Ryuk 랜섬웨어 공격이란? 개념 및 예방법 총정리

Ryuk 랜섬웨어가 정확히 무엇인가요?

Ryuk 랜섬웨어 소개

Ryuk 랜섬웨어란 2018년 등장한 타겟형 랜섬웨어로, 중요한 비즈니스 데이터를 보유한 대형 기업, 의료기관, 공공기관 등을 표적으로 합니다. 주로 Emotet이나 TrickBot과 같은 트로이 목마 종류의 악성코드를 이용하여 네트워크에 침투하고, 운영에 필요한 주요 데이터를 암호화 합니다. 복구 금액으로 상당히 높은 금액을 요구하는데, 수십만 달러에서 수백만 달러에 이르는 랜섬 머니를 요구합니다. 따라서 Ryuk 랜섬웨어 해커 조직은 지금까지 1억 5천만 달러 이상의 수익을 올린것으로 추정됩니다.

특정 타겟 없이 아무나 공격하는 기존의 랜섬웨어랑은 차이점이 있습니다. Ryuk은 타겟 시스템에 공격을 개시한 다음 RSA 공개키 암호화 방식으로 시스템 데이터를 암호화 시킵니다. 따라서 해커로부터 개인키를 받지 않는 이상 스스로 암호화된 파일을 해독할 수 없습니다. 이렇게 암호화된 파일은 .RYK로 확장자가 변경됩니다. 보통 감염된 컴퓨터에는 해커가 남긴 ‘RyukReadMe.txt’ 또는 비슷한 이름의 텍스트 파일이 남겨져 있습니다. 텍스트 파일 안에는 랜섬 머니 지불과 데이터 복구 프로세스 진행을 위한 해커의 연락처 정보 및 비트코인 지갑 주소가 적혀져 있습니다.

‘Ryuk’ 이라는 이름의 유래

인기 일본 애니메이션 ‘Death Note’의 등장 인물 ‘Ryuk’을 딴 것으로 추정하고 있습니다. 만화에서 Ryuk라는 사신은 데스노트를 인간 세계로 가져옵니다. 즉, 모든 죽음의 시작점이 되는 인물입니다. Ryuk은 데스노트에 죽이고자 하는 사람의 이름을 적으면 죽일 수 있습니다. 마찬가지로 Ryuk 랜섬웨어는 기업의 데이터를 인질로 삼고, 때로는 파괴해 버리는 잔혹한 사신과 같습니다. 아마도 공포심을 심어주기 위한 의도로 널리 알려진 애니메이션 속 등장인물의 이름을 사용한 것으로 보입니다.

어떤 배후 세력이 있나요?

아직까지 명확하게 밝혀진 바는 없지만 러시아 사이버 범죄 단체 ‘Wizard Spider’가 배후 세력이라는 것이 중론입니다. 왜냐하면 Ryuk 랜섬웨어와 함께 사용되는 악성코드 중 Wizard Spider의 악성코드가 있기 때문입니다. 또한 공격에 사용된 코드와 공격 방식이 러시아 사이버 범죄 단체의 방식과 흡사합니다. 러시아의 여러 범죄 카르텔이 연루되어 있을 것으로 추정되는 부분입니다.

또한 Ryuk이 이미 RaaS(Ransomware as a Service)로서 제공되어, 여러 해커 그룹에서 Ryuk 랜섬웨어를 서비스로서 구매해서 공격에 활용하고 있을 가능성도 존재합니다. 따라서 Wizard Spider와 범죄 카르텔, 기타 해커 조직까지 함께 배후에 연루되어 있을 수 있습니다. 이들은 수사 기관의 추적을 피하기 위해 피해자에게 비트코인으로 랜섬머니를 요구합니다. 또한 여러 개의 비트코인 지갑을 사용하여 자금을 세탁하고 있습니다. 이런 식으로 벌어들인 막대한 금액은 범죄 집단의 자금 원천이 되고 있을 것으로 추정됩니다.

주요 피해 사례

Ryuk 랜섬웨어에 실제로 어떤 기관이 피해를 입었을까요? 세계 각지의 여러 정부 기관, 의료 기관, 민간 기업까지 다양한 피해 사례가 있습니다. 개인이 아닌 단체를 타겟으로 삼는 만큼 피해 규모와 영향이 큽니다. 몇 가지 주요 사례를 살펴보겠습니다.

유니버셜 헬스 서비스(Universal Health Service, UHS) 사례

UHS는 포춘 500대 기업에 꼽히는 유명 의료 서비스 제공 업체로, 미국 전 지역에 400개 이상의 병원을 운영하고 있습니다. 2020년 9월, UHS 시스템이 Ryuk 랜섬웨어의 공격을 받아서 소속 병원들의 전산 시스템이 마비되는 사태가 발생했습니다.

갑자기 전산 시스템이 중단되면서, 직원들은 모든 업무를 수기로 진행해야 했습니다. 전자 의료기록 시스템(EMR/EHR), 진단 및 영상 시스템(PACS), 약물 관리 시스템, 예약 시스템이 모두 중단되었습니다. 따라서 의료 서비스에 차질이 생겼고, 환자들을 다른 병원으로 전원시켜야 했습니다. 이는 Ryuk 랜섬 웨어가 환자의 생명을 위협할 수 있다는 것을 보여주는 대표적인 사례입니다. 직원들은 랜섬웨어 피해가 확산되는 것을 막기 위해서 모든 시스템을 종료하라는 지시를 받았습니다.

보도에 따르면 UHS가 해커에게 랜섬 머니를 지불하지는 않았지만, 이 사건으로 인해 6,700만 달러 이상의 피해를 입은 것으로 알려졌습니다. 시스템을 복구하는 데 많은 비용과 시간을 투자하였고, 보안 체계를 강화해야 했습니다.

뉴올리언스 시 정부 사례

2019년 12월, 미국 루이지애나주 뉴올리언스 시청 직원 한명이 무심코 클릭한 피싱 이메일로부터 Ryuk 공격이 시작되었습니다. 시 정부는 모든 시스템을 셧다운 하라는 명령을 내렸고, 비상 사태를 선포했습니다. 수천대의 컴퓨터가 랜섬웨어의 영향을 받았고, 주요 행정 시스템이 마비되었습니다.

경찰, 소방서, 교통 시스템을 포함한 주요 공공 서비스에 차질이 생겼습니다. 응급 대응이 필요한 경찰과 소방서는 운영이 계속되었지만, 업무를 수기로 처리해야 했습니다. 또한 시 정부의 이메일, 웹사이트, 온라인 어플리케이션 서비스가 중단되었습니다. 법원 시스템 또한 마비되어 사건 기록과 일정 관리 시스템에 접근할 수 없게 되면서 많은 재판 일정이 변경되었습니다.

뉴올리언스 시 정부는 해커에게 랜섬머니를 지불하지 않았습니다. 평소에 보관한 백업 데이터를 활용하여 자체적으로 복구 작업을 진행하였습니다. 다행히도 비교적 뉴올리언스 시는 복구를 신속히 진행해 몇 주 안에 주요 공공 서비스의 차질을 최소화 하였습니다. 그럼에도 불구하고 데이터 복구, 보안 강화, 직원 교육 등에 100만 달러 이상의 비용을 지출해야 했습니다.

물류 회사 Pitney Bowes 사례

2019년 10월, 우편 및 물류 자동화 서비스를 제공하는 업체인 Pitney Bowes가 Ryuk 랜섬웨어 공격을 받았습니다. Pitney Bowes는 글로벌 물류 기업으로서, 많은 기업 고객들이 우편 서비스를 이용하고 있었습니다. 그런데 Ryuk 랜섬웨어 공격으로 인해 한 순간에 기업 고객들이 온라인 우편 시스템, 송장 처리, 물류 관리 서비스에 접근할 수 없게 되었습니다. 고객의 비즈니스 운영에 큰 장애가 생기면서 Pitney Bowes에 대한 불만이 쏟아졌고, 피해는 겉잡을 수 없이 커져갔습니다.

그 이후 Pitney Bowes가 해커에게 랜섬 머니를 지불했는지는 대중에게 알려져 있지 않습니다. 어쨌든 복구 작업과 보안 강화에 수백만 달러의 비용을 지출했을 것으로 추정됩니다. 그런데, 안타깝게도 7개월 후인 2020년 5월 Pitney Bowes는 Maze라는 또 다른 랜섬웨어의 공격을 받게 됩니다.

이는 많은 고객들이 Pitney Bowes에 대한 신뢰를 크게 잃는 계기가 되었습니다. Maze는 Ryuk과는 다른 랜섬웨어의 종류지만, 보안 전문가들은 두 공격이 서로 연관되어 있을 것으로 추측하고 있습니다. 해커들이 이전에 유출된 자격 증명을 이용하여 다시 침입했을 가능성이 있다고 생각하기 때문입니다.

Ryuk 랜섬웨어는 어떻게 동작하나요?

Ryuk 랜섬웨어의 동작 과정을 알아봅시다. 간략히 요약해보면 해커들이 공격 대상을 선정하고 피해자의 네트워크에 악성코드를 이용하여 침투합니다. 그 후 암호화 알고리즘으로 비즈니스에 필요한 중요 데이터를 암호화하여 사용하지 못하게 만듭니다. 아래에서 동작 과정을 단계별로 상세히 설명하겠습니다.

1. 악성코드를 이용하여 침투

주로 스팸 이메일, 피싱 이메일 등이 감염의 시작점이 됩니다. 해커가 피해자에게 악성 링크 또는 실행파일 등이 포함된 이메일을 전송합니다. 그들은 스팸 이메일을 마치 업무 관련 이메일인 것처럼 작성합니다. 피해자의 관심을 끌어서 피해자가 무심결에 클릭하도록 하는 것이 그들의 목적입니다. 주로 악성 코드를 거래 내역서, 청구서, 견적서, 고객 불만 접수내역, 배송 확인서 등과 같은 서류로 위장합니다. ‘긴급 확인 요청’, ‘중요 보고서’와 같은 제목으로 피해자를 다급하게 만드는 것은 물론입니다.

깜빡 속은 피해자가 첨부 파일을 열거나, 링크를 클릭할 경우 트로이 목마 멀웨어가 네트워크에 설치됩니다. 주로 Emotet과 TrickBot이라는 트로이 목마가 이 과정에서 사용됩니다. 이 트로이 목마 악성코드가 백도어 역할을 하여, 감염된 네트워크 내에 추가적으로 악성 프로그램을 설치할 수 있게 합니다.

2. 네트워크 내에서 이동하며 중요 데이터에 접근

네트워크 침투에 성공한 이후에는 감염된 네트워크 내에서 횡적 이동(Lateral Movement)을 합니다. 횡적 이동이란, 해커가 감염된 네트워크 내부에서 이동하며 추가 권한을 획득하여 전체 네트워크를 장악하는 과정을 말합니다. 이를 통해 해커는 더 중요한 시스템과 데이터에 접근할 수 있습니다.

예를 들어, 처음에는 해커가 일반 사용자 권한만 획득했지만, 횡적 이동을 통해 관리자(root) 권한을 획득할 수 있습니다. 해커가 관리자 권한을 얻고 나면 네트워크 내의 모든 장치와 시스템에 접근 및 조작이 가능합니다. 파일 서버, 데이터베이스, 백업 시스템 등 모든 시스템을 다 찾아본 후 암호화를 적용할 대상 데이터를 선별해 냅니다. 가장 중요한 데이터를 선별하여 암호화 시킬 준비를 하는 것입니다.

3. 중요 타겟 파일 암호화

Ryuk 랜섬웨어의 암호화 기술은 PKI 기술에서 사용되는 암호화 기술과 동일합니다. 대칭키와 비대칭키 암호화를 이중으로 이용하여 복호화를 불가능하게 만듭니다. 이를 주로 하이브리드 암호화 방식이라고 부릅니다.

먼저, 대칭키 방식인 AES(Advanced Encryption Standard) 알고리즘을 이용하여 중요한 데이터 파일을 암호화 합니다. AES 암호화 방식을 사용하면 대량의 데이터를 단시간 내에 암호화할 수 있습니다. 그 다음, 이 AES 키를 다시 RSA 비대칭키 기술을 사용하여 이중으로 암호화합니다. 이 때 해커의 RSA 공개키를 이용하여 암호화 시키는데, 이를 복호화 하기 위해서는 해커의 RSA 개인키가 필요합니다. 따라서 해커가 직접 본인의 RSA 개인키를 이용하여 해독해 주어야만 원래의 파일을 되찾을 수 있습니다.

요약해서, Ryuk은 AES 대칭키를 이용하여 파일 내용을 암호화 한 뒤 그 대칭 키를 다시 RSA 공개키로 암호화 하는 방식을 사용합니다. 이와 같은 하이브리드 암호화는 아주 복잡하고 강력해서 피해자 스스로 파일 복구를 할 수 없습니다. 현존하는 슈퍼 컴퓨터로 해독을 한다 해도 수백년 이상의 시간이 걸릴 것입니다.

4. 랜섬 노트 생성

중요 파일을 모두 암호화 하고 나면, 폴더에 ‘RyukReadMe.txt’ 라는 영어로 된 텍스트 파일을 남깁니다. 해커가 피해자에게 돈을 받아내기 위해 쓰는 편지입니다. 이 편지 안에는 랜섬 머니를 지불하는 방법과 해커의 이메일 주소 혹은 메신저 ID, 비트코인 지갑 주소가 남겨져 있습니다. 피해자는 그걸 보고 해커에게 연락을 취해서 돈을 내고 파일을 복구합니다. 랜섬 노트의 내용을 한국어로 번역하면 대략 다음과 같습니다.

“당신의 네트워크가 침입되었습니다. 네트워크상에 있던 모든 파일들은 아주 강력한 알고리즘으로 암호화 되었습니다. 당신이 만들어 놨던 백업 파일들은 우리가 암호화 하거나 삭제했습니다. 백업 디스크 또한 포맷된 상태입니다. 섀도우 카피도 삭제했으니 어떤 방법으로 시도해 보아도 복호화 할 수 없습니다. 오히려 파일에 손상만 줄 뿐입니다. 시중에 나와있는 어떤 복호화 툴로도 파일을 되돌릴 수 없으며, 오직 우리만이 복호화를 할 수 있습니다. 시스템을 리셋하거나 셧다운 하지 마세요. 파일이 손상됩니다. 암호화된 파일, readme 파일 이름을 변경하거나 위치를 이동하지 마세요. readme 파일을 삭제하면 안됩니다. 파일 복구가 불가능해 질 수도 있습니다. 파일을 복구하고 싶으시다면 여기로 연락 주세요, ***@***.*** / 비트코인 지갑 주소: **************** / 어떤 시스템도 안전하지 않습니다. Ryuk”

5. 랜섬 머니 협상 및 데이터 복구

피해자가 랜섬 노트에 있는 연락처로 해커에게 연락을 취하면, 해커는 비트코인으로 몸값을 지불하기를 요구합니다. 그들은 이미 피해자에 대해 잘 알고 있으며, 얼마나 지불할 수 있는 지에 따라 알맞은 금액을 책정해 두었을 것입니다. 보통 금액대가 수십만에서 수백만 달러에 이릅니다.

피해자가 돈을 지불하면 해커가 보통 복호화 키와 함께 복호화 프로그램을 제공합니다. 하지만 해커가 복구 과정까지 다 해주지는 않고, 피해자가 받은 복호화 키와 프로그램으로 스스로 복구를 해야 합니다. 텍스트 파일로 된 노트에 어떻게 복호화를 하는지 설명이 적혀 있기도 합니다.

하지만, 설명이 너무 복잡하여 이해하기 어렵거나 복호화 과정에 오류가 발생할 수도 있습니다. 또는 해커가 제공한 키가 제대로 작동하지 않기도 합니다. 당연히 범죄 조직인 해커들로부터 사후 조치를 기대하기는 어렵습니다. 최악의 경우, 해커가 돈만 받고 연락을 끊어버리는 경우도 있습니다. 그럴 경우 랜섬 머니를 지불하였음에도 불구하고 데이터를 복구할 수 없게 되는 것입니다. 일반적으로, Ryuk 랜섬웨어의 경우에는 돈을 지불하면 대부분 복호화 키를 받아 복호화를 할 수 있다고 알려져 있습니다. 그러나 이를 100% 신뢰할 수는 없을 것입니다.

만일 해커가 제공한 툴로 복구가 안 되었거나, 처음부터 랜섬머니를 지불하지 않기를 택한 경우에는 자체 기술로 다시 시스템을 구축해야 할 것입니다. 평소에 DR 서버를 잘 구축해 둔 경우, 복구하는 동안 DR 시스템을 사용할 수 있습니다.

Ryuk 랜섬웨어 공격에 같이 사용되는 악성코드

실제로 Ryuk 랜섬웨어 공격에는 여러가지 악성코드가 함께 협력하여 다단계 공격 체계를 만들어 냅니다. 주로 Emotet, TrickBot이 많이 사용되는데 때로는 BazarLoader등 다른 악성코드가 사용되기도 합니다. 각각의 악성코드는 Ryuk이 타겟 시스템에 침투하는 것을 도와주기 위해 서로 다른 역할을 맡고 있습니다.

Emotet: Ryuk의 초기 공격 단계에서 네트워크 감염 경로를 만들기 위해서 사용됩니다. 대개 업무용 이메일로 위장한 피싱 이메일에 숨어 있다가 공격하는 경우가 많습니다. 사회 공학적인 피싱 기술을 통해 악성 매크로가 포함된 첨부 파일이나 링크를 피해자가 클릭하도록 유도합니다. 네트워크에 침입한 이후에는 다른 악성코드들이 추가 배포될 수 있도록 시스템에 백도어를 만듭니다.

그 후, C&C(Command and Control) 서버에 연결하여 페이로드를 추가로 다운로드 합니다. 좀 더 쉽게 설명하자면, Emotet이 네트워크 내에 침투하고 나서야 실질적인 공격 명령 코드를 다운받는다는 것입니다. 처음부터 전체 랜섬웨어가 시스템에 침입한다면 보안 시스템에 의해 탐지될 확률이 높기 때문입니다. 탐지되는 것을 피하기 위해서 일단 껍데기 부분만 네트워크에 침입하고, 나중에 C&C서버에서 중요 공격 코드를 다운받습니다. 또 다른 이유는 침입 시스템의 상황에 맞춰 유동적으로 공격 방법을 결정하기 위해서 입니다. 예를 들어, TrickBot 공격이 먹히지 않을 상황이라고 판단되면 다른 악성코드를 불러오기로 결정할 수 있습니다. Emotet의 C&C서버는 다양한 악성코드를 가지고 있어서 상황에 맞게 실시간으로 악성코드를 배포하는 것이 가능합니다.

TrickBot: Emotet이 초기 단계 침투 역할을 수행하고 나면 TrickBot이 본격적인 공격을 위해 나설 차례입니다. TrickBot은 네트워크 내에서 더 많은 시스템에 접근하기 위해서 계정 권한을 상승합니다. 또한 네트워크에 연결된 기기들의 정보를 수집하고, 로그인 자격 증명, 개인 정보와 같은 중요한 데이터들을 탈취합니다. 안티바이러스 도구나 Windows Defender과 같은 보안 장치를 무력화 하기도 합니다. 그리고 탐지당하는 것을 피하기 위해서 스스로를 수정합니다. 시스템 환경에 따라 실행 파일을 변조 또는 암호화하여 탐지를 피해갑니다.

Emotet과 마찬가지로 TrickBot 또한 시스템에 백도어를 설치하여 추가적인 악성 프로그램을 들일수 있습니다. C&C 서버와 통신하여 Ryuk 페이로드를 다운받는 것입니다. 최적의 타이밍에 맞춰서 Ryuk 랜섬웨어를 시스템 안에 들어오게 한 뒤 네트워크 안의 시스템에 Ryuk을 배포합니다.

기타 다른 악성코드: Emotet과 TrickBot 이외의 다른 악성코드가 사용되기도 합니다. 대표적인 대체 악성코드로 BazarLoader이 있습니다. BazarLoader는 가끔 시스템 상황에 따라서 TrickBot 사용이 어려울 때 TrickBot을 대신하여 Ryuk 랜섬웨어의 배포를 돕습니다. 또한 QBot, Cobalt Strike, Anchor와 같은 악성코드도 Ryuk 공격에 사용되는 경우도 있습니다.

Hermes vs. Ryuk vs. Conti

Ryuk 랜섬웨어는 시간의 흐름에 따라 여러가지 변화 과정을 거쳤습니다. 맨 처음에 Hermes가 있었고, 그 다음 Ryuk, 거기서 Conti가 갈라져 나왔습니다. 그 세가지 랜섬웨어는 무엇이 서로 다른지 여기서 짚어봅시다.

Hermes (2017~)

Hermes는 Ryuk 랜섬웨어의 초창기 버전이라 할 수 있습니다. Hermes는 2017년 2월에 처음 배포되었습니다. Hermes 랜섬웨어는 Ryuk에 비해 다소 단순한 공격 수법을 사용했습니다. Ryuk에서 보이는 네트워크 정찰, 다단계 공격 등이 Hermes에는 존재하지 않습니다. 그저 피해자의 파일을 암호화하고 복구 대가로 비트코인을 요구하는 것이 전부였으며, 정확한 타겟 없이 피싱 메일을 뿌려서 무차별적으로 공격을 진행했습니다. 그래서 주로 소규모 비즈니스나 개인 사용자가 피해자가 되었습니다. 당연히 Ryuk에 비해 랜섬머니의 금액도 낮았습니다.

Ryuk (2018~)

Ryuk은 Hermes를 기반으로 하되 기술적으로 Hermes보다 더 고도화된 랜섬웨어 버전입니다. 또한 정확한 타겟을 선정하고 그 타겟에 맞는 공격을 한다는 것이 달라진 부분입니다. 위에서 알아보았듯이, Ryuk은 주로 공공기관, 기업, 의료기관 등 대규모 조직을 타겟으로 삼습니다. 또한 Ryuk은 네트워크 내에 침투하여 상황을 살핀 후 유동적으로 공격 방법을 결정할 수 있습니다. Emotet, TrickBot 등의 악성코드를 이용해 다단계식으로 공격하여 성공률을 높입니다. 애초에 대규모 조직을 타겟으로 노린 만큼, 협상 금액도 훨씬 높게 부릅니다. Hermes에 비해 고도화된 버전인 만큼 더 파괴적이고 많은 피해를 입힙니다.

2021년부터 Ryuk은 스스로 네트워크 내에서 확산할수 있는 웜(worm)이라는 기능을 추가하였습니다. 웜이란 랜섬웨어가 추가 작업 없이도 스스로 네트워크 내에 있는 다른 컴퓨터로 자동 확산되는 기술을 말합니다. 따라서 랜섬웨어가 매우 빠르게 전체 네트워크를 장악할 수 있습니다. 사실 현재는 Ryuk 랜섬웨어의 활동이 과거에 비해 잠잠해진 상태입니다. 하지만 Ryuk의 기술을 사용하는 랜섬웨어 변종이 언제든지 다시 나올 수 있으므로 경계를 늦추지 않아야 합니다.

Conti (2020~)

Conti는 2020년 등장한 Ryuk의 업그레이드 버전 랜섬웨어입니다. Ryuk과 마찬가지로 Wizard Spider에서 만들어진 것으로 알려져 있습니다. 이중 갈취(double extortion) 수법과 RaaS(Ransomware as a Service) 모델을 사용한다는 것이 두드러진 특징입니다. 여기서 이중 갈취란 단순히 데이터를 암호화하는 것에 그치지 않고, 탈취한 데이터를 유출하겠다고 피해자를 협박하는 것입니다. 그리하여 암호화 된 파일 복구 비용에 더해서 데이터 유출 방지를 위한 비용까지, 즉 이중으로 랜섬머니를 요구하는 수법입니다. 또한 Conti는 RaaS 서비스로 제공이 되어 다른 해커들이 Conti를 돈을 주고 구매하게 되면서 더 널리 퍼진 랜섬웨어가 되었습니다.

Conti는 2022년 러시아-우크라이나 전쟁 당시 러시아를 지지하였습니다. 이에 대해 반발한 우크라이나인 조직원들이 Conti의 내부 기밀을 유출했던 이른바 ‘ContiLeaks’ 사건이 발생했습니다. 그 이후 조직이 와해되어 최근까지 특별한 업데이트가 없습니다. 하지만 Conti 랜섬웨어 조직원들이 다른 랜섬웨어 그룹으로 옮겨가서 여전히 활동하며 사이버 범죄를 저지고 있다고 알려져 있습니다.

Ryuk 랜섬웨어로부터 비즈니스를 지키기 위한 방법

여태까지 알아보았듯이 Ryuk 랜섬웨어에 일단 걸리고 나면 뾰족한 해결방법이 없습니다. 해커집단에게 랜섬머니를 지불하거나, 자체적으로 해결한다고 해도 남아있는 데이터들을 하나하나 대조해보고 맞춰가면서 복구해야 할 가능성이 높습니다. 두 방법 모두 막대한 비용이 들고, 원본 그대로 복구할 수는 없을 것입니다. 따라서 Ryuk 랜섬웨어에 걸리지 않도록 철저히 예방하는 것이 최우선입니다. 어떻게 하면 Ryuk 랜섬웨어로부터 비즈니스를 지킬 수 있을까요? 여기에 5가지 방법을 제시해 보았습니다.

1. 이메일 보안 강화

Ryuk의 대부분은 피싱 이메일로부터 시작됩니다. 사내 시스템에 의심스러운 이메일을 탐지해내는 필터링 시스템을 구축하는 것이 좋습니다. 이메일의 첨부파일 및 링크도 시스템이 자동으로 스캔하여 분석해야 합니다. 이메일 계정은 2FA(2단계 인증) 또는 MFA(다단계 인증)을 통해 로그인하도록 하여 계정이 탈취되는 일이 없도록 잘 관리합니다.

2. 임직원 보안 교육

직원들 스스로가 Ryuk과 같은 랜섬웨어에 대한 경각심을 가지고 있어야 합니다. 정기적으로 전 직원에게 피싱 이메일, 랜섬웨어, 보안 시스템 등 기본적인 보안 지식에 대해 교육해야 합니다. 특히 스팸/피싱 이메일에 대해서는 더 강조해야 합니다. 가끔 시스템에 의해 필터링이 되지 않은 스팸 이메일도 내부로 들어올 가능성이 있습니다. 직원 모두가 IT에 대한 지식이 많지는 않기 때문에, 이메일에 포함된 첨부파일이나 링크를 업무 관련 내용인줄 알고 의심 없이 클릭할 가능성이 충분히 있습니다. 보안에 대해 모든 직원이 잘 이해할 수 있도록 반복하여 교육해야 합니다.

3. VPN 사용

각 기관에서 업무를 할 때 위협 방지 기능이 있는 VPN을 사용하여 악성코드 침입을 막아야 합니다. Ryuk 랜섬웨어는 Emotet과 Trickbot 등 악성코드로부터 감염이 시작되므로, 그들을 차단하는 것이 중요합니다. PC, 태블릿, 스마트폰 등 네트워크 트래픽이 오가는 모든 기기에 VPN을 사용하는 것이 좋습니다. VPN은 네트워크 트래픽을 모니터링 하여 비정상적인 활동을 잡아내 줄 것입니다.

4. 네트워크 세그먼테이션

네트워크 세그먼테이션, 즉 네트워크 세분화는 랜섬웨어 공격을 방어하기 위해 중요한 부분이지만 현장에서 잘 실천되지 않고 있습니다. 네트워크 세그먼테이션은 하나의 네트워크 안에서 여러 개의 구역을 나누는 것을 의미합니다. 그렇게 하면 랜섬웨어나 악성코드가 한 구역에서 다른 구역으로 번지지 않아 전체 네트워크가 영향받는 사태를 예방할 수 있습니다. 방화벽, VLAN, 서브넷 등을 이용하여 네트워크 구역을 나누고, 중요 데이터 서버는 일반 사용자 네트워크와 분리해야 합니다.

5. 데이터 백업

항상 중요 데이터가 메인 네트워크와 분리된 백업 시스템에 백업되어 있어야 합니다. 그래야만 메인 네트워크가 공격을 받았을 때 백업 시스템이 영향을 받지 않기 때문입니다. 또한, 백업 시스템을 정기적으로 테스트 하고 원본과 동기화 하여 최신 상태를 유지해야 합니다. 만약 DR 서버(Disaster Recovery Server)를 구축할 여력이 있다면 구축하는 것이 가장 좋습니다. 그렇게 하면 Ryuk 랜섬웨어와 같은 사이버 공격의 영향을 최소화 할 수 있습니다. DR 서버가 있으면 메인 서버가 랜섬웨어에 공격받는다 해도, 네트워크 트래픽을 곧바로 DR 서버로 바꿔서 연결할 수 있어서 비즈니스 연속성이 유지됩니다.

맺음말

혹자는 랜섬웨어에 대해 가볍게 생각할 지 모르겠습니다. 하지만 Ryuk은 랜섬웨어가 우리의 삶을 파괴할 수 있다는 것을 알려주는 좋은 사례입니다. Ryuk 랜섬웨어 감염은 기술적인 문제에서 그치는 것이 아닙니다. 국가를 마비시키고, 천문학적인 금액의 손해를 초래하며, 심지어는 의료 현장을 마비시켜 사람의 생명을 앗아갈 수도 있습니다. ‘Ryuk’은 그 이름대로 무자비한 사신의 모습을 하고 우리에게 찾아온 것입니다.

그러나, 우리는 두려움에 갇혀 있기 보다는 앞으로 나아가야 할 것입니다. 지금 우리가 할 수 있는 일은 사이버 보안에 대한 경각심을 가지고 Ryuk 랜섬웨어에 대해 공부하며 대비하는 것입니다. 그렇게 하면 미래의 공격을 다 함께 충분히 막아낼 수 있을 것이라 생각합니다. 과거의 피해를 교훈으로 삼아 사이버 보안을 강화하면 앞으로 Ryuk은 우리를 위협하지 못할 것입니다.