[기고] 데이터 보호를 위한 랜섬웨어 공격 대응 방안
데이터 스토리지 플랫폼 선택의 선제 조건 ‘보안’
[글=유재근 | 퀀텀코리아 이사]
랜섬웨어로 인해 많은 기업은 사이버 보안의 수렁에 빠져 있다. 자연재해, 하드웨어 장애 또는 제로데이 공격보다 치명적인 랜섬웨어는 악성코드 및 피싱과 함께 기업에 가장 큰 위협으로 자리 잡았다.
범죄자들은 포식자처럼 가장 약한 먹잇감을 선택한다. 인력 부족으로 과부하를 겪는 조직들을 선택하며, 조직 중 상당수는 선제 보호 수단이 없어 범죄자들의 집중 표적이 된다. 이제 조직들이 바뀌어야 할 때다. 따라서, 본 호에서는 조직의 노출을 최소화하고 곤경에서 벗어나기 위해 취할 수 있는 최신 방법과 행동 요령에 대해 알아보고자 한다.
최근 범죄 관행 및 양상
범죄자들은 전혀 노출되지 않은 채 몇 달씩 네트워크를 감시할 수 있다. 초기 침입에 성공하면 네트워크 내에서 이동할 방법을 찾고, 스스로를 마스킹하고 탐지되지 않은 상태를 유지한 채 데이터 및 시스템을 비활성화, 암호화, 추출 또는 파괴하기도 한다.
특히, 레빌 랜섬웨어는 시스코 aTlos의 보안 연구원들이 2019년 4월에 처음 발견한 데이터 잠금 바이러스다. 소디노키비, 소딘으로도 알려진 레빌은 제로데이 취약점을 악용해 만들어졌다. 공격자는 HTTP 액세스를 통해 오라클 웹로직 서버에 원격으로 연결하고 악성코드를 수동으로 투입시킨다. 아직 이 정교한 위협에 대응할 수 있는 암호 해독 도구는 없으므로 다른 방법으로 데이터를 복구해야 한다.
서비스형 랜섬웨어(RaaS)를 제공하는 악성코드 개발자도 있어 소규모 범죄자들도 거물을 사냥하는 전술을 채택할 수 있게 되었다. 이 작업으로 개발자는 범죄자가 획득한 것의 일부를 받는다. 사이버 범죄자들은 대부분 원격 데스크톱 프로토콜(RDP)을 사용해 레빌과 같은 RaaS 악성코드를 설치한다. 공격 대상은 모든 중소기업에서 포춘지 선정 500대 기업까지 다양하다. 레빌 랜섬웨어가 요구하는 평균 금액은 수천만 달러로 2020년 요구 금액은 2019년 대비 더 증가했다.
사이버 보안 업체들은 사이버 범죄 조직의 운영 방식을 이해하는 것이 중요하다고 강조한다. 무장된 네트워크 운영자나 보안 책임자는 악의적인 공격자가 악성 스크립트를 실행하는 것을 방지하고 보안 소프트웨어 또는 OS 기능의 권한을 높이는 것을 방지하기 위한 보안 기능을 구현할 수 있다. 회사에 우수한 사이버 보안 소프트웨어가 있으면 대부분의 공격을 차단할 수 있다. 실제로, 대부분의 멀웨어가 탐지된다. 그러나 레빌 랜섬웨어에서 볼 수 있듯이, 침해가 에지 데이터와 관련된 경우, 멀웨어를 감지하고 복구하는 것이 점점 더 어려워지고 있다.
랜섬웨어 대처 전략 수립
기업들이 랜섬웨어에 맞서기 위해 하는 일은 무엇일까? IT 보안은 어느 정도 성공적이라 할 수 있다. 하지만 여전히 개선이 필요하다.
여러 산업에 걸쳐 내부 관행과 보안 투자를 측정하는 사이버 보안 보고서에서는 효과적인 방어를 확립하는 데 가장 큰 장벽으로 ▲숙련된 IT 보안 인력 부족 ▲직원들의 낮은 보안 인식을 지적한다.
사람이 가장 큰 문제라는 지적은 새로울 것이 없지만, 상황을 반전시키려면 어떻게 해야 하는지는 이해할 필요가 있다. 먼저, 해커에게 맞서기 위해 조직은 강력한 데이터 보호 계획을 수립해야 한다. 기존 백업 인프라에 지속해서 의존하는 것만으로는 충분하지 않다. 백업 및 복구 계획서는 시간과 환경의 변화에 따라 개정해야 하며, 기술 및 스토리지 플랫폼이 변경될 때마다 실시간으로 업데이트해야 한다.
원격 작업을 위한 사전 계획 수립
1. 제대로 구상된 데이터 보호 전략 및 계획 구축
2. 경영진의 동의와 지원을 위한 계획 발표
3. 네트워크 입구 차단을 위한 백신 소프트웨어 도입
4. 데이터의 모든 단계(미사용, 전송 중, 액티브 상태)에서 암호화 기술 활용
5. 직원 인식 변화를 위한 보안 교육
6. 신속한 현장 복구(복구 목표 시점(RPO) 및 복구 목표 시간(RTO) 충족)를 위해 오브젝트 잠금 기능이 탑재된 로컬 디스크 백업 구축
7. 장기 보호를 위해 데이터를 에어갭 환경에서 무기한으로 보관할 수 있는 비용 효율성이 뛰어난 솔루션 사용
8. 재해 복구를 위해 클라우드 또는 오브젝트 스토리지 솔루션을 통해 데이터를 오프사이트로 복제
9. 백업 또는 아카이브용 에어갭 테이프를 통해 랜섬웨어 보호 기능 구축 10. 사이버 보험은 최후의 수단으로만 남겨두기
안전한 데이터 플랫폼 선택 및 백업 전략 구현
데이터 스토리지 플랫폼을 선택할 때는 보안을 핵심적으로 고려해야 한다. 퍼블릭 클라우드를 사용 중이거나 워크로드가 여러 클라우드와 컴퓨팅 환경에 분산되어 있다면 자체 네트워크에 갖춰진 것 이상의 추가적인 개인정보 보호 및 보안 관리가 필요하다.
보안 전문가, 네트워크 관리자 및 경영진을 비롯한 여러 부서를 포함하는 포괄적인 접근 방식이 필요하다. 특히 원격자가 있는 경우, 적절한 조치를 통해 사용자들에게 교육을 제공해야 한다.
정보 보호 및 보안 관리 방법
1. 취약점 확인
2. 평판 좋은 백신 소프트웨어 사용
3. 백업 수행
4. (FBI, CISA, 영국 NCSC의 권고에 따라) 오프라인 사본 유지
5. 디스크, 테이프(현장 또는 클라우드의 콜드 스토리지), 또는 클라우드/오브젝트 스토리지가 조직에 가장 적합한 복구 방법인지 결정
네트워크 입구의 보안 조치
사이버 공격으로부터 데이터를 보호하려면 주요 진입 지점인 네트워크 입구를 보호해야 한다. 데이터를 보호하면서 RPO 및 RTO를 달성하는 데 필요한 기능을 백업 소프트웨어 및 대상에 갖추어 둔다. 랜섬웨어로부터 보호해주지 못하는 백업 소프트웨어라면 적합한 백업 애플리케이션이 아닐 수 있다.
데이터 스토리지 솔루션 선택
서비스 수준 협약(SLA)에 따라 신속한 복구를 위해 네트워크 스토리지(NAS)를 사용해야 한다. 하지만 데이터는 항상 온라인 상태로 유지되고 있고, 범죄자들은 큰 수익이 필요하므로 에어갭에 침투하는 방법을 알아내는 것은 시간문제다. 즉, 프로덕션 스토리지와 액세스할 수 없는 에어갭 스토리지 사이에 있는 공간을 의미한다. 시스템의 오브젝트나 파일을 잠그는 방법은 공급 업체마다 다양하지만, 데이터는 항상 온라인 상태이기 때문에 위험은 여전히 존재한다.
다음으로, 테이프는 물리적 에어갭을 가지고 있어 바이러스가 데이터와 네트워크의 물리적 장벽을 우회할 수 없으므로 랜섬웨어가 데이터에 액세스할 수 없다. 특히, 랜섬웨어로부터 보호해야 하는 장기 보관 데이터에 사용하는 비용을 절감하는 것이 중요하다. 또, 오브젝트 스토리지는 데이터를 노드에 분산시켜 잠그므로 변경할 수 없다. 솔루션 및 정책 세트에 따라 오브젝트 스토리지는 하나 이상의 노드가 작동 중단되는 경우에도 노드에서 데이터를 복구할 수 있다.
예산의 고려
모든 솔루션에는 장단점이 있다. 그렇다면 예산은 어느 정도 가능할까? 먼저 시나리오와 계획을 수립해야 한다. 네트워크가 가장 취약한 고리임을 염두에 둬야 한다. 가장 저렴한 에어갭 옵션부터 알아보자.
테이프 테이프는 투자금이 가장 적고, 데이터를 네트워크에서 분리하는 고유한 특성 때문에 강력한 에어갭 솔루션을 제공한다.
디스크 에어갭을 제공한다고 주장하는 디스크 솔루션은 실제로 에어갭을 제공하지 않는다. 일부 스토리지는 데이터가 기록되면 입구를 잠그는 잠금 메커니즘을 지닌다. 그러나 이와 같은 기능은 비용을 많이 증가시킨다. 솔루션 제공 업체들은 네트워크를 보호하는 가장 좋은 방법을 선택할 수 있도록 지원한다. 그러나 사용 가능한 기술 세트를 고려하는 동시에 조직에 가장 적합한 것과 가장 비용 효율적인 것이 무엇일지 결정해야 한다.
백업을 백업하는 3-2-1-1 규칙 적용
협상금을 지급하지 않으려면 백업본을 한 번 더 백업하는 것도 고려해야 한다. 범죄자들은 최신 패치를 피해 갈 수 있는 자금이 있으며, 최신 온라인 솔루션에 무차별적으로 침투하기 위해 다양한 바이러스를 만들어낸다.
강력한 데이터 보호 전략을 위해 3-2-1-1 백업 규칙을 적용해 보라. 3개의 데이터 사본, 2종류의 미디어, 1개의 오프사이트 사본, 1개의 오프라인 사본을 보관해야 한다. 이 방법은 보안 팀에 권장하는 규칙과 유사하다. 최초 1분 이내에 위협을 탐지하고, 10분 이내에 위협을 이해한 후, 60분 이내에 대응한다. 두 경우 모두, 선제 전략의 구현이 위협에 앞서 나갈 수 있다.
무엇보다도, 일부 표적 공격이 백도어 방식을 사용한다는 점을 이해하는 것이 핵심이다. 해커들은 원격 액세스 또는 진입 지점에 의존해 네트워크에 진입한다. 더 많은 사용자의 원격 근무를 허용하기에 앞서 조직은 잠재적인 보안 취약점 해결을 위한 절차와 정책을 구현해야 한다.
이러한 절차와 정책을 위기 상황에 따라 그때그때 준비하려 한다면 더 큰 위험에 노출될 수 있으므로 평상시에 ▲데이터 암호화 ▲클라우드 액세스 보안 확인 ▲협상금 지급 거부 등의 모범적인 방책을 구축하는 것이 필요하다.
도난당한 것을 되찾기 위한 협력
랜섬웨어와의 전쟁에는 모두의 노력이 필요하다. 우리는 모두 향후 5년에서 10년 동안 사이버 환경을 보호하기 위해 협력해야 한다. 대기업과 중소기업들의 비용 효율적인 강력한 선제 전략과 지침을 구현할 힘이 필요하다.
물론 위험을 완화하려면 여러 기술이 필요하다. 어떤 솔루션도 조직들이 겪고 있는 공격에 대응할 수 있는 보호 기능을 제공하지 못한다. 랜섬웨어 보호는 다층적으로 이루어져야 한다.
또한, IT 전문가는 범죄자들과의 협상을 거부해야 한다. 우리가 지금의 현상을 유지한다면 범죄 계획은 수십억 달러 규모의 산업으로 계속 성장해 나갈 것이다. 특정 랜섬웨어의 운영이 중단될 것이라는 보도에 속지 말아야 한다. 기존 랜섬웨어가 다른 랜섬웨어와 병합될 가능성이 매우 크며, 다른 이름으로 그 어느 때보다 강력하게 나타날 것이다.
지난 몇 년간 우리가 배운 교훈이 하나 있다면 범죄자들은 집요하다는 것이다. 조직 내부의 행동이 바뀌지 않는 한 랜섬 지급 규모는 계속 급증할 것이다. 모든 보고서는 사이버 소프트웨어 회사가 사용하는 행동 알고리즘을 우회하는 교활한 방법을 통한 더 공격적인 사이버 감시 활동과 표적 공격에 대해 지적하고 있다.
우리가 함께할 때 우리의 기업 공동체를 보호할 수 있다. 올해는 공격이 작년보다 더 만연할 수도 있지만, 작은 조처를 하면 길을 갈 수 있다. 언제나 첫 번째 단계가 가장 어렵다. 그러나 장기적으로 우리가 함께할 때 이 범죄 행위를 주저앉히고 사이버 범죄자에게 수익을 제공하는 랜섬웨어에 돈을 지급하는 악순환을 끝낼 수 있다.