This is the Trace Id: 3f08a7d66807233580303f5f9bb9f446
주 콘텐츠로 건너뛰기
Microsoft Security

랜섬웨어란?

랜섬웨어란 무엇인지, 어떻게 작동하는지, 그리고 이러한 유형의 사이버 공격으로부터 비즈니스를 보호하는 방법을 알아봅니다.
랜섬웨어로부터 보호

랜섬웨어 이해

랜섬웨어는 사이버 범죄자가 랜섬을 지급하지 않는 한, 악의적인 소프트웨어 또는 맬웨어유형으로, 사이버 범죄자가 공격 대상 데이터의 액세스를 차단, 삭제 또는 게시하는 데 사용합니다. 기존의 랜섬웨어는 개인과 조직을 모두 대상으로 하지만, 인간 운영 랜섬웨어와 RaaS(서비스형 랜섬웨어) 두 가지 최근 개발은 기업 및 기타 대규모 조직에 더 큰 위협이 되었습니다.

사람이 운영하는 랜섬웨어를 사용하는 공격자 그룹은 집단 인텔리전스를 사용하여 엔터프라이즈 네트워크에 액세스할 수 있습니다. 랜섬웨어를 설치하기 전에 회사를 조사하여 취약성을 이해하고 경우에 따라 랜섬 수치를 설정하는 데 도움이 되는 재무 문서를 발견합니다.

RaaS(서비스형 랜섬웨어) 모델에서 일련의 범죄 개발자는 랜섬웨어를 만든 다음 다른 사이버 범죄 계열사를 고용하여 조직의 네트워크를 해킹하고 랜섬웨어를 설치합니다. 두 그룹은 합의된 비율로 수익을 분할합니다.

모든 랜섬웨어는 공격 받은 개인과 조직에 막대한 피해를 끼칩니다. 영향을 받는 시스템을 다시 온라인 상태로 만들려면 며칠, 몇 주 또는 몇 달이 걸릴 수 있으므로 생산성과 판매가 손실됩니다. 조직은 고객 및 커뮤니티와의 평판에 손상을 입힐 수도 있습니다.

핵심 사항

  • 랜섬웨어는 데이터를 암호화하고 해독하기 위해 랜섬 결제를 요구하는 맬웨어 유형입니다.
  • 피싱 메일, 악성 웹 사이트 및 익스플로잇 키트를 통해 확산할 수 있습니다.
  • 사람이 운영하는 랜섬웨어에서 공격자 그룹은 집단 인텔리전스를 사용하여 엔터프라이즈 네트워크에 액세스합니다.
  • 두 가지 주요 랜섬웨어 유형은 중요한 데이터와 파일을 암호화하는 암호화 랜섬웨어와 디바이스에서 잠금을 해제하는 보관 랜섬웨어입니다.
  • 랜섬웨어 공격은 개인과 기업에 상당한 재정적, 평판 및 운영적 손상을 초래할 수 있습니다.
  • 강력한 보안 소프트웨어 사용, 데이터 백업 및 조직에서 사이버 보안 인식 촉진과 같은 랜섬웨어 공격으로부터 자신을 보호하기 위해 수행할 수 있는 단계가 있습니다.

랜섬웨어 유형

랜섬웨어는 암호화 랜섬웨어와 락커 랜섬웨어의 두 가지 주요 형태로 제공되며, 여러 하위 유형으로 더 자세히 구분됩니다.

암호화 랜섬웨어
암호화 랜섬웨어 공격에서 공격자는 요청된 랜섬웨어를 지불하지 않는 한 액세스할 수 없도록 공격 대상의 중요한 데이터 또는 파일을 암호화합니다. 이론적으로는 공격자가 비용을 지불하면 파일 또는 데이터에 대한 액세스 권한을 제공하는 암호 해독 키를 인계합니다. 그러나 보장은 없습니다. 많은 조직에서는 랜섬 비용을 지불한 후에도 파일에 대한 액세스 권한을 영구적으로 상실했습니다.

락커 랜섬웨어
랜섬웨어 보관에서 악의적인 행위자가 공격 대상자를 장치에서 잠그고 액세스 권한을 다시 얻으려면 랜섬을 지불하는 방법에 대한 지침이 포함된 화상 랜섬 노트를 제공합니다. 이러한 유형의 랜섬웨어에는 암호화가 수반되지 않으므로 피해자가 디바이스에 다시 액세스할 수 있게 되면 중요한 파일과 데이터가 그대로 보존됩니다. 보관 랜섬웨어는 일반적으로 모바일 장치에서 사용됩니다.

이러한 두 가지 기본 형태의 랜섬웨어는 다음과 같은 하위 유형에 속합니다.

스케어웨어
스케어웨어는 사람들이 랜섬을 지불하도록 하는 것에 대한 걱정을 사용합니다. 이러한 유형의 사이버 공격은 악의적인 행위자가 법 집행 기관처럼 행동하여 범죄와 과금 요구로 공격 대상에게 메시지를 보냅니다.

독스웨어
독스웨어에서는 악의적인 행위자가 개인 정보를 도용하고, 랜섬이 지급되지 않으면 일반에 공개하겠다고 위협합니다.

이중 갈취 랜섬웨
이중 갈취 랜섬웨어에서 공격자는 파일을 암호화할 뿐만 아니라 중요한 데이터를 도용하고, 랜섬이 지불되지 않으면 일반에 공개하겠다고 위협합니다.

위퍼
위퍼는 랜섬을 지불하지 않으면 공격 대상의 데이터를 파괴하려고 위협합니다.

랜섬웨어의 작동 방식

대부분의 랜섬웨어 공격은 3단계 프로세스를 따릅니다.

1. 액세스 얻기
악의적인 행위자가 다양한 방법을 사용하여 회사의 중요한 데이터에 액세스합니다. 가장 일반적인 것 중 하나는 피싱입니다. 사이버 범죄자가 전자 메일, 문자 또는 전화 통화를 사용하여 사람들이 자격 증명을 제공하거나 맬웨어를 다운로드하도록 유도하는 경우입니다. 또한 악의적인 행위자가 악용 키트를 사용하여 맬웨어를 자동으로 다운로드하여 공격 대상 디바이스에 설치하는 악성 웹 사이트를 사용하는 직원 및 기타 사용자를 대상으로 합니다.

2. 데이터 암호화
랜섬웨어 공격자는 중요한 데이터에 액세스할 수 있게 되면 해당 데이터를 복사하여 액세스할 수 있는 백업과 함께 원본 파일을 삭제합니다. 그런 다음 복사본을 암호화하고 암호 해독 키를 만듭니다.

3. 랜섬 요구
데이터에 액세스할 수 없도록 만든 후 랜섬웨어는 데이터가 암호화되었음을 설명하는 경고 상자를 통해 메시지를 전달하고 암호 해독 키를 대신하는 대신 일반적으로 전자화폐인 돈을 요구합니다. 또한 이러한 공격의 배후인 악의적인 행위자가 피해자가 지불을 거부할 경우 데이터를 일반에 공개하도록 위협할 수 있습니다.

랜섬웨어 공격의 영향

즉각적인 운영 중단 외에도 랜섬웨어 공격의 결과에는 상당한 재정적 손실, 평판 손상 및 장기적인 운영 문제가 포함될 수 있습니다.

재무적 영향
랜섬을 지불하는 비용은 상당한 비용이 될 수 있으며, 종종 수백만 달러까지 될 수 있고 공격자가 암호 해독 키를 제공하거나 제대로 작동한다는 보장은 없습니다.

조직에서 랜섬 결제를 거부하더라도 여전히 큰 금융 비용이 발생할 수 있습니다. 랜섬웨어 공격으로 인한 중단으로 인해 가동 중지 시간이 길어져 생산성에 영향을 주고 잠재적으로 수익이 손실될 수 있습니다. 공격으로부터 복구하려면 포렌식 조사 비용, 법률 비용 및 향상된 보안 조치에 대한 투자를 비롯한 추가 비용이 포함됩니다.

평판 손상
고객과 파트너는 손상된 비즈니스에 대한 신뢰를 잃을 수 있으며, 이로 인해 고객 충성도가 감소하고 향후 비즈니스가 손실될 수 있습니다. 유명인 공격은 종종 미디어의 관심을 끌며 회사의 평판과 브랜드 이미지를 손상시킬 수 있습니다.

운영 과제
백업을 사용하더라도 데이터 손실 또는 손상 위험이 있으며, 이는 비즈니스 연속성 및 운영 효율성에 영향을 줄 수 있습니다. 기업은 특히 유럽 연합 또는 캘리포니아 소비자 개인 정보 보호법의 일반 데이터 보호 규정 같은 데이터 보호 규정의 적용을 받는 경우 중요한 데이터를 보호하지 못하는 경우 법적 및 규제에 직면할 수 있습니다.

실제 랜섬웨어 예제

대부분의 가장 높은 프로필의 사람이 운영하는 랜섬웨어 공격은 랜섬웨어 그룹이 수행하며, RaaS(서비스형 랜섬웨어) 비즈니스 모델을 사용하여 작동합니다.

 
  • LockBit는 2019년 이후 금융 서비스, 의료 및 제조를 비롯한 다양한 부문을 대상으로 했습니다. 이 랜섬웨어는 네트워크 내에서 자체 전파하는 기능으로 알려져 있어 특히 위험합니다. LockBit 계열사는 정교한 기술을 사용하여 데이터를 암호화하고 랜섬을 요구하는 수많은 대규모 공격을 담당해 왔습니다. 
  • BlackByte 공격에는 사이버 범죄자가 데이터를 암호화하고 반출하는 이중 반출이 포함되는 경우가 많으며, 랜섬이 지불되지 않으면 도난당한 데이터를 게시할 수 있습니다. 이 랜섬웨어는 정부 및 금융 서비스를 비롯한 중요한 인프라 부문을 대상으로 하는 데 사용되었습니다.
  • 2021년 6월에서 2023년 1월 사이에 활성화된 Hive 랜섬웨어의 이면 그룹은 이중 배분 기능을 사용했으며 일반적으로 의료 시설을 포함한 공공 기관 및 중요 인프라를 대상으로 합니다. 사이버 범죄와의 상당한 성과로는 FBI가 2022년 Hive의 네트워크에 침투하여 암호 해독 키를 캡처하고 1억 3천만 달러 이상의 랜섬 요구를 방지했습니다. 
  • Akira 랜섬웨어는 2023년 초부터 활성화되어 Windows 및 Linux 시스템을 대상으로 하는 정교한 맬웨어입니다. 악의적인 행위자는 Akira를 사용하여 VPN 서비스, 특히 다단계 인증이 없는 취약성을 통해 초기 액세스 권한을 얻습니다. Akira는 등장한 이후 250개 이상의 조직에 영향을 주고 약 4,200만 USD의 랜섬웨어 수익을 청구했습니다.
 
예방

랜섬웨어 방지 및 보호 전략

엔드포인트 및 클라우드 보호

가장 좋은 형태의 보호는 방어입니다. 엔드포인트용 Microsoft Defender와 같은 신뢰할 수 있는 엔드포인트 검색 및 대응 솔루션으로 많은 랜섬웨어 공격을 식별하고 차단할 수 있습니다. Microsoft Defender XDR과 같은 Extended detection and response (XDR) 솔루션은 엔드포인트 보호를 넘어 디바이스, 전자 메일, 공동 작업 앱 및 ID를 보호할 수 있습니다. 또한 클라우드에서 많은 비즈니스가 수행되므로 Microsoft Defender for Cloud 같은 솔루션으로 모든 클라우드 인프라 및 앱을 보호하는 것이 중요합니다.

정기적인 교육 진행하기

정기적인 교육을 통해 직원들에게 피싱과 그 밖의 랜섬웨어 공격의 징후를 알아차리는 방법을 알려주세요. 학습을 강화하고 추가 교육 기회를 식별하려면 정기적인 피싱 시뮬레이션을 수행합니다. 이렇게 하면 직원이 업무에 대한 더 안전한 사례와 개인 디바이스를 사용할 때 더 안전한 방법을 배울 수 있습니다.

제로 트러스트 모델 도입하기

제로 트러스트 모델은 네트워크 내부에서 들어오는 모든 액세스 요청이 잠재적 위협이라고 가정합니다. 제로 트러스트 원칙에는 연속 인증을 통해 명시적으로 확인하고, 권한을 최소화하기 위해 최소 권한 액세스를 적용하고, 강력한 포함 및 모니터링 조치를 구현하여 위반을 가정하는 것이 포함됩니다. 이 추가 조사를 통해 악의적인 ID 또는 디바이스가 리소스에 액세스하고 랜섬웨어를 설치할 가능성이 줄어듭니다.

 정보 공유 그룹에 가입하기

정보 공유 그룹은 산업 또는 지리적 위치별로 자주 구성되며 유사하게 구조화된 조직이 사이버 보안 솔루션을 위해 협력하도록 권장합니다. 또한 이 그룹은 인시던트 대응 및 디지털 포렌식 서비스, 위협 인텔리전스, 공용 IP 범위 및 도메인 모니터링과 같은 다양한 이점을 조직에 제공합니다.

오프라인 백업 유지하기

일부 랜섬웨어는 보유한 온라인 백업을 찾아 삭제하려고 하기 때문에 정기적으로 테스트하는 중요한 데이터의 업데이트된 오프라인 백업을 유지하여 랜섬웨어 공격에 노출될 경우 복원할 수 있는지 확인하는 것이 좋습니다.

소프트웨어를 최신 버전으로 유지하기

맬웨어 방지 솔루션을 업데이트된 상태로 유지하는 것 외에도 사용 가능한 즉시 다른 시스템 업데이트 및 소프트웨어 패치를 다운로드하여 설치해야 합니다. 이를 통해사이버 범죄자가 네트워크 또는 디바이스에 액세스하기 위해 악용할 수 있는 보안 취약성을 최소화할 수 있습니다.

사고 대응 계획 마련하기

인시던트 대응 계획은 가능한 한 빨리 정상 및 안전하게 작동하도록 다양한 공격 시나리오에서 수행하는 단계를 제공합니다.

랜섬웨어 공격에 대응하기

자신이 랜섬웨어 공격의 대상이 되는 경우, 재방문 및 제거 옵션이 있습니다.

감염된 데이터를 분리합니다.
네트워크의 다른 영역으로 랜섬웨어가 퍼지지 않도록 가능한 한 즉시 감염된 데이터를 분리합니다.

맬웨어 방지 프로그램을 실행합니다.
감염된 시스템을 격리한 후에는 맬웨어 방지 프로그램을 사용하여 랜섬웨어를 제거합니다.

파일 암호 해독 또는 백업 복원
가능한 경우 법 집행 기관 또는 보안 연구원이 제공하는 암호 해독 도구를 사용하여 랜섬을 지불하지 않고 파일의 암호를 해독합니다. 암호 해독이 불가능한 경우 백업에서 파일을 복원합니다.

공격을 신고합니다.
지역 또는 연방 법 집행 기관에 연락하여 공격을 신고합니다. 미국의 경우 이 여기가 FBI 지역 현장 사무소, IC3 또는 비밀 경호국입니다. 이 방법을 통해 즉각적으로 문제를 해결하지는 못할 수 있으나, 관계 당국이 여러 공격을 추적하고 모니터링할 수 있도록 지원하는 것이 중요합니다. 사용자 환경에 대한 세부 정보를 제공하는 것은 사이버 범죄 또는 사이버 범죄 그룹을 찾아서 격리하는 데 유용할 수 있습니다.

랜섬 지급 여부는 신중하게 생각하세요.
랜섬을 지불하려고 할 수도 있지만 사이버 범죄자가 자신의 말을 지키고 데이터에 대한 액세스 권한을 부여한다는 보장은 없습니다. 보안 전문가들과 법 집행 기관에서는 랜섬웨어 공격의 피해자가 랜섬을 지급하지 않도록 권고합니다. 랜섬을 지급할 경우 추가 위협을 받을 수 있으며, 범죄 산업을 지원하는 결과로 이어질 수 있기 때문입니다.
리소스 

Microsoft 보안 살펴보기

통합 AI 기반 위협 방지 솔루션 및 입증된 모범 사례를 사용하여 복잡한 랜섬웨어로부터 조직을 보호하세요.
컴퓨터를 보고 있는 녹색셔츠를 입은 여성.
솔루션

랜섬웨어로부터 보호하기

다중 클라우드, 다중 플랫폼 환경에서 정교한 사이버 공격에 노출되고 대응합니다.
자세한 정보
책상 앞에 앉아 노트북을 사용하는 남자.
솔루션

AI 기반의 통합된 SecOps를 사용하여 위협보다 앞서가기

하나의 플랫폼에서 XDR 및 보안 정보 및 이벤트 관리를 모두 이용합니다.
자세한 정보
테이블 위의 노트북.
제품

Microsoft Defender XDR을 사용하여 전체 기업 보호

사이버 공격으로부터 엔드포인트, ID, 클라우드 앱 및 데이터를 방어합니다.
자세한 정보
노트북 앞에서 종이를 들고 안경을 쓰고 수염이 있는 남자.
제품

비즈니스용 Microsoft Defender를 사용하여 소규모 기업 보호

차세대 바이러스 백신 및 엔터프라이즈급 AI 기반 엔드포인트 감지 및 응답을 통해 디바이스 전반에서 정교한 랜섬웨어 공격으로부터 보호합니다.
자세한 정보
노트북을 보고 있는 여성 및 남성.
위협 방지 포털

사이버 보안 및 AI 뉴스

사이버 위협 방지 및 보안 AI의 최신 추세와 모범 사례를 살펴보세요.
최신 리소스 받기
리소스 섹션으로 돌아가기

자주 묻는 질문

  • 랜섬웨어는 중요한 데이터를 암호화하고 암호를 해독하는 대신 랜섬 결제를 요구하는 맬웨어 유형입니다.
  • 안타깝게도 온라인을 이용하는 거의 모든 사용자가 랜섬웨어 공격의 피해자가 될 수 있습니다. 개인용 디바이스와 엔터프라이즈 네트워크는 사이버 범죄의 빈번한 대상이 됩니다.
  • 기존 방식의 랜섬웨어 공격은 감염된 전자 메일을 열거나 유해한 웹 사이트를 클릭하는 것과 같이 악성 콘텐츠를 사용하도록 개인을 속여서 디바이스에 랜섬웨어를 설치하는 방식으로 이루어졌습니다.
    사람이 조작하는 랜섬웨어 공격에서는 일련의 공격자들이 주로 도난된 자격 증명을 통해 조직의 중요한 데이터를 공격하고 침해합니다.
    소셜 엔지니어링 랜섬웨어와 사람이 조작하는 랜섬웨어 모두 피해자나 조직에게 데이터가 도난되었다는 사실과 랜섬 금액을 알려 주는 랜섬 메모가 표시됩니다. 그러나 랜섬을 지불한다고 해서 데이터가 실제로 반환되거나 향후 위반이 방지된다는 보장은 없습니다.
  • 랜섬웨어 공격은 막대한 손실을 유발할 수 있습니다. 개인 수준과 조직 수준에서 피해자는 높은 랜섬을 지급해야 한다는 압박을 받지만, 데이터를 돌려받거나 추가 공격이 발생하지 않는다는 보장은 없습니다. 사이버 범죄자가 조직의 중요한 정보를 유출할 경우 조직의 이미지가 훼손되고 신뢰가 떨어질 수 있습니다. 유출된 정보의 유형과 조직의 규모에 따라 수많은 개인들이 ID 도난이나 그 밖의 유형의 사이버 범죄의 피해자가 될 수 있습니다.
  • 피해자의 디바이스를 랜섬웨어로 감염시키는 사이버 범죄자들은 금전을 원합니다. 이들은 익명성과 추적 불가능성 때문에 주로 암호 화폐로 랜섬 금액을 책정합니다. 개인이 대상이 되면 수백 또는 수천 미국 달러일 수 있습니다. 사람이 운영하는 랜섬웨어 캠페인에는 종종 수백만 달러(미국 달러)가 필요합니다.
  • 랜섬웨어 공격의 피해자는 지역 또는 연방 법 집행 기관에 신고해야 합니다. 미국의 경우, 여기가 FBI 지역 현상 사무소, IC3 또는 비밀 경호국입니다. 보안 전문가 및 법 집행 기관은 이미 결제한 경우 범죄자가 랜섬을 지불하지 않는 것이 좋습니다. 은행 및 지방 기관에 즉시 문의하세요. 신용 카드로 결제한 경우 은행에서 결제를 차단할 수 있습니다.

Microsoft Security 팔로우