이 자리에서 한국인터넷진흥원 이재광 분석1팀장은 ‘2017년 국내 사이버 침해사고 분석 및 2018년 사이버위협 전망’(부제: 변화의 흐름 속에서 우리는 안전한가?)을 주제로 키노트 발표를 진행했다.
이재광 팀장은 이날 키노트 발표에서 △계정탈취 방어력 △내부망침투 방어력 △WeakPoint 방어력 △거점구축 방어력 등을 중심으로 올해 침해사고 사례를 분석해 눈길을 끌었다.
계정탈취에 의한 사고를 소개하며 해커들의 홈페이지 공격의 위험성을 예로 들었다. 김 팀장은 모 기업이 해킹을 당한 후 공격을 바로 인지하지 못한 이유에 대해 최초, 서버 자체의 공격이 아닌 정상적인 로그인 시도로 인지했지만 이후 웹로그 확인을 통해 인지하게 됐다. 이후 회원 서버 IP에 80/443 TCP Syn과 SSL hello 패킷에 대해 10회 임계치를 설정했다고 설명했다.
이어 내부망침투 공격에 대해 ‘Supply Chain Attack’ 공격 사례를 상세히 설명했다. 김 팀장은 원격관리 루트와 내부망에 존재하는 자동 업데이트 SW 보안강화, 개발환경 점검과 모니터링 강화, 취약점 관련 시야 확보 및 업데이트 후 점검을 강조했다.
또 WeakPoint에 대해 설명하면서, SQL인젝션 공격과 관리자 우회 인증 등 웹취약점 공격을 통해 DB에 접속해 이용자 정보를 유출하는 공격 사례 분석 내용도 공개했다. 올해 유명 숙박관련 웹사이트가 웹취약점 공격을 통해 정보유출 사고로 이어진 사례도 소개했다.
이어 액티브X 공격 사례 분석 내용도 공개했다. 특정 액티브X가 설치된 사용자가 공격자가 특수하게 제작한 웹페이지를 열람할 경우 시스템에 존재하는 임의 명령 실행이 가능하게 된 사례였다. 이 팀장은 서비스 연계 관점에서 약한 포인트를 확인하고 구조적(설계적) 결함을 체크해야 하며 개발자가 접근하는 보안 사각지대가 있는지 그리고 외부 접점에 대한 취약점 관리 강화를 강조했다.
마지막으로 거점확보 공격에 대해 호스팅업체 랜섬웨어 공격사례를 분석한 내용을 공개했다. 공격자는 랜섬웨어 등 악성코드를 업로드하고 탈취한 계정정보를 이용해 해당 업체 사무실 관리자 PC(게이트웨이 서버)에 백도어를 설치한다. 게이트웨이 서버를 통해 153대에 접속해 호스팅 사업부 웹서버를 공격하고 랜섬웨어를 다운로드해 설치한다. 이후 백업파일을 삭제하고 153대의 서버에 대해 랜섬웨어 악성코드를 동작시킨다. 이 팀장은 해커가 공격전 공격거점을 확보하는 단계에 대해 상세히 설명했다. 이어 공격의 거점이 되는 지점(게이트웨이)에 대한 보안, 시스템 명령어의 허용범위에 대한 보안점검, 서비스 데몬의 무결성 검증, 백도어를 이용한 계정 수집에 대한 방어를 강조했다.
이번 PASCON 2017 이재광 KISA 팀장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★