공공 부문에서 랜섬웨어를 방어하세요
사람, 프로세스, 기술을 통해 보안을 강화하세요
공공 부문 조직에 대한 랜섬웨어 공격이 증가하여 수백만 명에게 중요한 서비스가 중단되고 있습니다. 그리고 기존의 사이버 보안 전략만으로는 최신 전술을 방어하기에 충분하지 않습니다.
2024년 보고서에 따르면, 미국 공공 부문 랜섬웨어 사건은 2021년 이후 94% 이상 증가했습니다. 2024년에 정부 기관은 단독으로만 117건의 랜섬웨어 공격을 경험했으며, 이는 2023년의 95건에서 23% 증가한 수치입니다. 2025년 글로벌 보고서에 따르면 2025년 상반기에 정부에 대한 랜섬웨어 공격이 2024년 같은 기간에 비해 65% 증가했습니다.
주 및 지방 정부에 대한 공격은 911 출동 센터, 보안관 사무실, 보건소, 유틸리티 등 필수 정부 운영이 중단되기 때문에 사람들에게 직접적이고 즉각적인 영향을 미칩니다. 이러한 사건은 종종 민감한 정보를 노출시켜, ��개인들이 앞으로 몇 년 동안 사기에 취약하게 만듭니다. 그리고 정부 기관이 몸값 지불을 거부하더라도 시스템과 데이터를 복구하기 위해 대규모 공공 지출이 필요할 수 있습니다.
최근 두 건의 사건은 랜섬웨어 공격이 초래하는 높은 비용을 확실히 보여줍니다.
오하이오주 콜럼버스는 2024년에 190만 달러의 랜섬웨어 요구를 거부했지만, 도시의 기술 인프라를 보호하고 복구하는 데 400만 달러 이상을 지출했습니다.
텍사스주 댈러스시는 2023년에 랜섬웨어 관련 비용으로 850만 달러를 지불했습니다.
랜섬웨어 전술과 기법의 변화는 랜섬웨어 방어를 강화해야 할 필요성을 더욱 강조합니다. 사이버 범죄자들이 새로운 도구를 활용함에 따라, 그들의 공격은 더욱 효과적이 되어 더 큰 영향을 미칠 것입니다. 예를 들어, AI를 사용하여 더 설득력 있는 피싱 메시지를 작성하고, 방어를 회피하�는 맬웨어를 개발하며, 유출할 중요한 데이터를 식별하고, 더 큰 규모의 공격을 생성합니다. 동시에 소규모 사이버 범죄자들은 서비스형 랜섬웨어 조직을 이용하여 빠르고 저렴하게 공격을 시작하고 있습니다.
사이버 범죄자들은 랜섬웨어 계획에 새로운 층을 추가하고 있습니다. 최근까지 대부분의 공격자는 민감한 데이터를 암호화하고, 그 해독 키를 대가로 몸값을 요구했습니다. 오늘날 공격자들은 데이터를 유출하고, 몸값을 지불하지 않으면 그 데이터를 공개하겠다고 위협합니다. 그들은 몸값 협상이 실패할 경우 훔친 데이터를 판매할 수 있다는 것을 알고 있습니다.
우리는 2024년 7월 플로리다주 보건부에 대한 RansomHub 공격에서 그러한 유형의 전술을 목격했습니다. 기관이 몸값을 지불하지 않자, 사이버 범죄자들은 주민등록번호, 신용카드 정보, 의료 데이터 등을 포함하여 거의 730,000명에 관한 100GB 용량의 데이터를 유출했습니다.
랜섬웨어 공격의 진화와 각 사건의 잠재적으로 치명적인 결과를 고려할 때, 정부 기관은 기존의 보안 전략을 넘어서야 합니다. 데이터 백업은 더 이상 정보를 인질로 잡히는 것을 방지하는 유일한 수단이 될 수 없습니다.
보다 강력한 랜섬웨어 방어로의 전환을 돕기 위해 미국 국립표준기술원(NIST)은 랜섬웨어용 사이버 프레임워크를 마련했으며, 국토안보부(DHS)는 조직이 랜��섬웨어를 차단할 수 있도록 포괄적인 가이드를 게시했습니다. 이러한 권장 사항에서는 주 정부 및 지방 정부 기관에 더 포괄적이고 선제적인 접근 방식, 즉 사람, 프로세스, 기술을 아우르는 변화가 필요하다는 점을 강조합니다.
사람: 최전방 방어선을 강화
첨단 기술을 추가하기 전에 보안 팀은 사이버 위생에 중점을 두어야 합니다. 즉, DHS에서 언급했듯이 '기본에 충실해야' 합니다. 특히, 네트워크에 대한 무단 접근을 방지하기 위한 세 가지 모범 사례를 구현해야 합니다.
팀원 교육: 피싱, 스미싱, 기타 소셜 엔지니어링 전술로 랜섬웨어 사고가 시작되는 경우가 많습니다. AI 도구는 공격자가 직원들을 속여 스푸핑된 링크를 클릭하고 로그인 자격 증명을 입력하게 만드는 설득력 있는 메시지를 더 쉽게 만들 수 있게 도와주고 있습니다. 공격자가 자격 증명을 확보하면 네트워크에 랜섬웨어를 주입할 수 있습니다.
직원들은 최전방 방�어선이며, 기관은 그들에게 사기성 이메일과 문자를 식별하는 방법을 교육해야 합니다. 또한, 전술이 진화함에 따라 그 교육을 지속적으로 업데이트해야 합니다.강력한 비밀번호 및 MFA 요구: 동시에, 기관은 직원들에게 심지어 AI 도구의 도움을 받은 무차별 암호 대입 방법으로도 추측하기 어렵고 여러 애플리케이션에서 재사용할 수 없는 강력하고 고유한 비밀번호를 사용하도록 요구해야 합니다.
멀티 팩터 인증(MFA)은 추가적인 보호 계층을 제공합니다. 사이버 범죄자가 자격 증명을 도용하더라도 MFA는 그들이 중요한 애플리케이션에 접근하지 못하도록 막습니다.악의적 다운로드 방지: 보안 인식이 높은 직원도 손상된 웹사이트로 연결되거나 악성 다운로드를 유발하는 링크를 실수로 클릭할 수 있습니다. 기관은 인터넷 트래픽을 검사하고 필터링하여 웹 브라우징 경험을 보호하고, 사용자가 악성 사이트에 접근하지 못하도록 해야 합니다.
프로세스: 진화하는 랜섬웨어 전술보다 앞서 나가기
많은 기관은 기존 프로세스를 면밀히 검토하거나 새로운 프로세스를 구현하여 기존의 취약점과 변화하는 전술을 해결하기 위해 모든 조치를 취하고 있는지 확인해야 합니다.
소프트웨어 및 펌웨어 업데이트: 패치되지 않은 오래된 소프트웨어 및 장치를 악용하는 것이 사이버 범죄자들의 주요 전술이 되었습니다. 실제로 손상된 자격 증명과 더불어 소프트웨어 취약점이 전체 랜섬웨어 사고 중 약 절반에 해당하는 초기 벡터입니다. 공격자는 취약한 애플리케이션을 노려 보안을 우회하고 시스템에 무단으로 접근하여 랜섬웨어를 감염시킬 수 있습니다. 이 위협에 대응하려면 주의가 필요합니다. 기관은 벤더가 새로운 업데이트와 패치를 발표하는 즉시 소프트웨어와 펌웨어를 업데이트해야 합니다.
최근 보고서에 따르면 소프트웨어 취약점과 자격 증명 손상이 전체 랜섬웨어 사고 중 약 55%를 유발하는 초기 벡터입니다.
운영에 IT 보안 적용: IoT 센서를 사용하는 등의 방식으로 IT 시스템을 운영 기술(OT) 시스템과 융합하면 사이버 범죄자들에게 새로운 공격 기회를 제공합니다. 사이버 범죄자들은 IT와 OT를 연결하는 장치를 표적으로 삼아 심각한 운영 중단을 일으키고 몸값을 요구하기 위한 영향력을 얻을 수 있습니다. 정부 기관은 IT 보안 기능을 OT에 적용하여 보호가 미흡한 시스템이 랜섬웨어 사고의 통로가 되지 않도록 해야 합니다.
사고 대응 계획 개발 및 테스트: 중단이 생기는 날마다 데이터를 복구하고 복원하는 데 수천 달러의 비용이 발생할 수 있습니다. 사고 대응 계획을 수립하고 정기적으로 테스트하면 공격이 감지되는 즉시 신속하게 대응할 수 있습니다.
데이터 백업: 데이터 백업만으로는 랜섬웨어 사고를 종결시키기에 충분하지 않지만, 그래도 여전히 방어 수단이 되어줄 수 있습니다. 안전한 오프라인 또는 클라우드 위치에 데이터의 최신 백업을 보유하면 몸값을 지불해야 한다는 압박이 크게 줄어듭니다. 대부분의 공격자가 백업에 접근하여 훔치려고 할 수도 있으므로 백업 데이터를 암호화하는 것도 필수적입니다.
기술: 사이버 보안 태세 개선
주 및 지방 정부와 함께 일한 경험에 따르면, 많은 정부가 랜섬웨어로부터 자신을 보호하는 데 필요한 보안 기능을 구현조차 하지 않았다는 것을 알게 되었습니다. 데이터 백업에만 의존하는 대신, 초기 공격을 차단하고, 맬웨어의 내부망 이동을 억제하며, 데이터 유출을 방지할 수 있는 솔루션을 채택해야 합니다.
초기 공격 차단: 랜섬웨어 사고의 중요한 첫 단계를 차단하여 공격자가 네트워크에 액세스하는 것을 막는 데 도움이 되는 여러 유형의 솔루션이 있습니다.
이메일 보안: 공격자가 더욱 설득력 있는 피싱 이메일을 작성함에 따라 기관에서는 이메일 보안 기능을 활용하여 직원의 받은 편지함에 도달하기 전에 해당 이메일을 식별하고 차단해야 합니다.
DNS 필터링: 사이버 보안 및 인프라 보안국(CISA)에서 권장하는 DNS 필터링은 알려진 악의적 사이트에 대한 액세스를 방지하여 다운로드를 방지할 수 있습니다.
애플리케이션 보안: 기관에서는 웹 애플리케이션 방화벽(WAF)을 구현하여 웹 애플리케이션 공격을 실시간으로 감지하고 차단하여 애플리케이션을 제어하고 랜섬웨어를 배포하려는 시도를 차단해야 합니다.
DDoS 방어: 드물지만 일부 사이버 범죄자는 분산 서비스 거부(DDoS) 공격의 일환으로 몸값을 요구합니다. 기관들은 이러한 공격을 자동으로 감지하고, 흡수하며, 차단하여 몸값을 지급할 필요가 없도록 해주는 DDoS 방어 기능이 필요합니다.
내부망 이동 억제: 사이버 범죄자가 사용자 자격 증명을 훔치거나 애플리케이션을 손상시키는 데 성공하면 맬웨어가 네트워크를 통해 내부망을 이동하면서 중요한 데이터를 찾아낼 수 있습니다. Zero Trust 모델을 구현하면 내부망 이동을 방지할 수 있습니다. 예를 들어, 기관은 마이크로세분화를 배포하고 Zero Trust 네트워크 액세스 서비스를 사용하여 각 사용자가 액세스할 수 있는 리소스를 제어할 수 있습니다. 이렇게 하면 공격자가 단일 애플리케이션이나 환경에 접근하더라도 전체 네트워크에 접근할 수는 없습니다.
데이터 유출 방지: 전송 중인 데이터를 스캔하고, 민감한 데이터를 식별하며, 해당 데이터의 이동을 차단하는 규칙을 적용하는 보안 웹 게이트웨이는 공격자가 데이터에 접근하더라도 최종적으로 도난당하는 것을 방지하는 데 도움이 됩니다.
복잡성 없이 랜섬웨어를 방지하는 방법은 무엇일까요?
주 정부와 지방 정부는 계속해서 랜섬웨어의 주요 표적이 될 것입니다. 사이버 범죄자들은 자주 정부 기관을 필수 서비스를 복구하기 위해 몸값을 지불할 의향이 있는 취약한 조직으로 여깁니다.
Cloudflare의 클라우드 연결성은 클라우드 네이티브 사이버 보안 기능의 통합 플랫폼으로, 기관이 포괄적인 랜섬웨어 방어를 구현할 수 있도록 지원합니다. Cloudflare 서비스를 통해 조직은 초기 공격, 악성 다운로드, 내부망 이동, 데이터 유출을 단일 통합 플랫폼 내에서 차단할 수 있습니다. 이러한 기술 솔루션은 프로세스를 최적화하고 '사람' 방어선을 강화하기 위한 노력을 간소화하는 데 도움을 줍니다. Cloudflare는 단일 인터페이스를 통해 서비스를 제공하므로, 비용과 복잡성을 관리하면서 랜섬웨어 및 기타 위협을 해결할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
IT의 효율성을 높이는 간단한 방법 전자책에서 정부 기관이 IT를 최신화하는 방법에 대해 자세히 알아보세요.
작성자
Dan Kent — @danielkent1
Cloudflare 공공 부문 필드 CTO
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
랜섬웨어 공격이 계속해서 변화하고 점점 그 효과가 커지는 이유
정부 �기관에 대한 랜섬웨어 공격의 주요 경로
랜섬웨어 공격 차단을 위한 3가지 열쇠