랜섬웨어 감옥에서 탈출하기: 공격 이전, 도중, 이후에 해야 할 일

랜섬웨어 공격으로 랜섬을 지불하는 일이 생기지 않으려면 어떻게 해야 할까요? 공격 전, 중, 후에 어떤 조치를 취할 수 있는지 알아보세요.

Ransomware

랜섬웨어는 새롭게 등장한 위협은 아니지만, 현재 전성기를 누리고 있습니다. 블록체인 분석 기업 Chainalysis 보고서(영문자료)에 따르면, 2021년 미국 내 랜섬웨어 피해자들은 공격자들에게 거의 6억 2백만 달러(한화 약 8천억 원)를 지급했습니다. 사이버 보안 기업 SonicWall의 2022년 사이버 위협 보고서에 따르면, 2021년에는 전 세계적으로 6억 2,330만 건의 랜섬웨어 공격이 발생했습니다. 이는 2020년에 비해 105% 증가한 수치로, 2019년 이후 3배 이상 늘어난 것입니다. 랜섬웨어가 최근에 폭발적으로 증가하는 데는 여러 이유가 있습니다. 그 중 한 가지 요인은 2020년에 원격 근무로의 대대적인 전환이 있었고, 이후 조직들이 하이브리드 업무 방식을 지속적으로 유지하고 있기 때문입니다. 미국 최대의 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)의 해커(영문자료)들은 보호되지 않은 가상 사설망(VPN)을 사용해 파이프라인 시스템에 침입한 것으로 알려졌습니다. 이 해킹으로 콜로니얼 파이프라인은 많은 비용을 지출했고, 동부 해안에 연료 부족이 야기되었습니다.

암호화폐는 랜섬웨어의 급증을 야기한 또 다른 요인입니다. 랜섬웨어 공격자들은 많은 범죄자들과 마찬가지로 블록체인 기반 통화를 지급 수단으로 선호합니다. 암호화폐는 트랜잭션이 빠르게 이뤄질 수 있고, 가명으로 처리되기 때문에, 트랜잭션을 추적하는 것이 불가능에 가깝습니다.

또한 전 세계의 불안정한 정치적 상황도 랜섬웨어 공격의 증가에 한 몫을 했습니다. 올해 코스타리카는 러시아와 우크라이나의 전쟁과 관련해 수차례 공격의 희생양(영문자료)이 되었습니다. 이번 공격으로 정부 서비스가 마비되고 국제 무역 문제가 발생했으며, 대통령이 비상사태를 선포하기까지 했습니다.

공격이 증가하는 또 다른 이유는 무엇일까요? 이제는 랜섬웨어 공격을 감행하는 것이 매우 쉬워졌습니다. 다크 웹은 2021년 7월 전 세계 1,500개 기업을 겨냥한 글로벌 공격의 배후인 서비스형 랜섬웨어(RaaS) ‘공급업체들’의 본거지입니다. 이 공급업체들은 사이버 공격을 감행하려는 사람에게 악성 소프트웨어 키트와 서비스를 판매하거나 임대하며, RaaS 비즈니스 모델은 기업으로서 랜섬웨어 공격을 하려는 사이버 범죄자들을 위한 효율적인 도약대가 되고 있습니다. 보안 기업 TrendMICRO는 최근 LockBit, Conti, BlackCat 같은 RaaS 및 갈취 그룹의 수(영문자료)가 2022년 1분기에 2021년 동기 대비 63.2% 증가한 것으로 보고했습니다.

IT 환경의 오랜 문제를 겨냥하는 랜섬웨어 공격

랜섬웨어는 번창하며 빠르게 성숙하고 있는 비즈니스입니다. 미국 백악관은 기업들에게 랜섬웨어 활동이 더 늘어날 전망이므로 만전의 대비를 해야 한다(영문자료)고 경고했습니다. 영국 국립 사이버 보안 센터(NCSC)의 린디 카메론(Lindy Cameron) 소장도 최근 대서양 전역의 조직과 시민들에게 비슷한 경고를 했습니다. 카메론은 랜섬웨어가 영국 국익에 대한 가장 큰 사이버 보안 위협(영문자료)이라고 경고했습니다.

적어도 단기적으로는 랜섬웨어의 성장 속도를 늦추는 것이 불가능하므로 이러한 경고에 주의를 기울이는 것이 좋습니다. 최근 퓨어스토리지의 커피 브레이크 세션 ‘랜섬웨어 감옥에서 탈출하기: 공격 이전, 도중, 이후에 해야 할 일’에서, 퓨어스토리지의  앤디 스톤(Andy Stone) CTO와 예방, 방어 및 대응 방법에 대해 이야기를 나눌 기회가 있었습니다.

랜섬웨어는 현대 IT의 핵심인 비효율성과 어깨를 나란히 하는 중요한 문제입니다. 오늘날 어떤 조직도, 특히 레거시 구성 요소로 가득 찬 복잡한 IT 환경을 운영한다면 모든 것이 완벽하게 보호되고 있다고 확신할 수 없습니다. 데이터와 관련해서는 더욱 그러합니다.

대부분의 사이버 위협과 마찬가지로 랜섬웨어는 레거시 IT의 취약점과 기타 보안 허점을 공격하고 악용합니다. 랜섬웨어 공격자는 몰래 시스템에 침입하고 평균 40일 정도를 기다렸다가 데이터를 암호화한 후 금전적 대가를 요구합니다. 이러한 악의적 행위자들은 백업 손상, 스냅샷 삭제 등의 방법으로 공격을 받은 조직이 랜섬 지불을 거부할 수 없게 만듭니다.

시스템 업데이트와 패치 적용, 네트워크 분할, 실행 가능한 인시던트 대응 계획 생성 및 테스트 등 대부분의 기본적인 조치로 조직은 랜섬웨어라는 감옥에 갇히는 것을 방지할 수 있습니다. 깨끗한 상태를 유지한다는 것은 달성하기 쉽지 않은 목표이며, 까다롭고 비용도 많이 듭니다. 그러나 이러한 상태를 유지해야 공격에 쉽게 노출되지 않습니다. (앤디 스톤의 블로그 글은 랜섬웨어 위협을 방어하기 위한 다계층 방어 구축(영문자료)에 대한 기본적인 내용을 다룹니다.)

또 다른 핵심적인 보안 구성 요소는 전체 환경에서 일관된 로깅을 유지하는 것입니다. 신속한 백엔드에 이벤트를 기록하면, 악의적 행위자가 대대적인 공격을 감행하기 전에 위협 탐지자의 분석과 활동을 가속화하고, 공격을 받는 경우 정확한 복원 지점을 확보할 수 있습니다.

하지만 랜섬웨어 공격자를 상대로 조직이 행사할 수 있는 가장 중요한 무기는 공격 후 신속한 복구를 실행하는 것입니다. 랜섬웨어 공격은 여전히 비즈니스에 영향을 미치고 지장을 주겠지만, 복구 속도를 높이면 영향력이 큰 위협에 맞서 조직, 재정 및 평판과 관련된 문제를 줄일 수 있습니다.

간단함과 불변성이 포함된 신속한 복구

랜섬웨어 공격을 받는 경우, 데이터 보호 기능을 100% 확신할 수 있어야 합니다. 백업 또는 데이터 보호 방법이 손상되거나 삭제되었을 가능성이 전혀 없어야 한다는 말입니다. 이러한 신뢰는 데이터를 안전하게 유지하는 데 수반되는 복잡성을 제거해주는 현대적 데이터 보호를 구현하는 데서 비롯됩니다. 이러한 기반은 필요할 때 신속하게 데이터를 복구하고 중요한 데이터가 실제로 보호되고 있다는 사실에 안심할 수 있게 해줍니다.

계층형 아키텍처를 사용하면, 데이터를 보호하고 수명 주기 전반의 복구를 지원하여 복구력을 구축하고 잠재적인 공격의 영향을 줄일 수 있습니다.

서로 다른 기업에서 발생한 랜섬웨어 공격에 대한 가상 시나리오를 확인해 보세요. 현대적인 보안 프레임워크가 어떤 차이를 만들 수 있는지 보여줍니다.

백업 데이터와 백업 메타데이터의 불변성은 신속한 복구를 위해 반드시 필요합니다. 불변성이 보장되면 중요한 데이터를 언제든지 복원할 수 있습니다. 데이터를 변경할 수 없는 상태로 만드는 데 중요한 것은 수정, 암호화 또는 삭제할 수 없는 스냅샷을 사용하여 파일을 자주 백업하는 것입니다.

세이프모드(Safemode™) 스냅샷(영문자료)은 스냅샷의 불변성을 한 단계 더 끌어 올립니다. 공격자가 관리자 크리덴셜을 훼손한 경우에도 스토리지 어레이에서 데이터를 최종적으로 삭제하지 못하도록 방지해줍니다.

세이프모드는 비즈니스에 핵심적인 데이터를 보호하기 위해 권한을 분리하는 하나의 형식이라고 생각할 수 있습니다. 이 기능은 사용 권한 ’에어 갭(영문자료)’ 또는 주요 제어 기준의 논리적 분리를 제공합니다. 몇 번의 클릭만으로 빠르게 대규모로 데이터를 복원할 수 있습니다. 백업에는 시간이 걸릴 수 있지만, 스냅샷은 수 밀리 세컨(1,000분의 1초) 내에 복구할 수 있습니다. (블로그 글을 통해 스냅샷이 미국 대도시의 한 병원이 랜섬웨어 공격으로부터 신속하게 복구하는 데 어떤 도움을 주었는지 알아보십시오.)

세이프모드는 퓨어스토리지 플래시블레이드(FlashBlade)플래시어레이(FlashArray)에서 추가 비용 없이 사용할 수 있는 기능입니다. 짧은 데모 영상을 통해 세이프모드의 이점에 대해 자세히 알아보세요.

기억해야 할 사항: 피해 복구에는 시간이 소요됩니다

한 시간의 가동 중단으로 수백만 달러의 비용이 발생할 수 있습니다. 랜섬웨어 공격으로부터 데이터를 백업하고 복구할 수 있는 기능은 반드시 필요하며, 신속하게 복구할 수 있도록 선제적인 조치를 취해야 합니다. 공격을 받은 후 신속하게 대처할 수 없고, 복구를 위해 몇 주 이상 기다릴 여유가 없다면, 절망적인 상황이 되어 어쩔 수 없이 공격자에게 랜섬을 지불해야 할 것입니다. 안타깝게도, 랜섬을 지불하고 받은 암호 해독 툴도 실행하는 데 며칠 또는 몇 주가 걸릴 수 있습니다.

이러한 상황에 놓이면 안 됩니다. 그리고 정부 또한 이를 원치 않습니다. 랜섬웨어 공격이 증가하는 가운데, 미국 재무부와 해외자산통제국(OFAC)은 제재 대상인 랜섬웨어 공격자에게 랜섬을 지불하는 것은 불법이라고 기업들에게 조언했습니다. 기업은 공격자에게 랜섬을 지불하는 것 이외에도 정부에 벌금을 내야 합니다.

Cohesity 기반의 퓨어스토리지의 플래시리커버(FlashRecover™)와 래피드 리스토어(Rapid Restore) 등의 솔루션은 이러한 모든 문제를 방지할 수 있도록 지원합니다. 이러한 솔루션은 보다 빠르게 비즈니스를 재개할 수 있도록 합니다. 퓨어스토리지의 플래시블레이드(FlashBlade)를 사용하면, 하루에 페타바이트 규모의 데이터를 복구할 수 있습니다. 랜섬웨어 공격이 특히 심각한 경우 데이터 복구 프로세스를 몇 차례 거쳐야 하며, 보안 팀은 루트킷을 제거하고 취약점을 해결하며, 다른 정리 작업을 수행해야 합니다.

랜섬웨어 공격을 받을 경우, 철저한 복구 작업이 절대적으로 필요합니다. 최근의 한 연구에 따르면, 두 번째 랜섬웨어 공격 이후 랜섬을 지불한 80%의 조직 중 거의 절반(46%)이 첫 번째 공격을 수행한 해커로부터 두 번째 공격(영문자료)을 받은 것으로 나타났습니다.

랜섬웨어는 쉽게 사라지지 않을 것입니다. 공격은 만일이 아니라 언제 발생하느냐의 문제입니다. 사이버 공격에 만반의 준비를 하고 항상 대비 상태를 유지해야 합니다. 데이터 보호에 보다 간단하고 견고하며 신뢰할 수 있는 현대적 접근 방식을 취해 얻을 수 있는 복구력은 랜섬웨어로 인한 비즈니스 중단을 방지해주는 강력한 해결책입니다. 또한 기업이 랜섬웨어 감옥에서 탈출하는 데 도움을 줄 수 있습니다.

온디맨드 퓨어//액셀러레이트(Pure//Accelerate) 세션(영문자료) 확인해보세요!

Service Provider
기고

2부: 데이터센터 활용도 높이는 법

고효율 데이터센터는 실제로 존재합니다. 관리형 서비스 제공업체와 클라우드 하이퍼스케일러는 수년간 이러한 방식으로 운영되어 왔습니다. 어떻게…

By Don Poorman