또 다시 발생한 랜섬웨어 공격! 기업의 필수 보안 점검리스트

주말새 이랜드리테일 랜섬웨어 공격으로 매장 절반 가량 영업 중단
KISA, 기본 원격포트 사용 자제 등 랜섬웨어 대비 점검사항 소개

[보안뉴스 이상우 기자] 주말 사이에 이랜드그룹이 랜섬웨어 공격을 당해 계열사 중 하나인 이랜드리테일 산하 매장(NC백화점, 뉴코아아울렛, 킴스클럽 등)이 영업을 중단하는 등 피해를 입었다. 현재로서는 공격 조직이나 침투 경로, 랜섬웨어 종류, 협박 여부 등은 밝혀지지 않았다. 23일 현재 대부분의 오프라인 매장에서 영업을 진행하고 있으나, 모든 데이터를 복구하는 데는 더 오랜 시간이 걸릴 것으로 보인다.

[이미지=utoimage]

랜섬웨어(Ransomware)는 이름처럼 사용자나 기업의 데이터를 암호화한 뒤 ‘몸값(Ransom)’을 요구하는 악성 소프트웨어를 말한다. 또한, 이 과정에서 추가적인 정보 유출을 통해 이를 유포하겠다고 협박하는 사례까지 등장해 기업이 골머리를 앓고 있다. 국내에서는 대형 커뮤니티 사이트인 ‘뽐뿌’에서 플래시 광고 취약점을 통한 랜섬웨어 유포를 통해 본격적으로 알려지게 됐으며, 국제적으로는 ‘암호화+데이터 유포’라는 이중 협박전략을 구사한 조직 ‘메이즈(Maze)’가 악명을 떨쳤다. 이처럼 최근 기업과 개인의 랜섬웨어 감염 및 정보유출 사고가 지속적으로 발생함에 따라 한국인터넷진흥원(이하 KISA)이 보안 점검을 권고했다.

최근 피해 사례를 살펴보면, 우선 서버 관리 미흡으로 보안설정 미흡으로 외부 침입에 의해 랜섬웨어 공격에 당하고, 주요 정보가 유출됐다. △접근제어 정책을 마련하지 않고 기본 원격 데스크톱 포트(3389, 22)를 개방해 외부에서 침입이 발생하거나 △내부망 접근울 위해 구축한 VPN 장비 운용 시, 취약한 계정 관리에 의해 침입하고 △사내 PC 및 서버에 보안 지원이 종료된 운영체제나 소프트웨어를 사용해 발생한 침해사고도 있다.

임직원 역시 PC 사용 시 기본 보안수칙을 준수하지 않으면 랜섬웨어 공격 대상이 된다. △공문, 이력서, 견적서 등으로 위장한 악성메일의 첨부파일(랜섬웨어) 실행 △불법 파일공유 사이트에서 영화 등으로 위장한 랜섬웨어 설치 및 실행 △취약점을 보완하지 않은 웹 브라우저로 랜섬웨어가 은닉된 웹사이트 방문 등으로 인해 감염된 사례가 많다.

네트워크 저장소(NAS) 역시 랜섬웨어 공격 대상이다. 사용자 및 관리자가 특별한 접근 권한을 설정하지 않고, 공장 출하 시 기본 설정된 관리자 계정을 그대로 사용할 경우 공격자가 쉽게 랜섬웨어를 유포시킬 수 있으며, 보안 업데이트 미적용 시에도 취약점을 이용한 공격이 가능하다.

KISA는 이러한 보안 사고를 예방하기 위해 몇 가지 보안 권고 사항을 제시했다. 우선 기업 서버의 경우 보안 지원이 종료된 운영체제 및 소프트웨어를 최신 버전으로 업그레이드를 수행하고, 운영체제 및 주요 프로그램(메일, 웹, JAVA 등)의 보안 업데이트를 주기적으로 확인해 적용해야 한다.

또한, 기본 원격포트(3389, 22) 사용을 자제하고, 원격제어를 위한 포트 번호 변경 및 해당 포트에 대한 방화벽 설정 등도 진행해야 한다. 여기에 OTP 등 추가 인증 수단을 통해 접근권한을 제어하는 것도 가능하다.

▲원격포트 개방 시 포트 번호를 변경하는 등의 조치가 필요하다[자료=보안뉴스]

VPN 장비를 운영하는 경우에도, 허가된 사용자와 단말기만 업무망에 접근할 수 있도록 계정 설정을 강화해야 한다. 다수의 서버를 운영하는 경우 내부 서버 간 원격접속이 불가능하도록 접근제어 설정을 해야 하며, 주요 관리자 PC에 대한 주기적인 보안 점검 및 인터넷망 분리 운영도 필요하다.

알려진 보안 취약점 개선을 위해 운영체제 및 펌웨어 업데이트 역시 필요하다. KISA가 권고하는 보안 취약점 업데이트는 △윈도우 Exchange 서버 취약점(CVE-2020-0688) △윈도우 RDP 원격코드실행 취약점(CVE-2019-0708) △유닉스/리눅스 계열 운영체제 Sudo 명령어 취약점(CVE-2019-14287) △펄스시큐어 VPN 제품 원격 세션 탈취 취약점(CVE-2019-11540) 등이다.

개인 혹은 기업에서 직원이 사용하는 PC 역시 기본 보안수칙을 준수해야 한다. 피싱 메일 본문 링크, 첨부파일, 실행 등에 주의해야 한다. P2P 프로그램 사용 시 내려받은 파일의 확장자가 제대로인지 확인하고, 실행 파일(*.exe 등)일 경우 악성코드일 가능성이 높으므로 삭제하는 것이 좋다. 운영체제 및 주요 프로그램의 보안 업데이트를 주기적으로 확인 및 적용하고, 올해 말 지원이 종료되는 플래시는 삭제하는 것을 권장한다.

NAS 사용자는 최초 설치 시 기본 관리자 비밀번호를 반드시 변경해야 하며, 자동 업데이트 활성화로 최신 펌웨어를 유지해야 한다. 또한, NAS를 인터넷에 직접 연결하지 말고 내부망에서만 사용하는 것을 권장한다. QNAP PhotoStation 제품의 경우 최근 관리자 권한탈취 취약점이 발견된 바 있으니 보안 업데이트도 진행해야 한다(CVE-2019-7192~CVE-2019-7195).

랜섬웨어는 한 번 피해를 입으면 돌이키기 힘든 공격이다. 고도의 암호화 기술을 통해 모든 데이터가 잠기기 때문에 이를 해제하는 것은 기술적으로 불가능하며, 공격자에게 비용을 지불하더라도 복구 키를 받을 수 있다고 장담하기 어렵다. 특히, 유통이나 온라인 서비스 기업의 경우 고객 DB가 암호화되면 아무런 서비스도 제공할 수 없는 만큼 피해 규모도 더 클 수밖에 없다.

▲보안 소프트웨어 사용 및 랜섬웨어 차단 기능 실행 등 최소한의 보안 조치가 필요하다[자료=보안뉴스]

이러한 피해를 예방하기 위해서 우선 기업과 개인의 주요 파일 및 문서는 외부 네트워크와 분리된 오프라인 저장소에 주기적으로 백업해야 한다. 또한, 메이즈(Maze) 조직처럼 랜섬웨어 공격에 추가적인 정보유출을 시도할 가능성이 있으니 DRM 등 문서 암호화 솔루션을 통해 정보가 유출되더라도 상대가 쓸 수 없게 대비해야 한다. 이밖에 관리자는 사용하지 않는 네트워크 서비스를 비활성화하고, 인가된 관리자만 접속할 수 있도록 방화벽 등에서 접근제어 설정을 해야 한다. 혹시라도 랜섬웨어 및 정보유출 사고가 발생한다면 이를 숨기려 하지 말고, 경찰청이나 KISA 등을 통해 사고 원인을 찾고 피해 확산을 막아야 한다.
[이상우 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)