사이버다임은 지난 2월 문서중앙화 도입 고객사 7여 곳이 데이터를 암호화해 금전을 요구하는 랜섬웨어 공격을 받았으나 피해는 없었다고 밝혔다. 고객사를 공격한 랜섬웨어는 지난해 유통 기업을 공격해 유명해진 ‘클롭’(CLOP)’과 메그니베르(Magniber) 변종 랜섬웨어로, 재택근무 중인 직원의 PC에 침입해 서버 확산을 시도했다.
고객사 측은 랜섬웨어의 서버 공격이 확인됐고 문서가 암호화로 변형됐지만, 사이버다임 문서중앙화로 업무 환경을 정상화할 수 있었다고 전했다.
사이버다임 관계자는 "사용자 PC로 AD(Active Directory) 서버 관리 권한을 탈취한 후 기업 내 다수의 시스템을 공격하는 클롭과 인터넷 익스플로러(IE)나 크롬의 프로세스를 통해 감염시키는 메그니베르 변종 랜섬웨어가 문서중앙화 서버까지 침투해 서버에 보관된 문서들을 암호화시켰다. 그러나 랜섬웨어가 암호화시킨 문서는 모두 서버에 신규 파일로 등록돼 원본 문서 훼손 없이 곧바로 정상 업무 환경으로 되돌아올 수 있었다"고 설명했다.
또 사이버다임은 문서중앙화솔루션인 '데스티니ECM'과 '클라우디움'이 랜섬웨어 공격에 대응하는 방안으로 작용됐다고 밝혔다. 가상 드라이브 기반 문서중앙화 시스템은 서버 저장소에 보관된 문서 파일을 사전 승인된 응용프로그램만 응용프로그램 인터페이스(API)에 접근할 수 있어 실행 파일 형식의 랜섬웨어가 의도치 않게 실행된다 하더라도 승인된 프로세스가 아니기에 공격자 임의의 암호화를 방지할 수 있다.
랜섬웨어는 사이버다임이 제공하는 API를 알 수 없을 뿐만 아니라 서버 저장소 내 파일을 직접 수정하는 클라이언트 단 API가 없어 원본 파일의 임의 변조를 방지할 수 있다. 랜섬웨어에 감염된 PC에서 서버의 파일을 다운로드 받아 조회하는 과정에서 감염될 때도 해당 파일은 조회용으로 인식, 서버에 저장되지 않고, PC의 임시 영역에서 즉시 삭제 처리돼 원본 파일의 안전성을 지킬 수 있다.
사이버다임 관계자는 “일부 고객사의 경우 랜섬웨어에 감염된 경로 및 경위에 대해 파악이 어려웠다. 신·변종 랜섬웨어 위협에 대응하려면 허용되지 않는 외부 접근을 차단하고 파일 원본을 보호할 수 있는 문서 보안 기반을 사전에 마련해야 한다"고 말했다.
