특별한 상황에 맞는 가장 적합한 호스팅 서비스를
더 전문적인 기업에 맡기세요.

보안패치정보

랜섬웨어 악성코드 감염 및 디도스 공격예방을 위한 보안강화 권고 2024-11-01

□ 개 요

o 러시아-우크라이나 전쟁과 중동 분쟁 등 국제정세의 변화가 사이버 위협으로도 이어질 수 있어 기업 담당자들의 사전 보안점검 및 대비 필요

- 랜섬웨어 공격으로 경제적ㆍ사회적으로 큰 피해를 야기 시킬 수 있으므로 주의 필요

- 친 러시아 해킹그룹의 국내 DDoS 공격 등으로 인한 사이버 위협이 증가

□ 주요 사고 사례

≪랜섬웨어 악성코드 감염≫

o 포트 스캐닝을 통해 MS-SQL 설치 서버를 확인하고 sa 계정에 대한 무차별 대입공격으로 계정 탈취 후 침투하여 랜섬웨어 감염

o 웹 취약점(파일 업로드, 원격명령 실행 등)을 통해 악성 파일을 생성 후 권한 상승 취약점을 악용하여 서버 장악 및 랜섬웨어 감염

o 파일 암호화 뿐 아니라, 내부 민감 데이터를 유출해서 공개하겠다고 협박하며 금전을 요구하는 이중 갈취

o 이력서로 위장한 악성파일을 첨부하여 기업 채용 담당자가 의심 없이 실행하게 유도

o 업무적 편의나 유지보수를 위해 원격 접속을 허용했으나, 계정관리 미흡*으로 외부에서 무단 침투하여 랜섬웨어 감염, 기업 업무 마비

* 유추하기 쉬운 비밀번호 사용, 장기간 동일한 비밀번호 사용, 다중인증(MFA)이나 접근IP 제한 없음 등

o 취약점 보안 패치가 미적용된 시스템을 악용하여 내부 침투 후, 중앙관리 서버를 이용하여 전사 시스템에 랜섬웨어 악성코드 유포

≪디도스 공격≫

o 러시아 해킹조직(사이버드래건 등)쳀 국내 정부 및 금융기관 등을 대상으로 디도스 공격 감행

o 친러 해커조직 '대만 총통 발언에 불만'을 이유로 대만 정부와 지방 자체단체 대상 디도스 공격 감행

□ 보안 권고 사항

o 외부 접속 관리 강화

- 기업 자산 중 외부에 오픈된 시스템(DB 서비스, NAS 등) 현황을 파악하고, 불필요한 시스템*은 연결 차단

* 특히 테스트 서버, 유휴 서버 등 방치되어 있는 시스템 점검 및 중요 시스템 접속자의 경우 개인 단말에 임의로 원격 제어 프로그램을 설치해서 사용하는지 여부도 확인 필요

- 불필요한 네트워크 서비스 중지 및 기본 서비스 포트(1433, 3389 등) 사용 지양

- 외부 접속 허용이 필요한 경우 접속 IP 및 단말기기 제한, 다중인증 설정, 내부이동 차단을 위한 서버별 접근제어 설정·확인, 비정상 접속여부에 대한 주기적인 로그* 확인

* 해외 및 야간·주말 접속 IP, 평소와 다른 일반적이지 않은 네트워크 통신량 등

o 계정 관리 강화

- 최초 설치 시 기본 관리자 패스워드는 반드시 변경 후 사용

- 사용하지 않는 기본 관리자 계정 비활성화 및 권한 제외

- 알파벳 대문자와 소문자, 특수문자, 숫자를 조합한 복잡한 패스워드 사용

- 정기적으로 비밀번호 변경

- 계정 비밀번호 인증 이외의 추가적인 2차 인증수단 적용

o 백업 관리 강화

- 중요 자료는 네트워크와 분리된 별도의 저장소*에 정기적인 백업 권고

※ 외부 클라우드 등에 중요 자료를 보관하고 소유기반의 이중인증 적용 등

* 많은 피해기업이 백업을 수행하였으나, 동일 저장소에 보관함으로써 암호화 되어 복구에 어려움을 겪음

- 클라우드 자체에 대한 랜섬웨어 감염을 대비하여 클라우드에 보관된 자료에 대해서도 정기적인 백업 수행

o 이메일 보안 강화

- 사용자는 송신자를 정확히 확인하고 모르는 이메일 및 첨부파일은 열람 금?

※ 가상화 기반의 격리된 네트워크 환경에서 이메일 첨부파일 내용 확인

- 이메일 수신 시 출처가 불분명한 사이트 주소는 클릭을 자제

- 첨부파일의 확장자를 확인하고 문서 아이콘으로 위장한 실행파일(.exe 등)은 클릭 자제

※ 윈도우 사용자의 경우, 파일 탐색기 > 보기 > '파일 확장명' 체크 상태

※ 파일 탐색기 > 보기 > 옵션 > 폴더 및 검색 옵션 변경 > 보기 > '알려진 파일 형식의 파일 확장명 숨기기' 체크해제 상태

- 이메일 보안 솔루션 사용으로 유해성 유무 확인 및 악성 이메일 차단

o DDoS 공격 사전 대비 및 공격 발생 시 DDoS 방어서비스 이용

※ 영세·중소기업은 한국인터넷진흥원에서 무료로 제공하는 DDoS 방어서비스(antiddos@krcert.or.kr, 02-405-4769) 신청

※ 그 외 기관·기업은 통신사 등 민간 디도스 공격 방어 서비스 활용을 통한 사전 예방 및 대응

o 기타

- 자동 업데이트를 활성화하여 운영체제, 소프트웨어 최신 보안패치 적용

- 바이러스 백신 설치 및 최신의 업데이트 상태를 유지

- 랜섬웨어 감염에 대비한 복구 계획수립 및 모의훈련 수행

□ 침해사고 신고

o 한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911~5, certgen@krcert.or.kr)

o 'KISA 인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 침해사고 신고

[참고자료]

(1) 랜섬웨어 대응 가이드('23년 개정본)

- 보호나라 홈페이지(www.boho.or.kr) → 알림마당 → 보고서/가이드 내 1505번 게시물

(2) 랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드(개정본)

- 보호나라 홈페이지 → 알림마당 → 보고서/가이드 내 1466번 게시물

(3) NAS 보안 가이드

- 보호나라 홈페이지 → 알림마당 → 보고서/가이드 내 1515번 게시물

(4) 중소기업 침해사고 피해지원 서비스 동향 보고서(2024년 3분기) - 랜섬웨어 동향 및 사고사례

- 보호나라 홈페이지 → 알림마당 → 보고서/가이드 내 1527번 게시물

(5) 웹에디터 보안 가이드

- 보호나라 홈페이지 → 알림마당 → 보고서/가이드 내 1491번 게시물

(6) 웹서버 보안 강화 안내서

- 보호나라 홈페이지 → 알림마당 → 보고서/가이드 내 1359번 게시물

□ 작성 : 위협대응단 상황관제팀, 위협분석단 사고분석1팀