랜섬웨어 위협을 해결하는 사전 접근 방안

▲ 박희범 아크서브 상무

[아이티데일리] “랜섬웨어는 가장 큰 비즈니스 위험 요인이며, IT 조직에 가장 위협적이다. 랜섬웨어는 이미 바이러스로 인한 전염병 수준에 도달했으며 2021년 1월까지 랜섬웨어로 인한 피해 비용은 200 억달러에 이를 것이다.”

IT 전문가와 비즈니스 의사 결정자는 이러한 뉴스에 대해 크게 우려할 필요는 없다. 사이버 범죄자들의 공격이 계속되겠지만 사이버 퇴치 및 재난 복구 기술의 발전으로 문제를 해결할 수 있게 될 것이기 때문이다.

여기에서는 진화하는 랜섬웨어에 대응하기 위한 미래 지향적 접근 방식을 살펴본다.


적을 바로 알아야 한다

이순신 장군의 유명한 명언인 “나를 알고 적을 알아라”는 적을 알고 자신을 알면 전쟁에서 승리할 수 있다는 것을 의미한다. 랜섬웨어로부터 IT 시스템을 보호하는 전략을 개발하려면 랜섬웨어를 이해해야 한다. 랜섬웨어가 무엇인지 알아야 하는 것이다.

데이터는 모든 조직의 핵심 자산이다. 과거를 추적하고 현재 비즈니스 상태를 알리며 미래의 비즈니스 의사 결정에 중요한 역할을 한다. ‘데이터 없이 비즈니스 없다’고 말하는 것도 이런 이유때문이다. 역으로 이것이 바로 랜섬웨어 해커들이 이용하는 아이디어가 되고 있다.

랜섬웨어는 랜섬이 지불될 때까지 컴퓨터 시스템 또는 데이터에 대한 액세스를 거부하도록 설계된 악성 소프트웨어다. 이로 인해 비즈니스가 중단될 수도 있고, 데이터가 유출 및 노출될 수 있다.

컴퓨터나 네트워크에 중요한 데이터가 저장된 현재의 상황에서 모든 기업은 랜섬웨어에 노출되어 있다고 말할 수 있다. 중앙과 지방 정부, 법 집행 기관, 의료 기관, 은행 및 신용 카드 회사 등은 모두 해커들의 주요 타겟이며, 해킹으로 인한 피해액은 날이 갈수록 커지고 있다. 이러한 랜섬웨어 공격은 산업 분야는 물론 기업의 규모에 관계없이 전방위적으로 나타나고 있어 심각성을 더하고 있다.

랜섬웨어는 컴퓨터의 파일을 암호화해 랜섬을 지불할 때까지 파일에 액세스할 수 없도록 하는 암호화웨어(Cryptoware)다. 그러나 피해 기업이 랜섬을 지불할 때도 조심해야 한다. 파일을 암호화하고 후속 암호 해독 키 교환없이 몸값을 요구하는 경우도 많다. 랜섬웨어 사례의 약 50%는 몸값을 지불한 후에도 파일에 다시 액세스 할 수 없는 것으로 조사되고 있다.

랜섬웨어는 디스크 드라이브의 MBR(Master Boot Record) 또는 Microsoft NTFS를 통해 특정 파일 또는 전체 시스템을 공격해 운영체제가 부팅되지 않도록 한다. 랜섬웨어는 종종 HTTPS 암호화 트래픽 또는 Tor와 같은 네트워크를 사용하여 탐지를 피한다. 백그라운드에서 작동할 수 있는 다른 종류의 멀웨어와는 달리, 랜섬웨어는 호스트 침투 후 랜섬 지불을 위해 추적할 수 없는 암호 화폐를 요구하면서 그 존재를 알린다.

랜섬웨어는 일반적으로 피싱 이메일을 통해 확산되지만 사이버 범죄자는 이외에도 수많은 기술을 사용해 랜섬웨어를 감염시킨다. 감염은 일반적으로 이메일 첨부 파일을 열거나 사기성 링크를 클릭 한 후에 발생한다. 멀웨어를 유포하는 데 사용되는 일반적인 경로는 아래와 같다.

▲ 멀웨어 유포 경로

해커는 연락처 목록에 있는 사람이 보낸 것처럼 보여지는 감염된 파일을 보내는 등 그 방법이 보다 정교해 지고 있다. 사용자정책과 교육은 최종 사용자의 위험한 행동을 줄이는 데 도움이 되지만 취약점을 완전히 제거하는 것은 불가능하다. 악성 콘텐츠는 브라우저나 플러그인의 취약점을 악용해 사용자 모르게 악성 코드를 실행할 수 있다. 호스트에 감염되면 같은 네트워크의 다른 컴퓨터로 쉽게 확산될 수 있다.

사이버 범죄자는 사용자가 무의식적으로 랜섬웨어를 다운로드하도록 유인하는 것 외에도 인터넷을 통해 시스템에 액세스 할 수 있다. 다크웹에서 구매한 무차별 방식과 자격 증명을 모두 사용하여 원격 데스크톱 프로토콜 및 소프트웨어 취약성을 활용해 리소스 및 데이터에 액세스할 수 있다.

2019년 한 보고서에 따르면 랜섬웨어의 가장 일반적인 목표는 기업 및 정부 기관들의 서버, 애플리케이션 인프라 및 협업 도구와 같은 고 부가가치 자산이다.


랜섬웨어 감염의 영향은?

랜섬웨어가 이슈가 되면서 기업들은 이미 데이터 보안 또는 데이터 보호 솔루션에 주목하고 있다. 랜섬웨어는 기업의 시스템 작동을 중단시켜 비즈니스에 엄청난 악영향을 미친다. 물론 계획된 백업 및 재해 복구 전략을 통해 데이터를 원활하게 복원할 수는 있지만 피해는 불가피하다고 할 수 있다. 보통 랜섬웨어 공격으로 평균 10 일 동안 시스템이 중지되는 것으로 알려지고 있다.

FBI는 몸값 지불을 권장하지 않지만 2018 년에는 250 만 달러 이상의 몸값이 지불된 것으로 파악하고 있다.

기업 및 기관들은 한번 공격 당 평균 133,000 달러의 비용을 지출한 것으로 조사되고 있다. 문제는 일부 기업들이 파일과 데이터를 모두 복구할 것이라는 확신없이 몸값을 지불한다는 것이다. 연구 결과에 따르면 랜섬웨어 해커는 일반적으로 합법적인 프로젝트를 수행하는 개발자의 평균 급여보다 두 배 이상 돈을 버는 것으로 나타나고 있다.

기업들은 랜섬웨어에 대응하기 위해 전사적으로 노력하고 있다. 그러나 항상 최악의 상황에도 대비해야 한다. 랜섬웨어 공격으로 인한 평균 손실은 데이터의 약 8 %이다. 기업들은 몸값 지불외에 민감한 데이터가 노출될 수 있다는 점도 우려한다.

최신 랜섬웨어는 네트워크 공유에서 백업 파일을 공격하고 복원을 막기 위해 워크스테이션에서 섀도 복사본을 삭제할 수도 있다. 공격과 그에 따른 데이터 손실은 상상을 초월하며 브랜드 평판에 대한 위험은 기업 신뢰성에 치명적인 영향을 미칠 수 있다.


랜섬웨어에 대응하는 방법

IT 전문가들은 랜섬웨어로부터 귀중한 시스템과 데이터를 보호하기 위해 다양한 방법을 사용하고 있다.

▲ 시스템과 데이터 보호를 위한 방법


이기종 도구는 관리가 어렵고 취약성이 증가한다

많은 기업들은 랜섬웨어를 방지하는 다양한 보안 기능을 갖추기 위해 여러 공급업체의 여러 도구를 사용한다. 예를 들어 서로 다른 업체의 방화벽, DLP 또는 웹 필터, 백업 및 재해 복구, 클라우드 백업, 데이터 센터 등을 사용하고 있다. 그러나 별도의 어플라이언스와 각기 다른 공급 업체의 제품을 사용하면 공격을 추적하고 방지하기가 더 어려운 경향이 있다.

도구와 소프트웨어에는 관리 및 업데이트가 필요하므로 여러 솔루션이 함께 사용되는 경우 최신 형태의 멀웨어를 최신 상태로 유지하기가 더 어려워진다. 여러 공급 업체 및 솔루션을 관리하면 위험, 취약성 및 오류가 증가하며 생산성이 저하되고 비용이 증가한다.

오늘날 알 수 없는 멀웨어, 익스플로잇 및 랜섬웨어에 대한 포괄적인 데이터 백업 및 복구, 신경망 및 엔드 포인트 보호 기능을 갖춘 단일 심층 방어 솔루션으로 복잡한 레거시 멀티 벤더 랜섬웨어 툴을 혁신 할 수 있다.


IT 전문가도 IT 관리 관행 필요

방화벽, 침입 탐지 및 예방 시스템, 이메일 보안 등의 솔루션은 사이버 보안 및 랜섬웨어 보호에 필수적이다. 통합 데이터 보안 및 보호를 위한 진화된 솔루션은 필수적이며 동시에 건전한 IT 관리 관행 역시 매우 중요하다.

먼저 최종 사용자 행동이 가장 큰 위협이라는 사실을 인식하는 것이 중요하다. 조직은 직원이 정책이나 절차를 우회하는 시기를 감지하는 IT 관리 제어를 구현해야 한다. 관리 관행을 위해서는 사용자 참여가 필수적이다. 그리고 IT 전문가는 다음과 같은 사항을 고려해야 한다.

먼저 IT 전문가는 위험을 평가하기 위해 전체 IT 포트폴리오를 고려해야한다. 모든 시스템은 공격에 취약하지만 헤커들은 보호되지 않은 가치 있는 정보에 가장 관심이 있다. 회사는 리소스 보호의 우선 순위를 정하고 복구 지점 목표 (RPO)를 포함한 사전 예방적 IT 관리를 사용하여 장애 발생시 수용할 수 있는 데이터 손실량을 고려하고 방어를 강화해야한다. 또한 보유한 리소스와 구성 방법을 알아야 하며 변경 사항을 엄격하게 제어해야 한다.

ITIL(Information Technology Infrastructure Library)과 같은 프레임 워크는 조직이 IT 관리를 위한 모범 사례를 실행하도록 도와준다. ITIL은 조직이 사이버 보안 및 랜섬웨어 위협을 강화하기 위해 마스터할 수 있는 구성 관리, 변경 관리 및 릴리즈 관리에 대한 사례를 제공한다.

다각적인 랜섬웨어 공격을 방어하려면 올바른 기술과 건전한 IT 관리 사례를 결합한 다양한 방어전략이 필요하다. 이상적인 솔루션은 다층의 종합적인 보안 및 보호 솔루션이다.

IT 조직이 랜섬웨어에 대한 최후의 방어선을 구축할 수 있다면 랜섬웨어의 위협을 사실상 제거하고 해커로부터 조직의 데이터를 보호하고 보호하는 방식을 바꿀 수 있다.

최근 전 세계 IT 전문가를 대상으로한 설문 조사에 따르면 응답자 3명 중 2명은 데이터 보안과 보호 기능을 결합한 솔루션을 찾는 것이 매우 중요하다고 답했다. 이 응답자는 AI를 통합하여 재해를 예측하는 솔루션 또는 규정 준수를 자동화하는 솔루션을 찾는 것보다 훨씬 더 중요하다고 생각한다.

여기에서는 5 가지 랜섬웨어 보호 전략을 간략하게 소개한다. 이들 전략은 사후 대응 보안 접근 방식을 넘어 조직을 보호하고 랜섬웨어 및 기타 위협 방지 기술을 재해 복구 및 고 가용성 기능과 통합하여 사이버 공격을 중화시킬 수 있다.


1. 적극적인 액세스 관리

권한 없는 사용자로부터 응용 프로그램 및 시스템을 보호하기 위해 필요한 제어 및 절차를 구축한다.

▲ 접근 관리 유형

2. 공격 경로 전체에서 시스템 구성 관리

광범위한 랜섬웨어 위협을 해결하는 중앙집중식 관리 시스템 및 절차를 배포한다.

▲ 공격 방어를 위한 구성 관리

3. 데이터 보안 및 데이터 보호 솔루션 결합

포괄적인 사이버 보안 및 데이터 보호를 통합하고 테스트 및 유지 관리로 엔드 투 엔드 보호를 제공한다.

▲ 데이터 보안 및 데이터 보호 솔루션 결합

4. 교육 및 커뮤니케이션으로 사용자 참여

랜섬웨어 위협으로부터 자신을 보호하는 데 필요한 교육을 한다.

▲ 교육 및 커뮤니케이션

5. 비즈니스 연속성 및 재해 복구 계획 유지 관리 및 테스트

재난 발생시 응용 프로그램 및 데이터를 완전히 복구할 수 있도록 실습, 절차 및 기술 도구를 설정, 테스트 및 유지 관리한다.

▲ 비즈니스 연속성 및 재해 복구 계획 유지 관리 및 테스트

 

 

새로운 기술은 랜섬웨어 없는 미래를 약속한다

IT 전문가는 그동안  다계층 엔드투엔드 데이터 보안/보호 솔루션에 관심을 보여왔다.

아크서브는 아크서브 어플라이언스 시리즈(Arcserve Appliance Series)와 Sophos Intercept X Advanced for Server를 결합해 하나의 통합 플랫폼에서 완벽한 데이터 보호 및 보안을 제공하는 다층 접근 방식을 제공한다.

 


랜섬웨어는 우리에게 큰 위협이지만 두려워할 필요는 없다.

진보된 백업, 재난 복구, 고 가용성 및 사이버 보안을 위한 통합 심층 보호 솔루션을 적용한다..
ROI(Return on Investment)를 실현하는 효과적인 사용자 참여, 데이터 관리 및 재해 복구 관행을 통해 IT 관행을 가능하게 한다.

위협 탐지를 가속화하고 백업 된 데이터를 즉시 복원할 수 있는 첫 번째 방어 라인을 제공한다.

엔드 투 엔드 보호 기술과 건전한 IT 관리 관행을 사용할 경우 랜섬웨어의 위협에서 벗어날 수 있다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지