서버 타깃형 랜섬웨어 피해, 반드시 대비해야 합니다!

안녕하세요. 영림원소프트랩입니다.

작년에 이어 최근 고객사의 ERP서버 랜섬웨어 감염사고가 증가하고 있어 대응 가이드라인을 안내합니다. 랜섬웨어는 서버나 PC내의 파일들을 암호화하여 사용할 수 없게 하고 해커는 거액의 복구비용을 요구하는 악성코드입니다.

예전에는 보통 악성코드가 첨부된 메일이나 변조된 홈페이지, 파일공유사이트등을 통해서 사용자 PC에서 사진이나 문서등을 암호화 시켜 비트코인(가상화폐)을 요구하였으나 최근에 한국인터넷진흥원의 자료에 의하면 기업의 중요한 자료를 노리는 타깃형(APT)공격으로 확산되어 증가하고 있다고 합니다.

특히 랜섬웨어의 피해건수가 1년단위로 전년대비 2배이상 늘어나고 있고 영림원소프트랩 고객사도 작년부터 ERP서버의 피해사례가 늘어나고 있습니다.

대부분 랜섬웨어 피해가 발생하는 기업은 서버시스템을 관리하는 인력이 없거나 무방비상태로 계속 운영하다가 취약점을 통해서 감염이 됩니다. 복구를 위한 백업도 랜섬웨어에 대비한 보안백업이 아니라 전통적인 로컬디스크나 외장디스크, 접근통제가 되지 않는 NAS 백업등으로 되어 있어 백업파일까지 복구가 불가능한 상태로 빠지는 사례가 있어 심각성이 커져가고 있습니다.

랜섬웨어 피해사고가 증가함에 따라 한국인터넷진흥원(KISA)에서는 랜섬웨어 예방 5대 수칙을 아래와 같이 공지하였습니다.

특히 서버의 경우 사용자 PC와 달리 메일이나 인터넷 사용을 통한 감염이 아니라 해커가 웹서비스, 원격데스크톱(RDP), SMB등의 Windows Server 서비스 취약점을 통해서 타깃(APT)공격으로 감염시키기 때문에 ERP서버와 같은 기업내 핵심 정보시스템을 관리하는 서버운영자 또는 정보보호담당자는 반드시 취약점을 관리하고 백업이 이상 없는지 확인하여야 합니다.

자체 전산실에서 관리하지 않고 IDC에 위탁하여 서버를 관리하는 고객은 해당 IDC 서비스를 통해서 서버를 점검하고 백업상태를 체크할 수 있습니다.

영림원소프트랩은 2019년 5월부터 자체적으로 ERP서버를 배치하여 운영하는 고객사 중 서버를 관리하는 IT인력이 없는 고객대상으로 랜섬웨어 감염 예방을 위한 기본적인 취약점 점검과 안전하게 서버가 운영될 수 있도록 필요한 보안과 백업에 대한 제품과 서비스를 제안합니다.

이미 사이버위협은 국가시스템이나 대기업만이 타깃이 아니라 금전을 요구할 수 있는 중소기업을 포함한 모든 사용자도 랜섬웨어와 같은 사이버위협에 노출되어 있습니다.

ERP 서버를 안전하게 운영할 수 있도록 고객담당자께서는 관심과 투자를 지속적으로 해야 성공적인 비즈니스를 이어갈 수 있을 것입니다.

랜섬웨어에 대한 자세한 예방과 대응방안은 한국인터넷진흥원(KISA)에서 공지한 가이드라인을 참고하시기 바랍니다.

자체 예방과 대응이 어려운 고객은 영림원소프트랩 담당자를 통해서 기본적인 취약점 점검과 보안, 백업을 보완하시기 바랍니다. 점검 신청은 메일(se@ksystem.co.kr)이나 서비스등록을 통해서 접수 받습니다. 별도 신청양식은 없으며 고객사명, 담당자명, 연락처를 남겨주시면 전화로 기본 운영환경을 파악하고 점검하도록 하겠습니다.

# 첨부1 : 랜섬웨어_대응_가이드라인.pdf

# 첨부2 : 랜섬웨어_대응을_위한_안전한_정보시스템_백업_가이드.pdf