[KISA] 2021년 랜섬웨어 스페셜 리포트
총 102 페이지
1. 랜섬웨어의 최근 동향
1.1 랜섬웨어 동향 및 시사점
1.2 랜섬웨어의 확산
1.3 랜섬웨어의 공격 벡터
1.4 랜섬웨어 공격 사례
2. 랜섬웨어에 대한 이해
2.1 랜섬웨어의 종류별 특징
2.2 랜섬웨어의 공격 시나리오
2.3 랜섬웨어의 기술적 대응과 한계
3. 기업 담당자의 눈으로 바라본 랜섬웨어
3.1 설문조사 개요 및 요약
3.2 세부 조사결과
3.3 설문조사 총평
4. 랜섬웨어 방어 및 대응 전략
4.1 랜섬웨어의 관리적 대응 방안
4.2 랜섬웨어의 기술적 대응 방안
4.3 랜섬웨어의 감염 분석
4.4 랜섬웨어 대응을 위한 투자 전략
4.5 랜섬웨어 공격 피해 최소화를 위한 사후 대응 전략
5. 랜섬웨어 전용 솔루션에 대한 고찰
5.1 랜섬웨어 기본 점검항목
5.2 랜섬웨어 대응 솔루션들
참고1. 편집 후기
참고2. Appendix. 설문조사 항목
내 기준 내용 요약
1. 랜섬웨어 동향
- 랜섬웨어 : 1989년 12월 시작 이후 계속 증가 중
- 랜섬웨어 동향 및 시사점
: 대기업이 타깃이 되고 있으며, 협상가 격리 치솟음, 새로운 랜섬웨어 출현, 상품형 해킹 툴 사용, RaaS 통한 랜섬웨어 체인 사업화, 국가 지원 해킹 그룹 출현
* RaaS : 랜섬웨어 개발자가 사용하는 비즈니스 모델로, 소프트웨어 개발자가 SaaS 제품을 임대하는 것과 동일한 방식으로 랜섬웨어를 임대한다. RaaS를 활용하면 배경지식이 많지 않은 사람도 서비스에 가입하는 것만으로 랜섬웨어 공격을 손쉽게 수행할 수 있다.
* 국가 지원 해킹 그룹 출현 : Lazarus, APT27, Darkside, REvil
- 코로나19로 재택근무 증가로 랜섬웨어 감염률 2배 이상 증가
☞ 이유) 사이버 보안 조치가 부족
- 공격 백터
: RDP 공격, 이메일 공격, 소프트웨어 취약점 공격
* RDP 공격이란, Shodan과 같은 사이트를 이용하여 외부에 공개된 RDP 서비스를 목표로 공격하는 것.
2. 랜섬웨어의 이해
랜섬웨어(Ransomware)란 운영체제가 설치되어 있는 자산에 존재하는 파일을 암호화 함으로써 사용할 수 없게 만드는 악성코드를 말한다. 랜섬웨어 종류별로 파일 암호화 방법, 감염 대상, 감염 자산에 미치는 영향 등이 다르며 공격자, 공격 그룹, 피해 대상에 따라 요구하는 금액도 모두 다르다.
- 랜섬웨어의 종류와 특징
랜섬웨어의 종류에는 국내를 대상으로 하는 Clop Ransomware를 포함하여 RaaS(Ransomware as a Service)형태로 제공되는 형태 등 다양한 종류의 랜섬웨어가 있다.
※ RaaS :
- 사용자가 원하는 악성코드를 맞춤 제작해 판매 및 제공하는 서비스로, 악성코드를 통해 사용자가 금전적 이익을 취할 경우 악성코드 제작자와 이익을 공유하는 방식의 서비스를 의미한다.
- 대표 랜섬웨어 : 케르베르(Cerber), 갠드크랩(GandCrab), 소디노키비(Sodinokibi) 등
- 랜섬웨어 제작자 Darksupp는 공격 대상을 제한하는 특징을 가지고 있으며, 제휴자 및 병원, 학교, 대학, 비영리 단체, 공공 단체는 공격 대상에서 제외했다. 이는 추후 발생하게 될 법의 처벌을 고려한 것으로 추정된다.
- 공격 시나리오
1) RDP 블루투스
2) (다양한 사칭을 이용하는) 피싱 메일
3) AD 서버의 탈취
4) 알려진 취약점 공격
- 랜섬웨어 기술적 대응과 한계
1) 암호화 방식의 원초적 한계 : 암호 알고리즘을 무력화하지 않는 이상 복호화 불가
2) 검증된 암호 알고리즘을 사용하지 않는 랜섬웨어 : 암호 알고리즘을 깨 복호화 가능할 수 있지만, 파괴형 랜섬웨어의 경우는 복호화 불가
3. 랜섬웨어 방어 및 대응 전략
1) 관리적 대응
IT 시스템이 랜섬웨어에 감염되면 > 해당 시스템을 사용할 수 없게 되고, 기업의 업무가 마비.
목표한 시간 내에 업무를 재개하기 위해 기업은 랜섬웨어 대응을 위한 업무연속성계획(BCP, Business Continuity Planning)을 사전에 준비할 필요가 있다.
랜섬웨어 대응 업무연속성계획은 감염예방을 위한 노력과 주요 정보가 암호화되었을 때를 대비해 복구하기 위한 사전 준비가 포함되며 랜섬웨어 감염 후 비상대응 조치와 업무복구 및 재개를 위한 절차로 구성된다.
랜섬웨어 대응 업무연속성계획(BCP)을 통해 기업은 업무 중단시간을 최소화하여 재무적 손실을 최소화하고 체계적이고 투명한 대응
2) 기술적 대응
: 랜섬웨어에 걸리지 않도록 하는 사전 차단을 통한 예방.
NIST : 조직에서 자신의 준비상태를 점검하기 위한 NIST IR 8374, Preliminary Draft를 공개. 대응을 위한 식별/보호/탐지/대응/복구 5단계 Profile 제공.
| 이메일 보안대응 | 악성 웹 사이트와 악성 광고 대응 | 웜을 통한 전파의 대응 | 사용자 환경의 기술적 대응 | |
| 공격 설명 | 공격자가 통제를 거치지 않고 개개인 직원들에게 접근할 수 있는 가장 효과적인 수단. | 정상적인 광고에 악성 링크를 심어 두는 경우가 많으며, 이메일과 함께 결합하여 진행되기도 한다. |
환경이 복잡해 지면서 전체망에 대한 가시성이 떨어지고 적절한 접근통제 방안 미흡 | 사용자 환경에서 랜섬웨어 감염을 탐지/차단 방안 |
| 강화방안 | -메일필터링 -CDR (Content Disarm and Reconstruction) -SPF (Sender Policy Framework) -DKIM (Domain Keys Identified Mail) -DMARC (Domain-based Message Authentication, Report & Conformance) -Attach File Sandbox & Mail 서버 안티 바이러스 |
- 싱크홀 (SinkHole) - 인터넷 격리 |
- 네트워크 가시성 강화 및 접근 통제의 강화 - Active Directory 강화 |
- 안티 바이러스 - OS 패치 (PMS) - EDR |
- 랜섬웨어 감염 분석 방법
1) 최초 감염 경로 분석
2) 내부 조사 단계 분석
3) 내부 감염(Lateral Movement) 분석
4) 감염 파일 분석
- 투자 전략
1) 랜섬웨어 피해복구 방안
3. 사후 대응
기존의 보안 공격은 기밀성(Confidentiality)에 대한 위협이 중심
▼
랜섬웨어 공경은 가용성(Availability)에 대한 위협이 기반.
☞ 가용성 유지 위해 : 백업대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립하고 이행해야하며, 사고발생 시 적시에 복구할 수 있게 관리하여야 함.
- 백업 관리 : 정보시스템의 데이터 원본을 백업을 통해 원래대로 되돌릴 수 있는 상태로 지속적으로 관리, 시스템 손실 발생 시 예상 복구 소요시간 범위를 초과하지 않고 다운타임을 최소화하여 이전의 상태로 회복시켜 서비스를 재개하는 것.
* 랜섬웨어 공격으로부터 피해에 대해 기업은 재해에 준한 장애로 인식하여 관리해야 한다.
1) 백업 관리 정책 및 방법
[백업 관리 정책]
저장매체 용량(백업용량 * 보관주기) 확보를 위해 백업장치 수량도 정확히 파악해야 함.
- 대상 선정 : Server/PC/노트북 등
- 대상 구분 : System Image(설정파일 등), Data File, 로그파일, 업무용 프로그램 등
- 백업 기간 : 주기적인 원본백업, 원본구간별 일일 증분 또는 차등백업
- 예상백업 볼륨 선정 : File/DB 설치용량 등 (백업 횟수가 많아지면 비용이 증가됨)
- 백업본의 유효성 테스트
- 백업 담당자/관리자
- 데이터 중요도 검토
- 중요도에 맞는 RTO(Recovery Tiime Objective, 복구목표시간), RPO(Recovery Point Objective, 복구목표시점)를 세워야 한다.
- 랜섬웨어 예방을 위해 '오프라인 백업'도 유지해야 한다.
[정보시스템 백업방법]
- 백업 방법별 특징
| 구분 | 내용 | 특징 |
| 전체 백업 (Full backup) |
지정한 디렉토리 아래의 모든 파일과 디렉터리를 저장소로 복사하 는 백업방법 | 복구 시에 일부 다른 백업 방식보다 간편하고 시간이 증분 백업에 비해 상대적으로 덜 걸린다는 장점이 있다. |
| 증분백업 (Incremental backup) |
‘전체백업’과는 달리 최종 전체 백업 혹은 최종 증분 백업 이후에 변경된 파일만을 복사 (예: 전체 백업은 월별로 실시) |
전체 백업과 비교할 때 증분 백업은 매일 백업 해야 하는 파일의 양이 적어 빠른 백업이 가능 하다는 점이 장점이다. 그러나 복구 과정에서 는 최종 백업된 전체 및 모든 후속 증분 이미지나 복사본까지 복구해야 하기 때문에 복구 작업이 번거로워지고 경우에 따라서는 시간이 훨씬 더 걸릴 수 있다. |
| 자동화 백업 CDP (Continuous Data Protection) |
일반적인 파일단위 백업 서비스와는 달리 이미지백업 (Volume Snapshots 방식)이면서 분 단위 까지 백업을 받고 필요시 특정 백업 시점으로 복원 할 수 있는 백업 서비스 | 전반적으로 비용과 시간이 많이 필요한 백업 관리 체계를 구축하지 못한 기업에서 빠른 복구를 위해 디스크의 일부를 복구용 저장소로 사용할 수 있다. 그러나, 랜섬웨어 감염을 바로 인지하지 못하면 감염된 파일이 이미지 백업되는 위험이 존재한다. |
2) 기업 규모별 대응 전략
[대기업]
| 백업 방법 | 내용 |
| 직접 백업 | 데이터 장치와 테이프 장치 간의 연결이 SCSI나 직접 연결된 형태를 의미. |
| 네트워크 백업 (Network Backup) |
터에터 장치와 테이프 장치 간의 연결이 TCP/IP 네트워크로 연결된 형태. 백업 전용 서버에 백업장치를 모두 연결하고 나머지 서버는 이 백업 전용 서버를 통해 백업을 수행 백업 데이터가 네트워크를 통해 전달이 되므로 백업 성능 저하. 백업 시스템에 침투하여 백업 데이터를 암호화하여 삭제 가능.  |
| SAN 백업 | 직접 백업과 네트워크 백업의 장점을 이용해 구성한 백업 방식. 백업 장치 공유 및 관리 측면에서 매우 뛰어난 성능 및 유연성이 있음.  |
| 디스크 복제 | 중요하거나 빠른 시간에 백업이 필요한 경우 디스크에서 디스크로 직접 복제하는 백업 방식. 백업 완료 후 데이터 변경이 있을 경우 변경된 데이터만 다시 백업을 함으로 백업 시간이 타 백업 방식에 비해 짧음. 장애 또는 잘못된 작업으로 데이터 손실 및 변경 시 백업 본을 기준으로 변경된 부분만을 리스토어(restore)함으로 복구 시간이 빠르나, 비용이 많이 소요..  |
| Cloud 백업 | 최근에 도입된 물리적으로 떨어진 외부여역에 백업을 하는 방식. 일반적으로 로컬 네트워크 내에 1차 백업, 2차 백업으로 소산 개념. 외부 Cloud 사용 시, 기업의 경우 Gateway 방식 구성으로, Gateway간 VPN 또는 API 연동으로 SSL통신 구성방식으로 구성.  |
[중소기업]
| 백업 방법 | 내용 |
| Tape 백업 | 저렴한 가격 대비 성능, 이동성, 용량 관리 용이성이 특징 저비용으로 구성할 수 있는 장점으로 규모가 작은 기업에서 사용하는 것이 유리  |
| Cloud 백업 | 외부 저장소에 백업을 수행하는 것으로 최근 개인, 중소기업 등 다양한 사용자 계층에서 많이 사용. Cloud서비스 이용시 구성바식에 따라 Gateway방식과 SSL통신방식, 웹 접근방식이 제공된다. 랜섬웨어 등 외부 침해 시 데이터 무결성 유지를 위해 반드시 '덮어쓰기' 방지해야함  |
| NAS 백업 | 데이터 복구 중시를 하는 일부 소비자와 중소기업 백업을 위해 NAS(Network Attached Storage) 기기의 사용 고려. 백업 이후 반드시 네트워크를 분리해야하며 기존 백업 데이터 '덮어쓰기' 방지해야함. 백업 전용 솔로션이 없는 경우 백업 데이터를 백업 시 모두 '읽기 전용으로 설정'하여 추후 데이터 망실이 발생할 경우 복구할 수 있도록 무결성을 유지해야 함. 백업 완료 후, 매체는 별도 접근통제 절차 수립하여 운영. > 네트워크 통해 백업된 NAS디스크 1본을 사내 네트워크와 분리된 장소(Off-site)에 분리하여 보관 or 동일장소 백업 시 백업 후 네트워크 분리 보관하여 별도 시건 장소에 보관하거나, 백업된 데이터 원격지 NAS 스토리지 또는 외부 백업센터(IDC) 스토리지에 백업  |
| 외장 디스크 백업 (USB/DVD 등) |
시스템 운영체게 내 작업 스케쥴 기능(Windows 스케줄 관리, Linux/Unix Crontab)을 배치 프로세스로 구성하고, 정기적(주간, 월간) 백업 스케줄을 설정하여 중요 파일에 대해 직접 백업을 받아, 별도로 시건 장치가 있는 캐비넷 또는 별도 장소에 보관 직접백업과 백업 절차는 동일. 향후 여러 개의 백업 매체로 백업을 수행해야 한다. 담당자는 백업이 완료된 이후 반드시 백업된 데이터 검증해야 하며, 백업이력을 관리해야 함.  |
3) 랜섬웨어 피해예방을 위한 복구전략
- 백업 수행점검 및 복구훈련을 시행해야 한다.
* 복구 = 리스토어 시간 + 리커버리 시간
※ 주관적으로 요약하였습니다.. 상세한 내용은 파일을 참고하세요
파일 다운 :
출처 : KISA 인터넷 보호나라, https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=36211
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
