랜섬웨어 대응 보안 강화 가이드
사이버 위협으로부터 조직의 자산을 보호하기 위한 관리자 지침
개요
최근 국내외적으로 랜섬웨어 위협이 지속되고 있으며, 특히 사내 그룹웨어와 네트워크 연결 저장 장치(NAS) 등에 대한 피해가 증가하고 있습니다. 이에 따라 보안 담당자의 선제적인 시스템 점검 및 철저한 대비가 필수적입니다.
주요 사고 사례
서버 감염
- AD 등 중앙관리 솔루션의 계정, 권한 관리 미흡
- 웹 및 OS의 최신 보안 취약점 미조치
- 원격 포트(
22,1433,3389) 접근 제어 미흡 - 초기 설정된 기본 계정/패스워드 변경 없이 사용
PC 감염
- 이력서, 견적서 등으로 위장한 악성 이메일 첨부파일 실행
- P2P, 불법 사이트에서 다운로드한 위장 파일 실행
- 보안에 취약한 구버전 브라우저로 악성 웹사이트 방문
NAS 감염
- 공장 출하 시 설정된 기본 관리자 패스워드 사용
- 인터넷에 직접 노출 및 접근 제어 정책 부재
- 펌웨어 보안 업데이트 미적용
핵심 대응 방안
1. 외부 접속 관리 강화
점검 및 차단
- 외부에 공개된 불필요한 시스템(테스트/유휴 서버 등) 연결 차단
- 불필요한 네트워크 서비스 중지 및 기본 서비스 포트 사용 지양
- 유지보수 목적의 외부 접속은 필요 시에만 한시적으로 허용
허용 시 보안 조치
- 접속 IP 및 단말기기 제한, 다중인증(MFA) 설정 필수
- 서버별 접근제어를 통한 내부망 이동 차단
- 비정상 접속(해외, 심야시간 등) 여부 주기적 로그 분석
2. 계정 관리 강화
패스워드 정책
- 최초 설치 시 기본 관리자 패스워드 즉시 변경
- 영문 대/소문자, 숫자, 특수문자 조합하여 복잡도 강화
- 주기적인 비밀번호 변경 정책 적용
권한 및 인증 관리
- 사용하지 않는 기본 관리자 계정 비활성화
- 패스워드 외 2차 인증수단(MFA) 적용
- 원격 접속 계정 정보를 평문으로 저장 금지
3. 백업 관리 강화
많은 피해 기업이 백업 데이터까지 함께 암호화되어 복구에 실패합니다. 오프라인 백업이 중요합니다.
- 물리적 분리: 중요 자료는 네트워크와 분리된 별도 저장소(오프라인)에 정기적으로 백업
- 3-2-1 원칙 준수: 3개의 복사본을 2개의 다른 미디어에 저장하고, 그 중 1개는 오프사이트에 보관
- 클라우드 백업: 클라우드 저장 데이터도 랜섬웨어 감염에 대비하여 별도 백업 수행 및 이중 인증 적용
- 복구 테스트: 정기적인 백업 데이터 복구 모의훈련을 통해 복구 계획의 유효성 검증
4. 이메일 보안 강화
사용자 수칙
- 출처가 불분명한 이메일 및 첨부파일 열람 절대 금지
- 메일 본문의 의심스러운 URL 주소 클릭 자제
- 문서 아이콘으로 위장한 실행파일(
.exe,.scr) 주의
관리자 조치
- 이메일 보안 솔루션(ATP, 스팸 차단 등) 도입 및 최신 정책 유지
- 비인가 계정 등록 및 비정상 로그인 시도 모니터링
- 시스템 계정정보 등 민감정보 평문 발송 금지 정책 적용
5. 시스템 및 환경 보안 강화
Active Directory 환경
특권 관리자 계정은 최소한으로 사용하고, 접속 경로 통제 및 비정상 행위(서비스 설치 등)에 대한 중앙 모니터링을 강화해야 합니다.
NAS 보안
인터넷을 통한 직접 접속을 차단하고 사내망에서만 운영하는 것을 원칙으로 합니다. 자동 업데이트를 활성화하여 항상 최신 펌웨어를 유지하세요.
기타 공통 사항
- OS 및 모든 S/W는 자동 업데이트를 활성화하여 항상 최신 보안 패치 적용
- 백신(Anti-Virus)을 설치하고 최신 버전의 엔진 및 패턴 유지
- 업무용 PC에는 불필요한 P2P, 원격제어 등 S/W 설치 금지
'Security' 카테고리의 다른 글
| 국가망 보안체계 가이드라인 (2) | 2025.08.27 |
|---|---|
| APT 공격 심층 분석 및 대응 가이드 (0) | 2025.08.22 |
| 중소기업 침해사고 피해지원 서비스 동향 보고서 (0) | 2025.08.21 |
| 2025 상반기 사이버 위협 동향 리포트 (5) | 2025.08.19 |
| WAF : Request Header Filtering, User-Agent 제어방법 (5) | 2025.08.06 |