> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[랜섬웨어⑥] ‘백신 무용론’은 틀렸다
랜섬웨어도 결국은 ‘악성코드’…다단계 탐지 엔진 통해 진화하는 악성코드 탐지
     관련기사
  [랜섬웨어①] 랜섬웨어, 기업 데이터 표적 공격 진행
  [랜섬웨어②] 데이터 집중된 클라우드 ‘위험’
  [랜섬웨어③] 막히면 ‘돌아 들어가는’ 신종 공격
  [랜섬웨어④] 피해자 돈 줄 수록 공격 늘어
  시만텍, SMB 위한 랜섬웨어 대응 솔루션 출시
  [랜섬웨어⑤] 랜섬웨어 프로세스 차단해 원천 방어
2016년 09월 28일 10:16:36 김선애 기자 iyamm@datanet.co.kr

랜섬웨어는 개인과 기업에게 모두 위협적인 사이버 공격이 되고 있다. 랜섬웨어는 APT 공격 기법을 결합하면서 지능화되고 있는데, 사회공학적 기법을 이용해 사용자를 유인하고, 방어 기술을 지능적으로 우회해 기존 방어 시스템으로 막을 수 없게 만든다. 랜섬웨어의 역사와 최근 공격기법을 알아본다. <편집자>

백신 솔루션의 랜섬웨어 차단 정책 ‘다단계 탐지’

랜섬웨어 프로세스를 탐지해 차단하는 것은 매우 효과적이고 확실한 방법이기는 하지만, 악성 프로세스 여부를 가리는 것이 쉽지 않다. 최근 랜섬웨어는 윈도우가 기본적으로 동작하는 프로세스에 삽입돼 이상 프로세스를 탐지하기 어렵게 만든다. 또한 정상적인 업무 프로세스를 일일이 등록하거나 예외처리 하는 것도 쉽지 않은 일이다. 차단 방식을 알게 된 공격자들이 이를 우회하는 악성코드를 만들어 배포하는 것은 매우 쉬워 우회가능성이 높다.

랜섬웨어도 다른 악성코드와 마찬가지로 멀티벡터 방어 전략이 필요하다. 백신 솔루션 기업들이 랜섬웨어를 막는 방법으로 제안하는 것으로, 시그니처 방식 외에 평판분석기술, 행위분석 기술, 악성 URL 차단 기술, 위협 인텔리전스 등을 이용해 신변종 악성코드를 지능적으로 차단한다.

   
▲랜섬웨어 차단을 위해서는 침투-감염-외부 C&C 통신-파일 암호화로 이어지는 단계별로 차단 기술을 적용해야 한다.(자료: 시만텍)

시그니처에만 의존하는 백신은 신종 랜섬웨어를 막지 못한다. 많은 랜섬웨어 악성코드가 짧은 기간만 활동하기 때문이다. 최근 백신은 복합엔진을 사용해 악성코드를 지능적으로 찾아내 신종 악성코드 탐지율이 높은 편이다.

윤광택 시만텍코리아 CTO는 “랜섬웨어는 다른 사이버 공격과 마찬가지로 악성코드를 이용해 진행되기 때문에, 기존의 악성코드 탐지·차단 기술로 막을 수 있다. 다만 시그니처만으로 차단하는 전통적인 방식이 아니라, 단계별 차단 엔진과 지능형 공격 방어 전략으로 차단해야 한다”며 “통합엔드포인트 보안 전략이 필수”라고 강조했다.

알려진 악성코드 차단한 후 신변종 탐지

랜섬웨어 차단을 위해서는 가장 먼저 알려진 악성코드를 차단하며, 이는 백신의 시그니처를 통해 대응한다. 알려진 유해사이트 접속을 차단하고, 스팸메일, 피싱 사이트를 차단해 위협 수준을 낮춘다. 새로운 실행파일이 유입됐을 때 평판정보를 확인해 평판점수가 낮으면 격리하며, 샌드박스에서 실행시켜 의심 행위가 일어나는지 살펴본다.

랜섬웨어 악성코드 중에서는 여러차례 암호화하고 난독화해 샌드박스 분석을 우회하는 경우가 있는데, 이처럼 정교하게 설계된 악성코드도 분석할 수 있는 기술을 갖춰야 한다. 나아가 머신러닝 기술을 사용해 프로세스의 악성행위를 학습하고 차단하도록 하며, 의심스러운 외부 C&C 통신을 차단하고, 허용되지 않은 문서 파일 접근 통제, 변경 차단 등의 문서 권한관리 기술도 적용한다.

더불어 이메일에 첨부된 문서의 악성코드가 있는지 확인하고 매크로 실행을 차단하는 한편, 문서 재조합 기술과 이미지화 혹은 PDF 변경으로 악성코드가 실행될 수 있는 환경을 제거한다.

엔드포인트부터 웹·이메일까지 보호

시만텍은 사이버 공격 방어를 위한 ‘시만텍 ATP’ 솔루션으로 랜섬웨어 종합 방어 체계를 제공한다. 이 제품은 엔드포인트와 네트워크, 이메일 게이트웨이를 통합해 단일 콘솔에서 위협을 탐지하고 대응한다.

상관관계 분석 기술인 ‘시냅스’가 탑재돼 엔드포인트, 네트워크, 이메일의 전체 컨트롤 포인트에서 발생하는 보안 이벤트 정보에 대한 상관관계를 분석해 보여주고, 즉각적으로 대응해야 할 위협의 우선순위를 알려준다.

평판분석 기술 ‘인사이트’, 클라우드 기반 샌드박싱 기술인 ‘시닉’ 행동기반 탐지엔진 ‘소나’, 머신러닝 기술 ‘사피언트’ 안티바이러스 엔진을 이용해 악성코드를 제거한다.

통합 엔드포인트 보안 플랫폼 ‘시만텍 엔드포인트 프로텍션(SEP)’은 네트워크 분석, 파일 분석, 평판 분석, 행동 분석, 화이트리스팅 등 다계층 보호 기능을 이용해 지능적으로 진행되는 표적 공격과 랜섬웨어 등을 효과적으로 차단한다. 엔드포인트 방화벽과 IPS를 제공하며 글로벌 위협 인텔리전스 ‘GIN’에서 발견하는 새로운 위협 정보를 공유해 신변종 악성코드에 대응한다.

이메일을 통해 진행되는 지능형 공격은 클라우드 기반 이메일 보안 서비스 ‘시만텍 이메일 시큐리티 닷 클라우드’로 대응할 수 있다. 인/아웃바운드 메일 통제가 가능하며, 알려진/알려지지 않은 위협을 제거하고 내부정보 유출을 방지한다.

한편 시만텍은 중소기업을 위한 클라우드 기반 통합 엔드포인트 보안 솔루션 ‘시만텍 엔드포인트 프로텍션 클라우드(SEP 클라우드)’를 출시했다. SEP클라우드는 1000명 미만의 중소·중견기업에 최적화됐으며, 표적공격과 랜섬웨어 대응 기술을 탑재한 엔터프라이즈 급의 강력한 보안을 제공한다.

킬체인 의거한 공격 방어 전략 필요

유럽의 백신 솔루션 ‘이셋’은 안티바이러스 본연의 역할에 충실한 제품으로 호평을 받고 있다. 이셋 역시 ‘랜섬웨어가 악성코드를 통해 진행된다’는 점을 강조하며, 악성코드의 지능적인 차단으로 랜섬웨어를 막을 수 있다고 강조한다.

김남욱 이셋코리아 대표는 “랜섬웨어가 문서를 암호화하는 행위는 일반적으로 널리 사용하는 행위이므로, 암호화 시도를 감시하는 것만으로는 오탐이나 우회 가능성이 높다. 또한 모든 문서 파일을 실시간 감시해야 해 시스템 부하가 발생할 수 밖에 없다. 또한 프로세스 차단 행위 기반 솔루션이 널리 사용된다면, 이를 우회하는 악성코드가 나올 것”이라고 말했다.

이셋은 지난해 ‘엔드포인트 시큐리티 V6’를 출시하고 새로운 악성코드에 대응한다. 이 제품은 아키텍처부터 새롭게 설계해 개발한 제품으로, 최신 공격 대응에 최적화 돼 있다. 이 제품은 전통적인 시그니처 기반 안티바이러스 기능과 함께 실행중인 프로세스 검사를 위한 메모리 스캐너, 클라우드를 이용한 평판분석, 봇넷 차단 등 킬체인 전략에 의거한 방어를 제공한다.

나아가 메일 필터링으로 드로퍼·실행파일 첨부 메일 수신을 차단하고, 자바스크립트/파워쉘 스크립트 실행을 통한 인터넷 접근을 차단하며 드로퍼에 의한 추가 코드 다운로드를 차단한다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  랜섬웨어, APT, 공격, 사이버 공격, 사이버 보안, 인질, 데이터, 데이터 보안, 암호화
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr