맬웨어 위협 이해

완료됨

사용자와 직접 상호 작용하는 컴퓨터 시스템은 엔드포인트 시스템으로 간주됩니다. 노트북, 스마트폰, 컴퓨터 같은 디바이스의 시스템을 보호해야 합니다. 이러한 디바이스를 보호하면 해당 디바이스는 조직의 네트워크 시스템에 대한 보안 공격의 게이트웨이 역할을 하지 않습니다. 따라서 오늘날의 ‘BYOD(Bring Your Own Device )’ 환경에서는 비즈니스 리소스에 대한 액세스 권한이 있는 개인 디바이스도 보호해야 합니다.

뉴스에는 조직이 실수로 개인 정보를 유출했다는 스토리가 넘쳐난다. 이러한 사고는 열악한 보안 사례이나 고의적인 공격으로 인해 발생하는 경우가 많습니다. 해커는 실제 사용자를 가장하거나 네트워크에 대한 액세스 권한이 부여된 컴퓨터 또는 디바이스에 맬웨어를 삽입하여 시스템에 액세스합니다.

맬웨어란?

맬웨어는 컴퓨터 또는 네트워크 손상을 유발하는 악성 소프트웨어입니다. 소프트웨어 취약성이나 모르고 설치하는 순진한 사용자를 악용하는 경우가 많습니다.

맬웨어는 다음과 같은 여러 형태로 제공됩니다.

  • 바이러스
  • 트로이 목마

바이러스

살아있는 바이러스와 마찬가지로, 컴퓨터 바이러스는 기생할 ‘호스트’가 필요합니다. 바이러스는 기존 프로그램과 문서에 연결되거나 부팅 섹터와 같은 하드 드라이브의 보호된 영역에 숨어 있는 코드 비트입니다. 보호된 영역에 숨겨져 있기 때문에 찾아서 제거하기 어려울 수 있습니다. 감염된 프로그램이 시작되면 바이러스는 일반적으로 사용자가 아무것도 알아채지 못한 채 실행됩니다. 그런 다음, 바이러스는 사용자의 데이터 또는 다른 파일에 대해 악의적인 작업을 수행할 수 있습니다. 감염된 컴퓨터가 다른 컴퓨터로 파일을 보낼 경우 데이터와 함께 바이러스가 확산될 수 있습니다. 컴퓨터 바이러스는 이 동작으로 분류됩니다. 즉, 다른 프로그램에 기생하고 사용자 작업을 통해 확산됩니다.

바이러스의 몇 가지 예는 다음과 같습니다. ILOVEYOU, Shamoon, CIH(체르노빌 바이러스) 등이 있습니다.

웜은 컴퓨터 네트워크를 통해 자동 복사되는 독립 실행형 소프트웨어입니다. 바이러스와 유사하게 웜은 자신을 복제하도록 설계되었습니다. 그러나 웜은 기존 파일에 숨어 있는 것이 아니라 인간의 개입 없이 다른 컴퓨터를 감염시킬 수 있는 별도의 프로그램으로 존재합니다. 웜은 감염된 컴퓨터의 백그라운드에서 실행되면서 컴퓨터 네트워크를 통해 이동하는 경우가 많습니다. 그런 다음 컴퓨터 소프트웨어의 알려진 취약성을 사용하여 연결된 다른 디바이스를 찾아 감염시킵니다.

다음은 웜의 몇 가지 예입니다. Melissa, Code Red 및 Stuxnet.

트로이 목마

도시 침략에 사용된 트로이 목마 스토리를 모르는 사람은 없습니다. 이 맬웨어는 다른 항목인 것처럼 가장한다는 점에서 트로이 목마란 이름이 지정되었습니다. 트로이 목마는 종종 수행하도록 디자인된 작업 때문에 가장 위험한 유형의 맬웨어로 간주됩니다. 사용자가 설치하려는 유용한 소프트웨어 유틸리티로 가장하여 확산됩니다. 사용자가 설치를 권한 부여하기 때문에 이 맬웨어는 중요한 데이터나 프라이빗 데이터를 포함하여 사용자의 파일에 액세스하는 경우가 많습니다. 또한 트로이 목마는 해커가 컴퓨터에 침입할 수 있는 백도어나, 암호 또는 신용 카드와 같은 키 입력을 캡처하는 Key Logger를 설치하는 경우가 많습니다. 다른 맬웨어 유형과 달리 트로이 목마는 자동 복제되도록 디자인되지 않으며, 감염된 특정 컴퓨터를 제어하거나 삭제하기 위한 것입니다.

다음은 트로이 목마의 몇 가지 예입니다. Gh0st RAT, Zeus 및 Shedun(Android).

맬웨어는 어떻게 설치되나요?

맬웨어가 컴퓨터에 처음 액세스하는 방법에는 여러 가지가 있습니다.

  1. 직접 설치. 오늘날 대부분의 소프트웨어는 인터넷을 통해 제공됩니다. 사용자는 다양한 원본에서 소프트웨어를 다운로드하고 설치할 수 있습니다. 맬웨어는 사용자가 알지 못하는 사이에 또는 변조된 권한이 있는 다운로드를 통해 설치될 수 있습니다. 이 방법은 감염된 드라이브(예: USB 키)가 컴퓨터에 삽입되는 경우에도 적용됩니다.

  2. 보안 취약성. 브라우저와 같은 소프트웨어 실행의 결함 또는 버그입니다. 운영 체제에 있을 수도 있으며 컴퓨터에 맬웨어를 설치할 수 있습니다. 이 경우 맬웨어는 보안 결함을 악용하여 관리자 액세스 권한을 얻거나 감염된 파일을 컴퓨터로 가져옵니다.

  3. 백도어. 맬웨어는 소프트웨어에 남아 있는 설계된 개구부를 통해 설치될 수도 있습니다. 이러한 ‘백도어’는 테스트 및 디버깅을 위해 배치되는 경우가 많습니다. 백도어를 그대로 두고 프로덕션 환경에 공개하면 이를 악용하여 컴퓨터나 네트워크에 액세스할 수 있습니다.

맬웨어로부터 보호

맬웨어로부터 컴퓨터와 네트워크를 보호하기 위해 클라우드용 Microsoft Defender와 함께 사용할 수 있는 몇 가지 주요 전략이 있습니다.

  • 최신 OS 수정 및 버전을 사용하여 서버를 최신 상태로 유지합니다. 클라우드용 Defender는 모니터링되는 시스템에 패치가 적용되지 않으면 자동으로 경고합니다.
  • 바이러스, 스파이웨어, 기타 악성 소프트웨어를 확인하고 제거하는 데 도움이 되는 맬웨어 방지 프로그램(예: Azure Cloud Services 및 Virtual Machines용 Microsoft Antimalware)을 설치합니다.
  • 방화벽을 사용하여 네트워크 트래픽을 차단합니다. 클라우드용 Defender는 VM과 서버로 들어오는 개방형 트래픽을 확인하고 Azure의 기본 제공 방화벽 기능을 활성화하는 지침을 제공합니다.
  • 클라우드용 Defender와 맬웨어 방지 솔루션을 통합하여 맬웨어 방지 보호 상태를 모니터링합니다.

마지막 단계는 전체 모니터링 계획에 매우 중요합니다. 클라우드용 Defender는 VM과 컴퓨터를 취약하게 만드는 탐지된 위협, 불충분한 보호 등의 문제를 강조 표시합니다. 엔드포인트 보호 문제에 대한 정보를 사용하여 식별된 문제를 해결하기 위한 계획을 세울 수 있습니다.