Quick Overview by 챗GPT 🤖 랜섬웨어 방어를 위해 기업은 다층적인 데이터 보호 정책을 마련해야 합니다. 엔드포인트 보안을 강화하고, 소프트웨어 취약점을 신속히 패치하며, 사용자의 액세스 권한을 제한해야 합니다. 데이터 백업은 3-2-1 규칙을 따르고 암호화와 불변성, 에어 갭 백업을 활용하여 보호해야 합니다. 또한, 지속적인 데이터 보호와 정기적인 백업이 중요하며, 이를 통해 랜섬웨어로 인한 피해를 최소화하고 신속한 복구가 가능하도록 해야 합니다. |
사이버 범죄자가 기존 방어를 뚫는 새로운 방법을 끊임없이 개발하고 있는 만큼 랜섬웨어 보호는 모든 산업에 걸쳐 기업의 주요 관심 사항입니다. 현재의 위협을 제한하고 공격 발생 시 즉각적이고 철저한 복구를 보장하기 위해, ‘데이터 중심의 랜섬웨어 방어 대책을 수립하는 7단계 – 1부’에서는 기업이 랜섬웨어에 노출되는 일반적인 경로 3가지와 랜섬웨어에 대비하는 데이터 보호 정책을 개발하는 방법 3단계를 알아보았습니다. 2부에서는 랜섬웨어 방어 대책을 수립하는 나머지 4단계를 소개합니다.
🚧랜섬웨어에 대비하는 데이터 보호 정책 개발하기
✔️엔드포인트 보호
오늘날의 기업 환경에는 전보다 훨씬 더 많은 엔드포인트가 있으며 그 중 상당수는 제대로 보호되지 않거나 아예 보호되지 않습니다. 기업은 데스크톱과 노트북 보호에 있어서는 그동안 큰 진전을 이루었으나 많은 디바이스가 여전히 취약한 채로 남아 있습니다. 데스크톱, 노트북, 스마트폰, 태블릿, IoT 디바이스 등 기업 내에서 사용되는 디바이스의 수와 종류가 빠르게 늘면서 모든 엔드포인트를 일관적으로 보호하기가 어려워지고 있습니다.
보안 태세를 강화하려면 사용자가 설치하는 프로그램과 자산을 모니터링해야 합니다. 모든 사용자를 대상으로 안전한 브라우징 습관과 승인되지 않은 소프트웨어를 설치하지 않는 것의 중요함을 교육해야 합니다. 패치 프로세스를 자동화해서 모든 엔드포인트를 최신 보안 업데이트가 적용된 최신 상태로 유지해야 합니다. 패치되지 않은 시스템은 알려진 익스플로잇에 취약하며, 수동 업데이트 프로세스는 많은 시간이 소비되고 놓치는 부분이 발생하기도 쉽습니다.
✔️취약점을 패치하고 시스템을 최신 상태로 유지
소프트웨어 취약점 익스플로잇은 복잡성으로 인해 피싱이나 RDP 공격만큼 광범위하게 이용되지는 않지만 그 영향은 어느 공격 못지않게 파괴적일 수 있습니다. 잘못 구성되거나 오래되거나 패치되지 않은 소프트웨어는 해커들이 악용하는 이런 취약점의 주된 원인이 됩니다. 기업에서 패치를 완전히 배포하기까지 일반적으로 97일이 소요된다는 점을 감안하면 소프트웨어 취약점 익스플로잇이 랜섬웨어 공격 벡터 상위 3개 중 하나라는 사실은 놀랍지 않습니다.
인쇄 서버와 같이 중요성이 낮다고 간주되는 시스템에도 위험을 완화하기 위한 부지런한 유지보수가 필요합니다. 패치 또는 업데이트를 제대로 하지 않는 경우 악용에 취약해지고 공격자를 위한 진입점이 될 수 있습니다. 이런 작업을 효율적으로 관리하기 위해서는 자동화를 통해 사람의 실수 위험을 줄이는 것이 중요합니다. 가상 환경의 경우 필요한 패치 에이전트가 포함된 사전 구성된 템플릿을 사용하면 프로세스를 간소화하고 조직의 보안 태세를 강화할 수 있습니다.
✔️사용자 액세스 및 권한 제한
백업 콘솔과 리포지토리에 대한 액세스를 제한하는 것은 랜섬웨어 방어 전략에서 항상 권장되는 방법입니다. 이를 위해서는 두 개 이상의 백업 관리자 역할을 만들고 각 역할에 상호 중복되지 않는 권한과 책임을 할당하는 것이 좋습니다.
예를 들어 백업 작업 생성, 보존 정책과 보고를 서로 다른 관리자에게 할당할 수 있습니다. 이를 역할 기반 액세스 제어(Role-Based Access Control, RBAC)라고 합니다. 모든 비즈니스 데이터가 백업 시스템에 저장되므로 액세스의 분리는 매우 중요합니다.
정기적으로 액세스해야 하는 사용자에게는 세분화된 권한을 할당해야 합니다. 이렇게 하면 적절한 권한이 설정된 여러 사용자를 감사 추적과 함께 사용할 수 있습니다. 감사 추적을 사용하면 사고 검토 시 누가, 언제 데이터를 사용, 액세스 또는 복원했는지 확인할 때 유용합니다. 또한 전체 관리자 액세스 권한 없이 사용자의 정상적인 역할과 관련된 백업 시스템 영역에 대한 액세스 권한을 부여할 수 있습니다.
✔️올바른 방법으로 데이터 백업
1) 3-2-1 규칙 적용
IT의 기본적인 원칙은 '실패 가능성을 감안할 때 하나 또는 두 개의 백업은 충분하지 않다'는 것입니다. 그래서 나온 것이 3-2-1 백업 전략입니다.
항상 데이터의 복사본 3개를 유지
복사본 2개를 로컬의 서로 다른 미디어 유형에 저장
복사본 1개를 클라우드, 원격 사이트 또는 테이프와 같은 오프사이트에 저장
이 전략은 재해 발생 시 복원을 위한 복사본을 중복해서 확보함으로써 위험을 완화합니다. 3-2-1 전략 구현은 데이터 보호의 필수 요소입니다. 이 전략을 생략하는 것이 비용 측면에서 유리해 보일 수 있지만 그 대가로 재해 발생 시 귀중한 백업을 잃을 위험이 있습니다.
2) 백업 암호화
데이터가 일반적인 형식으로 저장되든 변경이 불가능한 형식으로 저장되든 관계없이 랜섬웨어는 여전히 이 데이터에 액세스하고 복사할 수 있습니다. 전송 중, 그리고 보관 중일 때 모두 백업을 암호화하면 랜섬웨어에 대한 부가적인 방어 계층을 구축하고 해커가 저장된 데이터를 해석할 가능성을 낮출 수 있습니다. 데이터를 암호화하면 사이버 범죄자가 백업 정보를 읽거나 오용하기가 훨씬 더 어려워집니다.
불과 몇 년 전까지는 네트워크 내에 머무는 로컬 백업은 안전하다는 전제 하에 오프사이트 백업만 암호화하는 것이 보편적인 관행이었으나, 지금은 온사이트나 클라우드, 전송 중일 때와 보관 중일 때를 불문하고 모든 백업을 암호화하는 것이 베스트 프랙티스입니다.
3) AD 백업
AD(Active Directory)는 데이터베이스이자 서비스 모음으로, 여기서 사용자는 업무를 수행하기 위해 필요한 네트워크 리소스에 액세스할 수 있습니다. 랜섬웨어 공격 또는 기타 재해가 발생할 때 AD를 복구하기 위해서는 반드시 AD를 백업해야 합니다. 단일 객체, 속성 또는 도메인 컨트롤러를 복구해야 하는 경우든 전체 포리스트의 완전한 재해 복구를 수행해야 하는 경우든 AD 백업은 필수적입니다.
유의해야 할 부분은 AD 백업은 운영체제 상태 백업과는 다르다는 것입니다. 운영체제 상태 백업은 전체 운영체제를 대상으로 하지만 AD 백업은 AD 구성요소에 초점을 둡니다. AD 백업에는 NTDS 디렉터리, SYSVOL(로그온 스크립트와 그룹 정책이 여기에 저장됨), AD와 관련된 레지스트리 요소와 같은 AD의 여러 도메인 컨트롤러 구성요소가 포함됩니다.
4) 백업의 불변성 확보
변경 불가 스토리지는 모든 변경, 삭제 또는 암호화 시도를 차단함으로써 랜섬웨어 공격으로부터 백업 데이터를 보호합니다. 이는 백업의 무결성을 보장하고 무단 변경으로부터 백업을 보호합니다.
백업 데이터의 복제본을 한 번 쓰고 여러 번 읽는 WORM(Write Once Read Many) 스토리지, 즉 변경 불가 백업 스토리지에 저장하십시오. 이 스토리지 유형은 데이터의 수정 또는 삭제를 차단하므로 복구에 유용합니다. 데이터 보존 정책에서 삭제 날짜를 설정할 수 있지만, 일단 WORM 미디어에 작성된 데이터는 랜섬웨어의 수정, 삭제, 암호화 시도에 영향을 받지 않습니다.
5) 에어 갭으로 백업 보호
에어 갭(air-gap) 백업은 백업 데이터를 네트워크에서 물리적으로 분리된 이동식 미디어에 저장하는 것을 의미합니다. 이러한 백업은 데이터를 오프사이트에 보관할 수 있도록 하며 프로덕션 데이터와 백업 데이터를 분리합니다. 이 같은 분리는 랜섬웨어가 공격 중 백업을 감염시킬 수 없도록 합니다.
다만 백업에 에어 갭을 적용하는 것은 백업 또는 복구에 있어 깔끔하거나 비용 효율적인 방법은 아닙니다. 데이터를 회수, 수송해서 마운트하고 읽는 데 상당한 시간이 걸리기 때문에 랜섬웨어 공격에 따른 복구 속도가 상당히 늦어집니다. 온라인 및 에어 갭 백업을 모두 포함하도록 여러 백업 전략을 조합하면 보안과 필요 시 빠른 복구를 모두 보장할 수 있습니다.
6) 지속적으로 데이터 백업
관리자는 수정된 모든 데이터를 백업하고 데이터에 대한 변경의 로그를 보관하는 지속적 데이터 보호(Continuous Data Protection, CDP)를 통해 이전 상태로 시스템을 복원할 수 있습니다. 랜섬웨어 공격이 발생한 이후 빠른 복구를 위해서는 전체 백업을 자주 하는 것이 중요합니다. 최선의 보호를 위해서는 모든 변경과 업데이트, 추가 사항을 캡처하도록 매일 백업을 예약하는 것이 좋습니다. 정기적인 전체 백업을 하지 않으면 복구 시간이 길어지고 복구 시점 목표(Recovery Point Objective, RPO)를 충족하지 못하게 됩니다.
성공적인 복구를 위해서는 시스템이 안전했던 시점으로 복원할 수 있게 해주는 최근 전체 백업이 필요합니다.
결론
성공적인 랜섬웨어 공격으로부터 비즈니스를 완전히 지키는 것은 불가능하지만 기술적인 방어뿐만 아니라 직원 교육 및 테스트와 같은 관행까지 포함한 다층적 랜섬웨어 방어 전략에 투자하는 것은 현실적으로 가능한 일입니다.
설령 이런 방어 수단이 무력화된다 해도 반복적인 백업은 랜섬웨어에 대응하여 조직이 취할 수 있는 가장 중요한 조치이며, 진정한 최후의 방어선입니다. 공격이 성공하는 경우 백업은 위협 행위자에게 돈을 지불하지 않고도 비즈니스 운영을 복원할 수 있는 유일한 수단입니다. 포괄적인 랜섬웨어 방어 전략은 회복탄력성과 빠른 복구를 제공하여 비즈니스 운영에 대한 부정적인 영향을 최소화합니다. 지금 선제적 조치를 취하면 나중에 많은 손실을 방지할 수 있습니다.
효과적인 랜섬웨어 방어 전략을 수립하는 데 어려움을 겪고 계시거나 관련해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의 주시기 바랍니다. 🙂
Quick Overview by 챗GPT 🤖
랜섬웨어 방어를 위해 기업은 다층적인 데이터 보호 정책을 마련해야 합니다. 엔드포인트 보안을 강화하고, 소프트웨어 취약점을 신속히 패치하며, 사용자의 액세스 권한을 제한해야 합니다. 데이터 백업은 3-2-1 규칙을 따르고 암호화와 불변성, 에어 갭 백업을 활용하여 보호해야 합니다. 또한, 지속적인 데이터 보호와 정기적인 백업이 중요하며, 이를 통해 랜섬웨어로 인한 피해를 최소화하고 신속한 복구가 가능하도록 해야 합니다.
사이버 범죄자가 기존 방어를 뚫는 새로운 방법을 끊임없이 개발하고 있는 만큼 랜섬웨어 보호는 모든 산업에 걸쳐 기업의 주요 관심 사항입니다. 현재의 위협을 제한하고 공격 발생 시 즉각적이고 철저한 복구를 보장하기 위해, ‘데이터 중심의 랜섬웨어 방어 대책을 수립하는 7단계 – 1부’에서는 기업이 랜섬웨어에 노출되는 일반적인 경로 3가지와 랜섬웨어에 대비하는 데이터 보호 정책을 개발하는 방법 3단계를 알아보았습니다. 2부에서는 랜섬웨어 방어 대책을 수립하는 나머지 4단계를 소개합니다.
🚧랜섬웨어에 대비하는 데이터 보호 정책 개발하기
✔️엔드포인트 보호
오늘날의 기업 환경에는 전보다 훨씬 더 많은 엔드포인트가 있으며 그 중 상당수는 제대로 보호되지 않거나 아예 보호되지 않습니다. 기업은 데스크톱과 노트북 보호에 있어서는 그동안 큰 진전을 이루었으나 많은 디바이스가 여전히 취약한 채로 남아 있습니다. 데스크톱, 노트북, 스마트폰, 태블릿, IoT 디바이스 등 기업 내에서 사용되는 디바이스의 수와 종류가 빠르게 늘면서 모든 엔드포인트를 일관적으로 보호하기가 어려워지고 있습니다.
보안 태세를 강화하려면 사용자가 설치하는 프로그램과 자산을 모니터링해야 합니다. 모든 사용자를 대상으로 안전한 브라우징 습관과 승인되지 않은 소프트웨어를 설치하지 않는 것의 중요함을 교육해야 합니다. 패치 프로세스를 자동화해서 모든 엔드포인트를 최신 보안 업데이트가 적용된 최신 상태로 유지해야 합니다. 패치되지 않은 시스템은 알려진 익스플로잇에 취약하며, 수동 업데이트 프로세스는 많은 시간이 소비되고 놓치는 부분이 발생하기도 쉽습니다.
✔️취약점을 패치하고 시스템을 최신 상태로 유지
소프트웨어 취약점 익스플로잇은 복잡성으로 인해 피싱이나 RDP 공격만큼 광범위하게 이용되지는 않지만 그 영향은 어느 공격 못지않게 파괴적일 수 있습니다. 잘못 구성되거나 오래되거나 패치되지 않은 소프트웨어는 해커들이 악용하는 이런 취약점의 주된 원인이 됩니다. 기업에서 패치를 완전히 배포하기까지 일반적으로 97일이 소요된다는 점을 감안하면 소프트웨어 취약점 익스플로잇이 랜섬웨어 공격 벡터 상위 3개 중 하나라는 사실은 놀랍지 않습니다.
인쇄 서버와 같이 중요성이 낮다고 간주되는 시스템에도 위험을 완화하기 위한 부지런한 유지보수가 필요합니다. 패치 또는 업데이트를 제대로 하지 않는 경우 악용에 취약해지고 공격자를 위한 진입점이 될 수 있습니다. 이런 작업을 효율적으로 관리하기 위해서는 자동화를 통해 사람의 실수 위험을 줄이는 것이 중요합니다. 가상 환경의 경우 필요한 패치 에이전트가 포함된 사전 구성된 템플릿을 사용하면 프로세스를 간소화하고 조직의 보안 태세를 강화할 수 있습니다.
✔️사용자 액세스 및 권한 제한
백업 콘솔과 리포지토리에 대한 액세스를 제한하는 것은 랜섬웨어 방어 전략에서 항상 권장되는 방법입니다. 이를 위해서는 두 개 이상의 백업 관리자 역할을 만들고 각 역할에 상호 중복되지 않는 권한과 책임을 할당하는 것이 좋습니다.
예를 들어 백업 작업 생성, 보존 정책과 보고를 서로 다른 관리자에게 할당할 수 있습니다. 이를 역할 기반 액세스 제어(Role-Based Access Control, RBAC)라고 합니다. 모든 비즈니스 데이터가 백업 시스템에 저장되므로 액세스의 분리는 매우 중요합니다.
정기적으로 액세스해야 하는 사용자에게는 세분화된 권한을 할당해야 합니다. 이렇게 하면 적절한 권한이 설정된 여러 사용자를 감사 추적과 함께 사용할 수 있습니다. 감사 추적을 사용하면 사고 검토 시 누가, 언제 데이터를 사용, 액세스 또는 복원했는지 확인할 때 유용합니다. 또한 전체 관리자 액세스 권한 없이 사용자의 정상적인 역할과 관련된 백업 시스템 영역에 대한 액세스 권한을 부여할 수 있습니다.
✔️올바른 방법으로 데이터 백업
1) 3-2-1 규칙 적용
IT의 기본적인 원칙은 '실패 가능성을 감안할 때 하나 또는 두 개의 백업은 충분하지 않다'는 것입니다. 그래서 나온 것이 3-2-1 백업 전략입니다.
항상 데이터의 복사본 3개를 유지
복사본 2개를 로컬의 서로 다른 미디어 유형에 저장
복사본 1개를 클라우드, 원격 사이트 또는 테이프와 같은 오프사이트에 저장
이 전략은 재해 발생 시 복원을 위한 복사본을 중복해서 확보함으로써 위험을 완화합니다. 3-2-1 전략 구현은 데이터 보호의 필수 요소입니다. 이 전략을 생략하는 것이 비용 측면에서 유리해 보일 수 있지만 그 대가로 재해 발생 시 귀중한 백업을 잃을 위험이 있습니다.
2) 백업 암호화
데이터가 일반적인 형식으로 저장되든 변경이 불가능한 형식으로 저장되든 관계없이 랜섬웨어는 여전히 이 데이터에 액세스하고 복사할 수 있습니다. 전송 중, 그리고 보관 중일 때 모두 백업을 암호화하면 랜섬웨어에 대한 부가적인 방어 계층을 구축하고 해커가 저장된 데이터를 해석할 가능성을 낮출 수 있습니다. 데이터를 암호화하면 사이버 범죄자가 백업 정보를 읽거나 오용하기가 훨씬 더 어려워집니다.
불과 몇 년 전까지는 네트워크 내에 머무는 로컬 백업은 안전하다는 전제 하에 오프사이트 백업만 암호화하는 것이 보편적인 관행이었으나, 지금은 온사이트나 클라우드, 전송 중일 때와 보관 중일 때를 불문하고 모든 백업을 암호화하는 것이 베스트 프랙티스입니다.
3) AD 백업
AD(Active Directory)는 데이터베이스이자 서비스 모음으로, 여기서 사용자는 업무를 수행하기 위해 필요한 네트워크 리소스에 액세스할 수 있습니다. 랜섬웨어 공격 또는 기타 재해가 발생할 때 AD를 복구하기 위해서는 반드시 AD를 백업해야 합니다. 단일 객체, 속성 또는 도메인 컨트롤러를 복구해야 하는 경우든 전체 포리스트의 완전한 재해 복구를 수행해야 하는 경우든 AD 백업은 필수적입니다.
유의해야 할 부분은 AD 백업은 운영체제 상태 백업과는 다르다는 것입니다. 운영체제 상태 백업은 전체 운영체제를 대상으로 하지만 AD 백업은 AD 구성요소에 초점을 둡니다. AD 백업에는 NTDS 디렉터리, SYSVOL(로그온 스크립트와 그룹 정책이 여기에 저장됨), AD와 관련된 레지스트리 요소와 같은 AD의 여러 도메인 컨트롤러 구성요소가 포함됩니다.
4) 백업의 불변성 확보
변경 불가 스토리지는 모든 변경, 삭제 또는 암호화 시도를 차단함으로써 랜섬웨어 공격으로부터 백업 데이터를 보호합니다. 이는 백업의 무결성을 보장하고 무단 변경으로부터 백업을 보호합니다.
백업 데이터의 복제본을 한 번 쓰고 여러 번 읽는 WORM(Write Once Read Many) 스토리지, 즉 변경 불가 백업 스토리지에 저장하십시오. 이 스토리지 유형은 데이터의 수정 또는 삭제를 차단하므로 복구에 유용합니다. 데이터 보존 정책에서 삭제 날짜를 설정할 수 있지만, 일단 WORM 미디어에 작성된 데이터는 랜섬웨어의 수정, 삭제, 암호화 시도에 영향을 받지 않습니다.
5) 에어 갭으로 백업 보호
에어 갭(air-gap) 백업은 백업 데이터를 네트워크에서 물리적으로 분리된 이동식 미디어에 저장하는 것을 의미합니다. 이러한 백업은 데이터를 오프사이트에 보관할 수 있도록 하며 프로덕션 데이터와 백업 데이터를 분리합니다. 이 같은 분리는 랜섬웨어가 공격 중 백업을 감염시킬 수 없도록 합니다.
다만 백업에 에어 갭을 적용하는 것은 백업 또는 복구에 있어 깔끔하거나 비용 효율적인 방법은 아닙니다. 데이터를 회수, 수송해서 마운트하고 읽는 데 상당한 시간이 걸리기 때문에 랜섬웨어 공격에 따른 복구 속도가 상당히 늦어집니다. 온라인 및 에어 갭 백업을 모두 포함하도록 여러 백업 전략을 조합하면 보안과 필요 시 빠른 복구를 모두 보장할 수 있습니다.
6) 지속적으로 데이터 백업
관리자는 수정된 모든 데이터를 백업하고 데이터에 대한 변경의 로그를 보관하는 지속적 데이터 보호(Continuous Data Protection, CDP)를 통해 이전 상태로 시스템을 복원할 수 있습니다. 랜섬웨어 공격이 발생한 이후 빠른 복구를 위해서는 전체 백업을 자주 하는 것이 중요합니다. 최선의 보호를 위해서는 모든 변경과 업데이트, 추가 사항을 캡처하도록 매일 백업을 예약하는 것이 좋습니다. 정기적인 전체 백업을 하지 않으면 복구 시간이 길어지고 복구 시점 목표(Recovery Point Objective, RPO)를 충족하지 못하게 됩니다.
성공적인 복구를 위해서는 시스템이 안전했던 시점으로 복원할 수 있게 해주는 최근 전체 백업이 필요합니다.
결론
성공적인 랜섬웨어 공격으로부터 비즈니스를 완전히 지키는 것은 불가능하지만 기술적인 방어뿐만 아니라 직원 교육 및 테스트와 같은 관행까지 포함한 다층적 랜섬웨어 방어 전략에 투자하는 것은 현실적으로 가능한 일입니다.
설령 이런 방어 수단이 무력화된다 해도 반복적인 백업은 랜섬웨어에 대응하여 조직이 취할 수 있는 가장 중요한 조치이며, 진정한 최후의 방어선입니다. 공격이 성공하는 경우 백업은 위협 행위자에게 돈을 지불하지 않고도 비즈니스 운영을 복원할 수 있는 유일한 수단입니다. 포괄적인 랜섬웨어 방어 전략은 회복탄력성과 빠른 복구를 제공하여 비즈니스 운영에 대한 부정적인 영향을 최소화합니다. 지금 선제적 조치를 취하면 나중에 많은 손실을 방지할 수 있습니다.
효과적인 랜섬웨어 방어 전략을 수립하는 데 어려움을 겪고 계시거나 관련해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의 주시기 바랍니다. 🙂