Intro.
보안 사고는 사전 준비 여부와 상관 없이 언제나 당황스럽고 민감한 문제다. 특히, 랜섬웨어 사고는 기업 데이터를 암호화해 비즈니스 연속성을 심각하게 저해하고 데이터 손실과 금전 요구 등 막대한 피해를 초래한다.
랜섬웨어 사고가 발생했을 때 많은 기업에서는 대부분 신속한 복구를 위해 시스템을 초기화하지만, 이로 인해 사고 원인 규명과 재발 방지 대책 마련이 어려워지는 경우가 많다. 최근 랜섬웨어 공격은 원인을 규명해 재발 방지 대책을 마련하지 않으면 시스템을 초기화한다고 해도 지속적으로 발생할 가능성이 높다. 따라서, 피해를 복구하는 것도 중요하지만 사고의 원인 규명하고 전파 경로를 식별해 재발 방지 전략을 마련하는 것이 더 중요하다.
여러 기업의 랜섬웨어 사고를 현장에서 함께 대응하며 보안 담당자들이 사고 초기 대응 과정에서 큰 어려움을 겪는 것을 확인할 수 있었다. 대부분의 대응 가이드는 기업 상황에 맞게 적용하기 어렵고, 재발 방지보다는 피해 복구에 초점이 맞춰져 있어 실질적인 초기 대응에 참고하기 어려운 경우가 많다.
따라서, 이 글에서는 랜섬웨어 사고가 발생했을 때 사고 초기 대응 방법과 대응 과정에서 고려해야 할 주요 사항을 공유해 실질적이고 효과적인 사고 대응 전략을 제안하고자 한다.
1. 사고 인지
1.1. 랜섬웨어 인지
랜섬웨어 공격은 파일을 암호화해 감염시킨 후, 랜섬노트를 통해 피해자에게 금전을 요구하는 공격이다. 랜섬웨어 공격의 감염 경로는 다양하지만, 크게 사용자의 실수나 부주의로 인한 감염과 공격자의 해킹을 통한 감염으로 구분할 수 있다.
- 사용자 실수에 의한 감염
스피어 피싱 메일에 의한 감염(첨부파일 실행, 링크 클릭), 불문명한 사이트 방문으로 악성코드 다운로드 등
- 공격자에 의한 감염
알려진 혹은 제로데이 취약점을 악용, 미흡한 보안 설정을 통한 내부망 침투 후 감염 등
랜섬웨어 공격은 금전을 요구하기 위해 감염 시스템에 피해 사실을 명확하게 드러낸다는 특징이 있다.
• 정상 파일이 암호화되어 실행되지 않음
• 파일명 혹은 확장자가 임의로 변경되어 있음
• 로그인 화면에서 금전을 요구하는 화면이 보임
• 랜섬웨어 감염을 의미하는 배경화면으로 변경됨
• 금전 요구를 위한 협박성 메시지가 담긴 랜섬 노트 생성 (텍스트 파일, HTML 팝업 등)
랜섬웨어에 감염되면 가장 대표적으로 발생하는 증상이 파일명과 확장자가 변경되는 것이다. 이때, 변경된 파일명 또는 랜섬노트를 통해 감염된 랜섬웨어를 파악할 수 있다. 랜섬웨어 종류를 확인하는 자세한 방법은 "4-2. 랜섬웨어 복호화 도구를 통한 복구 및 랜섬웨어 종류 확인” 부분을 통해 확인이 가능하다.
랜섬웨어는 피해자에게 협상과 관련한 요구사항을 전달하기 위해 랜섬노트 파일을 생성한다. 랜섬노트는 주로 감염된 파일이 존재하는 폴더나 바탕화면 등에 “readme” 또는 유사한 파일명으로 생성된다. 랜섬노트에는 공격자와 협상을 위한 채널(이메일 주소, 다크웹 페이지 URL 등)이나 복호화에 대한 정보(비용, 지불 방법) 등이 기재되어 있으며, 시스템 식별 정보(해당 시스템에 대한 고유 ID나 Key 등)가 포함되는 경우도 있다.
공격자와 협상하지 않을 경우 랜섬노트를 삭제해도 되지만, 삭제한 후 협상을 시도하면 복호화가 불가능할 수 있으므로 주의가 필요하다.
2. 확산 방지
랜섬웨어는 피해를 확산시키기 위해 네트워크 내 다른 시스템으로 이동하면서 감염을 전파시킨다. 따라서, 랜섬웨어 감염 초기에는 확산 방지 조치를 신속하게 수행해 추가적인 시스템 감염을 무력화시키고 피해를 최소화해야 한다.
2.1. 추가 피해 시스템 확인
내부 시스템의 피해 확산 여부를 확인하기 위해 피해 범위를 식별하는 것은 랜섬웨어 사고 대응의 핵심 단계이다. 이를 위해 다음과 같은 절차로 확인이 필요하다.
1) 최초로 피해가 인지된 시스템 확인
랜섬웨어를 처음 인지하게된 시스템을 식별하고 해당 시스템 내 증상을 파악
(랜섬노트 파일명, 파일명 변경 패턴, 파일 확장자 등)
2) 최초 피해 시스템과 연관성이 있는 시스템 확인
최초 피해 시스템과 파일 공유 설정이 되어있는 시스템, 동일한 네트워크에 존재하는 시스템을 우선순위로 확인
(파일명 변경, 랜섬노트 생성 등 감염 증상 존재 여부)
3) 백신 프로그램 탐지 이력 확인
시스템 내 랜섬웨어 파일 탐지 이력이 있는지 확인
(감염 흔적이 존재하는 경우, 파일 경로 및 감염 시점을 파악해 확산 경로 추적)
2.2. 네트워크 격리
1) 감염 시스템 격리
랜섬웨어의 내부 전파를 무력화하기 위해 감염 시스템의 네트워크를 신속하게 격리하는 것이 중요하다. 네트워크 격리는 랜섬웨어가 다른 시스템으로 확산되는 것을 방지하고 피해를 최소화하는데 핵심적인 역할을 한다.
• 랜선 탈착
• 네트워크 장비를 통해 네트워크 격리
ㅤ◦ 방화벽: 감염 시스템의 IP 주소 또는 서브넷 차단, ACL을 통해 내/외부 통신되지 않도록 설정
ㅤ◦ 스위치: VLAN 설정을 통해 격리, MAC 주소를 기반으로 통신 차단해 내/외부 통신되지 않도록 설정
• 호스팅 서버 이용 시 IDC 측 장비를 통해 네트워크 격리 조치
• 클라우드 서비스 이용 시 VPC, ACL 등을 활용해 네트워크 격리 조치
2) 중요 시스템 격리
랜섬웨어에 감염되지 않은 시스템이라 하더라도, 내부적으로 백업 서버나 NAS 서버처럼 중요 데이터를 저장하고 있는 고중요도의 시스템은 초기 대응이 완료되기 전까지 격리하는 것이 필요하다.
이는 잠재적 위험 요소를 차단하고 중요 데이터를 보호해 사고 확산을 방지하기 위해한 목적이며, 실제 사고 대응에서 접근 통제가 적절하게 설정되어 있고 이상 징후가 없는 시스템도 백도어나 실행되지 않은 랜섬웨어 파일이 발견되는 경우가 자주 발생되고 있기 때문이다.
2.3. 전원 유지
일부 랜섬웨어는 전원을 차단하면 시스템이 부팅되지 않거나 활성 데이터가 손실되어 분석이 어려워질 수 있다. 따라서, 일반적으로는 네트워크를 분리한 상태에서 전원을 유지하는 것이 바람직하다.
다만, 실시간으로 파일 암호화가 진행 중인 경우 전원을 차단하면 암호화를 중단시킬 수 있으나 이로 인해 암호화가 중단된 파일이 손상되어 복호화가 불가능해질 위험이 있다. 이에 따라, 랜섬웨어 사고 발생 시 현장 상황과 향후 대응 방향을 종합적으로 고려해 전원 유지 여부를 신중하게 결정해야 한다.
2.4. 파일 공유 및 드라이브 연결 해제
랜섬웨어는 SMB를 통해 내부 공유 폴더로 전파되거나, 연결된 드라이브와 외장 저장 장치로 전파될 수 있다. 따라서, 랜섬웨어 감염이 확인되면 파일 공유, 드라이브 연결, 외장저장장치 연결을 즉시 해제해 추가 확산을 무력화해야 한다.
• 물리적으로 외장저장장치 연결 해제
• NAC 장비의 장치제어를 통해 차단
3. 데이터 수집 및 초기 대응
랜섬웨어 사고 식별 시 데이터 수집과 초기 대응은 상황에 따라 다를 수 있으나 일반적으로 병행해 진행되어야 한다.
데이터 수집이 충분히 이루어지면 사고 이후에도 원인과 내부 전파 경로를 식별할 수 있으므로, 백업이나 포맷 전에 데이터를 수집해 확보하는 것이 중요하다. 초기 대응은 사고 유형, 피해 상황, 기업의 환경을 종합적으로 고려해 진행되어야 하므로 사전에 초기 대응 방안을 수립해두는 것이 중요하다.
3.1. 선별 데이터 수집
보안 장비와 시스템에서 생성되는 로그는 사고 원인 규명과 전파 경로 식별에 중요한 정보를 제공하며, 이로 인해 분석 활용도가 높다. 이러한 로그는 보안 및 전산 담당자가 비교적 쉽게 수집할 수 있으므로, 사고 식별 시 신속하게 수집하고 보존해 추후 원인 규명에 활용하는 것이 중요하다.
• 보안 장비 로그
ㅤ◦ F/W(방화벽), IDS, IPS, EDR, EPP, AntiVirus, …
• 서비스 로그
ㅤ◦ 웹 로그 (access, error, …)
ㅤ◦ DB 로그 (errorlog, querylog, slowlog, ...)
• 시스템 로그
ㅤ◦ (windows) 이벤트 로그
ㅤ◦ (*nix) “/var/log” 디렉터리 하위 로그(secure, message, ftp 등)
• 사고 인지 시점으로부터 최소 3개월 이전 로그 수집
ㅤ◦ 최초 감염 시점 확인을 위해 전체 로그를 보존해두는 것이 가장 좋음
ㅤ◦ 로그 양이 많거나 수집에 제약이 있는 경우, 최소한 사고 인지 시점으로부터 3개월 이전의 로그 보존 필요
• 네트워크가 분리된 저장공간에 보관
ㅤ◦ 오프라인 환경에 데이터를 보관해 안전성 확보 필요 (온라인 환경에서는 수집된 데이터 변경 및 손실 가능성 존재)
3.2. 데이터 수집 및 보존 방법
선별 데이터를 수집한 후에는 시스템을 보존하거나 추가 데이터를 수집하는 과정이 필요하다. 앞서 언급한 선별 데이터는 비교적 쉽게 수집할 수 있지만 정확한 원인 분석을 위해서는 더 많은 데이터를 보존하는 것이 필요하다. 조직 내부에 사고 대응팀이나 담당자가 있다면, 사고 발생 시 단계적으로 데이터를 수집할 수 있는 절차와 방안을 사전에 마련해 두는 것이 필요하다.
| 구분 | 필요사항 | 분석 정확도 | 수행 난이도 | 비용 |
|---|---|---|---|---|
| 감염 시스템 보존 | 대체할 PC/서버 필요 | 상 | 하 | 상 |
| 저장장치 이미징 | 대용량 저장매체 필요 | 상 | 중 | 중 |
| 사고 선별 수집 | 저용량 저장매체 필요 | 중 | 하 | 하 |
• 네트워크에 연결되지 않은 저장장치에 보관
1) 감염 시스템 보존
감염 시스템을 보존하면 사고 발생 당시 데이터를 확인할 가능성이 높아 원인 규명의 정확도를 높일 수 있다. 감염 유형이나 서비스 가동이 최우선으로 고려되는 경우에는 시스템을 계속 운용하면서도 보존 조치를 병행할 수 있다.
다만, 일부 데이터는 시간이 지나면 삭제되거나 덮어씌여 복원이 불가능해질 수 있으므로, 시스템을 보존하더라도 사고 데이터 선별 수집 도구를 활용해 데이터를 미리 수집해 두는 것이 중요하다.
감염된 전체 시스템을 보존하기보다는, 초기 감염으로 추정되거나 내부 전파의 거점으로 사용되었을 만한 주요 시스템을 우선적으로 보존해야 한다. 사고 발생 시 현장에서 주요 시스템을 선별하기 어려운 경우가 많기 때문에, 사전에 시스템의 중요도를 등급별로 분류하고 사고 이벤트를 기반으로 판단할 수 있는 절차를 마련해 두는 것이 필요하다.
조직 내부에서 사고 대응과 시스템 보존에 대해 의사결정하기 어렵다면, 신뢰할 수 있는 파트너를 통해 사고 초기부터 처리와 대응 방안을 수립하는 데 도움을 받는 것도 고려해봐야 한다. 초기 대응은 사고를 해결하는데 가장 중요한 키가 되므로 사전에 사고 대응 리테이너 (IR Retainer, IRR) 파트너를 선정해두고 필요할 때 신속하게 도움을 받을 수 있도록 준비하는 것이 중요하다.
2) 저장장치 이미징
저장장치 이미징은 저장장치의 전체 데이터(섹터)를 파일로 만드는 방식으로 분석에 필요한 데이터를 효과적으로 보존할 수 있다. 다만, 활성 데이터는 보존되지 않으므로 이미징 전에 사고 데이터 선별 도구를 활용해 활성 데이터와 주요 아티팩트를 먼저 수집하는 것이 중요하다.
저장장치 이미징 시 유의할 점은 실제 시스템과 동일하거나 큰 용량의 여분의 저장 공간이나 저장 매체를 준비해야 한다.
대표적인 무료 디스크 이미징 도구 목록은 다음과 같다.
| 구분 | 지원 운영체제 | 도구 소개 | 특징 | 다운로드 URL |
|---|---|---|---|---|
| FTK Imager | Windows, Linux | Exterro에서 제공하는 GUI 소프트웨어 이미징 도구 (Linux의 경우 CLI로 제공) |
- 직관적인 UI - 이미징 및 마운트 기능 제공 |
https://www.exterro.com/digital-forensics-software/ftk-imager |
| WinHex | Windows | X-Ways에서 제공하는 GUI Hex 편집기 | - RAM 편집, 데이터 복구, 파일 분석 및 비교 등을 수행하는 종합 포렌식 도구 - 기능이 많아 UI가 직관적이지 않음 |
https://x-ways.net/winhex/ |
| Guymager | Linux | Linux 환경에서 사용 가능한 GUI 소프트웨어 이미징 도구 |
- 직관적인 UI - GUI가 아닌 환경에서 사용할 수 없음 |
https://guymager.sourceforge.io/ |
| dd | Linux, Unix | Linux/Unix 운영체제에서 제공하는 데이터 변경/복사 유틸리티 |
- CLI 기반으로 사용 난이도가 있음 - 기본 명령어로 제공되어 추가 설치 불필요 |
- |
3) 디지털포렌식 선별 수집 도구 사용
사고 분석에 필요한 데이터는 일반적인 방법으로는 쉽게 수집되지 않으며, 어떤 데이터를 수집해야 할지 포렌식 또는 침해사고 대응 전문가가 아니라면 판단하기 어렵다. 이러한 상황에서는 디지털 포렌식 선별 수집 도구를 활용하는 것이 유용하다.
특히, 활성 데이터와 비활성 데이터를 종합적으로 수집할 수 있는 도구를 활용하면 침해사고 분석 과정에서 필요한 데이터를 효율적으로 확보할 수 있다. 다만, 도구마다 수집 가능한 항목이 다르기 때문에 분석 결과에 영향을 미칠 수 있으며, 모든 원본 데이터를 수집하지 않으므로 교차 검증이 제한될 수 있다는 점은 유의해야 한다.
대표적인 무료 디지털포렌식 선별 수집 도구 목록은 다음과 같다.
| 구분 | 지원 운영체제 | 도구 소개 | 특징 | 다운로드 URL |
|---|---|---|---|---|
| bitCollector | Linux | PLAINBIT에서 제공하는 디지털포렌식 선별 수집기(활성/비활성) - Windows 버전은 추후 공개 예정 |
- 간단한 명령을 통해 포괄적인 데이터 수집이 가능 - 일부 서드파티 애플리케이션에 대한 수집 지원 |
https://github.com/Plainbit/bitCollector |
| BITLive | Windows | PLAINBIT에서 제공하는 디지털포렌식 선별 수집기(활성/비활성) | - bat 파일을 통해 간단하게 수집 가능 | https://github.com/Plainbit/BITLive |
| Kape | Windows | Kroll에서 제공하는 비활성 데이터 수집기 | - GUI 제공하며, 원하는 데이터를 선별해 수집 가능 - 일부 서드파티 애플리케이션에 대한 수집 지원 - 데이터 수집과 파싱 모두 가능함 |
https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape |
| artifactcollector | Windows, Linux, macOS |
forensicanalysis에서 비활성 데이터 수집기 | - 다양한 운영체제 지원 - 데이터를 파싱해 보여주지만, 자세한 결과를 보여주지 않음 |
https://github.com/forensicanalysis/artifactcollector |
3.3. 계정 비밀번호 변경
공격자의 내부 이동을 막을 수 있는 간단하면서도 효과적인 방법 중 하나는 로컬/도메인 계정의 비밀번호를 변경하는 것이다.
공격자가 내부망을 장악한 경우, 관리자 및 사용자 계정의 크리덴셜을 획득했을 가능성이 높으므로, 모든 시스템의 계정 비밀번호를 변경하는 것은 필수적이다. 비밀번호는 반드시 이전과 다르고 예측하기 어려운 각기 다른 비밀번호로 설정해야 하며, 이때 비밀번호 복잡성(영 대/소문자, 숫자, 특수문자 혼합)을 충족해야 한다.
가장 중요한 점은 계정 비밀번호 변경이 공격자의 내부 이동을 완전히 하단하지는 못하더라도 내부 이동을 어렵게 만들어 내부적으로 대응 조치를 수행할 시간을 확보하는 데 목적이 있다는 것이다. 따라서, 각 시스템이나 계정별로 서로 다른 고유 비밀번호를 사용하는 것이 중요하다.
• 로컬 관리자 계정 (관리자 그룹에 소속된 계정 포함)
• 도메인 관리자 계정 (관리자 그룹에 소속된 계정 포함)
• 기타 로컬/도메인 사용자 계정
계정 비밀번호를 관리할 때는 PC나 서버에 직접 저장하지 않는 것이 좋으며, 담당자가 인쇄해 실물로 보관하거나 수첩 등에 작성해 보관하는 것이 안전하다.
3.4. 백신 프로그램을 통해 위협 제거
사용자 실수가 아닌 공격자에 의한 랜섬웨어 감염의 경우, 내부망 침투, 권한 상승, 내부 이동 등 다양한 공격이 이미 이루어졌을 가능성이 있다. 따라서, 공격자가 어떤 행위를 했는지와 공격자가 침투한 내부 시스템 파악이 중요하다.
이를 위해 호스트 단위의 정밀 분석을 진행하는 것이 가장 효과적이만, 보안 인력이 부족하거나 신속한 대응이 필요한 초기 대응 단계에서는 현실적으로 어려울 수 있다. 이러한 경우, 백신 프로그램을 전사에 배포해 선제적으로 위협을 탐지하고 제거하는 방법이 유용하다.
다만, 무료 백신 프로그램은 중앙에서 관리하기가 어려워, 담당자가 모든 시스템에 백신을 개별적으로 설치하고 검사를 수행한 후 결과를 확인해 위협을 판단해야하는 번거로움이 있을 수 있다.
이러한 한계를 극복하기 위해 중앙 관리가 가능한 백신 프로그램이나 EDR(Endpoint Detection and Response)과 같은 솔루션을 도입하면 위협 보다 효과적으로 탐지하고 즉각 대응할 수 있다.
• 서버를 포함한 모든 시스템에 백신 프로그램 배포
• 정밀 검사 수행
• 실시간 검사 활성화
• 탐지된 악성 프로그램은 분석을 위해 수집하거나 혹은 즉각 제거
• 위협이 탐지된 호스트는 격리
4. 복구
랜섬웨어와 같은 보안 사고 발생 시 기업은 감염 원인 확인보다는 중단된 서비스와 업무의 신속한 복구를 우선시하는 경우가 많다. 이에 따라 시스템을 포맷하고 복구를 진행하지만, 감염 원인을 해결하지 않은 상태에서 이루어진 포맷과 복구는 2차 사고를 유발하거나 더 많은 보안 투자 비용을 초래할 수 있다.
분석가로서 여러 기업의 랜섬웨어 사고를 대응하며, 감염 원인을 해결하지 않고 포맷 및 복구를 진행해 겪은 주요 어려움은 다음과 같다.
• 감염 원인 규명 불가
• 데이터(기밀 데이터, 개인정보 등) 유출 여부 확인 불가
• 공격 전파 경로 및 피해 범위 확인 불가
• 동일한 수법을 통한 2차 사고 발생 가능성 존재
• 원인에 대한 조치가 불가해 보안 투자 비용 증가
따라서, 신속한 업무 복구가 중요하더라도 사고 원인 규명 및 전파 경로 식별이 우선적으로 수행되어야 안전하게 업무를 재가동할 수 있다.
4.1. 내부 백업체계를 통해 복구
내부에 백업체계가 구축되어 있다면 해당 솔루션이나 기능을 활용해 백업을 수행할 수 있다. 그러나, 이 과정에서 몇 가지 주의해야 할 사항이 있다.
• 백업된 파일이 악성파일에 감염된 경우
ㅤ◦ 백업 시점이 공격자가 이미 침투한 시점이라면, 백업 파일에 포함된 백도어 파일 등 악성 요소가 함께 복구될 가능성 존재
• 동일한 취약점이나 침투 포인트가 재악용 가능성
ㅤ◦ 백업 복구 과정에서 동일한 취약점이나 침투 포인트가 함께 복구될 수 있어 공격자의 2차 감염 시도 가능성 존재
따라서, 백업을 통해 서비스를 복구하는 것은 중요하지만, 2차 공격으로 이어질 가능성을 고려해 보안 조치와 병행해 수행해야 한다.
4.2. 랜섬웨어 복호화 도구를 통한 복구 및 랜섬웨어 종류 확인
공격자의 설계 실수 등으로 인해 일부 랜섬웨어의 복호화 도구가 공개되는 경우가 있다. 따라서, 랜섬웨어 복구를 위해 감염된 랜섬웨어의 종류를 정확히 파악하는 것이 중요하다.
랜섬웨어 종류는 파일명과 파일 확장자를 통해 유추하거나 랜섬노트 내용을 검색해 확인할 수 있다. 또한, 랜섬웨어 종류 확인을 지원하는 여러 사이트를 활용할 수도 있다.
대표적으로 ID Ransomware를 활용해 랜섬노트를 업로드하면 랜섬웨어의 종류를 식별할 수 있다.
The No More Ransomware Project의 경우, 랜섬웨어 종류 확인과 공개된 일부 랜섬웨어 대한 복호화 도구를 제공하고 있다.
복호화 프로그램을 통해 암호화된 파일이 복호화되는 경우도 있지만, 실제 복호화 도구가 개발되어 공개되는 경우가 드물고 랜섬웨어 변종이 많아 성공적인 복호화를 기대하기 어려운 경우가 많다.
4.3. 공격자와 협상
초기 랜섬웨어 공격은 파일 복호화를 위한 금전 요구에 그쳤으나, 최근에는 데이터 유출 협박까지 추가해 이중 갈취 방식 주를 이루고 있다.
원칙적으로 랜섬웨어 협상은 권장되지 않지만, 일부 기업은 데이터 복구를 위해 협상을 고려하기도 한다. 협상은 랜섬노트에 명시된 공격자의 이메일이나 URL을 통해 공격자와 접촉한 후, 요구하는 금액을 가상화폐로 송금하는 형태로 이루어진다.
만약, 데이터를 복구하기 위해 내부적으로 공격자와 협상을 준비하고 있다면 협상에 앞서 아래 상황을 충분히 이해한 후 신중히 진행해야 한다.
• 협상을 하더라도 일부 혹은 전체 데이터를 복구하지 못할 수 있음
• 시스템 내에 공격자의 침투 포인트를 모두 대응하지 못할 경우 2차 감염 및 재협상을 진행해야 할 수 있음
• 협상을 통해 지불한 돈은 법의 보호를 받을 수 없음
또한, 협상을 진행할 경우 추가 협박 대비 방안과 향후 유사 사고를 방지하기 위한 보안 강화 조치를 충분히 검토하고 신중하게 대응해야 한다.
마치며
본 글에서 언급한 대응 방안은 초기 대응에 해당한다. 이후 단계에서는 감염 원인 분석, 전파 방식 파악, 피해 기업의 상황에 맞는 상세 대응 방안 마련이 필요하다.
보안 팀이나 침해사고 대응 전문가가 조직에 있다면 보다 원활하게 대응할 수 있지만, 대부분의 기업은 보안 사고 발생 빈도가 높지 않아 준비되지 않은 상태에서 사고를 마주하는 경우가 많다. 그러나, 사고를 처음 대응하는 담당자가 기업의 인프라와 내부 사정을 깊이 이해하고 있다면 보다 현실적이고 적합한 보안 조치를 수행할 수 있을 것이다.
만약, 내부적으로 감염 원인 분석 및 상세 대응 방안을 도출하기 어렵다면 사고 대응 서비스(Digital Forensics and Incident Response, DFIR) 서비스를 활용하는 것도 효과적인 방법이다. 이러한 서비스는 사고의 근본 원인과 전파 방식을 분석하고, 기업 상황에 맞는 구체적인 대응 방안을 제시함으로써 체계적인 사고 분석과 대응을 지원할 수 있다.
이 글이 랜섬웨어 대응 시 다양한 고려사항을 내부적으로 충분히 논의하고 대비할 때 활용되어, 보다 체계적인 사고 대응 체계를 마련하는 데 기여할 수 있기를 바란다.
