사이버다임(대표 김경채)이 지난 2월 문서중앙화 도입 고객사 7여 곳이 데이터를 암호화해 금전을 요구하는 랜섬웨어에 공격당했으나 다행히 피해 사례는 “0건”이라고 9일 밝혔다.

고객사를 공격한 랜섬웨어는 지난해 유통기업을 공격해 유명해진 ‘클롭’(CLOP)’과 메그니베르(Magniber) 변종 랜섬웨어로 코로나19 감염 위험으로 재택근무 중인 직원의 PC를 통해 침입, 서버 확산을 시도한 공격이라는 공통점이 있었다.

사이버다임 측에 따르면 사용자 PC를 통해 AD(Active Directory) 서버 관리 권한을 탈취한 후 기업 내 다수의 시스템을 공격하는 클롭과 IE나 크롬의 프로세스를 통해 감염시키는 메그니베르 변종 랜섬웨어 모두 문서중앙화 서버까지 침투, 서버에 보관된 문서들을 암호화시켰다. 그러나 랜섬웨어가 암호화시킨 문서는 모두 서버에 신규 파일로 등록되어 원본 문서 훼손이 없었기에 곧바로 정상 업무 환경으로 되돌아올 수 있었다는 고객사 설명이다.

사이버다임은 자사 문서중앙화솔루션 '데스티니ECM'과 '클라우디움'이 랜섬웨어 대응 방안을 제공한다고 강조했다. 가상 드라이브 기반 문서중앙화 시스템은 서버 저장소에 보관된 문서 파일을 사전 승인된 응용프로그램만 API를 통해 접근할 수 있어 실행파일 형식의 랜섬웨어가 의도치 않게 실행된다 하더라도 승인된 프로세스가 아니기에 공격자 임의의 암호화를 방지할 수 있다.

랜섬웨어는 사이버다임이 제공하는 API를 알 수 없을 뿐만 아니라 서버 저장소 내 파일을 직접 수정하는 클라이언트 단 API가 없어 원본 파일의 임의 변조를 방지할 수 있다. 랜섬웨어에 감염된 PC에서 서버의 파일을 다운로드 받아 조회하는 과정에서 감염될 경우에도 해당 파일은 조회용으로 인식, 서버에 저장되지 않고, PC의 임시 영역에서 즉시 삭제 처리돼 원본 파일의 안전성을 지키게 된다.

사이버다임 관계자는 “일부 고객사의 경우 랜섬웨어에 감염된 경로 및 경위에 대해 파악이 어려웠다”라며 “신-변종 랜섬웨어 위협에 대응하려면 허용되지 않는 외부 접근을 차단하고 파일 원본을 보호할 수 있는 문서 보안 기반을 사전에 마련해야 한다"라고 말했다.

★정보보안 대표 미디어 데일리시큐!★