랜섬웨어 공격 대응을 위한 보안 대책 안내

 

□ 개 요

- 최근 국내환경을 고려한 Windows 계열 OS(PC, 서버 포함)를 목표로 하는신종 랜섬웨어(Clop)로 인해 일부 기관 피해 발생

- 랜섬웨어는 해커의 새로운 수익원이 되고 있을 뿐 아니라 국가ㆍ공공기관 시스템 마비를 통한 대규모 혼란 야기도 우려

- 이에, 기관 자체적인 체계적인 백업ㆍ복구대책을 수립하는 한편, 보안의식 제고를 위한 교육 강화 필요

 

□ 대응방안

 

1. PC등 단말기 보안 관리

- 운영체제(OS), 브라우저 및 주요 응용 SW의 최신 보안업데이트 상태 유지(자동 업데이트 설정 권고)

- 백신 S/W는 최신 엔진 업데이트 상태로 운용하고 실시간 감시기능 활성화

※ 백신 S/W내 랜섬웨어 관련 기능이 존재할 경우 해당 기능 활성화 실시

- 출처가 불분명한 이메일 첨부파일이나 웹사이트(URL)는 열람 자제

- 보안이 취약한 웹사이트나 불법 파일공유사이트 방문 자제

- PC內 중요자료는 백업시스템을 통해 주기적으로 백업

- 백업시스템 미비로 PC 자료를 ‘휴대용 저장매체’에 백업하고자 할 경우

- 부서 단위로 백업전용 휴대용 저장매체를 최소화하여 지정ㆍ운용하되 반드시 ‘매체제어 관리시스템’에 등록하고 저장자료 암호화

- 휴대용 저장매체는 일반용ㆍ비밀용으로 구분하여 관리하고 기타 보안관리와 관련한 세부사항은 ‘휴대용 저장매체 보안관리지침’ 준수

- 망분리 기관의 경우, 인터넷PC에서 업무자료의 저장을 금지하기 위한 기술적ㆍ관리적 방안 강구

- 공유폴더 삭제 및 SMB 포트(UDP/137ㆍ138, TCP/139ㆍ445) 차단

 

2. 서버 보안관리

- 서비스망과 물리적으로 분리된 관리운용망을 별도 구축하고 관리자 전용PC를 통해 서버ㆍ보안장비를 관리(관리자 PC 인터넷 접속 차단)

- 물리적 분리가 어려울 경우 서비스망과 관리망 IP 대역을 VLAN으로 분리하고 방화벽ㆍ네트워크장비(ACL) 등으로 대역간 접점을 완전 차단

- 서버 운영체제(OS)와 WEBㆍWAS 등 주요 응용 SW와 관련된 취약점은 공개 즉시 패치하는 등 최신 보안업데이트 상태 유지

- 서버 백신ㆍ접근통제SW 등 서버 보안제품을 도입, 악성코드 감염 및 데이터 위ㆍ변조 행위 차단

- 클라우드저장소ㆍ파일서버 등 ‘문서중앙화시스템’을 구축한 경우

- 네트워크 드라이브 연결방식은 지양하고 SFTP 등 안전한 프로토콜을 사용한 연결 권고

- MS Office, 한글 등 지정된 응용프로그램만 접근 가능하도록 화이트리스트 방식의 운용 권고

 

3. 백업-복구체계 보안관리

- 백업망을 별도 구축하고 망구성 및 접근통제 설정이 잘못되는 경우 잠재적 위협에 노출될 수 있으므로 주기적 점검 실시

- PCㆍ서버→백업시스템 간의 통신은 SFTP 등 안전한 프로토콜을 사용한 백업 실시

- 백업 운영자는 운영자 그룹을 위한 별도의 사용자 계정을 생성하는 등 안전하게 관리하고 계정정보 탈취 방지를 위한 보안대책 강구

- 백업 자료는 국정원 검증필 암호화 모듈을 이용, 암호화 권고

- 한번 기록 후 삭제ㆍ변조가 불가능한 백업솔루션의 WORM(Write-Once Read-Many) 기능을 활용하거나 전용 스토리지 이용 권고

- 정보시스템의 업무 중요도를 평가, ‘핵심’ㆍ‘중요’ㆍ‘일반’으로 구분하고 등급별 복구 목표시간 산정

- 중요 자료(학적, 인사 등)는 최소 2벌 이상을 백업하고 1벌은 시스템과 동일한 장소에, 다른 1벌은 원격지에 소산 보관

- 백업 자료에 대해 정기적으로 실전 복구 테스트를 반드시 실시, 자료 정상복구 여부를 확인

 

4. 공통사항

- 인터넷과 업무망을 분리 구축하고 망연계 접점의 접근통제를 강화, 인터넷 감염을 통한 업무망 피해 확산 차단

※ 인터넷과 업무망 간의 자료교환은 망간자료전송시스템을 사용

- 사용자ㆍ운영자 계정 비밀번호는 반드시 특수문자를 포함한 9자리 이상으로 설정하고 주기적으로 변경

- 보안시스템의 정책설정 오류여부를 수시 점검하고 신ㆍ변종 랜섬웨어 동향 파악 및 대응책 마련

- 랜섬웨어 감염예방 대책 및 감염의심시 행동요령 등 보안대책을 수립하고 교육 등을 통해 전직원이 숙지토록 조치

 

□ 랜섬웨어 감염이 의심될 경우 행동요령

- 공유폴더, USB, 외장하드 등 외부 저장장치와의 연결을 해제

- 사용자가 감염피해 차단을 위해 PC 전원을 끌 경우 파일이 삭제될 수 있어 전원을 끄지 않도록 주의

- 보안업체, 전문기관 등이 제공하는 ‘랜섬웨어 복구툴’ 유무 확인

- 해커에게 금전을 지불하거나 개인ㆍ기관의 개별적인 거래는 금지하고 각급기관 보안담당 부서에 신고, 체계적이고 전략적 대응방안 모색