맞춤형 서비스로 보안 전문성 부족한 기업도 랜섬웨어 대응
[데이터넷] 랜섬웨어가 가장 위험한 사이버 공격이 되었다. 서비스형 랜섬웨어(RaaS)를 비즈니스 모델로 확실하게 정착시킨 범죄자들은 공격에 필요한 모든 작업을 분야별로 전문화해 시장을 만들고 있으며, 공격 성공률이 떨어지거나 수사당국에 의해 일부가 검거됐을 때 공격 인프라를 폐쇄한 후 다른 그룹을 만들어 활동한다. 최근 랜섬웨어 동향을 분석하고 대응 방법을 알아본다.<편집자>
공격 라이프사이클 따른 전략 필요
랜섬웨어 방어를 위해서는 전체 공격 라이프사이클에 따른 최적의 전략이 필요하다. 공격 벡터 별 사전 탐지부터 랜섬웨어의 암호화 알고리즘을 탐지하는 기술부터 Lure(Decoy) 파일에 대한 접근 감시기술, 프로세스 실시간 이상행위 탐지 등 행위 기반의 종합적 위협 탐지 기술을 지속적으로 고도화해야 한다.
이스트시큐리티는 백신 ‘알약’, EDR ‘알약 EDR’, 위협 인텔리전스 ‘쓰렛 인사이드’를 연동해 신변종 랜섬웨어 악성코드까지 효과적으로 탐지한다. 또한 문서 중앙화 솔루션 ‘시큐어디스크’로 랜섬웨어 공격 대상이 되는 문서를 보호하고, 데이터 암호화 피해를 입었다 해도 이전으로 복구할 수 있다.
이스트시큐리티는 랜섬웨어 피해가 큰 중소기업을 위한 랜섬웨어 대응 SaaS 서비스를 출시하고, 클라우드 기반 월 과금 형태의 문서중앙화 서비스로 데이터를 보호하도록 한다.
랜섬웨어 유입에 가장 많이 사용되는 악성 첨부파일을 차단하는 기술도 주목받고 있다. 시큐레터의 MARS 플랫폼은 리버스 엔지니어링 기술로 문서와 같은 비실행형 파일에 숨은 악성코드 트리거를 찾아 분석하고 확실한 위협일 때 제거하는 방법으로 랜섬웨어·APT를 정확하게 차단한다. 의심스러운 파일만 분석하기 때문에 업무에 지장을 주지 않으며, 샌드박스와 같이 악성코드를 실행한 후 반응을 보는 시간이 없기 때문에 실시간 위협 방어가 가능하다.
문서보안 결합한 랜섬웨어 대응
랜섬웨어 대응을 위한 기본 기술은 ▲데이터 백업 ▲암호화 시 경고 알림 ▲IO 모니터링을 통한 랜섬웨어 행위 탐지, 파일 접근 권한 차단 ▲확장자 시그니처 탐지 등이 있다. 그러나 이러한 기술은 쉽게 우회할 수 있으며, 보안 담당자의 지식 수준에 따라 적절하게 대응하지 못할 수 있다.
지란지교시큐리티의 경우, 이메일 보안, 콘텐츠 무해화(CDR), 문서중앙화, 위협 인텔리전스, 악성메일 모의훈련 등 여러 기술과 서비스를 결합해 랜섬웨어 공격에 대응할 수 있게 한다.
지란지교시큐리티는 이메일 보안 솔루션 ‘스팸스나이퍼’와 외부 유입 문서에서 공격에 악용될 수 있는 액티브 콘텐츠를 사전에 제거하는 CDR ‘새니톡스’, 문서중앙화 ‘다큐원’을 공급하며, SDK로도 제공하는 글로벌 위협 인텔리전스 사이렌을 연동해 신·변종 위협에 신속하게 대응하도록 한다.
지란지교시큐리티는 새니톡스의 랜섬웨어 대응 기술이 여러 조직에 도입돼 의미있는 성공사례를 확보하고 있다고 설명했다. 공공기관 웹사이트 게시판에 새니톡스를 구축해 업·다운로드 문서를 무해화하고, 민원인과 담당 공무원이 안전하게 업무를 할 수 있도록 하는 등의 활용 사례가 공개되고 있다.
새니톡스를 도입한 한 공공기관은 코로나19 생활 지원비 신청 시 필요한 증빙서류 문서와 기타 대외 접점에서 유입되는 불특정 다수의 문서파일의 감염 예방 효과를 거뒀다고 평가했다. 금융기관의 경우, 사회공학기법을 적용한 악성 첨부파일로 인한 위협을 제거하고, 랜섬웨어 방어 및 개인·금융정보 보안을 강화했다.
윤두식 지란지교시큐리티 대표는 “랜섬웨어는 하나의 기술만으로 막을 수 없으며, 여러 보안 기술과 정책이 적절하게 결합되어야 한다”며 “지란지교시큐리티는 새니톡스, 스팸스나이퍼, 다큐원을 연계해 통합 랜섬웨어 차단 솔루션으로 발전시키며, 악성메일 훈련 솔루션 머드픽스와도 연계해 지능적인 랜섬웨어 공격으로부터 고객을 보호하고 있다”고 말했다.
협력업체까지 통합한 보안 모니터링 필수
랜섬웨어는 사람의 습관이나 사회적인 이슈를 교묘 하게 악용하기 때문에, 체계적인 서비스가 결합된 다차원 방어체계가 필요하다. 따라서 기업 내 구축된 시스템의 취약점을 주기적으로 진단해 초기 공격 유입 경로를 차단하며, 기업 내부뿐만 아니라 협력업체에서 보유하고 있는 보안·운영 솔루션에 대한 점검이 필요 하다.
SK쉴더스는 기존 보안 기술에 더해 EDR을 이용해 행위 기반 탐지·차단 체계를 강화하며, 24시간 365일 보안관제, 다크웹 모니터링 등이 필요하다고 밝혔다. 특히 최근 공격이 집중되는 VPN 취약점, 웹 방화벽 취약점을 스캔해 제거하며, 계정·접근권한 통제로 정상 사용자로 위장하는 공격을 차단해야 한다고 강조했다.
SK쉴더스는 맞춤형 모의해킹, 랜섬웨어 대응 전용 서비스 ‘사이버가드’, 사고대응 및 복구 서비스를 지원하며, 자체 랜섬웨어 위협 진단 툴을 보유하고 있어 PC나 서버가 랜섬웨어에 노출되어 있는지 쉽고 빠르게 점검한다. 해킹 사고 발생 시에는 랜섬웨어 대응 프로세스에 따라 SK쉴더스가 원인 분석, 솔루션 도입, 피해 복구, 법적 대응, 보험 가입 등의 서비스를 기업 환경에 맞춤형으로 지원한다.
SK쉴더스는 맨디언트, 트렌드마이크로, 지니언스, S2W, 베리타스, 법무법인 화우, 캐롯손해보험 등고 함께 랜섬웨어 민간 공동대응체계 ‘KARA’를 운영하고 있으며, 24시간 365 일 대응가능한 ‘랜섬웨어 대응센터’ 지원과 랜섬웨어 기술 정보 제공, 모의훈련, 자가점검 도구를 제공한다.
KISA 랜섬웨어 방어 고려사항
- 기업 내부자산의 재점검·분류를 통해 불필요한 자산과 시스템을 폐기, 기업 운영에 필수적으로 보호해야 하는 자산에 초점을 맞춰 대응범위를 축소해야 한다.
- 중요 자산의 기밀성과 무결성, 가용성을 보장할 수 있도록 선별된 자산에 대한 보안시스템과 백업시스템을 구축하여 가시성을 확보해야 한다. 도입한 보안시스템·백업시스템에 대해서도 보안성을 유지해야 한다.
- 공격자는 보안시스템에 대한 방어자의 신뢰를 역이용, 취약점을 악용하기 때문에 보안시스템으로의 무한한 신뢰는 지양해야 한다.
- 사업 및 경영부서의 요청으로 인해 보안정책이 위배되기 손쉬우나, 공격자는 완화된 보안정책을 비틀어 침투하기 때문에, 타협을 통해 완화된 보안정책은 추가적인 대응 방안을 마련해야 한다.
- 단순 모니터링만으로는 고도화되고 있는 공격에 대응할 수 없기 때문에, 차세대 모니터링 대응체계(탐지, 분석, 패치 등)를 구축하고 운영해야 한다.
(자료: 한국인터넷진흥원)
