베스트 1011 랜섬 웨어 대응 방안 새로운 업데이트 22 일 전

주제에 대한 기사를 찾고 있습니까 “랜섬 웨어 대응 방안“? 웹사이트에서 이 주제에 대한 전체 정보를 제공합니다 c2.chewathai27.com/ 탐색에서: https://c2.chewathai27.com//blog. 바로 아래에서 이 주제에 대한 자세한 답변을 찾을 수 있습니다. 찾고 있는 주제를 더 잘 이해하려면 끝까지 읽으십시오. 더 많은 관련 검색어: 랜섬 웨어 대응 방안 랜섬웨어 감염 후 대처, 랜섬 웨어 예방법 6가지, 랜섬웨어 대응 가이드라인, 랜섬웨어 대처, 랜섬웨어 포맷 안하면, 랜섬웨어 예방 방법, 랜섬웨어 방지 프로그램, 랜섬웨어 예방 프로그램

랜섬웨어, 대응책과 예방법은? – 소프트이천

# 2년 전, 가을 무렵에 실제로 개인 노트북이 랜섬웨어에 걸렸다. 평상시처럼 오피스프로그램을 실행하고 작업 문서파일을 열려고 해도 해당 폴더에 파일이 없는 것 아닌가. 탐색기로 보니 파일은 있으나 확장자가 전부 이상한 형식으로 바뀌어 있다. 이때 ‘아, 랜섬웨어 걸렸구나’하는 생각이 들었으나 이미 늦었다. 돌이켜 보면, 블로그 어디선가 다운로드 받은 외국 프로그램 때문인 듯하다. 이메일에 첨부된 알 수 없는 파일이나 링크는 절대 클릭하지 않기에 유추할 수 있는 건 불법 프로그램 설치밖에 없다. 가장 중요한 가족들 사진을 모아놓은 영상 폴더로 들어가봤더니 여기도 이미 확장자가 바뀌어 열 수 없는 상태가 됐다. 유일하게 열 수 있는 readme.txt 파일을 클릭하니 영어로 ‘너의 파일은 모두 암호화됐고 풀고 싶으면 비트코인 얼마를 보내주면 풀어주겠다’는 글을 읽을 수 있었다. 당시 감염된 랜섬웨어 이름은 갠드크랩이었던 걸로 기억한다. 다행히도 안랩에서 제공한 복구툴과 6개월 정도 전에 백업해둔 파일을 이용해 절반 정도 사진과 문서를 복구할 수 있었지만 절반은 어쩔 수 없이 눈물을 머금고 날려야 했다.

랜섬웨어 소식이 끝없이 나오고 있는 요즘이다. 랜섬웨어는 회사는 물론 개인 PC까지 노리고 있어 전 세계적으로 상당한 피해를 입히고 있다. KISA(한국인터넷진흥원)의 ‘2021 랜섬웨어 스페셜리포트’에 따르면 글로벌 피해 금액은 2031년 300조 원을 넘어설 전망이다. 2015년 3800억 원에 불과했던 피해 규모는 올해 들어 23조 6000억 원으로 증가했다. 랜섬웨어 피해 사례는 수없이 듣고 있지만, 정작 내 PC가 랜섬웨어 감염된다면 올바르게 대응하는 방법을 아는 이들이 많지 않을 것이다. 이번 글에서는 PC가 랜섬웨어 감염됐을 때 개인이 할 수 있는, 그리고 해야 하는 현실적인 대처 방법과 사후조치에 대해 소개한다.

그 다음으로는 안랩 등 신뢰할 수 있는 보안 회사의 홈페이지 등을 통해 감염된 랜섬웨어에 대한 복구툴이 있는지 확인해본 후 빨리 조치해야 한다. 안랩을 비롯한 주요 보안 업체들은 악성코드 분석 및 암호화 기법 분석을 통해 일부 랜섬웨어의 암호를 풀 수 있는 열쇠를 찾아내 암호화된 파일을 복구할 수 있는 툴(프로그램)을 제작해 무료로 제공하고 있다. 안랩은 자사 홈페이지를 통해 나부커(Nabucur), 크립트XXX(CryptXXX) 2.x 등 일부 랜섬웨어에 대한 복구툴을 무료로 제공하고 있다. 또 암호화 기법이 교묘하게 바뀐 크립트XXX 3.x 버전의 경우, 일부 파일에 대한 부분 복구를 지원하는 복구툴을 제공하고 있다.​

8 thg 12, 2021 — 랜섬웨어, 대응책과 예방법은? · 1. PC 종료하지 않기 · 2. 외부 저장장치와의 연결 해제하기 · 3. 무료 복구 프로그램 검색하기.

• Source: www.soft2000.com
• Views: 19314
• Publish date: 11 hours ago
• Downloads: 12905
• Likes: 2047
• Dislikes: 4
• Title Website: 랜섬웨어, 대응책과 예방법은? – 소프트이천
• Description Website: 8 thg 12, 2021 — 랜섬웨어, 대응책과 예방법은? · 1. PC 종료하지 않기 · 2. 외부 저장장치와의 연결 해제하기 · 3. 무료 복구 프로그램 검색하기.

세부 정보를 보려면 여기를 클릭하십시오.

• Source: Youtube
• Views: 4800
• Date: 33 minute ago
• Download: 57344
• Likes: 7284
• Dislikes: 10

---

랜섬웨어, 대응책과 예방법은?

랜섬웨어 소식이 끝없이 나오고 있는 요즘이다. 랜섬웨어는 회사는 물론 개인 PC까지 노리고 있어 전 세계적으로 상당한 피해를 입히고 있다. KISA(한국인터넷진흥원)의 ‘2021 랜섬웨어 스페셜리포트’에 따르면 글로벌 피해 금액은 2031년 300조 원을 넘어설 전망이다. 2015년 3800억 원에 불과했던 피해 규모는 올해 들어 23조 6000억 원으로 증가했다. 랜섬웨어 피해 사례는 수없이 듣고 있지만, 정작 내 PC가 랜섬웨어 감염된다면 올바르게 대응하는 방법을 아는 이들이 많지 않을 것이다. 이번 글에서는 PC가 랜섬웨어 감염됐을 때 개인이 할 수 있는, 그리고 해야 하는 현실적인 대처 방법과 사후조치에 대해 소개한다.

# 2년 전, 가을 무렵에 실제로 개인 노트북이 랜섬웨어에 걸렸다. 평상시처럼 오피스프로그램을 실행하고 작업 문서파일을 열려고 해도 해당 폴더에 파일이 없는 것 아닌가. 탐색기로 보니 파일은 있으나 확장자가 전부 이상한 형식으로 바뀌어 있다. 이때 ‘아, 랜섬웨어 걸렸구나’하는 생각이 들었으나 이미 늦었다. 돌이켜 보면, 블로그 어디선가 다운로드 받은 외국 프로그램 때문인 듯하다. 이메일에 첨부된 알 수 없는 파일이나 링크는 절대 클릭하지 않기에 유추할 수 있는 건 불법 프로그램 설치밖에 없다. 가장 중요한 가족들 사진을 모아놓은 영상 폴더로 들어가봤더니 여기도 이미 확장자가 바뀌어 열 수 없는 상태가 됐다. 유일하게 열 수 있는 readme.txt 파일을 클릭하니 영어로 ‘너의 파일은 모두 암호화됐고 풀고 싶으면 비트코인 얼마를 보내주면 풀어주겠다’는 글을 읽을 수 있었다. 당시 감염된 랜섬웨어 이름은 갠드크랩이었던 걸로 기억한다. 다행히도 안랩에서 제공한 복구툴과 6개월 정도 전에 백업해둔 파일을 이용해 절반 정도 사진과 문서를 복구할 수 있었지만 절반은 어쩔 수 없이 눈물을 머금고 날려야 했다.

랜섬웨어는 일반적인 바이러스와는 달리 백신 소프트웨어를 설치한다고 감염을 막을 수 있거나 치료할 수 없다는 게 가장 큰 문제다. 일부 랜섬웨어의 경우 안랩과 같은 백신 소프트웨어 업체들이 복구 툴을 무료로 제공해 피해를 복구할 수 있는 경우도 있지만 금세 또 다른 암호화 알고리즘을 적용한 랜섬웨어가 등장해 복구가 사실상 힘들다고 할 수 있다. 그래서 결국 공격자에게 대가를 지불하고 복호화 키를 받은 업체 사례가 뉴스로 등장하기도 했다.

랜섬웨어는 감염된다고 바로 티를 내지는 않는다. 평소에 컴퓨터 사용자들이 잘 보지 않는 구석진 파일에 잠복해 있는다. 그런데 타깃하는 파일들을 암호화시킬 때 외장하드나 USB가 연결되어 있는 상태라면 본체 하드디스크보다 외장파일들부터 먼저 공격한다. 이때 랜섬웨어에 걸린 파일명은 실행이 되지 않도록 모두 암호화되며, 복호화 프로그램 없이는 복구가 불가하다. 주로 문서 파일과 동영상 파일, 이미지 파일에 공격을 시도한다. 왜냐하면 이 파일들이 사용자에게 중요한 파일일 확률이 높고, 암호화된다면 랜섬을 지불할 확률도 높기 때문이다.

암호화가 모두 완료되기 전에 재부팅하면 ‘당신 컴퓨터는 랜섬웨어에 감염되었다’는 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업되기도 한다. 그리고 대부분의 작업을 할 수가 없다. 대표적인 증상은 다음과 같다.

우선 중요 시스템 프로그램이 열리지 않는다. 명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자 등의 작업이 불가능하다. 그리고 윈도우 복원 시점이 제거되거나 업데이트를 막아 버린다.

랜섬웨어 대처법, 이것만 기억하자!

1. PC 종료하지 않기

랜섬웨어에 감염된 것을 인지하면 너무 당황한 나머지 급하게 PC 전원을 끌 수 있다. 이는 잘못된 대처법이다. 랜섬웨어 감염을 확인한 후, PC 전원을 끄지 않도록 주의해야 한다. 일부 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 PC의 파일들을 삭제해버리기도 한다. 따라서, 감염 알림창에 나타난 메시지를 주의 깊게 살펴보고 감염된 랜섬웨어가 무엇인지 파악한 후, 차분하게 피해를 최소화할 수 있는 방안을 찾아보는 것이 바람직하다.

2. 외부 저장장치와의 연결 해제하기

랜섬웨어 감염이 의심될 경우, 즉시 공유 폴더, USB나 외장하드 등 외부 저장장치와의 연결을 해제하는 것이 좋다. 아직 랜섬웨어가 암호화를 진행 중이라면 감염된 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문이다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있다.

3. 무료 복구 프로그램 검색하기

그 다음으로는 안랩 등 신뢰할 수 있는 보안 회사의 홈페이지 등을 통해 감염된 랜섬웨어에 대한 복구툴이 있는지 확인해본 후 빨리 조치해야 한다. 안랩을 비롯한 주요 보안 업체들은 악성코드 분석 및 암호화 기법 분석을 통해 일부 랜섬웨어의 암호를 풀 수 있는 열쇠를 찾아내 암호화된 파일을 복구할 수 있는 툴(프로그램)을 제작해 무료로 제공하고 있다. 안랩은 자사 홈페이지를 통해 나부커(Nabucur), 크립트XXX(CryptXXX) 2.x 등 일부 랜섬웨어에 대한 복구툴을 무료로 제공하고 있다. 또 암호화 기법이 교묘하게 바뀐 크립트XXX 3.x 버전의 경우, 일부 파일에 대한 부분 복구를 지원하는 복구툴을 제공하고 있다.​

​

그러나 현재 국내에서는 일부 복구 툴이 공개된 랜섬웨어를 제외하고 알고리즘 해독이 어렵고, 암호화 방식도 수시로 변경되기에 복구툴 제공도 어려운 게 현실이다. 따라서 백업해둔 파일이 있다면 이를 이용하여 다시 복구를 진행하는 것이 가장 이상적이다. 만약, 백업해둔 데이터가 없다면 감염된 파일을 비롯해 전체 포맷을 진행하거나, 복호화 비용을 지불해 복구 프로그램을 제공받는 방법 중 선택을 하는 수밖에 없다.​

랜섬웨어, 예방이 답이다!​

KISA는 국민·기업의 랜섬웨어 감염 예방 및 피해 최소화를 위해 ‘랜섬웨어 피해 예방 5대 수칙’과 ‘랜섬웨어 대응·백업 가이드’를 제공하고 있다. 주요 내용은 ​▲​백업 체계 구축 및 운영 ▲​​주요 시스템 보안 점검 ▲백업 체계의 보안성 강화 등이다. ​그 밖에도 예방법이 있는지 알아보자.

랜섬웨어는 무료 파일 다운로드 및 공유 사이트는 물론 이메일을 통해 진행되기도 하며 광고창 클릭, 유튜브 영상 다운로드, 뉴스 기사, 링크 주소 등으로 침투되고 있다. 대부분 불법적인 경로, 확인되지 않은 사이트, 취약한 사이트에서 유입되는 게 대부분이다. 다양한 경로를 열어두고 침투하기 때문에 컴퓨터를 사용하는 중 무분별한 다운로드 및 접속을 피하시는 것이 가장 쉬운 예방법이다.

또 다른 예방법은 PC의 운영체제 및 응용 프로그램, 백신 등을 최신 버전으로 업데이트해 최상의 상태를 유지하는 것이다. 랜섬웨어는 일반적으로 보안 취약점을 악용해 시스템에 유입되기 때문에 응용 프로그램, 백신 등을 최신 버전으로 유지하는 것이 매우 중요하다. 또한 악성코드 감지가 가능한 크롬, 네이버 웨일, 파이어폭스 같은 웹 브라우저를 이용해 접속하는 것이 바람직하며, 무분별한 파일 다운로드 및 접속을 피하는 것이 랜섬웨어를 예방하는 최선의 방법이다.

또한 예방법 못지않게 가장 중요한 것은 백업이다. 가치가 있다고 생각되는 자료는 사용자 스스로 지키시는 것이 바람직하다. 저장 매체를 이용해 여러 개의 백업본을 만들어 보관하는 것이 필요하다. 랜섬웨어는 C 드라이브를 시작으로 연결, 연동되어 있는 모든 곳의 저장소를 암호화하기 때문에 백업본이 든 저장 매체는 반드시 필요시에만 연결하고 사용이 끝나면 분리해 주는 것이 좋다.

랜섬웨어 공격을 당하고 해커에게 랜섬을 지불한 피해자 중 80%가량은 또다시 랜섬웨어 공격을 당한 것으로 조사됐다. 또한, 랜섬을 지불했다고 복구 프로그램을 제공받는다는 보장도 없고 암호화 방식도 수시로 변경되어 사실상 데이터 복구는 어렵다. 랜섬웨어 감염은 쉽게 이루어지는 반면 해결하는 것은 제한적이기 때문에 사용자 스스로 예방하고 대비하는 것이 가장 확실한 예방법이다.

출처 : AhnLab

효과적인 랜섬웨어 대응, 무엇이 필요할까요? – 클라우드 인사이트

다음은 ‘침해사고 분석 서비스’인 A-FIRST(AhnLab Forensic & Incident Response Service Team)입니다. 랜섬웨어로 인한 보안 사고 발생 시, 감염된 자산에 대한 디지털포렌식 작업을 통해 감염이 어떤 경로로 발생했는지, 어떤 범위까지 피해가 있었는지를 분석하는 서비스입니다. A-FIRST의 보고서는 보안 사고의 시작부터 끝까지 전체 과정을 면밀하게 분석해 결과를 제공합니다. 이를 통해 대응 및 사고 수습 방안에 대한 자세한 정보를 가이드합니다.

세번째. 비트락커를 통한 공격입니다. 비트락커는 윈도에서 기본으로 지원하고 있는 디스크 암호화 방법으로 패스워드를 입력해야 디스크 내 파일에 접근할 수 있도록 하는 보안 지원 기능입니다. 공격자는 주요 서버를 타깃으로 내부에 침투한 뒤, 원격 데스크톱으로 접속하여 별다른 랜섬웨어 악성코드 없이 비트락커로 디스크를 암호화하고 패스워드 제공 비용을 요구합니다.

이메일을 통해 들어오는 랜섬웨어를 방어하기 위해서는 첨부파일과 메일 본문의 링크까지 검사해야 합니다. 메일에 첨부된 실행파일이나 공격에 활용되는 다양한 스크립트 확장자를 사전에 필터링하는 정책을 적용하는 것입니다. 공격자들은 랜섬웨어를 직접 첨부하지 않고 메일 본문 또는 문서파일 내에 랜섬웨어 다운로드 링크를 삽입하여 발송하는 수법을 활용하고 있습니다.

랜섬웨어 대응, 현실적으로 어디서부터 어떻게 시작해야 대응 체계를 구축하고 피해를 최소화 할 수 있을지, 다양한 시각으로 범용적인 대응 방안을 알려드립니다.

• Source: blog.sckcloud.co.kr
• Views: 103921
• Publish date: 40 minute ago
• Downloads: 102000
• Likes: 9765
• Dislikes: 7
• Title Website: 효과적인 랜섬웨어 대응, 무엇이 필요할까요? – 클라우드 인사이트
• Description Website: 랜섬웨어 대응, 현실적으로 어디서부터 어떻게 시작해야 대응 체계를 구축하고 피해를 최소화 할 수 있을지, 다양한 시각으로 범용적인 대응 방안을 알려드립니다.

세부 정보를 보려면 여기를 클릭하십시오.

랜섬웨어 대응 방안 소개

• Source: Youtube
• Views: 79819
• Date: 17 hours ago
• Download: 102409
• Likes: 95
• Dislikes: 5

---

효과적인 랜섬웨어 대응, 무엇이 필요할까요?

이제 랜섬웨어는 우리에게 지속적인 위협을 가하는 존재가 되었습니다. 계속해서 피해가 발생하고 있지만 현실은 어느 누구도 완벽한 랜섬웨어 방어를 장담하지는 못합니다.

하지만, 단계 별로 충실하게 랜섬웨어 대응 체계를 구축한다면 사전에 예방 역량을 강화하고 랜섬웨어 감염 시에도 피해를 최소화할 수 있습니다.

이번 콘텐츠에서는 효과적으로 랜섬웨어를 대응하기 위해 여러분이 갖춰야할 사항들,

랜섬웨어 대응, 현실적으로 어디서부터 어떻게 시작해야 대응 체계를 구축하고 피해를 최소화 할 수 있을지, 다양한 시각으로 범용적인 대응 방안을 알려드립니다.

-List-

1. 랜섬웨어 공격 방식

2. 대응방안 1: 컨설팅

3. 대응방안 2: 트레이닝

4. 대응방안 3: 솔루션

5. 대응방안 4: 전문 서비스

구체적인 랜섬웨어 대응 방안을 살펴보기 전에 현재까지 대표적으로 알려진 랜섬웨어 공격 방식에 대해 살표보도록 하겠습니다.

첫번째. 상당수의 랜섬웨어 공격이 다양한 파일을 통해 발생하고 있습니다. 랜섬웨어를 정상 파일로 위장하여 사용자가 메일, SNS, 웹사이트를 통해 다운로드 받도록 유도하는 형태인데요. 감염 성공 시에는 디스크 내 문서파일을 암호화하는 경우가 가장 많았으나, 정상적인 부팅을 차단하고 디스크에 잠금(Lock)을 거는 사례도 증가하고 있습니다.

두번째. 파일리스 공격입니다. 비트락커는 윈도에서 기본으로 지원하고 있는 디스크 암호화 방법으로 패스워드를 입력해야 디스크 내 파일에 접근할 수 있도록 하는 보안 지원 기능입니다. 공격자는 주요 서버를 타깃으로 내부에 침투한 뒤, 원격 데스크톱으로 접속하여 별다른 랜섬웨어 악성코드 없이 비트락커로 디스크를 암호화하고 패스워드 제공 비용을 요구합니다.

세번째. 비트락커를 통한 공격입니다. 비트락커는 윈도에서 기본으로 지원하고 있는 디스크 암호화 방법으로 패스워드를 입력해야 디스크 내 파일에 접근할 수 있도록 하는 보안 지원 기능입니다. 공격자는 주요 서버를 타깃으로 내부에 침투한 뒤, 원격 데스크톱으로 접속하여 별다른 랜섬웨어 악성코드 없이 비트락커로 디스크를 암호화하고 패스워드 제공 비용을 요구합니다.

이러한 다양한 랜섬웨어 공격을 방어하기 위해서는 여러가지 대응 방안을 복합적으로 준비해야 합니다.

대응방안 1: 컨설팅, ‘객관적인 현황 분석’

랜섬웨어 대응의 첫 단계는 보안 컨설팅을 통한 객관적인 현황 분석입니다.

실제 사례를 살펴보면 랜섬웨어 사고를 당한 후 후속 조치를 위해 보안 컨설팅을 의뢰해 진행하는 경우가 많습니다.

보안 컨설팅은 전반적인 보안 수준을 끌어 올리는데 큰 효과가 있기 때문에, 체계적인 보안 대응 프로세스가 갖춰지지 않은 조직이나 환경에서 랜섬웨어 공격을 사전 예방할 수 있는 가장 좋은 방안입니다.

보안 컨설팅을 구체적으로 살펴보면, 먼저 조직 내부로 접근할 수 있는 다양한 취약점 루트를 찾아내기 위해 공격자의 시각으로 내부 인프라를 점검합니다. 과거 발생한 사례 분석 자료가 풍부하게 준비되어 있기 때문에 어느 부분이 취약한지, 어떤 대응이 필요한지에 대해 신속하고 최적화된 대응을 우선 순위에 두고 가이드 할 수 있습니다.

또한, 보안 컨설팅을 통해 전반적인 침해 상황 분석과 함께 취약점 진단 정보를 리포트를 통해 제공합니다. 특히, 주요 자산에 대해서는 상세 분석을 진행하기 때문에 최신 패치 적용 현황부터 시스템 운영 현황까지 세부 통계 데이터도 제공 가능합니다.

컨설팅을 통해 기대할 수 있는 랜섬웨어 대응 효과는 아래와 같습니다.

대응 방안2: 트레이닝, ‘쉽고 친근한 접근’

랜섬웨어 두번째 대응 방안은 바로 트레이닝(Training)입니다. 여기서 트레이닝은 보안 담당자 그리고 일반 사용자에 대한 교육 등 다양한 종류의 트레이닝을 포함하는데요.

기능에 맞게 세분화된 보안 조직과 다양한 솔루션이 준비되어 있어도 사용자의 보안 교육이 제대로 되어 있지 않다면 랜섬웨어 공격은 언제든 발생할 가능성이 큽니다.

보안 담당자는 최적화된 내부 사용자 보안 교육을 위해 기본적으로 최신 보안 이슈와 트렌드를 지속적으로 접하고 업데이트 해야 합니다.

대응방안3: 솔루션, 자동화된 대응 체계

세번째 단계는 솔루션을 통한 자동화된 대응 체계 수립입니다.

랜섬웨어 전용 솔루션이 시장에 많이 나와있지만, 다양한 공격 중, 솔루션에서 모니터링하는 일부 영역에 대해서만 최적화된 방어 기능이 동작하기 때문에 치밀하게 설계된 타깃형 랜섬웨어 공격을 방어하기에는 한계가 있습니다.

랜섬웨어 대응에 있어 다양한 구간 별로 운영되는 솔루션 역할에 대해 알려드립니다.

네트워크, 이메일, 엔드포인트 구간을 통한 랜섬웨어 공격이 발생하고 있기 때문에 해당 역역의 보안 솔루션을 통해 대응이 가능합니다.

네트워크: 방화벽, IPS/IDS, APT 대응 솔루션의 조화

기본적으로 네트워크 구간에는 방화벽이 존재합니다. 방화벽은 랜섬웨어 다운로드 가능성이 높은 IP나 웹사이트에 대해 실시간으로 차단하는 기능을 제공하며, 외부에서 내부의 중요 자산에 대한 IP, 포트(Port)접근을 차단하는 역할도 담당합니다.

IPS(Intrusion Prevention System)과 IDS(Intrusion Detection System)솔루션은 외부에서 시도하는 스캔 공격을 탐지하고 감염 PC에서 네트워크 취약점 공격을 통해 주요 서버로 확산을 시도하는 공격을 방어합니다. 이를 통해 감염이 의심되는 PC정보도 탐지해 낼 수 있습니다.

마지막으로 APT솔루션은 네트워크 구간에서 웹, 파일서버, FTP를 통해 이동되는 전체 파일 중 랜섬웨어를 식별하고 분석합니다. 시그니처, 평판 엔진 외에도 샌드박스 엔진으로 알려지지 않은 신 ·변종 랜섬웨어도 탐지합니다.

이메일: APT 대응 솔루션 활용

이메일을 통해 들어오는 랜섬웨어를 방어하기 위해서는 첨부파일과 메일 본문의 링크까지 검사해야 합니다. 메일에 첨부된 실행파일이나 공격에 활용되는 다양한 스크립트 확장자를 사전에 필터링하는 정책을 적용하는 것입니다. 공격자들은 랜섬웨어를 직접 첨부하지 않고 메일 본문 또는 문서파일 내에 랜섬웨어 다운로드 링크를 삽입하여 발송하는 수법을 활용하고 있습니다.

이와 같은 랜섬웨어 공격을 방어하기 위해서는 APT 솔루션을 통해 메일 본문과 첨부문서의 본문 링크를 이용해 배포되는 파일을 수집하여 샌드박스 분석을 진행해야 합니다.

엔드포인트: 보안 플랫폼 연동을 통한 대응

엔드포인트 구간에서 위협에 효과적으로 대응하기 위해서는 백신, 패치 관리, EDR 등이 각자의 역할을 하면서 유기적으로 통합되어야 합니다.

TIP: 최신 위협 정보 습득

TIP(Threat Intelligence Platform)를 활용할 경우 랜섬웨어 공격에 대한 다양한 최신 정보를 얻을 수 있습니다. TIP는 악성코드 관련 해시(Hash)나 IP의 정상·악성 여부를 제공하는데 그치지 않고, 실제 기업·기관에서 발생한 침해 사고와 관련된 위협 상관 관계 분석 등 풍부한 위협 정보를 제공합니다.

‘클라우드 샌드박스’ 역시 TIP에서 제공됩니다. 파일 또는 URL을 TIP에서 제공하는 클라우드 샌드박스 환경에서 분석할 수 있는데, 윈도우와 리눅스 환경을 지원하며, 분석 결과에 대한 다양한 이벤트 분석 정보도 확인이 가능합니다.

이처럼 랜섬웨어를 효율적으로 예방하고 대응하기 위해서는 특정 솔루션에만 기대하는 것이 아니라, 현재 운영하고 있는 다양한 보안 솔루션들을 적재적소에 최적화하여 활용해야 합니다.

대응 방안 4: 전분 서비스, ‘보안 전문가의 지원’

마지막으로 제안하는 랜섬웨어 대응 방법은 바로 보안 전문 서비스 활용입니다.

앞서 소개해드린 컨설팅, 트레이닝, 솔루션이 랜섬웨어 감염을 사전에 예방하고자 하는 목적이라면, 보안 전문 서비스는 보안 사고 발생 이후 어떻게 피해를 최소화하고 대응해 나갈지에 관한 가이드를 제공하는 것이 핵심입니다.

대표적인 두가지 서비스는 ‘악성코드 전문가 분석 서비스’입니다. 이는 랜섬웨어 등 공격에 사용된 파일을 분석가가 직접 정밀하게 분석하여 파일의 주요 행위, 특징 및 대응 방안을 종합적으로 검토해 고객에게 보고서를 제공합니다.

다음은 ‘침해사고 분석 서비스’인 A-FIRST(AhnLab Forensic & Incident Response Service Team)입니다. 랜섬웨어로 인한 보안 사고 발생 시, 감염된 자산에 대한 디지털포렌식 작업을 통해 감염이 어떤 경로로 발생했는지, 어떤 범위까지 피해가 있었는지를 분석하는 서비스입니다. A-FIRST의 보고서는 보안 사고의 시작부터 끝까지 전체 과정을 면밀하게 분석해 결과를 제공합니다. 이를 통해 대응 및 사고 수습 방안에 대한 자세한 정보를 가이드합니다.

지금까지 4가지 랜섬웨어 대응 방안에 대해 살펴보았는데요.

보안 관점에서 내부 IT 인프라 환경에 대해 상세 분석을 진행한 적이 없는 환경이라면, 컨설팅을 통해 외부에 노출된 위협부터 제거해 나가는 것이 합리적인 방안이라고 생각합니다.

랜섬웨어는 기술과 사람이 협력할 때 가장 효과적으로 대응할 수 있습니다. 랜섬웨어에 대한 두려움을 갖기 보다는, 대응을 위해 현재 준비된 것이 무엇이며 어떤 것을 더 보완해야 할지 지속적으로 검토하여 더욱 견고한 방어 체계를 만들어 나가야 합니다.

읽어주셔서 감사합니다.

(출처: 안랩 보안매거진 8월호)

안랩 관련 문의는 여기를 클릭해주세요.

랜섬웨어 대응 가이드라인

랜섬웨어 대응 가이드라인. 2019. 5. 연세대학교. 학술정보원 정보보안팀. ※ 본 가이드는 한국인터넷진흥원(KISA)의 [랜섬웨어 대응 가이드라인]을 인용하였음.

• Source: astro.yonsei.ac.kr
• Views: 28423
• Publish date: 6 minute ago
• Downloads: 69774
• Likes: 7620
• Dislikes: 2
• Title Website: 랜섬웨어 대응 가이드라인
• Description Website: 랜섬웨어 대응 가이드라인. 2019. 5. 연세대학교. 학술정보원 정보보안팀. ※ 본 가이드는 한국인터넷진흥원(KISA)의 [랜섬웨어 대응 가이드라인]을 인용하였음.

세부 정보를 보려면 여기를 클릭하십시오.

랜섬웨어 감염시 복구 및 대응방안

• Source: Youtube
• Views: 59877
• Date: 52 minute ago
• Download: 62407
• Likes: 7694
• Dislikes: 8

---

랜섬웨어 대응 강화방안

5 thg 8, 2021 — 랜섬웨어 대응 강화방안(요약). Ⅰ 추진 배경 및 현황. □최근 국내·외에서 해킹으로 피해자의 데이터를 암호화하고, 이를.

• Source: www.korea.kr
• Views: 48043
• Publish date: 24 hours ago
• Downloads: 49557
• Likes: 4480
• Dislikes: 6
• Title Website: 랜섬웨어 대응 강화방안
• Description Website: 5 thg 8, 2021 — 랜섬웨어 대응 강화방안(요약). Ⅰ 추진 배경 및 현황. □최근 국내·외에서 해킹으로 피해자의 데이터를 암호화하고, 이를.

세부 정보를 보려면 여기를 클릭하십시오.

랜섬웨어 대응방법 3 : 랜섬웨어 감염후 해야할 조치사항

• Source: Youtube
• Views: 45403
• Date: 20 minute ago
• Download: 80746
• Likes: 22
• Dislikes: 3

---

효과적인 랜섬웨어 대응, 무엇이 필요한가? – AhnLab | 보안 이슈

다음으로, 침해사고 분석 서비스인 ‘A-FIRST(AhnLab Forensic & Incident Response Service Team)’은 랜섬웨어로 인한 보안 사고 발생 시, 감염된 자산에 대한 디지털포렌식 작업을 통해 감염이 어떤 경로로 발생했는지, 어떤 범위까지 피해가 있었는지를 분석하는 서비스다. A-FIRST의 보고서는 보안 사고의 시작부터 끝까지 전체 과정을 면밀하게 분석해 결과를 제공한다. 이를 통해 대응 및 사고 수습 방안에 대한 자세한 정보를 가이드한다.

먼저, 백신에서 시그니처 엔진을 이용해 알려진 랜섬웨어를 파일 생성 시점에 실시간으로 삭제한다. 백신에서 탐지되지 않는 신·변종 랜섬웨어는 APT 솔루션이 샌드박스와 머신러닝 엔진으로 분석해 감염 전에 차단한다. EDR은 랜섬웨어 공격 시 공격자가 활용한 전체적인 감염 루트와 잔여 악성코드 여부를 확인하여 최종 대응할 수 있도록 정보를 제공한다. 또, 확인된 공격 루트와 악성코드 정보는 다양한 솔루션의 Blacklist 기능을 활용하여 실시간 차단되도록 등록하여 관리한다.

보안 컨설팅은 계정 관리에 대한 분석 결과도 제공한다. 실제로 여전히 많은 조직에서 기본 디폴트 관리자 계정을 사용하고, 동일한 패스워드를 여러 서버에 적용해서 운영하고 있으며, 패스워드 만료 기간과 같은 정책도 운영하고 있지 않다. 이 경우 공격자 입장에서는 서버에 대한 관리자 권한을 손에 넣는 것이 훨씬 수월해진다. 컨설팅에서는 계정 관리를 통해 주요 서버의 계정이 어떻게 관리되고 있는지 현황을 파악하고 효율적인 계정 관리 체계에 대한 가이드를 제공한다.

2 thg 8, 2021 — 이러한 다양한 랜섬웨어 공격을 방어하기 위해서는 여러가지 대응 방안을 복합적으로 준비해야 한다. 대응 방안 1: 컨설팅, ‘객관적인 현황 분석’. 랜섬 …

• Source: m.ahnlab.com
• Views: 38622
• Publish date: 4 minute ago
• Downloads: 54933
• Likes: 1300
• Dislikes: 1
• Title Website: 효과적인 랜섬웨어 대응, 무엇이 필요한가? – AhnLab | 보안 이슈
• Description Website: 2 thg 8, 2021 — 이러한 다양한 랜섬웨어 공격을 방어하기 위해서는 여러가지 대응 방안을 복합적으로 준비해야 한다. 대응 방안 1: 컨설팅, ‘객관적인 현황 분석’. 랜섬 …

세부 정보를 보려면 여기를 클릭하십시오.

[AhnLab ISF SQUARE 2021] 랜섬웨어 대응 방안

• Source: Youtube
• Views: 88796
• Date: 47 minute ago
• Download: 11206
• Likes: 9718
• Dislikes: 9

---

AhnLab

이제 랜섬웨어는 지근거리에서 우리에게 지속적인 위협을 가하는 존재가 되었다. 계속해서 피해 발생하고 있지만 어느 누구도 완벽한 랜섬웨어 방어를 장담하지 못한다. 그리고 그것이 현실이다. 하지만, 단계 별로 충실하게 랜섬웨어 대응 체계를 구축하면 사전 예방 역량을 강화하고 감염 시에도 피해를 최소화할 수 있다.

이번 글에서는 효과적인 랜섬웨어 대응을 위해 갖춰야할 사항들을 알아본다.

2021년 8월 현재, 랜섬웨어 공격을 한 번도 겪어보지 않은 기업을 찾는 것이 힘든 상황이 되었다. 그만큼, 기업, 금융, 의료 및 공공 기관, 생산 시설 등 다양한 조직부터 일반 개인의 PC까지 랜섬웨어 공격은 수년간 멈추지 않고 발생하고 있다.

랜섬웨어 대응 방안이라는 주제를 다루면서 필자는 적지 않은 고민을 하게 되었다.

“랜섬웨어는 총 10가지 종류가 있고 최적화된 대응 방안은 7가지가 있다. 이것만 알고 있으면 93.19%의 랜섬웨어에 대해 대응이 가능하다”

위처럼 깔끔하게 내용을 정리해 전달할 수 있다면 모두가 만족할 수 있을 것이다. 하지만, 랜섬웨어 대응은 이처럼 간단하고 명쾌한 해답을 제시하기 어려운 것이 현실이다.

당장 이 글을 읽고 있는 독자들도 처한 환경이 다르고 각각의 업무마다 상이한 특성을 갖고 있다. 또, 업종 별 비즈니스 카테고리와 사업의 규모도 모두 다르다. 보안 조직 구성과 인력, 사전 구비된 솔루션까지 어느 조직도 모두 같지 않다.

이처럼 복잡다단한 랜섬웨어 대응, 현실적으로 어디서부터 어떻게 시작해야 대응 체계를 구축하고 피해를 최소화 할 수 있을지 다양한 시각으로 범용적인 대응 방안을 정리해 보았다.

랜섬웨어 공격 방식

구체적인 대응 방안을 살펴보기에 앞서 현재까지 대표적으로 알려진 랜섬웨어 공격 방식에 대해 살펴보자.

[그림 1] 랜섬웨어 공격 방식 정리

첫 번째로, 상당수의 랜섬웨어 공격이 다양한 파일을 통해 발생하고 있다. 랜섬웨어를 정상 파일로 위장해 사용자가 메일이나 SNS, 웹사이트를 통해 다운로드 받도록 유도하는 형태이다. 감염 성공 시, 디스크 내 문서파일을 암호화하는 경우가 가장 많았지만, 정상적인 부팅을 차단하고 디스크에 잠금(Lock)을 거는 사례도 증가하고 있다.

두 번째는 파일리스 공격이다. 별도의 악성코드 파일을 이용하지 않고, 웹 브라우저 취약점을 통해 PC 내 실행중인 정상 프로세스를 활용하여 랜섬웨어 공격을 시도한다. 취약한 광고 배너를 통해 감염되는 경우도 있지만, 공격자는 일반 사용자보다 원자재, 자동차, 건설, 정유, 원자력 에너지와 같이 전문적 업무에 필요한 정보를 다루는 사이트를 주요 공격 타깃으로 삼는다. PC 내 중요한 고급자료가 저장되는 경우 복호화 비용을 지불할 확률도 높아지기 때문이다.

세 번째는 비트락커를 통한 공격이다. 비트락커는 윈도에서 기본으로 지원하고 있는 디스크 암호화 방법으로, 패스워드를 입력해야 디스크 내 파일에 접근할 수 있도록 하는 보안 지원 기능이다. 공격자는 주요 서버를 타깃으로 내부에 침투한 뒤, 원격 데스크톱으로 접속하여 별다른 랜섬웨어 악성코드 없이, 비트락커로 디스크를 암호화하고 패스워드 제공 비용을 요구한다.

이러한 다양한 랜섬웨어 공격을 방어하기 위해서는 여러가지 대응 방안을 복합적으로 준비해야 한다.

대응 방안 1: 컨설팅, ‘객관적인 현황 분석’

랜섬웨어 대응의 첫 단계는 보안 컨설팅을 통한 ‘객관적인 현황 분석’이다. 실제 사례를 살펴보면 안타깝게도 랜섬웨어 사고를 당하고 난 뒤 후속 조치를 위해 보안 컨설팅을 의뢰해 진행하는 경우가 많다.

보안 컨설팅은 전반적인 보안 수준을 끌어 올리는데 큰 효과가 있기 때문에, 체계적인 보안 대응 프로세스가 갖춰지지 않은 조직이나 환경에서, 랜섬웨어 공격을 사전 예방할 수 있는 가장 좋은 방안이다.

보안 컨설팅을 구체적으로 살펴보면, 먼저 조직 내부로 접근할 수 있는 다양한 취약점 루트를 찾아내기 위해 공격자의 시각으로 내부 인프라를 점검한다. 과거 발생한 사례 분석 자료가 풍부하게 준비되어 있기 때문에 어느 부분이 취약한지, 어떤 대응이 필요한지에 대해 신속하고 최적화된 대응을 우선 순위에 두고 가이드 할 수 있다.

보안 컨설팅을 통해 제공되는 리포트는 전반적인 침해 상황 분석과 함께 취약점 진단 정보를 제공한다. 여기에는 백신 관리, 패치, 계정과 공유폴더까지 공격자가 공격루트로 활용할만한 다양한 영역에 대한 점검 결과도 포함되어 있다.

특히, 주요 자산에 대해서는 상세 분석을 진행하므로, 최신 패치 적용 현황부터 시스템 운영 현황까지 세부 통계 데이터도 제공 가능하다. 또, 업계 평균과 비교해 어느 정도 보안 수준을 유지하고 있는지에 대해 수치화 된 평가 지수도 확인할 수 있다. 이를 통해 가장 준비가 부족한 부분을 인지하고 긴급 대응해야 할 우선 순위를 선정할 수 있도록 지원한다.

보안 컨설팅은 계정 관리에 대한 분석 결과도 제공한다. 실제로 여전히 많은 조직에서 기본 디폴트 관리자 계정을 사용하고, 동일한 패스워드를 여러 서버에 적용해서 운영하고 있으며, 패스워드 만료 기간과 같은 정책도 운영하고 있지 않다. 이 경우 공격자 입장에서는 서버에 대한 관리자 권한을 손에 넣는 것이 훨씬 수월해진다. 컨설팅에서는 계정 관리를 통해 주요 서버의 계정이 어떻게 관리되고 있는지 현황을 파악하고 효율적인 계정 관리 체계에 대한 가이드를 제공한다.

컨설팅을 통해 기대할 수 있는 랜섬웨어 대응 효과는 다음과 같다..

[그림 2] 컨설팅을 통한 랜섬웨어 대응 기대효과

우선, IT 인프라 최신 현황을 확인할 수 있다. 이 과정에서 사용하지 않는 낙후된 서버에 대한 점검 및 폐기도 진행한다. 이처럼 관리되지 않는 서버가 내부에 있다면, 공격자는 오래된 취약점 코드를 활용해 공격을 시작할 수 있다.

두 번째는 내부 취약점 분석이다. 공격자의 시각에서부터 다양한 부분에 대한 점검을 진행하고, 공개된 홈페이지에 노출된 대외 메일 계정 정보부터 외부에서 접속 가능하도록 오픈되어 있는 IP/Port에 대한 점검도 진행한다.

마지막 세 번째는 분석을 통한 개선방향 도출 및 맞춤형 보완 방안 제공이다. 이는 일반적인 대응 방안이 아닌 컨설팅 과정을 통해 파악한 조직의 특성을 반영, 최적화된 맞춤 대응 방안을 제공하는 것이 특징이다.

대응 방안 2: 트레이닝, ‘쉽고 친근한 접근’

다음 랜섬웨어 대응 방안은 바로 트레이닝(Training)이다. 여기서 트레이닝은 보안 담당자 그리고 일반 사용자에 대한 교육 등 다양한 종류의 트레이닝을 포함한다.

랜섬웨어 공격은 사용자의 호기심이나 실수를 유도하도록 설계되어 있으며, 이는 과거부터 계속되어온 공격 기술 중 하나이다. 기능에 맞게 세분화된 보안 조직과 다양한 솔루션이 준비되어 있어도, 사용자의 보안 교육이 제대로 되어 있지 않다면 랜섬웨어 공격은 언제든 발생할 가능성이 존재한다.

보안 담당자는 최적화된 내부 사용자 보안 교육을 위해서, 기본적으로 최신 보안 이슈와 트렌드를 지속적으로 접하고 업데이트 해야 한다.

이에 대해 안랩은 자사가 보유한 플랫폼을 적극 활용해 다양한 최신 보안정보를 제공하고 있다.

먼저, 자사 홈페이지 ‘안랩닷컴’에서는 정기 간행물을 통해 최신 보안 이슈에 대한 다양한 정보를 확인할 수 있다. 주간 ‘시큐리티 레터’는 매주 최신 보안뉴스와 이슈, 그리고 사용자에게 도움이 될만한 IT 관련 정보를 정리해 발간되고 있다. 매달 초 발행되는 ‘월간 安’은 ‘시큐리티 레터’보다 더 다양한 보안 주제에 대해 전문가의 심층적이고 상세한 분석 내용을 다룬다.

안랩의 보안 전문가들이 다양한 위협을 다각도로 분석해 인사이트를 제공하는 ASEC 블로그는 최신 위협 인텔리전스를 습득할 수 있는 최적의 플랫폼이다. 매주 약 2회 혹은 그 이상의 빈도로 게재되는 콘텐츠를 통해 국내 사용자들과 밀접한 연관이 있는 위협 정보를 지속적으로 공급한다. 한편, ASEC 블로그는 지난해부터 영문과 일문 서비스도 제공하고 있으며 70개 이상 국가 사용자들이 접속하고 해외 언론에도 인용되는 등 글로벌 시장에서의 입지를 넓혀가고 있다.

이 밖에, 언론에서 발행하는 보안뉴스도 일일이 검색해서 찾을 필요 없이, 안랩닷컴 ‘최신 보안 뉴스’ 영역에서 날짜 별로 정리되어 있는 스크랩된 보안 기사를 확인할 수 있다. 또, ‘보안 용어사전’을 통해 신문기사나 보안 블로그에서 접한 새로운 보안 용어에 대해 서도 이해하기 쉽고 정확한 정보를 확인할 수 있다.

안랩은 지난해부터 가속화된 언택트 트렌드에 대응해 웨비나를 포함한 동영상 플랫폼을 적극적으로 활성화하고 있다. 지난 7월, 리뉴얼을 완료해 오픈한 웨비나 & 동영상 플랫폼 ‘안랩TV’는 사용자 친화적인 디자인과 편리한 검색 기능을 통해 사용성을 극대화했다. 무엇보다, 랜섬웨어 대응, 원격 근무 보안 등 최신 보안 트렌드에 관한 풍부한 영상을 단일 플랫폼에서 제공해 사용자들에게 보다 유익한 보안 정보를 제공할 수 있을 것으로 기대된다.

[그림 3] 안랩TV 리뉴얼 오픈

안랩이 운영하는 유튜브 채널 ‘삼평동연구소’는 IT, 보안, 개발 지식 공유를 목적으로 다양한 카테고리의 콘텐츠를 지속적으로 업데이트 하고 있다. 삼평동연구소의 영상은 보안을 전문적으로 다루지 않는 일반 사용자도 쉽게 이해할 수 있도록 구성되어 있다. 트렌드에 맞게 짧은 시간에 재미와 함께 유익한 정보가 기억에 남도록 제작되었기 때문에 사내 보안 교육에 활용할만한 다양한 콘텐츠를 제공한다.

교육과 트레이닝을 통한 보안 인식 제고는 일반적으로 여겨질 수 있지만 랜섬웨어 대응에 있어 핵심적인 역할을 한다. 빈번하고 지속적인 랜섬웨어 사고, 이제 보안 대응을 전문가의 역할로만 한정 짓기에 위협은 너무도 가까이 와 있다. 따라서, 보안 담당자와 일반 사용자가 함께 대응해 나가는 노력이 필요하다.

일반 사용자를 대상으로 막연하게 최신 보안뉴스에 나온 랜섬웨어 공격을 안내하기 보다는, 직접 조직을 타깃으로 발생한 공격 사례나, 동종 업계에서 발생한 공격에 대해 일반 사용자의 눈높이로 내용을 정리하여 콘텐츠를 제작 & 공유하는 것도 권장할만한 방법 중 하나이다. 이를 통해 내부 구성원들이 보다 관심을 갖고 예방 활동에 참여하도록 유도할 수 있다.

대응 방안 3: 솔루션, 자동화된 대응 체계

다음 세 번째 단계는 솔루션을 통한 자동화된 대응 체계 수립이다.

랜섬웨어 전용 솔루션이 시장에 많이 나와있지만, 다양한 공격 중, 솔루션에서 모니터링하는 일부 영역에 대해서만 최적화된 방어 기능이 동작하기 때문에, 치밀하게 설계된 타깃형 랜섬웨어 공격을 방어하기에는 분명한 한계가 있다.

사실 랜섬웨어는 일정 수준 이상의 솔루션을 도입하고 체계를 갖춰 운영한다면 공격으로 인한 피해를 최소화 하는데 효과적으로 활용할 수 있다. 랜섬웨어 대응에 있어 다양한 구간 별로 운영되는 솔루션의 역할에 대해 알아보자.

[그림 4]는 랜섬웨어 공격이 시작되는 구간이다.

[그림 4] 랜섬웨어 공격 시작 구간

보다시피 네트워크, 이메일, 엔드포인트 구간을 통한 랜섬웨어 공격이 발생하고 있기 때문에 해당 영역의 보안 솔루션을 통해 대응이 가능하다.

네트워크: 방화벽, IPS/IDS, APT 대응 솔루션의 조화

기본적으로 네트워크 구간에는 방화벽이 존재한다. 방화벽은 랜섬웨어 다운로드 가능성이 높은 IP나 웹사이트에 대해서 실시간으로 차단하는 기능을 제공하며, 외부에서 내부의 중요 자산에 대한 IP, 포트(Port) 접근을 차단하는 역할도 담당한다.

[그림 5] AhnLab TrusGuard 방화벽을 통한 랜섬웨어 대응

관리자는 실시간으로 차단 가능한 Blacklist C&C IP 최신 업데이트를 진행해야 하며 IP, 포트에 대한 차단, 허용 규칙을 철저하게 관리해야 한다. 그리고 반드시 주기적인 방화벽 정책 체크를 진행해, 관리되지 않은 외부 접근 허용 정책이 존재하는지 점검해야 한다.

다음으로 IPS(Intrusion Prevention System)과 IDS(Intrusion Detection System) 솔루션은 외부에서 시도하는 스캔 공격을 탐지하고, 감염 PC에서 네트워크 취약점 공격을 통해 주요 서버로 확산을 시도하는 공격을 방어한다. 이를 통해서 감염이 의심되는 PC 정보도 탐지해 낼 수 있다.

마지막으로 APT솔루션은 네트워크 구간에서 웹, 파일서버, FTP를 통해 이동되는 전체 파일 중에 랜섬웨어를 식별하고 분석한다. 시그니처, 평판 엔진 외에도 샌드박스 엔진으로 알려지지 않은 신·변종 랜섬웨어도 탐지한다. 인터넷망 백본 외에 주요 서버가 위치한 네트워크 구간도 함께 모니터링 한다면 다양한 프로토콜을 통한 위협을 실시간으로 탐지하고 차단할 수 있다.

이메일: APT 대응 솔루션 활용

이메일을 통해 들어오는 랜섬웨어를 방어하기 위해서는 첨부파일과 메일 본문의 링크까지 검사해야 한다.

최근에는 빈번한 랜섬웨어 공격 때문에 메일의 첨부파일에 대해 점점 제약을 두는 경우가 많다. 메일에 첨부된 실행파일이나 공격에 활용되는 다양한 스크립트 확장자를 사전에 필터링하는 정책을 적용하는 것이다. 이에 공격자들은 랜섬웨어를 직접 첨부하지 않고 메일 본문 또는 문서파일 내에 랜섬웨어 다운로드 링크를 삽입해 발송하는 수법을 활용하고 있다.

이와 같은 랜섬웨어 공격을 효과적으로 방어하기 위해서는 APT 솔루션을 통해, 메일 본문, 첨부문서의 본문 링크를 이용해 배포되는 파일을 수집해 샌드박스 분석을 진행해야 한다.

엔드포인트: 보안 플랫폼 연동을 통한 대응

그간 안랩은 위협 고도화에 대응해 유기적인 연동과 보안 플랫폼의 중요성을 지속적으로 강조해왔다. 특히 엔드포인트 구간에서 위협에 효과적으로 대응하기 위해서는 백신, 패치 관리, EDR 등이 각자의 역할을 하면서 유기적으로 통합되어야 한다.

[그림 6] AhnLab EPP 구조도

세부적으로 하나씩 살펴보면, 먼저 백신 솔루션은 윈도우를 비롯해 유닉스, 리눅스, 맥OS, VDI 환경에서 알려진 랜섬웨어를 유입 시점에 시그니처와 행위 분석을 바탕으로 엔드포인트 구간에서 차단한다. 중요 폴더를 랜섬웨어 보호대상으로 등록해 놓을 경우 랜섬웨어 감염 시 폴더 내 파일이 암호화 되는 것을 사전에 방지할 수 있다.

다만, 백신을 엔드포인트의 가장 기본 솔루션으로 운영하면서도 일부 기능만 제한적으로 사용하는 경우가 많다. 이에, 최신 엔진 업데이트와 함께 랜섬웨어 대응을 위해 만들어진 다양한 기능을 활성화하여 운영하는 방안을 권고한다.

다음은 패치 관리(Patch Management) 솔루션이다. 혹자는 ‘패치 관리가 랜섬웨어와 무슨 관련이 있을까?’라는 의문을 가질 수도 있다.

하지만, 많은 랜섬웨어가 운영체제(OS)와 응용프로그램 취약점을 이용해 PC 관리자 권한을 탈취하려는 시도를 한다. 일부 랜섬웨어는 PC 1대를 감염시키고 나서, 네트워크의 다른 PC로 감염 확산을 시도하는 행위를 한다. 이때 OS 취약점을 이용하면 최신 패치가 되어있지 않은 수백, 수천 대의 PC로 감염을 확산시킬 수 있다. 실제로, 잘 알려진 워너크라이(WannaCry) 랜섬웨어가 이런 방식으로 엄청나게 많은 PC를 감염시킨 바 있다.

취약점 관리 측면에서 최신 보안 패치는 굉장히 중요하며, 이를 통해 랜섬웨어 감염 가능성을 낮추고 확산을 최소화하는 방향으로 활용 가능하다.

다음은 최근 몇 년 간 ‘핫한’ 솔루션으로 주목받고 있는 EDR이다. EDR 솔루션은 PC의 모든 행위를 감시 및 추적하며 랜섬웨어의 주요 행위를 탐지한다. 구체적으로는 암호화 및 백업 삭제 행위를 탐지하고, 감염에 이르기까지의 모든 공격 흐름과 연관 정보를 수집한다. 즉, EDR에서 제공하는 정보를 통해 공격 루트를 비롯해 정책적으로 차단해야 할 C&C IP/URL 정보도 확인할 수 있다.

이어서, APT 솔루션의 에이전트도 랜섬웨어 대응 기능을 제공한다. 네트워크, 메일, USB를 통해 실행되는 파일을 실행 보류 후, 분석 장비의 샌드박스에서 검사한다. 랜섬웨어는 PC 내 문서를 대상으로 암호화 동작을 수행하므로, 샌드박스 행위 분석을 통해 이를 빠르게 탐지해 낼 수 있다. 이렇게 탐지된 랜섬웨어는 실행 보류 상태에서 차단 및 삭제되므로, 감염 전에 자동으로 모든 대응을 완료할 수 있어 가장 효과적인 대응 방식이라 할 수 있다.

아울러, 파일리스 공격도 APT 솔루션 에이전트를 통해 대응이 가능하다. 웹브라우저 취약점 공격을 모니터링하고, 발견 시점에 취약점 코드가 삽입된 프로세스를 강제 종료해서, 악성 행위가 발현되는 것을 사전 차단한다.

[그림 7]은 엔드포인트 영역에서 랜섬웨어 공격 발생 시, 솔루션 별 대응 순서를 정리한 것이다.

[그림 7] 엔드포인트 솔루션 별 랜섬웨어 대응 순서

먼저, 백신에서 시그니처 엔진을 이용해 알려진 랜섬웨어를 파일 생성 시점에 실시간으로 삭제한다. 백신에서 탐지되지 않는 신·변종 랜섬웨어는 APT 솔루션이 샌드박스와 머신러닝 엔진으로 분석해 감염 전에 차단한다. EDR은 랜섬웨어 공격 시 공격자가 활용한 전체적인 감염 루트와 잔여 악성코드 여부를 확인하여 최종 대응할 수 있도록 정보를 제공한다. 또, 확인된 공격 루트와 악성코드 정보는 다양한 솔루션의 Blacklist 기능을 활용하여 실시간 차단되도록 등록하여 관리한다.

TIP: 최신 위협 정보 습득

TIP(Threat Intelligence Platform)를 활용할 경우 랜섬웨어 공격에 대한 다양한 최신 정보를 얻을 수 있다.

TIP는 악성코드 관련 해시(Hash)나 IP의 정상·악성 여부를 제공하는데 그치지 않고, 실제 기업·기관에서 발생한 침해 사고와 관련된 위협 상관 관계 분석 등 풍부한 위협 정보를 제공한다. TIP의 ‘IOC Feeds’ 기능은 악성코드 관련 정보, 네트워크 정보와 최신 취약점 정보를 공유한다. 뿐만 아니라, 다양한 상세 분석 정보와 산업군별 공격 발생 추이 및 통계 정보도 제공한다.

TIP가 제공하는 ‘뉴스 클리핑’을 활용하면 국내, 해외 뉴스를 통해 다양한 보안 이슈를 접할 수 있다. 그리고, 실제 조직 내로 동일한 공격 시도 있었는지 확인하고자 할 경우 TIP의 최신 뉴스 정보와 함께, 해당 공격에 사용한 파일과 IP/URL 목록을 확인하면 된다. 목록에서 해당 파일 및 IP를 클릭할 경우 상세 분석 정보와 연관 공격 히스토리도 직접 확인할 수 있다.

마지막으로, ‘클라우드 샌드박스’ 역시 TIP에서 제공된다. 파일 또는 URL을 TIP에서 제공하는 클라우드 샌드박스 환경에서 분석할 수 있다. 윈도우와 리눅스 환경을 지원하며, 분석 결과에 대한 다양한 이벤트 분석 정보도 확인 가능하다.

이처럼 다양한 구간에 걸쳐 여러 솔루션을 통해 랜섬웨어에 대응하는 방법을 알아봤다. 랜섬웨어를 효율적으로 예방하고 대응하기 위해서는 특정 솔루션에만 기대는 것이 아니라, 현재 운영하고 있는 다양한 보안 솔루션들을 적재적소에 최적화하여 활용해야 한다.

대응 방안 4: 전문 서비스, ‘보안 전문가의 지원’

마지막으로 제안하는 랜섬웨어 대응 방법은 바로 보안 전문 서비스 활용이다.

앞서 소개한 컨설팅, 트레이닝, 솔루션이 랜섬웨어 감염을 사전 예방하는 목적이라면, 보안 전문 서비스는 보안 사고 발생 이후 어떻게 피해를 최소화하고 대응해 나갈지에 관한 가이드를 제공하는 것이 핵심이다.

두 가지 대표적인 서비스를 설명하면, 먼저 ‘악성코드 전문가 분석 서비스’는 랜섬웨어 등 공격에 사용된 파일을 분석가가 직접 정밀하게 분석하여 파일의 주요 행위, 특징 및 대응 방안을 종합적으로 검토해 고객에게 보고서를 제공한다.

다음으로, 침해사고 분석 서비스인 ‘A-FIRST(AhnLab Forensic & Incident Response Service Team)’은 랜섬웨어로 인한 보안 사고 발생 시, 감염된 자산에 대한 디지털포렌식 작업을 통해 감염이 어떤 경로로 발생했는지, 어떤 범위까지 피해가 있었는지를 분석하는 서비스다. A-FIRST의 보고서는 보안 사고의 시작부터 끝까지 전체 과정을 면밀하게 분석해 결과를 제공한다. 이를 통해 대응 및 사고 수습 방안에 대한 자세한 정보를 가이드한다.

결론: 랜섬웨어 대응, 기술과 사람의 협력 필요

지금까지 4가지 랜섬웨어 대응 방안에 대해 살펴봤다. 짧은 기간에 랜섬웨어 대응 방안을 마련하기 위해서는 솔루션을 검토하는 것이 가장 빠르지만, 보안 관점에서 내부 IT 인프라 환경에 대해 상세 분석을 진행한 적이 없는 환경이라면, 컨설팅을 통해 외부에 노출된 위협부터 제거해 나가는 것이 더 합리적인 방안이라 생각한다.

지금까지 필자가 많은 기업과 기관에 방문해 다양한 환경을 직접 접하면서, 가장 랜섬웨어 대응을 잘하고 있다고 생각된 곳은 최적화된 솔루션을 갖추고 있으면서 함께 일반 구성원의 보안 인식도 높은 조직이었다.

해당 조직은 일반 구성원들도 내부를 타깃으로 발생했던 랜섬웨어 공격 사례를 메일이나 공지를 통해 전달받고 있으며, 랜섬웨어 의심 메일이나 파일을 확인할 경우 어떻게 신고해야 하는지 숙지하고 있었다. 또, 실제 감염이 발생할 경우에는 보안 조직에서 수립한 대응 프로세스를 가이드 받고 빠르게 확산 방지 조치를 수행한다.

결국 랜섬웨어는 기술과 사람이 협력할 때 가장 효과적으로 대응할 수 있다. 랜섬웨어에 대한 막연한 두려움을 갖기보다는, 대응을 위해 현재 준비된 것이 무엇이며 어떤 것을 더 보완해야 할지 지속적으로 검토하여 더욱 견고한 방어 체계를 만들어 나가야 한다.

보고서 | 자료실 – KISA 인터넷 보호나라&KrCERT

4.5 랜섬웨어 공격 피해 최소화를 위한 사후 대응 전략

참고2. Appendix. 설문조사 항목 트위터 페이스북

3. 기업 담당자의 눈으로 바라본 랜섬웨어

4.2 랜섬웨어의 기술적 대응 방안 4.3 랜섬웨어의 감염 분석 4.4 랜섬웨어 대응을 위한 투자 전략 4.5 랜섬웨어 공격 피해 최소화를 위한 사후 대응 전략

• Source: www.krcert.or.kr
• Views: 16445
• Publish date: 25 minute ago
• Downloads: 841
• Likes: 6842
• Dislikes: 7
• Title Website: 보고서 | 자료실 – KISA 인터넷 보호나라&KrCERT
• Description Website: 4.2 랜섬웨어의 기술적 대응 방안 4.3 랜섬웨어의 감염 분석 4.4 랜섬웨어 대응을 위한 투자 전략 4.5 랜섬웨어 공격 피해 최소화를 위한 사후 대응 전략

세부 정보를 보려면 여기를 클릭하십시오.

[SK TECH SUMMIT 2022] 랜섬웨어 관련 보안 위협 및 대응방안

• Source: Youtube
• Views: 94575
• Date: 34 minute ago
• Download: 74829
• Likes: 1715
• Dislikes: 7

---

KISA 인터넷 보호나라&KrCERT

1. 랜섬웨어의 최근 동향

1.1 랜섬웨어 동향 및 시사점

1.2 랜섬웨어의 확산

1.3 랜섬웨어의 공격 벡터

1.4 랜섬웨어 공격 사례

2. 랜섬웨어에 대한 이해

2.1 랜섬웨어의 종류별 특징

2.2 랜섬웨어의 공격 시나리오

2.3 랜섬웨어의 기술적 대응과 한계

3. 기업 담당자의 눈으로 바라본 랜섬웨어

3.1 설문조사 개요 및 요약

3.2 세부 조사결과

3.3 설문조사 총평

4. 랜섬웨어 방어 및 대응 전략

4.1 랜섬웨어의 관리적 대응 방안

4.2 랜섬웨어의 기술적 대응 방안

4.3 랜섬웨어의 감염 분석

4.4 랜섬웨어 대응을 위한 투자 전략

4.5 랜섬웨어 공격 피해 최소화를 위한 사후 대응 전략

5. 랜섬웨어 전용 솔루션에 대한 고찰

5.1 랜섬웨어 기본 점검항목

5.2 랜섬웨어 대응 솔루션들

참고1. 편집 후기

참고2. Appendix. 설문조사 항목 트위터 페이스북

랜섬웨어에 대처하는 11가지 방법 – ITWorld Korea

Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

Offcanvas

30 thg 6, 2016 — 소프트웨어, 특히 어도비와 마이크로소프트, 오라클 앱의 최신 패치 설치 · 네트워크 보호 사용 · 행동 탐지 기능이 있는 종합적인 엔드포인트 보안 솔루션 …

• Source: www.itworld.co.kr
• Views: 22902
• Publish date: 22 hours ago
• Downloads: 74404
• Likes: 8375
• Dislikes: 10
• Title Website: 랜섬웨어에 대처하는 11가지 방법 – ITWorld Korea
• Description Website: 30 thg 6, 2016 — 소프트웨어, 특히 어도비와 마이크로소프트, 오라클 앱의 최신 패치 설치 · 네트워크 보호 사용 · 행동 탐지 기능이 있는 종합적인 엔드포인트 보안 솔루션 …

세부 정보를 보려면 여기를 클릭하십시오.

랜섬웨어 ‘비상’…대처 방안은 없을까? / YTN 사이언스

• Source: Youtube
• Views: 33561
• Date: 56 minute ago
• Download: 51940
• Likes: 9357
• Dislikes: 5

---

랜섬웨어에 대처하는 11가지 방법

Offcanvas

Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

최근 랜섬웨어 공격 트렌드 분석, 대응 방안 제시 – 정보통신신문

이들은 지금까지도 공공기관을 사칭하거나 입사지원서 관련 이력서, 포트폴리오 등의 메일로 위장해 첨부파일에 랜섬웨어를 유포하며 꾸준히 활동을 이어 나가고 있다. 최근 ‘VenusLocker’는 ‘Lockbit’ 랜섬웨어를 3.0 버전으로 업데이트하며 버그바운티(보안 취약점 신고 포상 제도)를 도입하고 복호화 지불 방법을 다양화하는 등 공격 방법을 다각화하고 있어 각별한 주의가 필요하다.

KARA는 SK쉴더스의 주도로 구성된 랜섬웨어 대응 민간 협의체로, 각 분야 전문 기업들이 랜섬웨어 최신 트렌드 및 피해 실태와 관련한 정기적인 정보 공유를 통해 사고 접수와 대응, 복구, 대책까지 원스톱으로 대응하는 프로세스를 제공하고 있다. SK쉴더스, 트렌드마이크로, 지니언스, 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등이 참여 중이다.

김병무 SK쉴더스 클라우드사업본부장은 “최근 랜섬웨어 공격자들은 조직적인 시스템을 갖춰 표적 공격을 수행하며 수십억원의 몸값을 요구하는 등 랜섬웨어 공격이 심각한 사회적 문제로 이어지고 있다”며 “SK쉴더스는 KARA 회원사와 함께 랜섬웨어 공격에 대한 체계적인 대응 프로세스를 마련하고 주요 랜섬웨어 정보와 대비책을 공유하는 활동을 지속적으로 이어 나갈 것”이라고 밝혔다.

24 thg 9, 2022 — [정보통신신문=박광하기자]SK쉴더스(대표이사 박진효)가 민간 랜섬웨어 대응 협의체 ‘KARA(Korea Anti Ransomware Alliance)’와 함께 랜섬웨어 동향 …

• Source: www.koit.co.kr
• Views: 81789
• Publish date: 7 hours ago
• Downloads: 7031
• Likes: 8156
• Dislikes: 4
• Title Website: 최근 랜섬웨어 공격 트렌드 분석, 대응 방안 제시 – 정보통신신문
• Description Website: 24 thg 9, 2022 — [정보통신신문=박광하기자]SK쉴더스(대표이사 박진효)가 민간 랜섬웨어 대응 협의체 ‘KARA(Korea Anti Ransomware Alliance)’와 함께 랜섬웨어 동향 …

세부 정보를 보려면 여기를 클릭하십시오.

랜섬웨어 대응방안에 대한 오해와 진실

• Source: Youtube
• Views: 106024
• Date: 17 hours ago
• Download: 31333
• Likes: 4345
• Dislikes: 7

---

최근 랜섬웨어 공격 트렌드 분석, 대응 방안 제시

민간 랜섬웨어 대응 협의체 KARA, 동향 보고서 발간

EDR·백업 솔루션 구축, 정기적 보안 교육·모의 훈련 제안

KARA 랜섬웨어 동향 보고서 표지. [자료=SK쉴더스] [정보통신신문=박광하기자]

SK쉴더스(대표이사 박진효)가 민간 랜섬웨어 대응 협의체 ‘KARA(Korea Anti Ransomware Alliance)’와 함께 랜섬웨어 동향 보고서를 최근 발간했다.

KARA는 SK쉴더스의 주도로 구성된 랜섬웨어 대응 민간 협의체로, 각 분야 전문 기업들이 랜섬웨어 최신 트렌드 및 피해 실태와 관련한 정기적인 정보 공유를 통해 사고 접수와 대응, 복구, 대책까지 원스톱으로 대응하는 프로세스를 제공하고 있다. SK쉴더스, 트렌드마이크로, 지니언스, 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등이 참여 중이다.

랜섬웨어는 매년 공격 대상과 전략, 몸값 요구 방법 등이 다양해지면서 피해 규모가 기하급수적으로 증가하고 있다. 여기에 코로나19로 증가한 원격 근무 환경을 노린 공격이나 가상사설망(VPN) 등의 취약점을 악용해 기업 네트워크에 침투한 후 피해 규모를 확대시키는 공격이 지속적으로 발생하고 있다.

특히, 개발자가 랜섬웨어를 제작해 판매하고 공격자는 이를 구매해 유포하는 형태로 공격에 성공할 경우 수익을 나눠가지는 ‘서비스형 랜섬웨어(RaaS, Ransomware as a Service)’의 증가가 대표적이다. 이 같은 RaaS는 공격 형태와 협박 방법이 진화하고 있어 보다 전문적이고 종합적인 대응이 요구되고 있다.

이에 KARA는 최근 랜섬웨어 트렌드를 분석하고 공격 전략과 대응 방안을 담은 랜섬웨어 동향 보고서를 발표했다. 주요 랜섬웨어 그룹이 사용한 공격 전략을 글로벌 보안 위협 표준 프레임워크 ‘마이터 어택(MITRE ATT&CK)’에 맞춰 각 단계별 공격 기법을 분석하고 대응 방안을 기술했다.

다크웹에서 가장 활발하게 활동중인 랜섬웨어 그룹 ‘VenusLocker’의 ‘Lockbit 3.0’, 꾸준히 변종이 발생되고 있는 ‘Phobos’, 국내 기업만을 타깃으로 하는 ‘귀신’ 랜섬웨어에 대한 특징을 상세히 분석했다.

우선, KARA는 대표적인 서비스형 랜섬웨어 그룹인 ‘VenusLocker’를 분석하며 그 위험성을 경고했다. ‘VenusLocker’는 2016년부터 ‘스피어 피싱(Spear Phishing)’ 공격 방법을 사용해 랜섬웨어를 유포하며 활동을 시작해왔다.

스피어 피싱은 특정 개인·회사를 대상으로 한 해킹 방법으로 공격 대상에 대한 정보를 사전에 충분히 수집한 후 정밀하게 공격하는 방식이다.

이들은 지금까지도 공공기관을 사칭하거나 입사지원서 관련 이력서, 포트폴리오 등의 메일로 위장해 첨부파일에 랜섬웨어를 유포하며 꾸준히 활동을 이어 나가고 있다. 최근 ‘VenusLocker’는 ‘Lockbit’ 랜섬웨어를 3.0 버전으로 업데이트하며 버그바운티(보안 취약점 신고 포상 제도)를 도입하고 복호화 지불 방법을 다양화하는 등 공격 방법을 다각화하고 있어 각별한 주의가 필요하다.

이 밖에도, 2017년 발생해 꾸준히 변종이 발견되고 있는 ‘Phobos’ 랜섬웨어와 최근 국내 기업만을 타깃으로 해 화제가 된 ‘귀신’ 랜섬웨어에 대한 배경과 특징을 자세히 밝혔다.

이들은 공통적으로 공격 대상을 선정하기 위해 다양한 방법으로 내부 정찰을 시도하고 내부 인프라에 침입, 데이터를 암호화해 시스템을 마비시킨 것으로 조사됐다. 이후 데이터를 유출하겠다는 협박을 통해 공격을 수행하는 정밀하고 고도화된 전략을 사용하고 있는 것으로 분석됐다.

KARA는 이러한 랜섬웨어 피해를 예방하기 위해서 단일 솔루션과 서비스가 아닌 단계별 보안 요소와 프로세스를 마련해 랜섬웨어를 미리 탐지하고 차단해야 한다고 강조했다.

먼저, 기업 내부의 네트워크와 인프라 자산 등에 대한 관리가 체계적으로 이뤄져야 하며 사고 발생 시 대응 프로세스가 수립돼야 한다. △네트워크 침입 탐지 및 차단 시스템 도입 △엔드포인트 침입 탐지 및 대응(EDR) 솔루션 구축 △네트워크 내 접근 최소화 △정기적인 보안 교육 및 모의 훈련 등 종합적인 대책이 마련돼야 한다.

또한, 백업 장비에 보안 시스템과 망분리가 적용된 ‘보안 백업’ 솔루션을 도입해 정기적으로 데이터를 백업하고 내부 데이터를 보호하는 방안을 고려해 볼 수 있다.

RaaS 대응 방안과 랜섬웨어 동향 분석이 담긴 보고서는 SK쉴더스 웹사이트에서 확인할 수 있다.

KARA는 앞으로도 랜섬웨어 동향 분석 보고서를 주기적으로 발행하고 정기적인 세미나, 대외 홍보활동을 이어 나갈 예정이다.

또한, 주요 랜섬웨어 그룹 및 해당 악성코드를 주기적으로 분석해 랜섬웨어 통합 대응 프로세스를 고도화해 나간다는 계획이다.

김병무 SK쉴더스 클라우드사업본부장은 “최근 랜섬웨어 공격자들은 조직적인 시스템을 갖춰 표적 공격을 수행하며 수십억원의 몸값을 요구하는 등 랜섬웨어 공격이 심각한 사회적 문제로 이어지고 있다”며 “SK쉴더스는 KARA 회원사와 함께 랜섬웨어 공격에 대한 체계적인 대응 프로세스를 마련하고 주요 랜섬웨어 정보와 대비책을 공유하는 활동을 지속적으로 이어 나갈 것”이라고 밝혔다.

한편, SK쉴더스는 24시간 365일 대응 가능한 ‘랜섬웨어 대응 센터’를 운영 중에 있으며 랜섬웨어 공격 단계에 따라 ‘랜섬웨어 위협 사전 점검’, ‘실시간 침입 탐지 및 차단 체계 구축’, ‘랜섬웨어 사고 대응 및 복구’ 서비스를 제공하고 있다.

특히 자체 랜섬웨어 위협 진단 툴을 보유하고 있어 PC나 서버가 랜섬웨어에 노출돼 있는지 쉽고 빠르게 점검이 가능하다.

해킹 사고 발생 시에는 랜섬웨어 대응 프로세스에 따라 SK쉴더스가 원인 분석, 솔루션 도입, 피해 복구, 법적 대응, 보험 가입 등의 서비스를 기업 환경에 맞춤형으로 지원한다.

저작권자 © 정보통신신문 무단전재 및 재배포 금지

랜섬웨어 대응 가이드라인

랜섬웨어 감염으로 인한 파일 암호화 해커 협박 등 피해 발생 시. 사이버침해 대응기관. 경찰 등 신고를 통해 복구가능 여부파악. 피해 감소방안 확인 등 신고 절차 …

• Source: go.systemever.kr
• Views: 9605
• Publish date: 38 minute ago
• Downloads: 94574
• Likes: 5277
• Dislikes: 2
• Title Website: 랜섬웨어 대응 가이드라인
• Description Website: 랜섬웨어 감염으로 인한 파일 암호화 해커 협박 등 피해 발생 시. 사이버침해 대응기관. 경찰 등 신고를 통해 복구가능 여부파악. 피해 감소방안 확인 등 신고 절차 …

세부 정보를 보려면 여기를 클릭하십시오.

랜섬웨어 방어에 AD보안이 중요한 이유와 대응방안 [토크아이티 세미남#46, 퀘스트소프트웨어]

• Source: Youtube
• Views: 54127
• Date: 13 hours ago
• Download: 374
• Likes: 8577
• Dislikes: 8

---

랜섬웨어 피해현황 및 대응방안 – KISO저널

정부의 랜섬웨어 대응 정책은 기본적으로 2019년 청와대 국가안보실에서 발표한 국가 사이버안보 전략의 기조 하에 2021년 8월 정부가 수립한 “랜섬웨어 대응 강화방안”을 중심으로 보완·발전시켜 나가야 할 것이다. 먼저 개인과 기업이 랜섬웨어의 심각성을 깊이 인식하고, 정보보호 수준을 높여야 한다. 의심스러운 이메일·SNS(링크)를 클릭하지 않고, 백업과 보안 취약점 패치 등을 생활화해야 한다. 평범하지만 가장 확실한 방법이다. 기업은 정보보호 우선순위에 랜섬웨어를 두고, 사고 발생시 복원과 비즈니스 지속성 확보를 위한 대책을 마련해야 한다. 둘째, 정보보호뿐만 아니라 추적·검거를 위한 수사역량 확충에도 관심을 가져야 한다. 단순히 수사역량 제고가 아니라 전문인력 양성, 수사권한 강화, 추적·분석기술 개발, 범죄수익 몰수 강화 등으로 개별화해 구체적인 정책을 제시해야 한다. 정보보호를 넘어서 수사해서 검거해야 랜섬웨어를 근절할 수 있다. 범죄수익을 몰수하여 박탈하는 것도 중요하다. 미국 연방수사국(FBI)이 ‘Colonial Pipeline’ 사건의 비트코인 거래내역을 약 1개월간 추적해 63.7 BTC를 회수한 사건은 좋은 사례가 될 것이다. 마지막으로 국제협력 역량을 확충해야 한다. 한·미 워킹그룹을 비롯해 유럽 등 주요국과 정보공유를 활성화해 정보보호 및 사고발생 시 대응역량을 강화해야 한다. 개발도상국 대상 ODA 사업을 확대하여 국제협력 네트워크를 두텁게 해야 한다. INTERPOL, UNODC 등 국제기구에 전문가 파견을 확대하고, 미국· EU 등 주요국과 공동수사를 활성화하는 것도 중요한 정책이다. 이와 같은 다각적인 노력을 통해 랜섬웨어로부터 개인, 기업 그리고 국가를 지키고, 국제사회의 사이버 안전을 지키는데 의미 있는 역할을 수행하기를 기대한다.

한편, 미국은 ‘Colonial Pipeline’ 사건을 계기로 바이든 대통령은 2021년 5월 12일 국가 사이버안보 및 연방정부 네트워크 보호를 위한 행정명령을 공표했다. 법무부 부장관은 “랜섬웨어와 디지털 착취 사건 수사지침”을 하달해 랜섬웨어 등 6가지 범죄를 수사착수할 경우에 법무부(CCIPS)와 연방검찰집행부(EOUSA)에게 보고하도록 지시했다. 국토안보부와 법무부는 부처에 산재된 대응 기능을 통합·제공하기 위해 stopransomware.gov를 개설했다. 랜섬웨어 혐의자를 검거하거나 가상자산의 추적이나 차단을 용이하게 할 수 있는 정보를 제공한 신고자에게 최대 1천만 달러의 신고보상금을 지급하기로 했다. 또한, 재무부 해외자산통제실(Office of Foreign Assets Control, OFAC)은 2020년 “랜섬웨어 몸값 지불에 대한 제재 위반 위험에 관한 주의보”(Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)를 발표한 이래 같은 입장을 취하고 있다. 다만, ‘Colonial Pipeline’ 사건의 지불에 대해서는 모호한 입장을 취하고 있다. 나아가 뉴욕, 노스캐롤라이나, 펜실베니아, 텍사스 등 4개 주에서 비용지불을 금지하거나 제한하는 5개 법안이 제출돼 있다.

우리나라와 미국에서 다양한 정책을 제시하고 있지만, 이러한 정책으로 랜섬웨어를 근절할 수 있을지 여전히 의문이다. 랜섬웨어를 복호화하는 것은 기술적으로 쉽지 않다. 공격을 예방하는 노력은 일정한 효과가 있겠지만 피해 대상을 바뀌게 할 뿐 완전히 근절할 수 없다. 범죄조직들이 일회용 이메일과 VPN·다크웹을 사용하고, 가상자산으로 송금받기 때문에 추적도 어렵다. 범죄조직이 개발, 유포, 세탁, 협상 등으로 조직화되어 일망타진에 한계가 있다. 국가마다 심각성에 대한 인식이 다르고, 형사법제와 가상자산거래소 규제 수준이 달라 국제공조에 많은 어려움이 있다. 무엇보다도 랜섬웨어가 검거 가능성은 낮으면서 범죄수익은 큰 ‘가성비’ 높은 범죄로 인식돼 범죄자들이 몰리고 지불 사례도 증가하고 있다. 사이버보안 컨설팅사인 CyberEdge GROUP에서 전 세계 17국을 대상으로 조사한 결과 랜섬웨어로 인한 피해복구를 위해 비용을 지불하는 경우가 2018년 38.7%에서 2019년 45.1%, 2020년 57.5%로 증가하는 것을 확인할 수 있다.

27 thg 9, 2021 — 먼저 개인과 기업이 랜섬웨어의 심각성을 깊이 인식하고, 정보보호 수준을 높여야 한다. 의심스러운 이메일·SNS(링크)를 클릭하지 않고, 백업과 보안 …

• Source: journal.kiso.or.kr
• Views: 18713
• Publish date: 20 hours ago
• Downloads: 77977
• Likes: 1845
• Dislikes: 10
• Title Website: 랜섬웨어 피해현황 및 대응방안 – KISO저널
• Description Website: 27 thg 9, 2021 — 먼저 개인과 기업이 랜섬웨어의 심각성을 깊이 인식하고, 정보보호 수준을 높여야 한다. 의심스러운 이메일·SNS(링크)를 클릭하지 않고, 백업과 보안 …

세부 정보를 보려면 여기를 클릭하십시오.

RRS 2022_랜섬웨어 공격사례와 대응방안_엔피코어

• Source: Youtube
• Views: 73177
• Date: 9 minute ago
• Download: 33430
• Likes: 8535
• Dislikes: 5

---

랜섬웨어 피해현황 및 대응방안

1. 랜섬웨어 피해의 심각성

랜섬웨어는 우리나라뿐만 아니라 전 세계를 위협하고 있다. 한국인터넷진흥원에 접수된 신고건수는 2018년 22건에서 2020년 127건을 넘어서 2021년 7월 현재 97건에 이른다. 그런데 한국랜섬웨어침해대응센터에 접수된 개인·중소기업의 신고건수는 2020년에 3,855건으로 한국인터넷진흥원 신고건수보다 많다. 글로벌 시장조사 기업인 Statista도 2020년 전 세계 피해건수가 3억 400만 건이라고 발표해 피해가 계속 확대되고 있는 것을 알 수 있다.

실제 우리나라에서도 2017년 웹호스팅 업체인 나야나는 중국으로 추정되는 범죄자에 의해 서버 153대가 에레버스(Erebus) 랜섬웨어에 감염됐다. 13억 상당의 가상자산을 지불하고, 복호화키를 받았지만 완벽하게 복구하는데 실패했다. 2020년 이랜드 그룹은 클롭(Clop) 랜섬웨어에 감염돼 백화점 등 매장 23곳의 영업을 중단했다. 2017년 등장한 워너크라이(Wannacry 2.0) 랜섬웨어는 약 150개국 이상에 20만여 대의 컴퓨터를 감염시켰다. 당시 영국은 ‘국민건강서비스(NHS)’가 공격을 당해 최소 총 6,912건의 진료예약이 취소됐다. 독일은 2020년 뒤셀도르프 대학(Universität Düsseldorf)의 종합병원 서버 30대가 감염되어 응급환자를 인근병원으로 후송하였으나 사망한 사건이 발생했다. 미국은 2021년 송유관 운영사인 ‘Colonial Pipeline’이 랜섬웨어에 감염되어 수일간 미국 일부지역에 송유를 못해서 사회 혼란이 발생했고 결국 75 BTC를 지불해 복호화키를 받아 해결했다.

이처럼 랜섬웨어는 개인의 데이터를 사용하지 못하게 하는 수준을 넘어 기업의 영업을 방해하고, 사람의 생명을 빼앗는가 하면, 송유관 작동을 마비시키는 수준에까지 이르렀다. 랜섬웨어는 이미 사이버위협의 ‘게임 체인저(Game Changer)’가 되어 국제사회의 사이버안전을 위협하고 있다.

2. 한·미 랜섬웨어 대응정책과 한계

정부는 2021년 8월에 범정부 차원의 “랜섬웨어 대응 강화방안”을 마련했다. 주요내용은 ① 국가중요시설-기업-국민 수요자별 선제적 예방 지원, ② 정보공유·피해지원·수사 등 사고대응 전주기 지원, ③ 진화하는 금품요구 악성프로그램에 대한 핵심 대응역량 제고 등 3가지로 ① 수요자별 예방지원은 정유사, 자율주행 관제시스템 등을 주요정보통신기반시설에 추가하고, 중소기업에게 클라우드 기반의 ‘데이터금고’를 지원하기로 했다. ② 사고대응 전주기 지원은 공공·민간의 사이버위협 정보공유시스템과 의료‧금융 등 분야별 정보공유분석센터(ISAC)를 연동하고, 다크웹 모니터링을 강화하는 내용을 포함돼 있다. 경찰청‧시도청에 전담 수사체계를 구축하고, 인터폴·유로폴과 협력을 확대하기로 했다. ③ 핵심 대응역량 제고는 랜섬웨어 탐지‧차단·복구 기술개발에 투자를 확대하고, 공격근원지 및 가상자산 추적에 대한 기술을 개발하기로 했다.

한편, 미국은 ‘Colonial Pipeline’ 사건을 계기로 바이든 대통령은 2021년 5월 12일 국가 사이버안보 및 연방정부 네트워크 보호를 위한 행정명령을 공표했다. 법무부 부장관은 “랜섬웨어와 디지털 착취 사건 수사지침”을 하달해 랜섬웨어 등 6가지 범죄를 수사착수할 경우에 법무부(CCIPS)와 연방검찰집행부(EOUSA)에게 보고하도록 지시했다. 국토안보부와 법무부는 부처에 산재된 대응 기능을 통합·제공하기 위해 stopransomware.gov를 개설했다. 랜섬웨어 혐의자를 검거하거나 가상자산의 추적이나 차단을 용이하게 할 수 있는 정보를 제공한 신고자에게 최대 1천만 달러의 신고보상금을 지급하기로 했다. 또한, 재무부 해외자산통제실(Office of Foreign Assets Control, OFAC)은 2020년 “랜섬웨어 몸값 지불에 대한 제재 위반 위험에 관한 주의보”(Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)를 발표한 이래 같은 입장을 취하고 있다. 다만, ‘Colonial Pipeline’ 사건의 지불에 대해서는 모호한 입장을 취하고 있다. 나아가 뉴욕, 노스캐롤라이나, 펜실베니아, 텍사스 등 4개 주에서 비용지불을 금지하거나 제한하는 5개 법안이 제출돼 있다.

우리나라와 미국에서 다양한 정책을 제시하고 있지만, 이러한 정책으로 랜섬웨어를 근절할 수 있을지 여전히 의문이다. 랜섬웨어를 복호화하는 것은 기술적으로 쉽지 않다. 공격을 예방하는 노력은 일정한 효과가 있겠지만 피해 대상을 바뀌게 할 뿐 완전히 근절할 수 없다. 범죄조직들이 일회용 이메일과 VPN·다크웹을 사용하고, 가상자산으로 송금받기 때문에 추적도 어렵다. 범죄조직이 개발, 유포, 세탁, 협상 등으로 조직화되어 일망타진에 한계가 있다. 국가마다 심각성에 대한 인식이 다르고, 형사법제와 가상자산거래소 규제 수준이 달라 국제공조에 많은 어려움이 있다. 무엇보다도 랜섬웨어가 검거 가능성은 낮으면서 범죄수익은 큰 ‘가성비’ 높은 범죄로 인식돼 범죄자들이 몰리고 지불 사례도 증가하고 있다. 사이버보안 컨설팅사인 CyberEdge GROUP에서 전 세계 17국을 대상으로 조사한 결과 랜섬웨어로 인한 피해복구를 위해 비용을 지불하는 경우가 2018년 38.7%에서 2019년 45.1%, 2020년 57.5%로 증가하는 것을 확인할 수 있다.

3. 랜섬웨어 대응정책 개선방안

정부의 랜섬웨어 대응 정책은 기본적으로 2019년 청와대 국가안보실에서 발표한 국가 사이버안보 전략의 기조 하에 2021년 8월 정부가 수립한 “랜섬웨어 대응 강화방안”을 중심으로 보완·발전시켜 나가야 할 것이다. 먼저 개인과 기업이 랜섬웨어의 심각성을 깊이 인식하고, 정보보호 수준을 높여야 한다. 의심스러운 이메일·SNS(링크)를 클릭하지 않고, 백업과 보안 취약점 패치 등을 생활화해야 한다. 평범하지만 가장 확실한 방법이다. 기업은 정보보호 우선순위에 랜섬웨어를 두고, 사고 발생시 복원과 비즈니스 지속성 확보를 위한 대책을 마련해야 한다. 둘째, 정보보호뿐만 아니라 추적·검거를 위한 수사역량 확충에도 관심을 가져야 한다. 단순히 수사역량 제고가 아니라 전문인력 양성, 수사권한 강화, 추적·분석기술 개발, 범죄수익 몰수 강화 등으로 개별화해 구체적인 정책을 제시해야 한다. 정보보호를 넘어서 수사해서 검거해야 랜섬웨어를 근절할 수 있다. 범죄수익을 몰수하여 박탈하는 것도 중요하다. 미국 연방수사국(FBI)이 ‘Colonial Pipeline’ 사건의 비트코인 거래내역을 약 1개월간 추적해 63.7 BTC를 회수한 사건은 좋은 사례가 될 것이다. 마지막으로 국제협력 역량을 확충해야 한다. 한·미 워킹그룹을 비롯해 유럽 등 주요국과 정보공유를 활성화해 정보보호 및 사고발생 시 대응역량을 강화해야 한다. 개발도상국 대상 ODA 사업을 확대하여 국제협력 네트워크를 두텁게 해야 한다. INTERPOL, UNODC 등 국제기구에 전문가 파견을 확대하고, 미국· EU 등 주요국과 공동수사를 활성화하는 것도 중요한 정책이다. 이와 같은 다각적인 노력을 통해 랜섬웨어로부터 개인, 기업 그리고 국가를 지키고, 국제사회의 사이버 안전을 지키는데 의미 있는 역할을 수행하기를 기대한다.

주제에 대한 관련 정보 랜섬 웨어 대응 방안

Bing에서 랜섬 웨어 대응 방안 주제에 대한 최신 정보를 볼 수 있습니다.

---

주제에 대한 기사 보기를 마쳤습니다 랜섬 웨어 대응 방안. 이 기사가 유용했다면 공유하십시오. 매우 감사합니다. 사람들이 이 주제와 관련하여 자주 검색하는 키워드: 랜섬 웨어 대응 방안 랜섬웨어 감염 후 대처, 랜섬 웨어 예방법 6가지, 랜섬웨어 대응 가이드라인, 랜섬웨어 대처, 랜섬웨어 포맷 안하면, 랜섬웨어 예방 방법, 랜섬웨어 방지 프로그램, 랜섬웨어 예방 프로그램