랜섬웨어란 무엇인가? 사례, 예방 및 탐지 방법"

랜섬웨어 공격이 증가하고 있으며, 2024년 전 세계 조직에서 경험한 공격 건수는 5,414건 이상으로 전년 대비 11% 증가했습니다. 이러한 증가는 피싱, 익스플로잇 키트, 취약한 클라우드 서비스 등을 악용한 범죄자들의 사기 행위로 인해 발생하고 있습니다. 중소기업부터 대기업까지 침투, 데이터 손실, 장기간의 시스템 중단 위험에 노출되어 막대한 손실을 입을 수 있습니다. 따라서 기업들은 랜섬웨어에 대한 이해를 높이고 랜섬웨어 공격에 대한 대응책을 마련하는 것이 중요합니다.

본 글에서는 랜섬웨어의 정의와 기업 조직에 미치는 위협 요인을 설명합니다. 이어 조직에 미치는 영향, 랜섬웨어의 역사, 다양한 감염 경로를 논의합니다. 이 섹션에서는 사이버 범죄자들이 사용하는 다양한 유형의 랜섬웨어와 기법, 그리고 유명한 사례들의 랜섬웨어 예시를 알아보겠습니다. 마지막으로 랜섬웨어 공격의 정의, 랜섬웨어 공격 예방을 위한 팁, 그리고 센티넬원(SentinelOne)이 각 방안을 어떻게 강화하는지 논의하겠습니다./p>

랜섬웨어란 무엇인가?

랜섬웨어는 피해자의 파일을 잠그거나 암호화한 후, 복호화 키를 얻기 위해 피해자에게 대가를 지불하도록 요구하는 악성 소프트웨어의 한 형태입니다. 랜섬웨어의 의미는 단순한 화면 잠금 장치부터 체계적으로 데이터를 훔친 후 정보 유출을 위협하는 최신 정교한 암호화 기술까지 다양해졌습니다. 2024년 전 세계 랜섬웨어 요구 금액은 평균 273만 달러로 추정되었으며, 이 수치는 기업들을 데이터 손실과 막대한 금액 지불 사이의 딜레마에 빠뜨렸습니다.&

침투는 공격자가 대상 소프트웨어의 취약점이나 사용자의 습관을 악용하는 공격적인 행위입니다. 간단히 말해, 랜섬웨어 정의에는 조직 운영을 마비시킬 뿐만 아니라 소비자의 신뢰를 훼손하는 파괴적 위협이 포함됩니다. 랜섬웨어를 효과적으로 정의하려면 초기 침투부터 다양한 수준의 암호화에 이르기까지 그 영향을 이해해야 합니다. 이제 다음 섹션으로 넘어가 보겠습니다.

랜섬웨어가 기업에 미치는 영향

단 한 번의 랜섬웨어 공격만으로도 조직에 심각한 피해를 입힐 수 있습니다: 생산 중단, 데이터베이스 내 데이터 잠금, 직원들의 애플리케이션 접근 차단 등이 발생할 수 있습니다. 평균 몸값이 증가한 것은 범죄자들이 더 큰 금액을 확보할 수 있다는 확신을 갖게 되었음을 시사합니다. 고객 정보 유출이든 비즈니스 운영을 마비시키는 서비스 중단이든, 그 영향은 단순한 금전적 손실을 넘어섭니다. 랜섬웨어 공격의 피해 기업이 겪는 네 가지 주요 손실은 다음과 같습니다:

1. 운영 중단: 중요한 파일이나 서버가 잠기면 직원은 고객 판매, 직원 기록 또는 공급망 관리 애플리케이션 작업을 수행할 수 없으며 생산 라인이 멈춥니다. 아무리 사소한 중단이라도 주문 지연이나 서비스 취소로 이어져 고객 신뢰를 잃게 됩니다. 백업이 오래되었거나 데이터까지 암호화된 경우 랜섬웨어 복구에는 며칠에서 몇 주가 소요될 수 있습니다. 이 기간 동안 심각한 평판 손상과 수익 손실 또는 부족이 발생할 수 있습니다.
2. 데이터 손실 및 유출 공개: 최근 랜섬웨어 공격은 데이터 도난을 동반하는 경향이 있습니다. 이 경우 공격자는 고객이나 파트너에 대한 특정 정보를 공개하지 않는 대가로 표적 조직에 금전을 요구합니다. 정보가 유출될 경우 의무적 공개 규정이 적용되어 규제 조치 및 벌금이 부과될 수 있습니다. 침투와 공개 유출 시나리오의 결합은 랜섬웨어가 초래할 수 있는 잠재적 위협을 보여줍니다.
3. 재정적·평판적 피해: 몸값 형태의 직접적인 재정적 손실 외에도, 이러한 사이버 공격은 고가의 포렌식 조사, 시스템 재구축, 경우에 따라 집단 소송을 수반할 수 있습니다. 고객은 향후 유사한 문제가 발생하지 않을 다른 기업으로 전환할 수 있으며, 투자자는 경영진의 위험 관리 능력을 의심할 수 있습니다. 이러한 침투를 방지하기 위해 보험사는 보험료율을 인상하거나 심지어 보험 계약을 해지할 수도 있습니다. 결국 손상된 브랜드 이미지를 재건하는 데는 시간이 걸리며, 때로는 수년이 소요될 수 있습니다.
4. 이해관계자 및 고객 신뢰 훼손: 보안 침해가 발견되면 이사회, 규제 기관 또는 주요 고객과 같은 관계자들이 보안 수준을 의심하기 시작합니다. 신뢰 부족은 비용이 많이 들며, 계약 해지나 파트너의 더 엄격한 요구 사항으로 이어질 수 있습니다. 이를 안심시키려면 강화된 통제 체계, 지속적인 스캐닝, 그리고 무엇보다도 적절한 직원 교육의 증거를 제시해야 합니다. 조직이 강력한 랜섬웨어 대응 사이버 보안에 투자할 때 장기적으로 더 큰 신뢰를 구축할 수 있습니다.

랜섬웨어의 역사

랜섬웨어의 기원은 1980년대 후반 등장한 단순한 갈취 트로이 목마에서 시작되어, 더 진보된 암호화 기반 공격으로 발전했습니다. 이러한 공격은 세월이 흐르며 정교한 암호화 기술과 은닉 전략을 통해 사이버 범죄 세계의 주요 위협 중 하나로 자리 잡았습니다. 다음 섹션에서는 범죄자들이 전략을 어떻게 진화시켜 왔는지 보여주기 위해 네 가지 단계를 제시합니다.

1. PC 사이보그 트로이목마 (1980년대 후반): 1989년 개발된 "에이즈 트로이목마" 또는 "PC 사이보그"는 컴퓨터를 감염시킨 후 기능 복구를 위해 금전을 요구했습니다. 이는 특정 데이터를 암호화하고 대가를 요구하는 랜섬웨어 공격의 정의를 바꾼 최초의 사례로 기록됩니다. 현대적 정의에 비하면 상대적으로 원시적이었지만, 현대적 갈취의 개념적 토대를 마련했습니다. 공격 경로는 매우 단순했는데, 바이러스는 회의 참가자들에게 배포된 감염된 플로피 디스크를 통해 전파되었습니다.
2. 암호화 랜섬웨어 (2000년대 초반): 2000년대 초반에는 RSA나 AES 같은 현대적 알고리즘으로 데이터를 암호화하는 더 정교한 랜섬웨어가 등장했습니다. 당시 안티바이러스 탐지 기술이 느려 이 랜섬웨어들을 피하기 어려웠습니다. 공격자들은 초기 형태의 디지털 결제 수단이나 전신환을 통해 대가를 요구했으며, 이로 인해 수사 기관이 자금 흐름을 추적하기 어려워졌습니다. 이는 다른 형태의 보안 위협으로 발전했으며, 보안 전문가들은 이를 복잡한 알고리즘과 연관된 '암호화 랜섬웨어' 등의 용어로 지칭하기 시작했습니다.
3. 새로운 갈취 방법: 2010년대에는 범죄 실행 기술이 더욱 발전했으며, 2017년 WannaCry 랜섬웨어가 대표적입니다.이 웜 기반 공격은 전 세계 병원과 기업을 단 몇 시간 만에 마비시켰습니다. 사이버 범죄자들은 NSA에서 훔친 취약점 공격 코드를 활용해 가장 강력한 기관조차도 끊임없는 랜섬웨어 공격 물결을 일으킬 수 있음을 보여주었습니다. 또한 RaaS(서비스형 랜섬웨어)가 등장하면서 경험이 전혀 없는 신규 진입자들도 이 사업에 참여할 수 있게 되었습니다.
4. 이중 갈취 및 지정학적 활용 (2020년대~2025년): 현재 사이버 공격자들은 데이터를 먼저 탈취한 후 요구 사항이 충족되지 않을 경우 공개하겠다고 위협하는 이른바 '이중 갈취'를 자행합니다. 이로 인해 조직들은 백업이 마련되어 있더라도 데이터 유출 시 발생할 수 있는 비용을 고려하게 됩니다. 그러나 국가 지원 캠페인은 랜섬웨어를 간첩 활동이나 파괴 목적으로 사용하는 경우가 있어 금전적 목표와 정치적 목표를 구분하기 어렵습니다. 현재 은밀성, 인공지능, 매우 특화된 도구들의 사용으로 위협은 이전보다 더욱 정교해졌습니다.

랜섬웨어는 어떻게 확산되나요?

랜섬웨어 감염 경로라는 용어의 의미를 설명하면, 첨부 파일이 포함된 스팸 이메일부터 해킹된 클라우드 솔루션에 이르기까지 랜섬웨어가 시스템에 침투할 수 있는 여러 방법이 존재함을 알 수 있습니다.

사이버 범죄자들은 보안이 취약한 서버나 속기 쉬운 직원 등 각 대상의 취약점에 맞춰 전략을 조정합니다. 범죄자들이 랜섬웨어 코드를 전달하고 조직 인프라에 통합하는 다섯 가지 방법은 다음과 같습니다:

1. 피싱 이메일 및 악성 첨부 파일: 피싱 이메일은 직원들을 속여 악성 문서를 열거나 해커의 웹사이트로 연결되는 링크를 클릭하도록 유도합니다. 매크로나 스크립트 취약점이 실행되면 암호화가 시작되거나 백도어 셸이 활성화됩니다. 직원들이 이메일 내 링크를 클릭하거나 개인 정보를 제공하지 않도록 교육받았음에도 불구하고, 피싱은 범죄자들이 회사 네트워크에 침투하는 신뢰할 수 있는 방법으로 계속 사용되고 있습니다. 콘텐츠 필터와 정교한 이메일 게이트웨이를 사용하는 기업들은 이러한 침투율을 상당히 낮춥니다.
2. 악용된 소프트웨어 취약점: 랜섬웨어는 제거되지 않은 취약한 프레임워크, 운영 체제 또는 개발/테스트 인터페이스를 찾아냅니다. 범죄자들은 신중하게 구성된 패킷이나 명령을 통해 제어권을 획득하고 코드를 실행하여 사용자의 지식 없이 랜섬웨어를 설치합니다. 이러한 침투 경로는 시기적절한 패치, 취약점 스캔 및 세분화를 통해 제한될 수 있습니다. 단 하나의 패치 누락만으로도 전체 구조가 무너질 수 있으며, 이는 대규모 공격에서 분명하게 드러났습니다.
3. 원격 데스크톱 프로토콜(RDP) 공격: RDP 세션에 대한 불충분하거나 재사용된 자격 증명으로 인해 공격자가 세션에 접근하기 위해 추측하거나 무차별 대입 공격을 할 수 있습니다. 네트워크에 침투한 공격자는 신속하게 움직여 여러 공유 폴더나 도메인 컨트롤러에 랜섬웨어를 확산시킵니다. 따라서 다중 요소 인증을 통한 접근 권한 부여, VPN을 통한 RDP 접근 제한, 또는 단순히 외부 RDP를 비활성화하는 등의 조치는 위험을 크게 최소화합니다. 이러한 시너지 효과로 인해 단순히 도난당하거나 추측된 비밀번호만으로 접근하는 것은 불가능해집니다.&
4. 드라이브 바이 다운로드 & 악성 광고: 피싱 웹사이트나 감염된 광고 서버는 업데이트되지 않은 브라우저에 페이로드를 전달합니다. 사용자가 감염된 페이지를 방문하거나 우연히 광고를 보게 되면, 랜섬웨어를 다운로드하는 숨겨진 스크립트를 실행하게 됩니다. 엔드포인트의 안티바이러스나 최신 브라우저는 이러한 스크립트를 악성으로 인식할 수 있지만, 일반 직원이나 업데이트되지 않은 시스템은 취약합니다. 정교한 콘텐츠 필터링과 결합하면 이 접근법은 드라이브-바이 침투 가능성을 크게 줄입니다.
5. 공급망 침해: 범죄자들은 공급업체 소프트웨어 업데이트를 조작하여 감염된 패치나 라이브러리 종속성을 배포하기도 합니다. 조직이 "공식" 업데이트를 획득하면 숨겨진 악성코드가 실행됩니다. 이 침투 방식은 특히 영향력이 큰 공급망 침투 사고 측면에서 크게 증가했습니다. 공급망 침투를 방지하기 위한 해결책으로는 각 소프트웨어 패키지 검증, 코드 서명 검사 도입, 새로 도입된 라이브러리 스캔 등이 있습니다.&

랜섬웨어 유형

랜섬웨어 유형은 진화해 왔으며, 각 유형마다 암호화 방식, 침투 경로, 협박 수단이 다릅니다. 일부 랜섬웨어는 화면을 동결시키고, 다른 일부는 정보를 유출합니다. 이러한 차이점을 인지하는 것은 적절한 방어 체계를 구축하는 데 도움이 됩니다. 다음 섹션에서는 랜섬웨어의 발전과 다양화에 초점을 맞춘 7가지 주요 영역을 개괄적으로 설명합니다.

1. 암호화 랜섬웨어: 이 변종들은 강력한 알고리즘으로 사용자 데이터를 암호화하고 피해자에게 복호화 키를 구매하도록 강요합니다. 일반적으로 범죄자들은 최대한의 혼란을 야기하기 위해 전체 디렉터리나 반드시 중요한 비즈니스 공유 폴더를 감염시키려 합니다. 백업까지 영향을 받거나 아예 백업이 없는 경우 복구 가능성은 매우 희박합니다. 주목할 만한 다수의 침투 공격 물결이 암호화 기반 갈취에 집중되어 있습니다.
2. 로커 랜섬웨어: 암호화와 달리, 사용자가 시스템에 접근할 수 없게 만드는 방식이 아니라 운영 체제를 동결시키는 방식입니다. 이 위협은 파일이 암호화되지 않았더라도 정상적인 접근성을 회복하려면 대가를 지불해야 한다는 점을 수반합니다. 그러나 시스템 기능 상실은 개인이나 기업뿐만 아니라 직장에도 치명적일 수 있습니다. 이 때문에 고급 포렌식 기술로 변종을 해제할 수 있다면, 암호화 과정을 거치지 않기 때문에 일부 데이터는 여전히 복구 가능할 수 있습니다.
3. 이중 갈취 랜섬웨어: 사이버 범죄자들은 데이터를 암호화하기 전에 훔친 후, 요구 사항이 충족되지 않으면 데이터를 공개하거나 타인에게 판매하겠다고 위협합니다. 이러한 시너지 효과는 백업만으로는 공개 데이터 유출을 막을 수 없기 때문에 압박을 가중시킵니다. 보통 데이터 유출 웹사이트에 샘플을 공유하여 조직의 평판이나 법적 결과 측면에서 압박을 가합니다. 이중 갈취의 경우, 피해자가 몸값을 지불하더라도 범죄자가 약속을 어길 수 있으므로 데이터가 비공개로 유지될지 확신할 수 없습니다.&
4. 서비스형 랜섬웨어(RaaS): RaaS 모델에서는 숙련된 위협 행위자들이 랜섬웨어 키트라는 도구를 기술력이 부족한 제휴사들에게 제공합니다. 제휴사는 표적을 공격하고 갈취한 돈의 일부를 그룹에 송금하며 감염 대상 범위를 확대합니다. 이러한 협력은 초기 접근 브로커부터 협상가까지 전문화된 침투 역할의 번성하는 경제를 조성합니다. RaaS는 랜섬웨어 공격 실행에 필요한 기술 수준이 낮아짐에 따라 전 세계적으로 랜섬웨어 공격 건수 증가로 이어집니다.
5. 파일리스 랜섬웨어: 파일리스 변종은 주로 메모리에서 작동하며 리소스 집약적이지 않아 디스크에 많은 데이터를 기록하지 않습니다. 이러한 프로세스 중 일부는 기존 안티바이러스나 스캐닝 프로그램으로 탐지되지 않을 수 있습니다. 악성코드 제작자는 PowerShell과 같은 시스템 유틸리티를 이용해 암호화 명령을 은밀하게 전달합니다. 이러한 침투 경로를 차단하려면 조직은 정교한 행동 기반 탐지 기술과 함께 스크립트 접근 권한을 제한해야 합니다.
6. 모바일 랜섬웨어: 스마트폰이나 태블릿을 위해 특별히 설계된 이 변종들은 사용자를 기기에서 차단하거나 로컬에 저장된 파일을 암호화합니다. 사이버 범죄자들은 제3자 마켓을 이용하거나 업데이트에 포함시켜 위험한 앱을 배포할 수 있습니다. 기기 내 개인 데이터나 업무용 로그인 정보를 이용해 피해자에게 복구 비용 지불을 강요합니다. 강력한 앱 다운로드 차단 기능과 정기적인 기기 백업은 모바일 침투 성공률을 크게 저하시킵니다.
7. 와이퍼 랜섬웨어: 지불 후 복호화 키를 제공하지 않고 데이터를 삭제하거나 손상시키는 파괴적 하위 유형입니다. 전통적 랜섬웨어 통신과 유사해 보일 수 있으나, 실제 목적은 파괴나 혼란 유발일 수 있습니다. 사이버 범죄자들은 와이퍼 변종을 이용해 비즈니스 운영을 방해하거나 핵심 인프라를 파괴할 수도 있습니다. 복구 키가 없기 때문에 데이터 복원의 유일한 희망은 백업과 강력한 사고 대응 계획을 통해서입니다.

자세히 알아보기: 랜섬웨어 공격 유형

일반적인 랜섬웨어 공격 경로

피싱이나 패치되지 않은 애플리케이션과 같은 침투 경로 외에도 랜섬웨어는 침투 및 권한 상승을 위해 여러 경로와 방법을 사용합니다. 해커들은 도난당한 로그인 자격 증명 및 악용된 파트너 연결을 포함하여 기업의 취약점을 지속적으로 탐색합니다. 여기서는 그들이 사용하는 가장 흔한 다섯 가지 경로를 설명하고, 범죄자들이 침해 초기 단계에서 데이터 암호화로 전환하는 과정을 설명합니다.

1. 피싱 및 사회공학: 가짜 웹사이트, 다른 이메일, 또는 매크로 감염된 첨부 파일을 통해 랜섬웨어를 실행합니다. 이러한 메시지는 인사팀, 재무팀 또는 익숙한 공급업체에서 보낸 것처럼 보이도록 맞춤 제작됩니다. 코드가 실행된 후 바이러스는 로컬 디렉터리 기반 또는 매핑된 공유 폴더를 목표로 빠르게 복제됩니다. 스팸 필터, 사용자 인식 제고, 2단계 인증 사용은 침투 성공률을 낮춥니다.
2. 신원 정보 도용(Credential Stuffing) 및 비밀번호 스프레이링(Password Spraying): 인터넷에 유출된 대량의 계정을 활용해 사이버 범죄자들은 동일한 자격 증명으로 기업 VPN이나 원격 접속을 시도합니다. 표적이 확인되면 네트워크에 악성코드를 주입하며, 대부분의 경우 이를 정상 사용자로 위장합니다. 강력한 암호 정책이나 단기간 내 강제 비밀번호 변경과 같은 조치도 침투 경로를 최소화합니다. 또한 MFA(다단계 인증) 적용 및 기기 컨텍스트 제한은 비밀번호 기반 공격 성공률에 영향을 미칩니다.
3. 익스플로잇 키트 & 악성 광고: 해커들은 먼저 광고나 자신들이 통제하는 웹사이트에 익스플로잇 코드를 삽입한 후 사용자를 선택한 목적지로 리디렉션합니다. 다음 단계에서 취약한 브라우저나 플러그인이 랜섬웨어를 실행합니다. 또한 평판이 좋은 뉴스나 전자상거래 사이트도 광고 네트워크가 침해된 경우 광고 호스팅의 피해자가 될 수 있다는 점을 유의해야 합니다. 콘텐츠 필터 사용, 브라우저 패치 적용, 플러그인 사용 제한을 통해 조직은 이러한 침투 시도를 방지할 수 있습니다.
4. 원격 데스크톱 서비스 및 VPN 취약점: 알려진 CVE가 있는 RDP 또는 구형 VPN 솔루션은 여전히 잘못 구성되어 있으며 성공적인 공격의 주요 경로입니다. 공격자들은 이러한 엔드포인트를 무차별 대입 공격하거나 악용하여 대상 서버에 랜섬웨어를 직접 다운로드하고 실행합니다. 계정 잠금이나 펌웨어 업데이트와 같은 강력한 구성 없이 이 침투는 여전히 간단합니다. MFA를 적용한 기업 VPN 뒤에 RDP를 분리하여 두 번째 보호 계층을 추가하면 이러한 취약점을 줄일 수 있습니다.
5. 공급망 침해: 신뢰할 수 있는 공급업체나 라이브러리에서 제공하는 소프트웨어 업데이트가 범죄자에 의해 변조되어 악성 모듈이 환경에 유입됩니다. 업데이트가 패치 시스템이나 빌드 파이프라인에 통합되면 해당 코드가 실행됩니다. RaaS(Ransomware as a Service) 그룹은 침해된 공급업체로부터 접근 권한을 구매하기도 하여, 더 큰 기업 대상까지 침투 경로를 확장합니다. 공급업체 위험 평가, 코드 서명 검증 및 스캔은 이러한 숨겨진 침투 경로를 차단합니다.

랜섬웨어는 어떻게 작동하나요?

랜섬웨어의 작동 방식을 상세히 이해하면 그 은닉 방식, 진화 속도, 위험성을 설명하는 데 도움이 됩니다. 해커들은 악명 높은 몸값 요구와 함께 침투 기법과 암호화 절차를 혼합하여 사용하는데, 이는 다소 추상적이면서도 강력합니다. 아래에서 이 악순환을 설명하는 다섯 가지 핵심 과정을 살펴보겠습니다:

1. 초기 접근 및 페이로드 전달: 범죄자들은 피싱 사기, 익스플로잇 팩, 도난된 로그인 정보 등을 통해 진입점을 식별하고 악성코드를 유입시킵니다. 이 페이로드는 시스템 아키텍처, 안티바이러스 존재 여부, 사용자 권한 등을 빈번히 점검합니다. 유리한 환경을 발견하면 하위 모듈을 생성하거나 확장합니다. 이 단계에서 조기 탐지 시 침투 체인 전체를 차단할 수 있습니다.
2. 권한 상승 및 측면 이동: 표적 시스템 내부에서 범죄자들은 허점이나 기본 비밀번호를 악용하여 사용자 수준에서 관리자 수준으로 권한을 획득합니다. 이후 네트워크를 이동하며 공유 폴더, 백업 서버 또는 도메인 컨트롤러를 탐색합니다. 보안 로그를 비활성화하거나 EDR 에이전트를 비활성화하여 침투 진행을 은폐합니다. 이러한 시너지 효과로 암호화 시작 전에 침투 범위를 최대한 넓혀 최대의 혼란을 유발합니다.
3. 데이터 유출 및 이중 갈취: 현대적 공격에서는 암호화 전에 민감한 기록이 다른 서버로 유출됩니다. 사이버 범죄자들은 훔친 정보의 비공개를 대가로 표적에게 몸값을 요구합니다. 이 시너지는 몸값 협상을 격화시킵니다 – 데이터 유출 가능성이 높아지면 백업만으로는 충분하지 않습니다. 이 시너지는 침투와 강요의 개념을 결합하여 표적 조직이 운영적 비용과 평판적 비용을 모두 고려하도록 강요합니다.&
5. 암호화 및 잠금: 악성 코드가 설치되면 악성 루틴은 AES나 RSA 같은 강력한 암호화 알고리즘을 사용해 대상 파일을 암호화하여 접근을 차단합니다. 공격자는 암호화폐로 지불을 요구하는 몸값 요구서를 남기며, 종종 지불 기한을 설정합니다. 범죄자들이 백업이 연결된 것을 감지하면 이 암호화는 백업까지 표적으로 삼을 수 있습니다. 시간이 지남에 따라 공격은 더욱 공격적으로 변하며 코드 검사 시스템이 자체 복구를 시도하는 것을 방해하기 시작합니다.
6. 몸값 협상 및 가능한 복호화: 이 경우 피해자는 몸값을 지불하거나 백업에서 복원하는 것 외에는 선택지가 없습니다. 범죄자들은 일반적으로 몸값을 받은 후 복호화 도구를 공개하지만, 해당 도구의 품질은 의심스러울 수 있습니다. 일부 범죄자는 어쨌든 데이터를 유출하거나 제공된 키가 제대로 작동하지 않아 상황을 악화시키기도 합니다. 오프라인 또는 에어갭 백업과 검증된 복구 계획을 마련해 두면 범죄자에게 돈을 지불하는 상황을 아예 막을 수 있습니다.

랜섬웨어 공격의 단계

랜섬웨어의 유형이나 운영 환경에 따라 침투 방식은 다를 수 있지만, 대부분의 랜섬웨어 공격은 공통적인 단계를 거칩니다. 즉, 공격 초기 단계에서 차단하는 것(예: 첫 번째 악용 시도 차단)이 상황을 악화시키는 것을 막을 수 있습니다. 아래에서는 정찰 단계부터 최종적인 갈취 단계까지의 일반적인 단계를 설명하고, 범죄자들이 체계적으로 암호화 성공에 이르는 과정을 상세히 기술했습니다.

1. 정찰 단계: 공격자는 네트워크를 탐색하고, 데이터 유출 사건에서 비밀번호를 획득하거나, LinkedIn에서 직원 프로필을 조사합니다. 패치되지 않은 서버, 열린 포트, 데이터 접근 권한을 가진 개인 등 취약한 표적을 찾습니다. 이러한 시너지를 통해 재무 데이터베이스나 도메인 컨트롤러 같은 고가치 자산을 발견합니다. 환경을 신중하게 분석함으로써 범죄자들은 조직에 침투할 수 있는 방법과 수단을 고안해낼 수 있습니다.
2. 초기 침해: 이러한 정찰 결과를 바탕으로 범죄자들은 악성코드를 실행하거나 로그인 정보를 확인합니다. 직원으로 위장하거나 소프트웨어의 잘 알려진 취약점을 악용할 수 있습니다. 데스크톱과 같은 첫 번째 진입점이 침해된 후, 공격자는 환경에 대한 더 구체적인 정보를 수집합니다. 이를 통해 더 깊은 침투 또는 측면 이동을 가능하게 합니다.
3. 권한 상승 및 측면 이동: 현재 공격자들은 로컬 취약점이나 단순한 무차별 대입 공격을 이용해 도메인 또는 루트 권한을 획득합니다. 또한 매핑된 드라이브, 네트워크 공유, 클라우드 API를 스캔하여 고가치 정보를 탐색합니다. 보안 로그를 통제하거나 우회함으로써 탐지 프로그램에 의해 침투가 발견되는 것을 방지합니다. 이러한 시너지 효과로 인해 마이크로 세그멘테이션이 구축되지 않은 경우, 한 명의 사용자가 침해되면 전체 세그먼트에 영향을 미칠 수 있습니다.
4. 데이터 유출: 관리자 권한을 이용해 범죄자들은 기업 네트워크 외부 서버로 정보를 은밀히 전송합니다. 이 단계는 몸값이 지불되지 않을 경우 데이터 유출을 위협하는 이중 갈취 전략을 위한 준비입니다. 이는 범죄자들이 잠재적 몸값 규모와 데이터 취약성을 판단하는 데도 도움이 됩니다. 피해자는 몸값 요구서를 받거나 비정상적인 트래픽이 감지되기 전까지 데이터 유출 사실을 인지하지 못하는 경우가 많습니다.
5. 암호화 및 몸값 요구: 마지막으로, 코드는 강력한 키로 중요한 파일을 암호화하고, 파일 복호화 방법과 필요한 금액에 대한 메시지를 기록합니다. 위협 행위자들은 일반적으로 암호화폐로 지불을 요구하며, 짧은 시간 제한을 설정하거나 도난당한 데이터를 공개하겠다고 위협합니다. 백업까지 손실되거나 직원이 준비되지 않은 경우, 이로 인한 영향은 하루 종일 운영을 마비시킵니다. 공격이 탐지되어 차단되거나 감염된 시스템이 신속하게 오프라인 백업되지 않는 한, 이 최종 단계는 침투의 성공을 확정짓습니다.

랜섬웨어 공격 방법

범죄자들은 직원의 다양한 측면이나 행동을 노린 침투 및 갈취 전술과 전략을 사용합니다. 이러한 랜섬웨어 방법을 분석함으로써 조직은 침투의 모든 지점에서 방어 체계를 강화할 수 있습니다. 현대 공격자들이 얼마나 다재다능하고 유연한지 보여주는 다섯 가지 사례를 소개합니다:

1. 악성 스팸 && 스피어 피싱: 이메일은 현재까지 가장 흔한 침투 수단으로, 특히 대량 또는 표적형 공격이 대표적입니다. 이는 악성 첨부 파일을 다운로드하거나 링크를 클릭하는 미숙한 직원을 노립니다. 스피어 피싱은 범죄자들이 소셜 미디어나 이전 해킹을 통해 입수한 정보를 포함한 메시지를 발송하는 방식입니다. 매크로나 익스플로잇 키트가 실행되면 암호화 또는 정보 유출 루틴이 시작됩니다. 대응책으로는 고급 이메일 필터, 직원 인식 교육, 링크 스캔을 통해 침투 성공률을 낮출 수 있습니다.
2. 익스플로잇 키트 & 드라이브-바이 감염: 악성코드는 표적 또는 감염된 웹사이트에 주입되거나 악성 광고를 통해 유입됩니다. 최신 패치로 업데이트되지 않은 브라우저나 플러그인은 직원이 해당 사이트에 접속하는 즉시 침투 경로가 됩니다. 대규모 광고 네트워크조차도 가끔 합법 사이트 포털에 악성 광고를 전달할 수 있습니다. 이러한 침투 경로는 엄격한 패치 관리와 플러그인 사용 제한으로 크게 차단됩니다.
3. 원격 서비스 및 RDP 공격: 해커들은 기본 인증 정보나 발견된 CVE를 악용하기 위해 RDP 엔드포인트나 SSH 연결을 적극적으로 탐색합니다. 공격자가 도메인 관리자 권한이나 루트 수준의 운영체제 접근 권한을 획득하면 시스템 수준에서 암호화 루틴을 설치할 수 있습니다. 다중 인증 구현이나 VPN 또는 제로 트러스트 환경 뒤의 리소스에 대한 원격 접근 제한과 같은 조치를 통해 성공적인 사이버 공격 가능성을 크게 줄일 수 있습니다. 유사한 항목이 반복적으로 기록되는지 로그를 확인하는 것도 무차별 대입 공격을 조기에 식별하는 또 다른 방법입니다.
4. 트로이 목마화된 소프트웨어 및 제3자 침해: 악의적 행위자는 드라이버, 플러그인, 라이브러리 등 정품 소프트웨어 업데이트에 침투하여 랜섬웨어 코드를 통합합니다. 피해자는 공급업체나 미러 사이트에서 다운로드한다고 믿고 업데이트를 실행함으로써 침투 절차를 실행하게 됩니다. 이는 공급망 침해가 어떻게 확대된 결과를 초래하는지 완벽하게 보여줍니다. 코드 서명 검사, 강력한 공급업체 위험 관리 구현 또는 파이프라인 스캔 사용은 이러한 은밀한 침투 경로를 차단합니다.
5. 다른 악성코드를 통한 측면 이동: 때로는 덜 눈에 띄는 트로이 목마나 키로거가 사용자 이름이나 비밀번호를 은밀히 수집하며 침투가 시작됩니다. 공격자는 가치 있는 데이터를 식별한 후 실제 암호화 과정을 진행합니다. 랜섬웨어 암호화 과정은 직원이 이상을 인지하기 전에 시작됩니다. 행동 기반 EDR 솔루션은 비정상적인 전환을 탐지하여 최종 공격 전에 침투를 차단할 수 있습니다.&

랜섬웨어 공격 사례

랜섬웨어의 경우, 범죄자들이 무엇을 할 수 있는지 의심의 여지가 없습니다. 그들은 운영을 차단하거나 해제를 위해 수백만 달러를 요구할 수 있습니다. 따라서 침투 경로 중 하나만 방어되지 않아도 가장 잘 준비된 조직조차도 당황할 수 있다는 점을 유의하는 것이 중요합니다. 다음 섹션에서는 침투의 심각성, 기업의 대응, 결과에 대한 통찰을 제공하기 위해 네 가지 사례를 제시합니다.

1. LoanDepot (2024): 1월, 최대 모기지 대출 기관 중 하나인 LoanDepot은 1월 3일부터 5일까지 발생한 랜섬웨어 공격을 보고했습니다. 이 공격은 데이터 암호화와 민감한 고객 정보 도난을 수반했으며, 1,660만 명의 소비자에게 서비스 중단을 초래했습니다. 알프브이/블랙캣(Alphv/BlackCat)이 이번 공격의 배후임을 자처했으며, 이는 해당 그룹의 주요 침해 사건 이력을 이어가는 사례입니다. 최근 LoanDepot에 대한 공격은 방대한 사용자 데이터를 보유한 금융 기반 기업이 특히 강탈범들에게 매력적인 표적이 됨을 입증하는 사례입니다.
2. 베올리아(Veolia) (2024): 물 및 에너지 재활용 기업인 베올리아 북미(Veolia North America)는 일부 백엔드 시스템이 사용 불가능해지는 랜섬웨어 공격을 당했다고 밝혔습니다. 물 처리 작업은 중단되지 않았으나, 청구 서비스가 영향을 받아 고객들에게 불편을 초래했습니다. 이로 인해 부분적인 데이터 유출이 발생한 후 사용자들에게 알림이 전송되었습니다. 이는 요구된 몸값을 신속하게 지불하도록 강요하는 수단으로 핵심 인프라 공급업체를 표적으로 삼는 사례가 증가하고 있음을 보여줍니다.
3. 어센션(2024): 세인트루이스 기반 의료 시스템 어센션은 5월 랜섬웨어가 전자건강기록(EHR)과 일부 전화 회선에 영향을 미쳤다고 공개했다. 한 달 넘게 환자들은 진료 예약 차질과 약물 처방 혼란을 겪었습니다. 일부 병원에서는 직원들이 사상 최악의 바쁜 한 주를 보내는 가운데 구급차까지 우회 조치했습니다. 이러한 연쇄적 영향은 랜섬웨어 공격이 핵심 의료 서비스를 어떻게 마비시키는지 보여주며, 이는 병원 운영 안정성뿐 아니라 환자 생명까지 위협하는 사태임을 입증합니다.
4. 클리블랜드 시 정부 (2024): 6월, 해커들은 클리블랜드 시를 마비시켰습니다. 청구 시스템과 공식 행정 절차를 마비시킨 공격 이후 시청이 11일간 폐쇄되었습니다. 직원들은 감염된 컴퓨터를 격리하고 백업본에서 데이터를 복구하기 위해 분주히 움직였습니다. 시는 데이터가 도난당했는지 확인하지 못했음에도 몸값을 지불하지 않겠다고 밝혔습니다. 이러한 시너지는 랜섬웨어 공격이 얼마나 치명적일 수 있는지, 모든 시정 서비스를 마비시켜 주민의 일상생활에 영향을 미칠 수 있음을 보여줍니다.

랜섬웨어 공격을 예방하는 방법?

침투 방지는 더 나은 도구뿐만 아니라 잘 훈련된 직원, 안전한 설정, 검증된 백업이 필요합니다. 범죄자들이 항상 전략을 바꾸기 때문에 단일 조치만으로는 충분하지 않습니다. 침투 위험을 획기적으로 줄이고 사고 후 복구를 가속화하는 다섯 가지 기본 조치를 소개합니다:

1. 종합적인 직원 교육: 피싱과 사회공학은 여전히 공격자들이 조직에 침투하는 가장 흔한 방법입니다. 정기적인 교육 세션과 모의 피싱 공격은 직원들이 잠재적 위협에 대한 경각심을 유지하도록 돕습니다. 다른 보안 조치를 활용하여 단순하고 추측하기 쉬운 비밀번호 대신 복잡한 패스프레이즈만 사용하도록 보장하십시오. 이러한 시너지는 무고한 사용자의 클릭이나 재사용된 비밀번호가 전체 네트워크를 위험에 빠뜨릴 위험을 낮춥니다.
2. 다중 요소 인증 의무화: 범죄자가 암호를 추측하거나 획득하더라도, 두 번째 요소 인증(휴대폰으로 전송되는 코드 또는 물리적 보안 토큰 등)은 침입자의 속도를 늦춥니다. MFA는 원격 VPN 또는 RDP 연결을 위한 관리자 또는 도메인 계정에 로그인할 때 적극 권장됩니다. 이러한 시너지 효과로 크리덴셜 스터핑의 성공 확률이 크게 감소합니다. 시간이 지남에 따라 컨텍스트 기반 정책과 결합된 싱글 사인온(SSO)과 같은 다른 정교한 솔루션이 진위성을 강화합니다.
3. 정기적인 패치 적용 및 취약점 스캔: 운영체제(OS), 애플리케이션, 펌웨어 업데이트를 신속히 적용하면 확인된 침투 경로를 즉시 차단합니다. 정기적인 스캔은 새로 공개된 CVE(공통 취약점 및 노출) 또는 제로데이 취약점를 탐지하는 데 도움이 됩니다. 이러한 작업에는 컨테이너나 개발/테스트 서버와 같은 임시 리소스도 포함되어야 합니다. 파이프라인 병합과 스캔을 연계함으로써 개발 및 운영 팀은 프로덕션 배포 전에 개발 과정에서 취약점을 해결할 수 있습니다.
4. 마이크로 세그멘테이션 및 제로 트러스트 아키텍처: 네트워크를 세그먼트로 분할하면 공격자가 서버, 엔드포인트 또는 클라우드 리소스에 침투하더라도 측면 이동을 방지합니다. 제로 트러스트는 각 요청의 신원과 권한을 확인하여 도난당하거나 추측된 자격 증명을 통한 무단 접근을 차단합니다. 소프트웨어 정의 경계(SDP) 또는 매우 제한적인 VLAN 규칙을 구현하면 침투 가능 창을 최소화할 수 있습니다. 따라서 세그멘테이션과 제로 트러스트를 결합하면 침투가 전체 환경으로 확산되지 않도록 보장합니다.
5. 에어 갭 백업 및 재해 훈련: 가장 강력한 보안 조치로도 모든 침투를 막을 수는 없으므로 오프라인 백업이 필수적입니다. 복원 지점을 주기적으로 점검하여 데이터가 최신 상태이며 손상되지 않았는지 확인하십시오. 범죄자가 운영 환경을 암호화할 경우, 오프라인 백업을 활용하여 몸값을 지불하지 않고도 신속하게 복구할 수 있습니다. 이러한 방식으로, 인시던트 런북을 활용함으로써 직원은 실제 침투를 손쉽게 관리할 수 있으며, 결과적으로 혼란 발생을 줄일 수 있습니다.&

랜섬웨어 탐지 및 제거

랜섬웨어 방어가 항상 완벽한 것은 아니며, 제로데이 취약점이나 사회공학적 공격을 통해 침투할 수 있습니다. 악성 코드를 조기에 탐지하면 암호화 과정 중간에 차단하여 전체 환경을 보호할 수 있습니다. 감염 발생 후 위험한 행동을 신속히 인지하고 랜섬웨어 제거를 위한 대응 방안을 마련하는 5단계는 다음과 같습니다:

1. 행동 기반 엔드포인트 보호: 시그니처 기반 안티바이러스는 코드가 빠르고 빈번하게 변화함에 따라 진화 속도가 느린 경우가 많습니다. 반면 고급 EDR 솔루션은 한 번에 다수의 파일을 암호화하는 새로운 프로세스 실행과 같은 런타임 행동을 관찰합니다. 이동체 이상 현상이 알려진 침투 패턴과 연관될 경우, 격리 또는 격리 조치로 처리됩니다. 이러한 시너지를 통해 파일리스 형태나 완전히 새로운 형태의 악성 프로그램도 실시간으로 탐지됩니다.
2. 네트워크 이상 모니터링: 정상 근무 시간 외 데이터 전송이나 갑작스러운 대역폭 사용량 증가는 정보 유출 또는 대량 암호화를 시사합니다. SIEM 또는 NDR 도구는 이러한 패턴을 탐지하여 담당자에게 추가 조사를 요청할 수 있습니다. 트래픽 분포와 동서 방향 연결을 분석하면 침투의 초기 단계인 피벗(pivot)을 발견할 수 있습니다. 이는 공격자가 발판을 마련해 모든 파일을 암호화하거나 훔친 파일을 전송하는 것을 방지합니다.
3. 랜섬웨어 스캐너 도구: 일부 랜섬웨어 방지 소프트웨어는 일반적으로 잠기는 특정 암호화 알고리즘, 이름 변경 작업 또는 파일 확장자를 적극적으로 검색하도록 설계되었습니다. 또한 랜섬웨어의 부분적 쓰기 작업이나 볼륨 섀도 복사본 변경 사항을 검사할 수도 있습니다. 활성화되면 문제를 일으킨 프로세스를 종료하거나 저널링을 사용하여 변경된 파일을 복원합니다. 표준 안티바이러스 외에도 이러한 특정 스캐너는 침투 시간을 크게 단축시킵니다.
4. 자동 격리 및 복구: 자동화 프레임워크가 트리거되면 감염된 호스트를 종료하고 네트워크 접근을 차단하여 측면 이동을 막을 수 있습니다. 일부 정교한 솔루션은 시스템 상태를 캡처하고 감염 전 상태로 복원할 수 있는 '롤백' 기능을 제공합니다. 격리 기능을 탐지 단계와 연계하면 범죄자의 측면 이동이나 데이터 유출을 방지할 수 있습니다. 이는 사건 대응 시간을 단축하여 전체적인 피해를 최소화합니다.
5. 랜섬웨어 제거 및 포렌식 정리: 격리 후에도 항상 일부 코드가 남게 되며, 이를 무력화하고 시스템 파일을 점검하며 모든 가능한 유발 요인을 제거해야 합니다. 여기에는 악성 링크가 있는지 시작 프로그램, 예약된 프로그램 또는 레지스트리를 스캔하는 작업이 포함될 수 있습니다. 부분 암호화의 경우 백업 복사본에서 파일을 복구하거나 복호화 도구를 사용하여 복구할 수 있습니다. 사건 후 심층적인 랜섬웨어 분석은 향후 탐지 규칙을 개선하고 침투 경로를 패치하는 데 도움이 됩니다.
복사본에서 복구하거나 복호화 도구를 사용하여 복호화할 수 있습니다. 사건 후 심층적인 랜섬웨어 분석은 향후 탐지 규칙을 개선하고 침투 경로를 보완하는 데 도움이 됩니다.

SentinelOne으로 랜섬웨어 공격 방지하기

SentinelOne의 자율적 AI 위협 탐지 기술은 조직이 악성코드, 랜섬웨어, 피싱 및 모든 형태의 사이버 위협에 대응하는 데 도움을 줍니다. 검증된 익스플로잇 경로를 갖춘 공격적 보안 엔진(Offensive Security Engine)은 이상 징후를 감지하고 새로운 공격 경로를 발견하여 잠재적 악용 전에 이를 차단합니다.&

SentinelOne의 고급 엔드포인트 보호 가상 머신(VM), 워크로드, 클라우드, 컨테이너, 사용자 및 신원을 보호합니다. 퍼플 AI는 생성형 AI 사이버 보안 분석가로, 공격자와 보안 파이프라인에 대한 독보적인 통찰력을 제공합니다. 최고의 CI/CD 파이프라인 보안과 적절한 보안 범위를 확보할 수 있습니다. SentinelOne은 750가지 이상의 다양한 유형의 비밀 정보를 탐지하고 클라우드 자격 증명 유출을 방지할 수 있습니다.

비활성 또는 휴면 계정을 식별하고 악성 프로세스가 계정을 탈취하거나 장악하거나 권한을 상승시키기 전에 스캔할 수 있습니다. SentinelOne은 백그라운드에서 능동적 및 수동적 스캔을 실행하고 연중무휴로 운영되며, 문제가 발생할 때마다 자동으로 경보를 보내고 오탐을 제거합니다.

또한 Snyk 통합 기능을 갖추고 있으며, 포괄적인 보호를 제공할 수 있는 에이전트 없는 전체적인 CNAPP를 제공합니다. SentinelOne 솔루션을 사용하면 SOC 2, NIST, HIPAA, CIS 벤치마크 등 규제 프레임워크에 대한 지속적인 준수도 보장됩니다. 조직은 플랫폼의 기능을 통해 Active Directory 및 Entra ID 공격에도 대응할 수 있습니다.

AI 기반 사이버 보안

실시간 감지, 머신 속도 대응, 전체 디지털 환경에 대한 종합적인 가시성을 통해 보안 태세를 강화하세요.

데모 신청하기

결론

랜섬웨어는 데이터, 비즈니스 프로세스, 고객 신뢰를 위협하므로 현대 기업에게 여전히 가장 위험한 위협 중 하나입니다. 피싱, 익스플로잇 키트, 측면 이동과 같은 침투 방법의 경우 개별 수준에서 접근 방식을 분석하고 다중 보호 계층을 구축하는 것이 훨씬 효과적입니다. 그러나 침투 차단만으로는 해결책의 일부에 불과합니다. 공격 중 악성 활동을 식별하고 견고한 백업 시스템을 갖추는 것이 나머지 두 축을 이룹니다. 단기 클라우드 환경이든 수년간 사용된 온프레미스 서버든, 스캐닝, 직원 교육, 마이크로 세그멘테이션 구현은 침투 경로를 크게 줄여줍니다.

이중 갈취나 진화된 웜 기능 통합 같은 새로운 침투 전략에 범죄자들이 적응할 때 단일 솔루션만으로는 충분하지 않습니다. 그러나 명확히 정의된 정책, 검증된 백업, 적응형 EDR 솔루션를 기반으로 한 지속적인 개선은 침투 위협을 통제하에 유지합니다. 전용 랜섬웨어 스캐너나 SentinelOne과 같은 AI 기반 엔드포인트 보호 플랫폼과 결합하면 실시간 탐지 및 자동 복구 기능을 환경에 적용할 수 있습니다.

"

FAQs