다시 한 번 랜섬웨어 경계령이 떨어졌다. 회사나 사용자 스스로 철저한 대비가 필요하다.
포티넷코리아는 28일(한국시간) 전세계를 강타하고 있는 새로운 랜섬웨어 변종인 페트야(Petya)에 대비하여 즉각적인 조치를 취할 것을 권고했다.
페트야 랜섬웨어는 현재 에너지, 은행, 운송 시스템과 같은 중요 인프라를 포함한 산업 및 조직에 광범위한 피해를 주고 있다. 우크라이나에서는 체르노빌 원전 방사능 관리 시스템이 페트야 공격에 당해 완전 수동으로 전환되는 소동이 일어났다.
‘페트야’는 "랜섬 웜(ransom worm)”으로 불리우는 다중-벡터 랜섬웨어 공격의 새로운 변종으로 시기 적절하게 공격을 감행한다. 이 랜섬 웜은 한 곳에서 머물지 않고, 자동으로 여러 시스템으로 이동하도록 설계되어 있다. 페트야 랜섬 웜은 최근 발생한 워너크라이(Wannacry) 공격에 악용된 취약점과 비슷한 취약점을 이용하는 것으로 보인다.
그러나 컴퓨터의 파일을 암호화하는 워너크라이와 달리, 페트야 랜섬웜은 전체 컴퓨터가 작동하지 않도록 하드드라이브 세그먼트를 암호화한다. 오래된 레거시 시스템과 핵심 인프라가 이 공격에 특히 취약하다.
포티넷코리아는 페트야 방어를 위해 회사 및 개인 사용자에게 아래와 같은 조치를 권했다.
▲ 사용자
알 수 없는 출처의 첨부 파일을 실행해서는 안된다.
▲ IT 부서
중요 시스템의 파일을 백업하고, 백업 데이터는 오프라인 상태로 유지해야 한다.
운영 시스템 디스크 및 설정에 대한 ‘최고 수준의 보안(gold standard)’를 확인하고 명확한 기준 하에 데스크탑을 재구성해야 한다.
패치를 설치한다.
패치가 최신 버전인지 확인한다.
▲ 보안 운영
시그니처 및 안티바이러스를 실행한다.
샌드박스를 이용하여 첨부 파일 위험 분석 검사를 실행한다.
행동 기반 탐지 기능을 실행한다.
방화벽 로그에서 명령 제어(Command & Control)의 침해 흔적을 찾는다.
멀웨어의 확산 및 백업 데이터의 암호화를 제한하기 위해 네트워크 망 분리(Segment)을 실행한다.
원격 데스크톱 프로토콜(Remote Desktop Protocol)이 비활성화 되어 있는지 확인하고, RDP를 사용할 경우 적절히 사용자 인증되는지도 확인한다. 그렇지 않은 경우, 이 프로토콜이 네트워크를 통해서 전파하지 못하도록 기능을 제한한다.
▲ 일반 사항
감염된 경우, 요구하는 돈을 지불하지 않는다.
신뢰할 수 있는 조직에게 침입 사실을 알리고, 공격에 대한 진단, 억제, 해결을 돕는 커뮤니티를 적극 지원해야 한다.
페트야 랜섬웨어의 경우 해커와 복호화 협상의 유일한 통로인 메일조차 서비스 업체가 블록한 상태라 복구가 매우 어려운 상황이다. 따라서 조치를 통해 사전에 걸리지 않는 것이 가장 중요한 상황이다. /mcadoo@osen.co.kr
