2011. 08

㈜지이엔비즈

- EAL4+ 인증 -

2Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 기업 내부망 침해 위협 요소

기업 내부망은 높은 보안성이 요구되는 구간으로 여러 보안장비와 정책에 의해 보호되고 있으며 , 외부와 독립된 폐쇄적인 환경으로 인해 기본적인 안정성과 신뢰성이 보장되는 구간이다 .

그러나 업무 운영상 불가피한 외부에서의 내부망 접근경로 설정이나 , 외부 인터넷 망과 연결된 사내 시스템과 외부 저장장치 등을 통해 잠재적인 보안위협 요소가 발생될 수 있으며 , 기업의 주요정보를 목표로 전문적인 해커에 의해 해당 위협 요소를 통한 내부망 주요 서버에 대한 침해 사고가 발생될 수 있다 .

- 인터넷과 연결된 사내 PC 를 통한 악성코드 감염 - 외부에 노출된 Application 서비스의 취약점 - 내부망 관리 부주의로 인한 주요정보 노출

내부망 공격시도 위험 요소

내부 서버내부 서버

DMZDMZ

인터넷

VPN

서비스취약점을이용한 접근시도관리자권한 획득

외부저장장치를 통한악성코드 감염

인터넷을 통한악성코드 감염

서비스 취약점

내부자 정보유출

내부망 관리 부주의로 인한정보 유출

3Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 기업비밀 유출예방 : 공격적 방어가 최선

현재 기업기밀자료 유출의 대부분은 바로 전•현직 직원들로 인해 발생하고 있으며 , 기업보안에 대한 최고의 위협은 바로 내부자의 소행이라 할 수 있다 . 특히 , 회사의 핵심직원은 회사의 보안망을 어떻게 빠져 나갈 수 있는지도 잘 알고 있다 . 기업보안은 대부분 외부 공격에만 방어하도록 되어 있어 내부로부터의 공격에는 속수무책이다 . 이러한 공격에 대한 방어책은 공격적 방어를 통해서만 해결할 수 있다 . 기업기밀 보호에 있어 공격적 방어에 의한 방법이 필요 없다면 그 회사의 보안은 극히 제한적일 수밖에 없다 .불편함은 잠깐이지만 회사의 존망이 한 사건으로 시작될 수 있다 .

보안문제는 기업생존을 위한 필수 요소가 되고 있으며 , 내부 직원을 통한 중요 데이터 유출 또한 지속적으로 증가하고 있어 정보에 대한 보안 영역이 외부인으로부터 내부 직원까지 통제할 수 있는 상태로 확대돼야 하므로 정보 유출에 대한 시스템 접근제어 솔루션 도입이 필요하다 .

4Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 사례 1: 농협

2011 년 4 월에 발생한 농협 전산망 장애사고는 “ 악성코드 감염” 으로 인한 해킹 형태의 사이버 테러라고 검찰 발표가 있었다 . 특히 농협의 전산마비 사고가 단순 시스템 오류가 아닌 계획적인 의도를 가지고 내부 시스템에 접근해 서버를 파괴토록 한 범죄행위였다 .전산장애의 발생 원인은 농협중앙회 IT 본부 내에서 상주 근무하던 협력사 직원의 노트북 PC 를 경유하여 각 업무시스템을 연계해 주는 중계서버에서 시스템 파일 삭제 명령이 수행되었으며 , 명령이 실행된 약 5 분 동안 275개의 서버에서 데이터 일부가 삭제되는 피해를 보게 됐다고 농협은 발표했다 .

5Copyright (C)GENBIZ Inc. 2011. All rights reserved.

고객 금융 업무 …고객 금융 업무 …

자동화기기(ATM)

자동화기기(ATM)

인터넷 뱅킹인터넷 뱅킹

폰 뱅킹폰 뱅킹

지점창구지점창구

고객 금융 업무 3고객 금융 업무 3

자동화기기(ATM)

자동화기기(ATM)

인터넷 뱅킹인터넷 뱅킹

폰 뱅킹폰 뱅킹

지점창구지점창구

고객 금융 업무 2고객 금융 업무 2

자동화기기(ATM)

자동화기기(ATM)

인터넷 뱅킹인터넷 뱅킹

폰 뱅킹폰 뱅킹

지점창구지점창구

* 해킹시나리오 1: 농협

악성코드단말 접속

• PC 의 관리자권한 탈취• PC 에서 발생되는 패킷감시• PC 에서 접근하는

시스템정보 파악• 중계서버 기능 /정보 파악• 중계서버에 사용될

삭제명령이 포함된 스크립트 작성

• 업데이트기능 (CLI) 을 이용하여 스크립트 수행

• PC 의 관리자권한 탈취• PC 에서 발생되는 패킷감시• PC 에서 접근하는

시스템정보 파악• 중계서버 기능 /정보 파악• 중계서버에 사용될

삭제명령이 포함된 스크립트 작성

• 업데이트기능 (CLI) 을 이용하여 스크립트 수행

인터넷

악성코드에 감염된협력업체단말

원장 DB 서버원장 DB 서버고객 금융 업무 1고객 금융 업무 1

자동화기기(ATM)

자동화기기(ATM)

인터넷 뱅킹인터넷 뱅킹

폰 뱅킹폰 뱅킹

지점창구지점창구

원장 DB 백업서버원장 DB 백업서버

…

자동배포를 이용한삭제명령 스크립트

수행

6Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 대응시나리오 1: GateKeeper

고객 금융 업무 …고객 금융 업무 …

자동화기기(ATM)

자동화기기(ATM)

인터넷 뱅킹인터넷 뱅킹

폰 뱅킹폰 뱅킹

지점창구지점창구

고객 금융 업무 3고객 금융 업무 3

자동화기기(ATM)

자동화기기(ATM)

인터넷 뱅킹인터넷 뱅킹

폰 뱅킹폰 뱅킹

지점창구지점창구

고객 금융 업무 2고객 금융 업무 2

자동화기기(ATM)

자동화기기(ATM)

인터넷 뱅킹인터넷 뱅킹

폰 뱅킹폰 뱅킹

지점창구지점창구

악성코드단말 접속

• PC 의 관리자권한 탈취• PC 에서 발생되는 패킷감시• PC 에서 접근하는 시스템정보

파악• 업데이트기능 (CLI) 을

이용하여 스크립트 수행

• PC 의 관리자권한 탈취• PC 에서 발생되는 패킷감시• PC 에서 접근하는 시스템정보

파악• 업데이트기능 (CLI) 을

이용하여 스크립트 수행

인터넷

악성코드에 감염된단말

원장 DB 서버원장 DB 서버고객 금융 업무 1고객 금융 업무 1

자동화기기(ATM)

자동화기기(ATM)

인터넷 뱅킹인터넷 뱅킹

폰 뱅킹폰 뱅킹

지점창구지점창구

원장 DB 백업서버원장 DB 백업서버

…

Telnet

SSH RDP

SSL(443)

접근가능 시스템 목록접근가능

시스템 목록시스템

접속방법시스템

접속방법 어플리케이션어플리케이션 서비스서비스

자동배포 형태의 스크립트 수행

불가능

7Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 사례 2: 현대캐피탈

2011 년 4 월에 발생한 현대캐피탈 고객정보 유출사고는 “ 내부망 관리부주의” 로 인한 사고로 경찰이 내부 직원이 해킹에 연루됐는지 조사하는 과정에서 현대캐피탈에서 근무하다 지난해 12 월 경쟁사로 옮긴 김모 (36)씨가 두 달여 동안 내부 정보를 빼낸 사실을 확인했다 . 전산개발 담당자로 근무했던 김씨는 현대캐피탈 내부 시스템에 관리자 계정으로 들어가거나 , 동료에게서 캡처된 화면을 문서 형식으로 전달받았다 . 김씨는 경쟁사의 전산시스템 개발에 참고하기 위해 자료를 유출했다고 해명했지만 경찰은 시기가 겹치는 만큼 해커와의 공모 가능성을 수사하고 있다 . 해커인 신씨가 김씨를 통해 현대캐피탈 서버의 취약한 부분을 전달받았을 가능성이 있다는 것이다 .

8Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 해킹시나리오 2: 현대캐피탈

VPN

고객정보 DB 서버고객정보 DB 서버

…

시스템 관리자계정접근 중요 서버

접근 성공

직원계정으로 접속

주변 시스템반복적 접근시도

이름 , 주민번호 ,…

이름 , 주민번호 ,…

금융거래정보금융거래정보

신용등급 , 계좌번호 , 비밀번호 ,…

신용등급 , 계좌번호 , 비밀번호 ,…

개인정보개인정보고객정보

탈취

• 시스템 관리자 계정으로 접근• 네트워크에서 발생되는 패킷 감시• 서버 /시스템의 취약점 파악• 중요서버들의 계정 탈취 시도• 고객정보 DB 서버 접근 시도• 고객정보 탈취 성공

• 시스템 관리자 계정으로 접근• 네트워크에서 발생되는 패킷 감시• 서버 /시스템의 취약점 파악• 중요서버들의 계정 탈취 시도• 고객정보 DB 서버 접근 시도• 고객정보 탈취 성공

9Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 대응시나리오 2: GateKeeper

VPN

…직원계정으로 접속

RDP SSH Telnet

SSL(443)

접근가능 시스템 목록접근가능

시스템 목록시스템

접속방법시스템

접속방법 어플리케이션어플리케이션 서비스서비스

• 시스템 관리자 계정으로 접근• LeapFrog ( 건너뛰기 )

제어로 주변 시스템으로 접근 불가능

• 시스템 관리자 계정으로 접근• LeapFrog ( 건너뛰기 )

제어로 주변 시스템으로 접근 불가능

시스템 관리자계정접근

10Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 사례 3: SK 커뮤니케이션즈 ( 네이트온 , 싸이월드 )

2011 년 7월에 발생한 네이트온 고객정보 유출사고는 “ 서비스 취약점 및 악성코드 감염” 으로 인한 사고였다 .경찰은 ‘이스트소프트社의 공개용 알툴즈의 보안취약점을 이용하여 알툴즈 서비스를 위한 서버를 해킹한 후 , 악성코드 유포지로 악용했을 가능성이 있다고 발표했다 .해커는 알툴즈 자동갱신 프로그램을 가장한 악성코드를 심어 놓았고 , 알툴즈가 설치된 SK 커뮤니케이션즈 직원의 PC가 이를 내려받아 악성코드에 감염되면서 해커의 조종을 받아 고객 정보를 유출한 것이다 .

11Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 해킹시나리오 3: SK 커뮤니케이션즈 ( 네이트온 , 싸이월드 )

서버서버

…

이스트소프트

악성코드삽입

취약점을 이용한서버권한 탈취인터넷

악성코드감염

악성코드배포

고객정보 DB 서버고객정보 DB 서버

악성코드감염

중요 서버접근 성공

이름주민번호

계정비밀번호

…

이름주민번호

계정비밀번호

…

개인정보개인정보

고객정보탈취

12Copyright (C)GENBIZ Inc. 2011. All rights reserved.

* 대응시나리오 3: GateKeeper

서버서버

…

악성코드삽입

취약점을 이용한서버권한 탈취인터넷

악성코드감염

악성코드배포

고객정보 DB 서버고객정보 DB 서버

접근가능 시스템 목록접근가능

시스템 목록시스템

접속방법시스템

접속방법 어플리케이션어플리케이션 서비스서비스

악성코드감염

Telnet SSH RDP

SSL(443)

• PC 의 관리자권한 탈취• SSL(443) 접근방식으로

사용자가 인지하지 못하도록 백그라운로 시스템접근 불가능

• PC 의 관리자권한 탈취• SSL(443) 접근방식으로

사용자가 인지하지 못하도록 백그라운로 시스템접근 불가능