랜섬웨어 감염 시 대응방법

"모의해킹 · 보안취약점진단 · 정보보호컨설팅" 전문기업 『라스컴 시큐리티』  www.lassecu.com  T:1522-3863  secu@lascom.co.kr         

안녕하세요 라스컴 시큐리티입니다.

기업을 대상으로 고도로 전문화된 해커그룹이 수 개월의 정보수집 기간을 거쳐 정교한 랜섬웨어 공격을 시도하는 경우가 증가하고 있습니다. 

최근에는 서비스형 랜섬웨어(RaaS: Ransomware-as-a-Service) 형태의 구독형 서비스가 출시되어 사이버 범죄자들의 진입 장벽은 낮아지고 공격은 더 강력해지고 있습니다. 

그러지 않기를 바라지만, 만약 랜섬웨어에 감염된다면 기업에서는 어떻게 대응해야 할까요?

라스컴 시큐리티는 기업 랜섬웨어 감염 시 복구 서비스를 제공하고 있으며, 

기업 담당자 분들께서 해야 할 행동과 하지 말아야 할 행동을 각각 설명 드리겠습니다.

해야 할 행동

1. 네트워크 격리

- 감염된 시스템을 즉시 네트워크에서 분리해 다른 시스템으로 확산되는 것을 방지하세요.

- 네트워크 접속을 차단하고, 감염된 시스템을 물리적으로 분리하세요.

2. 긴급 대응

- 사내 긴급 대응팀(CERT)이나 외부 보안 전문가에게 연락하여 신속히 대응하세요.

- 공격자의 공격 방법에 따라 대응 방식이 달라질 수 있습니다. 

- 사전 준비된 비상 연락망을 활용하세요.

3. 시스템 백업 검토

- 백업 시스템의 백업 상태를 확인하고, 필요한 데이터를 복구할 수 있는지 확인하세요.

- 정기적인 백업이 이뤄졌는지 체크하는 것도 중요합니다.

4. 로그 분석

- 감염 경로와 범위를 파악하기 위해 시스템 로그를 분석하세요. 

- 네트워크 트래픽을 모니터링해 추가적인 감염을 탐지하세요.

5. 보안 소프트웨어 사용

- 최신 안티바이러스 소프트웨어를 사용해 시스템을 스캔하고, 감염된 파일을 격리 또는 삭제하세요.

- 전용 랜섬웨어 제거 툴을 사용하세요.

6. 법적 규제 준수

- 데이터 유출이 발생한 경우 KISA 등 당국에 보고하세요. 

- 관련 법률과 규제를 준수하기 위해 법무팀과 협력하세요. 

7. 직원 교육

- 감염 원인과 대처 방법을 직원들에게 교육해 같은 상황이 재발하지 않도록 하세요.

- 보안 의식을 높이기 위한 모의훈련 및 교육 프로그램을 마련하세요.

하지 말아야 할 행동 

1. 몸값 지불

- 랜섬웨어 공격자에게 몸값을 지불하지 마세요. 

- 데이터 복구를 보장하지 않으며, 범죄를 지원하는 행위가 됩니다.

2. 시스템 재부팅

- 감염된 시스템을 무작위 재부팅하지 마세요. 문제를 악화시킬 수 있습니다.

- 먼저 보안 전문가가 상황을 파악하게 한 뒤, 안내에 따라 재부팅을 진행하세요.

3. 공격자와의 직접 접촉

- 공격자와 직접 연락을 시도하지 마세요. 더 큰 보안 위험을 초래할 수 있습니다.

- 모든 소통은 보안 전문가나 법 집행 기관의 도움을 받으세요.

4. 감염된 파일 열기

- 감염된 파일이나 이메일의 첨부 파일을 열지 마세요. 추가 피해가 발생할 수 있습니다.

- 의심스러운 파일은 즉시 격리하세요.

5. 대처 미루기

- 감염 초기에 대처를 미루지 마시고 문제를 인지한 즉시 대응하세요.

- 신속한 대응이 피해를 최소화하며 데이터 복구 확률을 높일 수 있습니다.

라스컴 시큐리티는 랜섬웨어 감염 시 데이터 복구 서비스 및 랜섬웨어메일 대응훈련 서비스를 제공합니다.