IT 관리 / 보안

글로벌 칼럼 | 사이버 보험 청약서로 알아보는 랜섬웨어 기본 대처법

Susan Bradley | CSO 2022.05.13
필자는 매년 이맘때쯤 사이버 보험 청약서를 작성한다. 청약서의 질문 사항을 작성하며 보험사들이 비즈니스의 위험과 위협을 평가하는 데 사용하는 기준과 베스트 프렉티스로 강조하는 것이 무엇인지 인사이트를 얻는다. 보험사가 중요하게 여기는 요소가 없다면 보험료와 사이버 보험 가입 자격 여부에 영향을 미칠 수 있다.

이번에 작성한 보험 청약서에서는 구체적인 랜섬웨어 예방 기법과 보호 장치에 관한 질문이 있어 흥미로웠다. 청약서에서 눈에 띄었던 질문을 자세히 살펴보자.
 
ⓒ Getty Images Bank


이중 인증이 마련돼 있는가?

필자의 보험사는 원격 네트워크 액세스를 보호하는 이중 인증(Two-factor authentication, 2FA) 절차가 마련돼 있는지 질문했다. VPN과 RDP(Remote Desktop Protocol)가 사용자뿐 아니라 공격자에게 효과적인 액세스를 제공하는 현실에 대응하고자 하는 것이다. 우리는 때때로 물리 및 가상 서버에 접근하기 위해 원격 액세스를 남겨두는데, 공격자는 네트워크 액세스 권한을 얻기 위해 이런 원격 액세스 툴을 표적으로 삼는다.

점프 서버 같은 시스템과 승인된 사용자의 RDP 연결만 허용하기 위해서 모든 도메인 컨트롤러 OU(Organizational Unit)에 연결되는 GPO(Group Policy Objects)를 구성해야 한다. 특히 서버에 대한 원격 액세스를 가능한 한 안전하게 설정하는 것이 중요하다.

최근 필자는 자격 증명을 한계로 느낀다. 자격 증명을 검증하고 추가 보호를 제공하는 툴을 확보하는 것이 공격자가 접근 권한을 획득하지 못하도록 하는 핵심적인 방법이다. 조건부 액세스를 통해 사용자의 행동에 기초해 보호를 구성할 수 있으며, 사용자가 특정 역할 또는 이례적인 위치에서 로그인할 때 추가적인 인증 조치를 의무화해야 한다.

필자는 관리자 역할에 2FA를 의무화했다. 이미 인증된 기기에서는 2FA가 선택사항이며, 사용자가 이례적인 위치에서 로그인할 때는 추가 인증 절차를 거쳐야 한다. 필자는 조건부 액세스를 설계해 사용자가 네트워크를 위험에 빠뜨리는 방식으로 행동할 때 2FA를 요청함으로써 인증 필요성의 균형을 맞춰야 한다고 생각한다.

사이버 보험 청약서에서는 이메일 보호를 위해 2FA를 의무화하고 있는지도 질문했다. 해당 질문은 POP처럼 오래되고 상대적으로 덜 안전한 이메일 프로토콜 차단 여부에 관한 것이었다. 이메일을 보호하는 가장 좋은 방법은 최신 인증 프로토콜을 지원하고 2FA 추가 기능이 있는 플랫폼을 사용하는 것이다.


엔드포인트 탐지 및 대응 툴을 배포했는가?

청약서에는 EDR(Endpoint Detection and Response) 툴을 배포했는지에 대한 질문도 있었다. 최근까지 EDR를 도입한 중소기업을 찾아보기 힘들었지만, 지금은 크라우드스트라이크(Crowdstrike), 사일런스(Cylance), 카본 블랙(Carbon Black) 등의 EDR 솔루션 외에 중소기업에 적합한 EDR 솔루션이 존재한다. 바로 비즈니스용 마이크로소프트 디펜더(Microsoft Defender for Business)다.

마이크로소프트 365 비즈니스 프리미엄 구독 기업이라면 비즈니스용 디펜더를 사용할 수 있다. 별도로 구매할 때는 사용자가 300명 미만인 기업 기준으로 인당 3달러의 비용을 지불해야 한다. 보안 사고를 조사할 리소스를 보유한 중소기업은 드물다. 하지만 점차 규제 당국과 업계에서 유출 발생 시기를 파악하도록 요구하는 경우가 늘고 있다는 점을 기억하자. 

EDR 솔루션은 다양한 조사 기법을 자동화한다. 기업에 횡적 이동 문제가 있는지, 또는 시스템 통제력 확보를 위해 악성 파워셸(PowerShell) 스크립트가 사용됐는지 판단할 수 있다. 공격자가 네트워크에 침투한 방식과 이용한 수단이 무엇인지 답도 제공한다. 기업은 이런 툴을 사용해 공격자의 시스템 액세스 방식을 더욱 잘 파악할 수 있고, 다음 공격에서 기업을 보호할 수 있다. 


이메일 필터링 솔루션을 사용하고 있는가?

사이버 보험 청약서에는 피싱 또는 랜섬웨어 공격을 방지하기 위해 이메일 필터링 솔루션을 사용하고 있는지에 대한 질문도 있었다. 많은 공격이 이메일을 통해 시작되고 오피스 매크로로 시스템에 액세스하거나 오피스 제품군의 제로데이(zero day)로 워크스테이션에 대한 추가 액세스를 확보한다. 필자의 회사에서 사용하는 피싱 보호 솔루션은 ‘학습’하기 때문에 최초 피싱 이메일이 침투하더라도 사무실의 다른 모든 직원에게 피싱 이메일을 전송할 즈음에는 악의적인 것과 그렇지 않을 것을 학습하고 공격 이메일이 발송되는 즉시 차단한다. 


데이터 백업 솔루션을 사용하는가?

사이버 보험 청약서에서 백업을 강조했지만, 이는 단순한 백업이 아니었다. 보험사는 구체적으로 필자가 일간/주간/월간 백업을 하고 있는지, 로컬/네트워크/테이프 백업을 준비했는지 알고자 했다. 오프사이트/클라우드 백업뿐 아니라 기타 유형의 백업도 진행하는지도 물었다.

또한 네트워크 전반으로 확산하는 악성 프로그램 또는 랜섬웨어 공격 시 백업까지 해킹되는 위험을 감소하거나 없애기 위한 수단으로 네트워크와 백업이 연결되지 않거나 분리되어 있는지를 묻는 질문도 있었다. 악성 프로그램 공격에 견딜 수 있는 백업 프로세스를 확보하는 것이 공격에서 기업의 자산을 신속하게 회복하는 핵심적인 방법이다. 백업 및 복구 프로세스는 복구에 며칠이 아니라 몇 주까지 소요되므로 기업이 쉽게 회복하지 못하는 경우는 자주 목격했다.

결론적으로, 사이버 보험 약관과 청약서를 자세히 검토해 보자. 그리고 기업을 보호할 수 있는 가능한 모든 방법을 동원하고 있는지, 보험사가 베스트 프랙티스라고 간주하는 것에 맞춰 조치를 취하는지 자문해 보자.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.