Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

글로벌 로펌이 일루미오를 사용하여 랜섬웨어 공격을 차단한 방법

론 아이작슨
엔터프라이즈 아키텍처 부문 선임 이사
Illumio Editorial
6월 24, 2022
23 분 읽기

한 글로벌 로펌이 랜섬웨어의 공격을 받았습니다. 

공격은 12개의 서버로 빠르게 확산되었습니다.

공격자들은 전체 네트워크에 침투하여 회사를 인질로 잡을 준비가 되어 있었습니다. 

하지만 이 로펌은 준비가 되어 있었습니다. 일루미오가 있었습니다. 그리고 저희의 기술을 사용함으로써

  • 단 12개 서버에 대한 공격 제한 
  • 손상된 시스템을 식별하고 몇 초 만에 격리했습니다.
  • 최초 침해 후 단 몇 시간 만에 공격 차단 
  • 공격자가 민감한 데이터를 암호화하거나 도용하여 회사와 고객에게 피해를 입히기 전에 위협을 종료합니다.

이 게시물에서는 글로벌 로펌이 어떻게 전례 없는 속도로 랜섬웨어 공격을 막고 IT 시스템과 비즈니스, 그리고 가장 중요한 고객들에게 심각한 피해를 입히지 않았는지 설명합니다. 

몇 시간 만에 침입에서 퇴거까지: 공격 타임라인

재앙이었어야 했습니다.

이 로펌은 전 세계 수십 개 지역에 수천 명의 사용자, 서버, 워크스테이션을 보유하고 있었습니다. 이 회사는 수백 명의 고객을 보유하고 있었고 디지털 인프라에 수많은 민감한 데이터와 법률 문서를 저장했습니다.

이 회사는 랜섬웨어의 주요 표적이었는데, 어느 날 이런 일이 발생했습니다. 공격을 받았습니다. 

하지만 공격은 실패했습니다. 사이버 범죄자들은 몇 시간 만에 퇴거당했습니다. 로펌의 사고 대응을 이끌었던 IT 담당 임원이 Illumio에 알려준 사고 경위는 다음과 같습니다.

이 사건의 민감한 성격으로 인해 모든 이름과 구체적인 신원 확인은 보류되었습니다.

최초의 침해: 월요일 이른 오후

이 회사의 직원 중 한 명이 공격자에게 피해를 입은 고객으로부터 피싱 이메일을 받았습니다.

"해커들은 교활했습니다."라고 이 임원은 말합니다. "Excel 파일로 추정되는 URL을 보냈는데 하이퍼링크가 아니었습니다. 그래서 직원이 브라우저에 URL을 복사하여 파일을 다운로드했습니다."

하지만 아무 일도 일어나지 않았습니다. 그래서 그녀는 악성 코드인 줄도 모르고 회사 IT 헬프 데스크에 연락하여 파일에 액세스하는 데 도움을 요청했습니다.

오후 2시: 공격 시작 

헬프 데스크 직원이 URL을 자신의 브라우저에 복사했습니다. 이로 인해 무기화된 파일이 멀웨어를 실행하게 되었습니다. 

"엑셀 파일은 매크로를 실행하여 악의적인 공격자가 워크스테이션을 손상시키고 계정 권한에 액세스할 수 있게 했습니다."라고 이 임원은 설명합니다.

오후 2시 - 오후 3시 40분: 공격자가 탐지되지 않음

IT 기술자의 컴퓨터는 거의 2시간 동안 온라인 상태였고 확인되지 않았기 때문에 범죄자들은 공격을 가장 잘 수행할 수 있는 방법을 탐색하고 평가할 시간을 가졌습니다.

"악의적인 공격자들은 네트워크 스캔을 매우 신중하고 천천히 수행했기 때문에 그들의 움직임은 거의 감지할 수 없었습니다."라고 그는 말합니다.

결국 공격자들은 헬프 데스크 워크스테이션에서 획득한 권한으로 액세스할 수 있는 서버를 찾아냈습니다. 이때가 바로 그들이 총을 쏜 때입니다.

오후 3시 40분 - 오후 4시: 공격자들이 움직이기 시작하다

공격자는 처음에 SQL 서버의 데이터베이스 파일을 암호화했습니다. 이로 인해 서버가 다운되었습니다. 로펌의 IT 그룹은 즉시 충돌을 발견하고 조사한 결과 랜섬웨어의 징후를 발견했습니다. 

"오후 6시에 데이터베이스 관리자가 전화해서 랜섬웨어에 감염된 것 같다고 말했습니다."라고 그는 말합니다.

오후 4시 - 오후 4시 50분: 워룸 만들기

IT 임원은 CIO에게 이 사실을 알렸습니다. 어떤 CIO도 받고 싶지 않은 전화였습니다. 그는 최악의 상황을 두려워했습니다. 그들은 시간이 촉박하다는 것을 알고 있었습니다.

로펌은 신속하게 대응을 조율해야 했습니다.

"약 15분 만에 Zoom 통화를 개설하고 IT 및 보안 팀원들을 만났습니다."라고 그는 설명합니다. "우리는 로그를 분석하여 어떤 일이 일어났고 이미 어떤 정보가 유출되었는지 알아냈습니다."

오후 4시 50분 - 오후 6시 15분: 공격에 대한 이해

"우리는 악성 URL과 랜섬웨어 파일을 호스팅한 IT 헬프 데스크 워크스테이션인 '환자 0'을 가리키는 로그를 빠르게 찾아냈습니다."라고 그는 말합니다.

하지만 그것만으로는 충분하지 않았습니다. 그들은 공격이 다른 곳으로 확산될 수 있는지를 알아야 했습니다. 

이 임원은 "그 시점에서는 시간이 흘러가고 있습니다."라고 설명합니다. "우리는 신속하게 해당 워크스테이션을 격리하고 공격의 범위를 파악하기 위해 환경 전반을 살펴보기 시작했습니다."

대응팀은 해커를 추적하는 데 도움을 주기 위해 관리형 보안 서비스 제공업체(MSSP) 를 투입했습니다. 

MSSP는 일루미오의 실시간 애플리케이션 트래픽 데이터가 포함된 보안 정보 및 이벤트 관리(SIEM) 툴을 사용하여 SIEM을 쿼리하고 공격자가 Microsoft Azure에서 실행되는 클라우드 기반 서버 1개를 포함하여 다른 11개의 서버에 접속한 것을 확인할 수 있었습니다.

팀이 작업하는 동안 실시간 원격 분석을 통해 공격의 범위가 눈앞에서 확장되고 있음을 확인할 수 있었습니다. 시간이 얼마 남지 않았습니다. 

오후 6시 20분 일루미오가 공격 종료

로펌은 유출을 막기 위해 신속하게 조치를 취해야 했습니다.

팀은 Illumio를 사용하여 Azure 클라우드 인스턴스를 포함한 12개의 서버를 모두 즉시 네트워크나 컴퓨팅 리소스에 액세스하지 않고 세분화 링펜스에 넣을 수 있었습니다.

결국, 이 조치가 공격을 저지하는 데 결정적인 역할을 했습니다. 

"말 그대로 몇 번의 드래그 앤 드롭 클릭만으로 영향을 받은 모든 시스템을 격리할 수 있었습니다."라고 이 임원은 말합니다. "기존 방식으로 이를 해결하려 했다면 훨씬 더 오랜 시간이 걸렸을 것이고, 악의적인 행위자들이 다른 시스템으로 이동하여 계속 확산할 수 있는 충분한 기회를 제공했을 것입니다. 일루미오를 통해 즉시 차단할 수 있었습니다. 그들은 우리를 피해 다른 곳으로 뛰어넘어 계속 퍼져나갈 방법이 없었습니다. 저녁의 즐거움은 끝났습니다."

오후 6시 20분 - 오전 1시: 피해 평가

위협은 끝났지만 아직 해야 할 일이 남아있었습니다. 

이 임원은 "공격자들이 우리 데이터를 훔쳤는지 확인하기 위해 전체 공격을 조사해야 했습니다."라고 말합니다. "로펌으로서 데이터를 잃어버리면 고객에게 알려야 합니다. 그렇게 하면 평판에 큰 타격을 입힐 수 있습니다."

그는 사고 대응(IR) 회사에 의뢰하여 공격의 전체 범위를 조사했습니다. 

화요일 - 금요일: 유출된 데이터의 증거 찾기 

로펌의 IT 그룹은 IR 회사의 소프트웨어 에이전트를 설치한 다음 Illumio를 사용하여 손상된 컴퓨터에서 파일을 안전하게 전송했습니다(실수로 재감염되는 일이 없도록 하기 위해). IR 팀이 일을 시작했습니다. 

"거기서부터 기다리기만 하면 되었습니다."라고 이 임원은 말합니다.

지난 주말, IR 팀은 조사를 마무리했습니다. 

"그들은 돌아와서 다른 시스템이 손상되지 않았다고 말했고, 데이터 유출이 없었다는 것을 확인했습니다."라고 그는 말합니다. 

이보다 더 좋은 소식이 있을 수 없습니다. 그리고 그 결과는 전례 없는 것이었습니다. 

"사고 대응 팀부터 MSSP에 이르기까지 모두가 랜섬웨어 공격에 이렇게 빠르게 대응하는 기업은 처음 봤다고 말합니다."라고 이 임원은 말합니다. "공격이 워낙 빠르게 확산되기 때문에 12개 시스템으로 제한하는 것은 전례가 없는 일이라고 합니다. 하지만 일루미오 덕분에 그렇게 할 수 있었습니다."

더욱 쉬워진 랜섬웨어 방어

이 IT 임원은 일루미오가 유출 사고를 막는 데 중추적인 역할을 했지만, 유출 사고 이전에 일루미오의 제로 트러스트 세분화 기능을 배포한 것도 중요한 차이를 만들었다고 말합니다. 

이 회사는 Illumio 배포를 40% 정도만 완료했지만, 이미 적용된 액세스 제어는 공격 중에 해커가 사용할 수 있는 경로와 옵션을 크게 제한하여 속도를 늦추고 일단 네트워크에 들어가면 액세스할 수 있는 항목을 크게 제한하는 데 도움이 되었습니다.

"환경을 세분화하기 위해 일루미오를 도입하지 않았다면 이번 공격은 훨씬 더 심각했을 것입니다."라고 이 임원은 말합니다. "악의적인 공격자들은 워크스테이션에서 여러 경로를 찾아 훨씬 더 멀리, 훨씬 더 빠르게 퍼졌을 것입니다."  

로펌이 랜섬웨어 공격을 성공적으로 방어한 사례에서 얻은 교훈은 분명합니다. 침해가 발생하면 즉시 대응할 수 있도록 적절한 리더십, 적절한 팀, 적절한 통제 체계를 갖춰야 한다는 것입니다. 

"보안 침해가 발생하는 것은 시간 문제일 뿐입니다."라고 이 임원은 말합니다. "오늘날과 같은 시대에는 해커나 멀웨어가 불가피하게 네트워크에 침입했을 때 측면 이동을 제한하기 위해 마이크로세그멘테이션을 구현하는 것이 필수적입니다. 일루미오를 통해 이전에는 불가능했던 방식으로 이를 수행할 수 있었습니다. 덕분에 모든 것이 달라졌습니다."

지금 바로 일루미오를 도입하여 랜섬웨어가 회사를 인질로 삼기 전에 랜섬웨어를 막을 준비를 하세요. 

  • 이 회사의 공격에 대한 자세한 내용은 사례 연구 전문을 읽어보세요.
  • 제로 트러스트 영향 보고서를 다운로드하여 조직이 제로 트러스트에 어떻게 접근하고 세분화를 구현하여 정량화할 수 있는 이점을 얻고 있는지에 대한 연구를 확인하세요.
  • 빠르고 간단하며 확장 가능한 제로 트러스트 세분화를 구현하는 방법은 일루미오로 제로 트러스트 세분화 달성하기 가이드에서 확인하세요.
  • 제로 트러스트 세분화 전문가와 무료 상담 및 데모를 예약하세요.

관련 주제

No items found.

관련 문서

REvil 차단: 가장 많은 랜섬웨어 그룹 중 하나를 방해하는 일루미오의 방법
Ransomware Containment

REvil 차단: 가장 많은 랜섬웨어 그룹 중 하나를 방해하는 일루미오의 방법

일루미오 제로 트러스트 세분화가 공급망 운영을 공격하는 가장 많은 랜섬웨어 그룹 중 하나인 REvil을 차단하는 데 어떻게 도움이 되는지 알아보세요.

Read more
.Net 어셈블리를 사용한 랜섬웨어 기법 이해하기: 5가지 주요 기법
Ransomware Containment

.Net 어셈블리를 사용한 랜섬웨어 기법 이해하기: 5가지 주요 기법

.Net 소프트웨어 프레임워크를 사용하는 5가지 랜섬웨어 기법에 대해 알아보세요.

Read more
하이브 랜섬웨어: 일루미오 제로 트러스트 세분화로 랜섬웨어의 공격을 제한하는 방법
Ransomware Containment

하이브 랜섬웨어: 일루미오 제로 트러스트 세분화로 랜섬웨어의 공격을 제한하는 방법

Hive 랜섬웨어에 대해 자세히 알아보고 Illumio가 조직에 가해지는 위험을 완화하는 데 어떻게 도움이 되는지 알아보세요.

Read more
No items found.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

Learn more