자료실

랜섬웨어 공격에 대비하기 위한 필수 백업 전략


Quick Overview 

랜섬웨어 공격이 다시 늘어나고 있습니다. 연간 랜섬웨어 지불액은 2021년에 최고치를 찍었고, 2023년에는 다시 증가하여 약 9억 달러에 달합니다. 공격자들의 다양한 전략에 대비하기 위해 효과적인 방어 전략이 필요한 시점입니다. 여기서는 랜섬웨어 공격 수법과 그에 적합한 방어 방법을 알아봅니다. 


랜섬웨어 몸값 지급 사례가 다시 상승하는 추세입니다. 암호화폐 추적 업체 체이널리시스(Chainalysis)에 따르면, 연간 랜섬웨어 총지불액은 2021년에 10억 달러(약 1조 3,500억 원)에 근접하며 최대치를 기록했습니다. 2022년에는 하락했지만 2023년 들어 다시 올라 추정 9억 달러로 집계됐습니다. 랜섬웨어 활동이 증가한 이유는 랜섬웨어 공격 집단의 활동 확대와 갈취 수법의 급증에서 원인을 찾을 수 있습니다. 피해자가 되지 않고 랜섬웨어 위협에서 시스템을 방어하려면 공격자가 네트워크에 침투할 수 있는 여러 방법을 고려한 강력한 백업 계획이 필요합니다. 

 

랜섬웨어 공격 종류별 방어 방법 

공격자가 데이터에 액세스하기 위해 사용하는 몇 가지 주요 방법은 다음과 같습니다.  

 

공격 수법 1 : 맬웨어 스프레이 공격 

첫 번째는 다크웹에서 서비스형 랜섬웨어 또는 개별 구성요소의 브로커를 위한 맬웨어를 구매하는 방법입니다. 이런 툴은 거의 아무런 기술 없이 사용할 수 있습니다. 공격자는 특정 기업을 표적으로 삼지 않고도 마법사 안내에 따라 공격을 감행할 수 있습니다. 스프레이 앤 프레이(spray and pray)로 지칭되는 이런 공격 방식에 취약한 기업은 패치되지 않은 취약점이 있거나, 모니터링이 불충분하거나, 백업이 일관적이지 않거나, 기타 보안 위생 처리에 문제가 있는 곳입니다. 여러 피해자 중 어느 한 곳이 돈을 지불할 가능성에 기대는 공격 유형입니다. 


이런 유형에는 몇 가지 중요한 특징이 있습니다. 우선 많은 전문성이나 자본이 필요하지 않습니다. 공격자는 숙련된 해커에 돈을 지불하거나 배우기 위해 투자할 필요가 없습니다. 또한 다크웹에서 툴과 유출된 자격 증명은 충격적일 만큼 싼 가격에 판매됩니다. 


또한 잠복기(dwell time)가 다소 짧을 수 있습니다. 공격자가 액세스 권한을 얻는 즉시 자동으로 암호화가 시작되고 랜섬 노트가 표시될 수 있습니다. 공격자는 표적이 된 기업에 대해 거의 연구를 하지 않은 상태이므로 피해자가 빠르게 지불할 수 있도록 요구하는 몸값은 대체로 낮은 편입니다. 

 

방어 1 : 계층화된 보호 

이 랜섬웨어 방어 전략에서 기억해야 할 가장 중요한 사항은 공격자가 넓은 그물을 던진다는 점입니다. 이들은 특정 기업을 표적으로 삼기보다는 침입할 백도어를 물색합니다. 


최선의 보호책은 계층화된 방어입니다. 하나의 솔루션에 의존하는 것보다는 여러 보호 수단을 배치하면 랜섬웨어 공격의 위협과 영향을 최소화하는 데 도움이 됩니다. 이런 방어 계층에는 랜섬웨어 위험에 대한 적절한 최종 사용자 교육 및 훈련, 자동화된 패치 적용, 모든 서버 업데이트, 정기적인 네트워크 모니터링, 백업용 데이터 보호 구현 등이 포함될 수 있습니다. 방어 계획은 필요와 보호하고자 하는 대상에 따라 달라집니다. 


이상적으로는 처음 몇 개의 보호 계층에서 스프레이 앤 프레이 공격을 차단하고 마지막 방어선으로 백업을 두는 것이 좋습니다. 정교하지 않은 스프레이 앤 프레이 공격은 매우 흔하지만, 계획을 세워두면 가장 쉽게 방어할 수 있는 공격 유형이기도 합니다. 


공격 수법 2 : 표적 정찰 

두 번째 전략에서 공격자는 구체적인 표적을 두고 표적에 대한 정찰 활동을 실행합니다. 어느 정도 시간을 들여 기업이 사용 중인 소프트웨어와 클라우드 인프라가 무엇인지 알아내고, 직원의 소셜 미디어 게시물을 훑어보고, 네트워크를 스캔하고, 다크웹에서 노출된 사용자 이름과 비밀번호 조합 데이터베이스를 구입하고, 웨일링 공격(Whaling Attack)을 위해 CEO를 조사하고, 챗GPT 변종을 사용해 피싱에 사용할 영어 문장을 매끄럽게 교정합니다. 이런 전략을 사용하는 공격자는 일단 네트워크에 침입하면 횡적으로 이동하며 평균보다 오랜 시간 머물면서 백업과 보험 정책, 기타 수집 가능한 금융 정보를 조사합니다. 


공격자의 목표는 습득한 모든 정보를 반영해서 정교한 방식으로 고액의 몸값을 요구하는 것입니다. 이 유형의 접근 방식에는 고도의 기술이 필요합니다. 랜섬웨어 기술을 연마하거나 기술을 갖춘 인력을 채용하기 위한 금전적 투자도 이뤄집니다. 사전에 하나의 표적 또는 소수의 표적 그룹을 선택할 수도 있습니다. 어느 기업이든 표적이 될 수 있지만, 규모가 크거나 유명한 곳이 더 위험합니다. 몸값 요구와 함께, 또는 몸값을 대신해서 갈취를 시도할 수도 있습니다. 


방어 2 : 계획 문서화 

모든 성공적인 공격은 진입 지점에서 시작하므로 공격자가 이 진입 지점에 어떻게 침입했는지 파악하는 것이 중요합니다. 침해가 어떻게 발생했는지에 대한 세부적인 정보가 포함된 수많은 보안 침해 목록이 있습니다. 이러한 진입 지점, 그리고 시간 경과에 따른 이들의 진화를 파악하면 랜섬웨어 공격에 대한 방어 접근 방식을 개선할 수 있습니다. 


불과 얼마 전까지도 건물 출입을 위한 키 카드가 네트워크 침입에 사용될 수 있다고는 아무도 생각하지 못했습니다. 메인보드 또는 이더넷 카드 제조사가 OS에서 감지할 수 없도록 정보를 유출하는 펌웨어를 카드에 넣을 수 있다는 사실도 생각하지 못했습니다. 이처럼 몇 년 전까지도 불가능하다고 생각했던 많은 위협이 지금은 실행 가능한 상황입니다. 


정교한 공격에서 기업을 보호하려면 계획을 문서화하는 것이 중요합니다. 여기서 목표는 어떤 위협이 존재하며 그 위협의 우선순위는 무엇인지, 위협으로부터 스스로를 보호하려면 어떻게 해야 하는지를 명시하는 것입니다. 이 수준에서는 현재 위협 환경의 고려 사항을 보여주는 측정된 대응이 필요합니다. 


 

계획을 시작하는 방법 


비즈니스에는 수십, 또는 수백 가지 종류의 위협이 존재합니다. 랜섬웨어 보호 계획을 수립할 때는 발생 사실이 알려진 보안 침해를 기반으로 다양한 공격이 발생할 가능성과 각 공격 종류의 방어 난이도 및 관련 비용을 고려하는 것이 중요합니다. 

 

우선순위에 따라 다양한 랜섬웨어 방어 전략을 수립할 수 있습니다. 비용에 민감한 기업이라면 발생할 가능성이 가장 높은 위협을 고려하는 것부터 시작할 수 있습니다. 다른 부분에 우선순위를 두고 있다면 가장 어려운 위협을 상대로 보호하는 방법을 파악하는 것부터 시작할 수 있습니다. 계획은 가능한 모든 위협에 대해서 그 공격이 비즈니스에 어떤 영향을 미치며, 공격을 어떻게 방어할 것인지에 관한 문서화된 전략을 제시해야 합니다. 


 

백업의 중요성 

예방은 모든 랜섬웨어 보호 계획에서 중요한 부분이지만, 안정적인 백업 및 복구 솔루션 역시 그에 못지않게 필수적인 부분입니다. 랜섬웨어 위협은 지속해서 발전하므로 공격을 차단하기 위한 최선의 노력에도 불구하고 언젠가는 공격이 성공하게 된다고 가정하는 것이 합리적입니다. 기업을 완벽하게 보호하기 위해서는 백업 솔루션이 데이터 보호 기능을 갖추고 신속하고 완전한 복구를 지원해야 합니다. 3-2-1 백업 규칙은 전체 계획의 일부에 불과하지만, 좋은 출발점입니다. 

 

최신 고급 백업 기술은 RTO와 RPO를 낮추기 위한 지속적 데이터 보호, 오브젝트 스토리지 잠금을 사용한 백업 불변성, 테이프에 대한 에어갭 백업, 안전한 데이터 암호화, 즉각적인 복원과 같은 기능을 제공합니다. 이런 기능을 갖춘 백업 및 복구 솔루션은 필연적인 랜섬웨어 공격에 대한 안전장치 역할을 하며 즉각적으로 복구하여 운영을 재개할 수 있게 해줍니다. 


물론 백업을 사용해야 하는 상황에 이르지 않는 것이 좋지만, 백업은 최후의 방어선 역할을 합니다. 목표는 다른 보안 수단이 실패할 때 백업이라는 안전그물이 랜섬웨어 공격을 무력화할 수 있도록 하는 것입니다. 

 

공격 수법 3 : 유출 

유출(exfiltration)은 공격자가 돈을 갈취하기 위해 사용하는 주요 수단입니다. 먼저 데이터를 암호화한 다음 빼내서 해독을 대가로 몸값 또는 갈취 금액을 요구합니다. 해독 몸값이 랜섬웨어의 고전적인 수법 중 하나지만 최근부터는 갈취가 점점 일반화되고 있습니다. 특히 데이터에 개인 식별 정보가 포함된 경우 갈취 수법이 많이 사용됩니다. 한 번의 공격이 끝이라는 보장도 없습니다. 공격자가 돈을 받으면 데이터를 삭제하겠다고 말한다 해도 다른 공격에서 그 데이터를 다시 사용하거나 비공개적으로 데이터를 판매할 가능성도 다분합니다


방어 3 : 백업 암호화 

데이터를 암호화하면 범죄자가 백업을 읽거나 그 정보를 무단으로 사용하기가 훨씬 더 어려워집니다. 암호화는 백업의 큰 부분이지만 몇 년 전만 해도 오프사이트에 저장되는 백업만 암호화하는 것이 베스트 프랙티스였습니다. 과거의 사고방식은 백업이 로컬 디바이스로 전송되는 경우에는 데이터가 네트워크 외부로 나가지 않으므로 백업을 암호화할 필요가 없다는 것이었습니다. 지금은 백업이 온프레미스 또는 클라우드 어디에 위치하든, 전송 중이든 보관 중이든 암호화해야 합니다. 



잠복기 

공격자가 데이터에 대한 액세스 권한을 획득하고 나면 무엇을 할까요? 잠복기(dwell time)란 공격자가 네트워크에 침입한 후 존재를 드러내거나 공격을 개시하기까지 걸리는 시간입니다. 몇 년 동안의 연구에 따르면, 공격자들의 잠복기는 놀라울 만큼 짧습니다. 이는 공격자가 공격을 시작하기 전에 탐지해서 쫓아내기까지 조직에 주어진 시간이 길지 않다는 것을 의미합니다. 소포스(Sophos)와 맨디언트(Mandiant)가 조사한 2022년 평균 잠복기는 9일이었습니다. 

 

잠복 중에 공격자는 이미 획득한 특권의 승격을 시도하고 네트워크를 횡적으로 이동하면서 파트너 연결을 정찰합니다. 또 이 시간 동안 데이터의 가치를 평가하고, 보험 약관을 찾고, 백업을 손상시키고, 귀중한 데이터의 사본을 훔칠 방법을 모색하기도 합니다. 



숨은 랜섬웨어 방어 

소포스와 맨디언트가 제시한 평균 잠복기는 일 단위로 측정됐지만, 랜섬웨어가 네트워크에 몇 개월 동안 머문 후에 문제를 일으키기 시작한 성공적인 해킹 사례도 있습니다. 랜섬웨어가 몇 개월 동안 휴면 상태를 유지하는 사이 피해 기업은 매일 시스템을 백업하는 과정에서 감염된 데이터를 의식하지 못한 채 백업에 집어넣을 수 있습니다. 이 랜섬웨어가 활성화되는 경우 이미 침해된 백업을 복원하면 재감염이 되므로 그렇게 하지 않는 것이 중요합니다. 


복원할 때 스스로를 보호하려면 재해 복구를 계획하고 테스트해야 합니다. 재해 복구 계획을 자주 문서화하고, 테스트를 수행해야 할 책임은 누구에게 있나요? 계획이 가장 필요한 순간에 그 계획이 미흡하다는 사실을 알아차리고 싶지는 않을 것입니다. 재해나 랜섬웨어 침해가 발생했을 때 누구나 확신을 갖고 복원할 수 있을 만한 계획이 필수적인 이유입니다.  

 


결론 

랜섬웨어 몸값 지급이 증가하는 추세는 기업이 매일 직면하는 지속적인 위협을 잘 보여줍니다. 이런 다면적 위협을 방어하려면 포괄적인 백업 솔루션을 갖춘 견고한 방어 계획과 잠재적인 진입 지점에 대한 심층적인 이해가 필요합니다. 경계를 늦추지 말고, 공격에 대비한 계획을 세우고, 공격을 탐지하고, 공격에 대응해야 합니다. 사이버 위협은 계속 진화하고 있습니다. 기업에서 랜섬웨어를 방어하기 위해서는 선제적이며, 상황에 따라 적응할 수 있는 접근 방식이 반드시 필요합니다. 


재해 복구 계획 및 테스트와 효과적인 백업 관리에 어려움을 겪고 계시거나, 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다. 😄 




퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB