Trace Id is missing
주 콘텐츠로 건너뛰기
Microsoft Security

랜섬웨어란?

렌섬웨어의 정의, 작동 방식, 랜섬웨어로부터 스스로와 비즈니스를 보호하는 방법을 알아보세요.

랜섬웨어의 정의

랜섬웨어는 랜섬을 지급할 때까지 중요한 데이터 또는 시스템에 대한 액세스를 폐기하거나 차단함으로써 피해자를 협박하는 악성 소프트웨어( 맬웨어)입니다. 과거에는 대부분의 랜섬웨어가 개인을 대상으로 했지만, 근래 들어서는 사람이 조작하며 조직을 대상으로 하는 랜섬웨어가 더 많아졌고 막아내기에도 더 어려워졌습니다. 사람이 조작하는 랜섬웨어에서는 일련의 공격자들이 집단 인텔리전스를 사용하여 조직의 엔터프라이즈 네트워크에 액세스합니다. 공격자가 네트워크에서 발견한 내부 재무 문서를 사용하여 랜섬 가격을 설정하는 경우도 있습니다.

뉴스에 언급된 랜섬웨어 공격

현재 뉴스에서 랜섬웨어 위협에 대한 언급을 심심치 않게 볼 수 있습니다. 최근 중대한 수준의 랜섬웨어 공격이 중요한 인프라, 의료 서비스, IT 서비스 공급자에게 영향을 미쳤습니다. 이러한 공격이 점점 더 규모 면에서 대담해져 공격의 영향이 더 예측 불가능한 상태가 되었습니다. 아래에서 몇몇 랜섬웨어 공격과 이러한 공격이 조직에 미친 영향을 살펴보세요.

  • 2022년 3월 그리스의 우편 시스템이 랜섬웨어의 피해자가 되었습니다. 공격으로 인해 우편 배달이 일시적으로 중단되었으며 금융 거래 처리에 영향을 미쳤습니다.
  •  인도에서 가장 규모가 큰 항공사 중 하나에서 2022년 5월 랜섬웨어 공격을 겪었습니다. 이 사고로 인해 항공편이 지연 및 취소되고 수백 명의 승객이 발이 묶였습니다.
  • 한 대형 HR 기업이 2021년 12월에 랜섬웨어 공격을 받아 해당 클라우드 서비스를 사용하는 고객의 급여 및 근태 시스템이 영향을 받았습니다.
  • 2021년 5월에는 랜섬웨어 공격을 받아 수천 건의 직원 개인 정보가 유출된 미국의 한 송유관 회사가 추가 유출을 막기 위해 서비스를 중단했습니다. 이 사건으로 인해 미국 동해안 지역 전체에서 가스 요금이 급등했습니다.
  •  독일의 한 화학 물질 유통 회사 가2021년 4월에 랜섬웨어 공격을 당했습니다. 6,000명이 넘는 사람들의 생년월일, 사회보장번호, 운전면허증 번호와 의료 데이터를 도난당했습니다.
  •  전 세계에서 가장 규모가 큰 육류 공급회사 가2021년 5월 랜섬웨어 공격의 대상이 되었습니다. 일시적으로 웹 사이트를 오프라인 상태로 전환하고 생산을 중단한 후 이 회사는 결국 비트코인으로 USD 1,100만 달러에 달하는 랜섬을 지급했습니다.

랜섬웨어의 작동 방식

랜섬웨어 공격은 금전을 요구하기 위한 수단으로 개인 또는 조직의 데이터 또는 디바이스에 대한 제어권을 확보합니다. 과거에는 소셜 엔지니어링 공격이 자주 이루어졌지만 근래 들어서는 사람이 조작하는 랜섬웨어가 높은 금액을 지급받을 수 있다는 가능성 때문에 더 만연해졌습니다.

소셜 엔지니어링 랜섬웨어 
소셜 엔지니어링 랜섬웨어는 공격자가 정상적인 기업 또는 웹 사이트로 가장하는 피싱공격을 사용하여 피해자로 하여금 링크를 클릭하거나 전자 메일 첨부 파일을 열도록 유도하고 디바이스에 랜섬웨어를 설치합니다. 보통 피해자가 두려움을 느껴 행동하도록 유도하는 메시지가 사용됩니다. 예를 들어, 사이버 범죄자가 유명 은행으로 가장하여 의심스러운 활동으로 인해 계좌가 막혔으니 전자 메일의 링크를 클릭하여 문제를 해결하라고 안내하는 전자 메일을 보냅니다. 피해자가 링크를 클릭하면 랜섬웨어가 설치됩니다.

사람이 조작하는 랜섬웨어
사람이 조작하는 랜섬웨어는 도난된 계정 자격 증명이 원인이 되는 경우가 많습니다. 이 방식으로 조직의 네트워크에 액세스하는 공격자는 도난된 계정을 사용하여 더 많은 권한을 가진 계정의 자격 증명을 알아내고 높은 금전적 가치를 가질 만한 데이터와 중요 비즈니스용 시스템을 찾아냅니다. 그런 다음 중요한 데이터 또는 중요 비즈니스용 시스템에 랜섬웨어를 설치합니다. (예를 들어, 조직이 랜섬을 지급할 때까지 액세스할 수 없도록 중요한 파일을 암호화합니다.) 사이버 범죄자들은 주로 익명을 유지할 수 있는 암호 화폐로 랜섬 지급을 요구합니다.

공격자들은 일반적인 개인보다 높은 랜섬을 지급할 수 있는 대규모 조직을 대상으로 삼아 수백만 달러를 요구하곤 합니다. 많은 조직이 이러한 규모의 보안 침해로 인해 발생할 수 있는 문제를 막기 위해 중요한 데이터가 유출되도록 두거나 사이버 범죄자들의 추가 공격 위험을 감수하는 대신 랜섬을 지급하는 쪽을 선택합니다. 단, 랜섬을 지급한다고 해서 데이터 유출이나 추가 공격이 일어나지 않는다고 보장할 수 있는 것은 아닙니다.

사람이 조작하는 랜섬웨어 공격의 규모가 커짐에 따라 공격을 자행하는 범죄자들도 보다 조직적으로 행동하고 있습니다. 오늘날 많은 랜섬웨어 공격이 Ransomware as a Service 모델을 사용합니다. 즉, 악성 개발자들이 랜섬웨어를 개발한 후 실제로 조직의 네트워크를 해킹하고 랜섬웨어를 설치하는 일은 사이버 범죄 집단을 고용하여 처리한 후 사전에 합의한 비율로 수익을 나눕니다.

랜섬웨어 공격의 유형

랜섬웨어는 크게 암호화 랜섬웨어와 락커 랜섬웨어로 구분됩니다.

암호화 랜섬웨어
암호화 랜섬웨어 공격의 피해자가 개인 또는 조직인 경우, 피해자가 랜섬을 지급하지 않는 이상 액세스할 수 없도록 공격자가 피해자의 중요한 데이터 도는 파일을 암호화합니다. 이론상으로는 피해자가 랜섬을 지급하면 파일 또는 데이터에 액세스할 수 있는 암호화 키를 받을 수 있지만, 실제로는 피해자가 랜섬을 지급해도 사이버 범죄자가 암호화 키를 보내거나 제어를 포기한다는 보장이 없습니다. Doxware는 피해자가 수치심을 느껴서 랜섬을 지급하도록 파일을 암호화하고 피해자의 개인 정보를 공개하겠다고 협박하는 암호화 랜섬웨어의 일종입니다.

락커 랜섬웨어
락커 랜섬웨어 공격에서는 피해자의 디바이스가 잠겨서 로그인할 수 없게 됩니다. 화면에는 디바이스가 잠겼다는 사실과 다시 액세스하기 위해 랜섬을 지급할 방법을 설명하는 랜섬 메모가 표시됩니다. 이러한 유형의 랜섬웨어에는 암호화가 수반되지 않으므로 피해자가 디바이스에 다시 액세스할 수 있게 되면 중요한 파일과 데이터가 그대로 보존됩니다.

랜섬웨어 공격에 대응하기

랜섬웨어 공격의 피해자가 된 경우 대응할 방법을 알아보세요.

랜섬 지급 여부는 신중하게 생각하세요.
랜섬을 지급하기만 하면 문제가 사라질 것으로 생각될 수 있지만, 사이버 범죄자가 약속을 지키고 데이터에 다시 액세스할 수 있도록 해준다는 보장은 없습니다. 보안 전문가들과 법 집행 기관에서는 랜섬웨어 공격의 피해자가 랜섬을 지급하지 않도록 권고합니다. 랜섬을 지급할 경우 추가 위협을 받을 수 있으며, 범죄 산업을 지원하는 결과로 이어질 수 있기 때문입니다. 이미 랜섬을 지급했다면 즉시 은행에 연락하세요. 신용 카드로 지급한 경우 은행에 연락하여 지급을 막는 것이 가능할 수 있습니다.

감염된 데이터를 분리합니다.
네트워크의 다른 영역으로 랜섬웨어가 퍼지지 않도록 가능한 한 즉시 감염된 데이터를 분리합니다.

맬웨어 방지 프로그램을 실행합니다.
맬웨어 방지 프로그램을 설치하고 랜섬웨어를 제거하는 것으로 많은 랜섬웨어 공격을 해결할 수 있습니다. Microsoft Defender와 같이 널리 알려진 맬웨어 방지 솔루션을 선택한 후 항상 최신 버전으로 업데이트하고 실행된 상태로 유지하여 최신 공격으로부터 스스로를 보호하세요.

공격을 신고합니다.
지역 또는 연방 법 집행 기관에 연락하여 공격을 신고합니다. 미국에서는 FBI 현지 사무소,  IC3 또는  비밀경호국에 연락하세요. 이 방법을 통해 즉각적으로 문제를 해결하지는 못할 수 있으나, 관계 당국이 여러 공격을 추적하고 모니터링할 수 있도록 지원하는 것이 중요합니다. 당국에 공격에 대한 정보를 제공하면 사이버 범죄자나 범죄 집단을 검거하여 기소하는 데 도움이 될 수 있습니다.

랜섬웨어 방지

그 어느 때보다 랜섬웨어 공격이 많아지고 있고 사람들의 개인 정보가 디지털 방식으로 저장되는 비율이 높아지고 있는 지금, 실제로 공격이 발생할 경우 그 여파는 어마어마합니다. 다행히도 디지털 정보를 안전하게 지킬 수 있는 여러 가지 방법이 있습니다. 아래에서 선제적인 랜섬웨어 방지를 적용하는 방법을 알아보세요.

맬웨어 방지 프로그램 설치하기
가장 좋은 형태의 보호는 방어입니다. 엔드포인트용 Microsoft Defender,  Microsoft Defender XDR, 클라우드용 Microsoft Defender와 같은 신뢰할 수 있는 맬웨어 방지 서비스를 사용하면 많은 랜섬웨어 공격을 탐지하여 차단할 수 있습니다. 맬웨어 방지 프로그램을 사용하면 사용자가 파일이나 링크를 열려고 시도할 때 디바이스가 해당 파일 또는 링크를 검사합니다. 의심스러운 파일이나 웹 사이트가 있으면 맬웨어 방지 프로그램이 해당 사실을 알려 주고 열지 않도록 권고합니다. 이미 감염된 디바이스에서 랜섬웨어를 제거하는 것도 가능합니다.

정기적인 교육 진행하기
정기적인 교육을 통해 직원들에게 피싱과 그 밖의 랜섬웨어 공격의 징후를 알아차리는 방법을 알려주세요. 직원들은 이를 통해 안전한 근무 방식과 개인 디바이스를 사용할 때 안전을 지키는 방법을 알 수 있습니다.

클라우드로 이전하기
 Azure Cloud Backup Service 또는 Azure Block Blob Storage Backup과 같은 클라우드 기반 서비스로 데이터를 이전하면 데이터를 쉽게 백업하여 안전하게 보관할 수 있습니다. 데이터가 랜섬웨어에 감염될 경우 이러한 서비스를 사용하여 즉각적으로 그리고 포괄적으로 복구를 진행할 수 있습니다.

제로 트러스트 모델 도입하기
 제로 트러스트 모델은 모든 디바이스와 사용자에 위험이 있는지 검사한 후에 애플리케이션, 파일, 데이터베이스 및 그 밖의 디바이스에 대한 액세스를 허용함으로써 악성 ID나 디바이스가 리소스에 액세스하여 랜섬웨어를 설치할 가능성을 줄여 줍니다. 일례로 제로 트러스트 모델의 한 구성 요소인 다단계 인증을 구현하면 ID 공격의 효과를 99% 이상 줄일 수 있는 것으로 나타났습니다. 조직의 제로 트러스트 완성 단계를 평가하려면 Microsoft의 제로 트러스트 완성도 평가를 사용해 보세요.

정보 공유 그룹에 가입하기
업종 또는 지역을 기준으로 구성되는 정보 공유 그룹은 비슷한 체계를 갖춘 조직들이 함께 협력하여 사이버 보안 솔루션을 도출하도록 지원합니다. 그 밖에도 사고 대응, 디지털 포렌식 서비스, 최신 위협 소식, 공용 IP 범위 및 도메인 모니터링과 같은 이점을 제공합니다.

오프라인 백업 유지하기
많은 랜섬웨어가 조직의 모든 온라인 백업을 찾아서 삭제하기 때문에 랜섬웨어 공격에 대비하여 정기적으로 사용하는 중요한 데이터의 업데이트된 오프라인 백업을 유지하는 것이 좋습니다. 암호화 랜섬웨어 공격을 받을 경우에는 오프라인 백업이 있더라도 문제를 해결할 수 없지만, 락커 랜섬웨어 공격을 받은 경우에는 효과적인 도구가 될 수 있습니다.

소프트웨어를 최신 버전으로 유지하기
맬웨어 방지 솔루션을 최신 버전으로 유지하는 것 외에도(자동 업데이트를 설정하세요) 다른 모든 시스템과 소프트웨어도 업데이트와 패치가 공개되는 즉시 다운로드하여 설치하세요. 이렇게 하면 사이버 범죄자가 네트워크 또는 디바이스에 액세스하는 데 악용할 수 있는 보안 취약성을 최소화할 수 있습니다.

인시던트 대응 계획 마련하기
화재 발생 시 집을 탈출할 비상 계획을 준비해 두면 미리 안전하게 준비할 수 있는 것과 마찬가지로, 랜섬웨어 공격을 받을 경우의 사고 대응 계획을 마련해 두면 다양한 공격 시나리오에서 취할 수 있는 단계를 미리 계획하여 최대한 빨리 정상적인 운영으로 안전하게 복귀할 수 있습니다.

Microsoft Security로 보호하기

Microsoft Sentinel

클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 솔루션을 사용하여 엔터프라이즈를 전체적으로 파악하세요.

자세한 정보

Microsoft Defender XDR

XDR(확장된 감지 및 대응)로 엔드포인트, ID, 전자 메일, 앱을 보호하세요.

자세한 정보

클라우드용 Microsoft Defender

개발부터 런타임에 이르기까지 다중 클라우드 및 하이브리드 환경을 방어하세요.

자세한 정보

Microsoft Defender 위협 인텔리전스

지속적으로 업데이트되는 전체 인터넷 맵을 통해 위협 행위자와 해당 도구를 파악하세요.

자세한 정보

랜섬웨어 위협에 맞서기

Microsoft Security를 통해 자동 공격 중단 및 대응으로 위협에 한발 앞서 방어하세요.

자세한 정보

Microsoft 디지털 방어 보고서

현재 위협 환경 및 디지털 방어를 구축하는 방법을 숙지하세요.

자세한 정보

랜섬웨어 방지 프로그램 구축

Microsoft가 랜섬웨어를 제거하기 위해 Optimal Ransomware Resiliency State를 만든 방법을 살펴보세요.

자세한 정보

플레이북을 사용하여 랜섬웨어 차단

랜섬웨어 차단 프로세스에서 모든 사람의 역할을 분명히 하고 시각화하세요.

자세한 정보

자주 묻는 질문

  • 안타깝게도 온라인을 이용하는 거의 모든 사용자가 랜섬웨어 공격의 피해자가 될 수 있습니다. 개인용 디바이스와 엔터프라이즈 네트워크는 사이버 범죄의 빈번한 대상이 됩니다.

     위협 방지 서비스와 같은 사전 대응 솔루션에 투자하면 네트워크나 디바이스가 랜섬웨어에 감염되지 않도록 보호할 수 있습니다. 따라서 공격이 발생하기 전에 맬웨어 방지 프로그램과 제로 트러스트 모델 같은 보안 프로토콜을 마련해 둔 개인과 조직은 랜섬웨어 공격의 피해자가 될 가능성이 매우 작습니다.

  • 기존 방식의 랜섬웨어 공격은 감염된 전자 메일을 열거나 유해한 웹 사이트를 클릭하는 것과 같이 악성 콘텐츠를 사용하도록 개인을 속여서 디바이스에 랜섬웨어를 설치하는 방식으로 이루어졌습니다.

    사람이 조작하는 랜섬웨어 공격에서는 일련의 공격자들이 주로 도난된 자격 증명을 통해 조직의 중요한 데이터를 공격하고 침해합니다.

    소셜 엔지니어링 랜섬웨어와 사람이 조작하는 랜섬웨어 모두 피해자나 조직에게 데이터가 도난되었다는 사실과 랜섬 금액을 알려 주는 랜섬 메모가 표시됩니다. 그러나 랜섬을 지급한다고 해도 데이터를 돌려받거나 앞으로의 보안 침해를 예방할 수 있다는 보장은 없습니다.

  • 랜섬웨어 공격은 막대한 손실을 유발할 수 있습니다. 개인 수준과 조직 수준에서 피해자는 높은 랜섬을 지급해야 한다는 압박을 받지만, 데이터를 돌려받거나 추가 공격이 발생하지 않는다는 보장은 없습니다. 사이버 범죄자가 조직의 중요한 정보를 유출할 경우 조직의 이미지가 훼손되고 신뢰가 떨어질 수 있습니다. 유출된 정보의 유형과 조직의 규모에 따라 수많은 개인들이 ID 도난이나 그 밖의 유형의 사이버 범죄의 피해자가 될 수 있습니다.

  • 피해자의 디바이스를 랜섬웨어로 감염시키는 사이버 범죄자들은 금전을 원합니다. 이들은 익명성과 추적 불가능성 때문에 주로 암호 화폐로 랜섬 금액을 책정합니다. 개인을 대상으로 하는 소셜 엔지니어링 랜섬웨어에서는 랜섬이 수백, 수천 달러일 수 있고, 조직을 대상으로 하는 사람이 조작하는 랜섬웨어에서는 랜섬이 수백만 달러일 수 있습니다. 조직을 대상으로 하는 정교한 공격에서는 사이버 범죄자가 네트워크에 침투했을 때 찾아낸 기밀 재무 정보를 사용하여 조직이 지급할 수 있을 것으로 판단되는 금액을 설정하기도 합니다.

  • 랜섬웨어 공격의 피해자는 지역 또는 연방 법 집행 기관에 신고해야 합니다. 미국에서는 FBI 현지 사무소,  IC3 또는  비밀경호국에 연락하세요. 보안 전문가들과 법 집행 기관에서는 랜섬웨어 공격의 피해자가 랜섬을 지급하지 않도록 권고합니다. 이미 랜섬을 지급했다면 즉시 은행과 지역 당국에 연락하세요. 신용 카드로 지급한 경우 은행에 연락하여 지급을 막는 것이 가능할 수 있습니다.

Microsoft 팔로우