랜섬웨어는 멀웨어가 컴퓨터 시스템에 침투하여 데이터를 암호화하거나 컴퓨터를 장악하는 사이버 공격의 한 유형입니다. 그 다음, 해커는 피해자에게 모든 것을 원상복귀하려면 랜섬을 지불하라고 요구합니다. PC와 비즈니스 컴퓨터 시스템 모두 똑같이 랜섬웨어에 취약합니다.
네트워크로 연결된 시스템에는 보이지 않는 보안 취약점이 있고, 과도한 다운타임을 피하기 위해 금액 상관없이 랜섬을 지불하려고 하기 때문에 지난 몇 년간 기업들이 주된 표적이 되었습니다.
랜섬웨어는 어떤 방식으로 작동합니까?
랜섬웨어로 시스템을 공격하려면 해커는 먼저 시스템에 액세스할 수 있어야 합니다. 액세스 방법은 제로 데이 또는 패치가 적용되지 않거나 알려지지 않은 공격을 사용하여 꽤 정교해졌습니다.
이러한 액세스는 흔히 피싱 공격, 악성 이메일, 침해된 이메일 첨부파일, 공격적인 컴퓨터 웜, 취약성 공격, 표적 공격 또는 클릭재킹(click-jacking)(클릭 가능한 정상적인 콘텐츠에 다른 하이퍼링크를 삽입하는 것)로부터 시작됩니다.
바이러스 백신 프로그램이 설치되어 있어도 랜섬웨어는 탐지되지 않은 채 침투하거나, 바이러스 백신의 파일에 멀웨어의 서명이 없거나 실시간 스캔이 이루어지지 않은 경우 파일 수준의 손상을 입힐 수 있습니다. 또한 컴퓨터가 네트워크로 연결된 경우 랜섬웨어는 다른 연결된 기기 및 스토리지 디바이스에 액세스할 수 있습니다.
랜섬웨어의 주요 유형은 크린 잠금 장치와 암호화 장치 두 가지입니다. 암호화 장치는 시스템의 데이터를 암호화하며 복원하려면 해독 키가 필요합니다. 스크린 잠금 장치는 잠금 화면으로 컴퓨터 시스템에 대한 액세스를 방해합니다.
두 유형의 랜섬웨어 모두 사용자에게 랜섬웨어가 침입했음을 알리기 위해 일반적으로 잠금 스크린을 사용합니다. 또한 이 화면에는 데이터에 대한 액세스를 되찾거나 시스템에 대한 제어력을 회복하는 방법에 대한 정보와 지불해야 하는 금액이 포함되어 있습니다. 보통 복원을 위한 방법으로는 해독 키 또는 기타 코드가 언급됩니다. 이 메시지는 랜섬을 지불하지 않으면 데이터가 삭제되거나 공개될 것이라는 경고를 포함하는 경우가 많습니다.
기존에는 공격자들이 기프트 카드, 계좌 이체 또는 선불 현금 서비스를 통해 랜섬을 지불할 것을 요구했다면, 요즘 선호하는 지불 수단은 비트코인과 암호화폐입니다. 문제는 랜섬을 지불한다고 사용자 또는 회사가 데이터에 대한 제어력을 되찾을 수 있다고 보장할 수 없다는 것입니다.
요즘에는 대부분의 랜섬웨어가 데이터를 외부로 뺴돌린 후 암호화 프로세스를 실행합니다. 따라서 데이터 거버넌스가 붕괴되고 HIPAA 또는 PCI와 같은 정책을 위반하게 됩니다. 데이터가 위협 행위자의 손아귀에서 완전히 돌아올 것이라고 보장할 수 없습니다. 경우에 따라 공격자는 랜섬을 받은 후 시스템에 훨씬 더 많은 멀웨어를 설치하고 회사를 통제하는 데이터로 되돌려줄 수 있습니다.
랜섬웨어의 표적은 누구입니까?
안타깝지만, 랜섬웨어는 가정용 PC부터 대규모 네트워크로 연결된 글로벌 엔터프라이즈의 컴퓨터 시스템까지 모든 것을 표적으로 삼을 수 있습니다. 기본적으로 인터넷에 연결된 모든 디바이스는 리스크가 있습니다.
랜섬웨어는 모든 산업 분야와 지리적 위치에서 규모에 상관없이 모든 기업에게 영향을 줬지만, 전문가들은 어떤 패턴을 발견했습니다. 특정 산업은 민감한 데이터를 대량으로 보관하고 있거나 공격으로 인해 더 심한 피해를 입을 수 있기 때문에 랜섬웨어 공격에 더 취약합니다. 가장 자주 표적이 되는 산업은 일반적으로 은행 및 금융 서비스, 헬스케어, 제조, 에너지 및 공공 서비스, 정부 기관, 교육입니다.
랜섬웨어는 얼마나 흔히 발생합니까?
공격 방법이 진화하고 해커가 방어 조치를 우회하는 방법을 찾아내고 있기 때문에 랜섬웨어는 공격 방법으로 더 흔히 사용되고 있습니다. 2021년 2분기 동안 랜섬웨어 공격의 총 횟수는 3억 470만 건(하루에 300만 건이 넘는 공격이 발생한다는 의미임)에 달했으며, FBI는 지구상에 있는 신종 랜섬웨어가 100개나 된다는 경고를 발표했습니다. 3개월만에 3억 470만 건의 공격이 발생했는데, 이는 2020년을 통틀어 기록된 랜섬웨어 공격이 3억 460만 건이었다는 사실과 비교됩니다.
다른 전문가들은 이렇게 말합니다.
- IDC 2021 랜섬웨어 연구에 따르면 전 세계 조직 중 대략 37%가 2021년에 일종의 랜섬웨어로 인해 피해를 입었다고 응답했습니다.
- FBI의 Internet Crime Complaint Center는 2021년 상반기 동안 2,000 건이 넘는 랜섬웨어 관련 민원을 접수했다고 보고했습니다. 이 수치는 전년대비 62% 증가한 것입니다.
- 또한 일부 표적들은 매우 중요한 시스템들입니다. Cybersecurity and Infrastructure Security Agency(사이버 보안 및 인프라 보안국)에 따르면 미국 내 16개의 중요한 인프라 분야 중 14개에 대한 랜섬웨어 인시던트가 최근 발생했습니다.
랜섬웨어의 예
- WannaCry – 현재 가장 널리 알려진 랜섬웨어 시스템 중 하나입니다. 이 랜섬웨어는 2017년 5월에 릴리스된 암호화 컴퓨터 웜이었습니다. 다른 유사한 여러 이름(WannaCrypt, WCry 등)으로도 불리는 이 랜섬웨어는 오래된 Microsoft Windows가 설치된 시스템을 표적으로 삼았습니다. 이 웜은 150개국에서 약 200,000대의 컴퓨터를 감염시켰고, 그 피해액은 수십억 달러에 달할 것으로 추산됩니다.
- CryptoLocker – 이 암호화 트로이 목마는 2013년과 2014년 사이에 활동했습니다. 악성 봇넷을 통해 확산되었으며 패키지 추적 알림 역할을 해야 했던 이메일 첨부파일을 감염시켰습니다. 지불 수단으로 비트코인을 요구한 초기 랜섬웨어 시스템 중 하나입니다.
- Petya – 2016년부터 활동한 랜섬웨어 집단의 일부인 Petya는 영향을 받은 컴퓨터의 마스터 부트 레코드를 손상시키고 Windows 부트로더를 삭제하며 강제 재시작을 수행합니다. 재시작 후 시스템이 다시 켜지면 이 멀웨어는 귀중한 데이터를 암호화합니다. 랜섬으로는 비트코인을 요구합니다.
- NotPetya – Petya와 비슷한 전술을 사용하는 이 랜섬웨어는 가장 방어하기 어려운 공격 중 하나로 여겨집니다. 이 랜섬웨어 역시 컴퓨터의 마스터 부트 레코드를 감염시키고 암호화하며, WannaCry와 유사한 웜을 통해 확산됩니다. 이 랜섬웨어는 시스템에 대한 변경 사항을 원상복구할 수 없기 때문에 이를 와이퍼라고 부르는 전문가도 있습니다. 공격이 발생하면 사실상 시스템을 복구할 수 없습니다.
- Bad Rabbit – 2017 후반에 발견된 이 랜섬웨어는 거짓 Adobe Flash 업데이트를 통해 확상되며 시스템의 파일 테이블을 암호화합니다. 이 랜섬웨어는 오데사국제공항 및 우크라이나의 인프라부를 포함하여 우크라이나와 러시아의 주요 표적을 공격합니다.
- Locky – 2016년에 릴리스된 이 랜섬웨어는 미지급 인보이스에 대한 이메일을 통해 확산됩니다. 사용자가 첨부파일을 열면 "데이터 인코딩이 올바르지 않으면 매크로를 활성화하십시오.(Enable macro if data encoding is incorrect)"라는 링크가 윗부분에 제시되고 의미 없는 텍스트들로 가득찬 페이지가 나타납니다. 이 링크를 클릭하면 암호화 트로이 목마가 특정 확장자를 가진 모든 파일을 암호화합니다.
- REvil – 이 랜섬웨어는 데이터를 훔친 후 피해자가 랜섬을 지불하지 않을 경우 공격자가 중요한 데이터를 공개하겠다고 위협하여 랜섬을 지불하도록 협박할 수 있도록 데이터를 암호화합니다.
랜섬웨어가 비즈니스에 주는 영향
랜섬웨어는 몇 가지 중요한 방식으로 비즈니스에 영향을 줄 수 있습니다. 가장 명백한 영향은 재정적 영향입니다. 미국 재무부의 Financial Crimes Enforcement Network에 따르면 2021년 상반기 동안 랜섬웨어 관련 지출이 5억 9,000만 달러였다고 합니다. 그 전년도에 이 기관이 랜섬웨어 관련 지출로 보고한 금액은 4억 1,600만 달러에 불과했습니다. 기업은 랜섬을 지불하지 않더라도 생산성 저하와 데이터 손실로 인해 상당한 재정적 손실을 입을 수 있습니다.
재정적 피해 이외에도 랜섬웨어는 공격에 대한 소문이 나거나 공격자가 중요한 데이터 또는 기밀 데이터를 공개할 경우 기업의 평판에 손상을 입혀 피해자에게 피해를 줄 수 있습니다. 랜섬웨어 공격으로 인한 소송은 많은 비용이 발생하며 상당한 시간이 소요됩니다. 따라서 기업의 직원들은 일상 업무를 수행하지 못합니다. 예를 들어, 영국의 National Health Service(NHS, 국가 보건 서비스)는 예약 취소와 다운타임으로 인해 미화 1억 달러 이상의 손실을 입었습니다.
업계에서 부과하는 벌금 역시 큰 타격을 줄 수 있으며, 벌금이 랜섬 및 복구 비용에 더해져 피해 금액이 기하급수적으로 늘어납니다.
랜섬웨어를 예방하는 방법
모든 유형의 랜섬웨어를 100% 예방하거나 방어하는 방법은 없지만, 랜섬웨어로부터 조직을 보호하고 공격자들이 찾고 있는 취약점을 제거하기 위해 기업이 할 수 있는 일은 많습니다. 몇 가지 권장 사항은 아래와 같습니다.
- 심층 방어 보안을 활용합니다. 랜섬웨어 및 기타 사이버 공격의 위험을 줄이려면 시스템을 빈틈 없이 보호하는 여러 겹의 보안을 갖추는 것이 현명합니다.
- 직원에게 랜섬웨어가 무엇이고 어떻게 확산되는지 교육합니다.사회공학적 기법 그리고 사용자를 속여 클릭하게 만드는 거짓 문서와 첨부파일 등 공격자가 시스템에 침입하기 위해 활용하는 다양한 방법을 직원에게 교육합니다.
- 시스템을 모니터링하고 데이터를 자주 백업합니다. IT 팀에게 비정상적 데이터 액세스 행동과 트래픽을 알려주는 모니터링 툴을 사용합니다. 또한, 데이터의 백업 복제본을 보관하고 최소한 하나의 복제본은 오프사이트에 두면 데이터 손실 위험을 최소화할 수 있습니다.
- 패치 적용 일정을 파악합니다.랜섬웨어는 보통 기존의 취약점을 통해 시스템에 침투하므로 최신 업데이트를 적용하면 이러한 진입 지점을 봉쇄하는 데 도움이 될 수 있습니다.
- 대응 전략을 개발하고 연습합니다.사전에 계획을 수립하면 랜섬웨어 공격에 신속하고 효율적으로 대응할 수 있습니다. 또한 모의훈련을 통해 준비하면 조직 내 모두가 공격 발생 시 해야 할 행동을 알 수 있습니다.
- 이메일 사용 및 웹 서핑 시 안전을 유지합니다.이메일은 랜섬웨어가 시스템으로 침투할 때 이용하는 흔한 통로입니다. 그러므로 위험을 제기할 가능성이 있는 이메일을 식별하여 차단하고 애매모호한 첨부파일과 URL로부터 보호하도록 이메일 게이트웨이의 보안을 강화해야 합니다. 마찬가지로, 웹 게이트웨이를 통해 온라인 트래픽을 모니터링하여 의심스러운 광고나 링크를 탐지해야 합니다.
- 모바일 디바이스를 보호합니다.일부 모바일 디바이스 관리 솔루션은 모바일 디바이스를 통해 수신된 악성일 가능성이 있는 애플리케이션이나 메시지를 사용자에게 알려줍니다.
- 관리 권한을 제한합니다. 관리 액세스 권한을 가진 사람을 파악하고 직원이 퇴사할 경우 반드시 액세스 및 권한을 취소해야 합니다.
- 애플리케이션의 화이트리스트를 작성합니다.이러한 방법으로 디바이스 또는 컴퓨터에서 실행할 애플리케이션을 미리 정해놓고 구체적으로 승인되지 않은 다른 애플리케이션을 차단하여 위험을 줄일 수 있습니다. 또한 IT 팀이 승인받지 않은 사용자가 설치한 프로그램을 제거하고 멀웨어 코드를 실행하려는 악의적 시도를 차단하는 데 도움을 줄 수 있습니다.
- 제로 트러스트 전략과 아키텍처를 도입하고 실행합니다.제로 트러스트는 "절대 신뢰하지 않고 항상 검증한다"라는 개념을 기반으로 제어 프레임워크를 제공합니다. 이 개념은 디바이스가 기업 LAN과 같은 허용된 네트워크에 연결되어 있고 이전에 검증된 적이 있더라도 기본적으로 디바이스를 신뢰해서는 안 된다는 의미입니다.
- 마이크로세그멘테이션을 통해 관리형 애플리케이션 네트워크 분리 기능을 활용합니다.마이크로세그멘테이션은 워크로드를 출입하는 네트워크 트래픽을 제어하기 위해 애플리케이션, VM 또는 데이터 수준에서 보안 정책 모델을 활용합니다. 마이크로세그멘테이션 솔루션이 실행하는 이 정책들은 관리형 소프트웨어 방화벽이라는 것을 사용하여 원치 않는 네트워크 위험을 증가시키지 않고 원하는 트래픽만 특정 애플리케이션을 지나갈 수 있도록 합니다.
랜섬웨어 보호 조치를 취해야 할까요?
규모에 상관없이 모든 기업은 데이터 보안을 우선적으로 고려해야 합니다. 랜섬웨어 보안 및 보호는 귀사에 중요한 공격 벡터에 초점을 맞춘 계층적 접근법입니다. 귀사의 컴퓨터 운영 체제에는 고급 안티멀웨어 엔드포인트 보호와 같은, 랜섬웨어 공격 위험을 낮출 수 있는 보안 기능이 내장되어 있을지도 모릅니다.
그렇지만 인프라, 네트워크, 데이터 수준에서도 강력하고 포괄적인 보호 계층을 추가하는 것이 중요합니다. 이러한 유형의 전략을 심층 방어라고 부릅니다. 이러한 전략을 따르면 랜섬웨어 공격이 성공한 경우에도 충격 또는 영향을 받는 범위를 크게 줄일 수 있습니다.
제로 트러스트는 랜섬웨어로부터 보호를 제공하는 주요 전략입니다. Zero Trust Network Access(ZTNA)와 함께, 제로 트러스트는 단지 경계뿐만 아니라 기술 스택의 모든 계층에서 통상적으로 비밀번호와 VPN이 주로 사용된 신뢰할 수 있는 네트워크에 대한 액세스 수행 시 중요한 확인 지점을 제공합니다.
보안 상태 유지에 여전히 중요한 단일 인증 지점은 일반적으로 한 번에 리소스에 대한 포괄적인 액세스를 제공합니다. 한편, 제로 트러스트는 다수의 인증 지점을 제공하며 사용자에게 액세스보다는 필요한 것을 제공합니다.
랜섬웨어 공격이 발생하면 어떻게 해야 합니까?
물론 랜섬웨어 공격으로 피해를 입지 않으려면 예방이 최고의 방법이지만, 공격 발생 시 대응 방법에 대한 계획을 수립해 놓는 것이 좋습니다. 랜섬웨어 공격 후 취해야 할 조치에 관한 모범 지침 몇 가지는 아래와 같습니다.
침착하게 비즈니스 연속성 계획을 실행
중요한 비즈니스 파일에 접근하지 못하거나 데이터 삭제 위협에 시달리게 되면 평정심을 유지하기 어렵습니다. 하지만 침착함을 유지하고 즉각적으로 행동을 취하기 전에 상황을 전체적으로 평가하는 것이 중요합니다. 비즈니스 크리티컬 운영을 위한 대응 방법을 사전에 계획하면 이와 관련한 우선 순위를 파악할 수 있으며, 모두에게 공격에 대응하기 위해 해야 할 일을 주지시킬 수 있습니다.
인시던트 대응 팀에 연락
보통의 경우 귀사는 내부적으로 인시던트 대응 팀이 있거나 대응을 체계적으로 실행하고 우선 순위를 지정하는 데 도움을 주는 사이버 보험 등에 가입되어 있을 것입니다.
인시던트를 정부에 보고
미국에서는 stopransomware.gov를 통해 랜섬웨어를 보고하고 연방 정부 기관의 도움을 받을 수 있습니다. 랜섬웨어에 대한 정부 대응 방법에 대해 자세히 알아보십시오.
랜섬웨어 메모를 기록
랜섬웨어 메모의 사진을 찍어 두면 경찰에 신고할 때 도움이 됩니다.
침해된 시스템을 파악하고 격리합니다.
랜섬웨어는 네트워크로 연결된 다른 컴퓨터와 디바이스를 감염시킬 수 있습니다. 그러므로 영향을 받은 시스템을 최대한 빨리, 그리고 확실하게 격리하십시오. 경우에 따라 영향을 받은 기기를 네트워크에서 분리해야 할 수도 있습니다.
자동화된 유지 관리 작업을 즉시 비활성화
영향을 받은 시스템에서 로그 로테이션(log rotation) 또는 임시 파일 삭제 등의 작업을 비활성화하고 영향을 받은 디바이스의 전원을 끕니다. 그러면 이러한 작업으로 인해 향후 조사 및 분석에 필요한 데이터 파일이 변경 또는 수정되는 일을 방지할 수 있습니다.
모든 데이터 백업의 연결 끊기
최신 랜섬웨어들은 백업을 공격하여 복구를 불가능하게 만들려고 하므로 백업을 네트워크에서 분리합니다. 또한 랜섬웨어 멀웨어가 제거될 때까지 아무도 백업에 액세스하지 못하도록 하는 것이 현명합니다.
데이터 백업의 일관성 확인
정상 백업의 연결을 끊고 알려진 클린 엔드포인트를 사용하는 경우 백업의 상태와 일관성을 확인합니다. 최신 랜섬웨어 공격은 랜섬을 확실히 지급받기 위해 점점 더 백업을 표적으로 삼고 있습니다.
시스템을 감염시킨 랜섬웨어 종류 확인
감염의 원인이 된 랜섬웨어 종류를 확인할 수 있다면, 랜섬웨어를 퇴치하기 더 쉽습니다. 유용한 무료 온라인 서비스로는 ID Ransomware와 Emsisoft의 온라인 랜섬웨어 식별 툴이 있습니다. 이 두 사이트에서 랜섬 메모의 이미지와 암호화된 데이터의 샘플을 업로드할 수 있습니다. 그러면 이 사이트들은 랜섬웨어 종류를 파악하려고 할 것입니다.
해독 툴을 사용하여 향후 공격을 피할 수 있는지 확인
No More Ransom 과 같이 랜섬웨어의 공격을 받은 데이터를 해독하는 데 도움을 주는 많은 툴들이 온라인에 존재합니다. 랜섬웨어의 이름을 알고 있으면 좋습니다. 목록 하단에서 최신 해독 방법을 검색하십시오.
온라인 계정 및 비밀번호를 재설정
영향을 받은 시스템을 네트워크에서 분리한 후에는 온라인 계정과 애플리케이션에 새 비밀번호를 설정합니다. 랜섬웨어를 완전히 제거한 후 비밀번호들을 모두 다시 변경합니다.
랜섬을 지불할지 여부를 결정
이것은 쉬운 결정이 아니며, 랜섬을 지불하든 그렇지 않든 장점과 단점이 있습니다. 그러나 기억해야 할 사항 한 가지는 다른 모든 조치를 이미 취했고 데이터를 잃느니 랜섬을 지불하는 것이 더 낫다고 결론을 내린 경우에만 랜섬을 지불해야 한다는 것입니다.
위협을 완전히 뿌리뽑기 위해 전문가 활용
사이버 인시던트 대응 팀 활용의 필요성을 반복하여 말하고 싶습니다. 시스템의 취약점을 찾고 영향을 받은 시스템을 파악하기 위해 근본 원인을 분석할 수 있는 검증되고 신뢰할 수 있는 전문가를 활용합니다. 정리 및 최종 조사 역시 전문가가 수행해야 합니다. 공격자들은 시스템의 모든 종류의 백도어와 알려지지 않은 진입 지점을 이용합니다.
시스템 복원 우선 순위 지정
이 사항은 비즈니스 연속성 계획에 잘 정의되어 있어야 합니다. 그렇지 않은 경우, 비즈니스 운영에 가장 중요하므로 복원을 위한 첫 번째 우선 순위가 되어야 하는 시스템과 데이터를 파악하십시오. 이러한 시스템들은 수익과 생산성에 영향을 줍니다.
공격 사후 분석 수행
향후 이벤트를 방지하려면 기술적으로 상세히 랜섬웨어가 어떻게 발생했는지 이해하는 것이 중요합니다. 또한 이를 통해 새로운 보안 이니셔티브와 목표를 설정할 수 있습니다.
보안을 업그레이드하기 위해 전문가와 상의
랜섬웨어 공격은 또 발생할 수 있습니다. 사실, 회사가 두 번째 공격을 받는 일은 꽤 흔합니다. 최초에 공격자가 시스템에 침입하는 데 이용한 취약점을 찾아내지 않으면 이 취약점은 다시 악용될 수 있습니다. 신뢰할 수 있는 파트너 또는 내부 인시던트 대응 팀의 제안을 고려하여 전체적인 보안 대책을 향상하십시오.
결론
통계적으로 볼 때 랜섬웨어 공격은 누구에게나 발생할 수 있습니다. 랜섬웨어 공격은 계속적으로 진화되고 있으며 방어막을 뚫는 능력도 향상되고 있으므로 위험을 완전히 제거하는 것은 불가능합니다. 따라서 비즈니스 연속성 계획, 즉 랜섬웨어 공격을 받을 경우 해야 할 일을 정의하는 정교한 전략을 사전에 준비하는 것이 중요합니다.
공격 직후의 대응 방법과 취해야 할 조치를 알면 도움이 될 수 있습니다. 또한 잠재적 취약성을 줄이려는 목적으로 데이터를 보호하고 시스템을 최신 상태로 유지하기 위해 전반적으로 우수한 보안 위생과 일상적 의식 수준 높이는 것도 도움이 될 수 있습니다.
시스템의 취약한 진입 지점을 제거하고 탄탄한 대응 계획을 수립하면 조직이 랜섬웨어로 인한 장기적 영향에 시달릴 가능성을 대폭 낮출 수 있습니다.
