[보안뉴스]SGI서울보증 해킹 사태 후속 조치...징벌적 과징금 등 제도 개선 검토

내용 요약

금융위원회는 SGI서울보증 랜섬웨어 사태를 계기로 전 금융권의 사이버 침해사고 대비 태세를 전반적으로 점검합니다. 특히 랜섬웨어와 같은 위협에 대한 방어 체계를 강화하고, 사고 발생 시에는 징벌적 과징금 부과를 포함한 제도 개선 방안을 마련하여 금융권의 보안 책임성을 높일 계획입니다. 이는 금융 시스템의 안정성을 확보하고 고객 정보를 보호하기 위한 강력한 조치입니다.

핵심 포인트

• SGI서울보증 랜섬웨어 사건을 계기로 금융권 전반의 사이버 보안 강화가 촉발되었습니다.
• 모든 금융기관은 랜섬웨어 등 사이버 침해사고에 대한 대비 태세를 전면 점검해야 합니다. ️
• 금융위원회는 향후 사이버 침해사고 발생 시 징벌적 과징금을 부과하는 등 금융기관의 보안 책임을 강화할 예정입니다.

기술 세부 내용

1️⃣ 랜섬웨어 (Ransomware)

랜섬웨어는 "ransom(몸값)"과 "software(소프트웨어)"의 합성어로, 사용자 시스템에 침투하여 파일을 암호화하거나 시스템 접근을 제한한 후, 이를 인질 삼아 금전(주로 암호화폐)을 요구하는 악성 소프트웨어입니다.

• 개념 및 작동 원리
  • 감염 경로: 주로 피싱(Phishing) 이메일 (악성 첨부파일 또는 링크), 소프트웨어 취약점을 이용한 Exploit Kits, 악성 광고(Malvertising), RDP(Remote Desktop Protocol) 무차별 대입 공격, 불법 소프트웨어 다운로드 등을 통해 유포됩니다.
  • 침투 및 확산: 감염된 시스템에 침투하면 네트워크를 통해 내부 다른 시스템으로 빠르게 확산될 수 있습니다. 특히 네트워크 공유 폴더나 취약한 서버를 통해 전파되는 경우가 많습니다.
  • 파일 암호화: 시스템 내의 문서, 사진, 비디오, 데이터베이스 파일 등 주요 데이터를 AES, RSA와 같은 강력한 암호화 알고리즘으로 암호화하여 사용자가 접근할 수 없게 만듭니다. 암호화된 파일의 확장자를 변경하는 경우가 흔합니다.
  • 랜섬 노트 생성: 암호화가 완료되면 사용자에게 암호 해독 키를 제공하는 대가로 Bitcoin 등 특정 암호화폐를 요구하는 메시지(랜섬 노트)를 화면에 띄우거나 텍스트 파일로 생성합니다. 이 노트에는 결제 방법, 마감 시간, 미지불 시 데이터 삭제 또는 금액 증액 등의 위협이 포함됩니다.
  • 이중 갈취 (Double Extortion): 최근에는 단순히 파일을 암호화하는 것을 넘어, 암호화하기 전에 기업의 민감한 데이터를 외부로 탈취하여 공개하겠다고 협박하며 추가적인 금전을 요구하는 방식이 유행하고 있습니다. 이는 데이터 복원 여부와 관계없이 기업에 심각한 평판 및 법적 피해를 줄 수 있습니다.
• 주요 유형
  • 크립토 랜섬웨어 (Crypto-Ransomware): 가장 흔한 형태로, 파일을 암호화하여 접근을 막는 방식입니다. (예: WannaCry, Ryuk, REvil)
  • 락커 랜섬웨어 (Locker-Ransomware): 시스템 자체를 잠가 버려 사용자가 로그인조차 할 수 없게 만드는 방식입니다. (예: Reveton)
  • MBR 랜섬웨어 (MBR-Ransomware): MBR(Master Boot Record)을 변조하여 운영체제 부팅 자체를 방해하는 방식입니다. (예: Petya, NotPetya)
• 주요 피해 및 영향
  • 재정적 손실: 랜섬웨어 지불(권장되지 않음), 시스템 복구 및 재구축 비용, 법률 자문 비용, 비즈니스 중단으로 인한 매출 손실 등 막대한 재정적 피해를 초래합니다.
  • 운영 중단: 핵심 시스템 및 데이터가 암호화되거나 파괴되어 업무가 마비되고 서비스 제공이 불가능해집니다.
  • 데이터 손실: 백업이 없거나 복호화에 실패할 경우 중요한 데이터가 영구적으로 손실될 수 있습니다.
  • 평판 및 신뢰도 하락: 고객 정보 유출, 서비스 중단 등으로 기업의 신뢰도와 브랜드 이미지가 크게 손상됩니다.
  • 법적 및 규제적 문제: 개인 정보 유출 시 GDPR, CCPA 등 국내외 데이터 보호 규정 위반으로 인한 막대한 벌금이 부과될 수 있습니다. ⚖️
• 예방 및 대응 방안
  • 정기적인 데이터 백업: 중요한 데이터는 주기적으로 오프라인 또는 네트워크와 분리된 공간에 백업하고, 백업본의 무결성을 주기적으로 확인합니다.
  • 최신 보안 패치 적용: 운영체제(OS) 및 모든 소프트웨어, 애플리케이션의 보안 패치를 항상 최신 상태로 유지하여 알려진 취약점을 제거합니다.
  • 강력한 안티바이러스 및 EDR 솔루션 활용: 엔드포인트 탐지 및 대응(EDR) 솔루션을 포함한 검증된 백신 소프트웨어를 설치하고 실시간 감시 기능을 활성화합니다.
  • 이메일 및 웹 필터링 강화: 스팸 메일, 피싱 메일, 악성 웹사이트 접속을 차단하는 보안 솔루션을 도입하여 악성코드 유입을 막습니다.
  • 네트워크 분할 (Network Segmentation): 네트워크를 논리적으로 분할하여 공격자가 한 부분에 침투하더라도 전체 네트워크로 확산되는 것을 방지합니다.
  • 다중 인증 (Multi-Factor Authentication, MFA) 적용: VPN, 원격 접속, 중요 시스템 접근 시 아이디/비밀번호 외에 추가 인증(예: OTP, 생체 인식)을 의무화합니다.
  • 보안 인식 교육: 모든 직원을 대상으로 피싱 공격, 사회 공학적 기법, 의심스러운 파일 및 링크에 대한 주의 등 보안 인식 교육을 정기적으로 실시합니다. ‍
  • 접근 권한 최소화 (Least Privilege): 사용자 및 시스템에 필요한 최소한의 접근 권한만 부여하여 피해 확산 가능성을 줄입니다.
  • 침해사고 대응 계획 수립: 랜섬웨어 감염 시 신속하고 체계적인 대응을 위한 비상 계획(Incident Response Plan)을 미리 수립하고 주기적으로 훈련합니다.
  • 랜섬웨어 지불 금지: 랜섬을 지불한다고 해서 데이터 복구를 보장받을 수 없으며, 오히려 범죄 조직의 활동 자금을 제공하고 더 많은 공격을 유발할 수 있으므로 지불하지 않는 것을 권고합니다. ‍♀️

 

출처: http://www.boannews.com/media/view.asp?idx=138453&kind=&sub_kind=