클라이언트 경고
사내 법무팀을 위한 랜섬웨어 예방, 대비 및 대응가이드
October 10, 2017
By Paul Hastings Professional
랜섬웨어 대응 계획
배경
랜섬웨어는 침입자가 기업의 데이터를 암호화한 후, 해독키를 원하면 이에 대한 금전적 대가(통상적으로 비트코인과 같은 가상 화폐)를 지불하도록 요구하는 일종의 사이버 공격입니다. 랜섬웨어는 회사 임직원의 클릭을 유도하는 피싱 (phishing) 이메일을 통해 가장 빈번하게 기업에 배달되어 사내 전산망에 침투합니다. 랜섬웨어는 중요한 데이터 및 시스템에 접근할 수 없도록 하여 기업 운영에 심각한 장애를 초래할 수 있으며 심지어 다국적 기업의 업무까지도 중단시킬 수 있습니다.
랜섬웨어 공격의 피해를 입은 기업은 기업 운영, IT 보안, 법률 및 준법 규정 준수에 관련된 시급한 문제에 직면하게 됩니다. 기업은 신속하게 기업 운영을 복원해야 하고, 고객 및 비즈니스 파트너와 커뮤니케이션을 할 수 있어야 합니다. 기업은 몸값 지불 여부, 법 집행기관과의 협업 방법, 기업 운영 장애로 인해 야기되는 금전적 피해 및 그러한 공격으로 인해 유발될 수도 있는 행정 규제상 질의로 인한 잠재적 책임 이슈 등의 어려운 문제들을 동시에 빼놓지 않고 잘 대처할 수 있어야 합니다.
랜섬웨어 공격은 아무런 경고 없이 다가오기 때문에 기업은 미리 생각해 둘 필요가 있습니다. 사전에 가능한 모든 예방 조치를 취해야 합니다. 또한 예방 조치가 실패할 경우에 대비해 대응 매뉴얼 (playbook)을 갖추고 있어야 합니다. 이와 같은 계획은 기업의 기존 사이버 대책 및 사건 대책에 통합되거나 보충적으로 개발되어야 합니다.
목적
기업의 효과적인 랜섬웨어 대응책은 랜섬웨어 공격을 예방, 탐지, 억제 및 대응하는 전략을 포괄해야 합니다. 이러한 대응책의 궁극적인 목적은 회사의 자산, 지속적인 영업활동, 그리고 보유하고 있는 민감한 정보의 보호 입니다.
예방
피싱 (phishing) 이메일은 대다수 랜섬웨어 공격의 매개체이므로, 임직원을 대상으로 정기적인 피싱 예방 교육을 실시합니다. IT 부서가 주기적으로 가짜 피싱 이메일을 보내 임직원들을 테스트하고, 반복적으로 클릭하는 임직원들에게는 그 책임을 묻도록 합니다.
강력한 데이터 백업 절차를 유지합니다. 만약 데이터가 주기적으로 백업되어 쉽게 접근이 가능하다면 백업자료를 이용하여 데이터를 복구할 수 있기 때문에 몸값을 지불할 필요가 없어질 수 있습니다.
외부의 사이버 과학수사 회사 및 법률 자문사를 미리 선임하여 랜섬웨어 탐지 즉시 업무를 시작할 수 있도록 합니다. 다른 중대한 사이버 사건 발생 시와 마찬가지로 조사 과정 및 발견되는 사실관계에 대한 변호사-고객 특권 (attorney-client privilege) 유지를 위해 법률자문사를 통해 사이버 과학수사 회사를 고용하도록 합니다.
사건 대응 및 랜섬웨어 대응 계획, 단계별 절차, 데이터 보안 사건 및 개인 정보 침해에 대한 대응 방안 등의 효과를 점검하기 위해 내부 교육(예: 가상훈련 또는 모의 게임)을 실시합니다.
탐지
피싱 이메일처럼 보이는 이메일을 클릭했거나 화면에 몸값을 요구하는 내용을 발견하는 등 랜섬웨어처럼 보이는 공격이 발생했을 때 임직원은 즉시 IT 부서에 통보합니다. 임직원이 직접 몸값을 지불하거나 공격자와 협상 또는 의사 소통을 시도하지 않도록 교육합니다.
시스템, 데이터베이스 및 말단 (endpoint) 등에서 주기적으로 검색을 실시하여 이미 배포되었거나 및 배포될 수 있는 랜섬웨어를 탐지하도록 합니다.
억제
IT 보안팀은 다음과 같은 범주의 작업을 포함하도록 문제해결 방안을 적극적으로 수립해야 합니다. (1) 감염된 시스템은 가능한 한 빨리 네트워크에서 분리하여 격리합니다; (2) 감염되었지만 아직 손상되지 않은 장치는 격리시키거나 전원을 차단합니다; (3) 백업 데이터 또는 시스템은 가능하다면 오프라인으로 보존합니다.
임직원에게 랜섬웨어의 존재를 알린 후 이메일 사용을 자제하고 의심스러운 활동이 발견되면 즉시 IT 부서에 연락하고 랜섬웨어의 어떠한 요구에도 응답하지 말라는 내용 등의 구체적인 행동 지침을 권고합니다.
대응
사건대응팀 구성 : 사전에 사건대응팀을 구성하여 탐지 이후 모든 의사 결정에 대한 조정 기관의 역할을 수행하도록 합니다. 사건대응팀에는 IT 보안, 법무, 준법, 인사, 고객 관계 및 홍보 등 모든 관련 부서 및 외부 사이버 보안 회사와 법률 자문사도 포함되어야 합니다.
사건 대응 계획 준수 : 랜섬웨어 사건에 대응하는 각 사건대응팀 구성원의 단계별 역할이 자세히 설명되어 있는 사건 대응 계획 및 지침서를 검토하고 준수합니다.
과학수사팀 구성 : 외부 사이버 보안 과학수사팀은 변호사와 협의하여 변호사의 지시에 따라 사건의 근본 원인과 영향을 받은 범위를 조사합니다. 과학수사팀은 사내 IT보안팀과 긴밀히 협력하여 영향을 받은 시스템의 이미지를 캡처하고 증거를 수집 및 분석하며 문제 해결 절차를 개략적으로 제시하도록 합니다. 과학수사팀은 조사 결과를 사건대응팀에 보고해야 합니다.
사건 대응 커뮤니케이션 계획 준수 : 랜섬웨어 사건의 심각성과 기업 운영에 미치는 영향 정도에 따라 경우에 따라서는 공격 뉴스가 빠르게 알려져 신속한 위기 대응 커뮤니케이션 대책이 필요하게 됩니다. 임직원, 고객, 투자자, 주요 비즈니스 파트너, 규제 기관, 법 집행기관 및 언론 등 모든 관련 당사자에게 접촉할 수 있도록 회사의 사건 커뮤니케이션 계획을 검토하고 준수합니다. 외부와의 커뮤니케이션은 모든 운영 및 비즈니스 목적과 법적 고려 사항이 검토될 수 있도록 사건대응팀과 조율해 이루어져야 합니다.
법 집행기관에 통보 여부 검토 : 몸값 요구 및 기술적 해결방안에 대한 지침과 지원을 제공할 수 있도록 법 집행기관에 알릴지 여부를 결정합니다.
규제 기관 통지 의무 여부 결정 : 변호사는 사법 관할권, 규제 기관 및 개인 정보 침해 여부에 따라 달라질 수 있는 국내 및 국제적으로 관련된 데이터 유출 (breach) 통지 의무 조항을 검토하기 시작합니다.
계약상 통지 의무 여부 결정 : 최근 상업 계약은 일반적으로 사이버 공격으로 인해 계약상 의무 수행을 위 태롭게 하거나 민감한 데이터가 유출 위험에 빠질 수 있는 경우 상대방에게 통지하도록 합니다. 이러한 계약은 종종 구체적인 완화 조치를 취할 것을 의무화합니다. 변호사는 비즈니스 파트너에 대해 이러한 의무를 가지고 있는 기업이 계약을 위반하지 않고 잠재적 책임을 줄일 수 있도록 조언해야 합니다.
몸값 요구를 둘러싼 조사, 평가 및 결정을 내립니다. 몸값 지불 여부는 매우 민감한 문제입니다. 몸값 지불 여부와 관련된 모든 심의와 절차는 변호사-고객 특권 (attorney-client privilege)에 의해 보호될 수 있도록 변호사의 지시에 따라 수행되어야 합니다. 몸값 지불 여부에 대한 결정을 내릴 때 기업은 다음 사항을 수행해야 합니다.
–의사 결정자가 누구인지 파악하고 즉시 의사결정에 참여시킵니다. 이때 최소한 CEO 또는 COO, 최고정보임원 (CIO) 또는 최고정보보안임원 (CISO), 법무팀장은 포함되어야 하고 이사회나 관련 위원회에도 이에 대해 간략히 설명하는 것이 바람직할 수 있습니다.
–외부 전문가의 도움을 받아 회사는 가해자가 누구인지 파악할 수 있도록 최대한 분석해야 합니다. 이는 제재 준수와 관련된 리스크, 대금 지불 시 가해자가 실제로 해독키를 제공할 가능성 및 기타 관련 상황을 평가하는 데 도움이 될 수 있습니다.
–몸값 지불 여부를 결정할 때 모든 옵션에 대해 평가합니다. 이때 검토할 사항에는 백업을 통해 시스템을 재시작하는 방법의 기술적 타당성, 적시성, 비용; 몸값 규모; 공격자의 명성 및 공격자가 재차 공격하거나 또는 요구액을 증가시킬 수 있는지 여부; 법적 및 준법 정책상 고려 사항 등이 있습니다.
–기업의 보험 약관을 검토하여 보험의 보상 범위 및 보험금을 받기 위해서는 몸값을 지불하기 이전에 보험 회사에 통보해야 하는지 여부 등을 포함한 필요한 절차를 확인합니다.
–회사가 몸값을 지불하기로 결정한다면 이러한 계획을 법 집행기관에 먼저 통지해야 하는지 검토해야 합니다. 법 집행기관에의 통지는 준법 리스크를 완화할 수 있고 및 보험금을 수령하기 위해서 필요할 수 있습니다.
–비트 코인을 신속하게 구입하는 방법 또는 위급 상황에 대한 대비책으로 비트코인으로 충당금을 유지할지 여부 등을 사전에 검토합니다.
문제 해결
백업을 활용하여 데이터 복구 : 공격 이전에 백업되어 있던 데이터로 시스템을 복원하고 일상적인 비즈니스 운영으로 돌아가 랜섬웨어 공격으로부터 벗어나도록 합니다.
사후 분석 실시 : 변호사-고객 특권을 보호하기 위해 변호사의 지시에 따라, 상황이 적절하게 처리되었는지 여부 및 회사의 사건 대응 계획과 관련된 정책들이 개정 또는 개선될 필요가 있는지 여부 등을 검토하는 사후 사건 분석을 실시합니다.