정보보안개요 랜섬웨어 해킹 개인정보 유출 사고 보안공격
매그니베르Magniber 랜섬웨어는 2017년에 처음 발견된 악성 소프트웨어로, 주로 한국을 비롯한 동남아시아 지역을 타겟으로 하는 랜섬웨어입니다. 매그니베르 랜섬웨어는 피싱 이메일, 스팸 메시지, 컴퓨터 악성코드 등의 방법을 통해 컴퓨터에 침투하며, 컴퓨터의 파일을 암호화합니다. 이후 해독을 위해 요구출하는 금액을 지불하지 않으면 파일을 복원할 수 없게 됩니다. 특히 매그니베르 랜섬웨어는 과거 랜섬웨어와 달리, 기존의 파일 확장자를 변경하지 않고 원래 파일 확장자를 유지한 채로 파일을 암호화하기 때문에, 사용자들이 랜섬웨어에 감염되었다는 것을 인지하기 어려울 수 있습니다.
또한 매그니베르 랜섬웨어는 암호화에 대한 정보를 포함한 컴퓨터의 MBRMaster Boot Record을 변경하여, 파일 복구 작업 어렵게 만드는 것으로 알려져 있습니다.
알약 공개용 버전 문제
해당 문제에 관하여 이스트 시큐리티는 홈페이지에 알약 공개용 물품 관련 긴급 공지를 통해 사과문을 작성했습니다. 이스트 시큐리티의 공지에서 30일 오전 11시 30분 업데이트된 알약 공개용에서 랜섬웨어 탐지 오류 발생으로 자세한 원인 분석과 긴급 대응을 하고 있다고 밝혔습니다. 오류가 발생한 프로그램은 알약 공개용 버전 v2.5.8.617으로 기업용 제품에는 이상이 없습니다.고 밝혔습니다.
중요 데이터 식별 및 보호
정교한 공격자로부터 보존하는 데 있어 중요한 단계는 중요 데이터를 식별하고 우선순위를 지정하는 것입니다. 개인 데이터, 금융 정보, 비밀번호 및 등등 중요한 자산을 식별하기 위해 완벽한 검사를 수행하면 조직이 가장 중요한 곳에 보안 노력을 집중력을 발휘하는 데 도움이 됩니다. 암호화, 데이터 분류, 액세스 제어와 같은 힘찬 데이터 보호 조치를 구현함으로써 조직은 중요한 정보가 악의적인 공격자의 손에 넘어가지 않도록 보호할 수 있습니다.
랜섬웨어 감염 후 대처 방안
랜섬웨어 감염 확인 파일이 암호화되어 확장자가 변경되거나, 다른 메시지가 표시되면 랜섬웨어에 감염된 것일 수 있습니다. 이 때, 즉시 PC와 네트워크 연결을 끊어야 합니다. 백업된 데이터 복원 감염된 파일을 복구하기 위해서는 백업된 데이터를 사용할 수 있습니다. 백업된 데이터를 복원하고, 최신 파일로 업데이트해야 합니다. 보안 프로그램 실행 랜섬웨어와 같은 악성 코드를 탐지하고 제거하는 보안 소프트웨어를 실행하여 PC를 스캔해야 합니다.
지불하지 않기 랜섬웨어 해커들은 파일을 복구하기 위해 광대한 금액을 요구출하는 경우가 많습니다. 하지만, 지불해도 파일을 복구할 수 없을 가능성이 높으므로 지불하지 않는 것이 좋습니다. 보안 수준 높이기 랜섬웨어와 같은 해킹 공격을 예방하기 위해서는 보안 수준을 높여야 합니다.
공격 과정에서 사용되는 악성코드들
공격자는 여러가지 악성코드들을 감염 시스템에 설치합니다. 설치되는 도구들은 스캐너 및 계정 정보 탈취 기능을 담당하는 도구들이며 대부분 NirSoft 사에서 제작한 것이 특징입니다. 이를 통해 감염 시스템 외에 해당 시스템이 포함된 네트워크도 공격 대상이 될 수 있다는 점을 추정할 수 있어요. 파일명 경로명종류 Table 1. 공격에 사용된 도구들 공격자는 RDP로 시스템을 장악한 이후 위의 도구들을 사용해서 네트워크를 스캐닝하여 감염 시스템이 특정 네트워크에 포함되었는지를 확인할 것입니다.
만약 특정 네트워크에 포함된 경우에는 해당 네트워크에 존재하는 다른 시스템들도 암호화하기 위해 내부 정찰 및 계정 정보 수집 과정을 진행할 수 있어요. 미미카츠는 이같이 과정에서 사용될 수 있으며 수집된 계정 정보를 사용해서 네트워크 내의 다른 시스템들에 측면 이동을 진행할 수 있어요.
개인정보 유출 사고의 재구성
해커가 단순히 홈페이지 서비스를 제공하는 일반적인 웹서버가 아니라 알집 프로그램의 엄데이트를 담당하는 업데이트 서버 공격합니다. 개인정보 탈취
보안공격 1단계 공격자가 업데이트 서버 해킹합니다. 보안공격 2단계 공격자는 정상적인 업데이트 파일을 자신이 만든 좀비PC로 만드는 악성코드에 감염된 파일로 교체합니다. 특정 점은 업데이트 파일을 내려받는 모든 사용자가 대상이 아니라 공격대상으로 삼은 사이트만 대상으로 공격하는 것입니다.
원격 조종으로 DB 계정 정보, 관리자 ID 비밀번호 탈취 보안공격 3단계 습득한 DB 계정 정보를 사용해서 관리자인 것처럼 DB 접근해 고객 정보 해킹을 시도합니다. (대규모 고객 정보 유출 사고) – 업데이트 서버가 해킹된 것은 웹 서버의 기밀성이 손상합니다. – 부적절한 권한을 가진 해커에게 정보 유출된 것도 기밀성 위배됩니다. – 악성코드 파일 교체로 무결성 위배됩니다.
자주 묻는 질문
알약 공개용 버전 문제
해당 문제에 관하여 이스트 시큐리티는 홈페이지에 알약 공개용 물품 관련 긴급 공지를 통해 사과문을 작성했습니다. 자세한 내용은 본문을 참고 해주시기 바랍니다.
중요 데이터 식별 및 보호
정교한 공격자로부터 보존하는 데 있어 중요한 단계는 중요 데이터를 식별하고 우선순위를 지정하는 것입니다. 더 알고싶으시면 본문을 클릭해주세요.
랜섬웨어 감염 후 대처
랜섬웨어 감염 확인 파일이 암호화되어 확장자가 변경되거나, 다른 메시지가 표시되면 랜섬웨어에 감염된 것일 수 있습니다. 궁금한 사항은 본문을 참고하시기 바랍니다.