자료실

랜섬웨어 복구에 대해 알아야 할 모든 것

 

랜섬웨어 복구에 대해 알아야 할 모든 것


경영진과 IT 전문가를 불문하고 모두가 랜섬웨어 복구를 최우선 과제로 삼습니다. 이유는 명확합니다. 파괴적인 사이버 공격이 전 세계 모든 규모, 모든 분야의 조직을 강타하기 때문입니다. 실제로 2021년 랜섬웨어로 인한 추정 지출 비용은 200억 달러(약 25조 5,000억 원)에 이르며, 2031년에는 이 수치가 2,650억 달러까지 증가할 전망입니다. 


그런데 랜섬웨어 공격이란 정확히 무엇일까요? 평균 랜섬웨어 지출 비용은 얼마일까요? 랜섬웨어 데이터 복구는 무엇일까요? 복구하는 데 소요되는 시간과 비용은 어느 정도일까요? 랜섬웨어 복구를 위해 실천해야 할 핵심 권장 사항은 무엇일까요?


이번 포스팅에서는 위 질문에 대해 답하고, 그 이상에 대해 설명하겠습니다.


랜섬웨어 공격이란?

랜섬웨어는 아주 교묘한 악성 프로그램 또는 악성코드로, 그 기원은 최소 1989년까지 거슬러 올라갑니다. 기본적인 랜섬웨어는 최대한 많은 데이터와 시스템에 대한 액세스를 차단하고 복원하는 대가로 몸값을 요구합니다. 더 치밀한 기법을 사용하는 공격자는 데이터를 암호화해서 액세스를 차단하고, 심지어는 데이터를 복사해 몸값을 지불하지 않을 경우 해당 데이터를 공개한다고 협박합니다.


중요한 것은 랜섬웨어가 각종 금융 서류, 마케팅 프레젠테이션, 데이터베이스 및 기타 데이터 파일만 노리는 것이 아니라는 점입니다. 랜섬웨어는 애플리케이션과 운영체제의 실행 파일과 구성 기록, 레지스트리 파일 등도 암호화해 사용할 수 없는 상태로 만들 수 있습니다. 실제로 랜섬웨어의 주요 표적은 도메인 컨트롤러에서 실행되면서 IT 생태계 전반적으로 중요한 인증 및 권한 부여 서비스를 제공하는 소프트웨어인 액티브 디렉토리(Active Directory, AD)입니다. 랜섬웨어는 도메인 컨트롤러의 AD를 무력화함으로써 순식간에 비즈니스 운영을 멈추게 할 수 있습니다.


공격자는 여러 가지 전략을 사용해서 피해 조직의 네트워크에 랜섬웨어를 잠입시킵니다. 대표적인 방법은 정상적인 출처에서 전송한 것처럼 보이는 피싱 이메일로 회사 직원을 속여 악성 첨부 파일을 열거나 악성 웹사이트 링크를 클릭하도록 유도하는 것입니다. 운영체제나 기타 소프트웨어의 취약점을 악용하는 경우도 있습니다. 가장 잘 알려진 랜섬웨어 사례는 2017년 5월 발생한 워너크라이(WannaCry) 랜섬웨어 공격입니다. 오늘날에는 사이버 범죄자가 몸값 중 일부를 내부 직원에게 나눠 주기로 하고 회사 네트워크에 랜섬웨어를 풀어놓도록 직원을 유혹하고 있어 더욱 우려되고 있습니다.


평균 랜섬웨어 지불 비용은?

평균 몸값 요구 금액을 추산하는 것은 어렵고 평균 지불 금액을 계산하는 것은 더욱 어렵습니다. 조직이 침해 사실을 인정하기를 꺼리는 데다가 몸값을 지불한 경우에는 그 사실을 숨기고 싶어 하기 때문입니다. 게다가 사이버 범죄자는 일반적으로 거래 추적이 어려운 비트코인과 같은 암호화폐로 몸값 지불을 요구합니다.


그러나 많은 연구원이 위 질문에 답하기 위해 최선의 노력을 기울이고 있습니다. 한 보고서에 따르면, 2020년 랜섬웨어의 평균 요구 금액은 84만 7,344달러이며 가장 높은 금액은 무려 3,000만 달러에 이릅니다. 또한 보고서가 추산한 2020년 평균 지불 금액은 31만 2,493달러로, 직전 해보다 171% 증가했습니다. 또 다른 연구에서는 2020년 랜섬웨어 피해자가 지불한 전체 비용이 4억 600만 달러에 이르는 것으로 추정했습니다.


랜섬웨어 복구 비용과 소요 기간은?

랜섬웨어 공격 피해를 원상 복구하는 데 소요되는 평균 비용은 2021년 185만 달러에 이르렀습니다. 랜섬웨어 공격에 따른 비용에는 다음이 포함됩니다.


· IT팀 비용 – 랜섬웨어 복구 비용의 상당 부분은 시스템을 다시 정상 가동하는 데 투입되는 비용입니다. IT 전문가들이 많은 시간을 투입해야 하며, 인건비가 높은 외부 전문가 개입이 필요할 수도 있습니다.


· 추가 인력 비용 – 랜섬웨어 복구가 IT 전문가의 작업만으로 진행되지는 않습니다. 마케팅, 커뮤니케이션, 재무, 법률, HR팀이 모두 고객 및 파트너와의 커뮤니케이션, 언론 대응, 몸값 협상, 직원 질문 처리 등 랜섬웨어의 여파에 대응하는 데 매달리게 됩니다.


· 비즈니스 중단으로 인한 수익 손실 – 랜섬웨어 공격에 따른 평균 다운타임은 계속 증가하고 있으며 현재는 23일 정도입니다. 3주 동안 비즈니스를 할 수 없다는 것은 대형 업체에도 타격이 매우 크고, 작은 회사의 경우 폐업으로 이어지기도 합니다.


· 법률 비용 및 합의 비용 – 민감한 데이터 또는 규제 대상 데이터가 랜섬웨어에 감염되면 법률 비용이 급격히 불어날 수 있습니다. 법률팀이 감독 기관에 대응해야 할 뿐만 아니라 소송에 직면할 수도 있고 이는 막대한 합의금, 장기적인 법적 소송, 또는 2가지 모두로 이어질 수 있습니다.


· 벌금 – 2022년 영국 ICO(Information Commissioner’s Office)는 GDPR(General Data Protection Regulation)에 따라 랜섬웨어와 관련한 첫 벌금 9만 8,000파운드(약 1억 5,400만 원)를 부과했습니다. 앞으로 벌금은 더 일반화될 가능성이 높습니다.


· 이미지 타격 – 랜섬웨어 공격을 받는 경우 조직의 평판에 오랜 기간 악영향을 미칠 수 있습니다. 소비자와 파트너 모두 자신의 민감한 데이터를 여러분의 조직에 믿고 맡겨도 되는지에 의문을 품을 것이기 때문입니다. 랜섬웨어 복구에 오랜 시간이 걸릴수록 이 피해는 더욱 심화됩니다.


랜섬웨어 공격 피해를 복구하는 방법은?

언뜻 생각하기에 랜섬웨어 공격 피해를 복구하는 가장 간단한 방법은 그냥 몸값을 지불하고 해커가 해독키를 주기를 기다리는 것입니다. 그러나 연구 결과, 몸값을 지불한 조직 가운데 실제로 모든 데이터를 되찾은 조직은 8%에 불과합니다. 10개 조직 중 3곳(29%)은 절반이 채 안 되는 데이터만 되찾았습니다. 게다가 몸값을 지불한 조직의 무려 80%가 2차 공격받았으며, 2차 공격의 거의 절반 가까이는 공격 주체가 1차 공격과 동일한 해커인 것으로 판단됩니다.


따라서 모든 조직은 반드시 견고한 랜섬웨어 복구 전략을 수립해야 합니다. 아래의 주요 권장 사항을 검토하는 것부터 시작하면 좋습니다.


5가지 랜섬웨어 복구 베스트 프랙티스

실질적으로 효과가 있는 랜섬웨어 복구 전략을 수립하는 데 도움이 되는 5가지 핵심 권장 사항이 있습니다.


1. 백업과 백업 계획을 안전한 곳에 보관하기

모든 랜섬웨어 복구 전략의 핵심적인 권장 사항은 정기적으로 백업하고(도메인 컨트롤러를 복원하는 데 필요한 AD 백업 포함) 백업을 테스트하여 정상 상태인지 확인하는 것입니다. 사실 이 권장 사항은 워낙 기본적이므로 모두가 잘 아실 것으로 생각합니다. 바로 백업을 저장하는 방법으로 넘어가도록 하겠습니다.


랜섬웨어 공격자는 백업이 손상되면 백업을 통한 복원이 불가능하다는 것을 알고 있습니다. 그래서 많은 랜섬웨어가 도달할 수 있는 모든 백업을 탐색해 파괴하도록 설계됩니다. 공격자들은 조직이 데이터를 직접 복원하지 못해 몸값을 지불해야 할 가능성을 극대화하고자 합니다.


따라서 공격의 영향을 받을 수 없는 곳, 즉 오프라인이며 연결되지 않아 내부 네트워크와 인터넷에서 모두 접근할 수 없는 곳에 백업을 보관할 것을 의무화해야 합니다. 전통적인 오프라인 백업 방법은 테이프에 백업을 작성해 이를 아이언 마운틴(Iron Mountain) 같은 오프사이트 보관 시설로 보내는 것입니다. 그러나 이 방법은 백업과 복구가 모두 번거롭고 비용도 많이 듭니다. 특히 테이프를 회수해 수송해서 마운트하고 읽기까지 많은 시간이 소요되므로 랜섬웨어 감염 시 복구 속도가 매우 느립니다. 복구가 지연될수록 비즈니스가 입는 공격의 피해도 그만큼 커집니다. 다운타임이 길어지고 언론에 계속 보도되면서 회사의 평판과 미래 수익도 타격을 받습니다.


오늘날 많은 조직은 백업 데이터를 오프사이트에 보관할 역량을 가진 신뢰할 수 있는 공급업체의 클라우드에 백업을 보관하는 방법을 선택하고 있습니다. 필요한 경우 대안 위치로 복구해서 랜섬웨어 복구 속도를 높일 수 있습니다. 아마존 S3, S3 글래시어(Glacier), S3 글래시어 딥 아카이브(Glacier Deep Archive), 마이크로소프트 애저 블롭 스토리지(Microsoft Azure Blob Storage) 등이 해당됩니다. 클라우드 스토리지를 사용하고자 한다면 모든 백업 데이터가 기업의 네트워크 경계 밖으로 나가기 전에 암호화되는지 확인하십시오.


2. 최악의 시나리오에 대한 계획 수립하기

불행하게도 많은 조직이 랜섬웨어 복구 전략을 문서와 애플리케이션으로 제한하는 실수를 저지릅니다. 계획은 도메인 컨트롤러가 없는 상황, 즉 IT 환경이 전혀 작동하지 않는 상황을 전제해야 합니다. 복잡한 포리스트 복구 프로세스를 자동화하는 솔루션을 두는 편이 현명합니다. 또한 랜섬웨어 공격이 AD와 비즈니스 애플리케이션 이외의 요소, 예를 들어 네트워크, 라우터, 스위치 및 VPN 콘센트레이터(concentrator)에 미치는 영향도 반드시 고려해야 합니다.


마이크로소프트 클라우드 인프라를 보호해야 할 필요성도 간과하는 경우가 많습니다. 마이크로소프트에 따르면, 애저 AD를 대상으로 한 공격 시도는 2021년에만 250억 회 발생했습니다. 이를 감안하면 특히 중요하게 고려해야 할 부분입니다. 익스체인지 및 쉐어포인트 온라인, 원드라이브, 팀즈 및 캘린더에 저장된 마이크로소프트 365 백업 데이터 역시 사용자 실수와 우발적인 삭제, 손상 및 악성 프로그램에 취약합니다. 클라우드 서비스 가용성 유지는 마이크로소프트의 책임이지만, 조직의 데이터를 보호해야 할 책임은 해당 조직에 있습니다.


또한 상상할 수 있는 가장 심각한 랜섬웨어 공격을 받더라도 접근할 수 있는 위치에 랜섬웨어 복구 계획을 보관해야 한다는 점도 기억해야 합니다. 인쇄해서 보관하는 것도 검증된 방법입니다. 드롭박스와 같은 별도의 클라우드 스토리지에 저장하는 방법도 있습니다.


3. 적절한 인력을 소집하고 효과적인 협업 여건 조성하기

랜섬웨어 복구에는 다음과 같은 다양한 팀이 관여합니다.


· 백업팀 : 백업을 제공하고 복원 수행

· 스토리지팀 : 서버를 복원하기에 충분한 스토리지 확보

· 네트워크팀 : 복원되는 서버를 샌드박싱하고 도메인 컨트롤러의 통신 기능 보장

· 서버팀 : 복원이 올바르며 완전한지 검증하고 부가적인 안티바이러스 또는 안티 멀웨어 소프트웨어 설치

· 보안팀 : 복원한 서버에 랜섬웨어가 없도록 보장

· 애플리케이션팀 : 애플리케이션의 정상 작동 확인

· 외부 관계자 : 백업 및 복구 업체, 클라우드 스토리지 제공업체(예 : 마이크로소프트)


모든 팀을 감독하고 조율하면서 즉석에서 의사 결정을 내릴 한 사람을 두는 것이 필수적입니다. 모든 역할과 책임을 명확하게 문서화하는 것이 좋습니다. 또한 이들 팀이 모이고 하위 팀이 특정 문제에 관한 전략을 수립할 수 있는 가상 회의실을 랜섬웨어 복구 플레이북에 포함해야 합니다. 가상 회의실은 팀즈, 줌, 팀플로우(Teamflow)로 마련할 수 있습니다.


4. 단계별 복구 고려하기

랜섬웨어 공격이 조직 IT 생태계의 여러 부분에 영향을 미칠 때는 단계별로 데이터와 애플리케이션을 복구하는 것이 비즈니스를 최대한 신속하게 원상 복구하는 최선의 방법입니다.


우선 비즈니스 담당자와 협력해 핵심 비즈니스 운영을 위해 가장 중요한 애플리케이션이 무엇인지 파악한 후 파악된 애플리케이션 운영에 필수적인 도메인 컨트롤러를 확인합니다. 핵심 도메인 컨트롤러는 대부분 원격 사무실보다는 데이터센터에 위치합니다. 단계별 복구를 이끌 우선순위 목록을 만들어서 AD팀이 가장 중요한 도메인 컨트롤러를 복원한 다음 다른 도메인 컨트롤러로 순차적으로 작업하도록 하고, 그 사이 애플리케이션팀과 데이터베이스팀 및 다른 인력은 핵심 도메인 컨트롤러에서 복구 작업을 시작하도록 계획을 수립합니다.


5. 속도를 위한 품질 희생은 금물

랜섬웨어 공격을 받은 조직이 하루빨리 정상 상태로 돌아가기를 원하는 것은 당연하지만, 재감염되지 않도록 제대로 복구하는 것이 중요합니다. AD용 리커버리 매니저 재난 복구 에디션(Recovery Manager for Active Directory Disaster Recovery Edition)과 같은 복구 솔루션은 각 도메인 컨트롤러 복원을 위한 최선의 방법을 제공합니다.


예를 들어 BMR(Bare Metal Recovery)는 비교적 간편하지만, 타겟 머신의 물리적 디스크 레이아웃이 백업된 도메인 컨트롤러와 동일해야 한다는 조건이 있으며, 부팅 볼륨과 같이 복원 작업에 불필요한 구성요소가 백업에 포함되므로 랜섬웨어가 이런 구성요소에 숨어서 조직을 재감염시킬 수 있습니다. 따라서 BMR 외의 다른 옵션도 마련하는 것이 좋습니다. 재감염 위험을 최소화하기 위해 새 윈도우 서버의 깨끗한 운영체제에 AD를 복원하는 것이 대표적인 방법입니다.


결론

오늘날 모든 조직은 주요 도메인 컨트롤러를 신속하게 복구하여 빠르게 비즈니스를 정상 복구할 수 있게 해주는 종합적인 랜섬웨어 복구 전략을 마련해야 합니다.


랜섬웨어 복구 솔루션과 데이터 관리 방법에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어 코리아로 문의 주시기 바랍니다.


퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB