랜섬웨어로 암호화된 문서, 서버에 신규 파일로 등록…원본 문서 훼손 없어 업무 정상화
[데이터넷] 사이버다임(대표 김경채)은 지난 2월 문서중앙화 도입 고객사 7곳이 데이터를 암호화해 금전을 요구하는 랜섬웨어 공격을 받았으나 피해는 입지 않았다고 9일 밝혔다.
고객사를 공격한 랜섬웨어는 지난해 유통기업을 공격한 것으로 알려진 ‘클롭(CLOP)’과 ‘매그니베르(Magniber)’ 변종 랜섬웨어로, 코로나19 감염 위험으로 재택근무 중인 직원의 PC를 통해 침입, 서버 확산을 시도한 공격이라는 공통점이 있었다.
고객사 측은 랜섬웨어의 서버 공격이 확인됐고 문서가 암호화로 변형됐지만, 사이버다임 문서중앙화로 업무 환경을 정상화할 수 있었다고 설명했다.
사이버다임 측에 따르면 사용자 PC를 통해 AD(Active Directory) 서버 관리 권한을 탈취한 후 기업 내 다수의 시스템을 공격하는 클롭과 인터넷 익스플로러(IE)나 크롬의 프로세스를 통해 감염시키는 매그니베르 변종 랜섬웨어 모두 문서중앙화 서버까지 침투, 서버에 보관된 문서들을 암호화시켰다. 그러나 랜섬웨어가 암호화시킨 문서는 모두 서버에 신규 파일로 등록되어 원본 문서 훼손이 없었기에 곧바로 정상 업무 환경으로 되돌아올 수 있었다는 설명이다.
사이버다임은 자사 문서중앙화 솔루션 ‘데스티니 ECM’과 ‘클라우디움’이 랜섬웨어 대응 방안을 제공한다고 강조했다. 가상 드라이브 기반 문서중앙화 시스템은 서버 저장소에 보관된 문서 파일을 사전 승인된 응용 프로그램만 API를 통해 접근할 수 있어 실행파일 형식의 랜섬웨어가 의도치 않게 실행된다 하더라도 승인된 프로세스가 아니기에 공격자 임의의 암호화를 방지할 수 있다.
랜섬웨어는 사이버다임이 제공하는 API를 알 수 없을 뿐만 아니라 서버 저장소 내 파일을 직접 수정하는 클라이언트 단 API가 없어 원본 파일의 임의 변조를 방지할 수 있다. 랜섬웨어에 감염된 PC에서 서버의 파일을 다운로드 받아 조회하는 과정에서 감염될 경우에도 해당 파일은 조회용으로 인식, 서버에 저장되지 않고, PC의 임시 영역에서 즉시 삭제 처리돼 원본 파일의 안전성을 지키게 된다.
사이버다임 관계자는 “일부 고객사의 경우 랜섬웨어에 감염된 경로 및 경위에 대해 파악이 어려웠다”며 “신·변종 랜섬웨어 위협에 대응하려면 허용되지 않는 외부 접근을 차단하고 파일 원본을 보호할 수 있는 문서 보안 기반을 사전에 마련해야 한다”고 말했다.
