랜섬웨어 침투 이후 할 일 및 협상

랜섬웨어 침투 이후 할 일 및 협상

 

랜섬웨어는 최근 기업이 직면한 가장 파괴적인 사이버 보안 위협 중 하나입니다. 이러한 공격은 공격자에게 많은 이점을 제공합니다. 공격자들은 많은 기업이 몸값을 지불할 의사가 있다는 것을 알고, 몇 천만원에서 몇 십억원, 심지어 몇 백억원까지 랜섬 요구액을 설정합니다. 이러한 공격자들은 랜섬웨어 공격을 중단하지 않고 지속적으로 공격 대상을 찾고 있습니다.

랜섬웨어의 지불 결정에는 CIO 등의 임원부터 외부 어드바이저, 보험 회사까지 다양한 이해관계자들이 관여하고 있습니다. 랜섬웨어 결제의 필요성이 커짐에 따라, 랜섬웨어 협상 및 암호화폐 결제 전문가들과 기업들이 등장하여 이에 대응하고 있습니다. 이로써 랜섬웨어 관련 시장이 형성되었으며, 기업들은 보안 대책 강화뿐만 아니라 이러한 위협에 대응하기 위한 전문가들과의 협업을 강화해야 합니다.

 

 

랜섬웨어가 침투되었을 때 기업에서의 대처

랜섬웨어 공격에 대응하는 가장 이상적인 방법은 충분히 준비된 디저스타 복구 계획입니다. 하지만 안타깝게도 많은 기업들이 이러한 준비를 갖추지 않고 있습니다. 대기업은 사고 대응팀과 함께 사이버 공격 대책을 수립할 수 있지만, 데이터 유출 위협, 고객 및 규제 기관과의 외부 소통, 그리고 협박자와의 협상 결정과 같은 랜섬웨어 공격과 관련된 다양한 측면을 간과하기 쉽습니다.

 

위협인텔리전스와 랜섬웨어 협상가인 커티스 민더 그룹센스의 최고경영자(CEO)는 "랜섬웨어 관련 세부 사항은 일반적으로 사고 대응 계획을 수립한 대기업이 처리하는 것이 아닙니다. 암호해독 협상 참여 인원 규정이나 업무 결정 등 많은 부분이 문서화되어 있지 않고 홍보 계획도 없습니다. 우리를 여기에 데려온 대부분의 기업은 이것을 가지고 있지 않습니다"라고 그는 말했습니다.

이러한 발언은 랜섬웨어 공격에 대한 기업들의 취약성을 강조하고 있습니다. 많은 기업들이 랜섬웨어 공격에 대응하기 위한 충분한 준비를 갖추지 않고 있으며, 특히 암호해독 협상 및 관련된 프로세스에 대한 문서화가 부족한 경우가 많습니다. 이는 랜섬웨어 공격으로 인한 피해를 최소화하고 빠른 회복을 위한 대응 능력을 저하시킬 수 있습니다. 따라서 기업은 사고 대응 계획을 효과적으로 수립하고 문서화하여 이러한 위협에 대비해야 합니다. 또한 전문가들과의 협력을 통해 랜섬웨어 공격에 대한 적시적이고 효과적인 대응을 준비해야 합니다.

 

랜섬웨어 기업인 플래시포인트의 EMEA 부사장인 이안 솅켈에 따르면, 사고 대응 절차를 준비한 기업들도 랜섬웨어의 공격을 받으면 패닉 상태에 빠져 있습니다. "최근 공격자들이 '몸값을 내지 않으면 기업 정보를 모두 공개하겠다'고 위협하며 더 많은 돈을 요구하는 것을 보았습니다"라고 솅켈 씨는 설명했습니다.

이는 파일 암호화와 데이터 절도를 결합한 이중 공갈 수법을 채택하는 랜섬웨어 공격 그룹이 늘어나고 있으며, 서비스 거부 공격의 한 형태인 랜섬웨어 공격도 데이터 유출로 이어질 수 있음을 의미합니다. 이로 인해 기업은 소재국이나 유출된 데이터의 종류에 따라 다양한 규제 의무의 대상이 될 수 있습니다. 이전에는 민간 기업이 랜섬웨어 공격을 공개할 필요가 없었지만, 최근에는 침해된 데이터의 종류에 따라 공개하는 것이 필요해졌습니다.

랜섬웨어에 공격을 당한 기업이 최대한 빨리 대처해야 하는 중요한 과제는 다음과 같습니다:

1. 공격자의 침입 방지 및 네트워크 상의 쫓아내기: 랜섬웨어 공격을 당한 기업은 즉시 내부 또는 외부 사고 대응 팀을 동원하여 공격자의 침입을 막고 네트워크에서 쫓아내야 합니다.
2. 상황 이해하기: 공격자의 주장과 요구사항을 확인하고, 랜섬웨어의 종류를 특정하며 위협에 연락하여 주장의 신뢰성을 확인하는 등 상황을 정확히 이해해야 합니다.

이를 위해서는 내부 또는 외부 사고 대응 팀과 함께 작업할 필요가 있으며, 때에 따라서는 위협 인텔리전스 전문가의 도움을 받아야 합니다. 또한, 랜섬웨어에 대처하기 위해 법률적인 지원이 필요한 경우가 있으므로, 외부 변호사의 채용을 고려하는 것이 좋은 선택일 수 있습니다. 이러한 변호사들은 필요한 법률 절차를 따르고, 법 집행 기관과 협력하며, 보험사와의 소통을 도와줄 수 있습니다.

 

 

누가 몸값을 지불할지 결정하나

보험 회사와의 협의는 가능한 한 빨리 진행되어야 합니다. 이는 보험 약관에 명시된 사고 대응 절차 및 지원 범위를 확인하기 위함입니다. 일반적으로 보험 회사는 사고 대응 전문 회사의 목록을 보유하고 있으며, 이를 활용하여 피해 기업에게 필요한 지원을 제공할 수 있습니다.

 

피해 기업이 몸값을 지불할지 여부를 결정한 후에는 보험사에 연락하여 승인 여부를 확인합니다. 이 과정에서 보험사는 사고의 심각성과 약관에 따라 적절한 조치를 취할 것입니다. 때로는 공격의 영향이 너무 커서 보험사가 보증 여부와 관계없이 몸값을 지불하기로 결정하기도 합니다.

 

랜섬웨어 공격으로 인한 피해를 최소화하기 위해서는 보험 회사와의 원활한 협의와 함께 전문적인 사고 대응 업체의 지원을 받는 것이 중요합니다. 이를 통해 효과적인 대응 및 회복 절차를 수행할 수 있습니다.

일반적으로 법률 고문, CIO, 그리고 COO는 랜섬웨어 공격에 대한 의사 결정 프로세스에 관여합니다. 법률 고문은 합법성과 위험에 따라 결정을 평가하고, CIO는 백업 절차, 비즈니스 연속성, 재해 복구 계획 등을 담당하며, COO는 랜섬웨어 감염 데이터가 운영에 미치는 영향을 기반으로 결정합니다.

예를 들어, CIO는 백업을 결정할 수 있지만, 백업 리스토어에 시간이 걸릴 경우 COO는 긴 다운타임으로 인해 비즈니스 운영을 유지할 수 없다고 판단할 수 있습니다. 이러한 경우 COO는 긴급 대응 조치를 취하고 다른 대안을 탐색할 수 있습니다.

최종적으로 사업적인 결정은 CEO가 하게 됩니다. CEO는 법률 고문, CIO, COO의 의견을 종합하여 최종 결정을 내립니다. 이러한 프로세스를 통해 기업은 랜섬웨어 공격에 효과적으로 대응하고 비즈니스 운영의 지속성을 유지할 수 있습니다.

 

랜섬웨어 결제를 승인하기 전에 보험사는 다양한 질문을 통해 상황을 평가합니다. 이에는 다음과 같은 사항이 포함될 수 있습니다:

1. 백업 상태: 공격 중 백업이 파기되었는지, 오프사이트 백업이 존재하는지 등을 확인합니다.
2. 시스템 영향: 랜섬웨어로 영향을 받는 시스템의 수 및 중요도를 파악합니다.
3. 복구 시간: 복구에 필요한 시간을 예측하고 이에 대한 계획을 평가합니다.
4. 협박자 조사: 협박 행위자를 조사하고 관련 기관의 제재 대상에 해당하는지 확인합니다.
5. 지불 거부 정책: 지급을 거부할 수 있는 정책 예외 대상 여부를 고려합니다.

특히, 미국 재무부 해외자산통제국(OFAC)의 권고에 따르면 랜섬웨어 몸값을 지불하는 기업은 민사 처벌을 받을 수 있습니다. 이러한 규제를 준수하기 위해 보험사는 이러한 사항을 면밀히 검토하고 상황을 평가합니다. 이러한 절차를 통해 보험사는 법적, 금융적, 그리고 보안적인 측면을 고려하여 적절한 결정을 내릴 수 있습니다.

 

랜섬웨어 결제는 일반적으로 암호화폐로 이루어집니다. 그러나 많은 기업이 직접 암호화폐를 보유하고 있지 않기 때문에 영향을 받는 기업은 랜섬웨어 인프라를 가진 제3자에게 의존해야 합니다. 이러한 제3자 기업은 공격 그룹이 제재 대상이 되는 경우 OFAC의 권고에 따라 지불을 거부할 수 있습니다.

랜섬웨어 결제를 위해 제3자 기업이 사용되는 경우, 이 기업은 랜섬웨어 협상의 중심이 될 가능성이 높습니다. 이러한 협상 담당자는 영향을 받은 기업을 대체하는 역할을 하며, 랜섬 지불에 필요한 절차를 지원합니다.

이러한 상황에서는 랜섬웨어 협상 담당자가 중요한 역할을 수행하게 됩니다. 그들은 협상 및 지불 절차를 관리하고, 가능한 대체 옵션을 탐색하여 영향을 최소화하려고 노력합니다. 또한 OFAC의 권고와 같은 규정을 준수하여 법적 문제를 회피하기 위해 노력할 것입니다.

 

 

랜섬웨어 협상을 진행하는 방법

마인더는 사고 대응 팀이 공격자가 제공하는 통신 방식(일반적으로 일부 암호화된 이메일 서비스)을 사용하여 공격자와 접촉하기 전에 공격을 차단하고 공격자를 네트워크에서 완전히 몰아낼 것을 강조했습니다. 또한, 협박자가 협상 중에도 네트워크에 접근할 수 있다는 가정을 하였으며, 이는 협상에도 큰 영향을 줄 수 있다고 지적했습니다. 그래서 협상 이전에 사고 대응 팀과 긴밀히 협력하여 공격자가 네트워크에 재진입할 가능성을 평가하는 것이 우선 사항이라고 말했습니다.

이러한 접근 방식은 협상 과정에서의 보안과 안정성을 강화하는 데 있어서 매우 중요합니다. 공격자가 협상 과정 중에도 네트워크에 접근할 수 있다면, 그들은 추가적인 피해를 입힐 수 있으며 협상을 더욱 복잡하게 만들 수 있습니다. 따라서 사고 대응 팀은 협상 이전에 공격자의 재진입 가능성을 신중하게 검토하고 네트워크를 보호하기 위한 적절한 조치를 취해야 합니다.

이러한 접근 방식은 랜섬웨어나 기타 사이버 공격으로부터 기업을 보호하고, 협상 과정에서의 안전을 보장하기 위한 중요한 전략적인 요소입니다.

 

다음 단계는 사고 대응 팀이 수집한 모든 정보를 확인하고 위협 요인의 기존 프로파일과 과거 전술을 분석하는 것입니다. 이 과정에서는 협박 행위자가 과거에 요구한 몸값의 양, 그들의 성숙도 수준, 그리고 다른 피해 기업에 얼마나 많은 시간을 주었는지 등을 이해하는 것이 중요합니다.

민더는 "공격자들이 30~40개 업체를 해킹할 경우 다른 선택지가 많아 협상 중 인내심이 떨어질 수 있다"고 덧붙였습니다. 즉, 많은 공격 그룹은 피해자의 프로파일에 따라 몸값 요구를 커스터마이징합니다. 일반적으로는 예상 매출의 일정 비율이 설정되어 있지만, 이러한 설정은 실제 사업 상황과 맥락에 따라 유연하게 조정될 수 있습니다.

그러나 공격자가 신뢰할 수 없는 정보원으로부터 정보를 얻거나 피해 기업의 구조에 대한 자세한 정보를 알지 못할 경우, 공격자는 피해 기업의 예상 매출을 과대평가할 수 있습니다. 예를 들어, 피해를 입은 기업의 모회사는 수 십억 달러 규모의 국제적인 대기업일 수도 있지만, 실제 피해자는 특정 국가의 중소기업일 수도 있습니다. 따라서 이러한 상황에서는 피해 기업의 실제 상황을 고려하여 협상을 진행하는 것이 중요합니다.

 

피해자는 보안포털을 통해 실시간으로 공격자와 소통할 수 있으며 언제든지 의견을 제시할 수 있습니다. 또한, 해당 기업이 백업에서 일부 시스템을 복구할 수 있는 경우 몸값의 전액을 지불할 필요가 없으므로 협상에 활용할 수 있습니다.

이러한 이유로 공격을 신속하게 검출할 수 있는 기능과 피해를 최소화하기 위한 사고 대응 계획이 매우 중요합니다. 사고 대응 팀은 공격을 탐지하고 진단하는 데 필요한 도구와 프로세스를 갖추어야 합니다. 또한, 피해를 줄이기 위해 적절한 백업 및 복구 전략을 마련해야 합니다.

피해를 입은 기업은 사고 대응 계획을 통해 신속하게 대응할 수 있으며, 보안포털을 통해 공격자와의 소통을 유지하면서 효과적인 협상을 진행할 수 있습니다. 이를 통해 공격으로 인한 피해를 최소화하고 기업의 운영에 미치는 영향을 최대한 줄일 수 있습니다.

디지털 가디언의 CISO 팀인 반도스는 "진행 중인 공격을 파악하는 초기 단계에서 고려해야 할 중요한 사항은 최대한 빨리 차단하고 격리해야 한다"고 말했습니다. 이를 위해 이벤트 범위를 지정하고 로그를 확인하여 문제의 위치를 특정하고 공격을 효과적으로 차단할 수 있는 위치를 파악하는 것이 중요하다고 강조했습니다.

반도스는 "예를 들어 침입자가 약 3,000대의 서버 중 10~15대로 이동했지만 백업에서 10~15대의 서버를 복구하는 데 시간이 걸려 회사가 몸값을 지불할 필요가 없었다"고 말했습니다. 또한, "만약 수천 개의 시스템이 랜섬웨어에 걸린다 하더라도 데이터를 해독하기 위해 몸값을 지불하는 것이 빠를지도 모른다"고 덧붙였습니다.

이러한 접근 방식은 공격에 대한 신속한 대응과 효율적인 리소스 활용을 강조합니다. 공격을 격리하고 피해를 최소화함으로써 회사가 몸값을 지불할 필요성을 줄이고, 백업 및 복구 전략을 통해 시스템을 복구할 수 있는 시간을 확보하는 것이 중요합니다. 이는 데이터 보호와 기업의 운영을 안정적으로 유지하는 데에 필수적인 전략입니다.

또한 백업으로 인해 애플리케이션과 소프트웨어 스택이 에이징되어 있어 시스템 복원이 어려울 수도 있습니다. Bandos의 클라이언트 기업이 이러한 상황에 직면했습니다. 이 회사에는 데이터 백업이 있었지만, 내부 애플리케이션을 실행하는 서버는 오래된 플랫폼을 기반으로 하고 있었기 때문에 시스템을 완전히 재구축하고 백업해야 했습니다. 이러한 상황에서는 회사가 몸값을 지불할 수밖에 없었습니다. 왜냐하면 서버 다운타임을 최소화하기 위해서는 새로운 시스템을 구축하는 데 필요한 비용이 많이 들었기 때문입니다.

이러한 사례는 데이터 백업만으로는 충분하지 않을 수 있음을 보여줍니다. 에이징된 시스템이나 소프트웨어 스택의 경우, 복원 과정에서 추가적인 문제가 발생할 수 있으며 이로 인해 회사가 높은 비용을 지불해야 할 수 있습니다. 이를 감안하여 데이터 보호 전략을 수립할 때에는 최신화된 시스템 및 소프트웨어를 유지하고, 효율적인 데이터 관리 및 복원 프로세스를 확보하는 것이 중요합니다.

모든 랜섬웨어 공격 그룹이 협상을 마다하지 않으며, 피해 기업이 지불하는 몸값의 대부분은 공격 그룹이 요구한 원래 금액보다 적습니다. 협상 기간이 길어질수록 피해자 사고 대응 팀이 시스템 복구에 소비하는 시간이 늘어나기 때문에 공격자는 일반적으로 요구하는 몸값의 25~30%밖에 받지 못한다는 것을 인식하고 있습니다.

협상은 양측이 타협점을 찾는 과정이기 때문에 보통은 요구하는 금액과 실제로 지불되는 금액 사이에 차이가 있을 수 있습니다. 랜섬웨어 공격 그룹도 이를 고려하여 처음에 높은 금액을 요구하지만, 협상이 진행되면서 현실적인 수준으로 조정될 수 있습니다. 또한, 피해 기업은 시스템 복구를 위해 추가적인 비용을 지불해야 하므로 이를 고려하여 협상을 진행할 수 있습니다.

그러나 이러한 상황은 모든 경우에 적용되는 것은 아닙니다. 몇몇 공격 그룹은 협상을 거부하고 높은 몸값을 요구하기도 합니다. 또한, 피해 기업이 모든 협상에 성공하는 것도 아닙니다. 따라서 피해를 최소화하고 랜섬웨어 공격에 대응하기 위해서는 사전에 적절한 대비와 대응 계획을 수립하는 것이 중요합니다.

협박자는 랜섬웨어 트랜잭션이 이루어지기 전에 파일을 복호화하는 능력을 증명해야 합니다. 일반적으로, 샘플 데이터 세트는 복호화 중에 증명됩니다. 그러나 해독 능력이 확인된다고 해도 전혀 위험성은 없습니다. 공격자가 제공하는 디코더에 버그가 있거나 특정 시스템 또는 볼륨에서 작동하지 않거나 일부 데이터가 손상되었을 수 있으며 공격자가 네트워크 시스템별로 다른 키를 사용할 수 있습니다. 일부 전문가는 공격자가 제공하는 암호 해독 머신을 리버스 엔지니어링하여 훨씬 더 효율적인 도구로 재구현했습니다.

따라서 공격자에게 접근하기 전에 포렌식과 위협 인텔리전스의 구성 요소를 사용하여 공격자와 공격자가 어떻게 동작하는지 이해하는 것이 중요합니다. 또한 협상자가 제공하는 인프라에서 지불하거나 상호 합의할 경우 영향을 받는 기업은 모든 통신 기록, 협박 행위자에 대한 정보 및 거래 정보를 기록 보유 및 법적인 이유로 받을 수 있습니다. 이러한 정보는 나중에 법적인 목적으로 사용될 수 있으며, 랜섬웨어 공격에 대한 조사와 대응에 도움이 될 수 있습니다.

 

 

데이터 유출 위협으로 인해 복잡한 협상과 복구

랜섬웨어 공격에서 데이터 유출이 우려되는 경우, 공격자가 이미 도난당한 데이터를 파기했는지 여부를 확인하는 것은 복잡한 문제입니다. 이러한 상황에서 랜섬웨어 대응 및 협상 담당자는 중요한 역할을 합니다. 실제로, 코브웨어는 2020년에 이미 몸값을 지불한 피해자가 후에 같은 데이터를 재도용하거나 온라인에서 데이터를 유출하는 사례를 많이 보았다고 전했습니다.

이러한 상황에서 랜섬웨어 사고는 데이터 침해로 처리될 수 있으며, 이에 따라 피해 기업은 필요한 모든 절차를 따라야 합니다. 피해자는 지하 포럼이나 시장을 모니터링하여 도난당한 데이터가 어디에 노출되고 있는지 파악하고, 추가적인 예방 조치를 취하기 위해 위협 정보 회사에 자문을 구할 수 있습니다.

이러한 조치는 공격자의 도난된 데이터의 잠재적인 유출을 최소화하고, 피해 기업이 미래에 발생할 수 있는 위험을 최소화하기 위한 것입니다. 또한, 이러한 상황에서는 피해 기업이 법적인 보호와 책임을 고려하여 행동해야 합니다.

 

 

해결된 이후 분석 및 학습

피해자의 법무팀, 사고대응팀, IT팀, 랜섬웨어 협상 전문가 등과 같은 관련자들은 사고 후에 모든 사례를 분석해야 합니다. 이 과정은 랜섬웨어 공격에 대한 이해를 깊이 있게 파악하고, 향후 유사한 공격을 방지하거나 최소화하기 위한 교훈을 얻는 데 도움이 됩니다.

 

이러한 분석은 공격의 기술적 측면과 함께 조직의 사이버 보안 프로세스 및 정책의 취약점을 식별하는 데 중요합니다. 또한, 이 분석은 향후에는 더 나은 대응 및 예방을 위해 조직의 보안 능력을 강화하는 데 사용될 수 있습니다.

이러한 경험을 바탕으로 피해 기업은 다음과 같은 능력 프로젝트를 구축할 수 있습니다:

1. 보안 인프라 강화: 이전 공격에서 식별된 취약점 및 결함을 보완하고, 더욱 견고한 보안 인프라를 구축합니다.
2. 사이버 보안 정책 개선: 사전 예방 및 대응을 위한 보안 정책을 개선하고, 직원들에 대한 교육 및 인식 프로그램을 강화합니다.
3. 위협 인텔리전스 및 감시 강화: 실시간으로 위협을 감지하고 대응하기 위한 감시 및 위협 인텔리전스 시스템을 강화합니다.
4. 비상 대응 훈련: 사고 대응을 위한 비상 대응 팀의 역량을 향상시키기 위한 교육 및 훈련 프로그램을 개발하고 실행합니다.
5. 주기적인 사이버 보안 평가: 시스템 및 네트워크의 취약점을 식별하고 해결하기 위해 주기적인 보안 평가 및 점검을 실시합니다.

이러한 능력 프로젝트는 향후 랜섬웨어 공격에 대비하여 조직의 사이버 보안 능력을 지속적으로 향상시키는 데 도움이 될 것입니다.

 

랜섬웨어 침해 협상