요즘 랜섬웨어에 대한 관심이 뜨겁다. 수많은 미국 병원들이 랜섬웨어 공격을 받아 데이터를 상실하고 업무에 큰 방해를 받게 되어 언론에 보도되고 있는 상황이다. Hollywood Presbyterian Medical CenterCEO는 인터뷰를 통해 "시스템을 복구하기 위해 가장 빠르고 효율적인 방법은 바로 공격자의 요구대로 돈을 내는 것이었다."고 실토하기도 했다(비트코인으로 17천 달러).

랜섬웨어는 보통 이메일이나 웹사이트를 통해 퍼지는 악성코드로 강력한 암호화키(: 2048비트 RSA)를 통해 대량의 데이터를 암호화해 버린다. 그러고 나면 해당 데이터를 복호화하는 대가로 돈을 요구하게 된다. 여기에서는 랜섬웨어 공격을 방지하기 위한 10가지 요령을 소개한다.

 

1. 주기적으로 백업

데이터의 주기적 백업은 암호화된 파일을 복구할 수 있느 가장 빠른 방법이다. 백업도 감염되는 사태를 막기 위해서는 백업을 안전한 오프라인 공간(또는 클라우드솔루션)에 분리 보관해야 하며 읽기 전용으로만 설정해야 한다. 주기적으로 데이터무결성을 확인하여 백업데이터가 안전한지 확실히 할 필요도 있다.

주의: 백업대책의 복구과정을 실제로 시범한 적이 없다면 그 백업대책은 아무런 의미가 없다. 복구 불가능한 백업은 할 이유는 없기 때문이다.

 

2. 이메일보안솔루션을 통해 이메일첨부물 검사 및 차단

이메일첨부물을 검사하거나 특정 이메일첨부물 유형이 메일수신함에 도달하기 전에 차단하는 이메일보안솔루션은 랜섬웨어 피해를 방지할 수 있는 훌륭한 방법이다. 여기에 더해 '실시간보호''실행시 검사'와 같은 기능을 갖춘 안티바이러스를 통해 백그라운드 의심활동을 모니터링할 수 있으며 사용자가 악성파일을 클릭하는 즉시 대응조치가 이루어질 수 있다.

 

3. 특정 사용자프로필 폴더에서 실행되는 실행파일(exe) 차단

엔드포인트에서 윈도 소프트웨어 제한정책(Software Restriction Policy)이나 침임방지 소프트웨어를 사용할 경우 다음 위치에서 실행파일이 실행되지 않도록 해야 한다. 이들 폴더 및 하위폴더는 랜섬웨어가 악성프로세스를 호스팅하는 위치로 알려져 있다.

%userpro

%appdata%

%localappdata%

%ProgramData%

%Temp%

이 때 규칙은 "전체 차단, 일부 허용(block all, allow some)"으로 설정하여 기본 행동은 특정 어플리케이션을 허용하지 않는 이상 모든 실행파일을 차단하도록 해야 한다.

: ThirdTier의 랜섬웨어방지킷(Ransomware Prevention Kit)은 다양한 그룹정책과 정보 등 리소스를 제공하며 이를 통해 랜섬웨어 위협을 줄이고 위에 소개한 규칙을 적용할 수 있다.

 

4. 주기적으로 꾸준히 패치 설치

랜섬웨어의 가장 흔한 감염경로는 바로 소프트웨어 취약점이다. 운영체제, 브라우저, 사무어플리케이션(: MS오피스), 방화벽, 네트워크기기의 패치를 최신으로 유지하여 랜섬웨어 위험을 줄일 수 있다.

 

5. 의심 외부트래픽 모니터링 및 차단

침입탐지&방지시스템(Intrusion Detection and Prevention System, IDPS)은 의심 외부트래픽을 모니터링하고 사용자에게 경고하거나 일정한 조치(: 연결차단 또는 방화벽 재설정)를 실행할 수 있다. 이 정보를 위협정보 공유그룹과 연계시킨다면 보안인프라를 강화하여 네트워크에서 랜섬웨어의 통신활동을 곤란하게 할 수 있다(랜섬웨어와 공격자측의 통신 차단).

 

6. 권한부여 최소화

어떤 랜섬웨어가 관리자 보안권한을 통해 실행된다면 더욱 큰 피해를 야기하고 보다 광범위하게 퍼질 수 있다(: 네트워크드라이브, 공유폴더, USB기기에 보관된 데이터 암호화 가능). 사용자가 작업에 필요한 정도로만 최소한의 권한을 가지고 로그인하도록 권한부여를 최소화함으로써 랜섬웨어의 공격피해를 감소시키고 전파위험도 줄일 수 있다. 어떤 랜섬웨어는 권한수준을 상승시키려 시도하기도 하지만 대부분의 경우 실행된 당시의 보안권한을 따르게 된다. 권한을 최소화시키면 사용자가 관리자권한으로 명령을 실행하거나 어플리케이션을 설치/삭제하고자 할 경우 계정정보를 직접 입력해야만 그 작업에 필요한 시간 동안만 해당 권한수준을 획득할 수 있게 된다.

 

7. "알려진 파일유형 확장자 숨김" 해제

랜섬웨어가 정체를 숨기는 방법으로 정상적인 파일유형으로 위장하는 수법이 있다. 예를 들어 PDF 문서로 위장하는 파일의 경우 "Invoice.pdf.exe"라는 파일이름을 가질 수 있다. 이 경우 "알려진 파일유형 확장자 숨김"이 적용된다면 이 파일의 이름은 "Invoice.pdf"로 보이게 된다. 이러한 확장자 숨김 옵션을 해제하면 의심파일을 보다 용이하게 포착할 수 있다.

 

8. MS오피스 어플리케이션 보안설정 강화

Locky라는 이름의 최신 랜섬웨어 변종은 악성매크로를 통해 공격수단을 다운로드받아 실행하게 된다. 그룹정책을 통해 매크로 사용을 차단하거나 "전자서명된 매크로 제외한 모든 매크로 차단(Disable all macros except digitally signed macros)" 옵션을 설정할 수 있다. 이와 유사하게 액티브X와 외부컨텐츠(External Content) 설정을 "사용자선택(Prompt)"이나 "차단(Disabled)"으로 설정할 수 있다(사용자 환경의 업무상 필요에 따라).

 

9. 사용자 보안교육

랜섬웨어 방지대책의 최종단계에는 바로 사용자가 있다. 부주의한 사용자가 맬웨어를 다운로드하고 실행하는(이메일첨부물 열기, 악성링크 클릭 등) 과정이 없다면 랜섬웨어는 결코 큰 효과를 보기 어렵다. 사용자에게 모범적 행동요령 그리고 위협을 어떻게 포착할지에 대해 교육한다면 소셜엔지니어링 공격에 당할 가능성을 줄일 수 있다. 특히 강조해야 할 부분은 다음과 같다.

알지 못하는 송신자가 보낸 이메일첨부물을 열지 말 것

알지 못하는 송신자가 보낸 이메일의 링크를 클릭하지 말 것

이메일 본문의 도메인 철자오류 확인(: microsoft.com이 아닌 rncom로 표기)

이메일 제목 및/또는 본문의 철자오류 및 형식오류 확인

의심스러운 파일이나 이메일이 있으면 IT 지원창구나 정보보안팀에게 연락

 

10. 인터넷다운로드 전량검사

웹모니터링 및 스캔 솔루션을 사용하여 인터넷다운로드를 전량 검사해야 한다. 이를 통해 알려진 악성사이트에 대한 사용자 접속을 방지할 수 있으며 특정 파일유형을 검사 또는 차단할 수 있다. 피싱이메일이 실제로 침투하거나 사용자가 악성링크를 클릭하게 돼도 GFI WebMonitor와 같은 웹모니터링 및 스캔 솔루션이 있다면 악성사이트 접속이나 파일다운로드를 차단할 수 있다.

 

위 내용이 너무 많다면...

다소 진부한 말일 수 있으나 랜섬웨어 방지에 대해 다층적인 접근방식을 취할 때 감염을 피할 가능성을 극대화할 수 있다. 이러한 다층접근방식을 구체적으로 풀어 랜섬웨어 방지요령을 요약할 때 이에 따른 권고사항은 다음과 같다.

1. 확실한 백업 및 복구 계획이 마련되어 있어야 한다. 이를 통해 랜섬웨어 감염이 발생한다 해도 암호화되지 않은 최신사본을 통해 사고를 극복할 수 있다.

2. 랜섬웨어의 가장 보편적인 공격경로인 이메일과 인터넷다운로드에 대한 보안을 강화함으로써 랜섬웨어 노출을 최소화(GFI MailEssentials이나 GFI WebMonitor와 같은 솔루션을 통해 이메일 및 인터넷다운로드 보안 강화 가능)

3. 네트워크에 침투한 랜섬웨어에 대한 가시성을 높이는 방향으로 설정과 정책을 적용하여 의심스러운 파일이나 활동을 탐지하고 맬웨어가 성공적으로 실행될 가능성을 줄인다.

4. 무엇보다도 사용자들이 의심되는 상황을 감지하고 그런 상황에서 어떻게 행동할지에 대해 교육하는 것이 가장 중요하다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Andrew Tabona, 10 ways to prevent ransomware from damaging your business, 4. 28. 2016.

http://www.gfi.com/blog/10-ways-to-prevent-ransomware-from-damaging-your-business/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 5. 9. 14:45

위로가기