미국 뉴저지에서 가장 큰 병원 시스템, 랜섬웨어에 당해 마비

뉴저지의 병원 운영 단체, 랜섬웨어에 당해 약 5일 동안 IT 시스템 마비돼

범인들에게 돈을 내고서 시스템 복구한 듯...10월에도 똑같은 사례 있어

[보안뉴스 문가용 기자] 미국 뉴저지에서 가장 큰 병원 시스템이 랜섬웨어에 감염되었고, 운영을 정상화하기 위해 공격자들이 요구한 돈을 지불했다. 이번 달 초에 있었던 일이라고 한다.

문제가 된 곳은 해컨색 메리디안 헬스(Hackensack Meridian Health)로, 60억 달러 규모의 비영리 단체이며, 17개의 병원 및 요양원, 정신 상담 센터 등을 운영하고 있다. 언론에 발표한 바에 따르면 12월 2일에 사이버 공격에 당했으며, 이 때문에 5일 동안 컴퓨터 시스템들이 마비되었다고 한다.

데이터 보호에 효과적이라는 망분리, 실제 도입 비율은 처참

망분리 실제 활용하는 기업은 20%...생각조차 하지 않는 기업은 55%

망분리 구현하는 것 난이도 높고 비용 압박 커...긴 시간 걸리는 프로젝트

[보안뉴스 문가용 기자] 망분리를 통해 침입자의 발걸음을 늦추고 방해하는 기업은 20%도 되지 않는다고 한다. 망을 분리했을 때 환경설정과 방화벽 규칙을 세부적으로 조정하고 유지하는 것이 굉장히 어려워지기 때문이다. 보안 업체 일루미오(Illumio)가 이에 대해 조사하고 보고서를 발표했다.

일루미오의 조사 및 연구에 응한 IT 전문가 및 업체들 중 19%는 “현재 망분리를 적용하고 있다”고 답했다. 26%는 “6개월 안에 망분리를 도입할 수 있도록 프로젝트를 진행 중에 있다”고 답했다. 하지만 망분리 도입이나 구축을 생각조차 하지 않고 있다는 응답자는 55%나 되었다. 일루미오의 부회장인 맷 글렌(Matt Glenn)은 “망분리 구축은 상당히 까다로운 작업”이라며 “이 때문에 보안 담당자들이 쉽게 도입할 생각을 하지 못한다”고 설명한다.

​ 

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr


 [패치 및 업데이트]
 금일 최신 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

Trojan/Win32.Phnu.C3650525

최초 발견일: 2019-12-19

종    류: 트로이목마

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​ Trojan/Win32.Phnu.C3650525은 정상프로세스로 위장하여 악성행위를 수행하고 백도어를 통해 추가적으로 악의적인 행위를 한다.

[보안TIP]

암호화 된 DoH 트래픽, 복호화 안 해도 구별해낼 수 있다

[보안뉴스 문가용 기자] DNS를 암호화 한 트래픽인 DoH(DNS-over-HTTPS)에서 이상한 점이 하나 발견됐다. 이 때문에 트래픽을 따로 복호화 하지 않아도 DoH 트래픽을 식별하는 게 가능하게 된다고 한다.

DoH 프로토콜은 인터넷 전체의 보안을 향상시키기 위해 고안된 것으로, “HTTP를 통해 DNS 요청을 보내고 응답을 받을 때, TLS를 사용하도록 한다”는 걸 기본 개념으로 삼고 있다. DNS 트래픽을 암호화 할 경우 서버의 인증이 요구되고, 따라서 수동적인 감시와 능동적인 우회 공격을 모두 완화시킬 수 있게 된다.

하지만 보안 전문가인 요하네스 울리히(Johannes Ullrich)에 의하면 호스트에서 오가는 트래픽을 관찰함으로써 DoH 트래픽을 식별하는 게 가능하다고 한다. 울리히는 “실험을 위해 파이어폭스를 사용했다”고 먼저 밝혔다. “모질라는 2017년부터 DoH에 관심을 갖고 연구해왔으며, 따라서 암호화와 관련된 다양한 실험을 하기에 알맞습니다.”

실험은 몇 분 동안 진행됐다. 물론 비교적 짧은 시간 동안 진행된 실험이라 확실하게 결론을 내릴 수는 없지만, 울리히는 “DoH 트래픽을 구분해낸다는 것이 꽤나 쉬운 일이라는 건 충분히 밝힐 수 있었다”고 말한다.

“저는 먼저 tcpdump를 실행했고, 그 후 파이어폭스를 켜서 여러 사이트를 돌아다녔습니다. 다음으로는 패킷 캡처 파일과 SSL 키 로그파일을 와이어샤크(Wireshark) 3.1.0 버전에 로딩시켰습니다. 와이어샤크는 DoH와 HTTP2를 뛰어나게 지원하며, 파이어폭스는 DoH에 HTTP2를 사용합니다.”

그런 후 울리히는 디스플레이 필터인 ‘dns and tls’를 간단히 적용함으로써 DoH 트래픽을 찾아낼 수 있었다. DoH 트래픽 전체가 울리히의 호스트와 mozilla.cloudflare-dns.com 사이에 성립된 연결에만 묶여 있다는 것 또한 발견할 수 있었다.

조사를 더 진행했을 때 DoH의 페이로드 길이에 관한 정보 역시 DoH 트래픽을 분간해내는 데 활용할 수 있다는 사실도 알아낼 수 있었다. “DNS 요청과 응답은 수백 바이트 정도에 불과합니다. 그것보다 크지 않아요. HTTPS 연결의 경우에는 ‘최대 전송 단위(maximum transmission unit, MTU)’을 거의 끝까지 채우려는 경향을 보입니다.”

즉 TLS 연결이 꽤나 긴 시간 동안 유지되는데, 페이로드의 용량이 1 킬로바이트를 넘는다면, DoH 연결이 성립되어 있다고 봐도 된다는 게 그의 주장이다. 그는 앞으로 시간을 더 투자해 이 연구를 진행할 예정이며, “보다 확실한 결론이 나올 때까지 실험을 반복할 것”이라고 밝혔다.

그의 상세한 실험 과정과 진행 상황은 여기(https://isc.sans.edu/diary/Is+it+Possible+to+Identify+DNS+over+HTTPs+Without+Decrypting+TLS%253F/25616)에 공개되어 있다.

http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/