랜섬웨어란 무엇인가?
랜섬웨어(Ransomware)는 피해자의 파일을 암호화하거나 시스템을 잠근 후 복호화 키나 잠금 해제를 대가로 몸값(Ransom)을 요구하는 악성코드입니다. 정보보안기사 시험에서는 랜섬웨어 공격 단계, 유형, 기술적 대응 방안, 사고 대응 절차가 핵심 출제 범위입니다.
랜섬웨어 공격 단계
- 초기 침투: 스피어 피싱, 취약점 익스플로잇, RDP 무차별 대입 공격, 공급망 침해
- 횡적 이동(Lateral Movement): Pass-the-Hash, Kerberoasting, 원격 실행 도구(PsExec, WMI)
- 권한 상승: 로컬 관리자 → 도메인 관리자. Active Directory 공격
- 데이터 유출(Double Extortion): 암호화 전에 데이터 먼저 유출. 복호화 거부해도 유출 협박
- 암호화: AES(파일 암호화) + RSA(AES 키 암호화) 조합. 비대칭 키로 복호화 불가 설계
주요 랜섬웨어 그룹과 기술
- RaaS(Ransomware as a Service): 랜섬웨어 개발자가 인프라를 제공하고 가입자(Affiliate)가 공격 수행. LockBit, ALPHV(BlackCat), Cl0p
- LockBit 3.0: 가장 활발한 RaaS 그룹. 버그 바운티 운영, 리눅스/ESXi 대상
- Cl0p: MOVEit Transfer, GoAnywhere 취약점(제로데이) 익스플로잇으로 대규모 공격
기술적 대응 방안
- 3-2-1 백업 규칙: 3개 복사본, 2가지 미디어 유형, 1개 오프사이트(오프라인 포함)
- 네트워크 세그멘테이션: 마이크로세그멘테이션으로 횡적 이동 차단
- EDR(Endpoint Detection and Response): 이상 행위 탐지, 프로세스 격리, 자동 대응
- 최소 권한 원칙: 불필요한 관리자 권한 제거. AD 티어 모델 적용
- MFA 강제 적용: RDP·VPN·이메일에 MFA 적용으로 크리덴셜 스터핑 방어
랜섬웨어 사고 대응 절차
- 격리: 감염 기기를 네트워크에서 즉시 격리
- 식별: 랜섬웨어 변종 식별(ID Ransomware), 초기 침투 경로 파악
- 백업 확인: 백업 무결성 검증. 백업도 암호화됐는지 확인
- 복구: 포맷 후 백업에서 복원 or 복호화 도구 활용(No More Ransom 프로젝트)
- 신고: KISA 인터넷 침해대응센터(118), 개인정보 유출 시 개인정보보호위원회
정보보안기사 기출 핵심 정리
- 랜섬웨어 암호화: AES(파일) + RSA(AES키) 하이브리드 암호화
- Double Extortion = 암호화 + 데이터 유출 이중 협박
- RaaS = 랜섬웨어 서비스형, 개발자+가입자 분리
- 3-2-1 백업: 3개 복사본, 2종 미디어, 1개 오프사이트
- No More Ransom = 무료 복호화 도구 제공 프로젝트