내용 요약
Personal Data Protection Committee는 자산운용사들의 개인정보 유출 사건을 조사 중이다.
연구 대상은 IT 서비스 업체 ㈜지제이텍이 운영하는 파일 서버이며, 랜섬웨어 감염으로 임직원 데이터가 외부에 유출된 것으로 보인다.
조사에서는 감염 경로, 데이터 유출 방법, 대응 절차를 집중적으로 검토한다.
핵심 포인트
- 랜섬웨어 감염: 파일 서버가 암호화된 후 관리자 접근이 차단된 사례.
- 데이터 유출 경로: 암호화 전/후 파일이 외부 네트워크로 전송된 가능성.
- 조사 절차: 사고 인지 → 증거 확보 → 원인 분석 → 피해 규모 산정 → 복구 및 재발 방지 대책 수립.
기술 세부 내용
1️⃣ Ransomware Attack on File Server
1️⃣ 감염 시작 – 악성 매개체(피싱 메일, 취약점 이용 등)가 파일 서버에 침투.
2️⃣ 암호화 프로세스 – ransomware는 파일 시스템에 접근해 *.docx, *.xlsx, *.xlsx 등 주요 파일을 암호화.
3️⃣ 명령‑제어 연결 – 서버가 C&C 서버와 통신, 암호화 키 배포 및 요구 금액 정보를 받음.
4️⃣ 암호화 완료 – 사용자는 “파일이 복구되지 않음” 메시지를 받으며, 서버는 비정상적 트래픽을 발생시켜 관리자가 정상 운영 불가.
5️⃣ 대응 시점 – 감염 징후(파일 확장자 변동, 파일 접근 차단)를 신속히 탐지하고, 네트워크 격리와 백업 복원을 준비.
2️⃣ Data Exfiltration via Compromised File Server
1️⃣ 접근 권한 악용 – 해커가 관리자 혹은 임직원 계정 권한을 탈취, 파일 공유 폴더에 접근.
2️⃣ 데이터 스니핑 – 파일 전송 프로토콜(FTP, SMB, HTTP 등)을 가로채거나, RDP 세션을 통해 파일 복사.
3️⃣ 외부 전송 – 암호화된 파일을 클라우드(예: AWS S3) 혹은 외부 서버로 업로드.
4️⃣ 추적 불가능 – 랜섬웨어 자체가 로그를 삭제하거나, 스니핑 시 암호화된 패킷을 전송해 추적을 어렵게 함.
5️⃣ 사후 분석 – 포렌식 도구(FTK, EnCase)로 증거를 수집하고, 유출 범위와 데이터 종류를 파악하여 피해 규모를 산정.
이 두 기술적 요소를 이해하면, 자산운용사의 파일 서버 보안 강화와 사고 대응 방안을 체계적으로 설계할 수 있다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=200785
'보안이슈' 카테고리의 다른 글
| [데일리시큐][KCSCON 2025] 엔키화이트햇 천호진 팀장 “작은 부주의가 해커에게 길을 열어준다” (0) | 2025.09.23 |
|---|---|
| [데일리시큐]개인정보보호, 국정과제로 격상…“피해 규모에 비례해 과징금” (0) | 2025.09.23 |
| [데일리시큐][KCSCON 2025] 윤영 대표 "보안 장비도 무용지물…중국 해킹그룹, 패치안된 취약한 장비 파고든다” (0) | 2025.09.23 |
| [보안뉴스]기업 해킹 ‘정부 조사권 강화’ 본격화...“질타 아닌 ‘지원’ 초점둬야” 목소리↑ (0) | 2025.09.23 |
| [데일리시큐]김민석 총리 “기업 신고 없어도 직권조사”…정부, 해킹 재발 막기 위해 보안 대책 총력 (0) | 2025.09.23 |