2016년 10월 12일(수)



유럽의 엔드포인트 보안 전문 업체인 ESET(이셋)의 국내 법인인 (주)이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 최근 급증하는 랜섬웨어 피해를 효과적으로 예방하기 위한 랜섬웨어 감염수칙을 공개하며 사용자의 주의를 전했다.




랜섬웨어란 컴퓨터 또는 컴퓨터 내의 파일을 사용할 수 없도록 만든 후 피해자에게 몸값을 요구하는 악성코드이다. 불행하게도 랜섬웨어는 해커가 기업 또는 개인들로부터 돈을 갈취하기 위한 가장 효과적인 해킹 방법으로 알려져 있다. 아울러, 몸값을 지불한다 하더라도 잠겨진 시스템이나 파일들을 복구할 수 있다는 보장이 없다는 점이 우리를 더욱 곤혹스럽게 한다.


사실 랜섬웨어는 매우 무서운 악성코드 중 하나이다. 일단 랜섬웨어에 의해 암호화된 파일을 이전 상태로 복구한다는 것은 거의 불가능에 가깝다고 보아야 한다. 하지만, 이미 알려진 수칙에 따라 철저히 대비를 한다면 예방과 복구 작업은 그저 귀찮은 작업 중 하나일 뿐이다.


중요한 데이터의 백업

랜섬웨어에 의한 피해 뿐만 아니라, 이외의 의도하지 않은 사태에 의해 데이터를 보존하기 위한 가장 중요한 방법은 데이터의 정기적인 백업이다. 최근에 발견된 많은 랜섬웨어는 외장 드라이브나 네트워크/클라우드 드라이브 등을 포함하여 시스템에 매핑된 모든 드라이브 내의 파일들을 암호화하기 때문에, 백업 작업 시에만 드라이브를 연결하고 백업이 완료된 후에는 해당 드라이브와의 연결을 끊는 것이 매우 중요하다.


사용 중인 소프트웨어를 최신 버전으로 유지

악성코드 제작자들은 운영체제나 애플리케이션의 취약점을 자주 이용하기 때문에 사용 중인 소프트웨어를 최신 버전으로 유지할 경우 악성코드 감염의 가능성을 현저히 줄일 수 있다. 따라서 사용 중인 운영체제와 애플리케이션의 자동 업데이트 기능을 활용하는 것을 추천한다. 여기서 한가지 주의할 점은, 소프트웨어 업데이트를 가장하여 악성코드를 배포하는 경우도 있게 때문에 출처가 불분명한 소프트웨어는 사용하지 않는 것이 중요하며, 윈도우 제어판의 프로그램 추가/삭제 기능을 이용하여 오래되거나 출처가 불분명한 프로그램들은 모두 삭제하는 것이 좋다.


신뢰할 수 있는 보안 제품을 사용

안티바이러스와 함께, 위협이나 의심스러운 행동을 식별하는데 도움이 되는 소프트웨어 방화벽을 모두 사용함으로써 보호의 계층을 다중화하는 것이 매우 중요하다. 다양한 랜섬웨어 감염 및 동작 벡터를 모두 감시할 수 있는 다중 보호 계층 하에서는 랜섬웨어 변형의 실행 감지 및 C&C 서버와의 연결 시도 등을 감지할 수 있기 때문이다. 아울러, 파워-쉘을 비롯한 각종 스크립트가 추가적인 파일 실행 등의 동작을 하는 경우 이를 모니터링하여 선별할 수 있는 기능도 사용하는 것이 좋다. 다중 보호 계층의 확보가 다소 귀찮은 일이 될 수도 있지만, 랜섬웨어를 비롯한 다양한 종류의 악성코드 감염을 예방하기 위한 가장 경제적이고도 효과적인 방법이다.


Microsoft Office 파일에서 매크로를 비활성화

대부분의 일반적인 사용자들은 Microsoft Office 파일이, 일반적인 실행 파일의 수행 가능한 거의 모든 작업을 대신할 수 있는 강력한 스크립트 언어를 지원하는 파일 시스템 내의 또 다른 파일 시스템이라는 사실을 인지하지 못한다. 꼭 필요한 경우가 아니라면, Microsoft Office 파일에 매크로 기능을 비활성화함으로써 스크립트 언어의 사용을 금지하는 것이 필요하다.


파일의 숨겨진 확장자 표시

악성코드가 자주 사용하는 방법 중 하나는 ".PDF.EXE" 등과 같이 더블 확장자로 지정하는 것이다. 윈도우와 OS X 운영체제는 기본적으로 알려진 확장자를 숨기기 때문에 상대적으로 위험한 확장자의 파일이 비교적 안전한 확장자로 표시될 수 있다. 따라서 전체 파일 확장자가 표시되도록 하면 의심스러운 파일 형식을 발견하는 것이 용이하다.


이메일 내의 EXE 파일 차단

첨부된 파일의 확장자에 따라 메일을 차단하는 기능이 있는 게이트웨이 메일 스캐너를 사용 중이라면 ".EXE" 파일이 첨부된 메일을 차단하는 것이 필요하며, 해당 파일의 교환이 필요한 경우에는 미리 약속된 패스워드로 보호된 “.ZIP” 파일로 압축한 후 이메일에 첨부하거나 클라우드로 업로드하는 것이 좋다.


윈도우의 AppData/LocalAppData 폴더 내의 파일 실행 금지

많은 악성코드들이 AppData/LocalAppData 폴더에 저장 후 실행되기 때문에, 윈도우 접근제어 정책 또는 엔드포인트 보안 소프트웨어에서 AppData 또는 LocalAppData 폴더에서 실행 파일이 실행되지 못하도록 설정하는 것이 필요하다. 만약 AppData 영역에서 실행되도록 설정되어 있는 합법적인 소프트웨어를 사용하고 있다면(이는 상당히 비정상적인 동작이며, 대부분의 합법적인 소프트웨어는 설치 위치를 선택할 수 있다), 해당 소프트웨어를 이 규칙에서 제외시켜야 한다.


RDP 사용 금지

랜섬웨어는 때때로 원격 데스크톱 프로토콜(RDP)을 사용하여 시스템에 접근한다. 따라서 원격 데스크톱 기능을 사용하지 않는다면 RDP 를 사용하지 않도록 설정해야 한다. 


사용 가능한 복원 도구가 있는지 확인

드물게 랜섬웨어 제작자의 실수로 인해 복호화 도구의 제작이 가능할 수도 있으며, 랜섬웨어 제작자가 양심의 가책을 느끼거나 특정 랜섬웨어의 개발을 중지한 후 복호화 방법을 공개할 수도 있기 때문에 파일이 이미 암호화 되었다면 신뢰할 수 있는 보안 업체에서 제공하는 복호화 도구를 확인해 보거나, 인터넷 검색 등을 통해 공개된 복호화 도구를 찾아보는 것도 필요하다.


감염이 의심되면 즉시 시스템을 네트워크에서 분리

파일 실행 후 랜섬웨어로 의심이 된다면 즉시 시스템을 네트워크에서 분리시켜 C&C 서버와의 통신을 차단해야 한다. 이렇게 함으로써 암호화되는 파일의 개수와 복원 비용을 줄일 수 있다. 


이전의 깨끗한 상태로 윈도우 복원

감염된 시스템을 위한 복원 이미지가 있는 경우, 랜섬웨어 감염 이전의 깨끗한 상태로 시스템의 복원을 시도해 볼 수 있다. 단, 모든 랜섬웨어 감염에서 이 방법이 성공하는 것은 아니다. 


BIOS 시계를 이전으로 설정

일부 랜섬웨어는 일정 시간이 지난 이후에는 몸값이 증가되도록 만들어져 있다. 따라서 랜섬웨어가 정한 만기 시간이 되기 전에 BIOS 시계를 이전으로 설정하여 몸값 지불까지 주어진 시간을 벌 수 있다.


본 예방 수칙에 대해 (주)이셋코리아의 김남욱 대표는, “사실 랜섬웨어 피해는 정기적인 백업으로 거의 완벽한 복원이 가능하지만, 가정이나 중소기업 등에서는 잘 지켜지지 않는 것이 현실입니다. 수많은 보안 제품들이 랜섬웨어를 100% 차단할 수 있다고 주장하는 점도 백업의 중요성을 흐리게 만드는 원인 중 하나일 수 있습니다.”면서, “현실적으로 모든 랜섬웨어의 감염과 실행을 100% 막을 수 있는 솔루션은 존재할 수 없으며, 사용자의 적극적인 대응 의지와 함께, 중요한 데이터의 백업 및 예측 가능한 모든 감염 벡터를 모두 감시하는 다중 보호 계층의 확립이 가장 효율적인 대응책이라 볼 수 있습니다." 고 언급했다.




사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,