랜섬웨어 공격에 대비하기

  • 아티클

사이버 보안 프레임워크 채택

먼저 MCSB(Microsoft 클라우드 보안 벤치마크)를 채택하여 Azure 환경을 보호하는 것이 좋습니다. Microsoft 클라우드 보안 벤치마크는 NIST SP800-53, CIS Controls v7.1과 같은 업계 기반 보안 제어 프레임워크를 기반으로 하는 Azure 보안 제어 프레임워크입니다.

Screenshot of the NS-1: Establish Network Segmentation Boundaries security control

Microsoft 클라우드 보안 벤치마크는 Azure 및 Azure 서비스를 구성하고 보안 제어를 구현하는 방법에 대한 조직 지침을 제공합니다. 조직은 클라우드용 Microsoft Defender를 사용하여 모든 Microsoft 클라우드 보안 벤치마크 컨트롤로 라이브 Azure 환경 상태를 모니터링할 수 있습니다.

궁극적으로 프레임워크는 사이버 보안 위험을 줄이고 더 잘 관리하는 것을 목표로 합니다.

Microsoft 클라우드 보안 벤치마크 스택
NS(네트워크 보안)
IM(ID 관리)
PA(권한 있는 액세스)
DP(데이터 보호)
AM(자산 관리)
로깅 및 위협 탐지(LT)
인시던트 응답(IR)
PV(자세 및 취약성 관리)
ES(엔드포인트 보안)
BR(백업 및 복구)
DS(DevOps 보안)
GS(거버넌스 및 전략)

완화를 우선 순위로 지정

랜섬웨어 공격에 대한 환경을 바탕으로 Microsoft는 우선 순위가 1) 준비, 2) 제한, 3) 예방에 중점을 두어야 한다는 것을 알았습니다. 대부분의 사람들은 공격을 방지하고 계속 진행하기를 원하기 때문에 이는 직관적이지 않은 것처럼 보일 수 있습니다. 불행히도 Microsoft는 위반(핵심 제로 트러스트 원칙)을 가정하고 가장 먼저 가장 큰 피해를 안정적으로 완화하는 데 집중해야 합니다. 랜섬웨어의 경우 최악의 시나리오가 발생할 가능성이 높기 때문에 이 우선 순위 지정은 매우 중요합니다. 쉽게 받아들일 수 있는 유쾌한 일은 아니지만, 사실 Microsoft는 Microsoft가 운영하는 복잡한 실제 환경을 제어하는 방법을 찾는 데 능숙한 창의적이고 의욕적인 인간 공격자와 마주하고 있습니다. 이러한 현실에 맞서 최악의 상황에 대비하고 공격자가 원하는 것을 얻을 수 있는 기능을 억제하고 방지할 수 있는 프레임워크를 구축하는 것이 중요합니다.

이러한 우선 순위가 먼저 수행할 작업을 제어하는 것도 맞지만, 조직에서는 가능한 한 많은 단계를 병렬로 실행하는 것이 좋습니다(가능할 때마다 1단계에서 빠른 성과를 이끌어내는 것을 포함).

들어가기 어렵게 만들기

랜섬웨어 공격자가 사용자 환경에 침입하는 것을 방지하고 인시던트에 신속하게 대응하여 공격자가 데이터를 훔치고 암호화하기 전에 액세스 권한을 제거합니다. 이로 공격자가 더 일찍 그리고 더 자주 실패하게 되므로 공격에서 오는 이익이 낮아집니다. 이러한 일은 예방하는 것이 바람직하지만, 아직 완성되지 않았으며 실제 조직(IT 책임이 분산된 복잡한 다중 플랫폼 및 다중 클라우드 자산)에서 100% 예방 및 신속한 대응을 달성하는 것은 어려울 수 있습니다.

이를 달성하기 위해 조직은 보안 제어를 강화하여 침입을 방지하고 공격자를 신속하게 탐지/퇴거하는 동시에 보안을 유지할 수 있도록 하는 지속적인 프로그램을 구현하는 빠른 승리를 식별 및 실행해야 합니다. Microsoft는 조직이 여기에 있는 제로 트러스트 전략에 설명된 원칙을 따를 것을 권장합니다. 특히, 랜섬웨어에 맞서 조직은 다음을 우선적으로 처리해야 합니다.

  • 자산에 대한 공격 표면 감소 및 위협 및 취약성 관리에 활동을 집중하여 보안 위생을 개선합니다.
  • 상품 및 지능형 위협으로부터 보호하고 공격자 작업에 대한 표시 유형과 경고를 제공하고 활성 위협에 대응할 수 있는 디지털 자산에 대한 보호, 탐지 및 대응 제어를 구현합니다.

피해 범위 제한

중요 비즈니스용 시스템을 제어하는 IT 관리자 및 기타 역할과 같은 권한 있는 계정에 대한 강력한 제어(방지, 탐지, 대응)가 있는지 확인합니다. 이는 공격자가 리소스를 훔치고 암호화하기 위해 리소스에 대한 완전한 액세스 권한을 얻는 것을 늦추거나 차단합니다. IT 관리자 계정을 리소스에 대한 지름길로 사용하는 공격자의 기능을 제거하면 공격자가 성공적으로 사용자를 공격하고 결제/수익을 요구할 가능성이 크게 낮아집니다.

조직은 권한 있는 계정에 대한 보안을 강화해야 합니다(이러한 역할과 관련된 인시던트를 철저하게 보호하고 면밀히 모니터링하며 신속하게 대응). 다음을 포함하는 Microsoft의 보안 신속한 최신화 계획을 참조하세요.

  • 엔드투엔드 세션 보안(관리자용 MFA(다단계 인증) 포함)
  • ID 시스템을 보호하고 모니터링합니다.
  • 측면 통과 완화
  • 신속한 위협 대응

최악의 상황에 대비

최악의 시나리오에 대한 계획을 세우고 그것이 조직의 모든 수준에서 일어날 것이라고 예상합니다. 이는 사용자의 조직과 사용자가 의존하는 세계의 다른 사람들 모두에게 도움이 될 것입니다.

  • 최악의 시나리오에 대한 피해 제한 – 백업에서 모든 시스템을 복원하는 것은 비즈니스에 큰 지장을 주지만, 이는 키를 가져오기 위해 비용을 지불한 후 공격자가 제공하는 낮은 품질의 암호 해독 도구를 사용하여 복구를 시도하는 것보다 더 효과적이고 효율적입니다. 참고: 지불은 불확실한 경로입니다. 키가 모든 파일에서 작동하고, 도구가 효과적으로 작동하거나 공격자(전문가의 도구 키트를 사용하는 아마추어 계열사일 수 있음)가 신의에 따라 성실하게 작동한다는 공식적이거나 법적인 보장이 없습니다.
  • 공격자의 재정적 수익 제한 – 조직이 공격자에게 비용을 지불하지 않고 비즈니스 작업을 복원할 수 있다면 공격은 사실상 실패한 것이며 공격자의 ROI(투자 수익률)는 0이 됩니다. 이는 그들이 향후에 조직을 대상으로 삼을 가능성을 줄입니다(그리고 다른 사람들을 공격하기 위한 추가 자금을 박탈합니다).

공격자는 여전히 데이터 공개 또는 도난당한 데이터를 남용/판매하여 조직을 강탈하려고 시도할 수 있지만 이러한 경우 데이터 및 시스템에 대한 유일한 액세스 경로가 있는 경우보다 활용도가 낮습니다.

이를 실현하기 위해 조직은 다음을 보장해야 합니다.

  • 위험 등록 - 가능성이 높고 영향이 큰 시나리오로 위험 등록에 랜섬웨어를 추가합니다. ERM(기업 위험 관리) 평가 주기를 통해 위험 완화 상태를 추적합니다.
  • 중요 비즈니스 자산 정의 및 백업 – 중요한 비즈니스 운영에 필요한 시스템을 정의하고(Active Directory와 같은 중요한 종속성의 올바른 백업 포함) 온라인 백업을 수정/지우기 전에 오프라인 스토리지, 변경이 불가능한 스토리지 및/또는 대역 외 단계(MFA 또는 PIN)를 사용하여 의도적으로 삭제 및 암호화하지 않도록 백업을 보호합니다.
  • '제로에서 복구' 시나리오 테스트 – BC/DR(비즈니스 연속성/재해 복구)이 제로 기능(모든 시스템 다운) 상태에서 중요한 비즈니스 작업을 신속하게 온라인으로 가져올 수 있는지 확인하기 위한 테스트입니다. 대역 외 직원과 고객 통신을 비롯하여, 팀 간 프로세스 및 기술 절차의 유효성을 검사하는 연습을 수행합니다(모든 email/chat/ 등은 중단 되었다고 가정).
    복구 절차 문서, CMDB, 네트워크 다이어그램, SolarWinds 인스턴스 등을 포함하여 복구에 필요한 지원 문서 및 시스템을 보호하는(또는 인쇄해 놓는) 것이 중요합니다. 공격자는 이를 정기적으로 파괴합니다.
  • 자동 백업 및 셀프 서비스 롤백을 통해 데이터를 클라우드 서비스로 이동하여 온-프레미스 노출을 줄입니다.

인식 촉진 및 지식 격차가 없는지 확인

잠재적인 랜섬웨어 인시던트에 대비하기 위해 수행할 수 있는 여러 작업이 있습니다.

최종 사용자에게 랜섬웨어의 위험성 교육

대부분의 랜섬웨어 변종은 랜섬웨어를 설치하거나 손상된 웹 사이트에 연결하기 위해 최종 사용자에게 의존하므로 모든 최종 사용자는 위험에 대해 교육을 받아야 합니다. 이는 일반적으로 회사의 학습 관리 시스템을 통해 제공되는 임시 학습 및 연간 보안 인식 학습의 일부입니다. 인식 학습은 또한 회사의 포털이나 기타 적절한 채널을 통해 회사의 고객에게까지 확대되어야 합니다.

랜섬웨어 인시던트에 대응하는 방법에 대해 SOC(보안 운영 센터) 분석가 및 기타 교육

SOC 분석가 및 랜섬웨어 인시던트에 관련된 다른 사람들은 특히 악성 소프트웨어 및 랜섬웨어의 기본 사항을 알고 있어야 합니다. 랜섬웨어의 주요 변종/군과 몇 가지 일반적인 특성을 알고 있어야 합니다. 고객 콜 센터 담당자는 또한 회사의 최종 사용자 및 고객의 랜섬웨어 보고서를 처리하는 방법을 알고 있어야 합니다.

적절한 기술 제어가 있는지 확인합니다.

예방에 중점을 두고 랜섬웨어 인시던트를 보호, 검색 및 대응하기 위해 마련해야 하는 다양한 기술적 제어가 있습니다. SOC 분석가는 최소한 회사의 맬웨어 방지 시스템에서 생성된 원격 분석에 액세스하고, 어떤 예방 작업이 있는지 이해하고, 랜섬웨어의 대상이 되는 인프라를 이해하고, 회사 팀이 적절한 작업을 취하도록 지원할 수 있어야 합니다.

여기에는 다음 필수 도구 중 일부 또는 전체가 포함되어야 합니다.

  • 탐지 및 예방 도구

    • 엔터프라이즈 서버 맬웨어 방지 도구 모음(예: 클라우드용 Microsoft Defender)
    • 네트워크 맬웨어 방지 솔루션(예: Azure 맬웨어 방지)
    • 보안 데이터 분석 플랫폼(예: Azure Monitor, Sentinel)
    • 차세대 침입 탐지 및 방지 시스템
    • NGFW(차세대 방화벽)

  • 악성코드 분석 및 대응 도구 키트

    • 조직의 대부분의 주요 최종 사용자 및 서버 운영 체제를 지원하는 자동화된 맬웨어 분석 시스템
    • 정적 및 동적 악성코드 분석 도구
    • 디지털 포렌식 소프트웨어 및 하드웨어
    • 조직 이외의 인터넷 액세스(예: 4G 동글)
    • 효율성을 극대화하기 위해 SOC 분석가는 보안 데이터 분석 플랫폼 내의 통합 원격 분석 외에도 네이티브 인터페이스를 통해 거의 모든 맬웨어 방지 플랫폼에 광범위하게 액세스할 수 있어야 합니다. Azure Cloud Services 및 Virtual Machines에 대한 Azure 네이티브 맬웨어 방지용 플랫폼은 이를 수행하는 방법에 대한 단계별 가이드를 제공합니다.
    • 보강 및 인텔리전스 원본
    • 온라인 및 오프라인 위협 및 맬웨어 인텔리전스 원본(예: Sentinel, Azure Network Watcher)
    • Active Directory 및 기타 인증 시스템(및 관련 로그)

  • 엔드포인트 디바이스 정보가 포함된 내부 CMDB(구성 관리 데이터베이스)

  • 데이터 보호

    • 랜섬웨어 공격으로부터 빠르고 안정적인 복구를 보장하기 위해 데이터 보호를 구현하고 일부 기술을 차단합니다.
    • 보호된 폴더 지정 – 권한이 없는 애플리케이션이 이러한 폴더의 데이터를 수정하는 것을 더 어렵게 만듭니다.
    • 권한 검토 – 랜섬웨어를 사용하도록 설정하는 광범위한 액세스로 인한 위험 감소
    • 파일 공유, SharePoint 및 기타 솔루션에 대한 광범위한 쓰기/삭제 권한을 검색합니다.
    • 비즈니스 협업 요구 사항을 충족하는 한편, 광범위한 사용 권한을 줄입니다.
    • 광범위한 권한이 다시 나타나지 않도록 감사 및 모니터링을 수행합니다.
    • 백업 보호
    • 중요한 시스템을 백업하고 공격자가 의도적인 삭제/암호화로부터 백업을 보호하는지 확인합니다.
    • 모든 중요 시스템을 정기적으로 자동 백업합니다.
    • BC/DR(비즈니스 연속성/재해 복구) 계획을 정기적으로 실행하여 비즈니스 운영의 신속한 복구 보장
    • 고의적인 삭제 및 암호화로부터 백업을 보호합니다.
    • 강력한 보호 – Azure Backup과 같은 온라인 백업을 수정하기 전에 대역 외 단계(예: MUA/MFA)가 필요합니다.
    • 가장 강력한 보호 – 온라인/프로덕션 워크로드에서 백업을 분리하여 백업 데이터 보호를 강화합니다.
    • 복구에 필요한 지원 문서(예: 복원 절차 문서, CMDB 및 네트워크 다이어그램)를 보호합니다.

인시던트 처리 프로세스 수립

조직이 잠재적인 랜섬웨어 인시던트에 대비하기 위해 NIST(미국 국립표준기술원) 컴퓨터 보안 인시던트 처리 지침(특별 간행물 800-61r2)에 설명된 인시던트 대응 단계 및 지침에 따라 다양한 작업을 수행하도록 합니다. 이 단계에는 다음이 포함됩니다.

  1. 준비: 이 단계에서는 인시던트가 발생하기 전에 취해야 하는 다양한 행동을 설명합니다. 여기에는 기술적 준비(적절한 보안 제어 및 기타 기술 구현 등)와 비기술적 준비(프로세스 및 절차 준비 등)가 모두 포함될 수 있습니다.
  2. 트리거 검색: 이 단계에서는 이러한 형식의 인시던트가 검색되는 방법과 추가 조사 또는 인시던트 선언을 시작하는 데 사용해야 하는 사용 가능한 트리거에 대해 설명합니다. 일반적으로 신뢰도가 높은 트리거와 신뢰도가 낮은 트리거로 구분됩니다.
  3. 조사/분석: 이 단계에서는 인시던트가 발생한 것이 확실하지 않을 때 인시던트가 발생하지 않았다고 결론을 내리거나 인시던트를 선언해야 한다는 목표를 위해 사용 가능한 데이터를 조사하고 분석하기 위해 수행해야 하는 작업을 설명합니다.
  4. 인시던트 선언: 이 단계에서는 일반적으로 기업 인시던트 관리(티켓팅) 시스템 내에서 티켓을 제기하고 추가 평가 및 동작을 위해 해당 담당자에게 티켓을 전달하여 인시던트를 선언하기 위해 취해야 하는 단계를 다룹니다.
  5. 억제/완화: 이 단계에서는 SOC(보안 운영 센터) 또는 다른 사람이 사용 가능한 도구, 기술 및 절차를 사용하여 인시던트가 계속 발생하거나 인시던트의 영향을 제한하는 것을 억제 또는 완화(중지)하기 위해 취할 수 있는 단계를 다룹니다.
  6. 수정/복구: 이 단계에서는 인시던트가 억제 및 완화되기 전에 발생한 피해를 수정하거나 복구하기 위해 취할 수 있는 단계를 다룹니다.
  7. 인시던트 후 작업: 이 단계에서는 인시던트가 종료된 후 수행해야 하는 작업을 다룹니다. 여기에는 인시던트와 관련된 최종 설명을 캡처하고 진행 중 얻은 개선 사항을 식별하는 작업이 포함될 수 있습니다.

Flowchart of an incident handling process

빠른 복구를 위한 준비

적절한 프로세스와 절차가 있는지 확인합니다. 거의 모든 랜섬웨어 인시던트로 인해 손상된 시스템을 복원해야 합니다. 따라서 대부분의 시스템에는 적절하고 테스트된 백업 및 복원 프로세스와 절차가 있어야 합니다. 또한 랜섬웨어 공격으로부터의 복구 및 랜섬웨어 확산에 대한 방지를 위한 적절한 절차와 함께 적절한 억제 전략이 있어야 합니다.

타사 지원, 특히 위협 인텔리전스 공급자, 맬웨어 방지 솔루션 공급자, 맬웨어 분석 공급자 등을 지원하기 위한 잘 문서화된 절차가 있는지 확인합니다. 이러한 연락처는 랜섬웨어 변종에 알려진 취약성이 있거나 암호 해독 도구를 사용할 수 있는 경우 유용할 수 있습니다.

Azure 플랫폼은 다양한 데이터 서비스 및 워크로드 내에 기본 제공된 Azure Backup을 통해 백업 및 복구 옵션을 제공합니다.

Azure Backup을 사용한 격리된 백업

  • Azure Virtual Machines
  • Azure VM의 데이터베이스: SQL, SAP HANA
  • Azure Database for PostgreSQL
  • 온-프레미스 Windows 서버(MARS 에이전트를 사용하여 클라우드에 백업)

Azure Backup을 사용한 로컬(운영) 백업

  • Azure 파일
  • Azure Blob
  • Azure 디스크

Azure 서비스의 기본 제공 백업

  • Azure 데이터베이스(SQL, MySQL, MariaDB, PostgreSQL), Azure Cosmos DB 및 ANF와 같은 데이터 서비스는 기본 제공 백업 기능을 제공합니다.

다음 튜토리얼

백서: 랜섬웨어 공격에 대한 Azure 방어 백서를 참조하세요.

이 시리즈의 다른 문서: