미국 최대 송유관 업체 랜섬웨어 감염으로 CISA 긴급 보안 주의 발표
랜섬웨어 피해예방 위해 기업들에게 요구되는 9가지 보안대책 살펴보니
[보안뉴스 권 준 기자] 미국 최대 송유관 운영사인 콜로니얼 파이프라인의 랜섬웨어 감염 사태가 일파만파로 확대되면서 전 세계의 랜섬웨어 공포가 더욱 커지고 있는 가운데 랜섬웨어 피해 예방을 위한 기업들의 고민도 깊어지고 있다.
[이미지=utoimage]
더욱이 콜로니얼이 랜섬웨어에 감염되고 난 후, “돈을 지불할 의사가 전혀 없다”는 발표 내용과 전혀 다르게 랜섬웨어 해커조직인 다크사이드가 요구했던 500만 달러를 지불했다는 외신들의 보도가 이어지면서 기업들의 랜섬웨어 공포가 가중되는 양상이다.
이와 관련 미국 국토안보부 산하 사이버보안 및 인프라 보안국 CISA에서는 긴급 보안 주의를 발표하기도 했다. 그럼 기업들은 이렇듯 날로 고도화되는 랜섬웨어 공격에 대비하기 위해 어떤 보안대책을 수립해야 할까?
이를 위해서는 먼저 랜섬웨어에 감염시키기 위해 기업 내부 시스템에 침투하는 주요 해킹 기법을 살펴볼 필요가 있다. 랜섬웨어 조직은 최초 침투를 위해 피싱 공격을 수행하거나 인터넷에 노출된 시스템 계정정보를 탈취한다. 이어 RDP(원격데스크톱) 접속을 통해 내부로 이동하게 되며, 내부로 침입한 이후에는 민감한 데이터를 유출하고 파일을 암호화하는 공격을 수행하게 된다. 또한, 명령제어 채널은 다크웹 접속 등에 사용되는 토르(Tor) 네트워크를 이용함으로써 경찰이나 보안기업 등의 추적을 피하고 있다.
기업에서는 앞서 설명한 랜섬웨어 조직들의 해킹 기법들을 면밀하게 분석해서 기업의 상황에 맞게 보안대책을 수립 및 시행해야 한다. 미국의 CISA와 한국의 KISA(한국인터넷진흥원)가 권고한 보안대책 9가지는 다음과 같다.
1. 중요 파일 및 문서 등은 네트워크와 분리된 정기적인 오프라인 백업 권고
2. 피싱 메일이 최종 사용자에게 전달되지 않도록 강력한 스팸 필터링 적용
3. 메일에 첨부된 악성 첨부파일이나 악성 링크를 클릭하지 않도록 직원들에게 전파
4. 원격 네트워크 접속시 허용된 사용자와 단말기만 접근 가능하도록 설정하고 OTP 등을 통한 다단계 인증 적용
5. 업무망과 인터넷망을 분리하여 운영하고, VPN 사용시 인터넷망과 업무망을 동시에 사용할 수 없도록 설정
6. 사용하지 않는 네트워크 서비스는 비활성화하고, 내부 서버 간 원격접속이 불가능하도록 접근제어 설정
7. 운영체제, 어플리케이션, 펌웨어 등을 포함한 소프트웨어의 최신 보안 업데이트 적용
8. 신뢰할 수 있는 백신을 설치(최신 버전 유지, 실시간 감지 적용 등)하고 정기적으로 검사 진행
9. 자료유출에 대비해서 DRM 등 문서암호화 보안솔루션 도입 권고
보다 상세한 대응방안은 ‘KISA 인터넷보호나라&KrCERT’ 홈페이지의 자료실을 참고하면 된다. 또한, 침해사고가 의심되거나 랜섬웨어 조직으로부터 협박 메일 등을 받았다면 기업 스스로 해결하려 하지 말고, KISA 인터넷침해대응센터 종합상황실로 전화하거나 ‘KISA 인터넷보호나라&KrCERT’ 홈페이지의 해킹사고 코너를 이용해 반드시 신고해야 한다.
[권 준 기자(editor@boannews.com)]
랜섬웨어 피해예방 위해 기업들에게 요구되는 9가지 보안대책 살펴보니
[보안뉴스 권 준 기자] 미국 최대 송유관 운영사인 콜로니얼 파이프라인의 랜섬웨어 감염 사태가 일파만파로 확대되면서 전 세계의 랜섬웨어 공포가 더욱 커지고 있는 가운데 랜섬웨어 피해 예방을 위한 기업들의 고민도 깊어지고 있다.
[이미지=utoimage]
더욱이 콜로니얼이 랜섬웨어에 감염되고 난 후, “돈을 지불할 의사가 전혀 없다”는 발표 내용과 전혀 다르게 랜섬웨어 해커조직인 다크사이드가 요구했던 500만 달러를 지불했다는 외신들의 보도가 이어지면서 기업들의 랜섬웨어 공포가 가중되는 양상이다.
이와 관련 미국 국토안보부 산하 사이버보안 및 인프라 보안국 CISA에서는 긴급 보안 주의를 발표하기도 했다. 그럼 기업들은 이렇듯 날로 고도화되는 랜섬웨어 공격에 대비하기 위해 어떤 보안대책을 수립해야 할까?
이를 위해서는 먼저 랜섬웨어에 감염시키기 위해 기업 내부 시스템에 침투하는 주요 해킹 기법을 살펴볼 필요가 있다. 랜섬웨어 조직은 최초 침투를 위해 피싱 공격을 수행하거나 인터넷에 노출된 시스템 계정정보를 탈취한다. 이어 RDP(원격데스크톱) 접속을 통해 내부로 이동하게 되며, 내부로 침입한 이후에는 민감한 데이터를 유출하고 파일을 암호화하는 공격을 수행하게 된다. 또한, 명령제어 채널은 다크웹 접속 등에 사용되는 토르(Tor) 네트워크를 이용함으로써 경찰이나 보안기업 등의 추적을 피하고 있다.
기업에서는 앞서 설명한 랜섬웨어 조직들의 해킹 기법들을 면밀하게 분석해서 기업의 상황에 맞게 보안대책을 수립 및 시행해야 한다. 미국의 CISA와 한국의 KISA(한국인터넷진흥원)가 권고한 보안대책 9가지는 다음과 같다.
1. 중요 파일 및 문서 등은 네트워크와 분리된 정기적인 오프라인 백업 권고
2. 피싱 메일이 최종 사용자에게 전달되지 않도록 강력한 스팸 필터링 적용
3. 메일에 첨부된 악성 첨부파일이나 악성 링크를 클릭하지 않도록 직원들에게 전파
4. 원격 네트워크 접속시 허용된 사용자와 단말기만 접근 가능하도록 설정하고 OTP 등을 통한 다단계 인증 적용
5. 업무망과 인터넷망을 분리하여 운영하고, VPN 사용시 인터넷망과 업무망을 동시에 사용할 수 없도록 설정
6. 사용하지 않는 네트워크 서비스는 비활성화하고, 내부 서버 간 원격접속이 불가능하도록 접근제어 설정
7. 운영체제, 어플리케이션, 펌웨어 등을 포함한 소프트웨어의 최신 보안 업데이트 적용
8. 신뢰할 수 있는 백신을 설치(최신 버전 유지, 실시간 감지 적용 등)하고 정기적으로 검사 진행
9. 자료유출에 대비해서 DRM 등 문서암호화 보안솔루션 도입 권고
보다 상세한 대응방안은 ‘KISA 인터넷보호나라&KrCERT’ 홈페이지의 자료실을 참고하면 된다. 또한, 침해사고가 의심되거나 랜섬웨어 조직으로부터 협박 메일 등을 받았다면 기업 스스로 해결하려 하지 말고, KISA 인터넷침해대응센터 종합상황실로 전화하거나 ‘KISA 인터넷보호나라&KrCERT’ 홈페이지의 해킹사고 코너를 이용해 반드시 신고해야 한다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
