[데이터넷] 랜섬웨어가 조직적인 범죄로 진화하고 있다. 공격자 수익률을 높이기 위해 더 쉬운 방법으로 공격하고, 피해 조직이 돈을 주지 않을 수 없도록 지능적이고 집요하게 협박 수위를 올리고 있다. 악질적인 사이버 기업 범죄로 발전하는 랜섬웨어 공격 동향을 살펴보고, 현실적인 방어 방법을 알아본다.<편집자>

인텔리전스 SOC로 진보한 방어체계 구축

기존 EDR은 엔드포인트에 대한 가시성 확보에 주력했지만, 이제는 엔드포인트 내의 모든 프로세스를 감시하고, 비정상행위 실시간 탐지·차단, 공격에 이용된 모든 관계 요소들을 찾아 영향을 받은 모든 엔드포인트를 사고 전으로 완벽하게 복원할 수 있도록 하고 있다.

EDR 체계가 복원 기능을 제공하지 않는다면, 공격에 노출이 되었거나, 잠재적 위협이 존재하는 모든 시스템을 재구축해야 하는 리스크가 발생한다. 공격 그룹은 다양한 요소를 은닉해 장기적으로 운영하기 때문에, 공격과 관련된 유입, 변화 항목을 모두 완벽하게 찾아내고 위협 항목 제거 및 변경 항목 복원 과정은 필수다.

교묘한 회피와 은닉에 집중하는 공격에 대응하기 위해 공격 거점에서 비정상 행위를 감지하는 탐지능력을 기본으로 갖춰야 한다. 그래서 EDR 뿐만 아니라 위협 인텔리전스, SOAR, XDR이 함께 필요하다.

에스케어는 이를 통합한 인텔리전스 SOC로 사이버 하이진(Cyber Hygiene)을 이뤄야 한다고 설명한다. 글로벌 인텔리전스와 해커그룹 동향을 파악해 새로운 위협까지 식별하고 조치할 수 있어야 한다는 설명이다.

윤우희 에스케어 부사장은 “에스케어는 진보된 방역체계 구축을 위해 인텔리전스 SOC를 제안한다. 인텔리전스 서비스가 결합된 SOC는 공격그룹 동향, 공격 메소드, 공격에 적극적으로 활용되는 취약점, 동종업계의 피해현황을 모니터링할 수 있다. 이를 통해 유사한 공격이 기업 내부로 유입되지 않도록 XDR 위협 탐지감도를 높이고 프레임워크의 방어체계를 기동할 수 있다. 인텔리전스를 통해 해커그룹 및 언더그라운드 포럼에서 자사를 언급하는 내용과 임직원 계정이 유통되는 내용을 감시하여 해당 계정을 통해 내부로 진입하려는 시도를 무력화해야 한다”고 설명했다.

에스케어는 인텔리전스 SOC를 위해 EDR·XDR 솔루션 센티넬원, 위협 인텔리전스 레코디드퓨처, SOAR 스윔레인, SIEM 엘라스틱, ID·PAM 사이버아크, 이메일 보안 프루프포인트, XEM 태니엄, 데이터 보호 시만텍 등을 연계한 개방형 XDR 프레임워크를 구축해 기업 보호 수준을 높인다.

센티넬원 한국 총판 에스케어는 센티넬원의 개방형 XDR 플랫폼을 활용한 인시던트 분석·대응 서비스를 고객에게 제공한다. 센티넬원에서 수집된 로그를 레코디드퓨처 등 위협 인텔리전스로 검증하고 심각한 위협 로그에 분석정보를 추가해 관리자의 개입 시, 문제 분석 및 대응 조치 시간을 줄여준다. 위협 수준이 낮고 반복적이며, 일반적인 처리 해결 대상은 스윔레인을 통해 자동화 종결 처리할 수 있다.

네트워크 위협 방어도 중요

랜섬웨어 대응에서 간과하기 쉬운 것이 네트워크 보안 기능이다. 랜섬웨어가 감염시키는 ‘엔드포인트’와 랜섬웨어가 파괴하는 데이터를 보호하는데 초점을 맞추다보면, 네트워크 보안 역할을 소홀히 할 수 있다. 랜섬웨어 종합 대응을 위해 제안되는 XDR에서도 네트워크 보안 기능이 중요하게 고려된다.

체크포인트는 엔드포인트부터 네트워크, 클라우드 전반에 이르는 위협 탐지·대응 기술과 위협 인텔리전스를 보유하고 있지만, 무엇보다 탁월한 네트워크 방화벽의 보안 기능을 통한 랜섬웨어 방어 효과가 매우 크다고 강조한다.

체크포인트의 ‘퀀텀’ 방화벽은 전세계에서 수집되는 랜섬웨어 공격자들이 사용하는 URL, IP 주소, 악성파일 최신 정보를 실시간으로 제공한다. 샌드박싱 분석과 파일 무해화 기능을 지원해 악성 파일이 샌드박스에서 분석되는 중에도 무해화된 파일을 이용해 업무를 진행할 수 있다.

더불어 실시간 위협 인텔리전스 서비스 ‘쓰렛클라우드’를 활용해 전 세계에서 수집하는 모든 위협 정보를 분석해 체크포인트 고객에게 배포, 새로운 위협에도 즉시 대처할 수 있게 한다. 인텔리전스 시각화 서비스 ‘라이브 사이버 쓰렛 맵’을 통해 누구나 전 세계에서 발생하는 위협 현황을 알 수 있다.

이동하 체크포인트코리아 지사장은 “공격방식이 5세대로 접어들면서 웹사이트 콘텐츠 분석, 네트워크 트래픽 제어, 다운로드 파일 분석, 이메일 보안 등 다양한 고급 보안 기능이 포함된 통합 보안 분석 솔루션이 필요하게 됐다. 또 정확하고 빠른 위협 인텔리전스 역시 필수”라며 “체크포인트는 ‘예방을 최우선으로’라는 목표로, 고급 위협 방지 기술(ATP)과 방대한 위협 인텔리전스를 기반으로 위협을 실시간으로 탐지·차단하고, 지능화된 랜섬웨어 공격에 효과적으로 대응하고 있다”고 말했다.

공격표면 관리로 랜섬웨어 선제 차단

최근 XDR 시장에서 나타나는 중요한 트렌드 중 하나가 공격표면관리(ASM)다. 공격자가 침투할 수 있는 모든 지점을 제거해 공격을 원천 봉쇄하는 ASM은 ‘실시간 자동화된 레드팀’으로 비유되기도 한다. XDR과 ASM이 결합되면, 공격접점을 실시간으로 제거하면서 동시에 실시간 발생하는 이벤트를 빠르게 탐지, 대응하기 때문에 공격이 피해로 이어지기 전에 막을 수 있다.

트렌드마이크로가 이러한 주장을 하는 대표적인 기업으로, XDR 플랫폼 ‘트렌드 비전 원’에 ‘어택 서피스 리스크 매니지먼트(ASRM)’를 통합해 공격을 선제적으로 차단한다. 또한 트렌드마이크로는 자체 인텔리전스와 제로데이 이니셔티브(ZDI)를 통한 신규 취약점 정보를 실시간 반영해 위협 탐지·대응 효과를 높인다. 트렌드마이크로 위협 인텔리전스는 35년 이상 보안 전문성이 결집된 인텔리전스 서비스로, 전 세계에서 발생하는 위협을 가장 빠르고 정확하게 분석하고 제공할 수 있다.

ASM 통합 XDR 전략은 팔로알토 네트웍스도 제안하는 것이다. ASM 솔루션 ‘코어텍스 익스팬스(Cortex Xpanse)’를 ‘코어텍스 XDR’, ‘코어텍스 XSOAR’, 유닛42의 위협 인텔리전스와 연계해 외부 공격 접점을 제거할 수 있다고 강조한다.

코어텍스 익스팬스는 인터넷에 연결된 모든 자산을 지속적으로 모니터링해 알려지지 않은 노출을찾는다. 노출된 RDP 계정, 만료된 인증서, 사용하지 않는 서버 OS 버전, 단종된 이메일 플랫폼 등 공격에 이용될 수 있는 것을 찾으며, 컨텍스트 기반 분석으로 위험순위에 따른 조치가 가능하도록 돕는다.

장성민 팔로알토 코리아 상무는 “랜섬웨어 방어의 가장 좋은 방법은 엔터프라이즈 환경 전반에 대한 가시성을 확보하고 보호를 강화하는 것이다. 실시간 모든 레이어에서 행위를 확인하고 악성행위를 격리하며, 위협 인텔리전스를 통한 빠른 대응과 공격표면 관리를 통한 위협 완화가 필수”라며 “팔로알토는 이에 필요한 기술을 모두 제공하면서 중요 자산과 보안 고려사항에 따라 우선순위를 지정하고 교정할 수 있도록 지원해 효과적인 랜섬웨어 방어가 가능하도록 한다”고 말했다.