랜섬웨어에 대처하는 11가지 방법

바이러스가 지난 10년동안 봇넷과 각종 악성코드로 진화했듯이 공격자들은 기존의 위협을 재무장하는 새로운 방법을 끊임없이 찿고 있는거 같습니다. 현재 악성코드 분야의 주된 동향은 랜섬웨어의 확산 같습니다. 랜섬웨어의 시초는 FBI를 가장한 단순한 잠금 화면 경고문이었던 레버톤으로 거슬로 올라갑니다. 2016년에는 로키, 서버, 마데바, 맥텁 등 새로운 랜섬웨어 군이 지속적으로 등장 했습니다.

 

이런 랜섬웨어는 올해 더욱 기승을 부릴 것으로 예상되는데 정말 철저히 대비하지 않으면 속수무책으로 감염될 수 밖에 없을 겁니다. 이미 많은 기업과 개인 컴퓨터가 감염되었으며 이를 복구하는데 많은 비용을 치르고 있는 실정이랍니다.

 

사이포트의 위협 대처 전문가인 닉 빌로고르스키는 랜섬웨어 공격 퇴치를 위한 7가지 팁을 공개해습니다. 추가적으로 얼럿 로직이 제공하는 추가 팁까지 랜섬웨어에 대처하는 11가지 방법을 통해 랜섬웨어 위협에 대비하기 바랍니다.

 

 

소프트웨어, 특히 어도비와 MS, 오로클 앱의 최신 패치 설치

랜섬웨어의 일번적인 침투 경로는 앵글러와 같은 익스플로잇 키트 입니다. 익스플로잇 키트는 다수의 애플리케이션 취약점을 하나의 키트에 묶고 각 취약점에 대해 순차적으로 드라이브 바이 익스플로잇을 시도 합니다. 앱이 패치되지 않고 오래 방치될수록 이런 익스플로잇이 성공해 랜섬웨어에 감염될 확률고 높아집니다.

 

네트워크 보호 사용

종합적인 보안 전략에서 매우 중요한 한가지는 머신러닝과 행동 분석을 기반으로 하는 네트워크 트래픽 모니터링 시스템을 사용하는 것 입니다. 이러한 공격의 대부분은 인터넷 채널을 통해 유입되므로 네트워크 보호가 이메일 트래픽과 웹 트래픽을 모두 분석할 수 있도록 해야 합니다.

 

행동탐지기능이 있는 종합적이 엔드포인트 보안솔류션 사용

엔드포인트, 일반적으로 사용자 컴퓨터는 랜섬웨어 감염이 발생하는 위치입니다. 따라서 엔드포인트에도 비시그니처 기반의 최신 보안 솔루션을 사용하는 것이 중요합니다. 행동감지라고도 하는 비시그니쳐 기반 방식은 새로 발생해서 아직 시그니처가 작성되지 않은 제로데이 위협을 잡아낼 수 있는 유일한 방법입니다.

 

윈도우 사용자 애세스 제어 활성화

윈도우에 추가된 사용자 액세스 제어(UAC)는 프로그램이 관리자 수준의 권한이 필요한 변경을 수행할 때 이를 사용자에게 알림으로써 컴퓨터에 대한 통제력을 유지할 수 있게 해주는 기능입니다. UAC는 사용자 계정의 권한 수준을 조정합니다. 특, 사용자가 관리자로 로그인 했더라도 이메일 읽기, 음악 듣기, 문서작성 등 표준 사용자로 수행 가능한 작업을 할때는 표준 사용자 권한이 부여됩니다. 이 기능을 최대한 활용해보세요.

 

늘 의심하는 자세: 수상한 것은 클릭 금지

출처 불명의 이메일이나 첨부파일은 클릭하지 말고 의심스러운 웹사이트는 아예 피하세요. 대부분의 감염은 첨부 파일 열기, 웹사이트 방문과 같은 사용자의 행위를 통해 이루어지므로 피해를 최소화하기 위한 가장 효과적인 방법은 철저한 경계심을 유지하는 것입니다.

 

팝업차단

팝업은 공격자들이 악성소프트웨어를 퍼뜨리기 위해 흔히 사용하는 방법 입니다. 팝업을 우발적으로 클릭하는 상황을 방지하려면 애초에 뜨지 않도록 차단하는 것이 최선입니다.

 

브라우저 사용자 에이전트 변경

일부 익스플로잇 키트는 사용자 에이전트를 사용해 운영체제에 맞게 익스플로잇을 조정합니다. 따라서 사용자 에이전트를 의도적으로 잘못 설정하는 방법으로 이러한 익스플로잇을 속이는 방법도 효과적입니다. 예를 들어 윈도우에서 파이어폭스를 사용하는 경우 사용자 에이전트에 " firefox on linux"를 설정해 악성코드 리디렉터와 익스플로잇에 혼선을 주는 방법입니다.

 

보안 솔류션을 사용해 랜서웨어 탐지

사용자가 악성 이메일을 열거나 피싱 링크에 속아 클릭하는 경우 완전히 방지할 수는 없습니다. 이 경우 파일이 열리고 이 파일이 웜처럼 작동하면서 IT인프라나 조직 인프라 전반으로 감염을 확산시켜 피해를 입히게 됩니다. 따라서 이런 버그가 문제가 되기 전에 탐지해 박멸할 수 있도록 우수한 보안 솔류션을 두는 것이 중요합니다.

 

견고한 위협 인텔리전스가 핵심

적이 누구인지 아는 것이 중요합니다. 어느 그룹이 어떤 랜섬웨어의 어느 버전을 사용하는지 그리고 이러한 공격을 저지르는 여러 그룹에서 사용하는 중앙 인프라는 무엇인지 등을 알아야 합니다. 또한 시스템이 감염될 때 보안 솔류션에서 이를 탐지할 수 있고록 감염의 징후를 파악하는 것도 중요합니다.

 

지속적인 모니터링의 가치에 대한 과소평가 금물

제품+서비스 접근 방식을 제안하는 보안 벤더를 찿아보세요. 시장을 선도하는 보안 기술도 중요하지만 IT인프라를 보호하고 랜섬웨어 등의 위협을 차단하기 위해서는 여기에 보안 전문가의 24*7 모니터링을 결합하는 것이 최선의 방법입니다. 업무 시간이 끝난 후 아무도 인프라를 살피지 않는다면 그 시간 동안 악성코드는 자유롭게 IT인프라를 감염시킬 수 잇습니다.

 

견고하고 심층적인 백업 계획 수립

랜섬웨어 공격을 받기 전에 백업 계획을 수립해 공격을 받아도 데이터에 접근 가능하도록 하는 것이 중요합니다. 조직의 백업 전략에는 오프라인 백업이 반드시 포함되어야 합니다 수작업 과정이 필요할 수 있지만 온라인 백업은 공격자에 의해 암호화되므로 아무런 효력이 없습니다.

데이터 복원과 복구에서 어려운 점이 무엇인지 파악하고 백업 계획에 이러한 부분을 반영해야 합니다. 백업 계획을 수립할 때는 시스템과 데이터를 분류하는 것이 중요합니다조직에서 가장 중요한 시스템과 데이터가 무엇인지 확인하고 인프라에서 가장 핵심적인 시스템에는 더욱 주의를 기울여야 합니다.