랜섬웨어는 장치의 파일을 암호화하여 액세스할 수 없게 만드는 일종의 악성 소프트웨어 또는 맬웨어입니다. 그런 다음 공격자는 파일을 해독하는 대가로 몸값을 요구합니다. 랜섬웨어는 1989년부터 존재해왔지만 최근 몇 년간 더욱 널리 퍼지고 정교해졌습니다.
랜섬웨어의 초기 형태는 상대적으로 단순하여 컴퓨터 시스템에 대한 액세스를 차단했습니다. 최신 랜섬웨어 변종은 한 쌍의 키(파일을 암호화하는 공개 키와 이를 해독하는 개인 키)를 생성하는 비대칭 암호화 알고리즘을 사용하여 시스템 하드 드라이브의 특정 파일을 암호화합니다. 파일을 다시 해독하고 액세스하는 유일한 방법은 공격자가 보유한 개인 키를 사용하는 것입니다.
랜섬웨어는 악성 첨부 파일이나 링크가 포함된 피싱 이메일을 통해 전달되는 경우가 많습니다. 피해자의 시스템에서 실행되면 파일을 암호화하고 액세스 복구 비용을 지불하는 방법에 대한 지침이 포함된 몸값 메모를 표시합니다. 몸값은 일반적으로 추적을 피하기 위해 비트코인과 같은 암호화폐에서 요구됩니다.
랜섬웨어에는 두 가지 주요 유형이 있습니다.
랜섬웨어는 수익성이 좋은 범죄 비즈니스 모델이 되었습니다. 피해자로부터 강탈되는 금액을 극대화하기 위해 새로운 변종들이 지속적으로 개발 및 출시되고 있습니다. 데이터 백업 및 직원 교육과 같은 사이버 보안 모범 사례를 통한 예방은 랜섬웨어에 대한 최선의 방어책입니다.
랜섬웨어는 파일을 암호화하거나 장치에 대한 액세스를 잠근 다음 액세스를 복원하기 위해 몸값을 요구하는 악성 코드의 한 형태입니다. 랜섬웨어 감염은 일반적으로 다음 세 가지 방법 중 하나로 발생합니다.
합법적인 소프트웨어로 위장한 트로이 목마는 의심하지 않는 사용자에 의해 다운로드되어 시스템에 랜섬웨어를 설치합니다. 이는 이메일 첨부 파일, 소프트웨어 크랙 또는 불법 복제된 미디어에 포함된 악성 코드를 통해 배포되는 경우가 많습니다.
피싱 이메일에는 클릭하거나 열면 랜섬웨어를 설치하는 악성 링크나 첨부 파일이 포함되어 있습니다. 이메일은 수신자가 페이로드를 다운로드하도록 속이기 위해 합법적인 회사에서 보낸 것처럼 보이도록 설계되었습니다.
일부 랜섬웨어는 네트워크 시스템이나 소프트웨어의 취약성을 이용하여 연결된 장치로 확산됩니다. 장치가 감염되면 랜섬웨어는 해당 시스템과 액세스할 수 있는 모든 네트워크 공유의 파일을 암호화합니다.
랜섬웨어 페이로드는 일반적으로 파일이나 시스템에 다시 액세스하기 위해 비트코인과 같은 암호화폐로 몸값을 지불할 것을 요구하는 메시지를 화면에 표시합니다. 몸값은 다양하지만 대개 수백 달러에서 수천 달러에 이릅니다. 하지만 몸값을 지불한다고 해서 액세스 권한이 복원된다는 보장은 없습니다.
랜섬웨어는 사이버범죄자들에게 수익성이 좋은 사업이 되었습니다. 악성코드 키트와 제휴 프로그램을 사용하면 고급 기술이 없는 사람이라도 쉽게 랜섬웨어 캠페인을 전개할 수 있습니다.
랜섬웨어가 수익성이 있는 한 개인과 조직 모두에 계속해서 위협을 가할 가능성이 높습니다. 안정적인 백업을 유지하고, 소프트웨어를 최신 상태로 유지하고, 사용자에게 사이버 위협에 대해 교육하는 것은 랜섬웨어에 대한 최선의 방어책 중 일부입니다.
사이버 보안 전문가가 알아야 할 랜섬웨어에는 스케어웨어, 화면 보관함, 암호화 랜섬웨어의 세 가지 주요 유형이 있습니다.
속임수 랜섬웨어라고도 알려진 Scareware는 피해자가 돈을 갈취하기 위해 시스템이 잠겨 있거나 손상되었다고 믿도록 속입니다. 불법 콘텐츠가 감지되었거나 시스템 파일이 암호화되었다고 주장하는 메시지가 표시되어 사용자가 "벌금"을 지불하도록 겁을 줍니다. 실제로 그러한 조치는 실제로 발생하지 않았습니다. Scareware는 일반적으로 바이러스 백신 소프트웨어를 사용하여 쉽게 제거할 수 있습니다.
화면 잠금 장치 또는 잠금 화면 랜섬웨어는 로그인 화면에 전체 화면 메시지를 표시하여 사용자가 장치에 액세스할 수 없도록 잠급니다. 화면을 잠가서 시스템에 대한 액세스를 차단하지만 실제로 파일을 암호화하지는 않습니다. 잘 알려진 예로는 Reveton과 FbiLocker가 있습니다. 실망스럽기는 하지만 일반적으로 화면 보관함은 영구적인 손상을 입히지 않으며 악성 코드 제거 도구를 사용하여 제거할 수 있는 경우가 많습니다.
랜섬웨어 암호화는 가장 심각한 유형이다. 해독 키 없이는 해독하기 어려운 암호화 알고리즘을 사용하여 감염된 시스템의 파일을 암호화합니다. 랜섬웨어는 암호 해독 키를 대가로 암호화폐로 지불을 요구합니다. 몸값을 지불하지 않으면 파일은 암호화된 상태로 유지되어 액세스할 수 없습니다.
랜섬웨어 암호화의 악명 높은 예로는 WannaCry, Petya 및 Ryuk이 있습니다. 랜섬웨어를 암호화하려면 몸값을 지불하지 않으면 데이터 복구가 매우 어렵기 때문에 예방 및 백업 전략이 필요합니다.
모바일 랜섬웨어는 휴대폰을 감염시켜 모바일 장치에 액세스할 수 없도록 하는 악성 코드 유형입니다. 일단 감염되면 맬웨어는 모든 데이터를 암호화하고 이를 복원하기 위해 몸값을 요구합니다. 몸값을 지불하지 않으면 악성 코드가 데이터를 삭제할 수도 있습니다.
랜섬웨어를 방어하기 위해 조직은 직원 교육, 강력한 보안 제어, 바이러스 백신 소프트웨어, 시스템을 최신 상태로 유지하고 안전한 데이터 백업을 유지하는 데 중점을 두어야 합니다. 몸값을 지불하는 것은 추가 범죄 활동을 조장할 뿐이며 파일이 복구된다는 보장은 없으므로 피해야 합니다. 경계심과 선제적인 방어 조치를 통해 랜섬웨어의 영향을 최소화할 수 있습니다.
랜섬웨어 공격은 최근 몇 년 동안 점점 더 흔해지고 피해를 입히고 있습니다. 여러 가지 주요 사건은 조직이 이러한 위협에 얼마나 취약해졌는지를 강조합니다.
2017년 200,000월, WannaCry 랜섬웨어 공격은 150개국에서 4대 이상의 컴퓨터를 감염시켰습니다. 이는 Microsoft Windows 운영 체제의 취약점을 표적으로 삼아 파일을 암호화하고 비트코인으로 몸값을 요구했습니다. 영국의 국민보건서비스(National Health Service)가 큰 타격을 입어 일부 병원에서는 비응급 환자를 거부해야 했습니다. 총 피해액은 XNUMX억 달러를 넘어섰습니다.
WannaCry 직후 NotPetya가 등장했습니다. 랜섬웨어로 위장한 NotPetya는 실제로 데이터를 파괴하도록 설계된 와이퍼 바이러스였습니다. 이는 전력회사, 공항, 은행과 같은 우크라이나 인프라를 무너뜨렸습니다. NotPetya는 전 세계적으로 확산되어 FedEx, Maersk 및 Merck와 같은 회사를 감염시킵니다. NotPetya는 10억 달러 이상의 피해를 입혀 당시 역사상 가장 큰 비용이 드는 사이버 공격이 되었습니다.
2019년에는 Ryuk 랜섬웨어가 100개 이상의 미국 신문을 표적으로 삼았습니다. 이 공격은 파일을 암호화하고 인쇄 작업을 중단했으며 3만 달러의 몸값을 요구했습니다. 몇몇 신문은 며칠 동안 작은 판을 발행하거나 온라인 전용으로 전환해야 했습니다. Ryuk은 이후 의료, 물류, 금융 등 다른 분야에도 진출했습니다. 전문가들은 류크를 북한 정부가 후원하는 정교한 단체와 연관시킵니다.
랜섬웨어는 급속히 국가 안보 위협이자 경제적 위협이 되었습니다. 의료, 정부, 미디어, 해운, 금융 서비스가 선호되는 공격 대상으로 보이지만 모든 조직이 위험에 처해 있습니다. 몸값 요구 금액은 6~7자리인 경우가 많으며, 비용을 지불하더라도 데이터 복구가 보장되지 않습니다. 기업과 정부가 랜섬웨어를 방어할 수 있는 유일한 방법은 경계, 준비, 협력을 통해서입니다.
직원을 교육하고, 오프라인 백업을 유지하고, 소프트웨어를 최신 상태로 유지하고, 사고 대응 계획을 제정하면 취약성을 줄이는 데 도움이 될 수 있습니다. 그러나 랜섬웨어로 이익을 얻을 수 있는 한, 이는 계속되는 싸움으로 남을 가능성이 높습니다.
에 ransomware 금지 감염에 대비하여 조직은 직원 교육, 강력한 보안 제어 및 안정적인 백업에 초점을 맞춘 다층적 접근 방식을 구현해야 합니다.
직원들은 악성 링크나 첨부 파일이 포함된 피싱 이메일을 통해 랜섬웨어 공격의 대상이 되는 경우가 많습니다. 이러한 위협에 대해 직원을 교육하고 잠재적인 공격을 발견하는 방법에 대한 교육을 제공하는 것이 중요합니다. 직원들은 민감한 정보나 링크에 대한 원치 않는 요청을 조심해야 하며 알 수 없거나 신뢰할 수 없는 보낸 사람이 보낸 첨부 파일을 열지 않도록 교육해야 합니다. 정기적인 알림과 모의 피싱 캠페인은 교훈을 강화하고 개선이 필요한 영역을 식별하는 데 도움이 될 수 있습니다.
네트워크 분할은 네트워크의 일부를 더 작은 네트워크로 분리하여 액세스를 더 효과적으로 제어하고 감염을 억제합니다. 랜섬웨어가 하나의 세그먼트에 진입하면 분할을 통해 전체 네트워크로 확산되는 것을 방지합니다. 바이러스 백신 소프트웨어, 침입 방지 시스템, 정기적인 패치를 포함한 강력한 엔드포인트 보호 기능은 랜섬웨어 및 기타 악성 코드를 차단하는 데 도움이 됩니다. 원격 액세스 및 관리자 계정에 대한 2단계 인증은 추가 보안 계층을 제공합니다.
몸값을 지불하지 않고 랜섬웨어 공격으로부터 복구하려면 자주 중복되는 데이터 백업이 중요합니다. 네트워크가 손상된 경우 백업은 오프라인 및 오프사이트에 저장되어야 합니다. 정기적으로 백업 복원을 테스트하여 프로세스가 작동하고 데이터가 손상되지 않았는지 확인하세요. 랜섬웨어가 파일을 암호화하는 경우 액세스 가능한 백업이 있으면 영구적인 데이터 손실을 방지하고 몸값을 지불할 필요가 없습니다.
기타 유용한 제어에는 사용자 권한 및 권한 제한, 비정상적인 네트워크 활동과 같은 손상 징후 모니터링, 감염 시 사고 대응 전략 계획 등이 포함됩니다. 최신 랜섬웨어 위협 및 공격 방법에 대한 최신 정보를 유지하고 해당 지식을 조직 전체에 공유하면 IT 팀이 적절한 방어를 구현하는 데 도움이 됩니다.
강력한 통제와 교육 및 준비에 집중함으로써 조직은 랜섬웨어 공격의 피해자가 되는 것을 피할 수 있습니다. 그러나 모범 사례가 마련되어 있더라도 랜섬웨어는 항상 존재하는 위협입니다. 제어 및 대응을 정기적으로 테스트하면 공격이 성공할 경우 피해를 최소화하는 데 도움이 됩니다. 이러한 방어 계층을 함께 구현하면 랜섬웨어에 대한 최상의 보호 기능을 제공합니다.
랜섬웨어 공격에는 피해를 최소화하고 복구를 보장하기 위한 신속하고 전략적인 대응이 필요합니다.
랜섬웨어 감염을 발견한 경우 첫 번째 단계는 감염된 시스템을 격리하여 맬웨어가 더 이상 확산되지 않도록 하는 것입니다. 다음으로, 공격의 범위와 심각도를 결정하여 어떤 시스템과 데이터가 영향을 받았는지 식별합니다. 백업 데이터를 보호하고 저장 장치를 분리하여 암호화로부터 보호하세요.
시스템을 격리하면 전문가가 랜섬웨어를 억제하고 제거할 수 있습니다. 시스템을 검사하고 악성 파일을 삭제하려면 바이러스 백신 소프트웨어와 악성 코드 제거 도구를 사용해야 합니다. 심하게 감염된 시스템의 경우 백업을 통한 전체 시스템 복원이 필요할 수 있습니다. 이 과정에서 시스템의 재감염을 모니터링하세요.
랜섬웨어 변종은 탐지를 회피하기 위해 끊임없이 진화하고 있으므로 고급 변종을 완전히 제거하려면 맞춤형 도구와 기술이 필요할 수 있습니다. 어떤 경우에는 몸값을 지불하지 않으면 랜섬웨어의 암호화를 되돌릴 수 없습니다. 그러나 몸값을 지불하는 것은 범죄 활동에 자금을 지원하고 데이터 검색을 보장하지 않으므로 절대적인 최후의 수단으로만 고려해야 합니다.
랜섬웨어 공격 이후에는 방어력을 강화하고 재감염을 방지하기 위해 보안 정책 및 절차에 대한 포괄적인 검토가 필요합니다. 사이버 위험 및 대응에 대한 추가 직원 교육도 필요할 수 있습니다.
암호화된 데이터를 복원하기 위해 조직은 백업 파일을 사용하여 감염된 시스템을 덮어쓰고 정보를 복구할 수 있습니다. 정기적인 오프라인 데이터 백업은 랜섬웨어로 인한 데이터 손실을 최소화하는 데 중요합니다. 시간이 지남에 따라 여러 버전의 백업을 통해 초기 감염 이전 시점으로 복원할 수 있습니다.
백업 파일도 암호화된 경우 일부 데이터는 복구할 수 없는 상태로 남아 있을 수 있습니다. 이러한 상황에서 조직은 손실된 정보를 다시 생성하거나 다른 소스에서 얻을 수 있는지 확인해야 합니다. 영구적인 데이터 손실을 수용하고 특정 시스템을 완전히 재구축할 계획을 세워야 할 수도 있습니다.
랜섬웨어 공격은 파괴적일 수 있지만 빠른 사고와 올바른 전략을 통해 조직은 이를 극복할 수 있습니다. 경계심을 늦추지 않고 다양한 시나리오에 대비하면 재난이 닥쳤을 때 가장 효과적인 대응이 보장됩니다. 사이버 방어에 대한 지속적인 평가와 개선은 장기적으로 위험을 줄이는 데 도움이 될 수 있습니다.
최근 랜섬웨어 공격이 증가하고 있습니다. Cybersecurity Ventures에 따르면 전 세계 랜섬웨어 피해 비용은 20년 2021억 달러에서 11.5년 2019억 달러에 이를 것으로 예상됩니다. Symantec의 인터넷 보안 위협 보고서에 따르면 105년부터 2018년까지 랜섬웨어 변종이 2019% 증가한 것으로 나타났습니다.
오늘날 가장 일반적인 유형의 랜섬웨어는 잠금 화면 랜섬웨어, 암호화 랜섬웨어, 이중 강탈 랜섬웨어입니다. 잠금 화면 랜섬웨어는 사용자를 장치에 액세스할 수 없도록 잠급니다. 암호화 랜섬웨어는 파일을 암호화하고 암호 해독 키에 대한 비용을 요구합니다. 이중 강탈 랜섬웨어는 파일을 암호화하고 비용을 요구하며, 지불하지 않으면 도난당한 민감한 데이터를 공개하겠다고 위협합니다.
랜섬웨어 공격은 의료 기관, 정부 기관, 교육 기관을 대상으로 하는 경우가 많습니다. 이러한 조직은 민감한 데이터를 보유하고 있는 경우가 많으며 중단 및 데이터 침해를 방지하기 위해 몸값을 기꺼이 지불할 가능성이 높습니다. 그러나 몸값을 지불하면 사이버 범죄자가 랜섬웨어 활동을 계속하고 확장할 수 있습니다.
대부분의 랜섬웨어는 피싱 이메일, 악성 웹사이트, 소프트웨어 취약점을 통해 전달됩니다. 악성 첨부 파일이나 링크가 포함된 피싱 이메일은 여전히 가장 인기 있는 감염 벡터입니다. 더 많은 조직이 이메일 보안을 강화함에 따라 공격자가 액세스 권한을 얻기 위해 패치되지 않은 소프트웨어 취약점을 악용하는 경우가 점점 더 늘어나고 있습니다.
랜섬웨어의 미래에는 더욱 표적화되고 데이터를 훔치는 공격, 더 높은 몸값 요구, 추적을 피하기 위한 암호화폐 사용이 포함될 수 있습니다. 사이버 범죄자가 기술이 부족한 공격자에게 랜섬웨어 도구와 인프라를 임대하는 서비스형 랜섬웨어(Ransomware-as-a-Service)도 증가하고 있으며 더 많은 사람들이 랜섬웨어 캠페인을 더 쉽게 수행할 수 있게 해줍니다.
랜섬웨어 위협에 맞서기 위해 조직은 직원 교육, 강력한 이메일 보안, 정기적인 소프트웨어 패치 및 오프라인에 저장된 빈번한 데이터 백업에 집중해야 합니다. 포괄적인 보안 관행을 마련하면 랜섬웨어 및 기타 사이버 공격의 영향을 크게 줄일 수 있습니다.
전 세계 정부와 국제기구에서는 랜섬웨어 공격의 증가와 이로 인한 피해에 주목하고 있습니다. 랜섬웨어 퇴치에 도움이 되는 다양한 노력이 진행 중입니다.
ENISA로도 알려진 유럽 연합 사이버 보안 기관은 랜섬웨어 공격을 예방하고 대응하기 위한 권장 사항과 전략을 발표했습니다. 지침에는 직원 교육, 데이터 백업 프로토콜 및 법 집행 기관과의 조정이 포함됩니다.
국제형사경찰기구인 인터폴(Interpol)도 랜섬웨어의 위협에 대해 경고하고 랜섬웨어를 배포하는 사이버 범죄자의 활동 방식에 대해 194개 회원국에 "보라색 공지"를 발표했습니다. 인터폴은 조직과 개인에게 랜섬웨어 위험을 경고하고 사이버 방어 강화를 위한 권장 사항을 제공하는 것을 목표로 합니다.
미국에서는 법무부가 REvil 및 NetWalker와 같은 특정 랜섬웨어 변종을 배포하는 공격자에 대해 법적 조치를 취했습니다. DOJ는 가능한 경우 랜섬웨어 공격의 가해자를 식별하고 기소하기 위해 국제 파트너와 협력합니다. 사이버 보안 및 인프라 보안 기관(CISA)은 랜섬웨어로부터 네트워크를 보호하는 데 도움이 되는 리소스, 교육 및 자문을 제공합니다.
세계 최대 선진국들로 구성된 G7은 사이버 보안을 개선하고 랜섬웨어와 같은 사이버 위협에 맞서 싸우겠다는 약속을 확인했습니다. 2021년 정상회담에서 G7은 사이버 공간에서의 책임 있는 행동 원칙과 사이버 문제에 대한 협력에 대한 지지를 약속했습니다.
정부 조치와 국제 협력은 올바른 방향으로 나아가는 단계이지만 공공 및 민간 부문 조직도 랜섬웨어를 방어하는 데 적극적인 역할을 수행해야 합니다. 데이터 백업, 직원 교육 및 시스템을 최신 상태로 유지하는 것은 정부 및 글로벌 동맹의 노력과 결합하여 랜섬웨어 공격의 영향을 억제하는 데 도움이 될 수 있는 중요한 조치입니다.
사이버 범죄 전술이 더욱 정교해짐에 따라 조직과 개인이 랜섬웨어와 같은 새로운 위협을 이해하는 것이 중요합니다.
랜섬웨어 공격은 개인적인 위반처럼 느껴질 수 있지만 침착함과 체계적인 태도를 유지하는 것이 손실을 최소화하면서 상황을 해결하는 가장 좋은 방법입니다. 지식, 준비, 올바른 도구 및 파트너가 있다면 랜섬웨어가 게임 종료를 의미할 필요는 없습니다.
최신 변종, 공격 벡터 및 권장 보안 관행에 대한 최신 정보를 유지하면 가해자가 아닌 강력한 힘을 확보할 수 있습니다.
