기업에 대한 사이버 공격 중 랜섬웨어로 인한 피해가 증가하고 있다. 랜섬웨어에 감염됐을 경우 적절한 초기 대응이 필요하기 때문에 어떤 대응을 해야 하는지 알아둘 필요가 있다. 이 글에서는 랜섬웨어에 대한 기초 지식과 최근 감염 경로의 변화, 감염 시 대처법 및 예방책에 대해 설명한다.
랜섬웨어(Ransomware)는 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어(Software)를 합친 조어로 '몸값 요구형 악성 프로그램'이라고도 한다. 감염된 컴퓨터를 잠그거나 파일을 암호화하여 사용할 수 없는 상태로 만들고, 그 복구를 대가로 몸값을 요구하는 악성 프로그램이다. 최근에는 몸값을 지불하지 않으면 훔친 데이터를 공개하겠다고 협박하는 유형의 랜섬웨어도 유행하고 있다.
랜섬웨어는 불특정 다수를 대상으로 하는 '분산형'이 주류를 이루었지만, 최근에는 특정 조직을 노리는 '표적형'도 증가하고 있다. 대표적인 랜섬웨어로는 2017년 전 세계적으로 공격 피해가 보고된 '워너크라이(WannaCry)'가 유명하다. 확산 속도가 빨라 감염된 PC 한 대에서 네트워크를 통해 감염이 확산된다. 이 외에도 윈도우의 취약점을 노린 것, 암호화된 정보의 몸값 요구뿐만 아니라 정보를 공개하겠다는 이중적 협박을 하는 것 등 다양한 랜섬웨어가 확인되고 있다.
랜섬웨어에 감염되면 데이터 복구 및 보안 대책 강화 비용, 업무 중단 등의 경제적 손실뿐만 아니라 고객 및 거래처의 신뢰도 하락, 개인정보 유출 등 취급하는 데이터에 따라 벌금을 물어야 할 수도 있습니다.
→관련 기사] 랜섬웨어에 감염되면 어떻게 될까? 기업이 취해야 할 대처법
최근 랜섬웨어의 감염경로는 VPN 기기를 통한 감염이 가장 많으며, 그 다음으로 리모드 데스크톱을 통한 감염이 가장 많습니다*. 기타를 포함한 주요 랜섬웨어 감염 경로를 각각 설명합니다.
*출처: 2022년 사이버 공간을 둘러싼 위협 상황 등에 대하여
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
가상의 전용 회선으로 통신을 하여 외부의 침입을 막을 수 있는 VPN 기기이지만, 재택근무 등으로 보안을 최신 상태로 유지하지 않으면 취약점을 뚫고 랜섬웨어에 감염될 수 있다. 원격 데스크톱도 집 컴퓨터에서 회사 컴퓨터에 접속해 원격으로 조작할 수 있어 재택근무 등에 유용한 기능이지만, 집의 보안 대책이 회사보다 취약한 경우가 많아 침입 경로로 악용되는 경우가 늘고 있다.
이메일에 기재된 URL이나 첨부파일도 대표적인 감염 경로이다. 업무와 관련이 있어 보이는 파일명이나 확장자로 위장되어 있어 클릭하게 되면 랜섬웨어가 실행되어 감염된다.
랜섬웨어가 설치된 웹사이트를 열람하는 것만으로도 감염될 수 있습니다. 감염을 인지하지 못하는 경우가 많으며, 업무 외적으로 게시판 사이트나 불법 동영상 사이트를 이용할 경우 감염의 위험성이 높아진다.
소프트웨어 설치 시에도 감염의 위험이 있습니다. 일반적인 것으로 위장하거나 함께 설치되는 등 다양한 경우가 있습니다. 다운로드하는 사이트가 신뢰할 수 있는 사이트인지 꼼꼼히 확인해야 한다. 특히 무료 소프트웨어 설치에 주의해야 한다.
USB 메모리 등 외부 저장장치를 컴퓨터 등 기기에 삽입하면 그 안에 숨어있던 랜섬웨어가 자동으로 실행되어 감염되는 경우도 있습니다.
랜섬웨어 감염을 예방하기 위해서는 의심스러운 메일을 열지 않는 등 직원 개개인이 스스로 예방하는 것이 중요하다. 동시에 기업 차원에서 기술적 조치를 취함으로써 예방과 대응을 더욱 강화할 수 있습니다.
EPP/EDR 도입은 기본이지만, 원격근무가 보편화된 현재 제로 트러스트 관점에서 엔드포인트의 보안을 포괄적으로 강화하는 SASE(Secure Access Service Edge) 도입이 앞으로 대세가 될 것으로 보인다.
직원 개개인이 이메일의 첨부파일이나 링크를 함부로 열지 않도록 의식하는 것은 물론, 조직 차원에서 의심스러운 이메일이나 파일을 열지 못하도록 하거나 열었을 때 이를 탐지하는 기술적 조치도 중요하다. 스푸핑 메일을 검역하는 DMARC 도입, 악성 사이트 접속을 탐지 및 방지하는 EDR, SWG 등 솔루션 활용도 효과적이다.
OS는 출시 후 취약점이 발견되는 경우가 많은데, 오래된 버전을 계속 사용하는 것은 과거에 발견된 취약점을 그대로 방치하는 것과 마찬가지다. 주기적으로 업데이트하여 항상 최신 버전으로 유지하는 것이 랜섬웨어 대책으로 매우 중요합니다.
EPP의 안티바이러스 기능이나 EDR의 이용은 감염을 예방하는 가장 대표적인 방법이다. 온라인에서 사용할 수 있는 것도 있지만, 감염이 발견되면 즉시 네트워크에서 차단해야 하므로 오프라인에서 사용할 수 있는 기능을 확인해야 한다.
실제 웹사이트와 유사하게 제작된 악성 사이트로 유도해 감염시키는 수법도 증가하고 있습니다. 필터링 서비스로 접속 가능한 사이트를 미리 제한하는 등의 조치와 함께 피싱 사이트로의 리다이렉션 등을 탐지하고 방지하는 도구 및 시스템인 EDR이나 SWG를 도입하는 것이 효과적입니다.
출처가 불분명한 외장 메모리를 사용하지 않는 것은 물론, 최근에는 쇼핑몰 등을 사칭한 불법 사이트에서 랜섬웨어가 담긴 USB 메모리를 구입하는 피해까지 보고되고 있다. 이러한 외부 기기에 대해서는 정보 유출 방지를 위한 보안 툴 시스템 DLP(Data Loss Prevention)로 침입을 방지하고, EPP/EDR의 보안 기능으로 외부 연결 기기를 제어하는 등의 대책이 있다.
랜섬웨어 감염의 초기 대응은 세심한 주의와 신속한 처리가 필요하므로 자사 보안 부서뿐만 아니라 외부 전문업체와 사전 협의하는 것도 효과적이다.
랜섬웨어에 감염된 경우 대처 방법을 설명합니다.
랜섬웨어에 감염되면 네트워크 내 다른 단말기로 감염이 확산될 수 있기 때문에 즉시 네트워크에서 분리하는 것이 기본 전제다. 하지만 이것만으로는 랜섬웨어 감염 대응에 충분하지 않다. 최근 랜섬웨어는 네트워크에 침입해 관리자 권한까지 장악하고, 도메인 산하로 공격 범위를 확장하는 '래터럴 무브먼트(Lateral Movement)'라는 수법도 많이 발견된다. 따라서 네트워크 차단만으로는 위험성을 억제하지 못할 가능성이 높으며, 영향 범위와 피해 실태 조사를 위해서라도 신속하게 전문가에게 조사를 의뢰하는 것이 적절하다.
감염된 기기나 시스템을 재부팅하면 종료로 인해 중단되었던 데이터 암호화가 다시 시작되어 단말기 내 파일을 열람할 수 없게 될 위험이 있습니다.
사내 보안 부서뿐만 아니라 외부 전문업체와도 신속히 상담해야 한다. ' 네트워크에서 분리하기 ' 항목에서도 언급했듯이, 피해 범위를 확인하고 적절한 대응을 조속히 하여 피해를 최소화하기 위해서도 필수적인 대응입니다.
랜섬웨어 감염에 대한 초기 대응을 신속하고 적절하게 진행하기 위해 프론테오의 '사이버 보안 조사 패키지'를 추천합니다. 10,600건 이상의 부정행위 조사 실적을 자랑하는 프론테오는 여러 보험사에서도 추천하는 고품질의 사이버 보안 조사를 제공하고 있습니다. 제공합니다.
EDR 조사, 다크웹 조사 등 사이버 공격을 받았을 때 대응해야 할 최소한의 조사를 하나의 패키지로 구성한 초기 대응에 효과적인 솔루션으로, 침투 테스트 등 추가 조사도 가능합니다. 전문 지식을 갖춘 인력이 없는 기업의 경우, 유사시 대응 속도와 전문성에 대한 우려가 남는다. FRONTEO는 압도적인 실적을 통해 얻은 노하우를 바탕으로 사이버 공격 피해의 초기 대응을 지원합니다.
→ 【관련 기사】사이버 보안 조사 패키지 '사이버 보안 조사 패키지' 서비스 사이트