안녕하세요 제조업회사에서 IT를 담당하고 있는 직원입니다.
랜섬웨어 때문에 다들 고생 많으시지요?
저희도 벌써 2달동안 1주일에 1,2명씩 꼬박꼬박 발생하는 중입니다.
문제는 지난주에 발생한 랜섬웨어가 공용으로 쓰는 NAS에 침투하여
ccc로 감염시켜 버리는 사건이 발생한 겁니다.
NAS가 이중화로 백업이 되어있는데(QNAP RTRR기능) 이중화된것도
ccc로 걸려있어서 80%밖에 복구하지 못했습니다.
그리하여 대책을 세우는중인데....
임직원이 250명입니다.
NAS를 더 확장하여 전인원에게 용량을 배포할것인가...
1TB 외장하드를 전원 지급할 것인가 등등
원론적인 대책을 제시할 예정입니다. 어짜피 둘다 어렵습니다. ㅎㅎㅎ 돈때문에....
개인 보안과 교육이 우선이 되야겠지요.
방화벽이나, 백신 업그레이드는 답이 아닐것 같고... 그냥 답답한 마음에
여기에 글을 남겨봅니다...
타 회사는 어떻게 대응하고 계십니까?
2015-12-28(월) 09:49:19에 작성 되었습니다. 2016-01-05(화) 07:09:39에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
14개의 답변이 있습니다.
안녕하세요. 저는 전산실 대상으로 IT 영업을 하고 있습니다.
갑작스런 랜섬웨어 이슈로 피해가 크게 발생하신 듯 합니다.
이에 대해 준비를 하려니 지금까지 투자한 것이 아깝고, 새롭게 투자하려니 부담이 많이 되시지요??
몇가지 사항 정리 드리니 선택에 도움 되셨으면 합니다.
예산을 기준으로 0원 부터 정리 드립니다.
**1. 예산 : 0원 (NAS 구성 변경)**
NAS 이중화가 사내 네트워크로 상호 연결되었다면 PC 감염 시 같은 네트웍 대역의 NAS 까지 감염이 됩니다.
이러한 구조를 1번 NAS는 PC 네트웍 대역으로 구성하고 2번 NAS는 1번 NAS와 1:1 연결되도록 구성하여 PC는 2번 NAS에 직접 연결이 안되도록 합니다.
이렇게 구성하려면 1번 NAS의 LAN 포트는 2개여야 합니다.
구성 예시)
1번 NAS LAN #1 192.168.0.200 > 192.168.0.xxx // PC들 연결
1번 NAS LAN #2 10.10.10.2 > 10.10.10.3 // 2번 NAS LAN #1
1번 NAS의 QNAP 백업스케쥴로 2번 NAS로 백업을 합니다.
이때 연결 계정은 admin 이 아닌 별도 백업계정을 추천 드립니다.
취약점)
-작성글 내용으로 현재 모든 인원에게 NAS 할당이 안되어 전사 PC에 대한 보호가 어렵습니다.
-랜섬웨어의 변종이 계속 업데이트 되므로 100% 안전할 수는 없습니다.
**2. 예산 : 350만원 (랜섬웨어 대응 서버 백업솔루션)**
랜섬웨어 대비 보안솔루션에 수억을 투자하더라도 오로지 백업만이 100% 문서를 보호할 수 있습니다.
- 1번 NAS에 저장된 문서를 실시간/스케쥴로 2번 NAS로 백업
- 백업을 하며 버전관리, 중복제거, 필터처리하여 백업용량/부하율을 최소화
- 필요 시 1번 NAS의 원본을 주기적으로 삭제하여 1번 NAS의 용량을 최적화
- 2번 NAS로 백업된 문서는 백업솔루션만 접근이 가능하여 PC, NAS가 랜섬에 감염되어도 2차 감염이 100% 되질 않습니다.
추가설명 http://blog.naver.com/fxconsulting/10186097562
추가설명 http://blog.naver.com/fxconsulting/220336443597
**3. 예산 : 연 800만원 (PC백신)**
제 경험으로 국내백신이 기술지원 편이성, 가격, PC 소프트웨어와 충돌여부 등 따졌을 때 높게 평가를 합니다.
다만 랜섬웨어 방어 기준으로만 따져본다면 국내제품보다는 해외 백신이 잘 되어있습니다.
이는 랜섬웨어에 대한 경험치가 글로벌적으로 쌓였기 때문이라 생각이 됩니다.
기회가 된다면 랜섬웨어에 감염된 주요 부서만 해외 백신으로 데모 해보심이 어떨까 합니다.
- 알려진 악성코드 : 실시간으로 감지
- 알려지지 않은 신종 악성코드 : 행위기반으로 감지
- 웹 페이지 검색 시 악성코드 유입 : 네트워크 패킷 기반으로 분석 및 차단, 웹사이트 평가 기반으로 차단
- 반드시 중앙관리콘솔을 구축하여 PC에서의 삭제 및 설정변경을 방지. 최신 패치를 지속적으로 업데이트
- 추가적으로 매체제어를 설정하여 비인가 USB 접근 방지
추가설명 http://blog.naver.com/fxconsulting/220534426827
**4. 예산 : 연 1,200만원 (이메일 보안)**
랜섬웨어의 주요 감염경로 중 대표적으로 '이메일' 이 있습니다. 왜냐하면 표적을 정해 공격하기 쉽기 때문입니다.
만약 현재 웹메일 임대형을 사용 중 이라면 상당히 취약한 상태이고, 사내에 스팸솔루션+메일서버가 있어도 역시 취약한 상태 입니다.
기존 스팸솔루션과 메일서버로는 표적공격에 대응이 어렵기 때문 입니다. 즉 백신이 없는 PC라 생각하시면 됩니다.
이메일 보안 적용 시 수신된 첨부파일과 링크에 대한 감염여부를 일일이 검사하여 수신자에 내려주므로 99.9%의 안전을 보장 받을 수 있습니다.
향후 랜섬웨어에 대응을 위해서는 이메일 보안을 필수로 검토하셔야 합니다.
추가설명 http://blog.naver.com/fxconsulting/220481890885
추가설명 http://blog.naver.com/fxconsulting/220508580025
**5. 예산 : x,000만원 이상 (랜섬웨어 대응 PC 백업솔루션)**
전사 PC 문서를 100% 보호 가능한 구성 입니다.
각 PC에서 생성/저장 되는 문서를 실시간으로 보안스토리지로 백업을 합니다.
서버백업과 동일한 기능으로 버전관리, 중복제거, 필터 등 기능이 지원됩니다.
이때 문서외부반출에 대한 보안이슈가 있을 시 승인 후 반출이 되도록 보안구성도 가능합니다.
투자 능력이 있는 기업인 경우 PC에서 NAS로 1차 백업 후 원격지 NAS로 2차 백업 구성을 합니다.
관련사이트 http://blog.naver.com/fxconsulting/220570270357
**기타1) 예산 : 월 30만원/웹서버 대당 (웹 방화벽)**
표적 공격의 주요 경로에는 외부에 노출 된 웹 서버가 있습니다.
외부 공격 여부를 판단하여 차단 할 수 있는 웹 방화벽으로 대응이 필요하며, 구축형 보다 예산을 최소화하여 월 단위로 서비스 이용이 가능합니다.
추가설명 http://blog.naver.com/fxconsulting/220425365411
**기타2) 예산 : 1,200만원 (UTM)**
네트워크 통합 보안 장비로 방화벽 기능 외 보안S/W가 탑재 되어 있습니다.
- 네트워크 패킷 분석하여 악성코드를 인식/차단 (100%는 어렵습니다)
- 내부 PC에서 접속하는 사이트에 대해 먼저 접속(프록시)하여 이상 있을 시 차단
- 비인가 웹사이트는 차단(토렌트 포함) / 인증된 웹 사이트만 접속하도록 설정하여 위협을 최소화
- vLan 구성으로 부서별/층별로 네트웍 구간을 구분지어 랜섬에 감염되더라도 2차 피해 범위를 최소화
홍보성으로 작성한 것은 아닌데 보충 설명을 드리려 하다보니 회사 블로그 링크를,,영업이라 어쩔 수 없나봅니다. ^^;;
결론적으로는 백업만이 정답이며, 보안은 최소한의 투자로 효과 볼 수 있는 것부터 단계별로 진행하심이 좋을 듯 합니다.
감사합니다.
*오늘 다시 살펴보니 예산이 타이트하네요. ^^;; 변수를 고려하여 일부 수정하였습니다.
guest | 8년 이상 전
결론적으로는 백업만이 정답이라는 의견에 동의합니다. 좋은의견이신것 같네요
10milesback | 8년 이상 전
도움되는 의견 감사합니다 근데 예산을 쪼금 타이트하게 잡으신듯 해요 ^^
정말 중요한 업무자료는 클라우드스토리지에 업로드하는 정책은 어떨까요? 클라우드스토리지까지 랜섬웨어가 감염되었다는 이야기는 아직 못들어본것 같아서요....
백신업데이트와 보안패치 잘 챙기는 정도 인데 다행인지 아직 피해는 없습니다 ^^;;
알약 백신에서 랜섬웨어 방지 툴을 만들었다고 하네요.
http://blog.alyac.co.kr/491
아래는 차단 동영상입니다.
https://www.youtube.com/watch?v=kCmFP-2TTwk
현재 저희가 관리하고있는 중요 포인트 공유드릴게요.
저희 계열사는 빈번하게 걸리고 있지만, 현재 저희는 아직까지 랜섬피해는 잘 막고 있습니다.
1. 카스퍼스키 백신 최신화
- 현 카스퍼스키 백신에는 인가하지 않는 프로그램의 실행을 차단하는 정책이 업그레이드 됨
- Windows 10.2.2.1055버전부터 가능
2. 공유폴더 권한 분리
- Everyone 권한은 원천 차단. ( 되도록 부서그룹단위만 쓰기, 그외 읽기권한 )
- 한달정도 된, 조회만 하는 파일은 모두 읽기 처리
3. 방화벽 최대활용
- 시큐아이 1500 장비 웹필터 최대한 차단 활용 ( 현업요청시, 인증된 페이지만 오픈)
4. 파일나스 이중화 및 주 3회 백업 스케줄링
- 시놀로지 나스를 메인으로 사용하고있으며, 이중화되어 있음.
- 시놀로지 4Bay로 Only 백업용으로 사용하고 있음.
5. 전사적으로 협조 요청
- 이메일 첨부, 외국사이트 등 우려되는 부분은 공지를통해 협조요청
이정도로 대응하고 있네요. 아직까지는 현 증상이 발생되지 않아서 너무 감사하네요.
대략적으로 정리하면 아래와 같습니다.
1. **In** - ATP(Advanced Threat Protection)솔루션으로 e-mail로 유입되는 악성코드를 차단
2. **out** - 웹키퍼(방화벽 종류)와 같은 제품으로 비업무 사이트 차단으로 악성코드 유입 차단
3. **manage** - 사내 모든 PC의 백신은 최신 버전으로 업그레이드 합니다. 이때 평균적으로 사용자들이 업그레이드를 진행하지 않으니 중앙관리 패치로 진행합니다.
4. **backup** - 백업 솔루션 또는 구축형 클라우드 솔루션으로 사용자별 PC 중앙 백업 관리
대응 못하고 있네요 ㅠㅠ 사실 어찌해야할지도 잘 모르겠고
(돈만 된다면) 진짜 중요한 자료는 웜스토리지에 저장하는게 방법이죠
흐미....NAS 도 랜섬웨어에 걸리는군요
혹시 anti-virus는 어떤거 쓰시는지요? 저희도 작성자님 회사처럼 랜섬웨어가 꾸준히 발생하는데 백신이 문제가 있나 싶어서요.......
백업 잘 받아 두고~
불필요한 공유 폴더 차단 시키고~
Win 7 이상이라면 사용자에 따라 권한 달리 설정해 두는 것도 필요하고요.
NAS는 자동 백업 스크립트 만들어서 하루에 한번 정도라도 자동 백업되도록 해 두면 일 손을 줄일 수 있겠지요.
불필요한 인터넷 사이트들도 최대한 차단 시키고요~ ^^
작성자님 정도의 피해면 거의 대란급이네요...공지를 통해서 업무와 관련없는 사이트(특히 외국사이트) 접속을 최대한 자제할것을 요청하고 있습니다. 비용이 들어가는 해결책은 검토? 만 하고 있네요
헉...저흰 아직 랜섬웨어 피해사례가 없어 별로 신경안쓰고 있었는데 저희가 그동안 운이 좋았나 보네요 (임직원400명입니다) 작성자님 글을 보고나니 뭐라도 해야할 것 같은 압박감이 밀려오네요 ㅠ
일단 백신은 C&C서버와통신 ,랜섬웨어 파일들을 최대한 많이 차단하는 제품을 쓰시고(쓰고보니 당연한 얘기네용....)
직원교육을 통해 랜섬웨어 감염률을 낮추는 전략을 수립할 수 있습니다.
-웹브라우져,플래시 플레이어, PDF리더, 오피스 , HWP등의 소프트웨어 최신보안 패치
-불필요한 공유 해제
-웹브라우져의 플래시 플레이어 기능을 사용안함으로 설정하면 더 안전할 수 있습니다.
-발신자와 메일제목이 수상한경우 열람 및 다운로드 하지말것.(실행파일 첨부시 이메일을 차단하는 정책이 있으면 좋습니다)
얼마전에 아는분이 토렌트 쓰다 랜섬웨어 걸렸다는소식을 들었습니다
직원교육시 토렌트나 p2p사용을 금지하는 내용을 추가해도 좋겠네요.(정상적인사람이면 안쓰겠지만....)