사이버 공격으로부터 데이터 보호 및 보안 유지
데이터 보호
데이터 보안
데이터 인사이트
사이버 복원력의 5단계
클라우드 및 SaaS
엔터프라이즈
업종
디지털 인프라에 의존하면 조직이 랜섬웨어 공격과 같은 사이버 위협에 노출됩니다. 이러한 공격은 심각한 문제로, 기업, 의료 시스템 및 정부 기관을 표적으로 하는 사고가 증가하고 있음을 나타내는 보고가 있습니다. 사이버 범죄자들은 원격 근무 환경과 오래된 시스템의 취약점을 점점 더 많이 악용하여 조직이 랜섬웨어 공격에 더 취약해지도록 만듭니다.
랜섬웨어 공격 피해자는 재정적 및 운영상의 손실과 복원되지 않을 수 있는 평판 손상을 입습니다. 오늘날 조직들은 더 많은 위협에 직면해 있으며, 악성코드를 식별하고 영향을 받는 시스템을 격리하며 데이터 손실과 중단을 최소화하기 위한 교정 프로세스를 시작하는 랜섬웨어 사고 대응 계획을 수립해야 합니다.
랜섬웨어 사고 대응 계획은 공격자가 공격할 때 조직이 취하는 조치를 위한 프레임워크입니다. 이 계획은 사고 전 탐지부터 억제, 근절, 복구, 사고 후 분석에 이르기까지 위험 인식을 위한 구체적인 절차를 개요로 제시합니다.
이 계획에는 위험 평가를 수행하고 감염을 탐지하기 위해 대기 중인 사고 대응팀이 포함됩니다. 영향을 받는 시스템을 격리하고 악성코드를 제거하는 것이 중요합니다. 또한 침해된 시스템을 재구축하는 동안 운영을 복구하는 데 도움이 되는 백업 데이터가 필요합니다.
이러한 절차를 문서화하면 명확한 역할과 책임을 할당하는 데 도움이 됩니다. 랜섬웨어 사고의 경우, 모든 대응 팀원은 자신의 책임을 알고 있으며 혼란이 없습니다.
랜섬웨어 공격은 ‘만약’이 아니라 ‘언제’의 문제입니다. 이는 가장 만연한 위협 중 하나로, 사이버 보안 전문가들은 11초마다 최소 1회의 공격 시도가 있다고 추정합니다.
해커는 끊임없이 중견, 대규모 및 기관 조직을 공격하며, 그 수치는 무섭습니다. 랜섬웨어 피해의 전 세계 연간 비용은 2031년까지 2,650억 달러에 이를 수 있습니다.
랜섬값을 지불하여 금전을 잃는 것 외에도 데이터가 포위당하면 비즈니스 운영이 중단됩니다. 비즈니스 가동 중단은 데이터 복원 비용은 말할 것도 없고 생산성 손실, 기한 미준수, 고객 서비스 부재를 의미합니다.
랜섬웨어 공격은 종종 회사의 보안 태세에 의문을 제기하여 조직의 평판을 손상시킵니다. 안타깝게도 평판 손상은 돌이킬 수 없을 수 있습니다. 랜섬웨어 사고 대응 계획이 없으면 조직의 고객과 이해관계자는 공격을 과실로 간주하여 조직을 소송에 노출시킵니다. 산업 부문마다 건강 정보에 대한 HIPAA와 같은 특정 데이터 개인정보 보호 규정이 있으며, 침해나 규정 미준수 시 잠재적인 벌금이 부과됩니다.
이러한 벌금은 매우 무거워서 2024년 2월 전 세계 데이터 침해의 총 비용이 488만 달러로 2023년 대비 10% 증가했습니다. 2024년 5월, Ascension 병원들은 IT 시스템에 영향을 미치고 운영을 중단시킨 랜섬웨어 공격을 받았습니다. 이 의료 서비스 제공자는 사이버 공격이 "예측 가능하고 예방 가능했다"고 주장하는 공격 "Black Basta"와 관련된 두 건의 집단 소송에 직면했습니다.
랜섬웨어 사고 대응 계획은 더 이상 선택 사항이 아닙니다. 이는 재정적 손실을 완화하고, 운영 중단을 최소화하며, 피할 수 없는 사이버 위협에 직면하여 평판과 고객 신뢰를 모두 보호하는 데 도움이 될 수 있는 중요한 안전 장치입니다.
좋은 계획은 달성하고자 하는 결과를 아는 것에서 시작됩니다. 조직은 잠재적인 공격을 탐지하고 신속하게 조치를 취하며, 민감한 데이터를 보호하고, 피해를 최소화하며, 손실된 데이터를 복구하도록 설계된 랜섬웨어 공격 대응 계획을 갖추어야 합니다. 신중하게 설계된 계획은 사이버 레질리언스를 지원하는 동시에 중단과 재앙적 상황을 제한합니다.
데이터 침해를 탐지하는 데 수개월이 걸릴 수 있습니다. 그러나 잘 설계된 사고 대응 계획이 있으면 조직은 진행 중 단계에서 사이버 공격을 탐지하고 차단할 수 있습니다. 지속적인 모니터링 시스템은 네트워크 트래픽과 시스템 로그에서 이상 징후를 분석하여 공격을 나타내는 의심스러운 활동의 신속한 탐지를 가능하게 합니다. 위협을 식별하면 피해를 격리하기 위해 영향을 받는 시스템을 격리하고 공격에 대한 포렌식 조사를 시작하도록 계획에 설명되어 있습니다.
랜섬웨어에 대한 사고 대응은 공격 표면을 최대한 줄여 공격의 확산을 제한하고 데이터를 보호해야 합니다. 활성 랜섬웨어 사고를 처리할 때 계획은 네트워크 전반에 걸친 랜섬웨어의 횡적 이동을 방지하기 위한 격리 조치에 대해 안내해야 합니다. 오프라인으로 또는 타사 서비스를 통한 변경 불가능한 데이터 백업으로 중요 데이터의 정기적인 백업을 유지하면 랜섬값을 지불하지 않고도 데이터를 복원할 수 있습니다.
엔드포인트 탐지 분석을 추가로 검토하면 검사 및 재구축을 위해 잠재적으로 침해된 시스템을 정확히 파악하여 남아 있는 악성코드를 제거하는 데 도움이 됩니다.
랜섬웨어 공격에 대한 사고 대응 기법에는 비즈니스 연속성을 위한 효율적인 데이터 복구 및 복원을 위한 실행 가능한 단계가 포함되어야 합니다. 변경 불가능한 백업은 일상적인 운영으로 되돌릴 수 있게 해 주므로 랜섬웨어 공격 후 조직의 최선의 방어 수단입니다. 3-2-1 규칙과 같은 강력한 백업 프로토콜은 랜섬값을 지불할 걱정 없이 데이터를 복원할 수 있도록 보장합니다.
사고 발생 시 커뮤니케이션 채널을 통해 알림을 통해 대응 팀과 이해관계자 간에 시기적절한 업데이트를 교환할 수 있습니다. 커뮤니케이션 코디네이터와 같은 잘 정의된 역할은 내부 및 외부 커뮤니케이션을 관리하고 이해관계자에게 정보를 제공하며 사고 전반에 걸쳐 투명성을 유지합니다. 다양한 IT, 법무 및 홍보 부서의 팀원 간에 시기적절한 정보 공유 및 협업은 기술적, 법적 및 평판 문제를 해결하는 데 도움이 됩니다.
강력한 사이버 보안을 위해 조직은 지속적인 개선과 학습을 수용해야 합니다. 이 프로세스는 팀이 각 사고를 분석하여 대응의 강점과 약점을 파악하는 사고 후 검토부터 시작됩니다. 알게 된 교훈을 문서화함으로써 조직은 IRP를 개선하고, 절차를 업데이트하며, 사고 대응 담당자를 위한 교육 프로그램을 개선하여 미래의 사고에 대비할 수 있습니다.
또한 핵심 성과 지표(KPI)를 설정하면 평균 탐지 시간(MTTD) 및 평균 대응 시간(MTTR)과 같은 사고 대응 노력의 효과에 대한 지표를 얻을 수 있습니다. 이러한 지표를 추적하고 사용하여 개선이 필요한 영역을 파악할 수 있습니다.
계획의 틀을 잡을 목표가 정해지면, 다음 과제는 단계를 개략적으로 설명하는 것입니다. 대응은 조직의 고유한 요구 사항에 맞게 조정되어야 하지만 특정 요소는 보편적입니다. 다음은 랜섬웨어 공격에 대응할 때 사이버 보안 및 인프라 보안국에서 사용할 것을 권장하는 랜섬웨어 사고 대응 플레이북입니다.
우리 모두는 1온스의 예방이 1파운드의 치료 가치가 있다는 격언을 알고 있습니다. 그렇기 때문에 대응할 사항이 발생하기 전에 대응 계획을 시작해야 합니다. 다음은 조직이 랜섬웨어 공격을 예방하거나 공격에 대비하여 준비할 수 있는 방법입니다.
직원 교육 및 훈련: 네트워크를 패치할 때 정기적인 교육 세션을 실시하여 모든 수준의 직원에게 랜섬웨어 위협과 안전한 관행을 교육함으로써 공격자가 직원을 공격 벡터로 사용하지 않도록 하십시오.
정기적인 위험 평가 수행: 취약한 비밀번호, 오래된 소프트웨어, 탐지하기 어려운 파일리스 악성코드 등 해커가 악용할 수 있는 지점을 확인하십시오.
직원 및 이해관계자와 함께 사고 계획 수립: 대응 팀을 구성하고 IT, 법무, 인사, 홍보 및 운영 부서의 담당자를 포함하십시오. 오보의 위험을 줄이고 모든 사람이 최신 정보를 알 수 있도록 모든 팀원의 역할을 정의하고 누구에게 알려야 하는지 알리십시오.
잠재적 위험을 조사할 외부 회사 선정: 내부 팀에 부족할 수 있는 전문 지식과 경험을 외부 회사를 통해 확보하십시오. Cohesity의 사이버 복구 어시스턴트는 AI 기반 기능을 사용하여 잠재적 위협을 신속하게 조사하고 해결함으로써 운영을 더 빠르게 복원할 수 있도록 지원합니다.
도상 훈련 또는 공격 시뮬레이션 연습 수행: 공격 시뮬레이션은 실제 공격 시나리오를 모방하여 조직이 기존 보안 조치를 테스트하고 실제 공격자가 악용하기 전에 취약점을 발견할 수 있도록 합니다.
교육, 데이터 복구 및 규정 준수 관행으로 강력한 기반을 마련함으로써 조직은 랜섬웨어 위험을 효과적으로 줄이고 효율적으로 대응할 수 있으며, 이는 중요한 다음 단계를 위한 발판이 됩니다.
때로는 침해가 불가피합니다. 그러나 조기 탐지 및 분석은 피해와 복구 사이의 간격을 좁히므로 탐지 시스템을 마련하는 것이 무엇보다 중요합니다. 다음은 의심스러운 활동을 탐지하기 위한 핵심 절차입니다.
랜섬웨어 사고에 신속하게 대응: 공격을 더 빨리 탐지하고 격리할수록 공격자가 다른 시스템에 침투하여 귀중한 데이터를 암호화하거나 유출할 시간이 줄어듭니다. 모니터링 도구를 사용하여 다양한 소스의 로그를 집계함으로써 의심스러운 패턴을 식별하고 경고를 생성할 수 있습니다.
영향을 받는 시스템 파악: 침해된 시스템을 식별하려면 비정상적인 네트워크 트래픽, 예상치 못한 사용자 계정 활동, 로그인 실패 시도, 파일 또는 시스템 설정의 무단 변경 등 침해 징후를 정기적으로 확인하십시오. 그런 다음 식별된 감염된 시스템의 네트워크 연결을 끊어 격리하십시오.
필요한 경우 장비 전원 차단: 랜섬웨어 감염이 확산되어 중요 시스템에 즉각적인 위협이 되는 경우 추가 피해를 방지하기 위해 영향을 받는 장치를 종료하십시오. 시스템을 종료하면 휘발성 데이터(예: 메모리 내용)가 손실될 수 있지만, 경우에 따라 이 데이터를 보존하는 것보다 진행 중인 암호화 프로세스를 중단하는 것이 더 중요합니다.
중요 시스템 우선순위 지정: 재무, 고객 서비스 및 데이터 관리와 같은 필수 기능을 지원하는 중요 시스템의 잠재적 영향을 평가하고 우선순위를 지정하십시오. 우선순위를 지정할 시스템을 이해하면 리소스를 효과적으로 할당하는 데 도움이 됩니다.
시스템 로그 검사: 공격의 초기 지표를 찾기 위해 시스템 로그를 검토하면 취약점이 드러납니다. 방화벽 로그, 침입 탐지 시스템 등에서 관련 로그를 수집하고 공격 지표를 찾으십시오.
이벤트 순서 파악: 시스템 로그를 검토한 후 공격자가 침투하고 확산한 방법을 이해하기 위해 초기 액세스 지점에서 다른 침해된 시스템으로 이어지는 공격 체인을 재구성하십시오.
랜섬웨어 및 악성코드 식별: 감염된 시스템에서 파일 서명 및 암호화 패턴을 분석하여 특정 랜섬웨어 변종 또는 악성코드를 식별하는 데 집중할 수 있습니다. 또는 포렌식 및 알려지지 않은 변종 식별을 지원할 수 있는 타사 위협 인텔리전스 소스에 문의하십시오.
탐지 및 분석은 공격의 영향을 통제하는 데 중요합니다. 모니터링 도구는 빠른 탐지에 도움이 되며, 의심스러운 활동을 발견하면 장치를 종료하고 공격을 차단합니다. 나중에 시스템 로그를 검토하여 특정 악성코드를 잡아낼 수 있습니다.
격리 단계는 시스템 전체에 악성코드가 퍼지는 것을 방지하는 데 중점을 둡니다. 이 단계의 목표는 침해된 영역을 격리하고, 추가 데이터 암호화를 중단하며, 조직의 데이터 자산에 미치는 영향을 최소화하는 것입니다.
VPN 및 클라우드 기반 액세스 지점 비활성화: VPN, 클라우드 서비스 및 모든 공개 엔드포인트를 비활성화하면 공격자의 진입 지점이 줄어들고 공격 표면이 제한됩니다. 또한 횡적 이동을 방지하고 외부 서버와의 무단 통신을 차단하여 민감한 데이터를 보호합니다.
서버 측 데이터 암호화 해제: 서버 측 암호화를 활성화하면 공격이 백업 시스템으로 확산될 경우 백업되거나 저장된 모든 파일도 랜섬웨어에 의해 암호화될 수 있습니다. 일시적으로 서버 측 암호화를 끄면 랜섬웨어 사고 중에도 백업이 손상되지 않고 액세스할 수 있습니다.
지속성 메커니즘 식별: 공격자는 존재를 제거하려는 시도 후에도 시스템에 대한 액세스를 유지하기 위해 지속성 메커니즘을 사용합니다. 철저한 시스템 감사를 수행하고, 무단 변경에 대한 로그를 분석하며, 비정상적인 동작에 대한 네트워크 트래픽을 모니터링하여 내부 및 외부 지속성 메커니즘을 식별하고 근절합니다.
악성코드를 격리하려면 VPN을 비활성화하고 진입 지점에서 공격자를 차단하십시오. 백업을 보호하기 위해 서버 측 암호화를 끄는 것을 잊지 마십시오. 내부 및 외부 지속성 메커니즘을 제거하고 무단 변경 사항이 있는지 확인하여 모든 공백을 없애십시오.
모든 성공적인 복구 뒤에는 백업된 데이터(복원 전에 깨끗한지 확인해야 함)와 지속적인 모니터링이 있습니다. 다음은 취해야 할 추가 단계입니다.
데이터를 복구하고 복원할 때 백업된 데이터가 감염되지 않았는지 확인하는 것이 중요합니다. 그런 다음 공격 원인을 조사하고 계획이 얼마나 효과적이었는지 평가하여 필요한 경우 수정하십시오.
즉각적인 대응 및 복구 노력이 완료되면 철저한 사후 분석을 수행할 때입니다. 이를 통해 악용된 모든 취약점, 보안 제어의 약점, 백업의 적용 범위 격차를 파악하고 정책을 업데이트하는 데 도움이 됩니다.
효과적인 사고 후 검토를 수행하려면 사고 대응에 관련된 이해관계자로 팀을 구성하여 모든 관련 관점이 반영되도록 하십시오. 이 프로세스는 참가자들이 자신의 경험을 공개적으로 공유할 수 있는 열린 환경을 조성하여 무엇이 효과적이었고 무엇이 실패했는지에 대한 솔직한 논의를 가능하게 해야 합니다.
조직으로서 사고 중 드러난 약점을 해결하기 위해 사이버 보안 정책과 절차를 수정해야 합니다. 끊임없이 변화하는 사이버 보안 환경에서 레질리언스를 강화하고, 진화하는 위협에 적응하며, 팀이 미래의 과제에 더 잘 대비할 수 있도록 지속적인 개선과 대응 계획의 정기적인 업데이트를 강조하십시오.
랜섬웨어 사고 대응 계획을 조직의 고유한 요구 사항에 맞게 조정해야 하지만, 확립된 모범 사례를 따르면 강력한 기반을 마련할 수 있습니다. 맞춤형 전략과 입증된 모범 사례를 결합하면 조직은 위험을 더 잘 완화하고 공격의 영향을 최소화하며 레질리언스 있는 보안 태세를 구축할 수 있습니다.
정기적인 교육과 시뮬레이션 연습 문화를 정착시켜 사고 대응 팀이 신속하게 행동할 준비가 잘 되어 있도록 하십시오. 랜섬웨어 시나리오를 시뮬레이션하는 정기적인 모의 훈련을 실시하여 대응 프로토콜을 테스트하고 개선할 수 있습니다. IT, 법무 및 홍보(PR)를 포함한 부서 간 팀을 참여시켜 조정된 대응을 연습하고 현재 계획의 잠재적 격차를 파악해야 합니다. 이러한 관행은 절차에 대한 친숙도를 높이고, 조정을 개선하며, 자신감을 구축하여 대응 시간을 최소화합니다.
안전하고 변경 불가능한 백업을 확보하는 것이 데이터를 신속하게 복원하는 것에 대한 궁극적인 해답입니다. 오프사이트 또는 클라우드 위치에 복사본을 저장하는 강력하고 자동화된 백업 일정을 수립하고 테스트하는 것이 좋습니다. 또한 정기적인 복원 훈련을 수행하여 데이터 손상이나 지연 없이 백업에 빠르게 액세스하고 복원할 수 있는지 확인할 수 있습니다. 악의적인 공격자는 이러한 백업에 액세스할 수 없으므로 신뢰할 수 있는 복구 지점이 됩니다.
법률 전문가가 없으면 사고 대응 팀은 불완전합니다. 법률 및 규정을 준수하면 법적 위험을 완화하고 처벌을 피하며 조직의 평판을 보호하는 데 도움이 되므로, 법률 전문가는 랜섬웨어 대응이 규제 의무와 일치하도록 보장합니다. 법률 고문과 협력하여 업계의 특정 규제 보고 일정 및 의무를 파악할 수 있습니다. 이러한 요구 사항을 사고 대응 계획에 통합하고 사고 발생 시 규제 기관과 시기적절하고 정확한 의사소통을 보장하기 위한 체크리스트를 작성하십시오.
랜섬웨어 공격은 조직을 무너뜨릴 수 있습니다. 하지만 잘 정의된 랜섬웨어 사고 대응 계획을 통해 시스템을 모니터링하고 대비할 수 있습니다.
공격자가 데이터에 액세스할 수 있는 여지를 남겨두지 마십시오. Cohesity 데이터 관리 솔루션으로 민감한 정보를 안전하게 보호하고 관리하십시오. 당사는 단일 플랫폼에서 AI 기반 데이터 관리 및 보안을 제공하며, 2024 Gartner 엔터프라이즈 백업 및 복구 소프트웨어 솔루션 부문 매직 쿼드런트(Gartner Magic Quadrant for Enterprise Backup and Recovery Software Solutions)에서 속도, 규모, 단순성, 보안 및 지능 측면에서 선도하는 역량을 인정받았습니다.
문의하여 자세히 알아보거나 당사가 귀하의 데이터를 보호할 수 있도록 30일 무료 평가판을 요청하십시오.
리소스
