.gif)
3줄요약
1. SW 개발사나 IT 유지보수 업체 통한 감염 등 피해 발생
2. 취약한 MS-SQL 서버 확인해 무차별 대입 공격으로 계정 탈취해 침투
3. 외부 접속·계정·백업관리 등 강화해야
[보안뉴스 김경애 기자] 최근 제조업을 노린 랜섬웨어 감염 사고가 지속 발생하고 있다. 기업은 생산중단과 정보 유출 등의 피해를 입지 않도록 사전 보안 점검과 대비가 필요하다.
▲랜섬웨어 감염 침해사고 개요도 [자료: 한국인터넷진흥원]
26일 한국인터넷진흥원(KISA)에 따르면 랜섬웨어에 감염되는 사례가 잇따르고 있다. 주요 피해 사례를 살펴보면 SW 개발사나 IT 유지보수 업체 통해 고객사에 원격 접속 후 감염된 경우가 적지 않다.
또 공격자가 포트 스캐닝 통해 취약한 MS-SQL 서버를 확인, 무차별 대입 공격으로 계정을 탈취해 침투한 경우도 있다.
웹 취약점(파일 업로드, 원격명령 실행 등)을 통해서도 공격자가 악성 파일을 생성, 이후 권한 상승 취약점을 악용해 서버를 장악한 사례도 있다.
이메일 안에 악성링크나 이력서, 법률위반 고소장으로 위장한 악성 파일을 첨부해 기업 담당자가 실행해 감염된 바도 있다.
업무 편의와 유지보수를 위해 원격 접속을 허용했으나, 계정관리 미흡으로 외부에서 무단 침투해 랜섬웨어에 감염돼 업무 마비가 된 사건도 있다. 계정관리 소홀 경우 유추하기 쉬운 비밀번호를 사용하거나, 장기간 동일한 비밀번호 사용, 다중인증(MFA)이나 접근 IP 제한을 하지 않았을 때다.
랜섬웨어 공격조직은 파일 암호화와 내부 민감 데이터 유출 공개 협박으로도 금전을 이중 갈취한다.
취약점 보안 패치가 미적용된 시스템을 악용해 내부 침투 후, 중앙관리 서버를 이용해 전사 시스템에 랜섬웨어 악성코드를 유포한다.
기업은 △외부 접속 관리를 강화해야 한다. 기업 자산 중 외부 오픈된 시스템(DB 서비스, NAS, 공유기 등) 현황을 파악, 불필요한 시스템은 연결을 차단해야 한다. △계정관리도 강화해야 한다. 특히 처음에 기본 관리자 패스워드는 반드시 변경 후 사용하는 게 바람직 하다. △백업은 중요 자료의 경우 네트워크와 분리된 별도 저장소에 정기적으로 백업해 관리해야 한다. △이메일 사용자는 보안 강화는 물론, 송신자를 정확히 확인하고 모르는 이메일 및 첨부파일 열람을 주의해야 한다.
김홍석 KISA 포렌식분석팀장은 “제조업 분야에서 랜섬웨어 감염 사고가 많이 발생하고 있다”며 “백업을 주기적으로 수행해 피해가 발생해도 복구 및 정상화할 수 있도록 노력해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
1. SW 개발사나 IT 유지보수 업체 통한 감염 등 피해 발생
2. 취약한 MS-SQL 서버 확인해 무차별 대입 공격으로 계정 탈취해 침투
3. 외부 접속·계정·백업관리 등 강화해야
[보안뉴스 김경애 기자] 최근 제조업을 노린 랜섬웨어 감염 사고가 지속 발생하고 있다. 기업은 생산중단과 정보 유출 등의 피해를 입지 않도록 사전 보안 점검과 대비가 필요하다.
▲랜섬웨어 감염 침해사고 개요도 [자료: 한국인터넷진흥원]
26일 한국인터넷진흥원(KISA)에 따르면 랜섬웨어에 감염되는 사례가 잇따르고 있다. 주요 피해 사례를 살펴보면 SW 개발사나 IT 유지보수 업체 통해 고객사에 원격 접속 후 감염된 경우가 적지 않다.
또 공격자가 포트 스캐닝 통해 취약한 MS-SQL 서버를 확인, 무차별 대입 공격으로 계정을 탈취해 침투한 경우도 있다.
웹 취약점(파일 업로드, 원격명령 실행 등)을 통해서도 공격자가 악성 파일을 생성, 이후 권한 상승 취약점을 악용해 서버를 장악한 사례도 있다.
이메일 안에 악성링크나 이력서, 법률위반 고소장으로 위장한 악성 파일을 첨부해 기업 담당자가 실행해 감염된 바도 있다.
업무 편의와 유지보수를 위해 원격 접속을 허용했으나, 계정관리 미흡으로 외부에서 무단 침투해 랜섬웨어에 감염돼 업무 마비가 된 사건도 있다. 계정관리 소홀 경우 유추하기 쉬운 비밀번호를 사용하거나, 장기간 동일한 비밀번호 사용, 다중인증(MFA)이나 접근 IP 제한을 하지 않았을 때다.
랜섬웨어 공격조직은 파일 암호화와 내부 민감 데이터 유출 공개 협박으로도 금전을 이중 갈취한다.
취약점 보안 패치가 미적용된 시스템을 악용해 내부 침투 후, 중앙관리 서버를 이용해 전사 시스템에 랜섬웨어 악성코드를 유포한다.
기업은 △외부 접속 관리를 강화해야 한다. 기업 자산 중 외부 오픈된 시스템(DB 서비스, NAS, 공유기 등) 현황을 파악, 불필요한 시스템은 연결을 차단해야 한다. △계정관리도 강화해야 한다. 특히 처음에 기본 관리자 패스워드는 반드시 변경 후 사용하는 게 바람직 하다. △백업은 중요 자료의 경우 네트워크와 분리된 별도 저장소에 정기적으로 백업해 관리해야 한다. △이메일 사용자는 보안 강화는 물론, 송신자를 정확히 확인하고 모르는 이메일 및 첨부파일 열람을 주의해야 한다.
김홍석 KISA 포렌식분석팀장은 “제조업 분야에서 랜섬웨어 감염 사고가 많이 발생하고 있다”며 “백업을 주기적으로 수행해 피해가 발생해도 복구 및 정상화할 수 있도록 노력해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
