약 일주일 새 새로운 랜섬웨어가 두 개나 등장했습니다. 마이랜섬(MyRansom, 외국에서는 ‘메그니베르(Magniber)’로 명명)은 케르베르의 변형으로 특히 우리나라를 겨냥했습니다. 유명 저비용항공사의 도메인을 통해 유포되기도 했습니다. 배드래빗(BadRabbit)은 낫페트야와 유사한 수법으로 추정되며, 주로 러시아와 우크라이나에 피해가 발생했습니다.

또, 뱅킹 트로이목마인 로키봇(LokiBot)은 사용자가 삭제하려고 하면 랜섬웨어처럼 변해버립니다. 이런 일을 방지하기 위해 기업 입장에서의 랜섬웨어 대처법 6가지를 알아보았습니다.

01. 일단 최선책은 예방
이미 귀에 못이 박힌 얘기지만 백업을 주기적으로 해놓는 것만큼 좋은 대처법은 없습니다.
중요한 정보만이라도 백업을 해두어야 합니다. 이게 가장 쉽고 안전하며 확실한 방법이죠.

02. 이메일 확인을 철저히
랜섬웨어는 주로 이메일로 전염되는 게 대부분입니다. 하지만 회사가 직원들 한 사람 한 사람의 모니터를 확인할 수는 없죠. 피싱 및 스피어피싱 메일을 걸러주는 기술을 활용해 수상한 메일은 아예 정크 폴더로도 들이지 않도록 정책을 짜는 게 더 안전합니다.

03. 이메일 서버도 보안
수상한 발송자를 확인하면 랜섬웨어를 줄일 수 있지만 이것만으로 충분하진 않을 것입니다.
좀 더 근본 단계인 서버단에서도 보안 조치를 취해야 합니다. 메일 서버를 안전하게 만들어 서버에 저장되어 있고, 서버를 통해 나가고 들어오는 모든 것들을 스캐닝해야 합니다.

04. 광고 블록도 중요
이메일 다음으로 주요 랜섬웨어 배포 통로는 악성 광고, 즉 멀버타이징입니다. 표적 인물을 관찰해 워터링홀 공격과 접목시킬 수도 있습니다. 아예 온라인 광고를 전면차단하는 것도 나쁘지 않은 방법입니다. 그게 어렵다면 네트워크를 분리시켜 광고 차단에 따라 네트워크를 따로 관리하는 것도 괜찮습니다.

05. 파일의 사용내역을 관찰하라
요즘 랜섬웨어는 하드드라이브뿐만 아니라 네트워크를 통해 공유된 파일도 감염시킬 수 있습니다. 파일이 갑자기 빠르게 덮어쓰기되는 등 이상한 사용내역이나 상태를 확인하면 랜섬웨어를 빠르게 탐지할 수 있습니다.

06. 대응 계획은 언제나 구체적이어야
랜섬웨어 감염 시 시간은 정말로 중요한 변수입니다. 공격자는 언제까지 얼마를 입금하도록 시간제한을 두기 때문이죠. 요즘 공격자들은 철저한 계획 하에 ‘이 기업이면 이 정도 금액을 낼 수 있겠다’고 파악합니다. 그렇다면 기업들도 계획을 짜야겠죠. 미리 시나리오를 마련해 그에 대한 대처방법을 훈련해야 합니다.
[유수현 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>