Azure의 랜섬웨어 방지

  • 아티클

랜섬웨어와 강탈은 대상 조직, 국가/지역 안보, 경제 안보, 공중 보건 및 안전에 부정적인 영향을 주는 고수익 저비용 비즈니스입니다. 간단한 단일 PC 랜섬웨어로 시작된 것이 모든 유형의 회사 네트워크와 클라우드 플랫폼을 대상으로 하는 다양한 강탈 기술을 포함하도록 성장했습니다.

Azure에서 실행되는 고객을 랜섬웨어 공격으로부터 보호하기 위해 Microsoft는 클라우드 플랫폼의 보안에 많은 투자를 했으며, Azure 클라우드 워크로드를 보호하는 데 필요한 보안 제어를 제공합니다.

Azure 네이티브 랜섬웨어 방지를 활용하고 이 문서에서 권장하는 모범 사례를 구현하면 Azure 자산에 대한 잠재적 랜섬웨어 공격을 차단, 방지, 탐지하도록 조직을 최적화하는 조치를 취하게 됩니다.

이 문서에서는 랜섬웨어 공격에 대한 주요 Azure 네이티브 기능 및 방어 조치와 해당 기능을 사전에 활용하여 Azure 클라우드의 자산을 보호하는 방법에 대한 지침을 제공합니다.

증가하는 위협

랜섬웨어 공격은 오늘날 기업이 직면한 가장 큰 보안 과제 중 하나가 되었습니다. 랜섬웨어 공격이 성공하면 비즈니스 핵심 IT 인프라가 비활성화되고 비즈니스의 실제 경제 안보 또는 안전에 부정적인 영향을 미칠 수 있는 피해를 입을 수 있습니다. 랜섬웨어 공격은 모든 유형의 비즈니스를 대상으로 합니다. 따라서 모든 기업이 랜섬웨어 방지를 위해 예방 조치를 취해야 합니다.

공격 횟수의 최근 추세가 심상치 않습니다. 2020년에는 비즈니스에 대한 랜섬웨어 공격이 심각하지 않았지만, 2021년부터 상황이 악화되었습니다. 5월 7일 Colonial Pipeline(Colonial) 공격으로 인해 디젤, 가솔린, 제트 연료의 파이프라인 운송과 같은 서비스가 일시적으로 중단되었습니다. Colonial은 인구가 많은 동부 주에 공급하는 중요한 연료 네트워크를 종료했습니다.

이전에는 사이버 공격이 특정 업계를 대상으로 하는 정교한 작업 집합으로 간주되었으므로 나머지 업계는 사이버 범죄의 범위를 벗어났으며 어떤 사이버 보안 위협에 대비해야 하는지에 대한 컨텍스트가 없다고 믿게 되었습니다. 랜섬웨어는 이 위협 환경의 중대한 변화를 나타내며, 사이버 공격을 모든 사람에게 영향을 주는 매우 현실적인 위험으로 만들었습니다. 암호화되고 손실된 파일과 몸값 협박장이 이제 대부분의 경영진에게 가장 큰 두려움이 되었습니다.

랜섬웨어의 경제 모델은 랜섬웨어 공격이 전적으로 맬웨어 인시던트라는 오해를 이용합니다. 실제로 랜섬웨어는 네트워크를 공격하는 악의적 사용자와 관련된 위반입니다.

많은 조직에서는 랜섬웨어 인시던트 후 처음부터 다시 빌드하는 비용이 원래 요구된 몸값보다 훨씬 큽니다. 위협 환경과 랜섬웨어 작동 방식에 대한 이해가 제한적인 경우 몸값을 지불하는 것이 정상적인 운영으로 복구하는 데 더 효율적인 비즈니스 결정처럼 보입니다. 그러나 실제 피해는 사이버 범죄자가 향후 범죄 활동을 위해 네트워크에 백도어를 남겨두는 동시에 릴리스 또는 판매를 위해 파일을 반출할 때 발생하며, 이러한 위험은 몸값 지불 여부와 관계없이 지속됩니다.

랜섬웨어란?

랜섬웨어는 컴퓨터를 감염시키고 돈을 강탈하기 위해 감염된 시스템이나 특정 파일에 대한 사용자 액세스를 제한하는 맬웨어의 한 유형입니다. 대상 시스템이 손상된 후에는 일반적으로 대부분의 상호 작용이 잠기고, 시스템이 잠겼거나 모든 파일이 암호화되었다는 경고가 화면에 표시됩니다. 그런 다음, 시스템을 해제하거나 파일 암호를 해독하기 위해 상당한 몸값을 지불하도록 요구합니다.

랜섬웨어는 성공을 위해 일반적으로 조직의 IT 시스템 또는 인프라에 있는 약점이나 취약성을 악용합니다. 공격은 너무 명백해서 많은 조사를 수행하지 않아도 비즈니스가 공격을 받았거나 인시던트가 선언되어야 한다는 것을 확인할 수 있습니다. 단, 손상을 유발하는 자료와 교환하는 조건으로 몸값을 요구하는 스팸 메일은 예외입니다. 이 경우 메일에 아주 구체적인 정보가 포함되지 않는 한, 해당 유형의 인시던트는 스팸으로 처리되어야 합니다.

데이터가 포함된 IT 시스템을 운영하는 모든 비즈니스 또는 조직은 공격을 받을 수 있습니다. 개인이 랜섬웨어 공격의 대상이 될 수도 있지만 대부분의 공격은 비즈니스를 대상으로 합니다. 2021년 5월 Colonial 랜섬웨어 공격이 상당한 대중의 관심을 끌었지만, DART(탐지 및 대응 팀)의 랜섬웨어 관련 데이터에 따르면 에너지 부문이 금융, 의료, 엔터테인먼트 부문과 함께 가장 많은 공격을 받은 부문 중 하나입니다. 또한 팬데믹 중에는 병원이나 의료 회사를 공격하지 않겠다는 지속적인 약속에도 불구하고 의료는 사람이 운영하는 랜섬웨어의 최고 표적이 되고 있습니다.

Pie chart illustrating industries that are targeted by ransomware

자산이 공격 대상으로 지정되는 방식

클라우드 인프라를 공격할 때 악의적인 사용자는 고객 데이터 또는 회사 비밀에 액세스하기 위해 여러 리소스를 공격하는 경우가 많습니다. 클라우드 “킬 체인” 모델은 공격자가 퍼블릭 클라우드에서 실행되는 리소스에 대한 액세스를 시도하는 방식을 노출, 액세스, 수평 이동, 작업이라는 4단계 프로세스를 통해 설명합니다.

  1. 노출 단계에서는 공격자가 인프라에 액세스할 수 있는 기회를 찾습니다. 예를 들어 공격자는 권한 있는 사용자가 액세스할 수 있도록 고객 관련 애플리케이션이 열려 있어야 한다는 것을 알고 있습니다. 해당 애플리케이션은 인터넷에 노출되므로 공격에 취약합니다.
  2. 공격자는 노출을 악용하여 퍼블릭 클라우드 인프라에 액세스하려고 합니다. 손상된 사용자 자격 증명, 손상된 인스턴스 또는 잘못 구성된 리소스를 통해 액세스할 수 있습니다.
  3. 수평 이동 단계에서는 공격자가 액세스할 수 있는 리소스와 해당 액세스 범위를 발견합니다. 인스턴스에 대한 공격이 성공하면 공격자는 데이터베이스 및 기타 중요한 정보에 액세스할 수 있습니다. 그런 다음, 공격자가 추가 자격 증명을 검색합니다. 클라우드용 Microsoft Defender 데이터에 따르면 공격을 신속하게 알리는 보안 도구가 없을 경우 조직에서 위반을 발견하는 데 평균 101일이 걸립니다. 반면, 공격자는 일반적으로 위반 발생 후 24~48시간 내에 네트워크를 완전히 제어할 수 있습니다.
  4. 수평 이동 후 공격자가 수행하는 작업은 주로 수평 이동 단계에서 액세스할 수 있었던 리소스에 따라 다릅니다. 공격자는 데이터 반출 또는 데이터 손실을 유발하거나 기타 공격을 시작하는 작업을 수행할 수 있습니다. 엔터프라이즈의 경우 데이터 손실의 평균 재정적 영향은 현재 123만 달러에 이르고 있습니다.

Flowcharting showing how cloud infrastructure is attacked: Exposure, Access, Lateral movement, and Actions

공격이 성공하는 이유

랜섬웨어 공격이 성공하는 몇 가지 이유가 있습니다. 취약한 비즈니스는 종종 랜섬웨어 공격의 희생자가 됩니다. 다음은 공격의 중요한 성공 요인 중 일부입니다.

  • 디지털 매장을 통해 더 많은 서비스를 제공하는 비즈니스가 늘어나면서 공격 표면이 증가했습니다.
  • 상용 맬웨어, RaaS(Ransomware-as-a-Service)를 상당히 쉽게 얻을 수 있습니다.
  • 몸값 지불에 암호 화폐를 사용할 수 있게 되면서 악용할 새로운 길이 열렸습니다.
  • 각각 맬웨어의 잠재적 액세스 지점으로, 잠재적 공격 표면이 되는 다양한 작업 공간(지역 학군, 경찰서, 순찰차 등)에서 컴퓨터와 컴퓨터 사용량이 확장되었습니다.
  • 오래된 구식 인프라 시스템과 소프트웨어가 널리 사용되고 있습니다.
  • 패치 관리 구성이 잘못되었습니다.
  • 지원 종료 날짜가 임박했거나 이미 지난 구식 또는 오래된 운영 체제가 사용되고 있습니다.
  • IT 공간을 현대화하기 위한 리소스가 부족합니다.
  • 지식 격차가 있습니다.
  • 숙련된 직원이 부족하고 주요 인력에 대한 의존도가 너무 높습니다.
  • 보안 아키텍처가 잘못되었습니다.

공격자는 RDP(원격 데스크톱 프로토콜) 무차별 암호 대입 공격(brute force attack) 등의 다양한 기술을 사용하여 취약성을 악용합니다.

Swimlane diagram illustrating the different techniques used by attackers

몸값을 지불해야 할까요?

이 성가신 요구에 직면할 때 최선의 선택이 무엇인지에 대한 다양한 의견이 있습니다. FBI(미국 연방 수사국)는 희생자에게 몸값을 지불하지 말고, 대신 경계하고 공격 전에 사전 대응형 조치를 취하여 데이터를 보호할 것을 권고합니다. 몸값을 지불해도 잠긴 시스템과 암호화된 데이터가 다시 해제된다는 보장이 없다고 주장합니다. 몸값을 지불하면 안 되는 또 다른 이유로, FBI는 사이버 범죄자에게 몸값을 지불할 경우 조직을 계속 공격하도록 자극하게 된다고 말합니다.

하지만 일부 희생자는 몸값을 지불한 후 시스템 및 데이터 액세스가 보장되지 않더라도 요구된 몸값을 지불하기로 선택합니다. 몸값 지불을 통해 해당 조직은 시스템과 데이터를 복구하고 정상적인 운영을 신속하게 재개할 수 있다는 희망의 댓가로 계산된 위험을 감수합니다. 계산에는 생산성 손실, 시간에 따른 수익 감소, 중요한 데이터 노출, 잠재적 평판 손상과 같은 부수적 비용 감소가 포함됩니다.

몸값 지불을 방지하는 최상의 방법은 예방 조치를 구현하고 공격자가 시스템을 해킹하기 위해 전체 또는 증분 방식으로 수행하는 모든 단계로부터 조직을 보호할 도구 포화도를 유지함으로써 희생자가 되지 않는 것입니다. 또한 영향을 받은 자산을 복구할 수 있으면 비즈니스 운영이 적시에 복원될 수 있습니다. Azure Cloud에는 모든 방법을 안내하는 강력한 도구 집합이 있습니다.

비즈니스에 발생하는 일반적인 비용은 무엇인가요?

랜섬웨어 공격이 조직에 미치는 영향은 정확하게 정량화하기 어렵습니다. 그러나 범위 및 유형에 따라 영향은 다차원적이며, 다음과 같이 광범위하게 표현됩니다.

  • 데이터 액세스 손실
  • 비즈니스 운영 중단
  • 재정 손실
  • 지적 재산권 도난
  • 고객 신뢰 및 평판 손상

Colonial Pipeline은 데이터를 해제하기 위해 약 440만 달러의 몸값을 지불했습니다. 가동 중지 시간 비용, 생산 손실, 판매 손실, 서비스 복원 비용은 여기에 포함되지 않습니다. 더 광범위하게 살펴본다면, 중요한 영향은 지역의 마을과 도시를 포함하여 모든 종류의 많은 기업과 조직에 영향을 미치는 “연쇄 반응”입니다. 재정적 영향도 막대합니다. Microsoft에 따르면 랜섬웨어 복구와 관련된 글로벌 비용은 2021년에 200억 달러를 초과할 것으로 예상됩니다.

Bar chart showing impact to business

다음 단계

백서: 랜섬웨어 공격에 대한 Azure 방어 백서를 참조하세요.

이 시리즈의 다른 문서: