□ 결론
소만사의 프로그램 Privacy-I로 암호화된 파일이다 pia는 글로벌 정책으로 중앙서버에서 잠금처리를 한 것이다. 관련 담당자(보안담당자 등) 연락을 취하여 해제 요청을 하자
□ 개요
일부 문서(pptx, xlsx, hwp, pdf) 파일 명에 .pia 가 붙는 경우가있다.
회사에서 일부 이용자들이 파일 확장자가 변경된 것을 보고 랜섬웨어라고 생각하여 제보하는 경우가 있다. 만일 정보보안/인프라 담당자로서 pia 파일에 대하여 암호화가 되었다고 문의가 들어오면 다음의 단계를 따르자.(회사 프로세스에 따라 다름)
□ 확인사항
1. 랜섬웨어 조치 방법하나로 랜선 분리를 우선적으로 조치를 하라고 권고를 하고 pia 파일이 증식하는지 파악한다.
* pia 확장자를 사용하는 랜섬웨어는 2021.04.29. 이전 보고된 바가 없다. 만약 pia 확장자로 만들어지는 파일이 증가하는 현상이 있고 암호화 하며 돈을 요구하는 랜섬웨어의 징후 발견 시 정보자산 격리 및 자산중요도에 따라 랜섬웨어 요구자와의 협상 또는 컴퓨터 포맷 처리 진행하는 편이 좋다.
2. 그 다음 단계는 사용자에게 3번 이후의 사항에 대하여 확인요청을 하거나 당담자가 실물정보자산을 이관받아 직접 수행하는 방법으로 나뉜다.
3. 그 후에 솔루션을 담당하는 유관부서에 소만사의 Privacy-I 개인정보보호 솔루션을 회사에서 사용 했던지 사용 중인지를 우선적으로 확인해 볼 필요가 있다.
3-1. Privacy-I를 사용했다고 확인이 되는 경우
- Privacy-I의 설치유무에 따라 아이콘이 흰색이거나 죄측 하단에 좌물쇠 아이콘이 걸려있을 것이다. 설치 후 오른쪽 클릭으로 복호화를 진행하여 파일을 사용하자.
A. 솔루션이 존재하지 않는 상태라면 pia 파일과 연결된 솔루션이 없기 때문에 아이콘이 다음과 같이 하얀색으로 뜬다. 다시 Privacy-I 솔루션을 재설치하면 정상적으로 아이콘이 돌아온다. 일반 아이콘 왼쪽하단에 자물쇠가 걸려있을 것이다.
B. 솔루션이 설치되어 있는 상태라면 정상아이콘 왼쪽 하단에 자물쇠로 아이콘이 생겨있을 것이다 오른쪽 마우스 클릭 Privacy-I 복호화를 눌러 암호화 해제를 하자
3-2. Privacy-I를 사용하지 않았다고 하는 경우
- 외부에서 사용한 컴퓨터라면(공용 또는 프로젝트 노트북) 타 회사에서 Privacy-I로 암호화한 파일을 저장했을 경우가 있을 수 있다.
A. 암호화된 파일이 타사의 파일의 경우 삭제 조치한다.
B. 암호화된 파일이 당사의 파일인 경우 중요파일이 아니라면 삭제한다.
C. 암호화된 파일이 당사의 파일인 경우 중요파일이면 원본파일이 회사내에 있는지 확인한다.
C-1. 원본파일이 존재하면 pia 파일을 삭제한다.
C-2. 원본파일이 존재하지 않으면 Privacy-I 클라이언트 파일을 제공 받아 복호화를 진행한다.
*랜섬웨어가 아닌 경우를 가정함
□ 결론
사용자 컴퓨터에 Privacy-I 가 설치되어 있지않아 pia 확장자로 암호화된 파일에 대하여 랜섬웨어로 착각
pia 확장자로 암호화된 파일에 대하여 Privacy-I 복호화 방법을 몰라서 랜섬웨어로 착각
Privacy-I로 이전 파일에 대하여 암호화 했으나 추후에 발견하여 랜섬웨어로 착각
타사에서 쓰이던 Privacy-I 암호화된 파일을 랜섬웨어로 착각
□ 권고사항
Privacy-I를 다른 솔루션으로 변경하는 작업 진행시 pia 파일에 대하여 복호화하라고 안내(추후 위와 같은 상황 방지)
중요파일은 주기적 백업 권고
□ 작성자 권고사항(당신의 퇴근시간을 아끼기 위하여)
A타입 : 랜섬웨어 징후 유무 확인 -> 있음 -> 정보자산 중요도에따라 협상 또는 포맷 진행
B타입 : 랜섬웨어 징후 유무 확인 -> 없음 -> Privacy-I 사용여부 확인 -> 사용이력O -> Privacy-I 설치 후 복호화 권고
C타입 : 랜섬웨어 징후 유무 확인 -> 없음 -> Privacy-I 사용여부 확인 -> 사용이력X -> 필수파일X -> 삭제
D타입 : 랜섬웨어 징후 유무 확인 -> 없음 -> Privacy-I 사용여부 확인 -> 사용이력X -> 필수파일O -> Privacy-I 설치 후 복호화(클라이언트는 알아서 받아서 설치)