콘티 랜섬웨어 방어: CISA가 마이크로세그멘테이션을 긴급히 권장하는 이유

2021년 사이버보안 및 인프라 보안국(CISA)과 연방수사국(FBI)은 2020년 처음 등장한 이후 미국 및 국제 기관에 대한 400건 이상의 공격의 배후로 알려진 서비스형 랜섬웨어(RaaS) 모델 변종인 콘티 랜섬웨어 공격의 지속적인 확산에 관한 공동 사이버 보안 권고문을 발표했습니다.

Conti는 현재 진행 중인 랜섬웨어의 가장 최신 버전에 불과합니다. 솔라윈즈 침해 사고 1주년이 다가오는 지금, 랜섬웨어 공격은 계속해서 진화하고 있으며 그 규모 또한 엄청나게 커지고 있습니다.

그 어느 때보다 조직은 지속적인 랜섬웨어 공격으로부터 자사 비즈니스는 물론 고객과 공급망을 보호하고 방어하기 위해 사이버 복원력을 강화하는 데 필요한 조치를 취하는 것이 필수적입니다.

Conti 랜섬웨어란 무엇인가요?

CISA와 FBI의 공동 권고에 따르면, "전형적인 콘티 랜섬웨어 공격에서는 악의적인 사이버 공격자가 파일을 훔치고 서버와 워크스테이션을 암호화한 후 몸값을 요구합니다."라고 합니다.

이 권고문은 또한 콘티 개발자가 랜섬웨어 배포자에게 공격 성공으로 얻은 수익의 일부가 아닌 임금을 지불하는 경우가 많다고 지적했습니다. " 특정 공격의 성공 여부( ")와 관계없이 배포자에게 돈을 지급한다는 점에서 이 모델 자체는 더욱 경각심을 불러일으킵니다.

이달 초 실리콘앵글은 콘티가 "지난 5월 아일랜드의 의료 서비스를 겨냥한 공격을 포함해 다양한 공격과 연관되어 있다... 이전 콘티의 피해자로는 11월의 산업용 컴퓨터 제조업체 어드밴텍, 12월의 VOIP 하드웨어 및 소프트웨어 제조업체 상고마 테크놀로지, 2월의 플로리다와 텍사스 병원들이 있다"고 보도한 바 있습니다.

실리콘앵글은 또한 콘티가 특히 코로나19 팬데믹이 지속되는 상황에서 중요한 분야인 의료 서비스 제공자를 표적으로 삼고 있다는 지난 5월 FBI의 경고의 대상이었다고 지적했습니다.

콘티로부터 보호

Conti 랜섬웨어로부터 시스템을 보호하기 위해 CISA와 FBI는 다음과 같은 예방 조치를 권장하며, 그중에서도 제로 트러스트와 세분화 원칙이 가장 중요합니다:

• 멀티팩터 인증을 사용하여 외부 소스에서 네트워크에 원격으로 액세스하세요.
• 네트워크 세분화를 구현하고 트래픽을 필터링하세요. 랜섬웨어의 확산을 줄이기 위해 네트워크와 기능 간에 강력한 네트워크 세분화를 구현하고 보장합니다. 네트워크 트래픽을 필터링하여 알려진 악성 IP 주소와의 수신 및 발신 통신을 금지합니다. 강력한 스팸 필터를 활성화하여 피싱 이메일이 최종 사용자에게 도달하는 것을 방지하세요.
  
  또한 조직은 사용자가 악성 웹사이트를 방문하거나 악성 첨부파일을 열지 못하도록 사용자 교육 프로그램을 시행하는 것도 고려해야 합니다. IT 팀은 사용자가 악성 웹사이트에 액세스하지 못하도록 URL 차단 목록 및/또는 허용 목록을 구현해야 하며, 고급 기술 툴킷을 사용하면 이 작업을 자동화할 수 있습니다.
• 취약점을 검사하고 소프트웨어를 최신 상태로 유지하세요. 바이러스 백신 및 맬웨어 방지 프로그램이 최신 서명을 사용하여 네트워크 자산을 정기적으로 검사하도록 설정하세요. 또한 조직은 네트워크 자산의 소프트웨어와 운영 체제, 애플리케이션, 펌웨어를 적시에 업그레이드해야 합니다.
• 불필요한 애플리케이션을 제거하고 제어 기능을 적용하세요. 일상적인 업무에 필요하지 않다고 판단되는 애플리케이션은 모두 삭제하세요. 승인되지 않은 소프트웨어를 조사합니다.
• 엔드포인트 및 탐지 대응 도구를 구현하세요. 엔드포인트 및 탐지 대응 도구는 보안팀이 특정 사이버 보안 환경에 대한 가시성을 향상시켜 악의적인 사이버 행위자와 잠재적 위협을 조기에 식별하고 더 효과적으로 완화할 수 있는 것으로 알려져 있습니다.
• 사용자 계정을 보호합니다. 관리 사용자 계정을 정기적으로 감사하고 최소 권한(제로 트러스트) 및 업무 분리 원칙에 따라 액세스 제어를 구성하세요. 또한 조직은 정기적으로 로그를 감사하여 새 계정이 합법적인 사용자인지 확인해야 합니다.

더 많은 RaaS 모델과 랜섬웨어 변종이 등장함에 따라 조직은 잠재적인 위협 벡터나 취약점을 조기에 식별하고 최소화하는 것이 중요합니다. 위에서 설명한 권장 사항 중 오늘날 조직이 실행해야 할 중요한 모범 사례 중 하나는 세분화입니다.

일루미오 제로 트러스트 세그멘테이션의 지원 방법

Illumio는 랜섬웨어를 차단하며, 기존 네트워크 세분화와 달리 조직과 함께 진화합니다:

• 간단하고 빠른 세분화. Illumio를 사용하면 자동 정책 생성을 통해 애플리케이션, 사용자, 특정 자산을 몇 분 만에 세분화할 수 있습니다.
  
  Conti의 경우, 랜섬웨어는 서버 메시지 블록(SMB)과 원격 데스크톱 프로토콜(RDP)을 악용하여 측면으로 이동했습니다. 일루미오 코어를 사용하면 꼭 필요한 경우를 제외하고는 자산 전체에서 이 두 프로토콜을 모두 차단하는 간단한 정책을 작성하여 위험 노출을 빠르고 효과적으로 줄일 수 있습니다.
• 동적 환경에 따라 확장되는 정책. Illumio는 기존 인프라를 사용하여 정책을 시행하기 때문에 네트워크가 발전함에 따라 확장할 수 있습니다.
• 호스트 수준에서의 세분화. 기존 호스트 기반 방화벽을 사용하면 인프라를 건드리거나 케이블을 옮길 필요 없이 단일 클라우드 인스턴스에서 모든 세분화 정책을 관리할 수 있습니다. 

일루미오가 성공적인 침해의 범위를 제한하여 위험을 획기적으로 줄일 수 있는 방법에 대해 자세히 알아보세요: 랜섬웨어가 사이버 재앙이 되는 것을 방지하는 방법 백서를 읽고 블로그 게시물, 랜섬웨어에 대응하기 위해 Illumio를 사용해야 하는 9가지 이유를 확인하세요. 

Conti 랜섬웨어 그룹에 대한 자세한 내용은 공식 자문 페이지에서 확인하세요.