랜섬웨어는 공격자의 요구를 받아들이지 않으면 피해자의 데이터에 대한 액세스를 차단하거나 중요 데이터를 공개하겠다고 협박하는 일종의 악성 소프트웨어입니다. 랜섬웨어는 컴퓨터 파일을 암호화하여 작동합니다. 사용자는 요청된 몸값을 지불해야 하며, 그렇지 않으면 상당한 후폭풍을 감당해야 합니다.
디지털 시스템과의 상호작용 및 그에 대한 의존도가 증가하면서 민감한 데이터의 가치도 커지고 있습니다. 일부 사이버 범죄자들이 데이터를 몰래 훔쳐 팔거나 사용하는 데 더 관심이 있다면, 어떤 사이버 범죄자들은 이를 인질로 삼기도 합니다. 외부 위협 행위자가 시스템, 데이터, 애플리케이션 등을 통제한 상황에서 사용자에게 제어권을 되찾으려면 비용을 지불하도록 협박하는 것을 랜섬웨어 공격이라고 합니다.
유감스럽게도 이런 종류의 사이버 범죄는 너무 흔합니다. 2020년에만 FBI의 인터넷 범죄 신고 센터에 2,500건에 가까운 랜섬웨어 공격이 접수되었고, 조정 손실액은 2,910만 달러 이상에 달했습니다. 2019년부터 2020년 사이에는 전 세계적으로 랜섬웨어 보고가 700% 이상 증가하면서 그 위험은 더욱 증가했습니다. 실제로 미국 시민, 비즈니스, 그리고 정부 부처에 대한 위험이 고조되는 가운데, 2021년 5월 바이든 행정부는 랜섬웨어에 대한 대응을 강화하기 위한 세부 사항, 연방 정책 및 베스트 프랙티스를 제공하는 행정 명령(국가 사이버 보안 향상)을 발표했습니다.
랜섬웨어의 위협은 인터넷 시대의 사이버 보안에 대한 가장 큰 위협 중 하나로 인식되고 있지만, 실제로 랜섬웨어의 기원은 공개 웹이 릴리스되기 이전으로 거슬러 올라갑니다. 랜섬웨어는 복잡한 역사를 가지고 있으며 정보 기술의 발전과 함께 계속 진화해 왔습니다.
랜섬웨어가 중대한 위험 요소로 진화하는 데 기여한 주요 사건은 다음과 같습니다.
- 1989: AIDS 트로이 목마
PC 사이보그 바이러스라고도 알려진 AIDS 트로이 목마는 랜섬웨어의 초기 사례 중 하나입니다. 플로피 디스크를 통해 배포되었으며 감염된 컴퓨터의 잠금을 해제하려면 그 대가로 파나마에 있는 사서함으로 몸값을 보낼 것을 요구했습니다. - 2005: GPcode
GPcode 랜섬웨어는 랜섬웨어 공격의 부활을 의미했습니다. 강력한 암호화 알고리즘을 사용했으며 암호 해독 키를 대가로 몸값을 요구했습니다. 이 버전은 랜섬웨어가 심각한 문제가 될 가능성이 있음을 시사했습니다. - 2013: CryptoLocker
CryptoLocker는 랜섬웨어의 역사를 뒤흔든 획기적인 사건이었습니다. 강력한 비대칭 암호를 사용하여 몸값을 지불하지 않고는 파일 복구가 거의 불가능해졌습니다. 사이버 범죄자들이 비트코인으로 몸값 지불을 요구하면서, 추적하기가 더 어려워졌습니다. - 2016: Locky 및 Cerber
Locky 및 Cerber와 같은 랜섬웨어 캠페인은 악성 이메일 첨부 파일 및 취약성 공격 키트와 같은 정교한 배포 방법을 사용하여 전 세계적으로 수많은 장치를 감염시켰습니다. 이 사건으로 랜섬웨어 공격 이면에 있는 금전적 동기가 다시금 확인되었습니다. - 2017: WannaCry
WannaCry 랜섬웨어는 150개 이상의 국가에서 수십만 대의 컴퓨터에 영향을 미쳤습니다. 이는 Microsoft Windows의 취약성을 악용한 대규모 글로벌 랜섬웨어 공격의 가능성을 보여주었습니다. - 2018: Ryuk
Ryuk 랜섬웨어는 조직에 대한 주요 위협으로 부상했습니다. 이는 TrickBot과 같은 다른 멀웨어에 의해 초기 손상된 후 배포되는 경우가 많았습니다. Ryuk은 랜섬웨어 공격에 조직화된 사이버 범죄 집단이 관여하고 있음을 입증했습니다. - 2019: Maze 및 RaaS(Ransomware-as-a-Service)
Maze 랜섬웨어는 사이버 범죄자들이 데이터를 암호화했을 뿐만 아니라 대가를 지불하지 않으면 데이터를 공개하겠다고 위협하는 '이중 갈취' 전술을 대중화했습니다. RaaS 모델을 사용하면 숙련도가 낮은 공격자도 숙련된 조작자의 서비스를 사용하여 랜섬웨어 공격을 더 쉽게 시작할 수 있습니다. - 2021: Colonial Pipeline 및 JBS
Colonial Pipeline 및 JBS 육류 가공과 같은 중요 인프라를 공격하여 세간의 이목을 집중시킨 이 공격은 랜섬웨어 인시던트로 인한 심각한 경제적, 사회적 혼란의 가능성을 보여주었습니다. - 2022년 이후: 최신 랜섬웨어
오늘날의 랜섬웨어는 더욱 정교해진 암호화를 사용하며 특정 산업을 대상으로 합니다. 무엇보다도 가장 우려되는 점은 최신 랜섬웨어가 AI 기술을 통합하여 고가치의 표적을 식별할 수 있는 지능형 머신 러닝(ML) 강화 공격을 생성하고, 기존의 방어 체계에 대응하도록 설계된 맞춤형 공격을 생성하기 시작했다는 것입니다.
안타깝지만 늘어나는 랜섬웨어의 위협으로부터 조직을 보호하는 것은 간단한 일이 아닙니다. 랜섬웨어 공격은 점점 더 정교해지고 있으며 표면적인 수준의 데이터보다 많은 대상을 목표로 삼고 있습니다. 대신, 새로운 랜섬웨어는 백업 데이터를 캡처하고 보관하며 심지어는 최고 수준의 관리 기능을 제어할 수 있도록 설계되었습니다. 이러한 공격은 종종 핵심 시스템을 완전히 손상시키는 것을 목표로 하는 대규모 전략에서의 단일 구성 요소로 활용되기도 합니다.
마찬가지로 위협 행위자 그 자체도 점점 더 복잡해지고 있습니다. 제한된 리소스로 운영하는 사이버 범죄자 개인으로 국한되지 않는 오늘날의 위협에는 조직적이고 자금이 풍부한 그룹, 기업의 후원을 받는 산업 스파이 팀, 심지어 적대적인 외국 정부 기관까지 포함됩니다.
이러한 사이버 공격의 보편성과 다양성을 고려할 때 전 세계 기업은 디지털 시대의 강탈 랜섬웨어의 희생양이 되는 심각한 위험에 처해 있습니다.
다른 악성 소프트웨어와 마찬가지로 랜섬웨어는 스팸 메일 첨부 파일을 통하거나, 도난당한 자격 증명을 이용하거나, 안전하지 않은 인터넷 링크를 통하거나, 손상된 웹 사이트를 통하거나, 심지어 다운로드 가능한 소프트웨어 번들의 일부로 숨기는 등 다양한 방법으로 네트워크에 침투할 수 있습니다. 일부 랜섬웨어는 내장된 소셜 엔지니어링 도구를 사용하여 사용자에게 관리 권한을 부여하는 것처럼 속이며, 기존의 보안 취약성을 악용하여 권한을 완전히 우회하려고 시도하는 경우도 있습니다.
네트워크에 침투하면 소프트웨어가 배포되어 백그라운드에서 일련의 명령을 실행합니다. 여기에는 주로 백업, AD(Active Directory), 도메인 이름 시스템(DNS), 저장소 관리자 콘솔과 같이 시스템을 제어하는 중요 관리 계정을 변환하는 과정이 포함됩니다. 그런 다음 멀웨어가 백업 관리 콘솔을 공격하여 공격자가 백업 작업을 끄거나 수정하고, 보존 정책을 변경하고, 인질로 삼을 가치가 있는 중요 데이터의 위치를 더 쉽게 찾아낼 수 있도록 합니다.
대부분의 경우 이 시점에서 멀웨어는 일부 혹은 모든 파일을 암호화하기 시작합니다. 해당 파일에 대한 액세스가 차단되면, 멀웨어는 자신들이 대상의 데이터를 소유하고 있으며 접근 권한을 되찾으려면 어떤 요구를 충족해야 하는지 알려주면서 대가를 받기 위해 정체를 드러냅니다. 다른 종류의 멀웨어(일반적으로 리크웨어라고 칭함)의 경우, 몸값을 지불하지 않으면 민감한 특정 데이터를 공개적으로 노출하겠다고 공격자가 협박할 수도 있습니다. 많은 경우, 데이터는 단순히 암호화되기만 하는 것이 아니라 복사 또는 도난당해 향후 범죄 활동에 이용되기도 합니다.
랜섬웨어는 다양한 형태로 나타나며, 각각 고유한 방법론과 목표를 가지고 있습니다. 효과적인 사이버 보안 에코시스템을 구축하려면 다양한 유형의 랜섬웨어를 이해하는 것이 중요합니다. 몇 가지 일반적인 유형은 다음과 같습니다.
암호화 랜섬웨어는 오늘날 가장 흔하게 발생하는 랜섬웨어 유형입니다. 이는 피해자의 파일을 암호화하거나 전체 시스템에 대한 접근을 차단하는 기능에서 이름을 따왔습니다. 피해자는 암호 해독 키를 받으려면 대가를 지불하라는 메시지를 받게 됩니다. 이러한 형태의 랜섬웨어가 매우 효과적인 이유는 많은 조직이 공격자의 뜻을 따르는 것이 가장 직접적이고 복잡하지 않은 해결책이라고 여기기 때문입니다. 그러나 일단 피해자가 요구에 응하면 공격자는 암호 해독 키를 제공하지 않고 더 많은 금액을 요구할 수도 있습니다. 암호화 랜섬웨어의 예로는 CryptoLocker와 Ryuk가 있습니다.
암호화 랜섬웨어보다는 위험하지 않지만 잠재적으로 불안하게 만드는 스케어웨어는 파일을 암호화하지 않고 대신 공포를 이용하여 피해자를 속입니다. 이러한 형태의 랜섬웨어는 감염된 시스템에 '컴퓨터에서 멀웨어가 발견되었다'거나 '불법 콘텐츠가 발견되었다'는 가짜 경고 또는 팝업 메시지를 표시합니다. 사용자는 가짜 보안 솔루션에 대한 비용을 지불하거나 다른 안전 조치를 취해야 한다는 요구를 받습니다.
스케어웨어의 예에는 피해자의 브라우저에 표시되는 가짜 광고나 팝업, 또는 무단 변경 등이 포함될 수 있습니다.
스크린 락커는 사용자를 장치나 운영 체제에 접근할 수 없도록 잠그고 화면에 몸값 메모를 표시하는 일종의 랜섬웨어입니다. 피해자는 대가를 지불할 때까지 자신의 데스크톱이나 파일에 액세스할 수 없습니다. 이러한 공격은 모바일 장치에서 더 흔하게 발생합니다. 스크린 락커는 피해자의 데이터를 암호화하는 대신 운영 체제를 재정의하여 승인된 사용자가 데이터에 액세스하지 못하도록 합니다.
스크린 락커의 예로는 법 집행 기관을 사칭하여 피해자를 불법 활동으로 고소하고 시스템의 잠금을 해제하려면 벌금을 지불하도록 유도하는 경찰 또는 FBI 사칭 랜섬웨어가 있습니다.
랜섬웨어 공격은 일반적으로 위에서 언급한 범주에 속하지만, 이러한 범주에는 각각 고유한 특징과 작동 방식을 가진 특정 랜섬웨어 변종이 다양하게 있습니다. 이러한 변종은 끊임없이 진화하므로 개인과 조직이 최신 위협에 대한 최신 정보를 확인하는 것이 중요합니다.
가장 주목할 만한 변종은 다음과 같습니다.
Ryuk은 기업, 의료 기관, 정부 기관 등 고가치의 대상을 표적으로 삼는 것으로 알려져 있습니다. 이는 다른 멀웨어(예: TrickBot)에 의한 손상이 일어난 후 배포되는 경우가 많습니다. Ryuk은 파일을 암호화하며, 주로 암호화폐로 막대한 몸값을 요구합니다.
앞서 언급했듯이, Maze는 공격자가 대가를 받지 못하면 사용자를 차단하고 민감한 데이터를 공개하겠다고 협박하는 이중 강탈을 시도하는 최초의 랜섬웨어 유형 중 하나였습니다. 이 변종은 그 정교함과 대기업의 파일 및 시스템을 손상시킨 규모 때문에 악명을 떨쳤습니다.
Sodinokibi라고도 알려진 REvil은 RaaS(Ransomware-as-a-Service) 모델로 유명합니다. 다른 사이버 범죄자가 수익 분담을 대가로 이 랜섬웨어를 사용할 수 있습니다. 이 변종은 조직을 표적으로 삼고 암호화하기 전에 광범위하게 데이터를 훔치는 경우가 많습니다.
Lockbit는 RaaS 모델을 사용하며, 파일을 암호화하고 암호 해독의 대가를 요구하는 또 다른 랜섬웨어 변종입니다. 이 변종에서 주목할 만한 점은 조직 전반에 걸친 상당한 양의 데이터를 신속하게 암호화하고, 탐지되기 전에 임무를 완수할 수 있다는 것입니다. Lockbit는 피싱 이메일과 취약한 원격 데스크톱 프로토콜(RDP) 연결을 통해 확산되는 경우가 많습니다.
DearCry는 2021년에 주목을 받은 비교적 최근에 등장한 랜섬웨어 변종입니다. 주로 Microsoft Exchange 서버와 Windows 시스템을 표적으로 하며, 파일을 암호화하고 승인된 사용자에게 액세스 권한을 반환하는 대가로 몸값을 요구합니다.
앞서 언급했듯이 사이버 공격에서 랜섬웨어의 사용은 계속 증가하고 있습니다. 이처럼 폭발적인 증가세는 다음과 같은 여러 요인 중 하나와 연관될 수 있습니다.
사이버 범죄자들이 높은 기술적 이해를 바탕으로 자체적으로 멀웨어 프로그램을 개발하는 것은 이미 오래전의 일입니다. 오늘날의 온라인 렌섬웨어 시장에서는 멀웨어 키트, 프로그램, 각종 변종이 거래되고 있으며 잠재적 범죄자가 사이버 공격 시작에 필요한 리소스에 쉽게 접근할 수 있습니다.
과거에는 랜섬웨어 제작자들이 표적으로 삼을 수 있는 플랫폼의 범위가 제한되어 있었으며, 다른 플랫폼을 공격하려면 그에 맞는 랜섬웨어 버전을 구축해야 했습니다. 하지만 이제는 일반적인 해석 프로그램(한 프로그래밍 언어에서 다른 프로그래밍 언어로 코드를 빠르게 변환할 수 있는 프로그램)을 사용하기 때문에 랜섬웨어가 기본적으로 다양한 플랫폼 전반에서 안정적으로 작동됩니다.
새로운 기술을 사용하는 위협 행위자는 시스템에 멀웨어를 더 쉽게 들여올 수 있을 뿐만 아니라 시스템 내부에 침투하면 이전보다 더 큰 피해를 입힐 수 있습니다. 예를 들어, 최신 랜섬웨어 프로그램은 개별 파일 뿐만 아니라 디스크 전체를 암호화하므로 시스템에서 사용자를 효과적으로 완전히 차단할 수 있습니다.
안타깝게도 모든 종류의 랜섬웨어 공격으로부터 조직을 완벽하게 보호할 수 있는 네트워크 보안에 대한 단일 접근 방식은 없습니다. 대신 효과적인 랜섬웨어 방어 전략에는 기존 IT 인프라와 내재된 모든 약점을 충분히 고려하고, 믿을 만한 백업 및 인증 절차를 구축하며, 보안 인식 강화를 위해 조직 내의 문화적인 변화를 장려하는 과정이 포함됩니다.
시작하려면 다음 단계를 고려하세요.
데이터를 백업할 때 단순한 네트워크 공유 프로토콜을 제거하고, 공격으로부터 백업 데이터와 관리자 콘솔을 보호하기 위해 실행 가능한 보안 기능을 구현합니다. 이렇게 하면 필요할 때 손상되지 않은 데이터 사본을 사용할 수 있습니다.
새로운 멀웨어가 확인되면 보안 소프트웨어 공급업체와 다른 벤더는 이러한 새로운 위협에 대응하기 위해 제품과 시스템을 업데이트합니다. 하지만 일부 조직에서는 최신 보안 패치를 적용하는 데 소홀하여 알려진 위협에 취약해지는 경우가 있습니다. 새로운 업데이트를 주기적으로 확인하고 가능하면 바로 설치해야 합니다.
직원들이 온라인 상태일 때 따라야 하는 베스트 프랙티스 및 보안 조치를 자세히 설명하는 인터넷 정책을 만들고 조직 전체에 배포합니다. 예를 들어, 직원이 공용 Wi-Fi를 사용하여 회사 업무를 수행하거나 민감한 시스템에 접근하도록 허용해서는 안 됩니다. 이러한 정책과 관련하여 모든 직원을 교육하고, 악성 소프트웨어에 노출되었을 때 따를 수 있는 대응 계획을 수립합니다.
2단계 또는 그 이상의 단계가 포함된 인증을 사용하여 무단 액세스와 제어로부터 관리 계정을 보호합니다. 기본적으로 필요한 최소 시스템 권한만 제공하도록 계정을 구성하는 것이 좋습니다.
전체적인 재해 복구 전략의 일부로 랜섬웨어 복구를 구축합니다. 데이터 사본이 외부 액세스로부터 안전하게 보관될 수 있도록 분리되고 폐쇄된 형태의 데이터 센터인 격리된 복구 환경(IRE)을 구축합니다. 모든 재해 복구 테스트에 IRE를 포함시킵니다.
정보와 인식은 랜섬웨어로부터 보호하는 여러 수단 중에서도 가장 효과적인 방법 중 하나입니다. 소셜 미디어에서 보안 전문가를 팔로우하고, 위험 자문 피드와 자문 사이트를 주기적으로 확인하고, 관련된 최신 뉴스를 확인함으로써 준비 태세를 갖춥니다.
공격 발생 시 취해야 할 단계를 설명하는 포괄적인 랜섬웨어 대응 계획을 수립합니다. 이 계획에는 감염된 시스템을 식별 및 격리하고, 법 집행 기관에 연락하고, 영향을 받은 당사자에게 알리고, 복구 프로세스를 시작하는 절차가 포함되어야 합니다. 잘 정의된 계획을 마련하면 랜섬웨어 인시던트와 관련된 혼란과 다운타임을 크게 줄일 수 있습니다.
모든 중요한 데이터와 시스템을 주기적으로 백업합니다. 백업은 랜섬웨어가 암호화하거나 삭제하지 못하도록 안전하게 오프라인으로 저장해야 합니다. 주기적으로 백업의 무결성을 테스트하여 데이터 손실 시 안정성을 보장합니다. 견고한 백업 전략은 몸값을 지불하지 않고도 데이터를 복구할 수 있는 수단을 제공할 수 있습니다.
전 직원을 대상으로 철저한 사이버 보안 교육을 실시하고 데이터 안전의 중요성을 강조합니다. 피싱 시도, 의심스러운 링크, 이메일 첨부 파일을 인식하는 방법에 대해 교육합니다. 강력한 비밀번호 관리 및 다단계 인증 사용을 권장합니다. 직원들은 랜섬웨어 공격을 방지하는 데 있어 자신의 역할을 이해하고 의심스러운 활동을 즉시 보고하는 방법을 알고 있어야 합니다. 지속적인 직원 교육은 강력한 랜섬웨어 방지 방어 체계의 중요한 구성 요소입니다.
랜섬웨어 공격의 표적이 되었다고 해서 범죄자의 요구에 굴복하지 마세요. 그렇게 하면 여러분과 조직이 자발적인 희생자로 간주되며, 이는 곧 범죄자들이 계속 여러분을 표적으로 삼도록 만들 뿐입니다. 대부분의 경우, 데이터나 파일을 돌려받기 위해 기업에서 대가를 지불하더라도 제대로 작동하는 암호화 키를 받지 못합니다. 대신 공격자들은 표적이 된 기업이 몸값을 더 이상 감당할 수 없을 때까지 계속해서 요구 조건을 올릴 뿐입니다. 게다가 몸값을 지불하는 것은 결국 범죄 활동에 자금을 조달하는 행위이며, 다른 조직이나 개인을 같은 위험에 노출시키게 됩니다.
랜섬웨어의 표적이 되었다면 다음 단계에 따라 신속하게 조치를 취하세요.
랜섬웨어는 단일 장치 또는 시스템을 감염시켜서 네트워크에 침투하지만 그렇다고 해서 반드시 한 지점에 머물러 있는 것은 아닙니다. 랜섬웨어는 네트워크를 통해 쉽게 퍼져나갑니다. 따라서 랜섬웨어를 발견했을 때 가장 먼저 해야 할 일은 감염된 시스템의 연결을 끊고 네트워크의 다른 부분과 접촉하지 못하도록 격리하는 것입니다. 이 작업을 신속하게 수행할 수 있다면 멀웨어를 단일 위치로 제한할 수 있으며, 나머지 작업이 훨씬 더 쉬워집니다.
산불이 맹렬하게 퍼지는 길목에서 소방관이 덤불과 나무를 제거하는 것과 마찬가지로, 다음에 수행해야 하는 단계는 노출되었을지도 모르는 다른 시스템을 분리하고 격리함으로써 랜섬웨어 확산의 가능성을 막는 것입니다. 여기에는 온프레미스에서 작동하지 않는 장치를 포함하여 비정상적으로 작동하는 것처럼 보이는 모든 장치가 포함되어야 합니다. 모든 무선 연결 옵션을 종료하면 추가 확산을 방지할 수 있습니다.
네트워크에서 의심스러운 파일을 격리했으면, 다음으로 피해 정도를 평가해야 합니다. 최근에 암호화된 파일(일반적으로 이상한 확장자를 가진 파일)을 찾아서 어떤 시스템이 실제로 영향을 받았는지 확인합니다. 각 장치에서 암호화된 공유 항목을 면밀히 살펴보세요. 한 장치가 다른 장치보다 더 많은 항목을 공유하고 있다면, 해당 장치가 바로 랜섬웨어가 네트워크에 침투하는 진입 지점이었을 수 있습니다. 해당 시스템과 장치를 끄고, 영향을 받았을 가능성이 있는 모든 항목(외장 하드 드라이브, 네트워크 저장소 장치, 클라우드 기반 시스템, 데스크톱, 노트북, 모바일 장치 및 랜섬웨어를 실행하거나 전달할 수 있는 기타 모든 장치 포함)에 대해 전체 목록을 작성합니다.
앞서 언급했듯이 영향을 받은 장치에서 많은 수의 암호화된 공유 항목을 확인하면 '최초 감염 위치'를 찾는 데 도움이 될 수 있습니다. 랜섬웨어의 최초 감염 위치를 찾는 다른 방법으로는 감염 직전에 있었던 바이러스 백신의 경고를 확인하고, 의심스러운 사용자 활동(예: 알 수 없는 링크를 클릭하거나 스팸 메일을 열어보는 행위)을 검토하는 방법이 있습니다. 최초 감염 위치를 발견하면 문제 해결이 훨씬 쉬워집니다.
랜섬웨어 공격에 효과적으로 대처하려면 처리해야 하는 랜섬웨어의 유형을 정확하게 식별할 수 있어야 합니다. 랜섬웨어를 식별하는 방법에는 여러 가지가 있습니다. 공격에 포함된 메모(파일의 잠금을 해제하려면 몸값을 지불하라는 내용)로 랜섬웨어의 유형을 바로 식별할 수 있습니다. 또한 메모와 연결된 이메일 주소를 검색하면 이 특정 위협 행위자가 사용하고 있는 랜섬웨어뿐 아니라 이전에 감염되었던 다른 조직이 어떤 조치를 취했는지도 파악할 수도 있습니다. 마지막으로, 랜섬웨어의 유형을 식별하는 데 도움이 되도록 설계된 온라인 사이트와 도구가 있습니다. 물론 이 도구를 사용하기 전에는 충분한 조사를 거쳐야 합니다. 신뢰할 수 없는 도구를 다운로드하면 이미 공격받은 시스템에 더 많은 멀웨어가 침투하게 되는 결과를 낳을 수도 있습니다.
랜섬웨어를 격리했다면 이제 법 집행 기관에 연락해야 합니다. 대부분의 경우 이 과정은 단순한 프로토콜의 범위를 넘어서며, 특정 데이터 개인정보 보호법에 따라 비즈니스에서 발생한 모든 데이터 침해에 대해 사전에 정해진 시간 내에 보고서를 제출해야 할 수 있습니다. 그렇게 하지 않으면 벌금이 부과되거나 다른 불이익을 받게 될 수도 있습니다. 하지만 법 집행 기관에 연락할 법적 의무가 없다고 하더라도, 그렇게 하는 것이 최우선 순위가 되어야 합니다. 무엇보다도 사이버 범죄 관련 기관은 이런 종류의 문제를 해결하는 데 있어 더 나은 권한과 리소스, 경험을 활용할 수 있으며, 비즈니스가 보다 빠르게 정상화되도록 도움을 줄 수 있습니다.
화재를 효과적으로 진압했으면, 이제 시스템을 복구할 차례입니다. 다행히 손상되지 않은 백업 데이터가 있다면 큰 문제 없이 시스템을 복원할 수 있습니다. 모든 장치에 랜섬웨어나 다른 형태의 멀웨어가 없는지 다시 한번 확인한 후 데이터를 복원합니다. 최신 랜섬웨어 공격이 데이터 백업을 목표로 하는 경우도 많기 때문에 복원하기 전에 데이터가 온전한지 확인해야 합니다.
사용 가능한 데이터 백업이 없거나 데이터 자체가 이미 손상되었다면 차선책은 암호 해독 솔루션을 찾는 것입니다. 앞서 언급했듯이, 어느 정도의 조사를 통해 온라인에서 실제 암호 해독 키를 찾아 액세스와 제어 권한을 복구할 수도 있습니다.
랜섬웨어 공격이 발생한 후 이 인시던트에 대해 고객 및 클라이언트와 소통하는 것은 여러분의 책임입니다. 투명성은 신뢰를 유지하는 데 핵심입니다. 고객이 전체 진행 상황을 파악하도록 지원하는 것을 소홀히 하면 신뢰도가 빠르게 약화될 것입니다. 비즈니스를 지원하는 담당자에게 연락하여 상황, 문제 해결을 위해 취하고 있는 조치, 데이터나 서비스에 대한 잠재적 영향에 대해 알립니다. 적시에 정확한 정보를 제공하면 이러한 인시던트에 종종 수반되는 평판 손상을 완화하는 데 도움이 될 수 있습니다.
랜섬웨어 공격을 처리할 때 중단이 발생할 수 있지만, 복구 과정에서 비즈니스 운영을 지속하기 위해 노력을 기울여야 합니다. 중요한 기능이 계속 실행될 수 있도록 비즈니스 연속성 계획을 구현합니다. 여기에는 영향을 받지 않은 영역으로 작업을 다시 라우팅하거나 다운타임을 최소화하기 위해 일시적으로 작업을 전환하는 것이 포함될 수 있습니다. 비즈니스의 연속성을 유지하면 랜섬웨어 인시던트와 관련된 재정적 손실을 줄이고 고객과 이해 관계자에게 복원성을 보여줄 수 있습니다.
장치를 복원하거나, 암호 해독 솔루션을 찾거나, 민감한 데이터가 영원히 사라졌다는 사실을 받아들이거나, 어떤 경우에도 마지막 단계는 동일합니다. 바로 재구축하고 다시 앞으로 나아가는 것입니다. 최상의 시나리오에서도 공격받기 전의 생산성 수준으로 회복하는 데는 비용이 많이 들고 시간이 오래 걸릴 수 있습니다. 경험을 통해 조직이 직면한 위협에 대해 더 잘 이해하고, 위협으로부터 조직을 보호할 수 있는 보다 명확한 아이디어를 확보해야 합니다.
사이버 범죄자들이 새로운 기술과 보안 조치에 적응함에 따라 랜섬웨어도 계속 진화하고 있습니다. 새롭게 등장하는 위협보다 한발 앞서 나가려면 랜섬웨어의 미래 동향을 이해하는 것이 필수적입니다. 주목해야 할 몇 가지 주요 동향은 다음과 같습니다.
데이터와 서비스를 클라우드로 마이그레이션하는 조직이 더욱 늘어남에 따라 사이버 범죄자들이 클라우드 기반 엔드포인트를 훨씬 더 자주 표적으로 삼을 것으로 예상됩니다. 클라우드 서비스는 방대한 양의 데이터를 저장하므로 랜섬웨어 공격자가 큰 돈을 벌 가능성이 높기 때문에 매력적인 표적이 됩니다. 따라서 조직은 클라우드 환경을 보호하고 강력한 액세스 통제 기능을 구현하여 이러한 위협을 완화해야 합니다.
랜섬웨어는 지금까지 Windows 및 iOS와 같이 널리 사용되는 플랫폼을 표적으로 삼았지만, 향후에는 덜 일반적인 운영 체제 및 플랫폼으로 확장될 것으로 예상됩니다. 사이버 범죄자는 보안 조치의 성숙도가 덜한 취약성을 악용할 방법을 모색합니다. 조직은 비주류로 간주되는 시스템을 포함하여 모든 시스템에 걸쳐 포괄적인 보안 조치를 보장해야 합니다.
랜섬웨어 공격자는 데이터만 암호화하는 것에서 벗어나 암호화하기 전에 민감한 정보도 유출하는 것으로 방향을 전환하고 있습니다. 그런 다음 몸값을 지불하지 않으면 훔친 데이터를 공개하겠다고 협박함으로써, 데이터 강탈을 강력한 수법으로 만듭니다. 데이터 강탈이 새로운 수법은 아니지만, 첨단 기능을 사용하여 공격자가 훔친 데이터를 더 쉽게 공유할 수 있게 되면서 위협 행위자는 피해자를 협박할 수 있는 수단을 추가로 확보하게 되었습니다. 이러한 동향은 데이터 가용성뿐만 아니라 데이터 기밀성 보호의 중요성을 강조합니다.
데이터 유출의 안타까운 부작용은 피해자가 몸값을 지불하는 데 동의하더라도 공격자가 다크 웹을 통해 강탈한 데이터를 판매하여 수익원을 더 쉽게 다각화할 수 있다는 것입니다. 이러한 수법은 랜섬웨어의 즉각적인 영향을 넘어서는 추가적인 위험에 조직을 노출시킵니다.
랜섬웨어 공격자는 이미 AI와 ML을 활용하여 공격을 강화하기 시작했습니다. 몇 가지 예를 언급하자면, AI는 취약한 대상을 식별하여 피싱 이메일을 맞춤화하는 등의 작업을 자동화할 수 있으며, ML은 보안 시스템에 의한 탐지를 회피하는 데 사용할 수 있습니다. 이러한 추세는 지능형 기술에 의존하는 위협도 포함하여 진화하는 위협을 효과적으로 탐지하고 이에 대응하기 위해 AI와 ML을 사이버 보안 방어 체계에 통합하는 것의 중요성을 강조합니다.
랜섬웨어 공격에 맞서고 대응할 때 가장 중요한 자원 중 하나는 시간입니다. IT 관리 및 워크플로우 자동화 분야의 리더인 ServiceNow가 제공하는 명확한 중앙 집중식 제어 및 모니터링 기능을 통해 필요한 시간을 확보할 수 있습니다. 악용되기 전에 보안 약점을 제거하고, 의심스러운 네트워크 활동을 파악하며, 침해 행위를 식별하는 즉시 대응하며, 자동화 보안 대응 솔루션으로 랜섬웨어 및 다른 공격으로부터 빠르게 복구하세요. ServiceNow가 이 모든 것을 가능하게 만들어 드리겠습니다.
지속적인 모니터링과 자동화된 대응으로 랜섬웨어 및 다른 공격으로부터 조직을 보호하세요. 랜섬웨어에 대해 자세히 알아보고 ServiceNow가 비즈니스의 성공을 저해하는 모든 요소를 처리함으로써 어떻게 비즈니스에 도움이 되는지 자세히 알아보세요.
사일로를 없애고 비즈니스 전반의 위협을 관리하고 규정 준수를 강화합니다.