Google Cloud을 사용하여 랜섬웨어 공격 완화

제3자가 계정 도용, 암호화, 데이터 도용을 목적으로 시스템에 침입하기 위해 만든 코드를 랜섬웨어라고 부릅니다. 랜섬웨어 공격을 완화하는 데 도움이 되도록 Google Cloud 에서는 공격에 대해 식별, 보호, 감지, 대응, 복구를 위한 제어 수단을 제공합니다. 이러한 제어 수단을 통해 다음 목표를 달성할 수 있습니다.

• 위험을 평가합니다.
• 위협으로부터 비즈니스를 보호합니다.
• 지속적 운영 상태를 유지합니다.
• 빠른 대응 및 복구를 지원합니다.

이 문서는 보안 설계자와 관리자를 대상으로 합니다. 랜섬웨어 공격 순서와 Google Cloud 조직이 랜섬웨어 공격의 영향을 완화하는 데 도움이 되는 방법을 설명합니다.

랜섬웨어 공격 순서

랜섬웨어 공격은 잠재적인 취약점을 찾으려고 시도하는 대규모 캠페인 또는 직접적인 캠페인으로 시작될 수 있습니다. 지향적 캠페인은 식별 및 정찰과 함께 시작되며, 공격자가 취약한 조직 및 사용할 공격 벡터를 결정합니다.

랜섬웨어는 많은 공격 벡터가 있습니다. 가장 일반적인 벡터는 악성 URL이 포함되었거나 노출된 소프트웨어 취약점을 악용하는 피싱 이메일입니다. 소프트웨어 취약점은 조직에 사용되는 소프트웨어에 포함된 것일 수도 있고 소프트웨어 공급망에 존재하는 취약점일 수도 있습니다. 랜섬웨어 공격자는 조직, 공급망, 고객을 공격 대상으로 삼습니다.

초기 공격이 성공하면 랜섬웨어가 스스로 설치되고 명령어 및 제어 서버에 접촉하여 암호화 키를 검색합니다. 랜섬웨어가 네트워크 전체로 확산되면 리소스를 감염시키고, 검색된 키를 사용해서 데이터를 암호화하고, 데이터를 무단 반출할 수 있습니다. 공격자는 암호화 키를 제공하는 조건으로 조직에 몸값(일반적으로 암호화 화폐)을 요구합니다.

다음 다이어그램은 식별 및 정찰에서 데이터 무단 반출 및 몸값 요구까지 이전 단락에서 설명한 일반적인 랜섬웨어 공격 순서를 요약해서 보여줍니다.

랜섬웨어는 감지하기 어려운 경우가 많습니다. 따라서 예방, 모니터링, 감지 기능을 미리 준비하고 공격이 발견되었을 때 조직이 이에 빠르게 대처할 수 있도록 준비하는 것이 매우 중요합니다.

Google Cloud의 보안 및 복원 제어 수단

Google Cloud 에는 랜섬웨어 공격으로부터 고객을 보호하는 데 도움이 되는 기본 제공되는 보안 및 복원력 제어 수단이 포함되어 있습니다. 이러한 제어 수단은 다음과 같습니다.

• 정보 처리 수명 주기 전반에 걸쳐 보안으로 설계된 글로벌 인프라
• 모니터링, 위협 감지, 데이터 손실 방지, 액세스 제어와 같은 Google Cloud 제품 및 서비스에 내장된 감지 기능
• Assured Workloads와 같은 기본 제공 예방적 제어
• 리전별 클러스터 및 글로벌 부하 분산기를 통한 고가용성
• 확장 가능한 서비스가 포함된 기본 제공 백업
• 코드형 인프라 및 구성 가드레일을 사용하는 자동화 기능

Google Threat Intelligence, VirusTotal, Mandiant Digital Threat Monitoring은 Google 인프라 및 제품 전반에서 랜섬웨어를 포함한 여러 유형의 멀웨어를 추적하고 이에 대응합니다. Google Threat Intelligence는 Google Cloud 제품용 위협 인텔리전스를 개발하는 위협 연구팀입니다. VirusTotal은 기업 내에서 멀웨어가 작동하는 방식을 더 효과적으로 이해할 수 있게 해주는 멀웨어 데이터베이스 및 시각화 솔루션입니다. Mandiant 디지털 위협 모니터링 및 기타 Mandiant 서비스는 위협 연구, 컨설트, 침해 사고 대응 지원을 제공합니다.

기본 제공되는 보안 제어 수단에 대한 자세한 내용은 Google 보안 개요 및 Google 인프라 보안 설계 개요를 참고하세요.

Google Workspace, Chrome 브라우저, Chromebook의 보안 및 복원 제어 수단

Google Cloud내의 제어 수단 외에도 Google Workspace, Google Chrome 브라우저, Chromebook과 같은 다른 Google 제품에도 랜섬웨어 공격으로부터 조직을 보호하는 보안 제어 수단이 포함되어 있습니다. 예를 들어 Google 제품은 ID 및 컨텍스트 (위치 또는 IP 주소 등)에 따라 어디에서든 원격 작업자가 리소스에 액세스하도록 허용하는 보안 제어 수단을 제공합니다.

랜섬웨어 공격 순서 섹션에 설명된 것처럼 이메일은 랜섬웨어 공격의 주요 벡터입니다. 허위 네트워크 액세스를 위해 사용자 인증 정보를 피싱하거나 랜섬웨어 바이너리를 직접 배포하는 데 악용될 수 있습니다. Gmail의 피싱 및 멀웨어 고급 차단 설정은 이메일 격리를 위한 제어 수단을 제공하고, 위험한 첨부파일 유형으로부터 시스템을 방어하며, 인바운드 스푸핑 이메일로부터 사용자를 보호합니다. 보안 샌드박스는 첨부파일에 이전에 알려지지 않은 멀웨어가 있는지 감지하도록 설계되었습니다.

Chrome 브라우저에는 영향을 받은 또는 악성 사이트에 액세스하려고 시도할 때 사용자에게 경고를 제공하도록 설계된 Google 세이프 브라우징이 포함되어 있습니다. 샌드박스 및 사이트 격리는 동일한 탭의 여러 다른 프로세스 내에서 악성 코드가 확산되지 않도록 보호하는 데 도움이 됩니다. 비밀번호 보호는 회사 비밀번호가 개인 계정에 사용될 때 알림을 제공하도록 설계되었고, 사용자가 저장한 비밀번호 중 온라인 위반으로 손상된 것이 있는지 확인합니다. 이 시나리오에서는 브라우저가 사용자에게 비밀번호를 변경하라는 메시지를 표시합니다.

다음 Chromebook 기능은 피싱 및 랜섬웨어 공격으로부터 사용자를 보호하는 데 도움이 됩니다.

• 읽기 전용 운영체제 (ChromeOS). 이 시스템은 지속적으로 그리고 보이지 않게 업데이트되도록 설계되었습니다. Chrome OS는 최신 취약점들로부터 시스템을 보호하고 애플리케이션 및 확장 프로그램이 이를 수정할 수 없도록 보장하는 제어 수단을 포함하고 있습니다.
• 샌드박스 각 애플리케이션이 격리된 환경에서 실행되어 하나의 유해한 애플리케이션이 다른 애플리케이션을 쉽게 감염시킬 수 없습니다.
• 자체 검사 부팅. Chromebook은 부팅되는 동안 시스템이 수정되었는지 확인하도록 설계되어 있습니다.
• 세이프 브라우징. Chrome은 안전하지 않은 사이트에 대한 최신 세이프 브라우징 목록을 주기적으로 다운로드합니다. 세이프 브라우징은 사용자가 방문하는 각 사이트의 URL을 확인하고 목록에 따라 사용자가 다운로드하는 각 파일을 검사하도록 설계되었습니다.
• Google 보안 칩 이러한 칩은 운영체제가 악의적으로 훼손되지 않도록 보호합니다.

조직의 공격 영역을 줄이기 위해서는 주로 브라우저로 작업하는 사용자에 대해 Chromebook 사용을 고려하세요.

Google Cloud에서 랜섬웨어 공격을 완화하기 위한 권장사항

랜섬웨어 공격으로부터 기업 리소스 및 데이터를 보호하기 위해서는 온프레미스 및 클라우드 환경에 멀티 레이어 제어 수단을 배치해야 합니다.

다음 섹션에서는 조직이 Google Cloud에서 랜섬웨어 공격을 식별, 방지, 감지, 대응하는 데 도움이 되는 권장사항을 설명합니다.

위험 및 애셋 식별

Google Cloud에서 위험과 애셋을 식별하려면 다음 권장사항을 고려해 보세요.

• Cloud 애셋 인벤토리를 사용하여 Google Cloud에서 5주간의 리소스 인벤토리를 유지합니다. 변경사항을 분석하려면 애셋 메타데이터를 BigQuery로 내보냅니다.
• Security Command Center의 감사 관리자 및 공격 경로 시뮬레이션과 위험 평가를 사용하여 현재 위험 프로필을 평가합니다. 위험 보호 프로그램을 통해 제공되는 사이버 보험 옵션을 고려하세요.
• 민감한 정보 보호를 사용하여 민감한 정보를 검색하고 분류합니다.

리소스 및 데이터 액세스 제어

리소스 및 데이터에 대한 액세스를 제한하려면 다음 권장사항을 고려해 보세요. Google Cloud

• Identity and Access Management (IAM)를 사용하여 세분화된 액세스를 설정합니다. 역할 추천자, 정책 분석 도구, 클라우드 인프라 사용 권한 관리(CIEM)를 사용하여 권한을 정기적으로 분석할 수 있습니다.
• 서비스 계정을 고급 권한 ID로 취급합니다. 워크로드 아이덴티티 제휴를 사용하여 키 없는 인증을 고려하고 권한 범위를 적절하게 지정하세요. 서비스 계정 보호에 관한 권장사항은 서비스 계정 사용 권장사항을 참고하세요.
• Cloud ID를 통해 모든 사용자에게 다중 인증을 의무화하고 피싱 방지 Titan 보안 키를 사용하세요.

중요 데이터 보호

민감한 정보를 보호하는 데 도움이 되는 다음 권장사항을 고려하세요.

• 데이터를 저장하는 데 사용하는 Cloud Storage 옵션에서 중복성 (N+2)을 구성합니다. Cloud Storage를 사용하는 경우 객체 버전 관리 또는 버킷 잠금 기능을 사용 설정할 수 있습니다.
• 데이터베이스 (예: Cloud SQL) 및 파일 저장소(예: Filestore)의 백업을 구현하고 정기적으로 테스트하여 사본을 격리된 위치에 저장합니다. 포괄적인 워크로드 백업을 위해 백업 및 DR 서비스를 고려하세요. 복구 기능을 자주 확인합니다.
• 키를 정기적으로 순환하고 키 관련 활동을 모니터링합니다. 고객 제공 키 (CSEK) 또는 Cloud 외부 키 관리자 (Cloud EKM)를 사용하는 경우 강력한 외부 백업 및 순환 프로세스를 보장합니다.

네트워크 및 인프라 보호

네트워크와 인프라를 보호하려면 다음 권장사항을 고려하세요.

• 엔터프라이즈 기반 청사진을 안전한 기준으로 삼아 코드형 인프라 (예: Terraform)를 사용하여 정상 상태를 보장하고 빠르고 일관된 배포를 지원합니다.
• VPC 서비스 제어를 사용 설정하여 리소스와 데이터를 격리하는 경계를 만듭니다. 하이브리드 환경에는 방화벽 규칙과 함께 Cloud Load Balancing을 사용하고 안전한 연결 ( Cloud VPN 또는 Cloud Interconnect 사용)을 사용하세요.

• 다음과 같은 제한적인 조직 정책을 구현합니다.

  • 새 Vertex AI Workbench 노트북 및 인스턴스에서 공개 IP 액세스를 제한합니다.
  • Cloud SQL 인스턴스의 공개 IP 액세스 제한
  • VM 직렬 포트 액세스 사용 중지
  • 보안 VM

워크로드 보호하기

워크로드를 보호하는 데 도움이 되는 다음 권장사항을 고려하세요.

• 소프트웨어 개발 수명 주기의 모든 단계에 보안을 통합합니다. GKE 워크로드의 경우 신뢰할 수 있는 빌드, 애플리케이션 격리, 포드 격리를 비롯한 소프트웨어 공급망 보안을 구현합니다.
• Cloud Build를 사용하여 빌드 단계를 추적하고 Artifact Registry를 사용하여 컨테이너 이미지에서 취약점 스캔을 완료합니다. Binary Authorization을 사용하여 이미지가 기준을 충족하는지 확인합니다.
• 레이어 7 필터링 및 일반적인 웹 공격으로부터 보호하려면 Google Cloud Armor를 사용하세요.
• GKE 자동 업그레이드 및 유지보수 기간을 사용합니다. Cloud Build에서 빌드 자동화하여 코드 커밋 시 취약점 스캔을 포함합니다.

공격 감지

공격을 감지하는 데 도움이 되는 다음 권장사항을 고려하세요.

• Cloud Logging을 사용하여 Google Cloud 서비스의 로그를 관리하고 분석하고 Cloud Monitoring을 사용하여 서비스 및 리소스의 성능을 측정합니다.
• Security Command Center를 사용하여 잠재적인 공격을 감지하고 알림을 분석합니다.
• 심층적인 보안 분석 및 위협 헌팅을 위해 Google Security Operations와 통합하세요.

이슈 계획

• 비즈니스 연속성 및 재해 복구 계획을 작성합니다.

• 랜섬웨어 이슈 대응 플레이북을 만들고 테이블탑 훈련을 수행합니다. 복구 절차를 정기적으로 연습하여 준비 상태를 확인하고 공백을 파악합니다.

• 당국에 공격을 신고해야 하는 의무를 이해하고 플레이북에 관련 연락처 정보를 포함합니다.

보안 권장사항은 Well-Architected Framework: 보안, 개인 정보 보호, 규정 준수 요소를 참고하세요.

공격 대응 및 복구

랜섬웨어 공격이 감지되면 이슈 대응 계획을 활성화합니다. 이슈가 거짓양성이 아니고Google Cloud 서비스에 영향을 주는지 확인한 후 P1 지원 케이스를 개설합니다. Cloud Customer Care는 Google Cloud: 기술 지원 서비스 가이드라인에 설명된 대로 이슈에 대응합니다.

계획을 활성화한 후 조직 내에서 이슈 조정 및 해결 프로세스에 포함되어야 하는 팀을 소집합니다. 이슈 조사 및 해결을 위해 필요한 도구 및 프로세스가 포함되었는지 확인합니다.

이슈 대응 계획에 따라 랜섬웨어를 삭제하고 환경을 정상 상태로 복원합니다. 공격의 심각도 및 사용 설정한 보안 제어 수단에 따라 계획에 다음과 같은 활동이 포함될 수 있습니다.

• 감염된 시스템 격리
• 정상 백업에서 복원
• CI/CD 파이프라인을 사용하여 이전에 알려진 정상 상태로 인프라 복원
• 취약점 삭제 확인
• 비슷한 공격에 취약할 수 있는 모든 시스템에 패치 적용
• 비슷한 공격을 방지하기 위해 필요한 제어 수단 구현

응답 절차를 진행하면서도 Google 지원 티켓을 계속 모니터링합니다. Cloud Customer Care는Google Cloud 내에서 적절한 조치를 취하여 문제를 통제하고, 근절하며, 가능한 경우 환경을 복구합니다.

이슈가 해결되고 환경이 복원되면 이를 Cloud Customer Care에 알려줍니다. 예약된 일정이 있으면 Google 담당자와의 공동 회고 분석 활동에 참여합니다.

이슈로부터 얻은 교훈을 기록하고 비슷한 공격을 방지하기 위해 필요한 제어 수단을 배치합니다. 공격의 특성에 따라 다음과 같은 조치를 고려해볼 수 있습니다.

• 공격이 다시 발생했을 때 자동으로 트리거되는 감지 규칙 및 알림을 만듭니다.
• 새로 얻은 교훈이 포함되도록 이슈 대응 플레이북을 업데이트합니다.
• 회고 분석 결과에 따라 보안 자세를 강화합니다.

다음 단계

• 보안 및 복원력 프레임워크를 사용하여 악의적인 사이버 이벤트에 대한 비즈니스 보호 및 연속성 보장
• Mandiant 컨설턴트에게 랜섬웨어 방어 평가를 요청하세요.
• 추가 권장사항은 Google Cloud Well-Architected Framework를 참고하세요.
• Google의 이슈 관리 방법에 대한 자세한 내용은 데이터 이슈 대응 프로세스를 참고하세요.