랜섬웨어와 신/변종 악성코드 예방방법 소개와 대응 방법 및 솔루션 "좀비제로"

다음은 카보나이트가 소개한 랜섬웨어 공격에 대응하기 위한 최소한의 예방법 입니다.

랜섬웨어 예방 방법

1. 사전 교육과 예방 훈련

랜섬웨어 감염을 방지하는 좋은 방법 가운데 하나는 직원 모두 사전에 공부해야 합니다. 평판이 높지 않은 웹사이트나 호스팅된 광고 링크는 피하며, 'https'로 보안된 사이트로 접속합니다. 

2. 주기적인 백업

랜섬웨어 사고 발생 후 데이터를 되찾을 확실한 방법은 품질높은 클라우드 백업 시스템 계획을 세워 투자하는 것입니다. 이렇게 하면 컴퓨터나 네트워크가 랜섬웨어의 '피해자'가 되어도, 감염된 파일과 랜섬웨어를 없앤 후 백업 시스템에서 클린 버전으로 복원할 수 있습니다.

3. 바이러스 백신 소프트웨어를 최신 상태로 유지

정기적으로 방화벽과 바이러스 백신 소프트웨어의 업데이트 여부, 정상 기능 여부를 확인합니다. 보안 업체는 100%의 방어와 보호를 보증하지 않지만, 최신 상태로 업데이트된 보안 소프트웨어와 방화벽은 랜섬웨어, 악성코드 등에 대한 1차 방어선 역할을 합니다.

4. 사이버 보안 동향 파악

매번 더 위험하고 새로운 랜섬웨어들이 등장하고 있습니다. 새로운 랜섬웨어 위협으로부터 스스로를 보호하는 좋은 방법은 랜섬웨어와 관련된 최신 뉴스를 꾸준히 확인하는 것입니다.

5. 불확실한 이메일은 경계

불확실한 이메일의 링크를 클릭하지 않고, 요청하지 않은 이메일 첨부 파일을 열지 않습니다. 

랜섬웨어 확산에 자주 이용되는 특정 첨부 파일을 차단하기 시작한 이메일 공급업체가 많습니다. 예를 들어, 구글 지메일(Gmail) 서비스는 자바스크립트(.js) 파일을 차단하고 있습니다. 기타 .exe, .jse, .ade, .adp 확장자 파일도 경계해야 합니다.

6. 최신 보안 패치를 업데이트

해킹을 막는 '열쇠' 가운데 하나는 모든 애플리케이션에 최신 보안 패치를 업데이트하는 것입니다. 사이버 범죄자들은 회사 네트워크에 침입할 방법을 찾고, 통상적으로 패치가 적용되지 않은 소프트웨어 보안 취약점을 이용해 침입에 성공합니다.

요주의 기업 정보, 개인 정보 탈취에 목적을 둔 경우가 많지만, 네트워크에 침입한 후 랜섬웨어 공격을 실행하는 사례도 증가하고 있는 추세입니다. 네트워크에 침입한 후, 직원들로 하여금 악성 이메일 첨부 파일을 열도록 유도하는 공격 전술입니다.

7. 매크로 사용 중단

사이버 범죄자들은 마이크로소프트 워드나 엑셀 파일의 매크로를 악용하는 경우가 많습니다. 사용자로 하여금 원격 서버에서 랜섬웨어를 다운로드 받도록 만들 수 있기 때문입니다. 워드 프로세서와 스프레드시트 관리 애플리케이션에서 매크로를 사용할 수 없도록 만드는 것이 중요한 이유가 여기에 있습니다. 그렇지 않을 경우, 랜섬웨어에 노출된 후 뒤늦게 이를 알게 되는 문제가 발생할 수 있습니다.

8. 관리자 권한의 최소화

해커의 랜섬웨어 감염을 막는 효과적인 방법 가운데 하나는 '관리자 권한'을 최소한으로 유지하는 것입니다. 직원들이 업무에 필요한 데이터, 애플리케이션에만 액세스할 수 있도록 만들어야 합니다. 관리자 권한을 가진 사용자가 지나치게 많을 경우, 사이버 범죄자가 비밀 정보를 훔치거나 랜섬웨어를 심을 확률이 높아집니다. 이는 내부자가 초래하는 위협을 줄이는 방법이기도 합니다.

출처 : http://www.itworld.co.kr/news/104697

위와 같이 직접 할 수 있는 랜섬웨어 예방방법 외에

현실적으로 대응할 수 있는 방법은 무엇이 있을까요?

바로 전문 솔루션을 사용하는 것 입니다.

사이버 공격은 알려진 공격 방법에 대응하는 것보다

알려지지 않은 공격방벙 및 신/변종 악성코드에 대한 대응이 절실합니다.

이는 가장 우려해야 할 부분이며 우리가 해결하고 있는 것은 빙산의 일각이라고 합니다.

그래서 랜섬웨어를 예방할 수 있는 전문 솔루션인 "좀비제로"를 추천합니다.

ZombieZERO EDR for APT 는 행위기반 엔진을 Endpoint에 적용, 패턴 없이도 제로데이 공격을 포함한 알려지지 않은 신종 악성코드를 실시간으로 탐지/차단/치료하며, 네트워크를 우회해서 침투하는 위협에 대해서도 대응하는 솔루션입니다. 다양한 공격 단계(초기 공격 → 악성코드 활동 → 엔드포인트 조작)에서 일어나는 행위를 식별하고 비교하여 다단계 및 혼합 공격을 탐지합니다. ZombieZERO Manager를 통해 중앙관리가 가능합니다.

시스템 주요 특징

1. 행위기반 탐지/차단

- 시그니처 방식이 아닌 행위기반 악성코드 탐지/차단 방식

- 신, 변종 악성코드에 대한 탐지/차단

- Zero-Day 와 네트워크 우회 악성코드에 대해 효과적인 대응

2. 실행보류 기능

- 샌드박스 우회하는 악성파일 및 SSL로 전송된 형태의 Packet은 EDR 실행 보류를 통해 분석요청 가능

- 사용자의 의도에 따른 행위 및 사용자 행위 없이 다운로드 받는 파일에 대해 분석 가능 (안전한 파일만 실행)

- 개별 사용자가 EDR 실행 보류 기능을 통하여 보류된 파일에 대한 분석/차단 현황을 조회 가능

3. 화이트리스

- 화이트리스트 정책 기반의 파일실행 통제 기능

- 해당 기업 및 기관에 대한 최적화 정책 수립 기능

- 주요 지원 기능

: 프로세스 숨기기 탐지, 메모리 변조 탐지, 훔쳐보기 방지, 역방향 접속 탐지, 트래픽 이상행위 탐지, 파일드라이버단 격리, 사용자 행위탐지, 파일 전송 탐지 등

ZombieZERO EDR for Ransomware 는 랜섬웨어를 행위기반 사전 탐지 및 차단 기능을 제공하며 엔드포인트 (PC) 데이터를 실시간으로 중앙서버에 백업하여 기업 및 기관의 데이터 통합 보호를 위한 랜섬웨어 전용 제품입니다.

Ransomware(랜섬웨어) 는 PC의 모든 문서파일이 암호화하여 접근을 제한하며 암호해제를 대가로 금전을 요구하는 악성코드의 일종으로, 최근 그 피해가 급증하고 있습니다.

시스템 주요 특징

1. 주요 기능

- 행위기반 Ransomeware 탐지/차단

- EDR에서 Ransomeware 탐지 시 패턴 정보를 업로드하여 감염 확산 방지

- 확장자 기반 보호파일(화이트리스트)을 통한 접근 통제 기능

- 공유폴더 보호 및 랜섬웨어로부터 안전한 경로 지정 기능

- 파일 랜섬웨어 대응 뿐 아니라 MBR, 부모 랜섬웨어 등 신/변종 랜섬웨어 차단

2. 백업 기능

- PC 백업 및 외부 저장 매체 백업 기능

- 데이터 실시간 백업 및 복구 기능

- PC 장애 즉각 대응(업무 연속성)

- 데이터 이력 관리 기능