문제
랜섬웨어(Ransomware) 공격의 진행 단계를 4단계로 나누어 설명하고, 각 단계별 특화된 탐지 및 대응 방안을 제시하시오. 또한 랜섬웨어 복구를 위한 백업 전략의 3-2-1 규칙을 설명하시오.
정답
랜섬웨어 공격 4단계: 1) 침투 단계 - 피싱메일, 취약점 등을 통한 초기 침입, 2) 정찰 단계 - 네트워크 스캔하여 중요 자산 식별 및 권한 상승, 3) 암호화 단계 - 파일을 암호화하고 백업 시스템 파괴, 4) 협박 단계 - 랜섬노트 생성 및 금전 요구. 각 단계별 대응: 1) 침투 방지 - 이메일 보안 게이트웨이, 패치 관리, 사용자 교육, 2) 정찰 탐지 - 네트워크 세분화, EDR로 lateral movement 탐지, 3) 암호화 차단 - 파일 무결성 모니터링, 행위 기반 탐지로 대량 암호화 활동 차단, 4) 사후 대응 - 격리 및 포렌식, 백업 복구. 3-2-1 규칙은 데이터 3개 사본을 2개의 서로 다른 매체에 저장하고, 1개는 오프사이트(원격지)에 보관하는 백업 전략이다.
침투정찰암호화협박lateral movementEDR파일 무결성 모니터링네트워크 세분화3-2-1 규칙오프사이트 백업
해설
랜섬웨어는 단계적으로 진행되므로 각 단계별 특성에 맞는 방어가 필요하다. 침투 단계에서는 진입점 차단, 정찰 단계에서는 내부 이동 탐지, 암호화 단계에서는 실시간 행위 분석이 핵심이다. 3-2-1 백업 규칙은 단일 장애점을 제거하고 재해 복구 가능성을 극대화하는 검증된 전략이다.