EDR과 EPP(안티바이러스)의 차이는?엔드포인트 보안 대책과 EDR 조사를 설명
2023년 10월 11일악성 코드에 감염되면 어떻게됩니까?감염 경로나 대책, 대처법을 해설
2023년 10월 11일기업에 대한 사이버 공격 중에서도 랜섬웨어에 의한 피해가 늘고 있습니다.감염된 경우에는 적절한 초동 대응이 요구되므로, 어떤 대응을 취해야 하는지를 파악해 둘 필요가 있습니다.이 기사에서는 랜섬웨어에 대한 기초 지식과 감염된 경우의 초동 대응, 해서는 안되는 것 등에 대해 설명합니다.
랜섬웨어란?
랜섬웨어(Ransomware)란, 몸값을 의미하는 랜섬(Ransom)과 소프트웨어(Software)를 조합한 조어로, 몸값을 요구하는 컴퓨터 바이러스의 일종입니다.감염된 컴퓨터를 잠그거나 파일을 암호화하여 사용할 수 없는 상태로 만들고 복원을 위해 몸값을 요구하는 악성 프로그램입니다.최근에는 몸값을 지불하지 않으면 훔친 데이터를 공개한다고 협박하는 타입의 랜섬웨어도 유행하고 있습니다.
맬웨어와 바이러스와의 차이
악성코드(Malware)는 악의를 의미하는 malicious에 소프트웨어(Software)를 조합한 조어로, 부정하고 유해하게 동작시킬 의도로 작성된 악의적인 소프트웨어의 총칭입니다.컴퓨터 바이러스(Computer Virus)는 코드를 다른 프로그램에 삽입하여 자체 증식하는 악성 프로그램입니다.랜섬웨어도 바이러스도 악성코드의 일종입니다.
【관련 기사】멀웨어에 감염되면 어떻게 된다?감염 경로나 대책, 대처법을 해설
랜섬웨어 감염이 기업에 미치는 영향
직원의 컴퓨터 등이 랜섬웨어에 감염된 경우 기업에 미치는 영향에 대해 설명합니다.
피해 대응의 부담이나 금전적 손해가 발생한다
랜섬웨어에 감염되면 전문가에게 데이터 복구 및 보안 조치를 강화해야 하며, 내부 보안 담당자의 부담과 엄청난 금전적 손해가 발생할 수 있습니다.
개인정보 등 정보가 유출되어 고객이나 거래처에도 영향을 미
랜섬웨어 감염은 프라이버시 침해나 개인정보의 유출·악용 등을 일으킵니다.그 때의 대응이 부적절하거나, 고객이나 거래처에의 정보 제공이 불충분하거나 하면, 신뢰 관계를 저하시킬 우려도 있습니다.
기업의 업무 및 서비스가 중단됨
조직 전체의 업무나 서비스가 중단되거나 기능장애를 일으키는 것도 랜섬웨어 감염에 의한 심각한 악영향의 하나입니다.제조업이라면 생산 라인이 정지해 버려, 병원이면 전자 의료 기록이나 진료 보수에 관련된 시스템이 영향을 받고 진료를 계속할 수 없게 될 수 있습니다.
손해배상 등 법적 위험이 발생
업무정지나 신용실추로 인한 손실뿐만 아니라 취급하는 데이터에 따라서는 법적 위험도 발생합니다.감염에 의해 개인정보가 유출되는 등 기업이 법적인 책임을 지는 경우에는 벌금을 지불할 가능성이 있습니다.
랜섬웨어 감염 경로는?
주요 ransomware 감염 경로는 이메일에 첨부된 파일과 링크, 변조된 웹사이트의 브라우징 등이 있습니다.최근에는 외부에 공개된 VPN 기기의 취약성을 악용하고, 절취한 인증 정보에 의한 부정 침입이 많아지고 있습니다.
랜섬웨어에 감염되면 절대로하지 말아야 할 세 가지 행동
랜섬웨어에 감염된 것으로 의심되는 경우 절대로 피해야 할 3가지 행동을 소개합니다.
감염된 기기 재부팅
감염된 장치나 시스템을 재부팅하면 종료로 인해 중단된 데이터의 암호화가 다시 시작되어 기기의 파일을 볼 수 없게 될 위험이 있습니다.애초에 셧다운 전에 현재의 메모리 내용을 저장해 두는 하이버네이션이라고 하는 처리를 실시하는 것이 바람직하기 때문에, 함부로 단말을 강제 종료하는 것도 추천하지 않습니다.단말기를 재부팅하지 않고 신속하게 네트워크에서 분리하는 것이 중요합니다.
감염 후 백업을 복용
랜섬웨어에 감염된 후 백업을 취하면 해당 상태의 데이터를 저장하게 되므로 복구 후에 다시 감염될 위험이 있습니다.백업을 다른 기기에 연결하여 감염을 확대시킬 수도 있습니다.감염되기 전에 정기적으로 백업을 얻는 것이 중요합니다.
전문가나 경찰에 상담하지 않고 몸값을 지불
랜섬웨어는 암호 해독과 교환하여 몸값을 요구하지만, 지불해도 데이터가 복구되는 것은 아니다.최근에는 암호 해독에 의한 협박 외에도 착취한 데이터를 공개한다는 이중 협박을 당하는 경우도 볼 수 있습니다.지불에 따라 추가 요청이 발생할 수 있습니다.우선 전문가나 경찰에 신속하게 상담합시다.
랜섬웨어에 감염된 경우의 조치
랜섬웨어에 감염되어 버린 의심이 있는 경우에 필요한 초동 대응에 대해 설명합니다.
네트워크에서 분리
같은 네트워크에 접속하고 있는 다른 단말까지 감염이 퍼져 버릴 위험이 있으므로, 즉시 단말을 네트워크로부터 분리합니다.암호화의 진행을 막을 수도 있습니다.유선 연결의 경우 LAN 케이블을 분리하고 Wi-Fi 연결의 경우 끄는 등 신속하게 네트워크 연결을 끊으십시오.
인시던트 신고 및 시스템 담당자에게 공유
자신이 보안 전문가가 아닌 한 자체적으로 해결하는 것은 위험합니다.신속하게 조직 내 담당자에게 공유하세요.
사이버 보안 전문 업체와 상담
자사의 보안 부문뿐만 아니라 외부 전문업체와 상담합시다.적절한 대응을 조속히 실시할 수 있으므로 피해를 최소한으로 막을 수 있습니다.
감염 내용의 파악·감염 경로의 특정
어떤 시스템이 영향을 받았는지, 어떻게 액세스했는지, 어떤 데이터가 유출되었는지를 파악해야 합니다.사내 단말기를 철저히 스캔하여 공격의 기법이나 침입 경로를 더욱 감염된 단말 및 의심스러운 단말을 개별적으로 조사하여 피해의 상세나 감염의 원인을 확인합니다.
해독 도구 사용
특정 ransomware는 해독 도구가 정보 사이트 등에 공개되어 있으므로 암호화된 파일을 복원할 수 있습니다.감염 전의 데이터의 백업이 있는 경우는, PC를 초기화하는 것으로 되돌릴 수 있습니다만, 직전의 데이터는 모두 삭제되어 버려, 감염한 상황의 조사를 할 수 없게 되므로 주의가 필요합니다.또한 실제로 감염된 경우에는 아마추어 판단으로 복원하지 않고 네트워크에서 분리한 후에는 자사의 정보 시스템 담당이나 포렌식 조사 회사와 같은 벤더에게 의뢰하는 것이 최적입니다.
랜섬웨어 감염 피해에 대한 대응, 사이버 보안 조사라면 FRONTEO의 서비스 활용
이와 같이 랜섬웨어 감염의 초동 대응에는 세심한 주의와 신속한 처리가 필요하므로, 전문 서비스를 활용하는 것이 추천입니다. 10,600건이 넘는 부정조사 실적을 자랑하는 FRONTEO의 '사이버 보안 조사 패키지'라면 여러 보험회사들에게 권장되는 고품질 사이버 보안 조사를 제공합니다.
EDR 조사나 다크 웹 조사 등 사이버 공격을 받았을 때 대응해야 할 최소한의 조사를 원패키지로 한 초기 대응에 유효한 솔루션으로 Wi-Fi 취약성 조사나 NDR 조사, 침투 테스트 등 추가 조사도 실시 가능합니다.전문 지식이 있는 인재가 없는 기업의 경우, 유사 대응 시의 스피드나 전문성에 우려가 남습니다.압도적인 실적에서 얻은 노하우를 바탕으로 FRONTEO가 사이버 공격 피해의 초기 대응을 지원합니다.