러-우크라戰, 중동분쟁 속 ‘사이버공격’ 주의보

[애플경제 이윤순 기자] 러시아-우크라이나 전쟁과 중동 분쟁 등으로 인한 사이버공격 주의보가 내려졌다. 특히 기업 담당자들의 사전 보안점검과 대비가 필요하다는 주문이다.

인터넷진흥원과 ‘인터넷보호나라’ 사이트는 최근 “이런 국제 분쟁으로 인한 랜섬웨어 공격으로 경제ㆍ사회적으로 큰 피해를 야기 시킬 수 있으므로 주의가 필요하다”면서 “특히 국제 해킹그룹의 국내 DDoS 공격 등으로 인한 사이버 위협이 증가하고 있다”며 주의를 당부했다.

이에 따르면 특히 랜섬웨어 악성코드 감염이 가장 큰 문제다. 이들은 포트 스캐닝을 통해 MS-SQL 설치 서버를 확인하고 sa 계정에 대한 무차별 대입공격으로 계정 탈취 후 침투, 랜섬웨어 감염을 시도한다. 또한 파일 업로드, 원격명령 실행 등 웹 취약점을 통해 악성 파일을 생성한 후 ‘권한 상승’ 취약점을 악용, 서버를 장악하고 랜섬웨어를 감염시킨다.

그 결과 파일 암호화 뿐 아니라, 내부 민감 데이터를 유출해서 공개하겠다고 협박하며 금전을 요구하는 이중 갈취 행위를 저지른다. 이력서로 위장한 악성파일을 첨부하여 기업 채용 담당자가 의심 없이 실행하도록 유도하기도 한다. 업무적 편의나 유지보수를 위해 원격 접속을 허용했으나, 계정관리가 미흡한 점을 악용, 외부에서 무단 침투한 후 랜섬웨어를 감염시키고, 기업 업무를 마비시키기도 한다.

흔히 유추하기 쉬운 비밀번호나 장기간 동일한 비밀번호, 다중인증(MFA)이나 접근IP 제한 등의 조치를 취하지 않는 계정은 취약할 수 밖에 없다. 또 취약점 보안 패치가 적용되지 않은 시스템을 악용, 내부에 침투한 후, 중앙관리 서버를 이용해 전사 시스템에 랜섬웨어 악성코드를 유포한다.

사이버범죄자들은 디도스 공격도 자주 시도한다. 특히 ‘사이버 드래곤’ 등 국제 해킹그룹은 정부기관이나 금융기관 등을 대상으로 디도스 공격을 감행한다. 실제로 국제 해킹그룹이 대만 총통의 발언에 불만을 갖고, 대만 정부와 지방자치단체들에게 디도스 공격을 감행한 사례도 있다.

이에 ‘인터넷보호나라’ 등 보안당국은 외부접속 관리나 이메일 관리, 계정관리, 백업관리 강화 등을 당부하고 있다.

우선 외부 접속 관리를 강화하기 위해 기업 자산 중 외부에 오픈된 시스템(DB 서비스, NAS 등) 현황을 파악하고, 불필요한 시스템은 연결을 차단해야 한다. 특히 테스트 서버, 유휴 서버 등 방치되어 있는 시스템 점검이나, 중요 시스템 접속자의 경우 개인 단말에 임의로 원격 제어 프로그램을 설치해서 사용하는지 여부도 확인할 필요가 있다. 불필요한 네트워크 서비스는 중지하고, 기본 서비스 포트(1433, 3389 등) 사용은 삼가는게 좋다.

만약 외부 접속 허용이 필요한 경우 접속 IP 및 단말기기 제한, 다중인증 설정, 내부이동 차단을 위한 서버별 접근제어를 설정, 확인할 필요가 있다. 또한 비정상 접속여부에 대한 주기적인 로그도 확인할 필요가 있다. 또한 해외 및 야간이나, 주말 접속 IP, 또는 평소와 다른 일반적이지 않은 네트워크 통신량 등을 주의해야 한다.

계정 관리도 강화한다. 최초 설치를 할 때 기본 관리자 패스워드는 반드시 변경 후 사용한다. 사용하지 않는 기본 관리자 계정을 비활성화하고, 권한을 제외한다. 알파벳 대문자와 소문자, 특수문자, 숫자를 조합한 복잡한 패스워드를 사용하도록 한다. 정기적으로 비밀번호를 변경하고, 계정 비밀번호 인증 이외의 추가적인 2차 인증수단을 적용하도록 한다.

백업 관리도 강화한다. 중요 자료는 네트워크와 분리된 별도의 저장소에 정기적인 백업을 하도록 한다. 외부 클라우드 등에 중요 자료를 보관하고, 소유기반의 이중인증을 적용하는 등의 조치도 필요하다. 인터넷진흥원은 “그러나 많은 피해기업이 백업을 수행했지만, 동일 저장소에 보관함으로써 암호화 되어 복구에 어려움을 겪었다”고 경고했다. 또한 클라우드 자체에 대한 랜섬웨어 감염을 대비, 클라우드에 보관된 자료에 대해서도 정기적인 백업이 필요하다.

이메일 보안도 강화한다. 사용자는 송신자를 정확히 확인하되, 모르는 이메일이나 첨부파일은 열람을 금지해야 한다. 가상화 기반의 격리된 네트워크 환경에서 이메일 첨부파일 내용을 확인해야 한다. 이메일을 수신할 때 시 출처가 불분명한 사이트 주소는 클릭을 자제한다. 첨부파일의 확장자를 확인하고 문서 아이콘으로 위장한 실행파일(.exe 등)은 클릭을 자제해야 한다. 이메일 보안 솔루션 사용으로 유해성 유무를 확인하고, 악성 이메일을 차단한다.

DDoS 공격에 사전 대비하고, 공격을 받으면 DDoS 방어서비스를 이용할 필요가 있다. 인터넷진흥원에 의하면 영세·중소기업은 한국인터넷진흥원에서 무료로 제공하는 DDoS 방어서비스(antiddos@krcert.or.kr, 02-405-4769)로 신청하면 된다. 이 밖의 기관이나 기업은 통신사 등 민간 디도스 공격 방어 서비스를 활용, 사전 예방이나 대응을 하면 된다.

이 밖에도 보안당국은 “자동 업데이트를 활성화해운영체제, 소프트웨어 최신 보안패치를 적용해야 한다”면서 “바이러스 백신 설치와 최신의 업데이트 상태 유지, 랜섬웨어 감염에 대비한 복구계획 수립과 모의훈련 등이 필요하다”고 권했다.