Ransomware랜섬웨어

랜섬웨어(Ransomware)는 피해자의 파일을 암호화한 뒤 복호화 키를 대가로 금전(보통 암호화폐)을 요구하는 악성 소프트웨어다. 최근에는 데이터 유출 협박을 병행하는 이중 공갈 전술이 일반화됐다.

공격 단계

1. 초기 침투:
   - 피싱 이메일 첨부파일
   - RDP 취약점 악용
   - 소프트웨어 취약점 (Log4Shell 등)

2. 횡적 이동 (Lateral Movement):
   - 내부 네트워크 스캔
   - 권한 상승
   - 도메인 컨트롤러 탈취

3. 데이터 유출 (이중 공갈):
   - 민감 파일 공격자 서버로 전송

4. 암호화:
   - AES로 파일 암호화 (대칭키)
   - RSA로 AES 키 암호화 (비대칭키)
   - 원본 파일 삭제

5. 협박:
   - 복호화 키 제공 대가로 비트코인 요구
   - 미납 시 데이터 공개 위협

주요 랜섬웨어

RaaS (Ransomware-as-a-Service)

랜섬웨어를 서비스로 판매. 기술 없는 공격자도 랜섬웨어 사용 가능. 수익을 개발자와 공격자가 분배(70-30 등).

방어 전략

• •3-2-1 백업: 3개 복사본, 2가지 미디어, 1개 오프사이트 (오프라인)
• •제로 트러스트: 내부 네트워크 신뢰 제거
• •EDR: 엔드포인트 탐지 및 대응
• •네트워크 분리: 중요 시스템 격리
• •MFA: RDP 등 원격 접근 보호

관련 개념

• •사이버 보안 — 랜섬웨어 대응 프레임워크
• •AES — 랜섬웨어가 파일 암호화에 사용
• •RSA — 암호화 키 보호에 사용
• •제로 트러스트 — 랜섬웨어 확산 방지