(정리) 네이버 클라우드-랜섬웨어 대응 가이드 2025
# 램섬웨어 대응법을 알아보자.
# 아래 내용은 개인적으로 정리한 내용이라 틀릴 수 있습니다.
<1> 랜섬웨어가 무엇인지 이해
<2> 랜섬웨어 공격 기업의 다양화
<3> 랜섬웨어 대응 - 1) 예방
<4> 랜섬웨어 대응 - 2) 탐지 및 대응
<5> 랜섬웨어 대응 - 3) 백업 및 복원
<6> 랜섬웨어 대응 - 1) 예방 - 실습
<7> 랜섬웨어 대응 - 2) 탐지 및 대응 - 실습
<8> 랜섬웨어 대응 - 3) 백업 및 복원 - 실습
<9> 랜섬웨어 대응 - 실습 자료
<1> 랜섬웨어가 무엇인지 이해
1
램섬웨어는 운영체제가 설치되어 있는 자산 내 파일과 폴더를 암호화하여 사용자의 접근을 제한하고 복호화에 대한 몸값을 요구하는 악성코드입니다.
랜섬웨어 공격은 금전을 주목적으로 하고 있기 때문에 기존 사이버 공격과는 다른 특징을 보이고 있습니다.
<2> 랜섬웨어 공격 기업의 다양화
0
APT (Advanced Persistent Threat)와 같은 다양한 해킹 기술을 활용하여 공격 기업이 진화하고 있다.
랜섬웨어 대응 3단계
예방
실시간 위협 탐지
백업 및 복원 절차 수립
1
예방
보호 대상 자산 식별 - 램섬웨어로부터 보호해야 할 클라우드 자산의 명확한 식별
접근 통제 구현 - 악성코드를 유포할 수 있는 외부 악성 사이트 점점 차단
클라우드 환경 취약점 모니터링 - 계정, 방화벽 설정등 주기적인 모니터링
2
실시간 위협 탐지
최신 공격 기업에 대응 체계 수립
악성코드 차단
클라우드 리소스 취약점 모니터링
3
백업 및 복원 절차 수립
백업 체계 수립
데이터 소산
복원 프로세스
<3> 랜섬웨어 대응 - 1) 예방
1
클라우드 사업자와 클라우드 이용자의 책임 영역 이해
IaaS
PaaS
SaaS
2
Resource Manager를 이용한 보호 대상 자산 식별 및 감시
Resource Manager는 모든 자산의 생성, 변경, 삭제를 모니터링할 수 있으며 그룹화하여 체계적인 관리까지 가능하다.
Resource Manager의 Observer기능을 사용하여 보호 대상 리소스를 감시하고, 모니터링한 리소스 정보를 빠르게 확인할 수 있다.
3
VPC를 이용한 접근 통제
ACG
NACL
4
Cloud Advisor를 이용한 보호 자산 상시 점검
<4> 랜섬웨어 대응 - 2) 탐지 및 대응
1
Security Monitoring을 이용한 최신 공격 실시간 대응.
최신 탐지 패턴을 자동 업데이트하는 Anti-Virus 서비스 이용 권고.
2
Safer를 이용한 악성 코드 유입/유포 차단
App Safer
File Safer
Site Safer
App Safer
모바일 애플리케이션의 안전한 실행 환경을 유지하기 위해 모바일 침해 시도 점검
File Safer
고객의 웹 사이트에 업로드 및 다운로드되는 파일의 악성코드 여부를 검사.
Hash Filter를 사용하여 업로드 동작에 영향을 최소화하면서 악성 코드를 탐지 및 차단.
File Filter를 사용하여 업로드된 파일을 분석하여 악성 여부를 확인할 수 있습니다.
미연에 방지.
Site Safer
행위 기반 탐지를 통해 웹 사이트에서의 악성 프로그램 배포여부를 검사할 수 있는 서비스입니다.
URL에 대한 한 번의 설정으로 정기적인 검사 진행.
이메일 및 SMS 통해 알림 및 상세 보고서 제공한다.
3
Checker를 이용한 보호 자산 취약점 점검 및 위협 사전 차단
Web Security Checker
System Security Checker
App Security Checker
Web Security Checker
웹서비스의 잠재적 취약점을 사전에 탐지하고 조치
SQL Injection , XSS 등과 같은 큰 취약점을 중점적으로 진단.
System Security Checker
고객 서버의 운영 체제 및 WAS 보안 설정을 점검
에이전트를 설치하여 간편하게 점검.
KISA가이드와 함께 보안 정책을 기준으로 점검한 비다.
Windows, Linux 운여 체제를 지원하며 WAS는 Apache , Tomcat, Nginx를 지원합니다.
App Security Checker
모바일 서비스의 정부 유출 위험을 비롯.
위험도가 높은 항목에 대해 상세하게 검사합니다.
<5> 랜섬웨어 대응 - 3) 백업 및 복원
1
Server Image, Snapshot, Cloud DB를 이용한 데이터 백업 체계 수립
Server > 내 서버 이미지
Server > Snapshot
Cloud DB for Mysql
2
Server > 내 서버 이미지
내 서버 이미지 기능을 사용하여 현재 서버 상태의 구조를 저장할 수 있습니다.
복제한 이미지는 타 계정과 공유하거나 다른 리전으로 복제가 가능합니다.
따라서 내 서버 이미지를 이용해 생성한 서버의 경우 램섬웨어 공격을 받았더라도 침해 전 생성한 이미지를 사용하여 쉽고 간편하게 서버를 복원할 수 있습니다.
3
Server > Snapshot
서버와 연결된 스토리지의 특정 시점에 대한 전체 데이터를 복제하여 저장할 수 있다.
언제든지 저장된 시점의 데이터를 원하는 서버로 복구할 수 있기 때문에 램섬웨어 공격에도 데이터 유실 없이 중요한 데이터 유실 없이 중요 데이터를 안전하게 복원할 수 있다.
4
Cloud DB for Mysql 사용
매일 자동으로 DB백업을 진행합니다.
백업 데이터는 최대 30일까지 보관된다.
최종 백업 파일 기준으로 자동 복구가 가능합니다.
5
Backup 서비스를 이용한 데이터 소산
설치 스크립트 수행으로 백업 서비스이용
6
DR 구성 및 재해복구 프로세스 수립
멀티존 구성
마켓플레이스 3rd Party 솔루션
<6> 랜섬웨어 대응 - 1) 예방 - 실습
1
클라우드 사업자와 클라우드 이용자의 책임 영역 이해
IaaS
PaaS
SaaS
2
Resource Manager를 이용한 보호 대상 자산 식별 및 감시
Resource Manager는 모든 자산의 생성, 변경, 삭제를 모니터링할 수 있으며 그룹화하여 체계적인 관리까지 가능하다.
Resource Manager의 Observer기능을 사용하여 보호 대상 리소스를 감시하고, 모니터링한 리소스 정보를 빠르게 확인할 수 있다.
3
VPC를 이용한 접근 통제
ACG
NACL
4
Cloud Advisor를 이용한 보호 자산 상시 점검
<7> 랜섬웨어 대응 - 2) 탐지 및 대응 - 실습
1
Security Monitoring을 이용한 최신 공격 실시간 대응.
최신 탐지 패턴을 자동 업데이트하는 Anti-Virus 서비스 이용 권고.
2
Safer를 이용한 악성 코드 유입/유포 차단
App Safer
File Safer
Site Safer
App Safer
모바일 애플리케이션의 안전한 실행 환경을 유지하기 위해 모바일 침해 시도 점검
File Safer
고객의 웹 사이트에 업로드 및 다운로드되는 파일의 악성코드 여부를 검사.
Hash Filter를 사용하여 업로드 동작에 영향을 최소화하면서 악성 코드를 탐지 및 차단.
File Filter를 사용하여 업로드된 파일을 분석하여 악성 여부를 확인할 수 있습니다.
미연에 방지.
Site Safer
행위 기반 탐지를 통해 웹 사이트에서의 악성 프로그램 배포여부를 검사할 수 있는 서비스입니다.
URL에 대한 한 번의 설정으로 정기적인 검사 진행.
이메일 및 SMS 통해 알림 및 상세 보고서 제공한다.
3
Checker를 이용한 보호 자산 취약점 점검 및 위협 사전 차단
Web Security Checker
System Security Checker
App Security Checker
Web Security Checker
웹서비스의 잠재적 취약점을 사전에 탐지하고 조치
SQL Injection , XSS 등과 같은 큰 취약점을 중점적으로 진단.
System Security Checker
고객 서버의 운영 체제 및 WAS 보안 설정을 점검
에이전트를 설치하여 간편하게 점검.
KISA가이드와 함께 보안 정책을 기준으로 점검한 비다.
Windows, Linux 운여 체제를 지원하며 WAS는 Apache , Tomcat, Nginx를 지원합니다.
App Security Checker
모바일 서비스의 정부 유출 위험을 비롯.
위험도가 높은 항목에 대해 상세하게 검사합니다.
<8> 랜섬웨어 대응 - 3) 백업 및 복원 - 실습
1
Server Image, Snapshot, Cloud DB를 이용한 데이터 백업 체계 수립
Server > 내 서버 이미지
Server > Snapshot
Cloud DB for Mysql
2
Server > 내 서버 이미지
내 서버 이미지 기능을 사용하여 현재 서버 상태의 구조를 저장할 수 있습니다.
복제한 이미지는 타 계정과 공유하거나 다른 리전으로 복제가 가능합니다.
따라서 내 서버 이미지를 이용해 생성한 서버의 경우 램섬웨어 공격을 받았더라도 침해 전 생성한 이미지를 사용하여 쉽고 간편하게 서버를 복원할 수 있습니다.
3
Server > Snapshot
서버와 연결된 스토리지의 특정 시점에 대한 전체 데이터를 복제하여 저장할 수 있다.
언제든지 저장된 시점의 데이터를 원하는 서버로 복구할 수 있기 때문에 램섬웨어 공격에도 데이터 유실 없이 중요한 데이터 유실 없이 중요 데이터를 안전하게 복원할 수 있다.
4
Cloud DB for Mysql 사용
매일 자동으로 DB백업을 진행합니다.
백업 데이터는 최대 30일까지 보관된다.
최종 백업 파일 기준으로 자동 복구가 가능합니다.
5
Backup 서비스를 이용한 데이터 소산
설치 스크립트 수행으로 백업 서비스이용
6
DR 구성 및 재해복구 프로세스 수립
멀티존 구성
마켓플레이스 3rd Party 솔루션
<9> 랜섬웨어 대응 - 실습 자료
1
https://brunch.co.kr/@topasvga/4801
2
https://brunch.co.kr/@topasvga/5139
3
# 학습자료
https://brunch.co.kr/@topasvga/4137
