Home > 전체기사

2021년 가장 큰 보안위협 랜섬웨어 공격, 이젠 꼼짝마!

  |  입력 : 2021-01-01 15:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안전문 업체들의 랜섬웨어 대응 솔루션과 보안전략은?
랜섬웨어 위협에 대응하기 위해 기업은 다각적인 보안대책 마련 필요


[보안뉴스 이상우 기자] 랜섬웨어 공격은 지난해는 물론, 2021년에도 가장 큰 보안위협으로 꼽힌다. 전 세계 다양한 산업 분야에서 실질적인 피해가 발생했으며, 데이터베이스가 마비돼 오프라인 매장이 영업이 중단되기도 했다. 이 뿐만 아니다. 시스템 마비로 응급환자를 받을 수 없었던 병원은 환자를 다른 병원으로 이송하는 중 사망하는 등 사이버 공격인 랜섬웨어로 인해 현실세계의 위협 역시 가속화되고 있다.

[이미지=utoimage]


특히, 최근 사이버 공격 조직은 과거와 달리 특정 표적을 장기간 노려 정보를 유출하고 결정적인 순간 암호화 공격을 한 뒤, 유출한 정보를 통해 피해 기업을 협상 테이블로 유도하는 등 지능형 지속 위협 형태로 진화하고 있다.

이러한 공격에 대응하기 위해서는 기존처럼 한 가지 대응방법에만 의존하는 것이 아닌, 다양한 형태의 솔루션을 통해 종합적인 보호 및 유출 방지 대책을 세워야 한다. 그렇다면 국내 보안 기업은 어떤 형태의 솔루션과 전략을 제공하고 있을까?

다차원 분석 플랫폼으로 보안위협에 대응, 안랩
안랩은 자사의 주요 솔루션에 랜섬웨어 대응 특화 기능을 적용했다. 안랩 V3는 악성코드 통합 분석 및 대응 시스템 ‘다차원 분석 플랫폼’으로 다양한 보안위협에 대응한다. 다차원 분석 플랫폼은 △URL 및 IP 기반 탐지 △클라우드 기반 탐지 △시그니처 기반 탐지 △평판 기반 탐지 △행위 기반 탐지 △능동적 위협관리 액티브 디펜스(Active Defense) 등 다양한 분석 기술을 집약해 보안위협을 다각도로 분석하고 사전 대응하는 위협 탐지 및 대응 기술이다.

또한, 클라우드 기반 악성코드 위협 분석 및 대응기술인 ‘ASD(AhnLab Smart Defense)’는 분류한 랜섬웨어 의심파일을 별도의 가상 공간에 격리해 한 차례 더 검사하는 ‘랜섬웨어 정밀검사’ 기능을 제공한다. 미끼 파일로 랜섬웨어를 유인하는 ‘디코이(Decoy)’ 기술, 랜섬웨어 감염 시 특정 폴더를 보호하는 ‘랜섬웨어 보안폴더’ 등 랜섬웨어 대응 특화 기능을 갖추고 있다.

안랩은 악성코드 고유의 특성을 파악해 다양한 신·변종 악성코드를 진단하는 ‘TS(Total Security)엔진’ 등 자체 개발한 악성코드 탐지·분석 엔진으로 랜섬웨어에 대응할 수 있다. 지능협 보안 위협 대응 솔루션 ‘AhnLab MDS’는 신·변종 랜섬웨어나 기타 악성코드의 실행을 보류해 가상환경에 분석하는 ‘실행 보류(execution holding)’ 기능 등으로 랜섬웨어에 대응하고 있으며, 이러한 종합적인 기능을 통해 랜섬웨어, 신·변종 랜섬웨어에 다계층 대응이 가능하다는 설명이다.

앞으로도 공격자는 수익 극대화를 위해 영역을 가리지 않고 공격을 전개할 것으로 예상되므로 각별한 주의가 필요하다고 안랩은 강조한다. 기업 보안관리자는 현재 운영하고 있는 보안 인프라 및 방어 체계를 꼼꼼히 점검해야 한다는 것. 이와 함께 사용자는 △출처가 불분명한 메일의 첨부파일 실행 자제 △‘알려진 파일형식의 확장명 숨기기’ 설정 해제 △안정성이 확인되지 않은 웹사이트 방문 자제 △운영체제 및 인터넷 브라우저, 응용프로그램, 오피스 등 프로그램의 최신 보안 패치 적용 △최신 버전 백신 사용 △중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 지키는 것이 중요하다고 설명했다.

[이미지=utoimage]


인공지능 기반 엔진으로 위협 행위 사전 탐지, 이스트소프트
이스트시큐리티는 알약, 알약 EDR, 쓰렛인사이드(Threat Inside) 등을 통해 전방위적인 랜섬웨어 대응 전략으로 사용자를 보호한다. 이스트시큐리티 측은 “랜섬웨어 위협도 결국 특정 목적을 가진 ‘사람’이 제작한다. 마찬가지로 공격에 활용된 랜섬웨어를 분석하고 정체를 밝히며 대응책을 도출하는 작업 역시 ‘사람’이 하는 일이다. 따라서 랜섬웨어 대응에는 데이터 보호에서 의심 행위의 사전 차단, 위협의 상세한 분석과 실효적 대응책까지 전방위적인 보안이 필요하다”고 말했다.

알약은 악성 파일과 알려진 이상 행위를 감지해 차단하며, 알약 EDR에서는 알려지지 않은 랜섬웨어의 의심 행위를 앞서 차단한다. 또한, 알약 EDR은 이스트시큐리티의 위협 인텔리전스 솔루션 쓰렛인사이드와 연동하며, 여기서 분석한 정보는 알약 EDR을 통해 이스트시큐리티의 엔드포인트 제품군에 반영해 신·변종 랜섬웨어를 차단한다.

이스트시큐리티에 따르면 개인용·기업용 보안 소프트웨어인 알약의 랜섬웨어 차단 기능은 지난 2015년 대규모로 발생한 랜섬웨어 공격을 차단한 바 있다. 백신 프로그램에 내장한 랜섬웨어 차단 기능으로 사용자의 컴퓨터를 보호해 왔으며, 해당 차단 기능에 기반이 된 기술은 특허 출원 과정을 거쳐 지난 2017년에 특허(특허10-1710918호)로 등록되기도 했다. 이러한 기술을 기반으로 최근 4년간 랜섬웨어 행위 차단 건수는 누적850만 건에 달하며, 해당 기술은 알약과 타사의 여러 백신 프로그램에 랜섬웨어 피해 예방을 위해 적용 중이다.

신·변종 랜섬웨어 분류에 특화된 쓰렛인사이드의 ‘딥코어(Deep Core)’ 엔진 역시 강점이라고 설명했다. 수년간 개인용 백신을 공급하며 수집한 악성코드 데이터를 바탕으로 딥러닝 기반 인공지능 탐지 엔진을 자체 개발했다. 이 밖에도 문서에 대한 보안 솔루션, 파일관리 시스템 기술을 통해 문서를 복구하고 업무 손실을 최소화할 수 있다는 설명이다.

이스트시큐리티는 최근 증가하고 있는 표적형 랜섬웨어 공격에 대해 지속적인 모니터링을 통한 공격 패턴 숙지가 필요하다고 말했다. 또한, 데이터 암호화와 함께 이뤄지는 유출을 통한 이중협박 전략에 대응하기 위해 기업 보안담당자는 민감한 고객 개인정보 및 기업 기밀을 안전한 보안솔루션을 사용하여 관리 및 보관해야 하고, 정책에 따라 유출 우려가 있는 정보는 신속히 파기하거나 최소한의 정보만 수집하는 것을 원칙으로 삼아야 한다고 강조했다.

화이트리스트 기반으로 인증된 소프트웨어만 접근 허용, 위젯누리
위젯누리는 화이트리스트 기반 소프트웨어 인증 및 암호화 행위 탐지·차단 기능을 제공한다. 위협 행위 기반이 아닌 인증된 소프트웨어를 통해 랜섬웨어를 탐지할 수 있는 것이 특징이다. 소프트웨어 인증을 사용해 운영체제에서 소프트웨어가 실행될 때, 정적·동적 분석으로 신뢰도를 평가한 후, 중요 자료에 대한 접근을 허용한다. 이를 통해 알 수 없는 소프트웨어와 악성 소프트웨어는 중요 자료에 접근하는 것을 사전에 차단할 수 있다는 설명이다.

위젯누리는 기존 보안 솔루션이 위험도를 판단하는 것과 달리, 우리 방식은 소프트웨어의 신뢰성을 판단한다. 이유는 이미 실행되고 있는 악성행위보다 그 ‘주체’에 대한 세밀한 분석이 필요하기 때문이다. 신뢰성 분석을 통해 수집된 화이트리스트는 중앙관리 매니저를 통해 효율적으로 관리하고 배포 할 수 있다. 이를 통해 인증된 프로세스만 감시하기 때문에 PC의 리소스가 적게 소모 되는 장점도 있다는 설명이다.

최근 증가하고 있는 표적형 랜섬웨어 공격에 대해서는 3단계에 이르는 다계층 방어를 통해 대응할 수 있다고 설명했다. 1단계는 소프트웨어 인증이며, 2단계는 함정파일 탐지, 3단계는 행위 탐지다. 소프트웨어 인증은 소프트웨어 실행 시 자동으로 신뢰성을 검증하여 중요 자료 접근을 허용 또는 거부하며, 화이트리스트 기반으로 랜섬웨어로부터 파일이 감염되기 전 사전 차단할 수 있는 기술이다.

함정 파일 탐지는 랜섬웨어와 같은 악성 소프트웨어만 접근할 수 있는 함정 파일을 생성하여 랜섬웨어 행위로 인해 함정 파일 접근 시 즉시 차단한다. 행위 감시는 파일 변조 및 암호화 행위를 감시하며, 불법적인 파일 삭제 및 파일명 변경, 시작프로그램 및 스케쥴 등록을 감시한다.

위젯누리는 “랜섬웨어에 피해를 입었을 때 회사 자체적으로 대응하기 보다는 사이버수사대와 한국인터넷진흥원(KISA)에 피해 사실을 알리는 것과 동시에 TF팀을 구성해 수사를 협조하고, 고객들에게 피해 사실을 알려 고객들이 하루빨리 2차 피해에 대비할 수 있도록 준비해야 한다”고 강조했다.

[이미지=utoimage]


암호화 행위 탐지 및 차단, 누리랩
누리랩은 암호화 행위 탐지 및 차단을 통한 랜섬웨어 공격 대응 솔루션을 제공한다. 암호화 행위를 분석해 랜섬웨어가 작동하는 것을 인지할 수 있기에, 새로운 유형이나 변종 랜섬웨어에도 대응할 수 있다는 설명이다. 또한, 암호화 행위가 탐지되는 시점에 해당 파일을 자동으로 백업하고, 랜섬웨어 차단 후 복원할 수 있다.

또한, 랜섬웨어가 주로 유입되는 경로인 ‘다운로드’ 폴더에서 일반 파일 및 압축 파일, 문서 파일 등에 대해 콘텐츠 무해화 처리 기능을 제공한다. 서버 단에서는 랜섬웨어 공격으로부터 접근통제를 통해 데이터베이스 등 주요 대용량 파일을 보호할 수 있으며, 원격지 PC로부터 서버와 공유된 파일 및 폴더에 대한 데이터 보호 기능도 갖췄다. 이 밖에도 부득이하게 지원이 종료된 구형 운영체제(윈도우XP, 윈도우 서버2003)를 사용하는 기업을 위해 해당 운영체제까지 지원하고 있다.

누리랩은 “한국인터넷진흥원이 2018년 발표한 자료에 따르면 표적 공격중 91% 이상이 이메일에서 시작되고, 악성 이메일의 94%가 첨부파일을 가지고 있다. 특히, 표적형 랜섬웨어 공격을 위한 파일은 공공기관 사칭, 이력서, 거래명세서 등을 위장한 비정형 문서 파일이 많다”며, “이에 대응하기 위해서는 기본적으로 메일보안 솔루션이 필요하다. 누리랩 NAR 솔루션은 엔드포인트 시스템으로 유입되는 표적 공격 및 알려지지 않은 신·변종 랜섬웨어 공격을 방지하기 위해 문서에 포함된 악성 매크로, 자바 스크립트, OLE 개체, CVE exploit 등의 위협요소를 제거하고 재구성(CDR)하는 위협방지 기술을 탑재했으며, 암호화 행위 분석 및 탐지를 통해 랜섬웨어 공격에 대응할 수 있다”고 말했다.

또한, “최근 랜섬웨어 공격과 함께 병행하는 정보유츨에 대해서 백업만 수행하는 것은 완벽한 답이 되기 어렵다. 따라서 기업은 주요 정보자산을 식별하고, 기술적·관리적 보호조치를 강화해야 한다. 네트워크/서버/엔드포인트 등 각 요소별 보안을 융합한 대책을 실현해야 한다. 뿐만 아니라 지속적인 보안교육을 통해 임직원의 보안의식 제고를 위한 관리 역시 필요하다”고 덧붙였다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비