록키(Locky) 랜섬웨어가 급속한 속도로 퍼지고 있다. 업무와 연관된 메일로 위장해 공격하는 록키 랜섬웨어는 사용자가 아무리 주의를 기울인다 해도 완벽하게 차단할 수 없다. 심각한 사회 문제로 번지고 있는 랜섬웨어 공격을 집중 진단한다.<편집자>
랜섬웨어 악성코드는 이메일이나 웹사이트를 이용해 유포된다. 지난해에는 웹사이트를 이용하는 방법을 많이 사용했지만, 웹사이트 모니터링이 강화되는 추세를 보이자 다시 이메일을 통해 악성코드를 유포하고 있다.
웹이든 이메일이든 공격자가 마음만 먹으면 얼마든지 공격이 가능하다. 웹은 기본적으로 보안취약성이 높으며, 이메일은 업무와 연관된 내용을 보내면 쉽게 공격에 성공할 수 있기 때문이다.
지능적으로 진행되는 공격은 개인의 주의만으로 막을 수 없으며, 전문기관의 서비스를 이용하는 것이 가장 합리적이다. 첨부파일의 악성코드나 악성URL을 탐지·차단하기 위해 기업에 구축된 시스템을 사용하는 것보다 보안 전문 기업에서 정밀하게 분석하는 것이 공격방어 효과를 높일 수 있다.
이메일 보안으로는 시만텍이 제공하는 클라우드 기반 이메일 서비스가 있으며, 지란지교시큐리티, 다우기술 등이 제공하는 이메일 보안 솔루션이 많이 사용된다. 모니터랩은 악성URL과 악성파일을 차단하는 ‘MUD’ ‘MAD’ 기술을 보안웹게이트웨이 ‘AISWG’, 보안 이메일 게이트웨이 ‘AISEG’에 적용해 이메일과 웹을 통해 유입되는 악성코드를 지능적으로 차단한다.
보안관제 기업에서 출시하는 이메일 보안 솔루션도 랜섬웨어 악성코드 차단에 효과적이다. SK인포섹의 ‘ePM’, 이글루시큐리티 출시한 ‘이스코트 3.0’ 등이 있다.
웹사이트 운영기관, 철저한 모니터링 필수
웹을 통해 유포되는 공격을 막기 위해서는 기본적으로 웹사이트 운영기관이 웹 취약점을 제거해 자사 사이트가 공격에 이용되지 않도록 해야 한다. 특히 ‘멀버타이징’은 사이트 운영기관이 관리하지 않는 광고배너를 이용하기 때문에 문제가 심각하다.
이 공격은 광고배너에서 사용하는 플래시 취약점을 악용하기 때문에 사용자단에서 플래시 기능을 활성화하지 않는 것이 좋지만, 이보다 더 근본적인 해결책은 광고배너를 제작할 때 취약점을 사전에 제거하는 것이다. 그러나 영세한 기획사가 제작하는 광고배너의 취약점 제거 기술을 적용하도록 하는 것은 쉽지 않은 일이다. 광고주가 해당 비용을 지불하지 않으면 광고를 통한 악성코드 유포는 계속 될 것이다.
웹사이트의 취약점을 이용하는 공격은 사이트 운영사에게 직접적인 피해를 일으키는 것은 아니지만, 관리 소홀로 공격에 악용당했다는 이미지가 심어져 비즈니스 신뢰성에 악영향을 미칠 수 있다. 따라서 웹사이트 취약점을 정기적으로 점검하는 것이 필요하다.
김상민 유엠브이기술 상무는 “웹은 누구나 제작이 가능한 쉬운 언어를 사용하기 때문에 보안 취약점이 매우 높다. 게다가 최근에 웹은 기업/기관의 ‘얼굴’과 같은 역할을 해, 웹이 제대로 관리되지 않으면 비즈니스 신뢰도에도 영향을 미친다”며 “더불어 웹 취약점을 이용한 공격으로 웹서버, 웹서버에 연결된 비즈니스 서버까지 침투해 정보유출을 단행할 수도 있으므로 웹을 안전하게 보호해야 한다”고 말했다.
웹 취약점 점검 스캐너는 IBM ‘앱스캔’ HP ‘웹인스펙트’, 아큐네틱스가 대표적이며, 국내에서는 빛스캔의 ‘비트얼럿’ 서비스가 많이 이용되고 있다. 더보안도 ‘파이어사이트 WX’를 출시하고 웹 보안 시장에 뛰어들었다.
웹쉘 방어 솔루션도 반드시 갖춰야
웹사이트를 이용한 공격은 웹쉘이 주로 사용된다. 웹쉘은 웹 애플리케이션으로 침투할 수 있는 백도어와 같은 프로그램으로, 애플리케이션 개발시 편의성을 위해 만들기도 하지만, 공격자가 이를 이용해 원격에서 애플리케이션을 변경하기 위해 웹페이지에 삽입시키거나 웹사이트에 남아있는 웹쉘을 이용하기도 한다
웹쉘은 정상 프로그램 명령어를 사용하기 때문에 웹방화벽으로 탐지하기가 어려우며, 전용 솔루션으로 제거해야 한다. 최근 웹쉘은 스크립트를 잘게 쪼개거나 암호화로 숨겨 시그니처 기반 탐지 기술로 막을 수 없도록 한다.
웹쉘 방어 솔루션은 한국인터넷진흥원(KISA)에서 무료로 배포하는 ‘휘슬’이 가장 많이 사용되고 있으며, 상용화된 웹쉘 탐지 솔루션으로는 유엠브이기술 ‘웹서버 세이프가드(WSS)’, 에스에스알 ‘메티아이’, SK인포섹 ‘안티웹쉘’, 두리안정보기술 ‘더블유 쉴드 안티 웹쉘’, 에스큐브아이가 인수한 ‘쉘캅’ 등이 있다.
김상민 유엠브이기술 상무는 “웹쉘은 외부 공격자 뿐 아니라 내부 관리자, 아웃소싱 인력에 의해서도 삽입될 수 있으며, 고의를 갖지 않고 업무 편의를 위해 만들어진 것이라 해도 공격에 악용될 수 있다”며 “웹쉘 전용 방어 솔루션으로 웹이 공격에 이용당하지 않도록 해야 한다”고 말했다.
웹사이트 운영자·사용자 보안정책 강화해야
웹 보안의 시작은 웹방화벽이다. 웹서버에 대한 다양한 공격을 제어해 웹을 타깃으로 하는 공격을 차단한다. 펜타시큐리티 ‘와플’, 모니터랩 ‘AIWAF’, 파이오링크 ‘웹프론트’가 국내 대표적인 웹방화벽이다. 글로벌 웹방화벽 기업 임퍼바도 지난해 말 국내 지사를 재설립하며 시장 공략을 강화하고 나섰다.
웹 애플리케이션 개발시 보안 취약점을 제거하는 시큐어코딩, 소스코드에 대한 리버스 엔지니어링을 방지하는 소스코드 난독화·암호화도 웹 보안을 위해 필수적인 기술이며, 웹을 통해 엔드포인트로 악성코드가 유입되지 않도록 막는 보안웹게이트웨이(SWG)도 필요한 솔루션으로 꼽힌다.
SWG는 블루코트 ‘프록시SG’가 독점에 가까운 시장점유율을 갖고 있다. 블루코트는 콘텐츠 분석 시스템(CAS), 멀웨어 분석 시스템(MAA)을 통합한 ‘ASG(Advanced Secure Gateway)’를 새롭게 출시하면서 웹을 이용한 공격으로부터 사용자를 보호한다.
