단언컨대 현재 보안 분야의 핫이슈는 랜섬웨어다. 많은 기업과 기관에서는 랜섬웨어 대응과 관련해 보안을 강화하고 있다. 일부 기업들은 랜섬웨어 방어를 위한 전용 보안 솔루션을 도입하기도 한다. 그럼에도 불구 하고 랜섬웨어로 인한 피해는 줄어들지 않고 있다. 한국 랜섬웨어 침해 대응센터 발표에 따르면 2015년도 랜섬웨어로 인한 피해 금액은 약 1,090억 원이었으나, 2016년에는 약 3,000억 원으로 2배 가량 증가했다.
또한 올해 악성코드 동향을 살펴보면 1, 2분기 악성코드 가운데 랜섬웨어가 가장 많은 비중을 차지하고 있어 랜섬웨어 피해가 지속될 것으로 전망된다. 그렇다면 랜섬웨어 대응에 실패하는 원인은 무엇인가? 랜섬웨어 대응에 있어 우리가 놓치고 있는 부분은 없는가?

지난 6월 미국 워싱턴 D.C.에서 개최된 가트너 보안 서밋(Gartner Security & Risk Management Summit 2017)에서 보안 전문 애널리스트인 이안 맥쉐인(Ian McShane)은 ‘랜섬웨어 대응을 위태롭게 하는 7가지 치명적인 허황된 믿음(Seven Deadly Myths That Will Compromise Your Ransomware Response)’이라는 주제로 발표했다. 가트너가 강조한 랜섬웨어 대응에 관련된 진실과 거짓, 그리고 대응 방안에 대해 소개한다.


1. 랜섬웨어 = 제로데이 공격?!

이 질문에 대한 답변은 ‘No’이다. 공격자들은 랜섬웨어를 비롯해 악성코드 제작 시 이미 알려진 취약점을 이용하고 있다. 공격자 입장에서 새로운 제로데이 취약점을 찾는 것은 비용이 많이 들고 비효율적이 때문에 쉽게 악용할 수 있는 수백 가지의 기존 취약점을 그대로 활용하는 것이다. 특히 공격자와 악성코드 제작자는 많은 기업들이 이미 공개된 패치조차도 적용하지 않는다는 사실을 알고 있다. 따라서 기업과 기관들이 랜섬웨어에 피해를 입지 않으려면 보안 및 비즈니스 우선순위에 맞게 시스템을 패치하고 업그레이드를 수행해야 한다. 또한 공격 표면을 줄이는 데 중점을 두어야 한다.


2. 최신 버전의 EPP(Endpoint Protection Platform)를 도입했으니 최신 버전의 EPP를 보유하고 있다?!

이 질문에 대한 답변 역시 ‘No’이다. EPP 업체가 보안 위협을 해결하기 위해 정기적으로 제품의 업데이트를 실시하고 있지만, 기업과 기관에서는 일부만 적용했을 뿐 많은 부분에 있어서 최신 버전의 EPP를 적용하지 않고 있다. 또한 보안 업체가 권장하는 환경 설정을 적용하지 않고 있다. 따라서 조직의 IT 인프라에 적절한 업데이트를 적용해야 한다. 보안 업체의 구성 가이드를 확인하여 심각도가 크지 않은 버전이라면 3 개월 이내에, 주요 버전에 대해서는 6개월 이내에 업그레이드하는 것이 적절하다.


3. 현재 보유하고 있는 EPP가 모든 위협으로부터 보호해 줄 것이다?!

이 질문의 답변은 ‘No’이다. 많은 구 버전의 EPP는 시그니처 기반 방어에 의존하고 있다. 물론, 랜섬웨어와 악성코드는 여전히 알려진 취약점을 악용해 공격을 감행하지만 시그니처 기반 방어를 회피하기 위한 다양한 방법을 사용하고 있다. 따라서 비시그니처(non-signature) 기술을 적용하고 활성화해야 한다. 많은 보안 업체들이 최신 EPP 솔루션에 악성코드 탐지를 위한 행위(behavior) 분석 기술을 적용한 새로운 기능을 제공하고 있으므로, 이를 적용해야 한다.


4. EPP는 악성코드 감염으로부터 회복하는데 필요한 모든 가시성을 제공한다?!

이 질문의 답변은 ‘No’이다. 대부분의 기업과 기관에서는 엔드포인트 프로세스에 대한 가시성을 확보하지 못하고 있다. 엔드포인트에서 발생하는 사건에 대한 가시성과 대응력을 향상시키기 위해 EDR(Endpoint Detection and Response) 솔루션 도입을 준비해야 한다. EDR 솔루션은 도입하기는 비교적 간단하나 사용은 복잡하기 때문에 숙련된 관리자의 인사이트가 확보되어야만 한다. EDR 기능 적용 솔루션에 대해서는 EPP 업체에 문의해보는 것도 좋다.


5. 방화벽과 시큐어 웹 게이트웨이, 시큐어 이메일 게이트웨이, 그리고 경계(Perimeter) 보안 솔루션만 있으면 된다?!

역시 ‘No’이다. 네트워크 경계 보안 솔루션은 EPP 솔루션과 마찬가지로 최신 패치, 업데이트, 구성 등을 유지•관리해야 한다. 그러나 일반적으로 방화벽과 네트워크 제품은 모바일 및 고도로 분산된 조직에 보안을 제공하는데 한계가 있다. 또한 기업이나 기관에서 공격자와 악성코드가 쉽게 침투할 수 있는 단순한 형태의 네트워크를 구성하고 있다면 공격 위협에 노출될 가능성이 크다. 따라서 심층적인 방어 인프라와 구성을 검토해야 한다. 또한 신뢰 할 수 없는 파일에 대해서는 샌드박싱 보안 솔루션을 활용하는 것도 필요하다. 신뢰도가 낮은 네트워크 트래픽으로부터 중요한 영역을 격리하는 것도 하나의 방안이 될 수 있다.


6. 관리자는 항상 최고의 방법에 따라 업무를 수행한다?

이 질문의 답변은 ‘No’이다. 많은 기업과 기관에서는 관리자의 계정을 제대로 모니터하지 않고있다. 실제로 관리자는 과중한 업무를 처리하고 있으며, 업무를 효율적으로(?) 수행하기를 원한다. 예를 들어, 1명의 관리자가 서버 20대를 관리하고 있는데 간단한 설정 변경 작업이 필요한 경우라고 가정하자. 만약 관리자가 20개의 서버에 대해 동일한 관리자 계정을 사용한다면, 이 작업을 단순하고 효율적으로 처리할 수 있다. 그러나 하나의 파일 서버에 랜섬웨어나 악성코드 공격이 발생했을 경우 전체 시스템으로 확산되는 보안상 심각한 상태에 빠질 수 있을 수 있다. 따라서 관리자 계정을 중요한 고위험군의 자산으로 관리해야 한다. 즉, 강력한 패스워드 정책을 시행하고 패스워드 재사용을 금지해야 한다. 더불어 관리자는 허가되지 않은 사용•접근•행위 등에 대한 계정을 모니터링하고, 필요한 경우 EUBA(Entity and User Behavior Analytics) 솔루션을 활용할 수도 있다.


7. 백업을 해두었다면 모든 게 괜찮다?!

이 질문에 대한 답변 또한 ‘No’이다. 백업은 방어 측면에서 매우 중요하다. 하지만 대부분의 기업과 기관에서는 백업을 모니터링하거나 테스트하지 않는다. 또한 최신 변종 랜섬웨어는 백업과 백업 파일까지 암호화하기도 한다. 백업은 랜섬웨어로부터의 피해를 막기 위한 최선의 방법이 아니라 최후의 방어선인 것이다. 따라서 사고 복구(Disaster Recovery) 절차를 문서화하고 정기적으로 테스트를 실시해야 한다. 또한 암화화하여 백업해 둔 파일의 크기나 타임 스탬프의 증가 등 변경 사항을 모니터링해야 한다. 중요한 데이터에 대해서는 오프라인 백업도 고려할 필요가 있다.



많은 전문가들이 강조하듯 랜섬웨어는 일반적인 악성코드와 크게 다르지 않다. 일반적인 악성코드와 같은 방식으로 조직에 유입•전파된다. 따라서 랜섬웨어는 일반적인 악성코드와 같은 방식으로 대응이 가능하다. 즉, 랜섬웨어의 위협을 최소화하기 위해서는 보안 시스템 업데이트와 최신 패치를 적용해야 한다. 또한 침해 사고 발생 시 대응방법에 대해 계획을 수립하고 이를 테스트하는 것이 필요하다. 비즈니스 인프라를 보호하기 위해 개별적으로 동작하기보다는 서로 유기적으로 연동되는 통합된 보안 시스템을 이용하는 것이 효과적이다. 그리고 무엇보다 시스템에 대한 지속적인 모니터링과 분석이 핵심이라는 점을 명심해야 한다. ​
　

[출처 : 안랩((www.ahnlab.com)]