랜섬웨어 대비를 위한 시나리오 방안

 

<랜섬웨어 대비를 위한 시나리오>

 

l 랜섬웨어 (Crypt0L0cker)란?

 

 

- 악성코드(Malware)의 일종으로, 이에 감염된 컴퓨터는 시스템에 대한 접근이 제한되어

이를 해제하기 위해 악성 코드 제작자에게 대가로 금품을 제공해야하는 악성 프로그램을 칭하는 말입니다.

문서나 파일 등 중요자료를 볼모고 잡고 돈을 요구한다고 해서 ‘랜섬(ransom)’이란 수식어가 붙었습니다.

몇 년 전부터 세계적으로 기승을 부리기 시작해 국내에도 지난 4월, 랜섬웨어가 상륙해 한창 이슈가 되어

신문에도 많은 기사가 났었습니다.

당시의 랜섬웨어는 타겟형으로 Email을 통해 첨부파일로 바이러스를 유포, 감염 시키는 방식이었습니다.

잠잠해지는 듯 싶었으나 최근 10월 들어, 다른 형태의 한국형 랜섬웨어가 나타나기 시작했고,

수많은 기업들이 새로운 형태의 랜섬웨어에 감염되어 데이터를 손실, 중요 자료를 유출 당하고 있습니다.

새로운 형태의 랜섬웨어는 Email 첨부파일 형태가 아닌 Website를 통해 감염이 되는 형태입니다.

감염 경로는 국내 인터넷 포럼 사이트 [클리앙]에서 시작이 되어 사이트에 접속 시 IE취약점을 이용한

랜섬웨어 악성코드가 감염되는 형태로 진행 됩니다.

악성코드는 Windows디렉토리에 랜던함 파일명으로 생성이 되며 추가 Run 레지스트리에 등록이 되어

재 기동 후에도 동작되도록 설계되어 있으며, 감염이 될 경우 다양한 문서, 사진, 동영상 등 중요 파일을 암호화하게

되어 복호화 시 금전을 요구토록 되어 있습니다.

이 랜섬웨어 감염 대비를 위해 저희 엠플에서 2가지 방안을 제안 드리고자 합니다.

 

 

1. 사전 차단

 

 

악성코드 탐지, 차단, 분석 솔루션 <Fireeye>

현 시점에서 가장 안전한 방법은 이러한 스피어피싱과 같은 APT공격을 전담하는 솔루션이 구축되어 예상되어지는

APT 공격 루트에 대한 차단과 특화된 APT공격에 대해 특성을 분석하여 공격행위를 막아내야 합니다.

제안 드리는 FireEye 장비에서는 랜섬웨어 공격에 대해 “Malware.Binary.url”로 아래와 같이 탐지가 됩니다.

아래는 Website (클리앙사이트)를 통해 감염 시 탐지 된 이벤트 입니다. 감염 Trigger URL 은 아래와 같이 row.bottomwebsites.xyz 입니다.

관련 OCR(OS Change Report)는 첨부하였으니 참고바라겠습니다

 

<FireEye 고객사에서 탐지된 내용>

 

 

APT 공격 유형

Internet APT Attack : Watering Hole

• 공격대상에 대한 프로파일링을 통해 자주 접속하는 WebSite의 취약점을 이용해서 악성 코드를 심어 놓고 사용자가 접근 시 악성코드가 설치.

• 특정 목적의 사용자가 감염될 때까지 불특정 다수를 대상으로 공격

Email APT Attack: : Spear-Phishing

• 특정 대상을 한정하여 공격

• 이메일 본문에 URL 링크를 포함하거나 첨부파일에 정상적인 파일로 가장한 악성코드를 통해 공격

 

 

APT Life Cycle

 

이러한 APT 대응 솔루션으로서 전세계적으로 인정받고 잇는 FireEye 솔루션을 제안 드립니다.

FireEye는 구축형으로서 “APT Market Share 1위”인 솔루션입니다.

APT공격에 대해 특화 되어 있어 여러 BMT결과에서 가장 좋은 결과를 보여주고 있습니다.

네트워크 보안, 이메일보안, 엔트포인트 보안, 모바일 보안, 컨탠츠 보안 등 세부화 되어 있습니다.

 

 

 

 

2. 망 분리

 

l 망 분리 목적

정의: 인터넷 영역과 업무 영역을 같은 네트워크에서 사용하는 방식에서 물리적 또는 논리적(가상화)기법을 사용하여 인터넷을 통한 기밀 정보와 고객 정보의 유출을 차단하고

랜섬웨어 등 악성 코드 및 해킹의 위협으로부터 IT자산을 보호 하는 것.

 

1. 컴플라이언스 이슈 대응

- 금융회사 IT부문 모범규준(2011.10.30)
   - 개인정보보호법 시행(2012.3.29)
   - 개정 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률 시행(2012.8.18)

 

2. 내부자의 정보 유출 방지

 

3. 악성 코드에 의한 데이터 유출 방지

 

4. 인터넷으로부터 보안 위협으로부터 자산 보호

 

망 분리 방식

 

물리적인 PC 2대를 활용하는 물리적 망 분리 방식과 가상화 기술을 활용한 논리적 망 분리 방식이 있음.

 

물리적 망 분리	논리적 망 분리
1. 물리적 PC 2대를 통한 분리 2. 네트워크 전환장치를 통한 분리 3. 공용 인터넷 PC 도입을 통한 분리	1. 서버 기반 가상화 방식(SBC)     - 프레젠테이션 가상화     - 데스크탑 가상화 2. PC 기반 가상화 방식(CBC)     - User 레벨 가상화     - OS 레벨 가상화

 

 

 

 

 

 

 

 

 

VERDE 제공가치 – 종합

본 솔루션 구축을 통해 

1) 법적 요구사항 만족

2) 보안성 확보

3) 업무효율성 향상

등등 다양한 요구를 충족시키는 망분리를 구현함으로써, 급변하는 환경 변화에 탄력적으로 대응하며 고객 서비스를 강화

 

 

Compliance

내-외부 구간 망분리의 법적 요구사항 이행을 통한 대 고객 신뢰도 향상 (정보통신망 이용촉진 및 정보보호 등에 관한 법률 및 동법 시행령)

 

Risk Management

인터넷과 내부업무시스템 분리로 인한 악성코드 감염 원천 차단

PC보안 솔루션 연계 문서 중앙화를 통한 중요 정보의 외부 유출 통제

중요 정보에 대한 접근권한 차등화

 

Effectiveness

시스템 이미지의 중앙 집중화를 통한 PC 및 S/W의 표준 관리

어플리케이션 중앙 배포를 통한 업무 효율성 증대

스마트워크 기능 구현을 통한 언제, 어디서나 사무실 업무 환경 제공

지역본부, 지점 콜센터 등 저속 네트워크 구간 Branch 서버 연동 속도 향상