랜섬웨어 공격 차단: 한 도시의 사이버 범죄와의 전쟁

이 경우 시 정부는 운이 좋았습니다. 보안팀은 공격이 시작된 직후에 발견해 영향을 받은 네트워크 세그먼테이션을 격리하고 피해를 최소화할 수 있었습니다. 

공격이 시작된 부서는 그들의 표현에 따르면 "구식 방식"으로, 즉 기술 없이 업무를 처리해야 했지만, 나머지 부서들은 대부분 피해를 입지 않고 넘어갈 수 있었습니다. 그럼에도 불구하고 복구에 수주가 소요되었으며, 이로 인해 해당 부서가 커뮤니티에 제공하는 핵심 서비스가 중단되었습니다.

공격자는 어떻게 시 네트워크에 접속할 수 있었을까요? 포렌식 분석 결과, 공격자는 감염된 벤더사 계정(HVAC 엔지니어 기억하시나요?)을 이용해 시의 VPN에 접속한 뒤, HVAC 시스템의 엔드포인트에 접근한 것으로 드러났습니다. 해커는 연결된 후 특권 인증정보를 수집해 권한을 상승시키고 피해 컴퓨터를 이용해 네트워크에서 측면 이동할 수 있었습니다. 

유감스럽게도 이는 흔한 사례입니다. 데이터 유출 및 랜섬웨어 공격은 종종 벤더사 접속 인증정보의 감염으로 시작됩니다. 벤더사를 해킹하는 것은 랜섬웨어 그룹에게 수익성 있는 전략이 될 수 있습니다. 단일 기업을 감염시킴으로써 여러 표적의 접속 인증정보를 획득할 수 있기 때문입니다.

이 접속 방법은 최근에 꽤 흔해졌지만 유일한 방법은 아닙니다. 현재까지 랜섬웨어 위협의 주요 감염 기법은 피싱 이메일과 원격 데스크톱 프로토콜 공격입니다.

피싱은 여전히 매우 효과적인 공격 수단입니다. 기술의 발전으로 피싱 이메일이 점점 더 정교해져 구분하기 어려워졌기 때문입니다. 숙련된 전문가조차도 진짜처럼 보이는 교묘하게 구성된 메시지에 속을 수 있습니다. 나이지리아 왕자 사기처럼 문장이 엉망인 선불 사기는 이제 과거의 일이 되었습니다.

어떤 이유에서인지 일부 기업은 인터넷에 원격 데스크톱 프로토콜 연결을 열어두는 것이 매우 위험하다는 사실을 깨닫지 못하고 있습니다. 공격자는 이를 매우 빠르게 발견하고 무차별 대입 공격을 통해 시스템에 침투합니다. 그리고 일단 침투하면 랜섬을 요구합니다. 

공격자는 소셜 엔지니어링, 인증정보 도용, 감염된 USB 드라이브 방치 등의 검증된 방법을 통해 침투할 수도 있습니다.

랜섬웨어는 지난 10년간 단순한 파일 잠금 멀웨어(주로 cryptolockers로 알려져 있음)에서 영향력과 수익을 극대화하기 위해 설계된 복잡한 공격으로 진화했습니다. 과거에는 랜섬웨어 공격자가 단일 시스템에서 피해자의 파일을 암호화하고 복호화 키의 대가로 금전을 요구했습니다. 

랜섬웨어는 백업 및 복구 시스템까지 포함한 전체 네트워크를 감염시켜 피해자의 복구 능력을 제한하는 방식으로 진화했습니다.  시간이 지나면서 기업은 더 강력한 백업 시스템을 포함한 사이버 보안 체계를 강화해 암호화 기반 공격의 영향을 크게 줄였습니다.

이제 사이버 범죄자는 어떻게 행동할까요? 테이블에 너무 많은 돈이 남아 있었기 때문에 카드를 챙겨 집으로 돌아갈 수 없었습니다. 대신 사이버 범죄자는 새로운 랜섬웨어 솔루션을 도입해 "이중 갈취"라는 새로운 종류의 랜섬웨어 시대를 열었습니다.

이중 갈취 랜섬웨어는 중요한 데이터를 암호화하고 암호화된 파일을 유출하는 것과 몸값이 지불되지 않을 경우 민감한 정보를 공개적으로 유출하겠다는 위협을 가하는 것의 두 가지 위협을 포함하는 독특한 랜섬웨어 감염입니다. 

이 기법은 피해자에게 가해지는 압박을 극적으로 증가시켰습니다. 랜섬웨어 공격이 단순한 운영상 문제를 넘어, 법적, 규제적, 평판적 영향을 초래할 수 있는 심각한 데이터 유출 리스크로 변모했기 때문입니다. 

시 정부에서도 이와 같은 상황이 발생했습니다. 랜섬웨어 그룹은 암호화 단계 전에 수 GB의 데이터를 유출했으며, 요구사항이 충족되지 않을 경우 데이터를 다크 웹에 공개하겠다고 위협했습니다.

이때부터 상황이 복잡해집니다. 지방 당국부터 FBI, CISA까지 모든 수준의 사법 기관은 랜섬웨어 요구금을 지불하지 말라고 조언할 것입니다. 마이크로소프트와 같은 운영 체제 벤더사나 안티바이러스/안티멀웨어 벤더사를 포함한 거의 모든 보안 전문가도 동일한 조언을 할 것입니다. 

이러한 조언을 하는 이유는 단순합니다. 기업이 계속 지불하는 한, 사이버 범죄자는 계속해서 사이버 공격을 할 것입니다. Bitcoin이나 다른 암호화폐를 사용해 지불이 이루어지면 복호화 키가 제공될 것이라는 보장은 없습니다. 복호화 툴이 작동할 것이라는 보장도 없고, 다시 공격을 받지 않을 것이라는 보장도 없습니다. 

실제로는 정반대입니다. 공격자는 피해자의 환경에 공격 기반을 남겨 놓았을 가능성이 높으며 피해자는 한 번 지불했기 때문에 다시 지불할 가능성이 높습니다. 

다수의 보안 기관은 랜섬 요구에 지불한 기업의 약 78%가 다시 표적이 된다고 보고합니다. 그렇다면 랜섬을 지불하지 않는 것이 맞겠죠? 실제로는 그렇게 단순하지 않습니다. 공격의 심각성에 따라 기업은 지불하지 않으면 복원하지 못할 수도 있습니다. 

공격자가 백업에 접근할 수 있다면, 백업부터 암호화될 가능성이 매우 높습니다. 공격은 백업부터 시작될 것입니다. 백업이 없다면 인프라를 복원할 수 없습니다. 백업이 존재하더라도 많은 기업이 모든 것을 처음부터 재구축하는 데 많은 비용과 시간을 투입해야 합니다. 

대규모 기업의 경우, 환경을 재구축하고 복원하는 비용이 랜섬을 훨씬 초과할 수 있습니다. 이러한 경우, 랜섬을 지불하지 않는 것은 선택지가 아닙니다. 

시간도 무시할 수 없는 요소입니다. 복원에는 수주 또는 수개월이 소요될 수 있으며, 이 기간 동안 기업의 구성원이 의존하는 핵심 서비스가 중단됩니다. 이러한 서비스를 복원해야 하는 압력이 엄청날 수 있습니다. 

복원 과정은 문제의 절반에 불과합니다. 위에서 설명한 것처럼, 대부분의 랜섬웨어 그룹은 이중 갈취 멀웨어를 사용합니다. 먼저 모든 데이터를 훔친 후 암호화합니다. 

이제 기업은 민감한 정보가 공개될 위협에 직면하게 됩니다. 이로 인해 기업에 브랜드 이미지 타격, 신뢰 상실, 벌금 또는 기타 처벌이 발생할 수 있습니다. 피해자는 개인정보 보호법 위반으로 벌금을 부과받을 수 있으며 침해로 인해 정보가 유출된 직원들에게 신용 모니터링을 제공해야 할 수도 있습니다.

복원에 이미 지불한 비용에 이러한 비용을 추가하면 재정적 악몽이 될 수 있습니다. 일부 경우 결과는 재앙적이며 기업은 공격으로부터 회복할 수 없습니다. 

2022년 일리노이주 Lincoln College는 랜섬웨어 공격으로 인해 영구적으로 폐쇄되었습니다. 코로나19 팬데믹으로 인해 재정적 어려움을 겪던 Lincoln College는 랜섬을 지불할 수 없었으며 준비 부족과 인시던트 대응 부족으로 인해 복구가 불가능했습니다. 

결국 157년의 역사 끝에 문을 닫아야 하는 가슴 아픈 결말을 맞을 수밖에 없었습니다.

결국 랜섬 지불은 비즈니스 결정이 됩니다. 이 결정에 영향을 미치는 요소는 다음과 같습니다.

• 지불하지 않을 경우 비즈니스에 미치는 영향은 무엇인가요?

• 유출된 데이터가 공개될 경우 비즈니스에 미치는 영향은 무엇인가요?

• 랜섬을 지불하지 않을 경우 시스템을 복구할 수 있나요?

이야기의 시 정부는 공격자에게 랜섬을 지불하지 않았습니다. 시 정부는 랜섬웨어 그룹과 협상을 통해 랜섬 금액을 크게 줄일 수 있었습니다. 시 정부는 감염된 시스템을 복구할 수 있는 능력을 갖추고 있었으며 복호화 키에 의존하지 않았다는 점에서 운이 좋았습니다. 

그러나 시 정부는 정보가 감염된 많은 사람들에게 통지해야 했으며 영향을 받은 모든 사람에게 신용 모니터링 서비스를 제공해야 했습니다. 그럼에도 불구하고 결과는 훨씬 더 나쁘게 될 수 있었습니다.

걱정되나요? 이해합니다. 랜섬웨어의 피해자가 되는 것은 상상만으도 끔찍한 일입니다. 하지만 이로 인해 밤을 지새울 필요는 없습니다. 사전에 계획을 세우고 준비하면 랜섬웨어 공격의 심각성을 줄이거나 완전히 방지할 수 있습니다. 

다음과 같이 즉시 시행할 수 있는 전략 몇 가지를 소개합니다.

• 데이터 백업

• DNS 방화벽

• 세그멘테이션

• 제로 트러스트 애플리케이션 접속

훌륭한 데이터 백업 전략을 반드시 마련하세요. 이 경우 "괜찮은 수준"으로는 부족합니다. 백업의 사본을 여러 개 확보해야 하며 이상적으로는 최소 한 개는 공격자가 접속할 수 없는 고립 상태로 보관해야 합니다. 백업은 공격의 첫 번째 표적이 되기 때문에 공격자가 찾을 수 없도록 해야 합니다. 

복원 연습을 잊지 마세요. 데이터 백업은 필수지만 시스템 복원 방법을 모른다면 백업이 없는 것과 마찬가지입니다. 특히 핵심 애플리케이션, 민감한 데이터, 인프라를 복원할 수 있도록 준비해야 합니다.

피싱 이메일은 랜섬웨어의 가장 흔한 감염 기법입니다. 어떤 노력에도 사용자가 피싱 및 기타 악성 링크를 클릭하는 것을 완전히 막을 수 없습니다. 그러나 영향을 최소화할 수는 있습니다. 

사용자가 악성 링크를 클릭하거나 악성 첨부 파일을 열면 시스템은 악성 도메인의 DNS 조회 작업을 수행합니다. DNS 방화벽은 악성 도메인의 레졸루션을 차단하고 링크가 작동하지 않도록 합니다. DNS 방화벽은 알려진 멀웨어 도메인과 명령 및 제어 인프라에 대한 유사한 연결 요청도 차단할 수 있습니다. 

Akamai Secure Internet Access는 DNS 방화벽으로 훌륭한 선택입니다. Akamai의 위협 리서치 팀은 고급 알고리즘을 사용해 악성 도메인의 레졸루션을 사전 차단하며 Akamai의 솔루션은 제로데이 피싱 보호 기능까지 제공합니다. 

SLTT(State, Local, Tribal, Territorial) 정부 커뮤니티에 더욱 효과적입니다. MS-ISAC 회원은 MDBR(Malicious Domain Blocking and Reporting) 서비스를 통해 Secure Internet Access의 무료 버전을 이용할 수 있습니다. 

더 강력한 보호가 필요한 기업을 위해 Secure Internet Access는 MS-ISAC를 통해 MDBR+ 형태로 제공되며 MS-ISAC 회원은 CIS CyberMarket에서 Akamai로부터 직접 구매할 경우 대폭 할인을 누릴 수 있습니다.

슬픈 현실은 데이터 유출의 발생 가능성이 아니라 발생 시기가 문제라는 점입니다. 유출이 발생할 경우, 공격자는 어떻게 측면 이동해 악성 소프트웨어를 환경 내에 확산시킬 수 있을까요? 

세그멘테이션은 측면 이동을 통제하는 데 핵심입니다. 기본적인 세그멘테이션은 도움이 되지만 결과는 여전히 파괴적일 수 있습니다. 

앞서 언급했듯이 시 정부는 네트워크의 영향을 받은 세그먼테이션을 다른 부서와 분리할 수 있었습니다. 그럼에도 불구하고 공격자는 파괴적인 랜섬웨어 공격을 실행할 수 있었습니다. 시 정부의 핵심 서비스가 장시간 중단되어 심각한 재정적 손실과 브랜드 평판 손상이 발생했습니다. 

기존 세그멘테이션 방법은 VLAN, 방화벽 제어, 접속 제어 목록 형태의 레이어 2 및 레이어 3 제어를 사용합니다. 더 효과적인 접근 방식은 마이크로세그멘테이션입니다. 소프트웨어 기반 접근 방식을 사용하면 호스트 수준에서 세그멘테이션을 제어해, 감염 시 폭발 반경을 더욱 제한할 수 있습니다. 

Akamai Guardicore Segmentation은 이 분야에서 선도적인 솔루션입니다. Akamai Guardicore Segmentation은 호스트 기반 방화벽 솔루션으로, 환경 내 모든 네트워크 트래픽을 모니터링해 단순히 "누가 누구와 통신하는지"뿐만 아니라 "무엇을 통신하는지"까지 확인할 수 있습니다. 

즉, 단순히 어떤 디바이스가 서로 통신하는지 뿐만 아니라 각 시스템에서 실행 중인 프로세스에 대한 풍부한 맥락 기반 레이어 7 정보를 얻을 수 있습니다. 

이러한 가시성 덕분에 네트워크와 애플리케이션이 필요한 대로 작동하도록 허용하는 정책을 만들 수 있습니다. 명시적으로 허용되지 않은 모든 작동은 차단되므로, 유출 발생 시 공격자는 다른 시스템으로 측면 이동하거나 권한 상승을 가능하게 하는 프로세스를 실행할 수 없습니다. 

이러한 소프트웨어 기반 접근 방식으로 세그멘테이션 프로젝트를 더 쉽고 빠르게 완료해 ROI를 더 빨리 달성하고 강화된 보안 체계를 확보할 수 있습니다.

미국 도시가 랜섬웨어 공격을 받은 사례에서 감염 기법은 감염된 VPN 계정이었습니다. VPN은 한때 유용했지만 현재의 위협 환경에서 기업은 더 나은 것이 필요합니다. 

VPN 접속은 사용자에게 네트워크에 접속 권한을 부여합니다. 즉, 사용자가 지식이 있다면 권한이 없는 경우에도 해당 네트워크 세그먼테이션에 있는 모든 리소스에 접속할 수 있습니다. 지금까지 살펴본 것처럼 감염된 인증정보는 재앙으로 이어질 수 있습니다. 

VPN을 제로 트러스트 애플리케이션 접속 솔루션으로 대체하는 것이 더 나은 접근 방식입니다. 제로 트러스트 애플리케이션 접속 솔루션은 사용자에게 SSO(Single Sign-On) 경험을 제공하며 사용자가 업무 수행에 필요한 리소스에만 접속할 수 있도록 합니다. 사용자는 할당되지 않은 리소스에 접속할 수 없습니다. 

Akamai Enterprise Application Access는 이 요구사항에 적합한 우수한 선택입니다. Akamai의 애플리케이션 인식 프록시 서비스는 애플리케이션의 오리진 위치나 사용자의 리소스 접속 위치에 관계없이 원활한 애플리케이션 접속 경험을 제공합니다. Enterprise Application Access는 아직 인터넷에서 제거하지 못한 번거로운 원격 데스크톱 프로토콜 세션에도 도움을 줄 수 있습니다. 웹 브라우저를 통해 접속할 수 있도록 RDP 및 SSH 세션을 프로비저닝할 수 있어 써드파티 벤더사 접속에 완벽합니다.