랜섬웨어를 방지하는 방법

랜섬웨어 공격이란 무엇인가요?

랜섬웨어의 파괴적인 영향은 지난 20년 동안 계속해서 커져 왔으며, 랜섬웨어는 단순한 기회주의적 “스매시 앤 그랩(smash-and-grab)” 스타일의 공격에서 치밀하게 조직된 공격으로 변화하고 있습니다. 개인과 기업 조직 모두 지속적으로 랜섬웨어의 희생양이 되었고 2021년에는 피해자가 평균 570,000달러의 몸값을 지불해야 했습니다.

이 블로그 게시물에서는 랜섬웨어가 무엇인지 개괄적으로 소개하고 랜섬웨어 공격을 방지하기 위해 조직에서 취해야 할 조치를 설명합니다.

랜섬웨어란 무엇인가요?

랜섬웨어는 특정 비용을 지불하도록 디지털 방식으로 피해자를 갈취하는 데 사용되는 맬웨어 클래스입니다. 피해자의 컴퓨터가 잠기거나 암호화되면 랜섬웨어 공격자들은 종종 화면에 경고를 표시하여 피해자로부터 돈을 갈취하려고 시도합니다. 피해자는 몸값을 지불하지 않으면 액세스가 복원되지 않는다는 알림을 받습니다.

랜섬웨어 공격자들은 그들의 캠페인이 얼마나 수익성이 좋은지 알고 있으며 공격 범위를 확장하여 개별 사용자를 착취할 뿐만 아니라 전체 비즈니스와 중요 인프라를 혼란에 빠뜨립니다.

어떻게 해서 컴퓨터가 랜섬웨어에 감염되나요?

랜섬웨어는 악성 첨부 파일이 포함된 피싱 이메일이나 드라이브 바이 다운로드를 통해 확산되는 경우가 많습니다. 드라이브 바이 다운로드는 사용자가 자신도 모르게 감염된 웹사이트를 방문하여 사용자가 알지 못하는 상태에서 악성 코드가 다운로드되어 설치될 때 발생합니다.

랜섬웨어 개발자는 웜과 같은 기능을 맬웨어에 통합하여 맬웨어가 회사 네트워크 전체에 자동으로 확산되게 합니다. 이렇게 하면 처음에 액세스한 컴퓨터가 치료되더라도 랜섬웨어가 지속됩니다.

랜섬웨어는 어떻게 진화해 왔나요?

앞서 언급했듯이 랜섬웨어 사이버 범죄자들은 전술을 바꿨습니다. 2019년경부터 그들은 기회주의적인 스매시 앤 그래브(smash-and-grab) 공격에서 보다 계산적인 지능형 지속 공격(APT) 스타일 공격으로 전환했습니다. 이 공격 스타일을 통해 사이버 범죄자는 영향을 받은 호스트를 암호화하기 전에 민감한 데이터를 추출하여 피해자를 다단계로 착취할 수 있습니다. 영향을 받은 호스트의 암호화 해독을 위해 조직을 착취하는 것을 넘어 민감한 데이터 공개를 방지하기 위해 조직을 착취하는 것입니다. 이 전략은 그들에게 훨씬 더 큰 이익을 가져다 주었습니다.

이러한 다단계 착취 위협은 공격자들이 더 큰 영향력을 행사할 수 있게 해 주어 희생자들은 돈을 지불하도록 압박을 받았습니다. Foxconn 공격 중 3,400만 달러의 최초 요구 가격이 보여주듯, 몸값은 매우 높을 수 있으며 2022년에는 이러한 추세가 증가할 것으로 예상됩니다.

일반적인 랜섬웨어 변종

랜섬웨어는 다양한 맬웨어 유형 그룹에 대한 일반적인 명칭입니다. 그들은 모두 제거를 대가로 몸값 지불을 요구한다는 공통된 특징을 갖지만 모두 같은 방식으로 행동하지는 않습니다.

다음은 가장 일반적인 유형 중 일부입니다.

• 락커 랜섬웨어 – 최초로 발견된 유형으로 여겨집니다. 이름에서 알 수 있듯이 컴퓨터를 잠가서 사용자가 액세스하지 못하게 하고 특정 형태의 대가를 요구합니다. 이 랜섬웨어는 제거하려면 시스템을 전부 지워야 하는 경우가 많기 때문에 가장 타격이 큰 버전 중 하나입니다. 불행히도 몸값을 지불한다고 해서 항상 문제가 해결되는 것은 아닙니다. 일부 해커는 몸값을 받은 후에도 암호 도용 소프트웨어를 삽입했습니다.
• 크립토 랜섬웨어 – 이 랜섬웨어의 주요 차이점은 비용 지불을 가상화폐 형태로 요구한다는 점입니다. 해커는 종종 사용자의 파일을 잠그고 익명의 가상화폐 주소를 통해 지불을 요구합니다.
• 리크웨어(Leakware) – 정보를 훔치고 비용을 지불하지 않으면 데이터를 공개하겠다고 위협하는 방식으로 작동합니다. 표적이 되는 세부 정보에는 은행 정보, 연락처, 사적인 사진 및 개인 문서가 포함될 수 있습니다. 피해자를 패닉으로 몰아 넣어 대응하게 하므로 특히 성공적인 전술입니다.
• 스케어웨어(Scareware) – 일반적으로 가짜 보안 소프트웨어로 가장합니다. 다운로드하면 수정하는 데 추가 비용이 드는 문제에 대해 경고합니다. 어떤 경우에는 조치를 취할 때까지 컴퓨터를 사용할 수 없을 정도로 많은 경고와 팝업이 표시됩니다.
• 서비스형 랜섬웨어(RaaS) – 전문적인 범죄자가 사용하는 메타 맬웨어 유형입니다. 해커는 몸값의 일부를 대가로 랜섬웨어를 만들고 배포하는 서비스를 제공합니다. 이러한 종류는 복수를 원하는 모든 사람이 사용할 수 있고 특별히 귀하를 표적으로 삼을 수 있기 때문에 특히 위험합니다.

랜섬웨어를 방지하는 방법

이러한 단계 중 몇 가지는 성숙한 보안 프로그램에 대한 보안 모범 사례로 간주되는 경우가 많습니다. 이러한 단계는 조직이 랜섬웨어 공격의 위험을 줄이기 위한 적절한 정책, 프로세스 및 절차를 갖추도록 합니다.

1. 시스템을 최신 상태로 유지합니다. 취약한 애플리케이션과 운영 체제는 대부분의 공격이 표적으로 삼는 요소입니다. 이러한 요소가 최신 업데이트로 패치되면 공격자가 사용할 수 있는 악용 가능한 진입점의 수가 크게 줄어듭니다.

2. 중요한 데이터에 대한 데이터 백업 및 복구 계획을 사용합니다. 조직은 데이터 또는 시스템 손실의 영향을 제한하고 복구 프로세스를 촉진하기 위해 정기적인 백업을 수행하고 테스트해야 합니다. 네트워크 연결 백업도 랜섬웨어의 영향을 받을 수 있으므로 최적의 보호를 위해 중요한 백업을 네트워크에서 격리해야 합니다.

3. 사고 대응 계획을 개발합니다. 랜섬웨어 사고에 대한 대응 및 알림 절차를 포함하는 기본 사이버 사고 대응 계획 및 관련 커뮤니케이션 계획을 생성, 유지 및 실행합니다.

4. 사이버보안 정책 및 기준선을 작성합니다. 방화벽, 이메일 스캔, 애플리케이션 허용 목록 및 원격 액세스와 같은 특정 제어에 대한 정책 및 기준선을 개발하는 것을 고려하십시오.

5. 포괄적인 네트워크 가시성을 구현합니다. 최신 랜섬웨어 공격자는 피해자의 네트워크에 상주하여 민감한 데이터를 훔치고 착취의 영향을 최대화하고 있습니다. 그 결과 공격자들은 지속성을 유지하고, 내부망에서 이동하고, 원격 액세스 도구를 활용하고, 권한을 확대하고 있습니다. 이 모든 행동은 보안 팀이 네트워크 가시성을 통해 탐지하고 치료할 수 있는 네트워크 트래픽을 생성합니다.

6. 직원의 인식을 높입니다. 무엇을 주의해야 하는지 알고 있는 직원은 잠재적인 피싱 또는 소셜 엔지니어링 공격에 더 효과적으로 대처합니다. 직원에게 첨부 파일, 링크 또는 이메일을 신뢰할 수 있는지 평가하는 방법을 가르치는 보안 인식 및 교육 프로그램을 구현합니다.

7. 안티바이러스 소프트웨어로 기기를 보호합니다. 랜섬웨어를 퇴치하려면 우수한 안티바이러스 제품군이 반드시 필요합니다. 이러한 소프트웨어는 문제를 찾는 즉시 사용자에게 경고하고 쉽게 감염을 제거할 수 있습니다. 일부 안티바이러스 애플리케이션은 낮은 수준의 암호화를 사용하는 맬웨어에 대한 무료 랜섬웨어 암호 해독 도구를 제공합니다.

8. 선제적 위협 헌팅 기능을 구현합니다. 위협 헌팅은 네트워크에서 탐지되지 않고 숨어 있는 사이버 위협을 선제적으로 찾아내는 작업입니다. 사이버 위협 헌팅은 사용자 환경에서 1차적인 엔드포인트 보안 방어를 지나쳐 통과한 악의적 행위자를 찾기 위해 심층적으로 탐색합니다.

위협 헌팅은 사고 탐지, 대응 및 치료의 표준 프로세스에 대해 매우 좋은 보완책입니다. 보안 기술이 로우(raw) 데이터를 분석하여 경고를 생성하는 한편 위협 헌팅은 쿼리와 자동화를 사용해 동일한 데이터에서 헌팅 리드를 추출합니다.

선제적 헌팅을 사용하면 공격자가 사용자 환경에 랜섬웨어를 배포하기 전에 보안 팀이 잠재적 위협을 차단할 수 있습니다.

9. 제로 트러스트 보안 태세를 구현합니다. 제로 트러스트 보안 태세를 구현하면 랜섬웨어 방어가 사용자 ID 및 액세스 관리에 적용됩니다. 대부분의 랜섬웨어 공격의 근본 원인은 사람의 실수이므로 이 방법은 적절합니다.

제로 트러스트는 내부 및 외부 사용자가 제한된 리소스에만 액세스할 수 있고 다른 모든 리소스는 완전히 숨겨져 있으므로 공격 표면을 크게 줄이는 데 도움이 됩니다. 또한 제로 트러스트는 랜섬웨어 공격과 민감한 데이터의 유출을 방지하는 데 필요한 모니터링, 탐지 및 위협 검사 기능을 제공합니다.

귀사는 랜섬웨어 공격의 표적인가요?

이 질문에 짧게 대답한다면, 그렇습니다. 특히 최근의 랜섬웨어 공격에 비추어 볼 때 모든 중소기업, 대기업 및 조직은 좋은 목표물입니다.

길게 대답하자면 좀 더 복잡합니다. 취약점과 랜섬웨어를 방지할 수 있는 능력은 데이터가 사이버 범죄자에게 얼마나 매력적인지, 네트워크 트래픽에 대한 가시성, 보안 태세의 성숙도, 직원들에게 피싱 이메일에 대한 교육을 얼마나 적극적으로 수행하는지 등에 따라 달라질 수 있습니다.

결론

더 쉬운 액세스와 더 큰 재정적 수익으로 인해 랜섬웨어 공격의 수는 2022년 이후에도 계속 증가할 가능성이 큽니다. 당사는 사이버 범죄자들이 대기업, 중요 인프라, 정부, 교육 및 의료를 표적으로 삼을 것이라고 예측합니다.

효과적인 랜섬웨어 예방에는 효과적인 위협 탐지 및 사고 대응 기능과 함께 포괄적인 네트워크 가시성이 필요합니다.

• 하이브리드 클라우드 가시성 – Gigamon 하이브리드 클라우드 가시성 패브릭은 사각지대를 제거하기 위해 East-West, IoT/OT 및 컨테이너 수준 트래픽을 포함하여 모든 활성 데이터를 수집 및 집계합니다.
• TLS/SSL 암호 해독 – Gigamon의 중앙집중식 SSL/TLS 암호 해독은 C2 및 유사한 활동에 대해 암호화된 채널을 사용하여 공격자의 숨겨진 위협을 찾아내는 데 필요한 가시성을 제공합니다.
• 네트워크 탐지 및 대응 – Gigamon ThreatINSIGHT™ Guided-SaaS 네트워크 탐지 및 대응은 SOC 가시성 격차를 해결하고 충실도가 높은 공격자 탐지를 제공하여 신속하고 정보에 입각한 대응을 가능하게 합니다.

Gigamon으로 기존 도구가 놓친 오늘날의 정교한 랜섬웨어 공격의 위협을 극복하십시오.

주요 웨비나

전문가의 의견 듣기 – 네트워크 가시성 및 분석을 최적화하기 위해 최신 동향 및 모범 사례에 대해 전문가의 의견을 들어 보십시오.