2016년 1월 14일 목요일

보안 쪽지 - 서버 대상 랜섬웨어도 조심

안녕하세요. 시큐리티플러스의 박형근 대표입니다.

개인의 중요 데이터를 암호화시켜 금전을 요구하는 랜섬웨어가 2015년부터 대유행인데요.
2016년에도 그 유행은 지속될 것이라 예상합니다.
거기에 하나 더 추가하여, 2016년에는 기업의 중요 공개 웹 서버와 데이터베이스 등
서버를 대상으로 하는 랜섬웨어도 크게 유행할 것으로 보고 있습니다.

서버 기반 랜섬웨어의 사례 보고는 2014년 12월,
패치되지 않고 취약점을 가진 phpBB 기반의 웹 서버를 해킹 후,
웹 서버와 데이터베이스 사이에 백도어를 삽입하여
웹 서버에 입력된 데이터를 원격의 암호화 키로 암호화하여
데이터베이스에 저장토록 하고, 일정 시간이 지난 후(일정 데이터가 암호화 된 후)
원격의 암호화 키를 삭제함으로써 해당 데이터베이스로부터
암호화된 데이터를 읽으려고 하는
피해 기업에 대해 금전을 요구하는 "랜섬웹"이 보고 되었습니다.
* 참고: 2015년 1월 28일 - RansomWeb: emerging website threat that may outshine DDoS, data theft and defacements?

이후, 서버에 대한 랜섬웨어에 대한 아이디어는 해킹 이후 백도어를 심는 것에서
트로이 목마로 발전됩니다. 2015년 11월 5일에 발견된 Linux.Encoder.1라 명명된
트로이 목마는 PolarSSL 라이브러를 활용하여 C로 작성된 리눅스 용 랜섬웨어였습니다.
이 랜섬웨어는 다음과 같은 디렉토리를 암호화 합니다.

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log

또한, 디렉토리를 지속 검색해서

public_html
www
webapp
backup
.git
.svn

위 디렉토리 내에 다음 확장자를 가진 화일들 모두를 암호화 시킵니다.

".php", ".html", ".tar", ".gz", ".sql", ".js", ".css", ".txt" ".pdf", ".tgz", ".war", ".jar", ".java", ".class", ".ruby", ".rar" ".zip", ".db", ".7z", ".doc", ".pdf", ".xls", ".properties", ".xml" ".jpg", ".jpeg", ".png", ".gif", ".mov", ".avi", ".wmv", ".mp3" ".mp4", ".wma", ".aac", ".wav", ".pem", ".pub", ".docx", ".apk" ".exe", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv"

* 참고: Linux.Encoder.1

이렇게 시작된 서버 대상, 특히 공개 웹 서버를 대상으로 한 공격은
WordPress, Magento 등 CMS 플랫폼의 취약점 공개와 악용으로 확산되고 있습니다.
* 참고: 2016년 1월 12일 - Ransomware Strikes Websites

이와 같은 동향은 IBM Security X-Force 연구소에서도 전 세계 고객사 대상으로
유사한 동향을 보이고 있으며, 이에 대해 IBM X-Force 보안 동향 및 위험 보고서
2015년 4분기 보고서에서 2015년을 랜섬웨어의 해로 지정했습니다.

그럼, 이에 대한 대응은 어떻게 해야 할까요.

첫 번째로, 백업 체계에 대해 다시 한 번 점검해야 합니다.
데이터의 마지막 보루인 데이터 백업에 대해 실시간 백업은 오히려 랜섬웨어와 같은
공격에 있어서는 취약점이 될 수 있습니다.
주기적인 백업 체계를 수립하는 것을 권장합니다.

두 번째로 패치 관리 체계에 대해 다시 한 번 점검해야 합니다.
단순한 운영체제 패치가 아닌 전사 IT 자산에 대해 취약점이 어떤 것이 있고,
패치가 어떤 것이 있는지... 악용 가능한 보안 취약점이라면 반드시 패치 적용 계획을
수립하고 이행해야 합니다. 그리고 노후된 IT 자산은 반드시 교체할 수 있도록
예산 계획에도 반영해야 합니다.

세 번째로 사용자 및 운영자 인식 개선이 필요합니다.
랜섬웨어를 전파 방식에 따라 다양한 대응 방안이 있지만 그 중 취약한 고리인 사용자 및 운영자에 대해 보안 정책과 프로세스 준수할 수 있도록 지속적인 인식 개선 활동이
필요합니다. 또한 허가받지 않거나 출처가 불분명한 프로그램의 설치/실행하지 않도록
기업용 소프트웨어에 대한 엄격한 관리가 필요합니다.

네 번째로 RBAC(Role Based Access Control) 기반으로 Root와 웹 서버 프로세스 유저의
권한을 제한하기 위해 접근 통제 기술(SELINUX, TCB, SecureOS 등)을 활용해야 합니다.
권한 있는 사용자라도 허가되지 않는 행위를 할 수 있도록 제한할 수 있어야 합니다.

다섯 번째로, 서버용 안티바이러스, 악의적인 공격을 차단할 수 있는 웹 어플리케이션
방화벽이나 침입방지 솔루션을 부가 보안 기술로 활용하길 바랍니다.

감사합니다. ^^