랜섬웨어가 방어 기술을 무력화하는 기능을 지속적으로 추가하면서 지능화되고 있다. 백신 솔루션 기업들이 최선을 다해 신변종 랜섬웨어 악성코드를 탐지하고 있지만, 새로운 악성코드가 출현하는 속도를 따라잡지 못한다.
이 때문에 랜섬웨어 ‘악성코드’를 탐지·차단하는 것이 아니라, 랜섬웨어의 행위, 즉 파일을 무단으로 암호화하는 행위를 차단하는 것이 더 효과적이라는 주장도 나온다. 랜섬웨어 공격자들은 사용자 PC의 파일을 암호화한 후 돈을 요구하기 때문에, 비정상적인 파일 접근과 암호화 시도를 차단하면 공격에 실패하게 될 것이라는 설명이다.
신승목 한컴시큐어 사이버시큐리티사업팀 차장은 “하루에도 수억개씩 쏟아지는 신변종 악성코드를 모두 탐색하고 차단하는 것은 불가능하다. 공격자가 노리는 것은 ‘파일’이므로, 중요한 파일에 대한 접근과 변경을 강력하게 통제하는 것이 훨씬 효과적이다”고 말했다.
한컴시큐어가 국내에 공급하는 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 ‘디지털가디언’은 엔드포인트에서 일어나는 ‘파일’의 변경과 흐름을 추적해 비정상적인 암호화 시도나 불법적인 외부 유출을 차단한다.
신승목 차장은 “디지털가디언은 파일의 라이프사이클을 제어해 궁극적으로 지켜야 할 ‘정보’를 보호한다”며 “파일이 생성되는 시점부터 변경되고 유통되는 과정을 추적하며, 이상한 행위가 발생했을 때 포렌식 기술 등을 이용해 분석, 공격 여부를 판단한다”고 설명했다.
한컴시큐어는 디지털가디언을 ‘차세대 DLP’ 기능을 수행할 수 있는 EDR 솔루션이라고 강조한다. 이 제품은 단일 에이전트로 엔드포인트 보안과 DLP 기능을 수행한다. 스테가노그래피와 같은 파일 변조 행위까지 탐지할 수 있으며, 인/아웃바운드 행위를 모두 감시할 수 있어 중요한 파일의 불법 유출이나 C&C 통신을 차단하고 악성 페이로드의 다운로드를 차단한다.
디지털가디언의 중요 기능 중 하나인 데이터 가시성과 제어(DVNC)는 해외에서 가장 많이 사용되는 기능으로, 중요도가 높은 정보의 라이프사이클을 관리해 데이터의 행위에 대한 상세 로그를 수집하고 추적한다. 이 기능은 온프레미스로도 제공되지만 클라우드로도 사용돼 다양한 악성행위로부터 중요정보를 안전하게 보호한다.
개성 강한 EDR 솔루션, 목적 따라 도입해야
사이버 공격이 지능화되자 보안 기업들이 완벽한 선제방어는 없다고 고백하면서 이미 진행되고 있는 공격에 대응하는 ‘침입 탐지·대응’ 전략을 강조한다. 그러면서 주목받기 시작한 솔루션이 EDR이다.
대표적인 EDR 제품으로 꼽히는 카본블랙 비트나인은 화이트리스트 방식의 EDR 솔루션으로, 기존 백신 솔루션에 침입탐지 기능을 더한 엔드포인트 침입 탐지 및 위협 대응(EDTR)으로 분류된다. 이 제품은 여러개의 에이전트로 위협에 대응하기 때문에 관리 복잡성이 높고 엔드포인트 리소스 사용량이 경쟁제품보다 많다.
또 다른 EDR 솔루션인 태니엄은 자산관리 기능이 탁월한 제품으로, 국내 최대 그룹사에 공급됐다. 화이트리스트 방식으로 엔드포인트 자산을 분류하고 관리하면서 보안 기능도 수행한다.
백신 기업들도 백신에 공격 탐지 기능을 추가한 ETDR 제품을 공급하고 있으며, 악성코드의 행위를 추적하는데 초점을 맞추고 있다.
단일 에이전트로 EDR·DLP·포렌식 기능 수행
디지털가디언은 단일 에이전트를 통해 EDR과 DLP, 포렌식 감사 등의 기능을 제공하며, 필요에 따라 기능을 온오프 할 수 있다. 디지털가디언의 포렌식 감사는 법적인 증빙자료로도 사용될 수 이어 정보유출 사고에 대응할 수 있다.
신 차장은 “디지털가디언은 파일을 추적하고 감시하는 제품으로, 오탐이 적고 정확성이 높으며, 가볍고 빠르며, 엔드포인트 리소스를 적게 사용하고 충돌이 적어 관리 편의성이 높다”며 “디지털가디언은 백신을 대체하는 것이 아니라 DLP를 대체하는 제품으로 엔드포인트 보안 수준을 한차원 높일 수 있다”고 말했다.
한편 한컴시큐어는 계열사인 한컴지엠디의 포렌식 솔루션, MDS테크놀로지가 공급하는 ‘바로니스’와 연동해 공격 탐지·대응 기능을 더욱 높이고 있다.
바로니스는 문서중앙화처럼 중앙에서 관리하는 데이터의 라이프사이클을 관리하는 제품으로, 파일의 변경이력을 추적해 이상행위를 차단하고 감사에 사용할 수 있도록 한다. 주민등록번호, 기업 기밀정보 등 중요한 정보를 실시간으로 관리하고 감사증적을 남겨 보안사고시 추적할 수 있도록 한다.
신승목 차장은 “공격 방어를 위해 가장 중요한 것은 데이터를 보호하는 것”이라며 “좋은 솔루션을 도입하고 체계적인 보안 정책을 수립하는 것도 중요하지만 임직원 보안의식 교육을 통해 보안 정책을 우회하거나 무력화해 공격 취약점을 만들지 않도록 하는 것이 기본이다. 이에 더해 파일과 데이터를 관리하는 시스템으로 중요한 정보를 보호해야 한다”고 설명했다.
