랜섬웨어 공격 완화를 위한 Google Cloud 사용 시 권장사항

서드 파티가 계정 도용, 암호화, 데이터 도용을 목적으로 시스템에 침입하기 위해 만든 코드를 랜섬웨어라고 부릅니다. 랜섬웨어 공격으로부터 기업 리소스 및 데이터를 보호하기 위해서는 온프레미스 및 클라우드 환경에 멀티 레이어 제어 수단을 배치해야 합니다. 이 문서에서는 조직이 랜섬웨어 공격을 식별, 방지, 감지, 대응하는 데 도움이 되는 몇 가지 권장사항을 설명합니다.

이 문서는 보안 설계자 및 관리자를 위한 시리즈 중 하나입니다. 조직이 Google Cloud를 사용해서 랜섬웨어 공격 효과를 완화할 수 있는 방법을 설명합니다.

이 시리즈에 포함된 내용은 다음과 같습니다.

• Google Cloud를 사용한 랜섬웨어 공격 완화
• 랜섬웨어 공격 완화를 위한 Google Cloud 사용 시 권장사항(이 문서)

위험 및 애셋 식별

조직이 랜섬웨어 공격에 노출되었는지 확인하기 위해서는 시스템, 사람, 애셋, 데이터, 기능들에 대한 위험 수준을 이해할 수 있어야 합니다. 이를 돕기 위해 Google Cloud에서는 다음 기능이 제공됩니다.

• Cloud 애셋 인벤토리로 애셋 관리
• 위험 관리 프로그램
• 데이터 분류
• 공급망 위험 관리

Cloud 애셋 인벤토리로 애셋 관리

랜섬웨어 공격을 완화하기 위해서는 Google Cloud 및 온프레미스 또는 기타 클라우드 환경에서 조직 애셋에 무엇이 있고, 각 애셋의 상태 및 목적은 무엇인지 알아야 합니다. 정적 애셋의 경우에는 마지막으로 알려진 정상 구성의 기준을 별도 위치에 유지 관리합니다.

Cloud 애셋 인벤토리를 사용하여 Google Cloud에서 5주 간의 리소스 기록을 가져옵니다. 특정 리소스가 변경될 때 또는 정책이 위반되었을 때 알림이 수신되도록 모니터링 피드를 설정합니다. 더 긴 시간 동안 진행되는 공격을 감시할 수 있도록 변경사항을 추적하려면 피드를 내보냅니다. 내보내기를 만들려면 Terraform과 같은 도구를 사용할 수 있습니다. 이 유형의 분석을 위해서는 BigQuery 테이블 또는 Cloud Storage 버킷으로 인벤토리를 내보낼 수 있습니다.

위험 평가 및 관리

기존 위험 평가 프레임워크를 사용하여 위험 요소를 카탈로그로 분류하고 조직이 랜섬웨어 공격을 얼마나 효과적으로 감지하고 대처할 수 있는지 확인합니다. 이러한 평가를 통해 멀웨어 방지 수단, 올바르게 구성된 액세스 제어 수단, 데이터베이스 보호 및 백업 기능이 갖춰져 있는지와 같은 요소들을 확인할 수 있습니다.

예를 들어 Cloud Security Alliance(CSA)는 조직의 클라우드 위험 평가를 도와줄 수 있는 Cloud 제어 행렬(CCM)을 제공합니다. Google Cloud와 관련된 CCM 정보는 Google 클라우드 컴퓨팅 플랫폼을 위한 새로운 CIS 벤치마크를 참조하세요.

발생 가능한 애플리케이션 간격을 식별하고 이를 구제하기 위한 조치를 취하기 위해서는 OWASP 애플리케이션 위협 모델링과 같은 위협 모델을 사용할 수 있습니다. Google Cloud로 상위 10개 OWASP 보안 위험을 완화하는 방법은 Google Cloud의 OWASP 상위 10개 완화 옵션을 참조하세요.

위험을 카탈로그로 분류한 후에는 이에 대한 대응 방법과 위험 요소에 대한 허용, 방지, 이전 또는 완화 여부를 결정합니다. 위험 보호 프로그램에서는 Risk Manager 및 사이버 보험을 이용할 수 있습니다. Risk Manager를 사용하면 Google Cloud에서 워크로드를 검색하고 랜섬웨어 관련 위험을 줄이는 데 도움이 되는 보안 권장사항을 구현할 수 있습니다.

Sensitive Data Protection 구성

Sensitive Data Protection을 사용하면 Google Cloud 조직의 데이터와 외부 소스에서 들어오는 데이터를 검사할 수 있습니다. 익명화 기법을 통해 기밀 데이터를 분류하고 보호하도록 Sensitive Data Protection를 구성합니다. 데이터를 분류하면 조직에 가장 중요한 데이터에 모니터링 및 감지 노력을 집중하는 데 도움이 됩니다.

Security Command Center 또는 타사 SIEM과 같은 다른 제품과 함께 Sensitive Data Protection을 결합하여 예상치 못한 모든 데이터 변경에 대해 적절한 모니터링 및 알림이 수행되도록 보장할 수 있습니다.

공급망 위험 관리

랜섬웨어 공격의 주요 공격 벡터는 공급망 내의 취약점입니다. 이 공격 벡터가 까다로운 이유는 대부분 조직의 경우 추적해야 할 공급업체가 많고, 저마다 고유한 공급업체 목록이 있기 때문입니다.

애플리케이션을 만들고 배포하는 경우에는 소프트웨어 설계자를 위한 공급망 수준(SLSA)과 같은 프레임워크를 사용합니다. 이러한 프레임워크는 소스 코드 및 빌드 프로세스 보호를 위해 기업이 사용할 수 있는 요구사항 및 권장사항을 정의하는 데 도움이 됩니다. SLSA를 사용하면 네 가지 보안 수준을 통해 제작되는 소프트웨어의 보안 수준을 향상시킬 수 있습니다.

애플리케이션에서 오픈소스 패키지를 사용하는 경우에는 보안 스코어카드를 사용하여 특정 오픈소스 패키지의 보안 점수를 자동으로 생성할 수 있습니다. 보안 스코어카드는 개발자가 오픈소스 패키지를 시스템에 통합하기 전에 평가를 수행하기 위해 쉽게 사용할 수 있는 저렴한 방법입니다.

Google Cloud 보안 확인을 위해 사용할 수 있는 리소스에 대해 자세히 알아보려면 공급업체 보안 위험 평가를 참조하세요.

리소스 및 데이터 액세스 제어

조직에서 온프레미스 외부로 워크로드를 이동할 때는 리소스 및 데이터를 호스팅하는 모든 환경에서 이러한 워크로드에 대한 액세스를 관리해야 합니다. Google Cloud는 적절한 액세스를 설정하는 데 도움이 되는 몇 가지 제어 수단을 지원합니다. 다음 섹션에서는 일부 제어 수단에 대해 자세히 설명합니다.

BeyondCorp Enterprise로 제로 트러스트 보안 설정

온프레미스 환경에서 클라우드로 워크로드를 이동할 때는 네트워크 신뢰 모델이 변경됩니다. 제로 트러스트 보안이란 조직 네트워크 내부 또는 외부에 관계없이 어떤 것도 암묵적으로 신뢰되지 않음을 의미합니다.

VPN과 달리 제로 트러스트 보안은 액세스 제어를 네트워크 경계에서 사용자 및 사용자의 기기로 이전합니다. 제로 트러스트 보안에서는 사용자의 ID 및 컨텍스트가 인증 중에 고려됩니다. 이 보안 수단은 공격자가 네트워크에 침입한 후에만 성공적일 수 있는 랜섬웨어 공격에 대해 중요한 방어 전술을 제공합니다.

BeyondCorp Enterprise를 사용하면 Google Cloud에서 제로 트러스트 보안을 설정할 수 있습니다. BeyondCorp Enterprise는 위협 및 데이터 보호와 액세스 제어 수단을 제공합니다. 설정 방법을 알아보려면 BeyondCorp Enterprise 시작하기를 참조하세요.

워크로드가 온프레미스 및 Google Cloud에 모두 있으면 IAP(Identity-Aware Proxy)를 구성합니다. IAP를 사용하면 제로 트러스트 보안을 두 위치 모두의 애플리케이션으로 확장할 수 있습니다. 액세스 제어 정책을 사용하여 애플리케이션 및 리소스에 액세스하는 사용자에게 인증 및 승인 기능을 제공합니다.

최소 권한 구성

최소 권한은 사용자 및 서비스가 특정 태스크를 수행하는데 필요한 액세스 권한만 갖도록 보장합니다. 최소 권한은 공격자가 권한을 쉽게 승격할 수 없기 때문에 조직 전체로 랜섬웨어를 퍼트리는 속도를 늦춰줍니다.

조직의 특정 요구를 충족시킬 수 있도록 Identity and Access Management(IAM)에서 세분화된 정책, 역할, 권한을 사용합니다. 또한 역할 추천자 및 정책 분석 도구를 사용하여 권한을 정기적으로 분석합니다. 역할 추천자는 머신러닝을 사용하여 설정을 분석하고 최소 권한의 원칙을 따르도록 역할 설정에 대한 권장사항을 제공합니다. 정책 분석 도구를 사용하면 클라우드 리소스에 액세스 권한이 있는 계정을 확인할 수 있습니다.

최소 권한에 대한 자세한 내용은 안전하게 IAM 사용을 참조하세요.

Titan 보안 키를 사용하여 다중 인증(MFA) 구성

다중 인증(MFA)은 사용자가 리소스에 액세스하기 전 비밀번호와 생체 요소 또는 토큰과 같은 소유 증명 요소를 제공하도록 보장합니다. 비밀번호는 비교적 쉽게 도난 또는 노출될 수 있으므로, MFA는 랜섬웨어 공격자가 계정을 탈취할 수 없도록 방지하는 데 도움이 됩니다.

계정 탈취 및 피싱 공격을 방지하기 위해 MFA용 Titan 보안 키를 고려하세요. Titan 보안 키는 조작 방지 기능이 있고 Fast IDentity Online(FIDO) 협회 표준을 지원하는 모든 서비스에 사용될 수 있습니다.

애플리케이션, Google Cloud 관리자, VM에 대한 SSH 연결(OS 로그인 사용) 및 민감한 정보에 대해 권한 있는 액세스가 필요한 모든 사용자에 대해 MFA를 사용 설정합니다.

Cloud ID를 사용하여 리소스에 대해 MFA를 구성합니다. 자세한 내용은 회사 소유의 리소스에 균일한 MFA 적용을 참조하세요.

서비스 계정 보호

서비스 계정은 Google Cloud 리소스에 액세스할 수 있게 해주는 권한이 부여된 ID이므로, 공격자가 이를 중요하게 여깁니다. 서비스 계정 보호에 대한 권장사항은 서비스 계정 작업 권장사항을 참조하세요.

중요 데이터 보호

랜섬웨어 공격의 주요 목적은 일반적으로 다음과 같습니다.

• 사용자가 몸값을 지불할 때까지 사용자의 중요 데이터에 대한 접근을 불가능하게 만듭니다.
• 데이터를 유출합니다.

중요한 데이터를 공격자로부터 보호하기 위해서는 데이터의 중요도에 따라 데이터 액세스를 제어하는 여러 보안 제어 수단을 조합해야 합니다. 다음 섹션에서는 데이터 보호와 효과적인 랜섬웨어 공격 완화를 위해 사용할 수 있는 몇 가지 권장사항에 대해 설명합니다.

데이터 중복성 구성

Google Cloud에는 복원력, 확장성, 고가용성을 제공하도록 설계된 글로벌 규모의 인프라가 있습니다. 클라우드 복원력은 여러 이벤트에 대한 Google Cloud의 복구 및 적응 능력에 도움이 됩니다. 자세한 내용은 Google Cloud 인프라 안정성 가이드를 참조하세요.

Google Cloud의 기본 복원 성능 외에도 데이터 저장을 위해 사용되는 Cloud Storage 옵션에서 중복성(N+2)을 구성합니다. 중복성은 단일 장애점을 없애고 손상될 경우를 대비해서 기본 시스템 백업을 제공하므로 랜섬웨어 효과를 완화하는 데 도움이 됩니다.

Cloud Storage를 사용하는 경우 객체 버전 관리 또는 버킷 잠금 기능을 사용 설정할 수 있습니다. 버킷 잠금 기능을 사용하면 Cloud Storage 버킷에 대해 데이터 보관 정책을 구성할 수 있습니다.

Google Cloud의 데이터 중복성에 대한 자세한 내용은 다음을 참조하세요.

• Cloud Storage 버킷을 사용하는 리전 간 중복성
• 리전 간 BigQuery 데이터 세트 복사

데이터베이스 및 Filestore 백업

백업을 사용하면 복제된 환경을 만들 수 있도록 재해 복구 목적에 따라 데이터 복사본을 유지 관리할 수 있습니다. 필요한 형식 및 원시 소스 형태(가능한 경우)로 백업을 저장합니다. 백업 데이터 훼손을 방지하려면 이 복사본을 프로덕션 영역과 구분된 격리된 영역에 저장합니다. 또한 데이터와 별도로 바이너리 및 실행 파일을 백업합니다.

복제된 환경을 계획할 때는 미러링 환경에도 동일한(또는 더 강력한) 보안 제어 수단을 적용합니다. 환경을 다시 만들고 필요한 새로운 관리자 계정을 다시 만드는 데 걸리는 시간을 확인합니다.

Google Cloud에서 몇 가지 백업 예시는 다음을 참조하세요.

• SQL Server용 Cloud SQL의 백업

• Filestore의 백업

이러한 백업 옵션 외에도 백업 및 DR 서비스를 사용하여 온프레미스 데이터를 Google Cloud에 백업할 수 있습니다. 백업 및 DR을 사용하면 VM 및 데이터베이스 모두 Google Cloud에서 재해 복구 환경을 설정할 수 있습니다. 자세한 내용은 백업 및 재해 복구 솔루션을 참조하세요.

데이터 암호화 키 보호 및 백업

공격자가 데이터 암호화 키에 액세스하지 못하도록 방지하려면 키를 정기적으로 순환하고 키 관련 활동을 모니터링해야 합니다. 키 위치와 Google 관리형 키(소프트웨어 또는 HSM)를 사용할지 아니면 키를 Google에 제공할지를 고려하는 키 백업 전략을 구현해야 합니다. 고유 키를 제공할 경우에는 외부 키 관리 시스템의 제어 수단을 사용해서 백업 및 키 순환을 구성해야 합니다.

자세한 내용은 Cloud Key Management Service로 암호화 키 관리를 참조하세요.

네트워크 및 인프라 보호

네트워크 보호를 위해서는 공격자가 네트워크를 통과하여 민감한 정보에 쉽게 액세스하지 못하도록 해야 합니다. 다음 섹션에서는 네트워크를 계획하고 배포할 때 고려할 몇 가지 항목들에 대해 설명합니다.

인프라 프로비저닝 자동화

자동화는 랜섬웨어 공격자에 대한 중요한 제어 수단입니다. 자동화는 알려진 정상 상태, 빠른 롤백, 문제 해결 기능을 운영 팀에 제공합니다. 자동화를 위해서는 Terraform, Jenkins, Cloud Build, 등의 여러 도구가 필요합니다.

엔터프라이즈 기초 청사진을 사용하여 보안 Google Cloud 환경을 배포합니다. 필요한 경우 추가 청사진을 이용해서 보안 기초 청사진을 빌드하거나 자체 자동화를 디자인할 수 있습니다.

자동화에 대한 자세한 내용은 데이터 처리 워크플로에 CI/CD 파이프라인 사용을 참조하세요. 자세한 보안 안내는 Cloud Security 권장사항 센터를 참조하세요.

네트워크 세분화

네트워크 세그먼트 및 경계는 공격자가 환경을 잠식하는 속도를 느리게 하는 데 도움이 됩니다.

서비스 및 데이터를 세분화하고 경계 보안을 돕기 위해 Google Cloud는 다음 도구들을 제공합니다.

• 트래픽 흐름을 지시하고 보호하기 위해서는 방화벽 규칙과 함께 Cloud Load Balancing을 사용합니다.
• 리소스 및 데이터 세분화를 위해 조직 내에서 경계를 설정하려면 VPC 서비스 제어를 사용합니다.
• 온프레미스 또는 다른 클라우드 환경의 다른 워크로드와 연결을 설정하려면 Cloud VPN 또는 Cloud Interconnect를 사용합니다.
• IP 주소 및 포트 액세스를 제한하려면 'Cloud SQL 인스턴스에서 공개 IP 주소 제한' 및 'VM 직렬 포트 액세스 사용 중지'와 같은 조직 정책을 구성합니다.
• 네트워크에서 VM을 강화하려면 '보안 VM'과 같은 조직 정책을 구성합니다.

여러 리소스 및 데이터의 위험 요소에 맞게 네트워크 보안 제어를 맞춤설정합니다.

워크로드 보호

Google Cloud에는 데이터 빌드, 배포, 관리를 위한 서비스가 포함되어 있습니다. 이러한 서비스를 사용하면 드리프트를 방지하고 잘못된 구성 및 취약점과 같은 문제를 빠르게 감지하고 패치할 수 있습니다. 워크로드 보호를 위해서는 랜섬웨어 공격자가 패치가 적용되지 않은 취약점 및 잘못된 구성을 통해 처음부터 액세스 권한을 얻지 못하게 방지하는 게이트형 배포 프로세스를 빌드해야 합니다. 다음 섹션에서는 워크로드 보호를 위해 구현할 수 있는 몇 가지 권장사항에 대해 설명합니다.

예를 들어 GKE Enterprise에 워크로드를 배포하려면 다음을 수행합니다.

• 신뢰할 수 있는 빌드 및 배포를 구성합니다.
• 클러스터 내에서 애플리케이션을 격리시킵니다.
• 노드에서 포드를 격리시킵니다.

GKE Enterprise 보안에 대한 자세한 내용은 클러스터 보안 강화를 참조하세요.

보안 소프트웨어 개발 수명 주기 사용

소프트웨어 개발 수명 주기(SDLC)를 개발할 때는 DevSecOps와 같은 업계 권장사항을 따릅니다. DevOps Research and Assessment(DORA) 연구 프로그램에서는 DevSecOps의 여러 기술, 프로세스, 측정, 문화 기능에 대해 설명합니다. DevSecOps는 개발 수명 주기의 각 단계에 보안 고려사항이 포함되도록 보장하고 조직이 수정 사항을 빠르게 배포할 수 있도록 도와주기 때문에 랜섬웨어 공격을 완화하는 데 도움이 될 수 있습니다.

Google Kubernetes Engine(GKE)에서 SDLC 사용에 대한 자세한 내용은 소프트웨어 배포 실드 개요를 참조하세요.

안전한 지속적 통합 및 지속적 배포 파이프라인 사용

지속적 통합 및 지속적 배포(CI/CD)는 고객들에게 최신 기능을 빠르게 전달할 수 있는 메커니즘을 제공합니다. 파이프라인에 대한 랜섬웨어 공격을 방지하기 위해서는 적절한 코드 분석을 수행하고 악의적인 공격에 대해 파이프라인을 모니터링해야 합니다.

Google Cloud에서 CI/CD 파이프라인을 보호하려면 코드가 CI/CD 파이프라인을 통과할 때 액세스 제어, 분리된 책임, 암호화 코드 확인을 사용합니다. Cloud Build를 사용하여 빌드 단계를 추적하고 Artifact Registry를 사용하여 컨테이너 이미지에서 취약점 스캔을 완료합니다. Binary Authorization을 사용하여 이미지가 기준을 충족하는지 확인합니다.

파이프라인을 빌드할 때 애플리케이션 바이너리 및 실행 파일이 백업되었는지 확인합니다. 기밀 데이터와 별도로 이를 백업해야 합니다.

배포된 애플리케이션 보호

공격자는 배포된 애플리케이션 내에서 레이어 7 취약점을 찾아 네트워크에 액세스하려고 시도할 수 있습니다. 이러한 공격을 완화하기 위해서는 위협 모델링 활동을 완료하여 잠재적인 위협을 찾아야 합니다. 공격 표면을 최소화한 후에는 레이어 7 필터링 및 보안 정책을 사용하는 웹 애플리케이션 방화벽(WAF)인 Google Cloud Armor를 구성합니다.

WAF 규칙은 여러 OWASP 상위 10개 문제들로부터 애플리케이션을 보호하는 데 도움이 됩니다. 자세한 내용은 Google Cloud의 OWASP 완화 상위 10개 옵션을 참조하세요.

여러 리전에서 애플리케이션을 보호하기 위해 전역 외부 애플리케이션 부하 분산기를 사용하는 Google Cloud Armor 배포에 대한 자세한 내용은 인터넷 대면 서비스를 위한 대규모 방어 수단 Google Cloud Armor 자세히 알아보기를 참조하세요. Google Cloud 외부에서 실행되는 웹 애플리케이션과 함께 Google Cloud Armor 사용에 대한 자세한 내용은 다른 Google 제품과 Google Cloud Armor 통합을 참조하세요.

신속한 취약점 패치

랜섬웨어의 주요 공격 벡터는 오픈소스 소프트웨어의 취약점입니다. 랜섬웨어 효과를 완화하기 위해서는 Fleet에 수정 사항을 빠르게 배포할 수 있어야 합니다.

공유 책임 모델에 따라 사용자는 자신의 애플리케이션에서 모든 소프트웨어 취약점을 책임지고 Google은 기본 인프라의 보안 유지 관리를 책임져야 합니다.

VM이 실행되는 운영체제와 연관된 취약점을 보고 패치 적용 프로세스를 관리하려면 Compute Engine에서 OS 패치 관리를 사용합니다. GKE 및 GKE Enterprise의 경우 Google은 취약점 패치를 자동으로 적용합니다. 하지만 개발자도 GKE 유지보수 기간을 일부 제어할 수 있습니다.

Cloud Build를 사용하는 경우에는 개발자가 코드 소스 저장소에 변경사항을 커밋할 때마다 빌드를 자동화합니다. 빌드 구성 파일에 취약점 스캔 및 무결성 검사와 같은 적절한 확인 수단이 포함되어 있는지 확인합니다.

Cloud SQL 패치 적용에 대한 자세한 내용은 Cloud SQL 인스턴스 유지보수를 참조하세요.

공격 감지

공격 감지 기능은 감지 능력, 모니터링 및 알림 시스템, 공격 발생 시 이를 식별하기 위한 운영 팀 준비 활동에 따라 달라집니다. 이 섹션에서는 공격 감지를 위한 몇 가지 권장사항에 대해 설명합니다.

모니터링 및 알림 구성

Google Cloud 환경 내에서 모든 보안 문제 및 위험 요소에 대해 중앙화된 가시성을 얻기 위해서는 Security Command Center를 사용 설정해야 합니다. 조직에 가장 중요한 이벤트가 가장 잘 보이도록 대시보드를 맞춤설정합니다.

Cloud Logging을 사용하여 Google Cloud에서 서비스 로그를 관리하고 분석합니다. 추가 분석을 위해서는 Google Security Operations와 통합하거나 조직의 SIEM으로 로그를 내보낼 수 있습니다.

또한 Cloud Monitoring을 사용하여 서비스 및 리소스 성능을 측정하고 알림을 설정합니다. 예를 들어 환경에서 실행되는 VM 수가 갑자기 변경되는지 모니터링할 수 있습니다. 이러한 변화는 해당 환경에 멀웨어가 있음을 나타내는 신호일 수 있습니다.

이러한 모든 정보를 중앙화된 방식으로 보안 운영 센터서 확인할 수 있게 해야 합니다.

감지 기능 빌드

Google Cloud에서 위험 요소 및 워크로드 요구사항에 맞게 감지 기능을 빌드합니다. 이러한 기능은 고급 위협에 대해 더 많은 유용한 정보를 제공하고 규정 준수 요구사항을 더 효과적으로 모니터링할 수 있게 해줍니다.

Security Command Center 프리미엄 등급을 사용하는 경우 Event Threat Detection 및 Google SecOps를 사용합니다. Event Threat Detection은 로그에서 잠재적인 보안 공격을 검색하고 Security Command Center에서 검색 결과를 로깅합니다. Event Threat Detection을 사용하면 Google Cloud 및 Google Workspace를 동시에 모니터링할 수 있습니다. 알려진 불량 도메인 및 알려진 불량 IP 주소를 기반으로 멀웨어를 검사합니다. 자세한 내용은 Event Threat Detection 사용을 참조하세요.

Google SecOps를 사용하여 한 곳에서 보안 데이터를 저장 및 분석합니다. Google SecOps를 사용하면 조사 기능을 Security Command Center 프리미엄에 추가하여 Google Cloud에서 위협 처리 프로세스를 향상시켜 줍니다. Google SecOps를 사용하여 감지 규칙을 만들고, 침해 지표 일치 기준을 설정하고, 위협 탐지 활동을 수행할 수 있습니다. Google SecOps에는 다음과 같은 기능이 있습니다.

• 로그를 매핑하면 Google SecOps가 이를 강화해서 타임라인으로 연결하여, 전체 공격 범위를 확인할 수 있게 해줍니다.
• Google SecOps는 Google Security Operations 팀을 위한 Google Cloud 위협 인텔리전스에서 수집되는 위협 인텔리전스를 기준으로 로그 활동을 지속적으로 재평가합니다. 인텔리전스가 변경되면 Google SecOps가 모든 과거 활동에 대해 이를 자동으로 재적용합니다.
• 사용자는 자체 YARA 규칙을 작성하여 위협 감지 기능을 향상시킬 수 있습니다.

원하는 경우 Google Cloud 파트너를 사용하여 감지 기능을 더 강화할 수 있습니다.

랜섬웨어 공격 계획

랜섬웨어 공격을 대비하기 위해서는 비즈니스 연속성 및 재해 복구 계획을 작성하고, 랜섬웨어 이슈 대응 플레이북을 만들고, 모의훈련을 수행합니다.

이슈 대응 플레이북의 경우 각 서비스에 제공되는 기능을 고려합니다. 예를 들어 Binary Authorization과 함께 GKE를 사용하는 경우 breakglass 프로세스를 추가할 수 있습니다.

이슈 대응 플레이북이 영향을 받는 리소스 및 계정을 신속하게 통제하고 정상 상태의 보조 소스 및 백업으로 이동하는 데 도움이 되는지 확인합니다. 백업 및 DR과 같은 백업 서비스를 사용하는 경우에는 Google Cloud에서 온프레미스 환경으로의 복원 절차를 정기적으로 연습합니다.

랜섬웨어 이슈로 영향을 받는 핵심 시스템 또는 애셋을 복원할 수 있게 해주는 사이버 복원력 프로그램 및 백업 전략을 빌드합니다. 사이버 복원력은 비즈니스를 운영 상태로 되돌릴 수 있도록 복구 타임라인을 지원하고 공격 효과를 줄이는 데 중요한 영향을 줍니다.

공격 범위 및 조직에 적용되는 규정에 따라 공격을 적절한 기관에 보고해야 할 수 있습니다. 연락처 정보가 이슈 대응 플레이북에 정확하게 표시되어 있는지 확인해야 합니다.

공격 대응 및 복구

공격이 발생하면 이슈 대응 계획을 따라야 합니다. 대응 계획은 다음과 같은 4단계로 진행될 수 있습니다.

• 이슈 식별
• 이슈 조정 및 조사
• 이슈 해결
• 이슈 종결

이슈 대응과 관련된 권장사항은 다음 섹션에서 자세히 설명합니다.

Google의 이슈 관리 방법에 대한 자세한 내용은 데이터 이슈 대응 프로세스를 참조하세요.

이슈 대응 계획 활성화

랜섬웨어 공격이 감지되면 계획을 활성화합니다. 이슈가 거짓양성이 아니고 Google Cloud 서비스에 영향을 주는지 확인한 후 P1 Google 지원 티켓을 개설합니다. Google Cloud: 기술 지원 서비스 가이드라인에 설명된 대로 Google 지원이 이슈에 대응합니다.

조직에 Google 기술계정 관리자(TAM) 또는 기타 Google 담당자가 있으면 여기에도 연락합니다.

이슈 조사 조정

계획을 활성화한 후 조직 내에서 이슈 조정 및 해결 프로세스에 포함되어야 하는 팀을 소집합니다. 이슈 조사 및 해결을 위해 필요한 도구 및 프로세스가 포함되었는지 확인합니다.

계속해서 Google 지원 티켓을 모니터링하고 Google 담당자와 협력을 계속합니다. 추가 정보를 위한 모든 요청을 처리합니다. 활동에 대한 세부 기록을 작성합니다.

이슈 해결

조사를 완료한 후에는 이슈 대응 계획에 따라 랜섬웨어를 삭제하고 환경을 정상 상태로 복원합니다. 공격의 심각도 및 사용 설정한 보안 제어 수단에 따라 계획에 다음과 같은 활동이 포함될 수 있습니다.

• 감염된 시스템 격리
• 정상 백업에서 복원
• CI/CD 파이프라인을 사용하여 이전에 알려진 정상 상태로 인프라 복원
• 취약점 삭제 확인
• 비슷한 공격에 취약할 수 있는 모든 시스템에 패치 적용
• 비슷한 공격을 방지하기 위해 필요한 제어 수단 구현

해결 단계를 진행하면서도 Google 지원 티켓을 계속 모니터링합니다. Google 지원은 통제, 이슈 근절 및 환경 복구(가능한 경우)를 위해 Google Cloud 내에서 적절한 조치를 수행합니다.

계속해서 활동에 대한 세부 기록을 작성합니다.

이슈 종결

환경이 정상 상태로 복원되었고 랜섬웨어가 환경에서 근절된 것이 확인된 다음에는 이슈를 종결시킬 수 있습니다.

이슈가 해결되고 환경이 복원되면 이를 Google 지원에 알려줍니다. 예약된 일정이 있으면 Google 담당자와의 공동 회고 분석 활동에 참여합니다.

이슈로부터 얻은 교훈을 기록하고 비슷한 공격을 방지하기 위해 필요한 제어 수단을 배치합니다. 공격의 특성에 따라 다음과 같은 조치들을 고려해볼 수 있습니다.

• 공격이 다시 발생했을 때 자동으로 트리거되는 감지 규칙 및 알림을 만듭니다.
• 새로 얻은 교훈이 포함되도록 이슈 대응 플레이북을 업데이트합니다.
• 회고 분석 결과에 따라 보안 자세를 강화합니다.

다음 단계

• Google의 이슈 대응 프로세스 자세히 알아보기
• Google Cloud 상태 대시보드 북마크로 Google Cloud 상태 확인
• Google SRE 도서 - 이슈 대응으로 이슈 대응 계획 개선
• 아키텍처 프레임워크에서 Google Cloud 추가 권장사항 읽어보기

• 재해 복구 프로세스 계획

• GKE에서 소프트웨어 공급망 보안 강화

• Google의 최신 DDoS 공격 식별 및 보호 방법 알아보기