[데이터넷] 랜섬웨어와 APT 공격 방식이 유사한 것처럼, 대응 방식도 거의 비슷하다. 클라우드를 포함한 조직 전체에서 취약점을 찾아 제거하고, 관리되지 않은 시스템과 애플리케이션을 제거하며, 노출된 포트, 서비스를 보호한다. 계정관리를 철저히 해 탈취한 계정으로 침투하지 못하도록 하며, OS·소프트웨어 최신 버전과 패치를 유지해 실시간 취약점 제거, 악성코드 유입을 차단한다.

업무와 연관된 웹·이메일 이용 공격을 막을 수 있는 보안 솔루션을 도입하고 실시간 위협 모니터링, 정기적인 취약점 탐지를 통해 관리되지 않은 취약점을 제거한다. 임직원뿐만 아니라 외부 파트너도 보안습관을 가질 수 있도록 캠페인과 교육을 실시한다.

중요 데이터와 시스템에 대한 백업 대책을 마련해 분리된 안전한 네트워크에서 보호하며, 정기적으로 복구 훈련을 해 사고 즉시 복구할 수 있는지 점검한다. 랜섬웨어는 국가 안보에도 영향을 미칠 수 있으며, 전 세계를 위협하는 것이기 때문에 정부 및 국가 간 대책 마련도 필요하다. 주요 랜섬웨어 공격자의 공격 방법을 파악하고 민·관 합동 공격대응 체계를 마련하며, 국가 간 공조로 위협 대응 체계를 만든다. 글로벌 사이버 수사 공조를 통해 공격자를 추적하고 피해입은 암호화폐를 회수하는 노력도 필요하다.

랜섬웨어 공격을 당했을 때 조처방안도 매우 중하다. 감염된 시스템을 네트워크에서 즉시 격리한 후 공격 원인을 분석해야 한다. 대부분의 피해자는 감염된 시스템을 포맷해 공격에 사용된 증거를 찾지 못하게 한다. 원인을 파악하고 해결하지 못하면 같은 공격을 다시 당할 가능성이 높다. 공격자들이 이미 피해조직의 네트워크와 취약점을 파악한 상태이기 때문이다. 피해 시 한국인터넷진흥원 등에 알려 랜섬웨어 공격 유형에 대해 파악하고 선제적으로 대응할 수 있는 방법을 마련할 수 있도록 돕는 것도 필수다.

이재광 KISA 팀장은 “랜섬웨어 피해를 입었을 때 KISA 등 관계기관에 연락하는 것이 전 사회적으로, 전 세계적으로 확산되는 랜섬웨어 피해 예방에 도움을 주는 일이다. 관계기관에서 랜섬웨어 공격 정보를 분석하고 인텔리전스를 확보할 수 있어 한층 더 확실한 랜섬웨어 대응이 가능하다”고 강조했다.

취약점 제거로 침투 경로 원천 봉쇄

랜섬웨어 피해를 막기 위해서는 공격의 첫 단계부터 철저하게 봉쇄해야 한다. 공격자는 목표 시스템을 정찰한 후 침투 가능한 취약점을 탐색한다. IBM 보고서에 따르면 공격자들이 피해 시스템에 접근하는데 취약점과 스캔 공격(35%)을 가장 많이 사용하며, 피싱(31%)을 통한 공격 빈도보다 높은 것으로 나타났다.

‘취약점’은 그야말로 ‘낮게 달려 따기 쉬운 과일’이다. 취약점을 이용하면 원격에서 쉽게 접근할 수 있으며, 중요한 데이터를 유출할 수 있는 키를 획득하거나 평문화된 중요 정보에 접근할 수 있다. 그래서 취약점이 공개되고 패치가 배포되면 즉시 패치를 적용해야 하는데, 패치 했다가 시스템에 장애가 발생할 것을 두려워해서, 패치가 배포된 것을 몰라서, 패치 업데이트 정책이 없어서, 패치 시 시스템을 중단해야 해서 등의 이유로 패치를 즉시 하지 않는 경우가 많다.

시장조사기관 오스터만 조사에 따르면 취약점 패치가 공개됐을 때 3%의 조직은 패치하는데 몇 달 이상 걸린다고 답했다. 한 시간 이내 36%, 하루 이내 44%, 1주에서 2주 사이 10%, 2주에서 한 달 사이 7%라고 답했다. 즉 20%의 시스템은 패치가 공개된 후에도 1주일에서 몇 달까지 알려진 취약점으로 공격 당할 가능성이 매우 높다는 뜻이다.

코로나19로 재택·원격근무가 늘어나면서 VPN 취약점이 크게 늘었는데, 원격접속을 위해 VPN이 많이 사용되면서 그만큼 취약점이 많이 발견되고, 취약점을 악용한 무단 접근 시도가 탐지됐기 때문이다. 이 외에도 커뮤니케이션을 위해 사용되는 마이크로소프트 익스체인지 서버 취약점, 화상회의·협업툴 취약점 등을 이용해 랜섬웨어를 유포하거나 중요한 데이터를 유출하는데 사용됐다.

취약점 공격을 막기 위해서는 패치가 발표되면 즉시 패치해야 하는데, 앞서 설명한 여러 이유로 패치를 하지 않는 경우가 있다. 패치하기 어려운 시스템의 경우 가상패치 기능으로 패치 안 된 시스템을 보호해야 한다.

트렌드마이크로는 탁월한 가상패치 기술을 이용해 안전하게 시스템을 보호한다. 가상패치 기술은 트렌드마이크로 전체 솔루션에 포함되며, 시스템 중단이나 영향 없이 보호할 수 있다. 패치 공개 전 취약점까지 보호한다.

트렌드마이크로는 ‘비전원 XDR’ 플랫폼에 엔드포인트·네트워크·클라우드·이메일 보안 솔루션을 포함시켰으며,‘클라우드원’ 플랫폼에 클라우드 보안에 필요한 모든 솔루션을 통합시켰다. 이를 통해 모든 비즈니스 영역에서 랜섬웨어와 APT 공격을 효과적으로 차단한다.

가장 파괴력 높은 공급망 공격

취약점 공격만큼 무서운 파급력을 갖는 것이 공급망 공격이다. 카세야 IT 관리 소프트웨어를 이용한 랜섬웨어가 대표적인 공급망 공격인데, IT 소프트웨어 기업을 감염시켜 이 기업에서 배포하는 소프트웨어·업데이트 및 패치 파일에 공격도구를 숨겨 유포시키면 광범위한 피해를 일으킬 수 있다.

기업 내 업데이트 서버나 AD 서버를 감염시켜 악성 도구가 전사 범위로 퍼지게 하는 사례도 있고, 내부 개발자나 외부 개발자 PC를 감염시켜 개발되는 소프트웨어에 악성도구가 포함되도록 하는 경우도 있다. 악성도구를 포함한 도커 이미지를 도커 허브에 올려 이를 이용하는 환경을 감염시키고, 써드파티 개발사·오픈소스 소프트웨어 등을 이용하는 경우도 있다.

김대협 포티넷 컨설턴트는 “랜섬웨어 유포 방식 중 공급망 공격이 가장 위험하다. 공급망은 신뢰할 수 있는 소프트웨어 배포 과정을 공격하는 것이기 때문에 안전한 소프트웨어·패치파일로 믿고 적용한 것이 공격의 통로가 되기 때문”이라며 “공급망 공격 대책이 필요하다”고 말했다.

공급망 공격 대응을 위해 업데이트 서버·AD 서버에 대한 접근관리를 철저히 하고, 코드서명 인증서를 안전하게 관리해 탈취되지 않도록 해야 한다. 외부 파일이나 도커 이미지를 가져올 때 취약점 점검을 반드시거쳐야 한다.

소프트캠프는 취약점 진단 전문기업 엔키와 합작법인 ‘엑스스캔’을 설립하고 공급망 공격 방어를 지원한다. 패치파일을 이전 버전과 비교해 공격에 악용될 소지가 있는 변경사항을 확인하고, 외부 유입 파일의 취약점을 점검한다.

소프트캠프는 이외에도 콘텐츠 무해화(CDR) 솔루션 ‘실덱스’ 제품군으로 문서, 이메일, 웹, 파일 등에서 공격에 이용될 수 있는 액티브 콘텐츠를 제거하는 무해화 기술을 제공해 공급망 공격과 피싱·스피어피싱으로부터 기업을 안전하게 보호한다.

김선애 기자 다른기사 보기