당신은 주제를 찾고 있습니까 “랜섬 웨어 대응 방안 – 랜섬웨어 감염시 복구 및 대응방안“? 다음 카테고리의 웹사이트 https://you.maxfit.vn 에서 귀하의 모든 질문에 답변해 드립니다: https://you.maxfit.vn/blog/. 바로 아래에서 답을 찾을 수 있습니다. 작성자 Secure Nomad 이(가) 작성한 기사에는 조회수 5,698회 및 좋아요 38개 개의 좋아요가 있습니다.
랜섬 웨어 대응 방안 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 랜섬웨어 감염시 복구 및 대응방안 – 랜섬 웨어 대응 방안 주제에 대한 세부정보를 참조하세요
ID Ransomware : http://id-ransomware.malwarehunterteam.com/
설명하단에 복구가능한 랜섬웨어 리스트 있습니다.
[더보기]를 눌러주세요.
랜섬웨어(Ransomware)에서 가장 중요한 것은 예방과 백업입니다. 하지만 너무 많은 분들이 저에게 랜섬웨어에 감염 되었을 때 복구방법이나 행동요령을 너무 많이 물어보셔서 영상으로 만들었습니다. 랜섬웨어에 감염 되었을 경우에 랜섬웨어의 종류를 파악하고 복구툴이 있는지 확인하는 과정이 필요합니다. 이는 전세계가 서로 정보를 공유하면서 대응하고 있으며, 검색 및 복구하는 방법을 공유 드립니다. 데이터 복구관점에서는 해당 툴이 아직 없으면 사실상 복구할 수 있는 방법은 없습니다.
랜섬웨어 특성상 개별적인 이슈가 많을 수 있으니 궁금하신 점은 댓글로 남겨주시면 제가 아는 범위내에서 최대한 알려드리도록 하겠습니다.
2021. 01. 20 기준 복구가능한 랜섬웨어 리스트
777 Ransom
AES_NI Ransom
Agent.iih Ransom
Alcatraz Ransom
Alpha Ransom
Amnesia Ransom
Amnesia2 Ransom
Annabelle Ransom
Aura Ransom
Aurora Ransom
AutoIt Ransom
AutoLocky Ransom
Avest Ransom
BTCWare Ransom
BadBlock Ransom
BarRax Ransom
Bart Ransom
BigBobRoss Ransom
Bitcryptor Ransom
CERBER V1 Ransom
CheckMail7 Ransom
Chernolocker Ransom
Chimera Ransom
Coinvault Ransom
Cry128 Ransom
Cry9 Ransom
CryCryptor Ransom
CrySIS Ransom
Cryakl Ransom
Crybola Ransom
Crypt32 Ransom
Crypt888 Ransom
CryptON Ransom
CryptXXX V1 Ransom
CryptXXX V2 Ransom
CryptXXX V3 Ransom
CryptXXX V4 Ransom
CryptXXX V5 Ransom
CryptoMix Ransom
Cryptokluchen Ransom
Cyborg Ransom
DXXD Ransom
Damage Ransom
Darkside Ransom
Democry Ransom
Derialock Ransom
Dharma Ransom
DragonCyber Ransom
ElvisPresley Ransom
EncrypTile Ransom
Everbe 1.0 Ransom
FenixLocker Ransom
FilesLocker v1 and v2 Ransom
FortuneCrypt Ransom
Fury Ransom
GalactiCryper Ransom
GandCrab (V1, V4 and V5 up to V5.2 versions) Ransom
GetCrypt Ransom
Globe Ransom
Globe/Purge Ransom
Globe2 Ransom
Globe3 Ransom
GlobeImposter Ransom
GoGoogle Ransom
Gomasom Ransom
HKCrypt Ransom
Hakbit Ransom
HiddenTear Ransom
HildaCrypt Ransom
Iams00rry Ransom
InsaneCrypt Ransom
Iwanttits Ransom
JSWorm 2.0 Ransom
JSWorm 4.0 Ransom
Jaff Ransom
JavaLocker Ransom
Jigsaw Ransom
Kokokrypt Ransom
LECHIFFRE Ransom
LambdaLocker Ransom
Lamer Ransom
Linux.Encoder.1 Ransom
Linux.Encoder.3 Ransom
Loocipher Ransom
Lortok Ransom
MacRansom Ransom
Magniber Ransom
Mapo Ransom
Marlboro Ransom
Marsjoke aka Polyglot Ransom
MegaLocker Ransom
Merry X-Mas Ransom
MirCop Ransom
Mira Ransom
Mole Ransom
Muhstik Ransom
Nemty Ransom
Nemucod Ransom
NemucodAES Ransom
Nmoreira Ransom
Noobcrypt Ransom
Ouroboros Ransom
Ozozalocker Ransom
PHP ransomware Ransom
Paradise Ransom
Pewcrypt Ransom
Philadelphia Ransom
Planetary Ransom
Pletor Ransom
Popcorn Ransom
Professeur Ransom
Puma Ransom
Pylocky Ransom
Rakhni Ransom
Rannoh Ransom
Ransomwared Ransom
RedRum Ransom
Rotor Ransom
SNSLocker Ransom
Shade Ransom
SimpleLocker Ransom
Simplocker Ransom
SpartCrypt Ransom
Stampado Ransom
Syrk Ransom
Teamxrat/Xpan Ransom
TeslaCrypt V1 Ransom
TeslaCrypt V2 Ransom
TeslaCrypt V3 Ransom
TeslaCrypt V4 Ransom
Thanatos Ransom
ThunderX Ransom
Trustezeb Ransom
TurkStatic Ransom
VCRYPTOR Ransom
WannaCryFake Ransom
Wildfire Ransom
XData Ransom
XORBAT Ransom
XORIST Ransom
Yatron Ransom
ZQ Ransom
ZeroFucks Ransom
Zorab Ransom
djvu Ransom
#랜섬웨어 #랜섬웨어복구 #랜섬웨어제거 #파일복구 #파일삭제 #악성코드 #랜섬웨어감염 #복구방안 #데이터복구 #랜섬웨어대응 #악성코드 #ransomware
랜섬 웨어 대응 방안 주제에 대한 자세한 내용은 여기를 참조하세요.
보고서 | 자료실 – KISA 인터넷 보호나라&KrCERT
4.2 랜섬웨어의 기술적 대응 방안 4.3 랜섬웨어의 감염 분석 4.4 랜섬웨어 대응을 위한 투자 전략 4.5 랜섬웨어 공격 피해 최소화를 위한 사후 대응 전략
Source: www.krcert.or.kr
Date Published: 12/27/2021
View: 5570
랜섬웨어 대응 가이드라인
랜섬웨어란? 가. 랜섬웨어란 무엇인가? 1) 랜섬웨어(Ransomware)는 이용자의 데이터(시스템파일 문서 이미지 동영상. 등)를 암호화하고 복구를 위한 금전을 요구하는 …
Source: glc.yonsei.ac.kr
Date Published: 1/20/2021
View: 8809
랜섬웨어, 대응책과 예방법은? – 소프트이천
랜섬웨어, 대응책과 예방법은? · 1. PC 종료하지 않기 · 2. 외부 저장장치와의 연결 해제하기 · 3. 무료 복구 프로그램 검색하기.
Source: www.soft2000.com
Date Published: 10/17/2021
View: 6542
랜섬웨어 대응 강화방안
랜섬웨어 대응 강화방안(요약). Ⅰ 추진 배경 및 현황. □최근 국내·외에서 해킹으로 피해자의 데이터를 암호화하고, 이를.
Source: www.korea.kr
Date Published: 9/27/2021
View: 7514
랜섬웨어 가이드 완결판: 대비, 대응 및 교정 – IBM
IT 보안 팀에 알려 랜섬웨어에 맞서기 위해 마련한 사고 대응 프로세스를 시작하게 하는 것이. 급선무입니다. … 이러한 정보를 활용하여 감염 대응 방안을 결정할.
Source: www.ibm.com
Date Published: 3/25/2022
View: 865
랜섬웨어 대응 방안 소개
수 년간 기업, 기관을 위협하며 강력한 위협요인으로 성장한 랜섬웨어 공격은 마치 IT환경에서의 COVID 19와 같이 끊임없는 신변종 형태로 발전하며 …
Source: www.allshowtv.com
Date Published: 6/13/2021
View: 1053
효과적인 랜섬웨어 대응, 무엇이 필요한가? – AhnLab | 보안 이슈
구체적인 대응 방안을 살펴보기에 앞서 현재까지 대표적으로 알려진 랜섬웨어 공격 방식에 대해 살펴보자. [그림 1] 랜섬웨어 공격 방식 정리. 첫 번째로, …
Source: m.ahnlab.com
Date Published: 9/9/2022
View: 473
랜섬웨어 피해현황 및 대응방안 | KISO저널
정부는 2021년 8월에 범정부 차원의 “랜섬웨어 대응 강화방안”을 마련했다. 주요내용은 ① 국가중요시설-기업-국민 수요자별 선제적 예방 지원, …
Source: journal.kiso.or.kr
Date Published: 4/12/2022
View: 7734
[기고] 데이터 보호를 위한 랜섬웨어 공격 대응 방안 – CCTV뉴스
[글=유재근 | 퀀텀코리아 이사] 랜섬웨어로 인해 많은 기업은 사이버 보안의 수렁에 빠져 있다. 자연재해, 하드웨어 장애 또는 제로데이 공격보다 …Source: www.cctvnews.co.kr
Date Published: 8/27/2021
View: 4504
[KISA Insight 2021 VOL.02] 랜섬웨어 최신 동향 분석 및 시사점
(국내) ‘랜섬웨어 대응 강화방안’ 발표(‘21.8월)를 통해 국가중요시설 관리체계 구축, 정보공유 및 협력, 수사, 대응 기술력 확보 등 종합적인 대응방안을 마련.
Source: www.kisa.or.kr
Date Published: 5/20/2022
View: 244
주제와 관련된 이미지 랜섬 웨어 대응 방안
주제와 관련된 더 많은 사진을 참조하십시오 랜섬웨어 감염시 복구 및 대응방안. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 랜섬 웨어 대응 방안
- Author: Secure Nomad
- Views: 조회수 5,698회
- Likes: 좋아요 38개
- Date Published: 2021. 1. 20.
- Video Url link: https://www.youtube.com/watch?v=HnGia3JhADk
KISA 인터넷 보호나라&KrCERT
1. 랜섬웨어의 최근 동향
1.1 랜섬웨어 동향 및 시사점
1.2 랜섬웨어의 확산
1.3 랜섬웨어의 공격 벡터
1.4 랜섬웨어 공격 사례
2. 랜섬웨어에 대한 이해
2.1 랜섬웨어의 종류별 특징
2.2 랜섬웨어의 공격 시나리오
2.3 랜섬웨어의 기술적 대응과 한계
3. 기업 담당자의 눈으로 바라본 랜섬웨어
3.1 설문조사 개요 및 요약
3.2 세부 조사결과
3.3 설문조사 총평
4. 랜섬웨어 방어 및 대응 전략
4.1 랜섬웨어의 관리적 대응 방안
4.2 랜섬웨어의 기술적 대응 방안
4.3 랜섬웨어의 감염 분석
4.4 랜섬웨어 대응을 위한 투자 전략
4.5 랜섬웨어 공격 피해 최소화를 위한 사후 대응 전략
5. 랜섬웨어 전용 솔루션에 대한 고찰
5.1 랜섬웨어 기본 점검항목
5.2 랜섬웨어 대응 솔루션들
참고1. 편집 후기
참고2. Appendix. 설문조사 항목 트위터 페이스북
랜섬웨어, 대응책과 예방법은?
랜섬웨어 소식이 끝없이 나오고 있는 요즘이다. 랜섬웨어는 회사는 물론 개인 PC까지 노리고 있어 전 세계적으로 상당한 피해를 입히고 있다. KISA(한국인터넷진흥원)의 ‘2021 랜섬웨어 스페셜리포트’에 따르면 글로벌 피해 금액은 2031년 300조 원을 넘어설 전망이다. 2015년 3800억 원에 불과했던 피해 규모는 올해 들어 23조 6000억 원으로 증가했다. 랜섬웨어 피해 사례는 수없이 듣고 있지만, 정작 내 PC가 랜섬웨어 감염된다면 올바르게 대응하는 방법을 아는 이들이 많지 않을 것이다. 이번 글에서는 PC가 랜섬웨어 감염됐을 때 개인이 할 수 있는, 그리고 해야 하는 현실적인 대처 방법과 사후조치에 대해 소개한다.
# 2년 전, 가을 무렵에 실제로 개인 노트북이 랜섬웨어에 걸렸다. 평상시처럼 오피스프로그램을 실행하고 작업 문서파일을 열려고 해도 해당 폴더에 파일이 없는 것 아닌가. 탐색기로 보니 파일은 있으나 확장자가 전부 이상한 형식으로 바뀌어 있다. 이때 ‘아, 랜섬웨어 걸렸구나’하는 생각이 들었으나 이미 늦었다. 돌이켜 보면, 블로그 어디선가 다운로드 받은 외국 프로그램 때문인 듯하다. 이메일에 첨부된 알 수 없는 파일이나 링크는 절대 클릭하지 않기에 유추할 수 있는 건 불법 프로그램 설치밖에 없다. 가장 중요한 가족들 사진을 모아놓은 영상 폴더로 들어가봤더니 여기도 이미 확장자가 바뀌어 열 수 없는 상태가 됐다. 유일하게 열 수 있는 readme.txt 파일을 클릭하니 영어로 ‘너의 파일은 모두 암호화됐고 풀고 싶으면 비트코인 얼마를 보내주면 풀어주겠다’는 글을 읽을 수 있었다. 당시 감염된 랜섬웨어 이름은 갠드크랩이었던 걸로 기억한다. 다행히도 안랩에서 제공한 복구툴과 6개월 정도 전에 백업해둔 파일을 이용해 절반 정도 사진과 문서를 복구할 수 있었지만 절반은 어쩔 수 없이 눈물을 머금고 날려야 했다.
랜섬웨어는 일반적인 바이러스와는 달리 백신 소프트웨어를 설치한다고 감염을 막을 수 있거나 치료할 수 없다는 게 가장 큰 문제다. 일부 랜섬웨어의 경우 안랩과 같은 백신 소프트웨어 업체들이 복구 툴을 무료로 제공해 피해를 복구할 수 있는 경우도 있지만 금세 또 다른 암호화 알고리즘을 적용한 랜섬웨어가 등장해 복구가 사실상 힘들다고 할 수 있다. 그래서 결국 공격자에게 대가를 지불하고 복호화 키를 받은 업체 사례가 뉴스로 등장하기도 했다.
랜섬웨어는 감염된다고 바로 티를 내지는 않는다. 평소에 컴퓨터 사용자들이 잘 보지 않는 구석진 파일에 잠복해 있는다. 그런데 타깃하는 파일들을 암호화시킬 때 외장하드나 USB가 연결되어 있는 상태라면 본체 하드디스크보다 외장파일들부터 먼저 공격한다. 이때 랜섬웨어에 걸린 파일명은 실행이 되지 않도록 모두 암호화되며, 복호화 프로그램 없이는 복구가 불가하다. 주로 문서 파일과 동영상 파일, 이미지 파일에 공격을 시도한다. 왜냐하면 이 파일들이 사용자에게 중요한 파일일 확률이 높고, 암호화된다면 랜섬을 지불할 확률도 높기 때문이다.
암호화가 모두 완료되기 전에 재부팅하면 ‘당신 컴퓨터는 랜섬웨어에 감염되었다’는 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업되기도 한다. 그리고 대부분의 작업을 할 수가 없다. 대표적인 증상은 다음과 같다.
우선 중요 시스템 프로그램이 열리지 않는다. 명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자 등의 작업이 불가능하다. 그리고 윈도우 복원 시점이 제거되거나 업데이트를 막아 버린다.
랜섬웨어 대처법, 이것만 기억하자!
1. PC 종료하지 않기
랜섬웨어에 감염된 것을 인지하면 너무 당황한 나머지 급하게 PC 전원을 끌 수 있다. 이는 잘못된 대처법이다. 랜섬웨어 감염을 확인한 후, PC 전원을 끄지 않도록 주의해야 한다. 일부 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 PC의 파일들을 삭제해버리기도 한다. 따라서, 감염 알림창에 나타난 메시지를 주의 깊게 살펴보고 감염된 랜섬웨어가 무엇인지 파악한 후, 차분하게 피해를 최소화할 수 있는 방안을 찾아보는 것이 바람직하다.
2. 외부 저장장치와의 연결 해제하기
랜섬웨어 감염이 의심될 경우, 즉시 공유 폴더, USB나 외장하드 등 외부 저장장치와의 연결을 해제하는 것이 좋다. 아직 랜섬웨어가 암호화를 진행 중이라면 감염된 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문이다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있다.
3. 무료 복구 프로그램 검색하기
그 다음으로는 안랩 등 신뢰할 수 있는 보안 회사의 홈페이지 등을 통해 감염된 랜섬웨어에 대한 복구툴이 있는지 확인해본 후 빨리 조치해야 한다. 안랩을 비롯한 주요 보안 업체들은 악성코드 분석 및 암호화 기법 분석을 통해 일부 랜섬웨어의 암호를 풀 수 있는 열쇠를 찾아내 암호화된 파일을 복구할 수 있는 툴(프로그램)을 제작해 무료로 제공하고 있다. 안랩은 자사 홈페이지를 통해 나부커(Nabucur), 크립트XXX(CryptXXX) 2.x 등 일부 랜섬웨어에 대한 복구툴을 무료로 제공하고 있다. 또 암호화 기법이 교묘하게 바뀐 크립트XXX 3.x 버전의 경우, 일부 파일에 대한 부분 복구를 지원하는 복구툴을 제공하고 있다.
그러나 현재 국내에서는 일부 복구 툴이 공개된 랜섬웨어를 제외하고 알고리즘 해독이 어렵고, 암호화 방식도 수시로 변경되기에 복구툴 제공도 어려운 게 현실이다. 따라서 백업해둔 파일이 있다면 이를 이용하여 다시 복구를 진행하는 것이 가장 이상적이다. 만약, 백업해둔 데이터가 없다면 감염된 파일을 비롯해 전체 포맷을 진행하거나, 복호화 비용을 지불해 복구 프로그램을 제공받는 방법 중 선택을 하는 수밖에 없다.
랜섬웨어, 예방이 답이다!
KISA는 국민·기업의 랜섬웨어 감염 예방 및 피해 최소화를 위해 ‘랜섬웨어 피해 예방 5대 수칙’과 ‘랜섬웨어 대응·백업 가이드’를 제공하고 있다. 주요 내용은 ▲백업 체계 구축 및 운영 ▲주요 시스템 보안 점검 ▲백업 체계의 보안성 강화 등이다. 그 밖에도 예방법이 있는지 알아보자.
랜섬웨어는 무료 파일 다운로드 및 공유 사이트는 물론 이메일을 통해 진행되기도 하며 광고창 클릭, 유튜브 영상 다운로드, 뉴스 기사, 링크 주소 등으로 침투되고 있다. 대부분 불법적인 경로, 확인되지 않은 사이트, 취약한 사이트에서 유입되는 게 대부분이다. 다양한 경로를 열어두고 침투하기 때문에 컴퓨터를 사용하는 중 무분별한 다운로드 및 접속을 피하시는 것이 가장 쉬운 예방법이다.
또 다른 예방법은 PC의 운영체제 및 응용 프로그램, 백신 등을 최신 버전으로 업데이트해 최상의 상태를 유지하는 것이다. 랜섬웨어는 일반적으로 보안 취약점을 악용해 시스템에 유입되기 때문에 응용 프로그램, 백신 등을 최신 버전으로 유지하는 것이 매우 중요하다. 또한 악성코드 감지가 가능한 크롬, 네이버 웨일, 파이어폭스 같은 웹 브라우저를 이용해 접속하는 것이 바람직하며, 무분별한 파일 다운로드 및 접속을 피하는 것이 랜섬웨어를 예방하는 최선의 방법이다.
또한 예방법 못지않게 가장 중요한 것은 백업이다. 가치가 있다고 생각되는 자료는 사용자 스스로 지키시는 것이 바람직하다. 저장 매체를 이용해 여러 개의 백업본을 만들어 보관하는 것이 필요하다. 랜섬웨어는 C 드라이브를 시작으로 연결, 연동되어 있는 모든 곳의 저장소를 암호화하기 때문에 백업본이 든 저장 매체는 반드시 필요시에만 연결하고 사용이 끝나면 분리해 주는 것이 좋다.
랜섬웨어 공격을 당하고 해커에게 랜섬을 지불한 피해자 중 80%가량은 또다시 랜섬웨어 공격을 당한 것으로 조사됐다. 또한, 랜섬을 지불했다고 복구 프로그램을 제공받는다는 보장도 없고 암호화 방식도 수시로 변경되어 사실상 데이터 복구는 어렵다. 랜섬웨어 감염은 쉽게 이루어지는 반면 해결하는 것은 제한적이기 때문에 사용자 스스로 예방하고 대비하는 것이 가장 확실한 예방법이다.
출처 : AhnLab
랜섬웨어 대응 방안 소개
세미나 개요
수 년간 기업, 기관을 위협하며 강력한 위협요인으로 성장한 랜섬웨어 공격은 마치 IT환경에서의 COVID 19와 같이 끊임없는 신변종 형태로 발전하며 삶을 위협하고 있습니다.
“With 랜섬웨어”로 가지 않기 위해, 이처럼 복잡다단한 랜섬웨어 대응, 현실적으로 어디서부터 어떻게 시작해야 대응 체계를 구축하고 피해를 최소화 할 수 있을지 다양한 시각으로 범용적인 대응 방안을 정리해 보았습니다.
안랩에서 제시하는 효과적인 랜섬웨어 대응 방안을 확인하시고 랜섬웨어로부터 보다 안전한 2022년을 준비해 보시기 바랍니다.
AhnLab
이제 랜섬웨어는 지근거리에서 우리에게 지속적인 위협을 가하는 존재가 되었다. 계속해서 피해 발생하고 있지만 어느 누구도 완벽한 랜섬웨어 방어를 장담하지 못한다. 그리고 그것이 현실이다. 하지만, 단계 별로 충실하게 랜섬웨어 대응 체계를 구축하면 사전 예방 역량을 강화하고 감염 시에도 피해를 최소화할 수 있다.
이번 글에서는 효과적인 랜섬웨어 대응을 위해 갖춰야할 사항들을 알아본다.
2021년 8월 현재, 랜섬웨어 공격을 한 번도 겪어보지 않은 기업을 찾는 것이 힘든 상황이 되었다. 그만큼, 기업, 금융, 의료 및 공공 기관, 생산 시설 등 다양한 조직부터 일반 개인의 PC까지 랜섬웨어 공격은 수년간 멈추지 않고 발생하고 있다.
랜섬웨어 대응 방안이라는 주제를 다루면서 필자는 적지 않은 고민을 하게 되었다.
“랜섬웨어는 총 10가지 종류가 있고 최적화된 대응 방안은 7가지가 있다. 이것만 알고 있으면 93.19%의 랜섬웨어에 대해 대응이 가능하다”
위처럼 깔끔하게 내용을 정리해 전달할 수 있다면 모두가 만족할 수 있을 것이다. 하지만, 랜섬웨어 대응은 이처럼 간단하고 명쾌한 해답을 제시하기 어려운 것이 현실이다.
당장 이 글을 읽고 있는 독자들도 처한 환경이 다르고 각각의 업무마다 상이한 특성을 갖고 있다. 또, 업종 별 비즈니스 카테고리와 사업의 규모도 모두 다르다. 보안 조직 구성과 인력, 사전 구비된 솔루션까지 어느 조직도 모두 같지 않다.
이처럼 복잡다단한 랜섬웨어 대응, 현실적으로 어디서부터 어떻게 시작해야 대응 체계를 구축하고 피해를 최소화 할 수 있을지 다양한 시각으로 범용적인 대응 방안을 정리해 보았다.
랜섬웨어 공격 방식
구체적인 대응 방안을 살펴보기에 앞서 현재까지 대표적으로 알려진 랜섬웨어 공격 방식에 대해 살펴보자.
[그림 1] 랜섬웨어 공격 방식 정리첫 번째로, 상당수의 랜섬웨어 공격이 다양한 파일을 통해 발생하고 있다. 랜섬웨어를 정상 파일로 위장해 사용자가 메일이나 SNS, 웹사이트를 통해 다운로드 받도록 유도하는 형태이다. 감염 성공 시, 디스크 내 문서파일을 암호화하는 경우가 가장 많았지만, 정상적인 부팅을 차단하고 디스크에 잠금(Lock)을 거는 사례도 증가하고 있다.
두 번째는 파일리스 공격이다. 별도의 악성코드 파일을 이용하지 않고, 웹 브라우저 취약점을 통해 PC 내 실행중인 정상 프로세스를 활용하여 랜섬웨어 공격을 시도한다. 취약한 광고 배너를 통해 감염되는 경우도 있지만, 공격자는 일반 사용자보다 원자재, 자동차, 건설, 정유, 원자력 에너지와 같이 전문적 업무에 필요한 정보를 다루는 사이트를 주요 공격 타깃으로 삼는다. PC 내 중요한 고급자료가 저장되는 경우 복호화 비용을 지불할 확률도 높아지기 때문이다.
세 번째는 비트락커를 통한 공격이다. 비트락커는 윈도에서 기본으로 지원하고 있는 디스크 암호화 방법으로, 패스워드를 입력해야 디스크 내 파일에 접근할 수 있도록 하는 보안 지원 기능이다. 공격자는 주요 서버를 타깃으로 내부에 침투한 뒤, 원격 데스크톱으로 접속하여 별다른 랜섬웨어 악성코드 없이, 비트락커로 디스크를 암호화하고 패스워드 제공 비용을 요구한다.
이러한 다양한 랜섬웨어 공격을 방어하기 위해서는 여러가지 대응 방안을 복합적으로 준비해야 한다.
대응 방안 1: 컨설팅, ‘객관적인 현황 분석’
랜섬웨어 대응의 첫 단계는 보안 컨설팅을 통한 ‘객관적인 현황 분석’이다. 실제 사례를 살펴보면 안타깝게도 랜섬웨어 사고를 당하고 난 뒤 후속 조치를 위해 보안 컨설팅을 의뢰해 진행하는 경우가 많다.
보안 컨설팅은 전반적인 보안 수준을 끌어 올리는데 큰 효과가 있기 때문에, 체계적인 보안 대응 프로세스가 갖춰지지 않은 조직이나 환경에서, 랜섬웨어 공격을 사전 예방할 수 있는 가장 좋은 방안이다.
보안 컨설팅을 구체적으로 살펴보면, 먼저 조직 내부로 접근할 수 있는 다양한 취약점 루트를 찾아내기 위해 공격자의 시각으로 내부 인프라를 점검한다. 과거 발생한 사례 분석 자료가 풍부하게 준비되어 있기 때문에 어느 부분이 취약한지, 어떤 대응이 필요한지에 대해 신속하고 최적화된 대응을 우선 순위에 두고 가이드 할 수 있다.
보안 컨설팅을 통해 제공되는 리포트는 전반적인 침해 상황 분석과 함께 취약점 진단 정보를 제공한다. 여기에는 백신 관리, 패치, 계정과 공유폴더까지 공격자가 공격루트로 활용할만한 다양한 영역에 대한 점검 결과도 포함되어 있다.
특히, 주요 자산에 대해서는 상세 분석을 진행하므로, 최신 패치 적용 현황부터 시스템 운영 현황까지 세부 통계 데이터도 제공 가능하다. 또, 업계 평균과 비교해 어느 정도 보안 수준을 유지하고 있는지에 대해 수치화 된 평가 지수도 확인할 수 있다. 이를 통해 가장 준비가 부족한 부분을 인지하고 긴급 대응해야 할 우선 순위를 선정할 수 있도록 지원한다.
보안 컨설팅은 계정 관리에 대한 분석 결과도 제공한다. 실제로 여전히 많은 조직에서 기본 디폴트 관리자 계정을 사용하고, 동일한 패스워드를 여러 서버에 적용해서 운영하고 있으며, 패스워드 만료 기간과 같은 정책도 운영하고 있지 않다. 이 경우 공격자 입장에서는 서버에 대한 관리자 권한을 손에 넣는 것이 훨씬 수월해진다. 컨설팅에서는 계정 관리를 통해 주요 서버의 계정이 어떻게 관리되고 있는지 현황을 파악하고 효율적인 계정 관리 체계에 대한 가이드를 제공한다.
컨설팅을 통해 기대할 수 있는 랜섬웨어 대응 효과는 다음과 같다..
[그림 2] 컨설팅을 통한 랜섬웨어 대응 기대효과우선, IT 인프라 최신 현황을 확인할 수 있다. 이 과정에서 사용하지 않는 낙후된 서버에 대한 점검 및 폐기도 진행한다. 이처럼 관리되지 않는 서버가 내부에 있다면, 공격자는 오래된 취약점 코드를 활용해 공격을 시작할 수 있다.
두 번째는 내부 취약점 분석이다. 공격자의 시각에서부터 다양한 부분에 대한 점검을 진행하고, 공개된 홈페이지에 노출된 대외 메일 계정 정보부터 외부에서 접속 가능하도록 오픈되어 있는 IP/Port에 대한 점검도 진행한다.
마지막 세 번째는 분석을 통한 개선방향 도출 및 맞춤형 보완 방안 제공이다. 이는 일반적인 대응 방안이 아닌 컨설팅 과정을 통해 파악한 조직의 특성을 반영, 최적화된 맞춤 대응 방안을 제공하는 것이 특징이다.
대응 방안 2: 트레이닝, ‘쉽고 친근한 접근’
다음 랜섬웨어 대응 방안은 바로 트레이닝(Training)이다. 여기서 트레이닝은 보안 담당자 그리고 일반 사용자에 대한 교육 등 다양한 종류의 트레이닝을 포함한다.
랜섬웨어 공격은 사용자의 호기심이나 실수를 유도하도록 설계되어 있으며, 이는 과거부터 계속되어온 공격 기술 중 하나이다. 기능에 맞게 세분화된 보안 조직과 다양한 솔루션이 준비되어 있어도, 사용자의 보안 교육이 제대로 되어 있지 않다면 랜섬웨어 공격은 언제든 발생할 가능성이 존재한다.
보안 담당자는 최적화된 내부 사용자 보안 교육을 위해서, 기본적으로 최신 보안 이슈와 트렌드를 지속적으로 접하고 업데이트 해야 한다.
이에 대해 안랩은 자사가 보유한 플랫폼을 적극 활용해 다양한 최신 보안정보를 제공하고 있다.
먼저, 자사 홈페이지 ‘안랩닷컴’에서는 정기 간행물을 통해 최신 보안 이슈에 대한 다양한 정보를 확인할 수 있다. 주간 ‘시큐리티 레터’는 매주 최신 보안뉴스와 이슈, 그리고 사용자에게 도움이 될만한 IT 관련 정보를 정리해 발간되고 있다. 매달 초 발행되는 ‘월간 安’은 ‘시큐리티 레터’보다 더 다양한 보안 주제에 대해 전문가의 심층적이고 상세한 분석 내용을 다룬다.
안랩의 보안 전문가들이 다양한 위협을 다각도로 분석해 인사이트를 제공하는 ASEC 블로그는 최신 위협 인텔리전스를 습득할 수 있는 최적의 플랫폼이다. 매주 약 2회 혹은 그 이상의 빈도로 게재되는 콘텐츠를 통해 국내 사용자들과 밀접한 연관이 있는 위협 정보를 지속적으로 공급한다. 한편, ASEC 블로그는 지난해부터 영문과 일문 서비스도 제공하고 있으며 70개 이상 국가 사용자들이 접속하고 해외 언론에도 인용되는 등 글로벌 시장에서의 입지를 넓혀가고 있다.
이 밖에, 언론에서 발행하는 보안뉴스도 일일이 검색해서 찾을 필요 없이, 안랩닷컴 ‘최신 보안 뉴스’ 영역에서 날짜 별로 정리되어 있는 스크랩된 보안 기사를 확인할 수 있다. 또, ‘보안 용어사전’을 통해 신문기사나 보안 블로그에서 접한 새로운 보안 용어에 대해 서도 이해하기 쉽고 정확한 정보를 확인할 수 있다.
안랩은 지난해부터 가속화된 언택트 트렌드에 대응해 웨비나를 포함한 동영상 플랫폼을 적극적으로 활성화하고 있다. 지난 7월, 리뉴얼을 완료해 오픈한 웨비나 & 동영상 플랫폼 ‘안랩TV’는 사용자 친화적인 디자인과 편리한 검색 기능을 통해 사용성을 극대화했다. 무엇보다, 랜섬웨어 대응, 원격 근무 보안 등 최신 보안 트렌드에 관한 풍부한 영상을 단일 플랫폼에서 제공해 사용자들에게 보다 유익한 보안 정보를 제공할 수 있을 것으로 기대된다.
[그림 3] 안랩TV 리뉴얼 오픈안랩이 운영하는 유튜브 채널 ‘삼평동연구소’는 IT, 보안, 개발 지식 공유를 목적으로 다양한 카테고리의 콘텐츠를 지속적으로 업데이트 하고 있다. 삼평동연구소의 영상은 보안을 전문적으로 다루지 않는 일반 사용자도 쉽게 이해할 수 있도록 구성되어 있다. 트렌드에 맞게 짧은 시간에 재미와 함께 유익한 정보가 기억에 남도록 제작되었기 때문에 사내 보안 교육에 활용할만한 다양한 콘텐츠를 제공한다.
교육과 트레이닝을 통한 보안 인식 제고는 일반적으로 여겨질 수 있지만 랜섬웨어 대응에 있어 핵심적인 역할을 한다. 빈번하고 지속적인 랜섬웨어 사고, 이제 보안 대응을 전문가의 역할로만 한정 짓기에 위협은 너무도 가까이 와 있다. 따라서, 보안 담당자와 일반 사용자가 함께 대응해 나가는 노력이 필요하다.
일반 사용자를 대상으로 막연하게 최신 보안뉴스에 나온 랜섬웨어 공격을 안내하기 보다는, 직접 조직을 타깃으로 발생한 공격 사례나, 동종 업계에서 발생한 공격에 대해 일반 사용자의 눈높이로 내용을 정리하여 콘텐츠를 제작 & 공유하는 것도 권장할만한 방법 중 하나이다. 이를 통해 내부 구성원들이 보다 관심을 갖고 예방 활동에 참여하도록 유도할 수 있다.
대응 방안 3: 솔루션, 자동화된 대응 체계
다음 세 번째 단계는 솔루션을 통한 자동화된 대응 체계 수립이다.
랜섬웨어 전용 솔루션이 시장에 많이 나와있지만, 다양한 공격 중, 솔루션에서 모니터링하는 일부 영역에 대해서만 최적화된 방어 기능이 동작하기 때문에, 치밀하게 설계된 타깃형 랜섬웨어 공격을 방어하기에는 분명한 한계가 있다.
사실 랜섬웨어는 일정 수준 이상의 솔루션을 도입하고 체계를 갖춰 운영한다면 공격으로 인한 피해를 최소화 하는데 효과적으로 활용할 수 있다. 랜섬웨어 대응에 있어 다양한 구간 별로 운영되는 솔루션의 역할에 대해 알아보자.
[그림 4]는 랜섬웨어 공격이 시작되는 구간이다. [그림 4] 랜섬웨어 공격 시작 구간보다시피 네트워크, 이메일, 엔드포인트 구간을 통한 랜섬웨어 공격이 발생하고 있기 때문에 해당 영역의 보안 솔루션을 통해 대응이 가능하다.
네트워크: 방화벽, IPS/IDS, APT 대응 솔루션의 조화
기본적으로 네트워크 구간에는 방화벽이 존재한다. 방화벽은 랜섬웨어 다운로드 가능성이 높은 IP나 웹사이트에 대해서 실시간으로 차단하는 기능을 제공하며, 외부에서 내부의 중요 자산에 대한 IP, 포트(Port) 접근을 차단하는 역할도 담당한다.
[그림 5] AhnLab TrusGuard 방화벽을 통한 랜섬웨어 대응관리자는 실시간으로 차단 가능한 Blacklist C&C IP 최신 업데이트를 진행해야 하며 IP, 포트에 대한 차단, 허용 규칙을 철저하게 관리해야 한다. 그리고 반드시 주기적인 방화벽 정책 체크를 진행해, 관리되지 않은 외부 접근 허용 정책이 존재하는지 점검해야 한다.
다음으로 IPS(Intrusion Prevention System)과 IDS(Intrusion Detection System) 솔루션은 외부에서 시도하는 스캔 공격을 탐지하고, 감염 PC에서 네트워크 취약점 공격을 통해 주요 서버로 확산을 시도하는 공격을 방어한다. 이를 통해서 감염이 의심되는 PC 정보도 탐지해 낼 수 있다.
마지막으로 APT솔루션은 네트워크 구간에서 웹, 파일서버, FTP를 통해 이동되는 전체 파일 중에 랜섬웨어를 식별하고 분석한다. 시그니처, 평판 엔진 외에도 샌드박스 엔진으로 알려지지 않은 신·변종 랜섬웨어도 탐지한다. 인터넷망 백본 외에 주요 서버가 위치한 네트워크 구간도 함께 모니터링 한다면 다양한 프로토콜을 통한 위협을 실시간으로 탐지하고 차단할 수 있다.
이메일: APT 대응 솔루션 활용
이메일을 통해 들어오는 랜섬웨어를 방어하기 위해서는 첨부파일과 메일 본문의 링크까지 검사해야 한다.
최근에는 빈번한 랜섬웨어 공격 때문에 메일의 첨부파일에 대해 점점 제약을 두는 경우가 많다. 메일에 첨부된 실행파일이나 공격에 활용되는 다양한 스크립트 확장자를 사전에 필터링하는 정책을 적용하는 것이다. 이에 공격자들은 랜섬웨어를 직접 첨부하지 않고 메일 본문 또는 문서파일 내에 랜섬웨어 다운로드 링크를 삽입해 발송하는 수법을 활용하고 있다.
이와 같은 랜섬웨어 공격을 효과적으로 방어하기 위해서는 APT 솔루션을 통해, 메일 본문, 첨부문서의 본문 링크를 이용해 배포되는 파일을 수집해 샌드박스 분석을 진행해야 한다.
엔드포인트: 보안 플랫폼 연동을 통한 대응
그간 안랩은 위협 고도화에 대응해 유기적인 연동과 보안 플랫폼의 중요성을 지속적으로 강조해왔다. 특히 엔드포인트 구간에서 위협에 효과적으로 대응하기 위해서는 백신, 패치 관리, EDR 등이 각자의 역할을 하면서 유기적으로 통합되어야 한다.
[그림 6] AhnLab EPP 구조도세부적으로 하나씩 살펴보면, 먼저 백신 솔루션은 윈도우를 비롯해 유닉스, 리눅스, 맥OS, VDI 환경에서 알려진 랜섬웨어를 유입 시점에 시그니처와 행위 분석을 바탕으로 엔드포인트 구간에서 차단한다. 중요 폴더를 랜섬웨어 보호대상으로 등록해 놓을 경우 랜섬웨어 감염 시 폴더 내 파일이 암호화 되는 것을 사전에 방지할 수 있다.
다만, 백신을 엔드포인트의 가장 기본 솔루션으로 운영하면서도 일부 기능만 제한적으로 사용하는 경우가 많다. 이에, 최신 엔진 업데이트와 함께 랜섬웨어 대응을 위해 만들어진 다양한 기능을 활성화하여 운영하는 방안을 권고한다.
다음은 패치 관리(Patch Management) 솔루션이다. 혹자는 ‘패치 관리가 랜섬웨어와 무슨 관련이 있을까?’라는 의문을 가질 수도 있다.
하지만, 많은 랜섬웨어가 운영체제(OS)와 응용프로그램 취약점을 이용해 PC 관리자 권한을 탈취하려는 시도를 한다. 일부 랜섬웨어는 PC 1대를 감염시키고 나서, 네트워크의 다른 PC로 감염 확산을 시도하는 행위를 한다. 이때 OS 취약점을 이용하면 최신 패치가 되어있지 않은 수백, 수천 대의 PC로 감염을 확산시킬 수 있다. 실제로, 잘 알려진 워너크라이(WannaCry) 랜섬웨어가 이런 방식으로 엄청나게 많은 PC를 감염시킨 바 있다.
취약점 관리 측면에서 최신 보안 패치는 굉장히 중요하며, 이를 통해 랜섬웨어 감염 가능성을 낮추고 확산을 최소화하는 방향으로 활용 가능하다.
다음은 최근 몇 년 간 ‘핫한’ 솔루션으로 주목받고 있는 EDR이다. EDR 솔루션은 PC의 모든 행위를 감시 및 추적하며 랜섬웨어의 주요 행위를 탐지한다. 구체적으로는 암호화 및 백업 삭제 행위를 탐지하고, 감염에 이르기까지의 모든 공격 흐름과 연관 정보를 수집한다. 즉, EDR에서 제공하는 정보를 통해 공격 루트를 비롯해 정책적으로 차단해야 할 C&C IP/URL 정보도 확인할 수 있다.
이어서, APT 솔루션의 에이전트도 랜섬웨어 대응 기능을 제공한다. 네트워크, 메일, USB를 통해 실행되는 파일을 실행 보류 후, 분석 장비의 샌드박스에서 검사한다. 랜섬웨어는 PC 내 문서를 대상으로 암호화 동작을 수행하므로, 샌드박스 행위 분석을 통해 이를 빠르게 탐지해 낼 수 있다. 이렇게 탐지된 랜섬웨어는 실행 보류 상태에서 차단 및 삭제되므로, 감염 전에 자동으로 모든 대응을 완료할 수 있어 가장 효과적인 대응 방식이라 할 수 있다.
아울러, 파일리스 공격도 APT 솔루션 에이전트를 통해 대응이 가능하다. 웹브라우저 취약점 공격을 모니터링하고, 발견 시점에 취약점 코드가 삽입된 프로세스를 강제 종료해서, 악성 행위가 발현되는 것을 사전 차단한다.
[그림 7]은 엔드포인트 영역에서 랜섬웨어 공격 발생 시, 솔루션 별 대응 순서를 정리한 것이다. [그림 7] 엔드포인트 솔루션 별 랜섬웨어 대응 순서먼저, 백신에서 시그니처 엔진을 이용해 알려진 랜섬웨어를 파일 생성 시점에 실시간으로 삭제한다. 백신에서 탐지되지 않는 신·변종 랜섬웨어는 APT 솔루션이 샌드박스와 머신러닝 엔진으로 분석해 감염 전에 차단한다. EDR은 랜섬웨어 공격 시 공격자가 활용한 전체적인 감염 루트와 잔여 악성코드 여부를 확인하여 최종 대응할 수 있도록 정보를 제공한다. 또, 확인된 공격 루트와 악성코드 정보는 다양한 솔루션의 Blacklist 기능을 활용하여 실시간 차단되도록 등록하여 관리한다.
TIP: 최신 위협 정보 습득
TIP(Threat Intelligence Platform)를 활용할 경우 랜섬웨어 공격에 대한 다양한 최신 정보를 얻을 수 있다.
TIP는 악성코드 관련 해시(Hash)나 IP의 정상·악성 여부를 제공하는데 그치지 않고, 실제 기업·기관에서 발생한 침해 사고와 관련된 위협 상관 관계 분석 등 풍부한 위협 정보를 제공한다. TIP의 ‘IOC Feeds’ 기능은 악성코드 관련 정보, 네트워크 정보와 최신 취약점 정보를 공유한다. 뿐만 아니라, 다양한 상세 분석 정보와 산업군별 공격 발생 추이 및 통계 정보도 제공한다.
TIP가 제공하는 ‘뉴스 클리핑’을 활용하면 국내, 해외 뉴스를 통해 다양한 보안 이슈를 접할 수 있다. 그리고, 실제 조직 내로 동일한 공격 시도 있었는지 확인하고자 할 경우 TIP의 최신 뉴스 정보와 함께, 해당 공격에 사용한 파일과 IP/URL 목록을 확인하면 된다. 목록에서 해당 파일 및 IP를 클릭할 경우 상세 분석 정보와 연관 공격 히스토리도 직접 확인할 수 있다.
마지막으로, ‘클라우드 샌드박스’ 역시 TIP에서 제공된다. 파일 또는 URL을 TIP에서 제공하는 클라우드 샌드박스 환경에서 분석할 수 있다. 윈도우와 리눅스 환경을 지원하며, 분석 결과에 대한 다양한 이벤트 분석 정보도 확인 가능하다.
이처럼 다양한 구간에 걸쳐 여러 솔루션을 통해 랜섬웨어에 대응하는 방법을 알아봤다. 랜섬웨어를 효율적으로 예방하고 대응하기 위해서는 특정 솔루션에만 기대는 것이 아니라, 현재 운영하고 있는 다양한 보안 솔루션들을 적재적소에 최적화하여 활용해야 한다.
대응 방안 4: 전문 서비스, ‘보안 전문가의 지원’
마지막으로 제안하는 랜섬웨어 대응 방법은 바로 보안 전문 서비스 활용이다.
앞서 소개한 컨설팅, 트레이닝, 솔루션이 랜섬웨어 감염을 사전 예방하는 목적이라면, 보안 전문 서비스는 보안 사고 발생 이후 어떻게 피해를 최소화하고 대응해 나갈지에 관한 가이드를 제공하는 것이 핵심이다.
두 가지 대표적인 서비스를 설명하면, 먼저 ‘악성코드 전문가 분석 서비스’는 랜섬웨어 등 공격에 사용된 파일을 분석가가 직접 정밀하게 분석하여 파일의 주요 행위, 특징 및 대응 방안을 종합적으로 검토해 고객에게 보고서를 제공한다.
다음으로, 침해사고 분석 서비스인 ‘A-FIRST(AhnLab Forensic & Incident Response Service Team)’은 랜섬웨어로 인한 보안 사고 발생 시, 감염된 자산에 대한 디지털포렌식 작업을 통해 감염이 어떤 경로로 발생했는지, 어떤 범위까지 피해가 있었는지를 분석하는 서비스다. A-FIRST의 보고서는 보안 사고의 시작부터 끝까지 전체 과정을 면밀하게 분석해 결과를 제공한다. 이를 통해 대응 및 사고 수습 방안에 대한 자세한 정보를 가이드한다.
결론: 랜섬웨어 대응, 기술과 사람의 협력 필요
지금까지 4가지 랜섬웨어 대응 방안에 대해 살펴봤다. 짧은 기간에 랜섬웨어 대응 방안을 마련하기 위해서는 솔루션을 검토하는 것이 가장 빠르지만, 보안 관점에서 내부 IT 인프라 환경에 대해 상세 분석을 진행한 적이 없는 환경이라면, 컨설팅을 통해 외부에 노출된 위협부터 제거해 나가는 것이 더 합리적인 방안이라 생각한다.
지금까지 필자가 많은 기업과 기관에 방문해 다양한 환경을 직접 접하면서, 가장 랜섬웨어 대응을 잘하고 있다고 생각된 곳은 최적화된 솔루션을 갖추고 있으면서 함께 일반 구성원의 보안 인식도 높은 조직이었다.
해당 조직은 일반 구성원들도 내부를 타깃으로 발생했던 랜섬웨어 공격 사례를 메일이나 공지를 통해 전달받고 있으며, 랜섬웨어 의심 메일이나 파일을 확인할 경우 어떻게 신고해야 하는지 숙지하고 있었다. 또, 실제 감염이 발생할 경우에는 보안 조직에서 수립한 대응 프로세스를 가이드 받고 빠르게 확산 방지 조치를 수행한다.
결국 랜섬웨어는 기술과 사람이 협력할 때 가장 효과적으로 대응할 수 있다. 랜섬웨어에 대한 막연한 두려움을 갖기보다는, 대응을 위해 현재 준비된 것이 무엇이며 어떤 것을 더 보완해야 할지 지속적으로 검토하여 더욱 견고한 방어 체계를 만들어 나가야 한다.
랜섬웨어 피해현황 및 대응방안
1. 랜섬웨어 피해의 심각성
랜섬웨어는 우리나라뿐만 아니라 전 세계를 위협하고 있다. 한국인터넷진흥원에 접수된 신고건수는 2018년 22건에서 2020년 127건을 넘어서 2021년 7월 현재 97건에 이른다. 그런데 한국랜섬웨어침해대응센터에 접수된 개인·중소기업의 신고건수는 2020년에 3,855건으로 한국인터넷진흥원 신고건수보다 많다. 글로벌 시장조사 기업인 Statista도 2020년 전 세계 피해건수가 3억 400만 건이라고 발표해 피해가 계속 확대되고 있는 것을 알 수 있다.
실제 우리나라에서도 2017년 웹호스팅 업체인 나야나는 중국으로 추정되는 범죄자에 의해 서버 153대가 에레버스(Erebus) 랜섬웨어에 감염됐다. 13억 상당의 가상자산을 지불하고, 복호화키를 받았지만 완벽하게 복구하는데 실패했다. 2020년 이랜드 그룹은 클롭(Clop) 랜섬웨어에 감염돼 백화점 등 매장 23곳의 영업을 중단했다. 2017년 등장한 워너크라이(Wannacry 2.0) 랜섬웨어는 약 150개국 이상에 20만여 대의 컴퓨터를 감염시켰다. 당시 영국은 ‘국민건강서비스(NHS)’가 공격을 당해 최소 총 6,912건의 진료예약이 취소됐다. 독일은 2020년 뒤셀도르프 대학(Universität Düsseldorf)의 종합병원 서버 30대가 감염되어 응급환자를 인근병원으로 후송하였으나 사망한 사건이 발생했다. 미국은 2021년 송유관 운영사인 ‘Colonial Pipeline’이 랜섬웨어에 감염되어 수일간 미국 일부지역에 송유를 못해서 사회 혼란이 발생했고 결국 75 BTC를 지불해 복호화키를 받아 해결했다.
이처럼 랜섬웨어는 개인의 데이터를 사용하지 못하게 하는 수준을 넘어 기업의 영업을 방해하고, 사람의 생명을 빼앗는가 하면, 송유관 작동을 마비시키는 수준에까지 이르렀다. 랜섬웨어는 이미 사이버위협의 ‘게임 체인저(Game Changer)’가 되어 국제사회의 사이버안전을 위협하고 있다.
2. 한·미 랜섬웨어 대응정책과 한계
정부는 2021년 8월에 범정부 차원의 “랜섬웨어 대응 강화방안”을 마련했다. 주요내용은 ① 국가중요시설-기업-국민 수요자별 선제적 예방 지원, ② 정보공유·피해지원·수사 등 사고대응 전주기 지원, ③ 진화하는 금품요구 악성프로그램에 대한 핵심 대응역량 제고 등 3가지로 ① 수요자별 예방지원은 정유사, 자율주행 관제시스템 등을 주요정보통신기반시설에 추가하고, 중소기업에게 클라우드 기반의 ‘데이터금고’를 지원하기로 했다. ② 사고대응 전주기 지원은 공공·민간의 사이버위협 정보공유시스템과 의료‧금융 등 분야별 정보공유분석센터(ISAC)를 연동하고, 다크웹 모니터링을 강화하는 내용을 포함돼 있다. 경찰청‧시도청에 전담 수사체계를 구축하고, 인터폴·유로폴과 협력을 확대하기로 했다. ③ 핵심 대응역량 제고는 랜섬웨어 탐지‧차단·복구 기술개발에 투자를 확대하고, 공격근원지 및 가상자산 추적에 대한 기술을 개발하기로 했다.
한편, 미국은 ‘Colonial Pipeline’ 사건을 계기로 바이든 대통령은 2021년 5월 12일 국가 사이버안보 및 연방정부 네트워크 보호를 위한 행정명령을 공표했다. 법무부 부장관은 “랜섬웨어와 디지털 착취 사건 수사지침”을 하달해 랜섬웨어 등 6가지 범죄를 수사착수할 경우에 법무부(CCIPS)와 연방검찰집행부(EOUSA)에게 보고하도록 지시했다. 국토안보부와 법무부는 부처에 산재된 대응 기능을 통합·제공하기 위해 stopransomware.gov를 개설했다. 랜섬웨어 혐의자를 검거하거나 가상자산의 추적이나 차단을 용이하게 할 수 있는 정보를 제공한 신고자에게 최대 1천만 달러의 신고보상금을 지급하기로 했다. 또한, 재무부 해외자산통제실(Office of Foreign Assets Control, OFAC)은 2020년 “랜섬웨어 몸값 지불에 대한 제재 위반 위험에 관한 주의보”(Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)를 발표한 이래 같은 입장을 취하고 있다. 다만, ‘Colonial Pipeline’ 사건의 지불에 대해서는 모호한 입장을 취하고 있다. 나아가 뉴욕, 노스캐롤라이나, 펜실베니아, 텍사스 등 4개 주에서 비용지불을 금지하거나 제한하는 5개 법안이 제출돼 있다.
우리나라와 미국에서 다양한 정책을 제시하고 있지만, 이러한 정책으로 랜섬웨어를 근절할 수 있을지 여전히 의문이다. 랜섬웨어를 복호화하는 것은 기술적으로 쉽지 않다. 공격을 예방하는 노력은 일정한 효과가 있겠지만 피해 대상을 바뀌게 할 뿐 완전히 근절할 수 없다. 범죄조직들이 일회용 이메일과 VPN·다크웹을 사용하고, 가상자산으로 송금받기 때문에 추적도 어렵다. 범죄조직이 개발, 유포, 세탁, 협상 등으로 조직화되어 일망타진에 한계가 있다. 국가마다 심각성에 대한 인식이 다르고, 형사법제와 가상자산거래소 규제 수준이 달라 국제공조에 많은 어려움이 있다. 무엇보다도 랜섬웨어가 검거 가능성은 낮으면서 범죄수익은 큰 ‘가성비’ 높은 범죄로 인식돼 범죄자들이 몰리고 지불 사례도 증가하고 있다. 사이버보안 컨설팅사인 CyberEdge GROUP에서 전 세계 17국을 대상으로 조사한 결과 랜섬웨어로 인한 피해복구를 위해 비용을 지불하는 경우가 2018년 38.7%에서 2019년 45.1%, 2020년 57.5%로 증가하는 것을 확인할 수 있다.
3. 랜섬웨어 대응정책 개선방안
정부의 랜섬웨어 대응 정책은 기본적으로 2019년 청와대 국가안보실에서 발표한 국가 사이버안보 전략의 기조 하에 2021년 8월 정부가 수립한 “랜섬웨어 대응 강화방안”을 중심으로 보완·발전시켜 나가야 할 것이다. 먼저 개인과 기업이 랜섬웨어의 심각성을 깊이 인식하고, 정보보호 수준을 높여야 한다. 의심스러운 이메일·SNS(링크)를 클릭하지 않고, 백업과 보안 취약점 패치 등을 생활화해야 한다. 평범하지만 가장 확실한 방법이다. 기업은 정보보호 우선순위에 랜섬웨어를 두고, 사고 발생시 복원과 비즈니스 지속성 확보를 위한 대책을 마련해야 한다. 둘째, 정보보호뿐만 아니라 추적·검거를 위한 수사역량 확충에도 관심을 가져야 한다. 단순히 수사역량 제고가 아니라 전문인력 양성, 수사권한 강화, 추적·분석기술 개발, 범죄수익 몰수 강화 등으로 개별화해 구체적인 정책을 제시해야 한다. 정보보호를 넘어서 수사해서 검거해야 랜섬웨어를 근절할 수 있다. 범죄수익을 몰수하여 박탈하는 것도 중요하다. 미국 연방수사국(FBI)이 ‘Colonial Pipeline’ 사건의 비트코인 거래내역을 약 1개월간 추적해 63.7 BTC를 회수한 사건은 좋은 사례가 될 것이다. 마지막으로 국제협력 역량을 확충해야 한다. 한·미 워킹그룹을 비롯해 유럽 등 주요국과 정보공유를 활성화해 정보보호 및 사고발생 시 대응역량을 강화해야 한다. 개발도상국 대상 ODA 사업을 확대하여 국제협력 네트워크를 두텁게 해야 한다. INTERPOL, UNODC 등 국제기구에 전문가 파견을 확대하고, 미국· EU 등 주요국과 공동수사를 활성화하는 것도 중요한 정책이다. 이와 같은 다각적인 노력을 통해 랜섬웨어로부터 개인, 기업 그리고 국가를 지키고, 국제사회의 사이버 안전을 지키는데 의미 있는 역할을 수행하기를 기대한다.
[기고] 데이터 보호를 위한 랜섬웨어 공격 대응 방안
데이터 스토리지 플랫폼 선택의 선제 조건 ‘보안’
[글=유재근 | 퀀텀코리아 이사]랜섬웨어로 인해 많은 기업은 사이버 보안의 수렁에 빠져 있다. 자연재해, 하드웨어 장애 또는 제로데이 공격보다 치명적인 랜섬웨어는 악성코드 및 피싱과 함께 기업에 가장 큰 위협으로 자리 잡았다.
범죄자들은 포식자처럼 가장 약한 먹잇감을 선택한다. 인력 부족으로 과부하를 겪는 조직들을 선택하며, 조직 중 상당수는 선제 보호 수단이 없어 범죄자들의 집중 표적이 된다. 이제 조직들이 바뀌어야 할 때다. 따라서, 본 호에서는 조직의 노출을 최소화하고 곤경에서 벗어나기 위해 취할 수 있는 최신 방법과 행동 요령에 대해 알아보고자 한다.
최근 범죄 관행 및 양상
범죄자들은 전혀 노출되지 않은 채 몇 달씩 네트워크를 감시할 수 있다. 초기 침입에 성공하면 네트워크 내에서 이동할 방법을 찾고, 스스로를 마스킹하고 탐지되지 않은 상태를 유지한 채 데이터 및 시스템을 비활성화, 암호화, 추출 또는 파괴하기도 한다.
특히, 레빌 랜섬웨어는 시스코 aTlos의 보안 연구원들이 2019년 4월에 처음 발견한 데이터 잠금 바이러스다. 소디노키비, 소딘으로도 알려진 레빌은 제로데이 취약점을 악용해 만들어졌다. 공격자는 HTTP 액세스를 통해 오라클 웹로직 서버에 원격으로 연결하고 악성코드를 수동으로 투입시킨다. 아직 이 정교한 위협에 대응할 수 있는 암호 해독 도구는 없으므로 다른 방법으로 데이터를 복구해야 한다.
서비스형 랜섬웨어(RaaS)를 제공하는 악성코드 개발자도 있어 소규모 범죄자들도 거물을 사냥하는 전술을 채택할 수 있게 되었다. 이 작업으로 개발자는 범죄자가 획득한 것의 일부를 받는다. 사이버 범죄자들은 대부분 원격 데스크톱 프로토콜(RDP)을 사용해 레빌과 같은 RaaS 악성코드를 설치한다. 공격 대상은 모든 중소기업에서 포춘지 선정 500대 기업까지 다양하다. 레빌 랜섬웨어가 요구하는 평균 금액은 수천만 달러로 2020년 요구 금액은 2019년 대비 더 증가했다.
사이버 보안 업체들은 사이버 범죄 조직의 운영 방식을 이해하는 것이 중요하다고 강조한다. 무장된 네트워크 운영자나 보안 책임자는 악의적인 공격자가 악성 스크립트를 실행하는 것을 방지하고 보안 소프트웨어 또는 OS 기능의 권한을 높이는 것을 방지하기 위한 보안 기능을 구현할 수 있다. 회사에 우수한 사이버 보안 소프트웨어가 있으면 대부분의 공격을 차단할 수 있다. 실제로, 대부분의 멀웨어가 탐지된다. 그러나 레빌 랜섬웨어에서 볼 수 있듯이, 침해가 에지 데이터와 관련된 경우, 멀웨어를 감지하고 복구하는 것이 점점 더 어려워지고 있다.
류크, 레빌, 도플페이머 및 메이즈 악성코드를 사용한 공격으로, 2019년 총 7500만 달러가 랜섬웨어 대가로 지불 (출처: CrowdStrike, ‘2020 글로벌 위협 보고서’)
랜섬웨어 대처 전략 수립
기업들이 랜섬웨어에 맞서기 위해 하는 일은 무엇일까? IT 보안은 어느 정도 성공적이라 할 수 있다. 하지만 여전히 개선이 필요하다.
여러 산업에 걸쳐 내부 관행과 보안 투자를 측정하는 사이버 보안 보고서에서는 효과적인 방어를 확립하는 데 가장 큰 장벽으로 ▲숙련된 IT 보안 인력 부족 ▲직원들의 낮은 보안 인식을 지적한다.
사람이 가장 큰 문제라는 지적은 새로울 것이 없지만, 상황을 반전시키려면 어떻게 해야 하는지는 이해할 필요가 있다. 먼저, 해커에게 맞서기 위해 조직은 강력한 데이터 보호 계획을 수립해야 한다. 기존 백업 인프라에 지속해서 의존하는 것만으로는 충분하지 않다. 백업 및 복구 계획서는 시간과 환경의 변화에 따라 개정해야 하며, 기술 및 스토리지 플랫폼이 변경될 때마다 실시간으로 업데이트해야 한다.
원격 작업을 위한 사전 계획 수립 1. 제대로 구상된 데이터 보호 전략 및 계획 구축 2. 경영진의 동의와 지원을 위한 계획 발표 3. 네트워크 입구 차단을 위한 백신 소프트웨어 도입 4. 데이터의 모든 단계(미사용, 전송 중, 액티브 상태)에서 암호화 기술 활용 5. 직원 인식 변화를 위한 보안 교육 6. 신속한 현장 복구(복구 목표 시점(RPO) 및 복구 목표 시간(RTO) 충족)를 위해 오브젝트 잠금 기능이 탑재된 로컬 디스크 백업 구축 7. 장기 보호를 위해 데이터를 에어갭 환경에서 무기한으로 보관할 수 있는 비용 효율성이 뛰어난 솔루션 사용 8. 재해 복구를 위해 클라우드 또는 오브젝트 스토리지 솔루션을 통해 데이터를 오프사이트로 복제 9. 백업 또는 아카이브용 에어갭 테이프를 통해 랜섬웨어 보호 기능 구축 10. 사이버 보험은 최후의 수단으로만 남겨두기
안전한 데이터 플랫폼 선택 및 백업 전략 구현
데이터 스토리지 플랫폼을 선택할 때는 보안을 핵심적으로 고려해야 한다. 퍼블릭 클라우드를 사용 중이거나 워크로드가 여러 클라우드와 컴퓨팅 환경에 분산되어 있다면 자체 네트워크에 갖춰진 것 이상의 추가적인 개인정보 보호 및 보안 관리가 필요하다.
보안 전문가, 네트워크 관리자 및 경영진을 비롯한 여러 부서를 포함하는 포괄적인 접근 방식이 필요하다. 특히 원격자가 있는 경우, 적절한 조치를 통해 사용자들에게 교육을 제공해야 한다.
정보 보호 및 보안 관리 방법 1. 취약점 확인 2. 평판 좋은 백신 소프트웨어 사용 3. 백업 수행 4. (FBI, CISA, 영국 NCSC의 권고에 따라) 오프라인 사본 유지 5. 디스크, 테이프(현장 또는 클라우드의 콜드 스토리지), 또는 클라우드/오브젝트 스토리지가 조직에 가장 적합한 복구 방법인지 결정
네트워크 입구의 보안 조치
사이버 공격으로부터 데이터를 보호하려면 주요 진입 지점인 네트워크 입구를 보호해야 한다. 데이터를 보호하면서 RPO 및 RTO를 달성하는 데 필요한 기능을 백업 소프트웨어 및 대상에 갖추어 둔다. 랜섬웨어로부터 보호해주지 못하는 백업 소프트웨어라면 적합한 백업 애플리케이션이 아닐 수 있다.
데이터 스토리지 솔루션 선택
서비스 수준 협약(SLA)에 따라 신속한 복구를 위해 네트워크 스토리지(NAS)를 사용해야 한다. 하지만 데이터는 항상 온라인 상태로 유지되고 있고, 범죄자들은 큰 수익이 필요하므로 에어갭에 침투하는 방법을 알아내는 것은 시간문제다. 즉, 프로덕션 스토리지와 액세스할 수 없는 에어갭 스토리지 사이에 있는 공간을 의미한다. 시스템의 오브젝트나 파일을 잠그는 방법은 공급 업체마다 다양하지만, 데이터는 항상 온라인 상태이기 때문에 위험은 여전히 존재한다.
다음으로, 테이프는 물리적 에어갭을 가지고 있어 바이러스가 데이터와 네트워크의 물리적 장벽을 우회할 수 없으므로 랜섬웨어가 데이터에 액세스할 수 없다. 특히, 랜섬웨어로부터 보호해야 하는 장기 보관 데이터에 사용하는 비용을 절감하는 것이 중요하다. 또, 오브젝트 스토리지는 데이터를 노드에 분산시켜 잠그므로 변경할 수 없다. 솔루션 및 정책 세트에 따라 오브젝트 스토리지는 하나 이상의 노드가 작동 중단되는 경우에도 노드에서 데이터를 복구할 수 있다.
예산의 고려
모든 솔루션에는 장단점이 있다. 그렇다면 예산은 어느 정도 가능할까? 먼저 시나리오와 계획을 수립해야 한다. 네트워크가 가장 취약한 고리임을 염두에 둬야 한다. 가장 저렴한 에어갭 옵션부터 알아보자.
테이프 테이프는 투자금이 가장 적고, 데이터를 네트워크에서 분리하는 고유한 특성 때문에 강력한 에어갭 솔루션을 제공한다. 디스크 에어갭을 제공한다고 주장하는 디스크 솔루션은 실제로 에어갭을 제공하지 않는다. 일부 스토리지는 데이터가 기록되면 입구를 잠그는 잠금 메커니즘을 지닌다. 그러나 이와 같은 기능은 비용을 많이 증가시킨다. 솔루션 제공 업체들은 네트워크를 보호하는 가장 좋은 방법을 선택할 수 있도록 지원한다. 그러나 사용 가능한 기술 세트를 고려하는 동시에 조직에 가장 적합한 것과 가장 비용 효율적인 것이 무엇일지 결정해야 한다.
백업을 백업하는 3-2-1-1 규칙 적용
협상금을 지급하지 않으려면 백업본을 한 번 더 백업하는 것도 고려해야 한다. 범죄자들은 최신 패치를 피해 갈 수 있는 자금이 있으며, 최신 온라인 솔루션에 무차별적으로 침투하기 위해 다양한 바이러스를 만들어낸다.
강력한 데이터 보호 전략을 위해 3-2-1-1 백업 규칙을 적용해 보라. 3개의 데이터 사본, 2종류의 미디어, 1개의 오프사이트 사본, 1개의 오프라인 사본을 보관해야 한다. 이 방법은 보안 팀에 권장하는 규칙과 유사하다. 최초 1분 이내에 위협을 탐지하고, 10분 이내에 위협을 이해한 후, 60분 이내에 대응한다. 두 경우 모두, 선제 전략의 구현이 위협에 앞서 나갈 수 있다.
무엇보다도, 일부 표적 공격이 백도어 방식을 사용한다는 점을 이해하는 것이 핵심이다. 해커들은 원격 액세스 또는 진입 지점에 의존해 네트워크에 진입한다. 더 많은 사용자의 원격 근무를 허용하기에 앞서 조직은 잠재적인 보안 취약점 해결을 위한 절차와 정책을 구현해야 한다.
이러한 절차와 정책을 위기 상황에 따라 그때그때 준비하려 한다면 더 큰 위험에 노출될 수 있으므로 평상시에 ▲데이터 암호화 ▲클라우드 액세스 보안 확인 ▲협상금 지급 거부 등의 모범적인 방책을 구축하는 것이 필요하다.
도난당한 것을 되찾기 위한 협력
랜섬웨어와의 전쟁에는 모두의 노력이 필요하다. 우리는 모두 향후 5년에서 10년 동안 사이버 환경을 보호하기 위해 협력해야 한다. 대기업과 중소기업들의 비용 효율적인 강력한 선제 전략과 지침을 구현할 힘이 필요하다.
물론 위험을 완화하려면 여러 기술이 필요하다. 어떤 솔루션도 조직들이 겪고 있는 공격에 대응할 수 있는 보호 기능을 제공하지 못한다. 랜섬웨어 보호는 다층적으로 이루어져야 한다.
또한, IT 전문가는 범죄자들과의 협상을 거부해야 한다. 우리가 지금의 현상을 유지한다면 범죄 계획은 수십억 달러 규모의 산업으로 계속 성장해 나갈 것이다. 특정 랜섬웨어의 운영이 중단될 것이라는 보도에 속지 말아야 한다. 기존 랜섬웨어가 다른 랜섬웨어와 병합될 가능성이 매우 크며, 다른 이름으로 그 어느 때보다 강력하게 나타날 것이다.
지난 몇 년간 우리가 배운 교훈이 하나 있다면 범죄자들은 집요하다는 것이다. 조직 내부의 행동이 바뀌지 않는 한 랜섬 지급 규모는 계속 급증할 것이다. 모든 보고서는 사이버 소프트웨어 회사가 사용하는 행동 알고리즘을 우회하는 교활한 방법을 통한 더 공격적인 사이버 감시 활동과 표적 공격에 대해 지적하고 있다.
우리가 함께할 때 우리의 기업 공동체를 보호할 수 있다. 올해는 공격이 작년보다 더 만연할 수도 있지만, 작은 조처를 하면 길을 갈 수 있다. 언제나 첫 번째 단계가 가장 어렵다. 그러나 장기적으로 우리가 함께할 때 이 범죄 행위를 주저앉히고 사이버 범죄자에게 수익을 제공하는 랜섬웨어에 돈을 지급하는 악순환을 끝낼 수 있다.
저작권자 © CCTV뉴스 무단전재 및 재배포 금지
KISA 한국인터넷진흥원
요약
❖ 사이버 침해사고 패러다임 분석• 코로나 19 확산에 따른 비대면 활동 증가와 맞물려, 우리나라는 물론 세계적으로 랜섬웨어 공격이 유행하여 많은 피해를 주고 있으며, 공격대상도 다양한 산업군으로 확대 중
• 21년 현재, 랜섬웨어가 사이버 위협을 주도하고 있으며, 국내 기업도 랜섬웨어로 인한 피해가 가장 큰 것으로 확인(국내 기업의 59.8%가 랜섬웨어 피해 경험, 20년 정보보호실태조사)
❖ 랜섬웨어 피해 현황 분석
• 랜섬웨어는 악성코드가 삽입된 홈페이지 방문, 이메일 첨부파일, 보안취약점 등을 통해 감염되며, 감염 시 시스템 또는 파일 암호화를 통해 이용을 제한하고 복구비용을 요구
• 랜섬웨어 범죄조직은 더욱 분업화, 전문화되어 가고 있으며, 랜섬웨어로 부당이익을 얻고자 하는 수요가 증가함에 따라, 랜섬웨어를 제작·판매하는 ‘서비스형 랜섬웨어(RasS)’로 진화
❖ 국내·외 랜섬웨어 대응현황
• (국외) 미국, EU, 영국 등 세계 주요국은 랜섬웨어, 사이버 범죄 등 사이버 침해사고에 대응하기 위한 정부차원의 방지대책 등을 지속적으로 발표하며 대응 중
• (국내) ‘랜섬웨어 대응 강화방안’ 발표(’21.8월)를 통해 국가중요시설 관리체계 구축, 정보공유 및 협력, 수사, 대응 기술력 확보 등 종합적인 대응방안을 마련
❖ 시사점
• 랜섬웨어의 피해가 큰 시점에 발표된 ‘랜섬웨어 대응 강화방안’의 추진 효과를 극대화하기 위해서는 지속적인 정책 시행에 대한 관리와 전문가 등의 Feedback 반영이 중요
키워드에 대한 정보 랜섬 웨어 대응 방안
다음은 Bing에서 랜섬 웨어 대응 방안 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 랜섬웨어 감염시 복구 및 대응방안
- #랜섬웨어
- #랜섬웨어복구
- #랜섬웨어제거
- #파일복구
- #파일삭제
- #악성코드
- #랜섬웨어감염
- #복구방안
- #데이터복구
- #랜섬웨어대응
- #ransomware
- #렌섬웨어
- #렌섬웨어복구
랜섬웨어 #감염시 #복구 #및 #대응방안
YouTube에서 랜섬 웨어 대응 방안 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 랜섬웨어 감염시 복구 및 대응방안 | 랜섬 웨어 대응 방안, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.