모든 조직은 랜섬웨어의 공격 대상이 될 수 있습니다. 침해 방지 대책을 마련하세요.
저녁 식사거리를 잡기 위해 낚시를 나갔다고 상상해 보세요. 오늘 밤 어떤 물고기를 잡든 상관없어, 그저 한 마리라도 잡았으면 좋겠지.
당신은 낚싯대를 손에 든 채 드넓은 호숫가에 서 있습니다. 어느 방향으로 던지든 상관없습니다. 왼쪽, 오른쪽, 또는 정면으로 호수는 사방으로 펼쳐져 있으며, 물에 빠지는 낚싯바늘은 무엇이든 당신의 저녁 식사가 될 것입니다.
넥스트젠시큐리티(NextJenSecurity)의 설립자인 젠 엘리스가 최근 팟캐스트 ' 더 세그먼트(The Segment) '에서 대부분의 랜섬웨어 그룹이 공격 대상을 선택하는 방식을 설명하기 위해 사용한 이미지가 바로 이것입니다.
어떤 조직이 가장 자금력이 풍부하거나 가장 민감한 데이터를 보유하고 있는지에 대한 신중한 조사 끝에 선택이 이루어지는 경우는 드뭅니다. 대부분의 경우, 공격자는 접근 가능하고 악용할 수 있으며, 자국 정부와의 마찰을 피할 수 있는 느슨한 경계 내에 있는 대상을 선택합니다.
수년 동안 많은 조직, 특히 소규모 기업뿐만 아니라 중견 기업들도 뚜렷한 동기가 없다는 이유로 보안에 대한 투자를 소홀히 해왔습니다. 만약 타겟팅이 젠이 설명한 대로 실제로 작동한다면, 그 논리는 무너지게 됩니다.
인터넷에 연결된 거의 모든 사람들은 호수 어딘가에 서 있을 겁니다. 가장 중요한 질문은 자신이 공격 대상이 될 가능성이 얼마나 높았는지와 관계없이 랜섬웨어 공격을 받은 후에 무슨 일이 벌어지는가 하는 것입니다.
세분화에 기반한 제로 트러스트 보안 전략이 해답을 제시합니다.
공격자들이 랜섬웨어를 공격하는 방법
젠은 대부분의 랜섬웨어 그룹이 악의적인 행위자들에게 안전한 피난처 역할을 하는 국가에서 활동한다는 점을 지적했습니다. 이는 해당 활동이 지역 경제에서 차지하는 비중이 너무 커서 기소하기 어렵거나, 또는 주최국이 특정 선을 넘지 않는 한 묵인하기 때문입니다.
그런 대사들은 대개 지리와 정치에 관한 것입니다. 국내 조직을 표적으로 삼지 말고, 심각한 국제적 대응을 초래할 수 있는 어떠한 행동도 하지 마십시오.
그 경계 안에서는 나머지 세계가 모두 공격 대상이 될 수 있으며, 그 경계는 매우 넓습니다. 선진국 전역의 취약한 시스템을 악용하는 공격자는 공격자가 활동하는 국가의 법규를 철저히 준수하는 것입니다. 공격자는 단순히 어디를 공격할지 선택하기만 하면 됩니다.
바로 그런 점 때문에 낚시 비유가 매우 유용한 것입니다. 공격자의 접시에 오르는 물고기는 그저 낚싯바늘이 물에 닿았을 때 그 자리에 있던 물고기일 뿐입니다. 공격을 받는 조직은 공격이 발생했을 당시 접근 가능한 조직들입니다.
AI는 더 많은 랜섬웨어 공격을 더 많은 사람들의 손에 넣게 합니다.
오늘날의 AI 도구 덕분에 랜섬웨어 배포 장벽은 계속해서 낮아지고 있으며, 이를 배포할 수 있는 사람들의 수도 계속 늘어나고 있습니다.
젠은 인공지능이 자원이 부족한 공격자들에게는 공평한 기회를 제공하는 역할을 할 가능성이 높다고 지적했습니다. 이는 기술 인프라 접근성이 높으면서 실업률도 높은 국가에서 특히 두드러진다.
이는 더 많은 공격자들이 AI 도구에 접근하게 됨에 따라 기회주의적이고 도달 범위를 넓히려는 공격의 규모가 전반적으로 증가할 것임을 의미합니다.
"아무도 우리에게 신경 쓰지 않을 테니 괜찮을 거야"라는 생각의 근거는 이러한 추세가 지속될수록 매년 더욱 불리해진다.
보안 분야에서 "우리는 표적이 아니다"라는 말이 가장 값비싼 문장인 이유
젠은 폐업 위기에 처한 가족 소유의 신발 공장에 대한 이야기를 들려줬다. 그것은 대대로 이어져 내려오는 사업으로, 마을 주민들의 상당 부분을 고용하고 있는 종류의 사업이었다.
만약 그런 랜섬웨어 공격을 받는다면, 회사의 미래와 회사에 의존하는 일자리가 위태로워지면서 소유주는 엄청난 압박에 직면하게 될 것입니다. 그 순간, 정책 논쟁과는 상관없이 조용히 몸값을 지불하고 넘어가는 것이 훨씬 더 매력적인 선택처럼 느껴진다.
그 이야기에서 가장 눈에 띄는 점은 그 누구도 의미 있는 표적으로 삼지 않을 조직에게 랜섬웨어 공격이 얼마나 심각한 위협으로 다가올 수 있는지 보여준다는 것입니다. 사건의 심각성을 내부자가 느끼는 데 있어 준비 상태는 규모나 가시성보다 훨씬 더 큰 영향을 미칩니다.
규모가 크고 인지도가 높은 기업이라면, 검증된 사고 대응 계획 과 분산된 환경을 갖추고 있다면 랜섬웨어 공격은 그저 힘든 한 주 정도로 감당할 수 있을 것입니다. 네트워크 연결이 평탄 하고 요금제도 없는 소규모 기업은 동일한 사건으로 인해 회사가 문을 닫을 수도 있습니다.
그러한 차이는 공격이 발생하기 훨씬 전에 조직이 자체 환경에 대해 내린 선택에 의해 결정됩니다.
보안 빈곤선은 잘못된 선택을 더욱 악화시킨다
이 문제는 어느 한 회사보다 더 큰 문제입니다.
젠은 대부분의 선진국 경제와 마찬가지로 영국 경제 역시 중소기업으로 압도적으로 구성되어 있다고 지적했습니다. 자신들이 공격 대상이라고 생각할 가능성이 가장 낮고, 지속적인 보안 투자에 필요한 예산이 가장 부족한 조직들이 경제의 대부분을 차지하고 있습니다.
젠은 이 문제를 '안보 빈곤선'이라고 표현했다.
게다가 보안 지출은 다른 안전 투자와는 다르게 작동한다는 점이 상황을 더욱 어렵게 만듭니다. 울타리나 경사로 설치는 예산을 책정하고 완료하는 일회성 프로젝트입니다. 보안 위협이 진화하고 인프라가 노후화됨에 따라 보안 투자는 매년 꾸준히 증가하고 있습니다. 이로 인해 이미 업무 부담이 과중한 경영진을 설득하는 것이 훨씬 더 어려워질 수 있습니다.
이러한 모든 요소에 인공지능이 생성하는 공격 의 용이성을 더하면 상황은 상당히 불편해집니다.
봉쇄는 모든 조직이 통제할 수 있는 유일한 수단이다.
젠은 보안에 관한 오래된 격언을 되살렸다. 수비수는 매일 매 순간 정확해야 하지만, 공격자는 단 한 번의 운만 있으면 된다는 것이다.
그러한 비대칭성은 사라지지 않을 것이다. 그리고 인공지능은 양측 모두 더 나은 도구를 사용할 수 있게 되므로 근본적인 변화를 가져오지는 않습니다.
침해 차단이 바꾸는 것은 공격자에게 있어 단 한 번의 행운이 실제로 어떤 의미를 갖는가 하는 점입니다.
플랫 네트워크에서 취약점이 발생하면, 단 한순간의 행운이 전체 환경에 대한 접근 권한 확보로 이어질 수 있습니다. 하지만 세분화를 포함한 제로 트러스트 제어를 기반으로 구축된 환경에 들어가면 워크로드, 애플리케이션 및 시스템은 필요한 대상과만 통신합니다.
이는 공격자에게 단 한순간의 행운이 사업체의 일부에서만 발생하는 국한된 사건으로 이어질 수 있음을 의미합니다.
조직 규모, 인지도, 공격자가 얼마나 관심을 가질 만한 대상인지와 관계없이 모든 조직이 활용할 수 있는 강력한 수단 중 하나는 세분화 에 기반한 제로 트러스트 보안 전략입니다.
몸값 지불 논쟁은 잘못된 부분을 해결하고 있다
젠은 몸값 지불 금지 에 대한 논쟁을 다루면서, 그 논쟁 속에서 쉽게 간과될 수 있는 중요한 점을 지적했습니다.
결제를 금지하는 것은 공격이 이미 발생한 후에 조직이 할 수 있는 일을 바꾸는 것일 뿐입니다. 이는 공격자가 누구를 공격할지 결정하는 방식을 바꾸는 데는 아무런 도움이 되지 않습니다.
젠은 이 비교를 사용했다. 강도 피해를 당했을 때 지갑을 건네주는 것이 불법이라고 누군가에게 말한다고 상상해 보세요. 강도 사건은 여전히 발생하고 있으며, 피해자가 지갑을 건네주는 경우 강도 피해를 당한 것 외에도 법을 어기게 됩니다.
확산 방지 대책은 지불 결정보다 훨씬 이전에 수립됩니다. 이미 공격자의 측면 이동 범위를 제한한 팀은 몸값을 지불할지 아니면 운영을 중단할지 선택해야 하는 압박감에 직면하지 않습니다.
지불 방식에 대한 논쟁은 데이터 유출 사고 발생 후 조직이 취할 수 있는 조치를 결정합니다. 침해 확산 방지는 침해가 조직의 어느 부분에 영향을 미칠지 결정합니다. 그 부분이 실제로 결과를 결정하는 요소입니다.
랜섬웨어 위험은 앞으로 더욱 커질 것입니다.
인터넷에 연결된 모든 조직은 랜섬웨어의 공격 대상이 될 수 있으며, 인공지능 도구의 접근성이 높아짐에 따라 이를 악용할 수 있는 공격자의 수도 계속 증가하고 있습니다.
조직이 서류상으로 공격자에게 얼마나 매력적으로 보이는지에 따라 이러한 사실은 변하지 않습니다.
이 상황에서 모든 조직이 실제로 통제할 수 있는 유일한 변수는 바로 '격리'입니다. 세분화를 핵심 인프라로 삼아 제로 트러스트 전략을 구축하는 조직만이 랜섬웨어 공격으로 인해 전체 운영이 마비되는 것을 막을 수 있을 것입니다.
데이터 유출은 불가피하며, 이는 규모와 상관없이 모든 조직에 항상 해당되는 사실입니다. 침해 규모를 최소화하려면 아키텍처에 침해 차단 기능을 구축해야 합니다.
더 세그먼트의 전체 에피소드를 들어보세요 : 제로 트러스트 리더십 팟캐스트 Apple 팟캐스트, Spotify또는 당사 웹사이트.

.webp)
.webp)

