Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

MS, 기업용 윈도10 OS에 새로운 보안 기능 탑재

(지디넷코리아=임민철 기자)최신 윈도 운영체제(OS)가 랜섬웨어 방어 기능을 품었다. 마이크로소프트(MS)가 기업용 윈도10 내장형 보안 소프트웨어(SW) 역할을 확대한 결과다. 보안 강화를 원하는 기업 시장에서 윈도10 확산 촉매로 작용할지 주목된다.

기업용 윈도10의 자체 보안 기능 강화는 차세대 OS 도입을 고려할 때 보안 문제를 우려하는 기업 시장에 긍정적으로 해석될 수 있다. 동시에 윈도10용 엔드포인트 보안 제품을 공급하는 서드파티 보안 솔루션 회사들의 역할을 빼앗을 가능성도 엿보인다.


 

방문자가 많은 인기 웹사이트의 배너광고에 랜섬웨어를 심어 보안에 취약한 PC나 노트북이 해당 사이트에 방문하기만해도 감염되는 사례들이 속출하고 있다.

■ 백신 담 넘은 랜섬웨어 잡는다

MS 윈도디펜더ATP 리서치팀의 멤버 토미 블리자드는 지난달말 맬웨어프로텍션센터 블로그 포스팅을 통해 윈도10용 보안SW의 랜섬웨어 방어 기능을 소개했다. 안티바이러스 제품으로 알려진 '윈도디펜더ATP'로 랜섬웨어 대응까지 할 수 있게 됐다는 설명이었다.

[☞참조링크: Averting ransomware epidemics in corporate networks with Windows Defender ATP]

블리자드는 포스팅에 이메일과 웹이 주된 랜섬웨어 전달 통로라는 점을 지적했다. 랜섬웨어 공격자는 이런 수단을 통해 광범위하게 랜섬웨어 공격을 수행한다고 진단했다. 다른 사이버공격 그룹과 달리, 일반적인 랜섬웨어 공격자의 전술은 개별 조직 맞춤형이 아니라고 평했다.



 

 기업 엔드포인트 환경에 가장 많이 침입한 랜섬웨어 군집별 비율. 케르베르 랜섬웨어가 가장 높다. [자료=마이크로소프트]

랜섬웨어 공격이 개별 조직 맞춤형보다는 불특정 다수를 겨냥하고 있다면, 그 표적의 공통분모가 되는 환경의 보안을 강화하는 걸로 잠재적 피해 규모를 줄일 수 있다. MS가 본 랜섬웨어 표적 최대 공통분모는 '윈도' 환경이므로, 윈도 보안 강화는 피해 감축으로 연결될 수 있다.

MS는 랜섬웨어 공격 방식을 여러 단계별 동작으로 나누고, 각 동작을 탐지 및 차단하는 형태로 랜섬웨어 피해를 막을 수 있다고 봤다. 랜섬웨어는 사용자 데이터 훼손 후 금품을 요구하는 걸 목표로 삼는다. 데이터를 다루는 기본 환경인 OS의 보안이 최종 방어선 성격을 띤다.

지금도 사용자 기기에 백신과 같은 엔드포인트 보안SW가 설치돼 있다면 사용자가 랜섬웨어를 내려받지 못하게 막아 준다. 하지만 MSOS 수준에서 이미 사용자가 내려받은 랜섬웨어의 동작을 탐지 및 차단하거나, 최소한 그걸 도울 수 있는 역할을 해야 한다는 입장이다.

인용된 블로그 포스팅에도 이런 MS의 구상이 담겼다. 블리자드가 작성한 영어 포스팅 일부를 한국어로 옮기면 아래와 같다.

"엔드포인트 보안SW가 랜섬웨어를 막는 데 실패한 '침입 후' 또는 '감염 후' 단계에도 기업은 포괄적인 대응수단 정보를 제공하는 '침입 후' 탐지 솔루션의 도움을 얻고, 서둘러 그런 대응수단을 활용하는 조사에 나설 수 있다. …(중략)… 윈도디펜더ATP로 기업은 이런 최초 사례를 빠르게 식별하고 조사할 수 있고, 대응수단 정보를 포착해 더 광범위한 네트워크를 선제적으로 보호할 수 있다."

■윈도10 내장 보안툴, 침입 단계별 유해동작 탐지

블리자드는 포스팅의 이어지는 내용으로 윈도디펜더ATP에 탑재된 랜섬웨어 탐지 및 차단 기술이 어떻게 동작하는지 소개했다. 유명 랜섬웨어 군집인 '케르베르(Cerber)'의 동작을 어떻게 탐지하고 차단하는지 등을 설명한 것이다.


 

랜섬웨어 공격 진행 단계 중 파워셸 명령어 실행을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

케르베르 랜섬웨어 감염 시나리오는 사용자 PC의 웹메일 클라이언트를 통해 '다운로드' 폴더에 문서 파일을 내려받는 것으로 시작된다. 사용자가 이 문서를 열고 삽입된 매크로 기능 실행을 허용하면, 윈도 내장 명령줄 도구 파워셸(Powershell)이 열린다.

파워셸 명령어를 통해 다른 랜섬웨어 공격 구성요소들이 PC에 추가로 전달된다. 윈도디펜더ATP는 이 파워셸 명령어를 탐지해낸다. 그리고 랜섬웨어 공격 과정에 익명 인터넷 '토르(TOR)'에 연결된 파워셸 명령어 스크립트가 내려받아 실행될 때 경고를 띄운다.

보안대응센터(SOC) 담당자가 이런 경고 표시를 통해 접속이 수행된 소스IP를 파악하고 방화벽에 이 IP주소 차단 명령을 내려서 다른 기기에 공격용 실행파일 다운로드로 이어지는 상황을 막을 수 있다.

임시저장(Temp) 디렉토리에 공격용 파일이 다운로드 되더라도, 그 실행 과정을 막을 수 있다. 실행파일은 cmd.exe 프로세스로 동작한다. 이어 자신을 '사용자(Users)' 폴더에 복사해 스스로 실행한다. 윈도디펜더ATP에 탑재된 머신러닝알고리즘이 이런 동작을 탐지해 막는다.

케르베르 랜섬웨어는 사용자 PC의 시스템복구지점과 모든 볼륨(volume, 파일 저장구획 단위)을 삭제해 사용자 스스로 파일을 되살릴 수 없게 만든다. 이 동작 역시 윈도디펜더ATP가 탐지해낸다.


 

 윈도 시스템 복구 영역 데이터를 없애려는 랜섬웨어 악성코드 동작을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

■윈도디펜더ATP, 기업보안담당자 이렇게 돕는다

블리자드의 포스팅을 통해 MS가 주장한 윈도디펜더ATP의 랜섬웨어 대응 기술이 기업에 제공하는 이점은 다음 몇 가지로 요약된다.

우선 앞서 설명한 방식으로 감염 과정에서 적어도 4번에 걸친 경고를 띄워 대응 기회를 만들어 준다. 그리고 케르베르 랜섬웨의 다양한 버전, 샘플, 감염 인스턴스의 기술 구성이 바뀌더라도 이를 찾아내는 데 도움이 된다.

SOC 담당자는 윈도디펜더ATP가 제공한 여러 번의 공격 단계별 경고와 같은 맥락형 정보를 활용해, 대상 시스템을 조사하거나 전체 조직의 엔드포인트 기기를 아우르는 상황 파악에 나설 수 있다.

또 공격 목적을 달성한 랜섬웨어가 없었더라도 윈도디펜더ATP 콘솔 안에서 파일 및 네트워크 활동 정보로 결정적인 단서를 얻을 수 있다.

MS 측이 예로 든 공격 시나리오의 케르베르 랜섬웨어는 hjtudhb67.exe 실행파일을 추가로 내려받았는데, 윈도디펜더ATP 콘솔은 이름이 같은 다른 파일을 23건 찾아냈다. 이 파일은 한순간에 모두 내려받은 게 아니었다. 대략 10일간 해당 조직의 여러 기기에 걸쳐 생성됐다.

MS는 공격용 실행파일을 제공한 소스IP를 조사해 그 IP주소에 연결된 기기 10대를 찾아냈다. 기업 방화벽에서 해당 소스IP를 차단하면 이 케르베르 랜섬웨어 공격용 실행파일이 다른 기기로 옮아 가는 시도를 막을 수 있다고 설명했다.

MS는 윈도디펜더ATP가 기업의 SOC 담당자에게 랜섬웨어 감염 후 탐지 및 차단, 피해 확산 방지를 위한 조사 등의 활동을 돕는다고 강조했다. 악성활동 신호를 탐색하고 수집하는 MS의 클라우드애널리틱스가 이런 기술을 실현해 줬다고 덧붙였다.

MS는 오는 4월 출시를 예고한 윈도10 크리에이터스업데이트를 통해 윈도디펜더ATP 보안 기능이 한층 강화될 것이라고 예고하기도 했다. 감염된 기기의 네트워크 절체(isolation), 공격용 실행파일 격리 등 역시 사이버침해 발생 이후 대응 단계가 더 추가될 예정이다.

임민철 기자(imc@zdnet.co.kr)


http://news.naver.com/main/ranking/read.nhn?mid=etc&sid1=111&rankingType=popular_day&oid=092&aid=0002111125&date=20170207&type=1&rankingSectionId=105&rankingSeq=16



자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

계담술

2017.02.08 09:44
가입일: 2019:08.01
총 게시물수: 0
총 댓글수: 149

유용한 정보 업 하시느라 수고 하셨습니다.


profile

Bobono

2017.02.08 12:14
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

유용한 정보 고맙습니다.

profile

shaula

2017.02.08 20:39
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

여러가지 방패가 등장하는군요...ㅎ

profile

블루라운드

2017.02.08 22:20
가입일:
총 게시물수: 2
총 댓글수: 151

감사합니다.

profile

무무심

2017.02.08 22:51
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다

profile

프리네

2017.02.09 06:51
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

OS 차원에서 지원해주면 더욱 좋을듯 한데...

profile

정보아주

2017.02.09 23:38
가입일:
총 게시물수: 0
총 댓글수: 177

감사합니다.

profile

홀로선비

2017.02.10 09:45
가입일: 2015:11.27
총 게시물수: 47
총 댓글수: 513

정보 감사합니다...정말 막아줬음 좋겠네요 ㅎ


profile

무정

2017.02.10 17:30
가입일: 2015:12.02
총 게시물수: 71
총 댓글수: 1166

여타백신 설치하지 않고 윈도우디펜더만을 사용중.. 아직까지는 무슨 문제점이 보인적은 없었습니다.

윈도우 디펜더만으로도 걸러주는게 귀찮을정도로 많더군요.


어줍짢은 백신 주저리주저리 깔아봤자...특히 블루, 그린 스크린 제조기 안랩은...

차라리 없는게 훨씬더 쾌적하고 효율적입니다.


바이러스 진흙탕속을 누비시는 분들이야 물론 다른 대비책을 갖추셔야 하겠지만...

일반적인 사용자의 입장에서...


profile

가리안

2017.02.13 21:38
가입일: 2019:09.21
총 게시물수: 0
총 댓글수: 12

백신이나 랜섬웨어 대응프로그램 대응업체 죽을 맛이겠어요.....

역시 모든것은 초기에 한분들만 이득보는군요....


profile

쿨가이69

2017.02.14 15:29
가입일:
총 게시물수: 0
총 댓글수: 217

암튼 조심하는것밖에 답이 없네요..

profile

짜가

2017.02.15 08:36
가입일: 2018:12.13
총 게시물수: 6
총 댓글수: 338

백업만이 정답인거 같읍니다

profile

쪼쪼

2017.02.15 15:01
가입일: 2017:02.15
총 게시물수: 9
총 댓글수: 325

백신에 의지하지 않고 주기적으로 백업해야겠네요

profile

동방오타

2017.02.16 08:41
가입일:
총 게시물수: 0
총 댓글수: 35

고맙습니다. ^^;

profile

Oiff

2017.02.23 09:36
가입일: 2018:12.24
총 게시물수: 2
총 댓글수: 313

감사합니다.

profile

멘소레담

2017.03.03 21:32
가입일: 2018:10.17
총 게시물수: 0
총 댓글수: 24

정보 감사합니다~~

profile

sonagisky

2017.03.07 17:02
가입일: 2019:09.24
총 게시물수: 3
총 댓글수: 190

유익한 정보 감사합니다. ^^*

profile

발자국

2017.03.27 06:58
가입일: 2018:10.16
총 게시물수: 40
총 댓글수: 1086

유용한 정보 고맙습니다.

막아두었는데  다시풀어 주어야 겠습니다.

profile

hallasan

2017.04.09 20:49
가입일:
총 게시물수: 0
총 댓글수: 375
감사합니다.
profile

pavkim

2017.04.26 01:19
가입일:
총 게시물수: 6
총 댓글수: 1256

일주일에 한번씩 백업해야겠네요

profile

남자의공간

2017.05.16 18:24
가입일: 2019:06.26
총 게시물수: 7
총 댓글수: 58

불안해서 컴 켜기도 무섭군요

profile

웃기는놈

2017.05.26 23:45
가입일: 2017:05.13
총 게시물수: 16
총 댓글수: 2192

좋은 정보 감사합니다

profile

concentric

2017.07.03 08:34
가입일: 2015:12.02
총 게시물수: 11
총 댓글수: 478

소식 감사합니다

profile

북경반점

2017.07.30 16:18
가입일: 2017:05.31
총 게시물수: 3
총 댓글수: 169

좋은 정보 잘 읽었습니다

profile

대공

2017.09.02 15:26
가입일: 2018:11.01
총 게시물수: 26
총 댓글수: 1150

읽었습니다

profile

세계일주

2017.09.29 14:11
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

감사합니다

profile

화기장

2017.09.29 21:36
가입일:
총 게시물수: 0
총 댓글수: 180

감사합니다.

profile

까리뚜마

2017.10.03 03:38
가입일:
총 게시물수: 0
총 댓글수: 441

정보 감사

profile

덕애

2017.10.12 23:49
가입일: 2017:10.12
총 게시물수: 51
총 댓글수: 343

정보 감사합니다.

profile

호두깍정이

2017.10.14 09:59
가입일:
총 게시물수: 4
총 댓글수: 179

워디 겁나서 컴퓨터를 사용하겠습니까

이런 좋은 정보를 접할때마다 가심이 두근 거려요

사람들의 머리가 참으로다가 대단들 합니다...^.^*

profile

이담

2017.10.21 11:33
가입일:
총 게시물수: 2
총 댓글수: 485

       ^^          

유용한 정보 고맙습니다.

profile

YeeF

2017.12.28 21:13
가입일: 2017:12.27
총 게시물수: 1
총 댓글수: 92

결국 랜섬웨어가 침입 못하는 AI 로 사건의 지평선을 넘어선다


List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
420 보안 소식 토픽브리핑 | IoT의 성장과 분화된 시장, 그리고 보안 루시드림 03-18 42
419 보안 소식 “2018년 뱅킹 트로이목마 공격 대상자 수, 전년 대비 16% 증가”…카스퍼스키랩 루시드림 03-18 71
418 바이러스 '슬랙 이용해 탐지 피하는' 표적 공격 등장 루시드림 03-18 63
417 보안 자료 글로벌 칼럼 | "NIST 지침과는 무관한" 최고의 비밀번호 조언 루시드림 03-11 188
416 보안 소식 스펙터 취약점 패치 일부, PC 그래픽· 마우스 성능에 영향...스카이레이크 이전 CPU라면 확인 필요 루시드림 03-11 76
415 바이러스 윈도우 계정 암호 탈취 도구 미미캐츠의 정체와 방어법 + 1 루시드림 03-08 216
414 보안 소식 "살인 해킹프로그램 '트리톤' 세계 확산 중" 픽업325 03-08 149
413 보안 소식 기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어 감염 주의 권고(2차) 부니기 03-07 78
412 보안 소식 알집(ALZip) / 반디집 / WinRAR 보안 업데이트 권고 부니기 03-07 85
411 보안 소식 세계는 차세대 대규모 랜섬웨어 공격에 대비하고 있는가 루시드림 03-07 53
410 보안 소식 인터넷 팝업 광고창에 피싱 페이지 노출…사용자 페이스북 계정 정보 탈취 시도 부니기 02-22 191
409 보안 소식 포털 인터넷 뉴스 ‘아웃링크’ 방식 통해 랜섬웨어 유포 루릿페 02-20 109
408 보안 소식 국내 기업·기관 타깃 ‘송장·인보이스’ 악성메일 유포 루릿페 02-20 102
407 보안 소식 공식 구글 플레이의 앱 6개 통해 멀웨어 196개국으로 퍼져 + 10 파란하늘 01-31 377
406 백신 자료 2018 12월 백신 순위 file + 18 김마늘 01-30 918
405 보안 소식 hit 신규 랜섬웨어 아나토바(Anatova)등장 p2p 사용자필독 file + 18 꾸륵꾸르륵 01-28 2915
404 바이러스 Windows 시스템이 손상되었습니다. 업데이트금지! file + 34 파란하늘 01-21 729
403 보안 소식 ES 파일 탐색기에서 포트 공개 취약점(Open Port Vulnerability) 발생 + 9 TetraTheta 01-19 263
402 보안 소식 중국서 만든 유명 날씨 앱…각종 개인정보 유출 file + 16 파란하늘 01-07 604
401 보안 소식 중국, 미국 컴퓨터에 백도어 용도의 칩 심어 염탐했다 + 12 파란하늘 10-05 1468
400 보안 소식 주민등록증이 해킹됐다...주민증 지문+스마트폰+점토 한덩이에 인감증명까지 + 14 티오피 10-03 1312
399 보안 소식 페이스북 해킹! 5천만 명 사용자의 계정 토큰 도난당해 + 5 티오피 09-30 489
398 보안 소식 “귀하의 계정이 해킹당했습니다” 혹스 이메일 피해 컸다 file + 2 티오피 09-30 361
397 보안 소식 모든 윈도우 버전에 영향을 미치는 제로데이 취약점 발견 + 2 티오피 09-30 234
396 보안 소식 MS 인터넷 익스플로러의 취약점, 익스플로잇되고 있어 파란하늘 09-27 159