Cloud CISO Perspectives: 진화하는 랜섬웨어 위협, 클라우드 보안의 새로운 해법은?

* 해당 블로그의 원문은 2024년 1월 31일 Google Cloud 블로그(영문)에 게재되었습니다.

2025년 1월 두 번째 Cloud CISO Perspectives에 오신 것을 환영합니다. 보안 엔지니어링 담당 수석 이사인 Iain Mulholland는 새로운 Threat Horizon 보고서의 클라우드 랜섬웨어 현황에 대한 통찰력을 공유합니다. 이 보고서의 연구 및 정보는 모든 클라우드 공급업체와 보안 전문가에게 유용할 것입니다. 마찬가지로 권장되는 위험 완화 조치는 Google Cloud에서 잘 작동하지만 일반적으로 모든 클라우드에 적용 가능합니다.

Cloud CISO Perspectives와 마찬가지로 이 뉴스레터의 내용은 Google Cloud 블로그에 게시됩니다. 웹사이트에서 이 내용을 읽고 이메일 버전을 받고 싶다면 여기에서 구독할 수 있습니다.

--Phil Venables, VP, TI Security & CISO, Google Cloud

2025년 랜섬웨어 위협에 클라우드 보안은 어떻게 적응할 수 있을까

Iain Mulholland, senior director, Security Engineering, Google Cloud

클라우드 공급업체와 클라우드 고객은 랜섬웨어 위협에 어떻게 대응해야 할까요? 2025년의 클라우드 보안 전략은 데이터 유출 및 ID 액세스 남용 방지를 우선시해야 한다고 새로운 Threat Horizon 보고서에서 설명합니다.

클라우드에서 진화하는 랜섬웨어 및 데이터 탈취 위험

클라우드에서의 랜섬웨어 및 데이터 위협은 새로운 것이 아니며, 이러한 위협과 위험에 대한 조사 및 분석은 이전 Threat Horizon 보고서의 핵심 부분이었습니다. 특히 Google Cloud 보안 및 인텔리전스 전문가들은 2024년 2월에 발표된 Threat Horizon 보고서에서 랜섬웨어 관련 동향을 폭로했는데, 여기에는 위협 행위자들이 암호화보다 데이터 유출을 우선시하고 서버 측 취약점을 악용하는 것이 포함되었습니다.

2024년 하반기에 위협 행위자들이 신원을 숨기는 데 더욱 능숙해지는 우려스러운 변화를 관찰했습니다. 이러한 전술, 기술 및 절차의 최신 진화로 인해 방어자가 공격에 대응하기가 더 어려워지고 랜섬 지불 가능성이 높아지며, 이는 2023년에 총 11억 달러에 달했습니다. 또한 위협 행위자들이 클라우드 서비스를 표적으로 삼기 위해 서비스형 랜섬웨어(RaaS)에 더 많이 의존하는 방식으로 적응하는 것을 확인했으며, 이는 전체 보고서에서 자세히 설명합니다.

조직은 강력한 비밀번호 정책, 필수 다중 인증(MFA), 사용자 액세스 및 클라우드 스토리지 버킷 보안에 대한 정기적인 검토, 다크 웹에서의 유출된 자격 증명 모니터링 및 계정 잠금 메커니즘과 같은 자동화 및 인식 전략을 통합할 것을 권장합니다. 중요한 것은 자격 증명 손상을 방지하는 데 도움이 되도록 보안 모범 사례에 대해 직원을 교육하는 것입니다.

정부의 통찰력도 도움이 될 수 있습니다. 사이버 보안 및 인프라 보안국(CISA)의 랜섬웨어 취약점 경고 파일럿 프로그램의 지침은 랜섬웨어 행위자가 악용할 수 있는 취약점을 사전에 식별하고 경고할 수 있습니다.

계정 탈취를 포함한 위협으로부터 더 잘 보호하기 위해 Google Cloud 보안 상태를 강화하기 위한 위험 완화 조치를 요약했습니다. 계정 탈취는 위협 행위자의 랜섬웨어 및 데이터 탈취 운영으로 이어질 수 있습니다.

클라우드 계정 탈취를 방지하기 위해 조직은 다음을 수행할 수 있습니다.

• MFA 등록: Google Cloud의 단계적 필수 MFA 접근 방식은 공격자가 훔친 자격 증명과 인증 쿠키를 가지고 있더라도 계정을 손상시키기 어렵게 만들 수 있습니다.
• 자동화된 민감한 모니터링 및 알림 사용: Security Command Center(SCC)의 일부인 Sensitive Actions Service는 잠재적으로 유해한 작업을 자동으로 감지하고 경고합니다.
• 강력한 IAM(Identity and Access Management) 정책 구현: IAM 정책을 사용하여 사용자에게 업무에 필요한 권한만 부여하세요. Google Cloud는 Policy Analyzer를 포함하여 IAM 정책을 구현하고 관리하는 데 도움이 되는 다양한 도구를 제공합니다.

랜섬웨어 및 공갈 위험을 완화하기 위해 조직은 다음을 수행할 수 있습니다.

• 클라우드 전용 백업 전략 수립: 재해 복구 테스트에는 구성, 템플릿 및 전체 인프라 재배포가 포함되어야 하며 백업은 최대한의 보호를 위해 변경 불가능해야 합니다.
• 사전 예방적 가상 머신 검사 활성화: SCC의 일부인 VMTD(Virtual Machine Threat Detection)는 가상 머신에서 악성 애플리케이션을 검사하여 랜섬웨어를 포함한 위협을 탐지합니다.
• 예상치 못한 비용 모니터링 및 제어: Google Cloud를 사용하면 결제 계정에 연결된 모든 프로젝트에서 비정상적인 지출 패턴을 식별하고 관리할 수 있으며 이는 무단 활동을 나타낼 수 있습니다.

조직은 여러 Google Cloud 제품을 사용하여 랜섬웨어 및 데이터 탈취 공갈로부터의 보호를 강화할 수 있습니다. Security Command Center는 데이터 유출 및 잘못된 구성을 탐지하는 데 도움이 되는 조직의 다중 클라우드 보안 기반을 구축하는 데 도움이 될 수 있습니다. Sensitive Data Protection은 Google Cloud 환경에서 민감한 데이터를 식별하고 분류하여 잠재적인 데이터 유출을 방지하는 데 도움이 되며, 데이터의 무단 액세스 및 이동을 모니터링하는 데도 도움이 됩니다.

랜섬웨어 이상의 위협

클라우드 위협 환경에는 랜섬웨어보다 훨씬 더 많은 것이 있으며 조직이 직면한 위험을 완화하기 위해 할 수 있는 일도 많습니다. 위에서 언급한 것처럼 보고서에서 확인한 5가지 추가 위협 환경 동향과 조직의 보안 상태를 개선하는 방법에 대한 제안된 완화 조치를 요약했습니다.

• 과도하게 권한이 부여된 서비스 계정이 측면 이동 전술과 함께 악용되는 것을 포함한 서비스 계정 위험.
  • 해야 할 일: 과도하게 권한이 부여된 계정의 악용을 방지하고 오탐으로 인한 탐지 노이즈를 줄이기 위해 서비스 계정을 조사하고 보호합니다.
• 온프레미스 환경과 클라우드 환경 간의 측면 이동과 함께 악용되는 하이브리드 환경의 손상된 사용자 ID를 포함한 ID 악용.
  • 해야 할 일: 강력한 인증과 속성 기반 유효성 검사를 결합하고, 포괄적인 ID 사고 대응을 위한 플레이북과 프로세스를 현대화합니다(필수 MFA 적용 포함).
• 활성 취약점 악용 및 민감한 정보를 보호하는 취약한 자격 증명 악용을 포함한 클라우드 데이터베이스에 대한 공격.
  • 해야 할 일: 보안 개인 연결, 클라우드 로깅 및 모니터링, 강력한 ID 및 액세스 관리, 사전 예방적 취약점 관리 및 VPC 서비스 제어를 통해 관리형 데이터베이스의 보안 및 무결성을 보장합니다.
• 손상된 계정에서 수익을 극대화하기 위해 위협 행위자가 피해자 결제 계정에 요금을 부과할 수 있도록 허용하는 권한 상승을 포함한 다양한 공격 방법.
  • 해야 할 일: 위에서 논의한 것처럼 MFA에 등록하고, 자동화된 민감한 모니터링 및 알림을 사용하고, 강력한 IAM 정책을 구현합니다.
• MFA 우회 기술 및 피해자와의 공격적인 커뮤니케이션 전략을 포함하여 클라우드 기반 서비스에 대해 점점 더 정교한 전술을 사용하여 계정을 손상시키고 수익을 극대화하는 데이터 탈취 및 공갈 공격.
  • 해야 할 일: 강력한 비밀번호 정책, MFA, 사용자 액세스에 대한 정기적인 검토, 유출된 자격 증명 모니터링, 계정 잠금 메커니즘 및 직원 교육을 포함하는 심층 방어 전략을 사용합니다. SCC와 같은 강력한 도구는 데이터 유출 및 데이터의 무단 액세스를 모니터링하는 데 도움이 될 수 있습니다.

자세한 내용은 보고서에서 전체 내용을 확인할 수 있습니다.

Threat Horizons 보고서가 어떻게 도움이 될 수 있을까요?

Threat Horizon 보고서 시리즈는 클라우드 환경에 대한 현재 위협 상태와 이러한 위험을 완화하고 모든 사람을 위한 클라우드 보안을 개선하기 위해 우리가 어떻게 협력할 수 있는지에 대한 스냅샷을 제시하기 위한 것입니다. 이 보고서는 클라우드 공급업체, 고객, 클라우드 보안 리더 및 실무자가 오늘날 사용할 수 있는 전략적 위협 인텔리전스를 의사 결정자에게 제공합니다.

Threat Horizon 보고서는 Google Threat Intelligence Group(GTIG), Mandiant, Google Cloud의 CISO 사무소, 제품 보안 엔지니어링 및 Google Cloud 인텔리전스, 보안 및 제품 팀의 정보를 기반으로 합니다.

2025년 상반기의 Threat Horizon 보고서는 여기에서 전체 내용을 읽을 수 있습니다. 이전 Threat Horizon 보고서는 여기에서 확인할 수 있습니다.

Google Cloud의 보안 관련 최신 소식

• Next '25에서 특별하고 몰입감 넘치는 보안 경험을 준비하세요: Google Cloud Next가 보안 전문가와 보안에 관심 있는 모든 사람들에게 반드시 참석해야 하는 행사가 된 이유를 알아보세요. 자세히 알아보기.
• Google은 자체 클라우드 사용을 어떻게 보호할까요?: 새로운 "Google은 어떻게 할까요" 시리즈의 일환으로 Google이 자체 클라우드 환경을 사용하고 보호하는 방법을 자세히 살펴보세요. 자세히 알아보기.
• 개인 정보 보호 기밀 컴퓨팅, 더 많은 머신과 서비스에서 사용 가능: 기밀 컴퓨팅을 이전보다 더 많은 머신 유형에서 사용할 수 있습니다. 새로운 기능을 확인하세요. 자세히 알아보기.
• 맞춤 조직 정책을 사용하여 GKE에 대한 CIS 벤치마크 적용: GKE에 대한 많은 CIS 권장 사항은 맞춤 조직 정책을 통해 적용할 수 있습니다. 방법을 알아보세요. 자세히 알아보기.
• 공급망 증명 및 SLSA를 통해 GKE를 더욱 안전하게 만들기: 이제 SLSA(Software Artifacts 프레임워크의 공급망 레벨)를 사용하여 Google Kubernetes Engine 구성 요소의 무결성을 확인할 수 있습니다. 자세히 알아보기.
• CISO 사무소 2024년 회고: Google Cloud의 CISO 사무소는 2024년에 생성형 AI에 안전하게 접근하는 방법에 대한 통찰력을 공유하고, Cloud Security Podcast에 업계 전문가를 초청했으며, 연구 논문을 발표하고 여러 부문에 걸쳐 얻은 보안 교훈을 검토했습니다. 자세히 알아보기.
• Alphabet의 AI 버그 바운티 1주년 기념: AI 버그 바운티의 첫 해 동안 배운 점과 이러한 교훈이 앞으로 취약점 보상 접근 방식에 어떻게 영향을 미칠지 알아보세요. 자세히 알아보기.

이번 달에 게시된 더 많은 보안 관련 기사를 보려면 Google Cloud 블로그를 방문하세요.

위협 인텔리전스 소식

• 암호화폐 강탈을 막는 방법: 수익성이 높은 보상과 악성 행위자에 대한 귀속과 관련된 어려움을 포함하여 많은 요인들이 암호화폐 강탈의 급증을 부추기고 있습니다. 새로운 "암호화폐 조직 보안" 가이드에서 조직이 암호화폐 강탈을 막기 위해 취해야 하는 방어 조치를 자세히 설명합니다. 자세히 알아보기.

이번 달에 게시된 더 많은 위협 인텔리전스 관련 기사를 보려면 Google Cloud 블로그를 방문하세요.

Google Cloud Security & Mandiant 팟캐스

• 최신 CISO는 위험, 혁신, 비즈니스 전략 및 클라우드를 어떻게 균형 있게 관리할까요?: MSCI의 CISO인 John Rogers는 오늘날 CISO가 직면한 가장 큰 클라우드 보안 과제(그리고 진화하는 과제)에 대해 호스트 Anton Chuvakin과 Google Cloud의 CISO 사무소의 게스트 공동 호스트 Marina Kaganovich와 함께 이야기합니다. 팟캐스트 듣기.
• 랜섬웨어 드래곤 처치: 스타트업은 다른 사람들이 실패한 곳에서 성공하고 랜섬웨어를 영원히 종식시킬 수 있을까요? 랜섬웨어 방어 스타트업 Mimic의 공동 창립자이자 최고 제품 책임자인 Bob Blakley는 호스트 Anton Chuvakin과 Tim Peacock에게 랜섬웨어와의 싸움에 참여한 개인적인 이유와 회사가 어떻게 도울 수 있는지 알려줍니다. 여기에서 들어보세요. 팟캐스트 듣기.
• Behind the Binary: 게이머가 유명한 해커가 된 방법: Google Mandiant의 FLARE 팀의 Stephen Eckels는 비디오 게임 모딩이 어떻게 사이버 보안 경력을 시작하는 데 도움이 되었는지 논의합니다. 팟캐스트 듣기.