보안 / 프라이버시

랜섬웨어에 대처하는 11가지 방법

Ryan Francis | CSO 2016.06.30
바이러스가 지난 10년 동안 봇넷과 각종 악성코드로 진화했듯이 공격자들은 기존의 위협을 재무장하는 새로운 방법을 끊임없이 찾는다.

현재 악성코드 분야의 주된 동향은 랜섬웨어의 확산이다. 랜섬웨어의 시초는 FBI를 가장한, 단순한 잠금 화면 경고문이었던 레베톤(Reveton)으로 거슬러 올라간다. 2016년에는 로키(Locky), 케르베르(Cerber), 마데바(Madeba), 맥텁(Maktub) 등 새로운 랜섬웨어 군이 지속적으로 등장했다.

이런 랜섬웨어는 올해 여름 더욱 기승을 부릴 것으로 예상된다. 랜섬웨어는 정말 위험하다. 사이포트(Cyphort)의 위협 대처 전문가인 닉 빌로고르스키는 랜섬웨어 공격 퇴치를 위한 7가지 팁을 공개했다. 추가적으로 얼럿 로직(Alert Logic)이 제공하는 추가 팁까지 총 11가지 방법을 통해 랜섬웨어 위협에 대처하자.

소프트웨어, 특히 어도비와 마이크로소프트, 오라클 앱의 최신 패치 설치
랜섬웨어의 일반적인 침투 경로는 앵글러(Angler)와 같은 익스플로잇 키트다. 익스플로잇 키트는 다수의 애플리케이션 취약점을 하나의 키트에 묶고, 각 취약점에 대해 순차적으로 드라이브-바이 익스플로잇을 시도한다. 앱이 패치되지 않고 오래 방치될수록 이런 익스플로잇이 성공해 랜섬웨어에 감염될 확률도 높아진다.

네트워크 보호 사용
종합적인 보안 전략에서 매우 중요한 한 가지는 머신러닝(machine learning)과 행동 분석(behavior analysis)을 기반으로 하는 네트워크 트래픽 모니터링 시스템을 사용하는 것이다. 이러한 공격의 대부분은 인터넷 채널을 통해 유입되므로 네트워크 보호가 이메일 트래픽과 웹 트래픽을 모두 분석할 수 있도록 해야 한다.

행동 탐지 기능이 있는 종합적인 엔드포인트 보안 솔루션 사용
엔드포인트, 일반적으로 사용자 컴퓨터는 랜섬웨어 감염이 발생하는 위치다. 따라서 엔드포인트에도 비시그니처 기반(signature-less)의 최신 보안 솔루션을 사용하는 것이 중요하다. 행동 탐지라고도 하는 비시그니처 기반 방식은 새로 발생해서 아직 시그니처가 작성되지 않은 제로데이 위협을 잡아낼 수 있는 유일한 방법이다.

윈도우 사용자 액세스 제어 활성화
윈도우에 추가된 사용자 액세스 제어(Windows User Access Control, UAC)는 프로그램이 관리자 수준의 권한이 필요한 변경을 수행할 때 이를 사용자에게 알림으로써 컴퓨터에 대한 통제력을 유지할 수 있게 해주는 기능이다.
UAC는 사용자 계정의 권한 수준을 조정한다. 즉, 사용자가 관리자로 로그인했더라도 이메일 읽기, 음악 듣기, 문서 작성 등 표준 사용자로 수행 가능한 작업을 할 때는 표준 사용자 권한이 부여된다. 이 기능을 최대한 활용하라.

늘 의심하는 자세: 수상한 것은 클릭 금지 
출처 불명의 이메일이나 첨부 파일은 클릭하지 말고, 의심스러운 웹사이트는 아예 피하라. 대부분의 감염은 첨부 파일 열기, 웹사이트 방문과 같은 사용자의 행위를 통해 이루어지므로 피해를 최소화하기 위한 가장 효과적인 방법은 철저한 경계심을 유지하는 것이다.

팝업 차단
팝업은 공격자들이 악성 소프트웨어를 퍼뜨리기 위해 흔히 사용하는 방법이다. 팝업을 우발적으로 클릭하는 상황을 방지하려면 애초에 뜨지 않도록 차단하는 것이 최선이다.

브라우저의 사용자 에이전트 변경
일부 익스플로잇 키트는 사용자 에이전트를 사용해 운영체제에 맞게 익스플로잇을 조정한다. 따라서 사용자 에이전트를 의도적으로 잘못 설정하는 방법으로 이러한 익스플로잇을 속이는 방법도 효과적이다. 예를 들어 윈도우에서 파이어폭스를 사용하는 경우 사용자 에이전트에 "Firefox on Linux"를 설정해 악성코드 리디렉터와 익스플로잇에 혼선을 주는 방법이다.

보안 솔루션을 사용해 랜섬웨어 탐지
사용자가 악성 이메일을 열거나 피싱 링크에 속아 클릭하는 경우를 완전히 방지할 수는 없다. 이 경우 파일이 열리고 이 파일이 웜처럼 작동하면서 IT 인프라나 조직 인프라 전반으로 감염을 확산시켜 피해를 입히게 된다. 따라서 이런 버그가 문제가 되기 전에 탐지해 박멸할 수 있도록 우수한 보안 솔루션을 두는 것이 중요하다.

견고한 위협 인텔리전스가 핵심
적이 누구인지 아는 것이 중요하다. 어느 그룹이 어떤 랜섬웨어의 어느 버전을 사용하는지, 그리고 이러한 공격을 저지르는 여러 그룹에서 사용하는 중앙 인프라는 무엇인지 등을 알아야 한다. 또한 시스템이 감염될 때 보안 솔루션에서 이를 탐지할 수 있도록 감염의 징후를 파악하는 것도 중요하다.

지속적인 모니터링의 가치에 대한 과소 평가 금물
"제품 + 서비스" 접근 방식을 제안하는 보안 벤더를 찾아라. 시장을 선도하는 보안 기술도 중요하지만 IT 인프라를 보호하고 랜섬웨어 등의 위협을 차단하기 위해서는 여기에 보안 전문가의 24x7 모니터링을 결합하는 것이 최선의 방법이다. 업무 시간이 끝난 후 아무도 인프라를 살피지 않는다면 그 시간 동안 악성코드는 자유롭게 IT 인프라를 감염시킬 수 있다.

견고하고 심층적인 백업 계획 수립
랜섬웨어 공격을 받기 전에 백업 계획을 수립해 공격을 받아도 데이터에 접근 가능하도록 하는 것이 중요하다. 조직의 백업 전략에는 오프라인 백업이 반드시 포함되어야 한다. 수작업 과정이 필요할 수 있지만 온라인 백업은 공격자에 의해 암호화되므로 아무런 효력이 없다.
데이터 복원과 복구에서 어려운 점이 무엇인지 파악하고, 백업 계획에 이러한 부분을 반영해야 한다. 백업 계획을 수립할 때는 시스템과 데이터를 분류하는 것이 중요하다. 조직에서 가장 중요한 시스템과 데이터가 무엇인지 확인하고, 인프라에서 가장 핵심적인 시스템에는 더욱 주의를 기울여야 한다. editor@itworld.co.kr
 Tags 랜섬웨어

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.