“예방 최우선이지만, 당했다면 피해 확산 방지 집중”
취약점 관리, 오프라인 백업, 사이버 보험 등 유용
[보안뉴스 강현주 기자] 예스24가 랜섬웨어 해킹을 당한 후 서비스를 정상화하는 과정에서 이른바 ‘몸값’을 지불한 것으로 알려지면서 파장이 일고 있다. 공격자와의 협상은 윤리적이지 못하다는 시선과, 수많은 소비자 피해 앞에서 현실적으로 도리가 없다는 시선이 공존한다.
26일 보안 업계에서는 랜섬웨어를 당한 후 공격자와의 ‘협상력’을 좌우하는 사후 대응의 중요성이 부각되고 있다. 사후 대응에 따라 암호화한 데이터를 풀어주는 대가로 요구하는 복호화 키의 값을 최대한 낮추거나 아예 없앨 수도 있기 때문이다. 무엇보다 기업과 고객의 추가 피해를 막을 수 있다.
랜섬웨어는 기업 시스템에 침투해 시스템을 잠그거나 데이터를 암호화하고, 풀어주는 대가로 금전을 요구하는 공격이다. 백업을 해뒀다 해도 공격자들은 이를 미리 알고 백업 시스템을 먼저 공격해 복구를 어렵게 한다. 당한 이상 공격자와 협상할 수밖에 없다는 목소리가 나온다.
[자료: 게티이미지뱅크코리아]
2차 공격 협박하며 몸값 요구...신속한 사전 차단 필요
더 큰 문제는 첫 공격 이후 2차, 3차 공격을 이어간다는 점이다. 1차에서 찾은 취약점을 이용해 피해 범위를 최대한 넓혀가며 대가 지불을 더 강하게 압박할 수 있다. 그 전에 신속하게 대응해야 추가 피해를 최소화하고 협상 주도권을 쥘 수 있다.
철저한 사후 대응을 통해 추가 공격을 차단해 피해를 최소화한 국내 사례가 있다.
최근 팔로알토 네트웍스는 전국 로드쇼를 통해 자사 고객의 랜섬웨어 극복 사례를 공유했다. 국내 제조업 분야 한 기업은 랜섬웨어 공격으로 생산이 중단돼 수일 간 매일 약 200억원의 기회비용 손실을 입었다. 이 기업은 첫 공격을 당한 직후 확장된 탐지 및 대응(XDR)과 차세대 방화벽(NGFW)을 모든 구간에 설치했다.
공격자는 2차, 3차 공격을 시도하며 협박하면서 키값을 요구했다. 하지만 이 기업은 XDR로 좀비 PC와 서버를 파악한 후 악성 통신을 차단했다. 또 NGFW을 통해 모든 보안소켓계층(SSL) 암호화 트래픽을 모니터링하고 악성 통신을 차단했다. 이 외에도 전직원 업무 시스템에 다중인증(MFA)을 적용해 수상한 접속을 차단하는 등 다양한 기술적 대응을 병행했다. 이를 통해 공격자의 추가 침투와 공격을 차단했다.
결국 공격자는 키값 ‘할인’을 제안하며 자세를 낮췄다. 공격 차단 태세를 갖추게 된 이 기업은 공격자에게 키값을 제공하지 않고 추가 피해 확산을 막을 수 있었다고 팔로알토 네트웍스 측은 설명했다.
김병수 팔로알토 네트웍스 부장은 “팔로알토의 한 고객사는 랜섬웨어 공격을 당했지만 바로 사후 대응에 들어가 추가 공격을 차단하고 피해를 최소화할 수 있었다”고 밝혔다.
김 부장은 “레거시 환경은 공격자가 제 집 드나들듯 할 수 있는 취약한 곳”이라며 “보안 솔루션을 선정할 때 클라우드와 네트워크, 엔드포인트 등 전반을 다룰 수 있는 벤더인지 봐야 한다”고 말했다.
레거시 환경 취약점 투성이...오프라인 백업도 대안
다른 보안 전문가들도 랜섬웨어 대응에 있어서 레거시 시스템이 취약하다는 데 이견이 없다. 특히 예스24가 지원이 중단된 운영체제를 사용하고 있었다는 점에서 비난이 일었다. 이 경우 취약점이 발견돼도 패치 지원이 되지 않기 때문에 구멍이 ‘숭숭’ 뚫린 셈이다. 이에 따라 시스템의 꾸준한 업데이트와 촘촘한 취약점 관리의 중요성이 다시금 부각된다.
또 공격에 대비해 온라인에 비해 침투하기 어려운 오프라인 백업 시스템이 대안이 될 수 있다. 다만 오프라인 시스템은 온라인에 비해 백업 주기가 늦는 경향이 있다. 복구를 하더라도 마지막으로 업데이트한 데이터까지만 찾을 수 있어 데이터 소실은 불가피하다. 이 때문에 짧은 주기의 오프라인 백업 시스템이 대안이 될 수 있다.
염흥열 순천향대학교 정보보호학과 명예교수는 “랜섬웨어 공격자들은 백업 시스템을 공격해 기업이 빠른 복구를 하지 못하게 하기 때문에, 오프라인 백업 시스템에 하루나 반나절 단위같이 최대한 짧은 주기로 업데이트 하는 방법이 있다”며 “사이버 보험을 들어둔다면 불가피한 데이터 소실 대비에 효과적”이라고 조언했다.
염 교수는 “한번 랜섬웨어에 당했다면 취약점이 다 노출됐기 때문에 추가 공격 가능성이 높다”며 “키값을 주고서라도 일단 복구했다면, 그때부터라도 철저한 취약점 관리와 안전한 백업 시스템을 갖춰 추가 피해가 없도록 대비해야 한다”고 강조했다.
[강현주 기자(jjoo@boannews.com)]
취약점 관리, 오프라인 백업, 사이버 보험 등 유용
[보안뉴스 강현주 기자] 예스24가 랜섬웨어 해킹을 당한 후 서비스를 정상화하는 과정에서 이른바 ‘몸값’을 지불한 것으로 알려지면서 파장이 일고 있다. 공격자와의 협상은 윤리적이지 못하다는 시선과, 수많은 소비자 피해 앞에서 현실적으로 도리가 없다는 시선이 공존한다.
26일 보안 업계에서는 랜섬웨어를 당한 후 공격자와의 ‘협상력’을 좌우하는 사후 대응의 중요성이 부각되고 있다. 사후 대응에 따라 암호화한 데이터를 풀어주는 대가로 요구하는 복호화 키의 값을 최대한 낮추거나 아예 없앨 수도 있기 때문이다. 무엇보다 기업과 고객의 추가 피해를 막을 수 있다.
랜섬웨어는 기업 시스템에 침투해 시스템을 잠그거나 데이터를 암호화하고, 풀어주는 대가로 금전을 요구하는 공격이다. 백업을 해뒀다 해도 공격자들은 이를 미리 알고 백업 시스템을 먼저 공격해 복구를 어렵게 한다. 당한 이상 공격자와 협상할 수밖에 없다는 목소리가 나온다.
[자료: 게티이미지뱅크코리아]
2차 공격 협박하며 몸값 요구...신속한 사전 차단 필요
더 큰 문제는 첫 공격 이후 2차, 3차 공격을 이어간다는 점이다. 1차에서 찾은 취약점을 이용해 피해 범위를 최대한 넓혀가며 대가 지불을 더 강하게 압박할 수 있다. 그 전에 신속하게 대응해야 추가 피해를 최소화하고 협상 주도권을 쥘 수 있다.
철저한 사후 대응을 통해 추가 공격을 차단해 피해를 최소화한 국내 사례가 있다.
최근 팔로알토 네트웍스는 전국 로드쇼를 통해 자사 고객의 랜섬웨어 극복 사례를 공유했다. 국내 제조업 분야 한 기업은 랜섬웨어 공격으로 생산이 중단돼 수일 간 매일 약 200억원의 기회비용 손실을 입었다. 이 기업은 첫 공격을 당한 직후 확장된 탐지 및 대응(XDR)과 차세대 방화벽(NGFW)을 모든 구간에 설치했다.
공격자는 2차, 3차 공격을 시도하며 협박하면서 키값을 요구했다. 하지만 이 기업은 XDR로 좀비 PC와 서버를 파악한 후 악성 통신을 차단했다. 또 NGFW을 통해 모든 보안소켓계층(SSL) 암호화 트래픽을 모니터링하고 악성 통신을 차단했다. 이 외에도 전직원 업무 시스템에 다중인증(MFA)을 적용해 수상한 접속을 차단하는 등 다양한 기술적 대응을 병행했다. 이를 통해 공격자의 추가 침투와 공격을 차단했다.
결국 공격자는 키값 ‘할인’을 제안하며 자세를 낮췄다. 공격 차단 태세를 갖추게 된 이 기업은 공격자에게 키값을 제공하지 않고 추가 피해 확산을 막을 수 있었다고 팔로알토 네트웍스 측은 설명했다.
김병수 팔로알토 네트웍스 부장은 “팔로알토의 한 고객사는 랜섬웨어 공격을 당했지만 바로 사후 대응에 들어가 추가 공격을 차단하고 피해를 최소화할 수 있었다”고 밝혔다.
김 부장은 “레거시 환경은 공격자가 제 집 드나들듯 할 수 있는 취약한 곳”이라며 “보안 솔루션을 선정할 때 클라우드와 네트워크, 엔드포인트 등 전반을 다룰 수 있는 벤더인지 봐야 한다”고 말했다.
레거시 환경 취약점 투성이...오프라인 백업도 대안
다른 보안 전문가들도 랜섬웨어 대응에 있어서 레거시 시스템이 취약하다는 데 이견이 없다. 특히 예스24가 지원이 중단된 운영체제를 사용하고 있었다는 점에서 비난이 일었다. 이 경우 취약점이 발견돼도 패치 지원이 되지 않기 때문에 구멍이 ‘숭숭’ 뚫린 셈이다. 이에 따라 시스템의 꾸준한 업데이트와 촘촘한 취약점 관리의 중요성이 다시금 부각된다.
또 공격에 대비해 온라인에 비해 침투하기 어려운 오프라인 백업 시스템이 대안이 될 수 있다. 다만 오프라인 시스템은 온라인에 비해 백업 주기가 늦는 경향이 있다. 복구를 하더라도 마지막으로 업데이트한 데이터까지만 찾을 수 있어 데이터 소실은 불가피하다. 이 때문에 짧은 주기의 오프라인 백업 시스템이 대안이 될 수 있다.
염흥열 순천향대학교 정보보호학과 명예교수는 “랜섬웨어 공격자들은 백업 시스템을 공격해 기업이 빠른 복구를 하지 못하게 하기 때문에, 오프라인 백업 시스템에 하루나 반나절 단위같이 최대한 짧은 주기로 업데이트 하는 방법이 있다”며 “사이버 보험을 들어둔다면 불가피한 데이터 소실 대비에 효과적”이라고 조언했다.
염 교수는 “한번 랜섬웨어에 당했다면 취약점이 다 노출됐기 때문에 추가 공격 가능성이 높다”며 “키값을 주고서라도 일단 복구했다면, 그때부터라도 철저한 취약점 관리와 안전한 백업 시스템을 갖춰 추가 피해가 없도록 대비해야 한다”고 강조했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
 TH.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
