Microsoft Azure를 통한 랜섬웨어 공격 대비
날이 갈수록 지능화되어가는 랜섬웨어의 공격에 대한 기업의 대비가 중요해지고 있습니다. 랜섬웨어(Ransomware), 한 마디로 몸값(Ransom)을 요구하는 이 범죄는 중요한 데이터나 시스템, 애플리케이션의 파일과 폴더를 암호화하여 접근하지 못 하도록 하는 강탈 공격의 유형입니다. 공격자는 기업이나 공공기관에 랜섬웨어를 사용하고 암호 해독 키를 교환하겠다는 빌미로, 혹은 중요한 데이터를 다크웹이나 공용 인터넷에 공개하지 않겠다는 약속을 빌미로 돈을 갈취합니다.
시장조사 기관 ESG(The Enterprise Strategy Group)에서 델 테크놀로지스와 발간한 ‘철저한 대비가 필요한 랜섬웨어 방어(The Long Road Ahead to Ransomware Preparedness)’ 보고서에 따르면, 지난 1년간 랜섬웨어 공격을 경험한 조직(기업 및 공공기관)은 79%에 달했습니다. 또한 이들 중 56%는 랜섬(몸값)을 지불하였으나 대부분에 달하는 86%가 데이터 전체를 복구하지는 못한 것으로 나타났습니다.
2021년 9월 진행된 Microsoft의 조사에 따르면 최근 랜섬웨어 공격의 주요 타겟이 되는 부문은 의료, 금융, 에너지, 미디어 등입니다. 코로나 팬데믹 기간동안은 병원이나 의료 관련 기업은 공격하지 않겠다는 계속된 약속에도 불구하고 여전히 의료 부문은 인간이 운영하는 랜섬웨어 공격 중 제 1 타겟이 되고 있으며, 중요한 데이터가 밀집해 있다면 가리지 않고 공격하여 기업과 고객, 사회 전반에 악영향을 끼치는 랜섬웨어 위협에 대한 대비가 필수적인 상황입니다.
랜섬웨어의 공격으로 조직은 데이터 액세스 손실, 데이터 유출, 백업 손상, 비즈니스 운영 중단, 재정 손실, 지적 재산권 도난, 고객 신뢰 및 평판 손상, 법적 비용 등의 영향을 받을 수 있습니다.
How can you protect yourself?
조직을 보호하기 위해서는 어떻게 해야 할까요?
랜섬웨어 공격 피해를 방지할 최고의 방법은 공격자가 시스템 침입을 위해 시도하는 모든 단계에서 조직을 보호하기 위한 철저한 준비를 갖추는 것입니다. 클라우드 서비스로 이전하는 것도 하나의 효과적인 방법입니다. Microsoft의 경우 랜섬웨어 공격에 대한 대책으로 Microsoft Azure의 복원력을 높이고 랜섬웨어 공격 기술을 무력화할 수 있는 네이티브 보안 기술에 투자하고 있습니다.
랜섬웨어로부터 주요 데이터를 보호하기 위한 가장 중요한 단계는 백업과 복원입니다. 조직은 언제든지 랜섬웨어로부터 공격당할 수 있다는 것을 가정하고 비즈니스에 중요한 데이터에 대하여 안정적인 백업과 복원 계획을 수립해야 합니다. 랜섬웨어 공격자는 백업 어플리케이션이나 운영 체제 기능을 중립화하기 위해 집중적으로 리소스를 투자하고 공략하기 때문에 우리는 악의적인 공격자가 액세스할 수 없는 백업을 가지고 있어야 합니다.
안정적인 백업과 사전 준비
Microsoft에서 제공하고 있는 Azure Backup 서비스는 데이터를 전송 중이거나 휴지 상태일 때 백업 환경에 대한 보안을 제공하며, 아래의 요소들을 백업할 수 있습니다. 백업된 데이터는 Azure Storage에 저장되며 공격자는 백업 스토리지나 해당 콘텐츠에 직접 액세스할 수 없습니다.
- 온프레미스 파일, 폴더, 시스템 상태
- 전체 Windows/Linux VM
- Azure Managed Disks
- 스토리지 계정에 대한 Azure 파일 공유
- Azure VM에서 실행되는 SQL Server 데이터베이스
Azure Backup은 기본 제공 모니터링과 경고 기능을 제공하며, Azure Backup 내 모니터링 및 보고 도구를 사용하면 무단 활동, 혹은 의심스럽거나 악의적인 활동을 발생하는 즉시 사용자에게 경고할 수 있습니다.
우선순위 결정하기
랜섬웨어의 공격은 공격을 대비하는 동안에도 발생할 수 있습니다. 때문에 조직에서는 비즈니스에 가장 중요한 데이터와 시스템이 무엇인지를 확인하고 해당 시스템에서 정기적인 백업을 진행하는 것이 가장 중요합니다. 비즈니스에 가장 핵심적인 애플리케이션은 아래의 5가지 항목일 확률이 높습니다.
- ID 시스템 – 사용자가 Active Directory, Azure AD Connect, AD 도메인 컨트롤러와 같은 시스템에 액세스하는 데 필요함
- 사람의 생명 – 의료 또는 생명 지원 시스템, 안전 시스템(장비, 발송 시스템, 신호등 제어), 대형 기계, 화학/화학 시스템, 음식 또는 개인 제품 생산 등 위험에 노출될 수 있는 시스템
- 재무 시스템 – 통화 거래를 처리하고 결제 시스템 및 관련 데이터베이스와 같은 비즈니스 운영을 유지하는 시스템, 분기별 보고를 위한 재무 시스템
- 제품 또는 서비스 사용 – 비즈니스 서비스를 제공하거나 고객이 지불하는 물리적 제품을 생산 혹은 제공하는 데 필요한 모든 시스템, 공장 제어 시스템, 제품 배달/발송 시스템 등
- 보안(최소) – 공격을 모니터링하고 최소 보안 서비스를 제공하는 데 필요한 보안 시스템.
위 요소들에 대해서는 백업의 우선순위를 높게 측정해야 합니다. 특히 보안에 대해서는 현재 공격으로부터 복원된 시스템에 대한 액세스 권한을 공격자가 즉시 얻거나 다시 얻을 수 없도록 하는 데 중점을 둬야 합니다. 우선 순위 백업 목록도 우선 순위 복원 목록이 됩니다. 중요한 시스템을 식별하고 정기적인 백업을 수행하고 나면, 노출 수준을 줄이는 단계를 수행합니다.
이후에는 공격 전에 모범 사례(자세히 확인하기)를 적용하고, 이후 모의 훈련을 통해 보안의 결점을 발견하며 보완해나가는 과정이 필요합니다. 핵심 비즈니스 데이터와 서비스를 빠르게 복구하기 위한 철저한 복구 계획과 세팅, 지속적인 점검을 거쳐 기업의 회복 탄력성을 높일 수 있습니다.
클루커스는 DevSecOps그룹을 보유하였으며 수많은 글로벌 기술 인증을 통해 증명된 클라우드 전문가 그룹입니다. 클라우드 보안에 대해 궁금하신 점이나 도입을 위한 문의가 있다면 편하게 문의 주세요.
