*이 포스팅은 Blaze's Security Blog원문 글을 저자의 허락을 받아 번역하였습니다.

랜섬웨어 예방책

역주 : 1996년 개봉한 영화 '랜섬'은 유괴범에게 아들을 납치당한 아버지가, '몸값'을 대상으로 범인과의 사투를 벌인다.역주 : 1996년 개봉한 영화 '랜섬'은 유괴범에게 아들을 납치당한 아버지가, '몸값'을 대상으로 범인과의 사투를 벌인다.
역주 : 1996년 개봉한 영화 '랜섬'은 유괴범에게 아들을 납치당한 아버지가, '몸값'을 대상으로 범인과의 사투를 벌인다.

랜섬웨어가 무엇인지에 대해서는 더이상 설명할 필요가 없을 것입니다. 이 글을 읽으시는 분들은 대부분 랜섬웨어가 무엇인지 알고계시리라 믿으며(슬프게도 어떤분은 ‘경험’까지 해보셨을지도 모르겠네요) 아주 간단히만 요약해서 설명해드리겠습니다. 랜섬웨어란 사용자 개인의 중요한 파일들을 암호화해버리고는, 그것을 원상복구하기 위해서는 돈을 지불하라고 요구하는 일종의 악성코드이자, 멀웨어(악성 소프트웨어)입니다. 인질범이 인질(여기에서는 컴퓨터 파일)의 몸값 협상을 위해 돈을 요구하는 듯한 행위(ransom)와 닮아있기에, 랜섬웨어(Ransomware)라는 이름이 붙여졌습니다. 최근에는 대부분의 랜섬웨어들이 계좌 추적을 따돌리기 위해 금액 지불을 Bitcoin이라는 가상화폐를 사용합니다.


랜섬웨어는 CryptoLocker, cryptoware, encrypting ransomware 등의 이름으로도 부릅니다.


이 포스팅에서는 랜섬웨어를 방지하기 위한 방안을 제시할 것이며, 일반 사용자를 위한 방법과, 기업 환경을 대상으로 구분하여 서술합니다. 하지만 이러한 구분 자체는 절대적인 기준이 아니라 상호교차할 수 있는 것이며, 사실상 대부분의 컴퓨팅 환경(특히 여기에서는 윈도우 시스템을 대상으로)에서 적절히 활용가능할 것입니다. 또한, 랜섬웨어 방지를 돕는 몇개의 도구와, 기타 추가적인 정보들을 제공해드리도록 하겠습니다.


*이 글(원문)은 영어로 기록되어있으며, 네덜란드어, 프랑스어로 번역되어 제공합니다.(역주 : 저 또한 저자의 허락을 득하여 공식적인 한국어 번역을 수행하였습니다)기타 다른 국가의 언어로 번역을 원하시는 경우 원저자의 이메일로 소통하시기 바랍니다.

원저자의 이메일
원저자의 이메일

일반 사용자 :

  • 되도록이면 메일 클라이언트에서 제공하는 안티 스팸 필터를 사용하시기를 권장합니다. 아웃룩이나 구글 Gmail 등등 대부분의 메일 서비스 업체는 안티 스팸 기능을 기본으로 탑재하고 있습니다.
  • 출처가 불분명한 메일의 첨부파일을 절대로 열어보지 마세요.
  • 오피스 문서 파일의 매크로가 실행되지 않도록 해당 기능을 차단(disable)하세요.
  • WIndows script Host를 차단하세요. 제가 개발한 도구를 예시로 하자면, D 옵션을 사용하시면 됩니다.
  • 파워쉘을 비활성화 하세요. 컨트롤 패널 -> 프로그램 -> Windows feature On / Off 를 확인하시면 됩니다.
  • 믿음직한 안티 바이러스 / 안티 멀웨어 백신과, 방화벽 솔루션을 최신 상태로 업데이트하여 운용하세요.
  • 관련된 윈도우 업데이트는 항상 최신으로 유지하세요.
  • Java 구버전은 모두 삭자하시고, 혹시 본인이 굳이 사용하실일이 없다면 자바 자체를 완전히 지우셔도 됩니다.
  • SilverLight를 사용하실 일이 없다면 삭제하세요.
  • Flash도 마찬가지입니다. 만약 업무상 삭제하기 곤란한 경우라면, 브라우저에서 click-to-play 기능을 사용하세요.(자세한 것은 아래 추가정보에서 언급)
  • uBlock Origin 과 같은 광고차단 프로그램(adblocker)을 브라우저에서 운영하세요.
  • CryptoPrevent 와 같은 프리웨어 프로그램을 사용하시는 것도 좋습니다. 이 프로그램은 자동으로 랜섬웨어가 작업을 수행하는 위치를 모니터링하다가, 탐지되면 차단하는 기능을 제공합니다.


마지막으로 단순하지만 가장 중요한 두가지를 더 언급하려합니다.

  • 링크를 클릭하거나, 첨부파일을 열어볼 때에는 반드시 한번 더 깊이 생각해보세요.
  • 중요한 파일은 반드시 백업하세요! 그리고 백업이 완료되면 외장하드를 분리하는 것도 명심하세요. 특히 클라우드에 자동으로 동기화하는 방식의 백업의 경우 주의하셔야 합니다. 랜섬웨어에 감염되었다는 사실을 깨닫게 되는 즉시 네트워크/인터넷 연결을 분리하시고, 컴퓨터 시스템을 꺼버리셔야 합니다. 그렇게 해야 암호화되어버린 파일이 백업을 덮어씌워버리는 참사를 방지할 수 있습니다.


기업환경

기업 환경의 경우에도 기본적으로 위에 언급한 내용은 동일하게 적용될 수 있습니다. 다만 기업 환경에서 사용되는 그룹 정책(Group Policies, GPO)와 같은 부분을 추가적으로 고려한 제안사항을 소개해드리겠습니다.

  • 서버에서 사용되는 패스워드는 반드시 매우 강력하게 설정하세요.(용도가 단순한 도메인 서버이든, 파일서버이든 간에 예외없이!)
  • RDP는 되도록 사용을 자제하세요. 업무상 꼭 필요한 경우라면 반드시 물리적인 방화벽 솔루션을 통해 VPN으로 사용하세요. 물론 강력한 패스워드 인증을 사용하는 것도 필수입니다.
  • 일반 사용자의 경우 관리자 권한을 부여하지 마세요. 사실 회사에서 사용하는 업무용 노트북의 경우 원칙적으로 임의의 프로그램을 설치하지 못하도록 하는 것이 (이론상) 안전한 보안규정입니다.
  • 오피스 소프트웨어의 매크로 기능을 사용하지 못하도록 정책적으로 규제하세요. 꼭 사용해야하는 경우라면 디지털 서명으로 검증된 매크로의 경우에만 한정적으로 허용하시면 됩니다. Windows Script Host를 해제하는 것도 포함되며, 백신 프로그램을 의무적으로 가동해야 합니다.
  • 기업의 네트워크에 소속되어있는 모든 장치에는 필수적으로 백신 소프트웨어를 설치하도록 하세요. 해당 장비를 휴대하여 외출하도록 하는 경우에는 더더욱 의무적으로 적용됩니다.
  • 백신으로 압축파일(ZIP, RAR, …)의 내부 내용까지 스캔할 수 있도록 선택항목을 체크하세요.
  • 스팸 메일을 필터링할 수 있는 솔루션을 사용하시고, 첨부파일의 경우 위험할 수 있는 확장자 (*.exe, *.scr .. JavaScript files (*.js) 등)은 허용하지 않는 것이 좋습니다.
  • 사용자끼리 파일을 공유할 때 권한을 검사하도록 합시다. X라는 그룹에 소속되어있는 유저가 Y 그룹과 관련된 파일을 열람해도 되는지, 이러한 이슈를 효율적으로 체크하여 접근을 제한할지 판단하는 메커니즘이 필요합니다. 일반적으로 ACLs(접근 통제 리스트)를 사용하곤 합니다.
  • 출처가 불명확한 첨부파일을 열어보는 행위나 링크를 클릭하는 것에 대한 위험성을 사내 직원들에게 교육시키세요. 교육의 효과는 매우 중요합니다. 훈련으로 멀웨어(랜섬웨어 등)에 감염되었을 때 어떤 대응절차를 수행해야 하는지 실제상황처럼 해보는 것도 좋습니다.
  • 특정한 디렉토리 위치에서 프로그램이 실행되는 것을 차단하는 정책을 채택하십시오. (자세한 내용)


마지막으로 단순하지만 가장 중요한 두가지를 더 언급하려합니다.

  • "훈련을 실패하는 것은, 곧 실패를 훈련하는 것이다.” 소 잃고 외양간을 고치는 것보다는 예방이 최우선입니다.
  • 규칙적으로 중요한 데이터를 백업하세요! (위에서 언급한 내용과 같습니다.)
    또한, 백업으로부터 데이터를 복구하는 기능이 정상적으로 수행되는게 맞는지 주기적으로 테스트해보시는 것도 중요합니다. 파일을 복구하는 일에서는 언제나 ‘백업’이 최고의 해결책이라고 생각합니다. 하지만 그 기능이 정상적으로 작동해야만 성립하는 일이겠지요?


도구

브라우져 : 

개인적으로 인터넷 익스프로러나 Edge는 지양합니다. 다른 브라우져들은 대부분 사용자가 별도의 기능을 추가할 수 있는 커스토마이징을 제공합니다. 덕분에 추가적인 보호기법을 add-on이나 다른 확장 프로그램을 통해 장착할 수 있습니다. (이 경우에도 각 엔진의 버젼을 최신으로 유지하시는 것이 중요합니다.)

플러그인의 click-to-play 기능 활성화(Flash나 Silverlight 등)

uBlock Origin(구글 크롬 브라우져)

uBlock Origin(Firefox)

NoScript


스크립트 실행 방지 :

Remediate VBS Worm(option D)

Script Defender


CryptoPrevent 멀웨어 차단 :

https://www.foolishit.com/cryptoprevent-malware-prevention/


자바(Java) :

Why should I uninstall older versions of Java from my system?


Power Shell 비활성화 :


참고문헌 :

백업  관련 :

Back up and restore: frequently asked questions


오피스 문서 관련 :

Enable or disable ActiveX controls in Office documents

Block or unblock external content in Office documents

Enable or disable macros in Office files


GPO 관련 :

2007 Office system (SP2) Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool 

Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool download

Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool

Office 2016 Administrative Template files (ADMX/ADML) and Office Customization Tool


랜섬웨어 정체

ID Ransomware


파악하기알려진, 알려지지 않은 랜섬웨어 목록

Ransomware Overview


랜섬웨어 기타 정보

Ransomware: a Q&A


윈도우 파일 공유

Understanding Windows Server 2008 File and Folder Ownership and Permissions


Windows Script Host(WSH):

Disabling Windows Script Host

CPUU님의 창작활동을 응원하고 싶으세요?