랜섬웨어 피해 실태, 일본 기업 사례 및 대응 방법 설명

기업 규모에 상관없이 랜섬웨어로 인한 피해가 증가하고 있다. 최근 많은 기업들이 피해를 입고 있는 랜섬웨어가 무엇인지, 최근 피해 현황과 수법, 감염 경로의 변화 및 경향까지 기본적인 정보를 설명한다. 피해 사례와 감염 시 대처법, 감염 방지 대책 등뿐만 아니라, 만약 감염되었을 경우와 감염에 대비하여 전문 기관에 상담할 때의 포인트에 대해서도 설명합니다.

랜섬웨어란?

악성 프로그램, 악성코드의 일종인 랜섬웨어. 랜섬(Ransom)은 몸값을 뜻하는 단어다. 감염된 컴퓨터나 데이터를 암호화하는 등 접근이 불가능한 상태로 만들어 데이터 복호화 대가로 몸값을 지불하도록 요구하는 악성 소프트웨어를 랜섬웨어라고 한다.

랜섬웨어의 피해 현황 및 수법, 감염 경로

경찰청 자료를 통해 최근 랜섬웨어로 인한 피해 건수, 피해 상황 등 실태와 감염 경로를 살펴보자.2022년 경찰청에 신고된 랜섬웨어 피해는 230건으로 전년 대비 57.5% 증가하였다. 전년 대비 57.5%로 급증했으며, 2020년 하반기 이후 피해 건수는 계속 증가하고 있으며, 사업 규모와 업종에 관계없이 많은 기업 및 단체가 타깃이 되고 있다.

수법으로는 데이터 암호화에 그치지 않고 데이터를 탈취해 '몸값을 지불하지 않으면 데이터를 공개하겠다'는 이중 협박(더블 익스플로잇)이 대부분을 차지하고 있다. 감염 경로는 VPN 기기를 통한 침입이 가장 많았다. 그 다음으로는 원격 데스크톱을 통한 침입과 재택근무 시 사용하는 기기를 통한 침입이 특징적이다.

출처】경찰청 자료 「2022년 사이버 공간을 둘러싼 위협 정세 등에 대하여」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

대표적인 랜섬웨어

랜섬웨어는 불특정 다수를 대상으로 하는 '분산형'이 주류를 이루었으나, 최근에는 특정 조직을 노리는 '표적형'도 증가하고 있다. 대표적인 랜섬웨어로는 2017년 전 세계적으로 공격 피해가 보고된 '워너크라이(WannaCry)'가 유명하다. 확산 속도가 빨라 감염된 PC 한 대에서 네트워크를 통해 감염이 확산된다. 이 외에도 윈도우의 취약점을 노린 것, 암호화된 정보의 몸값 요구뿐만 아니라 정보를 공개하겠다는 이중적 협박을 하는 것 등 다양한 랜섬웨어가 확인되고 있다.

기업이 받는 랜섬웨어 피해의 영향

기업이 랜섬웨어 공격을 받았을 때 어떤 영향을 받을 수 있는지, 랜섬웨어 피해의 내용과 영향에 대해 알아본다.

피해 대응 비용 및 인력 자원 증가

랜섬웨어에 감염되면 데이터 복구 및 보안 대책 강화를 위해 전문 업체에 의뢰해야 한다. 사내 보안 담당자 등 대응에 소요되는 인적 비용까지 포함하면 그 피해는 막대하다.

사회적 신뢰도 하락으로 인한 매출 감소

랜섬웨어로 인해 중요한 고객 정보가 유출되는 등의 사고가 발생하면, 사회적 불신이 커져 이미지 실추뿐만 아니라 매출 감소로 이어지는 등 기업은 막대한 피해를 입을 수 있습니다. 신속한 조사를 통해 사실을 공개하고 재발방지 대책을 마련하는 것이 기업의 신뢰를 회복할 수 있는 최선의 방법이다.

시스템 다운으로 인한 기업 활동 중단

랜섬웨어 감염으로 인해 시스템 다운이나 시스템 장애가 발생하면 기업 활동 자체가 중단될 수도 있습니다. 거래처와의 수발주를 비롯해 대내외적으로 관련된 모든 절차가 어려워지는 것은 물론, EC 사이트에서는 사용자들에게 직접적으로 영향을 미친다.

손해배상 등 법적 리스크 발생

예를 들어 정보 유출로 인해 고객에게 피해를 입힌 경우, 피해자로부터 손해배상 책임을 물을 수 있습니다. 배상금이 경영에 영향을 미칠 정도로 큰 금액일 경우, 파산으로 이어질 가능성도 있다.

랜섬웨어로 인한 국내 기업 피해 사례

독립행정법인 정보処理推進機構 보안센터의 컴퓨터 바이러스-부정접속 신고 사례 중 랜섬웨어로 인한 국내 기업의 피해 사례 중 일부를 소개합니다.

출처] 독립행정법인 정보処理推進機構「컴퓨터 바이러스-부정접속 신고사례」
https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/000108764.pdf

VPN 장비에 관리자 ID로 부정 로그인, 서버 내 파일 암호화

기업의 공유 서버를 사용할 수 없게 되어 외부 기관에 조사를 의뢰한 결과, LockBit3.0에 의해 서버의 파일이 암호화되어 있는 것을 확인했다. 조사 결과, 보안 소프트웨어 제거 등 부정 조작, 백업용 외장 하드디스크 암호화, VPN 장비에 관리자 ID로 부정 로그인한 사실이 확인되었다. 대부분의 데이터 복원에 성공하지 못했고, 재발 방지책으로 VPN 장비의 ID 변경, 벤더와의 유지보수 계약 등을 시행했다.

EC 사이트 부정 접속으로 고객 개인정보 및 신용카드 정보 수십만 건 유출.

기업의 EC사이트에 대한 부정 접속과 10만 건 이상의 개인정보 및 신용카드 정보 유출이 외부 조사에서 밝혀졌다. 원인은 사이트의 보안 취약점을 파고들어 HTML에 외부에서 악성 스크립트를 삽입한 크로스 사이트 스크립팅으로, 특정 상황에서 관리 화면으로의 부정 접속이 가능한 상황이었다. 서버는 폐기, 이전이 이루어졌으며, 운영 및 관리 체계의 재점검과 정기적인 취약점 진단 및 침투 테스트 등을 실시하게 되었습니다.

랜섬웨어 감염 대책

랜섬웨어 감염을 예방하기 위해서는 의심스러운 메일을 열지 않는 등 직원 개개인의 철저한 대응과 함께 기업 차원의 기술적 대응을 통해 예방과 대응을 더욱 강화하는 것이 중요하다.

EPP나 EDR 도입은 기본이지만, 원격근무가 보편화된 현재 제로 트러스트 관점에서 엔드포인트 보안을 포괄적으로 강화하는 SASE(Secure Access Service Edge) 도입이 앞으로 대세가 될 것으로 보인다.

의심스러운 메일과 첨부파일을 격리하고, 만일의 접근도 방지 및 탐지한다.

직원 개개인이 이메일의 첨부파일이나 링크를 함부로 열지 않도록 의식하는 것은 물론, 조직 차원에서 의심스러운 이메일이나 파일을 열지 못하게 하거나 열었을 때 이를 탐지하는 기술적 조치도 중요하다. 스푸핑 메일을 검역하는 DMARC 도입이나 악성 사이트 접속을 탐지 및 방지하는 EDR, SWG라는 도구 및 시스템 활용이 효과적이다.

OS와 소프트웨어는 항상 최신 버전으로 유지한다.

많은 랜섬웨어는 알려진 취약점을 악용해 침입하는 특성이 있는데, OS 및 소프트웨어 업데이트를 주기적으로 실시해 보안 취약점을 수정함으로써 랜섬웨어의 공격을 예방할 수 있다.

불법 사이트 접속 방지 및 탐지하기

랜섬웨어가 심어져 있는 가짜 웹사이트로 유도해 감염시키는 수법도 늘고 있다. 직원 개개인이 게시판 사이트나 불법 동영상 사이트 등을 불필요하게 이용하지 않도록 주의가 필요하다. 또한, 필터링 서비스로 접속 가능한 사이트를 미리 제한하는 등의 대책과 함께 피싱 사이트로의 리다이렉션 등을 탐지 및 방지하는 도구 및 시스템인 EDR이나 SWG를 도입하는 것이 효과적이다.

외부 메모리 연결에 주의해야 한다

USB 메모리나 외장형 HDD 등 외부 메모리를 통해 랜섬웨어에 감염될 수 있으므로 출처를 알 수 없는 USB나 외장형 HDD를 함부로 연결하지 않는 것이 중요하다. 또한, 이러한 외부 장치에 대해서는 정보 유출 방지를 위한 보안 툴 시스템 DLP(Data Loss Prevention)로 침입을 방지하고, EPP/EDR의 보안 기능으로 외부 연결 장치를 제어하는 등의 대책이 있다.

직원 교육 실시

직원의 사소한 부주의로 인해 사고가 발생하는 경우도 많다. 정보 보안에 대한 인식을 높이는 것은 물론, 올바른 지식과 최신 정보를 포함한 직원 교육을 주기적으로 실시하는 것이 피해를 예방하는 데 도움이 될 수 있다.

사이버 보안 전문가와 사전 상담하기

사이버 보안은 자사 보안 부서뿐만 아니라 평상시부터 전문 조사기관에 의뢰하는 것이 좋다. 만약 감염이 발생하더라도 적절한 대응을 통해 피해를 최소화할 수 있다.

랜섬웨어 감염 시 대처 방법

랜섬웨어에 감염되지 않도록 주의를 기울이고 사전에 예방하는 것이 중요하지만, 피하기 어려운 불의의 사고도 있다. 혹시라도 랜섬웨어에 감염되었을 때를 대비한 대처법을 소개한다.

네트워크에서 분리하기

네트워크 내 다른 단말기로 감염이 확산될 위험이 있으므로, 즉시 네트워크에서 단말기를 분리하는 것이 기본 전제입니다. 하지만 이것만으로는 랜섬웨어 감염 대응에 충분하지 않다. 최근 랜섬웨어는 네트워크에 침입해 관리자 권한까지 장악하고, 도메인 산하로 공격 범위를 확장하는 '래터럴 무브먼트(Lateral Movement)'라는 수법도 많이 발견된다. 따라서 네트워크 차단만으로는 위험성을 억제하지 못할 가능성이 높으며, 영향 범위와 피해 실태 조사를 위해 신속하게 전문가에게 조사를 의뢰하는 것이 적절하다.

장비를 종료하지 않는다

네트워크에서 분리하더라도 장비 자체를 종료하지 않도록 주의해야 한다. 저장된 로그 정보가 삭제될 수 있습니다. 재부팅이나 전원을 끄지 말고, 계속 켜져 있는 상태로 유지하는 것이 중요합니다.

사이버 보안 전문 업체에 조사를 의뢰한다.

대응이 늦어질수록 피해가 커질 가능성이 높아지므로 조속히 적절한 조치를 취하는 것이 중요하다. 자사 보안 부서에 연락하고, 사이버 보안 전문업체에 조사 의뢰를 신속하게 진행해야 한다. '네트워크에서 분리하기' 항목에서도 언급했듯이, 감염 경로와 피해 상황, 유출된 데이터 등 상세한 조사를 실시하여 적절한 대응을 조속히 진행하고, 피해를 최소화하기 위해서는 전문업체에 의뢰하는 것이 적절합니다. 향후 예방책 마련을 위해서도 필요한 대응입니다.

랜섬웨어 감염 시 대응, 사이버 보안 조사는 프론테오로!

최근 랜섬웨어 피해는 계속 증가하고 있으며, 수법도 복잡하고 난해해지고 있습니다. 매일 업데이트되는 랜섬웨어에 대한 최신 정보를 확인하며 만반의 대비를 하는 것은 물론, 유사시 신속한 대응을 위해서는 전문가의 도움이 필수적입니다.

프론테오는 유사시 필요한 최소한의 조사를 정리한 프론테오의 '사이버 보안 조사 패키지'를 제공하고 있다. '사이버 보안 조사 패키지'는 사이버 공격 피해에 대응하는 기업을 대상으로 초기 대응에 필요한 고품질 조사 패키지다. 많은 조사 실적을 바탕으로 패키지화를 통해 조사의 효율성과 속도를 가속화했다. 유사시 신속하고 정확한 해결책을 제시합니다. 랜섬웨어 감염에 대한 대응은 프론테오의 '사이버 보안 조사 패키지'가 최적입니다.

사내에서 사이버 보안에 대한 지식을 쌓는 것도 필요하지만, 더 중요한 것은 사전 예방책과 사후 대응책을 완벽하게 마련하는 것입니다. 자사가 안고 있는 리스크를 파악하고 전문성을 갖춘 업체에 맡기는 것이 현명하며, 프론테오와 협력 체계를 구축하여 자체적으로 파악하기 어려운 보안 리스크를 찾아내어 만반의 보안 대책을 마련하는 것이 좋습니다.