제조업 대상 랜섬웨어 주요 타깃: 사전 보안점검 및 대비 필요

안녕하세요. No.1 IT솔루션 전문 기업 인스피언(주)입니다. 제조업을 대상으로 한 랜섬웨어 감염 사고가 지속적으로 발생함에 따라 한국인터넷진흥원(KISA)이 철저한 사전 보안점검 및 대비를 권고했습니다. 제조업은 랜섬웨어에 감염될 경우 생산 중단을 비롯해 주요 정보 유출 등 막대한 기업 비용 손실이 발생합니다. 랜섬웨어 피해를 막기 위해서는 사전에 철저한 보안 점검과 대비가 필수적입니다. 랜섬웨어 공격 방식과 기업 보안 관리를 강화하는 방법에 대해 알아보겠습니다.

국내 랜섬웨어 지속적인 발생

한국인터넷진흥원(KISA)이 발표한 '2024년 하반기 사이버 위협 동향 보고서'에 따르면 지난해 국내에서 신고된 악성코드 감염 사례 중 80% 이상이 랜섬웨어였습니다. 국내 사이버 공격의 중심에 랜섬웨어가 자리하고 있음을 보여줍니다. SK쉴더스의 'KARA 랜섬웨어 동향 보고서'에도 이러한 경향이 확인되었습니다. 보고서에 따르면, 지난해 4분기 랜섬웨어 피해 건수는 1,899건으로 같은 해 3분기(1,318건) 대비 44% 증가했습니다. 특히 산업별 피해 현황을 살펴보면 제조업이 421건으로 가장 많은 피해를 입었으며, 그 다음으로 유통 무역 운송(197건), IT통신(189건)이 뒤를 이었습니다.

KISA와 KARA 보고서를 통해 국내에서 랜섬웨어 감염 비율이 높다는 점과 함께, 실제 피해 규모와 산업별 피해 현황을 구체적으로 확인할 수 있었습니다. 랜섬웨어 공격은 다양한 산업 분야에서 지속적으로 증가하고 있으며 특히 제조업을 주요 타깃으로 이루어졌음을 알 수 있었습니다. 랜섬웨어는 제조업 뿐 아니라 공공부문에서도 막대한 비용 손실과 신뢰도 하락 등 치명적인 영향을 미칠 수 있기 때문에 철저한 대비가 필요합니다.

랜섬웨어 공격 방식

랜섬웨어 공격 방식은 다양한 경로를 통해 기업 시스템에 침투하여 데이터를 암호화하고 금전을 요구하는 방식으로 이루어지고 있습니다. 포트 스캐닝 기법을 이용한 공격은, 공격자가 인터넷에 노출된 MS-SQL 서버를 탐색한 뒤 해당 서버의 관리자 계정(SA계정)에 대해 무차별 대입 공격(Brute-force attack)을 시도합니다. 비밀번호를 알아내는 데 성공하면 공격자는 관리자 권한으로 서버에 접근할 수 있게 되고, 이후 시스템 내부로 침투하여 랜섬웨어를 설치합니다.

앱 애플리케이션 취약점을 악용하는 방식도 있습니다. 공격자는 파일 업로드 기능이나 원격 명령 실행 취약점 등을 이용하여 악성 파일을 업로드하고 실행시킵니다. 이후 권한 상승 취약점을 악용하여 서버 전체의 제어권을 획득한 뒤 랜섬웨어를 감염시키는 방식입니다. 이러한 공격은 주로 보안 패치가 미적용된 웹사이트나 관리가 소홀한 내부 시스템을 대상으로 이루어집니다.

랜섬웨어 공격 방식 중 최근 증가하고 있는 방법은 단순히 파일을 암호화하는 것을 넘어, 내부의 민감한 데이터를 유출한 뒤 이를 공개하겠다고 협박하는 이중 갈취 방식입니다. 기업이 고객 정보나 내부 기밀 문서를 잃을 위험을 감수하기 어렵다는 점을 악용하여 공격자는 더 높은 금액을 요구하며 협박하고 있어 주의가 요구됩니다.

기업 보안 관리 강화 방안

기업이 랜섬웨어로부터 자산을 보호하기 위해서는 외부 접속 관리, 계정 관리, 백업 관리 등의 보안 강화를 철저하게 수행해야 합니다. 먼저 외부 접속 관리를 강화하는 방법으로는 보유한 자산 중 외부에 오픈된 시스템이 무엇인지 정확하게 파악하는 것이 중요합니다. 데이터베이스 서비스(DB), 네트워크 저장장치(NAS), 공유기 등과 같은 시스템이 불필요하게 외부에 노출되지 않도록 조치해야 합니다. 특히 테스트 서버나 장기간 사용하지 않은 유휴 서버는 보안 취약점이 존재할 가능성이 높으므로 반드시 연결을 차단해야 합니다.

다음으로 계정 관리를 강화해야 합니다. 시스템을 최초로 설치할 때 기본 관리자 계정의 비밀번호는 반드시 변경한 후 사용해야 하며 사용하지 않는 관리자 계정은 비활성화하고 불필요한 권한을 제거해야합니다. 비밀번호는 알파벳 대문자와 소문자, 특수문자, 숫자를 조합하여 복잡하게 설정하고 일정 주기마다 변경하는 것이 권장됩니다. 비밀번호 인증 외에도 추가적인 2차 인증을 적용해야 하고 알파벳 대문자와 소문자 특수문자 숫자를 조합한 복잡한 패스워드 사용을 철저히 해야합니다.

마지막으로 백업 관리를 주기적으로 하는 습관이 중요합니다. 중요한 자료는 단순 백업을 수행하는 것으로 충분하지 않으며 네트워크와 분리된 별도의 저장소에 정기적으로 백업해야 합니다. 클라우드 자체가 랜섬웨어에 감염될 가능성도 존재하므로 클라우드에 저장된 데이터 역시 정기적으로 백업하는 것이 필요합니다.

참고기사: https://www.dailysecu.com/news/articleView.html?idxno=164109

https://www.boannews.com/media/view.asp?idx=136275&kind=1&sub_kind=

인스피언 BizInsider SIEM의 특장점

인스피언 통합보안관리 솔루션 BizInsider SIEM은 보안 콘텐츠 제공(CTI)를 통해 다양한 최신 보안 위협 지표를 반영한 컨텐츠 업데이트를 제공하며, KISA C-TAS 위협 IP와 고객사 TI정보 연동으로 보안 위협을 탐지하는 기능을 제공합니다.

보안 위협 모니터링 대시보드를 통해 탐지 현황과 위험도 요약 정보를 실시간으로 확인할 수 있으며, 탐지된 보안 이벤트의 타임라인 분석, 자산 영향도 분석, 위협 추적 기능을 제공합니다.

보안 위협 탐지 룰 설정 시 Blockly 방식을 도입하여 사용자가 시나리오 분석 룰을 간단하게 설정할 수 있습니다. 소명 기능을 통해 정탐/오탐/과탐의 명확한 판단 기준을 설정할 수 있으며 단순 반복 작업을 최소화할 수 있습니다.

인시던트 분석 화면을 통해 탐지된 인시던트의 상세 정보를 제공하며 분석 쿼리 모니터링 화면에서는 설정된 쿼리에 따라 발생하는 인시던트를 추적하고 상세 내용을 확인할 수 있는 기능을 제공합니다. 상관분석 룰 시뮬레이션(테스트) 기능을 통해 운영망 반영 전 상관분석 룰의 정탐, 오탐, 정상 설정 여부를 검증할 수 있어 안정적이고 효율적인 룰 관리를 지원합니다.

인스피언(주) 솔루션 제품은 조달청 온라인 몰에서 구매할 수 있으며 솔루션에 대해 더욱 자세한 설명이 필요하다면 아래 홈페이지에서 문의해 주세요!