안녕하세요.
현재 주기적인 공지(메일주의, 주기적백업)와 비인가 사이트차단, V3 APC운영으로 랜섬웨어를 대응중인데요
아무래도 한계가 있습니다.
보다 적극적인 방안을 강구중입니다
이에 도움주실수 있거나 제안 가능하신 부분있으시면 부탁드립니다.
최근에 규정이나 정책 수립하신 부분도 있으면 도움 부탁드릴께요~
즐거운 주말 보내세요^^
2016-07-08(금) 06:34:32에 작성 되었습니다. 2016-08-04(목) 07:39:12에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
11개의 답변이 있습니다.
걸리려면 결국 걸리더군요.. 보험드는셈 치고 중요데이타는 2차 3차 백업 받는게 그나마 방법인듯 합니다
안녕하세요..
저희 고객사의 요청으로 랜섬웨어 대응 방안을 여러 방면으로 확인하다 보니 다음과 같이 정리가 되더군요.
다들 아시는 부분이겠지만 저희가 취급하는 솔루션위주로 나열해보겠습니다.
랜섬웨어의 대응은 방어 와 복구로 나눠집니다.
1. 랜섬웨어 방어
1.1 문서 중앙화
1.1.1 문서 중앙화는 업무 문서등을 중앙 스토리지에 모아 관리하는 방법입니다.
1.1.2 문서 중앙화의 특징은 중앙화 대상 문서의 Access를 특정 프로그램으로 제한하는 것 입니다.
1.2 DLP 이메일 서버 모듈
1.2.1 DLP 솔루션 중 이메일보호 솔루션이 있습니다.
1.2.2 이메일에 첨부된 악성코드, URL 분석 및 발신자의 위치에 따라 위험지역에서 발신한 메일은 차단하는 기능이 있습니다.
1.3 안랩 MDS
1.3.1 사내 백신을 V3를 사용하고 계신것 같은데 MDS와 연동하시는 것도 괜찮을것 입니다.
2. 랜섬웨어 복구
2.1 Client Backup
2.1.1 이미 적용하고 계신듯하니 Rllback을 할수 있는 여건을 만들어 놓으십시오.
2.1.2 Client의 경우 Image Backup을 적용하시면 복구 시 시간을 단축할 수 있습니다.
도움이 될지 모르지만 제가 저희 고객사에 제안하는 내용을 올려드렸습니다.
혹 작으나마 도움이 필요하시면 메일(jb1193@gmail.com)로 문의 주면 답변 드리겠습니다.
랜섬웨어의 공격과 진화 속도는 방패의 입장에서는 점점 따라가기가 어려워 지고 있습니다.
해커들의 랜섬웨어 사용이 늘면서 피해가 단순 파일 암호화에서 파일 삭제 및 시스템 파괴까지 이어지고 있고, 내부 정보 유출을 시도하기도 합니다.
최근 DB서버 및 DB 백업서버, DBA PC가 피해를 당한 사례도 있습니다.
단순히 PC만의 문제가 아닌거 같습니다.
소프트웨어 방식의 랜섬웨어 대응제품들이 많이 나와 있습니다.
대부분 로컬 영역에 보안영역을 만들고 백업 및 복구를 해주거나 행위기반의 차단이 주를 이루고 있으나, 주요 백신에서 점차 이러한 기능을 제공하고 있고 완벽하지는 않지만 어느정도 최신 업데이트만 이루어 진다면 예방이 가능하리라고 봅니다.
완벽한 보호를 위해서는 웜스토리지에 백업을 해야하나
표준인터페이스를 지원하는 웜스토리지는 매우 비싸고, 백업을 직접 할 수 없는게 문제인데..
이번에 국내 웜스토리지 대표회사인 (주)올리브텍에서 기존 웜스토리지를 SMB SOHO용으로 제품을 출시해서 200만원대에서 500만원대까지 다양하게 선택할 수 있도록 했으며,
웜스토리지에 바로 백업할 수 있는 백업에이전트를 포함해서 제공합니다.
문의 : (주)데이타시큐어, jass@datasecure.co.kr
개발사 제품 소개 : http://www.olivetech.co.kr/new/product/product.html?code=01&goodsno=6
최신 업데이트 유지 및 브라우져에서 플래시 실행 차단 정도를 정책으로 내리고 있습니다~
지난 몇 개월간 랜섬웨어의 변종사례를 보면 데이터의 안전한 사용을 위한 정책으로는 실시간 데이터 백업뿐인 것 같습니다. 그런 면에서 파일 단위의 생성, 저장 및 수정, 삭제 등이 이루어질 때마다 (옵션에 따라 강제) 실시간으로 안전한 서버로 백업되는 제품을 사용하는 것을 권장드립니다. 백업되는 파일단위로 버전관리까지 가능해 랜섬웨어나 사용자 실수와 같은 파일 손상에도 과거 버전 일괄복구가 가능합니다. 이스트소프트의 '닥스키퍼' 솔루션이 그와 같은 기능을 가지고 있으니 한번 검토해보시기 바랍니다.
적극적인 방안이라면 돈을 쓰는 쪽일 텐데 우선 보조백신을 추가로 사용하거나 아니면 백업쪽에 더 투자하거나 하는 방법이 생각나네요 . 개인적으로는 기존 백신들이 랜섬웨어 기능을 계속 추가하고 있는듯 하니 기왕이면 백업쪽을 강화하는게 낫지 않을까 하는 생각입니다 . 저흰 예산 부족으로 그냥 업데이트만 충실히 하고 있습니다만,,,,,
안녕하세요
쿨가이님
에프엑스컨설팅 김종록 대리입니다.
쿨가이님께서 랜섬웨어 및 악성코드 공격에 대한 이슈에 고민이 많으신 것 같습니다.
랜섬웨어의 공격루트는 여러 가지가 있습니다
그 중. 약 85% 이상이 이메일을 통해 공격을 합니다.
이메일은 가장 손쉽게 접근이 가능하기 때문입니다.
약 10%는 인터넷 서핑으로인해 랜섬웨어에 감염이 됩니다.
( Ex 최근 뽐뿌 www.ppomppu.co.kr 사례가 있었죠 )
그 밖엔 USB 등 이 있습니다.
메일 자체의 기본적인 스팸 필터링 기능으로도 어느정도 커버는 가능하지만
철저한 예방을 하시려면 이메일로 유입되는 랜섬웨어/악성코드를 막는이메일 자체 보안 솔루션을 도입하시는 것이 효과가 큽니다.
기타 관련한 문의사항 있으시면 아래로 연락 주시면 답변 드리겠습니다.
M. 010.2736.9931 E. jrkim@fxconsulting.co.kr
무더위에 몸 관리 잘하세요
감사합니다.
사내의 중요 파일들을 저희 IT에서 구분하고 관리합니다 별도의 스토리지에서 읽기전용으로 보관하며 정기적으로 2차 백업 하구요
저는 OS 자체적으로 보안이 강화 되어야 한다고 봅니다.
지금처럼 개인 문서자료들이 누구나 마음만 먹으면 조작이 가능한 부분은
기업 입장에서는 보안에 취약한 부분이죠.
즉, 단순히 OS 에서 중요한 시스템 파일들만 보호를 할 게 아니라
사용자 프로파일 공간도 보호를 해줘서 프로그램을 설치하거나 active-x 같은
플러그인 프로그램들이 설치되어도 함부로 사용자 문서 파일들을
접근할 수 없게 차단해야 한다고 봅니다.
시스템 영역과 사용자 프로파일 영역, 그리고 프로그램 영역들을 나누워서
설령 악성 프로그램이 설치된다 하더라도 사용자 프로파일 영역은 (내 문서, 바탕화면, 등등)
침범하지 못하게 막는다면 최소한 랜섬웨어 활동에 제지를 가할 수 있다고 봅니다.
현재 대부분의 사이버 공격들은 랜섬웨어 처럼 돈 되는 것만 건딜지 단순히 사용자 OS 를
망가트려서 업무를 못하게 방해 한다고 해서 돈이 되지 않는다 라고 알고 있거든요
wansoo | 8년 이하 전
얼마전 티맥스 OS 발표때 티맥스 오너가 발표한 내용과 일치하네요~ ^^
현실적으로는 네트워크 단의 샌드박스 보안이 최선이라고 배웠는데 최근에 변종은 이마저도 회피한다고 해요. 그래서 저희는 핵심자료 웜스토리지 저장으로 알아봤었는데 이건 또 스토리지 비용이 ㄷㄷ 해서. 참고로 저희는 매주 금요일을 백업의 날로 지정해서 자율적인 백업을 생활하하고 있습니다.
망분리를 하는 건 어떨까요?
물리적 망분리를 하려면 비용이 많이 드니, 논리적 망분리를요..
VMWare 같은 상용 가상화 툴도 괜찮겠지만,
VirtualBox 같은 오픈 소스를 활용해서 한다면 괜찮을 것 같네요.
물리 컴퓨터를 업무용으로 사용하고, 논리 컴퓨터를 구동해서 인터넷용으로 사용하고요.
인터넷용 OS로 윈도를 추가 구매해서 구동해도 되겠지만,
비용없이 민트같은 리눅스를 사용하는 것도 괜찮고요.
논리 컴퓨터와 물리 컴퓨터 IP 대역을 달리해서 사용한다면 랜섬웨어에 대한 근본적인 대책이 마련되지 않을까 하는 생각이 드네요.
혼자서 다양한 Test를 거치면서 검토 중인데,
업무용으로 적용해도 문제 없을것 같다는 확신이 생겨 조만간에 정식 기안을 해서 진행해 볼까 생각 중이랍니다.
오늘을즐기자 | 8년 이하 전
.vhd .vmdx 파일도 랜섬웨어에 걸리면... 어떻게 되나요? ㅎ
wansoo | 8년 이하 전
인터넷이 되지 않는 물리 컴퓨터 안에 인터넷이 허용된 가상 컴퓨터를 사용하기 때문에 물리 컴퓨터가 악성코드로 피해볼 가능성이 낮아 지겠죠~ 가상 컴퓨터 내에서 악성코드에 감염되었다면, 깨끗한 가상 컴퓨터 image file로 교체해 버리는 되는 것이고요. 다시 말해, .vhd, .vmdx 같은 가상 컴퓨터 이미지 file이 악성 코드에 감염된다면 깨끗한 가상 머신으로 교체해 버리면 된다는 말씀이지요~ 그리고, 인터넷용 가상 컴퓨터 안에는 업무용 중요 문서가 없기 때문에 랜섬웨어로 암호화될 문서도 없을 것이고요~ ^^
전산초보임니다 | 8년 이하 전
가상화로 OS 설치해서 논리적으로 나누면 방지는 되겠지만 컴퓨터 일일이 다 세팅해주려면 초기에 힘이 많이 들겠네요 ^^ 좋은 생각이신것 같습니다. ㅎㅎ
wansoo | 8년 이하 전
기본 셋팅 가상 머신 이미지 만들어 두고, 복제한 후에 ip 설정 정도만 변경해 주면 되는 작업이라 그렇게 많이 힘들지는 않을것 같습니다.
가상 머신 프로그램 설치해주고 가상 이미지 연결해주고, 가상 머신 구동해서 network 정보 바꿔주면 끝날 정도이니...