포스팅 내용

전문가 기고

SMB취약점으로 전파되는 랜섬웨어의 출현, 문서유실방지를 위한 방안


랜섬웨어란?

랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 파일과 시스템을 인질로 삼고 금전을 요구하는 악성 프로그램을 의미합니다. 랜섬웨어도 다른 악성코드와 마찬가지로 신뢰할 수 없는 사이트, 스팸 메일, 파일 공유 사이트, 네트워크 등을 통해 유포됩니다.


지속적인 신종, 변종 랜섬웨어 출현으로 인해 큰 위협으로 다가온 랜섬웨어


지난 5월, NSA 해킹 의혹을 받고 있는 해커 조직이 Windows의 SMB 취약점을 공격할 수 있는 익스플로잇(Exploit)을 공개하였고, 이를 이용한 워너크라이(WannaCry) 랜섬웨어가 대량으로 유포되어 전세계적으로 이슈가 되었습니다.


[그림1. 보안뉴스 기사 일부 발췌] http://www.boannews.com/media/view.asp?idx=54277

 

다행히도 우리나라는 주말 사이에 한국인터넷진흥원(KISA)과 여러 보안 업체들이 함께 피해방지를 위한 사전 예방 및 조치 안내 활동으로 비교적 큰 피해를 입지는 않았습니다.


하지만 벌써 280종이 넘는 변종 랜섬웨어가 발견되었고 2차 공격도 예상되어 추가 피해에 대한 우려가 커지고 있습니다. 특히, 변종 랜섬웨어의 경우 기존의 공격보다 발전된 형태로 진화되는 경우가 많아 이용자들의 더 세심한 주의가 필요합니다.


그렇다면 랜섬웨어 피해방지를 위해 사용자가 조치해야 할 것들은 무엇일까요?


랜섬웨어나 악성코드의 피해를 최소화 하기 위한 방안


국가정보원이 ‘2017 국가정보보호백서’에서 제시한 랜섬웨어 보안 수칙 5가지를 토대로 사용자가 랜섬웨어를 예방하기 위해 취해야 할 행동에 대해서 5가지로 정리했습니다.


1. 모든 소프트웨어를 항상 최신 버전으로 업데이트 해야 한다. 

2. 백신 설치 및 주기적 점검을 실행한다.

3. 출처를 알 수 없는 이메일을 열람하지 않는다.

4. 불법 콘텐츠 공유사이트를 방문하지 않는다.

5. 중요한 자료를 백업한다.


랜섬웨어, 최종 목표는 문서 또는 파일

위의 다섯 가지 랜섬웨어 예방 수칙을 준수하더라도, 알려지지 않은 취약점을 노린 새로운 형태의 랜섬웨어가 발생한다면 언제라도 문서가 유실될 수 있습니다.


기업의 모든 문서가 랜섬웨어 감염으로 인해 암호화된다면, 기업에는 상상하기 힘들 정도의 업무 손실이 발생합니다. 실제로 이번 워너크라이(WannaCry) 랜섬웨어 공격으로 인해 해외에서는 일부 병원의 진료 업무가 마비되었고, 국내 또한 일부 영화 상영관에서 광고 서버가 감염되어 광고 대신 랜섬노트가 송출되는 등의 피해가 발생하기도 했습니다. 그렇기 때문에 수칙의 마지막 항목에서 “중요한 자료를 백업한다.”는 사후 대응 방안도 함께 소개하고 있습니다.


[그림2.  2017 국가정보보호백서(국가정보원)]


‘2017 국가정보보호백서’에 따르면 회사 내의 중요 데이터를 백업하는 기업은 35.5%이며, 이 중 월 1회 가량 실시하는 기업은 63.3%인 것으로 나타났습니다. 즉, 기업에서는 중요 데이터에 유실에 대한 사후 대안이 필요합니다. 안전한 네트워크를 통한 실시간 자동 백업 기능과 유사시 쉽고 빠르게 복구 가능한 솔루션을 운영하여 혹시 있을지 모르는 랜섬웨어 피해로 인한 업무 손실을 최소화하는 전략을 수립해야 합니다.


기존 데이터 보안 솔루션의 특성과 한계


그럼 이러한 랜섬웨어 위협에 대응하고, 기업의 문서나 데이터 자산을 보호하기 위한 보안 솔루션들의 특징은 무엇일까요?


DLP – 내부 정보 유출 방지 (Data Loss Protect 또는 Data Loss Prevention)

DLP는 유출 경로를 제어하는 형태로 PC에 존재하는 파일의 유출을 방지하는 매체 제어 위주의 동작 솔루션입니다. 하지만 PC에 암호화되지 않은 파일이 존재하므로, 여러 경로를 통해 유출이 가능합니다. 이러한 이유로 DLP 솔루션은 타 보안솔루션과 함께 도입 및 운영하는 경우가 많습니다.


또한, 랜섬웨어 감염 시 문서 파일이 PC에 존재하기 때문에 피해를 볼 수 있으며 피해를 입게 되면 파일 복구 방법이 없습니다. 추가로 PC 백업 솔루션 등도 도입해야 할 필요가 있습니다.


DRM – 디지털 저작권 관리 (Digital Rights Management)

DRM 솔루션은 주로 PC에서 오피스 계열, 한글, PDF 파일, 포토샵이나 오토캐드, 3D캐드 등 전문적인 어플리케이션에 대한 미지원 영역이 많아 제조업 등에서는 유출사고 등 보안에 취약한 부분이 존재합니다. 파일은 PC에 존재하지만 암호화되어 저장되기 때문에 유출되는 경우에도 DLP보다 상대적으로 안전합니다. 하지만 랜섬웨어 감염으로 인한 피해를 볼 수 있기 때문에 추가 백업 솔루션이 필요합니다.


또한, DRM은 소프트웨어 종속적입니다. 즉, 오피스나 한글 등 프로그램 보안 패치나 업데이트 시 DRM의 지원 범위를 벗어나게 되면 해결될 때까지 프로그램의 취약점을 유지해야 하는 등 프로그램에 보안이 종속되는 상황이 발생할 수 있습니다.


복원 기능이 있는 PC 백업 솔루션


랜섬웨어는 종류에 따라 윈도우 볼륨 섀도우 카피(Volume Shadow Copy)를 삭제하기 때문에 윈도우 OS 자체 파일의 백업, 복원 기능을 무력화합니다. 시점 복원 기능이 있는 솔루션은 PC에 보호 영역이 존재하지만, 바이러스나 악성 프로그램을 통해 해당 보호 영역 또는 MBR 영역까지 피해를 입게 되면 복구가 어려워질 수도 있습니다.


문서 파일을 안전하게 보관하려면 네트워크를 통해 실시간으로 자동 백업해 두었다가 유사시 쉽고 빠르게 복원할 수 있는 고도화 된 솔루션이 필요합니다.


랜섬웨어의 파일 암호화 방식


PC에 침투한 랜섬웨어는 파일 암호화 시 크게 두 가지 형태로 동작합니다. 이는 다른 랜섬웨어가 등장하더라도 크게 바뀌지 않을 것으로 보입니다.

 

1. 원본 문서 열기 - 암호화하여 다른 이름으로 저장 - 원본 삭제

2. 원본 문서 열기 - 암호화하여 원본 문서 덮어쓰기 - 다른 이름으로 저장 원본 삭제


이와 같은 파일 암호화 동작 방식을 확인하고 역으로 이용한다면, 파일 버전 관리를 통해 삭제되거나 암호화 된 파일을 복원할 수 있습니다.


PC의 문서 파일 자동 백업과 복구가 가능한 솔루션


랜섬웨어는 원본 파일 삭제 후 암호화하여 저장하는 방식으로 동작합니다. 감염된 PC뿐만 아니라 그 PC에 연결된 네트워크 드라이브까지 감염되므로 피해가 상당합니다. 다음에 소개하는 솔루션은 이러한 랜섬웨어의 특징을 통해 감염되더라도 복구가 가능하도록 하는 솔루션입니다.


랜섬쉴드는 관리자가 백업 정책을 설정할 수 있으며, 관리자가 지정한 확장자를 가진 파일은 PC에서 서버로 실시간 자동 백업 됩니다. 자동 백업된 문서들은 유사 시 원본 파일 형태로 복원이 가능하며, 일자별 시점 복원이 가능합니다.


인터넷디스크는 안전한 파일 공유와 협업을 위한 클라우드 스토리지입니다. 윈도우 탐색기를 지원하여 사용자가 익숙한 UI에서 업무 할 수 있습니다. 또한, 인터넷디스크에 업로드한 파일은 버전 관리 기능을 통해 기존 파일 버전으로 돌아갈 수 있으며, 랜섬웨어 감염 시 원본 파일을 복구할 수 있습니다.


시큐어디스크는 로컬 PC에 파일 저장을 금지하고 안전한 네트워크 드라이브로만 작업 가능하게 하는 솔루션입니다. 이를 통해 자료 유출을 원천적으로 차단합니다. 마찬가지로 윈도우 UI를 제공해 익숙한 환경에서 업무가 가능합니다. 중앙화된 파일에 대한 프로세스 접근 권한 관리를 통해 랜섬웨어 같이 허가 되지 않은 프로세스가 접근하는 것을 방어할 수 있으며, 만약 감염이 되더라도 파일 버전 관리 기능을 통한 복구가 가능합니다.


현재의 악성코드나 랜섬웨어는 하나의 솔루션으로 해결하기 무척 어렵습니다. 취약점 패치를 위한 PMS 운영, 백신 최신 업데이트 유지, APT 방어 솔루션, 복구 가능한 솔루션 등을 함께 운영하는 것이 이로 인한 피해를 최소화 할 수 있는 방안입니다.



기고 작성: SecureCloud 기술지원팀 김형성 팀장










저작자 표시
신고
티스토리 방명록 작성
name password homepage