매일 새롭게 등장하는 랜섬웨어, 이젠 이름을 외우는 것도 지칠 지경인데요..
이런 맘을 아는지 모르는지.. 최근 화이트리스트 마저 무용지물로 만드는 강력한 랜섬웨어가 또 출현했죠..!
바로, '파일리스(fileless)형 매그니베르 랜섬웨어'
"아니..랜섬웨어면 랜섬웨어지... 파일리스(fileless)는 또 뭐야.."라고 생각하셨을텐데요~
사실 이 랜섬웨어는 올 초부터 기승을 부리던 매그니베르의 새로운 버전으로! 보안 SW들 대부분이 화이트리스트를 통해 랜섬웨어를 차단한다는 점을 이용. 화이트리스트에 탐지되지 않도록 작전을 변경한 랜섬웨어죠. 즉,'파일리스 악성코드+랜섬웨어'의 결합상품 같은 것이랄까나.. 그럼, 오늘은 파일리스형 매그니베르에 대해 정~말 쉽게 한 번 알아볼까요?
(맨날 쉽데..근데 오늘은 진짜 쉬움.)
먼저,'매그니베르 랜섬웨어'의 기본적인 특징부터 살펴보겠습니다.
매그니베르 랜섬웨어는 주로 웹사이트 광고 등에 악성코드를 심어 불특정 다수에게 배포시키는 멀버타이징 방식을 이용합니다. 동영상을 이용하기 위해 중간 광고를 본다거나, 뉴스를 보고자 창을 띄우기만 해도 매그니베르 랜섬웨어에 감염되는 것이죠~ 이쯤되면, 알면서도 당할 수 밖에 없는 상황. 또, 매그니베르 랜섬웨어에 감염되게 되면 확장자명이 아래 그림과 같이 임의의 알파벳들로 변형되며, 피해자에게 감염 사실을 알리고 몸값을 요구하기 위한 'Read me' 랜섬 노트를 생성하는 특징이 있습니다.
매그니베르 랜섬웨어는 왜 '파일리스'로 작전을 변경하여 돌아왔을까?
그동안 보안 SW 업계에서는 랜섬웨어의 대응 방안으로 ‘화이트리스트’를 많이 활용해왔습니다. '화이트리스트' 방식은 사전에 허용 목록에 등록한 프로그램만을 실행시키는 방식으로 업무에 사용되지 않거나, 미확인된 프로그램들의 동작 행위를 제어하죠.
하지만, '파일리스'형 랜섬웨어의 경우 프로그램(.exe)으로 실행되던 기존 랜섬웨어들과 달리 프로그램 자체가 없기 때문에, 화이트리스트의 통제를 받지 않고 허용된 응용프로그램(예.explorer)에 인젝션 되어 동작할 수 있다는 거...
결국, 더 이상 응용프로그램을 제어하는 화이트리스트 방식만으로는 랜섬웨어를 차단할 수 없다는 말이죠.
그럼, 이런 강력한 랜섬웨어를 어떻게 막냐고요?..
방법은 바로... 신/변종 랜섬웨어에 안전한 ‘사이버다임 문서중앙화’를 선택하는 것!
사이버다임 문서중앙화 ‘Destiny ECM’과 ’cloudium’은 진화하는 변종 랜섬웨어를 대응하는 다양한 방안을 제하고 있습니다.
우선, 서버에 저장된 원본을 직접 수정하는 것이 아닌 로컬의 임시보안영역(Sandbox)에서 프록시 파일을 수정한 뒤 서버에 업로드하는 구조로 동작합니다. 작성 중 PC가 감염되어도 서버의 원본에 영향을 줄 수 없도록 하기 위함이죠. 또한, 오피스 및 CAD와 같은 응용 프로그램으로는 서버 파일을 직접 삭제하거나 덮어쓰기 할 수 없는 구조라 로컬에서 수정된 문서가 서버에 저장될 경우 반드시 새로운 버전 문서로 관리되죠. 즉, 어떠한 새로운 랜섬웨어가 와서 파일을 감염시켜도 새로운 버전의 문서로만 서버에 저장된다는 사실! 아래 그림으로도 쉽게 살펴볼 수 있어요.
'정말 안전할까?'걱정하지 마세요~♬
실제로 지난 7월, 사이버다임의 문서중앙화를 사용하던 고객사 직원 PC를 통해 ‘매그니베르 랜섬웨어’가 침투하여 서버 확산을 시도하는 사건이 발생하였는데요! 고객사에 의하면 변종 랜섬웨어의 서버 공격은 확인되었지만, 랜섬웨어가 변형한 문서는 사이버다임 문서중앙화 보안 구조로 인해 신규 파일로만 등록될 뿐 원본 문서는 암호화되지 않고 안전했다고 밝혔습니다. 고객사는 단지 서버 내 감염 문서를 삭제하는 것만으로 신속하게 정상적인 업무 환경으로 되돌아올 수 있었죠.
새롭게 등장하는 랜섬웨어를 매번 피할 수 없어도, 원본 문서는 언제나 안전해야 합니다.
최근 돈을 주고 구입이 가능한 서비스형 랜섬웨어가 등장함에 따라, 배포와 우회 방식은 더욱 많은 배포자들에 의해 예측할 수 없을 만큼 빠르게 진화하고 있는데요. 현실적으로 신/변종 랜섬웨어의 위협을 대응하기 위해 시스템을 매번 새로 도입할 수조차 없는 상황. 아직 문서 관리의 해결 방법을 찾지 못하셨다면 ~ Whitelist 기반 보안 방식 이외에도 원본의 변형을 최소화할 수 있는 기능을 탑재한 예방 SW의 도입을 고민해보시는 것도 좋은 방법이 될 것 같습니다.
<언론보도>
화이트 리스트 보안 제품 우회하는 '랜섬웨어' 주의
문의 : 솔루션사업본부 마케팅팀, _marketing@cyberdigm.co.kr
'문서중앙화 Stories' 카테고리의 다른 글
[2019년 꼭 알아둘 보안 TIP] 중견기업 랜섬웨어에 당했다... 공장 멈춰 (0) | 2019.01.03 |
---|---|
130여 개의 자회사 관리, 파일서버 없어도 클라우디움 하나면 끝! (랜섬웨어예방,문서관리, cloudium) (0) | 2018.09.05 |
문서중앙화로 save&safe한 인수인계 환경 만드세요 (Destiny ECM, cloudium, 과금형 cloudium) (0) | 2018.07.25 |
업무의 가치를 높여주는 데이터 활용법 (feat. Destiny ECM) (0) | 2018.02.09 |
편리한 클라우드X안전한 문서중앙화의 만남. 이 조합 완벽해! (클라우드 문서중앙화) (0) | 2018.01.26 |