랜섬웨어 공격 유형 및 감염 예방 요령

최근 랜섬웨어(ransomware)에 감염되어 피해를 호소하는 기업들이 늘고 있습니다.
​
랜섬웨어는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류입니다.

시스템 접근이 제한되거나 데이터가 암호화 되어 열 수 없게 되기 때문에 제한을 없애려면 해당 악성 프로그램을 개발한 자에게 돈이나 가상화폐 등으로 대가를 요구 받게 됩니다.

랜섬웨어 공격은 다양한 방법으로 이루어지며, 공격자는 지속적으로 새로운 공격 기법을 개발하고 있습니다. 일반적인 랜섬웨어 공격 방법은 다음과 같습니다.


1. 이메일 첨부 파일 또는 링크
* 가장 흔한 공격 방법 중 하나로, 악성 첨부 파일이나 링크가 포함된 이메일을 보내 사용자가 이를 실행하도록 유도
* 첨부 파일은 문서, 이미지, PDF 등으로 위장하며, 링크는 가짜 웹사이트로 연결하여 악성코드를 다운로드하게 함

2. 취약점 악용
* 소프트웨어의 취약점을 이용하여 시스템에 침투하고 랜섬웨어를 설치
* 운영체제, 웹 브라우저, 애플리케이션 등 다양한 소프트웨어의 취약점을 이용하여 악성코드 설치

3. 악성 웹사이트
* 악성 코드가 심어진 웹사이트에 접속하도록 유도하여 랜섬웨어를 설치
* 광고, 다운로드 링크, 가짜 업데이트 등으로 위장하여 사용자를 속임

4. USB 또는 외장 저장 장치
* 악성 코드에 감염된 USB 또는 외장 저장 장치를 통해 랜섬웨어를 전파
* 공용 PC나 감염된 시스템에서 USB를 사용하면 감염될 위험이 증가

5. 원격 데스크톱 프로토콜 (RDP)
* RDP의 취약점을 이용하여 원격으로 시스템에 침투하고 랜섬웨어를 설치
* 특히 기업 네트워크에서 RDP를 사용하는 경우 공격 대상이 될 수 있음

6. 공급망 공격
* 소프트웨어 공급업체나 서비스 제공업체의 시스템을 감염시켜 고객에게 랜섬웨어를 전파
* 대규모 피해를 일으킬 수 있는 위험한 공격 방법임

7. 소셜 엔지니어링
* 사용자의 심리를 이용하여 개인 정보를 탈취하고 랜섬웨어를 설치
* 피싱, 스미싱, 가짜 기술 지원 등 다양한 방법이 사용

랜섬웨어 공격의 작동 방식:
* 공격자는 위와 같은 방법으로 시스템에 침투하여 랜섬웨어를 설치
* 랜섬웨어는 시스템의 파일을 암호화하고, 사용자가 파일에 접근할 수 없도록 만듬
* 공격자는 암호 해독 키를 대가로 금전을 요구

기업에서 랜섬웨어 공격을 예방하고 피해 발생 시 효과적으로 대응하기 위한 방법은 다음과 같습니다.
​
1. 예방 조치
​
* 정기적인 백업 및 복구 시스템 구축:
    - 중요 데이터는 정기적으로 백업하고, 오프라인 또는 클라우드에 안전하게 보관
    - 백업 데이터의 복구 절차를 정기적으로 점검하고, 실제 복구 테스트를 수행
​
* 보안 시스템 강화
    - 최신 백신 소프트웨어 및 방화벽을 설치하고, 정기적으로 업데이트
    - 침입 탐지 및 차단 시스템(IDS/IPS)을 구축하여 외부 공격을 감시하고 차단
    - 취약점 관리 시스템을 구축하여 시스템 및 소프트웨어의 취약점을 주기적으로 점검하고 패치
​
* 직원 보안 교육
    - 랜섬웨어 공격의 위험성을 인식시키고, 의심스러운 이메일이나 웹사이트 접속을 자제하도록 교육
    - 정기적인 보안 교육을 통해 최신 공격 수법 및 예방 방법을 숙지
​
* 접근 권한 관리
    - 직원별로 필요한 최소한의 접근 권한만 부여하고, 불필요한 권한은 제한
    - 퇴사자 또는 권한 변경 시 즉시 접근 권한을 회수
​
* 보안 정책 수립 및 준수
    - 랜섬웨어 예방 및 대응을 위한 명확한 보안 정책을 수립하고, 전 직원이 준수하도록 정기적으로 교육
    - 정기적으로 보안 정책을 검토하고 개선
​
* 보안 솔루션 도입
    - EDR(Endpoint Detection and Response)을 도입하여 알려지지 않은 악성코드 및 제로데이 공격에 대응
    - 보안 컨설팅을 통해 전반적인 보안 수준을 향상
​
​
2. 피해 발생 시 대응 요령
​
* 즉시 네트워크 격리
    - 감염된 시스템을 네트워크에서 격리하여 추가 확산을 방지
    - Wi-Fi, 블루투스 등 모든 네트워크 연결을 차단
​
* 감염 경로 파악
    - 어떤 경로로 랜섬웨어에 감염되었는지 파악하여 추가 공격을 차단
    - 이메일, 웹사이트, USB 등 다양한 감염 경로를 확인
​
* 신고 및 협력
    - 즉시 한국인터넷진흥원(KISA) 등 관련 기관에 신고하고, 수사 기관에 협조
    - 보안 전문가와 협력하여 피해 복구 및 재발 방지 대책을 마련
​
* 데이터 복구
    - 백업 데이터를 활용하여 데이터를 복구
    - 랜섬웨어 제작자에게 돈을 지불하는 것은 데이터 복구를 보장할 수 없기 때문에 권장하지 않음
​
* 재발 방지 대책 마련
    - 피해 원인을 분석하고, 보안 시스템 및 정책을 개선
    - 직원 교육을 강화하고, 보안 의식을 강화
​
​
3. 추가 정보
* 랜섬웨어 대응에 있어 다양한 구간별로 운영되는 보안 솔루션 도입
   - 네트워크, 이메일, 엔드포인트 구간을 통한 랜섬웨어 공격이 발생할 수 있으므로 해당 영역의 보안 솔루션을 통해 대응
​
* 사이버 보안 전문 서비스 도입 검토
    - 보안 전문 서비스는 보안 사고 발생 이후 어떻게 피해를 최소화하고 대응해 나갈지에 관한 가이드를 제공하는 것이 핵심
​
이러한 예방 및 대응 요령을 숙지하고 실천함으로써 랜섬웨어 공격으로부터 기업의 중요한 자산을 보호하고 피해를 최소화할 수 있습니다.