현재 가상서버가 100여대 운영 중에 있습니다.
얼마 전에 랜섬웨어에 걸려 모든 서버의 해킹 공격 여부, 의심되는 프로세스를 확인하는 등을 점검해야 하는 상황입니다.
autoruns, ExcutedProgramsList, FullEventLogView 등 프로그램을 돌리면서 확인해야 하는데 100여대 서버에 일일이 들어가 확인하려면 한 번 점검하는데 2-3일 내내 확인해야 될 것 같아서 좋은 방법이 없을까 하고 질문 남깁니다.
꼭 프로그램을 사용하지 않더라도 다른 분들은 어떻게 점검하는지, 혹은 추천하는 방법이 있는지 궁금합니다.
7개의 답변이 있습니다.
일괄점검하셔야 한다면 비용이 들더라도 전문기업에게 의뢰하시는게 좋아보입니다.
만약 피해발생시 그 규모는 예상하기 어려운 수준이 될 수도 있습니다.
제안을 원하시면 솔루션 상담실 이용 추천드립니다.
랜섬웨어가 걸렸다면 VDI는 치명적입니다. 100대면 업체에 맡기는게 좋을듯합니다.
도메인 그룹으로 묶여 있다고 하면 GPO 정책으로 한번에 스크립트를 배포하는게 제일 빠를 거 같기는한데 전체 서버를 한번에 관리하고 있지 않고 각각 관리하고 있었다고 하면 힘들 것 같습니다.
랜섬웨어의 경우에는 내부에 있는 시스템 1대만 걸려 있어도 다른 시스템으로 확산 되기 쉽습니다.
그런 만큼 한번 걸리셨다면 좀 시간이 걸리더라도 하나하나 확인해 보시는게 좋을꺼에요.
아니면 비용이 발생하더라도 전문 업체 의뢰 하시고,
향후 방지 대책도 마련하시는게 좋습니다.
별도의 솔루션이 없다면
KISA 등에 있는 점검자료 활용하여 수작업으로 체크하는 방법밖에는 없을 것 같습니다.
불안하시면 이번기회에 외주 보안점검 받아보시고 체계를 만드시는것도 좋지 않을까 생각되네요
원격 Procedure Call을 이용해서 스크립트를 만들어서 돌리는게 좋을 것 같네요.
이런 작업에 있어서는 Window보다 Linux서버가 좀 더 편하게 가능할 것 같아 보이고...
윈도우 서버라도 윈도 RPC 호출을 이용해도 될 것 같고... 윈도에 SSH 서버를 설치해서 원격 호출을 해도 될 것 같고...
점검 대상의 각 컴퓨터마다 점검 결과를 출력하는 스크립트를 만들어 두고서 원격 호출하려는 컴퓨터에서 각 컴퓨터들마다의 스크립트를 원격 호출해서 출력하는 결과를 정리해서 파일을 만들게 하거나 화면에 표시하도록 만들어 두면 되겠네요.
점검 대상 각 컴퓨터에 만들어 넣을 스크립트들은 동일 OS라면 거의 동일하기 때문에 댓수가 많다고 스크립트 만드는 시간이 많아 지지는 않을 거라 보여지고, 하나 만들어서 복사해서 집어 넣는 방식으로 처리하면 되는 작업이 될 것 같고...
각 컴퓨터마다 원격 호출 가능하게 설정하는 작업도 한대를 완료한 후에 각 컴퓨터마다 동일 작업을 반복하는 작업이 되겠고...
원격 호출하는 스크립트도 한대 호출하는 명령을 복사해서 붙여넣기하면서 호출하는 서버 주소 변경 작업을 반복하는 작업이라 많은 시간이 소요되지는 않을 걸로 보여지고요.
단지, 한대 서버에 대한 점검 스크립트를 만드는데 시간이 조금 소요될 수 있을 걸로 보여지네요.
업체 의뢰해서 전체적인 점검을 하시는게 좋을것 같아요
알고는 있지만 의심 되는 상황과 사례 그리고 잠제적 해킹이나 랜섬웨어 문제에 대해
보안관제 업체를 통해 확인 하시는게 좋겠네요
sk쉴더스, 안랩, 이글루시큐리티 등등요