[과학기술정보통신부] 데이터베이스 서버 대상 랜섬웨어 감염 확산에 따른 보안강화 권고

최근 인터넷에 연결 된 데이터베이스(이하 DB) 서버 대상 랜섬웨어 감염 사고가 지속적으로 발생하고 있습니다.
각 기업에서는  피해가 발생하지 않도록 만전을 기해주시기를 당부드립니다.

또한, 피해가 발생할 경우 관련 정보통신망법에 의거하여 한국인터넷진흥원에 반드시 신고하여 주시기 바랍니다.

□ 주요 사고 사례
 o 취약한 DB 서비스 계정 및 패스워드 사용으로 랜섬웨어 감염
  - [사례] DB 서버가 인터넷에 노출되고, 기본 DB 계정(sa 등)을 사용*하여 랜섬웨어 감염
   * 기업 솔루션(ERP, 회계 등) 설치 시, 설정한 디폴트 패스워드나 쉬운 패스워드 사용

□ 보안 권고 사항
 o 외부 접속 관리 강화
  - 외부에 오픈된 DB 서비스(MSSQL, MYSQL 등) 접근 차단
   ※ 인터넷에 노출된 경우 공격자는 무작위 대입공격(Brute-Force Attack)을 통해 비밀번호 탈취 가능

  - 서버 관리를 위해 외부에 오픈된 원격 접속 서비스(RDP, SSH) 접근 차단
   ※ 부득이하게 인터넷에서 접근해야 하는 경우 VPN 및 이중인증 등을 통해 접근 관리

  - 불필요한 네트워크 서비스 중지

 o 계정 관리 강화(운영체제, DB 등)
  - 최초 설치 시 기본 관리자 패스워드는 반드시 변경 후 사용
  - 사용하지 않는 기본 관리자 계정(예: sa 등) 비활성화, 권한 제외
  - 알파벳 대문자와 소문자, 특수문자, 숫자를 조합한 복잡한 패스워드 사용

 o 기타
  - 자동 업데이트를 활성화하여 운영체제, 소프트웨어 최신 보안패치 적용
  - 중요 자료는 네트워크와 분리된 별도의 저장소에 정기적인 백업 권고


□ 침해사고 신고
 o 한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911~5, certgen@krcert.or.kr)
 o 'KISA 인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담및신고→ 랜섬웨어 감염

 

□ 문의사항
 o 기술문의 : 한국인터넷진흥원 종합상황실 02-405-4911~5
 o 정책문의 : 과학기술정보통신부 사이버침해대응과 064-202-6461
  ※ 본 메일은 발신전용 메일로 문의사항은 cybercq@korea.kr로 부탁드립니다.

 

[참고자료]
 (1) 랜섬웨어 대응 가이드
  - 보호나라 홈페이지(www.boho.or.kr) → 자료실 → 가이드 및 매뉴얼 내 32번 게시물

 

 (2) 랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드
  - 보호나라 홈페이지 → 자료실 → 가이드 및 매뉴얼 내 33번 게시물

 (3) 최근 기업 대상 랜섬웨어 사고사례 및 대응방안
  - 보호나라 홈페이지 → 자료실 → 보고서 → 238번 게시물

*추신*
 o CISO 신고 접수 관련 지역별 전파관리소 담당자 안내
  - 서울전파관리소(서울시, 경기도, 인천시) : 02-2680-1749
  - 부산전파관리소(부산시, 경상남도) : 051-974-5119
  - 광주전파관리소(광주시, 전라남도) : 061-330-6818
  - 강릉전파관리소(강원도) : 033-660-2815
  - 대전전파관리소(대전시, 세종시, 충청남도) : 042-520-4136
  - 대구전파관리소(대구시, 경상북도) : 053-749-2818
  - 전주전파관리소(전라북도) : 063-260-0102
  - 제주전파관리소(제주도) : 064-740-2812
  - 청주전파관리소(충청북도) : 043-261-5856
  - 울산전파관리소(울산시) : 052-231-8883

   ※ CISO 변경 및 현행화가 필요하신 분들께서는 상기한 연락처를 이용하여 주시기 바랍니다.
    - 연락처 변경에 1주일 가량의 시간이 소요되어 변경을 요청하신 분들께 본 메일이 발송될 수 있음을 양해 부탁드립니다.