2021년에는 랜섬웨어 공격이 거의 두 배(영문자료)가 증가했으며, 앞으로도 큰 폭으로 증가할 전망입니다. 공격 대상이 확장되고 있고 공격자는 더 교묘해졌으며(영문자료), 금전적 대가를 지불한다고 랜섬웨어의 악몽이 끝나는 것이 아닙니다(영문자료).
랜섬웨어 전략이 마련되어 있음에도 불구하고 완전하게 준비를 갖췄다고 자신할 수 있는 대규모 조직이 거의 없는 이유도 이 때문입니다.
공격에 가장 잘 준비가 되었다고 자신하는 조직들에서 사용하는 모범 사례와 전략을 파악하기 위해, IT 분석 기업 ESG(Enterprise Strategy Group)는 최근 북미(미국 및 캐나다) 및 서유럽(영국, 프랑스 및 독일)의 중견(직원 100~999명) 및 대기업(직원 1,000명 이상)에서 근무하는 IT 및 사이버 보안 담당자 620명을 대상으로 랜섬웨어 공격 방어와 관련된 기술 및 프로세스와 관련해 설문 조사를 실시했습니다.
보고서를 다운로드(영문자료)하여, 조사 결과를 살펴보고 조직을 가장 잘 보호하기 위해 어떤 일을 할 수 있는지 아래 내용을 확인해보세요.
랜섬웨어 공격자들이 선호하는 새로운 타깃 – IT 시스템
스토리지와 클라우드는 이제 랜섬웨어 공격의 가장 일반적인 타깃이 되었습니다. 취약한 소프트웨어와 잘못된 설정이 가장 널리 악용되는 진입점입니다.
스토리지 시스템과 클라우드가 가장 일반적인 타깃이지만, 네트워크와 IT 인프라, 특히 데이터 보호 인프라도 타깃 목록에 포함되어 있습니다. 랜섬웨어 공격으로 피해를 입은 설문 응답자의 절반 이상이 민감한 인프라 구성 데이터가 공격에 관련되었다고 말했습니다.
사이버 범죄자들은 비즈니스를 완전히 무너뜨린다는 목적으로 IT 인프라의 전체 또는 일부를 비활성화시켜 IT와 비즈니스 운영을 방해합니다.
주요 예방 전술은 백업 복사본 보호
기업이 데이터를 복구할 수 있는 능력이 있으면 랜섬을 지불할 이유가 없어질 수 있다는 사실을 공격자들도 알고 있기 때문에, 주로 백업 워크로드와 프로세스를 타깃으로 삼아 이러한 방어 체계를 무력화시킵니다. 결과적으로 백업 보호는 더 이상 ‘있으면 좋은 것’이 아니라 ‘필수적인 것’이 되었습니다. 대부분의 조직은 백업 복사본의 취약성에 대해 크게 우려하고 있으며, 많은 조직에서 백업 인프라를 보호하기 위해 보안 통제와 함께 백업 복사본의 유효성을 검사하는 서드파티 툴을 사용하고 있습니다.
이상적으로는 모든 조직이 모든 백업을 보호해야 합니다. 그러나 설문 응답자의 49%만이 조직에서 모든 백업 복사본에 대해 추가 조치를 취하고 있다고 대답했습니다.
랜섬웨어 대비는 팀 스포츠
랜섬웨어에 대한 대비는 조직적인 투자가 필요하며 IT, 보안, 데이터 보호 팀 등 다양한 부서가 힘을 합쳐야 합니다. 설문 응답자의 대다수는 중앙화된 랜섬웨어 예산을 보유하고 있고 추가적으로 투자를 하고 있다고 말했습니다. 그러한 투자의 일부는 위기가 닥쳤을 때 즉각 조치를 취할 수 있는 다양한 팀의 팀원들로 구성된 비상 대응 팀(영문자료)을 구축하는 것입니다.
조직들은 또한 데이터 복구 테스트, 직원 보안 인식 교육, 침투 테스트 및 대응 태세 평가를 비롯한 다양한 수집 준비 활동에 투자를 사용합니다.
에어 갭을 구현한 조직은 많지 않지만, 에어 갭(air gapping)이 반드시 필요할까요?
설문 응답자의 30%만이 운영 네트워크와 백업 네트워크를 분리함으로써 랜섬웨어의 영향을 완화하기 위해 에어 갭 솔루션을 배포했다고 말했습니다.
에어 갭의 개념은 공격자가 백업에 접근할 수 없도록 만드는 것입니다. 하지만 에어 갭이 정말 해답이 될 수 있을까요(영문자료)? 에어 갭은 다음과 같은 방법으로 보호를 강화할 수 있습니다.
- 기존 백업 아키텍처보다 더 나은 보안을 제공합니다.
- 멀웨어의 확산을 제한합니다.
- 해커가 에어 갭 데이터에 액세스하기 어렵게 만듭니다.
- 공격으로부터 복구할 가능성을 높이고 공격 후 손상되지 않은 데이터를 더 쉽게 복구할 수 있습니다.
그러나 에어 갭은 유지 관리가 많이 필요하고 구현과 운영에 높은 비용이 들며, 공격을 100% 막을 수는 없을 뿐더러 쉽게 확장할 수 없고, 내부 위협(영문자료) 문제를 해결할 수 없습니다.
퓨어스토리지는 현대적이고 훨씬 더 간단하며 빠른 가상 에어 갭 접근 방식을 취합니다. 세이프모드(SafeMode, 영문자료)는 사람이 수동으로 시도를 하든, 프로그래밍 방식을 사용하든지에 상관없이, 스냅샷을 삭제할 수 없는 안전한 영역을 생성합니다.
조직들이 복구 시간을 자주 충분히 테스트하고 있을까요?
물론 빠른 데이터 복구가 랜섬웨어 대비에서 핵심적인 부분입니다. 랜섬웨어의 경우, 복구가 백업의 역할을 합니다(영문자료). 그러나 설문 조사에 참여한 조직의 41%만이 일주일에 한 번 이상 테스트를 수행하고 있습니다. 이는 현재 유입되는 공격을 고려할 때 간격이 너무 깁니다.
이는 랜섬웨어 데이터 복구가 ‘일반적인’ 복구만큼 간단하지 않고 다양한 유형의 공격에 대한 계획이 어렵기 때문일 수 있습니다. 그러나 조직은 테스트를 최대한 자주 수행해야 합니다.
위에서 언급한 모든 사항은 끊임없이 진화하는 랜섬웨어의 주요 트렌드입니다. 보호해야 할 귀중한 정보가 있는 조직이라면 주목해야 합니다.
자세한 내용을 확인하려면, 지금 ESG eBook을 다운로드하세요(영문자료).
