※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.
최근 이랜드리테일 랜섬웨어 공격으로 매장 절반 가량 영업 중단
KISA, 기본 원격포트 사용 자제 등 랜섬웨어 대비 점검사항 소개
최근 이랜드그룹이 랜섬웨어 공격을 당해 계열사 중 하나인 이랜드리테일 산하 매장(NC백화점, 뉴코아아울렛, 킴스클럽 등)이 영업을 중단하는 등 피해를 입었습니다.
[이미지 = utoimage]
랜섬웨어(Ransomware)는 이름처럼 사용자나 기업의 데이터를 암호화한 뒤 ‘몸값(Ransom)’을 요구하는 악성 소프트웨어를 말합니다. 또한, 이 과정에서 추가적인 정보 유출을 통해 이를 유포하겠다고 협박하는 사례까지 등장해 기업이 골머리를 앓고 있습니다. 국내에서는 대형 커뮤니티 사이트인 ‘뽐뿌’에서 플래시 광고 취약점을 통한 랜섬웨어 유포를 통해 본격적으로 알려지게 됐으며,국제적으로는 ‘암호화+데이터 유포’라는 이중 협박전략을 구사한 조직 ‘메이즈(Maze)’가 악명을 떨쳤습니다. 이처럼 최근 기업과 개인의 랜섬웨어 감염 및 정보유출 사고가 지속적으로 발생함에 따라 한국인터넷진흥원(이하 KISA)이 보안 점검을 권고했습니다.
최근 피해 사례를 살펴보면, 우선 서버 관리 미흡으로 보안설정 미흡으로 외부 침입에 의해 랜섬웨어 공격에 당하고, 주요 정보가 유출됐습니다. △접근제어 정책을 마련하지 않고 기본 원격 데스크톱 포트(3389, 22)를 개방해 외부에서 침입이 발생하거나 △내부망 접근울 위해 구축한 VPN 장비 운용 시, 취약한 계정 관리에 의해 침입하고 △사내 PC 및 서버에 보안 지원이 종료된 운영체제나 소프트웨어를 사용해 발생한 침해사고도 있습니다.
임직원 역시 PC 사용 시 기본 보안수칙을 준수하지 않으면 랜섬웨어 공격 대상이 됩니다. △공문, 이력서, 견적서 등으로 위장한 악성메일의 첨부파일(랜섬웨어) 실행 △불법 파일공유 사이트에서 영화 등으로 위장한 랜섬웨어 설치 및 실행 △취약점을 보완하지 않은 웹 브라우저로 랜섬웨어가 은닉된 웹사이트 방문 등으로 인해 감염된 사례가 많습니다.
네트워크 저장소(NAS) 역시 랜섬웨어 공격 대상입니다. 사용자 및 관리자가 특별한 접근 권한을 설정하지 않고, 공장 출하 시 기본 설정된 관리자 계정을 그대로 사용할 경우 공격자가 쉽게 랜섬웨어를 유포시킬 수 있으며, 보안 업데이트 미적용 시에도 취약점을 이용한 공격이 가능합니다.
KISA는 이러한 보안 사고를 예방하기 위해 몇 가지 보안 권고 사항을 제시했습니다. 우선 기업 서버의 경우 보안 지원이 종료된 운영체제 및 소프트웨어를 최신 버전으로 업그레이드를 수행하고, 운영체제 및 주요 프로그램(메일, 웹, JAVA 등)의 보안 업데이트를 주기적으로 확인해 적용해야 합니다.
또한 기본 원격포트(3389, 22) 사용을 자제하고, 원격제어를 위한 포트 번호 변경 및 해당 포트에 대한 방화벽 설정 등도 진행해야 하는데, 여기에 OTP 등 추가 인증 수단을 통해 접근권한을 제어하는 것도 가능합니다.
▲원격포트 개방 시 포트 번호를 변경하는 등의 조치가 필요하다[자료=보안뉴스]
VPN 장비를 운영하는 경우에도, 허가된 사용자와 단말기만 업무망에 접근할 수 있도록 계정 설정을 강화해야 합니다. 다수의 서버를 운영하는 경우 내부 서버 간 원격접속이 불가능하도록 접근제어 설정을 해야 하며, 주요 관리자 PC에 대한 주기적인 보안 점검 및 인터넷망 분리 운영도 필요합니다.
알려진 보안 취약점 개선을 위해 운영체제 및 펌웨어 업데이트 역시 필요합니다. KISA가 권고하는 보안 취약점 업데이트는 △윈도우 Exchange 서버 취약점(CVE-2020-0688) △윈도우 RDP 원격코드실행 취약점(CVE-2019-0708) △유닉스/리눅스 계열 운영체제 Sudo 명령어 취약점(CVE-2019-14287) △펄스시큐어 VPN 제품 원격 세션 탈취 취약점(CVE-2019-11540) 등이 있습니다.
개인 혹은 기업에서 직원이 사용하는 PC 역시 기본 보안수칙을 준수해야 합니다. 피싱 메일 본문 링크, 첨부파일, 실행 등에 주의해야 한다. P2P 프로그램 사용 시 내려받은 파일의 확장자가 제대로인지 확인하고, 실행 파일(*.exe 등)일 경우 악성코드일 가능성이 높으므로 삭제하는 것이 좋습니다. 운영체제 및 주요 프로그램의 보안 업데이트를 주기적으로 확인 및 적용하고, 올해 말 지원이 종료되는 플래시는 삭제하는 것을 권장합니다.
NAS 사용자는 최초 설치 시 기본 관리자 비밀번호를 반드시 변경해야 하며, 자동 업데이트 활성화로 최신 펌웨어를 유지해야 합니다. 또한, NAS를 인터넷에 직접 연결하지 말고 내부망에서만 사용하는 것을 권장합니다. QNAP PhotoStation 제품의 경우 최근 관리자 권한탈취 취약점이 발견된 바 있으니 보안 업데이트도 진행해야 합니다(CVE-2019-7192~CVE-2019-7195).
랜섬웨어는 한 번 피해를 입으면 돌이키기 힘든 공격입니다. 고도의 암호화 기술을 통해 모든 데이터가 잠기기 때문에 이를 해제하는 것은 기술적으로 불가능하며, 공격자에게 비용을 지불하더라도 복구 키를 받을 수 있다고 장담하기 어렵습니다. 특히, 유통이나 온라인 서비스 기업의 경우 고객 DB가 암호화되면 아무런 서비스도 제공할 수 없는 만큼 피해 규모도 더 클 수밖에 없습니다. 이러한 피해를 예방하기 위해서 우선 기업과 개인의 주요 파일 및 문서는 외부 네트워크와 분리된 오프라인 저장소에 주기적으로 백업해야 합니다. 또한, 메이즈(Maze) 조직처럼 랜섬웨어 공격에 추가적인 정보유출을 시도할 가능성이 있으니 DRM 등 문서 암호화 솔루션을 통해 정보가 유출되더라도 상대가 쓸 수 없게 대비해야 합니다. 이밖에 관리자는 사용하지 않는 네트워크 서비스를 비활성화하고, 인가된 관리자만 접속할 수 있도록 방화벽 등에서 접근제어 설정을 해야 합니다. 혹시라도 랜섬웨어 및 정보유출 사고가 발생한다면 이를 숨기려 하지 말고, 경찰청이나 KISA 등을 통해 사고 원인을 찾고 피해 확산을 막아야 합니다.
출처 : 보안 뉴스