랜섬웨어가 더 강력해져서 돌아왔다. APT 기법을 적용해 타깃 사용자에게 정교하게 맞춘 공격 방식을 택하고 있으며, IoT와 산업제어시설을 노려 심각한 피해를 입힐 수 있게 한다. 서비스형 랜서웨어(RaaS), 오픈소스 랜섬웨어가 등장하면서 누구나 쉽게 공격을 할 수 있는 환경이 조성됐으며, 비트코인과 같은 암호화 화폐가 다양하게 나오고 있어 돈세탁과 추적 방지도 쉬워졌다. 새로운 국면을 맞은 랜섬웨어 공격 동향을 살펴본다.<편집자>
공격 일어나기 전 랜섬웨어 차단해야
랜섬웨어 공격방식 자체는 다른 사이버공격과 차이를 보이지 않는다. 타깃에 맞춰 공격도구를 개발하고, 취약점을 찾아 침투하며, C&C 서버와 통신해 페이로드를 내려 받아 공격을 개시한다.
다른 공격과의 차이라면, 일반적인 공격은 감염 후 목표 시스템으로 이동하고 권한을 탈취하고 데이터를 수집해 유출하기까지 길고 복잡한 과정을 거쳐야 하지만, 랜섬웨어는 감염 즉시 파일을 암호화하고 비트코인을 요구한다. 공격시간이 짧고 빠르게 돈을 받고 숨을 수 있어 추적을 피하기도 용이하다.
랜섬웨어는 공격이 일어나기 전에 차단하는 것이 가장 빠르고 효과적인 방법이다. 감염되면 즉시 공격이 시작되기 때문엔 공격이 진행되는 도중 혹은 진행된 후 탐지하고 대응하는 방식은 랜섬웨어로부터 데이터를 안전하게 지켜주지 못한다.
랜섬웨어는 엔드포인트를 통해 감염되기 때문에 통합엔드포인트 보안플랫폼(EPP)을 공급하는 기업들이 가장 앞장서서 랜섬웨어 차단 기능을 강조한다. 시그니처 기반 안티바이러스 기술 뿐만 아니라 엔드포인트 행위분석 기술, 평판분석 기술, 머신러닝 및 휴리스틱 기술, 클라우드 기반 샌드박스와 위협 인텔리전스 등을 이용해 APT 방어 기법과 같은 방식으로 랜섬웨어를 차단한다.
시만텍의 ‘ATP(Advanced Threat Protection)’는 단일 콘솔에서 모든 IT 환경의 보안위협을 탐지하는 솔루션으로, 시만텍 엔드포인트 프로텍션(SEP)의 엔드포인트 보안 기술과 이메일, 웹, 네트워크, 클라우드까지 보호하는 기술을 통합했다. 또한 블루코트의 보안웹게이트웨이(SWG) 및 멀웨어 분석 어플라이언스(MAA)를 통합·연계해 알려지지 않은 위협 차단과 웹을 통한 위협 차단, 암호화 트래픽에 숨은 공격 탐지·차단을 제공한다.
최재우 시만텍코리아 이사는 “랜섬웨어는 이메일을 통해 진행되는 사례가 많아 시만텍의 이메일 보안 솔루션과 서비스 수요가 늘어나고 있다. 시만텍의 이메일 보안 솔루션 뿐 아니라 클라우드를 통해 제공되는 ‘이메일 시큐리티 닷 클라우드’ 수요도 크게 늘고 있다. 국내 대표적인 게임사, 제조사 등에서 사용하고 있으며, POC 기간에도 많은 랜섬웨어를 차단해 도입 속도를 빠르게 하고 있다”고 말했다.
랜섬웨어 행위 지능적으로 탐지·차단
맥아피(구 인텔시큐리티)는 올해 엔드포인트 보안 플랫폼을 새롭게 개편하고 랜섬웨어, APT 등 새로운 위협에 보다 지능적으로 대응하고 있다. 맥아피 ‘엔드포인트 시큐리티(ENS)’에 포함된 신기술 중 ‘동적 애플리케이션 봉쇄(DAC)’는 랜섬웨어의 동적 행위를 정책으로 구성하고 이와 유사한 형태로 실행되는 행위를 차단한다.
사전에 정의되지 않은 공격은 머신러닝 기술 ‘리얼 프로텍트’를 이용해 탐지하는데, 랜섬웨어 행위 동작을 학습시켜 자동으로 차단한다. 맥아피 웹게이트웨이와 연동해 웹·이메일, 암호화 트래픽에 숨은 공격까지 차단할 수 있다.
김수영 한국맥아피 이사는 “ENS는 진화된 랜섬웨어부터 APT 공격까지 대비하는 동적 통합 플랫폼으로, 하나의 콘솔에서 오케스트레이션이 가능하고, 웹컨트롤, 방화벽, 위협방어 기능도 제공한다”며 “모든 솔루션이 하나의 패쇄된 루프처럼 유기적으로 연결되어 동작해 실제 공격을 자동으로 탐지·차단한다”고 설명했다.
유럽의 엔드포인트 보안 솔루션 기업 이셋은 랜섬웨어도 악성코드의 하나로, 대응 방법이 다른 사이버 공격과 다르지 않다고 강조한다. 이셋의 엔드포인트 보안 솔루션은 정적·동적 시그니처, HIPS, 메모리 스태너, 웹 필터링, 스트립트 필터링, 브라우저 보호, 봇넷 차단 등 다양한 악성코드 유입 및 실행 탐지 기능을 통해 랜섬웨어의 유입을 차단한다. 또한 라이브그리드 클라우드 평판 시스템으로 다수 파일을 암호화 할 때 경고하거나 차단한다.
다단계 방어로 랜섬웨어 원천봉쇄
포티넷은 포티샌드박스, 포티클라이언트, 차세대 방화벽 등 보안 솔루션을 통해 랜섬웨어를 차단할 뿐 아니라, ICS/SCADA를 노리는 공격도 차단할 수 있는 산업시스템용 차세대 방화벽을 공급하고 있다. 포티게이트 산업시스템용 차세대 방화벽은 산업시스템에서 범용적으로 사용하는 프로토콜을 인식할 수 있는 애플리케이션 컨트롤과 IPS 시그니처(DB)를 탑재하고 있다.
또한 포티샌드박스는 해커가 SCADA 네트워크 테스트 서비스를 통해 개발한 제로데이 멀웨어를 SCADA 내부에 침투시켜도 샌드박스 내 탑재된 VM에서 행위기반으로 탐지해주고 그것에 맞는 시그니처를 자동으로 생성해주기 때문에 반복적으로 이어지는 공격을 막을 수 있다.
팔로알토네트웍스는 ‘와일드파이어’와 ‘오토포커스’의 글로벌 위협 인텔리전스를 엔드포인트 보안 솔루션 ‘트랩스’, 차세대 방화벽 ‘PA시리즈’와 연계해 신변종 랜섬웨어를 차단한다. 의심파일이 유입되면 와일드파이어에서 분석해 시그니처를 만들어 차세대 방화벽과 트랩스로 배포하는데까지 단 5분 내에 이뤄지며, 동종업계에서 발생한 악성코드 DB를 제공하는 오토포커스를 이용해 악성코드 차단 효율성을 높일 수 있다.
시스코의 랜섬웨어 차단 방법은 ‘엄브렐러(Umbrella)’를 이용해 PC가 랜섬웨어에 연결되기 전에 DNS 요청을 막고, ‘엔드포인트 AMP’고 악성파일·악성URL을 차단한다. 파이어파워 차세대 방화벽과 통합 샌드박스로 알려진/알려지지 않은 위협을 탐지·차단하며, 애플리케이션 액세스 보안을 제공하는 ‘ISE’로 랜섬웨어 확산을 차단한다. 이같은 통합 아키텍처 접근 방식을 통해 위협 탐지시간을 단축하고 피해를 예방할 수 있다.
