티스토리 뷰
랜섬웨어는 네트워크를 공격하는 악성 소프트웨어로, 사용자의 컴퓨터나 네트워크에 침투하여 정보를 수집하거나 악의적인 행동을 취하는 것을 목적으로 합니다. 일반적으로 이메일이나 웹사이트를 통해 유입되며, 사용자가 악성코드를 다운로드하는 것으로 침투합니다. 랜섬웨어는 컴퓨터의 성능을 저하시키거나 개인정보를 유출시키는 등의 피해를 초래할 수 있으니 주의해야 합니다. 그리고 사용자의 컴퓨터나 네트워크를 감염시킨 후 파일들을 암호화하고, 해독하려면 바이러스 제거 프로그램을 사용하거나 특정 금액을 지불하라는 메시지를 보여준다는 특징을 가지고 있다. 이러한 특징으로 인해 "협박성 암호화"라고도 불리고 있다.
랜섬웨어 공격 단계
해커가 기기에 액세스할 수 있게 되면 일반적으로 랜섬웨어 공격은 다음 단계로 진행됩니다.
단계 1 : 정찰. 공격자는 감염된 시스템을 검사하여 장치 및 네트워크를 보다 자세히 파악하고 공격자가 이중, 삼중 공격에 사용할 수 있는 기밀 정보가 포함된 파일 등 타겟팅 할 수 있는 파일을 식별합니다. 또한 대부분의 경우 네트워크 내에서 이동할 수 있는 경로를 찾아 더 많은 장치를 감염시키고 있습니다.
단계 2 : 활성화. Ransomware가 파일 식별 및 암호화를 시작합니다. 대부분의 암호화된 Ransomware는 비대칭 암호화를 채택하고 공개 키를 사용하여 Ransomware를 암호화하고 데이터를 해독할 수 있는 개인 키를 보유합니다. 피해자는 개인 키를 가지고 있지 않으므로 해커의 협력이 없으면 암호화된 데이터를 해독할 수 없습니다. 일부 암호화 랜섬웨어는 시스템 복원 기능을 비활성화하거나 피해자의 컴퓨터나 네트워크의 백업을 삭제하거나 암호화하여 해독 키에 대한 지불에 대한 압력을 높일 수 있습니다. 암호화되지 않은 Ransomware는 장치 화면을 잠그거나 팝업으로 장치를 가득 채우는 등 피해자가 장치를 사용할 수 없도록 합니다.
단계 3 : 몸값 송장. 파일 암호화 및 장치 비활성화가 완료되면 Ransomware는 피해자에게 감염을 경고합니다. 이것은 종종 컴퓨터 바탕 화면에 넣은 txt 파일이나 팝업 알림을 통해 이루어집니다. 몸값 인보이스에는 일반적으로 암호 해독과 마찬가지로 추적 불가능한 방식으로 몸값을 지불하는 방법이 포함되어 있습니다.
랜섬웨어에 대한 방어와 대응
랜섬웨어 위협으로부터 보호하기 위해 CISA, NCIJFT, 미국 비밀 서비스 등 연방 기관은 다음과 같은 예방 조치를 취할 것을 조직에 권장합니다.
1. 백업 보존 : 민감한 데이터 및 시스템 이미지의 백업을 이상적으로 네트워크에서 분리할 수 있는 하드 디스크 또는 기타 장치에 보관합니다.
2. 정기적인 패치 적용: 소프트웨어 및 운영 체제 취약점을 악용하는 Ransomware를 차단하는 데 도움이 됩니다.
3. 사이버 보안 도구 업데이트: 바이러스 백신 소프트웨어, 방화벽, 보안 웹 게이트웨이 등의 사이버 보안 도구와 보안 팀이 랜섬웨어를 실시간으로 감지하고 대응하는 데 도움이 되는 엔터프라이즈 사이버 보안 솔루션(EDR(Endpoint) Detection and Response) 도구 및 XDR(Extended Detection and Response) 도구 등을 업데이트합니다.
4. 직원 사이버 보안 교육: 랜섬웨어 감염으로 이어질 수 있는 피싱 및 소셜 엔지니어링과 같은 수법을 사용자가 인식하고 회피할 수 있도록 하는 직원을 위한 사이버 보안 교육.
5. 액세스 제어 정책 구현 : 다중 요소 인증, 제로 트러스트 아키텍처, 네트워크 세분화 등의 액세스 제어 정책 구현으로 인해 특히 중요한 데이터에 Ransomware가 도달하거나 암호화 웜이 네트워크의 다른 장치 로 확산되는 것을 방지할 수 있습니다.