SlideShare a Scribd company logo

(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어

INSIGHT FORENSIC
INSIGHT FORENSIC

F-INSIGHT CONFERENCE 2016

Technology
1 of 21
Download to read offline
FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA 분석가와 관리자가 바라보는 랜섬웨어 Dalgomtaeng dalgomtaeng@gmail.com @dalgomtaeng
forensicinsight.org Page 2 Who Am I ?  아직은 20대  분석가에서 관리자로, 이제는 설계자  관심사 : DFIR, 대규모 인프라 보안, 클라우드, 오픈소스, 육아(?)
forensicinsight.org Page 3 목차 1. 랜섬웨어 2. 랜섬웨어 침해사례 3. 생각해 볼 것들
forensicinsight.org Page 4 랜섬웨어
forensicinsight.org Page 5 랜섬웨어  랜섬웨어란? • Ransom(몸값) + Ware(제품) • 파일을 인질로 잡아 몸값을 요구하는 소프트웨어
forensicinsight.org Page 6 랜섬웨어  왜 핫한가? • 수요를 계속해서 창출  공격자 입장에서는 전세계 인터넷 기기가 모두 고객 • 쉽게 돈을 벌 수 있음  가상화폐를 이용하고 구조가 단순
forensicinsight.org Page 7 랜섬웨어 침해사례
forensicinsight.org Page 8 랜섬웨어 침해사례  Case 1 • 지인 A의 PC의 일부 파일이 암호화 • 확장자만 바뀐 파일도 존재 • 암호화에 사용했던 키가 PC에 존재  리버싱으로 해결!
forensicinsight.org Page 9 랜섬웨어 침해사례  Case 2 • 지인 B의 회사 다수의 PC의 일부 파일이 암호화 • 암호화 된 PC에서 랜섬웨어 및 유입 경로를 찾을 수 없었음 • VSC(Volume Shadow Copy)를 이용하여 복구
forensicinsight.org Page 10 랜섬웨어 침해사례  Case 2 • 암호화 된 PC는 공유폴더를 사용 중이었으며, 암호화 된 파일 모두 공유폴더 안에 존재  최초 감염된 PC에서 공유폴더를 암호화 함으로서 피해를 확산 • 최초 감염자는 누구?  같은 사무실의 C부장으로 컴퓨터가 느려지고 금전 요구화면에 위기 의식을 느끼고 포맷
forensicinsight.org Page 11 랜섬웨어 침해사례  Case 3 • 지인 D의 회사 다수의 PC의 일부 파일이 암호화 • 암호화 된 PC 모두에서 랜섬웨어 및 유입 경로를 찾을 수 있었음  사내 ERP서버 해킹으로 인한 악성링크 삽입 • 파일 복구 불가  암호화에 사용된 키를 PC에 남기지 않음  랜섬웨어가 VSC를 모두 삭제함
forensicinsight.org Page 12 생각해 볼 것들
forensicinsight.org Page 13 생각해 볼 것들  대응은 어찌하나? • 대규모 감염 시 최초 감염 PC선별 필요  암호화로 생긴 파일의 시간이 제일 빠른 PC  공유 폴더 외에서 암호화된 파일이 발견된 PC  공유 폴더 내의 랜섬웨어 안내문을 생성한 사용자의 PC
forensicinsight.org Page 14 생각해 볼 것들  대응은 어찌하나? • 랜섬웨어의 분석이 필요한가?  C&C 통신 확인으로 추가 감염자 확인 가능  쉽게 복구 가능한 경우가 있음
forensicinsight.org Page 15 생각해 볼 것들  점점 복구가 어려워 진다 • 암호화 키 자체 삭제 • VSC 및 윈도우 백업 본 삭제 • 암호화된 파일을 원본 파일에 덮어쓰기
forensicinsight.org Page 16 생각해 볼 것들  돈을 주고 복구하면 될까? • 일종의 사업이라 신뢰가 중요  몸값 지불시, 대부분이 복구됨 • 신뢰할 사업자(?) 만 존재하는가?  랜섬웨어는 제작이 쉬운편이라, 점점 다양해짐  복구의 의무는 없음
forensicinsight.org Page 17 생각해 볼 것들  유입 경로의 다양화 및 AV우회 • 스팸 메일  비밀번호가 첨부된 파일 또는 문서가 아닌 파일로 AV우회 • 악성 링크 삽입  불특정 다수의 사람이 접근하는 사이트  회사 내부 서버에 삽입
forensicinsight.org Page 18 생각해 볼 것들  랜섬웨어가 무섭다 • 다양한 암호화 알림 방식
forensicinsight.org Page 19 생각해 볼 것들  랜섬웨어가 무섭다 • 업무 관련 파일 암호화로 인해 은폐하려는 경우 발생  교육과 홍보를 통한 인식개선  네크워크 포렌식을 통한 분석
forensicinsight.org Page 20 생각해 볼 것들  랜섬웨어 예방 • 꾸준한 보안 업데이트 • 수상한 첨부파일 열지 않기 • 업무와 비업무의 분리
forensicinsight.org Page 21 Question and Answer

Recommended

(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라INSIGHT FORENSIC
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?plainbit
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?plainbit
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법INSIGHT FORENSIC
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나INSIGHT FORENSIC
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석INSIGHT FORENSIC
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?plainbit
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fsINSIGHT FORENSIC
 

Recommended

(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라INSIGHT FORENSIC
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?plainbit
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?plainbit
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법INSIGHT FORENSIC
 
(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나(Ficon2016) #1 디지털포렌식, 어디까지 왔나
(Ficon2016) #1 디지털포렌식, 어디까지 왔나INSIGHT FORENSIC
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석INSIGHT FORENSIC
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?plainbit
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fsINSIGHT FORENSIC
 
(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?plainbit
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기INSIGHT FORENSIC
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware TrackerGangSeok Lee
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응INSIGHT FORENSIC
 
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Korea University
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석한익 주
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)INSIGHT FORENSIC
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)INSIGHT FORENSIC
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationJason Choi
 
Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012Korea University
 
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven SecurityKorea University
 
디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!SeungYong Yoon
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응Youngjun Chang
 
2017 BoB 3rd BISC conference
2017 BoB 3rd BISC conference2017 BoB 3rd BISC conference
2017 BoB 3rd BISC conferenceKorea University
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법Youngjun Chang
 
랜섬웨어
랜섬웨어랜섬웨어
랜섬웨어JihyeonLee01
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규ChangKyu Song
 
Art of hacking 발표자료
Art of hacking 발표자료Art of hacking 발표자료
Art of hacking 발표자료Dennis Kim
 
이노티움_카다로그.pdf
이노티움_카다로그.pdf이노티움_카다로그.pdf
이노티움_카다로그.pdf시온시큐리티
 

More Related Content

What's hot

(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?plainbit
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기INSIGHT FORENSIC
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware TrackerGangSeok Lee
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응INSIGHT FORENSIC
 
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Korea University
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석한익 주
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)INSIGHT FORENSIC
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)INSIGHT FORENSIC
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationJason Choi
 
Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012Korea University
 
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven SecurityKorea University
 
디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!SeungYong Yoon
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응Youngjun Chang
 
2017 BoB 3rd BISC conference
2017 BoB 3rd BISC conference2017 BoB 3rd BISC conference
2017 BoB 3rd BISC conferenceKorea University
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법Youngjun Chang
 

What's hot (18)

(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
 
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
(Fios#02) 3. 빠르게 끝내는 악성코드 분석과 대응
 
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
 
지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석지능형지속위협공격 최신동향 분석
지능형지속위협공격 최신동향 분석
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
 
(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)(130608) #fitalk trends in d forensics (may, 2013)
(130608) #fitalk trends in d forensics (may, 2013)
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript Obfuscation
 
Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012Security Intelligence by log analysis, A3-SMS 2012
Security Intelligence by log analysis, A3-SMS 2012
 
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven Security
 
디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!디지털포렌식, 이것만 알자!
디지털포렌식, 이것만 알자!
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 
2017 BoB 3rd BISC conference
2017 BoB 3rd BISC conference2017 BoB 3rd BISC conference
2017 BoB 3rd BISC conference
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 

Similar to (Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어

[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규ChangKyu Song
 
Art of hacking 발표자료
Art of hacking 발표자료Art of hacking 발표자료
Art of hacking 발표자료Dennis Kim
 
안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제Hyoje Jo
 
CYREN 2013년 인터넷 위협 보고서_국문
CYREN 2013년 인터넷 위협 보고서_국문CYREN 2013년 인터넷 위협 보고서_국문
CYREN 2013년 인터넷 위협 보고서_국문Jiransoft Korea
 
(Ficon2016) #6 귀사의 보안 프로그램은 안녕하신가요
(Ficon2016) #6 귀사의 보안 프로그램은 안녕하신가요(Ficon2016) #6 귀사의 보안 프로그램은 안녕하신가요
(Ficon2016) #6 귀사의 보안 프로그램은 안녕하신가요INSIGHT FORENSIC
 
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...INSIGHT FORENSIC
 
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석GangSeok Lee
 
NETSEC-KR 2015, 온라인게임보안의 미래
NETSEC-KR 2015, 온라인게임보안의 미래 NETSEC-KR 2015, 온라인게임보안의 미래
NETSEC-KR 2015, 온라인게임보안의 미래 Korea University
 
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)FNGS Labs
 
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0wre4lfl0w
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)INSIGHT FORENSIC
 
Cloudoc against ransomware_kor_20171019
Cloudoc against ransomware_kor_20171019Cloudoc against ransomware_kor_20171019
Cloudoc against ransomware_kor_20171019sang yoo
 
랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10Sik Kim
 
(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)INSIGHT FORENSIC
 
랜섬웨어 위기 및 대응 솔루션_유리시스템
랜섬웨어 위기 및 대응 솔루션_유리시스템랜섬웨어 위기 및 대응 솔루션_유리시스템
랜섬웨어 위기 및 대응 솔루션_유리시스템PAUL OH
 
Cybereason in Korea, SMEC
Cybereason in Korea, SMECCybereason in Korea, SMEC
Cybereason in Korea, SMECSMEC Co.,Ltd.
 
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]은옥 조
 
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전Lee Chanwoo
 

Similar to (Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어 (20)

랜섬웨어
랜섬웨어랜섬웨어
랜섬웨어
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
 
Art of hacking 발표자료
Art of hacking 발표자료Art of hacking 발표자료
Art of hacking 발표자료
 
이노티움_카다로그.pdf
이노티움_카다로그.pdf이노티움_카다로그.pdf
이노티움_카다로그.pdf
 
안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제안드로이드 악성코드의 철학적_연구_padocon_조효제
안드로이드 악성코드의 철학적_연구_padocon_조효제
 
CYREN 2013년 인터넷 위협 보고서_국문
CYREN 2013년 인터넷 위협 보고서_국문CYREN 2013년 인터넷 위협 보고서_국문
CYREN 2013년 인터넷 위협 보고서_국문
 
(Ficon2016) #6 귀사의 보안 프로그램은 안녕하신가요
(Ficon2016) #6 귀사의 보안 프로그램은 안녕하신가요(Ficon2016) #6 귀사의 보안 프로그램은 안녕하신가요
(Ficon2016) #6 귀사의 보안 프로그램은 안녕하신가요
 
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...(Ficon2015) #4 어떻게 가져갔는가, 그리고...
(Ficon2015) #4 어떻게 가져갔는가, 그리고...
 
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
 
NETSEC-KR 2015, 온라인게임보안의 미래
NETSEC-KR 2015, 온라인게임보안의 미래 NETSEC-KR 2015, 온라인게임보안의 미래
NETSEC-KR 2015, 온라인게임보안의 미래
 
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
악성코드 자동화 분석을 통한 인텔리전스(쿡쿠 샌드박스)
 
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
 
(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)(121202) #fitalk trends in d forensics (nov, 2012)
(121202) #fitalk trends in d forensics (nov, 2012)
 
Cloudoc against ransomware_kor_20171019
Cloudoc against ransomware_kor_20171019Cloudoc against ransomware_kor_20171019
Cloudoc against ransomware_kor_20171019
 
랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10랜섬웨어 vs 윈도우 10
랜섬웨어 vs 윈도우 10
 
(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)(130413) #fitalk trends in d forensics (mar, 2013)
(130413) #fitalk trends in d forensics (mar, 2013)
 
랜섬웨어 위기 및 대응 솔루션_유리시스템
랜섬웨어 위기 및 대응 솔루션_유리시스템랜섬웨어 위기 및 대응 솔루션_유리시스템
랜섬웨어 위기 및 대응 솔루션_유리시스템
 
Cybereason in Korea, SMEC
Cybereason in Korea, SMECCybereason in Korea, SMEC
Cybereason in Korea, SMEC
 
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
 
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
 

More from INSIGHT FORENSIC

(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)INSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)INSIGHT FORENSIC
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trendINSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifactsINSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식INSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석INSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysisINSIGHT FORENSIC
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur lsINSIGHT FORENSIC
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)INSIGHT FORENSIC
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threatINSIGHT FORENSIC
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensicsINSIGHT FORENSIC
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threatINSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recoveryINSIGHT FORENSIC
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)INSIGHT FORENSIC
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in koreaINSIGHT FORENSIC
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memoryINSIGHT FORENSIC
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dumpINSIGHT FORENSIC
 

More from INSIGHT FORENSIC (20)

(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump
 

(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어

  • 1. FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA 분석가와 관리자가 바라보는 랜섬웨어 Dalgomtaeng dalgomtaeng@gmail.com @dalgomtaeng
  • 2. forensicinsight.org Page 2 Who Am I ?  아직은 20대  분석가에서 관리자로, 이제는 설계자  관심사 : DFIR, 대규모 인프라 보안, 클라우드, 오픈소스, 육아(?)
  • 3. forensicinsight.org Page 3 목차 1. 랜섬웨어 2. 랜섬웨어 침해사례 3. 생각해 볼 것들
  • 5. forensicinsight.org Page 5 랜섬웨어  랜섬웨어란? • Ransom(몸값) + Ware(제품) • 파일을 인질로 잡아 몸값을 요구하는 소프트웨어
  • 6. forensicinsight.org Page 6 랜섬웨어  왜 핫한가? • 수요를 계속해서 창출  공격자 입장에서는 전세계 인터넷 기기가 모두 고객 • 쉽게 돈을 벌 수 있음  가상화폐를 이용하고 구조가 단순
  • 8. forensicinsight.org Page 8 랜섬웨어 침해사례  Case 1 • 지인 A의 PC의 일부 파일이 암호화 • 확장자만 바뀐 파일도 존재 • 암호화에 사용했던 키가 PC에 존재  리버싱으로 해결!
  • 9. forensicinsight.org Page 9 랜섬웨어 침해사례  Case 2 • 지인 B의 회사 다수의 PC의 일부 파일이 암호화 • 암호화 된 PC에서 랜섬웨어 및 유입 경로를 찾을 수 없었음 • VSC(Volume Shadow Copy)를 이용하여 복구
  • 10. forensicinsight.org Page 10 랜섬웨어 침해사례  Case 2 • 암호화 된 PC는 공유폴더를 사용 중이었으며, 암호화 된 파일 모두 공유폴더 안에 존재  최초 감염된 PC에서 공유폴더를 암호화 함으로서 피해를 확산 • 최초 감염자는 누구?  같은 사무실의 C부장으로 컴퓨터가 느려지고 금전 요구화면에 위기 의식을 느끼고 포맷
  • 11. forensicinsight.org Page 11 랜섬웨어 침해사례  Case 3 • 지인 D의 회사 다수의 PC의 일부 파일이 암호화 • 암호화 된 PC 모두에서 랜섬웨어 및 유입 경로를 찾을 수 있었음  사내 ERP서버 해킹으로 인한 악성링크 삽입 • 파일 복구 불가  암호화에 사용된 키를 PC에 남기지 않음  랜섬웨어가 VSC를 모두 삭제함
  • 13. forensicinsight.org Page 13 생각해 볼 것들  대응은 어찌하나? • 대규모 감염 시 최초 감염 PC선별 필요  암호화로 생긴 파일의 시간이 제일 빠른 PC  공유 폴더 외에서 암호화된 파일이 발견된 PC  공유 폴더 내의 랜섬웨어 안내문을 생성한 사용자의 PC
  • 14. forensicinsight.org Page 14 생각해 볼 것들  대응은 어찌하나? • 랜섬웨어의 분석이 필요한가?  C&C 통신 확인으로 추가 감염자 확인 가능  쉽게 복구 가능한 경우가 있음
  • 15. forensicinsight.org Page 15 생각해 볼 것들  점점 복구가 어려워 진다 • 암호화 키 자체 삭제 • VSC 및 윈도우 백업 본 삭제 • 암호화된 파일을 원본 파일에 덮어쓰기
  • 16. forensicinsight.org Page 16 생각해 볼 것들  돈을 주고 복구하면 될까? • 일종의 사업이라 신뢰가 중요  몸값 지불시, 대부분이 복구됨 • 신뢰할 사업자(?) 만 존재하는가?  랜섬웨어는 제작이 쉬운편이라, 점점 다양해짐  복구의 의무는 없음
  • 17. forensicinsight.org Page 17 생각해 볼 것들  유입 경로의 다양화 및 AV우회 • 스팸 메일  비밀번호가 첨부된 파일 또는 문서가 아닌 파일로 AV우회 • 악성 링크 삽입  불특정 다수의 사람이 접근하는 사이트  회사 내부 서버에 삽입
  • 18. forensicinsight.org Page 18 생각해 볼 것들  랜섬웨어가 무섭다 • 다양한 암호화 알림 방식
  • 19. forensicinsight.org Page 19 생각해 볼 것들  랜섬웨어가 무섭다 • 업무 관련 파일 암호화로 인해 은폐하려는 경우 발생  교육과 홍보를 통한 인식개선  네크워크 포렌식을 통한 분석
  • 20. forensicinsight.org Page 20 생각해 볼 것들  랜섬웨어 예방 • 꾸준한 보안 업데이트 • 수상한 첨부파일 열지 않기 • 업무와 비업무의 분리