2020-07-07 12:24 (화)
체크멀 김정훈 대표 “랜섬웨어 방어, 상황인지기반 탐지기법으로 한계 극복 가능해”
상태바
체크멀 김정훈 대표 “랜섬웨어 방어, 상황인지기반 탐지기법으로 한계 극복 가능해”
  • 길민권 기자
  • 승인 2017.11.03 16:02
이 기사를 공유합니다

“기존 콘텐츠 및 비콘텐츠 기반 기법으로는 한계…상황인지기반 탐지기법이 확실한 해법”

▲ PASCON 2017. 체크멀 김정훈 대표(사진)가 랜섬웨어 탐지 및 방어 기술의 발전을 주제로 키노트 발표를 진행하고 있다.
▲ PASCON 2017. 체크멀 김정훈 대표(사진)가 랜섬웨어 탐지 및 방어 기술의 발전을 주제로 키노트 발표를 진행하고 있다.
데일리시큐가 주최한 하반기 최대 2017 공공·기업 개인정보보호&정보보안 컨퍼런스 PASCON 2017이 지난 10월 26일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 기업, 의료, 교육기관 등 전국의 정보보안 실무자 800여 명 이상이 참석한 가운데 성황리에 개최됐다.

체크멀(김정훈 대표)은 PASCON 2017에 참가해 ‘랜섬웨어 탐지 및 방어 기술의 발전’이란 주제로 키노트 발표를 진행하고 전시부스에서 자사의 상황 인식 기반 랜섬웨어 사전탐지 솔루션 ‘앱체크(AppCheck)’를 소개하는 시간을 가졌다.

김정훈 대표는 “대부분 랜섬웨어는 공개키 암호화알고리즘인 RSA-2048을 사용해 암호화한다. 암호화된 파일은 복호화 키 없이는 복구가 불가능해 매우 치명적”이라며 “지난 5월 워너크라이 랜섬웨어는 전세계 150개국에 창궐했으며 킬스위치가 제거된 워너크라이 변종이 다시 배포되는데 단 2일이 소요됐다. 해당 변종 개수는 약 452종으로 파악됐다. 이렇게 랜섬웨어 변종은 매우 빠른 시간내에 새로 제작 및 배포가 가능해 더욱 위험하다”고 강조했다.

또 지난 6월 지능형 지속위협(APT) 공격과 에레버스(Erebus) 랜섬웨어 공격이 결합된 사고로 호스팅업체 ‘인터넷나야나’사태를 설명하며 최악의 랜섬웨어 사고로 정교한 공격에 보안체계가 취약한 기업은 어디든 유사한 사고가 발생할 수 있다고 경고했다. 이외에도 대기업 서비스센터 랜섬웨어 감염 사고와 버스정류장정보시스템, 게임기기, 은행ATM 기기 등 다양한 분야에서 발생한 랜섬웨어 감염 사례를 소개해 눈길을 끌었다.

이어 김 대표는 “랜섬웨어 대응 기술은 크게 사전방어와 백업(사후 복원)으로 나뉘며 사전 방어는 랜섬웨어의 동작을 미리 차단하고 방어하기 때문에 가장 이상적인 기술이지만 탐지하지 못할 경우도 대비해 사전 백업도 병행하는 것이 가장 안전한 대응”이라며 “국내 시장에는 랜섬웨어 방어제품으로 포지셔닝한 제품들이 15종 이상 출시돼 있으며 APT 방어제품, 백업제품, 안티랜섬웨어 제품 등으로 구분될 수 있다”고 설명했다.

ch-2.jpg
▲ 콘텐츠 기반 탐지 기법으로는 새로운 랜섬웨어 공격 탐지 및 방어에 한계가 있다.
랜섬웨어 대응 기술에 대해 김 대표는 “정상프로그램과 악성코드를 구분하려면 악성코드만 사용하는 URL, 파일이름, 레지스트리 값, 경로 등의 콘텐츠를 활용해야 한다. 기존 탐지기술은 다양한 악성코드의 정보 즉 콘텐츠 DB를 참조해야 하기 때문에 콘텐츠에 부합되지 않는 새로운 랜섬웨어 출현시 탐지가 불가능한 한계가 있다”며 “특히 시그니처 기반은 공격자들이 백신 미진단 확인 후 배포하기 때문에 실질적으로 방어는 어렵다. 또 행위 기반은 행위 메타 정보 및 룰 DB에 없는 행위는 탐지할 수 없기 때문에 차단이 힘들다. 샌드박스 기반도 기존 행위 기반과 유사한 방식이다. 에이전트에서 판단 로직없이 단순 실행 보류만 가능하다. 특히 파일리스나 가상화 우회 공격에 무력화될 수 있어 위험하다. 마지막으로 네트워크 기반은 네트워크 장비단에서 암호화된 트레픽 감시가 불가능하다. C&C 서버의 라이브타임이 매우 짧기 때문에 효과도 미흡하고 알려지지 않은 C&C, 도메인 URL, 파일해쉬에 대해서 무방비로 당할 수 있다”고 설명했다.

한편 비 콘텐츠 기반 탐지 기법도 콘텐츠 기반 기술을 보완하고자 개발된 기술로 각각의 한계가 존재하며 이를 극복할 만한 기술이 요구되는 실정이다. 즉 미끼파일을 변조한 프로세스 탐지와 어플리케이션의 취약점 발생 시점에 탐지 그리고 보호대상을 지정하거나 변경 권한 부여 등 정책을 통한 기법도 한계가 있다는 것이다. 김 대표의 설명을 요약하면 다음과 같다.

△Decoy Based=미끼 파일을 변조한 프로세스 탐지방법은 국내 배신도 사용하는 탐지 방법으로 미끼 파일을 우회하거나 그 전에 암호화된 파일은 복구가 불가하다. 즉 실질적으로 다양한 환경에서 중요한 파일을 보호하지 못한다.

△Exploit Based=어플리케이션 취약점을 통한 비정상 실행 탐지 기법도 이메일 첨부파일을 직접 실행하거나 익스플로잇이 발생하지 않는 경우는 방어할 수 없다.

△Poicy Based=폴더 접근 권한 정책을 설정하는 기법도 사용자가 보호하려는 폴더를 직접 설정해야 하며 허용 프로세스도 등록해야 한다. 등록하지 않은 폴더내 파일들은 무방비로 당할 수 있다는 한계가 있다.

▲ 체크멀 램섬웨어 탐지 및 방어솔루션 '앱체크'의 상황 인지 기반 탐지 기법 프로세스.
▲ 체크멀 램섬웨어 탐지 및 방어솔루션 '앱체크'의 상황 인지 기반 탐지 기법 프로세스.
체크멀 김정훈 대표는 기존 랜섬웨어 탐지 기술의 한계를 극복한 ‘상황 인지 기반 탐지 기법’을 제안했다. 자사의 랜섬웨어 차단 및 대응솔루션 ‘앱체크(AppCheck)’에 적용된 기술이다. 주변의 패턴이나 환경 등 모든 정보를 종합해 상황을 인지하고 그 상황에 맞도록 최적의 대응 행동을 수행하는 기법이다.

상황 인식 기반 랜섬웨어 탐지 기술에 대해 김 대표는 “기존 방식처럼 랜섬웨어 콘텐츠를 보는 것이 아니고 파일의 변조 시점에 정상적 변경과 악의적 변경을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전탐지가 가능하다”며 “파일이 변경될 때 다양한 정보를 추적하고 관리하며 파일의 정상적인 변경과 비정상적 변경 구분이 가능해 알려진 랜섬웨어든 알려지지 않는 랜섬웨어든 상관없이 대응이 가능하다”고 강조했다.

이어 그는 “체크멀 홈페이지에 앱체크가 단 하나의 시그니처 없이 620여 종의 신종 랜섬웨어를 모두 방어하는 영상을 올려놓았다. 2017년 5월 발생한 워너크라이 랜섬웨어를 2015년 12월 앱체크 최초 버전으로 탐지가 가능했던 것도 바로 상황 인식 기반으로 사전방어를 하기 때문”이라고 강조했다.

▲ PASCON 2017 체크멀 전시부스에 많은 참관객이 관심을 가지고 설명을 듣고 있다.
▲ PASCON 2017 체크멀 전시부스에 많은 참관객이 관심을 가지고 설명을 듣고 있다.
체크멀 김정훈 대표의 PASCON 2017 ‘랜섬웨어 탐지 및 방어 기술의 발전’ 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★