사이버다임(대표 김경채)은 사내에 랜섬웨어가 유입됐으나 문서중앙화솔루션을 통해 원본문서를 보호할 수 있었던 고객사례를 3일 소개했다.
지난 7월 사이버다임 문서중앙화솔루션을 사용하던 고객사에 '매그니베르' 랜섬웨어가 침입했다. 직원PC를 통해 침투해 서버 확산을 시도한 공격이었다. 고객사 측은 변종 랜섬웨어의 서버 공격이 확인됐고 문서가 암호화로 변형됐지만, 사이버다임 문서중앙화 보안 구조로 업무 환경을 정상화할 수 있었다.
사이버다임 측에 따르면 랜섬웨어가 암호화한 문서는 원본 문서를 망가뜨린 게 아니라 신규 파일로 등록됐다. 고객사는 감염 피해로 암호화된 문서를 삭제해 정상 업무 환경으로 되돌아올 수 있었다는 설명이다.
사이버다임은 자사 문서중앙화솔루션 '데스티니ECM'과 '클라우디움'이 랜섬웨어 대응 방안을 제공한다고 강조했다. 이 솔루션은 서버에 저장된 문서 원본을 직접 수정하는 게 아니라 로컬 샌드박스의 임시파일을 수정한 뒤 서버에 업로드하는 과정을 거친다. 오피스 및 CAD 등 애플리케이션으로 서버 파일을 직접 삭제하거나 덮어쓸 수 없는 구조다. 수정된 문서는 새 버전으로 생성, 관리된다. 외부에서 유입된 랜섬웨어가 문서 파일을 감염시켜 암호화해도 새 버전으로 저장돼, 기존 원본 문서가 보호된다.
관련기사
- 사이버다임, 벽산엔지니어링에 ECM 공급2018.08.03
- 하우리 "파워셸 ‘엠파이어’를 이용한 APT공격 증가"2018.08.03
- 더루프- 사이버다임, 블록체인 기반 계약 플랫폼 개발2018.08.03
- 한국 노린 악성HWP 공격, 더 교묘해졌다2018.08.03
사이버다임에서 소개한 사례의 고객사 환경에 침입한 매그니베르 랜섬웨어는 파일리스(fileless)형으로 제작된 변종이었다. 파일리스형 랜섬웨어는 EXE같은 파일 형태로 설치, 실행되는 게 아니라 화이트리스트에 허용된 explorer 등 애플리케이션에 삽입되거나 셸스크립트 형태로 실행된다. 그래서 수상한 프로그램 파일의 실행을 막는 '화이트리스트' 방식의 보안정책과 차단기술을 우회할 수 있다. 애플리케이션 자체를 통제하는 화이트리스트 방식만으로는 파일리스 랜섬웨어를 모두 차단할 수 없다는 뜻이다.
사이버다임 연구소 측은 "서비스형 랜섬웨어 등장으로 배포와 우회 방식이 빠르게 진화하고 있다"며 "신·변종 랜섬웨어 위협에 대응하려면 원본 변형을 최소화할 수 있는 기능을 탑재한 예방 소프트웨어를 도입해야 한다"고 강조했다.
