“통합 보안관제로 랜섬웨어 종합 대응 체계 구축해야”
상태바
“통합 보안관제로 랜섬웨어 종합 대응 체계 구축해야”
  • 데이터넷
  • 승인 2021.04.07 09:00
  • 댓글 0
이 기사를 공유합니다
랜섬웨어, 이메일·악성코드·취약점 등 다양한 방법 이용
EDR·MDR·MSS 통합으로 알려지지 않은 위협까지 탐지·대응
<김봉필 이스트시큐리티 이사>

[데이터넷] 이스트시큐리티의 백신 프로그램 ‘알약(ALYac)’을 통해 2018년 부터 최근 2020년 3분기까지 차단된 랜섬웨어 추이를 살펴 보면 2018년에는 약 139만 건의 랜섬웨어 공격이 있었다. 하지만 2020년 3분기까지의 공격 건수는 약 50만 건으로 매년 랜섬웨어 공격은 감소하는 것으로 나타났다.

그러나 지난해 랜섬웨어 공격을 받은 것으로 알려진 국내 유통기업 E사처럼 특정 기업이나 기관 등을 대상으로 한 지능형지속공격(APT) 형태의 공격은 꾸준하게 발생하고 있다. APT 공격으로 인한 피해 역시 매년 증가하고 있는 나타난다.

세이프티 디텍티브(SafetyDetectives)에 의하면 랜섬웨어 감염 1건당 복구를 위해 지급하는 평균 비용이 매년 37% 이상 증가하고 있으며, 랜섬웨어로 인한 피해금액(Downtime per incident) 또한 전년 대비 2배 이상 증가한 것으로 나타났다.

오래된 취약점 이용하는 랜섬웨어 공격자

세이프티 디텍티브 자료에 의하면 랜섬웨어 공격의 약 67%가 ‘스팸(Spam)/피싱(Phishing) 이메일’ 공격 기법을 사용하는 것을 확인할 수 있다. 공격자가 스팸/피싱 이메일 공격에 악용하는 취약 점을 확인해 많은 기업과 기관에서 지속적인 피해가 발생하는 이유를 분석해야 할 필요가 있다.

아래 그림에서는 2016년부터 2019년 유행했던 악성코드에서 사용한 최신 취약점을 확인할 수 있다. 여기서 알 수 있는 중요한 사실은 공격자가 최신 취약점을 공격에 사용하지 않는다는 점이다. 이들은 발견된 지 약 1~2년 정도 경과한 취약점을 공격에 사용하고 있고, 기업과 기관은 오래된 취약점을 악용한 공격으로부터 여전히 피해를 보고 있다. 특히 2019년에 가장 많이 악용된 취약점 영향도 애플리케이션에는 대부분 마이크로소프트, 어도비 등이 있는 것으로 확인됐다.

이렇게 많은 악성코드가 사용하는 취약점은 기업과 기관이 단말에 대한 운영체계 보안 패치 및 하드닝(Hardening)만 강화하더라도 공격에 대한 피해를 최소화할 수 있을 것으로 보인다.

하지만 지금까지도 많은 기업과 기관이 운 영체계 및 애플리케이션에 대한 보안 패치나 하드닝에 대해서 다소 소홀하게 생각하고 있는 것이 사실이다.

악성코드에서 많이 이용된 취약점(2016~2019년)
악성코드에서 많이 이용된 취약점(2016~2019년)

EDR·MDR 및 MSS 통합으로 엔드포인트 위협 대응

사실 운영체제 및 애플리케이션에 대한 보안 패치, 운영체제 하드닝 등 보안 조치를 취한다고 하더라도 랜섬웨어와 같은 악성코드 공격에는 여전히 다양한 방법들이 존재한다. 이렇게 다양한 공격들에 대해서는 어떻게 대응해야 할까?

결국 기업 내부에서 이상 징후와 사고가 발생할 때 어떠한 경로(취약점)를 통해 침입했고, 어떻게 단말에 영향을 끼쳤 는지 등을 분석하고 대응할 수 있는 EDR과 같은 솔루션을 통해 사후적 관점에서 위협 을 분석하고 대응할 수 있어야 한다.

하지만 현실은 기업 내 보안담당자들이 엔드포인트 단말에 서 발생하는 무수히 많은 행위 이벤트를 일일이 확인하고 분 석하기 어렵다. 이러한 이유로 엔드포인트 위협 분석 등에 참고할 수 있는 위협 인텔리전스를 함께 검토해야 하며, 나아가 기업 내의 부족한 보안전문가(분석가)에 대한 보완책 으로 외부 보안관제 전문기업의 도움을 받는 것도 좋은 방법 이 될 수 있다.

기존 보안관제 시스템은 네트워크 기반의 매니지드 보안 서비스(MSS) 시장으로 제한돼 성장해왔다. 하지만 EDR 제품 출현과 더불어 엔드포인트 단말 위협에 대한 위협 헌팅을 위해 매니지드 위협 탐지 및 대응(MDR) 서비스가 출시됐으며, MSS와 EDR 시장은 장기적으로 통합 운영되는 방향으로 갈 것으로 예상된다.

가트너가 정의한 MSS 및 MDR의 스펙트럼과 향후 시장 전망을 참고하면, MSSP는 MDR 시장으로 지속 확장 되고, MDR 서비스 사업자 또한 MSS 영역으로 확장될 것으로 예상한다. 더불어 현재 보안관제 MSS 서비스를 이용하는 기업의 경우 MSS 사업자의 추가적인 서비스를 통해 엔드포인트 단말 위협에 대해 부족한 영역을 아웃소 싱해 보완하는 것 또한 좋은 방법이 될 것으로 보인다. 앞으로 특정 기업을 노리는 랜섬웨어 공격에 대해 지속적으로 모니터링 및 분석, 대응할 수 있는 체계를 구축 해야 한다.

MSS·MDR 스펙트럼
MSS·MDR 스펙트럼

이제는 네트워크뿐 아니라 엔드포인트 위협까지도 함께 분석 및 대응 해야 하며, 시스템적으로 많은 프로 세스를 자동화해야 한다. 이를 위한 대표적인 시스템이 보안 오케스트레이션, 자동화 및 대응(SOAR)이다.

뿐만 아니라 무수하게 많은 보안 이벤트와 자동화된 분석 서비스 및 기존에 운영하는 SIEM과 연동, 그리고 위협 인텔리전스까지 추가 연동해 다양한 랜섬웨어 공격에 대 응할 수 있는 체계를 구축하는 방향에 대해 깊이 있게 고민해야 하는 시기다

Tag
#이스트시큐리티 #랜섬웨어 #EDR #MDR #SOAR
저작권자 © 데이터넷 무단전재 및 재배포 금지
데이터넷
데이터넷 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사