정보보안) 랜섬웨어(ransomware) 대응 관련 참고 자료

랜섬웨어(ransomware) 대응 관련 참고 자료

 

많은 개인 혹은 기업이 랜섬웨어로 인한 피해를 보고 있습니다.

 

악성코드 감염이 의심되는 파일 및 메일을 열어보지 않거나 감염을 대비한 파일 백업은 매우 중요하지만 쉽지 않습니다.

악성코드 삭제 및 백업을 하더라도 언제나 랜섬웨어에 감염될 수 있으며 조치하여도 재감염될 수 있습니다.

 

랜섬웨어 예방법

1. 발신인이 불분명한 메일 삭제

2. 메일 첨부파일 다운로드 시 잘 알려지지 않은 확장자 파일 열지 말고 삭제

3. 업무 상 중요파일 주기적인 백업

4. 불필요한 파일 공유 시스템 설정 끄기

 

랜섬웨어 감염시 조치 방법

1. 랜섬웨어 감염PC로 인한 2차 피해 방지를 위해 인터넷 선 뽑기

2. 암호화된 파일 확장자 및 랜섬노트를 확인하여 랜섬웨어 종류 확인 후 복호화 툴 검색

3. 복호화 툴이 없으나 중요 파일이 백업된 경우 PC 포맷

4. 복화화 툴이 없으며 중요 파일이 백업되지 않은 경우 랜섬노트 참고하여 랜섬웨어 제작자와 협상 (마지막 수단)

---

* 회사에 같은 인터넷 회선을 사용하고 있는 경우 파일 공유 시스템을 통해 랜섬웨어가 퍼질 수 있음.

* 랜섬웨어는 파일 암호화시 특정 확장자를 가지며 비트코인 협상 등을 위해 랜섬노트(메모장)을 남김.

* 잘 알려진 랜섬웨어의 경우 보안업체에서 제공하는 복호화 툴(암호화된 파일을 원상 복구시킴) 찾을 수 있음.

 

> 랜섬웨어 감염시 복호화 툴이 존재하지 않으면 조치 방법은 백업파일 원복 및 PC 포맷 밖에 없습니다.

   물론 매우 중요한 파일일 경우 랜섬웨어 제작자와 협상할 수 밖에 없으나 가장 마지막 수단입니다.

 

** 랜섬웨어 복구를 하는 사설업체도 존재한다고 합니다.

    업체에서 가진 복호화 툴로 사전 조치 후 조치 불가할 시 수수료를 받고 랜섬웨어 제작자와 협상을 도와준다고 합니다.

    (비트코인 지갑 생성 및 송금 과정이 일반인에게 어려우므로 대행 업무를 해준다고 함)

---

랜섬웨어(ransomware) 대응 관련 참고 자료

랜섬웨어에 감염되지 않았다면 감염 예방이 중요하면 감염된 경우 재발 방지가 중요합니다.

방어 및 대응 관련하여 한국인터넷진흥원(KISA)에서 제공하는 좋은 정보가 있어 남고 링크 남겨둡니다.

 

최신 랜섬웨어 동향 및 복보화 툴 개발 현황 정보가 나와있어 참고하시면 좋을 것 같습니다.

 

출처 : KISA 보호나라 - 22년 1분기 랜섬웨어 동향 보고서

 참고 ) 4. 1분기 신종·변종 랜섬웨어 동향 참고 ) 5. 랜섬웨어 복구 동향

https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=66693 

KISA 인터넷 보호나라&KrCERT

 

출처 : KISA 보호나라 - 2021년 랜섬웨어 스페셜 리포트 

  참고) 4. 랜섬웨어 방어 및 대응 전략
  참고) 5. 랜섬웨어 전용 솔루션에 대한 고찰

https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=36211 

KISA 인터넷 보호나라&KrCERT

 

 

급하게 랜섬웨어 관련 도움받을 업체를 찾고 계신다면 아래 사이트도 참고하실 수 있습니다.

 

한국랜섬웨어침해대응센터

링크 : https://rancert.com/index.php

한국랜섬웨어침해대응센터

---

이외 많은 보안업체가 개발한 랜섬웨어 대응 솔루션이 존재하여 여유가 되신다면 솔루션을 고려해 보시는 것도 좋습니다.

 

간혹 백신, 방화벽, UTM 만으로 랜섬웨어를 완벽하게 차단할 수 있다고 잘못 알고 계신 분들이 있습니다.

위 솔루션들은 랜섬웨어에 특화된 솔루션이 아니며 랜섬웨어 감염 전 사전 행위(사이트 접근 및 메일 첨부파일 검사)를 탐지 및 차단을 담당합니다.

 

담당하는 역할이 다르므로 랜섬웨어는 별개로 생각하고 예방 및 대응을 해주셔야 합니다.