워너크라이 랜섬웨어는 현재 소강상태를 보이고 있지만, 변종 공격이 발생할 가능성은 여전히 높다. 워너크라이 외의 다른 랜섬웨어도 꾸준히 공격이 진행되고 있는 만큼, 근본적인 보안 대책이 마련돼야 한다.
파이어아이코리아(대표 전수홍)는 랜섬웨어 예방법을 알리며 워너크라이 변종과 지능화되는 랜섬웨어 피해를 막을 수 있는 방법을 강구할 것을 당부했다.
랜섬웨어는 주로 피싱 이메일을 통해 조직에 침투하며, 익스플로잇, USB 드라이브, 기타 멀웨어가 포함된 매체를 통해 유포될 수도 있다. 랜섬웨어는 빠르게 실행되는데, 한 기업의 경우 감염 4분만에 3만여 개의 파일이 손상됐다. 기업 네트워크를 통해 머신에서 머신으로 확산되면서 엔드포인트 장치(PC, 노트북)와 서버를 감염시키며, 네트워크상에 있는 스토리지 매체에도 영향을 줄 수 있다.
파일이 암호화되면, 아무리 전문가라도 복호화키 없이는 복호가 불가능하다. 조직들이 이러한 공격에 대비하는 좋은 방법은 데이터를 복원할 수 있도록 정기적인 백업을 수행하는 것이다. 그러나 데이터가 실시간으로 백업되는 경우는 드물기 때문에, 일부 데이터가 손실되는 것은 불가피하다.
피싱이 성공하는 경우를 최소화하기 위한 첫 번째 접근방법은 이메일이나 웹사이트의 프로비넌스(provenance), 즉 근원 정보를 아는 것이 중요하다는 사실을 사용자들에게 교육하는 것이다. 사기성 이메일이나 웹사이트의 특성을 인지하고, 의심이 가거나 모르는 콘텐츠는 관리자나 기타 경험이 있는 직원에게 보고를 하도록 유도하는 것이 도움이 된다. 사용자들의 불량 URL 클릭을 완전히 막지는 못하겠지만, 적절한 교육은 좋은 시작 방법이다.
두 번째 보호 단계는 이미 알려져 있거나 의심스러운 URL을 스캔하는 기술을 이메일과 웹 게이트웨이에 구현하는 것이다. 이러한 해결안은 정상적인 콘텐츠를 멀웨어나 알려지지는 않은 의심스러운 사이트로부터 구분하는데 유용하다.
방어의 세 번째 계층은 엔드포인트에 기술을 설치하는 것이다. 이러한 기술은 보통 프로세스 행동을 모니터링하고 랜섬웨어의 양상을 보이는 활동을 탐지한다. 예를 들어 어떤 프로세스가 연속적으로 파일을 암호화하고 있다면 랜섬웨어일 확률이 높다.
그러나 이는 또한 데이터를 보호할 목적으로 사용되는 정상 프로세스일 가능성도 있다. 이러한 경우, 해당 프로세스는 안전한 프로세스로 화이트리스트에 포함될 수 있다. 또 다른 접근방법은 애플리케이션 제어와 관련된다. 애플리케이션 자체는 화이트리스트에 포함되지만 이 리스트에 포함되지 않았거나 블랙리스트에 포함된 애플리케이션은 실행될 수 없게 만드는 것이다.
네 번째 단계는 랜섬웨어가 실행되기 전에 이를 탐지하고 의심스러운 프로세스를 격리하거나 샌드박스 내에서 실행하는 네트워크 보안 솔루션을 사용하는 것이다. 또는 다운로드 소스나 기타 속성들로부터 랜섬웨어 프로세스의 가능성을 탐지할 수도 있다.
마지막으로, 엔드포인트에서 유사한 기술을 사용해 서버에서 의심이 가는 파일 활동을 탐지해야 한다. 이외에도, 효과적인 데이터 관리 체계에 따라 서버를 매일 또는 더 자주 백업해야 한다. 이러한 백업 계획이 랜섬웨어가 침입할 수 없는 스토리지와 연관이 되면, 랜섬웨어 방어의 중요한 단계가 될 수 있다.
이러한 모든 접근방법들은 새로운 것도, 혁신적인 것도 아니지만, 한 조직에 이 모든 것이 구현되어 있는 경우를 찾아보기는 힘들다. 이러한 기술들은 파이어아이의 최근 블로그에서 다뤄진 ‘사이버 성숙도 분석’에 세부적으로 설명이 되어 있다. 보다 성숙한 조직들은 다양한 공격에 대비해 이러한 계층화된 접근방식을 구현할 확률이 높으며, 랜섬웨어에 대한 방어를 보다 효과적으로 수행할 수 있을 것이다.
전수홍 파이어아이코리아 지사장은 “워너크라이 랜섬웨어 공격이 소강상태를 보이고 있지만 변종 랜섬웨어와 지능화된 사이버 공격의 위협은 커지고 있다”라며 “사이버 공격이 진화를 거듭하면서 기존의 보안 솔루션을 우회하고 있어, 기업 내 보안의식의 제고 뿐 아니라 선제적 위협 탐지와 대응 역량을 갖춘 인텔리전스 기반의 보안솔루션 도입이 시급하다”고 말했다.
