[데이터넷] 랜섬웨어는 APT 공격과 결합해 지능화되고 있다. 목표조직을 분석해 취약점을 찾아 침투하고 수평이동 하면서 중요 데이터를 찾아 유출한 후 적당한 시기가 되면 암호화하고 유출한 데이터를 공개한다고 협박하면서 돈을 요구한다.

랜섬웨어 공격은 록히드 마틴의 사이버 킬체인 전략을 따르는데, 목표 시스템을 정찰하면서 취약점을 찾고, 공격에 필요한 도구를 제작하거나 구입하며, 웹·이메일 등을 통해 공격도구를 유입시키고 설치하도록 유도한다. 공격도구는 시스템 내에 존재하는 취약점을 이용해 설치되며, C&C 통신으로 공격자의 명령을 받아 데이터를 유출하고 암호화를 진행한다.

초기 랜섬웨어는 침투 즉시 암호화하고 돈을 요구했지만, 현재 랜섬웨어는 장기간에 걸쳐 데이터를 유출하고, 공급망 파트너에도 영향을 주며, 랜섬웨어 공격과 디도스를 병행하는 한편, 언론 등에 공개해 신뢰를 떨어뜨리는 다중갈취 공격을 진행한다.

이 같은 랜섬웨어 피해를 막기 위해서는 랜섬웨어 공격도구를 식별하고 행위를 탐지해 차단하는 것이 핵심이다. 그러나 정상 프로세스와 정상 권한을 이용해 침투하는 공격을 위협 탐지·차단 기술만으로 막을 수 없다. 그래서 선제적으로 데이터를 보호하는 방법과, 공격 당했을 때에도 빠르게 복구 가능한 백업 프로세스를 준비해야 한다.

<데이터넷TV>가 유니포인트, 탈레스, 빔 소프트웨어와 함께 진행한 ‘랜섬웨어 공격 두려워하지 마세요! 효과적인 선제 방어와 신속한 데이터 복원 방안’ 웨비나에서 랜섬웨어로부터 데이터를 안전하게 보호하고, 피해 시 안전하게 복원해 비즈니스 영향을 최소화하는 방법이 자세히 소개됐다.

최소권한 원칙 데이터 보호 전략 적용해야

웨비나의 첫번째 세션을 진행한 조재웅 탈레스 코리아 부장은 ‘안티 랜섬웨어의 효과적이고 강력한 방어’라는 주제로 데이터 보호 기술을 이용한 랜섬웨어 선제 방어 방법에 대해 설명했다.

조재웅 부장은 미국 국립표준원(NIST) 랜섬웨어 선제방어 가이던스를 인용 “보호해야 할 시스템과 자산, 데이터를 식별하고, 적절한 보호 장치를 개발·구현하며, 보안 위협을 탐지하고 탐지된 이벤트에 대응하며, 복구 계획을 유지하고 공격으로 인해 손상된 기능과 서비스를 복원하는 적절한 활동을 진행해야 한다”고 조언했다.

이러한 요구를 만족하면서 랜섬웨어 공격을 방어하기 위해 애플리케이션 화이트리스트와 세분화된 접근제어, 저장·전송중 데이터 암호화가 필요하다고 조재웅 부장은 설명했다.

애플리케이션 화이트리스트는 신뢰할 수 있는 애플리케이션의 접근만을 허가해 신뢰할 수 없는 응용 프로그램의 접근을 차단하며, 다형성 멀웨어가 승인된 바이너리에 들어가는 것을 방지하기 위해 서명을 사용해 신뢰할 수 있는 응용 프로그램의 무결성을 확인한다.

세분화된 접근 제어는 최소권한 정책을 적용해 특권사용자라도 중요한 리소스를 검사하고 액세스 하는 것을 방지한다. 온프레미스 데이터센터와 퍼블릭·프라이빗 클라우드 데이터를 암호화하며, 침입자가 비즈니스 크리티컬 데이터를 훔치고 협박한다 해도 암호화 데이터를 사용할 수 없게 한다.

모든 형태·모든 환경 데이터 보호

탈레스는 데이터 보호에 특화된 ‘사이퍼트러스트(CipherTrust)’ 제품군으로 NIST 사이버시큐리티 프레임워크의 자산 식별, 액세스 컨트롤, 저장·전송중 데이터 보호, 취약성 완화 요건을 만족시킨다.

자산 식별을 위해 ‘CDDC(CipherTrust Data Discovery and Classification)’ 제품을 제안, 보호해야 할 자산과 개인정보보호법·EU GDPR 등 규제준수를 위한 데이터를 식별하며, 관리 방안을 제안한다.

액세스 컨트롤을 통한 데이터 보호 방법으로, ‘CTE(CipherTrust Transparent Encryption)’ 솔루션에서 권한을 가진 사용자만이 데이터에 액세스 할 수 있게 한다. 최소권한 원칙을 통해 민감 파일과 DB, 백업 아카이브에 대한 액세스 권한을 제어하며, 특권사용자라 해도 정당한 권한을 갖지 못한 사람은 접근할 수 없게 한다.

저장중 데이터 보호를 위해 사이버트러스트 데이터 보호 플랫폼은 DB 암호화, 토큰화, 애플리케이션 데이터 보호 등을 통해 모든 형태·모든 환경의 데이터를 보호한다. 또한 전송 중 데이터 보호를 위해 고속 암호화를 지원한다. HSM 솔루션 ‘루나’ 제품군과 키 관리 제품군을 통해 암호 키를 안전하게 보호하고 관리한다.

탈레스의 CTE는 투명한 파일레벨 암호화를 통해 정형·비정형 데이터를 모두 암호화하며, 특권사용자의 접근을 제어하고, 위협 탐지를 가속화하며 포렌식을 용이하게 한다. 암호화 시 신뢰할 수 없는 바이너리를 차단하며, CTE로 보호되는 시스템의 민감한 데이터에 액세스하는 신뢰할 수 있는 실행파일 액세스를 제어한다.

데이터 액세스 감사 로깅으로 데이터에 대한 개인정보 보호와 규정준수 요구사항을 충족하며, 악성 멀웨어가 CTE로 보호되는 민감 데이터 암호화를 차단한다. 멀웨어가 권한 상승을 사용해 민감한 데이터 탈취를 방지하며, 보안 기능을 제한하는 멀웨어를 차단한다.

조재웅 부장은 ”탈레스 CTE는 모든 환경, 모든 형태의 데이터를 암호화해 보호할 뿐 아니라 허가된 애플리케이션만 접근하도록 해 비신뢰 프로세스의 무단접근을 차단하고, 세분화된 접근제어로 권한 있는 사용자의 위협 행위를 제한해 권한 탈취 공격자의 데이터 무단 암호화와 유출을 방지한다”고 말했다.

빠른 데이터 복원으로 랜섬웨어 피해 최소화

웨비나의 두 번째 세션을 맡은 신동운 빔 소프트웨어 이사는 변경할 수 없는 안전한 백업 저장소를 통해 랜섬웨어 피해를 예방하고 빠르게 데이터를 복구할 수 있는 방법을 소개했다.

신동운 이사는 “국내 랜섬웨어 피해의 92%가 중소기업에서 발생하고 있는데, 내부 직원이나 공공기관을 사칭하는 방식으로 랜섬웨어 피해를 사전에 차단할 수 없게 한다. 따라서 랜섬웨어 공격을 당할 수 있다는 가정 하에, 백업 데이터를 이용해 신속하게 복원할 수 있도록 준비해야 한다”고 말했다.

신동운 이사는 한국인터넷진흥원(KISA)이 제안한 ‘랜섬웨어 대응을 위한 3-2-1 백업 전략’을 소개했다. 백업 데이터는 3벌 이상 준비하고, 2가지 이상 미디어를 이용해 백업하며, 오프사이트에 1벌 이상의 백업을 준비해야 한다는 것이 3-2-1 전략이다. 또한 백업 데이터는 위·변조와 삭제가 불가능하도록 암호화해야 하며, 랜섬웨어 공격자가 백업 데이터를 삭제하거나 무단 암호화하지 못하도록 보호해야 한다.

신 이사는 “랜섬웨어 공격을 받았다 해도 빠르게 복원하면 피해를 최소화할 수 있는데, 백업 데이터의 위치를 찾지 못해 복원하지 못하거나, 백업 데이터까지 감염돼 있어 복원하지 못하는 경우, 백업 데이터가 암호화돼 있는데 복호화 키를 찾지 못해 복원하지 못하는 경우가 발생한다. 어떤 사례에서는 복원한 백업 데이터마다 감염돼 있어 제대로 복구하는데 몇 개월씩 걸리기도 했다”며 “빔 소프트웨어는 단일 솔루션으로 백업하기 때문에 쉽게 백업 데이터를 찾을 수 있으며, 백업된 데이터에 멀웨어가 있는지 확인해 안전한 데이터를 찾아 복원할 수 있게 한다고 말했다.

3-2-1-1-0 전략으로 데이터 안전한 보호

백업 데이터는 원본 데이터와 실시간 동기화 돼 있으면 랜섬웨어 공격을 당했을 때 원본과 백업 데이터가 동시에 암호화될 수 있다. 따라서 반드시 오프사이트에 백업본이 있어야 하며, 복원해야 하는 순위를 정해 비즈니스 영향을 최소화하는 백업 전략을 구현하는 것이 필요하다. 또한 백업 데이터를 정기적으로 복원 테스트해 백업 시스템이 제대로 작동하는지, 확인해야 한다.

신 이사는 NIST 사이버시큐리티 프레임워크에 빔 소프트웨어의 데이터 보호와 가용성 전략을 결합해 기업의 핵심 자산인 데이터를 보호하는 방법을 설명했다. 빔 소프트웨어는 RPO를 위해 CDP, 스토리지 스냅샷, 아카이브 백업, 복제, 로컬 백업 등 다양한 백업 방식을 지원하며, RTO를 위해 즉시 페일오버와 즉각적이고 안전한 복구, 아카이브 검색 등을 지원한다.

백업 데이터는 소스 단에서 암호화하고, 이동중 데이터도 백업해 혹시 모를 피해를 예방하며, 중요한 데이터는 30일간 데이터 변경을 불가능하게 해 루트 권한으로 접속한다 해도 데이터 삭제와 위변조를 불가능하게 한다. 또한 자동화된 복원 테스트를 통해 백업 데이터의 안전성을 보증한다.

빔 소프트웨어는 3-2-1 전략에 1-0을 더한 3-2-1-1-0 전략을 제안한다. 반드시 물리적으로 격리되거나 변경 불가능한 오프라인 저장소와 자동 백업 테스트와 복구력 검증 후 오류 없음을 증명하는 전략이 추가된 것이다. 특히 복원력이 탁월한 백업 기술을 이용해 테이프나 가상머신 복제, 스토리지 스냅샷, 변경불가 백업, 강화된 리포지토리 등을 제공한다.

가상화 서버 백업을 예로 들어보면, 시큐어 리스토어(Secure Restore)로 안전한 데이터를 검색해 인스턴트 리커버리(Instant Recovery)를 이용해 VM에 데이터를 복원해 서비스를 즉시 재개한다. 동시에 VM온라인 중 백그라운드에서 마이그레이션을 수행해 비즈니스 중단을 최소화하면서 복원할 수 있게 한다.

신 이사는 “랜섬웨어 공격받은 후 빠르게 서비스를 재개하는 것이 우선시되어야 한다. 빔 소프트웨어는 OS 백업을 포함해 일반 파일, DB 등 모든 데이터를 한번에 복원할 수 있으며, 비즈니스 다운타임을 최소화하면서 백업 운영이 가능하다”며 “쉽고 빠르고 강력하며 뛰어난 가성비를 가진 빔 소프트웨어 백업 솔루션을 통해 랜섬웨어 피해를 최소화할 수 있기를 바란다”고 말했다.