랜섬웨어는 개인과 기업에게 모두 위협적인 사이버 공격이 되고 있다. 랜섬웨어는 APT 공격 기법을 결합하면서 지능화되고 있는데, 사회공학적 기법을 이용해 사용자를 유인하고, 방어 기술을 지능적으로 우회해 기존 방어 시스템으로 막을 수 없게 만든다. 랜섬웨어의 역사와 최근 공격기법을 알아본다. <편집자>
백업으로 랜섬웨어 피해 예방
랜섬웨어 예방을 위해서는 데이터의 주기적인 백업으로 데이터 유실에 대비해야 한다. 랜섬웨어로 데이터가 암호화 된다 해도 백업 데이터가 잘 보호되고 있으면 언제든지 복구할 수 있다. 업무용 PC에는 업무에 사용되는 중요한 데이터가 저장돼 있기 때문에 PC 데이터의 백업도 매우 중요하다.
이노티움의 랜섬웨어 대응 솔루션 ‘ARIT’는 데이터를 PC의 안전한 저장공간으로 백업해 랜섬웨어 공격으로부터 데이터를 보호한다. 또한 클라우드 기반 백업 솔루션 ‘리자드 클라우드’는 PC, 서버, VDI 등 다양한 환경의 데이터를 백업해 보호한다.
워터월시스템즈의 DLP 솔루션 ‘워터월’도 백업과 문서중앙화 유도 기능으로 랜섬웨어 피해를 예방할 수 있다고 강조한다. 워터월은 외부 백업 서버로 문서를 주기적으로 백업하는 WWDCB 기능과 중요 데이터를 특정 데이터에 강제 저장시켜 문서중앙화를 유도하는 WWSCON 기능을 제공한다.
이종성 워터월시스템즈 대표는 “워터월은 16년간 데이터 관리·보호 기술만을 개발해 온 기업으로, 중요 데이터를 안전하게 관리하면서 업무 효율성을 높일 수 있는 방법을 솔루션에 적용시켜왔다”며 “그 기능 중 하나가 중요 정보를 외부 서버에 주기적으로 백업하는 DCB이며, 백업된 데이터는 랜섬웨어 피해로부터 안전하게 지킬 수 있다”고 말했다.
‘워터월’은 윈도우, 리눅스, 맥, 모바일까지 지원하는 ‘3i 플랫폼’을 기반으로 하고 있으며, 단일 에이전트를 통해 개인정보/중요정보 유출 방지, 문서중앙화 유도, 리포팅, 보안 결재, 모바일 기기 관리 등의 기능을 제공한다. 외부 서버로의 백업을 통해 데이터 유실 위협을 낮추고, PC 보안점검, HTTPS 사이트 차단, 파일첨부 차단, 웹캠·무선 차단 의 다양한 기능을 탑재하고 있다.
파수닷컴의 문서관리 시스템 ‘랩소디’ 역시 자동 백업 기능으로 랜섬웨어 피해 위협을 낮춘다. 랩소디는 사용자가 별도로 백업하지 않안도 문서를 읽거나 수정, 저장만 해도 자동으로 서버에 백업이 된다. 또한 파일에 대한 감염을 통한 2차 전파를 막고 안전하게 문서를 유통할 수 있도록 전달하는 파일의 링크를 공유하고 인증된 사용자만 파일을 다운로드 받을 수 있도록 해 문서 유통을 통제한다.
문서중앙화, 랜섬웨어 악성코드 실행 차단
협업과 보안을 위해 구축되는 문서중앙화도 랜섬웨어를 위한 대안으로 소개된다. 문서중앙화는 모든 문서를 중앙 서버에 저장하는 방식으로, PC에 데이터가 저장되지 않기 때문에 랜섬웨어 악성코드에 감염됐다 해도 피해를 입을 파일이 없다.
그러나 파일서버 방식의 문서중앙화는 PC에 감염된 악성코드가 문서중앙화 서버로 옮겨가 전사 데이터를 암호화시키는 위험이 있다. 파일서버 방식이라 해도 특정 프로세스만을 허용하기 때문에 랜섬웨어 프로세스는 작동하지 않도록 설계돼 있지만, 정상적인 윈도우 행위를 가장한 랜섬웨어 공격에 속수무책으로 당하는 사고도 발생한다.
사이버다임의 문서중앙화 솔루션은 화이트리스트, 샌드박스, 원본문서 보호, 백업 등 4단계에 걸친 보호전략을 제안한다. 화이트리스트 방식은 허용된 프로세스만을 처리하는 방식이며, 문서중앙화에 저장된 문서를 읽고 편집할 때 PC의 보안드라이브(샌드박스) 안에서만 작업하도록 해 외부에서 침입한 악성코드가 문서에 영향을 미치지 못하도록 한다.
문서중앙화 서버는 작업자에게 문서를 내린 후 세션을 끊어 PC의 악성행위가 문서중앙화 서버로 유입되는 것을 차단하며, 문서 작성이 완료돼 문서를 닫을 때 다시 세션이 열려 안전하게 보관된다.
만일 PC 샌드박스가 해킹돼 악성코드에 감염됐다해도 문서중앙화 서버의 원본문서는 안전하게 보호된다. 문서중앙화 서버는 리눅스 기반으로 운영되는데, 아직 리눅스를 공격하는 랜섬웨어는 발견되지 않았다. 더불어 문서중앙화 서버에 저장된 데이터를 주기적으로 백업해 안전하게 관리한다.
최연기 사이버다임 팀장은 “랜섬웨어 공격자들은 수익성을 높이기 위해 보편적으로 사용하는 OS와 애플리케이션을 공격한다. 리눅스 사용자가 늘어난다면 리눅스 타깃 랜섬웨어도 나오겠지만 아직까지는 윈도우 기반 환경만을 공격하는 추세”라며 “만일 리눅스 타깃 공격이 나온다 해도 여러 단계에 걸쳐 랜섬웨어를 차단하므로 위협을 낮출수 있다. 더불어 리눅스 서버를 보호할 수 있는 기술도 개발해 안전한 문서관리 환경을 만들 것”이라고 말했다.
한만용 사이버다임 본부장은 “문서중앙화는 사용자가 보기에는 윈도우 탐색기와 동일하지만, 저장되는 파일 포맷이나 저장 구조가 윈도우와 달라 사용자나 랜섬웨어 악성코드가 임의로 수정하거나 삭제할 수 없다. 문서중앙화는 불법적인 유출이나 변경, 삭제 등의 위협으로부터 데이터를 보호할 수 있다”고 덧붙였다.
악성코드 활동 못하는 문서중앙화
코마스의 계열사인 넥스젠 역시 문서중앙화를 이용해 랜섬웨어를 차단할 수 있다고 강조한다. 이 회사의 문서자산화 솔루션 ‘솔메ECM’은 ‘네임스페이스 익스텐션(Namespace Extention)’ 아키텍처를 기반으로 설계됐으며, 서버에 문서를 암호화된 바이너리 형태로 보관해 랜섬웨어 악성코드에 감염된 문서가 서버에 저장된다 해도 악성코드가 실행되지 못하도록 한다.
해커가 사용자 권한을 탈취해 문서를 외부로 유출한다 해도 암호화된 바이너리가 빠져나가기 때문에 다른 곳에 사용할 수 없다. 암호화된 문서는 API를 통해서만 복호화 될 수 있으며, 사용자 단말에 저장되지 않아 데이터의 외부 유출이 어렵다.
솔메ECM은 클라우드를 활용해 데이터를 보관하는 방식으로, 웹서버를 병렬로 늘리기만 하면 인원 제한 없이 사용할 수 있다. 또한 자체적으로 중복제거 기능을 제공해 저장용량을 크게 줄여 하드웨어 비용을 낮출 수 있다.
한편 넥스젠과 코마스는 문서중앙화 솔루션의 마이크로사이트를 개설하고 문서중앙화 구축을 위한 무료 컨설팅 이벤트를 진행하고 있다. 컨설팅을 통해 고객의 문서관리 현황과 개선 포인트, 솔루션 도입 시 활용 등에 대한 방법론을 제공한다.
문서중앙화 시장에서 빠른 성장을 보이고 있는 넷아이디의 ‘클라우독’은 랜섬웨어 프로세스 차단 기능을 정교하게 제공해 랜섬웨어를 예방한다. 화이트리스트 정책으로 중앙문서의 입출력을 통제하며, 감염된 윈도우 탐색기 입출력을 차단하는 DLL 락 기능을 제공한다.
PC의 보안 드라이브를 보호하고, DLL 파일 형태의 랜섬웨어가 윈도우 탐색기를 감염시키면 실시간으로 입출력을 차단하고 피해를 예방한다. 또한 백업·복구 기능을 제공해 랜섬웨어 피해를 최소화한다.
