좀비PC 및 해킹경유지로 공공기관 악용사례 증가에 따른

[돌대사]

좀비PC 및 해킹경유지로 공공기관 악용사례 증가에 따른

악성코드 제거 및 개인용PC 보안강화 조치방안

행정자치부

좀비PC 및 해킹경유지로 공공기관 악용사례 증가에 따른

악성코드 제거 및 개인용PC 보안강화 조치방안

○ 최근 좀비PC 및 해킹경유지로 공공기관이 악용되는 사례가 증가함에

   따라, ‘06.7월을 행정기관 및 공공기관의 PC Clean달로 지정, 악성코드

   일제 제거작업을 통한 개인용PC 보안강화 조치방안을 통보하오니,

○ 각 기관에서는 개인용 PC에 대해 각 사용자가 좀비PC(악성코드 감염)

   여부를 즉각 점검하고, 악성코드 제거조치를 시행해 주시기 바람

ꊱ 추진배경

○ 최근 행정기관 및 공공기관에서 사용 중인 PC가 악성코드 감염에 의해 좀비PC로 전환되는 위협이 증가하고 있으며, 홈페이지와 함께 해킹경유지로 악용되는 사례도 증가하고 있음

○ 이에 따라, 각 행정기관 및 공공기관에서 사용하고 있는 개인 PC에 대한 보안관리 강화 및 안전한 개인정보보호를 위해, 각 기관별로 PC사용자가 좀비PC 여부를 즉각 확인하고, 악성코드(Bot)를 제거하는 조치가 필요함

※ 좀비(Zombie) PC 란 ?

  ․트로이 목마, 이메일 웜, 루트킷(Rootkit) 등 악성 코드(Bot)에 감염되어 다른 사람에 의해 원격 조종되는 PC

※ 악성코드(Bot)란 ?

  ․운영체제(Windows OS) 취약점, 쉽게 알 수 있는 비밀번호(Password) 사용, 웜·바이러스를 통한 뒷문(Backdoor) 설치 등의 해킹기술을 이용하여 전파되며, 해킹 명령을 원격에서 전달하는 사이트(BotNet : 악성코드 명령·제어 서버의 집합체)와의 연결 등을 통하여 스팸메일 전송이나 서비스거부공격(DoS, DDoS)에 악용되는 프로그램 또는 실행코드

ꊲ 좀비PC 현황 및 문제점

□ 좀비PC 현황 및 이에 대한 분석결과

○ 최근 마이크로소프트사가 ‘06.6.12에 공개한 보안보고서에 따르면, 1년 3개월(’05.1~‘06.3) 동안 ‘윈도 악성 소프트웨어 제거 도구(Windows Malicious Software Removal Tool)’를 이용해 윈도기반 PC 570만대를 조사한 결과, 60% 이상인 약 350만대에서 원격으로 조종되는 악성 소프트웨어를 1개 이상 발견, 제거조치했다고 발표

○ 마이크로소프트사가 악성 소프트웨어에 감염된 윈도기반 PC 350만대를 분석한 결과

  - 총 1,600만개의 각종 악성코드 발견

  - 100만대 이상의 PC에서 e메일 웜 발견

  - e메일, P2P 네트워크, 인스턴트 메시징 소프트웨어를 통해 퍼지는 웜은 악성코드를 이미 제거했던 컴퓨터의 3분의 1이상에서 재차 발견

  - 다른 악성 소프트웨어를 숨기기 위해 시스템에 변화를 일으키는 루트킷(Rootkit)이 78만대(14%)의 PC에서 발견

  - 루트킷이 발견된 컴퓨터의 약 16만대(20%)에서 최소 1개 이상의 뒷문(Backdoor) 트로이목마 발견

  ※ 행정기관 및 공공기관의 대부분 사용자가 윈도2000. 윈도XP, 윈도서버 2003 등 마이크로소프트사 제품을 컴퓨터OS로 사용하고 있으며, PC에 저장되어 있는 중요정보 및 개인정보 유출, 스펨메일 발송 위험, 악성코드 감염전파 등 위협상황이 상시 노출되어 있음

□ 좀비PC 감염 및 동작 과정

□ 좀비PC에 대한 사이버공격 유형 및 보안상의 문제점

○ 원격지에서 좀비PC를 조종하여 공격하는 사이버위협 사례 발생

○ 감염된 컴퓨터를 통해 불법SW 유포, 불법 프록시(Proxy) 서버로 이용, 스팸메일 전파, 특정 사이트 거부 공격 등에 악용

○ 감염된 컴퓨터에 수록된 개인정보 불법수집 및 중요정보 또는 정보파일 유출

○ 감염된 컴퓨터가 연결된 네트워크에 대량의 트래픽을 발생시켜 네트워크 과부하 또는 다운 현상 초래

○ 악성코드를 전파, 좀비PC로 전환시켜 업데이트 저장소 등 제2의 해킹경유지로 악용

○ 악성코드가 감염되면 시스템이 느려지거나 CPU 과부하 현상으로 시스템 다운 초래

ꊳ 해킹경유지로 공공기관 악용 현황 및 문제점

□ 해킹경유지 악용사례 현황

○ 국가정보원(국가사이버안전센터:NCSC)의 월간 보안보고서에 따르면, ‘06.5월 한 달간 공공기관이 해킹 경유지로 악용된 사례가 전체 사이버 침해사고의 74%를 차지하는 등 올해 들어 최고치를 기록했으며, 사이버 침해사고는 총 294건으로 ’06.4월에 비해 20% 증가한 것으로 나타남

○ 또, 국가기관이 해킹경유지로 악용되는 것 외에도 피싱사이트 개설지(12%)와 해킹파일 유포지 제공(10%) 등의 목적으로 해킹한 것으로 분석 됨

○ ‘06.5월 발생한 주요 침해사고 유형은 해킹경유지 악용이 1위를 차지했고, 웜·바이러스 감염, 홈페이지 변조, 자료훼손 및 유출 순으로 나타났으며, 사고 기관별 분포는 교육기관에 대한 사이버 침해사례가 가장 많았으며, 지방자치단체와 연구기관, 산하기관, 중앙행정기관 순으로 분석되었고,

○ 피해 시스템을 용도별로 분류하면 업무용 PC가 25%의 침해를 입었으며, 웹 서버의 19%가 침해되었다고 보고됨

□ 해킹경유지 악용에 따른 문제점

○ 보안관제 또는 모니터링 결과 해킹경유지로 판명될 경우, 해당 인터넷 주소에 대한 네트워크 접근을 차단당하게 되며, 결국 e-메일 송·수신, 각종 인터넷 서비스에 접근 불가 등 개인 PC를 이용한 업무수행이 불가능해 짐

○ 피싱사이트, 해킹파일 유포지 등으로도 악용될 소지가 많음

ꊴ 악성코드 제거 및 개인용PC 보안강화 조치방안

  각 행정기관 및 공공기관은 각 개인이 PC보안 유의사항을 준수하고,

  좀비PC(악성코드 감염) 여부를 즉각 점검하여, 악성코드를 제거한 후

  PC를 사용할 수 있도록 조치

□ PC보안 유의사항 준수 및 수시로 점검 조치

○ 기본적인 PC보안 유의사항 준수

 - 정품 운영체제(OS) 및 소프트웨어 사용

 - PC를 켤 때, 또 업무시스템에 접근시에는 비밀번호를 통해 로그인 되도록 하고, PC가 켜진 상태에서 잠시 자리를 비울때는 화면보호기(스크린세이버)를 자동 동작시켜 비밀번호 입력을 통해서만 해제되도록 설정

 - 비밀번호는 다른 사람이 쉽게 도용하지 못하도록 영문, 숫자, 특수문자 등을 혼합하여 설정

 - 윈도 보안패치 자동 업데이트 설정

 - 윈도 운영체제(OS)에서 제공하는 개인 방화벽 옵션 설정

 - 반드시 필요한 경우에만 공유폴더를 열어 사용하고, 사용 후에는 즉시 닫아 놓도록 조치

 - 바이러스 백신 프로그램을 반드시 설치하고, 수시로 보안패치 점검

 - 수시로 다음의 PC보안 유의사항 준수여부를 자동 점검하고, 악성코드 제거조치를 통해 PC보안성 유지

 ※ 각 사이트에서 제공하는 도구(Tool)를 다운로드 받아 악성코드 감염여부를 점검하고, 동시에 제거 조치할 수 있음 (아래 상세 설명)

○ PC보안 유의사항 이행여부 수시점검 및 보안관리 방법

  - 행정기관(전자정부통합망에 연결된 기관)의 경우에는,

  ․국가정보원(사이버안전센터)에서 배포하는 자동 PC보안 점검프로그램(PC Checker)을 이용, PC보안 유의사항 이행여부를 자동 점검

  ․자동 PC보안 점검프로그램(PC Checker)은 행정자치부에서 운영하는 정부보안정보공유분석센터(http://www.gisac.go.kr) 홈페이지의 자료실에서 다운로드받아 이용

  ․자료실 우측상단메뉴 “헬프데스크” → 보안정보나눔터 →  “PC Checker 기능강화판 배포”순으로 접근하여, 다운로드 받아 저장한 후, 설명서를 숙지하고 압축파일을 풀어서 실행

- 공공기관(정부내부망인 전자정부통합망 미 연결기관)의 경우에는,

  ․행정기관과 마찬가지로 국가정보원(사이버안전센터)에서 배포하는 PC Checker를 이용, PC보안 유의사항 이행여부를 자동 점검하되,

  ․PC Checker는 각 공공기관별로 담당자가 국가정보원(사이버안전센터)에 공문으로 ID와 비밀번호를 신청하여 발급 받은 후, 발급받은 ID와 비밀번호로 사이버안전센터의 정보공유시스템에 접속하여 다운로드 받아 저장한 후, 설명서를 숙지하고 압축파일을 풀어서 실행

 ※ PC Checker 주요기능

  ․공유폴더(관리자용, 사용자용) 생성 상태

  ․화면보호기(스크린세이버) 활성화 및 시간제한(5분이내) 적용 상태

  ․화면보호기 종료시 “로그온 화면” 표시 여부

  ․윈도 방화벽 활성화 상태

  ․메일 클라이언트 보안설정 상태

  ․손님(Guest) 계정 사용여부 검사

  ․로그온 패스워드 설정상태 및 기간 등

□ 좀비PC여부 점검 및 악성코드 제거방법

○ 마이크로소프트사에서 제공하는 아래 사이트중에서 선택, 윈도 악성 소프트웨어 제거도구를 이용하여 점검 및 감염파일 제거

- http://www.microsoft.com/korea/security/malwareremove/default.mspx

  ․“지금 도구를 실행합니다.” 클릭→ PC 검색 및 바이러스 제거 →  제거도구 실행  → “내 컴퓨터 검사” 클릭 → “동의함” 클릭 → 점검결과를 화면상에서 확인

- http://support.microsoft.com/kb/890830/ko

  ․좌측메뉴 “요약” 클릭 → 화면을 아래로 스크롤하여 “Microsoft 다운로드센터”에서 “지금 890830 패키지 다운로드” 클릭 → “다운로드” 클릭 → 바로 “실행”을 수행하거나, 다운로드 받아 저장된 압축파일을 푼 다음에 실행

○ 악성코드 제거 확인(온라인 스캔) 및 윈도 보안패치 자동설치 방법

  - 행정기관(전자정부통합망에 연결된 기관)의 경우에는,

  ․행정자치부에서 운영하는 정부보안정보공유분석센터(GISAC) 홈페이지 정기 접속을 통해 바이러스, 스파이웨어 등 악성코드 잔존여부를 온라인 실시간으로 점검 및 확인하고, 윈도 보안패치 자동 설치

  ․행정자치부 정부보안정보공유분석센터(http://www.gisac.go.kr) 홈페이지 →  화면 중간의 “GISAC 보안자가진단 서비스”中 “바이러스 치료” 클릭→  좌측 화면중간에 “윈도보안패치” 클릭 →  “윈도보안패치 실행하기” 클릭 →  점검  수행

    또는, 화면 중간의 “GISAC 보안자가진단 서비스”中 “바이러스 치료” 클릭 →  “온라인스캔 실행하기” 클릭순으로 실행

- 공공기관(정부내부망인 전자정부통합망 미 연결기관)의 경우에는,

  ․민간 보안관련업체에서 제공하는 보안사이트를 통해 바이러스 및 악성코드 감염여부 점검 및 제거 조치

[영순]

돌대사님 네 명심 하겠어요 좋은 글 잘읽어 보앗습니다 여기함평은 비가 촉촉비 내리고 있군요 오늘도 좋은 하루 잘보네세요