정보 센터

랜섬웨어란?

사이먼은 한 중견기업의 세일즈 리더로, 2개월 연속 이달의 최고 세일즈 직원으로 선정되어 추가로 1,000달러의 보너스를 받을 예정입니다.

사이먼은 한 유망 잠재 고객과 통화하는 동안 이메일 알림을 듣고 확인합니다. 발신자는 모르는 사람이지만, 언뜻 보기에 이전의 잠재 고객이 다시 관심을 가진 것 같습니다. 사이먼은 기쁜 마음에 아무 생각 없이 이메일과 첨부 파일을 엽니다.

그의 이러한 행동으로 랜섬웨어가 회사 네트워크에 침투하게 되었습니다. 그 결과, 회사가 엄청난 금액의 몸값을 지불하지 않는 한 데이터 액세스는 불가능합니다.

안타깝게도 대부분 기업에서 이러한 경험을 통해 랜섬웨어에 관해 알게 됩니다. 하지만 너무 늦은 경우가 많습니다. 랜섬웨어 감염 사례가 매일 증가하는 상황에서 기업은 보호에 필요한 조치를 이행해야 합니다.

귀사가 공격의 표적이 될 만큼 크지 않거나 위험에 거의 노출되지 않는다고 생각하십니까? 안타깝게도 그렇지 않습니다. 미국의 사무직 직원은 매일 평균 121통의 이메일을 받습니다. 데이터에 의하면, 발송되는 모든 이메일의 절반 가까이가 스팸으로 분류됩니다.

스팸 이메일이 랜섬웨어 및 기타 악성 코드의 주요 공격 경로인 것을 고려하면, 회사의 규모에 관계없이 고려해야 하는 문제입니다.

여기서는 다음 내용을 살펴봅니다.

  • 랜섬웨어란?
  • 랜섬웨어의 유형
  • 랜섬웨어 공격의 영향
  • 랜섬웨어 공격을 차단하는 방법
  • 랜섬웨어 방지와 관련하여 도움을 받을 수 있는 곳
  • 랜섬웨어 공격 발생 시 취해야 할 조치

랜섬웨어란?

랜섬웨어는 데이터를 볼모로 기업을 위험에 노출시키는 악성 코드(악성 소프트웨어) 유형입니다. 사이버 범죄자가 기업의 네트워크에 대한 액세스 권한을 확보한 다음 중요한 파일을 암호화하여 액세스할 수 없게 만듭니다.

데이터에 다시 액세스하려면 범죄자에게 몸값을 지불해야 하며, 대개 암호 화폐로 지불합니다. 몸값을 지불하더라도 데이터를 되찾을 수 있다는 보장은 없습니다. 실제로 일부 랜섬웨어는 지정된 기한 내에 지불하지 않으면 데이터를 삭제합니다.

랜섬웨어는 규모에 관계없이 모든 기업에 심각한 문제입니다. 랜섬웨어 공격과 관련하여 다음과 같은 통계에 주목할 필요가 있습니다.

  • 전 세계적으로 랜섬웨어로 인해 치러야 할 비용이 향후 10년간 크게 치솟을 것으로 보입니다. 즉, 2021년의 200억 달러에서 2031년에는 2,650억 달러에 달할 것으로 예상됩니다.
  • 2021년에는 전체 기업 및 기관의 37%가 랜섬웨어에 감염되었습니다.
  • 2021년에 랜섬웨어 공격으로부터 복구하는 데 평균 185만 달러의 비용이 들었습니다.
  • 랜섬웨어 피해자의 32%가 몸값을 지불했는데, 그중 65%만 데이터를 되찾았습니다.
  • 랜섬웨어 공격을 받은 후 백업을 사용하여 성공적으로 데이터를 복구한 기업은 57%에 불과합니다.

랜섬웨어의 유형

랜섬웨어에는 몇 가지 유형이 있으며, 각기 다른 방식으로 시스템을 감염시키고 데이터를 볼모로 삼습니다. 가장 대표적인 랜섬웨어 유형의 예는 다음과 같습니다.

  • 화면 잠금형 랜섬웨어(Screen Lockers): 이름에서 알 수 있듯이 사용자의 디바이스나 계정을 잠그며, 잠금을 해제하려면 몸값을 지불해야 합니다. 이 유형은 예전만큼 흔하지 않습니다.
  • 암호화 랜섬웨어: 가장 많이 발생하는 위험한 랜섬웨어 유형으로, 데이터를 암호화하여 키 없이는 액세스할 수 없게 만듭니다. 이 키는 사이버 범죄자에게서만 얻을 수 있으며, 물론 몸값을 지불해야 합니다.
  • MBR 랜섬웨어: MBR 랜섬웨어는 시스템에서 시동 방식에 관한 정보를 저장하는 마스터 부트 레코드를 노립니다. 이 랜섬웨어 유형은 시스템 자체를 사용 불가능한 상태로 만들 수 있습니다. 문제를 해결하는 유일한 방법은 몸값을 지불하고 사이버 범죄자가 복호화 키를 제공하길 바라는 것입니다.
  • 하이브리드 랜섬웨어: 하이브리드 랜섬웨어는 암호화 랜섬웨어와 화면 잠금형 랜섬웨어가 혼합된 형태로, 사용자의 디바이스나 계정을 잠그고 데이터를 암호화합니다. 디바이스나 데이터에 다시 액세스할 수 있는 유일한 방법은 몸값을 지불하는 것입니다.

랜섬웨어 공격의 영향

랜섬웨어 공격으로 인해 경제적으로나 기업의 평판과 관련해 큰 피해를 입을 수 있습니다.

경제적 측면으로는 랜섬웨어로 인해 막대한 비용을 치러야 할 수 있습니다. 실제로 랜섬웨어 공격으로부터 복구하는 데 평균 185만 달러가 소요됩니다. 데이터 백업이 없는 경우, 데이터를 되찾기 위해 몸값을 지불해야 할 수도 있습니다.

평판과 관련해서는 랜섬웨어 공격으로 인해 회사 이미지가 실추되기 쉽습니다. 또한 고객이 기업에 대한 신뢰를 잃고 다른 기업으로 이탈할 수 있습니다. 게다가 중요 데이터가 랜섬웨어에 의해 암호화된 경우 해당 사건을 공개해야 하는데, 그 경우 기업의 이미지가 더욱 저하됩니다.

역사상 가장 심각했던 랜섬웨어 위협 사례

지난 몇 년간 여러 차례 대규모의 랜섬웨어 공격이 발생하면서 막대한 피해를 입혔습니다. 그중 가장 심각했던 3가지 사례를 소개합니다.

1.  WannaCry

WannaCry는 파일을 암호화하고 복호화를 위해 몸값을 요구하는 악성 소프트웨어 유형입니다. Windows SMB 프로토콜의 보안 결함을 이용합니다. WannaCry는 여러 시스템에 자동으로 확산되면서 접촉하는 다른 시스템을 감염시킬 수 있습니다.

WannaCry는 드로퍼로 위장하는 완전체(self-contained) 프로그램으로, 암호화 키, 복호화 소프트웨어, Tor 통신 프로그램이 포함된 파일을 추출할 수 있습니다. 공격자들이 WannaCry 식별을 어렵게 만들지 않으므로, 큰 어려움 없이 찾아 삭제할 수 있습니다.

2017년 한 해에만 이 바이러스가 150여 개국에서 230,000여 대의 시스템에 침투하여 약 40억 달러 상당의 피해를 입혔습니다. WannaCry 공격을 계기로 많은 기업이 보안 취약점에 대한 패치를 적용하고 안전한 백업을 유지하는 것의 중요성을 깨달았습니다.

2.  Petya와 NotPetya

Petya는 Windows를 실행하는 시스템에만 영향을 미치는 바이러스입니다. 이 액세스 프로세스는 사용자로부터 관리자 레벨의 액세스 권한을 확보해야 합니다. 이 액세스 권한을 확보한 다음에는 시스템을 재부팅하고 가짜 충돌 화면을 표시하는데, 이때 백그라운드에서는 마스터 파일 테이블(MFT) 전체를 암호화합니다.

공격자는 Patyal 바이러스의 변종으로 NotPetya를 생성했으며, 이 바이러스는 특별한 도움 없이 확산이 가능하여 위험성이 배가되었습니다. NotPetya 랜섬웨어는 Windows SMB 파일 전송 프로토콜의 알려진 취약점인 EternalRomance와 EternalBlue를 활용했습니다.

이를 출발점으로 하여 원래 감염된 디바이스에 연결된 모든 Windows 시스템을 감염시킵니다. NotPetya는 하드 디스크 전체를 암호화할 뿐만 아니라, 몸값을 지불하더라도 복구 불가능한 상태로 만듭니다.

3.  Maze Ransomware

Maze Ransomware는 파일을 암호화하고 복호화를 위해 몸값을 요구하는 악성 소프트웨어 유형으로, Windows SMB 프로토콜의 보안 결함을 이용합니다. Maze Ransomware는 시스템 전체에 확산되어 접촉하는 다른 시스템을 감염시킬 수 있습니다.

대상, 특히 의료 기관의 기밀 정보를 공개하는 것으로 널리 알려졌습니다. 이때 공격자는 100GB 이상의 파일을 도용할 수 있었습니다. 가장 최근의 피해자로는 Xerox Corporation이 있습니다.

4.  Cerber Ransomware

케르베르는 RaaS(Ransomware-as-a-Service)로, 사이버 범죄자가 이 서비스를 이용하여 공격을 실행하고 중요 정보를 악성 코드 개발자에게 유포할 수 있습니다.

케르베르는 파일을 암호화하고 Windows 보안 기능의 실행을 중단시켜 시스템 복원을 어렵게 만드는 바이러스로, 시스템의 파일을 암호화한 다음 바탕 화면 배경에 몸값을 요구하는 메시지를 표시합니다.

5.  CryptoLocker

2013년에 CryptoLocker가 등장하여 악명을 떨쳤습니다. 2014년 5월에 여러 벤더와 IT 전문가들이 최초의 CryptoLocker 봇넷을 없앨 수 있었는데, 이미 사이버 범죄자들이 300만 달러 가까이 갈취한 후였습니다.

CryptoLocker는 파일을 암호화하고 Windows 보안 기능의 실행을 중단시켜 시스템 복원을 어렵게 만듭니다. 시스템의 파일을 암호화한 다음 바탕 화면 배경에 몸값을 요구하는 메시지를 표시합니다.

많은 사이버 범죄자가 CryptoLocker 방식을 채택합니다. 그러나 최신 버전들은 최초 버전에 필적할 만한 수준은 아닙니다. 최초 버전과 같거나 유사한 파일 암호화 알고리즘을 사용할 수 있지만, CryptoLocker가 이처럼 효율적으로 확산되는데 큰 역할을 담당한 네트워크 인프라스트러처는 없습니다.

주요 랜섬웨어 차단 전략

랜섬웨어 차단은 오늘날 모든 기업의 핵심 과제입니다. 경제적 비용 및 평판뿐만 아니라 컴플라이언스의 측면에서도 그렇습니다.

랜섬웨어로부터 비즈니스를 보호하기 위한 여러 방법이 있지만, 특히 중요한 10가지 전략을 소개합니다.

1.  데이터 백업

데이터 백업 및 복구는 모든 기업에 필수 조건입니다. 가장 손쉽게 리스크를 줄이는 방법 중 하나가 데이터를 백업하여 외장 하드 드라이브나 클라우드 서버에 저장하는 것입니다. 랜섬웨어 공격에 대응하는 최상의 방법은 시스템을 완전 무결한 상태로 만든 다음 모든 백업 파일을 다시 설치하는 것이기 때문입니다. 따라서 데이터 백업이 중요하며, 하루에 한 번 이상 백업하는 것을 목표로 해야 합니다.

주목해야 할 일반적인 방법 중 하나로 3-2-1 규칙이 있습니다. 데이터의 카피본 3개를 생성하여 2개는 서로 다른 온라인 스토리지 유형에, 1개는 오프라인에 저장하는 것입니다.

이 프로세스에 한 단계를 추가하여 데이터 스토리지를 훨씬 더 안전하게 만들 수 있습니다. 변조 및 삭제 불가능한 클라우드 서버에 데이터를 복사하는 것입니다. 이 경우 백업을 절대 변경하거나 삭제할 수 없게 되는데, 이는 랜섬웨어 공격 상황에서 매우 중요한 조건이 됩니다.

2.  시스템을 항상 최신 패치로 업데이트(또는 자동화 사용)

자주 간과되지만 디바이스에 최신 패치를 적용하는 것은 사이버 보안에서 매우 중요합니다. 물론 업데이트를 수작업으로 배포하려면 매우 번거롭고 많은 시간이 걸립니다. 그로 인해 다른 중요한 업무에 집중할 수 없게 됩니다. 그러나 애플리케이션에 패치를 적용하지 않으면 디바이스와 데이터가 사이버 범죄자의 공격을 받을 리스크가 커집니다.

이때 자동화가 진가를 발휘할 수 있습니다. 더 이상 직접 업데이트하고 패치를 적용하는 번거로운 작업을 수행하지 않고 자동 업데이트 및 패치 설치를 허용하면 됩니다. 이 옵션은 현명하게 사용해야 합니다. 경우에 따라서는 직접 업데이트하는 것이 문제 예방에 더 효과적일 수 있습니다.

3.  바이러스 차단 소프트웨어 및 방화벽 설치

랜섬웨어로부터 스스로를 보호하는 몇 가지 방법이 있습니다. 그중에서도 가장 일반적이고 효과적인 방법은 통합 바이러스 차단 및 악성 코드 차단 소프트웨어를 설치하는 것입니다. 이러한 솔루션은 디바이스와 네트워크에 악성 코드가 있는지 검사하고 발견하면 제거하도록 설계되었습니다.

바이러스 차단 소프트웨어와 함께 방화벽 설치도 고려해야 합니다. 방화벽이란 네트워크에서 오가는 트래픽을 필터링하는 하드웨어 또는 소프트웨어로, 이러한 기능을 사용하면 랜섬웨어(및 그 밖의 악성 코드)가 디바이스에 침투하는 것을 일차적으로 차단할 수 있습니다.

보너스 팁: 가짜 바이러스 탐지 알림에 주의하십시오. 사이버 범죄자가 사용자를 속이거나 위협하는 가짜 알림을 생성하여 악성 링크나 첨부 파일을 누르도록 유도하기도 합니다. 확실하지 않으면 행동하기 전에 반드시 IT 부서에 확인하십시오.

4.  사용자 액세스 및 권한 제한

랜섬웨어 공격을 받을 가능성을 줄이려면 사용자 액세스 및 권한을 제한하는 것이 필수적입니다. 이러한 조치를 통해 공격자가 네트워크에 침입하더라도 악성 코드가 확산되는 것을 제한할 수 있습니다.

특정 데이터 및 시스템에 액세스할 필요가 있는 사람만 액세스할 수 있게 하십시오. 사용자가 각자의 계정으로 무슨 일을 하는지도 살펴야 합니다. 의심스러운 활동이 보이면 즉시 조사하십시오.

5.  직원 교육

랜섬웨어(및 그 밖의 사이버 위협)로부터 비즈니스를 보호하는 가장 좋은 방법 중 하나는 직원을 교육하는 것입니다. 이들은 랜섬웨어가 무엇이고 어떻게 작동하는지 알고 있어야 합니다. 그리고 알 수 없는 발신자가 보낸 링크와 첨부 파일을 누르는 것의 위험성, 그리고 암호를 공유하지 않는 것의 중요성도 직원에게 알려주십시오.

사이버 보안 정책도 마련되어 있어야 합니다. 이 정책은 직원이 네트워크 보안을 유지하기 위해 수행해야 할 단계를 간략하게 설명합니다. 그리고 정기적인 교육 세션을 진행하여 모든 직원이 최신 위협 및 베스트 프랙티스에 관한 새로운 정보를 얻을 수 있게 하십시오.

6.  애플리케이션 화이트리스팅

애플리케이션 화이트리스팅은 승인된 애플리케이션만 디바이스나 네트워크에서 실행할 수 있게 하는 보안 기능입니다. 그러면 알려지지 않은 코드나 악성 코드가 실행되는 것을 근본적으로 차단하므로, 랜섬웨어 차단에 매우 효과적일 수 있습니다.

물론 애플리케이션 화이트리스팅이 완전한 대책은 아닙니다. 새로운 악성 코드가 틈새로 들어올 가능성은 항상 있습니다. 그러나 다른 보안 기능과 함께 사용할 경우, 랜섬웨어 공격으로부터 비즈니스를 보호하는 강력한 수단이 될 수 있습니다.

7.  비즈니스 연속성 및 비상 대응 계획 수립

최상의 보안 조치를 수행해도 기업이 랜섬웨어의 표적이 되어 피해를 입을 가능성이 있습니다. 따라서 비즈니스 연속성 및 비상 대응 계획을 수립하는 것이 매우 중요합니다.

이 계획에서는 시스템이 중단되더라도 운영을 지속하는 방법, 그리고 랜섬웨어 공격 발생 시 수행할 조치를 개괄적으로 설명해야 합니다. 이러한 계획을 통해 피해를 최소화하고 가능한 빠르게 비즈니스를 정상화하여 운영할 수 있습니다.

8.  비즈니스를 위한 사이버 책임 보험에 투자

사이버 책임 보험은 데이터 유출이나 사이버 공격으로 인한 재정적 손실로부터 기업을 보호합니다. 이러한 보험 상품은 손실된 데이터를 복원하는 비용 및 혹시 발생할 수 있는 법적 비용을 충당하는 데 도움이 될 수 있습니다.

사이버 책임 보험이 적절한 보안 조치를 대체할 수는 없지만, 위기 상황에는 어느 정도 안심할 수 있습니다. 아울러 기업이 랜섬웨어 공격을 받더라도 경제적 피해를 최소화하는 데 도움이 될 수 있습니다.

9.  정기적인 보안 테스트 및 감사 실행

기업의 보안 조치를 정기적으로 테스트하여 그 실효성을 확인하는 것이 중요합니다. 침투 테스트, 취약점 검사와 같은 다양한 방법을 사용할 수 있습니다.

테스트 외에도 정기적인 보안 감사를 수행해야 합니다. 이러한 감사는 시스템의 약점을 누군가가 악용하기 전에 찾아내 해결하는 데 도움이 됩니다.

랜섬웨어 공격 발생 시 취해야 할 조치

원칙적으로는 랜섬웨어 공격을 차단하는 것이 좋습니다. 그러나 최상의 보안 조치를 수행해도 집요한 공격자를 항상 막아낼 수는 없습니다. 기업이 랜섬웨어 공격을 받았다면 다음과 같은 단계를 수행해야 합니다.

1.  공격받은 시스템 격리

가장 먼저 수행할 조치는 공격받은 시스템을 격리하는 것입니다. 이렇게 하면 랜섬웨어가 네트워크의 다른 부분으로 확산되는 것을 방지할 수 있습니다.

백업 시스템이 있다면 바로 지금 사용해야 합니다. 백업을 활용하면 데이터 유출을 최소화할 수 있습니다.

2.  공격 출처 식별

공격받은 시스템을 격리했다면 해당 공격의 출처를 파악해야 합니다. 이 정보는 향후 공격을 방지하는 데 도움이 될 수 있습니다.

해당 사건을 법 집행 기관에 신고하는 것도 좋습니다. 공격자를 추적하고 지불했던 몸값을 돌려받는 데 도움을 줄 수 있습니다.

3.  당국과 고객에게 알리기

랜섬웨어 공격이 개인 데이터에 영향을 미친다면, 관할 당국에 알려야 합니다. 미국의 경우 연방통상위원회(FTC), FBI 등이 해당합니다. 고객이 스스로를 보호하기 위한 조치를 수행할 수 있도록 고객에게도 알려야 합니다.

몸값을 지불해야 할까요?

쉽게 답할 수 없는 질문입니다. 요구받은 금액, 암호화된 데이터 유형, 백업 여부 등 여러 요인에 따라 달라집니다.

일반적으로 다른 선택의 여지가 없는 경우에만 몸값을 지불해야 합니다. 몸값을 지불하더라도 데이터를 되찾는다는 보장은 없습니다. 사실 되찾지 못할 가능성이 큽니다.

윤리적인 문제도 고려해야 합니다. 몸값을 지불하면 사실상 범죄자에게 돈을 지급하여 그들이 공격을 계속할 이유를 제공하는 셈입니다.

베리타스가 도와드리겠습니다.

랜섬웨어 공격에 대처하는 것이 쉽지 않을 수 있습니다. 하지만 그 어떤 기업도 예외가 아닙니다. 베리타스의 전문가들이 공격으로부터 복구하고 비즈니스를 다시 정상화하여 운영하도록 도와드립니다.

베리타스는 다음과 같은 서비스를 제공합니다.

  • 데이터 복구: 손실된 데이터를 복구하여 비즈니스를 정상화하고 운영하도록 지원합니다.
  • 보안 평가: 기업의 보안 조치를 평가하여 약점이 있다면 찾아낼 수 있습니다. 그런 다음 보안을 개선하는 데 필요한 변경 사항을 이행하도록 지원합니다.
  • 비즈니스 연속성 계획: 랜섬웨어 공격이 발생하더라도 비즈니스를 지속적으로 운영하기 위한 계획을 수립하도록 지원합니다.

랜섬웨어 공격에 대처하거나 그러한 공격을 방지하기 위해 보안 조치를 개선하려는 경우 서둘러 베리타스에 문의하십시오. 당장의 위기를 극복하고 향후 발생할 수 있는 공격으로부터 기업을 보호할 수 있도록 지원합니다.

결론

랜섬웨어 공격은 규모에 상관없이 모든 기업에 심각한 위협입니다. 데이터 유출, 서비스 중단, 기업 이미지 실추, 컴플라이언스 불이행 등의 문제로 이어질 수 있습니다.

기업이 스스로를 보호하려면 강력한 보안 조치를 이행하고 공격 발생 시 대처하기 위한 계획도 수립해야 합니다.

랜섬웨어 공격의 피해자가 되었다면, 최상의 조치는 법 집행 기관에 연락하여 전문가의 도움을 받는 것입니다. 베리타스는 기업이 그러한 공격으로부터 복구하고 보안 조치를 개선하도록 지원합니다. 지금 문의하여 자세히 알아보십시오.

 

베리타스 고객 중에는 Fortune지 선정 100대 기업의 95%가 포함되어 있으며 NetBackup™은 방대한 데이터를 보호할 방법을 찾는 기업들 사이에서 선택 1순위에 오른 제품입니다.

 

베리타스 데이터 보호 솔루션이 가상 워크로드, 물리적 워크로드, 클라우드 워크로드, 레거시 워크로드를 어떻게 완벽하게 보호하는지 궁금하다면 엔터프라이즈 비즈니스를 위한 데이터 보호 서비스에서 확인하십시오.