MS-SQL 서버 취약점 점검, 비전문가도 할 수 있다... ‘해킹진단도구’ 활용법

2024-11-01 15:33
  • 카카오톡
  • 네이버 블로그
  • url
MS-SQL 서버 취약점 노려 랜섬웨어 감염 및 데이터 유출 공격... 중소기업 노려
KISA, ‘해킹진단도구 활용 사례(취약한 MS-SQL 서버를 통한 랜섬웨어 침해사고)’ 배포
예산, 인력 부족한 중소기업도 ‘해킹진단도구’로 직접 해킹 진단할 수 있어


[보안뉴스 박은주 기자] 취약한 MS-SQL 서버를 통한 랜섬웨어 감염 및 데이터 유출 공격이 상대적으로 보안이 부족한 영세·중소기업을 대상으로 지속해서 발생하고 있다. 공격자는 MS-SQL 서버의 취약점이나 패스워드 관리 부재 등 미흡한 계정관리 환경을 틈타 공격을 자행한다. 공격자는 이러한 취약점을 악용해 랜섬웨어를 설치하거나, 민감한 데이터를 탈취해 금전적 이득을 취하려고 시도한다. 이에 따라 MS-SQL 서버 보안을 강화하고 정기적인 점검과 취약점 관리를 통해 선제적으로 대응하는 것이 필요하다.


▲KISA는 ‘해킹진단도구 활용 사례’를 배포했다[이미지=KISA]

한국인터넷진흥원(KISA)은 지난 10월, ‘해킹진단도구 활용 사례(취약한 MS-SQL 서버를 통한 랜섬웨어 침해사고)’를 배포했다. 사례에는 취약한 MS-SQL 서버를 대상으로 한 사이버 공격 내용을 해킹진단도구로 탐지하는 과정이 담겨 있다. 탐지 결과를 바탕으로 랜섬웨어 감염에 대응할 수 있는 방안을 제시하고 있다.


▲침해사고 개요도[자료=KISA]

공격 시나리오는 최근 공격 추세를 반영해 ‘랜섬웨어 공격’과 ‘데이터 탈취’를 결합한 복합적인 공격 방식으로 제작됐다. 분석 대상은 Windows Server 2019 운영체제를 사용하는 데이터베이스와 백업용 PC다. 공격은 위 개요도와 같은 흐름으로 전개된다. 공격자의 무차별 대입 공격으로 시작해 시스템 명령을 실행해 서버를 제어하고, 원격 접근 도구(RAT: Remote Access Tool)인 AnyDesk 같은 프로그램을 악용해 원격으로 접근한 후 공격을 수행하는 패턴을 보인다.

해킹진단도구는 데이터베이스 서버에서 △윈도우 명령어 셸 활성화(xp_cmdshell) △사용자(관리자) 계정 생성 △해킹이나 취약점 공격 등 관리자 권한 해킹 △윈도우 디펜더(Windows Defender) 백신의 실시간 감시 기능 비활성화 △윈도우 명령어 셸 활성화(clr_enabled)를 통해 이상 징후를 탐지했다.


▲해킹진단도구 검출 결과, 사용자 계정 생성 내용[자료=KISA]

사용자(관리자) 계정 생성 탐지 단계를 살펴보면, 해킹진단도구를 활용해 조직 내부에서 생성하지 않은 계정을 탐지했다. 공격자가 임의로 생성한 계정 이름과 계정 생성 시간 등 정보를 파악할 수 있다. 사례에 따르면 공격자는 계정을 생성하는 이유는 시스템에 장기적으로 머물기 위한 전략이다. 공격을 지속해서 수행하기 위해 전용 계정을 생성하는 것이다.

대응방안으로 계정이 임의로 생성된 경우에는 실제 사용자 여부를 확인하고, 내부 사용자가 아닐 경우 즉시 해당 계정을 삭제하도록 안내하고 있다. 진단 도구 탐지 결과에서 추가 이상 행위가 식별됐는지 확인하고 조치가 필요하다. 만일 침해사고로 확인된 경우 24시간 이내 KISA 신고(KISA 보호나라 홈페이지 혹은 국번 없이 118) 해야 한다.

백업 서버 부분에서는 데이터베이스와 동일하게 △사용자(관리자) 계정 생성 탐지 △윈도우 디펜더 백신의 실시간 감시 기능 비성화를 통해 이장 징후를 발견했다.

해킹진단도구를 통해 윈도우 디펜더 실시간 보호 기능이 비활성화 여부를 확인하고, 비활성화 시점에 공격자가 침투했을 가능성을 추가 분석했다. 공격자는 백신의 공격 탐지를 회피하기 위해 윈도우 디펜더를 무력화한다. 보안 소프트웨어가 악성 행위를 탐지하거나 차단하지 못하게 막아 악성코드를 실행하고, 데이터 유출이나 시스템 장악을 더 쉽게 하기 위함이다.

사용자가 업무 편의를 위해 윈도우 디펜더를 비활성화한 경우가 아니라면, 해킹진단도구에서 다른 이벤트가 탐지된 이력이 있는지 확인하고, 윈도우 디펜더를 포함한 백신 소프트웨어를 활용해 정밀 검사를 수행해야 한다.

한편, KISA에서는 대기업, 비영리기관 등 민간기업 전체에서 사용할 수 있는 ‘해킹진단도구’를 제공하고 있다. 보안 전문가가 아니면 탐지·분석하기 어려운 침해사고 증거 데이터를 자동으로 분석해 직관적으로 알리고, 증거 데이터를 자동으로 수집하는 도구다. 분석 결과 해킹이 의심되면 원인분석부터 재발방지 대책 수립까지 지원하고 있다. 더욱 자세한 사항은 KISA 보호나라 > 정보보호 서비스 > 주요사업 소개 > 기업 서비스에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기