올해 최대 걱정거리 랜섬웨어? 내가 잡아줄께

백신 최신 업데이트 유지만 잘 해도 랜섬웨어 예방에 효과적
국내외 백신업체, 랜섬웨어 정보 사이트·복호화 서비스 등 제공

[보안뉴스 김태형] 데이터를 인질로 금전을 요구하는 랜섬웨어는 러시아어권 지역에서 시작되어 서유럽, 미국, 캐나다, 호주, 유럽 및 아시아 등 전 세계로 급속히 확산되고 있다. 수익을 올릴 수 있다는 점 때문에 랜섬웨어 규모도 점점 더 커질 것으로 예상된다. 이러한 랜섬웨어는 지난해에 이어 올해에도 최대 보안위협 중에 하나가 될 것으로 보인다.

랜섬웨어는 업데이트 파일로 가장하기도 하고 일반 메일로 가장한 메일의 첨부파일에 모습을 숨기기도 한다. 스팸메일을 통한 감염 역시 공격자가 주로 사용하는 방식 중 하나다. 또한, 랜섬웨어에 감염되어 암호화된 데이터를 복구하기 위해서는 비밀번호가 필요한데 공격자가 걸어놓은 수십 자리의 암호를 푸는 건 불가능하다. 공격자의 요구대로 돈을 입금한다 해도 해독키를 보내준다는 보장이 없기 때문에 예방이 최선이라는 게 보안전문가들의 공통된 지적이다.

이처럼 랜섬웨어 피해 예방을 위해서는 중요한 파일의 백업 외에도 백신 최신 업데이트 유지나 운영체제(OS) 및 SW 프로그램의 최신 보안패치 적용, 수상한 첨부파일 및 URL 실행 자제, 신뢰할 수 없는 웹사이트 방문 자제 등 기본 보안수칙을 생활화하는 자세가 필요하다. 무엇보다 백신을 효과적으로 활용하는 것이 중요한데, 백신이 가장 기본적인 랜섬웨어 대응 솔루션 역할을 담당하고 있기 때문이다. 이에 대부분의 국내외 백신 솔루션들은 랜섬웨어 대응을 위한 기능을 탑재하고 있다.

안랩 V3
안랩 V3는 랜섬웨어를 비롯한 수많은 악성코드에 대한 진단 값(시그니처) 반영 및 특정 행위 패턴 분석으로 대응하고 있다. 현재까지 알려진 대부분의 랜섬웨어에 이미 대응하고 있다. V3 제품군은 클라우드 기반 진단, 네트워크 보안, 행위·평판진단 등 다차원 분석 플랫폼(MDP, Multi-Dimensional Protection)을 지난 2013년 7월부터 적용해 랜섬웨어를 포함한 다양한 악성코드에 대한 진단율을 높이고 있다. 또한, 최근 증가하고 있는 랜섬웨어 변종과 국내에서 큰 피해를 입히고 있는 랜섬웨어를 신속하고 정확하게 탐지하기 위해 V3의 탐지 고도화 작업을 지속적으로 진행하고 있다.

한편, 안랩은 지난해 11월 13일부터 랜섬웨어에 대한 올바른 정보 전달과 피해확산 방지를 위해 ‘랜섬웨어 보안센터(www.ahnlab.com/kr/site/securityinfo/ransomware/index.do#cont2)’ 웹사이트 운영을 시작했다. ‘안랩 랜섬웨어 보안센터’에서는 △최근 랜섬웨어 동향 및 분석정보 △특정 랜섬웨어에 감염된 파일 복구 툴 △피해 예방 수칙 등 개인 및 기업 사용자가 랜섬웨어를 이해하고 피해를 줄일 수 있도록 유용한 정보를 제공하고 있다.

이스트소프트 알약
이스트소프트 알약(ALYac)은 ‘랜섬웨어 차단’ 기능을 추가한 알약 공개용 업데이트 버전을 출시했다. 이번 업데이트를 통해 알약은 현재까지 알려진 대부분의 랜섬웨어 공격을 감지하여 사전에 방어할 수 있게 되었으며, 이를 통해 사용자가 보유한 중요 파일이 암호화되는 랜섬웨어 감염 피해를 효과적으로 차단할 수 있게 됐다. 또한, ‘랜섬웨어 차단’ 기능 업데이트와 함께 랜섬웨어와 관련 다양한 정보를 접할 수 있는 특별페이지도 알약 공식홈페이지에 오픈했다. 새롭게 추가된 ‘랜섬웨어 차단’ 기능은 일반 사용자들이 사용하는 알약 공개용 버전에 우선 적용됐으며, 해당 기능을 사용하기 위해서는 제품을 업데이트하거나 공식 홈페이지(www.alyac.com)에서 최신 버전을 내려 받아 설치하면 된다.

하우리 APT Radar·APT Shield
하우리는 기존의 패턴 수집 방법과 더불어 APT Radar와 APT Shield를 통해 실시간으로 차단된 랜섬웨어를 바이로봇 패턴으로 즉시 반영하고 있다. 특히, APT Shield가 탑재된 ViRobot 7.0을 사용하면 패턴 업데이트 이전 알려지지 않은 랜섬웨어도 차단할 수 있다는 설명이다.

아울러 하우리는 랜섬웨어 피해확산 방지를 위해 실시간 탐지 및 대응 현황 정보를 공개하고 감염 차단을 위한 ‘APT Shield v2.0’을 무료로 배포하는 ‘랜섬웨어 정보센터’를 오픈했다. 랜섬웨어 정보센터는 랜섬웨어에 관한 일반정보, 보안전문가의 분석이 포함된 최신 랜섬웨어 동향, 랜섬웨어 예방 방법과 APT Radar를 활용한 ‘실시간 유포 탐지 현황’ 통계를 공개해 보다 전문적인 정보를 제공한다.

▲ 랜섬웨어 감염된 PC의 바탕화면(출처: 안랩)

트렌드마이크로 맥시멈시큐리티·오피스스캔
트렌드마이크로 개인용 백신 ‘트렌드마이크로 맥시멈시큐리티’에는 무단 암호화·수정으로부터 문서와 파일을 보호하는 기능을 통해 랜섬웨어 공격을 막는다. 사용자 PC가 랜섬웨어에 감염돼도 파일이 암호화되는 후속 피해를 막는다. 또 의심스러운 접근이 이뤄지는 파일은 자동으로 백업하고, 문제가 해결되면 원본을 복구한다. 기존 행위 분석 기술에 클라우드 기반 평판 기술, 네트워크 콘텐츠 분석 기술 등을 추가했다. 백신과 별도로 혹시 잠복할지 모르는 랜섬웨어를 탐지하는 유틸리티(ATTK)도 무료 제공한다.

이 외에 트렌드마이크로 기업용 엔드포인트 보안 제품인 ‘오피스스캔’에는 악성코드에 의한 ‘문서암호화 방지기능’과 랜섬웨어와 유사한 프로세스를 차단하는 ‘SRP(Software Restriction Policy)’ 기능이 추가되어 패턴·시그니처가 없는 신종·변종 랜섬웨어에 대한 효과적인 보안기능을 제공하고 있다.

비트디펜더 비트디펜더 2016
비트디펜더 코리아는 지난해 12월 랜섬웨어로부터 각종문서, 사진 파일 등 각종 데이터를 보호하는 기능을 추가한 신제품 ‘비트디펜더 2016’ 한글 버전을 출시했다. ‘비트디펜더 2016’은 알려지지 않은 랜섬웨어가 보호 중인 파일에 대한 무단 변경 및 삭제를 시도할 경우 이를 스마트하게 차단해 주는 기능을 탑재하고 있다.

또한, 잠재적으로 안전하지 않다고 판단되는 각종 애플리케이션도 자동 탐지 및 차단하기 때문에 선제적인 방어체계 구축을 가능케 한다. 이 외에도 ‘비트디펜더 2016’에는 전 세계 약 5억 명 이상의 사용자들이 참여하고 있는 자사만의 글로벌 다중방어체계인 GPN(Global Protective Network)를 통해 △클라우드 기반 탐지력 증가 △사이버개인정보를 위협하는 파일의 자동식별 및 삭제 △인터넷 로그인 정보, 비밀번호 등을 안전한 저장소에 저장해 필요시에만 자동 입력하는 ‘패스워드 관리자’ 기능 등이 추가됐다. 특히, 매일 70억번 이상의 쿼리를 수행하는 강력한 클라우드 인프라 GPN은 어떠한 신규 위협에도 단 3초 이내에 모든 엔드포인트를 보호할 수 있게 해준다.

▲ 국·내외 랜섬웨어 방어 기능 제공하는 주요 백신 업체 및 제품

시만텍 노턴 시큐리티
시만텍의 ‘노턴 시큐리티(Norton Security)’는 위협 모니터링 기능으로 랜섬웨어를 비롯한 알려지지 않은 공격 위협을 탐지한다. 시만텍은 최근 개인사용자용 브랜드인 노턴의 다양한 핵심 제품을 하나의 서브스크립션으로 이용할 수 있는 ‘노턴 시큐리티(Norton Security)’ 서비스를 발표했다. ‘노턴 시큐리티’는 모든 플랫폼에서 날로 진화하는 정교한 위협으로부터 개인사용자를 보호하는 차세대 다계층 보안 서비스로, 하나의 서비스로 여러 대의 윈도우 PC, 맥(Mac)은 물론 안드로이드 스마트폰과 태블릿, 아이폰·아이패드까지 다양한 디지털 기기의 보호가 가능하다.

특히, 시만텍 엔드포인트 프로텍션(SEP)은 다양한 엔드포인트 보안기술을 하나로 통합해 제공한다. 네트워크 접근제어, 애플리케이션 제어, 안티바이러스, 안티스파이웨어, 데스크톱 방화벽, 호스트 및 네트워크 침입 방지, 디바이스 제어와 같은 다양한 보안기술들을 하나로 통합해 다수의 엔드포인트 보안제품들을 관리할 때 발생할 수 있는 시간, 비용, 인력 자원 낭비를 방지하고 다양한 이기종 플랫폼 지원을 통해 운영 효율성을 극대화하고 있다. 이와 함께 물리·가상환경에서도 지능적으로 공격을 차단하며, 네트워크 위협 보호, 시만텍 인사이트, 소나(SONAR) 등 강력한 기술을 활용해 표적공격으로부터 사용자의 PC와 노트북을 보호한다.

카스퍼스키랩 엔드포인트시큐리티10
카스퍼스키 ‘엔드포인트시큐리티10’은 파일 악성행위를 추적해 차단하는 사전방역기능으로 랜섬웨어를 자동으로 차단한다. 카스퍼스키랩은 시스템 감시기 모듈이라 불리는 대응책을 개발했다. 시스템 감시기는 파일 사본을 로컬에 보호해 보관할 수 있으며 랜섬웨어 악 코드가 변경한 것도 감염 전 상태로 되돌릴 수 있다. 이 모듈은 자동 복구가 가능해 관리자의 백업 복구 문제 및 업무 중지 부담을 덜어줄 수 있다. 또한, 카스퍼스키랩은 암호가 분석되거나 해커가 검거되어 암호가 공개된 랜섬웨어 파일을 복호화할 수 있도록 홈페이지(https://noransom.kaspersky.com/)에서 복호화 서비스를 제공하고 있다.
[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)