2020.03.16

지방정부가 랜섬웨어를 극복하기 위해 할 수 있는 8가지 <딜로이트>

Cynthia Brumfield | CSO
미국의 주정부와 지방정부가 랜섬웨어 공격 대상으로 인기 있는 이유와 이들 정부가 한정된 자원으로 스스로 보호할 방법을 딜로이트가 제안했다. 

3월 6일 저녁 발생한 랜섬웨어 공격으로 노스캐롤라이나 더럼 시와 카운티 정부의 IT시스템이 다운됐다. 자세한 정보는 알려지지 않았지만, 노스캐롤라이나주 수사국은 류크(Ryuk)라는 러시아 악성코드가 사용된 랜섬웨어 공격이라고 발표했다.

최근 전국적으로 랜섬웨어와 씨름하는 미국 지방정부들이 늘고 있다. 더럼도 이런 지방정부 가운데 하나다. 랜섬웨어는 이런 공격에서 복구될 준비가 갖춰지지 않은 취약한 지방정부 시스템을 표적으로 삼는다. 더럼 같은 지방정부는 랜셈웨어 공격자에게 매력적인 표적이다. 주 및 지방정부를 표적으로 하는 랜섬웨어 공격 동향을 조사하는 딜로이트 CGI(Center for Government Insights)의 새 보고서에 따르면, 따르면, 자주 인질이 되고 사이버 몸값을 요구받는 정부가 늘어나고 있다.

보고서에 따르면, 2019년 한 해 정부를 표적으로 삼은 랜섬웨어 공격은 163건으로 2018년 대비 150%나 증가했다. 랜섬(사이버 몸값) 지불 금액은 미화 180만 달러였으며, 복구에도 많은 돈이 지출됐다. 지방정부가 이런 공격에 애를 먹는 주된 이유는 사이버보안 인재 부족, 공격 표면 증가, 넉넉하지 못한 예산 등이다.
 
ⓒGetty Images Bank

지방정부가 랜섬웨어 표적으로 선호되는 이유
지방정부들이 사용하는 컴퓨터가 늘어나고, 교통 신호등부터 구급차, 쓰레기 수거 트럭 등 여러 서비스를 네트워크에 연결해 사용하는 사례가 증가하면서 공격 표면이 넓어지는 추세다. 또한, 부족한 예산이 새로운 사이버보안 도구 도입 등 현대화 노력에 제약이 되고 있다. 보고서는 마지막으로 지방정부들이 필요한 사이버보안 인재 유치에 애를 먹고 있다고 지적했다. 매년 두 차례 실시되는 NASCIO/딜로이트 사이버보안 서베이에 따르면, 2010년 이후 매년 주 정부 수준 CISO들의 가장 큰 우려사항은 예산 부족이었다.

딜로이트 앤 투세(Deloitte & Touche)의 수석이자 사이버 분야의 주, 고등 교육 부문 책임자인 스리니 서브라마니안은 CSO와 가진 인터뷰에서 “첫째, 주정부와 지방정부는 예산이 부족해 사이버 분야에 꾸준히 투자하지 못했다. 둘째, 시민들에게 제공되는 서비스 중 온라인과 인터넷에 기반을 둔 서비스가 급증했다. 셋째, 주정부와 지방정부는 사이버 분야 인재를 계속 유치할 기회가 있지 않다”라고 지적했다.

사이버 보험의 랜섬 지불이 랜섬웨어 위험 증가의 원인
지방정부를 표적으로 삼는 랜섬웨어 공격을 증가시키는 원인 중 하나는 주정부와 지방정부의 사이버보안 보험 이용이 늘어나고 있기 때문이다. 서브라마니안은 “지방정부가 랜섬을 지불하는 경우가 증가하고 있는 것이 문제의 일부이다. 이는 사이버 보험이 이유일 수 있다. 사이버 보험사는 랜섬웨어 공격을 가장 비용 효과적으로 다루고, 서비스를 ‘온라인’ 상태로 복구시키는 가장 빠른 방법은 랜섬을 지불하는 것으로 생각한다. 이것이 공격자들에게 금전적 동기를 제공하고 있다”라고 설명했다.

랜섬 지불을 거부하는 것이 더 원칙에 충실한 방법이기는 하지만, 이렇게 했을 때 더 큰 비용이 초래되는 경우가 많다. 볼티모어시는 2019년 랜섬웨어 공격을 받았는데, 공격자들이 요구한 7만 6,000달러의 랜섬 지불을 거부했다. 이 결정으로 인해 초래된 복구 비용, 수익 손실이 약 1,820만 달러에 달했다.

보험사들 또한 지방정부를 상대로 한 보험 상품 판매에 적극적이다. 사이버보안 보험이 꽤 돈이 되는 상품이기 때문이다. 보험 계약자에게 보험료로 1달러를 받았을 때 보험금으로 지불하는 돈이 약 35센트에 불과하다. 딜로이트 보고서에 따르면, 다른 보험 상품보다 약 2배가 많은 돈을 번다.
 
랜섬웨어로부터의 보호를 위한 권장 사항들
서브라마니안은 지방정부들이 랜섬웨어 지불을 멈출 것이라고 말했다. 백업을 철저히 하고, 이런 백업을 오프사이트에 유지하거나, 지방정부의 주 네트워크와 분리해 ‘에어-갭’ 방식으로 보호할 필요가 있다는 점을 깨닫게 될 것이기 때문이다. 서브라마니안은 “견고한 백업과 복구 체계를 유지하고, 여기에 자신감을 갖게 되면, 대부분 지방정부들은 랜섬웨어를 지불하지 않고 백업에서 복구하는 방법을 선택할 것”이라고 말했다.

딜로이트 보고서는 지방정부가 백업과 랜섬웨어 공격 후의 복구에 초점을 맞추면 성과를 거둘 수 있다고 강조했다. 보고서는 “트레이닝과 리소스, 약간의 ‘행운’으로 미국의 도시와 카운티 정부를 곤경에 빠뜨렸던 해커들을 저지할 수 있다”라고 설명하고 있다.

딜로이트 보고서는 랜섬웨어 공격을 걱정하는 지방정부들에게 다음과 같이 조언했다.

• 핵심 데이터를 분리 및 구획화해 유지, 랜섬웨어로 인한 암호화를 어렵게 만든다.
• 연결된 장치에서의 외부 서비스를 차단한다.
• 매우 중요한 하드웨어에서 개인 이메일을 확인하거나, 게임을 하는 것을 금지하는 정책을 집행한다.
• ‘에어-갭’ 방식 백업을 개발한다.
• 트레이닝을 통해, 직원들의 사이버보안에 대한 인식을 높인다.
• 랜섬웨어 공격을 시뮬레이션한 ‘워게임’ 훈련을 한다.
• 적시에 시스템과 소프트웨어에 패치를 적용하고, 업데이트한다.
• 동종 업계와 커뮤니케이션 및 협력하며, 정보를 공유하고, 서로의 성공 및 실패 사례를 학습한다.

마지막 조언은 랜섬웨어 공격이 다시 발생하지 않는다는 가정을 하지 말라는 것이다. 딜로이트 연구원들이 예상하는 트렌드 중 하나는 지방정부를 공격한 랜섬웨어 공격자들이 이 정부를 다시 공격할 확률이 있다는 것이다. 

서브라마니안은 “랜섬웨어 공격 이후에서 성공적으로 복구한 경우에도, 다시 공격을 받게 될 것이다. 이는 시간 문제에 불과하다. 아직은 초기 단계기 때문에, 동일한 지방정부가 여러 차례 공격을 받은 사례가 없을 뿐이다”라고 말했다. 

이에 딜로이트는 고객들에게 또 다른 랜섬웨어 공격에서 살아남을 역량을 강화하라고 충고했다. 딜로이트는 “단기적으로 복구에 초점을 맞출 필요가 있다. 백업 역량, 다양한 랜섬웨어 공격으로부터 복구하고, 안전하게 백업을 유지하는 역량이 여기에 포함된다”라고 설명했다. ciokr@idg.co.kr



2020.03.16

지방정부가 랜섬웨어를 극복하기 위해 할 수 있는 8가지 <딜로이트>

Cynthia Brumfield | CSO
미국의 주정부와 지방정부가 랜섬웨어 공격 대상으로 인기 있는 이유와 이들 정부가 한정된 자원으로 스스로 보호할 방법을 딜로이트가 제안했다. 

3월 6일 저녁 발생한 랜섬웨어 공격으로 노스캐롤라이나 더럼 시와 카운티 정부의 IT시스템이 다운됐다. 자세한 정보는 알려지지 않았지만, 노스캐롤라이나주 수사국은 류크(Ryuk)라는 러시아 악성코드가 사용된 랜섬웨어 공격이라고 발표했다.

최근 전국적으로 랜섬웨어와 씨름하는 미국 지방정부들이 늘고 있다. 더럼도 이런 지방정부 가운데 하나다. 랜섬웨어는 이런 공격에서 복구될 준비가 갖춰지지 않은 취약한 지방정부 시스템을 표적으로 삼는다. 더럼 같은 지방정부는 랜셈웨어 공격자에게 매력적인 표적이다. 주 및 지방정부를 표적으로 하는 랜섬웨어 공격 동향을 조사하는 딜로이트 CGI(Center for Government Insights)의 새 보고서에 따르면, 따르면, 자주 인질이 되고 사이버 몸값을 요구받는 정부가 늘어나고 있다.

보고서에 따르면, 2019년 한 해 정부를 표적으로 삼은 랜섬웨어 공격은 163건으로 2018년 대비 150%나 증가했다. 랜섬(사이버 몸값) 지불 금액은 미화 180만 달러였으며, 복구에도 많은 돈이 지출됐다. 지방정부가 이런 공격에 애를 먹는 주된 이유는 사이버보안 인재 부족, 공격 표면 증가, 넉넉하지 못한 예산 등이다.
 
ⓒGetty Images Bank

지방정부가 랜섬웨어 표적으로 선호되는 이유
지방정부들이 사용하는 컴퓨터가 늘어나고, 교통 신호등부터 구급차, 쓰레기 수거 트럭 등 여러 서비스를 네트워크에 연결해 사용하는 사례가 증가하면서 공격 표면이 넓어지는 추세다. 또한, 부족한 예산이 새로운 사이버보안 도구 도입 등 현대화 노력에 제약이 되고 있다. 보고서는 마지막으로 지방정부들이 필요한 사이버보안 인재 유치에 애를 먹고 있다고 지적했다. 매년 두 차례 실시되는 NASCIO/딜로이트 사이버보안 서베이에 따르면, 2010년 이후 매년 주 정부 수준 CISO들의 가장 큰 우려사항은 예산 부족이었다.

딜로이트 앤 투세(Deloitte & Touche)의 수석이자 사이버 분야의 주, 고등 교육 부문 책임자인 스리니 서브라마니안은 CSO와 가진 인터뷰에서 “첫째, 주정부와 지방정부는 예산이 부족해 사이버 분야에 꾸준히 투자하지 못했다. 둘째, 시민들에게 제공되는 서비스 중 온라인과 인터넷에 기반을 둔 서비스가 급증했다. 셋째, 주정부와 지방정부는 사이버 분야 인재를 계속 유치할 기회가 있지 않다”라고 지적했다.

사이버 보험의 랜섬 지불이 랜섬웨어 위험 증가의 원인
지방정부를 표적으로 삼는 랜섬웨어 공격을 증가시키는 원인 중 하나는 주정부와 지방정부의 사이버보안 보험 이용이 늘어나고 있기 때문이다. 서브라마니안은 “지방정부가 랜섬을 지불하는 경우가 증가하고 있는 것이 문제의 일부이다. 이는 사이버 보험이 이유일 수 있다. 사이버 보험사는 랜섬웨어 공격을 가장 비용 효과적으로 다루고, 서비스를 ‘온라인’ 상태로 복구시키는 가장 빠른 방법은 랜섬을 지불하는 것으로 생각한다. 이것이 공격자들에게 금전적 동기를 제공하고 있다”라고 설명했다.

랜섬 지불을 거부하는 것이 더 원칙에 충실한 방법이기는 하지만, 이렇게 했을 때 더 큰 비용이 초래되는 경우가 많다. 볼티모어시는 2019년 랜섬웨어 공격을 받았는데, 공격자들이 요구한 7만 6,000달러의 랜섬 지불을 거부했다. 이 결정으로 인해 초래된 복구 비용, 수익 손실이 약 1,820만 달러에 달했다.

보험사들 또한 지방정부를 상대로 한 보험 상품 판매에 적극적이다. 사이버보안 보험이 꽤 돈이 되는 상품이기 때문이다. 보험 계약자에게 보험료로 1달러를 받았을 때 보험금으로 지불하는 돈이 약 35센트에 불과하다. 딜로이트 보고서에 따르면, 다른 보험 상품보다 약 2배가 많은 돈을 번다.
 
랜섬웨어로부터의 보호를 위한 권장 사항들
서브라마니안은 지방정부들이 랜섬웨어 지불을 멈출 것이라고 말했다. 백업을 철저히 하고, 이런 백업을 오프사이트에 유지하거나, 지방정부의 주 네트워크와 분리해 ‘에어-갭’ 방식으로 보호할 필요가 있다는 점을 깨닫게 될 것이기 때문이다. 서브라마니안은 “견고한 백업과 복구 체계를 유지하고, 여기에 자신감을 갖게 되면, 대부분 지방정부들은 랜섬웨어를 지불하지 않고 백업에서 복구하는 방법을 선택할 것”이라고 말했다.

딜로이트 보고서는 지방정부가 백업과 랜섬웨어 공격 후의 복구에 초점을 맞추면 성과를 거둘 수 있다고 강조했다. 보고서는 “트레이닝과 리소스, 약간의 ‘행운’으로 미국의 도시와 카운티 정부를 곤경에 빠뜨렸던 해커들을 저지할 수 있다”라고 설명하고 있다.

딜로이트 보고서는 랜섬웨어 공격을 걱정하는 지방정부들에게 다음과 같이 조언했다.

• 핵심 데이터를 분리 및 구획화해 유지, 랜섬웨어로 인한 암호화를 어렵게 만든다.
• 연결된 장치에서의 외부 서비스를 차단한다.
• 매우 중요한 하드웨어에서 개인 이메일을 확인하거나, 게임을 하는 것을 금지하는 정책을 집행한다.
• ‘에어-갭’ 방식 백업을 개발한다.
• 트레이닝을 통해, 직원들의 사이버보안에 대한 인식을 높인다.
• 랜섬웨어 공격을 시뮬레이션한 ‘워게임’ 훈련을 한다.
• 적시에 시스템과 소프트웨어에 패치를 적용하고, 업데이트한다.
• 동종 업계와 커뮤니케이션 및 협력하며, 정보를 공유하고, 서로의 성공 및 실패 사례를 학습한다.

마지막 조언은 랜섬웨어 공격이 다시 발생하지 않는다는 가정을 하지 말라는 것이다. 딜로이트 연구원들이 예상하는 트렌드 중 하나는 지방정부를 공격한 랜섬웨어 공격자들이 이 정부를 다시 공격할 확률이 있다는 것이다. 

서브라마니안은 “랜섬웨어 공격 이후에서 성공적으로 복구한 경우에도, 다시 공격을 받게 될 것이다. 이는 시간 문제에 불과하다. 아직은 초기 단계기 때문에, 동일한 지방정부가 여러 차례 공격을 받은 사례가 없을 뿐이다”라고 말했다. 

이에 딜로이트는 고객들에게 또 다른 랜섬웨어 공격에서 살아남을 역량을 강화하라고 충고했다. 딜로이트는 “단기적으로 복구에 초점을 맞출 필요가 있다. 백업 역량, 다양한 랜섬웨어 공격으로부터 복구하고, 안전하게 백업을 유지하는 역량이 여기에 포함된다”라고 설명했다. ciokr@idg.co.kr

X