블로그

지란지교시큐리티의 생생한 최신 소식과 알림을 전달합니다.

[새니 이야기: 2화] 디지털 전환 시대에 기업에서 꼭 체크해야 할 랜섬웨어 대응 방안
새니2022-08-23

안녕하세요. 랜섬웨어 예방 전문가 새니에요 ⸜(๑'ᵕ'๑)⸝

 

 

 

나날이 더워지는 요즘, 새니 이야기 구독자님들 모두 건강하게 잘 견뎌내고 계시나요? 

 

몇 년 전만 해도 좋은 날씨로 많은 관광객을 불러 모았던 유럽은 현재 심각한 폭염으로 몸살을 앓고 있다고 해요. 

 

보통 25℃ 이하였던 영국 런던의 여름 평균 기온이 40℃를 찍었고, 유럽 곳곳에서 철로가 휘고 도로포장이 위로 솟아오르며 잇따른 화재가 발생하고 있다고 합니다. 

 

공공 스포츠센터의 샤워장은 찬물만 제공하기 시작했고, 냉방 시스템이 갖추어지지 않은 대중교통 이용을 자제할 것을 권고하는 등 갑작스러운 기후변화와 러시아-우크라이나 전쟁 장기화로 인한 전력 부족이 맞물려 더욱 커져버린 위협에 명확한 대응책이 없어 비상에 걸렸다고 합니다.

 

 

 

정보통신(IT) 환경도 마찬가지입니다.


인터넷이 연결된 곳이라면 언제든 랜섬웨어 공격이 닥칠 수 있지만 아직까지 별 탈 없이 안정적으로 운영되었기 때문에 ‘괜찮을 거야~’하며 안일하게 있다가 기후변화처럼 준비되지 않은 상태에서 위협을 맞닥뜨리면 속수무책으로 당할 수밖에 없습니다.


업무에 필요한 중요 문서들이 모두 암호화되어 열리지 않게 되고 기업의 기밀이나 고객의 정보를 인질로 금전을 요구하고 최악의 경우 다크웹에 판매하기도 하는 악질적인 랜섬웨어 공격을 사전에 대응하는 것 만이 위협을 최소화하는 방법입니다.


최근 들어 기업을 타깃으로 하는 랜섬웨어 공격이 증가하고 있는데요, 이러한 공격으로부터 기업의 정보자산을 지키는 방법에 대해 새니가 소개해 드릴게요~!

 

 

 

 

▣ 랜섬웨어 공격에 대한 처벌

 

[그림1] 랜섬웨어 공격은 처벌의 대상

 

 

 

랜섬웨어 공격 자체가 처벌의 대상이라는 사실 알고 계셨나요?

 

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법) 제48조 제2항에서는 “누구든지 정당한 사유 없이 정보통신 시스템,  데이터 또는 프로그램 등의 훼손⋅멸실⋅변경⋅위조 또는 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라한다)을 전달 또는 유포하여서는 아니된다”라고 규정하고 있으며, 이를 위반하는 사람은 7년 이하의 징역 또는 7000만원 이하의 벌금형으로 처벌(동법 제70조의2) 받을 수 있다고 규정하고 있습니다.

 

<국가법령정보센터>

 

 

 

또한, 형법 제314조 제2항에서 “컴퓨터등 정보처리장치 또는 전자기록등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해하는 사람의 경우 5년 이하의 징역 또는 1천500만원 이하의 벌금형으로 처벌된다”라고 규정하고 있습니다.

 

<국가법령정보센터>

 

 

 

뿐만 아니라 랜섬웨어를 통해 개인의 정보를 유출할 경우, 개인정보 보호법 제70조 제2호에 따라 “거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선한 자”는 10년 이하의 징역 또는 1억원 이하의 벌금형으로 처벌받을 수 있습니다.

 

<국가법령정보센터>

 

 

 

 

▣ 랜섬웨어 대응 방안

 

[그림2] 랜섬웨어 대응 방안은?

 

 

 

과거에는 불특정 다수를 대상으로 주로 사용자 PC에 있는 파일을 암호화하거나 시스템을 사용하지 못하도록 하는 방식이었으나, 비트코인이 등장한 2013년 강력한 암호화 알고리즘으로 데이터를 암호화하고 돈을 요구하는 ‘크립토락커(CryptoLocker)’가 등장하면서 PC는 랜섬웨어에 속수무책이 되었습니다. 

 

기한 내 송금하지 않으면 파일 복구는 물론 컴퓨터를 사용할 수 없게 될 것이라고 협박하기 시작했고 이 방법이 통하지 않자 공격 대상의 데이터와 고객의 개인정보를 유출하기까지 협박의 강도를 높이고 있습니다.

 

국경을 초월하는 인터넷으로 인해 시간과 장소의 구애를 받지 않고 공격이 가능한 해커들은 주로 해외에 근거지를 두고 있기 때문에 잡아서 처벌하기란 대단히 어려운 일입니다. 또한 공격당한 데이터를 복구하는 것은 불가능이라고 볼 수 있는 일이므로 피해를 입기 전에 예방하는 것이 최선입니다.

 

현재 랜섬웨어에 대한 예방법으로 데이터의 백업체계 수립, 임직원의 보안 인식교육, 내부 시스템의 접근 통제 강화, 시스템 업그레이드 및 패치, 랜섬웨어 대응 솔루션 구축, 시스템 백업 등 다양한 대응방안들이 현존합니다. 

 

랜섬웨어 예방솔루션을 구축하거나 파일을 기타 공간에 백업하는 기술적 대응방안과 임직원의 보안 인식 제고와 보안 문화 구성과 같은 관리적인 대응방안이 있습니다.

 

 

 

첫째, 보안 기술적 대응방안

 

가장 기본이 되는 랜섬웨어 대응 방안은 CDR, 백신, APT, EDR, 샌드박스, 예방툴 등 랜섬웨어를 대응할 수 있는 솔루션을 도입하여 안전한 시스템 환경을 구축하는 방법입니다. 

 

공격파일의 구조를 분석하여 악성위협을 제거하는 CDR이나 시그니처 데이터를 기반으로 악성파일을 차단하는 백신 등 솔루션마다 각각의 방법론이 적용되어 있기 때문에 필요한 구간에 알맞은 솔루션을 도입하여 랜섬웨어를 사전 대응할 수 있습니다. 

 

"

대표적인 랜섬웨어 차단 기술인 CDR의 경우, 외부에서 유입되는 문서로 위장된 랜섬웨어 파일을 분해하여 악성위협을 모두 제거하고 원본과 동일하지만 안전한 형태로 재조립하여 문서형 랜섬웨어를 원천 차단합니다.

"

 

랜섬웨어는 악성코드의 일종이므로, 일반적인 악성코드 예방이 랜섬웨어 대응의 시작이라고 볼 수 있습니다. 

 

악성코드 예방방법에 대해 조금 더 기술적인 네 가지 방법을 소개해 드리겠습니다.

 

 

1. 데이터 백업 

미리 특정 폴더에 파일을 백업시키는 방법이 있는데랜섬웨어가 파일의 offset 접근하게 되면 그것을 탐지한 보안 프로그램이 파일들을 백업하는 방법

 

2. 암호화  경고 알림
컴퓨터의 특정 폴더에 미끼 파일을 저장해 놓고 있다가 랜섬웨어가 해당 파일을 암호화할 경고  알림을 주는 방법

 

3I/O 모니터링  파일 접근 권한 차단
랜섬웨어 프로그램이 작동하면서 프로세서를 생성하고그를 통해 파일 탐색  변경을 수행한다는 특성을 고려한 방법으로 그와 같은 과정에서 커널에 특정 처리를 요청하게 되는데 파일 I/O 모니터링하여 랜섬웨어를 인지하고 랜섬웨어의 파일 접근 권한을 차단하도록 하는 방법

 

4.확장자 시그니처 탐지
대개의 랜섬웨어가 파일을 암호화한 이후 기존의 확장자를 변경하는 것에 착안하여 랜섬웨어가 변경하는 확장자명을 수집하여 확장자 블랙리스트를 만들고랜섬웨어 프로세스가 그와 같은 작업을 수행하는 경우 랜섬웨어를 탐지해 내는 방법

 

 

 

둘째, 보안 관리적 대응 방안

 

우선적으로 솔루션과 보안기술적 방법을 통해 악성위협을 탐지하고 대응할 수 있는 시스템을 구축하여 안전한 성벽을 만들었지만, 공든 탑이 무너지는 것은 한순간입니다. 

 

시스템 보안이 견고할수록 공격자들은 무한한 구멍을 가진 휴먼에러(Human Error)로 눈을 돌리기 때문에 시스템을 다루고 사용하는 임직원들의 보안에 대한 노력과 의지가 수반되어야 합니다.

 

조직 구성원의 자율성, 소통, 탐구 등을 통해 자발적인 보안 인식을 제고하고, 의사결정과 행동 결과에 대한 개별 사용자들의 명확한 이해를 돕기 위해 반복적으로 훈련하고, 사고 발생 시 빠른 조치가 진행되도록 대응부서를 구성하는 등의 관리적 대응방안을 통해 사전 예방 및 사후 관리를 할 수 있습니다.

 

 

기업 담당자가 진행해야 할 관리적인 보안 대책을 소개해 드리겠습니다.

 

 

1. PC사용자들을 대상으로 하는 보안 인식교육, 랜섬웨어에 대한 예방교육을 통해서 여러 가지 감염경로를 사전 차단하고 랜섬웨어 감염 시 빠른 인식 및 통보를 위한 교육

 

2. 교육시간 충족 위주의 교육이 아닌 사용자의 책임과 자발성을 유도할 수 있는 사회과학 이론(인지 부조화 이론, 넛지 이론, 행동경제학 등)을 접목한 효과적인 커뮤니케이션 프로그램을 개발하고, 게임 및 심리학을 이용하여 일반 임직원들이 쉽고 재미있게 참여할 수 있도록 유도

 

3. 실제 발생할 수 있는 보안 위협 상황을 구현하여 랜섬웨어 파일이 들어있는 메일을 임직원에 발송하고 대응방안을 인지시키는 모의 훈련 실시 

 

4. 정교한 모니터링을 통해 위협요소가 될 수 있는 정책 위반 행위를 즉시 색출하여 즉각적 대응 후 교정활동을 위한 피드백 제공

 

5. 랜섬웨어 전담 대응부서를 구성하여 랜섬웨어 예방, 긴급대응, 방어에 대한 전문성을 향상시키고 이러한 전담부서를 구성하기 위해 기업의 관심과 예산투자는 필수적

 

 

 

 

▣ 랜섬웨어 복구툴

 

[그림3] 암호화된 랜섬웨어 파일을 복구하는 툴은?

 

 

 

앞서 소개해 드린 다양한 보안 예방법을 이행하고 있음에도 불구하고 랜섬웨어 감염이 발생할 수 있습니다. 

 

개인용 PC의 경우 콘센트나 랜선을 뽑아버리는 등 물리적인 중단으로 진행을 최소화할 수 있지만, 기업에서는 내부 환경에 맞게 설계된 프로세스를 따르다 보면 어느새 시스템이 랜섬웨어에 장악되기도 합니다. 

 

이때 공격자가 사용한 랜섬웨어가 공개된 암호화 공격일 경우 다음과 같은 사이트에서 제공하는 복구 프로그램을 통해 복구를 시도할 수 있습니다. 

 

 

 

 

복구툴 제공 사이트 및 지원 리스트

* 복구 프로그램 실행 시 중요한 파일은 반드시 복사본으로 실행하시기 바랍니다.

 

 

1) KISA 암호 역기능 대응 자료실

지원 가능 랜섬웨어 : Hive, Ragnar, LooCipher, SimpleLocker, Magniber

 

2) 노모어랜섬

* NO MORE RANSOME : 세계 각국 사법기관과 민간 보안 기업 등이 파트너로 참여하는 랜섬웨어 피해 예방 프로젝트
지원 가능 랜섬웨어 : 777 Ransom, EncrypTile, GandCrab, Globe/Purge, Jigsaw, MacRasom, Maze / Sekhmet / Egregor, WannaCryFake, djvu 등 가장 많은 툴 제공

 

3) 한국랜섬웨어침해대응센터

지원 가능 랜섬웨어 : TeslaCrypt, CryptXXX, Crypted

 

4) 안랩 랜섬웨어 보안센터 
지원 가능 랜섬웨어 : Magniber, CryptXXX 3.x 버전, 2.x 버전, Nabucur, TeslaCrypt의 일부

 

5) 이스트시큐리티 제공 복구툴
지원 가능 랜섬웨어 : CryptXXX(1,2,3v), TeslaCrypt, PETYA, Chimera, CoinVault, Linux.Encoder

 

6) 카스퍼스키 제공 복구툴
지원 가능 랜섬웨어 : Shade, Rakhni, Rannoh, CoinVault, Wildfire, Xorist 

 

7) 비트디펜더 제공 복구툴

지원 가능 랜섬웨어 : REvil/Sodinokibi

 

 

 

한 번의 공격으로 기업의 이미지를 실추시키고, 전산 시스템을 망가뜨려 업무를 방해하고, 데이터를 인질로 천문학적인 금액을 요구하고, 정보를 유출시키는 랜섬웨어 공격은 고객의 신뢰를 잃거나 투자가 줄어드는 등 기업에 직접적인 피해를 입히는 치명적인 공격입니다.

 

또한, 랜섬웨어에 감염되면 백업 데이터가 존재하지 않는 한 복원이 어렵습니다.


해커에게 비용을 지불하는 것 자체가 불법이지만 지불해도 해독키를 제대로 지원하지 않거나 다시 공격의 대상이 되어 이중협박으로 이어질 수 있으므로 랜섬웨어는 예방이 가장 확실한 대응 방법입니다. 

 

 

 

 

 

 

 

새니톡스(SaniTOX)의 더 자세한 내용은 아래 링크에서 확인하세요!

▶ 랜섬웨어 대응 솔루션 새니톡스 자세히 보기

 

 

 

 

 

 

 

[출처]

한국인터넷진흥원 (KISA). 2022년 1분기 랜섬웨어 동향 보고서

LG CNS 블로그 (2017). 사회공학적 해킹, 사람의 심리를 겨냥하다!. 2017.2.9

김정덕 (2018). 인간 중심 보안 전략. 브런치 디지털 비즈니스 보안 매거진. 2018.11.15

유리안나의 소소한 이야기 (2020)

해시넷 (2022). 랜섬웨어 (hash.kr)

박재승 (2017). 랜섬웨어(RansomWare)공격에 대한 기업의 방어체계 연구

이규빈 (2019). 랜섬웨어 특징정보 추출 및 탐지 연구

유다선 (2020). Endpoint Level의 효과적인랜섬웨어 대응방안 연구

박병태 (2016). 랜섬웨어에 의한 보안위협 및 대응방안

 

 

 

#새니톡스 #랜섬웨어 #랜섬웨어예방 #랜섬웨어대응방안 #랜섬웨어복구툴 #보안솔루션 #CDR #악성코드 #랜섬웨어 예방 솔루션 #랜섬웨어역사 #보안인식교육 #보안담당자 #보안교육 #랜섬웨어교육

  • 새니
    새니톡스 콘텐츠 요정
  • 노는 게 제일 좋은! 궁금한 건 못 참아서 끝까지 알아내고! 그 지식을 다양한 시각을 가진 사람들과 나누는 것을 좋아하는 지란인

최신글

  • [새니 이야기: 3화] 랜섬웨어에 대응하는 다양한 보안 솔루션
  • 얼마 전 다양한 주제로 선풍적인 인기를 끌었던 드라마 ‘이상한 변호사 우영우’ 재밌게 보셨나요? 자폐 스펙트럼 장애를 가진 천재 신입 변호사 우영우가 비장애인에게는 당연시되던 틀에 박힌 규칙과 문제들을 새로운 시각으로 바라보며 자기만의 방법으로 씩씩하게 해결해 나가는 성장과정을 다양한 에피소드를 통해 보여주었는데요, 결국 사랑도 이복동생의 마음도 지켜주며 정규직 변호사가 된 우영우변호사를 보며 괜스레 ‘뿌듯함’이라는 감정을 공감했답니다 ^o^
  • 새니2022-09-29
  • [새니 이야기: 4화] 공공기관이 랜섬웨어 유포지가 될 수 있다?!
  • 안녕하세요 랜섬웨어 예방 전문가 새니에요 ⸜(๑'ᵕ'๑)⸝ 여러분은 랜섬웨어가 어떻게 들어온다고 생각하시나요? 인터넷에서 파일 다운로드 하다가? 고객민원 게시글에 첨부된 링크를 클릭해서? 임직원들의 보안 인식이 높아지면서 인터넷에서 다운로드 받은 파일이 실행파일이면 의심하고, PC에 기본적으로 설치된 백신이 악성파일를 차단해버려 사용자 PC에 직접 유입되지 않습니다. 요즘 랜섬웨어는 이런 보안 기술을 우회하기 위해 실행파일(.exe)의 형태가 아닌 임직원에게 친숙한 비즈니스 문서 형태로 변화하여 접근하는 추세입니다. 엑셀, 한글, 파워포인트, PDF 같은 일반적인 문서파일 말이죠!
  • 새니2022-12-09