랜섬웨어
랜섬웨어란?
랜섬웨어는 일종의 사이버 공격으로, 시스템에 액세스하여 저장된 파일을 암호화합니다. 공격자가 돈을 받기 위해 인질로 잡고 있는 비공개 키 없이는 파일의 암호를 해독할 수 없습니다.
랜섬웨어가 보편화되는 이유는 무엇인가요?
조직이 점점 더 데이터 중심 의사 결정에 집중하고 기업의 데이터를 가치 있는 지적 재산(IP)으로 간주함에 따라 랜섬웨어가 더욱 만연해지고 있습니다. 데이터를 암호화하는 것 외에도 일부 공격자는 정보를 훔치고 그 정보를 다른 악의를 가진 공격자가 이용하게 만들겠다고 위협하여 조직에 돈을 지불하도록 압박을 가합니다.
랜섬웨어 공격은 어떻게 해결해야 할까요?
안타깝게도 공격자는 돈을 지불한 후에도 암호 해독 키를 내놓는 일이 거의 없습니다. 따라서 피해자는 데이터뿐만 아니라 돈도 빼앗기는 경우가 많습니다. 랜섬웨어는 2초마다 기업, 소비자 또는 장치에 새로운 공격을 가하고 있으며 이로 인해 2031년까지 매년 약 2,650억 달러의 피해를 초래할 것으로 추정되고 있습니다.
랜섬웨어의 예
일부 랜섬웨어 공격은 사용자가 이메일을 열어 거기에 첨부된 파일을 다운로드하도록 유인하는 것으로 시작되며 다운로드한 파일은 네트워크를 감염시킵니다. 이와 다른 공격 방식은 운영 체제의 취약점, 물리적 보안 시스템의 약점 또는 소프트웨어 익스플로잇을 이용하여 네트워크에 접속하여 시스템 내에 뿌리를 내립니다.
최초의 대규모 랜섬웨어 위협은 2013년 9월 트로이 목마 맬웨어인 CryptoLocker가 등장하면서 시작되었습니다. 이는 파일을 다운로드하도록 사용자를 유인한 후 네트워크를 감염시켰습니다. 2014년 5월 CryptoLocker 트로이 목마는 법 집행 기관과 보안 기관의 공동 대응으로 차단되게 되었습니다. 하지만 이후 많은 유사 사건이 만연되고 있습니다.
CryptoLocker가 차단된 이후 많은 다른 랜섬웨어가 개발되었습니다. 그 중 가장 흔하게 볼 수 있는 것으로는 Conti, Maze(Egregor), Sodinokibi(REvil), TorrentLocker, WannaCry, Petya(NotPetya), Ryuk, MegaCortex 등이 있습니다. 이름과 상관없이 이러한 랜섬웨어의 목표는 같습니다. 피해자의 데이터와 파일의 암호를 해독하는 대가로 돈을 뺏는 것입니다.
기본적인 컴퓨터 기술을 갖추고 인터넷에 접속할 수 있는 사람이면 누구나 랜섬웨어 사업에 뛰어들 수 있는 새로운 RaaS(서비스형 랜섬웨어)는 이러한 공격을 촉진하고 있습니다. 랜섬웨어 작성자는 암호화 툴, 피해자와의 커뮤니케이션 및 몸값 수집과 같은 리소스를 다른 사이버 범죄자들이 사용할 수 있도록 공유하여 랜섬웨어를 통해 받은 돈의 일정 비율을 받습니다.
랜섬웨어 공격으로부터 자신을 보호하려면 어떻게 해야 할까요?
오늘날 대부분의 랜섬웨어 공격은 점점 더 교묘하게 숨겨져 시스템 관리자와 엔드포인트 보호를 탐지하기 어려운 경우가 많습니다. 따라서 공격자는 장치에 장기간 머물면서 원하는만큼 손상을 가할 수 있는 능력을 얻게 됩니다. 평균 랜섬웨어 체류 시간은 24일로 공격자가 조직의 데이터에 액세스하여 조작할 수 있는 시간과 기회가 충분합니다.
머무는 동안 한 명의 사용자가 암호 관리를 소홀히 하거나 피싱 이메일의 링크를 클릭하여 기업 네트워크를 위험에 노출하기만 하면 됩니다. 직원에게 보안 인식을 교육하는 일은 많은 기업에 있어 랜섬웨어가 네트워크로 진입할 수 있는 위험도를 낮추는 중요한 과정입니다. 이 교육은 공격 기술 발전과 더불어 정기적으로 내용을 업데이트하고 실행해야 합니다.
소프트웨어의 취약점을 악용하는 맬웨어로부터 보호하는 가장 좋은 방법은 운영 체제와 중요한 애플리케이션에 모든 패치와 업데이트를 적용하여 최신 상태로 유지하는 것입니다. 네트워크 모니터링, 암호 보호, MFA(다중 인증), 엔드포인트 보안 조치는 모두 조직의 위험도를 낮추는 데 유용한 기술과 전술입니다.
랜섬웨어 공격의 위협을 완전히 없애는 것은 불가능하기 때문에 강력한 백업 전략을 수립하면 운영 중단을 최소화하면서 공격을 받은 조직을 빠르게 복구할 수 있습니다. 대부분의 랜섬웨어가 백업의 암호화를 시도하기 때문에 이러한 백업은 맬웨어의 액세스를 방지하기 위해 네트워크에서 분리해야 합니다.
랜섬웨어는 어떻게 확산됩니까?
사용자가 홈 오피스, 현장 설치, 소매점, 제조 공장, 병실 및 기타 엣지 위치 등 점점 더 많은 곳에서 중요한 엔터프라이즈 애플리케이션과 워크로드에 점점 더 많이 액세스함에 따라 랜섬웨어의 위협 환경은 더욱 커지고 있습니다. 그리고 IoT(사물인터넷)를 구성하기 위해 더 많은 장치가 연결되면서 사람이 조작하지 않아도 엔터프라이즈의 네트워크를 통해 서로 데이터를 공유합니다. 디지털 트랜스포메이션으로의 전환이 확대됨에 따라 보안 취약성이 더욱 뚜렷해지고 기업에 대한 위협도 커지고 있습니다.
변종 랜섬웨어는 광범위하고 진화하고 있는 가운데 일반적으로 세 가지 주요 공격 벡터 중 하나 이상을 사용하여 네트워크에 접속합니다.
이메일 피싱
보편적인 랜섬웨어 벡터는 이메일 피싱으로 알려져 있습니다. 공격자는 신뢰할 수 있는 곳에서 온 것으로 보이는 이메일을 공격 대상에게 보냅니다. 이러한 메시지는 일반적으로 스푸핑된 웹페이지에 개인 자격 증명을 입력하게 만들거나 맬웨어가 포함된 파일을 다운로드하도록 유도합니다.
RDP(원격 데스크탑 프로토콜)
RDP(원격 데스크탑 프로토콜)는 Microsoft의 프로토콜로 사용자가 시스템에 원격으로 연결하여 명령을 수행할 수 있도록 합니다. 안타깝게도 RDP의 보안은 사용자가 생성하는 강력하고 고유한 암호에 크게 의존하는데, 실제로는 그렇지 않은 경우가 대부분입니다. 공격자는 손쉽게 RDP 자격 증명을 해킹하거나 다크 웹에서 해킹된 사용자 이름과 암호를 구입하여 시스템에 액세스할 수 있습니다.
소프트웨어 취약성
소프트웨어 취약성은 또 다른 일반적인 랜섬웨어 공격 방식을 탄생시켰습니다. 업데이트되지 않은 소프트웨어는 보안 아키텍처 간에 격차를 만들어 그 틈으로 맬웨어가 침입할 수 있는 공간을 만들 수 있습니다. 공격자는 이러한 취약성을 이용하면 해킹하거나 자격 증명을 수집할 필요가 없어 비교적 쉽게 공격하게 됩니다.
HPE는 사용자를 랜섬웨어로부터 어떻게 보호합니까?
하지만 안타깝게도 최고의 보안 시스템과 모범적인 관행조차도 최신 랜섬웨어의 공격을 완벽히 막아내지는 못합니다. 공격 발생 시 운영을 복구하고 손실을 최소화하려면 종합적인 데이터 백업과 복구 계획이 필요합니다.
HP SimpliVity 하이퍼컨버지드 솔루션은 IT 인프라를 강화하며, 특히 지원해야 할 원격 사무실이 많은 기업의 경우 데이터 보호 전략과 복구 프로세스를 간소화합니다. 이러한 솔루션은 내장 데이터 보호와 같은 통합 기능을 제공하여 원격 또는 지사 사무실(ROBO)의 부담을 덜어주며 기업 전반에 보다 나은 데이터 보호를 제공합니다. 데이터 효율성을 활용하면 데이터 보호가 거의 쉼 없이 이루어질 정도로 자주 백업할 수 있으며, 데이터 보관 기간도 더 길고 복구도 더 빨라집니다. 랜섬웨어에 감염된 경우에도 VM과 모든 VM 데이터를 신속하고 편리하게 복구하여 시스템 중단 시간, 비즈니스 중단 및 수익 손실을 최소화할 수 있습니다.
HPE StoreOnce는 HPE StoreOnce Catalyst가 랜섬웨어 공격자로부터 중요한 데이터를 효과적으로 격리할 수 있는 백업 전용 어플라이언스(또는 가상 시스템)입니다. 결과적으로 공격자는 직접적으로 하드웨어 자체의 일부 또는 전부를 파괴하는 물리적 행위 없이는 데이터에 영향을 미칠 수 없습니다. 맬웨어나 자연 재해에 관계없이 하드웨어가 단일 위치에서 파괴되더라도 HPE StoreOnce Catalyst 스토어의 고급 구현(분산 구현)은 랜섬웨어 공격자가 활용하는 기존의 통신 라인과 명령 집합으로부터 데이터를 효과적으로 격리하여 미션 크리티컬 데이터를 보호합니다.
Hewlett Packard Enterprise 자회사인 Zerto는 저널 기반의 CDP(지속적인 데이터 보호) 기능과 엣지 투 클라우드에서 가상화 및 컨테이너화된 애플리케이션과 데이터에 대한 독보적인 복구 기능을 제공합니다. Zerto의 플랫폼은 프라이빗, 퍼블릭 또는 클라우드 네이티브 배포에 관계없이 모든 종류의 클라우드를 보호할 수 있는 유연성을 제공합니다. 스케일아웃 아키텍처를 통해 페타바이트 단위의 데이터와 수천 개의 VM을 보호할 수 있습니다. 이 소프트웨어 전용 솔루션은 운영 시스템의 속도를 늦추지 않으면서 기본 하드웨어에 관계없이 모든 데이터 변경 사항을 복사합니다.