랜섬웨어가 더 이상 CISO만의 걱정이 아닌 이유

바이든 대통령은 미국 내 조직들을 공격했다고 알려진 사이버 범죄자들을 숨겨준 전 세계 지도자들에게 공개적, 비공개적으로 압력을 가하고 있습니다. 크리스토퍼 레이 FBI 국장은 오늘날 사이버 보안 위협을 뉴욕과 워싱턴 DC에서 발생한 9.11 테러에 비유했으며, 지나 레이몬도 상무장관 등 다른 당국자들도 국가적 지원을 받는 사이버 범죄자들로부터 미국을 보호할 수 있다면 군사적 조치가 검토될 것임을 시사했습니다.

이는 연방 정부가 랜섬웨어를 엄청난 결과를 초래할 수 있는, 급속히 증가하는 문제로 인식하고 있다는 것을 분명히 보여줍니다. 지난 몇 달 동안 글로벌 정육 포장 공장과 주요 송유관을 포함하여 미국의 중요한 인프라를 표적으로 삼은 공격들이 주목을 받았습니다. SolarWinds 해킹은 수백만의 정부 및 기업의 엔드 포인트를 공격에 취약하게 만들었으며, 많은 전문가들은 이러한 사건이 더 크고 파괴적인 공격을 위한 드레스 리허설이 될 수 있다고 지적합니다. 예를 들어 대도시의 전력망을 차단하거나, 댐 고장을 일으켜 인구가 밀집한 리버밸리에 범람하거나, Amazon 또는 Walmart와 같은 주요 전자 상거래 사이트를 폐쇄할 수도 있습니다.

중요한 인프라에 대한 위협도 있지만, 사실 대부분의 랜섬웨어 공격은 금전적 보상을 노리고 기업 및 개인들을 타겟으로 삼고 있습니다. 후지필름은 최근 자신이 랜섬웨어 캠페인의 목표였음을 밝혔습니다. 애플 노트북 컴퓨터 제조사인 콴타도 올해 타격을 받았고, 캘리포니아 대학교, 로열 쉘, 브로워드 카운티 학군 역시 피해를 입었습니다. 실제로 랜섬웨어 조직 6곳은 2021년 292곳에 대한 공격과 연계돼 있습니다. 모든 공격이 성공적인 것은 아니지만, 많은 기업들이 공격자가 원하는 금액을 지불하면서 악순환이 계속됩니다. Atlas VPN 조사에 따르면 악의적인 행위자는 랜섬웨어, 암호 해킹, 데이터 도용을 통해 연간 1조 5000억 달러를 벌어들이는데, 이는 테슬라, 페이스북, 마이크로소프트, 애플, 아마존, 월마트의 연간 총 수익보다 많은 금액입니다.

사이버 범죄자가 이길 수밖에 없는 이유

랜섬웨어는 높은 성공률 뿐만 아니라 기업이 스스로를 보호하기가 매우 어렵기 때문에 널리 이용됩니다.

• 클릭 한 번이면 끝입니다. 사이버 범죄자들은 소셜 엔지니어링 캠페인에서 손쉽게 입수할 수 있는 개인 정보를 이용하여 합법적인 캠페인처럼 속이는 데 더욱 능숙해지고 있습니다. 수준 높은 사용자 일지라도 함께 일하는 동료나 신뢰할 수 있는 브랜드로부터 온 것처럼 보이는 이메일의 링크를 클릭하도록 유도하는 것은 매우 쉽습니다. 클릭 한 번에 바로 공격이 시작됩니다. 랜섬웨어는 뉴스 사이트와 같은 신뢰할 수 있는 출처의 광고나 콘텐츠 모듈에 포함될 수도 있는데, 이는 URL 필터링과 화이트/블랙리스트로는 공격을 막기 어렵습니다.

• 위협 표면이 더 넓어졌습니다. 보안팀은 클라우드 서비스 공급자의 환경에 대한 가시성이 제한되어 있어 위협을 탐지하기가 매우 어렵습니다. 오늘날 업무의 80%는 인터넷을 통해 이루어지며, 대부분의 공격은 지식 근로자들이 업무 시간의 70% 이상을 사용하는 브라우저를 목표로 합니다. 광범위한 클라우드 및 디지털 전환의 일환으로 사용자, 기기, 애플리케이션 및 데이터가 데이터 센터에서 분산됨에 따라 이러한 유형의 공격을 탐지하고 차단하기가 점점 더 어려워질 것입니다.

• 랜섬웨어는 점점 더 치밀해지고 있습니다. 이중 협박 공격(double-extortion attacks)이라고 불리는 새로운 형태의 랜섬웨어 공격은 사건 대응 툴 (counter–incident response tools)과 함께 악성코드에 내장되어 있습니다. 보안 툴 비활성화, DDoS(분산 서비스 거부) 공격, 보안 툴 우회, 로그 폐기 등의 전술이 점점 보편화되고 있습니다. 이는 침해의 68%가 몇 달 동안 발견되지 못하는 결과를 낳았습니다.

연방정부는 민간부문에 랜섬웨어로부터 보호를 강화할 것을 강력히 권고하고 있습니다. 사이버·신흥 기술 국가 안보담당 부 보좌관은 재계에 공개서한을 보내 랜섬웨어 방어를 위해 공통적으로 권고되는 보안 관행을 요구했고, 교통안전국(TSA)은 중요 인프라에 대한 공격을 제한하기 위한 명령을 내렸습니다.

조직들이 랜섬웨어 방어를 시도하지 않는 것은 아닙니다. 지난 18개월 동안 많은 조직이 VPN을 통해 로그인하도록 의무화한 재택근무 정책을 도입했습니다. 하지만, 갑작스럽게 트래픽이 몰리면서 VPN을 압도했고 악의적인 행위자들은 네트워크를 감염시킬 수 있는 새로운 방법을 터득했습니다. 실제로 최근 SolarWinds 해킹은 VPN 크리덴셜을 도용하여 지속되었다고 보고되었습니다.

기업들은 다양한 툴을 사용하여 랜섬웨어 공격이 시작되는 초기 감염을 탐지하고 차단하려고 하지만, 탐지 및 치료 방식에 의존하던 기존의 보안 솔루션으로는 완벽히 위협을 차단할 수 없습니다. 위에서 서술한 이유들로 인해 랜섬웨어를 탐지하기가 점점 더 어려워지고 탐지하지 못한다면 그 침해를 막을 방법은 없습니다. 인터넷상의 모든 것을 차단하거나 별도의 기기를 인터넷에 연결하도록 하는 대응 방식은 사용자들을 귀찮게 만들고, 생산성을 떨어뜨릴 뿐입니다. 이런 극단적인 방식은 사용자로 하여금 임시방편을 찾거나 보안 정책을 무시하도록 만들면서 효과가 없을 확률이 높습니다. 기억하세요. 단 한 번의 클릭으로 모든 것을 뺏길 수 있다는 사실을요.

기업이 어떻게 대응해야 할까요?

아직 모든 것을 잃은 것은 아닙니다. 사용자 환경을 기존과 동일하게 보존하고 생산성을 보호하면서 랜섬웨어를 막을 수 있는 보안 접근 방식이 있습니다. 격리 기반의 제로 트러스트 방식은 랜섬웨어를 포함한 모든 멀웨어가 엔드 포인트를 감염시킬 수 없도록 방지할 수 있습니다. 격리는 사용자가 웹을 탐색할 때 사용자 주위에 보호 계층을 만들어 인터넷과 엔터프라이즈 네트워크 사이에 가상 에어 갭을 만드는 방식으로 작동합니다. 제로 트러스트 방식과 격리 기능을 결합하면 알려진 악성 액티비티 및 알려지지 않은 악성 액티비티도 모두 차단되므로 공격자가 네트워크에 발을 디딜 수 없으며 랜섬웨어는 엔드 포인트에 도달할 수 없습니다.

특히 격리 기반 기술은 사용자 환경을 방해하지 않으며 웹 페이지도 평소와 동일하게 보입니다. 유일한 차이점은 명백합니다. 멀웨어가 취약점을 악용할 위험이 전혀 없다는 것입니다. 모든 전자 메일 및 웹 트래픽은 격리 계층을 통하고 콘텐츠는 그대로 표시되지만 엔드 포인트에 실제로 다운로드되지는 않습니다.

랜섬웨어가 기업 보안에 대한 위협 1순위로 급부상하고 있습니다. 두 핵 보유 국가가 기업을 중간에 두고 새로운 사이버 전쟁터에서 다투는 것과 같이 심각해졌습니다. 격리 기반의 제로 트러스트만이 랜섬웨어를 물리칠 수 있는 유일한 방법입니다. 엔드 포인트에 대한 액세스를 차단하면 사용자의 업무를 방해하지 않으면서 감염 위험으로부터 조직을 지킬 수 있습니다. 이제 과거의 오래된 탐지 및 치료 방식을 버리고 사용자, 애플리케이션, 데이터 및 비즈니스를 랜섬웨어 공격으로부터 보호하는 방법에 대해 재고해야 합니다.

Gartner 보고서를 다운로드하여 랜섬웨어 공격으로부터 기업을 보호한 모범 사례를 알아보세요.