랜섬웨어 대응 가이드라인

KISA

 

🔹 VPN 보안강화

VPN 계정 보안

• VPN 계정의 패스워드는 주기적 변경과 복잡성(영/대소문자, 숫자, 특수문자 혼합 10자리 이상 권장)을 만족하도록 정책적 설정이 필요하다.
• VPN 접속시 생체 기반 or 2차 인증(문자메시지, 모바일 앱 등)을 적용하는 것을 권장한다.
• 추가적으로 퇴사자 및 미사용 계정은 바로 삭제하여 관리해야한다.

 

VPN 접근제어 강화

비인가 외부 접근 차단을 위해 VPN 접속 허용 IP를 화이트리스트 방식으로 접근 제어 설정하고 해외 접속이 필요한 계정 외의 계정에서 VPN 사용이 불가하도록 설정하는 것을 권장한다.

 

 

🔹 랜섬웨어 대응

랜섬웨어 차단 기능 활성화

각종 백신 프로그램은 랜섬웨어 방지 기능을 제공한다. ‘제어된 폴더 액세스’, ‘파일 위변조 탐지’, ‘랜섬웨어 데이터 복구’ 등 일부 유/무료서비스들을 활성화하여 랜섬웨어로부터 보호할 수 있다.

 

 

랜섬웨어 대응 가이드 라인 확인

한국인터넷진흥원은 랜섬웨어 감염 시 이에 대응하기 위한 목적으로 랜섬웨어 대응 가이드라인을 제공하고 있다.

가이드라인에서는 랜섬웨어 예방을 위한 보안 수칙이나 랜섬웨어 대응과 관련된 요청 등의 내용이 포함되어있다.

💡 다운로드 방법 www.boho.or.kr → 자료실 → 가이드 및 매뉴얼 ’랜섬웨어 대응 가이드’, ‘안전한 정보시스템 백업 가이드’

💡 랜섬웨어 대응 가이드 https://www.boho.or.kr/kr/bbs/view.do? searchCnd=1&bbsId=B0000127&menuNo=205021&pageIndex=2&categoryCode=&nttId=27048

💡 안전한 정보시스템 백업 가이드 https://www.boho.or.kr/kr/bbs/view.do? searchCnd=1&bbsId=B0000127&menuNo=205021&pageIndex=1&categoryCode=&nttId=36327

 

 

중요 자료 정기 백업

시스템 내 중요 파일이 백업되어 있지 않을 경우 피해 규모가 커질 수 있다. 중요 파일을 네트워크로 연결된 다른 서버로 백업할 경우 랜섬웨어 감염 시 백업 서버 또한 감염될 수 있다. 때문에,

중요 파일은 주기적으로 외부 저장장치나 인터넷이 연결되어 있지 않은 오프라인 환경의 PC 또는 서버 등에 백업을 수행하는 것을 권고한다. 또한, 백업 파일이 저장되는 시스템은 2차 인증을 적용하여 인가자만 접근할 수 있도록 설정하는 것을 권고한다.

 

 

 

🔹 시스템 및 인프라 관리

사용하지 않는 서비스 비활성화

가장 대표적인 서비스로는 SSH, TELNET, 원격 데스크톱, VPN 등 사용하지 않는 서비스들이 외부에서 접근 가능할 경우 초기 공격 대상이 될 수 있으며, 이미 공격자가 서버에 침투하였을 경우에는 내부 확산으로 이어질 가능성이 매우 높다. 때문에, 사용하지 않는 서비스는 비활성화 및 제거하는 것을 권고한다.

 

 

Active Directory 환경 보안 정책 점검

다수의 전산 자원 관리를 위해 사용되는 AD(Active Directry)는 도메인에 가입되어 있는 단말기나 서버의 일률적 제어가 가능하기 때문에 침해사고 발생 시 피해 규모가 커질 수 있다.

AD 환경에서의 기본 보안 강화는 아래와 같다.
① 불필요한 관리자 계정 비활성화
② 관리자 계정 최소한 사용
③ 그룹 정책 템플릿(GPT) 변경 사항 모니터링
④ AD 정책 배포와 관련 SMB 포트 사용 이벤트 모니터링
⑤ 서버 계정 간 적절한 액세스 제어 구현

 

 

망 분리 인프라 환경 구성 권고

공격자는 취약한 호스트 PC, 서버를 감염시키며, 감염된 호스트들은 다른 호스트 PC들을 찾아서 공격한다. 악성코드에 감염된 서버와 동일한 네트워크 대역에 속해 있는 서버는 2차 공격 및 감염에 취약할 수 있다. 때문에, 사내 시스템 업무 유형들을 파악하여 업무에 맞는 네트워크 망을 구성하여 체계적으로 관리 및 운영해야 한다.

 

 

원격 데스크톱 접근 보안 강화

공격자는 원격 데스크톱 프로토콜을 이용하여 피해 시스템에 접근할 수 있다. 공격자가 원격으로 서버에 접근할 경우 일반 사용자처럼 작업을 수행할 수 있다. 따라서 인가된 사용자만 접근이 가능하도록 화이트리스트 정책을 권고한다. 또한, 원격 데스크톱 접근 시 OTP와 같은 다중 인증 방식(MFA, Multi-Factor Authentication)을 통해 서버에 접속할 수 있도록 제한하는 것을 권고한다.

 

 

로컬 관리자 계정 정보 변경

피해 시스템에 지속적인 접근 유지를 위해 백도어 계정을 생성한다. 윈도우 서버의 경우 ‘Administrator’가 기본 관리자 계정으로 생성된다. 관리자 계정 이름을 변경하거나 비활성화하여 공격자로부터 관리자 계정 접근을 제한해야 한다. 또한, 비밀번호 정책은 공격자가 유추하기 어려운 특수문자, 대/소문자, 숫자 조합으로 10자리 이상을 권고한다.

 

 

잠재적 위협 요소 제거

공격자가 사용한 공격 도구가 서버 내에 존재할 경우, 동일한 공격자에 의해 추가 공격이 수행될 가능성이 높다. 공격자가 추후 공격을 위해 남겨둔 파일, 프로세스, 서비스 등 위협 요소를 제거하여 공격자의 추가 공격을 차단한다. 혹은 운영체제를 재설치 하는 것도 위협을 제거하는 하나의 방법이 될 수 있으므로 최신 운영체제 설치하여 취약점에 대비하는 것을 권고한다.