이셋코리아가 최근 급증하는 랜섬웨어 피해를 효과적으로 예방하기 위한 랜섬웨어 감염수칙을 공개하며 사용자의 주의를 당부했다.
랜섬웨어는 컴퓨터 또는 컴퓨터 내의 파일을 사용할 수 없도록 만든 후 피해자에게 몸값을 요구하는 악성코드다. 기업 또는 개인들로부터 돈을 갈취하기 위한 가장 효과적인 방법으로 알려져 최근 많이 행해지고 있다.
이셋코리아는 이러한 랜섬웨어의 피해를 예방하기 위해 ▲데이터 백업 ▲최신 SW 사용 ▲신뢰성 높은 보안 제품 사용 ▲MS오피스 파일 매크로 비활성화 ▲파일의 숨겨진 확장자 표시 ▲이메일 내 EXE 파일 차단 ▲윈도 앱데이터(AppData)/로컬앱데이터(LocalAppData) 폴더 내 파일 실행 금지 등의 수칙을 지켜야 한다고 밝혔다.
가장 중요한 것은 의도하지 않은 사태에 의해 데이터를 보존하기 위한 데이터의 정기적인 백업이다. 최근에 발견된 많은 랜섬웨어는 외장 드라이브나 네트워크/클라우드 드라이브 등을 포함해 시스템에 매핑된 모든 드라이브 내의 파일들을 암호화한다. 이에 백업 작업 시에만 드라이브를 연결하고 백업이 완료된 후에는 해당 드라이브와의 연결을 끊는 것이 매우 중요하다고 회사 측은 언급했다.
또 악성코드 제작자들이 운영체제나 애플리케이션의 취약점을 자주 이용하기 때문에 사용 중인 SW를 최신 버전으로 유지하는 것도 중요하다. 이러한 경우 악성코드 감염의 가능성을 현저히 줄일 수 있어 사용중인 운영체제와 애플리케이션의 자동 업데이트 기능을 활용하는 것이 좋다.
여기서 한 가지 주의할 점은, SW 업데이트를 가장해 악성코드를 배포하는 경우다. 회사 측은 출처가 불분명한 SW는 사용하지 않아야하며, 윈도 제어판의 프로그램 추가/삭제 기능을 이용해 오래되거나 출처가 불분명한 프로그램들을 모두 삭제하는 것이 좋다고 전했다.
신뢰할 수 있는 보안 제품을 사용하는 것도 중요한 수칙 중 하나다. 안티바이러스와 함께, 위협이나 의심스러운 행동을 식별하는데 도움이 되는 소프트웨어 방화벽을 모두 사용함으로써 보호의 계층을 다중화해야 한다. 다양한 랜섬웨어 감염 및 동작 벡터를 모두 감시할 수 있는 다중 보호 계층 하에서는 랜섬웨어 변형의 실행 감지 및 C&C 서버와의 연결 시도 등을 감지할 수 있기 때문이다.
아울러 파워-쉘을 비롯한 각종 스크립트가 추가적인 파일 실행 등의 동작을 하는 경우 이를 모니터링해 선별할 수 있는 기능도 사용하는 것이 좋다. 다중 보호 계층의 확보가 다소 귀찮은 일이 될 수도 있지만, 랜섬웨어를 비롯한 다양한 종류의 악성코드 감염을 예방하기 위한 가장 경제적이고도 효과적인 방법이라고 회사 측은 강조했다.
또 MS오피스 파일에서 매크로 기능을 비활성화해 스크립트 언어의 사용을 금지하는 것도 필요하다. MS오피스 파일은 일반적인 실행 파일의 수행 가능한 거의 모든 작업을 대신할 수 있는 강력한 스크립트 언어를 지원하는 파일 시스템 내의 또 다른 파일 시스템이기 때문이다.
파일의 숨겨진 확장자를 표시해두는 것도 악성코드를 예방할 수 있는 방법이다. 윈도와 OS X 운영체제는 기본적으로 알려진 확장자를 숨기기 때문에 상대적으로 위험한 확장자의 파일이 비교적 안전한 확장자로 표시될 수 있다. 전체 파일 확장자가 표시되도록 하면 의심스러운 파일 형식을 발견하는 것이 용이하다.
이메일에서 EXE 파일을 차단할 필요도 있다. 첨부된 파일의 확장자에 따라 메일을 차단하는 기능이 있는 게이트웨이 메일 스캐너를 사용 중이라면 EXE 파일을 첨부한 메일을 차단하는 것이 필요하며, 해당 파일의 교환이 필요한 경우에는 미리 약속된 패스워드로 보호된 ‘.ZIP’ 파일로 압축한 후 이메일에 첨부하거나 클라우드로 업로드하는 것이 좋다.
더불어 많은 악성코드들이 앱데이터/로컬앱데이터 폴더에 저장 후 실행되기 때문에, 윈도 접근제어 정책 또는 엔드포인트 보안 SW에서 실행 파일이 실행되지 못하도록 설정하는 것이 필요하다.
만약 앱데이터 영역에서 실행되도록 설정된 합법적인 SW를 사용하고 있다면 해당 SW를 이 규칙에서 제외시켜야 한다.
회사 측은 이외에도 ▲원격 데스크톱 프로토콜(RDP)을 통해 접근하는 랜섬웨어를 막기 위한 RDP 사용 금지 ▲파일 복원 도구 확인 ▲BIOS 시계 이전으로 설정 등을 밝혔다.
특히 랜섬웨어로 의심될 시엔 즉시 시스템을 네트워크에서 분리시켜 C&C 서버와의 통신을 차단해 암호화되는 파일의 개수와 복원 비용을 줄일 수 있도록 해야 한다고 강조했다.
김남욱 이셋코리아 대표는 “사실 랜섬웨어 피해는 정기적인 백업으로 거의 완벽한 복원이 가능하지만, 가정이나 중소기업 등에서는 잘 지켜지지 않는 것이 현실입니다. 수많은 보안제품들이 랜섬웨어를 100% 차단할 수 있다고 주장하는 점도 백업의 중요성을 흐리게 만드는 원인 중 하나일 수 있다”며 “현실적으로 모든 랜섬웨어의 감염과 실행을 100% 막을 수 있는 솔루션은 존재할 수 없으며, 사용자의 적극적인 대응 의지와 함께, 중요한 데이터의 백업 및 예측 가능한 모든 감염 벡터를 모두 감시하는 다중 보호 계층의 확립이 가장 효율적인 대응책이라 볼 수 있다”고 말했다.
