콩쓰 (116.♡.186.29)
2025년 8월 11일 PM 03:10 · 수정됨(16:29)
보안팀은 아니지만 관련 업무까지 해야 하는 입장에서
요즘 랜섬웨어 패턴은 상당히 무섭습니다.
안티바이러스 솔루션의 시그니처 패턴으로는 도무지 잡을 수 없고
아무리 비싸고 고도화된 EDR 솔루션을 도입한다한들 제로데이 공격이 들어오면 참 답이 없는듯 싶습니다.
결과적으로 백업 솔루션의 니즈가 폭발적으로 늘어나지만
악성 해커들은 미리 잠복해서 백업 솔루션 통신까지 탈취하여 백업본마저 잠식해두고
본 서버를 터트리는 경우가 많으니 이것도 참 쉽지 않는듯 싶어요.
아마도 YES24 가 오늘 당한 공격도 기존 백업본에 기생하여 잠복하다가 터트린 케이스로 보여요.
백업 체계도 콜드다운이 어려운 구조라면 향후에도 참 쉽지 않겠어요.
뭔가 열심히 방어책을 마련하지만 언젠가 뚫리겠지란 생각으로 접근해야하는 부분이 말이죠.
댓글 (9)
- 안
안됩니다
25.08.11 · 27.♡.242.121
서비스를 최대한 고립 시키는 것 말고 방법이 있을까 싶습니다. -
콩콩쓰
→ 안됩니다 작성자
25.08.11 · 116.♡.186.29
백업과 전용선을 만들던가...뭔가 대안이 나오지 않을까 싶습니다. -
JJava
25.08.11 · 116.♡.70.94
주기적 테입 백업(오프라인)에 이어서 백업본에 대한 검증도 추가되어야 할 것 같습니다.
라고 쓰고 보니, 검증시 오염 문제도 고려해야겠군요. ㄷㄷㄷ -
콩콩쓰
→ Java 작성자
25.08.11 · 116.♡.186.29
백업 서버도 안전하지 않다는게 문제겠어요. 보안상 좋다는 어플라이언스 제품도 기본 옵션으로 멀웨어 차단 정도인데 참 어려운 과제로 보여요. -
알알카노이드
25.08.11 · 58.♡.60.213
보안은 결국 돈 들이고 운영이 불편해야 안전해 지는거죠.
그냥 내외부망 분리하는 등 방법뿐이 없는듯 합니다. - 9
96730908
→ 알카노이드
25.08.11 · 122.♡.105.214
SGI 보면 망분리해도 일이 벌어지네요
백업자료 무력화도 비슷합니다 -
알알카노이드
→ 96730908
25.08.11 · 58.♡.60.213
어차피 망분리가 솔루션 이용하는게 대부분일꺼고
그 솔루션 보면 방화벽 처럼 운영되는지라....
그리고, 그거 관리나 운영 편하게 한다고 양쪽 다 붙도록 설정해둔거 있을껀데 그런거 있으면 망분리 무용지물이죠.
만능은 아니지만, 그래도 마지막 보루이긴 합니다.
완전 망분리 후 허용방식으로 가면 그래도 좀 안전하긴 하죠.. 일반적인 구성보다는요.. - 9
96730908
→ 알카노이드
25.08.11 · 122.♡.105.214
PC나 VDI에서 서버 접속을 막고 서버실 가서 직접 KVM 연결해서 쓸거 아니면 어떤 솔루션이던 취약점은 존재하겠죠.
해킹기술이 나날히 발전하고 있어서 IP접근제어를 통해 다 막아놔도 공격이 발생하는 것 같습니다.
요즘 보면 방패보다 창이 더 빠르게 발전?하는 것 같아 씁쓸 합니다. -
데데굴대굴
25.08.11 · 61.♡.157.4
EDR 있고, 대응팀 있으면 됩니다. 원래 EDR은 알려지지 않은 공격에 대해서 방어하는 기능이고,
이제 해킹은 누구나 관리를 위해서 쓰는 명령어&기타 여러가지 원격 툴을 통해서 하는거라 백신에서는 안 잡혀요. EDR은 문제 생겼을 때 증거를 위한 솔루션이므로 제대로 감사하면 다 잡을 수 있어요. 적어도 한번 문제가 되면, 어디가 문제이고 어떻게 들어와서 무슨 짓을 했다는 기록을 찾을 수 있기 때문에 어디를 패치해야 하는지 알 수 있습니다.
근데 EDR 하나만 있어서는 안된다능... 사용자 ID와 네트워크 쪽에 대한 기록까지 같이 있어야 합니다. 다 하면 XDR 되고 이걸 다 분석하려면 SIEM 까지 올라가는거죠.
대응팀이 있는 회사가 거의 없을껄요.
망분리가 답이 아니에요. 애초에 취약점이 없도록 인프라를 관리하는 체계를 마련하는게 먼저 입니다. 대부분의 기업에서 당하는 제로데이 공격은 빠른 패치 적용 만으로도 충분히 막을 수 있어요.
댓글을 작성하려면 이 필요합니다.