EPP·EDR·CIT 결합시켜 지능적 악성코드 선제 차단
[데이터넷] 랜섬웨어가 조직적인 범죄로 진화하고 있다. 공격자 수익률을 높이기 위해 더 쉬운 방법으로 공격하고, 피해 조직이 돈을 주지 않을 수 없도록 지능적이고 집요하게 협박 수위를 올리고 있다. 악질적인 사이버 기업 범죄로 발전하는 랜섬웨어 공격 동향을 살펴보고, 현실적인 방어 방법을 알아본다.<편집자>
C2 통신 없이 악의적 행동하는 악성코드
공격자는 랜섬웨어 악성코드를 유포하기 위해 다양한 침투 방법을 사용한다. 최근에는 리눅스, 맥OS를 노리는 악성코드가 크게 늘고 있어 대안 마련이 시급하다. 사이클롭스(Cyclops)의 경우, 리눅스와 맥OS 타깃 공격은 고(Go) 언어로 작성했으며, 비대칭 암호화·대칭 암호화가 혼합된 복잡한 암호 알고리즘을 사용해 복호화 시도를 무력화한다.
클라우드 인프라가 대부분 리눅스로 운영되기 때문에 리눅스 타깃 랜섬웨어는 대규모 클라우드 인프라 공격으로 이어질 수 있어 특히 조심해야 한다. 트렌드마이크로 조사에서는 올해 상반기 리눅스 타깃 랜섬웨어가 전년동기대비 62% 증가한 것으로 분석됐으며, 특히 로얄(Royal) 랜섬웨어가 리눅스를 대상으로 공격을 진행하고 있다.
아크로니스는 랜섬웨어 악성코드는 AI를 사용해 보안 탐지를 우회하고 있으며, 멀웨어는 평균 2.1일동안 존재하고 멀웨어 샘플의 73%는 단한번만 발견된다고 설명했다. 즉 시그니처 기반 탐지 솔루션으로는 멀웨어를 탐지하지 못한다는 뜻이다.
위협 인텔리전스 기업 HYAS 랩이 AI를 이용해 공격시점에 즉시 악성코드를 생성해 C2 통신 없이, 보안 솔루션 탐지를 회피할 수 있는 악성코드 ‘블랙맘바(BlackMamba)’ 개념증명에 성공해 관심을 받았다.
에스케어가 설명한 블랙맘바는 오픈AI 소스 API를 통해 일반적인 결과 값을 제공받아 활용하며, 사용자 키 입력을 도용하는 키로거 악성 코드 등 다양한 악성코드를 생성했다. 실행될 때마다 악성코드 부분에 변화를 주어 필요한 코드를 재 합성하고 구성 요소를 다형성을 가진 객체로 만들어 활용할 수 있다.
퍼블릭 클라우드 등 거대 인프라를 활용해 짧은 시간동안 공격하기 때문에 패턴 기반 EPP 탐지와 행위 기반 EDR 탐지로 대응이 어렵다. 단기간 활동하는 위협 캠페인, 취약점 기반 공격을 이전에 반복적으로 공격에 이용된 증거를 이용하는 IOC, TTP 방어 체계에 빠르게 적용할 수 있는 기술이 필요하다.
EPP·EDR로 악성코드 제거
안티 바이러스와 시그니처 기반 랜섬웨어 차단 솔루션으로 막을 수 없는 랜섬웨어 공격에 대응하기 위해서는 EDR이 필수로 요구된다. 국내 EDR 시장에서는 지니언스의 ‘지니안 EDR’이 가장 높은 점유율을 차지하고 있다.
지니안 EDR은 엔드포인트에서 발생하는 모든 이상행위를 탐지하고 대응할 수 있게 한다. 최신 IoC와 머신러닝, 행위기반 분석, 야라 등 다단계 위협 탐지 엔진을 사용해 악성코드 사전 유입부터 사후 실행, 확산, 은닉 등 전 단계를 탐지하고 분석한다.
지능형 우회공격을 탐지하기 위해서는 엔드포인트 보호 플랫폼(EPP)과 엔드포인트 탐지 및 대응(EDR)의 결합이 필수다. 안랩은 EPP ‘V3’로 랜섬웨어 악성코드 차단, 랜섬웨어 보안 폴더 기능을 통한 중요 파일 암호화 차단 기술을 제공한다. MDS로 알려지지 않은 악성코드를 식별하며, EDR을 통해 파일 변경사항을 식별하고 무단 변경은 볼륨 섀도우 카피(VSS) 기능을 활용해 파일 변경 전 상태로 돌린다.
안랩은 MDR 서비스를 통해서도 랜섬웨어 공격을 차단한다. 실제 탐지 사례를 소개하면, MDR 서비스 이용 고객의 직원이 오타로 인해 피싱 사이트에 접속했으며, MSI 확장자를 가진 악성파일이 다운로드 됐는데, 안랩 MDR 서비스가 이를 탐지해 고객에게 알려 피해를 막을 수 있었다. 안랩 EDR은 MDR 서비를 기본 제공해 보안 전문성을 충분히 갖지 못한 고객도 지능화된 랜섬웨어를 막을 수 있게 한다.
안랩 관계자는 “랜섬웨어 파일 포맷이 다양해지고 있다. EXE, PE, JS 스크립트뿐만 아니라 CPL, MSI 형태로도 제작돼 백신 탐지를 우회한다. 안랩은 다양한 파일 포맷에 맞게 분석 엔진을 고도화하며, V3, MDS, EDR 제품간 탐지 정보 공유를 통해 빠르고 정확하게 랜섬웨어에 대응할 수 있는 방법을 연구하고 있다”고 밝혔다.
위협 인텔리전스 연계 대응 제안
이스트시큐리티는 악성코드 선제 차단 기술과 함께 랜섬웨어 피해를 근본적으로 제거하는 전방위 랜섬웨어 대응 전략을 전개한다.
랜섬웨어 악성코드를 선제 차단하기 위해 EPP 솔루션 ‘알약’으로 악성 파일과 알려진 이상행위를 감지하고, ‘알약 EDR’이 알려지지 않은 랜섬웨어의 의심행위를 선차단한다. 이후 위협 인텔리전스 ‘쓰렛 인사이드’를 통해 의심 파일을 분석하고, 분석된 정보를 다시 알약 EDR을 통해 제품에 반영시켜 신·변종 랜섬웨어를 차단한다.
취약점을 이용하는 랜섬웨어 공격 시도를 차단하기 위해 알약 패치관리(PMS)를 제안한다. PC 업데이트 현황을 실시간 확인해 패치 업데이를 진행, 취약점 이용 공격을 미연에 방지한다.
더불어 문서중앙화 솔루션 시큐어디스크로 랜섬웨어가 감염시킬 ‘데이터’를 PC에서 제거한다. 시큐어디스크는 모든 문서를 중앙서버로 이관시켜 내부자료 유출·유실 방지와 통합관리가 가능하다. 중앙화 서버에 문서는 암호화 저장돼 랜섬웨어 공격이 무단으로 변경시키지 못한다.
한편 이스트시큐리티는 세종대 연구팀, 미국 버지니아 대학, MITRE와 함께 랜섬웨어 공격 대응을 위한 국제공동연구를 진행하고 있다. 랜섬웨어 피해를 최소화하기 위한 랜섬웨어에 대한 초고속 탐지, 랜섬웨어 변종에 대한 빠른 대응을 위한 심층 프로파일링 기술, 그리고 RaaS 등에 전략적인 대응을 위한 랜섬웨어 그룹 식별 기술 연구를 통해 랜섬웨어에 대한 공격 억제, 복구 기술을 연구하고 있다.
