스마일 서브
호스팅/클라우드 관리자, 랜섬웨어 대비 운영 지침서
– 무작위 대입으로 일반 사용자 노려
– 금전 취득을 목적으로 한 악의적 범죄, 랜섬웨어
– 공격대상, 기업에서 일반으로 이동 中
[2017년 11월 06일] – 또다시 랜섬웨어 공격이 탐지되었습니다. 지난 6월에 발생한 대규모 공격 후유증이 채 가시기도 전에 재발한 사건이라 상당한 여파가 예고된 상태입니다. 당시 사건으로 5천여 개의 웹 사이트가 마비되며 적잖은 손실로 이어졌고, 복구에 상당 시간이 소요되었습니다. 호스팅 업계도 일제히 두 팔을 걷어 올리고 복구에 힘을 모았고 사태는 진화되는 듯 보였습니다.
하지만 하루 전인 11월 6일 새벽 3시경, 또다시 재발하였습니다. 서버호스팅 업체가 랜섬웨어 공격을 탐지하고 관련 기관에 신고를 접수하면서 우려가 현실이 된 것입니다. 랜섬웨어는 엄폐·은폐에 능한 데다가 고도로 지능화한 공격이라 탐지도 쉽지 않습니다. 간신히 탐지되었다 싶으면 새로운 변종이 등장해 활동을 재계하며 기존 대응 방법을 무용지물로 만들기 때문에 100% 대응이란 존재하지 않습니다.
따라서 한 번 공격받은 대상은 재 타깃이 될 확률이 높습니다.
하지만 이번 공격은 기존과는 다른 패턴으로 진행이 되었습니다.
● 사이버 인질극 랜섬웨어 각별한 주의 필요
랜섬웨어에 대해 각별한 주의가 요구되는 이유는 분명합니다. 오늘날 사이버 인질극이라고 불리는 배경에는 랜섬웨어가 금전취득을 목적으로 한 악의적 공격이기 때문입니다. 먼저 관리자 계정을 갈취해 접근한 후 최근 액세스가 이뤄지고 혹은 자주 사용하며, 중요하다고 여기는 데이터를 열거한 후 이들 파일에만 접근해 암호화시킵니다.
따라서 암호화키가 없으면 실행도, 인식도 불가한 무용지물 파일이 되며, 복구를 희망할 경우 종국에는 복구 과정에 공격자와 협상을 거쳐 비트코인으로 비용 결제가 이뤄져야 하기에 금전적인 손해를 피하기 어렵습니다.
한차례 뼈아픈 경험을 거쳤기에 앞서 발생한 1차 공격에 대비해 호스팅 업계는 랜섬웨어 공격을 비롯한 사이버 공격에 대비한 가이드라인을 제시했고 지금까지의 방어 태세보다 한 단계 격상한 대응책을 세워 강도 높게 적용한 상태입니다. 이러한 노력에도 여전히 상당수 온라인 서비스가 무방비로 운영되고 있습니다. 이는 관리자 없이 운영된 관리 주체의 부재도 있지만, 상당수가 어떻게 조치를 해야 할지에 대해 모른다는 것도 중요한 이유가 되고 있습니다.
이렇게 주장하는 근거는 하루 전 발생한 사건에서도 발견되었습니다. 매월 한 차례 이상 터진 보안사고로 떠들썩한 이때 11월은 조용히 넘어가나 싶더니 기대를 저버리지 않았습니다. 해당 사건은 관련 부처에서 조사를 진행 중이라 결과를 기다려야 하지만 지금까지의 정황을 종합해 역으로 분석해보면 문제의 발단은 서비스 이용자의 관리 소홀에 있습니다.
● 무방비 방치된 서버 취약점 통해 공격 개시
‘해커는 SSH 접속을 시도했으며, 해당 서버는 접속 IP에 제한을 두지 않았다’
는 의미는 사실상 보안 조치가 미비했던 무방비로 노출된 서버였다고 볼 수 있습니다.
시큐어쉘(Secure Shell, 이하 SSH)이란 공개 키 기반 방식 암호를 이용해 원격지 시스템에 접속, 암호화된 메시지를 전송할 수 있는 인증 시스템입니다. 쉽게 말해서 원격 접속을 할 때 필요한 ID/PW입니다. 이번 공격은 SSH를 갈취해 이뤄진 것으로 해커는 무작위로 ID와 PW를 대입해 인증 절차를 무력화시킨 후 랜섬웨어를 감염시켰습니다. 즉 사용자가 관리를 소홀해 발생한 기초적인 보안사고입니다.
아울러 공격당한 호스팅 서비스도 상면랙이라고 불리는 케이지를 임대하고, 사용자가 이곳에 보유한 서버를 입주시켜 운영하는 일명 ‘코로케이션’인 만큼 관리부주의가 문제일 가능성이 높습니다. 주요 매체를 통해 “별도 백업 서비스를 이용하지 않는 경우 자체적으로 보유한 백업 본을 이용해 복구를 진행해야 한다.”고 알려진 것 또한 이를 방증합니다.
● 스마일서브 서비스 사용자 필수 이행 사항
그렇다면 이번 사건을 예방 또는 피해를 최소화하기 위해서는 어떻게 해야 할까요?
관리자 차원에서 준수해야 할 필수 권고 사항을 기반으로 스마일서브 환경에 맞춰 사용자께 권장하는 내용을 정리해봤습니다.
1.관리자 패스워드는 ‘특수문자, 대문자, 숫자’를 섞어 8자리 이상으로 설정
– 유추가 어렵게 알파벳 대문자와 소문자, 특수문자, 숫자의 4가지 조합
– CloudV 서비스 신청 후 발급된 기본 패스워드는 반드시 변경 후 사용
2. El-cap 등 방화벽 세팅
– 인가된 특정 IP 및 포트에 대해서만 접속이 가능하도록 설정 [ ELCAP 설정 방법 ]
– 서버內 로컬 방화벽 설정으로 접속 제한 설정
3. OTP(ONE TIME PASSWORD) 등 별도의 인증 방법을 추가 도입
– (스마트폰 인증까지 추가해 접속 시 마다 사용하도록 세팅)
4. 고정 IP를 보유 하지 않는 경우 VPN 혹은 가상 PC 를 통한 접속 권장
추가적으로 설치 된 소프트웨어 보안 업데이트는 주기적으로 확인하여 패치 하여야 하며,
중요 데이터에 대한 백업은 로컬 및 외부저장 장치로 반드시 백업하시기 바랍니다.
위 안내 사항과 관련하여 보안설정 및 취약점 점검등은 (주)스마일서브 “온라인 기술지원”을 통해
지원 받으실 수 있습니다. ( 일부 유료)
[ 온라인 기술지원 신청하기 ] [ IDCHOWTO 블로그 보기 ] [ 무료 취약점 점검 ]
우리 속담에 소 잃고 외양간 고친다는 말이 있습니다. 미연에 방지할 수 있다면 좋지만, 랜섬웨어는 지나친 보안도 안심하기에 이른 매우 치명적인 공격입니다. 게다가 금전적인 피해로 이어지기에 주요 사업자와 관리자라면 반드시 상기 내용을 인지하고 적응할 것을 권고합니다.