내용 요약

한국인터넷진흥원(KISA)은 추석 연휴를 앞두고 랜섬웨어와 스미싱 등 사이버 공격이 급증하는 시기, 보안 관리자 부재와 정부시스템 화재를 악용한 사칭 공격에 대비하도록 권고했습니다.
KISA는 보호나라 사이트를 통해 보안 공지를 발행하며, 보안 인프라를 강화하고 사용자 교육을 강화해야 한다는 메시지를 전달했습니다.

핵심 포인트

  • 연휴 대비: 보안 관리자가 부재한 기간에 공격이 집중될 수 있으므로, 자동화와 모니터링을 강화해야 함.
  • 랜섬웨어와 스미싱 대응: 백업 전략, 의심 메시지 차단, 인시던트 대응 플랜을 사전에 수립해야 함.
  • 사칭 공격 주의: 정부시스템 화재와 같은 공공 이슈를 이용한 사칭 공격이 늘어나므로, 인증 절차와 사용자 교육이 필수적임.

기술 세부 내용

1️⃣ 랜섬웨어 (Ransomware)

개념

랜섬웨어는 악성코드가 시스템 파일을 암호화하고 금전적 대가(암호화 해독키)를 요구하는 악성 프로그램입니다.
- 전파 방식: 주로 스팸 이메일, 악성 첨부파일, 피싱 링크, 취약한 원격 데스크톱(RDP) 서비스 등을 통해 확산됩니다.
- 암호화 알고리즘: 현대 랜섬웨어는 AES‑256 같은 대칭키와 RSA 같은 공개키 암호를 조합해 파일을 암호화합니다.

단계별 방어 전략

  1. 사전 예방
    • 패치 관리: 운영체제와 애플리케이션에 대한 최신 보안 패치를 즉시 적용합니다.
    • 권한 최소화: 사용자는 업무에 필요한 최소 권한만 부여받도록 합니다. RDP나 SMB 같은 원격 서비스는 필요 시에만 활성화하고, MFA를 적용합니다.
    • 파일 검증: 이메일 첨부파일은 항상 보안 솔루션(AV, sandbox)에서 검사합니다.
  2. 백업
    • 오프라인 백업: 주기적으로 데이터를 오프라인 매체(USB, NAS)나 클라우드에 백업합니다.
    • 백업 무결성 검사: 복구 테스트를 정기적으로 수행해 백업이 실제로 복구 가능한지 확인합니다.
  3. 감지 및 경보
    • EDR(Endpoint Detection & Response): 파일 무결성 모니터링, 프로세스 분석, 네트워크 흐름 분석을 통해 비정상적인 암호화 활동을 실시간 탐지합니다.
    • SIEM(로그 관리): 파일 접근 로그, 사용자 활동 로그를 집계해 비정상 패턴을 시각화합니다.
  4. 대응
    • 격리: 감염이 확인되면 즉시 해당 장치를 네트워크에서 분리합니다.
    • 제거: EDR 혹은 수동으로 악성 프로세스를 종료하고 레지스트리, 서비스, 실행 파일을 정리합니다.
    • 복구: 백업 데이터를 이용해 시스템을 복구하고, 암호화된 파일은 복구를 시도합니다.
    • 보안 포스트‑인시던트 분석: 공격 경로, 피해 규모, 대응 시간 등을 분석해 향후 방어 체계를 개선합니다.

KISA의 권고 사항

  • 보호나라(보안공지) 활용: KISA가 제공하는 보안 가이드라인, 취약점 정보, 최신 랜섬웨어 변종 정보를 정기적으로 확인합니다.
  • 연휴 대비 자동화: 연휴 기간에 보안 관리자가 부재할 경우, EDR과 SIEM 경보를 자동으로 운영팀에 전송하도록 설정합니다.

2️⃣ 스미싱 (Smishing)

개념

스미싱은 SMS(문자 메시지)를 통해 피싱 공격을 수행하는 방식으로, 사용자에게 악성 링크를 클릭하거나 개인정보를 입력하도록 유도합니다.
- 전파 방식: 휴대폰 번호를 대량 수집해 스팸 SMS를 전송하거나, 사기 사이트에서 휴대폰 번호를 유출해 맞춤형 메시지를 발송합니다.
- 주요 수법: 은행 거래 확인, 보안 알림, 공공 서비스 안내 등으로 가장하고, 악성 URL 또는 QR코드를 포함합니다.

단계별 방어 전략

  1. 수신 필터링
    • SPF, DKIM, DMARC는 이메일에 적용되지만, SMS에서는 SMF(SMS Message Format)SMS Spam Detection 기술을 활용해 스팸을 필터링합니다.
    • MMS/OTC 차단: 기업 모바일 장치 정책에 따라 불필요한 MMS, OTT(Over‑the‑Top) 앱 사용을 제한합니다.
  2. 교육 및 인식
    • 시뮬레이션 훈련: 정기적으로 스미싱 시뮬레이션 메시지를 배포해 직원들이 링크를 클릭하기 전에 의심하도록 유도합니다.
    • 안전한 링크 사용: 링크가 짧은 URL(예: bit.ly)이라면 클릭 전에 URL 검증 도구를 사용하도록 권장합니다.
  3. 기술적 차단
    • URL 스캐닝: SMS Gateway가 수신되는 메시지를 분석해 악성 URL을 탐지하고 차단합니다.
    • QR 코드 스캐닝: 모바일 기기에서 QR 코드를 스캔하기 전에 QR Scanner 앱이 안전성 여부를 확인하도록 합니다.
  4. 응답 프로세스
    • 신고 체계: 직원이 스미싱 메시지를 수신하면 즉시 IT 보안팀에 신고하도록 하고, 내부 전자메일 또는 협업 툴(Teams, Slack)에 신고 채널을 마련합니다.
    • 포렌식: 수집된 SMS 데이터를 분석해 공격 패턴, 발신자 번호, 메시지 내용 등을 정리해 향후 대응에 활용합니다.

KISA의 권고 사항

  • 보호나라(보안공지) 스미싱 예방 가이드를 통해 최신 스미싱 수법과 대응 방안을 숙지합니다.
  • 정부기관 사칭에 대한 주의: 예를 들어, 추석 연휴에 정부기관 화재가 발생하면 사칭 메시지가 증가할 수 있으므로, 공공기관 공식 채널(웹사이트, 전자정부)에서 공지 사항을 직접 확인하도록 권고합니다.

3️⃣ 사칭 (Impersonation) 공격

개념

공공기관이나 기업을 사칭해 피싱, 스미싱, 악성 링크를 전달하는 공격입니다. 최근에는 실제로 발생한 시스템 화재나 사고를 악용해 신뢰성을 부여하는 경우가 많습니다.

단계별 방어 전략

  1. 인증 강화
    • MFA(Multi‑Factor Authentication): 사칭 메시지나 링크를 통해 로그인 시도 시 추가 인증을 요구합니다.
    • 디지털 인증서: 공공기관은 전자서명, TLS/SSL 인증서를 사용해 공식 사이트임을 확인할 수 있게 합니다.
  2. 공식 채널 검증
    • URL 검증: 사칭 사이트는 도메인에 비슷한 변형(예: bank.com 대신 bank1.com)을 사용합니다. 사용자에게 공식 도메인을 재확인하도록 교육합니다.
    • 공식 모바일 앱: 공공기관이 자체 모바일 앱을 제공하는 경우, 앱스토어에서 공식 앱인지 확인하고, 사칭 앱은 설치하지 않도록 안내합니다.
  3. 보안 공지 활용
    • KISA 보호나라: 사칭 공격에 대한 최신 사례와 대응 방안을 제공하므로, 정기적으로 확인합니다.
    • 정부보안포털: 공공기관에서 사칭 공격이 발생했을 때 즉시 보안 공지를 게시하고, 사칭 메시지를 신고할 수 있는 창구를 마련합니다.
  4. 내부 통신 보안
    • 암호화된 메신저: 기업 내부 커뮤니케이션(Teams, Slack)은 TLS 1.3과 같은 강력한 암호화 프로토콜을 사용합니다.
    • 보안 인프라 모니터링: 이메일, SMS, 모바일 장치에서 발생하는 이상 트래픽을 실시간으로 감지합니다.

4️⃣ 연휴 대비 보안 운영 (Holiday Security Ops)

핵심 문제

연휴 동안 보안 관리자는 부재하거나 업무량이 감소하면서 보안 모니터링이 약해집니다. 이 시기에 랜섬웨어, 스미싱, 사칭 공격이 집중될 수 있습니다.

방어 전략

  1. 자동화된 모니터링
    • SIEM 자동 경보: 연휴 기간에는 자동화된 경보를 강화해, 비정상 이벤트를 실시간으로 알림(Slack, SMS, 이메일)합니다.
    • EDR 자동 격리: 특정 악성 행위가 감지되면 자동으로 장치를 네트워크에서 분리합니다.
  2. 비상 연락 체계
    • 핫라인: 보안 팀 비상 연락처를 전사에 공지하고, 연휴 시에도 24시간 대응이 가능하도록 합니다.
    • 예방 연락: 주요 시스템 담당자가 연휴 전 마지막 점검을 마치고, 비상 연락을 받으면 즉시 대응하도록 프로세스를 마련합니다.
  3. 포스트‑휴가 리뷰
    • 연휴가 끝난 후, 모든 로그와 경보를 재검토해 누락된 이벤트가 없는지 확인합니다.
    • 연휴 중 발생한 사건이 있다면 포스트‑인시던트 분석(Root Cause, Lessons Learned)을 수행해 향후 개선합니다.

5️⃣ KISA 보호나라 활용 가이드

단계 내용 활용 팁
1. 공식 공지 확인 보호나라 사이트(https://www.kisa.or.kr)에서 보안 공지 섹션을 매일 확인합니다.
2. 실시간 알림 수신 이메일 알림 구독 또는 RSS 피드 구독을 설정해 신규 취약점이나 랜섬웨어 변종 소식을 즉시 받아봅니다.
3. 보안 가이드라인 다운로드 각 항목별 가이드라인(예: 랜섬웨어 대응, 스미싱 방지)을 PDF로 다운로드해 팀 내부에 배포합니다.
4. 실습 자료 활용 KISA가 제공하는 실습 자료(샘플 로그, 시뮬레이션 툴)를 활용해 교육 세션을 진행합니다.
5. 협업 포럼 참여 KISA 커뮤니티 포럼에 참여해 다른 기업과 사례를 공유하고, 최신 보안 트렌드를 학습합니다.

요약 정리

  • 랜섬웨어: 백업, 자동화된 탐지, 사전 패치와 권한 최소화가 핵심.
  • 스미싱: SMS 필터링, 링크 스캔, 인식 교육이 필요.
  • 사칭 공격: MFA, 공식 채널 검증, 보안 공지 활용이 중요.
  • 연휴 대비: 자동화 모니터링, 핫라인, 비상 대응 프로세스를 마련해야 함.
  • KISA 보호나라: 실시간 정보와 가이드, 실습 자료를 활용해 조직 보안 역량을 강화하세요.

Tip: 보안은 한 번의 설정으로 끝나는 것이 아니라, 지속적인 업데이트와 교육이 필수입니다. KISA의 자원을 적극 활용해 보안 문화를 조직 내에 정착시키는 것이 가장 큰 방어선이 됩니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139668&kind=&sub_kind=

728x90
반응형
저작자표시 비영리 변경금지 (새창열림)

'보안이슈' 카테고리의 다른 글

[KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-10-06)  (0) 2025.10.07
[데일리시큐]미 보험사·자동차 소프트웨어 기업 동시 해킹…알리안츠 라이프 149만 명, 모틸리티 76만 명 개인정보 유출  (1) 2025.10.06
[보안뉴스][IP국감] “NPE 소송 6년간 558건...소부장 피해 집중, 中企까지 타깃 확대”  (0) 2025.10.05
[데일리시큐]재규어랜드로버 해킹 피해…영국 산업 전체 공급망 위기로 이어져  (0) 2025.10.05
[보안뉴스]KISA 해킹 대응 업무 몇배 증가...담당 인력은 고작 7% 증가  (0) 2025.10.05

티스토리툴바