서비스형 Ransomware는 점점 증가하고 있으며, 지능적인 사용자들이 효과적인 Ransomware 캠페인을 배포하는 것이 그 어느 때보다 쉬워지고 있습니다. 내년에 조직이 표적이 될 가능성은 그 어느 때보다 높아졌습니다.
어느 날 출근했는데 회사의 ERP 시스템이 더 이상 작동하지 않는다고 상상해 보십시오. 영업 부서는 주문을 받을 수 없으며, 창고 팀은 기존 주문을 배송하는 데 필요한 정보를 가지고 있지 않습니다. 귀사는 Ransomware 공격을 당했습니다. 마감 기한이 다가오고 깨끗한 백업이 필요 없기 때문에 어려운 결정을 내려야 합니다. 공격자에게 비용을 지불하거나 미션 크리티컬 데이터를 잃을 위험이 있습니다. 조직의 백업이 깨끗하더라도, 정상 운영이 가장 중요한 애플리케이션으로 복구되기까지 며칠 또는 몇 주가 걸릴 수 있습니다.
Gartner에 따르면, 2024년 Ransomware의 불법 시장은 8억 달러를 초과했습니다. 보험회사 여행자들에 의한 연구에 따르면, 2024년에는 공격 횟수가 15% 증가한 것으로 추정됩니다. 서비스형 Ransomware(RaaS)라는 새로운 사이버 범죄 비즈니스 모델은 Ransomware 피해자를 그 어느 때보다 쉽게 표적으로 삼고 이미 널리 퍼진 문제를 가속화합니다.
서비스형 Ransomware는 비기술 범죄자들이 정교한 Ransomware 공격을 실행하여 사이버 범죄의 진입 장벽을 낮추고 전반적인 위협 수준을 크게 높일 수 있도록 합니다. RaaS의 작동 방식과 이를 방어하는 방법에 대한 이해는 보안을 유지하고자 하는 모든 조직에 필수적입니다.
랜섬웨어 Ransomware 서비스란?
서비스형 Ransomware는 정교한 해커가 계열사에 소프트웨어를 제공한 후 공격을 수행하고 수익을 분할하는 비교적 새로운 범죄 비즈니스 모델입니다.
기존 Ransomware를 생성하고 배포하려면 해커는 상당히 높은 수준의 기술 전문성을 보유해야 합니다. 반면, RaaS는 공격자가 필요로 할 수 있는 모든 것을 포함하는 사용자 친화적인 인터페이스에 패키징된 사전 제작된 “제품”을 제공합니다. 다크 웹 포럼이나 암호화된 마켓플레이스에서 호스팅되는 이 키트에는 대시보드, 지원 채널 및 결제 프로세서가 포함되어 있어 사이버 범죄자들이 제대로 보호되지 않은 기업으로부터 돈을 갈취하는 데 필요한 모든 것을 제공합니다.
RaaS는 이익 공유 비즈니스 모델을 채택함으로써 경험이 없는 해커가 게임에 진입할 수 있는 기회를 열어 Ransomware를 그 어느 때보다 널리 보급되고 지속적인 위협으로 만듭니다.
서비스형 Ransomware의 작동 방식
일반적인 RaaS 운영에는 Ransomware를 생성하는 소프트웨어 개발자와 공격을 개시하기 위해 악성 소프트웨어를 사용하는 계열사의 두 당사자가 포함됩니다.
Ransomware 개발자는 Ransomware 페이로드, 인프라 및 명령 및 제어 서버를 구축하고 유지합니다. 이러한 조직은 높은 수준의 기술 전문성을 보유하고 있으며 정교한 시스템을 관리 및 유지보수할 수 있는 리소스를 보유하고 있습니다. 반면, 계열사는 단순히 표적을 식별하고, 취약점을 악용하며, 공격을 실행하는 데 에너지를 집중할 수 있습니다.
RaaS 공격은 다음과 같이 전개됩니다.
- 구독: 계열사는 종종 월 요금 또는 백분율 기반 수익 공유 모델을 통해 RaaS 플랫폼을 구독합니다.
- 맞춤화: 계열사는 특정 랜섬웨어 Ransomware 페이로드를 맞춤화하고, 피해자를 대상으로 하는 선호하는 방법을 선택하고, 랜섬웨어 요구와 같은 커뮤니케이션을 맞춤화할 수 있습니다.
- 배포: RaaS 기반 Ransomware는 피싱, 침해된 웹사이트 또는 원격 데스크톱 익스플로잇과 같은 기법을 통해 배포됩니다.
- 감염 및 암호화: Ransomware가 표적의 시스템을 침해하면, 가치 있는 데이터를 암호화하고, 사용자를 차단하며, 몸값을 전달합니다.
- 지불 및 이익 공유: 피해자가 비용을 지불하면, RaaS 플랫폼은 일반적으로 암호화폐로 지불을 촉진하고, 계열사와 Ransomware 개발자 간의 랜섬을 분할합니다.
서비스형 Ransomware는 사이버 공격을 그 어느 때보다 쉽게 오케스트레이션하고 예측하기 어렵게 만듭니다. 이것이 바로 적시 Ransomware 탐지와 신속한 대응이 매우 중요한 이유입니다. 예를 들어, 퓨어1(Pure1)® AIOps 플랫폼에는 공격 중에 의심스러운 활동을 탐지할 수 있는 고급 기능이 포함되어 있습니다. 조직이 공격자의 표적이 되는 경우, 잘 설계된 사이버 복원성 아키텍처를 통해 몸값을 낮추지 않고도 빠르고 완전하게 복구할 수 있습니다.
서비스형 Ransomware의 부상
서비스형 Ransomware는 수익성이 높기 때문에 급속히 성장했습니다. 막대한 랜섬과 추적할 수 없는 암호화폐 결제는 RaaS를 수익성 높은 벤처 기업으로 만듭니다. 또한 RaaS는 전 세계 모든 국가로 쉽게 확장됩니다. RaaS 키트는 다크 웹을 통해 액세스할 수 있으며 고객 서비스, 문서 및 정기 업데이트와 함께 제공됩니다.
그러나 실제 촉매제는 진입 장벽을 낮추는 RaaS의 역량에 있습니다. 랜섬웨어 Ransomware 공격이 성공적이고 정교해지면 최소한의 기술 지식만 필요합니다.
REvil, LockBit, DarkSide와 같은 저명한 RaaS 플랫폼은 여러 산업 분야에서 중요한 침해를 담당했습니다.
서비스형 Ransomware의 위험 및 영향
서비스형 Ransomware의 영향은 매우 큽니다. 무엇보다도, RaaS는 정교한 사이버 공격을 “대화”하여 성공적인 침해를 실행하고 전 세계 피해자로부터 돈을 수집하는 것을 그 어느 때보다 쉽게 만듭니다. 범죄 비즈니스 모델로서, 고도로 숙련된 해커의 잠재적인 발자국을 확장하여 Ransomware 공격이 확산됩니다.
Ransomware 피해자에게 미치는 영향은 상당합니다.
- 비즈니스 중단: Ransomware는 제대로 준비되지 않은 조직들이 백업에서 데이터를 복원하고, 시스템을 재구축하고, 다시 온라인 상태로 전환하기 위해 애쓰고 있기 때문에 며칠 또는 몇 주 동안 운영을 중단시킬 수 있습니다.
- 재정적 손실: 비용에는 랜섬 지불, 다운타임, 법률 비용 및 수익 손실이 포함됩니다. 해커들은 더 많은 돈을 요구하고 복구 지침 및 암호 해독 키가 작동하지 않을 수 있기 때문에 문제를 더 악화시키기 위해 초기 몸값을 지불해도 문제가 해결되지 않을 수 있습니다.
- 평판 손상: 데이터 침해와 장시간의 정전은 고객의 신뢰를 저해하며 규제 기관의 조사나 처벌로 이어질 수 있습니다.
- 국가 안보 문제: 중요한 인프라, 병원 및 정부 기관은 자주 표적이 됩니다.
RaaS의 정교함과 확장성에는 고급 보호 전략이 필요합니다. 예를 들어, 퓨어스토리지® SafeMode™ 스냅샷은 관리자 계정으로도 암호화 또는 삭제할 수 없는 변경 불가, 삭제 불가 데이터 복사본을 생성하여 Ransomware 위협을 완화하는 데 도움을 줍니다.
Ransomware 공격으로부터 방어하는 방법
기업과 개인은 RaaS를 방어하기 위해 선제적인 조치를 취해야 합니다.
Ransomware로부터 조직을 보호하려면 공격의 모든 단계, 즉 공격 전, 공격 중 및 공격 후에 전략적 접근 방식이 필요합니다.
공격에 앞서 조직은 복원력이 뛰어난 아키텍처를 구축하는 데 집중해야 합니다. 이는 훼손된 관리자 계정에 의해서도 변조 또는 삭제를 방지하는 SafeMode 스냅샷과 같은 변경 불가능한 백업을 구현하는 것으로 시작됩니다. 조직은 위협을 조기에 포착하기 위해 비정상적인 행동이나 접근 패턴을 파악한 이상 탐지 툴을 확대할 수 있습니다. 직원 교육도 마찬가지로 중요합니다. 직원들이 Ransomware의 시작점 역할을 하는 피싱 이메일과 소셜 엔지니어링 전술을 식별할 수 있도록 해야 합니다. 정기적인 패치 관리는 공격자가 자주 이용하는 보안 격차를 줄이는 데도 필수적입니다.
공격 중에는 속도와 봉쇄가 매우 중요합니다. 감염 확산을 방지하기 위해서는 액세스를 차단하고, 사용자 권한을 제한하며, 침해된 시스템을 격리하는 것이 중요합니다. 조직은 실시간 모니터링 및 분석을 통해 내부 이동을 추적하고 공격자의 발전을 방해할 수 있습니다. 공격 중에도, SafeMode와 같은 툴은 데이터 손실을 방지하고 백업 복사본을 그대로 유지하며 액세스 가능한 상태로 유지함으로써 중요한 역할을 계속하고 있습니다.
공격 후, 복구는 빠르고 깨끗하며 완전해야 합니다. 퓨어스토리지 플래시블레이드(플래시블레이드(FlashBlade)) 및 플래시어레이(FlashArray)와 같은 솔루션은 계층화된 복원력을 통해 조직이 페타바이트 단위의 데이터를 신속하게 복구하여 비용이 많이 드는 다운타임을 줄일 수 있도록 지원합니다. 에버그린Evergreen//OneOne™)을 통해 기업은 데이터가 깨끗하고 손상되지 않은 상태로 복원되어 재감염의 위험을 피할 수 있습니다. 마지막으로, 잘 정리된 사고 대응 계획을 수립하면 팀이 단호하게 행동하는 방법을 알 수 있어 운영 중단과 재정적 손실을 최소화할 수 있습니다.
퓨어스토리지는 이러한 각 단계를 지원할 수 있는 독보적인 위치에 있습니다. 퓨어스토리지는 변경 불가한 SafeMode 스냅샷부터 지능형 이상 탐지 및 고속 복구 기능에 이르기까지 조직이 RaaS 위협에 미리 대비하고 더 강력하게 대응할 수 있도록 퓨어스토리지 지원합니다.
퓨어스토리지 Ransomware 백업 및 복구 솔루션과 공격 전, 공격 중, 공격 후에 데이터를 보호하는 방법에 대해 자세히 알아보세요.
