사이버 안전 교육동영상 번역(한국어 원본)“사이버 안전 훈련센터“ 교육동영상
대사)
담당자1 : 희망시청입니다. 네? 아, 네 확인해 보겠습니다.
담당자1 : 세금청 홈페이지가 DDOS공격을 받고 있고, 희망시청 홈페이지는 변조되었습니다.
담당자2 : 희망시 일부 지역에 정전이 발생했고,
인근 주택가에 수돗물 악취 관련 민원이 급증하고 있습니다.
담당자1 : 북동사거리에 극심한 정체가 발생하고 있고,
희망역을 지나던 열차 한 대가 운행 경로를 이탈했습니다.
북동사거리 교통신호등과 열차 신호가 제어되지 않습니다.
담당자2 : 희망남동 급전분소에 전력 공급 제어가 불가하고,
정수장 약품투여 제어시스템이 비정상으로 동작합니다.
담당자3 : 현재 상황을 관계기관에게 통보하고 사고원인을 파악해 주세요.
신속하게 초동조치해 주시길 바랍니다.
담당자1,2 : 예 알겠습니다!
담당자1 : 세금청 홈페이지로 유입되는 UDP와 ICMP 트래픽을 차단하고,
피해 서버를 네트워크에서 분리하여 임시 홈페이지로 전환하였습니다.
담당자2 : 포렌식 프로그램으로 피해시스템 증거 자료 확보했습니다.
담당자1 : 전력 송변전제어시스템과 도로와 철도 제어시스템, 약품투여 제어시스템을
예비시스템으로 전환하였습니다.
담당자3 : 관계기관에 보고하고 공조 대응 요청하겠습니다.
피해현황 그리고 원인 분석 부탁합니다.
담당자2 : HTTP 요청 트래픽이 갑자기 증가합니다.
DDOS 2차 공격이 시작된 것 같습니다.
담당자3 : 발신지별 동시접속량을 낮추고, DDos 공격 유형 파악해 주세요.
담당자1: 정보보호시스템과 웹 접근 로그를 분석한 결과 sql 인젝션 공격이 의심됩니다.
담당자2: 2차 DDOS 공격 이후 3차 공격은 없습니다.
공격 진원지가 적국 IP 대역으로 확인되었습니다.
담당자1 : 송변전제어시스템은 USB를 통해 악성코드에 감염이 되었고,
교통신호제어시스템은 도로의 신호제어기를 통해 침투된 것으로 확인됩니다
담당자2 : 정수제어시스템과 철도신호제어시스템의 경우,
제어망과 외부망간 연계접점을 통해 침투했습니다.
담당자3 : 급히 요청드립니다. 이메일 확인하시고 복구파일 서둘러주세요.
담당자1 : 취약점 패치 파일을 전송받았습니다.
담당자2 : 타기관 DDOS 공격 진원지 IP까지 세금청 DDOS 방어장비 차단정책으로 추가하였습니다.
담당자1 : 시청 홈페이지에 SQL인젝션 취약점 패치를 적용했습니다.
담당자2 : 제어시스템 악성코드 제거 및 주 제어시스템 복구 완료!
예비 제어시스템에서 주 제어시스템으로 서비스가 정상화되었습니다.
담당자3: 모두 수고했습니다.
강사: 이번 훈련은 홈페이지 변조와 DDos 그리고 제어시스템 공격이 동시다발적으로
일어나는 상황이었는데, 침착하게 대응하여 해킹 공격을 잘 막았습니다.
모두들 수고했어요.
브릿지: “인터넷 영역 훈련 교육 “
관제팀 직원: 희망시청 홈페이지가 알 수 없는 오류로 이상한 화면으로 변조된 것 같습니다.
신속한 확인바랍니다.
Na)
악성프로그램의 빠른 공격성에 맞서는 효과적인 대처의 시작은 정확한 탐지입니다.
웹사이트를 매개체로 하여 취약점을 노리는 해커의 공격이 발생하면
관리자 패스워드의 변경 여부를 확인하고,
웹서비스 상태 및 소스 파일들의 감염 상태를 확인합니다
웹서버 변조가 탐지되면 공격받은 웹서버의 네트워크를 분리시킨 후,
임시 홈페이지를 구성 운영하고, 격리된 웹서버에 노트북을 직접 연결하여
전반적 상태를 수집한 후, 관계기관에 보고합니다.
웹서버 담당자는 웹서버 접속로그를, 정보보호담당자는 데이타베이스 로그를 각각 조사하여
공격 당한 취약점을 분석합니다.
취약점의 존재가 파악되면 상기 취약점에 대한 최신의 상세 정보를 조사하여
분석보고서를 작성하고 개발업체에 패치를 의뢰합니다.
개발업체가 제공한 패치파일을 적용하여 취약점을 보완 후
정상적 홈페이지 서비스가 가능하도록 조치하고, 이후 패치 적용 상태와 웹서버의 구동을 확인합니다.
보안관리자들은 최신의 웹 취약점 트렌드를 파악하여
웹서버 보안 수준을 높이기 위한 작업을 실시하고
유사시 탐지-초동조치-분석-복구-보안강화단계를 침착하게 실행하여,
지속적으로 시도되는 새로운 공격에도 적절히 대응할 수 있도록 조치합니다.
브릿지 : “정부 영역 훈련 교육”
해킹 공격 발생시 무엇 보다 선행 되어야 할 요소는 현황 인지능력의 확보 입니다.
Ddos대응장비 운영자는 트래픽의 다량 탐지를 확인하고,
IPS운영자, 웹방화벽 운영자와 협력하여 디도스 공격 유형을 명확히 파악합니다.
정보보호 담당자는 각 장비의 탐지정보를 종합해 상황통보문을 작성하여
즉시 관계기관에 통보합니다.
디도스 대응장비 담당자는 1차적으로 확인된 공격에 대하여
해당 공격의 임계값을 제어하여 대응하고,
이와 동시에 IPS담당자는 탐지 패턴을 설정하며,
웹방화벽 담당자는 동일 IP 동시접속량을 제한 및 차단합니다.
웹서버 담당자는 네트워크 시스템을 통해 HTTP 요청 패킷을 분석하고,
DBMS 부하상태를 확인하여 공격 유형을 파악합니다
정보보호담당자는 분석된 공격유형에 따른 차단정책을 정의하여 대응하고
공격자 IP리스트를 포함한 조치 보고서를 작성하여 관계기관에 통보하여
추가 피해를 예방합니다.
끝으로, DDos공격 분석 결과 도출된 문제점을 개선하고,
재발 방지 대책을 수집/전파하여 보안역량을 강화합니다.
이상과 같이 방어자 중심의 대응체계를 확립한다면,
유사 공격 발생시에도 신속하고 숙련된 대응이 가능합니다
브릿지 : “기반 영역 훈련 교육”
안내방송: 금일 14시 부터 전력, 상수도, 도로, 철도에 대한 동시다발적인 피해가
발생되고 있습니다.
피해 발생 원인을 파악하고 신속히 대응하십시오. |
사이버 안전 교육동영상 번역(영어 번역본)“Cyber Safety Training Center“ Training Video
Dialogue)
Manager 1 : This is Hope City Hall. I beg your pardon? Oh, Ok I will take a look.
Manager 1 : The National Tax Service website is receiving DDOS attack, and the Hope City Hall website has been modulated.
Manager 2 : Power in certain areas in Hope City has gone out,
and complaints from nearby household about tap water odor is increasing drastically.
Manager 1 : A severe traffic jam is occurring at Bukdong intersection,
and a train that was passing by Hope Station was derailed from the tracks.
The traffic lights and train signals at Bukdong intersection are not being controlled.
Manager 2 : Power supply control to Hope South-dong load dispatching center is not possible,
and the purification plant drug injection control system is operating abnormally.
Manager 3 : Notify involved organizations about the current situations and figure out the cause of the incident.
Please make quick initial measures.
Manager 1,2 : Yes, sir!
Manager 1 : The UDP and ICMP traffic coming into the National Tax Service website were blocked,
and the damaged server is separated from the network and switched to a temporary website.
Manager 2 : Evidence for the damage system were obtained using a forensic program.
Manager 1 : I changed the power transmission and transformation control system and street and rails control system, drug injection control system to preparatory systems.
Manager 3 : I’ll report to relevant organizations and request support.
Please analyze the damage situation and cause.
Manager 2 : HTTP request traffic is suddenly increasing.
I think the secondary DDOS attack has begun.
Manager 3 : Lower the concurrent connection per source, and identify the type of DDos attack.
Manager 1: As a result of analyzing the information protection system and web access logs, it is suspected to be a SQL injection attack.
Manager 2: There is no third attack after the secondary DDOS attack.
The origin of attack is confirmed to be a IP zone from the enemy state.
Manager 1 : Power transmission and transformation control system is infected by malignant code through USB, and the traffic light control system was confirmed to have been attacked through a street signal controller
Manager 2 : Water purification control system and railroad signal control system were breached through the point of contact between the controlled network and external network.
Manager 3 : This is an urgent request. Please check your email and hurry up with the recovery file.
Manager 1 : I received the weakness patch file.
Manager 2 : The IP for the origin of DDOS attacks in other organizations were also included in the National Tax Service DDOS defense equipment block policy.
Manager 1 : The SQL injection patch was applied to the city hall website.
Manager 2 : Completed terminating the control system malignant code and recovered main control system! The service has been normalized from the preparatory control system to the main control system.
Manager 3: Good job, everyone.
Instructor: This training was a situation where website modulation, DDos, and control system attack occurred simultaneously, and everyone patiently reacted and successfully blocked the hacking attacks.
Good job.
Bridge: “Internet Area Training “
Control team employee: The Hope City Hall website has been changed to a strange page due to an unknown error.
Please take a look at it quickly.
Na)
The start of an effective counteraction to withstand a fast attack of malignant programs is accurate detection.
If the attack of a hacker with the website as the medium occurs,
check whether the administrator password has changed,
and whether the web service state and source files were infected.
If a web server modulation is detected, separate the web server being attacked from the network,
manage a temporary website, and directly connect to the isolated web server from a laptop
and collect its overall state, and report to involved organizations.
The web server manager and the information protection manager investigates the web server access log and database log respectively and analyzes the security loophole where the attack was made.
If the presence of a weakness is identified, investigate the most recent details on the aforementioned weakness, write an analysis report and request a patch to a development firm.
After supplementing the weakness by applying the patch file provided by the development company, take action so that normal website service is provided, and check the patch application status and web server operation afterwards.
Security administrators should understand the most recent web weakness trends,
conduct operations to enhance the security level of web servers,
and meticulously process detection-initial measure-analysis-recovery-security enhancement steps when an incident occurs, and take measures to appropriately react to new attacks that are continuously attempted.
Bridge : “Government area training”
When a hacking attack occurs, the factor that must come foremost is obtaining recognition ability of the current state.
The DDoS reaction equipment manager confirms high volume of traffic,
and collaborates with the IPS manager, web firewall manager to clearly identify the type of DDoS attack.
The information protection manager collects the detection information of each equipment and writes a situation notification and immediately notifies relevant organizations.
DDOS reaction equipment manager will react to initially confirmed attack by controlling its threshold value, and at the same time, the IPS manager sets the detection pattern,
and the web firewall manager limits and blocks simultaneous access from the same IP.
The web server manager analyzes the HTTP request packets through the network system,
and identifies the attack type by checking the DBMS load status
The information protection manager defines the blocking policy depending on the analyzed attack type and writes a measure report that includes the attacker IP list, notifies relevant organizations and prevents additional damage.
Finally, as a result of analyzing the DDos attack, the elicited problems are improved,
recurrence prevention policies are collected/disseminated and the security capacity is strengthened.
If the described defender centered reaction system is established,
a quick and experienced reaction is possible even when a similar attack occurs
Bridge : “Fundamental area training”
Announcement: Since 14:00 today, simultaneous damage on power, waterworks, streets, and railroads are occurring. Please investigate the cause of the damage and quickly react. |
