북한 해커들의 원격 접속을 차단한 사례

by BaroPAM posted Dec 12, 2024
?

단축키

Prev이전 문서

Next다음 문서

ESC닫기

크게 작게 위로 아래로 댓글로 가기 인쇄

정보보안은 거창한 것이 아니다.

현재의 비밀번호로는 계정을 충분히 지킬 수 없다는 거, 보안 전문가라면 다 알고 있다.

주요 인프라 공격의 85%가 패치, 2차 인증(추가 인증), 최소 권한 원칙 등 기본적인 수준의 보안만 준수해도 침해 사고를 예방할 수 있다.
 

램섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다.

 

침해 사고의 1순위가 바로 우회 및 원격 접속을 차단할 수 있는 것은 2차 인증(추가 인증)이다.

 

2차 인증(추가 인증)을 적용하는 순서는 제일 첫번째로 운영체제(OS), 두번째로 관리자 계정이나 관리 콘솔, 세번째로 일반 사용자 계정이다.

단순하면서 비용도 절감되고 실전에서 사용되는 제대로된 보안 솔루션이 적용되어야 한다.

 

20241212_020126.png

 

북한 해커들이 SQL Injection 공격을 통해 특정 파일을 특정 IP로 전송한 내용이 일부 확인되었다.

 

PowerShell를 통한 원격접속 서비스를 활성화한 후 원격데스크탑(RDP) 연결로 원격 접속을 시도하였는데, 2차 인증(추가 인증) 솔루션인 바로팜(BaroPAM) 솔루션으로 인하여 접속이 차단한 사례.

20241211_190855.png

 

20241211_190947.png

 

20241211_191007.png

 

20241211_191037.png

 

[출처] https://mc529.tistory.com/1838


Articles

1 2 3 4 5 6 7 8 9 10