• 보안 Issue / 보안 Tip
  • 보안 이슈, 팁, 다양한 보안소식을 mail로 받아보세요!
3.20 사이버대란, 도대체 어떻게 된 것인가
글번호 181 | 2013-04-04 추천수 0 | 조회 13685

현재 우리나라는 3월 20일 발생한 대규모 사이버 대란으로 사회적 큰 혼란을 겪고 있습니다.
북한의 소행이다, 유럽의 해커집단의 소행이다 등 말이 많지만 테러의 이유보다 중요한 것은
“이와 같은 일이 사 내에 일어나지 않도록 하는 것.” 일 것입니다.

소 잃고 외양간을 고치지 않으면 다시 소를 잃을 수 있습니다.
보안은 사슬(Chain)과도 같아서 그 속에 들어있는 모든 조직이 함께 준비하지 않으면
이로 인해 모두 피해를 입을 수 있는 것입니다.

※ 3.20 사이버대란의 과정은 어떠하였는가?

3.20 사이버대란의 시작은 3월 20일 오후2시50분경
① KBS, MBC, YTN등 방송국과 신한 은행, 농협 등의 전산망이 동시에 마비됨으로써,
3.20 사이버대란의 시작을 알리게 되었습니다.

또 ② LG 유플러스의 그룹웨어 서버 해킹 추측 사실이 밝혀지고 피해를 입은 방송사와 금융권이
LG유플러스에 의한 것으로 밝혀지면서 이로 인해 LG 유플러스의 통신망을 이용하는 기업 및 기관의 비상점검이 계속되었으며

③ KISA의 사이버경보가 관심에서 주의로 상향되고, 군 당국에서도
‘인포콘’을 4단계에서 3단계로 격상
시켰습니다.

또한 이번 ④ 사이버 대란이 악성코드에 의한 것으로 조사 결과 밝혀지면서
컴퓨터 백신의 중요성 및 윈도우 소프트웨어의 최신 버전 업데이트를 권고하였습니다.

⑤ 터보백신에서도 해당 악성코드에 대한 전용백신을 배포하였으며
이를 통해 해당 악성코드의 확산을 방지하고자 하였습니다.

결국 ⑥ 4월 1일 내부 시스템 파괴 등의 피해를 입은 방송.금융기관들이 모두 정상화 되면서
사건은 일단락
 되었습니다.
하지만 피해복구는 현재 진행 중이며 추가적인 피해가 발생하지 않도록 정책을 마련하고 있습니다. 공격주체 및 경로는 아직 파악되지 않았습니다.

*[관련 기사] - 방송.금융권 해킹과는 상관없음을 주장하지만 그룹웨어 해킹을 인정한 LG유플러스
http://www.boannews.com/media/view.asp?idx=35308&page=5&kind=1&search=title&find=

※ 3.20 사이버대란에서 배포된 악성코드의 종류는?

이제까지의 사이버 대란은 DDOS에 의한 것이 대부분이었지만 이번 공격은
APT(Advanced Persistent Threat) 공격으로 지능형 지속성 위협이라고도 말합니다.
공격하고자 하는 목표물을 정해두고 장기간에 걸쳐 모든 수단을 동원해서 공격하는
“사회공학적” 해킹이라고 할 수 있습니다.

사회공학적 해킹이란? - PC의 시스템이나 기계적인 시스템이 아닌 사람의 취약점을 통해 정보를 얻는 공격방법입니다.
해킹하고자 하는 목표물을 정해두고 해당 PC의 인터넷 사용 시간, 주로 하는 업무 등을 파악하여 반드시 열어볼 수 밖에 없도록
이메일을 보내어 해당 이메일에 포함된 악성코드를 감염시키도록 하는 방식을 이야기합니다.

이번 사이버대란의 중심인 악성코드도 APT 공격을 통하여 감염되었으며,
감염된 PC들이 활동을 하지 않다가 일시적으로 총공격하라는 지령자의 명령에 의해 펑! 하고 터뜨리게 된 것입니다.

※ 3.20 사이버대란에서 배포된 악성코드의 자세한 활동은?

좀더 자세히 살펴보자면, 이번 사이버 대란에서 사용된 악성코드는 총 4종으로
실제 피해를 입은 PC에서 추출한 파일로 분석한 AmAgent.exe를 제외하고는 파일 무결성 훼손으로
생성시간, 수정시간 실행한 시간 등을 확인할 수 없는 것으로 나타났습니다.
 

악성코드명 파일크기 파일타입 생성/수정/실행한시간
ApcRounCmd.exe 24578 bytes Win32.exe 확인불가
OthDown.exe 24576 bytes Win32.exe 확인불가
AmAgent.exe 24576 bytes Win32.exe 2013년 3월 20일 오후 1:29:28
vti-rescan.exe 427520 bytes
(드로퍼 역할)
Win32.exe 확인불가

이번 사이버 대란에서 첫 미션(?)을 해낸 악성코드가 바로 vti-rescan.exe 라는 바이러스인데요,
드로퍼 역할로서 PC에 악성파일들을 install 하게끔 하여 다른 악성 파일들의 활동을 도와주는 역할
하였습니다.
해당 파일의 동작 개요는 다음과 같습니다.


Dropper의 동작개요 ? [출처:보안뉴스]

ApcRunCmd.exe, AmAgent.exe 악성파일의 동작개요 ? [출처:보안뉴스]
위 악성파일의 동작에서도 알 수 있듯이, 해당 악성코드가 안철수 연구소의 APC서버를 사용하는 사용자를
공격목표
로 V3.log 파일이 있을 시 동작하도록 만들어진 코드라는 것을 알 수 있습니다.
※ 3.20 사이버 대란을 막기 위해서는?

터보백신에서는 3.20 사태에서 이슈가 되었던 악성코드 대해 TVKillmbr.exe 전용백신을 배포하여
PC점검을 권유하고 있으며, 지금 이 시간에도 발생되는 바이러스/악성코드에 대해 예의주시하며
최신 업데이트를 진행하고 있습니다.
특히 3.20사태는 기존의 악성코드와는 달리 2차, 3차적인 피해가 우려됨으로써 새로운 이슈 및 사건에 대해 예의주시하며
비상 사건에 대비하고자 준비하고 있습니다.

다시는 일어나지 말아야 할 이와 같은 대란을 막기 위해서는 기업과 기관의 보안 담당자 분들의 각별한 주의가 필요합니다.
아래의 주의사항은 PC를 관리하는 분들께 요구되는 사항이지만 이번 대란의 취약점으로 PC가 아닌 사람의 취약점으로
감염되는 사회공학적 해킹방식이 진화함에 따라 아래 사항뿐만 아니라, 회사 및 기관 내의 PC사용자 분들께 제공되는
보안교육이 필요합니다.

  1. 재난복구 계획을 세워야 합니다. 이 계획에 대한 훈련도 평상시 진행되어야 합니다.
  2. 보안 정책이 마련되어있는가 확인하여 이에 대한 사내 정책마련을 해야 합니다.
    현재 가장 강력하게 주장되는 정책은 망 분리’ 정책이며, 외부에서도 안전하게 사내 망으로 접속이 가능한 SSL VPN의 도입 또한 안전한 방법입니다.
  3. 보안장비를 철저히 검토합니다. 단순히 설치했다고 해서 막을 수 있는 것이 아니기 때문입니다.
  4. 악성코드에 의한 대란으로 확인되는 만큼 PC의 백신이 가장 중요합니다!
    아래 사항은 백신에 대한 체크 사항입니다.
    1. 터보백신의 실시간 감시 기능이 ON 되어있는지를 확인합니다.
    2. 터보백신이 모든PC에 설치되어있는지 확인하고 이의 업데이트가 꾸준히 되는지를 체크합니다.
    3. 윈도우 및 Adobe, Java 등 소프트웨어의 보안 업데이트를 최신으로 유지하도록 권고합니다.
    4. 정밀검사를 일주일에 한번 이상 진행하도록 권고합니다. (터보백신의 예약검사 기능을 활용)
    5.  
이전글 유용한 Dos 명령어
다음글 바이러스 악성코드 이것부터 확인!!
댓글달기
현재 0/최대 400byte(한글 200자, 영문 400자)
  댓글달기
2018.4.25 수요일
오늘의 보안 지수
맑음
관련제품
기업/개인 유료
개인 무료
  • 터보백신 Lite
  • 전국민이 사랑하는 터보백신의
    라이트버전
TurboVaccine 고객센터개인정보취급방침
Copyright ⓒEveryzone, Inc. All Rights Reserved.