[데일리시큐]SGI서울보증·웰컴금융그룹·롯데카드 등 연이은 금융권 침해사고…긴급 점검해야 할 부분은?

내용 요약

한국 금융권이 연쇄 랜섬웨어 공격에 직면하면서, 핵심 전산과 백업·DR(Disaster Recovery) 시스템이 동시에 타격을 입은 상황이다. 기업은 랜섬웨어 대응, 백업 신뢰성, DR 절차를 재점검해 사고 대응능력을 강화해야 한다.

핵심 포인트

• 랜섬웨어 대응 체계: 탐지·격리·복구 단계별 대응 프로세스가 필요하다.
• 백업과 DR 신뢰성: 정기적 검증과 테스트를 통해 복구 시간과 복구 지점을 보장해야 한다.
• 엔드포인트 보호와 네트워크 분할: 차단점과 접근 제한을 강화해 감염 확산을 막는다.

기술 세부 내용

1️⃣ Ransomware (랜섬웨어)

• 공격 흐름
  1. 침투 – 피싱 이메일, 취약점 Exploit 등으로 초기 접근.
  2. 수정·배포 – 악성코드가 로컬/원격 명령을 통해 파일을 암호화.
  3. 요구 – 암호화된 파일을 복호화하기 위해 금전 요구.
• 방어 전략
  • Zero‑Trust: “신뢰하지 말고 항상 검증” 원칙 적용.
  • Micro‑segmentation: 각 서비스 별 네트워크 분할로 lateral movement 제한.
  • Endpoint Detection & Response (EDR): 실시간 모니터링 및 자동 격리 기능 활용.
• 복구 단계
  1. 격리 – 감염된 호스트를 네트워크에서 분리.
  2. 백업 복구 – 최신 클린 백업에서 복원.
  3. 포스트‑보안 – 취약점 패치, 보안 정책 강화.

2️⃣ Backup & Disaster Recovery (백업·DR)

• 백업 구조
  • 온프레미스 + 클라우드 하이브리드: 온프레미스에서 주 백업, 클라우드에 이중 백업 저장.
  • 증분/차등 백업: 저장 공간 및 비용 절감.
• 검증 절차
  • 정기적인 복구 테스트: 최소 월 1회, DR 환경에서 실제 복구 수행.
  • Restore Point Objective (RPO) / Recovery Time Objective (RTO): 비즈니스 연속성에 맞춰 명확화.
• DR 아키텍처
  • Geographically 분산: 동일 지역 내 장애 시 클러스터 재배치가 불가능하므로 별도 지역으로 DR 사이트 구성.
  • 무중단 전환: DNS 라우팅, 클라우드 기반 오토스케일링 활용해 자동 전환.
• 실제 사례
  • SGI 서울보증은 랜섬웨어 발생 시 백업과 DR이 동시에 타격을 입었으나, “주요 업무 재개”가 3일 만에 가능했다. 이는 주기적 DR 테스트와 복구 프로세스 문서화 덕분이다.

3️⃣ Endpoint Protection & Patch Management (엔드포인트 보호·패치 관리)

• 주요 포인트
  • 최소 권한 원칙: 사용자 권한을 업무에 꼭 필요한 최소 범위로 제한.
  • 자동 패치: 운영체제·애플리케이션 최신 보안 패치를 자동으로 적용.
  • 사고 대응 툴: EDR과 통합된 자동화 스크립트로 초기 대응 속도 향상.

이와 같은 세 가지 영역을 체계적으로 점검하고, 정기적인 시나리오 기반 테스트를 통해 비상시 대응 시간을 최소화하는 것이 기업 보안 역량 강화의 핵심이다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=169327