오늘날에는 다양한 변종의 랜섬웨어가 있습니다. 그러나 의심스러운 도메인 이름, IP 주소 및 알려진 악성 활동과 관련된 파일 해시를 바탕으로 특정 IOC를 살펴보면 공격의 출처 및 대응 방법에 대해 자세히 알 수 있습니다.
랜섬웨어에 대한 이해
랜섬웨어는 파일, 문서, 이미지 등 기업에서 높은 가치가 있는 데이터를 암호화한 후에 접속 권한을 되찾고 싶으면 랜섬을 지불할 것을 기업에 요구하는 일종의 멀웨어입니다. 랜섬웨어 멀웨어가 공격에 성공하려면 표적 시스템에 접속하고, 시스템에서 파일을 암호화하고, 기업에 랜섬을 요구해야 합니다. 대개의 경우 암호화된 데이터 파일을 해제하려면 비트코인 또는 암호화폐로 랜섬을 지불해야 합니다.
랜섬웨어는 기업의 데이터를 암호화하고 암호화된 파일의 잠금 해제를 위해 회사에 금품을 요구하는 일종의 멀웨어입니다.
랜섬웨어는 한때 사이버 범죄자들이 암호화를 통해 파일 및 데이터 접속을 제한하기 위해 사용하는 멀웨어의 성가신 변종에 불과했지만, 지금은 대규모 공격 방법으로 진화했습니다. 영구적인 데이터 손실의 위협도 충격적이지만, 사이버 범죄자와 국가의 지원을 받는 해커들은 랜섬웨어를 이용해 대기업, 연방 정부, 글로벌 인프라, 의료 기관에 침투해 마비시킬 정도로 정교해졌습니다.
랜섬웨어의 영향
2020년에 Snake 랜섬웨어 공격으로 Honda의 글로벌 운영이 중단되었습니다. Snake는 파일 암호화 멀웨어인데 같은 주에 남미의 에너지 유통 기업인 Enel Argentina도 공격했습니다. 2019년에 사이버 범죄자들은 파일을 암호화하여 멕시코 국영 가스 및 석유 기업인 Pemex의 컴퓨터 네트워크를 중단시키고 서비스를 복구하려면 5백만 달러를 지불하라고 요구했습니다. 2017년에는 WannaCry 크립토웜이 Microsoft Windows의 취약점을 악용해 전 세계의 컴퓨터 23만 대를 공격했습니다.
현재 오래된 기술, 경계와 엔드포인트에만 초점을 맞추는 '충분한(good enough)' 방어 전략, 교육과 보안 에티켓의 부재, 알려진 '만능(silver bullet)' 해결책의 부재 등 여러 요인으로 인해 규모에 상관 없이 모든 기업들이 위험에 처해 있습니다. 특히 사이버 범죄자들은 수천에서 수백만 달러에 이르는 랜섬을 요구하기 위해 최대한 많은 기업의 네트워크에 있는 컴퓨터 시스템을 암호화하고 비즈니스 수단으로 만들고 있습니다. 실제로 랜섬웨어 공격은 2021년에 11초마다 발생해 전 세계적으로 200억 달러의 비용을 발생시킬 것으로 예상되었습니다.
랜섬웨어는 어떻게 확산될까요?
새로운 환경에 랜섬웨어를 도입하기 위해 널리 사용되는 방법은 피싱 또는 피싱 이메일입니다. 악성 이메일 또는 이메일 첨부 파일에는 멀웨어 다운로드를 호스팅하는 웹 사이트 링크 또는 내장 다운로더가 있는 첨부 파일이 포함되어 있을 수도 있습니다. 이메일 수신자가 피싱 이메일을 열면 랜섬웨어가 컴퓨터에서 즉시 다운로드되어 실행됩니다.
엔드포인트나 피해자의 컴퓨터가 감염되면 사이버 공격은 폭발 반경을 최대한 넓히기 위해(최대한 많은 디스크를 암호화기 위해) 무단으로 측면 이동하면서 네트워크 곳곳에 가능한 많은 시스템으로 확산하려고 시도합니다.
또 다른 널리 사용되는 랜섬웨어 감염 기법은 원격 데스크톱 프로토콜(RDPs) 을 활용합니다. RDP를 사용하면 해커가 로그인 인증정보에 접속 권한을 얻은 다음 이를 사용하여 기업 네트워크 내에서 인증하고 엔드포인트에 원격 접속할 수 있습니다. 이렇게 접속에 성공한 악의적 공격자들은 자신이 제어하는 시스템에서 멀웨어를 직접 다운로드하고 실행할 수 있으며, 환경 내에서 측면 이동하면서 다른 자산에 있는 데이터를 더 캡처하고 암호화할 수 있습니다.
사용자 파일을 암호화하는 것이 랜섬웨어 공격의 독특한 측면입니다. 사이버 범죄자 또는 랜섬웨어 공격자는 매우 중요한 데이터를 암호화한 후에 회사가 파일을 되찾을 수 있게 해주는 암호 해독기 또는 암호 해독 키의 대가로 랜섬을 요구할 수 있습니다. 하지만 대가를 지불한다고 해서 랜섬웨어 해커가 암호화된 파일을 기업에 항상 되돌려주는 것은 아닙니다.
자세한 내용은 블로그 게시물을 확인하세요. '랜섬웨어는 실제로 어떻게 확산될까요?'
레거시 방화벽이 랜섬웨어로부터 보호해 주지 못하는 이유는 무엇일까요?
레거시 방화벽은 VLAN과 존 간의 통신을 제어합니다. 그러나 레거시 방화벽은 VLAN 내부의 트래픽을 차단할 수 없으므로 세그먼트 내의 전파를 방지하고자 하는 경우에는 효과가 없습니다. 이는 기존 레거시 방화벽 모델과 네트워크 아키텍처 제한이 다르기 때문입니다. 단일 VLAN에 있는 시스템을 감염시키는 데 성공한 공격자는 같은 VLAN에 있는 다른 시스템을 감염시키고 이를 사용하여 백업 서버를 비롯한 데이터 센터의 다른 자산으로 넘어갈 수 있게 됩니다.
랜섬웨어 위협을 탐지하고 차단하는 방법
방어하려면 측면 이동을 방지하기 위해 시스템 간 접속을 최대한 제한해야 합니다. 특히 랜섬웨어 캠페인이 자주 악용하는 프로토콜과 서비스를 중심으로 제한해야 합니다. 직원의 노트북은 서로 통신할 이유가 없으며 도메인 구성원이 SMB를 통해 연결할 이유도 없습니다.
Akamai의 세그멘테이션 솔루션을 사용하면 보안팀이 두 시스템 사이의 트래픽을 제한할 수 있습니다. 이 플랫폼은 소프트웨어 기반 세그멘테이션 접근 방식을 사용하므로, 노트북 간의 통신을 차단하거나 도메인 구성원 간의 SMB 트래픽을 제한하고 도메인 컨트롤러와 같은 특정 서버에만 접속하도록 허용하는 정책을 만들 수 있습니다.
또한 Akamai는 프로세스 수준까지 자산 간의 통신 및 의존성을 정확하게 보여줍니다. 따라서 리스크를 미리 평가하고, 하이리스크 구성요소와 중요 자산을 보호하기 위해 백업 같은 선제적 전략을 발전시킬 수 있습니다.
또한 이 플랫폼은 강력한 위협 탐지 기능이 있으므로 알려진 악성 도메인과의 통신이 있는지 혹은 사용자 환경에서 멀웨어 침해를 나타낼 수 있는 알려진 악성 프로세스가 있는지를 확인할 수 있습니다.
자세한 내용은 블로그 게시물을 확인하세요. '랜섬웨어 초기 탐지를 위한 4가지 기술'
랜섬웨어의 공격을 받으면 어떻게 해야 할까요?
랜섬웨어는 측면 이동을 통해 공격하기 때문에 기업은 여기를 방어하는 데 집중해야 합니다. 랜섬웨어 공격이 현재 진행 중이라고 판단되면 가시성을 제공하는 툴을 사용하여 유출 범위를 파악하세요. 파악한 내용을 바탕으로, 영향을 받는 네트워크 부분을 기업의 나머지 부분과 격리하고 중요 애플리케이션 및 백업에 보안 레이어를 추가할 수 있습니다. 방어 조치를 취하고 서비스를 복원한 후에만 통신 흐름을 점진적으로 다시 활성화해야 합니다.
일단 감염된 모든 시스템과 IoC(감염 지표) 목록이 있으면 감염 제거를 시작할 수 있습니다. 시스템을 격리, 모니터링, 복구라는 세 가지 라벨 그룹으로 나눕니다.
자세한 내용은 블로그 게시물을 확인하세요. '세그멘테이션으로 랜섬웨어 및 측면 이동 차단'
크립토 랜섬웨어는 어떻게 작동할까요?
랜섬웨어 공격은 소셜 엔지니어링, 피싱 이메일, 악성 이메일 첨부 파일 또는 네트워크 경계의 취약점에 의해 발생하는 초기 유출로부터 시작됩니다. 멀웨어는 네트워크를 통해 이동하기 시작하면서 상륙 지점부터 최대한 피해를 주려고 시도합니다. 일반적으로 공격자는 도메인 컨트롤러를 장악하고 인증정보를 감염시킨 후에 데이터 백업을 찾아 암호화함으로써 감염되고 중단된 서비스를 운영자가 복원하지 못하도록 합니다.
어떤 랜섬웨어에 감염되었는지 어떻게 알 수 있을까요?
랜섬웨어의 가장 일반적인 유형은 무엇일까요?
일부 캠페인은 공격자가 실행하는 고도로 표적화된 지능형 지속적 위협(APT)인 반면, 일부 캠페인은 대개 스크립트를 통해 실행되며 기회를 노립니다. 하지만 크게 두 가지로 나눌 수 있습니다. 파일을 암호화하여 랜섬 지불을 위해 볼모로 잡고 있는 공격을 크립토 랜섬웨어라고 하고, 사용자가 디바이스에 접속하지 못하도록 하는 랜섬웨어는 락커 랜섬웨어라고 합니다.
새로운 종류의 랜섬웨어, 악성 코드, 악성 소프트웨어, 악성 첨부 파일, 스케어웨어 및 기타 새로운 랜섬웨어 변종이 실제로 자주 나타납니다. 유료 RaaS(Ransomware-as-a-Service) 사례도 있습니다. 예를 들어 러시아를 중심으로 활동하거나 러시아어를 쓰는 전용 RaaS인 Rrevil(Ransomware Evil, Sodinokibi라고도 함)이 있습니다.
랜섬웨어는 어떻게 시작되었을까요?
2~3년 전에는 대부분의 랜섬웨어 공격이 초기 침투 기법으로 악성 광고를 로딩할 수 있는 무작위 다수를 대상으로 한 광고 기법을 사용했습니다. 표적은 대기업의 회계부서에 근무하는 김모씨일 수도 있고 이메일을 읽으려는 평범한 할머니일 수도 있습니다. 랜섬웨어는 실제로 누가 표적인지를 구별하지 못했습니다. 모든 사람을 표적으로 삼았으며 피해자가 돈을 지불하면 좋고, 아니어도 그만이었습니다. 피해자가 될 수 있는 표적이 넘쳐나기 때문입니다.
그러나 2012년 이란에서 Saudi Aramco를 대상으로 한 사이버 공격에 Shamoon이 사용되기 시작하면서 모든 것이 바뀌었습니다. 공격자는 Shamoon으로 Aramco에서 대량의 정보를 추출할 수 있었고 추출이 끝난 후에는 Shamoon을 사용해서 공격받은 시스템의 마스터 부팅 레코드를 덮어씀으로써 다시 설치하기 전에는 사용할 수 없게 만들었습니다. 이러한 기능 손실 때문에 이 회사에서 장시간의 다운타임이 발생했습니다.
Locky는 2016년에 등장한 랜섬웨어 멀웨어입니다. 이 랜섬웨어는 청구서 결제 요청 등을 가장한, 악성 매크로를 포함한 Microsoft Word 문서가 첨부된 이메일로 전송됩니다. 사용자가 문서를 열면 알 수 없는 글자가 나타나고 여기에 'Enable macro if data encoding is incorrect'라는 문구가 표시되는 소셜 엔지니어링 기법입니다.
Petya는 2016년에 처음 세상에 모습을 드러낸 암호화 멀웨어의 일종입니다. 이 멀웨어는 Microsoft Windows 기반 시스템의 마스터 부팅 레코드를 감염시켜, 하드 드라이브 파일 시스템 테이블을 암호화하는 페이로드를 실행하고 Windows가 부팅하지 못하도록 합니다. 이후 시스템 접속 권한을 다시 얻으려는 사용자에게 비트코인으로 돈을 지불할 것을 요구합니다.
랜섬웨어는 어떻게 진화했을까요?
2017년으로 건너뛰어 보겠습니다. WannaCry와 NotPetya라는 두 가지 파괴적인 랜섬웨어 공격이 대기업과 정부 기관에 큰 피해를 입혔습니다. 이 두 공격은 인터넷이 얼마나 취약한지를 보여줬을 뿐만 아니라 제로데이 취약점을 이용하여 악의적으로 네트워크의 컴퓨터 간에 측면 이동하면서 마주한 모든 컴퓨터를 감염시키고 완전히 쓸모없게 만들었다는 점이 특징입니다. NotPetya와 WannaCry에 대해 많은 이야기가 오고 갔지만, 이제는 이 공격의 배후에 국가 단위의 사이버 공격자들이 관련되었던 것으로 밝혀졌습니다.
이후 크라임웨어 그룹들이 이러한 랜섬웨어 공격을 사용하기 시작했습니다. 이때까지는 주로 Zeus와 여기에서 파생된 변종 멀웨어를 사용하여 사람들의 은행 계좌를 해킹하고 돈을 빼돌리는 데 집중했습니다. 이는 시간이 오래 걸리고 복잡하며 위험한 작업이었습니다. 특히 실제로 돈을 받을 때 더욱 그랬습니다. 지금까지는 대기업만 표적으로 삼고 비트코인으로 많은 돈을 보내도록 협박하는 것이 더 쉬울 것이라는 인식이 우세했습니다. 따라서 랜섬웨어는 CISO가 걱정해야 하는 기업의 위협 요소이지, 무고한 민간인이 걱정해야 할 문제는 아니었습니다.
Ryuk는 2018년 8월에 실제로 처음 발견된 랜섬웨어 제품군의 이름입니다. 이 제품은 인기 있는 일본 만화책 및 만화 시리즈에 등장하는 가상 캐릭터의 이름을 딴 것이며, 현재 전 세계의 시스템을 괴롭히는 가장 심각한 랜섬웨어 중 하나로 알려져 있습니다.
이제 2020년으로 넘어가 보겠습니다. COVID-19 팬데믹이 전 세계적으로 확산되고 대부분의 사람들이 재택근무를 하게 됨으로써 위협 모델, 리스크 요소 및 네트워크 아키텍처가 매우 짧은 시간에 완전히 바뀌었습니다. 그리고 랜섬웨어 공격자들도 방식을 바꾸기 시작했습니다. 이제 이들은 이중 갈취 공격을 통해 대기업을 표적으로 삼고 있습니다. 공격자가 기업에 침투할 뿐 아니라 파일을 암호화하고 이를 인질로 잡는 것입니다. 또한 중요하고 가치 있는 데이터를 탈취하여, 랜섬을 지불하지 않을 경우 데이터를 공개한다고 협박하기도 합니다.
랜섬웨어를 막기 위해 세그멘테이션을 장려하는 행정 명령
2021년 미국 백악관에서는 랜섬웨어 공격의 확장세에 대해 논의하면서 패치, 2FA, 업데이트된 보안 제품과 같은 보다 전통적인 예방 조치 및 권장 사항은 물론이고 종종 간과되고 있는 네트워크 세그멘테이션도 중요하다는 것을 강조했습니다.
네트워크 세그멘테이션은 경우에 따라 리스크를 차단하는 것은 물론, 적절히 구현된 경우에는 랜섬웨어 공격의 '공격 반경'을 억제하고 최소화함으로써 이중 갈취 공격의 리스크를 크게 줄이는 데 도움이 됩니다. 안티바이러스 소프트웨어 및 EDR이(링크 랜섬웨어의 실행을 방지하지 못하더라도 적절한 세그멘테이션은 그 피해를 억제하며 공격자가 네트워크를 측면 이동하면서 민감한 데이터를 훔치고 더 많은 시스템을 암호화하는 것을 막습니다.
Akamai의 고유한 소프트웨어 접근 방식을 통해 네트워크를 분할하면 서버, 애플리케이션, 다양한 운영 체제, 클라우드 인스턴스 사이에 '네트워크 사일로'를 만들 수 있습니다. 적절한 세그멘테이션 정책을 사용하여 랜섬웨어 리스크를 낮추는 방법의 장점은 간단하다는 것입니다. 비트가 유선(또는 Vswitch)을 통해 다른 시스템(또는 VM/컨테이너)으로 이동하거나 차단될 수 있습니다. 따라서 공격자가 네트워크에서 더 많은 리소스에 도달하려고 시도가 무용지물이 됩니다. 덕분에 방어자는 공격에 대응하고 기업 내 주요 이해관계자들에게 소식을 전할 수 있는 시간적 여유가 생기고, 주요 이해관계자들은 해당 공격의 피해에 대해 더 정확한 판단을 내릴 수 있습니다.
네트워크 세그멘테이션은 안티바이러스, 안티멀웨어 또는 EDR 플랫폼에 대한 대안이 아니며, 기업 전체에서 대규모 측면 이동 기반 공격의 리스크를 완전히 제거하거나 크게 낮추는 것으로 입증된 보완적 접근 방식입니다.
자세한 내용은 블로그 게시물을 확인하세요. 'EDR과 세그멘테이션의 차이점 이해하기'
랜섬웨어 위협에 대처하는 방법은 무엇일까요?
랜섬웨어 공격의 새로운 시대가 열림에 따라 오랫동안 해결되지 않은 문제인 측면 이동에 이목이 집중되고 있습니다.
공격자가 해당 데이터를 모두 빼내려면 네트워크의 위치를 알아야 합니다. 그리고 이를 알기 위해서는 네트워크를 매핑해야 하며, 네트워크를 처음에 구축한 사람만큼 혹은 그 이상으로 잘 알고 있어야 합니다. 이를 위해 공격자는 한 시스템/서버에서 다른 시스템/서버로 '측면 이동'해야 하며, 종종 네트워크의 다양한 시스템에서 다른 인증정보를 훔쳐서 사용합니다.
많은 보안 벤더사들이 이 문제를 해결하려고 노력했으며, 일부는 다른 벤더에 비해 더 많은 성공을 거두기도 했습니다. DLP 솔루션부터 EDR 및 EPP까지, 이러한 문제를 방지하기 위한 새로운 종류의 제품이 수년 동안 보안 시장에 계속 등장하고 있습니다. 이들 제품은 모두 측면 이동 문제를 해결하려고 시도했지만 매우 제한적인 성공을 거두었을 뿐입니다.
측면 이동을 해결하는 것은 쉽지 않습니다. 공격자들은 네트워크의 기능을 사용하여 네트워크를 공격하고 있습니다.
이들은 관리자 인증정보와 다양한 합법적 관리 툴(Microsoft의 자체 Psexec 또는 원격 데스크톱 또는 WMI 등)을 사용하여 시스템 간에 이동하면서 데이터를 훔치고 나중에 네트워크를 암호화하고 갈취 작업을 시작하기 위해 악성 명령과 페이로드를 실행합니다. 많은 기업들이 원래의 목적에 맞지 않게 EDR/EPP 제품을 사용하여 다양한 리소스를 과도하게 모니터링함으로써 이 문제를 임시방편으로 해결하는 데 리소스를 투자하고 있습니다. 따라서 랜섬웨어 공격 리스크를 차단하거나 낮추는 데 부분적으로만 성공할 뿐입니다.
세그멘테이션으로 측면 이동 차단
하지만 네크워크 세그멘테이션이라는 솔루션이 있으면 이를 구현하는 것은 생각보다 훨씬 간단합니다. 세그멘테이션은 구현하기 어렵고 네트워크 엔지니어링 및 자산 관리에 세심한 주의가 필요하다고 여겨지기 때문에 종종 잊히거나 아예 무시되기도 합니다. 이 때문에 네트워크 세그멘테이션을 아예 포기하고 네트워크를 '플랫' 상태, 즉 모든 엔드포인트 또는 서버가 제한 없이 서로 통신할 수 있는 상태로 두는 경우가 많습니다.
최근까지, 네트워크 세그멘테이션은 방화벽을 가운데 두고 서로 다른 서브넷에 각기 다른 자산을 배치하는 것을 의미했습니다. 이 때문에 세분화가 허용되지 않았고, 네트워크 관리가 상당히 어려웠으며, 관리자는 여러 서브넷에서 IP 주소 할당을 관리하는 동시에 복잡한 방화벽 구성까지 관리해야 했습니다. 이로 인해 IT 직원이 네트워크를 설계하고 확장하기가 훨씬 더 어려웠으며, 잘못 구성하면 보안 리스크나 네트워크 장애가(경우에 따라서는 둘 다!) 발생할 수 있었습니다. 따라서 IT 직원은 세그멘테이션에 중점을 두지 않고 실행 방지 제품에 더 의존할 수밖에 없었고, 이로 인해 네트워크는 전혀 분할되지 않은 완전한 플랫 상태로 남아 있게 되었습니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.