랜섬웨어에 대비하고 계십니까?

www.kaspersky.co.kr

랜섬웨어 예방법 알아보기

• 랜섬웨어란?• 구체적 피해• 더 심각한 비즈니스 피해• 급증하고 있는 랜섬웨어 공격• 랜섬웨어 공격의 원리• 공격 대상• 점점 더 악랄해지는 랜섬웨어 공격• 추적 은폐• 비즈니스 보호 방법• 다양한 수상 경력으로 입증된 우수한 보안 솔루션

랜섬웨어 공격에 대한 실용 지침서

비즈니스에 미치는 영향과 예방법

랜섬웨어란?

랜섬웨어는 그 이름에서도 알 수 있듯이 피해자의 자산에

대한 액세스를 차단한 후 해제를 빌미로 대가를 요구하는

유형의 악성 코드입니다.

랜섬웨어는 피해자의 데이터를 읽을 수 없는 형태로

암호화하며, 범죄자가 원하는 대가를 지불해야만 데이터를

복호화하는 데 필요한 키를 제공합니다.

아마추어가 장난으로 만든 단순한 악성 코드의 시절은 이미 오래 전에 끝났습니다. 오늘날 악성 코드의 배후에는 돈을 노린 범죄 조직이 있습니다.

암호화 랜섬웨어(또는 랜섬웨어)의 경우 ‘납치’한

자산은 감염된 기기에 저장된 파일과 데이터입니다.

일부 랜섬웨어는 피해자의 불법적인 행위로 인해 데이터가암호화되었다는 메시지를 표시합니다.

때로는 경찰에서 표시하는 메시지인 것처럼 위장하기도 합니다.

구체적 피해

소비자에게 요구하는 돈은 보통 300 ~ 500달러 수준인

반면, 기업에게는 데이터의 중요성을 고려하여 훨씬 더

높은 대가를 요구합니다.

이렇게 되면 파일을 복구하는 것은 불가능해 질 수 있습니다.

소비자와 기업이 모두 랜섬웨어의 공격 대상입니다.

보통 기기가 감염된 후 48 ~ 72시간 내에 돈을 지불해야

합니다. 이 기한 내에 돈을 지불하지 못할 경우 요구액은

더 높아질 것입니다. 두 번째 기한이 지날 때까지도

지불하지 못할 경우 해당 복호화 키는 삭제될 것입니다.

또한 대가를 지불해도 데이터가 다시 복구된다고 보장할 수

없습니다. 일부 랜섬웨어에는 오작동을 일으키는 소프트웨어

오류가 포함되어 복호화 프로세스가 실패할 수 있습니다.

때로는 범죄자들이 처음부터 복호화를 제공할 의도가 전혀

없이 피해자의 돈만 갈취할 목적인 경우도 있습니다.

켄트 대학의 학제간 연구 센터에서 2014년 2월에 수행한 사이버 보안설문조사 결과, CryptoLocker 피해자의 40% 이상이 대가 지불에 합의한

것으로 나타났습니다.

“최근의 랜섬웨어 공격에서는 시스템 복구 지점과 정기 Windows 백업을저장하는 데 사용되는 섀도우 사본을 삭제하거나 암호화하는 등, 암호화된

데이터의 복구를 방해하는 몇 가지 추가 작업을 수행하는 경향이 있습니다.”

Andrey Pozhogin, Kaspersky Lab의 사이버 보안 전문가

• 영업 손실• 생산성 감소•

• 회사 경쟁 우위의 영구적 손실

• 장기적 매출 감소

• 지적 자산과 디자인 데이터에 대한 지속적인 이용 장애

심할 경우 전체 비즈니스가 위험에 처할 수도 있습니다.

1 돈만 받고 복구가 안 되는 경우가 많음

2 피해자의 네트워크에 또 다른 악성 코드를

설치하는 경우도 있음

더 심각한 비즈니스 피해

기업 피해자는 범죄자들이 요구하는 돈 외에도 엄청난 비즈니스 손실을 입을 수 있습니다. 공격으로 인한 운영 중단은 막대한 금융 손실을 초래할 수 있습니다.

오늘날과 같은 '정보 시대'에는 일시적 데이터 손실로

인해 비즈니스의 주요 프로세스가 완전히 중단될 수

있으며 그 결과 다음과 같은 피해로 이어질 수 있습니다.

모든 영업 기록, 고객 파일, 회계 데이터, 제품 정보, 디자인

데이터를 이용할 수 없다고 상상해 보십시오. 비즈니스 수행이

완전히 불가능하게 되거나, 비즈니스를 계속 수행할 수 있다고

해도 매출 손실과 복구 비용으로 인해 엄청난 손해를 감수해야

할 것입니다

기업이 이러한 피해를 입지 않으려면 암호화 공격의 피해자가

되지 않도록 필요한 모든 조치를 취해야 합니다.

엄청난 시스템 복구 비용

그러나 데이터가 영구 손실될 경우 다음과 같은 훨씬 더

심각한 결과를 초래할 수 있습니다.

암호화 공격을 받은 기업은 인터넷에 떠도는 '허위 해결 방법'에주의해야 합니다. 다음과 같이 문제만 더 커질 수 있습니다.

다음은 최근에 발생한 랜섬웨어 공격의 몇 가지 사례입니다.

CryptoWall – 기한 내 대가를 지불하지 않을 경우 요구액을 2배로 높이는 경우가 많음

TorLocker – 데이터를 암호화하며 Tor 네트워크를

통해 공격을 실행한 범죄자와 접촉

출처: Kaspersky Lab의 2015년 글로벌 IT 위험 설문조사

CoinVault

CryptoLocker – 범죄자들이 수만 대의 기기를

감염시키고 그 대가로 수백만 달러의 수익을 거둠

급증하고 있는 랜섬웨어 공격

비교적 적은 비용으로 개발하고 실행할 수 있으며 하나의 암호화 악성 코드로 많은 수익을 거둘 수 있으므로 랜섬웨어 공격이 증가하고 있습니다.

– 256비트 AES를 사용하여 피해자의 파일 암호화

출처: Kaspersky Security Network

2015년 상반기에만 2014년 한 해에 발생한 것과 같은 수의랜섬웨어 공격이 발생

랜섬웨어 공격의 증가에도 불구하고 최근 설문조사 결과, 40%의기업만이 랜섬웨어를 심각한 위협으로 간주하고 있습니다.

이는 사이버 범죄자들이 악용할 수 있는 보안 약점으로이어질 수 있습니다.

• 피싱: 감염된 첨부파일이나 피싱 웹사이트에 대한

링크가 포함된 이메일을 피해자에게 전송합니다. • 워터 홀링: 회계 포럼 또는 비즈니스 상담 사이트 등, 특정 유형의 사용자나 직군에 인기 있는 합법적인 웹사이트를 감염시킨 후 직원이 해당 웹사이트에 방문할 경우 기기가 감염됩니다. 이러한 ‘드라이브 바이’ 유형 감염의 경우 웹사이트가 방문자의 기기 취약점을 악용할 악성 코드에 이미 감염되어 있습니다.

• PC• Mac 컴퓨터• Android 태블릿 및 스마트폰• VDI(Virtual Desktop Infrastructure)

• RSA/AES 메소드의 결합 AES 알고리즘을 사용하여 빠른 속도로 데이터를 암호화한 후 강력한 RSA 알고리즘으로 AES 키도 암호화

• 타원 곡선 알고리즘 빠른 속도로 더욱 강력한 암호화 수준 제공

따라서 이제 데이터를 복호화하기란 거의 불가능합니다.

• 일반적으로 지불 수단으로 비트코인이나 기타 디지털

통화를 사용하므로 지불된 돈을 추적하기가 쉽지 않음

• 익명 메커니즘(예: Tor 네트워크)을 사용하여 범죄자의

위치를 추적하기가 거의 불가능함

하지만 다음 두 가지 경로가 가장 많이 사용됩니다.

랜섬웨어 공격 원리

대부분의 악성 코드와 마찬가지로 암호화 공격도 여러 가지 다양한 경로를 통해 컴퓨터와 기타 기기를 감염시킵니다.

공격 대상

암호화 악성 코드는 다음과 같이 다양한 기기를 공격할

수 있습니다.또한 기업 파일 공유가 가능한 네트워크 드라이브에 기기가

연결되어 있을 경우 파일 서버를 실행하는 운영 체제에

관계없이 공유된 파일 또한 랜섬웨어에 의해 암호화될 수

있습니다.

불행히도 공격을 당한 기기에서 랜섬웨어가 수행하는

대부분의 악성 활동에는 관리자 권한이 필요 없습니다.

점점 더 악랄해지는 랜섬웨어 공격

랜섬웨어가 처음 등장했을 때는 종종 암호화된 데이터를 복구하는 것이 가능했습니다.

때로는 감염된 기기에 복호화 키가 숨겨져 있어 이 키만

찾으면 데이터를 복호화하여 문제를 해결할 수 있었습니다.

또한 보안 전문가가 악성 코드를 리버스 엔지니어링하여

데이터를 복호화하는 방법을 찾을 수 있는 공격도

있었습니다.

범죄자들은 주로 다음과 같은 기법, 그리고 매우 정교한

암호화 스키마를 사용합니다.

그러나 오늘날의 사이버 범죄자들에게서는 더 이상 이러한

기본적인 오류를 찾아볼 수 없습니다. 훨씬 더 복잡한

기술을 사용하여 리버스 엔지니어링이 매우 어려우며,

리버스 엔지니어링이 가능할지라도 공격 대상 기기에

복호화 키가 숨겨져 있을 가능성은 거의 없습니다.

이제 대부분의 랜섬웨어는 공격 대상 기기마다 복호화 키를

다르게 적용하므로 하나의 복호화 키를 찾아도 다른 기기의

파일을 복호화하는 데 사용할 수 없습니다

추적 은폐

또한 랜섬웨어를 실행하는 사이버 범죄자들이 법 집행

기관의 추적을 막기 위해서도 많은 노력을 기울이고

있어 최근의 랜섬웨어 공격을 추적하여 해결하기가

더 어려워지고 있습니다.

1. 애초에 공격을 당하지 않는 것이 좋지만, 랜섬웨어 공격이 갈수록 증가하고 있으므로 이는 현실적인 방법이 아닙니다.

2. 안전하게 데이터를 보호하고 비즈니스를 운영할 수 있도록 몇 가지 간단한 규칙을 준수하는 것입니다.

• 피싱과 스피어 피싱의 위험에 대한 인식

• 신뢰할 수 있는 소스도 포함하여 모든 의심스러운

이메일 첨부파일의 개봉이 보안에 미치는 영향

많은 기업이 이미 데이터 백업 정책을 시행하고

있습니다. 그러나 랜섬웨어는 백업 파일도 암호화할 수

있으므로 또 다른 기업 네트워크 상의 '온라인' 시스템에

파일을 복사하는 대신, 오프라인 백업 시스템에 데이터를

백업하는 것이 매우 중요합니다.

계속 연결되어 있는 파일 서버에 단순히 데이터를

복사하는 것에 끝나지 않도록 ‘백업 및 분리’ 정책을

수립합니다.

• 모든 애플리케이션과 운영 체제 업데이트 –

새로 발견된 취약점 제거

• 보안 애플리케이션과 악성 코드 방지 데이터베이스

업데이트 – 최신 보호 기능 적용

다음과 같은 도구가 포함된 보안 솔루션을 선택하는

것이 좋습니다.

• 웹 접근 제어 – 직무에 따라 접근 가능한 웹 지정

• 기업 데이터 접근 제어 – 직무 또는 부서별로 적용

• 애플리케이션 제어 – 애플리케이션 제어 기술을 사용하여

특정 애플리케이션, 파일의 차단 또는 허용

비즈니스 보호 방법

랜섬웨어 공격의 위험에 대비하기 위해서는 다음과 같은 두 가지 옵션이 있습니다.

기업에서 가장 취약한 보안 요소가 직원인 경우가

의외로 많습니다. 직원들에게 다음과 같은 기본적인

IT 보안을 교육시키십시오.

사용자 교육모든 악성 코드 방지에서와 같이 ‘조기에 자주 업데이트’하는

것이 중요합니다.

정기적으로 데이터를 백업하고 백업 데이터의 유효성 점검

랜섬웨어는 PC만 공격하는 것이 아니므로 보안

소프트웨어가 Mac 컴퓨터, 가상 머신, Android

모바일 기기도 보호할 수 있는지 확인해야 합니다.

모든 기기와 시스템 보호

특히 이메일 시스템에는 충분한 보호 장치가

마련되어 있어야 합니다.

보안 소프트웨어 배포 및 유지

Andrey Pozhogin, Kaspersky Lab의 사이버 보안 전문가

“사이버 범죄자들은 더욱 더 발전된 기술로 들키지 않고 작동할 수있는 랜섬웨어를 개발하고 있으며, 또한 다양한 도구와 기법을 우회하여

랜섬웨어가 발각되는 것을 피할 수 있습니다.”

1

다양한 수상 경력으로 입증된 우수한 보안 솔루션

Kaspersky Endpoint Security for Business는 다계층 보안을 제공하므로 랜섬웨어 공격을 포함하여 알려지거나 알려지지 않은 첨단 위협으로부터 기업을 보호할 수 있습니다.

대부분의 다른 보안 업체들보다 훨씬 더 자주 악성 코드 방지 데이터베이스의 업데이트를 제공합니다. 또한 Kaspersky Endpoint Security for Business에는 사전 방역, 휴리스틱 및 동작 기반 탐지 기법과 함께 클라우드 기반 탐지 기법이 포함되어 새로운 위협에 매우 신속하게 대응할 수 있습니다.

또한 다양한 기업의 인프라에 적용할 수 있는 다수의 Kaspersky 제품에서 여러 보안 도구와 기술을 제공합니다.1

시스템 감시기는 시스템에서 실행되는 모든 프로그램의

동작을 모니터링하고 각 프로그램의 동작이 악의적인

동작을 하는지 관찰합니다.

또한 시스템 감시기와 함께 애플리케이션 권한 제어를

사용하면 관리자가 낮은 수준으로 애플리케이션이

동작하도록 하여 중요한 시스템 리소스에 대한 접근을

제한해 시스템을 보다 안전하게 보호할 수 있습니다.

암호화 악성 코드 대응 기술이 포함된 시스템 감시기2

의심스러운 동작이 감지되면 시스템 감시기가 자동으로

프로그램을 격리합니다. 시스템 감시기는 운영 체제의

변경 로그, 레지스트리 값 등을 보관하여 악성 코드가

제거되기 직전에 만들어진 악성 동작을 감염 전 상태로

다시 되돌릴 수 있습니다.

또한 시스템 감시기는 Microsoft Office 문서 등을

포함하여 일부 유형의 파일에 대한 접근을 지속적으로

모니터링하고 접근 대상 파일의 사본을 임시로 저장합니다.

시스템 감시기가 랜섬웨어와 같은 의심스러운 프로세스의

파일 접근을 탐지할 경우 임시 ‘백업’을 사용하여 파일을

암호화되지 않은 형태로 복구합니다. 시스템 감시기에

의해 생성된 임시 백업이 완벽한 데이터 백업 전략을

대체할 수는 없지만 랜섬웨어 공격으로부터 보호하는

데는 매우 효과적입니다.

컴퓨터에서 실행 중인 애플리케이션 및 운영 체제 내부의

취약점(또는 오류)은 랜섬웨어 공격을 포함하여 각종 악성

코드 공격의 침입 발판으로 악용될 수 있습니다.

취약점 검사 및 패치 관리3

Kaspersky의 자동 취약점 검사 및 패치 관리 도구는 시스템을

검사하여 알려진 취약점을 식별하고 필요한 패치와 업데이트를

배포하여 알려진 보안 취약점을 제거할 수 있도록 지원합니다.

Kaspersky의 AEP 기술은 악성 코드가 애플리케이션과 운영

체제 내부의 취약점을 악용하는 것을 방지하는 데 효과적입니다.

특히 Adobe Reader, Internet Explorer, Microsoft Office, Java 등

가장 자주 공격 대상이 되는 애플리케이션을 모니터링하여 강력한

추가 보안 계층을 제공합니다.

자동 익스플로잇 방지(AEP)4

때로는 보안 전문가가 랜섬웨어를 분석하여피해자가 파일을 복구하도록 지원합니다.

Kaspersky Lab은 최근, 네덜란드 경찰의 NHTCU(National High TechCrime Unit)와 협력하여 CoinVault 피해자를위해 전용 복호화 프로그램과

대응 웹사이트(https://noransom.kaspersky.com)를 만들었습니다.

1: 시스템/플랫폼 유형에 따라 제공되는 보안 기능이 다릅니다. 자세한 내용은 www.kaspersky.co.kr로 문의해 주십시오. 2: 시스템 감시기는 Kaspersky Endpoint Security for Business 및 KSV|Light Agent에 포함되어 있습니다. Windows Workstation 운영 체제만

해당되며, 서버 플랫폼은 지원하지 않습니다. Mac 및 Android 기기에 대해서는 제공되지 않습니다. 3: 취약점 검사 및 패치 관리는 Kaspersky Total Security for Business, Kaspersky Endpoint Security for Business Advanced 및

Kaspersky Systems Management에 포함되어 있습니다. 4: AEP는 Kaspersky Endpoint Security for Business 및 KSV|Light Agent에 포함되어 있습니다. Windows Workstation 운영 체제만 해당되며,

서버 플랫폼은 지원하지 않습니다. Mac 및 Android 기기에 대해서는 제공되지 않습니다.

• PC• Mac 컴퓨터• 파일 서버• 휴대폰과 태블릿• 가상 서버• VDI(Virtual Desktop Infrastructure)

또한 스토리지와 협업 시스템에 대한 보안도 제공합니다.

때로는 보안 전문가가 랜섬웨어를 분석하여피해자가 파일을 복구하도록 지원합니다.

2014년에는 93개의 독립 기관 테스트 및 평가에 참가하여 51개에서 1위를 차지했습니다.

유연한 애플리케이션 제어 도구(및 동적 화이트리스트

등록)로 간편하게 프로그램의 실행을 허용 또는 차단할

수 있습니다. 블랙리스트에 등록된 프로그램의 차단 외,

일부 워크스테이션과 서버에 대해 기본 차단(Default

Deny) 정책을 구현하여 화이트리스트의 애플리케이션만

실행되도록 할 수 있습니다. 이는 랜섬웨어 등의 악성

코드는 자동으로 차단된다는 것을 의미합니다.

애플리케이션 제어 및 화이트리스트 등록Kaspersky Security for Mail Server는 Microsoft Exchange

메일 서버의 수신, 발신 및 저장된 메일을 검사합니다.

이메일 시스템 보안

뛰어난 클라우드 기반 스팸 방지 엔진과 피싱 방지 엔진을

사용하여 불필요한 메일을 제거하고 랜섬웨어 및 기타

위협으로부터 시스템을 보호할 수 있습니다.

간편하게 사용할 수 있는 도구로 인터넷 접근 제어 정책을

설정하고 인터넷 사용을 모니터링할 수 있습니다. 개별

웹사이트 또는 소셜 네트워크, 게임, 도박 사이트와 같은

특정 범주의 사이트에 대해 사용자의 접속을 금지, 허용

또는 감사할 수 있으므로 사용자가 랜섬웨어에 감염된

웹사이트를 방문할 가능성이 줄어듭니다.

웹 제어다음과 같은 광범위한 엔드포인트를 보호할 수 있는

솔루션을 제공합니다

모든 엔드포인트의 보호1 및 추가 기능 제공

클라우드 기반 피싱 방지 엔진으로 직원들이 랜섬웨어

감염으로 이어질 수 있는 피싱 및 스피어 피싱 공격의

피해자가 되는 것을 방지할 수 있습니다.

피싱 방지

1: 시스템/플랫폼 유형에 따라 제공되는 보안 기능이 다릅니다. 자세한 내용은 www.kaspersky.co.kr 사이트를 참조하십시오.

KASPERSKY LAB 소개

Kaspersky Lab의 소셜 미디어

YouTube동영상 보기

Facebook계정

www.kaspersky.co.kr

지금 무료 체험하기

지금 무료 체험하기

30일 무료 체험판을 통해

Kaspersky Lab의 고급 보안 기능을

사용하여 악성 코드, 랜섬웨어와

사이버 범죄로부터 비즈니스를

보호할 수 있는 방법을

알아보십시오.

지금 kaspersky.co.kr 사이트에서

완전한 기능의 제품을 다운로드하여

IT 인프라와 엔드포인트, 기밀 비즈니스

데이터를 효과적으로 보호할 수 있는

방법을 평가해 보십시오.

카스퍼스키랩은 세계에서 가장 빠르게 성장하는 사이버 보안 회사 중

하나이며 최대의 비상장 보안 기업으로, 엔드포인트 보안 솔루션

분야에서 전세계 4대 보안 솔루션 기업으로 꼽힙니다(IDC 2014).

1997년부터 카스퍼스키랩은 사이버 보안 분야에서 혁신적인 활동을

해왔으며, 대규모 엔터프라이즈, SMB 및 소비자들에게 효과적인

디지털 보안 솔루션 및 보안 위협 관련 정보를 제공합니다. 카스퍼스키랩은

전세계 200개국 이상에서 활동하고 있는 국제적인 회사로써, 4억 명 이상의

사용자들에게 보안 서비스를 지원합니다.

Twitter계정

LinkedIn계정

SlideShare계정

Kaspersky Lab블로그

Threatpost계정

Securelist정보