SMB보다 자주 멀웨어와 랜섬웨어 공격을 받는 주·지방

Global Security Insight #5

센티넬 IPS 보고서에 따르면 주 정부와 지방 단체가 랜섬웨어와 멀웨어 공격에 표적이 될 확률이 높은 것으로 알려졌다.

센티넬 IPS가 감시하고 있는 전 세계 70%의 주 정부와 지방단체에서는 작년 7월부터 11월까지 멀웨어 및 랜섬웨어 경보가 여러차례 보고가 되었다. 센티넬의 고객 39%가 보안경보를 낸 것과 대조적으로 교육 네트워크의 약70%가 경보를 냈다. 이 경보는 악의적인 트래픽이 네트워크에 침투하는 신호이다. 간단히 말하자면 멀웨어가 지휘통제 서버에 접촉하려는 시도가 있다는 것을 의미한다.            

이러한 주 정부 기관들은 악명높은 크립토월 랜섬웨어 공격을 두배 이상 받았다고 전하고 있다. 가장 기본적인 코브터 램섬웨어 공격의 95%이상이 정부와 교육 네트워크에 집중되고 있다. 브라우즈폭스 멀웨어는 67% 교육 네트워크엣 발행하였으며, 23% 주 정부와 지방단체 네트워크에서 발견되었다. 사실 네트워크 트랙픽의 23%가 주 정부와 지방단체 네트워크에서 발견됐다. 결과적으로 네트웍 트래픽 경보 보다는 EXTRUSION(추방) 위험경보 약 77%이상 보고되고 있다.

랜섬웨어 공격의 역향으로 전년대비 16년에는 3배로의 피해액이 예상되고 있다. 국민 개개인의 정보를 가지고 업무처리를 하는 정부기관에서는 특히 주의가 필요하다. 현재까지는 이런 공격에 대응할 수 있는 솔루션도 딱히 없는게 현실이다. 기업도 전년 대비 램섬웨어 PC감염으로 작년보다 포맷대응 관리가 점점 늘어가고 있다. 대책이 필요하지 않은가?

* 취약점 정의 : SMB 프로토콜 SW가 특수하게 조작된 SMB 협상 응답을 처리하는 방식으로 인해 권한 상승 취약점 즉 이 취약점을 악용에 성공한 공격자는 시스템 수준 권한으로 임의 코드를 실행한다. 특히 이 취약점은 서비스 거부도 유발할 수 있는데, 이런 방식으로 취약점을 악용하려는 시도에는 인증이 필요하지 않으며 공격자는 특수하게 조작된 SMB 응답을 클라이언트가 시작한 SMB 요청으로 보내 취약점을 악용하는 것을 말한다.