mobile background

자료실

데이터 중심의 랜섬웨어 방어 대책을 수립하는 7단계 – 1부


Quick Overview by ChatGPT 👀 

사이버 범죄자는 시스템 취약점과 자격 증명 침해, 피싱 등을 통해 네트워크에 침입합니다. 이런 방법을 사용한 랜섬웨어 공격이 증가함에 따라, 견고한 방어 전략을 마련해야 할 필요성이 커지고 있습니다. 랜섬웨어 복구 계획을 문서화하고, 직원 교육 및 MFA를 도입해 보안을 강화하는 등의 조치는 랜섬웨어의 위험을 줄이고, 공격 시 빠르고 효과적으로 대응하기 위한 필수 요소입니다. 


사이버 범죄자의 수법이 갈수록 교묘해지면서 기업에서 견고한 랜섬웨어 방어 전략을 수립해야 할 필요성도 어느 때보다 커졌습니다. 2023년 랜섬웨어 공격은 전 세계 기업 72%에 영향을 미쳤으며, 영향을 받은 기업 중 75% 가까이가 몸값을 지불했습니다. 많은 경우 백업 데이터가 없고 데이터를 복구할 다른 방법도 없었기 때문입니다. 


사이버 범죄자가 기존 방어를 뚫는 새로운 방법을 끊임없이 개발하고 있는 만큼 랜섬웨어 보호는 모든 산업에 걸쳐 기업의 주요 관심 사항입니다. 현재의 위협을 제한하고 공격 발생 시 즉각적이고 철저한 복구를 보장하기 위해, 이 글에서는 기업이 직면한 가장 보편적인 취약점을 분석하고 포괄적인 랜섬웨어 방어 전략 개발의 필수 요소를 살펴보겠습니다. 


  

⚠️기업이 랜섬웨어에 노출되는 일반적인 경로 


😲패치되지 않은 시스템과 네트워크 취약점 

시스템 패치를 미룰 경우 공격자에게 문을 열어주게 됩니다. 공격자는 네트워크에 침입하면 악성 소프트웨어(많은 경우 랜섬웨어)를 공격 대상의 컴퓨터나 모바일 디바이스에 주입할 수 있습니다. 취약한 엔드포인트 하나가 네트워크 전체에 감염을 전파시킬 수 있으므로 엔드포인트를 보호하는 것이 중요합니다. 

  

😲자격 증명 침해 

자격 증명 도난이 발생하면 외부 위협이 빠른 속도로 내부 위협으로 격상됩니다. 부가적인 보호 장치가 없을 경우 훔친 자격 증명을 보유한 공격자가 중요한 데이터에 마음대로 액세스할 수 있습니다. 


해커가 네트워크 침입에 이용하는 공격 벡터는 다양합니다. 비밀번호 스프레이, 무차별 대입 공격과 같은 전통적인 접근 방식이 여전히 많이 사용되고 있지만 피싱과 같은 소셜 엔지니어링 수법도 갈수록 일반화되고 있습니다. 

  

사이버 공격은 복합적인 형태를 띨 수 있습니다. 예를 들어 최근 2단계 소셜 엔지니어링 캠페인이 유행하고 있습니다. 공격자는 먼저 내부 시스템에 대한 액세스 권한이 있는 트위터(X) 직원을 표적으로 삼아 이들의 자격 증명을 훔쳤습니다. 그런 다음 잘 알려진 유명 계정의 소유자인 것처럼 속여 팔로워들에게 비트코인을 보내면 두 배로 돌려주겠다고 약속하는 글을 게시했습니다. 


😲피싱 

피싱은 해커가 기만적인 이메일로 수신자를 속여 맬웨어에 감염된 문서 또는 파일을 다운로드하고 개인 정보를 넘기거나 비용을 지불하도록 유도하는 사기 수법입니다. 피싱 이메일은 피해자가 잘 아는 신뢰할 수 있는 개인이나 기업을 모방하여 진짜처럼 보이도록 만들어집니다. 



🚧랜섬웨어에 대비하는 데이터 보호 정책 개발하기  


✔️보안 및 복구 계획과 정책을 문서화 

랜섬웨어 복구 계획은 랜섬웨어의 즉각적인 위협에 대처하는 데 사용되는 조직적 전략입니다. 일반적으로 대응팀, 백업에서 데이터를 복구하기 위한 지침, 영향을 받은 모든 이들에게 관련 정보를 알리기 위한 커뮤니케이션 계획이 포함됩니다. 느린 대응은 금전적으로, 그리고 기업 평판 측면에서도 심각한 피해로 이어질 수 있으므로 모든 기업은 반드시 탄탄한 랜섬웨어 복구 및 방어 계획을 수립해야 합니다. 


세부적인 랜섬웨어 방어 전략에는 각 영역의 관련된 모든 사람이 신속하게 실행에 옮길 수 있는 여러 구성요소가 포함되어야 합니다. 예를 들면 다음과 같습니다. 




구분



세부 사항



내용



개요 



목적 



계획의 목적이 랜섬웨어 공격에 대한 체계적 대응을 통해 피해를 최소화하고 시스템을 효율적으로 복구하는 것임을 설명합니다. 



범위 



이 계획에서 다룰 시스템과 위치 및 조직 단위를 포함한 범위를 정의합니다. 



역할 및 책임 



사고대응팀 



(IRT) 



핵심 구성원과 각각의 역할을 명시합니다. 예를 들어 IT 담당자, 경영진, 법률 고문, 커뮤니케이션 책임자 등이 있습니다. 



커뮤니케이션 계획 



내부 커뮤니케이션 



시스템이 다운될 때 직원들에게 이를 전파할 방법을 정합니다. 개인용 이메일, 전화 또는 메시징 앱과 같은 대안 커뮤니케이션 방법 사용에 대한 가이드라인을 포함합니다. 



외부 커뮤니케이션 



고객, 파트너, 주주 대상 알림을 계획합니다. 보도자료, 승인된 소셜 미디어 게시글 및 고객 알림을 위한 템플릿을 포함합니다. 



사법 기관 



사법 기관 개입의 시점 및 방법에 대한 프로토콜을 설정합니다. 



규제 기관 



데이터 침해 시 이를 알려야 하는 규제 기관을 명시합니다. 



즉각적인 대응 조치 



탐지 및 분석 



랜섬웨어를 탐지하고 감염 범위를 분석하기 위한 단계를 설명합니다. 



봉쇄 



감염된 시스템을 네트워크에서 격리하는 등의 확산을 봉쇄하기 위한 즉각적인 조치를 기술합니다. 



알림 



사고대응팀 및 기타 핵심 인력에게 알리기 위한 프로세스를 세부적으로 마련합니다. 



시스템 복구 우선순위 



핵심 시스템 식별 



중요도를 기준으로 시스템과 데이터를 목록화하고 범주별로 분류합니다(예를 들어 티어 0, 티어 1 등). 



티어 0(운영 핵심 자산) 



기본적인 운영에 필수적인 시스템(예를 들어 재무 시스템, 고객 데이터베이스, Active Directory) 



티어 1(고순위 자산) 



주요 비즈니스 기능을 지원하는 중요한 시스템 



티어 2(중간 순위 자산) 



덜 핵심적인 운영을 지원하는 시스템 



복구 단계 



티어 0 자산을 시작으로 각 티어를 복원하기 위한 단계를 세부적으로 기술합니다. 종속 요소와 추정 복구 시간을 포함합니다. 



데이터 백업 및 복원 



백업 전략 



백업의 빈도와 유형(전체, 증분, 차등), 스토리지 위치를 포함한 백업 전략을 정의합니다. 



백업 테스트 



정기적으로 백업을 테스트해서 데이터 무결성과 빠른 복원을 보장합니다. 최소한 분기별로 테스트를 일정을 잡습니다. 



복원 절차 



백업에서 데이터를 복원하기 위한 단계별 지침을 제공합니다. 



복호화 및 데이터 복구 



복호화 툴 



사용 가능한 복호화 툴 및 리소스를 목록화합니다. 



데이터 복구 서비스 



서드파티 데이터 복구 서비스 및 연락처 정보를 명시합니다. 



테스트 및 훈련 



계획 테스트 



랜섬웨어 복구 계획에 대해 최소 연 2회 정기적인 테스트 일정을 수립합니다. 



시뮬레이션 공격 



시뮬레이션 랜섬웨어 공격을 실행하여 계획의 효과와 대응팀의 준비 태세를 테스트합니다. 



검토 및 개선 



각 테스트 또는 실제 사고 후에 대응 및 복구 프로세스를 검토해서 개선의 여지가 있는 부분을 파악합니다. 



문서화 및 보고 



사고 문서화 



공격의 특성, 실행한 대응 조치, 복구 결과를 포함한 사고의 세부적인 기록을 유지합니다. 



사고 후 검토 



사고 후 철저한 검토를 통해 대응을 평가하고 적절히 복구 계획을 업데이트합니다. 



보고 



내부 검토용 보고서, 그리고 필요한 경우 외부 이해관계자 또는 규제 기관을 위한 보고서를 준비합니다. 



법률 및 규제 관련 고려 사항 



규정 준수 요구사항 



복구 계획이 업계 규정 및 법적 요구사항에 부합하는지 확인합니다. 



법률 자문 위원회 



사고 중, 그리고 사고 이후에 자문을 얻기 위한 법률 자문역의 연락처 정보를 포함합니다. 



예방 조치와 개선 사항 



보안 강화 



패치 관리, 네트워크 세그먼테이션, 엔드포인트 보호 등 향후 공격을 차단하기 위한 보안 수단을 세부적으로 기술합니다. 



직원 교육 



사이버보안 인식 및 피싱 탐지에 대해 정기적으로 직원 교육을 실시합니다. 



정책 업데이트 



보안 정책을 주기적으로 검토 및 업데이트해서 새로운 위협에 대처합니다. 



기타 항목 



연락처 목록 



내부 팀원, 외부 파트너, 사법 기관 및 규제 기관을 망라하는 종합적인 연락처 정보. 



리소스 인벤토리 



복구에 필요한 툴, 소프트웨어, 하드웨어 목록을 만듭니다. 



템플릿 및 양식 



사고 보고서, 커뮤니케이션 및 문서화를 위한 사전에 준비된 템플릿. 




✔️직원 교육 

직원이 정기적인 보안 교육과정에 의무적으로 참여하도록 합니다. 이 과정에는 랜섬웨어의 주된 유입 경로인 이메일을 통한 다양한 형태의 공격을 인지하는 방법에 대한 강도 높은 교육이 포함되어야 합니다. 교육을 통해 사용자는 예를 들어 다음과 같은 공통적인 요소가 있는 피싱 이메일을 인지하는 등 잠재적으로 위험한 행위를 식별할 수 있게 됩니다. 


  1. 부정확한 웹 주소(실제 주소와 약간 다름) 

  2. 긴급한 응답을 요구하는 메시지(재무적 문제나 벌금 문제에 대한 메시지가 자주 사용됨) 

  3. 이메일에 사용자의 자격 증명을 가로채도록 만들어진 웹사이트로 연결되는 링크 또는 버튼이 있음 

  

오늘날 많은 기업이 레드팀 개념을 채택하고 있습니다. 레드팀은 내부적으로 피싱 이메일을 보내고 어느 사용자가 이런 링크를 클릭하는지 확인합니다. 


✔️MFA 구현 

다중 요소 인증(Multi-factor authentication, MFA)은 사용자가 2가지 이상의 인증 요소를 제공해야 액세스 권한을 얻을 수 있는 인증 방법입니다. ID 및 액세스 관리와 강력한 보안의 핵심적인 측면인 MFA가 구현되면 위협 행위자는 훔친 자격 증명만으로는 계정을 탈취하기가 훨씬 더 어렵습니다. 

  

MFA를 구현하면 백업 콘솔에 침입해 정책 및 작업을 수정하거나 기존 백업을 삭제하려는 공격자에게 큰 장애물이 됩니다. 공격자가 피싱이나 다른 수단을 통해 사용자 이름과 비밀번호를 입수한다 해도 액세스 권한을 얻으려면 물리적 토큰 또는 모바일 기기와 같은 2차 인증 요소가 있어야 합니다. 따라서 공격이 성공할 위험이 대폭 감소합니다. 

  

백업 저장소가 다른 콘솔에서 실행되는 시스템에 위치하는 경우에도 MFA가 유용합니다. 백업 스토리지 액세스를 위해 별도의 제공업체를 사용할 경우 또 다른 보호 계층이 추가됩니다. 여러 계층으로 랜섬웨어 방어 전략을 구성하면 기업은 침입에 더 효과적으로 저항하며 대응할 수 있습니다. 


여기까지 데이터 중심의 랜섬웨어 방어 대책을 수립하는 7단계 중 3가지를 살펴보았습니다. 2부에서는 나머지 4가지 단계를 소개합니다. 효과적인 랜섬웨어 방어 전략을 수립하는 데 어려움을 겪고 계시거나 관련해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의 주시기 바랍니다. 🙂 



퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB