원제 Protecting your organisation from ransomware.
영국 국가 사이버 보안 센터 (National Cyber Security Centre) 글입니다.
이번 랜섬웨어 사건 때문에 새로 쓰여진 글은 아니고, 2016년 10월에 올라온, 일반적인 대비 및 대처 방법에 대한 내용이에요.
최근 워너크라이 WannaCry 공격에 대한 글은
여기 몇 개가 있군요.
Ransomware: guidance for home users
글에 나와있는, 개인이 랜섬웨어를 막기 위한 3가지 방안으로는,
1) 윈도우 업데이트
2) 백신 실행
3) 중요 파일 백업
을 제안하고 있습니다.
아래에서는 Protecting your organisation from ransomware (직역하자면 "기관"을 보호하는 방법) 에 대한 글을 번역 및 정리하겠습니다.
랜섬웨어 사고를 방지하는 방법과, 만일 당신이 속한 기관이 감염되었을 때엔 무엇을 해야하는가.
랜섬웨어는 최근 전세계적으로 증가하고 있는 사이버 보안 위협이고, 적절한 방어 수단이 없다면 어떤 기관도 영향을 받을 수 있는 사고입니다.
2016년 상반기에 발생한 랜섬웨어의 수는 2015년 내내 발생한 수의 거의 3배가량 증가했습니다.
랜섬웨어는 몇 년간 윈도우 운영체제 위주로 흔히 발생했으나, 맥과 리눅스 시스템들을 대상으로 한 것도 발견되었습니다.
랜섬웨어가 시스템을 감염시키는 방법은 다른 멀웨어들과 비슷하며, 기관들 역시 다른 멀웨어와 비슷한 단계로 방어 체계를 구축하면 됩니다.
방어 체계의 수준에 따라, 랜섬웨어 감염이 작은 수준의 골칫거리에서부터 대규모의 시스템 파괴까지 이를 수 있습니다.
이 가이드는 랜섬웨어에 대한 포괄적인 부분을 다루며, 랜섬웨어 사고를 방지할 수 있는 간단한 방법들, 그리고 감염 시 어떻게 대처해야 하는지 조언합니다.
랜섬웨어란 무엇인가요?
랜섬웨어는 크게 두 가지 종류가 있습니다. 하나는 컴퓨터나 네트워크의 파일을 암호화하는 것, 다른 종류는 사용자의 화면을 잠그는 것입니다.
두 가지 모두 컴퓨터를 정상적으로 사용하기 위해서는 사용자에게 돈을 지불해라(=ransom, 몸값) 라고 요구합니다. 몸값은 보통 비트코인과 같은 암호화폐로 지불하라고 요구합니다.
대부분의 경우에, 몸값은 심하게 크지는 않습니다. 사용자가 컴퓨터를 사용하기 위해서는 몸값을 빠르고 쉽게 지불하라는 이유에서 그렇게 설계했을겁니다.
하지만, 몸값 지불을 한다고 그 즉시 키나 (컴퓨터의 잠금을 풀) 비밀번호가 올 것이라는 보장은 없습니다.
랜섬웨어 공격의 규모와 자동 공격이라는 특성은, 특정 피해자에게 큰 금액을 빼앗기보다는, 규모의 경제에 따라 이득을 얻을 수 있는 특징이 있습니다.
몇몇 경우에는, 랜섬웨어는 같은 피해자를 한 번 이상 잇따라 공격하기도 합니다. 랜섬웨어 공격은 보통 특정 개인이나 시스템을 목표로 두지 않기 때문에, 감염은 어느 구역이나 기관에서도 일어날 수 있습니다.
어떻게 랜섬웨어가 당신의 시스템을 감염시키나요?
컴퓨터들은 다양한 방법으로 랜섬웨어에 감염될 수 있습니다. 보통 랜섬웨어가 포함된 프로그램을 정상적으로 보이도록 위장해서 사용자들에게 실행하도록 하는 경우가 있습니다.
이런 경우에는 정식 이메일 첨부파일이나 정상 사이트의 링크를 통해서 이루어집니다. 피싱이라고도 알려져 있는 방법이죠.
더 최근에는, 랜섬웨어가 패치되지 않은 취약점을 이용하는 것을 발견했으며, 이때엔 그저 랜섬웨어에 감염된 사이트를 방문하는 것 만으로도 컴퓨터가 랜섬웨어에 감염될 수 있습니다.
흔한 경우는 아니지만, (USB 메모리 등을 통해) 컴퓨터간에 데이터를 교환하는 것도 랜섬웨어 확산을 일으키기도 합니다.
랜섬웨어는 내 컴퓨터에 어떤 영향을 주나요?
랜섬웨어는 해결책을 제시하기 전까지 사용자가 시스템이나 데이터에 접근하는 것을 막을 것입니다. 만일 시스템이 중요한 서비스를 제공한다면, 랜섬웨어로 인해 고객들이나 기관들의 평판, 재정, 안전에 영향을 줄 수 있습니다.
랜섬웨어 피해자가 시스템의 최근 백업을 가지고 있다고 해도, 정상 운영까지는 시간이 소요될 것입니다. 이 기간동안, 기관들은 그들의 비즈니스 연속성 Business Continuity 절차를 밟아야 할 수도 있습니다.
만일 범죄 기구가 성공적인 랜섬웨어 공격을 했다면, 간접적이나 지속적인 피해는 있는지 궁금할 것입니다. 예를 들어, 시스템 안에 얼마나 많은 랜섬웨어들이 활성화를 기다리고 있는지, 어떻게 랜섬웨어를 지울지, 그리고 사용자들에게 어떻게 경고해줘야 하는지 등이 있습니다.
또 같은 시점에 다른 멀웨어가 발생했는지, 그들이 무엇이고 무슨 일을 할 지, 언제 할 지 등이 의문점입니다.
랜섬웨어 공격의 영향을 제한하기
아래에는 랜섬웨어 공격의 영향을 제한하기 위한 방법들입니다.
- 접근 권한 제한, Access Control을 잘 하는 것이 중요합니다. 사용자 권한을 적절하게 나누는 것은 암호화되는 데이터를 영향받은 유저까지만으로 제한할 수 있습니다.
공유 네트워크 드라이브들의 권한을 정기적으로 재평가하는 것은 랜섬웨어가 매핑되거나 매핑되지 않는 드라이브에 퍼지는 것을 방지할 수 있습니다.
그리고, 높은 접근 권한을 가진 시스템 관리자들은 관리자 계정으로 이메일이나 웹브라우징을 하는 것을 피해야 합니다.
- 랜섬웨어가 발생했다고 그것이 기구 안에서 퍼질 필요가 없습니다. 사업상 필요로 하는 데이터와 파일시스템에 한해서 접근 권한을 제한하세요. 사이버 공격의 범위를 줄이는 것에 도움이 됩니다.
- 데이터의 백업을 갖고 있어야 합니다. 기구들은 완전히 테스트된 백업 솔루션을 배치하고 있어야 합니다. 랜섬웨어 증식의 위험이 있기 때문에, 백업 파일들은 기계가 직접 접근할 수 없어야 합니다.
그리고 백업이란 당신이 랜섬웨어에 대비해 갖고 있는 유일한 보안책이 되어서는 안된다는 사실을 기억해야 합니다. 좋은 보안 시스템을 갖추면 애초에 랜섬웨어에 감염되지 않을 수 있기 때문입니다.
백업에 대해서는, 대용량 데이터를 안전하게 보관하는 법 글에서 어떤 데이터가 가장 중요한지를 아는 것이 중요하며, 어떻게 확실하게 백업하는지를 다루고 있습니다.
(마지막 문단은 영국쪽 대응책이라 생략)
'Computer' 카테고리의 다른 글
Palm m100을 만나다 (0) | 2018.08.12 |
---|---|
[802.11ac 기가비트] D-Link DIR-850L 공유기 (0) | 2017.12.10 |
랜섬웨어 WannaCry 관련, MS 윈도우 보안 패치 파일 직접 다운로드 링크 (0) | 2017.05.15 |
라즈베리파이+OpenVPN으로 iOS 10 아이폰에서 VPN 사용하기 (0) | 2017.03.26 |