2019-12-09 23:10 (월)
팔로알토 네트웍스 “랜섬웨어 대응과 예방 위한 시스템 관리 방안은…”
상태바
팔로알토 네트웍스 “랜섬웨어 대응과 예방 위한 시스템 관리 방안은…”
  • 길민권 기자
  • 승인 2017.07.20 21:27
이 기사를 공유합니다

▲ 팔로알토 네트웍스는 새롭게 출시된 트랩스 4.0을 통해 멀웨어 및 익스플로잇 차단 기능을 강화하는 한편 맥OS(macOS) 및 안드로이드(Android) 등 다양한 운영체제를 지원한다.
▲ 팔로알토 네트웍스는 새롭게 출시된 트랩스 4.0을 통해 멀웨어 및 익스플로잇 차단 기능을 강화하는 한편 맥OS(macOS) 및 안드로이드(Android) 등 다양한 운영체제를 지원한다.
“랜섬웨어 등 악성코드는 이에 대응하기 위한 시그니처 패턴이 만들어지는 속도를 추월하고 있고, 신종 악성코드가 탐지 되지 않는(Zero-day) 기간이 늘어나고 있다. 이에 관리자들의 불안감이 날로 커지고 있는 상황이다. 이러한 위협으로부터 비즈니스를 보호하기 위해서는 적절한 관리자 및 사용자 교육, 기존 IT 환경에 적합한 조치, 그리고 엔드포인트 보안 고도화를 통해 랜섬웨어 예방 및 대응 전략을 구축해야 한다.”

팔로알토 네트웍스는 20일 기자간담회를 열고 랜섬웨어 예방 및 대응 방안을 발표하며 다중 보안을 지원하는 지능형 엔드포인트 보안 솔루션인 ‘트랩스(Traps™) 4.0’을 소개하는 시간을 가졌다.

이 자리에서 최원식 팔로알토 네트웍스 코리아 대표는 “지난 10년 동안 약 6억개 이상의 악성코드가 출현했다. 최근 랜섬웨어는 무엇보다 제로데이 취약점 공격이나 알려지지 않은 멀웨어 등 기존의 보안 시스템을 회피하기 위한 형태로 진화하고 있으며 단순한 해킹 유형의 범주를 벗어나 사이버 공격자 들이 전문화 조직화 되어 금전적 수익을 목적으로, 수백만 달러 규모의 효과적인 사이버 범죄 모델로 진화했다”고 설명했다.

실제로 팔로알토 네트웍스가 클라우드 기반 지능형지속위협(APT) 방어 및 대응 솔루션인 와일드파이어(WildFire)를 통해 전세계적으로 수집 된 악성코드를 분석한 결과 전세계 상위 6개 안티바이러스 제품에서 탐지하지 못하는 악성코드 파일이 62.5%에 달하는 것으로 조사됐다.

특히 랜섬웨어의 공격 범위가 확대되고 있다. 이전의 공격자들은 주로 마이크로소프트 윈도 시스템을 타깃으로 삼았다면 랜섬웨어의 경우 안드로이드(Android)와 리눅스(Linux)는 물론이고 Mac® OS X 까지도 안전지대라고 할 수 없이 공격 범위가 넓어졌다. 인터넷 연결이 가능한 모든 컴퓨터와 디바이스는 랜섬웨어의 잠재적인 타깃이 되며, 사물인터넷(IoT)의 확대로 보안 위협 상황도 더욱 빈번하게 발생할 여지가 있다. 또한 웨어러블 기기 및 스마트홈 어플라이언스 등의 인터넷 연결 기기로도 확산될 수 있다.

또 랜섬웨어는 일반 사용자들에게 직접적인 영향을 미치고 있다. 공격을 입은 피해 기업 및 기관은 서비스 수준이 심각하게 저하되거나 아예 중단될 수 있기 때문이다. 범죄 조직의 입장에서는 진입 장벽이 낮으면서도 수익성이 좋은 모델이 되므로 기존의 다양한 사이버 범죄들이 랜섬웨어로 빠르게 대체되고 있는 상황이다. 또한 공격자들의 역량 또한 더욱 진화하여, 그들은 몸값을 요구할 정보의 가치를 정확하게 파악하고 있으며, 지불할 의사와 능력이 되는 타깃을 선별하여 공격하며, 점점 더 많은 몸값을 요구하고 있다.

한편 시그니처 기반 보안은 알려진 공격은 차단하고 있지만. 이를 회피 하기 위한 더욱 비밀스럽고, 파악이 어려운 지능형 멀웨어로 해킹기술이 빠르게 진화하면서 기존에 알려진 공격에 대응하는 시그니처 기반의 보안 대응 전략은 한계에 이르고 있다.

특히, 실행 파일 뿐만 아니라 문서나 스크립트 파일(Document File & Script File)을 통한 감염은 그 관리 범위가 광범위하여 보안의 어려움을 겪고 있다. 대화형 컨텐츠를 지원하는 문서파일인 PDF파일은 플랫폼에 관계 없이 풍부한 컨텐츠 배포를 위한 필수불가결한 도구이다. 또한 이메일에 첨부된 파일이나 웹 다운로드 파일 등으로 하루에도 수천 건에 달하는 파일이 이동하고 있다.

뿐만 아니라 동적 액션 트리거, 원격 데이터 검색, 내장형 스크립트(Child-Process 생성을 통한 랜섬웨어 감염, Keylogger, 루트키트, Bot등의 다운로드 설치 등의 C&C 행위) 등의 동적 요소를 사용하면서 기존 알려진 시그니처 기반의 대응은 코드를 분석하거나 런타임 행위를 분석할 수 없어, 안티 바이러스 혹은 IPS의 시그니처와 위협의 시그니처가 일치 하지 않는 한 탐지가 불가능하다.

이날 팔로알토 네트웍스가 제시한 지능형 엔드포인트 보안 솔루션의 필요조건은 다음과 같다.

△취약점 공격을 통해 OS에 발생할 수 있는 이상 현상을 다중 보안 정책을 사용하여 모니터링하고 차단해야 한다.

△ 알려진 공격은 물론 알려지지 않은 멀웨어 공격에 대해서도 선제적으로 대응할 수 있도록 위협 인텔리전스를 제공하는 동시에 관리자 개입이 필요하지 않은 자동화 된 샌드박싱 기능을 제공해야 한다.

△전체적인 보안 플랫폼과의 연동을 통해 외부에서 처음 발견된 랜섬웨어 및 악성코드를 자동으로 차단하고, 로컬 분석의 효율성을 증대시킬 수 있다. 팔로알토 네트웍스는 차세대 보안 플랫폼과 엔드포인트 보안을 연동시킴으로써 총체적인 보안 전략을 구축할 수 있도록 지원한다.

한편 팔로알토 네트웍스는 새롭게 출시된 트랩스 4.0을 통해 멀웨어 및 익스플로잇 차단 기능을 강화하는 한편 맥OS(macOS) 및 안드로이드(Android) 등 다양한 운영체제를 지원한다고 밝혔다.

트랩스는 알려지거나 알려지지 않은 멀웨어와 더불어 엔드포인트를 공격한 바 있는 익스플로잇을 차단하는 다중 보안 정책을 사용함으로써, 의료정보보호법 (HIPPA) 및 신용카드 업계 정보보호 표준 (PCI DSS)을 준수해야 하는 기업들이 안티바이러스(AV) 제품에 대한 대안으로 안전하게 활용할 수 있는 제품이다.

마지막으로 팔로알토 네트웍스가 제시한 랜섬웨어 대응과 예방을 위한 시스템 관리 방안 5계명은 다음과 같다.

1. MS 오피스 파일에서 매크로 스크립트가 실행되지 않도록 할 것: 마이크로소프트의 발표에 따르면 오피스 프로그램 타깃 공격의 98%가 매크로를 사용하고 있다. 매크로 스크립트를 허용하지 않음으로써 랜섬웨어를 예방할 수 있다. 전체 조직에서 오피스 매크로를 필요로 하지 않지만 매크로 기능을 사용해야 하는 부서도 있다. 예외 사항 및 특정 부서를 고려하여 매크로 사용 정책을 실행해야 한다. ‘MS 오피스 2016’의 경우 관리자가 워드(Word), 엑셀(Excel), 파워포인트(PowerPoint) 문서에서 인터넷을 통해 발생하는 매크로를 차단할 수 있도록 하는 기능이 있다. 가능한 오피스 프로그램을 업그레이드 하고 이 기능을 활용하는 것이 좋다.

2. 월별로 패치 관리 프로세스를 점검할 것: 마이크로소프트의 경우 “패치 튜즈데이(Patch Tuesday)”를 통해 30일 이내에 시스템 패치를 설치하도록 패치 릴리즈를 실시하고 있다. 패치 프로세스를 정기적으로 점검해야 하며, 지능형 엔드포인트 제품을 통해 패치를 놓침으로써 발생할 수 있는 익스플로잇을 차단하는 것도 효과적인 방법이다.

3. 인바운드 스팸 및 멀웨어 보호 정책을 실시할 것: 이메일 서버 업체에서 권고하는 방식에 따라 인바운드 메일을 차단하도록 하는 구성을 유지해야 한다. 예를 들어 실행 가능한 첨부파일은 차단하는 식의 정책을 실시해야 한다.

4. 차세대 방화벽을 통해 네트워크를 보호할 것: 방화벽에서 지속적인 업데이트를 기반으로 알려진 위협은 자동으로 차단할 수 있어야 한다. 또한 샌드박싱 기능을 통해 알려지지 않은 위협이 엔드포인트에 도달하기 전에 이를 차단해야 한다. 샌드박싱은 지속적으로 등장하는 변종 랜섬웨어를 탐지하는데 가장 효과적인 방법이다. 방화벽/프록시에서 “분류되지 않은” 웹사이트의 경우 “진행” 버튼을 눌러야 다음 단계가 이루어지는 방식으로 최종 사용자 커뮤니케이션을 지원할 수 있도록 구성해야 한다. 분류되지 않은 수많은 웹사이트들이 멀웨어 배포를 위한 피싱 공격의 타깃이 되기 때문이다. 이러한 2단계의 프로세스를 통해 외부 콜이 커맨드 앤 컨트롤 서버와 통신 하는 유형의 랜섬웨어를 차단할 수 있다.

5. 지능형 엔드포인트 보호 환경 구축: 전통적인 안티바이러스 제품들은 랜섬웨어와 같은 지능형 멀웨어에 효과적이지 않다. 탐지를 피하기 위해 계속해서 변화하기 때문이다. 엔드포인트 보호 수단이 알려진 멀웨어와 알려지지 않은 멀웨어는 물론 제로데이 등의 익스플로잇을 모두 탐지하고 차단할 수 있어야 한다. 화이트리스팅(whitelisting: 신뢰할 수 있는 접근에 대한 허용)의 경우 단순하고 작은 규모의 기업에서는 유효할 수 있으나 다양한 애플리케이션을 사용하는 복잡한 구조의 기업에서는 리스트 관리에 상당한 부담이 발생하게 된다. 이 경우 랜섬웨어를 탐지하기 위해서는 테크닉 기반의 멀웨어 탐지가 이루어져야 한다. 이를 위해서는 엔드포인트 보호 시스템에서 실시간의 위협 인텔리전스를 통해 기업적 특성과 지역, 산업을 전체적으로 아우르는 정보를 활용할 수 있어야 한다.

★정보보안 대표 미디어 데일리시큐!★