즉각적인 대응 어려운 연휴 기간에 사이버 공격 발생 늘어
연휴 전 취약점에 대한 보안 업데이트 필수...업데이트 없을 경우 임시조치 필요
[보안뉴스 이상우 기자] 파이어아이가 지난해 3월 발표한 자료에 따르면 전체 랜섬웨어 공격의 76%가 업무시간 외에 감행됐다. 사이버 공격자는 대부분의 임직원이 퇴근한 오후6시에서 익일 오전 8시 사이에 랜섬웨어 공격을 시도했다(49%). 특히, 공격 발생 이후 대응은 통상적인 업무시간 이후에도 이뤄진다는 점을 노려 주말이나 휴일에 랜섬웨어를 배포하기도 했다(27%). 해당 자료를 통해 보안 담당자가 쉬더라도, 사이버 공격자는 쉬지 않는다는 점을 알 수 있다.
[이미지=utoimage]
실제로 연휴 기간을 노린 사이버 공격은 꾸준히 증가했다. 지난해 추석 연휴에는 글로벌 사이버 공격 조직이 국내 대기업과 은행 등을 대상으로 랜섬 디도스 공격을 감행하겠다고 협박한 바 있다. 마치 랜섬웨어 공격처럼 요구한 금액을 지불하지 않으면 디도스 공격을 펼치는 수법이다. 실제로 추석 기간 중 디도스 공격이 발생했으나, 다행스럽게도 실제 서비스에 대한 피해는 일어나지 않았다.
올해 미국에서는 7.4 독립기념일 연휴를 앞두고 공급망 공격을 통해 대규모 랜섬웨어 사태가 발생했다. 공격자는 카세야(Kaseya)의 IT 관리용 솔루션 VSA를 악용해 고객사 200여곳에 랜섬웨어 공격을 펼쳤다. 더욱이 연휴가 시작되는 시점에 발생한 공격이라 신속한 대응이 쉽지 않았다. 이러한 공격을 경험한 탓인지, 미국 사이버사령부(USCYBERCOM)는 9월 6일부터 시작되는 노동절 연휴를 앞두고 공식 트위터를 통해 “아틀라시안 컨플루언스 취약점을 이용한 대규모 익스플로잇이 확산 및 가속화되고 있다. 아직 진행하지 않은 경우 신속하게 패치를 진행하길 바란다. 이 작업은 연휴 이후까지 미뤄질 수 없다”고 밝힌 바 있다.
사이버 공격자는 이처럼 경계가 느슨해지는 연휴를 앞두고 사이버 공격을 감행한다. 국내에서도 최근 ‘추석 이벤트 당첨’이라는 키워드를 통해 랜섬웨어를 유포하는 사례가 발견되기도 했으며, 재난 지원금이나 추석 선물 택배 등을 사칭한 스미싱 역시 증가하고 있는 추세다.
한국인터넷진흥원(이하 KISA)은 이처럼 보안이 취약해지는 연휴를 앞두고 주요 사고 사례와 사이버 공격에 대비한 보안 권고사항을 발표했다. 주요 기업 사고 사례로는 △서버 보안 설정이 미흡하여 악성코드 감염 및 주요 자료 유출 △PC 보안 수칙을 준용하지 않아 악성코드 감염 및 주요 자료 유출 △NAS 보안 설정이 미흡하여 랜섬웨어 감염 및 주요 자료 유출 등이 있다. 이러한 사고의 원인은 대부분 쉬운 관리자 비밀번호를 사용하거나 접근제어 정책 부재로 인한 외부접근, 공문이나 견적서 등으로 위장한 악성 첨부파일 실행, 소프트웨어 업데이트 미실시로 인한 취약점 악용 등이다. 이와 관련 KISA가 권고하는 보안 강화 방안은 다음과 같다.
[서버 보안 강화 방안]
① 보안 지원이 종료된 운영체제 및 소프트웨어는 신속하게 업그레이드를 수행하고, 매월 운영체제 및 주요 프로그램(메일, 웹, JAVA 등)의 보안 업데이트 확인 적용
② 기본 원격포트(22. 3389) 사용을 자제하고, OTP 등을 통한 추가 인증 강화
③ VPN 장비를 운영하는 경우, 허가된 사용자와 단말기만 업무망에 접근할 수 있도록 설정하고 OTP 등을 통한 추가 인증 강화
④ 다수의 서버를 운영하는 경우 내부 서버 간 원격접속이 불가능하도록 접근제어 설정
⑤ AD 인프라를 운영 중인 기업의 경우, 관리자 그룹 계정의 최소화 및 관련 PC의 인터넷망 분리 운영
⑥ 주요 관리자 PC에 대한 주기적인 보안 점검 및 인터넷망 분리 운영. 특히 MS 윈도우 Exchange 서버 취약점(CVE-2021-26855, 26857, 27065, 26585, 27065, 31207, 34473, 34523), MS 윈도우 프린터 스풀러 취약점(CVE-2021-34481, 34527, 1657), 아틀라시안 컨플루언스 제품 취약점(CVE-2021-26084)에 대해 반드시 보안 업데이트 등 조치 필요
[PC 보안 강화 방안]
① 피싱 메일에 주의하고 본문 링크 클릭, 첨부파일 다운로드, 실행에 주의
② 매월 운영체제 및 주요 프로그램(웹 브라우저, 자바 등)의 보안 업데이트 확인 적용
③ 상용 메일을 통한 주요 업무 자료 송수신 금지. 불가피한 경우, OTP 설정 및 허가된 사용자 단말기 추가 등을 통해 인증 강화. 특히 MS MSHTML 취약점(CVE-2021-40444) 악용 사례가 발생할 수 있으니 보안 업데이트 등 조치 필요
[NAS 보안 강화 방안]
① 최초 설치 시 기본 관리자 패스워드는 반드시 변경 후 사용
② 자동 업데이트를 활성화하여 최신 펌웨어 유지
③ 인터넷을 통한 직접 접속은 차단하고, 사내망에서 운영 권고. 불가피한 경우, 장비의 비밀번호 관리 및 백업, 보안 업데이트 등 철저한 관리 필요. 특히, QNAP NAS 제품 보안 업데이트(CVE-2021-28799)에 대해 반드시 보안 조치 필요
[공통 보안 강화 방안]
① 사용하지 않는 시스템은 전원을 종료하여 해킹 경로로 활용되는 것을 사전 방지
② 중요 파일 및 문서 등은 네트워크와 분리된 오프라인 백업 권고
③ 유추하기 어려운 패스워드(숫자, 대소문자, 특수문자 조합 8자리 이상) 사용으로 관리 강화
④ 사용하지 않는 네트워크 서비스는 비활성화하고, 인가된 관리자만 접속할 수 있도록 방화벽 등에서 접근제어 설정
⑤ 신뢰할 수 있는 백신을 설치(최신 버전 유지, 실시간 감지 적용 등)하고 정기적으로 검사 진행
[이상우 기자(boan@boannews.com)]
연휴 전 취약점에 대한 보안 업데이트 필수...업데이트 없을 경우 임시조치 필요
[보안뉴스 이상우 기자] 파이어아이가 지난해 3월 발표한 자료에 따르면 전체 랜섬웨어 공격의 76%가 업무시간 외에 감행됐다. 사이버 공격자는 대부분의 임직원이 퇴근한 오후6시에서 익일 오전 8시 사이에 랜섬웨어 공격을 시도했다(49%). 특히, 공격 발생 이후 대응은 통상적인 업무시간 이후에도 이뤄진다는 점을 노려 주말이나 휴일에 랜섬웨어를 배포하기도 했다(27%). 해당 자료를 통해 보안 담당자가 쉬더라도, 사이버 공격자는 쉬지 않는다는 점을 알 수 있다.
[이미지=utoimage]
실제로 연휴 기간을 노린 사이버 공격은 꾸준히 증가했다. 지난해 추석 연휴에는 글로벌 사이버 공격 조직이 국내 대기업과 은행 등을 대상으로 랜섬 디도스 공격을 감행하겠다고 협박한 바 있다. 마치 랜섬웨어 공격처럼 요구한 금액을 지불하지 않으면 디도스 공격을 펼치는 수법이다. 실제로 추석 기간 중 디도스 공격이 발생했으나, 다행스럽게도 실제 서비스에 대한 피해는 일어나지 않았다.
올해 미국에서는 7.4 독립기념일 연휴를 앞두고 공급망 공격을 통해 대규모 랜섬웨어 사태가 발생했다. 공격자는 카세야(Kaseya)의 IT 관리용 솔루션 VSA를 악용해 고객사 200여곳에 랜섬웨어 공격을 펼쳤다. 더욱이 연휴가 시작되는 시점에 발생한 공격이라 신속한 대응이 쉽지 않았다. 이러한 공격을 경험한 탓인지, 미국 사이버사령부(USCYBERCOM)는 9월 6일부터 시작되는 노동절 연휴를 앞두고 공식 트위터를 통해 “아틀라시안 컨플루언스 취약점을 이용한 대규모 익스플로잇이 확산 및 가속화되고 있다. 아직 진행하지 않은 경우 신속하게 패치를 진행하길 바란다. 이 작업은 연휴 이후까지 미뤄질 수 없다”고 밝힌 바 있다.
사이버 공격자는 이처럼 경계가 느슨해지는 연휴를 앞두고 사이버 공격을 감행한다. 국내에서도 최근 ‘추석 이벤트 당첨’이라는 키워드를 통해 랜섬웨어를 유포하는 사례가 발견되기도 했으며, 재난 지원금이나 추석 선물 택배 등을 사칭한 스미싱 역시 증가하고 있는 추세다.
한국인터넷진흥원(이하 KISA)은 이처럼 보안이 취약해지는 연휴를 앞두고 주요 사고 사례와 사이버 공격에 대비한 보안 권고사항을 발표했다. 주요 기업 사고 사례로는 △서버 보안 설정이 미흡하여 악성코드 감염 및 주요 자료 유출 △PC 보안 수칙을 준용하지 않아 악성코드 감염 및 주요 자료 유출 △NAS 보안 설정이 미흡하여 랜섬웨어 감염 및 주요 자료 유출 등이 있다. 이러한 사고의 원인은 대부분 쉬운 관리자 비밀번호를 사용하거나 접근제어 정책 부재로 인한 외부접근, 공문이나 견적서 등으로 위장한 악성 첨부파일 실행, 소프트웨어 업데이트 미실시로 인한 취약점 악용 등이다. 이와 관련 KISA가 권고하는 보안 강화 방안은 다음과 같다.
[서버 보안 강화 방안]
① 보안 지원이 종료된 운영체제 및 소프트웨어는 신속하게 업그레이드를 수행하고, 매월 운영체제 및 주요 프로그램(메일, 웹, JAVA 등)의 보안 업데이트 확인 적용
② 기본 원격포트(22. 3389) 사용을 자제하고, OTP 등을 통한 추가 인증 강화
③ VPN 장비를 운영하는 경우, 허가된 사용자와 단말기만 업무망에 접근할 수 있도록 설정하고 OTP 등을 통한 추가 인증 강화
④ 다수의 서버를 운영하는 경우 내부 서버 간 원격접속이 불가능하도록 접근제어 설정
⑤ AD 인프라를 운영 중인 기업의 경우, 관리자 그룹 계정의 최소화 및 관련 PC의 인터넷망 분리 운영
⑥ 주요 관리자 PC에 대한 주기적인 보안 점검 및 인터넷망 분리 운영. 특히 MS 윈도우 Exchange 서버 취약점(CVE-2021-26855, 26857, 27065, 26585, 27065, 31207, 34473, 34523), MS 윈도우 프린터 스풀러 취약점(CVE-2021-34481, 34527, 1657), 아틀라시안 컨플루언스 제품 취약점(CVE-2021-26084)에 대해 반드시 보안 업데이트 등 조치 필요
[PC 보안 강화 방안]
① 피싱 메일에 주의하고 본문 링크 클릭, 첨부파일 다운로드, 실행에 주의
② 매월 운영체제 및 주요 프로그램(웹 브라우저, 자바 등)의 보안 업데이트 확인 적용
③ 상용 메일을 통한 주요 업무 자료 송수신 금지. 불가피한 경우, OTP 설정 및 허가된 사용자 단말기 추가 등을 통해 인증 강화. 특히 MS MSHTML 취약점(CVE-2021-40444) 악용 사례가 발생할 수 있으니 보안 업데이트 등 조치 필요
[NAS 보안 강화 방안]
① 최초 설치 시 기본 관리자 패스워드는 반드시 변경 후 사용
② 자동 업데이트를 활성화하여 최신 펌웨어 유지
③ 인터넷을 통한 직접 접속은 차단하고, 사내망에서 운영 권고. 불가피한 경우, 장비의 비밀번호 관리 및 백업, 보안 업데이트 등 철저한 관리 필요. 특히, QNAP NAS 제품 보안 업데이트(CVE-2021-28799)에 대해 반드시 보안 조치 필요
[공통 보안 강화 방안]
① 사용하지 않는 시스템은 전원을 종료하여 해킹 경로로 활용되는 것을 사전 방지
② 중요 파일 및 문서 등은 네트워크와 분리된 오프라인 백업 권고
③ 유추하기 어려운 패스워드(숫자, 대소문자, 특수문자 조합 8자리 이상) 사용으로 관리 강화
④ 사용하지 않는 네트워크 서비스는 비활성화하고, 인가된 관리자만 접속할 수 있도록 방화벽 등에서 접근제어 설정
⑤ 신뢰할 수 있는 백신을 설치(최신 버전 유지, 실시간 감지 적용 등)하고 정기적으로 검사 진행
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
