지난주 클리앙 등 온라인 커뮤니티 등 웹사이트를 통해 크립토락커 랜섬웨어가 유포돼 많은 피해를 입히고 있다. 이 공격은 웹사이트 방문자PC를 감염시켜 소프트웨어나 인터넷익스플로러 취약점을 이용해 사용자 PC의 파일을 암호화 한 후 금전을 요구하는 것으로, 우리나라 사용자를 타깃으로 한 한글화된 공격이 발견됐다는 점에서 앞으로 더욱 피해가 확산될 것으로 보인다.
감염된 PC 격리조치해야
블루코트코리아(대표 김기태)는 이 공격을 분석한 보고서를 발표하고, ‘랜섬웨어 위협 대응 위한 5단계 보안 전략’을 27일 발표했다.
보고서에 따르면 공격 피해를 입은 PC는 시스템 파일을 제외한 MS 오피스 및 한글 문서 파일, 압축 파일, 동영상, 사진 등을 암호화해 정상적으로 사용하지 못하게 만든 뒤 이를 풀어주는 조건으로 돈을 요구한다. 특히 비트코인 또는 추적이 어려운 전자 화폐 수단이 사용돼 추적하는 것도 쉽지 않다. 또한 비용을 지불한다 하더라도 데이터 복원이 불가능하다.
이번 크립토웨어 경유지는 다양한 도메인을 사용하며 계속해서 변형되므로 URL 및 URI를 차단하는 것만으로는 공격을 방어할 수 없다는 한계가 있다. 또한 공격자의 의도에 따라 IP도 쉽게 변경할 수 있다는 점에서, 현재로서는 악성 사이트를 빠르게 탐지하고 이미 감염된 PC를 격리 조치하는 것만이 현재의 위험을 줄이는 최선의 대응 방안으로 제시되고 있다.
랜섬웨어 다양한 보안위협 행위 탐지
블루코트도 멀웨어를 감지해 보호된 영역 내에서 위험 여부를 분석하는 샌드박싱 기술을 적용한 멀웨어 분석 솔루션인 ‘MAA’와 ‘블루코트 글로벌 인텔리전스 네트워크’를 활용해 클리앙 랜섬웨어(CRYPTOLOCKER) 공격 양상을 확인했다.
블루코트코리아가 클리앙 랜섬웨어 분석결과 메모리 참조, 실행파일등록, 네트워크 트래픽 유발내역 등이 확인되었으며 C&C 서버로의 통신 시에도 랜섬웨어의 다양한 보안 위협 행위들이 탐지 되었다. 또한 금융 정보 탈취 멀웨어로 유명한 ‘Emotet Trojan’도 확인되었다.
보안체계 구축 5단계 지켜야
한편 블루코트코리아는 랜섬웨어로부터 PC와 파일을 보호하기 위한 ‘인텔리전스 보안 체계 구축 5단계’를 발표했다.
◇보안 프로그램 최신 버전으로 업데이트: 사용자들은 OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램의 최신 보안 패치를 적용해야 한다. 또한 백신의 최신 버전을 설치하고 자동업데이트 및 실시간 감시 기능을 실행하는 것이 좋다. 제목이 자극적이거나 출처가 불분명한 메일에 첨부된 파일은 실행을 자제하고 링크 주소를 클릭하지 않는 것이 안전하다.
기업 보안 담당자는 사내 모든 PC및 서버의 OS(운영체제), 응용소프트웨어의 최신 보안 패치가 적용될 수 있도록 조치를 해야 한다. 특히 경우에 따라 신속하게 외부 네트워크로부터 시스템이 차단될 수 있도록 정책을 변경하고 장기간 사용하지 않는 PC는 전원을 끄고 네트워크에서 분리해야 한다.
◇정기적인 백업: 주기적으로 전체 시스템 및 데이터를 증분·차등 백업하는 것으로 자동 설정하면 편리하게 업데이트된 내용만 추가적으로 저장되므로 백업 속도도 빠르고 디스크 공간도 절약할 수 있다.
또한 사용중인 PC의 하드디스크에 물리적 손상이 발생하거나 시스템 문제로 부팅이 되지 않을 때에도 데이터를 안전하게 유지할 수 있도록 백업된 데이터는 별도의 이동식 드라이브 및 외부 저장소에 저장해두는 것이 안전하다. 최종적으로 백업된 데이터도 사용자가 자체적으로 암호화해 안전하고 확실하게 데이터 보안을 유지해야 한다.
◇최신 악성코드 탐지 솔루션을 활용해 멀웨어 탐지: 샌드박스나 기타 다양한 탐지 툴을 이용하여 알려지지 않은 악성코드 분석이 필요하다. 특히 시그니처 기반의 현 보안 시스템 기반의 한계 극복을 위해 실시간으로 모든 트래픽을 저장하고, 각 카테고리 별로 확인하여 능동적인 위협 요인을 탐지하고 분석하는 것이 추가로 필요하다.
◇지속적인 보안 상황 모니터링을 통한 보안 정책 업데이트: 지속적인 위협 요인 분석을 통해 얻은 정보를 기반으로 보안 정책을 수정해야 한다. 이를 위해 사내 다양한 보안 솔루션을 함께 통합 관리하여 위험 신호를 상세하게 분석하고 전체 시스템에 적용하여 일관된 보안 정책을 유지해야 한다.
◇글로벌 인텔리전스 보안 정책 환경 구축: 자사뿐만 아니라 전세계에서 발생하는 수많은 보안 위협을 확인하여 방어 체계를 구축해 IT 인프라 안정성을 높여야 한다. 이를 통해 수개월 동안 네트워크에 잠복하고 있는 멀웨어를 효율적으로 탐지하고 분석해, 분석결과를 토대로 한 합리적인 대책을 세울 수 있는 진보한 보안체계를 구축할 수 있는 환경을 제공한다.
블루코트는 이러한 분석 정보를 전 세계 1만5000여 개 고객사 및 7500만 사용자들이 새로운 보안 위협에 대한 정보 인텔리전스를 공유하는 네트워크인 ‘블루코트 글로벌 인텔리전스 네트워크’를 통해 제공해 사이버 테러 발생여지가 있는 알려지지 않은 위협을 신속하게 확인하여 대처함으로써 IT 인프라를 안정적으로 최적화시킬 수 있도록 지원한다
김기태 블루코트코리아 대표는 “향후 공격은 이메일이나 파일 다운로드가 아닌, 이와 같은 감염된 웹사이트를 방문하는 것만으로도 피해를 유발하는 형태로 확대될 것으로 예상된다. 인터넷 익스플로러와 플래시의 신규 취약성을 중심으로 국내 주요 웹서비스에 대한 공격으로 악성코드에 감염되는 사태가 커진다는 의미다. 이미 해외에서는 윈도우뿐만 아니라 맥과 모바일 사용자를 대상으로 한 공격 사례가 발견되고 있다”며 “보안 사고는 예방이 가장 이상적이며. 위협 탐지는 의무가 된 시점이다. 내PC의 파일 및 폴더가 렌섬웨어의 다양한 변종의 공격들로부터 피해를 입지 않도록 지속적인 주의가 필요하다”고 말했다.
