안녕하세요 
KOREN NOC 입니다. 

운영하시는 시스템에 아래의 국정원 국가사이버안보센터에서 요청한 침해지표(IP, 랜섬웨어 정보) 차단 적용 권고를 전달하여 드립니다.


1. 개 요
• 최근 국가ㆍ공공기관 대상으로 이력서 위장 해킹메일, 유지보수업체의 비인가 원격접속프로그램 사용 등을 통한 랜섬웨어 공격 사고가 지속 발생하고 있습니다.
• 이와 관련, 최근 공격사례와 침해지표 및 보안강화 방안을 공유하오니 각급 기관에서는 자체점검 및 직원 대상 관련 내용 전파 등 조치하여 주시기 바랍니다.

2. 침해지표

IP(4개)
95.217.16.127
157.90.148.112
149.154.167.99
185.122.204.237 

랜섬웨어(7개,파일명 및 해시값)정보
1.워너크라이 (mssecsvc.exe, tasksche.exe), 해시값 없음
2. LockBit (kiwi parser.exe), ca9005d6be7c2925b6f8e62bb48d609a
3. LockBit (이_력_서[230124 경력사항도 같이 기재하였습니다 잘 부탁드립니다].exe), 6A98B2B6E37C7C92368548E902E9A139
4. LockBit (포_트_폴_리_오[230124 경력사항도 같이 기재하였습니다 잘부탁드립니다].exe), 6DB7B69DDD21625A9F070BCA66BB9046
5. Dharma (winhost.exe), 20d92c59b8be7a0b031b704ed31fd597
6. Elbie (svhost.exe), 14711526b96c5546a8335391856e506b
7. Mallox (tzt.exe), 70C464221D3E4875317C9EDBEF04A035

3. 조치사항
• 각급기관은 소속ㆍ산하기관에 同 내용을 전파하고, 랜섬웨어 침해지표에 대해 최근 3개월간(22년 12월 ~ 현재) 전산망 접근 이력 등 점검
• 특이사항 확인시 국가사이버안보센터(cert@ncsc.go.kr, 02-3412-3341)에 신고

4. 보안강화 방안(재강조)
  ㆍ출처가 불분명한 이메일ㆍ웹사이트 열람 및 첨부파일 다운로드 주의
  ㆍ운영체제, 응용프로그램, 펌웨어 등 S/W는 최신 보안업데이트 적용
  ㆍ유지보수용 원격접속 프로그램 사용 점검 및 용역업체 보안관리 강화
     * 원격유지보수 필요시 지정 단말(IP)에서만 시스템에 접근토록 통제
  ㆍ디폴트(default) 계정 삭제 또는 변경 및 불필요한 서비스 포트 제거
  ㆍ중요 데이터에 대한 정기 백업 및 실전 복구 테스트 실시



o 관련 문의 : 과기정통부 사이버안전센터 061-338-4952