안녕하세요. 500인 이하 중견기업 보안담당자로 재직중인 주니어입니다.
백신 관리페이지에서 EPP 에이전트 악성코드 감염 여부 확인하던 도중
최근 4개월치 로그를 확인해보니 적지않은 pc에서 악성코드가 다양하게 감염되어 있더군요.
감염된 PC는 대략 10대정도이며 가상화 서버도 1대 포함되어 있습니다.
실시간 탐지 혹은 정밀검사에서 탐지된 악성코드이고 전부 치료(삭제)완료된 상태입니다.
여기서 질문드리고 싶은 내용은
1.보통 규모있는 기업에서는 엔드포인트단에서의 악성코드 감염이 빈번한 편인가요?
2.감염이 발견되었다면 그 즉시 해당 PC는 사용중지하고 격리 조치를 시행해야할까요?
3.타 기업 재직중인 담당자 분들은 비슷한 경험이 있는지, 조치는 어떻게 하였는지 궁금합니다.
4.여러 악성코드가 검출되었는데, 악성코드의 위험도는 어떤 것을 보고 판별하는지 궁금합니다.
악성코드 목록은 아래와 같습니다.
Trojan/JS.ObfuseTrojan
JS.AcsogenixxTrojan
Win.AkdoorTrojan
Win.AgentTrojan
Win.MimikatzData
BIN.EncodedMalware
Win.GenericPhishing
HTML.Generic
인터넷망은 3개이고, 감염검출은 1개의 망에서 발생하였으며
보안솔루션은 방화벽, NAC, DLP, DRM, 백신 정도 사용중입니다.
바이러스가 검출되었다는게 약간 충격이어서.. 상황이 여의치 않아
전문가 분들의 고견을 여쭙고자 글을 작성해봅니다.
감사합니다.
16개의 답변이 있습니다.
악성코드 검출은 흔한 일이라고 보시면 되고요.
EDR 같은 솔루션이 있으면 크게 문제되지 않는다고 생각됩니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입본문의 악성코드명을 긁어서 Chatgpt에 상황을 그대로 물어보세요.
멀웨어 탐지명만 놓고 볼때, 사용자들중에 인터넷 사이트에서 멀웨어를 실행 하였거나, 트로이 멀웨어가 첨부된 스팸메일을 열어서 해커가 회사에 침해 했을 가능성이 높습니다.
대부분의 멀웨어는 회사에 침해하기 위해 필요한 해커의 C&C 서버와의 통신을 위해 필요한 멀웨어 악성 파일입니다.
그중에 두가지가 아주 위험한데 Win.AkdoorTrojan 이건 원격 접근을 허용하는 멀웨어(팀뷰어 같은거라고 보시면 됨)
Win.MimikatzData 이건 내부로 침해해서 시스템의 비번을 탈취 할때 쓰는 툴입니다.
해커가 이미 내부 시스템에 들어와 있을 가능성이 있거나 들어 왔다가 빼먹을게 없어서 나갔을수 있습니다.
회사의 매출이 높고 중요한 시스템이 있다면 2주 3개월 이내에 랜섬웨어등을 퍼트릴 가능성도 있습니다.
보안 담당자시면 kisa나 boho 같은 보안 사이트에서 타사 침해사고 사례등을 살펴 보시기 바랍니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입안녕하세요. 질문 잘 읽었습니다.
우선 악성코드 검출 자체는 대단히 흔한 일입니다. 대기업, 공공기관, 어디든 실시간으로 악성코드는 끊임없이 유입됩니다. 탐지 후 바로 조치가 되었기 때문에 현재까지는 큰 피해 없이 막은 것이라고 볼 수도 있겠지만, 여기서 가볍게 넘어가시면 위험할 수 있습니다.
목록에 나온 악성코드 중 특히 Win.MimikatzData 는 매우 심각한 주의가 필요합니다. 이건 단순한 악성코드가 아니라 사내 로그인 인증정보(패스워드, 해시값 등) 를 탈취하는 도구입니다. 내부망을 타고 권한 상승(Privilege Escalation) 및 lateral movement(횡적 이동)를 시도할 수 있어, 제대로 대응하지 않으면 나중에 전사 시스템이 뚫리는 참사로 이어질 수 있습니다.
따라서 "치료 완료" 상태라고 하더라도 다음 조치를 권고드립니다:
감염된 PC들은 즉시 네트워크에서 분리(랜선 제거)하고, 가능하면 시스템 포렌식 및 메모리 분석을 진행하십시오.
감염 경로(메일, USB, 웹서핑 등) 파악 후, 전체 사용자에 대해 동일 감염 여부 점검하세요.
추후 재발 방지를 위해 EDR(Endpoint Detection & Response) 솔루션 도입을 적극 추천드립니다. EDR은 단순 바이러스 탐지와 삭제만 하는 기존 백신과 달리, 이상 행위 탐지, 공격 경로 분석, 즉각 차단까지 가능합니다.
마지막으로, 악성코드가 유입된 망과 연결된 서버 및 다른 엔드포인트도 전수 스캔을 돌려 보시기 바랍니다.
감염 경로를 제대로 닫지 않으면, 향후 더 조용하고 치명적인 감염이 진행될 수 있습니다.
이번 사례를 계기로 사내 보안 교육 강화 및 내부 보안 정책 리뷰도 병행하시길 권장합니다.
좋은 대응 되시길 바랍니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입계약중이신 보안회사 (Anti-virus, 방화벽 등) 에 검출내역과 로그를 보내주시고 대응방안을 가이드 받으시는것도 방법입니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입악성코드 검출 자체는 이상한 일은 아닙니다. 오히려 보안 솔루션에서 감지를 했고 치료한 것이 다행이라고 봐야죠. 해당 악성코드에 엔드포인트가 감염되어 피해를 당했다면야 모르겠지만, 검출 자체는 빈번하게 발생할 수 있습니다. 되려 현재 사용 중인 보안 솔루션들이 제대로 작동하고 있다고 봐도 되지 않을까요?
오히려 이번 일을 계기로 삼아 사내 내부 보안 교육을 한번 하시는 것이 좋지 않을까 합니다. 어쨌든 직원들의 이상한 사이트 방문이나 첨부파일 다운로드 등으로 인해 발견된 악성코드이니만큼 직원들의 경각심을 일깨우는 차원에서 이걸 근거 자료로 삼아 공지 메일이나 교육 등을 시행하시면 좋을 것 같아요.
그리고 나아가서 현재 사용 중인 보안 솔루션 벤더에게 점검을 요청하는 것도 나쁘지 않아 보입니다. 악성코드가 감염된 경로를 분석해서 사전에 차단할 수 있는 조치를 취해야 다시 감염되지 않을테니까요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입포멧하시는걸 추천 드립니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입악성 코드도 계속 발전을 하기 때문에 얼마든지 침투 가능하다고 봅니다.
메일을 통해서나 비인가 프로그램등을 통해서도 침투될 수 있습니다.
격리나 삭제가 되었다면 제가 보는 관점에서는 크게 문제 되지 않을 것 같습니다.
오히려 감지 되지 않는 악성 코드가 위험한거죠...
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입일단 결론을 말씀드리면, 당연히 악성코드가 감염이 된 PC는 가장 먼저해야되는게 랜선을 뽑아야 합니다.
네트워크를 분리시킨 뒤에 그 뒤에 백신 업체를 통해 실제 바이러스가 탐지된 파일이 격리된 백신 업체의 폴더에 가셔서 압축 시킨 뒤에 백신 업체에 전달하여 오탐 여부 확인 후 사용하셔야 합니다.
보통 많은 임직원이 있는 경우 엔드포인드단에 엄청나게 빈번히 일어납니다. 인터넷 서핑을 하면서 여러가지 파일도 다운받고(불법 라이선스 파일, 네트워크 관련 설정 파일(sys) 등.. 그런것들이 전부 백신에서는 악성코드로 탐지가 되고.
크게 걱정하지마시고 일단 네트워크 분리 후 백신업체를 통해 처리하는것이 좋습니다.
거기서 오탐여부와 악성코드의 중요도를 분리해줄 것입니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입악성이면 검출 자체로 되지 않고 판단을 하셔야 합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입주로 인터넷 사이트에서 묻어 오는 듯 보입니다. 요즘엔 뜸하긴 하지만...
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입악성코드 검출은 상당히 자주 있습니다. 저희도 보안솔루션은 방화벽, NAC, DLP, DRM, EDR, EPP, 안티랜섬웨어 까지 사용중이나 완전하게 막을 수는 없습니다.
인터넷을 통해 유입이 되기도 하지만 USB를 통해서도 유입이 가능 합니다. 하여 자동실행 기능 중지가 필요 합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입해당 내용과 관련하여 참고하세요.
1. 네, 규모있는 기업에서도 엔드포인트단에서의 악성코드 감염이 빈번하게 발생됩니다. EPP 및 EDR을 사용하는 기업이라도 엔드포인트 감염은 완전히 없애기 어렵습니다
특히, 사용자가 이메일 첨부파일이나 웹사이트를 통해 악성파일을 실행한 경우나 패치되지 않은 취약점을 통해 악성코드가 침투한 경우 그리고, 내부 직원의 실수 또는 부주의로 인해 보안 정책이 우회된 경우가 대표적입니다.
기업의 규모가 커질수록 사용자 수가 많아지고, 제어 포인트도 많아져서 통제에는 어려움이 생기기 마련이니 더욱 더 신경써서 관리해야합니다. 쉽지 않습니다.
2. 상황에 따라 다르기 때문에 상황에 맞는 대처를 하면 될것 같습니다.
예를 들면,
만약, EDR 솔루션이 있다면 해당 프로세스, 파일, 연결된 IP/도메인, lateral movement 여부 등을 추적해보는 게 좋습니다.
3. 타 기관 담당자와 이야기 해보면 해당 이슈에 대한 상황은 빈번하게 발생하고 있다고 합니다. 참고로, 우리 기관의 경우 내부 관리계획에 따라 아래와 같은 절차로 대응을 하고 있습니다.
감염 단말 즉시 격리 -> 감염 경로 분석: 이메일, USB, 웹사이트 등 -> 정밀 검사 진행 -> 유사 감염 전사 단위 스캔 -> 보안 정책 보완: 예. 실행 파일 차단, 외부 저장장치 통제 강화 -> 직원 보안 교육 실시 (잔소리를 지속적으로 해야함 ㅜㅜ)
4. 주로 행위기반, 내부 이동 가능성, 공격자 관련 정보 등을 보고 판단합니다.
에를 들면, 백도어, SMB/RDP 등 lateral movement 시도여부, 알려진 APT 도구 등
이 외에도 개인적으로는 직원대상 보안 캠페인을 연 2회 이벤트 성으로 실시하고 선물도 주고 있습니다. 직원들 참여도 좋고 재미도 있고 보안감수성도 향상되는것 같아 지속적으로 실시하고 있습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입검출 자체는 자주 일어날 수 있습니다.
검출 자체 보다는 검출 후 안티바이러스 프로그램에서 정상적으로 조치가 되었는 지가 중요한 듯 합니다.
엔드포인트를 마이크로 수준으로 통제하지 않는 이상 검출은 빈번하게 발생한다고 보시면 됩니다.
검출 후에 적절하게 조치되었는지, 만약 탐지만 하고 삭제나 격리 되지 않았다면 사유를 확인하여
조치를 한다던가, 검출 되는 목록을 사용하시는 안티바이러스 기술지원 쪽에 확인 요청을 하여
추가조치 하시는 걸 권장 드립니다.
예로, Trojan 명칭이나 디렉토리 경로만 보고도 트로이 목마로 구분하는 경우도 있습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입EPP, EDR 등의 솔루션에서 레벨을 어떻게 설정했는지 모르겠지만
설정에 따라 악성코드의 범위가 달라집니다.
그리고 악성코드란게 문제가 있는것도 있지만 악용될 소지가 있는 것들도 악성코드로 분류됩니다.
keygen, ad 프로그램, 원격접속하는 프로그램, autoplay 등들도 악성코드로 분류되기도 하구요.
치료가 되었다는 말은 악성코드로 정의되어 있고 잘 감지하여 차단/삭제 조치가 된거니까
조치 자체는 문제가 없습니다.
악성코드의 위험성은 EPP 솔루션 업체에 문의하면 잘 분류되어 있어 이상유무 확인 요청해보세요.
만약 위험성이 높다면 업체에서 별도의 가이드를 해줄겁니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입어떤 종류의 악성코드이냐에 따라 차이가 있겠고요.
악성 코드가 어떤 상태로 발견되었는지도 중요한 내용이고요.
나열된 악성코드 대부분이 정확하게는 모르겠지만... 인터넷, 메일 등을 사용하면서 웹 페이지에 묻어 있는 것들이 아닐까 싶어 보이는데요.
인터넷 캐시용 임시 폴더에 자동 다운 받아져 단순히 저장된 상태일 경우라면 디스크에서 삭제해서 위험성을 제거하면 될 것 같고요.
악성 코드가 묻어 있는 웹페이지나 메일을 열지 않도록 주의하는 습관을 들이는 것도 필요해 보이고요.
약성 코드가 단순히 저장만 되어 있는 것이 아니라, 실행되어 메모리에서 작동되고 있는 상태라면 가능한 빨리 컴퓨터를 완전히 종료해서 악성 코드가 추가적인 작업을 하지 못하도록 차단하는 것이 필요하겠고, 디스크를 떼어내어서 다른 깨끗한 컴퓨터에 연결해서 악성 코드를 완전히 제거할 수 있도록 처리하는 것이 필요해 보이고요.
악성 코드가 바이러스 처럼 자기 복제 등의 전염을 시키는 특성을 가지고 있거나 랜섬웨어 처럼 데이터를 암호화, 유출 시키는 특성을 내장하고있다거나 백도어를 열어 둔다거나 추가 공격을 위한 취약점을 열어 두는 경우라면 전파 경로와 악성 코드 작동으로 인해 영향을 미친 내용들을 엄격히 조사해서 그에 따른 조치가 필요할 것 같고요.
광고나 채굴 등의 시스템의 부하를 유발하거나 컴퓨터 사용에 부정적인 영향을 미치는 특성의 악성 코드라면 악성 코드를 제거를 확실히 하고 재발되지 않도록 하는 방안을 마련하면 되지 않을까 싶어 보이고요.
악성 코드 파일을 단순히 삭제하는 것으로 간단하게 제거되는 경우도 있지만, 바이러스 등과 같이 잘 감지 되지 않는 형태로 끈질기게 숨어 있다가 컴퓨터에 악영향을 미치는 경우도 있기 때문에 가급적 시스템 자체를 완전히 초기화해서 사용하고 방화벽 설정, 패치 적용 등의 조치로 재발 되지 않도록 조치를 취하는 것이 확실한 방법이겠지만...
인터넷을 사용하다가 캐시 폴더에 임시 다운 받아져서 저장되어 있는 악성 코드들은 인터넷을 사용하는 대부분의 컴퓨터에서 발견되지 않을까 싶어 보이고요. 단순히 삭제를 한다거나, 해당 폴더에 임시 저장된 악성 코드를 실행 시키지 않은 경우라면 굳이 시스템을 포멧한다거나 초기화까지 해야 하는 것은 아니고요.
악성 코드 종류와 악성 코드가 어떤 상태로 존재하는 지에 대한 상황에 따라서 적절한 조치를 취하면 될 것 같습니다.
악성코드 검출 자체는 빈번하게 발생 할 수 있다는 말씀이시군요.
악성코드의 위험성을 판별한 후 위험도가 높은 애들은 강력한 조치를 취해야 한다는 조언으로 이해하였습니다.
이놈이 단순한 애들인지 위험한 애들인지... 검색을 해봐도 도통 나오질않고.. 정보가 없으니 위험도를 판별하기도 애매할뿐더러 악성코드 감염과 치료는 과거부터 쭉 반복되고 있는 상황이네요 ㅠㅠ
이대로 사용하는게 문제가 없는거 같으면서도 나중에라도 큰일이 생길까 걱정입니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입