​

개인과 기업 구분 없이 고심 중인 랜섬웨어

개인과 기업, 조직의 규모와 국적을 가리지 않고 전 세계인을 위협하고 있는 랜섬웨어에 대해, 참가자들은 전반적으로 보안 방안에 대해 고심하고 있었다. 질문은 보안 전략 수립에 관한 조언을 구하는 것부터 감염 시 복구 방법, 안랩의 랜섬웨어 보안 오퍼링을 묻는 질문까지 상당히 다양했다.


Q. 랜섬웨어 보안을 위한 최선의 방안은 무엇인가? 사전에 완벽히 차단하는 것은 어려운지?

현재의 고도화된 랜섬웨어 공격은 견고한 방어 체계를 통해 위협을 최소화한다는 관점으로 접근해야 한다.

랜섬웨어를 효과적으로 방어하기 위해서는 준비(prepare), 예방(prevent), 탐지(detect), 완화(mitigate), 복구(recover), 이 5단계에 맞는 정책, 프로세스, 툴 등 대응 전략을 갖춰야 한다. 또, 네트워크, 이메일, 엔드포인트 각 구간별 운영 중인 솔루션 정책 최적화를 통해 위협을 최소화할 수 있다.

　

[그림 1] 랜섬웨어 공격 구간 구조도

악성 사이트 접속을 차단하고, 악성 메일 실시간 격리, OS 패치, 백신, APT 방어 등의 역할을 수행하는 엔드포인트 솔루션을 활용하여 최초 유입을 막고 감염 전 대응을 활성화해야 한다. 만약, 랜섬웨어가 보안 솔루션을 우회해 감염이 진행됐다면, EDR을 통해 수집된 데이터를 활용하여 피해 범위를 최소화하고 및 감염 경로를 차단하여 재감염 방지에 활용할 수 있다.

다만, 이 모든 단계에 전부 투자할 수 없다면 랜섬웨어 위협에 대한 저항력을 높이기 위해 핵심 보안 요소에 대한 우선순위를 정해야 한다. 가장 우선 시 되는 것은 엔드포인트 보안이다. 대부분의 공격은 엔드포인트에서 발생하며, 잘 관리된 엔드포인트 보안은 가장 핵심적인 역할을 한다. 대표적인 엔드포인트 보안 솔루션은 EPP(Endpoint Protection Platform)와 EDR(Endpoint Detection & Response)이다.

​[그림 2] AhnLab EPP 구성도

　

또한, 취약점 관리, 세그먼테이션, 로그 관리, 접근 관리, 안티 멀웨어, 애플리케이션 제어 등 기본 보안 솔루션들을 잘 모니터링하고 관리하는 보안 위생(security hygiene) 준수도 굉장히 중요하다. 이 밖에, 가장 쉽고 중요한 대응 방안은 조직 구성원에게 제품과 OS의 최신 보안 패치 업데이트, 외부 이메일 첨부파일 실행 금지 등과 같은 기본 가이드를 안내하는 것이다.


Q. 기업에서 앞선 질문과 같이 랜섬웨어 대응 전략을 수립할 때, 우선 순위 설정 및 솔루션 도입 측면에서 어떤 점을 고려해야 하는가?

랜섬웨어 대응 전략을 수립하려면, 우선 IT 인프라 점검, 주요자산 파악, 취약점 분석 등 내부 IT 환경에 대한 전반적인 점검이 선행되어야 한다. 많은 종류의 랜섬웨어를 단일 솔루션으로 대응하는 것은 불가능하기 때문에, IT 환경 조사를 진행하여 공격이 발생할 수 있는 루트를 최소화한 후, 필요한 경로에 솔루션을 도입해 실시간 모니터링 및 대응이 가능하도록 운영해야 한다.

솔루션 도입 시 고려해야 할 점은 제품에서 지원하는 기능도 중요하지만, 해당 솔루션을 내부 인력으로 잘 운영할 수 있는지도 살펴봐야 한다.


Q. 랜섬웨어 등 새로운 유형의 위협에 대한 탐지, 위험 등급 분류, 분석 및 조치를 신속하게 진행할 수 있는 안랩만의 역량이 있다면?

먼저 안랩 솔루션의 랜섬웨어 대응 프로세스를 정리하면, V3에서 시그니처 엔진을 이용해 알려진 랜섬웨어를 파일 생성 시점에 실시간으로 삭제한다. 백신에서 탐지되지 않는 신·변종 랜섬웨어는 지능형 위협 대응 솔루션인 AhnLab MDS에서 샌드박스와 머신러닝 엔진으로 분석해 감염 전에 차단한다. AhnLab EDR은 랜섬웨어 공격 시 공격자가 활용한 전체적인 감염 루트와 잔여 악성코드 여부를 확인하여 최종 대응할 수 있도록 정보를 제공한다. 또, 확인된 공격 루트와 악성코드 정보는 다양한 솔루션의 블랙리스트(blacklist) 기능을 활용하여 실시간 차단되도록 등록하여 관리한다.

　

[그림 3] 안랩의 위협 대응 역량

AhnLab MDS​와 AhnLab EDR의 역할에 대해 좀 더 자세히 설명하면, 먼저 두 솔루션은 탐지한 위협에 대해 위협 등급과 가시성 정보를 제공한다.

AhnLab MDS는 네트워크, 이메일, USB를 통해 실행되는 파일을 실행 보류 후, 가상 환경인 샌드박스에서 검사를 수행한다. 랜섬웨어는 PC 내 문서를 대상으로 암호화 동작을 수행하므로, 샌드박스 행위 분석을 통해 이를 빠르게 탐지해 낼 수 있다. 이렇게 탐지된 랜섬웨어는 실행 보류 상태에서 차단 및 삭제되므로, 감염 전에 자동으로 모든 대응을 완료할 수 있어 효과적인 대응 방식이라 할 수 있다.​

AhnLab EDR은 PC의 모든 행위를 감시 및 추적하며 랜섬웨어의 주요 행위를 탐지한다. 구체적으로는 암호화 및 백업 삭제 행위를 탐지하고, 감염에 이르기까지의 모든 공격 흐름과 연관 정보를 수집한다. 사용자는 EDR에서 제공하는 정보를 통해 공격 루트를 비롯해 정책적으로 차단해야 할 C&C IP 및 URL 정보를 함께 확인할 수 있다.

안랩의 랜섬웨어 대응 프로세스에 대한 자세한 내용은 월간안 8월호 ‘효과적인 랜섬웨어 대응, 무엇이 필요한가?’를 통해 확인할 수 있다.


스마트한 클라우드 보안 구축 전략은?

클라우드 보안은 지난 AhnLab ISF 2020의 질의응답에서도 많은 관심을 받았다. 다만, 올해의 질문을 살펴보면 차이점을 알 수 있는데, 지난해의 경우 클라우드 보안의 개념에 대한 질문이 많았다면 올해는 대다수가 실질적인 활용 방안에 대한 것이었다. 그만큼 국내 사용자들의 클라우드 도입이 활성화되고 인식 수준도 높아진 것으로 풀이된다.


Q. 클라우드 보안 강화를 위해 핵심적으로 점검해야 할 요소들은 무엇이 있나? 그리고, 오픈 소스 보안을 위해 중점적으로 고려해야할 사항은?

클라우드 보안 강화를 위해 가장 중점적으로 점검해야 할 것은 설정이 올바르게 되었는지 여부다. 시장조사기관 가트너(Gartner)에 따르면 클라우드 보안 사고의 80% 이상이 설정 오류에 의해 발생한다. 즉, 설정을 올바르게 하는 것만으로도 클라우드 보안을 대폭 강화할 수 있다는 결론에 이르게 된다.

모든 설정을 수동으로 관리하는 것은 한계가 있으므로, 클라우드 보안 형상 관리(Cloud Security Posture Management: CSPM)와 클라우드 워크로드 보안 플랫폼(Cloud Workload Protection Platform: CWPP)의 시스템 하드닝(System Hardening) 및 무결성 모니터링(Integrity Monitoring) 기능 활용을 권장한다.

이 밖에도, 클라우드 보안 위협 최소화를 위해 점검해야 할 사항들은 여러가지가 있는데, 핵심적으로는 ▲허가 받지 않은 접근 ▲보안이 허술한 인터페이스 ▲계정, 서비스 및 트래픽 하이재킹 ▲외부로의 데이터 공유 ▲악의적인 내부자 등을 중점적으로 관리해야 한다.

다음으로, 오픈소스 보안에서 중요한 부분은 최신 보안 패치가 적용되었는지, 보안상 안전한 방식으로 사용되었는지, 오픈소스의 설정 값 중 해킹에 취약한 부분이 없는지 확인하는 것이다.

이를 위한 가장 적절한 솔루션은 CWPP의 시스템 하드닝이다. 시스템 하드닝은 OS에 최소한의 권한을 부여하고, DB 등 서비스 권한의 세밀한 조정, 역할 분리, 온디맨드(On-Demand) 허가 체계 등 다단계 방어 전략 수립을 지원한다. 또한, 사용하는 OS 및 모든 오픈소스의 설정 값이 보안 측면에서 적절한지 여부를 주기적으로 스캔한다.

CSPM, 시스템 하드닝 및 무결성 모니터링에 관한 자세한 내용은 월간안 11월호 ‘클라우드 침해 원인의 80%는 이 것, 해결책은?’을 확인하면 된다.


Q. CWPP를 도입해 클라우드 워크로드를 방어해야 하는 이유를 조직의 의사결정권자들에게 효과적으로 납득시키기 위한 방법은? 특히, 클라우드 서비스 제공자(Cloud Service Provider: CSP)와 보안 책임을 분담하는 것 때문에 설득이 어렵다.

CSP도 보안에 책임은 있지만 클라우드 인프라에 대한 책임만 있다. CSP의 ‘책임공유모델(Shared Responsibility Model)에 따르면, 클라우드 서비스의 가상 머신(Virtual Machine: VM) 또는 워크로드를 고객사가 직접 사용하는 경우, VM 간 통신이나 파일 실행 시 발생하는 모든 보안 위협은 사용자의 책임이다.

이를테면, 인터넷에서 VM까지 도달하는 트래픽도 사용자가 설정한 기본 방화벽 설정에 의해 CSP에서 차단하지만, 허용된 트래픽의 L7(응용 계층) 공격은 CSP가 책임지지 않는다. 그렇기 때문에 효과적인 워크로드 보안을 위해 CWPP가 반드시 필요하다고 할 수 있다.


　

[그림 4] AhnLab CPP 기능 구조도

안랩의 CWPP 솔루션 ‘AhnLab CPP’는 하이브리드 환경에서 서버 워크로드에 대한 탁월한 가시성을 제공하며, 서버와 네트워크 단에서 워크로드에 대한 보안 위협을 신속하게 탐지해 대응한다. 클라우드 워크로드 보안의 필요성과 AhnLab CPP에 대한 자세한 내용은 제품소개 동영상을 참고하면 된다.


Q. 앞선 질문과 같이, 클라우드에서 사용자도 보안에 책임을 지므로 관리에 여러모로 신경을 많이 쓰게 된다. 안랩의 클라우드 통합 보안은 어떤 장점이 있고, 사용자 입장에서 구체적으로 어떤 부분이 좋은건가?

안랩의 클라우드 통합 보안 포트폴리오는 ▲실제 운영에 도움이 되는 사용성 ▲무조건 빠른 전환이 아닌 중요 관리 순위에 따른 적시성 ▲전문가 및 축적된 보안 스킬셋(Skill Set) 기반의 안정성 ▲실효성 있는 보안 컴플라이언스 ▲가이드라인 제시를 통해 운영 인력과 비용을 줄이는 효율성을 장점으로 꼽을 수 있다.

성공적인 클라우드 전환을 위해서는 사업 및 내부 운영 환경에 맞는 정책을 수립해야 한다. 안랩은 먼저 관련 보안 컴플라이언스 준수 조건 등에 대한 위험 요소 도출을 통해 인증 및 기술적 위험 요소를 파악한다. 이러한 사전 컨설팅 단계를 통해 향후 멀티 클라우드 확장과 운영의 가시성을 확보할 수 있는 구성과 보안을 고려한 아키텍처를 구성함으로써 데이터 유출, 설정 오류, 워크로드 보호, 계정 관리, 비용 최적화 등을 구현하는 서비스 모델을 구성한다.

여기에, 탁월한 기술력을 갖춘 CWPP 솔루션 AhnLab CPP와 클라우드 보안관제 서비스까지 제공하여, 사용자 입장에서는 MSP, MSSP, 클라우드 솔루션을 통합적으로 활용해 구축/운영/보안을 원스톱으로 진행할 수 있게 된다.


기반 산업의 디지털 혁신을 지키는 OT 보안

인더스트리 4.0과 4차 산업혁명을 필두로 한 제조업의 디지털 혁신은 OT 보안에도 뜨거운 관심을 불러 일으켰다. OT 보안은 현재 발전해 나가는 단계에 있는 관계로, 보안 전략 수립 방안과 안랩의 역량을 묻는 질문이 주를 이뤘다. OT 환경은 국가 시스템의 중요한 축을 담당하는 영역이며, 한 번의 공격 성공으로도 엄청난 피해가 발생할 수 있기 때문에 이번 행사를 통해 확인한 보인 인식 향상은 특히 고무적이었다.


Q. 기업에서 IT와 OT 보안의 균형을 맞추고자 할 때 무엇을 고려해야 하는가? 또, OT 환경에서 시그니처와 취약점 점검도구 결과를 매핑해 취약점 관리가 가능한지?

최근 OT 환경에 대한 공격은 IT 환경을 장악한 후, 해당 IT 환경에서 OT 환경에 대한 정보를 수집하고, 수집된 데이터를 바탕으로 진행된다. 따라서, IT 환경에 대한 APT 공격에 대한 보안 강화가 우선 고려 대상이라 할 수 있다. 그리고, IT 환경에서 OT 환경으로의 접근 경로에 대한 강화된 모니터링 방안을 고려해야 한다.

OT 영역 보안에서 가장 중요한 요소는 가용성이다. IT 영역과 같이 악성코드가 탐지되었다고 해서 해당 파일을 격리 및 치료할 경우, 전체 공정이 중단될 수도 있기 때문이다. 따라서, OT 보안은 기존 IT 환경과는 다르게 모니터링 중심의 탐지와 사후 대응 중심으로 구성된다.
　

[그림 5] IT & OT 환경 보안 비교

좀 더 자세히 설명하면, OT 네트워크에 대한 스캔은 공정에 영향을 줄 수 있으므로 엄격하게 관리된다. 다시 말해, 보안 솔루션이 취약점 점검을 위해 스캔하는 것 자체가 환경의 특성상 어려움이 있다고 할 수 있다. 따라서, 수동적인 관점에서 네트워크 트래픽 모니터링을 통한 OT 자산 식별을 수행하고, 식별된 자산에 대한 취약점 매핑을 통해 취약점을 파악한다. 이러한 과정으로 파악된 취약점에 대해, 가용성 관점에서 직접적인 대응 대신 방화벽 레벨에서의 가상 패치(Virtual Patch)를 수행하거나, 관리 기간에 관리자가 패치를 수행하게 된다.

마지막으로, 효과적인 OT 보안은 IT와 OT의 융합 관점에서 접근해야 한다. IT 보안 역량을 기반으로 OT 환경의 특수성을 충분히 고려한 대응 방안을 도출해야 하고, 기본적으로 수동적인 탐지 관점을 가진 OT 보안에 대해 가능한 범위 내에서 능동적인 대응도 함께 고려해야 한다.

안랩은 엔드포인트와 네트워크를 아우르는 솔루션 커버리지와 다양한 OT 고객 레퍼런스를 바탕으로 체계적인 OT 통합 보안 역량을 제공하고 있다. 안랩의 OT 보안 역량에 관한 자세한 내용은 월간안 4월호 "ICS 보안, 더 이상 방치해선 안된다"와 월간안 11월호 "나온웍스가 ‘안랩 패밀리’를 선택한 이유"를 참고하면 된다.



Q. OT 환경은 오래된 장비와 OS로 인해 보안 구축에 어려움이 있다. 이 경우에는 어떤 보안 방안이 효과적인가?

OT 환경의 저사양 시스템과 오래된 OS는 에이전트를 설치할 수 없는 제약 조건이 존재하므로 다음과 같이 탐지와 대응을 진행해야 한다.


1) 탐지: OT 망에서 네트워크 미러링(Mirroring)을 통해 위협 탐지 및 악성코드 동적 분석을 진행할 수 있다.

2) 대응: 오래된 저사양 시스템에서 에이전트 설치가 어려운 경우, 악성코드 감염이 탐지되면 비상주형 AV(AhnLab Xcanner)를 활용해 에이전트를 설치하지 않고도 악성코드에 대한 진단과 치료가 가능하다.



Q. 실제 필드에서 사용되는 특정 벤더의 PLC의 경우 해당 벤더의 도움 없이 데이터 추출이 불가능 한데, 전체 공장 내 OT 보안 구축이 벤더사 협력 없이는 불가능한 것인가?

대부분의 PLC 벤더들은 독점 프로토콜(Proprietary protocol)을 사용하고 있어, 그 내용이 외부에 공개되어 있지 않다. 그렇지만 해당 벤더의 협조 없이도, 고객이 협조한다면 네트워크 미러 모드로 PLC 트래픽을 모니터링 한 후 분석할 수 있다.

안랩에서 올해 인수한 나온웍스에서 이미 국내에서 사용하는 대부분의 PLC 프로토콜에 대한 분석을 진행한 바 있다. 국내 제어설비 상당 부분의 프로토콜을 분석하였고, 분석이 추가로 필요한 경우 사업 진행 과정에서 추가 분석을 통해 지원하고 있다.


[출처 : 안랩(((www.ahnlab.com)]