기업체를 위한 단계벼 완화조치

기업 디바이스의 OS와 애플리케이션을 최신상태로 업데이트 하세요.

  • 모바일 디바이스 포함, 기기에서 중요 소프트웨어를 업데이트하고 가장 최신의 보안패치를 적용하세요.
  • 가능한 경우 자동 업데이트가 될 수 있도록 설정을 변경하세요. 가장 최신의 업데이트를 설치할 경우 보안상 더 유리할 뿐만 아니라 성능 또한 나아집니다.
  • 안티바이러스나 안티말웨어 제품이 필요한지 판단 후, 각 프로그램을 최신상태로 유지하세요.
  • OS가 효율적으로 이용되고 있는지 지속적으로 검사하세요.
  • 중앙화된 패치관리시스템을 사용하고, 리스트기반평가전략을 도입해 어떤 시스템이 패치관리프로그램의 대상이 되어야 하는지 판단하세요.
  • 주기적으로 시스템은 온오프라인상 백업하세요. 랜섬웨어 공격에서 복구하는 가장 효과적인 방법은 최신 백업본을 만들어두는 것입니다.
  • 기존 네트워크나 시스템과는 분리된 다른 공간, 예를 들어 클라우드 서비스에 오프라인 백업본을 만들어 보관하세요. 랜섬웨어들은 피해자들이 랜섬을 지급할 가능성을 높이기 위해 백업본도 공격한다는 사실을 잊지마세요.

자신의 정확한 자산을 평가하고, 이를 분리하여 관리하세요.

민감한 정보는 일상적인 데이터와는 달리 취급되어야합니다.

  • 민감정보는 구분된 장소에 보관하세요.
  • 효과적인 네트워크 격리를 설계하고 구현하여 범죄자가 한 세그먼트를 사용하 네트워크내에서 확산되지 못하도록 하세요.
  • 서로다른 특징과 보안프로필을 가진 분야에 대한 구분을 통해, ㅂ안위협이 더 높은 해당 구역에 대한 접근을 제한하거나 통제하세요.

리모트 데스크탑 프로토콜(RDP)에 대한 보안접근

특히 RDP를 통제함으로써 네트워크를 퉁한 자원접근을 제한하세요. 적절한 위협평가 후, 만약 RDP가 조직을 위해 반드시 필요하다면 원본소스를 제한하고, 다단계 인증을 요구하세요.

데이터 유출을 모니터링하세요.

많은 랜섬웨어 공격자들은 랜섬을 지불하도록 유도하며 정보를 공개하겠다고 협박합니다. 데이터유출이 초기에 탐지된 경우, 데이터 공개가 가져올 피해가 더욱 줄어들 것입니다. 데이터유출을 모니터링함으로써 정확히 어떤 데이터가 유출의 위험에 있는지 알 수 있을 것입니다.

공격자들이 데이터를 유출하지 않는다던가, 동일한 데이터를 추가적 협박에 재사용하지 않는다는 보장이 없습니다. 랜섬을 지불하였던 지불하지 않았던, 위 두가지 경우를 다 상정하세요.

시스템을 테스트해보세요.

주기적으로 네트워크 보안에 대한 침해실험을 갖고, 이러한 실험을 중요정보복구과정에도 접목하여 계획한 대로 잘 운영되는지 확인하세요.

악성 컨텐츠가 네트워크에 도달할 수 있는 가능성을 줄이세요.

  • 스크립팅 환경과 매크로를 금지하세요.
  • 특정타입의 파일만을 허용하ㄱ나, 악성으로 알려진 웹사이트, 애플리케이션, 프로토콜 등을 블록하는 등 시스템을 조정하여 콘텐츠를 적극적으로 검사하세요.
  • 네트워크 레벨에서는 네트워크 트래픽을 필터링하거나, 모니터링 정책을 수립하고, 불법 또는 악성 트래픽이 네트워크에 도달하지 못하도록 필터링하거나 블록하세요.
  • 실시간 위협정보피드에 대한 블랙리스트/화이트리스트 규정을 수립하여 사용자들이 악성웹사이트, 악성 IP, 피싱url, 익명프록시, 토르네트워크 및 기타 익명화 서비스에 접속하는 것을 방지하세요.

강화된 비밀번호를 사용하고 주기적으로 이를 바꾸세요.

  • 숫자, 기호, 대소문자의 조합을 통해 강력한 비밀번호를 만들 수 있습니다.
  • 강화된 비밀번호를 직장에서나 개인삶에서나 사용할 수 있도록 사원들이 훈련하고 독려하고, 패스워드 매니저의 사용을 장려하세요.

강력한 인증의 사용.

중요 네트워크 상의 계정에 대한 접근을 위해서는 다단계 인증을 요구하여 도난 또는 해킹된 계정을 통한 접속의 위험을 최소화 하세요.

특별한 권한을 가진 계정을 사용할 때는 이를 잘 관리하세요.

  • 사원들이 기업 네트워크 디바이스에서 소프트웨어 애플리케이션을 설치하거나 구동하지 못하도록 제한하세요.
  • 계정사용정책, 유저계정통제, 특수권한 사용자 접근관리를 통해 유저와 시스템 계정들을 관리하세요.
  • '최소특권의원칙', '최소지식의원칙' 및 '의무의분리'를 기반으로 접속권한을 할당하세요. 특수권한을 가진 유저계정에 대한 잠재적 침해는 일반개인유저계정에 대한 침해와 비교할 때, 훨씬 더 큰 노출을 야기할 수 있습니다.

원격근무용 장비에 대한 보안을 갖추세요.

  • 하드디스크암호화, 자동로그아웃, 화면보호기, 인증강화, 블루투스 비활성화, USB 사용제한, 암호화 등의 조치를 취하세요.
  • 도난되거나 분실된 디바이스를 원격으로 비활성화 시키는 절차를 도입하세요.

믿을수 있는 소스로부터 온 앱만 설치하세요.

기업들은 기업네트워크에 접속하는 모바일기기들이 공식적인 소스로부터 확보한 앱만을 인스톨 할 수 있도록 허용해야 합니다. 옵션으로, 기업애플리케이션스토어를 구축하여 사용자가 접속하여 기업에서 승인된 앱만을 다운받고 설치 할 수 있도록 고려해보세요. 보안업체와 함께 논의하거나, 인하우스로 스스로 구축해보세요.

공공 와이파이 네트워크를 통해 기업 데이터에 접근하는 것은 삼가세요.

통상, 공공 와이파이 네트워크는 보안이 취약합니다. 만약 ㅈ원이 기업데이터에 공항이나 커피샵 무료 와이파이를 통해 접속한다면, 해당 데이터는 악성 유저들에게 노출될 수 있습니다. 이와 관련 업체들이 효과적인 사용정책을 수립하는 것을 권고합니다.

임직원에게 사이버보안교육을 제공하세요.

  • 직원들에게 온라인 안전에 관한 기업의 정책을 교육하세요. 사이버위협, 특히 피싱과 소셜 엔지니어링 대한 경각심을 가질수 있도록 하고, 수상한 활동을 마주했을 경우의 대처요령을 숙지할 수 있도록 충분한 시간을 부여하세요.
  • 스피어피싱 모의공격 사용자 훈련 프로그램을 도입하는 것을 검토해보세요.
  • 직원에게 피싱이메일을 신고할수 있는 방법을 제공하고, 신고 시의 보상체계를 수립하세요. 감사메세지 팝업이나 포인트정책이 직원들로 하여금 자신들이 수상하다고 생각한 것을 특정하고 신고하도록 독려할 수 있습니다.

사이버책임보험을 검토해보세요.

사이버공격이 발생할 경우 보험금을 지급하는 보험사를 확인해보세요.

로컬 방화벽을 가동하세요.

미승인된 접근을 막기위한 로컬 방화벽을 가동하세요.

윈도우 파워쉘을 비활성화 하세요.

사용하지 않는 경우 윈도우 파워쉘을 비활성화 하세요. 일부 랜섬웨어는 파워쉘을 사용하여 실행됩니다.

감염이 되었다면 다음엔 무엇을 해야하나요?

  1. 1) 유무선 및 모바일 등 모든 네트워크로부터 즉시 연결을 끊되, 감염된 디바이스의 전원을 끄지는 마세요.
  2. 2) 심각한 경우, 와이파이를 차단하고, 중요네트워크 연결(스위치 포함)을 해제하고 인터넷으로부터의 연결을 해제하는 것이 필요할 수 도 있습니다.
  3. 3) 비밀번호(특히 관리자나 시스템계정의 비밀번호)를 포함한 크리덴셜을 리셋하되, 스스로 복구가 필요한 시스템으로부터 차단되는 결과를 초래하지 않도록 확인하세요.
  4. 4) 관할경찰 또는 다른 담당기관에 사건을 신고하세요.
  5. 5) 해당공격을 수사하는 기관과 협업하여 증거물을 보전하세요. 감염된 시스템의 포렌식 이미지 또는 시스템 스냅샷을 생성하세요. RAM 덤프를 생성하고 넷플로우나 네트워크 트래픽 로그를 보전하세요.
  6. 7) 안전하게 감염된 디바이스를 포맷하고 OS를 재인스톨 하세요.
  7. 8) 백업을 불러오기 전, 말웨어에 감염된 사실이 없는지 확인해보세요. 백업파일과 그 백업파일을 불러오는 디바이스가 감염되지 않았다는 사실이 확실한 경우에만 복구를 계속 하여야합니다.
  8. 9) 디바이스를 안전한 네트워크에 연결하여 OS와 다른 소프트웨어를 다운로드, 인스톨하고 업데이트 하세요.
  9. 11) 안티바이러스 소프트웨어를 인스톨하고, 업데이트 한 후 실행하세요.
  10. 11) 네트워크에 재접속하세요.
  11. 12) 네트워크 트래픽을 모니터링하고 안티바이러스 스캔을 통해 잔여하고 있는 감염내역을 확인하세요.