12.13
주요뉴스
뉴스홈 > 보안/해킹
랜섬웨어 감염을 예방하기 위한 수칙 12가지이셋, 데이터 백업 및 다중 보호 계층 확립 강조

   
 
[아이티데일리] 이셋코리아(대표 김남욱)가 최근 급증하는 랜섬웨어 피해를 효과적으로 예방하기 위한 랜섬웨어 감염 예방 수칙을 12일 공개했다.

랜섬웨어란 컴퓨터 또는 컴퓨터 내의 파일을 사용할 수 없도록 만든 후 피해자에게 몸값을 요구하는 악성코드이다. 불행하게도 랜섬웨어는 해커가 기업 또는 개인들로부터 돈을 갈취하기 위한 가장 효과적인 해킹 방법으로 알려져 있다. 아울러, 몸값을 지불한다 하더라도 잠긴 시스템이나 파일들이 복구된다는 보장이 없어 사용자들을 더욱 곤혹스럽게 한다.

회사 측은 랜섬웨어가 매우 무서운 악성코드 중 하나지만, 이미 알려진 수칙에 따라 철저히 대비를 한다면 큰 피해를 받지 않을 수 있다고 강조했다.

 

1. 중요한 데이터의 백업
랜섬웨어에 의한 피해뿐만 아니라 의도하지 않은 사태에 의해 데이터를 보존하기 위한 가장 중요한 방법은 데이터의 정기적인 백업이다. 최근에 발견된 많은 랜섬웨어는 외장 드라이브나 네트워크/클라우드 드라이브 등을 포함해 시스템에 매핑된 모든 드라이브 내의 파일들을 암호화하기 때문에, 백업 작업 시에만 드라이브를 연결하고 백업이 완료된 후에는 해당 드라이브와의 연결을 끊는 것이 매우 중요하다.

2. 사용 중인 소프트웨어를 최신 버전으로 유지
악성코드 제작자들은 운영체제나 애플리케이션의 취약점을 자주 이용하기 때문에 사용 중인 소프트웨어를 최신 버전으로 유지할 경우 악성코드 감염의 가능성을 현저히 줄일 수 있다. 따라서 사용 중인 운영체제와 애플리케이션의 자동 업데이트 기능을 활용하는 것을 추천한다. 여기서 한 가지 주의할 점은, 소프트웨어 업데이트를 가장해 악성코드를 배포하는 경우도 있기 때문에 출처가 불분명한 소프트웨어는 사용하지 않는 것이 중요하며, 윈도우 제어판의 프로그램 추가/삭제 기능을 이용해 오래되거나 출처가 불분명한 프로그램들은 모두 삭제하는 것이 좋다.

3. 신뢰할 수 있는 보안 제품 사용
안티바이러스와 함께 위협이나 의심스러운 행동을 식별하는데 도움이 되는 소프트웨어 방화벽을 모두 사용함으로써 보호의 계층을 다중화 하는 것이 중요하다. 다양한 랜섬웨어 감염 및 동작 벡터를 모두 감시할 수 있는 다중 보호 계층 하에서는 랜섬웨어 변형의 실행 감지 및 C&C 서버와의 연결 시도 등을 감지할 수 있기 때문이다. 아울러, 파워-쉘을 비롯한 각종 스크립트가 추가적인 파일 실행 등의 동작을 하는 경우 이를 모니터링해 선별할 수 있는 기능도 사용하는 것이 좋다. 다중 보호 계층의 확보가 다소 귀찮은 일이 될 수도 있지만, 랜섬웨어를 비롯한 다양한 종류의 악성코드 감염을 예방하기 위한 가장 경제적이고도 효과적인 방법이다.

4. Microsoft Office 파일의 매크로 비활성화
대부분의 일반적인 사용자들은 Microsoft Office 파일이, 일반적인 실행 파일의 수행 가능한 거의 모든 작업을 대신할 수 있는 강력한 스크립트 언어를 지원하는 파일 시스템 내의 또 다른 파일 시스템이라는 사실을 인지하지 못한다. 꼭 필요한 경우가 아니라면 Microsoft Office 파일에 매크로 기능을 비활성화 함으로써 스크립트 언어의 사용을 금지하는 것이 필요하다.

5. 파일의 숨겨진 확장자 표시
악성코드가 자주 사용하는 방법 중 하나는 ‘.PDF.EXE’ 등과 같이 더블 확장자로 지정하는 것이다. 윈도우와 OS X 운영체제는 기본적으로 알려진 확장자를 숨기기 때문에 상대적으로 위험한 확장자의 파일이 비교적 안전한 확장자로 표시될 수 있다. 따라서 전체 파일 확장자가 표시되도록 하면 의심스러운 파일 형식을 발견하는 것이 용이하다.

6. 이메일 내의 EXE 파일 차단
첨부된 파일의 확장자에 따라 메일을 차단하는 기능이 있는 게이트웨이 메일 스캐너를 사용 중이라면 ‘.EXE’ 파일이 첨부된 메일을 차단하는 것이 필요하며, 해당 파일의 교환이 필요한 경우에는 미리 약속된 패스워드로 보호된 ‘.ZIP’ 파일로 압축한 후 이메일에 첨부하거나 클라우드로 업로드하는 것이 좋다.

7. 윈도우의 AppData/LocalAppData 폴더 내 파일 실행 금지
많은 악성코드들이 AppData/LocalAppData 폴더에 저장 후 실행되기 때문에, 윈도우 접근제어 정책 또는 엔드포인트 보안 소프트웨어에서 AppData 또는 LocalAppData 폴더에서 실행 파일이 실행되지 못하도록 설정하는 것이 필요하다. 만약 AppData 영역에서 실행되도록 설정돼 있는 합법적인 소프트웨어를 사용하고 있다면(이는 상당히 비정상적인 동작이며, 대부분의 합법적인 소프트웨어는 설치 위치를 선택할 수 있다), 해당 소프트웨어를 이 규칙에서 제외시켜야 한다.

8. RDP 사용 금지
랜섬웨어는 때때로 원격 데스크톱 프로토콜(RDP)을 사용해 시스템에 접근한다. 따라서 원격 데스크톱 기능을 사용하지 않는다면 RDP를 사용하지 않도록 설정해야 한다.

9. 사용 가능한 복원 도구가 있는지 확인
드물게 랜섬웨어 제작자의 실수로 인해 복호화 도구의 제작이 가능할 수도 있으며, 랜섬웨어 제작자가 양심의 가책을 느끼거나 특정 랜섬웨어의 개발을 중지한 후 복호화 방법을 공개할 수도 있기 때문에 파일이 이미 암호화 됐다면 신뢰할 수 있는 보안 업체에서 제공하는 복호화 도구를 확인해 보거나, 인터넷 검색 등을 통해 공개된 복호화 도구를 찾아보는 것도 필요하다.

10. 감염이 의심되면 즉시 시스템을 네트워크에서 분리
파일 실행 후 랜섬웨어로 의심이 된다면 즉시 시스템을 네트워크에서 분리시켜 C&C 서버와의 통신을 차단해야 한다. 이렇게 함으로써 암호화되는 파일의 개수와 복원 비용을 줄일 수 있다.

11. 이전의 깨끗한 상태로 윈도우 복원
감염된 시스템을 위한 복원 이미지가 있는 경우, 랜섬웨어 감염 이전의 깨끗한 상태로 시스템의 복원을 시도해 볼 수 있다. 단, 모든 랜섬웨어 감염에서 이 방법이 성공하는 것은 아니다.

12. BIOS 시계를 이전으로 설정
일부 랜섬웨어는 일정 시간이 지난 이후에는 몸값이 증가되도록 만들어져 있다. 따라서 랜섬웨어가 정한 만기 시간이 되기 전에 BIOS 시계를 이전으로 설정하여 몸값 지불까지 주어진 시간을 벌 수 있다.



김남욱 이셋코리아 대표는 “현실적으로 모든 랜섬웨어의 감염과 실행을 100% 막을 수 있는 솔루션은 존재하기 어렵다”며, “사용자의 적극적인 대응 의지와 함께, 중요한 데이터의 백업 및 예측 가능한 모든 감염 벡터를 모두 감시하는 다중 보호 계층의 확립이 가장 효율적인 대응책”이라고 강조했다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오