랜섬웨어에 감염되면 어떻게 될까? 기업이 취해야 할 조치

기업에 대한 사이버 공격 중 랜섬웨어로 인한 피해가 증가하고 있다. 랜섬웨어에 감염된 경우 적절한 초기 대응이 필요하기 때문에 어떤 대응을 해야 하는지 파악할 필요가 있다. 이 글에서는 랜섬웨어에 대한 기초 지식과 감염 시 초기 대응, 하지 말아야 할 일 등에 대해 설명한다.

랜섬웨어란?

랜섬웨어(Ransomware)는 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어(Software)를 합친 신조어로, 몸값을 요구하는 컴퓨터 바이러스의 일종이다. 감염된 컴퓨터를 잠그거나 파일을 암호화하여 사용할 수 없는 상태로 만들고, 이를 복구하는 대가로 몸값을 요구하는 악의적인 프로그램이다. 최근에는 몸값을 지불하지 않으면 훔친 데이터를 공개하겠다고 협박하는 유형의 랜섬웨어도 유행하고 있다.

멀웨어 및 바이러스와의 차이점

멀웨어(Malware)는 악의를 뜻하는 malicious에 소프트웨어(Software)를 결합한 조어로, 부정하고 해롭게 작동할 의도로 만들어진 악의적인 소프트웨어의 총칭이다. 컴퓨터 바이러스(Computer Virus)는 다른 프로그램에 코드를 삽입하여 자가 증식하는 악성 프로그램을 말한다. 랜섬웨어도 바이러스도 악성코드의 일종이다.

랜섬웨어 감염이 기업에 미치는 영향

직원의 컴퓨터 등이 랜섬웨어에 감염되었을 때 기업에 미치는 영향에 대해 설명합니다.

피해 대응에 대한 부담과 금전적 피해가 발생한다.

랜섬웨어에 감염되면 데이터 복구 및 보안 대책 강화를 위해 전문업체에 의뢰해야 하며, 사내 보안 담당자의 부담 및 막대한 금전적 손해가 발생한다.

개인정보 등 정보 유출로 고객 및 거래처에도 영향을 미친다.

랜섬웨어 감염은 사생활 침해, 개인정보 유출 및 악용 등을 유발한다. 이때 대응이 부적절하거나 고객 및 거래처에 대한 정보 제공이 불충분할 경우, 신뢰 관계가 저하될 수 있습니다.

기업의 업무 및 서비스 중단

조직 전체의 업무나 서비스가 중단되거나 기능 장애를 일으키는 것도 랜섬웨어 감염으로 인한 심각한 악영향 중 하나다. 제조업이라면 생산라인이 멈춰버리고, 병원이라면 전자의무기록이나 진료비 관련 시스템이 영향을 받아 진료가 중단될 수 있다.

손해배상 등 법적 리스크 발생

업무 중단과 신용 실추로 인한 손실뿐만 아니라 취급하는 데이터에 따라 법적 리스크도 발생한다. 감염으로 인해 개인정보가 유출되는 등 기업이 법적 책임을 지게 되면 벌금을 물어야 할 수도 있습니다.

랜섬웨어의 감염 경로는?

주요 랜섬웨어 감염 경로는 이메일에 첨부된 파일이나 링크, 변조된 웹사이트 열람 등이 있다. 최근에는 외부에 공개된 VPN 장비의 취약점을 악용하여 탈취한 인증정보로 인한 부정침입이 많이 발생하고 있습니다.

랜섬웨어에 감염됐을 때 절대 하지 말아야 할 3가지 행동

랜섬웨어에 감염된 것으로 의심되는 경우 절대 하지 말아야 할 3가지 행동을 소개합니다.

감염된 단말기를 재부팅한다

감염된 기기나 시스템을 재부팅하면 종료로 인해 멈췄던 데이터 암호화가 다시 시작되어 단말기 내 파일을 열람할 수 없게 될 위험이 있습니다. 또한, 셧다운 전에 현재 메모리 내용을 저장하는 하이버네이션(Hibernation)을 수행하는 것이 바람직하기 때문에 무리하게 단말기를 강제 종료하는 것도 권장하지 않습니다. 단말기는 재부팅하지 말고 즉시 네트워크에서 분리하는 것이 중요합니다.

감염 후 백업하기

랜섬웨어에 감염된 후 백업을 하게 되면 그 상태의 데이터를 저장하게 되므로 복구 후 다시 감염될 위험이 있습니다. 백업을 다른 단말기에 연결하여 감염을 확대시킬 가능성도 있습니다. 감염되기 전에 평소에 정기적으로 백업하는 것이 중요합니다.

전문가나 경찰과 상담하지 않고 몸값을 지불하는 경우

랜섬웨어는 복호화 대가로 몸값을 요구하지만, 몸값을 지불한다고 해서 데이터가 복구되는 것은 아니다. 최근에는 복호화 협박과 함께 착취한 데이터를 공개하겠다는 이중적인 협박을 받는 경우도 있습니다. 돈을 지불하더라도 추가적인 요구가 있을 수 있습니다. 우선 전문가나 경찰에 신속히 상담하는 것이 좋습니다.

랜섬웨어에 감염된 경우 대처법

랜섬웨어에 감염된 것으로 의심되는 경우 필요한 초기 대응에 대해 설명합니다.

네트워크에서 분리하기

같은 네트워크에 연결된 다른 단말기로 감염이 확산될 위험이 있으므로 즉시 네트워크에서 단말기를 분리한다. 암호화의 진행을 막을 수 있는 가능성도 있습니다. 유선 연결의 경우 LAN 케이블을 뽑고, Wi-Fi 연결의 경우 전원을 끄는 등 신속하게 네트워크 연결을 끊어야 합니다.

인시던트 신고 및 시스템 담당자에게 공유

보안 전문가가 아닌 이상 혼자서 해결하는 것은 위험할 수 있습니다. 신속하게 조직 내 담당자에게 공유해야 합니다.

사이버 보안 전문업체와 상담하기

사내 보안 부서뿐만 아니라 외부 전문업체에 문의하세요. 적절한 대응을 신속하게 할 수 있어 피해를 최소화할 수 있습니다.

감염 내용 파악 및 감염 경로 파악

어떤 시스템이 영향을 받았는지, 어떻게 접근했는지, 어떤 데이터가 유출되었는지 파악해야 합니다. 사내 단말기를 철저히 스캔하여 공격 방식과 침입 경로를 파악하고, 감염된 단말기와 의심되는 단말기를 개별적으로 조사하여 피해 내용 및 감염 원인을 파악합니다.

복호화 도구 활용

특정 랜섬웨어는 복호화 툴이 정보 사이트 등에 공개되어 있어 암호화된 파일을 복구할 수 있는 가능성이 있습니다. 감염 전 데이터 백업이 있는 경우 컴퓨터를 초기화하면 되돌릴 수 있지만, 직전 데이터가 모두 삭제되어 감염 상황을 조사할 수 없게 되므로 주의해야 한다. 또한, 실제로 감염된 경우, 일반인의 판단으로 복원하지 말고 네트워크에서 분리한 후 자사 정보시스템 담당자나 포렌식 조사 업체와 같은 업체에 의뢰하는 것이 가장 바람직합니다.

랜섬웨어 감염 피해 대응, 사이버 보안 조사라면 프론테오의 서비스를 활용하세요.

이처럼 랜섬웨어 감염의 초기 대응은 세심한 주의와 신속한 처리가 필요하므로 전문 서비스를 활용하는 것이 좋습니다. 10,600건 이상의 부정 조사 실적을 자랑하는 프론테오의 '사이버 보안 조사 패키지'는 여러 보험사에서도 추천하는 고품질 사이버 보안 조사 서비스를 제공합니다. 사이버 보안 조사를 제공합니다.

EDR 조사, 다크웹 조사 등 사이버 공격을 받았을 때 대응해야 할 최소한의 조사를 하나의 패키지로 구성한 초기 대응에 효과적인 솔루션으로, Wi-Fi 취약점 조사, NDR 조사, 침투 테스트 등 추가 조사도 가능하다. 전문 지식이 있는 인력이 없는 기업의 경우, 비상 대응 시 속도와 전문성에 대한 우려가 남는다. 프론테오는 압도적인 실적을 통해 얻은 노하우를 바탕으로 사이버 공격 피해의 초기 대응을 지원합니다.