랜섬웨어 공격은 여전히 조직을 괴롭히고 있으며, 이중 및 다중 갈취 수법, AI를 활용한 공격, 서비스형 랜섬웨어 모델의 확산 등 갈수록 고도화되고 있다.
이 같은 위협에 대응하기 위해 CISO와 CSO는 조직 차원의 방어력을 높이는 랜섬웨어 플레이북 구축을 최우선 과제로 삼아야 한다.
랜섬웨어가 여전히 중대한 사이버 보안 위협이라는 점은 분명하다. 보안 기업 크라우드스트라이크는 최신 ‘랜섬웨어 현황 보고서(State of Ransomware Survey)’에서 “사이버 범죄자가 공격 전반에 AI를 활용해 침투, 암호화, 갈취 과정을 가속화하고 있다”라고 밝히며, 이에 반해 조직의 랜섬웨어 대응 준비 수준이 뒤처지고 있다고 진단했다.
전 세계 IT 및 사이버 보안 의사결정권자 1,100명을 대상으로 한 해당 조사에 따르면, 응답 기업의 76%가 AI 기반 공격의 속도와 정교함을 따라가는 데 어려움을 겪고 있는 것으로 나타났다. 응답자의 약 절반은 AI 기반 공격 체계를 주요 랜섬웨어 위협으로 꼽았고, 85%는 AI가 결합된 공격 앞에서 기존 탐지 방식이 더 이상 효과적이지 않다고 답했다.
보안 기업 트러스트넷(TrustNet)의 CISO인 트레버 호위츠는 “랜섬웨어와 관련해 대부분의 기업은 실제 공격을 받기 전까지 이를 먼 이야기처럼 여긴다. 그러다 막상 사고가 발생하면 완전히 혼란에 빠진다”라고 지적했다. 그는 이어 “효과적인 랜섬웨어 플레이북은 단순한 문서가 아니라 몸에 밴 대응 체계”라며 “실전처럼 훈련해야 한다는 점이 핵심”이라고 조언했다.
기업이 효과적인 랜섬웨어 대응을 위해 고려해야 할 핵심 요소를 소개한다.
대비는 연습에서 시작된다···계획과 테이블탑 훈련의 중요성
랜섬웨어 위협에 대응할 일관된 계획이 없는 조직은 스스로 위험을 키우는 것과 같다. 도구와 프로세스, 인력을 포괄하는 전반적인 전략 수립은 비즈니스 연속성을 유지하고 재무적 손실을 최소화하는 데 필수적이다.
명확한 계획이 마련돼 있지 않으면 기업은 공격 발생 시 체계적이지 못하고 비효율적으로 대응할 가능성이 높다. 그 결과 데이터 손실, 장기간의 시스템 중단, 규제 준수 문제, 브랜드와 기업 평판 훼손으로 이어질 수 있다.
계획 수립 과정에서 핵심 요소로 꼽히는 것이 사이버보안 테이블탑 훈련이다. 이는 실제 랜섬웨어 공격 상황을 가정해 팀이 어떻게 행동할지를 시뮬레이션하는 방식으로, 위험 부담이 없는 환경에서 사고 대응 계획을 점검하고 개선할 수 있도록 돕는다. 이때 의사결정 과정, 커뮤니케이션 방식, 명확한 역할 분담을 점검하는 데 초점을 맞춰야 한다.
호위츠는 “테이블탑 훈련이 모든 준비의 출발점”이라며 “경영진이 한자리에 모여 가상의 랜섬웨어 공격 시나리오를 직접 검토해본 적이 없다면, 그곳에서부터 시작해야 한다”라고 설명했다. 그는 “실제 침해 사고가 발생한 뒤에야 누가 몸값 지불 권한을 갖고 있는지, 누가 공식 입장을 발표할지를 고민하는 상황은 피해야 한다. 법무, IT, 커뮤니케이션 조직이 얼마나 빠르게 협업할 수 있는지를 사전에 파악하는 것이 중요하다. 현장은 극도의 압박 속에서 빠른 결정을 요구하기 때문에, 플레이북은 서랍 속에 보관된 문서가 아니라 그 결정을 이끌어주는 지침이 돼야 한다”라고 말했다.
기술 컨설팅 기업 리설턴트(Resultant)의 수석 보안 컨설턴트인 존 오테는 이런 훈련이 기업으로 하여금 역할 분담, 격리 절차, 포렌식 수집 절차, 커뮤니케이션 템플릿을 명확히 규정하는 랜섬웨어 전용 사고 대응 플레이북을 만들고 지속적으로 유지할 수 있도록 해준다고 설명했다.
오테는 “법무, 커뮤니케이션, IT, 경영진 등 주요 이해관계자가 참여하는 현실적인 테이블탑 훈련을 최소한 연 1회 이상 실시해 의사결정 과정을 점검해야 한다”라고 강조했다.
보안 기업 베드록 데이터(Bedrock Data)의 CSO이자 리서치·자문 기관 IANS 리서치의 연구원인 조지 거쇼는 테이블탑 훈련이 단순한 기술 장애가 아니라 실제 비즈니스 중단 상황을 가정해 이뤄져야 한다고 언급했다. 그는 “효과적인 랜섬웨어 대응은 당황한 상태가 아니라 반복적인 연습에서 시작된다. 운영, 법무, 재무, 인사, 커뮤니케이션 부서의 리더가 참여하는 세션이 가장 가치가 높은데, 이들 조직이야말로 압박 속에서 가장 어려운 결정을 내려야 하기 때문”이라고 설명했다.
인재 구성, 역량, 교육
많은 조직이 여전히 사이버보안 전문가 부족 문제를 겪고 있다. 이는 랜섬웨어 대응 전략을 수립하고 실행하는 데 있어 분명한 걸림돌이다. 기업은 사고 탐지와 예방, 사고 대응, 방화벽 설정 등 다양한 영역에 걸친 전문 역량을 확보해야 한다.
아울러 기업은 모든 임직원이 랜섬웨어 공격을 예방할 방법을 교육받을 수 있도록 준비해야 한다. 피싱 이메일, 의심스러운 링크, 출처가 불분명한 첨부파일과 같은 위협을 식별하고, 대응하며, 적절히 보고하는 방법을 가르치는 과정이다.
호위츠는 “자신이 무엇을 하고 있는지 정확히 아는 인재가 필요하다. 사이버 보안 담당자뿐 아니라 법무, 홍보, 경영진 전반에 걸친 인재가 참여해야 한다”라고 설명했다. 그는 이어 “단순한 인원 수의 문제가 아니라 준비 태세가 중요하다. 공식적으로 지정된 사고 지휘관, 포렌식 역량을 갖춘 인력, 비즈니스 리스크를 이해하고 언제 상부로 보고해야 하는지를 판단할 수 있는 사람이 필요하다”라고 말했다.
기업은 종종 인재와 역량에 투자하기 전에 도구부터 도입하는 경향이 있는데, 거쇼는 이런 접근 방식이 효과적이지 않다고 지적했다. 그는 “회복탄력성은 여러 부서가 함께 준비돼 있는 상태에서 나온다. 직원이 단순히 지침을 따르는 데 그치지 않고 각자의 행동이 왜 중요한지를 이해할 때 실질적인 대응력이 갖춰진다”라고 설명했다.
또한 기업은 경영진, IT 조직, 재무 부서 등 각 역할에 맞는 보안 교육을 실시해야 하며, 사회공학 공격이나 악성 첨부파일과 같은 현실적인 위협을 중심으로 교육을 구성할 필요가 있다.
거쇼는 비즈니스 리더가 사이버 보안 리스크를 비즈니스 연속성과 기업 평판과 연결하는 교육을 지속적으로 장려해야 한다고 강조했다. 그는 “헬프데스크부터 이사회까지 모든 구성원이 운영 안정성을 유지하기 위해 스스로 노력하는 문화를 만드는 것이 중요하다. 정기적인 인식 제고 프로그램, 역할별 대응 훈련, 경영진 브리핑은 기술적 리스크를 비즈니스 관점에서 이해하도록 돕는다”라고 설명했다.
예방 조치
기업은 랜섬웨어 공격을 사전에 차단하고 사고 발생 이후 피해를 복구하기 위해 다양한 기술 솔루션 도입을 고려할 수 있다. 랜섬웨어 예방은 정기적인 소프트웨어 업데이트와 패치 적용, 효과적인 데이터와 시스템 백업, 방화벽과 다단계 인증(MFA), 백신 소프트웨어와 같은 보안 도구를 함께 활용하는 다층적 접근이 필요하다.
패치 관리와 취약점 해결은 랜섬웨어 방어에서 특히 중요한 요소다. 랜섬웨어 공격자는 보안 취약점을 악용하는 경우가 많으며, 최근에는 보안 장비 자체의 결함을 노리는 사례도 늘고 있다. 이 두 영역을 체계적으로 관리해야 랜섬웨어 위협에 보다 선제적으로 대응할 수 있다.
오테는 “악용 가능한 노출을 최소화할 수 있도록 우선순위가 명확하고 추적 가능한 패치 프로그램을 유지해야 한다. 패치를 자동으로 배포하되, 위험도가 높은 시스템에 대해서는 사람의 검증을 병행하고, 누락되거나 지연된 패치를 확인하기 위해 정기적으로 스캔을 수행해야 한다”라고 조언했다.
오테는 엔드포인트 탐지 및 대응(EDR), 백신 소프트웨어, 이메일 보안과 피싱 방어, ID 및 접근 관리와 MFA 역시 랜섬웨어 전략의 핵심 구성 요소라고 언급했다. 그는 “서명 기반 백신에만 의존하기보다 행위 기반 탐지, 롤백, 격리 기능을 갖춘 최신 EDR을 활용하는 것이 바람직하다”라고 말했다.
특히 이메일은 랜섬웨어 공격자가 공격을 수행하는 주요 수단인 만큼 주의가 필요하다. 데이터 삭제 및 모바일 라이프사이클 진단 솔루션 기업 블랑코(Blancco)의 CTO 러스 언스트는 “이메일은 IT 보안 관점에서 핵심 공격 경로이기에 이메일 보안의 모범 사례가 조직 전체에 반드시 적용돼야 한다”라고 설명했다.
오테는 이메일 보안에 고도화된 피싱 필터를 적용하면 랜섬웨어가 유입되는 일반적인 경로를 차단할 수 있으며, 여기에 정교한 접근 관리 체계를 더하면 위협을 한층 더 줄일 수 있다고 강조했다.
오테는 “가능한 모든 영역에 MFA를 적용해야 하며, 특히 권한을 가진 계정과 원격 접속 환경에는 필수적으로 도입해야 한다. 최소 권한 원칙을 적용해 공격자가 내부에서 수평 이동할 수 있는 여지를 제한해야 한다”라고 말했다. 그는 이어 “관리자 자격 증명은 중앙에서 관리되는 비밀 저장소에 보관하고, 주기적으로 변경해야 하며, 로컬 관리자 계정을 공동으로 사용하는 방식은 피해야 한다”라며, “권한이 상향될 때는 반드시 MFA를 요구하고, 비정상적인 자격 증명을 추적해 무차별 대입 공격이나 권한 계정을 악용한 수평 이동을 탐지해야 한다”라고 설명했다.
공격 시 복구 및 대응
만약 랜섬웨어 공격을 겪었다면, 피해를 최소화하기 위해 가능한 한 신속하게 복구 및 대응 단계로 전환해야 한다. 여기에는 시스템과 데이터 복구뿐 아니라 임직원, 고객, 기업 브랜드에 미친 영향을 회복하는 과정도 포함된다.
오테는 “시스템 복구 순서의 우선순위를 명확히 하고, 고객과 규제 기관, 수사 기관을 대상으로 한 대외 커뮤니케이션 전략을 포함한 종합적인 복구 플레이북을 마련해야 한다. 법률 자문, 사이버 보험 담당 창구, 포렌식 대응 조직을 사전에 연계해 정확하고 시의적절하며 신고 요건에 부합하는 조치를 취할 수 있도록 해야 한다”라고 조언했다.
호위츠는 랜섬웨어 사고 발생 시 빠르면서도 정밀한 대응이 핵심이라고 강조했다. 그는 “시스템을 즉시 격리하고 확산을 차단하며, 악성코드의 통신 경로를 끊어야 한다. 이후 포렌식 분석을 통해 공격자가 어떻게 침투했는지를 규명해야 한다. 침투 경로를 이해하지 못한 상태에서 백업을 복원하면 위협을 다시 불러들이는 결과가 될 수 있다”라고 지적했다.
그는 또한 백업 데이터를 사용하기 전에 반드시 검증 절차를 거쳐야 한다고 언급하며, “겉보기에는 정상으로 보이는 데이터를 복구했다가, 악성코드가 수주 동안 잠복해 있었다는 사실을 뒤늦게 발견한 사례를 여러 차례 봤다”라고 전했다.
언스트의 경우 기업이 주기적인 백업 체계를 유지하는 것이 중요하다고 조언했다. 그는 “데이터를 주기적으로 백업하고, 이 백업이 실제로 정상 작동하는지 정기적으로 테스트해야 한다. 오프라인 환경에 저장된 백업 데이터는 직접적인 랜섬웨어 공격의 영향을 받지 않는다”라고 말했다.
또한 그는 백업으로 저장된 데이터에 신속히 접근할 수 있어야 시스템 중단 시간을 최소화할 수 있다고 언급했다. 그는 “기업이 몸값을 지불하고 암호화 키를 받더라도, 실제로는 데이터가 이미 손상돼 사용할 수 없는 상태인 경우가 적지 않다. 이때 백업 데이터는 인프라를 다시 구축하는 마지막 수단이 된다. 조직이 백업을 통해 복구하는 데 걸리는 시간을 정확히 알고 있다면 랜섬웨어 공격으로 인한 예상 중단 시간도 현실적으로 가늠할 수 있다”라고 설명했다.
또한 기업은 불가피하게 몸값 협상을 검토해야 하는 상황에 대비해, 관련된 최신 권고 사항과 공격자 전술을 지속적으로 파악해 둬야 한다.
호위츠는 랜섬웨어 복구 과정이 기술적인 문제에만 국한되지 않는다고 강조했다. 그는 “고객 신뢰가 흔들렸다면 이를 신속하게 회복해야 한다. 무엇이 발생했는지 명확하게 설명하고, 책임을 인정하며, 현재 어떤 조치를 취하고 있는지를 투명하게 전달하는 것이 중요하다”라고 설명했다. 이어 “수사 기관과 규제 당국에도 반드시 통보해야 하며, 해당 공격에서 얻은 교훈이 다시 플레이북에 반영돼야 한다. 무엇이 효과적이었는지, 무엇이 실패했는지, 어느 지점에서 대응이 지연됐는지를 되짚는 피드백 과정이 결국 대응 체계를 강화한다”라고 조언했다.
아울러 기업 내외부에 효과적인 랜섬웨어 커뮤니케이션 계획을 수립하는 것도 필수다. 언스트는 “랜섬웨어 공격과 관련한 커뮤니케이션 전략도 보안 사고 전반을 다루는 조직의 공식 플레이북에 포함돼야 한다. 임직원, 고객, 투자자 등 어떤 이해관계자에게 정보를 전달해야 하는지와 함께, 언제 어떤 방식으로 알릴지, 전달할 메시지의 내용과 책임 주체까지 명확히 규정해야 한다”라고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 활용도 높은 ‘랜섬웨어 플레이북’을 만드는 방법
Source: News