랜섬웨어 대응을 위한 4가지 핵심 전략

랜섬웨어는 데이터를 암호화한 뒤, 몸값이 지불될 때까지 접근을 차단하는 악성 소프트웨어입니다. 기업의 규모와 관계없이 심각한 위협이 될 수 있으며, 이러한 위협에 효과적으로 대응하려면 체계적인 완화 전략이 필요합니다.

헬스케어 산업에서만도 지난 6년간 랜섬웨어로 인한 다운타임 손실이 약 220억 달러에 달합니다. 나아가, 전 세계적으로 랜섬웨어로 인한 피해 비용은 2031년까지 2,650억 달러에 이를 것으로 전망됩니다.

랜섬웨어를 완전히 차단할 수 있는 방법은 없지만, 발생을 예방하고 피해를 최소화하기 위한 방법은 적지 않습니다. 이번 글에서는 랜섬웨어 완화 전략의 종류와 원리, 그리고 이를 효과적으로 구현하기 위해 필요한 기술에 대해 살펴보겠습니다.

랜섬웨어의 작동 방식 이해하기

랜섬웨어는 사이버 범죄자들이 피해자의 데이터에 대한 접근을 차단하거나 암호화한 뒤, 복구를 대가로 암호화폐를 요구하는 악성 소프트웨어입니다. 랜섬웨어 공격은 주로 피싱 이메일, 악성 파일 다운로드, 또는 소프트웨어 취약점 악용을 통해 시작됩니다. 일단 실행이 되면, 네트워크 전반으로 빠르게 퍼져 업무를 마비시킬 수 있습니다.

가장 흔하게 나타나는 랜섬웨어 유형은 다음과 같습니다.

• 암호화 랜섬웨어: 파일을 암호화한 뒤, 복호화 키를 받기 위해 몸값을 요구하는 방식으로, 가장 파괴적인 유형 중 하나입니다.
• 로커 랜섬웨어: 파일을 암호화하지는 않지만, 사용자가 장치에 접근하지 못하도록 시스템 전체를 잠가버리는 방식입니다.
• 이중 갈취 랜섬웨어: 공격자는 데이터를 암호화할 뿐만 아니라, 몸값을 지불하지 않으면 민감한 정보를 유출하겠다고 협박합니다.

랜섬웨어 대응 전략이 중요한 이유

랜섬웨어 공격은 기업의 규모와 관계없이 막대한 피해를 초래할 수 있어, 선제적 대응이 필수입니다. 사이버 범죄자들은 보안이 취약한 조직을 노려, 고액의 몸값을 요구하려는 시도를 점점 늘리고 있습니다. 이에 대한 대응 전략이 없다면, 기업은 심각한 운영 마비는 물론 장기적인 피해까지 감수해야 할 수 있습니다.

랜섬웨어 공격이 발생하면 다음과 같은 피해로 이어질 수 있습니다.

• 재정적 손실: 2023년 한 해에만 랜섬웨어로 인해 기업들이 입은 피해액은 10억 달러에 달했습니다.
• 데이터 손실: 중요한 데이터가 암호화되거나 파괴된 상황에서, 백업마저 부족하거나 손상됐다면 손실은 영구적일 수 있습니다.
• 평판 손상: 고객과 파트너가 정보 보호 역량에 의문을 갖게 되면, 신뢰가 흔들리고 장기적인 관계나 시장에서의 평판에도 타격을 입을 수 있습니다.

또한 GDPR, HIPAA, CCPA와 같은 규제는 데이터 보호에 대한 매우 엄격한 기준을 요구합니다. 이러한 상황에서 데이터 유출로 이어지는 랜섬웨어 공격은 막대한 벌금은 물론, 법적 제재까지 초래할 수 있습니다.

랜섬웨어 피해를 줄이기 위한 핵심 전략

기업이 지금 바로 실천할 수 있는 효과적인 랜섬웨어 대응 전략은 다음과 같습니다.

1. 정기적인 데이터 백업

데이터를 백업하지 않는다면, 기업은 랜섬웨어에 무방비 상태로 노출될 수 있습니다. 정기적인 데이터 백업은 효과적인 랜섬웨어 대응 전략의 핵심입니다. 공격이 발생하더라도, 최신 백업이 있다면 중요한 데이터를 복구할 수 있어 몸값 요구에 굴복하지 않아도 됩니다. 이로써 다운타임과 재정적 손실, 운영 중단 등의 피해를 최소화할 수 있습니다.

데이터 백업의 효과를 극대화하려면, 다음과 같은 모범 사례를 참고해 보세요.

• 백업 주기: 데이터의 중요도에 따라 매일 또는 그보다 더 자주 백업을 수행해야 합니다. 백업 주기를 잘 유지하면, 공격이 발생하더라도 데이터 손실을 최소화할 수 있습니다.
• 스토리지 위치: 3-2-1 원칙을 따르는 것이 좋습니다. 데이터는 총 3개의 복사본(운영본, 로컬 백업, 외부 백업)으로 보관하고, 서로 다른 두 가지 저장 매체에 분산하며, 이 중 하나는 외부나 클라우드에 보관해야 합니다.
• 백업 점검: 백업이 실제로 복구 가능한지 주기적으로 테스트해 무결성을 확인하고, 필요할 때 빠르게 복구할 수 있는지 점검해야 합니다.
• 암호화 및 접근 제어: 백업 데이터를 암호화해 무단 접근을 막고, 신뢰할 수 있는 인원에게만 접근 권한을 부여해야 합니다.

퓨어스토리지 플래시블레이드(FlashBlade)는 시간당 최대 270TB의 데이터 복구 성능으로, 운영 환경과 개발/테스트 워크로드에 신속한 복구를 제공합니다.

2. 직원 대상 보안 교육과 인식 강화

사이버 공격은 대부분 인적 오류에서 시작되기 때문에, 직원 교육은 랜섬웨어 대응에 있어 핵심적인 요소입니다. 직원들이 랜섬웨어의 위협과 전술을 이해하면, 조직을 지키는 1차 방어선으로서 더욱 효과적으로 대응할 수 있습니다.

직원 교육에 반드시 포함해야 할 핵심 주제는 다음과 같습니다.

• 피싱 이메일 식별: 의심스러운 이메일, 링크, 첨부파일을 구분하는 방법을 익히고, 클릭 전에 발신자를 확인하는 습관의 중요성을 인식시켜야 합니다.
• 안전한 인터넷 사용 습관: 안전한 웹사이트 접속, 강력한 비밀번호 설정, 파일 다운로드나 낯선 사이트 접속 시 주의하는 습관을 생활화 할 수 있도록 교육해야 합니다.
• 사고 보고: 보안 위협이 의심될 경우, 이를 즉시 IT 팀에 보고해야 한다는 점을 직원들에게 명확히 인식시켜야 합니다.
• 다중 인증(MFA)의 사용: MFA는 무단 접근으로부터 계정을 보호하는 데 중요한 보안 수단이며, 이를 통해 추가적인 안전 장치를 마련할 수 있다는 점을 인식시켜야 합니다.

직원 교육을 전체 랜섬웨어 대응 전략에 통합하면, 구성원들이 평소에도 경각심을 유지하고 상황에 능동적으로 대처할 수 있게 됩니다. 이를 통해 공격 성공률을 낮추고, 조직 전반의 보안 수준도 한층 강화할 수 있습니다.

3. 네트워크 세분화

네트워크 세분화는 네트워크를 더 작은 단위로 나누고, 각 세그먼트에 별도의 보안 제어를 적용하는 방식입니다. 이런 구조는 한 구간이 침해되더라도 악성코드 확산을 막고, 중요한 데이터를 보호할 수 있어 랜섬웨어 대응에 매우 효과적입니다.

네트워크 세분화를 올바르게 구현하기 위해서는 몇가지 확인이 필요합니다.

1. 네트워크 평가 및 매핑: 모든 자산, 애플리케이션, 데이터 흐름을 식별해 각각이 어떻게 연결되고 작동하는지 전체 구조를 명확히 파악해야 합니다.
2. 세분화 정책 수립: 자산을 민감도와 기능별로 분류하고, 그에 맞는 접근 제어 정책을 적용해야 합니다.
3. 가상 LAN(VLAN) 및 서브넷 구현: 네트워크 내부를 논리적으로 분리하기 위해 VLAN과 서브넷을 활용해 각 세그먼트를 독립적으로 구성합니다.
4. 방화벽을 통한 접근 제어: 세그먼트 간 트래픽 흐름을 제어할 수 있도록 방화벽을 설정하고, 승인된 트래픽만 오갈 수 있도록 규칙을 적용해야 합니다.
5. 제로 트러스트 원칙 적용: 세그먼트에 접근하는 모든 디바이스와 사용자는 반드시 검증 절차를 거쳐야 하며, 이를 통해 공격자의 침입 가능성을 최소화할 수 있습니다.
6. 테스트와 모니터링: 세분화 정책이 제대로 작동하는지 지속적으로 점검하고, 이상 징후나 설정 오류가 있는지 트래픽을 모니터링해야 합니다.

4. 사고 발생 시 대응 체계 마련

사고 대응 계획 수립은 사이버 복원력 확보의 핵심 요소입니다. 랜섬웨어 공격을 조기에 탐지하고 신속하게 대응하며, 피해에서 빠르게 복구할 수 있도록 체계적인 절차를 마련해줍니다. 명확한 대응 계획이 없다면, 기업은 위기 상황에서 봉쇄와 복구가 늦어져 장시간의 업무 중단은 물론, 더 큰 재정적 손실과 평판 훼손으로 이어질 수 있습니다.

효과적인 사고 대응 계획의 핵심 요소는 다음과 같습니다.

• 역할과 책임 구분: 격리, 커뮤니케이션, 포렌식 분석 등 각 업무를 팀원별로 명확히 나누어, 상황 발생 시 신속하고 유기적인 대응이 가능하도록 해야 합니다.
• 커뮤니케이션 체계 마련: 사고 발생 시 이해관계자, 고객, 관계 기관에 어떻게 알릴지에 대한 내부·외부 커뮤니케이션 절차를 미리 정해두고, 대응 과정에서 기밀이 유지되도록 해야 합니다.
• 격리 및 확산 방지 조치: 감염된 시스템을 신속히 격리해 랜섬웨어가 다른 네트워크로 퍼지는 것을 막고, 영향을 받은 기기에서는 악성코드를 철저히 제거해야 합니다.
• 복구 절차 수립: 백업을 활용해 시스템과 데이터를 복원하고, 복구된 정보의 무결성을 검증한 뒤 정상 운영을 신속히 재개할 수 있도록 절차를 마련해야 합니다.
• 법적 및 규제적 고려사항: 사고 발생 시 보고 의무와 민감한 데이터 관리에 필요한 법적·규제 기준을 사전에 숙지하고, 대응 절차에 이를 반드시 반영해야 합니다.
• 정기적인 점검과 최신화: 사고 대응 계획은 주기적으로 모의 훈련이나 랜섬웨어 시뮬레이션을 통해 테스트하고, 그 과정에서 드러난 취약점을 보완해야 합니다. 또한, 새로운 보안 위협과 기술 변화, 조직 개편 등을 반영해 계획을 지속적으로 업데이트해야 합니다.

결론

랜섬웨어 공격은 여전히 기업을 위협하는 대표적인 사이버 위협 중 하나이며, 이에 대응하기 위한 완화 전략은 비즈니스 보안의 최우선 과제로 떠오르고 있습니다. 정기적인 데이터 백업, 직원 교육, 강력한 보안 조치, 네트워크 세분화, 체계적인 사고 대응 계획 등 핵심 전략을 마련해야만 위협에 흔들리지 않는 복원력을 갖출 수 있습니다.

기업은 이러한 조치를 정기적으로 점검하고 최신 상태로 유지하는 등 선제적으로 대응함으로써, 랜섬웨어 공격의 영향을 최소화하고 운영, 데이터, 평판을 효과적으로 보호할 수 있습니다.

공격이 발생한 후에 대응하려고 하기보다,
지금 바로 랜섬웨어 대응 전략을 실행해 조직의 미래를 지킬 준비를 시작하세요.

White Paper, 7 pages

Learn What’s Helping CISOs Sleep Better at Night

And how you can too.

Read the Report