위험을 감지한 파일은 격리 후, 임의적으로 자동 삭제처리 보안부문 2021-08-24 신달수 1 댓글 0 552 개요 클라우드 서버로 하루에도 수많은 파일들이 업로드 됩니다. 물론 사용자의 PC 및 스마트폰 같은 디바이스를 통해서요. 해당 업로드 되는 파일은, 위협적인 파일도 존재할 수 있으며, 타인 및 서버에 악영향을 주는 파일도 존재할 수 있습니다. 이를 서버에서 방치할 경우, 그 피해는 매우 클 것으로 판단됩니다. 이에 아래와 같은 정책으로 클라우드를 운용중에 있으니 반드시 참고하시기 바랍니다. 클라우드에서 운용체제 및 서비스별로 다양한 파일감지 봇(Bot)을 가동하고 있습니다. 해당 봇은, 24시간 운용중에 있으며, 업로드 서버 최종 앞단에 위치하여 서버 감지 사례 #1 익스플로이트 (Exploit) 이 프로그램은 위험하며, 실행되는 해당 컴퓨터를 악용합니다. Trojan Downloader 이 프로그램은 위험하며, 다른 프로그램을 다운로드합니다. 웜 (Worm) 이 프로그램은 위험하며, 네트워크 연결을 통해 자동으로 전파됩니다. HackTool: Win32/AutoKMS HackTool: Win64/AutoKMS Trojan: Win32/Wacatac.Blml HackTool: Win32/Keygen Trojan: Script/Wacatac.Blml App: SoftDownloader Backdoor: PHP/Webshell.PF Backdoor: Python/Tortolshell.AIMTB [ 그림. 감염된 디바이스 집계 사례 ] 처리방식 #1: 격리 후 자동 삭제 서버에서 실행해 볼 수 없음 위험한 파일로 감지된 것을 서버에서 실행해 볼 수가 없습니다. 그 이유는, 서버에 어떤 악영향을 줄 지 모르기 때문입니다. 다른 정상적인 파일들을 보호하기 이한 조치이니 이해해주시기 바랍니다. 1차적 겪리 처리 일단, 발견되면 감지Bot이 자동으로 해당 파일을 겪리합니다. 일정기간 겪리된 파일을 분리 운용합니다. 특정 시점에서 자동 삭제처리 하루에도 수 많은 파일들이 클라우드 서버로 업로드 되기 때문에 문제가 되는 해당 파일을 서버에 갖고 있을 수 없습니다. 어떤 경로로든 해당 파일이 악용되어져서는 안되기 때문입니다. 본 클라우드 운용정책은 이 문제가 되는 파일을 Bot이 자동으로 삭제처리하도록 정책을 결정하였습니다. 업로드된 특정 파일이 사용자의 PC에서 다운로드가 되지 않는다면, 대부분 이경우에 해당합니다. 이런 증상이 발견될 시, 관리자에게 문의 하시어, 해당 PC를 전체적으로 검사하셔야 합니다. 특정 IP대역에서 지속적 발생시 IP차단조치 일단, 사용자는 무조건 업로드한 PC를 체크하시어, 원인을 찾고, 재발되지 않게 해야합니다. 이는, 회사 내부의 관리자를 통해 운용중인 내부 지침을 따르시기 바랍니다. 증상을 방치하시어, 재발되는 현상이 지속된다면, 해당 회사 IP를 차단할 수 밖에 없는점 이해해 주시기 바랍니다. 결론 당사의 클라우드 운용정책은, 일단 보호하자가 최우선입니다. 비 정상 파일을 보호하려는 의무보다, 시스템의 안정성을 우선시 하는 정책을 취하고 있습니다. 감염이 된 파일은, 고객의 동의 없이, 무조건 격리하고, 다른 악용을 막기위해 무조건 삭제처리하고 있습니다. 이는, 더 큰 손실을 막기 위한 운용정책이니, 관리자 교육때 반드시 이 내용을 숙지하시기 바랍니다.
신달수 -
위, 글은 그룹웨어 계약 및 관리자, 사용자 교육 시 반드시 언급되어져야할 내용입니다.