록키(Locky) 랜섬웨어가 급속한 속도로 퍼지고 있다. 업무와 연관된 메일로 위장해 공격하는 록키 랜섬웨어는 사용자가 아무리 주의를 기울인다 해도 완벽하게 차단할 수 없다. 심각한 사회 문제로 번지고 있는 랜섬웨어 공격을 집중 진단한다.<편집자>
랜섬웨어 공격자들이 인질로 잡는 것은 ‘데이터’로, 데이터 보호 전략을 마련하는 것도 필수적인 요구사항으로 꼽힌다. 랜섬웨어 공격자들이 인질로 잡는 데이터는 오피스 문서뿐만 아니라 DB, 이미지, 동영상, CAD, 소스코드 등이며, DB서버를 암호화 한 후 돈을 주지 않으면 인터넷에 유포하겠다고 협박하는 랜섬웹도 유행하고 있다.
또한 PLM 서버, DRM 서버, MES 시스템 등 비즈니스 크리티컬 시스템을 잠궈 업무를 중단시켜 막대한 피해를 입히는 공격도 나타나고 있다. 할리우드 장로병원이 악성코드로 병원 의료시스템이 전면 마비되는 피해를 입은 것이 대표적인 사례라고 할 수 있다.
데이터에 무단으로 접근해 변경하는 행위를 차단하는 보호 기술이 적용돼 있다면 랜섬웨어에 감염됐다 해도 피해를 방지할 수 있다. 통합 엔드포인트 보안 솔루션들은 애플리케이션 접근제어 정책을 이용해 애플리케이션에서 권한에 위배되는 데이터 접근을 차단해 데이터의 무단 변경을 막는다.
DB서버와 주요 시스템에 대한 접근제어도 중요 데이터와 시스템을 보호할 수 있는 기술로 제안되며, 데이터 암호화를 통해 무단으로 데이터가 변경되는 것도 막을 수 있다. 데이터 접근제어와 암호화 기술은 정형/비정형 데이터 모두에 대해 적용돼야 하며, 업무 특성에 맞는 기술을 통해 업무 유연성을 해치지 않으면서 강력하게 보호할 수 있는 방법이 마련돼야 한다.
문서중앙화, 잘못하면 전체 데이터 유실
문서중앙화를 통한 랜섬웨어 방지 기술도 주목할 만한 방식으로 부상하고 있다. 그러나 문서중앙화 서버가 랜섬웨어에 감염되면 서버의 모든 문서를 잃을 수 있다는 치명적인 문제가 있다. 실제로 지난해 문서중앙화 서버 감염으로 큰 피해를 입은 사례가 보고되기도 했다.
문서중앙화 환경에서는 문서가 자동으로 중앙서버에 저장되는데, 악성코드가 포함된 문서가 중앙서버에 저장되고, 사용자가 이 파일을 클릭했을 때 서버에서 파일이 열리면서 악성코드가 서버 전체를 감염시킨 것이다.
넥스젠의 ‘솔메ECM’은 문서를 해체해 암호화된 바이너리로 보관해 악성코드가 아예 실행되지 않도록 한다. 사이버다임은 승인된 안전한 앱만 실행권한을 갖도록 하는 방식으로 랜섬웨어를 막는다.
주기적인 백업으로 랜섬웨어 피해 최소화
랜섬웨어 피해를 줄이는 가장 확실한 방법은 백업이다. 주기적인 백업으로 데이터를 보호했다면, 데이터가 암호화됐을 때, 가장 최근 시점의 백업 데이터를 복구해 유실되는 데이터를 최소화 할 수 있다. 그러나 실시간 동기화 방식의 백업은 암호화된 데이터가 백업되므로, 약간의 데이터 유실이 발생하더라도 시차를 두고 백업하는 것이 좋다.
이노티움은 클라우드 기반 백업 솔루션 ‘리자드 클라우드’를 소개한다. 이 제품에는 랜섬웨어 방어 기술 ‘아리트’가 적용돼 보호 효과를 높였다. 아리트는 대량의 파일 암호화 시도 등 랜섬웨어 패턴을 파악해 해당 행위가 발생했을 때 차단하며, 중요문서는 로컬에 암호화로 보호한다.
백업 시스템은 보안 시스템과 함께 사용돼 랜섬웨어 공격 차단 효과를 극대화한다. 시만텍에서 분리 독립한 베리타스는 중요 시스템과 사용자 PC를 보호하기 위한 백업 솔루션 ‘베리타스 백업 이그젝’, 백업 및 재해 복구 기능을 제공하는 단일 통합 솔루션 ‘베리타스 시스템 리커버리’를 제공한다.
EMC도 백업 솔루션과 RSA 보안솔루션을 긴밀하게 연계시켜 데이터를 보호한다. RSA 이캣과 SA, 보안관제·모니터링 솔루션을 통해 공격을 탐지·차단하며, 문서·이미지·파일과 시스템에 대한 백업으로 데이터를 완전하게 보호하도록 한다.
EMC는 통합 백업 솔루션 DPS 어플라이언스, 아바마, 네트워커를 제공하고 있으며, 개인사용자를 위해 PC, 모바일 기기와 연동한 클라우드 백업 솔루션 ‘모즈’, ‘심플리시티’를 제공한다. 또한 오피스365, 구글앱스, 세일즈포스 등 SaaS 애플리케이션 사용자를 위해 자동화된 클라우드 백업이 가능한 ‘스패닝’도 제안한다. 이 제품들은 비용에 민감한 개인과 기업을 대상으로 하기 때문에 하드웨어와 소프트웨어를 통합 패키지로 제공하거나 서비스형 백업(BaaS)으로 전체 운영비용을 줄인다.
PC·모바일 데이터까지 백업
델은 ‘래피드 리커버리’를 랜섬웨어 피해 방지에 최적화된 제품으로 소개하다. 래피드리커버리는 로컬 구간 뿐 아니라 WAN 구간을 통해 제3의 안전한 장소로 데이터 복제를 수행해 물리적인 재난으로부터 안전성을 높일 수 있다. PC 백업도 지원하는 이 제품은 랜섬웨어 공격으로 사용자 단말의 문서를 유실했을 때 피해를 최소화 할 수 있으며, 중앙집중 관리를 통해 운영 효율성을 높잉고 유사시 복구에 대한 신뢰성을 향상시킬 수 있다.
소프트웨어 기반 백업·DR 솔루션을 공급하는 컴볼트는 랜섬웨어에 대응하기 위한 백업 전략으로 ‘엣지백업’을 제안한다. 이는 노트북, 데스크톱, 핸드폰, 태블릿 기기까지 보호할 수 있으며, 언제 어디서나 손쉽게 백업하고 백업된 데이터에 쉽게 접근해 복구 할 수 있으며, 손상되지 않은 파일을 다른 사용자나 그룹간에 손쉽게 공유하여 다시 사용할 수 있도록 한다.
