최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

콜택시 마비시킨 랜섬웨어 '매스스캔' 피해 사례 급증

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.


 

7월 콜택시 콜센터 서버를 공격, 서비스를 마비시킨 랜섬웨어에 의한 추가 피해가 확산되고 있다. 서버를 주요 공격 대상으로 삼고 있어 피해 규모가 작지 않은 것으로 추정된다. 인터넷상 서버 노출을 자제하는 등 각별한 주의가 요구된다.

 

7월 콜택시 시스템을 공격한 랜섬웨어는 '매스스캔'이다. 당시 콜택시 시스템 운영사 서버 파일은 모두 'masscan'이라는 명칭으로 변환됐다. 이와 함께 '복구정보' 파일에 복호화 비용, 방법 등을 기재했다.

 

콜택시 공격을 기점으로 매스스캔에 의한 피해 사례는 빠르게 확산되고 있다. 현재 확인된 기업 피해 사례만 4건 이상이다. 제약·바이오 등 업종도 다양하다.

 

익명을 요구한 보안전문가는 “7월 콜택시 공격 이후 기업의 매스스캔 피해 사례가 연이어 확인되고 있다”며 “앞서 광범위한 공격이 진행됐고, 감염된 사례가 나오기 시작하는 것으로 보인다”고 말했다.

 

이어 “피해 사례 분석 결과, 서비스 마비나 데이터 대량 탈취 등 피해 규모를 키우려는 의도가 분명해졌다”며 “국내 피해 규모가 본격적으로 커질 가능성이 커 보인다”고 말했다.

 

최근 피해 사례를 종합하면, 매스스캔 공격은 동일 집단의 소행으로 짐작된다. 공격은 웹을 통한 마이크로소프트 SQL 서버 취약점을 기반으로 진행된다. 이미 노출된 공격 방식이다.

 

MS-SQL은 MS가 개발한 데이터베이스 서버다. 인터넷에 노출돼 있고 1433 공개포트를 사용할 경우 공격에 쉽게 노출된다. MS도 인터넷에 노출된 MS-SQL 서버에 대한 브루트포스(무차별 대입) 공격이 유행하기 시작했다고 경고한 바 있다.

 

SQL 서버 공격은 파워셸 파일인 sqlps.exe를 사용해 추가 계정을 확보한 뒤 서버를 장악하는 경우가 많다. 이후 랜섬웨어 배포 추가 공격 작업이 진행되는 것이 일반적이다. sqlps.exe를 사용하는 이유는 흔적을 남기지 않기 때문이다.

 

매스스캔 공격 방식을 볼 때 기본 대응 방안은 MS-SQL 접근 제어 강화다. 이와 함께 데이터베이스 기본 계정을 변경하고 강력한 암호 정책 적용할 것과 무차별 계정 대입 공격에 대비해 '계정 잠김' 설정을 적용하는 방안 등이 제시됐다.

 

보안 기업 관계자는 “매스스캔 공격 방식은 이미 알려진 방식으로 기업의 보안 대응이 미흡한 경우, 쉽게 침입이 이뤄진다”며 “웹을 통해 MS-SQL 서버 취약점을 공격하기 때문에 서버에 접근할 수 있는 인원과 권한을 최소화하고 관리자 비밀번호 보안도 강력 수준으로 관리해야 한다”고 말했다.

  • 전자신문 로고
  • 최호 기자
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기