공격에 가장 많이 이용되는 AD 보호로 랜섬웨어 선제 차단
[데이터넷] 랜섬웨어가 조직적인 범죄로 진화하고 있다. 공격자 수익률을 높이기 위해 더 쉬운 방법으로 공격하고, 피해 조직이 돈을 주지 않을 수 없도록 지능적이고 집요하게 협박 수위를 올리고 있다. 악질적인 사이버 기업 범죄로 발전하는 랜섬웨어 공격 동향을 살펴보고, 현실적인 방어 방법을 알아본다.<편집자>
APT 방어·백업 통합 플랫폼으로 방어
랜섬웨어는 APT와 결합해 진행되기 때문에 APT 방어와 백업·복구를 통합해야 한다. 아크로니스가 이 주장을 강력하게 펼치면서 사전 예방적 사이버 보호 조치의 필요성을 강조한다. 건전한 사이버 보안 태세를 유지하려면 안티 멀웨어, EDR, DLP, 이메일 보안, 취약성 평가, 패치 관리, 원격 모니터링 및 관리(RMM), 백업 기능을 결합한 다계층 솔루션이 필요하고 강조한다. AI, 머신 러닝, 행동 분석을 결합한 고급 솔루션을 활용하면 랜섬웨어와 데이터 도용자가 제기하는 위험을 완화하는 데 도움이 될 수 있다.
아크로니스는 단일 통합 플랫폼에서 이 기능을 모두 지원할 수 있다고 자신한다. 아크로니스는 안티멀웨어를 대체하는 ‘액티브 프로텍션(Active Protection)’ 기능으로 랜섬웨어를 차단하고 복원한다. 문서, 미디어 파일, 프로그램, 백업 파일 등 시스템의 모든 데이터를 모니터링해 이상행위를 탐지·차단하며, 단일화된 운영관리 콘솔을 이용해 복잡성과 비용을 최소화하고, 보안과 개인정보 보호 요건을 만족시킨다. 우리나라를 포함한 전세계 52곳에 보유한 전용 클라우드 데이터센터를 통해 데이터 보호와 보안 전용 통합 플랫폼 서비스를 제공한다.
아크로니스 사이버 보호는 GS칼텍스, 슈프리마 등 다양한 산업군의 고객에게 공급됐으며, 디딤365, 콘텐츠 브릿지, 알파인소프트 등 MSP를 통해서도 제공되고 있다.
전현근 아크로니스코리아 부장은 “랜섬웨어 공격자들은 2차·3차 벤더를 공격해 1차 벤더까지 위협하는 고도의 수법을 사용한다. 지능화된 공격을 방어하기 위해서는 데이터를 보호하는 것이 가장 중요하다. 아크로니스는 랜섬웨어 멀웨어 탐지부터 백업, 복구까지 중단없이 지원하는 제품군을 제공해 랜섬웨어 선제방어와 피해 최소화를 보장한다”며 “앞으로 아크로니스는 네트워크 보안, 클라우드 보안 역량을 한층 더 높여 모든 위협으로부터 데이터를 안전하게 보호할 수 있도록 할 것”이라고 말했다.
AD 보호 결합한 백업으로 랜섬웨어 피해 예방
랜섬웨어 공격에 취약한 인프라 중 하나가 AD다. 공격자는 AD 권한을 탈취해 지속적으로 랜섬웨어를 유포하고, AD를 마비시켜 비즈니스를 중단시키기도 한다. AD의 중요한 데이터를 탈취해 공개하는 것도 기본으로 수행하는 것이다. AD를 이용한 공격이 이어지고 있는데 국내에서는 AD 보호에 대한 관심이 위협에 비해 낮은 편이다.
채홍소 퀘스트소프트웨어코리아 이사는 “국내 AD 사용률이 낮아 AD 보안에 대한 관심이 적은 것은 사실이다. 그러나 많은 랜섬웨어 공격이 AD를 노리고 있으며, 실제로 공격이 빈번하게 발생하고 있어 AD 보안에 대한 관심이 높아지고 있다”며 “퀘스트소프트웨어는 AD 타깃 공격 방어는 물론 복구 기능까지 제공하는 유일한 기업으로, AD 타깃 랜섬웨어 공격 위협을 효과적으로 완화할 수 있다”고 말했다.
채홍소 이사는 AD 타깃 공격 위협이 가장 높은 산업으로 제조업을 꼽았다. 중소·중견 제조기업은 IT 인력이 충분하지 않아 AD 운영을 제대로 하지 못한다. 많은 경우 마이크로소프트에서 AD 보안까지 책임질 것으로 생각하고 있어 AD 타깃 공격에 대응하지 못한다. 랜섬웨어 공격자들은 이러한 취약점을 악용해 반복적으로 AD를 공격하고 수익을 얻는다. 글로벌 기업들의 경우 보안이 약한 지점·지사를 통한 AD 침해와 확장이 이어지고 있어 심각한 상황이다.
퀘스트소프트웨어는 가트너의 AD 보호를 위한 11개 솔루션을 제공하는 유일한 기업으로, AD 보호와 복구를 통한 랜섬웨어 대응 역량을 제공한다.
한편 퀘스트소프트웨어는 백업·DR 솔루션 제품군도 갖추고 있어 랜섬웨어 피해에도 비즈니스 중단을 최소화하면서 복구할 수 있도록 한다. 퀘스트소프트웨어는 데이터 보호를 위한 ‘넷볼트(NetVault)’와 소프트웨어 정의 중복제거·복제를 위한 ‘코어스토어(QoreStor)’를 통합한 ‘넷볼트 플러스’로 랜섬웨어 피해를 예방한다.
넷볼트 플러스는 리눅스 기반 백업으로 윈도우 환경을 타깃으로 하는 거의 대부분의 랜섬웨어로부터 백업 솔루션을 보호한다. 데이터 저장소와 백업 서버를 완벽하게 분리해 백업서버가 감염된다 해도 저장소 데이터에 영향을 주지 않도록 한다. 코어스토어는 자체 형식으로 데이터를 저장해 백업 서버에서 가시적으로 읽기 가능한 파일 시스템을 없게 만들어 데이터를 보호한다.
비개방형 RDA 프로토콜을 사용하며, 허가된 넷볼트 프로토콜만 접근하도록 하고, 고유 로그인과 암호를 사용해 권한없는 사용자의 접근을 차단한다. 불변 백업 스토리지 기능도 제공해 미리 정해진 기간이 만료될 때 까지는 수정·삭제를 불가능하게 해 공격자가 임의로 데이터를 변경하지 못하게 한다.
이와 함께 UEM 솔루션 ‘KACE’를 제공해 엔드포인트 취약성 검사, 패치 적용, 보안 업데이트를 제공해 취약성을 이용한 랜섬웨어 공격을 사전에 차단한다.
윤상철 퀘스트소프트웨어코리아 이사는 “랜섬웨어로부터 백업 데이터를 보호하고 안전하게 복구하기 위해서는 공격자가 침투했다 해도 데이터를 안전하게 보호하는데 초점을 맞춰야 한다. 퀘스트소프트웨어는 리눅스 OS와 독점 프로토콜로 공격자의 접근을 차단하며, 백업 서버와 데이터 스토리지를 분리해 서버를 감염시킨 공격자가 백업 데이터에 접근하지 못하도록 한다. 또한 안전한 복구를 지원해 랜섬웨어 피해를 최소화 할 수 있도록 돕는다”고 말했다.
