Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

“기본 보안 설정부터 IT 관리자들을 위한 정보까지” 윈도우 10 랜섬웨어 예방 방법 총정리

크립토락커(CryptoLocker). 워너크라이(Wannacry). 페트야(Petya). 배드 래빗(Bad Rabbit). 단기간에 랜섬 웨어 위협 지평이 안정화 되기를 기대하기에는 무리가 있어 보인다. 뉴스를 확인할 때마다 전 세계를 휩쓰는 치명적인 악성코드 소식이 들려 온다. 이처럼 랜섬웨어가 기승을 부리는 이유 중 하나는 이런 류의 공격이 공격자에게 즉각적인 이득을 가져다 주기 때문이다. 랜섬웨어는 하드 디스크에 있는 파일을 암호화 하고, 그에 대한 대가를 (대게 비트코인과 같은 암호 화폐의 형태로) 지불하지 않으면 파일 암호화를 풀어주지 않겠다고 협박한다.  그렇다고 손 놓고 앉아서 당할 수만은 없다. 랜섬웨어로부터 PC를 보호하기 위해 윈도우 10 사용자들이 할 수 있는 보호 조치들이 없지 않다. 이 글에서는 윈도우 10에 내장되어 있는 안티 랜섬웨어 툴 사용을 비롯하여 랜섬웨어로부터 PC를 안전하게 지키는 방법을 소개하려 한다.  단, 이 기사는 악성코드 감염을 막기 위한 기본적이고 일반적인 주의를 다 하고 있다는 전제 하에 쓰였다. 안티-악성코드 소프트웨어를 이미 사용하고 있으며, 모르는 사람이 보내온 이메일이나 수상해 보이는 이메일의 첨부 파일을 클릭하지 않는 것은 굳이 말하지 않아도 지켜야 하는 기본 중 기본이다. 또한 이 기사는 2020년 10월 윈도우 10 업데이트(20H2 버전)에 맞춰 업데이트되었다. 아직 윈도우 10 구 버전을 쓰고 있다면 몇몇 세부 사항이 다를 수도 있다.   윈도우 10의 제어된 폴더 액세스 기능 활용 마이크로소프트 역시 최근 기승을 부리는 랜섬웨어에 대해 잘 알고 있음이 분명하다. 그랬기에 윈도우 10에 손쉽게 설정, 사용할 수 있는 안티 랜섬웨어 툴을 내장해 두었다. 지난해 10월 출시된 가을 크리에이터스 업데이트 이후 모든 윈도우 10 버전에는 ‘제어된 폴더 액세스(Controlled Folder Access)’라는 기능이 포함되어 있다. 제어된 폴더 액세스 기능은 안전이 확...

안티바이러스 예방 랜섬웨어 2020.12.01

RaaS 대표주자 '레빌' 랜섬웨어, 지난해 최소 8,100만 달러 수익

레빌(REvil)은 서비스로서의 랜섬웨어(Ramsomware as a Service, RaaS) 공격으로, 지난 해 세계적으로 기관과 기업들로부터 큰 돈을 강탈했다. 레빌이란 이름은 영화 레지던트 에빌(Resident Evil)을 모티브로 한 랜섬웨어 에빌(Ransomeware Evil)을 의미한다. 보안업체들이 발간한 최근 보고서에서 따르면, 이는 가장 널리 퍼진 랜섬웨어 위협이며, 이의 배후 집단은 비즈니스 데이터까지 훔쳐 이를 공개하겠다고 위협함으로써 강탈 활동을 배가시켰다.   레빌은 소디노키비(Sodinokibi)라고도 하며 2019년 4월 처음 출현했는데, 갠드크랩(GranCrab)이라는 다른 RaaS 집단이 활동을 중단한 후 유명세를 타기 시작했다. 레빌이 처음 출현했을 때 전문가와 보안업체는 이를 갠드크랩의 변종으로 봤으며, 변종이 아니더라도 최소한 이들 사이에는 연관성이 있다고 주장했다. 하지만 이 공격 집단의 구성원으로 추정되는 언노운(Unknown)이라는 필명을 사용하는 인물은 최근 인터뷰에서 레빌이 새로운 창작물이 아니라, 이들이 입수한 오래된 코드베이스를 바탕으로 구축했음을 확인해줬다.    이 RaaS 공격의 배후에 있는 개발자는 이른바 ‘협력자(affiliates)’라고 알려진 사이버 범죄자에 의존해 랜섬웨어를 유포했다. 랜섬웨어의 개발자는 불법 수익금의 20~30%를 가져가고, 나머지는 실질적으로 기업 네트워크에 접속하고 악성코드를 배포하는 일을 하는 ‘협력자’가 가져간다.  RaaS 공격이 성공적일수록 유능한 협력자를 유인할 가능성이 높아지고, 한 공격이 끝나면 협력자는 신속히 다른 공격으로 넘어간다. 이는 과거 갠드크랩(GandCrab)에서 나타났고, 좀 더 최근에는 메이즈(Maze)에서 발생했다. 이의 구성원들이 이번 달 초 활동 중단을 발표하자, 협력자들은 에그리거(Egregor), 또는 세크메트(Sekhmet)라고 알려진 새로운 랜섬웨어 계열로 신속히 이동했다.   레빌, ...

랜섬웨어 RaaS 레빌 2020.11.24

랜섬웨어 피해자가 되는 7가지 어리석은 방법과 대비책

랜섬웨어 공격자를 도와주지 말자. 지금 윈도우 네트워크의 이들 취약점을 확인해 보면, 깜짝 놀랄 것이다. 랜섬웨어가 다시 기승을 부리기 시작했다. 보도에 따르면, 공격자는 의료기관을 노리고 회의 초대나 송장으로 위장한 피싱 공격을 사용한 것으로 드러났다. 이런 초대장에는 구글 문서 링크가 포함되어 있는데, 링크의 PDF는 다시 프리뷰나 테스트 같은 이름의 실행 파일로 연결된다. 일단 랜섬웨어가 시스템에 진입하면, 공격자는 피해자의 네트워크에 남겨진 그야말로 쉽게 딸 수 있는 열매를 따먹고, 옆으로 이동해 더 많은 피해를 입힌다.   이렇게 쉽게 문이 열리는 것은 막을 수 있는 일이며, 오래되고 잊힌 설정이나 구식 정책의 결과물일 수도 있다. 여기서는 7가지 흔한 윈도우 네트워크 취약점을 점검해 랜섬웨어 침입자를 막는 방법을 소개한다.   그룹 정책 등록정보에 저장된 패스워드 그룹 정책 등록정보에 패스워드를 저장해 본 적이 있는가? 2014년 MS14-025 패치는 그룹 정책 등록정보에 안전하지 않은 방법으로 패스워드를 저장하는 기능을 삭제했다. 하지만 기존 패스워드를 삭제하지는 않았다. 랜섬웨어 공격자는 파워셸 스크립트 Get-GPPPassword를 사용해 남아있는 패스워드를 획득했다. 그룹 정책 등록정보를 이런 식으로 패스워드를 저장한 적이 있는지 확인하기 바란다. 이외에도 자격 증명을 스크립트나 배치 파일에 남겨둔 적은 없는지 생각해보라. 관리 프로세스를 점검해 패스워드가 노트패드 파일처럼 보호되지 않는 파일에 남아있지 않은지도 확인해야 한다.   원격 데스크톱 프로토콜 사용 아직도 안전하지 않은 RDP(Remote Desktop Protocol)를 사용하는가? 여전히 공격자가 무작위 대입 공격으로 자격 증명을 수집해 웹에 열려 있는 RDP로 침입했다는 보도가 나온다. 원격 데스크톱으로 서버나 가상머신, 심지어 애저 서버를 구축하는 것은 매우 쉽다. 특정 IP 주소에만 액세스를 허용하거나 다중 인증을 사용하는 등 최소한의 ...

랜섬웨어 취약점 패스워드 2020.11.20

미 재무부 랜섬웨어 몸값 지불 금지 조치로 곤란에 처한 피해자와 관련 업계

2020년 10월, 미국 재무부의 해외재산관리국(Office of Foreign Assets Control, OFAC)은 기관과 기업이 사이버 범죄자 그룹 또는 국가가 후원하는 해커에 대한 몸값 지불에 대해 경고했다.   이 주의보는 렌섬웨어의 몸값 수익화 모델을 파괴할 수 있지만 피해자, 보험사 및 사고 대응 제공업체들이 이런 유형의 공격으로 인해 훨씬 많은 비용이 발생하고 복구에 더 많은 시간이 소요되는 어려운 상황에 처하게 된다. 미 재무부는 해당 주의보에서 “OFAC은 엄격한 법적 책임에 기초해 제재 조치 위반에 대해 민사 처벌을 내릴 수 있기 때문에 미국의 관할권이 적용되는 사람은 OFAC가 관장하는 제재 조치 법과 규정에 따라 금지되는 사람과 거래하고 있음을 몰랐거나, 알 수 없는 경우라도 민사적인 책임을 질 수 있다”라고 밝혔다. 몸값으로 성장하는 랜섬웨어 랜섬웨어는 개인 사용자 위협으로 시작됐으며 사용자들이 가짜 보안 제품을 사거나 가공의 벌금을 지불하도록 가짜 팝업으로 속이는 오래된 스케어웨어(Scareware) 모델의 진화된 버전이다. 사실, 초기에는 랜섬웨어 프로그램이 파일을 암호화하지 않았으며 계속 표시되는 오버레이 화면과 기타 기법으로 사용자가 컴퓨터를 사용하지 못하도록 하는 수준이었다. 랜섬웨어 영역에서 피해자를 두고 경쟁이 심화되면서 일부 범죄 그룹은 소비자와 기업을 차별 없이 표적화하기 시작했지만 2017년 워너크라이(WannaCry)와 낫페트야(NotPetya) 공격이 발생하면서 사이버 범죄자들은 기업 네트워크가 얼마나 취약한지 알게 되었다.  지난 3년 동안 정교한 사이버 범죄자 그룹들이 다른 유형의 금융 범죄에서 랜섬웨어로 전향하고 있다. 이들은 APT 스타일의 기법(신중한 표적 선택, 심층적인 정찰, 횡적 이동, 파일리스(Fileless) 실행, 자급자족 등)을 사용하며 공격 결과가 매우 성공적이다. 몸값 요구의 가치도 크게 상승했으며 피해자당 수백에서 수백만 달러로 다양하다. 공격자들은 요구 ...

랜섬웨어 몸값지불 미국재무부 2020.10.26

“랜섬웨어, 단순 백업으론 안된다” 전용 프로토콜을 통한 차세대 백업 전략 – IDG Summary

백업은 랜섬웨어의 위협에서 기업이 데이터를 보호하고 비즈니스를 지속할 수 있는 최후의 보루다. 하지만 최근의 랜섬웨어는 백업까지 노리고 있어 단순 백업으로는 랜섬웨어의 위협에서 벗어나기 어렵다. 네트워크에서 완전 분리된 백업 인프라를 갖추면 좋지만, 비용이나 리소스 측면에서 쉽게 선택할 수 있는 방법이 아니다. 퀘스트소프트웨어의 넷볼트 플러스는 전용 프로토콜을 사용함으로써 네트워크 백업의 장점을 유지하면서도 랜섬웨어의 위협에서 벗어날 수 있도록 하는 솔루션이다. 전용 프로토콜의 가치와 랜섬웨어 전용 백업 시스템을 포함한 랜섬웨어 피해 최소화를 위한 계층적 방어 체계에 관해 알아본다.  주요 내용 - ‘단순 백업은 안전하지 않다’ 올바른 백업 방식은? - ‘격리된 백업 환경’ 구성이 최선 - 유니크한 프로토콜로 랜섬웨어의 눈길을 피하는 넷볼트 플러스 - 공격 표면의 최소화 - 랜섬웨어 피해 최소화를 위한 ‘계층적 방어’  

랜섬웨어 백업 백업보안 2020.10.12

표적 랜섬웨어, 웨이스티드로커가 피해자로부터 수백만 달러를 갈취한 방법

웨이스티드로커(WastedLocker)는 2020년 5월부터 기업과 기관을 공격하기 시작한 랜섬웨어 프로그램으로, 피해자별로 수백만 달러에 달하는 몸값을 요구하는 것으로 유명하다. 웨이스티드로커를 만든 이들은 미국에서 형사 기소된 상황에서도 10년 넘게 활동을 해오고 있는 고도의 기술력을 보유한 사이버 범죄자 그룹이다.   웨이스티드로커 만든 이블 코프, 드라이덱스 악성코드와 봇넷 운영  웨이스티드로커를 만든 그룹은 스스로를 이블 코프(Evil Corp)로 칭하며, 소속된 범죄자 가운데 일부는 사이버 범죄 세계에서 오래 전부터 활동해왔다. 이 그룹은 2011년부터 드라이덱스(Dridex) 악성코드와 봇넷(botnet)을 운영하는 것으로 가장 잘 알려졌지만 지난 수년 동안 여러 랜섬웨어 프로그램도 만들어 배포했다. 크라이덱스(Cridex), 부가트(Bugat)라는 이름으로도 알려진 드라이덱스는 피해자의 브라우저에 가짜 로그인 페이지를 주입해서 온라인 뱅킹 인증 정보를 훔치는 트로이목마 프로그램으로 시작됐다. 미국 법무부는 2019년 12월 러시아 국적의 막심 야쿠베츠와 이고르 투라셰프를 드라이덱스 악성코드 제작 및 운영 혐의로 다른 여러 명과 함께 기소했다. 야쿠베츠는 오래 전인 2009년의 금전 갈취 사건에도 연루된 것으로 지목됐으며 악명높은 제우스(Zeus) 뱅킹 트로이목마에도 관여했다. 제우스 트로이목마의 소스코드는 2010년 유출된 후 드라이덱스를 포함한 다른 많은 뱅킹 트로이목마의 기반으로 사용됐다. 야쿠베츠와 투라셰프는 FBI의 사이버 지명 수배자 명단에 올라있으며, 미국 수사기관은 야쿠베츠 체포로 이어지는 정보 제공에 대해 최대 500만 달러의 포상금을 걸었다. 미국 재무부 역시 이블 코프 그룹에 대한 제재를 시행했다. 지난 수년 동안 드라이덱스는 뱅킹 트로이목마에서 악성코드 배포 플랫폼으로 발전했으며, 제작자들은 카바낙/FIN7(Carbanak/FIN7), TA505를 포함한 다른 악명높은 사이버 범죄 그룹과 연대해 ...

웨이스티드로커 WastedLocker 랜섬웨어 2020.09.24

“피해 규모는 더 커지고, 잡기는 더 어렵다” 전문가가 전하는 랜섬웨어의 현주소

랜섬웨어는 디지털 네트워크의 가장 고질적이고 일반적인 위협이 됐다. 사이버보안 보험금 청구 건수의 41%가 랜섬웨어 공격에서 나오는 지금, 랜섬웨어가 보안 전문가, 정부 관계자, 법 집행 전문가에게 최우선이라는 사실은 놀랍지 않다.  NCSC(National Cyber Security Center)의 최고 전략 책임자인 마크 웨더포드는 의회 관계자, 싱크탱크, 언론을 대상으로 국가적 난제에 대한 인식 고취 및 교육을 제공하는 제3회 연례 ‘핵 더 캐피톨(Hack the Capitol)’ 행사에서 참석자에게 “랜섬웨어는 더욱 심각해질 것이다. 안타깝지만 거의 완벽한 범죄다. 성공하기 쉽고 잡아내기도 거의 불가능하다”라고 말했다. 대규모 랜섬웨어 사건이 미디어에서 다뤄지는 가운데, 웨더포드는 소규모 기업의 랜섬웨어 피해에 대해 우려를 표했다. 그는 “중소기업은 그들이 속한 위협 환경을 이해할 수 있는 리소스나 기술적 인사이트가 없다”고 지적했다. 랜섬웨어 공격으로 인한 피해가 불가피해 보일 때도 있다. 웨더포드는 “기업에서 일하고 있는 주변의 많은 친구들은 대규모 랜섬웨어 공격에 당했을 때, 말 그대로 아무런 대책 없이 손을 놓고 있었다”고 밝혔다.     더욱 악화되는 랜섬웨어 미 국토안보부(Department of Homeland Security, DHS) 사이버·인프라보안국(Cyber and Infrastructure Serurity Agency, CISA)의 최고 사이버 위협 애널리스트인 렉스 부스는 CISA의 연례 사이버서밋(Cybersummit)에서 “랜섬웨어는 정말 심각한 문제다. 가장 흥미로운 유형의 공격은 아닐지도 모른다. 항상 가장 정교하지 않을 수도 있다. 때로는 솔직히 쉽게 예방할 수 있다”고 말했다. 이어 “랜섬웨어로 피해를 받고 있다면, 이보다 더 큰 문제는 없다. 정말 심각한 문제다. 데이터에 액세스할 수 없고, 시스템을 사용할 수도 없다. 복구할 수 있을지도 몰라 혼란스럽다”고 설명했다. ...

랜섬웨어 FBI 보안 2020.09.23

2020년 랜섬웨어 범죄자에게 인기있는 4가지 취약점

재택근무가 증가함에 따라 엔드포인트를 타깃으로 삼는 해커가 늘고 있다. 원격 접속용 툴과 윈도우에 있는 취약점들을 제때 패치하지 않으면 해커의 공격에 무방비로 당할 수 있다.     2020년 한 해를 가장 뜨겁게 달군 보안 이슈로는 코로나19 관련 피싱과 원격 근무자를 표적으로 삼은 공격이 증가한 점을 꼽을 수 있다. 뉴욕시 당국의 경우 재택근무 명령이 발효된 이후, 각종 위협으로부터 보호해야 할 엔드포인트가 8만 곳에서 75만 곳으로 늘었다.     최근 체크포인트 소프트웨어(Check Point Software)는 보고서에서 “코로나19 관련 주제를 미끼로 삼은 소셜 엔지니어링 공격이 확산됐다”라고 언급했다. 코로나 대유행과 관련된 이름으로 도메인이 구축됐으며, 사람들이 화상회의 플랫폼을 사용하자 해커들은 줌이나 팀즈 등의 플랫폼으로 이동해 공격을 시도했다.   한 가지 불편한 진실이 있다. 2020년 상반기에 포착된 해킹의 80%는 2017년 혹은 그 이전에 보고된 취약점을 악용했다는 사실이다. 아울러 해킹의 20%는 보고된 지 최소 7년이 지난 취약점을 통해 이뤄졌다. 이는 사람들이 소프트웨어를 최신 상태로 유지하지 않는다는 점을 시사한다.     랜섬웨어는 2020년에도 여전히 커다란 위협이었지만 색다른 양상이 포착되기도 했다. 최근 보안위협 분석업체 센스사이(SenseCy)의 연구에 따르면, 랜섬웨어 공격이 모두 윈도우의 취약점을 노린 것은 아니었다. 해커들은 윈도우 네트워크에 원격 접속할 때 쓰이는 툴의 취약점을 파고들기도 했다. 센스사이는 다음 4가지 취약점이 가장 널리 악용됐다고 전했다.   1. CVE-2019-19781: 시트릭스 애플리케이션 딜리버리 컨트롤러   취약점 CVE-2019-19781은 시트릭스(Citrix)가 개발한 원격 액세스 어플라이언스에 내장된 것이다. 2019년 12월에 발견되었으며 다음해 1월에 수정됐다. 해커는 시트릭스 ...

랜섬웨어 엔드포인트 소셜엔지니어링공격 2020.09.14

"투표 자체를 해킹하지 않아도 선거를 망칠 수 있다" 미 대선에서 주목받는 보안

새로운 보고서와 모의 훈련은 선거 자체를 해킹하지 않고도 미국 선거가 지방정부 차원에서 어떻게 중단될 수 있는 지 보여준다.    미국 연방, 주 정부에 대한 디지털 인프라 공격은 계속되고 있는데, 이는 미국이 2020년 대통령 선거를 앞두고 있는 중요한 시기에 좋지 않은 고질적인 문제다. 그동안 많은 연구가 선거 장비와 관련한 백엔드 인프라의 잠재적 해킹에 초점을 맞추고 있었는데, 최근 연구에서 공격자가 단순히 지방정부와 지역사회 시스템을 표적으로 삼는 것만으로도 투표 절차를 방해할 수 있다는 것이 밝혀졌다.   사이버보안 업체 블루 보이언트(Blue Voyant)는 최근 미국 지방정부 108개 지역의 사이버보안 태세를 조사한 연구 결과 보고서를 발표했다. 블루 보이언트 측은 2017년부터 2019년까지 미국 연방정부 및 지방정부에 대한 랜섬웨어 공격이 급격히 증가하고 있는 것을 발견했다. 또한 공격자가 요구한 몸값도 2017년 3만 달러에서 2019년 38만 달러, 일부는 100만 달러까지 넘는 것으로 나타났다.  표준화된 온라인 인프라 부족이 지방 정부 보안 저해  랜섬웨어는 선거를 포함해 지방정부 운영을 무력화시키는 데 있어 가장 많은 관심을 받고 있지만, 필수적인 서비스를 손상시킬 수 있는 다른 공격인 명백한 데이터 침해, 악성코드 설치로 이어지는 타이포스쿼팅(typosquatting), 취약한 VPN 솔루션 악용 등으로도 가능하다. 블루 보이언트 글로벌 전문 서비스 책임자 오스틴 버글라스는 본지와의 인터뷰에서 “거의 9만 개에 달하는 미국 지방정부와 지역 단체의 가장 큰 문제는 온라인 인프라와 리소스에 대한 표준화의 부족이다”라고 말했다.    미 FBI 뉴욕 사무소 사이버 지점 담당 특수 요원이었던 버글라스는 “일부 지방정부는 .gov 도메인을 사용하지도 않는다”라고 주장했다. .gov 도메인은 미국 정부 감독 아래 다중 인증(Multi-Factor Authen...

보안 랜섬웨어 타이포스쿼팅 2020.08.31

리뷰 | 트루 이미지 2021 프리미엄, 백업과 보안의 이상적인 통합

아크로니스 트루 이미지 2021 (Acronis True Image 2021) 프리미엄은 윈도우 PC용 백업과 컴퓨터 보안을 다루는 포괄적인 솔루션이다. 실제로 이 두 가지 소프트웨어 분야를 하나의 간소화된 애플리케이션으로 결합한 제품은 찾아보기 힘들다.   악성코드 방지와 백업의 결합이 처음에는 조금 이상해 보일 수 있지만, 악성코드가 감지되면 백업을 실행하거나 이전 백업에 대한 액세스를 차단하는 기능은 매우 합리적이다. 아크로니스가 처음 이런 제품을 내놓았을 때 필자는 매우 회의적이었지만, 이제는 열렬한 지지자가 됐다.   디자인과 특징 아크로니스 트루 이미지는 깔끔하고 매력적인 인터페이스로, 일단 익숙해지면 사용하기 쉽다. 다만 구성과 운영 모두에 몇 가지 단점이 있으므로, 처음 사용하는 경우 30분 정도 시간을 할애해 커서를 이곳저곳 옮기며 기능을 살펴볼 것을 권한다. 먼저 백업 기능부터 살펴보자. 트루 이미지는 드라이브나 파티션뿐만 아니라 선택한 파일과 폴더에서 이미지 파일을 생성해 프로그램 이름대로 실행된다. 백업은 드라이브 전체(full), 증분(마지막 백업 이후의 모든 항목), 차등(최초 백업 이후의 모든 항목) 중에서 선택할 수 있다. 휴대폰의 파일이나 원격 공유 네트워크 위치의 파일을 백업하고, 프리미엄 버전에서는 블록체인을 사용해 백업된 파일을 공증할 수도 있다.   백업 예약, 공간이 부족할 때는 자동 또는 수동으로 오래된 백업을 제거하고, 이외에도 백업 분할, 섹터별 또는 데이터만 복사, 실행 후 백업 유효성을 검사, 작업 전/후 명령 실행 등 다양한 기능을 지원한다. 간단히 말해, 백업 부문에서 상상할 수 있는 거의 모든 옵션이 구현했다. 이 프로그램은 또한 거의 모든 유형의 대상에 백업한다. 광학 드라이브, 아크로니스에서 제공하는 클라우드 스토리지 1TB, 하드 드라이브, 네트워크 위치 등이 여기에 포함된다. 복원 작업 중에 사용할 수 있도록 이동식 미디어에 프로그램 버전을 선택적으로 배치할 수 ...

트루이미지 아크로니스 백업 2020.08.25

“혼다도 당했다” 윈도우 네트워크에서 랜섬웨어를 막는 방법

혼다의 고객 서비스 및 재무 서비스가 최근 랜섬웨어 공격을 당한 것으로 나타났다. 카스퍼스키는 바이러스토탈(VirusTotal) 데이터베이스에서 몇몇 샘플을 발견했는데, 혼다가 스네이크 랜섬웨어의 공격 대상이었다는 것이 드러났다. 이 사고로 필자는 혼다는 어떻게 공격 대상이 되었으며, 윈도우 네트워크를 랜섬웨어 공격으로부터 더 잘 보호하기 위해 어떻게 대응해야 하는지 다시 생각하게 되었다.   카스퍼스키는 맬웨어가 nmon.bat이란 파일 이름을 사용해 실행되었다고 밝혔다. bat 확장자는 네트워크에서 사용하는 스크립트나 배치 파일로 보일 수 있는데, 많은 환경에서 허용되는 파일이다. 실제 공격에 사용된 파일 이름은 KB3020369.exe이다. 이 번호는 윈도우 7 서비스 패치에 사용된 것이지만, 실제 마이크로소프트의 패치 파일 이름은 Windows6.1-KB3020369-x64.msu이다. 공격자는 악성 파일의 이름에 “뻔히 보이는 데 숨기는” 패턴을 적용해 기술 전문가들을 속인 것이다. 스네이크 랜섬웨어는 감염된 시스템의 볼륨 섀도우 복사본(Volume Shadow Copies)을 삭제한 후 가상머신, 산업용 제어 시스템, 원격 관리 툴, 네트워크 관리 소프트웨어와 관련된 프로세스의 실행을 중지시킨다. 일련의 공격은 보안 연구원들이 스네이크 랜섬웨어를 분석한 보고서에서 지적했듯이 혼다 도메인 내부에서 도메인을 해체하도록 진행된다. 여기서 공격자가 혼다 네트워크를 노렸다는 것을 알 수 있다. 공격자는 약한 지점, 즉 사람을 노린다. 그리고는 네트워크에 숨어서 준비가 될 때까지 기다린다. 여기에 공격자가 네트워크 인프라를 정찰하는 시간은 포함되지 않는다. 이제 혼다를 공격한 랜섬웨어를 지침으로 삼아 윈도우 네트워크를 좀 더 잘 보호하는 방법을 살펴보자.   승인되지 않은 툴과 스크립트, 그룹 정책 설정을 조심하라 카스퍼스키는 예약 작업이 일부 공격을 실행하는 데 사용된다고 밝혔다. 이벤트 로그에서 이런 식의 승인되지 않은 활동을 감...

랜섬웨어 백업 혼다 2020.07.09

파일 암호화 악성코드 랜섬웨어의 동작 방식과 제거 방법

최근 감소세에도 불구하고 랜섬웨어는 여전히 심각한 위협 요소다. 파일 암호화 악성코드 랜섬웨어의 작동 방식에 대해 알아야 할 모든 것을 살펴본다.          랜섬웨어란  랜섬웨어(Ransomware)는 피해자의 파일을 암호화하는 악성코드의 일종이다. 암호화한 후, 공격자는 데이터에 대한 액세스를 복구하려는 피해자에게 몸값을 요구한다.  암호 해독 키를 얻기 위해 몸값을 지불하는 방법에 대한 지침서가 사용자에게 표시된다. 사이버범죄자에게 지불하는 비용은 비트코인으로 수백 달러에서 수천 달러에 이를 수 있다.  랜섬웨어 작동 방식  랜섬웨어가 컴퓨터에 액세스하기 위해 취할 수 있는 방법은 많다. 가장 일반적인 전송 방법은 피싱 스팸(phishing spam)이다. 사이버 범죄자는 피싱 스팸을 피해자에게 이메일로 전송하는데, 신뢰할 수 있는 파일로 가장한다.  일단 피해자가 다운로드해 열면, 특히 사용자가 관리 액세스를 허용하도록 내장된 소셜 엔지니어링 도구가 있는 경우, 피해자의 컴퓨터를 차지할 수 있다. 낫페트야(NotPetya)와 같이 더욱 공격적인 랜섬웨어는 사용자를 속일 필요없이 보안 허점을 이용해 컴퓨터를 감염시킨다.  피해자의 컴퓨터를 차지한 후에는 악성코드가 수행할 수 있는 작업이 몇 가지 있지만, 가장 일반적인 조치는 사용자 파일의 일부 또는 전부를 암호화하는 것이다. 여기서 알아야 할 것은 작업이 끝난 후에는 공격자만 알고 있는 키가 없으면 파일을 해독할 수 없다는 점이다. 사용자는 이제 파일에 액세스할 수 없으며, 피해자가 추적할 수 없는 비트코인을 공격자에게 보내는 경우에만 해독할 수 있다는 메시지를 받는다.  일부 악성코드에서 공격자는 포르노 또는 불법 복제된 소프트웨어가 존재해 피해자의 컴퓨터를 폐쇄하고 벌금을 지불하라고 요구할 수 있는 법 집행기관이라고 주장하는데, 아마도 피해자들이 당국에 신고할 가능성이 낮기 때문...

랜섬웨어 2020.06.25

'가장 성공한 랜섬웨어 표적 공격' 류크의 특성과 대응 방법

류크(Ryuk) 랜섬웨어 공격은 가장 취약하고 비용을 지불할 가능성이 높은 기업을 표적으로 삼고, 종종 트릭봇(TrickBot)과 같은 다른 악성코드와 연합한다.      류크 랜섬웨어란 무엇인가  류크는 기업, 병원, 정부 기관 및 기타 조직을 표적으로 한 정교한 랜섬웨어 위협이다. 류크 공격자는 수동 해킹 기술과 오픈소스 도구를 사용해 내부 확산을 파일 암호화를 시작하기 전에 가능한 많은 시스템에 대한 관리 액세스 권한을 얻는 것으로 알려져 있다.   류크는 2018년 8월에 처음 등장했지만, 2017년에 사이버범죄 시장에서 판매된 오래된 악성코드인 헤르메스(Hermes)를 기반으로 한다. 헤르메스는 2017년 10월, 대만의 극동국제은행(FEIB) 공격 때 북한의 후원을 받는 라자러스 그룹(Lazarus Group)이 사용했던 것으로, 류크 또한 북한 해커가 만들었다는 주장이 나왔다. 이 주장에 대해 여러 보안업체가 반박해 류크는 현재 헤르메스에 접근할 수 있었던 러시아어를 사용하는 사이버범죄 그룹이 만든 것으로 여겨진다. 일부 보안업체는 류크 공격자를 추적하고 있는데, 류크와 관련이 있는 훨씬 오래되고 활발한 자격 증명 탈취 프로그램인 트릭봇을 운영하는 집단과 동일할 것이라고 추정했다. 다른 연구진은 “류크가 원래 헤르메스 저작자나 크립토테크(CryptoTech)가 운영하는 작가의 창작물일 수 있다”며, “개선된 버전을 개발한 후 랜섬웨어 판매를 중단한 것”이라고 주장했다.  류크 공격자는 다른 랜섬웨어 공격 집단에 비해 피해자에게 더 많은 몸값을 요구한다. 몸값은 일반적으로 약 10만~50만 달러 가치인 15~50비트코인으로 알려져 있지만, 더 많은 몸값이 지불된 것으로 보고됐다. 류크 공격자는 보안 업계에서 통상적으로 빅 게임 헌팅(big game hunting)이라고 부르는 많은 몸값을 지불할 조직을 표적으로 공격하기 때문에 고수익 창출을 거두고 있다.    ...

랜섬웨어 류크 Ryuk 2020.05.14

KISA, 랜섬웨어 피해 예방 5대 수칙 발표

한국인터넷진흥원(KISA)은 최근 랜섬웨어로 인해 중·소규모 웹호스팅 업체가 피해를 입는 등 기업과 개인을 대상으로 한 랜섬웨어 공격이 지속적으로 발생하고 있어 이에 대한 철저한 보안점검과 대비를 당부했다. 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 뒤 금전을 요구하는 악성 프로그램으로, 감염 이후 데이터 복구 등의 사후조치가 어려워 무엇보다 예방이 가장 중요하다. 또한, 백업 데이터가 인터넷에 연결된 경우 함께 감염되는 사례도 있어 백업 시 인터넷에 연결되지 않은 오프라인으로 관리하는 등 주의가 요구되는 상황이다. 이에 KISA는 국민·기업의 랜섬웨어 감염 예방 및 피해 최소화를 위해 ‘랜섬웨어 피해 예방 5대 수칙’과 ‘랜섬웨어 대응·백업 가이드’를 제공하고 있다. 주요 내용은 ▲백업체계 구축 및 운영 ▲백업 체계의 보안성 강화 ▲주요 시스템 보안점검 등으로 사전에 대응할 수 있는 방안을 담고 있다. 이와 함께 KISA는 각 기관 및 기업의 내부 주요 시스템 외에도 자사, 고객사, 협력사 등에서 관리하는 시스템에 대한 보안 점검을 철저히 해 각종 사이버 공격으로부터 피해가 발생하지 않도록 예방 활동을 강화하자고 강조했다. 또한, 랜섬웨어 감염 등 침해사고 정황이 의심되는 경우 KISA에 즉시 신고할 것을 당부했다. KISA는 현재 랜섬웨어로 인한 피해를 최소화하기 위해 국내·외 보안업체와 협력 네트워크를 구축해 실시간 랜섬웨어 정보공유 체계를 운영하고 있으며, 특히 상황실을 24시간 운영해 랜섬웨어 국내·외 이상 징후 및 사고 사례를 지속적으로 모니터링하고 있다고 밝혔다. KISA 김석환 원장은 “코로나19로 인해 국민과 기업이 경제적으로 어려운 환경 속에서 랜섬웨어 감염 시 큰 피해 발생이 우려돼 각별한 주의 및 보안강화가 필요하다”며, “KISA는 앞으로 신속한 상황 전파 및 모니터링 등을 통해 피해를 예방하는데 최선을 다하겠다”고 강조했다. editor@itworld.co.kr

kisa 랜섬웨어 2020.05.14

미국 IT서비스 업체 코그니전트, 랜섬웨어로 인한 손실 최대 7,000만 달러

미국 IT서비스 업체 코그니전트가 4월 ‘메이즈’ 랜섬웨어 공격으로 5,000만 달러에서 7,000만 달러 사이의 손실을 예상하고 있다.   미국에 기반을 둔 이 업체는 4월 18일 메이즈 랜섬웨어 사이버 공격으로 일부 고객의 서비스가 중단되었다고 밝혔다. 코그니전트는 이 공격에 ‘즉시’ 대응했다고 주장했지만, 이번 2분기에 다운타임과 고객 계정 일시 중지로 인해 부정적인 영향을 받을 것으로 예상했다. 이 업체 CEO 브라이언 험프리즈에 따르면, 메이즈 공격은 코그니전트가 코로나19 전염병 동안 재택근무를 위해 사용했던 가정용 PC와 노트북에서 직원의 작업을 지원하는 코그니전트의 시스템을 공격했다. 험프리즈는 이 공격이 내부 네트워크에 영향을 미쳤지만 고객 시스템에는 영향을 미치지 않았다고 덧붙였다. 험프리즈는 1분기 실적발표에서 다음과 같이 말했다. “처음에는 랜섬웨어 공격이 우리 내부 시스템 일부를 암호화해 효과적으로 명예를 훼손하고 다른 시스템을 오프라인으로 전환해 버렸다. 일부 고객은 네트워크 접근을 중단하기로 했다. 이에 따라 한동안 영향을 받았지만, 이 프로젝트에 들어간 직원 비용은 험프리즈가 책임졌다.” 험프리즈는 “IT 및 보안 팀의 전문 지식을 활용하고 최고의 사이버보안 전문가를 모아서 전체 리더십팀을 동원하는 등 신속하게 대응했다”라고 강조했다. 그는 법 집행 기관에 연락했으며 “기업 고객과 투명하게 커뮤니케이션 하기로 했다”라고 말했다. 험프리즈는 "아무도 랜섬웨어 공격을 다루기를 원하지 않는다"라고 밝혔다. 이어서 “개인적으로는 그 누구도 진정으로 무관심하다고 생각하지 않지만 그 차이점은 관리 방법이다. 그리고 우리는 전문적이고 성숙하게 관리하려고 노력했다”라고 덧붙였다.  코그니전트는 이제 이 경험을 사용해 모든 시스템의 보안을 더욱 강화하여 ‘후회 없는’ 접근 방식을 추가했다. 코그니전트는 2020년 3월 31일 마감된 2020년 1분기에 매출액 42억 달러로 지난해 같은 기간보다 2.8% 증가했다고 ...

실적 재택근무 사이버공격 2020.05.12

웹호스팅 업체 아이네임즈, ‘랜섬웨어’ 공격으로 웹포스팅 서버 40대 감염

웹호스팅업체 아이네임즈의 웹호스팅 서버 40대가 5월 8일 랜섬웨어에 감염됐다.  아이네임즈 측은 8일 19시경 랜섬웨어에 감염된 사실을 최초로 확인했으며, 공격 확인 즉시 한국인터넷진흥원 침해대응센터와 사이버수사대에 신고했다. 9일 오후 사이버수사대가 아이네임즈 본사를 방문해 1차 피해 관련 내용과 상황을 조사했으며, 인터넷진흥원과 공동으로 조사를 진행할 예정이라고 말했다.  아이네임즈는 11일 현재, 감염이 확인된 리눅스 웹호스팅 서버 40대의 운영체제 재설치와 애플리케이션 설치를 마쳤고, 이 가운데 데이터베이스 서버 15대 중 80% 가량, 웹서버 25대 중 7대 가량의 서버를 복구 진행했다고 밝혔다. 아이네임즈 측은 모든 데이터에 대한 복구작업을 순차적으로 진행하고 있어 완벽한 정상화까지는 시간이 조금 더 필요한 상황이라고 말했다. 아이네임즈 측은 자세한 공격 경로나 방법에 대해서는 아직 밝히지 않았다.  아이네임즈는 2001년에 설립된 도메인, 호스팅 및 관련 서비스 업체로, 국내 130만 도메인 가운데 20% 이상을 등록 관리하고 있다. 웹호스팅 서비스는 개인, 기업이 홈페이지 운영시 도메인을 대여해주고, 이를 관리해주는 서비스다. 웹호스팅 업체가 공격받아 랜섬웨어에 감염되면 피해업체 웹사이트뿐만 아니라 고객 홈페이지도 피해를 입는다.  국내 웹호스팅업체가 랜섬웨어에 감염된 것은 2017년 6월 인터넷나야나를 시작으로, 2018년 9월 아이웹, 2019년 10월 라온넷닷컴, 2020년 3월 마루인터넷 등 지속적으로 이어지고 있어 랜섬웨어에 대한 웹호스팅 업계의 대책 마련이 시급해 보인다. editor@itworld.co.kr 

아이네임즈 랜섬웨어 2020.05.11

"랜섬웨어 시즌 2" 2020 랜섬웨어 현황과 기업 대응 전략 - IDG Deep Dive

랜섬웨어 시즌 2가 시작됐다. 2017년 48%에 달하는 조직이 랜섬웨어에 영향을 받았지만, 2018년에는 크립토재킹(Cryptojacking)에 밀려 4%에 불과할 정도로 사라졌다가 2019년부터 더욱 강력한 형태의 공격이 이뤄지고 있다. 랜섬웨어는 더욱 정교하고 은밀한 기술을 적용함과 동시에 이전에 갖고 있었던 많은 구현 오류를 수정했다. 게다가 일부 공격은 이제 새로운 데이터 유출 방법을 획득했는데, 이로 인해 기업은 기존의 랜섬웨어로 인한 전통적인 데이터 손실보다 더 많은 피해를 입을 수 있다. 2020년 랜섬웨어 현황을 살펴보면서 기업이 취해야 할 대응 전략에 대해 알아보자. 주요 내용 - “지능화되고 표적화된” 랜섬웨어 현황과 기업의 방어 전략 - '대가를 지불하느냐, 지불하지 않느냐' 랜섬웨어 딜레마 - "랜섬웨어에 아직 당하지 않은" 조직이 해야 할 일 - "랜섬웨어에 당했다면" 대가를 지불하기 전 해야 할 질문 8가지

랜섬웨어 2020.03.25

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.