한국정보기술연구원 특강자료

1. - Graduate School of Information Security

2. Ⅰ 최근의 정보보호 이슈 3 Page
Ⅱ 진화하는 정보보호 패러다임 20 Page
Ⅲ 시사점 27 Page
- Graduate School of Information Security

3. - Graduate School of Information Security

4. 지난 5년갂 끊임 없이 정보보호 사고가 발생
NC Soft (2006년) LG젂자 (2006년)
옥션 (2008년) 하나로텔레콤 (2008년)
GS 칼텍스 (2008년) 7.7 DDoS (2009년)
- Graduate School of Information Security 4 / 30

5. 2011년 대규모 해킹사고가 잆따라 발생하여, 보앆에 대핚 경각심 고조
현대캐피탈 (2011년 3월) RSA (2011년 3월)
해커에 의해 42만 명의 개인정보와 사회공학적 해킹으로
1만3천 명의 금융 정보 유출 OTP 생성 알고리즘 및 IV 유출
3.4 DDoS (2011년 3월) Sony (2011년 4월)
불법복제로 고소당핚 해커들이 PSN을
7.7 DDoS와 같이, 국내 주요 해킹하여, PSN 서비스가 마비,
정부기관 등이 DDoS 공격을 받음 2011년 1억 명 이상의 개인정보, 카드정보 유출
정보보호
NH농협 (2011년 4월) 사고 Google (2011년 6월)
NH농협 내 젂산 네트워크 손상으로, 외국 고위공무원들의 Gmail 비밀번호가
서비스 일부 마비, 일부 거래내역 손실 탈취, 메일 내 주요정보가 유출
씨티그룹 (2011년 6월) SK컴즈 (2011년 8월)
은행 네트워크를 통해 20만 명의 3,500만 명의 고객 개인정보 유출,
카드고객 개인정보 유출 다른 사이트로 2차 해킹이 발생
- Graduate School of Information Security 5 / 30

6. 다양핚 목적 · 형태에 따른 공격이 조직의 보앆을 위협하는 상황
개인정보 유출
SK커뮤니케이션즈, 현대캐피탈,
삼성카드, 옥션 등
기밀정보 유출
사이버 테러
/사이버젂
농협젂산장애, 소니 PSN 공격
Stuxnet, DDoS공격 등
- Graduate School of Information Security 6 / 30

7. SK커뮤니케이션즈가 해킹당하여 3,500만 명의 개인정보 유출
해커는 백싞프로그램 자동 업데이트 프로그램에 악성코드를 심어
이를 바탕으로 SK커뮤니케이션즈 젂산시스템에 침투
→ 각기 다른 기능을 수행하는 여러 개의 악성 코드가 협력하여 해킹작업을 수행
- Graduate School of Information Security 7 / 30

8. 내부직원이 가맹점으로부터 수집핚 개인정보 80만 건을 외부에 유출
내부통제 실패로 인핚 보앆사고
- Graduate School of Information Security 8 / 30

9. 현대캐피탈 DB에 저장된 175만 명의 개인정보 및 금융정보가 유출
경찰 해커 개인정보 거래업체
포털 사이트
① 해커가 현대캐피탈 업무관리자의 ID/PW를 습득
② 보조서버인 광고메일발송서버와 정비내역조회서버에 침입
③ 화면복사 또는 해킹프로그램 설치를 통해 고객정보를 다욲로드함
- Graduate School of Information Security 9 / 30

10. RSA가 사회공학적 기법을 이용핚 해킹을 당하여, OTP 관련 정보 유출
RSA OTP ‘Secure ID’
- 젂세계적으로 대표적인 보앆업체인 ‘RSA’사의
OTP(One Time Password)인 ‘Secure ID’
- Fortune 500대 기업의 75% 이상 사용, 젂세계
1,500만 명 이상이 사용하는 대표적 OTP
해킹
- 해킹개요 : 사회공학적기법에 의핚 영업비밀 유출
- 피해내역 : OTP 생성 알고리즘, Initial Value,
사용자 내역 등이 유출
- 해킹과정 : 2011년 3월, 해커는 특정 RSA사
직원들에게 ‘2011 채용 공고’라는
제목의 피싱 메일 송부하였으며,
이 메일의 첨부파일에 악성코드를
심어두어, 이를 바탕으로 RSA사
내부망에 침투
- Graduate School of Information Security 10 / 30

11. 정교핚 APT 공격에 의하여 기업 내부 정보 유출
① ② ③ ④ ⑤
피싱 및 백도어 젂체 데이터 데이터
제로데이 설치 시스템 수집 젂송
공격 확산
지능형지속해킹(Advanced Persistent Threat, APT)로 불리는
사회공학기법의 정보 유출 해킹 방식에 의하여 해킹이 발생함
- Graduate School of Information Security 11 / 30

12. 록히드마틴 등 미국 주요 방위산업체가 잆따른 해킹 공격을 받음
RSA의 OTP 해킹에 따른 2차 피해?
혹은, 방위산업체 해킹을 위하여 RSA 사젂 공격?
- Graduate School of Information Security 12 / 30

13. 내부 DB를 삭제하는 공격을 받아 젂산장애 및 데이터 유실 발생
① 삭제 프로그램 설치 ② 삭제 명령(rm.dd) 젂송
ⓐ 해커에 의핚 사이버 테러 ③ 중계서버 데이터 삭제 및 삭제 명령 (rm.dd) 젂파
ⓑ 내∙외부 공모에 의핚 조직적 범죄 ⇨ 농협에서 탐지, 시스템 및 젂산망을 차단
ⓒ 앙심을 가짂 직원의 복수행위 ④ 서비스 중단
- Graduate School of Information Security 13 / 30

14. 농협은 젂산장애로 인하여 큰 경제적 손실을 입을 것으로 예상
젂산 장애 사태로 인핚 농협의 피해 규모
• 수수료 면제 - 약 50억 원
 약 10일갂의 창구송금 수수료, 자기앞수표 발행 수수료, 인터넷·텔레뱅킹
등 자금이체 수수료 면제 ⇨ 일 수수료 약 5억 원 X 10일 = 약 50억 원
• 카드 결제 청구 연기 - 약 30억 원
 188만 명의 카드 결제 청구를 연기
 결재대금은 약 1조 3천억 원 규모로, 핚달 이자가 약 30억
• 소비자 피해 배상 - ?
 1,378건의 피해보상 민원 중 1,354건에 대하여 1,990만원을 배상함
 차후 대규모 소송이 발생핛 것으로 예상됨
소송으로 인핚 천문학적인 피해가 발생 가능함
- Graduate School of Information Security 14 / 30

15. 해커들의 테러성 공격으로 서비스 중지, 정보 유출 등의 피해 발생
해커집단의 특정 기업에 대핚 보복성·테러성 공격
- Graduate School of Information Security 15 / 30

16. 2011년 3월, 국내 주요 웹사이트를 대상으로 DDoS 공격 발생
좀비PC
해커
P2P 프로그램 업데이트 파일에 심어짂 악성코드로,
2만여 대의 PC가 좀비PC가 되어 3일에 40여 개의 공공기관 사이트,
4일에는 청와대, 국회, 국방부, 네이버 등 29개 웹 사이트에 공격을 가함
- Graduate School of Information Security 16 / 30

17. 2008년 최초 발견된 Stuxnet은 이란 부셰르 원젂 가동을 중단시킴
현 재
- Graduate School of Information Security 17 / 30

18. Stuxnet은 USB를 통해 젂파되어 제어시스템을 마비시키기 위핚 목적
철도
공항
일반 PC USB 저장장치
발젂소
 통제 시스템을 장악핚 뒤
 인터넷에 연결된 일반  USB 저장장치를 통해 각종 설비의 제어장비에 감염됨
PC에 폭 넓게 감염 외부 인터넷과 차단된
 제어장비에 연결된 터빈의 회젂
(자각 증상 없음) 기반시설 내부망에 침투
수를 허용치 이상으로 올리거나
냉각 시스템을 마비시켜 시설 파괴
- Graduate School of Information Security 18 / 30

19. Stuxnet은 USB를 통해 젂파되어 제어시스템을 마비시키기 위핚 목적
· 앆젂하다고 여겨지던 폐쇄망에 대핚 사이버 공격의
가능성 확인
폐쇄망
보앆위협의 · 폐쇄망에서의 물리적 분리와 논리적 분리의 혺용과
등장 같은 폐쇄망 관리자들의 견해차 존재
· 폐쇄망의 접속 지점에 대핚 분석 필요
· 이젂까지 보앆 사고 영역은 주로 IT 시스템
Stuxnet의 제어시스템 · 제어시스템의 경우 취약점에 대핚 정보가 빈약하고,
다소 앆젂하다고 인식
시사점 보앆 인식
확산 · Stuxnet과 같은 악성코드의 출현은 새로욲 영역의
앆젂사고로, 보앆 인식의 확산이 요구
· 국가기반시설에서 사용되는 특정 제어시스템의
사이버젂의 중단 등의 목적을 가짐
시작 · Stuxnet은 특정 홖경에서만 작동하도록 설계된
즉 공격대상을 지정핚 사이버무기
- Graduate School of Information Security 19 / 30

20. - Graduate School of Information Security

21. IT의 발젂과 이에 따른 새로욲 응용기술의 등장
네트워크 고도화 Smart Phone
GbE, 10GbE & 4G Network
Tablet Device
유비쿼터스 홖경 Cloud Computing
IPv6, USN, Internet of Things
Machine-to-Machine
젂사회적인 디지털화 SCADA System
집적성, 편재성, 연결성 증가
Smart Grid
Smart Building
젂통산업과 IT의 결합
제어시스템, 자동차, 젂력망 + IT
Smart Car
- Graduate School of Information Security 21 / 30

22. 유비쿼터스화, 컨버젂스 등으로 젂사회적으로 IT 의존도가 증가함에
따라, 디지털 위험이 사회 젂반에 영향을 미치는 ‘디지털위험사회’
해킹
DDoS
악성코드
바이러스
올리히 벡의 ‘위험사회’ → 디지털 위험사회
IT 발젂에 따른 다양핚 역기능과 예측 불가능핚 디지털 위험들에 일상적으로 노출되는 사회
- Graduate School of Information Security 22 / 30

23. 젂통적인 정보보호의 개념은 CIA(기밀성, 무결성, 가용성) 확보
- Graduate School of Information Security 23 / 30

24. CIA(기밀성, 무결성, 가용성) 확보를 위핚 기술적/관리적 보호조치
- Graduate School of Information Security 24 / 30

25. IT의 발젂에 따라 정보보호는 CIA 확보를 넘어, 확장하고 잇는 추세
- Graduate School of Information Security 25 / 30

26. IT Asset Security
Information Security
Management
Security by Institutionalization
Information Security
as a Risk Management
- Graduate School of Information Security 26 / 30

27. - Graduate School of Information Security

28. IT의 발젂과 복잡성의 증가에 따라 IT의 위험성이 젂사회적으로 젂이되어,
정보보호의 패러다임이 확장되고 잇는 상황
- Graduate School of Information Security 28 / 30

29. 정보보호의 중요성이 더욱 증가함에 따라, 이에 대핚 대응이 요구됨
IT 위험의 증가 규제 홖경의 변화
정보보호
관련 홖경의 변화
사회적 인식의 변화 기업 홖경의 변화
정보보호에 대핚 적극적 대응방앆이 요구됨
- Graduate School of Information Security 29 / 30

30. 정보보호를 위하여 기술 개발 뿐만 아니라, 관리적 · 물리적 보앆조치 등
종합적인 대응이 요구됨
예방
인적자산
인적자산
관리적 보안
- Graduate School of Information Security 30 / 30

31. - Graduate School of Information Security