Oracle Cloud Free Tier

Oracle Cloud에서는 애플리케이션 구축, 테스트, 배포를 무료로 체험할 수 있습니다.

랜섬웨어란 무엇인가?

랜섬웨어 정의

랜섬웨어는 위협 행위자가 피해자의 데이터 또는 시스템을 성공적으로 제어했기 때문에 피해자로부터 금전을 갈취하려고 하는 위협 행위자의 악의적인 의도를 가장 잘 설명하는 일종의 악성 페이로드입니다. 일반적으로 랜섬웨어 대가로 암호화폐를 요구합니다.


공격자는 여러 공격 벡터를 사용할 수 있고 대가를 지불하지 않으면 다음과 같은 위협을 비롯한 결과가 발생할 수 있습니다.

  • 피해자 데이터 추출 및 게시
  • 손상으로 이어지는 피해자의 취약성과 운영 관행 노출
  • 피해자 데이터를 암호화하고 액세스를 영구적으로 차단
  • 관리 또는 루트 제어권을 획득하고 손상된 시스템을 영구적으로 비활성화

일반적으로 악의적인 행위자는 자신의 행위가 IT 시스템을 손상시키고 피해자의 정상적인 운영에 악영향을 미칠 수 있기 때문에 대가를 받으려고 합니다. 맬웨어는 주요 공격 방법 중 하나이지만, 맬웨어를 사용하지 않고도 서비스 거부(DoS) 공격 또는 웹 사이트 변조 위협을 가하면서 사이버 갈취를 동반한 랜섬웨어 사건이 여러 번 발생했습니다. 서비스형 랜섬웨어(RWaaS)도 등장했으며, 이는 위협 행위자가 유료 서비스로서 개인이나 회사를 대상으로 표적 공격을 시작할 수 있는 비즈니스 모델을 만들었습니다.

랜섬웨어 작동 방식

랜섬웨어는 일반적으로 피싱 이메일 또는 '드라이브 바이' 다운로드를 통해 전달됩니다. 피싱 이메일은 합법적이고 신뢰할 수 있는 것처럼 보이지만, 피해자가 악성 링크를 클릭하거나 첨부 파일을 열도록 유도합니다. 드라이브 바이 다운로드는 사용자의 동의 없이 자신도 모르는 사이에 인터넷에서 자동으로 다운로드되는 프로그램입니다. 다운로드가 되면 사용자 상호 작용 없이 악성 코드가 실행될 수 있습니다. 악성 코드가 실행되면 사용자 컴퓨터는 랜섬웨어에 감염됩니다.

그런 다음, 랜섬 웨어는 감염된 시스템의 드라이브를 식별하고 각 드라이브 내의 파일을 암호화하기 시작합니다. 암호화는 일반적으로 .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault 또는 .petya와 같은 암호화된 파일에 대한 고유한 확장명과 함께 제공됩니다. 암호화가 완료되면 랜섬웨어는 랜섬웨어 공격 조건에 대한 정보와 지침이 포함된 파일 또는 파일 집합을 만들고 표시합니다. 예를 들어 피해자가 랜섬웨어 조건을 충족하면 위협 행위자는 피해자가 암호화된 파일의 잠금을 해제할 수 있는 암호화 키를 제공할 수 있습니다.

랜섬웨어 공격에 대비한 조직의 복원력 확보 방법

기본 보안 위생 및 건전한 운영 관행을 통해 조직은 랜섬웨어 사건을 방지하고 재정적 손실, 가동 중지 시간, 업무 중단을 제한할 수 있습니다.

조직의 고유 사용자 간에는 몇 가지 취약점이 있습니다. 조직은 개별 사용자에게 안전한 이메일 및 인터넷 검색 관행을 교육하는 것이 좋습니다. 악의적인 위협 행위자가 공개적으로 사용 가능한 정보를 사용하여 자신이나 조직 내 다른 사람을 공격의 대상으로 삼을 수 있다는 것을 알 수 있도록 안전한 소셜 미디어 플랫폼 사용 교육도 중요합니다.

안전한 관행을 강화하기 위해 조직은 공격자가 맬웨어를 전파하는 데 사용하는 다양한 시스템에 대한 기술 제어를 구현할 수 있습니다. 기술 제어에 대한 예시는 다음과 같습니다.

  • 이메일 및 통신 플랫폼에 대한 필터링 도구 및 기술을 구현하여 사용자에게 맬웨어가 전달되지 않도록 방지
  • 이메일 서버와 인터넷 게이트웨이에 대한 맬웨어 방지 검사, 링크 유효성 검사 서비스, 샌드박싱 기술 구현
  • 운영 환경에서 외부 및 신뢰할 수 없는 코드의 다운로드와 사용에 관한 정책을 정의 및 적용하여 악성 소프트웨어의 설치 또는 악성 스크립트 실행을 통해 시스템이 손상되지 않도록 방지

업데이트된 엔드포인트 보호 제품을 실행하는 일 외에도 조직은 제로 트러스트 접근 방식으로 ID 및 액세스 관리(IAM) 시스템을 구축해야 합니다. 강력한 인증과 최소 권한 원칙을 적용하면 조직에서 중요한 시스템과 민감한 데이터 저장소에 대한 제어를 엄격하게 유지할 수 있습니다.

조직은 엄격한 액세스 제어를 비롯해 협업 도구, 파일 공유 리소스 및 일반적으로 액세스할 수 있는 기타 시스템에 제한을 적용해야 합니다. 조직은 적절한 경우 인증 문제를 추가로 요구할 수 있습니다. 루트 및 관리 운영 체제나 DBA 계정과 같은 권한이 있는 계정을 엄격하게 제어하는 것은 물론 익명 로그인, 일반 계정, 약한 자격 증명 사용을 제거하는 것이 강력한 보안 태세를 유지하는 데 중요합니다.

조직은 알려진 보안 구성 기준을 정의 및 유지 관리하고 보안 구성 지침에 따라 시스템을 배포해야 합니다. 악성 페이로드는 알려진 소프트웨어 취약점을 대상으로 하는 경우가 많으므로 보안 패치를 신속하게 적용해야 합니다.

마지막으로, 조직이 랜섬웨어로부터 복구를 수행하는 데 도움이 되는 또 다른 모범 사례는 백업을 별도로 다른 OS에 저장하여 네트워크에서 액세스할 수 없게 하는 것입니다.

조직이 랜섬웨어 공격 대상일 때 수행해야 하는 작업

조직이 랜섬웨어를 발견하면 다음 작업을 수행하여 악성 페이로드가 전파되지 않도록 제한해야 합니다.

  • 감염된 시스템을 격리하고 모든 네트워크에서 제거 및 비활성화
  • 모든 파일 공유 취약점을 적시에 해결하고 지원되지 않는 운영 체제를 오프라인으로 전환
  • IT 시스템 사이에 있는 신뢰 체인을 검토하여 맬웨어 사건의 연쇄 효과 방지
  • 네트워크와 데이터베이스를 분리하여 맬웨어 사건을 격리하고 손상으로 인한 운영상의 영향 최소화

랜섬웨어 공격의 영향을 제한하려면 조직의 수정 계획에 효과적이고 검증된 복구 절차와 함께 안전한 정기 백업을 위한 프로비저닝이 포함되어야 합니다. 시스템을 복원하기 전에 조직은 합리적인 신뢰 수준 내에서 초기 손상이 발생한 시기와 방법을 확인해야 합니다. 실사를 거치지 않으면 피해 조직이 초기 복구를 수행하는 과정에서 부주의하게 손상을 복원하고 재침입을 유도할 수 있습니다. 이를 염두에 두고 오래되었지만 안전한 것으로 알려진 상태로 복원할지 아니면 비즈니스 중단을 최소화하기 위해 최신이지만 감염됐을 수 있는 상태로 복원할지를 선택하기 전에 비용 편익 분석을 수행해야 할 수 있습니다. 일부 맬웨어는 백업 파일 및 리소스를 공격의 대상으로 삼는다고 알려져 있으므로 조직은 이에 대해서도 효과적으로 제어해야 합니다.