랜섬웨어 감염에 사후 대응하는 4가지 방법

랜섬웨어(Ransomware) 감염에 사후 대응하는 4가지 방법

"미국 건국의 아버지 '로 불리는 벤자민 프랭클린은"예방이 치료보다 낫다"라는 명언을 남겼습니다. 사이버 보안의 세계에서도, 랜섬웨어에 의한 데이터의 암호화를 미연에 방지 대책을 실시하는 것은 매우 중요합니다. 그러나 엄청난 비용을 들여 철저한 대책을 실시하고 있어도, 모든 공격을 막을 수 없습니다. 만일의 경우에 대비하여 랜섬웨어 감염이 발생했을 경우의 대응 방법을 미리 수립하여 피해 조사 및 확대 방지에 사용할 수있는 도구를 제공하는 등 사후 대응을 위한 준비를 하고 있는지가 한 대의 컴퓨터 피해 만으로 막을 수 있거나 네트워크 전체에 감염이 확산되면서 복구까지 몇시간 ~ 몇주라는 시간을 보낼지 갈림길이 됩니다.

이번 포스팅은 랜섬웨어 공격에 적확하게 대응하고 가능한 조기에 정상 업무를 재개하기위한 4 가지 베스트 프랙티스를 소개합니다.

 

 

1. 랜섬웨어(Ransomware)에 의한 통신을 차단하는

대부분의 유형 랜섬웨어는 암호화를 실시 할 때 지령 (C&C) 서버와 통신하여 암호화 키를 찾아와야합니다. 따라서 안티 봇 기술을 도입하여 랜섬웨어를 비롯한 각종 악성 코드에 의한 C&C 서버와의 연결 및 통신을 차단하면 악성 활동을 억제, 경우에 따라서는 완전히 차단할 수 있습니다.

 

2. 감염을 억제하여 피해의 확대를 방지하고 업무에 미치는 영향을 최소화

한편, 암호화 키의 취득에 C&C 서버와의 통신을 필요로 하지 랜섬웨어도 존재합니다. 이 유형의 랜섬웨어는 암호화를 위한 공개 키가 포함되어 있으며 C&C 서버로부터 수신을 받지 않아도 파일을 암호화 할 수 있습니다. 활동 시작을 위한 첫 연결도 필요로하지 않기 때문에, 다른 대부분의 랜섬웨어보다 암호화 저지는 어렵습니다.

그러나 감염된 장치의 파일이 암호화되었다고 하더라도 낙심하고 있을 여유는 없습니다. 피해의 확대를 방지하기 위해 할 수 있는 방법은 아직 있습니다. 안티 봇 기술로 악성 프로세스와 통신을 탐지하고 차단하고 감염 장치를 자동으로 격리하는 것입니다. 이러한 봉쇄 솔루션을 신속하게 실시 할 수 있으면, 네트워크 스토리지 및 파일 공유 등 다른 시스템에 감염 확대를 미연에 방지 할 수있는 확률이 높아집니다. 그 결과 비록 랜섬웨어에 감염 되어도 직접적인 피해와 업무에 미치는 영향은 최소화 될 것입니다.

감염의 발생 자체를 방지 예방적인 접근이 필요한 사실에는 변함이 없지만, 종합적인 보안 대책 안티 봇 등의 기술을 통합하여 발생한 악성 코드 감염을 신속하게 감지하고 피해의 확대를 억제 할 수 있습니다.

 

3. 당황하지 않고 해결책을 모색하는

랜섬웨어에 감염되어 버려도, 당황해서는 안됩니다. 지불(돈) 이외의 해결책이 발견되는 경우도 있습니다. 여하튼 조직의 IT 담당자에게 보고부터 합시다. 랜섬웨어에 대한 대응에 대해 가장 상세한 것은 IT담당자인 것입니다. 암호화 된 파일을 백업에서 복구하거나 돈을 지불하는 대응 외에도 다른 대안이 있을 수 있습니다. 랜섬웨어가 급속하게 진화하고 있는 것은 유감 스럽지만 사실입니다. 그러나 보안 전문가들은 공격 수법과 대책에 대한 연구를 끊임없이하고 있습니다. 예를 들어, TeslaCrypt 와 Shade 등 일부 랜섬웨어는 암호 해독 키가 인터넷에 공개되어 있습니다. 약간의 수고가 필요하지만 인터넷에서 정보 수집만으로 대응에 소요되는 시간과 비용을 크게 절약 할 수 있습니다.

 

 

 

4. 공격 기법을 분석하여 최적의 대응책을 판단하는

랜섬웨어 감염의 봉쇄에 성공한 후 조사 활동을 실시하고 피해의 실태를 파악해야합니다. 공격을 받은 근본 원인과 랜섬웨어의 침입된 사용자의 실수 여부, 실제로 실시되던 활동 내용을 조사하여 공격의 전체상을 파악하면 감염을 완전히 봉쇄하고 향후 문제 재발을 방지하기 위한 계획을 수립 할 수 있습니다.

사고 대응 팀이 조사에 임하는 경우에는 포렌식 데이터를 활용하여 침입한 곳에서 이동 경로, 피해의 범위까지 공격의 모든 측면을 분석할 필요가 필요가 있습니다. 이러한 정보는 수동으로 구성하거나 도구를 사용하여 자동으로 통합해야합니다. 랜섬웨어 공격에서는 정보 수집 및 보고서 작성을 수동으로 행하지 않을 수없는 경우가 대부분입니다. 이러한 작업에는 상응하는 시간이 걸립니다.

최근에는 이러한 작업을 자동화하는 솔루션이 등장하고 있습니다. 예를 들어, 자동 법의학 분석 도구를 도입하면 공격의 전체상을 기존보다 신속하고 정확하게 파악할 수 있습니다. 그 중에는 복구 방법을 가이드 해주는 솔루션도 존재합니다. 이러한 솔루션을 활용하여 이벤트 분석 시간을 기존의 몇 시간 ~ 며칠에서 몇 분 정도로 단축하고 공격의 파악과 대응의 실시를 간소화합니다.

랜섬웨어 피해는 늘고 있고, 파일 및 데이터 시스템의 피해를 미연에 방지하기 위한 대책은 필요 불가결합니다. 그리고 동시에 감염 확대를 재빨리 막아 공격의 전체상을 파악하는 툴의 도입도 빼놓을 수 없습니다. 포괄적인 분석 작업이 있어야만 효과적이고 효율적인 대응으로 공격의 영향 범위를 최소화하고 암호화 된 파일의 복구를 모색하고 지불되는 금전적 몸값을 회피하는 것이 가능합니다.

 

한국랜섬웨어침해대응센터 홈페이지 https://www.rancert.com/

 

#랜섬웨어 #랜섬웨어검사 #랜섬웨어방지 #램섬웨어피해

2016/12/30 - [정보/컴퓨터관련] - 컴퓨터 메모리 용량 4기가 8기가 선택은?

2017/04/29 - [리뷰/Book] - PC진단 문제해결 무작정 따라하기 - 원도우7, 10

2016/12/21 - [정보/컴퓨터관련] - 컴퓨터 버릴때 주의! 하드디스크 폐기 방법?

2016/10/15 - [정보/컴퓨터관련] - 인텔 CPU? AMD CPU? 궁금한 컴퓨터 용어와 종류

2016/10/18 - [정보/컴퓨터관련] - USB 메모리 포맷과 용량이 작게 표시되는 경우의 대처법