정보마당

공지사항

  • [보안공지] 랜섬웨어 공격증가 관련 보안강화 권고
    • 조회수 592
    • 작성일 2023.03.13
  • 첨부파일
  • 안녕하세요 
    KOREN NOC 입니다. 

    운영하시는 시스템에 아래의 국정원 국가사이버안보센터에서 요청한 침해지표(IP, 랜섬웨어 정보) 차단 적용 권고를 전달하여 드립니다.



    1. 개 요
    • 최근 국가ㆍ공공기관 대상으로 이력서 위장 해킹메일, 유지보수업체의 비인가 원격접속프로그램 사용 등을 통한 랜섬웨어 공격 사고가 지속 발생하고 있습니다.
    • 이와 관련, 최근 공격사례와 침해지표 및 보안강화 방안을 공유하오니 각급 기관에서는 자체점검 및 직원 대상 관련 내용 전파 등 조치하여 주시기 바랍니다.

    2. 침해지표

    IP(4개)
    95.217.16.127
    157.90.148.112
    149.154.167.99
    185.122.204.237 

    랜섬웨어(7개,파일명 및 해시값)정보
    1.워너크라이 (mssecsvc.exe, tasksche.exe), 해시값 없음
    2. LockBit (kiwi parser.exe), ca9005d6be7c2925b6f8e62bb48d609a
    3. LockBit (이_력_서[230124 경력사항도 같이 기재하였습니다 잘 부탁드립니다].exe), 6A98B2B6E37C7C92368548E902E9A139
    4. LockBit (포_트_폴_리_오[230124 경력사항도 같이 기재하였습니다 잘부탁드립니다].exe), 6DB7B69DDD21625A9F070BCA66BB9046
    5. Dharma (winhost.exe), 20d92c59b8be7a0b031b704ed31fd597
    6. Elbie (svhost.exe), 14711526b96c5546a8335391856e506b
    7. Mallox (tzt.exe), 70C464221D3E4875317C9EDBEF04A035

    3. 조치사항
    • 각급기관은 소속ㆍ산하기관에 同 내용을 전파하고, 랜섬웨어 침해지표에 대해 최근 3개월간(22년 12월 ~ 현재) 전산망 접근 이력 등 점검
    • 특이사항 확인시 국가사이버안보센터(cert@ncsc.go.kr, 02-3412-3341)에 신고

    4. 보안강화 방안(재강조)
      ㆍ출처가 불분명한 이메일ㆍ웹사이트 열람 및 첨부파일 다운로드 주의
      운영체제, 응용프로그램, 펌웨어 등 S/W는 최신 보안업데이트 적용
      유지보수용 원격접속 프로그램 사용 점검 및 용역업체 보안관리 강화
         * 원격유지보수 필요시 지정 단말(IP)에서만 시스템에 접근토록 통제
      디폴트(default) 계정 삭제 또는 변경 및 불필요한 서비스 포트 제거
      중요 데이터에 대한 정기 백업 및 실전 복구 테스트 실시



    o 관련 문의 : 과기정통부 사이버안전센터 061-338-4952