록키(Locky) 랜섬웨어가 급속한 속도로 퍼지고 있다. 업무와 연관된 메일로 위장해 공격하는 록키 랜섬웨어는 사용자가 아무리 주의를 기울인다 해도 완벽하게 차단할 수 없다. 심각한 사회 문제로 번지고 있는 랜섬웨어 공격을 집중 진단한다.<편집자>

랜섬웨어 피해를 막기 위해서는 가장 기본적인 보안 규칙부터 점검해야 한다. 엔드포인트 보안, 웹·이메일 보안, 내부 모니터링 시스템 등을 갖추는 것은 물론이고, 사용자들이 의심스러운 메일이나 웹 접근을 금지하고, 첨부파일은 보안검사를 실시한 후 열어보는 등의 보안 습관을 길러야 한다.

윤명익 한국트렌드마이크로 팀장은 “exe, dll, scr 등 악성코드 전달에 주로 사용되는 첨부파일은 삭제하거나 관리자에게 경고하는 방법으로 메일 보안을 설정하고, 플래시를 사용하지 않도록 하며 OS와 애플리케이션 보안 업데이트를 충실히 하는 것만으로도 랜섬웨어 공격의 상당부분은 막을 수 있다”고 말했다.

백신, 랜섬웨어 차단의 첫 걸음

랜섬웨어 악성코드 차단을 위해 가장 기본적으로 설치해야 하는 것이 백신이다. 공격자들은 백신을 우회하는 악성코드로 피해를 입히기 때문에 ‘백신 무용론’이 퍼지고 있지만, 실제로 백신은 대부분의 악성코드를 차단한다. 백신이 탐지하지 못하는 10%의 악성코드가 피해를 일으키는 것이지만, 그렇다고 해서 백신을 사용하지 못하면 100%의 위험에 노출되는 것이다.

백신에 탑재된 악성코드 시그니처는 문자열, 체크섬, 해시 등의 정보만을 비교하는 것은 아니며, 정규식 분석, 퍼지로직, 유사성 비교, 휴리스틱 기술 등을 적용해 정교한 탐지를 제공한다. 한 번 검사해 안전한 것으로 분석된 파일은 코드서명을 통해 다시 분석하지 않도록 하고, 파일의 변경된 분을 감지해 분석함으로써 분석 효율을 높일 수 있다.

또한 침해지표(IOC)를 이용해 공격 유사성을 파악하고, 행위분석 기술을 이용해 C&C 통신이나 이상행위를 감지하며, 상황인지 기술을 통해 지능적인 이상행위 분석을 제공한다. 네트워크 기반 IPS와 호스트 기반 IPS, 화이트리스트/블랙리스트를 적용하며, 전 세계에서 발생하는 공격위협을 분석한 글로벌 위협 인텔리전스를 적용해 새로운 시그니처 생성 속도를 빠르게 한다.

조윤진 시만텍코리아 과장은 “랜섬웨어 공격자는 돈이 되는 모든 공격 수단을 동원하기 때문에 시그니처에 등록된 악성코드와 신변종 악성코드를 모두 사용한다. 따라서 시그니처 기반 백신과 지능형 공격 탐지 기술을 함께 적용해서 체계적으로 차단해야한다”며 “기업은 물론 개인을 대상으로 한 공격도 성행하고 있기 때문에 엔드포인트에 대한 지능적인 대응이 필요하다”고 말했다.

백신, 지능형 탐지기술 엔진 탑재하며 발전

백신 기업들은 지속적으로 지능형 탐지 기술을 백신 엔진에 통합시키면서 알려진/알려지지 않은 악성코드 제거 능력을 강화하고 있다. 엔드포인트와 이메일, 네트워크에서 악성코드를 차단하는 기술을 연계하고, 랜섬웨어 공격과 유사한 행위가 발생하면 이를 차단한다.

예를 들어 신뢰할 수 있는 서명이 없는 프로그램이 짧은 시간에 많은 문서의 레지스트리를 변경시키거나 암호화하려는 시도를 탐지·차단하고, 특정 디렉토리에 실행파일을 저장되거나 외부와의 의심스러운 통신을 시도하는 것을 제어하는 등의 기술을 추가하면서 랜섬웨어 공격을 막는다.

더불어 다양한 브라우저 취약점을 제거하며, 플래시, PDF, 자바 취약점을 제거하며, 악성코드가 암호화 키를 다운받기 위해 접속하는 C&C 서버 접근을 차단해 피해가 발생하기 전에 차단한다.

행위기반 탐지기술은 오탐이 많이 발생한다는 문제가 있다. 예를 들어 DRM이 짧은 시간에 대량의 문서를 암호화하며, 인터넷뱅킹을 위한 보안모듈이 랜섬웨어 악성코드와 동일한 디렉토리에 실행파일을 내려 받게 된다. 이처럼 예상할 수 있는 오탐은 예외정책을 설정해 신뢰할 수 있는 행위는 정상적으로 수행되도록 한다.

더불어 백신 기업들은 랜섬웨어 침해대응센터를 운영하면서 랜섬웨어 피해 사례를 수집해 시그니처 업데이트를 신속하게 지원하는 한편, 피해를 입은 사용자를 지원하기 위한 노력을 진행하고 있다.

샌드박스·EDR로 알려지지 않은 공격 탐지

랜섬웨어 공격자들은 빠르게 신변종 악성코드를 개발해 수많은 방어 장치를 무력화한다. 특히 악성코드를 제작하는 툴킷은 사이버 공격에 대한 지식이 없는 사람도 쉽게 공격할 수 있도록 제작되고 있으며, 방어 시스템을 우회하는 기술을 탑재하고 있다.

진화하는 악성코드를 엔드포인트에서 모두 다 막는 것은 불가능하며, 네트워크에서도 지능적인 공격 탐지 기술이 필요하다. 네트워크 샌드박스가 이러한 기술을 제공하는 솔루션으로, 파이어아이, 블루코트 ‘MAA’, 팔로알토네트웍스 ‘와일드파이어’, 포티넷 ‘포티샌드박스’, 인텔시큐리티 ‘ATD’, 체크포인트 ‘샌드블래스트’ 등이 대표적이다.

엔드포인트 보안 분야의 떠오르는 신기술 ‘EDR’도 랜섬웨어 공격 방어에 적극적으로 나선다. EDR은 포렌식, 행위분석, 모니터링 기술 등을 이용해 엔드포인트의 침해흔적을 조사하고 공격을 차단한다. 기존 백신 솔루션과 EMC RSA ‘이캣’, 팔로알토네트웍스 ‘트랩스’, 센티넬, 비트나인+카본, 디지털가디언, 가이던스소프트웨어 등이 대표적인 제품으로 꼽힌다.

정정화 한국EMC RSA 차장은 “공격기술이 고도화되면서 선제방어로 완벽한 보안이 불가능하게 돼, 사후대응도 강조하는 트렌드가 나타나고 있다. EDR은 엔드포인트에서 진행되는 공격을 탐지·차단해 피해를 예방하거나 피해 확산을 막는다. 백신과 병행해 사용하며, 공격 탐지 정확도를 높일 수 있다”고 설명했다.

국내 APT 방어 솔루션 전문기업 엔피코어도 엔드포인트 보안 솔루션 ‘좀비제로 에이전트’에 EDR 기술을 강화했으며, 네트워크 기반 보안 솔루션 ‘좀비제로 인스펙터’를 연동해 엔드포인트와 네트워크의 이중방어가 가능하도록 했다.