사용자의 PC와 스마트폰에 있는 정보를 ‘인질’로 잡고 몸값(ransom)을 요구하는 ‘랜섬웨어(ransomware)의 위협이 심각해지고 있다. 최근 안랩이 발표한 분석에 따르면 10월과 11월에 국내에서 가장 많이 발견되는 랜섬웨어 3종(크립토락커, 크립토월, 테슬라크립트)의 악성코드 샘플(변형 포함)과 감염된 PC가 모두 증가세를 나타내고 있는 것으로 나타났다.
문제는 이 같은 불특정 다수를 노려 무차별 유포되는 랜섬웨어의 증가로 인한 개인의 피해뿐 아니라, 기업 내 개별 PC사용자들도 피해를 입을 가능성이 높아졌다는 것이다. 기업 내 임직원의 부주의로 랜섬웨어에 감염되면, 임직원 개인의 피해를 넘어 기업이 축적한 데이터가 한 순간에 못쓰게 되거나, 장기간 ‘업무 다운타임’이 발생해 기업의 생산성에도 영향을 미칠 수 있기 때문이다.
현재 관련 시장엔 특정 영역에서 작동하는 특정 솔루션 하나면 모든 것이 해결 될 것 같은 과장된 마케팅성 메시지도 넘쳐나고 있다. 하지만, 보안관리자 입장에서 이런 랜섬웨어에 효과적으로 대응하기 위해서는 특정 영역이 아니라 네트워크에서 엔드포인트까지 전체적 관점에서, ▲보유 중인 보안 솔루션의 관련 기능 활성화 ▲신규 솔루션 도입 시 해당 기능 존재 및 운영 편의성 고려 등 전체 시스템에 적용 가능한 ‘현실적으로 실행 가능한’ 방안을 고려해야 한다. 안랩이 제공하는 다양한 솔루션 중 랜섬웨어 피해 최소화를 위한 솔루션은 다음과 같다.
1) 안랩 MDS: 네트워크 영역에서 엔드포인트까지 지능형 위협 대응
랜섬웨어의 최초 유입은 이메일 첨부파일 또는 본문 내 URL 링크, 악성 사이트로 연결되는 특정 URL을 직접 클릭 유도, 보안이 취약한 웹사이트를 해킹해 방문만으로도 감염이 되는 ‘드라이브바이다운로드’방식 등 매우 다양하게 이루어지고 있다. ‘안랩 MDS’는 네트워크 영역에서 엔드포인트(endpoint, 기업 내 PC 등 영역)까지, 악성코드가 유입될 수 있는 주요 지점에서 능동적으로 대응한다.
특히, ‘MDS’의 ‘실행 보류(execution holding)’기능은 신/변종 랜섬웨어 등 다양한 암호화 채널로 유입되는 의심 파일들이 PC에서 실행되는 것을 차단한 상태에서 샌드박스(sandbox)기반 동적 분석을 진행한 뒤 확진된 랜섬웨어를 영구적으로 삭제하는 방식으로 잠재적인 위협에 대응한다. 또한, 스피어피싱 형태의 악성 이메일의 첨부파일 형태로 유입되는 신/변종 랜섬웨어에 대해서도 분석과 동시에 격리•차단하는 이메일 격리(MTA, Mail Transfer Agent)방식 구성을 제공한다.
또한, 일반적인 행위기반 탐지는 악성 행위가 발생해야만 이를 탐지가 가능하지만, 안랩 MDS는 DICA(Dynamic Intelligent Content Analysis, 동적 콘텐트 분석)기술로 악의적인 행위의 종류나 행위 발생 여부와 관계없이 악성코드를 탐지할 수 있다. 따라서 제로데이 공격은 물론 샌드박스 분석을 우회 시도하는 악성코드에 대한 자세한 분석이 가능하다.
2) 안랩 내PC지키미: 개별 PC에 대한 취약점 관리
랜섬웨어는 설치파일로 직접 감염되기도 하지만, 보안패치 미적용 운영체제(OS)나 각종 SW의 취약점 등 개별 PC 내의 다양한 취약점을 노려 침투하기도 한다. 즉 보안 관리자 입장에서는 ‘패치·취약점 관리에 대한 부실한 관리’ 또는 ‘인터넷·이메일 사용 보안수칙과 같은 보안 정책 현행화 미흡’ 등이 사후에 문제가 될 수 있다.
‘안랩 내PC지키미’는 안랩의 엔드포인트 보안 기술 및 노하우가 집약된 PC취약점 점검 솔루션이다. 업계 최다 보안 점검항목을 제공하며, 조직 내 개별 PC의 취약점을 지수화시켜 관리자가 한눈에 전체 PC 상태를 확인할 수 있다. 취약점 발견 시 자동조치도 가능하다. 따라서 랜섬웨어를 비롯해 PC 취약점을 악용해 침투를 시도하는 다양한 악성코드 감염 위험을 사전에 낮출 수 있다. 또한 안랩 APM(AhnLab Patch Management)과의 연동으로 주요 보안 패치의 취약점을 사전에 확인하여 자동조치 하는 등 관리자의 손쉬운 컴플라이언스 준수가 가능하다.
3) 안랩 V3 제품군: 랜섬웨어 대응의 기본, 백신 솔루션
안랩 V3는 랜섬웨어를 비롯한 수많은 악성코드에 대한 진단 값(시그니처) 반영 및 특정 행위 패턴 분석으로 대응하고 있다. 특히, V3 제품군은 클라우드 기반 진단, 네트워크보안, 행위/평판진단 등 다차원 분석 플랫폼을 적용해 랜섬웨어를 포함한 악성코드에 대한 진단율을 높이고 있다.
또한, 안랩은 최근 증가하고 있는 랜섬웨어 변종과 국내에서 큰 피해를 입히고 있는 랜섬웨어를 신속하고 정확하게 탐지 하기 위해 V3의 탐지 고도화 작업을 지속적으로 진행하고 있다.
개인 사용자의 경우, 개인용 무료 백신 ‘V3 Lite’의 검사 설정에서 차단수준을 ‘높음’, ‘행위기반 진단’ 사용을 체크하거나, 네트워크 보안 기능을 제공하는 ‘V3 365클리닉’으로 랜섬웨어에 대한 대응력을 높일 수 있다.
이 외에 사후 대응용 솔루션으로 ‘PC복구 Plus’를 사용할 수 있다. ‘PC복구 Plus’에서 제공하는 복구기능을 사용하면 랜섬웨어나 기타 악성코드 감염으로 인한 데이터 암호화 등 정상 PC사용이 불가능할 시 PC 시스템과 데이터를 미리 지정해놓은 시점으로 빠르게 복원할 수 있다(최근 유행한 특정 랜섬웨어들을 대상으로 테스트를 진행한 것이며, 모든 랜섬웨어에 대한 복구를 의미하는 것은 아님).
소성렬기자 hisabisa@etnews.com
