‘트루크립터’에 감염…한국호스팅도메인협회 보안권고 발표

▲ 코리아IDC에 게재된 공지시항

[아이티데일리] 랜섬웨어 에레버스에 감염돼 13억 원 상당의 비트코인을 지불했던 웹호스팅업체 인터넷나야나 사태 이후, 또다시 랜섬웨어에 감염된 호스팅 업체가 나왔다.

지난 6일 코리아IDC는 서버호스팅 및 코로케이션의 일부서버가 새벽 3시 전후로 랜섬웨어에 감염됐다고 밝혔다. 이어 현재 피해 예방을 위해 한국인터넷진흥원과 관계당국에 신고하고 긴밀하게 협조하고 있다고 설명했다.

코리아IDC의 공지에 따르면 이번에 감염된 랜섬웨어의 종류는 ‘트루크립터(TrueCrypter)’ 랜섬웨어로, 확장자는 .enc로 표시된다. 현재까지 확인된 부분은 공격자가 SSH 접속을 시도했고, 이 접속은 인가된 아이피가 아닌 ANY(어디서든 접속가능)에서 접속된 부분이다.

또한, 코리아IDC는 일반 서버호스팅의 경우 백업서비스를 이용하지 않으면 백업자료를 관리하지 않아 복원이 진행되지 않는다며 자체적으로 보유한 백업본을 이용해 복구를 진행해야 한다고 설명했다.

코리아 IDC는 보안을 위한 조치와 백업 대응 방법도 함께 공지하고 있다. 보안을 위한 조치로 ▲서버와 FTP 접속 패스워드 변경 ▲서버 포트 점검 ▲인가된 아이피에서만 접근 허용 ▲각종 업데이트 점검 ▲서버 내 프로그램 취약점 분석 및 조치 등을 권고했다.

백업에 대한 조치로 ▲별도의 저장공간을 통한 네트워크 단절 백업 ▲서버내 로컬 백업 ▲원격지 별도 백업 ▲별도 유료 백업서비스 등을 권장하고 있다.

한편, 이번 사태에 한국호스팅도메인협회에서도 서비스 관리 보안 권고를 발표했다. 한국호스팅도메인협회에 따르면 랜섬웨어는 100% 치료법이 존재하지 않아 사전 대비가 유일하다고 설명했다. 이어 이번 보안사고가 사용자 계정을 통해 침입이 이뤄져 차휴 재발을 막기위해 보안권고를 재차 강조하고 있다.

아래는 한국호스팅도메인협회에서 공개한 서버호스팅 및 클라우드 서비스 관리 보안 권고문이다.
 

- 한국호스팅도메인협회 보안 권고 (2017. 11. 06) -

최근 동료 호스팅 고객사의 SSH 대입 및 이를 이용한 랜섬웨어 암호화 공격이 성공돼 파해 사례가 발생한바 이에 대한 한국 호스팅 도메인 협회 차원의 보안 권고 내용을 다음과 같이 발표합니다.

1. 호스팅 사업자(서버호스팅, 클라우드서비스, 웹호스팅서비스)는 고객에게 제공하는 최초 접속 아이디 패스워드는 대입 공격이 쉽지 않은 아이디 패스워드를 발급하여 제공하여야 합니다. 특히 회원 가입 시 ID에 따른 email 주소, 생년월일 등을 직접 비밀번호로 사용하지 않도록 합니다.

2. 서버의 관리자는 호스팅 서비스 제공자로부터 호스팅 서버의 패스워드를 발급받은 즉시 이를 변경하도록 합니다. 패스워드 관리 문제로 인한 보안사고 시 모든 책임은 서버 관리자에게 있다는 것을 명심하도록 합시다.

3. 서버의 패스워드는 유추가 어렵도록 특수문자를 조합해 만들도록 합니다. 특히 쇼핑몰이나 대형 포탈 등의 인터넷 웹 서비스에 이용한 ID와 비밀번호는 서버의 패스워드로 사용하면 안됩니다.

4. 방화벽 이용 하여 서버로의 관리 접속이 가능한 포트로의 접속에 대하여 접속 IP별 접근 제어를 하도록 합니다. 고정 IP를 보유하지 않는 경우 VPN 혹은 가상 PC 등을 이용하여 관리 하도록 합니다.

5. OTP (ONE TIME PASSWORD) 등의 별도의 패스워드 인증 방법을 도입 할 경우 서버의 패스워드 보안 강도는 월등히 높아집니다. 서버와 같이 OTP 기능이 유료인 경우, OPEN VPN의 OTP 기능을 조합하여 이용 할 수 있습니다.

 

저작권자 © 아이티데일리 무단전재 및 재배포 금지