© picture alliance / Donat Sorokin/TASS/dpa

잘못된 보안 의식: 랜섬웨어에 대한 일반적 사회 통념

랜섬웨어 공격의 빈도가 증가하고 전 세계 기업들이 큰 피해를 입는 것은 보험업계 뿐만 아니라 전반적인 사회에서 큰 관심거리 입니다.  당사는 오랜 기간동안 사이버 리스크를 다루어 왔고, 그 결과를 통해 가질 수 있었던 전문성과 지속적인 투자를 통해 최신 랜섬웨어를 식별하고, 효과적인 리스크 관리를 할 수 있게 되었습니다.
복잡한 비즈니스 모델을 지닌 회사의 경우, 피보험자의 사이버 공격 예방 및 리스크 탐지 능력, 그리고 최악의 경우 랜섬웨어 또는 다른 유형의 사이버 공격으로부터 복구하기 위한 능력을 정확히 파악하기 위해  고도화된 언더라이팅 스킬이 필요합니다. 또한 피보험자가 사이버 리스크에 대해 어느 정도로 통제를 하고 있는지 파악해야 합니다. 간단한 질의응답으로는 고차원적 인 리스크 평가가 이루어질 수 없습니다. 이 점을 염두에 두고, 어떠한  위험성이 잠재되어 있는지 함께 살펴보시겠습니다.

사고 전 랜섬웨어 상황에서 얻을 수 있는 교훈

사이버 보험의 안정적인 성장을 위해서는 사이버에 대한 리스크 컨트롤 및 잠재적인 리스크에 대한 이해가 필수적입니다. 다음은 사이버 리스크에 대한 몇 가지 통속적인 발언들 입니다.
최신 안티바이러스 솔루션을 구현했으므로, 랜섬웨어 공격으로부터 보호되고 있다.

안티바이러스 솔루션은 악의적인 파일과 문서를 탐지할 수 있는 중요한 보안 통제이지만, 이러한 안티바이러스 솔루션은 얼마든지 우회가 가능합니다. 즉, 안티바이러스의 바이러스 스캐닝 기술의 한계가 종종 해커들에 의해 악용된다는 점을 고려해야 합니다. 해커들은 파일의 형태를 애매하게 만들어 안티바이러스 스캐너가 이를 악의적인 파일로 인지하지 못하게 만들어 버립니다.

게다가 사이버 공격이 새로운 방식으로 변화 될 때마다 이를 탐지할 수 있도록 안티바이러스 솔루션이 매번 업데이트되어야 하는데, 실시간으로 업데이트 하는 것이 물리적으로 어렵다 보니 이 또한 해커들에게는 절호의 기회가 됩니다.

또 다른 리스크는 시스템상 높은 권한을 받은 해커가 이러한 안티바이러스 스캐너를 손쉽게 비활성화할 수 있다는 점입니다..

다단계 인증(Multi-Factor Authentication)을 구현했으므로, 랜섬웨어 공격에 대한 강력한 보호 매커니즘을 갖추고 있다.

2단계 또는 다단계 인증은 사용자명과 비밀번호만으로 이루어지는 단순 인증보다 더 높은 수준의 보안을 제공하고, 해커가 증명서를 도용하여 시스템을 공격하기가 더 어려우므로 보안상 적극적으로 권장되는 편입니다.

그러나, 조금 더 완벽한 효과를 보려면 관련된 모든 시스템에 이를 구현해야 합니다. 하지만 복합적인 IT환경을 가진 기업에서는 모든 시스템에 하나로 통일된 다단계 인증을 구현하기 어려운 경우가 많습니다. 하나의 위태로운 시스템을 통해 해커는 전체 네트워크에 대한 접근 권한을 얻을 가능성이 있습니다.

소프트웨어가 자동으로 업데이트되므로, 랜섬웨어 공격으로 이어질 수 있는 보안의 취약점이 강화된다.

해커가 아무런 인증 없이 기업 네트워크에 접근할 수 있는 소프트웨어의 취약성은 심각한 보안상의 위협이며, 이는 성공적인 랜섬웨어 공격의 첫발입니다. 예를 들어 가상사설망 (VPN)의 인증 취약점은 다단계 인증을 우회할 수 있습니다. 물론 적시에 패치를 구현하는 것은 매우 중요한 일이나 그게 전부는 아닙니다.

보안상 취약성 완화를 위한 내부 패치 프로세스가 준비되어 있어야 하고, 심각한 취약성이 알려 지더라도 판매처의 소프트웨어상 패치가 제공되지 않는 상황도 고려해야 합니다. 예를 들어 2019년 “시트릭스(Citrix)” 제품의 보안상 취약성의 경우, 해당 취약성이 보고 되었으나 패치가 이루어 지기 전까지 이 취약성이 해커들에 의해 수없이 악용 되었습니다. 이와 같은 상황에서는 기업의 내부 모니터링과 내부 리스크 프로세스가 매우 중요하며, 소프트웨어의 공식 패치에만 의존해서는 안됩니다.

사고 후 랜섬웨어 상황에서 얻는 교훈

백업 솔루션이 있으니까, 랜섬웨어 공격의 결과로부터 보호된다

정기적으로 테스트되는 데이터 백업 전략은 모든 사고의 복구 계획에 필수 구성 요소이며, 랜섬웨어 사고 시에도 중요합니다. 그러나 이는 해커가 추가적인 악성 트리거를 암호화하거나 심어 놨을 가능성이 없다는 것을 전제로 합니다.

리스크를 줄이기 위해서는 백업 및 스토리지 시스템을 강화하고, 이를 기업의 네트워크와 분리해서 유지해야 합니다. 많은 랜섬웨어 그룹이 암호화를 시작하기 전에 기업의 백업 데이터를  적극적으로 찾아 나섭니다. 이를 잠그면 피해자와의 협상에서 유리한 위치에 설 수 있기 때문입니다.

또한, 해커가 가 초기 복구 후 실행될 백업에 추가 악성 파일인 ‘시한 폭탄(Time Bomb)’을 심으면 백업이 손상될 수도 있습니다. 따라서 복구 후 백업이 변경되지 않았는지 확인해야만 합니다.

재해 복구 계획 (Disaster Recovery Plan)이 있으므로, 랜섬웨어 공격에 대비가 되어 있다.

물론 모든 기업은 자체적으로 재해 복구 계획을 구현해야 합니다. 그러나 가능한 한 현실적이고 정기적으로  테스트하는 것이 가장 중요합니다. 이를 통해 관련 당사자가 각자의 역할을 이해하고 어떤 사업 영역을 먼저 복구해야 할지 와 같은, 예측하지 못한 문제에 직면해 볼 수 있게 됩니다. 또한, 단순히 기술적 훈련으로만 그쳐서는 안 됩니다.

예를 들어, 복구 시뮬레이션에 PR 부서(또는 제공업체)를 포함시키면 공격의 부정적인 결과를 줄이고 조금 더 빠른 복구를 촉진할 수 있습니다. 보험 회사들을 조기에 참여 시키는 것 역시 그들의 경험을 받아볼 수 있으므로 현명한 조치가 될 수 있습니다.

몸값을 지불하면 데이터를 되찾게 될 것이다.

데이터 암호화를 풀기 위해 해커에게 몸값을 지불하는 것은  암호화된 데이터에 접근할 수 있도록 만들 수도 있지만, 근본적인 해결책은 아닙니다. 데이터 몸값 지불은 많은 불확실성을 지니고 있습니다. 예를 들어, 해커에게 대가를 지불한 후 피해자가 “완벽하게 작동하는” 열쇠를 받는다는 보장이 없습니다.

게다가 이런 대량의 데이터 해독은 시간이 오래 걸리기 때문에, 수일 또는 수주 동안 사업을 정상적으로 영위할 수 없을 수도 있습니다. 더욱이 모든 데이터를 성공적으로 복구하고 시스템을 동기화한 후에도 보안상의 취약성이 해결되지 않고 시스템에 백도어가 열려 있으면, 동일한 해커가 다른 공격을 시작할 수 있습니다.

결론

디지털 라이프에서 100% 완벽한 보안은 존재하지 않으며, 기업이 성실하게 계획을 세우더라도 간과된 리스크의 희생물이 될 수 있음을 보여줍니다. 즉, 리스크 기반의 다층적인 정보보안 아키텍처의 구현이 필수입니다.

Munich Re의 사이버 부서는 언더라이팅 및  전통적인보험 전문성 뿐만 아니라, 심도 깊은 기술적 사이버 보안 지식을 갖춘 전담 사이버 전문가들 위해 상당한 투자를 했습니다.

당사는 시장을 선도하는 전문성을 통해 고객에게 개별적으로 맞춤화 할 수 있는 최고의 사이버 (보험) 솔루션을 보장합니다. 이러한 솔루션에는 최신 약관 개발부터 업계 최고의 사이버 리스크 평가 및 보험료 책정,  그리고 모델링에까지 이릅니다.

또한, 당사는 최고 등급의 사이버 보안 서비스 제공업체 네트워크에 접근할 수 있도록 도와 드립니다. 이를 통해 당사는 지속 적으로 성장하고 있는 사이버 보험 시장에 기여하고 있습니다.

이는 디지털 세대에서 끊임없이 변화하는 사이버 리스크와 위협에 대응하기 위한 필수 요소입니다. 사이버 리스크 해결을 위한 전체적인 접근 방식에 대한 자세히 내용은 당사에 문의해 주세요.

Munich Re 의 사이버 솔루션
Timothy Marshall
Timothy Marshall
사이버언더라이터
전자 메일
tmarshall@munichre.com
명함
다운로드
Michael Hauner
사이버언더라이터
전자 메일
mhauner@munichre.com
명함
다운로드

함께 볼만한 콘텐츠