📖 Chapter 7. 실무자를 위한 랜섬웨어 대응 운영 팁

📖 Chapter 7. 실무자를 위한 랜섬웨어 대응 운영 팁

“현장의 IT 담당자가 반드시 알고 있어야 할 7가지 포인트”

✦ 1. 관리자 계정은 ‘최소 권한 원칙’으로 관리하라.

• 관리자 계정은 감염 시 전체 시스템을 암호화하는 핵심 경로가 됨

• 불필요한 관리자 권한 계정 삭제, 도메인 관리자 접근 제한

• 다중 인증(MFA) 적용은 필수

• AD 관리자 비밀번호 주기적 변경

‘최소 권한 원칙(Principle of Least Privilege, PoLP)’이란, 사용자나 프로세스가 업무를 수행하는 데 필요한 최소한의 권한만 부여하는 보안 원칙입니다. 이 원칙은 관리자 계정에도 동일하게 적용되며, 다음과 같은 목적과 이점을 가집니다

✅ 최소 권한 원칙의 핵심

• 필요한 권한만 부여: 관리자라도 모든 권한을 항상 유지하지 않고, 필요한 작업을 할 때만 권한을 상승시킴

• 접근 범위 최소화: 시스템 리스크를 줄이기 위해 접근 가능한 데이터와 기능을 제한

🛠 적용 예시를 알아볼까요?

• 일반 계정으로 로그인 → 관리자 권한이 필요한 작업 시 ‘Run as Admin’ 방식으로 실행

• 관리자 계정에도 세분화된 역할(Role-based Access Control) 적용

RBAC (역할 기반 접근 제어)란?

즉, 관리자라고 해서 모든 걸 다 할 수 있도록 하지 않고,필요한 일만 하도록 역할을 나눠주는 방식입니다.

[조금 더 쉽게 예시로 이해하기]

🎯 회사 내 백업 시스템을 운영하는 관리자들

• Veeam이나 백업 솔루션에서도 백업/복구 권한을 분리하여 계정별 최소 기능만 사용

✅ 사용자 계정 추가

1. Enterprise Manager 웹 포털에 로그인합니다.

2. 상단 메뉴에서 “Configuration”을 클릭합니다.

3. 좌측 메뉴에서 “Users and Roles”를 선택합니다.

4. 우측 상단의 “Add” 버튼을 클릭합니다.

   
   

   

   
   

사용자 추가

사용자 또는 사용자 그룹을 추가하려면:

1. 기본 메뉴에서 사용자 및 역할 > 보안을 선택합니다 .

2. 추가를 클릭합니다 .

3. 사용자 또는 그룹 필드 에 DOMAIN\USERNAME 형식 으로 사용자 또는 사용자 그룹의 이름을 입력합니다 .

4. 역할 목록 에서 할당할 필요한 역할을 선택합니다.

5. 확인을 클릭하세요 .

✦ 2. 백업 스토리지는 ‘논리적으로 완전 분리’되어야 한다.

• 랜섬웨어는 네트워크상 연결된 저장소를 인식하고 백업까지 암호화

• NAS 연결 시, 공유 폴더 마운트 상태로 유지 금지

• Immutable 백업 또는 오프라인 백업 전략 필수

  
  

✦ 3. 백업은 반드시 복구 테스트까지 수행해야 한다.

• 단순 ‘백업 완료’ 로그만으로는 안심 불가

• 복구 시 정상 부팅 여부, 서비스 동작 확인 필요

• Veeam의 SureBackup 기능 활용 → 자동 복구 테스트

✦ 4. USB, 외장하드, 외부 저장장치 정책을 명확히 하라

• 외부 장치 → 감염의 지름길

• 허용된 장치 외 USB 자동 실행 차단

• 보안 USB, 도면용 전용PC, USB 로그 모니터링 등

✦ 5. 사용자 PC의 ‘문서 보호 경로’를 지정하라

• 랜섬웨어는 주로 문서, 엑셀, CAD, DB 등을 암호화함

• 중요한 폴더를 백업 예외 폴더로 설정하거나 버전 관리 정책 설정

• 파일 복구 기능(FSRM, VSS, NAS 버전관리 등) 설정

✦ 6. 이메일 보안 솔루션은 회사 생존의 최소 보험

• 이메일은 가장 흔한 감염 경로

• 악성 링크/첨부파일 차단, 도메인 위조 차단(SPF, DKIM) 설정

• Office 365, Google Workspace 등 → 보안 필터 활성화

  
  

✦ 7. 복구 책임자, 대응 체계, 커뮤니케이션 체계를 문서화하라

• ‘누가’, ‘어떤 순서로’, ‘어디서부터’ 복구할지 문서화

• 내부 + 외부 보고 경로도 미리 정의 (경영진, 고객사, 법적 보고 등)

  
  

✅ 실무용 대응 체크리스트 요약

📌 핵심 메시지: