【오즈커뮤-OZcommunity】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 스포츠뉴스 : 안구정화 놀이터홍보 놀이터후기공유 피해사례공유

로그인

글쓰기

[IT뉴스]"회사 시스템 비번이 '전산실1!'?"…경찰이 말해주는 해킹 예방법

온카뱅크관리자

2024-11-18 16:04:50

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="3VQ9MSg29i">
          <figure class="figure_frm origin_fig" dmcf-pid="0JaejtsdqJ" dmcf-ptype="figure">
           <p class="link_figure"><img alt="18일 서울 전쟁기념관에서 열린 '2024 하반기 침해사고 정보공유 세미나'에서 강동화 KISA(한국인터넷진흥원) 책임이 '국내 랜섬웨어 주요 사례와 원인 분석'을 주제로 발표하고 있다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202411/18/moneytoday/20241118160451651hixu.jpg" data-org-width="1024" dmcf-mid="FW8BPCnbbn" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202411/18/moneytoday/20241118160451651hixu.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            18일 서울 전쟁기념관에서 열린 '2024 하반기 침해사고 정보공유 세미나'에서 강동화 KISA(한국인터넷진흥원) 책임이 '국내 랜섬웨어 주요 사례와 원인 분석'을 주제로 발표하고 있다.
           </figcaption>
          </figure>
          <p dmcf-pid="pQJ6nGkPfd" dmcf-ptype="general"><strong>"관리상 필요 때문에 'wjstkstlf1!'(전산실1!) 등 비밀번호를 돌려쓰곤 하는데 이 때문에 하나가 털리면 모든 계정이 털릴 수 있습니다. 크롬 등 인터넷 브라우저에 비밀번호를 자동저장하는 기능도 해제하는 게 좋습니다."</strong></p>
          <p dmcf-pid="UOvmy8tsKe" dmcf-ptype="general">남우환 경찰청 사이버수사국 수사관은 18일 오후 서울 용산동 전쟁기념관에서 KISA(한국인터넷진흥원)이 주최하고 블루데이타시스템즈, 제로, 잉카인터넷 등이 주관한 '2024 하반기 침해사고 정보공유 세미나' 발표자로 나와 침해사고 예방을 위해 기업들이 주의해야 할 사항을 당부하며 이같이 밝혔다.</p>
          <p dmcf-pid="uEOcCKGk9R" dmcf-ptype="general">이번에 남 수사관이 소개한 사건은 러시아계 랜섬웨어 조직인 블랙수트(BlackSuit)가 국내 한 기업을 해킹해 몸값(랜섬·Ransome)을 요구한 사건이었다. 남 수사관에 따르면 이번 사건은 블랙수트 소속 공격자가 크리덴셜 스터핑(Credential Stuffing) 방식을 통해 SSL VPN(보안 가상사설망)을 뚫는 데서 시작했다.</p>
          <p dmcf-pid="7LAik0Cn2M" dmcf-ptype="general">크리덴셜 스터핑이랑 다른 통로를 통해 이미 획득한 아이디·비밀번호 등 접속 정보를 무작위로 입력해 불법적으로 접속하는 공격 방식을 일컫는다. 블랙수트는 이메일에 첨부한 악성코드 파일 등을 피해자가 클릭하도록 하는 등 방식으로 개인정보를 얻는 것으로 알려졌다. 문제가 된 사건에서 피해 기업은 외부에서 SSL VPN을 통해서만 회사 시스템에 접속할 수 있도록 했지만 그 외의 부분은 미흡했다.</p>
          <p dmcf-pid="zK8BPCnb9x" dmcf-ptype="general">관리자는 SSL VPN과 AD서버 비밀번호를 똑같이 설정해 사용했다. 일단 회사 시스템망으로만 접속하면 윈도우 기반 시스템 중앙 집중 관리 역할을 하는 AD서버까지 손쉽게 뚫을 수 있는 상태였다는 얘기다. 공격자는 AD서버를 장악한 후 시스템에 연결된 개개 PC의 정보나 프로그램, 시스템 방어를 위한 백신 프로그램 등의 현황을 파악했다. 해킹 사고에 대비해 사후 복원 용도로 만들어둔 복원 시스템, 백신 프로그램 등도 모두 삭제하거나 마비시켰다. 이후 공격자는 랜섬웨어를 복사해 개개 시스템에 이식시켰고 이를 동시에 실행하는 방식으로 공격을 가했다.</p>
          <p dmcf-pid="q5pXuaVZfQ" dmcf-ptype="general">남 수사관은 이번 사건에 대해 "VPN에서는 (문자메시지를 통한 확인 등) 2차 인증이 아무 것도 돼 있지 않았고 미사용 관리자나 퇴사자 계정이 정리되지 않은 채 남아있는 등 문제가 많았다"며 "대부분 기업들이 국내 접속만 허용하거거나 특수한 경우에만 해외 접속을 허용하는 등 조치를 취하고 있지만 이 기업은 시스템으로의 접근제어를 위한 조치가 없었다"고 지적했다. 믿을 만한 IP(인터넷주소)로부터의 접속만 허용하는 등 접근제한 정책을 도입해야 한다는 것이다.</p>
          <p dmcf-pid="BBfz8OJqKP" dmcf-ptype="general">또 "랜섬웨어 공격 후 복구를 위해서는 결국 과거 데이터가 필요하다. 중요한 데이터를 백업(Back up, 별도 저장)하는 방법밖에 없다"며 "문제는 백업 시스템이 온라인으로 연결돼 있으면 랜섬웨어 공격을 예방하는 데 아무런 도움이 되지 않는다. 중요 데이터에 대해서는 오프라인 기반 백업을 꼭 유지해달라"고 했다.</p>
          <p dmcf-pid="bxiPLHEQ96" dmcf-ptype="general">이어 "피해 규모를 확인하고 침입 원인을 규명하는 작업은 로그(Log, 접속기록)를 비롯해 로그에 남아있는 IP주소 등이 첫 출발점이 된다"며 "방화벽과 시스템 로그 및 윈도우 이벤트 로그 등을 잘 보관해달라"고 했다.</p>
          <p dmcf-pid="KqV74sdzB8" dmcf-ptype="general">이날 세미나는 KISA가 침해사고에 대한 주의를 환기시키고 대응 전략을 모색하기 위해 민간 기업과 함께 진행하는 행사다. 이날 주관사인 블루데이타시스템즈에 따르면 하반기 침해사고 접수 건수(312건) 중 66건(21%)이 랜섬웨어 공격으로 가장 많았다.</p>
          <p dmcf-pid="9b4q6IiB94" dmcf-ptype="general">랜섬웨어 공격을 위해 공격자들은 정교한 거짓 메시지로 클릭을 유도하는 피싱 메일 발송, 이용자 부주의로 악성파일을 다운로드하도록 유도하는 행위, 외부 취약 시스템 공략 등을 주로 활용했다. DB(데이터베이스) 서버나 웹 서버, NAS(네트워크 결합 스토리지) 등 자료를 저장하는 서버를 대상으로 한 공격이 많았다.</p>
          <p dmcf-pid="2wCEl2XDVf" dmcf-ptype="general">황국상 기자 gshwang@mt.co.kr</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 머니투데이 &amp; mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지</p>