전체메뉴

[애플경제 전윤미 기자] 최근 들어 특히 디지털 역량이 취약한 중견 이하의 중소기업 등의 MS사 DB 관리시스템(MS-SQL)만을 노린 신흥 매스캔 랜섬웨어 조직들이 부쩍 기승을 부리고 있다. 이에 한국인터넷진흥원은 이에 각별히 유의할 것을 당부하는 한편, 그 침해 수법과 예방 및 대응책을 소개하고 있어 눈길을 끈다.

DB서버를 대상으로 한 사이버 공격과 랜섬웨어는 특히 암호화폐나, 다크웹, 서비스형 랜섬웨어가 유행하면서 더욱 기승을 부리고 있다. 특히 “지난 6월말 국내에서 처음으로 감염 사례가 드러난 이후 7월을 기점으로 급속히 확산되고 있다”며 주의를 당부하고 있다.

현재는 DB서버를 주요 타깃으로 하는 랜섬웨어는  DB에 대한 무작위 대입 공격을 비롯해, 원격데스크톱(Remote Desktop Protocol, RDP)이 열려있는 서버도 같은 수법의 주요 공격 대상으로 삼는다. 또 “금년 초에도 비슷한 공격방식이 발견되었다”는 경고다.

금년 하반기 이후 ‘매스캔’ 극성

또 2022년 하반기 들어선 처음으로 이들 신흥 랜섬웨어가 발생하기 시작했다. 이는 특히 7월을 분기점으로 급속하게 퍼져 나가고 있으며, DB를 타깃으로 하는 여느 랜섬웨어가 그렇듯이, 외부에 공개되어 있는 DB에 무작위 대입 공격을 통해 침투하여 랜섬웨어를 유포하고 있다.

한편 진흥원 안내에 따르면 신흥 랜섬웨어는 현재 version 3(F, R, G 버전 등)까지는 나온 것으로 추정된다. 진흥원은 그러면서 “신흥 랜섬웨어가 어떻게 기업 시스템에 침투를 하여 랜섬웨어를 배포하는지, 그리고 공격전략과 기법이나, 침투 단계를 상세하게 살펴보고 침투 단계 별 대응기법을 숙지할 필요가 있다”고 강조하며 주요 특징을 소개하고 있다.

이에 따르면 우선 일반적인 DB서버를 대상으로 한 랜섬웨어 공격방식과 같다. 즉 DB 무작위 대입 공격을 통해 SA 계정, 혹은 취약한 관리자 계정을 획득한다. 그리고 DB 내 명령 프롬프트를 활성화해서 계정을 생성하거나, 악성도구(권한상승 도구, 프락시 도구 등)를 다운받아 실행하고 서버에 원격 접속한다. 원격 접속 후엔 다시 악성도구를 통해 권한 상승을 도모하며 정보수집을 한 다음, 수집된 정보를 통해 내부이동을 한다. 내부이동을 하는 과정에서 많은 서버와 연결된 백업 서버나 관리자 PC를 거점으로 삼고, 랜섬웨어를 배포 내지 실행하는게 보통이다.

가이드라인 ‘ATT&CK’ 매트릭스 유념해야

특히 진흥원이 설명하는 침투 매트릭스는 눈여겨 볼 대목이다. 이는 대략 18단계의 공격 절차로 구성되어 있다. 기업체의 보안 담당자는 물론, 일반인들도 알아두면 좋은 정보다.

‘매스캔’ 랜섬웨어는 일단 침투하면 ▲ 외부에 노출된 데이터베이스 서버를 스캔한다. 그런 다음 ▲데이터베이스 브루트포싱을 공격하며, ▲ 파워셸을 통해 원격프로그램와 악성도구를 다운로드하고, 파워셸을 실행한다. 다음으론 ▲공격자가 사용할 계정을 생성하며, ▲ 마침내 관리자 계정을 탈취한다.

그 후 ▲  윈도우 디펜더나 AV를 중지시키며, 원격접속을 위해 방화벽에 등록하고, 이벤트로그를 삭제한다. 악성도구와 랜섬웨어를 삭제하며 위장한다. 다음엔 인증 정보를 탈취해내는데, 이는, 브루트포싱 공격을 통해 계정정보(DB)를 획득하고, 역시 악성도구를 통해 계정정보를 수집하기도 한다. 이어서 네트워크 스캔도구를 통해 네트워크 정보를 수집하며,원격데스크톱(RDP)을 통해 원격으로 접속한다.

다시 ▲’ 단계에서 원격 접속한 후 랜섬웨어를 감염시키고, 다시 재부팅을 하는 수법이다. 이때 “공격자는 외부에 노출된 기업의 데이터베이스 서버를 스캔하여 공격 대상을 찾는다.”는 진흥원의 설명이다.

“어떻게 예방하고 방어하나”

이를 예방, 방지하기 위해선 무엇보다 외부접속 관리를 강화하는게 중요하다. 우선 외부에 공개된 서비스에 대한 접근을 차단해야 한다. 즉, “서비스가 인터넷에 노출된 경우에는 공격자의 무작위 대입공격을 통해 비밀번호 탈취가 가능하므로 인가된 IP만 접근할 수 있도록 접근제어정책을 적용해야 한다”는 설명이다. 또한, “내부에서만 사용되어 외부에서 접근할 필요가 없는 경우, 방화벽 등을 활용하여 외부 접근을 차단하는게 좋다”는 조언이다.

다만 부득이하게 서비스를 외부에 공개할 경우, 기본 포트로 설정되어 있으면 공격 대상이 될 수 있으므로 포트 변경이 필요하고, VPN을 통해 접속하는 것이 바람직하다. 추가로 원격 데스크톱을 이용할 경우엔 OTP와 같은 이중 인증 방식을 적용하여, 비인가자가 접속할 수 없도록 원격데스크톱 접근 보안을 강화할 필요가 있다.

또 검색 결과 열려있는 포트(서비스)를 꼭 확인해야 한다는 당부다. 우선 기본 관리자 패스워드는 변경 후 사용해야 하며, 특히 최초로 설치할 경우는 기본 관리자 패스워드를 반드시 변경해야 한다. 또한 데이터베이스 계정의 패스워드를 공격자가 유추하기 어렵게 변경하고, 주기적으로 계정정보를 변경하여 운영해야 한다. ‘sa계정’을 사용하지 않는 경우 비활성화하여 공격자가 해당 계정에 접근할 수 없도록 조치해야 하며, ‘sa계정’을 사용해야 하는 경우엔 계정을 유추할 수 없도록 변경, 사용하는게 바람직하다.

백업 관리 강화는 기본이다. 중요 파일은 주기적으로 외부 저장장치나 인터넷이 연결되어 있지 않은 오프라인 환경의 PC 또는 서버 등에 백업을 수행하는 것이 좋다. 또한 백업 파일이 저장되는 시스템은 2차 인증을 적용하여 비인가자가 접근할 수 없도록 설정해야 한다.

운영체제 자체를 늘 최신으로 업그레이드하거나, 최신 패치를 적용하도록 한다. 진흥원은 특히 “지원이 종료된 운영체제로 시스템을 운영할 경우, 보안 업데이트가 지속적으로 수행되지 않아 취약점이 다수 존재할 가능성이 높고, 공격자는 이를 악용할 수 있다.”면서 “운영체제를 교체하거나 최신 버전으로 업그레이드하여 보안 업데이트가 지속적으로 수행되는 운영체제를 사용하는게 좋다”고 했다. 또한 사용 중인 어플리케이션의 최신 버전을 사용하고 업데이트하는 것도 바람직하다.

최신 버전의 백신을 설치하여, 랜섬웨어 차단 기능을 활성화하는 것도 중요하다. 즉, 윈도우에서 기본적으로 제공하는 ‘윈도우 디펜더’의 경우에도 랜섬웨어 방지 기능을 제공하는데 해당 기능을 켜서 사용하면 랜섬웨어를 방지하는데 도움이 된다. 또한 “상용 백신을 사용할 경우는 최신 버전으로 업데이트하고, 백신에서 제공하는 랜섬웨어 차단기능을 활성화하면 랜섬웨어를 방지할 수 있다”는 진흥원의 조언이다.

그런 점에서 진흥원이 안내하는 ‘윈도우 디펜더’ 랜섬웨어 차단 기능 활성화 방법(윈도우10 기준)을 알아두면 좋다. 이에 따르면 윈도우 시작 버튼 → 설정 아이콘 → 업데이트 및 보안 → Windows 보안 → 바이러스 및 위협 방지 → 랜섬웨어 방지 관리 버튼 → 제어된 폴더 엑세스 ‘켬’으로 변경 → 보호된 폴더 → 보호된 폴더 추가(중요폴더)의 순서를 거치면 된다.

알약 사용자의 경우는 알약 실행 → 환경설정 → 검사 → 고급 설정 → 랜섬웨어 차단 사용 활성화의 순서로 대비하면 된다. 또 V3 사용자는 V3 실행 → 환경설정 → 안티랜섬웨어 → 랜섬웨어 정밀 검사 설정 → 랜섬웨어 정밀 검사 사용 체크</aside> 순으로 하면 된다. “만약 침해를 당했을 경우는 KISA-보호나라 홈페이지를 통해 신고할 것”을 당부하고 있다.