Security. unlimited possibilities

8월 악성코드 피해건수 7월보다 10.1% 감소...온라인게임핵 21.9%

최근 C&C 서버 통해 원격조종 가능한 안드로이드 악성 앱 발견 주의! 

[보안뉴스 권 준] 지난 8월의 악성코드 피해신고 건수는 총 1,472건으로 7월의 1,638건과 비교해 10.1% 감소한 것으로 나타났다. 주요 악성코드로는 게임계정 탈취목적의 온라인게임핵(OnlineGameHack)이 21.9%로 가장 높은 비율을 나타낸 것으로 집계됐다. 

이러한 집계결과는 KISA 인터넷침해대응센터가 발표한 8월 인터넷 침해사고 동향에 따른 것으로, 8월의 해킹사고 접수처리 건수는 총 2,173건으로 7월(1,937건) 대비 12.2% 증가한 것으로 나타났다. 

유형별로는 스팸릴레이, 홈페이지 변조, 피싱경유지 등은 감소한 반면, 단순침입시도 유형이 전월대비 155.8% 증가하면서 전체건수 증가로 이어진 것으로 조사됐다.

또한, KISA 인터넷침해대응센터에서 지난 8월 한달 동안 탐지 조치한 악성코드 은닉사이트는 총 1,495건으로, 7월 721건과 비교해 107.4% 증가했다. 악성코드가 은닉된 홈페이지를 기관 유형별로 분류해 보면 기업이 755건(50.5%)으로 가장 많았고, 웹서버 유형별로는 MS IIS가 522건(34.9%)으로 가장 높은 비중을 차지한 것으로 집계됐다.

이와 함께 KISA 허니넷으로 유입된 8월의 전체 악성코드 샘플은 7월 대비 11.8% 증가했고, 악성코드별로는 Starman(71.3%) 계열이 가장 많이 수집된 것으로 집계됐다. 신규 수집된 악성코드의 유포국가별로는 미국(27.9%)이 가장 큰 비중을 차지했고, 대만(6.0%), 중국(5.9%), 브라질(2.9%) 등의 순으로 나타났다.

허니넷에 유입된 8월 한 달 동안의 전체 유해 트래픽은 약 465만 건으로 7월(851만건)에 비해 45.3% 감소했고, 해외 IP로부터 유발된 트래픽이 86.2%로 대부분을 차지했는데, 그 가운데서도 중국(59.6%)에서 유발된 TCP/1433 포트스캔이 가장 높은 비중을 차지했다. 

국내의 경우 ISP 일부구간에서 수집된 포트별 트래픽 양은 7월에 비해 감소했고, TCP/80을 제외하면 TCP/10005, TCP/443, TCP/5003, TCP/8080 포트 등에서 상대적으로 많은 트래픽이 발생한 것으로 나타났다. 

국내 ISP 일부구간에서 수집된 공격유형별 트래픽을 살펴보면, 디도스 공격시 유발되는 트래픽 형태인 TCP ACK Flooding, Open Tear, UDP TearDrop 등이 상대적으로 많았던 것으로 집계됐다. 

한편, 8월의 주요 보안이슈와 관련해 KISA 인터넷침해대응센터 측은 “특히, 지난 8월에는 일반 PC에서도 많이 사용되고 있는 Oracle Java에서 제로데이 취약점이 발견됐고, 웹사이트를 통한 악성코드 유포에 악용되는 사례가 급증하고 있어 인터넷 이용자들의 주의와 적극적인 보안조치가 요구된다”고 밝혔다.

이에 따라 설치된 제품의 최신 업데이트 버전을 다운로드 받아 설치하거나, Java 자동업데이트를 설정해 적용할 것을 권고했다.

이와 함께 올해 들어 안드로이드 모바일 기기를 대상으로 한 악성코드가 크게 증가하고 있는 가운데, 최근 명령제어 서버(C&C)를 통해 원격에서 조종할 수 있는 악성 앱이 발견되어 더욱 주의가 요구된다는 것.

이와 관련 KISA 측은 “제조사 및 이통사의 앱 스토어를 통해 앱을 설치하고, KISA가 개발·보급한 스마트폰 보안 자가점검 앱 ‘S.S Checker’ 등 모바일 백신 및 보안 앱 등을 통해 스마트폰의 비밀번호(패턴) 설정 및 백신설치 여부, 설치프로그램의 악성코드 감염여부 등을 점검할 것”을 당부했다. 

[권 준 기자(editor@boannews.com)]

<사내보안정책수립에도순서가있다>

작성: 한국정보보호진흥원 IT기반기획팀

사내보안정책수립에도순서가있다.pdf

<목차>

1. 기업 정보보호 자가측정 리스트

2. 기업 보안정책 수립시 체크리스트

3. 네트워크 관리자 체크리스트

4. 웹 방화벽 체크리스트

5. 웹 관리자 체크리스트

6. 서버보안 관리자 체크리스트

7. 사내 PC 관리담당자 체크리스트

8. PC보안 체크리스트

Web Hacking Tools ( provide: http://www.webhackingexposed.com/tools.html )

Free Web Security Scanning Tools 
Nikto
N-Stalker NStealth Free Edition
Burp Suite
Paros Proxy
OWASP Webscarab

SQL Injection
SQL Power Injector by Francois Larouche
Bobcat (based on "Data Thief" by Application Security, Inc.).
Absinthe - free blind SQL injection tool
SQLInjector by David Litchfield
NGS Software database tools

Cross-Site Scripting (XSS)
RSnake's XSS Cheat Sheet 
XSS-Proxy

IE Extensions for HTTP Analysis
TamperIE
IEWatch
IE Headers
IE Developer Toolbar
IE 5 Powertoys for WebDevs

Firefox Extensions for HTTP Analysis
LiveHTTP Headers
Tamper Data
Modify Headers

HTTP/S Proxy Tools 
Paros Proxy
WebScarab 
Fiddler HTTP Debugging Proxy
Burp Intruder
WatchFire PowerTools
ProxMon
ratproxy

Command-line HTTP/S Tools 
cURL
Netcat 
Sslproxy
Openssl 
Stunnel 

Sample Applications 
Bayden Systems' "sandbox" online shopping application 
Foundstone Hacme Bank and Hacme Books

Web Site Crawling/Mirroring Tools
Lynx
Wget
Teleport Pro
Black Widow
Offline Explorer Pro

Profiling
HTTPrint for fingerprinting web servers
Jad, the Java Dissasembler
Google search using "+www.victim.+com" 
Google search using 뱎arent directory� robots.txt

Web Platform Attacks and Countermeasures
Microsoft IIS Security Bulletins and Advisories
Apache Security Bulletins
Metasploit Framework
Microsoft URLScan
Apache ModSecurity

Commercial Web App Vulnerability Scanners 
Acunetix Enterprise Web Vulnerability Scanner
Cenzic Hailstorm
Ecyware GreenBlue Inspector
Syhunt Sandcat Suite
SPI Dynamics WebInspect
Watchfire AppScan
NTObjectives NTOSpider
Compuware DevPartner SecurityChecker
WhiteHat Security

Web Authentication Attack Tools 
Brutus AET2
Hydra
WebCracker
NTLM Authentication Proxy Server (APS)

XML Web Services (SOAP)
WebService Studio
WSDigger
SoapClient.com
XML eXternal Entity (XXE) Attack
XPath Injection
"Blind XPath Injection" by Amit Klein

클라우드 컴퓨팅을 외치는 기업에서 막상 클라우드 서비스를 이용하지 말라고 기업 내부 보안 지침을 마련했다면 믿겨지겠는가. IBM이 그런 행보를 보이고 있다. 말로는 ‘BYOD 프로그램’을 도입해 사내 직원들이 자신의 기기로 근무할 수 있는 환경을 적극 장려해놓고는 막상 직원들에겐 IBM만의 클라우드 스토리지 서비스와 웹메일 서비스를 쓸 것을 강요하고 있다.

자네트 호란 IBM 최고정보책임자가 최근 공개한 사내 보안 정책에 따르면, IBM은 사내 직원들이 드롭박스나 애플 아이클라우드 같은 경쟁 클라우드 스토리지 서비스를 사용하지 못하게 해당 서비스들의 내부 인트라넷 접속을 차단했다. 더레지스터는 “최근에는 여기에 더해 아이폰4S의 ‘시리’ 기능도 IBM 사내에서 사용할 수 없게 조치를 취한 것으로 알려지고 있다”라고 전했다.

첨단 정보기술과 서비스를 고객에게 선보이는 IBM이 사내에서는 발전하는 기술에 적응하지 못하고 후퇴하는 듯한 모양새를 연출한 것이다. IBM이 왜 이런 조치를 취했는지 배경은 충분히 짐작 간다.

더버지에 따르면, 최근 IBM이 내부 직원들을 대상으로 실시한 설문조사에서 상당수 직원들이 개인 웹메일 계정을 통해 사내에서 외부로 e메일을 보내는 것으로 나타났다. 문제가 된 건 그 다음이다. 이들 직원들이 자신들의 행위가 회사 내 보안 위협이 되지 않는다고 판단했다. IBM으로서는 직원들이 업무용으로 지급받은 기기 외 자신의 기기로 근무하는 일이 많아지면서 사내 기밀이 스마트폰과 태블릿 같은 스마트 기기로 유출될 가능성이 높아진 셈이다.

호란 최고정보책임자는 “IBM 내 40만명 직원 중 4만명은 회사에서 지급한 블랙베리를 사용하고 있지만, 다른 8만명은 다른 장비를 구입해 일하고 있다”라며 “자신의 기기를 통해 사내 인트라넷에 접속을 요구하는 직원들이 점차 늘어나고 있어 이에 대비한 조치가 필요한 상황”이라고 설명했다. BYOD 근무 환경을 맞아 IBM에 내부에서도 과거와는 다른 변화된 보안정책이 필요해진 것이다.

결국 IBM은 보안 앞에 BYOD 정책을 한수 접었다. 사내 기밀 유출 방지가 클라우드 서비스 도입보다 더 시급하다고 판단했다. 이를 위해 IBM은 경쟁사 클라우드 스토리지보다 IBM 자사 클라우드 스토리지 서비스인 ‘마일 모바일 허브’를 사용하도록 인트라넷 환경을 바꿨다. 사내 네트워크에 접속하려면 직원 기기 인증 과정을 거쳐야만 접속할 수 있게 만들었다. 이 때 인증 받은 기기들은 원격으로 제어해 정보 유출 가능성을 막았다.

IBM은 사내 직원들이 애플의 음성 제어 검색엔진을 사용하면서 직원들 몰래 기밀이 유출될 수 있다고 내다봤다. 시리를 쓰면서 작동하는 음성 쿼리가 사내 인트라넷에 접속해 텍스트로 저장된 정보를 음성으로 변환해 애플 서버에 저장할 수 있다는 생각에서다. 사내 직원들이 아이폰을 사용하면서 ‘시리’를 쓸 수 없는 건 이 때문이다.

“아주 보수적인 사내 보안 정책으로 비치겠지요. 하지만 어쩔 수 없습니다. 사업을 지키기 위해서는 이런 보안 정책을 유지해야 한다고 봅니다.” 호란 최고정보경영자는 ‘보수적인 보안 정책’이라는 점을 인정하면서도 ‘어쩔 수 없는 선택’이었음을 이해해 달라고 부탁했다.

호란 최고정보책임자는 지난 3월 BYOD는 단순한 모바일 기기를 활용해서 근무하는 게 아닌, 직원들이 원하는 형태로 근무를 지원하는 새로운 근무 환경이라며 효과적인 근무를 위해 어떤 기기와 솔루션이 가장 적합하게 작용할지를 판단하는게 CIO의 핵심 임무라고 말한 바 있다. 아마 IBM의 CIO는 보안을 유지하는 게 직원들이 효과적으로 근무할 수 있는 환경이라고 판단한 듯 하다.