랜섬웨어

국가기반시설 연이은 해킹사고 발생에 대한 공격방식과 대응방안은?

1,885    2015-10-07


개요  

서울메트로 (지하철 1~4호선)의 핵심 서버를 북한으로 추정되는 사이버테러 조직에 의해 해킹 당해 최소 5개월 이상 장악되었던 것으로 밝혀졌습니다.


서울메트로에서 제출한 ‘해킹 사고 조사 결과 보고' 자료에 따르면 지난해 7월 북한으로 추정되는 사이버테러 세력이 서울메트로의 'PC 관리 프로그램 운영서버' 등 2대를 해킹해 PC 213대에 이상 접속 흔적을 진행했으며 PC 58대는 악성코드에 감염되었습니다.


국가정보원 국가사이버안전센터의 조사 결과, 지난 3.20 · 6.25사이버 테러때 방송사와 언론사, 청와대, 금융기관의 전산망을 마비시킨 것과 동일한 수법인 이른바 'APT (Advanced Persistent Threat) 방식'이 사용되었다고 보고했습니다.



해킹 방식

▶ 출처: 연합뉴스


지난 2013년 3월 KBS/MBC 등 방송사와 신한은행/농협 등 금융 기관의 전산망을 마비시킨 APT (Advanced Persistent Threat) 방식을 사용된 것으로 추측되며 해커가 악성코드를 삽입한 사이트에 접속한 임직원 PC가 악성코드에 감염되면서 관리자 PC 및 서버의 권한이 탈취된 것으로 추측됩니다.



APT 공격에 대한 대응이 어려운 이유? 

 


· APT 공격의 경우 특정 목표를 정하고 그것을 집중 공략하기 때문에 해킹 수준이 높고 치밀하여 방어가 어려움 

· 메일 첨부파일 또는 웹브라우저 나 ActiveX 컨트롤 관련 취약점 (OCX 파일) 등을 이용한 공격 방법은 정상적인 사용자, 접속 방식을 사용함에 따라 허용된 보안 정책에서 탐지 및 차단이 쉽지 않음 

· 지능화된 공격으로 인해 백신 및 네트워크 장비 등 기존 백신 보안 인프라를 쉽게 회피할 수 있으며 특히 패치되지 않은 취약점을 이용하는 제로데이 공격 (zero-day attack)에 대한 뾰족한 대응 방안이 없음



대응 방안 (APT)   

· 가능한 빨리 백신 패치 및 기타 보안 업데이트를 설치하는 것이 간단한 방법이지만 관리가 어려우며 원천 방어 불가함 

▷ 메일 첨부파일 또는 웹브라우저 나 ActiveX 등을 이용한 신종 악성코드 감염 방식은 패치 전까지 방어 불가

· 가장 효과적인 대응 방법은 새로운 공격 패턴이 발생되기 전에 이를 예방하는 것

▷ WhiteList 통제 


내부에서 사용하는 프로세스를 대상으로 검토 및 분석 후 검증된 프로세스만 허용하도록 하여 검증되지 않은 프로세스에 대해서는 실행이 되지 않도록 설정하여 새로운 공격 패턴(악성코드)에 대한 대응 가능



댓글 : 0