[데이터넷] 랜섬웨어가 조직적인 범죄로 진화하고 있다. 공격자 수익률을 높이기 위해 더 쉬운 방법으로 공격하고, 피해 조직이 돈을 주지 않을 수 없도록 지능적이고 집요하게 협박 수위를 올리고 있다. 악질적인 사이버 기업 범죄로 발전하는 랜섬웨어 공격 동향을 살펴보고, 현실적인 방어 방법을 알아본다.<편집자>

기업 전체 보안 수준 높여야

사이버 공격은 여러 경로를 통해, 다양한 방법을 이용해 전개된다. 그래서 개별 솔루션만으로는 랜섬웨어를 막지 못하며, 모든 보안 솔루션을 통합해 연계분석하고 위협 탐지·대응하는 XDR이 필요하다. XDR은 단일 벤더에서 모든 기능을 제공할 수 없기 때문에 개방형 XDR을 도입하는 것이 이상적이지만, 복잡성을 제거하기 위해 공급업체 수를 줄이거나 완벽한 통합을 지원하는 솔루션을 선택하는 것이 좋다.

XDR은 단순히 보안 솔루션을 나열하는데 그쳐서는 안되며, 기업 전체의 보안 수준을 높이고 중단없이 보호할 수 있어야 한다. VM웨어는 공격자가 방어도가 약한 낮은 시스템을 손상시킨 다음 측면으로 이동해 더 높은 가치의 시스템에 침투한다는 점을 강조하며, 네트워크 세그멘테이션, 마이크로 세그멘테이션, 기타 필수적인 측면 보안 툴이 배포되어야 한다고 강조한다. 사용자, 기기, 네트워크, 애플리케이션, 데이터 전반에 걸친 가시성과 통합 보안이 필수다.

채드 스키퍼(Chad Skipper) VM웨어 글로벌 보안 기술자는 “확대되는 공격 영역을 방어하기 위해 보안 팀은 워크로드, 장치, 사용자 및 네트워크 전반에 걸쳐 사이버 위협을 탐지, 보호 및 대응할 수 있는 적절한 수준의 가시성이 꼭 필요하다”며 “보안 팀이 불완전하고 부정확한 데이터를 기반으로 의사 결정을 내릴 때 세분화된 보안 전략을 구현하는 능력이 제한되고, 시스템의 맥락이 제한적일 경우 공격의 측면 이동을 감지하고 차단하려는 노력이 방해받을 수 있다”고 지적했다.

XDR·TI·복구 서비스 연계한 랜섬웨어 방어

이러한 맥락에서 VM웨어는 XDR과 위협 인텔리전스, 그리고 복구 서비스를 랜섬웨어 방어를 위해 제안한다.

랜섬웨어 공격 탐지와 차단을 위한 XDR ‘카본블랙 클라우드’는 엔드포인트 탐지 플랫폼에 네트워크 탐지와 가시성을 내재해 횡적 보안을 가능케 한다. 카본블랙 클라우드는 인프라 또는 엔드포인트의 변경 없이 엔드포인트에 네트워크 탐지와 가시성을 추가해 고객이 엔드포인트 및 네트워크 전반에서 환경에 대한 가시성을 확장하고 공격자가 숨을 곳이 없게 한다.

위협 인텔리전스 ‘콘텍사(Contexa)’는 사용자부터 기기, 네트워크, 런타임, 데이터에 이르기까지 모든 단계에 걸쳐 최신 앱과 기존 앱의 내부 작동을 관찰하고 파악할 수 있다.

콘덱사는 기술 파트너십을 통해 사용 가능한 인텔리전스를 수집하고, VM웨어와 협력사 연구원의 분석과 머신러닝 기반 분석으로 정확한 위협 정보를 제공한다. 콘텍사는 매일 22억 개 이상의 의심스러운 활동을 발견하며, 이중 80% 이상의 이벤트를 제로 터치 방식으로 감지하고, 점진적이며 자동화된 대응을 수행한다.

나아가 VM웨어는 클라우드 DR 용 랜섬웨어 복구도 제공한다. 서비스 방식으로 제공되는 이 솔루션은 VM웨어 클라우드 온 AWS에서 격리된 온디맨드 복구 환경을 사용, IT·핵심 사업(LOB) 프로덕션 워크로드 재감염을 방지하는 안전한 복구를 지원한다.

VM웨어 관계자는 “아무리 방어력이 뛰어나도 공격자가 침투할 수 있다. 인프라가 전체 워크로드의 스냅샷을 생성할 수 있도록 지원하고 이러한 스냅샷이 깨끗한지 실시간으로 확인해야 공격을 당했다 해도 즉시 비즈니스를 복구할 수 있다. 랜섬웨어 방어를 위해서는 즉각적이고 안전한 복구가 필수”라고 강조했다.

인텔리전스 결합 XDR 필수

랜섬웨어 트렌드가 시시각각 변하기 때문에 위협 인텔리전스는 랜섬웨어 방어를 위해 앞으로 더 중요해질 것으로 보인다. 그래서 XDR 솔루션 기업들도 ‘즉시 사용 가능한 인텔리전스’를 랜섬웨어 방어 특장점으로 소개하고 있다.

대표적으로 트렐릭스의 경우, 맨디언트에서 제공하는 인텔리전스와 함께 트렐릭스가 직접 수집, 분석하는 실시간 글로벌 쓰렛 인텔리전스(GTI)를 제공하며, 현재와 과거의 정보를 기반으로 실시간 탐지되는 위협에 대응할 수 있게 한다.

임현호 트렐릭스코리아 지사장은 “트렐릭스의 인텔리전스는 고객의 환경, 규모, 운영능력 등 다양한 요구에 맞춤형으로 제공될 수 있으며, 현재 발생하고 있는 위협 정보를 빠르게 제공해 진행중인 위협에 적확하게 대응할 수 있도록 돕는다. 그리고 이 정보를 XDR 플랫폼과도 연관시켜서 기업·기관의 모든 환경에서 발생하는 이상정황을 식별하고, 대응할 수 있게 한다. 그것이 트렐릭스 XDR 플랫폼의 가장 큰 장점”이라고 설명했다.

트렐릭스는 ‘제로 랜섬웨어 아키텍처’를 강조하면서 모든 소스에서 위협을 식별하고 대응하는 것에 그치지 않고, 데이터에 대한 비정상적인 접근까지 탐지하고 차단해 랜섬웨어 시도를 사전에 차단할 수 있게 한다. 최근 랜섬웨어는 데이터를 유출한 후 이를 공개한다고 협박하면서 몸값을 받아내는데, 데이터 접근과 유출을 통제하는 트렐릭스 데이터 보호 기술을 사용하면 랜섬웨어 피해 가능성을 크게 낮출 수 있다.

트렐릭스는 파이어아이 제품사업부와 맥아피 엔터프라이즈가 통합돼 지난해 초 설립된 기업이다. 파이어아이, 맥아피가 수십년동안 축적한 전문성과 충성도 높은 고객들이 있기 때문에 비즈니스 성장세가 높은 편이다. 특히 지난해에는 엔터프라이즈 시장에서 주목할만한 성과를 거뒀으며, MSSP를 통한 중소·중견기업 시장에서도 좋은 결과를 내고 있다.

임현호 지사장은 “트렐릭스는 이미 파이어아이, 맥아피의 검증된 솔루션이 통합된 XDR 플랫폼이기 때문에 고객의 이해가 매우 높은 편이다. 기존 양사 고객의 보안사업에 우선 검토 대상이 되고 있으며, XDR 기능의 통합 수준도 매우 높은 편이어서 고객의 보안운영을 크게 향상시킬 수 있다른 평가를 받아 여러 신규고객에게도 적용되고 있다”며 “한국의 더 많은 다양한 고객에게 트렐릭스 XDR을 소개할 수 있도록 여러 활용사례를 만들고 제안하고 있다. 이를 통해 한국 고객이 보안 효율성을 향상시키고, 안전한 디지털 전환에 나설 수 있도록 하겠다”고 밝혔다.

전문 복구 솔루션 통합해 랜섬웨어 대응 효과 높인 XDR

위협 인텔리전스 분야에서는 시스코의 활약도 주목할만하다. 시스코의 ‘탈로스(Talos)’는 전 세계에서 인정받는 위협분석 조직으로, 중요한 보안위협 탐지와 분석, 침해사고 대응을 통해 축적한 다양한 인텔리전스를 제공한다.

시스코는 탈로스 인텔리전스를 자사 보안 플랫폼과 연계해 사용할 수 있게 한다. 시스코 XDR은엔드포인트부터 네트워크, 클라우드, 이메일, 애플리케이션 등 중요한 소스에서 발생하는 위협을 통합 분석, 대응한다. 매니지드 서비스로도 제공되며, SOAR와 IR, 위협 가시성과 헌팅, 취약점 분석 등의 다양한 기능도 통합됐다. 대응 과정에 복구 기능을 추가하며 랜섬웨어 공격 이후 비즈니스 운영 시스템을 거의 실시간으로 복구할 수 있게 하는 등 보안 솔루션 기능을 강화한다

또한 시스코 XDR은 랜섬웨어 공격 징후 발생 시점에 중요한 비즈니스 데이터 감지, 스냅샷 저장, 복원을 자동으로 수행하는 기능을 지원한다. 랜섬웨어가 고가치 자산에 접근하기 위해 네트워크를 통해 내부망으로 이동하기 전에 작동돼 피해를 막을 수 있다.

더불어 시스코는 XDR의 서드파티 솔루션 통합 확장의 일환으로 서비스형 재해복구(DRaaS) 기업 코히시티(Cohesity)의 솔루션 데이터프로텍트, 데이터호크와 통합 솔루션도 발표했다. 코히시티의 제품은 보호 계획에 할당된 시스템에 대해 구성 가능한 복구 지점과 대량 복구를 제공하며 데이터 백업·복구 능력이 뛰어나다.

한편 시스코는 AI 기반 이메일 보안 기업 아모블록스(Armorblox)를 인수하며 이메일 보안 역량을 한층 강화했다. 아모블록스는 이메일 내용을 분석해서 사기 위험을 경고하는 탁월한 기술을 가진 기업으로, 데이터 유출, BEC, 공급업체 사기, 계정탈취 등의 위협을 선제적으로 차단할 수 있다.

황성규 시스코코리아 상무는 “시스코는 글로벌 보안 시장에서 최대 매출을 올리는 기업이며, 매년 엄청난 규모의 보안 투자를 단행하고 있다. 그 결과로 완성된 제품 중 하나인 시큐어X는 사이버 보안 메시 아키텍처(CSMA)를 구현할 수 있는 포괄적인 플랫폼으로, 탈로스 인텔리전스와 결합해 랜섬웨어를 포함한 다양한 공격 위협을 체계적으로 방어할 수 있다”며 “시스코는 보안 전반에 AI를 결합해 SOC를 효율화하며, 보안 위협 대응을 한층 더 강화할 수 있도록 돕고 있다”고 설명했다.