KISA "랜섬웨어 1분기 10% 증가"···보안강화 4대 수칙 발표
한국인터넷진흥원(KISA, 원장 이상중)은 최근 기업을 대상으로 랜섬웨어 감염 사고가 증가하고 있는 것과 관련, 보안 담당자들의 사전 점검 및 사고 대비 등 각별한 주의를 당부하며, 이를 대비하기 위한 보안강화를 위한 4가지 수칙을 14일 공개했다. KISA의 침해사고 신고 접수에 따르면, 기업 대상 랜섬웨어 감염 신고가 1분기 대비 약 10%가 증가한 것으로 분석됐다. 특히 보안 투자나 담당 인력이 부족한 비영리 기관의 그룹웨어 서버나 제조업, IT기업 등에서 사용 중인 네트워크 연결 저장 장치(Network Attached Storage, 이하 NAS)를 대상으로 피해가 집중적으로 발생하고 있는 것으로 파악됐다. KISA가 관련 침해사고 원인을 분석한 결과, 공격자는 주로 접근제어 정책 없이 쉬운 관리자(시스템, DB) 계정이나 최신 운영체제, 애플리케이션 업데이트가 적용되지 않은 그룹웨어 서버나 NAS를 랜섬웨어에 감염시키는 것으로 확인됐다. 특히, 최근 피해가 발생한 기업 대부분은 동일한 네트워크망에 백업 데이터를 저장하고 있어 피해의 심각성이 커지고 있는 것으로 확인됐다. 이를 예방하기 위해서 KISA는 4가지 보안수칙을 공개했다. 첫째, 중요 시스템의 외부 접속 관리를 강화해야 한다. 기업 자산 중 외부에 개방된 시스템 현황을 재점검하고, 불필요한 시스템 연결과 네트워크 서비스는 중지해야 한다. 또한 접근제어 정책이 없는 주요 원격 포트(22, 1433, 3389 등)는 사용을 지양해야 한다. 특히, 유지보수 등을 위한 외부 접속은 반드시 필요한 시간에만 접속을 허용해 공격 위험을 낮추는 것이 중요하며, 비정상 접속 여부에 대한 주기적인 모니터링도 병행해야 한다. 이외에도 접속 IP•단말기기 제한, 다중 인증 설정 등을 통해 사고를 예방할 수 있도록 노력해야 한다. 둘째, 중요 시스템 계정 관리를 강화해야 한다. 최초 시스템 설치 시 설정된 기본 관리자 패스워드는 반드시 추측하기 어렵고, 복잡도가 높은 패스워드로 변경한 뒤 사용해야 하며, 사용하지 않는 계정은 삭제하거나 비활성화해야 한다. 또 정기적인 패스워드 변경과 사용자가 소유•관리하는 다중 인증 수단 적용도 검토가 필요하다. 셋째, 사내 공용 NAS를 사용하는 경우 설치 후에는 반드시 복잡한 관리자 패스워드를 설정하고, 최신 OS, 애플리케이션 업데이트를 유지해야 한다. NAS를 사용하는 기업에서 제조사가 설정한 기본 패스워드를 변경하지 않고 사용해 외부 불법 접속으로 감염되는 다수의 사례가 발견됐기 때문이다. 또 NAS 운영 시 인터넷을 통한 직접 접속은 지양하고, 사내망에서만 운영하며, 접속할 수 있는 IP•계정 권한을 최소화해야 한다. 마지막으로, 랜섬웨어 감염 시 가장 중요한 것은 백업 관리와 복구 훈련 강화다. 최근 발생한 온라인 서점 랜섬웨어 감염 피해복구 사례에서도 알 수 있듯, 중요 데이터는 반드시 오프사이트(클라우드•외부 저장소•오프라인)에 보관하고, 보관 데이터의 분기별 복구 모의훈련을 통해 백업 데이터와 복구 체계를 검증해야 한다. 랜섬웨어 감염 사고와 관련한 보안수칙 등 보다 자세한 사항은 KISA 보호나라 누리집(www.boho.or.kr)에서 알림마당 → 보안공지에서 확인할 수 있다. 이동근 KISA 디지털위협대응본부장은 “최근 기업을 노린 랜섬웨어 사고가 증가하고 있어, 이에 대한 철저한 대비와 신속한 복원을 위한 백업 체계 구축이 필요하다"면서 KISA가 공개한 데이터 백업 8대 보안 수칙 준수를 당부했다. 이 본부장은 “KISA는 앞으로도 사이버 침해사고 예방과 피해 확산 방지를 위한 노력은 물론, 신속한 피해복구와 재발 방지에 주력해 더욱 안전한 사이버 환경을 조성하겠다”고 밝혔다.
