선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 따라서 본 논문에서는 향후 원자력시설 사이버보안 설계기준위협 재설정 과정에서 활용 가능한 2015년부터 2017년까지의 최신 사이버 위협 사례 중 원자력시설 등 국가 중요시설을 대상으로 하는 해킹, 컴퓨터바이러스, 서비스거부 공격 등 방사능방재법 제2조(정의)에 따른 전자적 침해행위를 상세 분석하고자 한다.
제안 방법
- 공격 방법은 보낸 사람 주소를 우크라이나 의회로 위장하여 악성 매크로 첨부파일을 실행하도록 유도하는 내용이 포함된 메일을 전송하여 피해자가 첨부파일을 실행하면 시스템에 BlackEnergy 악성코드가 다운로드되도록 하였으며, BlackEnergy는 KillDisk 악성코드를 다운로드하도록 설계됐다. KillDisk를 이용하여 감염된 시스템의 중요 구성 요소를 제거하고, 마스터 부트 레코드(MBR)를 손상시켜 시스템이 작동하지 못하게 한 후, 차단기를 열어 정전을 일으켰으며, 발전소 직원이 정전보고를 받지 못하도록 전화 회선에서 서비스 거부 공격을 수행하였다[5,8].
- Ramnit, Conficker 악성코드를 사용하였으며, 공격 방법은 W32.Ramnit 악성코드를 이용하여 로그인 자격 증명을 도용하고, 해커에게 원격으로 액세스할 수 있도록 백도어 기능을 제공하였으며, Conficker 악성코드를 이용하여 사용자 자격 증명 및 개인 재무 데이터를 훔치고, 감염된 컴퓨터를 봇으로 만들어 분산 서비스 거부(DDoS) 공격을 수행하려고 시도하였다[5,9].
- 공격 방법은 Bitly계정을 사용하여 Gmail 계정 사용자 이름을 Base64로 인코딩한 값을 포함하는 악성 URL을 단축해 전자 메일에 링크를 첨부하여 보냈으며, 링크 클릭 시 사용자 이름 입력란에 이메일 주소가 미리 채워진 가짜 Google 계정 로그인 페이지가 표시되도록 하여 입력된 자격 증명을 사용해 Gmail 계정의 내용에 액세스하였다[5,10].
- 공격 방법은 FirstEnergy의 컴퓨터 네트워크에 악성트래픽을 전송하여 대규모 서비스 거부(DoS) 공격을 수행하였다[5,13].
- 공격 방법은 Microsoft Word 취약점을 이용하여 악성 코드를 제작한 후, 가짜 이력서로 위장하여 수석 산업 제어 엔지니어에게 전송한 후, 엔지니어가 해당 문서를 열면 네트워크상에 있는 다른 기기에 접속 할 수 있는 자격 증명을 훔칠 수 있도록 설계하였다[5,7].
- 공격 방법은 Siemens 시스템의 모델에 대한 특정 공격을 수행하여 전력 시스템을 제어하는 원격 터미널 장치를 끄고 정전을 일으켰다. 피해 현황은 키예프 북쪽과 인근 지역에서 1시간 15분 동안 정전이 발생되었으며 관련 사진은 그림 3과 같다[5,6].
- 공격 방법은 보낸 사람 주소를 우크라이나 의회로 위장하여 악성 매크로 첨부파일을 실행하도록 유도하는 내용이 포함된 메일을 전송하여 피해자가 첨부파일을 실행하면 시스템에 BlackEnergy 악성코드가 다운로드되도록 하였으며, BlackEnergy는 KillDisk 악성코드를 다운로드하도록 설계됐다. KillDisk를 이용하여 감염된 시스템의 중요 구성 요소를 제거하고, 마스터 부트 레코드(MBR)를 손상시켜 시스템이 작동하지 못하게 한 후, 차단기를 열어 정전을 일으켰으며, 발전소 직원이 정전보고를 받지 못하도록 전화 회선에서 서비스 거부 공격을 수행하였다[5,8].
- 공격 방법은 정치인과 10명 미만의 의원에게 자신의 컴퓨터에 액세스할 수 있게 해주는 가짜 피싱 이메일을 보냈으며, 네트워크 상의 9000개 이상의 의회 이메일 사용자의 계정에 대한 지속적인 무차별 대입 공격을 통해 액세스를 시도하였다[5,11].
- 국내에서 발생된 주요 사이버 사건을 정밀히 분석하기 위해 공격 목적, 공격 경로, 공격 자원에 대한 통계자료를 작성하였다. 먼저 공격 목적은 사회 혼란, 금전적 이익, 정치적 이유, 정보 탈취로 구분되며, 자세한 현황은 그림 7과 같다.
- 국외에서 발생된 주요 사이버 사건을 정밀히 분석하기 위해 공격 목적, 공격 경로, 공격 자원에 대한 통계자료를 작성하였다. 먼저 공격 목적은 금전적 이익, 정치적 이유, 정보 탈취, 불분명으로 구분되며, 자세한 현황은 그림 10과 같다.
- 나아가 국내·외 사이버보안 위협 분석을 위해 2015년부터 2017년까지 주요 사이버 사건 41건에 대해 국내(12건)와 국외(27건)로 구분하여 분석하였으며, 공격목적, 공격 경로 및 공격 자원을 심층 분석하였다.
- 공격 자원 중 악성코드를 이용한 사이버 사건이 총 20회로 가장 많이 발생되었으며, 주로 랜섬웨어를 이용한 사이버 공격으로 분석되었다. 또한, 웹 해킹을 이용한 사이버 사건은 3회로 분석되었으며, 피싱을 이용한 사이버 사건은 1회로 분석되었다. 공격 자원을 분석할 수 없는 사이버 사건이 총 3회로 분석되었다.
- 본 논문은 2015년부터 2017년 사이에 발생한 사이버 위협 사례 중 방사능방재법의 전자적 침해행위의 유형에 따라 해킹 공격, 컴퓨터바이러스 공격, 논리·메일 폭탄 공격 및 서비스거부 공격에 해당하는 사이버 사건을 분석하였다.
- 원자력시설의 사이버 위협은 방사능방재법 제2조 정의의 ‘전자적 침해행위’에 따라 해킹, 컴퓨터바이러스, 논리·메일폭탄, 서비스거부 등으로 공격 유형이 구분되며, 최근 3년간(’15년~ ’17년) 사이버 위협 유형별 사건을 상세 분석하였다.
대상 데이터
- 본 사건의 공격 목적은 사회 혼란이며, 공격 주체는 불분명하다. 공격 대상은 FirstEnergy사 컴퓨터 네트워크로, 공격 경로인 네트워크를 이용하였으며, 공격 자원에 대한 알려진 정보는 없다[5,13].
- 본 사건의 공격 목적은 사회 혼란이며, 공격 주체는 불분명하다. 공격 대상은 Gundremmingen 원자력 발전소로, 공격 경로는 알려지지 않았다[5,9].
- 본 사건의 공격 목적은 금전적 이익 추구이며, 공격 주체는 DD4BC(DDoS for Bitcoin)이다. 공격 대상은 대구, 부산, 전북은행, 미래에셋증권, 한국투자증권 등이다. 공격 경로는 네트워크를 이용하였으며, 공격 자원으로 SSDP(Simple Service Discovery Protocol) 프로토콜 패킷을 사용하였다[5,12].
- 본 사건의 공격 목적은 정보 탈취이며, 공격 주체는 러시아 해커로 추정된다. 공격 대상은 영국 의회 이메일 시스템이며, 공격 경로로 이메일을 사용하였으며, 공격자원은 피싱 메일을 활용하였다[5,11].
- 본 사건의 공격 목적은 정치적 이유이며, 공격 주체는 러시아 해커 그룹 샌드웜으로 추정된다. 공격 대상은 우크라이나 전력 회사 Ukrenergo의 전력망이며, 공격 경로는 VPN을 이용하였으며, 공격 자원은 Industroyer 악성코드를 사용하였다[5,6].
- 본 사건의 공격 목적은 사회 혼란이며, 공격 주체는 러시아 해킹 그룹 샌드웜으로 분석됐다. 공격 대상은 우크라이나에 위치한 3개의 전력 배전 회사이며, 공격 경로는 이메일을 사용하였고, 공격 자원은 피싱 메일을 통해 악성 매크로를 포함하는 Microsoft Word문서, BlackEnergy, KillDisk 악성코드 및 전화회선 DoS를 이용하였다[5,8].
- 공격 대상은 울프크릭(Wolf Creek) 원자력 운영회사이며, 공격 경로는 이메일을 이용하였으며, 공격 자원으로 악성 코드가 포함된 Microsoft Word 문서를 사용하였다[5,7].
- 본 사건의 공격 목적은 러시아 정부의 정치적 이익을 위한 것이며, 공격 주체는 APT28이다. 공격 대상은 힐러리 클린턴 캠프 관계자 및 직원들이며, 공격 경로로 이메일을 사용하였으며, 공격 자원으로 피싱 메일을 활용하였다[5,10].
- 본 사건의 공격 목적은 금전적 이익 추구이며, 공격 주체는 DD4BC(DDoS for Bitcoin)이다. 공격 대상은 대구, 부산, 전북은행, 미래에셋증권, 한국투자증권 등이다.
- 본 사건의 공격 목적은 러시아 정부의 정치적 이익을 위한 것이며, 공격 주체는 APT28이다. 공격 대상은 힐러리 클린턴 캠프 관계자 및 직원들이며, 공격 경로로 이메일을 사용하였으며, 공격 자원으로 피싱 메일을 활용하였다[5,10].
- 본 사건의 공격 목적은 사회 혼란이며, 공격 주체는 러시아 해킹 그룹 샌드웜으로 분석됐다. 공격 대상은 우크라이나에 위치한 3개의 전력 배전 회사이며, 공격 경로는 이메일을 사용하였고, 공격 자원은 피싱 메일을 통해 악성 매크로를 포함하는 Microsoft Word문서, BlackEnergy, KillDisk 악성코드 및 전화회선 DoS를 이용하였다[5,8].
- 이에 따라, 3장에서 분석된 사이버 위협 유형별 사건 41건을 국내와 국외로 구분하여 심층 분석하였다.
성능/효과
- 공격 경로 중 웹을 통한 사이버 공격이 가장 많이 발생되었으며, 네트워크를 이용한 사이버 공격도 4회로 분석되었으며, 이메일을 통한 사이버 공격은 1회로 분석되었다.
- 공격 경로 중 이메일을 통한 사이버 사건이 총 12회로 가장 많이 발생되었으며, 네트워크를 이용한 사이버 사건이 8회로 다음으로 많이 발생되었다. 또한, 웹을 통한 사이버 사건이 2회 발생되었고 공격 경로가 불분명한 사이버 사건도 총 5회로 분석되었다.
- 공격 자원 중 악성코드를 이용한 사이버 공격이 총 7회로 가장 많이 발생되었다. 또한, 웹 해킹을 이용한 사이버 공격도 3회로 분석되었으며, 취약점 및 공격 자원을 분석할 수 없는 사건이 각 1회로 분석되었다.
- 공격 자원 중 악성코드를 이용한 사이버 사건이 총 20회로 가장 많이 발생되었으며, 주로 랜섬웨어를 이용한 사이버 공격으로 분석되었다. 또한, 웹 해킹을 이용한 사이버 사건은 3회로 분석되었으며, 피싱을 이용한 사이버 사건은 1회로 분석되었다.
후속연구
- 특히 취약점을 이용해 전 세계적으로 피해를 일으킨 랜섬웨어, 우크라이나 대규모 정전을 일으킨 악성코드 등과 같이 주요 사이버 사건들에 대한 분석 자료를 활용하여 현재 설정된 사이버보안 분야 설계기준위협의 적절성을 평가할 수 있다. 또한, 향후 개정될 사이버보안 분야 설계기준위협 재설정 과정에서 분석 자료를 활용하여 위협 속성을 추가 보완할 수 있을 것으로 기대된다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.