보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[eGISEC 2023] 센티넬원, “뛰는 놈 위에 나는 놈 전략으로 랜섬웨어 잡아야”

입력 : 2023-04-01 14:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
공격자, 랜섬웨어 이름 변경 및 암호화 기능 사용 등으로 탐지 회피
알려지지 않은 랜섬웨어 탐지 불가, 자동 치료 및 복구 기능 부재 등 대응 한계
실시간 파일 분석, 행위 기반 분석, 자동화된 대응 등으로 조치해야


[보안뉴스 김경애 기자] 랜섬웨어 공격이 지난 1년 동안 지속적으로 증가했다. 특히, 많은 랜섬웨어 공격그룹이 전략적으로 명칭을 바꿔 노출을 피하고 있다. Quantum 랜섬웨어는 Dagon Locker로 명칭을 변경했으며, 악명 높은 사이버 갱인 Conti는 Hive, BlackCat, HelloKitty 등의 작은 그룹으로 각각 이름을 바꿨다. 또한, DoppelPaymer는 Grief로, Rook 랜섬웨어는 Pandora로 이름을 변경했다. 마이그레이션 랜섬웨어 개발자는 탐지를 피하기 위해 Rust와 Golang을 사용하고, BlackCat, Hive를 비롯한 기타 랜섬웨어들도 빠른 파일 암호화 기능과 광범위한 암호화 라이브러리를 사용하며 진화하고 있다.

▲센티넬원 박정수 이사가 31일 eGISEC 콘퍼런스에서 랜섬웨어 차단 솔루션이 가진 한계점과 대응방안에 대해 설명하고 있다[사진=보안뉴스]


이처럼 랜섬웨어가 지능적이고 전략적으로 변모하면서 기존 랜섬웨어 솔루션도 한계에 도달했다. 센티넬원 박정수 이사는 31일 eGISEC 콘퍼런스에서 현재 랜섬웨어 차단 솔루션이 가진 문제점에 대해 랜섬웨어 솔루션의 위협 가시성 부족, 알려지지 않은 랜섬웨어 탐지 불가, 자동 치료 및 복구 기능 부재, 시그니처 DB 사이즈 증가로 관리가 어렵다는 점을 지적했다.

이와 관련 박정수 이사는 “기존 솔루션은 이미 유입된 위협에 대해 탐지가 불가능하고, 랜섬웨어 유입 경로, 실행 이력 및 시스템 변경사항에 대한 가시성 확보가 불가능하다”며 “또 시그니처 기반의 한계로 알려지지 않은 랜섬웨어 탐지가 불가능하고, 자동복구가 불가능해 보안 전문가에 의해 수동으로 복구되고 포맷 및 OS를 재설치해야 한다. 이뿐만이 아니다. 시그니처 DB 사이즈의 증가로 업데이트로 인한 네트워크 부하, 시스템 리소스 소모가 증가한다”고 설명했다.

이렇듯 새로운 유형의 랜섬웨어가 지속적으로 창궐하고 있는 만큼 랜섬웨어 대응 역시 보다 지능적이고 전략적으로 변화해야 한다는 얘기다. 그렇다면 어떻게 대응해야 효과적일까? 이에 대해 박정수 이사는 실시간 파일 분석, 행위 기반 분석, EDR 등을 통한 자동화된 대응 조치를 방안으로 제시했다.

박정수 이사는 “해쉬값 기반 분석으로 파일의 해쉬값을 확인한 후, S1 Cloud에 쿼리해 동일 해쉬값을 차단해야 한다”며 “헤더 및 파일 구조 분석과 행위 기반 탐지(AI 머신 러닝), 행위의 상관관계를 분석해 대응해야 한다”고 강조했다.

이어 그는 “랜섬웨어 탐지 및 처리시간은 대응까지 수초 내 처리해야 한다. 그러기 위해선 단일 및 가벼운 에이전트, 관리자 개입 없는 자율적 운영, Windows, Mac, Linux, VDI, Cloud, Kubernetes, Docker 등 주요 프로그램을 지원해야 한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)