모든 랜섬웨어 공격이나 보안 관련 사건에는 발생 전, 발생 중, 발생 후 단계가 있습니다. 각 단계에서 조직을 보호하는 방법을 알아내려면 공격이 어떻게 전개되는지 이해해야 합니다.
이 글에서는 먼저 공격 발생 전 단계를 다룹니다. 그리고, 공격자에게 취약성을 드러내고 진입점을 만들어 주는 허점을 없애기 위해 어떤 조치를 취해야 하는지 설명하겠습니다.
공격 전에 어떤 일이 발생하나요?
일반적으로 공격 또는 보안 침해가 발생하기 전에는 다음과 같은 활동이 전개됩니다.
- 공격자는 타깃에 대한 정찰을 수행합니다. 타깃 조직이 사이버 보안 보험에 가입되어 있는지 여부, 가입처, 그리고 보장 액수 등에 대해 파악합니다. 가장 큰 피해를 줄 수 있는 지점을 판단하기 위해 주요 운영 및 공급망을 진단할 것입니다.
- 공격자는 캠페인을 시작합니다.일반적으로 이메일을 통해 진행되며 “Phone Home” 기능과 타깃 진입점 역할을 하는 간단한 소프트웨어를 설치하도록 속입니다.
- 공격자가 타깃 환경 안에 “잠복”합니다. 일단 진입한 공격자는 천천히 해당 환경에 대한 정보를 수집할 것입니다. 이 활동을 “잠복”이라고 합니다. 그 후 타깃 네트워크를 스캔 및 매핑하고 로컬 및 클라우드, 그리고 매핑 및 매핑되지 않은 시스템으로 전파합니다. 잠복 중인 공격자는 향후의 액세스를 위해 여러 시스템에 추가 백도어를 생성합니다. 이 백도어는 공격자 자신이 향후의 2차 공격 시 사용하거나 다른 공격자에게 판매할 수도 있습니다. 이들 백도어는 탐지되지 않은 채 오랫동안 남아서 랜섬웨어 페이로드를 배포할 수 있는 최적의 시간까지 대기할 수도 있습니다.
공격자가 크리덴셜을 이용해 침입하기까지의 이 기간이 가장 중요한 시기입니다. 그렇다면 빠른 대응과 공격 예방을 위해 무엇을 할 수 있을까요?
사전에 보안의 허점을 없앨 수 있는 5가지 방법
사전에 방어를 강화하고 공격에 신속하게 대응할 수 있는 5가지 방법은 다음과 같습니다.
1. 시스템에서 효과적인 데이터 예방 조치 수행하기 (핵심은 패치 관리)
지원되지 않는 운영체제와 패치되지 않은 소프트웨어를 사용할 경우 멀웨어에 감염되고 공격자에 의해 악용될 수 있습니다. 공격자는 이러한 운영 환경 안에 들어오면 악용할 주요 시스템과 데이터를 치밀하게 검색하기 시작합니다.
따라서, 잘 정의된 패치 관리 프로그램을 보유하는 것이 좋습니다. 그리고 패치 및 업데이트를 릴리스 직후에 적용할 수 있도록 합니다. 중요한 패치 및 업데이트의 경우 3~7일, 그 밖의 경우는 30일 이내에 적용해야 합니다. 일반적으로, 공급업체가 패치를 출시할 때쯤이면 사이버 범죄자들은 이미 취약점을 인지하고 있으며 이를 악용할 도구를 개발 완료했거나 개발하는 단계에 있을 것입니다. 예를 들어 WannaCry 랜섬웨어가 널리 퍼질 수 있었던 이유는, 패치가 이미 출시되어 사용할 수 있었음에도 불구하고, 타깃 조직이 이전 운영 체제를 사용하고 있어 시스템을 업데이트하지 못했기 때문이었습니다.1
시스템 구성이 잘못되어도 보안 침해가 발생할 수 있습니다. 열려 있는 포트, 잘못 구성된 방화벽 또는 라우터를 통해 해커는 네트워크에 액세스하거나 액세스가 가능한 네트워크 정보를 얻을 수 있습니다.
팁: 패치 관리 프로그램에 게임 형식의 접근 방식을 적용해 보십시오. 각 부서는 타 부서와 결과를 비교할 수 있습니다. 가장 뒤처지는 것을 원하는 부서는 없을 것입니다. 이로써 보안을 개선하도록 동기를 부여하고 장려할 수 있습니다.
2. 모든 시스템에 대해 다단계 인증 및 관리자 크리덴셜 보관을 구현하기
잘못된 암호 관리 방식과 부적절하게 보호되는 엔드포인트 장치는 취약점을 만들어 낼 수 있습니다. 하지만 어떤 경우든, 액세스 권한이 있는 암호와 크리덴셜은 매우 중요합니다. 크리덴셜 보관 및 관리자 크리덴셜은 네트워크의 공유 리소스에 대한 크리덴셜에 보호 기능을 추가합니다. 즉, 사용자가 로그인할 때마다 해당 암호가 자동으로 새로 고쳐지는 저장소를 제공합니다.
만약 어떤 직원이 여러 개인 및 회사 계정에 대해 동일한 암호를 사용하고 이들 계정 중 하나가 노출될 경우, 공격자는 이 노출된 크리덴셜을 사용하여 다른 계정에도 액세스할 수 있습니다. 다단계 인증은 인증 단계와 보안을 추가하며 개인 장치 또는 생체 인식을 통해 신원을 증명할 것을 요구합니다.
3. 운영 환경 전반에서 일관된 로깅 제공하기
보안 및 액세스 로그는 공격 소스 또는 “최초 감염자”를 식별하는 데 절대적으로 중요합니다(영문자료). 이러한 정보를 더 빨리 알아낼수록 더 신속하게 필요한 패치를 적용하고 클린 백업을 복원할 수 있습니다. 공격이 발생한 후 이러한 로그를 통해 규제 기관에 규정 준수 증거를 제공할 수 있습니다. 어떤 일이 발생했는지 설명하고 자신의 조직이 필요한 예방 조치를 취하고 있음을 입증할 수도 있습니다.
단순히 보안 로그를 유지하는 것만으로는 충분하지 않습니다. 침입 경로를 숨기기 위해 삭제 또는 변경을 시도하는 해커로부터도 보호해야 합니다. 이 문서에서 보안 로그를 보호하는 이유와 방법에 대해 자세히 알 수 있습니다.
4. 운영 환경에서 공격자의 징후를 식별하는 데 도움이 되는 신속한 분석 플랫폼 구현하기. “위협 헌팅 담당자”는 보안 침해의 지표를 능동적으로 찾아서 해결할 수 있습니다.
신속한 실시간 분석을 통해 의심스러운 행동, 이상 징후 등을 포착해 공격 가능성을 경고할 수 있습니다. 운영 환경에서 비정상적인 활동이 발생하면 신속한 분석 플랫폼이 늦기 전에 이를 감지할 수 있습니다. 위협 헌팅 담당자는 데이터가 광범위하게 훼손되기 전에 비정상적 활동을 식별하고 제거할 수 있습니다.
팁: 아키텍처는 복원력과 내구성을 염두에 두고 구축해야 합니다(영문자료). 예를 들어 퓨어스토리지의 세이프모드(SafeMode™) 스냅샷을 구현하면 중요한 백업 데이터가 삭제되지 않도록 보호할 수 있습니다.
5. 랜섬웨어를 중심으로 한 정기 보안 교육 및 모의 훈련 실시하기
직원들은 특히 사이버 위협이 우려되는 회사 안에서 가장 약한 고리가 될 수 있습니다. 직원들은 가장 일반적인 랜섬웨어 공격 벡터 중 하나인 이메일 피싱 스캠으로 피해를 보는 경우가 많습니다. 피싱 이메일은 사용자가 멀웨어 첨부 파일을 다운로드하거나 특정 링크를 클릭하도록 속입니다. 보통 이 링크는 악성 코드가 숨겨진 콘텐츠로 연결됩니다. 부적절한 암호 보안 정책으로 인해 ID 도용 또는 고급 정보에 대한 무단 액세스가 발생할 수 있습니다.
오래된 소프트웨어나 운영 체제를 사용하는 회사 네트워크의 원격 장치도 사이버 공격에 문을 열어줄 수 있습니다. 명확하게 규정된 인터넷 및 이메일 정책이 없으면 직원들은 민감한 데이터를 안전하게 액세스, 사용 및 공유하는 방법을 알 수 없을 것입니다. 또한 이메일을 통해 공유하거나 공유하지 말아야 하는 정보도 구분하지 못할 것입니다. 데이터 액세스 정책에서는 각 직원이 자신의 업무를 수행하는 데 필요한 시스템과 데이터에만 액세스할 수 있도록 지정합니다.
팁: 최종사용자들의 인식 제고 교육을 실시하고 그 효과를 측정하세요. 이는 후속 조치가 필요한 약점을 식별하는 데 도움이 됩니다. 이사회 및 고위 경영진 차원에서, 공격이 발생할 경우에 대비해 모든 구성원이 보안 전략을 숙지할 수 있도록 최소한 1년에 한 번씩 모의 훈련을 실시해야 합니다.
주목해야 할 기타 취약점
원격 근무 및 BYOD(Bring Your Own Device) 정책으로 전환함에 따라 모바일 엔드포인트 장치에 대한 공격이 증가했습니다. 보호되지 않은 RDP(Remote Desktop Protocol) 및 가상 데스크톱 엔드포인트, 그리고 잘못된 네트워크 구성은 랜섬웨어 공격을 초래할 수 있는 취약점을 만들어 냅니다. 보안을 잘못 적용한 엔드포인트 장치는 Wi-Fi 해킹 및 MITM(Man-in-the-Middle) 공격에 취약하여 회사의 네트워크와 민감한 데이터를 노출시킬 수 있습니다.
RDP는 두 번째로 많이 악용되는 랜섬웨어 공격 벡터이며, 흔히 공격자가 회사 네트워크에 은밀하게 액세스하기 위해 사용합니다. RDP 연결에 대한 보안은 명시적으로 설정할 수 있음에도 불구하고, 이 연결은 약한 암호로 보호되는 경우가 많고 종종 보안이 취약한 일반적인 기본 표준 포트를 사용합니다. RDP 크리덴셜은 다크 웹에서도 구입할 수 있으며, 크리덴셜을 획득한 해커는 엔드포인트 보안을 우회하여 회사 시스템에 액세스할 수 있습니다.
퓨어스토리지 솔루션으로 데이터 보호하기
시스템을 모든 보안 위협으로부터 보호하기는 어렵습니다. 하지만, 랜섬웨어 공격을 초래하는 일반적인 취약점을 알면 올바른 계획을 세우는 데 도움이 될 수 있습니다. 이로써 공격이 발생하기 전에 위험을 최소화할 수 있습니다.
퓨어스토리지는 “공격 전” 단계에서 다음과 같이 도움을 줄 수 있습니다.
- 대규모 분석 데이터 풀에 대한 액세스 및 고속 분석 처리 기능을 제공하여 위협 식별 지원
- 내부적 관리 오류로부터 보호
아래 유용한 자료를 통해 다음 단계를 수행하기 위한 자세한 정보와 지침을 확인해보세요.
- 해커가 직접 알려주는 랜섬웨어 예방 및 복구 가이드 – Andy Stone, Hector Monsegur(LulzSec 및 Anonymous 해킹 그룹 전 멤버) 작성
- CISO에게 물어야 할 10가지 질문(영문자료)
공격 발생 중/발생 후를 중심으로 위협과 보호 기능에 대해 설명하는 2부와 3부를 기대해주세요.
- https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/wannacry-ransomware-attack