
【Webinar】 미국 소송에서 문서 보존 의무 Part 1
2023년 10월 25일
랜섬웨어 피해의 실태, 일본 기업의 사례나 대책 방법을 해설
2023년 10월 27일기업에 대한 사이버 공격 중에서도 랜섬웨어에 의한 피해가 늘고 있습니다.만일 감염해 버렸을 경우는 적절한 초동 대응이 요구되기 때문에, 어떠한 대응을 취해야 하는지를 파악해 둘 필요가 있습니다.이 기사에서는 랜섬웨어에 대한 기초 지식과 최근 감염 경로의 변화, 감염된 경우의 대처법 및 예방책을 설명합니다.

랜섬웨어란?
랜섬웨어(Ransomware)란, 몸값을 의미하는 랜섬(Ransom)과 소프트웨어(Software)를 조합한 조어로 「신대금 요구형 부정 프로그램」이라고도 불립니다.감염된 컴퓨터를 잠그거나 파일을 암호화하여 사용할 수 없는 상태로 만들고 복원을 위해 몸값을 요구하는 악성 프로그램입니다.최근에는 몸값을 지불하지 않으면 훔친 데이터를 공개한다고 협박하는 타입의 랜섬웨어도 유행하고 있습니다.
대표적인 랜섬웨어 예
랜섬웨어는 「장미형」이라고 불리는 불특정 다수에 보내지는 타입이 주류였지만, 최근에는 특정 조직을 노린 「표적형」도 늘어나고 있습니다.대표적인 랜섬웨어로는, 2017년에 전세계에서 공격의 피해가 보고된 「WannaCry」가 유명합니다.확산 속도가 빨라 감염된 PC 1대에서 네트워크 경유로 감염이 퍼집니다.그 외에도 Windows 취약점을 겨냥한 것, 암호화된 정보의 몸값 요구뿐만 아니라 정보를 공개하는 이중 협박을 하는 것 등 다양한 랜섬웨어가 확인되고 있습니다.
랜섬웨어에 감염되면 어떻게 될까?
랜섬웨어에 감염된 경우, 데이터 복구나 보안 대책 강화 비용, 업무 정지 등의 경제적 손실뿐만 아니라 고객이나 거래처의 신용 실추, 개인 정보 유출 등 취급하는 데이터에 따라 벌금을 지불한다. 있을 수도 있습니다.
【관련 기사】랜섬웨어에 감염되면 어떻게 될까?기업이 취해야 할 대처법
랜섬웨어의 주요 감염 경로
최근 추세로 VPN 장비로부터의 감염이 가장 많고, 이어서 많은 것이 리모드 데스크탑으로부터의 감염입니다*.그 외도 포함한 주된 랜섬웨어의 감염 경로를 각각 해설합니다.
*출처: 레이와 XNUMX년에 있어서의 사이버 공간을 둘러싼 위협의 정세 등에 대해서
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
VPN 장비 및 원격 데스크톱을 통한 감염
가상의 전용 회선으로 통신을 실시하는 것으로 외부로부터의 침입을 막는 VPN 기기입니다만, 텔레워크등에서 시큐리티를 최신 상태로 유지하고 있지 않으면, 취약성을 찔러 랜섬웨어에 감염해 버립니다 .원격 데스크톱도 집의 PC로부터 회사의 PC에 액세스해 원격 조작을 실시할 수 있기 때문에, 텔레워크등에서 편리한 기능입니다만, 집의 시큐러티 대책이 회사보다 약한 경우가 많아, 침입 경로로 되어 버리는 것이 증가하고 있습니다.
이메일 첨부 파일 및 링크에서 감염
이메일에 기재된 URL과 첨부 파일도 대표적인 감염 경로입니다.업무와 관련이 있는 것 같은 파일명이나 확장자에 위장되어 있어, 클릭해 버리면(자) ransomware가 실행되어 감염합니다.
웹사이트 브라우징으로 인한 감염
랜섬웨어가 설치된 웹사이트를 탐색해도 감염됩니다.감염을 깨닫지 못하는 경우도 많고, 업무외에서 게시판 사이트나 불법 동영상 사이트를 이용하고 있으면 감염의 위험성이 높아집니다.
소프트웨어 및 파일 설치 및 다운로드
소프트웨어를 설치할 때도 감염의 위험이 있습니다.일반적인 것에 보이거나, 함께 설치되어 버리는 등 다양한 경우도 있습니다.다운로드할 사이트가 신뢰할 수 있는 사이트인지 확인하세요.특히 프리 소프트의 인스톨에는 요주의입니다.
USB 메모리나 외부 메모리로부터의 감염
USB 메모리 등의 외부 스토리지를 PC등의 디바이스에 삽입하는 것으로, 그 안에 숨어 있던 랜섬웨어가 자동적으로 실행되어 감염해 버리는 경우도 있습니다.
랜섬웨어 감염 예방 및 대책
랜섬웨어 감염을 예방하기 위해서는 의심스러운 메일을 열지 않는 등의 대책을 직원 한 사람 한 사람에게 철저히 하는 것이 중요합니다.동시에 기업으로서 기술적 대책을 실시함으로써 예방과 대책을 더욱 높일 수 있습니다.
EPP/EDR의 도입은 기본이지만, 리모트 워크가 일반화한 현재, 제로 트러스트의 관점에서, 엔드포인트의 보안을 포괄적으로 높이는 SASE(Secure Access Service Edge)의 도입이, 향후 주류가 되어 간다 흐름이라고 할 수 있습니다.
의심스러운 메일이나 첨부 파일을 검역하고, 만일의 액세스도 방지·검지한다
직원 개인이 메일의 첨부 파일이나 링크를 부주의하게 열지 않도록 의식하는 것은 물론, 조직으로서 의심스러운 메일이나 파일을 열 수 없다, 열면 검지하는 기술적 대책도 중요합니다.스푸핑 메일을 검역하는 DMARC의 도입이나, 악의 있는 사이트에의 액세스를 검지·방지하는 EDR이나 SWG등 솔루션의 활용도 유효합니다.
OS와 소프트웨어는 항상 최신 버전으로 업데이트합니다.
OS는 출시 후 취약점을 찾는 경우가 많으며 이전 버전으로 계속 사용하고 있는 것은 과거에 발견된 취약점을 방치한 채 사용한 것과 같습니다.정기적으로 업데이트하여 항상 최신 상태로 유지하는 것이 랜섬웨어 대책으로서 매우 중요합니다.
EPP(안티바이러스 기능)/EDR을 도입하고 적절하게 관리
EPP의 안티 바이러스 기능과 EDR의 사용은 감염을 예방하는 가장 대표적인 방법입니다.온라인에서도 사용할 수 있지만 감염이 발생하면 즉시 네트워크에서 차단해야하므로 오프라인에서 사용할 수있는 기능을 확인하십시오.
부정한 사이트에의 액세스를 방지·검지한다
진짜 웹사이트 똑같이 만들어진 부정 사이트에 유도해 감염시키는 수법도 늘고 있습니다.필터링 서비스로 액세스 가능한 사이트를 미리 제한하는 등의 대책 외에, 피싱 사이트로의 리디렉션 등을 검지·방지하는 툴·시스템인 EDR이나 SWG의 도입이 효과적입니다.
USB 메모리나 외부 메모리의 안전에 주의
출처가 불명한 외부 메모리를 사용하지 않는 것은 물론입니다만, 최근에는 통판 사이트 등을 가장한 부정 사이트에서 랜섬웨어가 격납된 USB 메모리를 구입해 버린다고 하는 피해까지 보고되고 있습니다.이러한 외부 디바이스에 대해서는, 정보 누설 방지를 위한 보안 툴 시스템 DLP(Data Loss Prevention)로 침입을 방지하는 것 외에, EPP/EDR의 보안 기능으로 외부 접속 디바이스의 제어를 실시하는 등의 대책이 있습니다 .
사이버 보안 전문가에게 대책을 의논
랜섬웨어 감염의 초기 대응에는 세심한 주의와 신속한 처리가 필요하므로, 자사의 보안 부문 뿐만이 아니라, 외부의 전문업자에게 사전에 상담해 두는 것도 유효합니다.
랜섬웨어에 감염되었을 때의 대처법
랜섬웨어에 감염된 경우의 대처법을 설명합니다.
네트워크에서 분리
네트워크의 다른 단말기까지 감염이 퍼질 위험이 있으므로 즉시 단말기를 네트워크에서 분리하는 것이 중요합니다.그러나 이것만으로는 랜섬웨어의 감염 대응에는 불충분합니다.최근의 랜섬웨어에서는 네트워크에 침입하여 관리자 권한까지 장악하고, 도메인 부하로 공격 범위를 확대해 나가는, 라테랄 무브먼트라는 수법도 많이 볼 수 있습니다.따라서 네트워크를 단절하는 것만으로는 위험을 억제할 수 없을 가능성이 높고, 영향 범위나 피해 실태의 조사를 위해서도 신속하게 전문가에게 조사 의뢰를 진행하는 것이 적절하다.
장비를 재부팅하지 않음
감염된 장치나 시스템을 재부팅하면 종료로 인해 중단된 데이터의 암호화가 다시 시작되어 기기의 파일을 볼 수 없게 될 위험이 있습니다.
사이버 보안 전문 업체와 상담
자사의 보안 부문뿐만 아니라 외부 전문업체와 신속하게 상담해 보세요. "네트워크에서 분리」의 항에서도 언급했듯이 피해의 범위를 확인하고 적절한 대응을 조속히 실시하여 피해를 최소한으로 막기 위해서도 필수 대응입니다.
랜섬웨어 감염 피해에 대한 대응, 사이버 보안 조사는 FRONTEO에 문의하십시오.
랜섬웨어 감염의 초기 대응을 신속하고 적절하게 수행하기 위해 FRONTEO의 "사이버 보안 조사 패키지"를 권장합니다. 10,600건이 넘는 부정조사 실적을 자랑하는 FRONTEO는 여러 보험회사들에게도 권장되는 고품질 사이버 보안 조사를 제공하고 있습니다.
EDR 조사와 다크 웹 조사 등 사이버 공격을 받았을 때 대응해야 할 최소한의 조사를 원패키지로 한 초기 대응에 유효한 솔루션으로, 페네트레이션 테스트 등 추가 조사도 실시 가능합니다.전문 지식을 가진 인재가 없는 기업의 경우 유사 대응 시 속도와 전문성에 우려가 남아 있습니다.압도적인 실적에서 얻은 노하우를 바탕으로 FRONTEO가 사이버 공격 피해의 초기 대응을 지원합니다.