Offcanvas

CSO / How To / 랜섬웨어 / 보안 / 통신|네트워크

“확실한 위협으로 부상”··· 美 안보기관 2곳이 제시한 랜섬웨어 방어 원칙 7가지

2020.11.02 Mark Dargin  |  Network World
FBI와 미국 국토안보부가 최근 의료 및 보건, 건강 관련 시설을 대상으로 랜섬웨어 등의 ‘확실한 사이버위협’이 제기되고 있다고 경고하며 이런 공격에서 보호할 방법들을 제시했다. 

랜섬웨어 공격이 광포해지고 있다. 범죄자들은 랜섬웨어가 단기간에 돈을 챙기기 효과적인 방법, 도구라는 것을 파악했다. 랜섬웨어가 문제가 되는 한 이유는 프로그래밍 스킬이 없어도 공격을 할 수 있다는 것이다. 많은 해커 커뮤니티에서 공유되는 코드를 쉽게 구할 수 있다. 수수료만 내면, 공격자를 대신해 비트코인으로 랜섬(사이버 몸값)을 받아주는 서비스도 있다.

데이터를 백업하지 않는 많은 중소기업들이 데이터를 복구할 다른 방법이 없어 랜섬을 지불한다. 때론 랜섬을 지불하지 않으면 폐업을 해야 하는 상황에 직면한다.

또한, 중요한 환자 데이터를 백업하지 않아 제때 이런 데이터를 찾아 이용할 수 있는 병원들도 있다. 이들 병원들은 즉시 랜섬을 지불하게 될 것이다. 신속히 치료를 해야 하는 환자에 대한 기록에 액세스를 해야 하기 때문이다. 집중 치료를 받는 사람들에게는 삶과 죽음에 직결된 문제가 될 수 있다.

에미소프트(Emisoft) 블로그에 따르면, 2019년 미국의 기업과 정부기관들은 966차례 랜섬웨어 공격을 받았으며, 피해액은 75억 달러로 추정된다.

기업과 기관은 랜섬웨어에 피해를 입지 않기 위해 지금 당장 네트워크를 보호하고, 데이터 보호에 우선순위를 부여해야 한다. 랜섬웨어 공격은 앞으로 계속 증가할 것이다. 그리고 언론에 랜섬을 지불한 기업으로 보도되는 것을 원하는 기업은 없을 것이다. FBI와 미국 국토안보부가 제시한 랜섬웨어 방어법은 다음과 같다.
 
Image Credit : Getty Images Bank

랜섬웨어 공격을 방지하기 위해 필요한 7가지 계획
랜섬웨어 공격으로부터 조직을 보호하려면, 이런 공격을 방지하기 위해 해야 할 일이 자세히 규정된 서면 계획을 수립해 유지해야 한다. 이런 계획에는 다음 7가지 전략이 포함되어야 한다.

◆ 직원 교육
랜섬웨어 방지 계획에는 직원들에게 랜섬웨어와 공격자들이 이런 공격을 시작할 때 주로 사용하는 피싱 등의 기법에 대해 알려주는 교육이 포함되어야 한다. 정기적으로 이런 교육을 실시해야 한다.

◆ 서버와 네트워크 장치, 앱 패치
조직에는 서버와 네트워크, 장치, 애플리케이션을 패치하는 프로세스가 있어야 한다. 애플리케이션 패치를 최신 상태로 유지하지 않는 조직들이 많다. 공격자들은 이를 알고, 이런 조직을 표적으로 삼는다. 월, 또는 분기 단위로 패치 과정, 절차, 정책이 효과적인지 검토해야 한다.

◆ 엔드포인트의 바이러스 백신 도구
또한, 엔드포인트에 바이러스 백신 도구를 사용할 계획을 세워야 한다. 많은 랜섬웨어 공격들이 바이러스 백신 프로그램의 감지를 회피하도록 설계되어 있기 때문에 의심스러운 동작을 추적할 수 있는 도구 사용에 초점을 맞춰야 한다. 또한 ‘드라이브-바이’ 감염을 막을 수 있는 종류의 웹 필터를 활용해야 한다. 이런 종류의 감염이 늘고 있고, 쉽게 감염이 된다. 사용자가 악성 웹사이트가 심어진 장소를 탐색하면 감염이 될 수 있다.

◆ 데이터 백업
적절히 데이터를 백업하지 않은 결과로 랜섬을 지불하게 된 조직들이 많다. 백업 프로세스를 문서화해야 한다. 긴급 복구 계획에 RPO(Recovery Point Objective)와 RTO(Recovery Time Objective)를 포함시키고, 매년 목적을 달성했는지 확인해야 한다. 비즈니스 리더와 이해관계자들이 수용 가능한 RPO와 RTO에 대한 피드백을 제공해야 한다. 이런 피드백이 없는 경우, 랜섬을 지불해야 하는 확률이 높아질 수 있다. 

◆ 백업 테스트
중요한 데이터가 모두 백업되었는지 확인하기 위해 정기적으로 백업을 테스트해야 한다. 또한, 백업 데이터를 랜섬웨어 공격으로부터 보호해야 한다. 네트워크 기간 백업의 인기가 높아지면서, 자신의 일반 프로덕션 단계 네트워크와 동일한 네트워크나 VLAN에서 백업 장치를 운영하는 조직들이 많다. 백업 데이터가 랜섬웨어 공격의 ‘피해자’가 되지 않도록 만들려면 이를 피해야 한다.

◆ 취약점 평가
종합적으로 조직의 보안 태세를 평가하는 취약점 평가는 랜섬웨어 공격 방지에 도움을 준다. 평가자는 랜섬웨어 공격에 대해 인식하고, 애플리케이션이나 서비스는 물론 조직의 절차와 정책을 대상으로 취약점을 평가해야 한다. 이런 평가를 통해 지속적으로 랜섬웨어 공격을 방지할 적절할 절차를 수립해 적용하고 있는지 확인해야 한다. 매년 이런 취약점 평가를 실시해야 한다.

◆ 의심스러운 활동(동작)을 모니터링해 경고
랜섬웨어 공격 방지 계획에는 의심스러운 활동(동작)을 모니터링해 경고하는 절차가 포함되어야 한다. 지속적으로, 그리고 매일 네트워크를 모니터링해야 한다. 값비싼 보안 도구를 배치했지만, 로그나 이벤트를 모니터링하지 않아 이런 도구가 쓸모 없어지는 조직들이 많다. 랜섬웨어 공격을 감지하거나 방지하기 위해서는 보안 담당 직원들이 이를 평가하는 프로세스를 수립해 적용해야 한다.

랜섬웨어 공격 감지 시 계획이 필요
랜섬웨어 공격을 감지했을 때 취할 조치를 단계별로 정확히 규정한 내용을 문서화해 유지해야 한다. 상세히 기록을 해야 하며, 랜섬웨어 확산 방지, 잃어버린 데이터 복구에 목적을 둬야 한다. 이런 계획에 관계 당국에 통보하는 프로세스를 포함시켜야 한다. 

랜섬웨어 대응 계획에 랜섬웨어에 감염된 것으로 의심되는 장치를 정상 종료하는 계획을 포함시키는 것이 좋다. 많은 랜섬웨어 변종들은 공격자의 스크립트를 통해 장치가 다시 부팅을 한 후에 데이터를 암호화하기 때문이다. 장치를 정상 종료하는 경우, 암호화 전에 데이터 복구를 시도할 수 있다. 

랜섬웨어 대응 계획을 문서화한 후, 이의 이행에 대해 확인하는 도상 훈련을 실시한다. 이는 이해관계자들에게 조직이 이런 침해 사고에 적절히 대응할 준비가 되어있다는 점을 확신시키는 방법이다.

랜섬웨어로부터 네트워크를 보호할 계획이 없다면, 지금 당장 이런 계획을 수립해야 한다. 계획이 없다면 랜섬웨어 공격으로 인해 고객을 잃고, 매출이 감소하게 된다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.