자료실

랜섬웨어 복구 경험에서 얻은 교훈 – 1부



랜섬웨어 복구 경험에서 얻은 교훈 – 1부 

랜섬웨어 공격으로부터 복구하기 위한 전략에 대한 추상적 대화도 좋지만 실제 경험에서 배우는 것만큼 효과적인 방법은 없습니다. 오늘 포스팅에서는 최근 한 글로벌 제조업체에서 발생한 랜섬웨어 공격으로부터 성공적으로 AD(Active Directory)를 복구한 사례에서 얻을 수 있는 중요한 교훈을 살펴봅니다.


모든 조직은 랜섬웨어 공격에 대비해야 합니다.


신문의 헤드라인만 봐도 오늘날의 IT 환경이 위험한 곳임을 알 수 있습니다. 온갖 종류의 조직이 파괴적인 랜섬웨어 공격의 피해를 입고 있습니다. 가장 잘 알려진 공격으로는 Colonial Pipeline, JBS, Kaseya 공격이 있습니다. 그러나 대기업만의 문제는 아닙니다. 중소기업, 정부 기관, 학교, 의료 서비스 제공업체를 비롯한 다른 많은 분야도 마찬가지로 맹렬한 공격을 받고 있습니다.


다음 수치를 살펴보십시오.

- 조직의 69%가 2020년에 랜섬웨어에 의해 침해되었습니다.

- 데이터 몸값을 지불한 조직 중 모든 데이터를 돌려받은 조직은 8%에 불과합니다.

- 랜섬웨어 공격으로 인한 평균 다운타임은 21일입니다. (일부 고객은 이보다 훨씬 긴 다운타임을 보고한 경우도 있음)

- 단일 랜섬웨어 공격을 수습하기 위한 평균 비용은 185만 달러에 이릅니다.

- 미국 의료 서비스 조직만 따져도 2020년 총 랜섬웨어 지출 비용은 208억 달러입니다!


랜섬웨어 위협은 최우선 과제입니다. 백악관에서 미국 기업에 “즉시 리더십 팀을 소집하여 랜섬웨어 위협에 대해 논의하고 운영을 계속하거나 신속하게 복원할 수 있는 역량을 확보하기 위해 기업 보안 태세와 비즈니스 연속성 계획을 점검할 것”을 촉구하는 서신을 보냈습니다. FBI 국장 크리스토퍼 레이는 의회에서 사이버 위협이 “거의 기하급수적으로 증가하고 있다”면서 연방 정부가 현재 “각각 피해 기업이 수십, 수백 개에 이르는 100가지의 랜섬웨어 변형을 조사하고 있다”고 밝혔습니다.


몸값 지불은 해답이 아닙니다. 몸값을 지불한 피해 기업의 80%는 또 다른 랜섬웨어 공격을 받았고, 그 중 거의 절반인 46%는 동일한 공격자에 의한 또 다른 공격으로 보인다고 밝혔습니다. 또한 미국 재무부의 해외재산관리국(OFAC)은 일부 경우 몸값 지불이 불법임을 선언하며, 몸값을 지불하거나 지불을 도운 대상이 OFAC 규정에서 금지된 주체임을 몰랐다 해도 해당 조직에 벌금이 부과될 수 있다고 경고했습니다.


그렇다면 최선의 경로는 무엇일까요?

AD가 핵심입니다.


포괄적인 랜섬웨어 전략에는 공격 표면적 최소화, 즉각적인 감지 및 대응 구축을 비롯하여 많은 요소가 포함됩니다. 이 백서에서는 한 가지 핵심 영역인 복구를 다룹니다. 랜섬웨어 공격을 받는 경우 최대한 신속하게 비즈니스 운영을 복원할 수 있도록 하는 것이 중요합니다.


대부분의 조직은 AD를 사용하여 ID를 관리하고 데이터베이스, 파일, 애플리케이션, 엔드포인트와 같은 비즈니스 리소스에 대한 액세스를 제공합니다. AD는 랜섬웨어 공격으로부터의 빠른 복구를 위한 핵심 요소입니다. 가트너의 한 애널리스트는 “잘 알려진 많은 랜섬웨어 공격의 복원 프로세스가 온전한 AD 복원 프로세스의 부재로 인해 제대로 실시되지 못했다”는 말로 문제를 잘 요약했습니다.


실제로 AD가 없으면 나머지도 무너집니다. 이것이 악명높은 2017년 NotPetya 공격 당시 Maersk의 IT 담당자가 “도메인 컨트롤러를 복구하지 못하면 아무것도 복구할 수 없다”고 말한 이유입니다.


그러나 전통적인 백업 및 복구 솔루션은 ID는 복원할 수 있지만 다시 동기화하지는 못합니다. 그로 인해 각 ID 서버에서 많은 수작업이 필요하고 비즈니스를 원상 복구하는 데 소요되는 시간이 대폭 늘어나게 됩니다. 반면 퀘스트의 AD용 리커버리 매니저(Recovery Manager for Active Directory Disaster Recovery Edition, RMAD DRE)를 사용하면 빠르고 안전하게 비즈니스를 원상 복구해 운영할 수 있습니다.


퀘스트소프트웨어의 고객사 중 한 곳에서 RMAD DRE를 사용하여 랜섬웨어 공격으로부터 복구한 사례와 그 과정에서 얻은 4가지의 중요한 교훈을 공유했습니다.


효과적인 랜섬웨어 대응 사례 연구

최근 랜섬웨어가 한 글로벌 제조 고객을 공격해 여러 대륙에 걸쳐 17개의 도메인 컨트롤러(DC)에 영향을 미쳤습니다. 또한 이 공격은 공개되지 않은 수의 서비스 계정을 포함하여 사용자 계정 98%의 AD 암호도 바꾸었습니다.


처음에는 17개 DC 중 하나는 멀쩡한 것으로 보였습니다. 그러나 IT 팀은 이 DC를 네트워크에서 분리한 후 SYSVOL에서 암호화된 파일을 발견했습니다. 다른 DC에서 단순히 복제된 것일 수 있지만 랜섬웨어는 그룹 정책을 통해 전파되는 경우가 많기 때문에 맬웨어가 이 서버의 다른 어디에 숨어있지 않은지 반드시 확인해야 했습니다. 따라서 팀은 네트워크를 복원하고 동시에 이를 재감염으로부터 보호해야 했습니다. 매우 힘겨운 일이었지만 이것이 랜섬웨어 복구의 현실입니다.


퀘스트의 도움

다행히, 이 조직은 Recovery Manager for Active Directory Disaster Recovery Edition을 사용할 수 있었습니다. 이 솔루션은 단계별 복구, AD를 클린 OS로 복원하여 맬웨어 재감염 위험 최소화하기 등 여러 복구 방법을 활용할 수 있는 유연함을 부여했습니다. RMAD DRE는 또한 복구 팀에게 전체 재해 복구 프로세스에 대한 더 세부적인 제어 기능을 제공하여 교차 부서 팀에 대한 의존성을 없애 시간과 리소스를 절약할 수 있도록 했습니다.


현장에서 작업한 컨설팅 서비스의 프로젝트 관리자는 “고객은 절망적인 상황이었는데 Quest가 개입해서 움직이며 상황이 바뀌었습니다. 이들의 목소리에서 희망이 다시 돌아온 것을 느낄 수 있었습니다”라고 말했습니다.


단계별 복구로 가장 중요한 5개 DC를 2시간 이내에 원상 복구

이 회사는 RMAD DRE를 사용하여 단계별 복구에 착수했고 핵심 서비스의 복구 작업을 더 빠르게 하기 위해 DC를 복구하는 순서에 우선 순위를 적용하였습니다. 먼저 영향을 받은 모든 사용자 계정이 5일 전의 백업에서 복구되었습니다. 팀은 RMAD DRE를 사용해서 모든 특권 계정의 암호도 재설정할 수 있었습니다. 최소 하나의 특권 계정이 침해된 것으로 판단된 상황이었기 때문에 이는 매우 중요한 부분이었습니다.


이후 복구는 다음과 같이 진행되었습니다.

- 1단계 – 첫 번째 DC가 1시간 내에 복구되었습니다.

- 2단계 – 두 번째 DC가 12분 만에 복구되었습니다.

- 3단계 – 두 대륙에 걸쳐 3개의 DC가 36분 만에 복구되었습니다.


이 시점에는 AD의 리소스가 풍부했으므로 이제 초점을 비즈니스 애플리케이션을 복구하는 쪽으로 전환했습니다. 중요도가 낮은 DC 복구는 나중 단계에서 수행하기로 계획했습니다.


핵심은 이 조직이 RMAD DRE를 사용하여 다운타임을 비약적으로 줄일 수 있었다는 점입니다. 프로젝트 관리자는 “퀘스트 툴이 없었다면 그렇게 빨리 복구할 수 없었을 것입니다”라고 말했습니다.


이 실제 랜섬웨어 공격 및 복구 사례는 조직에서 랜섬웨어 방어 전략을 수립할 때 고려해야 할 중요한 여러 교훈을 제공합니다. 다음 포스팅에서 랜섬웨어 복구 과정에서 얻은 6가지 교훈을 자세히 살펴보도록 하겠습니다.



퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB