Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

MS, 기업용 윈도10 OS에 새로운 보안 기능 탑재

(지디넷코리아=임민철 기자)최신 윈도 운영체제(OS)가 랜섬웨어 방어 기능을 품었다. 마이크로소프트(MS)가 기업용 윈도10 내장형 보안 소프트웨어(SW) 역할을 확대한 결과다. 보안 강화를 원하는 기업 시장에서 윈도10 확산 촉매로 작용할지 주목된다.

기업용 윈도10의 자체 보안 기능 강화는 차세대 OS 도입을 고려할 때 보안 문제를 우려하는 기업 시장에 긍정적으로 해석될 수 있다. 동시에 윈도10용 엔드포인트 보안 제품을 공급하는 서드파티 보안 솔루션 회사들의 역할을 빼앗을 가능성도 엿보인다.


 

방문자가 많은 인기 웹사이트의 배너광고에 랜섬웨어를 심어 보안에 취약한 PC나 노트북이 해당 사이트에 방문하기만해도 감염되는 사례들이 속출하고 있다.

■ 백신 담 넘은 랜섬웨어 잡는다

MS 윈도디펜더ATP 리서치팀의 멤버 토미 블리자드는 지난달말 맬웨어프로텍션센터 블로그 포스팅을 통해 윈도10용 보안SW의 랜섬웨어 방어 기능을 소개했다. 안티바이러스 제품으로 알려진 '윈도디펜더ATP'로 랜섬웨어 대응까지 할 수 있게 됐다는 설명이었다.

[☞참조링크: Averting ransomware epidemics in corporate networks with Windows Defender ATP]

블리자드는 포스팅에 이메일과 웹이 주된 랜섬웨어 전달 통로라는 점을 지적했다. 랜섬웨어 공격자는 이런 수단을 통해 광범위하게 랜섬웨어 공격을 수행한다고 진단했다. 다른 사이버공격 그룹과 달리, 일반적인 랜섬웨어 공격자의 전술은 개별 조직 맞춤형이 아니라고 평했다.



 

 기업 엔드포인트 환경에 가장 많이 침입한 랜섬웨어 군집별 비율. 케르베르 랜섬웨어가 가장 높다. [자료=마이크로소프트]

랜섬웨어 공격이 개별 조직 맞춤형보다는 불특정 다수를 겨냥하고 있다면, 그 표적의 공통분모가 되는 환경의 보안을 강화하는 걸로 잠재적 피해 규모를 줄일 수 있다. MS가 본 랜섬웨어 표적 최대 공통분모는 '윈도' 환경이므로, 윈도 보안 강화는 피해 감축으로 연결될 수 있다.

MS는 랜섬웨어 공격 방식을 여러 단계별 동작으로 나누고, 각 동작을 탐지 및 차단하는 형태로 랜섬웨어 피해를 막을 수 있다고 봤다. 랜섬웨어는 사용자 데이터 훼손 후 금품을 요구하는 걸 목표로 삼는다. 데이터를 다루는 기본 환경인 OS의 보안이 최종 방어선 성격을 띤다.

지금도 사용자 기기에 백신과 같은 엔드포인트 보안SW가 설치돼 있다면 사용자가 랜섬웨어를 내려받지 못하게 막아 준다. 하지만 MSOS 수준에서 이미 사용자가 내려받은 랜섬웨어의 동작을 탐지 및 차단하거나, 최소한 그걸 도울 수 있는 역할을 해야 한다는 입장이다.

인용된 블로그 포스팅에도 이런 MS의 구상이 담겼다. 블리자드가 작성한 영어 포스팅 일부를 한국어로 옮기면 아래와 같다.

"엔드포인트 보안SW가 랜섬웨어를 막는 데 실패한 '침입 후' 또는 '감염 후' 단계에도 기업은 포괄적인 대응수단 정보를 제공하는 '침입 후' 탐지 솔루션의 도움을 얻고, 서둘러 그런 대응수단을 활용하는 조사에 나설 수 있다. …(중략)… 윈도디펜더ATP로 기업은 이런 최초 사례를 빠르게 식별하고 조사할 수 있고, 대응수단 정보를 포착해 더 광범위한 네트워크를 선제적으로 보호할 수 있다."

■윈도10 내장 보안툴, 침입 단계별 유해동작 탐지

블리자드는 포스팅의 이어지는 내용으로 윈도디펜더ATP에 탑재된 랜섬웨어 탐지 및 차단 기술이 어떻게 동작하는지 소개했다. 유명 랜섬웨어 군집인 '케르베르(Cerber)'의 동작을 어떻게 탐지하고 차단하는지 등을 설명한 것이다.


 

랜섬웨어 공격 진행 단계 중 파워셸 명령어 실행을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

케르베르 랜섬웨어 감염 시나리오는 사용자 PC의 웹메일 클라이언트를 통해 '다운로드' 폴더에 문서 파일을 내려받는 것으로 시작된다. 사용자가 이 문서를 열고 삽입된 매크로 기능 실행을 허용하면, 윈도 내장 명령줄 도구 파워셸(Powershell)이 열린다.

파워셸 명령어를 통해 다른 랜섬웨어 공격 구성요소들이 PC에 추가로 전달된다. 윈도디펜더ATP는 이 파워셸 명령어를 탐지해낸다. 그리고 랜섬웨어 공격 과정에 익명 인터넷 '토르(TOR)'에 연결된 파워셸 명령어 스크립트가 내려받아 실행될 때 경고를 띄운다.

보안대응센터(SOC) 담당자가 이런 경고 표시를 통해 접속이 수행된 소스IP를 파악하고 방화벽에 이 IP주소 차단 명령을 내려서 다른 기기에 공격용 실행파일 다운로드로 이어지는 상황을 막을 수 있다.

임시저장(Temp) 디렉토리에 공격용 파일이 다운로드 되더라도, 그 실행 과정을 막을 수 있다. 실행파일은 cmd.exe 프로세스로 동작한다. 이어 자신을 '사용자(Users)' 폴더에 복사해 스스로 실행한다. 윈도디펜더ATP에 탑재된 머신러닝알고리즘이 이런 동작을 탐지해 막는다.

케르베르 랜섬웨어는 사용자 PC의 시스템복구지점과 모든 볼륨(volume, 파일 저장구획 단위)을 삭제해 사용자 스스로 파일을 되살릴 수 없게 만든다. 이 동작 역시 윈도디펜더ATP가 탐지해낸다.


 

 윈도 시스템 복구 영역 데이터를 없애려는 랜섬웨어 악성코드 동작을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

■윈도디펜더ATP, 기업보안담당자 이렇게 돕는다

블리자드의 포스팅을 통해 MS가 주장한 윈도디펜더ATP의 랜섬웨어 대응 기술이 기업에 제공하는 이점은 다음 몇 가지로 요약된다.

우선 앞서 설명한 방식으로 감염 과정에서 적어도 4번에 걸친 경고를 띄워 대응 기회를 만들어 준다. 그리고 케르베르 랜섬웨의 다양한 버전, 샘플, 감염 인스턴스의 기술 구성이 바뀌더라도 이를 찾아내는 데 도움이 된다.

SOC 담당자는 윈도디펜더ATP가 제공한 여러 번의 공격 단계별 경고와 같은 맥락형 정보를 활용해, 대상 시스템을 조사하거나 전체 조직의 엔드포인트 기기를 아우르는 상황 파악에 나설 수 있다.

또 공격 목적을 달성한 랜섬웨어가 없었더라도 윈도디펜더ATP 콘솔 안에서 파일 및 네트워크 활동 정보로 결정적인 단서를 얻을 수 있다.

MS 측이 예로 든 공격 시나리오의 케르베르 랜섬웨어는 hjtudhb67.exe 실행파일을 추가로 내려받았는데, 윈도디펜더ATP 콘솔은 이름이 같은 다른 파일을 23건 찾아냈다. 이 파일은 한순간에 모두 내려받은 게 아니었다. 대략 10일간 해당 조직의 여러 기기에 걸쳐 생성됐다.

MS는 공격용 실행파일을 제공한 소스IP를 조사해 그 IP주소에 연결된 기기 10대를 찾아냈다. 기업 방화벽에서 해당 소스IP를 차단하면 이 케르베르 랜섬웨어 공격용 실행파일이 다른 기기로 옮아 가는 시도를 막을 수 있다고 설명했다.

MS는 윈도디펜더ATP가 기업의 SOC 담당자에게 랜섬웨어 감염 후 탐지 및 차단, 피해 확산 방지를 위한 조사 등의 활동을 돕는다고 강조했다. 악성활동 신호를 탐색하고 수집하는 MS의 클라우드애널리틱스가 이런 기술을 실현해 줬다고 덧붙였다.

MS는 오는 4월 출시를 예고한 윈도10 크리에이터스업데이트를 통해 윈도디펜더ATP 보안 기능이 한층 강화될 것이라고 예고하기도 했다. 감염된 기기의 네트워크 절체(isolation), 공격용 실행파일 격리 등 역시 사이버침해 발생 이후 대응 단계가 더 추가될 예정이다.

임민철 기자(imc@zdnet.co.kr)


http://news.naver.com/main/ranking/read.nhn?mid=etc&sid1=111&rankingType=popular_day&oid=092&aid=0002111125&date=20170207&type=1&rankingSectionId=105&rankingSeq=16



자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

계담술

2017.02.08 09:44
가입일: 2019:08.01
총 게시물수: 0
총 댓글수: 149

유용한 정보 업 하시느라 수고 하셨습니다.


profile

Bobono

2017.02.08 12:14
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

유용한 정보 고맙습니다.

profile

shaula

2017.02.08 20:39
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

여러가지 방패가 등장하는군요...ㅎ

profile

블루라운드

2017.02.08 22:20
가입일:
총 게시물수: 2
총 댓글수: 151

감사합니다.

profile

무무심

2017.02.08 22:51
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다

profile

프리네

2017.02.09 06:51
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

OS 차원에서 지원해주면 더욱 좋을듯 한데...

profile

정보아주

2017.02.09 23:38
가입일:
총 게시물수: 0
총 댓글수: 177

감사합니다.

profile

홀로선비

2017.02.10 09:45
가입일: 2015:11.27
총 게시물수: 47
총 댓글수: 514

정보 감사합니다...정말 막아줬음 좋겠네요 ㅎ


profile

무정

2017.02.10 17:30
가입일: 2015:12.02
총 게시물수: 71
총 댓글수: 1167

여타백신 설치하지 않고 윈도우디펜더만을 사용중.. 아직까지는 무슨 문제점이 보인적은 없었습니다.

윈도우 디펜더만으로도 걸러주는게 귀찮을정도로 많더군요.


어줍짢은 백신 주저리주저리 깔아봤자...특히 블루, 그린 스크린 제조기 안랩은...

차라리 없는게 훨씬더 쾌적하고 효율적입니다.


바이러스 진흙탕속을 누비시는 분들이야 물론 다른 대비책을 갖추셔야 하겠지만...

일반적인 사용자의 입장에서...


profile

가리안

2017.02.13 21:38
가입일: 2019:09.21
총 게시물수: 0
총 댓글수: 12

백신이나 랜섬웨어 대응프로그램 대응업체 죽을 맛이겠어요.....

역시 모든것은 초기에 한분들만 이득보는군요....


profile

쿨가이69

2017.02.14 15:29
가입일:
총 게시물수: 0
총 댓글수: 217

암튼 조심하는것밖에 답이 없네요..

profile

짜가

2017.02.15 08:36
가입일: 2018:12.13
총 게시물수: 6
총 댓글수: 339

백업만이 정답인거 같읍니다

profile

쪼쪼

2017.02.15 15:01
가입일: 2017:02.15
총 게시물수: 9
총 댓글수: 325

백신에 의지하지 않고 주기적으로 백업해야겠네요

profile

동방오타

2017.02.16 08:41
가입일:
총 게시물수: 0
총 댓글수: 35

고맙습니다. ^^;

profile

Oiff

2017.02.23 09:36
가입일: 2018:12.24
총 게시물수: 2
총 댓글수: 313

감사합니다.

profile

멘소레담

2017.03.03 21:32
가입일: 2018:10.17
총 게시물수: 0
총 댓글수: 24

정보 감사합니다~~

profile

sonagisky

2017.03.07 17:02
가입일: 2019:09.24
총 게시물수: 3
총 댓글수: 190

유익한 정보 감사합니다. ^^*

profile

발자국

2017.03.27 06:58
가입일: 2018:10.16
총 게시물수: 40
총 댓글수: 1086

유용한 정보 고맙습니다.

막아두었는데  다시풀어 주어야 겠습니다.

profile

hallasan

2017.04.09 20:49
가입일:
총 게시물수: 0
총 댓글수: 375
감사합니다.
profile

pavkim

2017.04.26 01:19
가입일:
총 게시물수: 6
총 댓글수: 1256

일주일에 한번씩 백업해야겠네요

profile

남자의공간

2017.05.16 18:24
가입일: 2019:06.26
총 게시물수: 7
총 댓글수: 58

불안해서 컴 켜기도 무섭군요

profile

웃기는놈

2017.05.26 23:45
가입일: 2017:05.13
총 게시물수: 16
총 댓글수: 2192

좋은 정보 감사합니다

profile

concentric

2017.07.03 08:34
가입일: 2015:12.02
총 게시물수: 11
총 댓글수: 478

소식 감사합니다

profile

북경반점

2017.07.30 16:18
가입일: 2017:05.31
총 게시물수: 3
총 댓글수: 169

좋은 정보 잘 읽었습니다

profile

대공

2017.09.02 15:26
가입일: 2018:11.01
총 게시물수: 26
총 댓글수: 1150

읽었습니다

profile

세계일주

2017.09.29 14:11
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

감사합니다

profile

화기장

2017.09.29 21:36
가입일:
총 게시물수: 0
총 댓글수: 180

감사합니다.

profile

까리뚜마

2017.10.03 03:38
가입일:
총 게시물수: 0
총 댓글수: 441

정보 감사

profile

덕애

2017.10.12 23:49
가입일: 2017:10.12
총 게시물수: 51
총 댓글수: 343

정보 감사합니다.

profile

호두깍정이

2017.10.14 09:59
가입일:
총 게시물수: 4
총 댓글수: 179

워디 겁나서 컴퓨터를 사용하겠습니까

이런 좋은 정보를 접할때마다 가심이 두근 거려요

사람들의 머리가 참으로다가 대단들 합니다...^.^*

profile

이담

2017.10.21 11:33
가입일:
총 게시물수: 2
총 댓글수: 485

       ^^          

유용한 정보 고맙습니다.

profile

YeeF

2017.12.28 21:13
가입일: 2017:12.27
총 게시물수: 1
총 댓글수: 92

결국 랜섬웨어가 침입 못하는 AI 로 사건의 지평선을 넘어선다


List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 704
145 보안 소식 진화하는 '한국 맞춤형' 랜섬웨어.. 교육 일정표 위장한 '비너스락커' 변종 국내서 발견 + 8 j1159 02-20 362
144 보안 소식 암호화 랜섬웨어 75%, 러시아권 범죄조직서 배포 + 12 쪼쪼 02-17 338
143 보안 소식 자연스런 '한글 이메일'…신종 랜섬웨어 '비너스락커' 주의보 + 14 크로커스 02-14 497
» 보안 소식 백신이 못 막는 랜섬웨어, 윈도가 막나 + 32 크로커스 02-08 1156
141 보안 소식 원조 해커는 전기기차 속도를 높이려는 모범생이었다 + 13 구름 02-03 607
140 보안 소식 일반 사용자들이 꼭 실천해야 할 보안 관련 팁 9가지 + 18 구름 02-01 601
139 보안 자료 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 + 27 크로커스 01-31 926
138 일반 “사람 속이는 방법도 가지 가지”… 설연휴, 보안사고 대응 어떻게? file + 15 Op 01-27 586
137 바이러스 슈퍼마리오 런, 악성코드 런? + 11 Op 01-27 439
136 보안 소식 '북한민주화' 한글문서, 열람 시 악성코드 감염 + 10 크로커스 01-26 447
135 보안 소식 미국 동부 인터넷 마비 시킨 ‘미라이’ 악성 파일, 국내서도 발견 + 12 크로커스 01-25 417
134 보안 소식 확장자 숨겨 악성 파일 클릭 유도 메일 유포중…랜섬웨어 피해 주의 + 17 크로커스 01-20 568
133 보안 소식 로그인 하기 전에 주소 확인 하셨나요? + 17 크로커스 01-19 478
132 보안 소식 [긴급] 블로거 노린 대규모 피싱 공격 발생...초상권 침해 항의 메일 조심! + 15 크로커스 01-18 379
131 보안 소식 차기 인증 방식으로 떠오르는 이중 인증이란 + 8 크로커스 01-18 494
130 보안 소식 성공가도 달리는 랜섬웨어의 본질은 “속도전” + 7 크로커스 01-18 284
129 보안 소식 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 + 13 크로커스 01-10 1819
128 보안 소식 지갑 열기 위한 랜섬웨어의 또 다른 진화, 독스웨어 file + 11 따봉 01-05 469
127 보안 소식 비트코인 대신 다른 인질을 달라는 랜섬웨어 + 7 크로커스 01-05 554
126 보안 소식 1월 ‘위조 WhatsApp 알림메시지·발렌타인데이 선물’ 위장 스팸 많아 file + 7 따봉 01-04 256
125 보안 소식 구글 서비스 위장한 스파이앱, 기업 임직원 노린다 file + 6 따봉 01-04 226
124 보안 소식 왓츠앱 통한 멀웨어 공격, 인도가 첫 스타트 끊어 file + 6 따봉 01-04 212
123 보안 소식 2017년 해킹을 일반인에게 이해시켜야 할지도 모르는 해 file + 7 따봉 01-04 172
122 보안 소식 새해맞이 보안 강화 결심이 작심삼일로 그치지 않으려면 file + 5 따봉 01-04 114
121 보안 소식 씁쓸하고 치밀하新 해커들: 2017년 보안 위협 전망 file + 5 따봉 01-04 96