2021.07.13

재해 복구 실행 이전에 해야 할 랜섬웨어 복구 프로세스

W. Curtis Preston | Network World
컴퓨팅 환경이 대규모 랜섬웨어 공격을 당할 위험이 있다면, 대부분 재해복구 계획을 세울 것이다. 하지만 시스템을 복구하기 전에 감염을 중단시키고 공격을 파악한 다음, 제거하는 작업부터 해야 한다. 복구 단계를 너무 성급하게 실행하면, 사태를 더 악화시킬 수도 있다. 성급한 복구가 문제가 되는 이유는 랜섬웨어가 어떻게 작동하는지를 이해하면 알 수 있다.
 
ⓒ Getty Images Bank
 

랜섬웨어가 확산하는 방법

랜섬웨어가 무슨 짓을 하는지를 설명하는 글은 많지만, 랜섬웨어의 목표가 단지 시스템 한 대를 감염시키는 것이 아니라는 사실을 강조하는 것이 중요하다. 현대화된 랜섬웨어 변종은 다양한 운영체제의 취약점을 찾아내 관리자 액세스를 확보하고 LAN의 나머지 영역으로 확산한다. 공격은 C&C 서버를 통해 조정되는데, 명령을 받기 위해 이들 서버와 접촉하는 것이 모든 랜섬웨어 변종이 제일 먼저 하는 일이다. 랜섬웨어 대응의 핵심은 이들 C&C 서버와의 추가 커뮤니케이션을 차단하는 것은 물론, 감염된 시스템과 LAN의 나머지 시스템 간의 커뮤니케이션도 차단하는 것이다.

지금 감염된 상태가 아니라면, 이제는 네트워크 환경에 맞춰 대응 계획을 세우고, 이를 재해복구 계획처럼 테스트해야 한다. 
 

도움을 얻을 수 있는 곳

대규모 랜섬웨어 공격은 혼자서 막을 수 있는 것이 아니다. 지옥문이 열렸다고 느껴질 때, 이를 중단하고 복구하는 데 도움을 줄 곳은 많으며, 기업도 관련 기관이 범인을 체포하는 데 도움이 될 수 있는 조처를 취해야 한다. 랜섬웨어 대응 계획의 일부로 이런 곳의 연락 정보가 포함되어야 한다.

사이버 보험 정책이 있다면 매우 유용한데, 대응 과정에서 지침을 줄 수 있는 전문가와 연락할 수 있기 때문이다. 공격을 받기 전에 이들과 연락해 대응 프로세스와 문서를 구축하기 바란다. 이런 정책이 없다면, 새로 마련하는 것도 고려해야 한다.

지역 사법기관에도 즉각 연락해야 한다. 공격의 범위와 특성에 따라 이들 사법기관이 개입하는 정도는 다르지만, 모든 공격을 알려주는 것이 관련 기관의 전반적인 랜섬웨어 대응에 도움이 된다. 이들은 또한 일반 기업이나 기관은 접근할 수 없는 툴과 자원을 이용할 수 있는데, 특히 해외에서 시작된 공격일 때 큰 도움이 된다.

지원을 요청할 때는 데이터의 암호화를 풀 수 있다는 업체를 조심하라. 이들이 하는 것은 인질 비용을 지불하고 거기에 자신의 요금을 더하는 것밖에 없다. 지금 시간을 가지고 랜섬웨어 대응 기간에 이용할지도 모를 업체를 선별해두기 바란다.
 

추가 감염 방지

랜섬웨어가 확산하는 방식에 대해 모든 것을 학습하고, 랜섬웨어가 사용하는 메커니즘을 차단해야 한다. 이때 취할 수 있는 몇몇 단계는 다소 극단적으로 보일지도 모르지만, 어느 쪽이 더 나쁜지를 결정해야 한다. 예기치 못한 약간의 시스템 중단, 아니면 예기치 못한 장기간의 시스템 중단이 발생할 위험성 중에 골라야 한다.

모든 컴퓨터의 커뮤니케이션을 즉각 차단해야 한다. 그렇게 하기 어렵다면, 최소한 LAN과 외부와의 커뮤니케이션이라도 차단해야 한다. 감염된 컴퓨터가 외부 C&C 서버로부터 추가 지령을 받는 것은 막을 수 있다. 

RDP(Remote Desktop protocol)는 랜섬웨어가 사용자 환경 내로 스스로 확산하는 첫 번째 길이므로 반드시 꺼야 한다. 가장 쉬운 방법은 레지스트리 키를 변경하는 것인데, 가능한 한 신속하게 처리하는 것이 좋으므로 파워셸을 통해 자동화해야 한다.

관리자 패스워드를 변경하고, 현재의 관리자 세션도 모두 종료한다. 어떤 컴퓨터가 감염되었다면, 이 방법으로 추가 피해를 막을 수 있다. 이 역시 파워셸을 통해 수행하는 것이 가장 좋다.
자동화해 두지 않으면, 이 모든 단계를 수행하는 데 시간이 걸릴 수도 있다. 따라서 실제로 필요한 상황이 닥치기 전에 개발해서 테스트해 두어야 한다.

이상의 대응 조치가 완료되면, 가장 안전한 방식은 어떤 컴퓨터가 감염되었고 어떤 컴퓨터가 깨끗한지 확인할 때까지 모든 컴퓨터를 꺼두는 것이다. 극단적인 조처처럼 보이지만, 랜섬웨어의 추가 확산과 피해를 확실히 막을 수 있는 방법이다. 또한 다음 조처에 대해 논리적으로 생각할 수 있는 시간을 벌어줄 것이다. 
 

랜섬웨어의 정체 파악

어떤 랜섬웨어 변종에 감염되었는지 확인하는 가장 좋은 툴은 ID 랜섬웨어(ID Ransomware) 프로젝트이다. 암호화되어 버린 파일과 돈을 요구하는 메시지 샘플만으로 정체를 파악할 수 있다.

악성코드 검사 툴을 감염된 것으로 파악된 컴퓨터에 설치하고 스캔한다. 이 툴이 랜섬웨어를 찾아내 차단한다는 가정하에 LAN 내의 다른 모든 컴퓨터에도 동일한 작업을 수행한다. 이 수작업 과정은 가능하면 많은 사람이 한꺼번에 수행하는 것이 좋은데, 그래서 랜섬웨어 복구 계획의 일환으로 작업에 참여할 수 있는 인력에 대한 교육 방법도 포함되어야 한다.

랜섬웨어의 종류에 따라 감염된 컴퓨터를 검사하지 못할 수도 있는데, 로그인이나 시스템 부팅에 필요한 파일까지 암호화된 경우이다. 이런 컴퓨터는 완전히 지운 후 복구해야만 한다.

자체적으로 복구하는 방법은 없을까? 특정한 방식으로 여러 가지 작업을 수행해야 하는데, 다른 영역의 이야기이므로 다음 기회에 알아보겠다. 지금은 데이터 복구를 실행하기 전에 수행해야 하는 사항을 포함한 복구 계획부터 세워 두기 바란다. editor@itworld.co.kr


2021.07.13

재해 복구 실행 이전에 해야 할 랜섬웨어 복구 프로세스

W. Curtis Preston | Network World
컴퓨팅 환경이 대규모 랜섬웨어 공격을 당할 위험이 있다면, 대부분 재해복구 계획을 세울 것이다. 하지만 시스템을 복구하기 전에 감염을 중단시키고 공격을 파악한 다음, 제거하는 작업부터 해야 한다. 복구 단계를 너무 성급하게 실행하면, 사태를 더 악화시킬 수도 있다. 성급한 복구가 문제가 되는 이유는 랜섬웨어가 어떻게 작동하는지를 이해하면 알 수 있다.
 
ⓒ Getty Images Bank
 

랜섬웨어가 확산하는 방법

랜섬웨어가 무슨 짓을 하는지를 설명하는 글은 많지만, 랜섬웨어의 목표가 단지 시스템 한 대를 감염시키는 것이 아니라는 사실을 강조하는 것이 중요하다. 현대화된 랜섬웨어 변종은 다양한 운영체제의 취약점을 찾아내 관리자 액세스를 확보하고 LAN의 나머지 영역으로 확산한다. 공격은 C&C 서버를 통해 조정되는데, 명령을 받기 위해 이들 서버와 접촉하는 것이 모든 랜섬웨어 변종이 제일 먼저 하는 일이다. 랜섬웨어 대응의 핵심은 이들 C&C 서버와의 추가 커뮤니케이션을 차단하는 것은 물론, 감염된 시스템과 LAN의 나머지 시스템 간의 커뮤니케이션도 차단하는 것이다.

지금 감염된 상태가 아니라면, 이제는 네트워크 환경에 맞춰 대응 계획을 세우고, 이를 재해복구 계획처럼 테스트해야 한다. 
 

도움을 얻을 수 있는 곳

대규모 랜섬웨어 공격은 혼자서 막을 수 있는 것이 아니다. 지옥문이 열렸다고 느껴질 때, 이를 중단하고 복구하는 데 도움을 줄 곳은 많으며, 기업도 관련 기관이 범인을 체포하는 데 도움이 될 수 있는 조처를 취해야 한다. 랜섬웨어 대응 계획의 일부로 이런 곳의 연락 정보가 포함되어야 한다.

사이버 보험 정책이 있다면 매우 유용한데, 대응 과정에서 지침을 줄 수 있는 전문가와 연락할 수 있기 때문이다. 공격을 받기 전에 이들과 연락해 대응 프로세스와 문서를 구축하기 바란다. 이런 정책이 없다면, 새로 마련하는 것도 고려해야 한다.

지역 사법기관에도 즉각 연락해야 한다. 공격의 범위와 특성에 따라 이들 사법기관이 개입하는 정도는 다르지만, 모든 공격을 알려주는 것이 관련 기관의 전반적인 랜섬웨어 대응에 도움이 된다. 이들은 또한 일반 기업이나 기관은 접근할 수 없는 툴과 자원을 이용할 수 있는데, 특히 해외에서 시작된 공격일 때 큰 도움이 된다.

지원을 요청할 때는 데이터의 암호화를 풀 수 있다는 업체를 조심하라. 이들이 하는 것은 인질 비용을 지불하고 거기에 자신의 요금을 더하는 것밖에 없다. 지금 시간을 가지고 랜섬웨어 대응 기간에 이용할지도 모를 업체를 선별해두기 바란다.
 

추가 감염 방지

랜섬웨어가 확산하는 방식에 대해 모든 것을 학습하고, 랜섬웨어가 사용하는 메커니즘을 차단해야 한다. 이때 취할 수 있는 몇몇 단계는 다소 극단적으로 보일지도 모르지만, 어느 쪽이 더 나쁜지를 결정해야 한다. 예기치 못한 약간의 시스템 중단, 아니면 예기치 못한 장기간의 시스템 중단이 발생할 위험성 중에 골라야 한다.

모든 컴퓨터의 커뮤니케이션을 즉각 차단해야 한다. 그렇게 하기 어렵다면, 최소한 LAN과 외부와의 커뮤니케이션이라도 차단해야 한다. 감염된 컴퓨터가 외부 C&C 서버로부터 추가 지령을 받는 것은 막을 수 있다. 

RDP(Remote Desktop protocol)는 랜섬웨어가 사용자 환경 내로 스스로 확산하는 첫 번째 길이므로 반드시 꺼야 한다. 가장 쉬운 방법은 레지스트리 키를 변경하는 것인데, 가능한 한 신속하게 처리하는 것이 좋으므로 파워셸을 통해 자동화해야 한다.

관리자 패스워드를 변경하고, 현재의 관리자 세션도 모두 종료한다. 어떤 컴퓨터가 감염되었다면, 이 방법으로 추가 피해를 막을 수 있다. 이 역시 파워셸을 통해 수행하는 것이 가장 좋다.
자동화해 두지 않으면, 이 모든 단계를 수행하는 데 시간이 걸릴 수도 있다. 따라서 실제로 필요한 상황이 닥치기 전에 개발해서 테스트해 두어야 한다.

이상의 대응 조치가 완료되면, 가장 안전한 방식은 어떤 컴퓨터가 감염되었고 어떤 컴퓨터가 깨끗한지 확인할 때까지 모든 컴퓨터를 꺼두는 것이다. 극단적인 조처처럼 보이지만, 랜섬웨어의 추가 확산과 피해를 확실히 막을 수 있는 방법이다. 또한 다음 조처에 대해 논리적으로 생각할 수 있는 시간을 벌어줄 것이다. 
 

랜섬웨어의 정체 파악

어떤 랜섬웨어 변종에 감염되었는지 확인하는 가장 좋은 툴은 ID 랜섬웨어(ID Ransomware) 프로젝트이다. 암호화되어 버린 파일과 돈을 요구하는 메시지 샘플만으로 정체를 파악할 수 있다.

악성코드 검사 툴을 감염된 것으로 파악된 컴퓨터에 설치하고 스캔한다. 이 툴이 랜섬웨어를 찾아내 차단한다는 가정하에 LAN 내의 다른 모든 컴퓨터에도 동일한 작업을 수행한다. 이 수작업 과정은 가능하면 많은 사람이 한꺼번에 수행하는 것이 좋은데, 그래서 랜섬웨어 복구 계획의 일환으로 작업에 참여할 수 있는 인력에 대한 교육 방법도 포함되어야 한다.

랜섬웨어의 종류에 따라 감염된 컴퓨터를 검사하지 못할 수도 있는데, 로그인이나 시스템 부팅에 필요한 파일까지 암호화된 경우이다. 이런 컴퓨터는 완전히 지운 후 복구해야만 한다.

자체적으로 복구하는 방법은 없을까? 특정한 방식으로 여러 가지 작업을 수행해야 하는데, 다른 영역의 이야기이므로 다음 기회에 알아보겠다. 지금은 데이터 복구를 실행하기 전에 수행해야 하는 사항을 포함한 복구 계획부터 세워 두기 바란다. editor@itworld.co.kr


X