최근보안위협동향과그에따른대책

서울여자대학교

박춘식

2

모든 길은 로마로 통한다?

3

모든 길은 GOOGLE로 통한다!

4

모든 길은 GOOGLE로 통한다!

• GAFA(Google, Apple, Facebook, Amazon)의 선두주자

• ABC(AI(또는 Android), Big Data, Cloud(또는 해저 Cable)) 주도

• 구글의 꿈: googol(= 10^ 100)

• 구글의 앞으로 꿈: googolplex(=10^googol = 10^10^100)

• 모든 길은 로마로 통한 이후 모든 길은 구글로 통하는 것 같다.

5

Ransomware 2017

과거 최대(2016년)

• 일본 랜섬웨어 검출 수: 6만5,400건(2015년의 10 배)

• 일본 개인 랜섬웨어 피해 보고 건수: 460건(2015년의 3.1배)

• 랜섬웨어 변종: 247 종류(2015년 29 종)

랜섬웨어 대책 기본 5가지

• 자주 백업한다• 메일 첨부 파일이나 링크를 함부로 열지 않는다• OS나 소프트웨어 취약성을 패치한다• 신뢰할 수 있는 마켓으로부터 앱을 설치한다• 시큐리티 소프트웨어 최신으로 이용한다

주요기반시설 대상

[트렌드마이크로 2017 보안위협보고서조사]

6

IoT Security Threats

DoS DDoS DRoS IDDoS

Zombie PC

Zombie Smartph

one

Zombie Cloud

Zombie IoT

7

Zombie Cloud

클라우드 컴퓨팅을 이용한 DoS Attack • DEFCON Hacking Conference 2010• 아마존 EC2 서비스 이용: 가상 서버 12대• 150 Mbps, 10 Gbit Data 송신, 2 시간 이상• 소요 비용: 6달러

아마존 클라우드 서비스 이용 소니 해킹

「Luckycat」 APT와 클라우드

• Luckycat의 C＆C 서버로 복수의 클라우드 서비스 이용• C＆C서버 바꾸어 공격자 소재지 은폐 추정

8

연도별 최대 디도스 공격 규모 추이

9

「IDDoS 공격」、IoT 기기로부터 초대형 사이버 공격(Zombi IoT)

2016년 9월, Brain Krebs 운영 Web 사이트 「Krebs on Security」 약 620 Gbit/s DDoS 공격 14만 5000대 Web 카메라 Mirai 감염 공격 2016년10월 DNS 서비스 대기업 미국 Dyn 공격 당함, 미국 동부지역 인터넷 마비 사태 IoT 기기 급속 증가, 2017년 IDDoS의 위협 증대 예상

Mirai Malware Linux 컴퓨터 감염, 봇 넷 멜 웨어

CCTV 등의 네트워크 카메라나 가정용 라우터, 디지털 비디오레코드 등 네트워크 접속 기능의 IoT 디바이스 타켓

Mirai 네이밍, 일본어의 미래에서 유래.

Mirai 실제 개발자: 미국 Rutgers University 학생 & DDoS 보호서비스 업체인 ProTarif Solutions 대표 Paras Jha

10

아마존 AI Alex 오발주(誤発注)와 음성인식기술의 보안 과제

아마존의 AI 「Alexa」를 탑재한 Amazon Echo

• 2017년 초 6세 소녀、아버지 Amazon Echo Dots

사용 160달러 인형집과 쿠키 주문

• 샌디에고 지역 방송국, 사회자가 『Alexa、나에게

인형집을 주문해』발언, 텔레비전시청자 소유 Alexa

일제히 인형집 주문, 텔레비전 음성에 Alexa가 반응

• Alex 소리만을 인식하여, 화자나 상황을 완전히

고려하지 않는 다는 사실과 시큐리티 문제 인식

필요

• 악의를 가진 AI가 출현할 가능성

• AI, IoT 디바이스 보안 대책

11

도청우려되는대화형 인형「Cayla」、독일 사용 금지

• 독일 2017년 2월17일 도청 위험성 대화형 인형 「My Friend Cayla」App 사용 금지

• Cayla는 미국 Genesis Toys 제조, 인터넷 접속에대응하여 음성 인식 기술을 이용하여 아이들과 회화.

• 미국 ValueWalk、 반경 33피트 이내에서 간단하게다른 Bluetooth 디바이스로부터 Cayla의 마이크에액세스、Cayla와 아이들의 회화 도청 가능

12

사이버공격과가짜 뉴스

Assessing Russian Activities and Intentions in Recent US Elections(ICA 2017-01D 2017.1.6.)

러시아의 미국 대선 간섭 형태• 사이버 공격• 유출된 메일 내용을 이용한 가짜 뉴스 제작• 정부계 언론을 통한 가짜 뉴스 조직적 확산

러시아 간섭 배경• 푸틴과 러시아 정부의 차기 대통령 트럼프 지지• 미국에 의한 푸틴 측근들 의혹 폭로

• 리오 올림픽의 러시아의 도핑 문제(클린턴 지시)

러시아 사이버 공격 주체

• 군 참모본부 정보총국(GRU)산하 「Fancy Bears（ＡＰＴ28）」

• 연방보안청(FSB) 산하「 COZY BEAR （ＡＰＴ29）」

메일 내용 및 공개 방법

• 피자게이트, 고액 강연료, 민주당 선거위원장 샌더스 공격

• 자칭 해커 「Guccifer 2.0」와 「위키리크스」 등 고발 사이트

정부계 언론 등의 가짜 뉴스 확산법

• 「RT（Russia Today）」 클린턴 관련 동영상 등, 가짜 뉴스 발송

• 「Internet Research Agency」 (400명. 월 예산 40만 달러) 조직적 포스팅

• 러시아판 페이스북 「Vkontakte」,페이스북,트위트,인스타그램,「라이프 저널」

13

NATO가 「사이버 활동에 적용할 수 있는 국제법」 을 연구한탈린・메뉴얼 2.0 발표(2017.2.8.)

• 매뉴얼 1.0 (Cyber Warfare)

• 매뉴얼 2.0 (Cyber Operation)

• 사이버 공간 사건은 「국가에 대한 위협」이지만, 그들의 영향은 「군대를움직이거나, 무력 분쟁을 일으키는 데에충분한 것」 은 아님

14

AI & Security

DARPA 이벤트인 「Cyber Grand Challenge」:자동시스템(AI)을 통한 취약점 탐지

15

AI & Intrusion Detection

AI 효과

• 「위협 탐지로 부터 대응까지의 시간을빠르게 하기 위해」

Signature 및 행위 탐지, 로그 분석, 샌드박스 기법보다 Machine Learing이나 Deep Learning을 활용하여、위협 패턴 탐지의 고속화、실시간화, 자동화 등

• 「위협을 놓치고 마는 실수를 줄이기 위해」

16

AI Attack Vs AI Defense 현실

사이버 범죄자들은、BEC（Business E-mail Compromise）라는 사기에 기계 학습을이미 이용(2015)

사이버 공격자 측도 AI 활용

멜 웨어 및 변종 개발이나 취약성 및 침입 경로 자동 탐색 등취약성이 있는 서버나 디바이스를 인터넷 상에서 탐색하여, 취약성에 대응한

멀웨어를 자동 생성

대응책Turing Test기본 대책 충실훈련(시뮬레이션 등)

17

FIDO

18

입력 피로도 증가패스워드 피로도증가다양한 서비스의 출현, 서비스 별

인증정책의 차이로인한 비밀번호 관리의 어려움

모바일 확산에 따른 입력 체계의 변화로타이핑의 어려움.

한국 FIDO 산업포럼

19

한국 FIDO 산업포럼

생체 정보 전송의위험

저장된 생체 정보의 해킹위험

미러링포트, ARP Spoofing등스니핑을 통한 인증데이터갈취

네트워크 구간 해킹을 통한 생체정보 갈취

SQL Injection, 웹쉘 등을이용한 서버 해킹을 통한개인인증데이터 대량 탈취

DB서버 해킹을 통한 생체정보 유출

생체정보는 패스워드와는 달리변경이 불가능한 특성으로 인해,생체 정보 해킹시, 위험도가 높음

생체 정보 DB의 해킹시,대량의 생체 정보 탈취가 가능하기 때문에

그 피해는 매우 치명적임

20

사용자 인증과 원격 인증 프로토콜의 분리

• 사용자인증 수단은 바이오, 토큰, 패턴 등 다양

• 원격인증은 공개키 기반 단일방식

☞ 기존서버 변경 없이 다양한 인증 수단사용

출처: ETRI발표자료(진승헌) 한국 FIDO 산업포럼

21

미국 트럼프 정부의 클라우드 추진 정책

• 정부 시스템의 공통 기반으로써클라우드 이용 추진 정책 변화없음(출범 초기)

• 미국 연방 정부 클라우드 통일시큐리티 기준 「FedRAMP」의stakeholder 구성

22

미국 DoD “MilSpec” 「클라우드시큐리티가이드라인」

Cloud Computing Security Requirements Guide(SRG)Security Technical Implementation Guides (기술 제품 등 소개)Cloud Access Point Functional Requirements Document

SOC1／SOC2／SOC3 (Service Organization Control) 보고서:기준 ISAE3402ISO 27001:2005 국제표준CSA STAR (Security, Trust ＆ Assurance Registry) 인증:CSA CCM+ BSi ISO27001HITRUST(Health Information Trust Alliance) 인증PCI DSS(Payment Card Industry Data Security Standard) 인증ISACA Cloud IT Audit 등

클라우드 서비스 보안 인증 제도

23

미국국방부의요건을만족하는클라우드보안대책FedRAMP + DoD DISA「Department of Defense Cloud Computing Security Requirements Guide Version 1, Release 2」(SRG), 2016）

클라우드 컴퓨팅 시큐리티 요구 사항 가이드의 impact level 비교

• impact level 1：일반 공개를 인정한비기밀정보（※현재는 level 2로 통합）

• impact level 2：관리되어 있지 않은비기밀정보（FedRAMP 인증 또는 동등 level 의public cloud offering일 것）

• impact level 3：관리되고 있는 비기밀정보（※현재는level 4로 통합）

• impact level 4：관리되고 있는비기밀정보（FedRAMP Moderate 베이스라인과국방부 고유의 통제/요구사항의 조합에 의해인증을 받는다）

• impact level 5：관리되고 있는 비기밀정보로 미션크리티컬／국가안전보장정보（FedRAMP Moderate 베이스라인과 국방부 고유의 통제／요구사항의조합에 의해 인증을 받는다）

• impact level 6：기밀정보로 SECRET취급까지（외부운용하는 국방부 계약처의 시설 및 정보 시스템의평가 및 인증을 받은 것）

By gaining the DOD’s Level 5 Provisional Authority (PA) for the DOD regions of Microsoft Azure Government and Office 365 U.S. Government Defense, Microsoft:Becomes the first and only commercial cloud provider to offer an exclusive DOD cloud that is L5-approved.(2017.1.13.)

24

민관일체형의국방부클라우드의사이버사고대응

• 전체 통괄: JFHQ-DODIN：Joint Force Headquarters - Department of Defense Information Network

• 경계 사이버 방어（BCD)、미션 사이버 방어（MCD）• 미션 관리자、미션 오너/ CSP、 milCloud（DISA 자체 개발 클라우드 서비스）

사고 보고정보공유

25

(미래부) 클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시 제정(2016.4.)

국내클라우드컴퓨팅서비스보안인증제도

‘ (보건복지부) 전자의무기록의 관리보존에 필요한 시설과 장비에 관한 기준

26

클라우드 보안 인증 제도 비교(FedRAMP Vs K_FedRAMP)

(출처: 한국인터넷진흥원)

27

국내 G 클라우드 보안 인증 취득

네이버, 2번째 클라우드 보안 인증 획득(2017.2.28)

‘공공기관 민간 클라우드 이용가이드라인’(행정자치부.2016.7)정보자원 1등급 중요

시스템을 제외하고 민간클라우드 이용 가능한 기준제시

KT ‘G-클라우드’, 클라우드 보안인증 첫 획득(2016.10.20)

THANK YOU서울여자대학교

박춘식