보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

안랩, 랜섬웨어 대응에 '적응형 보안' 제안

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2016-09-05

디지털 비즈니스 시대의 보안

바야흐로 디지털 비즈니스 시대가 본격화됐다. 디지털 세계와 물리적 세계의 경계를 무너뜨린 디지털 비즈니스의 성장은 단순히 기존 비즈니스에 IT 기술을 접목시킨 것이 아닌, 새로운 비즈니스 모델을 탄생시키고 있다. 한발 더 나아가 최근에는 클라우드(Cloud), 소셜 미디어(Social Media), 인공지능(Artificial Intelligence), 사물인터넷(IoT), 빅데이터(Big Data) 등 IT 기술을 활용한 디지털 트랜스포메이션(Digital Transformation)이 화두가 되고 있다. 디지털 트랜스포메이션은 기술(Technology)뿐만 아니라 사람(People), 프로세스(Process)의 변화까지 포함하는 것으로, 기업의 경우 비즈니스 전반에 걸친 변혁이 요구되는 길고 험난한 여정이다. 그럼에도 불구하고 많은 기업들은 이러한 급격한 변화를 그 어느 때보다도 빠르고 적극적으로 수용함으로써 자신들이 속한 비즈니스 생태계에서의 생존과 더불어 새로운 시장 발굴의 기회를 모색하고 있다. 

 

보안 측면에서도 디지털 비즈니스의 확대는 기존과 전혀 다른 시각의 접근이 필요하다. 디지털 비즈니스의 확대는 단순히 기존 위협(Risk)의 확대가 아닌 지금까지 예측할 수 없었던 새로운 디지털 위협(Digital Risk)의 발생을 예고하고 있다. 따라서 예측하기 어려운 알려지지 않은 위협이라면 사전 방어는 더욱 어려울 수 밖에 없다. 이에 글로벌 리서치 기관인 가트너는 새로운 위협이 등장하는 시대에는 사전 대응을 중심으로 하기 보다 보안 사고가 발생하더라도 유연하게 대응할 수 있는 복원 능력(Resilience) 관점의 보안 전략을 수립해야 한다고 강조하고 있다. 즉, 이제 기업의 보안 또한 디지털 비즈니스가 가져오는 변화에 대한 흡수력을 갖추는 동시에 변화의 적응 과정에서 잠시 발을 헛디디더라도 금세 일어나 대응할 수 있는 회복 탄력성을 갖추는 것이 중요하다는 것이다. 

 

[그림 1] 보안 패러다임의 변화(*​출처: Gartner)

고객이 현재 겪고 있는 보안 위협, 랜섬웨어 

보안 업체는 곧 닥칠 디지털 비즈니스 시대의 새로운 위협에 대해 준비해야 하는 숙명을 안고 있다. 그러나 그에 앞서 고객이 현재 겪고 있는 보안 위협에 대응하는 것도 보안 업체의 최우선 과제다. 현재 전세계 수많은 기업들은 랜섬웨어(Ransomware)라는 악랄한 악성코드에 위협 당하고 있으며, 이를 해결해줄 솔루션을 찾고 있다.

 

최근 급격히 증가하고 있는 랜섬웨어가 기업의 핵심적인 비즈니스 자산을 생성 및 관리하는 시스템을 장악하는 사건이 잇따라 발생하고 있다. 이제 랜섬웨어는 전세계적으로 가장 심각한 보안 위협이 되었다. 

 

2015년 10월에 발간된 사이버 위협 얼라이언스(Cyber Threat Alliance)의 ‘수익성 좋은 랜섬웨어 공격: 크립토월 3.0 위협 분석(Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat)’ 보고서에 의하면, 크립토월 3.0의 제작자는 전세계적으로 3.25억 달러(한화 3900억 원)의 수익을 올린 것으로 추정된다. 해당 보고서가 지난 2015년 1월에 크립토월 3.0이 발견된 후 9개월이 지나 발간되었다는 점을 고려하면 크립토월 3.0은 한 달에 약 350억 원 이상의 범죄 수익을 발생시킨 것이다. 크립토월 외에도 수많은 랜섬웨어가 지속적으로 나타나고 있어 랜섬웨어에 의한 전체 피해액은 족히 수조 원 이상에 달할 것으로 추론된다.

 

랜섬웨어는 일반적인 소프트웨어처럼 기능 등을 보완한 업그레이드 버전을 계속 내놓는가 하면, 백신 프로그램을 우회하기 위해 다양한 공격 기법과 신∙변종 악성코드를 활용하는 지능형 위협 공격(Advanced Persistent Threats)의 양상을 띠는 등 무서운 속도로 진화하고 있다. 그러나 대개 장기적으로 잠복하는 ‘지능형 악성코드’와 달리 랜섬웨어는 파일 암호화 등을 위한 최소한의 사전 작업 이후에는 스스로를 노출하고 제한된 시간 내에 신속하게 금전 결제를 하도록 유도하는 적극성을 띤다. 이러한 이유때문에 기존의 보안 솔루션만으로는 랜섬웨어의 유입을 사전에 완벽하고 차단하고 탐지하기에는 한계가 있다. 

 

안랩의 랜섬웨어 대응책, V3 + MDS

안랩은 엔드포인트 보안 솔루션인 V3 인터넷 시큐리티(V3 Internet Security, 이하 V3)와 지능형 위협 대응 솔루션인 MDS의 상호 연동을 통해 랜섬웨어에 효과적으로 대응한다. V3는 시그니처와 클라우드 기반의 위협 인텔리전스를 기반으로 평판 및 행위 기반 등의 진단 기술을 이용해 랜섬웨어를 탐지 및 차단한다. 특히 행위 기반 진단 기술을 고도화해 랜섬웨어의 유입, 실행, 파일 암호화 과정 등 전 단계에 걸쳐 랜섬웨어의 행위를 방어한다. 

 

지능형 위협 대응 솔루션인 MDS는 기업 내부로 유입되는 파일을 네트워크 레벨에서 수집 및 탐지하고 샌드박스를 기반으로 신종 악성코드 및 익스플로잇에 대해 정적 및 동적 분석을 수행한다. 또한 MDS는 엔드포인트 레벨에서 ‘실행 보류(Execution Holding)’ 기능을 이용한 능동적인 대응을 제공한다. 실행 보류 기능은 의심스러운 파일이 MDS에서 분석되는 동안 해당 파일이 PC 상에서 악의적인 행위를 하지 못 하도록, 말 그대로 ‘실행’을 방지하는 것이다. 

 

즉, 이 기능은 신∙변종 랜섬웨어로 의심되는 파일이 PC에 저장된 문서, 사진, 영상 등의 파일을 암호화시키는 등의 랜섬웨어 행위를 하지 못하도록 사전에 차단하는 한편 정밀한 분석을 통해 악성 여부를 판단함으로써 랜섬웨어의 위협을 확연히 줄여준다. MDS의 분석 결과 해당 파일이 랜섬웨어로 판정되면 실행을 차단한 상태에서 관리자에게 분석 결과를 알려준다. 해당 파일이 정상 파일로 판명 날 경우에는 실행 보류를 해제하여 사용자가 파일을 정상적으로 사용할 수 있도록 허용한다. 

 

[그림 2] 안랩의 랜섬웨어 대응 전략: 네트워크 샌드박스와 엔드포인트 보안 연계

 

지금까지의 랜섬웨어 공격 사례를 살펴보면 랜섬웨어가 결국에는 엔드포인트를 타깃으로 공격을 시도한다는 것을 알 수 있다. 안랩은 이러한 엔드포인트 타깃 공격에 대비하기 위해 제로데이(Zero Day) 공격과 악성코드 체류 기간(Dwell time)을 현격히 줄여주는 엔드포인트 시큐리티 하드닝(Endpoint Security Hardening) 솔루션을 제공하고 있다. 대표적인 솔루션으로는 안티바이러스 솔루션인 V3 인터넷 시큐리티 9.0, 운영체제(OS)와 주요 애플리케이션의 취약점에 대한 자동 패치 관리 솔루션인 안랩 패치 매니지먼트(AhnLab Patch Management, APM) PC 취약점 자동 점검 솔루션인 안랩 내PC지키미 등이 있다. 

 

[그림 3] 안랩의 랜섬웨어 대응 전략: 단말의 공격 표면 최소화를 위한 안랩의 엔드포인트 보안

 

고객 사례: A사의 APT 공격과 랜섬웨어 대응 전략

안랩의 고객인 A사는 APT 공격 방어와 랜섬웨어 차단을 위해서 안랩 MDS와 V3인터넷 시큐리티 9.0을 도입하여 운영하고 있다. A사는 2015년 안랩 MDS를, 2016년에는 안랩 V3를 잇따라 도입했다. A사의 경우 MDS를 악성코드로 의심되는 파일을 사전에 탐지하고 유입 경로를 확인하는 솔루션으로 활용하고 있다. 또 안티바이러스 솔루션인 V3는 혹시나 전사 네트워크 어딘가에 남아 있을지도 모르는 악성코드를 신속하게 찾아내 보안 위협을 제거해주는 솔루션으로서의 역할을 톡톡히 하고 있다.  

 

A사의 보안 담당자는 “안랩의 MDS와 V3 도입 이후 랜섬웨어로부터 자유로워졌다. 네트워크 샌드박스 장비인 MDS와 안티바이러스 솔루션인 V3의 연동 효과가 탁월하며, 특히 디코이(Decoy) 진단 기법 등 최신 행위 기반 진단 기법이 지속적으로 추가되고 있어 더욱 신뢰할 수 있다”고 설명했다.  

A사는 MDS와 V3 도입 후 달라진 변화에 대해 어떤 악성코드가 어디서부터 어디로 유입이 되었는지 신속하게 탐지하고 정확하게 보안 조치를 할 수 있게 되었으며, 특히 악성코드 유입 경로를 파악하여 방화벽 등을 통해 유입 경로를 차단함으로써 추가적인 악성코드 감염을 예방할 수 있게 되어 보안 위협 해결을 위해 투입되는 시간을 절감할 수 있었다고 평가했다. 

 

안랩의 EPP(Endpoint Protection Platform) 전략 

많은 보안 전문가들은 기하급수적인 신∙변종 악성코드와 다양하고 고도화된 공격 기법을 이용하는 보안 위협을 100% 예방하거나 방어할 수 없다고 얘기하고 있다. 글로벌 리서치 기관인 가트너 또한 현재의 보안 위협은 특정한 보안 영역에 한정된 기술만으로 완벽하게 대응할 수 없으므로 지속적으로 부족한 부분을 개선해 나가는 '적응형 보안(Adaptive Security Architecture)'이 필수임을 강조하고 있다. 

 

[그림 4] 적응형 보안을 위한 안랩 EPP 아키텍처

안랩은 적응형 보안 아키텍처 완성을 위한 각 보안 요소 기술에 맞는 보안 제품을 선보이고 있으며, 그 영역을 확대하기 위한 기술 개발에 박차를 가하고 있다. 특히, 안랩은 기존 엔드포인트 보안(Endpoint Security) 영역에서의 단순 제품 공급업체(Product provider)를 넘어 위협 인텔리전스(Threat Intelligence)를 지향하는 플랫폼 제공업체(Platform provider)로의 변화를 꾀하고 있다. 안랩은 적응형 보안 관점에서 자사의 보안 솔루션을 연동하고, 애널리틱스(Analytics)와 모니터링(monitoring) 기술을 지속적으로 발전시켜 나갈 계획이다. 또한 고객의 지속 가능한 사업을 영위하기 위한 보안 구현을 우선 순위에 놓고, 보안 위협 대응의 리드 타임을 최소화하여 신속하게 비즈니스를 정상화할 수 있는 EDR(Endpoint Detection & Response) 체계를 구현하고 실행하는 것을 목표로 두고 있다. 

 

  • AhnLab 로고
  • 콘텐츠기획팀 박정화 팀장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.