침해 사고 정보 |
|
일자 | 2011/04/12 ~ 2011/04/30 |
침해 정보 | 농협 전산망 275대 시스템 파일 삭제 |
특징 | 업무용 노트북 개인사용에의한 악성코드 감염 |
피해크기 | 농협 전산망 마비로 인한 모든 전산업무 중단 |
침해 사고 분석 | |
경위 | ① 10/09/04 농협 전산망 유지보수업체 직원 A씨 노트북으로 웹하드 이용 - 해당 노트북을 이용해 서버 관리 업무 수행 > 웹하드를 이용하던 중 악성코드에 감염되어 좀비 PC로 동작 ② 10/10/22 노트북에 키로킹 프로그램 설치 ③ 11/03/11 ~ 11/04/12 공격 관련 프로그램 설치 - 백도어, 파일 삭제 관련, 도청 프로그램, 공격 명령 프로그램 등 설치 > 키로깅 프로그램과 함께 사용해 계정정보 등 전산망 관리를 위한 정보 (계정, 내부 IP 등) 탈취 ④ 11/04/12 공격 명령 파일 실행 및 흔적 제거 - 원격제어로 시스템 파일 삭제 명령이 저장된 공격 명령 프로그램 실행 > 당시 총 553대 서버 중 275대가 일부 혹은 전체 삭제 > 공격에 사용한 프로그램 삭제 ⑤ 11/04/13 ~ 11/04/30 조사 착수 및 단계적 정상화 - 검찰 노트북, 전산자료, 서버 접속 기록 등을 확보하여 유관 기관과 협조 조사 > 11/04/30 농협 대고객서비스 완전 복구 ⑥ 11/05/03 검찰 수사 결과 발표 - 북한이 관여된 사이버테러 |
원인 | ① 업무용 노트북의 외부 반출 및 개인적 사용 - 통제 없이 서버 관리용 노트북의 외부 반출·입 > 서버 관리용 노트북을 개인적으로 사용해 영화, 음악을 다운 ② 내·외부망 분리 미비로인한 점접 발생 - 통제구역 내에서 인터넷 연결 가능 > 작업 스케줄러 등을 통한 예약실행 가능성 존재 ③ 기타 보안 조치 미비 - 서버 관리자 계정 동일한 비밀번호 장기간 사용 (약 9개월) - 유지보수 업체 직원에 과도한 권한 부여 (시스템 파일 삭제 명령 실행) - 유지보수 업체의 정책에 따라 노트북에 보안 프로그램이 설치되지 않음 (약 7개월) |
조치 | ① 농협 - 공격 명령 실행 10분 후 명령이 실행된 모든 중개 서버 셧다운 - 대고객 거래 전면 중단 ② 검찰 - 약 한 달의 수사 결과 북한이 관여된 사이버테러라는 취지의 결과 발표 > 근거 1: 과거 북한이 사용한 IP와 동일한 하나의 IP 확인 (IP 한 개가 동일할 확률은 43억분의 1) > 근거 2: 7.7, 3.4 DDoS 때와 공격 패턴, 암호화 방식, 삭제 대상 파일 확장자의 종류와 순서, 악성코드 이름 등 일치 > 근거 3: 노트북의 맥 어드레스와 모종의 경로로 국정원이 압수한 북한의 좀비 PC 중 하나와 맥어드레스가 일치 ※ 기타: 보안 프로그램이 설치되지 않은 노트북, 무선인터넷을 이용한 방회벽 우회 등 ③ 금융권 - 보안 관련 인력 확보 및 내부 보안절차 강화 > 웹 취약성 진단 횟수 증가 > 이동식저장장치(USB) 사용 일부 제한 > 부서장 승인을 통한 데이터 반출 > 일회용비밀번호(OTP) 등 추가 인증 > 망분리 방안 검토 > 외국 은행의 보안 시스템 벤치마킹 ※ 정부 차원의 사이버 안보 마스터 플랜 마련 계획, 국가사이버위기관리법 재정 추진, 사이버사령부 확대 개편 등 |
기타 | ① 농협 전산망에 대한 비판 - 당시 농협 IT 예산 중 보안 예산 비중은 1.6% (시스템 구축 완료 후 예산 삭감) - 최저가 입찰을 통한 외부 아웃소싱 - 시스템 관리용 노트북의 백신 프로그램 미설치 - 시스템 관리용 노트북의 통제 없이 외부 반출·입 등 ② 검찰 조사 결과에 대한 비판 - 농협 내부망에서 백도어 프로그램이 동작할 수 없음 - 대부분의 해커들이 IP를 스푸핑하므로 단정짓기는 어려움 - 7.7, 3.4 DDoS 공격은 북한의 소행이라고 확실히 밝혀지지 않음 등 > 당시 사용된 IP의 경우 KISA를 통해 이미 차단이 진행됨 ③ 세 가지 가능성이 대두되었음 - 전·현직 직원의 복수극 > 규정상 서버 관리자와 직원이 권한을 나눠 가져야 함 > 하지만, 업무 편의를 위해 유지·보수를 맡은 직원이 모든 권한을 지님 - 내·외부 공모 > 공격 프로그램의 설치 과정에 내부자 또는 시스템을 잘 아는 인물이 개입되었을 것 - 전문 해커에 의한 사이버 테러 > 전산망 방화벽 내부에서 여러 차례 침입 흔적이 발견 |
'침해사고 > 해킹사고' 카테고리의 다른 글
알라딘 전자책 유출 사건 (0) | 2023.09.27 |
---|---|
한국장학재단 '개인정보 유출' 의심 (0) | 2023.06.28 |
한국씨티은행 포스(POS)단말기 해킹 사고 (0) | 2023.06.28 |
대학교 개인정보 유출 (0) | 2023.06.17 |
한독 개인정보 유출 (0) | 2023.06.16 |