Home > 전체기사

[eGISEC 2023] 센티넬원, “뛰는 놈 위에 나는 놈 전략으로 랜섬웨어 잡아야”

  |  입력 : 2023-04-01 14:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
공격자, 랜섬웨어 이름 변경 및 암호화 기능 사용 등으로 탐지 회피
알려지지 않은 랜섬웨어 탐지 불가, 자동 치료 및 복구 기능 부재 등 대응 한계
실시간 파일 분석, 행위 기반 분석, 자동화된 대응 등으로 조치해야


[보안뉴스 김경애 기자] 랜섬웨어 공격이 지난 1년 동안 지속적으로 증가했다. 특히, 많은 랜섬웨어 공격그룹이 전략적으로 명칭을 바꿔 노출을 피하고 있다. Quantum 랜섬웨어는 Dagon Locker로 명칭을 변경했으며, 악명 높은 사이버 갱인 Conti는 Hive, BlackCat, HelloKitty 등의 작은 그룹으로 각각 이름을 바꿨다. 또한, DoppelPaymer는 Grief로, Rook 랜섬웨어는 Pandora로 이름을 변경했다. 마이그레이션 랜섬웨어 개발자는 탐지를 피하기 위해 Rust와 Golang을 사용하고, BlackCat, Hive를 비롯한 기타 랜섬웨어들도 빠른 파일 암호화 기능과 광범위한 암호화 라이브러리를 사용하며 진화하고 있다.

▲센티넬원 박정수 이사가 31일 eGISEC 콘퍼런스에서 랜섬웨어 차단 솔루션이 가진 한계점과 대응방안에 대해 설명하고 있다[사진=보안뉴스]


이처럼 랜섬웨어가 지능적이고 전략적으로 변모하면서 기존 랜섬웨어 솔루션도 한계에 도달했다. 센티넬원 박정수 이사는 31일 eGISEC 콘퍼런스에서 현재 랜섬웨어 차단 솔루션이 가진 문제점에 대해 랜섬웨어 솔루션의 위협 가시성 부족, 알려지지 않은 랜섬웨어 탐지 불가, 자동 치료 및 복구 기능 부재, 시그니처 DB 사이즈 증가로 관리가 어렵다는 점을 지적했다.

이와 관련 박정수 이사는 “기존 솔루션은 이미 유입된 위협에 대해 탐지가 불가능하고, 랜섬웨어 유입 경로, 실행 이력 및 시스템 변경사항에 대한 가시성 확보가 불가능하다”며 “또 시그니처 기반의 한계로 알려지지 않은 랜섬웨어 탐지가 불가능하고, 자동복구가 불가능해 보안 전문가에 의해 수동으로 복구되고 포맷 및 OS를 재설치해야 한다. 이뿐만이 아니다. 시그니처 DB 사이즈의 증가로 업데이트로 인한 네트워크 부하, 시스템 리소스 소모가 증가한다”고 설명했다.

이렇듯 새로운 유형의 랜섬웨어가 지속적으로 창궐하고 있는 만큼 랜섬웨어 대응 역시 보다 지능적이고 전략적으로 변화해야 한다는 얘기다. 그렇다면 어떻게 대응해야 효과적일까? 이에 대해 박정수 이사는 실시간 파일 분석, 행위 기반 분석, EDR 등을 통한 자동화된 대응 조치를 방안으로 제시했다.

박정수 이사는 “해쉬값 기반 분석으로 파일의 해쉬값을 확인한 후, S1 Cloud에 쿼리해 동일 해쉬값을 차단해야 한다”며 “헤더 및 파일 구조 분석과 행위 기반 탐지(AI 머신 러닝), 행위의 상관관계를 분석해 대응해야 한다”고 강조했다.

이어 그는 “랜섬웨어 탐지 및 처리시간은 대응까지 수초 내 처리해야 한다. 그러기 위해선 단일 및 가벼운 에이전트, 관리자 개입 없는 자율적 운영, Windows, Mac, Linux, VDI, Cloud, Kubernetes, Docker 등 주요 프로그램을 지원해야 한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)