연말연시 보안을 위한 필수 보안 수칙

연말을 맞아, 한국인터넷진흥원(KISA)이 다양한 사이버 위협에 대비하기 위한 대국민 보안 수칙을 공개했다. 보안이 취약해지기 쉬운 연말연시 시즌을 틈타 악성코드가 기업 내부로 유입되고 있으며, 일반 국민을 대상으로는 정부 기관을 사칭한 연하장 연말 소득 공제 관련 스미싱이 기승을 부리고 있다. KISA가 발표한 보안 강화 방안을 살펴보자.

 

 

KISA는 국내 기업들을 대상으로 랜섬웨어 악성코드와 디도스(DDoS) 공격 대비에 중점을 둔 보안 권고 사항을 발표했다. 지난 11월, KISA는 랜섬웨어 악성코드 감염 및 디도스 공격 예방을 위한 보안 강과 권고를 공개하기도 했다. 해당 권고문에 따르면, 전사 시스템을 노린 공격자는 무차별 대입 공격으로 계정을 탈취한 후 타겟 서버에 침투하거나 취약점을 악용해 악성 파일을 생성하고 서버를 장악한다. 이후 파일을 암호화하고 내부 민감 데이터를 유출해 이중 갈취를 시도하는 등 랜섬웨어 악성코드를 활발히 유포하고 있다. 또한, 국제 해킹 그룹이 국내 정부와 금융기관 등에 디도스 공격을 감행하고 있다.

 

연말연시에도 이러한 위험을 간과해서는 안 된다. KISA가 최근 발표한 랜섬웨어 감염 예방 대책은 다음과 같다.

 

1. 기업

 

1) 랜섬웨어 감염 예방 대책

기업 자산 중 외부에 공개된 시스템 현황 파악, 불필요한 시스템 연결 차단 등 외부 접속 관리 강화
최초 설치 시 기본 관리자 비밀번호 변경, 비사용 계정 점검 등 계정 관리 강화
네트워크와 분리된 저장소에 중요 자료 보관, 정기 백업 등 백업 관리 강화
랜섬웨어 감염 등 피해가 발생했다면 감염 기기 네트워크 분리 후 KISA로 즉시 신고

2) 공급망(협력사) 해킹 예방을 위한 해킹 메일 주의

송신자가 불분명한 이메일 및 첨부 파일 열람 금지※ 이메일 확인 필요 시 가상화 기반의 격리된 네트워크 환경에서 확인
이메일 수신 시 출처가 불분명한 사이트 주소 클릭 자제
이메일을 통해 연결된 사이트의 경우 연결된 사이트 주소와 정상 사이트와의 일치 여부 확인
첨부 파일의 확장자 확인, 문서 아이콘으로 위장한 실행 파일(.exe) 클릭 자제
이메일 보안 솔루션을 활용한 유해성 유무 확인 및 악성 이메일 차단
해킹 메일 수신 시 또는 메일 열람 후 악성코드 감염 시 감염 기기의 네트워크 분리 후 KISA로 즉시 신고

3) 최신 보안 업데이트 적용

자동 업데이트 활성화를 통한 운영체제 소프트웨어 최신 보안 패치 적용
바이러스 백신 설치 및 최신 업데이트 상태 유지 ※ 최근 발표된 아래 고위험도 취약점에 대한 긴급 패치 적용
▲ 팔로알토네트웍스社 방화벽 제품 관련 취약점(CVE-2024-0012, CVE-2024-9474 등)

▲ 브로드컴社 브이센터 제품 관련 취약점(CVE-2024-38812, CVE-2024-38813)

▲ 포티넷社 포티매니저 제품 관련 취약점(CVE-2024-47575 등)

▲ 오라클社 PLM 애자일 프레임워크 제품 관련 취약점(CVE-2024-21287)

▲ 프로그레스社 로드마스터 제품 관련 취약점(CVE-2024-1212)

 

최신 보안 업데이트 정보는 KISA 보호나라 홈페이지의 알림마당 > 보안 공지에서 확인할 수 있다. 또, 주요 익스플로잇(Exploit) 공격은 미국 CISA 홈페이지에 공지돼 있다. 이 외에, 사용하는 장비의 최신 업데이트 정보는 장비 별 제조사 홈페이지에서 확인할 수 있다.

 

 

4) 침해사고 신고

보호나라 홈페이지(www.boho.or.kr) > 침해사고 신고 > 신고하기 접속
KISA 인터넷침해대응센터 종합상황실(02-405-4911~5, certgen@krcert.or.kr)

2. 개인

 

1) 스미싱 피해 예방을 위한 보안 권고

 

문자 수신 시 출처가 불분명한 사이트 주소 클릭 자제 및 삭제
의심되는 사이트 주소의 경우 정상 사이트와의 일치 여부 확인을 통한 피해 예방
휴대폰 번호 아이디 비밀번호 등 개인정보는 신뢰할 수 있는 사이트에 한해 입력
인증 번호의 경우 모바일 결제 연계 가능성을 고려해 한 번 더 확인
악성 앱 설치가 의심되는 경우 악성 앱 삭제 등 스마트폰 점검 ※ 모바일 백신을 활용한 악성 앱 다운로드 경로 확인 후 수동 삭제 또는 서비스 센터 방문
스미싱 문자 수신 시 한국인터넷진흥원에 신고 ※ 보이스피싱통합신고센터, 보호나라 카카오톡 챗봇 등을 통해 신고

2) 이메일·SNS 등을 통해 피싱 피해 예방을 위한 보안 권고

 

송신자가 불분명한 이메일 및 첨부 파일 열람 금지
이메일·SNS 등을 통해 확인된 출처가 불분명한 사이트 주소 클릭 자제
이메일·SNS을 통해 연결된 사이트의 경우 해당 사이트 주소와 정상 사이트 간 일치 여부 확인
피싱 피해로 계정이 탈취된 경우 계정 정보 즉시 변경 ※ 동일 비밀번호를 사용 중인 타 사이트 비밀번호 변경, 2차 인증이 가능한 경우 2차 인증 설정

 

 

​출처 : AhnLab

02-553-2331
견적 요청
카카오톡 문의