안녕하세요.
최근 랜섬웨어 관련한 이슈가 지속 확인되는데.. 저번 이랜드도 그렇고..
막상 랜섬웨어 예방을 하려고 하니깐 암담한 부분이 있네요..
우선 기본적으로 사용자의 실수에 대한 부분 줄이려고 업무외 사이트 UTM으로 차단하고,
스팸메일 대응훈련을 진행하였는데, 스팸메일 경고 메일을 작성해도 작성한 다음날 스팸메일 클릭했다고 신고 들어오는 거 보면 그냥 사용자를 믿으면 안될꺼 같습니다.
다행이 백신에서 차단되어 사고로 이어지지는 않았지만, 백신도 우회하자면 얼마든지 우회할 수 있으니..
랜섬웨어 대책으로 어떤게 필요할까요???
18개의 답변이 있습니다.
랜섬의 경우 사용자문제가 거의 99%죠. 요즘은 백신들이 좋아져서 인지 감염된 파일을 다운받아
설치하면 당장 활동하는 게 아니라 숨어있다가 활동하는 경우도 있더군요.
해당 PC나 서버의 ip와 port정보를 보내는 거 같습니다. 만약 회사내 전산장치들이 전부 고정ip를
사용하고 있다면 DHCP로 바꾸거나 최소한 원격데스크톱 3389포트만이라도 변경은 해주는 게
좋습니다.
개복치 | 3년 이상 전
3389 포트 변경은 이해가 가는데, 고정 IP를 쓰는것을 동적으로 바꾸는것에 어떠한 이점이 있을까요? 어차피 특정 PC에 들어올 경우 Scan을 하지 않나요?
백업도 중요하고, 교육도 중요하고, 솔루션도 중요하고... 보안은 하나만 잘한다고 되는건 아니더라구요.
그래서 이중, 삼중으로 준비하시는게 아닌가 싶어요.
잠깐 광고를 하자면,
사이냅 문서뷰어로 문서를 다운로드 하시기 전에 미리보기 하시면
내가 꼭 받아야 하는 파일인지 아닌지 확인하실 수 있어서
또하나의 방패가 될 수 있을 거 같습니다.
사이냅 문서뷰어는 웹 브라우저로 문서를 열람하는 방식이라 문서 내 스크립트 활동이 제한되거든요.
메일을 통한 공격이 대다수인 랜섬웨어 공격에서 큰 효과를 볼 수 있으리라 생각합니다.
실제로 사용성도 상당히 편하구요.
문서뷰어 한 번 쓰면 다른 메일에서도 미리보기 버튼부터 찾게 되고 그렇습니다.
이상 짧은 광고였습니다!
개복치 | 3년 이상 전
요러한걸 도입하는것도 좋긴한데, 실제 들어오는것들을 보면 pdf내 스크립트 삽입이 아니라 간단하에 이중확장자 혹은 MS Office군 매크로를 이용하는데... 후... 매크로 확인하고 실행해라, 첨부파일 실행전 확인 해달라 교육해도 듣지를 않네요;;;
대부분의 랜섬웨어가 사용자의 실수(악성메일 링크 클릭, 첨부 파일 실행, 피싱 사이트 다운로드 파일 실행 등)로 인해 발생하기 때문에 교육/훈련이 가장 효과적이겠지만 시스템 취약점 등으로 인해 사용자의 실수와 무관하게 발생하는 경우도 있습니다. 이러한 부분을 방어하고자 EDR이나 APT대응 솔루션 등을 많이들 도입하지만 공격의 유형이 다양해지고 교묘해지기 때문에 100% 완벽하게 막는 것은 사실상 불가능합니다.
이 때문에 최근 들어 XDR이라는 IT인프라 전반의 패킷, 데이터, 행위 등을 광범위하게 수집/분석하는 플랫폼들이 생겨나고 있는데 EDR도 마찬가지지만 단순히 솔루션 도입만으로 끝나는 것이 아니라 전문 인력의 지속적인 보안관제가 반드시 필요합니다. IT보안 관련 전문 조직이 있는 큰기업이 아닌 경우라면 이러한 시스템 운영이 쉽지 않기 때문에 최소한의 시스템을 구성하고자 한다면 본문의 UTM과 스팸방지솔루션, 악성메일모의훈련, EPP(EDR이 통합된 제품 등) 정도는 운영해야하지 않을까 싶습니다.
참고할만한 기사, 칼럼, 리서치 자료 링크 함께 소개해드립니다.
데일리시큐 (dailysecu.com) CONCERT-사용자 관점에서 본 APT 대응솔루션 분석 보고서
보안기업 승부수 띄운 EDR, 누가 누가 잘하나 (boannews.com)
SolarWinds SUNBURST Backdoor DGA and Infected Domain Analysis - Stellar Cyber 이랜드 건의 악성코드
다른글에 제가 단 댓들입니다.
추가로 UTM을 이용해 업무외 사이트를 막는다고 하셨는데
모든 사이트를 막고 업무 사이트만 열어주는 화이트 리스트 정책으로 가야 효과가 있습니다.
제1차로 스팸메일을 조심 해야하는 이유가, 스팸 메일 그자체가 아니라
스팸메일내의 첨부파일에 아주 작은 스크립트 몇줄이 외부의 C&C 서버와 통신하면서 모든게 시작되거든요.
그런데 C&C 서버는 전세계 크고작은 클라우드 어디든 만들고 지울수 있습니다.
이걸 다 막는건 불가능합니다.
때문에 어렵더라도 다 막고 필요한 사이트만 열어주는 정책이 되어야 합니다.(현실적으로 어렵겠지만요)
아니면 웹격리를 쓰던지요.
================================================================================
비용(비용, 시간, 공수) 대비 효율이 좋은 대비책은
1.직원들 퇴근시 PC를 끄도록 한다.
- 1번은 직원의 실수, 2번은 악성코드가 동작하는거고. 3번부터 해커가 원격으로 들어와서 작업하는것인데.. 그 작업이 직원이 PC를 켜두고 퇴근한 타임에 점유해서 하는짓들입니다. PC를 끄고 퇴근하는것만으로 상당한 방어 효과를 볼수 있습니다.
- 수시로 PC OFF 보안 공지
2. AD의 Domian Admins 수준의 계정 사용 자제
- 해커가 내부로 들어오면 결국 핵심은 해커가 Domain Admins 그룹의 계정을 탈취 하느냐 못하느냐의 문제입니다.
PC에 Domain Admin 계정으로 원격 접속하면 캐쉬 정보가 남게 되고 이 정보로 AD 서버에 접근하여 장악합니다.
때문에 Domain Admin 계정으로 PC나 App 서버에 원격 접속하지 말아야 합니다.
SA 계정이 만능이라 관리자 입장에서 쓰기 편한데 그만큼 독입니다.
3. 백업 서버의 도메인 분리
- 이번 사고에서도 백업 서버 몇대중 몇대가 도메인에 참가 되어 있었다고 들었습니다.
가장 안타까운 경우인데..
MSDPM이라는 MS자체 백업 제품이 아니라면 백업 서버를 굳이 도메인 참가를 할 필요가 없습니다.
그냥 백업 데이터를 해커한테 넘겨주는꼴이거든요.
2번은 관리 방식을 바꿔야 하는 부분이라 좀 생각할게 많은데.
1,3번은 당장에라도 할수 있는 부분입니다.
물론 이것만 한다고 완전히 막는것은 불가하겠지만.
비용, 시간 들이지 않고 큰 효과를 볼수 있는 방안이라고 생각합니다.
개복치 | 3년 이상 전
PC Off는 확실히 교육으로 가능할꺼 같네요... 안그래도 업데이트 등의 사유로 필요한데 안하시는 분들때문에 원격으로 강제로 하거든요 ㅜㅜ
서버 접근에 대해선 AD를 쓰진 않는데,, 지금 편의성 때문에 서버접근도 AD로 하는것으로 진행하고 있는거 같은데... 타 팀 프로젝트라..... 힘들군요;;;;;;ㅜㅜ
백업 서버의 도메인.. 요건 했음 좋긴한데.... 사람들 컨플레인이 엄청들어올꺼 같네요... 대부분 계정들을 다 AD 조인 시켜놔서;; ㅜㅜ
정말 랜섬웨어 걸려보니...
백업밖에 답이 없다라는걸 절실히 느낍니다.
NAS 2중화 백업, Tape 백업, 클라우드 백업등을 진행하고 있습니다.
사용자가 걸려도 복구못하면 IT탓을 하기 때문에,
충분히 준비하시는게 좋습니다.
개복치 | 3년 이상 전
역시 답은 백업이군요
비업무적인 작업에 대해 제한을 둬야 하는 것이 최선이나, 할 수 없는게 현실이죠..
잦은 백업이 최선이라고 생각합니다.
교육과 백업이 최선의 답안인것 같습니다.
아무리 좋은 시스템을 구현해놓아도.. 사람인지라.. 항상 Hole이 있습니다.
그래서 주기적으로 교육 및 감사를 실시하고..
백업을 주/월별로 진행하는것이(매일 하면 더 좋구요..) 가장 Best할것 같습니다..
사용자 입장에서 대책은 없을것으로 보입니다..
군대에서 아무리 정신교육을 하여도 사고가 발생하고..
교육으론 한계가 있을것으로 보고있어요.
그럼 어떻게 대책하느냐...
바이러스 방지로 백신을 돌리듯이,
랜섬웨어 대책으로 백업 밖에 없어보입니다.
저희는 나스를 이용해서 중요한 파일은 pc와 동기화하여 사용 중입니다.
랜섬에 당하더라도 나스에서 복구가 가능합니다..
칼과 방패의 싸움은 무조건 칼이 이긴다고 생각합니다 ㅎㅎ
방패가 뚫리더라도 갑옷을 더욱 탄탄히 입는 수 밖에..
apt공격
공격은 점점 지능화되고 수법도 다양해지고
전산담당자가 장비로 커버하기는 무리가 있고
완전한 물리적 망분리가 안되면
사용자가 주의하고 조심해야죠
it's 계몽
끊임없는 교육과, 보안관련 사고에 대한 상벌규정이 만들어져야 합니다.
교육으로 예방되는 부분은 일정부분 있으나, 그에 대한 벌이 명확히 규정상에 존재하게 되고 그로 인한 페널티에 대해 인지를 할때와, 그것이 없을때의 반응은 정말 엄청나게 다릅니다.
그래서 이거 잘못되면 어떻게 되는것인가. 응 그냥 회사 나가야됨. 정도로 막연하게 생각하는거랑, 가볍게는 견책, 감봉, 해당 부서에까지 페널티 등의 위기상황을 인지할만한 뭔가가 같이 있는건 이야기가 전혀 다르기 때문에 더 조심하고 주의할 수 밖에 없게 됩니다.
물론 그렇게 한다고 해결되는 부분은 아닌데, 아 조심해야 하는구나 위험한거구나 라고 인지를 될만 동기가 부여되어야 하는것 또한 사실이죠.
미생 | 3년 이상 전
단적으로는 회사 내에서 업무를 할때 개인이 할 필요가 없는 비 업무적 행동에 대해 최대한 제약을 걸어줘야 하나, 그게 잘 안되거나 뜬금없는 비 업무적 행동에서 많이 발생하기 좋은 조건이구요.
저희도 뜬금없이 비업무용 프로그램 인터넷에서 다운받다가 팀 폴더 작살낸 케이스가 나왔는데, 이런 경우들에 대해서 교육 뿐 아니라, 어떤 페널티가 존재하는지를 같이 설명하는게 필요하다고 봅니다.
대신 회사 내 업무를 하던 중 발생한 문제에 대해서는 관련 페널티 부여에 대해서 충분히 감안해줄 필요는 있다고 봅니다.
미생 | 3년 이상 전
근데 이제 문제는 보안으로 인한 사고가 발생하는 부분에 대해 상벌을 부여한다고 전제할때 그 업무가 전산팀의 업무가 맞냐는 아주 중대하고 원론적인 문제가 발생하게 되죠.......
주기적인 보안 교육과 주기적인 백업이 답이죠.
아무리 좋은 솔루션이 있어도 교육보다는 우선 순위가 밀린다고 봐야죠.
고객사에서도 협력사 보안관리에 있어서 랜섬웨어의 경우, 100% 차단은 없습니다.
피해를 최소화 하는 것 입니다. 즉, 예방활동을 통해 피해 발생시 최소화하는 것이라고 생각이 드네요~
1.사용자 교육(사내 게시판 또는 모의 테스트- 솔루션 도입)
2.백업 체계 시스템 마련(제 3의 공간)
3.랜선 탈거,
제가 그동안 경험한 걸 토대로 말씀드리면 랜섬웨어는 100% 막을 수 없습니다.
100% 막을 수는 없으나 피해를 최소한으로 낮춰야죠 그게 가장 중요하다고 봅니다.
그럴려면 직원들에게 랜섬웨어 감염된 거 같다 라고 느끼면 바로 pc 전원 끄도록 교육하는 게
중요하다고 봅니다. 랜섬웨어에 감염된 pc 를 계속 켜놓으면 피해 범위가 확산된다고 봅니다.
즉, 랜섬웨어 예방을 위한 교육을 진행할때에 랜섬웨어 감염시 대처 요령도
알려주는 게 맞다고 봅니다.
다들 아시겠지만 이미 걸렸으면 pc 전원을 빨리 끄는 방법 외에 별다른 방법은 없죠
낭만생선 | 3년 이상 전
저희쪽에서는 직원들 실수로 랜섬웨어 걸린것은
랜섬웨어 감염으로 취급 하지도 않습니다. ^^;;
그건 개인 실수에 의한것이기 때문에 포멧하고 끝이죠.
문제는 시스템이 랜섬웨어 걸렸을 경우죠..
개복치 | 3년 이상 전
저희도 다행이 측면이동이나 이런 활동이 있던적은 없는데.... 가끔 보안팀에 말도 안하고 바로 포멧해버리는 경우는 분석할 여지도 없애버려서 ㅜㅜ
-전직원 주기적 의무 교육
-그룹웨어 접속 후 랜섬웨어 공지 창 띄우기
-apt 도입
■가장 중요한 중요 데이터 백업
Genghis Khan | 3년 이상 전
랜섬웨어 감염은 코로나랑 같아요
예방이 팰수입니다
직원들에게 주기적으로 공지를 띄우시고 교육도 해야 합니다~무엇보다 백업 백업이 우선이겠죠
일단 사용자 교육이 가장 중요합니다.
그리고, 1차적인 피해의 책임은 사용자에게 있다는 경각심을 심어 주는 것이 필요하겠고요.
그다음으로 백업입니다.
백업은 동기화 방식의 백업은 무용지물이 될 가능성이 높고요.
온라인 상으로 백업 영업에 임의 접근하지 못하게 Offline 방식의 백업이 있어줘야겠고,
백업 건별로 구분되어 백업 받도록 설정해 두는 것이 필요하겠고요.
그리고, 마지막으로 악성 코드 방지, 랜섬웨어 솔루션, 스팸 필터 등의 조취가 되어 주는 게 맞다고 생각되네요.
백업밖에 없습니다.
저희도 직원들 보안의식? 을 보면 걱정이 이만저만이 아닌지라 (교육이나 훈련으로 개선하려고 노력중이긴 합니다....)
올해에 백업쪽 예산을 좀 잡아놨습니다.
개인 PC 데이타쪽도 IT팀 차원에서 백업에 관여해서 랜섬 당한 직원들 있으면
중요자료라도 복구해 주려고 합니다.
개복치 | 3년 이상 전
데이터 백업 솔루션은 방식인가요?? 특정 디렉토리에 대하여 자동 백업??? 문서중앙화?