랜섬웨어는 개인과 기업에게 모두 위협적인 사이버 공격이 되고 있다. 랜섬웨어는 APT 공격 기법을 결합하면서 지능화되고 있는데, 사회공학적 기법을 이용해 사용자를 유인하고, 방어 기술을 지능적으로 우회해 기존 방어 시스템으로 막을 수 없게 만든다. 랜섬웨어의 역사와 최근 공격기법을 알아본다. <편집자>
EDR 행위분석 기능으로 랜섬웨어 차단
엔드포인트 보안 분야에서 백신을 보완하기 위해 제안되는 EDR 솔루션도 랜섬웨어에 대응할 수 이는 기술을 제공한다. EDR이 엔드포인트에서 발생하는 행위를 분석해 이상행위를 차단하므로, 무작위로 파일을 암호화하는 시도를 차단할 수 있다는 설명이다.
EMC RSA의 EDR 솔루션 ‘넷위트니스 엔드포인트(구 ECAT)’는 커널단에서 동작해 OS에 종속되지 않고 다른 PC 보안 모듈과 충돌 없이 PC 이상행위를 탐지한다. 메모리의 프로세스를 분석해 PC 부하 없이 빠르게 이상행위를 탐지한다.
넷위트니스 엔드포인트는 메모리 프로세스와 실제 디스크의 프로세스를 비교해 이상행위를 분석하며, 새로운 혹은 알려지지 않은 파일이 다운로드 되는 것을 확인해 C&C 서버에서 악성코드가 페이로드 되는 것을 차단한다. 시그니처 없이 행위만을 분석하며, 침해지표(IOC)를 기준으로 우선대응순위를 알려줘 임박한 위협에 먼저 대응할 수 있도록 한다.
IBM의 엔드포인트 보안 솔루션 빅픽스는 비트나인+카본블랙과 연계해 엔드포인트 보안 수준을 높인다. 빅픽스는 엔드포인트 관리 솔루션으로, 기업 내에서 사용하지 않는 불법 소프트웨어를 탐지하고, 패치관리와 업데이트 관리, 보안 설정 관리 기능을 제공한다. 빅픽스와 비트나인+카본블랙에서 수집한 이벤트는 SIEM 솔루션 큐레이더와 연계해 엔드포인트-네트워크를 아우르는 보안을 제공할 수 있다.
박형근 한국IBM 실장은 “엔드포인트 악성코드 탐지와 이상행위 분석, 보안 설정 관리 기능과 함께 네트워크 보안 모니터링 시스템까지 연계하면 기업으로 침투하는 사이버 공격을 효과적으로 차단할 수 있다. 랜섬웨어도 다른 사이버공격과 같은 방식으로 공격이 진행되는 만큼, 사이버 공격 차단 전략으로 대응할 수 있다.
엔드포인트와 네트워크 이중방어 전략은 토종 기업인 엔피코어에서도 강조하는 전략이다. 엔피코어는 ‘좀비제로 에이전트’로 엔드포인트의 이상행위를 탐지하고, ‘좀비제로 인스펙터’ 네트워크 이상행위를 차단한다. 커널 드라이버에서 악성코드 행위를 분석하며, 단일 솔루션으로 에이전트와 네트워크 분석, 중앙관리까지 가능하다.
엔피코어는 다우기술과 이메일 APT 공격 방어 제품을 출시했으며, 이노티움과 랜섬웨어 탐지 솔루션 ‘랜섬제로’를 개발해 시장을 공동 공략한다.
웹·이메일 악성코드 유포 차단해야
랜섬웨어 악성코드가 유포되는 경로는 웹과 이메일이다. 웹사이트 취약점을 이용해 방문자에게 악성코드를 감염시키는 드라이브 바이 다운로드 공격을 사용하며, 최근에는 광고를 이용하는 멀버타이징이 급증하고 있다.
이 방식의 공격을 막기 위해서는 웹 애플리케이션 개발시 시큐어코딩을 적용해 취약점을 제거하고, 운영 중인 웹사이트 취약점을 점검해야 한다. 플래시 플레이어 취약점이 발견되면 즉시 조치를 취하며, 웹방화벽을 사용해 웹서버 관리자 권한을 탈취, 웹페이지를 변경하지 않도록 해야 한다.
사용자는 웹사이트 방문 전 유해 여부를 탐지하는 웹보안게이트웨이(SWG), 유해 사이트를 차단하는 URL 필터링 솔루션이 유용하다. 유해사이트 접속을 차단하는 기본 기능은 백신 솔루션에서도 제공한다.
이메일을 이용하는 공격은 차단이 어렵다. 이메일을 이용한 스피어피싱은 정상적인 업무메일로 위장하기 때문에 사용자의 주의만으로 막을 수 없다. 이메일 보안 솔루션이 첨부문서의 악성코드를 차단하지만 대부분은 우회가 가능한 수준으로, 정교한 악성코드 탐지는 문서를 실행시킨 후 백신이나 샌드박스에서 분석하도록 한다.
클라우드 기반 이메일 보안 솔루션은 이메일에 포함된 첨부파일을 실행시켜 본 후 악성여부를 판단하고 메일서버로 보내 기업 내 메일서버에는 안전한 메일만이 수신되도록 한다. 그러나 국내에서는 중요 메일을 외부 클라우드에서 분석하는 것에 부정적으로 생각하기 때문에 게임사, 포털, 대기업 연구소 등 일부에서만 사용하고 있다.
첨부파일의 악성코드를 차단하기 위한 방법은 다양하게 제안된다. 외부 첨부파일을 이미지화하거나 PDF로 만들어 읽을수만 있게 하고 실행되지 못하게 해 악성코드 실행 환경을 차단한다. 문서를 내부에서 읽고 편집해야 한다면 악성코드 탐지 시스템에서 분석한 후 열어보도록 한다.
소프트캠프의 ‘실덱스 새니트랜스 메일’은 외부에서 들어온 파일을 가상공간에서 실행시켜 악성여부를 판단하고, 내부 반입시 파일에 태깅해 외부파일을 인지할 수 있도록 한다. 만약 마스터부트레코드(MBR) 영역과 같이 주요한 시스템을 파괴하려는 이상행위가 탐지되면 실행을 통제하여 내부 시스템 중요영역에 해당 파일이 아예 접근하지 못하도록 차단시킨다.
문서 방화벽 기술을 통해 외부에서 유입되는 문서가 제대로 된 문서구조를 갖고 있는지 파악하고, 내용 중 안전한 콘텐츠(텍스트, 이미지 등)만 추출해 새로운 파일로 문서를 재구성하여 내부로 들여보낸다. 외부유입파일에 포함됐을지 모르는 악성코드가 유입되지 못하도록 하는 것이다.
배환국 소프트캠프 대표는 “지능화된 랜섬웨어를 방어하기 위해 사전에 탐지하고 끝까지 확인해 주는 고도화된 솔루션에 대한 니즈가 증가하고 있다”며 “랜섬웨어 위협에 대응하기 위해 외부유입파일을 안전하게 관리하는 차별화된 솔루션이 필요하다”고 말했다.
