전체상품목록 바로가기

본문 바로가기

 
신규가입시 3,000P 지급
현재 위치
  1. 게시판
  2. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 [AhnLab]효과적인 랜섬웨어 대응 무엇이필요할까요?
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2021-10-21
  • 추천 추천하기
  • 조회수 315



이제 랜섬웨어는 우리에게 지속적인 위협을 가하는 존재가 되었습니다. 계속해서 피해가 발생하고 있지만 현실은 어느 누구도 완벽한 랜섬웨어 방어를 장담하지는 못합니다.

하지만, 단계 별로 충실하게 랜섬웨어 대응 체계를 구축한다면 사전에 예방 역량을 강화하고 랜섬웨어 감염 시에도 피해를 최소화할 수 있습니다.

 

이번 콘텐츠에서는 효과적으로 랜섬웨어를 대응하기 위해 여러분이 갖춰야할 사항들,

랜섬웨어 대응, 현실적으로 어디서부터 어떻게 시작해야 대응 체계를 구축하고 피해를 최소화 할 수 있을지, 다양한 시각으로 범용적인 대응 방안을 알려드립니다.

 

 

-List-

1. 랜섬웨어 공격 방식

2. 대응방안 1: 컨설팅

3. 대응방안 2: 트레이닝

4. 대응방안 3: 솔루션

5. 대응방안 4: 전문 서비스

 

 

 

구체적인 랜섬웨어 대응 방안을 살펴보기 전에 현재까지 대표적으로 알려진 랜섬웨어 공격 방식에 대해 살표보도록 하겠습니다.

 

첫번째. 상당수의 랜섬웨어 공격이 다양한 파일을 통해 발생하고 있습니다. 랜섬웨어를 정상 파일로 위장하여 사용자가 메일, SNS, 웹사이트를 통해 다운로드 받도록 유도하는 형태인데요. 감염 성공 시에는 디스크 내 문서파일을 암호화하는 경우가 가장 많았으나, 정상적인 부팅을 차단하고 디스크에 잠금(Lock)을 거는 사례도 증가하고 있습니다.

 

두번째. 파일리스 공격입니다. 비트락커는 윈도에서 기본으로 지원하고 있는 디스크 암호화 방법으로 패스워드를 입력해야 디스크 내 파일에 접근할 수 있도록 하는 보안 지원 기능입니다. 공격자는 주요 서버를 타깃으로 내부에 침투한 뒤, 원격 데스크톱으로 접속하여 별다른 랜섬웨어 악성코드 없이 비트락커로 디스크를 암호화하고 패스워드 제공 비용을 요구합니다.

 

세번째. 비트락커를 통한 공격입니다. 비트락커는 윈도에서 기본으로 지원하고 있는 디스크 암호화 방법으로 패스워드를 입력해야 디스크 내 파일에 접근할 수 있도록 하는 보안 지원 기능입니다. 공격자는 주요 서버를 타깃으로 내부에 침투한 뒤, 원격 데스크톱으로 접속하여 별다른 랜섬웨어 악성코드 없이 비트락커로 디스크를 암호화하고 패스워드 제공 비용을 요구합니다.

 

이러한 다양한 랜섬웨어 공격을 방어하기 위해서는 여러가지 대응 방안을 복합적으로 준비해야 합니다.

 

 

 

대응방안 1: 컨설팅, '객관적인 현황 분석'

랜섬웨어 대응의 첫 단계는 보안 컨설팅을 통한 객관적인 현황 분석입니다.

실제 사례를 살펴보면 랜섬웨어 사고를 당한 후 후속 조치를 위해 보안 컨설팅을 의뢰해 진행하는 경우가 많습니다. 

보안 컨설팅은 전반적인 보안 수준을 끌어 올리는데 큰 효과가 있기 때문에, 체계적인 보안 대응 프로세스가 갖춰지지 않은 조직이나 환경에서 랜섬웨어 공격을 사전 예방할 수 있는 가장 좋은 방안입니다.

보안 컨설팅을 구체적으로 살펴보면, 먼저 조직 내부로 접근할 수 있는 다양한 취약점 루트를 찾아내기 위해 공격자의 시각으로 내부 인프라를 점검합니다. 과거 발생한 사례 분석 자료가 풍부하게 준비되어 있기 때문에 어느 부분이 취약한지, 어떤 대응이 필요한지에 대해 신속하고 최적화된 대응을 우선 순위에 두고 가이드 할 수 있습니다.

또한, 보안 컨설팅을 통해 전반적인 침해 상황 분석과 함께 취약점 진단 정보를 리포트를 통해 제공합니다. 특히, 주요 자산에 대해서는 상세 분석을 진행하기 때문에 최신 패치 적용 현황부터 시스템 운영 현황까지 세부 통계 데이터도 제공 가능합니다.

컨설팅을 통해 기대할 수 있는 랜섬웨어 대응 효과는 아래와 같습니다.

 

 

 

대응 방안2: 트레이닝, ‘쉽고 친근한 접근’

랜섬웨어 두번째 대응 방안은 바로 트레이닝(Training)입니다. 여기서 트레이닝은 보안 담당자 그리고 일반 사용자에 대한 교육 등 다양한 종류의 트레이닝을 포함하는데요.

기능에 맞게 세분화된 보안 조직과 다양한 솔루션이 준비되어 있어도 사용자의 보안 교육이 제대로 되어 있지 않다면 랜섬웨어 공격은 언제든 발생할 가능성이 큽니다.

보안 담당자는 최적화된 내부 사용자 보안 교육을 위해 기본적으로 최신 보안 이슈와 트렌드를 지속적으로 접하고 업데이트 해야 합니다.

 

 

 

대응방안3: 솔루션, 자동화된 대응 체계

세번째 단계는 솔루션을 통한 자동화된 대응 체계 수립입니다.

랜섬웨어 전용 솔루션이 시장에 많이 나와있지만, 다양한 공격 중, 솔루션에서 모니터링하는 일부 영역에 대해서만 최적화된 방어 기능이 동작하기 때문에 치밀하게 설계된 타깃형 랜섬웨어 공격을 방어하기에는 한계가 있습니다.

랜섬웨어 대응에 있어 다양한 구간 별로 운영되는 솔루션 역할에 대해 알려드립니다.

네트워크, 이메일, 엔드포인트 구간을 통한 랜섬웨어 공격이 발생하고 있기 때문에 해당 역역의 보안 솔루션을 통해 대응이 가능합니다.

 

 

네트워크: 방화벽, IPS/IDS, APT 대응 솔루션의 조화

기본적으로 네트워크 구간에는 방화벽이 존재합니다. 방화벽은 랜섬웨어 다운로드 가능성이 높은 IP나 웹사이트에 대해 실시간으로 차단하는 기능을 제공하며, 외부에서 내부의 중요 자산에 대한 IP, 포트(Port)접근을 차단하는 역할도 담당합니다.

IPS(Intrusion Prevention System)과 IDS(Intrusion Detection System)솔루션은 외부에서 시도하는 스캔 공격을 탐지하고 감염 PC에서 네트워크 취약점 공격을 통해 주요 서버로 확산을 시도하는 공격을 방어합니다. 이를 통해 감염이 의심되는 PC정보도 탐지해 낼 수 있습니다.

 

마지막으로 APT솔루션은 네트워크 구간에서 웹, 파일서버, FTP를 통해 이동되는 전체 파일 중 랜섬웨어를 식별하고 분석합니다. 시그니처, 평판 엔진 외에도 샌드박스 엔진으로 알려지지 않은 신 ·변종 랜섬웨어도 탐지합니다.

 

 

이메일: APT 대응 솔루션 활용

이메일을 통해 들어오는 랜섬웨어를 방어하기 위해서는 첨부파일과 메일 본문의 링크까지 검사해야 합니다. 메일에 첨부된 실행파일이나 공격에 활용되는 다양한 스크립트 확장자를 사전에 필터링하는 정책을 적용하는 것입니다. 공격자들은 랜섬웨어를 직접 첨부하지 않고 메일 본문 또는 문서파일 내에 랜섬웨어 다운로드 링크를 삽입하여 발송하는 수법을 활용하고 있습니다.

이와 같은 랜섬웨어 공격을 방어하기 위해서는 APT 솔루션을 통해 메일 본문과 첨부문서의 본문 링크를 이용해 배포되는 파일을 수집하여 샌드박스 분석을 진행해야 합니다.

 

 

엔드포인트: 보안 플랫폼 연동을 통한 대응

엔드포인트 구간에서 위협에 효과적으로 대응하기 위해서는 백신, 패치 관리, EDR 등이 각자의 역할을 하면서 유기적으로 통합되어야 합니다.

TIP: 최신 위협 정보 습득

TIP(Threat Intelligence Platform)를 활용할 경우 랜섬웨어 공격에 대한 다양한 최신 정보를 얻을 수 있습니다. TIP는 악성코드 관련 해시(Hash)나 IP의 정상·악성 여부를 제공하는데 그치지 않고, 실제 기업·기관에서 발생한 침해 사고와 관련된 위협 상관 관계 분석 등 풍부한 위협 정보를 제공합니다.

‘클라우드 샌드박스’ 역시 TIP에서 제공됩니다. 파일 또는 URL을 TIP에서 제공하는 클라우드 샌드박스 환경에서 분석할 수 있는데, 윈도우와 리눅스 환경을 지원하며, 분석 결과에 대한 다양한 이벤트 분석 정보도 확인이 가능합니다.

 

이처럼 랜섬웨어를 효율적으로 예방하고 대응하기 위해서는 특정 솔루션에만 기대하는 것이 아니라, 현재 운영하고 있는 다양한 보안 솔루션들을 적재적소에 최적화하여 활용해야 합니다.

 

 

 

대응 방안 4: 전분 서비스, ‘보안 전문가의 지원’

마지막으로 제안하는 랜섬웨어 대응 방법은 바로 보안 전문 서비스 활용입니다.

앞서 소개해드린 컨설팅, 트레이닝, 솔루션이 랜섬웨어 감염을 사전에 예방하고자 하는 목적이라면, 보안 전문 서비스는 보안 사고 발생 이후 어떻게 피해를 최소화하고 대응해 나갈지에 관한 가이드를 제공하는 것이 핵심입니다.

 

대표적인 두가지 서비스는 ‘악성코드 전문가 분석 서비스’입니다. 이는 랜섬웨어 등 공격에 사용된 파일을 분석가가 직접 정밀하게 분석하여 파일의 주요 행위, 특징 및 대응 방안을 종합적으로 검토해 고객에게 보고서를 제공합니다.

다음은 ‘침해사고 분석 서비스’인 A-FIRST(AhnLab Forensic & Incident Response Service Team)입니다. 랜섬웨어로 인한 보안 사고 발생 시, 감염된 자산에 대한 디지털포렌식 작업을 통해 감염이 어떤 경로로 발생했는지, 어떤 범위까지 피해가 있었는지를 분석하는 서비스입니다. A-FIRST의 보고서는 보안 사고의 시작부터 끝까지 전체 과정을 면밀하게 분석해 결과를 제공합니다. 이를 통해 대응 및 사고 수습 방안에 대한 자세한 정보를 가이드합니다.

 

 

지금까지 4가지 랜섬웨어 대응 방안에 대해 살펴보았는데요.

보안 관점에서 내부 IT 인프라 환경에 대해 상세 분석을 진행한 적이 없는 환경이라면, 컨설팅을 통해 외부에 노출된 위협부터 제거해 나가는 것이 합리적인 방안이라고 생각합니다.

랜섬웨어는 기술과 사람이 협력할 때 가장 효과적으로 대응할 수 있습니다. 랜섬웨어에 대한 두려움을 갖기 보다는, 대응을 위해 현재 준비된 것이 무엇이며 어떤 것을 더 보완해야 할지 지속적으로 검토하여 더욱 견고한 방어 체계를 만들어 나가야 합니다.


첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close