랜섬웨어 이해하기: 가장 일반적인 공격 패턴

디지털 트랜스포메이션은 이제 가장 중요한 전략적 비즈니스 목표입니다. 시드니에서 샌프란시스코에 이르기까지, 이사회실에서는 클라우드, AI, IoT 등을 활용하여 성공을 이끌어내는 최선의 방법을 모색하고 있습니다. 이들의 노력은 새로운 고객 경험을 창출하고 비즈니스 프로세스를 간소화하는 데 필수적입니다. 또한 팬데믹의 잿더미 속에서 빠르게 부상하고 있는 새로운 하이브리드 근무 모델을 지원하는 데도 매우 중요합니다.

그러나 조직이 디지털 풋프린트를 늘리기 위해 지불하는 대가는 사이버 공격의 범위가 넓어지는 것입니다. 이는 사이버 위험, 특히 랜섬웨어 침해로 인한 피해의 위협을 불러옵니다.

현재 전 세계에서 수많은 랜섬웨어 개발자와 제휴 그룹이 활동 중입니다. 즉, 다양한 공격 전술, 기법 및 절차가 유통되고 있다는 뜻입니다. 하지만 그렇다고 해서 기본 작동 방식을 식별할 수 없다는 의미는 아닙니다. 더 좋은 점은 이러한 일반적인 공격 패턴에 간단한 3단계 프로세스를 적용하여 랜섬웨어 위험을 완화할 수 있다는 것입니다.

이것이 바로 네트워크 자산의 통신과 위협 행위자가 사용하는 공통 경로에 대한 포괄적인 가시성을 기반으로 하는 마이크로 세분화의 가치입니다.

이 블로그 게시물에서는 랜섬웨어의 작동 방식과 랜섬웨어를 차단하는 방법에 대한 일반적인 질문에 대한 답변을 제공합니다.

랜섬웨어가 중요한 이유는 무엇인가요?

랜섬웨어는 2021년 1분기 동안 기록적인 수준에 도달했으며, 한 공급업체의 경우 전 세계적으로 5억 건에 가까운 침해 시도를 기록했습니다. 최근 몇 년 동안 공격은 데이터 유출이 일상화될 정도로 진화하여 완전히 새로운 비즈니스 위험 요소를 추가하고 있습니다. 이는 조직이 단순히 데이터를 백업만 하고 손을 놓고 있을 수 없다는 뜻입니다. 데이터 유출만으로도 금전적, 평판적 피해가 발생할 수 있는 실질적인 위험이 있습니다.

오늘날에는 이른바 '이중 갈취' 공격이 발생할 수 있습니다:

• 규제 벌금
• 생산성 손실
• 매출 손실
• 복구 및 조사를 위한 IT 초과 근무 비용
• 법률 비용(예: 데이터 유출 시 집단 소송)
• 고객 이탈
• 주가 하락

모든 조직과 모든 공격은 다릅니다. 일부 논평가들은 현재 평균 재정적 피해를 약 2백만 달러로 추정하고 있지만, 일부 공격으로 인해 피해자들은 수억 달러의 피해를 입은 경우도 있습니다. 따라서 위협에 대응하기 위한 사전 조치를 취하는 것이 필수적입니다.

랜섬웨어는 어떻게 작동하나요?

좋은 소식은 오늘날 많은 변종과 관련 그룹이 활동 중이지만 대부분의 공격에 대한 기본적인 패턴을 파악할 수 있다는 것입니다. 간단히 말해, 위협 행위자입니다:

• 공격하기 전에 몇 달 동안 네트워크 내부에 숨어 있습니다.
• 초기 네트워크 액세스 및 지속적인 측면 이동을 위해 공통 경로를 활용하세요.
• 여러 단계에 걸쳐 작업을 수행하여 목표를 달성하세요.

각 기능에 대해 자세히 알아보겠습니다.

공격자들은 어떻게 그렇게 오랫동안 탐지되지 않을 수 있을까요?

공격자의 목표는 대량의 민감한 데이터를 훔치고 랜섬웨어를 모든 곳에 배포할 수 있을 정도로 피해자의 네트워크 내부에 강력한 존재감을 구축할 때까지 숨어 지내는 것입니다.

이를 위해

• 인터넷 및 기타 네트워크 자산에 열려 있는 디바이스, 애플리케이션, 워크로드 등 조직이 취약하거나 노출된 사실을 몰랐던 자산을 침해합니다.
• 조직이 개방되어 있다는 사실을 몰랐거나 모범 사례 보안 정책에 따라 폐쇄해야 하는 경로/데이터 흐름을 사용합니다.
• 여러 기능에 걸쳐 있는 여러 시스템을 손상시키면 팀이 모든 것을 단일 인시던트로 추적하기 어렵습니다.

공격자는 일반적인 경로를 어떻게 악용하나요?

대부분의 랜섬웨어는 피싱 이메일, RDP 손상 또는 소프트웨어 취약점 악용을 통해 유입됩니다. 공격자는 성공 가능성을 높이기 위해 다음과 같은 방법을 찾습니다:

• RDP 또는 SMB와 같은 고위험, 인기 경로의 소규모 세트입니다. 일반적으로 조직 전체에 걸쳐 쉽게 매핑되며 잘못 구성되는 경우가 많습니다.
• 스크립트와 크롤러를 사용한 자동화된 스캔을 통해 포트와 익스플로잇 가능한 에셋을 오픈합니다.
• 이러한 고위험 경로를 사용하여 단 몇 분 만에 조직 전체에 빠르게 확산할 수 있는 방법을 측면으로 이동합니다.

다단계 공격은 어떻게 작동하나요?

대부분의 공격은 가치가 낮은 자산을 탈취하는 것으로 시작하는데, 이는 일반적으로 탈취하기 쉽기 때문입니다. 위협 행위자는 추가 단계를 거쳐 데이터를 훔치거나 암호화할 수 있는 귀중한 자산에 도달하여 피해 조직을 갈취할 때 지렛대를 제공하는 것이 그들의 수법입니다.

이를 위해 공격자는 보통

• 조직의 열악한 가시성, 정책 제어 및 세분화의 이점을 활용하세요.
• 공격의 다음 단계에 도움이 되는 추가 툴을 다운로드하거나 공격자가 제어하는 서버로 데이터를 유출하기 위해 인터넷에 연결합니다.
• 네트워크에서 자산에서 자산으로 이동하는 과정인 측면 이동을 통해 대부분의 피해를 유발합니다.

랜섬웨어를 차단하는 간단한 세 가지 단계

이러한 일반적인 공격 패턴을 염두에 두고 CISO는 세 가지 간단한 구성 요소를 기반으로 하는 새로운 보안 아키텍처를 통해 대응책을 마련할 수 있습니다:

1. 환경 전반의 커뮤니케이션 흐름에 대한 포괄적인 가시성 개발

이렇게 하면 공격자가 숨을 곳이 없어져 초기 자산을 손상시키거나 측면으로 이동하는 동안 마스크를 벗을 수 있습니다.

그렇게 하려면 반드시 해야 합니다:

• 모든 자산에 대한 실시간 가시성을 확보하여 불필요하거나 비정상적인 데이터 흐름을 처리할 수 있습니다.
• 환경의 실시간 맵을 구축하여 어떤 워크로드, 애플리케이션 및 엔드포인트를 계속 열어 두어야 하고 어떤 엔드포인트를 닫을 수 있는지 파악하세요.
• 모든 운영팀이 작업할 수 있는 커뮤니케이션 흐름과 위험 데이터에 대한 통합 보기를 만들어 내부 마찰을 줄이세요.

2. 랜섬웨어 차단 기능 구축

단순히 커뮤니케이션 흐름을 매핑하고 어떤 자산을 폐쇄할 수 있는지 파악하는 것만으로는 충분하지 않습니다. 공격 표면을 줄이고 진행 중인 레이드를 차단하기 위한 조치를 취해야 합니다.

이렇게 하세요:

• 고위험 경로를 최대한 많이 닫고 열려 있는 경로를 실시간으로 모니터링합니다.
• 열 필요가 없는 포트는 모두 닫아 자동화된 스캔에서 노출된 자산을 찾을 가능성을 줄입니다.
• 공격 발생 시 네트워크 통신을 제한하기 위해 몇 초 만에 실행할 수 있는 비상 봉쇄 스위치를 만들 수 있습니다.

3. 중요 자산 격리

마지막 단계는 공격자가 중요 자산에 접근하지 못하도록 하여 공격자가 탐지하기 쉬운 조치를 취하도록 하는 것입니다.

여기에는 다음이 포함됩니다:

• 고가의 자산이 유출되는 것을 방지하기 위한 링 펜싱 애플리케이션.
• 신뢰할 수 없는 IP에 대한 아웃바운드 연결을 닫고 승인된 '허용 목록'에 있는 IP만 허용합니다."
• 중요 자산을 보호하고 공격이 확산되는 것을 막기 위한 침해 후 보안 조치를 개발합니다.

반격은 여기서 시작됩니다.

오늘날 어떤 조직도 100%% 침해 방지는 불가능합니다. 공격자들은 너무 단호하고, 자원이 풍부하며, 수적으로도 뛰어나기 때문입니다. 그러나 네트워크 가시성, 정책 제어 및 세분화에 올바르게 집중하면 위협을 격리할 가능성이 높은 더 스마트한 보안 아키텍처를 구축할 수 있습니다.

대부분의 위협 행위자는 기회주의적이며 빠르고 쉬운 ROI를 추구합니다. 이 세 가지 단계를 통해 상대방의 계획을 방해하면 심각한 타협을 피할 수 있습니다.

자세히 알아보기:

• 랜섬웨어 공격을 차단하는 방법전자책의 각 단계에 대해 자세히 알아보세요.
• Illumio가 어떻게 도움이 되는지 알아보세요: 랜섬웨어 대응에 Illumio를 사용해야 하는 9가지 이유