.gif)
평상시엔 교육/백업, 실제 상황 발생 시엔 전원 차단과 포맷
랜섬웨어 감염되는 데 걸리는 시간 불과 3초
[보안뉴스 문가용 기자] 2016년은 오랫동안 ‘중소기업이 랜섬웨어를 실감나게 배운 한 해’로 기억될 것이다. 내로라하는 병원들이 랜섬웨어의 희생자가 되었을 뿐만 아니라 각종 정부 조직과 사회 기반 시설에도 랜섬웨어가 파고들었다. 처음에는 대부분 헤드라인을 장식하거나 그에 준하는 비중으로 언론에 다루어졌으나, 요즘에는 랜섬웨어 얘기에 반응들이 시큰둥하다. 언론이나 독자들이 익숙해졌을 뿐 랜섬웨어가 시들하게 된 건 아니다.
.jpg)
랜섬웨어에 대한 언론의 목소리가 줄어든 것에는 또 다른 이유가 있다. 랜섬웨어의 표적이 중소기업으로 옮겨갔기 때문이다. 솔루션도 부족하고 인력도 부족한 중소기업은 랜섬웨어에 당했을 때 손을 쓸 수 없는 경우가 많다. 최근 포네몬에서 실시한 조사에 의하면 지난 12개월 동안 랜섬웨어에 당한 소규모 기업은 50%가 넘는다. 그럼에도 이들의 반응은 ‘몰랐다’나 ‘인지하지 못했다’, 혹은 ‘처리할 수 없었다’가 대부분인 것이 사실이다.
중소기업의 랜섬웨어가 문제가 되는 것은 중소기업 대부분 다른 회사와 파트너십을 맺고 업무를 진행하기 때문이다. 그리고 파트너사들끼리는 서로의 네트워크에 자유롭게 접속을 할 수 있게 해주거나 업무상 데이터를 주고받아야 한다. 랜섬웨어의 공격에 내가 아무리 방비를 갖추고 있어도 사업을 같이 하는 파트너사 때문에 걸려들 가능성이 생긴다는 것이다. 그러므로 서드파티 혹은 중소기업의 방비를 서두르는 것이 큰 틀에서 랜섬웨어를 척결하는 것의 중요한 요소가 된다.
랜섬웨어 공격 소요 시간, 3초
랜섬웨어가 중소기업을 덮치는 가장 흔한 사례를 시간대별로 정리해보면 다음과 같다. 시간대별이라고 하기에는 3초 정도면 모든 일이 끝나긴 하지만, 아무튼 그 3초를 해부해보자.
- 0:00.0 최초의 사용자가 피싱 이메일을 클릭한다.
- 0:01.0 사용자 몰래 랜섬웨어의 다운로드가 끝난다.
- 0:01.5 랜섬웨어 압축이 풀리거나 설치되고 실행된다.
- 0:02.0 랜섬웨어가 암호화 키를 다운로드 받는다.
- 0.02.5 컴퓨터를 스캐닝해서 드라이브들을 전부 파악한다.
- 0.03.0 파일 암호화를 시작 및 완료하고 사용자에게 협박 메시지를 보낸다.
0단계 조치는 교육 1단계 조치는 전원
사용자의 한 번 실수로 랜섬웨어가 한 번 틈을 파고들면 사실상 막을 수가 없다. 3초 안에 뭔가를 하기는커녕 대처를 한다는 것 자체가 이미 불가능의 영역에 있다. 그렇기에 일반 직원을 대상으로 한 보안 교육은 최초의 0:00.0초를 막는 데에 집중한다. 애초에 수상한 링크는 클릭하지 않도록 하는 것이다. 그러나 이 최초 시점부터 틀어졌다면 랜섬웨어 감염 사실을 인지하자마자 컴퓨터를 끄는 게 가장 좋은 응급처치다.
2단계, 모든 것의 삭제
여기까지 했다면 다음 단계는 뻔하다. 컴퓨터에 있는 모든 프로그램과 파일을 지우는 것이다. 물론 랜섬웨어에 당하는 것이나 파일을 지우는 것이나, 데이터를 잃는 건 마찬가지지만 네트워크에 퍼지는 것을 막거나 느리게 할 수 있다. 그리고 삭제에 근거한 2단계 조치를 기정사실화 한다면 평소 백업을 제대로 할 수밖에 없다. 백업 계획 없이 ‘사고 나면 다 지워!’라고 하는 조치는 비합리적이다. 백업이 없으면 랜섬웨어 공격자들에게 돈을 낼 수밖에 없는데, 이렇게 하면 랜섬웨어 공격자들은 재탕, 삼탕해서 ‘쉬운 표적’을 쥐어짜낼 생각을 하고, 이를 실행에 옮긴다.
랜섬웨어가 줄어들 기미는 전혀 없다. 그러니 조직이 크건 작건 방비를 하는 것이 당연한 일이다. 특히 중소기업들은 랜섬웨어에 한 번 당하면 훨씬 뼈아프다. 피해를 최소화하려면 다음과 같은 조치를 취해가는 것이 좋을 듯 하다.
- 데이터와 파일을 백업해 둔다. 시스템 백업을 주기적으로 해서 랜섬웨어에 당하더라도 삭제 및 포맷하는 데에 별 다른 주저함이 없도록 한다. 백업이 없다는 것 자체가 랜섬웨어를 막강한 무기로 만든다.
- 네트워크를 모니터링 한다. 로그를 끊임없이 분석하고 경보를 계속해서 점검하며, 쓰레드 피드를 계속해서 처리하면 랜섬웨어가 퍼지는 걸 분명히 파악하고 막을 수 있다. 여기에 워크스테이션을 빨리 차단할 수 있는 방법도 마련해 놓으면 실제적인 도움이 된다.
- 사용자 교육은 백업보다 더 중요하다. 위에서 봤다시피 사용자가 랜섬웨어의 거의 모든 시작을 담당하기 때문이다. 교육해야 할 내용도 간단하다. 출처를 모르는 이메일은 열지 말 것, 첨부파일은 실행하지 말 것, 수상한 메일을 발견하면 보안팀에 알릴 것이 거의 전부다.
- 보안 솔루션, 정책 및 인원을 항상 업데이트 해야 한다. 보안은 결국 평소 얼마나 훈련이 잘 되어 있느냐의 문제다. 이는 ‘인력’에만이 아니라 소프트웨어 및 툴들에도 해당하는 말이다. 필요하다면 새로운 솔루션에 과감히 투자해보는 것도 좋지만, 새 툴이 전부는 아니다.
글 : 브라이언 네스미스(Brian Nesmith)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
랜섬웨어 감염되는 데 걸리는 시간 불과 3초
[보안뉴스 문가용 기자] 2016년은 오랫동안 ‘중소기업이 랜섬웨어를 실감나게 배운 한 해’로 기억될 것이다. 내로라하는 병원들이 랜섬웨어의 희생자가 되었을 뿐만 아니라 각종 정부 조직과 사회 기반 시설에도 랜섬웨어가 파고들었다. 처음에는 대부분 헤드라인을 장식하거나 그에 준하는 비중으로 언론에 다루어졌으나, 요즘에는 랜섬웨어 얘기에 반응들이 시큰둥하다. 언론이나 독자들이 익숙해졌을 뿐 랜섬웨어가 시들하게 된 건 아니다.
랜섬웨어에 대한 언론의 목소리가 줄어든 것에는 또 다른 이유가 있다. 랜섬웨어의 표적이 중소기업으로 옮겨갔기 때문이다. 솔루션도 부족하고 인력도 부족한 중소기업은 랜섬웨어에 당했을 때 손을 쓸 수 없는 경우가 많다. 최근 포네몬에서 실시한 조사에 의하면 지난 12개월 동안 랜섬웨어에 당한 소규모 기업은 50%가 넘는다. 그럼에도 이들의 반응은 ‘몰랐다’나 ‘인지하지 못했다’, 혹은 ‘처리할 수 없었다’가 대부분인 것이 사실이다.
중소기업의 랜섬웨어가 문제가 되는 것은 중소기업 대부분 다른 회사와 파트너십을 맺고 업무를 진행하기 때문이다. 그리고 파트너사들끼리는 서로의 네트워크에 자유롭게 접속을 할 수 있게 해주거나 업무상 데이터를 주고받아야 한다. 랜섬웨어의 공격에 내가 아무리 방비를 갖추고 있어도 사업을 같이 하는 파트너사 때문에 걸려들 가능성이 생긴다는 것이다. 그러므로 서드파티 혹은 중소기업의 방비를 서두르는 것이 큰 틀에서 랜섬웨어를 척결하는 것의 중요한 요소가 된다.
랜섬웨어 공격 소요 시간, 3초
랜섬웨어가 중소기업을 덮치는 가장 흔한 사례를 시간대별로 정리해보면 다음과 같다. 시간대별이라고 하기에는 3초 정도면 모든 일이 끝나긴 하지만, 아무튼 그 3초를 해부해보자.
- 0:00.0 최초의 사용자가 피싱 이메일을 클릭한다.
- 0:01.0 사용자 몰래 랜섬웨어의 다운로드가 끝난다.
- 0:01.5 랜섬웨어 압축이 풀리거나 설치되고 실행된다.
- 0:02.0 랜섬웨어가 암호화 키를 다운로드 받는다.
- 0.02.5 컴퓨터를 스캐닝해서 드라이브들을 전부 파악한다.
- 0.03.0 파일 암호화를 시작 및 완료하고 사용자에게 협박 메시지를 보낸다.
0단계 조치는 교육 1단계 조치는 전원
사용자의 한 번 실수로 랜섬웨어가 한 번 틈을 파고들면 사실상 막을 수가 없다. 3초 안에 뭔가를 하기는커녕 대처를 한다는 것 자체가 이미 불가능의 영역에 있다. 그렇기에 일반 직원을 대상으로 한 보안 교육은 최초의 0:00.0초를 막는 데에 집중한다. 애초에 수상한 링크는 클릭하지 않도록 하는 것이다. 그러나 이 최초 시점부터 틀어졌다면 랜섬웨어 감염 사실을 인지하자마자 컴퓨터를 끄는 게 가장 좋은 응급처치다.
2단계, 모든 것의 삭제
여기까지 했다면 다음 단계는 뻔하다. 컴퓨터에 있는 모든 프로그램과 파일을 지우는 것이다. 물론 랜섬웨어에 당하는 것이나 파일을 지우는 것이나, 데이터를 잃는 건 마찬가지지만 네트워크에 퍼지는 것을 막거나 느리게 할 수 있다. 그리고 삭제에 근거한 2단계 조치를 기정사실화 한다면 평소 백업을 제대로 할 수밖에 없다. 백업 계획 없이 ‘사고 나면 다 지워!’라고 하는 조치는 비합리적이다. 백업이 없으면 랜섬웨어 공격자들에게 돈을 낼 수밖에 없는데, 이렇게 하면 랜섬웨어 공격자들은 재탕, 삼탕해서 ‘쉬운 표적’을 쥐어짜낼 생각을 하고, 이를 실행에 옮긴다.
랜섬웨어가 줄어들 기미는 전혀 없다. 그러니 조직이 크건 작건 방비를 하는 것이 당연한 일이다. 특히 중소기업들은 랜섬웨어에 한 번 당하면 훨씬 뼈아프다. 피해를 최소화하려면 다음과 같은 조치를 취해가는 것이 좋을 듯 하다.
- 데이터와 파일을 백업해 둔다. 시스템 백업을 주기적으로 해서 랜섬웨어에 당하더라도 삭제 및 포맷하는 데에 별 다른 주저함이 없도록 한다. 백업이 없다는 것 자체가 랜섬웨어를 막강한 무기로 만든다.
- 네트워크를 모니터링 한다. 로그를 끊임없이 분석하고 경보를 계속해서 점검하며, 쓰레드 피드를 계속해서 처리하면 랜섬웨어가 퍼지는 걸 분명히 파악하고 막을 수 있다. 여기에 워크스테이션을 빨리 차단할 수 있는 방법도 마련해 놓으면 실제적인 도움이 된다.
- 사용자 교육은 백업보다 더 중요하다. 위에서 봤다시피 사용자가 랜섬웨어의 거의 모든 시작을 담당하기 때문이다. 교육해야 할 내용도 간단하다. 출처를 모르는 이메일은 열지 말 것, 첨부파일은 실행하지 말 것, 수상한 메일을 발견하면 보안팀에 알릴 것이 거의 전부다.
- 보안 솔루션, 정책 및 인원을 항상 업데이트 해야 한다. 보안은 결국 평소 얼마나 훈련이 잘 되어 있느냐의 문제다. 이는 ‘인력’에만이 아니라 소프트웨어 및 툴들에도 해당하는 말이다. 필요하다면 새로운 솔루션에 과감히 투자해보는 것도 좋지만, 새 툴이 전부는 아니다.
글 : 브라이언 네스미스(Brian Nesmith)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
