랜섬웨어는 일반적으로 인터넷을 통해 감염되지만, 인터넷에 연결되지 않은 폐쇄망도 감염될 수 있다. USB 등을 통해 C&C 통신 없이 작동하는 악성코드가 감염될 수 있기 때문이다. 케르베르 랜섬웨어가 그 대표적인 예로, 악성코드 실행파일에 감염대상과 감염방법, 암호화 키가 포함돼 있어 악성코드에 감염되면 C&C 통신 없이 데이터를 암호화하고 금전을 요구한다.

김병장 팔로알토네트웍스코리아 전무는 12일 서울 삼성동에서 개최된 ‘사이버 공격 선제방어와 랜섬웨어 대응 전략 세미나’에서 최근 가장 심각한 위협으로 부상하고 있는 ‘케르베르’ 랜섬웨어에 대해 설명하면서 “C&C 통신 없는 랜섬웨어까지 등장해 기존의 탐지 방법을 무력화하고 있다”며 “기존의 모든 방어 기법을 우회하는 지능형 공격을 차단하는 방법이 요구된다”고 말했다.

랜섬웨어를 포함해 악성코드를 이용한 대부분의 사이버 공격은, 이메일이나 웹사이트, 웹사이트의 광고배너를 통해 사용자 단말에 첫번째 악성코드를 감염시킨다. 악성코드가 실행되면 C&C와 통신해 악성 페이로드를 내려 받으며, 이 페이로드에서 실제 공격이 진행되는 공격 도구들이 시스템으로 유입된다.

랜섬웨어 공격이라면 감염된 단말이나 단말과 연결된 네트워크 드라이브, 혹은 다른 단말로 확장하면서 데이터를 암호화하고 비트코인을 요구한다. 데이터 유출을 위한 공격이라면 중요 데이터가 저장된 시스템으로 이동한 후 관리자 권한을 획득하고 데이터를 빼낸다. 공격자는 원하는 목적을 달성할 때 까지 C&C 통신을 유지하기 때문에 외부와의 의심스러운 통신을 차단하는 방법으로 공격을 막을 수 있다.

그러나 첫번째로 유입되는 악성코드에 모든 공격도구가 패키지 돼 있어 C&C 통신 없이 데이터 암호화가 진행된다면, 첫번째 악성코드가 시스템에 다운로드 되기 전 차단하는 방법 외에 다른 방법으로 공격을 막을 수 없다.

김 전무는 “지능형 사이버 공격은 거의 모든 방어 기술을 우회할 수 있다. 공격이 시작된 후 탐지하고 차단하는 전략으로는 피해를 예방할 수 없으며, 공격이 진행되기 전 선제방어를 통해 피해를 막아야 한다”고 강조했다.

데이터·통신 가시성 확보해 우회공격 차단해야

이 행사에는 IT 관리자와 정보보호 담당자 70여명이 참여했으며, ‘데이터 인질범 ‘랜섬웨어’, 타협하지 말고 선제방어 하십시오’라는 주제로 진행됐다. 행사에서는 최근 랜섬웨어 공격 동향과 사례, 선제방어를 통한 피해 예방 방법 등이 소개됐다.

이날 세미나에서는 서비스형 랜섬웨어(RaaS)인 케르베르를 비롯한 주요 랜섬웨어 공격 방법이 소개됐다. 케르베르는 악성코드 개발조직이 누구나 랜섬웨어 공격을 할 수 있도록 서비스 방식으로 제공하는 것으로, 수익금 중 40%를 개발조직이, 60%는 공격조직이 가져가는 방식으로 수익분배를 한다. 유튜브 등을 통해 쉽게 공격도구와 방법을 알 수 있으며, 토르와 같은 익명의 네트워크를 사용하고, 수익금은 비트코인으로 여러 단계에 걸쳐 이체하는 방법으로 자금 추적을 회피한다.

케르베르는 개발조직과 공격조직이 나뉘어 있기 때문에 변종이 많고, 특정 조직에 특화된 타깃 공격도 가능하다. 이 때문에 안티바이러스와 같은 시그니처 기반 방어 솔루션으로 막을 수 없다.

올해 봄 가장 많은 피해를 입힌 록키 랜섬웨어는 급여명세서, 송장, 견적서, 주문서 등 업무와 연관된 내용을 가장하고 있다. 초기에는 자바스크립트를 사용했으나, 최근에는 정상적인 오피스 프로그램의 매크로에 악성코드를 숨겨 매크로를 실행시키면 바로 랜섬웨어가 작동하도록 돼 있다.

김범수 팔로알토코리아 부장은 랜섬웨어 최신 공격 동향과 특징, 방어방법을 설명하며 “진화하는 랜섬웨어 공격을 막기 위해서는 공격에 노출되는 지점을 최소화하고, 알려진 위협과 알려지지 않은 위협을 차단해야 한다”며 “모든 데이터와 통신의 가시성을 확보하고, 의심스러운 위협을 빠르게 분석, 시그니처를 배포할수 있는 방법이 필요하다. 팔로알토의 선제방어 전략이 이러한 요구에 대응할 수 있는 방법을 안내한다”고 말했다.

광범위한 위협 인텔리전스로 신변종 공격 정확하게 탐지

김병장 전무는 팔로알토네트웍스의 선제방어 전략 프로세스를 상세히 설명하며 “공격이 시작되는 엔드포인트와 네트워크에서 알려진 위협을 차단하고, 알려지지 않은 위협은 멀웨어 탐지 시스템으로 찾아내며, 이를 통해 발견된 새로운 위협은 시그니처를 만들어 다시 엔드포인트와 네트워크에 배포하면서 공격을 막을 수 있다. 팔로알토네트웍스의 차세대 보안 플랫폼은 이를 5분 안에 완료할 수 있어 선제방어가 가능하다”고 말했다.

팔로알토의 차세대 방화벽은 애플리케이션 제어, ID 기반 제어, 콘텐츠 인식 기술을 기반으로 하고 있으며, 암호화 트래픽 가시성 기능과 성능저하 없는 보안 기능을 제공하는 대표적인 네트워크 보안 플랫폼이다.

멀웨어 분석 시스템 ‘와일드파이어’는 샌드박스 기반 동적분석 기술을 이용해 의심스러운 파일을 분석해 악성코드로 판명되면 시그니처를 만들어 배포한다.

엔드포인트 보안 솔루션 ‘트랩스’는 익스플로잇 탐지·차단 기술로 실제 공격의 핵심 기술을 인지, 차단하며, 해시값을 분석해 악성코드의 신변종 행위도 지능적으로 차단한다. 포렌식 기술을 제공해 공격을 정밀하게 분석하고 오탐 없이 방어할 수 있다.

최근 APT는 타깃 조직만을 위해 정밀하게 제작되는 경우도 있지만, 산업별 특징을 반영하거나 그룹사·계열사의 취약점을 노리고 있다. 따라서 동종업계 혹은 계열사에 진행된 위협 정보를 공유하면 새로운 공격에 보다 지능적으로 대응할 수 있다.

팔로알토의 ‘오토포커스’는 위협에 대한 인텔리전스를 제공하는 서비스로, 산업별, 그룹별, 지역별, 시기별 등 다양한 기준으로 멀웨어 정보를 제공해 기업/기관이 신변종 멀웨어에 효과적으로 대응할 수 있도록 한다.

기업용 퍼블릭 클라우드가 널리 사용되면서 관리되지 않은 클라우드 이용을 통한 보안위협도 심각해지고 있는 상황이다. 팔로알토의 ‘어패처’는 클라우드 애플리케이션 가시성을 확보해주는 제품으로, 클라우드 애플리케이션과 데이터의 권한통제 정책을 적용할 수 있다.

더불어 팔로알토는 ‘유닉42’라는 리서치팀을 운영하는 한편, 시만텍, 인텔시큐리티, 포티넷 등과 사이버 쓰렛 얼라이언스(CTA)를 운영해 전 세계에서 발생하는 광범위한 위협 정보를 빠르게 공유하고 대응할 수 있도록 한다.

더불어 고객 시스템의 보안 수준을 진단하는 ‘SLR(Security Lifecycle Review)’ 프로그램을 무료로 제공해 고객들이 실제 자사 네트워크로 들어오는 위협의 수준을 파악하고 적정한 보안 정책을 정비할 수 있도록 지원한다.

김병장 전무는 “공격 탐지·차단 전략으로는 피해를 막을 수 없으며, 선제방어 전략으로 피해 가능성을 최소화해 나가야 한다. 다양한 방어 기술을 촘촘하게 배치해 공격을 어렵게 하고 공격에 돈이 많이 들게 하면 공격자의 수익성을 떨어뜨릴 수 있게 돼 결국 공격을 줄어들게 만들 수 있다”며 “사이버 보안은 국가 안보와도 밀접한 관계에 있는 만큼, 보다 강화된 선제방어 전략을 통해 진화하는 사이버 공격에 대응하는 것이 시급하다”고 말했다.