[데이터넷] 랜섬웨어가 가장 위험한 사이버 공격이 되었다. 서비스형 랜섬웨어(RaaS)를 비즈니스 모델로 확실하게 정착시킨 범죄자들은 공격에 필요한 모든 작업을 분야별로 전문화해 시장을 만들고 있으며, 공격 성공률이 떨어지거나 수사당국에 의해 일부가 검거됐을 때 공격 인프라를 폐쇄한 후 다른 그룹을 만들어 활동한다. 최근 랜섬웨어 동향을 분석하고 대응 방법을 알아본다.<편집자>

통합 엔드포인트 보안으로 랜섬웨어 방어

랜섬웨어 방어를 위해 가장 먼저 고려하는 것이 엔드포인트 보안이다. 시그니처 기반 전통적인 안티바이러스(AV)는 쉽게 우회 가능하며, 자동 치료와 복구가 불 가능하기 때문에 EDR과 같은 위협 탐지·대응 기술이 함께 사용되어야 한다. 더불어 네트워크를 통한 전파 방지를 위한 마이크로 세그멘테이션, 디셉션, 네트워크 격리 백업 등의 추가 기술도 필수다.

VM웨어는 엔드포인트 보안 솔루션 ‘카본블랙’의 차세대 백신(NGAV)에서 랜섬웨어 행위를 분석해 빠르게 차단하며, 안티 멀웨어 스캔 인터페이스(AMSI)와 연동해 인가되지 않은 스크립트를 제거해 알려지지 않은 파일리스 공격을 막는다. 또한 랜섬웨어 미끼 파일의 하나인 카나리(Canary) 파일을 이용해 암호화 시도를 조기에 감지, 차단할 수 있다. 더불어 VM웨어의 엔드포인트 네트워크 탐지 및 대응(ENDR) 기술로 엔드포인트 가시성을 네트워크까지 확장시킨다.

VM웨어는 향후 외부 인텔리전스 확장으로 공격자의 기법·기술을 파악하고 선제적으로 방어하며, ENDR의 효과적인 운영 사례를 확보해 적극 알릴 계획이다.

지니언스의 EDR 솔루션 ‘지니안EDR’도 랜섬웨어 방어에 탁월한 효과를 제공한다. 이 솔루션은 엔드 포인트를 지속적으로 모니터링해 정교한 위협을 탐지하고 분석, 대응한다. 머신러닝 기반 확장된 행위분석(XBA)을 적용해 파일리스 공격도 정확하게 탐지할 수 있으며, 최신 침해사고 지표(IoC)를 이용해 최신 악성파일을 빠르게 식별한다. 경량 에이전트로 엔드포인트 부하를 최소화하며, 관리 편의성을 높이고 충분한 가시성을 제공해 위협 전체를 식별할 수 있게 한다.

ID 침해 탐지·대응 통합한 EDR

랜섬웨어는 악성도구뿐 아니라 계정을 탈취해 정상 사용자와 정상 프로그램으로 위장도 하기 때문에 계정에 대한 보안 기술도 랜섬웨어 대응 방안에 추가해야 한다. 엔드포인트 보안 기업들이 위협 인텔리전스와 ID 위협 탐지 및 대응(ITDR) 솔루션을 통합하는 XDR이 랜섬웨어를 막을 수 있다고 강조하면서 시장을 공략하고 있다.

크라우드스트라이크는 AI와 경량 에이전트를 이용해 엔드포인트와 IAM 인프라에서 위협을 수집하고 클라우드에서 분석하며 고도의 전문성을 가진 위협 인텔리전스를 결합해 랜섬웨어를 막는다. 크라우드스트라이크 ‘팔콘(Falcon)’ 플랫폼은 인공지능·머신러닝 기반의 차세대 엔드포인트 보호(EPP), 엔드포인트 탐지 및 대응(EDR), 전문가 서비스인 관리형 위협 헌팅(MTH), 관리형 탐지 및 대응(MDR)을 통합하며, 자체 위협 인텔리전스 서비스와 다양한 클라우드 보안 서비스 등을 이용해 전방위적인 보안 침해를 완벽히 차단하는데 필요한 보안 모듈을 단일 플랫폼으로 제공한다.

센티넬원은 AI를 접목한 EPP·EDR 통합 솔루션과 기만기술 기반 ITDR로 지능적인 랜섬웨어를 막는다. 기만기술은 허니팟의 진보된 개념으로, 정상 환경과 동일하게 구성된 가상환경에 관리자 계정 등 공격자가 좋아할 미끼 정보를 넣는다. 공격자가 이를 이용해 침투하면 공격행위를 분석하고 대응책을 찾아내는 방법이다.

센티넬원은 경량 에이전트로 모든 기능을 다 수행할 수 있으며, 특히 AI 엔진까지 탑재돼 있어 외부 연결이 제한돼 클라우드 분석이 불가능한 상황에서도 위협을 탐지한다. 스토리라인 기반 위협 분석으로 풍부한 컨텍스트 정보를 제공해 분석가들이 정확하게 위협을 분석할 수 있게 한다. 또한 OS 섀도우 영역에 데이터를 백업해 랜섬웨어 공격을 당했다 해도 즉각 복구할 수 있게 한다.

센티넬원을 국내에 공급하는 굿모닝아이텍 보안자회사 조인어스비즈의 신현덕 상무는 “센티넬원은 엔드포인트 보안 분야에서 가장 뛰어난 기술을 가진 기업으로, 다양한 성공사례를 충분히 확보하고 있다. 11월 국제 CC 인증 취득 후 공공기관에도 마케팅 활동을 펼칠 계획”이라며 “조인어스비즈는 빠르게 확산되는 사이버 위협 환경에 대응할 수 있는 가장 뛰어난 솔루션을 제공해 고객을 보호한다”고 말했다.

XDR로 위협 통합 대응

엔드포인트가 매우 중요한 최초 침투 경로이지만, 최근에는 공개된 취약점, 유출된 계정, 취약한 공급망을 이용하기 때문에 엔드포인트 보안만으로 랜섬웨어를 막을 수 없다. 트렌드마이크로는 최근 랜섬웨어 침투 경로가 ▲랜섬웨어 페이로드(63%) ▲PsExec, 코발트 스트라이크 등 적법 도구 악용(53%) ▲데이터 유출(49%) ▲초기 액세스(42%) ▲내부망 이동(31%) 등이며, 이러한 활동은 엔드포인트 보안 솔루션만으로는 탐지할 수 없다고 설명한다.

그래서 모든 소스에서 위협 정보를 수집하고 통합 대응하는 XDR이 필요하다. 가트너는 공격자가 정상 사용자로 위장하거나 자동화 도구를 이용하거나 상관없이 XDR이 조기에 위협을 정확하게 탐지하고 손상된 엔드포인트를 즉시 격리하며, 로그·SIEM 데이터를 실시간으로 분석, 대응할 수 있다고 설명했다.

XDR은 네트워크, 엔드포인트 보안 솔루션을 함께 제공하는 거의 모든 솔루션 기업들이 일제히 추구하는 방향이다. XDR의 범위와 정의가 분명하게 정립된 것은 아니지만, 대체로는 여러 보안 기술을 통합시켜 단일화된 위협 탐지와 대응을 가능하게 하는 플랫폼을 말한다.

윤명익 트렌드마이크로 이사는 “랜섬웨어 대응을 위해서는 엔드포인트, 네트워크, 이메일 전반에 걸친 방어 전략이 필요하다. 또한 머신러닝·샌드박스 분석을 통한 시뮬레이션으로 악성 여부를 탐지하며, 데이터 백업으로 공격을 당해도 피해를 최소화할 수 있도록 해야 한다”고 설명했다.

트렌드마이크로는 보안 탐지·대응 기술을 통합 한 XDR 플랫폼 ‘비전원(Vision One)’으로 랜섬웨 어·APT를 방어한다. 500가지 탐지 모델링이 접목된 비전원은 공격자의 지능적인 위협 행위를 탐지하고, 탐 지 이벤트에 대한 위협 체인을 제공해 랜섬웨어 감염 원 인을 파악하고. 해당 내용을 조직 내 다른 보안 솔루션 과 공유해 자동으로 탐지·대응할 수 있게 한다.

트렌드마이크로의 머신러닝 기술은 파일의 디지털 DNA 지문을 파악해 기존 랜섬웨어와 유사한 API를 사용한 흔적을 발견하고 악성코드로 탐지할 수 있다. 이 기술은 시그니처, 휴리스틱 탐지보다 높은 정확도를 기록하고 있다.

비전원 XDR을 사용하는 국내 한 중견제조사는 타사 백신에서 탐지하지 못한 랜섬웨어를 비전원 XDR에서 탐지해 조기 대응함으로써 랜섬웨어 피해를 막을 수 있었다. IT 서비스 기업은 업무 관련 서류로 위장한 악성 문서가 전 직원 대상으로 발송되는 공격을 당했지만, 트렌드마이크로 이메일 보안 솔루션에서 사전에 제거돼 피해를 입지 않았다.

윤명익 이사는 “랜섬웨어 공격방식이 진화하고 공격 대상 운영체제 또한 다변화되면서 리눅스, OT 플랫폼 에서도 랜섬웨어 방어 기능이 강화되어야 할 필요가 있다. 트렌드마이크로는 이 기능을 지속적으로 발전시키는 한편, 자체 위협 인텔리전스와 외부 인텔리전스를 결합해 모든 고객에게 최신 랜섬웨어 대응 서비스를 제공할 것”이라고 말했다.