본문 바로가기

문서중앙화 Stories

‘랜섬웨어어 대응엔 화이트 리스트가 최고’는 이제 옛말? (문서중앙화,화이트리스트,랜섬웨어대응)

Whitelist 를 우회하는 랜섬웨어

 

 랜섬웨어는 날로 진화하여 각 산업 군의 패턴을 분석하고 이력서, 추석인사 메일, 교육자료 등과 같이 자주 사용할 만한 문서 혹은 웹페이지 등으로 위장하여 사용자의 네트워크에 접근을 시도하고 있습니다.

 

그래서 최근에는 많은 기업들이 이를 해결하기 위한 방안으로 문서중앙화를 고려하고 있습니다. 문서중앙화는 사내 임직원 PC에서 생성되는 모든 문서를 중앙 서버에 강제 이관하고, 등록된 프로세스만 동작을 허용하는 ‘White List 방식을 사용합니다. 때문에, 랜섬웨어나 다른 악성코드가 침투하더라도 직원의 PC에는 암호화 시킬 파일이 존재하지 않는 원천적인 방법으로 피해를 방지할 수 있죠!

 

하지만, 최근 발생된 크립토락커(CrpytoLocker)와 같은 변종 랜섬웨어의 경우는 다릅니다 

 

변종 된 랜섬웨어는 화이트 리스트가 단지 미등록 프로세스에 대해서만 차단한다는 사실을 악용하여, 화이트 리스트 목록에 포함되어 있는 프로세스로 위장하고 랜섬웨어 파일을 실행하게 됩니다. 안타깝게도 이러한 경우 아무리 감염된 모듈이라 하더라도, 허용된 프로세스로 인지되어 중앙 서버 문서까지 접근이 허용됩니다.

 

실제로 대부분의 네트워크 드라이브 문서중앙화 솔루션은 윈도우 탐색기 기능을 사용하기 때문에 윈도우 탐색기 프로세스를 화이트 리스트 목록에 포함시키고 있습니다. 따라서, 랜섬웨어가 정상적인 윈도우 탐색기(explorer.exe) 프로세스를 생성하여 서버에 접근하게 된다면 속수무책으로 랜섬웨어에 의해 서버 내 모든 문서가 감염되게 됩니다.

 

 [그림1. 화이트 리스트 프로세스로 위장한 랜섬웨어 감염 경로]

 

 

하지만, 걱정하지 마세요! 다이미가 지금부터 화이트 리스트를 우회하는 신종 랜섬웨어의 대응방법을 알려드립니다!

사이버다임의 문서중앙화 솔루션은 서버내 문서를 랜섬웨어로부터 보다 완벽하게 격리하여 보관할 수 있도록 Sandbox를 활용한 3단계 대응 방안을 제공합니다 

 

[그림2. 랜섬웨어로 부터 중앙 서버 내 문서를 차단하는 사이버다임 문서중앙화 샌드박스 구조]

 

 

 

1단계 : 샌드박스 영역을 통한 승인된 프로세스만 접근 허용

사용자의 로컬 PC에 샌드박스(가상보안영역)을 생성하여 서버 스토리지 파일 작업 시 샌드박스 영역으로 파일을 다운로드 받아 실행합니다.

, 샌드박스 영역에는 승인된 프로세스 접근만을 허용하므로 승인 되지 않은 랜섬웨어 등의 프로세스 접근을 차단합니다.

 

2단계 : 서버 파일 작업 시 프록시 파일(Proxy File)을 통한 작업

파일 수정 작업 시 서버 스토리지 내 파일을 직접 수정하지 않고 로컬의 샌드박스 영역으로 파일을 다운로드 받아 수정하기 때문에

서버에 보관된 원본 문서로의 직접 접근은 차단된 상태입니다. , 랜섬웨어에 의한 원본 문서의 변형 또는 암호화가 불가능합니다.

 

3단계 : 파일 저장 시 버전 구조 사용

파일 수정 시 버전 구조를 사용, 수정 파일은 새 버전으로 자동 저장되기 때문에 샌드박스 영역의 파일이 감염되어

중앙 서버에 저장된다 하더라도 감염 전 상태로 복원이 가능합니다.

 

이렇게 차별화된 사이버다임의 문서중앙화!

기존 White List 방식보다 더욱 안전한 문서중앙화가 필요하다면, 다이미에게 문의주세요!

 

문의 : _marketing@cyberdigm.co.kr / 02-546-6990