17회 해킹방지워크샵에서 박순태 KISA 팀장은 ‘2013 주요 침해사고 사례와 대응’이란 주제로 발표를 진행했다.
 
박순태 팀장은 “2003년 1.25 슬래머웜으로 약 1,675억원 정도의 피해가 발생한 것으로 추정되며 2009년 7.7 디도스 공격으로 약 544억원의 피해가 발생했다. 글로벌로 보면 올해 전세계 사이버범죄로 발생한 피해액이 약 120조에 달하는 것으로 조사돼 갈수록 피해 규모가 커지고 있다”고 전했다.
 
더불어 지난해 1월 1일부터 올해 11월 23일까지 KISA 침해사고 분석 현황에 대해서도 공개했다.
 
피해 시스템으로는 윈도우 XP가 23.3%로 가장 높았고 다음이 리눅스 CentOS, 윈도 서버 2003 등의 순이었으며 피해 시스템 용도로는 웹서버가 약 64%, 개인용PC가 15% 등으로 조사됐다.

 
사고원인으로는 악성코드 감염이 27.36%로 가장 높았고 다음이 웹쉘 생성 23%, 계정유출 12%, 파일 업로드 취약점 8%, 백도어 설치 4% 등으로 나타났다.
 
업종별로는 기업이 28%로 가장 많았고 가정, 대학 언론, 웹하드, 호스팅 등의 순이었으며 공공기관이 1.10%에 그친 것으로 나타났다. 공격국가로는 CN(중국)이 33.8%로 가장 높았다.
 
특히 최근 3년간 사고 원인을 보면, 악성코드가 매년 1위를 차지했고 다음이 웹쉘 생성, 계정유출, 파일업로드 취약점 등이 가장 높게 조사됐다. 2013년 사고 원인 순위는 악성코드 감염, 웹쉘 생성, 계정유출, 파일 업로드 취약점, 시스템 취약점, 루트킷 설치, 백도어 설치, SQL인젝션 취약점, 웹 어플리케이션 취약점 등으로 조사됐다.
 
박 팀장은 “최근 보안이 취약한 웹하드 사이트는 해커들의 최대 관심사다. 2009년 7.7 디도스 및 2011년 3.4 디도스 공격과 농협전산망 장애도 웹하드 사이트를 통해 악성코드를 유포했다”며 “2012년 KISA에서 대응한 침해사고 194건 중 64건이 웹하드 사이트 해킹과 관련이 있다. 총 233개 웹하드 사이트 중 37개 사이트에서 침해사고가 발생했으며 재발율은 무려 73%에 이르고 있다”고 공개했다.
 
주요 피해 원인에 대해서는 “침해사고 80%에서 게시판 파일 업로드 취약점을 악용하는 웹쉘이 발견됐다. 이를 통해 관리자 PC가 해킹이 되면 모든 보안정책 및 장비는 무력화 된다”며 “게시판에 대한 보안설정 점검 및 휘슬을 이용해 웹쉘 설치여부를 확인해야 하며 관리자 PC는 패쇄망에서만 사용하고 주기적인 보안 패치 및 백신 프로그램을 실행해야 한다”고 강조했다.
 
또 “보안이 취약한 서버가 국내외 주요 서버 공격을 위한 해킹 경유지로 악용됐으며 취약한 보안설정으로 운영되는 동기화 프로그램이 주요 서버 해킹도구로 악용됐다”고 밝히고 “VPN 서비스용 1723포트 사용확인 및 차단하고 동기화 프로글램 설정파일을 점검해야 한다”고 덧붙였다.
 
마지막으로 “SSH 변조는 해커가 가장 즐겨 사용하는 백도어이며 누구나 손쉽게 확인이 가능한 고정키 백도어도 원인이 됐다”며 “백도어 키 존재 여부를 점검해야 한다”고 조언했다.
 
박순태 팀장의 자세한 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com