안녕하세요
매번 눈팅만하다가 너무 궁금한 점이 생겼는데
이게 혼자서는 해결할 수 없는 궁금증인지라 용기내서 질문 드려봅니다
이번 클리앙발 랜섬웨어 사건으로 적지않은 충격을 받았는데요
(운이 좋았는지 저희회사에 직접적인 피해자는 없었습니다만)
일반인이 아닌 중소기업에 IT관리자로서
문득 이런저런 질문이 떠오르네요
1. 고스트로 백업된 이미지가 D드라이브나 네트워크 드라이브에 보관되어 있었다면
이미지 파일도 인크립션 되었을까? 그렇지 않다면 정기적인 이미지백업이
랜섬웨어 공격의 방패 역할을 할 수 있지 않을까?
2. 저희 회사는 DRM 적용이 되어 있는데 DRM이 일종의 암호화인지라
DRM으로 암호화된 파일이 랜섬웨어를 통해서 또 암호화 될수도 있을까?
3. 문서중앙화도 큰범주에서 일종의 네트워크드라이브 개념으로 알고 있는데
만약 문서중앙화가 되어있다면 중앙서버에 저장된 파일들도 네트웍을통해서
랜섬웨어의 피해를 입지는 않을까?
4. 랜섬웨어는 변종이 많아 백신 패턴으로 탐지가 어렵다는데
전산팀입자에서 가능한 사전 예방 조치는 무엇이 있을까?
2015-04-23(목) 07:06:29에 작성 되었습니다. 2017-03-15(수) 13:57:25에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
12개의 답변이 있습니다.
예전에 제가 했던 고민이랑 비슷해서 답글을 남겨놓습니다.
일단, 저희도 문서중앙화 서버가 있는데요 말씀하신대로 네트워크 드라이브 형태로 연결하면
안됩니다. 랜섬웨어가 네트워크 드라이브를 통해서 감염 시킵니다. 랜섬웨어 명령어를 보면
A 부터 Z 까지 모든 드라이브를 싹다 암호화 시키기에 그렇죠.
그래서 저희 문서중앙화 서버에서는 네트워크 드라이브 연결도 못하고 SMB 방식으로 접근도 불가능합니다.
(해당 서비스들은 모두 꺼져 있어서 연결 자체가 안됨)
오로지 웹하드 방식으로 웹으로 파일을 업로드 하고 다운로드 받아야 합니다.
직원들이 좀 불편하긴 하지만 그 방식이 최선이라고 저는 생각합니다.
그리고 트루이미지 같은 프로그램으로 이미지 백업한 파일도 네트워크 드라이브에 있다면
그 역시 랜섬웨어 공격 타겟이 되지 않을까요? 저는 그렇게 생각되어지네요
충분히 공격 타겟이 될 수 있죠.
랜섬웨어 공격이 무서운 이유가 전산 담당자가 백신이나 다른 솔루션으로 랜섬웨어를
탐지하는 게 어렵다 라는 거죠. 이메일 뿐만 아니라 사이트 접속만으로도 감염이 되기에 그렇죠.
그래서 사용자 교육 밖에 답이 없다고 생각합니다.
사용자들에게 랜섬웨어 예방책을 설명하고 주기적으로 계속 교육을 하고 몇번 공격을 당해서
자료들을 날려봐야 경각심을 가지게 되죠. 암튼, 저희는 2~3번 정도 공격을 당했지만
그 이후로 교육 때문에 그런지 랜섬웨어 공격을 당하지는 않았습니다.
IT Secruity 정말 제대로 한번 배워보고 싶네요......
1. 교육 및 주의 환기가 중요합니다: 강조 강조 하다보니 인크립션되기 전에 우리 다른부서 컴맹 팀장님께서 '나 이거 이상한데 그때 얘기한 그 화면이네요? 얼른 달려왔습니다' 라고 하셔서 바로 망분리 시킨적이 몇번 있습니다.
2. 파일서버는 서버이중화도 중요하지만, 백업은 더욱 중요합니다: 일본 파일서버서가 만개단위로 감염되었으나 일주일내로 바로 복원했습니다.
3. 요즘 많이 도는 MS office 파일 랜섬웨어는, outlook에서 VBS를 자동으로 삭제하게도 할 수 있나 봅니다. VBS 사용파일은 메일로 전달금지하도록 아예 Blocking 중입니다.
4. 이곳은 컴맹이 거의 300명 정도인 컴맹천국이긴한데, 3번으로 인하여 랜섬웨어 파일을 열어도 VBS가 동작하지 않고 있습니다. 신고는 여러번 잇는데 감염은 현재로선 제로입니다.
5. 4번관련하여 저희는 Admin 권한 없이는 프로그램 설치 불가하도록 한 부분도 주요하게 작용하지 않나 생각해 봅니다.
전산스페셜리스트 | 5년 이하 전
사전조치가 가능할것으로 보이진 않습니다.
랜섬웨어도 버젼업이 되잖아요
백업이 답인것 같습니다.
랜섬웨어도 진화하기때문에 위에 4가지에 해당하는것들도
나중에는 뚫리지 않을까 싶네요
백업에 또 백업을 거는 방법으로 지원하고 있습니다.
별다른 솔루션은 검토하고 있지 않습니다.
추가로 NAS 하나 더 놨으면 좋겟네요
랜섬웨어도 종류나 최신 변종에 따라 대응이 다르긴 합니다만
문서중앙화의 방식중 네트워크에 직접 제어 하지 않는 제품은 안전한 걸로 알고 있습니다.
저희는 C사의 문서중앙화를 쓰는데 현재까지 랜섬웨어 피해사례가 없는 유일한 제품으로 알고 있습니다.
이미지 백업은 침입 못하는 것으로 알고 있습니다.
실제 현재 차단할 수 있는 현실적인 방법은 없으며 주기적인 백업만이 최선인것 같습니다.
wansoo | 7년 이상 전
이미지백업된 파일 자체를 암호화 시켜 버릴수도 있겠죠~
그러나, 용량이 큰 파일은 랜섬웨어가 안 건드리려고 하는 것 같아 다행이긴 한데... 아마도, 용량이 큰 파일을 암호화 시키려면 시간이 너무 많이 소요되기 때문에 피하는게 아닌가 하는 생각이 드네요.
오늘 직원 한분이 랜섬웨어 걸렸습니다 랜섬웨어 대응된다는 백신이 설치되어있는데 신종 앞에서는 무용지물...업무관련 파일은 대부분 외장하드에 백업이 되어있는 분이라 망정이지 큰일 날뻔했습니다
문서중앙화를 사용하고 저장소를 암호화 걸어놨습니다. 랜섬웨어 걸린 PC에서 로컬문서는 전부 암호화 걸렸는데, 문서중앙화 파일은 전혀 문제가 없었네요... 참고하시기 바랍니다.
1. 고스트로 백업된 이미지가 D드라이브나 네트워크 드라이브에 보관되어 있었다면
이미지 파일도 인크립션 되었을까? 그렇지 않다면 정기적인 이미지백업이
랜섬웨어 공격의 방패 역할을 할 수 있지 않을까?
랜섬웨어 종류에 따라 인크립션 될수도 있고, 안될수도 있겠지요.
이번 크립토락커는 문서, 이미지, 동영상 파일 등을 암호화 시키는 걸로 알고 있는데, 사진 image file 중에서 png 파일은 인크립션 시키지 않는다고 하네요.
랜섬웨어에 따라 디스크내에 있는 모든 파일들을 암호화 시켜 버리고 돈을 요구하는 경우도 많답니다.
그럴 경우라면 ghost image file도 당연히 encryption되어 버리겠죠~!
2. 저희 회사는 DRM 적용이 되어 있는데 DRM이 일종의 암호화인지라
DRM으로 암호화된 파일이 랜섬웨어를 통해서 또 암호화 될수도 있을까?
인크립션 시킨다는 개념은 압축시킨다는 개념과도 유사한 것이랍니다. 암호화 된 HWP 파일이라해서 압축이 안되는 건 아니잖아요. hwp, xls, pdf 등의 파일들을 zip으로 압축 인코딩해서 저장할 수 있듯이 DRM하고 상관없이, 암호화 되게 되는 것이겠죠.
3. 문서중앙화도 큰범주에서 일종의 네트워크드라이브 개념으로 알고 있는데
만약 문서중앙화가 되어있다면 중앙서버에 저장된 파일들도 네트웍을통해서
랜섬웨어의 피해를 입지는 않을까?
읽기 쓰기로 공유되어 있다면 네트워크 상의 폴더도 인크립션된답니다. 드랍박스 같은 클라우드에 저장되어 있는 것도 인크립션 된다고 합니다. 네트워크 드라이브에 저장되어 있는 파일들도 쓰기 권한이 풀려있다면 피해를 입게 되겠지요.
4. 랜섬웨어는 변종이 많아 백신 패턴으로 탐지가 어렵다는데
전산팀입자에서 가능한 사전 예방 조치는 무엇이 있을까?
오프라인 저장 장치에 중요 팔일이라면 백업 자주 받아 두도록하고, 일반 사용자들에게 인터넷/메일 사용시 주의 시키고, 외부 USB를 함부로 사용하지 못하게 하고, 불필요하게 읽기 쓰기 공유되어 있는 폴더들에 권한 변경하고, OS 및 인터넷 관련 소프트웨어 패치 자주 하고... 할 수 있는 방법들은 모두 찾아 봐야겠죠~ㅎ
이번 사건으로 백업의 중요성이 많이 대두되는듯해요 다행인건 직원들도 백업의 중요성을 이번기회에 많이 깨닳았다는것~
1. 별도 백업이미지를 가지고 계시다면 가능하실겁니다.
2. DRM 적용에 암호화가 적용되었어도 랜섬웨어는 다른 암호화 방식이라 회피는 안될겁니다.
3. 사전 예방은 백업만이 살길이란 것을 보여주는 듯 합니다.
참조 : 안랩 http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=22683
guest | 약 9년 전
역시 백업이미지는 강제 암호화되지 않는군요 백업에 더 관심을 기울여야겠습니다
랜섬웨어는 취약점을 이용한 공격입니다.
취약점 업데이트를 할 수 있도록
AD 정책이든 , NAC 든 정책적으로 막는게 가장 효율적입니다.
guest | 약 9년 전
300대 가까이 관리해야 보니 업데이트에 계속 hole이 생기네요 ㅜㅜ