안랩 랜섬웨어 보안센터

안랩은 랜섬웨어로부터 여러분을 보호합니다.

안랩은 급증하는 신·변종 랜섬웨어의 피해를 최소화하기 위해 컨설팅과 전문 서비스, 다양한 솔루션들이 상호운영되는 멀티레이어드(Multi-Layered) 대응 역량을 제공합니다.

랜섬웨어 최신 동향

귀신 랜섬웨어 공격자의 침투 및 배포 방법
국내 기업을 노리는 귀신(Gwisin) 랜섬웨어의 공격 활동이 지속되는 가운데, 안랩은 공격 동향과 사례들을 면밀하게 분석하고 있습니다. 최근 공격자가 외부에 공개되어 있는 피해 업체의 서버에 침투한 후, 해당 서버를 거점으로 내부 인프라에 랜섬웨어를 배포하는 방식을 사용하는 것을 확인했으며, 자세한 분석 내용을 공개했습니다.

안랩은 지속적으로 귀신 랜섬웨어를 모니터링 및 대응하고 있으며, ASEC 블로그 등 자사가 보유한 다양한 채널을 통해 신속하게 상세한 내용을 공유하는 등 피해 방지를 위해 노력하고 있습니다.
자세히 보기

개인 사용자 대응 가이드

안랩의 V3 Lite와 V3 365 Clinic은 알려진 랜섬웨어는 최신 시그니처 기반으로, 알려지지 않은 신·변종 랜섬웨어는 앱 격리 검사, 클라우드·행위·평판 기반 탐지 & 진단 등의 기술을 이용해 효과적으로 방어합니다.

V3 Lite / V3 365 Clinic 랜섬웨어 대응 기능

먼저, ‘앱 격리 검사’는 웹 브라우저로부터 새로운 파일이나 실행 파일 등이 다운로드되어 실행될 때, 클라우드 기반 AhnLab Smart Defense(ASD)를 통해 파일을 진단하고 가상 환경으로 격리하여 랜섬웨어인지 여부를 안전하게 검사합니다. 이와 같은 원리로 앱 격리 검사를 사용하면 신·변종 랜섬웨어에 효과적으로 대응하고 피해를 최소화할 수 있습니다.

디코이(Decoy) 파일을 통한 랜섬웨어 진단 기법은 미끼 파일에 대해 암호화, 파일 이름 변경 등을 시도하는 프로그램을 랜섬웨어로 판단하여 차단하는 효과적인 랜섬웨어 방어법입니다. 또, 클라우드·행위·평판 기반 등의 진단 기술을 이용한 탐지 및 차단을 통해서도 사용자를 랜섬웨어로부터 보호합니다.

이와 함께 V3 Lite와 V3 365 Clinic은 주요 데이터 보호를 위한 '랜섬웨어 보안 폴더' 기능을 제공합니다. 랜섬웨어 보안 폴더는 허용하지 않은 의심 프로세스가 랜섬웨어 보안 폴더에 접근하는 경우, 해당 접근을 차단하여 폴더를 보호하는 기능입니다. 랜섬웨어 보안 폴더로 지정할 경우, 해당 폴더에는 허용된 프로세스 이외에는 접근이 불가능하며, 중요 자료들을 랜섬웨어로부터 생성, 수정 및 삭제되지 않도록 보호할 수 있습니다.

랜섬웨어 대응을 위한 V3 환경 설정 방법

V3를 활용해 랜섬웨어에 효과적으로 대응하려면, 아래와 같이 환경 설정을 해주시기 바랍니다.

기업 사용자 보안 전략

안랩은 네트워크, 이메일, 엔드포인트 등 랜섬웨어가 공격 과정에서 거치는 모든 구간에서 유기적이고 자동화된 대응 체계를 제공합니다. 다음은 공격 구간 별 안랩의 보안 솔루션과 역할을 정리한 것입니다.

네트워크

네트워크 구간에서는 차세대 방화벽 AhnLab TrusGuard가 랜섬웨어 다운로드 가능성이 높은 IP나 웹사이트에 대해서 실시간으로 차단하는 기능을 제공하며, 외부에서 내부의 중요 자산에 대한 IP, 포트(Port) 접근을 차단하는 역할도 담당합니다.

침입탐지시스템 AhnLab AIPS는 외부에서 시도하는 스캔 공격을 탐지하고, 감염 PC에서 네트워크 취약점 공격을 통해 주요 서버로 확산을 시도하는 공격을 방어합니다. 이를 통해서 감염이 의심되는 PC 정보도 탐지할 수 있습니다.

APT 솔루션 AhnLab MDS는 네트워크 구간에서 웹, 파일서버, FTP를 통해 이동되는 전체 파일 중, 랜섬웨어를 식별해 분석합니다. 시그니처, 평판 엔진 외에도 샌드박스 엔진으로 알려지지 않은 신·변종 랜섬웨어도 탐지합니다. 인터넷망 백본 외에 주요 서버가 위치한 네트워크 구간도 함께 모니터링 한다면 다양한 프로토콜을 통한 위협을 실시간으로 탐지하고 차단할 수 있습니다.

이메일

AhnLab MDS는 메일 본문 링크와 첨부파일을 검사해 안전한 이메일만 수신될 수 있도록 합니다. 이메일 본문의 링크에 대해 네트워크 의심 행위, IP/도메인 평판 정보, 블랙리스트 및 화이트리스트를 기반으로 전수 분석을 진행하고, 다운로드 링크의 파일에 대해서는 직접 다운로드 후 가상환경에서 샌드박스 분석을 진행합니다.

엔드포인트

AhnLab V3는 기본적으로 알려진 랜섬웨어는 최신 시그니처 기반으로, 알려지지 않은 랜섬웨어는 클라우드·행위·평판 기반의 진단 기술을 이용해 탐지·차단합니다. 더불어 랜섬웨어 대응 특화 기능으로, 앱 격리 검사를 통해 랜섬웨어 의심 프로세스를 로컬 가상 영역 내에서 실행 및 탐지·차단이 가능하며, 랜섬웨어 보안 폴더 설정을 통해 중요 문서의 랜섬웨어 감염·암호화를 방지할 수 있습니다.

백신에서 탐지되지 않는 신·변종 랜섬웨어는 AhnLab MDS가 샌드박스와 머신러닝 엔진으로 분석해 감염 전에 차단합니다. AhnLab EDR은 랜섬웨어 공격 시 공격자가 활용한 전체적인 감염 루트와 잔여 악성코드 여부를 확인하여 최종 대응할 수 있도록 정보를 제공합니다. 확인된 공격 루트와 악성코드 정보는 다양한 솔루션의 차단리스트 기능을 활용하여 실시간 차단되도록 등록하여 관리합니다.

이 밖에, 패치 관리 솔루션 AhnLab EPP Patch Management(EPM)는 최신 보안 패치 유지를 통해 랜섬웨어 감염 가능성을 낮추고 감염 확산을 최소화합니다. 많은 랜섬웨어들이 OS 취약점을 활용해 PC 관리자 권한을 탈취하고, 감염을 확산시키는 것을 고려했을 때 패치 관리 역시 랜섬웨어 보안에 있어 중요한 역할을 합니다.

기타

안랩은 보안 컨설팅을 통해 객관적인 현황 분석을 돕고 보안 담당자의 보안 인식 개선을 위해 여러 콘텐츠와 트레이닝을 지원하고 있습니다. 또한, 안랩의 위협 인텔리전스 플랫폼 AhnLab TIP를 통해 다양한 최신 위협 정보를 제공하고 있습니다.

SMB 맞춤형 대응 방안

중소기업을 향한 랜섬웨어 공격이 날로 늘어가면서 ▲비용 ▲인력 ▲운영 복잡성으로 인한 고민도 깊어지고 있습니다. 안랩은 SaaS 기반 보안 솔루션 AhnLab Office Security를 중심으로 중소기업에 최적화된 랜섬웨어 대응 역량을 제공합니다.

AhnLab Office Security는 기업 내 다양한 기기의 보안 관리를 별도의 관리 서버 구축 없이 쉽고 간편하게 이용할 수 있습니다. 보안 관리 조직이나 담당자가 없는 중소기업에서도 보안 현황을 편리하게 파악하여 관리할 수 있도록 지원합니다. SaaS 기반 매니지먼트로 보안 운영 편의성을 향상시키면서 보안 인프라 구축 비용 부담을 줄여줍니다.

AhnLab Office Security는 중소기업을 위협하는 악성코드 대응 외에도 다양한 랜섬웨어에 대한 새로운 진단 기능을 강화했습니다. 안티 랜섬웨어 기능을 탑재한 앱 격리 검사를 통해 실시간 방역과 중요 폴더 및 파일 보호를 위한 변조/암호화 방지가 가능합니다.

AhnLab SMB Place에서 중소기업 맞춤형 랜섬웨어 대응에 관한 자세한 정보를 확인해 보세요.

랜섬웨어 FAQs

랜섬웨어는 다른 악성코드와 마찬가지로 다양한 방법으로 유포되어 사용자 PC를 감염시킵니다. 주로 악의적으로 제작된 이메일의 첨부파일을 실행하거나 이메일 본문 또는 메신저, SNS 등에 포함된 악성 단축 URL을 클릭했을 때 감염될 수 있습니다. 보안이 취약한 웹사이트 및 커뮤니티의 게시물을 통해 감염되는 사례도 있습니다. 취약점 관리가 잘 되어있는 웹사이트의 경우라도 각 게시물의 상/하/좌/우에 위치한 광고 배너가 보안에 취약하여 랜섬웨어에 감염되는 경우도 있습니다. 이 밖에도 토렌트 등 파일 공유 사이트를 통해 랜섬웨어가 유포되고 있습니다. 다른 악성코드와 마찬가지로 랜섬웨어도 OS나 프로그램의 취약점을 이용하기 때문에 랜섬웨어 감염을 예방하기 위해서는 평소 OS나 주요 프로그램의 최신 보안 업데이트를 적용하는 것이 바람직합니다.
랜섬웨어에 감염되면 문서 파일이나 사진, 그림 파일, 음악 파일, 동영상 파일들이 읽을 수 없게 되거나 열리지 않습니다. 파일 내용이나 파일명, 파일 확장자가 바뀌거나 확장자 뒤에 특정 확장자를 추가해 파일이 암호화 되었음을 드러내기도 합니다. 파일들을 암호화한 후에는 PC 화면에 메시지 창을 띄워 사용자의 자료가 암호화 되었음을 알리고, 이를 해제하기 위한 몸값과 몸값을 지불할 수 있는 방법 등을 보여줍니다. 이 메시지 창은 대부분 암호화된 폴더나 바탕화면을 통해 보여주거나, 사용자가 PC를 부팅할 때마다 나타나도록 시작 프로그램에 등록됩니다. 이 밖에도 랜섬웨어 제작자의 의도에 따라 네트워크 접속을 통해 공격자의 명령을 수신하거나 윈도우 백업 서비스를 강제로 종료하는 등의 동작을 수행하기도 합니다.
랜섬웨어 감염이 의심되실 경우, 즉시 공유폴더, USB나 외장하드 등 외부 저장장치와의 연결을 해제하시기 바랍니다. 아직 랜섬웨어가 암호화를 진행 중이라면 감염된 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문입니다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있습니다. 그 다음으로는 안랩 등 신뢰할 수 있는 보안 회사의 홈페이지 등을 통해 감염된 랜섬웨어에 대한 복구툴이 있는지 확인해보시기 바랍니다. 랜섬웨어에 감염된 것을 인지하신 후 당황하여 PC의 전원을 끄지 않도록 주의하시기 바랍니다. 일부 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 PC의 파일들을 삭제합니다. 따라서, 감염 알림창에 나타난 메시지를 주의 깊게 살펴보고 감염된 랜섬웨어가 무엇인지 파악한 후, 신뢰할 수 있는 보안 업체에서 제공하는 복구툴이 있는지 알아보는 것이 바람직합니다.
랜섬웨어 공격 빈도는 줄어 들었으나 기법이 고도화 되면서 피해 규모는 커지고 있습니다. 공격 조직들은 무차별적인 랜섬웨어 유포로 몸값을 받아내는 고전적인 전략을 벗어나, 가치 있는 정보를 보유한 기업을 타깃해 주요 정보를 탈취하고 금전도 노리는 방식을 취하기 시작했습니다.
악성 이메일을 통한 정보탈취 악성코드가 여러 기업과 기관을 대상으로 유포되고 있습니다. 일정 규모 이상의 조직들에 대해서는 이미 내부 IT 인프라 분석과 공격 사전 작업이 상당히 진행되었을 가능성이 있습니다. 실제, 안랩이 진행한 주요 시스템 분석 과정에서 최종 랜섬웨어 공격 발생 전 단계까지 진행된 케이스가 보고된 경우도 있습니다.
현재의 고도화된 랜섬웨어 공격은 견고한 방어 체계를 통해 위협을 ‘최소화’한다는 관점으로 접근해야 합니다. 이를 위해서는 준비(prepare), 예방(prevent), 탐지(detect), 완화(mitigate), 복구(recover), 5단계에 맞는 정책, 프로세스, 툴 등 대응 전략을 갖춰야 합니다. 또, 네트워크, 이메일, 엔드포인트 각 구간별 운영 중인 솔루션 정책 최적화를 통해 위협을 최소화할 수 있습니다.
견고한 보안 체계를 수립한다면 랜섬웨어 감염 가능성을 최소화할 수 있으나, 어떤 솔루션도 100% 랜섬웨어 예방을 보장할 수는 없습니다. 가장 효과적인 방법은 주요 자산부터 우선순위를 정해 최적화된 보안 정책, 솔루션, 인력 운영을 바탕으로 영역별 위험성을 최소화하고 취약한 부분을 지속적으로 점검해 업데이트 하는 것입니다.
파일 서버 보안은 크게 두 가지를 검토해야 합니다. 먼저, 파일 서버로 침투해 내부 데이터를 탈취하는 경우, 접근 통제와 권한 관리가 기본이며 추가로 지능형지속위협(APT) 솔루션의 취약점 스캔을 활용해 접근 시도를 탐지할 수 있습니다. 서버 저장 파일에 악성코드를 심어 감염 확산을 시도하는 경우, APT 솔루션의 미러링 방식을 통해 저장 및 다운로드 되는 파일을 실시간으로 검사하고 알람을 확인해 대응할 수 있습니다.
안랩의 경우, 안티 멀웨어 솔루션 V3와 APT 솔루션 AhnLab MDS를 통해 파일리스 랜섬웨어 탐지 및 차단 방안을 제공합니다. 최근 발견되는 파일리스 랜섬웨어는 공격 경로를 확대해 나가는 모습을 보이고 있습니다. 일례로, 매그니베르 랜섬웨어는 기존 인터넷 익스플로러 뿐만 아니라 크롬과 엣지까지 공격에 활용하는 것으로 파악됐습니다. 효과적인 대응을 위해서는 솔루션의 최신 엔진 업데이트 및 행위분석 엔진 활성화가 필요합니다.
망분리 환경도 100% 안전하다고 보기는 어렵습니다. 망연계 솔루션 간 이동되는 파일을 통해 내부망 환경에서 랜섬웨어에 감염된 사례도 있습니다. 내부망 보안 강화를 위해 안랩은 망연계 솔루션과 APT 솔루션 AhnLab MDS 연동을 통해 내부망으로 이동되는 파일을 전수 검사하여 안전한 파일만 망간 이동하게 합니다. 또, MDS 에이전트를 내부망 PC에 설치해 사용자 PC에서 실행되는 의심 파일 및 문서를 가상환경에서 추가 분석 후 안전한 파일만 실행되도록 합니다.
재택근무 시 사용하는 PC에 대해 기업 내부 PC와 유사한 수준의 보안성을 유지해야 합니다. 기본적으로 백신을 설치해 업데이트를 최신 상태로 유지하고 VPN 인증 시 계정 및 패스워드 방식 외에 추가 인증 활용이 필요합니다. 안랩의 경우, 엔드포인트 보안 플랫폼(EPP)와 VPN 솔루션을 연동하여 PC의 악성코드 감염여부 등 보안 상태를 실시간 체크하는 솔루션도 제공하고 있습니다.
랜섬웨어 공격 시 치명적인 피해를 줄 수 있는 자산부터 우선순위를 정해 백업 정책을 운영해야 합니다. 세부 정책 운영 방안은 컨설팅을 통해 확인하는 것이 효율적입니다. 운영체제(OS)를 상이하게 하는 것도 랜섬웨어 피해를 줄이는데 도움이 됩니다. 다만 일반 PC는 윈도우, 백업 서버는 리눅스 환경이라 해도 상시연결(mount) 되는 상태라면, 랜섬웨어 동작 시 백업 서버 파일도 암호화됩니다. 따라서, 백업이 필요한 시점에만 시스템 간 접근이 이루어지도록 관리해야 합니다.
안랩은 특정 영역에만 특화된 보안 기업들과는 달리 랜섬웨어 공격이 시도되는 모든 영역에서 정보를 수집하고 대응할 수 있는 인프라를 갖추고 있습니다. 이를 바탕으로 엔드포인트, 네트워크, 이메일까지, 넓은 영역에서 통합 보안 솔루션 체계를 제공합니다. 또한, 전문 분석가가 진행하는 보안관제, 악성코드 분석 서비스 및 포렌직(forensic)에서 수집된 데이터를 기반으로 공격을 실시간 차단하는 클라우드 데이터베이스 인프라와 솔루션별 엔진을 배포합니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기