□ 개요 o 최근 미국 CISA(Cyber Infrastructure Security Agency)는 솔라윈즈社 제품* 관련 공급망 공격에 대한 긴급 보안 주의 발표 [1] o 해당 제품을 사용중인 국내 이용자들은 악성코드 감염 등의 피해를 입을 수 있으므로, 대응 방안에 따라 보안 조치 권고 * 솔라윈즈 오리온 플랫폼 : 기업 내부에서 운영중인 시스템 모니터링 및 관리 위한 플랫폼 □ 주요 내용 o 솔라윈즈社의 제품 업데이트 과정에서 공격자가 악성코드를 배포한 사고 발생 □ 대응 방안 o 최신버전으로 업데이트 적용 [2]
o 패치가 불가능한 경우 - 솔라윈즈 서버 격리(외부 연결-egress 차단) - 솔라윈즈 서버와 연결된 중요 엔드포인트 연결 제한 - 솔라윈즈 서버의 로컬 관리자 권한을 가진 계정에 대한 범위 제한 - 솔라윈즈 서버 관리 계정의 암호 변경 - 의도되지 않거나 허가되지 않은 권한 변경에 대한 지속적 모니터링 수행
o 보안강화 방안 - 방화벽에 악성코드 탐지 규칙 추가 [3] □ 현재(12.15일 기준)까지 알려진 악성코드 및 C&C 정보 o 영향받는 제품을 사용중인 기업 및 기관의 담당자는 하단의 정보를 이용하여 보안점검 수행하고, 관련 침해사고가 확인된 경우 한국인터넷진흥원에 신고 - 악성코드(Sunburst) MD5 해시값
- C&C 서버
※ 참고 사이트[3] 확인하여 점검 수행
□ 기타 문의사항 o 모아데이터(솔라윈즈 코리아) : 070-4099-5131 o 하이라인닷넷(솔라윈즈 총판) : 1544-4450 o 한국인터넷진흥원 사이버민원센터: 국번없이 118 [참고사이트] [1] https://cyber.dhs.gov/ed/21-01/ [2] https://www.solarwinds.com/securityadvisory
□ 작성 : 침해사고분석단 취약점분석팀
|