송유관 업체 감염 사태로 보는 기업의 보안 대책

이전 글인 "송유관 업체 랜섬웨어 감염 사례"에서 미국의 송유관 업체인 콜로니얼 파이프라인 사에서 발생한 랜섬웨어 감염 사례에 대해 자세히 설명드렸던 적이 있었는데요. 다른 보안사고와 비슷하게 해커에게 돈을 주고 데이터를 복호화하고, 운영을 정상화 하는 것으로 마무리 될 줄 알았죠. 그런데 바이든 대통령이 나서서 이 사태에 대해 언급을 했다 하니, 이 사건이 생각보다 큰 파장을 일으킨 것 같습니다. 정부 차원에서 보안 강화를 위한 행정 명령까지 발표했다고 하는데, 오늘은 랜섬웨어를 예방하기 위해 기업에게 권고한 보안 대책에 대해서 설명드리겠습니다.

​

그래서 이번에는 기사에서 나오는 9가지 보안 대책에 대해 하나씩 인용하면서 세부적인 내용을 말씀드릴텐데, 사실 이건 기업 뿐만 아니라 집에서 PC를 사용할 때도 권고되어야하는 항목이라고 볼 수 있습니다. 그럼 한 가지씩 말씀드리면서 개인 PC에서도 적용해야 하는 부분에 대해 부연 설명을 덧붙여보도록 하죠.

​

1. 중요 파일 및 문서 등은 네트워크와 분리된 정기적인 오프라인 백업 권고

이 항목에서 말하고자 하는 건 결국 중요한 정보를 백업을 하자는 겁니다. 어느 정도 규모가 되는 기업에서는 내부망이라고 하는 폐쇄된 네트워크를 별도로 두어 업무를 보는데, 마찬가지로 회사의 기밀 정보들은 인터넷이 연결되지 않는 스토리지에 저장을 해야 안전하겠죠. 개인의 경우는 중요한 파일들을 압축하고 패스워드를 걸어서 PC가 아닌 클라우드나 또는 외장 하드에 별도로 보관하는 방법이 있을 겁니다.

​

2. 피싱 메일이 최종 사용자에게 전달되지 않도록 강력한 스팸 필터링 적용

이 항목은 기업에서 내부적으로 메일 서버를 운영할 때, 보통 보안 솔루션을 통해서 적용이 될 수 있을텐데요. 기업을 타겟으로 하는 스피어 피싱 등의 공격이 많기 때문에, 첨부파일에 실행파일이 존재하거나 문서형 악성코드가 존재하는 경우 이를 필터링 해야겠죠. 개인의 입장에서는 네이버나 구글 등 공신력 있는 메일 서버를 사용하는 것만으로 충분할 것으로 생각됩니다.

​

3. 메일에 첨부된 악성 첨부파일이나 악성 링크를 클릭하지 않도록 직원들에게 전파

이 항목의 경우 직원들의 보안 교육과 관련된 거라고 말씀드릴 수 있습니다. 기업에서 ISMS(정보보호관리체계) 인증 심사를 받을 때도, 직원들의 인식 제고를 위해 보안 교육이 이루어지는지를 체크하죠. 사실 기업 내 보안 솔루션이 잘 적용되어도 어느 정도 한계가 있기 때문에, 직원들도 이에 대한 위험성을 인지하고 인식이 개선되어야 같이 시너지를 낼 수 있는 부분이라고 생각합니다. 제가 에세이를 쓰면서 계속 강조했던 부분이기도 하고요. 기업에서 뿐만 아니라 개인의 경우도 마찬가지로, 아무리 평범해 보이는 메일이라도 항상 의심하는 습관을 들여야할 것 같습니다.

​

4. 원격 네트워크 접속시 허용된 사용자와 단말기만 접근 가능하도록 설정하고 OTP 등을 통한 다단계 인증 적용

코로나로 인해 재택근무가 확대되면서 VPN을 사용하여 원격으로 업무를 보는 일이 많아졌죠. VPN을 사용하더라도 사용자 인증을 위한 아이디와 패스워드를 잘 관리해야하며, 보통 단말기의 MAC 주소로 필터링하여 접근제어를 수행하기 때문에 전용 단말기를 잃어버리지 않도록 조심해야합니다(MAC 주소는 인터넷을 연결하기 위한 랜을 연결하는 PC 내 LAN 카드의 주소라고 생각하시면 됩니다). 그리고 기업뿐만 아니라 개인도 마찬가지로 별도의 스마트 기기를 이용한 OTP나 보안코드를 추가로 인증하는 2차 인증도 필수적으로 해야겠죠.

​

5. 업무망과 인터넷망을 분리하여 운영하고, VPN 사용시 인터넷망과 업무망을 동시에 사용할 수 없도록 설정

이 항목도 1번에서 이야기한 것과 비슷한 맥락으로 인터넷망과 업무망을 별도로 두어 운영하자는 의미입니다. 인터넷 브라우저의 취약점을 이용하여 접속만 해도 악성코드가 자동으로 실행되는 케이스가 존재하기 때문에, 인터넷망과 업무망이 같이 공존한다면, 워너크라이처럼 네트워크로 전파되는 랜섬웨어에 걸리는 순간 그 기업은 끝장나는거죠. 그렇기 때문에 VPN을 사용하더라도 인터넷망과 업무망을 나눠서 업무를 보도록 해야합니다.

​

6. 사용하지 않는 네트워크 서비스는 비활성화하고, 내부 서버 간 원격접속이 불가능하도록 접근제어 설정

운영체제를 처음 설치하면 우리가 설정하지 않더라도 기본적으로 실행이 되는 서비스가 존재합니다. 워너크라이 랜섬웨어는 윈도우 운영체제에서 기본적으로 실행되는 파일 공유를 위한 서비스인 SMB(Server Message Block)의 취약점을 이용하여 랜섬웨어를 전파시켰죠. 그렇기 때문에 기본적으로 사용하지 않는 서비스 포트들은 모두 비활성화해야하고 또한 내부 서버 간에도 원격 접속을 막아야 합니다. 만약 한 서버가 해커에게 제어권이 넘어갔을 때 다른 서버에 원격 접속이 가능하다면, 더 큰 피해를 입을 수 있겠죠. 개인의 경우도 마찬가지로 사용하지 않는 서비스의 포트들을 모두 차단할 필요가 있을 거고, 원격 접속 프로그램이 설치되어 있다면 사용하지 않을 때는 꺼두는 습관이 필요할 것 같습니다.

​

7. 운영체제, 어플리케이션, 펌웨어 등을 포함한 소프트웨어의 최신 보안 업데이트 적용

이 항목은 딱히 더 설명드릴 필요가 없을 것 같습니다. 모든 운영체제와 프로그램들에서 취약점으로 인한 피해를 최소화하기 위해 최신으로 유지해야 하는건 이미 다들 알고있는 사실이죠. 보통 정품을 사용하지 않아서 최신 패치를 받지 못하는 경우가 있는데, 기업이든 개인이든 이로 인해 발생하는 사고는 어쩔 수 없습니다. 심지어 특정 버전의 운영체제를 새로 설치하면 제일 먼저해야하는 일이, 기존의 보안 업데이트를 모두 패치하는 것부터 시작하기 때문에 웬만하면 정품을 사용하고 운영체제나 프로그램을 꼭 최신으로 유지해야 하겠죠.

​

8. 신뢰할 수 있는 백신을 설치(최신버전 유지, 실시간 감지 적용 등)하고 정기적으로 검사 진행

7번과 마찬가지로 백신을 설치하더라도 최신 버전을 유지하는 것이 중요하다고 말하고 있죠. 백신은 보통 시그니처 기반으로 악성코드를 탐지하거나 새로운 탐지 알고리즘을 추가해야 탐지할 수 있는 경우도 존재하기 때문에, 악성코드 DB나 탐지 알고리즘 업데이트를 위해서 꼭 최신버전을 유지해야 합니다. 정품이 아닌 운영체제를 사용하고 있어 최신 버전이 아닌 경우도 백신으로 예방할 수 있는 악성코드도 존재하기 때문에, 백신을 필수적으로 설치하고 최신 버전을 유지하도록 해야겠죠. 또한 이미 파일 시스템에 숨어들어서 네트워크 리소스를 잡아먹는 악성코드가 존재한다면, 백신의 정밀 검사를 통해서 해당 악성코드를 제거할 수도 있습니다. 그렇기 때문에 기업 뿐만 아니라 개인도 백신을 필수적으로 설치해야 합니다.

​

9. 자료유출에 대비해서 DRM 등 문서암호화 보안솔루션 도입 권고

DRM(Digital Rights Management)은 디지털 저작권 관리 프로그램인데, 일반적으로는 문서가 암호화 되어 있다가 인가된 사용자만 해당 문서를 볼 수 있게하는 보안 솔루션입니다. 규모가 큰 기업에서는 대부분 DRM을 도입해서 사용하고 있죠. 이를 사용하면 기밀정보가 외부로 반출되더라도 유출될 가능성이 적어지고, 내부자 공격으로 인해 문서가 유출된 경우 워터마킹을 통해서 누가 유출했는지도 알 수 있습니다. DRM에 대한 좀 더 자세한 내용은 추후 다루도록 하고, 개인의 경우는 워드나 PDF, 한글 문서에 패스워드를 거는 것으로 충분히 개인적인 문서를 보호할 수 있을 것으로 생각합니다.

 

美 송유관 감염 사태로 더 커진 랜섬웨어 공포! 기업의 9가지 보안대책은?

 

 

여기까지 랜섬웨어 예방을 위해 기업이 지켜야할 보안 대책과 함께, 개인 사용자가 적용하면 PC를 더욱 안전하게 보호할 수 있는 내용에 대해 정리해봤습니다. 랜섬웨어가 동작하는 원리와 최근 트렌드에 대해 먼저 자세히 다뤄야했는데, 어쩌다보니 예방 대책부터 다루게 되었는데요. 사실 중요도로 따지면 예방책이 더 중요하기 때문에 오늘 말씀드리는 내용은 꼭 숙지하시고 실천하셨으면 합니다. 긴 글 읽느라 고생하셨구요. 그럼 오늘은 여기서 마치도록 하겠습니다. 감사합니다.