2020-11-26 21:30 (목)
최근 기업 대상 랜섬웨어 사고 이렇게 발생했다…대응방안은?
상태바
최근 기업 대상 랜섬웨어 사고 이렇게 발생했다…대응방안은?
  • 길민권 기자
  • 승인 2020.11.18 18:05
이 기사를 공유합니다

평소 기업 내부 시스템 비정상적인 패턴 탐지 및 관리 체계 구축 필수
이미지 출처=KISA 보고서
이미지 출처=KISA 보고서

공격자가 해킹을 하는 이유는 금전적 이득의 욕구, 파괴의 욕구, 능력 과시의 욕구 등으로 다양하지만, 그 모든 욕구의 집합체가 랜섬웨어 공격이다.

기업에서 랜섬웨어 공격이 발생하면 데이터가 모두 암호화되어 업무가 불가능해지고, 웹서버나 DB서버가 암호화 된 경우는 홈페이지 운영이 중단되어 전자상거래를 할 수 없는 등 경제적 피해도 크다.

최근 랜섬웨어 공격은 운영체제를 가리지 않고 발생하고 있으며, 피해를 극대화하고 복구가 어렵도록 기업의 중요(웹, DB, 회계, 메일 등)서버 및 온라인 백업서버를 한 순간에 암호화 시킨다.

또한, 자신의 침투흔적을 은폐해 사고 원인과 피해범위 식별이 어렵도록 각종시스템, 응용프로그램의 로그를 삭제하고 백도어 악성코드 등을 통해 외부에서 명령어를 수행한다. 사고 원인이 명확히 밝혀지지 않으면 근본적인 조치를 취할 수 없어, 재발방지 노력이 수포로 돌아갈 수 있다.

이에 KISA 침해사고분석단 사고분석팀은 ‘최근 기업 대상 랜섬웨어 사고사례 및 대응방안’ 보고서를 발표했다.

여기서 소개한 공격 기법은 이미 취약점에 대한 보안업데이트가 공개된 것들로 기업 입장에서 최신 보안업데이트 적용 등의 기본 보안 수칙을 지킴으로써 방어가 가능하다.

문서에서는 윈도우와 리눅스 운영체제에서 동작하는 최신의 랜섬웨어 침해사고 사례를 ATT&CK Matrix에 맞추어 살펴보고 방어자 관점에서 주의해야 할 점과 대응 방안 등을 제시하고 있다.


■윈도우 서버 대상 비트라커(BitLocker) 랜섬웨어 사고 사례

최근 윈도우 서버를 대상으로 한 랜섬웨어의 양상이 진화했다. 기존에는 서버에 침투해 관리자 권한을 획득한 후 랜섬웨어 파일을 직접 실행해 중요 문서나 이미지 등의 특정 파일에 대한 암호화 후 복구를 대가로 금전을 요구했다.

하지만 최근 공격자들은 백신 및 랜섬웨어 대응솔루션을 우회하기 위해 랜섬웨어 파일을 직접 실행하는 대신 운영체제에 기본적으로 내장된 디스크 암호화 기능인 비트라커(BitLocker)를 이용해 디스크를 암호화한 후 복구를 대가로 금전을 요구하는 사례가 증가하고 있다. 보고서는 이에 대한 사고 분석 사례를 침투단계별 설명과 대응방안을 소개하고 사고사례를 참고해 취약점 보완, 모니터링 등을 통해 피해를 입지 않도록 미리 예방할 것을 강조했다.

■리눅스 대상 고너크라이(GonnaCry) 랜섬웨어 사고 사례

이미지 출쳐=KISA 보고서
이미지 출쳐=KISA 보고서

최근 호스팅사를 대상으로 하는 랜섬웨어 해킹사고가 잇따라 발생했다. 웹호스팅사에서 랜섬웨어 침해사고가 지속적으로 발생하는 이유는 크게 두 가지다.

첫째, 단일 웹 서버에 비해 공격 포인트가 많다는 것이다. 웹호스팅 서버에서 운영되는 수 백 개의 웹사이트 중에서, 보안이 취약한 한 개 사이트에 대한 공격으로 웹서비스 권한을 가진 셸을 탈취할 수 있다.

두 번째는 서버 서비스의 최신 보안업데이트를 적용하기 어렵다는 것이다. 운영서버의 최신 보안 업데이트가 적용이 안 되어 있으면, 로컬권한 상승 취약점 등을 통해 루트권한까지 탈취 당하게 되어 서버 전체의 사고로 이어진다.

공격자는 웹호스팅 서버의 이러한 문제점을 집요하게 공격 중이다. 각별한 주의를 기울여야 한다.


위 두 사례 모두 인터넷에 공개된 웹서버의 취약점이 공격의 시발점이었다. 이후 각 단계마다 공격자의 추가 침투를 막을 수 있는 방안이 있었으나 적절히 대응이 되지 않아 큰 피해가 발생했다.

일반적으로 가볍게 생각하는 보안 기본수칙을 놓쳤던 것에 비하면, 기업이 감내해야 하는 피해는 혹독했다.

랜섬웨어 공격은 불가역적이라 복구키가 없다면 피해를 돌이킬 수 없다. 공격이 통하지 않도록 예방하는 것이 최선이겠지만, 만약 공격을 당하더라도 빠르게 복구 및 정상화 할 수 있도록 주기적으로 오프라인 백업을 해 두는 것이 차선책이라고 할 수 있다.

랜섬웨어 공격의 대상이 되는 것을 피하기 위해서는 외부에서 기업 네트워크에 들어올 수 있는 대문의 수를 최소로 하고 걸어 잠그는 것이 중요하다. 이를 위해서는 원격 접근 권한을 최소한으로 하고 비정상 접근에 대해 상시 모니터링 해야 한다.

하지만 웹서버와 같이 필연적으로 외부에 열려 있어야 하는 시스템의 경우는 외부 접근을 막을 수 없으므로, 차선책으로 내부 서버 간의 접근 제한이 필요하다. 이를 통해 웹서버가 탈취되더라도 다른 내부 서버로의 이동을 어렵게 해 공격자의 내부 장악을 최대한 지연시키며 공격 진행단계에서 이상 징후를 탐지할 수 있다.

보고서에 따르면 “해커들의 공격기법 및 은닉기법이 갈수록 고도화되고 있다. 중요 로그를 별도의 저장 공간에 보관하고, 기업 내부 시스템의 비정상적인 패턴을 탐지 및 관리할 수 있는 체계를 구축하는 것이 필요하다”며 “또한 최신 소프트웨어 업데이트 등의 기본을 지키고, 경계를 늦추지 말아야 한다. 자칫 방심하면 큰 피해를 볼 수 있다는 사실을 인지하고, 평소에도 사내 시스템의 취약한 부분을 점검하고 대비하는 것이 중요하다”고 강조했다.

이번 KISA 침해사고분석단 사고분석팀은 ‘최근 기업 대상 랜섬웨어 사고사례 및 대응방안’ 보고서는 데일리시큐 자료실에서도 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★