목차

랜섬웨어 공격이란 무엇인가요?

목차

랜섬웨어 공격은 사이버 범죄자가 환경에 침투하여 몸값을 대가로 조직이나 개인을 위협하는 데 사용할 수 있는 방법을 말합니다. 2022 Unit 42의 사고 대응 보고서에 따르면 공격자가 시스템에 침입하는 구체적인 방법은 다섯 가지입니다.

 

랜섬웨어 공격은 어떻게 발생하나요?

2022년 사고 대응 보고서에서Unit 42®는 위협 행위자들이 피해자를 갈취하기 시작하기 전까지 평균 28일 동안만 거주하며 빠르게 움직이는 것을 목격했다고 보고했습니다. 랜섬웨어 공격이 무엇이며 이에 대비하는 방법을 이해하는 것이 조직을 보호하는 첫 번째 단계입니다.

랜섬웨어는 사이버 범죄자가 시스템에 침입하여 모든 데이터를 암호화한 다음 피해자가 암호화폐를 통해 몸값을 지불하는 데 동의하면 복호화 키를 제공하는 것으로 시작됩니다. 시스템에 침입하여 암호화 멀웨어를 심는 것 외에도 일부 랜섬웨어 운영자는 암호화되지 않은 데이터를 복사하여 유출하거나, 소셜 미디어에서 피해자를 협박하거나, 디도스와같은 추가 공격을 위협하거나, 탈취한 정보를 클라이언트나 다크 웹에 유출하는 등 다양한 강압 기술을 사용하여 돈을 지불하도록 유도합니다.

How attackers entered an environment to launch a ransomware attack as observed in Unit 42’s 2022 Incident Response Report

Unit 42는 다양한 조직을 대상으로 발생한 수천 건의 랜섬웨어 공격을 조사하고 신속한 차단 및 복구를 지원하여 수백만 달러의 비용을 절감했습니다. 2022 인시던트 대응 보고서에서Unit 42는 위협 행위자가 랜섬웨어를 구축하는 데 사용하는 5가지 주요 공격 벡터를 확인했습니다.

 

랜섬웨어의 5가지 주요 공격 벡터는 무엇인가요?

랜섬웨어를 더 효과적으로 예방하려면 공격자가 조직을 침해하기 위해 사용하는 악의적인 전술을 이해하는 것이 중요합니다. 보안 운영 센터(SOC)는 랜섬웨어 위협의 최근 동향을 검토하여 잠재적인 침해 지점에 리소스를 집중하고 감염 위험을 줄이며 조직 전체에 대비할 수 있습니다.

랜섬웨어의 다섯 가지 주요 공격 벡터는 다음과 같습니다:

  1. 악용 가능한 취약점
  2. 무차별 대입 자격증명 공격
  3. 사회 공학
  4. 이전에 유출된 자격증명
  5. 신뢰 남용
Unit 42의 2022년 사고 대응 보고서에서 관찰된 공격자가 랜섬웨어 공격을 시작하기 위해 환경에 진입한 방법
그림 1: Unit 42의 2022년 사고 대응 보고서에서 관찰된 공격자가 랜섬웨어 공격을 시작하기 위해 환경에 진입한 방법

이 다섯 가지 공격 벡터의 작동 방식과 이를 보호하는 최선의 방법을 이해하는 것이 랜섬웨어에 대비하기 위한 중요한 첫걸음입니다.

1. 악용 가능한 소프트웨어 취약점

취약점은 다양한 형태로 나타나며 프로그램의 틈새나 결함을 이용하도록 설계된 코드를 통해 악용될 수 있습니다. 2022년 Unit 42 사고 대응 보고서에서Unit 42는 랜섬웨어 사례의 48%가 소프트웨어 취약성에서 시작된다는 사실을 발견했습니다. 애플리케이션이 인터넷에 노출되면 위협 행위자는 알려진 취약점을 검색하고 악용하여 환경에 대한 무단 액세스를 얻을 수 있습니다.

사이버 범죄자들이 즐겨 사용하는 또 다른 취약점 기법은 손상된 웹사이트에 코드를 삽입하는 익스플로잇 킷을사용하는 것입니다. 이러한 웹사이트는 정상적으로 보이지만 연결된 디바이스를 통해 취약점을 검사하는 악성 프로그램이 포함되어 있습니다. 익스플로잇 킷이 취약점을 식별하면 위협 행위자에게 시스템에 대한 원격 액세스를 제공하도록 설계된 멀웨어 페이로드를 다운로드하는 경우가 많습니다. 원격 액세스가 설정되면 위협 행위자는 랜섬웨어를 환경에 구축합니다.

소프트웨어를 보호하는 가장 좋은 방법은 네트워크에 있는 모든 디바이스를 자주 업데이트하는 것입니다. 소프트웨어 회사는 발견된 일반적인 취약점 및 노출(CVE)을 패치하는 업데이트를 정기적으로 배포하므로 사이버 범죄자가 취약점에 액세스하기 전에 이러한 취약점을 업데이트하는 것이 중요합니다. SOC는 공격을 탐지하고 차단하는 Cortex XDR과 같은 확장 탐지 및 대응 (EDR) 제품을 통해 보호 수준을 한 단계 더 높일 수 있습니다. 해결해야 하는 인터넷 기반 취약점을 식별하고 원격 데스크톱 프로토콜(RDP)과 같은 위험한 노출을 자동으로 해결하기 위해 SOC는 Cortex Xpanse와같은 능동적 공격 표면 관리 (ASM) 도구를 채택할 수 있습니다.

엔드포인트와 네트워크 보안의 결합에 대해 자세히 알아보세요.

2. 무차별 대입 자격증명 공격

무차별 대입 공격은 시행착오를 통해 시스템이나 애플리케이션에 접근하는 방식입니다. 사이버 범죄자들은 올바른 로그인이 발견될 때까지 사용자 이름과 암호를 자동으로 입력하는 스크립트를 만들어 실행합니다. 이는 가장 오래된 사이버 보안 공격 중 하나이며, 수년 동안 성공적인 전술로 그 지위를 유지해 왔습니다.

무차별 대입 공격은 다중 인증(MFA)을 구현하는 것이 중요한 여러 가지 이유 중 하나입니다. MFA를 사용하는 시스템에서는 사용자가 시스템에 액세스하기 전에 애플리케이션의 코드나 생체 인식과 같은 추가 인증 수단을 사용해야 합니다.

자격 증명 도용 방지에 대해 자세히 알아보세요.

무차별 대입 공격이 성공하면 Cortex XSIAM과 같은 플랫폼은 비정상적인 사용자 행동을 SOC에 알리고 조사를 요청합니다. Cortex XSIAM은 MFA 플랫폼과 원활하게 통합되어 의심스러운 로그인 정보가 발생하는 즉시 이를 전달하고, 이러한 경고를 퍼널의 최상단에 신속하게 전달하여 분석가에게 알리고 무차별 대입 공격을 사전에 차단합니다.

3. 소셜 엔지니어링

피싱 이메일과 같은 소셜 엔지니어링 방법은 신뢰할 수 있는 출처에서 보낸 것으로, 피해자가 링크를 클릭하고 멀웨어를 직접 다운로드하도록 유도합니다. 이러한 메시지에는 사람들이 충분히 생각하기도 전에 행동하도록 동기를 부여하기 위해 긴박감이나 위험감이 내재되어 있는 경우가 많습니다. 이러한 공격은 매우 성공적일 수 있으며 랜섬웨어의 경우 매우 위험하고 비용이 많이 듭니다.

직원을 대상으로 정기적인 사이버 보안 교육을 구현하는 것이 소셜 엔지니어링 공격으로부터 보호하는 가장 좋은 방법입니다. 직원이 피싱 시도를 식별하고 신고하면 SOC는 공격을 조사하고 발생한 상황을 파악할 수 있습니다. 피싱 공격이 성공하면 보안 오케스트레이션, 자동화 및 대응 (SOAR) 플랫폼(예: Cortex XSOAR )은 SOC가 공격자를 조사하고 시스템에서 제거할 때까지 감염된 사용자를 자동으로 종료하여 검색 및 해결을 간소화할 수 있습니다.

4. 이전에 유출된 자격증명

사용자 인증정보가 유출된 경우 가능한 한 빨리 교체하는 것이 중요합니다. 안타깝게도 다크 웹에서는 사용자도 모르는 사이에 인증 정보가 유출되어 모든 종류의 공격자가 시스템에 자유롭게 액세스할 수 있습니다. 설상가상으로 많은 사용자가 여러 서비스에 동일한 비밀번호를 사용하기 때문에 하나의 비밀번호가 유출되면 재사용된 비밀번호가 다른 시스템이나 애플리케이션에 무단으로 액세스하는 데 사용될 수 있습니다.

다중 인증 외에도 직원들이 암호를 잘 관리하도록 장려하는 것은 인증정보 유출로 인한 공격을 방지하는 입증된 방법입니다. 비밀번호 관리자를 사용하고, 정기적으로 비밀번호를 변경하고, 복잡하게 설정하고, 같은 비밀번호를 재사용하지 않으면 개인과 조직을 보호할 수 있습니다. Cortex XDR은 행동 분석을 활용하여 이전에 유출된 자격 증명이 환경에 무단으로 액세스하는 데 사용된 경우에도 비정상적인 사용자 행동을 탐지하고 방지할 수 있습니다.

5. 신뢰 남용

현재 위협 환경의 혼란 속에서 보안 전문가는 내부 위협을 주시하는 것이 중요합니다. 직원이 고용주로부터 부당한 대우를 받았다고 느끼든 위협 행위자가 접근했든, 랜섬웨어가 환경에 침입하는 가장 쉬운 방법 중 하나는 이미 합법적인 액세스 권한을 가진 사람으로부터 접근하는 것입니다.

신뢰도 남용 인시던트가 발생하는 경우, Cortex XSOAR와 같은 제품이나 Cortex XSIAM과 같은 플랫폼은 인시던트 대응 처리를 자동화하여 보안 팀에 알리고 해당 사용자를 격리할 수 있습니다. 불만을 품은 직원이 보복할 수 있는 기회를 줄이기 위해 오프보딩 모범 사례를 통해 추가적인 보호 조치를 구현할 수 있습니다.

랜섬웨어 공격으로부터 보호하기

다섯 가지 방법 모두 공격자가 시스템에 침입할 수 있는 해로운 방법입니다. 요약하자면, 아직 구현하지 않았다면 SOC에서 다음을 구현할 것을 권장합니다:

  • 공격을 식별하고 차단하는 Cortex XDR과 같은 EDR 플랫폼
  • 엔드포인트, 네트워크 등에 대한 완전하고 자동화된 가시성을 제공하는 Cortex XSIAM
  • 인터넷 기반 공격의 신속한 식별 및 자동 치료를 위한 Cortex Xpanse와 같은 능동형 ASM 플랫폼
  • 검색을 간소화하고 감염된 사용자를 자동으로 격리하는 Cortex XSOAR와 같은 SOAR 플랫폼
  • 환경에 대한 전체 액세스를 허용하기 전에 사용자를 확인하는 MFA
  • 소셜 엔지니어링 또는 무차별 대입 공격의 가능성을 줄이기 위해 직원들에게 피싱 교육 및 암호 위생과 같은 모범 보안 관행을 적용합니다.
  • 내부자 공격을 방지하기 위해 전직 직원을 위한 간소화된 오프보딩 수행

이러한 방법과 플랫폼은 매우 유용하지만, 여기까지만 도움이 될 것입니다. 특히 랜섬웨어의 경우 가장 유용한 추가 대비 방법이 있습니다.

 

랜섬웨어 준비 상태를 평가하는 방법

랜섬웨어 방어는 계획에서 시작됩니다. Unit 42에서는 랜섬웨어 준비도 평가를 제공하여 랜섬웨어 공격을 더 효과적으로 예방, 탐지, 대응 및 복구할 수 있도록 준비합니다. 대응 전략을 검증하고 숨겨진 위험을 탐지하는 등 랜섬웨어에 대비할 수 있는 상태를 달성하세요.

Unit 42 랜섬웨어 준비도 평가를 요약한 그래픽
그림 2: Unit 42 랜섬웨어 준비도 평가를 요약한 그래픽

저희 팀은 가장 까다롭고 악의적인 사이버 보안 위협에 대비하고 대응할 수 있도록 도와드립니다. 현재 침해가 진행 중이거나 사이버 사고의 영향을 받았다고 생각되면 Unit 42로 문의하세요.

 

랜섬웨어 공격 FAQ

사이버 범죄자는 환경에 침투하여 몸값을 지불하는 대가로 조직이나 개인을 위협하는 방법을 사용할 수 있습니다.
Unit 42 2022 사고 대응 보고서에 따르면 랜섬웨어 공격자들은 악용 가능한 취약점, 무차별 대입 공격, 소셜 엔지니어링, 이전에 손상된 자격 증명, 신뢰 기회 남용을 활용하고 있습니다.
EDR, SOAR 및 능동형 ASM을 위한 플랫폼을 구현하면 랜섬웨어 위험을 줄일 수 있습니다.
컴퓨터나 파일이 잠겨서 몸값을 지불하지 않으면 액세스할 수 없는 경우 랜섬웨어 공격의 피해자임을 알 수 있습니다.
공격자가 파일을 공개하거나 다시 공격 대상이 되지 않는다는 보장이 없으므로 몸값을 지불하는 것은 권장하지 않습니다. 전문가의 도움과 조언을 구하는 것이 가장 좋습니다.
관련 콘텐츠
랜섬웨어 전문가 되기
주요 랜섬웨어 그룹에 대한 현장 위협 분석과 피해자를 괴롭히는 데 사용되는 최신 수법에 대한 심층 분석을 읽어보세요.
Unit 42로 오늘날의 공격 이해하기
작년의 전략은 다음에 일어날 일을 예측하는 데 도움이 됩니다. 2022 인시던트 대응 보고서를 통해 공격자들이 누구를 공격했고 어떻게 성공했는지 알아보세요.
개인용 Cortex 데모 요청하기
담당자와 연결하여 환경을 분석하고 Cortex 제품이 어떻게 효율성, 고급 가시성 및 보호 기능을 제공하는지 알아보세요.
Unit 42 전문가를 모집하는 방법
데이터시트를 읽고 Unit 42 서비스에 대해 자세히 알아보고 리테이너 프로그램이 사용자 환경에 맞게 어떻게 구축되는지 알아보세요.
이전 랜섬웨어란 무엇인가요?

최신 소식, 이벤트 초대장 및 위협 알림 받기

© Copyright 2025 팔로알토네트웍스코리아 유한회사 Palo Alto Networks Korea, Ltd. All rights reserved. 여러 가지 상표에 대한 소유권은 각 소유자에게 있습니다. 사업자 등록번호: 120-87-72963. 대표자 : 제프리찰스트루 서울특별시 서초구 서초대로74길 4, 1층 (삼성생명 서초타워) TEL: +82-2-568-4353