© News1 DB
랜섬웨어를 원천 방어하는 건 어렵지만 내부 서버 간 이동을 다중인증(MFA) 등 설루션으로 통제해 피해 자체를 최소화해야 한다는 지적이다.
12일 보안업계에 따르면 예스24는 랜섬웨어 해킹으로 인한 서비스 장애를 인정했다.
랜섬웨어는 보통 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트 등을 통해 유포되는 것으로 알려졌다.
이에 더해 KISA는 "최근 제조업 등을 대상으로 한 랜섬웨어 감염 사고가 지속해서 발생하고 있다"며 "소프트웨어 개발사나 IT 유지보수 업체 등이 고객사에 원격 접속하는 과정에서 랜섬웨어가 감염되는 식"이라고 2월 공지했다.
한 보안업계 관계자는 "원격 유지보수를 할 경우 관리자 권한 및 일회용 비밀번호(OTP) 인증이 요구되고, 보안 설루션도 작동한다. 원격접속이 열려도 악용이 쉽지만은 않다"면서도 "아예 가능성이 없는 이야기는 아니다"고 분석했다.
공격자는 포트 스캐닝을 통해 마이크로소프트-SQL(관계형 데이터베이스 관리 시스템) 설치 서버를 확인, 타깃이 되는 핵심 데이터까지 접근한다. 무차별 대입 등 기법으로 관리자(SA) 계정이 탈취되면 공격이 수월해진다.
웹 취약점·피싱메일 등을 통한 악성 파일 설치도 문제다. 공격자의 접근 권한이 높아져 서버 장악으로 이어진다.
초기 침투 경로가 다양한 만큼 완벽한 방어는 불가능하다고 보안업계는 입을 모은다. 계정 관리강화, MFA 도입 등 공격자의 내부 이동 통제가 유효하다는 설명이다.
박기웅 세종대 정보보호학과 교수는 "OTP나 지문 등 생체인증을 함께 쓰는 게 MFA"라며 "핵심 서버·중요 데이터의 장벽을 높일 수 있다"고 설명했다.
KISA 역시 "업무적 편의나 유지보수를 위해 원격 접속을 허용하더라도,계정 관리까지 미흡해선 안 된다"며 "장기간 같은 비밀번호, 유추하기 쉬운 비밀번호를 쓰는 건 지양해야 한다. MFA나 접근 IP 제한 등 조치도 필요하다"고 주문했다.
특히 관습적으로 특정 서비스에 기본 포트를 부여하는 것도 문제라고 지적됐다. 공격자가 핵심 서버를 특정하는 것을 돕는 행위나 다름없다는 설명이다.
이 밖에도 KISA는 "외부에 오픈된 시스템(DB 서비스, NAS, 공유기 등) 현황을 파악하고, 불필요한 시스템은 연결을 차단해야 한다"고 덧붙였다.
빠른 서비스 복구를 위해선 데이터 백업도 중요하다. 공격자 접근이 닿지 않는 오프라인 환경에 중요 데이터를 백업하는 게 도움이 된다.
홍준호 성신여대 융합보안공학과 교수는 "공격자는 협상이 되지 않을 경우 암호화를 풀지 않고 데이터를 다크웹으로 판매할 수 있다"며 "최신 보안 패치를 빠르게 적용하는 한편백업, 로그 모니터링을 강화해야 한다"고 주문했다.
legomaster@news1.kr