보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

랜섬웨어 피해 예방 위한 최후의 보루 ‘백업’…어떻게 해야 하나

워너크라이 랜섬웨어에 이어 웹호스팅 업체 ‘인터넷나야나’가 지난 10일 ‘에레버스 랜섬웨어’ 공격을 받아 153개 서버에 저장된 정보들이 모두 암호화 되면서 해당 업체에 웹호스팅을 맡겼던 중소기업들의 피해가 심각한 상황이다.

 

이에 한국인터넷진흥원은 최근 기업 및 호스팅업체 서버가 랜섬웨어에 감염돼 큰 피해를 입고 있다. 특히 호스팅 및 클라우드 서버 내 자료들이 랜섬웨어의 주요 공격대상이 되고 있어 각별한 주의가 요구된다고 주의를 당부했다.

 

랜섬웨어(Ransomware)는 ‘몸값’을 뜻하는 영어 단어 'ransom'과 하드웨어 또는 소프트웨어 등을 의미하는 'ware'의 합성어로, ‘파일을 인질로 잡아 몸값을 요구하는 악의적인 소프트웨어’를 의미한다. 즉, PC에 저장된 파일들을 암호화해 사용자가 읽을 수 없는 문자들로 바꿔버린 후, 암호화를 풀어주는(복호화) 대가로 금전(몸값)을 요구하는 악성코드를 통칭해 ‘랜섬웨어’라고 부른다.

 

만약 랜섬웨어에 감염되면 어떻게 대처해야 할까. 이에 대해 안랩 측은 다음과 같이 조언한다.

 

랜섬웨어 감염이 의심될 경우, 즉시 공유폴더, USB나 외장하드 등 외부 저장장치의 연결을 해제해야 한다. 랜섬웨어가 암호화를 진행하고 있는 중이라면 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문이다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있다. 이 정도면 기초적인 조치는 마무리된다. 그리고 컴퓨터의 파일들을 확인해 암호화 여부와 피해 범위를 확인한다. 앞서 설명했듯이 확장명과 바탕화면 변경, 팝업 형태의 감염 메시지 출력이 발생했는지도 확인한다.

 

한편 극히 일부의 랜섬웨어를 제외하면 대부분의 랜섬웨어에 의해 암호화된 파일은 복구가 불가능하다. 현재 안랩을 비롯한 주요 보안 업체에서는 복구 방법이 알려졌거나 구조적으로 취약한 일부 랜섬웨어에 대해 복구 툴을 제공하고 있지만, 사용자들이 많이 감염되는 케르베르(Cerber), 록키(Locky), 워너크립터 등의 랜섬웨어는 복구 툴을 이용한 복구가 불가능하다.

 

따라서 랜섬웨어에 감염되지 않기 위해서는 ‘사전 예방’이 가장 중요하다. 또한 감염되더라도 즉시 데이터를 복구할 수 있도록 주기적으로 데이터를 백업하는 것이 좋다. 지속적으로 유포되는 변종 랜섬웨어의 감염을 예방하기 위해서는 최신 상태의 백신으로 유지하고 윈도우 운영체제, 인터넷 익스플로러, MS 오피스, 자바(JAVA), 플래시 플레이어 등의 최신 보안 패치 업데이트를 모두 적용해야 한다고 강조했다.

 

한국인터넷진흥원도 “랜섬웨어에 감염 되면 자료의 복구가 불가능하므로 백업체계의 구축 및 운영과 보안성 강화가 중요하다”고 말하고 있다.

 

기업들은 자료 백업 관리를 위한 정책 수립, 백업 체계(망구성, 백업절차, 백업매체 등) 등을 구축하고 운영해야 한다. 이를 위해서는 한국정보통신기술협회(TTA)의 정보시스템 백업 지침을 참고하면 된다.

 

또 백업 체계의 보안성 강화를 위해서는 네트워크가 분리된 외부 저장 장치를 이용해 주요 자료 백업 및 별도 보관을 권고한다. 네트워크 연결이 필요할 경우 백업 장비에 대한 접근 통제 등 보안성을 강화해야 한다.

 

한국정보통신기술협회(TTA)의 정보시스템 백업 지침 파일은 데일리시큐 자료실에서 다운로드 가능하다.