2021.07.12

IDG 블로그 | 클라우드는 랜섬웨어 안전지대 아니다

David Linthicum | InfoWorld
날로 증가하는 랜섬웨어 공격은 클라우드 배치까지 위협할 수 있다. 탐재-대응-복구 접근법으로 시스템을 보호해야 한다.

랜섬웨어는 날마다 사고 뉴스를 만들어내고 있으며, 향후 몇 년 간은 이런 뉴스가 끊이지 않을 것으로 보인다. 공격자는 대부분 태만하거나 전문 지식이 없는 곳을 노리는데, 조만간 클라우드까지 넘볼 가능성이 크다.
 
ⓒ Getty Images Bank

퍼블릭 클라우드에 대한 공격이 많지 않은 것은 온프레미스의 시스템보다 더 잘 유지보수하고 업데이트하며, 더 나은 보안 시스템을 사용하기 때문이다. 하지만 대부분 보안 전문가들이 지적하는 것처럼 100% 안전한 것은 없으며, 클라우드 보안은 완전히 최적화되려면 여전히 몇 가지 진화해야 할 것이 있다.

하지만 클라우드 보안이 완벽해지기를 기다리고 있을 수는 없다. 현재 클라우드에 주어진 임무는 클라우드 기반 시스템에 대한 랜섬웨어를 비롯한 여러 공격을 방지할 베스트 프랙티스를 찾는 것이다. 결론은 탐지-대응-복구 접근법이다.

탐지. 보안 모니터링은 랜섬웨어에 대한 최고의 방어 수단이다. 여기에는 공격 시도를 탐지하는 것은 물론, 피싱 이메일처럼 랜섬웨어 공격이 클라우드 기반 시스템에 침투할 수 있는 여러 경로를 모니터링하는 것도 포함된다.

탐지는 선제적이어야 한다. 클라우드 서비스 업체의 네이티브 클라우드 시스템을 이용해 방어막을 구축하는 것은 물론, 모든 시스템을 적극적으로 감시해야 한다. 실패한 로그인 시도, CPU와 I/O 잠식, 심지어 권한 있는 사용자의 의심스러운 행위까지 감시해야 한다. 일단 위협을 탐지하면 대응해야 한다.

대응. 대응은 반드시 자동화해야 한다. 보안 책임자에게 문자와 이메일을 보낸다면, 너무 늦다. 자동화된 시스템은 의심스러운 특정 IP 주소를 차단하고 의심스럽게 동작하는 프로세스를 자동으로 죽일 수 있다. 이외에도 모니터링한 활동을 기반으로 계정의 패스워드 변경을 강제해 클라우드 계정 탈취를 막을 수도 있다. 공격이 성공한 경우에는 백업을 개시해 좀 더 신속하게 복구 단계를 이행할 준비를 할 수도 있다.

대응에는 인적 요소가 있는데, 잘 훈련된 대응팀을 가동해 사전 준비된 일련의 프로세스를 따르는 것도 포함된다. 또한, 클라우드 기반 시스템과 상호 작용을 하는 다른 사람, 즉 고객이나 공급업체와도 커뮤니케이션을 해 이들의 위험과 조치 과정에 관해 알려줘야 한다.

복구. 랜섬웨어는 이전 상태를 복구할 방법이 없다는 점에서 매우 위험하다. 희생자가 돈을 내는 것도 이 때문이다. 

이전 상태, 즉 비즈니스를 지원하는 데 필요한 모든 데이터와 프로세스를 복구할 수 있는 몇 가지 방안을 마련해야 한다. 어떤 기업은 한두 시간 정도의 데이터를 잃어도 큰 문제가 없다. 어떤 기업은 아무런 데이터 손실이 없도록, 심지어 최종 사용자가 백업 데이터로의 교체가 발생했는지도 모르도록 액티브/액티브 방식의 복구가 필요하다. 

다시 한번, 자동화된 백업 및 복구 시스템이 최상의 방책이다. 자동화된 대응 프로세스의 일부여야 하며, 별도의 보안 영역에 두어 주 시스템과 같이 손상되지 않도록 해야 한다. 

물론 말하기는 쉽다. 하지만 점점 더 많은 기업이 클라우드를 도입하면서 랜섬웨어 공격도 이를 따를 것이다. 보안 시스템과 프로세스를 구축하느라 마이그레이션이 지체될 수도 있고, 비용도 더 많이 들 수 있다. 하지만 퍼블릭 클라우드를 사용하는 것은 보안 게임을 한 단계 더 높이는 것을 의미한다. 희생자가 되고 싶은 사람은 없다. editor@itworld.co.kr


2021.07.12

IDG 블로그 | 클라우드는 랜섬웨어 안전지대 아니다

David Linthicum | InfoWorld
날로 증가하는 랜섬웨어 공격은 클라우드 배치까지 위협할 수 있다. 탐재-대응-복구 접근법으로 시스템을 보호해야 한다.

랜섬웨어는 날마다 사고 뉴스를 만들어내고 있으며, 향후 몇 년 간은 이런 뉴스가 끊이지 않을 것으로 보인다. 공격자는 대부분 태만하거나 전문 지식이 없는 곳을 노리는데, 조만간 클라우드까지 넘볼 가능성이 크다.
 
ⓒ Getty Images Bank

퍼블릭 클라우드에 대한 공격이 많지 않은 것은 온프레미스의 시스템보다 더 잘 유지보수하고 업데이트하며, 더 나은 보안 시스템을 사용하기 때문이다. 하지만 대부분 보안 전문가들이 지적하는 것처럼 100% 안전한 것은 없으며, 클라우드 보안은 완전히 최적화되려면 여전히 몇 가지 진화해야 할 것이 있다.

하지만 클라우드 보안이 완벽해지기를 기다리고 있을 수는 없다. 현재 클라우드에 주어진 임무는 클라우드 기반 시스템에 대한 랜섬웨어를 비롯한 여러 공격을 방지할 베스트 프랙티스를 찾는 것이다. 결론은 탐지-대응-복구 접근법이다.

탐지. 보안 모니터링은 랜섬웨어에 대한 최고의 방어 수단이다. 여기에는 공격 시도를 탐지하는 것은 물론, 피싱 이메일처럼 랜섬웨어 공격이 클라우드 기반 시스템에 침투할 수 있는 여러 경로를 모니터링하는 것도 포함된다.

탐지는 선제적이어야 한다. 클라우드 서비스 업체의 네이티브 클라우드 시스템을 이용해 방어막을 구축하는 것은 물론, 모든 시스템을 적극적으로 감시해야 한다. 실패한 로그인 시도, CPU와 I/O 잠식, 심지어 권한 있는 사용자의 의심스러운 행위까지 감시해야 한다. 일단 위협을 탐지하면 대응해야 한다.

대응. 대응은 반드시 자동화해야 한다. 보안 책임자에게 문자와 이메일을 보낸다면, 너무 늦다. 자동화된 시스템은 의심스러운 특정 IP 주소를 차단하고 의심스럽게 동작하는 프로세스를 자동으로 죽일 수 있다. 이외에도 모니터링한 활동을 기반으로 계정의 패스워드 변경을 강제해 클라우드 계정 탈취를 막을 수도 있다. 공격이 성공한 경우에는 백업을 개시해 좀 더 신속하게 복구 단계를 이행할 준비를 할 수도 있다.

대응에는 인적 요소가 있는데, 잘 훈련된 대응팀을 가동해 사전 준비된 일련의 프로세스를 따르는 것도 포함된다. 또한, 클라우드 기반 시스템과 상호 작용을 하는 다른 사람, 즉 고객이나 공급업체와도 커뮤니케이션을 해 이들의 위험과 조치 과정에 관해 알려줘야 한다.

복구. 랜섬웨어는 이전 상태를 복구할 방법이 없다는 점에서 매우 위험하다. 희생자가 돈을 내는 것도 이 때문이다. 

이전 상태, 즉 비즈니스를 지원하는 데 필요한 모든 데이터와 프로세스를 복구할 수 있는 몇 가지 방안을 마련해야 한다. 어떤 기업은 한두 시간 정도의 데이터를 잃어도 큰 문제가 없다. 어떤 기업은 아무런 데이터 손실이 없도록, 심지어 최종 사용자가 백업 데이터로의 교체가 발생했는지도 모르도록 액티브/액티브 방식의 복구가 필요하다. 

다시 한번, 자동화된 백업 및 복구 시스템이 최상의 방책이다. 자동화된 대응 프로세스의 일부여야 하며, 별도의 보안 영역에 두어 주 시스템과 같이 손상되지 않도록 해야 한다. 

물론 말하기는 쉽다. 하지만 점점 더 많은 기업이 클라우드를 도입하면서 랜섬웨어 공격도 이를 따를 것이다. 보안 시스템과 프로세스를 구축하느라 마이그레이션이 지체될 수도 있고, 비용도 더 많이 들 수 있다. 하지만 퍼블릭 클라우드를 사용하는 것은 보안 게임을 한 단계 더 높이는 것을 의미한다. 희생자가 되고 싶은 사람은 없다. editor@itworld.co.kr


X