[데이터넷] 가장 안전한 보안은 모든 위협을 선제적으로 막는 것이지만, 다양한 보안 우회 공격을 모두 선제 차단하는 것은 불가능하다. 그래서 시스템과 네트워크에서 현재 진행중인 위협 정황을 수집해 분석하거나 침해사고 후 공격증거를 분석해 공격 전반의 시나리오를 알아내는 방법을 사용한다.

현재 진행중인 공격을 식별하려면 단말과 네트워크에서 이벤트와 로그를 모두 가져와서 연계분석해야 하며, 각 분야에 특화된 분석가가 필요하다. 보안 조직과 예산이 충분하지 않은 대부분의 조직은 계획조차 세우기 어려운 일이다.

백은광 지니언스 침해사고 분석가는 엔드포인트 탐지 및 대응(EDR) 솔루션을 이용해 실시간으로 위협 증거를 찾아 분석하고 대응함으로써 이러한 문제의 상당부분을 해결할 수 있다고 설명한다.

‘제23회 차세대 보안 비전 2024’에서 ‘EDR을 활용한 침해사고 대응’ 세션을 진행한 백은광 분석가는 “기존 침해사고 대응은 위협 증거를 수집하는데 많은 시간이 소요된다. 내부망 통신과 관련된 취약점은 별도 솔루션이 필요하며, 파일리스 공격은 분석에 제한이 있다”며 “EDR은 모든 행위를 실시간 확인하고 이상행위를 탐지·차단하며, 여러 보안 솔루션과 연동해 전체 위협을 가시화해 내부망 공격을 보다 쉽고 정확하게 분석할 수 있다”고 말했다.

랜섬웨어·이상징후 정확하게 차단

백은광 분석가는 이 세션에서 EDR을 이용한 침해사고 분석 과정에 대해 상세히 설명했다. 우선, 사고가 발생한 기기에서 부모-자식 프로세스의 연관성과 프로세스 상태 정보를 분석하며, 이 데이터를 타임라인별로 실시간 저장해 휘발성 데이터도 증거로 남겨 분석할 수 있게 한다. 여러 단말에서 발생한 침해사고의 패턴을 파악하고 시각화해 유사 공격을 선제적으로 차단할 수 있게 한다.

백 분석가는 이 세션에서 다양한 공격사례에서 EDR을 이용한 분석을 시연을 통해 보여줬다. 그 중 한글 악성파일을 이용한 랜섬웨어 공격 대응 사례를 살펴보면, 공격자가 정상적으로 보이는 한글파일에 정상적인 텍스트와 이미지, 그리고 악성 OLE를 삽입한 후, 이를 투명한 박스로 감싼다. 사용자가 이 영역을 클릭하면 악성 OLE가 실행, C2 통신을 시작한다.

EDR은 의심스러운 통신을 포착하고, 이후 행위를 추적한다. 다수의 확장자 파일을 바꾸거나 윈도우 10 복구모드를 비활성화하늩 커맨드라인이 확인되고, 다운로드 폴더에서 랜섬웨어 파일에 액세스 토큰을 전달하는 커맨드라인을 확인할 수 있었다.

섀도우 카피를 삭제하기 위한 권한상승이 일어났으며, 랜섬웨어 생성 프로세스가 발견됐다. 이 프로세스의 부모-자식 연관성을 분석한 결과, 네트워크 스캐닝으로 확인됐다. C2 통신 프로세스의 경우 기기의 감염 여부를 확인하기 위해 지속적으로 통신이 진행되는데, 이 사건에서는 분 단위로 통신이 발생해 C2 통신으로 의심됐다. 외부 파일이 다운로드 되고, 감염 PC에서 내부망 스캐닝이 진행됐다.

백 분석가는 “EDR은 단지 파일을 암호화하는 행위만으로 랜섬웨어라고 간주하고 해당 프로세스를 차단하는 것이 아니라, 여러 정황과 증거를 기반으로 정확하게 랜섬웨어와 이상징후를 탐지해 차단한다. 또한 공격이 일어나는 근본원인을 식별하고 공격 패턴을 파악해 알려준다. 이를 통해 현재 진행중인 공격을 효과적으로 차단할 뿐만 아니라 이어지는 후속공격과 유사한 공격에 의한 피해까지 막을 수 있다”고 설명했다.

데이터넷 다른기사 보기