
랜섬웨어 감염 경로는?대책이나 예방, 감염시의 대처법을 해설
2023년 10월 27일
사이버 공격에 기업이 취해야 할 대책은?수법의 종류나 피해 사례를 소개
2023년 10월 27일기업 규모의 크고 작은 랜섬웨어로 인한 피해가 증가하고 있습니다.최근, 많은 기업이 피해를 당하고 있는 랜섬웨어란 무엇인가, 최근의 피해 상황이나 수법, 감염 경로의 변화나 경향까지 기본적인 정보를 해설.피해 사례나 감염했을 경우의 대처법, 감염을 막는 대책 등에 가세해, 만일 감염했을 경우는 물론, 감염에 대비해 전문 기관에 상담할 때의 포인트에 대해서도 해설합니다.

랜섬웨어란?
악성 프로그램, 악성 코드의 일종인 ransomware.랜섬(Ransom)은 몸값을 의미하는 단어입니다.감염된 컴퓨터나 데이터를 암호화하는 등으로 액세스 불가능한 상태로 하고, 데이터의 복호의 대가로서 몸값의 지불을 요구하는 악의 있는 소프트웨어를 랜섬웨어라고 합니다.
랜섬웨어의 피해 상황이나 수법, 감염 경로
경찰청의 자료로부터, 최근의 랜섬웨어에 의한 피해 건수나 피해 상황등의 실태, 감염 경로를 봐 갑시다. 2022년 경찰청에 보고된 랜섬웨어 피해는 230건.전년 대비 57.5%로 급증하고 있습니다. 2020년 하반기 이후 피해 건수는 계속 성장하고 있으며, 사업 규모나 업종에 관계없이 많은 기업·단체가 타겟으로 되어 있습니다.
수법으로서는, 데이터의 암호화에 그치지 않고, 데이터를 착취해, 「몸값을 지불하지 않으면 데이터를 공개한다」라고 하는 이중 공갈(더블 익스토션)이 많이를 차지하고 있습니다.감염 경로는 VPN 기기로부터의 침입이 최다.이어 원격 데스크톱으로부터의 침입과 텔레워크에서 이용하는 기기로부터의 침입이 특징적입니다.
【출처】경찰청 자료 “영화 XNUMX년에 있어서의 사이버 공간을 둘러싼 위협의 정세 등에 대해서”
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
대표적인 랜섬웨어
랜섬웨어는 「장미형」이라고 불리는 불특정 다수에 보내지는 타입이 주류였지만, 최근에는 특정 조직을 노린 「표적형」도 늘어나고 있습니다.대표적인 랜섬웨어로는, 2017년에 전세계에서 공격의 피해가 보고된 「WannaCry」가 유명합니다.확산 속도가 빨라 감염된 PC 1대에서 네트워크 경유로 감염이 퍼집니다.그 외에도 Windows 취약점을 겨냥한 것, 암호화된 정보의 몸값 요구뿐만 아니라 정보를 공개하는 이중 협박을 하는 것 등 다양한 랜섬웨어가 확인되고 있습니다.
기업이 받는 랜섬웨어 피해의 영향
기업이 랜섬웨어 공격을 받으면 어떤 영향을 미칠 수 있는지 랜섬웨어 피해의 내용과 영향에 대해 설명합니다.
피해 대응 비용 및 인적 자원 증가
랜섬웨어에 감염되면 전문가에게 데이터 복구 및 보안 조치 강화를 요청해야 합니다.사내의 보안 담당자등 대응에 해당하는 인적 코스트도 포함하면, 심각한 피해가 됩니다.
사회적 신뢰실추로 인한 매출 감소
랜섬웨어에 의해 중요한 고객 정보가 유출되는 등의 사고가 있으면 세상 불신감이 높아져 이미지 다운뿐만 아니라 매출 감소로 이어지는 등 기업은 막대한 손해를 입을 위험이 있습니다.신속하게 조사를 실시해, 세상에 사실을 공표해 재발 방지의 대책을 강구하는 것이 기업의 신뢰를 회복할 수 있는 최선책입니다.
시스템 다운으로 기업 활동 중단
랜섬웨어 감염으로 인해 시스템 다운이나 시스템 장애가 발생하면 기업 활동 자체가 정지에 몰릴 수 있습니다.거래처와의 수주를 비롯하여 사내외의 모든 절차가 어려워지고 EC 사이트에서는 직접 사용자에게 영향을 미칩니다.
손해배상 등 법적 위험 발생
예를 들어 정보 유출로 고객에게 손해를 입힌 경우 피해자에게 손해 배상 책임을 질 수 있습니다.배상금이 경영에 영향을 미칠 정도로 다액에 이르는 경우에는 도산에 몰릴 가능성도 있습니다.
랜섬웨어에 의한 국내 기업의 피해 사례
독립 행정법인 정보 처리 추진 기구 보안 센터의 컴퓨터 바이러스·부정 액세스의 신고 사례로부터, 랜섬웨어에 의한 국내 기업의 피해 사례의 일부를 소개합니다.
【출처】독립 행정법인 정보 처리 추진 기구 「컴퓨터 바이러스·부정 액세스의 신고 사례」
https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/000108764.pdf
VPN 장치에 관리자 ID로 잘못된 로그인, 서버의 파일 암호화
회사의 공유 서버를 사용할 수 없었기 때문에 외부 기관에 조사를 요청한 결과 LockBit3.0이 서버의 파일을 암호화했음을 알 수 있습니다.조사 결과, 보안 소프트웨어의 제거 등의 부정 조작, 백업 취득용의 외장 하드 디스크의 암호화가 행해지고 있어 VPN 장치에 관리자 ID로의 부정 로그인이 확인되었습니다.대부분의 데이터 복원에 성공하지 못하고, 재발 방지책으로 VPN 장치의 ID 변경, 벤더와의 보수 계약 등이 실시되었습니다.
EC 사이트에 대한 무단 액세스로 고객의 개인 정보와 신용 카드 정보가 수십만 건 유출
기업의 EC사이트에의 부정 액세스와 10만건 이상의 개인정보·신용카드 정보의 유출이 외부 조사로 판명.원인은 사이트의 보안 취약점을 찔러 HTML에 외부로부터 악의가 있는 스크립트가 삽입된 크로스 사이트 스크립팅으로, 일정한 상황에서 관리 화면에의 무단 액세스가 가능한 상황이 되고 있었습니다.서버는 파기, 이설이 행해져, 운용·관리 체제의 재검토와, 정기적인 취약성 진단이나 페네트레이션 테스트등이 실시되게 되었습니다.
랜섬웨어 감염에 대한 대책
랜섬웨어 감염을 예방하기 위해서는 의심스러운 메일을 열지 않는 등 직원 한 사람 한 사람에게 대책을 철저히 하는 동시에 기업으로서 기술적 대책을 실시함으로써 예방과 대책을 더욱 높이는 것이 중요합니다.
EPP나 EDR의 도입은 기본이지만, 리모트 워크가 일반화한 현재, 제로 트러스트의 관점에서, 엔드포인트의 보안을 포괄적으로 높이는 SASE(Secure Access Service Edge)의 도입이, 향후 주류가 되어 간다 흐름이라고 할 수 있습니다.
의심스러운 메일이나 첨부 파일을 검역하고, 만일의 액세스도 방지·검지한다
직원 개인이 메일의 첨부 파일이나 링크를 부주의하게 열지 않도록 의식하는 것은 물론, 조직으로서 의심스러운 메일이나 파일을 열 수 없다, 열면 검지하는 기술적 대책도 중요합니다.스푸핑 메일을 검역하는 DMARC의 도입이나, 악의 있는 사이트에의 액세스를 검지·방지하는 EDR이나 SWG라고 하는 툴·시스템의 활용이 유효합니다.
OS와 소프트웨어는 항상 최신 버전으로 유지
많은 ransomware는 알려진 취약점을 악용하고 침입하는 특성을 가지고 있습니다. OS 및 소프트웨어 업데이트를 정기적으로 시행하고 보안 취약점을 수정하여 랜섬웨어 공격을 예방할 수 있습니다.
부정한 사이트에의 액세스를 방지·검지한다
랜섬웨어가 설치된 진짜 웹사이트와 똑같이 만들어진 부정 사이트에 유도하여 감염시키는 수법도 늘고 있습니다.종업원 개인이, 게시판 사이트나 불법 동영상 사이트등을 불필요하게 이용하지 않게 의식부가 필요합니다.또한 필터링 서비스로 액세스 가능한 사이트를 미리 제한하는 등의 대책 외에 피싱 사이트로의 리디렉션 등을 검지·방지하는 툴·시스템인 EDR이나 SWG의 도입이 효과적입니다.
외부 메모리 연결에 주의하기
USB 메모리나 외장 HDD 등의 외부 메모리에서 랜섬웨어에 감염될 위험이 있으므로 출처가 알 수 없는 USB나 외장 HDD를 부주의하게 연결하지 않는 것이 중요합니다.또한 이러한 외부 디바이스에 대해서는 정보 누설 방지를 위한 보안 툴 시스템 DLP(Data Loss Prevention)로 침입을 방지하는 것 외에 EPP/EDR의 보안 기능으로 외부 접속 디바이스를 제어하는 등의 대책 있습니다.
종업원 교육 실시
직원의 사소한 부주의로 인해 사고가 발생하는 경우도 많습니다.정보 보안에 대한 의식을 높이는 것은 물론 올바른 지식과 최신 정보를 포함하여 직원 교육을 정기적으로 실시함으로써 피해를 피할 수 있습니다.
사이버 보안 전문가에게 사전에 상담하십시오.
사이버 보안은 자사의 보안 부문뿐만 아니라 평시부터 전문 조사 회사에 상담하는 것이 확실합니다.만약 감염이 발생했을 경우에도, 적절한 대응을 조속히 실시하는 것으로, 피해를 최소한으로 막을 수가 있습니다.
랜섬웨어에 감염되었을 때의 대처법
랜섬웨어에 감염되지 않도록 주의하고 사전에 대책을 세우는 것이 중요하지만, 피하기 어려운 의심스러운 사고도 있습니다.만일, 랜섬웨어에 감염되어 버렸을 때를 위한 대처법을 소개합니다.
네트워크에서 분리
네트워크의 다른 단말기까지 감염이 퍼질 위험이 있으므로 즉시 단말기를 네트워크에서 분리하는 것이 중요합니다.그러나 이것만으로는 랜섬웨어의 감염 대응에는 불충분합니다.최근의 랜섬웨어에서는 네트워크에 침입하여 관리자 권한까지 장악하고, 도메인 부하로 공격 범위를 확대해 나가는, 라테랄 무브먼트라는 수법도 많이 볼 수 있습니다.따라서 네트워크를 단절하는 것만으로는 위험을 억제할 수 없을 가능성이 높고, 영향 범위나 피해 실태의 조사를 위해서도 신속하게 전문가에게 조사 의뢰를 진행하는 것이 적절하다.
장비를 종료하지 않음
네트워크에서 분리해도 기기 자체를 종료하지 않도록 주의.저장된 로그 정보가 삭제될 수 있습니다.재부팅이나 전원을 끄지 않고 부팅 상태로 유지하는 것이 중요합니다.
사이버 보안 전문가에게 조사 요청
대응이 지연되면 피해가 커질 가능성이 높아지므로, 신속하게 적절한 대처를 하는 것이 중요합니다.자사의 보안 부서에 연락하고 사이버 보안 전문가에게 조사 요청을 신속하게 진행하세요. 「네트워크에서 분리한다」의 항에서도 언급했듯이, 감염의 경로나 피해 상황, 유출된 데이터 등 상세한 조사를 실시해 적절한 대응을 조속히 실시해, 피해를 최소한으로 막기 위해서는 전문업자에게의 상담이 적절합니다.향후의 예방책을 만전으로 하기 위해서도 필요한 대응입니다.
랜섬웨어 감염시 대응, 사이버 보안 조사는 FRONTEO에
요즈음, 랜섬웨어 피해가 계속 증가해, 수법도 복잡·난해가 되고 있습니다.매일 업데이트하는 랜섬웨어에 관한 최신 정보를 쫓아가면서 만전의 대책을 강구하는 것은 물론, 유사시에 신속하게 대처하기 위해서는 전문가의 지원이 빠뜨릴 수 없습니다.
FRONTEO는 유사시 최소한 필요한 조사를 정리한 FRONTEO의 "사이버 보안 조사 패키지"를 제공합니다. 「사이버 보안 조사 패키지」는 사이버 공격 피해에 대응하는 기업을 향해 초기 대응에 필요한 고품질의 조사 패키지.많은 조사를 다루어 온 실적을 바탕으로 패키지화에 의해 조사의 효율과 속도를 가속.유사시 신속하고 정확한 해결책으로 인도합니다.랜섬웨어 감염에 대한 대책은 FRONTEO의 "사이버 보안 조사 패키지"가 최적입니다.
사내에서 사이버 시큐리티에 관한 지식을 붙이는 것은 필요합니다만, 더 중요한 것은, 사전의 예방책과 사후의 대응책을 만전에 정돈해 두는 것.자사가 안고 있는 리스크를 파악해, 전문 지식을 가지는 업자에게 맡기는 것이 현명합니다. FRONTEO와 연계 체제를 정돈함으로써, 자사만으로는 눈치채지 못한 보안 리스크를 씻어내, 만전의 보안 대책을 진행합시다.