[데이터넷] 팬데믹 이후 비대면 금융서비스가 확산되고 은행 등 금융기관들의 디지털 전환이 가속화되고 있다. 금융의 디지털화가 촉진되면서 필연적으로 보안위협도 높아질 수밖에 없는데, 해커들의 수법이 다른 차원으로 발전하면서 금융기관들은 예년에 비해 점점 더 큰 위협에 직면하고 있다. 고도화된 전략으로 빠르게 진화하고 있는 랜섬웨어 공격에 금융기관이 어떻게 대비하고 대응해야 하는지 알아보자.
먼저 보안팀은 공격이 시작되기 전 엔터프라이즈 에코시스템에서 손상 징후(indicators of compromise, IoC)를 탐지하는 프로세스를 마련해야 한다. 공격 등 이벤트가 발생했을 때 가장 급선무인 작업은 바로 ‘복구’다. 그중에서도 속도가 가장 중요한데, 백업 파일을 복원하는 데 며칠, 몇 주 또는 몇 개월이 걸린다면 백업을 여러 위치에 저장하는 기존 방식도 손상을 입게 된다. 랜섬웨어 공격을 하는 이들은 아무도 기다려주지 않는다.
공격자가 탐지할 수 없는 랜섬웨어를 추가로 첨부하는 경우도 있어 포렌식도 중요한 역할을 한다. 마치 경찰이 절도 사건으로 현장은 확인했지만, 집안 전체를 샅샅이 확인하지 않은 것과 같은 맥락이다. 도둑은 여전히 집 안에 숨어 있을지도 모른다. 데이터는 생태계에 배포되기 전에 정리돼야 하며, 이 역시 시간이 소요된다.
랜섬웨어 대응 방안
랜섬웨어 공격은 공격 유형에 관계없이 일반적인 라이프사이클 패턴(전, 중, 후)을 따른다. 보안팀은 이러한 공격의 진화 방식을 모방함으로써 이벤트 라이프사이클의 모든 단계를 완화하기 위한 특정 활동을 수행해 조직이 선제적으로 대응하고, 랜섬웨어 공격 상황에서 우위를 점하도록 지원한다. 현재와 미래의 금융기관을 어떻게 보호할 수 있는지 자세히 알아보자.
- 공격 전
랜섬웨어 방어 전략을 수립하기 전에는 경영진 및 이사회 차원의 동의가 필요하다. 경영진의 동의가 이뤄진 후에는 조직의 전체 환경에서 일관된 로깅을 수행하고, 위협 행위자의 징후를 식별하는 데 도움이 되는 포괄적인 분석 플랫폼을 구현해야 한다. 전담 인력과 자동화된 애플리케이션을 활용해 에코시스템에서 침해를 적극적으로 찾아내고, 손상된 영역을 적시에 정리해야 한다.
이러한 작업을 강화하려면 랜섬웨어에 중점을 둔 포괄적인 보안 인식 교육을 임직원과 협력사 등 조직과 관련된 모든 이해관계자를 대상으로 실시해야 한다. 이러한 교육에는 시스템이 예고 없이 중단되거나 공격으로 인해 손상된 경우에 사용할 커뮤니케이션 절차 및 채널도 포함돼야 한다.
- 공격 중
랜섬웨어 공격은 대개 사무실이 비어 있고 IT 담당자가 부재한 주말 한밤중과 같이 근무 외 시간에 발생한다. 따라서 공격이 식별됐을 때는 이미 피해가 발생한 직후가 된다. 피해를 최소화하기 위해서는 가능한 한 빠르게 의사소통을 시작하는 것이 중요하다.
사고대응팀을 동원해 공격 유형과 침해 범위를 파악하는 데 집중해야 한다. 동시에 모든 관련 이해관계자가 교육을 받은 사전 정의된 잠금 절차도 활성화해야 한다. 조직은 얼마나 많은 데이터가 손상을 입었는지, 여전히 작동 중인 시스템은 어느 것인지, 여타 모든 관련 정보를 파악해야 한다.
- 공격 후
금융기관의 경우 다운타임은 매초 비용이 발생하며, 이러한 다운타임은 조직에 심각한 평판 리스크를 초래할 수 있다. 따라서 다음 과제는 복구 및 복원을 중심으로 이뤄져야 한다. 이는 손상된 시스템과 즉각적인 운영에 대한 ‘가치’를 기준으로 가장 중요한 시스템의 우선순위를 정하는 것으로 구성된다. 감지되지 않은 랜섬웨어가 추가로 첨부될 경우를 대비하여 분리된 환경에서 오프라인으로 복구 작업을 시작해야 한다.
이후 IT 담당자는 분리된 복구 환경에서 시스템을 체계적으로 복원해 운영 환경에 다시 도입하기 전 시스템을 완전히 정비하고 정상 작동 여부를 확인해야 한다. 마지막으로, 팀원들은 관련 이해관계자들과 일관되고 지속적으로 소통하여 복구 작업에 대한 최신 정보를 제공해야 한다.
최신 기술 중요성
최고의 랜섬웨어 대응 전략도 이를 뒷받침할 적절한 기술이 없다면 무용지물로 전락할 수 있다. 공격을 받았을 때, 퓨어스토리지의 세이프모드(SafeMode) 스냅샷과 같은 백업 데이터를 복제하는 솔루션은 훌륭한 방어 수단이 된다. 이러한 최신 기술을 활용하면 관리자 자격 증명이 있더라도 해당 데이터를 삭제, 수정 또는 암호화할 수 없다.
나아가 기존 백업 소프트웨어를 변경할 필요 없이 공격을 받았을 경우를 대비해 데이터 복구 속도를 획기적으로 높여주는 빠른 복구 기능을 갖춘 스토리지 솔루션을 갖추는 것 역시 가장 현실적인 대응전략이다.
전 세계적으로 보안과 안정성을 중시하는 금융권을 노리는 랜섬웨어 공격이 날로 고도화되고 있는 오늘, 금융기관은 랜섬웨어 공격 전, 공격 중, 공격 후 모든 상황을 염두에 두고 최신 기술을 겸비해 위협관리 대응 역량을 강화해 나가길 바란다.
