사이버다임이 지난달 문서중앙화 도입 고객사 7곳이 랜섬웨어 공격을 받았으나 피해 사례는 한 건도 발생하지 않았다고 9일 밝혔다.
지난달 고객사에 유입된 랜섬웨어는 '클롭'과 '메그니베르' 변종 랜섬웨어로 재택근무 중인 직원 개인용컴퓨터(PC)를 통해 침입한 뒤 서버 확산을 시도했다는 공통점이 있었다. 고객사 측은 랜섬웨어 서버 공격이 확인됐고 문서가 암호화로 변형됐지만 사이버다임 문서중앙화로 업무 환경을 정상화할 수 있었다.
공격자는 이용자 PC를 통해 액티브디렉토리(AD) 서버 관리 권한을 탈취한 뒤 기업 내 다수의 시스템을 공격하거나 인터넷익스플로어(IE) 또는 크롬 프로세스를 통해 서버에 침투, 보관된 문서를 암호화했다. 그러나 암호화한 문서는 모두 문서중앙화 서버에 신규 파일로 등록돼 원본 문서 훼손이 없어 정상 업무 환경으로 즉시 복구할 수 있었다.
사이버다임 '데스티니ECM'과 '클라우디움'은 가상 드라이브 기반 문서중앙화 시스템을 통해 사전 승인된 응용프로그램만 서버 저장소 문서 파일에 접근할 수 있도록 한다. 실행파일 형식 랜섬웨어가 실수로 실행되더라도 승인된 프로세스가 아니기 때문에 공격자가 임의로 암호화할 수 없다.
랜섬웨어 공격자는 시스템 애플리케이션프로그래밍인터페이스(API)를 파악할 수 없고 서버 저장소 문서 파일을 수정하는 클라이언트단 API가 없어 원본 파일 임의 변조가 어렵다. 감염된 PC에서 서버 파일을 다운로드 받아 조회하는 과정에서 감염되는 경우에도 해당 파일은 조회용으로 인식, 서버에 저장되지 않고 PC 임시 영역에서 즉시 삭제돼 원본 파일 안전성을 지킨다.
사이버다임 관계자는 “일부 고객사의 경우 랜섬웨어에 감염된 경로와 경위에 대해 파악이 어려웠다”면서 “신·변종 랜섬웨어 위협에 대응하려면 허용되지 않는 외부 접근을 차단하고 파일 원본을 보호할 수 있는 문서 보안 기반을 사전에 마련해야 한다”고 말했다.
오다인기자 ohdain@etnews.com
