랜섬웨어 공격을 막는 가장 효과적인 전략은 공격이 아예 기업에 침투하지 못하도록 막는 데 달려 있습니다. 기업에서 필요로 하는 애플리케이션과 서비스의 숫자가계속해서 늘어나고 있습니다. 이로 인해 네트워크, SaaS 기반 애플리케이션, 엔드포인트를 비롯하여 보안 조치가 효과를 거두지 못하는 공격 표면이 증가하게 됩니다. 공격자들의 기술이 갈수록 진화함에 따라, 취약점을 해소하거나 패치가 개발 및 실행되기 전에 더욱 빠르게 새로운 공격이 이루어지고 있습니다. 따라서, 기업들은 보안 플랫폼에 대한 기존의 사고방식을 전환해야 합니다.
감지에서 예방으로의 패러다임 전환
일반적인 사이버보안 접근법은 주로 위협의 감지 및 해소에 초점을 맞추지만 이는 더 이상 효과가 없습니다. 랜섬웨어 공격을 예방하려면 감지에서 예방으로 패러다임을 전환하는 것이 필수적입니다. 즉, 공격이 기업을 감염시키고 피해를 입히기 전에 방지해야 하는 것입니다. 적절한 보안 아키텍처를 갖추어야 이러한 전환이 가능하며, 여기에는 3가지 핵심 요소가 포함됩니다.
공격 표면을 줄이려면 무엇보다 애플리케이션, 위협, 사용자 행동 전체에 걸쳐 네트워크상 트래픽에 대해 완전한 가시성을 확보해야 합니다. 네트워크상의 상황을 정확히 파악하지 못하면 공격자가 이를 악용하여 침입할 가능성이 높아집니다. 활동을 분류하면 허용되는 대상에 대해 적절한 결정을 내릴 수 있으며, 추가 조사가 필요한 알려지지 않은 이벤트를 파악할 수도 있습니다. 이러한 가시성을 바탕으로 알 수 없는 트래픽을 차단하고 고급 공격을 파악하거나 정당한 업무상 목적으로 사용되는 애플리케이션만 선별적으로 활성화할 수 있습니다.
이렇게 트래픽의 “경계선”을 설정한 후에는 애플리케이션 및 사용자 기반 정책을 적용해야 합니다. 특정 사용자 그룹 및 네트워크의 특정한 부분의 특정 애플리케이션에 대한 접근을 제한하는 정책에는 무한한 수의 치환이 가능합니다. 적절한 정책과 강력한 가시성을 적용하면 네트워크에 대한 멀웨어 공격에 사용되는 대부분의 방법을 차단할 수 있습니다.
공격 표면을 더욱 줄이려면 잠재적으로 또는 실제로 위험한 파일 유형을 모두 차단해야 합니다. 모든 파일이 위험한 것은 아니지만, 악성이 될 가능성이 높은 파일이라면 차단이 필요합니다. 위험한 파일 유형을 차단한 후에는 귀사의 위험에 맞춘 정책을 적용해야 합니다. 또한, 사용자들은 이러한 정책을 준수하지 않는 엔드포인트가 핵심 네트워크 자원에 접속하지 못하도록 막아야 합니다.
공격 표면을 감소한 후에는 알려진 위협을 예방해야 합니다. 이를 위해서는 알려진 익스플로잇, 멀웨어, 명령 및 제어(command-and-control) 트래픽이 네트워크에 진입하지 못하도록 막아야 합니다. 이를 막은 후에는 공격자의 부담이 높아지며, 그에 따라 공격자들이 새로운 멀웨어 변종을 만들어 상대적으로 덜 알려진 취약점을 이용하기 위한 새로운 공격을 실행할 가능성도 낮아집니다.
또한, 알려진 악성 및 피싱 URL에 대한 접근을 방지함으로써 사용자들이 부주의하게 악성 페이로드를 다운로드하거나 자신의 자격 증명을 도난당하는 일을 예방해야 합니다. 이러한 위협을 차단하면 위험을 완전히 방지할 수 있습니다. 알려진 위협을 차단한 후에는 SaaS 기반 애플리케이션에서 알려진 멀웨어가 있는지 스캔해야 합니다. 이런 애플리케이션이 점점 더 위협을 전달하기 위한 수단으로 이용되고 있기 때문입니다. 스캔을 통해 파악된 멀웨어와 익스플로잇 역시 차단해야 합니다. 엔드포인트상의 알려진 멀웨어 및 익스플로잇에 대해서도 같은 조치를 취해야 합니다.
알려진 위협을 차단한 후에는 반드시 알려지지 않은 위협을 식별하여 차단해야 합니다. 공격자들은 끊임없이 새로운 제로 데이(zero-day) 익스플로잇을 실행하고 랜섬웨어 변종을 만들어내기 때문입니다. 그 첫 단계로 파일 및 URL 내 알려지지 않은 위협을 감지하고 분석해야 합니다. 새로운 파일이 제출되면, 지금까지 보지 못한 것에 존재하는 악의적인 행동을 찾아 분석하는 작업이 필수적입니다. 또한, 보안 인프라의 다양한 부분까지 보호 조치를 최대한 빨리 자동으로 확산시켜 위협이 성공을 거두지 못하도록 예방해야 합니다. 여기에는 공격자, 멀웨어, 공격 캠페인, 공격 관련 손상의 징후를 이해하는 과정이 포함되어야 합니다. 알려지지 않은 위협이나 의심스러운 행동이 식별되어 차단되면 엔드포인트에서 알려지지 않은 멀웨어 및 익스플로잇을 차단하여 전체 접근 지점을 안전하게 만들어야 합니다.
이러한 프로세스의 궁극적인 목표는 알려지지 않은 것을 알려진 것으로 전환하고, 공격자들이 멀웨어 및 익스플로잇을 개발하는 것보다 더 빠른 속도로 전체 공격 주기에 걸쳐 새로운 보호 조치로 보안 태세를 개선하는 것입니다.
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.