국내 최대 의료기관 개인정보보호 및 정보보안 컨퍼런스 MPIS 2016이 지난 5월 17일 한국과학기술회관 대회의실에서 개최됐다. 데일리시큐가 매년 5월 국내 국공립, 대학, 대중소 병원 보안실무자를 대상으로 개최하는 MPIS 컨퍼런스는 실무자에게 꼭 필요한 병원 보안정보를 제공하는 자리로 국내에서 가장 큰 의료기관 보안컨퍼런스다.
 
이 자리에서 박영욱(사진) 팔로알토 네트웍스 코리아 수석부장은 ‘의료기관 보안 침해사례를 통한 팔로알토 네트웍스 랜섬웨어 선제 방어 전략’이란 주제로 발표를 진행했다.
 
박영욱 부장은 “병원이 랜섬웨어의 주요 공격대상이 되고 있다”며 최근 이슈가 되고 있는 주요 랜섬웨어의 종류를 설명했다.
 
◇크립토락커 랜섬웨어=토렌트와 토르 사이트를 이용해 전파되며 문서, 데이터 파일을 암호화해 금전을 요구하는 랜섬웨어다. 2013년부터 지금까지 꾸준히 변종이 발생하고 있다. IE 취약점을 이용해 사용자의 URL 접속을 유도해 다운로드된다. 감염된 경우 문서 및 데이터 파일이 암호화되어 사용할 수 있게 된다. 한글화 변종이 지난해 4월 21일 국내 모 인터넷커뮤니티 사이티를 통해 확산됐고 한화 44만원을 비트코인으로 요구한다. 2014년 영국에서만 1만5천5백여 대가 감염된 바 있다.
 
◇록키 랜섬웨어=사회공학적 기법을 이용한다. 이메일 첨부파일을 통해 급여명세서, 송장 등으로 위장해 확산된다. 첨부 파일은 오피스 문서인 엑셀 및 워드파일(송장, 계약서) 내 악성코드를 다운로드하는 매크로를 포함한다. 최근에는 악성코드를 다운로드 하는 자바스크립트 파일을 압축해 ZIP파일로 직접 첨부하는 형태를 취한다. 감염시 사용자의 시스템 뿐만 아니라 연결된 공유 드라이브를 스캔해 추가 감염을 수행해 전파 속도와 범위가 증가하고 있다.
 
◇페트야 랜섬웨어=파일공유 서비스인 드롭박스를 이용한다. MBR을 암호화/변조해 정상 부팅을 방해하는 랜섬웨어다. 감염되면 블루스크린을 발생시키고 재부팅을 유도한다. 시스템을 재부팅할 경우 정상적인 부팅이 되지 않으며 공격자가 구성한 해골 화면이 발생하고 금전을 요구하는 페이지로 이동한다. 일정 금액의 비트코인을 요구하고 지불기한을 넘기면 요구 금액을 2배로 인상한다. 이력서로 위장한 실행파일 형태로 웹링크 혹은 웹디스크 등을 통해 전파된다.
 
◇삼삼/마크텁 랜섬웨어=취약점에 노출된 서버를 타깃으로 하고 C&C서버 연결 없이 암호화를 수행하는 랜섬웨어다. 오프라인 암호화 방식으로 네트워크 연결이 이루어지지 않는 폐쇄망에서도 파일 암호화를 통한 피해 유발이 가능하다. 이메일 첨부, 보안업데이트가 이루어 지지 않은 취약한 서버를 대상으로 원격 감염시킨다. 사진, 암축, 미디어 파일 등 광범위한 파일을 대상으로 암호화를 수행한다. 3일이내 비트코인(60만원)을 요구하고 15일 이후에는 3배까지 인상한다.

 
◇랜섬웨어 선제 방어 전략
박영욱 부장은 “랜섬웨어 대응은 사전 방어체계 구축이 중요하다. 멀웨어와 피싱 URL에 대한 접근제어, 첨부 및 다운로드 파일에 대한 악성행위 분석이 중요하고 최신 버전의 소프트웨어 패치와 안티 바이러스 시그니처 유지 등을 통해 감염 표면적을 최소화하는 것이 중요하다”고 강조하고 “특히 알려지지 않은 위협을 인지해 알려진 위협으로 인지하고 차단을 실행하는 과정을 반복 수행하고 이러한 사이클을 통해 새로운 차단 시그니처가 지속적으로 생성되어 선제방어 수행이 필요하다”고 덧붙였다.
 
즉 선제적 방어를 위해 네트워크 가시성을 확보해 공격의 유입 경로를 최소화하고 알려진 위협에 대한 차단과 알려지지 않은 위협을 탐지 및 차단해야 한다. 또 인바운드 트래픽의 근원지를 제어하고 고위험 및 금지된 애플리케이션을 차단, 업무 및 사용 목적 별로 네트워크존을 구성하고 애플리켕션별 사용율에 대한 제어, 외부에서 다운로드 되는 파일에 대한 제어, URL 및 콘텐츠 필터링, 모든 트래픽에 대한 멀웨어 검사 등이 필요하다는 것이다.
 
마지막으로 박 부장은 팔로알토 네트웍스의 SLR(시큐리티 라이프사이클 리뷰)을 소개하며 “팔로알토네트웍스 플랫폼 데모를 통해 애플리케이션 가시성과 보안리스크를 분석해주는 서비스로 TAP 또는 인라인 모드로 서비스 영향과 네트워크 구성변경 없이 모든 보안기능을 적용한 상태에서 분석후 보고서를 제공한다”며 “랜섬웨어가 발생했거나 의심되는 의료기관, 사용 애플리케이션과 멀웨어 및 취약성 분석을 원하는 의료기관, 기존 보안 제품으로는 제어가 어렵게 느껴지는 의료기관이 대상이 된다. 알려진 공격과 알려지지 않은 공격, 악성URL 차단 등이 가능하다”고 소개했다.
 
박영욱 팔로알토 네트웍스 코리아 수석부장의 MPIS 2016 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com