사이버보안동향

  • [보안권고] 해킹 공격에 활용되는 취약점 보안 업데이트 및 예방을 위한 보안 점검 권고 2023.02.28
  • 개 요

    서버의 취약점을 악용한 해킹 툴 제작 및 사이버 공격 증가에 따라, 기업 담당자들의철저한 보안 업데이트 및 보안 점검 권고

    취약한 버전의 소프트웨어, 서버를 사용하는 기업 및 사용자는 최신버전으로 업데이트 권고

     

    최근 악용되고있는 주요 취약점

    Apache APISIX에서 발생하는 인증 우회 취약점(CVE-2021-45232)[1]

    Apache HTTP Server에서 경로 탐색(Path Traversal)으로 인해 발생하는 정보노출취약점(CVE-2021-42013)[2]

    Apache HTTP Server에서 경로 탐색(Path Traversal)으로 인해 발생하는 정보노출취약점(CVE-2021-41773)[3]

    Apache OFBiz에서 발생하는 크로스 사이트 스크립팅(XSS) 취약점(CVE-2020-9496)[4]

    Apache OFBiz에서 발생하는 역직렬화 취약점(CVE-2021-26295)[5]

    Apache Struts에서 발생하는 원격코드 실행 취약점(CVE-2020-17530)[6]

    Apache Struts에서 사용자 입력값 검증 미흡으로 발생하는 원격 코드 실행 취약점(CVE-2021-31805)[7]

    Apache Tomcat이 AJP request 메시지를 처리할 때, 메시지에 대한 처리가 미흡하여발생하는 원격코드실행 취약점(CVE-2020-1938)[8]

    Apache Log4j에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[9]

    Atlassian Confluence Server 및 Data Center에서 OGNL 인젝션으로 인해 발생하는원격코드실행 취약점(CVE-2021-26084)[10]

    BIG-IP에서 iControl REST 인증 미흡으로 인해 발생하는 불충분한 인가 취약점(CVE-2022-1388)[11]

    BIG-IP, BIG-IQ의 iControl REST 인터페이스에서 발생하는 원격 코드 실행 취약점(CVE-2021-22986)[12]

    Grafana 소프트웨어에서 경로탐색(Directory Traversal)으로 인해 발생하는 정보노출 취약점(CVE-2021-43798)[13]

    Inspur ClusterEngine V4.0에서 발생하는 원격 코드 실행 취약점(CVE-2020-21224)[14]

    Oracle WebLogic Server에서 발생하는 원격 코드 실행 취약점(CVE-2021-2109)[15]

    SMBv3 프로토콜이 조작된 패킷을 처리할 때 버퍼오버플로우로 인해 발생하는원격코드실행 취약점(CVE-2020-0796)[16]

    Spring Cloud Gateway에서 발생하는 원격코드 실행 취약점(CVE-2022-22947)[17]

    Spring Core에서 발생하는 원격코드실행 취약점(CVE-2022-22965)[18]

    Spring Cloud Function에서 발생하는 원격코드실행 취약점(CVE-2022-22963)[18]

    VMware vCenter Server 원격 코드 실행 취약점(CVE-2021-21972)[19]

    VMware vCenter Server 에서 발생하는 파일 업로드 취약점(CVE-2021-22005)[20]

    VMware Workspace ONE Access와 Identity Manager에서 발생하는 원격 코드실행 취약점(CVE-2022-22954)[21]

    WebLogic Server에서 안전하지 않은 역직렬화로 인해 발생하는 인증 우회 및원격코드 실행 취약점(CVE-2019-2725)[22]

    WSO2에서 발생하는 원격코드 실행 취약점(CVE-2022-29464)[23]

     

    취약점 해결 방안

    ◦ 첨부파일 내 취약점별 참고사이트 [1] ~ [23]에 명시되어 있는 내용을 참조하여 업데이트 수행

     

    보안권고사항

    서버 보안 강화 방안

     ① 보안 지원이 종료된 운영체제 및 소프트웨어는 신속하게 업그레이드를 수행하고,매월 운영체제 및 주요 프로그램(메일, 웹, JAVA 등)의 보안 업데이트 확인적용

     ② 기본 원격포트(22. 3389) 사용을 자제하고, OTP 등을 통한 추가 인증 강화

     ③ VPN 장비를 운영하는 경우, 허가된 사용자와 단말기만 업무망에 접근할 수 있도록설정하고 OTP 등을 통한 추가 인증 강화

     ④ 다수의 서버를 운영하는 경우 내부 서버 간 원격접속이 불가능 하도록 접근 제어 설정

     ⑤ AD 인프라를 운영 중인 기업의 경우, 관리자 그룹 계정의 최소화 및 관련 PC의인터넷망 분리 운영

     ⑥ 주요 관리자 PC에 대한 주기적인 보안 점검 및 인터넷망 분리 운영

     ⑦ 외부에 오픈된 DB서비스(MSSQL, MYSQL 등) 접근을 차단하고, 불필요하게 외부에 오픈된 원격 접속 서비스 접근 차단

     ⑧ DB 최초 설치 시 기본 관리자 패스워드는 반드시 변경 후 사용하고, 사용하지 않는 계정 비활성화

     ⑨ 가상머신 운영환경을 타깃으로 하는 리눅스용 랜섬웨어 공격이 발생하고 있으니 백업 및 운영체계 강화

    PC 보안 강화 방안

     ① 피싱 메일에 주의하고 본문 링크 클릭, 첨부파일 다운로드, 실행에 주의

     ② 매월 운영체제 및 주요 프로그램(웹브라우저, Flash, Java 등)의 보안 업데이트 확인적용

     ③ 상용 메일을 통한 주요 업무 자료 송수신 금지

             ※ 불가피한 경우, OTP 설정 및 허가된 사용자 단말기 추가 등을 통해 인증 강화

     ④ 웹하드·P2P 사이트를 통한 불법 다운로드 금지

    NAS 보안 강화 방안

     ① 최초 설치 시 기본 관리자 패스워드는 반드시 변경 후 사용

     ② 자동 업데이트를 활성화하여 최신 펌웨어 유지

     ③ 인터넷을 통한 직접 접속은 차단하고, 사내망에서 운영 권고

             ※ 불가피한 경우, 장비의 비밀번호 관리 및 백업, 보안 업데이트 등 철저한 관리 필요

    IoT 보안 강화 방안

     ① 관리자 페이지 초기 설정 비밀번호 변경 후 사용

     ② 불필요한 SSH 등 포트 사용 중지

             ※ 불가피한 경우, 장비의 로그인 계정 변경(관리자 로그인 계정과 다른 값으로 설정)

    공통 보안 강화 방안

     ① 사용하지 않는 시스템은 전원을 종료하여 해킹 경로로 활용되는 것을 사전 방지

     ② 중요 파일 및 문서 등은 네트워크와 분리된 오프라인 백업 권고

     ③ 유추하기 어려운 패스워드(숫자, 대소문자, 특수문자 조합 8자리 이상)사용으로 관리 강화

     ④ 사용하지 않는 네트워크 서비스는 비활성화하고, 인가된 관리자만 접속할 수있도록 방화벽 등에서 접근제어설정

     ⑤ 신뢰할 수 있는 백신을 설치(최신 버전 유지, 실시간 감지 적용 등)하고 정기적으로 검사 진행

     

    침해사고 신고 및 중소기업 지원 서비스 이용

    침해사고 발생 시 한국인터넷진흥원 인터넷침해대응센터 종합상황실 (02-405-4911, certgen@krcert.or.kr)로 신고

          ※ 'KISA 인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담 및 신고→ 해킹사고

    중소기업 지원 서비스

     ① 홈페이지 취약점 점검서비스 이용

           ※ '인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 보안서비스→ 중소기업홈페이지 보안강화(websecurity@krcert.or.kr, 02-405-5665)

      ② 서버 보안취약점 점검서비스 이용

          ※ '인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 보안서비스→ 내서버돌보미(servercheck@krcert.or.kr, 02-6715-2332)

     ③ DDoS 공격발생 시 보안서비스 이용

          ※ '인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 보안서비스→ 중소기업홈페이지 보안강화(antiddos@krcert.or.kr, 02-405-4769)

            ※ 그 외 기관·기업은 통신사 등 민간기업 DDoS방어 서비스 신청으로 사전 예방 및 대응

    근거법령

    정보통신망이용촉진및정보보호등에관한법률제47조의4(이용자의정보보호)

    정보통신망이용촉진및정보보호등에관한법률제48조의2(침해사고의대응등)

    정보통신망이용촉진및정보보호등에관한법률제49조의2(속이는행위에의한개인정보의수집금지등)

    정보통신망이용촉진및정보보호등에관한법률시행령제56조(침해사고대응조치-접속경로차단요청)