과기정통부·KISA 발간 ‘랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드’ 살펴보니
공격자들이 자주 사용하는 데이터 백업 무력화 기법에 대한 대응방안 강구 필요
[보안뉴스 권 준 기자] 이제 2개월도 채 남지 않은 2021년, 전 세계를 공포에 빠트린 최대 보안위협은 뭐니 뭐니 해도 랜섬웨어 공격이라고 할 수 있다. 특히, 최대 피해국인 미국은 최대 규모의 송유관 업체와 육가공 업체를 비롯한 수많은 기업이 랜섬웨어 피해를 입으면서 미국 정부가 랜섬웨어 대응에 총력을 기울이고 있는 모양새다. 이러한 움직임은 우리나라도 크게 다르지 않다.
[이미지=utoimage]
이러한 가운데 과기정통부와 한국인터넷진흥원(KISA)에서 ‘랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드(개정본)’를 발간해 큰 관심을 모으고 있다. 랜섬웨어 피해 최소화를 위해서는 데이터 백업이 가장 중요하다고 입을 모으고 있는 만큼 이번에 발간된 가이드는 많은 기업들의 정보시스템 백업 대책 마련에 도움이 될 것으로 기대된다. 더욱이 최근 랜섬웨어 공격 타깃이 개인에서 기업으로 급격히 이동하고 있는 만큼 기업들의 효과적인 대응이 더욱 중요해지고 있기 때문이다.
과거 랜섬웨어 공격은 불특정 다수를 대상으로 데이터를 암호화하고 이에 대한 몸값을 요구하는 방식이 대부분이었다. 그러나 최근에는 높은 금액을 지불할 수 있는 대규모 엔터프라이즈 환경이 주로 공격 대상이 되고 있고, 암호화뿐만 아니라 데이터 유출 후 인터넷 공개를 미끼로 협박하는 형태로 공격 방식이 진화되고 있다. 이러한 공격 방식의 진화는 개인 혹은 기업에서 랜섬웨어의 대응전략으로 데이터 백업을 강화해 더 이상 데이터 암호화만으로 수익을 얻기가 어려워졌기 때문이다.
랜섬웨어 감염을 100% 방어할 수 없다면 데이터 백업이 가장 효과적인 대응 전략이 될 수 있다. 이런 대응전략으로 인해 최근 랜섬웨어 공격자들은 데이터 백업을 무력화하기 위해 부단히 노력하고 있는 것으로 알려졌다. 최근 랜섬웨어 공격자들은 로컬 혹은 공유 드라이브에 백업된 데이터까지 암호화하고, 심지어 타깃형 공격과 같이 특정 시스템을 거점으로 백업 데이터의 위치를 찾아 감염시키는 방식으로 백업 체계를 무력화하기도 한다는 게 KISA 측의 설명이다.
이에 랜섬웨어 공격자들이 주요 사용하는 데이터 백업 무력화 기법을 분석하고, 기업별로 이러한 공격기법에 대응하는 전략을 마련해 놓는 것이 매우 중요하다. 다음은 공격자들이 가장 많이 사용하는 데이터 백업 무력화 기법 4가지다.
1. 볼륨 섀도 복사본 삭제
랜섬웨어는 윈도우 시스템의 자체 백업 기능인 볼륨 섀도 복사본(VSC, Volume Shadow Copy)을 삭제해 이전 파일 복원을 차단한다.
2. 네트워크로 공유된 백업 암호화
일부 백업 솔루션은 솔루션의 기본 폴더명을 이용하여 네트워크로 공유된 경로에 데이터를 백업한다. 랜섬웨어 공격자는 기업 네트워크에서 이런 백업 폴더를 찾아 함께 암호화한다.
3. 백업 솔루션 악용
백업 솔루션은 자체 API를 사용해 기업 내 데이터 백업을 관리한다. 공격자는 탈취한 크리덴셜이나 취약점을 사용해 백업 관리 API에 접근하고 이를 통해 백업을 삭제하거나 암호화한다.
4. 손상된 데이터 백업 유도
보통의 랜섬웨어는 최초 침투 후 바로 데이터를 암호화하지만 최근의 일부 랜섬웨어는 타깃형 공격과 같이 내부망에 은밀히 침투해 데이터를 손상시켜 불완전한 데이터가 백업되도록 기다린 후, 원본 데이터를 암호화한다. 이 경우 백업 데이터가 이미 손상되었기 때문에 데이터를 정상적으로 복원할 수 없다.
가이드를 발간한 과기정통부와 KISA 측은 “랜섬웨어는 금전적 이익을 목적으로 나타났고 수익 창출의 가능성이 이미 증명된 만큼 앞으로도 지속 발생할 것으로 보이며, 공격 방식도 진화할 것으로 예상된다”며, “이에 대한 가장 효과적인 대응이 데이터 백업이므로 특히 기업의 경우 실패하지 않은 데이터 백업 전략을 고민해야 한다”고 강조했다.
이번 가이드에서는 정보시스템 백업 체계 구성을 위한 정보를 제공하고, 백업시스템을 구축‧운영하기 위한 절차 및 방법에 대해 설명하고 있다. 또한, 악성코드와 랜섬웨어 등 외부 환경의 사이버공격 위협으로부터 백업데이터를 보호하기 위한 보호대책을 제시하고, 중소 규모 기업 환경에 적합한 정보시스템 백업 구성을 위한 가이드를 제공하고 있다. 이번 가이드의 전문은 KISA 인터넷 보호나라&krCERT 홈페이지 자료실이나 보안뉴스 콘텐츠 코너에서 다운로드 받을 수 있다.
[권 준 기자(editor@boannews.com)]
공격자들이 자주 사용하는 데이터 백업 무력화 기법에 대한 대응방안 강구 필요
[보안뉴스 권 준 기자] 이제 2개월도 채 남지 않은 2021년, 전 세계를 공포에 빠트린 최대 보안위협은 뭐니 뭐니 해도 랜섬웨어 공격이라고 할 수 있다. 특히, 최대 피해국인 미국은 최대 규모의 송유관 업체와 육가공 업체를 비롯한 수많은 기업이 랜섬웨어 피해를 입으면서 미국 정부가 랜섬웨어 대응에 총력을 기울이고 있는 모양새다. 이러한 움직임은 우리나라도 크게 다르지 않다.
[이미지=utoimage]
이러한 가운데 과기정통부와 한국인터넷진흥원(KISA)에서 ‘랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드(개정본)’를 발간해 큰 관심을 모으고 있다. 랜섬웨어 피해 최소화를 위해서는 데이터 백업이 가장 중요하다고 입을 모으고 있는 만큼 이번에 발간된 가이드는 많은 기업들의 정보시스템 백업 대책 마련에 도움이 될 것으로 기대된다. 더욱이 최근 랜섬웨어 공격 타깃이 개인에서 기업으로 급격히 이동하고 있는 만큼 기업들의 효과적인 대응이 더욱 중요해지고 있기 때문이다.
과거 랜섬웨어 공격은 불특정 다수를 대상으로 데이터를 암호화하고 이에 대한 몸값을 요구하는 방식이 대부분이었다. 그러나 최근에는 높은 금액을 지불할 수 있는 대규모 엔터프라이즈 환경이 주로 공격 대상이 되고 있고, 암호화뿐만 아니라 데이터 유출 후 인터넷 공개를 미끼로 협박하는 형태로 공격 방식이 진화되고 있다. 이러한 공격 방식의 진화는 개인 혹은 기업에서 랜섬웨어의 대응전략으로 데이터 백업을 강화해 더 이상 데이터 암호화만으로 수익을 얻기가 어려워졌기 때문이다.
랜섬웨어 감염을 100% 방어할 수 없다면 데이터 백업이 가장 효과적인 대응 전략이 될 수 있다. 이런 대응전략으로 인해 최근 랜섬웨어 공격자들은 데이터 백업을 무력화하기 위해 부단히 노력하고 있는 것으로 알려졌다. 최근 랜섬웨어 공격자들은 로컬 혹은 공유 드라이브에 백업된 데이터까지 암호화하고, 심지어 타깃형 공격과 같이 특정 시스템을 거점으로 백업 데이터의 위치를 찾아 감염시키는 방식으로 백업 체계를 무력화하기도 한다는 게 KISA 측의 설명이다.
이에 랜섬웨어 공격자들이 주요 사용하는 데이터 백업 무력화 기법을 분석하고, 기업별로 이러한 공격기법에 대응하는 전략을 마련해 놓는 것이 매우 중요하다. 다음은 공격자들이 가장 많이 사용하는 데이터 백업 무력화 기법 4가지다.
1. 볼륨 섀도 복사본 삭제
랜섬웨어는 윈도우 시스템의 자체 백업 기능인 볼륨 섀도 복사본(VSC, Volume Shadow Copy)을 삭제해 이전 파일 복원을 차단한다.
2. 네트워크로 공유된 백업 암호화
일부 백업 솔루션은 솔루션의 기본 폴더명을 이용하여 네트워크로 공유된 경로에 데이터를 백업한다. 랜섬웨어 공격자는 기업 네트워크에서 이런 백업 폴더를 찾아 함께 암호화한다.
3. 백업 솔루션 악용
백업 솔루션은 자체 API를 사용해 기업 내 데이터 백업을 관리한다. 공격자는 탈취한 크리덴셜이나 취약점을 사용해 백업 관리 API에 접근하고 이를 통해 백업을 삭제하거나 암호화한다.
4. 손상된 데이터 백업 유도
보통의 랜섬웨어는 최초 침투 후 바로 데이터를 암호화하지만 최근의 일부 랜섬웨어는 타깃형 공격과 같이 내부망에 은밀히 침투해 데이터를 손상시켜 불완전한 데이터가 백업되도록 기다린 후, 원본 데이터를 암호화한다. 이 경우 백업 데이터가 이미 손상되었기 때문에 데이터를 정상적으로 복원할 수 없다.
가이드를 발간한 과기정통부와 KISA 측은 “랜섬웨어는 금전적 이익을 목적으로 나타났고 수익 창출의 가능성이 이미 증명된 만큼 앞으로도 지속 발생할 것으로 보이며, 공격 방식도 진화할 것으로 예상된다”며, “이에 대한 가장 효과적인 대응이 데이터 백업이므로 특히 기업의 경우 실패하지 않은 데이터 백업 전략을 고민해야 한다”고 강조했다.
이번 가이드에서는 정보시스템 백업 체계 구성을 위한 정보를 제공하고, 백업시스템을 구축‧운영하기 위한 절차 및 방법에 대해 설명하고 있다. 또한, 악성코드와 랜섬웨어 등 외부 환경의 사이버공격 위협으로부터 백업데이터를 보호하기 위한 보호대책을 제시하고, 중소 규모 기업 환경에 적합한 정보시스템 백업 구성을 위한 가이드를 제공하고 있다. 이번 가이드의 전문은 KISA 인터넷 보호나라&krCERT 홈페이지 자료실이나 보안뉴스 콘텐츠 코너에서 다운로드 받을 수 있다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
