랜섬웨어 종합 솔루션 가이드

게시일: 2016-12-16 l 작성자: Trend Micro

오늘날까지도 랜섬웨어의 위협에 대한 묘책이나 포괄적인 해결책이 존재하지 않습니다. 그러나 랜섬웨어가 단순한 골치거리에서 오늘날의 번성하는 범죄 비즈니스로 진화하기까지 10년 동안 보안 업계 역시 지속적으로 대응 전술을 강화해왔습니다.

2016년 랜섬웨어 공격은 양적으로 증가함과 동시에 개인 PC를 넘어 다양한 산업의 기업들을 타겟하는 것으로 변화하고 있습니다. 랜섬웨어로부터 조직을 효과적으로 방어하기 위한 주요 사항을 다음과 같이 정리해 보았습니다.

방어막을 만들자: 랜섬웨어의 시스템 침투 방지

다른 여러 온라인 위협과 마찬가지로, 랜섬웨어 또한 침입 지점을 보호하는 것이 중요합니다. 랜섬웨어가 기업 네트워크를 감염시키는 것을 방지하기 위한 몇 가지 보안 체크리스트는 다음과 같습니다.

  • 중요한 데이터를 정기적으로 백업하십시오. 사이버 범죄자들은 피해자가 랜섬을 지불하도록 하기위해 중요한 파일 및 문서 데이터 베이스를 인질로 삼습니다. 중요한 파일을 백업해 둘 경우 피해를 최소화할 수 있으며 사이버 범죄자가 데이터를 인질로 삼아 협박하는 것을 방지할 수 있습니다. 우수한 백업 전략을 사용하면 모든 중요한 데이터가 안전한 위치에 보관되어 조직에서 데이터 손실이 발생해도 쉽게 비즈니스로 복귀할 수 있습니다.

  • 3-2-1 백업 규칙을 실천하십시오. 1개의 오프라인 복사본을, 2개의 다른 미디어에, 3개 이상의 복사본을 저장하여야 합니다. 일부 랜섬웨어 변종은 공유 네트워크 드라이브에 있는 백업 데이터를 추적하는 것으로 알려져 있는 만큼, 사내 네트워크에 연결되지 않은 시스템의 드라이브와 같은 별도의 위치에 백업을 설정하는 것이 중요합니다.

  • 엔드포인트에서 애플리케이션 화이트 리스팅을 구현하여 알려지지 않은 또는 원치 않는 애플리케이션을 차단하십시오. 동작 모니터링 및 애플리케이션 제어는 시스템을 침투하려는 시도로부터 비즈니스 보안이 무너지지 않도록 하기 위한 전략입니다. 동작 모니터링은 ‘비정상적인’ 또는 일반적이지 않은 시스템의 활동을 중단하고, 애플리케이션 제어는 악성이 아닌 프로세스, 파일 및 루틴 만이 시스템에서 실행될 수 있도록 제어합니다. 이를 통해 IT 관리자는 조직의 네트워크 내에서 작동할 수 있는 앱이나 프로그램을 설정할 수 있습니다.

  • 보안지향적인 네트워크 세분화 계획을 정립하십시오. 자산 및 자원을 전략적으로 그룹화할 경우 IT 관리자는 데이터 플로우의 위치와 액세스 권한이 부여된 사용자를 매핑 할 수 있습니다. 적절한 네트워크 세분화는 공격을 당할 경우 전체 네트워크가 손상되는 것을 방지합니다.

  • 사용자 및 액세스하는 네트워크를 적절하게 식별하고 분류하십시오. 사용자 권한 및 네트워크 트래픽을 세분화하는 것으로도 조직의 가장 중요한 데이터에 보안 레이어를 추가할 수 있습니다. 부서 또는 팀의 필요에 맞추어 네트워크 영역을 분류하면 잠재적인 공격자가 리소스에 대한 제한된 액세스 권한을 가지게 되므로 어떤 형태의 감염도 억제할 수 있습니다. 사용자 프로필에 최소 권한 원칙을 적용하면 공격자가 관리 권한을 획득하는 것이 어려워집니다.

  • 사회공학적기법을 이용한 공격의 표시와 위험에 대한 직원 교육을 실시하십시오. 신뢰할 수 있는 출처에 한정된 첨부파일 다운로드, URL 연결, 프로그램 실행 등 올바른 이메일 및 인터넷 안전 관행에 대한 교육이 필요합니다. 잠재적으로 의심스러운 이메일 및 파일의 경우 IT 보안팀에 알리도록 하는 것도 중요합니다.

  • OS 및 기타 벤더사의 소프트웨어 패치를 적시에 적용하십시오. 패치되지 않은 애플리케이션과 서버는 랜섬웨어 같은 악성코드를 시스템에 침투시키기 위한 통로로 활용되는 경우가 다수 발견되고 있습니다. 이를 방지하기 위해 소프트웨어의 정기적인 패치 및 업데이트가 중요합니다. 가상 패치 기능은 모든 서버 및 엔드 포인트에 대해 관련 패치가 롤아웃 되지 않은 경우에도 모든 유형의 위협으로부터 취약한 서버를 보호합니다.

  • 보안 제품의 정기적인 업데이트와 주기적인 검사를 실시하십시오. 조직의 네트워크를 보호하기 위해 수많은 방어책이 구축되어 있다고 하더라도, 공격자에게 필요한 것은 단 하나의 보안 구명입니다. 공격자가 침입할 수 있는 오래된 솔루션을 최신 버전으로 업데이트 하는 것이 중요합니다.

출혈을 막자: 피해의 최소화

실수로 악성 링크를 클릭하거나 감염된 파일을 다운로드 하게 될 경우 몇 분 안에 랜섬웨어가 감염되어 화면에 랜섬 노트가 표시되게 됩니다. 그렇기 때문에 이 짧은 몇 분이 랜섬웨어 감염을 포착하여 중단하고 피해를 최소화할 수 있는 가장 결정적인 순간입니다. 다음의 보안 체크리스트를 확인하여 참고하세요.

  • 감염된 시스템을 탐지 및 네트워크로부터 격리하십시오. 랜섬웨어는 그 변종과 패밀리에 따라 행위가 다르지만, 감염을 완료하기 위한 중요 프로세스는 C&C 서버와 통신하는 것입니다. 이 프로세스를 거치지 않는 소수의 최신 변종을 제외하고, 루틴 완료를 위한 서버 명령 수신을 하기 위해 네트워크 연결이 필요합니다.

  • 비정상적인 행위에 대한 경고가 제기되면, IT 관리자는 최대한 신속하게 제한된 리소스로 격리해야 합니다. 초기 경고 알림 또는 랜섬 노트로 컴퓨터의 감염이 탐지되었다면, 네트워크 연결을 차단하여 다른 시스템으로 전파되는 것을 막아야 합니다. 필요할 경우, 공격이 일단락 될 때까지 네트워크를 종료해야 합니다.

  • 실시간 사고대응팀을 구성하십시오. 실시간 사고대응팀은 조직의 시스템 활동을 모니터링하고 네트워크 내의 사용자가 경고하는 예외사항 알림을 수신합니다. 사용자 경고는 암호화 프로세스가 이미 시작되었음을 의미할 수 있지만, IT 관리팀에서 공격 상황을 관리를 감염 확산을 예방할 수 있습니다.

  • 사용자가 비정상적인 시스템 동작을 발견했을 시 IT 보안팀에 보고하고 경고할 수 있도록 권장하십시오. IT 관리자는 조직의 네트워크에 연결된 사용자에 대한 사전 교육을 통해 침입의 흔적이 되는 징후를 살펴볼 수 있도록 해야 합니다. 백그라운드에서 비밀리에 진행되는 랜섬웨어 감염은 몇 가지 물리적 징후를 통해 알아차릴 수 있습니다.

    시스템 속도가 눈에 띄게 느려지는 경우, 이는 백그라운드에서 추가적인 프로세스가 실행되고 있다는 것을 의미할 수 있습니다. 이러한 징후에 대한 인식은 IT 대응팀에게 상황을 관리할 수 있는 충분한 시간을 줄 수 있습니다.

후유증을 예방하자: 감염으로부터 복구

과거와 달리, 랜섬웨어가 시스템을 감염시킬 경우라도 방법은 있습니다. 핵심은 사건을 신속하게파악, 대응 및 복구하여 피해를 최소한으로 유지하고 랜섬을 지불하지 않는 것입니다. 랜섬웨어에 감염될 경우 다음의 수행사항을 점검해보세요.

  • 복호화 도구를 찾아 복호화를 시도해보십시오. 화면 잠금형 랜섬웨어와 특정 종류의 크립토 랜섬웨어를 탐지하고 제거할 수 있는 무료 복호화 툴을 여러 보안 업체에서 제공하고 있습니다. 이를 통해 복호화 암호를 얻기 위한 랜섬 지불을 면할 수 있습니다.

  • 포괄적인 데이터 백업 및 복구 계획을 도입하십시오. 이를 통해 데이터 손실이 발생한 경우라도 조직의 소중한 데이터를 유지할 수 있습니다. 이는 랜섬웨어 감염에만 국한되지 않고 데이터 손실 또는 분실의 상황에서 언제든지 손쉽게 비즈니스로 복귀할 수 있습니다.

  • 감염 사후 분석을 실시하십시오. 사건이 일단락 되면 감염의 범위를 조사하여야 합니다. 무엇보다 중요한 것은 감염의 근원을 분석하여 재발을 방지하기 위해 취약점과 시스템 약점을 파악해야 합니다.

    또 다른 경우, 랜섬웨어에 대한 샌드박스 분석은 악성코드의 행위를 결정하는 데 도움이 될 수 있습니다. 이를 통해 탐지 감염 지표로 나타낼 수 있는 루틴과 전술을 파악하여 탐지 향상 및 차후 사건 예방을 위해 사용할 수 있습니다.

업데이트된 변종과 패밀리가 매일 같이 쏟아져 나오는 랜섬웨어의 신속한 발전은 사이버 범죄자가 랜섬웨어의 수익성을 높게 평가했다는 것을 보여줍니다. 보안에 대한 다계층적 접근은 모든 가능한 진입점에서 랜섬웨어에 대응하는 데 중요합니다.

랜섬웨어 솔루션:

트렌드마이크로는 대기업, 중소기업 및 가정용 사용자를 랜섬웨어로부터 보호하기 위한 다양한 솔루션을 제공합니다:

대기업의 경우 다계층의, 단계적 겁근을 통해 이러한 위협으로부터 오는 위험에 대응할 수 있습니다. 트렌드마이크로 Deep Discovery Email Inspector와 같은 이메일 게이트 웨이 솔루션은 랜섬웨어가 사용자에게 도달하지 못하도록 차단합니다. 엔드포인트 레벨의 Smart Protection Suite는 동작 모니터링, 애플리케이션 제어, 취약점 보호와 같은 다양한 기능으로 위협의 영향력을 최소화합니다. Deep Discovery Inspector는 네트워크의 랜섬웨어를 탐지 및 차단하며, Deep Security는 물리적, 가상화 및 클라우드 서버에 랜섬웨어가 도달하지 못하도록 방지합니다.

중소기업용 솔루션 Worry-Free 비즈니스 시큐리티 서비스는 동작모니터링, 웹 평판, 브라우저 익스플로잇 방지 등의 기능을 통해 랜섬웨어를 탐지 및 차단합니다.

가정용 사용자를 위한 맥시멈 시큐리티는 악성 웹사이트, 이메일, 파일을 차단하여 강력한 보안을 제공합니다.

트렌드마이크로에서 제공하는 화면잠금형크립토 랜섬웨어 복호화 툴을 사용하면, 특정 랜섬웨어에 감염되었을 때 랜섬을 지불하지 않고 시스템을 복구할 수 있습니다.


원문: Ransomware All-in-One Solutions Guide