랜섬웨어 위협으로부터 조직을 보호하기 위한 권장사항

* 본 아티클의 원문은 2021년 5월 22일 Google Cloud 블로그(영문)에 게재되었습니다.     

사용자 또는 조직의 가장 중요한 파일이나 데이터를 암호화하여 읽기 불가능한 상태로 만드는 일종의 멀웨어인 랜섬웨어는 컴퓨터 보안 업계에서 더 이상 새로운 위협이 아닙니다. 사이버 범죄자가 데이터 해독 및 액세스 복원을 대가로 금전을 요구하는 경제적인 동기를 갖고 자행하는 이러한 파괴적인 공격 형태에 대해 이미 수년 동안 많은 연구들이 진행되었습니다. 오늘날 이러한 공격은 점점 더 많은 분야로 확장되었으며 의료, 가솔린 연료 공급 등 필수적인 서비스 분야까지 영향을 주고 있습니다. 이러한 위협을 저지하려는 시도에도 불구하고 랜섬웨어는 모든 산업 부문의 조직에 계속해서 영향을 주고 있습니다. 그 결과 비즈니스 프로세스 및 중요한 국가 기간 서비스가 상당한 차질을 겪었고, 많은 조직들이 스스로를 보호할 수 있는 더 나은 방법을 찾고 있습니다. 레거시 시스템은 정기적인 패치 및 유지보수가 이뤄지지 않을 수 있기 때문에, 이러한 시스템을 계속 이용하는 조직은 랜섬웨어 위협에 특히 취약합니다. 

Google은 20년이 넘는 기간 동안 최신 기술 스택을 활용하여 규모에 맞게 보호할 수 있는 보다 안전한 환경을 제공함으로써 클라우드에서 안전하게 운영해오고 있습니다. Google은 고객들도 Google의 혁신적인 보안 기술을 사용할 수 있도록 Google 플랫폼 및 제품을 통해 제공하기 위해 노력하고 있습니다. 이러한 노력은 업계에서 가장 신뢰할 수 있는 클라우드가 되고자 하는 Google의 목표를 뒷받침합니다. 랜섬웨어 위협은 그전부터 있던 것이지만 오래된 위협이든 새로 등장한 위협이든 고객 보호에 대한 Goolge의 책임은 결코 변하지 않습니다. 이 게시물에서는 랜섬웨어에 대한 조직의 대처 능력을 키우는 방법과 여기에 도움이 되는 몇 가지 Google Cloud 제품 및 서비스에 대해 살펴보고자 합니다.

랜섬웨어 대비를 위한 포괄적이고 방어적인 보안 태세 개발

랜섬웨어를 비롯한 다양한 위협에 대비한 강력한 보호를 위해서는 다중적인 방어 계층이 필요합니다. 미국 국립 표준 기술 연구소(NIST)는 모든 공공 기관 및 민간 조직에서 성공적이고 포괄적인 사이버 보안 프로그램을 만드는 데 기본 규칙으로 사용할 수 있는 사이버 보안 프레임워크의 5가지 기본 원칙을 규정하고 있습니다. 아래에는 NIST의 권장사항과 함께 Google Cloud 기술을 활용해 랜섬웨어 위협에 대처하는 방법에 관한 예가 정리되어 있습니다.

첫 번째 원칙 - 식별: 조직 내 애셋, 시스템, 데이터, 사람, 기능 범위 내에서 관리가 필요한 사이버 보안 위험이 무엇인지 파악해야 합니다. 랜섬웨어와 관련해서는 랜섬웨어 공격 대상으로 지정될 가능성이 가장 높은 시스템 또는 프로세스를 식별하고 특정 시스템을 사용할 수 없게 되었을 때 비즈니스에 미칠 수 있는 영향을 파악해야 합니다. 이를 통해 우선순위를 지정하고 위험 관리 노력을 집중할 수 있습니다.

Google의 보안 혁신을 위한 CISO 가이드 백서에서는 클라우드 보안을 위해 위험 회피가 아닌 정보에 입각한 위험 관리 방식을 구현하는 단계를 설명합니다. 정보에 입각한 위험 관리 방식을 실행하면 이미 완화 방법을 알고 있는 위험이 아닌 가장 중요한 보안 위험에 대응할 수 있습니다. 클라우드 서비스 제공업체는 최신 보안 위협을 완화하기 위해 필요한 제어 수단 및 도구를 개발하고 유지보수함으로써 이러한 정보에 입각한 위험 관리 방식을 더 쉽고 더 효율적인 방식으로 사용할 수 있게 해줍니다. Cloud 애셋 인벤토리와 같은 서비스는 IT 운영, 보안 분석, 감사, 거버넌스와 같은 태스크를 위해 한 곳에서 모든 애셋을 검색, 모니터링, 분석할 수 있게 해주는 메커니즘을 제공합니다. 

두 번째 원칙 - 보호: 중요 서비스 및 비즈니스 프로세스를 제공할 수 있도록 보호 장치를 마련하여 잠재적인 사이버 보안 사고 또는 공격의 영향을 제한하거나 억제해야 합니다. 랜섬웨어의 경우 이러한 보호 장치에는 사용자 액세스 및 기기 무결성을 위해 강력한 보호 및 인증 방법을 제공하고, 환경을 세분화하고, 실행 파일을 인증하고, 피싱 위험을 줄여주고, 스팸 및 멀웨어를 필터링하고, 엔드포인트 보호를 통합하고, 일관성 있게 패치를 적용하고, 연속적인 제어를 제공하는 제로 트러스트와 같은 프레임워크가 포함될 수 있습니다. 이 단계에서 활용할 수 있는 몇 가지 제품 및 전략 예시는 다음과 같습니다.

• 본질적으로 안전한 클라우드 기반 이메일 플랫폼: 이메일은 많은 랜섬웨어 공격에서 핵심적으로 사용됩니다. 불법적인 네트워크 액세스를 위해 사용자 인증 정보를 피싱하거나 랜섬웨어 바이너리를 직접 배포하는 데 악용될 수 있습니다. Gmail의 피싱 및 멀웨어 고급 차단 설정 기능은 이메일 격리를 위한 제어 수단을 제공하고, 비정상적인 첨부파일 유형으로부터 시스템을 방어하며, 인바운드 스푸핑 이메일로부터 시스템을 보호합니다. 보안 샌드박스는 첨부파일에 이전에 알려지지 않은 멀웨어가 포함되었는지 여부를 감지합니다. 그 결과 Gmail에서는 99.9%가 넘는 스팸, 피싱, 멀웨어가 사용자의 받은편지함으로 전송되지 않고 차단됩니다. 자주 악용되는 레거시 온프레미스 이메일 시스템과 달리 Gmail은 최신 보안 개선 사항 및 보호 조치가 지속적으로 그리고 자동으로 업데이트되어, 조직의 이메일을 안전하게 유지해 줍니다.
• 계정 탈취에 대한 강력한 방어: 랜섬웨어 공격자는 도용된 계정을 이용해서 피해 조직에 침투할 발판을 얻고, 정찰을 수행하고, 데이터 무단 액세스 권한을 획득하며, 악성 바이너리를 설치합니다. Google 고급 보호 프로그램은 계정 탈취에 대해 가장 강력한 방어 기능을 제공합니다. 이 프로그램 참여자 중 피싱을 당한 사용자는 아직 한 명도 없습니다. 또한 Google Cloud는 이상 감지를 위한 여러 계층의 머신러닝 시스템을 사용하여 브라우저, 기기, 애플리케이션 로그인, 기타 사용 이벤트 전반에서 정상적인 사용자 활동과 이상이 있는 사용자 활동을 구분합니다. 
• 공격자 액세스 및 측면 이동을 제한하는 제로 트러스트 액세스 제어: BeyondCorp Enterprise는 중요한 비즈니스 애플리케이션 및 리소스에 대해 제로 트러스트 액세스를 구현하기 위한 턴키 솔루션을 제공합니다. 제로 트러스트 액세스 모델에서는 승인된 사용자에게 전체 기업 네트워크가 아닌 개별 앱에 대한 특정 시점의 액세스 권한만 부여되며, 액세스가 계속 유효한지 확인하기 위해 지속적으로 권한 평가가 수행됩니다. 이러한 방식으로 랜섬웨어 공격자가 민감한 정보를 노리고 감염을 확산시키기 위해 사용하는 네트워크 간의 측면 이동을 방지합니다. BeyondCorp의 보호 기능은 리소스에 대한 RDP 액세스에도 적용될 수 있습니다. RDP 액세스는 랜섬웨어 공격자가 안전하지 않은 레거시 Windows Server 환경에 대한 액세스 권한을 확보하고 유지하기 위해 사용하는 가장 일반적인 방법 중 하나입니다. 
• Chrome의 기업 위협 방지: Chrome은 Google 세이프 브라우징 기술을 활용하여 매주 수백만 건의 멀웨어 다운로드 사고를 방지하고 있습니다. Chrome을 통해 제공되는 BeyondCorp Enterprise의 위협 방지 기능은 실시간 URL 검사 및 파일 정밀 스캔을 활용하여 랜섬웨어를 비롯해 이전에 알려지지 않은 멀웨어로부터의 감염을 방지합니다.

• 보안을 위해 설계된 엔드포인트: Chromebook은 기기 내 적은 공간, 읽기 전용, 지속적이고 보이지 않는 운영체제 업데이트, 샌드박스, 자체 검사 부팅, 세이프 브라우징, Titan C 보안 칩으로 피싱 및 랜섬웨어 공격으로부터 사용자를 보호하도록 설계되었습니다. 주로 브라우저에서 작업을 수행하는 사용자에게 ChromeOS 기기를 배포하면 조직에서 공격에 노출되는 영역을 줄일 수 있습니다. 예를 들어 레거시 Windows 기기의 과도한 사용은 공격에 취약한 경우가 많은 것으로 확인되었습니다.

세 번째 원칙 - 감지: 조직을 모니터링하고 잠재적인 사이버 보안 사고를 식별할 수 있는 지속적인 방법을 정의해야 합니다. 랜섬웨어의 경우 침입 시도 감시, 조직 내 민감한 정보 무단 반출을 감지하기 위한 데이터 손실 방지(DLP) 솔루션 배포, 랜섬웨어 실행 및 전파의 초기 증상 검사가 포함될 수 있습니다.  

랜섬웨어와 관련된 악성 활동을 가능한 한 빨리 찾아내고 멈추는 것이 비즈니스 업무 중단을 방지하기 위한 핵심입니다. Chronicle은 랜섬웨어를 비롯하여 다양한 위협을 비교할 수 없는 빠른 속도와 규모로 식별할 수 있게 해주는 위협 감지 솔루션입니다. Google Cloud Threat Intelligence for Chronicle은 인터넷 기반 위협에 대한 Google의 집단지성과 연구를 바탕으로 실행 가능성이 매우 높은 위협을 탐지합니다. Threat Intel for Chronicle은 환경 내 실질적인 위협에 집중하고 대응 시간을 앞당길 수 있게 해줍니다. 

DLP 기술은 또한 랜섬웨어 공격자가 공격할 가능성이 높은 데이터를 감지하는 데도 유용합니다. Cloud DLP와 같은 데이터 검색 기능을 사용하면 실수로 일반에 공개된 민감한 정보를 감지하고 노출된 코드에서 액세스 사용자 인증 정보를 감지할 수 있습니다.

네 번째 원칙 - 대응: 조직 내에서 보안 사고(이 경우, 랜섬웨어)의 영향을 억제하는 데 도움이 될 수 있는 사고 대응 프로그램을 운영해야 합니다.  

랜섬웨어 공격 또는 보안 사고가 발생했을 때는 내부 팀 및 외부 파트너와 고객들에 대한 통신을 보호하는 것이 중요합니다. 레거시 Office 환경을 구축한 많은 조직이 Google Workspace 환경으로 전환했습니다. Google Workspace는 훨씬 더 표준화되고 안전한 온라인 협업 기능을 제공하고 보안 사고가 발생한 경우에도 새로운 인스턴스를 신속하게 설치하여 대응 조치를 위한 별도의 안전한 환경을 빠르게 제공할 수 있기 때문입니다. 

다섯 번째 원칙 - 복구: 보안 사고(이 경우, 랜섬웨어)의 영향을 받은 핵심 시스템 또는 애셋 복구 방법을 마련하기 위해 사이버 복구 프로그램 및 백업 전략을 빌드해야 합니다. 이것은 복구 타임라인을 지원하고 사이버 보안 침해 사건의 영향을 줄임으로써 비즈니스 운영을 복원하기 위한 핵심 기능입니다. 

랜섬웨어 공격이 발생하는 즉시, 감염되지 않은 것으로 확인된 안전한 특정 시점 백업 이미지가 식별되어야 합니다. Actifio GO는 확장 가능하고 효율적인 증분 방식의 데이터 보호 기능과 고유한 방식의 거의 즉각적인 데이터 복구 기능을 제공합니다. 이러한 거의 즉각적인 복구 기능을 통해 깨끗한 복원 지점을 빠르게 식별하고, 비즈니스 기능을 신속하게 재개할 수 있습니다. Actifio GO는 인프라 제약이 없으며, 온프레미스 및 클라우드에 있는 모든 애플리케이션을 보호할 수 있습니다. 

Google Workspace에서 사용자 컴퓨터의 파일이 멀웨어로 감염된 경우 이를 Google 드라이브에 동기화했다면 이 파일을 복구할 수 있습니다. 또한 위험 보호 프로그램과 같은 강력한 리스크 전가 프로그램은 사이버 위험 관리를 위한 포괄적인 접근 방식의 핵심 요소입니다. 

비즈니스 및 IT 리더를 위한 랜섬웨어 방지 및 완화 관련 주요 고려사항

랜섬웨어 위협에 대비하여 포괄적인 방어 전략을 계획할 때 다음과 같은 몇 가지 핵심 사항을 고려해야 합니다.

• 조직에 랜섬웨어 대비책이 준비되어 있나요? 어떤 내용이 포함되어 있나요? 위험 및 보안 목표에 대한 공동의 이해를 기반으로 클라우드 제공업체와의 강력한 파트너십을 요구해야 합니다.
• 멀웨어로부터 조직 데이터, 시스템, 직원을 보호하기 위한 방법은 무엇인가요?
• 조직 시스템이 최신 상태이고 지속적으로 패치가 적용되나요?
• 데이터 무단 반출 또는 기타 부정행위를 감시하고 있나요?
• 어떠한 포괄적인 제로 트러스트 접근 방식을 취하고 있나요? 특히 정보에 액세스하는 직원에 대해 어떤 강력한 인증 방법을 도입하고 있나요?
• 보증 수준이 높고 변경이 불가능한 위치에 올바른 백업을 보관하고 백업이 올바르게 작동하는지 테스트하고 있나요? 여기에는 주요 애셋 및 데이터에 대한 정기적인 복원을 수행하는 테스트가 포함되어야 합니다.
• 조직의 위험 관리 및 사이버 보안 침해 사건 또는 사고에 대한 대응을 철저하게 검증하기 위하여 어떤 반복 훈련을 시행하고 있나요?

지속적으로 진화하는 랜섬웨어 공격

최근에 랜섬웨어 공격자들은 데이터가 암호화되기 전에 이를 유출시킴으로써 갈취할 수 있는 전략을 포함하는 방향으로 공격 기술을 발전시키고 있습니다. 또한 일부 랜섬웨어 공격자들은 대금을 확실히 받아내기 위해 피해 조직에 DDoS 공격을 가하겠다고 위협하기도 했습니다. DDoS 공격은 또한 보안팀의 주의를 분산시킴으로써 데이터 무단 반출 또는 비즈니스 핵심 데이터 암호화와 같은 다른 목표를 달성하기 위한 수단으로도 사용될 수 있습니다. 대규모 DDoS 공격을 막을 수 있도록 확장 가능한 Google Cloud Armor를 배포하면 Google Cloud, 다른 클라우드 또는 온프레미스에 배포된 서비스를 DDoS 공격으로부터 보호할 수 있습니다.