랜섬웨어가 더 강력해져서 돌아왔다. APT 기법을 적용해 타깃 사용자에게 정교하게 맞춘 공격 방식을 택하고 있으며, IoT와 산업제어시설을 노려 심각한 피해를 입힐 수 있게 한다. 서비스형 랜섬웨어(RaaS), 오픈소스 랜섬웨어가 등장하면서 누구나 쉽게 공격을 할 수 있는 환경이 조성됐으며, 비트코인과 같은 암호화 화폐가 다양하게 나오고 있어 돈세탁과 추적 방지도 쉬워졌다. 새로운 국면을 맞은 랜섬웨어 공격 동향을 살펴본다.<편집자>
우리나라 사용자에 맞춤형으로 진행하는 랜섬웨어가 늘어나면서 토종 기업들의 움직임도 빨라지고 있다. 안랩, 이스트시큐리티, 하우리 등 국내 안티바이러스 솔루션 기업들이 랜섬웨어 침해대응센터를 운영하며 랜섬웨어 악성코드 차단에 나서는 한편, 피해에방을 위한 캠페인을 전개하고 있다.
이스트시큐리티는 ‘알약’으로 랜섬웨어 행위를 차단하는데, 알약에는 특허 등록된 ‘사용자 파일을 암호화하는 악성코드의 모니터링 장치 및 방법’이 적용돼 있다. 또한 엔드포인트 OS와 소프트웨어 취약점을 점검해 최산의 보안상태를 유지할 수 있게 한다. 지능형 악성코드 분석 솔루션 ‘아이마스(IMAS)’와 연동해 인터넷에서 유입되는 고도화된 위협을 분석하고, EDR 기능을 제공해 신속한 탐지와 대응 역량도 제공한다.
랜섬웨어 공격을 당했을 때 피해를 최소화하기 위해 로컬PC 암호화 저장소 혹은 클라우드에 중요 데이터를 저장하는 ‘랜섬쉴드’를 제공한다. 더불어 문서중앙화 ‘시큐어디스크’를 통해 랜섬웨어 공격을 무력화한다.
이스트시큐리티 관계자는 “이스트시큐리티는 1500만 개 이상의 센서에서 수집된 악성코드 및 URL 정보를 딥러닝 분석으로 신뢰성 있는 보안 인텔리전스 플랫폼을 제공한다. 또한 타사 보안 솔루션과의 유연한 연동으로 보안성을 더욱 확장할 수 있어, 시그니처 기반 탐지와 일부 행위기반 탐지에 그쳤던 기존 보안 제품의 한계를 극복하는 통합보안 전략을 갖추고 있다”고 말했다.
엔피코어는 랜섬웨어 공격 방어를 위한 전용 솔루션 ‘좀비제로 EDR 포 랜섬웨어’를 출시하고 시장 확대에 나섰다. 이 제품은 엔드포인트단에서 행위기반 탐지·차단 및 실시간 백업을 제공한다. 랜섬웨어 탐지 시 패턴정보 업로드해 감염·확산 방지하며 화이트리스트로의 접근을 통제하고 공유폴더 보호 및 랜섬웨어로부터 안전한 경로 지정도 가능하다. PC·외부 저장 매체의 백업이 가능하며 데이터 실시간 백업·복구와 데이터 이력관리가 가능하다.
한승철 엔피코어 대표는 “에이전트 기반 보안 솔루션은 충돌과 장애가 발생할 수 있기 때문에 장기간 운영 노하우와 안정성이 매우 중요한 요소가 된다. 또한 오픈소스를 이용한 샌드박스는 쉽게 무력화 할 수 있다”며 “랜섬웨어 초기에는 외산 솔루션이 강세를 보였지만, 한국 맞춤형 공격이 성행하면서 한국 상황에 유연하게 맞추는 토종 제품이 경쟁력을 얻고 있다. 엔피코어는 솔루션 한 대로 랜섬웨어 방어에 필요한 기능을 다 구현할 수 있어 운영관리 효율성과 비용절감 효과가 높다”고 말했다.
화이트리스트·블랙리스트 병행해 차단 효과 높여
랜섬웨어의 행위를 기반으로 공격을 차단하는 솔루션도 인지도를 높여가고 있다. 닉스테크의 ‘세이프 프로세스(SafePROCESS)’는 화이트리스트와 블랙리스트 방식으로 사용자 컴퓨터의 모든 프로세스 동작을 제어한다. 화이트리스트에 등록된 프로세스라도 악성 행위로 의심되는 이상 행위를 할 경우 사용자에게 경고하고, 즉시 차단이 가능하다.
프로세스의 행위가 의심될 경우 우선 사용자에 의한 동작인지 아닌지를 구분하는 기술로 랜섬웨어에 대한 오탐과 과탐을 낮춰 사용자의 불편함을 최소화, 기존 랜섬웨어 대응 기술들보다 더 나은 사용자 경험을 제공한다.
박동훈 대표이사는 “닉스테크는 DLP, 개인정보보호 솔루션, NAC, 보안 USB 등의 엔드포인트 보안 솔루션을 하나의 플랫폼을 통해 제공해 충돌·장애 없이 효과적으로 엔드포인트 보안 위혀 요소를 제거한다”며 “닉스테크는 엔드포인트단에서 발생하는 공격과 대응 방안을 가장 잘 이해하는 기업으로 급변하고 까다로운 랜섬웨어를 효과적으로 대응할 수 있다”고 강조했다.
랜섬웨어가 새로운 방식으로 진화한다 해도, 랜섬웨어 피해 예방 수칙은 달라지지 않는다. 랜섬웨어는 악성코드를 이용하거나 취약점을 이용해 침투하기 때문에 평소 OS와 소프트웨어의 보안패치를 최신버전으로 유지해 취약점을 제거하며, 디바이스 비밀번호와 관리자 계정을 안전하게 관리하고, 중요한 데이터를 정기적으로 백업하되, 백업 저장소는 온라인으로 실시간 동기화되지 않도록 하거나, 저장소를 암호화 하는 등 안전장치를 마련해야 한다.
신뢰할 수 없는 웹사이트 방문을 자제하고, 필요하지 않다면 플래시 플레이어가 동작하지 않도록 브라우저 설정을 변경하는 것도 좋은 방법이 된다. 오피스 문서의 매크로 사용을 통제하며, 이메일 첨부파일을 열 때는 신중하게 확인하고, 단말에 검증된 보안 솔루션을 설치하고 실시간 감시 기능을 켜두고 시그니처는 최신 상태로 업데이트 한다.
김남욱 이셋코리아 대표는 “랜섬웨어 피해를 예방하기 위한 특별한 수칙이 있는 것은 아니며, 기본 보안 수칙을 준수하는 것이 가장 효과적인 예방책이다. 보안 수칙을 지키고 싶지 않은 환경에서 랜섬웨어 피해를 예방하기 위한 방법은 없다”고 조언했다.
