랜섬웨어가 정보보안의 새로운 화두로 떠오르고 있다.
랜섬웨어는 해외에서나 볼 수 있는 사례였지만, 올해는 랜섬웨어의 국내 공격 원년으로 불릴 만큼 활동이 활발해졌다. 지난 4월 유명 커뮤니티 사이트의 해킹된 광고 서버에 랜섬웨어 악성코드가 숨겨져 배포된 후 국내에서도 랜섬웨어로 인한 피해가 급증하고 있다.
랜섬웨어 출현이 보안업계에 시사하는 바가 크다. 랜섬웨어는 공격자에게 쉽게 돈을 벌 수 있는 방법을 알려줬다.
블랙마켓에는 자신의 입맛에 맞는 다양한 해킹 툴이 저렴한 가격에 판매되고 있다. 해킹수법 또한 지능화돼 자신의 해킹이 들키지 않도록 사람이 많이 몰리는 시간대에만 악성코드를 삽입하고, 점검 시간대에는 제거하는 등 고도화된 접근방법도 나타난다.
웹사이트 위변조로 악성코드 유포
넓은 시각에서 보면 랜섬웨어 등 각종 멀웨어를 해킹된 페이지에 숨기는 기법은 웹사이트 위변조 기법에 속한다. 고급 기술이 사용되고 제로데이 취약점이 사용된다는 점에서는 제로데이 공격, 내지는 APT 공격으로도 볼 수 있다.
문제는 기존의 보안 솔루션으로는 이러한 공격을 탐지하기도 어렵다. 올해 해킹 당해 랜섬웨어를 배포한 사이트는 정보기술 분야의 준전문가급 이상의 사람들이 주로 모이는 사이트였다. 윈도우 업데이트와 백신 패턴 업데이트는 물론, 개인 방화벽이나 IPS를 운영하는 경우까지 있었다.
그럼에도 불구하고 랜섬웨어 악성코드가 유포돼 많은 사람들이 피해를 입었고, 해당 사이트는 사고 발생 후 반년 이상이 지난 지금도 사후 대책 마련에 절치부심하고 있다.
웹사이트 위변조 탐지 솔루션의 경우 알려진 공격 패턴을 탐지하므로 알려지지 않은 위변조 공격을 막기가 어렵다. 특히 다수의 변경이 동시다발적으로 일어나는 대형 사이트의 경우, 어느 것이 정상적인 변경이고, 어느 것이 위변조인지를 찾기가 더욱 난해해진다.
이에 반해 행위분석 시스템은 제로데이 공격의 탐지에 특화돼 있으므로 공격을 탐지하는 데 탁월한 능력을 보인다. 상기 언급된 사례에서도 행위분석 솔루션이 공격을 사전에 탐지한 바 있다.
하지만 이런 솔루션은 사용자가 트래픽을 발생시키지 않으면 해당 페이지의 악성 여부를 판단하기가 어렵다는 구조적 한계를 지닌다. 웹사이트 운영자의 입장에서는, 설사 해당 솔루션을 갖추었다고 하더라도 누군가가 트래픽을 일부러 발생시키지 않는 한 제로데이 공격 여부를 확인하기가 어렵다.
정기적인 모니터링으로 지능적인 방어 전략 마련
이와 같은 사이버 공격에 대한 대응방안은 없을까?
대부분의 웹 기반 공격은 최대한 많은 사용자를 감염시켜 목적을 달성하는 것을 기본 전략으로 하고 있다. 계속 모니터링을 실행하는 것이 가장 이상적이지만, 현실적 한계를 고려해 우선 트래픽이 몰리는 시간대를 중심으로 최소한 일 1회 이상의 행위분석 검사를 실행해야 한다.
제로데이 공격 및 악성행위의 시간대별 활성화 전략까지 생각한다면 웹페이지에 은닉된 지능적인 악성코드를 찾아내고 분석하기 위해서는 모든 접속가능한 링크페이지를 검사해 정기적인 모니터링을 운영하는 것이 필요하다.
행위분석은 트래픽 발생이 없이 이를 탐지하기가 어렵기 때문에 임의로 트래픽을 생성하는 시스템도 함께 운영되어야 한다. 이를 통해 웹사이트 운영자는 사고를 미연에 방지하거나 사고 발생시에도 피해를 조기에 최소화할 수 있다.
사이버 위협을 대응하기 위해서는 방어에 대한 패러다임의 변화가 적극적으로 요구되는 시기다. 보안분야의 투자를 통해 지능화, 대형화된 공격에 대응하기 위하여 방어도 좀 더 지능화될 필요가 있다.
기존의 대응방안이 정형화된 틀 안에서 시스템 부하를 최소화하며 알려진 공격에 대응하는 방안에 초점이 맞춰졌다면, 새로운 대응방안은 알려지지 않은 공격을 탐지하고 이에 대응할 수 있는 방안을 마련하는데 중점을 두어야 할 것이다. 공격을 사전에 완벽히 방어할 수 없다면 정기적인 검사를 통해 공격을 최대한 일찍 '발견'하고 공격으로부터 받는 피해를 ‘최소화’하는 것이 최선의 방법이다.
