랜섬웨어 공격에 대처하는 방법

랜섬웨어 공격을 받았다는 소식은 그 어떤 조직도 듣고 싶지 않은 소식이며, 이제 어떻게 해야 할지 고민하고 있을 것입니다. 

가장 먼저 명심해야 할 것은 여러분은 혼자가 아니라는 것입니다. 모든 사이버 공격의 17% 이상이 랜섬웨어와 관련이 있습니다. 랜섬웨어는 피해자가 해커에게 몸값을 지불하지 않으면 피해자의 데이터나 디바이스를 잠그는 맬웨어의 일종입니다. 최근 조사에서 대상이 된 1,350개 조직 중 78%가 랜섬웨어 공격을 성공적으로 당했습니다.

랜섬웨어 공격은 피싱 이메일을 사용하여 개인이 악성 링크를 클릭하도록 속이거나 원격 액세스와 같은 소프트웨어 및 운영 체제의 취약점을 악용하는 등 여러 가지 방법 또는 벡터를 사용하여 네트워크 또는 디바이스를 감염시킵니다. 사이버 범죄자들은 일반적으로 비트코인 및 기타 추적하기 어려운 암호화폐로 몸값 지불을 요청하여 피해자에게 장치 잠금을 해제할 수 있는 암호 해독 키를 제공합니다.

랜섬웨어 공격이 발생할 경우, 공격을 억제하고 민감한 정보를 보호하며 다운타임을 최소화해 비즈니스 연속성을 보장할 수 있도록 어떤 조직이든 따라 할 수 있는 기본 단계들이 있다는 것이 좋은 소식입니다.

영향을 받는 시스템 격리 

가장 흔한 랜섬웨어 변종은 네트워크에서 취약점을 찾아 측면으로 확산하기 때문에 영향을 받은 시스템을 가능한 한 빨리 격리하는 것이 중요합니다. 이더넷을 분리하고 감염되었거나 잠재적으로 감염된 장치에 대해 WiFi, Bluetooth 및 기타 네트워크 능력을 비활성화합니다.

고려해야 할 두 가지 다른 단계: 

• 유지 관리 작업을 해제합니다. 영향을 받는 시스템의 자동 작업(예: 임시 파일 삭제 또는 로그 로테이션)을 즉시 비활성화합니다. 이러한 작업은 파일을 방해하고 랜섬웨어 조사 및 복구를 방해할 수 있습니다. 
• 백업 연결을 끊습니다.많은 새로운 유형의 랜섬웨어는 복구를 더 어렵게 만들기 위해 데이터 백업을 대상으로 하기 때문에 백업을 오프라인 상태로 유지합니다. 감염을 제거할 때까지 백업 시스템에 대한 액세스를 제한합니다.

몸값 요구서를 사진으로 찍기

다른 작업을 진행하기 전에 몸값 요구 메모를 사진으로 찍어 두세요. 스마트폰이나 카메라 등 별도의 기기를 사용하여 영향을 받은 기기의 화면을 촬영하는 것이 가장 좋습니다. 사진은 복구 프로세스를 신속하게 처리하고 경찰에 신고하거나 보험 회사에 청구 가능성을 제기할 때 도움이 됩니다.

보안 팀에 알림

영향을 받은 시스템의 연결을 끊은 후에는 IT 보안팀에 공격 사실을 알립니다. 대부분의 경우 IT 보안 전문가는 다음 단계에 대한 조언을 제공하고 조직의 인시던트 대응 계획, 즉 사이버 공격을 탐지하고 대응하기 위한 조직의 프로세스와 기술을 활성화할 수 있습니다.

영향을 받는 디바이스를 다시 시작하지 않음

랜섬웨어에 대처할 때는 감염된 디바이스를 다시 시작하지 마세요. 해커는 이것이 사용자의 첫 번째 본능일 수 있다는 것을 알고 있으며, 일부 유형의 랜섬웨어는 재시작 시도를 감지하여 Windows를 손상시키거나 암호화된 파일을 삭제하는 등의 추가 피해를 유발합니다. 또한 재부팅하면 랜섬웨어 공격을 조사하기가 더 어려워질 수 있습니다. 중요한 단서는 컴퓨터의 메모리에 저장되어 있으며, 이는 컴퓨터를 다시 시작하는 동안 삭제됩니다. 

대신, 영향을 받은 시스템을 최대 절전 모드로 전환하세요. 이렇게 하면 메모리의 모든 데이터가 장치의 하드 드라이브에 있는 참조 파일에 저장되어 나중에 분석할 수 있도록 보존됩니다.

이제 감염된 디바이스를 격리했으니 디바이스의 잠금을 해제하고 데이터를 복구하고 싶을 것입니다. 랜섬웨어 감염, 특히 고급 변종을 근절하는 것은 관리하기가 복잡할 수 있지만, 다음 단계를 통해 복구를 시작할 수 있습니다. 

공격 변종 파악

여러 무료 툴이 디바이스를 감염시키는 랜섬웨어 유형을 식별하는 데 도움이 될 수 있습니다. 특정 변종을 알면 확산 방식, 잠기는 파일, 제거 방법 등 몇 가지 주요 요소를 이해하는 데 도움이 될 수 있습니다. 암호화된 파일의 샘플과 랜섬노트, 공격자의 연락처 정보가 있는 경우 이를 업로드하기만 하면 됩니다. 

가장 흔한 두 가지 유형의 랜섬웨어는 화면 잠금과 암호화입니다. 화면 잠금 장치는 시스템을 잠그지만 몸값을 지불할 때까지 파일은 안전하게 보관하는 반면, 암호화 장치는 모든 민감한 데이터를 찾아 암호화하고 몸값을 지불한 후에만 암호를 해독하기 때문에 대처하기가 더 어렵습니다. 

암호 해독 툴 검색

랜섬웨어 변종을 식별한 후에는 암호 해독 툴을 찾는 것이 좋습니다. 이 단계에 도움이 되는 무료 툴도 있으며, 여기에는 No More Ransom과 같은 사이트도 있습니다. 랜섬웨어 종류 이름을 입력하고 일치하는 암호 해독법을 검색하면 됩니다. 

운 좋게 랜섬웨어 감염을 제거했다면, 이제 복구 프로세스를 시작할 차례입니다.

시스템 비밀번호를 업데이트하고 백업에서 데이터를 복구하세요. 항상 서로 다른 두 가지 형식의 데이터 사본 세 개를 만들고 한 개는 오프사이트에 저장하는 것을 목표로 해야 합니다. 3-2-1 규칙으로 알려진 이 접근 방식을 사용하면 데이터를 신속하게 복원하고 몸값 지불을 피할 수 있습니다. 

공격 후에는 보안 감사를 수행하고 모든 시스템을 업데이트하는 것도 고려해야 합니다. 시스템을 최신 상태로 유지하면 해커가 구형 소프트웨어에서 발견된 취약점을 악용하는 것을 방지할 수 있으며, 정기적인 패치를 통해 시스템을 최신 상태로 안정적으로 유지하고 맬웨어 위협에 대한 내성을 유지할 수 있습니다. 또한 교훈을 바탕으로 사고 대응 계획을 구체화하고 필요한 모든 이해관계자에게 사고를 충분히 전달했는지 확인하는 것이 좋습니다. 

랜섬웨어는 갈취이자 범죄이므로 랜섬웨어 공격은 항상 법 집행 기관이나 FBI에 신고해야 합니다. 

복구 노력이 효과가 없는 경우 당국에서 파일 암호 해독을 도와줄 수 있습니다. 그러나 데이터를 저장할 수 없더라도 사이버 범죄 활동을 분류하고 다른 사람들이 비슷한 상황을 피할 수 있도록 돕는 것이 중요합니다. 

랜섬웨어 공격을 받은 일부 피해자는 법적으로 랜섬웨어 감염 사실을 보고해야 할 수도 있습니다. 예를 들어, HIPAA 규정은 일반적으로 의료 기관이 랜섬웨어 공격을 포함한 모든 데이터 유출을 보건복지부에 보고하도록 규정하고 있습니다.

몸값을 지불할지 여부를 결정하는 것은 복잡한 결정입니다. 대부분의 전문가들은 다른 모든 옵션을 시도해 보았지만 데이터 손실이 지불하는 것보다 훨씬 더 큰 피해를 입는 경우에만 지불을 고려해야 한다고 조언합니다.

어떤 결정을 내리든 진행하기 전에 항상 법 집행 공무원 및 사이버 보안 전문가와 상의해야 합니다.

몸값을 지불한다고 해서 데이터에 다시 액세스할 수 있거나 공격자가 약속을 지킬 것이라는 보장은 없으며, 피해자는 몸값을 지불하고 암호 해독 키를 받지 못하는 경우가 많습니다. 게다가 몸값을 지불하면 사이버 범죄 활동이 영속화되고 사이버 범죄의 자금이 더 늘어날 수 있습니다.

이메일 보안 툴과 맬웨어 방지 및 바이러스 백신 소프트웨어는 랜섬웨어 공격에 대항하는 중요한 첫 번째 방어선입니다.

또한 조직은 데이터 침해를 방어하기 위한 광범위한 데이터 보호 전략의 일환으로 방화벽, VPN 및 다단계 인증과 같은 고급 엔드포인트 보안 툴을 사용합니다.

그러나 사이버 범죄자를 실시간으로 포착하고 성공적인 사이버 공격의 영향을 완화하는 최첨단 위협 탐지 및 사고 대응 능력 없이는 사이버 보안 시스템이 완전하다고 할 수 없습니다.

보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 툴은 기존 로그와 함께 네트워크 트래픽에 머신 러닝 및 사용자 행동 분석(UBA)을 적용하여 더 스마트한 위협 탐지와 더 빠른 문제 해결을 수행할 수 있습니다.