'보안'에 해당되는 글 225건

  1. 2013.07.16 ‘6.25 사이버공격’北韓 과거 해킹수법과 일치
  2. 2013.07.05 공개용 웹 게시판에서 XSS 취약점 발견
  3. 2013.07.01 청와대 해킹 그후! 정보유출됐다면 즉시 통지해야
2013. 7. 16. 18:17

‘6.25 사이버공격’北韓 과거 해킹수법과 일치


130716(15시) [보도] 6.25 사이버공격 조사 결과.pdf


1. 民․官․軍 합동대응팀은

 

가. 지난 6.25~7.1 사이에 발생한 △방송․신문사 서버장비 파괴(6.25 09:00), △청와대, 국무조정실 등 홈페이지 변조(6.25 09:24), △정부통합전산센터 DDoS 공격(6.25 10:00) △경남일보 등 43개 민간기관 홈페이지 변조(7.1 08:21) 등 총 69개 기관․업체등에 대한 연쇄적인 사이버공격이 3.20 사이버테러 등을 일으킨 북한의 해킹 수법과 일치한다고 밝혔다.

 

2. 民․官․軍 합동대응팀은

 

※ 합동대응팀은 미래․국방․안행․법무(검찰)부, 금융위, 국정원, 경찰청, 국내보안업체(안랩․하우리․이글루시큐리티․윈스테크넷․KT 등) 및 한국인터넷진흥원(KISA) 등 18개 기관 전문가로 구성

 

가. 이번 사이버 공격의 피해장비 및 공격경유지 등에서 수집한 악성코드 82종과 PC접속기록, 공격에 사용된 인터넷 주소와 과거 북한의 대남해킹 자료 등을 종합 분석한 결과

 

나. 공격자는 최소 수개월 이상 국내 P2P․웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹하여 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비한 것으로 분석되었다.

 

다. 특히, 정부통합전산센터 DNS서버를 공격하여 다수의 정부기관 인터넷 서비스를 일시에 마비시키려 하고, 좀비PC를 이용한 DDoS 공격 外에도 해외로부터의 서비스 응답으로 위장한 공격을 활용하는가 하면, 공격대상인 서버의 하드디스크를 파괴하고, 공격IP 은닉수법을 통한 흔적 위장과 로그파일 삭제를 통해 해킹 근원지 추적을 방해하는 등 다양하고 진화된 공격 수법을 사용한 것으로 조사되었다.

 

라. 이번 사이버공격은 청와대․국조실 등 상징성이 큰 국가기관의 홈페이지를 변조시켜 우리의 국격을 훼손하고, 홈페이지 변조 등에 ‘어나니머스’ 이미지를 사용하여 공격주체 판단에 혼란을 야기하였다.

 

3. 북한의 해킹으로 추정되는 증거로는

 

첫쨰, 6.25일 서버파괴 공격을 위해 활용한 국내 경유지에서 발견된 IP와 7.1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견하였다.

※ 해커는 경유지 로그를 삭제하고 하드디스크를 파괴하였지만 포렌식 및 데이터 복구를 통해 북한IP임을 확인

 

둘째, 서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 3.20사이버 테러와 동일하였다.

 

아울러, 이번 홈페이지 변조 및 DDoS 공격에 사용된 악성코드 역시 ‘3.20 사이버테러’ 時 발견된 악성코드의 변종된 형태임이 확인되었다.

 

4. 대응조치 및 후속대책

 

가. 민‧관‧군 합동대응팀은 이번 사이버공격을 초기에 인지하여 악성코드를 삭제하고, 악성사이트를 차단하는 등 피해 확산을 방지하고, 치료백신 개발‧보급과 사이버대피소 가동을 확대하여 서버 복구를 긴급 지원하는 등 피해를 최소화 하였다.

※ 69개 피해기관 중 62개 기관 정상복구 완료 (복구율 90%)

 

나. 앞으로도 정부는 이러한 일련의 각종 사이버위협에 신속하고, 체계적으로 대응하기 위해 지난 7.4일 마련한 국가 사이버안보 종합대책을 바탕으로

 

1) 사이버안보 컨트롤 타워인 청와대를 중심으로 국정원, 정부부처간 위협정보 적시 공유 등 사이버위협 대응체계를 확립, 사이버 위협 조기 경보 기능과 동시 상황전파 체계를 구축하고,

 

2) 점점 지능화되고 있는 사이버공격을 효과적으로 차단할 수 있는 첨단 대응기술 연구 및 전문인력 확충 등 사이버안보 기반을 지속적으로 확충해 나갈 것이다.

 

다, 또한 이번 사이버테러가 공공․민간기업 구분없이 무차별적으로 자행되었고 앞으로도 유사한 사고가 지속 발생될 것으로 우려되는 만큼,

 

1) 민간기업도 보안 전담인력․조직 확보 및 중요자료의 보호를 위한 적극적인 보안조치를 이행하고,

 

2) 국민들도 개인 PC와 스마트폰에 최신 백신을 설치하는 등 특별히 보안관리에 유념해 줄 것을 당부하였다.



출처 : 미래창조과학부


Trackback 0 Comment 0
2013. 7. 5. 18:45

공개용 웹 게시판에서 XSS 취약점 발견

보안제품 차단 적용, 사용자 보안패치 권고


[보안뉴스 김태형] 유명 공개 웹 게시판인 제로보드, 텍스트큐브, Wordpress와 포털사이트 블로그에서 XSS 취약점이 발견돼 사용자의 주의가 요구된다. 

정보보안 전문기업 윈스테크넷(대표 김대연, www.wins21.co.kr)은 5일 공개 웹 게시판인 제로보드, 텍스트큐브, Wordpress에서 악성코드 유포 및 공격이 가능한 XSS(Cross Site Script)취약점을 발견했다며 주의를 당부했다.


이 취약점은 제로보드, 텍스트큐브, Wordpress 관리자가 게시판에 HTML로 게시글을 작성시, 사용자가 직접 HTML 태그의 파라미터의 조작과 EMBED 태그의 파라미터 조작이 가능하다는 부분에 착안된 취약점이다.


이 취약점에 노출 될 경우 공격자는 필터링 정책을 우회하는 악의적인 스크립트를 작성하여, 웹 페이지를 열람하는 사용자 브라우저에서 임의의 코드가 실행되도록 공격하거나, 악성코드 유포, 사용자 세션 정보 탈취 등의 행위를 수행할 우려가 있다고 회사 측은 밝혔다.


특히 XSS 공격은 SQL Injection 공격과 함께 가장 위험성이 높은 취약점으로 국제웹보안표준기구 OWASP에서 경고하는 10대 웹 보안취약점에서 수위를 차지한다.


윈스테크넷 침해사고분석대응조직인 WSEC은 이 취약점을 조기에 발견하여 KRCERT(한국정보보호진흥원 인터넷침해대응센터)를 통해 제보한 상태이며, KRCERT는 배포 사이트인 NHN, Needlworks, Daum 등에 관련 정보를 제공해 제로보드 등의 게시판은 취약점 패치가 완료 된 상태라고 밝혔다.


회사 측은 해당 취약점에 대해 HTML 태그 필터링 기능의 패치 작업을 수행하거나, 자사의 웹 방화벽인 SNIPER WAF를 이용중인 기업 및 기관은 이미 XSS 공격에 대한 보안 정책이 적용되어 있으므로, 공격에 대응할 수 있다고 설명했다.


또한 공개용 웹 게시판 사용고객이 취약점 정보를 이해하고 대응할 수 있도록 자사 온라인 위협예경보서비스 ‘시큐어캐스트(SecureCAST, http://securecast.co.kr)’에 취약점 정보와 취약점 분석 보고서를 공개했다.


윈스테크넷 WSEC 손동식 센터장은 “공개용 게시판은 많은 사용자가 사용하고 있는 만큼, 게시판에 존재하는 취약점으로 인해 영향을 받는 범위가 매우 넓다”며, “사용자는 보안패치를 최신으로 유지하고, 취약점 공격에 대응하기 위하여 수시로 게시판의 컨텐츠를 점검해야 한다”고 말했다. 

한편, WSEC은 사이버 침해사고의 근본원인인 취약점, 악성코드, 해킹, 웜, 스파이웨어, 비정상 트래픽 등의 분석 연구를 수행하며, 정보보호 실무경험이 풍부한 전문인력과 다년간의 취약성 정보 분석 노하우를 바탕으로 지속적인 위협 분석 서비스를 제공한다. WSEC 위협 분석 결과는 ‘시큐어캐스트’를 통해 서비스되고 있으며, ‘스나이퍼’ 제품군에 위협탐지 및 차단 시그니처로 탑재되고 있다.


* ‘HTML’는 Hyper Text Markup Language 의 약자로써 월드와이드웹 문서를 작성하는 Markup Language 이며, 웹 페이지 콘텐츠 안의 꺾쇠 괄호에 둘러싸인 태그로 되어있는 HTML 요소에 의해 작성된다.


* ‘EMBED’ 태그는 HTML 웹 페이지에 멀티미디어(동영상, 음악, 플래시 등)를 주소를 링크하여 사용자에게 보여주는 형태로 사용된다.


* ‘XSS(Cross Site Script)’는 악의적인 스크립트가 웹 페이지를 열람하는 사용자 브라우저에서 실행되도록 허용하는 취약점이다.

[김태형 기자(boan@boannews.com)]



출처 : 보안뉴스


Trackback 0 Comment 0
2013. 7. 1. 20:06

청와대 해킹 그후! 정보유출됐다면 즉시 통지해야

청와대 회원 20만명 신상정보 유출우려...통지제도 준수 필요성 제기 
개인정보보호법, 개인정보 유출 사실 아는 즉시 당사자에 통지해야

시행령, 1만명 이상 유출시 홈페이지에 유출 사실 게시토록 의무화  


[보안뉴스 김태형] 지난 25일 오전 9시 10분경 청와대 홈페이지 및 주요 정부기관 등이 사이버공격을 받으면서 홈페이지 접속이 되지 않고 서버가 다운되는 등의 피해를 입었다. 

▲ 현재 대한민국 청와대 홈페이지(http://www.president.go.kr/)는 시스템 보안 강화로 인해 회원가입 서비스가 일시 중단됐으며, 접속은 정상적으로 이루어지고 있다.


이러한 가운데 더욱 심각한 것은 청와대 홈페이지 이용자 정보와 새누리당 관계자들의 신상정보가 유출됐을 가능성이 제기되고 있다는 점이다. 유출된 개인정보에는 이름, 주민번호, 집주소, 휴대폰 번호 등이 포함된 것으로 알려졌다.  


이와 관련 보안전문 기업 NSHC의 Red Alert팀에 발표한 ‘6.25 사이버테러 분석 보고서’에 따르면 해커조직이 웹사이트 변조를 통해 새누리당 신상정보 250만명, 군장병 30만명, 청와대 이용자 정보 20만명, 美 25보병사단 1만5천명, 美 3해병사단 1만명,  美 1기 병사단 1만5천명의 신상정보가 유출됐을 것으로 분석했다.


또한, 안랩의 분석에 의하면 이 가운데 청와대, 국정원, 새누리당 홈페이지는 기존에 실행되지 않은 새로운 공격형태인 악성스크립트 방식의 디도스 공격으로 이루어진 것으로 알려졌고, 정부통합전산센터와 새누리당 각 시도당 홈페이지는 좀비PC를 통한 디도스 공격을 받은 것으로 드러났다.


이와 같이 기업이나 기관의 홈페이지가 해킹을 당했고 이를 통해 관계자 및 회원 정보가 유출된 것이 사실이라면 해당 사이트 개인정보처리자는 개인정보보호법에 의해 유출 사실을 아는 즉시 이 사실을 당사자에게 통지해야 한다.


개인정보처리자(회사)에 대해 민·형사적 책임을 강화한 개인정보보호법 34조는 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체없이 해당 정보주체에 사실을 알려야 한다고 규정하고 있다.


또한, 제39조는 개인정보처리자가 개인정보 유출에 고의 또는 과실이 없음을 입증하지 못하면 배상책임을 지도록 했으며, 피해사례를 집단분쟁조정 사건으로 다룰 수 있도록 규정하고 있다.

 

하지만 정당으로서 고유 목적을 달성하기 위해 수집·이용하는 정보에 대해서는 개인정보보호법 34조와 39조가 적용하지 않는다. 이로 인해 새누리당의 경우 개인정보 유출통지의무와 관련해서는 개인정보보호법의 적용을 받지 않는다.


이와 관련 익명을 요구한 한 변호사는 “개인정보보호법 58조 1항에서 ‘다음 각호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 7장까지 적용하지 아니한다’라고 규정하고 있다”고 설명했다.


이 예외 적용에 해당하는 부분은 △공공기관이 처리하는 개인정보 중 ‘통계법’에 따라 수집되는 개인정보 △국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보 △공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보 △언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거입후보자 추천 등 고유 목적을 달성하기 위해 수집·이용하는 개인정보 등이다.


그런데 문제는 청와대 홈페이지 회원의 개인정보 유출이다. 앞서 밝힌 바와 같이 이번 6.25 사이버테러로 인해 청와대 홈페이지 이용자들의 개인정보 20만건이 유출됐을 가능성이 커지고 있다.

 

즉, 청와대 홈페이지의 경우 비영리 목적의 정보서비스제공자로서 정통망법보다는 공공기관 홈페이지로 보아야 하고, 이에 따라 개인정보보호법의 적용을 받아야 한다는 것.


이와 관련 또 다른 한 변호사는 “청와대 홈페이지는 비영리 목적의 서비스 제공자로서 공공기관에 해당한다. 그렇다면 개인정보보호법의 적용을 받아야 하고 이번 해킹 사건으로 인한 개인정보 유출에 대해서는 당사자들에게 통지의무가 있다”고 설명했다.


또 다른 변호사도 “청와대 홈페이지는 공공기관으로 개인정보보호법의 적용을 받아야 한다. 개인정보보호법 34조에 의해서 개인정보 유출 사실을 지체 없이 당사자에게 통지해야 한다”고 설명했다.


여기서 ‘지체 없이’는 5일 이내를 의미한다. 즉, 사건 경위를 파악하는데 필요한 시간 등을 고려해 5일 이내에 통지해야 한다는 얘기다.  


이어서 그는 “34조 4항에 의하면 1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령으로 정한다고 규정하고 있다. 이에 시행령 40조에서는 개인정보 유출 사실을 당사자에게 지체 없이 알리고 유출내용 중 확인된 사항을 알려야 한다. 또한, 1만명 이상의 정보가 유출되면 홈페이지게 게시하도록 규정하고 있다”고 말했다.


▲ 보안전문 기업 NSHC의 Red Alert팀이 발표한 ‘6.25 사이버테러 분석 보고서’에 의하면 청와대 이용자 개인정보 20만 건이 유출된 것으로 알려졌다. 그림은 Red Alert팀이 보고서에서 밝힌 청와대 홈페이지 회원정보 리스트가 정보공유 사이트에 게시된 모습이다.


이에 청와대 홈페이지의 개인정보처리자는 기존 개인정보 유출사건이 발생했던 기업들과 같이 반드시 5일 이내에 개인정보 유출사실을 당사자에게 알리고 홈페이지에도 게시해야 할 것으로 보인다. 

 

아직 사건 발생 5일이 지나지 않았기 때문에 청와대가 홈페이지 이용자들의 개인정보 유출에 대해 어떻게 대응할지 주목된다. 현재 청와대 홈페이지(www.president.go.kr)는 시스템 보안 강화로 인해 회원가입 서비스를 제한하고 있으며, 접속은 정상적으로 이루어지고 있다.


한편, 일반 기업에서 이처럼 해킹에 의한 개인정보 유출사고가 발생한 경우 방통위와 한국인터넷진흥원에서 조사한 후, 해당 기업의 법 위반 사실이 인정되면 이행 점검을 통해 시정조치를 명한다. 이에 청와대 홈페이지도 이와 같은 이행 점검을 받아야 할 것으로 보인다.

[김태형 기자(boan@boannews.com)]



출처 : 보안뉴스


Trackback 0 Comment 0