 그리고 봇넷의 구성이 시작점이 됨

 

4. DDOS 공격에 대한 대응 방법

- DDOS 공격이 대응은 어떻게 하면 서비스의 가용성을 확보 중점

- 방어자는 자신이 관리하는 웹서버 및 DDOS 방어 시스템에 대해서 명확한 이해 필요

- 지속적인 모니터링이 필요

 

5. DDOS 대응 절차(공격 인지)

- 유입되는 트래픽의 양을 정기적으로 모니터링

- 기업에서 운영중인 네트워크 장비/방화벽/서버등에서 유입되는 트래픽의 양을 지속적으로 모니터링 필요

- 유입되는 트래픽이 평소와 다르게 크게 증가하는 경우에는 DDOS 공격을 의심할 수 있음

- 이때, 평소의 트래픽량을 지정하는 ‘임계치’를 설정하여서 이를 넘을 시에 DDOS 공격으로 의심할 수 있는 값을 평소에 지정 필요

- 웹서버의 로그를 통한 확인

- 일반적으로 DDOS는 웹서버의 특정 페이지를 지속적으로 호출함

- 웹서버의 접속 로그를 확인하여서 특정 페이지에 대한 호출이 비정상적으로 증가할 경우에는 DDOS 공격을 의심할 수 있음

- 동시접속 정보를 확인하여서 동시 접속 수가 평소와 다르게 증가하는지 확인 필요

 

6. DDOS 공격을 인지하는 방법

- 네트워크 대역폭 모니터링 / 시스템 자원 모니터링 / 웹서버 접속 로그 확인

 

7. 중소기업 사용 가능한 방법 : KISA의 사이버 대피소

- KISA의 사이버 대피소는 무료이면서 편하고 매우 강력한 방법

 

 

 

 

 

 

 

■ 11차시 : 랜섬웨어란 무엇인가?

 

1. 랜섬웨어 설명

- 주로 이메일 및 악성링크를 통해 감염(99%는 웹서핑과 이메일을 통해 감염)

- 감염 시 시스템 내 문서파일들을 암호화

- 비용을 지불하여 복호화키 제공

 

2. 랜섬웨어의 변화(랜섬웨어의 이름)

- DirtyDecrypt(July 2013)

- CyptoLocker(setp 2013)

- CyptoWall(Nov 2013)

- CtbLocker(July 2014)

- TorrentLocker(Aug 2014)

- TeslaCrypt(Mar 2015)

- New CryptoLocker(April 2015)

- Locky(Feb 2016)

- Cerber(Dec 2016)

- WannaCry(Apr 2017)

- Petya(June 2017)

 

3. 랜섬웨어의 피해

- 이메일/웹 등 다양한 경로를 통하여 랜섬웨어 유입 및 기업/개인 주요 문서/자료 암호화

- 네트워크 드라이브 설정으로 인한 파일 서버/공유 PC등 2~3차 암호화 피해 발생

- 암호화 파일 복구 업체를 통한 주요 문서 유출 가능

 

4. 랜섬웨어의 감염 경로

① 웹을 통한 감염

- 취약한 웹 사이트에 Exploit 삽입하여 유포 : Exploit Kit을 이용하여 주로 유포 유입되는 바이너리는 암호화되는 경우 다수

- 국내 정상 사이트를 통한 유포 증가 : 클리앙 사이트를 통한 랜섬웨어 유포, 인터넷 뉴스 사이트/광고 등을 이용한 유포 증가

② 이메일을 통한 감염

- 피싱 이메일을 통한 유포 : 압축 파일, 문서 파일, html 등 다양한 첨부 파일 유형을 통하여 유입 본문 또는 문서 파일 내 링크를 통한 유포

- 사용자를 속이기 위한 사회공학적인 방법 이용

 

5. 랜섬웨어에 감염된 파일의 복구가 어려운 기술적인 이유

- 비대칭 암호화키 방식을 사용하기 때문임.

 

■ 12차시 : 어떻게 면 랜섬웨어로부터 피해를 당하지 않을 수 있을까?

 

1. 개인이 랜섬웨어의 피해를 줄이기 위해 필요한 조치

① 소프트웨어는 항상 최신으로 유지

- 개인이 사용하는 소프트웨어들은 항상 최신 패치 장착

- 윈도우/오피스/플래시/PDF/한컴오피스와 같은 소프트웨어들은 특히 주의해서 항상 최신의 버전으로 유지할 것

- 대부분의 랜섬웨어는 알려진 취약점을 공격하기 때문임

② 백신 소프트웨어는 항상 최신으로 유지

- 백신 소프트웨어가 알려진 악성코드와 알려진 랜섬웨어를 위주로 탐지/차단하지만 그래도 상당수의 랜섬웨어는 최신의 백시 소프트웨어를 통해서 차단할 수 있음

③ 스마트 파일 백업

④ 무료 랜섬웨어 방어 툴

 

2. 기업 보안에 있어서 중요한 점

※ 감염된 PC가 나왔을 경우 기업 보안 담당자가 알아야 할 사항 : 내부 보안 시스템에 취약한 부분이 있다

- 감염된 PC에 대한 조치만으로 끝나서는 안 되고 더 심각한 잠재적인 피해에 대한 대응책을 세워야 함

 

3. 소프트웨어를 항상 최신버전으로 유지하는 것이 렌섬웨어 에방에 도움이 되는 이유

- 대부분의 랜섬웨어는 알려진 취약점을 이용한 공격을 한다

 

 

 

■ 13차시 : 지능형 지속 위협(APT)란 무엇인가요?

 

1. 디도스/랜섬웨어 vs 지능형 지속 위협(APT : Advanced Persistence Threat)

- 랜섬웨어나 디도스

① 기업과 개인에게 큰 피해를 발생시킴

② 복구 가능한 피해이고 피해에 따른 복구비용이 크게 발생하지는 않음

③ 다시 보완하여서 복구할 기회가 있음

- 지능형 지속 위협(APT)

① 한번 발생하게 될 경우에 복구가 거의 불가능, 기업이 재기하는데 큰 비용과 시간 발생하게 됨.

② 90% 이상의 공격이 ‘웹’과 ‘이메일’을 통해 이루어짐

③ 피해를 입어도 이사실을 모른채 외부기관의 통보를 통해 알게되는 경우가 많음

④ 발생하는 피해로 인해 수억원에서 조단위의 복구 비용이 발생하기도 함.

 

 

2. 지능현 지속 위협(APT)의 실제 공격 사례

- 미국의 유통사 타겟의 정보 유출

- 소닉피쳐스 해킹사고

- 3/20 해킹 피해 사고

 

3. 지능형 지속 위협 기간

- 탐지까지 소요 기간 : 평균 143일동안 공격자의 악성코드가 탐지 되지 않고 내부 네트윅에서 활동 지속

- 치료하는데까지 소용되는 평균 시간 : 평균 치료 소요 기간 123일

 

 

 

■ 14차시 : 지능형 지속 위협에 대한 기업의 대응책은?

 

1. 지능형 지속 위협 발생

- 침투방법 : 이메일, 웹서핑, 모바일, USB, 파일공유 → 다양한 경로를 통한 공격 시도가 이루어짐

- 직접적인 피해 발생 : 복구 비용 / 손실 비용 / 피해 보상

- 간접적인 피해 발생 : 언론 대응 / 감사 대응 / 법적 대응

- 잠재적인 피해 발생 : 인사조치 / 기업 신뢰도 하락 / 주가 하락

 

2. 소프트웨어에 대한 최신 버전 업데이트 유지 장점/단점

- 장점 : 별도의 비용없이 기본적인 대응이 가능, 대다수의 Drive-by-Download 공격은 알려진 취약점을 이용하는 경우가 많음, 타 솔루션 도입과 상관없이 필요한 내용

- 단점 : 제로데이 취약점이나 알려지지 않은 취약점에는 대응이 불가, 개별 사용자의 세심한 관리가 필요, 별도 패치 솔루션 사용시에는 비용이나 추가적인 보안문제 발생 가능성

 

3. 지능형 지속 위협에 대응하기 위해서 기업이 준수해야 할 사항

- 비업무 사이트의 접속을 줄인다(직원 개인)

- 이메일은 보낸 사람을 확인하고 열어 본다

- 사고 발생 시 즉각 보안 담당자에게 통보한다.

- 컴퓨터의 소프트웨어는 최신으로 유지한다.

 

4. 지능형 지속 위협에 대응하기 위해 기업이 준수해야 할 사항

- 보안 솔류션에 대한 투자를 정기적으로 집행한다.

- 내부 보안 담당 인력을 키운다.

- 사고 발생에 대비한 ‘행동ㅇ 매뉴얼’을 평소에 작성한다.

- 보안 솔루션은 항상 최신의 상태로 유지한다.

 

5. 지능형 지속 위협에 대응하기 위해 기업이 명심해야 할 사항(APT공격은 왜 심각한 피해를 주는가?)

- 침해는 발생할 수 있다.

- 기계가 알아서 모든 것을 해줄 수는 없다.

- 실제 사이버 공격이 어떻게 이루어지는지 이해해야 한다.

 

6. 기업의 보안 탐지 체계의 강화

▶ 웹/이메일 APT위협 탐지(대응)역량 강화

- 가상머신 또는 머신러닝과 같은 기술을 이용한 알려지지 않은 공격 탐지(대응)

- APT위협 가시성 확보

- 공격자 C&C접속, 악성코드 유포지 차단

▶ 능동적인 탐지/대응, 인텔리전스 축적

- 배치된 APT전용장비를 통한 위협 현황 수집

- 위협 현황 통계, 분석 정보 기반의 능동적 탐지/대응

- C&C, 악성코드 정보/유포지 등 프로파일링-인텔리전스

 

7. 망분리 솔루션(악성코드로 인한 피해 최소화)

① 영역 분리로 감염 범위 최소화

② 업무 영역으로 악성코드 전파 차단

③ 해커에 의한 업무망 PC 제어방지

<망분리는 만능이 아니다!>

- 효율적이고 강력한 방법이지만 만능은 아니다

- 최근에 발생한 많은 APT 사고는 망분리가 되어 있는 상태에서 발생한다

- 망분리는 방어책의 하나라는 점을 명심해야 한다

<기업의 대응 전략>

- 사고는 발생할 수 있음 하지만, 피해는 줄일 수 있다

- 방어자가 유리한 환경으로 전략을 전환하자

- 보안에 대한 투자는 현대 비즈니스에 있어서 가장 중요한 부분

 

8. 망분리 솔루션의 동작 방식과 상관 없는 것

- 인터넷망과 업무망을 분리

- 인터넷망과 업무망간의 자료 전송을 위해 ‘망연계’ 시스템을 사용

- 망연계 구간에서 파일을 전송할 때 백신으로 검사

 

 

 

 

 

 

 

■ 15차시 : 보안 인텔리전스란 무엇인가?

 

1. 위협정보와 위협 인텔리전스의 차이

- 위협정보(단순한 데이터) : 악성코드 이름

- 위협 인텔리전스 : 공격 그룹 정보 / 공격 의도 / 주요 공격 대상 / 공격 능력 /

사용된 취약점 / 과거 연관 공격 정보 / 공격 성공 정보 / 추가 IP주소 및 도메인 /

사용된 악성코드 정보 / 침투 방법

 

2. 초기침투 단계

- 공격이 수행되는 과정에 있어서 악성코드를 이용해서 초기에 공격하는 과정

 

3. 공격이 실제 발생되기 이전에 보안 인텔리전스 역할

- Before : 공격그룹의 움직임 파악, 관련 공격전략의 파악, 기업의 피해에 대비하기 위한 투자 및 조치, 추가 확산 및 동향 파악

- During : 보안 이벤트에 대한 우선 순위 제공, 공격의 방향 및 향후 상황에 대한 예측, 인텔리전스에 기반한 방어 전략 수립

- After : 피해기업으로 부터의 정보 및 내부영향 확인, 침해사고대응, 사전수집된 정보를 바탕으로 효과적 복구방안수립

 

4. 사이버 보안 인텔리전스 기업의 확보.

- 보안 모니터링을 통해 더 빠른 탐지, 시기를 놓치면 대응이 불가능한 위협에 대한 정확한 정보, 다른 조직의 침해사고로 얻은 정보 등으로 탐지룰 없이 탐지, 오탐 제검 및 위협정보의 공격 정황을 통한 정탐 여부 확인

- 공격의 이해를 바탕으로 빠른 침해사고 대응(공격의 방식/목적/피해확산방지방안 등), 공격그룹의 목적에 따라 대응업무의 우선순위 선정, 공격의 전략/그룹/목적/역량 등의 정보를 바탕으로 보안운영에 대한 계획 및 개선 수립

 

5. 글로벌 연구기관

- Ponemon에서는 81%의 응답자는 향후 보안조직에서 탐지 및 대응을 수행하게 될 것이라고 응답함.

 

 

 

■ 16차시 : 4차 산업 혁명의 화두 - 보안과 사물인터넷

 

1. 4차 산업혁명이란 무엇인가

- 1차 산업혁명 - 기계화 혁명/18세기

- 2차 산업혁명 - 대량생산 혁명/20세기 초

- 3차 산업혁명 - 지식정보 혁명/20세기 후반

- 4차 산업혁명 - 지능 혁명/현재

(예시) 자율주행차의 시대가 해커로부터 안전하지 않은 이유 : 자동차에 포함된 다양한 센서가 해킹될 수 있기 때문에

 

2. 4차 산업혁명의 핵심 기술

- 인공지능, 사물인터넷, 빅데이터

 

3. 4차 산업혁명 시대의 사이버 보안은?

- 현재의 보안 : 데이터에 대한 사후적 보안

- 앞으로의 보안 : 데이터는 물론이고, 사람, 사물, 그리고 비즈니스에 대한 보안 필요

 

4. 4차 산업혁명을 대비한 보안 체계의 핵심 요소들

- 클라우드 : 향후 사물인터넷 환경의 보안에 대응하기 위한 필수 요소, 클라우드 기반의 시스템 구성으로 물리적/지리적인 모든 제약을 없애줌

- 빅데이타 : 수집되는 모든 로그와 보안 이벤트의 상관 관계를 자동으로 분석, 이를 통해서 공격의 의도를 파악하여서 잠재적인 미래의 위협에 대응

- 머신러닝 : 방대한 빅데이타를 기반으로 하여서 스스로 상에 적응하여서 위협에 대응, 모든 보안 위협에 대해서 자동화된 프로세스를 통해서 실시간 대응, 학습된 정보를 기반으로 잠재적인 위협에 대응

 

5. 4차 산업혁명 시대 보안 체계 발전 모델

- 인텔리전스 기반의 자동화, 머신러닝의 강화, 빅데이터 분석