총 2,155건
7월은 정보보호의 달! 실천하면 좋은 사이버보안 수칙
매년 7월은 ‘정보보호의 달’, 7월 둘째 수요일은 ‘정보보호의 날’이다. 올해로 12번째를 맞은 정보보호의 날은 정보보호의 중요성을 널리 알리고 사이버 공격의 위험에 대비하도록 경각심을 일깨우기 위해 제정한 날이다. 과학기술정보통신부와 한국정보보호산업협회(KISIA)는 ‘사이버안보 역량 결집으로 안전한 디지털 대한민국’을 주제로 7월 한 달 동안 다양한 정보보호 캠페인을 펼친다. 이번 글에서는 일상에서 손쉽게 실천할 수 있는 보안 수칙을 알아본다.
2009년 7월 7일 해커에 의해 감염됐던 좀비PC 11만대가 주요 행정기관과 민간 기업 및 은행 등에서 인터넷 ‘분산 서비스 거부(Distribute Denial of Service, DDoS)’ 공격을 당했다. 일명 디도스 대란으로 불리는 사건이었다. 이로 인해 우리나라의 인터넷 네트워크가 마비되는 사태가 발생했다.
앞서 얘기한 것처럼, 정보보호의 달과 정보보호의 날은 국민들이 개인정보와 중요한 정보를 안전하게 보호하는 습관을 함양하도록 장려하는 날이다. 이 날 만큼이라도 디지털 환경을 안전하게 보호할 수 있는 보안 수칙을 실천해보자.
랜섬웨어 예방 보안 수칙
기업을 표적으로 삼은 랜섬웨어 감염 및 정보유출 사고가 지속적으로 발생하고 있다. 각 기업은 철저한 보안 점검 및 대비가 필요하다. 한국인터넷진흥원은 보안 주의사항 및 보안수칙을 철저히 준수할 것을 권고한다.
우선 보안 주의 사항으로는 중요 파일 및 문서 등을 네트워크와 분리된 오프라인 백업을 하는 것이 좋으며, 사용하지 않는 네트워크 서비스는 비활성화하고, 인가된 관리자만 접속할 수 있도록 방화벽 등에서 접근 제어를 설정해야 한다. 유추하기 어려운 패스워드(숫자, 대소문자, 특수문자 조합 8자리 이상)를 사용해 보안을 강화해야 하며, V3와 같은 신뢰할 수 있는 백신을 최신 버전으로 설치하고 정기 검사를 진행해야 한다.
사용하지 않는 시스템은 전원을 종료해 해킹 경로로 활용되는 것을 사전에 방지하고, 주요 서버 및 네트워크 장비의 접근 제어 설정 재확인, OTP 등 추가 인증 강화를 실천해야 한다. 상용 메일을 통한 주요 업무 자료는 송수신해서는 안 되며, 불가피한 경우, OTP 설정 및 허가된 사용자 단말기 추가 등을 통해 인증을 강화해야 한다. 또한, 침해사고 발생에 대비한 비상 연락 체계 및 대응 절차를 점검할 필요가 있다.
[보안 수칙]
1. 사회적 이슈를 악용한 스미싱 유포에 대비하려면 출처가 불분명한 문자 내 URL 및 전화번호를 함부로 클릭해서는 안 된다.
2. P2P 프로그램을 통해 불법 다운로드 받은 최신 영화 등으로 위장한 파일을 실행해서는 안 된다.
3. 피싱 메일을 통한 계정 유출 방지를 위해 포털 사이트의 OTP, 해외 IP 차단 등 추가 인증 강화를 설정한다.
4. PC 및 스마트폰 운영체제 등에 대해 최신 업데이트를 수행하고, 신뢰할 수 있는 백신을 설치해 수시로 검사한다.
5. 악성코드 감염 등 피해가 발생했다면 한국인터넷진흥원으로 즉시 신고하고, '내PC돌보미' 서비스를 신청해 점검을 받아야 한다.
(PC, 스마트폰 등 단말기 무상 보안점검 서비스로, 보호나라 홈페이지→보안점검→내PC돌보미에서 신청 가능)
6. 사이버 공격으로 인한 피해 발생 시 한국인터넷진흥원으로 즉시 신고한다.
모바일 보안 수칙
안랩은 주기적으로 PC 및 스마트폰 사용자가 준수해야 할 보안 수칙을 발표한다. 안랩의 보안 수칙을 참고하면 보안 사고에 보다 더 현명하게 대처할 수 있을 것이다.
집에서 혼자 PC를 사용해 동영상이나 게임, 만화 등 다양한 콘텐츠를 소비하는 사람들, 이른바 ‘혼놀족’이 PC 보안에 취약할 수 있다. 최근 토렌트 사이트, 불법 성인 사이트와 같은 보안이 취약한 웹사이트에서 악성 광고 게시를 통한 정보 탈취 및 랜섬웨어 감염 사례가 증가하고 있기 때문이다. 또한, 파일 공유 사이트를 중심으로 유명 콘텐츠를 사칭해 악성코드를 유포한 사례도 있다.
모바일을 노린 공격에도 항상 대비해야 한다. 많은 사람들이 공공장소에서 무료 와이파이를 활발히 사용하는데, 이때 해커가 공유기를 해킹하거나 기관을 사칭한 무료 와이파이를 개설해 해당 와이파이에 접속한 모든 기기의 정보를 탈취할 수 있다. 온라인에서 타인과 잘 어울려 노는 ‘랜선인싸’라면 더욱 주의해야 할 것이다.
게다가 곧 다가오는 여름 휴가철에 기차표, 항공권, 숙박 예약, 여행지 정보 검색, 선물 교환 등으로 스마트폰 사용량이 대폭 증가한다. 해커는 이를 노리고 여행 정보와 기차표 및 항공권, 택배 등의 내용을 사칭한 문자 메시지, 이메일 등으로 악성코드를 유포할 수 있다.
스마트폰에는 금융 정보와 주소록, 사진 등 민감한 개인정보가 많기 때문에 더욱 주의해야 한다. 스마트폰 기본 보안 수칙은 다음과 같다.
[스마트폰 사용자를 위한 기본 보안 수칙]
1. 공공장소에서 무료 와이파이를 사용할 때 제공자를 꼼꼼히 확인하고, 가급적 해당 와이파이에 연결된 기기로 금융 거래를 하지 않는다.
2. 출처가 불분명한 여행, 기차표, 항공권, 택배, 안부 인사 등 정보성 문자 메시지, 메일 첨부 파일 열람 및 URL 실행을 자제한다.
3. 스마트폰에 안랩 V3 모바일 시큐리티(AhnLab V3 Mobile Security)와 같은 모바일 전용 백신을 설치한다.
안랩 V3 모바일 시큐리티는 안드로이드 기반의 스마트폰에 최적화된 통합 모바일 백신이다. 한 번의 터치 만으로 모바일 악성코드는 물론 개인정보 유출 걱정 없이 안전하고 편리한 모바일 라이프를 즐길 수 있도록 하며, 배터리를 최소한으로 사용한다는 점에서 효과적이다.
안전한 비밀번호 만드는 팁
1. 비밀번호는 사이트마다 다르게
비밀번호 뒤에 '!', '#'과 같은 특수 문자를 붙였다고 안심하면 안 된다. 해커들은 이미 이런 비밀번호 패턴을 파악해 찾는다. 모든 사이트에 동일한 비밀번호를 사용하는 경우가 많은데, 사이트별로 다르게 설정하는 것이 안전하다. 예를 들어, 안랩닷컴(https:/www.ahnlab.com) 홈페이지에서 회원가입을 할 경우, 비밀번호를 ‘ahn + (자주 쓰는 비밀번호) + lab’으로 설정하는 것도 한 가지 방법이다.
2. 쉼표를 추가하는 것도 방법이다
사이트마다 각각 다른 비밀번호를 사용하면 헷갈릴 수 있다. 사이트별 각기 다른 비밀번호를 설정하는 것이 번거롭다면, 비밀번호 중간에 쉼표(,)를 넣어도 최소한의 해킹은 피할 수 있을 것이다. 해커들은 비밀번호를 해킹한 뒤 자동화 툴에 비밀번호를 정렬하는데 비밀번호 사이에 쉼표를 넣으면 하나의 비밀번호로 인지하지 못한다고 한다. 이로 인해 비밀번호가 유출되더라도 피해를 줄일 수 있다.
3. 비밀번호를 스마트폰 앱에 저장하기
비밀번호를 별도의 앱에 저장하는 방법도 있다. 각 사이트마다 비밀번호를 무작위로 설정하고 스마트폰 보안 앱에 저장한다. 이 경우 사이트별 각각 다른 비밀번호를 사용하기에 해킹 문제를 최소화할 수 있지만, 스마트폰 분실이나 해킹으로 모든 정보가 넘어가는 사태를 겪을 수도 있다. 따라서 가장 신뢰할 수 있고 안전한 보안 앱을 사용하고, 스마트폰 비밀번호나 패턴도 복잡하게 설정하는 것이 좋다.
크라이시스 랜섬웨어 공격자의 새로운 계정 탈취 방법은?
안랩 분석팀이 최근 크라이시스(Crysis) 랜섬웨어 공격자가 비너스(Venus) 랜섬웨어를 공격에 함께 사용하고 있는 정황을 확인했다. 크라이시스, 비너스 랜섬웨어는 외부에 노출된 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 주요 표적으로 삼는다는 공통적인 특징이 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에서도 공격자가 RDP(Remote Desktop Protocol)를 통해 악성 행위를 하는 것을 확인할 수 있었다. 크라이시스 랜섬웨어 공격자가 RDP를 이용해 비너스 랜섬웨어를 설치하는 과정을 알아보자.
1. RDP를 이용한 랜섬웨어 설치
RDP를 공격 벡터로 사용하는 공격자는 일반적으로 외부에서 접근 가능하고, RDP가 활성화된 시스템을 스캔한다. 스캐닝 과정에서 발견한 시스템을 대상으로 무차별 대입 공격 또는 사전 공격을 수행한다. 만약 사용자가 부적절한 계정 정보를 사용하고 있을 경우, 공격자는 계정 정보를 손쉽게 획득할 수 있다.
공격자가 획득한 계정 정보를 사용해 원격 데스크톱으로 시스템에 로그인할 경우, 해당 시스템에 대한 제어를 획득하고 이후 다양한 악성 행위를 수행할 수 있다. 비너스 랜섬웨어를 설치한 공격자도 RDP를 공격 벡터로 사용한 것으로 추정되는데, 그 근거로는 [그림 1]과 같이 탐색기 프로세스(explorer.exe)에 의해 다수의 악성코드가 생성된 것을 들 수 있다.
[그림 1] 다양한 악성코드들의 설치 로그
과거 공격자는 먼저 크라이이스 랜섬웨어를 이용해 감염 대상 시스템을 암호화하려고 했으며, 실패한 이후 다시 비너스 랜섬웨어로 암호화를 시도했다.
[그림 2] 비너스 랜섬웨어보다 먼저 설치된 크라이이스 랜섬웨어
참고로 해당 공격자는 이후에도 동일한 크라이시스 랜섬웨어를 이용해 다른 시스템을 지속적으로 공격했다. 확인된 공격들 중 외부에 노출된 RDP 서비스를 표적을 삼고, 공격에 성공한 이후 RDP를 통해 다른 시스템에 접속하고, 해당 시스템을 크라이시스 랜섬웨어에 감염시킨 사례도 있다.
2. 공격 과정에서 사용되는 악성코드
공격자는 감염 대상 시스템에 다양한 악성코드를 설치한다. 설치되는 툴은 스캐너 및 계정 정보탈취 기능을 담당하며, 대부분 니르소프트(NirSoft)에서 제작됐다. 이를 통해 감염 대상 시스템 외에도 해당 시스템이 포함된 네트워크도 공격 대상이 될 수 있다는 것을 알 수 있다.
파일명 (경로명) |
종류 |
1.exe_ |
Venus 랜섬웨어 |
bild.exe_ |
Crysis 랜섬웨어 |
\mimik\x32\mimik.exe |
미미카츠 |
webbrowserpassview.exe |
Web Browser Password Viewer – NirSoft |
mailpv.exe |
Mail PassView – NirSoft |
vncpassview.exe |
VNCPassView – NirSoft |
wirelesskeyview64.exe |
Wireless Key View – NirSoft |
bulletspassview64.exe |
BulletsPassView – NirSoft |
routerpassview.exe |
RouterPassView – NirSoft |
mspass.exe |
MessenPass (IM Password Recovery) – NirSoft |
rdpv.exe |
Remote Desktop PassView – NirSoft |
netpass64.exe |
Network Password Recovery – NirSoft |
ns64.exe |
Network Share Scanner |
[표 1] 공격에 사용된 툴
공격자는 RDP를 통해 시스템을 장악한 이후, [표 1]의 툴로 네트워크를 스캐닝해 감염 대상 시스템이 특정 네트워크에 포함됐는지 확인한다. 만약 포함돼 있는 경우 해당 네트워크에 존재하는 다른 시스템들도 암호화하기 위해 내부 정찰 및 계정 정보 수집을 진행한다. 이 과정에 미미카츠가 사용되며, 수집된 계정 정보를 이용해 네트워크 내 다른 시스템으로 측면 이동할 수 있다.
공격자는 크라이시스 랜섬웨어를 실행해 시스템 암호화를 시도했으며, 몇 시간이 지난 후 암호화에 실패한 것을 인지했을 때 비너스 랜섬웨어를 공격에 사용했다. 만약 크라이시스 랜섬웨어가 정상적으로 동작했다면, 사용자는 [그림 3]과 같은 랜섬노트를 확인할 수 있을 것이다.
[그림 3] 공격에 사용된 크라이시스 랜섬웨어의 랜섬노트
공격자의 메일 주소: datacentreback@msgsafe[.]io, moriartydata@onionmail[.]org
3. 비너스 랜섬웨어
“Download” 폴더 내에 공격자가 복사한 파일들 중 비너스 랜섬웨어는 “bild.exe_”라는 이름을 갖는다.
개요 |
설명 |
확장자 |
.venus |
암호화 제외 경로 |
“Tor Browser”, “Windows”, “dropbox”, “iexplorer” |
암호화 제외 경로 |
“venus”, “README.txt”, “README.html” |
랜섬노트 |
README.html |
종료 대상 프로세스 |
아래 항목 참고 |
기타 |
볼륨 쉐도우 복사본 삭제 |
[표 2] 비너스 랜섬웨어 개요
비너스 랜섬웨어는 더 많은 파일을 암호화하기 위해 먼저 오피스, 이메일 클라이언트, 데이터베이스 등 다양한 프로그램들을 종료시킨다.
종료 대상 프로세스 목록 |
agntsvc.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, oracle.exe, outlook.exe, powerpnt.exe, sqbcoreservice.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlservr.exe, sqlwriter.exe, synctime.exe, tbirdconfig.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe, xfssvccon.exe |
[표 3] 종료 대상 프로세스 목록
“.venus” 확장자에 대한 아이콘을 등록한 이후 파일 암호화를 진행하는데, 암호화된 파일들의 확장자는 “.venus”로 변경된다. 따라서 사용자는 [그림 4]와 같은 아이콘으로 변경된 파일들을 보게 된다.
[그림 4] 암호화된 파일들
비너스 랜섬웨어가 볼륨 섀도 복사본을 제거하기 위해 사용하는 명령은 다음과 같다.
> cmd.exe /C wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
여기까지의 과정이 끝나면 바탕화면을 변경하고 사용자에게 README 파일을 보여준다. README 파일에는 자신들이 시스템의 정보를 탈취하고 파일들을 암호화했다는 내용과 함께 48시간 내로 연락하라는 내용이 담겨있다.
공격자의 메일 주소: venusdata@onionmail.org
[그림 5] 변경된 바탕화면
[그림 6] 비너스 랜섬웨어의 랜섬노트
공격자들은 과거부터 초기 침투 및 측면 이동 과정에서 RDP를 꾸준히 사용해오고 있다. 이런 공격은 주로 계정 정보가 부적절한 시스템에 대한 무차별 대입 공격 또는 사전 공격을 통해 이루어진다. 비너스를 유포한 크라이시스 랜섬웨어 공격자 외에도 수많은 랜섬웨어 공격자가 RDP를 대표적인 초기 공격 벡터로 사용하고 있다.
사용자들은 RDP를 사용하지 않을 경우 비활성화해 공격 시도를 줄일 수 있다. 만약 RDP 서비스를 사용하고 있다면 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경해 무차별 대입 공격과 사전 공격을 방지해야 한다. 또한, V3를 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.